【技术实现步骤摘要】
用于在两个网络之间传输数据的传输设备和方法
本专利技术涉及一种用于在具有高的安全要求的第一网络和具有低的安全要求的第二网络之间传输数据的计算机实现的方法和传输设备,其中相应的通信尤其沿一个方向地实现。
技术介绍
为了在安全关键的网络和开放网络、诸如工业控制网络(英语为:IndustrialControlNetwork或OperationalNetwork)和典型的IT网络之间进行安全的通信,例如可以使用单向通信单元,诸如数据二极管,以便能够实现单向数据传输。具有反馈通道的数据二极管、也称作为双向网络防护或安全网关能够实现在两个具有不同的安全级的信息区域之间的安全的数据传递。网络防护通常是由硬件和软件构成的组合并且能够实现比防火墙更多的功能。双向网络防护通常构造成,分别借助于数据二极管实现两个彼此分开的单向数据流,其中数据流沿相反方向流动。这允许沿两个方向的数据交换,其中分别确保单向功能。例如,借助双向网络防护可以将数据从具有高的安全要求的网络传送到具有低的安全要求的开放网络中或者从具有低的安全要求的网络传送给具有高的安全要求的网络。在具有不同的安全要求的网络之间的数据传递应可靠地、即正确地、完整地并且满足安全要求地执行的情况下,通常需要附加的传递确认,所述传递确认在网络之间交换。“可靠的”或“可信赖的”数据传递尤其可以理解成完整的且无错误的数据传递。在从具有低的安全要求的网络到具有高的安全要求的网络的数据传递中,通常需要附加的检查,以便确保具有高的安全要求的网络的安全性和/或完好性和/或网络可 ...
【技术保护点】
1.一种用于在具有高的安全要求的第一网络(NW1)和具有低的安全要求的第二网络(NW2)之间传输数据的计算机实现的方法,其中/na)为了从所述第一网络(NW1)到所述第二网络(NW2)中的数据传输,在所述第一网络(NW1)和所述第二网络(NW2)之间构建(S1)第一会话,第一数据包由所述第一网络(NW1)中的发送单元(101)经由第一单向通信单元(301)传输(S2)给所述第二网络(NW2)中的接收单元(202),所述第一单向通信单元布置在所述第一网络(NW1)和所述第二网络(NW2)之间,/n和/nb)为了从所述第二网络(NW2)到所述第一网络(NW1)中的数据传输,构建(S3)第二会话,并且第二数据包从所述第二网络(NW2)中的发送单元(201)经由第二单向通信单元(400)传输(S4)给验证单元(302),所述验证单元布置在所述第一网络(NW1)和所述第二网络(NW2)之间,/n- 根据预设的规则在所述验证单元(302)中验证(S5)所述第二数据包,和/n- 在所述第二数据包的验证为肯定的情况下,构建第三会话,并且所述第二数据包由所述验证单元(302)传输(S6)给所述第一网络( ...
【技术特征摘要】
20190319 EP 19163812.11.一种用于在具有高的安全要求的第一网络(NW1)和具有低的安全要求的第二网络(NW2)之间传输数据的计算机实现的方法,其中
a)为了从所述第一网络(NW1)到所述第二网络(NW2)中的数据传输,在所述第一网络(NW1)和所述第二网络(NW2)之间构建(S1)第一会话,第一数据包由所述第一网络(NW1)中的发送单元(101)经由第一单向通信单元(301)传输(S2)给所述第二网络(NW2)中的接收单元(202),所述第一单向通信单元布置在所述第一网络(NW1)和所述第二网络(NW2)之间,
和
b)为了从所述第二网络(NW2)到所述第一网络(NW1)中的数据传输,构建(S3)第二会话,并且第二数据包从所述第二网络(NW2)中的发送单元(201)经由第二单向通信单元(400)传输(S4)给验证单元(302),所述验证单元布置在所述第一网络(NW1)和所述第二网络(NW2)之间,
-根据预设的规则在所述验证单元(302)中验证(S5)所述第二数据包,和
-在所述第二数据包的验证为肯定的情况下,构建第三会话,并且所述第二数据包由所述验证单元(302)传输(S6)给所述第一网络(NW1)中的接收单元(102)。
2.根据权利要求1所述的计算机实现的方法,
其中在所述第一网络(NW1)中的接收单元(102)和发送单元(101)之间和/或在所述第二网络(NW2)中的接收单元(202)和发送单元(201)之间传输至少一个数据包。
3.根据上述权利要求中任一项所述的计算机实现的方法,
其中第一或第二数据包构造为有效数据包(PDU1)或构造为控制数据包(PDU2)。
4.根据上述权利要求中任一项所述的计算机实现的方法,
其中如果所述第二数据包在所述验证单元中的验证得出否定结果,那么由所述验证单元签发控制数据包,并且所述控制数据包经由所述第一网络传输给所述第二网络。
5.根据上述权利要求中任一项所述的计算机实现的方法,
其中给会话的有效数据包(PDU1)分配明确的会话标记(SID)。
6.根据上述权利要求中任一项所述的计算机实现的方法,
其中给控制数据包(PDU2)分配明确的会话标记(SID)、数据包辨识标记(POD)和发送方和/或接收方信息。
7.根据上述权利要求中任一项所述的计算机实现的方法,
其中在传输数据时在传输有效数据包(PDU1)之前,传输控制数据包(PDU2)。
8.根据权利要求7所述的计算机实现的方法,
其中在接受所述控制数据包(PDU2)的情况下传输有效数据包(PDU1),并且在不接受所述控制数据包(PDU2)的情况下中断数据传输,并且仅将另一控制数据包(PDU2)向回传输。
9.根据上述权利要求中任一项所述的计算机...
【专利技术属性】
技术研发人员:C鲍尔,R法尔克,M赛费尔特,M维默,
申请(专利权)人:西门子交通有限责任公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。