阅读说明：本技术 在建立连接期间检查受密码保护的通信连接的连接参数的方法、设备和计算机程序产品 (Method, device and computer program product for checking connection parameters of a password-protected communication connection during the establishment of a connection ) 是由 R.法尔克 S.弗里斯 于 2018-06-07 设计创作，主要内容包括：用于在第一通信设备(FD)和第二通信设备(BS)之间建立受密码保护的通信连接期间检查连接参数的方法,具有以下方法步骤：-从第一和/或第二通信设备(FD,BS)向第二和/或第一通信设备(BS,FD)发送(11,20)证明数据结构,所述证明数据结构包含第一和/或第二通信设备(FD,BS)的至少一个连接参数作为证明信息,-通过布置在通信连接的数据传输路径内的监视设备(AMF,47)窃听(12,22)所述证明数据结构,-根据预给定的准则检查(13,22)所述证明信息,以及一种相应的通信系统,一种通信设备,一种监视设备以及一种用于执行方法的计算机程序产品。(Method for checking connection parameters during the establishment of a password-protected communication connection between a first communication device (FD) and a second communication device (BS), having the following method steps: -sending (11, 20) an attestation data structure from the first and/or second communication device (FD, BS) to the second and/or first communication device (BS, FD), said attestation data structure containing at least one connection parameter of the first and/or second communication device (FD, BS) as attestation information, -eavesdropping (12, 22) said attestation data structure by a monitoring device (AMF, 47) arranged in the data transmission path of the communication connection, -checking (13, 22) said attestation information according to a predefined criterion, and a corresponding communication system, a communication device, a monitoring device and a computer program product for performing the method.)

在建立连接期间检查受密码保护的通信连接的连接参数的方 法、设备和计算机程序产品

技术领域

本发明涉及一种用于在建立受密码保护的通信连接期间检查第一通信设备和第二通信设备之间的受密码保护的通信连接的连接参数的方法、通信系统、通信设备和监视设备。

背景技术

受密码保护的通信协议（例如IP安全协议IPsec / IKE或传输层安全协议TLS，DTLS QUIC）保护待传输的数据以免操纵和监视。在此进行对通信伙伴的认证和会话密钥的协商。在通过TLS协议建立连接时，作为所谓的TLS客户端的第一通信设备发起与称为TLS服务器的第二通信设备的连接。TLS服务器通常使用证书针对TLS客户端进行身份验证。TLS客户端检查证书的可信度，并检查TLS服务器的名称（即其DNS名称）是否与证书中说明的名称一致。可选地，TLS客户端也可以使用自己的证书针对TLS服务器进行身份验证。随即，TLS客户端向TLS服务器发送使用TLS服务器的公钥加密的秘密随机数，或者两方通过Diffie-Hellman密钥交换来计算共享秘密。然后从该秘密中导出加密密钥，该加密密钥用于对连接的有效载荷消息进行加密。TLS协议在网络协议的OSI参考模型的会话层（第5层）中、即在TCP协议或UDP协议之上实施。

受密码保护的互联网协议安全性IPsec协议能够实现通过潜在不安全的互联网协议（IP）网络（例如互联网）进行安全通信。特别是，使用优选版本2中的互联网密钥交换协议IKE进行密钥管理。IPsec协议直接在互联网层上工作，该互联网层对应于OSI参考模型的网络层（第3层）。

特别是在工业环境中，例如在自动化系统中，需要监视各个设备之间的通信。已知方案旨在能够监视所传输的用户数据。但是，这与所传输数据的端到端保护冲突。需要能够实现对加密连接进行一定监视而又不损害端到端传输的保护。

从EP 3 171 570 A1已知一种设备，该设备能够检查受密码保护的通信协议的终端设备所支持的选项。为此，通信单元主动发起与终端设备的通信连接，或者通信单元从终端设备接收发起消息并建立测试通信。在此，可以在终端设备上检查通信协议的配置。测试通信的这种附加建立一方面在通信网络以及要检查的终端设备上产生了附加的负载。另外，可检查的数据仅限于在认证和密钥协商中由终端设备根据安全协议发送的信息。

发明内容

在这种背景下，本发明的目的在于能够监视扩展数量的连接参数，同时尽可能少地加载通信伙伴和通信网络并且不损害端到端传输的保护。

该目的通过在独立权利要求中描述的措施来实现。在从属权利要求中示出本发明的有利的扩展方案。

根据第一方面，本发明涉及一种用于在第一通信设备与第二通信设备之间建立受密码保护的通信连接期间检查连接参数的方法，该方法具有以下方法步骤：

- 从第一和/或第二通信设备向第二和/或第一通信设备发送（11）证明数据结构，该证明数据结构包含第一和/或第二通信设备的至少一个连接参数作为证明信息，

- 通过布置在通信连接的数据传输链路内的监视设备窃听证明数据结构，以及

- 根据预给定的准则检查证明信息。

这允许第三方监视是否如预期那样使用所使用的安全协议。在此，这可以在实际通信伙伴之间建立通信连接期间进行，使得不必建立与附加通信单元的附加测试通信。也不必将任何有源组件引入到通信路径中，该有源组件可能影响受保护的通信连接或可能影响通信伙伴的响应时间。因此不削弱通信连接的端到端安全性。同样没有建立附加的通信连接来加重通信设备或通信网络的负载。仅提供可由第三方检查的关于所建立的加密保护的通信连接的信息。这尤其在安全关键的工业控制系统中是有利的，以便确保仅按设置和批准进行受密码保护的控制通信。特别是，由此在正在运行中可以检查接受且批准的设施配置仅按批准在实际操作运行中使用。即使数据传输受到密码保护，也可以监视完整性或对预给定安全策略的遵守。

在一种有利的实施方式中，根据传输层安全协议TLS / DTLS / SSL或互联网协议安全协议IPsec建立受密码保护的通信连接，并且构造证明数据结构作为协议消息、特别是TLS握手消息或互联网密钥交换IKE消息的扩展。

这具有以下优点：仅一个或多个消息被补充了证明数据结构，但是所使用的安全协议的流程保持不变。这样的扩展易于实现，并得到所提及的安全协议标准的支持。为了能够实现被动地一同读取，优选在安全协议的协议消息的可读的未加密的部分中传输证明数据结构。为此，在TLS的情况下，尤其可以将握手消息用于认证和密钥协商。

在一种有利的实施方式中，具有发送通信设备的至少一个连接参数作为证明信息的证明数据结构既从第一通信设备又从第二通信设备被发送到分别另外的通信设备。

由此不仅可以检查第一通信设备（其引起连接建立并且通常被称为客户端）的连接参数，而且可以检查通常被称为服务器的第二通信设备的连接参数。

在一种有利的实施方式中，证明数据结构由证明密钥来密码保护。

这使得能够监视证明数据结构的完整性以及发送通信设备的真实性。受密码保护的证明数据结构在此尤其可以通过密码校验和，尤其是数字签名或通过密码消息认证码（MAC）来保护。同样可以的是，对密码保护的证明数据结构或密码保护的证明数据结构的各个字段进行加密。优选地，密码校验和是证明数据结构的一部分，即证明数据结构由证明信息和密码证明校验和组成。但是，密码证明校验和也可以与证明信息分开存在。

例如，可以将发送通信设备的用于认证的密钥用作证明密钥。

这具有以下优点：不必产生附加的密钥材料。在以TLS或IPsec协议认证通信设备时，通信伙伴的公钥大多作为证书未加密地传输并且因此可以以与证明数据结构相同的方式进行提取、验证并用于证明数据结构的进一步的密码保护。

在下文中，“提取（auskoppeln）”特别是指向实际的通信连接外部的第三组件提供数据结构。优选地，所提取的信息在此是由通信设备接收的数据结构的副本。原始数据结构优选地经由通信连接被输出到接收通信设备。

在一种有利的实施方式中，证明密钥通过与通信连接不同的、分开的连接来提供给分析设备。

这具有以下优点：对证明数据结构的分析只能由已获得证明密钥的这种设备来执行。因此，可以授权明确确定的分析设备来分析通信设备。证明密钥在此可以是任何加密密钥。用根据本发明的方法监视的连接被称为通信连接。与此不同的、分开的连接可以是在其他数据传输路径上引导的连接。但是，分开的连接也可以使用与受监视的通信连接相同的数据传输路径，但是是自身的、逻辑上分离的连接。

在一种有利的实施方式中，证明信息由发送通信设备提供给存储装置、特别是数据库或日志服务器。

这具有以下优点：对证明信息的分析可以以时间上分开并且例如集中的方式执行。

在一种有利的实施方式中，证明数据结构仅包括参考值，并且经由参考值确定在存储装置上的证明信息。

这具有以下优点：小的附加负载被加载到通信连接上。另一方面，发送通信设备可以经由另外的、例如已经存在的和/或安全的连接，将证明信息存储在诸如上述数据库或日志服务器的存储装置上。参考值可以特别是证明信息的密码哈希值。

在一种有利的实施方式中，如果在检查中确定了与准则的偏差，则执行预定义的措施，特别是发出警告信号和/或封锁通信连接。

根据第二方面，本发明涉及一种通信系统，其用于在第一通信设备和第二通信设备之间建立受密码保护的通信连接期间检查连接参数，其中至少第一和/或第二通信设备被构造为向第二和/或第一通信设备发送证明数据结构，并且证明数据结构包含第一和/或第二通信设备的至少一个连接参数作为证明信息，该通信系统包括：

- 窃听单元，其布置在通信连接的数据传输路径内并且被构造用于提取证明数据结构，和

- 检查单元，其被构造用于根据预给定准则检查证明信息。

数据传输路径是第一通信设备和第二通信设备之间的由一个或多个物理数据传输链路组成的物理连接链路。逻辑通信连接的物理数据传输路径可以包括多个数据传输链路和传输组件、例如路由器、交换机或防火墙。例如，监视设备截取传输组件内的数据或在传输组件的输出端处截取协议消息，并从中提取证明数据结构。通信系统允许通信设备和通信连接的安全相关信息对于第三方可访问。

根据第三方面，本发明涉及一种用于在通信设备和第二通信设备之间建立受密码保护的通信连接期间检查连接参数的通信设备，该通信设备包括被构造用于向第二通信设备发送受密码保护的证明数据结构的发送设备，该证明数据结构包含至少一个连接参数作为证明信息。

因此，通信设备允许在通信连接本身上提供用于当前建立的通信连接的连接参数，使得可以出于监视目的而读出这些连接参数。

在一种有利的实施方式中，通信设备被构造为客户端设备或服务器设备。

这使得可以窃听由通信连接的两个端部组件使用的连接参数的证明信息。

根据第四方面，本发明涉及一种用于在第一通信设备和第二通信设备之间建立受密码保护的通信连接期间检查连接参数的监视设备，该监视设备包括窃听单元以及检查单元，该窃听单元可以布置在通信连接的数据传输路径内并且被构造用于窃听证明数据结构并将证明信息提供给检查装置，该检查单元被构造用于根据预给定准则检查证明信息。

窃听是指被动过程，在该过程中复制数据并将此副本输出到检查单元。原始数据未改变地输出到通信伙伴。窃听不更改或补充原始数据。窃听不导致或只导致短的延迟时间。因此，可以截取证明信息而对原始通信连接没有明显影响。

在一种有利的实施方式中，监视设备还包括执行单元，该执行单元被构造成，如果在检查中确定了与准则的偏差，则执行预定义的措施，特别是输出信号和/或封锁通信连接。

根据第五方面，本发明涉及一种计算机程序产品，其可以直接加载到数字计算机的存储器中并且包括适合于执行上述方法的步骤的程序代码部分。

附图说明

根据本发明的方法和根据本发明的设备的实施例在附图中示例性示出并且根据下面的描述予以更详细地解释。其中：

图1以示意图示出根据本发明的通信系统的实施例；

图2作为流程图示出根据本发明的方法的实施例；

图3作为进程图示出集成到TLS握手中的根据本发明的方法的实施例；

图4作为流程图示出在监视设备中实施的根据本发明的方法的实施例；

图5以示意图示出根据本发明的监视设备的第一实施例；和

图6以示意图示出根据本发明的监视设备的第二实施例。

在所有附图中，彼此相应的部分配备有相同的附图标记。

具体实施方式

图1示出了根据本发明的通信系统的示例，该通信系统例如被构造为具有多个现场设备作为通信设备FD1，FD2，FD3的自动化网络。通信设备FD1，FD2，FD3经由网关GW和公共网络2连接到后端服务器BS，例如工业物联网后端系统。通信设备FD1，FD2，FD3特别是通过网关GW将诊断数据传输到后端服务器BS。在通过TLS协议建立受密码保护的通信时，除了通常交换的信息之外，作为TLS客户端的第一通信设备FD1还将具有至少一个连接参数作为证明信息的证明数据结构发送到作为第二通信设备的后端服务器。可选地，作为TLS服务器的第二通信设备也可以将其连接参数以证明数据结构发送到第一通信设备。证明数据结构例如作为所使用的TLS协议的消息的扩展或作为独立消息经由网关被发送到作为TLS服务器的后端服务器BS。在此，在网关GW中集成有监视设备AMF1，其读出并分析证明数据结构。

由此网关GW作为未参与受保护的通信连接的实际连接建立的组件例如可以可靠地检查哪个通信设备上的哪个应用程序已经发起或终止了受密码保护的通信连接。由此，网关GW特别可以检查通信连接是否由具有当前固件版本的允许的现场设备上的被批准的应用来建立，以及所联系的后端服务是否实际上是规定的服务。

在现场设备FD1和现场设备FD2之间建立受密码保护的通信连接时，以相同的方式由发起通信连接的第一通信伙伴FD1将连接参数作为证明信息编码到证明数据结构中并将其传输到第二通信伙伴FD2。布置在通信连接的数据传输路径内的监视设备AMF2可以从数据传输路径窃听该证明数据结构并对其进行检查。

在一个变型中，第一通信设备和/或第二通信设备FD1，FD2，FD3，BS仅发送证明信息的参考值。第一通信设备FD1例如经由第二受保护的连接将证明信息传输到存储装置DB。证明信息在那里用相同的参考值标识地进行存储。参考值例如可以是证明信息的哈希值。然而，地址信息、例如统一资源定位符URL也可以用作参考值，通过该参考值可以确定证明信息。检查单元AMF1，AMF2可以基于参考值确定和分析存储设备DB中的实际证明信息。

可以将证明信息提供给日志服务器，该日志服务器记录确定的或甚至所有传输的消息。同样，可以将证明信息提供给入侵检测系统或人工智能分析单元。

在图2中，现在基于流程图解释根据本发明的方法。第一通信设备处于初始状态10中，第一通信设备希望通过加密认证和密钥协商协议在FD2建立与第二通信设备的受密码保护的通信连接。这样的认证和密钥协商协议例如是传输层安全协议TLS，或者其前身版本（该前身版本被称为安全套接字层协议SSL），具有互联网密钥交换协议IKEv2的互联网协议安全协议IPsec或其他相应的协议。

在第一方法步骤11中，第一通信设备向第二通信设备发送证明数据结构，该证明数据结构包含发送通信设备的至少一个连接参数作为证明信息。引起建立受密码保护的通信的第一通信设备通常称为客户端，而获得关于安全通信连接的请求的第二通信设备通常称为服务器。可选地，第二通信设备同样确定第二通信设备中使用的连接参数，并将其作为证明数据结构发送到第一通信设备。

现在在方法步骤12中由监视设备（例如图1中的AMF1或AMF2）提取通过数据传输路径传输到分别另外的通信伙伴的证明数据结构。逻辑上在第一通信设备和第二通信设备之间建立的通信连接物理上通过由多个部分传输链路组成的数据传输路径来传输。数据传输链路例如由传输组件（例如路由器或交换机）终止。它们执行路由功能或其他动作，但是实际的受密码保护的通信连接不受到其影响。监视设备例如可以被构造为这种传输组件的一部分，或者被引入两个传输组件之间的传输链路中。在窃听证明数据结构时，复制接收到的数据或消息，并提取副本以进行进一步分析。接收到的数据或消息本身未改变地通过传输链路进行转发。然后根据预给定的准则检查证明信息。参见方法步骤13。可选地，在附加的方法步骤14中，如果在检查中确定了与准则的偏差，则可以执行预定义的措施。

包含在根据本发明的证明信息中的连接参数例如是第一通信设备的所使用的公钥或其使用的证书，第二通信设备的所使用的公钥或其证书。作为连接参数，第一通信设备或第二通信设备可以通知，所执行的操作是否用于证书验证并且如果是，哪些所执行的操作用于证书验证，例如是否进行了证书路径验证或是否在使用证书肯定列表（证书白名单）的情况下进行了验证。作为连接参数，通信设备可以通知，它是否以及使用哪种方法检查了证书吊销。另外，例如可以包含安全协议的约定版本和/或协商的加密功能，即所谓的密码套件。

此外，可以说明安全协议的允许选项，例如在TLS协议的情况下使用会话恢复功能。作为连接参数，例如可以通过标识符和版本标志说明TLS握手操作的所使用的哈希/签名算法组合，TLS客户端的IP地址和端口或TLS服务器的IP地址和端口，连接建立的时间点，建立TLS连接的应用或应用程序。这涉及客户端和服务器。此外，作为连接参数，例如可以通过客户端和服务器的相应标志和版本说明来说明所使用的TLS库。连接参数可以是本地系统状态（例如TPM配额）的附加证明，用于证明客户端和服务器的当前平台配置。它在此可以是受信任的平台模块，也称为信任平台模块TPM，其颁发关于平台配置寄存器的当前内容的证明。

此外，通信设备除了应用或应用程序本身之外还可以例如确认其版本或其发布者。如果通信设备是用于交换工业数据的网关，例如工业数据空间网关，则这是特别有利的。在此，数据在两个网关之间传输以交换工业数据，其中例如公司网络边界的防火墙可以检测和检查证明数据结构。在此，可以监视哪些应用程序（其也称为App或服务）使用数据传输路径。此外，证明数据结构可以包括要传输的数据的标识信息。这具有以下优点：可以监视通过数据传输路径传输了哪些数据。此外，可以以修订安全的方式检测和存储关于交换的数据的信息，即需要保留或值得保留的信息。

证明数据结构由各发送通信设备的证明密钥进行密码保护。证明密钥例如可以是第一通信设备或第二通信设备的公钥，其在建立受密码保护的连接期间相互传输。然而，在一个变型中，也可以使用用于确定连接或专门用于通信设备的独特的证明密钥来以密码方式保护证明数据结构。在这种情况下，该证明密钥必须通知给在通信连接之外的监视设备。

现在以如图1中所示的自动化网络中的作为第一通信设备的现场设备FD与作为第二通信设备的后端服务器BS之间的通信连接为例来解释该方法的示例流程。

第一和第二通信设备FD，BS之间的逻辑通信连接经由自动化网络1到网关GW的物理数据传输路径并且从那里进一步经由到第二通信设备BS的例如公共网络2来引导。窃听和检查单元例如被组合在监视设备AMF中地布置在网关GW中。现在例如根据传输层安全协议TLS建立通信连接。为此，在所谓的TLS握手中，通信设备被相互认证并且协商用于保护随后的数据传输的会话密钥。此TLS握手现在扩展如下。

第一通信设备FD在框20中生成证明信息，并将其作为对现有TLS消息的扩展例如编码到客户端问候消息21中。为此，第一通信设备FD或甚至第二通信设备BS可以支持在服务器问候中的以下扩展：

作为连接参数，该证明数据结构包括发送方和接收方的公钥，TLS版本，所使用的密码套件，发送方和接收方的IP地址，所使用的签名算法和附加策略、即准则信息、例如吊销证书的上次检查的日期，所使用的TLS库，连接建立的时间点，或者有关引起TLS连接建立的应用程序或应用的信息。

替代地，可以将认证数据结构作为附加消息集成在TLS握手中。在这种情况下，在编码中的证明信息称为“会话证明”，作为要新定义的消息类型（例如“session_attestation”）的一部分来发送。在此，作为SessionAttestation的经编码的证明信息的结构可以对应于上述数据结构。

在下文中示出了用消息类型“ session_attestation”扩展握手协议的消息类型。该扩展对应于类型21，并在下面以粗体印刷，消息类型的原始定义对应于根据IETF RFC4246第7.4节的TLS标准。

现在，监视设备AMF从客户端问候消息21中读取整个TLS消息，或者仅读取证明数据结构，并且对它们进行检查，参见框22。优选地，第二通信设备BS也产生证明信息，参见框23，其具有第二通信设备使用的连接参数或根据为第一通信设备生成的信息的安全机制，并在服务器问候消息24中将该证明信息发送到第一通信设备FD。监视设备AMF读取并验证证明信息，参见框25。随后在进一步的TLS握手流程中，第二通信设备的公钥被发送到第一通信设备，并且相应地，第一通信设备FD的公钥可以被发送到第二通信设备BS。

交换之后，两个通信装置都利用ChangeCipherSpec确认在使用协商的安全参数的情况下保护随后的消息，参见消息26。在握手结束时，第一通信设备FD例如借助哈希函数关于所有先前交换的消息生成校验和。该校验和被合并到实际会话密钥的密钥推导中。第二通信设备BS执行相同的计算。此后，这两个通信设备FD和BS都以完成消息27交换握手的最终消息。该消息是经过加密的，使得两个通信装置通过应用本地推导的会话密钥来证实它们拥有正确的密钥，并且暗示握手的所有消息在双方都是相同的。随后，通过协商的密钥对数据进行加密保护，参见28。

监视设备AMF根据预给定的准则检查证明信息，并且如果证明信息与准则不同，则优选地生成警报信号和/或阻止后续连接建立。

在图4中根据流程图解释在监视设备AMF中检查证明数据结构。该流程以开始状态30开始，在该开始状态中，监视设备提取或窃听连接建立消息，例如所提及的TLS消息。窃听包括复制接收到的消息，并将消息的副本输出到分析单元，以及将原始消息转发到至接收通信设备的数据传输路径。这在监视设备的窃听单元中执行。

然后，在检查单元中根据安全准则检查证明信息，参阅32。如果证明信息与安全准则不符，则提供错误信号，参阅33。如果证明信息对应于安全准则，则可选地，在接下来的步骤34中，也窃听第二通信设备的消息并将其提取到第一通信设备，并在步骤35中同样根据安全规则对其进行检查。如果证明信息与安全准则不一致，则提供错误信号33。被检查为有效的证明信息被转发到执行单元。在执行单元中例如分析和/或存储有效的证明信息，参见36。根据预定义的措施实施错误信号。例如，将错误信号提供给所分配的单元，或者也封锁并且例如中断通信连接。以此达到最终状态37。

集成了监视设备的功能的网络组件在图5和图6中示出。网络组件40，例如通信网络的路由器，交换机或接入点，例如在路由功能41中接收通信连接的数据45。路由功能41包含路由表，通过该路由表确定到下一数据传输链路49的输出端口，并相应地将数据输出到数据传输链路49上。监视设备AMF通过窃听单元47来截取连接建立消息。窃听单元47例如可以被构造为网络交换机的镜像端口或者被构造为诸如数据二极管的单向通信组件。现在，将窃听的、例如镜像的消息转发到检查单元42。在那里，根据安全准则检查证明信息。例如，在此从检查单元42的准则数据库44提供安全准则。在此，可以通过连接46由准则数据库提供或更新安全准则。

检查单元42关于在客户端问候消息和/或服务器问候消息中是否存在证明数据结构来分析以明文实施的TLS握手的消息。检查单元42将分析结果提供给执行单元43。在肯定的检查结果的情况下，执行单元相应地将数据不变地输出到数据传输链路49。例如，在违反准则的情况下，执行单元43输出错误消息48。可选地，在违反准则的情况下，可以附加地封锁数据输出。例如可以通过调整网络过滤器准则来进行封锁或阻止，使得中断网络连接，也就是说，用于建立不允许的通信连接的相应IP地址或端口号被阻止。但是也可以将断开连接消息发送到通信伙伴。

因此，监视设备AMF3由窃听单元47，检查单元42和执行单元43组成。在组件40中集成地构造有这些单元。

图6中的监视设备AMF4包括组合的窃听和检查单元52，该单元又集成地构造在网络组件50中。在此，组合的窃听和检查单元52直接构造在数据传输链路中。窃听和检查单元52承担与网络组件40中的单元42和47相同的功能。为了执行根据检查产生的措施，监视设备AMF4包括具有如图5中针对监视设备AMF3所述的功能的执行单元43。

在本发明的范围内，所描述和/或示出的所有特征可以有利地彼此组合。本发明不限于所描述的实施例，特别是不限于所提及的认证和密钥协商协议。