DE4007352A1 - Lokales datenuebertragungsnetzwerk - Google Patents
Lokales datenuebertragungsnetzwerkInfo
- Publication number
- DE4007352A1 DE4007352A1 DE19904007352 DE4007352A DE4007352A1 DE 4007352 A1 DE4007352 A1 DE 4007352A1 DE 19904007352 DE19904007352 DE 19904007352 DE 4007352 A DE4007352 A DE 4007352A DE 4007352 A1 DE4007352 A1 DE 4007352A1
- Authority
- DE
- Germany
- Prior art keywords
- address
- data
- dte
- afu
- switched
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005540 biological transmission Effects 0.000 claims abstract description 23
- 230000006870 function Effects 0.000 claims description 2
- 230000002457 bidirectional effect Effects 0.000 claims 2
- 230000004913 activation Effects 0.000 claims 1
- 230000008878 coupling Effects 0.000 claims 1
- 238000010168 coupling process Methods 0.000 claims 1
- 238000005859 coupling reaction Methods 0.000 claims 1
- 238000001514 detection method Methods 0.000 claims 1
- 238000009420 retrofitting Methods 0.000 abstract 1
- 201000008000 3-methylcrotonyl-CoA carboxylase deficiency Diseases 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
Description
Die Erfindung betrifft ein lokales Datenübertragungsnetzwerk
gemäß den Merkmalen des Oberbegriffs des Anspruchs 1.
Bei lokalen Datenübertragungsnetzwerken, beispielsweise dem so
genannten Ethernet-LAN, besteht das Problem, daß die Nachrich
ten aller am Übertragungsnetz angekoppelten Teilnehmer durch
frei verfügbare Software z. B. auf einem angeschlossenen MSDOS
Personalcomputer "mitgehört" werden können. Auf Grund der Funk
tionsweise des Ethernet-LAN und der über Buskoppler bzw.
Transceiver und Dropkabel frei verfügbaren Anschlüsse an das
Übertragungsmedium ist es nur mit besonderen Schutzmaßnahmen,
beispielsweise durch Verschlüsselung aller Nachrichten, mög
lich, die aus vielerlei Gründen gewünschte und notwendige Si
cherheit der übertragenen Daten zu gewährleisten.
Der vorliegenden Erfindung liegt deshalb die Aufgabe zugrunde,
für ein lokales Datenübertragungsnetz der eingangs genannten
Art einen Weg aufzuzeigen, der unter Verzicht auf eine auf
wendige Datenverschlüsselung und bei Vermeidung einer Nach
rüstung in den einzelnen Datenendeinrichtungen mit spezieller
Hardware/Software dennoch eine ausreichende Netzsicherheit ge
währleistet.
Die Lösung dieser Aufgabe ergibt sich erfindungsgemäß durch die
kennzeichnenden Merkmale des Anspruchs 1. Die bei den einzelnen
Teilnehmerstationen vorgesehene Adreßfiltereinrichtung hat den
Vorteil, daß Nachrichten von und zum lokalen Datenübertragungs
netz nur bei Übereinstimmung von Stationsadresse und Ziel- bzw.
Sendeadresse übertragen werden können. Damit ist gewährleistet,
daß ein Mithören fremder Nachrichten nicht mehr möglich ist und
daß auch ein Vertauschen der Sendeadresse seitens des Teilneh
mers nicht funktioniert.
Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus den
Merkmalen der Unteransprüche.
Im folgenden wird ein Ausführungsbeispiel der Erfindung an Hand
der Zeichnung näher erläutert. Dabei zeigt
Fig. 1 den prinzipiellen Aufbau eines sogenannten Ethernet-LAN
mit zwischengeschalteten Adreßfiltereinrichtungen gemäß
der Erfindung,
Fig. 2 das einfache Blockschaltbild einer Adreßfiltereinrich
tung.
Die Fig. 1 zeigt als Beispiel für ein lokales Datenübertragungs
netz LAN, ein sogenanntes Ethernet, mit Koaxialkabel K als
Übertragungsmedium und mehreren im Zuge des Übertragungsmediums
eingeschalteten Medium-Anschlußeinheiten MAU, d. h. Buskopplern
bzw. Transceivern, denen jeweils über Stichleitungen anschließ
bare Datenendeinrichtungen DTE bzw. Teilnehmerstationen zuge
ordnet sind. Zwischen einer Medium-Anschlußeinheit MAU und ei
ner Datenendeinrichtung DTE ist jeweils eine Adreßfilterein
richtung AFU eingeschaltet. Diese Adreßfiltereinrichtung AFU
sorgt dafür, daß eine Datenübertragung von und zum LAN nur dann
möglich ist, wenn die im Datenpaket enthaltene Ziel- bzw. Sen
deadresse mit der in der Adreßfiltereinrichtung hinterlegten
Stationsadresse identisch ist. Bei fehlender Übereinstimmung
werden die nachfolgenden Daten mit einer vorgegebenen Bit
musterfolge überschrieben.
Um zu verhindern, daß die Adreßfiltereinrichtung AFU durch
Umstecken von Kabelanschlüssen oder auf andere Weise außer
Betrieb genommen werden kann, muß dem Sicherheitsaspekt auch
in konstruktiver Hinsicht Rechnung getragen werden. Denkbar ist
beispielsweise der Einbau der Adreßfiltereinrichtung AFU in das
Gehäuse der Mediumanschlußeinheit MAU. Um hierbei zu verhin
dern, daß die Medium-Anschlußeinheit MAU komplett gegen eine
"filterlose" Medium-Anschlußeinheit MAU ausgetauscht werden
kann, muß der TAP-Anschluß fest ausgeführt werden, so daß
eine Demontage der Adreßfiltereinrichtung nur mittels einer
z. B. über das Auflaufen von Kollisionen feststellbaren Unter
brechung des LAN-Busses möglich ist. Bei einer anderen kon
struktiven Lösung wird die Adreßfilter-Einrichtung AFU in
einem speziellen Anschlußstück am Übertragungsmedium, d. h. am
Bus untergebracht, so daß die Adreßfiltereinrichtung AFU auch
bei Abkoppeln der Medium-Anschlußeinheit MAU vorhanden bleibt.
Einzelheiten einer Adreßfiltereinrichtung in einem lokalen
Datenübertragungsnetz gemäß Fig. 1 werden im folgenden an Hand
des Blockschaltbildes gemäß Fig. 2 näher erläutert.
Die Datenendeinrichtung DTE und die Medium-Anschlußeinheit MAU
sind an den jeweiligen Schnittstellen über Manchester-Code-
Converter MCCD, MCCM an die Adreßfiltereinrichtung AFU ange
schlossen. Sowohl die über den Datenausgang DO der Datenendein
richtung DTE zur Medium-Anschlußeinheit MAU als auch die über
den Dateneingang DI der Medium-Anschlußeinheit MAU zur Daten
endeinrichtung DTE übertragenen Datenpakete werden zunächst
über den Dateneingang DI und den Empfangsausgang R des zuge
hörigen Manchester-Code-Converters MCCD bzw. MCCM einem Emp
fangs-Multiplexer R-MUX zugeführt. Die abhängig von der Stel
lung des Empfangs-Multiplexers R-MUX entweder von der Daten
endeinrichtung DTE oder von der Medium-Anschlußeinheit MAU ge
sendeten Datenpakete werden an einen sogenannten "Start-Frame-
Delimiter"-FIFO-Speicher SFD-FIFO und, gesteuert durch eine
Ablaufsteuerung SFDC, zum eigentlichen Adreßfilter AFI durchge
schaltet. Das Steuersignal C für die Ablaufsteuerung SFDC wird
im Manchester-Code-Converter MCCM bereitgestellt, dem seiner
seits ein in der Medium-Anschlußeinheit MAU generiertes Steu
ersignal CI über eine Entkopplungsschaltung ENT zugeführt wird.
Dieses Steuersignal CI wird ferner direkt zur Datenendeinrich
tung DTE durchgeschleift. Je nach Übertragungsrichtung, d. h.
entweder von der Medium-Anschlußeinheit MAU zur Datenendein
richtung DTE oder umgekehrt, wird die Zieladresse oder die
Sendeadresse mit der im Adreßfilter AFI hinterlegten teilneh
merspezifischen Stationsadresse verglichen. Bei einer Überein
stimmung von Zieladresse bzw. Sendeadresse einerseits und Sta
tionsadresse andererseits wird das Datenpaket über den Sende-
Multiplexer T-MUX und weiter über die Sendeeingänge T der je
weiligen Manchester-Code-Converter MCCM bzw. MCCD zur Datenend
einrichtung DTE bzw. zur Medium-Anschlußeinheit MAU weiterge
reicht. Bei unterschiedlicher Adresse wird dagegen die Infor
mation überschrieben, d. h. durch ein 0101-Muster MUS gleicher
Länge ersetzt, um eventuell auftretende Kollisionen auf dem
Übertragungsmedium bzw. Bus auszuschließen.
Dem Adreßfilter AFI mit zugehöriger Filtersteuerung AFIC ist
eine Speicheranordnung EPROM zugeordnet, in welcher eine Liste
mit insgesamt z. B. 255 Paßwörtern hinterlegt ist. Diese Paß
wörter werden nach einem bestimmten Algorithmus z. B. aus der
jeweiligen Seriennummer des Speichers EPROM erstellt. Aus die
ser Seriennummer kann nun eine spezielle Management-Software,
die nur der Netzadministrator besitzt, durch denselben Algo
rithmus das zugehörige Paßwort erzeugen. In einer weiteren
Speicheranordnung EEPROM führt das Adreßfilter die eingestell
te Stationsadresse, einen Zeiger, der jeweils auf ein Paßwort
der Liste im Speicher EPROM weist sowie den Operationscode, der
die aktuelle Funktionsweise des Adreßfilters AFI anzeigt.
Das Aktivieren oder Ändern der Filterfunktion kann nur durch
den Netzadministrator über das Datenübertragungsnetz LAN erfol
gen. Hierzu werden alle Adreßfiltereinrichtungen AFU unter ei
ner speziellen Ziel-Adresse, einer sogenannten Initialisie
rungsadresse IADR mittels eines bestimmten Operationscodes an
gesprochen. Folgende Filteroperationen sind möglich:
- Sperren (es werden überhaupt keine Daten durchgereicht)
- Freischalten (alle Telegramme werden durchgereicht; dies ent spricht konventioneller Transceiver-Betriebsart)
- Übernahme einer bestimmten Stationsadresse (mit anschließen der Filterung der Daten).
- Freischalten (alle Telegramme werden durchgereicht; dies ent spricht konventioneller Transceiver-Betriebsart)
- Übernahme einer bestimmten Stationsadresse (mit anschließen der Filterung der Daten).
Die Adreßfiltereinrichtung AFU führt nur dann die entsprechende
Operation durch, wenn ihr Paßwort-Zeiger auf dasjenige Paßwort
in der Paßwortliste zeigt, das im Datenfeld des empfangenen
Telegramms enthalten ist. Nach Ausführen der Operation wird
der Paßwort-Zeiger inkrementiert und zeigt nun auf das nächste
Paßwort der Paßwortliste. Auf diese Weise ist jede Operation
nur über ein neues Paßwort möglich. Dies setzt einen entspre
chenden Mechanismus der Management-Software voraus, bringt aber
auch eine höhere Sicherheit.
Claims (3)
1. Lokales Datenübertragungsnetz mit einem Übertragungsmedium
und mehreren im Zuge dieses Übertragungsmediums eingeschalteten
Koppeleinrichtungen bzw. Medium-Anschlußeinheiten, an die je
weils über bidirektionale Leitungen einzelne Teilnehmerstatio
nen anschließbar sind, zur bidirektionalen Übertragung von
Datenpaketen mit einem jeweils aus Präambel, Zieladresse, Sen
deadresse, Typidentifizierer, Datenfeld und Fehlererkennungs
code bestehenden Format,
dadurch gekennzeichnet, daß zwischen
jeweils einer Medium-Anschlußeinheit (MAU) und der zugehörigen
Datenendeinrichtung (DTE) jeweils eine Adreßfiltereinrichtung
(AFU) eingeschaltet ist, in der jeweils eine der entsprechen
den Datenendeinrichtung (DTE) zugeordnete Stationsadresse ein
gespeichert ist und daß bei einer Übertragung von Datenpaketen
von einer Medium-Anschlußeinheit (MAU) zur Datenendeinrichtung
(DTE) bzw. umgekehrt eine Vergleichsprüfung zwischen der im
Datenpaket enthaltenen Zieladresse bzw. Sendeadresse und der in
der Adreßfiltereinrichtung (AFU) gespeicherten Stationsadresse
durchgeführt wird, die bei Adressengleichheit eine Durchschal
tung der Daten und bei Adressen-Ungleichheit ein Überschreiten
der Daten mit einem vorgegebenen Informationsmuster bewirkt.
2. Lokales Datenübertragungsnetz nach Anspruch 1,
dadurch gekennzeichnet, daß die Adreß
filtereinrichtung (AFU) eine in einem Speicher (EPROM) hinter
legte Liste mit mehreren Paßwörtern aufweist, daß ein auf je
weils ein Paßwort gerichteter Zeiger vorgesehen ist, und daß
eine Aktivierung der Filterfunktion durch einen
zentralen Netzadministrator mittels einer allen Adreßfilter
einrichtungen zugeleiteten Initialisierungsadresse in Abhängig
keit von einem bestimmten Operationscode nur dann erfolgt, wenn
ein mitübertragenes Paßwort mit dem jeweils eingestellten Paß
wort in der Adreßfiltereinrichtung (AFU) übereinstimmt.
3. Lokales Datenübertragungsnetz nach Anspruch 2,
dadurch gekennzeichnet, daß der Paß
wortzeiger nach jeder Filteroperation auf das jeweils nächste
Paßwort weitergeschaltet wird.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19904007352 DE4007352A1 (de) | 1990-03-08 | 1990-03-08 | Lokales datenuebertragungsnetzwerk |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19904007352 DE4007352A1 (de) | 1990-03-08 | 1990-03-08 | Lokales datenuebertragungsnetzwerk |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| DE4007352A1 true DE4007352A1 (de) | 1991-09-12 |
| DE4007352C2 DE4007352C2 (de) | 1993-02-04 |
Family
ID=6401721
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE19904007352 Granted DE4007352A1 (de) | 1990-03-08 | 1990-03-08 | Lokales datenuebertragungsnetzwerk |
Country Status (1)
| Country | Link |
|---|---|
| DE (1) | DE4007352A1 (de) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1992017960A1 (en) * | 1991-03-28 | 1992-10-15 | 3Com Technologies Limited | Security device for ring network |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19720719C2 (de) * | 1997-05-16 | 2002-04-11 | Deutsche Telekom Ag | Verbindungsaufbau-Überwachungsvorrichtung |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE2827270A1 (de) * | 1978-06-21 | 1980-01-03 | Siemens Ag | Schaltungsanordnung fuer eine vermittlungsanlage |
| FR2558321A1 (fr) * | 1984-01-13 | 1985-07-19 | Philips Ind Commerciale | Dispositif programmable de filtrage deterministe de messages |
| DE3408904A1 (de) * | 1984-03-10 | 1985-09-12 | Philips Kommunikations Industrie AG, 8500 Nürnberg | Schaltungsanordnung zur abwehr des unberechtigten zugangs zu einem durch teilnehmerindividuelle passworte gesicherten kommunikationssystem |
| EP0378804A2 (de) * | 1989-01-18 | 1990-07-25 | International Business Machines Corporation | NETBIOS-Namenauthentisierung |
-
1990
- 1990-03-08 DE DE19904007352 patent/DE4007352A1/de active Granted
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE2827270A1 (de) * | 1978-06-21 | 1980-01-03 | Siemens Ag | Schaltungsanordnung fuer eine vermittlungsanlage |
| FR2558321A1 (fr) * | 1984-01-13 | 1985-07-19 | Philips Ind Commerciale | Dispositif programmable de filtrage deterministe de messages |
| DE3408904A1 (de) * | 1984-03-10 | 1985-09-12 | Philips Kommunikations Industrie AG, 8500 Nürnberg | Schaltungsanordnung zur abwehr des unberechtigten zugangs zu einem durch teilnehmerindividuelle passworte gesicherten kommunikationssystem |
| EP0378804A2 (de) * | 1989-01-18 | 1990-07-25 | International Business Machines Corporation | NETBIOS-Namenauthentisierung |
Non-Patent Citations (1)
| Title |
|---|
| DE-B.: DIEMER, Wolfgang, R.: Lokale Netzwerke kurz und bundig, In: Vogel-Buchverlag, Würz- burg, 1985, S.9, 178-183 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1992017960A1 (en) * | 1991-03-28 | 1992-10-15 | 3Com Technologies Limited | Security device for ring network |
Also Published As
| Publication number | Publication date |
|---|---|
| DE4007352C2 (de) | 1993-02-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE3809129C2 (de) | Verfahren und Vorrichtung zur Steuerung von videotechnischen Geräten | |
| DE69935604T2 (de) | Gerät, Verfahren und System zur Steuerung und Überwachung von einem Tastatur-, Video- und Mausschaltsystem | |
| DE60109646T2 (de) | Ethernet-anpassungsvorrichtung | |
| DE69532633T2 (de) | Signalisierungsverfahren und zur ausserbandübertragung von informationen in einem kommunikationsnetz geeignete struktur | |
| EP0213063A1 (de) | Schaltungsanordnung zur Prüfung eines passiven Busnetzsystems (CSMA/CD-Zugriffsverfahren) | |
| EP1590927B1 (de) | Koppler für ein netzwerk mit ringtopologie und ein auf ethernet basierten netzwerk | |
| DE10361194A1 (de) | Sicherheitsnetzwerk mit Phantomadressinformation | |
| DE69031934T2 (de) | Musterinjektor | |
| EP0382680A1 (de) | Verfahren zum kryptographischen Behandeln von Daten und kryptographisches System | |
| DE102006055887A1 (de) | Kommunikationssystem mit einer Master-Slave-Struktur | |
| EP0834238B1 (de) | Verfahren und vorrichtung zur übertragung von vertraulichen verbindungsaufbau- und serviceinformationen zwischen teilnehmerseitigen endeinrichtungen und einer oder mehreren digitalen vermittlungsstellen | |
| DE102023106047A1 (de) | Autonomer eintritt und austritt in/aus niedriglatenzdatenpfad in pcie-anwendungen | |
| EP0866635A2 (de) | Netzabschlusseinrichtung | |
| EP1469625A1 (de) | Verfahren und Vorrichtung zum Paket-orientierten Übertragen sicherheitsrelevanter Daten | |
| DE4007352C2 (de) | ||
| DE102017002804B4 (de) | Koppler für ein Automatisierungssystem | |
| DE3328834C2 (de) | ||
| EP4193575B1 (de) | Verfahren zur kommunikation zwischen einem ersten passiven teilnehmer und einem zweiten passiven teilnehmer eines bussystems | |
| DE69736314T2 (de) | Nachrichtenrahmen eines Nachrichtenübermittlungsprotokolls | |
| EP1854257B1 (de) | Bussystem und verfahren zum betreiben des bussystems | |
| EP0151433A1 (de) | Gerätekonfiguration im Teilnehmerbereich eines ISDN-Netzes | |
| EP3477650A1 (de) | Verfahren und einrichtung zur kommunikation in einer medizinischen bildgebungseinrichtung und medizinische bildgebungseinrichtung | |
| EP3607437B1 (de) | Verfahren zum konfigurieren zumindest eines geräts eines schienenfahrzeugs in einem netzwerk, computerprogramm und computerlesbares speichermedium | |
| EP0226966B1 (de) | Verfahren und Anordnung zur Übertragung von Informationen zwischen Teilnehmern an einem Bussystem | |
| EP0149766B1 (de) | Einrichtung zum Rahmenaufbau auf der Sendeseite bzw. Rahmenabbau auf der Empfangsseite für eine digitale Richtfunkübertragungsstrecke |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| OP8 | Request for examination as to paragraph 44 patent law | ||
| D2 | Grant after examination | ||
| 8364 | No opposition during term of opposition | ||
| 8339 | Ceased/non-payment of the annual fee |