用于传输数据的传输设备的制作方法

1.本发明涉及一种用于在第一网络和第二网络之间传输数据的传输设备。


背景技术：

2.为了在诸如生产网络或铁路安全网络的安全关键网络与诸如局部网络或互联网的开放网络之间进行安全通信，通常特别是使用诸如数据二极管或防火墙的传输设备，以实现安全关键网络与开放网络之间的单向数据传输。这些传输设备例如被设置为确保任何数据都无法从开放网络传送到安全关键网络，并且还特别是被设置为保护安全关键网络免受攻击和入侵企图（英语：intrusion attempts）。


技术实现要素：

3.在此背景下，本发明的任务是提供一种改进的传输设备。
4.根据第一方面，提出了一种用于在第一网络和第二网络之间传输数据的传输设备。所述传输设备包括：可与所述第一网络耦合的第一单向传输单元，所述第一单向传输单元设置为仅接收从所述第一网络传输到所述传输设备的数据，可与所述第二网络耦合的第二单向传输单元，所述第二单向传输单元设置为将数据仅从所述传输设备发送到所述第二网络，以及布置在所述第一单向传输单元和所述第二单向传输单元之间的识别单元，所述识别单元设置为接收从所述第一单向传输单元接收的数据并且识别接收到的数据中的异常。
5.由于一方面第一单向传输单元被设置为仅接收从第一网络传输到传输设备的数据，并且另一方面第二单向传输单元被设置为将数据仅从传输设备发送到第二网络，有利地在传输设备中的第一单向传输单元和第二单向传输单元之间形成包括识别单元的非保护区（英语：demilitarized zone（dmz），非保护区）。非保护区特别是传输设备中形成在第一单向传输单元和第二单向传输单元之间的中性且与第一网络和第二网络隔离的区域。
6.由于识别单元布置在与第一网络和第二网络隔离的dmz中，攻击者无法从第二网络攻击或企图入侵识别单元。这特别是因为第二单向传输单元仅允许从第二单向传输单元到第二网络的数据传输，而不允许反过来从第二网络到第二单向传输单元的数据传输。因此提高了对识别单元的操纵防护，由此提高了在第一网络和第二网络之间传输数据时的安全性。
7.通过所提供的传输设备，还使得可以借助于识别单元监视和分析从第一网络传输到传输设备的数据，以由此能够识别第一网络中的异常和对第一网络的入侵企图。同时，所提供的传输设备使得第一网络能够与第二网络分离，以确保任何数据都无法从第二网络传送到第一网络并且不会从第二网络对第一网络进行未经授权的访问，例如为了操纵第一网络的目的。这有利地导致对第一网络中的异常的可靠且优化的识别，并导致对传输设备、特别是识别单元的操纵防护增加。
8.附加地，通过dmz的构造和第一单向传输单元的布置确保了在传输设备被成功攻击的情况下，不可能有安全关键数据经由第一单向传输单元传输到第一网络中。因此通过第一单向传输单元和dmz，实现了第一网络和传输设备之间以及第一网络和第二网络之间的无反作用分离。因此提高了在第一网络与第二网络之间传输数据时的安全性。
9.所述传输设备特别是设计为边缘设备，如单向网关或单向数据二极管。单向数据二极管特别是一种单向通信装置，其使得能够将第一网络和第二网络物理无反作用地分离。“物理”无反作用的分离特别是在如下情况下存在：无反作用的分离借助于单向数据二极管中的物理部件实现，例如第一和第二单向传输单元，它们将第一网络和第二网络连接为，使得通信连接仅从第一网络朝着第二网络的方向存在，但是从第二网络到第一网络不存在物理连接。单向网关特别是以硬件技术和/或软件技术实现，并且设置为在第一和第二网络之间建立单向连接。单向网关优选使得能够对第一网络和第二网络进行物理或逻辑无反作用的分离。在当前情况下，术语“逻辑”无反作用的分离特别是理解为：在网关以软件实现的情况下通过应用算法进行无反作用的分离。
10.第一和第二单向传输单元优选地布置在所述传输设备内，使得所述第一单向传输单元被设置为仅从所述第一网络接收数据，而所述第二单向传输单元被设置为仅将数据发送到第二网络。换言之，第一单向传输单元特别是不被设置为向第一网络发送数据，而第二单向传输单元不被设置为从第二网络接收数据。
11.在当前情况下，术语“单向”优选理解为两个网络或设备之间的数据传输仅在一个方向上进行，例如从第一网络单向地朝着传输设备的方向以及从传输设备单向地朝着第二网络的方向。
12.特别地，第一和第二单向传输单元可以包括一个或多个网络端口。网络端口特别是构造为物理网络端口。所述物理网络端口优选地具有rj-45连接、m12连接或单对以太网连接，以分别与第一网络或第二网络连接或耦合。网络端口也可以是网络地址的一部分，这部分将tcp连接（“传输控制协议（transmission control protocol）”）和udp连接（“用户数据报协议（user datagram protocol）”）和数据分组分配给布置在第一网络和/或第二网络中的服务器和/或客户端。
13.所述识别单元特别是包括入侵检测系统。入侵检测系统 （英语：iintrusion detection system，ids）是一种安全技术，其例如在恶意软件借助于所谓的利用代码来利用系统的安全漏洞时识别出未经授权的网络入侵。入侵检测系统特别是包括网络入侵检测系统（nids）。借助于ids或nids可以检查所涉及的网络，例如第一网络，并且有效地搜索异常和/或入侵企图。
14.根据一个实施方式，所述第一单向传输单元和所述第二单向传输单元分别以硬件技术至少实现为网络tap或单向数据二极管的形式。
15.通过网络tap或单向数据二极管形式的硬件技术实现，以物理形式实现了第一和第二单向传输单元的数据传输的单向性，即从第一网络经由第一单向传输单元向传输设备单向传输数据以及从第二单向传输单元向第二网络单向传输数据。由此使得攻击者无法从第二网络访问传输设备，特别是访问识别单元并对其进行操纵。由此增加了使得识别单元免遭操纵企图的保护，由此增加了包括第一网络、第二网络和传输设备的整个系统的完整性，并且特别是提高了在第一网络和第二网络之间传输数据时的安全性。
16.网络tap（英语“network-test access point，网络测试接入点”）特别是构造为无源或有源。无源网络tap也可以称为所谓的“数据捕获单元（data capture unit）”（dcu）。被构造为无源单向网络tap的第一单向传输单元优选设置为监视从第一网络到传输设备的网络业务以及保证从第一网络到传输设备的数据传输的单向性。例如在网络tap的情况下，数据传输的单向性是通过网络tap的物理布线来实现的。
17.单向数据二极管特别是光学地构造。优选地，光学单向数据二极管的数据传输的单向性通过其内部物理结构来实现。
18.所述第二单向传输单元还可以包括物理串行接口，如rs485接口。数据传输的单向性在此情况下特别是在软件技术设计中通过协议中断（英语“protocol break”）实现，和/或通过以下方式实现，即用于数据传输的信道借助于算法被设置为仅从传输设备到第二网络单向的。这种实现形式特别是带来了低制造耗费。此外，数据传输的单向性是在rs485接口的硬件技术设计中通过物理适配、优选通过rs485接口的物理布线实现的，该物理适配仅实现从传输设备到第二网络的单向数据传输。
19.攻击可以是硬件攻击和/或软件攻击，特别是黑客攻击。软件攻击特别是从第二网络对传输设备的攻击企图和/或入侵企图。在硬件攻击的情况下，特别是企图操纵相应传输单元的物理结构。
20.根据另一实施方式，可由所述识别单元识别的异常包括第一异常类型和第二异常类型，其中第一异常类型与第二异常类型不同。
21.有利地，通过所述识别单元可以识别不同的异常类型，例如第一异常类型和第二异常类型。这导致对第一网络中的异常的可靠和优化识别，由此提高了在第一网络和第二网络之间传输数据时的安全性。
22.特别是在当前从第一网络接收的数据与较早接收的数据相比具有不规则性或偏差时，识别出由所述识别单元在接收到的数据或当前接收到的数据中识别出的第一异常类型。不规则性例如可以是所述第一网络的所述识别单元已知的参与者与所述第一网络的未知参与者之间发生的通信和/或第一网络的参与者的异常网络活动。
23.由所述识别单元在接收到的数据或当前接收到的数据中识别出的第二异常类型特别是可以归入术语“漏洞利用识别”下。在“漏洞利用识别”的情况下，借助于识别单元检查从第一网络接收的数据是否存在潜在有害的数据分组，如所谓的漏洞利用代码和通信序列。
24.根据另一实施方式，所述传输设备具有布置在所述第一单向传输单元和所述第二单向传输单元之间的至少一个cpu，在所述cpu中实现了所述识别单元以及附加地实现了建模单元，其中所述建模单元被设置用于提供具有来自第一网络的网络特定数据的模型。
25.cpu（“中央处理单元（central processing unit）”）特别是构造在dmz内。
26.网络特定数据优选地包括测量值，例如第一网络的参与者的压力和/或温度、第一网络的参与者的至少一个数量t或参与者的网络拓扑、第一网络的参与者的运行状态和/或由第一网络的至少一个参与者执行的技术过程。网络特定数据还可以包括参与者的ip地址和/或参与者的网络端口以及关于在第一网络中使用的网络协议的信息，所述网络协议例如包括tcp、udp、http（“超文本传输协议（hypertext transfer protocol）”）和/或opc ua（“opc统一架构（opc unified architecture）”）。
27.第一网络和第二网络分别特别是包括一个或多个参与者。多个参与者优选地相互连接并由此形成相应的网络。参与者例如是诸如服务器、客户端的计算机或路由器。
28.模型特别是模拟第一网络。向建模单元提供的网络特定数据越多并且所提供的网络特定数据越新，通过建模单元提供的第一网络的模型就越好。
29.根据另一实施方式，所述建模单元被设置为根据所述第一网络的预配置数据提供所述模型并且将由此提供的模型提供给所述识别单元。
30.预配置数据是优选地包括第一网络的参与者的特定网络拓扑并且例如经由传输设备的串行接口提供给建模单元的数据。借助于预配置数据特别是由建模单元提供第一初始模型。
31.根据另一实施方式，所述建模单元被设置为至少根据在特定时间点和/或根据在特定持续时间期间从第一网络经由所述第一单向传输单元接收的数据来提供所述模型并且将由此提供的模型提供给所述识别单元。
32.所述特定时间点优选地包括在传输设备接通并且传输设备经由第一单向传输单元第一次与第一网络连接之后的至少一个时间点。在此，例如在所述连接的时间点借助于即插即用功能读取第一网络，并且基于第一网络的所读取的网络特定数据由建模单元提供模型。特别是还可以想到，包括所述识别单元的所述传输设备可以通过即插即用功能以简单的方式与一个或另外的安全关键网络连接并且因此可以读取所述一个或另外的安全关键网络的网络特定数据。
33.所述特定持续时间优选地包括在传输设备接通并且传输设备经由第一单向传输单元第一次与第一网络连接之后的较长持续时间，例如几分钟、几小时、几天、几周或几个月，即特别是在传输设备运行期间的持续时间。
34.该特定持续时间也可以称为传输设备的学习阶段。所述学习阶段的持续时间优选地与时间和/或数据有关。与时间有关的学习阶段例如在特定持续时间过去之后结束。与数据有关的学习阶段特别是在从第一网络接收到的数据达到特定数量之后结束。然后在特定的持续时间过去或学习阶段结束后，基于在该特定持续时间期间确定的网络特定数据来提供模型。然后，在提供了模型之后，例如可以为了分析从第一网络接收的数据将该模型提供给识别单元。在模型之后的时间阶段、即学习阶段之后的阶段也可以称为分析阶段，在该阶段中识别单元被设置为分析接收到的数据是否存在异常。如果重新配置第一网络，例如在添加了新参与者之后，可以重新启动传输设备，然后可以开始新的学习阶段。传输设备优选地包括用于接通和/或关闭学习阶段和/或分析阶段的开关。
35.根据另一实施方式，所述建模单元被设置为借助于预配置数据并且根据在特定时间点和/或根据在特定持续时间期间经由所述第一单向传输单元从所述第一网络接收的数据来提供所述模型，并将由此提供的模型提供给所述识别单元。
36.该实施方式的优点在于，所述模型是基于全面的和最新的数据基提供的，即预配置数据以及在特定时间点和/或根据在特定持续时间期间经由第一单向传输单元从第一网络接收的数据。由于这个改进的数据基础，可以由建模单元提供改进的模型。所提供的模型也可以定期地用第一网络的更新的网络特定数据更新，然后提供给识别单元。在此情况下，传输设备特别是设置为并行执行识别单元和建模单元。因此，该实施方式导致对第一网络中的异常的可靠且优化的设备，由此提高了在第一网络和第二网络之间传输数据时的安全
性。
37.根据另一实施方式，所述识别单元被设置为将从所述第一单向传输单元接收的数据与所提供的模型的网络特定数据进行比较以获得比较结果，其中所述识别单元被设置为从获得的比较结果中推导出接收到的数据中是否存在至少一个异常。
38.特别是通过对从所述识别单元接收的数据形成阈值和/或通过将阈值与所提供的模型的网络特定数据进行比较来从所获得的比较结果中推导出是否存在异常。此外，可以通过设定至少一个具有允许的网络特定数据的区间来进行所述推导，在该区间中说明了所获得的哪些网络特定数据仍然是允许的。
39.根据另一实施方式，所述传输设备被设置为在接收到的数据中存在至少一个异常的情况下，经由所述第二单向传输单元向布置在所述第二网络中或与所述第二网络连接的监视单元传输包括识别出的异常的错误报告。
40.通过当存在异常时仅将错误报告传输到第二网络，特别是传输到监视单元，有利地显著减少了第一网络和第二网络之间的数据业务和/或网络业务或网络数据量。通过所提供的传输设备，可以有利地借助于识别单元在传输设备中本地或现场分析从第一网络接收的数据。因此，不必分析全部数据业务以及为了处理而从第一网络传输到诸如第二网络和/或监视单元的后端。
41.错误报告特别是消息。该消息优选地传输到监视单元和/或连接到所述监视单元的计算机，如服务器或客户端。该消息也可以传输到传输设备本身。所述监视单元可以构造为mssp（“managed security service provider，托管安全服务提供商”）。
42.根据另一实施方式，所述识别单元和所述建模单元分别以软件技术构造为安全应用的形式。
43.安全应用特别是被布置为与dmz中的第一和第二网络隔离，优选在cpu中。这导致提高对识别单元和建模单元的操纵防护，由此提高了在第一和第二网络之间传输数据时的安全性。
44.所述传输设备可以包括另外的安全应用，所述安全应用例如被设置用于对从第一网络接收的数据进行数据压缩或数据过滤。安全应用或应用特别是与操作系统无关的计算机程序。
45.根据另一实施方式，所述传输设备被设置为经由布置在所述第一网络和所述第一单向传输单元之间的网络交换机从所述第一网络接收数据，其中所述网络交换机的至少一个输入端为了传输数据而与所述第一网络连接，构造为网络交换机的输出端的镜像端口为了传输数据而与所述第一单向传输单元连接。
46.通过使用具有镜像端口（英语：mirror port）的网络交换机，可以有利地经由第一单向传输单元为传输设备提供第一网络的全部数据业务。由此有利地使得所述传输设备能够获得、监视和分析第一网络的每个参与者的数据业务。由此提高了在识别第一网络中的异常时的可靠性，并且从而提高了在第一网络和传输设备中处理数据时的安全性。
47.特别地，在所述第一网络和所述网络交换机之间布置第一连接段，在所述网络交换机和所述传输设备之间布置第二连接段，并且在所述传输设备和所述第二网络之间布置第三连接段。特别地，第一连接段在第一网络和网络交换机之间建立连接。第二连接段优选地经由第一单向传输单元在网络交换机和传输设备之间建立连接。第三连接段例如经由第
二单向传输单元在第二网络和传输设备之间建立连接。第一、第二和/或第三连接段特别是有线地构造而成，例如以至少一个铜线路或铝线路的形式，和/或以至少一个玻璃纤维线路的形式光学地构造而成。网络交换机特别是可以称为交换机。
48.所述网络交换机的镜像端口特别是用于镜像所述第一网络的网络业务，以由此经由第一单向传输单元向传输设备提供第一网络的全部数据业务和/或网络业务。
49.根据另一实施方式，所述传输设备被设置为在传输层、即根据osi/iso层模型的第2层中执行所述第一网络和所述第二网络之间的数据传输。
50.根据另一实施方式，所述第一网络包括控制网络，特别是生产网络或铁路安全网络，并且所述第二网络包括诊断网络、局部网络或互联网。
51.所述第一网络特别是被构造为安全关键网络，而所述第二网络被构造为开放网络。第一网络也可以称为具有高安全要求的网络，而第二网络称为具有低安全要求的网络。
52.生产网络特别是用在生产设施中。生产设施特别是包括经由生产网络相互连接的多个机器和计算机。铁路安全网络优选地包括用于轨道基础设施的控制和安全技术。所述控制网络特别是还包括道路安全网络，所述道路安全网络具有用于道路基础设施的控制和安全技术。
53.局部网络包括例如lan（“局域网（local area network）”）和/或wlan（“无线局域网（wireless local area network）”）。
54.根据另一实施方式，至少所述第一单向传输单元、所述第二单向传输单元和所述识别单元实现在公共壳体中。
55.因此，在该实施方式中列出的组件包括传输设备本身在内实现在公共壳体中。壳体或公共壳体特别是构造为处理器或计算机芯片的壳体，例如以集成电路（英语：integrated circuit（ic））的形式。此外，壳体或公共壳体优选被构造为设备的公共壳体，或者例如构造为fpga（英语：field programmable gate array，现场可编程门阵列）上的公共实现。
56.根据另一实施方式，所述第一单向传输单元和所述第二单向传输单元分别以软件技术实现为单向防火墙的形式。
57.在以软件技术实现的情况下，诸如第一单向传输单元的相应单元可以构造为计算机程序产品、函数、例程、程序代码的一部分或可执行对象。
58.通过借助于防火墙的软件技术实现，以逻辑形式实现了第一传输单元和/或第二传输单元的数据传输的单向性。这意味着数据传输的单向性借助于应用算法来进行，借助于所述算法将单向防火墙编程为使得通过第一和第二单向传输单元分别只能进行单向数据传输。
59.本发明的其他可能的实现还包括上文或下文关于实施例描述的特征或实施方式的未明确提及的组合。在此，本领域技术人员还将添加个别方面作为对本发明的相应基本形式的改进或补充。
60.本发明的其他有利的设计和方面是从属权利要求和下面描述的本发明实施例的主题。下面将参考附图基于优选实施方式更详细地解释本发明。
附图说明
61.图1示出了用于传输数据的传输设备的第一实施例的示意框图；以及图2示出了用于传输数据的传输设备的第二实施例的示意框图。
62.在这些图中相同或相同功能的元件设有相同的附图标记，除非另有说明。
具体实施方式
63.图1示出了用于在例如包括生产网络的第一网络nw1和例如包括局部网络的第二网络nw2之间传输数据的传输设备1的第一实施例的示意框图。这种数据传输特别是在传输层、即根据osi/iso层模型的第2层中执行。在另一实施方式中，第一网络nw1可以包括铁路安全网络，而第二网络nw2是互联网。
64.传输设备1具有可与第一网络nw1耦合的第一单向传输单元2、可与第二网络nw2耦合的第二单向传输单元4以及布置在第一单向传输单元2和第二单向传输单元4之间的识别单元3。
65.在第一实施方式中，包括第一单向传输单元2、第二单向传输单元4和识别单元3的传输设备1实现在公共壳体9中。
66.第一单向传输单元2被设置为仅接收从第一网络nw1传输到传输设备1的数据，而第二单向传输单元4被设置为仅将数据从传输设备1传输到第二网络nw2。
67.在图1的第一实施方式中，第一单向传输单元2和第二单向传输单元4分别以硬件技术实现为网络tap的形式。在另一实施方式中，第一和第二单向传输单元2、4可以分别以硬件技术形成为单向数据二极管的形式或分别以软件技术实现为单向防火墙的形式。
68.此外，识别单元3被设置为接收从第一单向传输单元2接收到的数据并识别接收到的数据中的异常。在此情况下，通过识别单元3识别出的异常特别是包括不同的异常类型，如第一异常类型和第二异常类型。
69.图2示出了用于传输数据的传输设备1的第二实施例的示意框图。
70.在此，传输设备1具有布置在第一单向传输单元2和第二单向传输单元4之间的cpu 6，在该cpu中实现了识别单元3以及建模单元5。在此情况下，建模单元5被设置为提供具有来自第一网络nw1的网络特定数据的模型mod。在此情况下，识别单元3和建模单元5例如分别以软件技术构造为安全应用的形式。
71.建模单元5特别是被设置为根据第一网络nw1的预配置数据提供模型mod，和/或根据特定时间点和/或根据在特定持续时间期间从第一网络nw1经由第一单向传输单元2接收的数据来提供模型mod。然后将由此提供的模型mod提供给识别单元3。
72.在该第二实施方式中，识别单元3被设置为将从第一单向传输单元2接收的数据与提供的模型mod的网络特定数据进行比较，以获得比较结果。然后识别单元3被设置为从获得的比较结果中推导出在接收到的数据中是否存在至少一个异常。如果在此情况下存在异常，则传输设备1被设置为经由第二单向传输单元4向布置在第二网络nw2中的监视单元7传输包括识别出的异常的错误报告。在另一实施方式中，监视单元7也可以连接到第二网络nw2。
73.在图2中，第一网络nw1和第一单向传输单元2之间还布置了网络交换机8。
74.在此情况下，传输设备1被设置为经由网络交换机8从第一网络nw1接收数据。网络
交换机8的至少一个输入端与第一网络nw1连接以传输数据。被构造为网络交换机8的输出端的镜像端口sp为了数据传输与第一单向传输单元2连接。
75.尽管已经基于实施例描述了本发明，但是可以通过多种方式对本发明进行修改。