[发明专利]用于在网络之间无反作用地传输数据的方法和装置

说明书

一种用于在具有不同的安全要求的网络之间无反作用地传输数据的方法，其中在具有高的安全要求的第一网络中，将第一应用的第一数据在通信中仅在第一网络之内的部件之间经由多个通信连接（16.1，16.2）传输（2），其中第一网络（11）中的数据从各通信连接（16.1，16.2）的至少一个监听装置（17.1，17.2）无反作用地检测，并且传递（4）到具有较低的安全要求的第二网络（12）中。以及一种相应的装置，所述装置包括：各通信连接（16.1，16.2）的至少一个监听装置（17.1，17.2），所述监听装置构成为，从各一个通信连接（16.1，16.2）无反作用地检测第一网络（11）中的数据，并且将其传递到具有较低的安全要求的第二网络（12）中；和数据存储器单元（18），所述数据存储器单元布置在第二网络中并且存储所检测的数据。

技术领域

本发明涉及一种用于在具有不同的安全要求的网络之间、例如在工业控制网和少数关键诊断网络之间无反作用地传输数据的装置和方法。

背景技术

用于在具有不同的安全要求的网之间传输数据的安全解决方案、所谓的跨域安全解决方案迄今在特定的领域中、诸如在官方通信中使用，其中高的安全要求适用并且其中存在文件或信息的安全分级。通过跨域解决方案，实现文件和消息、诸如电子邮件在具有不同高的安全要求的区之间的自动化的可靠的交换。重要部件在此是数据二极管，所述数据二极管确保数据通信的单向性，即仅沿一个方向运输数据。

对于通常具有高的安全要求的工业控制网与通常仅满足低的安全要求的诊断网络、办公室网络或开放因特网的耦合，迄今使用传统的防火墙，所述防火墙根据可配置的过滤器规则过滤数据通信。数据通信在此例如与通信伙伴的地址和使用的通信协议相关地通过或阻挡。安全要求尤其涉及数据传输的可用性和完整性。这是作为对机密的保护的另一目标设置，如其在办公室应用或官方应用中经常被要求。

从US8068415 B2中已知一种数据二极管，所述数据二极管由发送部件和接收部件构成，所述发送部件和接收部件与光学传输线路或屏蔽的铜绞线路连接，所述数据二极管由此实现单向的数据传输。发送部件在此为代理服务器，所述代理服务器引入到数据通信中。这种发送模块不能够可靠地确保无反作用的数据传输。此外，这种发送部件处于安全关键的网络的通信路径中，使得中断网络部件之间的端对端通信。

如果在数据传输时或通过数据传输不能够将信号或数据引入到进行发送的网络中或者不能够改变第一网络中的数据，那么在两个网络之间的数据传输是无反作用的。在此，无反作用性应不仅仅关于信号的引入或改变通过外部的通信参与方确保，解决方案本身应是无反作用的。因此，已知的数据二极管不应视作为无反作用的，所述数据二极管实现例如用于操作TCP包的受限的返回通道（应答）。要求必须引入到通信路径中的特殊的发送部件的数据二极管解决方案也不适合。

因此，这种数据二极管不保证无反作用性并且不满足要求的质量，如其例如在许可工业控制网中要求的那样。

此外，这种数据二极管不适合于高度可用的网络，所述网络例如具有冗余的传输路径或环形拓扑，因为中央发送部件示出网络冗余性的破坏或要求多个数据二极管，所述数据二极管应昂贵地和耗费地设立。

发明内容

因此，本发明的目的是，简单地并且低成本地提供用于在网络、尤其具有不同的安全要求和高可用性的网络之间无反作用地传输数据的解决方案。

所述目的通过在独立权利要求中描述的措施来实现。在从属权利要求中示出本发明的有利的改进方案。

在根据本发明的用于在具有不同的安全要求的网络之间无反作用地传输数据的方法中，在具有高的安全要求的第一网络中第一应用的第一数据在通信中仅在第一网络之内的部件之间经由多个传输线路传输，其中第一网络中的数据由各传输线路中至少一个监听装置无反作用地检测，并且传递到具有较低的安全要求的第二网络中。