用于在两个网络之间传输数据的传输设备和方法技术

本发明专利技术涉及用于在具有高的安全要求的第一网络（NW1）和具有低的安全要求的第二网络（NW2）之间传输数据的计算机实现的方法和传输设备（500），其中在第一网络和第二网络之间构建（S1）第一会话，第一数据包由第一网络（NW1）中的发送单元（101）经由第一单向通信单元（301）传输（S2）给第二网络（NW2）中的接收单元（202），并且构建第二会话，并且第二数据包由第二网络（NW2）中的发送单元（201）经由第二单向通信单元（400）传输（S4）给验证单元（302），第二数据包根据预设的规则在验证单元（302）中验证（S5），在第二数据包的验证为肯定时，构建第三会话，并且第二数据包由验证单元（302）传输给第一网络（NW1）中的接收单元（102）。

【技术实现步骤摘要】
用于在两个网络之间传输数据的传输设备和方法
本专利技术涉及一种用于在具有高的安全要求的第一网络和具有低的安全要求的第二网络之间传输数据的计算机实现的方法和传输设备，其中相应的通信尤其沿一个方向地实现。
技术介绍
为了在安全关键的网络和开放网络、诸如工业控制网络（英语为：IndustrialControlNetwork或OperationalNetwork）和典型的IT网络之间进行安全的通信，例如可以使用单向通信单元，诸如数据二极管，以便能够实现单向数据传输。具有反馈通道的数据二极管、也称作为双向网络防护或安全网关能够实现在两个具有不同的安全级的信息区域之间的安全的数据传递。网络防护通常是由硬件和软件构成的组合并且能够实现比防火墙更多的功能。双向网络防护通常构造成，分别借助于数据二极管实现两个彼此分开的单向数据流，其中数据流沿相反方向流动。这允许沿两个方向的数据交换，其中分别确保单向功能。例如，借助双向网络防护可以将数据从具有高的安全要求的网络传送到具有低的安全要求的开放网络中或者从具有低的安全要求的网络传送给具有高的安全要求的网络。在具有不同的安全要求的网络之间的数据传递应可靠地、即正确地、完整地并且满足安全要求地执行的情况下，通常需要附加的传递确认，所述传递确认在网络之间交换。“可靠的”或“可信赖的”数据传递尤其可以理解成完整的且无错误的数据传递。在从具有低的安全要求的网络到具有高的安全要求的网络的数据传递中，通常需要附加的检查，以便确保具有高的安全要求的网络的安全性和/或完好性和/或网络可用性。
技术实现思路
因此，本专利技术的目的是，针对在具有不同的安全要求的两个网络之间的数据交换，从一个网络到另一网络中的数据传输在具有以及不具有对数据传输的确认的情况下都能够分别灵活地实现单向的数据传递。所述目的通过在独立权利要求中描述的措施来实现。在从属权利要求中，示出本专利技术的有利的改进方案。根据第一方面，本专利技术涉及一种用于在具有高的安全要求的第一网络和具有低的安全要求的第二网络之间传输数据的计算机实现的方法，其中a）为从第一网络到第二网络中的数据传输，在第一网络和第二网络之间构建第一会话，第一数据包从第一网络中的发送单元经由第一单向通信单元传输给第二网络中的接收单元，所述第一单向通信单元布置在第一网络和第二网络之间，和b）为从第二网络到第一网络中的数据传输，构建第二会话，并且第二数据包从第二网络中的发送单元经由第二单向通信单元传输给验证单元，所述验证单元布置在第一网络和第二网络之间，-根据预设的规则在验证单元中验证第二数据包，和-在第二数据包的验证为肯定时，构建第三会话，并且第二数据包从验证单元传输给第一网络中的接收单元。“计算机实现”在本专利技术的上下文中可以理解成方法的一种实现，其中尤其处理器执行至少一个方法步骤。根据第二方面，本专利技术涉及一种用于在具有高的安全要求的第一网络和具有低的安全要求的第二网络之间传输数据的传输设备，其包括：-第一接收单元和第一发送单元，所述第一接收单元和第一发送单元分别布置在第一网络中，-第二接收单元和第二发送单元，所述第二接收单元和第二发送单元分别布置在第二网络中，-第一单向通信单元，所述第一单向通信单元布置在第一和第二网络之间并且设计成，在从第一发送单元到第二接收单元的数据传输中，传输数据包，-第二单向通信单元，所述第二单向通信单元布置在第二网络和第一网络之间，用于从第二网络到第一网络的数据传输，和-验证单元，所述验证单元布置在第二网络和第一网络之间并且设计成，在从第二发送单元至第一接收单元的数据传输中，根据预设的规则来验证数据包。本专利技术的优点是，提供灵活的传输设备和传输协议，所述传输设备和传输协议能够在确认以及不确认数据传输的完整性或执行的情况下都实现从具有高的安全要求的网络到具有低的安全要求的网络中的数据传输和相反的安全的数据传输。尤其可以满足如下要求：保护第一网络免受出自第二网络的不期望的数据传递。尤其在传输时可以为每会话（英语为：Session）实现检查，该会话在下文中也称作为“对话”，使得传递更少的控制数据包。这样，可以减少经常费用。本专利技术的另一优点是，限定协议，所述协议可以用于单向的和双向的数据传输。验证单元能够实现，验证从第二网络到第一网络中的数据传递，从而对其进行控制。从第一网络到第二网络中的数据传输经由单向数据连接并且在无验证的情况下执行。在从第二网络到第一网络的数据传递的验证为否定时，尤其仅一个数据包、例如控制数据包可以由验证单元创建，并且向回传输给第二网络。借此，可以将关于传输错误或数据的篡改的信息传送给初始发送方。第一单向通信单元能够实现单向数据传输。第一单向通信单元例如可以设计成数据二极管或设计成窃听装置，所述窃听装置仅被动地窃听数据传递并且转发所窃听的数据。从第一网络到第二网络中的和从第二网络到第一网络中的数据传输分别单向地构造。可以在每会话中传输至少一个数据包或多个数据包。在计算机实现的方法的一个有利的实施方式中，在第一网络中的接收单元和发送单元之间和/或在第二网络中的接收单元和发送单元之间可以传输至少一个数据包。尤其可以在相应的发送和接收单元之间传输确认消息。这尤其能够实现反馈信道，而不妨碍在网络之间的各个传输路径的无反作用性。例如，可以将对从第一网络发送到第二网络的数据包的反馈经由验证单元向回传送给第一网络。数据传输分别单向地经由单向通信单元进行。在计算机实现的方法的一个有利的实施方式中，第一或第二数据包可以设计成有效数据包或设计成控制数据包。尤其地，在每会话中可以传输至少一个控制数据包和至少一个有效数据包。有效数据包包括有效数据，而控制数据包例如包括用于执行接收确认和/或所传递的有效数据的完整性检查的信息。此外，控制数据包可以推动会话构建。在计算机实现的方法的一个有利的实施方式中，如果第二数据包在验证单元中的验证得出否定结果，那么控制数据包可以由验证单元签发并且控制数据包经由第一网络传输给第二网络。以所述方式可以简单地中断从第二网络到第一网络中的数据传输。第二数据包尤其可以是控制或有效数据包。由验证单元签发的控制数据包例如可以包括关于验证的信息，诸如检查结果。在计算机实现的方法的一个有利的实施方式中，可以给会话的有效数据包分配明确的会话标记。有效数据包的结构或数据结构包括有效数据和会话标记。该结构此外尤其可以包括数据包辨识标记、数据包的校验和、类型信息和/或应用辨识码。在计算机实现的方法的一个有利的实施方式中，可以给控制数据包分配会话标记、数据包辨识标记和发送方和/或接收方信息。控制数据包的结构此外尤其可以包括控制数据包的校验和、分配给控制数据包的数据包辨识标记、类型信息、至少一个标志（英语为Flag）和/或关于相应的会话的数据传输的大小的信息。在计算机实现的方法的一个有利的实施方式中，在数据传本文档来自技高网...

【技术保护点】
1.一种用于在具有高的安全要求的第一网络（NW1）和具有低的安全要求的第二网络（NW2）之间传输数据的计算机实现的方法，其中/na）为了从所述第一网络（NW1）到所述第二网络（NW2）中的数据传输，在所述第一网络（NW1）和所述第二网络（NW2）之间构建（S1）第一会话，第一数据包由所述第一网络（NW1）中的发送单元（101）经由第一单向通信单元（301）传输（S2）给所述第二网络（NW2）中的接收单元（202），所述第一单向通信单元布置在所述第一网络（NW1）和所述第二网络（NW2）之间，/n和/nb）为了从所述第二网络（NW2）到所述第一网络（NW1）中的数据传输，构建（S3）第二会话，并且第二数据包从所述第二网络（NW2）中的发送单元（201）经由第二单向通信单元（400）传输（S4）给验证单元（302），所述验证单元布置在所述第一网络（NW1）和所述第二网络（NW2）之间，/n- 根据预设的规则在所述验证单元（302）中验证（S5）所述第二数据包，和/n- 在所述第二数据包的验证为肯定的情况下，构建第三会话，并且所述第二数据包由所述验证单元（302）传输（S6）给所述第一网络（NW1）中的接收单元（102）。/n...

【技术特征摘要】
20190319 EP 19163812.11.一种用于在具有高的安全要求的第一网络（NW1）和具有低的安全要求的第二网络（NW2）之间传输数据的计算机实现的方法，其中
a）为了从所述第一网络（NW1）到所述第二网络（NW2）中的数据传输，在所述第一网络（NW1）和所述第二网络（NW2）之间构建（S1）第一会话，第一数据包由所述第一网络（NW1）中的发送单元（101）经由第一单向通信单元（301）传输（S2）给所述第二网络（NW2）中的接收单元（202），所述第一单向通信单元布置在所述第一网络（NW1）和所述第二网络（NW2）之间，
和
b）为了从所述第二网络（NW2）到所述第一网络（NW1）中的数据传输，构建（S3）第二会话，并且第二数据包从所述第二网络（NW2）中的发送单元（201）经由第二单向通信单元（400）传输（S4）给验证单元（302），所述验证单元布置在所述第一网络（NW1）和所述第二网络（NW2）之间，
-根据预设的规则在所述验证单元（302）中验证（S5）所述第二数据包，和
-在所述第二数据包的验证为肯定的情况下，构建第三会话，并且所述第二数据包由所述验证单元（302）传输（S6）给所述第一网络（NW1）中的接收单元（102）。


2.根据权利要求1所述的计算机实现的方法，
其中在所述第一网络（NW1）中的接收单元（102）和发送单元（101）之间和/或在所述第二网络（NW2）中的接收单元（202）和发送单元（201）之间传输至少一个数据包。


3.根据上述权利要求中任一项所述的计算机实现的方法，
其中第一或第二数据包构造为有效数据包（PDU1）或构造为控制数据包（PDU2）。


4.根据上述权利要求中任一项所述的计算机实现的方法，
其中如果所述第二数据包在所述验证单元中的验证得出否定结果，那么由所述验证单元签发控制数据包，并且所述控制数据包经由所述第一网络传输给所述第二网络。


5.根据上述权利要求中任一项所述的计算机实现的方法，
其中给会话的有效数据包（PDU1）分配明确的会话标记（SID）。


6.根据上述权利要求中任一项所述的计算机实现的方法，
其中给控制数据包（PDU2）分配明确的会话标记（SID）、数据包辨识标记（POD）和发送方和/或接收方信息。


7.根据上述权利要求中任一项所述的计算机实现的方法，
其中在传输数据时在传输有效数据包（PDU1）之前，传输控制数据包（PDU2）。


8.根据权利要求7所述的计算机实现的方法，
其中在接受所述控制数据包（PDU2）的情况下传输有效数据包（PDU1），并且在不接受所述控制数据包（PDU2）的情况下中断数据传输，并且仅将另一控制数据包（PDU2）向回传输。


9.根据上述权利要求中任一项所述的计算机...

【专利技术属性】
技术研发人员：C鲍尔，R法尔克，M赛费尔特，M维默，
申请(专利权)人：西门子交通有限责任公司，
类型：发明
国别省市：德国;DE