EP3970341A1 - Method and transmission device for data transmission between two or more networks - Google Patents

Method and transmission device for data transmission between two or more networks

Info

Publication number
EP3970341A1
EP3970341A1 EP20735082.8A EP20735082A EP3970341A1 EP 3970341 A1 EP3970341 A1 EP 3970341A1 EP 20735082 A EP20735082 A EP 20735082A EP 3970341 A1 EP3970341 A1 EP 3970341A1
Authority
EP
European Patent Office
Prior art keywords
network
data
transmission
nwa
data transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP20735082.8A
Other languages
German (de)
French (fr)
Inventor
Christian Bauer
Matthias Lorenz
Hermann Seuschek
Martin Wimmer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Publication of EP3970341A1 publication Critical patent/EP3970341A1/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Definitions

  • the invention relates to a method for data transmission between at least one first network and at least one second network.
  • one-way communication units such as Data diodes
  • a data diode with a feedback channel also known as a bidirectional network guard or security gateway
  • a network guard is usually a combination of hardware and software that enables more restrictive data transmission between networks, for example compared to known firewalls:
  • a bidirectional network guard is usually structured in such a way that two separate unidirectional data streams are implemented using a data diode, the data streams flowing in opposite directions. This allows data to be exchanged in both directions, with the one-way function being guaranteed for each direction or transfer path.
  • data can be transmitted from a network with high security requirements to an open network with low security requirements or from a network with low security requirements to a network with high security requirements.
  • an additional check or validation is usually necessary to ensure the integrity and / or security of the network with high security requirements and / or network availability .
  • a data capture unit (DCU, www.siemens.com/dcu) represents a feedback-free network tap that can be used to implement cost-efficient unidirectional data transfers. Messages can be tapped retroactively via the tap connections of the DCU and unidirectional transmission paths of a network guard can be implemented.
  • the invention claims a method for data transmission between at least one first network and at least one second network, wherein
  • the resource allocation unit for establishing the at least one connection, at least one network access resource that can be coupled to the second network, for example a network card / adapter for WLAN and / or Ethernet, physical interfaces / slots, serial interface, CPU etc., and one the one-way communication unit upstream of the network access resource for specifying a non-reactive data transmission direction is exclusively allocated.
  • the one-way communication unit can be used, for example, by means of an optical data diode or alternatively by means of a passive network tap of a DCU (e.g. data capture unit,
  • one or more connections can be built up from a first network of a possible number of first networks into one or more second networks (ie a 1 to m relationship).
  • one or more connection (s) can be set up from a second network of a possible number of second networks in one or more first networks (ie an n to 1 relationship).
  • n first and m second networks are conceivable, which can enter into an n to m relationship via the connections established.
  • four ports are provided for the use of connections between networks.
  • the 1 to n possible first networks preferably have a security requirement to be met, whereas the 1 to m possible second networks have a security requirement to be met that is different from the first networks.
  • the first networks have higher security requirements than the second networks. Connections between two networks with the same security requirements are also conceivable.
  • the fact that the at least one connection is established via a one-way communication unit, for example a network tap that can be designed as a data diode, means that the data transmission direction is given. That is, the data transmission can depending on the arrangement and Allocation of the one-way communication unit by the resource allocation unit, either from the first to the second network or from the second to the first network, can be directed unidirectionally and thus without any reaction.
  • the network tap can be integrated into the DCU mentioned above.
  • the method is preferably computer implemented.
  • “computer-implemented” can be understood to mean an implementation of the method in which, in particular, a processor executes at least one method step.
  • a further development of the invention provides that the at least one first network fulfills a first security requirement and the at least one second network fulfills a second security requirement that is different from the first security requirement.
  • a further development of the invention provides that a virtual machine is provided for the data transmission between the networks mentioned, which machine reconstructs user data from the data received in the one-way communication unit, the user data being forwarded.
  • a virtual machine means a software-technical encapsulation of a computer system within an executable computer system.
  • the abstracting layer between a real or host (host) computer system on which the virtual machine is running and the virtual machine is called a hypervisor or virtual machine monitor.
  • host real or host
  • hypervisor virtual machine monitor
  • Their implementation is purely hardware-based, purely software-based, or a combination of both.
  • the hypervisor generally allows several virtual machines to be operated simultaneously on one physical computer system.
  • a further development of the invention provides that a validation unit (VE) is provided, which the virtual len machine is / is downstream, the user data being validated on the basis of a predetermined rule, for example for integrity, authenticity, signature, etc. in the validation unit and forwarded if the validation is positive.
  • VE validation unit
  • a further development of the invention provides that a data lock is provided, which is / is arranged downstream of the validation unit, the data lock preventing the forwarding of the useful data in the event of a negative validation and, if necessary, temporarily storing the useful data.
  • a further development of the invention provides that the data sluice allows either a user data transfer from the virtual machine to it or a user data transfer from it to the allocated network access resource.
  • a further aspect of the invention is a transmission device for data transmission between at least one first network and at least one second network, comprising:
  • At least one communication unit which is designed to set up at least one connection between the first network and the second network for at least one data transmission between the at least one first network and the at least one second network and a date or data via a between the said networks are directed to the resource allocation unit, and having
  • the resource allocation unit for establishing the at least one connection which is designed to exclusively allocate at least one network access resource that can be coupled to the second network and a one-way communication unit upstream of the network access resource for specifying a reaction-free data transmission direction.
  • the network access resource is designed for serial data transmission.
  • One property of the method and the transmission device is the exclusive or exclusive allocation of network access resources by the resource allocation unit to a virtual machine.
  • the network access resources - which allow bidirectional communication - are assigned exclusively to the respective virtual machine. Even in the event that an attacker succeeds in controlling the virtual machine (abbreviated: VM) from the second network, he cannot access resources directly from the first network, as there are no incoming resources (neither unidirectional nor bidirectional) connection to the first network. In this case, an attacker is "trapped" in the virtual machine.
  • VM virtual machine
  • the invention enables a total of a little elaborate realization of a bidirectional gateway through a combination of one-way communication units for unidirectional unidirectional transmission or transfer links or - connections and virtualization for a safe and efficient technical implementation of control functions on just one hardware platform.
  • the Data Capture Unit can be used as a hardware platform, whereby, in addition to a network access resource, resources such as a dedicated CPU core can also be exclusively assigned to each VM instance.
  • Secure network connection through incoming and outgoing transfer links or connections, at least partial links of these being implemented via unidirectional coupling using a one-way communication unit.
  • a unit or component in particular a communication unit or network component, can be designed as a hardware component.
  • a component can include a processor.
  • a processor can in particular be a main processor (Central Processing Unit, CPU), a microprocessor or a microcontroller, for example an application-specific integrated circuit or a digital signal processor, possibly in combination with a memory unit for storing program instructions , etc. act.
  • a processor can, for example, also be an IC (integrated circuit) or a multi-chip module, in particular an FPGA (field programmable gate array) or an ASIC (application-specific integrated circuit).
  • IC integrated circuit
  • FPGA field programmable gate array
  • ASIC application-specific integrated circuit
  • English Application-Specific Integrated Circuit a SoC (System on Chip)
  • a graphics processor GPU Graphics Processing Unit
  • a processor for evaluating a neural network such as a TPU (Tensor Processing Unit) or a DSP (Digital Signal Processor) . Digital Signal Processor) act.
  • the processor can have one or more computing cores (multi-core).
  • a processor can also be understood to be a virtualized processor or a soft CPU.
  • it can also be a programmable processor that is equipped with configuration steps for executing the method according to the invention or is configured with configuration steps such that the programmable processor implements the features of the method according to the invention or other aspects and partial aspects of the invention.
  • the processor can have a tamper protection to protect against physical manipulation, e.g. Tamper sensors for the detection of physical attacks.
  • the invention further relates to a computer program product that can be loaded directly into a programmable computer, comprising program code parts that are suitable for the Carry out steps of a computer-implemented method according to the invention.
  • a computer program product such as a computer program means, for example, can be provided or delivered as a storage medium or data carrier such as a memory card, USB stick, CD-ROM, DVD or also in the form of a downloadable file from a server in a network be produced.
  • the devices, devices, units or devices, modules and computer program (products) can be designed according to the developments / embodiments of the aforementioned method and their further developments / embodiments and vice versa.
  • Fig. 1 is a schematic representation of an inventive
  • Transmission device that is suitable for data transmission between two or more networks.
  • Fig. 2 is a schematic representation of a further Ausense approximate form of the transmission device according to the invention.
  • FIG. 1 shows an embodiment of the transmission device according to the invention which is suitable for data transmission between two or more networks.
  • a data item or several data from a first for example, NW1 of possible several first networks NW1, NW2 to NWn, which preferably meets a high security requirement, can be entered e.g. a system network (e.g. with system components C) in a second network e.g. NWB of possible several second networks NWA, NWB to NWZ, which preferably meets a lower security requirement than the first network, e.g. an open network (monitoring network with a monitoring unit e.g. M), be transmitted.
  • a data transfer takes place from one piece of data or from several data from one of the possible second networks, for example NWB, into one of the possible first networks, for example NW1, via a second transmission path marked with a solid line.
  • a transmission link is used by a proxy, e.g. Psec of the first network via a network access resource NW_IF e.g. a network card for Ethernet and / or WLAN or a serial interface and via a network tap of a transmission device NG, also referred to as Network Guard, to a resource allocation unit H, also referred to as a hypervisor.
  • NW_IF network access resource
  • NG network tap of a transmission device NG
  • a resource allocation unit H also referred to as a hypervisor.
  • the transmission path is further forwarded via a network access resource NW_IF to a proxy e.g. Pop of the second network led.
  • a transmission path from the proxy Pop can be routed to the proxy Psec via the units or components mentioned.
  • the date or the data are passed unidirectionally over the transmission links or paths.
  • the Network Guard implements and controls the unidirectional transmission paths between a first and a second network.
  • the Network Guard comprises the following units / components, which can be designed in terms of hardware, firmware and / or software: a.
  • NWTap Network tap NWTap
  • Network access unit NW_IF or -Interface the first network interface (bidirectional) being connected to the proxy Psec from the first network.
  • Another network access unit NW_IF Another network access unit NW_IF, the second network interface (bidirectional) being connected to the proxy Pop from the second network.
  • a first virtual machine via which an incoming or outgoing data transfer is controlled depending on the data transfer direction (unidirectional).
  • the virtual machine VM can reconstruct the actual user data from the recorded raw data - as described below under Proxy Psec or Pop.
  • a transferred file is reconstructed in this step.
  • Incoming network packets of the protocol are recognized and processed further.
  • An advantageous embodiment according to the invention provides that packets that do not comply with the protocol are recognized (these can provide information on possible attacks to which one must react accordingly - for example via alarms and subsequent actions as part of intrusion detection and / or prevention procedure)
  • hypervisor which regulates the resource management on the Network Guard.
  • network interfaces and possibly also CPU (cores) are exclusively or exclusively assigned to the virtual machines by the hypervisor.
  • the proxy Psec is a system component which initiates outgoing data transfers from the first network and receives incoming data transfers and processes or further derives.
  • the component usually has a dedicated network port which is exclusively connected to the network guard, as shown in the figures.
  • proxy Psec Since the network tap cannot act as a communication partner (as it is purely passive and free of reaction), the transfer path between proxy Psec and network tap is designed to be strictly unidirectional, which can be ensured via a hardware property.
  • an optical data diode can also be used to transmit the date / data in a purely unidirectional manner.
  • a unidirectional protocol such as UDP or the protocol described in the patent application EP 19163812 mentioned above can be used.
  • the communication of the proxy Psec is read via the network tap (intercepted) and recorded without any reaction. These "raw data" are then passed on to the virtual machine VM.
  • this section of the route is strictly unidirectional and non-reactive.
  • the actual user data is therefore embedded in a Network Guard protocol. E.g. a file transfer take place.
  • the proxy Pop is a system component that can act in the same way as the proxy Psec for incoming data transfers and accordingly initiates data transfer into the second network and receives and further processes or forwards outgoing data transfers.
  • the component is set up in the same way as the proxy Psec, i.e. has a corresponding dedicated connection to the Network Guard.
  • the Proxy Pop can request the transferred data from the virtual machine VM. This can be done push-based or pull-based. This section is usually implemented bidirectionally.
  • the main protection goals for industrial plants are usually the availability and the integrity of the plant (correct, defined system behavior).
  • a connection to an open network in the example of one of the second networks, a strictly unidirectional outgoing connection offers a high degree of security, which corresponds to the level of ner physical network separation is comparable.
  • a unidirectional outgoing data transfer (the dashed connection in FIG. 1) can therefore usually be maintained permanently on its own.
  • Data is transmitted between at least one first network NW1 or NW2 and at least one second network NWA or NWB, with
  • At least one connection between the first network and the second network is established for at least one data transmission between the at least one first network and the at least one second network (see above all the dashed transfer path) and a date or data via a between the named networks arranged Res sourcenzuakushim H are directed,
  • the resource allocation unit H exclusively allocates at least one network access resource NWA_IF, which can be coupled to the second network, for setting up the at least one connection to specify a non-reactive data transmission direction.
  • FIG. 2 shows an embodiment variant which takes up these requirements and additionally controls incoming connections.
  • the system structure from Figure 1 is expanded by the following units or components:
  • Validation unit VE this takes over the tasks of filtering incoming data transfers. Data transfers that come in via the virtual machine VM are sent to the validation unit VE transferred via host-internal communication and analyzed by this using a predetermined rule. Only the data transfers that meet the rule are accepted and can later be forwarded towards Proxy Secure. Examples of such a rule for checking or validation are: o Signature validation for firmware and software
  • FIG. 2 shows a further embodiment of the invention.
  • the Proxy Pop is connected via a serial connection
  • Interface S as an embodiment of a network access resource NW_IF.
  • NW_IF Network Guard
  • the connection of the Proxy Pop is usually maintained via a network access resource NW_IF.
  • This variant offers the advantage that outgoing transfers can be carried out at a higher transfer rate (since a serial interface has lower transfer rates compared to Ethernet Interfaces). This is particularly advantageous if a specific implementation requires a higher amount of data transfer from the first network to the second network and less and / or less data has to be transferred from the second network to the first network.
  • Computer-readable memories are, for example, volatile memories such as caches, buffers or RAM as well as non-volatile memories such as removable data carriers, hard disks, etc.
  • the functions or steps described above can be present in the form of at least one set of instructions in / on a computer-readable memory.
  • the functions or steps are not tied to a specific set of instructions or to a specific form of instruction set or to a specific storage medium or to a specific processor or to specific execution schemes and can be implemented through software, firmware, microcode, hardware, processors, integrated circuits etc. can be run alone or in any combination.
  • a wide variety of processing strategies can be used, for example serial processing by a single processor or multiprocessing or multitasking or parallel processing, etc.
  • the instructions can be stored in local memories, but it is also possible to store the instructions on a remote system and access them via the network.
  • the transmission device can have one or more processors.
  • processor central signal processing
  • control unit or “data evaluation means” includes processing means in the broadest sense, for example servers, universal processors, graphics processors, digital signal processors, application-specific integrated circuits (ASICs), programmable logic circuits such as FPGAs, discrete analog or digital circuits and any combinations thereof, including any other processing means known to those skilled in the art or developed in the future.
  • processors can consist of one or more devices or devices or units. If a processor consists of several devices, these can be designed or configured for parallel or sequential processing or execution of instructions.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The invention relates to a method for data transmission between at least one first network (NW1; NW2) and at least one second network (NWA; NWB), wherein a) for at least one data transmission between the at least one first network (NW1; NW2) and the at least one second network (NWA; NWB), at least one connection between the first network (NW1; NW2) and the second network (NWA; NWB) is established and a datum or data are directed by means of a resource allocation unit (H) arranged between said networks, and b) for the establishment of the at least one connection, the resource allocation unit (H) exclusively allocates at least one net access resource (NWA_IF), e.g. network cards or network adapters, which can be coupled to the second net, and a one-way communication unit (NWTap) arranged upstream of the net access resource for establishing a feedback-free data transmission direction.

Description

Beschreibung description
Verfahren und Übertragungsvorrichtung zur Datenübertragung zwischen zwei oder mehreren Netzwerken Method and transmission device for data transmission between two or more networks
Die Erfindung betrifft ein Verfahren zur Datenübertragung zwischen mindestens einem ersten Netzwerk und wenigstens ei nem zweiten Netzwerk. The invention relates to a method for data transmission between at least one first network and at least one second network.
Zur sicheren Kommunikation zwischen zwei oder mehreren Netz werken, insbesondere einem sicherheitskritischen und einem offenen Netzwerk, wie z.B. einem industriellen Steuerungs netzwerk (engl. Industrial Control Network oder Operational Network) und einem klassischen IT-Netzwerk, können beispiels weise Einwegkommunikationseinheiten, wie z.B. Datendioden, eingesetzt werden, um eine unidirektionale Datenübertragung zu ermöglichen. Eine Datendiode mit Feedbackkanal, auch als bidirektionaler Network Guard oder Security Gateway bezeich net, ermöglicht einen sicheren Datentransfer zwischen zwei Informationsbereichen mit unterschiedlichen Sicherheitsstu fen. Ein Network Guard ist in der Regel eine Kombination aus Hardware und Software die eine - beispielsweise im Vergleich zu bekannten Firewalls - restriktivere Datenübertragung zwi schen Netzen ermöglicht: For secure communication between two or more networks, in particular a security-critical and an open network, such as an industrial control network or operational network and a classic IT network, for example, one-way communication units, such as Data diodes, are used to enable unidirectional data transmission. A data diode with a feedback channel, also known as a bidirectional network guard or security gateway, enables secure data transfer between two information areas with different security levels. A network guard is usually a combination of hardware and software that enables more restrictive data transmission between networks, for example compared to known firewalls:
Ein bidirektionaler Network Guard ist in der Regel derart aufgebaut, zwei voneinander getrennte unidirektionale Daten ströme jeweils mittels einer Datendiode zu realisieren, wobei die Datenströme in entgegengesetzte Richtung fließen. Dies erlaubt einen Datenaustausch in beide Richtungen, wobei für jede Richtung bzw. Transferstrecke jeweils die Einwegfunktion gewährleistet ist. Beispielsweise können mit einem bidirekti onalen Network Guard Daten aus einem Netzwerk mit hoher Si cherheitsanforderung in ein offenes Netzwerk mit geringer Si cherheitsanforderung bzw. vom Netzwerk mit geringer Sicher- heitsanforderung an ein Netzwerk mit hoher Sicherheitsanfor derung übermittelt werden. Bei einem Datentransfer vom Netzwerk mit geringer Sicher- heitsanforderung in das Netzwerk mit hoher Sicherheitsanfor derung ist in der Regel eine zusätzliche Prüfung bzw. Vali dierung notwendig, um die Integrität und/oder Sicherheit des Netzwerks mit hoher Sicherheitsanforderung und/oder die Netz werkverfügbarkeit zu gewährleisten. A bidirectional network guard is usually structured in such a way that two separate unidirectional data streams are implemented using a data diode, the data streams flowing in opposite directions. This allows data to be exchanged in both directions, with the one-way function being guaranteed for each direction or transfer path. For example, with a bidirectional network guard, data can be transmitted from a network with high security requirements to an open network with low security requirements or from a network with low security requirements to a network with high security requirements. In the case of data transfer from the network with low security requirements to the network with high security requirements, an additional check or validation is usually necessary to ensure the integrity and / or security of the network with high security requirements and / or network availability .
Eine Data Capture Unit (DCU, www.siemens.com/dcu) repräsen tiert einen rückwirkungsfreien Netzwerk-Tap, über den sich kosteneffizient unidirektionale Datentransfers realisieren lassen. Über die Tap-Anschlüsse der DCU können Nachrichten rückwirkungsfrei abgegriffen und dadurch unidirektionale Übertragungsstrecken eines Network Guards realisiert werden. A data capture unit (DCU, www.siemens.com/dcu) represents a feedback-free network tap that can be used to implement cost-efficient unidirectional data transfers. Messages can be tapped retroactively via the tap connections of the DCU and unidirectional transmission paths of a network guard can be implemented.
In EP 19163812 ist bereits ein bidirektionales Netzwerkproto koll vorgeschlagen worden, welches einen Network Guard auf Basis von zwei getrennten unidirektionalen Übertragungsstre cken realisiert. In EP 19163812 a bidirectional network protocol has already been proposed which implements a network guard based on two separate unidirectional transmission links.
Es ist Aufgabe der vorliegenden Erfindung, für einen Daten austausch zwischen zwei oder mehreren Netzwerken eine Daten übertragung von dem einen in das andere Netzwerk flexibler gegenüber dem eingangs genannten Stand der Technik auszuge stalten . It is the object of the present invention, for data exchange between two or more networks, to make data transmission from one network to the other more flexible compared to the prior art mentioned at the beginning.
Die Aufgabe wird durch die in den unabhängigen Ansprüchen be schriebenen Merkmale gelöst. In den abhängigen Ansprüchen sind vorteilhafte Weiterbildungen der Erfindung beansprucht. The object is achieved by the features described in the independent claims. Advantageous developments of the invention are claimed in the dependent claims.
Die Erfindung beansprucht ein Verfahren zur Datenübertragung zwischen mindestens einem ersten Netzwerk und wenigstens ei nem zweiten Netzwerk, wobei The invention claims a method for data transmission between at least one first network and at least one second network, wherein
a) für zumindest eine Datenübertragung zwischen dem mindes tens einem ersten Netzwerk und dem wenigstens einem zweiten Netzwerk zumindest eine Verbindung zwischen dem ersten Netz werk und dem zweiten Netzwerk aufgebaut wird und ein Datum oder Daten über eine zwischen den genannten Netzwerken ange ordneten Ressourcenzuteilungseinheit geleitet werden, wobei a) for at least one data transmission between the at least one first network and the at least one second network, at least one connection is established between the first network and the second network and a data item or data is routed via a resource allocation unit arranged between the said networks, in which
b) die Ressourcenzuteilungseinheit für den Aufbau der zumin dest einen Verbindung zumindest eine mit dem zweiten Netzwerk koppelbare Netzzugangsressource, beispielsweise ein Netzwerk- karte/-adapter für WLAN und/oder Ethernet, physikalischen Schnittstellen/Steckplätze, serielle Schnittstelle, CPU etc., und eine der Netzzugangsressource vorgeordnete Einwegkommuni- kationseinheit zur Vorgabe einer rückwirkungsfreien Daten übertragungsrichtung ausschließlich zuteilt. b) the resource allocation unit for establishing the at least one connection, at least one network access resource that can be coupled to the second network, for example a network card / adapter for WLAN and / or Ethernet, physical interfaces / slots, serial interface, CPU etc., and one the one-way communication unit upstream of the network access resource for specifying a non-reactive data transmission direction is exclusively allocated.
Die Einwegkommunikationseinheit kann beispielsweise mittels einer optischen Datendiode oder alternativ durch einen passi ven Netzwerktap einer DCU (z.B. Data Capture Unit, The one-way communication unit can be used, for example, by means of an optical data diode or alternatively by means of a passive network tap of a DCU (e.g. data capture unit,
www.siemens.com/dcu) ausgestaltet sein. www.siemens.com/dcu).
Mit anderen Worten ausgedrückt, kann eine oder mehrere Ver bindungien) von einem ersten Netzwerk von möglichen mehrerer ersten Netzwerken in ein oder mehrere zweite Netzwerke aufge baut werden (d.h. eine 1 zu m Beziehung) . Außerdem kann es eine oder mehrere Verbindung ( en) von einem zweiten Netzwerk von möglichen mehreren zweiten Netzwerken in ein oder mehrere erste Netzwerke aufgebaut werden (d.h. eine n zu 1 Bezie hung) . Theoretisch sind n erste und m zweite Netzwerke denk bar, die über die aufgebauten Verbindungen in eine n zu m Be ziehung treten können. Bei einem Einsatz einer DCU sind vier Ports für den Einsatz von Verbindungen zwischen Netzwerken vorgesehen. Vorzugsweise weisen die 1 bis n möglichen ersten Netzwerke eine zu erfüllende Sicherheitsanforderung auf, wo bei die 1 bis m möglichen zweiten Netzwerke eine zu den ers ten Netzwerken unterschiedliche zu erfüllende Sicherheitsan forderung aufweisen. In der Regel weisen die ersten Netzwerke eine höhere Sicherheitsanforderung auf als die zweiten Netz werke. Verbindung zwischen zwei Netzwerken mit gleicher Si cherheitsanforderung sind auch denkbar. Dadurch, dass die zu mindest eine Verbindung über eine Einwegkommunikationseinheit z.B. ein Netzwerktap, das als Datendiode ausgestaltet sein kann, aufgebaut wird, wird die Datenübertragungsrichtung vor gegeben. D.h. die Datenübertragung kann je nach Anordnung und Zuteilung der Einwegkommunikationseinheit durch die Ressour cenzuteilungseinheit, entweder von ersten zum zweiten Netz werk oder vom zweiten zum ersten Netzwerk unidirektional und somit rückwirkungsfrei gerichtet sein. Das Netzwerktap kann in die oben erwähnte DCU integriert sein. In other words, one or more connections can be built up from a first network of a possible number of first networks into one or more second networks (ie a 1 to m relationship). In addition, one or more connection (s) can be set up from a second network of a possible number of second networks in one or more first networks (ie an n to 1 relationship). Theoretically, n first and m second networks are conceivable, which can enter into an n to m relationship via the connections established. When using a DCU, four ports are provided for the use of connections between networks. The 1 to n possible first networks preferably have a security requirement to be met, whereas the 1 to m possible second networks have a security requirement to be met that is different from the first networks. As a rule, the first networks have higher security requirements than the second networks. Connections between two networks with the same security requirements are also conceivable. The fact that the at least one connection is established via a one-way communication unit, for example a network tap that can be designed as a data diode, means that the data transmission direction is given. That is, the data transmission can depending on the arrangement and Allocation of the one-way communication unit by the resource allocation unit, either from the first to the second network or from the second to the first network, can be directed unidirectionally and thus without any reaction. The network tap can be integrated into the DCU mentioned above.
Das Verfahren ist vorzugsweise computerimplementiert. Unter „computerimplementiert" kann im Zusammenhang mit der Erfin dung eine Implementierung des Verfahrens verstanden werden, bei dem insbesondere ein Prozessor mindestens einen Verfah rensschritt ausführt. The method is preferably computer implemented. In connection with the invention, “computer-implemented” can be understood to mean an implementation of the method in which, in particular, a processor executes at least one method step.
Eine Weiterbildung der Erfindung sieht vor, dass das mindes tens eine erste Netzwerk eine erste Sicherheitsanforderung erfüllt und das wenigstens eine zweite Netzwerk eine im Ver gleich zur ersten Sicherheitsanforderung andere zweite Si cherheitsanforderung erfüllt. A further development of the invention provides that the at least one first network fulfills a first security requirement and the at least one second network fulfills a second security requirement that is different from the first security requirement.
Eine Weiterbildung der Erfindung sieht vor, dass eine virtu elle Maschine für die Datenübertragung zwischen den genannten Netzwerken bereitgestellt wird, welche aus den in der Einweg kommunikationseinheit empfangenen Daten Nutzdaten rekonstru iert, wobei die Nutzdaten weitergeleitet werden. A further development of the invention provides that a virtual machine is provided for the data transmission between the networks mentioned, which machine reconstructs user data from the data received in the one-way communication unit, the user data being forwarded.
Eine Virtuelle Maschine, abgekürzt VM, bedeutet eine soft ware-technische Kapselung eines Rechnersystems innerhalb ei nes lauffähigen Rechnersystems. Die abstrahierende Schicht zwischen einem realem oder Host- (Gastgeber-) Rechnersystem, auf dem die virtuelle Maschine ausgeführt wird, und der vir tuellen Maschine wird Hypervisor oder Virtual Machine Monitor genannt. Ihre Implementierung erfolgt rein hardwarebasiert, rein softwarebasiert oder durch eine Kombination aus beidem. Der Hypervisor erlaubt in der Regel den Betrieb mehrerer vir tueller Maschinen gleichzeitig auf einem physischen Rechner system. A virtual machine, abbreviated VM, means a software-technical encapsulation of a computer system within an executable computer system. The abstracting layer between a real or host (host) computer system on which the virtual machine is running and the virtual machine is called a hypervisor or virtual machine monitor. Their implementation is purely hardware-based, purely software-based, or a combination of both. The hypervisor generally allows several virtual machines to be operated simultaneously on one physical computer system.
Eine Weiterbildung der Erfindung sieht vor, dass eine Vali dierungseinheit (VE) bereitgestellt wird, welche der virtuel- len Maschine nachgeordnet wird/ist, wobei die Nutzdaten an hand einer vorgegebenen Regel beispielsweise auf Integrität, Authentizität, Signatur, etc. in der Validierungseinheit va lidiert und bei positiver Validierung weitergeleitet werden. A further development of the invention provides that a validation unit (VE) is provided, which the virtual len machine is / is downstream, the user data being validated on the basis of a predetermined rule, for example for integrity, authenticity, signature, etc. in the validation unit and forwarded if the validation is positive.
Eine Weiterbildung der Erfindung sieht vor, dass eine Daten schleuse bereitgestellt wird, welche der Validierungseinheit nachgeordnet wird/ist, wobei die Datenschleuse bei negativer Validierung die Weiterleitung der Nutzdaten unterbindet und gegebenenfalls die Nutzdaten zwischenspeichert. A further development of the invention provides that a data lock is provided, which is / is arranged downstream of the validation unit, the data lock preventing the forwarding of the useful data in the event of a negative validation and, if necessary, temporarily storing the useful data.
Eine Weiterbildung der Erfindung sieht vor, dass die Daten schleuse wahlweise entweder eine Nutzdatenübertragung von der virtuellen Maschine zu ihr oder eine Nutzdatenübertragung von ihr zur zuteilten Netzwerkzugangsressource zulässt. A further development of the invention provides that the data sluice allows either a user data transfer from the virtual machine to it or a user data transfer from it to the allocated network access resource.
Ein weiterer Aspekt der Erfindung ist eine Übertragungsvor richtung zur Datenübertragung zwischen mindestens einem ers ten Netzwerk und wenigstens einem zweiten Netzwerk, aufwei send : A further aspect of the invention is a transmission device for data transmission between at least one first network and at least one second network, comprising:
a) mindestens eine Kommunikationseinheit, die dazu ausgelegt ist, für zumindest eine Datenübertragung zwischen dem mindes tens einem ersten Netzwerk und dem wenigstens einem zweiten Netzwerk zumindest eine Verbindung zwischen dem ersten Netz werk und dem zweiten Netzwerk aufgebaut wird und ein Datum oder Daten über eine zwischen den genannten Netzwerken ange ordneten Ressourcenzuteilungseinheit geleitet werden, und aufweisend a) at least one communication unit which is designed to set up at least one connection between the first network and the second network for at least one data transmission between the at least one first network and the at least one second network and a date or data via a between the said networks are directed to the resource allocation unit, and having
b) die Ressourcenzuteilungseinheit für den Aufbau der zumin dest einen Verbindung, welche dazu ausgelegt ist, zumindest eine mit dem zweiten Netzwerk koppelbare Netzzugangsressource und eine der Netzzugangsressource vorgeordnete Einwegkommuni- kationseinheit zur Vorgabe einer rückwirkungsfreien Daten übertragungsrichtung ausschließlich zuzuteilen. b) the resource allocation unit for establishing the at least one connection, which is designed to exclusively allocate at least one network access resource that can be coupled to the second network and a one-way communication unit upstream of the network access resource for specifying a reaction-free data transmission direction.
Eine Weiterbildung der Erfindung sieht vor, dass die Netzzu gangsressource zur seriellen Datenübertragung ausgelegt ist. Eine Eigenschaft des Verfahrens und der Übertragungsvorrich tung ist die exklusive bzw. ausschließliche Zuweisung von Netzzugangsressourcen durch die Ressourcenzuteilungseinheit an eine virtuelle Maschine. So sind die Netzzugangsressourcen - welche bidirektionale Kommunikation erlauben - exklusiv der jeweilen virtuellen Maschine zugewiesen. Auch für den Fall, dass es einem Angreifer gelingt, aus dem zweiten Netzwerk heraus die virtuelle Maschine (abgekürzt: VM) zu kontrollie ren, kann er damit nicht direkt auf Ressourcen aus dem ersten Netzwerk zugreifen, da keine eingehende (weder unidirektiona- le noch bidirektionale) Verbindung in das erste Netzwerk ge geben ist. Ein Angreifer ist in diesem Fall in der virtuellen Maschine „gefangen". A further development of the invention provides that the network access resource is designed for serial data transmission. One property of the method and the transmission device is the exclusive or exclusive allocation of network access resources by the resource allocation unit to a virtual machine. The network access resources - which allow bidirectional communication - are assigned exclusively to the respective virtual machine. Even in the event that an attacker succeeds in controlling the virtual machine (abbreviated: VM) from the second network, he cannot access resources directly from the first network, as there are no incoming resources (neither unidirectional nor bidirectional) connection to the first network. In this case, an attacker is "trapped" in the virtual machine.
Die Erfindung ermöglicht insgesamt eine wenig aufwendige Rea lisierung eines bidirektionalen Gateways durch eine Kombina tion von Einwegkommunikationseinheiten für rückwirkungsfreie unidirektionale Übertragungs- bzw. Transferstrecken bzw. - Verbindungen und Virtualisierung für eine sichere und effizi ente technische Umsetzung von Steuerfunktionen auf nur einer Hardwareplattform. The invention enables a total of a little elaborate realization of a bidirectional gateway through a combination of one-way communication units for unidirectional unidirectional transmission or transfer links or - connections and virtualization for a safe and efficient technical implementation of control functions on just one hardware platform.
Es kann die Data Capture Unit (DCU) als Hardwareplattform eingesetzt werden, wobei jeder VM-Instanz neben einer Netz- werkzugangssressource auch Ressourcen wie dedizierte CPU Ker ne exklusiv zugewiesen werden können. The Data Capture Unit (DCU) can be used as a hardware platform, whereby, in addition to a network access resource, resources such as a dedicated CPU core can also be exclusively assigned to each VM instance.
In Summe zeichnen sich die gezeigten Ausführungsvarianten aus durch : Overall, the design variants shown are characterized by:
Sichere Netzwerkanbindung durch eingehende und ausgehen de Transferstrecken bzw. Verbindungen, wobei zumindest Teilstrecken von diesen jeweils über unidirektionale Kopplung mittels Einwegkommunikationseinheit realisiert sind . Secure network connection through incoming and outgoing transfer links or connections, at least partial links of these being implemented via unidirectional coupling using a one-way communication unit.
Effiziente technische Realisierungsmöglichkeiten durch Verwendung von Taps anstelle klassischer Dioden und Ein satz von Virtualisierung zur Realisierung von Routing-, Zuteilungs- und ggf. Prüffunktionen . Eine Einheit bzw. Komponente, insbesondere eine Kommunikati onseinheit bzw. Netzwerkkomponente, kann als eine Hardware- Komponente ausgebildet sein. Eine Komponente kann einen Pro zessor umfassen. Efficient technical implementation options through the use of taps instead of classic diodes and the use of virtualization to implement routing, allocation and, if necessary, test functions. A unit or component, in particular a communication unit or network component, can be designed as a hardware component. A component can include a processor.
Bei einem Prozessor kann es sich insbesondere um einen Haupt prozessor (engl. Central Processing Unit, CPU), einen Mikro prozessor oder einen Mikrokontroller, beispielsweise eine an wendungsspezifische integrierte Schaltung oder einen digita len Signalprozessor, möglicherweise in Kombination mit einer Speichereinheit zum Speichern von Programmbefehlen, etc. han deln. Bei einem Prozessor kann es sich beispielsweise auch um einen IC (integrierter Schaltkreis, engl. Integrated Circuit) oder um ein Multi-Chip-Modul handeln, insbesondere einen FPGA (engl. Field Programmable Gate Array) oder einen ASIC (anwen dungsspezifische integrierte Schaltung, engl. Application- Specific Integrated Circuit) , ein SoC (System on Chip) einen Grafikprozessor GPU (Graphics Processing Unit) , einen Prozes sor zur Auswertung eines neuronalen Netzes wie beispielsweise eine TPU (Tensor Processing Unit) oder einen DSP (Digitaler Signalprozessor, engl. Digital Signal Processor) handeln. Der Prozessor kann eine oder mehrere Rechenkerne (multi-core) aufweisen. Auch kann unter einem Prozessor ein virtualisier- ter Prozessor oder eine Soft-CPU verstanden werden. Es kann sich beispielsweise auch um einen programmierbaren Prozessor handeln, der mit Konfigurationsschritten zur Ausführung des genannten erfindungsgemäßen Verfahrens ausgerüstet wird oder mit Konfigurationsschritten derart konfiguriert ist, dass der programmierbare Prozessor die erfindungsgemäßen Merkmale des Verfahrens oder anderer Aspekte und Teilaspekte der Erfindung implementiert. Der Prozessor kann einen Tamper-Schutz zum Schutz vor physikalischen Manipulationen aufweisen, z.B. Tam- per-Sensoren zur Detektion physikalischer Angriffe. A processor can in particular be a main processor (Central Processing Unit, CPU), a microprocessor or a microcontroller, for example an application-specific integrated circuit or a digital signal processor, possibly in combination with a memory unit for storing program instructions , etc. act. A processor can, for example, also be an IC (integrated circuit) or a multi-chip module, in particular an FPGA (field programmable gate array) or an ASIC (application-specific integrated circuit). English Application-Specific Integrated Circuit), a SoC (System on Chip), a graphics processor GPU (Graphics Processing Unit), a processor for evaluating a neural network such as a TPU (Tensor Processing Unit) or a DSP (Digital Signal Processor) . Digital Signal Processor) act. The processor can have one or more computing cores (multi-core). A processor can also be understood to be a virtualized processor or a soft CPU. For example, it can also be a programmable processor that is equipped with configuration steps for executing the method according to the invention or is configured with configuration steps such that the programmable processor implements the features of the method according to the invention or other aspects and partial aspects of the invention. The processor can have a tamper protection to protect against physical manipulation, e.g. Tamper sensors for the detection of physical attacks.
Des Weiteren betrifft die Erfindung ein Computerprogrammpro dukt, das direkt in einen programmierbaren Computer ladbar ist, umfassend Programmcodeteile, die dazu geeignet sind, die Schritte eines erfindungsgemäßen computerimplementierten Ver fahrens durchzuführen. The invention further relates to a computer program product that can be loaded directly into a programmable computer, comprising program code parts that are suitable for the Carry out steps of a computer-implemented method according to the invention.
Ein Computerprogrammprodukt, wie zum Beispiel ein Computer programm-Mittel, kann beispielsweise als Speichermedium oder Datenträger, wie zum Beispiel als Speicherkarte, USB-Stick, CD-ROM, DVD oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder gelie fert werden. A computer program product, such as a computer program means, for example, can be provided or delivered as a storage medium or data carrier such as a memory card, USB stick, CD-ROM, DVD or also in the form of a downloadable file from a server in a network be produced.
Die Vorrichtungen, Einrichtungen, Einheiten bzw. Geräte, Mo- dule und Computerprogramm (produkte ) können entsprechend der Weiterbildungen/Ausführungsformen des vorgenannten Verfahrens und deren Weiterbildungen/Ausführungsformen und umgekehrt ausgebildet sein. The devices, devices, units or devices, modules and computer program (products) can be designed according to the developments / embodiments of the aforementioned method and their further developments / embodiments and vice versa.
Ausführungsbeispiele des erfindungsgemäßen Verfahrens und der Übertragungsvorrichtung sind in den Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Beschreibung näher erläutert. Es zeigen: Embodiments of the method according to the invention and the transmission device are shown by way of example in the drawings and are explained in more detail with reference to the following description. Show it:
Fig. 1 eine schematische Darstellung einer erfindungsgemäßen Fig. 1 is a schematic representation of an inventive
Übertragungsvorrichtung, die zur Datenübertragung zwischen zwei oder mehreren Netzwerken geeignet ist. Transmission device that is suitable for data transmission between two or more networks.
Fig. 2 eine schematische Darstellung einer weiteren Ausfüh rungsform der erfindungsgemäßen Übertragungsvorrich tung; Fig. 2 is a schematic representation of a further Ausfüh approximate form of the transmission device according to the invention;
Figur 1 zeigt eine Ausführungsform der erfindungsgemäßen Übertragungsvorrichtung, die zur Datenübertragung zwischen zwei oder mehreren Netzwerken geeignet ist. FIG. 1 shows an embodiment of the transmission device according to the invention which is suitable for data transmission between two or more networks.
Über eine erste mit einer gestrichelten Linie gekennzeichne ten Übertragungs- bzw. Transferstrecke bzw. -Verbindung kön nen ein Datum oder mehrere Daten aus einem ersten z.B. NW1 von möglichen mehreren ersten Netzwerken NW1, NW2 bis NWn, das vorzugsweise einer hohe Sicherheitsanforderung nachkommt z.B. ein Anlagennetz (z.B. mit Anlagenkomponenten C) in ein zweites Netzwerk z.B. NWB von möglichen mehreren zweiten Netzwerken NWA, NWB bis NWZ, das vorzugsweise eine gegenüber dem ersten Netzwerk niedrigere Sicherheitsanforderung erfüllt z.B. ein offenes Netzwerk (Monitoringnetzwerk mit einer Moni toringeinheit z.B. M) , übertragen werden. Umgekehrt erfolgt ein Datentransfer von einem Datum oder von mehreren Daten aus einem der möglichen zweiten Netzwerke z.B. NWB in eines der möglichen ersten Netzwerke z.B. NW1 über eine zweite mit ei ner durchgezogenen Linie gekennzeichneten Übertragungsstre cke . Via a first transmission or transfer path or connection marked with a dashed line, a data item or several data from a first, for example, NW1 of possible several first networks NW1, NW2 to NWn, which preferably meets a high security requirement, can be entered e.g. a system network (e.g. with system components C) in a second network e.g. NWB of possible several second networks NWA, NWB to NWZ, which preferably meets a lower security requirement than the first network, e.g. an open network (monitoring network with a monitoring unit e.g. M), be transmitted. Conversely, a data transfer takes place from one piece of data or from several data from one of the possible second networks, for example NWB, into one of the possible first networks, for example NW1, via a second transmission path marked with a solid line.
Es sind jeweils mehrere solche Übertragungsstrecken denkbar. Eine Übertragungsstrecke wird im Beispiel von einem Proxy z.B. Psec des ersten Netzwerkes über eine Netzzugangsres source NW_IF z.B. eine Netzwerkkarte für Ethernet und/oder WLAN oder eine serielle Schnittstelle und über ein Netz- werktap einer Übertragungsvorrichtung NG, auch als Network Guard bezeichnet, zu einer Ressourcenzuteilungseinheit H, auch Hypervisor genannt, geführt. Von der Ressourcenzutei lungseinheit wird die Übertragungsstrecke weiter über eine Netzzugangsressource NW_IF zu einem Proxy z.B. Pop des zwei ten Netzwerkes geführt. Umgekehrt kann eine Übertragungsstre cke vom Proxy Pop über die genannten Einheiten bzw. Komponen ten zu Proxy Psec geführt werden. Hierbei werden das Datum bzw. die Daten unidirektional über die Übertragungsstrecken bzw. -pfade geleitet. Several such transmission links are conceivable in each case. In the example, a transmission link is used by a proxy, e.g. Psec of the first network via a network access resource NW_IF e.g. a network card for Ethernet and / or WLAN or a serial interface and via a network tap of a transmission device NG, also referred to as Network Guard, to a resource allocation unit H, also referred to as a hypervisor. From the resource allocation unit, the transmission path is further forwarded via a network access resource NW_IF to a proxy e.g. Pop of the second network led. Conversely, a transmission path from the proxy Pop can be routed to the proxy Psec via the units or components mentioned. Here, the date or the data are passed unidirectionally over the transmission links or paths.
Der Network Guard realisiert und kontrolliert die unidirekti- onalen Übertragungspfade zwischen einem ersten und einem zweiten Netzwerk. Dabei umfasst der Network Guard folgende Einheiten/Komponenten, die hardware-, firmware- und/oder softwaremäßig ausgestaltet sein können: a. Netzwerktap NWTap The Network Guard implements and controls the unidirectional transmission paths between a first and a second network. The Network Guard comprises the following units / components, which can be designed in terms of hardware, firmware and / or software: a. Network tap NWTap
(mind.) zwei rückwirkungsfreie Netzwerktaps, die eine Kommunikation bzw. Datenübertragung auf ange- schlossenen Datenverbindungen nur lesen aber nicht schreiben/ändern können. (at least) two non-reactive network taps that enable communication or data transmission to closed data connections can only read but not write / change.
b. Netzwerkzugangseinheit NW_IF bzw. -Interface, wobei das ersten Netzwerk-Interface (bidirektional) mit dem Proxy Psec aus dem ersten Netzwerk verbunden ist . b. Network access unit NW_IF or -Interface, the first network interface (bidirectional) being connected to the proxy Psec from the first network.
c. Eine weitere Netzwerkzugangseinheit NW_IF, wobei das zweite Netzwerk-Interface (bidirektional) mit dem Proxy Pop aus dem zweiten Netzwerk verbunden ist . c. Another network access unit NW_IF, the second network interface (bidirectional) being connected to the proxy Pop from the second network.
d. Eine Virtual Maschine VM d. A virtual machine VM
eine erste virtuelle Maschine, über welche ein ein gehender oder ausgehender Datentransfer je nach Da tenübertragungsrichtung (unidirektional ) geregelt wird. Die virtuelle Maschine VM kann aus den aufge zeichneten Rohdaten - wie unter Proxy Psec bzw. Pop nachstehend beschrieben - die eigentlichen Nutzda ten rekonstruieren. Im vorliegenden Beispiel wird in diesem Schritt eine transferierte Datei rekon struiert. Eingehende Netzwerkpakete des Protokolls werden erkannt und weiterverarbeitet. Eine vorteil hafte erfindungsgemäße Ausprägung sieht vor, dass Pakete, die nicht dem Protokoll entsprechen, er kannt werden (diese können Hinweise auf mögliche Angriffe geben, auf die entsprechend reagiert wer den muss - etwa über Alarme und nachfolgende Aktio nen im Rahmen eines Intrusion Detection und/oder Prevention Verfahrens) a first virtual machine, via which an incoming or outgoing data transfer is controlled depending on the data transfer direction (unidirectional). The virtual machine VM can reconstruct the actual user data from the recorded raw data - as described below under Proxy Psec or Pop. In this example, a transferred file is reconstructed in this step. Incoming network packets of the protocol are recognized and processed further. An advantageous embodiment according to the invention provides that packets that do not comply with the protocol are recognized (these can provide information on possible attacks to which one must react accordingly - for example via alarms and subsequent actions as part of intrusion detection and / or prevention procedure)
e. Hypervisor H e. Hypervisor H
ein Hypervisor, welcher die Ressourcenverwaltung auf dem Network Guard regelt. Wie nachstehend be schrieben, werden Netzwerk-Interfaces und ggf. auch CPU (-Kerne) an die virtuellen Maschinen durch den Hypervisor exklusive bzw. ausschließlich zugeteilt. a hypervisor, which regulates the resource management on the Network Guard. As described below, network interfaces and possibly also CPU (cores) are exclusively or exclusively assigned to the virtual machines by the hypervisor.
Der Proxy Psec ist eine Systemkomponente, welche ausgehende Datentransfers aus dem ersten Netzwerk initiiert und einge hende Datentransfers empfängt und weiterverarbeitet bzw. wei- terleitet. Die Komponente verfügt in der Regel über einen de- dizierten Netzwerkport, welcher exklusiv mit dem Network Gu- ard, wie in den Figuren gezeigt, verbunden ist. The proxy Psec is a system component which initiates outgoing data transfers from the first network and receives incoming data transfers and processes or further derives. The component usually has a dedicated network port which is exclusively connected to the network guard, as shown in the figures.
Nachdem der Netzwerktap nicht als Kommunikationspartner auf- treten kann (da rein passiv und rückwirkungsfrei), ist die Transferstrecke zwischen Proxy Psec und Netzwerktap strikt unidirektional ausgelegt, das über eine Hardwareeigenschaft sichergestellt werden kann. Alternativ zum Netzwerktap kann auch eine optische Datendiode eingesetzt werden, um Datum/ Daten rein unidirektional zu übertragen. Für die Datenüber tragung kann ein unidirektionales Protokoll wie z.B. UDP oder das in der eingangs erwähnten Patentanmeldung EP 19163812 be schriebene Protokoll verwendet werden. Die Kommunikation des Proxy Psec wird über den Netwerktap mitgelesen ( intercepted) und rückwirkungsfrei aufgezeichnet . Diese „Rohdaten" werden anschließend an die virtuelle Maschine VM weitergegeben. Since the network tap cannot act as a communication partner (as it is purely passive and free of reaction), the transfer path between proxy Psec and network tap is designed to be strictly unidirectional, which can be ensured via a hardware property. As an alternative to the network tap, an optical data diode can also be used to transmit the date / data in a purely unidirectional manner. A unidirectional protocol such as UDP or the protocol described in the patent application EP 19163812 mentioned above can be used. The communication of the proxy Psec is read via the network tap (intercepted) and recorded without any reaction. These "raw data" are then passed on to the virtual machine VM.
Durch das Funktionsprinzip des Netzwerktaps ist diese Teils trecke strikt unidirektional und rückwirkungsfrei realisiert. Die eigentlichen Nutzdaten werden demzufolge in ein Network Guard Protokoll eingebettet. So kann hierüber z.B. ein Da teitransfer erfolgen. Due to the functional principle of the network tap, this section of the route is strictly unidirectional and non-reactive. The actual user data is therefore embedded in a Network Guard protocol. E.g. a file transfer take place.
Der Proxy Pop ist Systemkomponente, welche analog wie der Proxy Psec für eingehende Datentransfers agieren kann und demnach Datentransfer in das zweite Netzwerk initiiert und ausgehende Datentransfers empfängt und weiterverarbeitet bzw. weiterleitet. Die Komponente ist analog zum Proxy Psec aufge setzt, d.h. verfügt über eine entsprechende dedizierte Anbin dung an den Network Guard. Der Proxy Pop kann die übertrage nen Daten von der virtuellen Maschine VM abfragen. Dies kann push- oder auch pull-basiert erfolgen. Diese Teilstrecke ist in der Regel bidirektional realisiert. The proxy Pop is a system component that can act in the same way as the proxy Psec for incoming data transfers and accordingly initiates data transfer into the second network and receives and further processes or forwards outgoing data transfers. The component is set up in the same way as the proxy Psec, i.e. has a corresponding dedicated connection to the Network Guard. The Proxy Pop can request the transferred data from the virtual machine VM. This can be done push-based or pull-based. This section is usually implemented bidirectionally.
Die wesentlichen Schutzziele für industrielle Anlagen, im Beispiel eines der ersten Netzwerke, sind in der Regel die Verfügbarkeit und die Integrität der Anlage (korrektes, defi niertes Systemverhalten) . Im Falle einer Anbindung an ein of fenes Netzwerk, im Beispiel eines der zweiten Netzwerke, bie tet eine strikt unidirektional realisierte ausgehende Verbin dung ein hohes Maß an Sicherheit, welches mit dem Niveau ei- ner physikalischen Netztrennung vergleichbar ist. Ein unidi- rektionaler ausgehender Datentransfer (in der Figur 1 die ge strichelte Verbindung) kann für sich alleine damit meist dau erhaft aufrechterhalten werden. The main protection goals for industrial plants, in the example one of the first networks, are usually the availability and the integrity of the plant (correct, defined system behavior). In the case of a connection to an open network, in the example of one of the second networks, a strictly unidirectional outgoing connection offers a high degree of security, which corresponds to the level of ner physical network separation is comparable. A unidirectional outgoing data transfer (the dashed connection in FIG. 1) can therefore usually be maintained permanently on its own.
Die genannten Schutzziele sind insbesondere durch die einge hende Verbindung (in der Figur 1 die durchgezogene Transfer strecke) einem Risiko ausgesetzt. Wie im Falle von Applicati on Level Firewalls, gilt es auch hier, eingehende Transfers genauer zu überwachen, d.h. nur eingeschränkt (z.B. in Bezug auf Datentypen und -inhalte von Transfers und zeitliche Ver fügbarkeit) zu ermöglichen. The protection goals mentioned are exposed to a risk, in particular due to the incoming connection (in FIG. 1 the continuous transfer route). As in the case of application level firewalls, it is also important here to monitor incoming transfers more precisely, i.e. only to a limited extent (e.g. with regard to data types and content of transfers and time availability).
Es findet eine Datenübertragung zwischen mindestens einem ersten Netzwerk NW1 bzw. NW2 und wenigstens einem zweiten Netzwerk NWA bzw. NWB statt, wobei Data is transmitted between at least one first network NW1 or NW2 and at least one second network NWA or NWB, with
a) für zumindest eine Datenübertragung zwischen dem mindes tens einem ersten Netzwerk und dem wenigstens einem zweiten Netzwerk zumindest eine Verbindung zwischen dem ersten Netz werk und dem zweiten Netzwerk aufgebaut wird (siehe vor allem die gestrichelte Transferstrecke) und ein Datum oder Daten über eine zwischen den genannten Netzwerken angeordneten Res sourcenzuteilungseinheit H geleitet werden, a) at least one connection between the first network and the second network is established for at least one data transmission between the at least one first network and the at least one second network (see above all the dashed transfer path) and a date or data via a between the named networks arranged Res sourcenzuteilungseinheit H are directed,
wobei in which
b) die Ressourcenzuteilungseinheit H für den Aufbau der zu mindest einen Verbindung zumindest eine mit dem zweiten Netz werk koppelbare Netzzugangsressource NWA_IF zur Vorgabe einer rückwirkungsfreien Datenübertragungsrichtung ausschließlich zuteilt . b) the resource allocation unit H exclusively allocates at least one network access resource NWA_IF, which can be coupled to the second network, for setting up the at least one connection to specify a non-reactive data transmission direction.
Figur 2 zeigt eine Ausführungsvariante, die diese Anforderun gen aufgreift und eingehende Verbindungen zusätzlich kontrol liert. Hierzu wird der Systemaufbau aus Figur 1 um folgende Einheiten bzw. Komponenten erweitert: FIG. 2 shows an embodiment variant which takes up these requirements and additionally controls incoming connections. For this purpose, the system structure from Figure 1 is expanded by the following units or components:
Validierungseinheit VE: diese übernimmt die Aufgaben der Filterung eingehender Datentransfers. Datentransfers, welche über die Virtual Machine VM eingehen, werden an die Validierungseinheit VE über host-interne Kommunika tion übergeben und von dieser anhand einer vorgebebenen Regel analysiert. Nur die Datentransfers, die die Regel erfüllen, werden akzeptiert und können in Richtung Proxy Secure später weitergegeben werden. Beispiele für solch eine Regel für die Überprüfung bzw. Validierung sind: o Signaturvalidierung für Firmware- und Software Validation unit VE: this takes over the tasks of filtering incoming data transfers. Data transfers that come in via the virtual machine VM are sent to the validation unit VE transferred via host-internal communication and analyzed by this using a predetermined rule. Only the data transfers that meet the rule are accepted and can later be forwarded towards Proxy Secure. Examples of such a rule for checking or validation are: o Signature validation for firmware and software
updates updates
o Virus-Scans o Virus scans
o Nachrichtenprüfung: ähnlich zu „Deep-Packet- o Message checking: similar to "deep packet
Inspection"-Ansätzen von Application Level Fire walls werden regelbasiert nur selektive Re quests/Commands durchgelassen, Inspection "approaches of application level fire walls are rule-based only allowed selective requests / commands,
o Integrität o integrity
o Authentizität o authenticity
Datenschleuse Gl/M: Data lock Gl / M:
Diese übernimmt die Funktionalität eines Schleusenrech ners. Diese kontrolliert die Verbindung zur Validie rungseinheit VE und hat damit die Steuerung über den Aufbau oder die Unterbrechung der gesamten eingehenden Transferstrecke (vom zweiten zum ersten Netzwerk) inne . D.h. der Proxy Psec steuert zusammen mit der Daten schleuse Gl/M, ob die Verbindung geschaltet oder unter brochen ist. Damit lassen sich Wartungszugänge kontrol liert aus dem ersten Netzwerk heraus temporär freischal ten . This takes over the functionality of a lock computer. This controls the connection to the validation unit VE and thus has control over the establishment or interruption of the entire incoming transfer path (from the second to the first network). I.e. the proxy Psec, together with the data lock Gl / M, controls whether the connection is switched or interrupted. This allows maintenance access to be temporarily activated in a controlled manner from the first network.
Figur 2 zeigt eine weitere Ausführungsform der Erfindung. Ei ne Anbindung des Proxy Pop erfolgt über eine serielle Figure 2 shows a further embodiment of the invention. The Proxy Pop is connected via a serial connection
Schnittstelle S als Ausführungsform einer Netzwerkzugangsres source NW_IF. Hierdurch wird es Angreifern erschwert, Angrif fe auf den Network Guard (oder etwa den Hypervisor) über Standard-Netzwerkschnittstellen durchzuführen. Die Anbindung des Proxy Pop wird über eine Netzzugangsressource NW_IF in der Regel beibehalten. Diese Variante bietet den Vorteil, dass ausgehende Transfers mit einer höheren Transferrate durchgeführt werden können (da eine serielle Schnittelle niedrigere Transferraten im Vergleich zu Ethernet- Schnittstellen bietet) . Dies ist insbesondere dann vorteil haft, wenn eine konkrete Umsetzung einen höheren Datentrans fer aus dem ersten Netzwerk in das zweite Netzwerk erfordert und weniger und/oder seltener Daten aus dem zweiten Netzwerk in das erste Netzwerk transferiert werden müssen. Interface S as an embodiment of a network access resource NW_IF. This makes it more difficult for attackers to carry out attacks on the Network Guard (or the hypervisor, for example) via standard network interfaces. The connection of the Proxy Pop is usually maintained via a network access resource NW_IF. This variant offers the advantage that outgoing transfers can be carried out at a higher transfer rate (since a serial interface has lower transfer rates compared to Ethernet Interfaces). This is particularly advantageous if a specific implementation requires a higher amount of data transfer from the first network to the second network and less and / or less data has to be transferred from the second network to the first network.
Obwohl die Erfindung im Detail durch das bevorzugte Ausfüh rungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele einge schränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen . Although the invention has been illustrated and described in more detail by the preferred exemplary embodiment, the invention is not restricted by the examples disclosed and other variations can be derived therefrom by the person skilled in the art without departing from the scope of the invention.
Die Implementierung der vorstehend beschriebenen Prozesse o- der Verfahrensabläufe kann anhand von Instruktionen erfolgen, die auf computerlesbaren Speichermedien oder in flüchtigen Computerspeichern (im Folgenden zusammenfassend als computer lesbare Speicher bezeichnet) vorliegen. Computerlesbare Spei cher sind beispielsweise flüchtige Speicher wie Caches, Puf fer oder RAM sowie nichtflüchtige Speicher wie Wechseldaten träger, Festplatten, usw. The processes or procedures described above can be implemented using instructions that are available on computer-readable storage media or in volatile computer memories (hereinafter referred to collectively as computer-readable memories). Computer-readable memories are, for example, volatile memories such as caches, buffers or RAM as well as non-volatile memories such as removable data carriers, hard disks, etc.
Die vorstehend beschriebenen Funktionen oder Schritte können dabei in Form zumindest eines Instruktionssatzes in/auf einem computerlesbaren Speicher vorliegen. Die Funktionen oder Schritte sind dabei nicht an einen bestimmten Instruktions satz oder an eine bestimmte Form von Instruktionssätzen oder an ein bestimmtes Speichermedium oder an einen bestimmten Prozessor oder an bestimmte Ausführungsschemata gebunden und können durch Software, Firmware, Microcode, Hardware, Prozes soren, integrierte Schaltungen usw. im Alleinbetrieb oder in beliebiger Kombination ausgeführt werden. Dabei können ver schiedenste Verarbeitungsstrategien zum Einsatz kommen, bei spielsweise serielle Verarbeitung durch einen einzelnen Pro zessor oder Multiprocessing oder Multitasking oder Parallel verarbeitung usw. Die Instruktionen können in lokalen Speichern abgelegt sein, es ist aber auch möglich, die Instruktionen auf einem ent fernten System abzulegen und darauf via Netzwerk zuzugreifen. Die Übertragungsvorrichtung kann ein oder mehrere Prozessoren aufweisen. Der Begriff "Prozessor", "zentrale Signalverarbei tung", "Steuereinheit" oder "Datenauswertemittel " , umfasst Verarbeitungsmittel im weitesten Sinne, also beispielsweise Server, Universalprozessoren, Grafikprozessoren, digitale Signalprozessoren, anwendungsspezifische integrierte Schal tungen (ASICs), programmierbare Logikschaltungen wie FPGAs, diskrete analoge oder digitale Schaltungen und beliebige Kom binationen davon, einschließlich aller anderen dem Fachmann bekannten oder in Zukunft entwickelten Verarbeitungsmittel. Prozessoren können dabei aus einer oder mehreren Vorrichtun gen bzw. Einrichtungen bzw. Einheiten bestehen. Besteht ein Prozessor aus mehreren Vorrichtungen, können diese zur paral lelen oder sequentiellen Verarbeitung bzw. Ausführung von In struktionen ausgelegt bzw. konfiguriert sein. The functions or steps described above can be present in the form of at least one set of instructions in / on a computer-readable memory. The functions or steps are not tied to a specific set of instructions or to a specific form of instruction set or to a specific storage medium or to a specific processor or to specific execution schemes and can be implemented through software, firmware, microcode, hardware, processors, integrated circuits etc. can be run alone or in any combination. A wide variety of processing strategies can be used, for example serial processing by a single processor or multiprocessing or multitasking or parallel processing, etc. The instructions can be stored in local memories, but it is also possible to store the instructions on a remote system and access them via the network. The transmission device can have one or more processors. The term "processor", "central signal processing", "control unit" or "data evaluation means" includes processing means in the broadest sense, for example servers, universal processors, graphics processors, digital signal processors, application-specific integrated circuits (ASICs), programmable logic circuits such as FPGAs, discrete analog or digital circuits and any combinations thereof, including any other processing means known to those skilled in the art or developed in the future. Processors can consist of one or more devices or devices or units. If a processor consists of several devices, these can be designed or configured for parallel or sequential processing or execution of instructions.

Claims

Patentansprüche Claims
1. Verfahren zur Datenübertragung zwischen mindestens einem ersten Netzwerk (NW1; NW2) und wenigstens einem zweiten Netz werk (NWA; NWB) , wobei 1. A method for data transmission between at least one first network (NW1; NW2) and at least one second network (NWA; NWB), wherein
a) für zumindest eine Datenübertragung zwischen dem mindes tens einem ersten Netzwerk (NW1; NW2) und dem wenigstens ei nem zweiten Netzwerk (NWA; NWB) zumindest eine Verbindung zwischen dem ersten Netzwerk (NW1; NW2) und dem zweiten Netz werk (NWA; NWB) aufgebaut wird und ein Datum oder Daten über eine zwischen den genannten Netzwerken angeordneten Ressour cenzuteilungseinheit (H) geleitet werden, a) for at least one data transmission between the at least one first network (NW1; NW2) and the at least one second network (NWA; NWB) at least one connection between the first network (NW1; NW2) and the second network (NWA; NWB) is set up and a date or data are routed via a resource allocation unit (H) arranged between the said networks,
wobei in which
b) die Ressourcenzuteilungseinheit (H) für den Aufbau der zu mindest einen Verbindung zumindest eine mit dem zweiten Netz werk koppelbare Netzzugangsressource (NWA_IF) und eine der Netzzugangsressource vorgeordnete Einwegkommunikationseinheit (NWTap) zur Vorgabe einer rückwirkungsfreien Datenübertra gungsrichtung ausschließlich zuteilt. b) the resource allocation unit (H) exclusively allocates at least one network access resource (NWA_IF) that can be coupled to the second network and a one-way communication unit (NWTap) upstream of the network access resource to specify a reaction-free data transmission direction for establishing the at least one connection.
2. Verfahren nach dem vorhergehenden Anspruch, dadurch ge kennzeichnet, dass das mindestens eine erste Netzwerk eine erste Sicherheitsanforderung erfüllt und das wenigstens eine zweite Netzwerk eine im Vergleich zur ersten Sicherheitsan forderung andere zweite Sicherheitsanforderung erfüllt. 2. The method according to the preceding claim, characterized in that the at least one first network fulfills a first security requirement and the at least one second network fulfills a second security requirement that is different from the first security requirement.
3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine virtuelle Maschine (VM) für die Da tenübertragung zwischen den genannten Netzwerken bereitge stellt wird, welche aus den in der Einwegkommunikationsein heit empfangenen Daten Nutzdaten rekonstruiert, wobei die Nutzdaten weitergeleitet werden. 3. The method according to any one of the preceding claims, characterized in that a virtual machine (VM) for the data transmission between said networks is provided which reconstructs user data from the data received in the one-way communication unit, the user data being forwarded.
4. Verfahren nach dem vorhergehenden Anspruch, dadurch ge kennzeichnet, dass eine Validierungseinheit (VE) bereitge stellt wird, welche der virtuellen Maschine nachgeordnet wird/ist, wobei die Nutzdaten anhand einer vorgegebenen Regel in der Validierungseinheit validiert und bei positiver Vali dierung weitergeleitet werden. 4. The method according to the preceding claim, characterized in that a validation unit (VE) is provided which is / is downstream of the virtual machine, the useful data using a predetermined rule validated in the validation unit and forwarded in the event of positive validation.
5. Verfahren nach dem vorhergehenden Anspruch, dadurch ge kennzeichnet, dass eine Datenschleuse (Gl/M) bereitgestellt wird, welche der Validierungseinheit (VE) nachgeordnet wird oder ist, wobei die Datenschleuse bei negativer Validierung die Weiterleitung der Nutzdaten unterbricht oder unterbindet und gegebenenfalls die Nutzdaten zwischenspeichert. 5. The method according to the preceding claim, characterized in that a data lock (Gl / M) is provided which is or is downstream of the validation unit (VE), wherein the data lock interrupts or prevents the forwarding of the useful data in the event of a negative validation and, if necessary, the Intermediate storage of user data.
6. Verfahren nach dem vorhergehenden Anspruch, dadurch ge kennzeichnet, dass die Datenschleuse eine über die virtuelle Maschine geleitete Nutzdatenübertragung von der virtuellen Maschine zu ihr und/oder eine Nutzdatenübertragung von ihr zur zugeteilten Netzwerkzugangsressource zulässt. 6. The method according to the preceding claim, characterized in that the data lock permits a transmission of useful data routed via the virtual machine from the virtual machine to it and / or a transmission of useful data from it to the assigned network access resource.
7. Übertragungsvorrichtung (NG) zur Datenübertragung zwischen mindestens einem ersten Netzwerk (NW1; NW2) und wenigstens einem zweiten Netzwerk (NWA; NWB) , aufweisend: 7. Transmission device (NG) for data transmission between at least one first network (NW1; NW2) and at least one second network (NWA; NWB), comprising:
a) mindestens eine Kommunikationseinheit (Kästchen links im NWGuard) , die dazu ausgelegt ist, für zumindest eine Daten übertragung zwischen dem mindestens einem ersten Netzwerk (NW1; NW2) und dem wenigstens einem zweiten Netzwerk (NWA; NWB) zumindest eine Verbindung zwischen dem ersten Netzwerk (NW1; NW2) und dem zweiten Netzwerk (NWA; NWB) aufgebaut wird und ein Datum oder Daten über eine zwischen den genannten Netzwerken angeordneten Ressourcenzuteilungseinheit (H) ge leitet werden, und a) at least one communication unit (box on the left in the NWGuard), which is designed for at least one data transmission between the at least one first network (NW1; NW2) and the at least one second network (NWA; NWB) at least one connection between the first Network (NW1; NW2) and the second network (NWA; NWB) is set up and a date or data are routed via a resource allocation unit (H) arranged between said networks, and
b) die Ressourcenzuteilungseinheit (H) für den Aufbau der zu mindest einen Verbindung, welche dazu ausgelegt ist, zumin dest eine mit dem zweiten Netzwerk koppelbare Netzzugangsres source (NWA_IF) und eine der Netzzugangsressource vorgeordne te Einwegkommunikationseinheit zur Vorgabe einer rückwir kungsfreien Datenübertragungsrichtung ausschließlich zuzutei len . b) the resource allocation unit (H) for establishing the at least one connection, which is designed to exclusively allocate at least one network access resource (NWA_IF) that can be coupled to the second network and a one-way communication unit pre-assigned to the network access resource for specifying a feedback-free data transmission direction .
8. Übertragungsvorrichtung nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass das mindestens eine erste Netz- werk eine erste Sicherheitsanforderung erfüllt und das we¬ nigstens eine zweite Netzwerk eine im Vergleich zur ersten Sicherheitsanforderung andere zweite Sicherheitsanforderung erfüllt . 8. Transmission device according to the preceding claim, characterized in that the at least one first network factory satisfies a first security request and we ¬ nigstens a second network satisfies a safety requirement compared to the first other second security requirement.
9. Übertragungsvorrichtung nach einem der vorhergehenden An sprüche, gekennzeichnet durch eine virtuelle Maschine (VM) für die Datenübertragung zwischen den genannten Netzwerken, welche dazu ausgelegt ist, aus den in der Einwegkommunikati¬ onseinheit empfangenen Daten Nutzdaten zu rekonstruieren, wo bei die Nutzdaten weitergeleitet werden können. 9. Transfer device according to one of the preceding claims, characterized by a virtual machine (VM) for data transmission between said networks, which is designed to reconstruct payload data from the data received in the Einwegkommunikati ¬ onseinheit data, where forwarded at the user data can.
10. Übertragungsvorrichtung nach dem vorhergehenden Anspruch, gekennzeichnet durch eine Validierungseinheit (VE) , welche der virtuellen Maschine nachgeordnet ist, wobei die Nutzdaten anhand einer vorgegebenen Regel in der Validierungseinheit validiert und bei positiver Validierung weitergeleitet werden können . 10. Transmission device according to the preceding claim, characterized by a validation unit (VE), which is arranged downstream of the virtual machine, wherein the user data can be validated using a predetermined rule in the validation unit and forwarded in the event of a positive validation.
11. Übertragungsvorrichtung nach dem vorhergehenden Anspruch, gekennzeichnet durch eine Datenschleuse (Gl/M) , welche der Va¬ lidierungseinheit (VE) nachgeordnet ist, wobei die Daten¬ schleuse bei negativer Validierung die Weiterleitung der Nutzdaten unterbrechen oder unterbinden und gegebenenfalls die Nutzdaten Zwischenspeichern kann. 11. Transfer device according to the preceding claim, characterized by a data lock (Gl / M), which is the Va ¬ lidierungseinheit (VE) arranged downstream, wherein the data ¬ lock with negative validation, the forwarding of the user data interrupt or stop and, optionally, the user data caching can .
12. Verfahren nach dem vorhergehenden Anspruch, dadurch ge kennzeichnet, dass die Datenschleuse eine über die virtuelle Maschine geleitete Nutzdatenübertragung und/oder eine Nutzda¬ tenübertragung von ihr zur zuteilten Netzwerkzugangsressource zulässt . 12. Method according to the preceding claim, characterized in that the data lock a routed via the virtual machine user data transmission and / or a Nutzda ¬ tenübertragung by it for zuteilten network access resource permits.
13. Übertragungsvorrichtung nach einem der vorhergehenden An sprüche 7 bis 12, dadurch gekennzeichnet, dass die Netzzu¬ gangsressource zur seriellen Datenübertragung ausgelegt ist. 13. Transmission device according to one of the preceding claims 7 to 12, characterized in that the Netzzu ¬ access resource is designed for serial data transmission.
14. Computerprogrammprodukt, das in einen programmierbaren Computer ladbar ist, umfassend Programmcodeteile, die dazu geeignet sind, die Schritte des Verfahrens nach einem vorher gehenden Verfahrensansprüche durchzuführen. 14. Computer program product which can be loaded into a programmable computer, comprising program code parts which are used for this are suitable to carry out the steps of the method according to a preceding method claims.
EP20735082.8A 2019-06-27 2020-06-16 Method and transmission device for data transmission between two or more networks Pending EP3970341A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102019209342.6A DE102019209342A1 (en) 2019-06-27 2019-06-27 Method and transmission device for data transmission between two or more networks
PCT/EP2020/066620 WO2020260070A1 (en) 2019-06-27 2020-06-16 Method and transmission device for data transmission between two or more networks

Publications (1)

Publication Number Publication Date
EP3970341A1 true EP3970341A1 (en) 2022-03-23

Family

ID=71266605

Family Applications (1)

Application Number Title Priority Date Filing Date
EP20735082.8A Pending EP3970341A1 (en) 2019-06-27 2020-06-16 Method and transmission device for data transmission between two or more networks

Country Status (6)

Country Link
US (1) US11991146B2 (en)
EP (1) EP3970341A1 (en)
CN (1) CN113994634B (en)
AU (1) AU2020307905B2 (en)
DE (1) DE102019209342A1 (en)
WO (1) WO2020260070A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12008147B2 (en) * 2021-10-29 2024-06-11 Mellanox Technologies, Ltd. Co-packaged switch with integrated quantum key distribution capabilities

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4820487B2 (en) * 1998-03-12 2011-11-24 ホェール コミュニケーションズ リミテッド Techniques for protecting data communication networks
US7707300B1 (en) * 2001-04-13 2010-04-27 Cisco Technology, Inc. Methods and apparatus for transmitting information in a network
US8068504B2 (en) * 2009-05-18 2011-11-29 Tresys Technology, Llc One-way router
US8990433B2 (en) * 2009-07-01 2015-03-24 Riverbed Technology, Inc. Defining network traffic processing flows between virtual machines
US9094224B2 (en) * 2012-07-31 2015-07-28 Cisco Technology, Inc. Acknowledged multicast convergence
AU2014205389A1 (en) * 2013-01-11 2015-06-04 Db Networks, Inc. Systems and methods for detecting and mitigating threats to a structured data storage system
CN106209688B (en) * 2016-07-13 2019-01-08 腾讯科技(深圳)有限公司 Cloud data multicast methods, devices and systems
US10798063B2 (en) * 2016-10-21 2020-10-06 Nebbiolo Technologies, Inc. Enterprise grade security for integrating multiple domains with a public cloud
US10841277B2 (en) * 2017-08-14 2020-11-17 Ut-Battelle, Llc One step removed shadow network
WO2019099088A1 (en) * 2017-11-17 2019-05-23 Siemens Aktiengesellschaft Risk analysys for indusrial control system
US10749790B2 (en) * 2019-01-15 2020-08-18 Cisco Technology, Inc. Multicast-based content distribution for IoT networks using bit index explicit replication (BIER)
EP3713188B1 (en) 2019-03-19 2024-06-19 Siemens Mobility GmbH Method and apparatus for data transmission between two networks
US20240267113A1 (en) * 2021-06-08 2024-08-08 Koninklijke Philips N.V. Method for operating a secondary station

Also Published As

Publication number Publication date
AU2020307905B2 (en) 2023-08-17
CN113994634A (en) 2022-01-28
WO2020260070A1 (en) 2020-12-30
US20220360558A1 (en) 2022-11-10
DE102019209342A1 (en) 2020-12-31
CN113994634B (en) 2024-04-26
AU2020307905A1 (en) 2022-03-03
US11991146B2 (en) 2024-05-21

Similar Documents

Publication Publication Date Title
EP3669498B1 (en) Method and control system for controlling and/or supervising of devices
DE69330970T2 (en) Secure front connection system and process control process computer
EP3673623A1 (en) Method and control system for controlling and/or monitoring devices
EP1959606B1 (en) Safety unit
EP3388994A1 (en) Method and apparatus for computer-assisted testing of a blockchain
EP2981926B1 (en) Data storage device for protected data exchange between different security zones
EP3382616A1 (en) Method and device for computer-assisted provision of a secure digital twin
EP3595267B1 (en) Method, devices and system for exchanging data between a distributed database system and devices
WO2018137856A1 (en) Method and device for the computer-supported creation and execution of a control function
EP3435270A1 (en) Device and method for cryptographically protected operation of a virtual machine
EP3669285A1 (en) Method and control system for controlling and/or monitoring devices
WO2019201461A1 (en) Method and control system for controlling and/or monitoring devices
DE102018127330A1 (en) System-on-chip and method for operating a system-on-chip
EP3413254A1 (en) Method and device for providing a transaction dataset
EP3718263B1 (en) Method and control system for controlling and/or supervising of devices
WO2020260070A1 (en) Method and transmission device for data transmission between two or more networks
EP3655876B1 (en) Single-chip system, method for operating a single-chip system, and motor vehicle
EP3373545A1 (en) Safety unit, in particular for an iot device and method for executing one or more applications for secure data exchange with one or more servers providing web services
EP4154070A1 (en) Digital twin-based process control in an iot network
EP4127994A1 (en) Method and device for securely starting up a container instance
WO2021197822A1 (en) Method for handling an anomaly in data, in particular in a motor vehicle
DE202015004439U1 (en) Monitoring device and network participants
EP3144842A1 (en) System and method for analysis of an object
EP4032243A1 (en) System and method for managing data of an automation field device in a secure manner against manipulation
EP3772843A1 (en) Method and communication device for data transmission between networks, in particular with different security requirements

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20211213

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20231205