CN108075926B - 用于保护数据的传输的保护设备和网络布缆设备 - Google Patents
用于保护数据的传输的保护设备和网络布缆设备 Download PDFInfo
- Publication number
- CN108075926B CN108075926B CN201711146366.XA CN201711146366A CN108075926B CN 108075926 B CN108075926 B CN 108075926B CN 201711146366 A CN201711146366 A CN 201711146366A CN 108075926 B CN108075926 B CN 108075926B
- Authority
- CN
- China
- Prior art keywords
- protection
- data
- data transmission
- interface
- protection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01R—ELECTRICALLY-CONDUCTIVE CONNECTIONS; STRUCTURAL ASSOCIATIONS OF A PLURALITY OF MUTUALLY-INSULATED ELECTRICAL CONNECTING ELEMENTS; COUPLING DEVICES; CURRENT COLLECTORS
- H01R12/00—Structural associations of a plurality of mutually-insulated electrical connecting elements, specially adapted for printed circuits, e.g. printed circuit boards [PCB], flat or ribbon cables, or like generally planar structures, e.g. terminal strips, terminal blocks; Coupling devices specially adapted for printed circuits, flat or ribbon cables, or like generally planar structures; Terminals specially adapted for contact with, or insertion into, printed circuits, flat or ribbon cables, or like generally planar structures
- H01R12/70—Coupling devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- G—PHYSICS
- G02—OPTICS
- G02B—OPTICAL ELEMENTS, SYSTEMS OR APPARATUS
- G02B6/00—Light guides; Structural details of arrangements comprising light guides and other optical elements, e.g. couplings
- G02B6/24—Coupling light guides
- G02B6/36—Mechanical coupling means
- G02B6/38—Mechanical coupling means having fibre to fibre mating means
- G02B6/3807—Dismountable connectors, i.e. comprising plugs
- G02B6/381—Dismountable connectors, i.e. comprising plugs of the ferrule type, e.g. fibre ends embedded in ferrules, connecting a pair of fibres
- G02B6/3817—Dismountable connectors, i.e. comprising plugs of the ferrule type, e.g. fibre ends embedded in ferrules, connecting a pair of fibres containing optical and electrical conductors
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01B—CABLES; CONDUCTORS; INSULATORS; SELECTION OF MATERIALS FOR THEIR CONDUCTIVE, INSULATING OR DIELECTRIC PROPERTIES
- H01B11/00—Communication cables or conductors
- H01B11/22—Cables including at least one electrical conductor together with optical fibres
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01R—ELECTRICALLY-CONDUCTIVE CONNECTIONS; STRUCTURAL ASSOCIATIONS OF A PLURALITY OF MUTUALLY-INSULATED ELECTRICAL CONNECTING ELEMENTS; COUPLING DEVICES; CURRENT COLLECTORS
- H01R24/00—Two-part coupling devices, or either of their cooperating parts, characterised by their overall structure
- H01R24/28—Coupling parts carrying pins, blades or analogous contacts and secured only to wire or cable
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01R—ELECTRICALLY-CONDUCTIVE CONNECTIONS; STRUCTURAL ASSOCIATIONS OF A PLURALITY OF MUTUALLY-INSULATED ELECTRICAL CONNECTING ELEMENTS; COUPLING DEVICES; CURRENT COLLECTORS
- H01R31/00—Coupling parts supported only by co-operation with counterpart
- H01R31/06—Intermediate parts for linking two coupling parts, e.g. adapter
- H01R31/065—Intermediate parts for linking two coupling parts, e.g. adapter with built-in electric apparatus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B10/00—Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
- H04B10/80—Optical aspects relating to the use of optical transmission for specific applications, not provided for in groups H04B10/03 - H04B10/70, e.g. optical power feeding or optical transmission through water
- H04B10/85—Protection from unauthorised access, e.g. eavesdrop protection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Technology Law (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及用于数据的受保护的传输的保护设备和网络布缆设备。用于数据的受保护的传输的网络布缆设备和保护设备(10),所述保护设备由至少两个彼此关联的保护装置(20、30)组成,所述保护装置能分别与数据传输装置(40)的一端连接,其中每个保护装置(20、30)都具有:‑用于与所述数据传输装置连接的第一接口(22、32);‑用于与设备连接的第二接口(23、33);和‑加密单元(21、31),所述加密单元具有在所分配的保护装置(20、30)中的每个保护装置上都等效地配置的密码函数,而且以密码方式保护所要传输的数据。
Description
技术领域
本发明涉及:一种用于数据的受保护的传输的保护设备,所述保护设备由至少两个彼此关联的保护装置组成,所述至少两个彼此关联的保护装置能分别与数据传输装置的一端连接;以及一种网络布缆设备,所述网络布缆设备由保护设备和数据传输装置组成。
背景技术
安全相关的数据越来越多地在设备中被检测并且通过数据通信网络来传输。在很多情况下,安全相关的数据包含值得保护的信息、例如私人数据,但是也包含用于控制设备的控制消息。为了保护这种数据通信以防操纵和/或监听,彼此进行通信的设备、诸如自动化设施的现场设备和控制设备可以以密码方式保护通信,也就是说以加密方式和/或以通过密码校验和来保护的方式交换数据。为此,然而相对应的功能性必须在设备上是可支配的,而且按照链接被配置到数据通信网络中。如果相对应的功能性在所述设备本身上不能被支配,那么远程安全设备(诸如防火墙或网关)可以前置于所述设备,所述远程安全设备例如建立针对所述设备的虚拟私人网络连接(VPN)并且使所述设备彼此连接。
WO 2012/041654例如描述了VPN盒,所述VPN盒被分配给通信伙伴中的至少一个,用于建立和运行虚拟私人网络连接。在此,为了避开所述VPN盒的花费高的配置,在建立连接时确定所分配的通信成员的秘密密钥,而且依据所述秘密密钥重新设立会话密钥。这种VPN盒主要被用在通过公共数据网络的通信连接中。
但是,在封闭的数据网络之内,通信连接也只能有限地受保护。网络布缆并非在一切领域都能例如通过可封闭的设施柜或者生产车间来保护。在自动化设施中,公知的用于保护数据传输,尤其是控制、监控、诊断或配置数据的数据传输的技术也由于与之相关联的装置花费和运行花费而只是选择性地来使用。
发明内容
因此,本发明的任务是简单地、成本有利地并且以微小的配置花费来提供在设备之间的受操纵保护和/或受监听保护的数据传输。
该任务通过在独立权利要求中描述的特征来解决。在从属权利要求中示出了本发明的有利的扩展方案。
按照第一方面,本发明涉及一种用于数据的受保护的传输的保护设备,所述保护设备由至少两个彼此关联的保护装置组成,所述至少两个彼此关联的保护装置能分别与数据传输装置的一端连接,其中每个保护装置都具有用于与数据传输装置连接的第一接口、用于与设备连接的第二接口和加密单元,而且所述加密单元具有在所分配的保护装置中的每个保护装置上都等效地配置的密码函数,所述密码函数以密码方式来保护所要传输的数据。
这具有如下优点:在将设备链接到数据通信网络中时,仅须将保护设备与数据传输装置(例如网线、光波导或者无线电设备)一起安装,然而不需要用于设立外部安全设备或者用于配置内部安全功能的花费。
至少两个彼此关联的密码保护装置的加密单元被设定为使得刚好只有所述保护装置可以彼此进行通信。在此,“等效地配置的密码函数”指的是:在所分配的保护装置中的密码函数对于数据传输方向来说相同地来配置。密码函数可以针对不同的传输方向不同地来配置。相对应地,在加密单元中,沿发送和接收方向的密码函数可以相同地来配置或者可以不同地来配置。
密码函数尤其是利用对称密钥来实施对称的密码方法。对称密钥可以直接被用于加密或者被用于保护会话密钥协调。
密码函数对所要传输的数据进行加密或解密,或者所述密码函数生成密码校验和/或验证密码校验和。
尤其是,设备本身不必提供自己的安全功能。彼此关联的保护装置优选地被构造为插拔连接器,所述插拔连接器能以可拆卸的方式作为适配器或者也能固定地通过第一接口与数据传输装置连接。所述保护装置能通过第二接口尤其是直接与进行通信的设备连接。但是,所述彼此关联的保护装置也可以在插拔连接器中作为单独的部件来建造。
加密单元尤其可以被构造为处理器或者电子电路。处理器尤其可以是(可能与用于存储程序指令或配置数据等等的存储单元相结合的)中央处理器(英文CentralProcessing Unit,CPU)、微处理器或微控制器,例如专用集成电路或数字信号处理器。处理器例如也可以是IC(集成电路,英文Integrated Circuit),尤其是FPGA(英文FieldProgrammable Gate Array(现场可编程门阵列))或者ASIC(专用集成电路,英文Application-Specific Integrated Circuit)或者DSP(数字信号处理器,英文DigitalSignal Processor)。
在一个有利的实施方式中,所述保护装置中的至少一个保护装置具有显示单元,所述显示单元根据设立在所述保护装置之间的密码连接的运行状态来提供电和/或光状态信号。
这具有如下优点:例如,当建立密码连接时,电状态信号通过第二接口被提供给所连接的设备并且尤其是被提供给所述设备的网络接口。所述设备例如只有在得到所述电状态信号之后才能将数据发送给保护装置或从所述保护装置接收数据。同时或者可替换地,也可以生成光状态信号而且例如通过发光二极管来提供光状态信号。这具有如下优点:例如,只有当建立电缆的逻辑连接、也就是说电缆的受保护的连接时,所述电缆才由安装人员识别为被插入的或物理连接的。
在一个有利的实施方式中,密码函数固定地或以能改变的方式被构造在加密单元中。
密码函数例如包括对称密钥,所述对称密钥在所分配的保护装置中的每个保护装置中都是相同的。密码函数例如已经在制造时被提供而且被设立在加密单元中。如果密码函数固定地、也就是说以不能改变的方式来实现,那么一点也不需要配置而且使劳动花费最小化。
如果密码函数以能改变的方式来构造,那么包含在密码函数中的密码密钥的长度例如可以根据所要连接的设备来设定。
所述设定例如可能由于对调节装置(如开关)的机械操纵而被改变,或者也可能由于机械运动(诸如晃动)而被改变。例如,由于对于两个保护单元来说相同的机械运动而可能生成附加信息,所述附加信息对密码函数的配置有影响。
在一个有利的实施方式,密码函数在按照OSI参考模型的物理传输层上对数据进行加密或解密。
用于网络协议的层结构被称作OSI参考模型,所述层结构由国际电信联盟(ITU)和国际标准化组织(ISO)作为标准公开。在物理传输层(也被称作第1层(Layer 1))上的密码函数几乎不造成传输延迟,而且与数据链路层(也被称作第2层(Layer 2))的位于其上的传输协议无关。借此,这种密码函数能任意地被用于基于因特网的连接、串行连接或电力线连接或者也能被用于总线系统。
在一个有利的实施方式中,数据在物理传输层上通过密码扩展码来调制。
这具有如下优点:仅仅形成微小的传输延迟。例如,可以将所要传输的有效数据的符号时钟用于同步。通过以密码方式生成的扩展码,由未经允许的第三方引入数据是几乎不可能的,因为所使用的扩展码只能以高花费来确定。可替换地,扩展码例如也可以与时间有关地来改变。
在一个有利的实施方式,密码函数在按照OSI参考模型的数据链路层上对所要传输的数据进行加密或解密。
这具有如下优点:可以使用公知的并且能简单地实现的密码函数,诸如MACsec方法。另一方面,这种保护设备仅仅在所设置的通信协议(例如以太网)的情况下起作用。
在一个有利的实施方式,密码函数在按照OSI参考模型的网络层上对所要传输的数据进行加密或解密。
这具有如下优点;例如可以将IPsec协议用于建立可靠的数据隧道。
在一个有利的实施方式中,每个保护装置都分配有一个固定的IP地址或者分配有由所连接的设备经由第一接口提供的IP地址。
因为所述IP地址仅仅对于彼此关联的保护装置是已知的,所以能排除与在外部给予的IP地址的冲突。尤其是,保护装置也可以选择和使用IPv6链路本地地址(IPv6-Link-Local-Adresse)作为IP地址。
在一个有利的实施方式中,密码函数在按照OSI参考模型的运输层上对所要传输的数据进行加密或解密。
这具有如下优点:例如可以按照运输层安全协议(Transport Layer Security-Protokoll)或数据报运输层安全协议(Datagramm-Transport Layer Security-Protokoll)来使用隧道,所述隧道尤其适合于基于TCP或UDP的通信。
在一个有利的实施方式中,加密单元以固定地预先给定的时间延迟或者与数据传输方式有关的延迟来输出加入的数据。
这具有如下优点:不可能出现由于偶尔出现的影响引起的可变的延迟。这尤其是在传输控制数据的情况下或者在时间同步的情况下是重要的。可以固定地预先给定唯一的延迟时间。但是,也可以根据数据传输方式(诸如包类型或包长度)来预先给定不同的延迟时间。然而,接着对于一个数据传输方式的所有数据来说,延迟都是固定的。
这具有如下优点:不可能出现由于可变的延迟引起的偶尔出现的影响。这尤其是在控制任务的情况下或者在时间同步的情况下是重要的。由此,所述延迟与例如包长度无关,电缆显得与具有相对应地更长的传输时间的长的电缆连接一样简单。
在一个有利的实施方式中,所述保护装置具有集成电流源,或者通过第一接口从所连接的设备吸收电流或者通过第三接口吸收电流或者从数据传输信号本身中吸收电流。
集成到保护装置中的电流源具有如下优点:所述保护装置与所连接的设备无关地进行工作而且即使在设备具有有限的供电的情况下也不使所述设备加负荷。另一方面,从所连接的设备吸收电流的保护装置具有如下优点:在没有附加的自己的电流源的情况下可以紧凑地来构造。经由第三接口的供电提供了对所述保护装置的最优的供电,而不使所连接的设备加负荷。此外,与所连接的设备或自己的集成电流源无关地确保了足够的供电。
在一个有利的实施方式中,保护设备的每个保护装置都具有拆卸保护,用于将第一接口从数据传输单元拆下和/或用于将第二接口从设备拆下。
这防止了保护装置与数据传输单元(诸如网线或在设备本身上)的交换。
在一个有利的实施方式中,如果保护装置停止运行或者如果确定有对所述保护装置的操纵,那么所述保护装置删除所述密码函数。
这防止了未经允许的第三方读出或操纵密码函数。优选地,密码函数不能被读出或被操纵,或者只能以高花费来读出或操纵。
按照第二方面,本发明涉及一种网络布缆设备,所述网络布缆设备包括数据传输装置和具有已经描述的特征的保护设备,其中所述数据传输装置的至少两端分别与所述保护设备的一个保护装置连接。
这具有如下优点:在这种网络布缆设备中不形成或只形成最小的配置花费,而且因此不那么复杂的设备也可以在没有高的安装花费和配置花费的情况下可靠地交换数据。
在一个有利的实施方式中,数据传输单元是用于传输电信号的电缆或者是光缆。
由于包含在保护装置中的密码函数,与信号的物理传输方式无关的可靠的传输是可能的。因此,可以使用电缆来传输电信号,或者也可以使用光缆来传输光信号。在保护装置中的附加的无线电传输部件中,基于无线电的数据传输同样可能会受保护。
附图说明
按照本发明的保护设备或按照本发明的网络布缆设备的实施例在附图中示例性地示出而且依据随后的描述进一步予以阐述。
图1以示意图示出了在使用根据现有技术的数据传输装置时的攻击场景;
图2以框图示出了按照本发明的保护设备的实施例;
图3以示意图示出了具有传统的数据传输装置和按照本发明的保护设备的实施例的攻击场景;而
图4以示意图示出了具有按照本发明的网络布缆设备的攻击场景。
彼此相对应的部分在所有附图中都配备有相同的附图标记。
具体实施方式
在自动化网络或者也包括私人网络中的关键的通信(诸如控制通信)通过数据通信网络来传输。在此,彼此进行通信的设备通过数据传输装置(例如网线)来传输,所述网线被实现为电缆或被实现为光缆或者也被实现为无线电连接。
图1示出了在使用公知的数据传输装置1时的攻击场景。设备101(例如现场设备)通过数据传输装置1与第二设备102(例如控制设备)连接。数据传输装置1例如是电缆或者光缆或者无线电传输链路。为了进行数据传输,数据传输装置1的插拔连接器2、3与例如设备101、102的网络接口连接,以便在所述两个设备101、102之间建立连接。
如果所示出的装置处在能接触到的环境中,那么攻击者103可以例如将数据传输装置1拆开,监听所传输的数据和/或馈入伪造的数据帧并且因此进行操纵。
现在,图2示出了保护设备10,所述保护设备能够实现在设备101与102之间的以密码方式保护的数据连接,而不必插入或实施附加的外部或内部安全部件。
保护设备10由至少两个彼此关联的保护装置20、30组成,所述至少两个彼此关联的保护装置20、30例如可以构造为外部插拔连接器(也就是说适配器)或者可以构造为在数据传输装置1的插拔连接器2、3中的部件。所述保护装置20、30中的每个保护装置都具有第一接口22、32,所述第一接口例如能与网线直接连接。此外,每个保护装置20、30都具有第二接口23、33,所述第二接口能与进行通信的设备101、102直接连接、例如能插入到所述进行通信的设备101、102中。第二接口例如可以构造为以太网插头。
所述保护设备10的保护装置20、30中的每个保护装置都包括一个加密单元21、31,在所述加密单元21、31上分别构造有相同的密码函数。在此,密码函数以预先配置的方式来构造,而且对通过保护装置20的第二接口23来加入的数据进行加密,而且通过第一接口22将所述数据输出到数据传输装置上。与数据传输装置的另一端连接的保护装置30通过第一接口32接收经加密的数据,而且通过在所述保护装置30的加密单元31中实现的密码函数对所述数据进行解密。被解密的数据通过第二接口33被输出到所连接的设备上。
所述密码函数例如可以通过调节部件或者也可以通过机械运动来改变或扩展。例如,在所述彼此关联的保护装置20、30中的每个保护装置的加密功能中,包含对称的密码函数的相同的密码密钥,或者一个密钥对包含在不对称的密码函数中并且被设定为使得刚好只有所述两个保护装置可以彼此进行通信。因此,确保了数据的发送方或接收方、这里即彼此关联的保护装置20、30的真实性。
密码函数建立在保护装置20、30之间的通信连接。所要传输的数据的完整性可以通过在通信连接的不同的层上的网络协议来实现。这里,通信连接的层应被理解为用于数据传输的按照经标准化的OSI参考模型的传输层。这样,密码函数例如可以通过利用以密码方式生成的扩展码对数据信号的调制来予以调制。在此,所述调制优选地被同步到所传输的数据的符号时钟上。可替换地,可以在明显更高的传输率作为数据传输率的情况下使用扩展码。可替换地,也可以监控符号传输率。对扩展码的使用在物理传输层、即OSI参考模型的第1层上起作用。这种密码函数可以与位于其上的第2层协议无关地来使用,而且例如能被用于基于以太网的电极、串行连接、经由电力电缆的连接(所谓的电力线连接),或者也能被用于经由总线系统(如Profinet)的数据传输。
密码函数可以在数据链路层、也就是说OSI参考模型的第2层上实现,而且可以通过方法(诸如媒体访问代码安全(Media Access Code Security)MACsec或者具有IP安全协议的第2层传输协议(L2TP))来使用。具有相对应的保护装置的数据线在基于以太网的通信中起作用。
但是,加密单元21、31也可以具有密码函数,所述密码函数通过在网络层、即OSI参考模型的层3上的协议、例如通过IP安全协议以在隧道模式下实现的方式来保护数据通信。被用于隧道的IP地址例如可以固定地被分配给加密单元21、31,或者可以通过第一接口由所连接的设备来提供。因为所述IP地址仅仅对于所分配的保护装置是已知的,所以与在外部给予的IP地址的冲突几乎是不可能的。为此,所述保护装置尤其是也可以选择和使用IPv6链路本地地址(IPv6-Link-Local-Adresse)作为外部IP地址。这种密码函数可以被用于任何基于IP的通信连接。
所述密码函数也可以在运输层、即按照OSI参考模型的第4层上例如借助于运输层安全(TLS)协议的建立来构造。然而,这种保护设备接着只能被用于基于TCP或基于UDP的通信。在另一变型方案中,IP包或第2层帧通过TLS协议通道来传输。
加密单元21、31或在所述加密单元21、31上实现的密码函数优选地以固定地预先给定的延迟对数据进行加密。由设备101、102通过第二接口23、33来接收的数据相对应地有延迟地被加密或在输出到进行接收的设备上之前有延迟地被解密。由此,确保了数据传输的确定性行为,使得偶尔出现的影响不导致可变的延迟。所述延迟可以与数据包类型无关地固定地被预先给定。但是,所述延迟也可以与数据包的类型有关,例如可以根据数据包的类型或长度不一样地来规定。但是,所述延迟接着对于数据包类型来说固定地被设立。借此,所述延迟与例如数据包长度无关。
保护设备10的保护装置20、30中的至少一个保护装置具有显示单元24,所述显示单元显示以密码方式保护的通信连接的状态。这样,例如可以显示受保护的建立连接的故障或失败。可以显示的是密码连接处在建立中而且尤其是当可靠的连接建立完成时可以予以显示。这例如可以以颜色编码的方式通过一个或多个光学显示装置(发光二极管)或者也可以通过显示器来显示,要不然可以通过声音信号来显示。尤其是,显示单元生成电信号,当建立受保护的通信连接时,所述电信号通过第二接口被显示给所连接的设备。因此,只有当建立逻辑连接时,电缆才由设备101、102的网络接口识别为被插入的或物理连接的。
给加密单元21供应能量例如被实现为“以太网供电(Power over Ethernet)”,通过在经由借助于电力线的导线连接进行数据传输时的直接供电或者从如环境温度、振动或气流或类似的那样的来源获得电能来实现为“以太网供电”。在一个变型方案中,保护设备10的至少一个保护装置20、30包含集成电流源,诸如电池组或蓄电池。可替换地,在所述保护装置20、30中的至少一个保护装置上,通过第三接口35(例如附加的USB接线端子)的能单独地连接的供电是可能的。在一个变型方案中,如果通过以太网供电来进行供电或者有外部供电,那么给电池组或蓄电池或超级电容器充电。这具有如下优点:即使在供电中断的情况下,受保护的数据传输也是可能的。
在图3中示出了具有与保护设备100连接的传统的数据传输装置1的攻击场景,所述保护设备100由两个被构造为插拔连接器或适配器的保护装置120和130组成。为了可靠的数据传输,保护设备100的保护装置120、130分别与数据传输装置1的一端以及设备101、102连接。所示出的锁分别象征性地表示集成在保护装置120、130中的加密单元。在这种情况下,攻击者103既不能从传统的数据传输装置1中读出数据又不能馈入数据。
如果确定有物理的操纵尝试或如果保护设备或所分配的保护装置之一应该停止运行,那么保护装置20、30优选地删除安全信息或者也删除安全功能。
图4示出了具有按照本发明的网络布缆设备110的攻击场景。网络布缆设备110分别具有保护装置20、30,所述保护装置20、30与数据传输装置40固定连接。保护装置20、30可以被固定在传统的所需要的长度的网线上,或者可以被构造为具有相对应的用于连接到设备101、102上的保护装置20、30的成套电缆。
保护装置20、30或120、130例如以能铅封的方式与数据传输装置1连接但是也与设备101、102连接,以便容易地识别出保护装置的拆下。拆卸保护也可以单独地针对用于设备101、102的网络连接的第二接口来构造并且针对用于数据传输装置1、40的第一接口来构造,或者可以构造为通过两个接口的拆卸保护。也可以构造组合式拆卸保护,所述组合式拆卸保护通过第一和第二接口共同地延伸。
利用保护装置100或具有超过两个保护装置120、130或20、30的网络布缆设备110,例如可以在基于总线的通信或者广播/组播环境中确保在多个彼此连接的设备之间的通信安全性。
同样通过相同地预先配置地密码函数来给出所述保护装置的相互的认证。仅仅是具有相同地配置的密码函数的保护装置也可能重新对由所述保护装置之一加密的数据进行解密,而且反之亦然。
因此,对数据传输的密码保护可以通过如下方式简单地来实现:使用按照本发明的网络布缆设备,而不是普通的网线或普通的数据传输装置。
所有被描述的和/或被绘出的特征都可以在本发明的范围内有利地彼此相结合。本发明并不限于所描述的实施例。
Claims (15)
1.一种用于数据的受保护的传输的保护设备(10),所述保护设备由至少两个彼此关联的保护装置(20、30)组成,所述保护装置能分别与数据传输装置(40)的一端连接,其中每个保护装置(20、30)都具有:
- 用于与所述数据传输装置(40)连接的第一接口(22、32);
- 用于与设备(101、102)直接连接的第二接口(23、33);和
- 加密单元(21、31),所述加密单元具有在所分配的保护装置(20、30)中的每个保护装置上都等效地配置的密码函数,而且以密码方式保护所要传输的数据,其中所述密码函数建立在刚好两个保护装置(20、30)之间的用于经由所述数据传输装置来进行数据传输的通信连接,并且
其中所述保护装置(20、30)被构造为外部插拔连接器或者被构造为在所述数据传输装置(40)的插拔连接器(2、3)中的部件。
2.根据权利要求1所述的保护设备(10),其中,所述保护装置(20、30)中的至少一个保护装置具有显示单元(24),所述显示单元根据被设立在所述保护装置(20、30)之间的密码连接的运行状态来提供电和/或光状态信号。
3.根据上述权利要求之一所述的保护设备(10),其中,所述密码函数固定地或以能改变的方式来构造。
4.根据上述权利要求1至2之一所述的保护设备(10),其中,所述密码函数在按照OSI参考模型的物理传输层上以密码方式保护数据。
5.根据权利要求4所述的保护设备(10),其中,所述数据通过密码扩展码来调制。
6.根据上述权利要求1至2之一所述的保护设备(10),其中,所述密码函数在按照OSI参考模型的数据链路层上以密码方式保护所述数据。
7.根据上述权利要求1至2之一所述的保护设备(10),其中,所述密码函数在按照OSI参考模型的网络层上以密码方式保护所述数据。
8.根据权利要求7所述的保护设备(10),其中,每个保护装置(20、30)都分配有固定的IP地址或者分配有由所连接的设备(101、102)经由所述第二接口(23、33)提供的IP地址。
9.根据上述权利要求1至2之一所述的保护设备(10),其中,所述密码函数在按照OSI参考模型的运输层上以密码方式保护所述数据。
10.根据上述权利要求1至2之一所述的保护设备(10),其中,所述加密单元(21、31)以固定地预先给定的时间延迟或者与数据传输方式有关的延迟来输出加入的数据。
11.根据上述权利要求1至2之一所述的保护设备(10),其中,所述保护装置(20、30)具有集成电流源,或者通过所述第二接口(23、33)从所连接的保护装置(20、30)之一中吸收电流,或者通过第三接口(35)吸收电流,或者从数据传输信号本身中吸收电流。
12.根据上述权利要求1至2之一所述的保护设备(10),其中,所述保护装置(20、30)具有拆卸保护,用于将所述第一接口(22、32)从所述数据传输装置(40)拆下和/或用于将所述第二接口(23、33)从所述设备(101、102)拆下。
13.根据上述权利要求1至2之一所述的保护设备(10),其中,如果所述保护装置(20、30)停止运行或者如果确定有对所述保护装置(20、30)的操纵,那么所述保护装置(20、30)删除所述密码函数。
14.一种网络布缆设备(110),其包括数据传输装置(40)和按照权利要求1至13之一所述的保护设备(10),其中,所述数据传输装置(40)的至少两端分别与所述保护设备(10)的一个保护装置(20、30)连接,而且每个保护装置(20、30)都具有:
- 用于与所述数据传输装置(40)直接连接的第一接口(22、32);
- 用于与设备直接连接的第二接口(23、33);和
- 加密单元(21、31),所述加密单元具有在所分配的保护装置中的每个保护装置上都相同地配置的密码函数,而且以密码方式保护所要传输的数据,其中所述密码函数建立在刚好两个保护装置(20、30)之间的用于经由所述数据传输装置来进行数据传输的通信连接,
并且其中所述保护装置(20、30)被构造为外部插拔连接器或者被构造为在所述数据传输装置(40)的插拔连接器(2、3)中的部件。
15.根据权利要求14所述的网络布缆设备,其中,所述数据传输装置(40)是用于传输电信号的电缆或者是光缆。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102016222617.7 | 2016-11-17 | ||
| DE102016222617.7A DE102016222617A1 (de) | 2016-11-17 | 2016-11-17 | Schutzvorrichtung und Netzwerkverkabelungsvorrichtung zur geschützten Übertragung von Daten |
| EP16200260.4 | 2016-11-23 | ||
| EP16200260.4A EP3324596B1 (de) | 2016-11-17 | 2016-11-23 | Schutzvorrichtung und netzwerkverkabelungsvorrichtung zur geschützten übertragung von daten |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108075926A CN108075926A (zh) | 2018-05-25 |
| CN108075926B true CN108075926B (zh) | 2021-08-31 |
Family
ID=57391883
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711146366.XA Active CN108075926B (zh) | 2016-11-17 | 2017-11-17 | 用于保护数据的传输的保护设备和网络布缆设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11032250B2 (zh) |
| EP (1) | EP3324596B1 (zh) |
| CN (1) | CN108075926B (zh) |
| DE (1) | DE102016222617A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210092103A1 (en) * | 2018-10-02 | 2021-03-25 | Arista Networks, Inc. | In-line encryption of network data |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002041599A1 (en) * | 2000-11-17 | 2002-05-23 | British Telecommunications Public Limited Company | Interface device |
| CN1771690A (zh) * | 2003-04-08 | 2006-05-10 | 索尼株式会社 | 数据传输方法 |
| CN103299310A (zh) * | 2011-01-14 | 2013-09-11 | 西门子公司 | 用于在现场设备中保护安全模块免遭篡改尝试的装置和方法 |
| CN103455446A (zh) * | 2012-06-04 | 2013-12-18 | 罗伯特·博世有限公司 | 用于实施加密方法的设备及对此的运行方法 |
| CN103944865A (zh) * | 2013-01-22 | 2014-07-23 | 横河电机株式会社 | 隔离保护系统及其执行双向数据包过滤检查的方法 |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5778071A (en) * | 1994-07-12 | 1998-07-07 | Information Resource Engineering, Inc. | Pocket encrypting and authenticating communications device |
| CA2437548A1 (en) * | 2001-02-06 | 2002-11-28 | En Garde Systems | Apparatus and method for providing secure network communication |
| WO2003094513A1 (en) * | 2002-04-30 | 2003-11-13 | General Dynamics Advanced Information Systems, Inc. | Method and apparatus for in-line serial data encryption |
| US20050114663A1 (en) * | 2003-11-21 | 2005-05-26 | Finisar Corporation | Secure network access devices with data encryption |
| US20050175184A1 (en) * | 2004-02-11 | 2005-08-11 | Phonex Broadband Corporation | Method and apparatus for a per-packet encryption system |
| US20060036854A1 (en) * | 2004-08-09 | 2006-02-16 | Chien-Hsing Liu | Portable virtual private network device |
| US7607006B2 (en) * | 2004-09-23 | 2009-10-20 | International Business Machines Corporation | Method for asymmetric security |
| US7984495B1 (en) * | 2005-03-09 | 2011-07-19 | Sonicwall, Inc. | Method and an apparatus to identify security association of virtual private network tunnels |
| US20060204009A1 (en) * | 2005-03-14 | 2006-09-14 | Michigan State University | Physical layer built-in security enhancement of spread spectrum wireless communication systems |
| US8032763B2 (en) * | 2007-02-07 | 2011-10-04 | L3 Communications Corporation | Multi-network cryptographic device |
| US8095713B2 (en) * | 2007-09-04 | 2012-01-10 | Apple Inc. | Smart cables |
| US20100205454A1 (en) * | 2009-02-09 | 2010-08-12 | Victor Chuan-Chen Wu | Cipher data box |
| US20110154050A1 (en) * | 2009-12-22 | 2011-06-23 | Pitney Bowes Inc. | System and method for selectively providing cryptographic capabilities based on location |
| CN201662809U (zh) * | 2010-03-19 | 2010-12-01 | 巨盛电子股份有限公司 | 数据加解密的转换装置 |
| US9213835B2 (en) * | 2010-04-07 | 2015-12-15 | Xilinx, Inc. | Method and integrated circuit for secure encryption and decryption |
| AU2011286457B2 (en) * | 2010-08-04 | 2014-12-11 | Christopher Briand Scherer | Active keystone jack |
| DE102010041804A1 (de) | 2010-09-30 | 2012-04-05 | Siemens Aktiengesellschaft | Verfahren zur sicheren Datenübertragung mit einer VPN-Box |
| US8477937B2 (en) | 2011-04-07 | 2013-07-02 | Comtech Ef Data Corp. | Methods and systems for providing interference based physical-layer encryption |
| US8677127B2 (en) * | 2011-12-08 | 2014-03-18 | Lantiq Deutschland Gmbh | Method and apparatus for secure setup of an encrypted connection between two communication devices |
| CN202957407U (zh) * | 2012-09-30 | 2013-05-29 | 王沛卿 | 安全型网络数据传输线 |
| CN104854598B (zh) * | 2012-12-21 | 2018-02-13 | 惠普发展公司,有限责任合伙企业 | 嵌入在线缆中的有源组件 |
| US20150067352A1 (en) * | 2013-08-30 | 2015-03-05 | L-3 Communications Corporation | Receptacle-Configured Cryptographic Device |
| US9635056B2 (en) * | 2014-05-15 | 2017-04-25 | Dell Products L.P. | Cable management and security system |
| US9590369B2 (en) * | 2014-10-01 | 2017-03-07 | Panduit Corp. | RJ45 jacks and breakaway RJ45 cable assemblies using same |
| US20170026843A1 (en) * | 2015-07-21 | 2017-01-26 | Mercury Systems, Inc. | Prevention of covert access after successful completion of authentication process |
| DE102016112519A1 (de) * | 2016-07-07 | 2018-01-11 | Harting Electric Gmbh & Co. Kg | Steckverbinderbauteil, Steckverbinder, Steckverbindersystem und Verfahren zum Zusammensetzen und Betreiben eines Steckverbinders |
-
2016
- 2016-11-17 DE DE102016222617.7A patent/DE102016222617A1/de not_active Withdrawn
- 2016-11-23 EP EP16200260.4A patent/EP3324596B1/de active Active
-
2017
- 2017-11-09 US US15/807,639 patent/US11032250B2/en active Active
- 2017-11-17 CN CN201711146366.XA patent/CN108075926B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002041599A1 (en) * | 2000-11-17 | 2002-05-23 | British Telecommunications Public Limited Company | Interface device |
| CN1771690A (zh) * | 2003-04-08 | 2006-05-10 | 索尼株式会社 | 数据传输方法 |
| CN103299310A (zh) * | 2011-01-14 | 2013-09-11 | 西门子公司 | 用于在现场设备中保护安全模块免遭篡改尝试的装置和方法 |
| CN103455446A (zh) * | 2012-06-04 | 2013-12-18 | 罗伯特·博世有限公司 | 用于实施加密方法的设备及对此的运行方法 |
| CN103944865A (zh) * | 2013-01-22 | 2014-07-23 | 横河电机株式会社 | 隔离保护系统及其执行双向数据包过滤检查的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11032250B2 (en) | 2021-06-08 |
| US20180145952A1 (en) | 2018-05-24 |
| EP3324596B1 (de) | 2020-03-04 |
| CN108075926A (zh) | 2018-05-25 |
| DE102016222617A1 (de) | 2018-05-17 |
| EP3324596A1 (de) | 2018-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
| CN107852359B (zh) | 安全系统、通信控制方法 | |
| US11134064B2 (en) | Network guard unit for industrial embedded system and guard method | |
| US8756411B2 (en) | Application layer security proxy for automation and control system networks | |
| CN105556403B (zh) | 限制工业控制中的通信 | |
| JP2020115457A (ja) | 工業制御システムケーブル | |
| EP2803177B1 (en) | Device arrangement and method for implementing a data transfer network used in remote control of properties | |
| US20170126623A1 (en) | Protected Subnet Interconnect | |
| JP6968175B2 (ja) | フィールドバスを介した安全な通信をサポートするためのセキュリティデバイスおよびフィールドバスシステム | |
| JP6456929B2 (ja) | ネットワークエンドポイント内の通信の保護 | |
| US6775769B1 (en) | Cryptographic apparatus, encryptor, and decryptor | |
| CN108075926B (zh) | 用于保护数据的传输的保护设备和网络布缆设备 | |
| US20150035681A1 (en) | Point-to-Multipoint Polling in a Monitoring System for an Electric Power Distribution System | |
| US20210336774A1 (en) | System for Secure Remote Access | |
| CN114363024A (zh) | 数据加密传输方法、装置、终端设备以及存储介质 | |
| CN103036901A (zh) | 一种ets远程编程方法 | |
| US20070058654A1 (en) | Arrangement and coupling device for securing data access | |
| CN110677389B (zh) | 基于ssl协议的混合攻击防护方法和装置 | |
| KR101227086B1 (ko) | 물리적으로 분리된 네트워크 사이의 데이터 통신 방법 및 장치 | |
| JP2010199943A (ja) | 一方向データ通信方法および情報処理装置 | |
| KR20210101304A (ko) | 통신 모듈 | |
| CN114338116B (zh) | 加密传输方法、装置及sd-wan网络系统 | |
| Morales-Gonzalez | Survey on Smart Building Security State of the Art | |
| WO2012107074A1 (en) | Device and method for securing ethernet communication | |
| JP2007019633A (ja) | 中継コネクタ装置及び半導体回路装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |