DE102013204371B4 - Method and bus system for protocol-independent transmission of standard data packets with security data - Google Patents
Method and bus system for protocol-independent transmission of standard data packets with security data Download PDFInfo
- Publication number
- DE102013204371B4 DE102013204371B4 DE102013204371.6A DE102013204371A DE102013204371B4 DE 102013204371 B4 DE102013204371 B4 DE 102013204371B4 DE 102013204371 A DE102013204371 A DE 102013204371A DE 102013204371 B4 DE102013204371 B4 DE 102013204371B4
- Authority
- DE
- Germany
- Prior art keywords
- data block
- data
- standard data
- standard
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H03—ELECTRONIC CIRCUITRY
- H03M—CODING; DECODING; CODE CONVERSION IN GENERAL
- H03M13/00—Coding, decoding or code conversion, for error detection or error correction; Coding theory basic assumptions; Coding bounds; Error probability evaluation methods; Channel models; Simulation or testing of codes
- H03M13/03—Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words
- H03M13/05—Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words using block codes, i.e. a predetermined number of check bits joined to a predetermined number of information bits
- H03M13/09—Error detection only, e.g. using cyclic redundancy check [CRC] codes or single parity bit
-
- H—ELECTRICITY
- H03—ELECTRONIC CIRCUITRY
- H03M—CODING; DECODING; CODE CONVERSION IN GENERAL
- H03M13/00—Coding, decoding or code conversion, for error detection or error correction; Coding theory basic assumptions; Coding bounds; Error probability evaluation methods; Channel models; Simulation or testing of codes
- H03M13/03—Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words
- H03M13/033—Theoretical methods to calculate these checking codes
- H03M13/036—Heuristic code construction methods, i.e. code construction or code search based on using trial-and-error
Landscapes
- Physics & Mathematics (AREA)
- Probability & Statistics with Applications (AREA)
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Detection And Prevention Of Errors In Transmission (AREA)
Abstract
Verfahren zum protokoll-unabhängigen Übertragen von Standarddatenpaketen mit Sicherheitsdaten auf einer Datenübertragungsstrecke zwischen zwei Kommunikationsteilnehmern, im Sender Ermitteln einer Sicherheitsdatenblock-Prüfzeichenfolge der Länge r mit Hilfe einer ersten zyklischen Redundanzprüfung aus einem Sicherheitsdatenblock unter Verwendung eines Sicherheitsdaten-Generatorpolynoms, im Sender Bereitstellen eines Standarddatenblocks, der ein eingebettetes Sicherheitsdatenpaket mit dem Sicherheitsdatenblock und der angehängten Sicherheitsdatenblock-Prüfzeichenfolge umfasst, im Sender Ermitteln einer Standarddatenblock-Prüfzeichenfolge mit Hilfe einer zweiten zyklischen Redundanzprüfung aus dem Standarddatenblock des zu übertragenden Standarddatenpakets unter Verwendung eines Standarddaten-Generatorpolynoms, Übertragen eines Standarddatenpakets mit dem Standarddatenblock und der angehängten Standarddatenblock-Prüfzeichenfolge vom Sender zum Empfänger über die Datenübertragungsstrecke, im Empfänger Verifizieren der Standarddatenblock-Prüfzeichenfolge des übertragenen Standarddatenpakets mit Hilfe einer dritten zyklischen Redundanzprüfung des übertragenen Standarddatenpakets unter Verwendung des Standarddaten-Generatorpolynoms, und im Empfänger Verifizieren der Sicherheitsdatenblock-Prüfzeichenfolge des im übertragenen Standarddatenpaket eingebetteten Sicherheitsdatenpakets mit Hilfe einer vierten zyklischen Redundanzprüfung unter Verwendung des Sicherheitsdaten-Generatorpolynoms dadurch gekennzeichnet, dass der Hamming-Abstand des Sicherheitsdaten-Generatorpolynoms für den Standarddatenblock sich gegenüber dem Hamming-Abstand des Sicherheitsdaten-Generatorpolynoms für den Sicherheitsdatenblock, dessen Länge um mindestens den Wert r kürzer als die Länge des Standarddatenblocks ist, unterscheidet.A method for protocol-independent transmission of standard data packets with security data on a data link between two communication parties, in the transmitter determining a security data block check string of length r using a first cyclic redundancy check from a security data block using a security data generator polynomial, in the transmitter providing a standard data block, the comprises an embedded security data packet including the security data block and the attached security data block check string, in the transmitter determining a standard data block check string using a second cyclic redundancy check from the standard data block of the standard data packet to be transmitted using a standard data generator polynomial, transmitting a standard data packet with the standard data block and the attached data packet Standard data block check string from sender to receiver over the data transmission line, in the receiver, verifying the standard data block check string of the transmitted standard data packet using a third cyclic redundancy check of the transmitted standard data packet using the standard data generator polynomial, and verifying in the receiver the safety data block check string of the safety data packet embedded in the transmitted standard data packet using a fourth cyclic redundancy check using of the safety data generator polynomial, characterized in that the Hamming distance of the safety data generator polynomial for the standard data block differs from the Hamming distance of the safety data generator polynomial for the safety data block whose length is at least the value r shorter than the length of the standard data block.
Description
Sowohl kommerzielle, d. h. Geschäftsprozesse als auch technische Prozesse, d. h. Produktions- und Fertigungsprozesse, werden in der Regel mit Hilfe von Rechnern gesteuert und überwacht. Die Kommunikationsteilnehmer, d. h. die Peripheriegeräte und die Steuerungsrechner, sind dabei über eine Datenübertragungsstrecke miteinander verbunden. Der Unterschied zwischen den verschiedenen Einsatzbedingungen beim Steuern und Überwachen technischer oder kommerzieller Prozesse ist durch die Ablaufbedingungen und die Betriebsumgebung gegeben. Technische Prozesse erfordern vor allem die Einhaltung strikter zeitlicher Bedingungen, d. h. ein genaues Echtzeitverhalten. Die Peripheriegeräte bei technischen Prozessen, d. h. die Feldgeräte in Form von Sensoren und Aktoren, sind außerdem häufig in unangenehmen Betriebsumgebungen installiert.Both commercial, d. H. Business processes as well as technical processes, d. H. Production and manufacturing processes are usually controlled and monitored with the help of computers. The communication participants, d. H. The peripheral devices and the control computer are connected to each other via a data transmission link. The difference between the various operating conditions in controlling and monitoring technical or commercial processes is given by the run conditions and operating environment. Above all, technical processes require compliance with strict time conditions, ie. H. an exact real-time behavior. The peripherals in technical processes, d. H. The field devices in the form of sensors and actuators are also often installed in unpleasant operating environments.
Eine wesentliche Anforderung an Bussysteme, insbesondere beim Einsatz zum Steuern und Überwachen von technischen Prozessen, ist Fehlersicherheit bei der Übertragung von Informationen zwischen den Kommunikationsteilnehmern. Beim Steuern und Überwachen von technischen Prozessen muss sichergestellt sein, dass dann, wenn das Bussystem fehlerhaft arbeitet, daraus keine Gefahr für Mensch und Umwelt resultiert. Bussysteme zum Steuern und Überwachen technischer Prozesse arbeiten in der Regel nach dem sogenannten Fail-Safe-Prinzip, bei dem das Bussystem im Fehlerfall in einen sicheren Zustand übergeht. An essential requirement of bus systems, especially when used for controlling and monitoring technical processes, is error security in the transmission of information between the communication participants. When controlling and monitoring technical processes, it must be ensured that if the bus system malfunctions, this will not result in any danger for people and the environment. Bus systems for controlling and monitoring technical processes generally work according to the so-called fail-safe principle, in which the bus system transitions to a safe state in the event of a fault.
Um beim Ausführen der Steuerungs- und Überwachungsfunktionen zu gewährleisten, dass der Datenaustausch zwischen den Kommunikationsteilnehmern nicht verfälscht oder zumindest erkennbar verfälscht erfolgt, werden sogenannte Safety-Maßnahmen auf dem Bussystem implementiert. Zielsetzung ist es dabei, Fehler bei der Datenübertragung mit hoher Wahrscheinlichkeit aufzudecken, um die Gefahr unerkannter Fehler zu minimieren. Im Fokus stehen dabei vor allem zufällige Fehler, die bei der Datenübertragung auftreten können. Als Safety-Maßnahmen führen die Kommunikationsteilnehmer im Bussystem in der Regel eine zyklische Redundanzprüfung, auch CRC-Verfahren genannt, durch. In order to ensure, when carrying out the control and monitoring functions, that the data exchange between the communication participants is not falsified or at least recognizably falsified, so-called safety measures are implemented on the bus system. The goal is to uncover errors in data transmission with high probability, in order to minimize the risk of unrecognized errors. The focus is primarily on random errors that can occur during data transmission. As safety measures, the communication participants in the bus system usually carry out a cyclic redundancy check, also called a CRC procedure.
Beim CRC-Verfahren wird vor einer Datenübertragung im Sender für den zu übertragenden Datenblock mit Hilfe eines Generatorpolynoms eine Prüfzeichenfolge ermittelt, die dann an den Datenblock angehängt mit diesem zusammen an den Empfänger übermittelt wird. Vom Empfänger wird dann mit Hilfe desselben Generatorpolynoms, das vom Sender zum Berechnen der Prüfzeichenfolge für das übertragene Datenpaket eingesetzt wurde, die übertragene Prüfzeichenfolge verifiziert, um festzustellen, ob die Datenübertragung unverfälscht stattgefunden hat. In the CRC method, a test string is determined before a data transmission in the transmitter for the data block to be transmitted with the aid of a generator polynomial, which is then transmitted to the data block together with this transmitted to the receiver. The receiver then uses the same generator polynomial used by the sender to compute the check string for the transmitted data packet to verify the transmitted check string to determine if the data has been transmitted unadulterated.
Um zu gewährleisten, dass die sicherheitsrelevanten Datenübertragungsvorgänge nicht von den übrigen Datenübertragungsvorgängen negativ beeinflusst werden können, wird die Datenübertragung der Sicherheitsdaten von der Standarddatenkommunikation häufig abgeschottet. Mit Hilfe eigenständiger Sicherheitsprotokolle kann dann die Güte der Datenübertragungsstrecke garantiert werden. In order to ensure that the security-relevant data transmission processes can not be adversely affected by the other data transmission processes, the data transmission of the security data is frequently isolated from the standard data communication. With the help of independent security protocols, the quality of the data transmission path can then be guaranteed.
Um den sich dabei ergebenden zusätzlichen Hard- und Softwareaufwand zu reduzieren, werden aber zunehmend Bussysteme eingesetzt, bei denen Sicherheitsdaten und Standardnutzdaten gemeinsam übertragen werden. Um bei einem solchen Bussystem mit Hilfe eines Standardprotokolls sowohl Sicherheitsdaten als auch Standardnutzdaten übertragen zu können, weisen die Kommunikationsteilnehmer im Bussystem eine zusätzliche Sicherheitsschicht zur Verarbeitung der Sicherheitsdaten auf. Die Sicherheitsdaten werden in der Sicherheitsschicht in einem Sicherheitsdatenpaket verpackt, das eine Prüfzeichenfolge enthält, die mit Hilfe einer zyklischen Redundanzprüfung unter Verwendung eines Sicherheitsdaten-Generatorpolynoms erzeugt wird. Das Sicherheitsdatenpaket wird dann vom Kommunikationsteilnehmer in einer Datenübertragungsschicht in ein Standarddatenpaket eingebettet, das mit einer zusätzlichen Prüfzeichenfolge, die durch eine weitere zyklische Redundanzprüfung mit Hilfe eines Standarddaten-Generatorpolynoms erzeugt wird, versehen sein kann. Auf der Empfängerseite wird das übertragene Standarddatenpaket in umgekehrter Reihenfolge abgearbeitet, wobei in der Datenübertragungsschicht zuerst die Prüfzeichenfolge des Standarddatenblocks und dann in der Sicherheitsschicht die Prüfzeichenfolge des Sicherheitsdatenblocks verifiziert wird. In order to reduce the resulting additional hardware and software costs, however, increasingly bus systems are used in which security data and standard user data are transmitted together. In order to be able to transmit both security data and standard user data in such a bus system using a standard protocol, the communication users in the bus system have an additional security layer for processing the security data. The security data is packaged in the security layer in a security data packet containing a check string which is generated by means of a cyclic redundancy check using a security data generator polynomial. The security data packet is then embedded by the communication user in a data link layer in a standard data packet, which can be provided with an additional check string, which is generated by a further cyclic redundancy check using a standard data generator polynomial. On the receiver side, the transmitted standard data packet is processed in the reverse order, whereby the test string of the standard data block and then in the security layer the check string of the safety data block is verified in the data transmission layer first.
Unbesehen davon, ob ein spezielles Sicherheitsprotokoll bei der Sicherheitsdatenübertragung genutzt wird oder die Sicherheitsdaten in ein Standarddatenpaket eingebettet und mit Hilfe eines Standardprotokolls übertragen werden, ist es erforderlich, eine Aussage über die Güte des Bussystems bzw. des eingesetzten Datenübertragungsverfahrens zu machen. Eine solche Gütebetrachtung ist in der Regel auch erforderlich, um eine Zertifizierung des Bussystems durch einen unabhängigen Zertifizierer, z. B. den TÜV oder das IFA, zu bekommen, die erforderlich ist, um das Bussystem in der Industrieautomation einsetzen zu können. Regardless of whether a special security protocol is used in the security data transmission or the security data is embedded in a standard data packet and transmitted using a standard protocol, it is necessary to make a statement about the quality of the bus system or the data transmission method used. Such consideration of quality is usually also required to a certification of the bus system by an independent certifier, z. As the TÜV or the IFA, which is required to use the bus system in industrial automation can.
Zum Beurteilen einer ausreichenden Güte des Bussystems bzw. der verwendeten Datenkommunikation für einen Einsatz in einem Sicherheitsbereich kann auch die Anzahl der vom Empfänger erkannten verfälschten Datenpakete bezogen auf ein vorgegebenes Zeitintervall herangezogen werden. Beim Auswerten der erkannten Datenpaketübertragungsfehler wird dabei das sogenannte Monitoring-Prinzip verwendet, dem der Ansatz zugrunde liegt, dass ein konstantes Verhältnis zwischen der Anzahl der unerkannten Verfälschungen und der Anzahl der erkannten Verfälschungen pro Zeitintervall gegeben ist. Wenn die Anzahl der erkannten Datenpaketverfälschungen pro Zeit ansteigt, wird nach dem Monitoring-Prinzip angenommen, dass auch die Rate der unerkannten und deshalb besonders kritischen Datenpaketverfälschungen entsprechend zunimmt. For assessing a sufficient quality of the bus system or the data communication used for use in a security area, the number of falsified data packets detected by the receiver with respect to a be used given time interval. When evaluating the detected data packet transmission errors while the so-called monitoring principle is used, which is based on the approach that a constant ratio between the number of unrecognized falsifications and the number of detected falsifications per time interval is given. If the number of detected data packet adulterations per time increases, it is assumed according to the monitoring principle that the rate of unrecognized and therefore particularly critical data packet adulteration increases accordingly.
Gemäß dieser Sicherheitsbetrachtung kann durch Vorgabe einer maximal zulässigen Rate der mit Hilfe der zyklischen Redundanzprüfung erkannten Verfälschungen der übertragenen Datenpakete auch eine maximale Rate der unerkannten Verfälschungen vorgegeben werden. So wird in der Regel von den unabhängigen Zertifizierern zum Nachweis einer Eignung des Bussystems bzw. der verwendeten Datenkommunikation für eine Verwendung im Sicherheitsbereich gefordert, dass gemäß dem Monitoring-Prinzip maximal eine einzelne erkannte Verfälschung der übertragenen Datenpakete innerhalb von 10 Stunden, also in etwa einer Produktionsschicht, auftreten darf. In accordance with this safety consideration, by specifying a maximum permissible rate of the distortions of the transmitted data packets detected with the aid of the cyclic redundancy check, a maximum rate of the unrecognized falsifications can also be specified. Thus, it is generally required by the independent certifiers to prove suitability of the bus system or the data communication used for security purposes that, according to the monitoring principle, a maximum of a single detected falsification of the transmitted data packets within 10 hours, ie approximately one Production layer, may occur.
Ein Vorteil beim Nachweis der Güte der Datenübertragung in einem Bussystem gemäß dem Monitoring-Prinzip ist dessen Unabhängigkeit von der Datenübertragungsrate. Die Rate der unerkannten Verfälschungen steigt mit der messbaren Rate der erkannten Verfälschungen aufgrund des konstanten Verhältnisses, wenn mehr Datenpakete pro Zeiteinheit übertragen werden. Das Monitoring-Prinzip ist darüber hinaus auch unabhängig von der Güte der unterlagerten Kommunikation in den Kommunikationsteilnehmern, da die Rate der unerkannten Verfälschungen immer mit der Rate der gemessenen Verfälschungen korreliert ist. An advantage in the proof of the quality of the data transmission in a bus system according to the monitoring principle is its independence from the data transmission rate. The rate of unrecognized adulteration increases with the measurable rate of detected corruption due to the constant ratio as more data packets are transmitted per unit of time. The monitoring principle is also independent of the quality of the subordinate communication in the communication participants, since the rate of unrecognized adulteration is always correlated with the rate of measured adulteration.
Das Monitoring-Prinzip ist aber zur Beurteilung der Güte der Datenübertragung im Bussystem dann nicht geeignet, wenn das Sicherheitsdatenpaket eingebettet in ein Standarddatenpaket übertragen wird und sowohl bei der Ermittlung der Prüfzeichenfolge für die Sicherheitsdaten mit Hilfe der ersten zyklischen Redundanzprüfung als auch bei der nachfolgenden Ermittlung der Prüfzeichenfolge für die Standardnutzdaten, die das eingebettete Sicherheitsdatenpaket mit umfassen, dasselbe Generatorpolynom verwendet wird. Eine zyklische Redundanzprüfung mit demselben Generatorpolynom sowohl beim Sicherheitsdatenpaket als auch beim Standarddatenpaket kann einen Fehler bei der Verifizierung der Prüfzeichenfolge des Sicherheitsdatenpakets dann nicht aufdecken, wenn die Teile im Standarddatenpaket, die nicht dem Sicherheitsdatenpaket zuzurechnen sind, nicht betroffen sind. In einem solchen Fall prüfen beide Checks dasselbe Fehlermuster. Ein als fehlerhaft erkanntes Standarddatenpaket wird dann das eingebettete Sicherheitsdatenpaket nicht bis zum Sicherheits-Check weiterleiten, so dass es dort nicht mit in die Rate der erkannten Verfälschungen einfließen kann. Verallgemeinert gilt das bereits, wenn das Generatorpolynom des Standard-Checks durch das Generatorpolynom des Sicherheits-Checks teilbar ist.However, the monitoring principle is not suitable for assessing the quality of the data transmission in the bus system when the safety data packet is embedded embedded in a standard data packet and both in the determination of the test string for the safety data using the first cyclic redundancy check and in the subsequent determination of Check string for the default payload that includes the embedded security data packet using the same generator polynomial. A cyclic redundancy check with the same generator polynomial both in the safety data packet and in the standard data packet can not detect an error in the verification of the test string of the safety data packet if the parts in the standard data packet that are not to be assigned to the safety data packet are not affected. In such a case, both checks will check the same error pattern. A standard data packet recognized as defective will then not forward the embedded security data packet until the security check so that it can not be included in the rate of the detected adulteration. This is generalized if the generator polynomial of the standard check is divisible by the generator polynomial of the safety check.
Das Monitoring-Prinzip kann deshalb nicht zum Nachweis der Güte der Datenübertragung in einem Bussystem, bei dem mit einer doppelten zyklischen Redundanzprüfung gearbeitet wird und bei dem das Sicherheitsdatenpaket eingebettet in einem Standardpaket übertragen wird, ohne weitere Maßnahmen eingesetzt werden. Aufgrund der aus Sicherheitssicht angestrebten logischen Trennung von Sicherheitsschicht und Datenschicht muss nämlich grundsätzlich unterstellt werden, dass jeweils dasselbe Generatorpolynom zum Erstellen der Prüfzeichenfolge verwendet wird. The monitoring principle can therefore not be used to prove the quality of the data transmission in a bus system, in which a double cyclic redundancy check is used and in which the safety data packet is embedded embedded in a standard packet without further measures. Because of the logical separation of the security layer and the data layer, which is aimed at from a security point of view, it is fundamentally necessary to assume that the same generator polynomial is used to create the check string.
Um auch bei einem solchen Datenübertragungsverfahren, bei dem die Sicherheitsdaten eingebettet übertragen werden und eine doppelte zyklische Redundanzprüfung durchgeführt wird, einen Nachweis der Güte der Datenübertragung im Bussystem in Bezug auf eine zulässige Rate an unerkannten Verfälschungen bei der Datenübertragung treffen zu können, wird beim PROFIsafe-System (vgl. PROFIsafe Systembeschreibung, Version Nov. 2010, Hrsg. PROFIBUS Nutzerorganisation e.V., Karlsruhe) bei der Datenübertragung so vorgegangen, dass in der Datenübertragungsschicht vor dem Ermitteln der Prüfzeichenfolge für den Standarddatenblock mit dem eingebetteten Sicherheitsdatenpaket eine Vertauschung von Bytes vorgenommen wird. Die Prüfzeichenfolge wird dann für den Datenblock mit der vertauschten Bytereihenfolge durchgeführt. Das Datenpaket wird jedoch mit dem Standarddatenblock ohne vertauschte Bytes übermittelt. Im Empfänger werden die Bytes im übertragenen Standarddatenpaket zur Verifizierung der Prüfzeichenfolge wiederum vertauscht. Mit dieser Vorgehensweise besteht die Möglichkeit, eine weitere Trennung und Abkopplung der zyklischen Redundanzprüfung der Sicherheitsschicht und der Datenübertragungsschicht im Kommunikationsteilnehmer zu erreichen. Die zusätzlich vorzunehmende Bytevertauschung gemäß dem PROFIsafe-System führt jedoch zu einem zusätzlichen Hard- und Softwareaufwand und darüber hinaus zu einer Verzögerung bei der Datenübertragung. In order to be able to provide proof of the quality of the data transmission in the bus system in relation to a permissible rate of unrecognized distortions in the data transmission even in such a data transmission method in which the safety data are transmitted in an embedded manner and a double cyclic redundancy check is carried out, in the case of PROFIsafe System (see PROFIsafe system description, Version Nov. 2010, ed., PROFIBUS user organization eV, Karlsruhe) proceeded in the data transmission so that in the data transmission layer before the determination of the test string for the standard data block with the embedded safety data packet, a permutation of bytes. The check string is then performed on the data block with the swapped byte order. However, the data packet is transmitted with the standard data block without swapped bytes. In the receiver, the bytes in the transmitted standard data packet are again interchanged to verify the check string. With this approach, it is possible to achieve a further separation and decoupling of the cyclic redundancy check of the security layer and the data transmission layer in the communication subscriber. However, the additional Bytevertauschung according to the PROFIsafe system leads to additional hardware and software overhead and beyond to a delay in data transmission.
Alternativ zu dieser Vorgehensweise wurde im Artikel von Frank Schiller et al.: A New Method to Obtain Sufficient Independency of Nested Cyclic Redundancy checks, 5th International Conference “Safety of Industrial Automated Systems” SIAS 2007, pp. 149–154, Tokyo, Japan 2007 vorgeschlagen, vor der Prüfsummenbildung des Sicherheitsdatenblocks virtuelle Bits einzufügen, die dann vor Einbettung in den Standarddatenblock wieder entfernt werden. Im Empfänger müssen vor der Prüfung des Sicherheitsdatenblocks die virtuellen Bits wieder eingefügt werden. Ähnlich wie die Bytevertauschung führt aber das explizite Einschieben von virtuellen Bits zu einem erhöhten Hard- und Softwareaufwand und verzögert die Datenübertragung. Alternativ zu einem expliziten Einschieben von virtuellen Bits besteht auch die Möglichkeit, mit Tabellen zu arbeiten, wobei jedoch im Vergleich zum herkömmlichen zyklischen Redundanzverfahren für das Einschieben virtueller Bits eine zusätzliche zweite Tabelle, die zu einem erhöhten Speicherplatzbedarf führt, eingesetzt werden muss. An alternative to this procedure was described in the article by Frank Schiller et al .: A New Method to Obtain Sufficient Independence of Nested Cyclic Redundancy Checks, 5th International Conference "Safety of Industrial Automated Systems" SIAS 2007, pp. 149-154, Tokyo, Japan in 2007 proposed to insert virtual bits before the checksum formation of the security data block, which are then removed before embedding in the standard data block. In the receiver, the virtual bits must be inserted again before checking the safety data block. Similar to the byte interchange, however, the explicit insertion of virtual bits leads to increased hardware and software complexity and delays the data transfer. As an alternative to explicitly inserting virtual bits, it is also possible to work with tables, but in comparison with the conventional cyclic redundancy method for the insertion of virtual bits, an additional second table which leads to an increased storage space requirement must be used.
Aus der
Aus P. Koopman: 32-Bit Cyclic Redundancy Codes for Internet Applications. Institute for Software Research, 2002. URL: http://repository.cmu.edu/isr/672 [abgerufen am 29.11.2013] ist bekannt, den Hamming-Abstand des Generatorpolynoms abhängig von der Länge des zu prüfenden Datenblocks zu wählen.From P. Koopman: 32-bit Cyclic Redundancy Codes for Internet Applications. Institute for Software Research, 2002. URL: http://repository.cmu.edu/isr/672 [retrieved on 29.11.2013] it is known to choose the Hamming distance of the generator polynomial depending on the length of the data block to be tested.
Aufgabe der vorliegenden Erfindung ist es, ein Verfahren zum protokollunabhängigen Übertragen von Standarddatenpaketen mit Sicherheitsdaten auf einer Datenübertragungsstrecke zwischen zwei Kommunikationsteilnehmern und ein entsprechendes Bussystem bereitzustellen, die sich durch einen geringen Hard- und Softwareaufwand und eine schnelle Datenübertragung auszeichnen, wobei sich ein Nachweis der Güte der Datenkommunikation insbesondere mit Hilfe des Monitoring-Prinzips ausführen lässt.The object of the present invention is to provide a method for protocol-independent transmission of standard data packets with security data on a data transmission path between two communication participants and a corresponding bus system, which are characterized by low hardware and software complexity and fast data transmission, with a proof of the quality of Data communication can be carried out in particular using the monitoring principle.
Diese Aufgabe wird mit einem Verfahren gemäß Anspruch 1 und einem Bussystem gemäß Anspruch 6 gelöst. Bevorzugte Weiterbildungen sind in den abhängigen Ansprüchen angegeben. This object is achieved by a method according to
Gemäß der Erfindung wird beim protokollunabhängigen Übertragen von Standarddatenpaketen mit Sicherheitsdaten zwischen zwei Kommunikationsteilnehmern, die jeweils eine Sicherungsschicht und eine Datenübertragungsschicht aufweisen, in der Sicherheitsschicht des als Sender fungierenden Kommunikationsteilnehmers eine Sicherheitsdatenblock-Prüfzeichenfolge der Länge r mit Hilfe einer ersten zyklischen Redundanzprüfung auf einem Sicherheitsdatenblock unter Verwendung eines Sicherheitsdaten-Generatorpolynoms ermittelt. Dann wird in der nachgeordneten Datenübertragungsschicht des Senders ein Standarddatenblock, der ein eingebettetes Sicherheitsdatenpaket mit dem Sicherheitsdatenblock und der angehängten Sicherheitsdatenblock-Prüfzeichenfolge beinhaltet, bereitgestellt und gegebenenfalls mit weiteren nicht-sicherheitsrelevanten Daten eine Standarddatenblock-Prüfzeichenfolge mit Hilfe einer zweiten zyklischen Redundanzprüfung aus dem Standarddatenblock des zu übertragenden Standarddatenpakets unter Verwendung eines Standarddaten-Generatorpolynoms ermittelt.According to the invention, in the protocol-independent transmission of standard data packets with security data between two communication users, each comprising a data link layer and a data link layer, a security data block check string of length r is used in the security layer of the transmitter acting as a transmitter using a first cyclic redundancy check on a security data block a safety data generator polynomial determined. Then, in the downstream data transmission layer of the transmitter, a standard data block containing an embedded security data packet with the security data block and the attached security data block check string is provided, and optionally with other non-security relevant data, a standard data block check string using a second cyclic redundancy check from the standard data block of transmitted standard data packets using a standard data generator polynomial determined.
Das Sicherheitsdaten-Generatorpolynom weist dabei für den Standarddatenblock einen Hamming-Abstand auf, der sich vom Hamming-Abstand für einen Datenblock, dessen Länge mindestens um den Wert r kürzer ist als die Länge des Standarddatenblocks, unterscheiden kann. Das Standarddatenpaket mit dem Standarddatenblock und der angehängten Standarddatenblock-Prüfzeichenfolge wird dann über die Datenübertragungsstrecke zum als Empfänger fungierenden Kommunikationsteilnehmer übertragen, dessen Datenübertragungsschicht dann mit einer dritten zyklischen Redundanzprüfung unter Verwendung des Standarddaten-Generatorpolynoms die Standarddatenblock-Prüfzeichenfolge des übertragenen Standarddatenpakets verifiziert. In der Sicherheitsschicht des Empfängers wird anschließend die Sicherheitsdatenblock-Prüfzeichenfolge des im übertragenen Standarddatenpaket eingebetteten Sicherheitsdatenpakets mit Hilfe einer vierten zyklischen Redundanzprüfung unter Verwendung des Sicherheitsdaten-Generatorpolynoms verifiziert. The safety data generator polynomial has a Hamming distance for the standard data block which can differ from the Hamming distance for a data block whose length is shorter by at least the value r than the length of the standard data block. The standard data packet with the standard data block and the appended standard data block check string is then transmitted over the data link to the recipient communicating party whose data link then uses a third cyclic redundancy check using the standard data generator polynomial to verify the standard data block check string of the transmitted standard data packet. In the security layer of the receiver, the security data block check string of the security data packet embedded in the transmitted standard data packet is subsequently verified by means of a fourth cyclic redundancy check using the security data generator polynomial.
Der Hamming-Abstand gibt an, wie viele Zeichen in einem Datensatz mindestens verfälscht sein müssen, damit trotz der eingesetzten Safety-Maßnahme der zyklischen Redundanzprüfung eine unerkannte Verfälschung auftreten kann. Durch die erfindungsgemäße spezielle Auswahl des Sicherheitsdaten-Generatorpolynoms kann eine protokollunabhängige Übertragung von Sicherheitsdaten im Rahmen von Standarddatenpaketen erfolgen, wobei keine Kenntnis über die Safety-Maßnahmen auf der Datenübertragungsstrecke gegeben sein muss, also das sogenannte Black Channel-Prinzip angewandt werden kann, bei dem die Kommunikationsteilnehmer zwar jeweils eine Sicherungsschicht besitzen, das Übertragungsverfahren auf der Datenübertragungsstrecke und die auf der Datenübertragungsstrecke ausgeführten Safety-Maßnahmen jedoch völlig unberücksichtigt bleiben. Es werden genau solche Generatorpolynome eingesetzt, die einen Code mit einer hohen Hamming-Abstand für die Datenlänge des Sicherheitsdatenpakets, jedoch bei einer um bis zu r Bits längeren Datenlänge einen Code mit einer geringen Hamming-Abstand erzeugen. Das bedeutet, wenn der Standard-Check tatsächlich identisch dem Sicherheits-Check ist und nur die r Bits der Prüfsumme in der Standard-Schicht angehängt werden (worst case), gelangen im Fehlerfall immer noch ausreichend viele erkennbar verfälschte Daten in die Sicherheitsschicht. Wie beim Verfahren mit den virtuellen Bits kann diese Eigenschaft auch durch die Berechnung der Restfehlerwahrscheinlichkeit exakt nachgewiesen werden. Die Ermittlung der jeweiligen Hamming-Abstände dient damit einer Vorauswahl der Generatorpolynome.The Hamming distance indicates how many characters in a data record must be at least corrupted so that an undetected corruption can occur despite the safety measure used for the cyclic redundancy check. The specific selection according to the invention of the safety data generator polynomial allows protocol-independent transmission of safety data in the context of standard data packets, whereby no knowledge of the safety measures must be provided on the data transmission path, ie the so-called black channel principle can be used, in which the Although communication subscribers each have a data link, the transmission method on the data transmission path and the safety measures carried out on the data transmission path are completely disregarded. Exactly such generator polynomials are used which provide a code with a high Hamming distance for the Data length of the security data packet, however, generate a code with a small Hamming distance with a data length that is longer by up to r bits. This means that if the standard check is actually identical to the security check and only the r bits of the checksum are appended to the standard layer (worst case), then in the event of an error, there will still be enough detectable falsified data in the security layer. As with the virtual bit method, this property can also be accurately detected by calculating the residual error probability. The determination of the respective Hamming distances thus serves to pre-select the generator polynomials.
Mit der erfindungsgemäßen Generatorpolynom-Auswahl ist ohne zusätzlichen Hard- und Softwareaufwand unter Vermeidung einer Verzögerung der Datenübertragung der Nachweis der Güte der Datenübertragung im Rahmen des Monitoring-Prinzips möglich. Beim Monitoring-Prinzip wird die Rate der mit Hilfe der zyklischen Redundanzprüfung erkannten Verfälschungen bei der Datenübertragung ermittelt, wobei der Ansatz gewählt ist, dass ein konstantes Verhältnis zwischen der Rate der unerkannten Verfälschungen und der Rate der erkannten Verfälschungen gegeben ist.With the generator polynomial selection according to the invention, the proof of the quality of the data transmission within the scope of the monitoring principle is possible without additional hardware and software expenditure while avoiding a delay of the data transmission. In the monitoring principle, the rate of the distortions in the data transmission detected with the aid of the cyclical redundancy check is determined, whereby the approach is chosen such that a constant relationship exists between the rate of the unrecognized distortions and the rate of the detected distortions.
Durch die Vorgabe des Hamming-Abstands beim erfindungsgemäßen Generatorpolynom wird dafür gesorgt, dass beim Monitoring-Prinzip auch der Fall berücksichtigt werden kann, bei dem sowohl die Sicherheitsschicht als auch die Datenübertragungsschicht jeweils dasselbe Generatorpolynom zur zyklischen Redundanzprüfung verwenden. Durch den unterschiedlichen Hamming-Abstand für Datenpakete, deren Länge sich um mindestens r, also die Länge der Prüfzeichenfolge unterscheidet, wird erreicht, dass die Aufdeckungswahrscheinlichkeit beim Ausführen der doppelten zyklischen Redundanzprüfung mit Hilfe desselben Generatorpolynoms unterschiedlich ist, da das Generatorpolynom in der Sicherheitsschicht ein Datenpaket mit einer um mindestens die Prüfzeichenfolge kürzeren Länge als in der Datenübertragungsschicht prüft.The specification of the Hamming distance in the generator polynomial of the invention ensures that the monitoring principle can also take into account the case in which both the security layer and the data transmission layer each use the same generator polynomial for the cyclic redundancy check. Due to the different Hamming distance for data packets whose length differs by at least r, ie the length of the test string, it is achieved that the detection probability when executing the double cyclic redundancy check using the same generator polynomial is different, since the generator polynomial in the security layer is a data packet with a length shorter by at least the check string than in the data link layer.
Gemäß einer bevorzugten Ausführungsform ist der Hamming-Abstand des Sicherheitsdaten-Generatorpolynoms für den Standarddatenblock geringer als der Hamming-Abstand des Sicherheitsdaten-Generatorpolynoms für den um mindestens den Wert r verkürzten Sicherheitsdatenblock. Dies führt dazu, dass die zyklische Redundanzprüfung der Datenübertragungsschicht beim Einsatz desselben Generatorpolynoms in der Datenübertragungsschicht und der Sicherheitsschicht zu einer schlechteren Aufdeckung als die zyklische Redundanzprüfung in der Sicherheitsschicht, der dann ein um mindestens die Prüfzeichenfolgenlänge r verkürzter Datenblock zugrunde liegt, führt. Es wird so gewährleistet, dass die Überprüfung der Prüfzeichenfolge in der Sicherheitsschicht, die für den Einsatz des Bussystems in einem Automatisierungssystem zum Ausführen sicherheitsrelevanter Steuerungsfunktionen entscheidend ist, zu einer sicheren Fehleraufdeckung führt. According to a preferred embodiment, the Hamming distance of the safety data generator polynomial for the standard data block is less than the Hamming distance of the safety data generator polynomial for the safety data block shortened by at least the value r. The result of this is that the cyclic redundancy check of the data transmission layer when using the same generator polynomial in the data transmission layer and the security layer leads to a poorer detection than the cyclic redundancy check in the security layer, which is then based on a data block shortened by at least the test string length r. This ensures that checking the check string in the security layer, which is decisive for using the bus system in an automation system to execute safety-related control functions, leads to reliable error detection.
Gemäß einer weiteren bevorzugten Ausführungsform unterscheidet sich der Hamming-Abstand des Sicherheitsdaten-Generatorpolynoms für den Standarddatenblock gegenüber dem Hamming-Abstand des Sicherheitsdaten-Generatorpolynoms für den Datenblock, dessen Länge um mindestens den Wert r kürzer ist als die Länge des Standarddatenblocks um wenigstens den Wert 2. Aufbauend auf diesem Mindestmaß für den Hamming-Abstand kann im Rahmen des Monitoring-Prinzips ein Nachweis der Güte der Datenübertragung bei einem in einem Standardpaket eingebetteten Sicherheitsdatenpaket, bei dem eine doppelte zyklische Redundanzprüfung durchgeführt wird, erfolgen, indem die Restfehlerrate explizit berechnet wird. According to a further preferred embodiment, the Hamming distance of the safety data generator polynomial for the standard data block differs from the Hamming distance of the safety data generator polynomial for the data block whose length is at least the value r shorter than the length of the standard data block by at least the
Die Erfindung wird anhand der beigefügten Zeichnungen näher erläutert. The invention will be explained in more detail with reference to the accompanying drawings.
Mit Bussystemen lassen sich auf einfache Weise Daten und Ressourcen zwischen Kommunikationsteilnehmern zum Steuern und Überwachen von technischen und/oder geschäftlichen Prozessen austauschen und gemeinsam nutzen. Die Erfindung wird im Folgenden für ein Bussystem zum Einsatz in der Industrieautomation beschrieben. Der am weitesten verbreitete Kommunikationsstandard in lokal begrenzten Bussystemen ist das Ethernet-Konzept, bei dem Datenpakete in einem vorgegebenen Format, dem sogenannten Ethernet-Paketformat, zwischen den Kommunikationsteilnehmern, die über ein gemeinsames Übertragungsmedium miteinander verbunden sind, ausgetauscht werden können. Das Ethernet besteht dabei aus drei Bereichen, der Hardware, d. h. dem Übertragungsmedium und den Netzwerkschnittstellen der Kommunikationsteilnehmer, der Menge von Protokollen, die den Zugriff über das Übertragungsmedium steuern und dem Ethernet-Paketformat. Die Kommunikationsteilnehmer können dabei mit einer beliebigen Netzwerktopologie, z. B. als Ring-, Stern-, Linien-, oder Baumtopologie miteinander verbunden sein. With bus systems, data and resources between communication participants for controlling and monitoring technical and / or business processes can be easily exchanged and shared. The invention will be described below for a bus system for use in industrial automation. The most widespread communication standard in locally limited bus systems is the Ethernet concept, in which data packets in a predetermined format, the so-called Ethernet packet format, can be exchanged between the communication users who are connected to one another via a common transmission medium. The Ethernet consists of three sections: the hardware, ie the transmission medium and the network interfaces of the communication nodes, the set of protocols that control access via the transmission medium and the Ethernet packet format. The communication participants can do this with any Network topology, e.g. B. as ring, star, line, or tree topology connected to each other.
Zentrale Anforderungen an Bussysteme, insbesondere beim Einsatz in der Industrieautomation, d. h. zum Steuern und Überwachen von technischen Prozessen, ist eine sichere und zuverlässige Datenübertragung. Um Gefahr für Mensch und Umwelt auszuräumen, muss bei Bussystemen im Automatisierungsbereich, sogenannten Feldbussystemen, sichergestellt werden, dass die Nutzdaten zwischen den Kommunikationsteilnehmern, d. h. den Sensoren und Aktoren des Automatisierungssystems fehlerfrei übertragen werden oder alternativ Fehler bei der Datenübertragung zuverlässig erkannt werden. In den Feldbussystemen sind deshalb sogenannte Safety-Maßnahmen implementiert, um insbesondere zufällige Fehler bei der Datenübertragung aufzudecken. Central requirements for bus systems, in particular for use in industrial automation, d. H. to control and monitor technical processes, is a secure and reliable data transmission. In order to eliminate danger to people and the environment, it must be ensured in bus systems in the automation area, so-called fieldbus systems, that the user data between the communication users, ie. H. the sensors and actuators of the automation system are transmitted error-free or alternatively errors in the data transmission can be reliably detected. Therefore, so-called safety measures are implemented in the fieldbus systems, in particular to uncover random errors in the data transmission.
Die bevorzugte Safety-Maßnahme zur Fehleraufdeckung ist dabei die zyklische Redundanzprüfung, auch als CRC(cyclic redundancy check)-Verfahren bekannt. Bei der zyklischen Redundanzprüfung wird vor der Datenübertragung für den Datenblock des Datenpakets eine Prüfzeichenfolge berechnet, im Weiteren auch als FCS(frame check sequence)-Folge bezeichnet. Bei der Berechnung der Prüfzeichenfolge mit dem CRC-Verfahren wird so vorgegangen, dass die zu übertragende Bitfolge durch ein vorher festgelegtes Generatorpolynom entsprechend der Modulo-2-Arithmetik geteilt wird. Der beim Teilvorgang verbleibende Rest stellt dann die Prüfzeichenfolge dar, die an den Datenblock angehängt und mit übertragen wird. Die Anzahl der Stellen der Prüfzeichenfolge entspricht dabei dem Grad des eingesetzten Generatorpolynoms. The preferred safety measure for fault detection is the cyclic redundancy check, also known as CRC (cyclic redundancy check) method. In the cyclic redundancy check, a check string is calculated before the data transmission for the data block of the data packet, hereinafter also referred to as FCS (frame check sequence) sequence. In the calculation of the test string with the CRC method, the procedure is such that the bit sequence to be transmitted is divided by a predetermined generator polynomial according to the modulo-2 arithmetic. The remainder remaining in the sub-process then represents the check-string which is appended to the data block and transmitted along with it. The number of digits of the test string corresponds to the degree of generator polynomial used.
Das CRC-Verfahren lässt sich sowohl in Hard- als auch in Software realisieren. Die Implementierung kann dabei hardwaremäßig mit einem Schieberegister erfolgen, dessen Länge der FCS-Folge entspricht. Alternativ kann das CRC-Verfahren auch softwaremäßig in Form einer Tabelle realisiert werden, in der für ein vorgegebenes Generatorpolynom Zwischenergebnisse enthalten sind.The CRC process can be implemented in both hardware and software. The implementation can be done in hardware with a shift register whose length corresponds to the FCS sequence. Alternatively, the CRC method can also be implemented in software in the form of a table in which intermediate results are contained for a given generator polynomial.
Nach der Datenpaketübertragung errechnet der Empfänger dann ebenfalls die Prüfzeichenfolge des übertragenen Datenpakets und vergleicht sie mit der mit gesendeten FCS-Folge. Der Empfänger benutzt dabei dasselbe Generatorpolynom wie der Sender. Mathematisch äquivalent ist ein Verfahren, bei dem die gesamte Datenfolge des übertragenen Datenpakets durch das Generatorpolynom mit der Modulo-2-Arithmetik geteilt wird. Ist der Rest der Division 0, ist bei der Übertragung kein Fehler aufgetreten oder es liegt ein unerkannter Fehler vor. Verbleibt ein Rest, wird das übertragene Datenpaket vom Empfänger als verfälscht verworfen. Je nach Anwendungsgebiet kann im Fehlerfall dann auf das nächste korrekt klassifizierte Datenpaket gewartet oder es können Ersatzwerte genutzt werden. Alternativ besteht auch die Möglichkeit, dass beim Erkennen einer Verfälschung eine Sicherheitsreaktion stattfindet. Automatisierungssysteme arbeiten in der Regel nach dem sogenannten Fail-Safe-Prinzip, gemäß dem das Automatisierungssystem bei Ausfall eines Datenpakets, das zum Ausführen einer sicherheitsrelevanten Steuerungsfunktion erforderlich ist, in den sicheren Zustand übergeht. After the data packet transmission, the receiver then also calculates the check string of the transmitted data packet and compares it with the transmitted FCS sequence. The receiver uses the same generator polynomial as the transmitter. Mathematically equivalent is a method in which the entire data sequence of the transmitted data packet is divided by the generator polynomial with modulo-2 arithmetic. If the remainder of the division is 0, no error has occurred during the transfer or there is an undetected error. If a remainder remains, the transmitted data packet is discarded by the receiver as being corrupted. Depending on the field of application, in the event of an error then the next correctly classified data packet can be waited for or substitute values can be used. Alternatively, there is also the possibility that a security reaction takes place when a falsification is detected. Automation systems generally work according to the so-called fail-safe principle, according to which the automation system transitions to the safe state in the event of the failure of a data packet that is required to execute a safety-relevant control function.
Beim Einsatz von Bussystemen in der Automatisierungstechnik, insbesondere zum Steuern und Überwachen sicherheitsrelevanter Funktionen, ist in der Regel ein Nachweis der Sicherheit gegenüber Verfälschungen erforderlich. Der Sicherheitsnachweis wird insbesondere von unabhängigen Zertifizierern wie dem TÜV oder dem IFA gefordert.When bus systems are used in automation technology, in particular for controlling and monitoring safety-relevant functions, as a rule proof of the security against falsification is required. The safety proof is required in particular by independent certifiers such as the TÜV or the IFA.
Das Monitoring-Prinzip geht von der Annahme aus, dass ein konstantes Verhältnis zwischen der Rate der unerkannten Verfälschungen und der Rate der erkannten Verfälschungen beim Durchführen der zyklischen Redundanzprüfung besteht. Gemäß dem Monitoring-Prinzip wird deshalb bezogen auf ein vorgegebenes Zeitintervall die Anzahl der erkannten Verfälschungen ermittelt und daraus dann auf die Anzahl der als gefährlich betrachteten unerkannten Verfälschungen geschlossen. The monitoring principle is based on the assumption that there is a constant relationship between the rate of unrecognized falsifications and the rate of detected falsifications when performing the cyclic redundancy check. According to the monitoring principle, the number of detected distortions is therefore determined based on a predetermined time interval and then deduced therefrom on the number of unrecognized distortions regarded as dangerous.
Zur Zertifizierung des Bussystems zum Steuern und Überwachen sicherheitsrelevanter Steuerfunktionen in einem Automatisierungssystem wird bei Verwendung des Monitoring-Prinzips die maximal zulässige Anzahl der erkannten Verfälschungen bei der Datenübertragung pro Zeiteinheit festgelegt, wodurch aufgrund des konstanten Ratenverhältnisses zugleich auch die maximal zulässige Anzahl der unerkannten Verfälschungen vorgegeben ist. Ein Sicherheitsnachweis gemäß dem Monitoring-Prinzip hat den Vorteil, dass dieser nicht von der Datenübertragungsrate abhängt. Außerdem ist die Unabhängigkeit von der Güte einer unterlagerten Datenkommunikation gegeben. For certification of the bus system for controlling and monitoring safety-related control functions in an automation system, the maximum permissible number of detected distortions in the data transmission per unit time is determined when using the monitoring principle, which is given due to the constant rate ratio at the same time the maximum allowable number of unrecognized falsifications , A safety certificate according to the monitoring principle has the advantage that it does not depend on the data transmission rate. In addition, the independence of the quality of a subordinate data communication is given.
Ein Sicherheitsnachweis nach dem Monitoring-Prinzip ist jedoch für eine Datenübertragung, bei der die Sicherheitsdaten mit Hilfe von Standarddatenpaketen übertragen werden, nicht möglich. Eine solche Übertragung von Sicherheitsdaten eingebettet in einem Standarddatenpaket hat den Vorteil, dass nur in den Kommunikationsteilnehmern selbst eine Sicherheitsschicht vorgesehen sein muss, das Bussystem als solches jedoch kein spezielles kostenaufwändiges Sicherheitsprotokoll einsetzen muss. Die Datenübertragung zwischen den Kommunikationsteilnehmern erfolgt mit Hilfe eines Standardprotokolls. Es ist bei einer solchen Vorgehensweise auch nicht erforderlich, spezielle Sicherheitsmaßnahmen auf der Übertragungsstrecke auszuführen. However, a safety case according to the monitoring principle is not possible for a data transmission in which the safety data is transmitted using standard data packets. Such a transmission of security data embedded in a standard data packet has the advantage that only in the communication participants themselves a security layer must be provided, the bus system as such, however, does not have to use a special costly security protocol. The data transmission between the communication participants takes place with the aid of a standard protocol. It is also not necessary in such an approach to perform special security measures on the transmission link.
Sowohl das Sicherheitsdatenpaket als auch das Standarddatenpaket mit dem eingebetteten Sicherheitsdatenpaket durchlaufen vor der Übertragung eine eigenständige zyklische Redundanzprüfung, die vollständig voneinander getrennt abläuft. Aufgrund der Abschottung der zyklischen Redundanzprüfung des Sicherheitsdatenpakets und der zyklischen Redundanzprüfung des Standarddatenpakets mit dem eingebetteten Sicherheitsdatenpaket lässt sich aber nicht ausschließen, dass beide zyklischen Redundanzprüfungen mit demselben Generatorpolynom ausgeführt werden. In diesem Fall kann die CRC-Prüfung des Standarddatenpakets nur dann eine Verfälschung aufdecken, wenn die Standardbestandteile im Standarddatenpaket vom Fehlermuster betroffen sind oder das Fehlermuster nur der Sicherheitspaketbestandteile nicht durch das Generatorpolynom teilbar ist. Both the safety data packet and the standard data packet with the embedded safety data packet undergo a separate cyclic redundancy check before transmission, which runs completely separate from one another. Due to the foreclosure of the cyclic redundancy check of the safety data packet and the cyclic redundancy check of the standard data packet with the embedded safety data packet, however, it can not be ruled out that both cyclic redundancy checks are performed with the same generator polynomial. In this case, the CRC check of the standard data packet can only detect an adulteration if the standard components in the standard data packet are affected by the error pattern or the error pattern of only the security package components is not divisible by the generator polynomial.
Um das Problem beim Sicherheitsnachweis mit dem Monitoring-Prinzip für eine Datenübertragung, bei der Sicherheitsdaten protokollunabhängig mit Hilfe von Standarddatenpaketen übertragen werden, zu lösen, wird erfindungsgemäß beim Ermitteln einer Sicherheitsdatenblock-Prüfzeichenfolge der Länge r mit Hilfe der zyklischen Redundanzprüfung ein Generatorpolynom verwendet, dessen Hamming-Abstand sich für einen Datenblock, dessen Länge um mindestens den Wert r größer ist, unterscheidet. Mit diesem speziellen Generatorpolynom wird gewährleistet, dass es letztendlich zu einer ausreichend geringen Rate von unentdeckten Verfälschungen (Restfehlerrate) kommt, auch wenn ein identisches Generatorpolynom zur Ermittlung der Sicherheitsdatenblock-Prüfzeichenfolge aus den Sicherheitsdaten und zur anschließenden Berechnung der Standarddatenblock-Prüfzeichenfolge aus dem Standarddatenblock mit eingebettetem Sicherheitsdatenpaket eingesetzt wird. In order to solve the problem of proof of safety with the monitoring principle for a data transmission in which security data are transmitted independently of protocol with the aid of standard data packets, a generator polynomial whose Hamming is used according to the invention when determining a security data block check string of length r using the cyclic redundancy check Distance differs for a data block whose length is greater by at least the value r. This particular generator polynomial ensures that there will eventually be a sufficiently low rate of undetected corruption (residual error rate) even if an identical generator polynomial is used to obtain the safety data block check string from the safety data and then calculate the standard data block check string from the standard data block with embedded data Safety data packet is used.
Der Hamming-Abstand gibt die Anzahl von Stellen in einem Datenblock an, die mindestens verfälscht sein müssen, damit ein verfälschter Datensatz existieren kann, der nicht als fehlerhaft erkannt wird. Durch Wahl eines Generatorpolynoms, dessen Hamming-Abstand bei einem um r Bits längeren Datensatz (worst case) viel geringer ist, wird dafür gesorgt, dass das Aufdeckverhalten in Bezug auf Verfälschungen sich unterscheidet, wenn mit demselben Generatorpolynom das CRC-Verfahren sowohl für die Sicherheitsdaten als auch für die Standarddaten mit eingebetteten Sicherheitsdatenpaket durchgeführt wird. Durch die erfindungsgemäße Vorgabe, dass der Hamming-Abstand des Generatorpolynoms genau innerhalb der Längendifferenz von r Bits ausreichend kleiner wird, wird dafür gesorgt, dass dann, wenn mit demselben Generatorpolynom anschließend das CRC-Verfahren für die Standarddaten mit eingebettetem Sicherheitsdatenblock durchgeführt wird, sich eine hohe Aufdeckungsrate der Verfälschungen des Sicherheitsdatensatzes ergeben.The Hamming distance specifies the number of digits in a data block that must be at least corrupted in order for a corrupted data set to exist that is not recognized as faulty. By choosing a generator polynomial whose Hamming distance is much lower for a worst case set by r bits, it is ensured that the detection behavior with respect to corruptions differs when using the same generator polynomial the CRC method for both the safety data as well as for the standard data with embedded safety data packet. The inventive provision that the Hamming distance of the generator polynomial becomes sufficiently smaller exactly within the length difference of r bits ensures that when the CRC method for the standard data with embedded security data block is subsequently performed with the same generator polynomial, a high detection rate of the falsification of the security record.
Erfindungsgemäß ist es deshalb möglich, für die beiden bei der Datenübertragung verwendeten zyklischen Redundanzverfahren CRC-Verfahren einzusetzen. Es kann somit auf zusätzliche zeitraubende Sicherheitsmaßnahmen, die darüber hinaus zusätzliche Hard- und Software nötig machen, verzichtet werden. Um für einen sicheren Unterschied in der Aufdeckwahrscheinlichkeit beim Einsatz desselben Generatorpolynoms für das Sicherheitsdatenpaket und das Standarddatenpaket mit eingebettetem Sicherheitsdatenpaket zu sorgen, unterscheidet sich der Hamming-Abstand des Sicherheitsdaten-Generatorpolynoms für einen Datenblock gegenüber einem Datenblock, dessen Länge um den Wert r kürzer ist, um wenigstens den Wert 2. Um darüber hinaus zu erreichen, dass die Aufdeckwahrscheinlichkeit für Verfälschungen der Sicherheitsdaten ausreichend groß ist, wird der Hamming-Abstand des Sicherheitsdaten-Generatorpolynoms für den Sicherheitsdatenblock größer als der Hamming-Abstand für den um den Wert mindestens r längeren Standard-Datenblock gewählt. According to the invention, it is therefore possible to use CRC methods for the two cyclic redundancy methods used in data transmission. It can thus be dispensed with additional time-consuming security measures, which also make additional hardware and software necessary. In order to provide a safe difference in the probability of detection when using the same security data packet generator polynomial and the standard safety data packet embedded data packet, the Hamming distance of the safety data generator polynomial differs for one data block from a data block whose length is shorter by the value r. by at least the
Die Datenübertragungsschicht bildet dann ein Standarddatenpaket mit dem Standarddatenblock angehängten Standarddatenblock-Prüfzeichenfolge und überträgt diese über die Datenübertragungsstrecke zum Empfänger. Im Empfänger werden in umgekehrter Reihenfolge wiederum zwei CRC-Prüfungen durchgeführt. In der Datenübertragungsschicht des Empfängers wird die Standarddatenblock-Prüfzeichenfolge des übertragenen Datenpakets mit Hilfe einer dritten zyklischen Redundanzprüfung des übertragenen Standarddatenpakets unter Verwendung des Standarddaten-Generatorpolynoms verifiziert. Anschließend wird dann in der Sicherheitsschicht des Empfängers eine weitere Verifizierung der Standarddatenblock-Prüfzeichenfolge des im übertragenen Datenpaket eingebetteten Sicherheitsdatenpakets mit Hilfe einer vierten zyklischen Redundanzprüfung unter Verwendung des Sicherheitsdaten-Generatorpolynoms vorgenommen. Falls beide Überprüfungen zu einem positiven Ergebnis führen, können die Sicherheitsdaten verwendet werden. Andernfalls werden sie verworfen. Der Empfänger wartet dann auf ein weiteres Datenpaket, verwendet Ersatzdaten oder führt sofort Sicherheitsmaßnahmen durch. Zum Sicherheitsnachweis der Datenübertragung werden im Empfänger ferner die Rate der im Rahmen der zyklischen Redundanzprüfung erkannten Verfälschungen ausgewertet. Das erfindungsgemäße Datenübertragungsverfahren verwendet also Standard-CRC-Verfahren, die zu keinem zusätzlichen Hard- und Softwareaufwand führen.The data transmission layer then forms a standard data packet with the standard data block appended standard data block check string and transmits this over the data transmission link to the receiver. In the receiver, two CRC checks are performed in reverse order. In the data transmission layer of the receiver, the standard data block check string of the transmitted data packet is verified by means of a third cyclic redundancy check of the transmitted standard data packet using the standard data generator polynomial. Subsequently, a further verification of the standard data block check string of the security data packet embedded in the transmitted data packet is then carried out in the security layer of the receiver with the aid of a fourth cyclic redundancy check using the security data generator polynomial. If both checks result in a positive result, the safety data can be used. Otherwise they will be discarded. The receiver then waits for another data packet, uses replacement data or takes immediate security measures. In order to prove the safety of the data transmission, the rate of the distortions detected during the cyclic redundancy check is also evaluated in the receiver. The data transmission method according to the invention thus uses standard CRC methods which do not lead to any additional hardware and software outlay.
Claims (10)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102013204371.6A DE102013204371B4 (en) | 2013-03-13 | 2013-03-13 | Method and bus system for protocol-independent transmission of standard data packets with security data |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102013204371.6A DE102013204371B4 (en) | 2013-03-13 | 2013-03-13 | Method and bus system for protocol-independent transmission of standard data packets with security data |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| DE102013204371A1 DE102013204371A1 (en) | 2014-09-18 |
| DE102013204371B4 true DE102013204371B4 (en) | 2016-12-08 |
Family
ID=51418742
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE102013204371.6A Active DE102013204371B4 (en) | 2013-03-13 | 2013-03-13 | Method and bus system for protocol-independent transmission of standard data packets with security data |
Country Status (1)
| Country | Link |
|---|---|
| DE (1) | DE102013204371B4 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3876053A1 (en) * | 2020-03-04 | 2021-09-08 | Siemens Aktiengesellschaft | Method for uncovering addressing errors and field device |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1710940A1 (en) * | 2005-04-06 | 2006-10-11 | Siemens Aktiengesellschaft | Detection of errors during the transmission of data |
-
2013
- 2013-03-13 DE DE102013204371.6A patent/DE102013204371B4/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1710940A1 (en) * | 2005-04-06 | 2006-10-11 | Siemens Aktiengesellschaft | Detection of errors during the transmission of data |
Non-Patent Citations (1)
| Title |
|---|
| KOOPMAN, P.: 32-Bit Cyclic Redundancy Codes for Internet Applications. Institute for Software Research, 2002. URL: http://repository.cmu.edu/isr/672 [abgerufen am 29.11.2013] * |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102013204371A1 (en) | 2014-09-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1352326B1 (en) | Method and device for monitoring a data processing and transmission | |
| EP1789857B1 (en) | Data transfer method and automation system used in said data transfer method | |
| EP2160857B1 (en) | Checking method and electronic circuit for the secure serial transmission of data | |
| EP1631014B1 (en) | Method and device for coupling critical processes to a bus | |
| EP3501154A1 (en) | Provision of secure communication in a communications network capable of operating in real time | |
| EP3977682A1 (en) | Error detection test device for a subscriber station of a serial bus system, and method for testing mechanisms for detecting errors in a communication in a serial bus system | |
| EP2145430B1 (en) | Method and system for the secure transmission of process data to be cyclically transmitted | |
| DE102014111361A1 (en) | Method for operating a safety control and automation network with such a safety control | |
| WO2017137326A1 (en) | Method and device for monitoring data processing and transmission in a security chain of a security system | |
| EP1985070B1 (en) | Method and apparatus for bus coupling of safety-relevant processes | |
| WO2015161871A1 (en) | Method and device for diagnosing transmission interferences in a network according to the opc ua standard | |
| DE10065907A1 (en) | Secure data transport method using parallel or serial network or bus system by copying contents of intermediate register to allow error removal with redundant microprocessors | |
| DE102013020522A1 (en) | Communication system, test device and device for testing fault-detecting security mechanisms of a communication subscriber | |
| DE10305415B4 (en) | Method and device for media-redundant operation of a terminal in a network | |
| DE102013204371B4 (en) | Method and bus system for protocol-independent transmission of standard data packets with security data | |
| EP3550748B1 (en) | Method for detecting data falsification in a data transfer over error-proof communication link | |
| DE102004044764B4 (en) | Data transmission method and automation system for using such a data transmission method | |
| EP1064590A1 (en) | Shortened data message of an automation system | |
| EP1596517B1 (en) | Method of transmission of redundantly provided data over a single channel | |
| EP0977395A1 (en) | Method of secure monochannel transfer of data between nodes of a network, computer network and computer nodes | |
| EP1738262B1 (en) | Method and control system for recognising an error when processing data in a processing system | |
| WO2010026011A1 (en) | Method for the operation of a process automation device | |
| EP1443696A1 (en) | Method and apparatus for monitoring a packet error rate which is measured using control data known at the receiving side | |
| EP1780923A1 (en) | Datagram transmission | |
| DE102021127310B4 (en) | System and method for data transmission |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| R012 | Request for examination validly filed | ||
| R016 | Response to examination communication | ||
| R018 | Grant decision by examination section/examining division | ||
| R020 | Patent grant now final |