WO2021099561A1 - Verfahren zum sicheren datenkommunikation in einem rechnernetzwerk - Google Patents

Verfahren zum sicheren datenkommunikation in einem rechnernetzwerk Download PDF

Info

Publication number
WO2021099561A1
WO2021099561A1 PCT/EP2020/082870 EP2020082870W WO2021099561A1 WO 2021099561 A1 WO2021099561 A1 WO 2021099561A1 EP 2020082870 W EP2020082870 W EP 2020082870W WO 2021099561 A1 WO2021099561 A1 WO 2021099561A1
Authority
WO
WIPO (PCT)
Prior art keywords
computer
data
data connection
key
connection
Prior art date
Application number
PCT/EP2020/082870
Other languages
English (en)
French (fr)
Inventor
Claudio COLOMBANO
Original Assignee
Inventio Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inventio Ag filed Critical Inventio Ag
Priority to BR112022009812A priority Critical patent/BR112022009812A2/pt
Priority to EP20807450.0A priority patent/EP4062615A1/de
Priority to US17/755,975 priority patent/US20220407848A1/en
Priority to AU2020385641A priority patent/AU2020385641A1/en
Priority to CN202080080677.4A priority patent/CN114747178A/zh
Publication of WO2021099561A1 publication Critical patent/WO2021099561A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/34Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
    • B66B1/3415Control system configuration and the data transmission or communication within the control system
    • B66B1/3423Control system configuration, i.e. lay-out
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/34Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
    • B66B1/3415Control system configuration and the data transmission or communication within the control system
    • B66B1/3446Data transmission or communication within the control system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Es werden ein Verfahren zum Kommunizieren von Daten in einem Rechnernetzwerk (15) zwischen einem ersten Rechner (13) und einem zweiten Rechner (27), insbesondere in einer Personentransportanlage (1), sowie ein zur Durchführung dieses Verfahrens 5 konfiguriertes Rechnernetzwerk (15) beschrieben. Der erste Rechner (13) und der zweite Rechner (27) sind dabei gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum (35) aufgenommen. Der erste Rechner (13) und der zweite Rechner (27) sind über eine erste und eine zweite Datenverbindung (17, 29) miteinander verbunden. Die zweite Datenverbindung (29) verläuft hierbei ausschließlich innerhalb des geschützten Raums 10 (35) und lässt ausschließlich eine Übermittlung von Daten zwischen dem ersten Rechner (13) und dem zweiten Rechner (27) zu. Das Verfahren umfasst zumindest folgende Schritte: Erzeugen von Authentifizierungsdaten durch den ersten Rechner (13) und Übermitteln der Authentifizierungsdaten von dem ersten Rechner (13) an den zweiten Rechner (27) 15 über die zweite Datenverbindung (29).

Description

VERFAHREN ZUM SICHEREN DATENKOMMUNIKATION IN EINEM RECHNERNETZWERK
Beschreibung
Die vorliegende Erfindung betrifft ein Verfahren zum Kommunizieren von Daten in einem Rechnemetzwerk sowie ein zur Durchführung dieses Verfahrens konfiguriertes Rechnemetzwerk, insbesondere in einer Personentransportanlage.
Rechner, welche oft auch als Computer bezeichnet werden, werden in verschiedensten Anwendungen zur Verarbeitung von Daten eingesetzt. In vielfältigen Anwendungen müssen Rechner Daten mit anderen Rechnern austauschen können. Hierzu werden mehrere Rechner über Datenverbindungen zu einem Rechnemetzwerk zusammengeschlossen.
Bei vielen Anwendungsfällen muss sichergestellt sein, dass Daten ausschließlich zwischen Rechnern ausgetauscht werden, die zu einem solchen Datenaustausch autorisiert sind. Rechner, die zu einem solchen Datenaustausch nicht autorisiert sind, sollen keine Daten mit anderen Rechnern des Rechnemetzwerkes austauschen können oder einen Datenaustausch zwischen autorisierten Rechnern abhören können.
Zu diesem Zweck wird bei der Kommunikation von Daten in einem Rechnemetzwerk meist vorab eine Authentizität von an der Datenkommunikation teilnehmenden Rechnern überprüft. Hierzu können die Rechner, die eine Datenkommunikation anstreben, Authentifiziemngsdaten austauschen. Nach dem Prüfen der Authentizität der kommunizierenden Rechner kann beispielsweise mithilfe einer zuvor angelegten Liste überprüft werden, ob die authentifizierten Rechner autorisiert sind, miteinander zu kommunizieren.
In manchen Fällen wird eine Datenkommunikation zwischen Rechnern auch verschlüsselt durchgeführt. D.h., zu kommunizierende Daten werden unter Einsatz von zuvor festgelegten Verschlüsselungsdaten von einem sendenden Rechner verschlüsselt, bevor sie an einen empfangenden Rechner übermittelt werden, und anschließend von dem empfangenden Rechner unter Einsatz korrelierender Verschlüsselungsdaten wieder entschlüsselt. Beispielsweise kann der sendende Rechner die zu übermittelnden Daten mit einem öffentlichen Schlüssel des empfangenden Rechners verschlüsseln, sodass letzterer die empfangenen Daten anschließend mit seinem privaten, geheim zu haltenden Schlüssel, der mit dem öffentlichen Schlüssel korreliert, wieder entschlüsseln kann. Dadurch, dass beide Rechner korrelierende Verschlüsselungsdaten verwenden, wird indirekt auch die Authentizität bzw. die Autorisierung der kommunizierenden Rechner überprüft.
Bei der beschriebenen Art der Kommunikation von Daten zwischen Rechnern eines Rechnemetzwerks muss sichergestellt sein, dass Authentifizierungsdaten bzw. Verschlüsselungsdaten zwischen den Rechnern vorab ausgetauscht bzw. bekannt gemacht wurden. Dabei muss auch sichergestellt sein, dass diese Authentifizierungsdaten bzw. Verschlüsselungsdaten ausschließlich den beteiligten Rechnern bekannt werden, aber nicht von anderen Rechnern mitgelesen, abgehört oder in anderer Weise ermittelt werden können.
Um den genannten Anforderungen gerecht werden zu können, muss herkömmlich bei Rechnemetzwerken ein erheblicher Aufwand betrieben werden, um einerseits sicherstellen zu können, dass autorisierte Rechner geeignet Authentifizierungsdaten austauschen können und dann in eine Datenkommunikation miteinander eintreten können, um andererseits jedoch auch ausschließen zu können, dass unautorisierte Rechner von sich aus Authentifizierungsdaten ermitteln oder abhören können, um dann unberechtigt in eine Datenkommunikation eintreten zu können.
Bei herkömmlichen Ansätzen wird beispielsweise davon ausgegangen, dass alle Authentifiziemngsdaten von Teilnehmern eines Rechnemetzwerks untereinander verschieden und ausreichend komplex sind, sodass sie nicht zufällig oder durch gezieltes umgekehrtes Entwickeln (reverse engineering) ermittelt werden können. Authentifiziemngsdaten können dabei für jeden Rechner bereits bei dessen Herstellung ermittelt und in dem Rechner abgespeichert werden. Allerdings kann dies erfordern, dass es einen Zugang zu einem zertifizierten Autoritätsrechner gibt, der für die Generierung solcher Authentifiziemngsdaten verantwortlich ist. Hierfür kann zusätzliche komplexe Infrastruktur benötigt werden. Außerdem kann ein Risiko bestehen, dass der zertifizierte Autoritätsrechner beispielsweise durch Datenlecks abgehört wird, sodass unautorisierte Dritte Zugang zu Authentifizierungsdaten erlangen können. Datenlecks können dabei schwierig zu erkennen und/oder zu beheben sein. Insbesondere können Datenlecks dazu führen, dass für eine Vielzahl von Rechnern bereits früher erstellte Authentifizierungs daten aufwendig durch neue Authentifizierungsdaten ersetzt werden müssen. Zur Steigerung der Datensicherheit kann ferner vorgesehen sein, dass die Authentifizierungs daten eine zeitlich begrenzte Gültigkeit aufweisen. Dies kann jedoch erfordern, dass nach Ablauf dieser Gültigkeit neue Authentifizierungsdaten an die Rechner übermittelt werden müssen, was wiederum eine Datenverbindung zwischen den Rechnern und dem Autoritätsrechner erforderlich machen kann.
Es kann unter anderem ein Bedarf an einem Verfahren zum Kommunizieren von Daten in einem Rechnemetzwerk bestehen, mit welchem zumindest einige der eingangs genannten Defizite, wie sie beim herkömmlichen Betreiben von Rechnemetzwerken auftreten, überwunden werden können. Insbesondere kann ein Bedarf an einem Verfahren zum Kommunizieren von Daten in einem Rechnemetzwerk bestehen, welches einfach und/oder mit geringem Hardwareaufwand zu implementieren ist und welches trotzdem eine hohe Sicherheit bei der Datenkommunikation erlaubt. Ferner kann ein Bedarf an einem Rechnemetzwerk bestehen, dass zum Ausführen bzw. Steuern eines solchen Verfahrens konfiguriert ist. Schließlich kann ein Bedarf an einer Personentransportanlage bestehen, die mit einem solchen Rechnemetzwerk ausgestattet ist.
Einem solchen Bedarf kann durch den Gegenstand gemäß einem der unabhängigen Ansprüche entsprochen werden. Vorteilhafte Ausführungsformen sind in den abhängigen Ansprüchen sowie der nachfolgenden Beschreibung definiert.
Gemäß einem ersten Aspekt der Erfindung wird ein Verfahren zum Kommunizieren von Daten in einem Rechnemetzwerk zwischen einem ersten Rechner und einem zweiten Rechner, insbesondere in einer Personentransportanlage, vorgeschlagen. Der erste Rechner und der zweite Rechner sind dabei gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum aufgenommen. Der erste Rechner und der zweite Rechner sind ferner über eine erste und eine zweite Datenverbindung miteinander verbunden. Dabei verläuft die zweite Datenverbindung ausschließlich innerhalb des geschützten Raums. Weiter lässt die zweite Datenverbindung ausschließlich eine Übermittlung von Daten zwischen dem ersten Rechner und dem zweiten Rechner zu. Das Verfahren umfasst zumindest die folgenden Verfahrensschritte, vorzugsweise in der angegebenen Reihenfolge:
Erzeugen von Authentifizierungsdaten durch den ersten Rechner, wobei diese Authentifizierungsdaten zumindest einen geheim zu haltenden Schlüssel enthalten; Übermitteln des geheim zu haltenden Schlüssels von dem ersten Rechner an den zweiten Rechner über die zweite Datenverbindung; und
Aufbau einer verschlüsselten Datenkommunikation zum Übertragen von Daten über die erste Datenverbindung und Prüfen der Authentizität des zweiten Rechners durch den ersten Rechner basierend auf den Authentifizierungsdaten.
Gemäß einem zweiten Aspekt der Erfindung wird ein Rechnemetzwerk mit einem ersten Rechner und einem zweiten Rechner, insbesondere in einer Personentransportanlage, vorgeschlagen. Der erste Rechner und der zweite Rechner sind gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum aufgenommen. Der erste Rechner und der zweite Rechner sind über eine erste und eine zweite Datenverbindung miteinander verbunden. Die zweite Datenverbindung verläuft ausschließlich innerhalb des geschützten Raums. Weiter lässt die zweite Datenverbindung ausschließlich eine Übermittlung von Daten zwischen dem ersten Rechner und dem zweiten Rechner zu. Das Rechnemetzwerk ist dazu konfiguriert, das Verfahren gemäß einer Ausführungsform des ersten Aspekts der Erfindung auszuführen oder zu steuern.
Gemäß einem dritten Aspekt der Erfindung wird eine Personentransportanlage, insbesondere eine Aufzuganlage, mit einem Rechnemetzwerk gemäß einer Ausführungsform des zweiten Aspekts der Erfindung vorgeschlagen, wobei der geschützte Raum ein Maschinenraum der Personentransportanlage ist.
Mögliche Merkmale und Vorteile von Ausführungsformen der Erfindung können unter anderem und ohne die Erfindung einzuschränken als auf nachfolgend beschriebenen Ideen und Erkenntnissen beruhend angesehen werden.
Wie einleitend bereits angemerkt, müssen bei verschiedensten technischen Anwendungen mehrere Rechner über ein Datennetzwerk zuverlässig und sicher miteinander kommunizieren, d.h. Daten austauschen, können. In vielen Fällen muss dabei sichergestellt sein, dass einzelne Rechner nur mit bestimmten anderen Rechnern kommunizieren, nicht aber Daten an hierfür nicht autorisierte Rechner übermitteln und/oder von hierfür nicht autorisierten Rechner annehmen. Hierzu müssen sich Rechner authentifizieren können, d.h. ein Rechner muss die Identität eines als Kommunikationspartner infrage kommenden anderen Rechners zuverlässig ermitteln können und anhand der ermittelten Identität feststellen können, ob ein Datenaustausch mit diesem Rechner zulässig ist.
Ein erster Rechner und ein zweiter Rechner können in diesem Zusammenhang Teil eines Rechnemetzwerks aus einer Vielzahl von Rechnern sein. Der erste Rechner kann beispielsweise ein Host-Rechner oder Server-Rechner sein und der zweite Rechner kann ein Client-Rechner aus einer Mehrzahl von in dem Rechnemetzwerk aufgenommenen Client-Rechnern sein. Alle diese Rechner können über eine oder mehrere Daten verbindungen miteinander verbunden sein, d.h., prinzipiell in der Lage sein, über drahtgebundene oder drahtlose Schnittstellen Daten miteinander austauschen zu können.
Damit der erste Rechner zuverlässig und diskret Daten mit dem zweiten Rechner austauschen kann, muss sichergestellt werden können, dass kein anderer Rechner aus dem Rechnemetzwerk die Datenkommunikation zwischen dem ersten und dem zweiten Rechner abhören kann und sich auch kein anderer Rechner gegenüber dem ersten Rechner als der zweite Rechner ausgeben kann.
Hierzu muss im Regelfall sichergestellt sein, dass der zweite Rechner sich gegenüber dem ersten Rechner authentifizieren kann, sodass sich der erste Rechner der Identität des zweiten Rechners gewiss sein kann und dann basierend auf der derart festgestellten Identität ermitteln kann, ob eine Datenkommunikation mit dem zweiten Rechner zulässig ist, d.h. ob der zweite Rechner für einen Datenaustausch mit dem ersten Rechner autorisiert ist.
Um den genannten Anforderungen zumindest in bestimmten Anwendungsfällen gerecht werden zu können, werden hierin ein speziell ausgestaltetes Verfahren zum Kommunizieren von Daten über ein Datennetzwerk zwischen einem ersten Rechner und einen zweiten Rechner sowie ein zur Durchführung dieses Verfahrens ausgestaltetes Rechnemetzwerk vorgestellt.
Eine Voraussetzung, für das Funktionieren des hierin vorgestellten Verfahrens ist dabei, dass der erste Rechner und der zweite Rechner gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum aufgenommen sind, d.h. sich in unmittelbarer Nähe zueinander befinden. Unter einem solchen Raum kann ein physikalisch abgegrenzter Bereich verstanden werden, zudem im Normalfall ausschließlich hierfür autorisierte Personen Zutritt haben. Ein solcher Raum kann beispielsweise ein von Wänden oder sonstigen physikalischen Abgrenzungen umgebenes Volumen in einem Gebäude oder Bauwerk sein, zu dem ausschließlich über eine oder mehrere verriegelbare Türen oder Ähnliches Zutritt besteht. Um durch eine solche Tür in den geschützten Raum zu gelangen, muss sich dabei eine Person zuvor autorisieren, beispielsweise indem sie im Besitz eines zum Entriegeln der Tür geeigneten Schlüssels ist. Es kann somit mit sehr hoher Wahrscheinlichkeit davon ausgegangen werden, dass ausschließlich hierzu autorisierte Personen Zutritt zu den im Innern des geschützten Raums aufgenommenen ersten und zweiten Rechnern erlangen können. Eine solche Person kann beispielsweise ein Techniker sein, der mit der Installation, Konfiguration oder Wartung dieser Rechner beauftragt ist.
Im konkreten Anwendungsfall, bei dem der erste und der zweite Rechner Teil eines Rechnemetzwerks einer Personentransportanlage wie beispielsweise einer Aufzuganlage, einer Fahrtreppe oder eines Fahrsteigs sind, kann der gegen unautorisierten Zutritt geschützte Raum beispielsweise ein Maschinenraum der Personentransportanlage sein.
Ein solcher Maschinenraum ist dabei typischerweise verschließbar und somit gegen unbefügten Zutritt gesichert. In einem Maschinenraum sind typischerweise sowohl eine Antriebsmaschine als auch eine zum Steuern dieser Antriebsmaschine eingesetzte Steuerung aufgenommen. In modernen Personentransportanlagen verfügt diese Steuerung meist über einen Rechner, der hierin als erster Rechner oder Host-Rechner angesehen werden kann. Dieser erste Rechner kann mit einer Vielzahl anderer Rechner, die hierin in bestimmten Fällen als zweite Rechner oder Client-Rechner angesehen werden können, kommunizieren müssen. Manche dieser Rechner können sich innerhalb des Maschinenraums befinden, andere Rechner können außerhalb des Maschinenraums angeordnet sein.
Als Beispiel eines zweiten Rechners, der innerhalb des Maschinenraums angeordnet ist, kann beispielsweise ein Rechner angesehen werden, der zu Wartungszwecken oder zur Fehlerbehebung mit dem ersten Rechner kommunizieren können soll und hierzu Daten mit dem ersten Rechner austauschen können soll. Der zweite Rechner kann dabei fest in dem geschützten Raum installiert sein. Alternativ kann der zweite Rechner temporär in den geschützten Raum eingebracht sein, beispielsweise indem ein Wartungstechniker ein durch den zweiten Rechner gesteuertes Wartungsgerät temporär in den Maschinenraum mitbringt.
Der erste und der zweite Rechner sollen sowohl über eine erste Datenverbindung als auch über eine zweite Datenverbindung miteinander verbunden sein. Über jede der beiden Datenverbindungen können zwischen den beiden Rechnern Daten vom ersten Rechner zum zweiten Rechner und/oder vom zweiten Rechner zum ersten Rechner ausgetauscht werden.
Jede der beiden Datenverbindungen kann dabei auf unterschiedliche Weise physikalisch ausgebildet sein. Eine Datenverbindung kann hierbei drahtgebunden aufgebaut sein, d.h., Daten können zwischen den beiden Rechnern über die Rechner verbindende Geräte und/oder Kabel übertragen werden. Alternativ kann eine Datenverbindung drahtlos aufgebaut sein, d.h. Daten können beispielsweise zwischen den beiden Rechnern über Funk übertragen werden.
Dabei ist wesentlich, dass die zweite Datenverbindung ausschließlich innerhalb des geschützten Raums verläuft. Anders ausgedrückt soll die zweite Datenverbindung ausschließlich implementiert werden können, wenn sich sowohl der erste Rechner als auch der zweite Rechner innerhalb des geschützten Raums befinden. Mit nochmals anderen Worten soll die zweite Datenverbindung weder von außerhalb des geschützten Raums etabliert werden können noch von außerhalb des geschützten Raums abgehört werden können. Bei dem hierin vorgeschlagenen Kommunikationsverfahren sollen dann zuerst Authentifizierungsdaten durch den ersten Rechner erzeugt werden, mittels welchen sich der zweite Rechner am ersten Rechner authentisieren kann. Die Authentifizierungsdaten enthalten zumindest einen geheim zu haltenden Schlüssel. Der geheim zu haltende Schlüssel wird von dem ersten Rechner an den zweiten Rechner über die zweite Datenverbindung übermittelt. Der geheim zu haltende Schlüssel kann beispielsweise Teil eines Schlüsselpaares aus einem öffentlichen Schlüssel und einem mit diesem korrelierenden privaten Schlüssels sein. Insbesondere kann der geheim zu haltende Schlüssel der private Schlüssel eines solchen Schlüsselpaares sein.
Den geheim zu haltenden Schlüssel dieser Authentifizierungsdaten schickt der erste Rechner jedoch nicht über die erste Datenverbindung, sondern über die zweite Datenverbindung an den zweiten Rechner. Auf diese Weise kann der erste Rechner sicher sein, dass der geheime Schlüssel der Authentifizierungsdaten an einen Rechner geschickt wurden, der sich innerhalb des geschützten Raums befindet. Somit kann der erste Rechner davon ausgehen, dass der den geheim zu haltenden Schlüssel empfangende zweite Rechner für einen Datenaustausch mit dem ersten Rechner autorisiert ist, da er ansonsten nicht in den geschützten Raum hätte gelangen dürfen. Weiter kann der erste Rechner davon ausgehen, dass der geheime Schlüssel nur einem zweiten Rechner bekannt sein kann, der für die Kommunikation mit dem ersten Rechner autorisiert ist.
Nachdem der zweite Rechner zumindest den geheim zu haltenden Schlüssel empfangen hat, wird zwischen dem ersten und dem zweiten Rechner eine verschlüsselte Datenkommunikation aufgebaut, wobei die Authentifizierungsdaten zumindest für die Authentifizierung des zweiten Rechners durch den ersten Rechner verwendet werden. .
Dabei wird diese Datenkommunikation jedoch nicht über die zweite Datenverbindung, sondern über die erste Datenverbindung, über die der erste Rechner auch mit anderen Rechnern verbunden ist und die im Allgemeinen andere Datenübertragungseigenschaften aufweist als die zweite Datenverbindung, aufgebaut.
Der erste Rechner kann somit im Rahmen der aufgebauten verschlüsselten Datenkommunikation die Authentizität des zweiten Rechners prüfen. Durch das beschriebene Verfahren und das hierzu speziell ausgestaltete Rechnemetzwerk kann sichergestellt werden, dass eine für bestimmte Anwendungsfälle notwendige Datenkommunikation von dem ersten Rechner nur mit hierzu autorisierten Rechnern, die sich innerhalb des geschützten Raumes befinden, aufgebaut werden kann. Dabei kann die derart geschützte Datenkommunikation mit sehr einfachen Hardware-Mitteln aufgebaut werden.
Gemäß einer Ausführungsform ist die erste Datenverbindung für eine Daten kommunikation mit einer höheren Datenübertragungsrate konfiguriert als die zweite Datenverbindung .
Anders ausgedrückt kann die erste Datenverbindung aufgrund ihrer physikalischen Ausgestaltung und/oder der für diese eingesetzten Hardware und Software dazu ausgelegt sein, Daten mit einer höheren Übertragungsrate zu übertragen als die zweite Datenverbindung. Die erste Datenverbindung kann somit für eine größere Bandbreite ausgelegt sein als die zweite Datenverbindung. Beispielsweise kann die über die erste Datenverbindung zu etablierende Datenübertragungsrate mehr als doppelt so groß, vorzugweise mehr als zehnfach so groß, sein wie diejenige der zweiten Datenverbindung. Während die erste Datenverbindung somit für einen hohen Datendurchsatz ausgelegt sein kann, kann die zweite Datenverbindung mit technisch einfacheren Mitteln etabliert werden, da sie lediglich eine geringe Übertragungsrate zu ermöglichen braucht.
Gemäß einer Ausführungsform ist die erste Datenverbindung auch für Teilnehmer des Rechnemetzwerks, die sich außerhalb des geschützten Raums befinden, zugänglich.
Mit anderen Worten kann die erste Datenverbindung derart ausgestaltet sein, dass über sie auch Rechner mit dem ersten Rechner kommunizieren können, die nicht innerhalb des geschützten Raums angeordnet sind, sondern sich extern zu diesem befinden. Beispielsweise kann die erste Datenverbindung Teil eines lokalen Netzwerks (LAN - local area network), eines weiten Netzwerks (WAN - wide area network) oder eines sogar globalen Datennetzwerks wie zum Beispiel dem Internet sein, über die jeweils eine Vielzahl von Rechnern innerhalb und außerhalb des geschützten Raumes miteinander kommunizieren können. Gemäß einer Ausführungsform kann die erste Datenverbindung eine Ethemetverbindung sein.
Ethemetverbindungen stellen eine seit langem etablierte und weitgehend standardisierte Möglichkeit zur Datenübermittlung zwischen mehreren Rechnern dar. Ethemet verbindungen setzen Software in Form von Protokollen usw. sowie Hardware in Form von Kabeln, Verteilern, Netzwerkkarten usw. ein, welche für kabelgebundene Datennetze spezifiziert sind und welche ursprünglich für lokale Datennetze (LAN - local area network) konzipiert wurden. Sie ermöglichen einen Datenaustausch mithilfe von Datenframes zwischen den in einem lokalen Netz angeschlossenen Geräten. Derzeit sind Übertragungsraten von bis zu 400 Gigabit/s möglich. In seiner ursprünglichen Form erstreckt sich ein mit Ethemetverbindungen etabliertes Datennetzwerk typischerweise über ein Gebäude, Ethemet-Varianten über Glasfaser können jedoch eine Reichweite von bis zu 70 km aufweisen.
Gemäß einer Ausführungsform kann die zweite Datenverbindung ausschließlich eine Übermittlung von Daten zwischen dem ersten Rechner und dem zweiten Rechner zulassen.
Damit kann sich die zweite Datenverbindung von der ersten Datenverbindung unterscheiden, die gmndsätzlich eine Übermittlung von Daten zwischen dem ersten Rechner und einer Vielzahl anderer Rechner zulassen kann. Die zweite Datenverbindung kann damit sicherstellen, dass über sie ausschließlich Daten zwischen dem ersten und dem zweiten Rechner, nicht aber mit anderen Rechnern, ausgetauscht werden können.
Gemäß einer Ausführungsform kann die zweite Datenverbindung eine drahtgebundene Datenverbindung sein.
Eine solche drahtgebundene Datenverbindung kann ein oder mehrere Kabel verwenden, welche zwischen dem ersten und dem zweiten Rechner verlaufen und über welche diese beiden Rechner exklusiv Daten austauschen können. Eine drahtgebundene Daten verbindung lässt sich einerseits technisch einfach etablieren, indem beispielsweise ein Datenkabel mit seinen Steckern an entgegengesetzten Enden in jeweils einen der Rechner eingesteckt wird. Dabei kann das die Datenverbindung etablierende Datenkabel abgeschirmt sein, sodass über das Datenkabel übermittelte Daten nicht von außen her abgehört werden können. Somit erfolgt die Datenübertragung über eine solche drahtgebundene Datenverbindung exklusiv zwischen den beiden in dem geschützten Raum angeordneten ersten und zweiten Rechnern und kann von außerhalb des geschützten Raums weder manipuliert noch abgehört werden.
Gemäß einer Ausführungsform kann die zweite Datenverbindung eine serielle Datenverbindung sein.
Eine serielle Datenverbindung ermöglicht, Daten beispielsweise in Form einzelner Bits sequenziell zwischen Kommunikationspartnem zu übertragen. Eine solche serielle Datenverbindung kann mit sehr einfachen technischen Mitteln etabliert werden, beispielsweise mit einem einzelnen Draht oder Kabel, welche gegebenenfalls geschirmt sein können.
Gemäß einer Ausführungsform kann die zweite Datenverbindung eine unidirektionale Datenverbindung sein.
Unter einer unidirektionalen Datenverbindung, welche manchmal auch als monodirektionale Datenverbindung bezeichnet wird, kann dabei eine Datenverbindung verstanden werden, welche eine Datenübertragung ausschließlich in einer Richtung zulässt, nicht aber in der entgegengesetzten Richtung. Während ein Kabel typischerweise Daten nicht nur unidirektional übertragen kann, können die an dem ersten und dem zweiten Rechner vorzusehenden Schnittstellen, die mit dem Kabel verbunden werden, und die Teil der Datenverbindung sind, sehr wohl für eine solche unidirektionale Datenkommunikation ausgelegt sein. Hierzu kann beispielsweise die an dem ersten Rechner vorgesehene Schnittstelle lediglich dazu ausgestaltet sein, Daten zu senden, aber nicht zu empfangen, wohingegen die an dem zweiten Rechner vorgesehene Schnittstelle lediglich dazu ausgestaltet sein kann, Daten zu empfangen, nicht aber zu senden. Mithilfe einer solchen unidirektionalen Datenverbindung kann eine besonders vertrauliche Datenübermittlung etabliert werden. Insbesondere kann gemäß einer konkretisierten Ausführungsform über die zweite Datenverbindung ausschließlich eine Übermittlung von Daten von dem ersten Rechner zu dem zweiten Rechner ermöglicht sein.
Indem für die zweite Datenverbindung zwischen dem ersten Rechner und dem zweiten Rechner eine solche unidirektionale Datenverbindung eingesetzt wird, kann sichergestellt werden, dass von dem ersten Rechner zwar geheim zu haltende Daten wie zum Beispiel die Authentifizierungsdaten an den zweiten Rechner geschickt werden können, in umgekehrter Richtung aber weder der zweite Rechner noch irgendein anderer Rechner Daten an den ersten Rechner übermitteln kann. Hierdurch kann eine Sicherheit der Datenkommunikation verbessert werden und insbesondere ein Risiko von Manipulationen an dem ersten Rechner verringert werden.
Gemäß einer Ausführungsform ist der geheim zu haltende Schlüssel durch einen Schlüssel für eine symmetrische Datenverschlüsselung ausgebildet, wobei der Schlüssel auf dem ersten Rechner wie auch auf dem zweiten Rechner gespeichert wird.
Anders ausgedrückt ist die zwischen dem ersten und dem zweiten Rechner aufzubauende Datenkommunikation gemäss dieser Ausführungsform eine symmetrische Verschlüsselung
Gemäß einer Ausführungsform ist der geheim zu haltende Schlüssel durch einen privaten Schlüssel des zweiten Rechners ausgebildet. Beim Erzeugen der Authentifizierungsdaten durch den ersten Rechner wird ein zum privaten Schlüssel korrespondierender öffentlicher Schlüssel durch den ersten Rechner erstellt. Die Authentifizierungsdaten umfassen in diesem Fall zumindest den privaten Schlüssel und den öffentlichen Schlüssel.
Mit anderen Worten können Authentifizierungsdaten ein Schlüsselpaar mit einem privaten und einem öffentlichen Schlüssel umfassen, wobei der private Schlüssel über die zweite Datenverbindung vom ersten Rechner an den zweiten Rechner übertragen wird
Gemäß einer Ausführungsform wird der öffentliche Schlüssel auf dem ersten Rechner in einer Liste autorisierter Schlüssel gespeichert. Mit anderen Worten wird der öffentliche Schlüssel des zweiten Rechners auf dem ersten Rechner derart gespeichert, dass er zu einem späteren Zeitpunkt als vertrauenswürdig erkennbar ist
Anders ausgedrückt wird der öffentliche Schlüssel, der Teil eines als Authentifizierungsdaten dienenden Schlüsselpaares ist und der von dem ersten Rechner selbst erzeugt und dann abgespeichert wird, als vertrauenswürdig gespeichert, sodass bei einer späteren Etablierung einer verschlüsselten Datenkommunikation für den ersten Rechner ersichtlich ist, dass der zugehörige Kommunikationspartner-Rechner vertrauenswürdig, d.h. autorisiert, ist.
Gemäß einer Ausführungsform wird der öffentliche Schlüssel durch den ersten Rechner signiert und dieser signierte Schlüssel bildet zusammen mit dem privaten Schlüssel die Authentifizierungsdaten. Der signierte Schlüssel kann ebenfalls an den zweiten Rechner übermittelt werden. Der signierte Schlüssel wird auch als Zertifikat bezeichnet beziehungsweise kann ein Zertifikat bilden.
Somit kann beispielsweise der zweite Rechner eine verschlüsselte Verbindung zwischen dem zweiten Rechner und dem ersten Rechner mittels Transport Layer Security oder auch mittels Secure Sockets Layer aufbauen, wobei der erste Rechner die Authentizität des zweiten Rechner prüfen kann. Der zweite Rechner kann auf das prüfen der Authentizität des ersten Rechners verzichten. Dies könnte jedoch optional durchgeführt werden.
Es wird daraufhingewiesen, dass einige der möglichen Merkmale und Vorteile der Erfindung hierin mit Bezug auf unterschiedliche Ausführungsformen einerseits eines Kommunikationsverfahrens und andererseits eines zur Ausführung dieses Verfahrens konzipierten Rechnemetzwerks beschrieben sind. Ein Fachmann erkennt, dass die Merkmale in geeigneter Weise übertragen, kombiniert, angepasst oder ausgetauscht werden können, um zu weiteren Ausführungsformen der Erfindung zu gelangen.
Nachfolgend werden Ausführungsformen der Erfindung unter Bezugnahme auf die beigefügte Zeichnung beschrieben, wobei weder die Zeichnung noch die Beschreibung als die Erfindung einschränkend auszulegen sind. Fig. 1 zeigt eine Personentransportanlage in Form einer Aufzuganlage mit einem Rechnemetzwerk gemäß einer Ausführungsform der vorliegenden Erfindung.
Die Figur ist lediglich schematisch und nicht maßstabsgetreu. Gleiche Bezugszeichen bezeichnen gleiche oder gleichwirkende Merkmale.
Fig. 1 zeigt eine Personentransportanlage 1 in Form einer Aufzuganlage 3. Innerhalb eines Aufzugschachts 5 wird dabei eine Aufzugkabine 7 von einer Antriebsmaschine 9 vertikal verlagert. Die Antriebsmaschine 9 wird von einer Aufzugsteuerung 11 gesteuert. Die Aufzugsteuerung 11 verfügt dabei über einen ersten Rechner 13 bzw. wird von diesem gesteuert.
Der erste Rechner ist Teil eines Rechnemetzwerks 15, in dem mehrere Rechner 19, 21, 23 über eine erste Datenverbindung 17 mit dem ersten Rechner 13 kommunizieren können. Rechner 19 können sich dabei innerhalb eines Maschinenraums 25, in dem sich auch die Steuerung 11 und der erste Rechner 13 befinden, aufgenommen sein. Andere Rechner 21, 23 können sich außerhalb dieses Maschinenraums 25 befinden.
Die erste Datenverbindung 17 kann eine Ethemetverbindung sein und kann hohe Daten übertragungsraten von beispielsweise einigen Kilobit pro Sekunde über einige Megabit pro Sekunde bis hin zu einigen Gigabit pro Sekunde ermöglichen.
Beispielsweise um Konfigurationsmaßnahmen oder Wartungsmaßnahmen an der Personentransportanlage 1, insbesondere an deren Steuerung 11 durchführen zu können, kann es notwendig sein, einen zweiten Rechner 27 mit dem ersten Rechner 13 Daten austauschen zu lassen. Der zweite Rechner 27 kann beispielsweise Teil eines Wartungswerkzeugs sein, welches von einem Techniker 31 mitgebracht und/oder bedient wird, um die Steuerung 11 zu konfigurieren. Der zweite Rechner 27 befindet sich dabei innerhalb des Maschinenraums 25. Da dieser Maschinenraum 25 von Personen ausschließlich durch eine verriegelbare Tür 33 betreten werden kann, kann er als gegen unautorisierten Zutritt geschützter Raum 35 angesehen werden. Der zweite Rechner 27 ist dabei einerseits mit dem ersten Rechner 13 über die erste Datenverbindung 17 verbunden und kann über diese Daten mit einer hohen Datenübertragungsrate mit dem ersten Rechner 13 austauschen.
Ergänzend ist der zweite Rechner 27 andererseits mit dem ersten Rechner 13 auch über eine zweite Datenverbindung 29 verbunden. Diese zweite Datenverbindung 29 verläuft dabei ausschließlich innerhalb des Maschinenraums 25. Sie ist vorzugsweise als drahtgebundene Datenverbindung ausgestaltet und dient ausschließlich einer Übermittlung von Daten zwischen dem ersten Rechner 13 und dem zweiten Rechner 27. Die zweite Datenverbindung 29 ist dabei als serielle und unidirektionale Datenverbindung derart ausgestaltet, dass sie lediglich eine Übermittlung von Daten von dem ersten Rechner 13 in einer Richtung hin zu dem zweiten Rechner 27, nicht aber in entgegengesetzter Richtung, ermöglicht.
Mit dem hierin beschriebenen Rechnemetzwerk 15 und dem damit durchzuführenden Kommunikationsverfahren kann ein Ansatz beschrieben werden, um einen Datenaustausch und insbesondere eine Handhabung von Authentifizierungsdaten und/oder Verschlüsselungsdaten zwischen zwei Rechnern 13, 27, die sich in nächster Nähe zueinander und gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum 35 befinden, sicher und einfach zu gestalten.
Die beiden Rechner können hierbei unterschiedliche Rollen annehmen bzw. Aufgaben erfüllen. Der erste Rechner 13 kann als Server bzw. Host-Rechner beispielsweise die Steuerung 11 der Aufzuganlage 3 steuern und dadurch für einen korrekten und sicheren Betrieb der Aufzuganlage 3 verantwortlich sein. Der zweite Rechner 27 kann ein Client- Rechner sein, der mit der Steuerung 11 interagieren können soll. Ein solcher Client- Rechner kann beispielsweise Statusinformationen anzeigen und/oder modifizieren und kann zur Wartung oder Fehlerbehebung einer Aufzuganlage 3 eingesetzt werden.
Es muss sichergestellt sein, dass ausschließlich authentifizierten Client-Rechnern erlaubt ist, mit dem Server bzw. Host-Rechner zu interagieren und Daten auszutauschen, um hierdurch eine Sicherheit der Aufzuganlage 3 zu gewährleisten. Der hierin vorgeschlagene Ansatz versucht, die Aufgabe der Steuerung 11 bzw. von deren erstem Rechner 13, den als Client-Rechner wirkenden zweiten Rechner 27 in dem geschützten Raum 35 zu authentifizieren, zu vereinfachen. Mit anderen Worten soll gewährleistet sein, dass der Client-Rechner autorisiert ist, eine Datenkommunikation mit der Steuerung 11 bzw. dem ersten Rechner 13 durchzuführen.
Dabei basiert der beschriebene Ansatz unter anderem und insbesondere auf folgenden Annahmen: i) Client-Rechner und Host-Rechner, d.h. der erste Rechner 13 und zweite Rechner 27, sind alle mit demselben lokalen Netzwerk verbunden, das heißt, können über die gemeinsame erste Datenverbindung 17 miteinander kommunizieren. Dieses Netzwerk wird als Verbindung mit breiter Bandbreite eingesetzt und von allen Rechnern geteilt, um ein LAN der Aufzuganlage 3 zu bilden. ii) Der Client-Rechner, d.h. der zweite Rechner 27, befindet sich zusammen mit dem ersten Rechner 13 innerhalb des geschützten Raums 35, d.h. in nächster Nähe zu dem ersten Rechner 13, mit dem er interagieren soll. iii) Der geschützte Raum 35, d.h. im genannten Beispiel der Maschinenraum 25, wird als vertrauenswürdig angesehen. Es wird angenommen, dass dieser Raum 35 über ausreichende physikalische Barrieren wie beispielsweise die verriegelbare Tür 33 verfügt, um unautorisierten Zutritt zu verhindern. iv) Auf das Netzwerk kann auch durch andere Rechner 19, 21, 23, die sich nicht notwendigerweise in der Nähe des ersten Rechners 13 befinden, d.h. durch andere Rechner 19, 21, 23, die nicht innerhalb des geschützten Raums 35 angeordnet sind, zugegriffen werden. v) Der Datenaustausch muss gesichert erfolgen. D.h. ausschließlich autorisierte Client- Rechner dürfen über das lokale Netzwerk mit dem Server kommunizieren. vi) Ein Weitverkehrsnetzwerk (WAN -wide area network) wie beispielsweise das Internet kann verfügbar sein, um mit den Mitgliedern des lokalen Netzwerks interagieren zu können. vii) Das lokale Netzwerk, das heißt die erste Datenverbindung 17, sollte nicht verwendet werden dürfen, um geheim zu haltende Daten wie die Authentifizierungsdaten oder entsprechend einzusetzende Verschlüsselungsdaten auszutauschen, um die Möglichkeit auszuschließen, dass diese von einem den Datenverkehr belauschenden Angreifer mitgelesen werden. Herkömmlich werden solche Annahmen bzw. Probleme gelöst, indem geheim zu haltende Daten schrittweise beispielsweise in Form von Softwareschlüsseln oder Zertifikaten definiert werden, die den Client-Rechner identifizieren und von dem Host- Rechner als authentisch erkannt werden. Dies kann jedoch die folgenden logistischen Herausforderungen mit sich bringen:
I) Alle geheim zu haltenden Daten müssen unterschiedlich sein. Trifft dies nicht zu, kann ein Reverse-Engineering des Schlüssels oder des Zertifikats eines Client-Rechners in einfacher Weise ermöglichen, geheim zu haltende Daten zu duplizieren oder zu klonen und diese dann in gefälschten Client-Rechnern zu installieren, die von allen Kontrollern in dem Netzwerk akzeptiert werden.
II) Geheim zu haltende Daten wie Schlüssel oder Zertifikate können zum Zeitpunkt einer Herstellung eines Rechners oder einer Baugruppe als unterschiedlich erzeugt werden, indem auf einen zertifizierten Autoritätsrechner, der für die Erzeugung solcher Schlüssel und Zertifikate verantwortlich ist, zugegriffen wird. Dies ist zwar möglich, führt aber eine komplexe zusätzliche Infrastruktur in eine Herstellungskette ein.
III) Die Mechanismen, die von dem Autoritätsrechner, der die geheim zu haltenden Daten generiert, verwendet werden, können Datenlecks aufweisen. Dies kann zu der Möglichkeit führen, illegale, wenngleich authentifizierte Schlüssel oder Zertifikate nach Belieben erzeugen zu können.
IV) Solche Datenlecks können schwierig zu detektieren und zu korrigieren sein. Letzteres kann einen komplexen Vorgang erfordern, um geheim zu haltende Daten in einem gesamten Netzwerk als ungültig zu erklären bzw. durch neue Daten zu ersetzen.
V) Schlüssel und Zertifikate können eine Art Verfallsdatum aufweisen, d.h. eine begrenzte Gültigkeit besitzen, um die Risiken zeitlich unbegrenzter Sicherheitslücken zu reduzieren. Ein Erzeugen und Installieren neuer Schlüssel und Zertifikate beispielsweise in periodischen Intervallen kann jedoch zu erhöhten Logistikkosten führen, beispielsweise, wenn keine Intemetverbindung verfügbar ist und ein Besuch vor Ort erforderlich ist, um solche Schlüssel und Zertifikate zu installieren.
Mit dem hierin vorgeschlagenen Ansatz kann eine parallele Verbindung zwischen dem als Client-Rechner dienenden zweiten Rechner 27 und dem als Server-Rechner dienenden ersten Rechner 13 etabliert werden, die als verlässlich angenommen werden kann. Dabei kann die zweite Datenverbindung 29 beispielsweise in Form eines kurzen seriellen Kabels mit einer physikalischen unidirektionalen Übertragungsfähigkeit von dem Server- Rechner zu dem Client-Rechner für einen sicheren Austausch von geheim zu haltenden Daten eingesetzt werden.
Aus offensichtlichen Gründen kann das die zweite Datenverbindung 29 etablierende Kabel den Client-Rechner mit dem Server-Rechner verbinden, da diese als in räumlicher Nähe zueinander angeordnet angenommen werden. Das Kabel kann auch als gegen physischen Zugriff gesichert angenommen werden, da es sich in dem geschützten Raum 35 befindet und daher nicht leicht zugänglich ist für Mithör- oder Lauschangriffe. Eine Ausgestaltung, bei der das Kabel nur eine unidirektionale Datenübermittlung ermöglicht, kann helfen, eine Durchführung eines Lauschangriffs weiter zu erschweren.
Eine mögliche Sequenz zur Durchführung einer Ausführungsform des hierin vorgeschlagenen Kommunikationsverfahrens kann wie folgt aussehen:
1) Der erste Rechner 13 erzeugt Authentifizierungsdaten, mittels welchen sich der zweite Rechner 27 am ersten Rechner Authentifizieren kann. Die Authentifizierungsdaten enthalten einen geheim zu haltenden Schlüssel des zweiten Rechners 27 und einen öffentlichen Schlüssel des zweiten Rechners 27.
2) Der erste Rechner 13 speichert den öffentlichen Schlüssel beispielsweise in einer Liste autorisierter Schlüssel. Diese Liste kann später verwendet werden, um einen Client- Rechner wie den zweiten Rechner 27 zu authentifizieren. Die Liste kann beispielsweise durch eine Datei, eine Datenbank oder auch durch eine Verzeichnisstruktur und Dateien ausgebildet sein.
Alternativ oder zusätzlich kann der erste Rechner 13 den öffentlichen Schlüssel der Authentifizierungsdaten auch mit einem eigenen privaten Schlüssel signieren. Der signierte, öffentliche Schlüssel der Authentifizierungsdaten wird im Folgenden auch als Zertifikat bezeichnet.
3) Der erste Rechner 13 sendet den geheim zu haltenden Schlüssel der Authentifizierungsdaten an den zweiten Rechner 27 über das serielle, vorzugsweisen unidirektionale Kabel 29 beispielsweise mit einem Standard-Serien-Protokoll wie zum Beispiel RS232. Der öffentliche Schlüssel der Authentifizierungsdaten beziehungsweise das Zertifikat kann ebenfalls an den zweiten Rechner übertragen werden, wobei diese Übertragung entweder über die erste Datenverbindung 17 oder über die zweiten Datenverbindung 29 erfolgen kann.
4) Nachdem der geheim zu haltende Schlüssel der Authentifizierungsdaten über die zweite Datenverbindung 29 übermittelt wurde, kann der zweite Rechner 27 diesen abspeichem, beispielsweise in einem dauerhaften Datenspeicher. Ebenso kann der öffentliche Schlüssel der Authentifizierungsdaten beziehungsweise das Zertifikat abgespeichert werden, falls dieser bzw. dieses an den zweiten Rechner 27 übermittelt wurde.
5) Der zweite Rechner 27 kann dann diesen geheim zu haltenden Schlüssel verwenden, um eine authentifizierte Datenkommunikation mit dem ersten Rechner über das lokale Netzwerk, das heißt über die erste Datenverbindung 17, herzustellen.
6) Der erste Rechner 13 kann den zweiten Rechner 27 authentifizieren, da der erste Rechner 13 den zum privaten Schlüssel der Authentifizierungsdaten korrespondierenden öffentlichen Schlüssel in der Liste der autorisieren Schlüssel hat. Alternative kann der erste Rechner 13 die Signatur des Zertifikates überprüfen.
Weiter wird die Datenverbindung zwischen dem ersten Rechner 13 und dem zweiten Rechner 27 verschlüsselt. Hierzu kann ein bekanntes Verschlüsselungsverfahren angewendet werden, wie beispielsweise Transport Layer Security oder Secure Sockets Layer.
Eine weitere mögliche Ausführungsform einer Sequenz zur Durchführung des hierin vorgeschlagenen Kommunikationsverfahrens bei Verwendung eines symmetrischen Schlüssels kann wie folgt aussehen:
1) Der erste Rechner 13 erzeugt Authentifizierungsdaten, mittels welchen sich der zweite Rechner 27 am ersten Rechner Authentifizieren kann. Die Authentifizierungsdaten enthalten einen geheim zu haltenden Schlüssel. 2) Der erste Rechner 13 speichert den geheim zu haltenden Schlüssel beispielsweise in einer Liste autorisierter, geheim zu haltender Schlüssel. Diese Liste kann später verwendet werden, um den zweiten Rechner 27 zu authentifizieren.
3) Der erste Rechner 13 sendet den geheim zu haltenden Schlüssel an den zweiten Rechner 27 über das serielle, vorzugsweise unidirektionale Kabel, welches die zweiten Datenverbindung 29 bildet. Beispielsweise kann hierzu ein Standard-Serien-Protokoll wie zum Beispiel RS232 verwendet werden.
4) Nachdem der geheim zu haltende Schlüssel über die zweite Datenverbindung 29 übermittelt wurde, kann der zweite Rechner 27 diesen abspeichem, beispielsweise in einem dauerhaften Datenspeicher.
5) Der zweite Rechner 27 kann dann diesen geheim zu haltenden Schlüssel verwenden, um eine authentifizierte wie auch gesicherte Datenkommunikation mit dem ersten Rechner 13 über das lokale Netzwerk, das heißt über die erste Datenverbindung 17, herzustellen.
6) Der erste Rechner 13 kann den zweiten Rechner authentifizieren, da nur der erste Rechner 13 und der zweite Rechner den geheimen Schlüssel kennen.
Abschließend ist daraufhinzuweisen, dass Begriffe wie „aufweisend“, „umfassend“, etc. keine anderen Elemente oder Schritte ausschließen und Begriffe wie „eine“ oder „ein“ keine Vielzahl ausschließen. Ferner sei daraufhingewiesen, dass Merkmale oder Schritte, die mit Verweis auf eines der obigen Ausführungsbeispiele beschrieben worden sind, auch in Kombination mit anderen Merkmalen oder Schritten anderer oben beschriebener Ausführungsbeispiele verwendet werden können. Bezugszeichen in den Ansprüchen sind nicht als Einschränkung anzusehen.

Claims

Patentansprüche
1. Verfahren zum Kommunizieren von Daten in einem Rechnemetzwerk (15) zwischen einem ersten Rechner (13) und einem zweiten Rechner (27), insbesondere in einer Personentransportanlage (1), wobei der erste Rechner (13) und der zweite Rechner (27) gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum (35) aufgenommen sind, wobei der erste Rechner (13) und der zweite Rechner (27) über eine erste und eine zweite Datenverbindung (17, 29) miteinander verbunden sind, und wobei die zweite Datenverbindung (29) ausschließlich innerhalb des geschützten Raums (35) verläuft und die zweite Datenverbindung (29) ausschließlich eine Übermittlung von Daten zwischen dem ersten Rechner (13) und dem zweiten Rechner (27) zulässt, wobei das Verfahren umfasst:
Erzeugen von Authentifizierungsdaten durch den ersten Rechner (13), wobei diese Authentifizierungsdaten zumindest einen geheim zu haltenden Schlüssel enthalten; Übermitteln des geheim zu haltenden Schlüssels von dem ersten Rechner (13) an den zweiten Rechner (27) über die zweite Datenverbindung (29);
Aufbau einer verschlüsselten Datenkommunikation zum Übertragen von Daten über die erste Datenverbindung (17) und Prüfen der Authentizität des zweiten Rechners (27) durch den ersten Rechner (13) basierend auf den Authentifizierungsdaten.
2. Verfahren nach Anspruch 1, wobei die erste Datenverbindung (17) für eine Datenkommunikation mit einer höheren Datenübertragungsrate konfiguriert ist als die zweite Datenverbindung (29).
3. Verfahren nach einem der vorangehenden Ansprüche, wobei die erste Datenverbindung (17) auch für Teilnehmer des Rechnemetzwerks (15), die sich außerhalb des geschützten Raums (35) befinden, zugänglich ist.
4. Verfahren nach einem der vorangehenden Ansprüche, wobei die erste Datenverbindung (17) eine Ethemetverbindung ist.
5. Verfahren nach einem der vorangehenden Ansprüche, wobei die zweite Datenverbindung (29) eine drahtgebundene Datenverbindung ist.
6. Verfahren nach einem der vorangehenden Ansprüche, wobei die zweite Datenverbindung (29) eine serielle Datenverbindung ist.
7. Verfahren nach einem der vorangehenden Ansprüche, wobei die zweite Datenverbindung (29) eine unidirektionale Datenverbindung ist.
8. Verfahren nach Anspruch 7, wobei über die zweite Datenverbindung (29) ausschließlich eine Übermittlung von Daten von dem ersten Rechner (13) zu dem zweiten Rechner (27) möglich ist.
9. Verfahren nach einem der vorangehenden Ansprüche, wobei der geheim zu haltende Schlüssel durch einen Schlüssel für eine symmetrische Datenverschlüsselung ausgebildet ist, wobei der Schlüssel auf dem ersten Rechner (13) wie auch auf dem zweiten Rechner (27) gespeichert werden.
10. Verfahren nach einem der vorangehenden Ansprüche, wobei der geheim zu haltende Schlüssel durch einen privaten Schlüssel des zweiten Rechners (27) ausgebildet ist und wobei beim Erzeugen der Authentifizierungsdaten durch den ersten Rechner ein zum privaten Schlüssel korrespondierender öffentlicher Schlüssel durch den ersten Rechner (13) erstellt wird, und wobei die Authentifizierungsdaten zumindest den privaten Schlüssel und den öffentlichen Schlüssel umfassen.
11. Verfahren nach Anspruch 10, wobei der öffentliche Schlüssel auf dem ersten Rechner in einer Liste autorisierter Schlüssel gespeichert wird.
12. Verfahren nach Anspruch 10, wobei der öffentliche Schlüssel durch den ersten Rechner signiert wird und dieser signierte Schlüssel zusammen mit dem privaten Schlüssel die Authentifizierungsdaten bildet.
13. Rechnemetzwerk (15) mit einem ersten Rechner (13) und einem zweiten Rechner (27), insbesondere in einer Personentransportanlage (1), wobei der erste Rechner (13) und der zweite Rechner (27) gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum (35) aufgenommen sind, wobei der erste Rechner (13) und der zweite Rechner (27) über eine erste und eine zweite
Datenverbindung (17, 29) miteinander verbunden sind, wobei die zweite Datenverbindung (29) ausschließlich innerhalb des geschützten Raums (35) verläuft und die zweite Datenverbindung (29) ausschließlich eine Übermittlung von Daten zwischen dem ersten Rechner (13) und dem zweiten Rechner (27) zulässt, und wobei das Rechnemetzwerk (15) dazu konfiguriert ist, das Verfahren gemäß einem der
Ansprüche 1 bis 12 auszuführen oder zu steuern.
14. Personentransportanlage (1), insbesondere Aufzuganlage (3), mit einem Rechnemetzwerk (15) gemäß Anspmch 13, wobei der geschützte Raum (35) ein Maschinenraum (25) der Personentransportanlage (1) ist.
PCT/EP2020/082870 2019-11-21 2020-11-20 Verfahren zum sicheren datenkommunikation in einem rechnernetzwerk WO2021099561A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
BR112022009812A BR112022009812A2 (pt) 2019-11-21 2020-11-20 Processo para a comunicação de dados segura em uma rede de computadores
EP20807450.0A EP4062615A1 (de) 2019-11-21 2020-11-20 Verfahren zum sicheren datenkommunikation in einem rechnernetzwerk
US17/755,975 US20220407848A1 (en) 2019-11-21 2020-11-20 Method for secure data communication in a computer network
AU2020385641A AU2020385641A1 (en) 2019-11-21 2020-11-20 Method for secure data communication in a computer network
CN202080080677.4A CN114747178A (zh) 2019-11-21 2020-11-20 用于确保计算机网络中的数据通信安全的方法

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP19210773.8 2019-11-21
EP19210773 2019-11-21

Publications (1)

Publication Number Publication Date
WO2021099561A1 true WO2021099561A1 (de) 2021-05-27

Family

ID=68653422

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2020/082870 WO2021099561A1 (de) 2019-11-21 2020-11-20 Verfahren zum sicheren datenkommunikation in einem rechnernetzwerk

Country Status (6)

Country Link
US (1) US20220407848A1 (de)
EP (1) EP4062615A1 (de)
CN (1) CN114747178A (de)
AU (1) AU2020385641A1 (de)
BR (1) BR112022009812A2 (de)
WO (1) WO2021099561A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11945688B2 (en) * 2020-06-19 2024-04-02 Mitsubishi Electric Building Solutions Corporation Elevator control device, elevator monitoring system, and elevator monitoring method with encrypted remote monitoring

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140258392A1 (en) * 2013-03-05 2014-09-11 Cisco Technology, Inc. System and associated methodology for detecting same-room presence using ultrasound as an out-of-band channel
US20190100405A1 (en) * 2017-09-29 2019-04-04 Otis Elevator Company Elevator request authorization system for a third party

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60208614T2 (de) * 2002-09-17 2006-08-03 Errikos Pitsos Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System
GB2472491B (en) * 2009-02-06 2013-09-18 Thales Holdings Uk Plc System and method for multilevel secure object management
EP4016920A1 (de) * 2015-06-30 2022-06-22 Visa International Service Association Vertrauliche authentifizierung und bereitstellung
MY190785A (en) * 2015-12-21 2022-05-12 Koninklijke Philips Nv Network system for secure communication
WO2017167771A1 (en) * 2016-03-29 2017-10-05 Koninklijke Philips N.V. Handshake protocols for identity-based key material and certificates
LU93024B1 (de) * 2016-04-11 2017-11-08 Phoenix Contact Gmbh & Co Kg Intellectual Property Licenses & Standards Verfahren und Anordnung zum Aufbauen einer sicheren Kommunikation zwischen einer ersten Netzwerkeinrichtung (Initiator) und einer zweiten Netzwerkeinrichtung (Responder)

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140258392A1 (en) * 2013-03-05 2014-09-11 Cisco Technology, Inc. System and associated methodology for detecting same-room presence using ultrasound as an out-of-band channel
US20190100405A1 (en) * 2017-09-29 2019-04-04 Otis Elevator Company Elevator request authorization system for a third party

Also Published As

Publication number Publication date
AU2020385641A1 (en) 2022-06-16
CN114747178A (zh) 2022-07-12
US20220407848A1 (en) 2022-12-22
EP4062615A1 (de) 2022-09-28
BR112022009812A2 (pt) 2022-08-09

Similar Documents

Publication Publication Date Title
DE60119857T2 (de) Verfahren und Vorrichtung zur Ausführung von gesicherten Transaktionen
WO2005112459A1 (de) Verfahren zur authentifizierung von sensordaten und zugehörigem sensor
EP1563638B1 (de) Kommunikationssystem mit quantenkryptographie und vermittlungsstationen
DE102009059893A1 (de) Vorrichtung und Verfahren zum Absichern eines Aushandelns von mindestens einem kryptographischen Schlüssel zwischen Geräten
EP3582033B1 (de) Verfahren zur gesicherten bedienung eines feldgeräts
DE60319514T2 (de) Verfahren und anordnung zur zugangssteuerung
DE102016222523A1 (de) Verfahren und Vorrichtung zum Übertragen von Daten in einem Topic-basierten Publish-Subscribe-System
EP2272199B1 (de) Verteilte datenspeicherungseinrichtung
DE102015200279A1 (de) Einwegübertragungseinrichtung, Vorrichtung undVerfahren zum rückwirkungsfreien Erfassen von Daten
EP2548358B1 (de) Verfahren zur dynamischen autorisierung eines mobilen kommunikationsgerätes
EP4062615A1 (de) Verfahren zum sicheren datenkommunikation in einem rechnernetzwerk
DE10200681B4 (de) Temporäre Zugansberechtigung zum Zugriff auf Automatisierungseinrichtungen
EP2388972A1 (de) Steckverbindungssystem zum geschützten Aufbau einer Netzwerkverbindung
EP3266186A1 (de) Netzwerkgerät und verfahren zum zugriff einer netzwerkkomponente auf ein datennetz
EP4054143A1 (de) Authentifizieren eines gerätes in einem kommunikationsnetz einer automatisierungsanlage
EP3151503B1 (de) Verfahren und system zur authentifizierung einer umgebenden web-anwendung durch eine einzubettende web-anwendung
EP3596709A1 (de) Verfahren zur zugangskontrolle
EP3734478A1 (de) Verfahren zur vergabe von zertifikaten, leitsystem, verwendung eines solchen, technische anlage, anlagenkomponente und verwendung eines identitätsproviders
EP4099611B1 (de) Erzeugung quantensicherer schlüssel in einem netzwerk
DE102018102608A1 (de) Verfahren zur Benutzerverwaltung eines Feldgeräts
EP2996299A1 (de) Verfahren und Anordnung zur Autorisierung einer Aktion an einem Selbstbedienungssystem
DE102019109341B4 (de) Verfahren zum sicheren Austausch von verschlüsselten Nachrichten
EP2618226A1 (de) Industrielles Automatisierungssystem und Verfahren zu dessen Absicherung
EP3907927A1 (de) Bereitstellung quantensicherer schlüssel für untereinander nicht durch quantenkanal verbundene netzwerkknoten
DE102018132979A1 (de) Abgesichertes und intelligentes Betreiben einer Ladeinfrastruktur

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20807450

Country of ref document: EP

Kind code of ref document: A1

REG Reference to national code

Ref country code: BR

Ref legal event code: B01A

Ref document number: 112022009812

Country of ref document: BR

ENP Entry into the national phase

Ref document number: 2020385641

Country of ref document: AU

Date of ref document: 20201120

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2020807450

Country of ref document: EP

Effective date: 20220621

ENP Entry into the national phase

Ref document number: 112022009812

Country of ref document: BR

Kind code of ref document: A2

Effective date: 20220519