-
Die
Erfindung betrifft ein Verfahren und ein Prüfsystem zum sicheren Übertragen
einer Nachricht von einer ersten Zone in eine zweite Zone.
-
Viele
Geschäftsprozesse
werden mittlerweile computerbasiert durchgeführt. Dabei werden unter Anderem
vertrauliche Daten verarbeitet, die für eine Firma einen grundlegenden
Wert darstellen. Naturgemäß sind diese
vertraulichen Daten auch für
Konkurrenten von höchstem
Interesse. Gemäß einem Grad
der Vertraulichkeit und damit einem Wert dieser vertraulichen Daten
sind unterschiedliche Schutzmaßnahmen
notwendig. Dies führt
beispielsweise im militärischen
Bereiche dazu, dass je nach Sensibilität der Daten diese in unterschiedlichen
Netzen übertragen
werden. Diese Netze sind vollständig
voneinander getrennt. Ein Datenaustausch zwischen den Netzen findet über den
Austausch rein passiver Datenträger
statt, wie zum Beispiel einer Drehstuhl-Schnittstelle. Auch diese
Vorgehensweise lässt
Raum für Angriffe
durch Innentäter
und ist sowohl technisch umständlich
als auch kostenintensiv und somit in der freien Wirtschaft nicht
praktikabel einsetzbar.
-
Neben
den bereits genannten Nachteilen zeigt diese Vorgehensweise das
Problem, dass Schad-Software, wie zum Beispiel Viren oder Trojaner,
und ein Datenabfluss nicht verhindert werden können. Ein Datenabfluss bzw.
Informationsabfluss entsteht z.B. dadurch, dass ein Betriebssystem
freigegebenen Speicher als Kopie an einen Dritten schickt, ohne
dass ein Benutzer des Betriebssystems davon etwas erfährt. Hierbei
liegt ein prinzipieller Konflikt darin, dass vertrauliche Daten
durch kommerzielle, nicht kontrollierbare Software, wie zum Beispiel
Virenerkennungsprogramme, verarbeit werden. Dabei haben die Hersteller
und die Administratoren, zum Bei spiel von Virenschutzsoftware, notwendiger
Weise Zugriff auf die zu überprüfenden vertraulichen
Daten und auf die Computersysteme, auf denen die Virenschutzsoftware
ausgeführt
wird. An dieser Stelle ist ein akkumulierter und kontinuierlicher Informationsabfluss
möglich.
-
Ein
Dokument
DE 198 38 253 beschreibt
in einer Datenverbindung zwischen einem ersten und einem zweiten
Rechner ein Schleusenelement anzuordnen, wobei zwischen dem ersten
Rechner und dem Schleusenelement ein erstes Schleusentor und zwischen
dem zweiten Rechner und dem Schleusenelement ein zweiten Schleusentor
angeordnet ist, und wobei das erste Schleusentor geschlossen ist, wenn
das zweite Schleusentor geöffnet
ist und umgekehrt das zweite Schleusentor geschlossen ist, wenn das
erste Schleusentor geöffnet
ist.
-
Ein
weiteres Dokument
EP 1 241 831 schlägt vor,
in einer Datenverbindung mit einem ersten und einem zweiten Rechner
ein Schleusenelement anzuordnen, das hardwaremäßig realisierte Mittel aufweist,
die eine gleichzeitige Verbindung zwischen dem ersten Rechner und
dem Schleusenelement einerseits und dem zweiten Element und dem
Schleusenelement andererseits unmöglich machen.
-
Ein
Dokument
WO 2006/076752 betrifft
ein Computersicherheitssystem für
höchstmöglichen Schutz
vor direkten schädlichen
Angriffen auf das interne Netzwerk, insbesondere dem Schutz der
Daten des internen Netzwerks.
-
Der
Erfindung liegt die Aufgabe zu Grunde, ein Verfahren und ein Prüfsystem
zum sicheren Übertragen
einer Nachricht von einer ersten in eine zweite Zone anzugeben,
bei dem die genannten Nachteile reduziert oder vermieden werden.
-
Diese
Aufgabe wird durch die unabhängigen Ansprüche gelöst. Sonstige
Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen wiedergegeben.
-
Die
Erfindung betrifft ein Verfahren und ein Prüfsystem zum sicheren Übertragen
einer Nachricht von einer ersten Zone in eine zweite Zone, bei dem die
Nachricht von der ersten Zone zu einer Auswerteeinheit einer dritten
Zone mittels einer ersten Einwegschleuseneinheit übertragen,
jeweils eine Kopie der Nachricht an zumindest zwei von N Analyseeinheiten
weitergeleitet, die Nachricht in der jeweiligen Analyseeinheit auf
zumindest einen schadhaften Bestandteil analysiert, wobei in jeder
Analyseeinheit ein unterschiedliches Analyseprogramm ausgeführt wird,
ein jeweiliges Analyseergebnis in eine der jeweiligen Analyseeinheit
zugeordneten Benachrichtigungseinheit übergeben, die Analyseergebnisse
mittels einer jeweiligen Anfragenachricht durch die Auswerteeinheit
gepollt, die Analyseergebnisse mittels einer jeweiligen Anfragenachricht
von den Benachrichtigungseinheiten an die Auswerteeinheit übertragen,
die übertragenen
Analyseergebnisse auf ein Anzeigen schadhafter Bestandteile in der
Nachricht ausgewertet und die Nachricht von der dritten Zone zur
zweiten Zone mittels einer zweiten Einwegschleuseneinheit weitergeleitet
wird, falls das Auswerten der übertragenen
Analyseergebnisse jeweils keinen schadhaften Bestandteil in der
Nachricht anzeigt, d.h. die Nachricht frei von schadhaftem Bestandteil
ist.
-
Das
Verfahren ermöglicht
ein sicheres Übertragen
der Nachricht von der ersten zur zweiten Zone. Dabei wird durch
Verwendung mehrerer Analyseeinheiten mit unterschiedlichen Analyseprogrammen
gewährleistet,
dass eine Wahrscheinlichkeit nicht erkannter schadhafter Bestandteile
in der Nachricht reduziert wird. Ferner können Analyseprogramme, die
absichtlich bestimmte schadhafte Bestandteile, wie beispielsweise
Spionage-Cookies, durch Konkurrenzprodukte, das heißt Konkurrenz-Analyseprogramme,
erkannt werden. Unter einem schadhaften Bestandteil wird ein Teil
der Nachricht verstanden, der durch einen Unbefugten, z.B. einen
Virus, einen Wurm und/oder einem Trojaner, erzeugt wird. Ein weiterer
Vorteil des Verfahrens liegt in der Trennung von Weiterleiten und
Analysieren der Nachricht auf schadhafte Bestandteile. Die Analyseeinheiten arbeiten
hierbei autark auf Basis der übermittelten Kopie
der Nachricht, so dass diese Analyseeinheiten keine Änderungen
in der zum Empfänger
weiterzuleitenden Nachricht vornehmen können. Ferner wird durch die
Verwendung der Benachrichtigungseinheiten gewährleistet, dass die Analyseeinheiten
keinen direkten Zugang auf die Auswerteeinheit besitzen. Insbesondere
durch das Pollen der Analyseergebnisse durch die Auswerteeinheit
in den Benachrichtigungseinheiten wird gewährleistet, dass ausschließlich die
Auswerteeinheit einen Zugriff auf die Analyseergebnisse steuert.
Unter Pollen wird das Abfragen der Analyseergebnisse im Abrufbetrieb
verstanden. Im Rahmen dieser Erfindung wird unter der sicheren Übertragung
der Nachricht ein Zustellen der Nachricht an einen Empfänger in
der Art und Weise verstanden, dass zum einen die Nachricht keinen schadhaften
Bestandteil umfasst, der den Empfänger in seiner Sicherheit gefährdet, und
zum anderen durch das Zustellen kein ungewollter Abfluss von Daten
des Empfängers
zu einem Dritten entstehen kann.
-
Vorzugsweise
werden nach Abschluss des Analysierens der Nachricht zumindest bei
einer der Analyseeinheiten eine dazugehörige Speichereinheit und eine
dazugehörige
Programmsoftware gelöscht und
anschließend
eine dazugehörige
vorkonfigurierte Programmsoftware auf der Analyseeinheit installiert.
Hiermit wird erreicht, dass, nach jeder durchgeführten Analyse in der Analyseeinheit,
vorhandene schadhafte Bestandteile, wie zum Beispiel Würmer oder
trojanische Pferde, gelöscht
werden. Hierzu wird die vorkonfigurierte Programmsoftware, die nicht
manipulierbar gespeichert ist, in die dazugehörige Analyseeinheit eingespielt,
wobei zuvor die Speichereinheit und die aktuelle Programmsoftware
der Analyseeinheit gelöscht
worden sind. Ferner wird durch diese Erweiterung erreicht, dass
keine Kopie der Nachricht in der Analyseeinheit verbleibt und zu einem
späteren
Zeitpunkt durch einen Angreifer abgegriffen werden kann. Zudem wird
durch das Löschen
und Neuinstallieren der Programmsoftware gewährleistet, dass Speicher der
Speichereinheit in jedem Fall wieder freigegeben wird. Die vorkonfigurierte
Programmsoftware umfasst neben einem Betriebssystem zumindest noch
ein Analyseprogramm, das die Analyse zum Auffinden von zumindest
einem schadhaften Bestandteil durchführt.
-
Wird
durch die Auswerteeinheit die Nachricht entschlüsselt und eine entschlüsselte Nachricht
als Kopie an die zumindest zwei Analyseeinheiten übertragen,
so wird eine Komplexität
in der bzw. den Analyseeinheiten reduziert, da diese Analyseeinheiten von
der Aufgabe einer Entschlüsselung
der Nachricht bzw. der Kopie der Nachricht befreit werden.
-
In
einer alternativen oder optionalen Ausführungsform wird eine vorkonfigurierte
Programmsoftware zum Steuern einer der Analyseeinheiten von einer
vierten Zone mittels einer dritten Einwegschleuseneinheit zu einer
der Analyseeinheiten übertragen. Hierdurch
wird gewährleistet,
dass Updates der Programmsoftware, die neben einem Betriebssystem auch
das Analyseprogramm umfasst, eingespielt werden können. Somit
können
die Analyseeinheiten aktuell gehalten werden, wobei in einfacher
Art und Weise über
die dritte Einwegschleuseneinheit Updates einspielbar sind.
-
Vorzugsweise
werden der Auswerteeinheit drei Schnittstellen zugewiesen, wobei
- – die
erste Schnittstelle nur mit der ersten Einwegschleuseneinheit zum
Empfang der Nachricht von der ersten Einwegschleuseneinheit verbunden
ist,
- – die
zweite Schnittstelle nur mit den Analyseeinheiten verbunden und
nur zum Übertragen
der jeweiligen Kopie der Nachricht in Richtung der Analyseeinheiten
geeignet ist,
- – die
dritte Schnittstelle nur mit den Benachrichtigungseinheiten zum
Pollen und Übertragen
der Analyseergebnisse verbunden ist.
-
Die
Verwendung dieser drei dedizierten Schnittstellen zeigt den Vorteil,
dass Kommunikationen zur beziehungsweise von der Auswerteeinheit klar
trennbar sind, und zudem vermieden wird, dass die Analyseeinheiten
direkten Zugriff auf die Nachricht erhalten. Durch diese Erweiterung
wird eine Sicherheit bei der Übertragung
der Nachricht von der ersten zur zweiten Zone erhöht.
-
Vorzugsweise
wird die dritte Zone durch ein abgeschlossenes Netzwerk gebildet,
wobei mittels der ersten Einwegschleuseneinheit die Nachricht von der
ersten Zone in der dritten Zone empfangen wird, mittels der zweiten
Einwegschleuseneinheit die Nachricht von der dritten Zone an die
zweite Zone übertragen
wird, mittels der dritten Einwegschleuseneinheit eine vorkonfigurierte
Programmsoftware an zumindest eine der Analyseeinheiten in die dritte Zone übertragen
wird. Durch diese vorzugsweise Erweiterung des Verfahrens wird eine
weitere Steigerung der Sicherheit des Verfahrens erzielt, da ein
ungewollter Zugriff auf die Nachricht in der dritten Zone erschwert
wird.
-
Wird,
falls eine Zeitschranke überschritten ist,
das Pollen der Analyseergebnisse eingestellt und auf Basis der bereits übertragenen
Analyseergebnisse das Auswerten der Analyseergebnisse durchgeführt, so
kann das Verfahren auch eingesetzt werden, falls zumindest eine
der Analyseeinheiten kein Analyseergebnis liefert. Ferner kann hierdurch
erkannt werden, dass möglicher
Weise die Nachricht doch schadhafte Bestandteile umfasst, da das
Ausbleiben zumindest eines Analyseergebnisses einer Analyseeinheit
ein Indiz sein kann, dass ein möglicher schadhafter
Bestandteil die Analyseeinheit zum Absturz gebracht hat.
-
Ferner
umfasst die Erfindung ein Prüfsystem zum
sicheren Übertragen
einer Nachricht von einer ersten Zone in eine zweite Zone, wobei
das Prüfsystem
folgende Einheiten umfasst:
- – Erste
Einwegschleuseneinheit zum Übertragen der
Nachricht von der ersten Zone zu einer Auswerteeinheit einer dritten
Zone;
- – Auswerteeinheit
zum
- – Weiterleiten
von jeweils einer Kopie der Nachricht zu zumindest zwei von N Analyseeinheiten;
- – Pollen
von Analyseergebnissen mittels einer jeweiligen Anfragenachricht;
- – Auswerten
der übertragenen
Analyseergebnisse auf ein Anzeigen schadhafter Bestandteile in der
Nachricht bzw. in der Kopie der Nachricht;
- – Weiterleiten
der Nachricht an eine zweite Einwegschleuseneinheit, falls das Auswerten
der übertragenen
Analyseergebnisse jeweils keinen schadhaften Bestandteil in der
Nachricht anzeigt, das heißt
die Nachricht frei von schadhaftem Bestandteil ist.
- – Zumindest
zwei Analyseeinheiten zum Analysieren der Nachricht auf zumindest
einen schadhaften Bestandteil, wobei in jeder Analyseeinheit ein unterschiedliches
Analyseprogramm ausgeführt wird,
und zum Übergeben
eines jeweiligen Analyseergebnisses in eine der jeweiligen Analyseeinheit
zugeordneten Benachrichtigungseinheit;
- – Benachrichtigungseinheit
zum Speichern der Analyseergebnisse und zum Übertragen der Analyseergebnisse
mittels einer jeweiligen Abfragenachricht an die Abfrageeinheit;
- – Zweite
Einwegschleuseneinheit zum Weiterleiten der Nachricht von der dritten
Zone zu der zweiten Zone.
-
Mit
Hilfe des Prüfsystems
kann das Verfahren implementiert und ausgeführt werden.
-
Die
Einheiten sind jeweils mittels drahtgebundener Verbindung, z. B.
LAN (LAN – Local
Area Network) oder ISDN (ISDN – Integrated
Services Digital Network), und/oder mittels drahtloser Verbindung,
z. B. WLAN (WLAN – Wireless
LAN) miteinander verbunden.
-
Die
Erfindung und ihre Weiterbildungen werden nachfolgend anhand einer
Zeichnung näher
erläutert.
-
Die
einzige Figur zeigt ein Ausführungsbeispiel,
bei dem eine Nachricht von einer ersten Zone über eine dritte Zone in eine
zweite Zone übertragen wird,
wobei in der dritten Zone eine Überprüfung der Nachricht
auf schädliche
Bestandteile mit Hilfe mehrerer Analyseeinheiten durchgeführt wird.
-
Elemente
mit gleicher Funktion und Wirkungsweise sind in der Figur mit denselben
Bezugszeichen versehen.
-
Im
folgenden Ausführungsbeispiel
soll eine Nachricht EM, beispielsweise eine E-Mail, von einem ersten
Nutzer im Intranet, d.h. eine ersten Zone Z1, zu einem Empfänger EME
in einem Hochsicherheitsnetz einer zweiten Zone Z2 übertragen
werden. Dazu wird die Nachricht EM durch eine Empfangseinheit EE,
beispielsweise einem Exchange Server der Firma Microsoft, empfangen.
Die Empfangseinheit leitet die Nachricht EM an eine erste Einwegschleuseneinheit
ES1 weiter. Einwegschleuseneinheiten haben im Allgemeinen die Eigenschaft,
dass Nachrichten ausschließlich
in einer Richtung übertragen
werden können,
wobei eine Übertragung
in entgegengesetzter Richtung physikalisch unterbunden wird. Einwegschleuseneinheiten
sind einem Fachmann beispielsweise aus [1] bekannt. Die erste Einwegschleuseneinheit
ES1 leitet die Nachricht EM von der ersten Zone in eine dritte Zone
Z3 weiter, wobei die Nachricht mittels einer ersten Schnittstelle
I1 durch eine Auswerteeinheit AE entgegengenommen wird.
-
In
einem weiteren Schritt erstellt die Auswerteeinheit Kopien K der
Nachricht EM und leitet jeweils eine Kopie K an zumindest zwei Analyseeinheiten A1,...,
AN weiter. Hierzu verwendet die Analyseeinheit AE eine zweite Schnittstelle
I2, die lediglich mit den Analyseeinheiten verbunden und nur zum Übertragen
der Kopie in Richtung der Analyseeinheiten geeignet ist. Die Analyseeinheiten
A1,..., AN übernehmen
die jeweilige Kopie K der Nachricht und analysieren diese auf zumindest
einen schadhaften Bestandteil. Im Rahmen dieser Ausführungen
wird als schadhafter Bestandteil ein beispielsweise der Nachricht
zugefügter
Teil verstanden, der durch einen Angreifer der Nachricht hinzugefügt worden
ist, wie beispielsweise ein Virus, ein Trojaner oder ein Cookie. Jede
der Analyseeinheiten verfügt über ein
unterschiedliches Analyseprogramm, welches die Analyse durchführt. Hierbei
werden vorzugsweise Analyseprogramme unterschiedlicher Hersteller
als auch unterschiedliche Analyseprogramme eines Herstellers in
Betracht gezogen, da durch Verwendung unterschiedlicher Analyseprogramme
eine Wahrscheinlichkeit zum Entdecken schadhafter Bestandteile erhöht wird.
Ferner kann durch Verwendung unterschiedlicher Analyseprogramme
unterschiedlicher Hersteller auch vermieden werden, dass bestimmte schadhafte
Bestandteile, wie zum Beispiel Spionage-Cookies, zum Übertragen
von vertraulichen Daten einer Nachricht durch zumindest ein Analyseprogramm
erkannt werden, die durch ein weiteres Analyseprogramm, möglicher
Weise bewusst, nicht detektiert werden.
-
Nach
Analysieren der Kopien durch die jeweiligen Analyseeinheiten wird
das jeweilige Analyseergebnis in eine der jeweiligen Analyseeinheit
zugeordneten Benachrichtigungseinheit B1,..., BN übergeben.
Als Analyseergebnis E1,..., EN kann beispielsweise ein binärer Wert
0, 1 übermittelt
werden, wobei dieser binäre
Wert folgende Aussage wiedergibt:
- – 0: Kein
schadhafter Bestandteil wurde detektiert;
- – 1:
Zumindest ein schadhafter Bestandteil wurde erkannt.
-
Somit
liegen in den Benachrichtigungseinheiten B1,..., BN beispielsweise
folgende N Analyseergebnisse E1,..., EN vor: B1 (E1 = 0); 32 (E2
= 0); B3 (E3 = 1);...BE (EN = 1).
-
Bereits
während
und/oder nachdem die Analyseeinheiten die Analyse durchführen, beziehungsweise
durchgeführt
haben, plolt die Auswerteeinheit mit Hilfe einer jeweiligen Anfragenachricht
P die Benachrichtigungseinheiten B1,..., BN, ob ein jeweiliges Analyseergebnis
vorliegt. Bei Vorliegen wird mit Hilfe einer jeweiligen Abfragenachricht
Q das Analyseergebnis von einer der Benachrichtigungseinheiten zur
Auswerteeinheit übermittelt,
z. B. Q(E1).
-
Nachdem
die Analyseergebnisse der Auswerteeinheit vorliegen, wertet diese
die übertragenen Analyseergebnisse
auf ein Anzeigen schadhafter Bestandteile in der Nachricht EM aus.
Bei Verwendung von binären
Analyseergebnissen kann durch Verknüpfung der Analyseergebnisse
mit dem binären Operator
UND ein Auswerteergebnis AY erzeugt werden. Dieses lautet: AY = E1 UND E2 UND... UND EN = 1.
-
Zeigt
eines der Analyseergebnisse einen schadhaften Bestandteile an, wie
beispielsweise E3 = 1, so wird durch die UND-Verknüpfung das Auswerteergebnis
zu 1. In diesem Fall wird die Nachricht EM nicht an den Empfänger EM
in der zweiten Zone Z2 weitergeleitet. Zeigt keines der Analyseergebnisse einen
schadhaften Bestandteil an, so ergibt sich bei Verwendung der UND-Verknüpfung das
Auswerteergebnis AY = 0. Somit ergibt sich:
- AY = 0
- Kein schadhafter Bestandteil
in der Nachricht
- AY = 1
- Zumindest ein schadhafter
Bestandteil in der Nachricht erkannt
-
In
dem Fall AY=0 leitet die Auswerteeinheit AE die Nachricht EM an
eine zweite Einwegschleuseneinheit ES2 weiter, die die Nachricht
von der dritten in die zweite Zone Z3, Z2 via der zweiten Einwegschleuseneinheit
ES2 an den Empfänger
EM schickt.
-
In
einer Erweiterung kann nach Abschluss der Analyse auf zumindest
einen schadhaften Bestandteil in der jeweiligen Analyseeinheit in
zumindest einer der Analyseeinheiten eine dazugehörige Speichereinheit
SE und eine dazugehörige
Programmsoftware gelöscht
und anschließend
eine dazugehörige
vorkonfigurierte Programmsoftware PSV in der Analyseeinheit installiert
werden. Die vorkonfigurierte Programmsoftware umfasst neben einem Betriebssystem
das zu verwendende Analyseprogramm. Durch Ausführen der Analyse zum Auffinden von
schadhaften Bestandteilen kann es zu Veränderungen in der Programmsoftware
kommen, so das durch Löschen
und neues Einspielen der vorkonfigurierten Programmsoftware eine
Verbreitung zumindest eines schadhaften Bestandteils der Kopie der Nachricht
in der jeweiligen Analyseeinheit vermieden werden kann. Die Programmsoftware
PS entspricht vor Durchführung
der Analyse der vorkonfigurierten Programmsoftware PSV.
-
In
einer alternativen Erweiterung kann die vorkonfigurierte Programmsoftware
von einer vierten Zone Z4 mittels einer dritten Einwegschleuseneinheit ES3
zu der jeweiligen Analyseeinheit übertragen werden. Dies kann
notwendig werden, falls Updates in der vorkonfigurierten Programmsoftware
benötigt werden.
Beispielsweise sollen neuartige Würmer und Trojaner in dem Analyseprogramm
der ersten Analyseeinheit A1 erkannt werden. Dazu wird auf einer
separaten Recheneinheit in der vierten Zone eine neue vorkonfigurierte
Programmsoftware PSV für
die erste Analyseeinheit A1 erstellt. Diese vorkonfigurierte Programmsoftware
PSV wird anschließend über die dritte
Einwegschleuseneinheit auf die erste Analyseeinheit A1 an Stelle
der dort abgespeicherten vorkonfigurierten Programmsoftware aufgespielt.
Somit kann nach Updaten der vorkonfigurierten Programmsoftware die
erste Analyseeinheit neuartige Würmer und
Trojaner erkennen.
-
In
einer Weiterbildung der Erfindung ist die dritte Zone ein abgeschlossenes
Netzwerk, wobei die dritte Zone nur mittels der ersten Einwegschleuse
die Nachricht von der ersten Zone empfängt, mittels der zweiten Einwegschleuse
die Nachricht an die zweite Zone überträgt und mittels der dritten
Einwegschleuse die vorkonfigurierte Programmsoftware an zumindest
eine der Analyseeinheiten übertragen
wird.
-
Ferner
kann das Verfahren derart erweitert werden, dass, falls eine Zeitschranke
TS überschritten
wird, das Pollen der Analyseergebnisse eingestellt und auf Basis
der bereits übertragenen
Analyseergebnisse das Auswerten der Analyseergebnisse, das heißt das Erstellen
des Auswerteergebnisses AY, durchgeführt wird. Mit dieser Erweiterung
wird erreicht, dass, falls beispielsweise die erste Analyseeinheit
A1 kein Analyseergebnis liefert, weil es auf Grund eines schadhaften
Bestandteils der Kopie der Nachricht zu einem Absturz gekommen ist,
zumindest nach Erreichen der Zeitschranke TS, zum Beispiel TS =
30 Sekunden, das Auswerteergebnis mit Hilfe der dann zur Verfügung stehenden
Analyseergebnisse erstellt werden kann. Ferner kann das Ausbleiben
eines Analyseergebnisses durch die Auswerteeinheit dahingehend interpretiert
werden, dass ein schadhafter Bestandteil die jeweilige Analyseeinheit
derart beeinflusst hat, dass diese kein Analyseergebnis liefert.
Somit kann in dieser Variante durch die Auswerteeinheit das Ausbleiben
zumindest einer der Analyseergebnisse dahin interpretiert werden, dass
ein schadhafter Bestandteil in der Nachricht EM vorliegt. In diesem
Fall wird die Nachricht EM nicht an den Empfänger EME weitergeleitet.
-
In
einer weiteren Ausführungsform
kann die Auswerteeinheit die Nachricht entschlüsseln und die entschlüsselte Nachricht
als Kopie den Analyseeinheiten weiterleiten. Dies hat den Vorteil,
dass die Analyseeinheiten eine geringe Komplexität aufweisen, da diese von zusätzlichen
Aufgaben neben der Analyse, wie zum Beispiel dem Entschlüsseln, entlastet
werden.
-
Das
vorgestellte Verfahren kann durch ein Prüfsystem SYS zum sicheren Übertragen
einer Nachricht von der ersten Zone in die zweite Zone mit folgenden
Einheiten realisiert werden:
- – die erste
Einwegschleuse ES1 zum Übertragen der
Nachricht von der ersten Zone zu der Auswerteeinheit in der dritten
Zone;
- – die
Auswerteeinheit zum Weiterleiten von jeweils einer Kopie K der Nachricht
EM zu zumindest zwei der N Analyseeinheiten A1,..., AN, Pollen der
Analyseergebnisse E1,..., EN mittels der jeweiligen Anfragenachricht
P und Übertragen
der Analyseergebnisse E1,..., EN mittels der jeweiligen Abfragenachricht
Q von den Benachrichtigungseinheiten E1, ..., BN, wobei N der Anzahl der
Analyseeinheiten entspricht;
- – Weiterleiten
der Nachricht EM an die zweite Einwegschleuseneinheit ES2, falls
das Auswerten der übertragenen
Analyseergebnisse jeweils keinen schadhaften Bestandteil in der
Nachricht EM anzeigt;
- – die
zumindest zwei Analyseeinheiten zum Analysieren der Nachricht auf
zumindest einen schadhaften Bestandteil, wobei in jeder Analyseeinheit eines
der unterschiedlichen Analyseprogramme ausgeführt wird und zum Übergeben
des jeweiligen Analyseergebnisses E1,..., EN in eine der jeweiligen
Analyseeinheiten A1,..., AN zugeordneten Benachrichtigungseinheit
B1,..., EN;
- – die
Benachrichtigungseinheit B1,..., EN zum Speichern des jeweiligen
Analyseergebnisses E1,..., EN;
- – die
zweite Einwegschleuse zum Weiterleiten der Nachricht EM von der
dritten Zone Z3 zu der zweiten Zone Z2.
-
Das
Prüfsystem
SYS ist in einer Erweiterung optional derart ausgestaltet, dass
die Erweiterungen des Verfahrens ausführbar sind. Das Prüfsystem
ist in Hardware oder in einer Kombination aus Hard- und Software
implementiert und ausgeführt.
-
Literaturangaben:
-
[1]
Produkt "Lockkeeper" der Siemens AG, siehe
http://www.siemens.ch/Daten/siecom/Switzerland/ICS/Inter net/ICS_Unitwide/WORKAREA/chicsedi/templatedata/English/
file/binary/sie%20ics%20lockkeeper%20e_1280802.pdf