WO2021099561A1 - Verfahren zum sicheren datenkommunikation in einem rechnernetzwerk - Google Patents

Verfahren zum sicheren datenkommunikation in einem rechnernetzwerk Download PDF

Info

Publication number
WO2021099561A1
WO2021099561A1 PCT/EP2020/082870 EP2020082870W WO2021099561A1 WO 2021099561 A1 WO2021099561 A1 WO 2021099561A1 EP 2020082870 W EP2020082870 W EP 2020082870W WO 2021099561 A1 WO2021099561 A1 WO 2021099561A1
Authority
WO
WIPO (PCT)
Prior art keywords
computer
data
data connection
key
connection
Prior art date
Application number
PCT/EP2020/082870
Other languages
English (en)
French (fr)
Inventor
Claudio COLOMBANO
Original Assignee
Inventio Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inventio Ag filed Critical Inventio Ag
Priority to AU2020385641A priority Critical patent/AU2020385641A1/en
Priority to EP20807450.0A priority patent/EP4062615A1/de
Priority to US17/755,975 priority patent/US20220407848A1/en
Priority to BR112022009812A priority patent/BR112022009812A2/pt
Priority to CN202080080677.4A priority patent/CN114747178A/zh
Publication of WO2021099561A1 publication Critical patent/WO2021099561A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/34Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
    • B66B1/3415Control system configuration and the data transmission or communication within the control system
    • B66B1/3423Control system configuration, i.e. lay-out
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/34Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
    • B66B1/3415Control system configuration and the data transmission or communication within the control system
    • B66B1/3446Data transmission or communication within the control system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Definitions

  • the present invention relates to a method for communicating data in a computer network and to a computer network configured to carry out this method, in particular in a passenger transport system.
  • Computers which are often referred to as computers, are used in a wide variety of applications for processing data. In a wide range of applications, computers must be able to exchange data with other computers. For this purpose, several computers are connected to a computer network via data connections.
  • the authenticity of computers participating in the data communication is usually checked in advance.
  • the computers that strive for data communication can exchange authentication data.
  • a previously created list can be used, for example, to check whether the authenticated computers are authorized to communicate with one another.
  • data communication between computers is also encrypted.
  • data to be communicated is encrypted by a sending computer using previously specified encryption data before they are transmitted to a receiving computer, and then decrypted again by the receiving computer using correlating encryption data.
  • the sending computer can encrypt the data to be transmitted with a public key of the receiving computer so that the latter can then decrypt the received data again with its private key, which is to be kept secret and which correlates with the public key. Because both computers use correlating encryption data, the authenticity or authorization of the communicating computers is also checked indirectly.
  • the authentication data can also be made for the authentication data to have a time-limited validity. However, this may require that after this validity has expired, new authentication data must be transmitted to the computers, which in turn may require a data connection between the computers and the authority computer.
  • a need for a method for communicating data in a computer network with which at least some of the deficits mentioned at the outset, as they occur in the conventional operation of computer networks, can be overcome.
  • a method for communicating data in a computer network which can be implemented easily and / or with little hardware expenditure and which nevertheless allows a high level of security in data communication.
  • a computer network that is configured to carry out or control such a method.
  • a passenger transport system that is equipped with such a computer network.
  • a method for communicating data in a computer network between a first computer and a second computer, in particular in a passenger transport system is proposed.
  • the first computer and the second computer are accommodated together in a room protected against unauthorized access.
  • the first computer and the second computer are also connected to one another via a first and a second data connection.
  • the second data connection runs exclusively within the protected area.
  • the second data connection only allows data to be transmitted between the first computer and the second computer.
  • the method comprises at least the following method steps, preferably in the specified order:
  • a computer network with a first computer and a second computer in particular in a passenger transport system, is proposed.
  • the first computer and the second computer are accommodated together in a room protected against unauthorized access.
  • the first computer and the second computer are connected to one another via a first and a second data connection.
  • the second data connection runs exclusively within the protected area.
  • the second data connection only allows data to be transmitted between the first computer and the second computer.
  • the computer network is configured to carry out or control the method according to an embodiment of the first aspect of the invention.
  • a passenger transportation system in particular an elevator system, with a computer network according to an embodiment of the second aspect of the invention is proposed, the protected space being a machine room of the passenger transportation system.
  • computers must be reliably and securely connected to one another via a data network in a wide variety of technical applications communicate, ie exchange data, can.
  • it must be ensured that individual computers only communicate with certain other computers, but do not transmit data to computers that are not authorized for this purpose and / or accept data from computers that are not authorized for this purpose.
  • computers must be able to authenticate, ie a computer must be able to reliably determine the identity of another computer coming into question as a communication partner and, on the basis of the identified identity, determine whether data exchange with this computer is permissible.
  • a first computer and a second computer can be part of a computer network made up of a large number of computers.
  • the first computer can, for example, be a host computer or server computer and the second computer can be a client computer from a plurality of client computers included in the computer network. All these computers can be connected to one another via one or more data connections, i.e. in principle they can be able to exchange data with one another via wired or wireless interfaces.
  • the first computer can exchange data reliably and discretely with the second computer, it must be ensured that no other computer on the computer network can eavesdrop on the data communication between the first and the second computer and that no other computer can intercept the first computer other than the second computer can output.
  • the second computer can authenticate itself to the first computer so that the first computer can be certain of the identity of the second computer and can then determine, based on the identity established in this way, whether there is data communication with the second computer is permissible, ie whether the second computer is authorized to exchange data with the first computer.
  • a prerequisite for the functioning of the method presented here is that the first computer and the second computer are accommodated together in a room protected against unauthorized access, i.e. are in the immediate vicinity of one another.
  • a room can be understood as a physically delimited area, to which normally only persons authorized for this have access.
  • a room can, for example, be a volume in a building or structure surrounded by walls or other physical boundaries, to which access is only possible via one or more lockable doors or the like.
  • a person In order to get into the protected space through such a door, a person must be authorized beforehand, for example by being in possession of a key suitable for unlocking the door.
  • the room protected against unauthorized access can be, for example, a machine room of the passenger transport system.
  • Such a machine room can typically be locked and thus secured against unauthorized access.
  • both a drive machine and a controller used to control this drive machine are accommodated in a machine room.
  • this control usually has a computer that can be viewed as the first computer or host computer.
  • This first computer can communicate with a large number of other computers, which in certain cases can be viewed here as second computers or client computers. Some of these computers can be located within the Machine room are located, other computers can be arranged outside the machine room.
  • a computer can be viewed, for example, which should be able to communicate with the first computer for maintenance purposes or for troubleshooting and for this purpose should be able to exchange data with the first computer.
  • the second computer can be permanently installed in the protected space.
  • the second computer can be temporarily brought into the protected space, for example by a maintenance technician temporarily bringing a maintenance device controlled by the second computer into the machine room.
  • the first and the second computer should be connected to one another both via a first data connection and via a second data connection. Via each of the two data connections, data can be exchanged between the two computers from the first computer to the second computer and / or from the second computer to the first computer.
  • a data connection can be established by wire, i.e. data can be transmitted between the two computers via devices and / or cables connecting the computers.
  • a data connection can be established wirelessly, i.e. data can be transmitted between the two computers via radio, for example.
  • authentication data should first be generated by the first computer, by means of which the second computer can authenticate itself on the first computer.
  • the authentication data contain at least one key to be kept secret.
  • the key to be kept secret is transmitted from the first computer to the second computer via the second data connection.
  • the key to be kept secret can, for example, be part of a key pair made up of a public key and a private key correlating with it. In particular, the key to be kept secret can be the private key of such a key pair.
  • the first computer does not send the key of this authentication data, which is to be kept secret, to the second computer via the first data connection, but rather via the second data connection.
  • the first computer can be sure that the secret key of the authentication data has been sent to a computer that is located within the protected area.
  • the first computer can therefore assume that the second computer receiving the key to be kept secret is authorized to exchange data with the first computer, since otherwise it would not have been allowed to enter the protected area.
  • the first computer can also assume that the secret key can only be known to a second computer that is authorized for communication with the first computer.
  • encrypted data communication is established between the first and the second computer, the authentication data being used at least for the authentication of the second computer by the first computer. .
  • this data communication is not established via the second data connection, but via the first data connection, via which the first computer is also connected to other computers and which generally has different data transmission properties than the second data connection.
  • the first computer can thus check the authenticity of the second computer within the framework of the encrypted data communication established.
  • the method described and the computer network specially designed for this purpose can ensure that data communication required for certain applications can only be established from the first computer with computers that are authorized for this purpose and that are located within the protected area.
  • the data communication protected in this way can be set up with very simple hardware means.
  • the first data connection is configured for data communication at a higher data transmission rate than the second data connection.
  • the first data connection can be designed to transmit data at a higher transmission rate than the second data connection.
  • the first data connection can thus be designed for a larger bandwidth than the second data connection.
  • the data transmission rate to be established via the first data connection can be more than twice as high, preferably more than ten times as high, as that of the second data connection. While the first data connection can thus be designed for a high data throughput, the second data connection can be established with technically simpler means, since it only needs to enable a low transmission rate.
  • the first data connection is also accessible to subscribers in the computer network who are located outside the protected area.
  • the first data connection can be configured in such a way that it can also be used to communicate with the first computer via computers that are not located within the protected space, but are external to it.
  • the first data connection can be part of a local network (LAN - local area network), a wide network (WAN - wide area network) or even a global data network such as the Internet, via which a large number of computers inside and outside the protected space can communicate with each other.
  • the first data connection can be an Ethernet connection.
  • Ethernet connections are a long-established and largely standardized option for data transmission between several computers.
  • Ethernet connections use software in the form of protocols, etc., and hardware in the form of cables, distributors, network cards, etc., which are specified for wired data networks and which are originally for local area networks (LAN). They enable data to be exchanged between the devices connected in a local network using data frames. Transmission rates of up to 400 gigabit / s are currently possible.
  • a data network established with Ethernet connections typically extends over a building, but Ethernet variants over fiber optics can have a range of up to 70 km.
  • the second data connection can only allow data to be transmitted between the first computer and the second computer.
  • the second data connection can thus differ from the first data connection, which in principle can allow data to be transmitted between the first computer and a large number of other computers.
  • the second data connection can thus ensure that only data can be exchanged via it between the first and the second computer, but not with other computers.
  • the second data connection can be a wired data connection.
  • Such a wired data connection can use one or more cables which run between the first and the second computer and via which these two computers can exclusively exchange data.
  • a wired data connection can be established in a technically simple manner by, for example, plugging a data cable with its plugs into one of the computers at opposite ends.
  • the data cable establishing the data connection can be used shielded so that data transmitted via the data cable cannot be intercepted from outside.
  • the data transmission takes place via such a wired data connection exclusively between the two first and second computers arranged in the protected space and can neither be manipulated nor eavesdropped from outside the protected space.
  • the second data connection can be a serial data connection.
  • a serial data connection enables data to be transmitted sequentially between communication partners, for example in the form of individual bits.
  • Such a serial data connection can be established with very simple technical means, for example with a single wire or cable, which can optionally be shielded.
  • the second data connection can be a unidirectional data connection.
  • a unidirectional data connection which is sometimes also referred to as a monodirectional data connection, can be understood to mean a data connection which allows data transmission only in one direction, but not in the opposite direction.
  • a cable can typically not only transmit data unidirectionally
  • the interfaces to be provided on the first and second computers, which are connected to the cable and which are part of the data connection can very well be designed for such unidirectional data communication.
  • the interface provided on the first computer can only be configured to send data but not receive it, whereas the interface provided on the second computer can only be configured to receive data, but not to send it.
  • a particularly confidential data transmission can be established.
  • only a transmission of data from the first computer to the second computer can be made possible via the second data connection.
  • the key to be kept secret is formed by a key for symmetrical data encryption, the key being stored on the first computer as well as on the second computer.
  • the data communication to be established between the first and the second computer is symmetrical encryption
  • the key to be kept secret is formed by a private key of the second computer.
  • a public key corresponding to the private key is generated by the first computer.
  • the authentication data include at least the private key and the public key.
  • authentication data can include a key pair with a private and a public key, the private key being transmitted from the first computer to the second computer via the second data connection
  • the public key is stored on the first computer in a list of authorized keys. In other words, it becomes public
  • the key of the second computer is stored on the first computer in such a way that it can be recognized as trustworthy at a later point in time
  • the public key which is part of a key pair serving as authentication data and which is generated by the first computer itself and then stored, is stored as trustworthy, so that when encrypted data communication is established later for the first computer it can be seen that the associated Communication partner computer is trustworthy, ie authorized.
  • the public key is signed by the first computer and this signed key, together with the private key, forms the authentication data.
  • the signed key can also be transmitted to the second computer.
  • the signed key is also referred to as a certificate or can form a certificate.
  • the second computer can set up an encrypted connection between the second computer and the first computer using Transport Layer Security or also using Secure Sockets Layer, the first computer being able to check the authenticity of the second computer.
  • the second computer can dispense with checking the authenticity of the first computer. However, this could be done optionally.
  • FIG. 1 shows a passenger transport system in the form of an elevator system with a computer network according to an embodiment of the present invention.
  • FIG. 1 shows a passenger transport system 1 in the form of an elevator system 3.
  • an elevator car 7 is displaced vertically by a drive machine 9.
  • the drive machine 9 is controlled by an elevator control 11.
  • the elevator control 11 has a first computer 13 or is controlled by it.
  • the first computer is part of a computer network 15 in which several computers 19, 21, 23 can communicate with the first computer 13 via a first data connection 17.
  • Computers 19 can be accommodated within a machine room 25 in which the controller 11 and the first computer 13 are also located.
  • Other computers 21, 23 can be located outside this machine room 25.
  • the first data connection 17 can be an Ethernet connection and can enable high data transmission rates of, for example, a few kilobits per second through a few megabits per second up to a few gigabits per second.
  • the second computer 27 can, for example, be part of a maintenance tool that is brought along and / or operated by a technician 31 in order to configure the controller 11.
  • the second computer 27 is located within the machine room 25. Since this machine room 25 can only be entered by people through a lockable door 33, it can be viewed as a room 35 protected against unauthorized access.
  • the second computer 27 is connected to the first computer 13 via the first data connection 17 and can use this to exchange data with the first computer 13 at a high data transmission rate.
  • the second computer 27 is on the other hand connected to the first computer 13 via a second data connection 29.
  • This second data connection 29 runs exclusively within the engine room 25. It is preferably designed as a wired data connection and is used exclusively to transmit data between the first computer 13 and the second computer 27.
  • the second data connection 29 is designed as a serial and unidirectional data connection that it only enables data to be transmitted from the first computer 13 in one direction to the second computer 27, but not in the opposite direction.
  • the two computers can assume different roles or perform different tasks.
  • the first computer 13 can, for example, control the controller 11 of the elevator system 3 and thereby be responsible for correct and safe operation of the elevator system 3.
  • the second computer 27 can be a client computer that should be able to interact with the controller 11.
  • Such a client computer can, for example, display and / or modify status information and can be used for maintenance or troubleshooting of an elevator installation 3.
  • Client computer and host computer ie first computer 13 and second computer 27, are all connected to the same local network, that is, can use the common first data connection 17 communicate with each other.
  • This network is used as a connection with a wide bandwidth and shared by all computers in order to form a LAN for the elevator system 3.
  • the client computer, ie the second computer 27, is located together with the first computer 13 within the protected space 35, ie in close proximity to the first computer 13 with which it is to interact.
  • the protected space 35 that is to say the engine room 25 in the example mentioned, is regarded as trustworthy.
  • this room 35 has sufficient physical barriers, such as the lockable door 33, to prevent unauthorized entry.
  • the network can also be accessed by other computers 19, 21, 23 that are not necessarily in the vicinity of the first computer 13, ie by other computers 19, 21, 23 that are not located within the protected space 35 become.
  • the data exchange must be secure. This means that only authorized client computers are allowed to communicate with the server via the local network.
  • a wide area network (WAN) such as the Internet may be available to interact with members of the local area network.
  • the local network i.e.
  • the first data connection 17 should not be allowed to be used to exchange data to be kept secret, such as authentication data or encryption data to be used accordingly, in order to rule out the possibility that this could be read by an attacker eavesdropping on the data traffic.
  • data to be kept secret such as authentication data or encryption data to be used accordingly
  • Conventionally, such assumptions or problems are solved by gradually defining data to be kept secret, for example in the form of software keys or certificates, which identify the client computer and are recognized as authentic by the host computer.
  • this can present the following logistical challenges:
  • Data to be kept secret such as keys or certificates
  • keys or certificates can be generated as different at the time of manufacture of a computer or an assembly by accessing a certified authority computer that is responsible for generating such keys and certificates. While this is possible, it introduces complex additional infrastructure into a manufacturing chain.
  • Keys and certificates can have a kind of expiry date, i.e. have a limited validity in order to reduce the risks of security gaps that are not limited in time.
  • Generating and installing new keys and certificates, for example at periodic intervals, can, however, lead to increased logistics costs, for example if no Internet connection is available and a visit on site is required to install such keys and certificates.
  • a parallel connection can be established between the second computer 27 serving as the client computer and the first computer 13 serving as the server computer, which connection can be assumed to be reliable.
  • the second data connection 29 can be used, for example, in the form of a short serial cable with a physical unidirectional transmission capability from the server computer to the client computer for a secure exchange of data to be kept secret.
  • the cable establishing the second data connection 29 can connect the client computer to the server computer, since these are assumed to be arranged in spatial proximity to one another.
  • the cable can also be assumed to be secured against physical access, since it is located in the protected space 35 and is therefore not easily accessible for eavesdropping or eavesdropping.
  • a configuration in which the cable only enables unidirectional data transmission can help to make it even more difficult to carry out an eavesdropping attack.
  • the first computer 13 generates authentication data by means of which the second computer 27 can authenticate itself on the first computer.
  • the authentication data contain a key of the second computer 27 to be kept secret and a public key of the second computer 27.
  • the first computer 13 stores the public key, for example in a list of authorized keys. This list can be used later to authenticate a client computer such as the second computer 27.
  • the list can be formed, for example, by a file, a database or also by a directory structure and files.
  • the first computer 13 can also sign the public key of the authentication data with its own private key.
  • the signed, public key of the authentication data is also referred to as the certificate in the following.
  • the first computer 13 sends the key of the authentication data to be kept secret to the second computer 27 via the serial, preferably unidirectional cables 29, for example with a standard serial protocol such as RS232.
  • the public key of the authentication data or the certificate can also be transmitted to the second computer, this transmission being able to take place either via the first data connection 17 or via the second data connection 29.
  • the second computer 27 can store it, for example in a permanent data memory. Likewise, the public key of the authentication data or the certificate can be saved if this or this has been transmitted to the second computer 27.
  • the second computer 27 can then use this key, which is to be kept secret, in order to establish authenticated data communication with the first computer via the local network, that is to say via the first data connection 17.
  • the first computer 13 can authenticate the second computer 27, since the first computer 13 has the public key corresponding to the private key of the authentication data in the list of authorized keys. Alternatively, the first computer 13 can check the signature of the certificate.
  • the data connection between the first computer 13 and the second computer 27 is also encrypted.
  • a known encryption method such as, for example, Transport Layer Security or Secure Sockets Layer, can be used for this purpose.
  • the first computer 13 generates authentication data by means of which the second computer 27 can authenticate itself on the first computer.
  • the authentication data contain a key that is to be kept secret.
  • the first computer 13 stores the key to be kept secret, for example in a list of authorized keys to be kept secret. This list can later be used to authenticate the second computer 27.
  • the first computer 13 sends the key to be kept secret to the second computer 27 via the serial, preferably unidirectional cable which forms the second data connection 29.
  • serial preferably unidirectional cable which forms the second data connection 29.
  • a standard serial protocol such as RS232 can be used for this.
  • the second computer 27 can store it, for example in a permanent data memory.
  • the second computer 27 can then use this key, which is to be kept secret, in order to establish authenticated as well as secure data communication with the first computer 13 via the local network, that is to say via the first data connection 17.
  • the first computer 13 can authenticate the second computer, since only the first computer 13 and the second computer know the secret key.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Es werden ein Verfahren zum Kommunizieren von Daten in einem Rechnernetzwerk (15) zwischen einem ersten Rechner (13) und einem zweiten Rechner (27), insbesondere in einer Personentransportanlage (1), sowie ein zur Durchführung dieses Verfahrens 5 konfiguriertes Rechnernetzwerk (15) beschrieben. Der erste Rechner (13) und der zweite Rechner (27) sind dabei gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum (35) aufgenommen. Der erste Rechner (13) und der zweite Rechner (27) sind über eine erste und eine zweite Datenverbindung (17, 29) miteinander verbunden. Die zweite Datenverbindung (29) verläuft hierbei ausschließlich innerhalb des geschützten Raums 10 (35) und lässt ausschließlich eine Übermittlung von Daten zwischen dem ersten Rechner (13) und dem zweiten Rechner (27) zu. Das Verfahren umfasst zumindest folgende Schritte: Erzeugen von Authentifizierungsdaten durch den ersten Rechner (13) und Übermitteln der Authentifizierungsdaten von dem ersten Rechner (13) an den zweiten Rechner (27) 15 über die zweite Datenverbindung (29).

Description

VERFAHREN ZUM SICHEREN DATENKOMMUNIKATION IN EINEM RECHNERNETZWERK
Beschreibung
Die vorliegende Erfindung betrifft ein Verfahren zum Kommunizieren von Daten in einem Rechnemetzwerk sowie ein zur Durchführung dieses Verfahrens konfiguriertes Rechnemetzwerk, insbesondere in einer Personentransportanlage.
Rechner, welche oft auch als Computer bezeichnet werden, werden in verschiedensten Anwendungen zur Verarbeitung von Daten eingesetzt. In vielfältigen Anwendungen müssen Rechner Daten mit anderen Rechnern austauschen können. Hierzu werden mehrere Rechner über Datenverbindungen zu einem Rechnemetzwerk zusammengeschlossen.
Bei vielen Anwendungsfällen muss sichergestellt sein, dass Daten ausschließlich zwischen Rechnern ausgetauscht werden, die zu einem solchen Datenaustausch autorisiert sind. Rechner, die zu einem solchen Datenaustausch nicht autorisiert sind, sollen keine Daten mit anderen Rechnern des Rechnemetzwerkes austauschen können oder einen Datenaustausch zwischen autorisierten Rechnern abhören können.
Zu diesem Zweck wird bei der Kommunikation von Daten in einem Rechnemetzwerk meist vorab eine Authentizität von an der Datenkommunikation teilnehmenden Rechnern überprüft. Hierzu können die Rechner, die eine Datenkommunikation anstreben, Authentifiziemngsdaten austauschen. Nach dem Prüfen der Authentizität der kommunizierenden Rechner kann beispielsweise mithilfe einer zuvor angelegten Liste überprüft werden, ob die authentifizierten Rechner autorisiert sind, miteinander zu kommunizieren.
In manchen Fällen wird eine Datenkommunikation zwischen Rechnern auch verschlüsselt durchgeführt. D.h., zu kommunizierende Daten werden unter Einsatz von zuvor festgelegten Verschlüsselungsdaten von einem sendenden Rechner verschlüsselt, bevor sie an einen empfangenden Rechner übermittelt werden, und anschließend von dem empfangenden Rechner unter Einsatz korrelierender Verschlüsselungsdaten wieder entschlüsselt. Beispielsweise kann der sendende Rechner die zu übermittelnden Daten mit einem öffentlichen Schlüssel des empfangenden Rechners verschlüsseln, sodass letzterer die empfangenen Daten anschließend mit seinem privaten, geheim zu haltenden Schlüssel, der mit dem öffentlichen Schlüssel korreliert, wieder entschlüsseln kann. Dadurch, dass beide Rechner korrelierende Verschlüsselungsdaten verwenden, wird indirekt auch die Authentizität bzw. die Autorisierung der kommunizierenden Rechner überprüft.
Bei der beschriebenen Art der Kommunikation von Daten zwischen Rechnern eines Rechnemetzwerks muss sichergestellt sein, dass Authentifizierungsdaten bzw. Verschlüsselungsdaten zwischen den Rechnern vorab ausgetauscht bzw. bekannt gemacht wurden. Dabei muss auch sichergestellt sein, dass diese Authentifizierungsdaten bzw. Verschlüsselungsdaten ausschließlich den beteiligten Rechnern bekannt werden, aber nicht von anderen Rechnern mitgelesen, abgehört oder in anderer Weise ermittelt werden können.
Um den genannten Anforderungen gerecht werden zu können, muss herkömmlich bei Rechnemetzwerken ein erheblicher Aufwand betrieben werden, um einerseits sicherstellen zu können, dass autorisierte Rechner geeignet Authentifizierungsdaten austauschen können und dann in eine Datenkommunikation miteinander eintreten können, um andererseits jedoch auch ausschließen zu können, dass unautorisierte Rechner von sich aus Authentifizierungsdaten ermitteln oder abhören können, um dann unberechtigt in eine Datenkommunikation eintreten zu können.
Bei herkömmlichen Ansätzen wird beispielsweise davon ausgegangen, dass alle Authentifiziemngsdaten von Teilnehmern eines Rechnemetzwerks untereinander verschieden und ausreichend komplex sind, sodass sie nicht zufällig oder durch gezieltes umgekehrtes Entwickeln (reverse engineering) ermittelt werden können. Authentifiziemngsdaten können dabei für jeden Rechner bereits bei dessen Herstellung ermittelt und in dem Rechner abgespeichert werden. Allerdings kann dies erfordern, dass es einen Zugang zu einem zertifizierten Autoritätsrechner gibt, der für die Generierung solcher Authentifiziemngsdaten verantwortlich ist. Hierfür kann zusätzliche komplexe Infrastruktur benötigt werden. Außerdem kann ein Risiko bestehen, dass der zertifizierte Autoritätsrechner beispielsweise durch Datenlecks abgehört wird, sodass unautorisierte Dritte Zugang zu Authentifizierungsdaten erlangen können. Datenlecks können dabei schwierig zu erkennen und/oder zu beheben sein. Insbesondere können Datenlecks dazu führen, dass für eine Vielzahl von Rechnern bereits früher erstellte Authentifizierungs daten aufwendig durch neue Authentifizierungsdaten ersetzt werden müssen. Zur Steigerung der Datensicherheit kann ferner vorgesehen sein, dass die Authentifizierungs daten eine zeitlich begrenzte Gültigkeit aufweisen. Dies kann jedoch erfordern, dass nach Ablauf dieser Gültigkeit neue Authentifizierungsdaten an die Rechner übermittelt werden müssen, was wiederum eine Datenverbindung zwischen den Rechnern und dem Autoritätsrechner erforderlich machen kann.
Es kann unter anderem ein Bedarf an einem Verfahren zum Kommunizieren von Daten in einem Rechnemetzwerk bestehen, mit welchem zumindest einige der eingangs genannten Defizite, wie sie beim herkömmlichen Betreiben von Rechnemetzwerken auftreten, überwunden werden können. Insbesondere kann ein Bedarf an einem Verfahren zum Kommunizieren von Daten in einem Rechnemetzwerk bestehen, welches einfach und/oder mit geringem Hardwareaufwand zu implementieren ist und welches trotzdem eine hohe Sicherheit bei der Datenkommunikation erlaubt. Ferner kann ein Bedarf an einem Rechnemetzwerk bestehen, dass zum Ausführen bzw. Steuern eines solchen Verfahrens konfiguriert ist. Schließlich kann ein Bedarf an einer Personentransportanlage bestehen, die mit einem solchen Rechnemetzwerk ausgestattet ist.
Einem solchen Bedarf kann durch den Gegenstand gemäß einem der unabhängigen Ansprüche entsprochen werden. Vorteilhafte Ausführungsformen sind in den abhängigen Ansprüchen sowie der nachfolgenden Beschreibung definiert.
Gemäß einem ersten Aspekt der Erfindung wird ein Verfahren zum Kommunizieren von Daten in einem Rechnemetzwerk zwischen einem ersten Rechner und einem zweiten Rechner, insbesondere in einer Personentransportanlage, vorgeschlagen. Der erste Rechner und der zweite Rechner sind dabei gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum aufgenommen. Der erste Rechner und der zweite Rechner sind ferner über eine erste und eine zweite Datenverbindung miteinander verbunden. Dabei verläuft die zweite Datenverbindung ausschließlich innerhalb des geschützten Raums. Weiter lässt die zweite Datenverbindung ausschließlich eine Übermittlung von Daten zwischen dem ersten Rechner und dem zweiten Rechner zu. Das Verfahren umfasst zumindest die folgenden Verfahrensschritte, vorzugsweise in der angegebenen Reihenfolge:
Erzeugen von Authentifizierungsdaten durch den ersten Rechner, wobei diese Authentifizierungsdaten zumindest einen geheim zu haltenden Schlüssel enthalten; Übermitteln des geheim zu haltenden Schlüssels von dem ersten Rechner an den zweiten Rechner über die zweite Datenverbindung; und
Aufbau einer verschlüsselten Datenkommunikation zum Übertragen von Daten über die erste Datenverbindung und Prüfen der Authentizität des zweiten Rechners durch den ersten Rechner basierend auf den Authentifizierungsdaten.
Gemäß einem zweiten Aspekt der Erfindung wird ein Rechnemetzwerk mit einem ersten Rechner und einem zweiten Rechner, insbesondere in einer Personentransportanlage, vorgeschlagen. Der erste Rechner und der zweite Rechner sind gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum aufgenommen. Der erste Rechner und der zweite Rechner sind über eine erste und eine zweite Datenverbindung miteinander verbunden. Die zweite Datenverbindung verläuft ausschließlich innerhalb des geschützten Raums. Weiter lässt die zweite Datenverbindung ausschließlich eine Übermittlung von Daten zwischen dem ersten Rechner und dem zweiten Rechner zu. Das Rechnemetzwerk ist dazu konfiguriert, das Verfahren gemäß einer Ausführungsform des ersten Aspekts der Erfindung auszuführen oder zu steuern.
Gemäß einem dritten Aspekt der Erfindung wird eine Personentransportanlage, insbesondere eine Aufzuganlage, mit einem Rechnemetzwerk gemäß einer Ausführungsform des zweiten Aspekts der Erfindung vorgeschlagen, wobei der geschützte Raum ein Maschinenraum der Personentransportanlage ist.
Mögliche Merkmale und Vorteile von Ausführungsformen der Erfindung können unter anderem und ohne die Erfindung einzuschränken als auf nachfolgend beschriebenen Ideen und Erkenntnissen beruhend angesehen werden.
Wie einleitend bereits angemerkt, müssen bei verschiedensten technischen Anwendungen mehrere Rechner über ein Datennetzwerk zuverlässig und sicher miteinander kommunizieren, d.h. Daten austauschen, können. In vielen Fällen muss dabei sichergestellt sein, dass einzelne Rechner nur mit bestimmten anderen Rechnern kommunizieren, nicht aber Daten an hierfür nicht autorisierte Rechner übermitteln und/oder von hierfür nicht autorisierten Rechner annehmen. Hierzu müssen sich Rechner authentifizieren können, d.h. ein Rechner muss die Identität eines als Kommunikationspartner infrage kommenden anderen Rechners zuverlässig ermitteln können und anhand der ermittelten Identität feststellen können, ob ein Datenaustausch mit diesem Rechner zulässig ist.
Ein erster Rechner und ein zweiter Rechner können in diesem Zusammenhang Teil eines Rechnemetzwerks aus einer Vielzahl von Rechnern sein. Der erste Rechner kann beispielsweise ein Host-Rechner oder Server-Rechner sein und der zweite Rechner kann ein Client-Rechner aus einer Mehrzahl von in dem Rechnemetzwerk aufgenommenen Client-Rechnern sein. Alle diese Rechner können über eine oder mehrere Daten verbindungen miteinander verbunden sein, d.h., prinzipiell in der Lage sein, über drahtgebundene oder drahtlose Schnittstellen Daten miteinander austauschen zu können.
Damit der erste Rechner zuverlässig und diskret Daten mit dem zweiten Rechner austauschen kann, muss sichergestellt werden können, dass kein anderer Rechner aus dem Rechnemetzwerk die Datenkommunikation zwischen dem ersten und dem zweiten Rechner abhören kann und sich auch kein anderer Rechner gegenüber dem ersten Rechner als der zweite Rechner ausgeben kann.
Hierzu muss im Regelfall sichergestellt sein, dass der zweite Rechner sich gegenüber dem ersten Rechner authentifizieren kann, sodass sich der erste Rechner der Identität des zweiten Rechners gewiss sein kann und dann basierend auf der derart festgestellten Identität ermitteln kann, ob eine Datenkommunikation mit dem zweiten Rechner zulässig ist, d.h. ob der zweite Rechner für einen Datenaustausch mit dem ersten Rechner autorisiert ist.
Um den genannten Anforderungen zumindest in bestimmten Anwendungsfällen gerecht werden zu können, werden hierin ein speziell ausgestaltetes Verfahren zum Kommunizieren von Daten über ein Datennetzwerk zwischen einem ersten Rechner und einen zweiten Rechner sowie ein zur Durchführung dieses Verfahrens ausgestaltetes Rechnemetzwerk vorgestellt.
Eine Voraussetzung, für das Funktionieren des hierin vorgestellten Verfahrens ist dabei, dass der erste Rechner und der zweite Rechner gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum aufgenommen sind, d.h. sich in unmittelbarer Nähe zueinander befinden. Unter einem solchen Raum kann ein physikalisch abgegrenzter Bereich verstanden werden, zudem im Normalfall ausschließlich hierfür autorisierte Personen Zutritt haben. Ein solcher Raum kann beispielsweise ein von Wänden oder sonstigen physikalischen Abgrenzungen umgebenes Volumen in einem Gebäude oder Bauwerk sein, zu dem ausschließlich über eine oder mehrere verriegelbare Türen oder Ähnliches Zutritt besteht. Um durch eine solche Tür in den geschützten Raum zu gelangen, muss sich dabei eine Person zuvor autorisieren, beispielsweise indem sie im Besitz eines zum Entriegeln der Tür geeigneten Schlüssels ist. Es kann somit mit sehr hoher Wahrscheinlichkeit davon ausgegangen werden, dass ausschließlich hierzu autorisierte Personen Zutritt zu den im Innern des geschützten Raums aufgenommenen ersten und zweiten Rechnern erlangen können. Eine solche Person kann beispielsweise ein Techniker sein, der mit der Installation, Konfiguration oder Wartung dieser Rechner beauftragt ist.
Im konkreten Anwendungsfall, bei dem der erste und der zweite Rechner Teil eines Rechnemetzwerks einer Personentransportanlage wie beispielsweise einer Aufzuganlage, einer Fahrtreppe oder eines Fahrsteigs sind, kann der gegen unautorisierten Zutritt geschützte Raum beispielsweise ein Maschinenraum der Personentransportanlage sein.
Ein solcher Maschinenraum ist dabei typischerweise verschließbar und somit gegen unbefügten Zutritt gesichert. In einem Maschinenraum sind typischerweise sowohl eine Antriebsmaschine als auch eine zum Steuern dieser Antriebsmaschine eingesetzte Steuerung aufgenommen. In modernen Personentransportanlagen verfügt diese Steuerung meist über einen Rechner, der hierin als erster Rechner oder Host-Rechner angesehen werden kann. Dieser erste Rechner kann mit einer Vielzahl anderer Rechner, die hierin in bestimmten Fällen als zweite Rechner oder Client-Rechner angesehen werden können, kommunizieren müssen. Manche dieser Rechner können sich innerhalb des Maschinenraums befinden, andere Rechner können außerhalb des Maschinenraums angeordnet sein.
Als Beispiel eines zweiten Rechners, der innerhalb des Maschinenraums angeordnet ist, kann beispielsweise ein Rechner angesehen werden, der zu Wartungszwecken oder zur Fehlerbehebung mit dem ersten Rechner kommunizieren können soll und hierzu Daten mit dem ersten Rechner austauschen können soll. Der zweite Rechner kann dabei fest in dem geschützten Raum installiert sein. Alternativ kann der zweite Rechner temporär in den geschützten Raum eingebracht sein, beispielsweise indem ein Wartungstechniker ein durch den zweiten Rechner gesteuertes Wartungsgerät temporär in den Maschinenraum mitbringt.
Der erste und der zweite Rechner sollen sowohl über eine erste Datenverbindung als auch über eine zweite Datenverbindung miteinander verbunden sein. Über jede der beiden Datenverbindungen können zwischen den beiden Rechnern Daten vom ersten Rechner zum zweiten Rechner und/oder vom zweiten Rechner zum ersten Rechner ausgetauscht werden.
Jede der beiden Datenverbindungen kann dabei auf unterschiedliche Weise physikalisch ausgebildet sein. Eine Datenverbindung kann hierbei drahtgebunden aufgebaut sein, d.h., Daten können zwischen den beiden Rechnern über die Rechner verbindende Geräte und/oder Kabel übertragen werden. Alternativ kann eine Datenverbindung drahtlos aufgebaut sein, d.h. Daten können beispielsweise zwischen den beiden Rechnern über Funk übertragen werden.
Dabei ist wesentlich, dass die zweite Datenverbindung ausschließlich innerhalb des geschützten Raums verläuft. Anders ausgedrückt soll die zweite Datenverbindung ausschließlich implementiert werden können, wenn sich sowohl der erste Rechner als auch der zweite Rechner innerhalb des geschützten Raums befinden. Mit nochmals anderen Worten soll die zweite Datenverbindung weder von außerhalb des geschützten Raums etabliert werden können noch von außerhalb des geschützten Raums abgehört werden können. Bei dem hierin vorgeschlagenen Kommunikationsverfahren sollen dann zuerst Authentifizierungsdaten durch den ersten Rechner erzeugt werden, mittels welchen sich der zweite Rechner am ersten Rechner authentisieren kann. Die Authentifizierungsdaten enthalten zumindest einen geheim zu haltenden Schlüssel. Der geheim zu haltende Schlüssel wird von dem ersten Rechner an den zweiten Rechner über die zweite Datenverbindung übermittelt. Der geheim zu haltende Schlüssel kann beispielsweise Teil eines Schlüsselpaares aus einem öffentlichen Schlüssel und einem mit diesem korrelierenden privaten Schlüssels sein. Insbesondere kann der geheim zu haltende Schlüssel der private Schlüssel eines solchen Schlüsselpaares sein.
Den geheim zu haltenden Schlüssel dieser Authentifizierungsdaten schickt der erste Rechner jedoch nicht über die erste Datenverbindung, sondern über die zweite Datenverbindung an den zweiten Rechner. Auf diese Weise kann der erste Rechner sicher sein, dass der geheime Schlüssel der Authentifizierungsdaten an einen Rechner geschickt wurden, der sich innerhalb des geschützten Raums befindet. Somit kann der erste Rechner davon ausgehen, dass der den geheim zu haltenden Schlüssel empfangende zweite Rechner für einen Datenaustausch mit dem ersten Rechner autorisiert ist, da er ansonsten nicht in den geschützten Raum hätte gelangen dürfen. Weiter kann der erste Rechner davon ausgehen, dass der geheime Schlüssel nur einem zweiten Rechner bekannt sein kann, der für die Kommunikation mit dem ersten Rechner autorisiert ist.
Nachdem der zweite Rechner zumindest den geheim zu haltenden Schlüssel empfangen hat, wird zwischen dem ersten und dem zweiten Rechner eine verschlüsselte Datenkommunikation aufgebaut, wobei die Authentifizierungsdaten zumindest für die Authentifizierung des zweiten Rechners durch den ersten Rechner verwendet werden. .
Dabei wird diese Datenkommunikation jedoch nicht über die zweite Datenverbindung, sondern über die erste Datenverbindung, über die der erste Rechner auch mit anderen Rechnern verbunden ist und die im Allgemeinen andere Datenübertragungseigenschaften aufweist als die zweite Datenverbindung, aufgebaut.
Der erste Rechner kann somit im Rahmen der aufgebauten verschlüsselten Datenkommunikation die Authentizität des zweiten Rechners prüfen. Durch das beschriebene Verfahren und das hierzu speziell ausgestaltete Rechnemetzwerk kann sichergestellt werden, dass eine für bestimmte Anwendungsfälle notwendige Datenkommunikation von dem ersten Rechner nur mit hierzu autorisierten Rechnern, die sich innerhalb des geschützten Raumes befinden, aufgebaut werden kann. Dabei kann die derart geschützte Datenkommunikation mit sehr einfachen Hardware-Mitteln aufgebaut werden.
Gemäß einer Ausführungsform ist die erste Datenverbindung für eine Daten kommunikation mit einer höheren Datenübertragungsrate konfiguriert als die zweite Datenverbindung .
Anders ausgedrückt kann die erste Datenverbindung aufgrund ihrer physikalischen Ausgestaltung und/oder der für diese eingesetzten Hardware und Software dazu ausgelegt sein, Daten mit einer höheren Übertragungsrate zu übertragen als die zweite Datenverbindung. Die erste Datenverbindung kann somit für eine größere Bandbreite ausgelegt sein als die zweite Datenverbindung. Beispielsweise kann die über die erste Datenverbindung zu etablierende Datenübertragungsrate mehr als doppelt so groß, vorzugweise mehr als zehnfach so groß, sein wie diejenige der zweiten Datenverbindung. Während die erste Datenverbindung somit für einen hohen Datendurchsatz ausgelegt sein kann, kann die zweite Datenverbindung mit technisch einfacheren Mitteln etabliert werden, da sie lediglich eine geringe Übertragungsrate zu ermöglichen braucht.
Gemäß einer Ausführungsform ist die erste Datenverbindung auch für Teilnehmer des Rechnemetzwerks, die sich außerhalb des geschützten Raums befinden, zugänglich.
Mit anderen Worten kann die erste Datenverbindung derart ausgestaltet sein, dass über sie auch Rechner mit dem ersten Rechner kommunizieren können, die nicht innerhalb des geschützten Raums angeordnet sind, sondern sich extern zu diesem befinden. Beispielsweise kann die erste Datenverbindung Teil eines lokalen Netzwerks (LAN - local area network), eines weiten Netzwerks (WAN - wide area network) oder eines sogar globalen Datennetzwerks wie zum Beispiel dem Internet sein, über die jeweils eine Vielzahl von Rechnern innerhalb und außerhalb des geschützten Raumes miteinander kommunizieren können. Gemäß einer Ausführungsform kann die erste Datenverbindung eine Ethemetverbindung sein.
Ethemetverbindungen stellen eine seit langem etablierte und weitgehend standardisierte Möglichkeit zur Datenübermittlung zwischen mehreren Rechnern dar. Ethemet verbindungen setzen Software in Form von Protokollen usw. sowie Hardware in Form von Kabeln, Verteilern, Netzwerkkarten usw. ein, welche für kabelgebundene Datennetze spezifiziert sind und welche ursprünglich für lokale Datennetze (LAN - local area network) konzipiert wurden. Sie ermöglichen einen Datenaustausch mithilfe von Datenframes zwischen den in einem lokalen Netz angeschlossenen Geräten. Derzeit sind Übertragungsraten von bis zu 400 Gigabit/s möglich. In seiner ursprünglichen Form erstreckt sich ein mit Ethemetverbindungen etabliertes Datennetzwerk typischerweise über ein Gebäude, Ethemet-Varianten über Glasfaser können jedoch eine Reichweite von bis zu 70 km aufweisen.
Gemäß einer Ausführungsform kann die zweite Datenverbindung ausschließlich eine Übermittlung von Daten zwischen dem ersten Rechner und dem zweiten Rechner zulassen.
Damit kann sich die zweite Datenverbindung von der ersten Datenverbindung unterscheiden, die gmndsätzlich eine Übermittlung von Daten zwischen dem ersten Rechner und einer Vielzahl anderer Rechner zulassen kann. Die zweite Datenverbindung kann damit sicherstellen, dass über sie ausschließlich Daten zwischen dem ersten und dem zweiten Rechner, nicht aber mit anderen Rechnern, ausgetauscht werden können.
Gemäß einer Ausführungsform kann die zweite Datenverbindung eine drahtgebundene Datenverbindung sein.
Eine solche drahtgebundene Datenverbindung kann ein oder mehrere Kabel verwenden, welche zwischen dem ersten und dem zweiten Rechner verlaufen und über welche diese beiden Rechner exklusiv Daten austauschen können. Eine drahtgebundene Daten verbindung lässt sich einerseits technisch einfach etablieren, indem beispielsweise ein Datenkabel mit seinen Steckern an entgegengesetzten Enden in jeweils einen der Rechner eingesteckt wird. Dabei kann das die Datenverbindung etablierende Datenkabel abgeschirmt sein, sodass über das Datenkabel übermittelte Daten nicht von außen her abgehört werden können. Somit erfolgt die Datenübertragung über eine solche drahtgebundene Datenverbindung exklusiv zwischen den beiden in dem geschützten Raum angeordneten ersten und zweiten Rechnern und kann von außerhalb des geschützten Raums weder manipuliert noch abgehört werden.
Gemäß einer Ausführungsform kann die zweite Datenverbindung eine serielle Datenverbindung sein.
Eine serielle Datenverbindung ermöglicht, Daten beispielsweise in Form einzelner Bits sequenziell zwischen Kommunikationspartnem zu übertragen. Eine solche serielle Datenverbindung kann mit sehr einfachen technischen Mitteln etabliert werden, beispielsweise mit einem einzelnen Draht oder Kabel, welche gegebenenfalls geschirmt sein können.
Gemäß einer Ausführungsform kann die zweite Datenverbindung eine unidirektionale Datenverbindung sein.
Unter einer unidirektionalen Datenverbindung, welche manchmal auch als monodirektionale Datenverbindung bezeichnet wird, kann dabei eine Datenverbindung verstanden werden, welche eine Datenübertragung ausschließlich in einer Richtung zulässt, nicht aber in der entgegengesetzten Richtung. Während ein Kabel typischerweise Daten nicht nur unidirektional übertragen kann, können die an dem ersten und dem zweiten Rechner vorzusehenden Schnittstellen, die mit dem Kabel verbunden werden, und die Teil der Datenverbindung sind, sehr wohl für eine solche unidirektionale Datenkommunikation ausgelegt sein. Hierzu kann beispielsweise die an dem ersten Rechner vorgesehene Schnittstelle lediglich dazu ausgestaltet sein, Daten zu senden, aber nicht zu empfangen, wohingegen die an dem zweiten Rechner vorgesehene Schnittstelle lediglich dazu ausgestaltet sein kann, Daten zu empfangen, nicht aber zu senden. Mithilfe einer solchen unidirektionalen Datenverbindung kann eine besonders vertrauliche Datenübermittlung etabliert werden. Insbesondere kann gemäß einer konkretisierten Ausführungsform über die zweite Datenverbindung ausschließlich eine Übermittlung von Daten von dem ersten Rechner zu dem zweiten Rechner ermöglicht sein.
Indem für die zweite Datenverbindung zwischen dem ersten Rechner und dem zweiten Rechner eine solche unidirektionale Datenverbindung eingesetzt wird, kann sichergestellt werden, dass von dem ersten Rechner zwar geheim zu haltende Daten wie zum Beispiel die Authentifizierungsdaten an den zweiten Rechner geschickt werden können, in umgekehrter Richtung aber weder der zweite Rechner noch irgendein anderer Rechner Daten an den ersten Rechner übermitteln kann. Hierdurch kann eine Sicherheit der Datenkommunikation verbessert werden und insbesondere ein Risiko von Manipulationen an dem ersten Rechner verringert werden.
Gemäß einer Ausführungsform ist der geheim zu haltende Schlüssel durch einen Schlüssel für eine symmetrische Datenverschlüsselung ausgebildet, wobei der Schlüssel auf dem ersten Rechner wie auch auf dem zweiten Rechner gespeichert wird.
Anders ausgedrückt ist die zwischen dem ersten und dem zweiten Rechner aufzubauende Datenkommunikation gemäss dieser Ausführungsform eine symmetrische Verschlüsselung
Gemäß einer Ausführungsform ist der geheim zu haltende Schlüssel durch einen privaten Schlüssel des zweiten Rechners ausgebildet. Beim Erzeugen der Authentifizierungsdaten durch den ersten Rechner wird ein zum privaten Schlüssel korrespondierender öffentlicher Schlüssel durch den ersten Rechner erstellt. Die Authentifizierungsdaten umfassen in diesem Fall zumindest den privaten Schlüssel und den öffentlichen Schlüssel.
Mit anderen Worten können Authentifizierungsdaten ein Schlüsselpaar mit einem privaten und einem öffentlichen Schlüssel umfassen, wobei der private Schlüssel über die zweite Datenverbindung vom ersten Rechner an den zweiten Rechner übertragen wird
Gemäß einer Ausführungsform wird der öffentliche Schlüssel auf dem ersten Rechner in einer Liste autorisierter Schlüssel gespeichert. Mit anderen Worten wird der öffentliche Schlüssel des zweiten Rechners auf dem ersten Rechner derart gespeichert, dass er zu einem späteren Zeitpunkt als vertrauenswürdig erkennbar ist
Anders ausgedrückt wird der öffentliche Schlüssel, der Teil eines als Authentifizierungsdaten dienenden Schlüsselpaares ist und der von dem ersten Rechner selbst erzeugt und dann abgespeichert wird, als vertrauenswürdig gespeichert, sodass bei einer späteren Etablierung einer verschlüsselten Datenkommunikation für den ersten Rechner ersichtlich ist, dass der zugehörige Kommunikationspartner-Rechner vertrauenswürdig, d.h. autorisiert, ist.
Gemäß einer Ausführungsform wird der öffentliche Schlüssel durch den ersten Rechner signiert und dieser signierte Schlüssel bildet zusammen mit dem privaten Schlüssel die Authentifizierungsdaten. Der signierte Schlüssel kann ebenfalls an den zweiten Rechner übermittelt werden. Der signierte Schlüssel wird auch als Zertifikat bezeichnet beziehungsweise kann ein Zertifikat bilden.
Somit kann beispielsweise der zweite Rechner eine verschlüsselte Verbindung zwischen dem zweiten Rechner und dem ersten Rechner mittels Transport Layer Security oder auch mittels Secure Sockets Layer aufbauen, wobei der erste Rechner die Authentizität des zweiten Rechner prüfen kann. Der zweite Rechner kann auf das prüfen der Authentizität des ersten Rechners verzichten. Dies könnte jedoch optional durchgeführt werden.
Es wird daraufhingewiesen, dass einige der möglichen Merkmale und Vorteile der Erfindung hierin mit Bezug auf unterschiedliche Ausführungsformen einerseits eines Kommunikationsverfahrens und andererseits eines zur Ausführung dieses Verfahrens konzipierten Rechnemetzwerks beschrieben sind. Ein Fachmann erkennt, dass die Merkmale in geeigneter Weise übertragen, kombiniert, angepasst oder ausgetauscht werden können, um zu weiteren Ausführungsformen der Erfindung zu gelangen.
Nachfolgend werden Ausführungsformen der Erfindung unter Bezugnahme auf die beigefügte Zeichnung beschrieben, wobei weder die Zeichnung noch die Beschreibung als die Erfindung einschränkend auszulegen sind. Fig. 1 zeigt eine Personentransportanlage in Form einer Aufzuganlage mit einem Rechnemetzwerk gemäß einer Ausführungsform der vorliegenden Erfindung.
Die Figur ist lediglich schematisch und nicht maßstabsgetreu. Gleiche Bezugszeichen bezeichnen gleiche oder gleichwirkende Merkmale.
Fig. 1 zeigt eine Personentransportanlage 1 in Form einer Aufzuganlage 3. Innerhalb eines Aufzugschachts 5 wird dabei eine Aufzugkabine 7 von einer Antriebsmaschine 9 vertikal verlagert. Die Antriebsmaschine 9 wird von einer Aufzugsteuerung 11 gesteuert. Die Aufzugsteuerung 11 verfügt dabei über einen ersten Rechner 13 bzw. wird von diesem gesteuert.
Der erste Rechner ist Teil eines Rechnemetzwerks 15, in dem mehrere Rechner 19, 21, 23 über eine erste Datenverbindung 17 mit dem ersten Rechner 13 kommunizieren können. Rechner 19 können sich dabei innerhalb eines Maschinenraums 25, in dem sich auch die Steuerung 11 und der erste Rechner 13 befinden, aufgenommen sein. Andere Rechner 21, 23 können sich außerhalb dieses Maschinenraums 25 befinden.
Die erste Datenverbindung 17 kann eine Ethemetverbindung sein und kann hohe Daten übertragungsraten von beispielsweise einigen Kilobit pro Sekunde über einige Megabit pro Sekunde bis hin zu einigen Gigabit pro Sekunde ermöglichen.
Beispielsweise um Konfigurationsmaßnahmen oder Wartungsmaßnahmen an der Personentransportanlage 1, insbesondere an deren Steuerung 11 durchführen zu können, kann es notwendig sein, einen zweiten Rechner 27 mit dem ersten Rechner 13 Daten austauschen zu lassen. Der zweite Rechner 27 kann beispielsweise Teil eines Wartungswerkzeugs sein, welches von einem Techniker 31 mitgebracht und/oder bedient wird, um die Steuerung 11 zu konfigurieren. Der zweite Rechner 27 befindet sich dabei innerhalb des Maschinenraums 25. Da dieser Maschinenraum 25 von Personen ausschließlich durch eine verriegelbare Tür 33 betreten werden kann, kann er als gegen unautorisierten Zutritt geschützter Raum 35 angesehen werden. Der zweite Rechner 27 ist dabei einerseits mit dem ersten Rechner 13 über die erste Datenverbindung 17 verbunden und kann über diese Daten mit einer hohen Datenübertragungsrate mit dem ersten Rechner 13 austauschen.
Ergänzend ist der zweite Rechner 27 andererseits mit dem ersten Rechner 13 auch über eine zweite Datenverbindung 29 verbunden. Diese zweite Datenverbindung 29 verläuft dabei ausschließlich innerhalb des Maschinenraums 25. Sie ist vorzugsweise als drahtgebundene Datenverbindung ausgestaltet und dient ausschließlich einer Übermittlung von Daten zwischen dem ersten Rechner 13 und dem zweiten Rechner 27. Die zweite Datenverbindung 29 ist dabei als serielle und unidirektionale Datenverbindung derart ausgestaltet, dass sie lediglich eine Übermittlung von Daten von dem ersten Rechner 13 in einer Richtung hin zu dem zweiten Rechner 27, nicht aber in entgegengesetzter Richtung, ermöglicht.
Mit dem hierin beschriebenen Rechnemetzwerk 15 und dem damit durchzuführenden Kommunikationsverfahren kann ein Ansatz beschrieben werden, um einen Datenaustausch und insbesondere eine Handhabung von Authentifizierungsdaten und/oder Verschlüsselungsdaten zwischen zwei Rechnern 13, 27, die sich in nächster Nähe zueinander und gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum 35 befinden, sicher und einfach zu gestalten.
Die beiden Rechner können hierbei unterschiedliche Rollen annehmen bzw. Aufgaben erfüllen. Der erste Rechner 13 kann als Server bzw. Host-Rechner beispielsweise die Steuerung 11 der Aufzuganlage 3 steuern und dadurch für einen korrekten und sicheren Betrieb der Aufzuganlage 3 verantwortlich sein. Der zweite Rechner 27 kann ein Client- Rechner sein, der mit der Steuerung 11 interagieren können soll. Ein solcher Client- Rechner kann beispielsweise Statusinformationen anzeigen und/oder modifizieren und kann zur Wartung oder Fehlerbehebung einer Aufzuganlage 3 eingesetzt werden.
Es muss sichergestellt sein, dass ausschließlich authentifizierten Client-Rechnern erlaubt ist, mit dem Server bzw. Host-Rechner zu interagieren und Daten auszutauschen, um hierdurch eine Sicherheit der Aufzuganlage 3 zu gewährleisten. Der hierin vorgeschlagene Ansatz versucht, die Aufgabe der Steuerung 11 bzw. von deren erstem Rechner 13, den als Client-Rechner wirkenden zweiten Rechner 27 in dem geschützten Raum 35 zu authentifizieren, zu vereinfachen. Mit anderen Worten soll gewährleistet sein, dass der Client-Rechner autorisiert ist, eine Datenkommunikation mit der Steuerung 11 bzw. dem ersten Rechner 13 durchzuführen.
Dabei basiert der beschriebene Ansatz unter anderem und insbesondere auf folgenden Annahmen: i) Client-Rechner und Host-Rechner, d.h. der erste Rechner 13 und zweite Rechner 27, sind alle mit demselben lokalen Netzwerk verbunden, das heißt, können über die gemeinsame erste Datenverbindung 17 miteinander kommunizieren. Dieses Netzwerk wird als Verbindung mit breiter Bandbreite eingesetzt und von allen Rechnern geteilt, um ein LAN der Aufzuganlage 3 zu bilden. ii) Der Client-Rechner, d.h. der zweite Rechner 27, befindet sich zusammen mit dem ersten Rechner 13 innerhalb des geschützten Raums 35, d.h. in nächster Nähe zu dem ersten Rechner 13, mit dem er interagieren soll. iii) Der geschützte Raum 35, d.h. im genannten Beispiel der Maschinenraum 25, wird als vertrauenswürdig angesehen. Es wird angenommen, dass dieser Raum 35 über ausreichende physikalische Barrieren wie beispielsweise die verriegelbare Tür 33 verfügt, um unautorisierten Zutritt zu verhindern. iv) Auf das Netzwerk kann auch durch andere Rechner 19, 21, 23, die sich nicht notwendigerweise in der Nähe des ersten Rechners 13 befinden, d.h. durch andere Rechner 19, 21, 23, die nicht innerhalb des geschützten Raums 35 angeordnet sind, zugegriffen werden. v) Der Datenaustausch muss gesichert erfolgen. D.h. ausschließlich autorisierte Client- Rechner dürfen über das lokale Netzwerk mit dem Server kommunizieren. vi) Ein Weitverkehrsnetzwerk (WAN -wide area network) wie beispielsweise das Internet kann verfügbar sein, um mit den Mitgliedern des lokalen Netzwerks interagieren zu können. vii) Das lokale Netzwerk, das heißt die erste Datenverbindung 17, sollte nicht verwendet werden dürfen, um geheim zu haltende Daten wie die Authentifizierungsdaten oder entsprechend einzusetzende Verschlüsselungsdaten auszutauschen, um die Möglichkeit auszuschließen, dass diese von einem den Datenverkehr belauschenden Angreifer mitgelesen werden. Herkömmlich werden solche Annahmen bzw. Probleme gelöst, indem geheim zu haltende Daten schrittweise beispielsweise in Form von Softwareschlüsseln oder Zertifikaten definiert werden, die den Client-Rechner identifizieren und von dem Host- Rechner als authentisch erkannt werden. Dies kann jedoch die folgenden logistischen Herausforderungen mit sich bringen:
I) Alle geheim zu haltenden Daten müssen unterschiedlich sein. Trifft dies nicht zu, kann ein Reverse-Engineering des Schlüssels oder des Zertifikats eines Client-Rechners in einfacher Weise ermöglichen, geheim zu haltende Daten zu duplizieren oder zu klonen und diese dann in gefälschten Client-Rechnern zu installieren, die von allen Kontrollern in dem Netzwerk akzeptiert werden.
II) Geheim zu haltende Daten wie Schlüssel oder Zertifikate können zum Zeitpunkt einer Herstellung eines Rechners oder einer Baugruppe als unterschiedlich erzeugt werden, indem auf einen zertifizierten Autoritätsrechner, der für die Erzeugung solcher Schlüssel und Zertifikate verantwortlich ist, zugegriffen wird. Dies ist zwar möglich, führt aber eine komplexe zusätzliche Infrastruktur in eine Herstellungskette ein.
III) Die Mechanismen, die von dem Autoritätsrechner, der die geheim zu haltenden Daten generiert, verwendet werden, können Datenlecks aufweisen. Dies kann zu der Möglichkeit führen, illegale, wenngleich authentifizierte Schlüssel oder Zertifikate nach Belieben erzeugen zu können.
IV) Solche Datenlecks können schwierig zu detektieren und zu korrigieren sein. Letzteres kann einen komplexen Vorgang erfordern, um geheim zu haltende Daten in einem gesamten Netzwerk als ungültig zu erklären bzw. durch neue Daten zu ersetzen.
V) Schlüssel und Zertifikate können eine Art Verfallsdatum aufweisen, d.h. eine begrenzte Gültigkeit besitzen, um die Risiken zeitlich unbegrenzter Sicherheitslücken zu reduzieren. Ein Erzeugen und Installieren neuer Schlüssel und Zertifikate beispielsweise in periodischen Intervallen kann jedoch zu erhöhten Logistikkosten führen, beispielsweise, wenn keine Intemetverbindung verfügbar ist und ein Besuch vor Ort erforderlich ist, um solche Schlüssel und Zertifikate zu installieren.
Mit dem hierin vorgeschlagenen Ansatz kann eine parallele Verbindung zwischen dem als Client-Rechner dienenden zweiten Rechner 27 und dem als Server-Rechner dienenden ersten Rechner 13 etabliert werden, die als verlässlich angenommen werden kann. Dabei kann die zweite Datenverbindung 29 beispielsweise in Form eines kurzen seriellen Kabels mit einer physikalischen unidirektionalen Übertragungsfähigkeit von dem Server- Rechner zu dem Client-Rechner für einen sicheren Austausch von geheim zu haltenden Daten eingesetzt werden.
Aus offensichtlichen Gründen kann das die zweite Datenverbindung 29 etablierende Kabel den Client-Rechner mit dem Server-Rechner verbinden, da diese als in räumlicher Nähe zueinander angeordnet angenommen werden. Das Kabel kann auch als gegen physischen Zugriff gesichert angenommen werden, da es sich in dem geschützten Raum 35 befindet und daher nicht leicht zugänglich ist für Mithör- oder Lauschangriffe. Eine Ausgestaltung, bei der das Kabel nur eine unidirektionale Datenübermittlung ermöglicht, kann helfen, eine Durchführung eines Lauschangriffs weiter zu erschweren.
Eine mögliche Sequenz zur Durchführung einer Ausführungsform des hierin vorgeschlagenen Kommunikationsverfahrens kann wie folgt aussehen:
1) Der erste Rechner 13 erzeugt Authentifizierungsdaten, mittels welchen sich der zweite Rechner 27 am ersten Rechner Authentifizieren kann. Die Authentifizierungsdaten enthalten einen geheim zu haltenden Schlüssel des zweiten Rechners 27 und einen öffentlichen Schlüssel des zweiten Rechners 27.
2) Der erste Rechner 13 speichert den öffentlichen Schlüssel beispielsweise in einer Liste autorisierter Schlüssel. Diese Liste kann später verwendet werden, um einen Client- Rechner wie den zweiten Rechner 27 zu authentifizieren. Die Liste kann beispielsweise durch eine Datei, eine Datenbank oder auch durch eine Verzeichnisstruktur und Dateien ausgebildet sein.
Alternativ oder zusätzlich kann der erste Rechner 13 den öffentlichen Schlüssel der Authentifizierungsdaten auch mit einem eigenen privaten Schlüssel signieren. Der signierte, öffentliche Schlüssel der Authentifizierungsdaten wird im Folgenden auch als Zertifikat bezeichnet.
3) Der erste Rechner 13 sendet den geheim zu haltenden Schlüssel der Authentifizierungsdaten an den zweiten Rechner 27 über das serielle, vorzugsweisen unidirektionale Kabel 29 beispielsweise mit einem Standard-Serien-Protokoll wie zum Beispiel RS232. Der öffentliche Schlüssel der Authentifizierungsdaten beziehungsweise das Zertifikat kann ebenfalls an den zweiten Rechner übertragen werden, wobei diese Übertragung entweder über die erste Datenverbindung 17 oder über die zweiten Datenverbindung 29 erfolgen kann.
4) Nachdem der geheim zu haltende Schlüssel der Authentifizierungsdaten über die zweite Datenverbindung 29 übermittelt wurde, kann der zweite Rechner 27 diesen abspeichem, beispielsweise in einem dauerhaften Datenspeicher. Ebenso kann der öffentliche Schlüssel der Authentifizierungsdaten beziehungsweise das Zertifikat abgespeichert werden, falls dieser bzw. dieses an den zweiten Rechner 27 übermittelt wurde.
5) Der zweite Rechner 27 kann dann diesen geheim zu haltenden Schlüssel verwenden, um eine authentifizierte Datenkommunikation mit dem ersten Rechner über das lokale Netzwerk, das heißt über die erste Datenverbindung 17, herzustellen.
6) Der erste Rechner 13 kann den zweiten Rechner 27 authentifizieren, da der erste Rechner 13 den zum privaten Schlüssel der Authentifizierungsdaten korrespondierenden öffentlichen Schlüssel in der Liste der autorisieren Schlüssel hat. Alternative kann der erste Rechner 13 die Signatur des Zertifikates überprüfen.
Weiter wird die Datenverbindung zwischen dem ersten Rechner 13 und dem zweiten Rechner 27 verschlüsselt. Hierzu kann ein bekanntes Verschlüsselungsverfahren angewendet werden, wie beispielsweise Transport Layer Security oder Secure Sockets Layer.
Eine weitere mögliche Ausführungsform einer Sequenz zur Durchführung des hierin vorgeschlagenen Kommunikationsverfahrens bei Verwendung eines symmetrischen Schlüssels kann wie folgt aussehen:
1) Der erste Rechner 13 erzeugt Authentifizierungsdaten, mittels welchen sich der zweite Rechner 27 am ersten Rechner Authentifizieren kann. Die Authentifizierungsdaten enthalten einen geheim zu haltenden Schlüssel. 2) Der erste Rechner 13 speichert den geheim zu haltenden Schlüssel beispielsweise in einer Liste autorisierter, geheim zu haltender Schlüssel. Diese Liste kann später verwendet werden, um den zweiten Rechner 27 zu authentifizieren.
3) Der erste Rechner 13 sendet den geheim zu haltenden Schlüssel an den zweiten Rechner 27 über das serielle, vorzugsweise unidirektionale Kabel, welches die zweiten Datenverbindung 29 bildet. Beispielsweise kann hierzu ein Standard-Serien-Protokoll wie zum Beispiel RS232 verwendet werden.
4) Nachdem der geheim zu haltende Schlüssel über die zweite Datenverbindung 29 übermittelt wurde, kann der zweite Rechner 27 diesen abspeichem, beispielsweise in einem dauerhaften Datenspeicher.
5) Der zweite Rechner 27 kann dann diesen geheim zu haltenden Schlüssel verwenden, um eine authentifizierte wie auch gesicherte Datenkommunikation mit dem ersten Rechner 13 über das lokale Netzwerk, das heißt über die erste Datenverbindung 17, herzustellen.
6) Der erste Rechner 13 kann den zweiten Rechner authentifizieren, da nur der erste Rechner 13 und der zweite Rechner den geheimen Schlüssel kennen.
Abschließend ist daraufhinzuweisen, dass Begriffe wie „aufweisend“, „umfassend“, etc. keine anderen Elemente oder Schritte ausschließen und Begriffe wie „eine“ oder „ein“ keine Vielzahl ausschließen. Ferner sei daraufhingewiesen, dass Merkmale oder Schritte, die mit Verweis auf eines der obigen Ausführungsbeispiele beschrieben worden sind, auch in Kombination mit anderen Merkmalen oder Schritten anderer oben beschriebener Ausführungsbeispiele verwendet werden können. Bezugszeichen in den Ansprüchen sind nicht als Einschränkung anzusehen.

Claims

Patentansprüche
1. Verfahren zum Kommunizieren von Daten in einem Rechnemetzwerk (15) zwischen einem ersten Rechner (13) und einem zweiten Rechner (27), insbesondere in einer Personentransportanlage (1), wobei der erste Rechner (13) und der zweite Rechner (27) gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum (35) aufgenommen sind, wobei der erste Rechner (13) und der zweite Rechner (27) über eine erste und eine zweite Datenverbindung (17, 29) miteinander verbunden sind, und wobei die zweite Datenverbindung (29) ausschließlich innerhalb des geschützten Raums (35) verläuft und die zweite Datenverbindung (29) ausschließlich eine Übermittlung von Daten zwischen dem ersten Rechner (13) und dem zweiten Rechner (27) zulässt, wobei das Verfahren umfasst:
Erzeugen von Authentifizierungsdaten durch den ersten Rechner (13), wobei diese Authentifizierungsdaten zumindest einen geheim zu haltenden Schlüssel enthalten; Übermitteln des geheim zu haltenden Schlüssels von dem ersten Rechner (13) an den zweiten Rechner (27) über die zweite Datenverbindung (29);
Aufbau einer verschlüsselten Datenkommunikation zum Übertragen von Daten über die erste Datenverbindung (17) und Prüfen der Authentizität des zweiten Rechners (27) durch den ersten Rechner (13) basierend auf den Authentifizierungsdaten.
2. Verfahren nach Anspruch 1, wobei die erste Datenverbindung (17) für eine Datenkommunikation mit einer höheren Datenübertragungsrate konfiguriert ist als die zweite Datenverbindung (29).
3. Verfahren nach einem der vorangehenden Ansprüche, wobei die erste Datenverbindung (17) auch für Teilnehmer des Rechnemetzwerks (15), die sich außerhalb des geschützten Raums (35) befinden, zugänglich ist.
4. Verfahren nach einem der vorangehenden Ansprüche, wobei die erste Datenverbindung (17) eine Ethemetverbindung ist.
5. Verfahren nach einem der vorangehenden Ansprüche, wobei die zweite Datenverbindung (29) eine drahtgebundene Datenverbindung ist.
6. Verfahren nach einem der vorangehenden Ansprüche, wobei die zweite Datenverbindung (29) eine serielle Datenverbindung ist.
7. Verfahren nach einem der vorangehenden Ansprüche, wobei die zweite Datenverbindung (29) eine unidirektionale Datenverbindung ist.
8. Verfahren nach Anspruch 7, wobei über die zweite Datenverbindung (29) ausschließlich eine Übermittlung von Daten von dem ersten Rechner (13) zu dem zweiten Rechner (27) möglich ist.
9. Verfahren nach einem der vorangehenden Ansprüche, wobei der geheim zu haltende Schlüssel durch einen Schlüssel für eine symmetrische Datenverschlüsselung ausgebildet ist, wobei der Schlüssel auf dem ersten Rechner (13) wie auch auf dem zweiten Rechner (27) gespeichert werden.
10. Verfahren nach einem der vorangehenden Ansprüche, wobei der geheim zu haltende Schlüssel durch einen privaten Schlüssel des zweiten Rechners (27) ausgebildet ist und wobei beim Erzeugen der Authentifizierungsdaten durch den ersten Rechner ein zum privaten Schlüssel korrespondierender öffentlicher Schlüssel durch den ersten Rechner (13) erstellt wird, und wobei die Authentifizierungsdaten zumindest den privaten Schlüssel und den öffentlichen Schlüssel umfassen.
11. Verfahren nach Anspruch 10, wobei der öffentliche Schlüssel auf dem ersten Rechner in einer Liste autorisierter Schlüssel gespeichert wird.
12. Verfahren nach Anspruch 10, wobei der öffentliche Schlüssel durch den ersten Rechner signiert wird und dieser signierte Schlüssel zusammen mit dem privaten Schlüssel die Authentifizierungsdaten bildet.
13. Rechnemetzwerk (15) mit einem ersten Rechner (13) und einem zweiten Rechner (27), insbesondere in einer Personentransportanlage (1), wobei der erste Rechner (13) und der zweite Rechner (27) gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum (35) aufgenommen sind, wobei der erste Rechner (13) und der zweite Rechner (27) über eine erste und eine zweite
Datenverbindung (17, 29) miteinander verbunden sind, wobei die zweite Datenverbindung (29) ausschließlich innerhalb des geschützten Raums (35) verläuft und die zweite Datenverbindung (29) ausschließlich eine Übermittlung von Daten zwischen dem ersten Rechner (13) und dem zweiten Rechner (27) zulässt, und wobei das Rechnemetzwerk (15) dazu konfiguriert ist, das Verfahren gemäß einem der
Ansprüche 1 bis 12 auszuführen oder zu steuern.
14. Personentransportanlage (1), insbesondere Aufzuganlage (3), mit einem Rechnemetzwerk (15) gemäß Anspmch 13, wobei der geschützte Raum (35) ein Maschinenraum (25) der Personentransportanlage (1) ist.
PCT/EP2020/082870 2019-11-21 2020-11-20 Verfahren zum sicheren datenkommunikation in einem rechnernetzwerk WO2021099561A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
AU2020385641A AU2020385641A1 (en) 2019-11-21 2020-11-20 Method for secure data communication in a computer network
EP20807450.0A EP4062615A1 (de) 2019-11-21 2020-11-20 Verfahren zum sicheren datenkommunikation in einem rechnernetzwerk
US17/755,975 US20220407848A1 (en) 2019-11-21 2020-11-20 Method for secure data communication in a computer network
BR112022009812A BR112022009812A2 (pt) 2019-11-21 2020-11-20 Processo para a comunicação de dados segura em uma rede de computadores
CN202080080677.4A CN114747178A (zh) 2019-11-21 2020-11-20 用于确保计算机网络中的数据通信安全的方法

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP19210773.8 2019-11-21
EP19210773 2019-11-21

Publications (1)

Publication Number Publication Date
WO2021099561A1 true WO2021099561A1 (de) 2021-05-27

Family

ID=68653422

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2020/082870 WO2021099561A1 (de) 2019-11-21 2020-11-20 Verfahren zum sicheren datenkommunikation in einem rechnernetzwerk

Country Status (6)

Country Link
US (1) US20220407848A1 (de)
EP (1) EP4062615A1 (de)
CN (1) CN114747178A (de)
AU (1) AU2020385641A1 (de)
BR (1) BR112022009812A2 (de)
WO (1) WO2021099561A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7151941B2 (ja) * 2020-06-19 2022-10-12 三菱電機ビルソリューションズ株式会社 エレベーター制御装置、エレベーター監視システム及びエレベーター監視方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140258392A1 (en) * 2013-03-05 2014-09-11 Cisco Technology, Inc. System and associated methodology for detecting same-room presence using ultrasound as an out-of-band channel
US20190100405A1 (en) * 2017-09-29 2019-04-04 Otis Elevator Company Elevator request authorization system for a third party

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7711565B1 (en) * 1999-06-10 2010-05-04 Gazdzinski Robert F “Smart” elevator system and method
ATE315859T1 (de) * 2002-09-17 2006-02-15 Errikos Pitsos Verfahren und vorrichtung zur bereitstellung einer liste von öffentlichen schlüsseln in einem public-key-system
GB2472491B (en) * 2009-02-06 2013-09-18 Thales Holdings Uk Plc System and method for multilevel secure object management
CN113630416A (zh) * 2015-06-30 2021-11-09 维萨国际服务协会 机密认证和供应
WO2017063701A1 (en) * 2015-10-15 2017-04-20 Otis Elevator Company Software updating device
BR112018012417A2 (pt) * 2015-12-21 2018-12-18 Koninklijke Philips N.V. dispositivo de registrando, método de registrando, método de configurador, dispositivo de configurador, e produto de programa de computador
WO2017167771A1 (en) * 2016-03-29 2017-10-05 Koninklijke Philips N.V. Handshake protocols for identity-based key material and certificates
LU93024B1 (de) * 2016-04-11 2017-11-08 Phoenix Contact Gmbh & Co Kg Intellectual Property Licenses & Standards Verfahren und Anordnung zum Aufbauen einer sicheren Kommunikation zwischen einer ersten Netzwerkeinrichtung (Initiator) und einer zweiten Netzwerkeinrichtung (Responder)
AU2018356262C1 (en) * 2017-10-27 2022-03-03 Inventio Ag Safety system for a building-related passenger transportation system
EP3530602B1 (de) * 2018-02-23 2020-06-17 Otis Elevator Company Sicherheitsschaltung für eine aufzugsanlage, vorrichtung und verfahren zur aktualisierung solch einer sicherheitsschaltung
CN110844724A (zh) * 2018-08-21 2020-02-28 奥的斯电梯公司 电梯数据通信系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140258392A1 (en) * 2013-03-05 2014-09-11 Cisco Technology, Inc. System and associated methodology for detecting same-room presence using ultrasound as an out-of-band channel
US20190100405A1 (en) * 2017-09-29 2019-04-04 Otis Elevator Company Elevator request authorization system for a third party

Also Published As

Publication number Publication date
EP4062615A1 (de) 2022-09-28
US20220407848A1 (en) 2022-12-22
BR112022009812A2 (pt) 2022-08-09
CN114747178A (zh) 2022-07-12
AU2020385641A1 (en) 2022-06-16

Similar Documents

Publication Publication Date Title
EP1563638B1 (de) Kommunikationssystem mit quantenkryptographie und vermittlungsstationen
EP2567501B1 (de) Verfahren zum kryptographischen schutz einer applikation
WO2005112459A1 (de) Verfahren zur authentifizierung von sensordaten und zugehörigem sensor
EP3582033B1 (de) Verfahren zur gesicherten bedienung eines feldgeräts
DE102009059893A1 (de) Vorrichtung und Verfahren zum Absichern eines Aushandelns von mindestens einem kryptographischen Schlüssel zwischen Geräten
DE60319514T2 (de) Verfahren und anordnung zur zugangssteuerung
EP2272199B1 (de) Verteilte datenspeicherungseinrichtung
DE102015200279A1 (de) Einwegübertragungseinrichtung, Vorrichtung undVerfahren zum rückwirkungsfreien Erfassen von Daten
EP3596709A1 (de) Verfahren zur zugangskontrolle
EP2548358B1 (de) Verfahren zur dynamischen autorisierung eines mobilen kommunikationsgerätes
EP3151503B1 (de) Verfahren und system zur authentifizierung einer umgebenden web-anwendung durch eine einzubettende web-anwendung
WO2021099561A1 (de) Verfahren zum sicheren datenkommunikation in einem rechnernetzwerk
DE10200681B4 (de) Temporäre Zugansberechtigung zum Zugriff auf Automatisierungseinrichtungen
DE102010021257A1 (de) Steckverbindungssystem zum geschützten Aubau einer Netzwerkverbindung
EP3266186A1 (de) Netzwerkgerät und verfahren zum zugriff einer netzwerkkomponente auf ein datennetz
DE102018102608A1 (de) Verfahren zur Benutzerverwaltung eines Feldgeräts
EP4054143A1 (de) Authentifizieren eines gerätes in einem kommunikationsnetz einer automatisierungsanlage
EP2996299A1 (de) Verfahren und Anordnung zur Autorisierung einer Aktion an einem Selbstbedienungssystem
WO2023217645A1 (de) Abgesichertes zugriffssystem
EP3734478A1 (de) Verfahren zur vergabe von zertifikaten, leitsystem, verwendung eines solchen, technische anlage, anlagenkomponente und verwendung eines identitätsproviders
EP4099611B1 (de) Erzeugung quantensicherer schlüssel in einem netzwerk
DE102019109341B4 (de) Verfahren zum sicheren Austausch von verschlüsselten Nachrichten
EP2618226A1 (de) Industrielles Automatisierungssystem und Verfahren zu dessen Absicherung
DE102018132979A1 (de) Abgesichertes und intelligentes Betreiben einer Ladeinfrastruktur
WO2018091703A1 (de) Verfahren und vorrichtung zum sichern einer elektronischen datenübertragung

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20807450

Country of ref document: EP

Kind code of ref document: A1

REG Reference to national code

Ref country code: BR

Ref legal event code: B01A

Ref document number: 112022009812

Country of ref document: BR

ENP Entry into the national phase

Ref document number: 2020385641

Country of ref document: AU

Date of ref document: 20201120

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2020807450

Country of ref document: EP

Effective date: 20220621

ENP Entry into the national phase

Ref document number: 112022009812

Country of ref document: BR

Kind code of ref document: A2

Effective date: 20220519