Verfahren zur Übertragung von Datenpaketen

Die Erfindung betrifft ein Verfahren sowie ein System, einen Sendeknoten und einen Empfangsknoten zur Übertragung von Da tenpaketen über ein Netzwerk von einem Sender zu einem Emp fänger über eine Kommunikationsverbindung bestehend aus min destens einem Übertragungsabschnitt, über den ein Datenpaket von einem Sendeknoten zum Empfangsknoten übermittelt wird.

Eine Übertragung von Daten, beispielsweise für eine Steue rungskommunikation, ein Monitoring, eine Rekonfiguration oder zur Projektierung eines beispielsweise industriellen Automa tisierungssystems, muss gegen Angriffe geschützt werden. Dazu kann die Datenübertragung beispielsweise mittels Sicherheits protokollen wie dem Transportschichtsicherheitsprotokoll TLS, dem IP-Sicherheitsprotokoll IPsec, oder ein Medienzugangskon- trollsicherheitsprotokoll MACsec geschützt werden. Dies sind Sicherheitsprotokolle, die auf einer Transportschicht, auf einer Vermittlungsschicht oder einer Sicherungsschicht ent sprechend einem von der Internationalen Telecommunikation Union (ITU) standardisierten OSI-Referenzmodell arbeiten. Als Übertragungsmedium werden unterschiedliche drahtgebundene und/oder drahtlose Übertragungstechnologien verwendet, wie zum Beispiel Ethernet, DSL, ATM, SDH, Bluetooth, ZigBee,

WLAN, WiMAX sowie zellulare Mobilfunknetze gemäß einem UMTS, LTE oder 5G Standard der 3GPP Standardisierungsorganisation.

Eine Sicherheitslösung kann grundsätzlich unabhängig von der Übertragungstechnologie realisiert werden, beispielsweise auf einer Sitzungs-, Darstellungs- oder Anwendungsschicht gemäß dem OSI-Referenzmodell . Dabei kommt es jedoch im Allgemeinen zu einer mehrfachen Verschlüsselung, das heißt beispielsweise eine Verschlüsselung durch die Anwendung und durch das Über tragungssystem. Die US 2013/0239169 Al beschreibt ein Verfahren, das eine Po- licy zur sicheren Paketübertragung unter Verwendung eines vorgegebenen Übertragungspfades und kryptographischen Signa turen beschreibt. Dabei wird eine Richtlinieninformation an das Datenpaket angehängt und das Paket wird kryptographisch signiert .

Insbesondere bei batteriebetriebenen Geräten und bei Geräten mit eigener Energiegewinnung, erhöht dies den Energiebedarf, und verschlechtert Echtzeiteigenschaften bei Echtzeitanwen- dungen. Dies betrifft insbesondere künftige Mobilfunknetze, welche Geräte eines Internets der Dinge unterstützen. Auch lassen sich nicht alle Sicherheitsziele allein durch Sicher heitsfunktionen auf Anwendungsschicht lösen, wie beispiels weise ein Manipulationsschutz von Mobilfunk- Signalisierungsnachrichten .

Es ist somit die Aufgabe der vorliegenden Erfindung, eine Da tenübertragung optimiert kryptographisch zu schützen und da bei insbesondere eine mehrfache kryptographische Sicherung einer Datenverbindung zu vermeiden.

Die Aufgabe wird durch die in den unabhängigen Ansprüchen be schriebenen Maßnahmen gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt.

Gemäß einem ersten Aspekt betrifft die Erfindung ein Verfah ren zur Übertagung von Datenpaketen über ein Netzwerk von ei nem Sender zu einem Empfänger über eine Kommunikationsverbin dung bestehend aus mindestens einem Übertragungsabschnitt, über den ein Datenpaket von einem Sendeknoten des Übertra gungsabschnitts zu einem Empfangsknoten des Übertragungsab schnitts übermittelt wird, mit folgenden Schritten für min destens einen Übertragungsabschnitt. Ein erster Verfahrens schritt ist ein Zuordnen einer Sicherheitsinformation zu dem Datenpaket durch mindestens einen Sendeknoten, wobei die Si cherheitsinformation die Information über eine bei der Über tragung des Datenpakets über einen benachbarten Übertragungs- abschnitt angewandte kryptographische Schutzfunktion umfasst. Weitere Schritte sind das Übermitteln des Datenpakets mit der zugeordneten Sicherheitsinformation an einen nachfolgenden Empfangsknoten und ein Überprüfen der Sicherheitsinformation in dem Empfangsknoten gegenüber einer vorgegebenen Richtlinie und ein Bereitstellen mindestens einer Maßnahme abhängig vom Prüfergebnis .

Der benachbarte Übertragungsabschnitt eines Senderknotens kann derjenige Übertragungsabschnitt sein, über den das Da tenpaket zu dem Sendeknoten übertragen wurde (d.h. der Sende knoten leitet das Datenpaket weiter) . Ebenso kann der benach barte Übertragungsabschnitt eines Senderknotens derjenige Übertragungsabschnitt sein, über den der Sendeknoten das Da tenpaket überträgt. Die Sicherheitsinformation gibt somit entweder an wie das Datenpaket geschützt war, das der Sende konten weiterleitet, oder wie das Datenpaket vom Sendeknoten auf dem nachfolgenden Übertragungsabschnitt geschützt wird.

Eine Schutzfunktion kann eine oder mehrere zum kryptographi- schen Schutz der Datenübertragung dienende Funktionalität/en umfassen. Die Sicherheitsinformation gibt somit eine die Übertragung des Datenpakets betreffende Information, die ins besondere auf einer Sicherungs-, Vermittlungs- oder Trans portschicht dem Datenpaket zugeordnet wird. Durch eine solche Zuordnung einer Sicherheitsinformation zu dem Datenpaket kann der Empfangsknoten die Sicherheitsinformation überprüfen und Maßnahmen abhängig vom Prüfergebnis bereitstellen .

War der benachbarte Übertragungsabschnitt beispielsweise eine Funkschnittstelle, so wird durch die Sicherheitsinformation die verwendete Schutzfunktion auf der Funkschnittstelle dem nachfolgenden Empfangsknoten mitgeteilt und können dort aus gewertet und geprüft werden.

Des Weiteren könnte ein Aktor als Empfangsknoten abhängig vom Prüfergebnis der Sicherheitsinformation ein Datenpaket mit Steuerungsinformation zur Überwachung, Beeinflussung oder Steuerung eines technischen Prozesses akzeptieren oder abwei sen. So kann beispielsweise das Datenpaket umfassend eine Steuerfunktion beispielsweise zur Überwachung, Beeinflussung oder Steuerung eines technischen Prozesses, in einer Automa tisierungsanlage über einen Aktor als Empfangsknoten akzep tiert werden.

In einer vorteilhaften Ausführungsform wird als Maßnahme eine Schutzfunktion für das Datenpaket auf dem nächsten Übertra gungsabschnitt ausgewählt.

Dies ermöglicht es, die Schutzfunktion auf dem nachfolgenden Übertragungsabschnitt basierend auf dem Wissen über die ange wandten Schutzfunktionen des vorhergehenden Übertragungsab schnitts auszuwählen. War der benachbarte Übertragungsab schnitt beispielsweise eine Funkschnittstelle mit einer hohen kryptographischen Schutzfunktion, so kann für den nachfolgen den Übertragungsabschnitt beispielsweise eine niedrige

Schutzfunktion ausgewählt werden. Dies gibt beispielsweise die Richtlinie vor. So kann die Schutzfunktion auf einer Funkschnittstelle oder einem VPN-Tunnel beispielsweise für das Erreichen der erforderlichen Sicherheit der gesamten Kom munikationsverbindung genutzt werden.

In einer vorteilhaften Ausführungsform wird dem Datenpaket eine weitere Sicherheitsinformation für den nächsten Übertra gungsabschnitt zugeordnet und die weitere Sicherheitsinforma tion zusammen mit der mindestens einen ersten Sicherheitsin formation an den nächsten Empfangsknoten übermittelt.

Dies hat den Vorteil, dass eine Historie an Sicherheitsinfor mationen über die vorangegangenen Übertragungsabschnitte dem jeweils nächsten Empfangsknoten zur Auswertung bereitgestellt werden kann. Somit kann aus dem Datenpaket selbst die Infor mation gewonnen werden, auf welche Weise das Datenpaket auf unterschiedlichen Übertragungsabschnitten gegen Abhören oder Manipulation geschützt war. Diese Information liegt heute nicht vor, sodass sie von einer Empfangseinheit nicht ausge wertet werden kann und beispielsweise an eine Firewall wei- tergegeben werden kann. Die Erfindung ermöglicht es, die „Übertragungshistorie" eines Pakets auszuwerten.

In einer vorteilhaften Ausführungsform erfolgt das Zuordnen der Sicherheitsinformation durch ein Anordnen der Sicher- heitsinformation im Kopfteil des Datenpakets.

Dies hat den Vorteil, dass jedes einzelne Datenpaket Sicher- heitsinformation enthält und somit im Empfangsknoten direkt verfügbar ist und ausgewertet werden kann. Somit ist eine schnelle Auswertung und Reaktion im Empfangsknoten möglich.

In einer vorteilhaften Ausführungsform erfolgt das Zuordnen durch ein Anordnen eines Referenzwertes der Sicherheitsinfor mation im Kopfteil des Datenpakets und anhand des Referenz wertes wird die Sicherheitsinformation vom Empfangsknoten bei einem Sicherheitsserver ermittelt.

Ein Referenzwert kann beispielsweise ein Hashwert der Sicher- heitsinformation sein. Das Verwenden eines Referenzwertes be nötigt weniger Übertragungsbandbreite auf den nachfolgenden Übertragungsabschnitten und verringert, insbesondere bei ei ner Kommunikationsverbindung mit vielen Übertragungsabschnit ten den Overhead, also den Anteil des Kopfteils zu Nutzdaten des Datenpakets.

In einer vorteilhaften Ausführungsform wird das Zuordnen durch ein Anordnen einer Sicherheitsinformation in einem Kopfteil eines das Datenpaket enthaltenden, übergeordneten Datenpakets ausgeführt.

Ein das Datenpaket enthaltendes, übergeordnetes Datenpaket kann beispielsweise ein Datenpaket einer virtuellen privaten Netzwerkverbindung (VPN) sein. Somit können Empfangsknoten, die eine VPN-Verbindung terminieren, die Sicherheitsinforma tion auswerten und entsprechend von Richtlinien in der VPN- Funktionalität weiterbehandeln. In einer vorteilhaften Ausführungsform umfasst die kryptogra- phische Schutzfunktion mindestens eine der Angaben zu einer verwendeten Sicherheitsoption, ein verwendetes Sicherheits protokoll, insbesondere der Sicherungsschicht oder der Ver mittlungsschicht oder der Transportschicht entsprechend einem OSI-Referenzmodell, eine Cipher-Suite, eine Schlüssellänge, und/oder eine Angabe zur geschützten Übertragungsstrecke für die die kryptographische Schutzfunktion gültig ist.

Somit gibt die Sicherheitsinformation detaillierte Informati onen zu unterschiedlichen Sicherheitsaspekten des benachbar ten Übertragungsabschnitts an. Durch eine Angabe zur ge schützten Übertragungsstrecke, die beispielsweise einen oder mehrere Übertragungsabschnitte umfasst, kann oder können bei spielsweise eine Sicherheitsinformation für eine Funkzugangs verbindung, die beispielsweise von einem Zugangsmodem in ei nem Zugangsnetz zu einer Basisstation im Kernnetz eines zel lulären Mobilfunknetzes reicht, oder eine Sicherheitsinforma tion zu einem Ende-zu-Ende-Schutz einer Übertragungsstrecke angibt, bereitgestellt werden.

In einer vorteilhaften Ausführungsform wird die Sicher- heitsinformation kryptographisch bezüglich Authentizität des Sendeknotens und Integrität der Sicherheitsinformation ge schützt und/oder verschlüsselt übertragen.

Dies verhindert ein Auslesen oder eine Manipulation der Si cherheitsinformation durch unerlaubte Dritte. Somit wird bei spielsweise ein Ausforschen von wenig gesicherten Übertra gungsabschnitten oder eine Manipulation der Sicherheitsinfor mation erschwert oder gar verhindert.

In einer vorteilhaften Ausführungsform umfasst die Sicher- heitsinformation eine Information zu dem vom Sender des Da tenpakets beim Zugang zum Netzwerk verwendeten Authentisie- rungsverfahren .

Eine solche Information kann beispielsweise eine zur Authen- tifikation des Senders verwendete Authentifizierungsart und die Stärke des Authentifizierungsverfahrens sein. Diese In formation ermöglicht es einem Empfangsknoten beziehungsweise einem nachfolgenden Sendeknoten diese Information bei der Auswahl der Schutzfunktion für den nächsten Übertragungsab schnitt auszuwerten und Richtlinien basierend auf dem Authen- tisierungsverfahren des Senders durchzusetzen.

In einer vorteilhaften Ausführungsform übermittelt der jewei lige Sendeknoten die Sicherheitsinformation an einen Filter knoten oder den Sicherheitsserver.

Im Filterknoten oder auch im Sicherheitsserver können weitere Filterkriterien oder Sicherheitsregeln geprüft und entspre chend dem Prüfergebnis an den Empfangsknoten beziehungsweise den nachfolgenden Sendeknoten übermittelt werden.

In einer vorteilhaften Ausführungsform gibt der Sender zu sätzlich eine Mindest-Sicherheitsanforderung für alle Sicher- heitsabschnitte beziehungsweise für mindestens einen Übertra gungsabschnitt vor und ordnet die Mindest- Sicherheitsanforderung im Datenpaket an.

Dadurch kann jeder einzelne oder eine Teilmenge der Sendekno ten basierend auf der Mindest-Sicherheitsanforderung die kryptographische Schutzfunktion für den nachfolgenden Über tragungsabschnitt auswählen.

Ein weiterer Aspekt der Erfindung betrifft ein System zur Übertragung von Datenpaketen über ein Netzwerk von einem Sen der zu einem Empfänger über eine Kommunikationsverbindung be stehend aus mindestens einem Übertragungsabschnitt, über den das Datenpaket übermittelt wird, umfassend mindestens einen Sendeknoten und einen Empfangsknoten, die derart ausgebildet sind, das vorangehend beschriebene Verfahren auszuführen.

Ein weiterer Aspekt der Erfindung betrifft einen Sendeknoten zur Übertragung von Datenpaketen über ein Netzwerk von einem Sender zu einem Empfänger über eine Kommunikationsverbindung bestehend aus mindestens einem Übertragungsabschnitt, über den das Datenpaket vom Sendeknoten zu einem Empfangsknoten übermittelt wird, umfassend eine Zuordnungseinheit, die der art ausgebildet ist eine Sicherheitsinformation, die Informa tion über eine bei der Übertragung des Datenpakets über den benachbarten Übertragungsabschnitt angewandte kryptographi- sche Schutzfunktion umfasst, dem Datenpaket zuzuordnen, und eine Sendeeinheit, die derart ausgebildet ist das Datenpaket mit der zugeordneten Sicherheitsinformation an einen nachfol genden Empfangsknoten zu übermitteln.

Somit kann der Sendeknoten selbst Informationen zur krypto- graphischen Schutzfunktion, insbesondere auf der Transport-, Vermittlungs- und Sicherungsschicht entsprechend dem OSI- Referenzmodell , im Datenpaket eincodieren und übermitteln. Somit steht diese Sicherheitsinformation dem Empfangsknoten zur weiteren Auswertung zur Verfügung.

Ein weiterer Aspekt der vorliegenden Erfindung betrifft einen Empfangsknoten zur Übertragung von Datenpaketen über ein Netzwerk von einem Sender zu einem Empfänger über eine Kommu nikationsverbindung bestehend aus mindestens einem Übertra gungsabschnitt, über den das Datenpaket von einem Sendeknoten zu einem Empfangsknoten übermittelt wird, umfassend eine Emp fangseinheit, die derart ausgebildet ist das Datenpaket zu empfangen, eine Überprüfungseinheit, die derart ausgebildet ist die Sicherheitsinformation gegenüber einer vorgegebenen Richtlinie zu überprüfen, und eine Bereitstellungseinheit, die derart ausgebildet ist mindestens eine Maßnahme abhängig vom Prüfergebnis bereitzustellen.

Ein solcher Empfangsknoten kann die Sicherheitsinformation auswerten und somit gegenüber vorgegebenen Richtlinien über prüfen. Insbesondere können die Richtlinien einen Doppel schutz der Datenpakete vermeiden beziehungsweise den krypto- graphischen Schutz für den nächsten Übertragungsabschnitt auf den nun bekannten kryptographischen Schutz vorhergehender Übertragungsabschnitte anpassen.

Ein weiterer Aspekt der Erfindung betrifft ein Computerpro grammprodukt, das direkt in einen Speicher eines digitalen Computers ladbar ist, umfassend Programmcodeteile, die dazu geeignet sind, die Schritte des vorgehend beschriebenen Ver fahrens durchzuführen.

Sofern in der nachfolgenden Beschreibung nicht anders angege ben ist, beziehen sich die Begriffe „zuordnen", „übermit teln", „überprüfen", „bereitstellen" und dergleichen vorzugs weise auf Handlungen und/oder Prozesse und/oder Verarbei tungsschritte, die Daten verändern und/oder erzeugen und/oder die Daten in andere Daten überführen, wobei die Daten insbe sondere als physikalische Größen dargestellt werden oder vor liegen können, beispielsweise als elektrische Impulse.

Insbesondere kann das Verfahren in einem Computer implemen tiert beziehungsweise durch Prozessoren ausgeführt werden.

Der Ausdruck „Computer" sollte möglichst breit ausgelegt wer den, um insbesondere alle elektronischen Geräte mit Datenver arbeitungseigenschaften abzudecken. Computer sind somit bei spielsweise Personalcomputer, Server, Handheld Computersyste me, Pocket PCs, Mobilfunkgeräte und andere Kommunikationsge räte, die Rechner gestützte Daten verarbeiten können, Prozes soren und andere elektronische Geräte zur Datenverarbeitung.

Unter einem Prozessor kann im Zusammenhang mit der Erfindung beispielsweise ein Gerät oder eine elektronische Schaltung verstanden werden. Bei einem Prozessor kann es sich insbeson dere um einen digitalen Signalprozessor handeln. Auch kann unter einem Prozessor ein virtualisierter Prozessor oder eine Soft-CPU verstanden werden. Es kann sich auch beispielsweise um einen programmierbaren Prozessor handeln, der mit Konfigu rationsschritten zur Ausführung des genannten erfindungsgemä ßen Verfahrens ausgerüstet wird oder mit Konfigurations schritten derart konfiguriert ist, dass der programmierbare Prozessor die erfindungsgemäßen Merkmale des Verfahrens, des Sende- beziehungsweise Empfangsknotens, des Senders sowie Empfängers, oder andere Aspekte und Teilaspekte der Erfindung implementiert .

Die jeweilige Einheit, zum Beispiel die Zuordnungseinheit, die Sendeeinheit, die Empfangseinheit, die Überprüfungsein heit oder die Bereitstellungseinheit kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Ein heit als Vorrichtung oder als Teil einer Vorrichtung zum Bei spiel als Computer oder als Mikroprozessor oder als Steuer rechner ausgebildet sein. Bei einer softwaretechnischen Im plementierung kann die jeweilige Einheit als Computerpro grammprodukt, als eine Funktion und eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein .

Ein Computerprogrammprodukt kann beispielsweise als Speicher medium, wie zum Beispiel Speicherkarte, USB-Stick, CD-ROM,

DVD oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert wer den .

Die für das vorgeschlagene Verfahren beschriebenen Ausfüh rungsformen und Merkmale gelten für das vorgeschlagene Sys tem, den vorgeschlagenen Sende- und Empfangsknoten sowie sonstige am Verfahren beteiligte Komponenten entsprechend.

Nachfolgende Ausführungsbeispiele weisen, sofern nicht anders angegeben oder bereits angegeben, zumindest einen Prozessor und/oder eine Speichereinheit auf, um das Verfahren zu imple mentieren oder auszuführen.

Ausführungsbeispiele des erfindungsgemäßen Verfahrens sowie der erfindungsgemäßen Sendeeinheit und Empfangseinheit sind in den Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Beschreibung näher erläutert. Es zeigen: Fig. 1 ein Ausführungsbeispiel einer Kommunikationsverbin dung zwischen einem Sender und einem Empfänger um fassend erfindungsgemäße Sende- und Empfangsknoten in schematischer Darstellung;

Fig. 2 ein Ausführungsbeispiel des erfindungsgemäßen Ver fahrens als Ablaufdiagramm;

Fig. 3A/B jeweils ein Ausführungsbeispiel eines dem erfin

dungsgemäßen Verfahren entsprechenden Datenpaketes in schematischer Darstellung;

Fig. 4 ein Ausführungsbeispiel eines erfindungsgemäßen

Sendeknotens in Blockdarstellung; und

Fig. 5 ein Ausführungsbeispiel eines erfindungsgemäßen

Empfangsknotens in Blockdarstellung.

In den Figuren sind funktionsgleiche Elemente mit denselben Bezugszeichen versehen, sofern nichts anderes angegeben ist.

Figur 1 zeigt eine schematische Darstellung einer Kommunika tionsverbindung K zwischen einem Sender S und einem Empfänger E. Der Sender S ist beispielsweise eine Komponente eines Au tomatisierungsnetzwerks 1 oder eines sonstigen Kommunikati onsnetzwerks, bei dem Daten D in Datenpaketen 10 übertragen werden. Das Automatisierungsnetzwerk 1 ist über einen VPN- Knoten VPN, der ein virtuelles privates Netzwerk terminiert und ein Mobilfunkmodem CM mit beispielsweise einem Zugangs knoten RA eines Mobilfunknetzwerks und weiter beispielsweise über ein öffentliches Netzwerk mit einem Dienstserver als Empfänger E verbunden. Ein möglicher Übertragungspfad zwi schen dem Sender S und dem Empfänger E, der beispielsweise einen Back-End-Dienst bereitgestellt, ist beispielhaft darge stellt . Der Übertragungspfad umfasst eine Mehrzahl von Übertragungs abschnitten TS1, TS2, TSi-1, TSi, TSi+1, die jeweils von ei nem Sendeknoten Tl,..,Ti+l und einem Empfangsknoten

Rl,..,Ri+l, abgeschlossen werden. Diese werden auch als End knoten der Übertragungsstrecke bezeichnet. Einem Sendeknoten Tl,..,Ti+l und einem Empfangsknoten Rl,..,Ri+l kann ein Sen der S, ein Filterknoten FK, ein VPN-Knoten VPN, ein Mobil funkmodem CM oder ein Netzzugangsknoten RA zugeordnet sein und beispielsweise physisch integriert oder als externe Kom ponente, die mit diesen über eine externe Verbindung verbun den ist, ausgebildet sein. Für jeden einzelnen Übertragungs abschnitt TSI,.. TSi+1, aber auch für einen Übertragungspfad umfassend eine Folge oder eine Mehrzahl von Übertragungsab schnitten, kann jeweils eine Sicherheitsinformation Sli zur Art der Übertragung auf dem jeweiligen Übertragungsabschnitt TSi bereitgestellt werden.

Die Sicherheitsinformation Sli umfasst dabei insbesondere ei ne kryptographische Schutzfunktion, die auf dem jeweiligen benachbarten Übertragungsabschnitt TSi-1, TSi, angewandt war bzw. wird. Diese Sicherheitsinformation Sli umfasst insbeson dere Information über die Art der Übertragung, beispielsweise ob es sich um eine drahtlose, drahtgebundene oder gemischt drahtlos und drahtgebundene Übertragung handelt. Es kann bei spielsweise die konkret verwendete Übertragungstechnologie angegeben werden, beispielsweise durch die der angewandten Technologie entsprechende Standardbezeichnung, wie WLAN

802.11b Link oder 3GPP 5G New Radio Link. Diese Angaben kön nen sich auch auf einen geschützten Übertragungspfad, für die die kryptographische Schutzfunktion gültig ist, beziehen. Ei ne weitere Angabe zum geschützten Übertragungsabschnitt TSi bzw. Übertragungspfad ist beispielsweise die Identität der Endknoten des Übertragungsabschnitts TSi beziehungsweise des Übertragungspfads, wie beispielsweise eine IP-Adresse oder ein Zertifikat der Endknoten des Übertragungsabschnitts TSi oder des Übertragungspfads. Dazu zählen des Weiteren Angaben zum Manipulations- beziehungsweise Abhörschutz, beispielswei se ob es sich um einen physikalisch geschützten Übertragungs- pfad beziehungsweise -abschnitt TSi, ein logisches virtuelles privates Netzwerk, oder um eine/n kryptographisch integri- tätsgeschützte/n oder kryptographisch verschlüsselte/n und integritätsgeschützte/n Übertragungsstrecke beziehungsweise Übertragungsabschnitt handelt.

Die kryptographische Schutzfunktion kann des Weiteren eine Angabe zu mindestens einer verwendeten Sicherheitsoption sein. Die Angabe kann die Sicherheitsoption selbst sowie de ren Status umfassen, beispielsweise Verschlüsselung aktiv, Integritätsschutz aktiv, Replay-Schutz inaktiv. Des Weiteren ist eine Sicherheitsoption das verwendete Authentisierungs- und Schlüsselvereinbarungsprotokoll, die verwendete Proto kollversion oder auch Schlüsselaktualisierungsintervalle oder ein Widerrufsstatus der verwendeten kryptographischen Schlüs sel, eine Länge eines vereinbarten Sitzungsschlüssels bezie hungsweise dessen effektive Länge sowie die Länge des verwen deten Authentisierungsschlüssels .

Als kryptographische Schutzfunktion kann des Weiteren ein verwendetes Sicherheitsprotokoll insbesondere der Sicherungs schicht, der Vermittlungs- oder der Transportschicht entspre chend einem OSI-Referenzmodell enthalten sein. Dies sind ins besondere Sicherheitsprotokolle wie MACsec, IPsec, IP over TLS beziehungsweise Sicherheitsprotokolle der Vermittlungs schicht für den Netzwerkzugang.

Diese kryptographische Schutzfunktion wird als Sicherheitsin formation Sli einem Datenpaket 10 bereitgestellt und zugeord net. Optional wird die Sicherheitsinformation Sli jeweils kryptographisch bezüglich einer Authentizität des Sendekno tens Ti und/oder einer Integrität der Sicherheitsinformation geschützt und/oder verschlüsselt übertragen. Dies wird insbe sondere für Übertragungsabschnitte TSi zwischen Netzwerküber gangsknoten, wie beispielsweise einem Mobilfunkmodem CM und einem Netzzugangsknoten RA eines Mobilfunknetzes als vorteil haft angesehen. Anhand eines Ablaufdiagramms in Figur 2 wird nun das erfin- dungsgemäße Verfahren beschrieben. Ein Datenpaket 10 vom Sen der S zum Empfänger E wird über eine Kommunikationsverbindung K mit mindestens einem Übertragungsabschnitt TS1,.., TSi+1, übertragen, wobei die Übertragungsabschnitte TS1,.., TSi+1, in unterschiedliche Netzwerke, beispielsweise einem in Figur 1 gezeigten Automatisierungsnetzwerk 1, einem Mobilfunknetz werk mit Zugangsknoten RA sowie möglicherweise einem weiteren öffentlichen IP-Netzwerk, angeordnet sind. Dabei wird ein Übertragungsabschnitt TSi jeweils von einem Sendeknoten Ti sowie einem Empfangsknoten Ri terminiert. Der Index i be zeichnet hier einen beliebigen Übertragungsabschnitt aus der Gesamtheit der für die Kommunikationsverbindung K verwendeten Übertragungsabschnitte TSI,.., TSi+1.

Für mindestens einen der Übertragungsabschnitte TSI, ..,

TSi+1 wird in einem ersten Verfahrensschritt beispielhaft für den Übertragungsabschnitt TSi eine Sicherheitsinformation Sli, die Information über eine bei der Übertragung des Daten pakets 10 über den nachfolgenden Übertragungsabschnitt TSi angewandte kryptographische Schutzfunktion umfasst zu dem Da tenpaket 10 durch den Sendeknoten TSi zugeordnet. Das Daten paket 10 ist dabei insbesondere ein Ethernetframe oder ein IP-Paket. Im nächsten Verfahrensschritt S2 wird das Datenpa ket 10 mit der zugeordneten Sicherheitsinformation Sli an den Empfangsknoten Ri des Übertragungsabschnitts TSi übermittelt. Im Empfangsknoten Ri wird im Verfahrensschritt S3 die Sicher- heitsinformation Sli ausgewertet. Dazu wird die Sicher- heitsinformation Sli gegenüber einer vorgegebenen Richtlinie überprüft. Abhängig vom Prüfergebnis wird im Verfahrens schritt S4 nun eine Maßnahme bezogen auf das Datenpaket 10 vom Empfangsknoten Ri bereitgestellt.

Eine Maßnahme kann dabei sein, dass eine Schutzfunktion für das Datenpaket 10 auf dem nächsten Übertragungsabschnitt TSi+1 ausgewählt wird. Diese Auswahl kann entweder durch die vorgegebene Richtlinie im Empfangsknoten Ri oder in einem Sendeknoten Ti+1 für den nächsten Übertragungsabschnitt im- plementiert werden. Insbesondere wird dem Datenpaket 10 die weitere Sicherheitsinformation SIi+1 für den nächsten Über tragungsabschnitt TSi+1 zugeordnet und zusammen mit der min destens einen ersten Sicherheitsinformation (Sli) an den nächsten Empfangsknoten Ri+1 übermittelt. Die Sicherheitsin formation Sli, SIi+1 kann explizit im Datenpaket 10 einco diert sein oder als Referenzwert, beispielsweise ein Hashwert der Sicherheitsinformationen Sli, SIi+1, referenziert werden. Sie kann insbesondere in einem Kopfteil des Datenpakets ein codiert werden, oder das eigentliche Datenpaket kann in ein weiteres Datenpaket, in das die Sicherheitsinformation einco diert wird, eingepackt werden.

Figur 3A und 3B zeigen ein solches Datenpaket 10, 20. Das Da tenpaket 10, siehe Fig. 3A umfasst einen Nutzdatenbereich 12, in dem die zu übertragenden Nutzdaten angeordnet sind, sowie einen Kopfteil 11 der üblicherweise dem Nutzdatenteil 12 vo rangestellt ist. Im Kopfteil 11 sind beispielsweise drei Si cherheitsinformationen Sil, SI2 und Sli enthalten, das heißt eincodiert, die kryptographische Schutzfunktionen zu dem Übertragungsabschnitten TU, TI2 und Tli umfassen. Dabei kön nen auch Sicherheitsinformationen von nicht aneinander an grenzenden Übertragungsabschnitten zugeordnet sein. So kann die Information zu beliebigen Übertragungsabschnitten einco diert sein. Es kann auch eine Information in der Sicher- heitsinformation bereitgestellt werden, dass ein Datenpaket 10 über einen virtuellen privaten Netzwerktunnel, beispiels weise ein Site-to-Site-VPN, in Fig.l von T3 bis Ri+1, und zu sätzlich über eine kryptographisch geschützte Funkschnitt stelle, siehe TSi in Figur 1 übertragen wurde. Dies wird ins besondere in einer Sicherheitsinformation SI4 im Kopfteil 14 eines übergeordneten Datenpaketes 13 angeordnet.

Statt der Sicherheitsinformation selbst kann im Datenpaket 20 ein Referenzwert Ri im Kopfteil 21 für die Sicherheitsinfor mation angeordnet sein, siehe Fig. 3B. Die Sicherheitsinfor mation zu einem Übertragungsabschnitt kann dabei beispiels weise auf einem Sicherheitsserver SS, siehe Figur 1, hinter- legt werden und durch den Referenzwert Ri abgefragt werden. Dies ist insbesondere bei langlebigen Kommunikationsverbin dungen beziehungsweise bei Kommunikationsverbindungen K, in denen größere Datenmengen gesammelt werden, sinnvoll.

Das Verfahren führt zwar zu einem relativ hoch erscheinenden Overhead. Da viele kritische Anwendungen, z.B. im industriel len Umfeld wie z.B. einem Automatisierungssystem, jedoch eine äußerst hohe Verlässlichkeit benötigen, dabei jedoch geringe Datenvolumen im Vergleich zu beispielsweise Multimedia- Streaming-Daten, aufweisen, ist das Verfahren dennoch sinn voll anwendbar. Der Overhead, also der Kopfteil des Datenpa ketes 10 kann reduziert werden, indem die genannten Sicher- heitsinformationen SI zu Übertragungsabschnitt TSi extern beispielsweise in einem Sicherheitsserver gespeichert werden und im Datenpaket 10 nur ein eindeutiger Referenzwert R für die gesamte Kommunikationsverbindung K oder ein Referenzwert Ri pro Übertragungsabschnitt TSi enthalten ist. Ein solcher Referenzwert kann beispielsweise eine komprimierte Netzwerka dresse des Sicherheitsservers SS sein. Der in Figur 1 darge stellte Sicherheitsserver SS kann dazu beispielsweise verwen det werden. Der Sicherheitsserver SS ist dabei von jedem Sen deknoten Ti beziehungsweise Empfangsknoten Ri erreichbar.

In das Datenpaket 10, 20 kann auch eine Information einco diert werden, die eine Aussage darüber trifft, mit welchem Sicherheitsverfahren sich der Sender, beispielsweise ein Ge rät oder ein Benutzer, der Nachricht an dessen Zugangspunkt authentifiziert hat. Des Weiteren kann im Kopfteil 11 eine Mindestanforderung an Schutzfunktionen für die Kommunikati onsverbindung K angeordnet werden. Diese kann bei der Über prüfung der Sicherheitsinformation miteinbezogen werden und basierend auf dieser Mindestanforderung Maßnahmen für weitere Maßnahmen zur Weiterbehandlung des Datenpakets abgeleitet werden . Die Sicherheitsinformationen Sil, SI2, Sli der einzelnen Übertragungsabschnitte TS1, TS 2, TSi sowie optional eine Mindestanforderung MR für die gesamte Kommunikationsverbin dung kann kryptographisch geschützt werden. Dies kann bei spielsweise durch eine digitale Signatur mittels bekannten Sicherheitsalgorithmen wie RSA, einem DSA oder einem digita len Signaturalgorithmus mit elliptischen Kurven ECDSA er reicht werden. Alternativ ist die Sicherheitsinformation ba sierend auf einem symmetrischen Schlüssel beispielsweise mit tels einem geschützten Nachrichtenauthentisierungscode ge schützt. Dies setzt voraus, dass eine überprüfende Komponen te, beispielsweise ein Empfangsknoten Ri oder ein Filterkno ten FK, die jeweiligen Übertragungsabschnittsschlüssel kennt. Die Sicherheitsinformation Sli kann auch verschlüsselt wer den, um eine Schwachstellenanalyse durch einen potenziellen Angreifer, insbesondere bei unterschiedlich stark geschützten Übertragungsabschnitten, zu erschweren. Um das Schlüsselma nagement für die Sicherheitsinformation zu erleichtern, kann diese Information auch von den Endpunkten, also den Sendekno ten Ti und Empfangsknoten Ri, eines Übertragungsabschnittes TSi an einen Filterknoten oder aber an einen zentralen Server gesendet werden. Ein solcher zentraler Server kann entspre chend von einem Filterknoten FK nach einer Authentisierung abgefragt werden.

Hat der Sender S eines Datenpaketes 10 eine erforderliche Mindestanforderung MR an den Schutz des Datenpakets 10 auf gewisse Arten von Datenübertragung im Datenpaket 10 vorab spezifiziert, ist es möglich ein Datenpaket 10 unabhängig von einer lokalen Richtlinie auf einem Sendeknoten Ti beziehungs weise Empfangsknoten Ri zu behandeln, beispielsweise zu ver werfen, wenn bei der Übertragung nicht die Mindestanforderung MR des Senders S erfüllt ist. In diesem Fall kann ein Sicher- heitsereignis generiert werden und an den ursprünglichen Sen der S und/oder auch den Empfänger E mitgeteilt werden. Die Verteilung des Sicherheitsereignisses kann dann entweder im eigentlichen Übertragungspfad oder aber über bekannte Mecha nismen erfolgen. Diese erfordern jedoch eine zusätzliche Lo- gik und Ports auf den Filterknoten zur Auswertung der Sicher heitsereignisse.

Figur 4 stellt einen Sendeknoten 100, Ti zur Übertragung des Datenpakets 10, 20 über ein Netzwerk von einem Sender S zu einem Empfänger E über eine Kommunikationsverbindung K dar. Der Sendeknoten 100 umfasst eine Zuordnungseinheit 110, die derart ausgebildet ist eine Sicherheitsinformation SI, die die auf dem benachbarten Übertragungsabschnitt TSi-1, TSi an gewandte kryptographische Schutzinformation umfasst, dem Da tenpaket 10 zuzuordnen. Der Sendeknoten 100 umfasst des Wei teren eine Sendeeinheit 120, die derart ausgebildet ist das Datenpaket 10, 20 mit der zugeordneten Sicherheitsinformation SIi-1, Sli an den Empfangsknoten, beispielsweise den Emp fangsknoten Ri zu übermitteln.

Die Zuordnungseinheit 110 und die Sendeeinheit 120 sind bei spielsweise über einen Datenbus miteinander verbunden. Der Sendeknoten 100 kann des Weiteren einen Filterknoten bezie hungsweise Filterknotenfunktionalität umfassen.

Figur 5 zeigt entsprechend einen Empfangsknoten 200, Ri. Der Empfangsknoten 200 umfasst eine Empfangseinheit 210, die der art ausgebildet ist ein Datenpaket 10, 20 über einen Übertra gungsabschnitt TSi zu empfangen. Der Empfangsknoten 200 um fasst des Weiteren eine Überprüfungseinheit 220, die derart ausgebildet ist die Sicherheitsinformation Sli gegenüber ei ner vorgegebenen Richtlinie zu überprüfen. Sie umfasst des Weiteren eine Bereitstellungseinheit 240, die derart ausge bildet ist mindestens eine Maßnahme abhängig vom Prüfungser gebnis beispielsweise dem nächsten Sendeknoten oder einem Filterknoten oder sich selbst bereitzustellen.

Der Empfangsknoten 200 kann zusätzlich einen Filterknoten FK beziehungsweise Filterknotenfunktionalität umfassen und Fil terknotenfunktionen ausführen. Der Sendeknoten 100 sowie der Empfangsknoten 200 weisen zusätzlich eine Speichereinheit 130, 230 auf, die Richtlinien umfasst, gegen die die empfan gene Sicherheitsinformation überprüft wird.

Der Sende- und Empfangsknoten 100, 200 umfassen des Weiteren eine nicht flüchtige Speichereinheit (nicht dargestellt) , in das ein Computerprogrammprodukt ladbar ist, das Programmcode teile enthält, die dazu geeignet sind, die genannten Einhei ten derart auszubilden, sodass sie das beschriebene Verfahren durchführen .

Die Erfindung ist nicht auf die beschriebenen Ausführungsbei spiele beschränkt. Alle beschriebenen und/oder gezeichneten Merkmale können im Rahmen der Erfindung vorteilhaft miteinan der kombiniert werden.