WO2015036190A1 - Method and system for the cryptographic protection of a predetermined message processing flow - Google Patents

Method and system for the cryptographic protection of a predetermined message processing flow Download PDF

Info

Publication number
WO2015036190A1
WO2015036190A1 PCT/EP2014/067193 EP2014067193W WO2015036190A1 WO 2015036190 A1 WO2015036190 A1 WO 2015036190A1 EP 2014067193 W EP2014067193 W EP 2014067193W WO 2015036190 A1 WO2015036190 A1 WO 2015036190A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
security zone
cryptographic
test
engines
Prior art date
Application number
PCT/EP2014/067193
Other languages
German (de)
French (fr)
Inventor
Uwe BLÖCHER
Rainer Falk
Steffen Fries
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2015036190A1 publication Critical patent/WO2015036190A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Definitions

  • the present invention relates to the technical field of secure exchange of data between a first security zone and a second security zone.
  • a high level of security of the Cross Domain Solution it must be ensured that all required checks and processing steps have actually been completed. Although this can be achieved by a corresponding overall solution.
  • a fixed, rigid sequence of checks is impractical for increased robustness, as well as flexibility in performing checks (e.g., depending on file type), and simpler modular compliance evidence. Nevertheless, high reliability must be achieved.
  • the patent application US2012226917A1 "Data Content Checking" (QinetiQ) discloses in particular:
  • a major disadvantage of the known cross-domain security solution architectures is that they must operate unidirectionally (i.e., have to be duplicated for a bidirectional solution). Further, in the industrial application environment, there is an increasing demand for a flexible, extensible solution to support different communication protocols and document types.
  • DE 10 2006 036 111 B3 discloses a solution for a secure transmission of a message from a first zone to a second zone, wherein in a transition zone delimited by unidirectional data diodes at least two different content layers are transmitted before forwarding a document. Tests are carried out.
  • the prior art describes that a single test component creates a digital signature upon successful verification.
  • Multi-signatures are e.g. described in:
  • source routing is known in which the sender specifies the path of a data packet (see e.g.
  • Figure 1 shows a prior art arrangement 901 for secure data exchange between two security zones 998, 999.
  • Messages 911, 912, 913, 914 are received via a combined input-output stage 902, 909 and spent.
  • Several message processing engines 903, 904, 905, 906 are provided for checking and, if necessary, processing the messages 911, 914.
  • messages 911, 912, 913, 914 are encrypted and packaged into a message container data structure.
  • the messages 911, 912, 913, 914 or the message container data structures contained therein are stored in a message container data Base (MCDB) 908 stored.
  • a message processing execution engine 907 controls the processing of the messages 911, 912, 913, 914.
  • This arrangement 901 has the advantage that a checking component 903, 904, 905, 906 is basically usable for messages 911, 912, 913, 914 in both directions , It is expandable for more than two interfaces 902, 909. For different types of data, a different subset of fundamentally possible tests can be performed. It is easy to add additional message processing engines. However, the arrangement 901 has the disadvantage that compliance with a predetermined sequence of the specified tests can not be reliably guaranteed. There is also the possibility that in the event of a malfunction of the one-output stage 902, 909, the case may arise that a message is output that has not passed all predetermined tests successfully.
  • the invention relates to a method for exchanging data between a first security zone and a second security zone.
  • the method comprises a method step according to which data is received from the first security zone at an input stage of a gateway and a method step according to which a process is carried out.
  • the process involves different required checks of the data. Processing of each of the required tests is ensured in each case by a cryptographic protective measure. It will help with The cryptographic protection measures ensure that an output stage of the gateway does not make the data or data derived from the data readable for the second security zone if at least one of the required checks has not been performed.
  • the invention relates to a system for exchanging data between a first security zone and a second security zone.
  • the system comprises an input stage, an output stage, and at least two test engines.
  • data from the first security zone can be received.
  • the output stage By means of the output stage, the data or data derived from the data can be provided for the second security zone.
  • On the at least two test engines a different required test of the data is feasible.
  • Each of the at least two check engines comprises a cryptographic protection measure with which it can be ensured that the output stage does not make the data or the derived data readable for the second security zone if at least one of the at least two required checks has not been carried out.
  • FIG. 1 shows an arrangement for secure data exchange between two security zones according to the state of the art:
  • FIG. 2 A system and a method according to an exemplary embodiment of the invention.
  • FIG. 3 A variant of the system and method of FIG.
  • Figure 4 shows a variant of the system and the method of
  • FIG. 2 shows a system 1 and a method for the cryptographically protected securing of multilevel message processing according to an exemplary embodiment of the invention.
  • the system 1 serves for the secure exchange of data 11, 12 between a first security zone 98 and a second security zone 99.
  • the system 1 comprises an input stage 2, an output stage 9 and at least two check engines 3, 4, 5.
  • the data 11 from the first security zone 98 can be received.
  • the output stage 9 the data 11 or data 11 derived from the data 11 can be provided for the second security zone 99.
  • On each of the at least two test engines 3, 4, 5 each have a different required examination of the data 11, 12 feasible.
  • Each of the at least two check engines 3, 4, 5 comprises a cryptographic protection measure 3a, 4a, 5a by means of which it can be ensured that the output stage 9 does not make the data 11, 12 readable for the second security zone 99 if at least one of the at least two required tests have not been carried out.
  • the data 11 are received by the input stage 2 according to an exemplary embodiment of the method. Thereafter, different required tests of the data 11 or data 12 derived from the data 11 are performed by the system 1. In this case, a complete execution of the required checks with the help of the cryptographic protection measures 3a, 4a, 5a ensured by using the cryptographic protection measures 3a, 4a, 5a ensures that the output stage 9, the data 11 or derived from the data 11 data 12 does not render readable for the second Security Zone 99 if at least one of the required checks has not been performed.
  • the data 11 are transmitted by means of a message sent by the security zone 98 through the input stage 2 from the first security server. ty zone 98 received.
  • the test engine 4 can change the data ,
  • One, several or all of the required checks of the data may or may also include checking not data 11 but data derived from data 11, for example data 12. An examination of from the data
  • the data 11 are not changed and the data 11 are identical to the data 12.
  • the data 11, 12 are provided by the output stage 9 for the second security zone 99.
  • Preferred embodiments of the invention make it possible to ensure that the required execution of the required checks by the check engines 3, 4, 5 is actually maintained before a message with the data 12 is readably provided or output by the output stage 9.
  • the unreadable provision of the data 11, 12 also includes not providing the data 11, 12. In other words, if the output stage 9 is the data 11,
  • the output stage 9 does not make the data 11, 12 readable for the second security zone 99 if at least one of the required checks has not been carried out, it is ensured that the output stage 9 only reads the data 11, 12 for the second Security Zone 99 provides when each of the required tests has been carried out.
  • further conditions for the provision of the data 11, 12 may be provided by the output stage 9.
  • a separate security mechanism will prevent the data 11, 12 from being output to the second security zone 99 when all necessary checks have been performed, but at least one of the required checks performed has failed.
  • Additional exemplary embodiments of the present invention therefore additionally include that a processing of each of the required checks is ensured by a cryptographic protective measure 3a, 4a, 5a, respectively, by ensuring that the output stage 9 does not store the data 11, 12 for the second Security Zone 99 readable if one of the required checks has not been successfully completed.
  • the system 1 is or comprises a gateway 1.
  • the gateway 1 may be as an integrated solution (appliance).
  • the gateway 1 carries out all required tests itself and for this purpose comprises the at least two test engines 3, 4, 5.
  • the system can be realized in the form of separate interconnected individual components, for example so that a part of the required tests are carried out by the gateway 1, while another part of the tests is outsourced. Likewise, all required tests can be outsourced.
  • the input stage 2 and the output stage 9 also each comprise a protective measure 2 a, 9 a, by means of which, in each case
  • the test engines 3, 4, 5 are preferably designed as message processing engines.
  • the system 1 is preferably bidirectionally operable so that the output stage 9 can be operated as an input stage and the input stage 2 can be operated as an output stage. step. In this connection, one also speaks of the input-output stage 2 and the input-output stage 9.
  • the required tests are each performed by a different test engine 3, 4, 5.
  • the test engines are 3, 4, 5 logical test engines.
  • the input stage 2 comprises a setting means 21 which is designed and / or adapted to determine which tests are required and / or determine in which row the required tests are to be carried out and / or depending on the type of data 11 define a workflow according to which the data 11, the at least two test engines 3, 4, 5 go through.
  • the required checks include any selection of: a format check, a range check, a font check, a data volume check, a virus scanner, a plausibility check of the contents of the data.
  • test engines 3, 4, 5 designed as test blocks can also be outsourced (eg cloud service).
  • a desired execution order can be represented graphically, for example, as in FIG.
  • database 908 and execution engine 907 do not require access to the keys.
  • the message 11 is packed into a cryptographically protected message container 2b, 3b, 4b, 5b for each forwarding to and from a check engine.
  • each of the cryptographic protection measures 3a, 4a, 5a comprises a cryptographic encryption of the data 11, 12 by means of a cryptographic key dependent on the check and / or the checking engine 2, 3, 4 comprising the respective cryptographic protection measure , k2, k3, k4, as explained in more detail with reference to FIG.
  • Figure 3 shows a sub-variant of the embodiment of Figure 2 with symmetric encryption, e.g. AES, as
  • the cryptographic protection measure 3a comprises a means for decrypting incoming messages with the key kl and for encrypting outgoing messages with the key k2.
  • the cryptographic protection measure 4a comprises a means for decrypting incoming messages with the key k2 and for encrypting outgoing messages with the key k3.
  • the cryptographic protection measure 5 comprises a means for decrypting incoming messages with the key k3 and for encrypting outgoing messages with the key k4.
  • the data 11 is received by the input stage 2 and encrypted by the latter with the key k1 of the first required check;
  • test engines 3, 4, 5 performs decryption, verification, encryption
  • test engines 3, 4, 5 involved have the corresponding key k1, k2, k3, k4, for example pre-installed, or are provided via message type-specific key management;
  • the last required checking engine 5 decrypts the incoming data 12 and forwards them to the output stage 9 as plain text or encrypted with a key k4 of the output stage.
  • the data 11, 12 are decrypted by means of the key kl, k2, k3 dependent on the required check and encrypted after carrying out the required check by means of a key k2, k3, k4 dependent on a second required check.
  • AES AES
  • other encryption methods may be used.
  • an encryption with another symmetric encryption algorithm such as IDEA, MISTY, PRESENT, 3DES, or an asymmetric encryption technique such as RSA or ECC, e.g. according to the standard PKCS # 7 or the standard "XML Encryption Syntax and Processing".
  • the system 1 comprises an encryption means, which is designed and / or adapted to encrypt the data 11 after receiving the data 11 at the input stage 2, and the cryptographic key used according to a secret sharing scheme in several shares between divide the at least two test engines and provide the at least two test engines 3, 4, 5 the respective share.
  • Each of the at least two test engines 3, 4, 5 is adapted to provide a share of the output stage 9 allocated to it only if the respective required test has been carried out.
  • a message is thus encrypted by the input stage 2.
  • a message-specific key is determined.
  • the key used is divided into several shares shl, sh2, ... according to a secret sharing scheme.
  • the output stage is only the encrypted message available, ie the encrypted data 11, 12.
  • the exam engines each know a share sh (n) provided to them, for example, by the entry level or a separate key management level. If the reviewed message is considered legal by any of the review engines, the associated secret share sh (n) is provided by the review engine. Only if all check engines provide their share can the message be decrypted by the output stage 9, which is preferably designed as an input-output stage.
  • the key used in this case is divided into several shares sh1, sh2,..., Which are made available to the test stages.
  • Output stage 9 only has access to the encrypted data 11, 12.
  • the checks can access the plaintext data or encrypted data.
  • a common key of the tests could be used or alternatively a test-dependent key.
  • a message is encrypted once according to the secret sharing procedure. This message, encrypted in this way, is provided to the output stage 9.
  • the message is encrypted with a key of the check engines 3, 4, 5, so that the check engines 3, 4, 5 can decrypt the encrypted message for a check of the message.
  • a common key can be used which is present to all test engines 3, 4, 5 or to the group of test engines 3, 4, 5 provided for an examination of this message.
  • a key of the first checking engine 3 can be used which, as described above, decrypts the message and, after successful checking, encrypts the message with a key of the second checking engine 4. Accordingly, the second checking engine 4 would decrypt the message, check it and, after a successful check, use a key of the third checking engine 5. wrenches.
  • the first and second checking engine 3, 4 would continue to provide their respective share of the output stage 9 only if the check was successful. This ensures that the output stage 9 can decrypt the encrypted data only if it has been provided by all test engines 3, 4, 5 the respective share and thus can decrypt the message.
  • a multi-signature cryptographic design with a multi-signature verification acknowledgment ensures that a valid signature is not present at the output stage 9 until each of the required tests has been performed. It is proposed to use a cryptographic multisignature construction. A valid signature is only available if each of the required test engines 3, 4, 5 has performed its calculation.
  • the multisignatures result in a cryptographic confirmation of the processing, quasi a group signature of the trained as a content scanner test engines.
  • the well-known alternative is summarizing the individual signatures of the Content Scanner.
  • this has the disadvantage that it can be seen from the individual signatures, how many and possibly also which scanners were used, is visible to the outside.
  • a valid digital signature is only present in a cryptographic multi-signature method if all required parties have calculated and provided their partial signature. If only one of the check engines did not create its partial signature, then there is no valid signature. This criterion can be tested clearly and reliably with issue level 9.
  • Output stage 9 Because of the properties of cryptographic encryption methods, this is only possible if the output stage 9 contains the encrypted message and the associated decryption key, or if a correctly signed message is present. According to preferred embodiments, in a solution using a secret sharing signature scheme, the verification engines supplement a secret-sharing signature information. Only if all the necessary shares are present is the output with the message 9 with a valid signature.
  • the permissible data flow is not achieved rigidly by physical devices (data diode) and a fixed arrangement of test components (content checking of the data), but by logical measures.
  • Data can be eg a file, an XML document, an object, for example Corba, Java RMI, DCOM, or a SOAP message.
  • the actual processing of required checks during a data transfer between two security zones is ensured by cryptographic protection measures with high reliability. Even in the case of a malfunction in which a required check is not carried out, inadmissible data traffic is prevented by cryptographic measures, since a successful decryption or successful It is not technically possible to check the signature at the output level.
  • this ensures that cryptographic safeguards ensure that a predefinable set of checks has actually been carried out before, for example, forwarding a document to another security zone. That that a requested message processing schedule has actually been processed before a message is forwarded.
  • the direction-dependent processing is ensured.
  • a specific sequence of checks can be forced. According to preferred embodiments, this is achieved by defining a "workflow", which processing steps are to be carried out before the forwarding of a message, whereby the message is forwarded between two processing steps, whereby it is protected by a cryptographic key dependent on the processing step Depending on a processing step, the next processing step can also be included, which means that processing steps can not be skipped.
  • a classification of the message can take place for different types of data at the input stage 2 and / or the output stage 9, and depending on this a set of required tests can be determined according to the specific message.
  • Zone 98 and / or the second security zone 99 An operating state of a system of the first security
  • security zone 98 may describe whether a maintenance mode or a regular operating mode exists.
  • the gateway 1 after receiving the data 11 at the input stage 2 of the gateway 1, it is determined in which order the necessary checks are to be performed, preferably by the data passing through the check engines 3, 4, 5 in a given workflow and / or preferably depending on the type of data 11 and / or depending on an operating state of a system of the first security zone 98 and / or the second security zone 99.
  • FIG. 4 shows variants of the exemplary embodiments of FIGS. 2 and 3 according to preferred embodiments of the invention, which enable an optimization of the message-specific checking workflow.
  • the incoming data 11 are classified at input level 2.
  • a test workflow is determined.
  • a workflow information is generated, which describes which tests or which test engines 3, 4, 5 are to go through for the information 11.
  • the check workflow is preferably protected with a cryptographic checksum, for example a digital signature or a message authentication code. Via a hash value of the information 11, which is covered by the cryptographic checksum, a non-manipulatable binding to the information 11 can be established.
  • the information 11 is packed together with the associated checking workflow pwf into a message container 2b, 3b, 4b, 5b.
  • the individual test units 3, 4, 5 add in the 3b, 4b, 5b after successful examination in each case a confirmation 3d, 4d, 5d, for example in the form of a protected by a cryptographic checksum attestation.
  • An attestation can also confirm the negative test result. This makes it possible to distinguish between a missing test and a test with a negative test result.
  • the output stage 9 serving as the starting component only forwards the information 11, 12 if in the message container of a message m all the tests specified in the check workflow are confirmed as successful.
  • the described method of protecting the workflow as it passes through a security zone between two zones of different security levels may also be generally referred to general workflows, e.g. in the manufacturing industry or in business processes.
  • an object to be processed can be assigned a "pass-through plan" by a production method as described above, which is particularly advantageous if not only one manufacturer is involved in the production, but different production steps must be performed by different manufacturers
  • the complete run through the production and, secondly, the sequence of the processing steps The same applies to workflows in IT systems where, for example, documents have to be released.
  • the advantage of the described methods and system lies in the possibility of being able to pass through a defined quantity of content scanners in a verifiable manner.
  • the order in which the content scanners are used can also be specified.

Abstract

The invention relates to a method for exchanging data (11, 12) between a first security zone (98) and a second security zone (99), comprising the following method steps: receiving data (11) from the first security zone (98) at an input stage (2) of a gateway (1); and carrying out a process involving different required data (11) checks, each processing instance of every required check being guaranteed by a cryptographical protective measure (3a, 4a, 5a), wherein, said cryptographical protective measures (3a, 4a, 5a) help to ensure that an output stage (9) of the gateway (1) does not provide the data (11), or the data (12) derived from the data, to the second security zone (99) in a readable format if at least one of the required checks was not carried out.

Description

Beschreibung description
Verfahren und System zur kryptographischen Absicherung eines vorgegebenen Nachrichtenbearbeitungsflusses Method and system for cryptographically securing a given message processing flow
Die vorliegende Erfindung betrifft das technische Gebiet des sicheren Austausches von Daten zwischen einer ersten Securi- ty-Zone und einer zweiten Security-Zone . Für eine hohe Sicherheit der Cross Domain Solution muss sichergestellt sein, dass alle erforderlichen Prüfungen, Bearbeitungsschritte tatsächlich durchlaufen wurden. Dies kann zwar durch eine entsprechende Gesamtlösung erreicht werden. Für eine erhöhte Robustheit, sowie Flexibilität welche Prü- fungen durchzuführen sind (z.B. abhängig von Dateityp), sowie eine einfachere modulare Nachweisführung der Compliance, ist eine feste, starre Abfolge der Prüfungen jedoch unpraktisch. Dennoch muss eine hohe Zuverlässigkeit erreicht werden. In der Patentanmeldung US2012226917A1 „Data Content Checking" (QinetiQ) ist insbesondere offenbart: The present invention relates to the technical field of secure exchange of data between a first security zone and a second security zone. For a high level of security of the Cross Domain Solution, it must be ensured that all required checks and processing steps have actually been completed. Although this can be achieved by a corresponding overall solution. However, a fixed, rigid sequence of checks is impractical for increased robustness, as well as flexibility in performing checks (e.g., depending on file type), and simpler modular compliance evidence. Nevertheless, high reliability must be achieved. The patent application US2012226917A1 "Data Content Checking" (QinetiQ) discloses in particular:
• Content Checking mit separater Input-Stufe und Output Stufe (Fig 3) sowie mit kombinierter Input-Output-Stufe (Fig 2) • Content checking with separate input stage and output stage (Fig. 3) as well as with combined input-output stage (Fig. 2)
• Verwendung mehrerer Content Checker :Anordnung mehrerer Prüfstufen hintereinander, parallel oder dezentral über Datenbank (Fig 5, Fig 6, Fig 7) • Use of multiple Content Checker: Arrangement of several test stages in succession, parallel or decentralized via database (FIG. 5, FIG. 6, FIG. 7)
• Verschlüsselung von eingehendem Content durch Input- Stufe; Entschlüsselung von ungeprüftem Content und digitale Signatur (Fig 8) . Es ist sichergestellt, dass die Output- Stufe keine ungeprüften Daten ausgeben kann, da sie den Ent- schlüsselungsschlüssel nicht kennt. Daten-Dioden sind bekannt, um durch physikalische oder teilweise auch nur logische Schutzmaßnahmen zu gewährleisten, dass nur eine unidirektionale Datenkommunikation stattfindet. Im behördlichen Umfeld sind Cross-Domain Security Solutions („Datenschleuse") bekannt, die einen kontrollierten Dokumentenaustausch zwischen zwei Security-Zonen ermöglichen. Neben Datendioden werden dabei Filterungen nach Schadsoftware und des Dokumentenformats bzw. der Einstufung eines Dokuments durchgeführt. Für eine bidirektionale Kommunikation ist dabei eine solche Datenschleuse separat für jede Kommunikationsrichtung, das heißt doppelt vorzusehen. • Encryption of incoming content by input level; Decryption of unchecked content and digital signature (Fig 8). It is ensured that the output stage can not output unchecked data because it does not know the decryption key. Data diodes are known to ensure by physical or partially even only logical protective measures that only a unidirectional data communication takes place. Regulatory environments include cross-domain security solutions that allow for controlled document interchange between two security zones, including data diodes, malware filtering, and the document format or classification of a document In this case, such a data lock separately for each communication direction, that is to provide twice.
Ein wesentlicher Nachteil der bekannten Architekturen einer Cross-Domain Security Solution ist, dass diese unidirektional arbeiten (d.h. für eine bidirektionale Lösung doppelt vorgesehen sein müssen) . Weiterhin besteht im industriellen Anwendungsumfeld ein zunehmender Bedarf an einer flexiblen, erweiterbaren Lösung, um unterschiedliche Kommunikationsprotokolle und Dokumententypen zu unterstützen. A major disadvantage of the known cross-domain security solution architectures is that they must operate unidirectionally (i.e., have to be duplicated for a bidirectional solution). Further, in the industrial application environment, there is an increasing demand for a flexible, extensible solution to support different communication protocols and document types.
Von DE 10 2006 036 111 B3 (Siemens) ist eine Lösung für ein sicheres Übertragen einer Nachricht von einer ersten Zone in eine zweite Zone bekannt, wobei in einer durch unidirektiona- le Datendioden abgegrenzten Transition Zone vor dem Weiterleiten eines Dokuments zumindest zwei unterschiedliche Content-Prüfungen erfolgen. DE 10 2006 036 111 B3 (Siemens) discloses a solution for a secure transmission of a message from a first zone to a second zone, wherein in a transition zone delimited by unidirectional data diodes at least two different content layers are transmitted before forwarding a document. Tests are carried out.
Von US 2012/0226914 AI (QinetiQ) ist bekannt, mehrere Content Checker zur Prüfung eines Dokuments in einer parallelen Anordnung vorzusehen. From US 2012/0226914 AI (QinetiQ) it is known to provide several Content Checker for checking a document in a parallel arrangement.
Von US 2012/0226917 AI (QinetiQ) ist bekannt, dass eingehende Dateien vor einer Prüfung verschlüsselt werden (dadurch kann von ihnen kein Schaden ausgehen) . Ein Content Checker entschlüsselt das Dokument und signiert es digital, wenn er es erfolgreich überprüft hat. Von WO 2012/170485 AI (Adventium) ist bekannt, eine Cross Domain Security Lösung in einer virtualisierten Ausführungsumgebung zu realisieren. Dabei sind separate virtuelle Maschinen für die einzelnen Komponenten der Cross Domain Security Solution vorgesehen. From US 2012/0226917 AI (QinetiQ) is known that incoming files are encrypted before an exam (thereby they can not be harmed). A content checker decrypts the document and digitally signs it when it has successfully verified it. From WO 2012/170485 Al (Adventium) is known to realize a cross-domain security solution in a virtualized execution environment. Separate virtual machines are provided for the individual components of the Cross Domain Security Solution.
Methoden zum Secret Sharing ist allgemein bekannt, siehe z.B. http://en.wikipedia.org/wiki/Secret_sharing . Dabei ist ein Geheimnis nur ermittelbar wenn mehrere Teilinformationen zu- sammengeführt werden. Secret sharing methods are well known, see e.g. http://en.wikipedia.org/wiki/Secret_sharing. A secret can only be ascertained if several pieces of information are merged.
Im Stand der Technik ist beschrieben, dass eine einzelne Prüfkomponente bei erfolgreicher Prüfung eine digitale Signatur erstellt. The prior art describes that a single test component creates a digital signature upon successful verification.
Multisignaturen sind z.B. beschrieben in: Multi-signatures are e.g. described in:
http : //Charlotte . ucsd . edu/~mihir/papers/id- multisignatures.pdf , http://www.informatica.si/PDF/34- 4/12_Shao- Multisignatur- e%20Scheme%20Based%20on%20Discrete%2 OLogarith.pdf http: // Charlotte. ucsd. edu / ~ mihir / papers / id- multisignatures.pdf, http://www.informatica.si/PDF/34- 4/12_Shao- Multisignatur- e% 20Scheme% 20Based% 20on% 20Discrete% 2 OLogarith.pdf
Bei der paketvermittelten Datenkommunikation, z.B. der IP- Kommunikation , ist ein Source Routing bekannt, bei dem der Sender den Pfad eines Datenpakets vorgibt (siehe z.B. In packet switched data communication, e.g. IP communication, source routing is known in which the sender specifies the path of a data packet (see e.g.
http : //de . wikipedia . org/wiki/Source_Routing) . http: // en. wikipedia. org / wiki / Source_Routing).
Figur 1 zeigt eine Anordnung 901 gemäß dem Stand der Technik zum sicheren Datenaustausch zwischen zwei Security-Zonen 998, 999. Über eine kombinierte Ein-Ausgabe-Stufe ( input-output stage) 902, 909 werden Nachrichten 911, 912, 913, 914 empfangen und ausgegeben. Mehrere Message Processing Engines 903, 904, 905, 906 sind vorgesehen, um die Nachrichten 911, 914 zu prüfen und ggf. zu bearbeiten. Während der Bearbeitung werden die Nachrichten 911, 912, 913, 914 verschlüsselt und in eine Message Container Datenstruktur verpackt. Die Nachrichten 911, 912, 913, 914 bzw. die diese enthaltenen Message Container Datenstrukturen werden in einem Message Container Data Base (MCDB) 908 abgelegt. Eine Message Processing Execution Engine 907 steuert die Bearbeitung der Nachrichten 911, 912, 913, 914. Diese Anordnung 901 hat den Vorteil, dass eine Prüfkomponente 903, 904, 905, 906 grundsätzlich für Nachrichten 911, 912, 913, 914 beider Richtungen verwendbar ist. Sie ist für mehr als zwei Schnittstellen 902, 909 erweiterbar. Für unterschiedliche Datenarten kann eine unterschiedliche Teilmenge von grundsätzlich möglichen Prüfungen durchgeführt werden. Es können einfach zusätzliche Message Processing Engines ergänzt werden. Die Anordnung 901 hat jedoch den Nachteil, dass die Einhaltung einer vorgegebenen Reihenfolge der vorgegebenen Prüfungen nicht zuverlässig gewährleistet werden kann. Auch besteht die Möglichkeit, dass bei einer Fehlfunktion der EinAusgabe-Stufe 902, 909 der Fall auftreten kann, dass eine Nachricht ausgegeben wird, die nicht alle vorgegebenen Prüfungen erfolgreich durchlaufen hat. Es besteht ein Bedarf an einer flexiblen Lösung zum sicheren Austausch von Daten zwischen zwei Security-Zonen (z.B. Zonen nach ISO/IEC62443) . Es ist Aufgabe der vorliegenden Erfindung diesem Bedarf nachzukommen. Diese Aufgabe wird durch die in den unabhängigen Ansprüchen beschriebenen Lösungen gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind in weiteren Ansprüchen angegeben. Figure 1 shows a prior art arrangement 901 for secure data exchange between two security zones 998, 999. Messages 911, 912, 913, 914 are received via a combined input-output stage 902, 909 and spent. Several message processing engines 903, 904, 905, 906 are provided for checking and, if necessary, processing the messages 911, 914. During processing, messages 911, 912, 913, 914 are encrypted and packaged into a message container data structure. The messages 911, 912, 913, 914 or the message container data structures contained therein are stored in a message container data Base (MCDB) 908 stored. A message processing execution engine 907 controls the processing of the messages 911, 912, 913, 914. This arrangement 901 has the advantage that a checking component 903, 904, 905, 906 is basically usable for messages 911, 912, 913, 914 in both directions , It is expandable for more than two interfaces 902, 909. For different types of data, a different subset of fundamentally possible tests can be performed. It is easy to add additional message processing engines. However, the arrangement 901 has the disadvantage that compliance with a predetermined sequence of the specified tests can not be reliably guaranteed. There is also the possibility that in the event of a malfunction of the one-output stage 902, 909, the case may arise that a message is output that has not passed all predetermined tests successfully. There is a need for a flexible solution for the secure exchange of data between two security zones (eg zones according to ISO / IEC62443). It is an object of the present invention to meet this need. This object is achieved by the solutions described in the independent claims. Advantageous embodiments of the invention are specified in further claims.
Gemäß einem ersten Aspekt betrifft die Erfindung ein Verfah- ren zum Austausch von Daten zwischen einer ersten Security- Zone und einer zweiten Security-Zone . Das Verfahren umfasst einen Verfahrensschritt gemäß welchem Daten von der ersten Security-Zone an einer Eingabestufe eines Gateways empfangen werden und einen Verfahrensschritt gemäß welchem ein Prozess durchgeführt wird. Der Prozess umfasst unterschiedliche erforderliche Prüfungen der Daten. Eine Abarbeitung jeder der erforderlichen Prüfungen wird jeweils durch eine kryptogra- phische Schutzmaßnahme gewährleistet. Dabei wird mit Hilfe der kryptographischen Schutzmaßnahmen sichergestellt, dass eine Ausgabestufe des Gateways die Daten oder aus den Daten abgeleiteten Daten nicht für die zweite Security Zone lesbar bereitstellt, wenn zumindest eine der erforderlichen Prüfungen nicht durchgeführt worden ist. According to a first aspect, the invention relates to a method for exchanging data between a first security zone and a second security zone. The method comprises a method step according to which data is received from the first security zone at an input stage of a gateway and a method step according to which a process is carried out. The process involves different required checks of the data. Processing of each of the required tests is ensured in each case by a cryptographic protective measure. It will help with The cryptographic protection measures ensure that an output stage of the gateway does not make the data or data derived from the data readable for the second security zone if at least one of the required checks has not been performed.
Gemäß einem weiteren Aspekt betrifft die Erfindung ein System zum Austausch von Daten zwischen einer ersten Security-Zone und einer zweiten Security-Zone. Das System umfasst eine Eingabestufe, eine Ausgabestufe und mindestens zwei Prüf- Engines. Mittels der Eingabestufe sind Daten von der ersten Security-Zone empfangbar. Mittels der Ausgabestufe sind die Daten oder aus den Daten abgeleitete Daten für die zweite Security-Zone bereitstellbar . Auf den mindestens zwei Prüf- Engines ist jeweils eine unterschiedliche erforderliche Prüfung der Daten durchführbar. Jede der mindestens zwei Prüf- Engines umfasst eine kryptographische Schutzmaßnahme, mit Hilfe welcher jeweils sicherstellbar ist, dass die Ausgabestufe die Daten oder die abgeleiteten Daten nicht für die zweite Security Zone lesbar bereitstellt, wenn zumindest eine der mindestens zwei erforderlichen Prüfungen nicht durchgeführt worden ist. According to a further aspect, the invention relates to a system for exchanging data between a first security zone and a second security zone. The system comprises an input stage, an output stage, and at least two test engines. By means of the input stage data from the first security zone can be received. By means of the output stage, the data or data derived from the data can be provided for the second security zone. On the at least two test engines a different required test of the data is feasible. Each of the at least two check engines comprises a cryptographic protection measure with which it can be ensured that the output stage does not make the data or the derived data readable for the second security zone if at least one of the at least two required checks has not been carried out.
Die Erfindung wird nachfolgend anhand der Figuren beispielsweise näher erläutert. Dabei zeigen: The invention will be explained in more detail with reference to the figures, for example. Showing:
Figur 1 Eine Anordnung zum sicheren Datenaustausch zwischen zwei Security-Zonen gemäß dem Stand der Tech: Figur 2 Ein System und ein Verfahren gemäß einem Ausfüh- rungsbeispiel der Erfindung. 1 shows an arrangement for secure data exchange between two security zones according to the state of the art: FIG. 2 A system and a method according to an exemplary embodiment of the invention.
Figur 3 Eine Variante des Systems und des Verfahrens von FIG. 3 A variant of the system and method of FIG
Figur 2;  Figure 2;
Figur 4 Eine Variante des Systems und des Verfahrens von Figure 4 shows a variant of the system and the method of
Figur 2 sowie von Figur 3. Figur 2 zeigt ein System 1 und ein Verfahren zur kryptogra- phisch geschützten Sicherstellung einer mehrstufigen Nachrichtenbearbeitung gemäß einem Ausführungsbeispiel der Erfindung. Das System 1 dient dem sicheren Austausch von Daten 11, 12 zwischen einer ersten Security-Zone 98 und einer zweiten Security-Zone 99. Das System 1 umfasst eine Eingabestufe 2, eine Ausgabestufe 9 und mindestens zwei Prüf-Engines 3, 4, 5. Mittels der Eingabestufe 2 sind die Daten 11 von der ersten Security-Zone 98 empfangbar. Mittels der Ausgabestufe 9 sind die Daten 11 oder aus den Daten 11 abgeleitete Daten 12 für die zweite Security-Zone 99 bereitstellbar. Auf jeder der mindestens zwei Prüf-Engines 3, 4, 5 ist jeweils eine unterschiedliche erforderliche Prüfung der Daten 11, 12 durchführbar. Jede der mindestens zwei Prüf-Engines 3, 4, 5 umfasst eine kryptographische Schutzmaßnahme 3a, 4a, 5a mittels welcher jeweils sicherstellbar ist, dass die Ausgabestufe 9 die Daten 11, 12 nicht für die zweite Security Zone 99 lesbar bereitstellt, wenn zumindest eine der mindestens zwei erforderlichen Prüfungen nicht durchgeführt worden ist. FIG. 2 and FIG. 3. FIG. 2 shows a system 1 and a method for the cryptographically protected securing of multilevel message processing according to an exemplary embodiment of the invention. The system 1 serves for the secure exchange of data 11, 12 between a first security zone 98 and a second security zone 99. The system 1 comprises an input stage 2, an output stage 9 and at least two check engines 3, 4, 5. By means of the input stage 2, the data 11 from the first security zone 98 can be received. By means of the output stage 9, the data 11 or data 11 derived from the data 11 can be provided for the second security zone 99. On each of the at least two test engines 3, 4, 5 each have a different required examination of the data 11, 12 feasible. Each of the at least two check engines 3, 4, 5 comprises a cryptographic protection measure 3a, 4a, 5a by means of which it can be ensured that the output stage 9 does not make the data 11, 12 readable for the second security zone 99 if at least one of the at least two required tests have not been carried out.
Um die Daten 11, 12 zwischen der ersten Security-Zone 98 und der zweiten Security-Zone 99 auszutauschen werden gemäß einem Ausführungsbeispiel des Verfahrens die Daten 11 von der Eingabestufe 2 empfangen. Danach werden durch das System 1 un- terschiedliche erforderliche Prüfungen der Daten 11 oder aus den Daten 11 abgeleitete Daten 12 durchgeführt. Dabei wird eine vollständige Abarbeitung der erforderlichen Prüfungen mit Hilfe der kryptographischen Schutzmaßnahmen 3a, 4a, 5a gewährleistet, indem mit Hilfe der kryptographischen Schutz- maßnahmen 3a, 4a, 5a sichergestellt wird, dass die Ausgabestufe 9 die Daten 11 oder aus den Daten 11 abgeleitete Daten 12 nicht für die zweite Security Zone 99 lesbar bereitstellt, wenn mindestens eine der erforderlichen Prüfungen nicht durchgeführt worden ist. In order to exchange the data 11, 12 between the first security zone 98 and the second security zone 99, the data 11 are received by the input stage 2 according to an exemplary embodiment of the method. Thereafter, different required tests of the data 11 or data 12 derived from the data 11 are performed by the system 1. In this case, a complete execution of the required checks with the help of the cryptographic protection measures 3a, 4a, 5a ensured by using the cryptographic protection measures 3a, 4a, 5a ensures that the output stage 9, the data 11 or derived from the data 11 data 12 does not render readable for the second Security Zone 99 if at least one of the required checks has not been performed.
In dem in Figur 2 dargestellten Ausführungsbeispiel werden die Daten 11 mittels einer von der Security-Zone 98 versendeten Nachricht durch die Eingabestufe 2 von der ersten Securi- ty-Zone 98 empfangen. Während der durch das System 1 vorgenommenen Prüfungen können auch Bearbeitungen der Daten 11 vorgenommen werden, aus den Daten 11 also abgeleitete Daten 12 erzeugt werden, da wie in Figuren 2-4 dargestellt bei- spielsweise die Prüf-Engine 4 eine Veränderung der Daten vornehmen kann. In the exemplary embodiment illustrated in FIG. 2, the data 11 are transmitted by means of a message sent by the security zone 98 through the input stage 2 from the first security server. ty zone 98 received. During the tests carried out by the system 1, it is also possible to carry out processing of the data 11, thus deriving data 12 derived from the data 11, since, as shown in FIGS. 2-4, for example, the test engine 4 can change the data ,
Eine, mehrere oder alle der erforderlichen Prüfungen der Daten kann oder können auch umfassen, dass nicht die Daten 11, sondern aus den Daten 11 abgeleitete Daten, beispielsweise die Daten 12, geprüft werden. Eine Prüfung von aus den DatenOne, several or all of the required checks of the data may or may also include checking not data 11 but data derived from data 11, for example data 12. An examination of from the data
11 abgeleiteten Daten ist somit nach den Gesetzen der Logik und im Rahmen dieses Dokuments auch als Prüfung der Daten 11 aufzufassen . 11 derived data is therefore to be understood in accordance with the laws of logic and in the context of this document as an examination of the data 11.
Gemäß bevorzugten Ausführungsformen werden die Daten 11 jedoch nicht verändert und die Daten 11 sind identisch mit den Daten 12. Mittels einer Nachricht werden die Daten 11, 12 durch die Ausgabestufe 9 für die zweite Security-Zone 99 be- reitgestellt. However, according to preferred embodiments, the data 11 are not changed and the data 11 are identical to the data 12. By means of a message, the data 11, 12 are provided by the output stage 9 for the second security zone 99.
Bevorzugte Ausführungsformen der Erfindung ermöglichen es sicherzustellen, dass die geforderte Abarbeitung der erforderlichen Prüfungen durch die Prüf-Engines 3, 4, 5 tatsächlich eingehalten wird, bevor eine Nachricht mit den Daten 12 von der Ausgabestufe 9 lesbar bereitgestellt oder ausgegeben wird. Nach den Gesetzen der Logik und im Rahmen dieser Erfindung umfasst das nicht lesbare Bereitstellen der Daten 11, 12 selbstverständlich auch das nicht Bereitstellen der Daten 11, 12. Mit andern Worten, wenn die Ausgabestufe 9 die Daten 11,Preferred embodiments of the invention make it possible to ensure that the required execution of the required checks by the check engines 3, 4, 5 is actually maintained before a message with the data 12 is readably provided or output by the output stage 9. Of course, according to the laws of logic and within the scope of this invention, the unreadable provision of the data 11, 12 also includes not providing the data 11, 12. In other words, if the output stage 9 is the data 11,
12 nicht bereitstellt, so sind die Daten 11, 12 zwangsläufig auch nicht lesbar bereitgestellt. 12 does not provide, so the data 11, 12 are inevitably provided unreadable.
Indem die Ausgabestufe 9 die Daten 11, 12 nicht für die zwei- te Security Zone 99 lesbar bereitstellt, wenn mindestens eine der erforderlichen Prüfungen nicht durchgeführt worden ist, wird sichergestellt, dass die Ausgabestufe 9 die Daten 11, 12 nur dann lesbar für die zweite Security-Zone 99 bereitstellt, wenn jede der erforderlichen Prüfungen durchgeführt worden ist. Selbstverständlich können auch weitere Bedingungen für das Bereitstellen der Daten 11, 12 durch die Ausgabestufe 9 vorgesehen sein. In der Regel wird ein separater Sicherheits- mechanismus verhindern, dass die Daten 11, 12 an die zweite Security-Zone 99 ausgegeben werden, wenn zwar alle erforderlichen Prüfungen durchgeführt wurden, mindestens eine der durchgeführten erforderlichen Prüfungen jedoch nicht erfolgreich war. Weitere Ausführungsbeispiele der vorliegenden Er- findung umfassen somit zusätzlich, dass eine Abarbeitung jeder der erforderlichen Prüfungen jeweils durch eine kryptog- raphische Schutzmaßnahme 3a, 4a, 5a gewährleistet wird, indem sichergestellt wird, dass die Ausgabestufe 9 die Daten 11, 12 nicht für die zweite Security Zone 99 lesbar bereitstellt, wenn eine der erforderlichen Prüfungen nicht erfolgreich durchgeführt worden ist. Since the output stage 9 does not make the data 11, 12 readable for the second security zone 99 if at least one of the required checks has not been carried out, it is ensured that the output stage 9 only reads the data 11, 12 for the second Security Zone 99 provides when each of the required tests has been carried out. Of course, further conditions for the provision of the data 11, 12 may be provided by the output stage 9. In general, a separate security mechanism will prevent the data 11, 12 from being output to the second security zone 99 when all necessary checks have been performed, but at least one of the required checks performed has failed. Additional exemplary embodiments of the present invention therefore additionally include that a processing of each of the required checks is ensured by a cryptographic protective measure 3a, 4a, 5a, respectively, by ensuring that the output stage 9 does not store the data 11, 12 for the second Security Zone 99 readable if one of the required checks has not been successfully completed.
Vorzugsweise ist oder umfasst das System 1 ein Gateway 1. Das Gateway 1 kann als eine integrierte Lösung (Appliance) sein. In diesem Fall führt das Gateway 1 alle erforderlichen Prüfungen selbst durch und umfasst dazu die mindestens zwei Prüf-Engines 3, 4, 5. Alternativ dazu kann das System in Form von separaten, miteinander verbundenen Einzelkomponenten realisiert werden, beispielsweise sodass ein Teil der erforder- liehen Prüfungen durch das Gateway 1 durchgeführt wird, während ein anderer Teil der Prüfungen ausgelagert wird. Ebenso können alle erforderlichen Prüfungen ausgelagert werden. Preferably, the system 1 is or comprises a gateway 1. The gateway 1 may be as an integrated solution (appliance). In this case, the gateway 1 carries out all required tests itself and for this purpose comprises the at least two test engines 3, 4, 5. Alternatively, the system can be realized in the form of separate interconnected individual components, for example so that a part of the required tests are carried out by the gateway 1, while another part of the tests is outsourced. Likewise, all required tests can be outsourced.
In dem in Figur 2 dargestellten Ausführungsbeispiel umfassen auch die Eingabestufe 2 und die Ausgabestufe 9 jeweils eine Schutzmaßnahme 2a, 9a, mit Hilfe welcher jeweils In the exemplary embodiment illustrated in FIG. 2, the input stage 2 and the output stage 9 also each comprise a protective measure 2 a, 9 a, by means of which, in each case
sicherstellbar ist, dass die Ausgabestufe 9 die Daten 11, 12 nicht für die zweite Security Zone 99 lesbar bereitstellt. Die Prüf-Engines 3, 4, 5 sind vorzugsweise als Message Pro- cessing Engines ausgestaltet. Das System 1 ist vorzugsweise bidirektional betreibbar, sodass die Ausgabestufe 9 als Eingabestufe betreibbar ist und die Eingabestufe 2 als Ausgabe- stufe. In diesem Zusammenhang spricht man auch von der Eingabe-Ausgabe-Stufe 2 und der Eingabe-Ausgabe-Stufe 9. It can be ensured that the output stage 9 does not make the data 11, 12 readable for the second security zone 99. The test engines 3, 4, 5 are preferably designed as message processing engines. The system 1 is preferably bidirectionally operable so that the output stage 9 can be operated as an input stage and the input stage 2 can be operated as an output stage. step. In this connection, one also speaks of the input-output stage 2 and the input-output stage 9.
Vorzugsweise werden die erforderlichen Prüfungen jeweils durch eine unterschiedliche Prüf-Engine 3, 4, 5 durchgeführt. Vorzugsweise sind die Prüf-Engines 3, 4, 5 logische Prüf- Engines . Preferably, the required tests are each performed by a different test engine 3, 4, 5. Preferably, the test engines are 3, 4, 5 logical test engines.
Gemäß bevorzugten Ausführungsbeispielen umfasst die Eingabe- stufe 2 ein Festlegungsmittel 21 welches ausgestaltet und/oder adaptiert ist, in Abhängigkeit von der Art der Daten 11 festzulegen, welche Prüfungen erforderlich sind und/oder festzulegen, in welcher Reihe die erforderlichen Prüfungen durchzuführen sind und/oder einen Workflow festzulegen, gemäß dem die Daten 11 die mindestens zwei Prüf-Engines 3, 4, 5 durchlaufen . According to preferred embodiments, the input stage 2 comprises a setting means 21 which is designed and / or adapted to determine which tests are required and / or determine in which row the required tests are to be carried out and / or depending on the type of data 11 define a workflow according to which the data 11, the at least two test engines 3, 4, 5 go through.
Gemäß bevorzugten Ausführungsbeispielen umfassen die erforderlichen Prüfungen eine beliebige Auswahl aus: eine Format- Prüfung, eine Wertebereichsprüfung, eine Zeichensatzprüfung, eine Datenumfangsprüfung, einen Viren-Scanner, eine Prüfung einer Plausibilität der Inhalte der Daten. In preferred embodiments, the required checks include any selection of: a format check, a range check, a font check, a data volume check, a virus scanner, a plausibility check of the contents of the data.
Die als Prüfblöcke ausgebildeten Prüf-Engines 3, 4, 5 können auch ausgelagert sein (z.B. Cloud Service) . Eine gewünschte Abarbeitungsreihenfolge kann graphisch z.B. wie in Figur 2 dargestellt werden. Durch die kryptographischen Schutzmaßnahmen 2a, 3a, 4a, 5a, 9a wird erreicht, dass eine andere Abarbeitungsreihenfolge nicht möglich ist, da ansonsten erforder- liehen Schlüssel den beteiligten Komponenten 2, 3, 4, 5, 9 nicht vorliegen. Im Vergleich zu dem in Figur 1 dargestellten Stand der Technik benötigen Datenbank 908 und die Execution Engine 907 keinen Zugriff auf die Schlüssel. Die Nachricht 11 wird dazu beispielsweise für jede Weiterreichung zu und von einer Prüf-Engine in einen kryptographisch geschützten Message Container 2b, 3b, 4b, 5b eingepackt. Gemäß bevorzugten Ausführungsbeispielen umfasst jede der kryptographischen Schutzmaßnahme 3a, 4a, 5a eine kryptogra- phische Verschlüsselung der Daten 11, 12 mittels eines von der Prüfung und/oder von der die jeweilige kryptographische Schutzmaßnahme umfassenden Prüf-Engine 2, 3, 4 abhängigen kryptographischen Schlüssels kl, k2, k3, k4, wie anhand von Figur 3 detaillierter ausgeführt. The test engines 3, 4, 5 designed as test blocks can also be outsourced (eg cloud service). A desired execution order can be represented graphically, for example, as in FIG. By means of the cryptographic protective measures 2a, 3a, 4a, 5a, 9a, it is achieved that a different execution order is not possible since otherwise required keys do not exist for the components 2, 3, 4, 5, 9 involved. Compared to the prior art illustrated in FIG. 1, database 908 and execution engine 907 do not require access to the keys. For example, the message 11 is packed into a cryptographically protected message container 2b, 3b, 4b, 5b for each forwarding to and from a check engine. According to preferred exemplary embodiments, each of the cryptographic protection measures 3a, 4a, 5a comprises a cryptographic encryption of the data 11, 12 by means of a cryptographic key dependent on the check and / or the checking engine 2, 3, 4 comprising the respective cryptographic protection measure , k2, k3, k4, as explained in more detail with reference to FIG.
Figur 3 zeigt eine Untervariante des Ausführungsbeispiels von Figur 2 mit symmetrischer Verschlüsselung, z.B. AES, alsFigure 3 shows a sub-variant of the embodiment of Figure 2 with symmetric encryption, e.g. AES, as
Schutzmaßnahme. In Figur 3 werden daher die kryptographischen Schutzmaßnahmen 3a, 3b, 3c weiter spezifiziert. Die kryptographische Schutzmaßnahme 3a umfasst ein Mittel zur Entschlüsselung eingehender Nachrichten mit dem Schlüssel kl und zur Verschlüsselung von ausgehenden Nachrichten mit dem Schlüssel k2. Die kryptographische Schutzmaßnahme 4a umfasst ein Mittel zur Entschlüsselung eingehender Nachrichten mit dem Schlüssel k2 und zur Verschlüsselung von ausgehenden Nachrichten mit dem Schlüssel k3. Die kryptographische Schutzmaßnahme 5 um- fasst ein Mittel zur Entschlüsselung eingehender Nachrichten mit dem Schlüssel k3 und zur Verschlüsselung von ausgehenden Nachrichten mit dem Schlüssel k4.Das Verfahren und die Protective measure. In FIG. 3, therefore, the cryptographic protective measures 3a, 3b, 3c are specified further. The cryptographic protection measure 3a comprises a means for decrypting incoming messages with the key kl and for encrypting outgoing messages with the key k2. The cryptographic protection measure 4a comprises a means for decrypting incoming messages with the key k2 and for encrypting outgoing messages with the key k3. The cryptographic protection measure 5 comprises a means for decrypting incoming messages with the key k3 and for encrypting outgoing messages with the key k4. The method and the
Schlüsselverteilung erfolgt beispielsweise gemäß den folgenden Abarbeitungsschritten: Key distribution occurs, for example, according to the following processing steps:
Die Daten 11 werden von der Eingabestufe 2 empfangen und von dieser mit dem Schlüssel kl der ersten erforderlichen Prüfung verschlüsselt; The data 11 is received by the input stage 2 and encrypted by the latter with the key k1 of the first required check;
Jede der als Zwischenstufen ausgebildeten Prüf-Engines 3, 4, 5 führt Entschlüsselung, Prüfung, Verschlüsselung durch;  Each of the intermediate stages test engines 3, 4, 5 performs decryption, verification, encryption;
Für jede Weitergabe zwischen zwei Stufen (und von der Eingabestufe 2 und zu der Ausgabestufe 9) wird ein separater Schlüssel kl, k2, k3, k4 verwendet;  For each relay between two stages (and from input stage 2 and to output stage 9) a separate key kl, k2, k3, k4 is used;
Die beteiligten Prüf-Engines 3, 4, 5 verfügen über den entsprechenden Schlüssel kl, k2, k3, k4, beispielsweise voreingerichtet, oder bekommen ihn über ein Nachrichtentypspezifisches Key Management bereitgestellt; Die letzte erforderliche Prüf-Engine 5 entschlüsselt die bei ihr eingehenden Daten 12 und leitet diese an die Ausgabestufe 9 als Klartext oder verschlüsselt mit einem Schlüssel k4 der Ausgabestufe weiter. The test engines 3, 4, 5 involved have the corresponding key k1, k2, k3, k4, for example pre-installed, or are provided via message type-specific key management; The last required checking engine 5 decrypts the incoming data 12 and forwards them to the output stage 9 as plain text or encrypted with a key k4 of the output stage.
Somit werden zu einer erforderlichen Prüfung die Daten 11, 12 mittels des von der erforderlichen Prüfung abhängigen Schlüssels kl, k2, k3, entschlüsselt und nach Durchführung der erforderlichen Prüfung mittels eines von einer zweiten erfor- derlichen Prüfung abhängigen Schlüssels k2, k3, k4 verschlüsselt . Thus, for a required check, the data 11, 12 are decrypted by means of the key kl, k2, k3 dependent on the required check and encrypted after carrying out the required check by means of a key k2, k3, k4 dependent on a second required check.
Anstatt des AES-Verschlüsselungsverfahrens können auch andere Verschlüsselungsverfahren verwendet werden. So kann z.B. eine Verschlüsselung mit einem anderen symmetrischen Verschlüsselungsalgorithmus wie z.B. IDEA, MISTY, PRESENT, 3DES oder einem asymmetrischen Verschlüsselungsverfahren wie RSA oder ECC, z.B. gemäß dem Standard PKCS#7 oder dem Standard „XML Encryption Syntax and Processing" erfolgen. Instead of the AES encryption method, other encryption methods may be used. Thus, e.g. an encryption with another symmetric encryption algorithm, such as IDEA, MISTY, PRESENT, 3DES, or an asymmetric encryption technique such as RSA or ECC, e.g. according to the standard PKCS # 7 or the standard "XML Encryption Syntax and Processing".
Gemäß einer andern Variante umfasst das System 1 ein Verschlüsselungsmittel, welches ausgestaltet und/oder adaptiert ist, nach dem Empfangen der Daten 11 an der Eingabestufe 2 die Daten 11 zu verschlüsseln, und den dabei verwendeten kryptographischen Schlüssel gemäß einem Secret Sharing Scheme in mehreren Shares zwischen den mindestens zwei Prüf-Engines aufzuteilen und den mindestens zwei Prüf-Engines 3, 4, 5 den jeweiligen Share bereitzustellen. Jede der mindestens zwei Prüf-Engines 3, 4, 5 ist adaptiert, einen auf sie aufgeteil- ten Share der Ausgabestufe 9 nur dann bereitzustellen, wenn die jeweilige erforderliche Prüfung durchgeführt wurde. According to another variant, the system 1 comprises an encryption means, which is designed and / or adapted to encrypt the data 11 after receiving the data 11 at the input stage 2, and the cryptographic key used according to a secret sharing scheme in several shares between divide the at least two test engines and provide the at least two test engines 3, 4, 5 the respective share. Each of the at least two test engines 3, 4, 5 is adapted to provide a share of the output stage 9 allocated to it only if the respective required test has been carried out.
Eine Nachricht wird somit von der Eingabestufe 2 verschlüsselt. Vorzugsweise wird dabei ein nachrichtenspezifischer Schlüssel bestimmt. Der dabei verwendete Schlüssel wird gemäß eines Secret Sharing Schemes in mehrere Shares shl, sh2 , ... aufgeteilt. Der Ausgabestufe steht nur die verschlüsselte Nachricht zur Verfügung, d.h. die verschlüsselten Daten 11, 12. Die Prüfungs-Engines kennen jeweils einen Share sh(n), der ihnen z.B. von der Eingangsstufe oder einer separaten Schlüsselmanagementstufe bereitgestellt wird. Falls die geprüfte Nachricht von einer der Prüfungs-Engines als zulässig eingestuft wird, so wird der zugehörige Secret Share sh(n) von der Prüfungs-Engine bereitgestellt. Nur wenn alle Prü- fungs-Engines ihren Share bereitstellen, kann die Nachricht von der vorzugsweise als Eingabe-Ausgabe-Stufe ausgestalteten Ausgabestufe 9 entschlüsselt werden. Die ebenfalls als Eingabe-Ausgabe-Stufe ausgestaltete Eingabestufe 2 verschlüsselt dabei die Eingangsnachricht 11. Der dabei verwendete Schlüssel wird in mehrere Shares shl, sh2, ... aufgeteilt, die den Prüfstufen bereitgestellt werden. A message is thus encrypted by the input stage 2. Preferably, a message-specific key is determined. The key used is divided into several shares shl, sh2, ... according to a secret sharing scheme. The output stage is only the encrypted message available, ie the encrypted data 11, 12. The exam engines each know a share sh (n) provided to them, for example, by the entry level or a separate key management level. If the reviewed message is considered legal by any of the review engines, the associated secret share sh (n) is provided by the review engine. Only if all check engines provide their share can the message be decrypted by the output stage 9, which is preferably designed as an input-output stage. The input stage 2, which is likewise designed as an input-output stage, encrypts the input message 11. The key used in this case is divided into several shares sh1, sh2,..., Which are made available to the test stages.
Dabei hat Ausgabestufe 9 nur Zugriff auf die verschlüsselten Daten 11, 12. Die Prüfungen können auf die Klartextdaten zugreifen oder auf verschlüsselte Daten. Hier könnte ein gemeinsamer Schlüssel der Prüfungen verwendet werden oder alternativ ein von der Prüfung abhängiger Schlüssel. Für eine empfangene Nachricht liegen in einer Variante also zwei unterschiedlich verschlüsselte Daten vor. Eine Nachricht wird einmal gemäß des Secret Sharing Verfahrens verschlüsselt. Diese so verschlüsselte Nachricht wird der Ausgabestufe 9 bereitgestellt. Zusätzlich wird die Nachricht mit einem Schlüssel der Prüf-Engines 3, 4, 5 verschlüsselt, sodass die Prüf- Engines 3, 4, 5 die verschlüsselte Nachricht für eine Prüfung der Nachricht entschlüsseln können. Hierzu kann in einer Variante ein gemeinsamer Schlüssel verwendet werden, der allen Prüf-Engines 3, 4, 5 bzw. der Gruppe von für eine Prüfung dieser Nachricht vorgesehen Prüf-Engines 3, 4, 5 vorliegt. Output stage 9 only has access to the encrypted data 11, 12. The checks can access the plaintext data or encrypted data. Here a common key of the tests could be used or alternatively a test-dependent key. For a received message, therefore, there are two differently encrypted data in one variant. A message is encrypted once according to the secret sharing procedure. This message, encrypted in this way, is provided to the output stage 9. In addition, the message is encrypted with a key of the check engines 3, 4, 5, so that the check engines 3, 4, 5 can decrypt the encrypted message for a check of the message. For this purpose, in one variant, a common key can be used which is present to all test engines 3, 4, 5 or to the group of test engines 3, 4, 5 provided for an examination of this message.
Es kann in einer anderen Variante ein Schlüssel der ersten Prüf-Engine 3 verwendet werden, welche wie oben beschrieben die Nachricht entschlüsselt und nach erfolgreicher Prüfung die Nachricht mit einem Schlüssel der zweiten Prüf-Engine 4 verschlüsselt. Entsprechend würde die zweite Prüf-Engine 4 die Nachricht entschlüsseln, prüfen und nach erfolgreicher Prüfung mit einem Schlüssel der dritten Prüf-Engine 5 ver- schlüsseln. In der hier beschriebenen Variante würde die erste und zweite Prüf-Engine 3, 4 nur bei erfolgreicher Prüfung jeweils weiterhin ihren jeweiligen Share der Ausgabestufe 9 bereitstellen. Dadurch ist gewährleistet, dass die Ausgabestufe 9 die verschlüsselten Daten nur dann entschlüsseln kann, wenn sie von allen Prüf-Engines 3, 4, 5 den jeweiligen Share bereitgestellt bekommen hat und die Nachricht somit entschlüsseln kann. In another variant, a key of the first checking engine 3 can be used which, as described above, decrypts the message and, after successful checking, encrypts the message with a key of the second checking engine 4. Accordingly, the second checking engine 4 would decrypt the message, check it and, after a successful check, use a key of the third checking engine 5. wrenches. In the variant described here, the first and second checking engine 3, 4 would continue to provide their respective share of the output stage 9 only if the check was successful. This ensures that the output stage 9 can decrypt the encrypted data only if it has been provided by all test engines 3, 4, 5 the respective share and thus can decrypt the message.
Gemäß weiteren bevorzugten Ausführungsformen wird mittels einer kryptographischen Multisignature-Konstruktion mit einer Multi-Signature Prüfbestätigung sichergestellt, dass eine gültige Signatur an der Ausgabestufe 9 erst dann vorliegt, wenn jede der erforderlichen Prüfungen durchgeführt worden ist. Es wird vorgeschlagen, eine kryptographische Multisignature-Konstruktion zu verwenden. Eine gültige Signatur liegt dabei erst dann vor, wenn jeder der erforderlichen Prüf- Engines 3, 4, 5 ihre Berechnung durchgeführt hat. According to further preferred embodiments, a multi-signature cryptographic design with a multi-signature verification acknowledgment ensures that a valid signature is not present at the output stage 9 until each of the required tests has been performed. It is proposed to use a cryptographic multisignature construction. A valid signature is only available if each of the required test engines 3, 4, 5 has performed its calculation.
Durch die Multisignaturen erhält man eine kryptographische Bestätigung der Abarbeitung, quasi eine Gruppensignatur der als Content Scanner ausgebildeten Prüf-Engines. Die bekannte Alternative dazu ist das Zusammenfassen der Einzelsignaturen der Content Scanner. Dies hat aber zum Nachteil, dass über die Einzelsignaturen ersichtlich ist, wie viele und eventuell auch welche Scanner verwendet wurden, nach außen sichtbar ist. Gemäß bevorzugten Ausführungsformen der Erfindung liegt eine gültige digitale Signatur bei einem kryptographischen Multisignatur-Verfahren nur dann vor, wenn alle erforderlichen Beteiligten ihre Teil-Signatur berechnet und bereitgestellt haben. Wenn auch nur eine der Prüf-Engines ihre Teilsignatur nicht erstellt hat, so liegt keine gültige Signatur vor. Dieses Kriterium ist von der Ausgabestufe 9 eindeutig und mit hoher Zuverlässigkeit prüfbar. Wenn dagegen nur mehrere Einzelsignaturen überprüft werden, so ist zum Einen der Prüfaufwand durch die Ausgabestufe 9 erhöht, da sie für jede erforderliche Prüfungs-Engine eine Verifikation deren Signatur vornehmen muss. Zum Anderen besteht die Möglichkeit einer Fehlkonfiguration oder Fehlfunktion der Ausgabestufe 9, bei der Daten bereitgestellt werden, obwohl nur einige aber nicht alle er erforderlichen Prüf-Engines die Daten erfolgreich überprüft haben. Bei diesen Varianten der Erfindung ist ge- währleistet, dass keine gültige Signatur vorliegt. Dadurch erübrigen sich auf der Ausgabestufe 9 entsprechend fehleranfällige Überprüfungen, welche Überprüfungen erforderlich sind . Die Entschlüsselung erfolgt durch eine Output-Funktion derThe multisignatures result in a cryptographic confirmation of the processing, quasi a group signature of the trained as a content scanner test engines. The well-known alternative is summarizing the individual signatures of the Content Scanner. However, this has the disadvantage that it can be seen from the individual signatures, how many and possibly also which scanners were used, is visible to the outside. According to preferred embodiments of the invention, a valid digital signature is only present in a cryptographic multi-signature method if all required parties have calculated and provided their partial signature. If only one of the check engines did not create its partial signature, then there is no valid signature. This criterion can be tested clearly and reliably with issue level 9. If, on the other hand, only a plurality of individual signatures are checked, then on the one hand the checking effort is increased by the output stage 9, since it has to carry out a verification of its signature for each required checking engine. On the other hand there is the possibility of a Out-of-the-box mis-configuration or malfunction 9, where data is provided even though only a few, but not all, of the required test engines have successfully validated the data. In these variants of the invention, it is ensured that there is no valid signature. This eliminates the need for error-prone checks at issue level 9 which checks are required. The decryption is done by an output function of
Ausgabestufe 9. Dies ist wegen der Eigenschaften von kryptog- raphischen Verschlüsselungsverfahren nur dann möglich, wenn der Ausgabestufe 9 die verschlüsselte Nachricht und der zugehörige Entschlüsselungsschlüssel vorliegen bzw. wenn eine korrekt signierte Nachricht vorliegt. Gemäß bevorzugten Ausführungsformen ergänzen bei einer Lösung mittels Secret Sharing Signature Scheme die Prüf-Engines eine Secret Sharing Signature Information. Nur wenn alle erforderlichen Anteile vorliegen, so liegt an der Ausgabestufe 9 die Nachricht mit einer gültigen Signatur vor. Output stage 9. Because of the properties of cryptographic encryption methods, this is only possible if the output stage 9 contains the encrypted message and the associated decryption key, or if a correctly signed message is present. According to preferred embodiments, in a solution using a secret sharing signature scheme, the verification engines supplement a secret-sharing signature information. Only if all the necessary shares are present is the output with the message 9 with a valid signature.
Gemäß bevorzugten Ausführungsformen wird der zulässige Daten- fluss nicht starr durch physikalische Vorrichtungen (Datendiode) und eine feste Anordnung von Prüfkomponenten (Content- Prüfung der Daten) erreicht, sondern durch logische Maßnahmen. Dadurch ist der Realisierungsaufwand geringer und es können flexible unterschiedliche Arten der Prüfungen vorgegeben werden oder neue Datenformate und Protokolle unterstützt werden. Daten können z.B. eine Datei, ein XML-Dokument, ein Objekt, beispielsweise Corba, Java RMI, DCOM, oder eine SOAP- Message sein. Die tatsächliche Abarbeitung geforderter Prüfungen bei einem Datentransfer zwischen zwei Security-Zonen wird durch kryptographische Schutzmaßnahmen mit hoher Zuverlässigkeit gewährleistet. Selbst bei einer Fehlfunktion, bei der eine erforderliche Prüfung nicht erfolgt, ist ein unzulässiger Datenverkehr durch kryptographische Maßnahmen unterbunden, da eine erfolgreiche Entschlüsselung bzw. erfolgrei- che Signaturprüfung an der Ausgabestufe technisch nicht möglich ist. According to preferred embodiments, the permissible data flow is not achieved rigidly by physical devices (data diode) and a fixed arrangement of test components (content checking of the data), but by logical measures. As a result, the implementation effort is lower and flexible different types of checks can be specified or new data formats and protocols can be supported. Data can be eg a file, an XML document, an object, for example Corba, Java RMI, DCOM, or a SOAP message. The actual processing of required checks during a data transfer between two security zones is ensured by cryptographic protection measures with high reliability. Even in the case of a malfunction in which a required check is not carried out, inadmissible data traffic is prevented by cryptographic measures, since a successful decryption or successful It is not technically possible to check the signature at the output level.
Gemäß bevorzugten Ausführungsformen wird dadurch erreicht, dass durch kryptographische Schutzmaßnahmen sichergestellt wird, dass eine vorgebbare Menge von Prüfungen tatsächlich durchgeführt wurde, bevor beispielsweise ein Dokument an eine andere Security-Zone weitergeleitet wird. D.h. dass ein geforderter Message Processing Schedule tatsächlich abgearbei- tet wurde, bevor eine Nachricht weitergeleitet wird. Insbesondere wird dabei auch die richtungsabhängige Bearbeitung sichergestellt. Insbesondere kann in einer Variante auch eine bestimmte Reihenfolge der Prüfungen erzwungen werden. Gemäß bevorzugten Ausführungsformen wird dies dadurch erreicht, dass ein „Workflow" definiert wird, welche Abarbeitungsschritte vor der Weiterleitung einer Nachricht durchzuführen sind. Die Nachricht wird dabei zwischen zwei Abarbeitungsschritten weitergeleitet, wobei sie mit einem vom Bear- beitungsschritt abhängigen kryptographischen Schlüssel geschützt ist. Neben der Abhängigkeit von einem Bearbeitungsschritt kann ebenfalls der nächstfolgende Bearbeitungsschritt mit einbezogen werden. Damit kann erreicht werden, dass Bearbeitungsschritte nicht übersprungen werden können. In accordance with preferred embodiments, this ensures that cryptographic safeguards ensure that a predefinable set of checks has actually been carried out before, for example, forwarding a document to another security zone. That that a requested message processing schedule has actually been processed before a message is forwarded. In particular, the direction-dependent processing is ensured. In particular, in a variant, a specific sequence of checks can be forced. According to preferred embodiments, this is achieved by defining a "workflow", which processing steps are to be carried out before the forwarding of a message, whereby the message is forwarded between two processing steps, whereby it is protected by a cryptographic key dependent on the processing step Depending on a processing step, the next processing step can also be included, which means that processing steps can not be skipped.
Gemäß weiteren bevorzugten Ausführungsformen kann für unterschiedliche Datenarten bei der Eingangsstufe 2 und/oder der Ausgabestufe 9 eine Klassifikation der Nachricht erfolgen und davon abhängig eine Menge erforderlicher Prüfungen nachrich- tenspezifisch bestimmt werden. According to further preferred embodiments, a classification of the message can take place for different types of data at the input stage 2 and / or the output stage 9, and depending on this a set of required tests can be determined according to the specific message.
Gemäß bevorzugen Ausführungsformen wird nach dem Empfangen der Daten 11 an der Eingabestufe 2 des Gateway 1 festgelegt, welche erforderlichen Prüfungen der Daten durchzuführen sind, vorzugsweise in Abhängigkeit von der Art der Daten 11 und/oder in Abhängigkeit von einem Betriebszustand eines Systems der ersten Security-Zone 98 und/oder der zweiten Security-Zone 99. Ein Betriebszustand eines Systems der ersten Se- curity-Zone 98 kann beispielsweise beschreiben, ob ein Wartungsmodus oder ein regulärer Betriebsmodus vorliegt. According to preferred embodiments, after receiving the data 11 at the input stage 2 of the gateway 1, it is determined which required checks of the data are to be performed, preferably depending on the type of data 11 and / or depending on an operating state of a system of the first security system. Zone 98 and / or the second security zone 99. An operating state of a system of the first security For example, security zone 98 may describe whether a maintenance mode or a regular operating mode exists.
Gemäß bevorzugen Ausführungsformen wird nach dem Empfangen der Daten 11 an der Eingabestufe 2 des Gateway 1 festgelegt, in welcher Reihenfolge die erforderlichen Prüfungen durchzuführen sind, vorzugsweise indem die Daten in einem vorgegebenen Workflow die Prüf-Engines 3, 4, 5 durchlaufen und/oder vorzugsweise in Abhängigkeit von der Art der Daten 11 und/oder in Abhängigkeit von einem Betriebszustand eines Systems der ersten Security Zone 98 und/oder der zweiten Securi- ty-Zone 99. According to preferred embodiments, after receiving the data 11 at the input stage 2 of the gateway 1, it is determined in which order the necessary checks are to be performed, preferably by the data passing through the check engines 3, 4, 5 in a given workflow and / or preferably depending on the type of data 11 and / or depending on an operating state of a system of the first security zone 98 and / or the second security zone 99.
Figur 4 zeigt Varianten der Ausführungsbeispiele der Figuren 2 und 3 gemäß bevorzugten Ausführungsformen der Erfindung, welche eine Optimierung des Nachrichten-spezifischen Prüf- Workflows ermöglichen. Um eine hohe Flexibilität zu erreichen, werden die eingehenden Daten 11 an der Eingabestufe 2 klassifiziert. Davon abhängig wird ein Prüf-Workflow ermittelt. Dazu wird eine Workflow-Information erzeugt, welche beschreibt welche Prüfungen oder welche Prüf-Engines 3, 4, 5 für die Informationen 11 zu durchlaufen sind. Der Prüf- Workflow ist vorzugsweise mit einer kryptographischen Prüfsumme, beispielsweise einer digitalen Signatur oder einem Message Authentication Code, geschützt. Über einen Hash-Wert der Information 11, der durch die kryptographische Prüfsumme umfasst wird, kann eine nicht manipulierbare Bindung zu der Information 11 hergestellt werden. FIG. 4 shows variants of the exemplary embodiments of FIGS. 2 and 3 according to preferred embodiments of the invention, which enable an optimization of the message-specific checking workflow. In order to achieve a high degree of flexibility, the incoming data 11 are classified at input level 2. Depending on this, a test workflow is determined. For this purpose, a workflow information is generated, which describes which tests or which test engines 3, 4, 5 are to go through for the information 11. The check workflow is preferably protected with a cryptographic checksum, for example a digital signature or a message authentication code. Via a hash value of the information 11, which is covered by the cryptographic checksum, a non-manipulatable binding to the information 11 can be established.
Die Information 11 wird zusammen mit dem zugeordneten Prüf- Workflow pwf in einen Nachrichten-Container 2b, 3b, 4b, 5b gepackt. Die einzelnen Prüfeinheiten 3, 4, 5 fügen in den 3b, 4b, 5b nach erfolgreicher Prüfung jeweils eine Bestätigung 3d, 4d, 5d hinzu, z.B. in Form einer durch eine kryptographischen Prüfsumme geschützten Attestation. Dabei kann eine Attestation auch das negative Prüfergebnis bestätigen. Dadurch kann eine fehlende Prüfung und eine Prüfung mit negativem Prüfergebnis unterschieden werden. Die als Ausgangskomponente dienende Ausgabestufe 9 leitet die Information 11, 12 nur weiter, wenn im Nachrichten-Container einer Nachricht m alle im Prüf-Workflow spezifizierten Prü- fungen als erfolgreich bestätigt sind. The information 11 is packed together with the associated checking workflow pwf into a message container 2b, 3b, 4b, 5b. The individual test units 3, 4, 5 add in the 3b, 4b, 5b after successful examination in each case a confirmation 3d, 4d, 5d, for example in the form of a protected by a cryptographic checksum attestation. An attestation can also confirm the negative test result. This makes it possible to distinguish between a missing test and a test with a negative test result. The output stage 9 serving as the starting component only forwards the information 11, 12 if in the message container of a message m all the tests specified in the check workflow are confirmed as successful.
Die beschriebene Methode, um den Workflow beim Durchlauf durch eine Sicherheitszone zwischen zwei Zonen unterschiedlichen Sicherheitsniveaus zu schützen, kann auch ganz generell auf allgemeine Workflows, z.B. in der Fertigungsindustrie oder bei Geschäftsprozessen übertragen werden. Dabei kann ein zu bearbeitendes Objekt ein „Durchlaufplan" durch eine Fertigung nach oben beschriebener Methode zugeordnet werden. Dies ist insbesondere vorteilhaft, wenn an der Fertigung nicht nur ein Hersteller beteiligt ist, sondern verschiedene Herstellungsschritte bei unterschiedlichen Herstellern durchlaufen werden müssen. Die beschriebene Methode sichert auch hier zum einen den vollständigen Durchlauf durch die Fertigung und zum anderen die Reihenfolge der Bearbeitungsschritte. Entspre- chendes gilt für Workflows bei IT-Systemen, bei dem z.B. Dokumente freigegeben werden müssen. The described method of protecting the workflow as it passes through a security zone between two zones of different security levels may also be generally referred to general workflows, e.g. in the manufacturing industry or in business processes. In this case, an object to be processed can be assigned a "pass-through plan" by a production method as described above, which is particularly advantageous if not only one manufacturer is involved in the production, but different production steps must be performed by different manufacturers Here, too, the complete run through the production and, secondly, the sequence of the processing steps.The same applies to workflows in IT systems where, for example, documents have to be released.
Die tatsächliche Abarbeitung geforderter Prüfungen bei einem Datentransfer zwischen zwei Security-Zonen wird durch kryp- tographische Schutzmaßnahmen 3a, 4a, 5a gewährleistet. Dadurch kann eine hoch-vertrauenswürdige Realisierung einer Cross-Domain-Security-Lösung erfolgen, bei der durch logische Maßnahmen anstatt durch unflexible, aufwändige Hardware- Maßnahmen gewährleistet wird, dass ein Datentransfer nur er- folgt, soweit alle geforderten Prüfstufen durchlaufen wurden. The actual processing of required checks for a data transfer between two security zones is ensured by cryptographic protective measures 3a, 4a, 5a. As a result, a highly trustworthy realization of a cross-domain security solution can take place in which it is ensured by logical measures, rather than by inflexible, expensive hardware measures, that a data transfer only takes place as long as all required test stages have been completed.
Der Vorteil von beschriebenen Verfahren und System liegt in der Möglichkeit, eine festgelegte Menge von ContentScannern überprüfbar zu durchlaufen. Darüber hinaus kann auch die Rei- henfolge der Anwendung der Contentscanner festgelegt werden. The advantage of the described methods and system lies in the possibility of being able to pass through a defined quantity of content scanners in a verifiable manner. In addition, the order in which the content scanners are used can also be specified.
Neben der Reihenfolge kann auch die Durchlaufrichtung In addition to the order can also be the flow direction
(Workflow) für die Anordnung festgelegt werden. Dies ermög- licht die Nutzung des Systems 1 für die richtungsspezifische Bearbeitung von Nachrichten (eingehende und ausgehende) . (Workflow) for the arrangement. This allows light the use of the system 1 for the direction-specific processing of messages (incoming and outgoing).

Claims

Patentansprüche claims
1. Verfahren zum Austausch von Daten (11, 12) zwischen einer ersten Security-Zone (98) und einer zweiten Security-Zone (99), umfassend die Verfahrensschritte: A method for exchanging data (11, 12) between a first security zone (98) and a second security zone (99), comprising the method steps:
Empfangen von Daten (11) von der ersten Security-Zone (98) an einer Eingabestufe (2) eines Gateways (1) ;  Receiving data (11) from the first security zone (98) at an input stage (2) of a gateway (1);
Durchführen eines Prozesses, welcher unterschiedliche erforderliche Prüfungen der Daten (11) umfasst;  Performing a process comprising different required checks of the data (11);
- wobei eine Abarbeitung jeder der erforderlichen Prüfungen jeweils durch eine kryptographische Schutzmaßnahme (3a, 4a, 5a) gewährleistet wird indem mit Hilfe der kryptographi- schen Schutzmaßnahmen (3a, 4a, 5a) sichergestellt wird, dass eine Ausgabestufe (9) des Gateways (1) die Daten (11) oder aus den Daten abgeleitete Daten (12) nicht für die zweite Se- curity Zone (99) lesbar bereitstellt, wenn mindestens eine der erforderlichen Prüfungen nicht durchgeführt worden ist. wherein a processing of each of the required checks is ensured in each case by a cryptographic protective measure (3a, 4a, 5a) by ensuring with the aid of the cryptographic protective measures (3a, 4a, 5a) that an output stage (9) of the gateway (1 ) does not make the data (11) or data derived from the data (12) readable for the second security zone (99) if at least one of the required tests has not been carried out.
2. Verfahren nach Anspruch 1, wobei die erforderlichen Prü- fungen jeweils durch eine unterschiedliche Prüf-Engine (3, 4,2. The method according to claim 1, wherein the required tests are each performed by a different test engine (3, 4,
5) durchgeführt werden, wobei vorzugsweise die Prüf-Engines (3, 4, 5) logische Prüf-Engines sind. 5), preferably the test engines (3, 4, 5) are logical test engines.
3. Verfahren nach Anspruch 1 oder 2, wobei nach dem Empfan- gen der Daten (11) an der Eingabestufe (2) des Gateways (1) festgelegt wird, welche erforderlichen Prüfungen der Daten durchzuführen sind, vorzugsweise in Abhängigkeit von der Art der Daten (11) und/oder in Abhängigkeit von einem Betriebszustand eines Systems der ersten Security-Zone (98) und/oder der zweiten Security-Zone (99) . 3. The method of claim 1 or 2, wherein after receiving the data (11) at the input stage (2) of the gateway (1) is determined which required checks of the data are to be performed, preferably in dependence on the type of data (11) and / or depending on an operating state of a system of the first security zone (98) and / or the second security zone (99).
4. Verfahren nach einem der vorhergehenden Ansprüche, wobei nach dem Empfangen der Daten (11) an der Eingabestufe (2) des Gateways (1) festgelegt wird, in welcher Reihenfolge die erforderlichen Prüfungen durchzuführen sind, 4. The method according to any one of the preceding claims, wherein after receiving the data (11) at the input stage (2) of the gateway (1) is determined in which order to perform the required tests,
- vorzugsweise indem die Daten (11) und/oder aus den Daten (11) abgeleitete Daten in einem vorgegebenen Workflow die Prüf-Engines (3, 4, 5) durchlaufen und/oder - vorzugsweise in Abhängigkeit von der Art der Daten (11) und/oder - Preferably by the data (11) and / or from the data (11) derived data in a given workflow the test engines (3, 4, 5) go through and / or preferably depending on the type of data (11) and / or
- in Abhängigkeit von einem Betriebszustand eines Systems der ersten Security-Zone (98) und/oder der zweiten Security-Zone (99) .  - Depending on an operating state of a system of the first security zone (98) and / or the second security zone (99).
5. Verfahren nach einem der vorhergehenden Ansprüche, wobei die kryptographische Schutzmaßnahme (3a, 4a, 5a) eine vorzugsweise symmetrische kryptographische Verschlüsselung der Daten (11) und/oder von aus den Daten (11) abgeleiteten Daten mittels eines von einer erforderlichen Prüfung abhängigen kryptographischen Schlüssels (kl, k2 , k3, k4) umfasst. 5. The method according to any one of the preceding claims, wherein the cryptographic protection measure (3a, 4a, 5a) preferably symmetric cryptographic encryption of the data (11) and / or data derived from the data (11) by means of a dependent of a required examination cryptographic Key (kl, k2, k3, k4).
6. Verfahren nach Anspruch 5, wobei zu einer erforderlichen Prüfung die Daten (11) und oder die abgeleiteten Daten mittels des von der erforderlichen Prüfung abhängigen Schlüssels (kl, k2, k3) entschlüsselt werden und nach Durchführung der erforderlichen Prüfung mittels eines von einer zweiten erforderlichen Prüfung abhängigen Schlüssels (k2, k3, k4 ) ver- schlüsselt werden. 6. The method of claim 5, wherein for a required test, the data (11) and or the derived data by means of the dependent of the required test key (kl, k2, k3) are decrypted and after performing the required test by means of a second necessary check of dependent keys (k2, k3, k4).
7. Verfahren nach einem der vorhergehenden Ansprüche, wobei nach dem Empfangen der Daten (11) an der Eingabestufe (2) die Daten (11) verschlüsselt werden, und der dabei verwendete kryptographische Schlüssel gemäß einem Secret Sharing Scheme in mehreren Shares auf die erforderlichen Prüfungen aufgeteilt wird, und jede der erforderlichen Prüfungen die auf sie aufgeteilten Shares der Ausgabestufe (9) für die Entschlüsselung der verschlüsselten Daten (11) nur dann bereitstellt, wenn die jeweilige erforderliche Prüfung erfolgreich ausgefallen ist. 7. The method according to any one of the preceding claims, wherein after receiving the data (11) at the input stage (2) the data (11) are encrypted, and the cryptographic key used in this case according to a secret sharing scheme in several shares on the required checks and any of the required examinations will provide the Shares allocated to them (9) for the decryption of the encrypted data (11) only if the required examination has been successful.
8. Verfahren nach einem der vorhergehenden Ansprüche, wobei mittels einer kryptographischen Multisignature-Konstruktion sichergestellt wird, dass eine gültige Signatur an der Ausgabestufe erst dann vorliegt, wenn jede der erforderlichen Prüfungen durchgeführt worden ist. 8. The method according to any one of the preceding claims, wherein it is ensured by means of a cryptographic Multisignature construction that a valid signature at the output stage is present only when each of the required tests has been performed.
9. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Gateway (1) alle erforderlichen Prüfungen selbst durchführt; oder 9. The method according to any one of the preceding claims, wherein the gateway (1) carries out all required tests itself; or
wobei ein Teil der erforderlichen Prüfungen durch das Gateway (1) durchgeführt wird, während ein anderer Teil der Prüfungen ausgelagert wird; oder whereby part of the required checks are performed by the gateway (1) while another part of the checks is outsourced; or
wobei alle erforderlichen Prüfungen ausgelagert werden. All necessary tests are outsourced.
10. System (1) zum Austausch von Daten (11, 12) zwischen ei- ner ersten Security-Zone (98) und einer zweiten Security-Zone10. System (1) for exchanging data (11, 12) between a first security zone (98) and a second security zone
(99) , umfassend: (99), comprising:
eine Eingabestufe (2) mittels welcher Daten (11) von der ersten Security-Zone (98) empfangbar sind;  an input stage (2) by means of which data (11) can be received by the first security zone (98);
eine Ausgabestufe (9) mittels welcher die Daten (11) oder aus den Daten (11) abgeleitete Daten (12) für die zweite Security-Zone (99) bereitstellbar sind;  an output stage (9) by means of which the data (11) or data (12) derived from the data (11) can be provided for the second security zone (99);
mindestens zwei Prüf-Engines (3, 4, 5) auf welchen jeweils eine unterschiedliche erforderliche Prüfung der Daten (11) durchführbar ist;  at least two test engines (3, 4, 5) on each of which a different required examination of the data (11) is feasible;
- wobei jede der mindestens zwei Prüf-Engines (3, 4, 5) eine kryptographische Schutzmaßnahme (3a, 4a, 5a) umfasst, mit Hilfe welcher jeweils sicherstellbar ist, dass die Ausgabestufe (9) die Daten (11) oder die abgeleiteten Daten (12) nicht für die zweite Security Zone (99) lesbar bereitstellt, wenn zumindest eine der mindestens zwei erforderlichen Prüfungen nicht durchgeführt worden ist. - Wherein each of the at least two test engines (3, 4, 5) comprises a cryptographic protection measure (3a, 4a, 5a), by means of which in each case can be ensured that the output stage (9) the data (11) or the derived data (12) does not render readable for the second security zone (99) if at least one of the at least two required checks has not been performed.
11. System (1) nach Anspruch 10, wobei die mindestens zwei Prüf-Engines (3, 4, 5) logische Prüf-Engines sind. The system (1) of claim 10, wherein the at least two check engines (3, 4, 5) are logical check engines.
12. System (1) nach einem der Ansprüche 10 oder 11, umfassend ein Festlegungsmittel (21) welches ausgestaltet und/oder adaptiert ist, die in Abhängigkeit von der Art der Daten (11) festzulegen, welche Prüfungen erforderlich sind und/oder festzulegen, in welcher Reihenfolge die erforderlichen Prüfungen durchzuführen sind und/oder einen Workflow festzulegen, gemäß dem die Daten die mindestens zwei Prüf-Engines (3, 4, 5) durchlaufen. A system (1) according to any one of claims 10 or 11, comprising a designating means (21) which is designed and / or adapted to determine which tests are required and / or to be determined, depending on the type of data (11). in which order the required tests are to be carried out and / or establish a workflow according to which the data passes through the at least two test engines (3, 4, 5).
13. System (1) nach einem der Ansprüche 10 bis 12, wobei die kryptographische Schutzmaßnahme (3a, 4a, 5a) eine kryptogra- phische Verschlüsselung der Daten (11) und/oder von aus den Daten (11) abgeleiteten Daten mittels eines von der die jeweilige kryptographische Schutzmaßnahme (3a, 4a, 5a) umfassenden Prüf-Engine (3, 4, 5) abhängigen kryptographischen Schlüssels (kl, k2 , k3, k4) umfasst, und wobei die Verschlüsselung vorzugsweise symmetrisch ist. 13. System (1) according to any one of claims 10 to 12, wherein the cryptographic protection measure (3a, 4a, 5a) a cryptographic encryption of the data (11) and / or from the data (11) derived data by means of one of which comprises the respective cryptographic protection measure (3a, 4a, 5a) comprising the check engine (3, 4, 5) dependent cryptographic key (kl, k2, k3, k4), and wherein the encryption is preferably symmetrical.
14. System (1) nach einem der Ansprüche 10 bis 13, umfassend ein Verschlüsselungsmittel, welches ausgestaltet und/oder adaptiert ist, nach dem Empfangen der Daten an der Eingabestufe die Daten (11) zu verschlüsseln, und den dabei verwen- deten kryptographischen Schlüssel gemäß einem Secret Sharing Scheme in mehreren Shares zwischen den mindestens zwei Prüf- Engines aufzuteilen und den mindestens zwei Prüf-Engines (3, 4, 5) den jeweiligen Share bereitzustellen, und wobei jede der mindestens zwei Prüf-Engines (3, 4, 5) adaptiert ist, ei- nen auf sie aufgeteilten Share der Ausgabestufe (9) nur dann bereitzustellen, wenn die jeweilige erforderliche Prüfung durchgeführt wurde . 14. System (1) according to any one of claims 10 to 13, comprising an encryption means which is configured and / or adapted to encrypt the data (11) after receiving the data at the input stage, and the cryptographic key used thereby according to a secret sharing scheme, split into several shares between the at least two test engines and provide the respective share to the at least two test engines (3, 4, 5), and each of the at least two test engines (3, 4, 5 ) is adapted to provide a share of the output stage (9) allocated to it only if the respective required test has been carried out.
15. System (1) nach einem der Ansprüche 10 bis 14, wobei mit- tels einer kryptographischen Multisignature-Konstruktion sicherstellbar ist, dass eine gültige Signatur an der Ausgabestufe (9) erst dann vorliegt, wenn jede der erforderlichen Prüfungen durchgeführt worden ist. 15. System (1) according to one of claims 10 to 14, wherein it can be ensured by means of a cryptographic multisignature construction that a valid signature is present at the output stage (9) only when each of the required tests has been carried out.
16. System (1) nach einem der Ansprüche 10 bis 15, 16. System (1) according to one of claims 10 to 15,
wobei das System (1) ein Gateway ist. the system (1) being a gateway.
PCT/EP2014/067193 2013-09-13 2014-08-12 Method and system for the cryptographic protection of a predetermined message processing flow WO2015036190A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE201310218373 DE102013218373A1 (en) 2013-09-13 2013-09-13 Method and system for cryptographically securing a given message processing flow
DE102013218373.9 2013-09-13

Publications (1)

Publication Number Publication Date
WO2015036190A1 true WO2015036190A1 (en) 2015-03-19

Family

ID=51357924

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2014/067193 WO2015036190A1 (en) 2013-09-13 2014-08-12 Method and system for the cryptographic protection of a predetermined message processing flow

Country Status (2)

Country Link
DE (1) DE102013218373A1 (en)
WO (1) WO2015036190A1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015205370A1 (en) * 2015-03-25 2016-09-29 Robert Bosch Gmbh Method and device for providing data for condition monitoring of a machine
DE102016124993A1 (en) 2015-12-22 2017-06-22 Hirschmann Automation And Control Gmbh Network with partial unidirectional data transmission
DE102017223099A1 (en) * 2017-12-18 2019-06-19 Siemens Aktiengesellschaft Apparatus and method for transferring data between a first and a second network
DE102018127529A1 (en) * 2018-11-05 2020-05-07 Infineon Technologies Ag Electronic device and method for signing a message

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004034902B3 (en) * 2004-07-19 2005-09-08 Adrian Degwert Secure, autonomous data transfer module for e.g. transmitting emails between separate networks, provides read-write access to flash storage medium via separate data connections
DE102006036111B3 (en) * 2006-08-02 2008-01-31 Siemens Ag Safe transmission method for message of one zone into other zone, involves transmitting message of third zone to other zone by one-way lock unit and displaying evaluated transmitted analysis results free from defective component
FR2915647A1 (en) * 2007-04-27 2008-10-31 Thales Sa SYSTEM AND METHOD FOR PARALLELIZED PROCESSING.
WO2011048367A1 (en) * 2009-10-22 2011-04-28 Qinetiq Limited Data content checking

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020076052A1 (en) * 1999-10-29 2002-06-20 Marcel M. Yung Incorporating shared randomness into distributed cryptography
GB0918478D0 (en) 2009-10-22 2009-12-09 Qinetiq Ltd Checking data content
US8590005B2 (en) 2011-06-08 2013-11-19 Adventium Enterprises, Llc Multi-domain information sharing

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004034902B3 (en) * 2004-07-19 2005-09-08 Adrian Degwert Secure, autonomous data transfer module for e.g. transmitting emails between separate networks, provides read-write access to flash storage medium via separate data connections
DE102006036111B3 (en) * 2006-08-02 2008-01-31 Siemens Ag Safe transmission method for message of one zone into other zone, involves transmitting message of third zone to other zone by one-way lock unit and displaying evaluated transmitted analysis results free from defective component
FR2915647A1 (en) * 2007-04-27 2008-10-31 Thales Sa SYSTEM AND METHOD FOR PARALLELIZED PROCESSING.
WO2011048367A1 (en) * 2009-10-22 2011-04-28 Qinetiq Limited Data content checking

Also Published As

Publication number Publication date
DE102013218373A1 (en) 2015-03-19

Similar Documents

Publication Publication Date Title
EP3655880B1 (en) Hardware system having a block chain
EP3110101A1 (en) Method for tamper protection of payload data packets to be transmitted over a bus system
DE102013206185A1 (en) Method for detecting a manipulation of a sensor and / or sensor data of the sensor
DE10124800A1 (en) Process automation system and process device for a process automation system
EP2572494B1 (en) Method and system for secure data transmission with a vpn box
DE102016210786A1 (en) Component for connection to a data bus and method for implementing a cryptographic functionality in such a component
DE102009000869A1 (en) Method and device for tamper-proof transmission of data
EP3157192B1 (en) Method and system for asymmetric key derivision
DE69737905T2 (en) Validation of cryptographic public key for smart cards
EP3422628B1 (en) Method, safety device and safety system
WO2015036190A1 (en) Method and system for the cryptographic protection of a predetermined message processing flow
EP3552344B1 (en) Bidirectionally linked blockchain structure
EP2863610A2 (en) Method and system for tamper-proof provision of multiple digital certificates for multiple public keys of a device
EP3412018B1 (en) Method for exchanging messages between security-relevant devices
EP3718263B1 (en) Method and control system for controlling and/or supervising of devices
EP3556047A1 (en) Programmable hardware security module and method on a programmable hardware security module
EP3767513B1 (en) Method for secure execution of a remote signature, and security system
DE102015202215A1 (en) Device and method for safe operation of the device
EP3648430B1 (en) Hardware security module
WO2020221523A1 (en) Method for issuing certificates, control system, use of same, technical plant, plant component, and use of an identity provider
EP3556071B1 (en) Method, device, and computer-readable storage medium comprising instructions for signing measurement values of a sensor
DE102012208836A1 (en) Method and device for generating cryptographically protected redundant data packets
DE102015208899A1 (en) Apparatus and method for flexibly generating cryptographic private keys and device with flexibly generated cryptographic private keys
EP3895387B1 (en) Communication module
DE102019130067B4 (en) Method for carrying out permission-dependent communication between at least one field device in automation technology and an operating device

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14752598

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 14752598

Country of ref document: EP

Kind code of ref document: A1