DE4007352A1 - Lokales datenuebertragungsnetzwerk - Google Patents

Lokales datenuebertragungsnetzwerk

Info

Publication number
DE4007352A1
DE4007352A1 DE19904007352 DE4007352A DE4007352A1 DE 4007352 A1 DE4007352 A1 DE 4007352A1 DE 19904007352 DE19904007352 DE 19904007352 DE 4007352 A DE4007352 A DE 4007352A DE 4007352 A1 DE4007352 A1 DE 4007352A1
Authority
DE
Germany
Prior art keywords
address
data
dte
afu
filter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19904007352
Other languages
English (en)
Other versions
DE4007352C2 (de
Inventor
Ingbert Dipl Phys Haas
Walter Dr Ing Fumy
Bruno Dipl Ing Krauss
Josef Poeschl
Juergen Dipl Ing Herting
Michael Gundlach
Wernhard Dr Ing Markwitz
Peter Dipl Ing Dr Wildenauer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wincor Nixdorf International GmbH
Original Assignee
Wincor Nixdorf International GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wincor Nixdorf International GmbH filed Critical Wincor Nixdorf International GmbH
Priority to DE19904007352 priority Critical patent/DE4007352A1/de
Publication of DE4007352A1 publication Critical patent/DE4007352A1/de
Application granted granted Critical
Publication of DE4007352C2 publication Critical patent/DE4007352C2/de
Granted legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)

Description

Die Erfindung betrifft ein lokales Datenübertragungsnetzwerk gemäß den Merkmalen des Oberbegriffs des Anspruchs 1.
Bei lokalen Datenübertragungsnetzwerken, beispielsweise dem so­ genannten Ethernet-LAN, besteht das Problem, daß die Nachrich­ ten aller am Übertragungsnetz angekoppelten Teilnehmer durch frei verfügbare Software z. B. auf einem angeschlossenen MSDOS Personalcomputer "mitgehört" werden können. Auf Grund der Funk­ tionsweise des Ethernet-LAN und der über Buskoppler bzw. Transceiver und Dropkabel frei verfügbaren Anschlüsse an das Übertragungsmedium ist es nur mit besonderen Schutzmaßnahmen, beispielsweise durch Verschlüsselung aller Nachrichten, mög­ lich, die aus vielerlei Gründen gewünschte und notwendige Si­ cherheit der übertragenen Daten zu gewährleisten.
Der vorliegenden Erfindung liegt deshalb die Aufgabe zugrunde, für ein lokales Datenübertragungsnetz der eingangs genannten Art einen Weg aufzuzeigen, der unter Verzicht auf eine auf­ wendige Datenverschlüsselung und bei Vermeidung einer Nach­ rüstung in den einzelnen Datenendeinrichtungen mit spezieller Hardware/Software dennoch eine ausreichende Netzsicherheit ge­ währleistet.
Die Lösung dieser Aufgabe ergibt sich erfindungsgemäß durch die kennzeichnenden Merkmale des Anspruchs 1. Die bei den einzelnen Teilnehmerstationen vorgesehene Adreßfiltereinrichtung hat den Vorteil, daß Nachrichten von und zum lokalen Datenübertragungs­ netz nur bei Übereinstimmung von Stationsadresse und Ziel- bzw. Sendeadresse übertragen werden können. Damit ist gewährleistet, daß ein Mithören fremder Nachrichten nicht mehr möglich ist und daß auch ein Vertauschen der Sendeadresse seitens des Teilneh­ mers nicht funktioniert.
Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus den Merkmalen der Unteransprüche.
Im folgenden wird ein Ausführungsbeispiel der Erfindung an Hand der Zeichnung näher erläutert. Dabei zeigt
Fig. 1 den prinzipiellen Aufbau eines sogenannten Ethernet-LAN mit zwischengeschalteten Adreßfiltereinrichtungen gemäß der Erfindung,
Fig. 2 das einfache Blockschaltbild einer Adreßfiltereinrich­ tung.
Die Fig. 1 zeigt als Beispiel für ein lokales Datenübertragungs­ netz LAN, ein sogenanntes Ethernet, mit Koaxialkabel K als Übertragungsmedium und mehreren im Zuge des Übertragungsmediums eingeschalteten Medium-Anschlußeinheiten MAU, d. h. Buskopplern bzw. Transceivern, denen jeweils über Stichleitungen anschließ­ bare Datenendeinrichtungen DTE bzw. Teilnehmerstationen zuge­ ordnet sind. Zwischen einer Medium-Anschlußeinheit MAU und ei­ ner Datenendeinrichtung DTE ist jeweils eine Adreßfilterein­ richtung AFU eingeschaltet. Diese Adreßfiltereinrichtung AFU sorgt dafür, daß eine Datenübertragung von und zum LAN nur dann möglich ist, wenn die im Datenpaket enthaltene Ziel- bzw. Sen­ deadresse mit der in der Adreßfiltereinrichtung hinterlegten Stationsadresse identisch ist. Bei fehlender Übereinstimmung werden die nachfolgenden Daten mit einer vorgegebenen Bit­ musterfolge überschrieben.
Um zu verhindern, daß die Adreßfiltereinrichtung AFU durch Umstecken von Kabelanschlüssen oder auf andere Weise außer Betrieb genommen werden kann, muß dem Sicherheitsaspekt auch in konstruktiver Hinsicht Rechnung getragen werden. Denkbar ist beispielsweise der Einbau der Adreßfiltereinrichtung AFU in das Gehäuse der Mediumanschlußeinheit MAU. Um hierbei zu verhin­ dern, daß die Medium-Anschlußeinheit MAU komplett gegen eine "filterlose" Medium-Anschlußeinheit MAU ausgetauscht werden kann, muß der TAP-Anschluß fest ausgeführt werden, so daß eine Demontage der Adreßfiltereinrichtung nur mittels einer z. B. über das Auflaufen von Kollisionen feststellbaren Unter­ brechung des LAN-Busses möglich ist. Bei einer anderen kon­ struktiven Lösung wird die Adreßfilter-Einrichtung AFU in einem speziellen Anschlußstück am Übertragungsmedium, d. h. am Bus untergebracht, so daß die Adreßfiltereinrichtung AFU auch bei Abkoppeln der Medium-Anschlußeinheit MAU vorhanden bleibt.
Einzelheiten einer Adreßfiltereinrichtung in einem lokalen Datenübertragungsnetz gemäß Fig. 1 werden im folgenden an Hand des Blockschaltbildes gemäß Fig. 2 näher erläutert.
Die Datenendeinrichtung DTE und die Medium-Anschlußeinheit MAU sind an den jeweiligen Schnittstellen über Manchester-Code- Converter MCCD, MCCM an die Adreßfiltereinrichtung AFU ange­ schlossen. Sowohl die über den Datenausgang DO der Datenendein­ richtung DTE zur Medium-Anschlußeinheit MAU als auch die über den Dateneingang DI der Medium-Anschlußeinheit MAU zur Daten­ endeinrichtung DTE übertragenen Datenpakete werden zunächst über den Dateneingang DI und den Empfangsausgang R des zuge­ hörigen Manchester-Code-Converters MCCD bzw. MCCM einem Emp­ fangs-Multiplexer R-MUX zugeführt. Die abhängig von der Stel­ lung des Empfangs-Multiplexers R-MUX entweder von der Daten­ endeinrichtung DTE oder von der Medium-Anschlußeinheit MAU ge­ sendeten Datenpakete werden an einen sogenannten "Start-Frame- Delimiter"-FIFO-Speicher SFD-FIFO und, gesteuert durch eine Ablaufsteuerung SFDC, zum eigentlichen Adreßfilter AFI durchge­ schaltet. Das Steuersignal C für die Ablaufsteuerung SFDC wird im Manchester-Code-Converter MCCM bereitgestellt, dem seiner­ seits ein in der Medium-Anschlußeinheit MAU generiertes Steu­ ersignal CI über eine Entkopplungsschaltung ENT zugeführt wird. Dieses Steuersignal CI wird ferner direkt zur Datenendeinrich­ tung DTE durchgeschleift. Je nach Übertragungsrichtung, d. h. entweder von der Medium-Anschlußeinheit MAU zur Datenendein­ richtung DTE oder umgekehrt, wird die Zieladresse oder die Sendeadresse mit der im Adreßfilter AFI hinterlegten teilneh­ merspezifischen Stationsadresse verglichen. Bei einer Überein­ stimmung von Zieladresse bzw. Sendeadresse einerseits und Sta­ tionsadresse andererseits wird das Datenpaket über den Sende- Multiplexer T-MUX und weiter über die Sendeeingänge T der je­ weiligen Manchester-Code-Converter MCCM bzw. MCCD zur Datenend­ einrichtung DTE bzw. zur Medium-Anschlußeinheit MAU weiterge­ reicht. Bei unterschiedlicher Adresse wird dagegen die Infor­ mation überschrieben, d. h. durch ein 0101-Muster MUS gleicher Länge ersetzt, um eventuell auftretende Kollisionen auf dem Übertragungsmedium bzw. Bus auszuschließen.
Dem Adreßfilter AFI mit zugehöriger Filtersteuerung AFIC ist eine Speicheranordnung EPROM zugeordnet, in welcher eine Liste mit insgesamt z. B. 255 Paßwörtern hinterlegt ist. Diese Paß­ wörter werden nach einem bestimmten Algorithmus z. B. aus der jeweiligen Seriennummer des Speichers EPROM erstellt. Aus die­ ser Seriennummer kann nun eine spezielle Management-Software, die nur der Netzadministrator besitzt, durch denselben Algo­ rithmus das zugehörige Paßwort erzeugen. In einer weiteren Speicheranordnung EEPROM führt das Adreßfilter die eingestell­ te Stationsadresse, einen Zeiger, der jeweils auf ein Paßwort der Liste im Speicher EPROM weist sowie den Operationscode, der die aktuelle Funktionsweise des Adreßfilters AFI anzeigt.
Das Aktivieren oder Ändern der Filterfunktion kann nur durch den Netzadministrator über das Datenübertragungsnetz LAN erfol­ gen. Hierzu werden alle Adreßfiltereinrichtungen AFU unter ei­ ner speziellen Ziel-Adresse, einer sogenannten Initialisie­ rungsadresse IADR mittels eines bestimmten Operationscodes an­ gesprochen. Folgende Filteroperationen sind möglich:
- Sperren (es werden überhaupt keine Daten durchgereicht)
- Freischalten (alle Telegramme werden durchgereicht; dies ent­ spricht konventioneller Transceiver-Betriebsart)
- Übernahme einer bestimmten Stationsadresse (mit anschließen­ der Filterung der Daten).
Die Adreßfiltereinrichtung AFU führt nur dann die entsprechende Operation durch, wenn ihr Paßwort-Zeiger auf dasjenige Paßwort in der Paßwortliste zeigt, das im Datenfeld des empfangenen Telegramms enthalten ist. Nach Ausführen der Operation wird der Paßwort-Zeiger inkrementiert und zeigt nun auf das nächste Paßwort der Paßwortliste. Auf diese Weise ist jede Operation nur über ein neues Paßwort möglich. Dies setzt einen entspre­ chenden Mechanismus der Management-Software voraus, bringt aber auch eine höhere Sicherheit.

Claims (3)

1. Lokales Datenübertragungsnetz mit einem Übertragungsmedium und mehreren im Zuge dieses Übertragungsmediums eingeschalteten Koppeleinrichtungen bzw. Medium-Anschlußeinheiten, an die je­ weils über bidirektionale Leitungen einzelne Teilnehmerstatio­ nen anschließbar sind, zur bidirektionalen Übertragung von Datenpaketen mit einem jeweils aus Präambel, Zieladresse, Sen­ deadresse, Typidentifizierer, Datenfeld und Fehlererkennungs­ code bestehenden Format, dadurch gekennzeichnet, daß zwischen jeweils einer Medium-Anschlußeinheit (MAU) und der zugehörigen Datenendeinrichtung (DTE) jeweils eine Adreßfiltereinrichtung (AFU) eingeschaltet ist, in der jeweils eine der entsprechen­ den Datenendeinrichtung (DTE) zugeordnete Stationsadresse ein­ gespeichert ist und daß bei einer Übertragung von Datenpaketen von einer Medium-Anschlußeinheit (MAU) zur Datenendeinrichtung (DTE) bzw. umgekehrt eine Vergleichsprüfung zwischen der im Datenpaket enthaltenen Zieladresse bzw. Sendeadresse und der in der Adreßfiltereinrichtung (AFU) gespeicherten Stationsadresse durchgeführt wird, die bei Adressengleichheit eine Durchschal­ tung der Daten und bei Adressen-Ungleichheit ein Überschreiten der Daten mit einem vorgegebenen Informationsmuster bewirkt.
2. Lokales Datenübertragungsnetz nach Anspruch 1, dadurch gekennzeichnet, daß die Adreß­ filtereinrichtung (AFU) eine in einem Speicher (EPROM) hinter­ legte Liste mit mehreren Paßwörtern aufweist, daß ein auf je­ weils ein Paßwort gerichteter Zeiger vorgesehen ist, und daß eine Aktivierung der Filterfunktion durch einen zentralen Netzadministrator mittels einer allen Adreßfilter­ einrichtungen zugeleiteten Initialisierungsadresse in Abhängig­ keit von einem bestimmten Operationscode nur dann erfolgt, wenn ein mitübertragenes Paßwort mit dem jeweils eingestellten Paß­ wort in der Adreßfiltereinrichtung (AFU) übereinstimmt.
3. Lokales Datenübertragungsnetz nach Anspruch 2, dadurch gekennzeichnet, daß der Paß­ wortzeiger nach jeder Filteroperation auf das jeweils nächste Paßwort weitergeschaltet wird.
DE19904007352 1990-03-08 1990-03-08 Lokales datenuebertragungsnetzwerk Granted DE4007352A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19904007352 DE4007352A1 (de) 1990-03-08 1990-03-08 Lokales datenuebertragungsnetzwerk

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19904007352 DE4007352A1 (de) 1990-03-08 1990-03-08 Lokales datenuebertragungsnetzwerk

Publications (2)

Publication Number Publication Date
DE4007352A1 true DE4007352A1 (de) 1991-09-12
DE4007352C2 DE4007352C2 (de) 1993-02-04

Family

ID=6401721

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19904007352 Granted DE4007352A1 (de) 1990-03-08 1990-03-08 Lokales datenuebertragungsnetzwerk

Country Status (1)

Country Link
DE (1) DE4007352A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1992017960A1 (en) * 1991-03-28 1992-10-15 3Com Technologies Limited Security device for ring network

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19720719C2 (de) * 1997-05-16 2002-04-11 Deutsche Telekom Ag Verbindungsaufbau-Überwachungsvorrichtung

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2827270A1 (de) * 1978-06-21 1980-01-03 Siemens Ag Schaltungsanordnung fuer eine vermittlungsanlage
FR2558321A1 (fr) * 1984-01-13 1985-07-19 Philips Ind Commerciale Dispositif programmable de filtrage deterministe de messages
DE3408904A1 (de) * 1984-03-10 1985-09-12 Philips Kommunikations Industrie AG, 8500 Nürnberg Schaltungsanordnung zur abwehr des unberechtigten zugangs zu einem durch teilnehmerindividuelle passworte gesicherten kommunikationssystem
EP0378804A2 (de) * 1989-01-18 1990-07-25 International Business Machines Corporation NETBIOS-Namenauthentisierung

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2827270A1 (de) * 1978-06-21 1980-01-03 Siemens Ag Schaltungsanordnung fuer eine vermittlungsanlage
FR2558321A1 (fr) * 1984-01-13 1985-07-19 Philips Ind Commerciale Dispositif programmable de filtrage deterministe de messages
DE3408904A1 (de) * 1984-03-10 1985-09-12 Philips Kommunikations Industrie AG, 8500 Nürnberg Schaltungsanordnung zur abwehr des unberechtigten zugangs zu einem durch teilnehmerindividuelle passworte gesicherten kommunikationssystem
EP0378804A2 (de) * 1989-01-18 1990-07-25 International Business Machines Corporation NETBIOS-Namenauthentisierung

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
DE-B.: DIEMER, Wolfgang, R.: Lokale Netzwerke kurz und bundig, In: Vogel-Buchverlag, Würz- burg, 1985, S.9, 178-183 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1992017960A1 (en) * 1991-03-28 1992-10-15 3Com Technologies Limited Security device for ring network

Also Published As

Publication number Publication date
DE4007352C2 (de) 1993-02-04

Similar Documents

Publication Publication Date Title
DE3809129C2 (de) Verfahren und Vorrichtung zur Steuerung von videotechnischen Geräten
DE69935604T2 (de) Gerät, Verfahren und System zur Steuerung und Überwachung von einem Tastatur-, Video- und Mausschaltsystem
EP2098019B1 (de) Kommunikationssystem mit einer master-slave-struktur
EP0213063A1 (de) Schaltungsanordnung zur Prüfung eines passiven Busnetzsystems (CSMA/CD-Zugriffsverfahren)
EP0382680A1 (de) Verfahren zum kryptographischen Behandeln von Daten und kryptographisches System
DE60109646T2 (de) Ethernet-anpassungsvorrichtung
DE10361194A1 (de) Sicherheitsnetzwerk mit Phantomadressinformation
EP0532102B1 (de) System zur Kontrolle des Zugriffs auf die Daten eines Datengerätes
EP0834238B1 (de) Verfahren und vorrichtung zur übertragung von vertraulichen verbindungsaufbau- und serviceinformationen zwischen teilnehmerseitigen endeinrichtungen und einer oder mehreren digitalen vermittlungsstellen
DE4037723A1 (de) Verfahren zum uebermitteln von an mehreren datenschnittstellen einer prozessorgesteuerten einrichtung vorliegenden informationen an deren prozessoreinrichtung
EP0866635A2 (de) Netzabschlusseinrichtung
DE4007352C2 (de)
EP1469625A1 (de) Verfahren und Vorrichtung zum Paket-orientierten Übertragen sicherheitsrelevanter Daten
DE3328834C2 (de)
EP0151433A1 (de) Gerätekonfiguration im Teilnehmerbereich eines ISDN-Netzes
DE69736314T2 (de) Nachrichtenrahmen eines Nachrichtenübermittlungsprotokolls
DE3821871C2 (de)
EP0459005B1 (de) Verfahren und Anordnung zum Übermitteln von Betriebszustandsinformationen zwischen zentralen und dezentralen Einrichtungen eines Kommunikationssystems
DE102008009835B4 (de) Sendeverfahren und Empfangsverfahren
EP0226966B1 (de) Verfahren und Anordnung zur Übertragung von Informationen zwischen Teilnehmern an einem Bussystem
EP4193575B1 (de) Verfahren zur kommunikation zwischen einem ersten passiven teilnehmer und einem zweiten passiven teilnehmer eines bussystems
DE19542226A1 (de) Verfahren und Anlage zur Verwirklichung einer teilnehmerbezogenen Vermischung und Entmischung in einem Teilnehmernetz
EP0392245B1 (de) Automatische Adressierung von zur Überwachung und/oder Steuerung in einem digitalen Nachrichtenübertragungssystem enthaltene Prozessoreinheiten
EP1548992A1 (de) System zur Aufrechterhaltung einer fehlerfreien Kommunikation in einem Datenbus
DE102015220008A1 (de) Verfahren zur Generierung eines Geheimnisses in einem Netzwerk mit wenigstens zwei Übertragungskanälen

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee