WO2012113596A1 - Netzwerktrennung - Google Patents

Netzwerktrennung Download PDF

Info

Publication number
WO2012113596A1
WO2012113596A1 PCT/EP2012/050829 EP2012050829W WO2012113596A1 WO 2012113596 A1 WO2012113596 A1 WO 2012113596A1 EP 2012050829 W EP2012050829 W EP 2012050829W WO 2012113596 A1 WO2012113596 A1 WO 2012113596A1
Authority
WO
WIPO (PCT)
Prior art keywords
connector
application
processing system
data processing
data
Prior art date
Application number
PCT/EP2012/050829
Other languages
English (en)
French (fr)
Inventor
Sebastian Leuoth
Alexander Adam
Original Assignee
Dimensio Informatics Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dimensio Informatics Gmbh filed Critical Dimensio Informatics Gmbh
Priority to US14/000,837 priority Critical patent/US20130326002A1/en
Priority to EP12701485.0A priority patent/EP2678989A1/de
Publication of WO2012113596A1 publication Critical patent/WO2012113596A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Definitions

  • Communication takes place on one of the lower layers (TCP IP, Layer 4 ISO / OSI model).
  • encryption is used for security.
  • the interface comprises a first application specific connector which can exchange data specific to a first application of the first data processing system for the first application, at least one second application specific connector specific to a second application of at least one second data processing system for the second application exchange data and a data store to which the first connector and the second connector have access.
  • the method comprises receiving a change or instruction to be transferred from a first application from the first data processing system, storing the change to be transferred in a memory by a first connector, reading the stored change to be transferred in the memory by a second connector, determining if the change to be transmitted is to be forwarded to the second data processing system and forwarding the transfer to a second application in the second data processing system if it has been determined that the instruction to be transferred is to the second data processing system should be forwarded.
  • the use of the first application-specific connector and the second application-specific connector makes it possible to dispense with a coding of the data or information stored in the memory.
  • the memory may comprise at least a first area, in which only the first connector can write.
  • the at least second connector and possibly [further onnectors can read this first report.
  • the memory may comprise at least a second area into which only the second conrector can write.
  • the at least first instructor and possibly further connectors can read this first area.
  • Figure 3 shows the connection within the connectors the central elements of the interface
  • a memory 600 is provided, which is the only connection between the external data processing system 10, 30 and the internal data processing system 90, a communication link parallel to the memory does not exist one or more hard disks, fiber -channel or other memory elements or a combination thereof.
  • At least two connectors 500, 700 have access to the memory 600, with at least one external connector 500 communicating with the external data processing system 10, 30 and at least one internal connector 700 communicating with the internal data processing system 90
  • the connectors can send messages to the processors and receive messages from them.
  • a message can be a combination of receiver part and data part, whereby a controlled distribution of information is realized.
  • the connector is the interface to the respective communication network or data processing system.
  • the external connector 530 is the interface to the external data processing system 10, 30
  • the internal connector 730 is the interface to the internal data processing system 90.
  • Each connector 530, 730 has the ability to accept connections. He can build connections on his own.
  • the external connector 530 may connect to the additional database 50 or the external computer 30.
  • internal connector 730 may connect to and exchange data with central database 70 or an internal computer 90.
  • Each connector has a special type that is adapted to the data source and / or application.
  • a connector can communicate directly with or query data from or modify a database with an Oracle database.
  • the term change is generally used here.
  • a change in data begins with the acceptance of a communication connection
  • a data change request is sent to the external processor 560 via the external connector 530 by a user who has access from the Internet 10, and submits the order to the additional database 50 and simultaneously addresses this change request to the internal processor 760 by writing it to the memory 600.
  • the internal processor 760 checks at defined intervals whether new change requests are present in the memory 600 and thus finds the new request Processor 760 forwards this order via the internal connector 730, for example, to the central database 70. After the order has been processed, a return message is sent to the external processor 560 via the same path. According to this mailbox principle, processing would also be carried out in the opposite direction or application to other connectors 800 done.
  • DQL Data Query Language
  • DML Data Manipulation Language
  • DCL Data Control Language

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

Die vorliegende Beschreibung schlägt eine Schnittstelle, ein Verfahren und ein System zur Datenübertragung von einem ersten datenverarbeitenden System zu zumindest einem zweiten datenverarbeitenden System vor. Die Schnittstelle umfasst einen ersten anwendungsspezifischen Konnektor, welcher mit einer ersten Anwendung des ersten datenverarbeitenden Systems für die erste Anwendung spezifische Daten austauschen kann, zumindest einen zweiten anwendungsspezifischen Konnektor, weicher mit einer zweiten Anwendung zumindest eines zweiten datenverarbeitenden System für die zweite Anwendung spezifische Daten austauschen kann, und einen Datenspeicher auf den der erster Konnektor und der zweite Konnektor Zugriff haben.

Description

Netzwerktrennung
[0001] Die vorliegende Beschreibung bezieht sich auf eine Vorrichtung, ein Verfahren und ein System für eine Schnittsteile zur Datenübertragung von einem ersten datenverarbeitenden System zu einem zweiten datenverarbeitenden System. Insbesondere kann die Schnittstelle zur Kopplung von privaten Rechnern, Datenbanken oder Netzwerken mit öffentlichen Netzwerken wie dem Internet oder anderen Netzwerken verwendet werden.
[0002] Datenbanken bilden in Unternehmen heutzutage die zentrale Stelle in der alle relevanten Informationen des Unternehmens abgelegt werden. Einerseits müssen alle Mitarbeiter und Prozesse der Firma Zugriff auf diesen Datenbestand haben. Andererseits müssen diese Daten auch vor unbefugten Zugriffen geschützt werden. Der Aufwand, den man für diesen Schutz betreiben muss, steigt, je mehr Nutzer Zugriff auf potentiellen Zugangsstellen haben. Dabei steigt gleichzeitig das Risiko, eine offene Lücke in der S icherheitsstruktur zu haben.
[0003] Eine der kritischsten Stellen in der sicherheitstechnischen Infrastruktur bildet der Obergang zwischen Sicherheitsbereichen, z. B. zwischen einem internen Firmennetz und einem externen Netz (meist das Internet). Gerade das Internet, als universelle Schnittstelle zu fast jeder Person, nimmt eine zentrale Rolle in der Kooperation zwischen Kunden Partnern und Firma ein. [0004] Aus diesem Grund werden immer mehr Informationen und Prozesse über diese Schnittstelle abgebildet Als Beispiele aus dem Bankensektor sind das Online Banking oder das Anlegen eines Kontos über das Internet zu nennen. Ein weiteres Beispiel ist die Übertragung von Messwerten aus privaten Windparks in das Leitsystem großer Energie- versorger. Diese Beispiele stehen stellvertretend für eine Vielzahl andere Fälle, bei denen ein Netzwerkübergreifenden Datenaustausch und der Zugriff auf konkrete Anwendungen gewünscht ist [0005] Anhand der ständig steigenden Anzahl von veröffentlichten Schwachstellen in IT- Produkten zeigt sich das Risiko, dass immer mehr Systeme ohne viel Aufwand gekapert werden können, wodurch diese unberechtigten Personen relativ leicht Zugriff auf sensible Daten des Unternehmens erhalten.
[0006] Um einem Nutzer keinen direkten Zugriff auf eine zentrale Datenbank bzw. eine Anwendung zu geben, werden zusätzliche Datenbanken installiert Diese zusätzlichen Datenbanken enthalten nur den Datenbestand oder Kopien der Daten, die für die jeweilige Anwendung notwendig ist
[0007] Das sicherheitstechnische Risiko entsteht an der Stelle, wo es zu einem Datenabgleich kommt Heutzutage kommen Techniken der Replizierung zum Einsatz um einen konsistenten Datenbestand zu erhalten. Wenn man diesen Abgleich in einer kontrollierten Umgebung, z. B. zu festgelegten Zeiten, unter Aufsicht von Personal durchführt, ist das Risiko, dass ein Eindringling diese Kommunikationsleitung erfolgreich nutzt, um in das Firmennetz oder an den Datenbestand zu kommen, gering. Dieser eher theoretische Ansatz findet keine Akzeptanz beim Nutzer, da dieser erst nach Stunden oder sogar nur einmal am Tag eine Rückmeldung auf eine seiner Aktionen bekommt Ein zweiter Nachteil liegt beim benötigten Personal, das solche monotonen Prozesse zyklisch durchführen muss.
[0008] Aus diesem Grund existieren permanente Kommunikan'onsverbiDdungen bzw. Schnittstellen, wie Ethernet, InfiniBand oder TCP IP basierende Verbindungen (Kommu- nikationsnetzwerk) zwischen internen und externen Netzen die jederzeit durch einen erfolgreichen Angriff ausgenutzt werden können, um sich Zugang zu den sensibelsten Daten zu verschaffen.
[0009] Zur Verhinderung eines direkten Routings durch eine Kommunikationsverbindung schlägt die WO 2009/075656 eine„Virtual air gap" genannte Schnittstelle vor, bei welcher ein internes Netzwerk und ein externes Netzwerk jeweils mit einem internen bzw. externen Sicherheitselement kommunizieren. Die Sicherheitselemente abersetzen Anweisungen aus dem externen Netzwerk in ein speziell verschlüsseltes Format und speichern es auf einem gemeinsamen Speicher ab, wovon die verschlüsselte Information gelesen und zurück in die Anweisung übersetzt wird.
[0010] Die Kommunikation erfolgt auf einer der unteren Schichten (TCP IP, Layer 4 ISO/OSI-Modell). Zudem kommt zur Absicherung eine Verschlüsselung zum Einsatz.
[0011] Der vorliegenden Erfindung liegt daher die Aufgabe zu Grunde ein sichere Schnittstelle bereitzustellen, welche die Nachteile des Standes der Technik überwindet. Zusammenfassung der Erfindung
[0012] Die vorliegende Beschreibung schlagt eine Schnittstelle, ein Verfahren und ein System zur Datenübertragung von einem ersten datenverarbeitenden System zu zumindest einem zweiten datenverarbeitenden System vor. Die datenverarbeitenden Systeme können dabei einzelne Rechner oder Prozessoren sein oder Netzwerke umfassen. Beispielsweise kann das erste datenverarbeitende System ein geschütztes privates Netzwerk sein und das zweite datenverarbeitende System ist das Internet
[0013] Das System umfasst einen ersten anwendungsspezifischen Konnektor, welcher mit einer ersten Anwendung des ersten datenverarbeitenden Systems für die erste Anwendung spezifische Daten austauschen kann, zumindest einen zweiten anwendungsspezifischen Konnektor, welcher mit einer zweiten Anwendung zumindest eines zweiten datenverarbeitenden Systems für die zweite Anwendung spezifische Daten austauschen kann, und einen Datenspeicher auf den der erster Konnektor und der zweite Konnektor Zugriff haben. Eine Instruktion aus der ersten Anwendung wird von dem ersten Konnektor in dem Speicher abgelegt und wird von dem zweiten Konnektor aus dem Speicher gelesen.
[0014] Die Schnittstelle umfasst einen ersten anwendungsspezifischen Konnektor, welcher mit einer ersten Anwendung des ersten datenverarbeitenden Systems für die erste Anwendung spezifische Daten austauschen kann, zumindest einen zweiten anwendungsspezifischen Konnektor, welcher mit einer zweiten Anwendung zumindest eines zweiten datenverarbeitenden Systems für die zweite Anwendung spezifische Daten austauschen kann, und einen Datenspeicher auf den der erster Konnektor und der zweite Konnektor Zugriff haben.
[0015] Das Verfahren umfasst ein Empfangen einer zu Obertragenden Änderung oder Instruktion von einer ersten Anwendung aus dem ersten datenverarbeitenden System, ein Speichern der zu abertragenden Änderung in einem Speicher durch einen ersten Konnektor, ein Lesen der gespeicherten zu übertragenden Änderung in dem Speicher durch einen zweiten Konnektor, ein Bestimmen, ob die zu fibertragende Änderung in das zweite datenverarbeitende System weitergeleitet werden soll, und ein Weiterleiten der zu Obertragenden Änderung an eine zweite Anwendung in dem zweiten datenverarbeitende System, wenn bestimmt wurde dass die zu Obertragende Instruktion in das zweite datenverarbeitende System weitergeleitet werden soll.
[0016] Mit der Vorrichtung, dem Verfahren und dem System können in einer neuartigen Art zwei oder mehrere datenverarbeitende Systeme, die in beliebiger Weise miteinander kommunizieren sollen, asynchron und nicht routingfähig miteinander verbunden werden.
[0017] Das erste und oder zweite datenverarbeitende System kann dabei ein einzelner Prozessor oder eine Datenbank sein. Insbesondere kann das datenverarbeitenden System auch ein Netzwerk aus mehreren Rechnero sein, wie beispielsweise ein finneninternes Netzwerk oder ein allgemein zugängliches oder externes Netzwerk wie das Internet Der Ausdruck erstes datenverarbeitendes System und zweites datenverarbeitendes System können dabei austauschbar sein, wenn die Verbindung bidirektional ist Beispielsweise kann das erste datenverarbeitende System ein externes Netzwerk sein und das zweite datenver- arbeitende System ist ein Rechner oder ein internes Netzwerk, oder umgekehrt Die erfindungsgemäße Schnittstelle kann an jeder Schnittstelle zwischen zwei Systemen eingesetzt werden, welche Daten miteinander austauschen.
[0018] Durch den Einsatz der vorgeschlagenen Vorrichtung, Verfahren und/oder Systems wird eine sichere Netztrennung geschaffen, welche das unberechtigte Obergreifen aus dem ersten Netzwerk in das zweites Netzwerk zuverlässig verhindert Das erste datenverarbeitende System und das zweite datenverarbeitende System können voneinander physikalisch getrennte Datennetzwerke sein, wobei die einzige physikalische Verbindung der Speicher darstellt Die vollständige Netztrennung lässt sich realisieren, weil die Kommunikation zwischen den Netzwerken gemäß der vorliegenden Offenbarung vom Prinzip der Datenübertragung (ISO/OSI) auf das Prinzip der Datenspeicherung umgesetzt wird. Damit wird auf der technischen Ebene der Kommunikation eine vollständige Entkopplung erreicht, die nicht auf bestimmte Netzwerk-Konfigurationen und oder AnwendungsfiLlle beschrankt ist
[0019] Der erste anwendungsspezifische Konnektor empfängt und ggf. übermittelt Daten direkt von der ersten Anwendung. Die Daten oder Änderungen der Daten bzw. Anweisun- gen oder Instruktionen sind für die jeweilige Anwendung, beispielsweise eine Datenbank spezifisch. Die Daten oder Änderungen der Daten bzw. Anweisungen oder Instruktionen können beispielsweise SQL-spezifisch oder spezifisch für Oracle Datenbanken sein. Die Daten oder Änderungen der Daten bzw. Anweisungen oder Instruktionen können auf einer höheren ISO/OSI Ebene übertragen werden, beispielsweise auf zumindest einer aus den Ebenen 5 (Sessionebene), 6 (Darstellungsebene) oder 7 (Anwendungsebene).
[0020] In gleicher Weise übermittelt und ggf. empfangt der zweite Konnektor Daten direkt an die / von der zweite(n) Anwendung. Die ersten Anwendung und die zweite Anwendung können gleich oder voneinander verschieden sein.
[0021] Der erste Konnektor kann die Daten in einem allgemein gültigen oder universellen Format auf dem Speicher ablegen. Der zweite Konnektor liest dann die Daten in dem allgemein gültigen oder universellen Format ändert sie in für die zweite Anwendung spezifische Daten, Änderungen, Anweisungen oder Instruktionen und übermittel sie an die zweite Anwendung.
[0022] Die Verwendung des ersten anwendungsspezifischen Konnektors und des zweiten anwendungsspezifischen Konnektors ermöglicht es auf eine Kodierung der in dem Speicher abgelegten Daten oder Informationen zu verzichten.
[0023] Der Speicher kann zumindest einen ersten Bereich umfassen, in welchen ausschließlich der erste Konnektor schreiben kann. Der zumindest zweite Konnektor und ggf. [ weitere onnektoren können diesen ersten Bereicht lesen. Für eine zumindest bidirektionale Schnittstelle kann der Speicher zumindest einen zweiten Bereich umfassen, in welchen ausschließlich der zweite Konrektor schreiben kann. Der zumindest erste Konrektor und ggf. weitere Konnektoren können diesen ersten Bereich lesen.
[0024] Beispielsweise ist es mit der vorliegenden Offenbarung möglich, einen in jedem Netzwerk durch Dopplung separat vorhandenen Datenbestand im laufenden Betrieb so zu synchronisieren, dass die Integrität der Daten gewahrleistet ist und die separaten Datenbestände in jedem der beteiligten Netzwerke wie ein einziger Datenbestand erscheinen (vir- tueller Datenbestand).
[002S] Es ist ebenso möglich, verschiedene heterogene Netzwerke in beliebiger Weise kommunizieren und diese einem Benutzer der Kommunikation als homogen erscheinen zu lassen (virtuelles Netzwerk, Cloud).
Figurenbeschreibung
[0026] Beispiele der vorliegenden Erfindung werden im Folgenden anhand der beilie- genden Figuren erläutert, welche lediglich beispielhaft die vorliegende Beschreibung darstellen und welche zeigen:
[0027] Figur 1 eine Schnittstelle gemäß dem Stand der Technik [0028] Figur 2 eine Schnittstelle wie sie mit der vorliegenden Beschreibung verwendet werden kann;
[0029] Figur 3 die Verbindung innerhalb der Konnektoren die zentralen Elemente der Schnittstelle;
[0030] Figur 4 die zentralen Elemente einer Seite der Schnittstelle;
[0031] Figur 5 die OSI Schichten einer Schnittstelle; und [0032] Fig. 6 die Kommunikationsebenen in einer Schnittstelle.
Detaillierte Beschreibung [0033] Die nachfolgende Beschreibung von Beispielen der vorliegenden Erfindung ist lediglich beispielhaft und nicht einschränkend. Ein Fachmann wird erkennen, dass die beschriebenen Merkmale nicht alle zur Ausführung der Erfindung erforderlich sind und das die verschiedenen Merkmale frei miteinander kombiniert werden können. [0034] Ein Netzwerk im Sinne der vorliegenden Beschreibung umfässt dabei ein Datenverarbeitungsnetzwerk (DV-Netzwerk). Ein Netzwerk ist eine Datenverarbeitungsumgebung, in der DV-Komponenten, im Folgenden auch als Komponenten bezeichnet, Aber ein gemeinsames Protokoll miteinander kommunizieren. [0035] Ein Netzwerk kann öffentlich sein, d.h. die Komponenten sind von beliebigen anderen Komponenten zugreifbar bzw. nutzbar. Es besteht keine Form einer nicht technischen Zugehörigkeit zwischen den Komponenten. Eine Authentifizierung der Komponenten ist davon unabhängig. Beispiele: Internet, sog. Public Clouds, Kiosksysteme, etc. [0036] Ein Netzwerk kann nicht öffentlich, d.h. privat oder intern sein. In diesem Fall existiert eine Form der nicht technischen Zugehörigkeit von Komponenten, welche die Privatheit definiert oder spezifiziert Die Komponenten eines privaten Netzwerks stehen nur solchen Komponenten zur Verfügung, die entweder derselben oder einer anderen, in diesem Fall jedoch von oder durch die Erstere autorisierten, nicht technischen Zugehörig- keit unterliegen. Eine Authentifizierung der Komponenten ist davon ebenfalls unabhängig. Beispiele: Firmen- oder Behördennetze, sog. Intranets, sog. Private Clouds, etc.
[0037] Figur 1 zeigt eine Schnittstelle wie sie üblicherweise zur Verbindung von Netzwerken verwendet wird. Für viele Anwendungen ist ein netzwerkübergreifender Datenaus- tausch von einem externen oder öffentlichen Netzwerk 10, wie beispielsweise dem Internet auf Daten eines internen oder privaten Netzwerks 90 erforderlich. Die internen Daten sind dabei in vielen Fällen in einer internen oder zentralen Datenbank 70 gespeichert Um ei- nem Nutzer keinen direkten Zugriff auf die zentrale Datenbank 70 zu geben, werden zusätzliche Datenbanken SO installiert, auf die ein Anwender zugreifen darf Diese zusätzlichen Datenbanken 50 enthalten nur den Datenbestand, der für die jeweilige Anwendung notwendig ist
[0038] Ein sicherheitstechnisches Risiko entsteht an der Schnittstelle 60 zwischen der zentralen Datenbank 70 und der zusatzlichen Datenbank 50, an der es zu einem Datenabgleich kommt Heutzutage kommen an dieser Schnittstelle 60 Techniken der Replizierung zum Einsatz um einen konsistenten Datenbestand in der zentralen Datenbank 70 und der zusätzlichen Datenbank 50 zu erhalten. Dazu existieren permanente Kommunikationsverbindungen 6 zwischen internen 90 und externen Netzen 10, die jederzeit durch einen erfolgreichen Angriff ausgenutzt werden können, um sich Zugang zu den sensibelsten Daten zu verschaffen. [0039] Ein Protokoll ist eine Vereinbarung über das Verhalten von Komponenten in bestimmten Situationen der Kommunikation und/oder der Verwendung untereinander. Protokolle legen fest, was eine Komponente zu tun oder wie sie zu reagieren hat, wenn eine andere Komponente sich bei ihr mit einem bestimmten Auf- oder Antrag meldet Die in Netzwerken verwendeten Protokolle zur Kommunikation können einheitlich oder unter- schiedlich sein (Beispiele: HTTP, WAP, CSMA/CD, TCP IP, UDP IP, etc.).
[0040] Die in Figur 1 gezeigte Schnittstelle 60 ist prinzipiell routing-fShig. Der Begriff routing-f&hig beschreibt die Möglichkeit, technisch einen Obergang zwischen zwei oder mehreren Knoten eines Netzwerks herstellen zu können - z.B. zwischen den jeweiligen Endknoten zweier Netzwerke.
[0041] Die in Figur 1 gezeigte Schnittstelle 60 über eine Kommunikationsverbindung ist eine synchrone Kornmunikationsverbindung. Eine synchrone Kommunikation setzt voraus, dass die kommunizierenden Komponenten zeitgleich und einem Protokoll folgend, einen Informations- oder Datenaustausch durchführen. Beispiel: Telefon, Session Initiation Protocol (SIP). [0042] Figur 2 zeigt eine Schnittstelle zwischen einem externen datenverarbeitenden System 10, 30, wie beispielsweise dem Internet 10 und/oder damit verbunden Rechnern 30 und einem internen datenverarbeitenden System 90. Im Gegensatz zur gemeinen AusfÜh- rungsfonn der Figur 1 gibt es keine direkte oder routingfthige Verbindung zwischen dem externen datenverarbeitenden System 10, 30 und dem internen datenverarbeitenden System 90 und damit auch keine direkte oder synchrone Verbindung der zentralen Datenbank 70 mit der zusätzlichen Datenbank SO.
[0043] Bei der in der Figur 2 dargestellten Schnittstelle ist ein Speicher 600 vorgesehen, welcher die einzige Verbindung zwischen dem externen datenverarbeitenden System 10, 30 und dem internen datenverarbeitenden System 90 darstellt, eine Kommunikationsverbindung parallel zu dem Speicher gibt es nicht Der Speicher 600 kann eine oder mehrere Festplatten, Fibre -Channel- oder andere Speicherelemente oder eine Kombination daraus umfassen. Mindestens zwei Konnektoren 500, 700 haben Zugriff auf den Speicher 600, wobei zumindest ein externer Konnektor 500 mit dem externen datenverarbeitenden System 10, 30 kommuniziert und zumindest ein interner Konnektor 700 mit dem internen datenverarbeitenden System 90 kommuniziert
[0044] Jeder der Konnektoren umfasst dabei zumindest einen Verbinder und einen Ver- arbeiter, wobei der Verbinder mit dem jeweiligen datenverarbeitenden System Ober eine an sich bekannte Schnittstelle kommuniziert und Daten austauschen kann. Der Verarbeiter verarbeitet die von dem Verbinder empfangenen Daten und gibt diese an den Speicher 600 weiter oder liest Daten aus dem Speicher 600 und fibergibt sie an den Verbinder zur weiteren Übermittlung.
[0045] Der Konnektor kann als Softwaremodul oder als Hardwaremodul oder einer Kombination aus beiden ausgeführt sein.
[0046] In dem in der Figur 2 dargestellten Beispiel umfasst der externe Konnektor 500 einen externen Verbinder 530 in Kommunikationsverbindung mit dem externen datenverarbeitenden System 10, 30 und einen externen Verarbeiter 560, welcher auf den Speicher 600 zugreift Der interne Konnektor 700 umfasst einen internen Verbinder 730 in Kommu- nikation mit dem internen datenverarbeitenden System 90 und einen internen Verarbeiter 760, welcher ebenfalls auf den Speicher 600 zugreift
[0047] Die Verbindung ist in diesem Fall eine asynchrone Kommunikationsverbindung. Asynchrone Kommunikation gestattet kommunizierenden Komponenten einen zeitversetzten, ebenfalls einem Protokoll folgenden, Austausch von Information oder Daten. Beispiel: eMail, Simple Mail Transfer Protocol (SMTP).
[0048] Wie in der Figur 3 gezeigt und oben angedeutet, wird der Speicher 600 exklusiv durch den internen Verarbeiter 560 und den externen Verarbeiter 760 und gegebenenfalls durch weitere Verarbeiter genutzt Andere Komponenten als die Verarbeiter können nicht auf den Speicher 600 zugreifen, in jedem Fall nicht auf diesen Schreiben. Die externen und internen Verarbeiter S60, 750 können auf dem Speicher 600 lesen und schreiben, ohne auf eine Synchronisation angewiesen zu sein. Das Verfahren arbeitet asynchron und der Speicher 600 kann nur von den Verarbeitern 560, 760 genutzt werden. Es bietet keinerlei Filesystemfunktionalitäten an.
[0049] Für jeden Verarbeiter ist zumindest ein Bereich in dem Speicher 600 reserviert, in den nur der entsprechende Verarbeiter schreiben kann. So ist ein externer Bereich 650 in dem Speicher 600 für den externen Verarbeiter 560 reserviert Nur der externe Verarbeiter 560 kann in diesen externen Bereich 650 des Speichers 600 schreiben. Der externe Bereich 65 kann von dem internen Verarbeiter 760 und ggf. von weiteren Verarbeitern gelesen werden. Genauso ist für den internen Verarbeiter 760 ein interner Bereich 670 auf dem Speicher reserviert, in den ausschließlich der interne Verarbeiter 760 schreiben darf. Der externe Verarbeiter 560 und ggf. weitere Verarbeiter können diesen internen Bereich 670 lesen. Die Kommunikation über den Speicher kann daher asynchron bezeichnet werden.
[0050] An diese Verarbeiter 560, 760 sind die jeweiligen Verbinder 530, 730 angedockt Die Verbinder können den Verarbeitern Nachrichten zusenden und Nachrichten von die- sem Empfangen. Eine Nachricht kann eine Kombination von Empfangerteil und Datenteil sein, wodurch eine gesteuerte Verteilung von Informationen realisiert wird. Der Verbinder ist die Schnittstelle zum jeweiligen Kommunikationsnetz oder datenverarbeitenden Sys- tem, so ist der externe Verbinder 530 die Schnittstelle zu dem externen datenverarbeitenden System 10, 30 und der interne Verbinder 730 die Schnittstelle zu dem internen datenverarbeitenden System 90. Jeder Verbinder 530, 730 verfugt über die Möglichkeit Verbindungen anzunehmen. Er kann selbststSndig Verbindungen aufbauen. Beispielsweise kann sich der externe Verbinder 530 mit der zusatzlichen Datenbank 50 oder dem externen Rechner 30 verbinden. Genau so kann sich der interne Verbinder 730 mit der zentralen Datenbank 70 oder einem internen Rechner 90 verbinden und mit diesem Daten austauschen. Jeder Verbinder hat einen speziellen Typ, der an die Datenquelle und/oder die Anwendung angepasst ist So kann ein Verbinder beispielsweise direkt mit einer Oracle Da- tenbank oder in SQL mit einer Datenbank kommunizieren und Daten aus dieser abfragen oder diese verändern. Dafür wird hier allgemein der Begriff Änderung verwendet.
[0051] Eine (hirchzut hrende Änderung beginnt mit der Annahme einer Kommunikationsverbindung. Ein Datenflnderungsaufrrag wird von einem Nutzer, der vom Internet 10 aus Zugriff hat, über den externen Verbinder 530 an den externen Verarbeiter 560 gesendet Dieser reicht den Auftrag an die zusätzliche Datenbank 50 weiter und adressiert parallel dazu diesen Änderungsauftrag an den internen Verarbeiter 760, indem er ihn auf den Speicher 600 schreibt Der interne Verarbeiter 760 prüft in definierten zeitlichen Abstanden ob neue Änderungsauftrage in dem Speicher 600 vorhanden sind und findet somit den neuen Aufhag. Daraufhin reicht der interne Verarbeiter 760 diesen Auftrag über den internen Verbinder 730 beispielsweise an die zentrale Datenbank 70 weiter. Nach Abarbeitung des Auftrages erfolgt über den gleichen Weg eine Rückmeldung an den externen Verarbeiter 560. Nach diesem Postfachprinzip würde auch eine Abarbeitung von Auftragen in die entgegengesetzte Richtung oder von Auftragen an weitere Konnektoren 800 erfolgen.
[0052] Die Begriffe extern und intern werden in der vorliegenden Beschreibung lediglich beispielhaft verwendet um die Schnittstelle und deren Funktionsweise anhand einer Schnittstelle zwischen einem externen Netzwerk, wie beispielsweise dem Internet und einem internen Netzwerk oder Rechner, wie beispielsweise einem Firmennetzwerk zu be- schreiben. Diese Darstellung entspricht jedoch lediglich einem Anwendungsbeispiel und die Schnittstelle kann genauso für jede andere Art der Verbindung von datenverarbeitenden Systemen verwendet werden. [0053] Auch zeigt die Darstellung der Figuren 2 und 3 zu illustrativen Zwecken lediglich die Verbindung von zwei datenverarbeitenden Systemen. Die vorliegenden Offenbarung ist jedoch keinesfalls darauf beschrankt, sondern es können beliebig viele onnektoren mit dem Speicher 600 verbunden werden. Figur 4 zeigt beispielhaft, dass auf dem Speicher neben dem externen Konnektor 500 und dem internen Konnektor 700 zusätzlich ein dritter onnektor 800 operieren kann. Beliebig viele weitere Konnektoren können zugefügt werden, wenn gewünscht Der dritte Konnektor kann dabei mit dem externen datenverarbeitenden System 10, 30, dem internen datenverarbeitenden System 90 oder einem dritten datenverarbeitenden System verbunden sein.
[0054] Als Beispiel kann ein Web-Service Verbinder, als welcher in diesem Beispiel der externe Verbinder 530 implementiert sein kann, von einer Datenquelle aus, mittels HTTP- Protokoll, Anweisungen entgegennehmen, welche dann durch ihn selbst oder mittels Ver- teilung an andere Verbinder wie den internen Verbinder 730 in anderen Netzwerken ausgeführt werden. Nach erfolgreicher Abarbeitung sendet der Web-Service eine Bestätigung zurück.
[0055] Ein Beispiel für die Aktionen eines Konnektors zum Zwecke der Datenverwaltung in unterschiedlichen Netzwerken (Führung eines virtuellen Datenbestandes) wäre:
Daten lesen Eine Kommunikation mit einem anderen Netzwerk ist nicht notwendig. Es erfolgt keine eigene Aktion. Der Befehl wird an die Datenverwaltung im eigenen Netzwerk ohne Änderung weitergeleitet
Alle anderen Befehle:
Senden Weiterleitung des Befehls an die Datenverwaltung im eigenen Netzwerk.
Weiterleitung des Befehls an den Konnektor, der dem Netzwerk, mit dem kommuniziert werden soll, zugeordnet ist
Empfangen Entgegennehmen eines Befehls vom Speicher durch den, dem eigenen Netzwerk zugeordneten, Konnektor.
Weiterleitung des Befehls an die Datenverwaltung im eigenen Netzwerk. [0056] Ein anderes Beispiel waren die Aktionen eines Konnektors zum Zwecke der Datenverwaltung in unterschiedlichen Netzwerken (Führung eines virtuellen Datenbestandes):
Senden - Umwandlung des Befehls aus der spezifischen Form der
Datenverwaltung im eigenen Netzwerk in eine interne, neutrale Form.
Schreiben des umgewandelten Befehls in ein zur Kommunikation mit dem entsprechenden Konnektor für das andere Netzwerk festgelegtes Postfach.
Empfängen - Kontinuierlich wiederkehrendes Lesen (sog. Polling) des ihm zugeordneten Postfaches, bzw. der ihm zugeordneten Postfacher.
Bei Erhalt von Befehlen (d.h. das gelesene Postfach war gefüllt), Umwandlung des internen, neutralen Befehls in die spezifische Form der Datenverwaltung im eigenen Netzwerk.
Weitergabe des Befehls an diese.
[0057] Die Kommunikation zwischen Anwendung und Konnektor erfolgt dabei anwen- dungsspezifisch und auf der entsprechenden Kommunikationsebene. n dem OSI Standard entspricht die Kommunikation den Schichten fünf bis sieben, d. h dem Session Layer (Layer 5), dem Presentation Layer (Layer 6) und insbesondere dem Application Layer (Layer 7), das heißt, es wird ein Anwendungsprotokoll verwendet Die Ebenen des OSI Standards sind in der Figur5 dargestellt Der OSI Standard umfasst sieben Ebenen:
a) Anwendungsebene (application layer), Ebene 7;
b) Darstellungsebene (presentation layer), Ebene 6;
c) Sitzungsebene (session layer), Ebene 5;
d) Transportebene (transport layer), Ebene 4;
e) Netzwerkebene (network layer), Ebene 3;
f) Datenverbindungsebene (data link layer), Ebene 2;
g) Physikalische Ebene (physical layer), Ebene 1.
[0058] Figuren 6a und 6b zeigen die Kommunikation der vorliegenden Beschreibung. Die Kommunikation findet nicht im Sinne der Standardimplementierungen der Ebenenhie- rarchie der ISO/OSI-Spezifikation statt (zum Beispiel TCP IP). Die normalerweise auf ISO/OSI-Ebene 7 übertragenen Anwendungsbefehle werden durch die Konnektoren 500, 700, 800 abgefangen. Die Übertragung erfolgt auf einem eigenen Protokollstack, der die Anwendung direkt auf den hohen Ebenen, mittels Konnektoren verbindet Es existiert keine vertikale Kommunikation (von Ebene-N zu Ebene-(N-1) bis zur physischen Netzwerkebene und dann wieder nach oben). Der Einflussbereich des sendenden Netzwerks endet damit endgültig an den Konnektoren 500, 700, 800. Damit lassen sich Informationen auf Anwendungsebene horizontal und parallel an mehrere Systeme übertragen.
[0059] Um einen konsistenten Datenbestand in den verteilten Datenbanken 50, 70 zu realisieren, nutzten die Konnektoren 500, 700 folgende Strategie, welche am Beispiel von SQL- fähigen Datenbanken dargestellt wird:
· Führe alle DQL- Anweisungen (Data Query Language) auf der lokalen DB durch • Für alle anderen Anweisungen (Data Definition Language [DDL], Data Manipulation Language [DML], Data Control Language [DCL]):
o verpacke sie in eine Transaction Control Umgebung und führe sie jeweils auf den lokalen und auf den jeweiligen anderen Datenquellen aus.
o Nach vollständiger Ausführung ohne Fehler, sende ein COMMIT an alle, o Im Fehlerfall sende ein ROLLBACK an alle.
Optional ist es mit Hilfe von Queiy-Transformationen leicht möglich, dass selbst Datenquellen die unterschiedliche SQL-Dialekte haben, identische Statements ausführen. [0060] Das System kann als Software oder als Hardware oder einer Kombination daraus implementiert werden.
[0061] Ein Fachmann wird beim Lesen der vorliegenden Beschreibung erkennen, dass einzelne der in den Beispielen beschriebenen Merkmale weggelassen oder hinzugefügt werden können, und dass nicht alle Merkmale für die Ausführung der Erfindung notwendig sind.

Claims

Ansprüche Schnittstelle (500,600,700) zur Datenübertragung von einem ersten datenverarbeitenden System (10, 30, 50) zu zumindest einem zweiten datenverarbeitenden System (70, 90), wobei die Schnittstelle umfasst:
• einen ersten anwendungsspezifischen onnektor (500), welcher mit einer ersten Anwendung des ersten datenverarbeitenden Systems für die erste Anwendung spezifische Änderungen austauschen kann;
• zumindest einen zweiten anwendungsspezifischen Konnektor (700), welcher mit einer zweiten Anwendung zumindest eines zweiten datenverarbeitenden Systems für die zweite Anwendung spezifische Änderungen austauschen kann und
- einen Datenspeicher (600) auf den der erster Konnektor (500) und der zweite Konnektor (700) Zugriff haben. Schnittstelle nach Anspruch 1, wobei das erste datenverarbeitende System und das zweite datenverarbeitende System voneinander getrennte Datennetzwerke sind.
Schnittstelle nach einem der vorangehenden Ansprüche, wobei der Speicher (600) zumindest einen ersten Bereich umfasst, in welchen ausschließlich der erste Konnektor schreiben kann.
Schnittstelle nach einem der vorangehenden Ansprüche, wobei die Schnittstelle bidirektional ist und der Speicher zumindest einen zweiten Bereich umfasst, in welchen ausschließlich der zweite Konnektor schreiben kann.
Schnittstelle nach einem der vorangehenden Ansprüche, wobei der Speicher (600) die einzigen Verbindung zwischen dem ersten datenverarbeitenden System und dem zweiten datenverarbeitenden System ist Schnittstcllc nach einem der vorangehenden Ansprüche, wobei eine Verbindung zwischen der ersten Anwendung und dem ersten Konnektor und oder der zumindest zweiten Anwendung und dem zumindest zweiten Konnektor in den Schichten fünf bis sieben des Open Systems Intcrconnection Reference Model realisiert ist
Verfahren zur Datenübertragung von einem ersten datenverarbeitenden System zu zumindest einem zweiten datenverarbeitenden System, wobei das Verfahren um- fasst:
• Empfangen einer zu übertragenden Änderung von einer ersten Anwendung aus dem ersten datenverarbeitenden System;
• Speichern der zu übertragenden Änderung in einem Speicher durch einen ersten Konnektor (500);
- Lesen der gespeicherten zu übertragenden Änderung in dem Speicher durch einen zweiten Konnektor (700);
- Bestimmen, ob die zu übertragende Änderung in das zweite datenverarbeitende System weitergeleitet werden soll; und
- Weiterleiten der zu übertragenden Änderung an eine zweite Anwendung in dem zweiten datenverarbeitende System, wenn bestimmt wurde, dass die zu übertragende Änderung in das zweite datenverarbeitende System weitergeleitet werden soll. . Verfahren nach Anspruch 7, wobei das Lesen des Speichers durch den zweiten Konnektor (700) in vorbestimmten Abstanden wiederholt wird oder nach Aufforderung oder aus einer Kombination daraus erfolgt . Verfahren nach Anspruch 7 oder 8, wobei das Lesen der in dem Speicher (600) abgelegten Änderung ein Bestimmen umfasst, ob eine neue zu übertragende Änderung in dem Speicher (600) abgelegt wurde. 10. Verfahren nach einem der Ansprüche 7 bis 9, wobei bei dem Weiterleiten der zu übertragenden Änderung an die zumindest zweite Anwendung eine Empfangsbestätigung zurückgeleitet wird. Verfahren nach einem der Ansprüche 6 bis 9, wobei der erste onnektor (500) vor dem Speichern der zu übertragenden Änderung das Format der zu übertragenden Änderung von einem ersten anwendungsspezifischen Format in ein allgemein gül- tiges Format ändert Verfahren nach einem der Ansprüche 7 bis 11, wobei der zweite Konnektor (700) vor dem Weiterleiten der zu übertragenden Änderung das Format der zu übertragenden Änderung in ein für die zweite Anwendung zweites anwendungsspezifi- sches Format umwandelt Verfahren nach einem der Ansprüche 7 bis 12, wobei die Datenübertragung zwischen der ersten Anwendung und dem ersten Konnektor und/oder der zumindest zweiten Anwendung und dem zumindest zweiten Konnektor in den Schichten fünf bis sieben des Open Systems Interconnection Reference Model erfolgt Schnittstellensystem zur Datenübertragung von einem ersten datenverarbeitenden System (10, 30, 50) zu zumindest einem zweiten datenverarbeitenden System (70, 90), wobei das Schnittstellensystem umfasst:
- einen ersten anwendungsspezifischen Konnektor (500), welcher mit einer ersten Anwendung des ersten datenverarbeitenden Systems (10, 30, 50) für die erste Anwendung spezifische Daten austauschen kann;
- einen zweiten anwendungsspezifischen Konnektor (700), welcher mit einer zweiten Anwendung zumindest eines zweiten datenverarbeitenden Systems (70, 90) für die zweite Anwendung spezifische Daten austauschen kann; und
- einen Datenspeicher (600) auf den der erste Konnektor (500) und der zweite Konnektor (700) Zugriff haben,
wobei eine Änderung aus der ersten Anwendung von dem ersten Konnektor (500) in dem Speicher (600) abgelegt wird und von dem zweiten Konnektor (700) aus dem Speicher (600) gelesen wird. Schnittstellensystem nach Anspruch 14, wobei der zweite Konnektor bestimmt, ob die gelesene zu Obertragenden Änderung an das zweite datenverarbeitende System übermittelt wird. Schnittstellcnsystem nach Anspruch 14 oder 15, wobei der Speicher zumindest einen ersten Bereich wnfasst, in welchen ausschließlich der erste Konnektor schreiben kann. Schnittstellensystem nach einem der Ansprüche 14 bis 16, wobei die Schnittstelle bidirektional ist und der Speicher zumindest einen zweiten Bereich umfasst, in welchen ausschließlich der zweite Konnektor schreiben kann. Schnittstellensystem nach einem der Ansprüche 14 bis 17, umfassend eine Schnittstelle nach einem der Ansprüche 1 bis 6. Schnittstellensystem nach einem der Ansprüche 14 bis 18, welches ein Verfahren nach einem der Ansprüche 7 bis 13 ausführt
PCT/EP2012/050829 2011-02-22 2012-01-20 Netzwerktrennung WO2012113596A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US14/000,837 US20130326002A1 (en) 2011-02-22 2012-01-20 Network Isolation
EP12701485.0A EP2678989A1 (de) 2011-02-22 2012-01-20 Netzwerktrennung

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102011000876A DE102011000876A1 (de) 2011-02-22 2011-02-22 Netzwerktrennung
DE102011000876.4 2011-02-22

Publications (1)

Publication Number Publication Date
WO2012113596A1 true WO2012113596A1 (de) 2012-08-30

Family

ID=45554654

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2012/050829 WO2012113596A1 (de) 2011-02-22 2012-01-20 Netzwerktrennung

Country Status (4)

Country Link
US (1) US20130326002A1 (de)
EP (1) EP2678989A1 (de)
DE (1) DE102011000876A1 (de)
WO (1) WO2012113596A1 (de)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103142043B (zh) * 2013-03-21 2015-05-13 伍志勇 抽屉滑轨与侧板的可拆装锁紧机构
US10491467B2 (en) * 2014-05-23 2019-11-26 Nant Holdings Ip, Llc Fabric-based virtual air gap provisioning, systems and methods
US10021125B2 (en) 2015-02-06 2018-07-10 Honeywell International Inc. Infrastructure monitoring tool for collecting industrial process control and automation system risk data
US10075475B2 (en) 2015-02-06 2018-09-11 Honeywell International Inc. Apparatus and method for dynamic customization of cyber-security risk item rules
US10021119B2 (en) 2015-02-06 2018-07-10 Honeywell International Inc. Apparatus and method for automatic handling of cyber-security risk events
US10075474B2 (en) 2015-02-06 2018-09-11 Honeywell International Inc. Notification subsystem for generating consolidated, filtered, and relevant security risk-based notifications
US10298608B2 (en) 2015-02-11 2019-05-21 Honeywell International Inc. Apparatus and method for tying cyber-security risk analysis to common risk methodologies and risk levels
US20160241583A1 (en) * 2015-02-13 2016-08-18 Honeywell International Inc. Risk management in an air-gapped environment
US9800604B2 (en) 2015-05-06 2017-10-24 Honeywell International Inc. Apparatus and method for assigning cyber-security risk consequences in industrial process control environments
CN115086084A (zh) * 2022-08-19 2022-09-20 北京珞安科技有限责任公司 一种安全隔离与信息交换系统和方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2322035A (en) * 1997-02-05 1998-08-12 Stuart Justin Nash Computer connected to telecommunication network modem via buffer computer
DE19952527A1 (de) * 1999-10-30 2001-05-10 Ibrixx Ag Fuer Etransaction Ma Verfahren und Transaktionsinterface zum gesicherten Datenaustausch zwischen unterscheidbaren Netzen
US6584508B1 (en) * 1999-07-13 2003-06-24 Networks Associates Technology, Inc. Advanced data guard having independently wrapped components
WO2008004248A1 (en) * 2006-07-07 2008-01-10 Department Of Space, Isro A system and method for secured data communication in computer networks by phantom connectivity
WO2009075656A1 (en) 2007-12-13 2009-06-18 Attila Ozgit Virtual air gap-vag system

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5550984A (en) * 1994-12-07 1996-08-27 Matsushita Electric Corporation Of America Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information
US5918018A (en) * 1996-02-09 1999-06-29 Secure Computing Corporation System and method for achieving network separation
US6003084A (en) * 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
US6321337B1 (en) * 1997-09-09 2001-11-20 Sanctum Ltd. Method and system for protecting operations of trusted internal networks
UA79576C2 (en) * 2007-05-03 2007-06-25 Serhii Ernstovych Ahieiev Method for communications between computer networks at the application layer
JP5192083B2 (ja) * 2008-11-14 2013-05-08 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ネットワーク・ノード
US8255986B2 (en) * 2010-01-26 2012-08-28 Frampton E. Ellis Methods of securely controlling through one or more separate private networks an internet-connected computer having one or more hardware-based inner firewalls or access barriers

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2322035A (en) * 1997-02-05 1998-08-12 Stuart Justin Nash Computer connected to telecommunication network modem via buffer computer
US6584508B1 (en) * 1999-07-13 2003-06-24 Networks Associates Technology, Inc. Advanced data guard having independently wrapped components
DE19952527A1 (de) * 1999-10-30 2001-05-10 Ibrixx Ag Fuer Etransaction Ma Verfahren und Transaktionsinterface zum gesicherten Datenaustausch zwischen unterscheidbaren Netzen
WO2008004248A1 (en) * 2006-07-07 2008-01-10 Department Of Space, Isro A system and method for secured data communication in computer networks by phantom connectivity
WO2009075656A1 (en) 2007-12-13 2009-06-18 Attila Ozgit Virtual air gap-vag system

Also Published As

Publication number Publication date
DE102011000876A1 (de) 2012-08-23
US20130326002A1 (en) 2013-12-05
EP2678989A1 (de) 2014-01-01

Similar Documents

Publication Publication Date Title
WO2012113596A1 (de) Netzwerktrennung
DE69731965T2 (de) Zugriff auf rechnerbetriebsmittel von aussen durch eine firewall
DE102014113582B4 (de) Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung
DE69533024T2 (de) Zugriffskontrollsystem für an einem Privatnetz angeschlossene Computer
DE112015004699B4 (de) Über mehrere Sites verteiltes Sicherheitssystem
DE112016006867T5 (de) Peer-to-Peer-Netzwerk und Knoten eines Peer-to-Peer-Netzwerks
WO2011088878A1 (de) Verbindungsmodul zum anbinden mindestens eines sensors, aktors oder effektors an ein service oriented architecture- (soa-) netzwerk
EP3743844B1 (de) Blockchain-basiertes identitätssystem
DE112022000280T5 (de) Identitätsautorität
EP3568322B1 (de) Zentrale datenablage im bordnetz
DE102021203094A1 (de) Kommunikationsnetzwerksystem für Fahrzeuge sowie dessen Betriebsverfahren
EP4193567A1 (de) Verfahren zur sicheren ausstattung eines fahrzeugs mit einem individuellen zertifikat
WO2015185509A1 (de) Verfahren zur weiterleitung von daten zwischen computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
EP1287655B1 (de) Verfahren zur authentizitätssicherung von hard- und software in einem vernetzten system
DE112020003731B4 (de) Gleichzeitige aktivierung von verschlüsselung auf einem betriebspfad an einem host-speicheranschluss
WO2022037969A1 (de) Verfahren, vorrichtungen und system zum datenaustausch zwischen einem verteilten datenbanksystem und geräten
Ehrlich et al. Self-Sovereign Identity as the Basis for Universally Applicable Digital Identities
DE102020113257A1 (de) Policy management system zur bereitstellung von autorisierungsinformationen über den distributed data store
DE112015000297B4 (de) Feststellen, ob ein Kurz- oder Langnachrichtenformat verwendet wird, um Zoneninformationen in einem Netzwerk zu übertragen
EP4113928A1 (de) Leitsystem für eine technische anlage und verfahren zum übermitteln eines zertifikatsantrags einer anlagenkomponente
EP2816777B1 (de) Rechnernetz, Netzknoten und Verfahren zur Bereitstellung von Zertifizierungsinformationen
EP2898408B1 (de) Kommunikationssystem für eine fahrzeug-zu-umgebung kommunikation
WO2020207748A1 (de) Verfahren zur dokumentation von daten einer physikalischen einheit
DE102017216833A1 (de) Verfahren zum Bereitstellen von Datenpaketen aus einem CAN-Bus; Steuergerät sowie System mit einem CAN-Bus
WO2015128199A1 (de) Arbeitsverfahren für ein system sowie system

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12701485

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 14000837

Country of ref document: US

WWE Wipo information: entry into national phase

Ref document number: 2012701485

Country of ref document: EP