[go: up one dir, main page]

DE102016107450A1 - Sicheres Gateway - Google Patents

Sicheres Gateway Download PDF

Info

Publication number
DE102016107450A1
DE102016107450A1 DE102016107450.0A DE102016107450A DE102016107450A1 DE 102016107450 A1 DE102016107450 A1 DE 102016107450A1 DE 102016107450 A DE102016107450 A DE 102016107450A DE 102016107450 A1 DE102016107450 A1 DE 102016107450A1
Authority
DE
Germany
Prior art keywords
network
network interface
interface device
interface
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102016107450.0A
Other languages
English (en)
Inventor
Siegfried Müller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MB connect line GmbH
Original Assignee
MB connect line GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MB connect line GmbH filed Critical MB connect line GmbH
Priority to EP17164443.8A priority Critical patent/EP3229439B1/de
Priority to US15/476,996 priority patent/US10291461B2/en
Publication of DE102016107450A1 publication Critical patent/DE102016107450A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1036Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q3/00Selecting arrangements
    • H04Q3/0016Arrangements providing connection between exchanges
    • H04Q3/0025Provisions for signalling
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31348Gateway
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Die Erfindung offenbart eine Gatewayeinrichtung (100), die dazu ausgebildet ist, ein erstes Netzwerk und ein zweites Netzwerk zu koppeln, aufweisend – eine ersten Netzwerkschnittstelleneinrichtung (102), die mittels einer ersten Schnittstelle mit dem ersten Netzwerk gekoppelt ist; – eine zweite Netzwerkschnittstelleneinrichtung (104), die mittels einer ersten Schnittstelle mit dem zweiten Netzwerk gekoppelt ist; – eine Netzwerkkoppeleinrichtung (103), die dazu ausgebildet ist, in einem ersten Zustand Daten von einer zweiten Schnittstelle der ersten Netzwerkschnittstelleneinrichtung (102) zu einer zweiten Schnittstelle der zweiten Netzwerkschnittstelleneinrichtung (104) zu übertragen und im ersten Zustand auf der Schaltungsebene keine Daten von der zweiten Netzwerkschnittstelleneinrichtung (104) zur ersten Netzwerkschnittstelleneinrichtung (102) zu übertragen.

Description

  • Die vorliegende Erfindung betrifft ein sicheres Gateway, insbesondere ein Gateway mit dem eine Fertigungsumgebung an ein Weitverkehrsnetzwerk, beispielsweise an das Internet, angeschlossen werden kann.
  • Zur Überwachung eines Fertigungsprozesses ist es erforderlich, dass Fertigungsanlagen regelmäßig Daten an einem definierten Speicherplatz außerhalb der Produktionsumgebungen hinterlegen. Derartige Daten werden beispielsweise in der Cloud, d. h. einem geschützten Speicher, auf den über das Internet zugegriffen werden kann, gespeichert.
  • Es versteht sich, dass eine Produktionsumgebung gegen Angriffe aus dem Internet abgesichert werden muss. Die Anbindung, d. h. die physikalische Verbindung, der Produktionsumgebungen an das Internet kann im Stand der Technik lediglich mit einem großen Aufwand vor unberechtigten externen Zugriffen geschützt werden. Durch einen unberechtigten externen Zugriff (Attacke) besteht die Gefahr, dass Daten von Einrichtungen in der Produktionsumgebung geändert werden und dadurch der Produktionsprozess gestört werden kann. Ferner können durch falsche Konfigurationsdaten Werkstücke und Einrichtungen der Produktionsumgebung beschädigt werden.
  • Um unberechtigte externe Zugriffe auf Produktionsumgebungen zu vermeiden werden im Stand der Technik so genannte Datendioden als Gateways eingesetzt. Die Datendioden übernehmen unter anderem die Funktion einer so genannten Firewall. Die im Stand der Technik bekannten Datendioden verwenden eine Software mit einem komplexen Rechtemanagement und verwenden im wesentlichen anwendungsspezifische Maßnahmen. Eine derartige Software ist aufwändig zu administrieren. Ferner muss die Software eines derartigen Gateways regelmäßig aktualisiert werden.
  • Die DE 10 2013 016 943 A1 offenbart einen Cloud-Server für die Automatisierung mit einer Firewall. Die Sicherheit des Cloud-Servers soll durch ein Regelwerk sichergestellt werden, das mittels einer Software parametriert wird.
  • Die Erfindung stellt sich zur Aufgabe, ein verbessertes Gateway zu schaffen.
  • Die Aufgabe der Erfindung wird durch eine Gatewayeinrichtung nach Anspruch 1 und durch eine Produktionsanlage nach Anspruch 1 gelöst. Die abhängigen Ansprüche sind auf bevorzugte Ausführungsformen gerichtet.
  • Die erfindungsgemäße Gatewayeinrichtung ist dazu ausgebildet, ein erstes Netzwerk und ein zweites Netzwerk zu koppeln. Das erste Netzwerk kann ein Netzwerk einer Produktionsanlage sein. Das zweite Netzwerk kann ein geschütztes Firmennetzwerk sein. Das zweite Netzwerk kann mit einem Weitverkehrsnetzwerk, beispielsweise dem Internet, gekoppelt sein. Das zweite Netzwerk kann einen so genannten Cloud-Speicher aufweisen, der über das Internet zugänglich ist, um Daten im Cloud-Speicher zu speichern oder von dort auszulesen.
  • Die Gatewayeinrichtung umfasst ferner eine erste Netzwerkschnittstelleneinrichtung, die mittels einer ersten Schnittstelle mit dem ersten Netzwerk gekoppelt ist. Die Gatewayeinrichtung umfasst ferner eine zweite Netzwerkschnittstelleneinrichtung, die mittels einer ersten Schnittstelle mit dem zweiten Netzwerk gekoppelt ist. Die Gatewayeinrichtung umfasst ferner eine Netzwerkkoppeleinrichtung, die dazu ausgebildet ist, in einem ersten Zustand Daten von einer zweiten Schnittstelle der ersten Netzwerkschnittstelleneinrichtung zu einer zweiten Schnittstelle der zweiten Netzwerkschnittstelleneinrichtung zu übertragen und keine Daten von der zweiten Netzwerkschnittstelleneinrichtung zur ersten Netzwerkschnittstelleneinrichtung zu übertragen. Die Netzwerkkoppeleinrichtung kann im ersten Zustand auf Schaltungsebene keine Daten von der zweiten Netzwerkschnittstelleneinrichtung zur ersten Netzwerkschnittstelleneinrichtung übertragen.
  • Da die Übertragung von Daten in die Produktionsumgebungen auf der Schaltungsebene bzw. Hardwareebene verhindert wird, ist die Gatewayeinrichtung besonders sicher, da keine manipulierbare Software vorhanden ist. Ferner entfallen potentielle Fehler aufgrund einer falschen Konfiguration der Firewall-Software oder Konfiguration-Software.
  • Die Schicht 1 des OSI-Referenzmodell der Netzwerkkoppeleinrichtung kann dazu ausgebildet sein, im ersten Zustand keine Daten von der zweiten Netzwerkschnittstelleneinrichtung zur ersten Netzwerkschnittstelleneinrichtung zu übertragen. Das OSI-Referenzmodell ist dem Fachmann bekannt. Die Schicht 1 betrifft die unterste Übertragungsebene, beispielsweise die Hardware und die Bit-Übertragungsschicht. Falls auf der Hardwareschicht und der unteren Bit-Übertragungsschicht keine Daten von der zweiten Netzwerkschnittstelleneinrichtung zur ersten Netzwerkschnittstelleneinrichtung übertragen werden können, kann eine Sicherheitssoftware, Firewall-Software oder dergleichen nicht so manipuliert werden, dass dennoch Daten von der zweiten Netzwerkschnittstelleneinrichtung zur ersten Netzwerkschnittstelleneinrichtung übertragen werden können. Dadurch wird eine sichere Gatewayeinrichtung geschaffen.
  • Alternativ hierzu oder zusätzlich kann die zweite Schnittstelle der ersten Netzwerkschnittstelleneinrichtung dazu ausgebildet sein, dass lediglich Daten empfangen werden können, aber keine Daten gesendet werden können. Die zweite Schnittstelle der ersten Netzwerkschnittstelleneinrichtung kann lediglich im ersten Zustand der Netzwerkkoppeleinrichtung keine Daten empfangen. Durch diese Maßnahmen wird eine Redundanz zum Verhindern des Übertragens von Daten von der zweiten Schnittstelleneinrichtung zur ersten Schnittstelleneinrichtung geschaffen.
  • Die Netzwerkkoppeleinrichtung kann eine Leitung aufweisen, mittels der Befehle und/oder Daten von der zweiten Netzwerkschnittstelleneinrichtung zur ersten Schnittstelleneinrichtung übertragen werden können. In der ersten Leitung kann eine Schalteinrichtung angeordnet sein, die in ihrem geöffneten Zustand den ersten Zustand der ersten Netzwerkkoppeleinrichtung bewirkt, bei dem keine Daten von der zweiten Schnittstelleneinrichtung an die erste Schnittstelleneinrichtung übertragen werden können. Die erste Leitung kann eine Befehls-Leitung und/oder eine Daten-Leitung sein. Falls eine derartige Leitung aufgrund des geöffneten Zustands der Schalteinrichtung unterbrochen ist, können keine Befehle und/oder Daten auf Schaltungsebene bzw. Hardwareebene von der ersten Netzwerkschnittstelleneinrichtung an die zweite Netzwerkschnittstelleneinrichtung übertragen werden. In ihrem geschlossenen Zustand bewirkt die Schalteinrichtung den zweiten Zustand der ersten Netzwerkkoppeleinrichtung, bei dem Daten von der zweiten Netzwerkschnittstelleneinrichtung an die erste Netzwerkschnittstelleneinrichtung übertragen werden können.
  • Die Schalteinrichtung kann einen mechanischen Schalter oder einen fernbetätigten Schalter, beispielsweise ein Relais sein. Der fernbetätigte Schalter kann von einer Steuerungseinrichtung angesteuert werden, die nicht Teil der Betriebssoftware der Gatewayeinrichtung ist. Dadurch kann die Sicherheit der Gatewayeinrichtung erhöht werden. Aus Sicherheitsgründen ist ein mechanischer Schalter bevorzugt, da er nur von Personen betätigt werden kann, die einen physischen Zugang zur Gatewayeinrichtung haben. Der Schalter kann mit einem Schloss gesichert sein.
  • Bei einer Ausführungsform kann die Netzwerkkoppeleinrichtung eine serielle Schnittstelle, ein serieller Bus oder eine serielle Datenübertragungseinrichtung sein. Die serielle Datenübertragung hat den Vorteil, dass der Schalter lediglich in einer Steuerleitung und/oder Datenleitung angeordnet sein muss, um diese zu unterbrechen.
  • Bei einer anderen Ausführungsform kann die Netzwerkkoppeleinrichtung eine parallele Schnittstelle, insbesondere einen parallelen Bus, aufweisen. Bei dieser Ausführungsform kann die Schalteinrichtung in der einer Schreibsteuerleitung angeordnet sein, beispielsweise in der Write-Enable-Leitung. An die erste Schnittstelle der ersten Netzwerkschnittstelleneinrichtung kann eine Mehrzahl Netzwerteilnehmer angeschlossen werden. Die erste Schnittstelle der ersten Netzwerkschnittstelleneinrichtung kann den Profibus, das Profinet, das Ethernet, ein industrielles Ethernet, CAN, EtherCAT und/oder ein beliebiges Netzwerkprotokoll oder Busprotokoll in einer Automatisierungsumgebung unterstützen.
  • An die erste Schnittstelle der zweiten Netzwerkschnittstelleneinrichtung kann zumindest ein Netzwerk angeschlossen werden, wobei die erste Schnittstelle der zweiten Netzwerkschnittstelleneinrichtung ein LAN-Protokoll, ein WLAN-Protokoll, ein Mobilfunkprotokoll und/oder ein beliebiges WAN-Protokoll unterstützt. Die erste Schnittstelle der zweiten Netzwerkschnittstelleneinrichtung kann direkt oder über ein Netzwerk, beispielsweise einen Router, mit dem Internet verbunden sein. Die erste Schnittstelle der zweiten Netzwerkschnittstelleneinrichtung kann mit einem so genannten Cloud-Speicher zum Ablegen von Daten verbunden sein.
  • Der erste Schnittstelleneinrichtung kann einen Feldbusprozessor aufweisen. Der Feldbusprozessor kann dazu ausgebildet sein, die an seiner ersten Schnittstelle angeschlossenen Busse in ein einheitliches Format zu konvertieren, das an der zweiten Schnittstelle ausgegeben wird. Der Feldbusprozessor kann die Datenstrukturen und/oder die Steuerungsinformationen konvertieren.
  • Die Gatewayeinrichtung kann dazu ausgebildet sein, ein Protokoll einer ersten Schnittstelle der ersten Schnittstelleneinrichtung in ein Protokoll der ersten Schnittstelle der zweiten Schnittstelleneinrichtung umzusetzen. Optional kann die Gatewayeinrichtung dazu ausgebildet sein, ein Protokoll einer ersten Schnittstelle der zweiten Schnittstelleneinrichtung in ein Protokoll der ersten Schnittstelle der ersten Schnittstelleneinrichtung umzusetzen. Die Netzwerkkoppeleinrichtung kann ein gemeinsames Protokoll verwenden.
  • Die Erfindung betrifft auch eine Produktionsanlage, die die zuvor beschriebene Gatewayeinrichtung aufweist. An die erste Schnittstelle der ersten Netzwerkschnittstelleneinrichtung kann zumindest eine Produktionseinrichtung angeschlossen sein. Die Produktionseinrichtung kann ein Datenleitstand, eine Steuerungseinrichtung, eine speicherprogrammierbare Steuerung, ein Computer, eine Messeirichtung, ein industrielles Steuerungssystem, eine Datenbank für eine Produktionsanlage, eine Maschine, ein Sensor oder dergleichen sein.
  • Die erste Schnittstelle der zweiten Schnittstelleneinrichtung kann mit dem Internet gekoppelt sein.
  • Die Erfindung wird nun mittels einer exemplarischen und nicht beschränkenden Ausführungsform unter Bezugnahme auf die beigefügten Figuren detaillierter beschrieben, wobei:
  • 1 eine schematische Darstellung der erfindungsgemäßen Gatewayeinrichtung ist; und
  • 2 eine exemplarische Ausführungsform einer seriellen Schnittstelle ist, die eine Netzwerkkoppeleinrichtung verkörpert.
  • 1 zeigt eine Gatewayeinrichtung 100, die sich am Übergang von einer Produktionsumgebung 116 zu einer Umgebung 118 zu einem Weitverkehrsnetzwerk befindet. Die Gatewayeinrichtung 100 umfasst eine erste Schnittstelleneinrichtung 102, eine zweite Schnittstelleneinrichtung 104 und eine Netzwerkkoppeleinrichtung 103.
  • Die erste Netzwerkschnittstelleneinrichtung 102 umfasst eine erste Schnittstelle mit einer Mehrzahl Anschlüsse für Netzwerkteilnehmer, die sich in der Produktionsumgebungen 116 befinden. Die erste Schnittstelleneinrichtung kann eine Schnittstelle für einen Profibus 106, eine Schnittstelle für ein Profinet 108, eine Schnittstelle für ein Ethernet 110, eine Schnittstelle für ein industrielles Ethernet 110, eine Schnittstelle für einen CAN-Bus 112 und/oder eine Schnittstelle für ein EtherCAT 114 umfassen. Es versteht sich, dass die erste Schnittstelle so ausgebildet ist, dass ein beliebiger Feldbus, ein beliebiges Netzwerk, insbesondere zukünftig entwickelter Feldbusse, zukünftige entwickelter Netzwerke oder dergleichen an die erste Schnittstelle angeschlossen werden kann. Die Produktionsumgebung kann eine Mehrzahl Produktionseinrichtungen umfassen, die an der ersten Schnittstelle der ersten Netzwerkschnittstelleneinrichtung 102 angeschlossen sind. Die Produktionseinrichtung kann ein Datenleitstand, eine Datenbank für eine Produktionsanlage, eine Maschine, ein Sensor oder dergleichen sein.
  • Die zweite Netzwerkschnittstelleneinrichtung 104 kann eine Schnittstelle zu einem beliebigen Weitverkehrsnetzwerk, Firmennetzwerk oder dergleichen umfassen. Das Weitverkehrsnetzwerk kann das Internet sein. An das Weitverkehrsnetzwerk kann ein sogenannter Cloud-Speicher angeschlossen sein, in dem Daten von der Produktionsumgebungen 116 gespeichert werden. Die zweite Netzwerkschnittstelleneinrichtung 104 kann eine Schnittstelle für ein LAN 120, ein WLAN 122, ein Mobilfunknetzwerk 124 oder ein beliebiges anderes Weitverkehrsnetzwerk aufweisen.
  • Die erste Netzwerkschnittstelleneinrichtung 102 und die zweite Netzwerkschnittstelleneinrichtung 104 sind mittels einer Netzwerkkoppeleinrichtung 103 gekoppelt. Die Gatewayeinrichtung 100 ist dazu ausgebildet, das Protokoll einer beliebigen Schnittstelle an der ersten Schnittstelleneinrichtung 102 in ein beliebiges Protokoll einer zweiten Schnittstelleneinrichtung 104 und optional umgekehrt umzusetzen. In der Netzwerkkoppeleinrichtung 103 kann ein gemeinsames Protokoll verwendet werden.
  • Die Netzwerkkoppeleinrichtung ist so ausgebildet, dass sie in einem ersten Zustand lediglich eine Datenübertragung von der ersten Netzwerkschnittstelleneinrichtung 102 zu der zweiten Netzwerkschnittstelleneinrichtung 104 zulässt. Die Schaltung der Netzwerkkoppeleinrichtung ist so ausgelegt, dass in der Schicht 1 lediglich Daten von der ersten Netzwerkschnittstelleneinrichtung 102 zu der zweiten Netzwerkschnittstelleneinrichtung 104 übertragen werden können. Bei einer Ausführungsform kann die Netzwerkkoppeleinrichtung 103 ein serieller Bus, ein serielleres Netzwerkelement und/oder eine serielle Schnittstelle sein. Die Schaltung der Netzwerkkoppeleinrichtung 103 kann so ausgelegt werden, dass die zweite Netzwerkschnittstelleneinrichtung 104 keine Befehle zum Senden von Daten an die erste Netzwerkschnittstelleneinrichtung 102 übertragen kann. Ferner kann die Schaltung der Netzwerkkoppeleinrichtung 103 so ausgelegt sein, dass die zweite Netzwerkschnittstelleneinrichtung 104 keine Datenbits an die erste Netzwerkschnittstelleneinrichtung 102 übertragen kann, wenn sich die Netzwerkkoppeleinrichtung 103 in ihrem ersten Zustand befindet.
  • Wie in 1 dargestellt ist, kann die Netzwerkkoppeleinrichtung 103 eine Schalteinrichtung 126 aufweisen, die in einer Leitung angeordnet ist, die Befehle von der zweiten Netzwerkschnittstelleneinrichtung 104 zu der ersten Netzwerkschnittstelleneinrichtung 102 überträgt. Alternativ hierzu oder zusätzlich kann die Schalteinrichtung 126 in einer Leitung angeordnet sein, die Daten von der zweiten Netzwerkschnittstelleneinrichtung 104 zu der ersten Netzwerkschnittstelleneinrichtung 102 überträgt.
  • Solange die Schalteinrichtung 126 geöffnet ist, befindet sich die Netzwerkkoppeleinrichtung 103 in ihrem geöffneten Zustand. Es können keine Befehle und keine Daten von der zweiten Netzwerkschnittstelleneinrichtung 104 zu der ersten Netzwerkschnittstelleneinrichtung 102 übertragen werden.
  • Es wird auf 2 Bezug genommen, die eine exemplarische Ausführungsform der Netzwerkkoppeleinrichtung 103 anhand eines seriellen Buses zeigt. Dem Fachmann sind die Funktionsweise und der Aufbau eines seriellen Buses bekannt. Folglich werden lediglich diejenigen Elemente eines seriellen Buses dargestellt, die zum Verständnis der Erfindung erforderlich sind.
  • Die Netzwerkkoppeleinrichtung 103 überträgt Daten von der ersten Netzwerkschnittstelleneinrichtung 102 zu der zweiten Schnittstelleneinrichtung 104 über eine zweite Datenleitung 132.
  • Im Folgenden wird die Netzwerkkoppeleinrichtung 103 bei einem Fall beschrieben, bei dem Daten von der zweiten Netzwerkschnittstelleneinrichtung 104 zur ersten Netzwerkschnittstelleneinrichtung 102 übertragen werden sollen. Es werden Daten von der zweiten Netzwerkschnittstelleneinrichtung 104 an die erste Netzwerkschnittstelleneinrichtung 102 gesendet. Über eine zweite Leitung 132 werden Daten von der ersten Netzwerkschnittstelleneinrichtung 102 an die zweite Netzwerkschnittstelleneinrichtung 104 gesendet. Falls die zweite Netzwerkschnittstelleneinrichtung 104 Daten an die erste Netzwerkschnittstelleneinrichtung 102 übertragen soll, zeigt die zweite Netzwerkschnittstelleneinrichtung 104 über einen Befehl auf der dritten Leitung 134 an, dass Daten von der zweiten Netzwerkschnittstelleneinrichtung 104 an die erste Schnittstelleneinrichtung 102 übertragen werden sollen. Falls die erste Netzwerkschnittstelleneinrichtung 102 Daten an die zweite Netzwerkschnittstelleneinrichtung 104 übertragen soll, wird dies durch ein Befehl auf der vierten Leitung 136 angezeigt.
  • Bei der in 2 gezeigten Ausführungsform der Netzwerkkoppeleinrichtung 103 können Daten von der ersten Netzwerkschnittstelleneinrichtung 102 zu der zweiten Netzwerkschnittstelleneinrichtung 104 übertragen werden, da die zweite Leitung 132 zum Übertragen von Daten und die vierte Leitung 136 zum Übertragen von Befehlen von der ersten Netzwerkschnittstelleneinrichtung 102 ohne Unterbrechung mit der zweiten Netzwerkschnittstelleneinrichtung 104 verbunden sind.
  • In der ersten Leitung 130 ist eine optionale zweite Schalteinrichtung 128 angeordnet. In der dritten Leitung 134 ist eine erste Schalteinrichtung 126 angeordnet. Bei dem in 2 gezeigten Zustand sind die erste Schalteinrichtung 126 und die zweite Schalteinrichtung 128 geöffnet. Folglich kann die zweite Netzwerkschnittstelleneinrichtung 104 keine Sendebefehle an die erste Netzwerkschnittstelleneinrichtung 102 übertragen.
  • Sobald die erste Schalteinrichtung 126 und die zweite Schalteinrichtung 128 geschlossen sind, kann die zweite Netzwerkschnittstelleneinrichtung 104 Daten und Befehle zur ersten Netzwerkschnittstelleneinrichtung 102 übertragen. Dieser Zustand wird als zweiter Zustand bezeichnet. Der zweite Zustand kann bei einem Einrichtbetrieb wünschenswert sein, bei dem Teile der Produktionsumgebungen 116, beispielsweise einzelne Maschinen, die mit der ersten Netzwerkkoppeleinrichtung gekoppelt sind, administriert und/oder konfiguriert werden müssen.
  • Die erste Schalteinrichtung 126 und die zweite Schalteinrichtung 128 können als mechanischer Schalter oder als elektromechanische Schalter, beispielsweise durch ein Relais, ausgebildet sein. Aus Sicherheitsgründen ist ein mechanischer Schalter bevorzugt, da er nur von Personen betätigt werden kann, die einen physischen Zugang zur Gatewayeinrichtung haben. Der Schalter kann mit einem Schloss gesichert sein.
  • Die Erfindung wurde anhand einer seriellen Übertragung detaillierter beschrieben. Es versteht sich, dass das in der Figurenbeschreibung gezeigte Prinzip auch auf eine parallele Schnittstelle angewendet werden kann. Die Schalteinrichtung 126 kann dann in einer Steuerleitung der parallelen Schnittstelle angeordnet sein.
  • Die vorliegende Erfindung schafft eine verbesserte Gatewayeinrichtung, die sicherstellt, dass Daten lediglich unidirektional von der Produktionsumgebungen 116 in eine vergleichsweise offene Netzwerkumgebung 118 übertragen werden können. Die Daten können beispielsweise von der Produktionsumgebungen 116 an einem Cloud-Speicher übertragen werden. Die Daten im Cloud-Speicher können beispielsweise von anderen Programmen zur Administration abgerufen werden. Die Erfindung stellt sicher, dass keine missbräuchlichen Kommandos an Elemente der Produktionsumgebungen 116 gesendet werden können, wodurch eventuell die Produktionsumgebungen gestört werden könnte. Dadurch kann ein Schutz der Produktionsumgebungen 116 vor Attacken Dritter gewährleistet werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102013016943 A1 [0005]

Claims (11)

  1. Gatewayeinrichtung (100), die dazu ausgebildet ist, ein erstes Netzwerk und ein zweites Netzwerk zu koppeln, aufweisend – eine ersten Netzwerkschnittstelleneinrichtung (102), die mittels einer ersten Schnittstelle mit dem ersten Netzwerk gekoppelt ist; – eine zweite Netzwerkschnittstelleneinrichtung (104), die mittels einer ersten Schnittstelle mit dem zweiten Netzwerk gekoppelt ist; – eine Netzwerkkoppeleinrichtung (103), die dazu ausgebildet ist, in einem ersten Zustand Daten von einer zweiten Schnittstelle der ersten Netzwerkschnittstelleneinrichtung (102) zu einer zweiten Schnittstelle der zweiten Netzwerkschnittstelleneinrichtung (104) zu übertragen und im ersten Zustand auf der Schaltungsebene keine Daten von der zweiten Netzwerkschnittstelleneinrichtung (104) zur ersten Netzwerkschnittstelleneinrichtung (102) zu übertragen.
  2. Gatewayeinrichtung (100) nach Anspruch 1, dadurch gekennzeichnet, dass die Schicht 1 des OSI-Referenzmodells der Netzwerkkoppeleinrichtung (103), dazu ausgebildet ist, im ersten Zustand keine Daten von der zweiten Netzwerkschnittstelleneinrichtung (104) zur ersten Netzwerkschnittstelleneinrichtung (104) zu übertragen.
  3. Gatewayeinrichtung (100) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die zweite Schnittstelle der ersten Netzwerkschnittstelleneinrichtung (102) dazu ausgebildet ist, dass sie lediglich Daten empfangen kann aber, keine Daten senden kann.
  4. Gatewayeinrichtung (100) nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Netzwerkkoppeleinrichtung (103) eine erste Leitung (130, 134) aufweist, mittels der Befehle und/oder Daten von der zweiten Netzwerkschnittstelleneinrichtung (104) zur ersten Netzwerkschnittstelleneinrichtung (102) übertragen werden, wobei in der ersten Leitung eine Schalteinrichtung (126, 128) angeordnet ist, die in ihrem geöffneten Zustand den ersten Zustand der ersten Netzwerkkoppeleinrichtung (103) bewirkt, bei dem keine Daten von der zweiten Netzwerkschnittstelleneinrichtung (102) an die erste Netzwerkschnittstelleneinrichtung (102) übertragen werden können, und die in ihrem geschlossenen Zustand den zweiten Zustand der ersten Netzwerkkoppeleinrichtung (103) bewirkt, bei dem Daten von der zweiten Netzwerkschnittstelleneinrichtung (104) an die erste Netzwerkschnittstelleneinrichtung (102) übertragen werden können.
  5. Gatewayeinrichtung (100) nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die Netzwerkkoppeleinrichtung (103) eine serielle Schnittstelle, ein serieller Bus oder eine serielle Datenübertragungseinrichtung ist.
  6. Gatewayeinrichtung (100) nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass an die erste Schnittstelle der Netzwerkschnittstelleneinrichtung (102) eine Mehrzahl Netzwerteilnehmer angeschlossen werden können, wobei die erste Schnittstelle der ersten Netzwerkschnittstelleneinrichtung (102) zumindest eines der folgenden Protokolle unterstützt: – Profibus; – Profinet; – Ethernet; – Industrielles Ethernet; – CAN; – EtherCat.
  7. Gatewayeinrichtung (100) nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass an die erste Schnittstelle der zweiten Netzwerkschnittstelleneinrichtung (104) zumindest ein Netzwerk angeschlossen werden kann, wobei die erste Schnittstelle der zweiten Netzwerkschnittstelleneinrichtung (104) zumindest eines der folgenden Protokolle unterstützt: – LAN; – WLAN; – ein Mobilfunkprotokoll; – ein WAN-Protokoll.
  8. Gatewayeinrichtung (100) nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die erste Netzwerkschnittstelleneinrichtung (102) einen Feldbusprozessor aufweist.
  9. Gatewayeinrichtung (100) nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass die Gatewayeinrichtung (100) dazu ausgebildet ist, ein Protokoll einer ersten Schnittstelle der ersten Schnittstelleneinrichtung (102) in ein Protokoll der ersten Schnittstelle der zweiten Schnittstelleneinrichtung (104) umzusetzen.
  10. Produktionsanlage, aufweisend die Gatewayeinrichtung (100) nach einem der Ansprüche 1 bis 9, wobei an die erste Schnittstelle der ersten Netzwerkschnittstelleneinrichtung (102) zumindest eine Produktionseinrichtung angeschlossen ist.
  11. Produktionsanlage nach Anspruch 10, dadurch gekennzeichnet, dass erste Schnittstelle der zweiten Netzwerkschnittstelleneinrichtung (102) mit dem Internet gekoppelt ist.
DE102016107450.0A 2016-04-04 2016-04-21 Sicheres Gateway Pending DE102016107450A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP17164443.8A EP3229439B1 (de) 2016-04-04 2017-03-31 Sicheres gateway
US15/476,996 US10291461B2 (en) 2016-04-04 2017-04-01 Secure gateway

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016106129.8 2016-04-04
DE102016106129 2016-04-04

Publications (1)

Publication Number Publication Date
DE102016107450A1 true DE102016107450A1 (de) 2017-10-05

Family

ID=59885639

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016107450.0A Pending DE102016107450A1 (de) 2016-04-04 2016-04-21 Sicheres Gateway

Country Status (2)

Country Link
US (1) US10291461B2 (de)
DE (1) DE102016107450A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017219597A1 (de) 2017-11-03 2018-11-29 Framatome Gmbh Vorrichtung und Verfahren zur Sicherstellung eines unidirektionalen Datenverkehrs zwischen zwei Segmenten eines Ethernet-Netzwerkes
DE102019201133A1 (de) * 2018-12-20 2020-06-25 Volkswagen Aktiengesellschaft Kraftfahrzeug
DE102019215565A1 (de) * 2019-10-10 2021-04-15 Siemens Mobility GmbH Datennetzwerk mit One-Way-Gateway

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018007004A1 (de) * 2018-09-05 2020-03-05 Rommelag iLabs GmbH Vorrichtung zur datensicheren Anbindung mindestens einer Herstellmaschine

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013016943A1 (de) 2013-10-13 2015-04-16 Jörg Hoffmann Automation Cloud Server
DE102015105134A1 (de) * 2015-04-02 2016-10-06 Dr. Ing. H.C. F. Porsche Aktiengesellschaft Steuergerät zum Verbinden eines CAN-Busses mit einem Funknetzwerk und Kraftfahrzeug mit einem solchen Steuergerät

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5661786A (en) 1996-08-19 1997-08-26 Horn; Douglas Electronic information lockout device
US7170854B1 (en) * 2001-10-02 2007-01-30 Genband Inc. System and method using switch fabric to support redundant network ports
WO2007066184A2 (fr) 2005-12-09 2007-06-14 Lautenschlaeger Christian Dispositif d'interruption d'une ligne de communication de donnees
US7725635B2 (en) * 2007-03-18 2010-05-25 Moxa Inc. Method of determining request transmission priority subject to request channel and transmitting request subject to such request transmission priority in application of fieldbus communication framework
KR100900882B1 (ko) * 2007-06-11 2009-06-04 성균관대학교산학협력단 상호 상이한 복수의 네트워크 프로토콜을 사용하는 차량에적용되는 게이트웨이 디바이스, 네트워크 시스템 및 데이터변환방법
EP2210181A1 (de) * 2007-10-10 2010-07-28 BAE Systems PLC Datendiode
US9305189B2 (en) 2009-04-14 2016-04-05 Owl Computing Technologies, Inc. Ruggedized, compact and integrated one-way controlled interface to enforce confidentiality of a secure enclave

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013016943A1 (de) 2013-10-13 2015-04-16 Jörg Hoffmann Automation Cloud Server
DE102015105134A1 (de) * 2015-04-02 2016-10-06 Dr. Ing. H.C. F. Porsche Aktiengesellschaft Steuergerät zum Verbinden eines CAN-Busses mit einem Funknetzwerk und Kraftfahrzeug mit einem solchen Steuergerät

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017219597A1 (de) 2017-11-03 2018-11-29 Framatome Gmbh Vorrichtung und Verfahren zur Sicherstellung eines unidirektionalen Datenverkehrs zwischen zwei Segmenten eines Ethernet-Netzwerkes
DE102019201133A1 (de) * 2018-12-20 2020-06-25 Volkswagen Aktiengesellschaft Kraftfahrzeug
DE102019201133B4 (de) * 2018-12-20 2021-02-04 Volkswagen Aktiengesellschaft Kraftfahrzeug
DE102019215565A1 (de) * 2019-10-10 2021-04-15 Siemens Mobility GmbH Datennetzwerk mit One-Way-Gateway

Also Published As

Publication number Publication date
US10291461B2 (en) 2019-05-14
US20170288938A1 (en) 2017-10-05

Similar Documents

Publication Publication Date Title
EP3353610B2 (de) Verbindungseinheit, überwachungssystem und verfahren zum betreiben eines automatisierungssystems
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
EP3129888B1 (de) Übermittlung von daten aus einem gesicherten speicher
DE10314721A1 (de) Verfahren zur sicheren Datenübertragung über einen Feldbus
DE102016107450A1 (de) Sicheres Gateway
AT512077B1 (de) Verfahren und ein busgerät zum übertragen von sicherheitsgerichteten daten
EP3932020A1 (de) Verfahren zum routen von telegrammen in einem automatisierungsnetzwerk, datenstruktur, automatisierungsnetzwerk und netzwerkverteiler
EP2448182B1 (de) Verfahren zur Kommunikation in einem Automatisierungssystem
EP2400708B1 (de) Netzwerk-Schutzeinrichtung
EP3575899B1 (de) Automatisierungssystem, betriebsverfahren für automatisierungssystem und computerprogrammprodukt
DE102016125169A1 (de) Vorrichtung und System zum Überwachen einer Anlage der Automatisierungstechnik
EP3105898B1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur
WO2020239286A1 (de) Automatisierungsnetzwerk, netzwerkverteiler und verfahren zur datenübertragung
EP3808037B1 (de) Datenübertragungsverfahren, datenstruktur, automatisierungsnetzwerk und entsperrer
EP3963839B1 (de) Netzwerkverteiler, automatisierungsnetzwerk und verfahren zur datenübertragung in einem automatisierungsnetzwerk
EP3903469B1 (de) Funktional-sichere verbindungsidentifizierung für eine m2m kommunikation
EP2721803B1 (de) Verfahren und vorrichtung zur gesicherten veränderung einer konfigurationseinstellung eines netzwerkgerätes
EP1496666A1 (de) Vorrichtung und Koppelgerät, so genannter transparenter Tunnel-Proxy, zur Sicherung eines Datenzugriffs
WO2014206451A1 (de) Verfahren und vorrichtung zum sicheren übertragen von signaldaten in einer anlage
DE102007052523A1 (de) Verbinder und Verfahren zum Bereitstellen eines Zugangs zu einem Datenverarbeitungsnetz für eine Datenverarbeitungseinrichtung
EP1496665B1 (de) Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz
EP3324596A1 (de) Schutzvorrichtung und netzwerkverkabelungsvorrichtung zur geschützten übertragung von daten
DE102006029441A1 (de) System und Verfahren zur Datenübertragung in ein gesichertes Netzwerk, insbesondere einem Netz des schienengebundenen Verkehrs mit hohem Sicherheitsniveau
DE102014008654A1 (de) Temporäre Berechtigung
WO2025030189A1 (de) Vorrichtung zum anlassbezogenen unterbrechen einer zwei netzwerkschnittstellen verbindenden signalleitung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R082 Change of representative

Representative=s name: WITTMANN, GUENTHER, DIPL.-ING. UNIV., DE

R016 Response to examination communication
R016 Response to examination communication