[go: up one dir, main page]

DE102015200279A1 - Single-use transmission device, device and method for non-reactive data acquisition - Google Patents

Single-use transmission device, device and method for non-reactive data acquisition Download PDF

Info

Publication number
DE102015200279A1
DE102015200279A1 DE102015200279.9A DE102015200279A DE102015200279A1 DE 102015200279 A1 DE102015200279 A1 DE 102015200279A1 DE 102015200279 A DE102015200279 A DE 102015200279A DE 102015200279 A1 DE102015200279 A1 DE 102015200279A1
Authority
DE
Germany
Prior art keywords
network
cryptographic
transmission
data structure
way
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102015200279.9A
Other languages
German (de)
Inventor
Uwe Blöcher
Rainer Falk
Martin Wimmer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Priority to DE102015200279.9A priority Critical patent/DE102015200279A1/en
Publication of DE102015200279A1 publication Critical patent/DE102015200279A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Verfahren zum rückwirkungsfreien Erfassen von Daten, die zwischen Vorrichtungen (140, 160.1, 160.2, 160.3) in einem ersten Netzwerk (12) kryptographisch geschützt übertragen werden und durch eine Einwegübertragungseinrichtung in einem zweiten Netzwerk (11) mitgehört werden, mit den Verfahrensschritten: – Aushandeln (2) von mindestens einem kryptographischen Parameter zwischen den kommunizierenden Vorrichtungen (160, 140) im ersten Netzwerk (12) zur Verwendung in einer nachfolgenden Kommunikation (200.1, 200.2, 200.3); – Erzeugen (3) einer Übertragungsdatenstruktur (202) in mindestens einer der Vorrichtungen (160, 140), in der zumindest teilweise die ausgehandelten kryptographischen Parameter (A, B, C) enthalten sind, und Übertragen der Übertragungsdatenstruktur (202) innerhalb des ersten Netzwerks (12); und – Mithören (4) der Übertragungsdatenstruktur (202) durch die Einwegübertragungseinrichtung (100) und Übermitteln der Übertragungsdatenstruktur (202) in das zweite Netzwerk (11).Method for the non-reactive acquisition of data transmitted cryptographically protected between devices (140, 160.1, 160.2, 160.3) in a first network (12) and overheard by a one-way transmission device in a second network (11), comprising the steps of: - Negotiating (2) at least one cryptographic parameter between the communicating devices (160, 140) in the first network (12) for use in a subsequent communication (200.1, 200.2, 200.3); - generating (3) a transmission data structure (202) in at least one of the devices (160, 140) at least partially containing the negotiated cryptographic parameters (A, B, C) and transmitting the transmission data structure (202) within the first network (12); and - listening (4) the transmission data structure (202) by the one-way transmission device (100) and transmitting the transmission data structure (202) into the second network (11).

Description

Die Erfindung betrifft eine Einwegübertragungseinrichtung zum rückwirkungsfreien Erfassen von Daten, eine Vorrichtung zur Durchführung einer kryptographisch geschützten Kommunikation sowie ein Verfahren zur rückwirkungsfreien Erfassung von Daten, die zwischen Vorrichtungen in einem ersten Netzwerk kryptographisch geschützt übertragen werden und durch die Einwegübertragungseinrichtung in einem zweiten Netzwerk mitgehört werden.The invention relates to a one-way transmission device for non-reactive data acquisition, a device for performing a cryptographically protected communication and a method for non-reactive detection of data transmitted cryptographically protected between devices in a first network and are listened to by the one-way transmission device in a second network.

Sicherheitslösungen für die Übertragung von Daten zwischen Netzen mit unterschiedlichen Sicherheitsanforderungen, sogenannte Cross-Domain-Security-Lösungen, werden bislang für spezielle Bereiche, wie Behördenkommunikation verwendet, in denen hohe Sicherheitsanforderungen gelten und in denen eine Sicherheitsklassifikation von Dokumenten bzw. Informationen vorliegt. Durch eine Cross-Domain-Lösung wird ein automatisierter sicherer Austausch von Dokumenten und Nachrichten, wie z. B. Emails zwischen Zonen mit unterschiedlich hohen Sicherheitsanforderungen realisiert. Eine wesentliche Komponente ist dabei eine Einwegübertragungseinheit, wie beispielsweise eine Datendiode, die eine Unidirektionalität der Datenkommunikation, also einen Transport von Daten lediglich in eine Richtung, sicherstellt.Security solutions for the transmission of data between networks with different security requirements, so-called cross-domain security solutions, have so far been used for special areas, such as public authority communication, where high security requirements apply and in which a security classification of documents or information is available. A cross-domain solution enables automated secure exchange of documents and messages, such as: B. realized emails between zones with different levels of security requirements. An essential component is a one-way transmission unit, such as a data diode, which ensures unidirectional data communication, that is to say transport of data in one direction only.

Für die Kopplung von industriellen Steuerungsnetzen, die üblicherweise hohe Sicherheitsanforderungen haben, mit einem Büronetzwerk, einem öffentlichen Internet oder anderen Steuerungsnetzwerken, die üblicherweise nur geringen Sicherheitsanforderungen genügen, werden bisher herkömmliche Firewalls verwendet, die die Datenkommunikation nach konfigurierbaren Filterregeln filtern. Die Datenkommunikation wird dabei abhängig von den Adressen der Kommunikationspartner und dem verwendeten Kommunikationsprotokoll zugelassen oder blockiert.For the coupling of industrial control networks, which usually have high security requirements, with an office network, a public Internet or other control networks, which usually meet only low security requirements, so far conventional firewalls are used, which filter the data communication according to configurable filter rules. The data communication is permitted or blocked depending on the addresses of the communication partners and the communication protocol used.

Um die Kommunikation zwischen den verschiedenen Vorrichtungen in einem industriellen Steuerungsnetz vor Manipulation durch Nichtberechtigte zu schützen, werden die ausgetauschten Nachrichten kryptographisch geschützt übertragen. Durch kryptographische Prüfsummen kann beispielsweise die Integrität von Nachrichten überprüft und durch Verschlüsselung der Daten ein Mithören der Kommunikation für Dritte verhindert werden.In order to protect the communication between the various devices in an industrial control network from manipulation by unauthorized persons, the exchanged messages are transmitted cryptographically protected. By means of cryptographic checksums, for example, the integrity of messages can be checked and, by encrypting the data, monitoring of the communication for third parties can be prevented.

Aus der WO 2012/170485 ist eine Cross-Domain-Security-Lösung auf Basis einer Virtualisierungslösung bekannt, bei der eine virtuelle Maschine den Informationstransfer zwischen zwei Informationsdomänen kontrolliert.From the WO 2012/170485 is a cross-domain security solution based on a virtualization solution is known in which a virtual machine controls the information transfer between two information domains.

Desweiteren ist ein Netzwerkauskoppler, auch Network Tap bezeichnet, bekannt, um Daten in einem Netzwerk mit hoher Sicherheitsanforderung mithören zu können und an ein zweites Netzwerk mit geringeren Sicherheitsanforderungen auszugeben. Dabei wird durch Netzwerkauskoppler insbesondere sichergestellt, dass die übertragenen Daten im ersten Netzwerk in keiner Weise beeinflusst werden und somit das Erfassen der Daten rückwirkungsfrei im ersten Netzwerk abläuft. Solche Netzwerkauskoppler werden im Allgemeinen für eine Netzwerküberwachung eingesetzt, da hier Parameter, wie ein Durchsatz oder eine Latenz, nicht durch Messung beeinflusst werden. Diese mitgehörten Daten liegen nun im zweiten Netzwerk aber kryptographisch geschützt, also beispielsweise verschlüsselt, vor und können nicht, ohne eine Entschlüsselung in Klartext, ausgewertet werden.Furthermore, a network decoder, also called Network Tap, is known to be able to listen in on data in a network with a high security requirement and to output it to a second network with lower security requirements. In this case, network out couplers ensure, in particular, that the transmitted data in the first network are in no way influenced, and thus the acquisition of the data takes place in the first network without feedback. Such network decouplers are generally used for network monitoring because parameters such as throughput or latency are not affected by measurement. This listened data are now in the second network but cryptographically protected, so for example, encrypted, before and can not, without a decryption in plain text, to be evaluated.

Es ist somit die Aufgabe der vorliegenden Erfindung, auch kryptographisch geschützt in einem ersten Netzwerk übertragene Daten in ein weniger sicheres zweites Netzwerk zu übertragen und dort auswerten zu können.It is thus the object of the present invention to be able to transfer data transmitted cryptographically protected in a first network to a less secure second network and to be able to evaluate it there.

Die Aufgabe wird durch die in den unabhängigen Ansprüchen beschrieben Maßnahmen gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt.The object is achieved by the measures described in the independent claims. In the dependent claims advantageous developments of the invention are shown.

Das erfindungsgemäße Verfahren zum rückwirkungsfreien Erfassen von Daten, die zwischen Vorrichtungen in einem ersten Netzwerk mit hoher Sicherheitsanforderung kryptographisch geschützt übertragen werden und durch eine Einwegübertragungseinrichtung in einem zweiten Netzwerk mit geringer Sicherheitsanforderung mitgehört werden, weist als Verfahrensschritte ein Aushandeln von mindestens einem kryptographischen Parameter zwischen den kommunizierenden Vorrichtungen im ersten Netzwerk zur Verwendung in einer nachfolgenden Kommunikation auf. Im nächsten Verfahrensschritt wird eine Übertragungsstruktur in mindestens einer der Vorrichtungen, in der zumindest teilweise die ausgehandelten kryptographischen Parameter enthalten sind, erzeugt und innerhalb des ersten Netzwerks übertragen. Im darauffolgenden Verfahrensschritt wird die Übertragungsdatenstruktur durch eine Einwegübertragungseinrichtung mitgehört und in das zweite Netzwerk übermittelt.The method according to the invention for the non-reactive acquisition of data which is cryptographically protected between devices in a first network with a high security requirement and which is overheard by a one-way transmission device in a second network with a low security requirement comprises negotiating at least one cryptographic parameter between the communicating ones Devices in the first network for use in a subsequent communication. In the next method step, a transmission structure is generated in at least one of the devices in which at least partially the negotiated cryptographic parameters are contained and transmitted within the first network. In the subsequent method step, the transmission data structure is listened to by a one-way transmission device and transmitted to the second network.

Damit sind auch im zweiten Netzwerk mit geringeren Sicherheitsanforderungen die kryptographischen Mittel, die im ersten Netzwerk zur geschützten Übertragung von Daten verwendet werden, verfügbar. Damit ist der in das zweite Netzwerk kopierte Datenverkehr durch Anwendung der kryptographischen Parameter entschlüsselbar bzw. auch die Integrität der verschlüsselten Information prüfbar. Dies ermöglicht es insbesondere sicherheitsrelevante Daten einerseits verschlüsselt übertragen zu können. Andererseits ist es damit möglich, diese sicherheitsrelevanten Daten auch in Klartext beispielsweise in einer Sicherheitseinrichtung wie einer Blackbox abspeichern und/oder auswerten zu können. Dies ermöglicht insbesondere eine durchgängig kryptographisch geschützte Datenübertragung im ersten Netzwerk und optimiert somit die Sicherheit eines ersten Netzes gegen Manipulation und Eingriffe Dritter. Der kryptographische Parameter wird vorzugsweise in einem Authentisierungs- und Schlüsselvereinbarungsprotokoll verwendet, um einen Sitzungsschlüssel zwischen den kommunizierenden Vorrichtungen im ersten Netz einzurichten.Thus, even in the second network with lower security requirements, the cryptographic means used in the first network for protected transmission of data are available. In this way, the data traffic copied into the second network can be decrypted by using the cryptographic parameters, or the integrity of the encrypted information can also be tested. This makes it possible in particular safety-relevant On the one hand, to be able to transmit encrypted data. On the other hand, it is thus possible to save this safety-relevant data in plain text, for example in a security device such as a black box and / or evaluate. This allows in particular a consistently cryptographically protected data transmission in the first network and thus optimizes the security of a first network against manipulation and interference by third parties. The cryptographic parameter is preferably used in an authentication and key negotiation protocol to establish a session key between the communicating devices in the first network.

In einer vorteilhaften Ausführungsform ist das erste Netzwerk ein Industrieanlagennetzwerk mit hoher Sicherheitsanforderung.In an advantageous embodiment, the first network is an industrial plant network with a high security requirement.

Bevorzugte Anwendungsfelder des Verfahrens stellen Industrieanlagenetze dar wie Fertigungsanlagen, Bahnsicherungssysteme, Automatisierungsanlagen oder auch Energieerzeugungs- oder Energieübertragungsanlagen. Die verschiedenen Vorrichtungen solcher Anlagen sind mit Übertragungsnetzen miteinander verbunden und übertragen darüber Daten.Preferred fields of application of the method are industrial plant networks, such as production plants, railway safety systems, automation systems or even power generation or energy transmission systems. The various devices of such systems are interconnected with transmission networks and transmit data about it.

In einem vorteilhaften Ausführungsbeispiel des erfindungsgemäßen Verfahrens wird die Übertragungsdatenstruktur durch einen konfigurierbaren kryptographischen Übertragungsschlüssel geschützt übertragen.In an advantageous embodiment of the method according to the invention, the transmission data structure is transmitted protected by a configurable cryptographic transmission key.

Dies stellt insbesondere sicher, dass die kryptographischen Parameter ausschließlich von einem Berechtigten, mit dem der Übertragungsschlüssel vereinbart wurde, ausgelesen werden können.This ensures, in particular, that the cryptographic parameters can only be read out by an authorized person with whom the transmission key has been agreed.

In einer Variante des erfindungsgemäßen Verfahrens werden die in das zweite Netzwerk übertragenen kryptographisch geschützten Daten mit Hilfe der kryptographischen Parameter entschlüsselt.In a variant of the method according to the invention, the cryptographically protected data transmitted into the second network are decrypted with the aid of the cryptographic parameters.

Nach einer Entschlüsselung liegen die mitgehörten Daten im zweiten Netzwerk im Klartext vor und können einer weiteren Auswertung zugeführt werden.After decryption, the data heard in the second network are in plain text and can be fed to a further evaluation.

In einer Variante des erfindungsgemäßen Verfahrens werden nur erfolgreich kryptographisch geprüfte mitgehörte Daten von der einen Übertragungseinrichtung in das zweite Netzwerk weitergeleitet.In a variant of the method according to the invention, only successfully crosstographically checked data belonging to it are forwarded from the one transmission device into the second network.

Bei einer kryptographischen Prüfung wird beispielsweise ein Prüfwert der Daten mit Hilfe eines Schlüssels berechnet und die Integrität der mitgehörten Nachrichten im empfangenden Kommunikationspartner geprüft. Lediglich Nachrichten, die erfolgreich geprüft wurden und somit unverändert übertragen wurden, werden für eine weitere Auswertung berücksichtigt. Somit kann einerseits Information über die Anzahl und das Auftreten von veränderten Daten gesammelt werden. Andererseits wird sichergestellt, dass eine Auswertung auf unveränderten und somit gültigen Daten basiert.In a cryptographic check, for example, a check value of the data is calculated with the aid of a key, and the integrity of the messages listened to is checked in the receiving communication partner. Only messages that have been successfully checked and thus transferred unchanged are taken into consideration for further evaluation. Thus, on the one hand, information about the number and occurrence of changed data can be collected. On the other hand, it ensures that an evaluation is based on unchanged and thus valid data.

In einer Variante des erfindungsgemäßen Verfahrens werden weitere, die kryptographische Behandlung der Kommunikation betreffende Nachrichten im ersten Netzwerk durch die Einwegübertragungseinrichtung mitgehört und mit Hilfe der kryptographischen Parameter im zweiten Netzwerk ausgewertet.In a variant of the method according to the invention, further messages relating to the cryptographic treatment of the communication in the first network are monitored by the one-way transmission device and evaluated with the aid of the cryptographic parameters in the second network.

Beispiele für die kryptographische Behandlung der Kommunikation betreffende Nachrichten sind beispielsweise Nachrichten eines Sicherheitsprotokolls, wie z. B. Nachrichten zur Authentisierung oder zum Vereinbaren oder Aktualisieren von Schlüsseln. Durch das Mithören und dem Auswerten dieser Nachrichten unter Verwendung der aktuellen kryptographischen Parameter können neuvereinbarte oder aktualisierte kryptographische Parameter detektiert werden und die Kommunikation auch nach dem Wechsel von kryptographischen Parametern weiterverfolgt und entschlüsselt werden.Examples of messages relating to the cryptographic handling of the communication are, for example, messages of a security protocol, such as security messages. B. messages for authentication or to agree or update keys. By monitoring and evaluating these messages using the current cryptographic parameters, reconciled or updated cryptographic parameters can be detected, and the communication can be tracked and decrypted even after the change of cryptographic parameters.

In einer Variante des erfindungsgemäßen Verfahrens umfassen die kryptographischen Parameter mindestens einen Sitzungsschlüssel und/oder mindestens ein Einmalpasswort und/oder mindestens ein ausgehandeltes Verschlüsselungsset, auch Cipher Suite genannt, und/oder mindestens einen ausgehandelten Parameter eines verwendeten Verschlüsselungsalgorithmuses.In a variant of the inventive method, the cryptographic parameters comprise at least one session key and / or at least one one-time password and / or at least one negotiated encryption set, also called cipher suite, and / or at least one negotiated parameter of a used encryption algorithm.

Dies hat den Vorteil, dass die kryptographischen Parameter lediglich ein Minimum an Information enthalten müssen, mit denen ein Ableiten bzw. ein Herstellen der nötigen kryptographischen Information möglich ist. Andererseits können beispielsweise mehrere Sitzungsschlüssel für verschiedene Stadien des Aushandelns enthalten sein. Auch mehrere Schlüssel für unterschiedliche Anwendungen, wie beispielsweise den Aufbau einer sicheren Transportverbindung oder ein Schlüssel für eine Ende-zu-Ende-Verschlüsselung enthalten. Es kann auch verabredet werden, dass Parameter für die Algorithmen bzw. das verwendete Verschlüsselungsset übermittelt werden, aus denen dann im zweiten Netzwerk die tatsächlich benötigten Schlüssel unter Verwendung von vorgegebenen bzw. vorher verabredeten Sicherheitsmechanismen generiert werden können.This has the advantage that the cryptographic parameters only have to contain a minimum of information with which deriving or producing the necessary cryptographic information is possible. On the other hand, for example, multiple session keys may be included for different stages of negotiation. Also include multiple keys for different applications, such as establishing a secure transport connection or a key for end-to-end encryption. It can also be agreed that parameters for the algorithms or the encryption set used are transmitted, from which then the keys actually required in the second network can be generated using predetermined or previously agreed security mechanisms.

Die erfindungsgemäße Vorrichtung zur Durchführung einer kryptographisch geschützten Kommunikation umfasst eine Aushandlungseinheit, die derart ausgebildet ist, kryptographische Parameter zur Durchführung einer kryptographisch geschützten Kommunikation mit einem Kommunikationspartner auszuhandeln. Die Vorrichtung umfasst desweiteren eine Erzeugungseinheit, die derart ausgebildet ist, eine Übertragungsdatenstruktur zu erzeugen, in der zumindest teilweise die ausgehandelten kryptographischen Parameter enthalten sind, und diese in das erste Netzwerk zu übermitteln.The device according to the invention for carrying out a cryptographically protected communication comprises a negotiation unit, which is designed in such a way, cryptographic Negotiate parameters for performing cryptographically protected communication with a communication partner. The apparatus further comprises a generating unit adapted to generate a transmission data structure at least partially containing the negotiated cryptographic parameters and to transmit them to the first network.

Dies hat den Vorteil, dass eine Vorrichtung, die eine Kommunikation mit einer anderen Vorrichtung oder einem sonstigen Kommunikationspartner aufbaut, die ausgehandelten Daten direkt in das erste Netzwerk, beispielsweise als Broadcast- oder Multicast-Nachricht, ausgibt und somit durch einen geringen Zusatzaufwand ein Mithören durch eine berechtigte dritte Partei ermöglicht. Dabei ist die dritte Person in diesem Fall eine Einwegübertragungseinheit bzw. weitere Komponenten in einem zweiten weniger sicherheitsrelevanten Netzwerk.This has the advantage that a device that establishes a communication with another device or another communication partner, the negotiated data directly into the first network, for example, as a broadcast or multicast message, outputs and thus by a small additional effort by listening allows a legitimate third party. In this case, the third person is a one-way transfer unit or further components in a second less security-relevant network.

In einer Variante der Erfindung ist die Vorrichtung eine Komponente in einem Industrieanlagennetz.In a variant of the invention, the device is a component in an industrial plant network.

Durch die zunehmende Digitalisierung von Industrieanlagen ist somit eine geschützte Kommunikation in einem ersten Netzwerk möglich ohne eine Überwachung des ersten Netzwerks zu blockieren.Due to the increasing digitization of industrial plants, protected communication in a first network is thus possible without blocking monitoring of the first network.

In einer Variante der erfindungsgemäßen Vorrichtung weist die Erzeugungseinrichtung einen konfigurierbaren kryptographischen Übertragungsschlüssel auf und ist derart ausgebildet, die Übertragungsdatenstruktur durch den kryptographischen Übertragungsschlüssel geschützt in das erste Netzwerk auszugeben.In a variant of the device according to the invention, the generating device has a configurable cryptographic transmission key and is designed to output the transmission data structure protected by the cryptographic transmission key into the first network.

Damit ist sichergestellt, dass nur Berechtigte die Übertragungsdatenstruktur auswerten und zur Entschlüsselung der im ersten Netzwerk übertragenen Daten verwenden können. Damit kann auch konfiguriert werden, wer welche Nachrichten auswerten kann. So können beispielsweise kryptographische Parameter für Steuerungsnachrichten durch einen ersten kryptographischen Übertragungsschlüssel verschlüsselt werden und beispielsweise kryptographische Parameter für die Verschlüsselung von Diagnosedaten durch einen zweiten Übertragungsschlüssel, verschlüsselt werden. Ist der erste Übertragungsschlüssel nur der Auswerteeinheit bekannt, so kann die erste Einwegübertragungseinheit zwar die Steuerungsnachrichten, nicht aber die Diagnosedaten entschlüsseln.This ensures that only authorized persons can evaluate the transmission data structure and use it to decrypt the data transmitted in the first network. This can also be configured, who can evaluate which messages. Thus, for example, cryptographic parameters for control messages can be encrypted by a first cryptographic transmission key and, for example, cryptographic parameters for the encryption of diagnostic data by a second transmission key can be encrypted. If the first transmission key is known only to the evaluation unit, the first one-way transmission unit can decrypt the control messages, but not the diagnostic data.

Eine erfindungsgemäße Einwegübertragungseinrichtung zum rückwirkungsfreien Erfassen von Daten umfasst eine Mithöreinheit, die derart ausgebildet ist, kryptographische Parameter zwischen Vorrichtungen in einem ersten Netz mitzuhören und eine Speichereinheit, die derart ausgebildet ist, die kryptographischen Parameter zu speichern und in ein zweites Netz zu übermitteln.A one-way transmission device according to the invention for the feedback-free acquisition of data comprises a monitoring unit which is designed to monitor cryptographic parameters between devices in a first network and a memory unit which is designed to store the cryptographic parameters and to transmit them to a second network.

In einer Variante umfasst die Einwegübertragungseinrichtung eine Entschlüsselungseinheit, die derart ausgebildet ist, aus dem ersten Netzwerk übertragene kryptographisch geschützte Daten mit Hilfe der kryptographischen Parameter zu entschlüsseln.In one variant, the one-way transmission device comprises a decryption unit which is designed to decrypt cryptographically protected data transmitted from the first network with the aid of the cryptographic parameters.

In einer anderen Variante der erfindungsgemäßen Einwegübertragungseinrichtung ist die Entschlüsselungseinrichtung derart ausgebildet, nur erfolgreich kryptographisch geprüfte mitgehörte Daten in das zweite Netzwerk weiterzuleiten.In another variant of the one-way transmission device according to the invention, the decryption device is configured to forward only successfully interrogated cryptographically monitored data into the second network.

Damit kann sichergestellt werden, dass nur inhaltlich unveränderte und von einer authentisierten Vorrichtung gesendete Daten inhaltlich ausgewertet werden. Eine Beeinflussung der Auswertung durch verfälschte Daten wird verringert.This ensures that only content that is unchanged in content and sent by an authenticated device is evaluated in terms of content. An influence of the evaluation by falsified data is reduced.

Es wird desweiteren ein Computerprogrammprodukt mit Programmbefehlen zur Ausführung des erfindungsgemäßen Verfahrens beansprucht.Furthermore, a computer program product with program instructions for carrying out the method according to the invention is claimed.

Ausführungsbeispiele des erfindungsgemäßen Verfahrens, sowie der erfindungsgemäßen Vorrichtung und Einwegübertragungseinrichtung sind in den Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Beschreibung näher erläutert. Es zeigen:Embodiments of the method according to the invention, as well as the device according to the invention and one-way transmission device are shown by way of example in the drawings and will be explained in more detail with reference to the following description. Show it:

1 ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens als Ablaufdiagramm; 1 an embodiment of the inventive method as a flowchart;

2 ein Ausführungsbeispiel einer Übertragungsdatenstruktur in schematischer Darstellung; 2 an embodiment of a transmission data structure in a schematic representation;

3 ein Ausführungsbeispiel eines Industrieanlagennetzwerkes zur rückwirkungsfreien Übertragung von Daten zwischen einem ersten und einem zweiten Netzwerk gemäß dem Stand der Technik in schematischer Darstellung; 3 an embodiment of an industrial plant network for the non-reactive transmission of data between a first and a second network according to the prior art in a schematic representation;

4 ein Ausführungsbeispiel eines Industrieanlagennetzwerkes mit Ausführungsbeispielen der erfindungsgemäßen Vorrichtung sowie erfindungsgemäßen Einwegübertragungseinheit in schematischer Darstellung; 4 an embodiment of an industrial plant network with embodiments of the device according to the invention and the invention Einwegübertragungseinheit in a schematic representation;

5 ein detailliertes Ausführungsbeispiel einer erfindungsgemäßen Vorrichtung in schematischer Darstellung; und 5 a detailed embodiment of a device according to the invention in a schematic representation; and

6 ein detailliertes Ausführungsbeispiel einer erfindungsgemäßen Einwegübertragungseinrichtung in schematischer Darstellung. 6 a detailed embodiment of a disposable transfer device according to the invention in a schematic representation.

Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen bezeichnet. Corresponding parts are designated in all figures with the same reference numerals.

3 zeigt nun zur Verdeutlichung der Problematik ein System, beispielsweise eine Bahnsicherungsanlage, in der eine Vielzahl von Vorrichtungen 16.1, 16.2, 16.3, 14 über einen Datenbus bzw. Netzwerkverbindung 18, z. B. ein Ethernetbasiertes Ring-Netzwerk, in einem ersten Netzwerk 12 miteinander verbunden sind. Dieses erste Netzwerk 12 ist beispielsweise ein Sicherungsnetzwerk, über das Lichtsignale und Schranken eines Zugsystems miteinander verbunden sind. Die Netzwerkverbindung 18 kann z. B. ein drahtgebundenes Netzwerk oder ein Lichtwellenleitern realisiert sein. Auch eine funkbasierte Übertragung ist möglich. Dabei kann die Netzwerkverbindung 18 als ein Netzwerksegment oder als über Netzkoppelelemente wie Hubs, Bridges, Switche oder Router verbundene Netzwerksegmente realisiert sein. 3 shows now to clarify the problem, a system, such as a railway safety system in which a variety of devices 16.1 . 16.2 . 16.3 . 14 via a data bus or network connection 18 , z. An Ethernet-based ring network, in a first network 12 connected to each other. This first network 12 For example, it is a backup network that connects light signals and barriers of a train system. The network connection 18 can z. B. be a wired network or an optical waveguides realized. A radio-based transmission is possible. This can be the network connection 18 be realized as a network segment or network segments connected via network coupling elements such as hubs, bridges, switches or routers.

In einem solchen ersten Netzwerk 12 werden Steuerungsnachrichten über eine Kommunikationsverbindung 20.1 zwischen den Vorrichtungen 16.1 und 16.2 ausgetauscht. So wird beispielsweise das Passieren eines Signals durch einen Zug an ein in Fahrtrichtung nachfolgendes Signal oder Schranke gesendet. Solche Nachrichten werden beispielsweise durch eine Einwegübertragungseinheit 10, hier beispielsweise zur Protokollierung von Sicherheitsnachrichten, mitgehört. Die Sicherheitsnachrichten werden beispielsweise in einer angeschlossenen Ereignisdatenbank 17 abgelegt. Solche Systeme werden häufig als Blackbox oder Busmithörrechner bezeichnet, in der sicherheitsrelevante Meldungen gespeichert und beispielsweise nach einem Unfall zur Auswertung und Rekonstruktion der Ereignisse verwendet.In such a first network 12 Control messages are sent over a communication link 20.1 between the devices 16.1 and 16.2 replaced. For example, passing a signal through a train is sent to a subsequent signal or barrier in the direction of travel. Such messages are transmitted, for example, by a single-use transmission unit 10 , here for example for logging security messages, overheard. For example, the security messages are stored in an attached event database 17 stored. Such systems are often referred to as black box or Busmithörrechner stored in the security-related messages and used, for example, after an accident to evaluate and reconstruct the events.

Eine Einwegübertragungseinrichtung kann auch für eine Einwegübertragung von Diagnosedaten verwendet werden. Für die Übertragung von Diagnosedaten übliche Protokolle wie beispielsweise eine Einheitliche Architektur nach OPC, auch OPC UA genannt, erfordern eine bidirektionale Kommunikation. Dazu wird innerhalb eines Sicherheitsnetzes eine Vorrichtung in Form einer Anfrageeinheit 14 eingerichtet. Diese sorgt dafür, dass die Diagnoseinformation innerhalb des Sicherheitsnetzes übertragen wird. Dabei ist es möglich, dass Diagnosedaten pro aktiv von einer Vorrichtung 16.3, hier einem Sicherheitssystem, in einem sogenannten „Push”-Modus an die Anfrageeinheit 14 übertragen werden. Alternativ können die Diagnosedaten, beispielsweise zyklisch, von der Anfrageeinheit 14 in einem sogenannten „Pull”-Modus abgefragt werden. Die Diagnosedaten werden über ein Diagnosenetz an eine Diagnoseeinrichtung 19 zur Auswertung weitergeleitet. Entsprechend der Übertragung von Steuerdaten kann die Information nur verschlüsselt mitgehört werden und ist damit nicht verwertbar. Oder aber sie kann nur ohne kryptographische Prüfung erfasst werden und muss daher ohne Integritätsprüfung verarbeitet werden.A one-way transmission device may also be used for one-way transmission of diagnostic data. Protocols common to the transmission of diagnostic data, such as a Uniform Architecture to OPC, also called OPC UA, require bidirectional communication. For this purpose, within a safety net, a device in the form of a request unit 14 set up. This ensures that the diagnostic information is transmitted within the safety net. It is possible that diagnostic data per active from a device 16.3 , here a security system, in a so-called "push" mode to the request unit 14 be transmitted. Alternatively, the diagnostic data, for example, cyclically, from the request unit 14 be queried in a so-called "pull" mode. The diagnostic data is sent to a diagnostic device via a diagnostic network 19 forwarded for evaluation. According to the transmission of control data, the information can only be heard encrypted and is therefore not usable. Or it can only be captured without a cryptographic check and must therefore be processed without integrity check.

Passive Beobachter wie die Einwegübertragungseinheit 13, 15 können zwar die zwischen verschiedenen Vorrichtungen ausgetauschten Informationen mithören, jedoch nicht in eine verständliche Form überführen. Selbst bei Kenntnis der für die Authentisierung und Schlüsselaushandlung verwendeten Schlüssel kann ein ausgehandelter Sitzungsschlüssel bei in der Praxis verwendeten Authentisierungs- und Schlüsselvereinbarungsprotokollen nicht ermittelt werden. Ein Beispiel für ein Authentisierungs- und Schlüsselvereinbarungsprotokoll ist eine authentisierte Diffie-Hellman-Schlüsselvereinbarung. Ein Mithören der Daten in Klartext wäre also prinzipiell nicht möglich, da die zu beobachtende verschlüsselte Kommunikation anschließend nicht entschlüsselt werden kann. Eine integritätsgeschützte Kommunikation kann ebenfalls nicht überprüft werden, da eine kryptographische Prüfsumme nicht verifiziert werden kann.Passive observers like the one-way transmission unit 13 . 15 Although they can overhear the information exchanged between different devices, they can not translate it into an intelligible form. Even with knowledge of the keys used for the authentication and key negotiation, a negotiated session key can not be determined in the authentication and key negotiation protocols used in practice. An example of an authentication and key negotiation protocol is an authenticated Diffie-Hellman key agreement. Listening to the data in plain text would therefore not be possible in principle, since the observed encrypted communication can not subsequently be decrypted. An integrity-protected communication can also not be verified because a cryptographic checksum can not be verified.

Das in 1 dargestellte Verfahren ermöglicht es, innerhalb eines ersten Netzwerks 12 mit hohen Sicherheitsanforderungen Sicherheitsprotokolle wie beispielsweise ein IP Sicherheitsprotokoll oder ein sicheres Transportschicht-Protokoll SSL/TSL zur kryptographisch geschützten Übertragung von Daten mit einer Authentisierungs- und Schlüsselaushandlungskomponente zu verwenden.This in 1 The method illustrated makes it possible within a first network 12 to use security protocols such as an IP security protocol or a secure transport layer protocol SSL / TSL for the cryptographically protected transmission of data with an authentication and key negotiation component with high security requirements.

Ausgehend von Ausgangszustand 1, wird als erster Verfahrensschritt 2 das Aushandeln von mindestens einem kryptographischen Parameter zwischen den kommunizierenden Vorrichtungen in einem ersten Netzwerk durchgeführt. Hierbei wird, beispielsweise durch einen Diffie-Hellman-Schlüsselaushandlungsalgorithmus ein Sitzungsschlüssel in einer ersten 160.1 und einer zweiten Vorrichtung 160.2 erzeugt, siehe auch 4.Starting from initial state 1 , becomes the first step in the process 2 negotiating at least one cryptographic parameter between the communicating devices in a first network. Here, for example, by a Diffie-Hellman key negotiation algorithm, a session key is in a first 160.1 and a second device 160.2 generated, see also 4 ,

Im nachfolgenden Verfahrensschritt 3 erzeugt mindestens eine der beiden Vorrichtungen 160.1, 160.2 eine Übertragungsdatenstruktur, in der zumindest teilweise die ausgehandelten kryptographischen Parameter enthalten sind. Diese Übertragungsdatenstruktur wird anschließend über das erste Netzwerk 12 übertragen. Dabei kann entweder eine eigenständige Nachricht von mindestens einer der Vorrichtungen 160.1, 160.2 erzeugt werden. Alternativ kann aber auch die Übertragungsdatenstruktur als Teil einer nachfolgenden Nachricht in das erst Netzwerk ausgegeben werden. Die Information kann zum Beispiel periodisch ausgesendet werden oder lediglich bei der Einrichtung beziehungsweise der Änderung der kryptographischen Parameter erzeugt und verschickt werden. Insbesondere kann bei der Einrichtung oder Änderung eines Sitzungsschlüssels eine solche Übertragungsdatenstruktur erzeugt werden.In the subsequent process step 3 generates at least one of the two devices 160.1 . 160.2 a transmission data structure containing at least in part the negotiated cryptographic parameters. This transmission data structure is then transmitted via the first network 12 transfer. In this case, either a separate message from at least one of the devices 160.1 . 160.2 be generated. Alternatively, however, the transmission data structure can also be output as part of a subsequent message in the first network. The information can be transmitted periodically, for example, or can only be generated and sent when the cryptographic parameters are set up or changed. In particular, when setting up or changing a session key such a transmission data structure can be generated.

Es ist auch möglich, die Übertragungsdatenstruktur auf Anfrage zu erzeugen und zu senden. Die Übertragungsdatenstruktur kann entweder von einer der an der Kommunikation beteiligten Vorrichtungen 160.1, 160.2 oder aber von mehreren oder allen Vorrichtungen, die an der kryptographisch geschützten Kommunikation beteiligten Vorrichtungen, erzeugt und verschickt werden, siehe Verfahrensschritt 3. Daraufhin wird im Verfahrensschritt 4 von einer der Einwegübertragungseinrichtung 100 die Übertragungsdatenstruktur mitgehört und in ein zweites Netzwerk 11, beispielsweise ein Büronetzwerk mit geringen Sicherheitsanforderungen, übertragen. Dem zweiten Netzwerk 11 liegen alle Informationen vor, um die mitgehörten Daten zu überprüfen, zu entschlüsseln und die im Klartext vorliegenden Daten auszuwerten.It is also possible to generate and send the transmission data structure on request. The transmission data structure can either be from one of the devices involved in the communication 160.1 . 160.2 or from several or all devices that are generated and sent to the devices involved in the cryptographically protected communication, see method step 3 , Subsequently, in the process step 4 from one of the disposable transfer means 100 heard the transmission data structure and in a second network 11 For example, an office network with low security requirements transmitted. The second network 11 All information is available to check, decrypt and evaluate the data in plain text.

2 zeigt beispielhaft eine Steuerungsnachricht 201, die eine Übertragungsdatenstruktur 202 enthält. Wie bereits erwähnt, kann auch eine ausschließlich für den Transport der kryptographischen Parameter erzeugte Nachricht verwendet werden. Die Übertragungsdatenstruktur 202 umfasst die kryptographischen Parameter A einer Verbindung zwischen zwei oder auch mehreren Vorrichtungen 160.1, 160.2 und umfasst beispielsweise einen oder mehrere Sitzungsschlüssel 203, wie beispielsweise einen vorläufigen Hauptsitzungsschlüssel und einen Hauptsitzungsschlüssel. Als weiterer kryptographischer Parameter können ebenfalls eine oder mehrere Zufallszahlen als Einmal-Passwörter 204 enthalten sein. Es kann auch ein ausgehandeltes Verschlüsselungsset, auch Cipher Suite genannt, übertragen werden. Als weiterer kryptographischer Parameter kann eine Schlüssellänge oder weitere Algorithmenparameter in der Übertragungsdatenstruktur enthalten sein. 2 shows an example of a control message 201 , which is a transmission data structure 202 contains. As already mentioned, a message generated exclusively for the transport of the cryptographic parameters can also be used. The transmission data structure 202 includes the cryptographic parameters A of a connection between two or more devices 160.1 . 160.2 and includes, for example, one or more session keys 203 such as a provisional main session key and a main session key. Another cryptographic parameter can also be one or more random numbers as one-time passwords 204 be included. It can also be a negotiated encryption set, also called cipher suite, transferred. As a further cryptographic parameter, a key length or further algorithm parameters may be included in the transmission data structure.

4 zeigt nun Vorrichtungen 160.1, 160.2, 160.3 und 140, die beispielsweise Steuerrechner und/oder Feldgeräte mit verbundenen Sensoren beziehungsweise Aktoren in einem Sicherheitssystem sind. Die Kommunikation 200.1, 200.2 und 200.3 wird hier jedoch kryptographisch geschützt, indem beispielsweise die Daten verschlüsselt übertragen werden. Der zur Verschlüsselung verwendete Schlüssel wird dabei üblicherweise in einer Schlüsselaushandlungsprozedur bei Verbindungsaufbau zwischen den Kommunikationspartnern, hier den Vorrichtungen 160.1, 160.2, 160.3 und 140 ausgehandelt. Für die Kommunikation 201 ist ein kryptographischer Parameter A sowohl in der Vorrichtung 160.1 sowie in der Vorrichtung 160.2 vorhanden. Für die Kommunikation 201.2 wurde ein kryptographischer Parameter C ausgehandelt und ist in der Vorrichtung 160.3 sowie in der Vorrichtung 140 abgelegt. Für die Kommunikation 200.3 wird ein kryptographischer Parameter zwischen der Vorrichtung 160.1 und der Vorrichtung 140 ausgehandelt und in den genannten Vorrichtungen als kryptographischer Parameter D gespeichert. 4 now shows devices 160.1 . 160.2 . 160.3 and 140 which are, for example, control computers and / or field devices with connected sensors or actuators in a security system. The communication 200.1 . 200.2 and 200.3 However, it is protected cryptographically here, for example, by encrypted transmission of the data. The key used for encryption is usually in a key negotiation procedure when establishing a connection between the communication partners, here the devices 160.1 . 160.2 . 160.3 and 140 negotiated. For communication 201 is a cryptographic parameter A both in the device 160.1 as well as in the device 160.2 available. For communication 201.2 a cryptographic parameter C has been negotiated and is in the device 160.3 as well as in the device 140 stored. For communication 200.3 becomes a cryptographic parameter between the device 160.1 and the device 140 negotiated and stored in said devices as cryptographic parameters D.

Zumindest einer der Kommunikationspartner sendet nun erfindungsgemäß eine Übertragungsdatenstruktur über einen Datenbus 18 in das erste Netzwerk 12. Dabei kann entweder eine Zieladresse für diese angegeben werden, oder aber die Nachricht ohne Adresse einfach in das erste Netz abgegeben werden. Dabei muss lediglich sichergestellt sein, dass die Nachricht durch die Einwegübertragungseinrichtung 100 erfasst wird.At least one of the communication partners now sends according to the invention a transmission data structure via a data bus 18 in the first network 12 , In this case, either a destination address can be specified for this, or the message without an address can be simply transferred to the first network. It only has to be ensured that the message is transmitted through the one-way transmission device 100 is detected.

5 zeigt nun eine Vorrichtung, die einerseits die Durchführung einer kryptographisch geschützten Kommunikation erlaubt und andererseits auch ein Mithören und insbesondere Auswerten dieser kryptographisch geschützten Kommunikation ermöglicht. Die Vorrichtung 160, 140, die beispielsweise in 3 als Blackbox oder Diagnose-Einwegübertragungseinheit ausgebildet sein können, umfasst eine Aushandlungseinheit 162, eine Erzeugungseinheit 163 sowie eine Speichereinheit 164 und eine Schnittstelle 161, die über eine Verbindungsleitung 165 oder aber auch durch eine drahtlose Verbindung an das erste Kommunikationsnetz 11 angebunden ist. 5 now shows a device that allows on the one hand the implementation of a cryptographically protected communication and on the other hand also allows listening in and evaluating this cryptographically protected communication. The device 160 . 140 for example, in 3 can be designed as a black box or diagnostic disposable transmission unit comprises a negotiation unit 162 , a generation unit 163 and a storage unit 164 and an interface 161 that have a connection line 165 or also by a wireless connection to the first communication network 11 is connected.

Die Aushandlungseinheit 162 ist dabei derart ausgebildet, die kryptographischen Parameter A für die Durchführung einer kryptographisch geschützten Kommunikation mit einem oder auch mehreren Kommunikationspartnern auszuhandeln. Dies kann beispielsweise durch Nachrichten eines Authentisierungs- und Schlüsselvereinbarungsprotokolls ausgeführt werden. Dabei werden kryptographische Parameter A ermittelt, die für eine nachfolgende Kommunikation entweder direkt zur Verschlüsselung oder auch zur Bildung von kryptographischen Prüfsummen verwendet werden. Es können die kryptographischen Parameter zur Bildung der eigentlichen kryptographischen Schlüssel verwendet werden. Solche kryptographischen Parameter A werden nach der Aushandlung in der Speichereinheit 164 gespeichert und für die spätere Verwendung bereitgehalten.The negotiation unit 162 is designed to negotiate the cryptographic parameters A for carrying out a cryptographically protected communication with one or more communication partners. This can be done, for example, by messages of an authentication and key agreement protocol. This cryptographic parameters A are determined, which are used for subsequent communication either directly to the encryption or to the formation of cryptographic checksums. The cryptographic parameters can be used to form the actual cryptographic keys. Such cryptographic parameters A are after the negotiation in the memory unit 164 stored and kept ready for later use.

Die Erzeugungseinheit 163 ist derart ausgebildet, eine Übertragungsdatenstruktur 202 zu erzeugen, in der zumindest teilweise die ausgehandelten kryptographischen Parameter A enthalten sind. Vorteilhafterweise wird die Übertragungsdatenstruktur mit einem Übertragungsschlüssel a verschlüsselt, der beispielsweise ebenfalls in der Speichereinheit 164 bereitgehalten wird. Der Übertragungsschlüssel a muss dabei ebenfalls in der Einwegübertragungseinheit 100 bekannt sein und wird vorteilhafterweise bei der Installation oder auch schon bei der Herstellung vereinbart und in die Vorrichtung 160, 140 eingebracht.The generating unit 163 is formed such a transmission data structure 202 to generate, in which at least partially the negotiated cryptographic parameters A are included. Advantageously, the transmission data structure is encrypted with a transmission key a, which, for example, likewise in the memory unit 164 is kept ready. The transmission key a must also be in the single-use transmission unit 100 Be known and will be advantageous in the installation or even at the Making arrangements and into the device 160 . 140 brought in.

6 zeigt eine erfindungsgemäße Einwegübertragungseinheit 100, die beispielsweise zur Erfassung von Diagnosedaten als Diagnoserechner 13 oder auch zur Erfassung von Steuerungsdaten als Blackbox Auswerteeinheit 15 eingesetzt wird. Die Einwegübertragungseinheit 100 umfasst eine Mithöreinheit 102, die die Kommunikation im ersten Kommunikationsnetz 12 erfasst, dupliziert und ein Duplikat beispielsweise in das zweite Netzwerk überträgt. Hierbei wird sichergestellt, dass keinerlei zusätzliche Daten erzeugt und in das erste Netzwerk 12 eingebracht werden. Das erste, sicherheitsrelevante Netzwerk 12 bleibt vollständig unverändert durch diese Mithöreinheit 102, so dass eine rückwirkungsfreie Kommunikation, das heißt eine Kommunikation ohne irgendeine Auswirkung auf das erste Netzwerk gewährleistet wird. 6 shows a disposable transfer unit according to the invention 100 , for example, for the acquisition of diagnostic data as a diagnostic calculator 13 or also for the acquisition of control data as a black box evaluation unit 15 is used. The disposable transfer unit 100 includes a listening facility 102 that communicate in the first communication network 12 captured, duplicated and transmits a duplicate, for example, in the second network. This ensures that no additional data is generated and sent to the first network 12 be introduced. The first, security-relevant network 12 remains completely unchanged by this listening 102 so that non-reactive communication, that is, communication without any impact on the first network is ensured.

Die Entschlüsselungseinheit 101 wird mit einer Speichereinheit 103 verbunden, in der sowohl der Übertragungsschlüssel a zur Entschlüsselung und Überprüfung der Übertragungsdatenstruktur durchgeführt. Nach einer Überprüfung der Übertragungsdatenstruktur 202 wird diese entschlüsselt und mit dem Übertragungsschlüssel a und dem kryptographischen Parameter A extrahiert und ebenfalls in der Speichereinheit abgelegt. Über eine Verbindungsleistung 104 oder auch über eine schnurlose Verbindung können nun kryptographisch überprüfte und entschlüsselte Nachrichten aus dem ersten Netzwerk 12 zur weiteren Auswertung beispielsweise an ein Diagnosenetz 19 übermittelt werden. Ihre weitere Verschlüsselung innerhalb des zweiten Netzwerks 11 ist möglich. Dafür verwendete Schlüssel sind jedoch im zweiten Netzwerk 11 in den jeweiligen Kommunikationspartnern verfügbar.The decryption unit 101 comes with a storage unit 103 in which both the transmission key a is performed for decryption and verification of the transmission data structure. After a review of the transmission data structure 202 this is decrypted and extracted with the transfer key a and the cryptographic parameter A and also stored in the memory unit. About a connection performance 104 or via a cordless connection can now cryptographically checked and decrypted messages from the first network 12 for further evaluation, for example, to a diagnostic network 19 be transmitted. Your further encryption within the second network 11 is possible. However, keys used for this are in the second network 11 available in the respective communication partners.

Alle beschriebenen und/oder gezeichneten Merkmale können im Rahmen der Erfindung vorteilhaft miteinander kombiniert werden. Die Erfindung ist nicht auf die beschriebenen Ausführungsbeispiele beschränkt.All described and / or drawn features can be advantageously combined with each other within the scope of the invention. The invention is not limited to the described embodiments.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • WO 2012/170485 [0005] WO 2012/170485 [0005]

Claims (14)

Verfahren zum rückwirkungsfreien Erfassen von Daten, die zwischen Vorrichtungen (140, 160.1, 160.2, 160.3) in einem ersten Netzwerk (12) kryptographisch geschützt übertragen werden und durch eine Einwegübertragungseinrichtung in einem zweiten Netzwerk (11) mitgehört werden, mit den Verfahrensschritten: – Aushandeln (2) von mindestens einem kryptographischen Parameter zwischen den kommunizierenden Vorrichtungen (160, 140) im ersten Netzwerk (12) zur Verwendung in einer nachfolgenden Kommunikation (200.1, 200.2, 200.3); – Erzeugen (3) einer Übertragungsdatenstruktur (202) in mindestens einer der Vorrichtungen (160, 140), in der zumindest teilweise die ausgehandelten kryptographischen Parameter (A, B, C) enthalten sind, und Übertragen der Übertragungsdatenstruktur (202) innerhalb des ersten Netzwerks (12); und – Mithören (4) der Übertragungsdatenstruktur (202) durch die Einwegübertragungseinrichtung (100) und Übermitteln der Übertragungsdatenstruktur (202) in das zweite Netzwerk (11).Method for the non-reactive collection of data between devices ( 140 . 160.1 . 160.2 . 160.3 ) in a first network ( 12 ) are transmitted cryptographically protected and by a one-way transmission device in a second network ( 11 ), with the procedural steps: - Negotiate ( 2 ) of at least one cryptographic parameter between the communicating devices ( 160 . 140 ) in the first network ( 12 ) for use in a subsequent communication ( 200.1 . 200.2 . 200.3 ); - Produce ( 3 ) of a transmission data structure ( 202 ) in at least one of the devices ( 160 . 140 ), in which at least partially the negotiated cryptographic parameters (A, B, C) are contained, and transmitting the transmission data structure ( 202 ) within the first network ( 12 ); and - listening ( 4 ) of the transmission data structure ( 202 ) by the one-way transfer device ( 100 ) and transmitting the transmission data structure ( 202 ) into the second network ( 11 ). Verfahren nach Anspruch 1, wobei das erste Netzwerk (12) ein Industrieanlagennetzwerk mit hohen Sicherheitsanforderungen ist.Method according to claim 1, wherein the first network ( 12 ) is an industrial plant network with high safety requirements. Verfahren nach einem der Ansprüche 1 oder 2, wobei die Übertragungsdatenstruktur (202) durch einen konfigurierbaren kryptographischen Übertragungsschlüssel (a) geschützt übertragen wird.Method according to one of claims 1 or 2, wherein the transmission data structure ( 202 ) is transmitted protected by a configurable cryptographic transfer key (a). Verfahren nach einem der Ansprüche 1 bis 3, wobei die in das zweite Netzwerk (11) übertragenen kryptographisch geschützten Daten mit Hilfe der kryptographischen Parameter (A, B, C) entschlüsselt werden.Method according to one of claims 1 to 3, wherein the in the second network ( 11 ) cryptographically protected data using the cryptographic parameters (A, B, C) are decrypted. Verfahren nach einem der Ansprüche 1 bis 4, wobei nur erfolgreich kryptographisch geprüfte mitgehörte Daten von der Einwegübertragungseinrichtung (100) in das zweite Netzwerk (11) weitergeleitet werden.Method according to one of Claims 1 to 4, in which only successfully recorded cryptographically examined data from the one-way transmission device ( 100 ) into the second network ( 11 ) to get redirected. Verfahren nach einem der Ansprüche 1 bis 5, wobei weitere die kryptographische Behandlung der Kommunikation (200.1, 200.2, 200.3) betreffende Nachrichten im ersten Netzwerk (12) durch die Einwegübertragungseinrichtung (100) mitgehört und mit Hilfe der kryptographischen Parameter (A, B, C) im zweiten Netzwerk (11) ausgewertet werden.Method according to one of claims 1 to 5, wherein further the cryptographic treatment of communication ( 200.1 . 200.2 . 200.3 ) messages in the first network ( 12 ) by the one-way transfer device ( 100 ) and using the cryptographic parameters (A, B, C) in the second network ( 11 ) be evaluated. Verfahren nach einem der Ansprüche 1 bis 6, wobei die kryptographischen Parameter (A, B, C) mindestens einen Sitzungsschlüssel und/oder mindestens ein Einmalpasswort und/oder mindestens ein ausgehandeltes Verschlüsselungsset und/oder mindestens einen ausgehandelten Algorithmenparameter umfassen.Method according to one of Claims 1 to 6, wherein the cryptographic parameters (A, B, C) comprise at least one session key and / or at least one one-time password and / or at least one negotiated encryption set and / or at least one negotiated algorithm parameter. Vorrichtung (160.1, 160.2, 160.3, 140) zur Durchführung einer kryptographisch geschützten Kommunikation (200.1, 200.2, 200.3) umfassend – eine Aushandlungseinheit (162), die derart ausgebildet ist, kryptographische Parameter (A, B, C) für die Durchführung einer kryptographisch geschützten Kommunikation (200.1, 200.2, 200.3) auszuhandeln, und – eine Erzeugungseinheit (163), die derart ausgebildet ist, eine Übertragungsdatenstruktur (202) zu erzeugen, in der zumindest teilweise die ausgehandelten kryptographischen Parameter (A, B, C) enthalten sind, und diese in dem ersten Netzwerk (12) zu übermitteln.Contraption ( 160.1 . 160.2 . 160.3 . 140 ) for performing a cryptographically protected communication ( 200.1 . 200.2 . 200.3 ) - a negotiating unit ( 162 ), which is designed in such a way, cryptographic parameters (A, B, C) for carrying out a cryptographically protected communication ( 200.1 . 200.2 . 200.3 ), and - a generating unit ( 163 ) thus formed, a transmission data structure ( 202 ) containing, at least in part, the negotiated cryptographic parameters (A, B, C) and these in the first network ( 12 ). Vorrichtung nach Anspruch 8, wobei die Vorrichtung (160.1, 160.2, 160.3, 140) eine Komponente in einem Industrieanlagennetz ist.Apparatus according to claim 8, wherein the device ( 160.1 . 160.2 . 160.3 . 140 ) is a component in an industrial plant network. Vorrichtung nach einem der Ansprüche 8 oder 9, wobei die Erzeugungseinrichtung (163) einen konfigurierbaren kryptographischen Übertragungsschlüssel (a) aufweist und derart ausgebildet ist, die Übertragungsdatenstruktur (202) durch den kryptographischen Übertragungsschlüssel (a) geschützt auszugeben.Device according to one of claims 8 or 9, wherein the generating device ( 163 ) has a configurable cryptographic transmission key (a) and is designed such that the transmission data structure ( 202 ) protected by the cryptographic transfer key (a). Einwegübertragungseinrichtung zum rückwirkungsfreien Erfassen von Daten, umfassend – eine Mithöreinheit (102), die derart ausgebildet ist, kryptographische Parameter (A, B, C) zwischen Vorrichtungen (160.1, 160.2, 160.3, 140) in einem ersten Netzwerk (12) mitzuhören und – eine Speichereinheit (103), die derart ausgebildet ist, die kryptographischen Parameter (A, B, C) zu speichern und in ein zweites Netzwerk (11) zu übermitteln.A one-way transmission device for the non-reactive acquisition of data, comprising - a monitoring unit ( 102 ) formed in such a way, cryptographic parameters (A, B, C) between devices ( 160.1 . 160.2 . 160.3 . 140 ) in a first network ( 12 ) and - a memory unit ( 103 ), which is designed to store the cryptographic parameters (A, B, C) and into a second network ( 11 ). Einwegübertragungseinrichtung nach Anspruch 11 mit einer Entschlüsselungseinheit (101), die derart ausgebildet ist, aus dem ersten Netzwerk (12) übertragene kryptographisch geschützte Daten mit Hilfe der kryptographischen Parameter (A, B, C) zu entschlüsseln.A one-way transmission device according to claim 11 having a decryption unit ( 101 ) thus formed from the first network ( 12 ) to decrypt transmitted cryptographically protected data using the cryptographic parameters (A, B, C). Einwegübertragungseinrichtung nach einem der Ansprüche 11 oder 12, wobei die Entschlüsselungseinheit (101) derart ausgebildet ist, nur erfolgreich kryptographisch geprüfte mitgehörte Daten in das zweite Netzwerk (11) weiterzuleiten.A one-way transmission device according to one of claims 11 or 12, wherein the decryption unit ( 101 ) is designed in such a way, only successfully cryptographically checked listened data in the second network ( 11 ) forward. Computerprogrammprodukt mit Programmbefehlen zur Ausführung eines Verfahrens gemäß den Ansprüchen 1–7.Computer program product with program instructions for carrying out a method according to claims 1-7.
DE102015200279.9A 2015-01-12 2015-01-12 Single-use transmission device, device and method for non-reactive data acquisition Withdrawn DE102015200279A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102015200279.9A DE102015200279A1 (en) 2015-01-12 2015-01-12 Single-use transmission device, device and method for non-reactive data acquisition

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015200279.9A DE102015200279A1 (en) 2015-01-12 2015-01-12 Single-use transmission device, device and method for non-reactive data acquisition

Publications (1)

Publication Number Publication Date
DE102015200279A1 true DE102015200279A1 (en) 2016-07-14

Family

ID=56233833

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015200279.9A Withdrawn DE102015200279A1 (en) 2015-01-12 2015-01-12 Single-use transmission device, device and method for non-reactive data acquisition

Country Status (1)

Country Link
DE (1) DE102015200279A1 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019063511A1 (en) * 2017-09-28 2019-04-04 Siemens Mobility GmbH PROCESS AND DEVICE FOR IMMEDIATE AND RETROFREE-FREE TRANSFER OF LOG MESSAGES
WO2019233897A1 (en) * 2018-06-06 2019-12-12 Siemens Mobility GmbH Method and system for fault-correcting transfer of a dataset via a unidirectional communication unit
WO2020061388A1 (en) * 2018-09-20 2020-03-26 Siemens Mobility GmbH Data capture apparatus with embedded security applications and unidirectional communication
EP3648416A1 (en) 2018-11-05 2020-05-06 Hilscher Gesellschaft Für Systemautomation MBH Automation device with integrated network analysis and cloud connection
CN112242900A (en) * 2019-07-17 2021-01-19 西门子交通有限责任公司 Method and communication unit for the cryptographically protected unidirectional data transmission of useful data
EP3772843A1 (en) * 2019-08-06 2021-02-10 Siemens Mobility GmbH Method and communication device for data transmission between networks, in particular with different security requirements
DE102023001381B3 (en) 2023-04-06 2024-06-27 Sebastian Hilscher Device with flexible communication structure for real-time network applications with high data security, in particular automation device, and method for its configuration

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5796830A (en) * 1996-07-29 1998-08-18 International Business Machines Corporation Interoperable cryptographic key recovery system
US6724893B1 (en) * 1996-10-11 2004-04-20 The United States Of America As Represented By The National Security Agency Method of passing a cryptographic key that allows third party access to the key
WO2012170485A1 (en) 2011-06-08 2012-12-13 Adventium Enterprises Multi-domain information sharing

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5796830A (en) * 1996-07-29 1998-08-18 International Business Machines Corporation Interoperable cryptographic key recovery system
US6724893B1 (en) * 1996-10-11 2004-04-20 The United States Of America As Represented By The National Security Agency Method of passing a cryptographic key that allows third party access to the key
WO2012170485A1 (en) 2011-06-08 2012-12-13 Adventium Enterprises Multi-domain information sharing

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
SMITH. M. [et al.]: Cryptographic Information Recovery Using Key Recovery, Computers & Security, 19 (2000) 21-27, Elsevier Science Ltd., URL: http://www.sciencedirect.com/science/article/pii/S0167404800863580 [abgerufen im Internet am 23.10.2015] *

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11128551B2 (en) 2017-09-28 2021-09-21 Siemens Mobility GmbH Method and apparatus for immediate and reaction-free transmission of log messages
CN111149105A (en) * 2017-09-28 2020-05-12 西门子交通有限责任公司 Method and device for immediate and reaction-free transmission of log messages
CN111149105B (en) * 2017-09-28 2023-05-23 西门子交通有限责任公司 Method and apparatus for immediate and reaction-free transmission of log messages
WO2019063511A1 (en) * 2017-09-28 2019-04-04 Siemens Mobility GmbH PROCESS AND DEVICE FOR IMMEDIATE AND RETROFREE-FREE TRANSFER OF LOG MESSAGES
WO2019233897A1 (en) * 2018-06-06 2019-12-12 Siemens Mobility GmbH Method and system for fault-correcting transfer of a dataset via a unidirectional communication unit
US11362762B2 (en) 2018-06-06 2022-06-14 Siemens Mobility GmbH Method and system for the error-correcting transmission of a data record via a unidirectional communication unit
WO2020061388A1 (en) * 2018-09-20 2020-03-26 Siemens Mobility GmbH Data capture apparatus with embedded security applications and unidirectional communication
CN113056927A (en) * 2018-09-20 2021-06-29 西门子交通有限责任公司 Data capture device with embedded security applications and one-way communication
US12010130B2 (en) 2018-09-20 2024-06-11 Siemens Mobility GmbH Data capture apparatus with embedded security applications and unidirectional communication
CN113056927B (en) * 2018-09-20 2024-05-28 西门子交通有限责任公司 Data capture device with embedded security application and unidirectional communication
EP3648416A1 (en) 2018-11-05 2020-05-06 Hilscher Gesellschaft Für Systemautomation MBH Automation device with integrated network analysis and cloud connection
DE102018008674A1 (en) 2018-11-05 2020-05-07 Hilscher Gesellschaft für Systemautomation mbH Automation device with integrated network analysis and cloud connection
US11477175B2 (en) 2019-07-17 2022-10-18 Siemens Mobility GmbH Method and communication unit for the cryptographically protected unidirectional data transmission of payload data between two networks
EP3767909A1 (en) * 2019-07-17 2021-01-20 Siemens Mobility GmbH Method and communication unit for cryptographically protected unidirectional data transmission of useful data between two networks
AU2020205352B2 (en) * 2019-07-17 2022-04-21 Siemens Mobility GmbH Method and communication unit for the cryptographically protected unidirectional data transmission of payload data between two networks
CN112242900A (en) * 2019-07-17 2021-01-19 西门子交通有限责任公司 Method and communication unit for the cryptographically protected unidirectional data transmission of useful data
CN112242900B (en) * 2019-07-17 2024-05-31 西门子交通有限责任公司 Method and communication unit for cryptographically protected unidirectional data transmission of useful data
EP3772843A1 (en) * 2019-08-06 2021-02-10 Siemens Mobility GmbH Method and communication device for data transmission between networks, in particular with different security requirements
DE102023001381B3 (en) 2023-04-06 2024-06-27 Sebastian Hilscher Device with flexible communication structure for real-time network applications with high data security, in particular automation device, and method for its configuration
WO2024208451A1 (en) 2023-04-06 2024-10-10 Hilscher Gesellschaft für Systemautomation mbH Device with flexible communications structure for real-time capable network applications with high data security, in particular automation device, and method for configuration thereof

Similar Documents

Publication Publication Date Title
DE102015200279A1 (en) Single-use transmission device, device and method for non-reactive data acquisition
EP3501154A1 (en) Provision of secure communication in a communications network capable of operating in real time
DE102018102608A1 (en) Method for user management of a field device
EP3125492A1 (en) Method and system for generating a secure communication channel for terminals
EP3681102A1 (en) Method for validation of a digital user certificate
DE102015220038A1 (en) A method of creating a secret or key in a network
EP3556071B1 (en) Method, device, and computer-readable storage medium comprising instructions for signing measurement values of a sensor
EP3935808B1 (en) Cryptographically protected provision of a digital certificate
EP3906653B1 (en) Method for issuing a cryptographically protected authenticity certificate for a user
EP3831101B1 (en) Method for the vehicle-internal management of cryptographic keys
EP3613193A1 (en) Method, devices and computer program product for examining connection parameters of a cryptographically protected communication connection during establishing of the connection
EP3759958B1 (en) Method, apparatus and computer program product for monitoring of an encrypted connection in a network
EP3525390A1 (en) Device and method for providing at least one secure cryptographic key for cryptographically protecting data initiated by a control device
EP2829011A1 (en) Method and device for generating cryptographically protected redundant data packets
EP1126655A1 (en) Method of hardware and software authentication in a network system
DE102018211597A1 (en) Procedure for setting up a credential for a first device
EP3767909B1 (en) Method and communication unit for cryptographically protected unidirectional data transmission of useful data between two networks
EP3955509A1 (en) Provision of quantum keys in a network
EP3401831A1 (en) Device and method for detecting a physical manipulation in an electronic security module
EP3734478A1 (en) Method for allocating certificates, management system, use of same, technical system, system component and use of identity provider
EP4300883A1 (en) Network adapter capable of supporting an authorized transmission and / or receiving of data
EP4097948B1 (en) Method for data transfer and communication system
WO2023217645A1 (en) Secured access system
EP3603012A1 (en) Method and device for securing communication between at least one first communication device and at least one second communication device, in particular within a communication network of an industrial production and/or automation system
EP3541009A1 (en) Method and device for ensuring cryptographically secure data transmission between a first electronic device and a second device

Legal Events

Date Code Title Description
R163 Identified publications notified
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee