用于不同安全區之間的被保護的數據交換的數據存儲設備的制造方法

用于不同安全區之間的被保護的數據交換的數據存儲設備的制造方法
【技術領域】
[0001]本發明涉及一種用于在不同的安全區之間的被保護的數據交換的數據存儲設備，所述數據存儲設備具有至少一個存儲單元、數據驗證單元和存取控制單元(Zugriffskontrolleinheit)o
【背景技術】
[0002]在如官方通信(Beh5rdenkommunikat1n)之類的特定領域中，在所述領域中，適用高的安全要求，并且在所述領域中，存在文獻和信息的安全分類，所謂的跨域解決方案(Cross — Domain 一 Losung)是已知的，通過所述跨域解決方案實現文獻和消息、例如電子郵件(E-Mail)在具有不同高的安全程度的安全區之間自動化地和安全地交換。
[0003]迄今為止，傳統的對數據通信進行過濾的防火墻被用于工業控制網絡與辦公網絡、公共網絡或者其他控制網絡的耦合。在此，數據通信根據通信伙伴的地址和所使用的通信協議而被容許或者被阻塞。通常的也是通過終止TCP連接的應用代理服務器引導網絡連接。
[0004]在W0 2012/170485中，跨域安全(Cross Domain Security)解決方案基于虛擬化解決方案而被實現，在所述虛擬化解決方案的情況下，虛擬機控制在具有不同的安全等級的兩個信息域之間的信息傳輸。這種系統包括具有用于虛擬機(VMM)的監控單元的計算機設備，其控制用于第一信息域的第一虛擬機、用于第二信息域的第二虛擬機和用于跨域解決方案的虛擬機。所述用于跨域解決方案的虛擬機控制在所述第一和所述第二信息域或所述相對應的虛擬機之間的信息交換。
[0005]對于在辦公網絡或者服務設備與控制網絡或者控制設備之間的例如用于分發新的程序或者指令的數據交換來說，尤其是如果數據應該通過多個分布式接口越過不同的安全區而被交換，則具有被連接在中間的防火墻的昂貴的解決方案或者虛擬化解決方案是不實用的。

【發明內容】

[0006]因而，本發明的任務是，提出一種用于例如與控制網絡或者控制設備的數據交換的簡單地可實現和可應用的解決方案，所述解決方案相對于攻擊是無反作用的并且穩健的。在此，所述解決方案應該尤其是可集成到單個控制設備中，或者可實現為在控制系統的兩個安全區之間的數據鎖(Datenschleuse)。
[0007]該任務通過在獨立權利要求中被描述的措施來解決。在從屬權利要求中，按照本發明的數據存儲設備的有利的擴展方案被呈現。
[0008]按照本發明的用于在不同的安全區之間的被保護的數據交換的數據存儲設備包括至少一個存儲單元、數據驗證單元和存取控制單元。所述存儲單元具有到第一安全區的第一接口，通過所述第一接口，數據元素可只被寫到所述存儲單元上。此外，所述存儲單元具有到第二安全區的第二接口，通過所述第二接口，數據元素可只從所述存儲單元被讀出。所述驗證單元被設立，以便檢查被寫到存儲單元上的數據元素與預先確定的模式的一致。所述存取控制單元被設立，以便只有當數據元素被認為是一致的并且因此被驗證是有效的時候才能夠實現從所述存儲單元中讀出所述數據元素。
[0009]通過在數據存儲設備上、也就是說在硬件部件上實施數據驗證，可以以高的抗操縱可靠性來實現驗證。通過分別到不同的安全區的單獨的接口，按照本發明的數據存儲設備可以以簡單的方式被連接在中間。所述數據存儲設備簡單地被建立，并且因而尤其是與迄今為止公知的跨域解決方案相比相對物美價廉地是可實現的。所述按照本發明的數據存儲設備可以被中間連接在任意的安全區或相對應的網絡之間，并且不限于特定的環境。在此，每個安全區都可以作為封閉的網絡而運行，因為沒有網絡通信被實現。只要數據驗證已得出沒有異常，就僅僅被選出的可擬定的(projektierbar)數據元素在另一側被提供。同樣，在從外部網絡到封閉網絡的數據交換中的無反作用性(RUckwirkungsfreiheit)被保證。附加的數據元素沒有被產生，因為所讀入的數據元素僅僅被轉送到所述數據存儲設備上，使得沒有附加的數據元素被返回傳送到第一安全區中。
[0010]在有利的實施形式中，所述存儲單元具有多個存儲元件(Speicherzelle)，其中檢查標識符(fiberprUfungskennung)可被分配給每個存儲元件，并且僅僅給具有被驗證為有效的數據元素的存儲元件(19)分配檢查標識符(20)。所述存儲元件只在被分配的檢查標識符的情況下被使能(freigeben)用于讀取式存取。
[0011]這有如下優點:僅僅一個存儲單元對于數據存儲設備是必需的，并且因此，該數據存儲設備可以非常緊湊地且成本有利地被實現。
[0012]在可替換的實施形式中，所述存儲單元具有第一存儲器部件，所述第一存儲器部件關于所述第一接口允許只寫式存取，并且將所寫的數據元素轉送給所述驗證單元。此外，所述存儲單元具有第二存儲器部件，所述第二存儲器部件從所述驗證單元讀入所述數據元素并且關于所述第二接口允許只讀取式存取。
[0013]這有如下優點:數據交換通過簡單的標準程序(Standardprozedur)、也就是所述數據元素的簡單的轉復制(Umkopieren)而實現。在不成功的數據驗證的情況下，數據元素的清除非常簡單地是可能的。
[0014]此外有利的是，所述數據存儲設備包括多個存儲區域，存儲區域包括至少一個存儲單元和/或驗證單元和/或存取單元，并且每個存儲區域都在分別不同的方向上輸送數據元素。至少一個驗證單元檢驗每個方向的數據元素與特有的獨立于反方向或其他方向的模式的一致。
[0015]因此，安全的受操縱保護的數據交換在不同的方向上、尤其是在向前和反向方向上彼此獨立地是可能的。
[0016]在有利的實施例中，所述存儲區域具有不同的存儲容量。由此，所述數據存儲設備可以按照容量地被優化用于在不同的方向上的不對稱的數據流。
[0017]在一實施形式中，對于其值曾被驗證為無效的所寫的數據元素，所述存取控制單元提供代替值或者無效的值或者附加信息。這有如下優點:盡管數據元素被驗證為無效的，完整的數據組仍可以被讀出，并且控制設備可以例如利用在數據傳輸之前的最后的有效的值或者利用最后的有效的值的平均值作為代替值而繼續工作。
[0018]在其他的實施形式中，如果數據元素曾被驗證為無效的，那么所述存取控制單元阻止對該數據元素的讀取式存取。這有如下優點:沒有無效的(例如被毀壞的)數據元素可以被讀出到第二安全區中，并且因此在那里也不能發揮任何損害作用。
[0019]在一實施形式中，在一個或者確定數目的被驗證為無效的數據元素的情況下，所述存取控制單元以與所述被驗證為無效的數據元素相同的方式處理所有的或者部分被驗證為有效的數據元素。因此，即使只有文件的單個數據元素是無效的，包含文件的數據的所有數據元素也可以被配備有預先確定的值。由此實現，本質上一致的總數據組從多個存儲元件被提供。
[0020]在有利的實施形式中，如果一個或多個所寫的數據元素曾被驗證為無效的，那么所述存取控制單元禁用整個數據存儲設備。
[0021]在其他的實施形式中，如果一個或多個數據元素曾被驗證為無效的，那么所述存取控制單元阻止對所述存儲單元的寫式存取。該寫式存取的阻止可適用于所有的或者確定的存取方。
[0022]在另一實施例中，在一個或多個被驗證為無效的數據元素的情況下，所述存取控制單元引起其中存儲有被驗證為無效的數據元素的存儲元件的復位，或者所述存取控制單元引起部分區域的復位，或者所述存取控制單元引起存儲單元的所有存儲元件的復位。因此，所述存儲單元的“被感染的”存儲元件被立刻清除，使得接下來也沒有損害可以出現。
[0023]在有利的實施形式中，第三接口在所述數據存儲設備上被構造，所述第三接口從第一安全區出發是可進入的，并且所述第三接口復制和讀出通過所述第一接口從所述第一安全區被寫到所述存儲單元上的數據元素。由此可能的是，監聽在安全區