Verfahren zum Bereitstellen eines sicheren Telegramms

Die Erfindung betrifft ein Verfahren zum Bereitstellen eines sicheren Telegramms mit einem Nutzdaten aufweisenden Nutzdatenteil und einem Prüfdatenteil , wobei der Prüfdatenteil un ^¬ verfälschte Originalnutzdaten repräsentiert. Ferner betrifft die Erfindung ein Computerprogrammprodukt mit Programmcode zur Durchführung des erfindungsgemäßen Verfahrens.

Sichere Telegramme werden zur sicheren Kommunikation zwischen sicheren Steuereinheiten, beispielsweise in der Eisenbahnsicherungstechnik, verwendet. Bei auf dem Markt befindlichen Vorrichtungen zum Erzeugen sicherer Telegramme ist das Format des Prüfdatenteils vorbestimmt und kann nicht ohne Weiteres geändert werden. Jedoch weicht dieses vorbestimmte Format oftmals von einem gewünschten Format, das von einer Telegrammempfangseinrichtung, also etwa eine Steuereinheit, erwartet wird, ab.

Zur Bereitstellung der sicheren Telegramme werden oft sichere Softwareumgebungen verwendet. Dabei findet die Verarbeitung der Daten des Telegramms, also die Nutzdaten und die Prüfda ^¬ ten des Prüfdatenteils , zur Erzeugung des sicheren Telegramms beispielsweise in der sicheren Softwareumgebung statt, z. B. mit einer nachgewiesenen Sicherheit gemäß der geforderten Sicherheitsanforderungsstufe (safety integrity level SIL) , d. h. es gibt eine garantierte Fehlerwahrscheinlichkeit. Die An ^¬ forderungen dazu sind z. B. in der IEC 61508 und branchenspe ^¬ zifischen Normen (z. B. CENELEC: EN 50128) definiert.

Die sichere Softwareumgebung ermöglicht eine korrekte Bear ^¬ beitung mit einer für die Anwendung hinreichenden Fehlerwahrscheinlichkeit (Tolerable Hazard Rate) . Damit sind weitere Maßnahmen nicht notwendig, um gefährliche Zustände abzuweh ^¬ ren . Die Mechanismen zur Gewährleistung der Sicherheit können ein abgeschlossenes System, reglementierte Zugriffe vom und zum nicht sicheren Teil, interne Überwachung und Fehleraufdeckung nach Stand der Technik, z. B. zweikanalige Bearbeitung, Co- dierung, und/oder eine Zulassung umfassen.

Im Gegensatz zur sicheren Softwareumgebung erfolgt die Datenverarbeitung in einer nicht sicheren Softwareumgebung ohne garantierte Fehlerwahrscheinlichkeit. Eine falsche Reaktion durch einen zufälligen oder systematischen Ausfall oder Fehler ist jederzeit anzunehmen.

Zum Beispiel müssen für eine sichere Prozesssteuerung die SIL Anforderung für die gesamte Prozessverarbeitung, insbesondere für das Einlesen von Prozessdaten, die Verarbeitung der Prozessdaten in der sicheren Softwareumgebung, und das Ausgeben der sicheren Prozessdaten sichergestellt werden.

Statt Einlesen oder Ausgeben von Prozessdaten über I/O Bau- gruppen kann in komplexen Sicherheitsanwendungen auch die

Kopplung von zwei oder mehr sicheren Softwareumgebungen über eine nicht sichere Kommunikationsstrecke erforderlich sein. Um beliebige Verfälschungen (systematische und zufällige) der Nutzdaten auf der Kommunikationsstrecke beim Empfänger mit ausreichender Sicherheit (SIL) aufzudecken, werden die Nutzdaten mit einem Prüfdatenanteil ergänzt als sicheres Tele ^¬ gramm versendet.

Sichere Telegramme werden oftmals mit einem beispielsweise die Originaldaten aufweisenden Nutzdatenteil von einem ersten Kanal und einem die Prüfdaten aufweisenden Prüfdatenteil von einem zweiten Kanal erstellt, um die Mitwirkung beider Kanäle bei der Erstellung sicher zu stellen. Die korrekte Erstellung der Nutzdaten und des Prüfdatenanteils wird durch den Empfän- ger überprüft. Um die Mitwirkung des codierten Kanals bei

Coded Monoprozessoren zu erreichen, ist das codierte Ergebnis zurück zu codieren, was in der Regel auf Anwenderebene nicht möglich ist. Die der Erfindung zugrundeliegende Aufgabe besteht also da ^¬ rin, ein Verfahren zum Erzeugen eines sicheren Telegramms mit Nutzdaten und Prüfdaten bereitzustellen, das auf Anwenderebene erstellbar ist, selbst wenn ein Coded Monoprozessor verwendet wird.

Erfindungsgemäß wird ein Verfahren der eingangs genannten Art bereitgestellt, wobei die Originalnutzdaten in einer sicheren Softwareumgebung gespeichert und womöglich vorab erstellt werden. Eine Nutzdatenkopie der Originalnutzdaten wird außerhalb der sicheren Softwareumgebung gespeichert. Außerhalb der sicheren Softwareumgebung kann eine andere Softwareumgebung bedeuten, wobei diese andere Softwareumgebung wiederum eine andere sichere Softwareumgebung oder eine unsichere Software ^¬ umgebung, die die Erfordernisse an sichere Softwareumgebung nicht erfüllt, sein kann.

Der Prüfdatenteil wird mit Originalprüfdaten in der sicheren Softwareumgebung oder außerhalb der sicheren Softwareumgebung erzeugt, z. B. basierend auf den Originalnutzdaten oder der Nutzdatenkopie, und eine Prüfdatenkopie der Originalprüfdaten wird außerhalb der sicheren Softwareumgebung gespeichert, wenn diese in der sicheren Softwareumgebung erzeugt wurde. Eine Kopie der Nutzdatenkopie wird in der sicheren Software ^¬ umgebung mit den Originalnutzdaten und/oder einer Repräsentation der Originalnutzdaten verglichen. Alternativ oder zusätzlich wird eine Kopie der Prüfdatenkopie in der sicheren Softwareumgebung mit den Originalprüfdaten und/oder der Repräsentation der Originalprüfdaten verglichen. Die Repräsentation kann die Originalprüfdaten und/oder einen die Originalprüfdaten repräsentierenden Datensatz, im einfachsten Fall eine Prüfsumme oder die Originalnutzdaten, aufweisen.

Das Telegramm wird mit der Nutzdatenkopie als Nutzdaten und dem Prüfdatenteil erst bereitgestellt, wenn der Vergleich er ^¬ geben hat, dass die Kopie der Nutzdatenkopie den Original ^¬ nutzdaten entspricht und/oder die Kopie der Prüfdatenkopie den Originalprüfdaten entspricht beziehungsweise die Origi ^¬ nalprüfdaten repräsentiert. Wenn der Prüfdatenteil in der si ^¬ cheren Softwareumgebung erstellt wird, dann kann eine Prüfdatenkopie erstellt und ein Vergleich einer Kopie der Prüfda- tenkopie mit den Originalprüfdaten in der sicheren Softwareumgebung durchgeführt werden.

Dadurch, dass eine Kopie der Nutzdatenkopie in der sicheren Softwareumgebung mit den Originalnutzdaten und/oder einer Re- Präsentation der Originalnutzdaten, und/oder eine Kopie der Prüfdatenkopie mit den Originalprüfdaten und/oder der Repräsentation der Originalprüfdaten verglichen wird, können Fehler bei der Erstellung der Nutzdatenkopie und/oder des Prüf- datenteils mit ausreichender Sicherheit erkannt werden, selbst wenn die andere Softwareumgebung keine sichere Soft ^¬ wareumgebung ist oder die Nutzdatenkopie und/oder die Prüfda ^¬ tenkopie nicht sicher (z. B. ohne Mitwirkung des kodierten Kanals) erstellt wurden. Die Erstellung des Prüfdatenteils außerhalb der sicheren Softwareumgebung bietet eine höhere Flexibilität und Performanz bei der Erstellung eines ge ^¬ wünschten Formats des Prüfdatenteils .

Die erfindungsgemäße Lösung kann durch verschiedene, jeweils für sich vorteilhafte und, sofern nicht anders ausgeführt, beliebig miteinander kombinierbare Ausgestaltungen weiter verbessert werden. Auf diese Ausgestaltungsformen und die mit ihnen verbundenen Vorteile ist im Folgenden eingegangen:

So kann die Bereitstellung des Telegramms sicher verhindert werden, bis der Vergleich erfolgreich war, also ergeben hat, dass die Kopie der Nutzdatenkopie den Originalnutzdaten ent ^¬ spricht. Folglich wird sichergestellt, dass ein fehlerhaftes Telegramm nicht versendet wird. Zum Vergleich kann die Kopie der Nutzdatenkopie verwendet werden. Bei der Erstellung der Prüfdaten in der sicheren Softwareumgebung kann alternativ oder zusätzlich der Vergleich der Kopie der Prüfdatenkopie durchgeführt werden. Gemäß einer weiteren Ausgestaltungsform kann zum Verhindern der Bereitstellung des Telegramms ein Telegrammsendekanal blockiert werden, z. B. durch ausschalten der Stromversorgung von den Telegrammsendekanal bereitstellender Hardware. Selbst ein versehentliches Versenden des Telegramms wird hierdurch sicher verhindert.

Gemäß einer weiteren Ausgestaltungsform kann zum Bereitstel- len des Telegramms der Telegrammsendekanal freigegeben wer ^¬ den, wenn der Vergleich erfolgreich war, also ergeben hat, dass die Nutzdatenkopie den Originalnutzdaten entspricht und/oder die Prüfdatenkopie den Originalprüfdaten entspricht beziehungsweise diese die Originalprüfdaten repräsentiert. Zum Beispiel kann bei einem erfolgreich abgeschlossenen Vergleich ein Freigabesignal erzeugt werden, anhand dessen die Stromversorgung für die den Telegrammsendekanal bereitstel ^¬ lende Hardware wieder mit Betriebsenergie versorgt wird. Die aktive Freigabe verbessert die Sicherheit weiter, da ohne diese aktive Freigabe das Telegramm nicht versendet werden kann .

Alternativ oder zusätzlich zum Blockieren des Telegrammsendekanals kann gemäß einer weiteren Ausgestaltungsform zum Ver- hindern der Bereitstellung des Telegramms ein temporäres Te ^¬ legramm mit einem die Originalnutzdaten nicht repräsentierenden Prüfdatenteil erstellt (z. B. systematisch verfälschter Prüfdatenteil ) werden. Hardware zum Blockieren des Telegrammsendekanal, etwa zum Ein- und Ausschalten der Betriebsenergie für die den Telegrammsendekanal bereitstellende Hardware, ist dann nicht erforderlich oder das Versenden eines ungeprüften Telegramms wird noch sicherer verhindert. Die Wahrscheinlich ^¬ keit, dass eine womöglich inkorrekt erzeugte Nutzdatenkopie von dem die Originalnutzdaten nicht repräsentierenden Prüfda- tenteil repräsentiert wird ist in der Regel so gering, dass die geforderte Sicherheit des Telegramms ohne zusätzliche Hardware weiterhin gewährleistet ist. Gemäß einer weiteren Ausgestaltungsform kann zum Bereitstellen des Telegramms das Telegramm aus dem temporären Telegramm erzeugt werden, wobei zum Erzeugen des Telegramms der die Originalnutzdaten nicht repräsentierende Prüfdatenteil durch den die Originalnutzdaten repräsentierende Prüfdatenteil er ^¬ setzt wird, wenn der Vergleich erfolgreich war, also ergeben hat, dass die Nutzdatenkopie den Originalnutzdaten entspricht und/oder der Prüfdatenteil die Originalnutzdaten repräsentiert. Zum Ersetzen kann der die Originalnutzdaten nicht re- präsentierende Prüfdatenteil vollständig oder teilweise durch den die Originalnutzdaten repräsentierenden Prüfdatenteil ersetzt werden. Wenn der die Originalnutzdaten nicht repräsentierende Prüfdatenteil in bekannter Weise von dem die Origi ^¬ nalnutzdaten repräsentierende Prüfdatenteil abweicht, kann dieser auch in den die Originalnutzdaten repräsentierenden Prüfdatenteil gewandelt und z. B. umgerechnet werden. Hier ^¬ durch wird sichergestellt, dass ein womöglich inkorrekte Nutzdaten aufweisendes Telegramm sicher vom Empfänger des Telegramms erkannt wird, sodass der Empfänger das Telegramm nicht verwendet, solange der Vergleich nicht erfolgreich ab ^¬ geschlossen ist.

Gemäß einer weiteren Ausgestaltungsform kann die Kopie der Nutzdatenkopie und/oder die Kopie der Prüfdatenkopie in der sicheren Softwareumgebung sicher mit den Originalnutzdaten und/oder Prüfdatenkopie oder der Repräsentation der Originalnutzdaten verglichen werden. Dieser sichere Vergleich kann also zweikanalig und insbesondere mit Daten aus dem zweiten Kanal, oder mit dem Coded Monoprozesor und insbesondere mit dem kodierten Ergebnis erfolgen, sodass bereits vorhandene Softwareumgebungen erneut genutzt werden können.

Gemäß einer weiteren Ausgestaltungsform kann die Repräsentation ein mit den Originalnutzdaten in der sicheren Software- Umgebung erzeugter sicherer Datensatz sein, was die Sicherheit weiter erhöht. Gemäß einer weiteren Ausgestaltungsform kann der in der sicheren Umgebung erzeugte sichere Datensatz ein anderes Format aufweist, als der Prüfdatenteil . Folglich kann der Prüfdaten- teil mit einem gewünschten Format ausgebildet werden, selbst wenn dies mit dem zweikanaligen Verfahren oder dem Coded Mo- noprozessor ansonsten nicht möglich ist.

Gemäß einer weiteren Ausgestaltungsform kann das Computerprogrammprodukt ein tragbarer Datenträger, z. B. ein magneti- scher, ein optischer oder ein elektronischer Datenträger sein. Alternativ kann das Computerprogrammprodukt auf einem in einem Server installierten Datenträger gespeichert sein.

Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der vorliegenden Beschreibung des Ausführungsbeispiels, das im Zusammenhang mit der Zeichnung näher erläutert wird. Es zeigt:

Figur 1 eine schematische Ansicht eines Ausführungsbei ^¬ spiels des erfindungsgemäßen Verfahrens als ein Flussdiagramm. Im Folgenden ist die Erfindung beispielhaft anhand einer Aus ^¬ führungsform mit Bezug auf die Zeichnung erläutert. Die un ^¬ terschiedlichen Merkmale der Ausführungsform können dabei unabhängig voneinander kombiniert werden, wie es bei den einzelnen Ausgestaltungen bereits dargelegt wurde. Der darge- stellte Ablauf und insbesondre die Reihenfolge der einzelnen Verfahrensschritte kann von der Darstellung abweichen. Vielmehr zeigt die Figur 1 ein Ausführungsbeispiel eines mögli ^¬ chen Datenflusses des erfindungsgemäßen Verfahrens. Figur 1 zeigt schematisch ein Ausführungsbeispiel des erfin ^¬ dungsgemäßen Verfahrens 1 als ein Flussdiagramm. Das Verfahren 1 startet beispielsweise mit dem Verfahrensschritt 2, in dem die Originalnutzdaten in einer sicheren Softwareumgebung gespeichert und womöglich vorab erstellt werden. Im nun fol ^¬ genden Verfahrensschritt 3 wird eine Nutzdatenkopie der Ori ^¬ ginalnutzdaten außerhalb der sicheren Softwareumgebung und z. B. in einer anderen sicheren oder in einer nicht sicheren Softwareumgebung gespeichert. Im nun Verfahrensschritt 4 wird der Prüfdatenteil mit Originalprüfdaten in der sicheren Softwareumgebung 4b oder außerhalb der sicheren Softwareumgebung 4a erzeugt. Wenn der Prüfdatenteil in der sicheren Software ^¬ umgebung erzeugt wurde, folgt auf den Verfahrensschritt 4b der Verfahrensschritt 5, ansonsten der Verfahrensschritt 6.

Im Verfahrensschritt 5 wird eine Prüfdatenkopie der Original ^¬ prüfdaten außerhalb der sicheren Softwareumgebung gespeichert. Im Verfahrensschritt 6 wird eine Kopie der Nutzdaten ^¬ kopie in der sicheren Softwareumgebung mit den Originalnutz- daten und/oder einer Repräsentation der Originalnutzdaten verglichen. Alternativ oder zusätzlich wird im Verfahrensschritt 6 eine Kopie der Prüfdatenkopie in der sicheren Soft ^¬ wareumgebung mit den Originalprüfdaten und/oder der Repräsentation der Originalprüfdaten verglichen. Wenn der Vergleich ergibt, dass die Kopie der Nutzdatenkopie den Originalnutzda ^¬ ten entspricht und/oder von der Repräsentation der Originalnutzdaten repräsentiert wird, und/oder die Kopie der Prüfda ^¬ tenkopie den Originalprüfdaten entspricht oder diese reprä ^¬ sentiert, wird in Verfahrensschritt 7 das Telegramm mit der Nutzdatenkopie als Nutzdaten und dem Prüfdatenteil bereitge ^¬ stellt .

Beispielsweise wird die Kopie der Nutzdatenkopie und/oder die Kopie der Prüfdatenkopie und somit der Verfahrensschritt 6 in der sicheren Softwareumgebung sicher mit den Originalnutzdaten und/oder den Originalprüfdaten oder der Repräsentation der Originalnutzdaten verglichen.

Die Repräsentation kann ein mit den Originalnutzdaten in der sicheren Softwareumgebung erzeugter sicherer Datensatz sein, wobei der in der sicheren Umgebung erzeugte sichere Datensatz ein anderes Format aufweisen kann, als der Prüfdatenteil . In einem optionalen Verfahrensschritt 8 kann die Bereitstel ^¬ lung des Telegramms durch zusätzliche Maßnahmen sicher verhindert werden, bis der Vergleich ergeben hat, dass die Kopie der Nutzdatenkopie den Originalnutzdaten entspricht. Hierzu kann der Vergleich der Kopie der Nutzdatenkopie verwendet werden. Alternativ oder zusätzlich kann auch der erfolgreiche Vergleich der Kopie der Prüfdatenkopie verwendet werden.

Um die Bereitstellung des Telegramms zu verhindern, kann ein Telegrammsendekanal blockiert werden. Alternativ oder zusätz ^¬ lich kann zum Verhindern der Bereitstellung des Telegramms ein temporäres Telegramm mit einem die Originalnutzdaten nicht repräsentierenden Prüfdatenteil erstellt werden. Ist der Vergleich erfolgreich, sodass die Kopien den Originalen entsprechen oder diese repräsentieren, kann zum Bereitstellen des Telegramms der Telegrammsendekanal freigegeben werden. Alternativ oder zusätzlich kann zum Bereitstellen des Telegramms das Telegramm aus dem temporären Telegramm erzeugt werden, wobei zum Erzeugen des Telegramms der die Original ^¬ nutzdaten nicht repräsentierende Prüfdatenteil teilweise oder vollständig durch den die Originalnutzdaten repräsentierende Prüfdatenteil ersetzt oder anderweitig in den die Original ^¬ nutzdaten repräsentierenden Prüfdatenteil gewandelt wird.