DE102019208709A1 - Rechenanlage und Verfahren zum Betreiben einer Rechenanlage - Google Patents

Rechenanlage und Verfahren zum Betreiben einer Rechenanlage Download PDF

Info

Publication number
DE102019208709A1
DE102019208709A1 DE102019208709.4A DE102019208709A DE102019208709A1 DE 102019208709 A1 DE102019208709 A1 DE 102019208709A1 DE 102019208709 A DE102019208709 A DE 102019208709A DE 102019208709 A1 DE102019208709 A1 DE 102019208709A1
Authority
DE
Germany
Prior art keywords
data
relay
connection
relays
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102019208709.4A
Other languages
English (en)
Inventor
Frank Aust
Andreas Bolm
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Priority to DE102019208709.4A priority Critical patent/DE102019208709A1/de
Priority to US17/619,005 priority patent/US11757781B2/en
Priority to EP20728963.8A priority patent/EP3957051A1/de
Priority to PCT/EP2020/063125 priority patent/WO2020249341A1/de
Publication of DE102019208709A1 publication Critical patent/DE102019208709A1/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/16Flow control; Congestion control in connection oriented networks, e.g. frame relay
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/17Interaction among intermediate nodes, e.g. hop by hop
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/42Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for mass transport vehicles, e.g. buses, trains or aircraft

Abstract

Die Erfindung bezieht sich unter anderem auf eine Rechenanlage (10) mit einer Recheneinrichtung (11). Erfindungsgemäß ist vorgesehen, dass die Rechenanlage (10) einen Eingangsdatenpfad (13) aufweist, der eine Schnittstelleneinrichtung (12) der Rechenanlage (10) mit der Recheneinrichtung (11) verbindet, der Eingangsdatenpfad (13) zumindest zwei Datenrelais (R1-R4) und zumindest einen Zwischenspeicher (ZS) zur Zwischenspeicherung von Daten (D) aufweist, jedes der zumindest zwei Datenrelais (R1-R4) jeweils einen ersten und zweiten Anschluss (A1, A2) und einen Zentralanschluss (A3) aufweist und jeweils wahlweise seinen ersten Anschluss (A1) und seinen Zentralanschluss (A3) oder seinen zweiten Anschluss (A2) und seinen Zentralanschluss (A3) verbinden kann und seinen ersten und zweiten Anschluss (A1, A2) stets getrennt voneinander lässt, ein erstes der zumindest zwei Datenrelais (R1) mit seinem ersten Anschluss (A1) mit der Schnittstelleneinrichtung (12) und mit seinem zweiten Anschluss (A2) mit der Recheneinrichtung (11) in Verbindung steht und der Zentralanschluss (A3) des ersten Datenrelais (R1) mit dem zumindest einen Zwischenspeicher (ZS) verbunden ist, der durch das erste Datenrelais (R1) wahlweise ausschließlich mit der Schnittstelleneinrichtung (12) oder dem zweiten Anschluss (A1) des ersten Datenrelais (R1) verbunden ist, aber nicht gleichzeitig mit beiden.

Description

  • Die Erfindung bezieht sich auf Rechenanlagen, insbesondere Rechenanlagen im Bereich der Eisenbahntechnik, und Verfahren zum Betreiben von Rechenanlagen, insbesondere im Bereich der Eisenbahntechnik.
  • Um Rechenanlagen in technischen Anlagen, wie beispielsweise in Fahrzeugen, mit geschlossener Netzwerkstruktur mit neuen Daten zu versorgen, werden heute üblicherweise tragbare Datenträger (CD, USB Sticks, Festplatten) außerhalb der geschlossenen Netzwerkstruktur beschrieben und manuell durch Wartungspersonal in die technische Anlage eingebracht und angeschlossen. Nach dem Anschließen werden die Daten dann auf die Rechenanlagen aufgespielt. Ein Nachteil der bisherigen Verfahren ist der manuelle und direkte Eingriff Vorort durch Wartungspersonal.
  • In Rechenanlagen, in denen Teile des Intranet als Kategorie2-Netzwerk nach EN 50159 angesehen werden können, kann die Entkopplung auch durch eine sogenannte DMZ (Demilitarisierte Zone) mittels mehrerer Firewalls und eines Application-Layer - Gateways (ALG) erreicht und für den Datenaustausch genutzt werden. Die DMZ muss jedoch gesondert aufgebaut werden und regelmäßig mit Updates versorgt werden. Auch die eingerichteten Firewall-Regeln müssen regelmäßig überprüft werden, da diese bewusst oder unbewusst auch über die Netzwerkstruktur verändert werden könnten.
  • Ein weiterer Nachteil einer DMZ im Bereich der Eisenbahntechnik besteht darin, dass die Zusicherung der Eigenschaft des ALG unter den Aspekten eines Bahnnetzwerks nicht direkt nachgewiesen bzw. bewiesen werden kann. Eine Zulassung eines ALG erfolgt im Bereich der Eisenbahntechnik anlagen- bzw. fahrzeugindividuell und muss bei jeder Aktualisierung der Software oder Hardware erneuert werden.
  • Der Erfindung liegt die Aufgabe zugrunde, eine Rechenanlage anzugeben, die in einfacher Weise und sicher eine Übertragung von Daten an eine Recheneinrichtung der Rechenanlage ermöglicht.
  • Diese Aufgabe wird erfindungsgemäß durch eine Rechenanlage mit den Merkmalen gemäß Patentanspruch 1 gelöst. Vorteilhafte Ausgestaltungen der erfindungsgemäßen Rechenanlage sind in Unteransprüchen angegeben.
  • Danach ist erfindungsgemäß vorgesehen, dass die Rechenanlage einen Eingangsdatenpfad aufweist, der eine Schnittstelleneinrichtung der Rechenanlage mit der Recheneinrichtung verbindet, der Eingangsdatenpfad zumindest zwei Datenrelais und zumindest einen Zwischenspeicher zur Zwischenspeicherung von Daten aufweist, jedes der zumindest zwei Datenrelais jeweils einen ersten und zweiten Anschluss und einen Zentralanschluss aufweist und jeweils wahlweise seinen ersten Anschluss und seinen Zentralanschluss oder seinen zweiten Anschluss und seinen Zentralanschluss verbinden kann und seinen ersten und zweiten Anschluss stets getrennt voneinander lässt, ein erstes der zumindest zwei Datenrelais mit seinem ersten Anschluss mit der Schnittstelleneinrichtung und mit seinem zweiten Anschluss mit der Recheneinrichtung in Verbindung steht und der Zentralanschluss des ersten Datenrelais mit dem zumindest einen Zwischenspeicher verbunden ist, der durch das erste Datenrelais wahlweise ausschließlich mit der Schnittstelleneinrichtung oder dem zweiten Anschluss des ersten Datenrelais verbunden ist, aber nicht gleichzeitig mit beiden.
  • Ein wesentlicher Vorteil der erfindungsgemäßen Rechenanlage besteht darin, dass durch den erfindungsgemäßen Einsatz der Datenrelais eine Entkopplung der Recheneinrichtung von der Schnittstelleneinrichtung möglich ist und Daten, die zur Recheneinrichtung gesendet werden, zunächst im Zwischenspeicher abgespeichert und von einer Zwischeninstanz überprüft werden können. Eine Weiterleitung der Daten an die Recheneinrichtung kann somit beispielsweise davon abhängig gemacht werden, dass die Daten von einem autorisierten Datensender stammen oder korrekte Prüfsummen aufweisen.
  • Vorzugsweise ist mindestens eine Zwischenrechnereinrichtung vorhanden, die mit dem ersten Anschluss eines zweiten der zumindest zwei Datenrelais in Verbindung steht.
  • Bei einer ersten als vorteilhaft angesehenen Variante ist vorgesehen, dass der zweite Anschluss des ersten Datenrelais mit dem Zentralanschluss des zweiten Datenrelais verbunden ist, der zweite Anschluss des zweiten Datenrelais unmittelbar mit der Recheneinrichtung oder mittelbar über ein oder mehrere weitere Datenrelais mit der Recheneinrichtung in Verbindung steht und mit den Datenrelais - bei geeigneter Relaisstellung - ein unmittelbarer Datenzugriff der Recheneinrichtung auf den Zwischenspeicher möglich ist.
  • Vorteilhaft ist es insbesondere auch, wenn ein oder mehr weitere Datenrelais vorhanden sind, die mit dem ersten und zweiten Datenrelais eine Relaiskaskade bilden, bei der das in der Relaiskaskade erste Datenrelais mit seinem ersten Anschluss mit der Schnittstelleneinrichtung und das in der Relaiskaskade letzte Datenrelais mit seinem zweiten Anschluss mit der Recheneinrichtung in Verbindung steht, und mit den Datenrelais ein unmittelbarer Datenzugriff der Recheneinrichtung auf den Zwischenspeicher möglich ist, wenn bei allen Datenrelais der Relaiskaskade der zweite Anschluss mit dem Zentralanschluss verbunden ist.
  • Bei der letztgenannten Variante ist es außerdem von Vorteil, wenn zwei oder mehr Datenrelais der Relaiskaskade jeweils eine Zwischenrechnereinrichtung zugeordnet sind und die Zwischenrechnereinrichtungen jeweils mit dem ersten Anschluss des zugeordneten Datenrelais verbunden sind und jede der Zwischenrechnereinrichtungen jeweils Daten, die von der Schnittstelleneinrichtung in dem Zwischenspeicher zur Weiterleitung an die Recheneinrichtung gespeichert worden sind, prüft und ihrerseits eine Freigabe zur Durchschaltung der Relaiskaskade erteilen, wenn die Prüfung keinen Hinderungsgrund anzeigt.
  • Zur Ansteuerung der Datenrelais ist vorzugsweise eine Relaissteuereinrichtung vorhanden.
  • Die Relaissteuereinrichtung steuert die Datenrelais vorzugsweise derart an, dass ein unmittelbarer Datenzugriff der Recheneinrichtung auf den Zwischenspeicher möglich ist, wenn die mindestens eine Zwischenrechnereinrichtung, vorzugsweise alle Zwischenrechnereinrichtungen im Falle mehrerer Zwischenrechnereinrichtungen, der Relaissteuereinrichtung eine Freigabe zum unmittelbaren Datenzugriff erteilen.
  • Bei einer zweiten als vorteilhaft angesehenen Variante ist vorgesehen, dass mit der Zwischenrechnereinrichtung der zweite Anschluss des ersten Datenrelais und der erste Anschluss des zweiten Datenrelais verbunden ist, an den Zentralanschluss des zweiten Datenrelais ein weiterer Zwischenspeicher angeschlossen ist und die Zwischenrechnereinrichtung Daten, die von der Schnittstelleneinrichtung in dem an das erste Datenrelais angeschlossenen Zwischenspeicher zur Weiterleitung an die Recheneinrichtung gespeichert worden sind, prüft und diese Daten an den an das zweite Datenrelais angeschlossenen Zwischenspeicher weiterleitet, wenn die Prüfung keinen Hinderungsgrund anzeigt.
  • Bei der letztgenannten Variante ist es von Vorteil, wenn ein oder mehr weitere Datenrelais vorhanden sind, die mit dem ersten und zweiten Datenrelais eine Relaiskaskade bilden, bei der das in der Relaiskaskade erste Datenrelais mit seinem ersten Anschluss mit der Schnittstelleneinrichtung und das in der Relaiskaskade letzte Datenrelais mit seinem zweiten Anschluss mit der Recheneinrichtung verbunden ist, zumindest einem Paar an aufeinanderfolgenden Datenrelais der Relaiskaskade, vorzugsweise allen Paaren, jeweils eine Zwischenrechnereinrichtung zugeordnet ist, die mit dem ersten Anschluss des - in Kaskadenrichtung in Richtung Recheneinrichtung gesehen - vorderen Datenrelais des jeweiligen Relaispaares und dem zweiten Anschluss des - in Kaskadenrichtung in Richtung Recheneinrichtung gesehen - hinteren Datenrelais des jeweiligen Relaispaares verbunden ist und jeweils die in dem an das hintere Datenrelais angeschlossenen Zwischenspeicher gespeicherten Daten, die zur Weiterleitung an die Recheneinrichtung vorgesehen sind, prüft und diese Daten an den an das vordere Datenrelais angeschlossenen Zwischenspeicher weiterleitet, wenn die Prüfung keinen Hinderungsgrund anzeigt.
  • Auch ist es vorteilhaft, wenn der mindestens einen Zwischenrechnereinrichtung oder zumindest einer der Zwischenrechnereinrichtungen eine Hilfsrechnereinrichtung zugeordnet ist, die mit der Zwischenrechnereinrichtung über ein Hilfsrelais und einen Hilfszwischenspeicher gekoppelt ist, die Zwischenrechnereinrichtung eine Vorprüfung der Daten, die in dem an das zugeordnete Datenrelais (z. B. zweite Datenrelais) angeschlossenen Zwischenspeicher zur Weiterleitung an die Recheneinrichtung gespeichert worden sind, durchführt und eine Anfrage, die die gespeicherten Daten betrifft, an eine externe Zentraleinrichtung übermittelt, die Hilfsrechnereinrichtung dazu ausgebildet ist, bei Empfang eines positiven, die Verwertbarkeit der gespeicherten Daten anzeigenden Rückmeldesignals der externen Zentraleinrichtung eine Freigabeinformation über das Hilfsrelais in dem Hilfszwischenspeicher zu hinterlegen, und die Zwischenrechnereinrichtung bei Vorliegen der Freigabeinformation in dem Hilfszwischenspeicher eine Freigabe zum Umschalten des zugeordneten Datenrelais, insbesondere des zweiten Relais, zum Zwecke eines Datenflusses in Richtung der Recheneinrichtung erteilt.
  • Darüber hinaus ist es vorteilhaft, wenn der mindestens einen Zwischenrechnereinrichtung oder zumindest einer der Zwischenrechnereinrichtungen und/oder der Schnittstelleneinrichtung eine Neustarteinrichtung zugeordnet ist, die mit der Zwischenrechnereinrichtung bzw. der Schnittstelleneinrichtung über das zweite Datenrelais oder ein Hilfsrelais und einen Hilfszwischenspeicher gekoppelt ist, und die Neustarteinrichtung geeignet ist, eine einen Neustart der Zwischenrechnereinrichtung bzw. der Schnittstelleneinrichtung ermöglichende Startdatei zu erzeugen und diese in dem Hilfszwischenspeicher zu hinterlegen.
  • Mit Blick auf eine Entkopplung des Zwischenspeichers wird es als vorteilhaft angesehen, wenn bei zumindest einem Datenrelais der erste oder zweite Anschluss unbelegt ist.
  • Die von der Zwischenrechnereinrichtung oder den Zwischenrechnereinrichtungen durchzuführende Prüfung der Daten, die zu der Recheneinrichtung übertragen werden sollen, umfasst vorzugsweise zumindest eine, mehrere oder alle der folgenden Prüfschritte:
    • - Prüfen von Sequenznummern,
    • - Prüfen von Signaturen,
    • - Bilden und Prüfen von Prüfsummen,
    • - Prüfen der Herkunft der Daten auf kryptografischer Basis,
    • - Virenprüfung,
    • - Überprüfung von TANs.
  • Die Erfindung bezieht sich außerdem auf eine eisenbahntechnische Anlage, insbesondere ein Stellwerk oder ein Schienenfahrzeug. Erfindungsgemäß ist diesbezüglich vorgesehen, dass die eisenbahntechnische Anlage eine Rechenanlage wie oben beschrieben aufweist.
  • Die Erfindung bezieht sich außerdem auf ein Verfahren zum Betreiben einer Rechenanlage, insbesondere einer Rechenanlage wie oben beschrieben. Erfindungsgemäß ist vorgesehen, dass Daten, die von einer Schnittstelleneinrichtung in Richtung der Rechenanlage weitergeleitet werden sollen, über einen Eingangsdatenpfad geleitet werden, der eine Schnittstelleneinrichtung der Rechenanlage mit der Recheneinrichtung verbindet, der Eingangsdatenpfad zumindest zwei Datenrelais und zumindest einen Zwischenspeicher zur Zwischenspeicherung von Daten aufweist, jedes der zumindest zwei Datenrelais jeweils einen ersten und zweiten Anschluss und einen Zentralanschluss aufweist und jeweils wahlweise seinen ersten Anschluss und seinen Zentralanschluss oder seinen zweiten Anschluss und seinen Zentralanschluss verbinden kann und seinen ersten und zweiten Anschluss stets getrennt voneinander lässt, ein erstes der zumindest zwei Datenrelais mit seinem ersten Anschluss mit der Schnittstelleneinrichtung und mit seinem zweiten Anschluss mittelbar oder unmittelbar mit der Recheneinrichtung in Verbindung steht, der Zentralanschluss des ersten Datenrelais mit dem zumindest einen Zwischenspeicher verbunden ist, der durch das erste Datenrelais wahlweise ausschließlich mit der Schnittstelleneinrichtung oder dem zweiten Anschluss des ersten Datenrelais verbunden ist, aber nicht gleichzeitig mit beiden, und die Weiterleitung der Daten über zumindest das erste Datenrelais und den an das erste Datenrelais angeschlossenen Zwischenspeicher erfolgt.
  • Bezüglich der Vorteile und vorteilhafter Ausgestaltungen des erfindungsgemäßen Verfahrens sei auf die obigen Ausführungen im Zusammenhang mit der erfindungsgemäßen Rechenanlage verwiesen, die für das erfindungsgemäße Verfahren entsprechend gelten.
  • Die Erfindung wird nachfolgend anhand von Ausführungsbeispielen näher erläutert; dabei zeigen beispielhaft
    • 1 ein Ausführungsbeispiel für eine erfindungsgemäße Rechenanlage, anhand derer ein erstes Ausführungsbeispiel für ein erfindungsgemäßes Verfahren erläutert wird,
    • 2-4 andere bei dem ersten Ausführungsbeispiel mögliche Schaltzustände der Datenrelais,
    • 5 ein weiteres Ausführungsbeispiel für eine erfindungsgemäße Rechenanlage, anhand derer ein zweites Ausführungsbeispiel für ein erfindungsgemäßes Verfahren erläutert wird,
    • 6 ein anderer Schaltzustand der Datenrelais bei dem zweiten Ausführungsbeispiel gemäß 5,
    • 7 ein Ausführungsbeispiel für eine TAN-Prüfung,
    • 8 ein Ausführungsbeispiel für eine erfindungsgemäße Rechenanlage, bei der einer Zwischenrechnereinrichtung eine Hilfsrechnereinrichtung und ein Hilfszwischenspeicher zugeordnet ist,
    • 9 ein Ausführungsbeispiel für eine erfindungsgemäße Rechenanlage, bei der einer Schnittstelleneinrichtung eine Neustarteinrichtung zugeordnet ist, und
    • 10 ein Ausführungsbeispiel für eine erfindungsgemäße Rechenanlage, bei der zumindest zwei Relais unbeschaltete Anschlüsse aufweisen zwecks gleichzeitiger Trennung des Zwischenspeichers von der Schnittstelleneinrichtung und der Recheneinrichtung.
  • In den Figuren werden der Übersicht halber für identische oder vergleichbare Elemente stets dieselben Bezugszeichen verwendet.
  • Die 1 zeigt ein Ausführungsbeispiel für eine Rechenanlage 10, die beispielsweise einen Bestandteil einer eisenbahntechnischen Anlage bilden kann. Die Rechenanlage 10 ist mit einer Recheneinrichtung 11 ausgestattet, zu der Daten D einer externen Datenquelle 20 übermittelt werden können. Zu diesem Zweck weist die Rechenanlage 10 eine Schnittstelleneinrichtung 12 auf, die beispielsweise über das Internet oder ein anderes Kommunikationsnetz NET mit der externen Datenquelle 20 kommunizieren kann.
  • Ein Eingangsdatenpfad 13 verbindet die Schnittstelleneinrichtung 12 mit der Recheneinrichtung 11. Der Eingangsdatenpfad 13 umfasst ein erstes Datenrelais R1, ein zweites Datenrelais R2 und weitere Datenrelais R3 und R4, die eine Relaiskaskade 14 bilden. Jedes Datenrelais R1-R4 weist jeweils einen ersten Anschluss A1, einen zweiten Anschluss A2 und einen Zentralanschluss A3 auf. Die Datenrelais R1-R4 sind jeweils derart ausgebildet, dass sie jeweils wahlweise ihren ersten Anschluss A1 mit dem Zentralanschluss A3 oder ihren zweiten Anschluss A1 mit dem Zentralanschluss A3 verbinden können; der erste und zweite Anschluss A1, A2 sind stets getrennt voneinander.
  • Der erste Anschluss A1 des ersten Datenrelais R1 ist mit der Schnittstelleneinrichtung 12 verbunden, der zweite Anschluss A2 des ersten Datenrelais R1 ist an den Zentralanschluss A3 des zweiten Datenrelais R2 angeschlossen. Der Zentralanschluss A3 des ersten Datenrelais R1 steht mit einem Zwischenspeicher ZS in Verbindung.
  • Die inneren Datenrelais R2-R3 der Relaiskaskade 14 sind jeweils derart verschaltet, dass jeweils der zweite Anschluss A2 des in der Relaiskaskade 14 vorgeordneten Datenrelais mit dem Zentralanschluss A3 des in der Relaiskaskade 14 nachgeordneten Datenrelais verbunden ist.
  • Das in der Relaiskaskade 14 letzte Datenrelais R4 ist mit seinem zweiten Anschluss A2 mit der Recheneinrichtung 11 verbunden.
  • Die 1 lässt erkennen, dass ein unmittelbarer Datenzugriff der Recheneinrichtung 11 auf den Zwischenspeicher ZS nur möglich ist, wenn bei allen Datenrelais R1-R4 der Relaiskaskade 14 der zweite Anschluss A2 mit dem Zentralanschluss A3 verbunden ist.
  • An den ersten Anschluss A1 des zweiten Datenrelais R2 und der weiteren Datenrelais R3-R4 der Relaiskaskade 14 ist jeweils eine Zwischenrechnereinrichtung ZRE1-ZRE3 angeschlossen. Die Aufgabe der Zwischenrechnereinrichtungen ZRE1-ZRE3 besteht jeweils darin, die Daten D, die von der Schnittstelleneinrichtung 12 in dem Zwischenspeicher ZS zur Weiterleitung an die Recheneinrichtung 11 gespeichert worden sind, zu prüfen und eine Freigabe zur Durchschaltung der Relaiskaskade 14 zu erteilen, wenn die Prüfung keinen Hinderungsgrund anzeigt bzw. ein positives Prüfergebnis liefert. Wird ein Hinderungsgrund erkannt, so wird stattdessen ein Sperrsignal zum Sperren der Relaiskaskade 14 erzeugt.
  • Zur Ansteuerung der Datenrelais R der Relaiskaskade 14 ist eine Relaissteuereinrichtung 16 vorhanden. Die Relaissteuereinrichtung 16 steht über nicht gezeigte Leitungen mit den Zwischenrechnereinrichtungen ZRE1-ZRE3 in Verbindung und wertet deren Prüfungsergebnisse aus. Die Relaissteuereinrichtung 16 steuert die Datenrelais derart an, dass ein unmittelbarer Datenzugriff der Recheneinrichtung 11 auf den Zwischenspeicher ZS nur möglich ist, wenn alle Zwischenrechnereinrichtungen ZRE1-ZRE3 der Relaissteuereinrichtung 16 eine Freigabe zum unmittelbaren Datenzugriff erteilen.
  • Die Anordnung gemäß 1 kann beispielsweise wie folgt betrieben werden:
    • Zunächst wird die Relaissteuereinrichtung 16 die Datenrelais R1-R4 der Relaiskaskade 14 in einen definierten Ausgangszustand (siehe 1) versetzen, bei der die Zentralanschlüsse A3 jeweils mit dem ersten Anschluss A1 verbunden sind.
    • Empfängt die Schnittstelleneinrichtung 12 von der externen Datenquelle 20 Daten D, so speichert sie die Daten D in dem Zwischenspeicher ZS ab. Sind Daten D abgespeichert worden, so teilt die Schnittstelleneinrichtung 12 dies der Relaissteuereinrichtung 16 mit.
  • In nachfolgenden Schritten wird die Relaissteuereinrichtung 16 die Datenrelais R der Relaiskaskade 14 nacheinander umstellen:
    • In einem ersten Schritt wird das erste Datenrelais R1 umgeschaltet (siehe 2) und somit der Zwischenspeicher ZS mit der an das erste Datenrelais R1 angeschlossenen Zwischenrechnereinrichtung ZRE1 (nachfolgend erste Zwischenrechnereinrichtung ZRE1 genannt) verbunden. Die erste Zwischenrechnereinrichtung ZRE1 prüft die Daten D. Sind diese aus Sicht der ersten Zwischenrechnereinrichtung ZRE1 für eine Weiterleitung an die Recheneinrichtung 11 geeignet, so übersendet sie ein entsprechendes Freigabesignal an die Relaissteuereinrichtung 16; andernfalls übersendet sie ein Sperrsignal.
  • Liegt ein Freigabesignal der ersten Zwischenrechnereinrichtung ZRE1 vor, so schaltet die Relaissteuereinrichtung 16 in einem zweiten Schritt (siehe 3) das zweite Datenrelais R2 um und verbindet somit den Zwischenspeicher ZS mit der an das zweite Datenrelais R2 angeschlossenen Zwischenrechnereinrichtung ZRE2 (nachfolgend zweite Zwischenrechnereinrichtung ZRE2 genannt). Nun prüft die zweite Zwischenrechnereinrichtung ZRE2 die Daten D. Sind diese aus Sicht der zweiten Zwischenrechnereinrichtung ZRE2 für eine Weiterleitung an die Recheneinrichtung 11 geeignet, so übersendet sie ein entsprechendes Freigabesignal an die Relaissteuereinrichtung 16; andernfalls übersendet sie ein Sperrsignal.
  • In entsprechender Weise wird anschließend das dritte Datenrelais R3 der Relaiskaskade 14 umgeschaltet, so dass die dritte Zwischenrechnereinrichtung ZRE3 die Daten D im Zwischenspeicher ZS prüfen kann.
  • Liegt von allen Zwischenrechnereinrichtungen ZRE1-ZRE3 eine Freigabe vor, so wird das letzte Datenrelais R4 der Relaiskaskade 14 umgeschaltet und somit ein Zugriff der Recheneinrichtung 11 auf die Daten D im Zwischenspeicher ZS erlaubt. Dieser Schaltzustand der Relaiskaskade 14 ist in der 4 gezeigt. Die Recheneinrichtung 11 kann die Daten D beispielsweise in einen eigenen Speicher 11a kopieren.
  • Die Zwischenrechnereinrichtungen ZRE1-ZRE3 können ihre Prüfergebnisse auch an eine übergeordnete Diagnoseeinrichtung 17 senden, mit der sie vorzugsweise jeweils über eine Datendiode 18 verbunden sind.
  • Bei dem Ausführungsbeispiel gemäß den 1 bis 4 dient die Relaiskaskade 14 zum Verbinden der Recheneinrichtung 11 direkt mit dem Zwischenspeicher ZS, wenn die Prüfung der Daten D durch die Zwischenrechnereinrichtungen ZRE1-ZRE3 ein positives Ergebnis lieferte.
  • Die 5 zeigt ein weiteres Ausführungsbeispiel. Bei dem Ausführungsbeispiel gemäß der 5 ist an die Zentralanschlüsse A3 jedes Datenrelais R1, R2, R3 jeweils ein Zwischenspeicher ZS1, ZS2, ZS3 angeschlossen.
  • Jedem Paar an aufeinanderfolgenden Datenrelais R1, R2, R3 der Relaiskaskade 14 ist jeweils eine Zwischenrechnereinrichtung ZRE1, ZRE2 zugeordnet, die mit dem ersten Anschluss A1 des - in Kaskadenrichtung K in Richtung Recheneinrichtung 11 gesehen - vorderen Datenrelais des jeweiligen Relaispaares und dem zweiten Anschluss A2 des - in Kaskadenrichtung in Richtung Recheneinrichtung 11 gesehen - hinteren Datenrelais des jeweiligen Relaispaares verbunden ist.
  • Jede Zwischenrechnereinrichtung ZRE1, ZRE2 prüft jeweils die Daten D, die in dem an das hintere Datenrelais angeschlossenen Zwischenspeicher ZS1, ZS2 gespeichert sind. Zeigt die Prüfung, dass die Daten D zur Weiterleitung an die Recheneinrichtung 11 geeignet sind, so speichert sie die Daten D in dem an das vordere Datenrelais angeschlossenen Zwischenspeicher ZS2, ZS3 ab.
  • In der 5 ist ein Schaltzustand dargestellt, bei dem die erste Zwischenrechnereinrichtung ZRE1 die im ersten Zwischenspeicher ZS1 gespeicherten Daten D prüft und diese - bei positivem Prüfergebnis - in dem zweiten Zwischenspeicher ZS2 abspeichert.
  • In der 6 ist der nächste Schaltzustand dargestellt. Bei dem nächsten Schaltzustand prüft die zweite Zwischenrechnereinrichtung ZRE2 die im zweiten Zwischenspeicher ZS2 gespeicherten Daten D und speichert diese - bei positivem Prüfergebnis - in dem dritten Zwischenspeicher ZS3 ab.
  • Wird anschließend das dritte Relais R3 umgeschaltet, so kann die Recheneinrichtung 11 auf die Daten D zugreifen.
  • Die 7 zeigt ein Ausführungsbeispiel für eine Rechenanlage 10 mit einer Zwischenrechnereinrichtung ZRE, die einen TAN-Prüfschritt ausführen kann. In dem TAN-Prüfschritt wird überprüft, ob Daten D eine TAN-Sequenznummer enthalten, die gemäß einer vorgegebenen TAN-Liste 100 erwartet wird bzw. zulässig ist. Weisen die Daten D die richtige TAN-Sequenznummer oder eine zulässige TAN-Sequenznummer gemäß der TAN-Liste 100 auf, so wird der TAN-Prüfschritt als bestanden angesehen und es werden ggf. weitere Prüfschritte durchgeführt. Andernfalls wird die Datenprüfung als nicht bestanden gewertet und es wird eine Weiterleitung der Daten D an die Recheneinrichtung 11 blockiert.
  • Ein entsprechender TAN-Prüfschritt kann auch von den Zwischenrechnereinrichtungen bei den Rechenanlagen gemäß den 1 bis 6 sowie 8 bis 10 durchgeführt werden.
  • Die 8 zeigt ein Ausführungsbeispiel für eine Rechenanlage 10 mit einer Zwischenrechnereinrichtung ZRE, der eine Hilfsrechnereinrichtung HRE zugeordnet ist. Die Zwischenrechnereinrichtung ZRE ist mit der Hilfsrechnereinrichtung HRE über ein Hilfsrelais HR und einen Hilfszwischenspeicher HS gekoppelt.
  • Die Zwischenrechnereinrichtung ZRE führt eine Vorprüfung der Daten D, die von der Schnittstelleneinrichtung 12 in dem Zwischenspeicher ZS zur Weiterleitung an die Recheneinrichtung 11 gespeichert worden sind, durch. Die Vorprüfung kann beispielsweise die Prüfung der Herkunft der Daten D mittels Zertifikaten oder die Unversehrtheit der Daten D anhand einer Prüfsummenprüfung einschließen.
  • Sind die Daten D aus Sicht der Zwischenrechnereinrichtung ZRE zur Weiterleitung an die Recheneinrichtung 11 geeignet, so sendet sie eine Anfrage Sa, die die gespeicherten Daten D betrifft, über eine Datendiode 301 und einen Schnittstellenbaustein 302 an eine externe Zentraleinrichtung 30.
  • Die externe Zentraleinrichtung 30 prüft nun ihrerseits die Verwertbarkeit der Daten D und übersendet - bei positivem Prüfergebnis - ein positives, die Verwertbarkeit der gespeicherten Daten D anzeigendes Rückmeldesignal Sr an die Hilfsrechnereinrichtung HRE. Die Prüfung der externen Zentraleinrichtung 30 kann beispielsweise eine Prüfung einschließen, ob Zertifikate gültig sind oder nicht.
  • Die Hilfsrechnereinrichtung HRE hinterlegt nach Empfang des Rückmeldesignals der externen Zentraleinrichtung eine Freigabeinformation I über das Hilfsrelais HR in dem Hilfszwischenspeicher HS. Bei Vorliegen der Freigabeinformation I in dem Hilfszwischenspeicher HS erteilt die Zwischenrechnereinrichtung ZRE eine Freigabe zum Umschalten des zugeordneten zweiten Datenrelais R2 zum Zwecke eines Datenflusses in Richtung der Recheneinrichtung 11.
  • Liegt die Freigabe der Zwischenrechnereinrichtung ZRE vor, so schaltet die Relaissteuereinrichtung 16 das zweite Datenrelais R2 um, so dass die Recheneinrichtung 11 auf den Zwischenspeicher ZS zugreifen kann, wie dies oben beispielhaft im Zusammenhang mit den 1 bis 7 erläutert wurde.
  • Entsprechende Hilfsrelais HR und Hilfszwischenspeicher HS können im Übrigen auch den Zwischenrechnereinrichtungen ZRE der Rechenanlagen gemäß den 1 bis 7 sowie 9 bis 10 zugeordnet werden.
  • Die 9 zeigt ein Ausführungsbeispiel für eine Rechenanlage 10, bei der die Schnittstelleneinrichtung 12 mit einer Reboot-Funktion ausgestattet ist. Der Schnittstelleneinrichtung 12 ist zu diesem Zwecke eine Neustarteinrichtung 121 zugeordnet, die mit der Schnittstelleneinrichtung 12 über ein Hilfsrelais HR und einen Hilfszwischenspeicher HS gekoppelt ist. Das Hilfsrelais HR bildet hier ein zweites Relais R2 der Rechenanlage 10. Die Neustarteinrichtung 121 ist dazu ausgebildet, eine einen Neustart der Schnittstelleneinrichtung 12 ermöglichende Startdatei SD zu erzeugen und diese in dem Hilfszwischenspeicher HS zu hinterlegen. Zur Erzeugung der Startdatei kann die Neustarteinrichtung 121 beispielsweise auf Software zugreifen, die in einem Speicher 121a gespeichert ist.
  • Die Startdatei SD ermöglicht es, die Schnittstelleneinrichtung 12 neu zu starten, wenn diese - beispielsweise wegen eines äußeren Angriffs mittels schädlicher Daten D - nicht oder nicht mehr zuverlässig arbeiten kann.
  • Entsprechende Neustarteinrichtungen 121, Hilfsrelais HR und Hilfszwischenspeicher HS können im Übrigen auch den Zwischenrechnereinrichtungen ZRE bei den Rechenanlagen gemäß den 1 bis 8 sowie 10 zugeordnet werden.
  • Die 10 zeigt ein Ausführungsbeispiel für eine Rechenanlage 10, bei der zwei Datenrelais Trennrelais Rt bilden. Bei den zwei Trennrelais Rt ist der erste Anschluss A1 unbelegt. Die Trennrelais Rt ermöglichen eine Schaltstellung der Relaiskaskade 14, bei der der Zwischenspeicher ZS weder mit der Recheneinrichtung 11 noch mit der Schnittstelleneinrichtung 12 verbunden ist.
  • Die oben anhand der 1 bis 10 beschriebenen Ausführungsbeispiele können einzelne oder mehrere der nachfolgend stichpunktartig aufgeführten Merkmale bzw. Vorteile aufweisen:
    • - Die (inneren) Zwischenrechnereinrichtungen prüfen vorzugsweise die Daten D und erzeugen bei Auffälligkeiten/Abweichungen über einen Diagnosekanal eine Meldung nach außen. Nach positiver Prüfung können die Daten D auf dem Datenträger belassen werden und es kann eine Prüf-Spur der Zwischenrechnereinrichtung auf dem Datenträger hinterlassen werden.
    • - Die Zwischenrechnereinrichtungen sind vorzugsweise weder von außen bzw. aus dem Internet noch von einem internen Netz aus direkt erreichbar und können somit vorzugsweise nicht verändert bzw. manipuliert werden. Hierdurch wird gewährleistet, dass Funktionen, die einmal als vorhanden nachgewiesen wurden, auch zukünftig ihre Aufgabe erfüllen. Eine Attacke auf die Zwischenrechnereinrichtungen (inneren Rechner) von außen wird somit erschwert.
    • - Die inneren Zwischenrechnereinrichtungen können die Daten auf dem Datenträger z. B. auf Integrität, Virenfreiheit, Authentizität, Dateinamenstruktur, ..., prüfen. Es ist auch möglich, Daten herauszufiltern, die nur für eine bestimmte technische Anlage vorgesehen sind. Hierbei können diese Daten durch ein gesondertes Kennzeichen/Merkmal in den Daten selbst erkannt werden.
    • - Jeder Rechner, insbesondere jede Zwischenrechnereinrichtung, hinterlässt vorzugsweise auf dem Datenträger einen Eintrag oder eine Prüf-Spur über die erfolgreiche Prüfung, so dass nachfolgende Rechner die Ergebnisse einsehen können, z. B. ob ein Check von einem bestimmten Rechner stattgefunden hat. Diese Spur kann am Ende der Kette von dem letzten Anlagenrechner ebenfalls überprüft werden, und es kann festgestellt werden, ob alle zuständigen Rechner in die Überprüfung eingebunden wurden.
    • - Eine Kombination von verschiedenen Verfahren kann genutzt werden. Je nach Einschätzung der Sicherheit und Robustheit kann auch nur ein Verfahren genutzt werden. Die Aufgaben sollten vorzugsweise von verschiedenen Rechnern übernommen werden. Es ist jedoch auch denkbar, die genannten Funktionen auf einem Rechner nacheinander durchzuführen.
    • - Die Integrität lässt sich durch die Nutzung von verschiedenen Prüfverfahren und Prüfsummen, z. B. MD4, MD5, SHA1, usw. überprüfen. Die Prüfwerte werden vorzugsweise durch den Daten-Lieferanten vorab erstellt und werden beim Hochladen auf die Rechenanlage übergeben. Bei der Bestimmung der Prüfsummen kann zusätzlich noch ein Geheimnis (Salz) verwendet werden, das nur dem befugten Datenübermittler und dem prüfenden Rechner bekannt ist. Es können ein Prüfverfahren oder mehrere Prüfverfahren für eine Konfiguration verwendet werden. Sollten Daten auf dem Datenträger sein, die nicht die korrekten Prüfsummen haben, werden diese vorzugsweise gelöscht. Bei einer besonders strikten Ausprägung könnten die gesamten Daten D auf dem Datenträger gelöscht werden. Diese Aktion wird bei Auffälligkeiten mittels eines Diagnosekanals vorzugsweise nach außen übermittelt (z. B. DatenDiode DCU Data Capture Unit). Hierdurch kann außerhalb des Verfahrens erkannt werden, dass hier Auffälligkeiten aufgetreten sind.
    • - Durch kryptografisches Signieren der Daten durch den Datenübermittler (Einreicher) kann ein innerer Rechner vor dem Passieren oder Weiterleiten der Daten prüfen, ob die Daten von der berechtigten Person signiert wurden. Die entsprechenden kryptografischen Schlüssel werden bei der Konfiguration der Vorrichtung vorzugsweise miteingerichtet. Auch hier könnten Daten, die nicht korrekt signiert wurden, gelöscht werden.
    • - Ein weiteres Verfahren kann die auf dem Datenträger übermittelten Daten auf Viren- und Malware-Freiheit prüfen und bei Auffälligkeiten nur die Daten oder den gesamten Datenträger löschen und die Auffälligkeit über den Diagnosekanal melden.
    • - Es können auch Rechner mit neuen Boot-Images versorgt und aufgesetzt werden. Hierzu wird der Boot-Datenträger vorzugsweise mit dem Boot-Image für den Rechner nach einem Herunterfahren bzw. Shutdown z. B. durch einen Steuercomputer abgekoppelt und an einen Deployment-Rechner angekoppelt. Dieser Deployment-Rechner kann nach dem Umhängen des Datenträgers diesen z. B. formatieren und ein frisches Boot-Image auf den Rechner aufspielen, z. B. unter Unix mittels Befehls sudo dd if=fresch_boot_iso_image.iso of=/dev/sdx bs=1M && sync.
    • - Ein Deployment Rechner kann verschiedene Versionen von Images vorhalten und bei Bedarf ein anderes Boot-Image zur Verfügung stellen. Nach dem erfolgreichen Überspielen des frischen Bootimage wird der Boot-Datenträger vorzugsweise wieder an den ursprünglichen Rechner angekoppelt und dieser Rechner neu gestartet. Hierdurch erhält der Rechner eine neue Aufgabe oder ist wieder in seinem Ursprungszustand. Sollten zum Beispiel vorher durch Attacken Spuren eines Angriffs z. B. extra User-Accounts vorhanden gewesen sein, so sind diese nicht mehr vorhanden. Wenn das frische Boot-Image durch ein lokales Software-Update auf den Deployment-Rechner aktualisiert wurde, können hierdurch auch Verbesserungen der Konfiguration z. B. des Betriebssystems erreicht werden. Es ist auch eine gleichzeitige Nutzung von mehreren Datenträgern möglich.
    • - In den oben beispielhaft beschriebenen Varianten wird beispielhaft nur ein Datensatz D von einem Rechner zum nächsten übergeben. Diese Vorgehensweise kann auf n Datensätze und n-Datenträger erweitert werden. Pro Rechner können zum Beispiel zwei Input- und zwei Output-Datenträger genutzt werden. Die Daten können dann nach erfolgreichen Tests oder Prüfschritten vom Input-Datenträger auf den Output-Datenträger kopiert werden. Nach dem Abkoppeln wird der Datenträger vorzugsweise wieder zurückgegeben, somit lassen sich die Turnaround-Zeiten optimieren.
    • - In einer Ein-Rechnerkonfiguration für eine Datenträger-Schleuse wird nur ein innerer Rechner verwendet. Dieser startet vorzugsweise mit verschieden Boot-Images, die ihm von einem Steuerrechner und einem Deployment-Rechner nacheinander übergeben werden. Der innere Rechner bootet z. B. zuerst mit dem Viren-Prüfprogramm und beendet sich nach erfolgreichem Check. Im Anschluss wird das Bootimage vorzugsweise durch den Deployment-Server umkonfiguriert und der innere Rechner wird erneut gestartet, in diesem Fall z. B. mit Prüfsummen-Prüfroutinen. Dieser Ablauf wird sooft wiederholt, bis alle verschiedenen Aufgaben der inneren Rechner abgearbeitet wurden.
    • - Über diversitäre Eingänge, Wege mit diversitären Filtern und einem anschließenden Zusammenführen lassen sich noch aufwendigere Varianten erstellen. So können z. B. Teile von Daten über verschiedene Eingangsketten durch einen Merge-Computer zusammengeführt werden
    • - Durch eine gesonderte anlagenspezifische TAN-Sequenznummer für Uploads beispielsweise können nur Daten eingebracht werden, wenn die interne TAN mit der von extern mitgegebenen TAN übereinstimmt. Verbrauchte TAN werden vorzugsweise von der Liste gestrichen und nicht mehr verwendet.
    • - Durch ein zusätzliches Konstrukt ist es möglich, das Verfahren um eine Zei-Faktor-Authentifizierung zu erweitern. In diesem Fall sendet vorzugsweise ein innerer Rechner über eine Datendiode eine Anfrage an einen externen (ggf. Cloud) Verifikationsrechner, um eine externe Überprüfung zu ermöglichen. Hierzu kann das gesamte Prüfobjekt oder ein Hashwert an den Verifikationsrechner übergeben werden. Dieser Verifikationsrechner kann eine weitere Prüfsumme oder Signatur für das Prüfobjekt erzeugen. Das Ergebnis der zweiten externen Überprüfung durch den Verifikationsrechner wird im Anschluss wieder vorzugsweise an den inneren Rechner übergeben. Erst wenn die Rückmeldung des Verifikationsrechners mit der erwarteten Rückmeldung übereinstimmt, werden die Daten an den nächsten Rechner übergeben. Hier könnte unter anderem auch eine Art 2FA-Verfahren analog zu Google genutzt werden.
    • - Die durch die verschiedenen Rechner durchgeführten Prüfungen können durch die inneren Rechner protokolliert, kryptografisch signiert und an den Nachfolger-Rechner übergeben werden. Hierdurch entsteht eine Art Prüf-Spur über den Verlauf der Prüfkette. Jeder Rechner einer Spur hinterlässt auf dem Datenträger seine Signatur zu den positiv durchgeführten Tests. Eine entsprechende Signatur für Auffälligkeiten ist ebenfalls möglich. Durch eine Konfiguration kann vorab festgelegt werden, welche Rechner nacheinander bei der Prüfung eingebunden werden sollen. Hierdurch kann der letzte innere Rechner anhand der Konfiguration der Spur und der Informationen ermitteln, ob alle relevanten Rechner der Spur eingebunden waren und ihre Signaturen hinterlassen haben.
    • - Sollte es notwendig sein, dass die Datenträger zwischen dem Umschalten von zwei Rechnern in einer „neutralen“ Position verharren, so kann die Schaltung entsprechend aufgebaut werden.
    • - Die Schnittstelleneinrichtung, die zum Beispiel durch einen äußeren Internet-fähigen Rechner gebildet ist, kann - wie oben beschrieben - wieder in den Ursprung versetzt bzw. rebooted werden.
    • - Auch eine Aktualisierung der Rechner, insbesondere des anderen äußeren Rechners, ist durch die verteilte Architektur sehr leicht möglich.
    • - Bei den beschriebenen Verfahren kann ein vollständiger Protokollbruch bei der Datenübertragung erreicht werden.
    • - Es ist möglich, dass immer nur ein Rechner mit einem Datenträger verbunden ist; es kann also eine saubere Entkopplung des Datenträgers erfolgen.
    • - Die inneren Rechner können selbst sehr einfache und kleine Computer sein.
  • Obwohl die Erfindung im Detail durch bevorzugte Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.

Claims (14)

  1. Rechenanlage (10) mit einer Recheneinrichtung (11), dadurch gekennzeichnet, dass - die Rechenanlage (10) einen Eingangsdatenpfad (13) aufweist, der eine Schnittstelleneinrichtung (12) der Rechenanlage (10) mit der Recheneinrichtung (11) verbindet, - der Eingangsdatenpfad (13) zumindest zwei Datenrelais (R1-R4) und zumindest einen Zwischenspeicher (ZS) zur Zwischenspeicherung von Daten (D) aufweist, - jedes der zumindest zwei Datenrelais (R1-R4) jeweils einen ersten und zweiten Anschluss (A1, A2) und einen Zentralanschluss (A3) aufweist und jeweils wahlweise seinen ersten Anschluss (A1) und seinen Zentralanschluss (A3) oder seinen zweiten Anschluss (A2) und seinen Zentralanschluss (A3) verbinden kann und seinen ersten und zweiten Anschluss (A1, A2) stets getrennt voneinander lässt, - ein erstes der zumindest zwei Datenrelais (R1) mit seinem ersten Anschluss (A1) mit der Schnittstelleneinrichtung (12) und mit seinem zweiten Anschluss (A2) mit der Recheneinrichtung (11) in Verbindung steht und - der Zentralanschluss (A3) des ersten Datenrelais (R1) mit dem zumindest einen Zwischenspeicher (ZS) verbunden ist, der durch das erste Datenrelais (R1) wahlweise ausschließlich mit der Schnittstelleneinrichtung (12) oder dem zweiten Anschluss (A1) des ersten Datenrelais (R1) verbunden ist, aber nicht gleichzeitig mit beiden.
  2. Rechenanlage (10) nach Anspruch 1, dadurch gekennzeichnet, dass mindestens eine Zwischenrechnereinrichtung (ZRE1) vorhanden ist, die mit dem ersten Anschluss (A1) eines zweiten der zumindest zwei Datenrelais (R2) in Verbindung steht.
  3. Rechenanlage (10) nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass - der zweite Anschluss (A2) des ersten Datenrelais (R1) mit dem Zentralanschluss (A3) des zweiten Datenrelais (R2) verbunden ist, - der zweite Anschluss (A2) des zweiten Datenrelais (R2) unmittelbar mit der Recheneinrichtung (11) oder mittelbar über ein oder mehrere weitere Datenrelais (R3-R4) mit der Recheneinrichtung (11) in Verbindung steht und - mit den Datenrelais (R1-R4) - bei geeigneter Relaisstellung - ein unmittelbarer Datenzugriff der Recheneinrichtung (11) auf den Zwischenspeicher (ZS) möglich ist.
  4. Rechenanlage (10) nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass - ein oder mehr weitere Datenrelais (R3-R4) vorhanden sind Relaiskaskade (14) bilden, bei der das in der Relaiskaskade (14) erste Datenrelais (R1) mit seinem ersten Anschluss (A1) mit der Schnittstelleneinrichtung (12) und das in der Relaiskaskade (14) letzte Datenrelais (R4) mit seinem zweiten Anschluss (A2) mit der Recheneinrichtung (11) in Verbindung steht, und - mit den Datenrelais (R1-R4) ein unmittelbarer Datenzugriff der Recheneinrichtung (11) auf den Zwischenspeicher (ZS) möglich ist, wenn bei allen Datenrelais (R1-R4) der Relaiskaskade (14) der zweite Anschluss (A1) mit dem Zentralanschluss (A3) verbunden ist.
  5. Rechenanlage (10) nach Anspruch 4, dadurch gekennzeichnet, dass - zwei oder mehr Datenrelais (R2-R4) der Relaiskaskade (14) jeweils eine Zwischenrechnereinrichtung (ZRE1-ZRE3) zugeordnet ist und die Zwischenrechnereinrichtungen (ZRE1-ZRE3) jeweils mit dem ersten Anschluss (A1) des zugeordneten Datenrelais (R2-R4) verbunden sind und - jede der Zwischenrechnereinrichtungen (ZRE1-ZRE3) jeweils Daten (D), die von der Schnittstelleneinrichtung (12) in dem Zwischenspeicher (ZS) zur Weiterleitung an die Recheneinrichtung (11) gespeichert worden sind, prüft und ihrerseits eine Freigabe zur Durchschaltung der Relaiskaskade (14) erteilen, wenn die Prüfung keinen Hinderungsgrund anzeigt.
  6. Rechenanlage (10) nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass - zur Ansteuerung der Datenrelais (R1-R4) eine Relaissteuereinrichtung (16) vorhanden ist und - die Relaissteuereinrichtung (16) die Datenrelais (R1-R4) derart ansteuert, dass ein unmittelbarer Datenzugriff der Recheneinrichtung (11) auf den Zwischenspeicher (ZS) möglich ist, wenn die mindestens eine Zwischenrechnereinrichtung (ZRE1), vorzugsweise alle Zwischenrechnereinrichtungen (ZRE1-ZRE3) im Falle mehrerer Zwischenrechnereinrichtungen, der Relaissteuereinrichtung (16) eine Freigabe zum unmittelbaren Datenzugriff erteilen.
  7. Rechenanlage (10) nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass - mit der mindestens einen Zwischenrechnereinrichtung (ZRE1) der zweite Anschluss (A2) des ersten Datenrelais (R1) und der erste Anschluss (A1) des zweiten Datenrelais (R2) verbunden ist, - an den Zentralanschluss (A3) des zweiten Datenrelais (R1-R4) ein weiterer Zwischenspeicher (ZS2) angeschlossen ist und - die mindestens eine Zwischenrechnereinrichtung (ZRE1) Daten (D), die von der Schnittstelleneinrichtung (12) in dem an das erste Datenrelais (R1) angeschlossenen Zwischenspeicher (ZS1) zur Weiterleitung an die Recheneinrichtung (11) gespeichert worden sind, prüft und diese Daten (D) an den an das zweite Datenrelais (R2) angeschlossenen Zwischenspeicher (ZS2) weiterleitet, wenn die Prüfung keinen Hinderungsgrund anzeigt.
  8. Rechenanlage (10) nach Anspruch 7, dadurch gekennzeichnet, dass - ein oder mehr weitere Datenrelais (R3) vorhanden sind, die mit dem ersten und zweiten Datenrelais (R1-R2) eine Relaiskaskade (14) bilden, bei der das in der Relaiskaskade (14) erste Datenrelais (R1) mit seinem ersten Anschluss (A1) mit der Schnittstelleneinrichtung (12) und das in der Relaiskaskade (14) letzte Datenrelais (R3) mit seinem zweiten Anschluss (A2) mit der Recheneinrichtung (11) verbunden ist, - zumindest einem Paar an aufeinanderfolgenden Datenrelais der Relaiskaskade (14), vorzugsweise allen Paaren, jeweils eine Zwischenrechnereinrichtung (ZRE1-ZRE2) zugeordnet ist, die mit dem ersten Anschluss (A1) des - in Kaskadenrichtung (K) in Richtung Recheneinrichtung (11) gesehen - vorderen Datenrelais des jeweiligen Relaispaares und dem zweiten Anschluss (A2) des - in Kaskadenrichtung (K) in Richtung Recheneinrichtung (11) gesehen - hinteren Datenrelais des jeweiligen Relaispaares verbunden ist und jeweils die in dem an das hintere Datenrelais angeschlossenen Zwischenspeicher gespeicherten Daten (D), die zur Weiterleitung an die Recheneinrichtung (11) vorgesehen sind, prüft und diese Daten (D) an den an das vordere Datenrelais angeschlossenen Zwischenspeicher weiterleitet, wenn die Prüfung keinen Hinderungsgrund anzeigt.
  9. Rechenanlage (10) nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass - der mindestens einen Zwischenrechnereinrichtung (ZRE) oder zumindest einer der Zwischenrechnereinrichtungen eine Hilfsrechnereinrichtung (HRE) zugeordnet ist, die mit der Zwischenrechnereinrichtung (ZRE) über ein Hilfsrelais (HR) und einen Hilfszwischenspeicher (HS) gekoppelt ist, - die Zwischenrechnereinrichtung (ZRE) eine Vorprüfung der Daten (D), die in dem an das zugeordnete Datenrelais (R2) angeschlossenen Zwischenspeicher (ZS) zur Weiterleitung an die Recheneinrichtung (11) gespeichert worden sind, durchführt und eine Anfrage (Sa), die die gespeicherten Daten (D) betrifft, an eine externe Zentraleinrichtung (30) übermittelt, - die Hilfsrechnereinrichtung (HRE) dazu ausgebildet ist, bei Empfang eines positiven, die Verwertbarkeit der gespeicherten Daten (D) anzeigenden Rückmeldesignals (Sr) der externen Zentraleinrichtung (30) eine Freigabeinformation (I) über das Hilfsrelais (HR) in dem Hilfszwischenspeicher (HS) zu hinterlegen, und - die Zwischenrechnereinrichtung (ZRE) bei Vorliegen der Freigabeinformation (I) in dem Hilfszwischenspeicher (HS) eine Freigabe zum Umschalten des zugeordneten Datenrelais (R2), insbesondere des zweiten Relais, zum Zwecke eines Datenflusses in Richtung der Recheneinrichtung (11) erteilt.
  10. Rechenanlage (10) nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass - der mindestens einen Zwischenrechnereinrichtung (ZRE1, ZRE) oder zumindest einer der Zwischenrechnereinrichtungen (ZRE1-ZRE3) und/oder der Schnittstelleneinrichtung (12) eine Neustarteinrichtung (121) zugeordnet ist, die mit der Zwischenrechnereinrichtung (ZRE1-ZRE3) bzw. der Schnittstelleneinrichtung (12) über das zweite Datenrelais (R2) oder ein Hilfsrelais (HR) und einen Hilfszwischenspeicher (HS) gekoppelt ist, und - die Neustarteinrichtung (121) geeignet ist, eine einen Neustart der Zwischenrechnereinrichtung (ZRE1-ZRE3) bzw. der Schnittstelleneinrichtung (12) ermöglichende Startdatei (SD) zu erzeugen und diese in dem Hilfszwischenspeicher (HS) zu hinterlegen.
  11. Rechenanlage (10) nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass bei zumindest einem Datenrelais der erste oder zweite Anschluss (A1, A2) unbelegt ist.
  12. Rechenanlage (10) nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass die von der Zwischenrechnereinrichtung (ZRE1-ZRE3) oder den Zwischenrechnereinrichtungen (ZRE1-ZRE3) durchzuführende Prüfung der Daten (D), die zu der Recheneinrichtung (11) übertragen werden sollen, zumindest eine, mehrere oder alle der folgenden Prüfschritte umfasst: - Prüfen von Sequenznummern, - Prüfen von Signaturen, - Bilden und Prüfen von Prüfsummen, - Prüfen der Herkunft der Daten (D) auf kryptografischer Basis, - Virenprüfung, - Überprüfung von TANs.
  13. Eisenbahntechnische Anlage, insbesondere Stellwerk oder ein Schienenfahrzeug, dadurch gekennzeichnet, dass diese eine Rechenanlage (10) nach einem der voranstehenden Ansprüche aufweist.
  14. Verfahren zum Betreiben einer Rechenanlage (10), insbesondere einer Rechenanlage (10) nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass - Daten (D), die von einer Schnittstelleneinrichtung (12) in Richtung der Rechenanlage (10) weitergeleitet werden sollen, über einen Eingangsdatenpfad (13) geleitet werden, der eine Schnittstelleneinrichtung (12) der Rechenanlage (10) mit der Recheneinrichtung (11) verbindet, - der Eingangsdatenpfad (13) zumindest zwei Datenrelais (R1-R4) und zumindest einen Zwischenspeicher (ZS) zur Zwischenspeicherung von Daten (D) aufweist, - jedes der zumindest zwei Datenrelais (R1-R4) jeweils einen ersten und zweiten Anschluss (A1, A2) und einen Zentralanschluss (A3) aufweist und jeweils wahlweise seinen ersten Anschluss (A1) und seinen Zentralanschluss (A3) oder seinen zweiten Anschluss (A2) und seinen Zentralanschluss (A3) verbinden kann und seinen ersten und zweiten Anschluss (A1, A2) stets getrennt voneinander lässt, - ein erstes der zumindest zwei Datenrelais (R1) mit seinem ersten Anschluss (A1) mit der Schnittstelleneinrichtung (12) und mit seinem zweiten Anschluss (A2) mittelbar oder unmittelbar mit der Recheneinrichtung (11) in Verbindung steht, - der Zentralanschluss (A3) des ersten Datenrelais (R1) mit dem zumindest einen Zwischenspeicher (ZS) verbunden ist, der durch das erste Datenrelais (R1) wahlweise ausschließlich mit der Schnittstelleneinrichtung (12) oder dem zweiten Anschluss (A2) des ersten Datenrelais (R1) verbunden ist, aber nicht gleichzeitig mit beiden, und - die Weiterleitung der Daten (D) über zumindest das erste Datenrelais (R1) und den an das erste Datenrelais (R1) angeschlossenen Zwischenspeicher (ZS) erfolgt.
DE102019208709.4A 2019-06-14 2019-06-14 Rechenanlage und Verfahren zum Betreiben einer Rechenanlage Ceased DE102019208709A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102019208709.4A DE102019208709A1 (de) 2019-06-14 2019-06-14 Rechenanlage und Verfahren zum Betreiben einer Rechenanlage
US17/619,005 US11757781B2 (en) 2019-06-14 2020-05-12 Devices and methods for operating a computing system comprising a data relay
EP20728963.8A EP3957051A1 (de) 2019-06-14 2020-05-12 Vorrichtungen und verfahren zum betreiben einer rechenanlage mit datenrelais
PCT/EP2020/063125 WO2020249341A1 (de) 2019-06-14 2020-05-12 Vorrichtungen und verfahren zum betreiben einer rechenanlage mit datenrelais

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019208709.4A DE102019208709A1 (de) 2019-06-14 2019-06-14 Rechenanlage und Verfahren zum Betreiben einer Rechenanlage

Publications (1)

Publication Number Publication Date
DE102019208709A1 true DE102019208709A1 (de) 2020-12-17

Family

ID=70918385

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019208709.4A Ceased DE102019208709A1 (de) 2019-06-14 2019-06-14 Rechenanlage und Verfahren zum Betreiben einer Rechenanlage

Country Status (4)

Country Link
US (1) US11757781B2 (de)
EP (1) EP3957051A1 (de)
DE (1) DE102019208709A1 (de)
WO (1) WO2020249341A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2503245A (en) * 2012-06-20 2013-12-25 Deep Secure Ltd Secure connection between computer networks using unidirectional links

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US1749834A (en) * 1928-03-14 1930-03-11 Union Switch & Signal Co Railway-traffic-controlling apparatus
DE19742330C1 (de) * 1997-09-19 1998-10-29 Siemens Ag Verfahren zum Abschotten sicherheitsrelevanter Datenverarbeitungsanlagen gegen Beeinflussungen aus anderen Datennetzen sowie hierzu geeignete Einrichtung
US8495725B2 (en) * 2009-08-28 2013-07-23 Great Wall Systems Methods, systems, and computer readable media for adaptive packet filtering
AT509254B1 (de) * 2009-12-17 2011-10-15 Isa Auctionata Auktionen Ag Rechnersystem zum austausch von nachrichten

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2503245A (en) * 2012-06-20 2013-12-25 Deep Secure Ltd Secure connection between computer networks using unidirectional links

Also Published As

Publication number Publication date
EP3957051A1 (de) 2022-02-23
WO2020249341A1 (de) 2020-12-17
US11757781B2 (en) 2023-09-12
US20220353188A1 (en) 2022-11-03

Similar Documents

Publication Publication Date Title
DE102013216847A1 (de) Verfahren, Vorrichtung und System zur Überwachung einer Sicherheits-Netzübergangseinheit
EP2981926B1 (de) Datenspeichervorrichtung zum geschützten datenaustausch zwischen verschiedenen sicherheitszonen
EP3355230A1 (de) Verfahren und vorrichtung zum rechnergestützten erstellen und ausführen einer steuerfunktion
DE102018210318B4 (de) Verfahren zur Sicherung von Fahrzeugkomponenten und entsprechende Fahrzeugkomponente
DE102015213412A1 (de) Verfahren und Anordnung zum sicheren Austausch von Konfigurationsdaten einer Vorrichtung
WO2009049656A1 (de) Verfahren zum konfigurieren einer anordnung zum schützen, steuern oder überwachen einer elektrischen schalt- oder energieversorgungsanlage
DE102016206630A1 (de) Verfahren und Vorrichtung zur Vermeidung von Manipulation einer Datenübertragung
EP3951516A1 (de) System und verfahren zum verifizieren von komponenten eines industriellen kontrollsystems
DE102020003072B3 (de) Verfahren zur sicheren Nutzung von kryptografischem Material
EP0976221A1 (de) Verfahren und anordnung zur bildung und überprüfung einer prüfsumme für digitale daten, die in mehrere datensegmente gruppiert sind
EP3475143B1 (de) Anordnung mit einer sicherungstechnischen anlage sowie verfahren zu deren geschütztem betrieb mittels fernabfrage
DE102018208201A1 (de) Anordnung und Verfahren zum Verändern des Inhalts eines Wurzelzertifikatsspeichers eines technischen Geräts
DE102019208709A1 (de) Rechenanlage und Verfahren zum Betreiben einer Rechenanlage
DE102014101835A1 (de) Verfahren zur Kommunikation zwischen abgesicherten Computersystemen sowie Computernetz-Infrastruktur
DE102016208284A1 (de) Verbessern einer Geräteauthentifizierung mit Hilfe von Geräteüberwachungsdaten
DE102018133605B4 (de) Verfahren und Vorrichtung zur Prüfung der Integrität von Modulen einer Windkraftanlage
DE112019004692T5 (de) Datenverarbeitungsvorrichtung und managementvorrichtung
EP3957033B1 (de) Rechenanlage und verfahren zum betreiben einer rechenanlage
EP3703333B1 (de) Verfahren, vorrichtung und anlage zur verarbeitung wenigstens einer information in einer sicherheitstechnischen anlage
AT507122B1 (de) Verfahren zum betrieb einer transaktionsbasierten ablaufsteuerung
DE102020209363A1 (de) Verfahren und sicherheitsgerichtetes System zum Ausführen von Sicherheitsfunktionen
DE102006029851A1 (de) Sicheres Verfahren für sicherheitsrelevante Eingaben
EP1643336A1 (de) Eindeutige Produktidentifikation
EP4099616A1 (de) Verfahren zur integration einer neuen komponente in ein netzwerk, registrarkomponente und anlage
DE102020203919A1 (de) Verifizierungsverfahren für ein elektronisches Bauteil und Bauteil

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final