DE4007352A1 - Lokales datenuebertragungsnetzwerk - Google Patents
Lokales datenuebertragungsnetzwerkInfo
- Publication number
- DE4007352A1 DE4007352A1 DE19904007352 DE4007352A DE4007352A1 DE 4007352 A1 DE4007352 A1 DE 4007352A1 DE 19904007352 DE19904007352 DE 19904007352 DE 4007352 A DE4007352 A DE 4007352A DE 4007352 A1 DE4007352 A1 DE 4007352A1
- Authority
- DE
- Germany
- Prior art keywords
- address
- data
- dte
- afu
- filter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
Description
Die Erfindung betrifft ein lokales Datenübertragungsnetzwerk
gemäß den Merkmalen des Oberbegriffs des Anspruchs 1.
Bei lokalen Datenübertragungsnetzwerken, beispielsweise dem so
genannten Ethernet-LAN, besteht das Problem, daß die Nachrich
ten aller am Übertragungsnetz angekoppelten Teilnehmer durch
frei verfügbare Software z. B. auf einem angeschlossenen MSDOS
Personalcomputer "mitgehört" werden können. Auf Grund der Funk
tionsweise des Ethernet-LAN und der über Buskoppler bzw.
Transceiver und Dropkabel frei verfügbaren Anschlüsse an das
Übertragungsmedium ist es nur mit besonderen Schutzmaßnahmen,
beispielsweise durch Verschlüsselung aller Nachrichten, mög
lich, die aus vielerlei Gründen gewünschte und notwendige Si
cherheit der übertragenen Daten zu gewährleisten.
Der vorliegenden Erfindung liegt deshalb die Aufgabe zugrunde,
für ein lokales Datenübertragungsnetz der eingangs genannten
Art einen Weg aufzuzeigen, der unter Verzicht auf eine auf
wendige Datenverschlüsselung und bei Vermeidung einer Nach
rüstung in den einzelnen Datenendeinrichtungen mit spezieller
Hardware/Software dennoch eine ausreichende Netzsicherheit ge
währleistet.
Die Lösung dieser Aufgabe ergibt sich erfindungsgemäß durch die
kennzeichnenden Merkmale des Anspruchs 1. Die bei den einzelnen
Teilnehmerstationen vorgesehene Adreßfiltereinrichtung hat den
Vorteil, daß Nachrichten von und zum lokalen Datenübertragungs
netz nur bei Übereinstimmung von Stationsadresse und Ziel- bzw.
Sendeadresse übertragen werden können. Damit ist gewährleistet,
daß ein Mithören fremder Nachrichten nicht mehr möglich ist und
daß auch ein Vertauschen der Sendeadresse seitens des Teilneh
mers nicht funktioniert.
Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus den
Merkmalen der Unteransprüche.
Im folgenden wird ein Ausführungsbeispiel der Erfindung an Hand
der Zeichnung näher erläutert. Dabei zeigt
Fig. 1 den prinzipiellen Aufbau eines sogenannten Ethernet-LAN
mit zwischengeschalteten Adreßfiltereinrichtungen gemäß
der Erfindung,
Fig. 2 das einfache Blockschaltbild einer Adreßfiltereinrich
tung.
Die Fig. 1 zeigt als Beispiel für ein lokales Datenübertragungs
netz LAN, ein sogenanntes Ethernet, mit Koaxialkabel K als
Übertragungsmedium und mehreren im Zuge des Übertragungsmediums
eingeschalteten Medium-Anschlußeinheiten MAU, d. h. Buskopplern
bzw. Transceivern, denen jeweils über Stichleitungen anschließ
bare Datenendeinrichtungen DTE bzw. Teilnehmerstationen zuge
ordnet sind. Zwischen einer Medium-Anschlußeinheit MAU und ei
ner Datenendeinrichtung DTE ist jeweils eine Adreßfilterein
richtung AFU eingeschaltet. Diese Adreßfiltereinrichtung AFU
sorgt dafür, daß eine Datenübertragung von und zum LAN nur dann
möglich ist, wenn die im Datenpaket enthaltene Ziel- bzw. Sen
deadresse mit der in der Adreßfiltereinrichtung hinterlegten
Stationsadresse identisch ist. Bei fehlender Übereinstimmung
werden die nachfolgenden Daten mit einer vorgegebenen Bit
musterfolge überschrieben.
Um zu verhindern, daß die Adreßfiltereinrichtung AFU durch
Umstecken von Kabelanschlüssen oder auf andere Weise außer
Betrieb genommen werden kann, muß dem Sicherheitsaspekt auch
in konstruktiver Hinsicht Rechnung getragen werden. Denkbar ist
beispielsweise der Einbau der Adreßfiltereinrichtung AFU in das
Gehäuse der Mediumanschlußeinheit MAU. Um hierbei zu verhin
dern, daß die Medium-Anschlußeinheit MAU komplett gegen eine
"filterlose" Medium-Anschlußeinheit MAU ausgetauscht werden
kann, muß der TAP-Anschluß fest ausgeführt werden, so daß
eine Demontage der Adreßfiltereinrichtung nur mittels einer
z. B. über das Auflaufen von Kollisionen feststellbaren Unter
brechung des LAN-Busses möglich ist. Bei einer anderen kon
struktiven Lösung wird die Adreßfilter-Einrichtung AFU in
einem speziellen Anschlußstück am Übertragungsmedium, d. h. am
Bus untergebracht, so daß die Adreßfiltereinrichtung AFU auch
bei Abkoppeln der Medium-Anschlußeinheit MAU vorhanden bleibt.
Einzelheiten einer Adreßfiltereinrichtung in einem lokalen
Datenübertragungsnetz gemäß Fig. 1 werden im folgenden an Hand
des Blockschaltbildes gemäß Fig. 2 näher erläutert.
Die Datenendeinrichtung DTE und die Medium-Anschlußeinheit MAU
sind an den jeweiligen Schnittstellen über Manchester-Code-
Converter MCCD, MCCM an die Adreßfiltereinrichtung AFU ange
schlossen. Sowohl die über den Datenausgang DO der Datenendein
richtung DTE zur Medium-Anschlußeinheit MAU als auch die über
den Dateneingang DI der Medium-Anschlußeinheit MAU zur Daten
endeinrichtung DTE übertragenen Datenpakete werden zunächst
über den Dateneingang DI und den Empfangsausgang R des zuge
hörigen Manchester-Code-Converters MCCD bzw. MCCM einem Emp
fangs-Multiplexer R-MUX zugeführt. Die abhängig von der Stel
lung des Empfangs-Multiplexers R-MUX entweder von der Daten
endeinrichtung DTE oder von der Medium-Anschlußeinheit MAU ge
sendeten Datenpakete werden an einen sogenannten "Start-Frame-
Delimiter"-FIFO-Speicher SFD-FIFO und, gesteuert durch eine
Ablaufsteuerung SFDC, zum eigentlichen Adreßfilter AFI durchge
schaltet. Das Steuersignal C für die Ablaufsteuerung SFDC wird
im Manchester-Code-Converter MCCM bereitgestellt, dem seiner
seits ein in der Medium-Anschlußeinheit MAU generiertes Steu
ersignal CI über eine Entkopplungsschaltung ENT zugeführt wird.
Dieses Steuersignal CI wird ferner direkt zur Datenendeinrich
tung DTE durchgeschleift. Je nach Übertragungsrichtung, d. h.
entweder von der Medium-Anschlußeinheit MAU zur Datenendein
richtung DTE oder umgekehrt, wird die Zieladresse oder die
Sendeadresse mit der im Adreßfilter AFI hinterlegten teilneh
merspezifischen Stationsadresse verglichen. Bei einer Überein
stimmung von Zieladresse bzw. Sendeadresse einerseits und Sta
tionsadresse andererseits wird das Datenpaket über den Sende-
Multiplexer T-MUX und weiter über die Sendeeingänge T der je
weiligen Manchester-Code-Converter MCCM bzw. MCCD zur Datenend
einrichtung DTE bzw. zur Medium-Anschlußeinheit MAU weiterge
reicht. Bei unterschiedlicher Adresse wird dagegen die Infor
mation überschrieben, d. h. durch ein 0101-Muster MUS gleicher
Länge ersetzt, um eventuell auftretende Kollisionen auf dem
Übertragungsmedium bzw. Bus auszuschließen.
Dem Adreßfilter AFI mit zugehöriger Filtersteuerung AFIC ist
eine Speicheranordnung EPROM zugeordnet, in welcher eine Liste
mit insgesamt z. B. 255 Paßwörtern hinterlegt ist. Diese Paß
wörter werden nach einem bestimmten Algorithmus z. B. aus der
jeweiligen Seriennummer des Speichers EPROM erstellt. Aus die
ser Seriennummer kann nun eine spezielle Management-Software,
die nur der Netzadministrator besitzt, durch denselben Algo
rithmus das zugehörige Paßwort erzeugen. In einer weiteren
Speicheranordnung EEPROM führt das Adreßfilter die eingestell
te Stationsadresse, einen Zeiger, der jeweils auf ein Paßwort
der Liste im Speicher EPROM weist sowie den Operationscode, der
die aktuelle Funktionsweise des Adreßfilters AFI anzeigt.
Das Aktivieren oder Ändern der Filterfunktion kann nur durch
den Netzadministrator über das Datenübertragungsnetz LAN erfol
gen. Hierzu werden alle Adreßfiltereinrichtungen AFU unter ei
ner speziellen Ziel-Adresse, einer sogenannten Initialisie
rungsadresse IADR mittels eines bestimmten Operationscodes an
gesprochen. Folgende Filteroperationen sind möglich:
- Sperren (es werden überhaupt keine Daten durchgereicht)
- Freischalten (alle Telegramme werden durchgereicht; dies ent spricht konventioneller Transceiver-Betriebsart)
- Übernahme einer bestimmten Stationsadresse (mit anschließen der Filterung der Daten).
- Freischalten (alle Telegramme werden durchgereicht; dies ent spricht konventioneller Transceiver-Betriebsart)
- Übernahme einer bestimmten Stationsadresse (mit anschließen der Filterung der Daten).
Die Adreßfiltereinrichtung AFU führt nur dann die entsprechende
Operation durch, wenn ihr Paßwort-Zeiger auf dasjenige Paßwort
in der Paßwortliste zeigt, das im Datenfeld des empfangenen
Telegramms enthalten ist. Nach Ausführen der Operation wird
der Paßwort-Zeiger inkrementiert und zeigt nun auf das nächste
Paßwort der Paßwortliste. Auf diese Weise ist jede Operation
nur über ein neues Paßwort möglich. Dies setzt einen entspre
chenden Mechanismus der Management-Software voraus, bringt aber
auch eine höhere Sicherheit.
Claims (3)
1. Lokales Datenübertragungsnetz mit einem Übertragungsmedium
und mehreren im Zuge dieses Übertragungsmediums eingeschalteten
Koppeleinrichtungen bzw. Medium-Anschlußeinheiten, an die je
weils über bidirektionale Leitungen einzelne Teilnehmerstatio
nen anschließbar sind, zur bidirektionalen Übertragung von
Datenpaketen mit einem jeweils aus Präambel, Zieladresse, Sen
deadresse, Typidentifizierer, Datenfeld und Fehlererkennungs
code bestehenden Format,
dadurch gekennzeichnet, daß zwischen
jeweils einer Medium-Anschlußeinheit (MAU) und der zugehörigen
Datenendeinrichtung (DTE) jeweils eine Adreßfiltereinrichtung
(AFU) eingeschaltet ist, in der jeweils eine der entsprechen
den Datenendeinrichtung (DTE) zugeordnete Stationsadresse ein
gespeichert ist und daß bei einer Übertragung von Datenpaketen
von einer Medium-Anschlußeinheit (MAU) zur Datenendeinrichtung
(DTE) bzw. umgekehrt eine Vergleichsprüfung zwischen der im
Datenpaket enthaltenen Zieladresse bzw. Sendeadresse und der in
der Adreßfiltereinrichtung (AFU) gespeicherten Stationsadresse
durchgeführt wird, die bei Adressengleichheit eine Durchschal
tung der Daten und bei Adressen-Ungleichheit ein Überschreiten
der Daten mit einem vorgegebenen Informationsmuster bewirkt.
2. Lokales Datenübertragungsnetz nach Anspruch 1,
dadurch gekennzeichnet, daß die Adreß
filtereinrichtung (AFU) eine in einem Speicher (EPROM) hinter
legte Liste mit mehreren Paßwörtern aufweist, daß ein auf je
weils ein Paßwort gerichteter Zeiger vorgesehen ist, und daß
eine Aktivierung der Filterfunktion durch einen
zentralen Netzadministrator mittels einer allen Adreßfilter
einrichtungen zugeleiteten Initialisierungsadresse in Abhängig
keit von einem bestimmten Operationscode nur dann erfolgt, wenn
ein mitübertragenes Paßwort mit dem jeweils eingestellten Paß
wort in der Adreßfiltereinrichtung (AFU) übereinstimmt.
3. Lokales Datenübertragungsnetz nach Anspruch 2,
dadurch gekennzeichnet, daß der Paß
wortzeiger nach jeder Filteroperation auf das jeweils nächste
Paßwort weitergeschaltet wird.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19904007352 DE4007352A1 (de) | 1990-03-08 | 1990-03-08 | Lokales datenuebertragungsnetzwerk |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19904007352 DE4007352A1 (de) | 1990-03-08 | 1990-03-08 | Lokales datenuebertragungsnetzwerk |
Publications (2)
Publication Number | Publication Date |
---|---|
DE4007352A1 true DE4007352A1 (de) | 1991-09-12 |
DE4007352C2 DE4007352C2 (de) | 1993-02-04 |
Family
ID=6401721
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19904007352 Granted DE4007352A1 (de) | 1990-03-08 | 1990-03-08 | Lokales datenuebertragungsnetzwerk |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE4007352A1 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1992017960A1 (en) * | 1991-03-28 | 1992-10-15 | 3Com Technologies Limited | Security device for ring network |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19720719C2 (de) * | 1997-05-16 | 2002-04-11 | Deutsche Telekom Ag | Verbindungsaufbau-Überwachungsvorrichtung |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE2827270A1 (de) * | 1978-06-21 | 1980-01-03 | Siemens Ag | Schaltungsanordnung fuer eine vermittlungsanlage |
FR2558321A1 (fr) * | 1984-01-13 | 1985-07-19 | Philips Ind Commerciale | Dispositif programmable de filtrage deterministe de messages |
DE3408904A1 (de) * | 1984-03-10 | 1985-09-12 | Philips Kommunikations Industrie AG, 8500 Nürnberg | Schaltungsanordnung zur abwehr des unberechtigten zugangs zu einem durch teilnehmerindividuelle passworte gesicherten kommunikationssystem |
EP0378804A2 (de) * | 1989-01-18 | 1990-07-25 | International Business Machines Corporation | NETBIOS-Namenauthentisierung |
-
1990
- 1990-03-08 DE DE19904007352 patent/DE4007352A1/de active Granted
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE2827270A1 (de) * | 1978-06-21 | 1980-01-03 | Siemens Ag | Schaltungsanordnung fuer eine vermittlungsanlage |
FR2558321A1 (fr) * | 1984-01-13 | 1985-07-19 | Philips Ind Commerciale | Dispositif programmable de filtrage deterministe de messages |
DE3408904A1 (de) * | 1984-03-10 | 1985-09-12 | Philips Kommunikations Industrie AG, 8500 Nürnberg | Schaltungsanordnung zur abwehr des unberechtigten zugangs zu einem durch teilnehmerindividuelle passworte gesicherten kommunikationssystem |
EP0378804A2 (de) * | 1989-01-18 | 1990-07-25 | International Business Machines Corporation | NETBIOS-Namenauthentisierung |
Non-Patent Citations (1)
Title |
---|
DE-B.: DIEMER, Wolfgang, R.: Lokale Netzwerke kurz und bundig, In: Vogel-Buchverlag, Würz- burg, 1985, S.9, 178-183 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1992017960A1 (en) * | 1991-03-28 | 1992-10-15 | 3Com Technologies Limited | Security device for ring network |
Also Published As
Publication number | Publication date |
---|---|
DE4007352C2 (de) | 1993-02-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE3809129C2 (de) | Verfahren und Vorrichtung zur Steuerung von videotechnischen Geräten | |
DE69935604T2 (de) | Gerät, Verfahren und System zur Steuerung und Überwachung von einem Tastatur-, Video- und Mausschaltsystem | |
EP2098019B1 (de) | Kommunikationssystem mit einer master-slave-struktur | |
EP0213063A1 (de) | Schaltungsanordnung zur Prüfung eines passiven Busnetzsystems (CSMA/CD-Zugriffsverfahren) | |
EP0382680A1 (de) | Verfahren zum kryptographischen Behandeln von Daten und kryptographisches System | |
DE60109646T2 (de) | Ethernet-anpassungsvorrichtung | |
DE10361194A1 (de) | Sicherheitsnetzwerk mit Phantomadressinformation | |
EP0532102B1 (de) | System zur Kontrolle des Zugriffs auf die Daten eines Datengerätes | |
EP0834238B1 (de) | Verfahren und vorrichtung zur übertragung von vertraulichen verbindungsaufbau- und serviceinformationen zwischen teilnehmerseitigen endeinrichtungen und einer oder mehreren digitalen vermittlungsstellen | |
DE4037723A1 (de) | Verfahren zum uebermitteln von an mehreren datenschnittstellen einer prozessorgesteuerten einrichtung vorliegenden informationen an deren prozessoreinrichtung | |
EP0866635A2 (de) | Netzabschlusseinrichtung | |
DE4007352C2 (de) | ||
EP1469625A1 (de) | Verfahren und Vorrichtung zum Paket-orientierten Übertragen sicherheitsrelevanter Daten | |
DE3328834C2 (de) | ||
EP0151433A1 (de) | Gerätekonfiguration im Teilnehmerbereich eines ISDN-Netzes | |
DE69736314T2 (de) | Nachrichtenrahmen eines Nachrichtenübermittlungsprotokolls | |
DE3821871C2 (de) | ||
EP0459005B1 (de) | Verfahren und Anordnung zum Übermitteln von Betriebszustandsinformationen zwischen zentralen und dezentralen Einrichtungen eines Kommunikationssystems | |
DE102008009835B4 (de) | Sendeverfahren und Empfangsverfahren | |
EP0226966B1 (de) | Verfahren und Anordnung zur Übertragung von Informationen zwischen Teilnehmern an einem Bussystem | |
EP4193575B1 (de) | Verfahren zur kommunikation zwischen einem ersten passiven teilnehmer und einem zweiten passiven teilnehmer eines bussystems | |
DE19542226A1 (de) | Verfahren und Anlage zur Verwirklichung einer teilnehmerbezogenen Vermischung und Entmischung in einem Teilnehmernetz | |
EP0392245B1 (de) | Automatische Adressierung von zur Überwachung und/oder Steuerung in einem digitalen Nachrichtenübertragungssystem enthaltene Prozessoreinheiten | |
EP1548992A1 (de) | System zur Aufrechterhaltung einer fehlerfreien Kommunikation in einem Datenbus | |
DE102015220008A1 (de) | Verfahren zur Generierung eines Geheimnisses in einem Netzwerk mit wenigstens zwei Übertragungskanälen |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
D2 | Grant after examination | ||
8364 | No opposition during term of opposition | ||
8339 | Ceased/non-payment of the annual fee |