WO2022136362A1 - Sicherheitsvorrichtung und verfahren zur sicheren übertragung von digitalen daten - Google Patents

Sicherheitsvorrichtung und verfahren zur sicheren übertragung von digitalen daten Download PDF

Info

Publication number
WO2022136362A1
WO2022136362A1 PCT/EP2021/086971 EP2021086971W WO2022136362A1 WO 2022136362 A1 WO2022136362 A1 WO 2022136362A1 EP 2021086971 W EP2021086971 W EP 2021086971W WO 2022136362 A1 WO2022136362 A1 WO 2022136362A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
computer device
signal pattern
digital
acoustic
Prior art date
Application number
PCT/EP2021/086971
Other languages
English (en)
French (fr)
Inventor
Malte DR. ZIMMER
Original Assignee
Wehner, Mario
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wehner, Mario filed Critical Wehner, Mario
Publication of WO2022136362A1 publication Critical patent/WO2022136362A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Definitions

  • the invention relates to a security device for the secure transmission of digital data containing structural data specified by a specific data format and useful data embedded in the structural data and encoded in the specific data format between a first computer network and at least one second computer network.
  • the invention also relates to a method for the secure transmission of such digital data.
  • a computer network also known as a computer network or network for short
  • a computer network is a communicatively connected combination of electronic devices (e.g. computers or calculators) that can exchange digital data with each other using the computer network.
  • Such digital data can be files or a data stream, for example.
  • the user data contained in such digital data is encoded in a specific data format depending on the data type and embedded in structural data specified by the specific data format, so that the recipient can obtain the desired user data from the specified structural data based on the specific data format extract and process.
  • the structure data are specified by the specific data format and are used for standardized structuring of the user data in such a way that the sender embeds the user data in the structure data according to the specific data format and the receiver reproduces the user data exactly at those points found, where the user data would have to be embedded according to the specific data format. This ensures between transmitter and receiver that all user data to be transmitted can also be restored at the receiver.
  • digital image data e.g. jpg, tiff, png, etc.
  • digital document data e.g. pdf, docx, etc.
  • these contain digital data in addition to the actual image information or document information, further control data which, as structural data, represent the basic framework for embedding the actual image information or document information.
  • the digital image data or digital document data is to be output on a screen for a user, the image information or document information contained in the respective data is extracted with the aid of a corresponding program on a computing machine (computer) and reproduced as images on a screen.
  • the structural data contained in the digital data are generally not visible to the user and are only relevant for the displaying program in order to extract the relevant user data and place them in the correct context. If necessary, the user data must be recoded in order to be able to display them appropriately if the underlying data format provides for a corresponding coding.
  • Computer networks can also be divided up in order to encapsulate certain computers in a computer network and separate them from other computers in a computer network. Access control from one computer network to another is then usually monitored by appropriate specialized devices (e.g. switches, firewalls, etc.) that monitor network traffic based on set rules. This can prevent intruders from gaining unauthorized access to a computer network.
  • appropriate specialized devices e.g. switches, firewalls, etc.
  • a further danger for computer networks comes from manipulated or corrupted data that is exchanged in a computer network.
  • digital data can contain harmful elements (computer viruses, worms, etc.) within their structural data, which can be detected when the digital data is opened for the purpose of Extraction of user data (e.g. display of image information or document information) can damage the corresponding computer.
  • the malicious elements contained in the digital data are executed on the executing computer and can cause considerable damage to the data on the computer or even to the computer's hardware.
  • Another disadvantage is the detection accuracy of antivirus programs, which depends heavily on the up-to-dateness of the database of known malware. Because an antivirus program usually has to know the malware so that the program can also identify the malware in an emergency. This leaves a security gap between the emergence of the malware and the update of the database of the antivirus program, which usually only lasts a few hours, but in the worst case can lead to a total failure of the entire computer network.
  • a security device for the secure transmission of digital data between a first computer network and at least one second computer network is proposed, the digital data containing structure data specified by a specific data format and user data embedded in the structure data and encoded in the specific data format.
  • the security device has at least one first computer device and at least one second computer device that is separate or separate from the first computer device.
  • the first computer device has a first data interface with which digital data can be received from the first computer network.
  • the first computer device is thus in communication with the first computer network via the first data interface or can be brought in communication with the first computer network, so that digital data from the first computer network can be received and possibly also sent to the first computer network via the first data interface .
  • a first data interface can be an Ethernet interface (RJ-45), for example.
  • the second computer device has a second data interface with which digital data can be sent to the second computer network.
  • the second computer device is thus in communication with the second computer network via the second data interface or can be brought in communication with the second computer network so that digital data can be sent to the second computer network via the second data interface and, if necessary, also received from the second computer network .
  • a second data interface can be an Ethernet interface (RJ-45), for example.
  • the first computer device and the second computer device are separate from one another, so that the first computer device does not communicate renden has access to the second computer device and vice versa.
  • the invention provides in particular that the first computer device and the second computer device are not connected to one another via a common computer network, in particular not via the first computer network or the second computer network. Neither the first computer device nor the second computer device are constructed in such a way that they have access to the other computer device in each case via the computer network connected in each case.
  • there is no connection between the two computer devices such that communication between the two computer devices can take place based on the communication protocol of the first computer network and/or the second computer network.
  • there is no Ethernet connection between the two computer devices there is no Ethernet connection between the two computer devices.
  • the first computer device is now set up to extract the user data embedded in the structural data and encoded in the specific data format from the digital data received via the first data interface and to extract an optical, acoustic, haptic, electrical and/or electromagnetic signal pattern from the extracted data To generate user data without the structural data and to transmit it in the direction of the second computer device by means of at least one corresponding optical, acoustic, haptic, electrical and/or electromagnetic transmission unit.
  • the first computer device thus receives digital data from the first computer network via its first data interface and extracts the useful data contained in the received digital data without the structural data provided for embedding the useful data.
  • the user data extracted in this way is now converted into a signal pattern that can be optical, acoustic, haptic, electrical and/or electromagnetic. In this case, this signal pattern only contains the user data and not the structure data required for embedding the user data in the digital data.
  • the transmission unit of the first computer device is designed here, the respective optical, acoustic, haptic, electrical and/or to physically emit electromagnetic signal patterns accordingly.
  • the transmission unit of the first computer device is set up to transmit an optical signal pattern accordingly optically, to transmit an acoustic signal pattern correspondingly acoustically, to transmit a haptic signal pattern correspondingly haptically, to transmit an electrical signal pattern correspondingly electrically and/or to transmit an electromagnetic signal pattern correspondingly electromagnetically.
  • the second computer device is now designed to receive the optical, acoustic, haptic, electrical and/or electromagnetic signal pattern transmitted by the first computer device by means of at least one corresponding optical, acoustic, haptic, electrical and/or electromagnetic receiving unit and the signals contained in the signal pattern To extract payload data, and also to generate digital data by generating structure data as a function of the specific data format and by embedding the extracted payload data in the structure data in the specific data format and to send out the digital data thus generated via the second data interface
  • the second computer device thus receives the signal pattern previously transmitted by the first computer device by means of a receiving unit and extracts the useful data contained in the signal pattern. If it is an optical signal pattern that was sent out by means of an optical transmission unit of the first computer device, then the receiving unit of the second computer device is an optical receiving unit that is set up to be able to receive the optical signal pattern accordingly. Analogous to this, an acoustic signal pattern is a corresponding acoustic receiving unit, etc.
  • the user data contained in the signal pattern is extracted and new digital data is then generated based on this extracted user data.
  • digital data are first generated according to the specific data format with the necessary structure data and the extracted user data is embedded in this newly created structure data. If necessary, the user data is encoded in accordance with the specific data format.
  • This digital data generated by the second computer device with generated structure data and user data transmitted by the first computer device are now sent out via the second data interface into the second computer network.
  • the signal pattern generated from the useful data differs from this intended reproduction.
  • the signal pattern encodes the user data contained in the digital data without structure data.
  • the signal pattern encodes the useful data contained in the digital data without structural data in a reproduction different from the intended reproduction of the useful data contained in the digital data.
  • the digital data that is sent from the second computer device to the second computer network is not an image or a copy of the digital data that was received by the first computer device from the first computer network, but newly generated digital data Data. Harmful elements that are located within the structural data are thus eliminated. This is because all user data contained in the signal pattern is also understood as pure user data by the second computer device, even if the user data itself contains harmful elements, provided the specific data format permits this. As these now become part of the payload, they become encoded by the second computer device as such in the newly created digital data as user data and thereby lose their harmful character.
  • the transmission of the signal pattern from the transmitting unit of the first computer device to the receiving unit of the second computer device takes place in particular in a physical mode of operation that differs from the functioning of the computer network.
  • transmission is understood to mean at least the sending of data or signal patterns, but preferably also sending and receiving.
  • a first computer network and a second computer network can be physically or logically separate computer networks.
  • the first computer network is a first part and the second computer network is a second part of a common computer network, which is separated into two computer networks by the security device.
  • the security device has a housing within which the first computer device and the second computer device are arranged such that the signal pattern transmitted by the transmitter unit of the first computer device can be received by the receiver unit of the second computer device.
  • the first computer device and the second computer device are arranged inside the housing in such a way that the transmitter unit of the first computer device can transmit the signal pattern in the direction of the second computer device in such a way that the receiver unit of the second computer device can receive the transmitted signal pattern accordingly.
  • the first computer device is set up to generate image information from the digital data encoded as digital image data. to extract ones as user data and to generate a signal pattern from the image information, and that the second computer device is set up to extract the image information from the received signal pattern and to generate digital data encoded as digital image data from the image information in accordance with the specific data format.
  • Such digital image data can, for example, be image files (jpg, tiff, png, etc.) in which image information is embedded in corresponding structural data and encoded accordingly. All image information is now extracted from the digital image data and converted into the corresponding signal pattern.
  • a signal pattern can be an optical pattern, for example, which only contains the image information. An optical signal pattern is generated, which contains the encoded image information.
  • such digital image data can also be documents (e.g. docx, pdf, etc.) in which information that can be displayed on a screen is stored. Since this information is ultimately displayed visually or optically, such digital document data is also regarded as digital image data within the meaning of the present invention.
  • documents e.g. docx, pdf, etc.
  • the first computer device is set up to extract video information as payload data from the digital data encoded as digital video data and to generate a signal pattern from the video information
  • the second computer device is set up to extract the signal pattern from the received signal pattern to extract video information and to generate encoded digital data from the video information as digital video data according to the specific data format.
  • Such digital video data can be, for example, video files (mkv, mpeg, etc.) or video streams that are encoded according to a corresponding specific video data format (H.264, H.265, etc.).
  • a corresponding specific video data format H.264, H.265, etc.
  • only the video information of the digital video data is extracted and converted into the signal pattern, without the structural data required for storing the files or for transmission in a computer network.
  • all containers ion structures of the video data are not converted into the signal pattern, only the video information in the form of user data.
  • the first computer device is set up to extract audio information as user data from the digital data encoded as digital audio data and to generate a signal pattern from the audio information
  • the second computer device is set up to generate the audio information from the received signal pattern extract and generate digital data encoded as digital audio data from the audio information according to the specific data format.
  • Such digital audio data can be audio files (wav, Ogg-Vorbis, mp3) or audio streams, for example.
  • audio files wav, Ogg-Vorbis, mp3
  • audio streams for example.
  • only the audio information is transmitted as a signal pattern without the structural data required for storing the files or for transmission in a computer network.
  • the first computer device is set up to generate an optical signal pattern from the extracted user data and to transmit it using a screen as an optical transmission unit
  • the second computer device is set up to use a camera as an optical reception unit to transmit the transmitted optical signal pattern to receive and to recognize the optical signal pattern from the camera data recorded by the camera and containing the optical signal pattern and to extract the useful data from the recognized optical signal pattern.
  • Such an optical signal pattern can, for example, be a 2D optoelectronic code.
  • the user data to be transmitted can be displayed in the form of a signal pattern on a screen in such a way that individual information is represented by symbols within the signal pattern, by colors or the like.
  • the signal pattern can consist of a large number of sub-patterns which are displayed one after the other with a high frequency on the screen of the first computer device.
  • the user data can be encoded into the signal pattern according to a certain standard, with the data rate of such a 2D optoelectronic code being reduced by several sub-patterns that are displayed one after the other at a high frequency, or by increasing the information density (e.g colors) can be significantly increased. As a result, the transmission rate from the first computer network to the second computer network can be improved.
  • the first computer device is set up to generate an acoustic signal pattern from the extracted user data and to transmit it using a loudspeaker as an acoustic transmitting unit
  • the second computer device is set up to use a microphone as an acoustic receiving unit to transmit the transmitted acoustic signal pattern to receive and to recognize the acoustic signal pattern from the microphone data recorded by the microphone and containing the acoustic signal pattern and to extract the useful data from the recognized acoustic signal pattern.
  • the first computer device is set up to generate an electrical signal pattern from the extracted user data and to transmit it by means of an electrical transmission unit
  • the second computer device is set up to receive the transmitted electrical signal pattern by means of an electrical receiver unit and off recognizing the electrical signal pattern from the reception data recorded by the electrical receiving unit and containing the electrical signal pattern, and extracting the useful data from the recognized electrical signal pattern.
  • the first computer device and the second computer device may be connected to one another via one or more electrical conductors, with the user data then being transmitted in the form of a signal pattern in the form of current pulses.
  • the user data is converted into a current pulse signal pattern and then transmitted to the second computer device via the electrical conductors.
  • the current pulse signal pattern does not correspond to the type of signal transmission in the first computer network and/or the second computer network—neither in physical terms nor in terms of the transmitted protocol.
  • the security device also provides a return channel, ie communication from the second computer network to the first computer network. This return channel can be based on known network architecture, so that the security features of the present invention are not applied. But it is also willing that the return channel from the second computer network into the first computer network takes place in the same way as the secure communication from the first computer network through the security device into the second computer network.
  • a further first computer device and a further second computer device to be provided in the safety device, which are constructed in a mirror-inverted manner to the first and second computer device.
  • the additional first computer device accordingly has a receiving unit for receiving the signal pattern that is transmitted by the transmission unit of the additional second computer device.
  • the first computer device also has a corresponding receiving unit in addition to the transmitting unit and the second computer device also has a transmitting unit in addition to the receiving unit in order to enable bidirectional communication between the connected computer networks.
  • the invention is also achieved with the method according to claim 10 for the secure transmission of digital data, which contains structural data specified by a specific data format and useful data embedded in the structural data and encoded in the specific data format, between a first computer network and at least one second computer network , the method comprising the following steps:
  • FIG. 1 Schematic representation of the basic functional principle and process sequence
  • FIG. 2 Schematic representation of the sequence according to the invention
  • FIG. 3 shows a schematic representation of a first embodiment with optical transmission
  • FIG. 4 Schematic representation of a second embodiment with acoustic transmission
  • FIG. 5 Schematic representation of a third embodiment with electrical transmission.
  • FIG. 1 shows a highly simplified schematic illustration of a security device 10 which is connected or can be connected to a first computer network 11 and to a second computer network 12 .
  • digital data 13a can be transmitted from the first computer network 11 to the security device 10 and from the security device 10 as digital data 13b to the second computer network 12 .
  • the security device 10 has a housing 14 in which there are data interfaces, which will be detailed later, with which the security device 10 can be connected to the respective first computer network 11 and the second computer network 12 .
  • the security device 10 has within the housing 14 a first computer device 20 and a second computer device 30 which are arranged separately from one another in the housing 14 .
  • a first computer device 20 and a second computer device 30 which are arranged separately from one another in the housing 14 .
  • the first computer device 20 has a first data interface 21 with which the security device 10 or the first computer device 20 can be connected electronically and communicatively to the first computer network 11 .
  • the first computer device 20 also has a data interface 21 associated 1st computing unit 22 to the received from the first data interface 21 digital data 13a corresponding electronically can.
  • the computing unit 22 can have a programmable CPU, for example, or be controlled by a microcontroller.
  • the second computer device 30 is constructed identically and has a second data interface 31 in order to be able to connect the security device 10 or the second computer device 30 to the second computer network 12 for communication.
  • the digital data 13b to be transmitted securely can be sent to the second computer network 12 via the second data interface 31 .
  • Such data interfaces 21 and 31 can be designed, for example, as Ethernet interfaces in the form of RJ-45 connectors.
  • the second computer device 30 also has a second computing unit 32 which can have a programmable CPU or a microcontroller, for example.
  • the first computer device 20 now has a transmission unit 23 with which a signal pattern 15 (indicated in FIG. 1 in the form of an optical pattern) can be sent in the direction of the second computer device 30 .
  • the second computer device 30 has a corresponding receiving unit 33 so that the signal pattern 15 transmitted by the first computer device 20 with the transmitter unit 23 can be received by the second computer device 30 .
  • the security device 10 receives digital data 13a from the first computer network 11 in step 200 via the first data interface 21 of the first computer device 20.
  • This digital data 13a received from the first computer network 11 is only in the first computer device 20 and is not in the form of a identical copy or an image to the second computer device 30 forwarded. Rather, in a second step 210, the user data of the digital data 13a without the structure data embedding the user data are extracted from the digital data 13a received in this way.
  • the user data can be extracted in particular by opening the digital data, for example a digital file.
  • opening a digital file means access to the user data, with access to the user data taking place with knowledge of the specific data format and the structural data of the file embedding the user data.
  • the user data can be accessed by opening the digital file, for example, using a special program that runs on the second computer device 20 .
  • a third step 220 the useful data extracted in this way are now converted into a desired signal pattern 15 and are output in the subsequent step 230 using the transmission unit 23 of the first computer device 20 .
  • the transmitted signal pattern 15 is now received in a further step 300 by the receiving unit 33 of the second computer device 30 .
  • the user data contained in the received signal pattern 15 is then extracted in the next step 310, so that a newly constructed copy of the digital data 13a can then be created as new digital data 13b in step 320 from the user data thus extracted.
  • the structure data for embedding the respective user data is first generated based on the specific data format and then the user data is embedded in this newly generated structure data.
  • This structure data is not generated in the form of a copy of the structure data of the digital data 13a received from the first computer network 11, but through a fundamentally new structure of this structure data in the memory depending on the specific data format.
  • the digital data 13b newly created in this way are then sent to the second computer network 12 in step 330 using the second data interface 33 of the second computer device 30 .
  • the generation, transmission and reception of the signal pattern results in a media break, in which the signal pattern is either transmitted in a way that is physically different from the way the computer networks operate and/or in which the signal pattern is based on a protocol conversion a proprietary protocol different from computer networks.
  • FIG. 3 shows an embodiment in which the transmission unit 23 of the first computer device 20 is designed as a screen, while the receiving unit 33 of the second computer device 30 is designed as a camera.
  • the user data extracted in the first computer device 20 is converted into an optical signal pattern, which is then displayed on the screen 23 .
  • the content of the screen 23 is then recorded by the camera 33 of the second computer device 30 and the signal pattern contained in the recorded camera data is recognized and the user data is extracted from this signal pattern.
  • Such a signal pattern can be a 2D optoelectronic code, for example, in which the user data is encoded in a two-dimensional area using symbols, shapes and/or colors.
  • a large number of sub-patterns to be displayed as a signal pattern in a chronological sequence, the content of each of which depicts part of the user data, with the individual parts then being extracted and assembled by the second computer device 30 in order to generate the corresponding user data receive.
  • the visual content of the user data is transferred to a memory or to a graphics memory of the first computer device 20 by the extracted user data, which are encoded based on the specific data format, in a visual output being transformed.
  • This can be done, for example, by opening the digital image data or the digital document data using a special program that is executed on the first computer device.
  • the digital data are read into the memory with knowledge of the specific data format and then the useful data are extracted from the structural data, if necessary with the aid of the structural data.
  • This visual output does not necessarily have to take place on a screen, but can also be loaded exclusively in the data memory.
  • the signal pattern can then be generated from this visual output, which is present in the data memory. If the original digital image data or document data is compromised, so only the first computer device 20 is affected. In the simplest case, the image information or document information from the digital image data or document data is used directly as a signal pattern.
  • digital video data and digital audio data can also be stored in memory as a digital output, so that the user data is extracted accordingly from the digital data.
  • FIG. 4 shows an exemplary embodiment in which the transmitting unit 23 of the first computer device 20 is a loudspeaker, while the receiving unit 33 of the second computer device 30 is a microphone.
  • the signal pattern to be transmitted is an acoustic signal pattern which is output by the loudspeaker of the computer device 20 and received by the microphone of the computer device 30 .
  • a bit or a byte is encoded by a specific acoustic tone sequence or sound wave, so that the user data can be transmitted in bits and bytes by a tone sequence encoded in this way without interest.
  • FIG. 5 shows an exemplary embodiment in which the transmitting unit 23 and the receiving unit 33 can transmit and receive the signal pattern in the form of electrical current pulses.
  • the current pulses differ in particular from the communication protocol of the computer networks 11 and 12 and have nothing in common here.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Virology (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Die Erfindung betrifft eine Sicherheitsvorrichtung zur sicheren Übertragung von digitalen Daten, die durch ein spezifisches Datenformat vorgegebene Strukturdaten und in die Strukturdaten eingebettete und in dem spezifischen Datenformat kodierte Nutzdaten enthalten, zwischen einem ersten Computernetzwerk und wenigstens einem zweiten Computernetzwerk, wobei die Sicherheitsvorrichtung aufweist: - wenigstens eine erste Computereinrichtung mit einer ersten Datenschnittstelle, die zum Empfangen von digitalen Daten aus dem ersten Computernetzwerk kommunizierend verbunden oder verbindbar ist, und - wenigstens eine zu der ersten Computereinrichtung separate zweite Computereinrichtung mit einer zweiten Datenschnittstelle, die zum Senden von digitalen Daten in das zweite Computernetzwerk zum kommunizierend verbunden oder verbindbar ist, - wobei die erste Computereinrichtung eingerichtet ist, die in die Strukturdaten eingebetteten und in dem spezifischen Datenformat kodierten Nutzdaten aus den über die erste Datenschnittstelle empfangenen digitalen Daten zu extrahieren und ein optisches, akustisches, haptisches, elektrisches und/oder elektromagnetisches Signalmuster aus den extrahierten Nutzdaten ohne die Strukturdaten zu generieren und mittels mindestens einer entsprechenden optischen, akustischen, haptischen, elektrischen und/oder elektromagnetischen Sendeeinheit in Richtung der zweiter Computereinrichtung zu übertragen, - wobei die zweite Computereinrichtung eingerichtet ist, das von der ersten Computereinrichtung übertragene optische, akustische, haptische, elektrische und/oder elektromagnetische Signalmuster mittels mindestens einer entsprechenden optischen, akustischen, haptischen, elektrischen, und/oder elektromagnetischen Empfangseinheit zu empfangen und die in dem Signalmuster enthaltenen Nutzdaten zu extrahieren, und - wobei die zweite Computereinrichtung weiterhin eingerichtet ist, digitale Daten durch Generieren von Strukturdaten in Abhängigkeit von dem spezifischen Datenformat und durch Einbetten der extrahierten Nutzdaten in die Strukturdaten kodiert in dem spezifischen Datenformat zu erzeugen und die so erzeugten digitalen Daten über die zweite Datenschnittstelle auszusenden.

Description

Sicherheitsvorrichtung und Verfahren zur sicheren Übertragung von digitalen Daten
Die Erfindung betrifft eine Sicherheitsvorrichtung zur sicheren Übertragung von digitalen Daten, die durch ein spezifisches Datenformat vorgegebene Strukturdaten und in die Strukturdaten eingebettete und in dem spezifischen Datenformat kodierte Nutzdaten enthalten, zwischen einem ersten Computernetzwerk und wenigstens einem zweiten Computernetzwerk.
Die Erfindung betrifft ebenso ein Verfahren zur sicheren Übertragung von solchen digitalen Daten.
Der Austausch von digitalen Daten gehört zu den grundlegendsten Funktionalitäten von Computernetzwerken. Ein Computernetzwerk (auch Rechnernetz oder kurz Netzwerk genannt) ist ein kommunikativ verbundener Zusammenschluss von elektronischen Geräten (bspw. Computer bzw. Rechner), die mithilfe des Computernetz- werkes digitale Daten untereinander austauschen können. Solche digitalen Daten können beispielsweise Dateien oder ein Datenstream sein. Die in solchen digitalen Daten enthaltenen Nutzdaten, deren eigentlicher Austausch das primäre Ziel ist, sind je nach Datentyp durch ein spezifisches Datenformat kodiert und in durch das spezifischen Datenformat vorgegebene Strukturdaten eingebettete, sodass der Empfänger basierend auf dem spezifischen Datenformat aus den vorgegebenen Strukturdaten die gewünschten Nutzdaten extrahieren und weiterverarbeiten kann.
Die Strukturdaten werden dabei durch das spezifischen Datenformat vorgegeben und dienen zur standardisierten Strukturierung der Nutzdaten dahingehend, dass der Sender die Nutzdaten entsprechend dem spezifischen Datenformat in die Strukturdaten einbettet und der Empfänger genau die Nutzdaten an denjenigen Stellen wieder- findet, an denen die Nutzdaten entsprechend dem spezifischen Datenformat eingebettet sein müssten. So wird zwischen Sender und Empfänger sichergestellt, dass sämtliche zu übertragenen Nutzdaten auch beim Empfänger wiederhergestellt werden können.
Werden als digitale Daten beispielsweise digitale Bilddaten (bspw. jpg, tiff, png, etc) oder digitalen Dokumentendaten (bspw. pdf, docx, etc), die im Sinne der vorliegenden Erfindung den digitalen Bilddaten gleichgestellt sind, verwendet, so enthalten diese digitalen Daten neben den eigentlichen Bildinformationen bzw. Dokumenteninformationen noch weitere Steuerdaten, die als Strukturdaten das Grundgerüst zur Einbettung der eigentlichen Bildinformationen bzw. Dokumenteninformationen darstellen. Sollen die digitalen Bilddaten bzw. digitalen Dokumentendaten auf einem Bildschirm für einen Benutzer ausgegeben werden, so werden mithilfe eines entsprechenden Programms auf einer Rechenmaschine (Computer) die in den jeweiligen Daten enthaltenen Bildinformationen bzw. Dokumenteninformationen extrahiert und als Bilder auf einem Bildschirm wiedergegeben. Die in den digitalen Daten enthaltenen Strukturdaten sind dabei in der Regel für den Benutzer nicht sichtbar und sind lediglich für das darstellende Programm relevant, um die entsprechenden Nutzdaten zu extrahieren und in den richtigen Kontext einzuordnen. Gegebenenfalls müssen die Nutzdaten umkodiert werden, um sie entsprechend darstellen zu können, wenn das zugrundeliegende Datenformat eine entsprechende Codierung vorsieht.
Um bestimmte Computer eines Computernetzwerkes zu kapseln und von anderen Computern eines Computernetzwerkes zu trennen, können Computernetzwerke auch aufgeteilt werden. Die Zutrittskontrolle von einem Computernetzwerk auf ein anderes wird dann in der Regel durch entsprechende spezialisierte Geräte (beispielsweise Switche, Firewalls, etc.) überwacht, die basierend auf eingestellten Regeln den Netzwerkverkehr überwachen. Hierdurch können Eindringlinge an einem unberechtigten Zugriff auf ein Computernetzwerk gehindert werden.
Eine weitere Gefahr für Computernetzwerke geht dabei von manipulierten bzw. korrumpierten Daten, die in einem Computernetzwerk ausgetauscht werden, aus. So können digitale Daten innerhalb ihrer Strukturdaten schädliche Elemente (Computerviren, Würmer, etc.) enthalten, die beim Öffnen der digitalen Daten zum Zwecke der Extraktion der Nutzdaten (beispielsweise Darstellung von Bildinformationen oder Dokumenteninformationen) den entsprechenden Computer schädigen. Die in den digitalen Daten enthaltenen schädlichen Elemente werden dabei auf dem ausführenden Computer ausgeführt und können erheblichen Schaden an den auf dem Computer befindlichen Daten oder sogar der Hardware des Computers anrichten.
Um sich vor solchen mit schädlichen Elementen infizierten digitalen Daten zu schützen, ist es hinreichend bekannt, mithilfe von entsprechenden Antivirusprogrammen den gesamten Netzwerkverkehr an der Datenschnittstelle eines Computers zu überwachen und die einen und ausgehenden digitalen Daten auf das Vorhandensein von schädlichen Elementen zu untersuchen.
Dieses Vorgehen hat jedoch mehrere Nachteile. Zum einen werden die Ressourcen des zu überwachenden Computers beeinträchtigt, da das Ausführen eines Antivirusprogrammes ebenfalls Ressourcen benötigt. Gegebenenfalls kann dabei sogar die Netzwerkgeschwindigkeit beim Austausch der Daten herabgesetzt werden, da derlei Antivirusprogramme die ausgetauschten Daten erst dann freigeben, wenn die Prüfung der digitalen Daten ohne Befund war.
Ein weiterer Nachteil besteht in der Erkennungsgenauigkeit von Antivirusprogrammen, die stark von der Aktualität der Datenbank bekannter Schadsoftware abhängt. Denn ein Antivirusprogramm muss in der Regel die Schadsoftware kennen, damit das Programm im Ernstfall die Schadsoftware auch identifizieren kann. Hierdurch verbleibt eine Sicherheitslücke zwischen dem Auftreten der Schadsoftware und der Aktualisierung der Datenbank des Antivirusprogrammes, die zwar in der Regel nur wenige Stunden beträgt, jedoch im schlechtesten Fall zu einem Totalausfall des gesamten Computernetzwerk des führen kann.
Ein weiterer Nachteil besteht darin, dass digitale Daten fälschlicherweise als Schadsoftware identifiziert werden, die jedoch keine sind. Solche Fehlmeldungen sind zwar nicht sicherheitskritisch, können jedoch die Akzeptanz von Antivirusprogrammen beim Benutzer herabsetzen.
Es ist daher Aufgabe der vorliegenden Erfindung eine verbesserte Sicherheitsvorrichtung zur sicheren Übertragung von digitalen Daten sowie ein verbessertes Ver- fahren zur sicheren Übertragung von digitalen Daten anzugeben, insbesondere um die aus dem Stand der Technik bekannten Nachteile zu umgehen.
Die Aufgabe wird mit der Sicherheitsvorrichtung gemäß Anspruch 1 sowie dem Verfahren gemäß Anspruch 10 erfindungsgemäß gelöst. Vorteilhafte Ausgestaltungen der Erfindung finden sich in den entsprechenden Unteransprüchen.
Gemäß Anspruch 1 wird eine Sicherheitsvorrichtung zur sicheren Übertragung von digitalen Daten zwischen einem ersten Computernetzwerk und wenigstens einem zweiten Computernetzwerk vorgeschlagen, wobei die digitalen Daten durch ein spezifisches Datenformat vorgegebene Strukturdaten und in die Strukturdaten eingebettete und in dem spezifischen datenformatkodierte Nutzdaten enthalten.
Die Sicherheitsvorrichtung weist dabei wenigstens eine erste Computereinrichtung und wenigstens eine von der ersten Computereinrichtung separate bzw. getrennte zweite Computereinrichtung auf. Die erste Computereinrichtung hat dabei eine erste Datenschnittstelle, mit der digitale Daten aus dem ersten Computernetzwerk empfangen werden können. Über die erste Datenschnittstelle steht die erste Computereinrichtung somit mit dem ersten Computernetzwerk kommunizierend in Verbindung bzw. ist mit dem ersten Computernetzwerk kommunizierend in Verbindung bringbar, sodass über die erste Datenschnittstelle digitale Daten aus dem ersten Computernetzwerk empfangen und gegebenenfalls auch in das erste Computernetzwerk gesendet werden können. Eine solche erste Datenschnittstelle kann beispielsweise eine Ethernet-Schnittstelle (RJ-45) sein. Die zweite Computereinrichtung weist eine zweite Datenschnittstelle auf, mit der digitale Daten in das zweite Computernetzwerk gesendet werden können. Über die zweite Datenschnittstelle steht die zweite Computereinrichtung somit mit dem zweiten Computernetzwerk kommunizierend in Verbindung bzw. ist mit dem zweiten Computernetzwerk kommunizierend in Verbindung bringbar, dass über die zweite Datenschnittstelle digitale Daten in das zweite Computernetzwerk gesendet und gegebenenfalls auch aus dem zweiten Computernetzwerk empfangen werden können. Eine solche zweite Datenschnittstelle kann beispielsweise eine Ethernet-Schnittstelle (RJ-45) sein.
Die erste Computereinrichtung und die zweite Computereinrichtung liegen dabei getrennt voneinander vor, sodass die erste Computereinrichtung keinen kommunizie- renden Zugriff auf die zweite Computereinrichtung und andersherum hat. Dabei ist erfindungsgemäß insbesondere vorgesehen, dass die erste Computereinrichtung und die zweite Computereinrichtung nicht über ein gemeinsames Computernetzwerk miteinander verbunden sind, insbesondere nicht über das erste Computernetzwerk bzw. das zweite Computernetzwerk. Weder die erste Computereinrichtung noch die zweite Computereinrichtung sind so aufgebaut, dass sie einen Zugriff auf die jeweils andere Computereinrichtung über jeweils angeschlossenen Computernetzwerk haben. So besteht insbesondere keine Verbindung zwischen den beiden Computereinrichtung derart, dass basierend auf dem Kommunikationsprotokoll des ersten Computernetzwerkes und/oder des zweiten Computernetzwerkes eine Kommunikation zwischen den beiden Computereinrichtung stattfinden kann. Es besteht insbesondere keine Ethernet-Verbindung zwischen den beiden Computereinrichtungen.
Zur sicheren Übertragung ist die erste Computereinrichtung nun eingerichtet, die in die Strukturdaten eingebetteten und in dem spezifischen Datenformat kodierten Nutzdaten aus den über die erste Datenschnittstelle empfangenen digitalen Daten zu extrahieren und ein optisches, akustisches, haptisches, elektrisches und/oder elektromagnetisches Signalmuster aus den extrahierten Nutzdaten ohne die Strukturdaten zu generieren und mittels mindestens einer entsprechenden optischen, akustischen, haptischen, elektrischen und/oder elektromagnetischen Sendeeinheit in Richtung der zweiter Computereinrichtung zu übertragen.
Die erste Computereinrichtung empfängt somit über ihre erste Datenschnittstelle digitale Daten aus dem ersten Computernetzwerk und extrahiert die in den empfangenen digitalen Daten enthaltenen Nutzdaten ohne die zur Einbettung der Nutzdaten vorgesehenen Strukturdaten. Diese so extrahierten Nutzdaten werden nun in ein Signalmuster umgewandelt, dass optisch, akustischen, haptischen, elektrischen und/oder elektromagnetisch sein kann. Dieses Signalmuster enthält dabei nur die Nutzdaten und nicht die zur Einbettung der Nutzdaten in den digitalen Daten notwendigen Strukturdaten.
Dieses so von der ersten Computereinrichtung generierte Signalmuster wird nun mithilfe einer Sendeeinheit der ersten Computereinrichtung in Richtung der zweiten Computereinrichtung übertragen. Die Sendeeinheit der ersten Computereinrichtung ist dabei ausgebildet, das jeweilige optische, akustische, haptische, elektrische und/oder elektromagnetische Signalmuster entsprechend physikalisch auszusenden. So ist die Sendeeinheit der ersten Computereinrichtung eingerichtet, ein optisches Signalmuster entsprechend optisch zu übertragen, ein akustisches Signalmuster entsprechend akustisch zu übertragen, ein haptisches Signalmuster entsprechend haptisch zu übertragen ein elektrisches Signalmuster entsprechend elektrisch zu übertragen und/oder ein elektromagnetisches Signalmuster entsprechend elektromagnetisch zu übertragen.
Die zweite Computereinrichtung ist nun ausgebildet, das von der ersten Computereinrichtung übertragene optische, akustische, haptische, elektrische und/oder elektromagnetische Signalmuster mittels mindestens einer entsprechenden optischen, akustischen, haptischen, elektrischen, und/oder elektromagnetischen Empfangseinheit zu empfangen und die in dem Signalmuster enthaltenen Nutzdaten zu extrahieren, und ferner digitale Daten durch Generieren von Strukturdaten in Abhängigkeit von dem spezifischen Datenformat und durch Einbetten der extrahierten Nutzdaten in die Strukturdaten in dem spezifischen Datenformat kodiert zu erzeugen und die so erzeugten digitalen Daten über die zweite Datenschnittstelle auszusenden
Die zweite Computereinrichtung empfängt somit das zuvor von der ersten Computereinrichtung ausgesendete Signalmuster mittels einer Empfangseinheit und extrahiert die in dem Signalmuster enthaltenen Nutzdaten. Handelt es sich um ein optisches Signalmuster, dass mittels einer optischen Sendeeinheit der ersten Computereinrichtung ausgesendet wurde, so ist die Empfangseinheit der zweiten Computereinrichtung eine optische Empfangseinheit, die eingerichtet ist, das optische Signalmuster entsprechend empfangen zu können. Analog hierzu handelt es sich bei einem akustischen Signalmuster um eine entsprechende akustische Empfangseinheit, etc.
Nachdem nun das Signalmuster empfangen wurde, werden die in dem Signalmuster enthaltenen Nutzdaten extrahiert und basierend auf diesen extrahierten Nutzdaten dann neue digitale Daten generiert. Hierzu werden zunächst digitale Daten gemäß dem spezifischen Datenformat mit den notwendigen Strukturdaten erzeugt und die extrahierten Nutzdaten in diese so neu erstellten Strukturdaten eingebettete. Gegebenenfalls werden die Nutzdaten dabei entsprechend dem spezifischen Datenformat kodiert. Diese durch die zweite Computereinrichtung erzeugten digitalen Daten mit generierten Strukturdaten und von der ersten Computereinrichtung übertragenen Nutzdaten werden nun über die zweite Datenschnittstelle in das zweite Computernetzwerk ausgesendet.
In Bezug auf die bestimmungsgemäße Wiedergabe der in den digitalen Daten enthaltenen Nutzdaten ist das aus den Nutzdaten generierte Signalmuster von dieser bestimmungsgemäßen Wiedergabe verschieden. Das Signalmuster kodiert dabei die in den digitalen Daten enthaltenen Nutzdaten ohne Strukturdaten. Das Signalmuster kodiert dabei die in den digitalen Daten enthaltenen Nutzdaten ohne Strukturdaten in einer von der bestimmungsgemäßen Wiedergabe der in den digitalen Daten enthaltenen Nutzdaten verschiedenen Wiedergabe.
Mithilfe der vorliegenden Erfindung wird es somit möglich, digitale Daten von einem Computernetzwerk in ein anderes Computernetzwerk zu übertragen, wobei mögliche Schadelemente innerhalb der Strukturdaten der digitalen Daten durch den Medienbruch bei der Übertragung zwischen der ersten Computereinrichtung und der zweiten Computereinrichtung eliminiert werden. Es werden lediglich die Nutzdaten in einer für das erste Computernetzwerk und zweite Computernetzwerk verschiedenen Art, insbesondere einer physikalisch verschiedenen Art, übertragen, sodass die zweite Computereinrichtung lediglich die Nutzdaten erhält und die notwendigen Strukturdaten neu generieren muss. Dadurch, dass sich die Übertragung zwischen der ersten Computereinrichtung der zweiten Computereinrichtung von der Art und Weise der Kommunikation der Computernetzwerke unterscheidet, gelingt kein direkter Zugriff der Schadsoftware auf dem Bereich der zweiten Computereinrichtung.
Es handelt sich bei den digitalen Daten, die von der zweiten Computereinrichtung in das zweite Computernetzwerk ausgesendet werden, nicht um ein Abbild bzw. um eine Kopie der digitalen Daten, die von der ersten Computereinrichtung aus dem ersten Computernetzwerk empfangen wurden, sondern um neu generierte digitale Daten. Schadelemente, die sich innerhalb der Strukturdaten befinden, wird somit eliminiert. Denn sämtliche, in dem Signalmuster enthaltenen Nutzdaten werden auch als reine Nutzdaten durch die zweite Computereinrichtung verstanden, selbst dann, wenn in den Nutzdaten, sofern das spezifischen Datenformat dies zulässt, selbst Schadelemente enthalten sind. Da diese nun Teil der Nutzdaten werden, werden sie durch die zweite Computereinrichtung als solche auch in die neu erstellten digitalen Daten als Nutzdaten kodiert und verlieren dadurch den Schadcharakter.
Dabei erfolgt die Übertragung des Signalmusters von der Sendeeinheit der ersten Computereinrichtung zu der Empfangseinheit der zweiten Computereinrichtung insbesondere auf eine von der Funktionsweise des Computernetzwerkes verschiedenen physikalischen Betriebsweise.
Unter dem Begriff Übertragen wird im Sinne der vorliegenden Erfindung zumindest das Senden von Daten bzw. Signalmustern, vorzugsweise aber auch Senden und Empfangen, verstanden.
Ein erstes Computernetzwerk und ein zweites Computernetzwerk können dabei physikalisch oder logisch getrennte Computernetzwerke sein. Denkbar ist aber auch, dass das erste Computernetzwerk ein erster Teil ist und das zweite Computernetzwerk ein zweiter Teil eines Ansicht gemeinsamen Computernetzwerkes, welches durch die Sicherheitsvorrichtung in zwei Computernetzwerke getrennt wird.
Gemäß einer Ausführungsform ist vorgesehen, dass die Sicherheitseinrichtung ein Gehäuse aufweist, innerhalb dessen die erste Computereinrichtung und die zweite Computereinrichtung so angeordnet sind, dass das von der Sendeeinheit der ersten Computereinrichtung ausgesendete Signalmuster von der Empfangseinheit der zweiten Computereinrichtung empfangbar ist.
Es handelt sich demnach um eine Art Blackbox mit einem Gehäuse, an dem die erste und zweite Datenschnittstelle der ersten und zweiten Computereinrichtung zur Verbindung mit dem jeweiligen Computernetzwerk angeordnet sind. Innerhalb des Gehäuses ist die erste Computereinrichtung die zweite Computereinrichtung so angeordnet, dass die Sendeeinheit der ersten Computereinrichtung das Signalmuster in Richtung der zweiten Computereinrichtung so aussenden kann, dass die Empfangseinheit der zweiten Computereinrichtung das ausgesendete Signalmuster entsprechend empfangen kann.
Gemäß einer Ausführungsform ist vorgesehen, dass die erste Computereinrichtung eingerichtet ist, aus den als digitale Bilddaten kodierten digitalen Daten Bildinformati- onen als Nutzdaten zu extrahieren und aus den Bildinformationen ein Signalmuster zu generieren, und dass die zweite Computereinrichtung eingerichtet ist, aus dem empfangenen Signalmuster die Bildinformationen zu extrahieren und aus den Bildinformationen als digitale Bilddaten kodierte digitale Daten gemäß dem spezifischen Datenformat zu erzeugen.
Solche digitalen Bilddaten können beispielsweise Bilddateien (jpg, tiff, png, etc) sein, bei denen Bildinformationen in entsprechende Strukturdaten eingebettete und entsprechend kodiert sind. Es werden nun sämtliche Bildinformationen aus den digitalen Bilddaten extrahiert und in das entsprechende Signalmuster umgewandelt. Ein solches Signalmuster kann dabei beispielsweise ein optisches Muster sein, welches lediglich die Bildinformationen beinhaltet. Dabei wird ein optisches Signalmuster generiert, welches die Bildinformationen kodiert enthält.
Solche digitalen Bilddaten können im Sinne der vorliegenden Erfindung auch Dokumente (bspw. docx, pdf, etc) sein, in denen auf einem Bildschirm darstellbaren Informationen hinterlegt sind. Da diese Informationen letztlich visuell bzw. optisch angezeigt werden, werden solche digitalen Dokumentendaten ebenfalls als digitale Bilddaten im Sinne der vorliegenden Erfindung betrachtet.
Gemäß einer Ausführungsform ist vorgesehen, dass die erste Computereinrichtung eingerichtet ist, aus den als digitale Videodaten kodierten digitalen Daten Videoin- formtionen als Nutzdaten zu extrahieren und aus den Videoinformationen ein Signalmuster zu generieren, und dass die zweite Computereinrichtung eingerichtet ist, aus dem empfangenen Signalmuster die Videoinformtionen zu extrahieren und aus den Videoinformtionen als digitale Videodaten kodierte digitale Daten gemäß dem spezifischen Datenformat zu erzeugen.
Solche digitalen Videodaten können beispielsweise Videodateien (mkv, mpeg, etc.) oder Videostreams sein, die gemäß einem entsprechenden spezifischen Videodatenformat (H.264, H.265, etc.) kodiert sind. Auch hier werden lediglich die Videoinformationen der digitalen Videodaten extrahiert und in das Signalmuster umgewandelt, ohne die zur Abspeicherung der Dateien oder zur Übertragung in einem Computernetzwerk notwendigen Strukturdaten. So werden beispielsweise sämtliche Contai- io nerstrukturen der Videodaten gerade nicht in das Signalmuster umgewandelt, sondern lediglich die Videoinformationen in Form von Nutzdaten.
Gemäß einer Ausführungsform ist vorgesehen, dass die erste Computereinrichtung eingerichtet ist, aus den als digitalen Audiodaten kodierten digitalen Daten Audioinformationen als Nutzdaten zu extrahieren und aus den Audioinformationen ein Signalmuster zu generieren, und dass die zweite Computereinrichtung eingerichtet ist, aus dem empfangenen Signalmuster die Audioinformationen zu extrahieren und aus den Audioinformationen als digitale Audiodaten kodierte digitale Daten gemäß dem spezifischen Datenformat zu erzeugen.
Solche digitalen Audiodaten können beispielsweise Audiodateien (wav, Ogg-Vorbis, mp3) oder Audiostreams sein. Auch hier werden lediglich die Audioinformationen ohne die zur Abspeicherung der Dateien oder zur Übertragung in einem Computernetzwerk notwendigen Strukturdaten als Signalmuster übertragen.
Gemäß einer Ausführungsform ist vorgesehen, dass die erste Computereinrichtung eingerichtet ist, ein optisches Signalmuster aus den extrahierten Nutzdaten zu generieren und mittels eines Bildschirms als optische Sendeeinheit zu übertragen, und dass die zweite Computereinrichtung eingerichtet ist, mittels einer Kamera als optische Empfangseinheit das übertragene optische Signalmuster zu empfangen und aus den von der Kamera aufgenommenen und das optische Signalmuster enthaltenen Kameradaten das optische Signalmuster zu erkennen und die Nutzdaten aus dem erkannten optischen Signalmuster zu extrahieren. Ein solches optisches Signalmuster kann bspw. ein 2D-optoelektronischer Code ist.
So können die zu übertragenen Nutzdaten in Form eines Signalmusters auf einem Bildschirm so dargestellt werden, dass einzelne Informationen durch Symbole innerhalb der Signalmuster, durch Farben oder Ähnliches dargestellt werden. Wird einer Kamera bei der zweiten Computereinrichtung mit einer hohen Abtastfrequenz verwendet, so kann das Signalmuster aus einer Vielzahl von Teilmustern bestehen, die nacheinander mit einer hohen Frequenz auf dem Bildschirm der ersten Computereinrichtung dargestellt werden. Durch die Verwendung eines 2D-optoelektronischen Codes können die Nutzdaten entsprechend einem gewissen Standard in das Signalmuster kodiert werden, wobei die Datenrate eines solchen 2D-optoelektronischen Codes durch mehrere Teilmuster, die nacheinander in einer hohen Frequenz angezeigt werden, oder durch Erhöhung der Informationsdichte (beispielsweise Farben) deutlich erhöht werden kann. Hierdurch kann die Übertragungsrate von dem ersten Computernetzwerk auf das zweite Computernetzwerk verbessert werden.
Gemäß einer Ausführungsform ist vorgesehen, dass die erste Computereinrichtung eingerichtet ist, ein akustisches Signalmuster aus den extrahierten Nutzdaten zu generieren und mittels eines Lautsprechers als akustische Sendeeinheit zu übertragen, und dass die zweite Computereinrichtung eingerichtet ist, mittels eines Mikrofon als akustische Empfangseinheit das übertragene akustische Signalmuster zu empfangen und aus den von dem Mikrofon aufgenommenen und das akustische Signalmuster enthaltenen Mikrofondaten das akustische Signalmuster zu erkennen und die Nutzdaten aus dem erkannten akustischen Signalmuster zu extrahieren.
Gemäß einer Ausführungsform ist vorgesehen, dass die erste Computereinrichtung eingerichtet ist, ein elektrisches Signalmuster aus den extrahierten Nutzdaten zu generieren und mittels einer elektrischen Sendeeinheit zu übertragen, und dass die zweite Computereinrichtung eingerichtet ist, mittels einer elektrischen Empfangseinheit das übertragene elektrische Signalmuster zu empfangen und aus den von der elektrischen Empfangseinheit erfassten und das elektrische Signalmuster enthaltenen Empfangsdaten das elektrische Signalmuster zu erkennen und die Nutzdaten aus dem erkannten elektrischen Signalmuster zu extrahieren.
So ist es denkbar, dass die erste Computereinrichtung die zweite Computereinrichtung über ein oder mehrere elektrische Leiter miteinander verbunden sind, wobei die Übertragung der Nutzdaten in Form eines Signalmusters dann in Form von Stromimpulsen erfolgt. Die Nutzdaten werden dabei in ein Stromimpuls-Signalmuster umgewandelt und dann über die elektrischen Leiter an die zweite Computereinrichtung übertragen. Das Stromimpuls-Signalmuster entspricht dabei nicht der Art und Weise der Signalübertragung in dem ersten Computernetzwerk und/oder dem zweiten Computernetzwerk - weder in physikalischer Hinsicht noch hinsichtlich des übertragenen Protokolls. Dabei ist es des Weiteren denkbar und im Rahmen der Erfindung, wenn durch die Sicherheitsvorrichtung auch ein Rückkanal zur Verfügung gestellt wird, d.h. eine Kommunikation vom zweiten Computernetzwerk in das erste Computernetzwerk. Dieser Rückkanal kann auf bekannter Netzwerkarchitektur beruhen, so dass die Sicherheitsmerkmale der vorliegenden Erfindung nicht angewendet werden. Dankbar ist aber auch, dass der Rückkanal von dem zweiten Computernetzwerk in das erste Computernetzwerk auf die gleiche Art und Weise erfolgt, wie die sichere Kommunikation von dem ersten Computernetzwerk durch die Sicherheitsvorrichtung in das zweite Computernetzwerk.
Hierfür kann vorgesehen sein, dass in der Sicherheitsvorrichtung eine weitere erste Computereinrichtung und eine weitere zweite Computereinrichtung vorgesehen ist, die spiegelverkehrt zu der ersten und zweiten Computereinrichtung aufgebaut sind. Die weitere erste Computereinrichtung weist demnach eine Empfangseinheit zum Empfangen des Signalmusters auf, dass von der Sendeeinheit der weiteren zweiten Computereinrichtung ausgesendet wird.
Denkbar ist aber auch, dass die erste Computereinrichtung neben der Sendeeinheit auch eine entsprechende Empfangseinheit und die zweite Computereinrichtung neben der Empfangseinheit auch eine Sendeeinheit hat, um eine bidirektionale Kommunikation zwischen den angeschlossenen Computernetzwerken zu ermöglichen.
Die Erfindung wird im Übrigen auch mit dem Verfahren gemäß Anspruch 10 zur sicheren Übertragung von digitalen Daten, die durch ein spezifisches Datenformat vorgegebene Strukturdaten und in die Strukturdaten eingebettete und in dem spezifischen Datenformat kodierte Nutzdaten enthalten, zwischen einem ersten Computernetzwerk und wenigstens einem zweiten Computernetzwerk gelöst, wobei das Verfahren die folgenden Schritte umfasst:
- Empfangen von digitalen Daten aus dem ersten Computernetzwerk mittels einer ersten Datenschnittstelle wenigstens einer ersten Computereinrichtung;
- Extrahieren von in die Strukturdaten eingebetteten und in dem spezifischen Datenformat kodierten Nutzdaten aus den über die erste Daten- Schnittstelle empfangenen digitalen Daten mittels der ersten Computereinrichtung;
- Generieren eines optischen, akustischen, haptischen, elektrischen und/oder elektromagnetischen Signalmuster aus den extrahierten Nutzdaten ohne die Strukturdaten mittels der ersten Computereinrichtung;
- Übertragen des generierten Signalmusters in Richtung der zweiten Computereinrichtung mittels mindestens einer entsprechenden optischen, akustischen, haptischen, elektrischen und/oder elektromagnetischen Sendeeinheit der ersten Computereinrichtung;
- Empfangen des generierten Signalmusters mittels mindestens einer entsprechenden optischen, akustischen, haptischen, elektrischen, und/oder elektromagnetischen Empfangseinheit der zweiten Computereinrichtung;
- Extrahieren der in dem empfangenen Signalmuster enthaltenen Nutzdaten mittels der zweiten Computereinrichtung;
- Erzeugen von digitalen Daten durch Generieren von Strukturdaten in Abhängigkeit von dem spezifischen Datenformat und durch Einbetten der extrahierten Nutzdaten in dem spezifischen Datenformat kodiert in die generierten Strukturdaten; und
- Senden der erzeugten digitalen Daten in das zweite Computernetzwerk mittels einer zweiten Datenschnittstelle wenigstens einer zu der ersten Computereinrichtung separaten zweiten Computereinrichtung.
Vorteilhafte Ausgestaltungen des Verfahrens finden sich dabei in den entsprechenden Unteransprüchen.
Die Erfindung wird anhand der beigefügten Figuren beispielhaft näher erläutert. Es zeigen:
Figur 1 Schematische Darstellung des grundlegenden Funktionsprinzips und Verfahrensablaufes;
Figur 2 Schematische Darstellung des erfindungsgemäßen Ablaufes;
Figur 3 Schematische Darstellung einer ersten Ausführungsform mit optischer Übertragung;
Figur 4 Schematische Darstellung einer zweiten Ausführungsform mit akustischer Übertragung;
Figur 5 Schematische Darstellung einer dritten Ausführungsform mit elektrischer Übertragung.
Figur 1 zeigt in einer schematisch stark vereinfachten Darstellung eine Sicherheitsvorrichtung 10, die an ein erstes Computernetzwerk 11 und an ein zweites Compu- ternetzwerk 12 angeschlossen bzw. anschließbar ist. Von dem ersten Computernetzwerk 11 können dabei digitale Daten 13a zu der Sicherheitsvorrichtung 10 und von der Sicherheitsvorrichtung 10 dann als digitale Daten 13b in das zweite Compu- ternetzwerk 12 übertragen werden.
Die Sicherheitsvorrichtung 10 weist dabei ein Gehäuse 14 auf, in dem sich später noch detailliert dargestellt Datenschnittstelle befinden, mit denen die Sicherheitsvorrichtung 10 mit dem jeweils ersten Computernetzwerk 11 und dem zweiten Compu- ternetzwerk 12 verbunden werden kann.
Die Sicherheitsvorrichtung 10 weist innerhalb des Gehäuses 14 eine erste Computereinrichtung 20 und eine zweite Computereinrichtung 30 auf die getrennt voneinander in dem Gehäuse 14 angeordnet sind. Insbesondere besteht keine auf Standardschnittstellen bzw. Standardprotokollen basierende Kommunikation zwischen diesen beiden Computereinrichtung und 20 und 30.
Die erste Computereinrichtung 20 hat eine erste Datenschnittstelle 21 , mit der die Sicherheitsvorrichtung 10 bzw. die erste Computereinrichtung 20 mit dem ersten Computernetzwerk 11 elektronisch und kommunizierend verbunden werden kann. Die erste Computereinrichtung 20 weist des Weiteren eine mit der Datenschnittstelle 21 in Verbindung stehende 1. Recheneinheit 22 auf, um die von der ersten Datenschnittstelle 21 empfangenen digitalen Daten 13a entsprechend elektronisch weiterverarbeiten zu können. Die Recheneinheit 22 kann dabei beispielsweise eine programmierbare CPU aufweisen oder Mikrocontroller gesteuert sein.
Im Ausführungsbeispiel der Figur 1 ist die zweite Computereinrichtung 30 insoweit identisch aufgebaut und weist eine zweite Datenschnittstelle 31 auf, um die Sicherheitsvorrichtung 10 bzw. die zweite Computereinrichtung 30 mit dem zweiten Compu- ternetzwerk 12 kommunizierend verbinden zu können. Über die zweite Datenschnittstelle 31 können dabei die sicher zu übertragenen digitalen Daten 13 b an das zweite Computernetzwerk 12 ausgesendet werden. Solche Datenschnittstelle 21 und 31 können beispielsweise als Ethernet-Schnittstellen in Form von RJ-45 Verbinder ausgebildet sein. Des Weiteren weist auch die zweite Computereinrichtung 30 eine zweite Recheneinheit 32 auf die beispielsweise eine programmierbare CPU oder einen Mikrocontroller aufweisen kann.
Die erste Computereinrichtung 20 weist nun eine Sendeeinheit 23 auf, mit der ein Signalmuster 15 (in Figur 1 angedeuteten Form eines optischen Musters) in Richtung der zweiten Computereinrichtung 30 ausgesendet werden können. Hierfür weist die zweite Computereinrichtung 30 eine entsprechende Empfangseinheit 33 auf, damit das von der ersten Computereinrichtung 20 mit der Sendeeinheit 23 ausgesendete Signalmuster 15 durch die zweite Computereinrichtung 30 empfangen werden können.
Der erfindungsgemäße Ablauf ist dabei in Figur 2 dargestellt. Über die erste Datenschnittstelle 21 der ersten Computereinrichtung 20 empfängt die Sicherheitsvorrichtung 10 digitale Daten 13a aus dem ersten Computernetzwerk 11 im Schritt 200. Diese aus dem ersten Computernetzwerk 11 empfangenen digitalen Daten 13a befinden sich dabei nur in der ersten Computereinrichtung 20 und werden nicht in Form einer identischen Kopie bzw. eines Abbildes an die zweite Computereinrichtung 30 weitergeleitet. Vielmehr werden in einem zweiten Schritt 210 aus den so empfangenen digitalen Daten 13a die Nutzdaten der digitalen Daten 13a ohne die die Nutzdaten einbettenden Strukturdaten extrahiert. Das Extrahieren der Nutzdaten kann dabei insbesondere durch Öffnen der digitalen Daten, beispielsweise einer digitalen Datei, erfolgen. Umgangssprachlich wird dabei durch das Öffnen einer digitalen Datei der Zugriff auf die Nutzdaten verstanden, wobei der Zugriff auf die Nutzdaten unter Kenntnis des spezifischen Datenformates sowie den die Nutzdaten einbettenden Strukturdaten der Datei erfolgt. Der Zugriff auf die Nutzdaten durch das Öffnen der digitalen Datei kann beispielsweise mithilfe eines speziellen Programmes erfolgen, das auf der zweiten Computereinrichtung 20 ausgeführt wird.
Die so extrahierten Nutzdaten werden nun in einem dritten Schritt 220 in ein gewünschtes Signalmuster 15 umgewandelt und mithilfe der Sendeeinheit 23 der ersten Computereinrichtung 20 im darauffolgenden Schritt 230 ausgegeben.
Das ausgesendete Signalmuster 15 wird nun in einem weiteren Schritt 300 von der Empfangseinheit 33 der zweiten Computereinrichtung 30 empfangen. Anschließend werden die in dem empfangenen Signalmuster 15 enthaltenen Nutzdaten im nächsten Schritt 310 extrahiert, sodass aus diesen so extrahierten Nutzdaten dann im Schritt 320 eine neu aufgebaute Kopie der digitalen Daten 13a als neue digitale Daten 13b erstellt werden können. Hierfür werden im Schritt 320 zunächst basierend auf dem spezifischen Datenformat die Strukturdaten für das Einbetten der jeweiligen Nutzdaten generiert und anschließend die Nutzdaten in diese neugenerierten Strukturdaten eingebettete. Das Erzeugen dieser Strukturdaten erfolgt dabei nicht in Form einer Kopie der Strukturdaten der aus dem ersten Computernetzwerk 11 empfangenen digitalen Daten 13a, sondern durch grundlegend neue Aufbau dieser Strukturdaten im Speicher in Abhängigkeit von dem spezifischen Datenformat.
Anschließend werden die so neu erstellten digitalen Daten 13b im Schritt 330 mithilfe der zweiten Datenschnittstelle 33 der zweiten Computereinrichtung 30 an das zweite Computernetzwerk 12 ausgesendet.
Dabei erfolgt durch das Generieren, Aussenden und Empfangen des Signalmusters ein Medienbruch, bei dem das Signalmuster entweder auf einem von der Betriebsweise der Computernetzwerke physikalisch verschiedenen Art übertragen wird und/oder bei dem das Signalmuster basierend auf einer Protokollumwandlung mit einem von den Computernetzwerken verschiedenen proprietären Protokoll übertragen wird.
Figur 3 zeigt eine Ausführungsform, bei der die Sendeeinheit 23 der ersten Computereinrichtung 20 als Bildschirm ausgebildet ist, während die Empfangseinheit 33 der zweiten Computereinrichtung 30 als Kamera ausgebildet ist. Die in der ersten Computereinrichtung 20 extrahierten Nutzdaten werden dabei in ein optisches Signalmuster umgewandelt, welches dann auf dem Bildschirm 23 angezeigt wird. Der Inhalt des Bildschirms 23 wird dann durch die Kamera 33 der zweiten Computereinrichtung 30 aufgenommen und die in den aufgenommenen Kameradaten enthaltenen Signalmuster erkannt und die Nutzdaten aus diesen Signalmuster extrahiert.
Ein solches Signalmuster kann dabei beispielsweise ein 2D-optoelektronischer Code sein, bei dem die Nutzdaten in einer zweidimensionalen Fläche durch Symbole, Formen und/oder Farben kodiert werden. Darüber hinaus ist es denkbar, dass in einer zeitlichen Abfolge eine Vielzahl von Teilmuster als ein Signalmuster angezeigt werden, deren Inhalt jeweils einen Teil der Nutzdaten abbildet, wobei durch die zweite Computereinrichtung 30 dann die einzelnen Teile extrahiert und zusammengesetzt werden, um die entsprechenden Nutzdaten zu erhalten.
So ist es bei digitalen Bilddaten bzw. digitalen Dokumentendaten denkbar, dass der visuelle Inhalt der Nutzdaten in einen Speicher oder in einen Grafikspeicher der ersten Computereinrichtung 20 übertragen wird, indem die extrahierten Nutzdaten, die basierend auf dem spezifischen Datenformat entsprechend kodierten, in eine visuelle Ausgabe umgewandelt werden. Dies kann beispielsweise durch Öffnen der digitalen Bilddaten bzw. der digitalen Dokumentendaten durch ein spezielles Programm, welches auf der ersten Computereinrichtung ausgeführt wird, erfolgen. Durch das Öffnen der digitalen Bilddaten bzw. der digitalen Dokumentendaten werden unter Kenntnis des spezifischen Datenformates die digitalen Daten in den Speicher eingelesen und anschließend die Nutzdaten aus den Strukturdaten gegebenenfalls unter Zuhilfenahme der Strukturdaten extrahiert. Diese visuelle Ausgabe muss dabei nicht zwingend auf einem Bildschirm erfolgen, sondern können auch ausschließlich in dem Datenspeicher geladen werden. Anschließend kann aus dieser visuellen Ausgabe, die in dem Datenspeicher vorliegt, dass Signalmuster erzeugt werden. Sollten die ursprünglichen digitalen Bilddaten bzw. Dokumentendaten kompromittiert sein, so wird hierbei lediglich die erste Computereinrichtung 20 in Mitleidenschaft gezogen. Im einfachsten Fall werden die Bildinformationen bzw. Dokumenteninformationen aus den digitalen Bilddaten bzw. Dokumentendaten direkt als Signalmuster verwendet.
Selbiges gilt selbstverständlich auch für digitale Videodaten und digitale Audiodaten. Auch diese können als digitale Ausgabe im Speicher hinterlegt werden, sodass die Nutzdaten aus dem digitalen Daten entsprechend extrahiert sind.
Figur 4 zeigt ein Ausführungsbeispiel, bei dem die Sendeeinheit 23 der ersten Computereinrichtung 20 ein Lautsprecher ist, während die Empfangseinheit 33 der zweiten Computereinrichtung 30 ein Mikrofon darstellt. Das zu übertragene Signalmuster ist hierbei ein akustisches Signalmuster, welches durch den Lautsprecher der Computereinrichtung 20 ausgegeben und durch das Mikrofon der Computereinrichtung 30 empfangen wird. So ist es beispielsweise denkbar, dass ein Bit oder ein Byte durch eine bestimmte akustische Tonfolge oder Schallwelle kodiert wird, sodass die Nutzdaten vorliegend in Bits und Bytes durch eine so kodierte Tonfolge zinslose Schallwelle übertragen werden können.
Schließlich zeigt Figur 5 ein Ausführungsbeispiel, bei dem die Sendeeinheit 23 und die Empfangseinheit 33 das Signalmuster in Form von elektrischen Stromimpulsen senden und empfangen können. Die Stromimpulse sind dabei insbesondere von dem Kommunikationsprotokoll der Computernetzwerke 11 und 12 verschieden und weisen hierbei keine Gemeinsamkeiten auf.
Bezuqszeichenliste
10 Sicherheitsvorrichtung
11 Erstes Com puternetzwerk
12 Zweites Corn puternetzwerk
13a digitale Daten vom ersten Computernetzwerk
13b digitale Daten in das zweite Computernetzwerk
14 Gehäuse
15 Signalmuster
20 erste Computereinrichtung
21 erste Datenschnittstelle der ersten Computereinrichtung
22 erste Recheneinheit der ersten Computereinrichtung
23 Sendeeinheit der ersten Computereinrichtung
30 zweite Computereinrichtung
31 zweite Datenschnittstelle der zweiten Computereinrichtung
32 zweite Recheneinheit der zweiten Computereinrichtung
33 Empfangseinheit der zweiten Computereinrichtung
220 - 230 Verfahrensabläufe der ersten Computereinrichtung
300 - 330 Verfahrensabläufe der zweiten Computereinrichtung

Claims

Patentansprüche
1 . Sicherheitsvorrichtung (10) zur sicheren Übertragung von digitalen Daten, die durch ein spezifisches Datenformat vorgegebene Strukturdaten und in die Strukturdaten eingebettete und in dem spezifischen Datenformat kodierte Nutzdaten enthalten, zwischen einem ersten Computernetzwerk (11 ) und wenigstens einem zweiten Computernetzwerk (12), wobei die Sicherheitsvorrichtung (10) aufweist:
- wenigstens eine erste Computereinrichtung (20) mit einer ersten Datenschnittstelle (21 ), die zum Empfangen von digitalen Daten aus dem ersten Computernetzwerk (11 ) kommunizierend verbunden oder verbindbar ist, und
- wenigstens eine zu der ersten Computereinrichtung (20) separate zweite Computereinrichtung (30) mit einer zweiten Datenschnittstelle (31 ), die zum Senden von digitalen Daten in das zweite Computernetzwerk (12) zum kommunizierend verbunden oder verbindbar ist,
- wobei die erste Computereinrichtung (20) eingerichtet ist, die in die Strukturdaten eingebetteten und in dem spezifischen Datenformat kodierten Nutzdaten aus den über die erste Datenschnittstelle (21 ) empfangenen digitalen Daten zu extrahieren und ein optisches, akustisches, haptisches, elektrisches und/oder elektromagnetisches Signalmuster (15) aus den extrahierten Nutzdaten ohne die Strukturdaten zu generieren und mittels mindestens einer entsprechenden optischen, akustischen, haptischen, elektrischen und/oder elektromagnetischen Sendeeinheit (23) in Richtung der zweiter Computereinrichtung (30) zu übertragen,
- wobei die zweite Computereinrichtung (30) eingerichtet ist, das von der ersten Computereinrichtung (20) übertragene optische, akustische, haptische, elektrische und/oder elektromagnetische Signalmuster (15) mittels mindestens einer entsprechenden optischen, akustischen, haptischen, elektrischen, und/oder elektromagnetischen Empfangseinheit (33) zu empfangen und die in dem Signalmuster (15) enthaltenen Nutzdaten zu extrahieren, und
- wobei die zweite Computereinrichtung (30) weiterhin eingerichtet ist, digitale Daten durch Generieren von Strukturdaten in Abhängigkeit von dem spezifischen Datenformat und durch Einbetten der extrahierten Nutzdaten in die Strukturdaten kodiert in dem spezifischen Datenformat zu erzeugen und die so erzeugten digitalen Daten über die zweite Datenschnittstelle (31 ) auszusenden. Sicherheitseinrichtung nach Anspruch 1 , dadurch gekennzeichnet, dass die Sicherheitseinrichtung ein Gehäuse (14) aufweist, innerhalb dessen die erste Computereinrichtung (20) und die zweite Computereinrichtung (30) so angeordnet sind, dass das von der Sendeeinheit (23) der ersten Computereinrichtung (20) ausgesendete Signalmuster (15) von der Empfangseinheit (33) der zweiten Computereinrichtung (30) empfangbar ist. Sicherheitseinrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die erste Computereinrichtung (20) eingerichtet ist, aus den als digitale Bilddaten kodierten digitalen Daten Bildinformationen als Nutzdaten zu extrahieren und aus den Bildinformationen ein Signalmuster (15) zu generieren, und dass die zweite Computereinrichtung (30) eingerichtet ist, aus dem empfangenen Signalmuster (15) die Bildinformationen zu extrahieren und aus den Bildinformationen als digitale Bilddaten kodierte digitale Daten gemäß dem spezifischen Datenformat zu erzeugen. Sicherheitseinrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Computereinrichtung (20) eingerichtet ist, aus den als digitale Videodaten kodierten digitalen Daten Videoinformationen als Nutzdaten zu extrahieren und aus den Videoinformationen ein Signalmuster (15) zu generieren, und dass die zweite Computereinrichtung (30) eingerichtet ist, aus dem empfangenen Signalmuster (15) die Videoinformationen zu extrahieren und aus den Videoinformationen als digitale Videodaten kodierte digitale Daten gemäß dem spezifischen Datenformat zu erzeugen. Sicherheitseinrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Computereinrichtung (20) eingerichtet ist, aus den als digitalen Audiodaten kodierten digitalen Daten Audioinformationen als Nutzdaten zu extrahieren und aus den Audioinformationen ein Signalmuster (15) zu generieren, und dass die zweite Computereinrichtung (30) eingerichtet ist, aus dem empfangenen Signalmuster (15) die Audioinformationen zu extrahieren und aus den Audioinformationen als digitale Audiodaten kodierte digitale Daten gemäß dem spezifischen Datenformat zu erzeugen. Sicherheitseinrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Computereinrichtung (20) eingerichtet ist, ein optisches Signalmuster (15) aus den extrahierten Nutzdaten zu generieren und mittels eines Bildschirms als optische Sendeeinheit (23) zu übertragen, und dass die zweite Computereinrichtung (30) eingerichtet ist, mittels einer Kamera als optische Empfangseinheit (33) das übertragene optische Signalmuster (15) zu empfangen und aus den von der Kamera aufgenommenen und das optische Signalmuster (15) enthaltenen Kameradaten das optische Signalmuster (15) zu erkennen und die Nutzdaten aus dem erkannten optischen Signalmuster (15) zu extrahieren. Sicherheitseinrichtung nach Anspruch 6, dadurch gekennzeichnet, dass das optische Signalmuster (15) ein 2D-optoelektronischer Code ist. Sicherheitseinrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Computereinrichtung (20) eingerichtet ist, ein akustisches Signalmuster (15) aus den extrahierten Nutzdaten zu generieren und mittels eines Lautsprechers als akustische Sendeeinheit (23) zu übertragen, und dass die zweite Computereinrichtung (30) eingerichtet ist, mittels eines Mikrofon als akustische Empfangseinheit (33) das übertragene akustische Signalmuster (15) zu empfangen und aus den von dem Mikrofon aufgenommenen und das akustische Signalmuster (15) enthaltenen Mikrofondaten das akustische Signalmuster (15) zu erkennen und die Nutzdaten aus dem erkannten akustischen Signalmuster (15) zu extrahieren. Sicherheitseinrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Computereinrichtung (20) eingerichtet ist, ein elektrisches Signalmuster (15) aus den extrahierten Nutzdaten zu generieren und mittels einer elektrischen Sendeeinheit (23) zu übertragen, und dass die zweite Computereinrichtung (30) eingerichtet ist, mittels einer elektrischen Empfangseinheit (33) das übertragene elektrische Signalmuster (15) zu empfangen und aus den von der elektrischen Empfangseinheit (33) erfassten und das elektrische Signalmuster (15) enthaltenen Empfangsdaten das elektrische Signalmuster (15) zu erkennen und die Nutzdaten aus dem erkannten elektrischen Signalmuster (15) zu extrahieren. Verfahren zur sicheren Übertragung von digitalen Daten, die durch ein spezifisches Datenformat vorgegebene Strukturdaten und in die Strukturdaten eingebettete und in dem spezifischen Datenformat kodierte Nutzdaten enthalten, zwischen einem ersten Computernetzwerk (11 ) und wenigstens einem zweiten Computernetzwerk (12), wobei das Verfahren die folgenden Schritte umfasst:
- Empfangen von digitalen Daten aus dem ersten Computernetzwerk (11 ) mittels einer ersten Datenschnittstelle (21 ) wenigstens einer ersten Computereinrichtung (20);
- Extrahieren von in die Strukturdaten eingebetteten und in dem spezifischen Datenformat kodierten Nutzdaten aus den über die erste Datenschnittstelle (21 ) empfangenen digitalen Daten mittels der ersten Computereinrichtung (20);
- Generieren eines optischen, akustischen, haptischen, elektrischen und/oder elektromagnetischen Signalmuster (15) aus den extrahierten Nutzdaten ohne die Strukturdaten mittels der ersten Computereinrichtung (20); - Übertragen des generierten Signalmusters (15) in Richtung der zweiten Computereinrichtung (30) mittels mindestens einer entsprechenden optischen, akustischen, haptischen, elektrischen und/oder elektromagnetischen Sendeeinheit (23) der ersten Computereinrichtung (20);
- Empfangen des generierten Signalmusters (15) mittels mindestens einer entsprechenden optischen, akustischen, haptischen, elektrischen, und/oder elektromagnetischen Empfangseinheit (33) der zweiten Computereinrichtung (30);
- Extrahieren der in dem empfangenen Signalmuster (15) enthaltenen Nutzdaten mittels der zweiten Computereinrichtung (30);
- Erzeugen von digitalen Daten durch Generieren von Strukturdaten in Abhängigkeit von dem spezifischen Datenformat und durch Einbetten der extrahierten Nutzdaten in dem spezifischen Datenformat kodiert in die generierten Strukturdaten; und
- Senden der erzeugten digitalen Daten in das zweite Computernetzwerk (12) mittels einer zweiten Datenschnittstelle (31 ) wenigstens einer zu der ersten Computereinrichtung (20) separaten zweiten Computereinrichtung (30). Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass
- aus den als digitale Bilddaten kodierten digitalen Daten Bildinformationen als Nutzdaten extrahiert und aus den Bildinformationen ein Signalmuster (15) mittels der ersten Computereinrichtung (20) generiert wird, und dass aus dem empfangenen Signalmuster (15) die Bildinformationen extrahiert und aus den Bildinformationen als digitale Bilddaten kodierte digitale Daten gemäß dem spezifischen Datenformat mittels der zweiten Computereinrichtung (30) generiert werden, und/oder
- aus den als digitale Videodaten kodierten digitalen Daten Videoinformtionen als Nutzdaten extrahiert und aus den Videoinformationen ein Signalmuster (15) mittels der ersten Computereinrichtung (20) generiert wird, und dass aus dem empfangenen Signalmuster (15) die Videoinformtionen extrahiert und aus den Videoinformtionen als digitale Videodaten kodierte digitale Daten gemäß dem spezifischen Datenformat mittels der zweiten Computereinrichtung (30) generiert werden, und/oder
- aus den als digitalen Audiodaten kodierten digitalen Daten Audioinformationen als Nutzdaten extrahiert und aus den Audioinformationen ein Signalmuster (15) mittels der ersten Computereinrichtung (20) generiert wird, und dass aus dem empfangenen Signalmuster (15) die Audioinformationen extrahiert und aus den Audioinformationen als digitale Audiodaten kodierte digitale Daten gemäß dem spezifischen Datenformat mittels der zweiten Computereinrichtung (30) erzeugt werden. Verfahren nach Anspruch 10 oder 11 , dadurch gekennzeichnet, dass mittels der ersten Computereinrichtung (20) ein optisches Signalmuster (15) aus den extrahierten Nutzdaten generiert und mittels eines Bildschirms als optische Sendeeinheit (23) übertragen wird, und dass mittels der zweiten Computereinrichtung (30) das übertragene optische Signalmuster (15) mittels einer Kamera als optische Empfangseinheit (33) empfangen und aus den von der Kamera aufgenommenen und das optische Signalmuster (15) enthaltenen Kameradaten das optische Signalmuster (15) erkannt und die Nutzdaten aus dem erkannten optischen Signalmuster (15) extrahiert werden. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass ein 2D- optoelektronischer Code als optisches Signalmuster (15) generiert wird. Verfahren nach einem der Ansprüche 10 bis 13, dadurch gekennzeichnet, dass mittels der ersten Computereinrichtung (20) ein akustisches Signalmuster (15) aus den extrahierten Nutzdaten generiert und mittels eines Lautsprechers als akustische Sendeeinheit (23) übertragen wird, und dass mittels der zweiten Computereinrichtung (30) das übertragene akustische Signalmuster (15) mittels eines Mikrofons als akustische Empfangseinheit (33) empfangen und aus den von dem Mikrofon aufgenommenen und das akustische Signalmuster (15) enthaltenen Mikrofondaten das akustische Signalmuster (15) erkennen und die Nutzdaten aus dem erkannten akustischen Signalmuster (15) extrahiert werden. Verfahren nach einem der Ansprüche 10 bis 14, dadurch gekennzeichnet, dass mittels der ersten Computereinrichtung (20) ein elektrisches
Signalmuster (15) aus den extrahierten Nutzdaten generiert und mittels einer elektrischen Sendeeinheit (23) übertragen wird, und dass mittels der zweiten Computereinrichtung (30) das übertragene elektrische Signalmuster (15) mittels einer elektrischen Empfangseinheit (33) empfangen und aus den von der elektrischen Empfangseinheit (33) erfassten und das elektrische
Signalmuster (15) enthaltenen Empfangsdaten das elektrische Signalmuster (15) erkennt und die Nutzdaten aus dem erkannten elektrischen Signalmuster (15) extrahiert werden.
PCT/EP2021/086971 2020-12-21 2021-12-21 Sicherheitsvorrichtung und verfahren zur sicheren übertragung von digitalen daten WO2022136362A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020134448.1 2020-12-21
DE102020134448.1A DE102020134448A1 (de) 2020-12-21 2020-12-21 Sicherheitsvorrichtung und Verfahren zur sicheren Übertragung von digitalen Daten

Publications (1)

Publication Number Publication Date
WO2022136362A1 true WO2022136362A1 (de) 2022-06-30

Family

ID=79686866

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2021/086971 WO2022136362A1 (de) 2020-12-21 2021-12-21 Sicherheitsvorrichtung und verfahren zur sicheren übertragung von digitalen daten

Country Status (2)

Country Link
DE (1) DE102020134448A1 (de)
WO (1) WO2022136362A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120159606A1 (en) * 2010-12-17 2012-06-21 Phillip John Sobolewski Code domain isolation
WO2016142856A1 (en) * 2015-03-08 2016-09-15 Soreq Nuclear Research Center Secure document transmission
WO2018177892A1 (de) * 2017-03-29 2018-10-04 Von Lonski Norbert Datenverarbeitungsanordnung und verfahren zu deren betrieb

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10423151B2 (en) 2017-07-07 2019-09-24 Battelle Energy Alliance, Llc Controller architecture and systems and methods for implementing the same in a networked control system
DE202018005644U1 (de) 2018-12-05 2019-02-04 Reiner Dassel Physikalische, Software unabhängige Antivirenschleuse
DE102019209009A1 (de) 2019-06-20 2020-12-24 Siemens Mobility GmbH Filter, Anordnung und Betriebsverfahren für eine Anordnung
DE102019118915A1 (de) 2019-07-12 2021-01-14 František Mojžiš Analoge Firewall

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120159606A1 (en) * 2010-12-17 2012-06-21 Phillip John Sobolewski Code domain isolation
WO2016142856A1 (en) * 2015-03-08 2016-09-15 Soreq Nuclear Research Center Secure document transmission
WO2018177892A1 (de) * 2017-03-29 2018-10-04 Von Lonski Norbert Datenverarbeitungsanordnung und verfahren zu deren betrieb

Also Published As

Publication number Publication date
DE102020134448A1 (de) 2022-06-23

Similar Documents

Publication Publication Date Title
EP0440914B1 (de) Verfahren zum Zuordnen von Nutzdaten zu einem bestimmten Absender
EP0814611B1 (de) Kommunikationssystem und Verfahren zur Aufnahme und Verwaltung digitaler Bilder
DE60310368T2 (de) Verfahren zur verhinderung von startkode-emulation und stopfdaten
DE69432072T2 (de) Datenkompression
DE102016220895A1 (de) Erkennung von Manipulationen in einem CAN-Netzwerk
DE102018009228A1 (de) IO-Link Scanner und Anzeiger
EP1240569A2 (de) Verfahren und vorrichtung zur überprüfung einer datei
WO2022136362A1 (de) Sicherheitsvorrichtung und verfahren zur sicheren übertragung von digitalen daten
EP1810442B1 (de) Vorrichtung und verfahren zum detektieren einer manipulation eines informationssignals
DE2423195A1 (de) Wartungsvorrichtung
EP1148726A2 (de) Überwachungseinrichtung
DE10146821B4 (de) Zutrittskontrollsystem
DE10153484B4 (de) Video-/Audio-System und Auswertungsverfahren für Video-/Audio-Daten
DE102015210576B4 (de) Verschlüsselungs-Pixelmatrix; Verfahren zu ihrer Erzeugung; Bilddatei, Videodatei und Videodatenstrom mit einer solchen Pixelmatrix, Verfahren zur Erzeugung einer Klarbildmatrix ausgehend von einer solchen Verschlüsselungs-Pixelmatrix sowie Dekodier-Einheit zur Durchführung dieses Verfahrens
DE102014208839A1 (de) Verfahren zur sicheren Datenübertragung zwischen einer Automatisierungsanlage und einer IT-Komponente
DE19701939C2 (de) Verfahren zum Erfassen einer an einer digitalen, bearbeiteten Information ausgeübten Manipulation
EP2122569B1 (de) Verfahren zur kennzeichnung eines digitalen bildes mit einem digitalen wasserzeichen
DE102019118915A1 (de) Analoge Firewall
EP0894322A1 (de) Verfahren und vorrichtung zum aufzeichnen/verarbeiten von authentischen bild- und/oder tondaten
WO2021028178A1 (de) Verfahren zum übertragen einer metainformation zu einem bild eines videostroms
EP2672419B1 (de) Verfahren zum Erzeugen eines gesicherten Datenobjekts und System
DE102007054842A1 (de) Drahtlose Übertragungsanordnung
EP3764260A1 (de) Analoge firewall
DD295477A5 (de) Verfahren und vorrichtung zur uebertragung von informationen mittels elektromagnetischer wellen
DE102010036350A1 (de) Einrichtung zur Video-Überwachung eines Selbstbedienungsterminals

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21844240

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 21844240

Country of ref document: EP

Kind code of ref document: A1