DE102008010790B4

Movatterモバイル変換

Info

Publication number: DE102008010790B4
Application number: DE102008010790.5A
Authority: DE
Inventors: Prof. Dr. Rozek Werner; Dipl.-Ing. Rozek Thomas; Jan Rozek
Original assignee: Fachhochschule Schmalkalden
Current assignee: ROZEK, WERNER, PROF. DR.-ING. DIPL.-ING., DE
Priority date: 2008-02-22
Filing date: 2008-02-22
Publication date: 2015-09-10
Anticipated expiration: 2028-02-23
Also published as: DE102008010790A1

Abstract

Translated fromGerman

Verfahren zum Echtzeitvirenschutz unverschlüsselter und verschlüsselter Daten, bei dem Scannersoftware auf der Basis bekannter Virensignaturen eingesetzt werden, ist dadurch gekennzeichnet, – dass eine Einheit unverschlüsselte Daten vor der Verschlüsselung auf Infizierung prüft, bei Infizierung die Daten säubert, die nicht infizierten Daten in Datenpakete zerlegt, dessen Hashwerte oder Prüfsummen bildet, diese den Datenpaketen zuordnet, sie anschließend verschlüsselt sowie mit mindestens einer Nachricht verknüpft, – dass die Einheit verschlüsselte Daten anhand der Nachricht oder der Nachrichten erkennt, daraufhin die Daten entschlüsselt, Hashwerte oder Prüfsummen errechnet, diese mit den übertragenen Hashwerten oder Prüfsummen vergleicht und anhand dessen auf Infizierung entscheidet, – dass die Einheit aus mindestens einem Modul besteht, das lokal vor dem Datennutzungsbereich geschaltet ist, – dass das Modul aus den an einem Port eintreffenden Daten Teildaten herausschneidet und diese an einen separaten Port bereitstellt, – dass ein anderes Modul die bereitgestellten Teildaten vom separaten Port liest und sie nach mindestens einer vordefinierten Nachricht untersucht, – dass das Nachrichten untersuchende Modul beim Vorfinden der Nachricht oder Nachrichten das Teildaten bereitstellende Modul zur Bereitstellung aller weiteren Daten am separaten Port auffordert, wobei daraufhin das Teildaten bereitstellende Modul alle weiteren Daten am separaten Port bereitstellt, – dass das Nachrichten untersuchende Modul bei vorgefundener Nachricht oder vorgefundenen Nachrichten die Daten entschlüsselt, aus den Daten mindestens eine Prüfsumme oder einen Hashwert berechnet, mindestens einen Hashwert- oder Prüfsummenvergleich zwischen berechneter und dem Datenstrom enthaltender Prüfsumme oder enthaltenen Hashwert vornimmt und anhand des Vergleichsergebnisses bzw. der Vergleichsergebnisse die Infizierung der Daten erkennt, – dass das Nachrichten untersuchende Modul bei nicht infizierten Daten die Daten unverschlüsselt oder verschlüsselt an ein separaten Port bereitstellt, – dass das Teildaten bereitstellende Modul oder ein weiteres Modul die, vom Nachrichten untersuchenden Modul bereitgestellten, nicht infizierte Daten vom separaten Port liest und diese über ein weiteren Port ausgibt, – dass beim Nichtvorfinden der vordefinierten Nachricht oder Nachrichten durch das Nachrichten untersuchende Modul das Teildaten bereitstellende Modul oder ein weiteres Modul alle eintreffende Daten auf Infizierung überprüft, bei Infizierung die Daten säubert und die gesäuberten oder nicht infizierten Daten an ein separaten Port ausgibt.A method for real-time virus protection of unencrypted and encrypted data, in which scanner software based on known virus signatures are used, is characterized in that - a unit checks unencrypted data for infection before encryption, cleans the data during infection, breaks down the uninfected data into data packets, whose hash values or checksums are formed, these are then assigned to the data packets, then encrypted and linked to at least one message, - the unit recognizes encrypted data based on the message or messages, then decrypts the data, calculates hashes or checksums, these with the transmitted hash values or checksums and on the basis of which it decides on infection - that the unit consists of at least one module that is switched locally before the data usage area, - that the module derives from the data arriving at a port partial data and that delivers them to a separate port, that another module reads the provided partial data from the separate port and examines it for at least one predefined message, that the message-examining module, upon finding the message or messages, the sub-data-providing module for providing all others Data on the separate port requests, in which case the sub-data providing module provides all other data on the separate port, - that the message-scanning module decrypt the data found, found from the data at least one checksum or hash value, at least one hash value for found message or found messages - or checksum comparison between calculated and the data stream containing checksum or contained hash value and based on the comparison result or the comparison results detects the infection of the data, - that the messages under for uninfected data, the data unencrypted or encrypted provides the data to a separate port, that the sub-data providing module or another module reads the uninfected data provided by the message-scanning module from the separate port and outputs it via another port; - If, in the absence of the predefined message or messages by the module examining messages, the subdata providing module or another module checks all incoming data for infection, cleans the data upon infection and outputs the cleaned or uninfected data to a separate port.

Description

Translated fromGerman

Die vorliegende Erfindung betrifft ein Verfahren zum Echtzeitvirenschutz unverschlüsselter und verschlüsselter Daten.The present invention relates to a method for real-time virus protection of unencrypted and encrypted data.

Bekannte technische Lösungen wie z. B. McAfee basieren auf im eigenen PC implementierter Scannersoftware. Des Weiteren gibt es Virenschutz außerhalb des eigenen PC, den so genannten Online-Virenschutz. Ein Vertreter dieser Schutzart ist SaferSurf.com. SaferSurf.com bietet eine Dienstleistung im Internet an, die den PC schon beim Surfen und Mailen vor dem Infizieren schützt. Anforderungen des den Dienst in Anspruch nehmenden PC und Daten die aus dem Internet abgefragt werden, werden zum Dienstanbieter umgelenkt. Dort werden die Daten in Echtzeit auf Viren, Würmern, Trojanern, Spyware und Dialer untersucht und gesäubert.Known technical solutions such. B. McAfee are based on scanner software implemented in their own PC. Furthermore, there is virus protection outside of your own PC, the so-called online virus protection. A representative of this type of protection is SaferSurf.com. SaferSurf.com offers a service on the Internet that protects your PC from being infected while surfing and mailing. Requirements of the PC using the service and data requested from the Internet are redirected to the service provider. There, the data is examined and cleaned in real time for viruses, worms, Trojans, spyware and dialers.

Danach werden sie dem anfordernden PC zugesandt. Der Vorteil dieser Lösung zur Scannersoftware McAffee ist, dass ein aktueller Schutz ohne Installation und Pflege einer Anti-Virensoftware vorhanden ist. Ein Nachteil dieser Lösung besteht darin, dass Viren in codierten Daten nur durch Dekodierung erkannt werden können. Alle Daten liegen dem Dienstanbieter vor und sind somit beim Dienstanbieter abhörbar.After that, they will be sent to the requesting PC. The advantage of this McAffee scanner software solution is that it provides up-to-date protection without the installation and maintenance of antivirus software. A disadvantage of this solution is that viruses in coded data can only be recognized by decoding. All data are available to the service provider and are therefore audible to the service provider.

InDE60010220T2 sind ein Verfahren und eine Vorrichtung zur Erzeugung und Verwendung eines virenfreien Dateizertifikats beschrieben. Vom Client-Arbeitsplatzrechner benötigte Dateien sind in Verbindung mit je einem zugeordneten Zertifikat auf einem Web-/Dateiserver gespeichert. Das zugeordnete Zertifikat signalisiert die Virusfreiheit einer geprüften Datei und wird von einem Virusfrei-Zertifizierungsstellenserver bei Anforderung durch den Dateiserver bereitgestellt.In DE60010220T2 For example, a method and apparatus for creating and using a virus-free file certificate is described. Files required by the client workstation are stored in association with each associated certificate on a web / file server. The associated certificate signals virus freedom of a validated file and is provided by a virus-free certification authority server when requested by the file server.

Der Client-Arbeitsplatzrechner lädt Datei und zugeordnetes Zertifikat in ein Verzeichnis und veranlasst die Datei-Virusprüfung. Das dabei verwendete Anti-Virus-Programm prüft anhand des Zertifikats die Virusfreiheit der Datei.The client workstation loads the file and associated certificate into a directory and initiates file virus scanning. The used anti-virus program uses the certificate to check the virus freedom of the file.

DruckschriftDE60303753T2 offenbart ein Verfahren und ein System zum Erkennen von Schadcode in Computerdateien anhand von alten und neuen Hashwerten. Das System enthält ein Selektionsmodul, Hash-Generator und eine Datenbank. Zwecks Erkennung eines Virus kommuniziert das Selektionsmodul mit Hash-Generator und Datenbank, um den neuen Hashwert eines kritischen Zielbereiches zu erhalten und vergleicht diesen mit dem voran ermittelten Hashwert des gleichen kritischen Zielbereiches.pamphlet DE60303753T2 discloses a method and system for detecting malicious code in computer files based on old and new hash values. The system contains a selection module, hash generator and a database. In order to detect a virus, the selection module communicates with hash generator and database to obtain the new hash value of a critical target area and compares this with the previously determined hash value of the same critical target area.

AusDE69407812T2 sind weiterhin „ein Verfahren und eine Vorrichtung zum Überprüfen der Gültigkeit von Daten in einem Datenverarbeitungsnetzwerk bekannt.” Im Einzelnen prüft das Verfahren zum einen Daten auf Viren und zum anderen die Autorisierung der Datenverwendung im jeweiligen Netzwerk.Out DE69407812T2 Furthermore, "a method and a device for verifying the validity of data in a data processing network known." In detail, the method checks on the one hand data on viruses and on the other hand, the authorization of the data usage in the respective network.

Eine Workstation berechnet eine Datei-charakteristische verschlüsselte Prüfsumme und vergleicht diese mit gespeicherten Prüfsummen, um die Datengültigkeit (Virenfreiheit) zu prüfen.A workstation computes a file-characteristic encrypted checksum and compares this with stored checksums to verify data validity (virus-free).

US5983348A bezieht sich auf einen Java-Applet-Scanner in Form eines HTTP-Proxy-Servers, der statische Scanüberwachung und Laufzeitüberwachung beim Scannen kombiniert, um bösartigen Schadcode aufzuspüren. Zum dynamischen Aufspüren des Schadcodes wird jeweils eine Vorfilterung bzw. ein Postfilterung durchgeführt. US5983348A refers to a Java proxy HTTP proxy server that combines static scan monitoring and runtime scanning scanning to detect malicious malicious code. For the dynamic detection of the malicious code, a prefiltering or a postfiltering is carried out in each case.

Ein Malware-Erkennungssystem ist aus der DruckschriftUS7257842B2 bekannt.A malware detection system is from the publication US7257842B2 known.

Die Identifizierung von Malware mit Computerviren, Würmern, Trojanern oder anderen Schadbestandteilen wird anhand von Dateinamen, Dateigrößen und Speicherorten sowie Prüfsummen durchgeführt. Bei Unkorrektheit der zugeordneten Prüfsumme wird ein Virenscan ausgeführt sonst nicht.The identification of malware with computer viruses, worms, Trojans or other malicious components is performed on the basis of file names, file sizes and storage locations as well as checksums. If the assigned checksum is incorrect, a virus scan will be executed otherwise.

All diese Lösungen besitzen den schon benannten Nachteil, dass Viren in codierten Daten nur durch Dekodierung erkannt werden können. Um dekodieren zu können, müssen auch die Schlüssel beim Dienstanbieter vorliegen.All of these solutions have the already mentioned disadvantage that viruses in coded data can only be recognized by decoding. In order to be able to decode, the keys must also be available from the service provider.

Die Aufgabe der Erfindung besteht darin, ein lokal agierendes Echtzeitvirenschutzverfahren zuschaffen, mit dem unverschlüsselte und verschlüsselte Daten auf Viren, Würmer, Trojaner, Dialer und Spyware ohne Preisgabe der Schlüssel an Dritten untersucht werden können. Ziel ist es, dass der PC-Nutzer von jeglichen Installationen und jeglicher Pflege einer Antivirensoftware befreit wird. Warnungen an den PC-Nutzer über Viren, Würmer, Trojaner u. a. m. sind somit überflüssig.The object of the invention is to provide a locally acting real-time virus protection method with which unencrypted and encrypted data on viruses, worms, Trojans, dialers and spyware can be examined without disclosing the keys to third parties. The goal is to free the PC user from any installation or maintenance of antivirus software. Warnings to PC users about viruses, worms, Trojans, etc. a. m. are therefore superfluous.

Erfindungsgemäß wird die Aufgabe durch die in den Ansprüchen dargestellte Lehre gelöst.According to the invention the object is achieved by the teaching presented in the claims.

Im Folgenden wird die Erfindung beispielhaft anhand der in den1 und2 dargestellten Einheiten4 und5 erläutert.1 zeigt eine Einheit4, bestehend aus den drei Modulen1,2 und3. Modul1 (embedded PC1) enthält mindestens die Ethernetschnittstellen1.1 und1.2, ein Port1.3, serielle Interface1.4, ein separaten Port2.1 und ein Switch1.5. Das Modul2 (embedded PC2) beinhaltet mindestens ein separaten Port2.1 und ein separaten Port2.3. Das Modul3 (embedded PC3) enthält mindestens die Ethernetschnittstellen3.1 und3.2, ein Port1.3, serielle Interface3.4, ein separaten Port2.3 und ein Switch3.3. Modul1 und Modul3 stehen über ihre Ports1.3 in Verbindung. Modul1 und Modul2 sind durch ihre Ports2.1 und über eine Steuerleitung2.2 verbunden. Modul2 und3 sind über ihre Ports2.3 und über eine Steuerleitung2.4 miteinander verschaltet.In the following, the invention will be described by way of example with reference to FIGS 1 and 2 representedunits 4 and 5 explained. 1 shows aunit 4 , consisting of the threemodules 1 . 2 and 3 , module 1 (embedded PC1) contains at least the Ethernet interfaces 1.1 and 1.2 , a port 1.3 , serial interface 1.4 , a separate port 2.1 and a switch 1.5 , The module 2 (embedded PC2) contains at least one separate port 2.1 and a separate port 2.3 , The module 3 (embedded PC3) contains at least the Ethernet interfaces 3.1 and 3.2 , a port 1.3 , serial interface 3.4 , a separate port 2.3 and a switch 3.3 ,module 1 andmodule 3 stand over their ports 1.3 in connection.module 1 andmodule 2 are through their ports 2.1 and via a control line 2.2 connected.module 2 and 3 are over their ports 2.3 and via a control line 2.4 interconnected with each other.

Werden Daten aus dem Internet geladen, so treffen die Daten am Ethernetport1.1 des Moduls1 ein. Aus den eintreffenden Daten entnimmt das Modul in der Regel erste Teildaten und stellt sie dem Modul am separaten Port2.1 für das Modul2 bereit. Modul2 liest die Teildaten an seinem Port2.1 und untersucht die Teildaten auf das Vorhandensein vordefinierter Nachrichten (Kennzeichen). Findet das Modul2 die vordefinierten Nachrichten, so fordert Modul2 das Modul1 zur Bereitstellung aller weiteren Daten am separaten Port2.1 auf. Das Modul1 stellt daraufhin alle weiteren Daten am separaten Port2.1 bereit. Modul2 liest alle bereitgestellte Daten am Port2.1 und entschlüsselt sie. Es berechnet mindestens eine Prüfsumme und vergleicht diese mit der entsprechenden Prüfsumme im Datenstrom. Vorteilhaft sind die Daten in Datenpakete gepackt, wobei jedes Datenpaket mit einer Datenpaketprüfsumme versehen ist. Ist einer der Prüfsummenvergleiche fehlerhaft, so werden die Daten als infiziert angesehen und verworfen. Bei nicht infizierten Daten stellt das Modul die Daten unverschlüsselt oder verschlüsselt an den separaten Port2.3 bereit. Modul3 entnimmt an seinem Port2.3 die bereitgestellten Daten und gibt sie über die Intranetschnittstelle3.1 oder über die Security Intranetschnittstelle3.2 oder über ein serielles Interface3.4 aus. Ein der seriellen Interface könnte eine USB-Schnittstelle sein, an der ein Massenspeicher angeschaltet ist.If data is loaded from the Internet, the data will hit the Ethernet port 1.1 of themodule 1 one. As a rule, the module extracts first partial data from the incoming data and places it on the separate port of the module 2.1 for themodule 2 ready.module 2 reads the part data at its port 2.1 and examines the partial data for the presence of predefined messages (indicator). Find themodule 2 the predefined messages, so module calls 2 themodule 1 to provide all other data on the separate port 2.1 on. Themodule 1 then sets all other data on the separate port 2.1 ready.module 2 reads all provided data at the port 2.1 and decrypt it. It calculates at least one checksum and compares them with the corresponding checksum in the data stream. Advantageously, the data is packed in data packets, each data packet being provided with a data packet checksum. If one of the checksum comparisons fails, the data is considered infected and discarded. For uninfected data, the module places the data unencrypted or encrypted on the separate port 2.3 ready.module 3 takes off at his port 2.3 the data provided and gives it via the intranet interface 3.1 or via the security intranet interface 3.2 or via a serial interface 3.4 out. One of the serial interfaces could be a USB interface to which a mass storage device is connected.

Findet das Modul2 in den ersten bereitgestellten Teildaten die vordefinierte Nachricht bzw. die vordefinierten Nachrichten nicht, so fordert Modul2 das Modul1 nicht zur weiteren Bereitstellungen von Daten auf. Daraufhin übernimmt das Modul1 oder das Modul3 die Prüfung der Daten auf Infizierung. Die Prüfung erfolgt mit Hilfe einer Scannersoftware anhand von Signaturen der Infizierungen. Die Scannersoftware und alle Signaturen werden von einem zentralen Dienstanbieter ohne Mitwirkung des Nutzers der Einheit4 über das Internet bereitgestellt.Find themodule 2 module does not request the predefined message or messages in the first partial data provided 2 themodule 1 not for further provision of data. Then the module takes over 1 or themodule 3 checking the data for infection. The check is carried out with the help of a scanner software based on signatures of the infections. The scanner software and all signatures are provided by a central service provider without the involvement of the user of theunit 4 provided via the internet.

Unverschlüsselte Daten, die über das Intranet oder über ein serielles Interface in die Einheit4 eingelesen werden, werden von einem der Module1 und3 auf Infizierung geprüft, bei Infizierung von der Infizierung befreit und an dem jeweilig separaten Port2.1 oder2.3 für das Modul2 bereitgestellt. Modul2 übernimmt die nicht infizierten Daten, packt die Daten in Datenpakete, bestimmt deren Prüfsummen, integriert diese in die Datenpakete, verschlüsselt diese Datenpakete und fügt mindestens eine Nachricht (Kennzeichen) hinzu. Die mit mindestens einer Nachricht versehenen, verschlüsselten Daten werden vom Modul an einen der separaten Ports2.3 oder2.1 bereitgestellt. Eines der Module3 oder1 liest die Daten vom Port2.3 oder2.1 und gibt diese über ein serielles Interface oder über den Intranetport oder über den Internetport aus. Werden die Daten von einem der Ports3.1,3.4,1.4 gelesen und werden die Daten an einem der Ports1.4,3.1,3.4 ausgegeben, so trennt das Modul2 über die Steuerleitung2.2 und dem Switch1.5 die Einheit4 vom Internet. Werden die Daten vom Port1.4 gelesen und am Port3.4 ausgegeben oder invers, so trennt das Modul2 über beide Steuerleitungen2.2,2.4 und beide Switch1.5,3.3 die Einheit4 von dem Internet und dem Intranet.Unencrypted data sent to the unit via the intranet or via aserial interface 4 are read by one of themodules 1 and 3 Checked for infection, free from infection in case of infection and at the respective separate port 2.1 or 2.3 for themodule 2 provided.module 2 Adopts the uninfected data, packs the data into data packets, determines their checksums, integrates them into the data packets, encrypts these data packets and adds at least one message (tag). The encrypted data provided with at least one message is sent from the module to one of the separate ports 2.3 or 2.1 provided. One of themodules 3 or 1 reads the data from the port 2.3 or 2.1 and outputs them via a serial interface or via the intranet port or the internet port. Will the data be from one of the ports 3.1 . 3.4 . 1.4 read and read the data on one of the ports 1.4 . 3.1 . 3.4 output, so the module disconnects 2 over the control line 2.2 and the switch 1.5 theunit 4 by the Internet. Will the data from the port 1.4 read and at the port 3.4 output or inverse, so the module disconnects 2 over both control lines 2.2 . 2.4 and both switch 1.5 . 3.3 theunit 4 from the internet and the intranet.

2 zeigt eine zweite Ausführungsvariante für die Realisierung des erfindungsgemäßen Verfahrens. Eine Einheit5 enthält mindestens die drei Ethernetschnittstellen5.1,5.3,5.4, eine optionale Ethernetschnittstelle5.2, die zwei Switch5.5,5.6, ein Modul2 und ein Modul6. Das Modul2 (embedded PC2) beinhaltet mindestens ein separaten Port2.1 und ein separaten Port2.3. Das Modul6 (embedded PC6) enthält mindestens die Ethernetschnittstellen6.1,6.2, serielle Interface6.3, ein separaten Port2.1 und ein separaten Port2.3. Modul2 und6 sind über die separaten Ports2.1 und2.3 miteinander verbunden. Über die Steuerleitungen2.2 und2.4 werden die Switch5.5 und5.6 gesteuert. 2 shows a second embodiment variant for the realization of the method according to the invention. One unity 5 Contains at least the three Ethernet interfaces 5.1 . 5.3 . 5.4 , an optional Ethernet interface 5.2 that two switch 5.5 . 5.6 , amodule 2 and amodule 6 , The module 2 (embedded PC2) contains at least one separate port 2.1 and a separate port 2.3 , The module 6 (embedded PC6) contains at least the Ethernet interfaces 6.1 . 6.2 , serial interface 6.3 , a separate port 2.1 and a separate port 2.3 ,module 2 and 6 are over the separate ports 2.1 and 2.3 connected with each other. About the control lines 2.2 and 2.4 become the switch 5.5 and 5.6 controlled.

Die Abläufe der Infizierungsprüfung durch die Module2 und6 entsprechen den, in der ersten Ausführungsvariante, dargestellten Abläufen zur Infizierungsprüfung, wobei die Aufgaben der Module1 und3 durch das Modul6 vollständig übernommen werden. Die Abläufe von Modul2 der zweiten Ausführungsvariante (2) stimmen vollständig mit den Abläufen des Moduls2 der ersten Ausführungsvariante (1) überein.The processes of the infection test by themodules 2 and 6 correspond to the, in the first embodiment variant, shown procedures for Infizierungsprüfung, the tasks of themodules 1 and 3 through themodule 6 be completely taken over. The processes ofModul 2 the second embodiment ( 2 ) completely agree with the procedures of themodule 2 the first embodiment ( 1 ) match.

Mit den beschriebenen Verschaltungsmöglichkeiten kann das Infizieren über tragbare Datenträger ebenfalls verhindert werden, so dass ein am Intranet angeschlossener ungeschützter PC durch die Einheit4 oder5 vor Ansteckung geschützt ist.With the described Verschaltungsmöglichkeiten infection via portable data carriers can also be prevented, so that connected to the intranet unprotected PC through theunit 4 or 5 protected against infection.

Die Implementierung des Scannmechanismus in die Einheit4 oder5 und die ständigen automatischen Aktualisierungen der Virensignaturen stellen einen wirksamen laientauglichen Schutz dar. Spezialisten der Dienstanbieter pflegen rund um die Uhr den Scannmechanismus. Die Einheit4 oder die Einheit5 schützt den Heimcomputer vor Viren, Würmer, Trojaner, Spyware und Dialer bevor sie ihn erreichen. Dieser Schutz wird erlangt, ohne dass die Daten zum Dienstanbieter gesandt werden müssen. Damit erhält der Dienstanbieter keinerlei Kenntnis über den Inhalt der Daten. Das Übertragen der Virenschutzfunktion auf eine der Einheiten4 oder5 löst gleichzeitig die Probleme herkömmlicher Antivirensoftware bei zeitkritischen Anwendungen bzw. Datenbankanwendungen im angeschlossenen Computer.The implementation of the scanning mechanism in theunit 4 or 5 and the constant automatic updates of the virus signatures represent effective protection suitable for the laity. Specialists of the service providers maintain the scanning mechanism around the clock. Theunit 4 or the unit 5 protects the home computer from viruses, worms, trojans, spyware and dialers before they reach it. This protection is obtained without the data having to be sent to the service provider. This gives the service provider no knowledge of the content of the data. Transferring the anti-virus function to one of theunits 4 or 5 simultaneously solves the problems of traditional antivirus software in time-critical applications or database applications in the connected computer.

Claims

Translated fromGerman

Verfahren zum Echtzeitvirenschutz unverschlüsselter und verschlüsselter Daten, bei dem Scannersoftware auf der Basis bekannter Virensignaturen eingesetzt werden, istdadurch gekennzeichnet, – dass eine Einheit unverschlüsselte Daten vor der Verschlüsselung auf Infizierung prüft, bei Infizierung die Daten säubert, die nicht infizierten Daten in Datenpakete zerlegt, dessen Hashwerte oder Prüfsummen bildet, diese den Datenpaketen zuordnet, sie anschließend verschlüsselt sowie mit mindestens einer Nachricht verknüpft, – dass die Einheit verschlüsselte Daten anhand der Nachricht oder der Nachrichten erkennt, daraufhin die Daten entschlüsselt, Hashwerte oder Prüfsummen errechnet, diese mit den übertragenen Hashwerten oder Prüfsummen vergleicht und anhand dessen auf Infizierung entscheidet, – dass die Einheit aus mindestens einem Modul besteht, das lokal vor dem Datennutzungsbereich geschaltet ist, – dass das Modul aus den an einem Port eintreffenden Daten Teildaten herausschneidet und diese an einen separaten Port bereitstellt, – dass ein anderes Modul die bereitgestellten Teildaten vom separaten Port liest und sie nach mindestens einer vordefinierten Nachricht untersucht, – dass das Nachrichten untersuchende Modul beim Vorfinden der Nachricht oder Nachrichten das Teildaten bereitstellende Modul zur Bereitstellung aller weiteren Daten am separaten Port auffordert, wobei daraufhin das Teildaten bereitstellende Modul alle weiteren Daten am separaten Port bereitstellt, – dass das Nachrichten untersuchende Modul bei vorgefundener Nachricht oder vorgefundenen Nachrichten die Daten entschlüsselt, aus den Daten mindestens eine Prüfsumme oder einen Hashwert berechnet, mindestens einen Hashwert- oder Prüfsummenvergleich zwischen berechneter und dem Datenstrom enthaltender Prüfsumme oder enthaltenen Hashwert vornimmt und anhand des Vergleichsergebnisses bzw. der Vergleichsergebnisse die Infizierung der Daten erkennt, – dass das Nachrichten untersuchende Modul bei nicht infizierten Daten die Daten unverschlüsselt oder verschlüsselt an ein separaten Port bereitstellt, – dass das Teildaten bereitstellende Modul oder ein weiteres Modul die, vom Nachrichten untersuchenden Modul bereitgestellten, nicht infizierte Daten vom separaten Port liest und diese über ein weiteren Port ausgibt, – dass beim Nichtvorfinden der vordefinierten Nachricht oder Nachrichten durch das Nachrichten untersuchende Modul das Teildaten bereitstellende Modul oder ein weiteres Modul alle eintreffende Daten auf Infizierung überprüft, bei Infizierung die Daten säubert und die gesäuberten oder nicht infizierten Daten an ein separaten Port ausgibt.A method for real-time virus protection of unencrypted and encrypted data, in which scanner software based on known virus signatures are used, ischaracterized in that - a unit checks unencrypted data for infection before encryption, cleans the data during infection, breaks down the uninfected data into data packets, whose hash values or checksums are formed, these are then assigned to the data packets, then encrypted and linked to at least one message, - the unit recognizes encrypted data based on the message or messages, then decrypts the data, calculates hashes or checksums, these with the transmitted hash values or checksums and on the basis of which it decides on infection - that the unit consists of at least one module that is switched locally before the data usage area, - that the module derives from the data arriving at a port partial data and that delivers them to a separate port, that another module reads the provided partial data from the separate port and examines it for at least one predefined message, that the message-examining module, upon finding the message or messages, the sub-data-providing module for providing all others Data on the separate port requests, in which case the sub-data providing module provides all other data on the separate port, - that the message-scanning module decrypt the data found in the message or found messages from the data computes at least one checksum or hash value, at least one hash value - or checksum comparison between calculated and the data stream containing checksum or contained hash value and based on the comparison result or the comparison results detects the infection of the data, - that the messages under for uninfected data, the data unencrypted or encrypted provides the data to a separate port, that the sub-data providing module or another module reads the uninfected data provided by the message-scanning module from the separate port and outputs it via another port; - If, in the absence of the predefined message or messages by the module examining messages, the subdata providing module or another module checks all incoming data for infection, cleans the data upon infection and outputs the cleaned or uninfected data to a separate port.

Verfahren nach dem obigen Anspruchdadurch gekennzeichnet, – dass die an einem Port eines Moduls eintreffenden Daten unverschlüsselte Daten sind, die vom Modul auf Infizierungen geprüft, bei Infizierung durch das Modul gesäubert, die gesäuberten oder nicht infizierten Daten an einem separaten Port für das Nachrichten untersuchende Modul bereitgestellt werden, – dass das Nachrichten untersuchende Modul die nicht infizierten und unverschlüsselten Daten vom separaten Port liest, eine oder mehrere Prüfsummen oder einen oder mehrere Hashwerte bildet, diese mit den Daten verschlüsselt, – dass das Nachrichten untersuchende Modul die verschlüsselten mit Prüfsumme oder Hashwerten versehenden Daten mit einer Nachricht oder mehreren Nachrichten versieht und die mit den Nachrichten versehenen verschlüsselten Daten an ein separaten Port bereitstellt, wo sie vom, auf Infizierungen, untersuchenden Modul oder einen weiteren Modul gelesen und über ein Port ausgegeben werden.A method according to the preceding claim,characterized in that - the data arriving at a port of a module is unencrypted data checked by the module for infections, cleaned on infection by the module, cleaned or uninfected data on a separate port for the message inspector Module - that the message-inspecting module reads the uninfected and unencrypted data from the separate port, forms one or more checksums or one or more hash values, encrypts them with the data, - that the message-examining module encrypted the hashes or hashes providing one or more messages to the providing data and providing the encrypted data provided with the messages to a separate port where they are read by, on infections, examining module or another module and output via a port.

Verfahren nach den obigen Ansprüchendadurch gekennzeichnet, dass die Nachrichten Anschriftdaten und/oder ein Datum und dessen Duplikat oder mehrere Daten und deren Duplikate sind.Method according to the above claims,characterized in that the messages are address data and / or a date and its duplicate or several data and their duplicates.

Verfahren nach den Ansprüchen 1 und 2dadurch gekennzeichnet, dass die Prüfung auf Infizierung der Daten anhand von Signaturen der Infizierungen erfolgt, die dem, die Infizierung, untersuchenden Modul von einem Dienstanbieter ohne Mitwirkung eines Nutzers zur Verfügung gestellt werden.Method according to claims 1 and 2,characterized in that the examination for infecting the data takes place on the basis of signatures of the infections which are made available to the, the infection, examining module of a service provider without the participation of a user.

Verfahren nach dem Anspruch 1dadurch gekennzeichnet, dass die eintreffenden Daten über ein Internetport in das Teildaten bereitstellende Modul eintritt, dass das Teildaten bereitstellende Modul oder das weitere Modul die am separaten Port gelesenen nicht infizierten Daten verschlüsselt oder unverschlüsselt über ein Intranetport oder über ein serielles Interface ausgibt.Method according to claim 1,characterized in that the incoming data via an Internet port enters the sub-data providing module, that the sub-data providing module or the further module encrypts the non-infected data read on the separate port or unencrypted via an intranet port or via a serial interface outputs.

Verfahren nach den Ansprüchen 1 und 2dadurch gekennzeichnet, dass die eintreffenden Daten über ein Intranetport oder über ein serielles Interface in das Teildaten bereitstellende Modul eintritt, dass das Teildaten bereitstellende Modul oder das weitere Modul die am separaten Port gelesenen nicht infizierten Daten verschlüsselt oder unverschlüsselt über ein Internetport oder über ein serielles Interface ausgibt.Method according to claims 1 and 2,characterized in that the incoming data via an intranet port or via a serial interface enters the sub-data providing module, that the sub-data providing module or the further module encrypts the non-infected data read on the separate port or unencrypted over an Internet port or via a serial interface outputs.

Verfahren nach den Ansprüchen 1 und 6dadurch gekennzeichnet, dass bei Ausgabe der nicht infizierten Daten über das serielle Interface die Einheit vor und während der Ausgabe vom Internet getrennt ist.Method according to Claims 1 and 6,characterized in that, when the uninfected data is output via the serial interface, the Unit is disconnected before and during the output from the Internet.