Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

172 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 171 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 5.4.4.1.2 Fehlertoleranz beim RING-Netz Beim RING-Netz ist die Serieneigenschaft sofort ersichtlich: alle Leitungen und Stationen müssen funktionieren, damit Kommunikation zwischen zwei Stationen in beiden „Richtungen“ möglich ist. Durch das beschriebene Zusammenspiel von ringförmiger Übertragungstopologie, digitaler Signalregenerierung und Verfahren zum anonymen Mehrfachzugriff, um innerhalb des Kommunikationsnetzes Anonymität und Unverkettbarkeit zu schaffen (vgl. §5.4.9), sind spezielle Fehlertoleranz- Maßnahmen erforderlich, die dieses Zusammenspiel nicht (zu sehr) stören. Das Folgende konzentriert sich auf die Schichten 0, 1 und 2 des ISO OSI Referenzmodells, vgl. Bild 5-40 in §5.4.9. Angreiferstation Angreiferstation Station 1 Station 2 e1 a1 e2 a2 1 2 leer leer oder I. 1 I. 1 I. 1 Transiente Fehler des Zugriffsverfahrens (Schicht 2) können durch die bei Ringen mit umlaufenden Übertragungsrahmen oder umlaufendem Senderecht jeweils üblichen Verfahren zum Neustart des Zugriffsverfahrens toleriert werden. Permanente Fehler des Zugriffsverfahrens (Schicht 2) implizieren, daß mindestens eine Station im RING-Netz fehlerhaft ist. Diese Station muß (und kann) mit den im folgenden geschilderten Verfahren solange ausgegliedert werden, bis sie repariert ist. I. 1 oder leer oder I. 2 I. 2 I. 2 I. 2 oder leer oder I. 3 Z e i t I. 3 Transiente Fehler im Übertragungssystem des Rings (d.h. auf den Schichten 0 oder 1) betreffen entweder nur den Nutzinhalt übertragener Informationseinheiten oder auch das Zugriffsverfahren (Schicht 2). Ersterer Fehlertyp ist einfach und wird durch das Ende-zu-Ende-Protokoll erkannt und behoben. Schwierig sind diejenigen transienten Fehler, die das Zugriffsverfahren betreffen, z.B. bei einem Ring mit umlaufendem Senderecht das Senderechtszeichen zerstören. Dieser und ähnliche Fehler können bei Ringen mit umlaufenden Übertragungsrahmen oder umlaufendem Senderecht mit den jeweils üblichen Verfahren zum Neustart toleriert werden. Zwei zusätzliche Ideen sind bei der Fehlertoleranz des Zugriffsverfahrens (Schicht 2) wichtig: 1. Um transiente Fehler der zweiten Art auf den Schichten 0 oder 1 (siehe oben) tolerieren zu können, führt man bewußt Indeterminismus ein (indeterministische Protokolle, siehe [Mann_85 Seite 89ff]). Dadurch kann in dem deterministischen Angreifermodell (der Angreifer muß deterministisch schließen können, welche Station gesendet bzw. empfangen hat) kein Angreifer sichere Rückschlüsse ziehen. Da es bisher kein befriedigendes formales statistisches Angreifermodell gibt (darin gibt sich ein Angreifer zufrieden, wenn er den Sender bzw. Empfänger mit z.B. der Wahrscheinlichkeit 0,9 kennt, vgl. auch [Höck_85 Seite 60ff]), kann die Auswirkung des Indeterminismus nicht quantifiziert werden. 2. Eine andere Art der Fehlertoleranz basiert auf der Idee, einigen wenigen, ausgezeichneten Stationen keine Anonymität zu garantieren, etwa Protokollumsetzern in einem hierarchischen Kommunikationsnetz. Diese Stationen können nach anderen Protokollen arbeiten als die Stationen von Netzteilnehmern und dadurch gezielt Fehler tolerieren [Mann_85 Seite 99ff]. Daher spricht man von asymmetrischen Protokollen. Diese sind leichter zu implementieren und sehr viel leistungsfähiger, schwächen jedoch die Anonymität der Netzteilnehmer ab. Ist das einfache Zugriffsverfahren n-anonym, so sind die modifizierten asymmetrischen Protokolle häufig nur noch (n+1)- oder gar nur (n+2)-anonym. Permanente Fehler im Übertragungssystem des Rings (d.h. auf den Schichten 0 oder 1) führen immer zu einer Ringrekonfigurierung mit Neustart (Synchronisation,...) des Verfahrens zum anonymen Mehrfachzugriff (Schicht 2). Da die zu tolerierenden Fehler auf den Schichten 0 (medium) und 1 (physical) angesiedelt sind, sind Fehler leicht zu erkennen und zu lokalisieren (Zeitschranken, Selbsttest sowie Fremdtest durch mehrere Instanzen, damit ein Angreifer, der wenige Stationen kontrolliert, nicht andere Stationen beliebig an- und abschalten kann, u.ä.). Problematisch ist die Fehlerbehebung, da für jede nachgewiesen werden muß, daß die Anonymität nicht verletzt wird. Ziel jeder Fehlerbehebung muß es sein, aus den fehlerfreien Stationen und Leitungen einen Ring (und nicht etwa eine I. n I. n oder leer leer Alternativen: 123 n+1 Effiziente Ringzugriffsverfahren (token, slotted) reichen ein zeitlich unbefristetes Senderecht von Station zu Station weiter. Wenn ein Angreifer 2 Stationen umzingelt hat, die nach Erhalt des Senderechts insgesamt n Informationseinheiten (I.) senden und dann das Senderecht weiterreichen, gibt es n+1 Alternativen, welche Station welche Informationseinheit gesendet haben kann. Für jede Informationseinheit gibt es mindestens eine Alternative, bei der Station i (i=1, 2) die Informationseinheit sendet. n+g-1 Das Beispiel kann auf g umzingelte Stationen verallgemeinert werden. Es gibt ( n ) Alternativen und zumindest eine Alternative für jede Informationseinheit, bei der Station i (i=1, 2, ...,g) die Informationseinheit sendet. Bild 5-8: Ein anonymes Zugriffsverfahren für RING-Netze garantiert: ein Angreifer, der eine Folge von Stationen umzingelt hat, kann nicht entscheiden, welche was sendet. Um die Unsicherheit des Angreifers bezüglich des tatsächlichen Ablaufs zu beweisen, werden für jeden Ablauf, in dem eine Informationseinheit gesendet wird, alternative Abläufe konstruiert. Diese alternativen Abläufe sind in Bild 5-8 dargestellt. Damit ist der Ring mit diesen Ringzugriffsverfahren als 2-anonym bewiesen. Der in [HöPf_85, Höck_85] enthaltene formale Beweis auf Bitübertragungsebene entspricht völlig dem dargestellten Beweis auf Informationseinheitenebene. Diese Beweise gelten natürlich nur für einen Angreifer, der nicht den Sender der Informationseinheiten kennt, die im alternativen Ablauf von einer anderen Station gesendet werden müssen. Diese Kenntnis könnte der Angreifer etwa dadurch erhalten, daß er selbst Empfänger einer solchen Informationseinheit ist und sich der Absender in der Informationseinheit zu erkennen gibt. Dies wird hier nicht modelliert, da es sich gemäß §5.4.9 um Einschränkungen möglicher Alternativen auf Schicht 2 durch höhere Schichten handelt.
174 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 173 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Si+1 . Si+1 vereint die beiden (verzahnten) Datenströme wieder (Bild 5-9, unten rechts). Dies ist einer Rekonfigurierung des inneren Rings (Bild 5-9, unten links) vorzuziehen, da auf diese Weise ggf. noch Ausfälle von inneren Leitungen und Stationen toleriert werden können. „Acht“, d.h. zwei durch eine Station verbundene Ringe etc.) zu rekonfigurieren, der alle fehlerfreien Stationen umfaßt. S i+1 Si+1 L i-1 → i+1 L i-1 → i+1 L i → i+1 S S i-1 i L i-1 → i Rekonfiguration des äußeren Rings bei Ausfall einer Station L i → i+1 S S i-1 i L i-1 → i Betrieb zweier Ringe sofern keine Ausfälle Die einfachste und am wenigsten aufwendige Art der Ringrekonfigurierung ist die Verwendung einer By-Pass-Einrichtung (bypass) an jeder Station. Diese By-Pass-Einrichtung schließt den Ring physisch, wenn die Station bemerkt, daß sie fehlerhaft ist, ausgeschaltet wird oder ihre Versorgungsspannung ausfällt. Allerdings kann mit diesem Verfahren natürlich der Ausfall einer Leitung genausowenig toleriert werden wie Fehler von Stationen, die diese nicht selbst diagnostizieren können. Kann nur die Station selbst ihre By-Pass-Einrichtung schließen, so hat deren Einrichtung keine tieferen problematischen Wechselwirkungen mit der Anonymität oder Unbeobachtbarkeit des RING-Netzes. Ein Angreifer kann natürlich insbesondere das Schließen der By-Pass-Einrichtung angrenzender, von ihm nicht kontrollierter Stationen beobachten, da sich dann analoge Charakteristika seines Eingangssignals ändern (vgl. das in §5.4.4 über digitale Signalregenerierung Gesagte). Dann weiß er, daß jetzt eine kleinere Gruppe von Teilnehmerstationen umzingelt ist, wodurch er entsprechend mehr Information über das Senden dieser Teilnehmer erhält. Kann ein Angreifer aber nur viele Teilnehmerstationen gleichzeitig umzingeln und sind an diesen Teilnehmerstationen jeweils nur wenige By-Pass-Einrichtungen geschlossen, so ist dies nicht schlimm. Die Verwendung von Ring-Verkabelungs-Konzentratoren, d.h. von By-Pass-Einrichtungen, die nicht bei der Teilnehmerstation gelegen sind und auch nicht von ihr kontrolliert werden [BCKK_83, KeMM_83], ist mit den in §5.4.4.1 erläuterten Zielen des RING-Netzes unverträglich. Denn Ring- Verkabelungs-Konzentratoren wären ideale Beobachtungspunkte für einen Angreifer, da sie die vollständige Beobachtung aller angeschlossenen Stationen durch Beobachtung dieses einen Gerätes erlauben. S i+1 S i+1 L i-1 → i+1 L i-1 → i+1 L i → i+1 L i → i+1 S i L i-1 → i S i-1 Rekonfiguration des äußeren Rings bei Ausfall einer äußeren Leitung S S i-1 i L i-1 → i Rekonfiguration des inneren Rings bei Ausfall einer äußeren Leitung Eine ebenfalls einfache, aber bereits aufwendige Art der Ringrekonfigurierung ist die Verwendung mehrerer paralleler Ringe (statisch erzeugte Redundanz). Fällt eine Leitung eines Ringes aus, so wird ein anderer, noch intakter Ring verwendet (dynamisch aktivierte Redundanz). Dies erlaubt, solange noch mehr als ein Ring intakt ist, einen größeren Durchsatz als das Senden jeder Informationseinheit auf allen Ringen gleichzeitig (statisch aktivierte Redundanz). Allerdings muß dann, sofern kein Ring mehr als Ganzes intakt ist, entweder die Zuordnung von Leitungen zu Ringen gewechselt oder doch auf allen Ringen gleichzeitig dasselbe gesendet werden. Allerdings kann natürlich auch mit diesem Verfahren ein Fehler einer Station, den diese nicht bemerkt, nicht toleriert werden. Entsprechendes gilt für eine Kombination von By-Pass-Einrichtung und mehreren parallelen Ringen. genutzte Leitung ungenutzte Leitung genutzte Leitung, auf der die Hälfte aller Nachrichten übertragen wird Bild 5-9: Geflochtener Ring kann bei Ausfällen von Stationen oder Leitungen so rekonfiguriert werden, daß die Anonymität der Netzbenutzer gewahrt bleibt. Um mindestens einen beliebigen permanenten Einzelfehler im Übertragungssystem des Rings tolerieren zu können, wird ein geflochtener Ring (braided ring, siehe Bild 5-9) verwendet. Solange keine permanenten Fehler auftreten, werden die Leitungen, die benachbarte Stationen verbinden, als ein RING-Netz betrieben. Für ungerade Stationsanzahlen können die anderen Leitungen als ein zweites RING-Netz betrieben werden, was die nutzbare Übertragungskapazität verdoppelt. Basierend auf diesen drei Grundkonzepten zur Tolerierung des Ausfalls kann der geflochtene Ring (auch bei den meisten Mehrfachfehlern) mittels des folgenden, von jeder Station auszuführenden Protokolls so rekonfiguriert werden, daß jede fehlerfreie Station jederzeit in einem rekonfigurierten, fast alle fehlerfreien Stationen umfassenden Ring liegt, d.h. auf der ein- und der auslaufenden Leitung werden Informationseinheiten von fast allen nichtfehlerhaften Stationen übertragen. Im geflochtenen Ring gibt es drei mögliche Einzelfehler, nämlich den Ausfall • einer Station i: sie wird mit Leitung L i-1→i+1 überbrückt (Bild 5-9, oben rechts). • einer inneren Leitung Li-1→i+1 : der äußerer Ring bleibt intakt und wird solange ausschließlich benutzt, bis der Ausfall der Leitung behoben ist. Rekonfigurationsprotokoll für den geflochtenen Ring: Bemerkt eine Station Si einen permanenten Signalausfall auf einer ihrer Eingangsleitungen, so signalisiert sie das mittels einer an alle anderen Stationen adressierten Nachricht auf ihren beiden Ausgangsleitungen. Solange der Signalausfall nicht behoben ist, ignoriert Si diese Eingangsleitung. • einer äußeren Leitung Li-1→i : Station Si-2 sendet an die Stationen Si-1 und Si (kopiert den Datenstrom auf zwei Leitungen). Damit Station Si+1 die Station Si nicht beobachten kann, sendet Station Si-1 die Hälfte aller Informationseinheiten (z.B. alle Übertragungsrahmen mit gerader Nummer, sofern i-1 gerade) an Station Si+1 , entsprechend sendet Station Si die andere Hälfte (z.B. alle Übertragungsrahmen mit ungerader Nummer, sofern i ungerade) an Station
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42: 70 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 91: 170 A. Pfitzmann: Datensicherheit u
Seite 143 und 144:
274 A. Pfitzmann: Datensicherheit u
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?