CN113994634B - 用于在两个或更多个网络之间的数据传输的方法和传输装置 - Google Patents
用于在两个或更多个网络之间的数据传输的方法和传输装置 Download PDFInfo
- Publication number
- CN113994634B CN113994634B CN202080046925.3A CN202080046925A CN113994634B CN 113994634 B CN113994634 B CN 113994634B CN 202080046925 A CN202080046925 A CN 202080046925A CN 113994634 B CN113994634 B CN 113994634B
- Authority
- CN
- China
- Prior art keywords
- network
- data
- transmission
- unit
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 93
- 238000000034 method Methods 0.000 title claims abstract description 32
- 230000006854 communication Effects 0.000 claims abstract description 22
- 238000004891 communication Methods 0.000 claims abstract description 22
- 238000013468 resource allocation Methods 0.000 claims abstract description 18
- 238000011144 upstream manufacturing Methods 0.000 claims abstract description 5
- 238000012795 verification Methods 0.000 claims description 10
- 238000012546 transfer Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 6
- 238000010200 validation analysis Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 5
- 238000007689 inspection Methods 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013481 data capture Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明要求保护一种用于在至少一个第一网络(NW1;NW2)与至少一个第二网络(NWA;NWB)之间的数据传输的方法,其中a)针对在所述至少一个第一网络(NW1;NW2)与所述至少一个第二网络(NWA;NWB)之间的至少一次数据传输,在所述第一网络(NW1;NW2)与所述第二网络(NWA;NWB)之间建立至少一个连接,而且通过布置在所提到的网络之间的资源分配单元(H)来传递一个或多个数据,其中b)针对建立所述至少一个连接,所述资源分配单元(H)仅分配至少一个可与所述第二网络耦合的网络访问资源(NWA_IF)网卡/网络适配器以及在所述网络访问资源上游的单向通信单元(NWTap),用于指定无反馈的数据传输方向。
Description
技术领域
本发明涉及一种用于在至少一个第一网络与至少一个第二网络之间的数据传输的方法。
背景技术
为了在两个或更多个网络之间、尤其是安全关键的和开放式的网络、诸如工业控制网络(英文Industrial Control Network或者Operational Network)与常规的IT网络之间的安全通信,例如可以使用单向通信单元,诸如数据二极管,以便能够实现单向数据传输。具有反馈通道的数据二极管,也称为双向网络防护(Network Guard)或安全网关(Security Gateway),能够实现在具有不同安全级别的两个信息区域之间的安全数据传输。网络防护通常是硬件与软件的组合,该组合能够在网络之间实现——例如与已知的防火墙相比——更严格的数据传输:
双向网络防护通常被构造为借助于数据二极管分别实现两个彼此分开的单向数据流,其中这些数据流沿相反方向流动。这允许在两个方向上的数据交换,其中针对每个方向或传输链路分别确保单向功能。例如,利用双向网络防护可以将数据从安全要求高的网络中传送到安全要求低的开放式网络中或从安全要求低的网络传送到安全要求高的网络中。
在从安全要求低的网络到安全要求高的网络中的数据传输的情况下,通常需要附加的检查或验证,以便确保网络可用性和/或安全要求高的网络的完整性和/或安全性。
数据采集单元(DCU,www.siemens.com/dcu)代表无反馈的网络分流器,通过该无反馈的网络分流器可以成本低地实现单向数据传输。通过DCU的分流器连接端,可以无反馈地截取消息,并且由此可以实现网络防护的单向传输链路。
已经在EP 19163812中提出了一种双向网络协议,该双向网络协议基于两个分开的单向传输链路来实现网络防护。
发明内容
本发明的任务在于:针对两个或更多个网络之间的数据交换,相对于开头提到的现有技术而言更灵活地设计从其中一个网络到另一个网络的数据传输。
该任务通过在独立权利要求中描述的特征来解决。在从属权利要求中要求保护本发明的有利的扩展方案。
本发明要求保护一种用于在至少一个第一网络与至少一个第二网络之间的数据传输的方法,其中
a) 针对在该至少一个第一网络与该至少一个第二网络之间的至少一次数据传输,在该第一网络与该第二网络之间建立至少一个连接,而且通过布置在所提到的网络之间的资源分配单元来传递一个或多个数据,
其中
b) 针对建立该至少一个连接,该资源分配单元仅分配至少一个可与该第二网络耦合的网络访问资源、例如用于WLAN和/或以太网的网卡/网络适配器、物理接口/插槽、串行接口、CPU等等以及在该网络访问资源上游的单向通信单元,用于指定无反馈的数据传输方向。
该单向通信单元例如可以借助于光学数据二极管或者替代地通过DCU(例如数据采集单元(Data Capture Unit),www.siemens.com/dcu)的无源网络分流器来设计。
换言之,可以建立从可能的多个第一网络中的一个第一网络到一个或多个第二网络的一个或多个连接(也就是说1对m的关系)。还可以建立从可能的多个第二网络中的一个第二网络到一个或多个第一网络的一个或多个连接(也就是说n对1的关系)。理论上,可设想的是n个第一网络和m个第二网络,这些网络可以通过所建立的连接形成n对m的关系。在使用DCU时,提供四个端口,用于使用网络之间的连接。优选地,1到n个可能的第一网络具有要满足的安全要求,其中1到m个可能的第二网络具有与第一网络不同的要满足的安全要求。通常,第一网络具有比第二网络更高的安全要求。在安全要求相同的两个网络之间的连接也是可设想的。由于通过单向通信单元、例如可设计成数据二极管的网络分流器来建立该至少一个连接,数据传输方向被指定。也就是说,根据资源分配单元对单向通信单元的安排和分配,数据传输可以从第一网络到第二网络或者从第二网络到第一网络单向地且因此无反馈地定向。网络分流器可以集成到上文提及的DCU中。
优选地,该方法是计算机实现的。结合本发明,“计算机实现”可以被理解成对该方法的实现,其中尤其是处理器执行至少一个方法步骤。
本发明的一个扩展方案规定:该至少一个第一网络满足第一安全要求并且该至少一个第二网络满足与第一安全要求相比不同的第二安全要求。
本发明的一个扩展方案规定:提供用于在所提到的网络之间的数据传输的虚拟机,该虚拟机根据在单向通信单元中接收到的数据来重建有效数据,其中这些有效数据被转发。
虚拟机,缩写为VM,是指在可运行的计算机系统之内的计算机系统的软件技术封装。在其上执行虚拟机的真实或主(主机)计算机系统与该虚拟机之间的抽象层称为管理程序或者虚拟机监视器(Virtual Machine Monitor)。该抽象层的实现完全基于硬件、完全基于软件或者通过两者的组合来实现。管理程序通常允许在一个物理计算机系统上同时运行多个虚拟机。
本发明的一个扩展方案规定:提供验证单元(VE),该验证单元在/位于虚拟机的下游,其中有效数据在该验证单元中依据规定的规则例如被验证完整性、真实性、签名等等,并且在验证为肯定的情况下被转发。
本发明的一个扩展方案规定:提供数据锁,该数据锁在/位于验证单元的下游,其中该数据锁在验证为否定的情况下阻止对有效数据的转发并且必要时将这些有效数据暂存。
本发明的一个扩展方案规定:该数据锁选择性地要么容许从虚拟机到该数据锁的有效数据传输要么容许从该数据锁到所分配的网络访问资源的有效数据传输。
本发明的另一方面是一种用于在至少一个第一网络与至少一个第二网络之间的数据传输的传输装置,该传输装置具有:
a) 至少一个通信单元,该至少一个通信单元被设计为:针对在该至少一个第一网络与该至少一个第二网络之间的至少一次数据传输,在该第一网络与该第二网络之间建立至少一个连接,而且通过布置在所提到的网络之间的资源分配单元来传递一个或多个数据;和
b) 用于建立该至少一个连接的资源分配单元,该资源分配单元被设计为:仅分配至少一个可与该第二网络耦合的网络访问资源以及在该网络访问资源上游的单向通信单元,用于指定无反馈的数据传输方向。
本发明的一个扩展方案规定:网络访问资源被设计用于串行数据传输。该方法和该传输装置的特性在于资源分配单元将网络访问资源独占地或单独地分派给虚拟机。这样——允许双向通信的——网络访问资源被独占地分派给相应的虚拟机。即使对于攻击者成功从第二网络出发控制虚拟机(缩写为:VM)的情况来说,该攻击者也无法借此直接访问第一网络中的资源,原因在于不存在到第一网络中的传入(既非单向又非双向)连接。在这种情况下,攻击者“困”在虚拟机中。
总体而言,本发明能够通过用于无反馈的单向传输链路或连接的单向通信单元与用于仅在一个硬件平台上对控制功能的安全且高效的技术实现的虚拟化的组合来实现双向网关的花费少的实现方案。
数据采集单元(DCU)可以被用作硬件平台,其中除了网络访问资源之外也可以给每个VM实体独占地分派像专用CPU内核那样的资源。
总之,所示出的实施变型方案的特点在于:
- 通过传入和传出的传输链路或连接来进行安全的网络连接,其中这些传输链路或连接中的至少部分链路分别通过单向耦合借助于单向通信单元来实现。
- 通过使用分流器而不是常规的二极管并且使用虚拟化以实现路由、分配以及必要时检查功能来进行的高效的技术实现途径。
单元或组件、尤其是通信单元或网络组件,可以被构造成硬件组件。组件可包括处理器。
处理器尤其可以是中央处理器(英文Central Processing Unit,CPU)、微处理器或微控制器,例如专用集成电路或数字信号处理器等等,它们可能与用于存储程序指令的存储单元相结合。处理器例如也可以是IC(集成电路,英文Integrated Circuit)或者多芯片模块,尤其是FPGA(英文Field Programmable Gate Array)或者ASIC(专用集成电路,英文Application-Specific Integrated Circuit)、SoC(片上系统(System on Chip))、图形处理器GPU(Graphics Processing Unit)、用于评估神经网络的处理器,诸如TPU(张量处理单元(Tensor Processing Unit))或DSP(数字信号处理器,英文Digital SignalProcessor)。处理器可具有一个或多个计算内核(多核(multi-core))。处理器也可以被理解成虚拟处理器或者软(Soft)CPU。例如,也可涉及可编程处理器,该可编程处理器被配备用于实施所提到的按照本发明的方法的配置步骤,或者该可编程处理器利用配置步骤被配置为使得该可编程处理器实现了该方法、本发明的其它方面和/或部分方面的按照本发明的特征。处理器可具有用于防止物理篡改的篡改保护,例如用于检测物理攻击的张量传感器。
本发明还涉及一种计算机程序产品,该计算机程序产品能直接加载到可编程计算机中,该计算机程序产品包括程序代码部分,这些程序代码部分适合于执行按照本发明的计算机实现的方法的步骤。
计算机程序产品、诸如计算机程序装置例如可以作为存储介质或者数据载体,诸如存储卡、USB记忆棒、CD-ROM、DVD或者也可以以能从网络中的服务器下载的文件的形式来提供或者供应。
装置、设备、单元或仪器、模块和计算机程序(产品)可以根据上述方法的扩展方案/实施方式以及它们的扩展方案/实施方式来构造,而且反之亦然。
附图说明
按照本发明的方法和传输装置的实施例在附图中示例性地示出而且依据随后的描述更详细地予以阐述。其中:
图1示出了按照本发明的传输装置的示意图,该传输装置适合于在两个或更多个网络之间的数据传输;
图2示出了按照本发明的传输装置的另一实施方式的示意图。
具体实施方式
图1示出了按照本发明的传输装置的实施方式,该传输装置适合于在两个或更多个网络之间的数据传输。
经由用虚线表征的第一传输链路或连接,可以将一个数据或多个数据从可能的多个第一网络NW1、NW2至NWn中的优选地满足高安全要求的第一网络、例如NW1、例如(例如具有设施组件C的)设施网络传输到可能的多个第二网络NWA、NWB至NWZ中的优选地满足相对于第一网络而言更低的安全要求的第二网络、例如NWB、例如开放式网络(具有监视单元、例如M的监视网络)中。反过来,经由用实线表征的第二传输链路,进行一个数据或多个数据的从可能的第二网络之一、例如NWB到可能的第一网络之一、例如NW1中的数据传输。
分别多个这种传输链路是可设想的。在本例中,传输链路从第一网络的代理、例如Psec经由网络访问资源NW_IF、例如用于以太网和/或WLAN的网卡或者串行接口并且经由传输装置NG的网络分流器、也称为网络防护被引导到资源分配单元H,也称为管理程序。从资源分配单元将该传输链路继续经由网络访问资源NW_IF引导到第二网络的代理、例如Pop。反过来,传输链路可以从代理Pop经由所提到的单元或组件被引导到代理Psec。在这种情况下,所述一个数据或多个数据经由传输链路或路径来单向传递。
网络防护实现并控制第一网络与第二网络之间的单向传输路径。在此,该网络防护包括如下单元/组件,这些单元/组件可以硬件式地、固件式地和/或软件式地被设计:
a. 网络分流器NWTap
(至少)两个无反馈的网络分流器,所述网络分流器只能读取但是不能写入/更改在所连接的数据连接上的通信或数据传输。
b. 网络访问单元NW_IF或接口,其中第一网络接口与第一网络中的代理Psec(双向)连接。
c. 另一网络访问单元NW_IF,其中第二网络接口与第二网络中的代理Pop(双向)连接。
d. 虚拟机VM
第一虚拟机,通过该第一虚拟机根据数据传输方向(单向)调节传入或传出的数据传输。虚拟机VM可以根据所记录的原始数据——如下文关于代理Psec或Pop所描述的那样——重建实际的有效数据。在当前示例中,在该步骤重建所传输的文件。协议的传入的网络数据包被识别并且被进一步处理。一个有利的按照本发明的实现形式规定:不符合该协议的数据包被识别(这些数据包可以提示有可能的攻击,必须对这些攻击相对应地做出反应——比如通过报警和在入侵检测和/或预防过程的框架内的后续行动)
e. 管理程序H
管理程序,该管理程序调节在网络防护上的资源管理。如下文所描述的那样,通过管理程序将网络接口以及必要时还有CPU(内核)独占地或单独地分配给虚拟机。
代理Psec是系统组件,该系统组件启动从第一网络传入的数据传输并且接收传入的数据传输并且对传入的数据传输进行进一步处理或转发。该组件通常拥有专用网络端口,该专用网络端口专门与网络防护连接,如在附图中所示。
在网络分流器无法作为通信伙伴出现(因为是完全无源且无反馈的)之后,在代理Psec与网络分流器之间的传输链路被设计成严格单向的,该传输链路可以通过硬件特性来保证。替代于网络分流器,也可以使用光学数据二极管,以便完全单向地传输一个/多个数据。为了数据传输,可以使用单向协议,诸如UDP,或者在开头提及的专利申请EP 19163812中所描述的协议。代理Psec的通信经由网络分流器被一并读取(拦截(intercepted))并且无反馈地被记录。然后,这些“原始数据”被转交给虚拟机VM。
通过网络分流器的功能原理,该部分链路严格单向地且无反馈地被实现。因此,实际的有效数据被嵌入到网络防护协议中。这样,例如可以通过此来进行文件传输。
代理Pop是系统组件,该系统组件可以与代理Psec类似地用于传入的数据传输,而且因此启动到第二网络中的数据传输并且接收传出的数据传输并且对传出的数据传输进行进一步处理或转发。该组件被设置得与代理Psec类似,也就是说拥有到网络防护的相对应的专用连接。代理Pop可以从虚拟机VM查询所传输的数据。这可以基于推或者也可以基于拉来实现。该部分链路通常双向地被实现。
用于工业设施、在本例中是第一网络之一的主要保护目标通常是设施的可用性和完整性(正确的、所限定的系统行为)。在连接到开放式网络、在本例中是第二网络之一上的情况下,严格单向地实现的传出连接提供了与物理网络分离的级别相当的高度安全性。借此,单向的传出的数据传输(在图1中是虚线连接)可以大多本身单独地永久保持。
所提到的保护目标尤其是由于传入连接(在图1中是实线的传输链路)而面临风险。如在应用程序级防火墙的情况下那样,这里也适用:更精确地监控传入的传输,也就是说仅能够有限地(例如关于传输的数据类型和内容以及时间可用性)实现传入的传输。
在至少一个第一网络NW1或NW2与至少一个第二网络NWA或NWB之间进行数据传输,其中
a) 针对在该至少一个第一网络与该至少一个第二网络之间的至少一次数据传输,在该第一网络与该第二网络之间建立至少一个连接(尤其参见虚线的传输链路),而且通过布置在所提到的网络之间的资源分配单元H来传递一个或多个数据,
其中
b) 针对建立该至少一个连接,资源分配单元H仅分配至少一个可与第二网络耦合的网络访问资源NWA_IF,用于指定无反馈的数据传输方向。
图2示出了满足这些要求并且附加地控制传入连接的实施变型方案。为此,图1中的系统结构被扩展如下单元或组件:
- 验证单元VE:该验证单元承担对传入的数据传输进行过滤的任务。通过虚拟机VM传入的数据传输经由主机内部通信被移交给验证单元VE并且由该验证单元依据规定的规则来分析。只有满足规则的数据传输才被接受并且稍后可以朝着代理安全(ProxySecure)的方向被转交。用于检查或验证的这种规则的示例是:
o 用于固件和软件更新的签名验证
o 病毒扫描
o 消息检查:类似于应用程序级防火墙的“深度数据包检查(Deep-Packet-Inspection)”方法,基于规则仅允许选择性的请求/命令通过
o 完整性
o 真实性
- 数据锁GVM:
该数据锁承担锁计算机的功能性。该数据锁控制与验证单元VE的连接,并且借此控制整个传入的传输链路(从第二网络到第一网络)的建立或中断。也就是说,代理Psec与数据锁GVM共同控制是接通还是中断该连接。借此,可以从第一网络出发以受控制的方式临时激活维护访问。
图2示出了本发明的另一实施方式。代理Pop的连接通过作为网络访问资源NW_IF的实施方式的串行接口S来实现。经此,使攻击者难以通过标准网络接口来执行对网络防护(或者比如管理程序)的攻击。通常通过网络访问资源NW_IF来维持代理Pop的连接。该变型方案提供如下优点:可以以更高的传输速率来执行传出的传输(原因在于串行接口与以太网接口相比提供更低的传输速率)。这尤其是在具体的实现需要从第一网络到第二网络的更高的数据传输并且必须将更少和/或更稀少的数据从第二网络传输到第一网络中时是有利的。
尽管本发明详细地通过优选的实施例进一步图解说明和描述,但是本发明并不限于所公开的示例,而且其它变型方案可以由本领域技术人员从中推导出来,而不脱离本发明的保护范围。
上文描述的过程或方法流程的实现方案可以依据如下命令来实现,所述命令存在于计算机可读存储介质上或者存在于易失性计算机存储器(在下文概括地称为计算机可读存储器)中。计算机可读存储器例如是:易失性存储器,如缓存、缓冲或RAM;以及非易失性存储器,如可移动磁盘、硬盘,等等。
在此,上面描述的功能或步骤可以以至少一个命令语句的形式存在于计算机可读存储器上/计算机可读存储器中。在此,这些功能或步骤没有绑定到某一命令语句上或绑定到命令语句的某一形式上或者绑定到某一存储介质上或者绑定到某一处理器上或者绑定到某一实施方案上,而且可以通过软件、固件、微代码、硬件、处理器、集成电路等等单独运行地或以任意的组合地来实施。在此,可以使用各种各样的处理策略,例如单个的处理器的串行处理或者多重处理或多任务处理或并行处理等等。
这些命令可以存放在本地存储器中,但是也可能的是,将这些命令存放在远程系统上并且经由网络来访问该远程系统。
该传输装置可具有一个或多个处理器。术语“处理器”、“中央信号处理装置”、“控制单元”或“数据分析装置”包括广义上的处理装置,即例如服务器、通用处理器、图形处理器、数字信号处理器、专用集成电路(ASIC)、可编程逻辑电路(如FPGA)、分立式模拟或数字电路和它们的任意的组合,包括所有其它本领域技术人员已知的或者在将来研发的处理装置在内。在此,处理器可由一个或多个装置或设备或单元组成。如果一个处理器由多个装置组成,那么这些装置可以被设计或配置用于并行地或串行地处理或实施命令。
Claims (14)
1.一种用于在至少一个第一网络(NW1;NW2)与至少一个第二网络(NWA;NWB)之间的数据传输的方法,其中
a)针对在所述至少一个第一网络(NW1;NW2)与所述至少一个第二网络(NWA;NWB)之间的至少一次数据传输,在所述第一网络(NW1;NW2)与所述第二网络(NWA;NWB)之间建立至少一个连接,而且通过布置在所提到的网络之间的资源分配单元(H)来传递一个或多个数据,
其中
b)针对建立所述至少一个连接,所述资源分配单元(H)仅分配至少一个可与所述第二网络耦合的网络访问资源(NWA_IF)以及在所述网络访问资源上游的单向通信单元(NWTap),用于指定无反馈的数据传输方向。
2.根据上一权利要求所述的方法,其特征在于,所述至少一个第一网络满足第一安全要求,并且所述至少一个第二网络满足与所述第一安全要求相比不同的第二安全要求。
3.根据上述权利要求中任一项所述的方法,其特征在于,提供用于在所提到的网络之间的数据传输的虚拟机(VM),所述虚拟机根据在所述单向通信单元中接收到的数据来重建有效数据,其中所述有效数据被转发。
4.根据上一权利要求所述的方法,其特征在于,提供验证单元(VE),所述验证单元在/位于所述虚拟机的下游,其中所述有效数据在所述验证单元中依据规定的规则被验证,并且在验证为肯定的情况下被转发。
5.根据上一权利要求所述的方法,其特征在于,提供数据锁(GVM),所述数据锁在/位于所述验证单元(VE)的下游,其中所述数据锁在验证为否定的情况下中断或阻止对所述有效数据的转发并且必要时将所述有效数据暂存。
6.根据上一权利要求所述的方法,其特征在于,所述数据锁容许经由所述虚拟机传递的从所述虚拟机到所述数据锁的有效数据传输和/或从所述数据锁到所分配的网络访问资源的有效数据传输。
7.一种用于在至少一个第一网络(NW1;NW2)与至少一个第二网络(NWA;NWB)之间的数据传输的传输装置(NG),所述传输装置具有:
a)至少一个通信单元(NWGuard左侧的框),所述至少一个通信单元被设计为:针对在所述至少一个第一网络(NW1;NW2)与所述至少一个第二网络(NWA;NWB)之间的至少一次数据传输,在所述第一网络(NW1;NW2)与所述第二网络(NWA;NWB)之间建立至少一个连接,而且通过布置在所提到的网络之间的资源分配单元(H)来传递一个或多个数据;和
b)用于建立所述至少一个连接的资源分配单元(H),所述资源分配单元被设计为:仅分配至少一个可与所述第二网络耦合的网络访问资源(NWA_IF)以及在所述网络访问资源上游的单向通信单元,用于指定无反馈的数据传输方向。
8.根据上一权利要求所述的传输装置,其特征在于,所述至少一个第一网络满足第一安全要求,并且所述至少一个第二网络满足与所述第一安全要求相比不同的第二安全要求。
9.根据权利要求7或8所述的传输装置,其特征在于用于在所提到的网络之间的数据传输的虚拟机(VM),所述虚拟机被设计为根据在所述单向通信单元中接收到的数据来重建有效数据,其中所述有效数据能够被转发。
10.根据上一权利要求所述的传输装置,其特征在于验证单元(VE),所述验证单元在所述虚拟机的下游,其中所述有效数据能够在所述验证单元中依据规定的规则被验证并且在验证为肯定的情况下被转发。
11.根据上一权利要求所述的传输装置,其特征在于数据锁(GVM),所述数据锁在所述验证单元(VE)的下游,其中所述数据锁能够在验证为否定的情况下中断或阻止对所述有效数据的转发并且必要时将所述有效数据暂存。
12.根据上一权利要求所述的传输装置,其特征在于,所述数据锁容许经由所述虚拟机传递的有效数据传输和/或从所述数据锁到所分配的网络访问资源的有效数据传输。
13.根据权利要求7或8所述的传输装置,其特征在于,所述网络访问资源被设计用于串行数据传输。
14.一种计算机程序产品,所述计算机程序产品能加载到可编程计算机中,所述计算机程序产品包括程序代码部分,所述程序代码部分适合于执行根据上述方法权利要求中任一项所述的方法的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102019209342.6A DE102019209342A1 (de) | 2019-06-27 | 2019-06-27 | Verfahren und Übertragungsvorrichtung zur Datenübertragung zwischen zwei oder mehreren Netzwerken |
| DE102019209342.6 | 2019-06-27 | ||
| PCT/EP2020/066620 WO2020260070A1 (de) | 2019-06-27 | 2020-06-16 | Verfahren und übertragungsvorrichtung zur datenübertragung zwischen zwei oder mehreren netzwerken |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113994634A CN113994634A (zh) | 2022-01-28 |
| CN113994634B true CN113994634B (zh) | 2024-04-26 |
Family
ID=71266605
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080046925.3A Active CN113994634B (zh) | 2019-06-27 | 2020-06-16 | 用于在两个或更多个网络之间的数据传输的方法和传输装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11991146B2 (zh) |
| EP (1) | EP3970341A1 (zh) |
| CN (1) | CN113994634B (zh) |
| AU (1) | AU2020307905B2 (zh) |
| DE (1) | DE102019209342A1 (zh) |
| WO (1) | WO2020260070A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12008147B2 (en) * | 2021-10-29 | 2024-06-11 | Mellanox Technologies, Ltd. | Co-packaged switch with integrated quantum key distribution capabilities |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1999046882A2 (en) * | 1998-03-12 | 1999-09-16 | Whale Communications Ltd. | Techniques for protection of data-communication networks |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7707300B1 (en) * | 2001-04-13 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for transmitting information in a network |
| US8068504B2 (en) * | 2009-05-18 | 2011-11-29 | Tresys Technology, Llc | One-way router |
| US8990433B2 (en) | 2009-07-01 | 2015-03-24 | Riverbed Technology, Inc. | Defining network traffic processing flows between virtual machines |
| US9185125B2 (en) * | 2012-01-31 | 2015-11-10 | Db Networks, Inc. | Systems and methods for detecting and mitigating threats to a structured data storage system |
| US9094224B2 (en) * | 2012-07-31 | 2015-07-28 | Cisco Technology, Inc. | Acknowledged multicast convergence |
| CN106209688B (zh) * | 2016-07-13 | 2019-01-08 | 腾讯科技(深圳)有限公司 | 云端数据组播方法、装置和系统 |
| US10798063B2 (en) * | 2016-10-21 | 2020-10-06 | Nebbiolo Technologies, Inc. | Enterprise grade security for integrating multiple domains with a public cloud |
| US10841277B2 (en) * | 2017-08-14 | 2020-11-17 | Ut-Battelle, Llc | One step removed shadow network |
| WO2019099088A1 (en) * | 2017-11-17 | 2019-05-23 | Siemens Aktiengesellschaft | Risk analysys for indusrial control system |
| US10749790B2 (en) * | 2019-01-15 | 2020-08-18 | Cisco Technology, Inc. | Multicast-based content distribution for IoT networks using bit index explicit replication (BIER) |
| EP3713188B1 (de) | 2019-03-19 | 2024-06-19 | Siemens Mobility GmbH | Verfahren und übertragungsvorrichtung zur datenübertragung zwischen zwei netzwerken |
| WO2022258640A1 (en) * | 2021-06-08 | 2022-12-15 | Koninklijke Philips N.V. | Method for operating a secondary station |
-
2019
- 2019-06-27 DE DE102019209342.6A patent/DE102019209342A1/de not_active Withdrawn
-
2020
- 2020-06-16 CN CN202080046925.3A patent/CN113994634B/zh active Active
- 2020-06-16 US US17/621,375 patent/US11991146B2/en active Active
- 2020-06-16 WO PCT/EP2020/066620 patent/WO2020260070A1/de unknown
- 2020-06-16 AU AU2020307905A patent/AU2020307905B2/en active Active
- 2020-06-16 EP EP20735082.8A patent/EP3970341A1/de active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1999046882A2 (en) * | 1998-03-12 | 1999-09-16 | Whale Communications Ltd. | Techniques for protection of data-communication networks |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3970341A1 (de) | 2022-03-23 |
| US20220360558A1 (en) | 2022-11-10 |
| DE102019209342A1 (de) | 2020-12-31 |
| CN113994634A (zh) | 2022-01-28 |
| AU2020307905B2 (en) | 2023-08-17 |
| WO2020260070A1 (de) | 2020-12-30 |
| US11991146B2 (en) | 2024-05-21 |
| AU2020307905A1 (en) | 2022-03-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10841243B2 (en) | NIC with programmable pipeline | |
| EP3382989B1 (en) | Network interface device | |
| US10814893B2 (en) | Vehicle control system | |
| US10693899B2 (en) | Traffic enforcement in containerized environments | |
| CN1761240B (zh) | 用于高度可实现性应用的智能集成网络安全设备 | |
| US10609029B2 (en) | High assurance segregated gateway interconnecting different domains | |
| US20190322298A1 (en) | Locomotive control system | |
| US9749011B2 (en) | Physical unidirectional communication apparatus and method | |
| JP2021083125A (ja) | ゲートウェイ装置、方法及び車載ネットワークシステム | |
| US11209803B2 (en) | Firewall system and method for establishing secured communications connections to an industrial automation system | |
| JP6846706B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| JP6074776B2 (ja) | イーサネット(登録商標)ネットワーク用のセキュリティ検出を備えたインテリジェントphy | |
| CN116055254B (zh) | 一种安全可信网关系统、控制方法、介质、设备及终端 | |
| US20100257599A1 (en) | Dynamic authenticated perimeter defense | |
| US10462103B2 (en) | High assurance security gateway interconnecting different domains | |
| WO2012039792A1 (en) | Network interface controller for virtual and distributed services | |
| US20190190777A1 (en) | Communication device, system, and method | |
| US20200220846A1 (en) | Automation and/or Communications Appliance and Method for Checking Datagrams Transmitted in An Industrial Automation System | |
| CN113994634B (zh) | 用于在两个或更多个网络之间的数据传输的方法和传输装置 | |
| CN105553863B (zh) | 一种基于OpenFlow的多逻辑变体路由控制系统及控制方法 | |
| US10715353B2 (en) | Virtual local area network identifiers for service function chaining fault detection and isolation | |
| JP7024069B2 (ja) | 車両の制御機器に対する攻撃を検出する方法 | |
| US20180241723A1 (en) | Interconnection device, management device, resource-disaggregated computer system, method, and medium | |
| CN105580323B (zh) | 通过网络过滤装置过滤数据包 | |
| US10374922B2 (en) | In-band, health-based assessments of service function paths |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |