ES3024936T3 - Technical installation and intermediary device for a technical installation - Google Patents

Technical installation and intermediary device for a technical installation Download PDF

Info

Publication number
ES3024936T3
ES3024936T3 ES21839471T ES21839471T ES3024936T3 ES 3024936 T3 ES3024936 T3 ES 3024936T3 ES 21839471 T ES21839471 T ES 21839471T ES 21839471 T ES21839471 T ES 21839471T ES 3024936 T3 ES3024936 T3 ES 3024936T3
Authority
ES
Spain
Prior art keywords
internet protocol
communication terminal
connection side
address
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES21839471T
Other languages
English (en)
Inventor
Yasin User
Markus Alexander Wischy
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=79282993&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=ES3024936(T3) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Application granted granted Critical
Publication of ES3024936T3 publication Critical patent/ES3024936T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Communication Control (AREA)
  • Agricultural Chemicals And Associated Chemicals (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

La invención se refiere, entre otros, a un dispositivo intermediario (20) con un primer lado de conexión compatible con el protocolo de Internet (21) y un segundo lado de conexión compatible con el protocolo de Internet (22). Según la invención, el dispositivo intermediario (20) está diseñado, entre otras cosas, para que, al recibir paquetes de datos de entrada (EP) compatibles con el protocolo de Internet, convierta el protocolo y genere paquetes de datos de salida (AP) convertidos al protocolo. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Instalación técnica y aparato intermediario para una instalación técnica
La invención se refiere a instalaciones técnicas, por ejemplo, a instalaciones técnicas ferroviarias, y a aparatos intermedios para instalaciones técnicas.
En muchas instalaciones técnicas, particularmente en las ferroviarias, existe el problema de conseguir con el menor esfuerzo posible un nivel predeterminado de seguridad de señalización o, en el caso de instalaciones ya existentes, de aumentar la seguridad de señalización a un nivel predeterminado mediante la instalación de equipos adicionales, en caso de que este último nivel de seguridad aún no se haya alcanzado. Este problema se plantea particularmente cuando la instalación técnica comprende componentes, por ejemplo, aparatos de campo, que funcionan sin codificar y/o sin asegurar la señal.
El documento US 2012/203825 AI describe sistemas y procedimientos para el reenvío de caché entre una multitud de aparatos intermedios. La publicación de Wikipedia "Gateway (telecommunications)", 28 de enero de 2021, XP055904181, describe la función de una pasarela de red y de una pasarela de IoT.
La invención se basa en el objetivo de especificar un aparato intermedio que sea particularmente adecuado para el equipamiento o el reequipamiento de instalaciones técnicas.
Según la invención, este objetivo se logra mediante un aparato intermedio con las características indicadas en la reivindicación 1. En las reivindicaciones subordinadas se indican configuraciones ventajosas del aparato intermedio según la invención.
Según la presente invención, se prevé: un aparato intermedio con un primer lado de conexión compatible con el protocolo de Internet para la conexión a al menos un terminal de comunicación interno y un segundo lado de conexión compatible con el protocolo de Internet para la conexión a una red de comunicación externa o a una línea de comunicación externa. El aparato intermedio está diseñado de tal manera que, al recibir un paquete de datos de entrada compatible con el protocolo de Internet que procede de al menos un terminal de comunicación interno y que está dirigido a un terminal de comunicación externo compatible con el protocolo de Internet conectado a la red de comunicación externa, lee la dirección de protocolo de Internet del terminal de comunicación interno del paquete de datos de entrada, somete el paquete de datos de entrada a una conversión de protocolo, genera un paquete de datos de salida con protocolo convertido que lleva como dirección de protocolo de Internet del aparato emisor la dirección de protocolo de Internet del terminal de comunicación interno, y envía el paquete de datos de salida con protocolo convertido al terminal de comunicación externo, y al recibir un paquete de datos de entrada compatible con el protocolo de Internet, que procede de un terminal de comunicación externo conectado al segundo lado de conexión y está dirigido al menos a un terminal de comunicación interno conectado al primer lado de conexión, lee la dirección de protocolo de Internet del terminal de comunicación externo del paquete de datos de entrada, somete el paquete de datos de entrada a una conversión de protocolo, genera un paquete de datos de salida con protocolo convertido, que lleva como dirección de protocolo de Internet del aparato emisor la dirección de protocolo de Internet del terminal de comunicación externo, y envía el paquete de datos de salida con el protocolo convertido al terminal de comunicación interno.
Una ventaja fundamental del aparato intermedio de la invención es que realiza una conversión de protocolo y, por lo tanto, en el marco de la conversión de protocolo es posible garantizar un mayor nivel de seguridad de la señal en el segundo lado de conexión que el que permiten los componentes conectados en el primer lado de conexión. Si el aparato intermedio se coloca "cerca" en la zona de los componentes conectados al primer lado de conexión, puede reducirse el riesgo de manipulación externa de la transmisión de datos.
Otra ventaja importante del aparato intermedio de la invención es que es transparente para los componentes conectados, debido al uso de las direcciones de protocolo de Internet contenidas en los paquetes de datos de entrada como direcciones de remitente (direcciones de origen y de destino) en los paquetes de datos de salida, lo que minimiza el coste del reequipamiento, por ejemplo, en el caso del reequipamiento de instalaciones técnicas existentes.
Es ventajoso que el aparato intermedio forme un proxy en el que el primer y el segundo lado de conexión estén diseñados para conectarse a una red Ethernet.
El aparato intermedio funciona preferiblemente en modo promiscuo y es transparente para ambos lados de conexión al reflejar las direcciones de protocolo de Internet del primer al segundo lado de conexión y viceversa.
También se considera ventajoso que, en el marco de la conversión de protocolos, el aparato intermedio convierta los paquetes de datos de entrada no seguros que llegan al primer lado de conexión en paquetes de datos de salida seguros y los paquetes de datos de entrada seguros que llegan al segundo lado de conexión en paquetes de datos de salida no seguros.
De forma alternativa o adicional, el aparato intermedio puede convertir de forma ventajosa paquetes de datos de entrada no cifrados que llegan al primer lado de conexión en paquetes de datos de salida cifrados y convertir paquetes de datos de entrada cifrados que llegan al segundo lado de conexión en paquetes de datos de salida no cifrados en el marco de la conversión de protocolo.
Resulta particularmente ventajoso que el aparato intermedio realice una retención de datos o un cifrado, así como una desprotección o un descifrado de paquetes de datos de entrada en la capa 5 OSI o superior en el marco de la conversión de protocolos.
En una variante de realización considerada particularmente ventajosa, se prevé que el aparato intermedio convierta, en el marco de la conversión de protocolo, paquetes de datos de entrada compatibles con TCP (Transmission Control Protocol o protocolo de control de transmisión) o UDP (User Datagram Protocol o protocolo de datagrama de usuario) que llegan al primer lado de conexión, en paquetes de datos de salida compatibles con TLS (Transport Layer Security o seguridad de capa de transporte) y paquetes de datos de entrada compatibles con TLS, que llegan al segundo lado de conexión, en paquetes de datos de salida compatibles con TCP o UDP.
En cuanto a las solicitudes de asignación de direcciones, se considera ventajoso que, en el marco de la conversión de protocolos, el aparato intermedio reenvíe las solicitudes de asignación de direcciones desde los terminales de comunicación internos según el Protocolo de Resolución de Direcciones (ARP) como solicitudes de asignación de direcciones propias a los terminales de comunicación externos, si la dirección de protocolo de Internet y/o la dirección de aparato asociada contenida en la solicitud de asignación de dirección respectiva es desconocida para el aparato intermedio, y reenvía solicitudes de asignación de dirección de aparatos de comunicación externos como solicitudes de asignación de dirección propias a los aparatos de comunicación internos, si la dirección de protocolo de Internet y/o la dirección de aparato asociada contenida en la solicitud de asignación de dirección respectiva es desconocida para el aparato intermedio.
El aparato intermedio es preferiblemente autoconfigurable y determina los aparatos de comunicación internos conectados en el primer lado de conexión y sus direcciones de protocolo de Internet preferiblemente sobre la base de solicitudes de asignación de direcciones autogeneradas.
Es ventajoso que los puertos de conexión (puertos de red) del primer y segundo lado de conexión estén diseñados de tal manera que puedan funcionar como puertos de servidor o de cliente.
La invención también se refiere a una instalación técnica con un primer componente y un segundo componente separado físicamente del primero, cada uno de los cuales tiene un terminal de comunicación compatible con el protocolo de Internet y está conectado a través de una red de comunicación externa o una línea de comunicación externa, en cuyo caso la instalación técnica también comprende un aparato intermedio según la invención, que está conectado en términos de transmisión de datos entre los terminales de comunicación de los componentes primero y segundo.
En cuanto a las ventajas de la instalación de la invención y a las configuraciones ventajosas de la instalación de la invención, se hace referencia a las explicaciones anteriores en relación con el aparato intermedio de la invención y sus configuraciones ventajosas.
La instalación técnica es preferiblemente una instalación ferroviaria.
En la última variante mencionada, el primer componente es preferiblemente un aparato de campo ferroviario situado en la vía, cuyo terminal de comunicación está conectado a un primer lado de conexión del aparato intermedio.
El segundo componente es preferiblemente un aparato central ferroviario situado en la vía, en particular un puesto de enclavamiento cuyo terminal de comunicación está conectado a un segundo lado de conexión del aparato intermedio.
Alternativamente, es ventajoso que la instalación técnica sea un vehículo ferroviario.
En la última variante, el primer componente es preferiblemente un primer equipo situado en el vehículo ferroviario, cuyo terminal de comunicación está conectado a un primer lado de conexión del aparato intermedio.
El segundo componente en la última variante es preferiblemente un segundo equipo en situado en el vehículo ferroviario, en particular un aparato de control del vehículo, cuyo terminal de comunicación está conectado a un segundo lado de conexión del aparato intermedio.
La invención se refiere además a un procedimiento para el funcionamiento de un aparato intermedio que está conectado con un primer lado de conexión compatible con el protocolo de Internet a al menos un terminal de comunicación interno y con un segundo lado de conexión compatible con el protocolo de Internet a una red de comunicación externa o a una línea de comunicación externa. La invención prevé que, al recibir un paquete de datos de entrada compatible con el protocolo de Internet que proviene de al menos un terminal de comunicación interno y que está dirigido a un terminal de comunicación externo compatible con el protocolo de Internet conectado a la red de comunicación externa, se lea la dirección de protocolo de Internet del terminal de comunicación interno del paquete de datos de entrada, el paquete de datos de entrada se somete a una conversión de protocolo, se genera un paquete de datos de salida con protocolo convertido que lleva como dirección de protocolo de Internet del aparato emisor la dirección de protocolo de Internet del terminal de comunicación interno, y el paquete de datos de salida con protocolo convertido se envía al terminal de comunicación externo. Cuando se recibe un paquete de datos de entrada compatible con el protocolo de Internet que procede de un terminal de comunicación externo conectado al segundo lado de la conexión y que está dirigido al menos a un terminal de comunicación interno conectado al primer lado de la conexión, se lee la dirección de protocolo de Internet del terminal de comunicación externo del paquete de datos de entrada, el paquete de datos de entrada se somete a una conversión de protocolo, se genera un paquete de datos de salida con protocolo convertido que lleva como dirección de protocolo de Internet del aparato emisor la dirección de protocolo de Internet del terminal de comunicación externo, y el paquete de datos de salida con protocolo convertido se envía al terminal de comunicación interno.
En cuanto a las ventajas del procedimiento de la invención y a las configuraciones ventajosas del procedimiento de la invención, se hace referencia a las explicaciones anteriores en relación con el aparato intermedio de la invención y sus configuraciones ventajosas.
La invención se explica con más detalle a continuación mediante ejemplos de realización; en ellos se muestra, a modo de ejemplo
La Figura 1 un primer ejemplo de realización de una instalación técnica según la invención, que está equipada con un ejemplo de realización de un aparato intermedio según la invención,
Las Figuras 2-7 un modo de funcionamiento preferido del aparato intermedio según la figura 1, y
La Figura 8 segundo ejemplo de realización de una instalación técnica según la invención que está equipada con un ejemplo de realización de un aparato intermedio según la invención.
En las figuras se utilizan siempre los mismos signos de referencia para componentes idénticos o comparables a efectos de claridad.
La figura 1 muestra un primer ejemplo de realización de una instalación técnica 10 según la invención, que está equipada con un ejemplo de realización de un aparato intermedio 20 según la invención.
En el ejemplo de realización de la figura 1, la instalación técnica 10 es una instalación ferroviaria que comprende, entre otros, como primer componente un primer aparato de campo ferroviario 30 situado en la vía, preferiblemente en forma de un contador de ejes, un equipo de señalización o una aguja, y como segundo componente un aparato central ferroviario situado en la línea, preferiblemente en forma de un puesto de enclavamiento 40.
El primer aparato de campo 30 situado en la vía está conectado al puesto de enclavamiento 40 a través del aparato intermedio 20 y de una red de comunicación 50, en particular un bus de comunicación, o una línea de comunicación, y puede recibir órdenes de control de este y/o transmitirle señales de sensor.
En el ejemplo de realización de la figura 1, además del primer aparato de campo 30 situado en la vía, existe al menos un segundo aparato de campo 60 de tecnología ferroviaria situado en la vía, que también está conectado al puesto de enclavamiento 40 a través del aparato intermedio 20 y la red de comunicaciones 50 y puede recibir órdenes de control de este y/o transmitir señales de sensor a este. El segundo aparato de campo 60 situado en la vía puede ser, preferiblemente, un contador de ejes, un equipo de señalización o una aguja.
Los aparatos de campo 30 y 60 situados en la vía comprenden, a efectos de transmisión de datos, un terminal de comunicación K conectado a un primer lado de conexión 21 del aparato intermedio 20; los terminales de comunicación K conectados al primer lado de conexión 21 del aparato intermedio 20 se denominarán en lo sucesivo también terminales de comunicación internos K.
A un segundo lado de conexión 22 del aparato intermedio 20 se conecta un terminal de comunicación K del puesto de enclavamiento 40 a través de la red de comunicación 50; el o los terminales de comunicación conectados al segundo lado de conexión 22 del aparato intermedio 20 se denominan en lo sucesivo también terminales de comunicación externos.
La función del aparato intermedio 20 consiste en permitir una comunicación no cifrada y no protegida entre los aparatos de campo 30 y 60 conectados al primer lado de conexión 21 y el aparato intermedio 20, y garantizar una comunicación cifrada y/o protegida entre el o los terminales de comunicación conectados al segundo lado de conexión 22 del aparato intermedio 20, en este caso, el puesto de enclavamiento 40, y el aparato intermedio 20.
El aparato intermedio 20 se coloca preferiblemente más cerca de los aparatos de campo 30 y 60 que del puesto de enclavamiento 40, para que la longitud de la transmisión de comunicación cifrada y/o protegida sea lo más grande posible y, por tanto, la longitud de la transmisión de comunicación no cifrada y/o no protegida sea lo más pequeña posible; esta disposición reduce las posibilidades de manipulación externa.
El aparato intermedio 20 de la figura 1 funciona preferiblemente de forma transparente y no es reconocible para los aparatos conectados. Además, el aparato intermedio 20 es preferiblemente autoconfigurable, de modo que puede instalarse posteriormente en instalaciones técnicas existentes sin gran esfuerzo.
A continuación se explica con más detalle una configuración o modo de funcionamiento preferido del aparato intermedio 20 en relación con las figuras 2 a 7. El aparato intermedio 20 comprende preferiblemente un equipo de cálculo y una memoria con un módulo de programa de control almacenado en ella, que, cuando es ejecutado por el equipo de cálculo, permite el funcionamiento descrito a continuación.
La figura 2 muestra a modo de ejemplo el funcionamiento del aparato intermedio 20 cuando se recibe un paquete de datos de entrada EP compatible con el protocolo de Internet no protegido y sin cifrar, que procede del terminal de comunicación K del primer aparato de campo 30 situado en la vía, que se dirige al puesto de enclavamiento 40 y que lleva como dirección de remitente la dirección de protocolo de Internet IP1 del primer aparato de campo 30 situado en la vía.
El aparato intermedio 20 lee la dirección de protocolo de Internet IP1 del primer aparato de campo 30 situado en la vía del paquete de datos de entrada EP y somete el paquete de datos de entrada EP a una conversión de protocolo. De este modo se genera un paquete de datos de salida AP con protocolo convertido que lleva como dirección de remitente la dirección de protocolo de Internet IP1 del aparato de campo 30 situado en la vía, es decir, no la dirección de protocolo de Internet del aparato intermedio 20 que realmente envía. A continuación, el paquete de datos de salida AP con protocolo convertido se envía al puesto de enclavamiento 40 (véase la figura 3).
La conversión de protocolo comprende preferiblemente la protección y/o el cifrado de los paquetes de datos de entrada EP con el fin de generar paquetes de datos de salida AP protegidos y/o cifrados. La protección y/o el cifrado se realizan preferiblemente en la capa OSI 5 o superior.
Si se trata de paquetes de datos de entrada EP compatibles con TCP (Protocolo de control de transmisión) o UDP (Protocolo de datagrama de usuario) que llegan al primer lado de conexión 21, entonces preferiblemente se generan paquetes de datos de salida AP compatibles con TLS (Seguridad de capa de transporte) y se emiten en el segundo lado de conexión 22.
La figura 4 muestra a modo de ejemplo el funcionamiento del aparato intermedio 20 cuando se recibe un paquete de datos de entrada EP compatible con el protocolo de Internet, que procede del terminal de comunicación K del puesto de enclavamiento 40, conectado al segundo lado de conexión 22 y que, por ejemplo, está dirigido al segundo aparato de campo 60 situado en la vía.
El aparato intermedio 20 lee la dirección de protocolo de Internet IP3 del puesto de enclavamiento 40 desde el paquete de datos de entrada EP y somete el paquete de datos de entrada EP a una conversión de protocolo.
De este modo se genera un paquete de datos de salida AP con protocolo convertido que lleva como dirección de protocolo de Internet del aparato emisor la dirección de protocolo de Internet IP3 del puesto de enclavamiento 40. A continuación, el paquete de datos de salida AP con protocolo convertido se envía al terminal de comunicación interno K del segundo aparato de campo 60 situado en la vía (véase la figura 5).
La conversión de protocolo comprende la desprotección y/o descifrado de los paquetes de datos de entrada EP con el fin de generar paquetes de datos de salida AP no protegidos y no cifrados, preferiblemente en la capa OSI 5 o superior.
Si se trata de paquetes de datos de entrada EP compatibles con TLS que llegan al segundo lado de conexión 22, entonces se emiten paquetes de datos de salida AP compatibles con TCP o UDP en el primer lado de conexión 21.
Las figuras 6 y 7 muestran a modo de ejemplo el funcionamiento del aparato intermedio 20 cuando recibe solicitudes de asignación de direcciones ARP de acuerdo con el «Protocolo de resolución de direcciones».
Si el aparato intermedio 20 recibe, por ejemplo, una solicitud de asignación de direcciones ARP del terminal de comunicación externo K del puesto de enclavamiento 40 en su segundo lado de conexión 22, solicitud que se refiere a la dirección del aparato (dirección MAC de control de acceso al medio) MAC1 del primer aparato de campo 30 situado en la vía (véase la figura 6), el aparato intermedio 20 reenvía esta solicitud externa de asignación de dirección ARP como su propia solicitud de asignación de dirección ARP a los terminales de comunicación internos K conectados al primer lado de conexión 21, si la dirección de protocolo de Internet IP1 contenida en la solicitud de asignación de dirección ARP respectiva y/o la dirección de aparato MAC1 asignada a la dirección de protocolo de Internet IP1 es desconocida o aún desconocida para el aparato intermedio 20 y, por lo tanto, no es posible responder inmediatamente a la solicitud de asignación de dirección ARP
Si el aparato intermedio 20 contiene una respuesta AW del primer aparato de campo 30 situado en la vía a esta propia solicitud de asignación de dirección ARP, entonces reenvía la respuesta AW con la dirección del remitente del primer aparato de campo 30 situado en la vía al puesto de enclavamiento 40. El puesto de enclavamiento 40 no puede determinar si la respuesta AW a la solicitud de asignación de dirección ARP procede realmente del aparato intermedio 20 y no del primer aparato de campo 30 situado en la vía, ya que el aparato intermedio 20 transmite con la dirección de remitente del aparato de campo 30.
Si el aparato intermedio 20 recibe una solicitud de asignación de dirección ARP de un terminal de comunicación interno K del primer o segundo aparato de campo situado en la vía, por ejemplo, como se muestra en la figura 7, del segundo aparato de campo 60 situado en la vía, que se refiere a la dirección de protocolo de Internet IP3 del puesto de enclavamiento 40 o a la dirección de aparato MAC3 del puesto de enclavamiento 40, entonces reenvía la solicitud de asignación de dirección como su propia solicitud de asignación de dirección ARP en el segundo lado de conexión 22, siempre que la dirección de protocolo de Internet IP3 contenida en la respectiva solicitud de asignación de dirección ARP y/o la dirección de aparato MAC3 asignada a la dirección de protocolo de Internet IP3 sea desconocida para el aparato intermedio 20, espera una respuesta AW y reenvía esta respuesta AW (véase la figura 7); el segundo aparato de campo 60 situado en la vía no puede determinar si la respuesta AW a la solicitud de asignación de dirección ARP procede realmente del aparato intermedio 20 y no del puesto de enclavamiento 40.
Si el aparato intermedio 20 ya conoce la respuesta AW a la solicitud de asignación de dirección ARP, responderá preferiblemente de inmediato.
Debido a su capacidad para generar solicitudes de asignación de direcciones, el aparato intermedio 20 puede autoconfigurarse, ya que puede determinar por sí mismo direcciones de protocolo de Internet y direcciones de aparatos MAC asignadas a direcciones de protocolo de Internet sobre la base de solicitudes de asignación de direcciones generadas por sí mismo y, por lo tanto, puede detectar aparatos conectados en el primer y segundo lado de conexión 21, 22.
Es ventajoso que el aparato intermedio 20, como se indica en la figura 1, indique su propia dirección MAC MAC4 en los paquetes de datos de salida AP de protocolo convertido, independientemente de la dirección de protocolo de Internet IP1, IP2 o IP3 con la que envía los paquetes de datos de salida AP; este procedimiento simula una asignación entre direcciones de protocolo de Internet y direcciones de aparatos de los componentes conectados que es diferente de la realidad y permite así de forma sencilla una transparencia del flujo de datos.
También es ventajoso que el aparato intermedio 20 almacene las direcciones de protocolo de Internet IP1, IP2 e IP3 y las direcciones de aparato MAC1, MAC2 y MAC3 correspondientes de los equipos conectados, para poder prescindir de futuras solicitudes de asignación de direcciones.
El aparato intermedio 20 descrito anteriormente a manera de ejemplo puede formar un proxy en el que el primer y segundo lado de conexión 21,22 están diseñados para conectarse a una red Ethernet. El aparato intermedio 20 puede funcionar en el llamado modo promiscuo y ser transparente para ambos lados de conexión reflejando direcciones de protocolo de Internet del primer al segundo lado de conexión 21, 22 y viceversa.
La figura 8 muestra un segundo ejemplo de realización de una instalación técnica 10 según la presente invención, que está equipada con un ejemplo de realización de un aparato intermedio 20 según la presente invención. La instalación técnica 10 es un vehículo ferroviario que comprende, entre otros, uno o más equipos 130 y 160 situados en el vehículo, por ejemplo, en forma de actuadores o sensores, que están conectados como primeros componentes al primer lado de conexión 21 del aparato intermedio 20. Además, hay uno o más aparatos situados en el vehículo, que están conectados como segundos componentes al segundo lado de conexión 22, por ejemplo, un aparato de control del vehículo 140 y/o un aparato de control de los frenos. El aparato intermedio 20 está conectado en cuanto al flujo de datos entre el primer y el segundo lado de conexión. El aparato intermedio 20 está preferiblemente diseñado como se ha descrito en relación con las figuras 1 a 7.
Aunque la invención se ha ilustrado y descrito en detalle mediante ejemplos de realización preferidos, la invención no está limitada por los ejemplos divulgados y el experto puede deducir otras variaciones de ellos sin salirse del alcance de la protección de la invención, que está definido por las reivindicaciones.
Lista de símbolos de referencia
10 Instalación técnica
20 Aparato intermedio
21 Primer lado de conexión
22 Segundo lado de conexión
30 Aparato de campo
40 Aparato central/puesto de enclavamiento
50 Red de comunicación
60 Aparato de campo
130 Dispositivo situado en el vehículo
140 Aparato de control del vehículo
160 Dispositivo situado en el vehículo
AP Paquete de datos de salida
ARP Solicitud de asignación de dirección
AW Respuesta
EP Paquete de datos de entrada
IP1 Dirección de protocolo de Internet
IP2 Dirección de protocolo de Internet
IP3 Dirección de protocolo de Internet
K Terminal de comunicación
MAC1 Dirección de aparato
MAC2 Dirección de aparato
MAC3 Dirección de aparato
MAC4 Dirección de aparato

Claims (14)

REIVINDICACIONES
1. Aparato intermedio (20) con un primer lado de conexión (21) compatible con el protocolo de Internet para la conexión a al menos un terminal de comunicación interno (K) y un segundo lado de conexión (22) compatible con el protocolo de Internet para la conexión a una red de comunicación externa (50) o a una línea de comunicación externa,
en cuyo caso
el aparato intermedio (20) está diseñado de tal manera que
- al recibir un paquete de datos de entrada (EP) compatible con el protocolo de Internet que procede de al menos un terminal de comunicación interno (K) y está dirigido a un terminal de comunicación externo (K) compatible con el protocolo de Internet, conectado a la red de comunicación externa (50),
- lee la dirección de protocolo de Internet del terminal de comunicación interno (K) del paquete de datos de entrada (EP),
- somete el paquete de datos de entrada (EP) a una conversión de protocolo,
- genera un paquete de datos de salida (AP) con protocolo convertido que lleva como dirección de protocolo de Internet del aparato emisor la dirección de protocolo de Internet del terminal de comunicación interno (K), y - envía el paquete de datos de salida (AP) con protocolo convertido al terminal de comunicación externo (K), y - al recibir un paquete de datos de entrada (EP) compatible con el protocolo de Internet que procede de un terminal de comunicación externo (K), conectado al segundo lado de conexión (22) y está dirigido al menos a un terminal de comunicación interno (K) conectado al primer lado de conexión (21),
- lee la dirección de protocolo de Internet del terminal de comunicación externo (K) desde el paquete de datos de entrada (EP),
- somete el paquete de datos de entrada (EP) a una conversión de protocolo,
- genera un paquete de datos de salida (AP) con protocolo convertido que lleva como dirección de protocolo de Internet del aparato emisor la dirección de protocolo de Internet del terminal de comunicación externo (K), y - envía el paquete de datos de salida (AP) con el protocolo convertido al terminal de comunicación interno (K).
2. Aparato intermedio (20) según la reivindicación 1,
caracterizado porque
- el aparato intermedio (20) forma un proxy en el que el primer y el segundo lado de conexión (21, 22) están diseñados para conectarse a una red Ethernet, y
- el aparato intermedio (20) es transparente para ambos lados de conexión.
3. Aparato intermedio (20) según una de las reivindicaciones anteriores,
caracterizado porque
- el aparato intermedio (20) funciona en modo promiscuo y es transparente para ambos lados de conexión mediante el reflejo de direcciones de protocolo de Internet del primer al segundo lado de conexión (21, 22) y viceversa.
4. Aparato intermedio (20) según una de las reivindicaciones anteriores,
caracterizado porque
el aparato intermedio (20) en el marco de la conversión de protocolo
- convierte paquetes de datos de entrada (EP) no seguros, que llegan al primer lado de conexión (21), en paquetes de datos de salida seguros (AP) y
- convierte paquetes de datos de entrada (EP) seguros, que llegan al segundo lado de conexión (22), en paquetes de datos de salida (AP) no seguros.
5. Aparato intermedio (20) según una de las reivindicaciones anteriores,
caracterizado porque
el aparato intermedio (20) en el marco de la conversión de protocolo
- convierte paquetes de datos de entrada (EP) no cifrados, que llegan al primer lado de conexión (21), en paquetes de datos de salida (AP) cifrados y
- convierte paquetes de datos de entrada (EP) cifrados, que llegan al segundo lado de conexión (22), en paquetes de datos de salida (AP) no cifrados.
6. Aparato intermedio (20) según una de las reivindicaciones anteriores,
caracterizado porque
- el aparato intermedio (20) realiza una retención de datos o cifrado, así como una desprotección o descifrado de paquetes de datos de entrada (EP) en la capa OSI 5 o superior en el marco de la conversión de protocolo.
7. Aparato intermedio (20) según una de las reivindicaciones anteriores,
caracterizado porque
el aparato intermedio (20) en el marco de la conversión de protocolo
- convierte paquetes de datos de entrada (EP) compatibles con TCP o UDP, que llegan al primer lado de conexión (21), en paquetes de datos de salida (AP) compatibles con TLS y
- convierte los paquetes de datos de entrada (EP) compatibles con TLS, que llegan al segundo lado de conexión (22), en paquetes de datos de salida (AP) compatibles con TCP o UDP.
8. Aparato intermedio (20) según una de las reivindicaciones anteriores,
caracterizado porque
el aparato intermedio (20) en el marco de la conversión de protocolo
- reenvía las solicitudes de asignación de direcciones (ARP) de los aparatos de comunicación internos (K) según el "protocolo de resolución de direcciones" como solicitudes de asignación de direcciones (ARP) propias a los aparatos de comunicación externos (K), siempre que la dirección de protocolo de Internet y/o la dirección del aparato asociada, contenida en la solicitud de asignación de direcciones (ARP) respectiva, sea desconocida para el aparato intermedio (20), y
- reenvía las solicitudes de asignación de direcciones (ARP) de los terminales de comunicación externos (K) como solicitudes de asignación de direcciones (ARP) propias a los terminales de comunicación internos (K), siempre que la dirección de protocolo de Internet y/o la dirección de aparato asociada contenida en la solicitud de asignación de direcciones (ARP) respectiva sea desconocida para el aparato intermedio (20).
9. Aparato intermedio (20) según una de las reivindicaciones anteriores,
caracterizado porque
el aparato intermedio (20) se autoconfigura y determina por sí mismo los terminales de comunicación internos (K) conectados al primer lado de conexión (21) y sus direcciones de protocolo de Internet sobre la base de solicitudes de asignación de direcciones (ARP) autogeneradas.
10. Aparato intermedio (20) según una de las reivindicaciones anteriores,
caracterizado porque los puertos de conexión del primer y segundo lado de conexión (21, 22) pueden configurarse respectivamente, opcionalmente como puerto de servidor y de cliente.
11. Instalación técnica (10) con un primer componente y un segundo componente separado físicamente del primero, que tienen cada uno un terminal de comunicación (K) compatible con el protocolo de Internet y están conectados a través de una red de comunicación externa (50) o una línea de comunicación externa, en cuyo caso la instalación técnica comprende además un aparato intermedio (20) según una de las reivindicaciones anteriores, que está conectado en términos de transmisión de datos entre los terminales de comunicación (K) del primer y segundo componente.
12. Instalación técnica (10) según la reivindicación 11,
caracterizada porque
- la instalación técnica (10) es una instalación ferroviaria (10),
- el primer componente es un aparato de campo ferroviario (30) situado en la vía y el terminal de comunicación (K) del primer componente está conectado a un primer lado de conexión (21) del aparato intermedio (20) y - el segundo componente es un aparato central ferroviario situado en la vía, en particular un puesto de enclavamiento (40), y el terminal de comunicación (K) del segundo componente está conectado a un segundo lado de conexión (22) del aparato intermedio (20).
13. Instalación técnica (10) según la reivindicación 11,
caracterizada porque
- la instalación técnica (10) es un vehículo ferroviario,
- el primer componente es un primer equipo situado en el vehículo ferroviario y el terminal de comunicación (K) del primer equipo situado en el vehículo ferroviario está conectado a un primer lado de conexión (21) del aparato intermedio (20), y
- el segundo componente es un segundo equipo situado en el vehículo ferroviario, en particular un aparato de control del vehículo (140), y el terminal de comunicación (K) del segundo componente está conectado a un segundo lado de conexión (22) del aparato intermedio (20).
14. Procedimiento para el funcionamiento de un aparato intermedio (20) que con un primer lado de conexión (21) compatible con el protocolo de Internet está conectado a al menos un terminal de comunicación interno (K) y con un segundo lado de conexión (22) compatible con el protocolo de Internet está conectado a una red de comunicación externa (50) o a una línea de comunicación externa,
en cuyo caso
- al recibir un paquete de datos de entrada (EP) compatible con el protocolo de Internet, que procede de al menos un terminal de comunicación interno (K) y está dirigido a un terminal de comunicación externo (K) compatible con el protocolo de Internet, conectado a la red de comunicación externa (50),
- se lee la dirección de protocolo de Internet del terminal de comunicación interno (K) desde el paquete de datos de entrada (EP),
- el paquete de datos de entrada (EP) se somete a una conversión de protocolo,
- se genera un paquete de datos de salida (AP) con protocolo convertido que lleva como dirección de protocolo de Internet del aparato emisor la dirección de protocolo de Internet del terminal de comunicación interno (K), y - el paquete de datos de salida (AP) con protocolo convertido se envía al terminal de comunicación externo (K), y
- al recibir un paquete de datos de entrada (EP) compatible con el protocolo de Internet que procede de un terminal de comunicación externo (K) conectado al segundo lado de conexión (22) y está dirigido al menos a un terminal de comunicación interno (K) conectado al primer lado de conexión (21),
- se lee la dirección de protocolo de Internet del terminal de comunicación externo (K) desde el paquete de datos de entrada (EP),
- el paquete de datos de entrada (EP) se somete a una conversión de protocolo,
- se genera un paquete de datos de salida (AP) con protocolo convertido que lleva como dirección de protocolo de Internet del aparato emisor la dirección de protocolo de Internet del terminal de comunicación externo (K), y - el paquete de datos de salida (AP) con el protocolo convertido se envía al terminal de comunicación interno (K).
ES21839471T 2021-01-29 2021-12-15 Technical installation and intermediary device for a technical installation Active ES3024936T3 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102021200832.1A DE102021200832A1 (de) 2021-01-29 2021-01-29 Technische Anlage und Zwischengerät für eine technische Anlage
PCT/EP2021/085874 WO2022161692A1 (de) 2021-01-29 2021-12-15 Technische anlage und zwischengerät für eine technische anlage

Publications (1)

Publication Number Publication Date
ES3024936T3 true ES3024936T3 (en) 2025-06-05

Family

ID=79282993

Family Applications (1)

Application Number Title Priority Date Filing Date
ES21839471T Active ES3024936T3 (en) 2021-01-29 2021-12-15 Technical installation and intermediary device for a technical installation

Country Status (4)

Country Link
EP (1) EP4268439B1 (es)
DE (1) DE102021200832A1 (es)
ES (1) ES3024936T3 (es)
WO (1) WO2022161692A1 (es)

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5920699A (en) 1996-11-07 1999-07-06 Hewlett-Packard Company Broadcast isolation and level 3 network switch
US20030229809A1 (en) 1999-04-15 2003-12-11 Asaf Wexler Transparent proxy server
GB2386522B (en) 2002-03-14 2005-04-27 Livedevices Ltd Improvements relating to secure internet communication with small embedded devices
US9917773B2 (en) 2008-08-04 2018-03-13 General Electric Company Data communication system and method
US8457815B2 (en) 2010-05-19 2013-06-04 General Electric Company Rail appliance communication system and method for communicating with a rail appliance
US8935022B2 (en) 2009-03-17 2015-01-13 General Electric Company Data communication system and method
US8009682B2 (en) 2009-05-05 2011-08-30 Citrix Systems, Inc. Systems and methods for packet steering in a multi-core architecture
US8996614B2 (en) * 2011-02-09 2015-03-31 Citrix Systems, Inc. Systems and methods for nTier cache redirection
US10225239B2 (en) 2016-09-29 2019-03-05 Chelsio Communications, Inc. Method for in-line TLS/SSL cleartext encryption and authentication
WO2019123447A1 (en) 2017-12-24 2019-06-27 Arilou Information Security Technologies Ltd. System and method for tunnel-based malware detection

Also Published As

Publication number Publication date
EP4268439C0 (de) 2025-01-29
EP4268439B1 (de) 2025-01-29
EP4268439A1 (de) 2023-11-01
DE102021200832A1 (de) 2022-08-04
WO2022161692A1 (de) 2022-08-04

Similar Documents

Publication Publication Date Title
ES3000983T3 (es) Método y dispositivo de transmisión de datos de múltiples caminos
US11134064B2 (en) Network guard unit for industrial embedded system and guard method
ES2264756T3 (es) Comunicacion entre una red privada y un terminal movil itinerante.
ES2596177T3 (es) Método, equipo y sistema de red para hacer comunicar un terminal con un servidor de infraestructura de un subsistema multimedia IP (IMS) atravesando una red privada
ES2362993T3 (es) Un método y disposición para proporcionar seguridad a través de conversión de direcciones de red utilizando tunelado y compensaciones.
US7028337B2 (en) Method of virtual private network communication in security gateway apparatus and security gateway apparatus using the same
WO2022204198A1 (en) A unified network service that connects multiple disparate private networks and end user client devices operating on separate networks
KR20100077383A (ko) 무선 통신 시스템에서 위치 기반 서비스를 위한 위치 정보 태깅 방법 및 이를 위한 장치
US6771649B1 (en) Middle approach to asynchronous and backward-compatible detection and prevention of ARP cache poisoning
JP5894713B2 (ja) セキュリティデバイスバンク、およびセキュリティデバイスバンクを含むシステム
CN105052106B (zh) 用于接收和传输互联网协议(ip)数据包的方法和系统
RU2006143768A (ru) Ароматическое ограничение сетевого нарушителя
US9654394B2 (en) Multi-tenant system, switch, controller and packet transferring method
JP2019161675A5 (es)
CN107852359A (zh) 安全系统、通信控制方法
EP2466806B1 (en) Method and system for implementing network intercommunication
KR20130140932A (ko) 네트워크 경로 계산장치, 콘텐츠 요청노드, 중계노드 및 이를 포함하는 정보 중심 네트워크 시스템과 이를 이용한 네트워크 경로 계산방법
US9445384B2 (en) Mobile device to generate multiple maximum transfer units and data transfer method
WO2018060992A1 (en) Device, system and method for protecting network devices
WO2005008981A1 (en) Apparatus for layer 3 switching and network address port translation
ES2428065T3 (es) Método de comunicación, dispositivo de agente móvil y dispositivo de agente local
ES3024936T3 (en) Technical installation and intermediary device for a technical installation
JPWO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
ES2779598T3 (es) Interfaz de red segura
JP2010177839A (ja) 組織外ネットワーク接続端末検出システム