WO2012041654A1 - Verfahren und system zur sicheren datenübertragung mit einer vpn- box - Google Patents
Verfahren und system zur sicheren datenübertragung mit einer vpn- box Download PDFInfo
- Publication number
- WO2012041654A1 WO2012041654A1 PCT/EP2011/065293 EP2011065293W WO2012041654A1 WO 2012041654 A1 WO2012041654 A1 WO 2012041654A1 EP 2011065293 W EP2011065293 W EP 2011065293W WO 2012041654 A1 WO2012041654 A1 WO 2012041654A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- box
- vpn
- key
- assigned
- communication
- Prior art date
Links
- 230000005540 biological transmission Effects 0.000 title claims description 11
- 238000000034 method Methods 0.000 title claims description 11
- 238000004891 communication Methods 0.000 claims abstract description 28
- 238000011144 upstream manufacturing Methods 0.000 abstract description 3
- CKRLIWFOVCLXTP-UHFFFAOYSA-N 4-phenyl-1-propyl-3,6-dihydro-2h-pyridine Chemical compound C1N(CCC)CCC(C=2C=CC=CC=2)=C1 CKRLIWFOVCLXTP-UHFFFAOYSA-N 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0423—Input/output
- G05B19/0425—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31198—VPN virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Definitions
- the present invention relates to a method and to a system for secure data transmission with a Virtual Private Network (VPN) box.
- VPN Virtual Private Network
- Open communication protocols (Ethernet, IP protocol) are used in industrial field devices (sensor, actuator, subsystem control) and replace proprietary fieldbuses.
- cryptographic protection mechanisms e.g. MACse, IPsec, SSL / TLS or S-Security.
- VPN Virtual Private Network
- a VPN box upstream of a field device be used when setting up a VPN tunnel or when establishing a cryptographically protected communication connection used for authentication a secret cryptographic key of the field device (secret key for a symmetric crypto-method
- This key of the field device is stored on the field device itself, but is used by the VPN box to establish a secured communication link associated with the field device.
- Data packets (control data, monitoring data, configuration data) of the field device are transmitted cryptographically protected via the VP tunnel and forwarded by or to the field device.
- the VPN tunnel is thus assigned to this field device.
- the key of the field device can be used by the VPN box in addition to or instead of a secret key stored on the VPN unit.
- a key stored on the field device is used, as far as it is available. Otherwise, a key stored on the VPN box will be used.
- the field device acts as a "security token" similar to a smart card inserted in the VPN box or a ÜSB security token.
- a secret key does not have to be configured on the VPN box.
- the connection to the field device can be made via the same communication connection via which data packets of the field device are transmitted between the field device and the VPN box, or alternatively via a second communication connection (for example USB, RS232).
- a device authentication function of the connected field device can be used.
- the second approach allows a simplified
- a key assigned to the field device is stored on the VPN box (for example, stored from previous VPN setup / authentication or also manually configured). This stored key is only used by the VPN box if the associated field device is authenticated by the VPN box. That This key is only used if the associated field device is actually connected to the VPNBox.
- the key is with another
- Encrypted key FDKE field device key encryption key
- Field device provided to decrypt the VPN key stored on the VPN box with it.
- a VPN box does not require a key configuration because a key on the connected field device is used for the VPN connection. This allows a VPNBox to be easily put into operation during an initial installation or a device replacement.
- the VPN box need not have a secure memory for persistently storing secret cryptographic keys. This makes it easy to realize.
- FIG. 1 shows a schematic representation of an embodiment of a VPN communication connection
- Figure 2 shows a schematic representation of a first embodiment of the method according to the invention
- Figure 3 is a schematic representation of a second embodiment of the method according to the invention.
- FIG. 1 shows an example of an application for an industrial VPN tunnel according to the invention.
- control messages 103 are exchanged.
- the communication is e.g. via an Ethernet network or an IF network.
- These control messages are transmitted over a network 104 that is potentially exposed to attacks (e.g., a public network, Internet, WLAN, cellular network). Therefore, a respective VPN box 105, 106 is provided at the interlocking and at the field device, which cryptographically protects the control messages during the transmission over the network (Network).
- Network e.g. an IPsec, IKE, SSL, TLS, MACsec, L2TP, PPTP protocol.
- the lower VPN box 106 which precedes the field device 102, uses a secret key of the field device 107 (FD key) during the VPN connection setup in order to set up a session key SK for the protection of the control messages.
- FD key secret key of the field device 107
- Certificate and private key are stored on the field device itself and are read from there.
- the VPN box accesses a "smart card functionality" of the field device in order to set up a VPN tunnel assigned to the field device.
- the communication channel between VPN box and field device may be physically protected, i. be inaccessible by an outsider. This can be done via the same physical interface as the control data communication or via a separate, second interface. Optionally, the communication on this interface can be encrypted.
- a key assigned to the field device on the VPN box is only used or enabled (released for use or decrypted) if the VPN box can authenticate the assigned field device. This can be done with a VPN setup by a human user with the input of a ⁇ or a password.
- a key stored on a security token (for example on a chip card) can only be used after the security token has been released by entering the PIN.
- FIG. 2 shows a variant in which the VPN box 201 has a field device certification authority (CA).
- CA field device certification authority
- the VPNBox can thus generate a digital certificate and key 202 assigned to the field device.
- This digital certificate contains a device ID of the field device.
- the VPN box thus contains an integrated CA functionality.
- This certificate is only generated or used if the VPN box can authenticate the corresponding field device.
- This digital certificate can be permanent or temporary.
- a temporary certificate is only valid for a single VPNSession.
- FIG. 3 shows a further variant in which the field device 301 has an integrated CA. This allows the field device to issue a digital certificate for a VPN key stored or generated on the VP box.
- This digital certificate is used by the VPN box when establishing a VPN connection 302 (Certificate Signing Request (CSR)).
- CSR Certificate Signing Request
- the last two variants are particularly low administration, since the generation of the key material and the certification can run autonomously, i. without intervention of a service technician.
- the VPN Box can also be used for the connection of several field devices. In this case, the corresponding key establishment must be carried out in pairs between the VPN box and the connected field device.
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Manufacturing & Machinery (AREA)
- Quality & Reliability (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Es wird vorgeschlagen dass eine einem Feldgerät (102) vorgeschaltete VPN-Box (106) beim Aufbau eines VPN-Tunnels bzw. beim Aufbau einer kryptographisch geschützten Kommunikationsverbindung für die Authentisierung einen geheimen kryptographischen Schlüssel des Feldgerätes verwendet.
Description
Beschreibung
VERFAHREN UND SYSTEM ZUR SICHEREN DATENÜBERTRAGUNG MIT EINER VPN- BOX Die vorliegende Erfindung betrifft ein Verfahren, sowie ein System zur sicheren Datenübertragung mit einer Virtual Private Network (VPN) Box.
Offene Kommunikationsprotokolle (Ethernet, IP-Protokoll) werden in industriellen Feldgeräten (Sensor, Aktor, SubsystemSteuerung) eingesetzt und ersetzen proprietäre Feldbusse. Um die Übertragung von Steuerungs-, artungs- und Diagnosedaten gegen Manipulation oder Abhören zu schützen, werden kryptographische Schutzmechanismen verwendet, z.B. MACse, IPsec, SSL/TLS oder S-Security.
Es ist jedoch oft nicht praktikabel, die erforderliche Funktionalität in ein Feldgerät selbst zu integrieren. Deshalb sind am Harkt Virtual Private Network (VPN) - Boxen verfügbar, die einem solchen Feldgerät vorgeschaltet werden können.
Diese verschlüsseln die Datenübertragung eines Feldgeräts. Auf der VPN-Box muss hierzu ein geheimer kryptographischer Schlüssel bzw. ein Passwort konfiguriert und gespeichert werden. Dies ist zeitaufwändig und fehleranfällig.
Aufgabe der vorliegenden Erfindung ist es daher, eine VPN-Box zum Schutz von Datenkommunikationsverbindungen mit einer einfach durchzuführenden Konfiguration zu schaffen.
Diese Aufgabe wird durch Verfahren und Systeme mit den Merkmalen der Ansprüche 1, 4, 5 und 6 gelöst. Vorteilhafte Weiterbildungen der Erfindung sind in den abhängigen Ansprächen angegeben.
Es wird vorgeschlagen, dass eine einem Feldgerät vorgeschaltete VPN-Box beim Aufbau eines VPN-Tunnels bzw. beim Aufbau einer k yptographisch geschützten Kommunikationsverbindung
für die Authentisierung einen geheimen kryptographisehen Schlüssel des Feldgerätes verwendet (secret key für ein symmetrisches Kryptoverfahren
wie z.B. DES, AES oder einen private key für ein asymmetrisches Kryptoverfahren wie z.B. RSA, DSA, ECC) .
Dieser Schlüssel des Feldgeräts ist auf dem Feldgerät selbst gespeichert, wird jedoch von der VPN-Box genutzt, um eine dem Feldgerät zugeordnete gesicherte Kommunikationsverbindung aufzubauen. Über den VP -Tunnel werden Datenpakete (Steuerdaten, Überwachungsdaten, Konfigurationsdaten) des Feldgerätes kryptographisch geschützt übertragen und vom bzw. zum Feldgerät weitergeleitet. Der VPN-Tunnel ist also diesem Feldgerät zugeordnet.
Der Schlüssel des Feldgeräts kann durch die VPN-Box zusätzlich oder anstatt eines auf der VPN-Einheit gespeicherten geheimen Schlüssels verwendet werden. In einer Variante wird ein auf dem Feldgerät gespeicherter Schlüssel verwendet, soweit er verfügbar ist. Andernfalls wird ein auf der VPN-Box gespeicherter Schlüssel verwendet.
In einer Variante fungiert das Feldgerät als "Security Token" ähnlich wie eine in die VPN-Box eingesteckte Chipkarte oder ein ÜSB-Security-Token. Dadurch muss auf der VPN-Box kein geheimer Schlüssel konfiguriert werden. Die Anbindung an das Feldgerät kann über dieselbe Kommunikationsverbindung, über die Datenpakete des Feldgerätes zwischen Feldgerät und der VPN-Box übertragen werden erfolgen, oder alternativ über eine zweite KommunikationsVerbindung (z.B. USB, RS232) .
Es kann dabei insbesondere eine Device-AuthenticationFunktion des verbundenen Feldgerätes genutzt werden. Insbesondere der zweite Ansatz ermöglicht einen vereinfachten
Aufbau des Systems und erhöht die Wartbarkeit der Anlage, da aufgrund von physikalischen Sicherheitsmassnahmen kein sepa
rates Schlüsselmaterial zum Schutz (Authentisierung, Integrität, Vertraulichkeit) zwischen der
VFN Box und dem Feldgerät aufgesetzt werden muss. In einer anderen Variante ist auf der VPN-Box ein dem Feldgerät zugeordneter Schlüssel gespeichert (z.B. aus früherer VPN-Aufbau/Authentisierung gespeichert oder auch manuell konfiguriert) . Dieser gespeicherte Schlüssel wird durch die VPN-Box nur verwendet, wenn das zugeordnete Feldgerät durch die VPN-Box authentisiert wird. D.h. dieser Schlüssel wird nur genutzt, wenn auch tatsächlich das zugeordnete Feldgerät mit der VPNBox verbunden ist.
In einer Variante ist der Schlüssel mit einem weiteren
Schlüssel FDKE (field device key encryption key) verschlüsselt. Der FDKEK wird der VPN-Box durch das
Feldgerät bereitgestellt, um den auf der VPN-Box gespeicherten VPN-Schlüssel damit zu entschlüsseln.
Bei der Authentisierung des Feldgerätes durch die VPN-Box können weitergehende Prüfungen des Feldgerätes erfolgen, z.B. Abfrage eines Tamper-Sensors oder eines SoftwareVersionsstand.
Eine VPN-Box erfordert keine Schlüsselkonfiguration, da ein auf dem jeweils verbundenen Feldgerät vorhandener Schlüssel für die VPN-Verbindung genutzt wird. Dadurch kann eine VPNBox bei einer Erstinstallation oder einem Gerätetausch einfach in Betrieb genommen werden.
Weiterhin muss die VPN-Box nicht über einen sicheren Speicher zum dauerhaften Speichern geheimer kryptographischer Schlüssei verfügen. Dadurch kann sie einfach realisiert werden.
Es wird zudem eine hohe Sicherheit erreicht, da die auf der VPN-Box gespeicherten Schlüssel durch einen Angreifer nicht
nutzbar sind, wenn nicht auch das diesen zugehörige Feldgerät verfügbar ist.
Im Folgenden wird die Erfindung mit Ausführungsbeispielen anhand der beigelegten Figuren näher erläutert. Es zeigen:
Figur 1 in einer schematischen Darstellung ein Ausführungsbeispiel einer VPN- Kommunikations erbindung, Figur 2 in einer schematischen Darstellung ein erstes Ausführungsbeispiel des erfindungsgemäßen Verfahrens,
Figur 3 in einer schematischen Darstellung ein zweites Ausführungsbeispiel des erfindungsgemäßen Verfahrens.
Die Figur 1 zeigt ein Anwendungsbeispiel für einen erfindungsgemäßen industriellen VPN-Tunnel.
Zwischen einem Stellwerk 101 und einem Feldgerät 102 (z.B. Signal, Weiche, Schranke) werden Steuernachrichten 103 ausgetauscht. Die Kommunikation erfolgt z.B. über ein EthernetNetzwerk oder ein IF-Netzwerk. Diese Steuernachrichten werden über ein Netzwerk 104 übertragen, das potenziell Angriffen ausgesetzt ist (z.B. ein öffentliches zugängliches Netzwerk, Internet, WLAN, Mobilfunknetz erk) . Deshalb ist am Stellwerk und am Feldgerät jeweils eine VPN-Box 105, 106 vorgesehen, die die Steuernachrichten bei der Übertragung über das Netzwerk (Network) kryptographisch schützt. Dazu kann z.B. ein IPsec, IKE, SSL, TLS, MACsec, L2TP, PPTP Protokoll eingesetzt werde .
Die untere VPN-Box 106, die dem Feldgerät 102 vorgeschaltet ist, verwendet beim VPN-Verbindungsaufbau einen geheimen Schlüssel des Feldgeräts 107 (FD-Key) , um einen Sitzungsschlüssel SK zum Schutz der Steuernachrichten einzurichten.
Mehrere Varianten sind möglich, die sich in der Art, wie der geheime Schlüssel des Feldgeräts genutzt wird, unterscheiden:
Feldgerät als Security Token (kein Schlüssel auf VPN-Box)
Zertifikat und Private Key sind auf dem Feldgerät selbst abgelegt und werden von dort ausgelesen. Die VPN-Box greift auf eine "Chipkarten-Funktionalität" des Feldgerätes zu, um einen dem Feldgerät zugeordneten VPN-Tunnel aufzubauen.
Der Kommunikationskanal zwischen VPN-Box und Feldgerät kann physikalisch geschützt sein, d.h. durch einen Außenstehenden unzugänglich sein. Dies kann über die gleiche physikalische Schnittstelle wie die Steuerdatenkommunikation erfolgen oder über eine separate, zweite Schnittstelle. Optional kann die Kommunikation auf dieser Schnittstelle verschlüsselt sein.
Field Device Authentication durch VPN-Box
Ein dem Feldgerät zugeordneter Schlüssel auf der VPN-Box wird nur verwendet bzw. freigeschaltet (zur Nutzung freigegeben oder entschlüsselt) , wenn die VPN-Box das zugeordnete Feldgerät authentisieren kann. Dies kann bei einem VPN-Aufbau durch einen menschlichen Nutzer mit der Eingabe einer ΡΣΝ bzw. eines Passworts erfolgen. Ein auf einem Security Token (z.B. auf einer Chipkarte) gespeicherter Schlüssel kann erst genutzt werden, nachdem das Security Token durch die Eingabe der PIN freige chaltet wurde.
Die Figur 2 zeigt eine Variante, bei der die VPN-Box 201 eine Feldgeräte- Certification Authority (CA) aufweist. Die VPNBox kann somit ein dem Feldgerät zugeordnetes digitales Zertifikat und Schlüssel 202 erzeugen. Dieses digitale Zertifikat enthält eine Device-ID des Feldgerätes. Die VPN-Box enthält also eine integrierte CA-Funktionalität. Dieses Zertifikat wird nur erzeugt bzw. verwendet, wenn die VPN-Box das entsprechende Feldgerät authentisieren kann.
Dieses digitale Zertifikat kann dauerhaft oder temporär sein. Ein temporäres Zertifikat ist nur für eine einzelne VPNSession gültig. Die Figur 3 zeigt eine weitere Variante, bei der das Feldgerät 301 eine integrierte CA aufweist. Damit kann das Feldgerät zu einem auf der VP -Box gespeicherten oder erzeugten VPN-Schlüssel ein digitales Zertifikat ausstellen. Dieses digitale Zertifikat wird von der VPN-Box beim Aufbau einer VPNVerbindung verwendet 302 (Certificate signing request (CSR) ) .
Insbesondere die letzten beiden Varianten sind besonders administrationsarm, da die Generierung des Schlüsselmaterials und die Zertifizierung autark laufen können, d.h. ohne Eingreifen eines Servicetechnikers. Die VPN Box kann in beiden Fällen auch für die Verbindung von mehreren Feldgeräten genutzt werden. Hier ist dann die entsprechende Schlüsseletablierung jeweils paarweise zwischen der VPN-Box und dem jewei ligen angeschlossenen Feldgerät durchzuführen.
Claims
1. Verfahren zur sicheren Datenübertragung zwischen einem ersten und einem zweiten Kommunikationsteilnehmer, wobei zumindest einem der Kommunikationsteilnehmer eine Box zum Aufbau und Betreiben einer Virtual Private Network (VPN) Verbindung zugeordnet ist,
dadurch gekennzeichnet, dass
durch die Box beim Aufbau der VPN-Verbindung ein geheimer Schlüssel des zugeordneten Kommunikationsteilnehmers ermittelt wird,
durch die Box ein SitzungsSchlüssel anhand des geheimen
Schlüssels für die VPN Verbindung eingerichtet wird,
die Daten über die VPN- Verbindung sicher übertragen werden.
2. Verfahren nach Anspruch 1, wobei
der geheime Schlüssel über eine physikalisch geschützte Kommunikationsverbindung zwischen dem zugeordneten Kommunikationsteilnehmer und der Box ermittelbar ist.
3. Verfahren nach einem der Anspräche 1 und 2, bei dem der geheime Schlüssel durch die Box zur Entschlüsselung eines auf der Box gespeicherten weiteren Schlüssels herangezogen wird,
der Sitzungsschlüssel anhand des entschlüsselten weiteren Schlüssels eingerichtet wird.
4. Verfahren zur sicheren Datenübertragung zwischen einem ersten und einem zweiten Kommunikationsteilnehmer, wobei zumindest einem der Kommunikationsteilnehmer eine Box zum Aufbau und Betreiben einer Virtual Private Network (VPN) Verbindung zugeordnet ist,
dadurch gekennzeichnet, dass
durch die Box der zugeordnete Kommunikationsteilnehmer authentisiert wird,
durch die Box ein dem authentisierten Kommunikationsteilnehmer zugeordneter Schlüssel ermittelt wird. durch die Box ein Si zungsSchlüssel anhand des zugeordneten
Schlüssels für die VPN Verbindung eingerichtet wird,
die Daten über die VPN- Verbindung sicher übertragen werden.
5. System zur sicheren Datenübertragung, aufweisend
- einen ersten und zweiten Kommunikationsteilnehmer zwischen denen die sichere Datenübertragung durchgeführt wird, und eine Box, welche zumindest einem der Kommunikationsteilnehmer zum Aufbau und Betreiben einer Virtual Private Network (VPN) Verbindung zugeordnet ist,
dadurch gekennzeichnet, dass
durch die Box beim Aufbau der VPN-Verbindung ein geheimer Schlüssel des zugeordneten Kommunikationsteilnehmers ermittelt wird,
durch die Box ein SitzungsSchlüssel anhand des geheimen
Schlüssels für die VPN Verbindung eingerichtet wird,
die Daten über die VPN- Verbindung sicher übertragen werden.
6. System zur sicheren Datenübertragung, aufweisend
- einen ersten und zweiten Kommunikationsteilnehmer zwischen denen die sichere Datenübertragung durchgeführt wird, und eine Box, welche zumindest einem der Kommunikationsteilnehmer zum Aufbau und Betreiben einer Virtual Private Network (VPN) Verbindung zugeordnet ist,
dadurch gekennzeichnet, dass
durch die Box der zugeordnete Kommunikationsteilnehmer authentisiert wird,
durch die Box ein dem authentisierten Kommunikationsteilnehmer zugeordneter Schlüssel ermittelt wird,
durch die Box ein Sitzungsschlüssel anhand des zugeordneten Schlüssels für die VPN Verbindung eingerichtet wird,
die Daten über die VPN- Verbindung sicher übertragen werden.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/877,263 US11171922B2 (en) | 2010-09-30 | 2011-09-05 | Method and system for secure data transmission with a VPN box |
EP11760734.1A EP2572494B1 (de) | 2010-09-30 | 2011-09-05 | Verfahren und system zur sicheren datenübertragung mit einer vpn- box |
CN201180047341.9A CN103119910B (zh) | 2010-09-30 | 2011-09-05 | 利用vpn盒来进行安全数据传输的方法和系统 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102010041804A DE102010041804A1 (de) | 2010-09-30 | 2010-09-30 | Verfahren zur sicheren Datenübertragung mit einer VPN-Box |
DE102010041804.8 | 2010-09-30 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2012041654A1 true WO2012041654A1 (de) | 2012-04-05 |
Family
ID=44675557
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/EP2011/065293 WO2012041654A1 (de) | 2010-09-30 | 2011-09-05 | Verfahren und system zur sicheren datenübertragung mit einer vpn- box |
Country Status (5)
Country | Link |
---|---|
US (1) | US11171922B2 (de) |
EP (1) | EP2572494B1 (de) |
CN (1) | CN103119910B (de) |
DE (1) | DE102010041804A1 (de) |
WO (1) | WO2012041654A1 (de) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106131357A (zh) * | 2016-08-30 | 2016-11-16 | 上海携程商务有限公司 | 基于vpn的远程座席控制系统及方法 |
DE102016222617A1 (de) | 2016-11-17 | 2018-05-17 | Siemens Aktiengesellschaft | Schutzvorrichtung und Netzwerkverkabelungsvorrichtung zur geschützten Übertragung von Daten |
CN109905402A (zh) * | 2019-03-25 | 2019-06-18 | 杭州迪普科技股份有限公司 | 基于ssl vpn的sso登录方法和装置 |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102010043102A1 (de) | 2010-10-29 | 2012-05-03 | Siemens Aktiengesellschaft | Verfahren zur manipulationsgesicherten Schlüsselverwaltung |
US8806609B2 (en) * | 2011-03-08 | 2014-08-12 | Cisco Technology, Inc. | Security for remote access VPN |
US8948391B2 (en) | 2012-11-13 | 2015-02-03 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Secure communication method |
CN104253688A (zh) * | 2013-06-28 | 2014-12-31 | 北京思普崚技术有限公司 | 一种基于IPSec的VPN连接方法 |
US9798553B2 (en) | 2014-08-12 | 2017-10-24 | National Information Assurance Corporation | Systems for securely connecting to remote networks |
CN104459487B (zh) * | 2014-12-02 | 2017-04-12 | 国家电网公司 | 基于3g通信的局部放电实时监测系统的实现方法 |
CN110233814B (zh) * | 2018-03-05 | 2022-05-17 | 上海可鲁系统软件有限公司 | 一种工业物联智能虚拟专网系统 |
US20210092103A1 (en) * | 2018-10-02 | 2021-03-25 | Arista Networks, Inc. | In-line encryption of network data |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040010712A1 (en) * | 2002-07-11 | 2004-01-15 | Hui Man Him | Integrated VPN/firewall system |
US20080005791A1 (en) * | 2006-06-30 | 2008-01-03 | Ajay Gupta | Method and apparatus for supporting a virtual private network architecture on a partitioned platform |
US20080005558A1 (en) * | 2006-06-29 | 2008-01-03 | Battelle Memorial Institute | Methods and apparatuses for authentication and validation of computer-processable communications |
WO2009043646A1 (de) * | 2007-09-26 | 2009-04-09 | Siemens Aktiengesellschaft | Verfahren zur herstellung einer sicheren verbindung von einem service-techniker zu einer von einem störfall betroffenen komponente einer ferndiagnostizierbaren und/oder fernwartbaren automatisierungs-umgebung |
Family Cites Families (56)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5602918A (en) * | 1995-12-22 | 1997-02-11 | Virtual Open Network Environment Corp. | Application level security system and method |
US6092200A (en) * | 1997-08-01 | 2000-07-18 | Novell, Inc. | Method and apparatus for providing a virtual private network |
US7096494B1 (en) * | 1998-05-05 | 2006-08-22 | Chen Jay C | Cryptographic system and method for electronic transactions |
US6751729B1 (en) * | 1998-07-24 | 2004-06-15 | Spatial Adventures, Inc. | Automated operation and security system for virtual private networks |
US6839759B2 (en) * | 1998-10-30 | 2005-01-04 | Science Applications International Corp. | Method for establishing secure communication link between computers of virtual private network without user entering any cryptographic information |
US7055027B1 (en) * | 1999-03-22 | 2006-05-30 | Microsoft Corporation | System and method for trusted inspection of a data stream |
US6988199B2 (en) * | 2000-07-07 | 2006-01-17 | Message Secure | Secure and reliable document delivery |
US20020019932A1 (en) * | 1999-06-10 | 2002-02-14 | Eng-Whatt Toh | Cryptographically secure network |
US7055171B1 (en) * | 2000-05-31 | 2006-05-30 | Hewlett-Packard Development Company, L.P. | Highly secure computer system architecture for a heterogeneous client environment |
GB2363548A (en) * | 2000-06-15 | 2001-12-19 | Int Computers Ltd | Computer systems, in particular virtual private networks |
US8250357B2 (en) * | 2000-09-13 | 2012-08-21 | Fortinet, Inc. | Tunnel interface for securing traffic over a network |
WO2002033928A2 (en) * | 2000-10-19 | 2002-04-25 | Private Express Technologies Pte. Ltd. | Cryptographically secure network |
US20030021417A1 (en) * | 2000-10-20 | 2003-01-30 | Ognjen Vasic | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
US6954790B2 (en) * | 2000-12-05 | 2005-10-11 | Interactive People Unplugged Ab | Network-based mobile workgroup system |
US7209479B2 (en) * | 2001-01-18 | 2007-04-24 | Science Application International Corp. | Third party VPN certification |
US7389412B2 (en) * | 2001-08-10 | 2008-06-17 | Interactive Technology Limited Of Hk | System and method for secure network roaming |
US7624437B1 (en) * | 2002-04-02 | 2009-11-24 | Cisco Technology, Inc. | Methods and apparatus for user authentication and interactive unit authentication |
US7203957B2 (en) * | 2002-04-04 | 2007-04-10 | At&T Corp. | Multipoint server for providing secure, scaleable connections between a plurality of network devices |
US7269730B2 (en) * | 2002-04-18 | 2007-09-11 | Nokia Corporation | Method and apparatus for providing peer authentication for an internet key exchange |
US7616597B2 (en) * | 2002-12-19 | 2009-11-10 | Intel Corporation | System and method for integrating mobile networking with security-based VPNs |
DE10331309A1 (de) * | 2003-07-10 | 2005-02-10 | Siemens Ag | Vorrichtung und Koppelgerät, so genannter transparenter Tunnel-Proxy, zur Sicherung eines Datenzugriffs |
CA2483233C (en) * | 2003-09-30 | 2015-08-11 | Layer 7 Technologies Inc. | System and method securing web services |
US7725933B2 (en) * | 2003-10-07 | 2010-05-25 | Koolspan, Inc. | Automatic hardware-enabled virtual private network system |
WO2005057507A2 (en) * | 2003-12-02 | 2005-06-23 | Koolspan, Inc | Remote secure authorization |
JP4420201B2 (ja) * | 2004-02-27 | 2010-02-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム |
JP4671783B2 (ja) * | 2004-07-20 | 2011-04-20 | 株式会社リコー | 通信システム |
US7451921B2 (en) * | 2004-09-01 | 2008-11-18 | Eric Morgan Dowling | Methods, smart cards, and systems for providing portable computer, VoIP, and application services |
CN1606288A (zh) * | 2004-10-18 | 2005-04-13 | 胡祥义 | 一种基于微内核技术的vpn实现方法 |
JP4707992B2 (ja) * | 2004-10-22 | 2011-06-22 | 富士通株式会社 | 暗号化通信システム |
US20060136717A1 (en) * | 2004-12-20 | 2006-06-22 | Mark Buer | System and method for authentication via a proximate device |
US7409709B2 (en) * | 2005-02-14 | 2008-08-05 | Etsec, Inc. | Systems and methods for automatically reconfiguring a network device |
US8561147B2 (en) * | 2005-04-19 | 2013-10-15 | Lg Electronics Inc. | Method and apparatus for controlling of remote access to a local network |
JP2009515232A (ja) * | 2005-07-20 | 2009-04-09 | ベリマトリックス、インコーポレーテッド | ネットワークユーザ認証システム及び方法 |
CA2531411C (en) * | 2005-12-23 | 2017-02-14 | Bce Inc | System and method for encrypting traffic on a network |
JP2007199880A (ja) * | 2006-01-25 | 2007-08-09 | Nec Corp | 通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法 |
US8201233B2 (en) * | 2006-02-06 | 2012-06-12 | Cisco Technology, Inc. | Secure extended authentication bypass |
US20070271606A1 (en) * | 2006-05-17 | 2007-11-22 | Amann Keith R | Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN |
EP1865656A1 (de) * | 2006-06-08 | 2007-12-12 | BRITISH TELECOMMUNICATIONS public limited company | Erstellung einer gesicherten Kommunikationsverbindung unter Verwendung einer Authentifizierung mittels Dritter |
KR100860404B1 (ko) * | 2006-06-29 | 2008-09-26 | 한국전자통신연구원 | 다중 도메인 홈네트워크 환경에서의 디바이스 인증 방법 및장치 |
JP4622951B2 (ja) * | 2006-07-26 | 2011-02-02 | ソニー株式会社 | 通信システムおよび通信方法、情報処理装置および方法、デバイス、プログラム、並びに記録媒体 |
US20080034420A1 (en) * | 2006-08-01 | 2008-02-07 | Array Networks, Inc. | System and method of portal customization for a virtual private network device |
US20080077976A1 (en) * | 2006-09-27 | 2008-03-27 | Rockwell Automation Technologies, Inc. | Cryptographic authentication protocol |
US9172493B2 (en) * | 2006-12-18 | 2015-10-27 | International Business Machines Corporation | Caller-identity based security |
US20080165973A1 (en) * | 2007-01-09 | 2008-07-10 | Miranda Gavillan Jose G | Retrieval and Display of Encryption Labels From an Encryption Key Manager |
CN101990773B (zh) * | 2007-01-22 | 2013-06-26 | 苹果公司 | 第一和第二认证域之间的交互工作 |
CN100544296C (zh) * | 2007-03-29 | 2009-09-23 | 王忠伟 | 一种基于互联网的远程监控系统及监控方法 |
US8374354B2 (en) * | 2007-09-27 | 2013-02-12 | Verizon Data Services Llc | System and method to pass a private encryption key |
US8199916B2 (en) * | 2007-12-26 | 2012-06-12 | International Business Machines Corporation | Selectively loading security enforcement points with security association information |
US8155130B2 (en) * | 2008-08-05 | 2012-04-10 | Cisco Technology, Inc. | Enforcing the principle of least privilege for large tunnel-less VPNs |
US20100115624A1 (en) * | 2008-11-05 | 2010-05-06 | Appsware Wireless, Llc | Method and system for securing data from a point of sale device over a lan |
US8548171B2 (en) * | 2009-02-27 | 2013-10-01 | Cisco Technology, Inc. | Pair-wise keying for tunneled virtual private networks |
US20100325719A1 (en) * | 2009-06-19 | 2010-12-23 | Craig Stephen Etchegoyen | System and Method for Redundancy in a Communication Network |
DE102010043102A1 (de) * | 2010-10-29 | 2012-05-03 | Siemens Aktiengesellschaft | Verfahren zur manipulationsgesicherten Schlüsselverwaltung |
US9117073B1 (en) * | 2013-02-08 | 2015-08-25 | Mantech Advanced Systems International, Inc. | Secure, controlled, and autonomous network path generation |
WO2015038142A1 (en) * | 2013-09-13 | 2015-03-19 | Siemens Aktiengesellschaft | Restricting communications in industrial control |
US9729580B2 (en) * | 2014-07-30 | 2017-08-08 | Tempered Networks, Inc. | Performing actions via devices that establish a secure, private network |
-
2010
- 2010-09-30 DE DE102010041804A patent/DE102010041804A1/de not_active Ceased
-
2011
- 2011-09-05 US US13/877,263 patent/US11171922B2/en active Active
- 2011-09-05 WO PCT/EP2011/065293 patent/WO2012041654A1/de active Application Filing
- 2011-09-05 EP EP11760734.1A patent/EP2572494B1/de active Active
- 2011-09-05 CN CN201180047341.9A patent/CN103119910B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040010712A1 (en) * | 2002-07-11 | 2004-01-15 | Hui Man Him | Integrated VPN/firewall system |
US20080005558A1 (en) * | 2006-06-29 | 2008-01-03 | Battelle Memorial Institute | Methods and apparatuses for authentication and validation of computer-processable communications |
US20080005791A1 (en) * | 2006-06-30 | 2008-01-03 | Ajay Gupta | Method and apparatus for supporting a virtual private network architecture on a partitioned platform |
WO2009043646A1 (de) * | 2007-09-26 | 2009-04-09 | Siemens Aktiengesellschaft | Verfahren zur herstellung einer sicheren verbindung von einem service-techniker zu einer von einem störfall betroffenen komponente einer ferndiagnostizierbaren und/oder fernwartbaren automatisierungs-umgebung |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106131357A (zh) * | 2016-08-30 | 2016-11-16 | 上海携程商务有限公司 | 基于vpn的远程座席控制系统及方法 |
DE102016222617A1 (de) | 2016-11-17 | 2018-05-17 | Siemens Aktiengesellschaft | Schutzvorrichtung und Netzwerkverkabelungsvorrichtung zur geschützten Übertragung von Daten |
EP3324596A1 (de) | 2016-11-17 | 2018-05-23 | Siemens Aktiengesellschaft | Schutzvorrichtung und netzwerkverkabelungsvorrichtung zur geschützten übertragung von daten |
CN109905402A (zh) * | 2019-03-25 | 2019-06-18 | 杭州迪普科技股份有限公司 | 基于ssl vpn的sso登录方法和装置 |
CN109905402B (zh) * | 2019-03-25 | 2021-03-23 | 杭州迪普科技股份有限公司 | 基于ssl vpn的sso登录方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
US20130191907A1 (en) | 2013-07-25 |
DE102010041804A1 (de) | 2012-04-05 |
CN103119910A (zh) | 2013-05-22 |
US11171922B2 (en) | 2021-11-09 |
EP2572494A1 (de) | 2013-03-27 |
EP2572494B1 (de) | 2018-07-11 |
CN103119910B (zh) | 2016-08-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2572494B1 (de) | Verfahren und system zur sicheren datenübertragung mit einer vpn- box | |
AT513016B1 (de) | Verfahren und Vorrichtung zur Steuerung eines Schließmechanismus mit einem mobilen Endgerät | |
DE102013206185A1 (de) | Verfahren zur Erkennung einer Manipulation eines Sensors und/oder von Sensordaten des Sensors | |
EP2929648B1 (de) | Verfahren zum aufbau einer sicheren verbindung zwischen clients | |
EP2567501B1 (de) | Verfahren zum kryptographischen schutz einer applikation | |
DE102017223099A1 (de) | Vorrichtung und Verfahren zum Übertragen von Daten zwischen einem ersten und einem zweiten Netzwerk | |
EP3157192B1 (de) | Verfahren und system für eine asymmetrische schlüsselherleitung | |
DE102017118164A1 (de) | Kryptographische schaltung und datenverarbeitung | |
EP2407843B1 (de) | Sichere Datenübertragung in einem Automatisierungsnetzwerk | |
EP3559854B1 (de) | Sicherheitsgerät und feldbussystem zur unterstützung einer sicheren kommunikation über einen feldbus | |
EP3556047A1 (de) | Programmierbares hardware-sicherheitsmodul und verfahren auf einem programmierbaren hardware-sicherheitsmodul | |
WO2019197306A1 (de) | Verfahren, vorrichtungen und computerprogrammprodukt zur überwachung einer verschlüsselten verbindung in einem netzwerk | |
DE102014219297A1 (de) | Authentisierungs-Stick | |
DE102017006200A1 (de) | Verfahren, Hardware und System zur dynamischen Datenübertragung an ein Blockchain Rechner Netzwerk zur Abspeicherung Persönlicher Daten um diese Teils wieder Blockweise als Grundlage zur End zu Endverschlüsselung verwendet werden um den Prozess der Datensammlung über das Datenübertragungsmodul weitere Daten in Echtzeit von Sensoreinheiten dynamisch aktualisiert werden. Die Blockmodule auf dem Blockchaindatenbanksystem sind unbegrenzt erweiterbar. | |
EP3767909A1 (de) | Verfahren und kommunikationseinheit zur kryptographisch geschützten unidirektionalen datenübertragung von nutzdaten zwischen zwei netzwerken | |
DE102018102608A1 (de) | Verfahren zur Benutzerverwaltung eines Feldgeräts | |
EP4097948B1 (de) | Verfahren zur datenübermittlung und kommunikationssystem | |
EP3324596B1 (de) | Schutzvorrichtung und netzwerkverkabelungsvorrichtung zur geschützten übertragung von daten | |
EP4270863B1 (de) | Sichere wiederherstellung privater schlüssel | |
DE102015225790B3 (de) | Verfahren zur Implementierung einer verschlüsselten Client-Server-Kommunikation | |
DE102022002973B3 (de) | Verfahren zur verschlüsselten Übermittlung von Daten | |
EP3267619A1 (de) | Verfahren zur herstellung einer ausfallsicherung in einem netzwerk | |
EP3422234A1 (de) | Container-image, computerprogrammprodukt und verfahren | |
DE202016103460U1 (de) | Kommunikationsteilnehmer eines Feldbussystems und Feldbussystem | |
DE102016120767A1 (de) | Computersystemanordnung, Verfahren zum Betrieb einer Computersystemanordnung und Verfahren zur Übertragung von Daten bei einer Computersystemanordnung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WWE | Wipo information: entry into national phase |
Ref document number: 201180047341.9 Country of ref document: CN |
|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 11760734 Country of ref document: EP Kind code of ref document: A1 |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2011760734 Country of ref document: EP |
|
WWE | Wipo information: entry into national phase |
Ref document number: 13877263 Country of ref document: US |
|
NENP | Non-entry into the national phase |
Ref country code: DE |