用于监控数据包安全传输的方法和装置

摘要

本发明涉及一种用于监控在至少两个网络用户设备之间的数据包安全传输的方法和装置。本发明的一个任务是给出一种安全和快捷的方式，以实现现代化的传输安全监控，监控传输的数据包是否有错误，该方法通过一个已预先给定的和/或可预先给定的误码率门限值，特别是漏检误差率门限值，和/或比特误码率门限值进行监控。在本发明中建议为了监控至少两个网络用户设备之间的数据包传输，其中作为对已知的有错误传输的数据包(1)和已知的无错误传输的数据包(1)的应答，在传输介质上对一个可预先设定的和/或已预先设定的基于错误的门限值进行安全监控，在各个数据包(1)的有效数据(2)内传输一个分别由至少一个网络用户设备所期待的数据组(22，23)，它用于确定有错误传输的和无错误传输的数据包(1)。

说明书

技术领域

本发明涉及一种用于监控在至少两个网络用户设备之间的数据包安全传输的方法和装置。

背景技术

如果通过常规的网络，特别是通过一个总线系统传输与安全性相关的数据时，则通常情况下必须在传输协议中添加一个附加措施，使得漏检误差率(Restfehlerrate)R(p)在有错误传输和无错误传输的情况下低于一个值，例如国际标准IEC 61508所规定的值，这样在通信中，特别是在有差错预防的外设用户设备和有差错预防的CPU用户设备之间的数据传输情况下，满足很高的安全性技术要求。

通常通过将数据扩展为一个数据安全值来实现，该数据安全值基于有效数据生成，根据不同的协议添加在要传输的数据包的有效数据上。

根据现有的规定，经常必须进一步从误码率p出发，保证漏检误差率R(p)低于预定的值。在没有更好的值的情况下，将p值取为10^-2。而数据传输，例如符合RS 485/422标准的数据传输，通常可以达到更好的误码率，例如10^-5。如果取这一数值规定为漏检误差率R(p)应低于的门限值，则必须在工作状态下，即在在线状态下监控漏检误差率。如果超过这个值则必须采取安全保障功能。

在欧洲专利申请EP-A1-1 147 643中描述了一种方法和一种网络用户设备，它可根据对数据安全值的估值来确定误码率p。

根据所述欧洲专利申请的公开，为监控网络用户设备之间的数据传输，由每一个含有数据安全值的数据包分别给出它所遵循的路径，而数据包的接收在此情况下通过一个带有应答(Quittung)装置的接收器实现。基于对数据安全值的监控，判断是否一个接收到的数据包在传输过程中发生了错误。接收到数据包的用户设备根据有效数据再次生成一个数据安全值。然后将该生成的安全值与接收到的数据安全值进行对比。基于对比结果，在一个已预先给定的或可预先给定的时间间隔内，或者在已预先给定数目的或可预先给定数目的数据包传输期间，确定发生错误的数据包的个数和未发生错误的数据包的个数或应答次数。如果发生错误的数据包的个数与未发生错误的数据包的个数的比值达到或超过一个预先给定的门限值时，或者发生错误的数据包的个数达到或超过一个预先给定的门限值时，则启动一个安全保障应对功能。

然而此处一个明显的缺点在于：此类的监控只有在完全接收到传输来的数据包后方可进行，因为无论是接收到的用于再次生成数据安全值的有效内容，还是接收到的用于确认数据包的传输中是否出现错误的数据安全值，二者都必须存在于接收器上时方可进行监控。

发明内容

因此本发明的一个任务是给出一种安全的和快得多的方式，以此实现更现代化的传输安全监控，监控传输的数据包是否有错误，该方法通过一个已预先给定的和/或可预先给定的误码率门限值，特别是漏检误差率门限值，和/或比特误码率门限值进行监控。

本发明的任务的解决方案以一种令人惊讶的方式通过一种具有权利要求1的特征的方法，一个具有权利要求9的特征的装置和/或一个具有权利要求16的特征的网络16来实现。

具有优点的和/或优选的实施方式以及改进方案是各个从属权利要求的主题。

根据本发明，为监控至少两个网络用户设备之间的数据包传输，其中网络用户设备为了应答识别出的有错误传输的数据包和识别出的无错误传输的数据包，在传输介质中进行可预先给定的和/或已预先给定的基于错误的门限值监控，建议为了确定有错误传输的数据包和无错误传输的数据包，在有效数据中内嵌一个分别由至少一个用户设备所期待的数据组，用于确定数据包传输中是否出现错误。

此处明显的优点是，通过监控相对于所等待的数据组的传输来的数据组，与安全性相关的传输验证可根据能否符合一个与错误相关的门限值来进行，而这一过程在各个数据包完全传输到相应的接收用户设备处之前即可进行。并以此保证，在此情况下一方面必需的安全应对措施可以以更现代的方式启动，另一方面必须的、对传输中出现错误的数据包的再次传输可以尽早进行。此外，根据本发明的解决方案可以实现网络的更有效的容量负载和/或容量利用。

在优选的改进方案中，进一步建议对识别出的有错误传输的数据包和识别出的无错误传输的数据包进行分析的用户设备在每个预先确定的时间间隔内执行上述分析过程，和/或分别为有错误传输的数据包的个数和无错误传输的数据包的个数之间的关系进行设定。

在一个特别具有优点的改进方案中进一步建议，用于确定所使用的有效数据组包含地址和/或控制块，例如通过交换此类控制块来控制通过分级链条(Schrittketten)的传输路径。

本发明特别适用于此类的网络，在该网络中的一个用户设备的故障概率以及所产生的有错误的数据控制组和/或地址很少，少于由于其它对传输介质的干扰造成的有错误的传输，例如来自电磁兼容性(EMV)的干扰。

根据特定使用情况的设计是具有优点的，监控根据一个基于误码率、漏检误差率和/或比特误码率的门限值或阈值进行。

另外，在实践中特别具有优点的是，根据本发明的有效的、与安全相关的监控根据特定使用情况在如下情况下已经可以保证很高的安全性，即以一个离散无记忆传输信道为基础，对接收确定长度的出现错误的数据组的概率与一个可设定的最大误码率之间的基于伯努力分布的函数关系进行监控。

本发明进一步建议，在最具有实用性的实施方式中，将可预先设定的和/或已预先设定的最大误码率与期待的数据组中的比特数的乘积定义为门限值或阈值。

此外，本发明可以以具有优点的方式实现基本上可通过每一个确定的用户设备进行监控，因此根据特定网络设计可实现从用户设备(Slave)和/或主用户设备(Master)的设计。在优选的改进方案中，为实现集中的监控，建议从至少一个识别用户设备分别向监控用户设备传送已识别的有错误的和/或无错误的传输数据组。这样根据本发明的对传输介质的监控可以实现简单的特定网络匹配，例如可以设置一个已识别的传输错误的权重(Gewichtung)，它基于错误识别的位置和后续的网络结构。

本发明中包括了根据本发明匹配的网络，该网络被优选设计为总线系统，特别是环形总线系统，也可以设计为线形结构、环形结构、星形结构或树形结构和/或其它结构的总线和/或网络结构。

在一个优选的实施例中，本发明中包括了根据本发明匹配的网络，用于自动化设备，建筑物布线技术(Gebudeleittechnik)，过程工业(Prozessindustrie)，客运和/或加工工业的工作中。

附图说明

以下针对一个优选的、但同时也是示例性的实施方式，根据附图详细说明本发明。

如图所示：

图1：一个应用于本发明中的示例性的网络结构，

图2：一个根据本发明的用于传输数据包的优选结构。

具体实施方式

图1中所示的适用于本发明的一个优选的、但同时也是示例性的网络结构具有一个总线主机(Bus-Master)以及相应的通信驱动器和可编程的安全控制模块，标示为I/O的不同的输入/输出网络用户设备在需要的情况下具有集成的分布式安全功能以及一个系统耦合器(Systemkoppler)和网关BK。输入/输出网络用户设备与系统耦合器和网关BK无关地分布在整个网络上。网络的整体结构是混合结构，具有单个相互之间耦合的环形总线结构、线形总线结构、星形总线结构或树形总线结构。

如果通过对应于主用户设备的安全控制装置的驱动组件开始进行根据本发明的安全监控，则整个反用时间中必须也考虑在网络上的传输时间。通过将基于相应匹配的驱动模块的这种安全功能集成到安全的输入/输出用户设备中，可以缩短安全监控反应的处理时间，特别是在用户设备之间传输数据时，当发现超过一个基于错误设置的门限值或阈值的情况下立即做出反应。

附带地参考图2，其中给出了一个示例性的根据本发明的待传输的数据包1。该数据包1中包含一个与特定协议相关的有效数据块2和一个附加在其上的数据块3，该数据块3上具有基于数据块2的数据安全值。

在通常方式中，此类的数据安全块3由一个带有匹配的驱动装置的发送用户设备生成，以根据有效数据块2中的数据实现一个差误校验算法，例如已知的“循环冗余校验(CRC)”的方法。此处根据所述差校验算法在传输之前由待传输的数据包1中的有效数据2产生一个具有循环冗余校验值形式的安全数据3，它随后在传输形式中附加在有效数据2之后。

根据本发明，除了纯粹的输入/输出数据以及过程数据21之外，有效数据块2还附带地包含地址22和/或控制组23和/或附带的安全或非安全数据。这些数据与数据安全块3的作用不同，不是用于各个数据包传输中的数据安全，而是允许通信用户设备检验相对一方用户设备(Gegenteilnehmer)的正确功能。例如可以设计为通过分别交换控制组23来实现对通过分级链条的传输路径的控制。

这些附加数据22，23的主要特征是每个根据特定的网络设计的接收和/或观察用户设备具有与数据内容有关的期望(Erwartungshaltung)。在相对一方的用户设备或发送方用户设备的功能无错误时，在接收前，对于上述用户设备来说这些数据是已知的。

如果由于一个用户设备的故障概率以及所产生的有错误的数据控制组23和/或地址22很少，少于由于其它原因对传输介质的干扰造成的有错误的数据传输，例如来自电磁兼容性(EMV)的干扰，则根据本发明如以下更详细描述的，关于传输介质的误码率p由有错误与无错误传输的数据控制组23和/或地址22之间的比例关系所确定。

已经看到，基本上对于所有常用的网络系统，用户设备的故障概率小于由于其它原因造成的数据的错误传输。

对于以下示例性的用于确定门限值或阈值的措施，进一步考虑在二进制对称离散无记忆传输信道(即所谓的硬判决信道，DMC)中出现的与统计学分布无关的简单错误。基于进一步采用的伯努力分布，在一个优选方式中得到了概率E(p)与以确定长度“l”观测和/或接收到的有错误传输的数据控制组23之间的关系，并且可预先设定和/或已预先设定的传输介质的误码率p可以由下式确定：

$>>E>>(>p>)>>=>>\Sigma >>e>=>l>>l>\left(\begin{array}{}>>l>\; >>e>\; >\end{array}\right)>>p>e>>>>(>1>->p>)>>>1>->e>>>>>$

其中e是比特运行变量，直至特定长度“l”。

对于小误码率p，下式近似成立。

E(p)＝p·l

概率E(p)可由有错误传输的和无错误传输的有效数据组确定，误码率p为：

$>>p>=>>>E>>(>p>)>>>l>>>>$

附加在有效数据块2后面的数据安全值3在分析时可不考虑，这使得反用可以更早发生，因为在监控时只需要接收到数据包的一部分就足够了。

如果不允许超过的最大误码率例如为pmax＝10^-5，而要监控的数据组的长度例如为8比特，则得到概率为8*10^-5。

平均每12500个要监控的数据组中只有一个传输错误。如果不是这样的话，则执行一个预先设置好的或由此情况所产生的与安全相关的反应动作。

作为补偿或替代，可以使得与安全相关的反应动作的执行与每个预先确定时间间隔内已知的有错误传输的和已知的无错误传输的数据包相关。

此处的根据本发明的安全监控可以根据要监控的数据组和/或基于应用的网络结构(例如上述提及的网络结构)的特定构造，在主用户设备或从用户设备中执行。如果接收和/或观察用户设备不执行本身的安全监控，则它们将与已知的有错误传输的有效数据组有关的信息发送到监控用户设备。例如通过已知的传输错误的权重(它基于错误识别的位置和后续的网络结构)，和/或通过对网络上传输时间的考虑，确保了与特定网络相关的简单匹配。

此外，本发明最好可应用于网络，特别是应用于以下领域中的总线系统：加工工业、客运、燃烧技术、过程工业或建筑物布线技术。