无反作用地将数据单向传输到远程的应用服务器的设备和
方法
技术领域
[0001] 本
发明涉及一种为了评估而无反作用地将数据从第一网络区单向传输到在第二网络区中的远程的
应用服务器的设备、方法以及
计算机程序产品。第一网络区尤其是安全性相关的网络、例如
铁路安全设施或自动化设施的安全网。第二网络区受到更小的安全性要求并且可以例如是办公网或经由办公网或也经由互联网所连接的评估区、也称为后端区或
云。
背景技术
[0002] 借助数据
二极管或单向网关应该通常实现:使得尤其是在不同安全相关性的网络区之间仅仅朝一个方向的信息流是可能的。这种跨区的安全解决方案、也称为跨域安全性(Cross-Domain Security)解决方案,迄今为止被用于在行政机关通信中的特殊领域,在所述特殊领域中适用高安全性要求并且在其中存在文档或信息的安全性分级。通过跨域安全性解决方案而实现在不同高程度的安全区之间的文档和消息、诸如E-Mail的自动化的安全的交换。
[0003] 从WO 2012/170485中已知一种跨域安全性解决方案,其中
虚拟机监察在两个信息域之间的信息传送。然而,相对于真正的数据二极管而言附加地,在此需要特殊的发送组件和特殊的接收组件,从而能够超出数据二极管地实现真正双向的通信协议,诸如文件传送协议FTP或超文本传送协议HTTP。
[0004] 从US 7,941,526 B1中还已知一种设置在发送
节点上的特殊的Syslog-Daemon(系统日志守护
进程),其中发送节点经由单向数据连接与接收节点连接并且该特殊的Syslog-Daemon被配置用于,从Syslog发送器接收Syslog消息,将Syslog发送器的IP信息的一部分插入到所接收的Syslog消息的消息部分中并且将得出的Syslog消息转发给单向数据连接,从而能够经由单向数据连接将得出的Syslog消息发送给Syslog接收器,该Syslog接收器与接收节点通信连接。在此,在Syslog数据传输应用和单向数据传输应用之间的潜在冲突得以解决,其中单向数据传输应用在将数据经由单向数据连接传输之前将IP信息从数据中移除,这导致通过其组合而进一步改善网络安全性。
[0005] 在将工业控制网络与办公网络、公共的互联网或者其他控制网络耦合时,无反作用的传输是重要的。为此,通常使用常规的
防火墙,所述常规的防火墙根据可配置的过滤规则而限制双向数据通信。然而,这种解决方案并不保证无反作用或者并不在工业控制网络情况下必需的所需品质方面来保证无反作用。无反作用在此意味着:并不通过从具有高安全相关性的网络区到较不安全的网络区的传输而将任何数据引入到安全性相关的网络区中。
[0006] 由Waterfall公司已知一种单向的Cloud-Connect-Box(云连接盒),参见http://static.waterfall-security.com/Unidirektional-CloudConnect-Brochure.pdf。这种解决方案包括单向数据二极管,其具有发送单元和接收单元,所述单向数据二极管不仅在安全相关的区的接收侧上也在接收单元上支持安全相关的网络区的最不同的网络协议,其中该接收单元将数据转发到较少安全相关的第二网络区。
[0007] 针对在安全性相关的网络区中使用的网络协议,通常必须执行安全性认证,以用于证明功能上的安全性(Safety)。这导致:具有这种协议实施方案的网络组件仅仅能够利用重新认证来被改变。新的协议实施方案或者其他协议因此也几乎不能够在这种组件上被引入或者仅以高耗费和成本才能够被引入。另一方面,评估服务越来越频繁地在从安全相关的网络区远离的中央网络区、也称为云或后端区中被执行,其对输入数据提出不同要求。
发明内容
[0008] 本发明的任务因此是:创建一种低成本的并且能够灵活适配的用于数据的无反作用的单向的传输的解决方案,其优选地不仅仅适合用于基于数据二极管的跨域安全性解决方案也适合用于针对工业应用领域的无反作用的单向数据网关解决方案。
[0009] 该任务通过按照独立
权利要求所述的按照本发明的方法或按照本发明的设备而得以解决。在
从属权利要求中示出按照本发明的方法的有利扩展方案或按照本发明的设备的有利扩展方案。
[0010] 按照第一方面,本发明涉及一种为了在远程的应用服务器处的评估而无反作用地将数据从第一网络区单向传输到第二网络区中的方法,所述方法具有接下来提及的方法步骤:在第一网络区中检测以网络数据格式传输的数据,将数据从该网络数据格式变换成传输数据格式,以及将以传输数据格式的数据单向传输到第二网络区,从传输数据格式反变换所述数据并且将数据传送给应用服务器,其中在与该第一网络区空间上远离的第二网络区中执行该反变换。
[0011] 通过该方法而实现一种低成本的并且能够灵活适配的解决方案,其不仅仅用于基于数据二极管的跨域安全性解决方案也用于针对工业控制网络的无反作用的单向的网关解决方案,因为数据二极管自身并不包括任何转换设备,一方面该转换设备针对在与第一安全性相关的网络区的直接
接触中的应用而需要发布。因此,也可以使用未认证的和发布的网络协议的版本以用于导入数据,所述版本可以被自由地更新。另一方面因此可能的是,使用可廉价获得的数据二极管或单向网关、例如所谓的
数据采集单元、网络分流器或具有端口镜像(Port Mirroring)的网络交换机,以便实现无反作用地单向传输,而并非必须应用非常昂贵的、针对特殊应用领域和安全网以及网络协议所适配的
硬件数据二极管。
[0012] 在一种有利的实施方式中,在将网络数据从网络数据格式变换成传输数据格式时,执行从网络协议到传输协议的协议格式转换,其中该网络协议在第一网络区中被使用用于传输网络数据,并且该传输协议被使用用于将网络数据传输到第二网络区中。该网络协议支持双向通信,而该传输协议则仅仅支持单向通信。
[0013] 这具有如下优点:并没有数据通过经由数据二极管的传输而被生成并发送回到第一网络区中。这保证或者改善数据二极管的无反作用。利用无反作用在此表示:没有消息数据或其他“杂质位”通过将传输数据传输到第二网络区中而被引入到第一网络区中。
[0014] 在一种有利的实施方式中,将关于所使用的网络协议的信息引入到该传输数据格式中。
[0015] 因此,该传输数据格式足够地包括关于网络协议的信息,以便能够仅仅基于这些信息来进行反变换。因此,实现在第一网络区之间的数据传输和数据到第二网络区的单向传输和在第二个远程的网络区中数据的评估的解耦。
[0016] 在一种有利实施方式中,在变换时冗余地编码所述数据和/或将错误识别代码添加到数据。
[0017] 这减小错误地或不完整地传输数据到第二网络区中的
风险。
[0018] 在一种有利的实施方式中,在变换时以
密码学的方式来保护数据,尤其是添加密码学的校验和和/或加密所述数据。
[0019] 通过在从网络数据格式变换到传输数据格式时对数据的加密和/或相应的密码学校验和,数据已经在经由单向传输单元的传输时相对于操纵被保护。在通过攻击者对以传输数据格式的数据的分流或以不允许的方式窃听的情况下,该攻击者不能够以明文的方式读出所述数据或者以不受注意的方式操纵所述数据。
[0020] 在一种有利的实施方式中,使用以密码学的方式确保的通信连接,以用于在第二网络区中传输以传输数据格式的数据。
[0021] 例如,在第二网络区之内经由符合传输层安全协议TLS的通信连接来传输以传输数据格式的数据。这种通信连接优选地由与单向传输设备分离的数据网关来构建,以便避免用于认证和发布的责任。由此,如果已知薄弱点,则可以尤其是及时地更新(gepatcht(安装
补丁))安全协议的实现方案。以传输数据格式的数据因此经由常规的网络协议作为有用数据被传输至应用服务器、也即网络服务。因此,实现该解决方案与现有的后端技术的高度兼容性。对于传输层安全协议TLS替代或者附加地,可以为了在第二网络区之内经由通信连接来传输以传输数据格式的数据也使用其他的或另外的安全性协议,例如IPSec/IKEv2、S/MIME、密码讯息语法(CMS)、JSON网络加密(JWE)、JSON网络签名(JWS)。
[0022] 本发明的第二方面涉及一种为了在远程的应用服务器中的评估而无反作用地将数据从第一网络区单向传输到所述第二网络区中的传输设备,该传输设备具有以下组件:数据导出装置,该数据导出装置被布置在第一网络区中并且构造用于,检测在第一网络区中以网络数据格式传输的数据并且将所述数据从网络数据格式变换成传输数据格式;单向数据传输单元,该单向数据传输单元构造用于将以传输数据格式的数据单向地传输到第二网络区中;以及数据导入装置,该数据导入装置构造用于将数据从传输数据格式变换回网络数据格式并且将所述数据传送给应用服务器,其中该数据导入装置和该应用服务器布置在空间上从第一区远离的第二网络区中。
[0023] 该数据导入装置和应用服务器无需必要地布置在共同的网络区中。它们也可以布置在不同于第一网络区的、不同网络区中。由此针对工业应用以及基于数据二极管的跨域安全性解决方案能够实现无反作用的单向数据二极管的较不复杂的并且较低成本的实现方案。
[0024] 在一种有利的实施方式中,传输设备构造用于,实施按照权利要求2至7所述的方法的扩展方案。
[0025] 在一种有利的实施方式中,数据导入装置构造用于,实施所述数据从网络数据格式到另一数据格式的至少一个其他变换。
[0026] 由此可以已经在数据导入单元中针对通过应用或应用服务器进行的评估来执行数据格式的适配。所述数据因此可以灵活地被提供给不同的应用或应用服务器。
[0027] 在一种有利的实施方式中,数据导入装置被构造为应用服务器的部分。
[0028] 除了与应用服务器空间上分离地构造的、在第二网络区之内例如经由公共的互联网或办公网络而连接到第一网络区上的数据导入装置以外,也可以有利地将数据导入装置以组合方式构造为应用服务器的部分。这减小要运行的并且因此要维护的组件的数目并且可以因此以更低成本的方式来运行。
[0029] 在一种有利的实施方式中,数据导出装置具有用于在第一网络区中持久地存储数据的存储单元。
[0030] 所述数据可以在该第一网络区中因此被收集并且例如作为用于重建在第一网络区中的数据传输的日志数据来使用。
[0031] 在一种有利的实施方式中,能够使用网络分流器、网络交换机的镜像端口或者数据二极管来作为单向数据传输单元。网络分流器可以也被称为数据采集单元(DCU)。对网络交换机的镜像端口的使用也被称为端口镜像。
[0032] 数据传输单元的这种表现形式具有关于无反作用方面的特别好的特性。在一种有利的实施方式中,该设备附加地还包括数据网关,该数据网关构造用于,设立以密码学的方式确保的通信连接,以用于将以传输数据格式的数据传输至数据导入装置。
[0033] 本发明的第三方面涉及如下计算机程序产品,该计算机程序产品直接地能够加载到数字计算机的
存储器中并且包括如下程序代码部分,所述程序代码部分适合用于,执行根据权利要求1-7其中任意一项所述的方法的步骤。
附图说明
[0034] 按照本发明的设备的和按照本发明的方法的
实施例在附图中示例性地示出并且根据接下来的描述进一步予以阐述。其中:图1示出以示意图的形式的根据
现有技术的常规的跨域安全性网关;
图2示出示意图的形式的按照现有技术的控制网络的无反作用的数据网关;
图3示出以示意图的形式的尤其是用于控制网络的、按照本发明的传输设备的第一实施例;
图4示出以示意图的形式的具有在应用服务器中所集成的数据导入装置的按照本发明的传输设备的第二实施例;
图5示出以示意图的形式的按照本发明的传输设备的第三实施例,其构造为跨域安全性网关;和
图6示出以示意图的形式的按照本发明的传输设备的第四实施例,其构造为跨域安全性网关;
图7作为
流程图示出按照本发明的方法的实施例。
[0035] 彼此相应的部分在所有图中配备有相同的附图标记。
具体实施方式
[0036] 图1示出常规的跨域安全性网关12,其具有两个单向的通信段1、2,其基于数据二极管8、18。被连接上的网络区11、13被不同地分级,从而一方面存在具有低安全性要求的网络区13并且与此相对地存在具有高安全性要求11的网络区11。只要所述数据的内容并不被病毒扫描器16识别为恶意的,从具有安全性分级为“内部”的第二网络区13出发朝具有高安全性要求和分级为“机密(Confidential)”的第一网络区11的方向的在所述单向的通信段1上的数据传送就是可能的。针对经由数据二极管18的传输,对数据二极管18的利用需要双向至单向转换器15, 该双向至单向转换器用于将双向通信协议、例如传输控制协议TCP转换到单向的通信协议、例如用户数据报协议UDP。在该数据二极管18之后,必须将单向协议再次通过单向至双向协议转换器14变换回到双向的通信协议。
[0037] 只有在待传输的数据或待传输的文档能够成功地在降级设备7中被降级、例如按照预给定的降级规则从分级“机密”降级到“内部”的情况下,在反向上从第一网络区11到第二网络区13的单向通信段2上的数据传送才是可能的。然后,将数据在双向至单向转换器5中变换并且经由数据二极管8来将数据递交给单向至双向转换器4并且进行反变换。所述数据自身通过在第一网络区11中的用户C1或者在第二网络区13中的用户C2来发送或接收。
[0038] 图2现在示出借助用于无反作用地将数据从安全性网络单向地导出到应用服务器29中的、无反作用的单向数据网关22的常规解决方案,该安全性网络在此相应于第一网络区21,其中该应用服务器经由公共的网络24、例如互联网或办公网络来连接。所述公共的网络24以及后端应用服务器29因此处于第二网络区23中。
[0039] 在第一网络区21中的数据发送装置25从例如控制设备S1收集诊断数据并且将当期数据映射例如作为文件或者作为二进制数据对象、也称为二进制大对象来周期性地经由保证无反作用的数据传输单元26来传输至数据接收装置27。该数据发送装置25可以也称为单向数据提供者或单向发布者。数据接收装置27接收经由所述单向数据传输单元26所传送的数据并且可以也被称为单向接收者或单向订户。数据发送装置25包括单向导出功能,以便将数据集例如作为二进制数据对象来提供给该数据接收装置27。该数据接收装置27拥有导入功能,以便导入并且解释所接收的数据集,以及例如经由数据网关28来将所包含的诊断数据传输至应用服务器29。在应用服务器29中包含应用程序30、31、32以用于评估所传输的数据。
[0040] 图3与图2相应地现在示出在工业领域中的无反作用的数据传输设备102的按照本发明的实施例。在此,在第二网络区23中,应该为了评估而将在第一网络区21中的控制设备S1或用户的数据传输给应用服务器29。该传输在第二网络区23之内例如经由第二数据网关28、以及经由具有小安全相关性的公共网络24来进行。
[0041] 单向的传输设备102包括数据导出装置105、单向数据传输单元106以及数据导入装置107,该数据导入装置在第二网络区23中与数据导出装置105以及与数据传输单元106远离地构造。数据导入装置107例如布置在应用区、也称为云中。
[0042] 在数据导出装置105中,待传输的数据在第一网络区21之内持久地、例如存储在数据存储器中。所述数据在第一网络区21之内按照网络协议经由网络连接来传输。所述数据以网络数据格式110的方式而存在。第一网络区21的典型的网络协议例如是用于传输机器数据的OPC统一架构(OPC UA)协议或者用于传输日志报告(Log-Meldung)的syslog协议。
[0043] 在被分配给第一网络区的数据导出单元105中,现在检测以网络数据格式110的数据并且将其变换成符合传输协议的传输数据格式111。在此,进行从双向网络协议到传输数据格式111的转换,其中该传输数据格式适合用于经由单向段通过单向数据传输单元106来传输。在此,可选地,除了协议格式转换以外还冗余地对数据编码,使得实现对传输错误的修正,以及添加错误识别代码或者也添加密码学的校验和,从而能够识别传输误差或操纵,和/或将数据加密。
[0044] 该传输数据格式111包含关于在第一网络区21中所使用的网络协议的信息。由此,该数据导入装置107可以执行从传输数据格式到网络数据格式的反变换。
[0045] 例如,数据包的报头在传输数据格式111中包含元数据,所述元数据除了关于网络协议的说明还包含时间戳、起源信息、例如IP地址。在传输数据格式111中存在的数据为了通过数据传输单元106的输出耦合而优选地被划分成更小的子数据包。每个子数据包包含附加的元数据、诸如传送标识、发送器标识以及包号码或者也包含用于识别传输错误和/或完整性的校验和,其中该发送器标识支持在接收侧上的发布-订阅功能。所述子数据包在数据传输单元106的
输出侧上或者在第二数据网关28中终止,其中该第二数据网关将数据转
化成传输数据格式111并输出。
[0046] 在所述数据导入装置107中可以执行其他数据格式转换,以便相应于接下来的评估服务的要求地适配数据。
[0047] 从数据导入装置107输出的数据格式可以与第一网络区21中的数据格式一致。然而同样可能地,从数据导入装置107所输出的数据格式不同于在第一网络区21中的数据格式。因此,可以例如在第一网络区21中将OPC UA作为数据格式来使用,相反,由数据导入装置107来输出JSON数据格式。
[0048] 如果所分配的、接收的数据的校验和能够正确地检验,则数据导入装置107在一种变型中输出所述数据。在另一种变型方案中 ,数据导入装置107将数据与附加信息一起输出,其中所述附加信息说明,是否所分配的所接收的数据的校验和是正确的。
[0049] 单向数据传输单元106现在将以传输数据格式111的数据传输并且将所述数据例如输出到数据网关28,使得构建与数据导入单元107的安全连接。作为安全的数据连接,可以例如使用按照传输层安全协议的常规的TLS连接。在所述TLS连接中,数据保持为传输数据格式111。
[0050] 单向数据传输单元106可以作为数据输出耦合装置来构造用于单向数据传输,例如作为网络分流器或网络数据采集单元、经由网络交换机的镜像端口或者经由网络二极管来传输,其中所述镜像端口同样地将施加在镜像端口处的数据以相同方式来转发给输出端口,其中该网络二极管例如具有光导体。通过单向数据传输单元106,使得所述数据在封闭的、安全关键的第一网络区21之外可用。
[0051] 与现有技术不同,在单向数据传输单元106之外,传输数据格式111并不转换回网络数据格式110,而是继续以传输数据格式111来传输。
[0052] 在数据导入单元107中,将数据从传输数据格式111变换回网络数据格式110并且提供给在应用服务器29中的评估程序30、31、32。
[0053] 图4示出单向传输设备202的另一实施方式,其中将数据导入装置207实现为集成在应用服务器203中。该数据导入装置207也可以作为云应用而被加载到应用服务器203中并且在那里被实施。在这种应用服务器203中、例如在IoT后端中可以以云应用的形式来实现所述功能性。
[0054] 图5示出在一种跨域安全性网关解决方案中的单向传输设备312的实施方式。在此,在第二网络区313中针对从第一网络区311到第二网络区313中的传输段2来使用远程的例如基于互联网的单向至双向转换器304,其中所述单向至双向转换器相应于单向传输设备102的数据导入装置105。如在之前的实施例中那样,单向至双向转换器304是传输设备312的如下逻辑组成部分,但是其中所述逻辑组成部分在空间上分离于双向至单向转换器
305和数据二极管308地构造。在此,在另一变型方案(未示出)中,单向传输的数据在经由传输段2传输到第二网络区313时经由双向数据通信连接传输至基于互联网的、单向至双向转换器304(以隧道的方式(getunnelt))。为此,可以设置分开的隧道组件(未示出),所述隧道组件被布置在数据二极管308和传输段2之间。其可以例如将单向传输的UDP
帧经由TCP通信通道或者TLS通信通道来传输。
[0055] 以相同方式,针对从第二网络区313到第一网络区311中的传输段1,相应于数据导出装置105地使用双向至单向转换器315来作为在第二网络区313中的远程的单元。单向至双向转换器304、312执行单向到双向的转换304、312并且相应于在图3或4中的数据导出装置105。以相同方式,可以将病毒扫描器316构造为网络服务。
[0056] 该单向至双向转换器304或双向至单向转换器315因此更简单地构造,因为仅仅还必须实现接收功能或发送功能。由此,尤其是可能:针对新的协议或者针对在单向至双向转换器304的或双向至单向转换器315的所使用的协议栈中填补薄弱点而进行的简单扩展。
[0057] 与由基于硬件数据二极管的跨域安全性解决方案已知的现有技术相反,并不需要在单向传输之后的反转换,而是将数据传送给例如基于云的后端系统,其中该基于云的后端系统布置在具有更小安全性要求的第二网络区313、413中。取而代之地,可以将所述传输经由常规的网络连接传输至基于云的后端系统并且在那里才反变换并且为了评估而传送给应用服务器。由此,可以在应用服务器中使用冗余的、基于云的服务,例如利用自动的故障转移(Fail-Over)。通过这种技术实现方案来对方法的实施因此包括更少的如下组件,这些组件必须被维护并且也被认证,从而使该解决方案具有比常规方法更小的复杂度。由此,更成本有效地并且更容易地将该方法和相应的设备集成到现有的
基础设施中。
[0058] 图6示出一种变型方案,在该变型方案中,在第一网络区403中将与图5中的集成的单向至双向转换器314相应的单向至双向转换器414和与图5中的集成的双向至单向转换器305相应的双向至单向转换器405例如作为高安全性计算中心的部分来实现。在此,也可以在数据二极管408、418的情况下在其他实现变型方案中分别设置附加的隧道组件,其中所述附加的隧道组件将单向传输的数据运送到、或者所谓的以隧道传输(eintunneln)到双向的通信连接中。
[0059] 图7示出为了评估而从第一网络区21、311、411无反作用地将数据单向传输到在第二网络区23、313、413中的远程的应用服务器29、203中的各个方法步骤。在第一方法步骤501中,将在第一网络区21、311、411中所传输的以网络数据格式的数据在所述第一网络区
21、311、411中检测。在方法步骤502中,将数据从网络数据格式变换成传输数据格式并且在方法步骤503中单向地以传输数据格式111而传输到第二网络区23、313、413中。在第二网络区23、313、413中现在进行数据从传输数据格式到网络数据格式的反变换504。所述反变换在从第一网络区空间上远离的第二网络区中进行,并且将以网络数据格式的数据传送给应用服务器,参见步骤505,以用于评估。
[0060] 所有所描述的和/或所表示的特征都可以在本发明的范畴内有利地相互结合。本发明并不限于所描述的实施例。
