© fraunhofer fkie mobil kommunizieren? aber sicher! … von der forschung unmittelbar in die praxis...
Post on 05-Apr-2015
120 Views
Preview:
TRANSCRIPT
© Fraunhofer FKIE
Mobil kommunizieren? Aber sicher!… von der Forschung unmittelbar in die
PraxisProf. Dr. Peter Martini
Institutsleiter Fraunhofer-FKIE
© Fraunhofer FKIE
Fraunhofer-FKIEWachtberg
Institut für Informatik 4, Uni Bonnmit Räumlichkeiten FKIE
Dr. Thorsten Aurisch
Gruppenleiter Fraunhofer-FKIE
© Fraunhofer FKIE
FKIEFraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie
© Fraunhofer FKIE
FKIE
© Fraunhofer FKIE
© Fraunhofer FKIE
IT-Sicherheit
Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie, FKIE
KuratoriumInstitutsleitungsausschuss
Sensordaten- und Informationsfusion
Kommunikations-systeme
Unbemannte Systeme
Informations-technik für
Führungssysteme
Ortung und Navigation
Ergonomie und Mensch-Maschine-
Systeme
Aufklärung und Störung
Interoperabilität verteilter Systeme
Systemtechnik
Bedrohungs-erkennung
Informations-analyse
Weiträumige Überwachung
Software Defined Radio
Architekturen für Führungssysteme
Human Factors
RWTH AachenLehrstuhl und
Institut für Arbeitswissen-
schaft
Prof. Schlick
Prof. Flemisch
Uni BonnLehrstuhl für
Kommunikation und Vernetzte
Systeme
Prof. Martini
Prof. MeierPD Koch
Ergonomie und Mensch-Maschine-
Systeme
Arbeitsorganisation
Fachdidaktik
Ad-Hoc-Netze
Dynamische Netzdienste
InstitutsleitungInstitutsleiter: Prof. Dr. Peter Martini
Stellv. Institutsleiter: Prof. Dr.-Ing. Christopher Schlick
Robuste heterogene Netze
VerwaltungStabsstellen
IT-Management
Cyber Defense
© Fraunhofer FKIE
Sensordaten- und Informations-
fusion
© Fraunhofer FKIE
Uni BonnChair
Communication and
Distributed SystemsProf. Dr.
Peter Martini
Research GroupHead: Dr. Jens Tölle
Deputy Heads: Dr. T. Aurisch, Dr. M. Jahnke, Prof. Dr. Michael Meier
Reactive IT SecurityHead: Dr. Marko
Jahnke
Preventive IT Security Head: Dr. Thorsten
Aurisch
Key Management
Physical Processes for
cryptopgraphic Applications
Communication Server
Intrusion Detection and
Response
Security Information
Event Management
Cyber Situational Awareness
Honeypots
Binary Analysis
Botnets
Malware Analysis and Defense
(Wachtberg)Prof. Dr. Michael
Meier
Bonn Wachtberg
Ad-Hoc Networks
Dynamic Network Services
Malware Analysis and Defense(Bonn)
Head: Dipl.-Inform Elmar Gerhards-
Padilla
Cyber Defense
Beiträge der Forschungsgruppe Cyber Defense
© Fraunhofer FKIE
Cyber Defense – Following the OODA-Loop
Advanced Malware Analysis
CND CommonOperational
Picture
Model-basedImpact
EvaluationTacticalIntrusion Response
Ressource-efficient Applied
Cryptography
CooperativeIntrusionDetection
© Fraunhofer FKIE
Zurück zum Titel des VortragsMobil kommunizieren ? Aber sicher !
© Fraunhofer FKIE
© Fraunhofer FKIE
Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie, FKIE
KuratoriumInstitutsleitungsausschuss
Sensordaten- und Informationsfusion
Kommunikations-systeme
Unbemannte Systeme
Informations-technik für
Führungssysteme
Ortung und Navigation
Ergonomie und Mensch-Maschine-
Systeme
Aufklärung und Störung
Interoperabilität verteilter Systeme
Systemtechnik
Bedrohungs-erkennung
Informations-analyse
Weiträumige Überwachung
Software Defined Radio
Architekturen für Führungssysteme
Human Factors
RWTH AachenLehrstuhl und
Institut für Arbeitswissen-
schaftProf. Dr.-Ing.
Christopher Schlick
Uni BonnLehrstuhl für
Kommunikation und Verteilte
SystemeProf. Dr.
Peter Martini
Ergonomie und Mensch-Maschine-
Systeme
Arbeitsorganisation
Fachdidaktik
IT-Sicherheit
Ad-Hoc-Netze
Dynamische Netzdienste
InstitutsleitungInstitutsleiter: Prof. Dr. Peter Martini
Stellv. Institutsleiter: Prof. Dr.-Ing. Christopher Schlick
Robuste heterogene Netze
VerwaltungStabsstellen
IT-Management
Cyber Defense
© Fraunhofer FKIE © Fraunhofer FKIE
Drahtlos kommunizieren ?
Aber sicher !
© Fraunhofer FKIE
Ein Beitrag im Bereich Sensordatenfusion… Die Dissertation von Felix Govaers (2012)
Adressing:•Time-Delayed Measurements•Fluctuating Connectivity•Track-before-Detect with out-of-sequence data
© Fraunhofer FKIE
Architekturen für Koalitionsnetze SOA zur Informationsverteilung in Koalitionsnetzen Beratung der BW bei der IPv4/IPv6-Migration Management heterogener Netze
Drahtlose taktische Netze Bündelfunk für Einsatzkräfte auf BW Flugplätzen Breitbandvernetzung von Konvois Drahtlose Gefechtsstandvernetzung
Sensor- und Effektornetze Datenlinks für UAV Akustische Unterwassernetze Netze für terrestrische Mehrroboter-Systeme
© Fraunhofer FKIE
Beiträge der Abteilung KOM… Robuste heterogene Netze
© Fraunhofer FKIE
Ein Beitrag im Bereich Cyber Defense… Die Dissertation von Thorsten Aurisch (2007)
© Fraunhofer FKIE
Ein Beitrag im Bereich Cyber Defense… Die Dissertation von Thorsten Aurisch (2007)
© Fraunhofer FKIE
Ein Beitrag im Bereich Cyber Defense… Die Dissertation von Thorsten Aurisch (2007)
© Fraunhofer FKIE
Mobil kommunizieren ? Aber sicher ! Praxisbeispiel QUAKS Bw
© Fraunhofer FKIE
© Fraunhofer FKIE
14
Systemkonzept QUAKS Bw I
Aufbau taktischer Netze durch intelligente Vernetzung verschiedener Fernmeldemittel bzw. Übertragungsmedien
Datenübertragungsdienst für Anwendungen
© Fraunhofer FKIE
15
Systemkonzept QUAKS Bw II
Transparent IP
Integrierte Sprach- und Datenübertragung
Ad-hoc-Vernetzung
QoS-Mechanismen
Multi-Topology-Routing
Scheduling-Mechanismenin der Subnetzanpassung
IT-Sicherheit
© Fraunhofer FKIE
16
IT-Sicherheit im QUAKS Bw
Verfahren zum zuverlässigen Löschen von sicherheitsrelevanten Steuer-, Konfigurationsdaten und elektronischen Schlüsseln
Mechanismus zur Installation von Sicherheitsupdates unter Berücksichtigung des autarken Betriebs des QUAKS Bw
Realisierung eines effizienten Datenübertragungsschutzes für Management- und Nutzdaten
....
Ziel: Zulassung des QUAKS Bw durch das BSI
© Fraunhofer FKIE
17
Datenübertragungsschutz durch IPsec
IP Security (IPsec) ist ein akzeptiertes Sicherheitsprotokoll
Nutzung des IPsec-Sicherheitsprotokolls Encapsulating Security Payload (ESP)
IP Header
DataESPNew IP Header
Aber vorher erhält man den Schlüssel für IPsec?
© Fraunhofer FKIE
18
Schlüsselbereitstellung für IPsec
Geringe Datenübertragungsrate verhindert einen Einsatz der Punkt-zu-Punkt-Schlüsselbereitstellung, z.B. Internet Key Exchange (IKE)
Einsatzumfeld ermöglicht keine zusätzliche Hardware
Bereitstellung eines Gruppenschlüssels
0 5 10 15 20 25 30 35 40 45 500
50
100
150
200
250
300
350
400
450
num
ber of
mes
sage
users
IKE MIKE
© Fraunhofer FKIE
19
Multicast Internet Key Exchange (MIKE)
Effiziente, hoch skalierbare Bereitstellung eines Gruppenschlüssels für Berechtigte
Zwei Betriebsmodi zur Verwaltung eines dynamischen Gruppenschlüssels
Technische Grundlage von MIKE ist der Schlüsselbaum
Key Agreement arbeitet verteilt Key Distribution ist Server-basiert
fehlertolerant effizient
© Fraunhofer FKIE
20
Datenübertragungsschutz im QUAKS Bw
Realisierung eines Datenübertragungsschutzes mit dem IDP-MIKE-System (Softwareeinheit Proaktive Sicherheit)
effizient
selbstkonfigurierend
selbstheilend
skalierbar
Bestandteile des IDP-MIKE-Systems
Multicast Internet Key Exchange (MIKE)
Schnittstelle zu IP Security (IPsec)
IPsec Discovery Protocol (IDP)
© Fraunhofer FKIE
21
IPsec Discovery Protocol (IDP)
Automatisierung der sicheren Vernetzung erfordert Lokalisierung von IPsec-fähigen Komponenten (QUAKS Bw)
Präsensnachrichten zur automatischen Lokalisierung
Signalisierung an das Schlüsselmanagement MIKE
© Fraunhofer FKIE
22
Einsatz-PKI und IDP-MIKE-System
Einsatz-PKI
erstellt, verwaltet Zertifikate
erstellt, verwaltet Widerruflisten (Certificate Revocation List, CRL)
Einsatz-PKI wird vom IDP-MIKE-System benötigt
Zertifikate der Einsatz-PKI dienen zur Authentisierung von Nachrichten
Das IDP-MIKE-System gewährleistet damit, dass nur berechtigte Instanzen kommunizieren
© Fraunhofer FKIE
23
QUAKS Bw im Einsatz – Instanz in eine Gruppe einbinden
© Fraunhofer FKIE
24
Netzverschmelzung durch Herstellung einer (Funk-)Verbindung zwischen Gruppen
Netzaufteilung durch Verbindungsunterbrechung
IT-Sicherheitsmechanismen MERGE und PARTITION zur Verarbeitung von Netzaufteilung bzw. -verschmelzung
QUAKS Bw im Einsatz – dynamisches Netz
TM 2TM 1TM
© Fraunhofer FKIE
25
QUAKS Bw im Einsatz - Anschluss einer Instanz
Fall 1: Ausschluss im autarken Betrieb
Widerruf der Teilnahmeberechtigung
Kein Anschluss an eine IT-Infrastruktur erforderlich
Einfache Rückführung in den Kommunikationsverbund
Fall 2: Permanenter Ausschluss
Widerruf des Zertifikats (Authentizität) durch die Einsatz-PKI
Anschluss an eine IT-Infrastrukturzur Verteilung der Widerrufsinformationnotwendig
© Fraunhofer FKIE
26
Projektübersicht QUAKS Bw
QUAKS Bw = querschnittlicher Anteil KommServer Bw
Auftragnehmer: ATM ComputerSysteme GmbH
Entwicklungszeitraum: 01.04.2012 – 31.10.2014
UAN:
Fraunhofer FKIE
IABG, IDAS, KMW, Telefunken RACOMS
Mitwirkung des Auftraggebers IT-Amts C4
Durchführung von EUT-Arbeit
Projektbegleitende Tests und Verifikationen bei WTD 81
Integrierte Nachweisführung im einsatznahen Umfeld beim StabFeldversuch
© Fraunhofer FKIE
27
Weitere FKIE-Leistungsanteile
Konzept Quality-of-Service
Festlegung von Verkehrsklassen und deren Markierung
Multi-Topology-Routing
Abbildung der Verkehrsklassen aufLayer-2-Scheduling-Mechanismen
Call Manager
Verteilter Verbindungsauf- und Abbau-Mechanismus für digitale Sprachverbindungen auf Basis von SIP
Nutzerregistrierung
Adressauflösung
TCPUDP
Spezialisierte Transportprotokolle
OLSR
IPv4 / IPv6
OSPF
DiffServ
Cross
Layer
Subnet Access
QUAKS QoS Klassen
QUAKS QoS Klassen
Multi-Topology Routing
Multi-Topology Routing
QoS L2 Mapping /
Scheduling
QoS L2 Mapping /
Scheduling
© Fraunhofer FKIE
28
Zusammenfassung
Lösungen im Themenbereich „ Mobil kommunizieren, aber sicher“ werden in verschiedenen Abteilungen des FKIE erarbeitet
Detaillierte Vorstellung des Praxisbeispiels QUAKS Bw
Realisierung eines Datenübertragungsschutzes mit dem IDP-MIKE-System
Ablauf der IT-Sicherheitsmechanismen bei Netzaufteilung, bzw. Netzverschmelzung
Call Manager und Konzept QoS sind weitere FKIE-Beiträge zum QUAKS Bw
© Fraunhofer FKIE © Fraunhofer FKIE
VIELEN DANK für Ihre Aufmerksamkeit
© Fraunhofer FKIE
… Networking© Fraunhofer FKIE
© Fraunhofer FKIE
7th Future SecurityBonn, Sep. 4th – 6th 2012
top related