DE102012208290A1 - Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung - Google Patents

Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung Download PDF

Info

Publication number
DE102012208290A1
DE102012208290A1 DE201210208290 DE102012208290A DE102012208290A1 DE 102012208290 A1 DE102012208290 A1 DE 102012208290A1 DE 201210208290 DE201210208290 DE 201210208290 DE 102012208290 A DE102012208290 A DE 102012208290A DE 102012208290 A1 DE102012208290 A1 DE 102012208290A1
Authority
DE
Germany
Prior art keywords
request
response
state
communication network
gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE201210208290
Other languages
English (en)
Other versions
DE102012208290B4 (de
Inventor
Andreas Jakoby
Marco Feuchter
Pascal Birnstill
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV
Original Assignee
Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV filed Critical Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV
Priority to DE201210208290 priority Critical patent/DE102012208290B4/de
Publication of DE102012208290A1 publication Critical patent/DE102012208290A1/de
Application granted granted Critical
Publication of DE102012208290B4 publication Critical patent/DE102012208290B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Eine Netzübergangskomponente bzw. ein (1, ε)-Gateway 101 für einen Netzübergang zwischen einem ersten Kommunikationsnetz 301 und einem zweiten Kommunikationsnetz 302 weist folgende Merkmale auf: erste und zweite Schnittstelle 201, 202 zur Kommunikation mit dem ersten bzw. zweiten Kommunikationsnetz. Die Netzübergangskomponente umfasst ferner eine Anfrageverarbeitung 120 zum Empfangen von Anfragen, zur Zuweisung von jeweiligen eindeutigen Identifizierern zu den Anfragen und zur Weitergabe der Anfragen und der jeweiligen eindeutigen Identifizierer an das zweite Kommunikationsnetz 302. Die Netzübergangskomponente 101 umfasst weiterhin eine Zustandsmaschine 130, die konfiguriert ist, für jede Anfrage zumindest den eindeutigen Identifizierer von der Anfrageverarbeitung 120 zu empfangen und einen Anfragezustand für die Anfrage auf einen gültigen Zustandswert zu setzen und mit Bezug auf den eindeutigen Identifizierer zu speichern. Ferner umfasst die Netzübergangskomponenten noch eine Antwortverarbeitung 150, die konfiguriert ist, von dem zweiten Kommunikationsnetz 302 Antworten auf die Anfragen zu empfangen. Eine reguläre Antwort enthält einen Antwortidentifizierer, der dem jeweiligen eindeutigen Identifizierer der entsprechenden Anfrage entspricht. Die Antwortverarbeitung 150 ist ferner konfiguriert, die Zustandsmaschine 130 mittels des Antwortidentifizierers nach dem Anfragezustand abzufragen. Die Anwortverarbeitung ist auch konfiguriert, die Antwort an die erste Schnittstelle zur Übergabe an das erste Kommunikationsnetz zu übergeben, wenn der Anfragezustand den gültigen Zustandswert hat.

Description

  • Ausführungsbeispiele der vorliegenden Erfindung beziehen sich auf eine Netzübergangskomponente. Weitere Ausführungsbeispiele der vorliegenden Erfindung beziehen sich auf ein Verfahren zum Verarbeiten von Anfragen und zugeordneten Antworten an einem Netzübergang. Weitere Ausführungsbeispiele der vorliegenden Erfindung beziehen sich auf ein Computerprogramm zur Ausführung des Verfahrens mittels eines Computers bzw. Prozessors. Weitere Ausführungsbeispiele der vorliegenden Erfindung beziehen sich auf ein (1‚ ε)-Gateway als zuverlässiger Schutz gegen Datenlecks und Cyberangriffe.
  • Das Jahr 2011 wurde durch eine Serie von Datenlecks bei namhaften amerikanischen und japanischen aber auch deutschen Unternehmen und Regierungsorganisationen gekennzeichnet. Diese Lecks lassen sich zum größten Teil auf Sicherheitslücken in Webanwendungen zurückführen. Es wird geschätzt, dass sich alleine die Summe der gestohlenen personenbezogenen Daten für das Jahr 2011 auf 65 Millionen Datensätze belaufen (wobei die Sicherheitslücke bei Facebook vom Dezember 2011 mit einer Gefährdung von ca. 850 Millionen Datensätzen nicht berücksichtigt wurde). Insgesamt wurde 2011 über 137 Datenlecks berichtet, dies stellt mehr als eine Verdopplung gegenüber dem Vorjahr (61 Meldungen von Datenlecks) dar. Basierend auf diesen Zahlen wurde das Jahr 2011 in einer Mitteilung zum 4. OWASP Day 2011 (Open Web Application Security Project) als das Jahr der Datenlecks im Internet bezeichnet.
  • Ob bei den betroffenen Firmen und Organisationen angemessene Systeme zur Gewährleistung einer Datensicherheit (Firewalls, IDS (engl.: „intrusion detection system”, also etwa „Angriffserkennungssystem”), Datenleckprävention (engl.: „Data-Leakage-Prevention”)) installiert waren oder ob diese versagt haben, lässt sich aus den publizierten Informationen nicht erkennen. Daher kann es auch nicht überraschen, dass unter einigen Experten der Ruf nach einer physikalischen Trennung des Internets in unabhängige Teilnetze lauter wird. Durch eine rein physikalische Trennung kann jedoch die Sicherheit der einzelnen Systeme nicht garantiert werden, wie das Beispiel des unter dem Namen „Stuxnet” bekannt gewordenen Computerwurms demonstriert. Vielmehr kann erwartet werden, dass bei einer vollständigen physikalischen Trennung des Internets in Teilnetze ein Datentransfer zwischen den Netzen mit Hilfe von Datenträgern wie USB-Sticks erfolgen wird.
  • Eine nähere Betrachtung zeigt, dass nicht die physikalische Überlappung einzelner Netze die Gefahr von Datenlecks in sich birgt, sondern vielmehr die Möglichkeit, dass Daten aus einem Sicherheitsbereich in ein öffentliches Netz fließen. Dieses führte zur Betrachtung von Datendioden bzw. One-Way-Gateways, welche einen Informationsfluss in nur eine Richtung aus einem „schwarzen” Quellnetz in ein „rotes” Hochsicherheitszielnetz zulassen. Insbesondere bei interaktiven Anwendungen, wie beispielsweise im E-Commerce, ist diese Beschränkung nicht praktikabel. Im Allgemeinen möchte ein Benutzer einer entsprechenden Anwendung nicht nur Daten in ein System eingeben, sondern auch eine Reaktion darauf erhalten.
  • Verschiedene bestehende Lösungsansätze, welche das beschriebene Problem adressieren, basieren darauf, unberechtigte Zugriffe mit Hilfe von
    • – Firewalls
    • – Datendioden
    • – Demilitarisierten Zonen
    • – Intrusion Detection Systeme
    • – Intrusion Prevention Systeme
    zu lösen. Diese Ansätze haben das Ziel, unberechtigte Zugriffe auf das System entweder weitgehend zu verhindern, oder diese zu erkennen. Da die Systeme für einen generellen Einsatz bei der Systemsicherung konzeptioniert wurden, müssen diese jedoch bei einem berechtigten Zugriff einen beliebig großen Datenabfluss erlauben. Gelingt es somit einem Angreifer das Sicherheitssystem zu umgehen oder sich gegenüber diesem als berechtigte Person fälschlicherweise auszuweisen, so sind diese Schutzmaßnahmen umgangen. Die Ausnahme bildet hier die Datendiode (oder auch One-Way-Gateway): dieses Vorrichtung verbietet jeglichen Rückfluss an Daten und stellt somit keine Lösung für das oben beschriebene Problem dar.
  • Der vorliegende Erfindung liegt somit die Aufgabe zugrunde, einen regulären Datenfluss an einer Schnittstelle zu ermöglichen und einen möglicherweise schädlichen oder missbräuchlichen Datenfluss an der Schnittstelle dagegen zu detektieren und/oder zu unterbinden. Der vorliegenden Erfindung kann zusätzlich oder alternativ dazu die Aufgabe zugrunde liegen
  • Zumindest eine dieser Aufgabe(n) wird gelöst durch eine Netzübergangskomponente gemäß Anspruch 1, ein Verfahren gemäß Anspruch 12 und ein Computerprogramm gemäß Anspruch 15.
  • Ausführungsbeispiele der vorliegenden Erfindung schaffen eine Netzübergangskomponente (z. B. engl.: „Gateway”) für einen Netzübergang zwischen einem ersten Kommunikationsnetz und einem zweiten Kommunikationsnetz. Die Netzübergangskomponente weist eine erste Schnittstelle zur Kommunikation mit dem ersten Kommunikationsnetz und eine zweite Schnittstelle zur Kommunikation mit dem zweiten Kommunikationsnetz auf. Die Netzübergangskomponente weist weiterhin eine Anfrageverarbeitung zum Empfangen von Anfragen aus dem ersten Kommunikationsnetz auf. Die Anfrageverarbeitung ist auch konfiguriert zur Zuweisung von jeweiligen eindeutigen Identifizierern zu den Anfragen und zur Weitergabe der Anfragen und der jeweiligen eindeutigen Identifizierer an das zweite Kommunikationsnetz. Weiterhin weist die Netzübergangskomponente eine Zustandsmaschine auf, die konfiguriert ist, für jede Anfrage zumindest den eindeutigen Identifizierer von der Anfrageverarbeitung zu empfangen und einen Anfragezustand für die Anfrage auf einen gültigen Zustandswert zu setzen und mit Bezug auf den eindeutigen Identifizierer zu speichern. Die Netzübergangskomponente weist auch eine Antwortverarbeitung auf, die konfiguriert ist, von dem zweiten Kommunikationsnetz Antworten auf die Anfragen zu empfangen. Eine jede Antwort enthält einen Antwortidentifizierer, der dem jeweiligen eindeutigen Identifizierer der entsprechenden Anfrage entspricht. Die Antwortverarbeitung ist ferner konfiguriert, die Zustandsmaschine mittels des Antwortidentifizierers nach dem Anfragezustand abzufragen. Die Anwortverarbeitung ist ferner auch konfiguriert, die Antwort an die erste Schnittstelle zur Übergabe an das erste Kommunikationsnetz zu übergeben, wenn der Anfragezustand den gültigen Zustandswert hat.
  • Weitere Ausführungsbeispiele der vorliegenden Erfindung schaffen eine Netzübergangskomponente für einen Netzübergang zwischen einem ersten Kommunikationsnetz und einem zweiten Kommunikationsnetz, die folgende Merkmalen aufweist: eine erste Schnittstelle zur Kommunikation mit dem ersten Kommunikationsnetz, eine zweite Schnittstelle zur Kommunikation mit dem zweiten Kommunikationsnetz und eine Nachrichtenverarbeitung. Die Nachrichteneinrichtung ist konfiguriert, von der zweiten Schnittstelle Nachrichten aus dem zweiten Kommunikationsnetz zu empfangen. Die Nachrichtenverarbeitung ist ferner konfiguriert, jeweilige Längen der Nachrichten mit einer Solllänge zu vergleichen und nur Nachrichten mit einer innerhalb eines Toleranzbereichs um die Solllänge liegenden Länge an die erste Schnittstelle zur Übergabe an das erste Kommunikationsnetz zu übergeben.
  • Bei Ausführungsbeispielen der vorliegende Erfindung wird ein regulärer Datenfluss aus dem zweiten Kommunikationsnetz (z. B. ein Hochsicherheitsnetz oder ein sogenanntes „rotes” Netz) in Richtung des ersten Kommunikationsnetzes (z. B. ein öffentliches Netz) zugelassen, wenn dieser Datenfluss bestimmte (vordefinierte) Bedingungen erfüllt, zum Beispiel, dass eine Größe der Antwort bzw. Nachricht, die aus dem zweiten Kommunikationsnetz stammt, einer Solllänge (ggf. unter Berücksichtigung eines Toleranzbereichs) entspricht. Insbesondere wird gefordert, dass der Datenfluss aus dem zweiten Kommunikationsnetz in einem Zusammenhang steht mit einem vorherigen Datenfluss aus dem ersten Kommunikationsnetz, der Anfrage. Auf diese Weise kann zum Beispiel verhindert werden, dass selbst bei Vorhandensein eines Schadprogramms (z. B. Computerwurm, Spähprogramm oder Schnüffelsoftware (engl. „spyware”), etc.) innerhalb des zweiten Kommunikationsnetzes dieses Schadprogramm Daten selbständig an einen Empfänger übermitteln kann, der innerhalb des ersten Kommunikationsnetzes lokalisiert ist. Der Datenfluss bzw. Datenrückfluss aus dem zweiten Kommunikationsnetz in das erste Kommunikationsnetz unterliegt somit einer oder mehreren Bedingungen, die einen regulären Datenfluss auszeichnen, von einem unbefugten oder missbräuchlichen Datenfluss oftmals nicht erfüllt werden können.
  • Ausführungsbeispiele der vorliegenden Erfindung werden Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:
  • 1 ein schematisches Anwendungsszenario für eine Netzübergangskomponente gemäß Ausführungsbeispielen;
  • 2 eine schematisch dargestellte Einsatzumgebung der Netzübergangskomponente bzw. des (1, ε)-Gateways gemäß Ausführungsbeispielen;
  • 3 eine schematische Darstellung der Kommunikationsverbindungen der Netzübergangskomponente bzw. des (1, ε)-Gateways gemäß Ausführungsbeispielen;
  • 4 ein schematische Blockschaltbild einer Netzübergangskomponente bzw. eines (1, ε)-Gateways gemäß Ausführungsbeispielen;
  • 5 ein schematisches Blockschaltbild einer Netzübergangskomponente bzw. eines (1, ε)-Gateways gemäß weiteren Ausführungsbeispielen;
  • 6 ein schematisches Blockschaltbild einer Netzübergangskomponente bzw. eines (1, ε)-Gateways gemäß noch weiteren Ausführungsbeispielen;
  • 7 ein schematisches Blockschaltbild einer Netzübergangskomponente bzw. eines (1, ε)-Gateways gemäß noch weiteren Ausführungsbeispielen;
  • 8 ein schematisches Zustandsdiagramm für den Zustand eines Anfrage-Antwort-Paars während ihrer Verarbeitung durch eine Netzübergangskomponente gemäß Ausführungsbeispielen; und
  • 9 ein schematisches Flussdiagram eines Verfahrens zum Verarbeiten von Anfragen und zugeordneten Antworten an einem Netzübergang gemäß Ausführungsbeispielen.
  • In der nachfolgenden Beschreibung werden in den Figuren gleiche oder gleichwirkende Elemente mit den gleichen Bezugszeichen versehen, so dass deren Beschreibung in den unterschiedlichen Ausführungsbeispielen untereinander austauschbar ist.
  • Wie eingangs erwähnt zeigt eine nähere Betrachtung, dass nicht die physikalische Überlappung einzelner Netze die Gefahr von Datenlecks in sich birgt, sondern vielmehr die Möglichkeit, dass Daten aus einem Sicherheitsbereich in ein öffentliches Netz fließen. Das (1, ε)-Gateway bzw. die Netzübergangskomponente gemäß Ausführungsbeispielen stellt eine Lösung für dieses Problem dar. Zum Beispiel kann dieses Gateway bzw. diese Netzübergangskomponente einen Rückkanal dergestalt erlauben, dass für jede Anfrage aus einem öffentlichen Netz maximal ein Datenpaket einer beschränkten Länge aus einem geschützten in das schwarze Netz fließt. Ein massiver Datenklau, z. B. durch extensives Auslesen einer Datenbank, ist so nicht mehr möglich. Die Bezeichnung „(1, ε)-Gateway” bedeutet, den kompletten Informationsfluss in eine Richtung durchzulassen, daher die „1”. In die andere Richtung ist der Informationsfluss allerdings beschränkt, daher das „ε”.
  • Basierend auf diesem Konzept sind verschiedene Anwendungen denkbar. Werden beispielsweise die Einträge einer Kundendatenbank verschlüsselt abgelegt, so ist es ausreichend, wenn die Schlüsseldatenbank in einem geschützten Netz installiert wird. Ist die Antwortlänge im (1, ε)-Gateway auf die Schlüssellänge beschränkt, dann kann mit jeder Anfrage nur ein Schlüssel aus der Schlüsseldatenbank gelesen und somit auch nur ein Datensatz aus der eigentlichen Datenbank entschlüsselt werden.
  • Das neue (1, ε)-Gateway löst das oben beschriebene Problem, indem es den Daten-Rückfluss soweit beschränkt, dass einerseits ein interaktiver Einsatz immer noch möglich ist und andererseits der Datenabfluss auf das Nötigste beschränkt werden kann.
  • 1 zeigt als Beispiel ein schematisches Anwendungsszenario mit einer Schlüsseldatenbank für ein (1, ε)-Gateway bzw. eine Netzübergangskomponente gemäß Ausführungsbeispielen. An dem Anwendungsszenario sind bei diesem Beispiel die folgenden Netzkomponenten beteiligt: ein Anwendercomputer 11, eine erste Firewall 12, ein Webserver 13, die Netzübergangskomponente bzw. das (1, ε)-Gateway 101, eine Schlüsseldatenbank 14, eine zweite Firewall 15 und eine verschlüsselte Datenbank 16. Die Kommunikation zwischen den einzelnen Netzkomponenten läuft wie folgt ab, wobei die Nummerierung von 1 bis 7 sich auf die Pfeile in 1 bezieht:
    • 1. Eine sicherheitskritische Anfrage des Anwendercomputers 11 erreicht über die Firewall 12 den Webserver 13.
    • 2. Der Webserver 13 fordert über das (1, ε)-Gateway 101 einen Schlüssel aus der Schlüsseldatenbank 14.
    • 3. Ein AES-Schlüssel (256 Bit) wird an den Webserver 13 gesendet. Die Konfiguration des (1, ε)-Gateway 101 garantiert, dass nur genau ein Schlüssel gesendet wird.
    • 4. Datensatz aus verschlüsselter Datenbank 16 wird angefordert (via zweiter Firewall 15).
    • 5. Verschlüsselter Datensatz wird an Webserver 13 gesendet (via zweiter Firewall 15).
    • 6. Datensatz wird auf dem Webserver 13 entschlüsselt.
    • 7. Antwort wird über das Internet (und erste Firewall 12) an Anfragenden 11 zurück gesendet.
  • Das (1‚ ε)-Gateway bzw. die Netzübergangskomponente 101 bietet zuverlässigen bzw. vergleichsweise besseren Schutz gegen Datenlecks und Cyber-Angriffe. Datenlecks und Cyber-Angriffe stellen Netzwerkadministratoren und Datensicherheitsbeauftragte zurzeit vor folgende Herausforderungen:
    • – Firewalls schützen primär vor eingehenden Angriffen.
    • – Angreifern gelingt es immer wieder, Schutzmechanismen zu umgehen.
    • – Sensible Daten können entwendet werden und vom Datenbankserver ungehindert zum Angreifer übermittelt werden.
    • – Ausgehende Daten müssen überprüft werden.
  • Gemäß zumindest einigen Ausführungsbeispielen eines (1‚ ε)-Gateways wird dieser Herausforderung durch folgende Innovation begegnet:
    • – Die Antworten des Datenbankservers werden auf eine konfigurierte Länge geprüft.
    • – Es wird sicher gestellt, dass nur genau eine Antwort ausgegeben wird.
    • – Der Abfluss größerer Datenmengen wird verhindert.
    • – Antworten von manipulierten Abfragen gelangen nicht zum Angreifer.
  • 2 stellt ein schematische Blockschaltbild eines (1, ε)-Gateways bzw. einer Netzübergangskomponente 101 gemäß Ausführungsbeispielen dar. 3 stellt auf schematische Weise die Kommunikationsverbindungen des (1, ε)-Gateways dar. Es wird nun anhand der 2 und 3 der Aufbau des (1, ε)-Gateways 101 beschrieben und eine allgemeine Funktionsbeschreibung angegeben.
  • Das (1, ε)-Gateway 101 stellt ein zustandsbehaftetes Kommunikations-Device mit drei Interfaces Ir bzw. 202, Is bzw. 201 und Ik bzw. 203 dar. Die Interfaces Ir 202 und Is 201 dienen zur Kommunikation mit dem roten Netz 302 bzw. dem schwarzen Netz 301 und Ik 203 zur Konfiguration und zum Auslesen interner Daten, wie beispielsweise Log-Dateien. Das (1‚ ε)-Gateway 101 stellt die folgende Funktionalität zur Verfügung. Es nimmt Anfragen aus dem schwarzen Netz 301 entgegen (Pfeil 1 in 3), verwaltet diese Anfragen (Pfeil 2 in 3) und leitet sie an eine Gegenstelle im roten Netz 302 weiter (Pfeil 3 in 3). Für jede Anfrage erlaubt das (1, ε)-Gateway 101 genau eine Antwort, d. h. einen Datenfluss über Ir 201 und Is 201 aus dem roten Netz 302 in das schwarze Netz 301 (Pfeile 4, 5 und 6 in 3). Für die Antworten aus dem roten Netz 302 müssen außerdem, gemäß einigen Ausführungsbeispielen, eine Längenbeschränkung und eine maximale Zeitdifferenz zwischen Anfrage und zugehöriger Antwort eingehalten werden. Beide Parameter sind über Ik 203 konfigurierbar.
  • Die Anfrage vom schwarzem Netz 301 über das (1, ε)-Gateway 101 ins rote Netz 302 wird im Folgenden als Schwarz-Rot-Kommunikation und die Antwort vom roten Netz 302 über das (1, ε)-Gateway ins schwarze Netz 301 wird als Rot-Schwarz-Kommunikation bezeichnet.
  • Da eine Anfrage nicht in jedem Fall in Echtzeit beantwortet werden kann (z. B. falls die Antwort eine komplexe kryptographische Operation erfordert), wird auf dem (1, ε)-Gateway 101 für jede Anfrage ein Zustand gespeichert. Erreicht eine Antwort aus dem roten Netz 302 das (1, ε)-Gateway 101, so wird auf den Zustand zurückgegriffen, um die Antwort der zugehörigen Anfrage zuordnen zu können.
  • Konfiguration des (1, ε)-Gateway über die Schnittstelle Ik
  • Das (1, ε)-Gateway wird über die Schnittstelle Ik konfiguriert. Konfiguriert werden können die folgenden Parameter:
  • Filterparameter
    • 1. Länge der Antwort aus dem roten Bereich auf eine Anfrage aus dem schwarzen Bereich
    • 2. Maximale Zeitdifferenz, die zwischen einer Anfrage aus dem schwarzen Bereich und der dazugehörigen Antwort aus dem roten Bereich liegen darf
  • Logparameter
    • 3. Log-Level
    • 4. Anweisungen zum Auslesen der Log-Dateien über die Schnittstelle Ik
    • 5. Anweisungen zur Speicherung der Log-Dateien auf dem (1, ε)-Gateway
  • Beschreibung der funktionalen Zusammenhänge
  • Der Anfrage-/Antwort-Kommunikationsablauf stellt sich wie folgt dar:
    • 1. Kommunikation vom Schwarzen Netz 301 zum (1, ε)-Gateway 101
    • 2. Verarbeitung eingehender Anfragen innerhalb des (1, ε}-Gateways 101
    • 3. Kommunikation vom (1, ε)-Gateway zum Roten Netz 302
    • 4. Kommunikation vom Roten Netz 302 zum (1, ε)-Gateway 101
    • 5. Verarbeitung ausgehender Antworten innerhalb des (1‚ ε)-Gateway 101
    • 6. Kommunikation vom (1‚ ε)-Gateway zum Schwarzen Netz 301
  • Schwarz-Rot-Kommunikation
  • Die Schwarz-Rot-Kommunikation erfordert, dass Daten, d. h. Anfragen, aus dem schwarzen Netz 301 über das (1, ε)-Gateway in das rote Netz 302 fließen. Hierbei muss Zuverlässigkeit der Übertragung gewährleistet werden, d. h. der korrekte Empfang einer Anfrage im roten Netz 301 muss sichergestellt werden. Gleichzeitig muss ein impliziter Rückfluss von Daten aus dem roten Netz 302 in das schwarze Netz 301 unterbunden werden.
  • Rot-Schwarz-Kommunikation
  • Für jede Schwarz-Rot-Kommunikation, die eine Anfrage in das rote Netz 302 transportiert, lässt das (1‚ ε)-Gateway 101 genau eine Rot-Schwarz-Kommunikation zu (in alternativen Ausführungsbeispielen: genau eine vorbestimmte maximale Anzahl von Rot-Schwarz-Kommunikationen), die eine Antwort zurück in das schwarze Netz 301 transportiert. Hierbei stellt das (1, ε)-Gateway 101 sicher, dass die Antwort der konfigurierten Länge entspricht und dass die konfigurierte Antwortzeit nicht überschritten wird. Antworten aus dem roten Netz 302, welche nicht der konfigurierten Länge entsprechen oder die konfigurierte Zeitdifferenz überschreiten, werden durch das (1, ε)-Gateway 101 blockiert bzw. verworfen. Für jede Anfrage aus dem schwarzen Netz 301 wird maximal ein Antwortversuch (bzw. N Antwortversuche, wobei N die vorbestimmte maximale Anzahl ist) aus dem roten Netz 302 zugelassen. Diese Restriktion gilt unabhängig davon, ob die Antwort erfolgreich an das schwarze Netz 301 gesendet oder aufgrund der konfigurierten Parameter verworfen wurde. Die Zuordnung von Antworten zu Anfragen wird durch Zustandshaltung auf dem (1, ε)-Gateway realisiert. Die Zustandshaltung wird im folgenden Abschnitt konzeptionell beschrieben. Die Implementierung der Rot-Schwarz-Kommunikation wird ebenfalls weiter unten die TCP/IPbasierten (1, ε)-Gateways 101 beschrieben.
  • Umsetzung der Zustandshaltung im (1, ε)-Gateway
  • Die Funktionalität des (1, ε)-Gateways 101 erlaubt es, dass zwischen einer Schwarz-Rot-Kommunikation (d. h. einer Anfrage) und der dazugehörigen Rot-Schwarz-Kommunikation (d. h. der entsprechenden Antwort) eine beliebig große Zeitdifferenz liegen kann, deren maximale Länge konfiguriert werden kann. Ferner ist es möglich, dass zwischen diesen beiden Zeitpunkten eine beliebige Anzahl weiterer Schwarz-Rot- und Rot-Schwarz-Kommunikationen durchgeführt werden können. Daher müssen die beiden Kommunikationsrichtungen als getrennte Kommunikationen aufgefasst werden. Um den Zusammenhang zwischen den beiden zusammengehörigen Kommunikationen herstellen zu können, muss das (1, ε)-Gateway 101 den Zustand vergangener Schwarz-Rot-Kommunikationen speichern. Dieses erfolgt wie folgt:
    Jede Schwarz-Rot-Kommunikation wird mit einer eineindeutigen Identifakationsnummer beim Durchgang durch das (1, ε)-Gateway 101 versehen. Diese Identifikationsnummer wird auf Seiten des (1, ε)-Gateways 101 gespeichert und dient zur Identifikation der korrespondierenden Rot-Schwarz-Kommunikation. Folglich muss diese Identifikationsnummer auf Seiten des roten Netzes der entsprechenden Rot-Schwarz-Kommunikation mitgegeben werden. Das (1, ε)-Gateway 101 überprüft für eine Rot-Schwarz-Kommunikation, ob die dazugehörige Identifikationsnummer gültig ist (siehe unten) und ob die vorgegebene Längenschranke der Daten eingehalten wird. Sind beide Bedingungen erfüllt, dann entfernt das (1‚ ε)-Gateway die entsprechende Identifikationsnummer und leitet die Daten an das schwarze Netz weiter.
  • Eine Identifikationsnummer ist gültig, wenn
    • 1. diese für eine für eine Schwarz-Rot-Kommunikation vergeben wurde,
    • 2. diese noch nicht für eine Rot-Schwarz-Kommunikation zum Einsatz kam und
    • 3. seit ihrer Vergabe für eine Schwarz-Rot-Kommunikation die konfigurierte Zeitschranke noch nicht überschritten wurde.
  • Aus Gründen der Effizienz speichert das (1, ε)-Gateway 101 nur gültige Identifikationsnummern. Erreicht das (1, ε)-Gateway 101 eine Rot-Schwarz-Kommunikation mit einer gültigen Identifikationsnummer, so wird diese aus dem Speicher des (1, ε)-Gateways 101 gelöscht. Dieses garantiert, dass für jede Schwarz-Rot-Kommunikation maximal eine Rot-Schwarz-Kommunikation erfolgen kann. Ferner existiert eine effizient berechenbare Funktion, welche eine Abbildung von der Identifikationsnummer auf den Zeitpunkt der Generierung der Identifikationsnummer darstellt. Diese Abbildung erlaubt es, veraltete Identifikationsnummern zu erkennen und aus dem Speicher zu entfernen.
  • Detaillierte Funktionsbeschreibung für TCP/IP als Beispiel
  • Das (1, ε)-Gateway 101 nimmt sowohl Anfragen aus dem schwarzen Netz 301 als auch Antworten aus dem roten Netz 302 via TCP-Sessions entgegen, d. h. sowohl für Ir als auch für Is wird ein TCP-Port konfiguriert, auf dem das (1, ε)-Gateway 101 lauscht.
  • Um eine Anfrage zu stellen, initiiert eine Gegenstelle im schwarzen Netzwerk 301 entsprechend eine TCP-Verbindung und sendet darüber die Anfrage an das (1, ε)-Gateway 101. Sobald die Anfrage vollständig empfangen und ein Zustand für die Anfrage gespeichert wurde, baut das (1, ε)-Gateway 101 die TCP-Session wieder ab. Für das Weiterleiten der Anfrage in das rote Netz 302 wird durch das (1, ε)-Gateway 101 eine neue TCP-Session mit der Gegenstelle im roten 302 Netz initiiert. Über diese TCP-Session wird zunächst die für die Anfrage vergebene Identifikationsnummer dann die Anfrage übertragen. Sobald die Anfrage vollständig zur Gegenstelle im roten Netz 302 übertragen wurde, wird die TCP-Session wieder abgebaut. Somit müssen keine TCP-Verbindungen aufrechterhalten werden, während die Gegenstelle im roten Netz 302 die Anfrage bearbeitet, d. h. es müssen keine TCP-Ports dauerhaft belegt werden.
  • Sobald die Gegenstelle im roten Netz die Anfrage bearbeitet hat, wird diese zusammen mit der Identifikationsnummer der Anfrage über eine neue TCP-Session zum (1, ε)-Gateway 101 übertragen. Dieses baut die TCP-Verbindung anschließend ab, durchsucht seinen Zustandsspeicher nach der zugehörigen Anfrage, überprüft die Länge der Antwort sowie die zulässige Zeitdifferenz seit der Anfrage und leitet die Antwort schließlich über eine weitere neue TCP-Session zur entsprechenden Gegenstelle im schwarzen Netz 301 weiter.
  • Übertragen auf das ISO/OSI-Schichtenmodell bedeutet dieser Ablauf, dass jede Nachricht vom schwarzen Netz 301 in das rote Netz 302 wie auch jede Nachricht vom roten Netz 302 in das schwarze Netz 301 auf Anwendungsschicht bearbeitet wird. Während das Überprüfen der Antwortlänge prinzipiell auch auf Vermittlungs- bzw. Transportschicht geschehen kann (Grundfunktionalität eines Paketfilters wie z. B. iptables), ist dies für die Zuordnung von Antworten zu Anfragen genauso wie die Überprüfung der Zeitdifferenz zwischen Anfrage und Antwort nicht möglich. Entsprechend bleibt es der Implementierung überlassen, auf welcher Schicht die Längenüberprüfung der Antworten umgesetzt wird. Ein Vorteil einer Längenüberprüfung auf tieferen Schichten ist allerdings, dass Nachrichten mit unzulässiger Länge frühzeitig verworfen werden können, so dass unnötige Kontext-Switches zwischen Protokoll-Stack und Anwendungsschicht vermieden werden können.
  • Folgende Parameter sind bei Ausführungsbeispielen für den Betrieb des (1, ε)-Gateways 101 auf TCP/IP-Basis zusätzlich zu konfigurieren bzw. konfigurierbar.
  • Adressparameter der Schnittstellen Is und Ir:
    • 1. IP-Adresse des (1, ε)-Gateways 101 an der Schnittstelle Is
    • 2. Port über den das (1, ε)-Gateway 101 an der Schnittstelle Is erreichbar ist
    • 3. IP-Adresse der Gegenstelle des (1, ε)-Gateway an der Schnittstelle Is
    • 4. Port über den die Gegenstelle des (1, ε)-Gateways 101 an der Schnittstelle Is erreichbar ist
    • 5. IP-Adresse des (1, ε)-Gateways 101 an der Schnittstelle Ir
    • 6. Port über den das (1, ε)-Gateway 101 an der Schnittstelle Ir erreichbar ist
    • 7. IP-Adresse der Gegenstelle des (1, ε)-Gateways 101 an der Schnittstelle Ir
    • 8. Port über den die Gegenstelle des (1, ε)-Gateways 101 an der Schnittstelle Ir erreichbar ist
  • Beispiel für die Zustandshaltung auf Seiten des (1, ε)-Gateways
  • Als Identifikationsnummer wird der Zeitpunkt in Millisekunden herangezogen, an dem die entsprechende Schwarz-Rot-Kommunikation das (1, ε)-Gateway 101 erreicht. Zur Speicherung der Identifikationsnummer auf Seiten des (1, ε)-Gateways 101 wird eine leere Datei erzeugt, deren Name der Identifikationsnummer entspricht. Um eine effiziente Suche nach dieser Datei zu ermöglichen wird diese Datei in einem Verzeichnisbaum abgelegt, wobei der Pfad sich aus einzelnen Komponenten der Zeitangabe zusammensetzt. Ein solcher Pfad hat z. B. den folgenden Aufbau:
    „wievielte Minute am Tag”/„wievielte Sekunde in der Minute”/„Identifikationsnummer”
  • Dieser Aufbau erlaubt eine effiziente Überprüfung, ob eine angegebene Identifikationsnummer gültig ist sowie eine effiziente Entfernung veralteter Identifikationsnummern.
  • Die Beschränkung der Antwortlänge stellt eine einfach zu testende Eigenschaft eines Kommunikationsstroms dar. Somit kann dieser Test sehr effizient erfolgen. Basierend auf einem solchen generischen Tool können eine Reihe unterschiedlicher Protokolle entwickelt werden, wie zum Beispiel die Schlüssel-Abfrage um auf eine verschlüsselte Datenbank zuzugreifen (siehe z. B. Anwendungsbeispiel von 1).
  • Die hardwaremäßige Trennung von Kommunikations- und Konfigurationsschnittstellen verhindert, dass ein Angreifer das (1, ε)-Gateway 101 manipulieren kann.
  • Das (1‚ ε)-Gateway 101 kann in alle Bereichen zum Einsatz kommen, wo eine Antwort von Seiten des zu sichernden Netzes auf eine feste Länge begrenzt werden kann. Bei einem zusätzlichen Einsatz einer komponentenweise verschlüsselten Datenbank, kann der Einsatz des (1, ε)-Gateways 101 auf beliebige Datensätze ausgedehnt werden. Eine Anwendung findet das (1, ε)-Gateway 101 folglich in allen Bereichen, wo Daten von außen zugänglich sein müssen, jedoch vor dem Zugriff von unbefugten geschützt werden müssen, und wo ein Unbefugter ein besonderes Interesse am Auslesen großer Datenmengen haben könnte. Ein solches Anwendungsgebiet stellt primär der Bereich des e-Commerce dar. Weitere Anwendungsgebiete sind Systeme, welche auf Eingabe eines Datenstroms diesen bezüglich gewisser Eigenschaften analysieren (z. B. bei der Authentifikation einer Person) oder Systeme zum Generieren einer digitalen Unterschrift für einen Datenstrom.
  • Ein weiteres Ausführungsbeispiel könnte somit durch ein verteiltes System gebildet werden, welches verteilte System umfasst: einen Webserver 13, eine Netzübergangkomponente 101 gemäß einem der hierin beschriebenen Ausführungsbeispiele, eine Schlüsseldatenbank 14 und eine verschlüsselte Datenbank 16. Der Webserver 13 ist konfiguriert, primäre Anfragen aus dem ersten Kommunikationsnetz 301 zu empfangen. Der Webserver 13 ist weiterhin konfiguriert, einen zur Beantwortung einer bestimmten primären Anfrage benötigten Schlüssel, der in der Schlüsseldatenbank 14 gespeichert ist, zu bestimmen und eine entsprechende sekundäre Anfrage (entsprechend der oben erwähnten „Anfrage”) an die Netzübergangskomponente ((1, ε)-Gateway) 101 zu schicken. Der Webserver ist weiterhin konfiguriert, auf der Grundlage der primären Anfrage eine Datenbankabfrage für die verschlüsselte Datenbank 16 zu erzeugen und an diese zu schicken. Die Netzübergangskomponente 101 registriert die sekundäre Anfrage wie zuvor beschrieben und gibt sie zusammen mit einem Identifizierer an die Schlüsseldatenbank 14 weiter. Die Schlüsseldatenbank 14 sucht daraufhin den entsprechenden Schlüssel und sendet diesen in Form einer Antwort samt Antwortidentifizierer an die Netzübergangskomponente 101 zurück. Die Netzübergangskomponente 101 prüft die eingehende Antwort anhand des Antwortidentifizierers auf ihre Gültigkeit und leitet die Antwort bei festgestellter Gültigkeit an den Webserver weiter. Der Webserver 13 ist ferner konfiguriert, eine von der verschlüsselten Datenbank 16 eingehende verschlüsselte Datenbankantwort mittels des von der Schlüsseldatenbank 14 via der Netzübergangskomponente 101 empfangenen Schlüssels zu entschlüsseln und eine entsprechende entschlüsselte Datenbankantwort an den Anwendercomputer 11 zu schicken.
  • 4 zeigt ein schematisches Blockschaltbild einer Netzübergangskomponente bzw. eines (1, ε)-Gateways 101 gemäß Ausführungsbeispielen. Die Netzübergangskomponente 101 umfasst eine erste Schnittstelle 201 zur Kommunikation mit dem ersten Kommunikationsnetz 301 und eine zweite Schnittstelle 202 zur Kommunikation mit dem zweiten Kommunikationsnetz 302. Die Kommunikationsnetze 301, 302 können insbesondere paketvermittelte Kommunikationsnetze und/oder Computernetzwerke (z. B. TCP/IP-basierte Netze) sein. Die Netzübergangskomponente 101 umfasst des Weiteren eine Anfrageverarbeitung 120, eine Zustandsmaschine 130 und eine Antwortverarbeitung 150. Über die erste Schnittstelle 201 erreichen Anfragen aus dem ersten Kommunikationsnetz 301 die Netzübergangskomponente 101. Diese Anfragen dienen in der Regel dazu, mit einer Netzwerkkomponente zu kommunizieren, die sich im zweiten Kommunikationsnetz 302 befindet. Im Rahmen einer derartigen Kommunikation werden auch Daten aus dem zweiten Kommunikationsnetz 302 an die anfragende Netzwerkkomponente innerhalb des ersten Kommunikationsnetz 301 gesendet. Derartige Daten können vertraulicher Natur sein und/oder der Geheimhaltung bedürfen, insbesondere wenn es sich bei dem zweiten Kommunikationsnetz 302 beispielsweise um ein Hochsicherheitsnetz bzw. ein so genanntes ”rotes Netz” handelt.
  • Die Anfrageverarbeitung 120 empfängt die eingegangene Anfrage von der ersten Schnittstelle 201. Bevor die Anfrageverarbeitung 120 die Anfrage an die zweite Schnittstelle 202 übergibt, erzeugt sie einen eindeutigen Identifizierer für die soeben eingegangene Anfrage und weist diesen eindeutigen Identifizierer der entsprechenden Anfrage zu. Die Anfrage wird gemeinsam mit ihrem zugewiesenen Identifizierer an die zweite Schnittstelle 202 übergeben, von wo sie an die entsprechende Ziel-Netzwerkkomponente innerhalb des zweiten Kommunikationsnetz ist 302 gesendet wird.
  • Die Anfrageverarbeitung 120 übermittelt den für die aktuelle Anfrage erzeugten Identifizierer auch an die Zustandsmaschine 130. Die Zustandsmaschine 130 erzeugt nun eine neue Instanz zur Zustandshaltung (den ”Anfragezustand”) für die aktuelle Anfrage und eine gegebenenfalls eintreffende, zugeordnete Antwort auf die aktuelle Anfrage. Die neue Instanz zur Zustandshaltung bzw. der Anfragezustand wird nun von der Zustandsmaschine 130 mit Bezug auf den eindeutigen Identifizierer gespeichert. Die neue Instanz zur Zustandshaltung wird dabei von der Zustandsmaschine 130 zunächst auf einen gültigen Zustandswert initialisiert. Gemäß einigen Ausführungsbeispielen kann bereits die bloße Existenz einer Instanz zur Zustandshaltung, welche der aktuellen Anfrage zugeordnet ist, als gültiger Zustandswert interpretiert werden, wohingegen die Abwesenheit einer entsprechenden Instanz zur Zustandshaltung implizit als ungültiger Zustandswert interpretiert werden kann. Zum Beispiel kann die Instanz zur Zustandshaltung durch eine Datei innerhalb eines Dateisystems der Netzübergangskomponente repräsentiert werden, deren Dateiname in Abhängigkeit von dem eindeutigen Identifizierer der aktuellen Anfrage gewählt wurde. So lange diese Datei innerhalb des Dateisystems existiert, bedeutet dies für den Anfragezustand, dass er den gültigen Zustandswert hat. Existiert diese Datei dagegen nicht mehr, so bedeutet dies für den Anfragezustand, dass er einen ungültigen Zustandswert aufweist.
  • Nach Senden der Anfrage und des zugeordneten Identifizierer an die Ziel-Netzwerkkomponente innerhalb des zweiten Kommunikationsnetzes 302 wartet die Netzübergangskomponente 101 zumindest eine gewisse Zeit auf eine entsprechende Antwort auf die Anfrage. Eine ankommende Antwort aus dem zweiten Kommunikationsnetz 302 wird von der zweiten Schnittstelle 202 an die Antwortverarbeitung 150 übergeben. Jede reguläre Antwort, die aus dem zweiten Kommunikationsnetz 302 an die Netzübergangskomponente 101 gesendet wird, enthält einen Antwortidentifizierer, der dem jeweiligen eindeutigen Identifizierer der entsprechenden Anfrage entspricht, wobei diese Entsprechung zum Beispiel darin bestehen kann, dass der eindeutigen Identifizierer (welcher der Anfrage zugeordnet ist) und der entsprechende Antwortidentifizierer identisch sind. Die Entsprechungen kann aber auch auf andere Weise implementiert werden, wobei für die Zustandsmaschine 130 jedoch (eindeutig) feststellbar sein muss, ob der Antwortidentifizierer einer an der zweiten Schnittstelle 202 eingehenden Antwort einem zuvor gesendeten Identifizierer zugeordnet werden kann. Eine Antwort, die keinen Antwortidentifizierer enthält, wird von der Netzübergangskomponente 101 als irreguläre Antwort identifiziert, die das zweite Kommunikationsnetz 302 nicht verlassen darf. Die Netzübergangskomponente 101 kann eine derartige irreguläre Antwort zum Beispiel entweder direkt löschen oder zur späteren Analyse durch einen Netzwerkadministrator speichern.
  • Die Antwortverarbeitung 150 fragt mittels des Antwortidentifizierers die Zustandsmaschine 130 nach dem entsprechenden Anfragezustand (Instanz der Zustandshaltung) ab. Die Zustandsmaschine 130 bestimmt daraufhin den Zustandswert des Anfragezustands und übermittelt diesen Zustandswert zurück an die Antwortverarbeitung 150. Wenn der Anfragezustand den gültigen Zustandswert hat, übergibt die Antwortverarbeitung 150 die Antwort an die erste Schnittstelle, von wo sie an das erste Kommunikationsnetz 301 übergeben wird. Auf diese Weise erlangt eine nach den konfigurierten Regeln der Netzübergangskomponente 101 reguläre Antwort aus dem zweiten Kommunikationsnetz 302 zu der anfragenden Netzwerkkomponente (zum Beispiel der Anwendercomputer 11 in 1) innerhalb des ersten Kommunikationsnetz 301.
  • 5 zeigt ein schematisches Blockschaltbild einer Netzübergangskomponente bzw. eines (1, ε)-Gateways 101 gemäß weiteren Ausführungsbeispielen. Die Netzübergangskomponente 101 umfasst eine erste Schnittstelle 201 zur Kommunikation mit dem ersten Kommunikationsnetz 301 und eine zweite Schnittstelle 202 zur Kommunikation mit dem zweiten Kommunikationsnetz 302. Im Gegensatz zum in 4 dargestellten Ausführungsbeispiel umfasst die Netzübergangskomponente 101 des in 5 dargestellten Ausführungsbeispiels lediglich die Nachrichtenverarbeitung 550, nicht jedoch die Anfrageverarbeitung und die Zustandsmaschine. Die Nachrichtenverarbeitung 550 erfüllt im Wesentlichen dieselbe Aufgabe wie die Antwortverarbeitung 150 des in 4 dargestellten Ausführungsbeispiels. Unter der Annahme, dass es sich bei dem zweiten Kommunikationsnetz 302 wiederum um ein Hochsicherheitsnetz oder ein ähnliches zu schützendes Netz handelt, werden Nachrichten, die von dem zweiten Kommunikationsnetz 302 in Richtung des ersten Kommunikationsnetzes 301 über die Netzübergangskomponente 101 fließen, daraufhin geprüft, ob sie bestimmten Kriterien bzw. Bedingungen genügen. Im vorliegenden Fall umfasst die Nachrichtenverarbeitung 550 ein Modul zur Größenprüfung 554. Die Größe bzw. Länge einer Nachricht wird von der Größenprüfung 554 mit einer Solllänge verglichen. Optional kann zusätzlich noch ein Toleranzbereich berücksichtigt werden. Die Solllänge und gegebenenfalls der Toleranzbereich können mittels Konfiguration an die Nachrichtenverarbeitung 550 bzw. das Größenprüfungsmodul 554 übergeben werden. Weicht die Länge der aus dem zweiten Kommunikationsnetz 302 stammenden Nachricht um mehr als gemäß dem Toleranzbereich zulässig von der Solllänge ab, so wird die Nachricht nicht an die erste Schnittstelle 201 zur anschließenden Weitergabe an das erste Kommunikationsnetz 301 übergeben, sondern in der Regel gelöscht.
  • 6 zeigt ein schematisches Blockschaltbild einer Netzübergangskomponente bzw. eines (1, ε)-Gateways 101 gemäß einem weiteren Ausführungsbeispiel, bei welchem die Zustandshaltungen für jeweils ein Anfrage/Antwort-Paar mit einer Größenprüfung bzw. Längenprüfung der Antwort kombiniert wird. Zu diesem Zweck umfasst die Netzübergangskomponente 101 gemäß dem in 6 dargestellten Ausführungsbeispiel eine Anfrageverarbeitung 26, eine Zustandsmaschine 630 und eine Antwortverarbeitung 650. Die Antwortverarbeitung 650 umfasst ihrerseits noch ein Größenprüfungsmodul 654.
  • Die Funktionsweise der in 6 dargestellten Netzübergangskomponente 101 weicht von der in 4 dargestellten Netzübergangskomponente dahin gehend ab, dass die Antwortverarbeitung 650 aufgrund der von dem Größenprüfungsmodul 654 durchgeführten Größenprüfung eine Information an die Zustandsmaschine 630 übergibt, aus der hervorgeht ob die Größe der geprüften Antwort den vor konfigurierten Vorgaben hinsichtlich Solllänge und Toleranz entspricht. Diese Informationen von der Antwortverarbeitung 650 an die Zustandsmaschine 630 kann als eine Aufforderung an die Zustandsmaschine zur Zustandsänderung für den durch den entsprechenden Antwortidentifizierer identifizierten Anfragezustand aufgefasst werden. Die Zustandsmaschine 630 kann dann konfiguriert sein, die Aufforderung zur Zustandsänderung zu empfangen und den identifizierten Anfragezustand auf einen anderen Zustandswert als den gültigen Zustandswert zu setzen. Alternativ kann die Zustandsmaschine 630 den Anfragezustand auch direkt löschen, wodurch gemäß Ausführungsbeispielen der Anfragezustand implizit auf einen ungültigen Zustandswert gesetzt wird. Dementsprechend übergibt die Antwortverarbeitung 650 die Antwort nicht an die erste Schnittstelle 201. Wie im Zusammenhang mit dem in 5 dargestellten Ausführungsbeispiel bereits erwähnt, kann die Antwortverarbeitung 650 bzw. die Nachrichtenverarbeitung 550 auch direkt die Weitergabe der Antwort bzw. Nachricht an die erste Schnittstelle 201 unterbinden. Auf diese Weise ist es insbesondere möglich, dass die Größenprüfungen auf einer relativ niedrigen Schicht des ISO/OSI-Schichtenmodells durchgeführt werden und, zumindest wenn die Antwort nicht den vor konfigurierten Bedingungen hinsichtlich der Solllänge entspricht, die weitere Verarbeitung der Antwort bereits auf dieser relativ niedrigen Schicht gestoppt wird. Auf diese Weise kann der Rechenaufwand für die Netzübergangskomponente 101 reduziert werden im Vergleich zu anderen Lösungen, bei denen das Ergebnis der Größenprüfung erst in höheren Schichten ausgewertet wird.
  • 7 zeigt ein schematisches Blockschaltbild einer Netzübergangskomponente bzw. eines (1, ε)-Gateways 101 gemäß weiteren Ausführungsbeispielen. Das Ausführungsbeispiel gemäß 7 unterscheidet sich von dem Ausführungsbeispiel gemäß 6 dadurch, dass die Zustandsmaschine in Form eines Identifiziererspeichers („ID Speicher”) 730 implementiert ist. Wie im Ausführungsbeispiel von 4 erzeugt die Anfrageverarbeitung 120 für jede an der ersten Schnittstelle 201 eingehende Anfrage einen Identifizierer, den sie sowohl an die Anfrage anhängt, als auch an den Identifizierer Speicher 730 übermittelt. Der Identifiziererspeicher 730 speichert den von der Anfrageverarbeitung 120 übermittelten Identifizierer. Zu den Identifiziererspeicher 730 gehört auch ein Bereinigungsmodul 732, das die in den Identifiziererspeicher 730 enthaltenen Einträge in regelmäßigen Abständen hinsichtlich ihres Alters überprüft und veraltete Einträge aus dem Identifiziererspeicher 730 löscht.
  • Auf Seiten der Antwortverarbeitung 750 umfasst diese wiederum ein Größenprüfungsmodul 754, um die Länge einer an der zweiten Schnittstelle 202 eingehenden Antwort mit einer vorkonfigurierten Solllänge und gegebenenfalls Toleranz zu vergleichen. Die Antwortverarbeitung 750 ist auch konfiguriert, den Antwortidentifizierer aus der eingehenden Antwort zu extrahieren und als Abfrage an den Identifiziererspeicher 730 zu übermitteln.
  • 8 zeigt ein schematisches Zustandsdiagramm für einen Anfrage-Antwort-Paar, das von einer Netzübergangskomponente 101 gemäß Ausführungsbeispielen verarbeitet wird. Solange noch keine Anfrage bei der ersten Schnittstelle 201 eingegangen ist, gibt es auch noch keinen entsprechenden Anfragezustand, was in dem Zustandsdiagramm von 8 durch den fiktiven Zustand „Zustand nicht existent” 802 angedeutet ist.
  • Nach dem Empfangen einer Anfrage gemäß den Zustandsübergang 803 wird eine neue Instanz des Anfragezustands erzeugt und auf den Ausgangszustand „gültig” 804 gesetzt. Im Falle einer regulären Datenkommunikation würde, gemäß dem Zustandsübergang 805, innerhalb einer Zeitdauer, die kleiner ist als eine konfigurierte, maximal zulässige Zeitdauer, eine Antwort an der Netzübergangskomponente 101 empfangen werden, die der Anfrage zugeordnet ist, für die der Anfragezustand mittels der Zustandsmaschine verfolgt wird. Unter der Annahme, dass gemäß Konfiguration der Netzübergangskomponente 101 nur eine einzige Antwort pro Anfrage zulässig ist, nimmt der Anfragezustand daraufhin den Zustandswert ”verbraucht” 806 an. Von diesem geht der Anfragezustand dann über den Zustandsübergang 811 in den fiktiven Zustand ”Zustand gelöscht” 812. Zum Beispiel kann im Rahmen des Zustandsübergangs 811 die entsprechende Instanz des Anfragezustands gelöscht werden.
  • Es kann vorkommen, dass die Antwort auf die aktuelle Anfrage nicht innerhalb einer vorkonfigurierten, maximal zulässigen Zeitdauer eintrifft. In diesem Fall geht der Anfragezustand über den Zustandsübergang 807 („Zeitdauer seit Bestehen von Zustand „gültig” > maximale Zeitdauer”) in den Zustand „Zeitablauf” 808 über. Auch von dem Zustand ”Zeitablauf” 808 kann der Anfragezustand dann über den Zustandsübergang 811 zum (fiktiven) Endzustand 812 übergehen.
  • Als dritte Möglichkeit kann es vorkommen, dass eine Größe der Antwort/Nachricht außerhalb des Toleranzbereichs für die Sollgröße liegt, wie dies durch den Zustandsübergang 809 angedeutet ist. In diesem Fall geht der Anfragezustand in den Zustand „Größenüber-/-unterschreitung”) über, von wo er schließlich über den Zustandsübergang 811 zum (fiktiven) Zustand 812 übergeht.
  • Man beachte, dass bei einigen Ausführungsbeispielen dieses Zustandsdiagram nur einen Teil der dargestellten Zustände und Zustandsübergänge aufweisen könnte. Ebenso kann bei anderen Ausführungsbeispielen das Zustandsdiagram um weitere Zustände und/oder Zustandsübergänge erweitert werden.
  • 9 zeigt ein schematisches Flussdiagramm eines Verfahrens zum Verarbeiten von Anfragen und zugeordneten Antworten an einem Netzübergang zwischen einem ersten Kommunikationsnetz 301 und einem zweiten Kommunikationsnetz 302. Das Verfahren umfasst das Empfangen (Schritt 902) einer Anfrage aus dem ersten Kommunikationsnetz 301, die Zuweisung (Schritt 904) eines eindeutigen Identifizierers zu der Anfrage und die Weitergabe (Schritt 906) der Anfrage und des eindeutigen Identifizierers an das zweite Kommunikationsnetz 302. Das Verfahren umfasst weiterhin das Setzen (Schritt 908) eines der Anfrage zugeordnete Zustands auf einen gültigen Zustandswert und Speichern des Zustands mit Bezug auf den eindeutigen Identifizierer. Bei einem Schritt 910 des Verfahrens wird aus dem zweiten Kommunikationsnetz 302 eine Antwort empfangen, die einen Antwortidentifizierer enthält.
  • Das Verfahren umfasst ferner das Prüfen (Schritt 912), ob zu dem Antwortidentifizierer ein zuvor gespeicherter Identifizierer existiert, und, wenn dies zutrifft, das Feststellen eines entsprechenden Anfragezustands bei Schritt 914.
  • Wenn bei einem weiteren Verzweigungspunkt 915 festgestellt wird, dass der Anfragezustand den Zustand „gültig” hat, wird das Verfahren bei Schritt 916 fortgesetzt, andernfalls bei Schritt 918. Bei Schritt 916 wird die Antwort an die erste Schnittstelle 201 übergeben, und zwar zwecks weiterer Übergabe an das erste Kommunikationsnetz 301. Wenn sich an dem Verzweigungspunkt 912 allerdings herausstellt, dass zu dem Antwortidentifizierer kein gültiger gespeicherter Identifizierer existiert, wird das Verfahren optional bei Schritt 918 fortgesetzt, während welchem die Antwort verworfen wird, wenn der Anfragezustand für den Antwortidentifizierer nicht existiert oder einen anderen als den gültigen Zustandswert hat. Auch in dem Fall, in welchem der Anfragezustand zwar noch existiert, allerdings nicht mehr gültig ist, wird das Verfahren optional bei Schritt 918 fortgesetzt.
  • Bei einigen Ausführungsbeispielen kann das Verfahren weiterhin ein Vergleichen einer Länge der Antwort mit einer Solllänge umfassen. Bei einer Abweichung zwischen Länge und Solllänge, die eine vorbestimmte Toleranz überschreitet, kann der entsprechende Anfragezustand, der dem Antwortidentifizierer entspricht, auf einen anderen Zustandswert als den gültigen Zustandswert gesetzt werden oder der Anfragezustand kann direkt gelöscht werden.
  • Bei einigen Ausführungsbeispielen kann die Zuweisung des eindeutigen Identifizierers in Abhängigkeit eines Empfangszeitpunkts der jeweiligen Anfrage erfolgen. Das Verfahren kann in diesem Fall weiterhin das Bestimmen einer jeweiligen Zeitspanne zwischen einem Empfangszeitpunkt einer jeweiligen Anfrage und einem aktuellen Zeitpunkt umfassen. Bei Überschreiten einer maximalen Zeitspanne kann der entsprechende Anfragezustands auf einen anderen Zustandswert als den gültigen Zustandswert gesetzt werden. Zusätzlich oder alternativ kann der Anfragezustand (unmittelbar) gelöscht werden.
  • In der vorausgehenden detaillierten Beschreibung kann gesehen werden, dass verschiedene Merkmale in Ausführungsbeispielen zusammengruppiert sind. Diese Weise der Offenbarung soll nicht als Absicht verstanden werden, dass die beanspruchten Ausführungsbeispiele mehr Merkmale benötigen, als explizit in dem jeweiligen Anspruch erwähnt sind. Vielmehr ist es so, dass erfinderischer Inhalt in weniger als allen Merkmalen eines einzelnen offenbarten Ausführungsbeispiels liegen kann. Daher sollen die folgenden Ansprüche hiermit als in die Beschreibung aufgenommen gelten, wobei jeder Anspruch für sich als ein separates Ausführungsbeispiel stehen kann. Obwohl jeder Anspruch für sich als separates Ausführungsbeispiel stehen kann, ist anzumerken, dass – obwohl ein abhängiger Anspruch sich in den Ansprüchen auf eine spezifische Kombination mit einem oder mehreren Ansprüchen beziehen kann – andere Ausführungsbeispiele auch eine Kombination dieses abhängigen Anspruchs mit dem Gegenstand von jedem anderen abhängigen Anspruch oder eine Kombination von jedem Merkmal mit anderen abhängigen und unabhängigen Ansprüchen umfassen oder einschließen können. Solche Kombinationen sind hierein vorgeschlagen, sofern nicht explizit ausgedrückt ist, dass eine spezifische Kombination nicht beabsichtigt ist. Weiterhin ist auch beabsichtigt, dass Merkmale eines Anspruches in irgendeinen anderen unabhängigen Anspruch aufgenommen werden können, selbst wenn dieser Anspruch nicht direkt abhängig ist von dem unabhängigen Anspruch.
  • Obwohl manche Aspekte im Zusammenhang mit einer Vorrichtung beschrieben wurden, versteht es sich, dass diese Aspekte auch eine Beschreibung des entsprechenden Verfahrens darstellen, sodass ein Block oder ein Bauelement einer Vorrichtung auch als ein entsprechender Verfahrensschritt oder als ein Merkmal eines Verfahrensschrittes zu verstehen ist. Analog dazu stellen Aspekte, die im Zusammenhang mit einem oder als ein Verfahrensschritt beschrieben wurden, auch eine Beschreibung eines entsprechenden Blocks oder Details oder Merkmals einer entsprechenden Vorrichtung dar. Einige oder alle der Verfahrensschritte können durch einen Hardware-Apparat (oder unter Verwendung eines Hardware-Apparats), wie zum Beispiel einen Mikroprozessor, einen programmierbaren Computer oder eine elektronische Schaltung ausgeführt werden. Bei einigen Ausführungsbeispielen können einige oder mehrere der wichtigsten Verfahrensschritte durch einen solchen Apparat ausgeführt werden.
  • Es ist weiterhin anzumerken, dass in der Beschreibung oder in den Ansprüchen offenbarte Verfahren durch eine Vorrichtung implementiert sein können, die Mittel zum Ausführen der jeweiligen Schritte oder Aktionen dieses Verfahrens aufweist.
  • Weiterhin kann in manchen Ausführungsbeispielen ein einzelner Schritt/Aktion in mehrere Unterschritte unterteilt werden oder mehrere Unterschritte enthalten. Derartige Unterschritte können in der Offenbarung des einzelnen Schritts enthalten und Teil der Offenbarung des einzelnen Schritts sein.
  • Je nach bestimmten Implementierungsanforderungen können Ausführungsbeispiele der Erfindung in Hardware oder in Software implementiert sein. Die Implementierung kann unter Verwendung eines digitalen Speichermediums, beispielsweise einer Floppy-Disk, einer DVD, einer Blu-ray Disc, einer CD, eines ROM, eines PROM, eines EPROM, eines EEPROM oder eines FLASH-Speichers, einer Festplatte oder eines anderen magnetischen oder optischen Speichers durchgeführt werden, auf dem elektronisch lesbare Steuersignale gespeichert sind, die mit einem programmierbaren Computersystem derart zusammenwirken können oder zusammenwirken, dass das jeweilige Verfahren durchgeführt wird. Deshalb kann das digitale Speichermedium computerlesbar sein.
  • Manche Ausführungsbeispiele gemäß der Erfindung umfassen also einen Datenträger, der elektronisch lesbare Steuersignale aufweist, die in der Lage sind, mit einem programmierbaren Computersystem derart zusammenzuwirken, dass eines der hierin beschriebenen Verfahren durchgeführt wird.
  • Allgemein können Ausführungsbeispiele der vorliegenden Erfindung als Computerprogrammprodukt mit einem Programmcode implementiert sein, wobei der Programmcode dahin gehend wirksam ist, eines der Verfahren durchzuführen, wenn das Computerprogrammprodukt auf einem Computer abläuft.
  • Der Programmcode kann beispielsweise auch auf einem maschinenlesbaren Träger gespeichert sein.
  • Andere Ausführungsbeispiele umfassen das Computerprogramm zum Durchführen eines der hierin beschriebenen Verfahren, wobei das Computerprogramm auf einem maschinenlesbaren Träger gespeichert ist.
  • Mit anderen Worten ist ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens somit ein Computerprogramm, das einen Programmcode zum Durchführen eines der hierin beschriebenen Verfahren aufweist, wenn das Computerprogramm auf einem Computer abläuft.
  • Ein weiteres Ausführungsbeispiel der erfindungsgemäßen Verfahren ist somit ein Datenträger (oder ein digitales Speichermedium oder ein computerlesbares Medium), auf dem das Computerprogramm zum Durchführen eines der hierin beschriebenen Verfahren aufgezeichnet ist.
  • Ein weiteres Ausführungsbeispiel des erfindungsgemäßen Verfahrens ist somit ein Datenstrom oder eine Sequenz von Signalen, der bzw. die das Computerprogramm zum Durchführen eines der hierin beschriebenen Verfahren darstellt bzw. darstellen. Der Datenstrom oder die Sequenz von Signalen kann bzw. können beispielsweise dahin gehend konfiguriert sein, über eine Datenkommunikationsverbindung, beispielsweise über das Internet, transferiert zu werden.
  • Ein weiteres Ausführungsbeispiel umfasst eine Verarbeitungseinrichtung, beispielsweise einen Computer oder ein programmierbares Logikbauelement, die dahin gehend konfiguriert oder angepasst ist, eines der hierin beschriebenen Verfahren durchzuführen.
  • Ein weiteres Ausführungsbeispiel umfasst einen Computer, auf dem das Computerprogramm zum Durchführen eines der hierin beschriebenen Verfahren installiert ist.
  • Ein weiteres Ausführungsbeispiel gemäß der Erfindung umfasst eine Vorrichtung oder ein System, die bzw. das ausgelegt ist, um ein Computerprogramm zur Durchführung zumindest eines der hierin beschriebenen Verfahren zu einem Empfänger zu übertragen. Die Übertragung kann beispielsweise elektronisch oder optisch erfolgen. Der Empfänger kann beispielsweise ein Computer, ein Mobilgerät, ein Speichergerät oder eine ähnliche Vorrichtung sein. Die Vorrichtung oder das System kann beispielsweise einen Datei-Server zur Übertragung des Computerprogramms zu dem Empfänger umfassen.
  • Bei manchen Ausführungsbeispielen kann ein programmierbares Logikbauelement (beispielsweise ein feldprogrammierbares Gatterarray, ein FPGA) dazu verwendet werden, manche oder alle Funktionalitäten der hierin beschriebenen Verfahren durchzuführen. Bei manchen Ausführungsbeispielen kann ein feldprogrammierbares Gatterarray mit einem Mikroprozessor zusammenwirken, um eines der hierin beschriebenen Verfahren durchzuführen. Allgemein werden die Verfahren bei einigen Ausführungsbeispielen seitens einer beliebigen Hardwarevorrichtung durchgeführt. Diese kann eine universell einsetzbare Hardware wie ein Computerprozessor (CPU) sein oder für das Verfahren spezifische Hardware, wie beispielsweise ein ASIC.
  • Die oben beschriebenen Ausführungsbeispiele stellen lediglich eine Veranschaulichung der Prinzipien der vorliegenden Erfindung dar. Es versteht sich, dass Modifikationen und Variationen der hierin beschriebenen Anordnungen und Einzelheiten anderen Fachleuten einleuchten werden. Deshalb ist beabsichtigt, dass die Erfindung lediglich durch den Schutzumfang der nachstehenden Patentansprüche und nicht durch die spezifischen Einzelheiten, die anhand der Beschreibung und der Erläuterung der Ausführungsbeispiele hierin präsentiert wurden, beschränkt sei.
  • Bezugszeichenliste
  • 11
    Anwendercomputer
    12
    erste Firewall
    13
    Webserver
    14
    Schlüsseldatenbank
    15
    zweite Firewall
    16
    verschlüsselte Datenbank
    101
    (1,ε)-Gateway
    120
    Anfrageverarbeitung
    130
    Zustandsmaschine
    150
    Antwortverarbeitung
    201
    Interface zum schwarzen Netz Is
    202
    Interface zum roten Netz Ir
    203
    Konfigurations- und Logfile-Interface Ik
    301
    Schwarzes Quellnetz
    302
    Rotes Hochsicherheitszielnetz
    303
    Konfiguration und Logfiles
    401
    Datenfluss aus dem schwarzen Netz zum (1, ε)-Gateway
    402
    Datenfluss aus dem (1, ε)-Gateway zum roten Netz
    403
    Datenfluss aus dem roten Netz zum (1, ε)-Gateway
    404
    Datenfluss aus dem (1, ε)-Gateway zum schwarzen Netz
    550
    Nachrichtenverarbeitung
    554
    Größeprüfungsmodul
    620
    Anfrageverarbeitung
    630
    Zustandsmaschine
    650
    Antwortverarbeitung
    654
    Größenprüfungsmodul
    730
    Identifiziererspeicher
    732
    Bereinigungsmodul
    750
    Antwortverarbeitung
    754
    Größenprüfungsmodul
    802
    (fiktiver) Zustand „Zustand nicht existent”
    803
    Zustandsübergang „Empfangen einer Anfrage”
    804
    Zustand „gültig”
    805
    Zustandsübergang „Empfang einer Antwort, die der Anfrage zugeordnet werden kann”
    806
    Zustand „verbraucht”
    807
    Zustandsübergang „Zeitdauer seit Bestehen von Zustand „gültig” > maximale Zeitdauer”
    808
    Zustand „Zeitablauf”
    809
    Zustandsübergang „Größe der Antwort/Nachricht außerhalb Toleranzbereich für Sollgröße”
    810
    Zustand „Größenüber-/-unterschreitung”
    811
    (fiktiver) Zustandsübergang „Löschen”
    812
    (fiktiver) Zustand „Zustand gelöscht”

Claims (15)

  1. Netzübergangskomponente (101) für einen Netzübergang zwischen einem ersten Kommunikationsnetz (301) und einem zweiten Kommunikationsnetz (302), wobei die Netzübergangskomponente folgende Merkmalen aufweist: eine erste Schnittstelle (201) zur Kommunikation mit dem ersten Kommunikationsnetz; eine zweite Schnittstelle (202) zur Kommunikation mit dem zweiten Kommunikationsnetz; eine Anfrageverarbeitung 120; 620) zum Empfangen von Anfragen aus dem ersten Kommunikationsnetz (301), zur Zuweisung von jeweiligen eindeutigen Identifizierern zu den Anfragen und zur Weitergabe der Anfragen und der jeweiligen eindeutigen Identifizierer an das zweite Kommunikationsnetz (302); eine Zustandsmaschine (130; 630; 730), die konfiguriert ist, für jede Anfrage zumindest den eindeutigen Identifizierer von der Anfrageverarbeitung (120; 620) zu empfangen und einen Anfragezustand für die Anfrage auf einen gültigen Zustandswert zu setzen und mit Bezug auf den eindeutigen Identifizierer zu speichern; und eine Antwortverarbeitung (150; 550; 650; 750), die konfiguriert ist, von dem zweiten Kommunikationsnetz (302) Antworten auf die Anfragen zu empfangen, wobei eine jede reguläre Antwort einen Antwortidentifizierer enthält, der dem jeweiligen eindeutigen Identifizierer der entsprechenden Anfrage entspricht, wobei die Antwortverarbeitung (150; 550; 650; 750) ferner konfiguriert ist, die Zustandsmaschine (130; 630; 730) mittels des Antwortidentifizierers nach dem Anfragezustand abzufragen, und wobei die Anwortverarbeitung ferner konfiguriert ist, die Antwort an die erste Schnittstelle zur Übergabe an das erste Kommunikationsnetz zu übergeben, wenn der Anfragezustand den gültigen Zustandswert hat.
  2. Netzübergangskomponente gemäß Anspruch 1, wobei die Antwortverarbeitung (150; 550; 650; 750) ferner konfiguriert ist, jeweilige Längen der Antworten mit einer Solllänge zu vergleichen und bei einer Abweichung, die eine vorbestimmte Toleranz überschreitet, die Antwort nicht an die erste Schnittstelle (201) zu übergeben.
  3. Netzübergangskomponente gemäß Anspruch 2, wobei die Antwortverarbeitung (150; 550; 650; 750) ferner konfiguriert ist, eine Aufforderung zur Zustandsänderung für den durch den entsprechenden Antwortidentifizierer identifizierten Anfragezustand an die Zustandsmaschine (130; 630; 730) zu übergeben, und wobei die Zustandsmaschine (130; 630; 730) ferner konfiguriert ist, die Aufforderung zur Zustandsänderung zu empfangen und den identifizierten Anfragezustand auf einen anderen Zustandswert als den gültigen Zustandswert zu setzen oder den Anfragezustand zu löschen.
  4. Netzübergangskomponente gemäß Anspruch 2 oder 3, wobei die vorbestimmte Toleranz Null ist, so dass die jeweiligen Längen der Antworten gleich der Solllänge sein müssen, damit der entsprechende Anfragezustand zumindest aufgrund des Längenvergleichs unverändert bleibt.
  5. Netzübergangskomponente gemäß einem der Ansprüche 1 bis 4, wobei die Anfrageverarbeitung ferner konfiguriert ist, die eindeutigen Identifizierer jeweils in Abhängigkeit eines Empfangszeitpunkts der jeweiligen Anfrage zu erzeugen; wobei die Zustandsmaschine (130; 630; 730) ferner konfiguriert ist, für die Anfragezustände jeweils eine Zeitspanne zwischen einem Empfangszeitpunkt der jeweiligen Anfrage und einem aktuellen Zeitpunkt zu bestimmen und bei Überschreiten einer maximalen Zeitspanne den entsprechenden Anfragezustand auf einen anderen Zustandswert zu setzen oder zu löschen.
  6. Netzübergangskomponente gemäß Anspruch 5, die ferner ein Dateisystem umfasst und wobei die eindeutigen Identifizierer durch Dateien innerhalb des Dateisystems repräsentiert werden, deren Pfadangabe zumindest teilweise auf dem Empfangszeitpunkt der jeweiligen Anfrage beruht.
  7. Netzübergangskomponente gemäß Anspruch 6, wobei die Antwortverarbeitung (150; 550; 650; 750) eine Sucheinrichtung umfasst, die konfiguriert ist, den Antwortidentifizierer als Parameter zu empfangen und das Dateisystem nach einer Datei zu durchsuchen, deren Pfadangabe oder Dateinamen den Antwortidentifizierer enthält.
  8. Netzübergangskomponente gemäß Anspruch 6 oder 7, wobei die Antwortverarbeitung (150; 550; 650; 750) eine zeitgesteuerte Löscheinrichtung umfasst, die konfiguriert ist, Dateien zu löschen, die innerhalb eines Bereichs des Dateisystems gespeichert sind, der gemäß den Empfangszeitpunkten benannt ist, zu denen die den jeweiligen Dateien entsprechenden Anfragen empfangen wurden.
  9. Netzübergangskomponente gemäß einem der Ansprüche 1 bis 8, weiter umfassend eine dritte Schnittstelle (203) zur Konfiguration der Netzübergangskomponente (101), wobei die dritte Schnittstelle (203) physikalisch getrennt von der ersten Schnittstelle (201) und der zweiten Schnittstelle (202) ist.
  10. Netzübergangskomponente gemäß einem der Ansprüche 1 bis 9, wobei die Antwortverarbeitung (150; 550; 650; 750) in Kombination mit der Zustandsmaschine (130; 630; 730) konfiguriert ist, für jede Anfrage aus dem ersten Kommunikationsnetz (301) maximal einen Antwortversuch aus dem zweiten Kommunikationsnetz (302) zuzulassen.
  11. Netzübergangskomponente (101) für einen Netzübergang zwischen einem ersten Kommunikationsnetz (301) und einem zweiten Kommunikationsnetz (302), wobei die Netzübergangskomponente folgende Merkmalen aufweist: eine erste Schnittstelle (201) zur Kommunikation mit dem ersten Kommunikationsnetz; eine zweite Schnittstelle (202) zur Kommunikation mit dem zweiten Kommunikationsnetz; eine Nachrichtenverarbeitung (750), die konfiguriert ist, von der zweiten Schnittstelle Nachrichten aus dem zweiten Kommunikationsnetz zu empfangen, jeweilige Längen der Nachrichten mit einer Solllänge zu vergleichen und nur Nachrichten mit einer innerhalb eines Toleranzbereichs um die Solllänge liegenden Länge an die erste Schnittstelle (201) zur Übergabe an das erste Kommunikationsnetz (301) zu übergeben.
  12. Verfahren zum Verarbeiten von Anfragen und zugeordneten Antworten an einem Netzübergang zwischen einem ersten Kommunikationsnetz (301) und einem zweiten Kommunikationsnetz (302), wobei das Verfahren umfasst: Empfangen (902) einer Anfrage aus dem ersten Kommunikationsnetz (301); Zuweisung (904) eines eindeutigen Identifizierers zu der Anfrage; Weitergabe (906) der Anfrage und des eindeutigen Identifizierers an das zweite Kommunikationsnetz (302); Setzen (908) eines der Anfrage zugeordnete Zustands auf einen gültigen Zustandswert und Speichern des Zustands mit Bezug auf den eindeutigen Identifizierer; Empfangen (910) einer Antwort, die einen Antwortidentifizierer enthält, aus dem zweiten Kommunikationsnetz (302); Prüfen (912), ob zu dem Antwortidentifizierer ein zuvor gespeicherter Identifizierer existiert, und, wenn dies zutrifft, Feststellen eines entsprechenden Anfragezustands; und Übergeben (914) der Antwort an die erste Schnittstelle (201) zur Übergabe an das erste Kommunikationsnetz (301), wenn der entsprechende Anfragezustand den gültigen Zustandswert hat.
  13. Verfahren gemäß Anspruch 12, weiterhin umfassend: Vergleichen einer Länge der Antwort mit einer Solllänge; und, bei einer Abweichung zwischen Länge und Solllänge, die eine vorbestimmte Toleranz überschreitet: Setzen des entsprechenden Anfragezustands, der dem Antwortidentifizierer entspricht, auf einen anderen Zustandswert als den gültigen Zustandswert oder Löschen des Anfragezustands.
  14. Verfahren gemäß Anspruch 12 oder 13, wobei die Zuweisung des eindeutigen Identifizierers in Abhängigkeit eines Empfangszeitpunkts der jeweiligen Anfrage erfolgt, und wobei das Verfahren weiterhin umfasst: Bestimmen einer jeweiligen Zeitspanne zwischen einem Empfangszeitpunkt einer jeweiligen Anfrage und einem aktuellen Zeitpunkt; und, bei Überschreiten einer maximalen Zeitspanne, Setzen des entsprechenden Anfragezustands auf einen anderen Zustandswert als den gültigen Zustandswert, oder Löschen des Anfragezustands.
  15. Computerprogramm mit einem Programmcode zur Durchführung des Verfahrens nach einem der Ansprüche 12 bis 14, wenn das Programm auf einem Computer abläuft.
DE201210208290 2012-05-07 2012-05-16 Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung Expired - Fee Related DE102012208290B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201210208290 DE102012208290B4 (de) 2012-05-07 2012-05-16 Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102012207569 2012-05-07
DE102012207569.0 2012-05-07
DE201210208290 DE102012208290B4 (de) 2012-05-07 2012-05-16 Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung

Publications (2)

Publication Number Publication Date
DE102012208290A1 true DE102012208290A1 (de) 2013-11-07
DE102012208290B4 DE102012208290B4 (de) 2014-02-20

Family

ID=49384521

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201210208290 Expired - Fee Related DE102012208290B4 (de) 2012-05-07 2012-05-16 Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung

Country Status (1)

Country Link
DE (1) DE102012208290B4 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016124993A1 (de) 2015-12-22 2017-06-22 Hirschmann Automation And Control Gmbh Netzwerk mit teilweiser unidirektionaler Datenübertragung
CN111028448A (zh) * 2019-12-25 2020-04-17 哈尔滨新中新电子股份有限公司 一卡通系统中pos机与网关之间数据传输方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015205370A1 (de) * 2015-03-25 2016-09-29 Robert Bosch Gmbh Verfahren und Vorrichtung zur Bereitstellung von Daten für eine Zustandsüberwachung einer Maschine

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070274330A1 (en) * 2003-12-20 2007-11-29 Stephan Lietz Network Bridge

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070274330A1 (en) * 2003-12-20 2007-11-29 Stephan Lietz Network Bridge

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016124993A1 (de) 2015-12-22 2017-06-22 Hirschmann Automation And Control Gmbh Netzwerk mit teilweiser unidirektionaler Datenübertragung
CN111028448A (zh) * 2019-12-25 2020-04-17 哈尔滨新中新电子股份有限公司 一卡通系统中pos机与网关之间数据传输方法

Also Published As

Publication number Publication date
DE102012208290B4 (de) 2014-02-20

Similar Documents

Publication Publication Date Title
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
DE602004003518T2 (de) Verfahren und System zum legalen Abfangen von Paketvermittlungsnetzwerkdiensten
DE102014113582B4 (de) Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung
DE19741239C2 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
DE102012109212B4 (de) Methoden, Vorrichtung und Herstellungsprodukte zur Bereitstellung von Firewalls für Prozesssteuerungssysteme
DE112010003454T5 (de) Bedrohungserkennung in einem Datenverarbeitungssystem
DE10052312A1 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE102012208290B4 (de) Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung
DE10146361B4 (de) Verteiltes System
EP3152874A1 (de) Routing-verfahren zur weiterleitung von task-anweisungen zwischen computersystemen, computernetz-infrastruktur sowie computerporgamm-produkt
EP3105898B1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur
EP3152660A1 (de) Verfahren zur verteilung von tasks zwischen computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
DE112004000125T5 (de) Gesichertes Client-Server-Datenübertragungssystem
DE102014112466A1 (de) Verfahren zur Kommunikation zwischen abgesicherten Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
WO2021197822A1 (de) Verfahren zur behandlung einer anomalie von daten, insbesondere bei einem kraftfahrzeug
DE102016100692A1 (de) Netzwerkschutzentität und Verfahren zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten
DE60031004T2 (de) Elektronisches sicherheitssystem und verfahren für ein kommunikationsnetz
LU500837B1 (de) Verfahren und zugehörige Computersysteme zur Sicherung der Integrität von Daten
DE102018216959A1 (de) Verfahren zur Absicherung eines Datenpakets durch eine Vermittlungsstelle in einem Netzwerk, Vermittlungsstelle und Kraftfahrzeug
DE102017210647A1 (de) Verfahren und Vorrichtung zum Erkennung eines Angriffes auf einen Feldbus
DE102023119629A1 (de) Systeme und verfahren zur erfassung von cyberbedrohungen basierend auf neuer und/oder aktualisierter cyber threat intelligence
WO2017046414A1 (de) Pre-crime-verfahren und -system zur vorhersehbaren abwehr von häckerangriffen
DE102021129026A1 (de) Verfahren und zugehörige Computersysteme zur Sicherung der Integrität von Daten
DE102004014437A1 (de) Verfahren zur Freischaltung eines Dienstes und/oder zum Abru-fen von Inhalten von einem Anwendungsserver eines Inhalt-/Diensteanbieters über ein Telekommunikationsnetz

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R020 Patent grant now final

Effective date: 20141121

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee