[发明专利]用于通信网络的具有集成的安全组件的开关-网络节点

说明书

技术领域

本发明涉及一种用于通信网络的开关-网络节点，一种具有这种开关-网络节点的自动化系统，一种用于通过开关-网络节点进行通信的方法，以及一种计算机程序产品。

背景技术

在自动化技术中通常优选使用如现场总线和联络母线的总线用于联网。但是一段时间以来，基于以太网的技术也越来越多地用在自动化技术中。这种技术改变为应用者带来了优点，但另一方面也带来网络安全方面的整体性问题。自动化网络可以利用由以太网世界已知的工具来进行观察和也进行攻击。出于这个原因，在自动化技术中除了例如用于连接终端用户和连接网络段的交换机之外也需要安全装置。典型地，受限制的区域、例如生产自动化中的生产单元通过周界防护来得到保护。在此典型性地使用防火墙。当保护要求更高时也可以使用VPN(虚拟专用网络)装置来连接单元。此外也存在作为用于远程访问(RAS)的接入点的VPN装置。

当今，主动的网络组件、终端装置或网络段通过预接的安全组件，和导线连接地得到保护，或者终端装置自身包含在软件中执行的安全组件。在此，所有通信都必须始终通过这些组件流动和被检测。也就是说当今所有组件都作为自给自足的单独装置被执行。

在图1中示出安全装置和交换机的典型的配置、如其在现有技术中在自动化金字塔的下层中使用地。

在图1中示出不同的自动化单元100，其能通过交换机108和102与设备总线110通信。每个自动化单元100除了交换机108之外也分配有安全组件“安全装置”104，其中在自动化单元100与总线110之间的所述的通信通过交换机108、安全组件104和交换机102进行。

安全装置104在最简单的情况下是防火墙，该防火墙将自动化单元100中的网络段与设备总线110分开并且进而进行保护以防止不期望的外部访问。替代完整的自动化单元，当然也可以对单独的终端装置(例如自动化-CPU)进行保护。

在需要对在自动化单元彼此之间的以及也在自动化单元和上一级之间的数据通信进行加密的应用情况下，安全装置设计为VPN装置。同样也适用于这种情况，即需要用户的严格的证明(不仅基于IP地址，如在防火墙的情况下)。

在图1中示出的结构的不利之处例如在于，即使当单元中仅需要少量端口并且在最上方的交换机处还有端口未被占用时，用户也必须为每个单元购买一个交换机。此外不利之处在于，移开或添加安全装置(当例如还未被保护地连接一个单元时)分别需要布线的改变，即实际硬件的改造。

此外尽管通常涉及简单的网络结构，用户仍需管理多个装置，在图1中是例如3个安全装置100和4个交换机108和102。此外不利之处在于，设备总线上的VLANs(Virtual Local Area Netzwerke虚拟局域网)不能在单元中被继续执行，这是因为当今的防火墙和VPN“擦去”VLAN标签(因为其在第3层上工作)。此外，迄今为止不能实现用具有更快的网络连接(例如100MBit)的交换机来替代设备交换机，这是因为吉比特(Gigabit)连接通常在下级的组件中紧固后要求，也必须将安全装置相对于那些具有当前网络技术的支持的装置进行更换。最后，在现有技术n个连接设备总线-交换机→安全装置→单元交换机中分别需要4个PHY′s(physikalischeSchnittstellen物理接口)用于转换到传输介质(例如吉比特)。这些物理 接口耗能很高并且具有相应的损耗功率(恰好从吉比特开始)。如果能省去这种变换装置(因为所有组件都位于一个共同的后连线板上)，那么可能不仅节省费用而且也节省能量。损耗功率下降具有另外的积极的辅助效应，如提高元件的使用寿命和简化了装置中的排热。

在许多应用情况下可能值得期待的是，将所有上述的装置安装在一个装置里。然而这需要网络重新配置的灵活的可能性。

发明内容

本发明的目的在于，提出一种改进的用于通信网络的开关-网络节点，一种改进的自动化系统，一种改进的用于通过用于通信网络的开关-网络节点进行通信的方法，以及一种改进的计算机程序产品。

本发明的目的利用独立权利要求所述的特征实现。

在从属权利要求中给出了本发明的实施方式。

提出了一种用于通信网络的开关-网络节点，网络节点具有多个输入端口和输出端口，其中开关-网络节点具有多个集成的安全组件，其中安全组件设计用于限制在输入端口和输出端口之间的通信，其中安全组件可任意自由地与输入端口和输出端口连接。