[go: up one dir, main page]

DE102013218373A1 - Method and system for cryptographically securing a given message processing flow - Google Patents

Method and system for cryptographically securing a given message processing flow Download PDF

Info

Publication number
DE102013218373A1
DE102013218373A1 DE201310218373 DE102013218373A DE102013218373A1 DE 102013218373 A1 DE102013218373 A1 DE 102013218373A1 DE 201310218373 DE201310218373 DE 201310218373 DE 102013218373 A DE102013218373 A DE 102013218373A DE 102013218373 A1 DE102013218373 A1 DE 102013218373A1
Authority
DE
Germany
Prior art keywords
data
security zone
cryptographic
test
engines
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE201310218373
Other languages
German (de)
Inventor
Uwe Blöcher
Rainer Falk
Steffen Fries
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Priority to DE201310218373 priority Critical patent/DE102013218373A1/en
Priority to PCT/EP2014/067193 priority patent/WO2015036190A1/en
Publication of DE102013218373A1 publication Critical patent/DE102013218373A1/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Verfahren zum Austausch von Daten (11, 12) zwischen einer ersten Security-Zone (98) und einer zweiten Security-Zone (99), umfassend die Verfahrensschritte: – Empfangen von Daten (11) von der ersten Security-Zone (98) an einer Eingabestufe (2) eines Gateways (1); – Durchführen eines Prozesses, welcher unterschiedliche erforderliche Prüfungen der Daten (11) umfasst; – wobei eine Abarbeitung jeder der erforderlichen Prüfungen jeweils durch eine kryptographische Schutzmaßnahme (3a, 4a, 5a) gewährleistet wird indem mit Hilfe der kryptographischen Schutzmaßnahmen (3a, 4a, 5a) sichergestellt wird, dass eine Ausgabestufe (9) des Gateways (1) die Daten (11) oder aus den Daten abgeleitete Daten (12) nicht für die zweite Security Zone (99) lesbar bereitstellt, wenn mindestens eine der erforderlichen Prüfungen nicht durchgeführt worden ist.A method for exchanging data (11, 12) between a first security zone (98) and a second security zone (99), comprising the method steps: - receiving data (11) from the first security zone (98) an input stage (2) of a gateway (1); Performing a process comprising different required checks of the data (11); - Wherein a processing of each of the required tests in each case by a cryptographic protection measure (3a, 4a, 5a) is ensured by using the cryptographic protection measures (3a, 4a, 5a) ensures that an output stage (9) of the gateway (1) the Data (11) or data (12) derived from the data is not readable by the second security zone (99) if at least one of the required checks has not been performed.

Description

Die vorliegende Erfindung betrifft das technische Gebiet des sicheren Austausches von Daten zwischen einer ersten Security-Zone und einer zweiten Security-Zone. The present invention relates to the technical field of securely exchanging data between a first security zone and a second security zone.

Für eine hohe Sicherheit der Cross Domain Solution muss sichergestellt sein, dass alle erforderlichen Prüfungen, Bearbeitungsschritte tatsächlich durchlaufen wurden. Dies kann zwar durch eine entsprechende Gesamtlösung erreicht werden. Für eine erhöhte Robustheit, sowie Flexibilität welche Prüfungen durchzuführen sind (z.B. abhängig von Dateityp), sowie eine einfachere modulare Nachweisführung der Compliance, ist eine feste, starre Abfolge der Prüfungen jedoch unpraktisch. Dennoch muss eine hohe Zuverlässigkeit erreicht werden. For a high level of security of the Cross Domain Solution, it must be ensured that all required checks and processing steps have actually been completed. Although this can be achieved by a corresponding overall solution. However, a fixed, rigid sequence of checks is impractical for increased robustness, flexibility in which tests to perform (e.g., depending on file type), and simpler modular compliance evidence. Nevertheless, high reliability must be achieved.

In der Patentanmeldung US2012226917A1 „Data Content Checking“ (QinetiQ) ist insbesondere offenbart:

  • • Content Checking mit separater Input-Stufe und Output Stufe (3) sowie mit kombinierter Input-Output-Stufe (2)
  • • Verwendung mehrerer Content Checker :Anordnung mehrerer Prüfstufen hintereinander, parallel oder dezentral über Datenbank (5, 6, 7)
  • • Verschlüsselung von eingehendem Content durch Input-Stufe; Entschlüsselung von ungeprüftem Content und digitale Signatur (8). Es ist sichergestellt, dass die Output-Stufe keine ungeprüften Daten ausgeben kann, da sie den Entschlüsselungsschlüssel nicht kennt.
In the patent application US2012226917A1 In particular, "Data Content Checking" (QinetiQ) is disclosed:
  • • Content checking with separate input level and output level ( 3 ) and with combined input-output stage ( 2 )
  • • Use of multiple Content Checker: Arrangement of several test stages in succession, parallel or decentralized via database ( 5 . 6 . 7 )
  • • Encryption of incoming content by input level; Decryption of unchecked content and digital signature ( 8th ). It is ensured that the output stage can not output unchecked data because it does not know the decryption key.

Daten-Dioden sind bekannt, um durch physikalische oder teilweise auch nur logische Schutzmaßnahmen zu gewährleisten, dass nur eine unidirektionale Datenkommunikation stattfindet. Data diodes are known to ensure by physical or partially even only logical protective measures that only a unidirectional data communication takes place.

Im behördlichen Umfeld sind Cross-Domain Security Solutions („Datenschleuse“) bekannt, die einen kontrollierten Dokumentenaustausch zwischen zwei Security-Zonen ermöglichen. Neben Datendioden werden dabei Filterungen nach Schadsoftware und des Dokumentenformats bzw. der Einstufung eines Dokuments durchgeführt. Für eine bidirektionale Kommunikation ist dabei eine solche Datenschleuse separat für jede Kommunikationsrichtung, das heißt doppelt vorzusehen. In the regulatory environment, cross-domain security solutions ("data locks") are known that allow a controlled exchange of documents between two security zones. In addition to data diodes, filtering for malware and the document format or classification of a document are performed. For a bidirectional communication is such a data lock separately for each direction of communication, that is to provide twice.

Ein wesentlicher Nachteil der bekannten Architekturen einer Cross-Domain Security Solution ist, dass diese unidirektional arbeiten (d.h. für eine bidirektionale Lösung doppelt vorgesehen sein müssen). Weiterhin besteht im industriellen Anwendungsumfeld ein zunehmender Bedarf an einer flexiblen, erweiterbaren Lösung, um unterschiedliche Kommunikationsprotokolle und Dokumententypen zu unterstützen. A major disadvantage of the known cross-domain security solution architectures is that they must operate unidirectionally (i.e., be duplicated for a bidirectional solution). Further, in the industrial application environment, there is an increasing demand for a flexible, extensible solution to support different communication protocols and document types.

Von DE 10 2006 036 111 B3 (Siemens) ist eine Lösung für ein sicheres Übertragen einer Nachricht von einer ersten Zone in eine zweite Zone bekannt, wobei in einer durch unidirektionale Datendioden abgegrenzten Transition Zone vor dem Weiterleiten eines Dokuments zumindest zwei unterschiedliche Content-Prüfungen erfolgen. From DE 10 2006 036 111 B3 (Siemens) is a solution for a secure transmission of a message from a first zone in a second zone known, wherein carried out in a demarcated by unidirectional data diodes transition zone before forwarding a document at least two different content checks.

Von US 2012/0226914 A1 (QinetiQ) ist bekannt, mehrere Content Checker zur Prüfung eines Dokuments in einer parallelen Anordnung vorzusehen. From US 2012/0226914 A1 (QinetiQ) is known to provide multiple content checkers for reviewing a document in a parallel arrangement.

Von US 2012/0226917 A1 (QinetiQ) ist bekannt, dass eingehende Dateien vor einer Prüfung verschlüsselt werden (dadurch kann von ihnen kein Schaden ausgehen). Ein Content Checker entschlüsselt das Dokument und signiert es digital, wenn er es erfolgreich überprüft hat. From US 2012/0226917 A1 (QinetiQ) is aware that incoming files are encrypted before testing (this can not harm them). A content checker decrypts the document and digitally signs it when it has successfully verified it.

Von WO 2012/170485 A1 (Adventium) ist bekannt, eine Cross Domain Security Lösung in einer virtualisierten Ausführungsumgebung zu realisieren. Dabei sind separate virtuelle Maschinen für die einzelnen Komponenten der Cross Domain Security Solution vorgesehen. From WO 2012/170485 A1 (Adventium) is known to realize a cross domain security solution in a virtualized execution environment. Separate virtual machines are provided for the individual components of the Cross Domain Security Solution.

Methoden zum Secret Sharing ist allgemein bekannt, siehe z.B. http://en.wikipedia.org/wiki/Secret_sharing. Dabei ist ein Geheimnis nur ermittelbar wenn mehrere Teilinformationen zusammengeführt werden. Secret sharing methods are well known, see e.g. http://en.wikipedia.org/wiki/Secret_sharing. A secret can only be determined if several pieces of information are merged.

Im Stand der Technik ist beschrieben, dass eine einzelne Prüfkomponente bei erfolgreicher Prüfung eine digitale Signatur erstellt. The prior art describes that a single test component creates a digital signature upon successful verification.

Multisignaturen sind z.B. beschrieben in:
http://charlotte.ucsd.edu/~mihir/papers/id-multisignatures.pdf , http://www.informatica.si/PDF/34-4/12_Shao-Multisignature%20Scheme%20Based%20on%20Discrete%20Logarith.pdf Multi-signatures are described eg in:
http://charlotte.ucsd.edu/~mihir/papers/id-multisignatures.pdf . http://www.informatica.si/PDF/34-4/12_Shao-Multisignature%20Scheme%20Based%20on%20Discrete%20Logarith.pdf

Bei der paketvermittelten Datenkommunikation, z.B. der IP-Kommunikation, ist ein Source Routing bekannt, bei dem der Sender den Pfad eines Datenpakets vorgibt (siehe z.B. http://de.wikipedia.org/wiki/Source_Routing ). In the case of packet-switched data communication, for example IP communication, source routing is known in which the sender specifies the path of a data packet (see, for example, US Pat http://de.wikipedia.org/wiki/Source_Routing ).

1 zeigt eine Anordnung 901 gemäß dem Stand der Technik zum sicheren Datenaustausch zwischen zwei Security-Zonen 998, 999. Über eine kombinierte Ein-Ausgabe-Stufe (input-output stage) 902, 909 werden Nachrichten 911, 912, 913, 914 empfangen und ausgegeben. Mehrere Message Processing Engines 903, 904, 905, 906 sind vorgesehen, um die Nachrichten 911, 914 zu prüfen und ggf. zu bearbeiten. Während der Bearbeitung werden die Nachrichten 911, 912, 913, 914 verschlüsselt und in eine Message Container Datenstruktur verpackt. Die Nachrichten 911, 912, 913, 914 bzw. die diese enthaltenen Message Container Datenstrukturen werden in einem Message Container Data Base (MCDB) 908 abgelegt. Eine Message Processing Execution Engine 907 steuert die Bearbeitung der Nachrichten 911, 912, 913, 914. 1 shows an arrangement 901 according to the prior art for secure data exchange between two security zones 998 . 999 , Via a combined input-output stage 902 . 909 become news 911 . 912 . 913 . 914 received and spent. Multiple Message Processing Engines 903 . 904 . 905 . 906 are provided to the news 911 . 914 to check and if necessary to edit. While editing are the news 911 . 912 . 913 . 914 encrypted and packaged in a message container data structure. The news 911 . 912 . 913 . 914 or the Message Container data structures contained in these are stored in a Message Container Data Base (MCDB) 908 stored. A message processing execution engine 907 controls the processing of the messages 911 . 912 . 913 . 914 ,

Diese Anordnung 901 hat den Vorteil, dass eine Prüfkomponente 903, 904, 905, 906 grundsätzlich für Nachrichten 911, 912, 913, 914 beider Richtungen verwendbar ist. Sie ist für mehr als zwei Schnittstellen 902, 909 erweiterbar. Für unterschiedliche Datenarten kann eine unterschiedliche Teilmenge von grundsätzlich möglichen Prüfungen durchgeführt werden. Es können einfach zusätzliche Message Processing Engines ergänzt werden. Die Anordnung 901 hat jedoch den Nachteil, dass die Einhaltung einer vorgegebenen Reihenfolge der vorgegebenen Prüfungen nicht zuverlässig gewährleistet werden kann. Auch besteht die Möglichkeit, dass bei einer Fehlfunktion der Ein-Ausgabe-Stufe 902, 909 der Fall auftreten kann, dass eine Nachricht ausgegeben wird, die nicht alle vorgegebenen Prüfungen erfolgreich durchlaufen hat. This arrangement 901 has the advantage of having a testing component 903 . 904 . 905 . 906 basically for news 911 . 912 . 913 . 914 is usable in both directions. It is for more than two interfaces 902 . 909 expandable. For different types of data, a different subset of fundamentally possible tests can be performed. It is easy to add additional message processing engines. The order 901 However, has the disadvantage that compliance with a predetermined order of the given tests can not be reliably guaranteed. There is also the possibility that in case of malfunction of the input-output stage 902 . 909 the case may arise that a message is issued that has not passed all the predetermined checks successfully.

Es besteht ein Bedarf an einer flexiblen Lösung zum sicheren Austausch von Daten zwischen zwei Security-Zonen (z.B. Zonen nach ISO/IEC62443 ). Es ist Aufgabe der vorliegenden Erfindung diesem Bedarf nachzukommen. There is a need for a flexible solution for the secure exchange of data between two security zones (eg zones) ISO / IEC62443 ). It is an object of the present invention to meet this need.

Diese Aufgabe wird durch die in den unabhängigen Ansprüchen beschriebenen Lösungen gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind in weiteren Ansprüchen angegeben. This object is achieved by the solutions described in the independent claims. Advantageous embodiments of the invention are specified in further claims.

Gemäß einem ersten Aspekt betrifft die Erfindung ein Verfahren zum Austausch von Daten zwischen einer ersten Security-Zone und einer zweiten Security-Zone. Das Verfahren umfasst einen Verfahrensschritt gemäß welchem Daten von der ersten Security-Zone an einer Eingabestufe eines Gateways empfangen werden und einen Verfahrensschritt gemäß welchem ein Prozess durchgeführt wird. Der Prozess umfasst unterschiedliche erforderliche Prüfungen der Daten. Eine Abarbeitung jeder der erforderlichen Prüfungen wird jeweils durch eine kryptographische Schutzmaßnahme gewährleistet. Dabei wird mit Hilfe der kryptographischen Schutzmaßnahmen sichergestellt, dass eine Ausgabestufe des Gateways die Daten oder aus den Daten abgeleiteten Daten nicht für die zweite Security Zone lesbar bereitstellt, wenn zumindest eine der erforderlichen Prüfungen nicht durchgeführt worden ist. According to a first aspect, the invention relates to a method for exchanging data between a first security zone and a second security zone. The method comprises a method step according to which data is received from the first security zone at an input stage of a gateway and a method step according to which a process is carried out. The process involves different required checks of the data. A processing of each of the required tests is ensured by a cryptographic protective measure. The cryptographic protection measures ensure that an output stage of the gateway does not make the data or data derived from the data readable for the second security zone if at least one of the required checks has not been carried out.

Gemäß einem weiteren Aspekt betrifft die Erfindung ein System zum Austausch von Daten zwischen einer ersten Security-Zone und einer zweiten Security-Zone. Das System umfasst eine Eingabestufe, eine Ausgabestufe und mindestens zwei Prüf-Engines. Mittels der Eingabestufe sind Daten von der ersten Security-Zone empfangbar. Mittels der Ausgabestufe sind die Daten oder aus den Daten abgeleitete Daten für die zweite Security-Zone bereitstellbar. Auf den mindestens zwei Prüf-Engines ist jeweils eine unterschiedliche erforderliche Prüfung der Daten durchführbar. Jede der mindestens zwei Prüf-Engines umfasst eine kryptographische Schutzmaßnahme, mit Hilfe welcher jeweils sicherstellbar ist, dass die Ausgabestufe die Daten oder die abgeleiteten Daten nicht für die zweite Security Zone lesbar bereitstellt, wenn zumindest eine der mindestens zwei erforderlichen Prüfungen nicht durchgeführt worden ist. According to a further aspect, the invention relates to a system for exchanging data between a first security zone and a second security zone. The system comprises an input stage, an output stage and at least two check engines. By means of the input stage data from the first security zone can be received. By means of the output stage, the data or data derived from the data can be provided for the second security zone. On the at least two test engines, a different required test of the data is feasible. Each of the at least two check engines comprises a cryptographic protection measure with which it can be ensured that the output stage does not make the data or the derived data readable for the second security zone if at least one of the at least two required checks has not been performed.

Die Erfindung wird nachfolgend anhand der Figuren beispielsweise näher erläutert. Dabei zeigen: The invention will be explained in more detail with reference to the figures, for example. Showing:

1 Eine Anordnung zum sicheren Datenaustausch zwischen zwei Security-Zonen gemäß dem Stand der Technik; 1 An arrangement for secure data exchange between two security zones according to the prior art;

2 Ein System und ein Verfahren gemäß einem Ausführungsbeispiel der Erfindung. 2 A system and method according to an embodiment of the invention.

3 Eine Variante des Systems und des Verfahrens von 2; 3 A variant of the system and method of 2 ;

4 Eine Variante des Systems und des Verfahrens von 2 sowie von 3. 4 A variant of the system and method of 2 as well as from 3 ,

2 zeigt ein System 1 und ein Verfahren zur kryptographisch geschützten Sicherstellung einer mehrstufigen Nachrichtenbearbeitung gemäß einem Ausführungsbeispiel der Erfindung. Das System 1 dient dem sicheren Austausch von Daten 11, 12 zwischen einer ersten Security-Zone 98 und einer zweiten Security-Zone 99. Das System 1 umfasst eine Eingabestufe 2, eine Ausgabestufe 9 und mindestens zwei Prüf-Engines 3, 4, 5. Mittels der Eingabestufe 2 sind die Daten 11 von der ersten Security-Zone 98 empfangbar. Mittels der Ausgabestufe 9 sind die Daten 11 oder aus den Daten 11 abgeleitete Daten 12 für die zweite Security-Zone 99 bereitstellbar. Auf jeder der mindestens zwei Prüf-Engines 3, 4, 5 ist jeweils eine unterschiedliche erforderliche Prüfung der Daten 11, 12 durchführbar. Jede der mindestens zwei Prüf-Engines 3, 4, 5 umfasst eine kryptographische Schutzmaßnahme 3a, 4a, 5a mittels welcher jeweils sicherstellbar ist, dass die Ausgabestufe 9 die Daten 11, 12 nicht für die zweite Security Zone 99 lesbar bereitstellt, wenn zumindest eine der mindestens zwei erforderlichen Prüfungen nicht durchgeführt worden ist. 2 shows a system 1 and a method for cryptographically securing multi-stage message processing according to an embodiment of the invention. The system 1 serves the secure exchange of data 11 . 12 between a first security zone 98 and a second security zone 99 , The system 1 includes an input level 2 , an output stage 9 and at least two test engines 3 . 4 . 5 , By means of the input level 2 are the data 11 from the first security zone 98 receivable. By means of the output stage 9 are the data 11 or from the data 11 derived data 12 for the second security zone 99 mountable. On each of the at least two test engines 3 . 4 . 5 is each a different required test of the data 11 . 12 feasible. Each of the at least two test engines 3 . 4 . 5 includes a cryptographic protection measure 3a . 4a . 5a by means of which it can be ensured that the output stage 9 the data 11 . 12 not for the second security zone 99 readable if at least one of the at least two required tests has not been carried out.

Um die Daten 11, 12 zwischen der ersten Security-Zone 98 und der zweiten Security-Zone 99 auszutauschen werden gemäß einem Ausführungsbeispiel des Verfahrens die Daten 11 von der Eingabestufe 2 empfangen. Danach werden durch das System 1 unterschiedliche erforderliche Prüfungen der Daten 11 oder aus den Daten 11 abgeleitete Daten 12 durchgeführt. Dabei wird eine vollständige Abarbeitung der erforderlichen Prüfungen mit Hilfe der kryptographischen Schutzmaßnahmen 3a, 4a, 5a gewährleistet, indem mit Hilfe der kryptographischen Schutzmaßnahmen 3a, 4a, 5a sichergestellt wird, dass die Ausgabestufe 9 die Daten 11 oder aus den Daten 11 abgeleitete Daten 12 nicht für die zweite Security Zone 99 lesbar bereitstellt, wenn mindestens eine der erforderlichen Prüfungen nicht durchgeführt worden ist. To the data 11 . 12 between the first security zone 98 and the second security zone 99 to be exchanged according to a Embodiment of the method, the data 11 from the input level 2 receive. After that, through the system 1 different required checks of the data 11 or from the data 11 derived data 12 carried out. This involves a complete execution of the required checks with the help of the cryptographic safeguards 3a . 4a . 5a ensured by using the cryptographic safeguards 3a . 4a . 5a it is ensured that the output level 9 the data 11 or from the data 11 derived data 12 not for the second security zone 99 readable if at least one of the required tests has not been carried out.

In dem in 2 dargestellten Ausführungsbeispiel werden die Daten 11 mittels einer von der Security-Zone 98 versendeten Nachricht durch die Eingabestufe 2 von der ersten Security-Zone 98 empfangen. Während der durch das System 1 vorgenommenen Prüfungen können auch Bearbeitungen der Daten 11 vorgenommen werden, aus den Daten 11 also abgeleitete Daten 12 erzeugt werden, da wie in 24 dargestellt beispielsweise die Prüf-Engine 4 eine Veränderung der Daten vornehmen kann. In the in 2 illustrated embodiment, the data 11 by means of one of the security zone 98 sent message through the input level 2 from the first security zone 98 receive. While passing through the system 1 Exams can also be used to process the data 11 be made from the data 11 that is, derived data 12 be generated, as in 2 - 4 represented for example the test engine 4 can make a change in the data.

Eine, mehrere oder alle der erforderlichen Prüfungen der Daten kann oder können auch umfassen, dass nicht die Daten 11, sondern aus den Daten 11 abgeleitete Daten, beispielsweise die Daten 12, geprüft werden. Eine Prüfung von aus den Daten 11 abgeleiteten Daten ist somit nach den Gesetzen der Logik und im Rahmen dieses Dokuments auch als Prüfung der Daten 11 aufzufassen. One, several or all of the required checks on the data may or may not include the data 11 but from the data 11 derived data, such as the data 12 , being checked. An examination of from the data 11 derived data is thus according to the laws of logic and in the context of this document also as an examination of the data 11 specific.

Gemäß bevorzugten Ausführungsformen werden die Daten 11 jedoch nicht verändert und die Daten 11 sind identisch mit den Daten 12. Mittels einer Nachricht werden die Daten 11, 12 durch die Ausgabestufe 9 für die zweite Security-Zone 99 bereitgestellt. According to preferred embodiments, the data becomes 11 however, not changed and the data 11 are identical to the data 12 , By means of a message the data become 11 . 12 through the output stage 9 for the second security zone 99 provided.

Bevorzugte Ausführungsformen der Erfindung ermöglichen es sicherzustellen, dass die geforderte Abarbeitung der erforderlichen Prüfungen durch die Prüf-Engines 3, 4, 5 tatsächlich eingehalten wird, bevor eine Nachricht mit den Daten 12 von der Ausgabestufe 9 lesbar bereitgestellt oder ausgegeben wird. Nach den Gesetzen der Logik und im Rahmen dieser Erfindung umfasst das nicht lesbare Bereitstellen der Daten 11, 12 selbstverständlich auch das nicht Bereitstellen der Daten 11, 12. Mit andern Worten, wenn die Ausgabestufe 9 die Daten 11, 12 nicht bereitstellt, so sind die Daten 11, 12 zwangsläufig auch nicht lesbar bereitgestellt. Preferred embodiments of the invention make it possible to ensure that the required execution of the required tests by the test engines 3 . 4 . 5 actually complied before a message with the data 12 from the output stage 9 readably provided or output. According to the laws of logic and within the scope of this invention, the unreadable providing of data includes 11 . 12 of course not providing the data 11 . 12 , In other words, if the output level 9 the data 11 . 12 does not provide, so is the data 11 . 12 inevitably unreadable provided.

Indem die Ausgabestufe 9 die Daten 11, 12 nicht für die zweite Security Zone 99 lesbar bereitstellt, wenn mindestens eine der erforderlichen Prüfungen nicht durchgeführt worden ist, wird sichergestellt, dass die Ausgabestufe 9 die Daten 11, 12 nur dann lesbar für die zweite Security-Zone 99 bereitstellt, wenn jede der erforderlichen Prüfungen durchgeführt worden ist. Selbstverständlich können auch weitere Bedingungen für das Bereitstellen der Daten 11, 12 durch die Ausgabestufe 9 vorgesehen sein. In der Regel wird ein separater Sicherheitsmechanismus verhindern, dass die Daten 11, 12 an die zweite Security-Zone 99 ausgegeben werden, wenn zwar alle erforderlichen Prüfungen durchgeführt wurden, mindestens eine der durchgeführten erforderlichen Prüfungen jedoch nicht erfolgreich war. Weitere Ausführungsbeispiele der vorliegenden Erfindung umfassen somit zusätzlich, dass eine Abarbeitung jeder der erforderlichen Prüfungen jeweils durch eine kryptographische Schutzmaßnahme 3a, 4a, 5a gewährleistet wird, indem sichergestellt wird, dass die Ausgabestufe 9 die Daten 11, 12 nicht für die zweite Security Zone 99 lesbar bereitstellt, wenn eine der erforderlichen Prüfungen nicht erfolgreich durchgeführt worden ist. By the issue level 9 the data 11 . 12 not for the second security zone 99 provides readable, if at least one of the required checks has not been performed, it ensures that the output level 9 the data 11 . 12 only readable for the second security zone 99 when each of the required tests has been carried out. Of course, other conditions for providing the data 11 . 12 through the output stage 9 be provided. In general, a separate security mechanism will prevent the data 11 . 12 to the second security zone 99 when all the required tests have been carried out but at least one of the required tests has not been successful. Further embodiments of the present invention thus additionally include processing each of the required tests by a cryptographic protection measure 3a . 4a . 5a is ensured by ensuring that the output level 9 the data 11 . 12 not for the second security zone 99 readable if one of the required checks has not been successfully completed.

Vorzugsweise ist oder umfasst das System 1 ein Gateway 1. Das Gateway 1 kann als eine integrierte Lösung (Appliance) sein. In diesem Fall führt das Gateway 1 alle erforderlichen Prüfungen selbst durch und umfasst dazu die mindestens zwei Prüf-Engines 3, 4, 5. Alternativ dazu kann das System in Form von separaten, miteinander verbundenen Einzelkomponenten realisiert werden, beispielsweise sodass ein Teil der erforderlichen Prüfungen durch das Gateway 1 durchgeführt wird, während ein anderer Teil der Prüfungen ausgelagert wird. Ebenso können alle erforderlichen Prüfungen ausgelagert werden. Preferably, the system is or includes 1 a gateway 1 , The gateway 1 can be as an integrated solution (appliance). In this case, the gateway performs 1 all the necessary tests yourself and includes at least two test engines 3 . 4 . 5 , Alternatively, the system can be implemented in the form of separate, interconnected individual components, for example, so that part of the required checks by the gateway 1 while another part of the tests is outsourced. Likewise, all required tests can be outsourced.

In dem in 2 dargestellten Ausführungsbeispiel umfassen auch die Eingabestufe 2 und die Ausgabestufe 9 jeweils eine Schutzmaßnahme 2a, 9a, mit Hilfe welcher jeweils sicherstellbar ist, dass die Ausgabestufe 9 die Daten 11, 12 nicht für die zweite Security Zone 99 lesbar bereitstellt. Die Prüf-Engines 3, 4, 5 sind vorzugsweise als Message Processing Engines ausgestaltet. Das System 1 ist vorzugsweise bidirektional betreibbar, sodass die Ausgabestufe 9 als Eingabestufe betreibbar ist und die Eingabestufe 2 als Ausgabestufe. In diesem Zusammenhang spricht man auch von der Eingabe-Ausgabe-Stufe 2 und der Eingabe-Ausgabe-Stufe 9. In the in 2 illustrated embodiment also include the input stage 2 and the output level 9 one protective measure each 2a . 9a , with the help of which each is verifiable that the output stage 9 the data 11 . 12 not for the second security zone 99 readable. The testing engines 3 . 4 . 5 are preferably configured as message processing engines. The system 1 is preferably bidirectionally operable, so that the output stage 9 is operable as an input level and the input level 2 as output level. In this context, one also speaks of the input-output stage 2 and the input-output stage 9 ,

Vorzugsweise werden die erforderlichen Prüfungen jeweils durch eine unterschiedliche Prüf-Engine 3, 4, 5 durchgeführt. Vorzugsweise sind die Prüf-Engines 3, 4, 5 logische Prüf-Engines. Preferably, the required tests are each by a different test engine 3 . 4 . 5 carried out. Preferably, the test engines 3 . 4 . 5 logical test engines.

Gemäß bevorzugten Ausführungsbeispielen umfasst die Eingabestufe 2 ein Festlegungsmittel 21 welches ausgestaltet und/oder adaptiert ist, in Abhängigkeit von der Art der Daten 11 festzulegen, welche Prüfungen erforderlich sind und/oder festzulegen, in welcher Reihe die erforderlichen Prüfungen durchzuführen sind und/oder einen Workflow festzulegen, gemäß dem die Daten 11 die mindestens zwei Prüf-Engines 3, 4, 5 durchlaufen. In preferred embodiments, the input stage comprises 2 a fixing agent 21 which is designed and / or adapted, depending on the type of data 11 determine which tests are required and / or Define in which series the required tests are to be performed and / or to establish a workflow according to which the data 11 the at least two test engines 3 . 4 . 5 run through.

Gemäß bevorzugten Ausführungsbeispielen umfassen die erforderlichen Prüfungen eine beliebige Auswahl aus: eine Format-Prüfung, eine Wertebereichsprüfung, eine Zeichensatzprüfung, eine Datenumfangsprüfung, einen Viren-Scanner, eine Prüfung einer Plausibilität der Inhalte der Daten. In preferred embodiments, the required checks include any selection of: a format check, a range check, a font check, a data volume check, a virus scanner, a plausibility check of the contents of the data.

Die als Prüfblöcke ausgebildeten Prüf-Engines 3, 4, 5 können auch ausgelagert sein (z.B. Cloud Service). Eine gewünschte Abarbeitungsreihenfolge kann graphisch z.B. wie in 2 dargestellt werden. Durch die kryptographischen Schutzmaßnahmen 2a, 3a, 4a, 5a, 9a wird erreicht, dass eine andere Abarbeitungsreihenfolge nicht möglich ist, da ansonsten erforderlichen Schlüssel den beteiligten Komponenten 2, 3, 4, 5, 9 nicht vorliegen. Im Vergleich zu dem in 1 dargestellten Stand der Technik benötigen Datenbank 908 und die Execution Engine 907 keinen Zugriff auf die Schlüssel. Die Nachricht 11 wird dazu beispielsweise für jede Weiterreichung zu und von einer Prüf-Engine in einen kryptographisch geschützten Message Container 2b, 3b, 4b, 5b eingepackt. The test engines designed as test blocks 3 . 4 . 5 can also be outsourced (eg cloud service). A desired execution order can be graphically eg as in 2 being represented. Through the cryptographic safeguards 2a . 3a . 4a . 5a . 9a it is achieved that a different execution order is not possible, because otherwise required keys are the components involved 2 . 3 . 4 . 5 . 9 not available. Compared to the in 1 state of the art require database 908 and the execution engine 907 no access to the keys. The message 11 This is done, for example, for each handover to and from a check engine into a cryptographically protected message container 2 B . 3b . 4b . 5b packed.

Gemäß bevorzugten Ausführungsbeispielen umfasst jede der kryptographischen Schutzmaßnahme 3a, 4a, 5a eine kryptographische Verschlüsselung der Daten 11, 12 mittels eines von der Prüfung und/oder von der die jeweilige kryptographische Schutzmaßnahme umfassenden Prüf-Engine 2, 3, 4 abhängigen kryptographischen Schlüssels k1, k2, k3, k4, wie anhand von 3 detaillierter ausgeführt. In preferred embodiments, each of the cryptographic protections includes 3a . 4a . 5a a cryptographic encryption of the data 11 . 12 by means of a test engine comprising the test and / or the respective cryptographic protection measure 2 . 3 . 4 dependent cryptographic key k1, k2, k3, k4, as determined by 3 executed in more detail.

3 zeigt eine Untervariante des Ausführungsbeispiels von 2 mit symmetrischer Verschlüsselung, z.B. AES, als Schutzmaßnahme. In 3 werden daher die kryptographischen Schutzmaßnahmen 3a, 3b, 3c weiter spezifiziert. Die kryptographische Schutzmaßnahme 3a umfasst ein Mittel zur Entschlüsselung eingehender Nachrichten mit dem Schlüssel k1 und zur Verschlüsselung von ausgehenden Nachrichten mit dem Schlüssel k2. Die kryptographische Schutzmaßnahme 4a umfasst ein Mittel zur Entschlüsselung eingehender Nachrichten mit dem Schlüssel k2 und zur Verschlüsselung von ausgehenden Nachrichten mit dem Schlüssel k3. Die kryptographische Schutzmaßnahme 5 umfasst ein Mittel zur Entschlüsselung eingehender Nachrichten mit dem Schlüssel k3 und zur Verschlüsselung von ausgehenden Nachrichten mit dem Schlüssel k4.Das Verfahren und die Schlüsselverteilung erfolgt beispielsweise gemäß den folgenden Abarbeitungsschritten:

  • Die Daten 11 werden von der Eingabestufe 2 empfangen und von dieser mit dem Schlüssel k1 der ersten erforderlichen Prüfung verschlüsselt;
  • – Jede der als Zwischenstufen ausgebildeten Prüf-Engines 3, 4, 5 führt Entschlüsselung, Prüfung, Verschlüsselung durch;
  • – Für jede Weitergabe zwischen zwei Stufen (und von der Eingabestufe 2 und zu der Ausgabestufe 9) wird ein separater Schlüssel k1, k2, k3, k4 verwendet;
  • – Die beteiligten Prüf-Engines 3, 4, 5 verfügen über den entsprechenden Schlüssel k1, k2, k3, k4, beispielsweise voreingerichtet, oder bekommen ihn über ein Nachrichtentypspezifisches Key Management bereitgestellt;
  • – Die letzte erforderliche Prüf-Engine 5 entschlüsselt die bei ihr eingehenden Daten 12 und leitet diese an die Ausgabestufe 9 als Klartext oder verschlüsselt mit einem Schlüssel k4 der Ausgabestufe weiter.
3 shows a sub-variant of the embodiment of 2 with symmetric encryption, eg AES, as a protective measure. In 3 therefore become the cryptographic safeguards 3a . 3b . 3c further specified. The cryptographic protection measure 3a comprises means for decrypting incoming messages with the key k1 and for encrypting outgoing messages with the key k2. The cryptographic protection measure 4a comprises means for decrypting incoming messages with the key k2 and for encrypting outgoing messages with the key k3. The cryptographic protection measure 5 comprises means for decrypting incoming messages with the key k3 and for encrypting outgoing messages with the key k4. The method and the key distribution are performed according to the following processing steps, for example:
  • - The data 11 be from the input level 2 received and encrypted by this with the key k1 of the first required test;
  • - Each of the test engines designed as intermediate stages 3 . 4 . 5 performs decryption, testing, encryption;
  • - For each transfer between two levels (and from the input level 2 and to the output stage 9 ) a separate key k1, k2, k3, k4 is used;
  • - The involved test engines 3 . 4 . 5 have the corresponding key k1, k2, k3, k4, for example pre-established, or provided via message type-specific key management;
  • - The last required test engine 5 decrypts the incoming data 12 and forwards them to the output stage 9 as plain text or encrypted with a key k4 of the output level.

Somit werden zu einer erforderlichen Prüfung die Daten 11, 12 mittels des von der erforderlichen Prüfung abhängigen Schlüssels k1, k2, k3, entschlüsselt und nach Durchführung der erforderlichen Prüfung mittels eines von einer zweiten erforderlichen Prüfung abhängigen Schlüssels k2, k3, k4 verschlüsselt. Thus, the data becomes a required test 11 . 12 decrypted by the dependent of the required test key k1, k2, k3, and encrypted after performing the required test by means of a dependent of a second required test key k2, k3, k4.

Anstatt des AES-Verschlüsselungsverfahrens können auch andere Verschlüsselungsverfahren verwendet werden. So kann z.B. eine Verschlüsselung mit einem anderen symmetrischen Verschlüsselungsalgorithmus wie z.B. IDEA, MISTY, PRESENT, 3DES oder einem asymmetrischen Verschlüsselungsverfahren wie RSA oder ECC, z.B. gemäß dem Standard PKCS#7 oder dem Standard „XML Encryption Syntax and Processing“ erfolgen. Instead of the AES encryption method, other encryption methods may be used. Thus, for example, an encryption with another symmetric encryption algorithm such as IDEA, MISTY, PRESENT, 3DES or an asymmetric encryption method such as RSA or ECC, eg according to the Standard PKCS # 7 or the Standard "XML Encryption Syntax and Processing" respectively.

Gemäß einer andern Variante umfasst das System 1 ein Verschlüsselungsmittel, welches ausgestaltet und/oder adaptiert ist, nach dem Empfangen der Daten 11 an der Eingabestufe 2 die Daten 11 zu verschlüsseln, und den dabei verwendeten kryptographischen Schlüssel gemäß einem Secret Sharing Scheme in mehreren Shares zwischen den mindestens zwei Prüf-Engines aufzuteilen und den mindestens zwei Prüf-Engines 3, 4, 5 den jeweiligen Share bereitzustellen. Jede der mindestens zwei Prüf-Engines 3, 4, 5 ist adaptiert, einen auf sie aufgeteilten Share der Ausgabestufe 9 nur dann bereitzustellen, wenn die jeweilige erforderliche Prüfung durchgeführt wurde. According to another variant, the system comprises 1 an encryption means configured and / or adapted after receiving the data 11 at the input level 2 the data 11 to encrypt and divide the cryptographic key used in a secret sharing scheme in several shares between the at least two test engines and the at least two test engines 3 . 4 . 5 to provide the respective share. Each of the at least two test engines 3 . 4 . 5 is adapted, a share of the output level allocated to it 9 only if the respective required test has been carried out.

Eine Nachricht wird somit von der Eingabestufe 2 verschlüsselt. Vorzugsweise wird dabei ein nachrichtenspezifischer Schlüssel bestimmt. Der dabei verwendete Schlüssel wird gemäß eines Secret Sharing Schemes in mehrere Shares sh1, sh2, ... aufgeteilt. Der Ausgabestufe steht nur die verschlüsselte Nachricht zur Verfügung, d.h. die verschlüsselten Daten 11, 12. Die Prüfungs-Engines kennen jeweils einen Share sh(n), der ihnen z.B. von der Eingangsstufe oder einer separaten Schlüsselmanagementstufe bereitgestellt wird. Falls die geprüfte Nachricht von einer der Prüfungs-Engines als zulässig eingestuft wird, so wird der zugehörige Secret Share sh(n) von der Prüfungs-Engine bereitgestellt. Nur wenn alle Prüfungs-Engines ihren Share bereitstellen, kann die Nachricht von der vorzugsweise als Eingabe-Ausgabe-Stufe ausgestalteten Ausgabestufe 9 entschlüsselt werden. Die ebenfalls als Eingabe-Ausgabe-Stufe ausgestaltete Eingabestufe 2 verschlüsselt dabei die Eingangsnachricht 11. Der dabei verwendete Schlüssel wird in mehrere Shares sh1, sh2, ... aufgeteilt, die den Prüfstufen bereitgestellt werden. A message is thus from the input level 2 encrypted. Preferably, a message-specific key is determined. The key used is divided into several shares sh1, sh2, ... according to a secret sharing scheme. The output level is only the encrypted message, ie the encrypted data 11 . 12 , The exam engines each know a share sh (n) provided to them, for example, by the ingress level or a separate key management level. If the reviewed message is considered legal by any of the review engines, the associated secret share sh (n) is provided by the review engine. Only if all audit engines provide their share can the message be from the output stage, preferably configured as an input-output stage 9 be decrypted. The input stage, which is also designed as an input-output stage 2 Encrypts the input message 11 , The key used is divided into several shares sh1, sh2, ..., which are provided to the test stages.

Dabei hat Ausgabestufe 9 nur Zugriff auf die verschlüsselten Daten 11, 12. Die Prüfungen können auf die Klartextdaten zugreifen oder auf verschlüsselte Daten. Hier könnte ein gemeinsamer Schlüssel der Prüfungen verwendet werden oder alternativ ein von der Prüfung abhängiger Schlüssel. Für eine empfangene Nachricht liegen in einer Variante also zwei unterschiedlich verschlüsselte Daten vor. Eine Nachricht wird einmal gemäß des Secret Sharing Verfahrens verschlüsselt. Diese so verschlüsselte Nachricht wird der Ausgabestufe 9 bereitgestellt. Zusätzlich wird die Nachricht mit einem Schlüssel der Prüf-Engines 3, 4, 5 verschlüsselt, sodass die Prüf-Engines 3, 4, 5 die verschlüsselte Nachricht für eine Prüfung der Nachricht entschlüsseln können. Hierzu kann in einer Variante ein gemeinsamer Schlüssel verwendet werden, der allen Prüf-Engines 3, 4, 5 bzw. der Gruppe von für eine Prüfung dieser Nachricht vorgesehen Prüf-Engines 3, 4, 5 vorliegt. It has output level 9 only access to the encrypted data 11 . 12 , The checks can access the plain text data or encrypted data. Here a common key of the tests could be used or alternatively a test-dependent key. For a received message, therefore, there are two differently encrypted data in one variant. A message is encrypted once according to the secret sharing procedure. This so encrypted message becomes the output stage 9 provided. Additionally, the message is keyed with a test engine 3 . 4 . 5 Encrypted, so the testing engines 3 . 4 . 5 can decrypt the encrypted message for a check of the message. For this purpose, in one variant, a common key can be used, which all test Engines 3 . 4 . 5 or the group of audit engines intended to audit this message 3 . 4 . 5 is present.

Es kann in einer anderen Variante ein Schlüssel der ersten Prüf-Engine 3 verwendet werden, welche wie oben beschrieben die Nachricht entschlüsselt und nach erfolgreicher Prüfung die Nachricht mit einem Schlüssel der zweiten Prüf-Engine 4 verschlüsselt. Entsprechend würde die zweite Prüf-Engine 4 die Nachricht entschlüsseln, prüfen und nach erfolgreicher Prüfung mit einem Schlüssel der dritten Prüf-Engine 5 verschlüsseln. In der hier beschriebenen Variante würde die erste und zweite Prüf-Engine 3, 4 nur bei erfolgreicher Prüfung jeweils weiterhin ihren jeweiligen Share der Ausgabestufe 9 bereitstellen. Dadurch ist gewährleistet, dass die Ausgabestufe 9 die verschlüsselten Daten nur dann entschlüsseln kann, wenn sie von allen Prüf-Engines 3, 4, 5 den jeweiligen Share bereitgestellt bekommen hat und die Nachricht somit entschlüsseln kann. It may be a key of the first testing engine in another variant 3 which, as described above, decrypts the message and after successful checking, the message with a key of the second check engine 4 encrypted. Accordingly, the second testing engine would 4 decrypt the message, check it and after successful verification with a key of the third test engine 5 encrypt. In the variant described here, the first and second check engine would 3 . 4 only if the exam is successful, will each continue to receive its respective share of the issue level 9 provide. This ensures that the output level 9 The encrypted data can only be decrypted when used by all test engines 3 . 4 . 5 the respective share has been provided and thus can decrypt the message.

Gemäß weiteren bevorzugten Ausführungsformen wird mittels einer kryptographischen Multisignature-Konstruktion mit einer Multi-Signature Prüfbestätigung sichergestellt, dass eine gültige Signatur an der Ausgabestufe 9 erst dann vorliegt, wenn jede der erforderlichen Prüfungen durchgeführt worden ist. Es wird vorgeschlagen, eine kryptographische Multisignature-Konstruktion zu verwenden. Eine gültige Signatur liegt dabei erst dann vor, wenn jeder der erforderlichen Prüf-Engines 3, 4, 5 ihre Berechnung durchgeführt hat. According to further preferred embodiments, by means of a multi-signature cryptographic construction with a multi-signature verification certificate, it is ensured that a valid signature is present at the output stage 9 is only present when each of the required tests has been carried out. It is proposed to use a cryptographic multisignature construction. A valid signature is only available if each of the required test engines 3 . 4 . 5 carried out their calculation.

Durch die Multisignaturen erhält man eine kryptographische Bestätigung der Abarbeitung, quasi eine Gruppensignatur der als Content Scanner ausgebildeten Prüf-Engines. Die bekannte Alternative dazu ist das Zusammenfassen der Einzelsignaturen der Content Scanner. Dies hat aber zum Nachteil, dass über die Einzelsignaturen ersichtlich ist, wie viele und eventuell auch welche Scanner verwendet wurden, nach außen sichtbar ist. Gemäß bevorzugten Ausführungsformen der Erfindung liegt eine gültige digitale Signatur bei einem kryptographischen Multisignatur-Verfahren nur dann vor, wenn alle erforderlichen Beteiligten ihre Teil-Signatur berechnet und bereitgestellt haben. Wenn auch nur eine der Prüf-Engines ihre Teilsignatur nicht erstellt hat, so liegt keine gültige Signatur vor. Dieses Kriterium ist von der Ausgabestufe 9 eindeutig und mit hoher Zuverlässigkeit prüfbar. Wenn dagegen nur mehrere Einzelsignaturen überprüft werden, so ist zum Einen der Prüfaufwand durch die Ausgabestufe 9 erhöht, da sie für jede erforderliche Prüfungs-Engine eine Verifikation deren Signatur vornehmen muss. Zum Anderen besteht die Möglichkeit einer Fehlkonfiguration oder Fehlfunktion der Ausgabestufe 9, bei der Daten bereitgestellt werden, obwohl nur einige aber nicht alle er erforderlichen Prüf-Engines die Daten erfolgreich überprüft haben. Bei diesen Varianten der Erfindung ist gewährleistet, dass keine gültige Signatur vorliegt. Dadurch erübrigen sich auf der Ausgabestufe 9 entsprechend fehleranfällige Überprüfungen, welche Überprüfungen erforderlich sind. The multisignatures result in a cryptographic confirmation of the processing, quasi a group signature of the trained as a content scanner test engines. The well-known alternative is summarizing the individual signatures of the Content Scanner. However, this has the disadvantage that it can be seen from the individual signatures, how many and possibly also which scanners were used, is visible to the outside. According to preferred embodiments of the invention, a valid digital signature is only present in a cryptographic multi-signature method if all required parties have calculated and provided their partial signature. If only one of the check engines did not create its partial signature, then there is no valid signature. This criterion is of the output stage 9 clearly and with high reliability testable. If, on the other hand, only several individual signatures are checked, then on the one hand the checking effort is required by the output stage 9 because it needs to verify its signature for each required verification engine. On the other hand there is the possibility of a misconfiguration or malfunction of the output stage 9 where data is being provided, although only a few, but not all, of the test engines required have successfully verified the data. These variants of the invention ensure that there is no valid signature. This eliminates the need for the output stage 9 Corresponding error-prone checks which checks are required.

Die Entschlüsselung erfolgt durch eine Output-Funktion der Ausgabestufe 9. Dies ist wegen der Eigenschaften von kryptographischen Verschlüsselungsverfahren nur dann möglich, wenn der Ausgabestufe 9 die verschlüsselte Nachricht und der zugehörige Entschlüsselungsschlüssel vorliegen bzw. wenn eine korrekt signierte Nachricht vorliegt. Gemäß bevorzugten Ausführungsformen ergänzen bei einer Lösung mittels Secret Sharing Signature Scheme die Prüf-Engines eine Secret Sharing Signature Information. Nur wenn alle erforderlichen Anteile vorliegen, so liegt an der Ausgabestufe 9 die Nachricht mit einer gültigen Signatur vor. The decryption is done by an output function of the output stage 9 , This is possible only because of the properties of cryptographic encryption methods when the output stage 9 the encrypted message and the associated decryption key are present or if a correctly signed message is present. According to preferred embodiments, in a solution using a secret sharing signature scheme, the verification engines supplement a secret-sharing signature information. Only if all necessary shares are present, then lies at the output stage 9 the message with a valid signature.

Gemäß bevorzugten Ausführungsformen wird der zulässige Datenfluss nicht starr durch physikalische Vorrichtungen (Datendiode) und eine feste Anordnung von Prüfkomponenten (Content-Prüfung der Daten) erreicht, sondern durch logische Maßnahmen. Dadurch ist der Realisierungsaufwand geringer und es können flexible unterschiedliche Arten der Prüfungen vorgegeben werden oder neue Datenformate und Protokolle unterstützt werden. Daten können z.B. eine Datei, ein XML-Dokument, ein Objekt, beispielsweise Corba, Java RMI, DCOM, oder eine SOAP-Message sein. Die tatsächliche Abarbeitung geforderter Prüfungen bei einem Datentransfer zwischen zwei Security-Zonen wird durch kryptographische Schutzmaßnahmen mit hoher Zuverlässigkeit gewährleistet. Selbst bei einer Fehlfunktion, bei der eine erforderliche Prüfung nicht erfolgt, ist ein unzulässiger Datenverkehr durch kryptographische Maßnahmen unterbunden, da eine erfolgreiche Entschlüsselung bzw. erfolgreiche Signaturprüfung an der Ausgabestufe technisch nicht möglich ist. According to preferred embodiments, the permissible data flow is not achieved rigidly by physical devices (data diode) and a fixed arrangement of test components (content checking of the data), but by logical measures. As a result, the implementation cost is lower and it can be flexible different types the tests or new data formats and protocols are supported. Data can be eg a file, an XML document, an object, for example Corba, Java RMI, DCOM, or a SOAP message. The actual processing of required checks during a data transfer between two security zones is ensured by cryptographic protection measures with high reliability. Even in the case of a malfunction in which a required check does not take place, inadmissible data traffic is prevented by cryptographic measures, since a successful decryption or successful signature check at the output stage is not technically possible.

Gemäß bevorzugten Ausführungsformen wird dadurch erreicht, dass durch kryptographische Schutzmaßnahmen sichergestellt wird, dass eine vorgebbare Menge von Prüfungen tatsächlich durchgeführt wurde, bevor beispielsweise ein Dokument an eine andere Security-Zone weitergeleitet wird. D.h. dass ein geforderter Message Processing Schedule tatsächlich abgearbeitet wurde, bevor eine Nachricht weitergeleitet wird. Insbesondere wird dabei auch die richtungsabhängige Bearbeitung sichergestellt. Insbesondere kann in einer Variante auch eine bestimmte Reihenfolge der Prüfungen erzwungen werden. In accordance with preferred embodiments, this ensures that cryptographic safeguards ensure that a predefinable set of checks has actually been carried out before, for example, forwarding a document to another security zone. That that a required message processing schedule has actually been processed before a message is forwarded. In particular, the direction-dependent processing is ensured. In particular, in a variant, a specific sequence of checks can be forced.

Gemäß bevorzugten Ausführungsformen wird dies dadurch erreicht, dass ein „Workflow“ definiert wird, welche Abarbeitungsschritte vor der Weiterleitung einer Nachricht durchzuführen sind. Die Nachricht wird dabei zwischen zwei Abarbeitungsschritten weitergeleitet, wobei sie mit einem vom Bearbeitungsschritt abhängigen kryptographischen Schlüssel geschützt ist. Neben der Abhängigkeit von einem Bearbeitungsschritt kann ebenfalls der nächstfolgende Bearbeitungsschritt mit einbezogen werden. Damit kann erreicht werden, dass Bearbeitungsschritte nicht übersprungen werden können. According to preferred embodiments, this is achieved by defining a "workflow", which processing steps are to be carried out before the forwarding of a message. The message is forwarded between two processing steps, where it is protected by a processing step dependent cryptographic key. In addition to the dependence on a processing step, the next processing step can also be included. This can be achieved that processing steps can not be skipped.

Gemäß weiteren bevorzugten Ausführungsformen kann für unterschiedliche Datenarten bei der Eingangsstufe 2 und/oder der Ausgabestufe 9 eine Klassifikation der Nachricht erfolgen und davon abhängig eine Menge erforderlicher Prüfungen nachrichtenspezifisch bestimmt werden. According to further preferred embodiments, for different types of data at the input stage 2 and / or the output stage 9 a classification of the message is made and depending on a number of required tests are determined message-specific.

Gemäß bevorzugen Ausführungsformen wird nach dem Empfangen der Daten 11 an der Eingabestufe 2 des Gateway 1 festgelegt, welche erforderlichen Prüfungen der Daten durchzuführen sind, vorzugsweise in Abhängigkeit von der Art der Daten 11 und/oder in Abhängigkeit von einem Betriebszustand eines Systems der ersten Security-Zone 98 und/oder der zweiten Security-Zone 99. Ein Betriebszustand eines Systems der ersten Security-Zone 98 kann beispielsweise beschreiben, ob ein Wartungsmodus oder ein regulärer Betriebsmodus vorliegt. According to preferred embodiments, after receiving the data 11 at the input level 2 of the gateway 1 determine which required checks of the data are to be made, preferably depending on the type of data 11 and / or depending on an operating state of a system of the first security zone 98 and / or the second security zone 99 , An operating state of a system of the first security zone 98 can describe, for example, whether a maintenance mode or a regular operating mode exists.

Gemäß bevorzugen Ausführungsformen wird nach dem Empfangen der Daten 11 an der Eingabestufe 2 des Gateway 1 festgelegt, in welcher Reihenfolge die erforderlichen Prüfungen durchzuführen sind, vorzugsweise indem die Daten in einem vorgegebenen Workflow die Prüf-Engines 3, 4, 5 durchlaufen und/oder vorzugsweise in Abhängigkeit von der Art der Daten 11 und/oder in Abhängigkeit von einem Betriebszustand eines Systems der ersten Security Zone 98 und/oder der zweiten Security-Zone 99. According to preferred embodiments, after receiving the data 11 at the input level 2 of the gateway 1 Determines the order in which the required checks are to be performed, preferably by providing the data in a given workflow to the check engines 3 . 4 . 5 go through and / or preferably depending on the type of data 11 and / or depending on an operating state of a system of the first security zone 98 and / or the second security zone 99 ,

4 zeigt Varianten der Ausführungsbeispiele der 2 und 3 gemäß bevorzugten Ausführungsformen der Erfindung, welche eine Optimierung des Nachrichten-spezifischen Prüf-Workflows ermöglichen. Um eine hohe Flexibilität zu erreichen, werden die eingehenden Daten 11 an der Eingabestufe 2 klassifiziert. Davon abhängig wird ein Prüf-Workflow ermittelt. Dazu wird eine Workflow-Information erzeugt, welche beschreibt welche Prüfungen oder welche Prüf-Engines 3, 4, 5 für die Informationen 11 zu durchlaufen sind. Der Prüf-Workflow ist vorzugsweise mit einer kryptographischen Prüfsumme, beispielsweise einer digitalen Signatur oder einem Message Authentication Code, geschützt. Über einen Hash-Wert der Information 11, der durch die kryptographische Prüfsumme umfasst wird, kann eine nicht manipulierbare Bindung zu der Information 11 hergestellt werden. 4 shows variants of the embodiments of 2 and 3 in accordance with preferred embodiments of the invention, which enable optimization of the message-specific audit workflow. In order to achieve high flexibility, the incoming data 11 at the input level 2 classified. Depending on this, a test workflow is determined. For this purpose, a workflow information is generated, which describes which tests or which test engines 3 . 4 . 5 for the information 11 to go through. The check workflow is preferably protected with a cryptographic checksum, for example a digital signature or a message authentication code. About a hash value of the information 11 that is encompassed by the cryptographic checksum may have a non-manipulatable binding to the information 11 getting produced.

Die Information 11 wird zusammen mit dem zugeordneten Prüf-Workflow pwf in einen Nachrichten-Container 2b, 3b, 4b, 5b gepackt. Die einzelnen Prüfeinheiten 3, 4, 5 fügen in den 3b, 4b, 5b nach erfolgreicher Prüfung jeweils eine Bestätigung 3d, 4d, 5d hinzu, z.B. in Form einer durch eine kryptographischen Prüfsumme geschützten Attestation. Dabei kann eine Attestation auch das negative Prüfergebnis bestätigen. Dadurch kann eine fehlende Prüfung und eine Prüfung mit negativem Prüfergebnis unterschieden werden. The information 11 becomes a message container together with the assigned check workflow pwf 2 B . 3b . 4b . 5b packed. The individual test units 3 . 4 . 5 add in the 3b . 4b . 5b one confirmation after successful examination 3d . 4d . 5d in the form of an attestation protected by a cryptographic checksum. An attestation can also confirm the negative test result. This makes it possible to distinguish between a missing test and a test with a negative test result.

Die als Ausgangskomponente dienende Ausgabestufe 9 leitet die Information 11, 12 nur weiter, wenn im Nachrichten-Container einer Nachricht m alle im Prüf-Workflow spezifizierten Prüfungen als erfolgreich bestätigt sind. The output stage serving as an output component 9 directs the information 11 . 12 only continue if in the message container of a message m all tests specified in the check workflow are confirmed as successful.

Die beschriebene Methode, um den Workflow beim Durchlauf durch eine Sicherheitszone zwischen zwei Zonen unterschiedlichen Sicherheitsniveaus zu schützen, kann auch ganz generell auf allgemeine Workflows, z.B. in der Fertigungsindustrie oder bei Geschäftsprozessen übertragen werden. Dabei kann ein zu bearbeitendes Objekt ein „Durchlaufplan“ durch eine Fertigung nach oben beschriebener Methode zugeordnet werden. Dies ist insbesondere vorteilhaft, wenn an der Fertigung nicht nur ein Hersteller beteiligt ist, sondern verschiedene Herstellungsschritte bei unterschiedlichen Herstellern durchlaufen werden müssen. Die beschriebene Methode sichert auch hier zum einen den vollständigen Durchlauf durch die Fertigung und zum anderen die Reihenfolge der Bearbeitungsschritte. Entsprechendes gilt für Workflows bei IT-Systemen, bei dem z.B. Dokumente freigegeben werden müssen. The described method of protecting the workflow when passing through a security zone between two zones of different security levels can also generally be transferred to general workflows, eg in the manufacturing industry or in business processes. In this case, an object to be processed can be assigned a "pass-through plan" by a production method described above. This is particularly advantageous if not only one manufacturer is involved in the production, but different production steps at different manufacturers have to go through. The method described here also ensures the complete run through the production and the order of the processing steps. The same applies to workflows in IT systems in which, for example, documents must be released.

Die tatsächliche Abarbeitung geforderter Prüfungen bei einem Datentransfer zwischen zwei Security-Zonen wird durch kryptographische Schutzmaßnahmen 3a, 4a, 5a gewährleistet. Dadurch kann eine hoch-vertrauenswürdige Realisierung einer Cross-Domain-Security-Lösung erfolgen, bei der durch logische Maßnahmen anstatt durch unflexible, aufwändige Hardware-Maßnahmen gewährleistet wird, dass ein Datentransfer nur erfolgt, soweit alle geforderten Prüfstufen durchlaufen wurden. The actual processing of required checks for a data transfer between two security zones is ensured by cryptographic safeguards 3a . 4a . 5a guaranteed. As a result, a highly trustworthy realization of a cross-domain security solution can take place in which it is ensured by logical measures instead of inflexible, expensive hardware measures that a data transfer only takes place as far as all required test stages have been completed.

Der Vorteil von beschriebenen Verfahren und System liegt in der Möglichkeit, eine festgelegte Menge von Contentscannern überprüfbar zu durchlaufen. Darüber hinaus kann auch die Reihenfolge der Anwendung der Contentscanner festgelegt werden. The advantage of the described methods and system is the ability to verifiably go through a fixed set of content scanners. In addition, the order of application of the content scanner can also be specified.

Neben der Reihenfolge kann auch die Durchlaufrichtung (Workflow) für die Anordnung festgelegt werden. Dies ermöglicht die Nutzung des Systems 1 für die richtungsspezifische Bearbeitung von Nachrichten (eingehende und ausgehende). In addition to the order, the flow direction (workflow) for the arrangement can also be specified. This allows the use of the system 1 for the direction-specific processing of messages (incoming and outgoing).

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • US 2012226917 A1 [0003] US 2012226917 A1 [0003]
  • DE 102006036111 B3 [0007] DE 102006036111 B3 [0007]
  • US 2012/0226914 A1 [0008] US 2012/0226914 A1 [0008]
  • US 2012/0226917 A1 [0009] US 2012/0226917 A1 [0009]
  • WO 2012/170485 A1 [0010] WO 2012/170485 A1 [0010]

Zitierte Nicht-PatentliteraturCited non-patent literature

  • http://charlotte.ucsd.edu/~mihir/papers/id-multisignatures.pdf [0013] http://charlotte.ucsd.edu/~mihir/papers/id-multisignatures.pdf [0013]
  • http://www.informatica.si/PDF/34-4/12_Shao-Multisignature%20Scheme%20Based%20on%20Discrete%20Logarith.pdf [0013] http://www.informatica.si/PDF/34-4/12_Shao-Multisignature%20Scheme%20Based%20on%20Discrete%20Logarith.pdf [0013]
  • http://de.wikipedia.org/wiki/Source_Routing [0014] http://en.wikipedia.org/wiki/Source_Routing [0014]
  • ISO/IEC62443 [0017] ISO / IEC62443 [0017]
  • Standard PKCS#7 [0042] Standard PKCS # 7 [0042]
  • Standard „XML Encryption Syntax and Processing“ [0042] Standard "XML Encryption Syntax and Processing" [0042]

Claims (16)

Verfahren zum Austausch von Daten (11, 12) zwischen einer ersten Security-Zone (98) und einer zweiten Security-Zone (99), umfassend die Verfahrensschritte: – Empfangen von Daten (11) von der ersten Security-Zone (98) an einer Eingabestufe (2) eines Gateways (1); – Durchführen eines Prozesses, welcher unterschiedliche erforderliche Prüfungen der Daten (11) umfasst; – wobei eine Abarbeitung jeder der erforderlichen Prüfungen jeweils durch eine kryptographische Schutzmaßnahme (3a, 4a, 5a) gewährleistet wird indem mit Hilfe der kryptographischen Schutzmaßnahmen (3a, 4a, 5a) sichergestellt wird, dass eine Ausgabestufe (9) des Gateways (1) die Daten (11) oder aus den Daten abgeleitete Daten (12) nicht für die zweite Security Zone (99) lesbar bereitstellt, wenn mindestens eine der erforderlichen Prüfungen nicht durchgeführt worden ist. Method for exchanging data ( 11 . 12 ) between a first security zone ( 98 ) and a second security zone ( 99 ), comprising the method steps: - receiving data ( 11 ) from the first security zone ( 98 ) at an input stage ( 2 ) of a gateway ( 1 ); Performing a process involving different required checks of the data ( 11 ); - each processing of each of the required tests being carried out by a cryptographic protective measure ( 3a . 4a . 5a ) by using the cryptographic safeguards ( 3a . 4a . 5a ) ensures that an output level ( 9 ) of the gateway ( 1 ) the data ( 11 ) or data derived from the data ( 12 ) not for the second security zone ( 99 ) readable if at least one of the required tests has not been carried out. Verfahren nach Anspruch 1, wobei die erforderlichen Prüfungen jeweils durch eine unterschiedliche Prüf-Engine (3, 4, 5) durchgeführt werden, wobei vorzugsweise die Prüf-Engines (3, 4, 5) logische Prüf-Engines sind. The method of claim 1, wherein the required checks are each performed by a different check engine ( 3 . 4 . 5 ), preferably the test engines ( 3 . 4 . 5 ) are logical test engines. Verfahren nach Anspruch 1 oder 2, wobei nach dem Empfangen der Daten (11) an der Eingabestufe (2) des Gateways (1) festgelegt wird, welche erforderlichen Prüfungen der Daten durchzuführen sind, vorzugsweise in Abhängigkeit von der Art der Daten (11) und/oder in Abhängigkeit von einem Betriebszustand eines Systems der ersten Security-Zone (98) und/oder der zweiten Security-Zone (99). Method according to claim 1 or 2, wherein after receiving the data ( 11 ) at the input level ( 2 ) of the gateway ( 1 ), which required checks of the data are to be made, preferably depending on the type of data ( 11 ) and / or depending on an operating state of a system of the first security zone ( 98 ) and / or the second security zone ( 99 ). Verfahren nach einem der vorhergehenden Ansprüche, wobei nach dem Empfangen der Daten (11) an der Eingabestufe (2) des Gateways (1) festgelegt wird, in welcher Reihenfolge die erforderlichen Prüfungen durchzuführen sind, – vorzugsweise indem die Daten (11) und/oder aus den Daten (11) abgeleitete Daten in einem vorgegebenen Workflow die Prüf-Engines (3, 4, 5) durchlaufen und/oder – vorzugsweise in Abhängigkeit von der Art der Daten (11) und/oder – in Abhängigkeit von einem Betriebszustand eines Systems der ersten Security-Zone (98) und/oder der zweiten Security-Zone (99). Method according to one of the preceding claims, wherein after receiving the data ( 11 ) at the input level ( 2 ) of the gateway ( 1 ) determines the order in which the necessary tests are to be carried out, preferably by 11 ) and / or from the data ( 11 ) derived data in a given workflow the test engines ( 3 . 4 . 5 ) and / or - preferably depending on the type of data ( 11 ) and / or - depending on an operating state of a system of the first security zone ( 98 ) and / or the second security zone ( 99 ). Verfahren nach einem der vorhergehenden Ansprüche, wobei die kryptographische Schutzmaßnahme (3a, 4a, 5a) eine vorzugsweise symmetrische kryptographische Verschlüsselung der Daten (11) und/oder von aus den Daten (11) abgeleiteten Daten mittels eines von einer erforderlichen Prüfung abhängigen kryptographischen Schlüssels (k1, k2, k3, k4) umfasst. Method according to one of the preceding claims, wherein the cryptographic protective measure ( 3a . 4a . 5a ) a preferably symmetric cryptographic encryption of the data ( 11 ) and / or from the data ( 11 ) comprises data derived by means of a cryptographic key dependent on a required check (k1, k2, k3, k4). Verfahren nach Anspruch 5, wobei zu einer erforderlichen Prüfung die Daten (11) und oder die abgeleiteten Daten mittels des von der erforderlichen Prüfung abhängigen Schlüssels (k1, k2, k3) entschlüsselt werden und nach Durchführung der erforderlichen Prüfung mittels eines von einer zweiten erforderlichen Prüfung abhängigen Schlüssels (k2, k3, k4) verschlüsselt werden. Method according to claim 5, wherein for a required test the data ( 11 ) and / or the derived data are decrypted by means of the key (k1, k2, k3) dependent on the required check and encrypted after carrying out the required check by means of a key (k2, k3, k4) dependent on a second required check. Verfahren nach einem der vorhergehenden Ansprüche, wobei nach dem Empfangen der Daten (11) an der Eingabestufe (2) die Daten (11) verschlüsselt werden, und der dabei verwendete kryptographische Schlüssel gemäß einem Secret Sharing Scheme in mehreren Shares auf die erforderlichen Prüfungen aufgeteilt wird, und jede der erforderlichen Prüfungen die auf sie aufgeteilten Shares der Ausgabestufe (9) für die Entschlüsselung der verschlüsselten Daten (11) nur dann bereitstellt, wenn die jeweilige erforderliche Prüfung erfolgreich ausgefallen ist. Method according to one of the preceding claims, wherein after receiving the data ( 11 ) at the input level ( 2 ) the data ( 11 ) and the cryptographic key used is divided into the required checks according to a secret sharing scheme in several shares, and each of the required checks assigns the issuing stage shares ( 9 ) for the decryption of the encrypted data ( 11 ) only if the respective required test has failed successfully. Verfahren nach einem der vorhergehenden Ansprüche, wobei mittels einer kryptographischen Multisignature-Konstruktion sichergestellt wird, dass eine gültige Signatur an der Ausgabestufe erst dann vorliegt, wenn jede der erforderlichen Prüfungen durchgeführt worden ist.  Method according to one of the preceding claims, wherein it is ensured by means of a cryptographic multisignature construction that a valid signature is present at the output stage only when each of the required tests has been carried out. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Gateway (1) alle erforderlichen Prüfungen selbst durchführt; oder wobei ein Teil der erforderlichen Prüfungen durch das Gateway (1) durchgeführt wird, während ein anderer Teil der Prüfungen ausgelagert wird; oder wobei alle erforderlichen Prüfungen ausgelagert werden. Method according to one of the preceding claims, wherein the gateway ( 1 ) carries out all necessary tests itself; or where some of the required checks by the gateway ( 1 ) while another part of the tests is being outsourced; or where all required tests are outsourced. System (1) zum Austausch von Daten (11, 12) zwischen einer ersten Security-Zone (98) und einer zweiten Security-Zone (99), umfassend: – eine Eingabestufe (2) mittels welcher Daten (11) von der ersten Security-Zone (98) empfangbar sind; – eine Ausgabestufe (9) mittels welcher die Daten (11) oder aus den Daten (11) abgeleitete Daten (12) für die zweite Security-Zone (99) bereitstellbar sind; – mindestens zwei Prüf-Engines (3, 4, 5) auf welchen jeweils eine unterschiedliche erforderliche Prüfung der Daten (11) durchführbar ist; – wobei jede der mindestens zwei Prüf-Engines (3, 4, 5) eine kryptographische Schutzmaßnahme (3a, 4a, 5a) umfasst, mit Hilfe welcher jeweils sicherstellbar ist, dass die Ausgabestufe (9) die Daten (11) oder die abgeleiteten Daten (12) nicht für die zweite Security Zone (99) lesbar bereitstellt, wenn zumindest eine der mindestens zwei erforderlichen Prüfungen nicht durchgeführt worden ist. System ( 1 ) to exchange data ( 11 . 12 ) between a first security zone ( 98 ) and a second security zone ( 99 ), comprising: an input stage ( 2 ) by means of which data ( 11 ) from the first security zone ( 98 ) are receivable; An output stage ( 9 ) by means of which the data ( 11 ) or from the data ( 11 ) derived data ( 12 ) for the second security zone ( 99 ) are available; - at least two test engines ( 3 . 4 . 5 ) on each of which a different required verification of the data ( 11 ) is feasible; - each of the at least two test engines ( 3 . 4 . 5 ) a cryptographic protection measure ( 3a . 4a . 5a ), by means of which it can be ensured in each case that the output stage ( 9 ) the data ( 11 ) or the derived data ( 12 ) not for the second security zone ( 99 ) readable if at least one of the at least two required tests has not been carried out. System (1) nach Anspruch 10, wobei die mindestens zwei Prüf-Engines (3, 4, 5) logische Prüf-Engines sind. System ( 1 ) according to claim 10, wherein the at least two test engines ( 3 . 4 . 5 ) are logical test engines. System (1) nach einem der Ansprüche 10 oder 11, umfassend ein Festlegungsmittel (21) welches ausgestaltet und/oder adaptiert ist, die in Abhängigkeit von der Art der Daten (11) festzulegen, welche Prüfungen erforderlich sind und/oder festzulegen, in welcher Reihenfolge die erforderlichen Prüfungen durchzuführen sind und/oder einen Workflow festzulegen, gemäß dem die Daten die mindestens zwei Prüf-Engines (3, 4, 5) durchlaufen. System ( 1 ) according to one of claims 10 or 11, comprising a fixing means ( 21 ) which is designed and / or adapted depending on the type of data ( 11 ) determine which examinations are required and / or determine the order in which the required examinations should be performed and / or establish a workflow according to which the data should be passed to the at least two test engines ( 3 . 4 . 5 ) run through. System (1) nach einem der Ansprüche 10 bis 12, wobei die kryptographische Schutzmaßnahme (3a, 4a, 5a) eine kryptographische Verschlüsselung der Daten (11) und/oder von aus den Daten (11) abgeleiteten Daten mittels eines von der die jeweilige kryptographische Schutzmaßnahme (3a, 4a, 5a) umfassenden Prüf-Engine (3, 4, 5) abhängigen kryptographischen Schlüssels (k1, k2, k3, k4) umfasst, und wobei die Verschlüsselung vorzugsweise symmetrisch ist. System ( 1 ) according to one of claims 10 to 12, wherein the cryptographic protective measure ( 3a . 4a . 5a ) a cryptographic encryption of the data ( 11 ) and / or from the data ( 11 ) derived data by means of which the respective cryptographic protection measure ( 3a . 4a . 5a ) comprehensive test engine ( 3 . 4 . 5 ) dependent cryptographic key (k1, k2, k3, k4), and wherein the encryption is preferably symmetric. System (1) nach einem der Ansprüche 10 bis 13, umfassend ein Verschlüsselungsmittel, welches ausgestaltet und/oder adaptiert ist, nach dem Empfangen der Daten an der Eingabestufe die Daten (11) zu verschlüsseln, und den dabei verwendeten kryptographischen Schlüssel gemäß einem Secret Sharing Scheme in mehreren Shares zwischen den mindestens zwei Prüf-Engines aufzuteilen und den mindestens zwei Prüf-Engines (3, 4, 5) den jeweiligen Share bereitzustellen, und wobei jede der mindestens zwei Prüf-Engines (3, 4, 5) adaptiert ist, einen auf sie aufgeteilten Share der Ausgabestufe (9) nur dann bereitzustellen, wenn die jeweilige erforderliche Prüfung durchgeführt wurde. System ( 1 ) according to one of claims 10 to 13, comprising an encryption means, which is designed and / or adapted, after receiving the data at the input stage, the data ( 11 ) and to divide the cryptographic key used in a secret sharing scheme into several shares between the at least two check engines and the at least two check engines ( 3 . 4 . 5 ) provide the respective share, and wherein each of the at least two check engines ( 3 . 4 . 5 ) is adapted, a share of the output stage ( 9 ) only if the required test has been carried out. System (1) nach einem der Ansprüche 10 bis 14, wobei mittels einer kryptographischen Multisignature-Konstruktion sicherstellbar ist, dass eine gültige Signatur an der Ausgabestufe (9) erst dann vorliegt, wenn jede der erforderlichen Prüfungen durchgeführt worden ist. System ( 1 ) according to one of Claims 10 to 14, it being possible by means of a cryptographic multisignature construction to ensure that a valid signature at the output stage ( 9 ) is only present when each of the required tests has been carried out. System (1) nach einem der Ansprüche 10 bis 15, wobei das System (1) ein Gateway ist. System ( 1 ) according to any one of claims 10 to 15, wherein the system ( 1 ) is a gateway.
DE201310218373 2013-09-13 2013-09-13 Method and system for cryptographically securing a given message processing flow Ceased DE102013218373A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE201310218373 DE102013218373A1 (en) 2013-09-13 2013-09-13 Method and system for cryptographically securing a given message processing flow
PCT/EP2014/067193 WO2015036190A1 (en) 2013-09-13 2014-08-12 Method and system for the cryptographic protection of a predetermined message processing flow

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201310218373 DE102013218373A1 (en) 2013-09-13 2013-09-13 Method and system for cryptographically securing a given message processing flow

Publications (1)

Publication Number Publication Date
DE102013218373A1 true DE102013218373A1 (en) 2015-03-19

Family

ID=51357924

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201310218373 Ceased DE102013218373A1 (en) 2013-09-13 2013-09-13 Method and system for cryptographically securing a given message processing flow

Country Status (2)

Country Link
DE (1) DE102013218373A1 (en)
WO (1) WO2015036190A1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015205370A1 (en) * 2015-03-25 2016-09-29 Robert Bosch Gmbh Method and device for providing data for condition monitoring of a machine
DE102016124993A1 (en) 2015-12-22 2017-06-22 Hirschmann Automation And Control Gmbh Network with partial unidirectional data transmission
DE102017223099A1 (en) * 2017-12-18 2019-06-19 Siemens Aktiengesellschaft Apparatus and method for transferring data between a first and a second network
DE102018127529A1 (en) * 2018-11-05 2020-05-07 Infineon Technologies Ag Electronic device and method for signing a message
DE102024206800A1 (en) * 2024-07-19 2026-01-22 Robert Bosch Gesellschaft mit beschränkter Haftung Method for a virtual computing unit to access a hardware security unit in a computing unit

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020076052A1 (en) * 1999-10-29 2002-06-20 Marcel M. Yung Incorporating shared randomness into distributed cryptography
DE102006036111B3 (en) 2006-08-02 2008-01-31 Siemens Ag Safe transmission method for message of one zone into other zone, involves transmitting message of third zone to other zone by one-way lock unit and displaying evaluated transmitted analysis results free from defective component
US20120226914A1 (en) 2009-10-22 2012-09-06 Qinetiq Limited Checking Data Content
US20120226917A1 (en) 2009-10-22 2012-09-06 Qinetiq Limited Data Content Checking
WO2012170485A1 (en) 2011-06-08 2012-12-13 Adventium Enterprises Multi-domain information sharing

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004034902B3 (en) * 2004-07-19 2005-09-08 Adrian Degwert Secure, autonomous data transfer module for e.g. transmitting emails between separate networks, provides read-write access to flash storage medium via separate data connections
FR2915647B1 (en) * 2007-04-27 2009-06-12 Thales Sa SYSTEM AND METHOD FOR PARALLELIZED PROCESSING.

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020076052A1 (en) * 1999-10-29 2002-06-20 Marcel M. Yung Incorporating shared randomness into distributed cryptography
DE102006036111B3 (en) 2006-08-02 2008-01-31 Siemens Ag Safe transmission method for message of one zone into other zone, involves transmitting message of third zone to other zone by one-way lock unit and displaying evaluated transmitted analysis results free from defective component
US20120226914A1 (en) 2009-10-22 2012-09-06 Qinetiq Limited Checking Data Content
US20120226917A1 (en) 2009-10-22 2012-09-06 Qinetiq Limited Data Content Checking
WO2012170485A1 (en) 2011-06-08 2012-12-13 Adventium Enterprises Multi-domain information sharing

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
http://charlotte.ucsd.edu/~mihir/papers/id-multisignatures.pdf
http://de.wikipedia.org/wiki/Source_Routing
http://www.informatica.si/PDF/34-4/12_Shao-Multisignature%20Scheme%20Based%20on%20Discrete%20Logarith.pdf
ISO/IEC62443
Standard "XML Encryption Syntax and Processing"
Standard PKCS#7

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015205370A1 (en) * 2015-03-25 2016-09-29 Robert Bosch Gmbh Method and device for providing data for condition monitoring of a machine
DE102016124993A1 (en) 2015-12-22 2017-06-22 Hirschmann Automation And Control Gmbh Network with partial unidirectional data transmission
US11277387B2 (en) 2015-12-22 2022-03-15 Hirschmann Automation And Control Gmbh Network with partly unidirectional data transmission
DE102017223099A1 (en) * 2017-12-18 2019-06-19 Siemens Aktiengesellschaft Apparatus and method for transferring data between a first and a second network
DE102018127529A1 (en) * 2018-11-05 2020-05-07 Infineon Technologies Ag Electronic device and method for signing a message
US11595216B2 (en) 2018-11-05 2023-02-28 Infineon Technologies Ag Electronic apparatus and method for signing a message
DE102024206800A1 (en) * 2024-07-19 2026-01-22 Robert Bosch Gesellschaft mit beschränkter Haftung Method for a virtual computing unit to access a hardware security unit in a computing unit

Also Published As

Publication number Publication date
WO2015036190A1 (en) 2015-03-19

Similar Documents

Publication Publication Date Title
EP3108610B1 (en) Method and system for creating and checking the validity of device certificates
EP3649768B1 (en) Method for the secure replacement of a first manufacturer certificate already incorporated into a device
EP3655880B1 (en) Hardware system having a block chain
DE102015211451A1 (en) Method for manipulation protection of user data packets to be transmitted via a bus system between system components
EP2462529B1 (en) Method for issuing a digital certificate by a certification authority, arrangement for performing the method, and computer system of a certification authority
EP2572494B1 (en) Method and system for secure data transmission with a vpn box
DE102012201164A1 (en) DEVICE AND METHOD FOR GENERATING A MESSAGE AUTHENTICATION CODE
DE102009000869A1 (en) Method and device for tamper-proof transmission of data
DE102016210786A1 (en) Component for connection to a data bus and method for implementing a cryptographic functionality in such a component
DE102013218373A1 (en) Method and system for cryptographically securing a given message processing flow
DE102009046436A1 (en) Cryptographic hardware module or method for updating a cryptographic key
EP3157192B1 (en) Method and system for asymmetric key derivision
DE102010027586A1 (en) Method for the cryptographic protection of an application
DE102011003919A1 (en) Mobile device-operated authentication system using asymmetric encryption
EP3556047B1 (en) Programmable hardware security module and method on a programmable hardware security module
EP2863610A2 (en) Method and system for tamper-proof provision of multiple digital certificates for multiple public keys of a device
EP3718263B1 (en) Method and control system for controlling and/or supervising of devices
DE102016204630A1 (en) Method for transmitting messages in a railway system and railway system
EP3552344B1 (en) Bidirectionally linked blockchain structure
DE102016205122A1 (en) Method for exchanging messages between security-relevant devices
DE102012208836A1 (en) Method and device for generating cryptographically protected redundant data packets
DE102015202215A1 (en) Device and method for safe operation of the device
EP3767513B1 (en) Method for secure execution of a remote signature, and security system
DE102015208899A1 (en) Apparatus and method for flexibly generating cryptographic private keys and device with flexibly generated cryptographic private keys
DE102007015228A1 (en) Chip-protected smart card and method associated with its manufacture

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final