DE102019206815A1 - Verfahren zum Betreiben eines Kommunikationssystems - Google Patents

Verfahren zum Betreiben eines Kommunikationssystems Download PDF

Info

Publication number
DE102019206815A1
DE102019206815A1 DE102019206815.4A DE102019206815A DE102019206815A1 DE 102019206815 A1 DE102019206815 A1 DE 102019206815A1 DE 102019206815 A DE102019206815 A DE 102019206815A DE 102019206815 A1 DE102019206815 A1 DE 102019206815A1
Authority
DE
Germany
Prior art keywords
communication system
data
network infrastructure
forwarding
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019206815.4A
Other languages
English (en)
Inventor
Michael Ernst Döring
Hans LOEHR
Marco Andreas Wagner
Rene GUILLAUME
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102019206815.4A priority Critical patent/DE102019206815A1/de
Priority to US16/834,852 priority patent/US11496520B2/en
Priority to CN202010362455.3A priority patent/CN111917566A/zh
Publication of DE102019206815A1 publication Critical patent/DE102019206815A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Verfahren zum Betreiben eines Kommunikationssystems (100), insbesondere eines Software Defined Networking (SDN)-basierten Kommunikationssystems (100), das wenigstens eine Netzwerkinfrastrukturkomponente (130, 131, 132, 133), insbesondere einen SDN-Switch (130, 131, 132), und wenigstens eine Kommunikationseinrichtung (140, 141, 142, 143, 144) aufweist, wobei die Netzwerkinfrastrukturkomponente (130, 131, 132, 133) zum Weiterleiten von Daten an die und/oder von der wenigstens einen Kommunikationseinrichtung (140, 141, 142, 143, 144) ausgebildet ist, wobei das Verfahren folgende Schritte aufweist:- Zuordnen (200) der Kommunikationseinrichtung (140, 141, 142, 143, 144) zu wenigstens einer Sicherheitszone (Z1, Z2, Z3; Z4, Z5);- Vorgeben (240) von wenigstens einer Weiterleitungsregel zum Weiterleiten von Daten durch die Netzwerkinfrastrukturkomponente (130, 131, 132, 133) an die und/oder von der Kommunikationseinrichtung (140, 141, 142, 143, 144), wobei das Vorgeben (240) der Weiterleitungsregel unter Berücksichtigung der Sicherheitszone (Z1, Z2, Z3; Z4, Z5) erfolgt.

Description

  • Stand der Technik
  • Die Offenbarung betrifft ein Verfahren und eine Vorrichtung zum Betreiben eines Kommunikationssystems, insbesondere eines Software Defined Networking (SDN)-basierten Kommunikationssystems.
  • Die Offenbarung betrifft ferner ein Kommunikationssystem, insbesondere ein Software Defined Networking (SDN)-basiertes Kommunikationssystem und eine Netzwerkinfrastrukturkomponente, insbesondere SDN-Switch, eines Kommunikationssystems.
  • Wünschenswert ist es, den Datenaustausch innerhalb des Kommunikationssystems hinsichtlich der Einhaltung von Sicherheitsanforderungen zu kontrollieren und zu verbessern.
  • Offenbarung der Erfindung
  • Die Offenbarung betrifft Vorrichtungen und Verfahren zum Zuordnen von Kommunikationseinrichtungen eines Kommunikationssystems, insbesondere eines Software Defined Networking (SDN)-basierten Kommunikationssystems, und Daten zu Sicherheitszonen und zum Vorgeben von Weiterleitungsregeln in Abhängigkeit der Sicherheitszonen.
  • Sicherheitszonen sind Bereiche, die insbesondere mehrere Kommunikationseinrichtungen umfassen, mit einheitlichen Sicherheitsanforderungen innerhalb der Sicherheitszone. Solche Bereiche werden aus Sicherheitsgründen von anderen Bereichen getrennt. Die Kommunikation in eine Sicherheitszone hinein oder aus einer Sicherheitszone heraus, wird durch geeignete Sicherheitsanforderungen festgelegt und vorzugsweise kontrolliert.
  • Unter Software Defined Networking wird ein Ansatz für eine Netzwerkarchitektur oder Kommunikationsarchitektur verstanden, in dem zwei wesentliche Funktionalitäten, eine control plane und eine data plane, voneinander getrennt und abstrahiert sind.
  • Software Defined Networking Architekturen ermöglichen unterschiedliche Behandlung einzelner Daten und/oder Datenströme, sowie einen globalen Blick auf die Struktur des Kommunikationssystems. Dies ermöglicht systemglobal optimierte Entscheidungen.
  • In einem derartigen Kommunikationssystem legt eine Weiterleitungsregel eine Weiterleitung erhaltener Daten von Eingangsports zu bestimmten Ausgangsports einer Netzwerkinfrastrukturkomponente des Kommunikationssystems eindeutig fest. Netzwerkinfrastrukturkomponenten sind beispielsweise Switches oder Gateways.
  • Die Weiterleitungsregel wird vorteilhafterweise durch eine logisch zentralisierte Kontrollinstanz, insbesondere einen Software Defined Networking (SDN) - Controller, vorgegeben und an die Netzwerkinfrastrukturkomponenten verteilt.
  • Ein SDN-basiertes Kommunikationssystem für Fahrzeuge oder industrielle Anlagen ist ferner in Kombination mit Time Sensitive Networking Mechanismen betreibbar, wobei letztere den echtzeit-relevanten Datenverkehr steuern und die Software Defined Networking Komponenten Mechanismen zur Beeinflussung der Verarbeitungs- und Weiterleitungsfunktionen in den Netzwerkinfrastrukturkomponenten ermöglichen.
  • Gemäß einer Ausführungsform weist ein Verfahren zum Betreiben eines Kommunikationssystems, insbesondere eines Software Defined Networking (SDN)-basierten Kommunikationssystems, das wenigstens eine Netzwerkinfrastrukturkomponente, insbesondere einen SDN-Switch, und wenigstens eine Kommunikationseinrichtung aufweist, wobei die Netzwerkinfrastrukturkomponente zum Weiterleiten von Daten an die und/oder von der wenigstens einen Kommunikationseinrichtung ausgebildet ist, folgende Schritte auf:
    • - Zuordnen der Kommunikationseinrichtung zu wenigstens einer Sicherheitszone;
    • - Vorgeben von wenigstens einer Weiterleitungsregel zum Weiterleiten von Daten durch die Netzwerkinfrastrukturkomponente an die und/oder von der Kommunikationseinrichtung, wobei das Vorgeben der Weiterleitungsregel unter Berücksichtigung der Sicherheitszone erfolgt.
  • Vorzugsweise ist weiter vorgesehen, dass Daten zu wenigstens einer Sicherheitszone zugeordnet werden. Vorteilhafterweise können Daten innerhalb der und/oder in die zugeordnete Sicherheitszone hinein weitergeleitet werden. Vorteilhafterweise können innerhalb einer Sicherheitszone oder in eine Sicherheitszone hinein, Daten, die dieser Sicherheitszone zugeordnet sind, weitergeleitet werden. Vorteilhafterweise kann das Weiterleiten von Daten aus der ihnen zugeordneten Sicherheitszone hinaus verweigert werden.
  • Eine Netzwerkinfrastrukturkomponente und die mit der Netzwerkinfrastrukturkomponente verbundenen Kommunikationseinrichtungen bilden beispielsweise ein Teilnetz aus spezifischen Kommunikationseinrichtungen mit gemeinsamer übergeordneter Aufgabe. Dazu werden einige Daten beispielsweise nur in diesem Teilenetzwerk gesendet. In einem Teilnetz kann Ethernet, insbesondere Automotive-Ethernet oder ein anderes, beispielsweise automotive-typisches Bussystem verwendet werden, wie bspw. ein Controller Area Network, CAN, Bus.
  • Vorteilhafterweise weist das Kommunikationssystem wenigstens ein erstes und ein zweites Teilnetz auf, wobei eine Kommunikationseinrichtung des ersten Teilnetzes und eine Kommunikationseinrichtung des zweiten Teilnetzes einer gemeinsamen Sicherheitszone zugeordnet werden. Durch die globale Sicht auf Strukturen des SDN - basierten Kommunikationssystems ist es möglich, Sicherheitszonen einzurichten, die Grenzen von Teilnetzen überschreiten, d.h. die beteiligten Kommunikationseinrichtungen können in unterschiedlichen Teilnetzen liegen. Durch die globale Sicht können Weiterleitungsregeln vorgegeben werden, die über die beteiligten Netzwerkinfrastrukturkomponenten abgestimmt sind und dadurch den Teilnetzübergreifenden Datenaustausch kontrollieren können.
  • Gemäß einer vorteilhaften Ausführungsform kann das Verfahren oder einzelne Schritte des Verfahrens in unterschiedlichen Betriebszuständen des Kommunikationssystems ausgeführt werden, z.B. vor der Inbetriebnahme, aber auch während einer laufenden Anwendung des Kommunikationssystems, beispielsweise durch kontinuierliche Berechnung/Optimierung oder als Reaktion auf Veränderungen in dem Kommunikationssystem.
  • Vorteilhafterweise erfolgt das Zuordnen von Daten und/oder das Zuordnen von Kommunikationseinrichtungen zu Sicherheitszonen dynamisch, während einer laufenden Anwendung des Kommunikationssystems.
  • Vorteilhafterweise ist vorgesehen, dass Daten mit Informationen gekennzeichnet werden, die eine Zuordnung der Daten zu wenigstens einer Sicherheitszone ermöglichen. Die Verwendung von Tags erfolgt beispielsweise durch die Erweiterung eines Datenframes.
  • Vorteilhafterweise ist vorgesehen, dass das Vorgeben einer Weiterleitungsregel das Verteilen der Weiterleitungsregel an die Netzwerkinfrastrukturkomponente umfasst.
  • Vorteilhafterweise ist vorgesehen, dass das Vorgeben der Weiterleitungsregel das Definieren der Weiterleitungsregel umfasst.
  • Vorteilhafterweise ist vorgesehen, dass die Weiterleitungsregel in Abhängigkeit von weiterzuleitenden Daten und/oder von wenigstens einem Kommunikationspfad des Kommunikationssystems und/oder von wenigstens einer Anwendung des Kommunikationssystems definiert wird.
  • Vorteilhafterweise erfolgt das Vorgeben der Weiterleitungsregel dynamisch, während einer laufenden Anwendung des Kommunikationssystems. Dies ermöglicht vorteilhafterweise eine dynamische Anpassung der Weiterleitungsregel und ermöglicht so beispielsweise vorübergehend Ausnahmen in der Weiterleitung oder Nichtweiterleitung für bestimmte Daten zuzulassen.
  • Vorteilhafterweise werden Daten an die und/oder von der wenigstens einen Kommunikationseinrichtung in Abhängigkeit der Weiterleitungsregel durch die Netzwerkinfrastrukturkomponente weitergeleitet. Das Weiterleiten in Abhängigkeit der Weiterleitungsregel umfasst auch das Nichtweiterleiten von Daten, wenn dies durch eine entsprechende Weiterleitungsregel nicht erlaubt ist.
  • Eine weitere Ausführungsform sieht einen „Secure-by-Default-Ansatz“ vor, bei dem die Netzwerkinfrastrukturkomponenten Daten grundsätzlich nicht weiterleiten, außer wenn eine Weiterleitungsregel zur Weiterleitung der entsprechenden Daten vorgegeben ist.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf eine Vorrichtung zum Betreiben eines Kommunikationssystems, insbesondere eines Software Defined Networking (SDN)-basierten Kommunikationssystems, das wenigstens eine Netzwerkinfrastrukturkomponente, insbesondere einen SDN-Switch, und wenigstens eine Kommunikationseinrichtung aufweist, wobei die Netzwerkinfrastrukturkomponente zum Weiterleiten von Daten an die und/oder von der wenigstens einen Netzwerkinfrastrukturkomponente ausgebildet ist, wobei die Vorrichtung zum Ausführen der folgenden Schritte ausgebildet ist:
    • - Zuordnen der Kommunikationseinrichtung zu wenigstens einer Sicherheitszone;
    • - Vorgeben von wenigstens einer Weiterleitungsregel zum Weiterleiten von Daten durch die Netzwerkinfrastrukturkomponente an die und/oder von der Kommunikationseinrichtung, wobei das Vorgeben der Weiterleitungsregel unter Berücksichtigung der Sicherheitszone erfolgt.
  • Bei weiteren bevorzugten Ausführungen ist vorgesehen, dass die Vorrichtung zur Ausführung des Verfahrens gemäß den Ausführungsformen ausgebildet ist.
  • Bei weiteren bevorzugten Ausführungsformen ist die Vorrichtung eine logisch zentralisierte Kontrollinstanz des SDN-basierten Kommunikationssystems, insbesondere ein SDN-Controller.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf eine Netzwerkinfrastrukturkomponente, insbesondere SDN-Switch, eines Kommunikationssystems, insbesondere eines Software Defined Networking (SDN)-basierten Kommunikationssystems, wobei die Netzwerkinfrastrukturkomponente zum Ausführen des Verfahrens gemäß den Ausführungsformen ausgebildet ist.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf ein Computerprogramm, umfassend computerlesbare Instruktionen, bei deren Ausführung durch einen Computer das Verfahren gemäß den Ausführungsformen abläuft.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf ein Kommunikationssystem, insbesondere ein Software Defined Networking (SDN)-basiertes Kommunikationssystem, das wenigstens eine Vorrichtung gemäß den Ausführungsformen und/oder wenigstens eine Netzwerkinfrastrukturkomponente, insbesondere einen SDN-Switch, gemäß den Ausführungsformen und wenigstens eine Kommunikationseinrichtung aufweist.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf eine Verwendung des Verfahrens gemäß den Ausführungsformen und/oder der Vorrichtung gemäß den Ausführungsformen und/oder des Computerprogramms gemäß den Ausführungsformen zur Konfiguration eines bzw. des Kommunikationssystems gemäß den Ausführungsformen.
  • Vorteilhafterweise ist das Verfahren gemäß den Ausführungsformen und/oder die Vorrichtung gemäß den Ausführungsformen und/oder das Computerprogramm gemäß den Ausführungsformen und/oder das Kommunikationssystem gemäß den Ausführungsformen zur Verwendung in einem Netzwerk für ein Kraftfahrzeug und/oder in einem industriellen Netzwerk, beispielsweise in einer industriellen Fertigungseinrichtung geeignet.
  • Das Prinzip gemäß den Ausführungsformen kann in allen Bereichen genutzt werden, in denen sicherheitskritische Kommunikation überwacht werden soll. Solche Bereiche sind unter anderem die industrielle Fertigung, aber auch Netzwerke innerhalb von Fahrzeugen.
  • Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen der Erfindung, die in den Figuren der Zeichnung dargestellt sind. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in den Patentansprüchen oder deren Rückbeziehung sowie unabhängig von ihrer Formulierung bzw. Darstellung in der Beschreibung bzw. in der Zeichnung.
  • In der Zeichnung zeigt:
    • 1 eine schematische Darstellung von Teilen eines Kommunikationssystems gemäß bevorzugten Ausführungsformen;
    • 2 schematisch ein vereinfachtes Flussdiagramm eines Verfahrens gemäß weiteren bevorzugten Ausführungsformen, und
    • 3 schematisch ein vereinfachtes Flussdiagramm eines weiteren Verfahrens gemäß weiteren bevorzugten Ausführungsformen.
  • 1 zeigt eine schematische Darstellung von Teilen eines Kommunikationssystems 100. Das Kommunikationssystem 100 umfasst eine Kontrollinstanz 120, die einen Software Defined Networking (SDN)-Controller als logisch zentralisierte Instanz des Kommunikationssystems 100 umfasst. Der SDN-Controller verfügt als logisch zentralisierte Instanz, insbesondere bezüglich Topologie, Komponenten des Kommunikationssystems 100 und Kommunikationspfaden 150 zwischen einzelnen Komponenten des Kommunikationssystems 100, über eine globale Sicht auf das Kommunikationssystem 100. Der SDN-Controller kann sowohl zentral, als auch verteilt realisiert werden. Genauso kann der SDN-Controller als Teilkomponente einer anderen Komponente des Kommunikationssystems 100 realisiert werden.
  • Die Kontrollinstanz 120 ist über logische Verbindungen, in 1 als gestrichelte Linien dargestellt, mit einer ersten Netzwerkinfrastrukturkomponente 130, einer zweiten Netzwerkinfrastrukturkomponente 131 und einer dritten Netzwerkinfrastrukturkomponente 132 des Kommunikationssystems 100 verbunden.
  • Gemäß der dargestellten Ausführungsform sind die Netzwerkinfrastrukturkomponenten 130, 131, 132 als Switches, insbesondere als Software Defined Networking (SDN)-Switches ausgebildet.
  • Das Kommunikationssystem 100 oder Teile des Kommunikationssystems 100 sind beispielsweise gemäß IEEE 802.3 als Ethernet ausgebildet. In diesem Fall sind Ethernet-fähige Switches vorgesehen. Das Kommunikationssystem 100 oder Teile des Kommunikationssystems 100 kann auch als ein Controller Area Network, CAN, gemäß ISO 11898 ausgebildet sein. In diesem Fall umfassen die in 1 mit Switch 130, 131, 132 bezeichneten Komponenten beispielsweise Forwarding Devices, welche gemäß CAN Protokoll kommunizieren und die für die Switches 130, 131, 132 beschriebene Funktion übernehmen können.
  • Eine Netzwerkinfrastrukturkomponente 130, 131, 132 umfasst wenigstens eine Weiterleitungsregel und ist dazu ausgebildet, Daten in Abhängigkeit der Weiterleitungsregel an und/oder von Kommunikationseinrichtungen 140, 141, 142, 143, 144 weiterzuleiten. Die Kommunikationseinrichtungen 140, 141, 142, 143, 144 sind beispielsweise Endgeräte, wie z.B. Steuergeräte (Electronic Control Units, ECU), die Applikationssoftware enthalten, Sensoren, Aktoren, oder I/O Geräte, die über das Kommunikationssystem 100 Daten austauschen. Das Weiterleiten der Daten erfolgt dabei über Kommunikationspfade 150.
  • Gemäß der dargestellten Ausführungsform bilden die Netzwerkinfrastrukturkomponente 130 und die Kommunikationseinrichtungen 140, 141, 142 ein erstes Teilnetz des Kommunikationssystems 100, dessen Teile über die Netzwerkinfrastrukturkomponente 130 untereinander kommunizieren können. Die Netzwerkinfrastrukturkomponente 132 und die Kommunikationseinrichtungen 143, 144 bilden ein zweites Teilnetz des Kommunikationssystems 100, dessen Teile über die Netzwerkinfrastrukturkomponente 132 untereinander kommunizieren können. Dazu werden einige Daten beispielsweise nur innerhalb des ersten oder nur innerhalb des zweiten Teilnetzes weitergeleitet.
  • Die Netzwerkinfrastrukturkomponenten 130, 131, 132 umfassen im Beispiel jeweils eine Recheneinheit 160 und jeweils eine Speichereinheit 161, insbesondere einen Mikrocontroller, einen Mikroprozessor, eine anwendungsspezifische integrierte Schaltung, ASIC, ein Field Programmable Gate Array, FPGA, oder Ternary Content-Addressable Memory, TCAM. Die Kontrollinstanz 120 umfasst ebenfalls eine Recheneinheit 170 und eine Speichereinheit 171.
  • In den Speichereinheiten 161, 171 sind Instruktionen gespeichert, bei deren Ausführung durch die Recheneinheiten 160, 170 das im Folgenden beschriebene und in 2 schematisch dargestellte Verfahren abläuft.
  • Die Kommunikationseinrichtungen 140, 141, 142, 143, 144 werden in einem ersten Schritt des Verfahrens Sicherheitszonen Z1, Z2, Z3 zugeordnet 200 ( 2).
  • Gemäß der dargestellten Ausführungsform werden die Kommunikationseinrichtungen 140, 141, 142 einer ersten Sicherheitszone Z1, und die Kommunikationseinrichtungen 143, 144 einer zweiten Sicherheitszone Z2 zugeordnet 200. Eine Sicherheitszone Z1, Z2, Z3 ist ein logischer Bereich des Kommunikationssystems 100 mit einheitlichen Sicherheitsanforderungen. Die Zuordnung zu einer Sicherheitszone Z1, Z2, Z3 ist auch Teilnetz übergreifend möglich. Beispielsweise sind die Kommunikationseinrichtungen 142, 143, 144 einer dritten Sicherheitszone Z3 zugeordnet. Die Kommunikation in eine Sicherheitszone Z1, Z2, Z3 hinein oder aus einer Sicherheitszone Z1, Z2, Z3 heraus, wird durch geeignete Sicherheitsanforderungen festgelegt und vorzugsweise kontrolliert. Beispielsweise dürfen einige Daten nur zwischen der Kommunikationseinrichtung 143 und der Kommunikationseinrichtung 144, also innerhalb der Sicherheitszone Z2, ausgetauscht werden. Andere Daten hingegen dürfen zwischen der Kommunikationseinrichtung 143, der Kommunikationseinrichtung 144 und der Kommunikationseinrichtung 142, also innerhalb der Sicherheitszone Z3, ausgetauscht werden.
  • Um das Einhalten der Sicherheitsanforderungen hinsichtlich des Datenaustausches zwischen den Kommunikationseinrichtungen 140, 141, 142, 143, 144 sicherzustellen, werden in einem weiteren Schritt des Verfahrens Weiterleitungsregeln zum Weiterleiten von Daten durch die Netzwerkinfrastrukturkomponente 130, 131, 132 an die und/oder von der Kommunikationseinrichtung 140, 141, 142, 143, 144 vorgegeben 240 (2), wobei das Vorgeben 240 der Weiterleitungsregeln unter Berücksichtigung der Sicherheitszone Z1, Z2, Z3 erfolgt.
  • Gemäß einer Ausführungsform umfasst das Verfahren ferner, das Weiterleiten 250 von Daten in Abhängigkeit der Weiterleitungsregel durch die Netzwerkinfrastrukturkomponente 130, 131, 132.
  • Auf diese Weise wird durch die vorgegebenen Weiterleitungsregeln sichergestellt, dass Daten, welche nur für eine bestimmte Sicherheitszone Z1, Z2, Z3 bestimmt sind, diese Sicherheitszone Z1, Z2, Z3 nicht verlassen können. Gleichermaßen kann vorgesehen sein, dass eine Kommunikationseinrichtung 140, 141, 142, 143, 144 außerhalb einer bestimmten Sicherheitszone Z1, Z2, Z3 daran gehindert wird Daten in diese Sicherheitszone Z1, Z2, Z3 hinein zu senden.
  • Vorteilhafterweise umfasst das Vorgeben 240 der Weiterleitungsregel zum Weiterleiten von Daten das Definieren der Weiterleitungsregel. In einer bevorzugten Ausführungsform werden die Weiterleitungsregeln durch die Kontrollinstanz 120 definiert.
  • Vorteilhafterweise wird die Weiterleitungsregel in Abhängigkeit von weiterzuleitenden Daten und/oder von wenigstens einem Kommunikationspfad 150 des Kommunikationssystems 100 und/oder von wenigstens einer Anwendung des Kommunikationssystems 100 definiert.
  • Vorteilhafterweise umfasst das Vorgeben 240 das Verteilen der Weiterleitungsregel an die Netzwerkinfrastrukturkomponente 130, 131, 132. In einer bevorzugten Ausführungsform verteilt die Kontrollinstanz 120 die Weiterleitungsregeln an die entsprechenden Netzwerkinfrastrukturkomponenten 130, 131, 132. Die Kontrollinstanz 120 ist dazu über logische Verbindungen, in 1 als gestrichelte Linien dargestellt, mit den Netzwerkinfrastrukturkomponenten 130, 131, 132 verbunden.
  • Vorteilhafterweise umfasst das in 2 dargestellte Verfahren zusätzlich folgende Schritte: Zuordnen 220 von Daten zu Sicherheitszonen Z1, Z2, Z3 und Kennzeichnen 230 von Daten mit Informationen, die eine Zuordnung der Daten zu wenigstens einer Sicherheitszone Z1, Z2, Z3 ermöglichen.
  • Daten, die einer bestimmten Sicherheitszone Z1, Z2, Z3 zugeordnet sind, dürfen beispielsweise nur in der bestimmten Sicherheitszone Z1, Z2, Z3 weitergeleitet werden. Denkbar ist auch, dass innerhalb einer Sicherheitszone Z1, Z2, Z3 nur Daten übertragen werden, die dieser Sicherheitszone Z1, Z2, Z3 zugeordnet sind. Gemäß einer Ausführungsform können diese Informationen, insbesondere anhand von Tags, beispielsweise durch geeignete Protokollerweiterungen, Einsatz von VLAN Tags, an die Daten angehängt werden. Die Netzwerkinfrastrukturkomponente 130, 131, 132 erkennt dann anhand der den Daten zugeordneten Informationen, ob die Daten innerhalb der Sicherheitszone Z1, Z2, Z3 und/oder aus der Sicherheitszone Z1, Z2, Z3 hinaus und/oder in die Sicherheitszone Z1, Z2, Z3 hinein weitergeleitet werden dürfen oder nicht.
  • Gemäß einer Ausführungsform können die Schritte 220 und/oder 230 des Verfahrens durch Netzwerkinfrastrukturkomponenten 130, 131, 132 ausgeführt werden. Die ist wird im Folgenden unter Bezugnahme auf das in 3 schematisch dargestellte Verfahren beschrieben. In einem Schritt 300 empfängt eine Netzwerkinfrastrukturkomponente 130, 131, 132 Daten. In einem Schritt 310 ordnet die Netzwerkinfrastrukturkomponente 130, 131, 132 die Daten einer Sicherheitszone Z1, Z2, Z3 zu. Beispielsweise können die Netzwerkinfrastrukturkomponenten 130, 131, 132 anhand von in den Speichereinheiten 161 der Netzwerkinfrastrukturkomponenten 130, 131, 132 gespeicherten Informationen eingehende Daten einer Sicherheitszone Z1, Z2, Z3 zuordnen. Diese Informationen können von der Kontrollinstanz 120, beispielsweise unter Verwendung von Datensätzen umfassend beispielsweise MAC-Adressen, IP-Adressen, Datenfelder, definiert und an die Netzwerkinfrastrukturkomponenten 130, 131, 132 verteilt werden. Die Netzwerkinfrastrukturkomponenten 130, 131, 132 können ferner dazu ausgebildet sein, die Daten mit Informationen, die eine Zuordnung der Daten zu wenigstens einer Sicherheitszone Z1, Z2, Z3 ermöglichen, zu kennzeichnen 230.
  • In einem Schritt 320 überprüft die Netzwerkinfrastrukturkomponente 130, 131, 132, ob eine Weiterleitungsregel für die empfangenen Daten vorliegt und ob die Daten gemäß der Weiterleitungsregel weitergeleitet werden dürfen oder nicht. Abhängig davon wird entweder der Schritt 330, Weiterleiten der Daten oder der Schritt 340, Nicht-Weiterleiten der Daten ausgeführt.
  • In einer weiteren Ausführungsform können die die Daten kennzeichnenden Informationen der Daten von den Netzwerkinfrastrukturkomponenten 130, 131, 132 modifiziert, gelöscht oder hinzugefügt werden.
  • Gemäß 1 ist das gesamte Kommunikationssystem 100, also die Kommunikationseinrichtungen 140, 141, 142, 143, 144, einer gemeinsamen Sicherheitszone Z4 zugeordnet. Im automotiven Kontext könnte es sich bei der Sicherheitszone Z4 beispielsweise um eine „Fahrzeug Zone“ handeln, der alle Kommunikationseinrichtungen 140, 141, 142, 143, 144 eines Fahrzeugs zugeordnet sind. Bei den Sicherheitszonen handelt sich beispielsweise um „Fahrzeug-Domäne-Zonen“.
  • Ferner ist in 1 noch eine externe Instanz 180, beispielsweise eine Cloud-Instanz 180, dargestellt. Das Kommunikationssystem 100 kann mit der Cloud 180 über die Netzwerkinfrastrukturkomponente 133 Daten austauschen. Das gesamte Kommunikationssystem 100 und die externe Distanz 180 sind dabei der Sicherheitszone Z5, insbesondere einer „Cloud-Zone“, zugeordnet. Die Sicherheitszonen Z1, Z2, Z3, Z4, Z5 sind beispielsweise hierarchisch strukturiert, wobei die Fahrzeug-Zone Z4 den Fahrzeug-Domäne-Zonen Z1, Z2, Z3 und die Cloud-Zone Z5 wiederrum der Fahrzeug-Zone Z4 übergeordnet ist. Auch innerhalb der Fahrzeug-Domäne-Zonen Z1, Z2, Z3 ist wiederrum eine hierarchische Strukturierung denkbar. Gemäß der dargestellten Ausführungsform ist die Sicherheitszone Z3 beispielsweise den Sicherheitszonen Z1 und Z2 übergeordnet. An sich ist eine beliebige Kombination und/oder hierarchische Strukturierung von Sicherheitszonen Z1, Z2, Z3, Z4, Z5 denkbar.
  • Die Netzwerkinfrastrukturkomponente 133 ist in der dargestellten Ausführungsform eine Connectivity Unit und umfasst ein spezielles internes Forwarding Device, das zum Weiterleiten von Daten zwischen den beiden unterschiedlichen Netzwerktechnologien ausgebildet ist. Die Netzwerkkomponente ist vorteilhafterweise entsprechend der vorangehend beschriebenen Ausführungsformen ebenfalls zum Weiterleiten von Daten in Abhängigkeit von der Kontrollinstanz 120 vorgegebenen Weiterleitungsregeln ausgebildet.
  • Das Weiterleiten der Daten in Bezug auf die Sicherheitszonen Z4, Z5 kann gemäß einer bevorzugten Ausführungsform entsprechend dem vorstehend beschriebenen Verfahren hinsichtlich der Sicherheitszonen Z1, Z2, Z3 erfolgen.
  • Bei weiteren bevorzugten Ausführungsformen ist das unter Bezugnahme auf das Flussdiagramm gemäß 2 beschriebene Verfahren für den Betrieb, des Kommunikationssystems 100 vorgesehen. Das Verfahren gemäß 2 kann beispielsweise durch die Kontrollinstanz 120 aus 1 ausgeführt werden, die bzw. deren Funktionalität bei weiteren bevorzugten Ausführungsformen z.B. auch in eine der Kommunikationseinrichtungen 140, 141, 142, 143, 144 integriert sein kann.
  • Auf diese Weise kann durch die von der Kontrollinstanz 120 vorgegebenen Weiterleitungsregeln sichergestellt werden, dass Daten, welche nur für eine bestimmte Sicherheitszone Z1, Z2, Z3, Z4, Z5 bestimmt sind, diese Sicherheitszone Z1, Z2, Z3, Z4, Z5 nicht verlassen können. Gleichermaßen kann vorgesehen sein, dass eine Kommunikationseinrichtung 140, 141, 142, 143, 144 außerhalb einer Sicherheitszone Z1, Z2, Z3, Z4, Z5 daran gehindert wird, Daten in diese Sicherheitszone Z1, Z2, Z3, Z4, Z5 hinein zu senden. Dies wird durch die Netzwerkinfrastrukturkomponenten 130, 131, 132, 133 auf Basis der von der Kontrollinstanz 120 definierten und an die Netzwerkinfrastrukturkomponenten 130, 131, 132, 133 verteilten Weiterleitungsregeln durchgesetzt.
  • Bei weiteren bevorzugten Ausführungsformen werden einzelne Schritte des Verfahrens, insbesondere die Schritte Zuordnen 200 der Kommunikationseinrichtung 140, 141, 142, 143, 144 zu einer Sicherheitszone Z1, Z2, Z3; Z4 und/oder Zuordnen 220 von Daten zu Sicherheitszonen Z1, Z2, Z3, Z4, Z5 und/oder Kennzeichnen 230 von Daten mit Informationen, die eine Zuordnung der Daten zu wenigstens einer Sicherheitszone Z1, Z2, Z3, Z4, Z5 ermöglichen und/oder Vorgeben von wenigstens einer Weiterleitungsregel zum Weiterleiten von Daten durch die Netzwerkinfrastrukturkomponente 130, 131, 132, 133 an die und/oder von der Kommunikationseinrichtung 140, 141, 142, 143, 144 außerhalb der Kontrollinstanz 120, beispielsweise durch andere Komponenten des Kommunikationssystems 100 oder auch durch externe Komponenten, beispielweise in der Cloud 180, durchgeführt.
  • Bei einer weiteren bevorzugten Ausführungsform wird das Verfahren insbesondere für eine Konfiguration des Kommunikationssystems 100 ausgeführt. Dazu kann das Verfahren oder einzelne Schritte des Verfahrens in unterschiedlichen Betriebszuständen des Kommunikationssystems 100 ausgeführt werden, z.B. vor der Inbetriebnahme, aber auch während einer laufenden Anwendung des Kommunikationssystems 100 zur Re-Konfiguration, beispielsweise durch kontinuierliche Berechnung/Optimierung oder als Reaktion auf Veränderungen in dem Kommunikationssystem 100.
  • Veränderungen des Kommunikationssystems 100 sind beispielsweise ein Software-Update, insbesondere hinsichtlich neuer Anwendungen, eine Änderung bestehender Anwendungen oder Entfernen einer bestehenden Anwendung, ein Firmware-Update, beispielsweise Änderung der Gesamt-Software einer Kommunikationseinrichtung und damit ihrer Anwendungen, die Erkennung eines Angriffs durch ein Intrusion Detection System, die Änderung von externen Zugriffen auf interne Daten, z.B. aus der Cloud 180, oder durch eine sonstige Veränderung im Kommunikationssystem 100, z.B. Teil-/ Ausfall des Kommunikationssystem 100.
  • Durch ein Intrusion Detection System können Anomalien in Daten im Datenaustausch bei sowohl interner Kommunikation innerhalb des Kommunikationssystems 100 als auch bei externer Kommunikation erkannt werden. Ein Intrusion Detection System überwacht und analysiert den gesamten Datenaustausch oder eines Teils davon, um alle Anomalien im internen und externen Datenaustausch zu erkennen.
  • Gemäß einer weiteren bevorzugten Ausführungsform werden durch die dynamisch, zur Laufzeit einer Anwendung des Kommunikationssystem 100 anpassbare Zuordnung der Kommunikationseinrichtungen 140, 141, 142, 143, 144 zu Sicherheitszonen Z1, Z2, Z3, Z4, Z5 Nutzungsszenarien wie beispielsweise Software-Over-The-Air (SOTA), Firmware-Over-The-Air (FOTA) oder auch der dynamischen Zugriff auf Daten aus der Cloud 180 erleichtert.
  • Vorteilhafterweise können durch die Zuordnung der Kommunikationseinrichtungen 140, 141, 142, 143, 144 zu Sicherheitszonen Z1, Z2, Z3, Z4, Z5 auf Netzwerkebene die Sicherheitsanforderungen an den Datenaustausch von und in Sicherheitszonen Z1, Z2, Z3, Z4, Z5 auch bei kompromittierten Anwendungen oder gewährleistet werden.
  • Bei weiteren bevorzugten Ausführungsformen können wenigstens einzelne Schritte des Verfahrens während einer laufenden Anwendung des Kommunikationssystems 100 ausgeführt werden.
  • Eine weitere Ausführungsform sieht einen „Secure-by-Default-Ansatz“ vor, bei dem die Netzwerkinfrastrukturkomponenten 130, 131, 132, 133 Daten grundsätzlich nicht weiterleiten, außer wenn eine Weiterleitungsregel zur Weiterleitung der entsprechenden Daten vorgegeben ist.
  • Bei weiteren bevorzugten Ausführungsformen können das Kommunikationssystem 100 oder Teile des Kommunikationssystems 100, insbesondere bestimmte Sicherheitszonen Z1, Z2, Z3, Z4, Z5 und/oder Teilnetze des Kommunikationssystems 100 wenigstens vorübergehend deaktiviert oder teilweise deaktiviert werden, um so einen beschleunigten Datenaustausch ohne Prüfung der Einhaltung der Sicherheitsanforderungen zu ermöglichen.
  • Bei weiteren bevorzugten Ausführungsformen können Daten des Kommunikationssystems 100 gemäß Time Sensitive Networking übertragen werden. Time Sensitive Networking bezeichnet eine Umsetzung von Mechanismen in der Kommunikationsinfrastruktur, die beispielsweise Scheduling betreffen. In diesem Zusammenhang können einzelne Sicherheitszonen Z1, Z2, Z3, Z4, Z5 bzw. die den Sicherheitszonen Z1, Z2, Z3, Z4, Z5 zugeordneten Kommunikationseinrichtungen 140, 141, 142, 143, 144 Elementen eines Time-Sensitiv-Networking (TSN) Schedules zugeordnet werden, um so beispielsweise Quality-of-Service Garantien, insbesondere garantierte Bandbreiten, zur Verfügung gestellt bekommen.

Claims (15)

  1. Verfahren zum Betreiben eines Kommunikationssystems (100), insbesondere eines Software Defined Networking (SDN)-basierten Kommunikationssystems (100), das wenigstens eine Netzwerkinfrastrukturkomponente (130, 131, 132, 133), insbesondere einen SDN-Switch (130, 131, 132), und wenigstens eine Kommunikationseinrichtung (140, 141, 142, 143, 144) aufweist, wobei die Netzwerkinfrastrukturkomponente (130, 131, 132, 133) zum Weiterleiten von Daten an die und/oder von der wenigstens einen Kommunikationseinrichtung (140, 141, 142, 143, 144) ausgebildet ist, wobei das Verfahren folgende Schritte aufweist: - Zuordnen (200) der Kommunikationseinrichtung (140, 141, 142, 143, 144) zu wenigstens einer Sicherheitszone (Z1, Z2, Z3; Z4, Z5); - Vorgeben (240) von wenigstens einer Weiterleitungsregel zum Weiterleiten von Daten durch die Netzwerkinfrastrukturkomponente (130, 131, 132, 133) an die und/oder von der Kommunikationseinrichtung (140, 141, 142, 143, 144), wobei das Vorgeben (240) der Weiterleitungsregel unter Berücksichtigung der Sicherheitszone (Z1, Z2, Z3; Z4, Z5) erfolgt.
  2. Verfahren nach Anspruch 1 weiter aufweisend, Zuordnen (220, 310) von Daten zu wenigstens einer Sicherheitszone (Z1, Z2, Z3; Z4, Z5).
  3. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, wobei das Kommunikationssystem (100) wenigstens ein erstes und ein zweites Teilnetz aufweist und eine Kommunikationseinrichtung (140, 141, 142,) des ersten Teilnetzes und eine Kommunikationseinrichtung (143, 144) des zweiten Teilnetzes einer gemeinsamen Sicherheitszone (Z3) zugeordnet werden.
  4. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, wobei das Zuordnen (220, 310) von Daten und/oder Kommunikationseinrichtungen (140, 141, 142, 143, 144) zu Sicherheitszonen (Z1, Z2, Z3; Z4, Z5) dynamisch, während einer laufenden Anwendung des Kommunikationssystems (100), erfolgt.
  5. Verfahren nach wenigstens einem der Ansprüche 2 bis 4 weiter aufweisend, Kennzeichnen (230) der Daten mit Informationen, die eine Zuordnung der Daten zu wenigstens einer Sicherheitszone (Z1, Z2, Z3; Z4, Z5) ermöglichen.
  6. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, wobei das Vorgeben (240) einer Weiterleitungsregel das Verteilen der Weiterleitungsregel an die Netzwerkinfrastrukturkomponente (130, 131, 132, 133) umfasst.
  7. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, wobei das Vorgeben (240) einer bzw. der Weiterleitungsregel das Definieren der Weiterleitungsregel umfasst.
  8. Verfahren nach Anspruch 7, wobei die Weiterleitungsregel in Abhängigkeit von weiterzuleitenden Daten und/oder von wenigstens einem Kommunikationspfad (150) des Kommunikationssystems (100) und/oder von wenigstens einer Anwendung (100) des Kommunikationssystems (100) definiert wird.
  9. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, wobei das Vorgeben (240) einer bzw. der Weiterleitungsregel dynamisch, während einer laufenden Anwendung des Kommunikationssystems (100), erfolgt.
  10. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, weiter aufweisend: Weiterleiten (250, 330) von Daten an die und/oder von der wenigstens einen Kommunikationseinrichtung (140, 141, 142, 143, 144) in Abhängigkeit der Weiterleitungsregel durch die Netzwerkinfrastrukturkomponente (130, 131, 132, 133).
  11. Vorrichtung (120) zum Betreiben eines Kommunikationssystems (100), insbesondere eines Software Defined Networking (SDN)-basierten Kommunikationssystems (100), das wenigstens eine Netzwerkinfrastrukturkomponente(130, 131, 132, 133), insbesondere einen SDN-Switch (130, 131, 132), und wenigstens eine Kommunikationseinrichtung (140, 141, 142, 143, 144) aufweist, wobei die Netzwerkinfrastrukturkomponente (130, 131, 132, 133) zum Weiterleiten von Daten an die und/oder von der wenigstens einen Kommunikationseinrichtung (140, 141, 142, 143, 144) ausgebildet ist, wobei die Vorrichtung (120) zum Ausführen des Verfahrens nach wenigstens einem der Ansprüche 1 bis 10 ausgebildet ist.
  12. Netzwerkinfrastrukturkomponente (130, 131, 132, 133), insbesondere SDN-Switch (130, 131, 132), eines Kommunikationssystems (100), insbesondere eines Software Defined Networking (SDN)-basierten Kommunikationssystems (100), wobei die Netzwerkinfrastrukturkomponente (130, 131, 132, 133) zum Ausführen des Verfahrens nach wenigstens einem der Ansprüche 2 oder 5 oder 10 ausgebildet ist.
  13. Computerprogramm, umfassend computerlesbare Instruktionen, bei deren Ausführung durch einen Computer das Verfahren nach wenigstens einem der Ansprüche 1 bis 10 abläuft.
  14. Kommunikationssystem (100), insbesondere Software Defined Networking (SDN)-basiertes Kommunikationssystem (100), das wenigstens eine Vorrichtung (120) gemäß Anspruch 11 und/oder wenigstens eine Netzwerkinfrastrukturkomponente (130, 131, 132, 133), insbesondere einen SDN-Switch (130, 131, 132), gemäß Anspruch 12 und/oder wenigstens eine Kommunikationseinrichtung (140, 141, 142, 143, 144) aufweist.
  15. Verwendung des Verfahrens gemäß wenigstens einem der Ansprüche 1 bis 10 und/oder der Vorrichtung (120) gemäß Anspruch 11 und/oder des Computerprogramms gemäß Anspruch 13 zur Konfiguration eines bzw. des Kommunikationssystems (100) gemäß Anspruch 14.
DE102019206815.4A 2019-05-10 2019-05-10 Verfahren zum Betreiben eines Kommunikationssystems Pending DE102019206815A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102019206815.4A DE102019206815A1 (de) 2019-05-10 2019-05-10 Verfahren zum Betreiben eines Kommunikationssystems
US16/834,852 US11496520B2 (en) 2019-05-10 2020-03-30 Method for operating a communications system
CN202010362455.3A CN111917566A (zh) 2019-05-10 2020-04-30 用于操作通信系统的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019206815.4A DE102019206815A1 (de) 2019-05-10 2019-05-10 Verfahren zum Betreiben eines Kommunikationssystems

Publications (1)

Publication Number Publication Date
DE102019206815A1 true DE102019206815A1 (de) 2020-11-12

Family

ID=72943547

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019206815.4A Pending DE102019206815A1 (de) 2019-05-10 2019-05-10 Verfahren zum Betreiben eines Kommunikationssystems

Country Status (3)

Country Link
US (1) US11496520B2 (de)
CN (1) CN111917566A (de)
DE (1) DE102019206815A1 (de)

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9141410B2 (en) * 2011-03-08 2015-09-22 Rackspace Us, Inc. Pluggable allocation in a cloud computing system
DE102012215765A1 (de) * 2012-09-05 2014-05-15 Robert Bosch Gmbh Gateway-Modul für ein Kommunikationssystem, Kommunikationssystem und Verfahren zur Übertragung von Daten zwischen Teilnehmern eines Kommunikationssystems
US10587576B2 (en) * 2013-09-23 2020-03-10 Mcafee, Llc Providing a fast path between two entities
CN104639504B (zh) * 2013-11-12 2018-09-21 华为技术有限公司 网络协同防御方法、装置和系统
US9432257B2 (en) * 2013-12-27 2016-08-30 Huawei Technologies Co., Ltd. Traffic behavior driven dynamic zoning for distributed traffic engineering in SDN
US9397917B2 (en) * 2014-01-10 2016-07-19 Huawei Technologies Co., Ltd. System and method for zoning in software defined networks
WO2017067578A1 (en) * 2015-10-20 2017-04-27 Huawei Technologies Co., Ltd. Forwarding unit and controller unit for sdn
WO2017067598A1 (en) * 2015-10-22 2017-04-27 Nokia Solutions And Networks Oy Security mechanism for communication network including virtual network functions
US10200816B2 (en) * 2016-02-12 2019-02-05 Here Global B.V. Method and apparatus for selective zone-based communications
US10972437B2 (en) * 2016-08-08 2021-04-06 Talari Networks Incorporated Applications and integrated firewall design in an adaptive private network (APN)
US10476912B2 (en) * 2017-09-18 2019-11-12 Veracity Security Intelligence, Inc. Creating, visualizing, and simulating a threat based whitelisting security policy and security zones for networks
US10742683B2 (en) * 2017-09-18 2020-08-11 Veracity Industrial Networks, Inc. Network asset characterization, classification, grouping and control
EP3477905B1 (de) * 2017-10-26 2020-08-19 Nxp B.V. Sichere adaptive drahtlose kommunikation
WO2019142348A1 (ja) * 2018-01-22 2019-07-25 日本電気株式会社 ネットワーク制御装置およびネットワーク制御方法
US11271812B2 (en) * 2018-06-29 2022-03-08 Forescout Technologies, Inc. Segmentation management including visualization, configuration, simulation, or a combination thereof

Also Published As

Publication number Publication date
US20200358824A1 (en) 2020-11-12
CN111917566A (zh) 2020-11-10
US11496520B2 (en) 2022-11-08

Similar Documents

Publication Publication Date Title
DE102009042354C5 (de) Verfahren und Vorrichtung zur sicherheitsgerichteten Kommunikation im Kommunikations-Netzwerk einer Automatisierungs-Anlage
DE102018209407A1 (de) Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk
DE112016003907T5 (de) Weiterleitungsvorrichtung
DE102017121026A1 (de) Fahrzeuginternes Kommunikationsnetz
DE102019201231A1 (de) Vorrichtung und Verfahren zur Erhöhung einer Verfügbarkeit einer Kommunikationsinfrastruktur
EP3501140B1 (de) Verfahren zum betrieb eines mehrere kommunikationsgeräten umfassenden kommunikationsnetzes eines industriellen automatisierungssystems und steuerungseinheit
DE112017000902T5 (de) Weiterleitungsvorrichtung
EP3228036B1 (de) Verfahren und steuergerät zur übertragung sicherheitsrelevanter daten in einem kraftfahrzeug mittels eines ethernet-standards
EP3878154A1 (de) Datenvermittlungsvorrichtung und datenvermittlungsverfahren für ein fahrzeug, vorrichtung und verfahren für eine fahrzeugkomponente eines fahrzeugs und computerprogramm
DE102018221952A1 (de) Verfahren und Vorrichtung zum Betreiben eines Kommunikationsnetzwerks
DE102018215945A1 (de) Verfahren und Vorrichtung zur Anomalie-Erkennung in einem Fahrzeug
EP3533188B1 (de) Verfahren zum betrieb eines mehrere kommunikationsgeräte umfassenden kommunikationsnetzes eines industriellen automatisierungssystems und steuerungseinheit
DE102019206815A1 (de) Verfahren zum Betreiben eines Kommunikationssystems
EP3753205B1 (de) Datenübertragung in zeitsensitiven datennetzen
DE102011080676A1 (de) Konfiguration eines Kommunikationsnetzwerks
DE102014207479A1 (de) Verfahren zum Klassifizieren eines Datensegments bezüglich dessen Weiterverarbeitung
WO2021099186A2 (de) Verfahren zur überwachung der kommunikation auf einem kommunikationsbus, elektronische vorrichtung zum anschluss an einen kommunikationsbus, sowie zentrale überwachungsvorrichtung zum anschluss an einen kommunikationsbus
WO2011134761A2 (de) Verfahren zur bereitstellung einer kommunikation für mindestens ein gerät
DE202015004439U1 (de) Überwachungsvorrichtung und Netzwerkteilnehmer
EP3560153B1 (de) Verfahren zum betreiben einer datenverarbeitungsanlage, datenverarbeitungsanlage
EP3963839B1 (de) Netzwerkverteiler, automatisierungsnetzwerk und verfahren zur datenübertragung in einem automatisierungsnetzwerk
EP3518470A1 (de) Verfahren zur daten-kommunikation in einem insbesondere industriellen netzwerk, vorrichtung zur durchführung des verfahrens, computerprogramm sowie computerlesbares medium
DE102018105724A1 (de) Verfahren zur Konfiguration von Steuergeräten
WO2018177537A1 (de) Verfahren zum betrieb eines mehrere kommunikationsgeräte umfassenden kommunikationsnetzes für ein industrielles automatisierungssystem und steuerungseinheit
DE10016829A1 (de) Auflösung von Medienzugriffskonflikten in Netzwerken mit mehreren Netzknoten und wenigstens einem Sternknoten

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012580000

Ipc: H04L0051000000