DE102020210193B3 - Method and system for securing data communication within a network - Google Patents

Method and system for securing data communication within a network Download PDF

Info

Publication number
DE102020210193B3
DE102020210193B3 DE102020210193.0A DE102020210193A DE102020210193B3 DE 102020210193 B3 DE102020210193 B3 DE 102020210193B3 DE 102020210193 A DE102020210193 A DE 102020210193A DE 102020210193 B3 DE102020210193 B3 DE 102020210193B3
Authority
DE
Germany
Prior art keywords
network
data
data communication
transmission path
network device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102020210193.0A
Other languages
German (de)
Inventor
Mirjana Ristic
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102020210193.0A priority Critical patent/DE102020210193B3/en
Application granted granted Critical
Publication of DE102020210193B3 publication Critical patent/DE102020210193B3/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • H04L45/121Shortest path evaluation by minimising delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • H04L45/122Shortest path evaluation by minimising distances, e.g. by selecting a route with minimum of number of hops

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die vorliegende Erfindung betrifft ein computerimplementiertes Verfahren und System zum Absichern einer Datenkommunikation innerhalb eines eine Mehrzahl von Netzwerkvorrichtungen (10, 11, 12) aufweisenden Netzwerks. Das Verfahren umfasst ein Zuweisen (S1) eines Risikoparameters an jede einen Netzwerkknoten (K) bildende Netzwerkvorrichtung (10, 11, 12) und Steuern (S2) der Datenkommunikation innerhalb des Netzwerks (1) unter Verwendung eines Datenkommunikationsalgorithmus (A), welcher einen Datenübertragungspfad (P) zwischen der ersten Netzwerkvorrichtung (10) und der zweiten Netzwerkvorrichtung (12) derart festlegt, dass eine Anzahl von Netzwerkknoten (K) des Datenübertragungspfads (P) und ein mit dem Datenübertragungspfad (P) assoziiertes Risiko unter Einbeziehung der Risikoparameter jeder Netzwerkvorrichtung (10, 11, 12) minimiert werden.The present invention relates to a computer-implemented method and system for securing data communication within a network having a plurality of network devices (10, 11, 12). The method comprises assigning (S1) a risk parameter to each network device (10, 11, 12) forming a network node (K) and controlling (S2) the data communication within the network (1) using a data communication algorithm (A) which has a data transmission path (P) between the first network device (10) and the second network device (12) so that a number of network nodes (K) of the data transmission path (P) and a risk associated with the data transmission path (P), taking into account the risk parameters of each network device ( 10, 11, 12) can be minimized.

Description

Die Erfindung betrifft ein computerimplementiertes Verfahren zum Absichern einer Datenkommunikation innerhalb eines eine Mehrzahl von Netzwerkvorrichtungen aufweisenden Netzwerks. Die Erfindung betrifft des Weiteren ein System zum Absichern einer Datenkommunikation innerhalb eines eine Mehrzahl von Netzwerkvorrichtungen aufweisenden Netzwerks.The invention relates to a computer-implemented method for securing data communication within a network having a plurality of network devices. The invention also relates to a system for securing data communication within a network having a plurality of network devices.

Stand der TechnikState of the art

Netzwerksicherheit gewinnt im Zusammenhang mit dem Internet der Dinge bzw. Industrie 4.0 infolge steigender Cyberkriminalität immer mehr an Bedeutung. Aufgrund der Tatsache, dass bei den vorstehend genannten Anwendungen große Datenströme zwischen Netzwerkvorrichtungen erzeugt werden und die Netzwerkvorrichtungen in Produktion und Verwaltung auf Fabrikebene eingesetzt werden, verlangt die Netzwerksicherheit vorderste Priorität.Network security is becoming more and more important in connection with the Internet of Things and Industry 4.0 as a result of increasing cybercrime. Due to the fact that large data streams are generated between network devices in the above-mentioned applications and the network devices are used in production and administration at the factory level, network security is a top priority.

Netzwerksicherheitslösungen auf Komponentenebene sind mittlerweile als unzureichend zu sehen. Ferner widerspricht die Verwendung analoger redundanter Komponenten bestehenden Industrie 4.0-Konzepten sowie dem Anspruch eines hohen Automatisierungsgrades und der Flexibilisierung der Fertigung.Network security solutions at the component level are now seen as inadequate. Furthermore, the use of analog redundant components contradicts existing Industry 4.0 concepts as well as the demand for a high degree of automation and flexibility in production.

CA 2887428 A1 offenbart ein computerimplementiertes System zum Auswählen eines sicheren Pfades für die Datenübertragung von einem Knoten zu einem anderen in einem Kommunikationsnetzwerk mit einer Vielzahl von Knoten, wobei das System umfasst: eine Auswerteeinheit, eine Mittelwertbestimmungseinheit und eine Zuweisungseinheit, die in einem ersten Repository in jedem der Knoten konfiguriert sind, wobei die Auswerteeinheit in einem Knoten konfiguriert ist, der geeignet ist, Leistungsmetrikattribute und Sicherheitsmetrikattribute des Knotens auszuwerten, die Mittelwert-Bestimmungseinheit in dem Knoten so konfiguriert ist, dass sie ausgewertete Leistungsmetrik-Attribute und Sicherheitsmetrik-Attribute von der Auswertungseinheit in dem Knoten empfängt und den Mittelwert der ausgewerteten Leistungsmetrik-Attribute und Sicherheitsmetrik-Attribute des Knotens bestimmt, und die Zuweisungseinheit so konfiguriert ist, dass sie den Mittelwert der Leistungsmetrik-Attribute und Sicherheitsmetrik-Attribute des Knotens empfängt und dem Knoten eine Leistungsmetrik-Bewertung und eine Sicherheitsmetrik-Bewertung zuweist. US 7099286 B2 offenbart ein Verfahren zum Finden gemeinsamer risikodiverser Pfade, wobei das Verfahren umfasst: Empfangen von Routeninformationen an einem Knoten, Ausführen eines Algorithmus für den kürzesten Pfad, um einen ersten Pfad zu identifizieren, Zuweisen von Metriken für geteiltes Risiko zu Verbindungen und Knoten innerhalb des ersten Pfades, Ausführen des Algorithmus mit den zugewiesenen Metriken für gemeinsam genutzte Risiken, um einen zweiten Pfad zu identifizieren, und Vergleichen des ersten und zweiten Pfades und Zuweisen neuer gemeinsamer Risikometriken zu Verbindungen und Knoten in dem zweiten Pfad, wenn der erste und zweite Pfad nicht unterschiedlich sind. CA 2887428 A1 discloses a computer-implemented system for selecting a secure path for data transmission from one node to another in a communication network with a plurality of nodes, the system comprising: an evaluation unit, an averaging unit and an assignment unit stored in a first repository in each of the nodes are configured, wherein the evaluation unit is configured in a node that is suitable to evaluate performance metric attributes and security metric attributes of the node, the mean value determination unit is configured in the node so that it evaluated performance metric attributes and security metric attributes from the evaluation unit in the node receives and determines the mean value of the evaluated performance metric attributes and safety metric attributes of the node, and the allocation unit is configured in such a way that it determines the mean value of the performance metric attributes and safety metric attributes of the node ns receives and assigns a performance metric rating and a security metric rating to the node. US 7099286 B2 discloses a method of finding common risk diverse paths, the method comprising: receiving route information at a node, executing a shortest path algorithm to identify a first path, assigning shared risk metrics to links and nodes within the first path , Running the algorithm on the assigned shared risk metrics to identify a second path, and comparing the first and second paths and assigning new common risk metrics to links and nodes in the second path if the first and second paths are not different .

Es bedarf daher einer automatisierten ganzheitlichen Netzwerksicherheitslösung auf Fabrikebene, welche einen unbefugten Zugriff auf Netzwerkkomponenten verhindern bzw. erschweren und mögliche Auswirkungen eines Ausfalls von Netzwerkkomponenten reduzieren kann.There is therefore a need for an automated, holistic network security solution at the factory level, which can prevent or complicate unauthorized access to network components and reduce the possible effects of a failure of network components.

Die Aufgabe wird mit einem computerimplementierten Verfahren zum Absichern einer Datenkommunikation innerhalb eines eine Mehrzahl von Netzwerkvorrichtungen bzw. Netzwerkteilnehmern aufweisenden Netzwerks mit den Merkmalen des Patentanspruchs 1 gelöst.The object is achieved with a computer-implemented method for securing data communication within a network having a plurality of network devices or network subscribers with the features of claim 1.

Des Weiteren wird die Aufgabe mit einem System zum Absichern einer Datenkommunikation innerhalb eines eine Mehrzahl von Netzwerkvorrichtungen aufweisenden Netzwerks mit den Merkmalen des Patentanspruchs 11 gelöst. Furthermore, the object is achieved with a system for securing data communication within a network having a plurality of network devices with the features of claim 11.

Darüber hinaus wird die Aufgabe mit einem Computerprogramm mit den Merkmalen des Patentanspruchs 13 und mit einem computerlesbaren Datenträger mit den Merkmalen des Patentanspruchs 14 gelöst.In addition, the object is achieved with a computer program with the features of claim 13 and with a computer-readable data carrier with the features of claim 14.

Offenbarung der ErfindungDisclosure of the invention

Die vorliegende Erfindung schafft ein computerimplementiertes Verfahren zum Absichern einer Datenkommunikation innerhalb eines eine Mehrzahl von Netzwerkvorrichtungen aufweisenden Netzwerks mit den Merkmalen des neuen Patentanspruchs 1.The present invention provides a computer-implemented method for securing data communication within a network having a plurality of network devices with the features of the new claim 1.

Die Erfindung betrifft des Weiteren ein System zum Absichern einer Datenkommunikation innerhalb eines eine Mehrzahl von Netzwerkvorrichtungen aufweisenden Netzwerks mit den Merkmalen des neuen Patentanspruchs 11.The invention also relates to a system for securing data communication within a network having a plurality of network devices with the features of the new claim 11.

Eine Idee der vorliegenden Erfindung ist es, durch Vorsehen des Datenkommunikationsalgorithmus einen systemischen, ganzheitlichen Ansatz zum Absichern der Datenkommunikation innerhalb des Netzwerks bereitzustellen.One idea of the present invention is to provide a systemic, holistic approach for securing data communication within the network by providing the data communication algorithm.

Somit kann in vorteilhafter Weise eine Datenübertragung auf Fabrikebene über eine Mehrzahl von Netzwerkknoten durchgeführt werden, wobei der Algorithmus durch Vorsehen einer kürzestmöglichen bzw. schnellstmöglichen Datenübertragung bei gleichzeitiger Risikoreduzierung eine effektive Absicherung der Datenkommunikation im Netzwerk vorsieht.Thus, in an advantageous manner, data transmission can be carried out at the factory level via a plurality of network nodes, the algorithm contributing to the shortest possible or fastest possible data transmission provides effective protection of data communication in the network at the same time as risk reduction.

Aufgrund der Bildung von Risikoparametern der entsprechenden Netzwerkknoten kann damit auf Verwaltungsebene ein risikoorientiertes Sicherheitskonzept bzw. eine Sicherheitsarchitektur für vernetzte automatisierte Systeme geschaffen werden, welche die Folgen eines eventuellen Ausfalls von Komponenten bzw. Netzwerkvorrichtungen mindert sowie potenzielle unbefugte Zugriffe auf Komponenten erschwert bzw. vermeidet.Due to the formation of risk parameters of the corresponding network nodes, a risk-oriented security concept or a security architecture for networked automated systems can be created at the administrative level, which reduces the consequences of a possible failure of components or network devices and prevents or prevents potential unauthorized access to components.

Vorteilhafte Ausführungsformen und Weiterbildungen ergeben sich aus den Unteransprüchen sowie aus der Beschreibung unter Bezugnahme auf die Figuren.Advantageous embodiments and developments emerge from the subclaims and from the description with reference to the figures.

Gemäß einer bevorzugten Weiterbildung ist vorgesehen, dass der Datenkommunikationsalgorithmus einen ein geringstes Risiko aufweisenden Datenübertragungspfad unter Verwendung der Risikoparameter jeder Netzwerkvorrichtung berechnet, wobei der Datenkommunikationsalgorithmus einen Quotient aus der Summe der Risikoparameter der Netzwerkvorrichtungen und der Anzahl der Netzwerkvorrichtungen entlang des Datenübertragungspfads berechnet. Somit kann in vorteilhafter Weise ein Datenübertragungspfad aus einer Vielzahl von möglichen Datenübertragungspfaden ausgewählt werden, welcher das geringste Risiko aufweist.According to a preferred development, it is provided that the data communication algorithm calculates a data transmission path with the lowest risk using the risk parameters of each network device, the data communication algorithm calculating a quotient from the sum of the risk parameters of the network devices and the number of network devices along the data transmission path. A data transmission path which has the lowest risk can thus advantageously be selected from a multiplicity of possible data transmission paths.

Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass der Datenkommunikationsalgorithmus unter Verwendung der Anzahl von Netzwerkknoten des Datenübertragungspfads einen kürzesten Datenübertragungspfad, insbesondere unter Verwendung eines kantengewichteten Graphen, berechnet. Dadurch kann in vorteilhafter Weise eine maximale Datenrate, d.h. eine maximale Datenmenge bzw. Datenfluss, erreicht werden.According to a further preferred development, it is provided that the data communication algorithm calculates a shortest data transmission path using the number of network nodes in the data transmission path, in particular using an edge-weighted graph. As a result, a maximum data rate, i.e. a maximum data volume or data flow, can advantageously be achieved.

Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass der Datenkommunikationsalgorithmus die Berechnung des kürzesten Datenübertragungspfads unter Verwendung einer Latenzzeit des jeweiligen Datenübertragungspfads durchführt, wobei die Latenzzeiten in dem Datenkommunikationsalgorithmus als Konfigurationsparameter gespeichert sind oder bei der Berechnung gemessen werden.According to a further preferred development, it is provided that the data communication algorithm calculates the shortest data transmission path using a latency period of the respective data transmission path, the latency periods being stored in the data communication algorithm as configuration parameters or being measured during the calculation.

Die Kenntnis der geforderten Latenzzeiten ermöglicht die Berechnung einer Signallaufzeit auf dem relevanten Netzwerkpfad, d.h. zwischen dem jeweils sendenden und empfangenden Netzwerkteilnehmer und kann vorzugsweise in die Berechnung des kürzestmöglichen Datenübertragungspfads einfließen. Knowing the required latency times enables the calculation of a signal transit time on the relevant network path, i.e. between the respective sending and receiving network participants, and can preferably be included in the calculation of the shortest possible data transmission path.

Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass der Datenkommunikationsalgorithmus die Netzwerkknoten in zumindest eine erste Risikoklasse, eine zweite Risikoklasse und eine dritte Risikoklasse unterteilt, wobei ein Netzwerkknoten der ersten Risikoklasse mit zumindest zwei weiteren Netzwerkknoten verbunden ist, wobei ein Netzwerkknoten der zweiten Risikoklasse mit einem weiteren Netzwerkknoten verbunden ist, und wobei ein Netzwerkknoten der dritten Risikoklasse ein Netzwerkendpunkt ist, welcher keine Verbindung zu weiteren Netzwerkknoten aufweist.According to a further preferred development, it is provided that the data communication algorithm divides the network nodes into at least a first risk class, a second risk class and a third risk class, a network node of the first risk class being connected to at least two further network nodes, a network node of the second risk class being connected to one is connected to further network nodes, and wherein a network node of the third risk class is a network end point which has no connection to further network nodes.

Durch die Unterteilung der Netzwerkknoten in verschiedene Risikoklassen kann somit in vorteilhafter Weise ein Routing der Datenkommunikation innerhalb des Netzwerks unter Verwendung von Netzwerkknoten vorgegebener Risikoklassen durchgeführt werden.By subdividing the network nodes into different risk classes, data communication within the network can thus be routed in an advantageous manner using network nodes of predetermined risk classes.

Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass der Datenkommunikationsalgorithmus aus einer Gesamtzahl verfügbarer Netzwerkknoten den Datenübertragungspfad über die Netzwerkknoten führt, welche mit einer geringstmöglichen Anzahl anderer Netzwerkknoten verbunden sind, und/oder über eigene Sicherheitsfaktoren, insbesondere eine zwei-Faktor Authentifizierung, verfügen.According to a further preferred development, it is provided that the data communication algorithm leads the data transmission path from a total number of available network nodes via the network nodes which are connected to the smallest possible number of other network nodes and / or have their own security factors, in particular two-factor authentication.

Somit kann der Datenübertragungspfad aus der Vielzahl möglicher Datenübertragungspfade ausgewählt werden, welcher nach den vorstehend genannten Kriterien ein geringstes Risiko aufweist.Thus, the data transmission path can be selected from the large number of possible data transmission paths which, according to the criteria mentioned above, has the lowest risk.

Das Segmentieren der Daten in Untermengen erhöht hierbei die Kommunikationssicherheit, da im Falle eines unbefugten Zugriffs auf eine bestimmte Netzwerkkomponente bzw. eine Netzwerkvorrichtung lediglich Datensegmente bzw. Untermengen der gesendeten Datenmenge empfangen werden, welche für sich genommen keine semantisch zusammenhängenden Informationen aufweisen.The segmentation of the data into subsets increases the communication security, since in the event of unauthorized access to a certain network component or a network device, only data segments or subsets of the transmitted data volume are received which, taken by themselves, do not contain any semantically related information.

Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass Daten betreffend die von dem Datenkommunikationsalgorithmus bestimmte Zufallsreihenfolge über einen separaten Datenübertragungspfad als die Datenuntermengen von der ersten Netzwerkvorrichtung an die zweite Netzwerkvorrichtung gesendet werden. Somit ist die zweite Netzwerkvorrichtung in der Lage, dass die empfangenen Datenuntermengen bzw. Datensegmente der ursprünglichen Datenmenge in Übereinstimmung mit der festgelegten Reihenfolge der semantischen Segmentierung wieder entsprechend zusammengesetzt werden.According to a further preferred development, it is provided that data relating to the random sequence determined by the data communication algorithm are sent via a separate data transmission path as the data subsets from the first network device to the second network device. The second network device is thus able to reassemble the received data subsets or data segments of the original data set in accordance with the established sequence of the semantic segmentation.

Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass der Datenkommunikationsalgorithmus die vorgegebene Anzahl von Datenuntermengen von der ersten Netzwerkvorrichtung an die zweite Netzwerkvorrichtung verschlüsselt überträgt, und wobei ein Entschlüsselungscode über einen, durch einen Zufallsgenerator bestimmten, separaten Datenübertragungspfad übertragen wird. Dadurch kann in vorteilhafter Weise eine weitere Sicherheitsebene vorgesehen werden. Diese ist zum einen durch die Verschlüsselung der Datenkommunikation gegeben und zum anderen durch Übertragung des entsprechenden Entschlüsselungscodes über einen separaten Datenübertragungspfad, sodass ein unbefugter Zugriff bzw. eine unbefugte Entschlüsselung der übertragenen Daten unwahrscheinlich ist, da der übertragene Entschlüsselungscode nur für die entsprechenden Daten gültig ist, welche mit diesem gleichzeitig über das Netzwerk übertragen werden. Selbst der Zugriff auf den Entschlüsselungscode ermöglicht damit nicht die Entschlüsselung der übertragenen Daten.According to a further preferred development it is provided that the Data communication algorithm transmits the predetermined number of data subsets from the first network device to the second network device in encrypted form, and wherein a decryption code is transmitted via a separate data transmission path determined by a random generator. As a result, a further safety level can be provided in an advantageous manner. This is given on the one hand by the encryption of the data communication and on the other hand by the transmission of the corresponding decryption code via a separate data transmission path, so that unauthorized access or unauthorized decryption of the transmitted data is unlikely, since the transmitted decryption code is only valid for the corresponding data, which are transmitted over the network at the same time as this. Even access to the decryption code does not enable the transmitted data to be decrypted.

Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass der Datenkommunikationsalgorithmus die vorgegebene Anzahl von Datenuntermengen nach einer durch einen Zufallsgenerator bestimmten, insbesondere variablen, Frequenz zeitlich getaktet, von der ersten Netzwerkvorrichtung an die zweite Netzwerkvorrichtung überträgt.According to a further preferred development, it is provided that the data communication algorithm transmits the predetermined number of data subsets from the first network device to the second network device according to a frequency determined by a random generator, in particular a variable frequency.

Die nach dem Zufallsprinzip bestimmte zeitliche Taktung der gesendeten Daten ermöglicht das Vorsehen einer zusätzlichen Sicherheitsebene, sodass die Daten nicht nur über unterschiedliche Pfade, sondern ebenfalls in wechselnden bzw. zufälligen Intervallen versendet werden. Durch diesen Ansatz können beispielsweise Datenströme bzw. Datenpakete, welche unterschiedliche Destinationen bzw. Netzwerkziele aufweisen, konsekutiv über vorgegebene Netzwerkknoten gesendet werden, sodass selbst bei Zugriffe auf den betreffenden Netzwerkknoten somit keine bedeutungsvolle Information aus den Daten entnehmbar ist.The random timing of the sent data enables an additional level of security to be provided so that the data is sent not only via different paths, but also at changing or random intervals. Using this approach, for example, data streams or data packets which have different destinations or network destinations can be sent consecutively via specified network nodes, so that no meaningful information can be extracted from the data even when the network node concerned is accessed.

Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass der Datenkommunikationsalgorithmus eine Verdichtung der zu sendenden Datenmenge, insbesondere bei Übertragung der Daten über einen Netzwerkknoten der ersten Risikoklasse, durch Filterung und/oder Reduktion eines Datenstroms zwischen der ersten Netzwerkvorrichtung und der zweiten Netzwerkvorrichtung durchführt. Die Datenverdichtung weist den Vorteil der Übertragung einer geringeren Datenmenge auf. Somit werden beispielsweise lediglich inkrementelle Datenänderungen von Sensoren und/oder Aktoren usw. an entsprechende Netzwerkteilnehmer übertragen. Auch dies ist aus Sicherheitsperspektive vorteilhaft, da somit nicht ein gesamter Datenstrom des Netzwerkteilnehmers übertragen wird, sondern lediglich für den empfangenden Netzwerkteilnehmer relevante Informationen.According to a further preferred development, it is provided that the data communication algorithm compresses the amount of data to be sent, in particular when the data is transmitted via a network node of the first risk class, by filtering and / or reducing a data stream between the first network device and the second network device. The data compression has the advantage of transmitting a smaller amount of data. Thus, for example, only incremental data changes from sensors and / or actuators etc. are transmitted to corresponding network participants. This is also advantageous from a security perspective, since it does not transmit an entire data stream from the network subscriber, but rather only information relevant to the receiving network subscriber.

Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass das Netzwerk zumindest eine in einer ersten Netzwerkebene angeordnete Netzwerkvorrichtung, insbesondere einen Aktor oder Sensor, zumindest eine in einer zweiten Netzwerkebene angeordnete Netzwerkvorrichtung, insbesondere eine industrielle Maschine und/oder Anlage, und zumindest eine in einer dritten Netzwerkebene angeordnete Netzwerkvorrichtung, insbesondere ein IoT-Gateway und/oder einen Cloud-Datenspeicher, aufweist. Das erfindungsgemäße Verfahren umfasst somit in vorteilhafter Weise das Bereitstellen einer netzwerkübergreifenden Sicherheitsarchitektur, welche sämtliche Netzwerkebenen umfasst.According to a further preferred development it is provided that the network has at least one network device arranged in a first network level, in particular an actuator or sensor, at least one network device arranged in a second network level, in particular an industrial machine and / or system, and at least one in a third Network device arranged on the network level, in particular an IoT gateway and / or a cloud data store. The method according to the invention thus advantageously comprises the provision of a cross-network security architecture which includes all network levels.

Die beschriebenen Ausgestaltungen und Weiterbildungen lassen sich beliebig miteinander kombinieren.The refinements and developments described can be combined with one another as desired.

Weitere mögliche Ausgestaltungen, Weiterbildungen und Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale der Erfindung.Further possible configurations, developments and implementations of the invention also include combinations of features of the invention that are not explicitly mentioned above or below with regard to the exemplary embodiments.

FigurenlisteFigure list

Die beiliegenden Zeichnungen sollen ein weiteres Verständnis der Ausführungsformen der Erfindung vermitteln. Sie veranschaulichen Ausführungsformen und dienen im Zusammenhang mit der Beschreibung der Erklärung von Prinzipien und Konzepten der Erfindung.The accompanying drawings are intended to provide a further understanding of the embodiments of the invention. They illustrate embodiments and, in conjunction with the description, serve to explain principles and concepts of the invention.

Andere Ausführungsformen und viele der genannten Vorteile ergeben sich im Hinblick auf die Zeichnungen. Die dargestellten Elemente der Zeichnungen sind nicht notwendigerweise maßstabsgetreu zueinander gezeigt.Other embodiments and many of the advantages mentioned emerge with a view to the drawings. The elements shown in the drawings are not necessarily shown true to scale with respect to one another.

Es zeigen:

  • 1 ein Ablaufdiagramm eines computerimplementierten Verfahrens zum Absichern einer Datenkommunikation innerhalb eines eine Mehrzahl von Netzwerkvorrichtungen aufweisenden Netzwerks gemäß einer bevorzugten Ausführungsform der Erfindung;
  • 2 ein Ablaufdiagramm des computerimplementierten Verfahrens zum Absichern der Datenkommunikation innerhalb des die Mehrzahl von Netzwerkvorrichtungen aufweisenden Netzwerks gemäß der bevorzugten Ausführungsform der Erfindung;
  • 3 ein Ablaufdiagramm des computerimplementierten Verfahrens zum Absichern der Datenkommunikation innerhalb des die Mehrzahl von Netzwerkvorrichtungen aufweisenden Netzwerks gemäß der bevorzugten Ausführungsform der Erfindung;
  • 4 ein Ablaufdiagramm des computerimplementierten Verfahrens zum Absichern der Datenkommunikation innerhalb des die Mehrzahl von Netzwerkvorrichtungen aufweisenden Netzwerks gemäß der bevorzugten Ausführungsform der Erfindung; und
  • 5 ein System zum Absichern der Datenkommunikation innerhalb des die Mehrzahl von Netzwerkvorrichtungen aufweisenden Netzwerks gemäß der bevorzugten Ausführungsform der Erfindung.
Show it:
  • 1 a flowchart of a computer-implemented method for securing data communication within a network having a plurality of network devices according to a preferred embodiment of the invention;
  • 2 a flowchart of the computer-implemented method for securing the Data communication within the network comprising the plurality of network devices according to the preferred embodiment of the invention;
  • 3 a flowchart of the computer-implemented method for securing the data communication within the network having the plurality of network devices according to the preferred embodiment of the invention;
  • 4th a flowchart of the computer-implemented method for securing the data communication within the network having the plurality of network devices according to the preferred embodiment of the invention; and
  • 5 a system for securing the data communication within the network having the plurality of network devices according to the preferred embodiment of the invention.

In den Figuren der Zeichnungen bezeichnen gleiche Bezugszeichen gleiche oder funktionsgleiche Elemente, Bauteile oder Komponenten, soweit nichts Gegenteiliges angegeben ist.In the figures of the drawings, the same reference symbols denote the same or functionally identical elements, parts or components, unless stated otherwise.

1 zeigt ein Ablaufdiagramm eines computerimplementierten Verfahrens zum Absichern einer Datenkommunikation innerhalb eines eine Mehrzahl von Netzwerkvorrichtungen aufweisenden Netzwerks gemäß einer bevorzugten Ausführungsform der Erfindung. 1 shows a flowchart of a computer-implemented method for securing data communication within a network having a plurality of network devices according to a preferred embodiment of the invention.

Das Netzwerk 1 weist eine Mehrzahl von Netzwerkebenen E1, E2, E3 auf. Die erste Netzwerkebene E1 weist in der vorliegenden Ausführungsform eine Mehrzahl von Netzwerkvorrichtungen 10, insbesondere einen Aktor und/oder einen Sensor, auf. Die zweite Netzwerkebene E2 weist eine Netzwerkvorrichtung 11, insbesondere eine industrielle Maschine und/oder eine Anlage, auf.The network 1 has a plurality of network levels E1 , E2 , E3 on. The first network level E1 has a plurality of network devices in the present embodiment 10 , in particular an actuator and / or a sensor. The second network level E2 has a network device 11 , in particular an industrial machine and / or a plant.

Die dritte Netzwerkebene E3 weist eine Mehrzahl von Netzwerkvorrichtungen 12, insbesondere ein loT-Gateway und/oder einen Cloud-Datenspeicher, auf.The third network level E3 has a plurality of network devices 12th , in particular a loT gateway and / or a cloud data store.

Eine Datenkommunikation kann hierbei beispielsweise von einer Netzwerkvorrichtung 10 der ersten Netzwerkebene E1 an eine Netzwerkvorrichtung 11 der zweiten Netzwerkebene E2 oder direkt an eine Netzwerkvorrichtung 12 der dritten Netzwerkebene E3 erfolgen. Ebenso kann die Datenkommunikation auf Fabrikebene horizontal, d.h. zwischen Netzwerkvorrichtungen einer vorgegebenen Netzwerkebene, oder vertikal zwischen Netzwerkvorrichtungen unterschiedlicher Ebenen durchgeführt werden.Data communication can be from a network device, for example 10 the first network level E1 to a network device 11 the second network level E2 or directly to a network device 12th the third network level E3 take place. Likewise, the data communication at the factory level can be carried out horizontally, ie between network devices of a given network level, or vertically between network devices of different levels.

2 zeigt ein Ablaufdiagramm des computerimplementierten Verfahrens zum Absichern der Datenkommunikation innerhalb des die Mehrzahl von Netzwerkvorrichtungen aufweisenden Netzwerks gemäß der bevorzugten Ausführungsform der Erfindung. 2 shows a flowchart of the computer-implemented method for securing the data communication within the network having the plurality of network devices according to the preferred embodiment of the invention.

Das Verfahren umfasst ein Zuweisen S1 eines Risikoparameters an jede einen Netzwerkknoten K bildende Netzwerkvorrichtung 10, 11, 12. Das Verfahren umfasst des Weiteren ein Steuern S2 der Datenkommunikation innerhalb des Netzwerks 1 unter Verwendung eines Datenkommunikationsalgorithmus A, welcher einen Datenübertragungspfad P zwischen der ersten Netzwerkvorrichtung 10 und der zweiten Netzwerkvorrichtung 12 derart festlegt, dass eine Anzahl von Netzwerkknoten K des Datenübertragungspfads P und ein mit dem Datenübertragungspfad P assoziiertes Risiko unter Einbeziehung bzw. Verwendung der Risikoparameter jeder Netzwerkvorrichtung 10, 11, 12 minimiert werden.The method includes assigning S1 a risk parameter to each one network node K constituent network device 10 , 11 , 12th . The method further includes controlling S2 data communication within the network 1 using a data communication algorithm A. , which is a data transmission path P. between the first network device 10 and the second network device 12th so specifies that a number of network nodes K of the data transfer path P. and one with the data transmission path P. associated risk using the risk parameters of each network device 10 , 11 , 12th be minimized.

Der Datenkommunikationsalgorithmus A berechnet hierfür einen ein geringstes Risiko aufweisenden Datenübertragungspfad P unter Verwendung der Risikoparameter jeder Netzwerkvorrichtung 10, 11, 12. Der Datenkommunikationsalgorithmus A berechnet sodann einen Quotient aus der Summe der Risikoparameter der Netzwerkvorrichtungen 10, 11, 12 und der Anzahl der Netzwerkvorrichtungen 10, 11, 12 entlang des Datenübertragungspfads P. Alternativ kann ein akkumuliertes Risiko einer Datenübertragung entlang eines vorgegebenen Datenübertragungspfads beispielsweise mit anderen statistischen Algorithmen berechnet werden.The data communication algorithm A. calculates a data transmission path with the lowest risk for this P. using the risk parameters of each network device 10 , 11 , 12th . The data communication algorithm A. then calculates a quotient from the sum of the risk parameters of the network devices 10 , 11 , 12th and the number of network devices 10 , 11 , 12th along the data transmission path P. . Alternatively, an accumulated risk of data transmission along a predetermined data transmission path can be calculated using other statistical algorithms, for example.

3 zeigt ein Ablaufdiagramm des computerimplementierten Verfahrens zum Absichern der Datenkommunikation innerhalb des die Mehrzahl von Netzwerkvorrichtungen aufweisenden Netzwerks gemäß der bevorzugten Ausführungsform der Erfindung. 3 shows a flowchart of the computer-implemented method for securing the data communication within the network having the plurality of network devices according to the preferred embodiment of the invention.

Der Datenkommunikationsalgorithmus A wird in der vorliegenden Ausführungsform auf jedem einzelnen Netzwerkknoten bzw. jeder einzelnen Netzwerkvorrichtung 10, 11, 12 des Netzwerks 1 betrieben, um die Datenkommunikation zwischen den jeweiligen Netzwerkvorrichtungen zu steuern. Alternativ kann der Datenalgorithmus A beispielsweise nur auf einer vorgegebenen Anzahl sämtlicher Netzwerkvorrichtungen 10, 11, 12 des Netzwerks 1 oder ferner alternativ lediglich auf einem Startknoten und einem Endknoten bzw. einem Sendeknoten und einem Empfängerknoten des Netzwerks 1 betrieben werden.The data communication algorithm A. is in the present embodiment on each individual network node or each individual network device 10 , 11 , 12th of the network 1 operated to control data communication between the respective network devices. Alternatively, the data algorithm A. for example only on a predetermined number of all network devices 10 , 11 , 12th of the network 1 or alternatively only on a start node and an end node or a sending node and a receiving node of the network 1 operate.

Der Datenkommunikationsalgorithmus A berechnet unter Verwendung der Anzahl von Netzwerkknoten K des Datenübertragungspfads einen kürzesten Datenübertragungspfad, insbesondere einen kantengewichteten Graphen. Alternativ kann beispielsweise eine Knotengewichtung innerhalb des Netzwerks vorgesehen sein.The data communication algorithm A. calculated using the number of network nodes K of the data transmission path, a shortest data transmission path, in particular an edge-weighted graph. Alternatively, for example, node weighting can be provided within the network.

Der Datenkommunikationsalgorithmus führt die Berechnung des kürzesten Datenübertragungspfads unter Verwendung jeweiliger Latenzzeiten der Netzwerkknoten K durch. Die Latenzzeiten sind hierbei als Konfigurationsparameter in dem Datenkommunikationsalgorithmus A oder einer Datenquelle, auf welche der Datenkommunikationsalgorithmus A zugreift, gespeichert. Alternativ können die Latenzzeiten der Netzwerkknoten entlang des Datenübertragungspfads P in Echtzeit gemessen werden.The data communication algorithm calculates the shortest data transmission path using the respective latency times of the network nodes K by. The latency times are here as configuration parameters in the data communication algorithm A. or a data source to which the data communication algorithm A. accesses, saved. Alternatively, the latency times of the network nodes along the data transmission path P. can be measured in real time.

Der Datenkommunikationsalgorithmus A unterteilt die Netzwerkknoten K ferner in eine erste Risikoklasse, eine zweite Risikoklasse und eine dritte Risikoklasse. Ein Netzwerkknoten K der ersten Risikoklasse ist hierbei definitionsgemäß mit zumindest zwei weiteren Netzwerkknoten K verbunden. Ein Netzwerkknoten K der zweiten Risikoklasse ist mit einem weiteren Netzwerkknoten K verbunden. Ein Netzwerkknoten K der dritten Risikoklasse ist ein Netzwerkendpunkt und ist somit mit keiner weiteren Netzwerkvorrichtung bzw. keinem weiteren Netzwerkknoten verbunden.The data communication algorithm A. divides the network nodes K furthermore into a first risk class, a second risk class and a third risk class. A network node K the first risk class here is by definition with at least two further network nodes K tied together. A network node K the second risk class is with another network node K tied together. A network node K the third risk class is a network end point and is therefore not connected to any other network device or any other network node.

Die Anzahl von drei Risikoklassen ist lediglich beispielhafter Natur und kann in Abhängigkeit jeweiliger Anforderungen variiert werden. Je mehr Verbindungen zu anderen Netzwerkknoten K ein Netzwerkknoten K aufweist, desto höher ist das mit dem Netzwerkknoten K assoziierte Risiko. Ebenso ist mit einem Netzwerkknoten K ein geringeres Risiko assoziiert, je weniger Verbindungen dieser zu anderen Netzwerkknoten K aufweist.The number of three risk classes is merely exemplary in nature and can be varied depending on the respective requirements. The more connections to other network nodes K a network node K has, the higher that is with the network node K associated risk. Likewise with a network node K a lower risk is associated, the fewer connections it has to other network nodes K having.

Der Datenkommunikationsalgorithmus A wählt die Netzwerkknoten K zur Zusammenstellung des Datenübertragungspfads P derart aus, dass aus einer Gesamtzahl verfügbarer Netzwerkknoten K, auch OUT-Knoten genannt, den Datenübertragungspfad P über die Netzwerkknoten K geführt wird, welche mit einer geringstmöglichen Anzahl anderer Netzwerkknoten verbunden sind, und/oder über eigene Sicherheitsfaktoren, insbesondere eine zwei-Faktor Authentifizierung, verfügen.The data communication algorithm A. selects the network nodes K to compile the data transmission path P. in such a way that from a total number of available network nodes K , also called the OUT node, defines the data transmission path P. via the network nodes K which are connected to the smallest possible number of other network nodes and / or have their own security factors, in particular two-factor authentication.

Ein OUT-Knoten ist dabei innerhalb eines Netzwerks vor einer Firewall angeordnet und ist dazu eingerichtet, eine Netzwerkverbindung mit einer Netzwerkvorrichtung außerhalb des Netzwerks aufzubauen.An OUT node is arranged within a network in front of a firewall and is set up to set up a network connection with a network device outside the network.

Jedes Mal, wenn ein neuer Netzwerkknoten K bzw. OUT-Knoten ausgewählt wird, erfolgt durch den Datenkommunikationsalgorithmus A eine erneute Berechnung des optimalen Datenübertragungspfads P.Every time a new network node K or OUT node is selected, is done by the data communication algorithm A. a new calculation of the optimal data transmission path P. .

4 zeigt ein Ablaufdiagramm des computerimplementierten Verfahrens zum Absichern der Datenkommunikation innerhalb des die Mehrzahl von Netzwerkvorrichtungen aufweisenden Netzwerks gemäß der bevorzugten Ausführungsform der Erfindung. 4th shows a flowchart of the computer-implemented method for securing the data communication within the network having the plurality of network devices according to the preferred embodiment of the invention.

Der Datenkommunikationsalgorithmus A segmentiert eine zu sendende Datenmenge M in eine vorgegebene Anzahl von Datenuntermengen M1, M2, M3 semantisch. Jede Datenuntermenge M1, M2, M3 wird in einer vorgegebenen Zufallsreihenfolge über einen zufällig ausgewählten Datenübertragungspfad P einer Mehrzahl möglicher Datenübertragungspfade P gesendet.The data communication algorithm A. segments an amount of data to be sent M. into a predetermined number of data subsets M1 , M2 , M3 semantically. Any data subset M1 , M2 , M3 is in a predetermined random order via a randomly selected data transmission path P. a plurality of possible data transmission paths P. sent.

Daten betreffend die von dem Datenkommunikationsalgorithmus A bestimmte Zufallsreihenfolge werden über einen separaten Datenübertragungspfad P1 als die Datenuntermengen M1, M2, M3 von der ersten Netzwerkvorrichtung 10 an die zweite Netzwerkvorrichtung 12 gesendet.Data relating to the data communication algorithm A. certain random order are via a separate data transmission path P1 than the data subsets M1 , M2 , M3 from the first network device 10 to the second network device 12th sent.

Der Datenkommunikationsalgorithmus A überträgt die vorgegebene Anzahl von Datenuntermengen M1, M2, M3 von der ersten Netzwerkvorrichtung 10 an die zweite Netzwerkvorrichtung 12 verschlüsselt. Ein Entschlüsselungscode EK wird über den, durch einen Zufallsgenerator bestimmten, separaten Datenübertragungspfad P1 übertragen.The data communication algorithm A. transmits the specified number of data subsets M1 , M2 , M3 from the first network device 10 to the second network device 12th encrypted. A decryption code EK is generated via the separate data transmission path determined by a random generator P1 transfer.

Der Datenkommunikationsalgorithmus A überträgt die vorgegebene Anzahl von Datenuntermengen M1, M2, M3 nach einer durch einen Zufallsgenerator bestimmten, insbesondere variablen, Frequenz von der ersten Netzwerkvorrichtung 10 an die zweite Netzwerkvorrichtung 12 zeitlich getaktet.The data communication algorithm A. transmits the specified number of data subsets M1 , M2 , M3 according to a frequency determined by a random generator, in particular a variable frequency, from the first network device 10 to the second network device 12th timed.

Der Datenkommunikationsalgorithmus A führt eine Verdichtung der zu sendenden Datenmenge M, insbesondere bei Übertragung der Daten über einen Netzwerkknoten K der ersten Risikoklasse, durch Filterung und/oder Reduktion eines Datenstroms zwischen der ersten Netzwerkvorrichtung 10 und der zweiten Netzwerkvorrichtung 12 durch.The data communication algorithm A. leads to a compression of the amount of data to be sent M. , especially when the data is transmitted via a network node K of the first risk class, by filtering and / or reducing a data stream between the first network device 10 and the second network device 12th by.

5 zeigt ein System zum Absichern der Datenkommunikation innerhalb des die Mehrzahl von Netzwerkvorrichtungen aufweisenden Netzwerks gemäß der bevorzugten Ausführungsform der Erfindung. 5 shows a system for securing data communication within the network having the plurality of network devices according to the preferred embodiment of the invention.

Das System weist Mittel 20 zum Zuweisen eines Risikoparameters an jede einen Netzwerkknoten K bildende Netzwerkvorrichtung 10, 11, 12 auf.The system has means 20th for assigning a risk parameter to each one network node K constituent network device 10 , 11 , 12th on.

Ferner weist das System einen Datenkommunikationsalgorithmus A zum Steuern der Datenkommunikation innerhalb des Netzwerks 1 auf, wobei der Datenkommunikationsalgorithmus A dazu eingerichtet ist, einen Datenübertragungspfad P zwischen der ersten Netzwerkvorrichtung 10 und der zweiten Netzwerkvorrichtung 12 derart festzulegen, dass eine Anzahl von Netzwerkknoten K des Datenübertragungspfads P und ein mit dem Datenübertragungspfad P assoziiertes Risiko unter Einbeziehung der Risikoparameter jeder Netzwerkvorrichtung 10, 11, 12 minimiert werden.The system also has a data communication algorithm A. to control data communication within the network 1 on, the data communication algorithm A. is set up for this purpose, a data transmission path P. between the first network device 10 and the second network device 12th so set that a number of network nodes K of the data transfer path P. and one with the data transmission path P. associated risk taking into account the risk parameters of each network device 10 , 11 , 12th be minimized.

Claims (14)

Computerimplementiertes Verfahren zum Absichern einer Datenkommunikation innerhalb eines eine Mehrzahl von Netzwerkvorrichtungen (10, 11, 12) aufweisenden Netzwerks (1), mit den Schritten: Zuweisen (S1) eines Risikoparameters an jede einen Netzwerkknoten (K) bildende Netzwerkvorrichtung (10, 11, 12); und Steuern (S2) der Datenkommunikation innerhalb des Netzwerks (1) unter Verwendung eines Datenkommunikationsalgorithmus (A), welcher einen Datenübertragungspfad (P) zwischen der ersten Netzwerkvorrichtung (10) und der zweiten Netzwerkvorrichtung (12) derart festlegt, dass eine Anzahl von Netzwerkknoten (K) des Datenübertragungspfads (P) und ein mit dem Datenübertragungspfad (P) assoziiertes Risiko unter Einbeziehung der Risikoparameter jeder Netzwerkvorrichtung (10, 11, 12) minimiert werden, wobei der Datenkommunikationsalgorithmus (A) eine zu sendende Datenmenge (M) in eine vorgegebene Anzahl von Datenuntermengen (M1, M2, M3) semantisch segmentiert, wobei jede Datenuntermenge (M1, M2, M3) in einer vorgegebenen Zufallsreihenfolge über einen zufällig ausgewählten Datenübertragungspfad (P) einer Mehrzahl möglicher Datenübertragungspfade (P) gesendet wird.Computer-implemented method for securing data communication within a network (1) having a plurality of network devices (10, 11, 12), with the following steps: Assigning (S1) a risk parameter to each network device (10, 11, 12) forming a network node (K); and Controlling (S2) the data communication within the network (1) using a data communication algorithm (A) which has a data transmission path (P) between the first network device (10) and the second network device (12) so that a number of network nodes (K) of the data transmission path (P) and a risk associated with the data transmission path (P) are minimized taking into account the risk parameters of each network device (10, 11, 12), the Data communication algorithm (A) semantically segment a data set (M) to be sent into a predetermined number of data subsets (M1, M2, M3), each data subset (M1, M2, M3) in a predetermined random order via a randomly selected data transmission path (P) one A plurality of possible data transmission paths (P) is sent. Computerimplementiertes Verfahren nach Anspruch 1, wobei der Datenkommunikationsalgorithmus (A) einen ein geringstes Risiko aufweisenden Datenübertragungspfad (P) unter Verwendung der Risikoparameter jeder Netzwerkvorrichtung (10, 11, 12) berechnet, wobei der Datenkommunikationsalgorithmus (A) einen Quotient aus der Summe der Risikoparameter der Netzwerkvorrichtungen (10, 11, 12) und der Anzahl der Netzwerkvorrichtungen (10, 11, 12) entlang dem Datenübertragungspfad (P) berechnet.Computer-implemented method according to Claim 1 , wherein the data communication algorithm (A) calculates a lowest risk data transmission path (P) using the risk parameters of each network device (10, 11, 12), the data communication algorithm (A) being a quotient of the sum of the risk parameters of the network devices (10, 11 , 12) and the number of network devices (10, 11, 12) along the data transmission path (P). Computerimplementiertes Verfahren Anspruch 1 oder 2, wobei der Datenkommunikationsalgorithmus (A) unter Verwendung der Anzahl von Netzwerkknoten (K) des Datenübertragungspfads (P) einen kürzesten Datenübertragungspfad (P) unter Verwendung eines kantengewichteten Graphen, berechnet.Computer implemented method Claim 1 or 2 wherein the data communication algorithm (A) calculates a shortest data transmission path (P) using an edge-weighted graph using the number of network nodes (K) of the data transmission path (P). Computerimplementiertes Verfahren nach Anspruch 3, wobei der Datenkommunikationsalgorithmus (A) die Berechnung des kürzesten Datenübertragungspfads (P) unter Verwendung einer Latenzzeit des jeweiligen Datenübertragungspfads durchführt, wobei die Latenzzeiten in dem Datenkommunikationsalgorithmus (A) als Konfigurationsparameter gespeichert sind oder bei der Berechnung gemessen werden.Computer-implemented method according to Claim 3 , the data communication algorithm (A) performing the calculation of the shortest data transmission path (P) using a latency time of the respective data transmission path, the latency times being stored in the data communication algorithm (A) as configuration parameters or being measured during the calculation. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei der Datenkommunikationsalgorithmus (A) die Netzwerkknoten (K) in zumindest eine erste Risikoklasse, eine zweite Risikoklasse und eine dritte Risikoklasse unterteilt, wobei ein Netzwerkknoten (K) der ersten Risikoklasse mit zumindest zwei weiteren Netzwerkknoten (K) verbunden ist, wobei ein Netzwerkknoten (K) der zweiten Risikoklasse mit einem weiteren Netzwerkknoten (K) verbunden ist, und wobei ein Netzwerkknoten (K) der dritten Risikoklasse ein Netzwerkendpunkt ist, welcher keine Verbindung zu weiteren Netzwerkknoten (K) aufweist.Computer-implemented method according to one of the preceding claims, wherein the data communication algorithm (A) divides the network nodes (K) into at least a first risk class, a second risk class and a third risk class, a network node (K) of the first risk class having at least two further network nodes (K ), wherein a network node (K) of the second risk class is connected to a further network node (K), and wherein a network node (K) of the third risk class is a network end point which has no connection to further network nodes (K). Computerimplementiertes Verfahren nach Anspruch 5, wobei der Datenkommunikationsalgorithmus (A) aus einer Gesamtzahl verfügbarer Netzwerkknoten (K) den Datenübertragungspfad (P) über die Netzwerkknoten (K) führt, welche mit einer geringstmöglichen Anzahl anderer Netzwerkknoten (K) verbunden sind, und/oder über eigene Sicherheitsfaktoren verfügen.Computer-implemented method according to Claim 5 , wherein the data communication algorithm (A) leads the data transmission path (P) from a total number of available network nodes (K) via the network nodes (K) which are connected to the smallest possible number of other network nodes (K) and / or have their own security factors. Computerimplementiertes Verfahren nach Anspruch 1, wobei Daten betreffend die von dem Datenkommunikationsalgorithmus (A) bestimmte Zufallsreihenfolge über einen separaten Datenübertragungspfad (P1) als die Datenuntermengen (M1, M2, M3) von der ersten Netzwerkvorrichtung (10) an die zweite Netzwerkvorrichtung (12) gesendet werden.Computer-implemented method according to Claim 1 , wherein data relating to the random sequence determined by the data communication algorithm (A) are sent via a separate data transmission path (P1) as the data subsets (M1, M2, M3) from the first network device (10) to the second network device (12). Computerimplementiertes Verfahren nach Anspruch 6 oder 7, wobei der Datenkommunikationsalgorithmus (A) die vorgegebene Anzahl von Datenuntermengen (M1, M2, M3) von der ersten Netzwerkvorrichtung (10) an die zweite Netzwerkvorrichtung (12) verschlüsselt überträgt, und wobei ein Entschlüsselungscode (EK) über den, durch einen Zufallsgenerator bestimmten, separaten Datenübertragungspfad (P1) übertragen wird.Computer-implemented method according to Claim 6 or 7th , wherein the data communication algorithm (A) transmits the predetermined number of data subsets (M1, M2, M3) from the first network device (10) to the second network device (12) in encrypted form, and wherein a decryption code (EK) is determined by a random generator , separate data transmission path (P1) is transmitted. Computerimplementiertes Verfahren nach einem der Ansprüche 1, 7 und 8, wobei der Datenkommunikationsalgorithmus (A) die vorgegebene Anzahl von Datenuntermengen (M1, M2, M3) nach einer durch einen Zufallsgenerator bestimmten, variablen Frequenz zeitlich getaktet, von der ersten Netzwerkvorrichtung (10) an die zweite Netzwerkvorrichtung (12) überträgt.Computer-implemented method according to one of the Claims 1 , 7th and 8th , wherein the data communication algorithm (A) transmits the predetermined number of data subsets (M1, M2, M3) clocked according to a variable frequency determined by a random generator from the first network device (10) to the second network device (12). Computerimplementiertes Verfahren nach einem der Ansprüche 4 bis 9, wobei der Datenkommunikationsalgorithmus (A) eine Verdichtung der zu sendenden Datenmenge (M) bei Übertragung der Daten über einen Netzwerkknoten (K) der ersten Risikoklasse, durch Filterung und/oder Reduktion eines Datenstroms zwischen der ersten Netzwerkvorrichtung (10) und der zweiten Netzwerkvorrichtung (12) durchführt.Computer-implemented method according to one of the Claims 4 until 9 , the data communication algorithm (A) compressing the amount of data (M) to be sent when the data is transmitted via a network node (K) of the first risk class, by filtering and / or reducing a Performs data stream between the first network device (10) and the second network device (12). System (100) zum Absichern einer Datenkommunikation innerhalb eines eine Mehrzahl von Netzwerkvorrichtungen (10, 11, 12) aufweisenden Netzwerks (1), aufweisend: Mittel (20) zum Zuweisen eines Risikoparameters an jede einen Netzwerkknoten (K) bildende Netzwerkvorrichtung (10, 11, 12); und einen Datenkommunikationsalgorithmus (A) zum Steuern der Datenkommunikation innerhalb des Netzwerks (1), wobei der Datenkommunikationsalgorithmus (A) dazu eingerichtet ist, einen Datenübertragungspfad (P) zwischen der ersten Netzwerkvorrichtung (10) und der zweiten Netzwerkvorrichtung (12) derart festzulegen, dass eine Anzahl von Netzwerkknoten (K) des Datenübertragungspfads (P) und ein mit dem Datenübertragungspfad (P) assoziiertes Risiko unter Einbeziehung der Risikoparameter jeder Netzwerkvorrichtung (10, 11, 12) minimiert werden, wobei der Datenkommunikationsalgorithmus (A) dazu eingerichtet ist, eine zu sendende Datenmenge (M) in eine vorgegebene Anzahl von Datenuntermengen (M1, M2, M3) semantisch zu segmentieren, wobei jede Datenuntermenge (M1, M2, M3) in einer vorgegebenen Zufallsreihenfolge über einen zufällig ausgewählten Datenübertragungspfad (P) einer Mehrzahl möglicher Datenübertragungspfade (P) sendbar ist.System (100) for securing data communication within a network (1) having a plurality of network devices (10, 11, 12), comprising: Means (20) for assigning a risk parameter to each network device (10, 11, 12) forming a network node (K); and a data communication algorithm (A) for controlling the data communication within the network (1), the data communication algorithm (A) being set up to establish a data transmission path (P) between the first network device (10) and the second network device (12) in such a way that a number of network nodes (K) of the data transmission path (P) and a risk associated with the data transmission path (P) are minimized taking into account the risk parameters of each network device (10, 11, 12), the The data communication algorithm (A) is set up to convert a data volume (M) to be sent into a predetermined number of data subsets (M1, M2, M3) to segment semantically, each data subset (M1, M2, M3) being able to be sent in a predetermined random sequence over a randomly selected data transmission path (P) of a plurality of possible data transmission paths (P). System nach Anspruch 11, wobei das Netzwerk zumindest eine in einer ersten Netzwerkebene (E1) angeordnete Netzwerkvorrichtung (10, 11, 12), zumindest eine in einer zweiten Netzwerkebene (E2) angeordnete Netzwerkvorrichtung (10, 11, 12) und zumindest eine in einer dritten Netzwerkebene (E3) angeordnete Netzwerkvorrichtung (10, 11, 12) aufweist.System according to Claim 11 , wherein the network comprises at least one network device (10, 11, 12) arranged in a first network level (E1), at least one network device (10, 11, 12) arranged in a second network level (E2) and at least one in a third network level (E3 ) arranged network device (10, 11, 12). Computerprogramm mit Programmcode, um das Verfahren nach einem der Ansprüche 1 bis 10 durchzuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird.Computer program with program code for the method according to one of the Claims 1 until 10 when the computer program is executed on a computer. Computerlesbarer Datenträger mit Programmcode eines Computerprogramms, um das Verfahren nach einem der Ansprüche 1 bis 10 durchzuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird.Computer-readable data carrier with the program code of a computer program to perform the method according to one of the Claims 1 until 10 when the computer program is executed on a computer.
DE102020210193.0A 2020-08-12 2020-08-12 Method and system for securing data communication within a network Active DE102020210193B3 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020210193.0A DE102020210193B3 (en) 2020-08-12 2020-08-12 Method and system for securing data communication within a network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020210193.0A DE102020210193B3 (en) 2020-08-12 2020-08-12 Method and system for securing data communication within a network

Publications (1)

Publication Number Publication Date
DE102020210193B3 true DE102020210193B3 (en) 2021-10-14

Family

ID=77851447

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020210193.0A Active DE102020210193B3 (en) 2020-08-12 2020-08-12 Method and system for securing data communication within a network

Country Status (1)

Country Link
DE (1) DE102020210193B3 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7099289B2 (en) 2000-10-11 2006-08-29 Aperto Networks, Inc. Automatic retransmission and error recovery for packet oriented point-to-multipoint communication
US7099286B1 (en) 2002-05-22 2006-08-29 Cisco Technology, Inc. Method and system for finding shared risk diverse paths
CA2887428A1 (en) 2014-12-01 2016-06-01 Tata Consultancy Services Limited A computer implemented system and method for secure path selection using network rating

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7099289B2 (en) 2000-10-11 2006-08-29 Aperto Networks, Inc. Automatic retransmission and error recovery for packet oriented point-to-multipoint communication
US7099286B1 (en) 2002-05-22 2006-08-29 Cisco Technology, Inc. Method and system for finding shared risk diverse paths
CA2887428A1 (en) 2014-12-01 2016-06-01 Tata Consultancy Services Limited A computer implemented system and method for secure path selection using network rating

Similar Documents

Publication Publication Date Title
DE3785832T2 (en) NETWORK ADAPTATION DEVICE FOR CONNECTING A LOCAL NETWORK TO A MAIN NETWORK.
DE602005001815T2 (en) Method for the efficient multiple distribution of content in a peer-to-peer network
EP2814193B1 (en) Method and system for detecting errors in the transmission of data from a transmitter to at least one receiver
DE19528563A1 (en) Communication arrangement and method for evaluating at least two multi-part communication connections between two communication partners in a multi-node network
EP3577871B1 (en) Method and device for the modular orientation of an avb stream
EP3542511A1 (en) Method for a communications network, and electronic control unit
EP1629642A1 (en) Method for distributing traffic using hash-codes corresponding to a desired traffic distribution in a packet-oriented network comprising multipath routing
WO2004073265A1 (en) Method for allocating transmission bandwidth in a packet-oriented communications facility
EP1911216B1 (en) Method for the phase-related scheduling of data flow in switched networks
WO2023274678A1 (en) Managing keys for secure communication between communication subscribers via a separate communication channel
DE102012206529A1 (en) Method for operating broadcast-type wireless real-time transmission system, involves giving logical subsequent to one node if data transmission is possible with preset probability, and finding relay node if transmission is not possible
DE102020210193B3 (en) Method and system for securing data communication within a network
EP4088513A1 (en) Method for transmitting data, and technical system
DE102011012444A1 (en) Synchronizing volume of data memorized on various hosts that are not connected with one another by wireless ad-hoc-network, comprises combining several nodes into superordinate node and calculating node hash value from hash values of nodes
EP3087699A1 (en) Detection of a faulty node in a network
EP2775677A1 (en) Method for transmitting data packets in a data network from a plurality of network nodes
DE102019210225A1 (en) Method and device for the analysis of service-oriented communication
EP3654594A1 (en) Method for data transmission, communication device, computer program and computer readable medium
DE102010034307B4 (en) Procedure for transmitting and configuring a data packet in a network
EP3247062B1 (en) Method for improving efficiency of data transmission in a telecommunications network, in particular based on optical data transmission components for wavelength multiplex operation of a plurality of different optical wavelengths, wherein the telecommunications network comprises a plurality of network nodes and data transmission lines between the network nodes, telecommunications network, computer program and a computer program product
DE102010012330A1 (en) Transmission system and transmission method for the wireless transmission of signals in an automation system and automation system with such a transmission system
DE102023110365A1 (en) Method and device for connecting computers
DE102017203202A1 (en) Method for transmitting messages in a communication network, gateway and communication network
WO2021105132A1 (en) Method for data communication between subscribers in an automation network, master subscriber for an automation network, and automation network
DE102022130186A1 (en) Method for transferring data

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012701000

Ipc: H04L0012721000

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012721000

Ipc: H04L0045000000

R020 Patent grant now final