WO2015062812A1 - Sicherheitsrelevantes system mit supervisor - Google Patents
Sicherheitsrelevantes system mit supervisor Download PDFInfo
- Publication number
- WO2015062812A1 WO2015062812A1 PCT/EP2014/071298 EP2014071298W WO2015062812A1 WO 2015062812 A1 WO2015062812 A1 WO 2015062812A1 EP 2014071298 W EP2014071298 W EP 2014071298W WO 2015062812 A1 WO2015062812 A1 WO 2015062812A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- security gateway
- security
- data
- supervisor
- gateway
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Definitions
- the invention relates to a security-relevant system, in particular a railway security system, with a security gateway for data transmission between a public network and a secure network.
- a security gateway for data transmission between a public network and a secure network.
- the EN 50159: 2010 standard defines three categories of transmission networks, namely closed, secure networks, open networks with negligible security risk and public networks with significant security risks.
- security risk refers to the probability of unauthorized access by systems or persons to the network.
- the public networks belonging to category three are becoming more and more important in the rail environment as rail operators increasingly use services from different networks.
- signal-technically secure networks are coupled to one another via a public network or are connected to public networks in some form via coupling computers, there is a risk of unauthorized access to the fail-safe networks in which security-relevant data is transmitted.
- the above EN 50159: 2010 standard calls for countermeasures based on cryptographic methods, ensuring data integrity and / or unauthorized access the secure network is prevented.
- the measures prescribed by the standard are a prerequisite for the acceptance and approval of the entire system by national approval authorities.
- the invention has for its object to provide a security-relevant system with a security gateway generic type, in which a failure of the cryptographic functionality of the security gateway is immediately recognizable.
- a security gateway supervisor which bridges the security gateway, taps the incoming and outgoing data of the security gateway without any hindrance and has means for comparing the tapped data of the security gateway.
- the security gateway supervisor is able to monitor any security gateways for both types of security functions, namely network access protection and integrity protection, because in each case the incoming and outgoing data of the security gateway are compared.
- the security gateway supervisor is connected on the secure and the non-secure network side via feedback-free channels, which access all incoming data.
- the Security Gateway supervisor compares the data from the unsafe site with the cryptographically prepared output data to the secure network - and vice versa.
- the security gateway supervisor can be implemented on a conventional computer and does not have to be specially designed for railway safety systems.
- the Security Gateway Supervisor monitors the known parameters of the data that can be exchanged between public and secure networks.
- the security gateway which uses cryptographic methods to protect this data against unauthorized manipulation, does not require knowledge of these parameters.
- the data are tapped on the input side and on the output side of the security gateway without interference, in particular by means of Ethernet TAPs. If Ethernet is used for data transmission to the Security Gateway Supervisor on both sides of the security gateway, the data tap is absolutely non-reactive. Due to the absence of feedback, manipulation of the security gateway supervisor is excluded.
- a particularly preferred embodiment is characterized according to claim 3, characterized in that the comparison means are designed to compare hash values of the incoming and outgoing data of the security gateway. This greatly improves the performance of the Security Gateway Supervisor. Since the monitoring of the incoming and outgoing data of the security gateway requires high computing power and the memory requirement increases massively with the monitoring period, the calculation and comparison of hash values of the input and output data is very advantageous in order to save computer capacity. Data also includes subsumed data packets. Any large data packets are mapped to a hash value that includes only a small number of bites. These hash values, which are not larger than the address space of the available memory of the Security Gateway Supervisor, can be used directly for addressing and comparison in a hash value memory.
- the security gateway supervisor can directly use the hash value to access memory cells in which, for example, the time stamp is stored, when information or data was last detected at an input of the security gateway supervisor. Runs a data packet on the unsafe network page within a particular, very short time to the same hash value as on the secure network side, this is an indicator that no cryptographic encryption has been applied to this data packet. This means that the security function of the security gateway has failed, which initiates a failure disclosure with corresponding security reactions.
- a partial failure of cryptographic functions of the security gateway can also be detected since the monitoring period between input and output of the data packets, that is to say the transit time via the security gateway, only has to be as long as the monitoring period of secure data packets.
- a safety protocol detects the obsolescence of data. An error case in which the throughput time of the data packets is greater than the monitoring period can be revealed in this way and how the total failure of the security gateway initiate a security reaction.
- the security gateway supervisor can take advantage of secret backdoors
- the security gateway supervisor has error disclosure functionality such that an alarm function is triggered in the case of data addressed by the security gateway to an incorrect destination. Serious consequences due to unauthorized access to unintended destinations, ie computers, within the railway safety system are thus reliably prevented.
- FIG. 1 basic functions of a security gateway between a public and a secure network
- FIG. 2 an architecture for transmitting security-relevant data via a public network
- FIG. 3 shows a security gateway with Ethernet
- FIGS. 4 to 6 security functions of a security gateway supervisor.
- Figure 1 illustrates the basic structure of a railway safety system, which is connected via a security gateway 1 with a public network 2.
- the railway safety system consists essentially of a traffic control network 3 for specifying timetable and other superordinate data to at least one interlocking 4, which field elements 5, such as points, signals and level crossings, controls.
- the security gateway 1 prevents unauthorized data 6 and 7, for example a malicious attack, from being transferred from the public network 2 into the railway safety system.
- the security gateway 1 is monitored by a security gateway supervisor 8.
- FIG. 2 shows a network architecture in which data between two secure networks 9 and 10, for example railway safety systems, are exchanged via the public network 2 by means of a security tunnel 11.
- the secure networks 9 and 10 are each at the
- FIG. 3 shows a connection of the security gateway 1 on the basis of Ethernet data channels 12 and 13 with input ports Rx and output ports Tx, which are connected to the security gateway 1 and the security gateway supervisor 8.
- the security gateway supervisor 8 bridges the security gateway 1, wherein the data of the Ethernet channels 12 and 13 on both the input side and output side of the security gateway 1 via Ethernet TAPs 14 and 15 tapped without feedback and to the input ports Rx of the security Gateway supervisors 8.
- the security gateway supervisor 8 compares the incoming and outgoing data of the security gateway 1 in order to determine manipulation freedom and integrity of the transmitted data, whereby the correct functioning of the security gateway 1 is monitored.
- FIG. 4 shows an error-free functional state of the security gateway 1. It can be seen that the data or data packets 17 to be transmitted from the public network 2 to a secure network 16 via the security gateway 1 and the data or data packets 18 on the Side of the secure network 16 by the security gateway supervisor 8 respectively a hash function 19 and 20 are supplied and stored as hash values 21 and 22 on a comparator 23. The comparator 23 determines whether the hash values 21 and 22 have changed as expected within a pass period of the security gateway 2. If this is the case, as assumed in the functional state in FIG. 4, it is ensured that the security gateway 1 carries out the encryption and has not failed.
- the failure monitoring is necessary because even with a failed security gateway 1, the data stream is not interrupted, so that inadmissibly manipulated data could affect the secure network 16 under certain circumstances in a dangerous manner.
- FIG. 5 illustrates an error condition in which the comparator 23 determines that the hash values within the
- Runtime do not match. In this way, a malfunction of the security gateway 1 is disclosed.
- FIG. 6 illustrates a fault condition in which the security gateway 1 addresses encrypted data packets 18a to a destination 23 within the secure network 16, which is not provided. Also in this case, the security gateway supervisor 8 determines the error. For this purpose, a register 24 with destination-specific data characteristics is provided. If the addressed destination 23 requests data characteristics that the data stream addressed to the destination 23 does not have, an error of the security gateway 1 is present and the security gateway supervisor 8 triggers an alarm function. Also
- Unauthorized data manipulation on the side of the public network for example via backdoor, can be detected by the security gateway supervisor 8 in this way.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Die Erfindung betrifft ein sicherheitsrelevantes System, insbesondere Eisenbahnsicherungssystem, mit einem Security-Gateway (1) zur Datenübertragung zwischen einem öffentlichen Netzwerk (2) und einem sicheren Netzwerk (16). Um eine Ausfalloffenbarung des Security-Gateways (1) zu ermöglichen, ist vorgesehen, dass ein Security-Gateway-Supervisor (8) das Security-Gateway (1) überbrückt, die eingehenden und ausgehenden Daten (17 und 18) des Security-Gateways (1) rückwirkungsfrei abgreift und Mittel zum Vergleich der abgegriffenen Daten (17 und 18) aufweist.
Description
Beschreibung
SICHERHEITSRELEVANTES SYSTEM MIT SUPERVISOR Die Erfindung betrifft ein sicherheitsrelevantes System, insbesondere Eisenbahnsicherungssystem, mit einem Security- Gateway zur Datenübertragung zwischen einem öffentlichen Netzwerk und einem sicheren Netzwerk. Für das Übertragen von sicherheitsrelevanten Daten definiert die Norm EN 50159:2010 drei Kategorien von Übertragungsnetzen, nämlich geschlossene, sichere Netzwerke, offene Netzwerke mit vernachlässigbarem Sicherheitsrisiko und öffentliche Netzwerke mit erheblichem Sicherheitsrisiko. Unter Sicher- heitsrisiko ist dabei insbesondere die Wahrscheinlichkeit eines nicht autorisierten Zugriffes von Systemen oder Personen auf das Netzwerk zu verstehen.
Die nachfolgende Beschreibung bezieht sich im Wesentlichen auf Eisenbahnsicherungssysteme, ohne dass die Erfindung auf diese Anwendung beschränkt ist. Vielmehr ist eine Nutzung bei verschiedenen sicherheitsrelevanten Systemen, beispielsweise bei industriellen Fertigungsprozessen oder bei Kraftwerksystemen, möglich.
Die zur Kategorie drei gehörenden öffentlichen Netzwerke werden im Bahnumfeld immer bedeutsamer, da die Bahnbetreiber zunehmend Dienste verschiedener Netzwerke verwenden. Sobald jedoch signaltechnisch sichere Netzwerke über ein öffentliches Netzwerk miteinander gekoppelt sind oder in irgendeiner Form über Koppelrechner an öffentlichen Netzen angeschlossen sind, besteht die Gefahr von unautorisiertem Zugriff auf die signaltechnisch sicheren Netzwerke, in denen sicherheitsrelevante Daten übertragen werden. Um dieses Risiko für die signal- technische Sicherheit so gering wie möglich zu halten, fordert die oben genannte Norm EN 50159:2010 Gegenmaßnahmen auf der Grundlage kryptografischer Methoden, wodurch die Datenintegrität sichergestellt und/oder unautorisierter Zugriff auf
das sichere Netzwerk verhindert wird. Die durch die Norm vorgegebenen Maßnahmen sind Voraussetzung für die Abnahme und Zulassung des Gesamtsystems durch nationale Zulassungsbehörden .
Wenn ein öffentlich zugängliches Netzwerk unmittelbar an ein Netzwerk zur Übertragung signaltechnisch sicherer Daten grenzt, sind bisher besondere Firewalls oder Security- Gateways zur Datenverschlüsselung eingesetzt worden. Grund- sätzlich gibt es zwei unterschiedliche Arten von Security-
Funktionen, nämlich Zugriffsschutz und Schutz der Datenintegrität, so dass signaltechnisch sichere Daten nicht unerkannt manipuliert werden können. Für beide Security-Funktionen gibt es im freien Markt kaum kommerzielle Produkte, die bahntech- nisch zulassungsfähig wären. Außerdem sind gemäß der oben genannten Norm EN 50159:2010 zusätzliche Maßnahmen notwendig, um sicherzustellen, dass die verwendeten Gateways bei Ausfall ihrer kryptografischen Funktionen unmittelbar identifiziert werden können. Diese Erkennbarkeit ist problematisch, da durch Ausfall der kryptografischen Funktionen die Kommunikation als solche nicht beeinträchtigt wird. Das defekte Secu- rity-Gateway kann dann immer noch als Übertragungsdraht arbeiten. Daraus resultiert ein ungeschützter Zustand, bei dem ein unautorisierter Zugriff oder Datenmanipulation möglich ist, so dass letztlich die erforderliche signaltechnische Sicherheit nicht mehr gegeben ist.
Der Erfindung liegt die Aufgabe zugrunde, ein sicherheitsrelevantes System mit einem Security-Gateway gattungsgemäßer Art anzugeben, bei dem ein Ausfall der kryptografischen Funktionalität des Security-Gateways unmittelbar erkennbar ist.
Erfindungsgemäß wird die Aufgabe dadurch gelöst, dass ein Se- curity-Gateway-Supervisor vorgesehen ist, der das Security- Gateway überbrückt, die eingehenden und ausgehenden Daten des Security-Gateways rückwirkungsfrei abgreift und Mittel zum Vergleich der abgegriffenen Daten des Security-Gateways aufweist .
Der Security-Gateway-Supervisor ist in der Lage, beliebige Security-Gateways für beide Arten von Security-Funktionen, nämlich Netzwerk-Zugangsschutz und Integritätsschutz zu über- wachen, da in jedem Fall die eingehenden und ausgehenden Daten des Security-Gateways verglichen werden. Dazu ist der Security-Gateway-Supervisor auf der sicheren und der unsicheren Netzwerkseite über rückwirkungsfreie Kanäle angeschlossen, welche alle eingehenden Daten abgreifen. Der Security- Gateway-Supervisor vergleicht die Daten der unsicheren Seite mit den kryptografisch aufbereiteten Ausgangs-Daten zum sicheren Netzwerk - und umgekehrt. Auf diese Weise wird die von der Norm EN 50159:2010 geforderte unabhängige und manipulationssichere Ausfallüberwachung des Security-Gateways reali- siert, so dass das Eisenbahnsicherungssystem auch bei An- schluss an öffentliche Netze zulassungsfähig wird. Dabei können auch auf dem freien Markt zugekaufte Security-Gateways eingesetzt werden, deren Ausfallsicherheit gering oder nicht bekannt ist, oder die über keine eingebaute Ausfalloffenba- rung verfügen. Darüber hinaus kann das behördliche Zulassungsverfahren vereinfacht werden, da nur der Security- Gateway-Supervisor zugelassen werden muss und von der Zulassung der deutlich komplexeren Security-Gateways abgesehen werden kann.
Der Security-Gateway-Supervisor kann auf einem herkömmlichen Rechner implementiert sein und muss nicht speziell für Eisenbahnsicherungssysteme konzipiert sein. Mit dem Security- Gateway-Supervisor werden die bekannten Parameter der Daten, die zwischen öffentlichen und sicheren Netzwerken ausgetauscht werden dürfen, überwacht. Das Security-Gateway, welches diese Daten mit kryptografischen Methoden gegen unerlaubte Manipulationen schützen soll, benötigt die Kenntnis dieser Parameter nicht. Letztlich ergibt sich der Vorteil, dass mit der Kenntnis der Kommunikationseigenschaften der sicheren Netzwerke eine vergleichsweise einfache Ausfalloffenbarung realisierbar ist. Es ist lediglich erforderlich, ein-
gehende und ausgehende Daten des Security-Gateways miteinander zu vergleichen.
Gemäß Anspruch 2 ist vorgesehen, dass die Daten rückwirkungs- frei eingangsseitig und ausgangsseitig des Security-Gateways abgegriffen werden, insbesondere mittels Ethernet-TAPs . Wenn auf beiden Seiten des Security-Gateways Ethernet zur Datenübertragung an den Security-Gateway-Supervisor verwendet wird, erfolgt der Datenabgriff absolut rückwirkungsfrei. Auf- grund der Rückwirkungsfreiheit ist eine Manipulation des Se- curity-Gateway-Supervisors ausgeschlossen .
Eine besonders bevorzugte Ausführungsform ist gemäß Anspruch 3 dadurch gekennzeichnet, dass die Vergleichsmittel zum Ver- gleich von Hash-Werten der eingehenden und ausgehenden Daten des Security-Gateways ausgebildet sind. Auf diese Weise wird die Performance des Security-Gateway-Supervisors erheblich verbessert. Da die Überwachung der eingehenden und der ausgehenden Daten des Security-Gateways hohe Rechenleistung erfor- dert und der Speicherbedarf mit dem Überwachungszeitraum massiv ansteigt, ist das Berechnen und Vergleichen von Hash- Werten der Eingangs- und Ausgangsdaten sehr vorteilhaft, um Rechnerkapazität einzusparen. Unter Daten sind hier auch Datenpakete subsummiert . Beliebig große Datenpakete werden mit- tels einer Hash-Funktion auf einen Hash-Wert abgebildet, der nur eine geringe Anzahl von Bites umfasst. Diese Hash-Werte, die nicht größer sind als der Adressraum des verfügbaren Arbeitsspeichers des Security-Gateway-Supervisors, können direkt zur Adressierung und zum Vergleich in einem Hash-Werte- Speicher verwendet werden. Hierdurch entfällt der zeitliche Aufwand, nach identischen Hash-Werten zwischen Eingang und Ausgang des Security-Gateways zu suchen. Der Security- Gateway-Supervisor kann direkt den Hash-Wert verwenden, um auf Speicherzellen zuzugreifen, in denen zum Beispiel der Zeitstempel abgelegt ist, wann Informationen beziehungsweise Daten zuletzt an einem Eingang des Security-Gateway- Supervisors detektiert worden sind. Führt ein Datenpaket auf der unsicheren Netzwerkseite innerhalb einer bestimmten, sehr
kurzen Zeit zum gleichen Hash-Wert wie auf der sicheren Netzwerkseite, dann ist dies ein Indikator dafür, dass keine kryptografische Verschlüsselung auf dieses Datenpaket angewendet worden ist. Das bedeutet, dass die Security-Funktion des Security-Gateways ausgefallen ist, wodurch eine Ausfalloffenbarung mit entsprechenden Sicherheitsreaktionen initiiert wird.
Auch ein Teilausfall kryptografischer Funktionen des Securi- ty-Gateways kann erkannt werden, da der Überwachungszeitraum zwischen Eingang und Ausgang der Datenpakete, das heißt der DurchlaufZeitraum über das Security-Gateway, nur so groß sein muss, wie der Überwachungszeitraum sicherer Datenpakete. Ein Safety-Protokoll erkennt die Veralterung von Daten. Ein Feh- lerfall, bei dem die Durchlaufzeit der Datenpakete größer ist als der Überwachungszeitraum, kann auf diese Weise offenbart werden und wie der Totalausfall des Security-Gateways eine Sicherheitsreaktion initiieren. Außerdem kann der Security-Gateway-Supervisor das Nutzen von geheimen Hintertüren
- Backdoors - entdecken, da dann Datenpakete in das sichere Netzwerk eingeschleust werden sollen, die nicht den Regeln von erlaubten Datenpaketen entsprechen.
Gemäß Anspruch 4 ist vorgesehen, dass der Security-Gateway- Supervisor Fehleroffenbarungsfunktionalität derart aufweist, dass bei von dem Security-Gateway an einen falschen Bestimmungsort adressierten Daten eine Alarmfunktion ausgelöst wird. Schwerwiegende Folgen durch einen unautorisierten Zugriff auf nicht vorgesehene Bestimmungsorte, das heißt Rechner, innerhalb des Eisenbahnsicherungssystems werden somit sicher verhindert. Nachfolgend wird die Erfindung anhand figürlicher Darstellungen näher erläutert. Es zeigen:
Figur 1 Basisfunktionen eines Security-Gateways zwischen einem öffentlichen und einem sicheren Netzwerk, Figur 2 eine Architektur zur Übertragung sicherheitsrelevanter Daten über ein öffentliches Netzwerk,
Figur 3 ein Security-Gateway mit Ethernet-
Anschluss und
Figuren 4 bis 6 Sicherheitsfunktionen eines Security- Gateway-Supervisors . Figur 1 veranschaulicht den prinzipiellen Aufbau eines Eisenbahnsicherungssystems, welches über ein Security-Gateway 1 mit einem öffentlichen Netz 2 verbunden ist. Das Eisenbahnsicherungssystem besteht im Wesentlichen aus einem Verkehrssteuerungsnetzwerk 3 zur Vorgabe von Fahrplan- und anderen übergeordneten Daten an mindestens ein Stellwerk 4, welches Feldelemente 5, beispielsweise Weichen, Signale und Bahnübergänge, ansteuert. Das Security-Gateway 1 verhindert, dass nicht erlaubte Daten 6 und 7, zum Beispiel ein böswilliger Angriff, von dem öffentlichen Netzwerk 2 in das Eisenbahnsi- cherungssystem übertragen werden. Um die Sicherheit weiter zu erhöhen, wird das Security-Gateway 1 von einem Security- Gateway-Supervisor 8 überwacht.
Figur 2 zeigt eine Netzwerk-Architektur, bei der Daten zwi- sehen zwei sicheren Netzwerken 9 und 10, beispielsweise Eisenbahnsicherungssystemen, über das öffentliche Netzwerk 2 mittels eines Sicherheitstunnels 11 ausgetauscht werden. Die sicheren Netzwerke 9 und 10 sind dabei jeweils an der
Schnittstelle zu dem öffentlichen Netzwerk 2 mit einem Secu- rity-Gateway 1 inklusive Security-Gateway-Supervisor 8 verbunden, wodurch der Sicherheitstunnel 11 gebildet wird.
Figur 3 zeigt eine Beschaltung des Security-Gateways 1 auf der Basis von Ethernet-Datenkanälen 12 und 13 mit Eingangsports Rx und Ausgangsports Tx, welche an dem Security-Gateway 1 und dem Security-Gateway-Supervisor 8 angeschlossen sind. Der Security-Gateway-Supervisor 8 überbrückt das Security- Gateway 1, wobei die Daten der Ethernet-Kanäle 12 und 13 sowohl eingangsseitig als auch ausgangsseitig des Security- Gateways 1 über Ethernet-TAPs 14 und 15 rückwirkungsfrei abgegriffen und an die Eingangsports Rx des Security-Gateway- Supervisors 8 übertragen werden. Der Security-Gateway- Supervisor 8 vergleicht die eingehenden und ausgehenden Daten des Security-Gateways 1, um Manipulationsfreiheit und Integrität der übertragenden Daten festzustellen, wodurch die korrekte Funktionsweise des Security-Gateways 1 überwacht wird. Verschiedene Funktionszustände des Security-Gateways 1 veranschaulichen die Figuren 4, 5 und 6.
Figur 4 zeigt einen fehlerfreien Funktionszustand des Security-Gateways 1. Es ist ersichtlich, dass die von dem öffentli- chen Netzwerk 2 an ein sicheres Netzwerk 16 über das Security-Gateway 1 zu übertragenden Daten beziehungsweise Datenpakete 17 und die Daten beziehungsweise Datenpakete 18 auf der Seite des sicheren Netzwerkes 16 mittels des Security- Gateway-Supervisors 8 jeweils einer Hash-Funktion 19 und 20 zugeführt und als Hash-Werte 21 und 22 auf einem Vergleicher 23 gespeichert werden. Der Vergleicher 23 stellt fest, ob sich die Hash-Werte 21 und 22 innerhalb eines DurchlaufZeitraums des Security-Gateways 2 wie erwartet geändert haben. Wenn das der Fall ist, wie bei dem Funktionszustand in Figur 4 vorausgesetzt, ist sichergestellt, dass das Security- Gateway 1 die Verschlüsselung durchführt und nicht ausgefallen ist. Die Ausfallüberwachung ist erforderlich, da auch bei einem ausgefallenen Security-Gateway 1 der Datenstrom nicht unterbrochen wird, so dass unzulässig manipulierte Daten das sichere Netzwerk 16 unter Umständen in gefährlicher Weise beeinträchtigen könnten. Durch die Anwendung der Hash- Funktionen 19 und 20 kann auch ein sehr großer Datenstrom in-
nerhalb kürzester Zeit überwacht werden, so dass im Fehlerfall sofort eine Alarmreaktion ausgelöst werden kann.
Figur 5 veranschaulicht einen Fehlerzustand, bei dem der Ver- gleicher 23 feststellt, dass die Hash-Werte innerhalb der
Durchlaufzeit nicht zusammenpassen. Auf diese Weise wird eine Fehlfunktion des Security-Gateways 1 offenbart.
Figur 6 veranschaulicht einen Fehlerzustand, bei dem das Se- curity-Gateway 1 verschlüsselte Datenpakete 18a an einen Bestimmungsort 23 innerhalb des sicheren Netzwerkes 16 adressiert, der nicht vorgesehen ist. Auch in diesem Fall stellt der Security-Gateway-Supervisor 8 den Fehler fest. Dazu ist ein Register 24 mit Bestimmungsort spezifischen Datencharak- teristika vorgesehen. Falls der adressierte Bestimmungsort 23 Datencharakteristika fordert, die der an den Bestimmungsort 23 adressierte Datenstrom nicht aufweist, liegt ein Fehler des Security-Gateways 1 vor und der Security-Gateway- Supervisor 8 löst eine Alarmfunktion aus. Auch
unauthorisierte Datenmanipulationen auf der Seite des öffentlichen Netzwerkes, beispielsweise über Backdoor, können mittels des Security-Gateway-Supervisors 8 auf diese Weise erkannt werden.
Claims
1. Sicherheitsrelevantes System, insbesondere Eisenbahnsicherungssystem, mit einem Security-Gateway (1) zur Datenübertra- gung zwischen einem öffentlichen Netzwerk (2) und einem sicheren Netzwerk (16),
d a d u r c h g e k e n n z e i c h n e t , dass
ein Security-Gateway-Supervisor (8) vorgesehen ist, der das Security-Gateway (1) überbrückt, die eingehenden und ausge- henden Daten (17 und 18) des Security-Gateways (1) rückwirkungsfrei abgreift und Mittel zum Vergleich der abgegriffenen Daten (17 und 18) aufweist.
2. Sicherheitsrelevantes System nach Anspruch 1,
d a d u r c h g e k e n n z e i c h n e t , dass
die Daten (17 und 18) rückwirkungsfrei eingangsseitig und ausgangsseitig des Security-Gateways (1) , insbesondere mittels Ethernet-TAPs (14 und 15), abgegriffen werden.
3. Sicherheitsrelevantes System nach einem der vorangehenden Ansprüche,
d a d u r c h g e k e n n z e i c h n e t , dass
die Vergleichsmittel zum Vergleich von Hash-Werten (22 und 23) der eingehenden und ausgehenden Daten (17 und 18) des Security-Gateways (1) ausgebildet sind.
4. Sicherheitsrelevantes System nach einem der vorangehenden Ansprüche,
d a d u r c h g e k e n n z e i c h n e t , dass
der Security-Gateway-Supervisor (8) Fehleroffenbarungsfunktionalität derart aufweist, dass bei von dem Security-Gateway
(1) an einen falschen Bestimmungsort (23) adressierten Daten
(18a) eine Alarmfunktion ausgelöst wird.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102013221955.5 | 2013-10-29 | ||
DE102013221955.5A DE102013221955A1 (de) | 2013-10-29 | 2013-10-29 | Sicherheitsrelevantes System |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2015062812A1 true WO2015062812A1 (de) | 2015-05-07 |
Family
ID=51753193
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/EP2014/071298 WO2015062812A1 (de) | 2013-10-29 | 2014-10-06 | Sicherheitsrelevantes system mit supervisor |
Country Status (2)
Country | Link |
---|---|
DE (1) | DE102013221955A1 (de) |
WO (1) | WO2015062812A1 (de) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2544491A (en) * | 2015-11-17 | 2017-05-24 | Airbus Ds Ltd | Improvements in and relating to communication links |
CN112560083A (zh) * | 2020-12-02 | 2021-03-26 | 支付宝(杭州)信息技术有限公司 | 安全保护方法、装置及电子设备 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102016205983A1 (de) | 2016-04-11 | 2017-10-12 | Siemens Aktiengesellschaft | Anordnung zum Überprüfen von wenigstens einer Firewall-Einrichtung und Verfahren zum Schutz wenigstens eines Datenempfängers |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1130850A2 (de) * | 2000-03-01 | 2001-09-05 | Tektronix, Inc. | Nicht-beeinflussende Bestimmung von Ende-zu-Ende Netzwerkeingenschaften |
EP1511220A2 (de) * | 2003-08-29 | 2005-03-02 | Agilent Technologies, Inc. | Eingriffsfreies Verfahren zur Entdeckung von Lenkwegrichtlinien |
US20090147796A1 (en) * | 2007-12-10 | 2009-06-11 | Alcatel Lucent | Input/output buffer controller for optimized memory utilization and prevention of packet under-run errors |
US20100138534A1 (en) * | 2008-11-25 | 2010-06-03 | Rishi Mutnuru | Systems and methods for monitor an access gateway |
-
2013
- 2013-10-29 DE DE102013221955.5A patent/DE102013221955A1/de not_active Withdrawn
-
2014
- 2014-10-06 WO PCT/EP2014/071298 patent/WO2015062812A1/de active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1130850A2 (de) * | 2000-03-01 | 2001-09-05 | Tektronix, Inc. | Nicht-beeinflussende Bestimmung von Ende-zu-Ende Netzwerkeingenschaften |
EP1511220A2 (de) * | 2003-08-29 | 2005-03-02 | Agilent Technologies, Inc. | Eingriffsfreies Verfahren zur Entdeckung von Lenkwegrichtlinien |
US20090147796A1 (en) * | 2007-12-10 | 2009-06-11 | Alcatel Lucent | Input/output buffer controller for optimized memory utilization and prevention of packet under-run errors |
US20100138534A1 (en) * | 2008-11-25 | 2010-06-03 | Rishi Mutnuru | Systems and methods for monitor an access gateway |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2544491A (en) * | 2015-11-17 | 2017-05-24 | Airbus Ds Ltd | Improvements in and relating to communication links |
WO2017085480A1 (en) * | 2015-11-17 | 2017-05-26 | Airbus Ds Limited | Improvements in and relating to communication links |
US10887054B2 (en) | 2015-11-17 | 2021-01-05 | Airbus Defence And Space Limited | Communication links |
GB2544491B (en) * | 2015-11-17 | 2022-03-02 | Airbus Defence & Space Ltd | Improvements in and relating to communication links |
US11374689B2 (en) | 2015-11-17 | 2022-06-28 | Airbus Defence And Space Limited | Mission-critical communication links for industrial control systems |
CN112560083A (zh) * | 2020-12-02 | 2021-03-26 | 支付宝(杭州)信息技术有限公司 | 安全保护方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
DE102013221955A1 (de) | 2015-05-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE19952527C2 (de) | Verfahren und Transaktionsinterface zum gesicherten Datenaustausch zwischen unterscheidbaren Netzen | |
EP2684154B1 (de) | Verfahren und steuereinheit zur erkennung von manipulationen an einem fahrzeugnetzwerk | |
DE69533024T2 (de) | Zugriffskontrollsystem für an einem Privatnetz angeschlossene Computer | |
WO2017190997A1 (de) | Verfahren und integritätsprüfsystem zur rückwirkungsfreien integritätsüberwachung | |
WO2015062812A1 (de) | Sicherheitsrelevantes system mit supervisor | |
EP3122016B1 (de) | Automatisierungsnetzwerk und verfahren zur überwachung der sicherheit der übertragung von datenpaketen | |
WO2011144419A1 (de) | Verfahren zur dynamischen autorisierung eines mobilen kommunikationsgerätes | |
EP3105898B1 (de) | Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur | |
DE102007024720B4 (de) | Vorrichtung und Verfahren zum Schutz eines medizinischen Geräts und eines von diesem Gerät behandelten Patienten vor gefährdenden Einflüssen aus einem Kommunikationsnetzwerk | |
WO2013000710A1 (de) | Verfahren und vorrichtung zum überwachen eines vpn-tunnels | |
DE102013219698A1 (de) | Filtern eines Datenpaketes durch eine Netzwerkfiltereinrichtung | |
EP3699705A1 (de) | Verfahren zur überwachung eines industriellen kommunikationsnetzwerkes, sicherheits-system, industrielles kommunikationsnetzwerk, computerprogramm und computerlesbares medium | |
WO2014191179A1 (de) | Verfahren und vorrichtung zum filtern eines datenpaketes | |
EP3987742A1 (de) | Filter, anordnung und betriebsverfahren für eine anordnung | |
DE102018216959B4 (de) | Verfahren zur Absicherung eines Datenpakets durch eine Vermittlungsstelle in einem Netzwerk, Vermittlungsstelle und Kraftfahrzeug | |
DE202015004439U1 (de) | Überwachungsvorrichtung und Netzwerkteilnehmer | |
DE102010000824A1 (de) | System zur Durchführung von Ferndienstleistungen für eine technische Anlage | |
EP2446599B1 (de) | Gegen manipulation geschützte datenübertragung zwischen automatisierungsgeräten | |
EP3603011B1 (de) | Vorrichtungen und verfahren zum betreiben einer mobilfunkkommunikation mit einer streckenseitigen einrichtung | |
EP4060947B1 (de) | Authentifizieren eines knotens in einem kommunikationsnetz einer automatisierungsanlage | |
EP3957033B1 (de) | Rechenanlage und verfahren zum betreiben einer rechenanlage | |
EP3661830B1 (de) | Konzept zum überwachen eines an ein stellwerk eingehenden netzwerkverkehrs | |
LU501035B1 (de) | Verfahren und System zum Absichern des Austausches von Daten in einem Netzwerksystem für industrielle Steuerungen | |
EP3957052B1 (de) | Rechenanlage und verfahren zum betreiben einer rechenanlage | |
AT507122B1 (de) | Verfahren zum betrieb einer transaktionsbasierten ablaufsteuerung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 14786631 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 14786631 Country of ref document: EP Kind code of ref document: A1 |