Some content of this application is unavailable at the moment.
If this situation persist, please contact us atFeedback&Contact
1. (WO2019042915) METHOD FOR CHECKING DATAGRAMS TRANSMITTED IN AN INDUSTRIAL AUTOMATION SYSTEM, AND AUTOMATION AND/OR COMMUNICATIONS APPLIANCE
Note: Text based on automatic Optical Character Recognition processes. Please use the PDF version for legal matters

Patentansprüche

1. Verfahren zur Überprüfung von innerhalb eines industriellen Automatisierungssystems übermittelten Datagrammen, bei dem

- das Automatisierungssystem mehrere Automatisierungszellen (101-104) umfasst, die über ein industrielles Kommunikationsnetz (200) miteinander verbunden sind und jeweils eine Firewall-Schnittstelle (111, 121, 131, 141) sowie mehrere Automatisierungsgeräte umfassen,

- zu überprüfende Datagramme aus den Automatisierungszellen (101-104) über die jeweilige Firewall-Schnittstelle (111, 121, 131, 141) zur Überprüfung an ein zumindest mittelbar mit dem industriellen Kommunikationsnetz (200) verbundenes Firewall-System (301) übermittelt und dort regelbasiert überprüft werden,

- das Firewall-System (301) durch zumindest eine innerhalb eines mehrere Rechnereinheiten umfassenden Datenverarbeitungssystems (300) bereitgestellte virtuelle Maschine gebildet wird,

dadurch gekennzeichnet, dass

- zur Übermittlung der zu überprüfenden Datagramme jeweils ein Sicherungsschicht-Tunnel (311-314) zwischen der jeweiligen Firewall-Schnittstelle (111, 121, 131, 141) und dem Firewall-System (301) aufgebaut wird,

- sowohl zu prüfende Datagramme als auch zumindest erfolgreich überprüfte Datagramme innerhalb des jeweiligen Sicherungsschicht-Tunnels (311-314) übermittelt werden,

- innerhalb der Sicherungsschicht-Tunnel (311-314) über- mittelte Datagramme jeweils in ein Tunnel-Datagramm gekapselt, das neben dem jeweiligen Datagramm einen Vermittlungsschicht-Header und einen Transportschicht- Header umfasst, und über eine Transportschicht-Verbin- dung zwischen der jeweiligen Firewall-Schnittstelle (111, 121, 131, 141) und dem Firewall-System (301) übermittelt werden.

2. Verfahren nach Anspruch 1,

bei dem die Firewall-Schnittstellen (111, 121, 131, 141) jeweils in einen Controller oder Router der jeweiligen Automatisierungszelle integriert sind.

3. Verfahren nach einem der Ansprüche 1 oder 2,

bei dem das industrielle Kommunikationsnetz (200) ein erstes Teilnetz ist, das gegenüber Zugriffen aus einem zweiten IP-basierten Teilnetz (400) gesichert und über einen Router mit dem zweiten Teilnetz verbunden ist.

4. Verfahren nach Anspruch 3,

bei dem das Datenverarbeitungssystem (300) , das die das Firewall-System (301) bildende virtuelle Maschine bereitstellt, an das zweite Teilnetz (400) angeschlossen ist.

5. Verfahren nach einem der Ansprüche 1 bis 4,

bei dem die Firewall-Schnittstellen (111, 121, 131, 141) jeweils redundant ausgeführt sind und entsprechend Virtual Router Redundancy Protocol mit dem Firewall-System (301) verbun-den werden.

6. Verfahren nach einem der Ansprüche 1 bis 5,

bei dem die Automatisierungszellen (101-104) jeweils redundant entsprechend Rapid Spanning Tree Protocol, High-availability Redundancy Protocol oder Media Redundancy Protocol mit dem industriellen Kommunikationsnetz (200) verbunden sind.

7. Verfahren nach einem der Ansprüche 1 bis 6,

bei dem die Datagramme innerhalb der Sicherungsschicht-Tunnel (311-314) jeweils verschlüsselt übermittelt werden.

8. Verfahren nach einem der Ansprüche 1 bis 7,

bei dem die Datagramme innerhalb der Sicherungsschicht-Tunnel (311-314) jeweils über eine ungesicherte Transportschicht-Verbindung zwischen der jeweiligen Firewall-Schnittstelle (111, 121, 131, 141) und dem Firewall-System (301) übermit-telt werden.

9. Verfahren nach Anspruch 8,

bei dem die Datagramme innerhalb der Sicherungsschicht-Tunnel (311-314) jeweils entsprechend User Datagram Protocol zwi-sehen der jeweiligen Firewall-Schnittstelle (111, 121, 131, 141) und dem Firewall-System (301) übermittelt werden.

10. Verfahren nach einem der Ansprüche 1 bis 9,

bei dem die Sicherungsschicht-Tunnel (311-314) zwischen der jeweiligen Firewall-Schnittstelle (111, 121, 131, 141) und dem Firewall-System (301) entsprechend IETF RFC 7348 aufgebaut werden.

11. Verfahren nach einem der Ansprüche 1 bis 10,

bei dem das Firewall-System (301) von den Firewall-Schnittstellen (111, 121, 131, 141) der Automatisierungszellen (101-104) übermittelte Datagramme basierend auf festgelegten Sicherheitsregeln überprüft, erfolgreich überprüfte Datagramme zurück an die jeweilige Firewall-Schnittstelle (111, 121, 131, 141) oder an eine Firewall-Schnittstelle einer Ziel-Automatisierungszelle übermittelt und den festgelegten Sicherheitsregeln nicht entsprechende Datagramme verwirft.

12. Automatisierungs- und/oder Kommunikationsgerät für ein industrielles Automatisierungssystem zur Durchführung eines Verfahrens nach einem der Ansprüche 1 bis 11, bei dem

- das Automatisierungs- und/oder Kommunikationsgerät eine Firewall-Schnittstelle (111, 121, 131, 141) umfasst und einer mehrere Automatisierungsgeräte umfassenden Automatisierungszelle (101-104) des Automatisierungssystems zugeordnet ist, wobei die Automatisierungszelle mit einem industriellen Kommunikationsnetz (200) verbunden ist,

- das Automatisierungs- und/oder Kommunikationsgerät dafür ausgestaltet und eingerichtet ist, zu überprüfende Datagramme aus der Automatisierungszelle (101-104) über die Firewall-Schnittstelle (111, 121, 131, 141) zur Überprü- fung an ein zumindest mittelbar mit dem industriellen

Kommunikationsnetz (200) verbundenes Firewall-System (301) zu übermitteln,

dadurch gekennzeichnet, dass

- das Automatisierungs- und/oder Kommunikationsgerät dafür ausgestaltet und eingerichtet ist, zur Übermittlung der zu überprüfenden Datagramme einen Sicherungsschicht- Tunnel (311-314) zwischen der Firewall-Schnittstelle (111, 121, 131, 141) und dem Firewall-System (301) aufzubauen,

— das Automatisierungs- und/oder Kommunikationsgerät dafür ausgestaltet und eingerichtet ist, sowohl zu prüfende Datagramme als auch zumindest erfolgreich überprüfte Datagramme innerhalb des Sicherungsschicht-Tunnels (311- 314) zu übermitteln,

- das Automatisierungs- und/oder Kommunikationsgerät dafür ausgestaltet und eingerichtet ist, innerhalb des Sicherungsschicht-Tunnels (311-314) übermittelte Datagramme in ein Tunnel-Datagramm zu kapseln, das neben dem jewei- ligen Datagramm einen Vermittlungsschicht-Header und nen Transportschicht-Header umfasst, und über eine Transportschicht-Verbindung zwischen der Firewall-Schnittstelle (111, 121, 131, 141) und dem Firewall-System (301) zu übermitteln.