DE21175846T1 - Kommunikationssystem und kommunikationsverfahren zur einwegübertragung - Google Patents

Kommunikationssystem und kommunikationsverfahren zur einwegübertragung Download PDF

Info

Publication number
DE21175846T1
DE21175846T1 DE21175846.1T DE21175846T DE21175846T1 DE 21175846 T1 DE21175846 T1 DE 21175846T1 DE 21175846 T DE21175846 T DE 21175846T DE 21175846 T1 DE21175846 T1 DE 21175846T1
Authority
DE
Germany
Prior art keywords
programmable logic
logic device
communication system
processor
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE21175846.1T
Other languages
English (en)
Inventor
Yuan Chen Chan
Po-Chih Hsu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Blackbear Taiwan Industrial Networking Security Ltd
Original Assignee
Blackbear Taiwan Industrial Networking Security Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Blackbear Taiwan Industrial Networking Security Ltd filed Critical Blackbear Taiwan Industrial Networking Security Ltd
Publication of DE21175846T1 publication Critical patent/DE21175846T1/de
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1441Resetting or repowering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Power Engineering (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)
  • Electroluminescent Light Sources (AREA)
  • Computer And Data Communications (AREA)

Abstract

Kommunikationssystem (10) für Einweg-Übertragung, dadurch gekennzeichnet, dass es umfasst:einen Server (100), umfassend einen Prozessor (110), undeine Einweg-Verbindungsschaltung (200), die eine erste programmierbare Logikvorrichtung (210) umfasst, wobei die Einweg-Verbindungsschaltung (200) kommunikativ mit dem Server (100) verbunden ist, wobeider Prozessor (110) konfiguriert ist, um:eine Filterregel (211) an die erste programmierbare Logikvorrichtung (210) zu übertragen;ein Signal zu empfangen und Daten von dem Signal zu erhalten;die Daten zu packen, um mindestens ein Datenpaket zu erzeugen; unddas wenigstens eine Datenpaket an die erste programmierbare Logikvorrichtung (210) zu übertragen, wobeidie erste programmierbare Logikvorrichtung (210) konfiguriert ist, um:zu bestimmen, ob das wenigstens eine Datenpaket gemäß der Filterregel (211) ausgegeben werden soll.

Claims (14)

  1. Kommunikationssystem (10) für Einweg-Übertragung, dadurch gekennzeichnet, dass es umfasst: einen Server (100), umfassend einen Prozessor (110), und eine Einweg-Verbindungsschaltung (200), die eine erste programmierbare Logikvorrichtung (210) umfasst, wobei die Einweg-Verbindungsschaltung (200) kommunikativ mit dem Server (100) verbunden ist, wobei der Prozessor (110) konfiguriert ist, um: eine Filterregel (211) an die erste programmierbare Logikvorrichtung (210) zu übertragen; ein Signal zu empfangen und Daten von dem Signal zu erhalten; die Daten zu packen, um mindestens ein Datenpaket zu erzeugen; und das wenigstens eine Datenpaket an die erste programmierbare Logikvorrichtung (210) zu übertragen, wobei die erste programmierbare Logikvorrichtung (210) konfiguriert ist, um: zu bestimmen, ob das wenigstens eine Datenpaket gemäß der Filterregel (211) ausgegeben werden soll.
  2. Kommunikationssystem (10) gemäß Anspruch 1, wobei der Prozessor (110) die Filterregel (211) an die erste programmierbare Logikvorrichtung (210) durch eine Nachricht, entsprechend einem öffentlichen Schlüssel überträgt, wobei die erste programmierbare Logikvorrichtung (210) umfasst: ein vertrauenswürdiges Plattformmodul (212), das die Filterregel (211) von der Nachricht gemäß einem privaten Schlüssel erhält, der dem öffentlichen Schlüssel entspricht.
  3. Kommunikationssystem (10) gemäß Anspruch 1, wobei der Server (100) ferner umfasst: eine zweite programmierbare Logikvorrichtung (140), die mit dem Prozessor (110) gekoppelt ist; und einen Watchdog-Timer (150), der mit der zweite programmierbare Logikvorrichtung (140) und mit dem Prozessor (110) gekoppelt ist, wobei der Watchdog-Timer (150) den Prozessor zurücksetzt, um den Server (100) als Antwort auf Nicht-Empfangen eines Befehls von der zweiten programmierbaren Logikvorrichtung (140) in einer vor-konfigurierten Zeitperiode neu zu starten.
  4. Kommunikationssystem (10) gemäß Anspruch 3, wobei der Server (100) ferner umfasst: einen Hauptspeicher (120), der mit dem Prozessor (110) gekoppelt ist; und ein Speichermedium (130), das mit dem Prozessor (110) gekoppelt ist, wobei das Speichermedium (130) ein Kernelprogramm speichert; wobei der Prozessor (110) den Server (100) neu startet, durch Laden des Kernelprogramms in den Hauptspeicher (120).
  5. Kommunikationssystem (10) gemäß Anspruch 1, wobei die Filterregel (211) mit einem Paketformat des mindestens einen Datenpakets zugeordnet ist.
  6. Kommunikationssystem (10) gemäß Anspruch 5, wobei das Paketformat einen proprietären Header umfasst, wobei der proprietäre Header umfasst: ein Synchronisationswort und eine Prüfsumme des proprietären Headers, wobei die programmierbare Logikvorrichtung (210) bestimmt, ob das mindestens eine Datenpaket ausgegeben werden soll, durch Prüfen des Synchronisationsworts und der Prüfsumme gemäß der Filterregel (211).
  7. Kommunikationssystem (10) gemäß Anspruch 6, wobei der proprietäre Header ferner mindestens eines umfasst von: einem Systemzeitstempel, ein Hash-Verfahren der Daten, ein Verschlüsselungsverfahren der Daten, eine Gesamtgröße der Daten, eine Datengröße des mindestens einen Datenpakets, und eine Sequenznummer des mindestens einen Datenpakets.
  8. Kommunikationssystem (10) gemäß Anspruch 7, wobei das Paketformat ein Ethernet-Paketformat ist.
  9. Kommunikationssystem (10) gemäß Anspruch 8, wobei das Paketformat ferner umfasst: einen Typ-Längen-Wert-frame, der wenigstens eines von einem Hash-Wert, der dem Hash-Verfahren entspricht, und einen Zieldateinamen einer Datei, die dem mindestens einen Datenpaket entspricht, speichert.
  10. Kommunikationssystem (10) gemäß Anspruch 1, wobei der Server (100) ferner umfasst: einen Transceiver (160), der mit dem Prozessor (110) gekoppelt ist, wobei der Prozessor (110) die Filterregel (211) über den Transceiver (160) empfängt.
  11. Kommunikationssystem (10) gemäß Anspruch 1, wobei der Server (100) ferner umfasst: einen Transceiver (160), der mit dem Prozessor (110) gekoppelt ist, wobei der Prozessor (110) das Signal über den Transceiver (160) empfängt.
  12. Kommunikationssystem (10) gemäß Anspruch 1, wobei das Signal einem bidirektionalen Protokoll entspricht, wobei das wenigstens eine Datenpaket einem unidirektionalen Protokoll entspricht.
  13. Kommunikationssystem (10) gemäß Anspruch 1, ferner umfassend: eine Speichervorrichtung (300), die mit der Einweg-Verbindungsschaltung (200) gekoppelt ist, wobei die erste programmierbare Logikvorrichtung (210) das mindestens eine Datenpaket an die Speichervorrichtung (300) als Antwort auf Bestimmen, dass das mindestens eine Datenpaket nicht ausgegeben werden soll, überträgt.
  14. Kommunikationsverfahren für Einweg-Übertragung, dadurch gekennzeichnet, dass es umfasst: Übertragen einer Filterregel an eine programmierbare Logikvorrichtung durch einen Server (S601); Empfangen eines Signals und Erhalten von Daten aus dem Signal durch den Server (S602); Packen der Daten zum Erzeugen mindestens eines Datenpakets durch den Server (S603); Übertragen des mindestens einen Datenpakets an die programmierbare Logikvorrichtung durch den Server (S604); und Bestimmen, gemäß der Filterregel, ob das mindestens eine Datenpaket durch die programmierbare Logikvorrichtung ausgegeben werden soll (S605).
DE21175846.1T 2020-12-18 2021-05-26 Kommunikationssystem und kommunikationsverfahren zur einwegübertragung Pending DE21175846T1 (de)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US202063127154P 2020-12-18 2020-12-18
US202063127154P 2020-12-18
US17/192,894 US11575652B2 (en) 2020-12-18 2021-03-05 Communication system and communication method for one-way transmission
US202117192894 2021-03-05
EP21175846.1A EP4016957B1 (de) 2020-12-18 2021-05-26 Kommunikationssystem und kommunikationsverfahren zur einwegübertragung

Publications (1)

Publication Number Publication Date
DE21175846T1 true DE21175846T1 (de) 2022-08-18

Family

ID=76137920

Family Applications (1)

Application Number Title Priority Date Filing Date
DE21175846.1T Pending DE21175846T1 (de) 2020-12-18 2021-05-26 Kommunikationssystem und kommunikationsverfahren zur einwegübertragung

Country Status (8)

Country Link
US (1) US11575652B2 (de)
EP (1) EP4016957B1 (de)
JP (1) JP2022097356A (de)
KR (1) KR20220088266A (de)
CA (1) CA3121352A1 (de)
DE (1) DE21175846T1 (de)
ES (1) ES2921204T3 (de)
TW (1) TWI767673B (de)

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5703562A (en) 1996-11-20 1997-12-30 Sandia Corporation Method for transferring data from an unsecured computer to a secured computer
US7031267B2 (en) 2000-12-21 2006-04-18 802 Systems Llc PLD-based packet filtering methods with PLD configuration data update of filtering rules
US7003775B2 (en) * 2001-08-17 2006-02-21 Hewlett-Packard Development Company, L.P. Hardware implementation of an application-level watchdog timer
JP3823089B2 (ja) * 2003-01-27 2006-09-20 インターナショナル・ビジネス・マシーンズ・コーポレーション 固定長データ検索装置、及び固定長データ検索方法、及びコンピュータプログラム、並びにコンピュータ読み取り可能な記録媒体
US8250235B2 (en) 2003-05-19 2012-08-21 Verizon Patent And Licensing Inc. Method and system for providing secure one-way transfer of data
WO2008001344A2 (en) 2006-06-27 2008-01-03 Waterfall Solutions Ltd One way secure link
US8352450B1 (en) 2007-04-19 2013-01-08 Owl Computing Technologies, Inc. Database update through a one-way data link
US7649452B2 (en) 2007-06-29 2010-01-19 Waterfall Solutions Ltd. Protection of control networks using a one-way link
US7992209B1 (en) 2007-07-19 2011-08-02 Owl Computing Technologies, Inc. Bilateral communication using multiple one-way data links
US8250358B2 (en) 2009-04-01 2012-08-21 Raytheon Company Data diode system
US9521120B2 (en) 2009-04-23 2016-12-13 General Electric Technology Gmbh Method for securely transmitting control data from a secure network
DE102010011022A1 (de) 2010-03-11 2012-02-16 Siemens Aktiengesellschaft Verfahren zur sicheren unidirektionalen Übertragung von Signalen
GB2495018B (en) 2010-07-19 2017-02-22 Owl Computing Tech Inc Secure acknowledgment device for one-way data transfer system
US20130094619A1 (en) * 2011-10-17 2013-04-18 Qualcomm Incorporated Systems and methods for packet detection
US8893253B2 (en) 2011-11-29 2014-11-18 Bayshore Networks, Inc. Firewall apparatus, systems, and methods employing detection of application anomalies
US8646094B2 (en) 2011-12-07 2014-02-04 Owl Computing Technologies, Inc. Method and apparatus for preventing unauthorized access to information stored in a non-volatile memory
US9736121B2 (en) 2012-07-16 2017-08-15 Owl Cyber Defense Solutions, Llc File manifest filter for unidirectional transfer of files
US8776254B1 (en) 2013-01-23 2014-07-08 Owl Computing Technologies, Inc. System and method for the secure unidirectional transfer of software and software updates
US9306953B2 (en) 2013-02-19 2016-04-05 Owl Computing Technologies, Inc. System and method for secure unidirectional transfer of commands to control equipment
US9426124B2 (en) * 2013-04-08 2016-08-23 Solarflare Communications, Inc. Locked down network interface
US20150030027A1 (en) * 2013-07-26 2015-01-29 Lsi Corporation Switch Device With Device-Specified Bridge Domains
US9088558B2 (en) 2013-08-21 2015-07-21 Owl Computing Technologies, Inc. Secure one-way interface for OPC data transfer
US9444914B2 (en) * 2013-09-16 2016-09-13 Annapurna Labs Ltd. Configurable parser and a method for parsing information units
US9306972B2 (en) 2013-09-17 2016-04-05 Fireglass Ltd. Method and system for prevention of malware infections
US8891546B1 (en) 2014-04-27 2014-11-18 Waterfall Security Solutions Ltd. Protocol splitter
GB201410089D0 (en) 2014-06-06 2014-07-23 Bae Systems Plc Secured network bridge
KR101593168B1 (ko) 2014-09-11 2016-02-18 한국전자통신연구원 물리적 단방향 통신 장치 및 방법
DE102014226398A1 (de) 2014-12-18 2016-06-23 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum rückwirkungsfreien Erfassen von Daten
US10986000B2 (en) 2017-05-07 2021-04-20 Qualcomm Incorporated Enabling new radio cellular quality of service for non-internet protocol data sessions
EP3425865B1 (de) 2017-07-05 2019-12-18 Siemens Mobility GmbH Verfahren und vorrichtung zur rückwirkungsfreien unidirektionalen übertragung von daten an einen abgesetzten anwendungsserver
DE102017217432A1 (de) 2017-09-29 2019-04-04 Siemens Mobility GmbH Konzept zum unidirektionalen Übertragen von Daten
IL268485B (en) 2018-08-13 2022-04-01 Waterfall Security Solutions Ltd Automatic security response using one-way links
US20200127974A1 (en) 2018-10-22 2020-04-23 Owl Cyber Defense Solutions, Llc Cross-domain transfer system using shared memory
US10990737B2 (en) 2019-04-23 2021-04-27 Owl Cyber Defense Solutions, Llc Secure one-way network gateway

Also Published As

Publication number Publication date
EP4016957A1 (de) 2022-06-22
US11575652B2 (en) 2023-02-07
JP2022097356A (ja) 2022-06-30
KR20220088266A (ko) 2022-06-27
ES2921204T1 (es) 2022-08-19
CA3121352A1 (en) 2022-06-18
TW202226778A (zh) 2022-07-01
US20220200961A1 (en) 2022-06-23
ES2921204T3 (es) 2023-09-20
EP4016957B1 (de) 2023-05-10
TWI767673B (zh) 2022-06-11

Similar Documents

Publication Publication Date Title
DE60316048T2 (de) Verfahren und System zur Überwachung eines Netzwerkgerätes
US8079017B2 (en) Automated QS interface testing framework
CN102929696B (zh) 一种分布式系统中心节点构建、提交、监控方法及装置
CN111083161A (zh) 数据传输的处理方法及装置、物联网设备
CN109788004B (zh) 自动适配新能源汽车国标自定义协议的解析方法及系统
CN108052474B (zh) 数据格式转换方法、装置、设备及计算机可读存储介质
CN110196715A (zh) 一种代码生成系统及方法
CN107637052A (zh) 一种业务数据处理方法、客户端、服务端及系统
CN109495870A (zh) 蓝牙测试的方法和装置
US20080162690A1 (en) Application Management System
CN103312921A (zh) 事件通知系统
CN111818041B (zh) 一种基于网络层报文解析的实时报文处理系统及方法
DE112010004237T5 (de) Techniken zur verbesserten Messung von Taktverschiebungen
CN111726196A (zh) 一种车载数据传输方法和系统
DE21175846T1 (de) Kommunikationssystem und kommunikationsverfahren zur einwegübertragung
JP2012216040A (ja) ログ管理システム、ログ解析装置、ログ解析方法、およびログ解析プログラム
CN105281940B (zh) 一种基于netconf协议的hello报文交互的方法、设备和系统
CN113419872A (zh) 一种应用系统接口集成系统、集成方法、设备及存储介质
DE602004007706T2 (de) Bereitstellen von Daten gespeicherter Bilder an ein anderes drahtloses Kommunikationsgerät über drahtlose Kommunikation
CN108280017A (zh) 一种系统事件日志上传方法、装置、设备及系统
CN105677885A (zh) 航运业数据同步的收发设备及方法、及同步系统
WO2019052864A1 (de) Verfahren zum einstellen einer referenzzeit
CN108279855A (zh) 一种读写存储设备的方法
JP6893568B2 (ja) データインタラクションの方法、装置および機器
CN108667649A (zh) 一种故障排查方法、装置及服务器