[发明专利]对通信设备的加固

说明书

本发明涉及用于加固通信设备的方法和装置，其中能够实现：标识对至少一个端口的使用，经由该至少一个端口，借助于消息将请求发给该通信设备；而且如果在规定时长之后要么对相应的端口的使用被判定为微少要么相应的端口被判定为不使用，则输出用于将该至少一个端口禁用的信号。本发明能用于加固在生产线中、在医院中和/或在能量供应网中的通信设备。

技术领域

本发明涉及一种用于加固通信设备的方法和装置。

背景技术

由于设备、诸如IT系统或者用于工业4.0的自动化组件的越来越多的联网，越来越多地存在如下危险：这种设备由于有针对性的攻击而受操纵。

按照现有技术而公知：两个设备可以按照OSI模型（OSI - Open SystemsInterconnection Model（开放系统互连模型），参见https://en.wikipedia.org/wiki/osi_model）来交换数据。为此，OSI模型定义了七个层（英文：Layers），这七个层承担在该OSI模型之内的特定任务。这样，第4层（也被称作传输层）承担“用于将长度可变的数据序列从源经由一个或多个网络传输到目标的功能上的和程序上的任务，其中维持服务功能的质量”，参见上文提到的维基百科文章。从现有技术公知TCP协议（TCP——TransmissionControl Product（传输控制协议），参见RFC 793）和UDP（UDP——User DatagrammProtocol（用户数据报协议），参见RFC 768），作为第4层协议。

在下文，进一步阐述OSI层模型中的仅仅一个部分，该部分有助于在按照OSI层模型来传输数据包方面理解本发明。在第3层、即网络层，将数据包从一个节点传送到下一个网络节点。例如，借助于IP协议（IP——Internet Protocol（网际协议），RFC 791）来执行对数据包的传送。第3层数据包除了第3层特定参数之外也包括第4层数据包，在该第4层数据包中，为了对该第4层数据包进行处理而说明第4层地址。该第4层地址被称作端口。相应的端口能够与通过第3层来处理的通信网络的特性无关地面向应用地交换数据。因而，第4层数据包例如按照TCP或UDP不仅包括源端口而且包括目标端口。目标端口说明：第4层数据包应该被传送到该数据包的接收方的哪个端口上。而源端口说明：按照第4层数据包的应答应该被寄送到该数据包的发送方的哪个端口上。因此，发送方或接收方的端口分别描述了应该在发送方与接收方之间的通信或也包括在接收方与发送方之间的通信的框架内对所要传输的第4层数据包进行处理的服务。为了简化通信，标准化组织给一些端口分别固定地分配了服务。这样，例如在端口80上按照http协议（http——Hypertext Transfer Protocol（超文本传输协议），参见RFC2616）来将请求标准化。

因此，借助于对端口的指定，通常可能的是：发送方将请求寄送给接收方，该接收方应该针对该发送方来处理该请求。这样，在互联网中可以将对网页的请求按照端口80发给网页服务器，该网页服务器接着在端口81上将该网页传送给请求设备。通常也可能的是：在号码处于1024与65535之间的端口上发送应答，该端口英文也被称作TCP high port。

因此，通过提供（也被称作开放）传输层的一个或多个端口能够实现：通信伙伴可以相连，以便相互使用服务。

然而，在安全性检查的情况下发觉如下问题：除了对于特定系统的任务来说必须能到达的那些端口之外，还开放大量的其它端口，所述其它端口对于系统的真正的功能性来说完全不需要或者不强制需要。属于此的例如是：

- 网页界面，例如用于调用设备状态或帮助页面；

- 多个不同的管理界面，这些管理界面在内容上提供相同的功能性，诸如Telnet、SSH（SSH - RFC4251）；

- 如下端口，所述端口仅仅用于调试和/或研发目的。