用于不同安全区之间的被保护的数据交换的数据存储设备的制造方法
【技术领域】
[0001]本发明涉及一种用于在不同的安全区之间的被保护的数据交换的数据存储设备,所述数据存储设备具有至少一个存储单元、数据验证单元和存取控制单元(Zugriffskontrolleinheit)o
【背景技术】
[0002]在如官方通信(Beh5rdenkommunikat1n)之类的特定领域中,在所述领域中,适用高的安全要求,并且在所述领域中,存在文献和信息的安全分类,所谓的跨域解决方案(Cross — Domain 一 Losung)是已知的,通过所述跨域解决方案实现文献和消息、例如电子邮件(E-Mail)在具有不同高的安全程度的安全区之间自动化地和安全地交换。
[0003]迄今为止,传统的对数据通信进行过滤的防火墙被用于工业控制网络与办公网络、公共网络或者其他控制网络的耦合。在此,数据通信根据通信伙伴的地址和所使用的通信协议而被容许或者被阻塞。通常的也是通过终止TCP连接的应用代理服务器引导网络连接。
[0004]在W0 2012/170485中,跨域安全(Cross Domain Security)解决方案基于虚拟化解决方案而被实现,在所述虚拟化解决方案的情况下,虚拟机控制在具有不同的安全等级的两个信息域之间的信息传输。这种系统包括具有用于虚拟机(VMM)的监控单元的计算机设备,其控制用于第一信息域的第一虚拟机、用于第二信息域的第二虚拟机和用于跨域解决方案的虚拟机。所述用于跨域解决方案的虚拟机控制在所述第一和所述第二信息域或所述相对应的虚拟机之间的信息交换。
[0005]对于在办公网络或者服务设备与控制网络或者控制设备之间的例如用于分发新的程序或者指令的数据交换来说,尤其是如果数据应该通过多个分布式接口越过不同的安全区而被交换,则具有被连接在中间的防火墙的昂贵的解决方案或者虚拟化解决方案是不实用的。
【发明内容】
[0006]因而,本发明的任务是,提出一种用于例如与控制网络或者控制设备的数据交换的简单地可实现和可应用的解决方案,所述解决方案相对于攻击是无反作用的并且稳健的。在此,所述解决方案应该尤其是可集成到单个控制设备中,或者可实现为在控制系统的两个安全区之间的数据锁(Datenschleuse)。
[0007]该任务通过在独立权利要求中被描述的措施来解决。在从属权利要求中,按照本发明的数据存储设备的有利的扩展方案被呈现。
[0008]按照本发明的用于在不同的安全区之间的被保护的数据交换的数据存储设备包括至少一个存储单元、数据验证单元和存取控制单元。所述存储单元具有到第一安全区的第一接口,通过所述第一接口,数据元素可只被写到所述存储单元上。此外,所述存储单元具有到第二安全区的第二接口,通过所述第二接口,数据元素可只从所述存储单元被读出。所述验证单元被设立,以便检查被写到存储单元上的数据元素与预先确定的模式的一致。所述存取控制单元被设立,以便只有当数据元素被认为是一致的并且因此被验证是有效的时候才能够实现从所述存储单元中读出所述数据元素。
[0009]通过在数据存储设备上、也就是说在硬件部件上实施数据验证,可以以高的抗操纵可靠性来实现验证。通过分别到不同的安全区的单独的接口,按照本发明的数据存储设备可以以简单的方式被连接在中间。所述数据存储设备简单地被建立,并且因而尤其是与迄今为止公知的跨域解决方案相比相对物美价廉地是可实现的。所述按照本发明的数据存储设备可以被中间连接在任意的安全区或相对应的网络之间,并且不限于特定的环境。在此,每个安全区都可以作为封闭的网络而运行,因为没有网络通信被实现。只要数据验证已得出没有异常,就仅仅被选出的可拟定的(projektierbar)数据元素在另一侧被提供。同样,在从外部网络到封闭网络的数据交换中的无反作用性(RUckwirkungsfreiheit)被保证。附加的数据元素没有被产生,因为所读入的数据元素仅仅被转送到所述数据存储设备上,使得没有附加的数据元素被返回传送到第一安全区中。
[0010]在有利的实施形式中,所述存储单元具有多个存储元件(Speicherzelle),其中检查标识符(fiberprUfungskennung)可被分配给每个存储元件,并且仅仅给具有被验证为有效的数据元素的存储元件(19)分配检查标识符(20)。所述存储元件只在被分配的检查标识符的情况下被使能(freigeben)用于读取式存取。
[0011]这有如下优点:仅仅一个存储单元对于数据存储设备是必需的,并且因此,该数据存储设备可以非常紧凑地且成本有利地被实现。
[0012]在可替换的实施形式中,所述存储单元具有第一存储器部件,所述第一存储器部件关于所述第一接口允许只写式存取,并且将所写的数据元素转送给所述验证单元。此外,所述存储单元具有第二存储器部件,所述第二存储器部件从所述验证单元读入所述数据元素并且关于所述第二接口允许只读取式存取。
[0013]这有如下优点:数据交换通过简单的标准程序(Standardprozedur)、也就是所述数据元素的简单的转复制(Umkopieren)而实现。在不成功的数据验证的情况下,数据元素的清除非常简单地是可能的。
[0014]此外有利的是,所述数据存储设备包括多个存储区域,存储区域包括至少一个存储单元和/或验证单元和/或存取单元,并且每个存储区域都在分别不同的方向上输送数据元素。至少一个验证单元检验每个方向的数据元素与特有的独立于反方向或其他方向的模式的一致。
[0015]因此,安全的受操纵保护的数据交换在不同的方向上、尤其是在向前和反向方向上彼此独立地是可能的。
[0016]在有利的实施例中,所述存储区域具有不同的存储容量。由此,所述数据存储设备可以按照容量地被优化用于在不同的方向上的不对称的数据流。
[0017]在一实施形式中,对于其值曾被验证为无效的所写的数据元素,所述存取控制单元提供代替值或者无效的值或者附加信息。这有如下优点:尽管数据元素被验证为无效的,完整的数据组仍可以被读出,并且控制设备可以例如利用在数据传输之前的最后的有效的值或者利用最后的有效的值的平均值作为代替值而继续工作。
[0018]在其他的实施形式中,如果数据元素曾被验证为无效的,那么所述存取控制单元阻止对该数据元素的读取式存取。这有如下优点:没有无效的(例如被毁坏的)数据元素可以被读出到第二安全区中,并且因此在那里也不能发挥任何损害作用。
[0019]在一实施形式中,在一个或者确定数目的被验证为无效的数据元素的情况下,所述存取控制单元以与所述被验证为无效的数据元素相同的方式处理所有的或者部分被验证为有效的数据元素。因此,即使只有文件的单个数据元素是无效的,包含文件的数据的所有数据元素也可以被配备有预先确定的值。由此实现,本质上一致的总数据组从多个存储元件被提供。
[0020]在有利的实施形式中,如果一个或多个所写的数据元素曾被验证为无效的,那么所述存取控制单元禁用整个数据存储设备。
[0021]在其他的实施形式中,如果一个或多个数据元素曾被验证为无效的,那么所述存取控制单元阻止对所述存储单元的写式存取。该写式存取的阻止可适用于所有的或者确定的存取方。
[0022]在另一实施例中,在一个或多个被验证为无效的数据元素的情况下,所述存取控制单元引起其中存储有被验证为无效的数据元素的存储元件的复位,或者所述存取控制单元引起部分区域的复位,或者所述存取控制单元引起存储单元的所有存储元件的复位。因此,所述存储单元的“被感染的”存储元件被立刻清除,使得接下来也没有损害可以出现。
[0023]在有利的实施形式中,第三接口在所述数据存储设备上被构造,所述第三接口从第一安全区出发是可进入的,并且所述第三接口复制和读出通过所述第一接口从所述第一安全区被写到所述存储单元上的数据元素。由此可能的是,监听在安全区