用于在网络之间无反作用地传输数据的方法和装置与流程

本发明涉及一种用于在具有不同的安全要求的网络之间、例如在工业控制网和少数关键诊断网络之间无反作用地传输数据的装置和方法。

背景技术：

用于在具有不同的安全要求的网之间传输数据的安全解决方案、所谓的跨域安全解决方案迄今在特定的领域中、诸如在官方通信中使用，其中高的安全要求适用并且其中存在文件或信息的安全分级。通过跨域解决方案，实现文件和消息、诸如电子邮件在具有不同高的安全要求的区之间的自动化的可靠的交换。重要部件在此是数据二极管，所述数据二极管确保数据通信的单向性，即仅沿一个方向运输数据。

对于通常具有高的安全要求的工业控制网与通常仅满足低的安全要求的诊断网络、办公室网络或开放因特网的耦合，迄今使用传统的防火墙，所述防火墙根据可配置的过滤器规则过滤数据通信。数据通信在此例如与通信伙伴的地址和使用的通信协议相关地通过或阻挡。安全要求尤其涉及数据传输的可用性和完整性。这是作为对机密的保护的另一目标设置，如其在办公室应用或官方应用中经常被要求。

从us8068415b2中已知一种数据二极管，所述数据二极管由发送部件和接收部件构成，所述发送部件和接收部件与光学传输线路或屏蔽的铜绞线路连接，所述数据二极管由此实现单向的数据传输。发送部件在此为代理服务器，所述代理服务器引入到数据通信中。这种发送模块不能够可靠地确保无反作用的数据传输。此外，这种发送部件处于安全关键的网络的通信路径中，使得中断网络部件之间的端对端通信。

如果在数据传输时或通过数据传输不能够将信号或数据引入到进行发送的网络中或者不能够改变第一网络中的数据，那么在两个网络之间的数据传输是无反作用的。在此，无反作用性应不仅仅关于信号的引入或改变通过外部的通信参与方确保，解决方案本身应是无反作用的。因此，已知的数据二极管不应视作为无反作用的，所述数据二极管实现例如用于操作tcp包的受限的返回通道（应答）。要求必须引入到通信路径中的特殊的发送部件的数据二极管解决方案也不适合。

因此，这种数据二极管不保证无反作用性并且不满足要求的质量，如其例如在许可工业控制网中要求的那样。

此外，这种数据二极管不适合于高度可用的网络，所述网络例如具有冗余的传输路径或环形拓扑，因为中央发送部件示出网络冗余性的破坏或要求多个数据二极管，所述数据二极管应昂贵地和耗费地设立。

技术实现要素：

因此，本发明的目的是，简单地并且低成本地提供用于在网络、尤其具有不同的安全要求和高可用性的网络之间无反作用地传输数据的解决方案。

所述目的通过在独立权利要求中描述的措施来实现。在从属权利要求中示出本发明的有利的改进方案。

在根据本发明的用于在具有不同的安全要求的网络之间无反作用地传输数据的方法中，在具有高的安全要求的第一网络中第一应用的第一数据在通信中仅在第一网络之内的部件之间经由多个传输线路传输，其中第一网络中的数据由各传输线路中至少一个监听装置无反作用地检测，并且传递到具有较低的安全要求的第二网络中。

第一网络中的第一应用的第一数据因此仅在第一网络之内的部件之间传输并且因此为端对端通信。所述端对端通信在本发明中不中断，因为通信仅被监听，但是不通过单独的、不属于第一网络的部件中断。这可靠地确保无反作用性，即保证丝毫没有新的数据通过第二网络中的传输而插入到第一网络中。同样地，第一网络之内的数据不改变或者不将数据添加至第一网络，因为数据的监听仅包括拷贝和所拷贝的数据或数据包到第二网络中的传输。数据包或数据在此不在监听装置中分析。通过监听单元检测第一数据是对于第一网络中的通信绝对透明的功能。

通过为各通信连接使用至少一个监听单元保证，在冗余地设计的第一网络中，即使在通信连接之一失效的情况下，第一数据也能够可靠地由剩余的通信连接检测。如果数据经由多个通信连接或者同时地或者也交替地传输，那么在此通过各通信连接的分别至少一个监听单元来保证全部数据的检测。从对不同的通信连接上的数据的检测中也能够导出其他信息或可信度检查。即使在第一网络的部件之间经由不同的通信连接的双向通信中，也保证沿两个方向的数据的检测。

该方法同样适合于量取实时关键的通信，因为能够在没有明显延迟的情况下执行第一数据的拷贝。由此，实时重要的信息、例如用于自动化系统的实时关键的控制或调控的实时重要的信息能够无反作用地量取和分析。

第一应用例如是诊断功能，其中将控制网络或控制网络的区段之内的诊断消息从控制网络的一个部件传输至控制网络之内的构造为诊断服务器的部件。第二应用例如能够是控制功能，其中同样在第一网络的部件之间传输例如用于列车安全网络的控制消息。监听装置不是附加的发送部件，所述发送部件例如作为代理服务器引入到通信中。仅被动地监听总归传输的数据。因此，也不存在用于将数据明确地从第二网络发送到第一网络中的附加部件。

在一个有利的实施方式中，在第二网络之内的部件之间传输第二应用的第二数据，其中第二网络中的数据由至少一个第二监听装置检测并且被传递到第一网络中。在第一网络中，根据检测的数据建立第二应用的重建的通信，并且仅在完成重建之后，才将第二数据传递给第一网络的部件。因此，将两个监听装置组合，然而所述监听装置分别独立地起作用。首先如在上文中描述的那样实现从第一网络到第二网络的无反作用的单向通信。其次实现受控的返回通道。第一监听装置在此还如上文描述的那样是无反作用的。第二部件虽然能够引入第一网络中的通信，但是不存在从第二网络至第一网络的网络连接。由此，第一网络中的通信受第二网络中的通信的影响可靠地防止。

这能够实现，将对第一网络中的第一应用的指令或用于第一应用的配置变化从第二网络传输到第一网络中。因此，例如能够以相对于数据操纵来说高的安全性引入改变的诊断时间表或改变的诊断请求。安全重要的网络通过第二数据的传输的影响被最小化，因为仅在第一网络中使用受控的通信，其中使用第二网络的被监听的有效数据，以便在第一网络中形成数据通信，并且引入到第一网络中。因为不发生从第二网络到第一网络的直接的网络通信，而是在第一网络之内形成数据通信，所以可靠地防止对第一网络中的数据传输的影响。第二网络的被监听的有效数据的数据包的形成和发送在此通过第一网络的部件进行，使得原理决定地防止第一网络的数据传输受第二网络的影响。

在一个有利的实施方式中，将全部检测的数据以未过滤的方式保存在数据存储器单元中。

这尤其能够实现快速地检测实时重要的第一或第二应用的数据。

在一个有利的实施方式中，第一数据通过第二网络中的过滤单元过滤或者第二数据通过第一网络中的过滤单元过滤。

这引起及早地降低数据量并且简化所检测的数据的再处理。

在一个有利的实施方式中，将第一或第二应用的第一或第二数据通过对所检测的数据关于应用特定的标记的分析来过滤。

如果例如将诊断数据在第一网络的逻辑分离的诊断网络上传输，那么相应的诊断数据通过相应的诊断网络标记、例如vlan标签来表征和能够通过相应的诊断网络标记分离。因此，能够可靠地从全部检测的数据流中过滤第一应用的感兴趣的数据——在此为诊断数据。

在一个有利的实施方式中，在第二或第一网络中，根据第一或第二数据在重建单元中建立第一或第二应用的重建的通信。

这具有如下优点，仅以高的安全性识别期望的第一或第二应用的期望的第一或第二数据。通过通信的重建，能够辨认和消除含错误作为属于第一或第二应用来过滤的数据。由此也能够辨认第一或第二应用的干扰或操纵。

在一个有利的实施方式中，为了第一或第二应用的通信的重建，仅使用明确地属于询问消息的应答数据包。

在另一有利的实施方式中，仅将在询问消息之后在预先给定的时间间隔中接收的应答数据包用于重建。

由此，例如通过操纵在第一网络中引入的数据包能够被识别，并且作为无效的被丢弃，并且不用于重建。

在一个有利的实施方式中，第一数据或第二数据保存在数据服务器中，并且通过外部命令应第二或第一网络的部件的询问或以由数据服务器本身推动的方式传输到第二或第一网络的部件。

这一方面能够实现将第一或第二数据延迟地传递或引入到第二或第一网络中。因此，或者能够实现将数据时间控制地传递到分别另外的网络中。由此也能够保证，只有在将数据完全传输到分别另外的网络中时，所述数据才插入在网络的部件本身中。在一个有利的实施方式中，将全部检测的数据在未过滤的情况下保存在数据存储器单元中。

有利地，在此，检测所检测的数据的传递时刻，并且将传递时刻连同检测的数据一起尤其数字签名地保存。

这能够实现单向通信的简单的登录。如果所检测的数据和传递时刻以数字签名的方式保存，那么能够探测数据的后续改变。

根据本发明的用于在具有不同的安全要求的网络之间无反作用地传输数据的装置，其中在具有高的安全要求的第一网络中，第一应用的第一数据在通信中仅在第一网络之内的部件之间经由多个通信连接传输，所述装置包括：各通信连接的至少一个监听装置，所述监听装置构造成，从各一个通信连接无反作用地检测第一网络中的数据，并且将其传递到具有较低的安全要求的第二网络中；和数据存储器单元，所述数据存储器单元布置在第二网络中并且存储所检测的数据。

借助于各通信连接的至少一个监听单元，创建无反作用的网络监听或侧通道，以便检测在安全重要的第一网络之内传输的数据。借此，装置尤其可用于安全重要的网络、如控制网，其中安全重要的控制通信经由相同的物理基础设施、诸如诊断数据传输。通过使用多个监听部件，尤其每通信连接至少各一个监听部件，即使在一个通信连接失效时也可靠地检测第一数据，并且将其传输到其他网络中。如果将多个通信连接用于第一应用的不同的子数据量、诸如信号化消息，那么能够可靠地检测全部子数据量。

在第一网络的环形拓扑的情况下，例如在两个部位、例如在诊断服务器之前和之后或者在每个冗余区段上的冗余的传输路径中布置监听装置。装置因此适用于高度可用的网络，例如安全网。

在在第二网络的部件之间传输第二应用的第二数据的一个有利的变形形式中，装置附加地包括：至少一个第二监听装置，所述第二监听装置构造成，检测第二网络中的数据并且将其传递到第一网络中；以及第二重建单元，所述第二重建单元构造成，根据所检测的数据建立第二应用的重建的通信，并且仅在完成重建时，才将第二数据传输到第一网络的部件。

通过被动地监听第二网络中的通信，不需要用于网络之间的数据传输的专用的发送或接收部件。第一网络受数据传输的影响因此被最小化。

在一个有利的实施方式中，第一或第二监听单元构造成网络耦合输出器，例如网络分流器，或者构造成具有至第一网络的网络接口的装置，其接触被构造用于去激活发送信号，或者构造成用于电磁辐射的耦合输出装置。

监听单元的全部提到的构成方案以被动的方式检测通信连接上的数据，在所述通信连接上布置有所述监听单元。即，仅检测数据或信号，而不可能将数据本身引入到通信连接中。这也一并包括在相应的网络中转发改变的信号或数据。这种监听装置可用地并且低成本地可达到。因此，以简单的方式实现信号或数据的拷贝，进而防止协议破坏或实现协议无关性。

在一个有利的实施方式中，装置包括数据存储器单元，所述数据存储器单元构造成，将全部检测的数据未过滤地保存。

在一个有利的实施方式中，装置附加地包括过滤单元，所述过滤单元构成为，从全部检测的数据过滤第一数据或第二数据。此外，装置附加地包括重建单元，所述重建单元构成为，为了重建第一应用的通信，仅将明确属于询问消息的应答数据包用于分析。

因此，所检测的数据量降低并且例如降低到确定的应用的通信上。

在一个有利的实施方式中，装置附加地包括数据服务器，所述数据服务器构成为，存储重建的第一或第二数据。

由此，能够执行将数据时间控制地传输到分别进行接收的网络中。另一方面，能够收集连续的窃听的数据，并且在完整的可用性的情况下以收集的方式传递到接收网中。数据服务器在此能够设立成，将数据通过外部命令、以应接收网络的部件的询问的方式或以由数据服务器本身推动的方式传输到接收网中。

能够直接加载到数字计算机的存储器中的根据本发明的计算机程序产品包括程序代码部分，所述程序代码部分适合于执行所述方法的步骤。

附图说明

本发明的实施例在附图中示例性地示出并且根据随后的说明书详细阐述。其中：

图1作为流程图示出根据本发明的方法的第一实施例；

图2作为流程图示出根据本发明的方法的第二实施例；

图3以示意图示出根据本发明的用于将数据从安全关键的第一网络传输到不那么安全关键的第二网络中的装置的第一实施例，其中第二网络具有根据本发明的监听单元的一个实施方式；并且

图4以示意图示出根据本发明的用于将数据从不那么安全关键的第二网络传输到安全关键的第一网络中的装置的第二实施例。

彼此相应的部分在全部附图中配备有相同的附图标记。

具体实施方式

数据在网络之间的无反作用的传输尤其在如下情况下是必需的：对于所涉及的网络存在不同的安全要求。具有高的安全要求的网络例如是自动化设施中的控制网络，经由所述控制网络例如将生产部件彼此连接和控制。类似的要求也在用于例如列车安全网络或能量分配设施的控制网络中存在。这种安全关键的网络大多是封闭的或至少接入被控制的控制网络，所述控制网络具有在各个部件、诸如现场仪器和控制计算器、诊断计算器或监控计算器之间的双向的通信。通信通常是实时关键的和/或安全关键的。在控制网络之内存在端对端通信。

为了确保控制网中的高的可用性，通信网络通常配备有冗余的通信连接或传输路径，诸如双重的总线系统或环形拓扑。也能够与网络负载相关地使用多个通信连接。经常，经由相同的通信连接传输不同应用的数据，如用于控制或诊断部件，并且仅例如通过分离的vlan实现虚拟分离。诊断数据例如从部件、如现场仪器传输至封闭的控制网络之内的诊断服务器。相反地，诊断数据的分析通常不在所述封闭的控制网络中、而是在具有较小的安全要求的办公室网络中执行。为了现在能够执行将第一应用的第一数据、在此例如为诊断应用的诊断数据传输到不那么安全关键的第二网络、在此为办公室网络中，却不影响第一网络，执行以下步骤：

第一方法步骤1为在第一网络中传输第一应用的第一数据。在第二方法步骤2中，第一数据由第一网络中的各通信连接的至少一个监听单元检测和复制。在方法步骤3中，将复制的数据从监听单元传输到第二网络中。

监听单元在此仅从通信连接量取第一数据，即拷贝数据并且将拷贝的数据引导到第二网络中。第一数据在此在第一网络中不改变，而是没有延迟地转发到第一网络中的通信伙伴。监听在第一网络中不可探测。丝毫没有附加的数据以通过监听单元引入到第一网络中的方式还在复制时产生。同样地，排除在第一网络之内转发的数据的变化。监听因此在第一网络中是透明的和相对于第一数据而言是被动的动作。

不存在附加的发送部件，所述发送部件能够改变或延迟通信。因此，方法尤其适合于实时重要的通信。通过为各通信连接使用至少一个监听装置而保证，即使在一个通信连接失效时或在通信连接之间时间交替的传输中，检测通信的全部传输的第一数据。如果第一网络以环形拓扑构建，那么两个通信连接中的每个例如在诊断服务器附近被监听。

图2示出方法的另一实施方式，其中除了从第一网络到第二网络中的通信之外，也示出从具有较低的安全要求的第二网络到安全关键的第一网络中的通信。

在方法步骤5中，将第二应用的第二数据在不那么安全关键的第二网络之内的部件之间传输。这例如能够是配置数据或者也是软件，所述配置数据或者软件应由第二网络提供给第一网络。在此也应保证，在第一网络中例如装入数据或加载服务器不能影响控制通信。在方法步骤6中，对此第二网络中的数据由至少一个第二监听装置检测，并且在方法步骤7中传递到第一网络中。在方法步骤8中，现在根据所检测的数据，建立第二应用的重建的通信，并且在方法步骤9中，仅在完成第二数据重建时传递到第一网络。

传递到第二网络中的数据存储在数据存储器单元中。随后，能够将第一数据通过第二网络中的过滤单元从全部检测的数据中过滤。相应地，在传输之后在第一网络中过滤第二数据是可以的。对此，例如能够分析数据包中的vlan标签或其他应用标记。随后，能够根据过滤的第一或第二数据，重建第一或第二应用的通信。由此能够保证，将检测的数据分配给正确的应用，并且例如将第一或第二应用之内的含错误的通信登记。于是从中能够导出措施，例如报警通知或不考虑相应的数据。这能够在如下情况下进一步优化：能够将检测的数据包明确地分配给询问消息。此外，能够将应答数据包的接收时间根据询问消息限制到预先给定的时间间隔上，并且仅将所述预先给定的时间间隔之内的数据包用于重建。

也能够将传递到第二或第一网络中的数据以未过滤的方式保存并且用于监控第一网络。对此有利地检测所检测的数据的传输时刻。所检测的数据以及传输时刻有利地以数字签名的方式保存。借此，能够确定数据的可能的操纵，或分析限制于具有正确的数字签名的数据。从中能够确定对数据的可能的操纵的推断。

图3现在示出用于将具有高的安全要求的第一网络11中的第一数据传输到具有较低的安全要求的第二网络12中的装置10。在此，多个部件13.1、13.2、13.3、诸如现场仪器和控制计算器15以及诊断服务器14经由冗余的第一网络彼此连接。冗余的网络在此例如作为具有通信连接16.1、16.2的双重总线示出。每个部件13.1、13.2、13.3、14、15借助各一个网络接口与两个通信连接16.1、16.2之一连接。经由通信连接16.1、16.2在此传输实时关键的、安全关键的测量数据和控制数据。未示出可能存在的网络部件，如开关或集线器。作为网络协议，例如使用根据版本4或版本6的因特网协议。经由网络基础设施，除了高安全关键的控制数据之外，也传输诊断数据。所述诊断数据例如能够经由开放的平台通信的标准化的统一架构的协议、opcua协议、简单的网络管理协议、snmp或例如syslog协议传输。

现在目标是，将第一数据、在此例如诊断数据对第一网路11无反作用地并且在维持数据的完整性的条件下传输到第二网络12中。在那里于是对第一数据进行分析。对此，装置10的至少一个监听装置17.1、17.2分配给冗余的通信连接16.1、16.2中的各一个。两个监听装置17.1、17.2彼此独立地分别检测在第一或第二通信连接16.1、16.2上传输的数据，建立数据的拷贝，然后将所述数据传输到第二网络12中至数据存储器单元18，并且在那里存储。装置10的数据存储器单元18能够附加地检测将第一数据传输到第二网络12中的时刻，并且作为登录数据保存，所述登录数据例如具有经由数据和时刻计算的数字签名。

监听装置17.1、17.2是纯无源的网络部件。监听单元例如能够作为拷贝数据包的网络耦合输出器或耦合输出装置来探测由通信线路放射的电磁场并且将其转换成信号或数据。

在数据存储器单元18中，能够将对于监控目的从第一网络中检测的数据未过滤地并且重建地保存并且尤其是归档。通过数字签名能够识别随后的操纵，使得数据传输是可检查的和可证实的。这尤其对于安全重要的网络是有利的，所述安全重要的网络允许通过。

第一数据通过装置10的过滤单元19的过滤例如通过传输层上的vlan标签、运输层或在其之上的协议层上的应用特定的标记是可能的。冗余地存在的第一数据能够在重建单元20中比较并且仅将数据包之一在重建时使用。在重建单元20中，通过如下方式重建第一应用的通信：例如仅检测如下这样的第一数据，所述第一数据能够分配给询问消息或者附加地在询问消息和应答数据包之间存在时间关联关系，例如对应于预先给定的时间间隔。

于是，第一数据例如以数据库或xml文件的形式提供，并且保存在装置10的数据服务器21中。第一数据整体地或部分地是可询问或可分析的。

图4现在示出将数据从不那么安全重要的第二网络无反作用地传输到安全关键的第一网络11中。这例如对软件、固件、配置或运行数据、如行车时刻表数据的远程加载是有利的，所述配置或运行数据应能够在安全关键的第一网络11中提供。在此也可以保证，通过装入数据服务器212、在此例如为第一网络中的加载服务器，不能够影响第一网络11中的控制通信。

第一网络11包括部件113.1、113.2、113.3以及第一应用服务器114、例如诊断服务器、以及第二应用服务器115、例如控制服务器和数据服务器121。所述网络部件冗余地、例如经由双重设计的数据总线与通信连接116.1、116.2经由各两个网络接口彼此连接。附加地，数据服务器121与装置100的重建单元120连接。在第二网络12中，第二数据、诸如软件状态、固件或配置数据或运行数据由提供客户端123.1经由通信连接126传输到外部的“虚拟”加载服务器123.2上。

装置100包括监听单元117，所述监听单元将第二数据在第二网络12中的通信连接126上传输期间复制并且传递到装置100的数据存储器单元118中。装置100还包括根据装置10的过滤单元119以及重建单元120。在数据存储器单元118中，能够如在装置10中那样，将所检测的数据未过滤地存储并且例如连同传输时刻一起为了监控目的而归档。过滤单元119构成为，将第二数据从由监听单元117.1、117.2检测的数据中过滤出并且转发给重建单元120。重建单元120构成为，将第二应用的重建的通信的第二数据仅在完成重建之后传递到第一网络11中的加载服务器121上。

装置100例如能够用于sw补丁程序的受控的展开。在此，例如在外部的加载服务器123.2中设立生效单元。提供客户端123.1经由通信连接126将启动消息发送到加载服务器123.2并且随后开始将第二数据传输到加载服务器123.2上。随后，将第二数据例如借助于病毒查找运行根据白名单或借助于签名检查由加载服务器123.2中的生效单元来检查。在完全传输数据之后并且检查完全结束之后，外部的加载服务器123.2将确认消息发送到提供客户端123.1。启动消息、第二数据以及最后的确认消息经由监听单元117从第二网络传递到第一网络中，并且在那里由过滤单元119或重建单元120来分析和重建。当能够接收到确认消息并且在重建单元120中分配给启动消息时，才将重建的第二数据发出到数据服务器121上进入到第一网络11中。第二数据从加载服务器121到第一网络11的部件113.1、113.2、113.3、114、115上的传输能够手动地通过维护技术工人启动。也能够将单独的启动命令经由根据本发明的加载机制传输，所述加载机制启动将之前复制到数据服务器121上的第二数据传输到第一网络11的部件113.1、113.2、113.3、114、115上。

在从具有低的安全要求的第二网络12到安全关键的第一网络11中的这种传输或这种加载机制中，对第一网络11的反作用能够最小化。在此也实现严格的物理分离，使得确保具有高的可靠性的无反作用性。通过第一网络中的数据服务器121，防止将加载的数据直接地或自动地插入到第一网络的部件上。对要加载的第二数据的检查在第二网络中通过外部的加载服务器123.2执行，使得在第一网络11中不出现对此的附加的负载。此外，在第二网络12中重新传输第二数据在第二网络中的第二数据生效之后是无效的。借此，在第二网络12中操纵第二数据是不可能的。

装置10、100的各个单元能够以集成的形式、但是也作为物理分离的单元来构造。在图4中作为物理分离的单元示出的数据服务器121也能够与装置100集成地构造。

全部描述的和/或示出的特征能够在本发明的范围中有利地彼此组合。本发明不局限于描述的实施例。