本发明涉及一种用于将至少两个数据通信网络互联的装置,该装置用于将有资格作为高安全性网络的第一网络与有资格作为低安全性网络的第二网络连接,该装置包括高安全性网络与低安全性网络之间的、被称为下行信道的单向信道,以及低安全性网络与高安全性网络之间的、被称为上行链路信道的单向信道。上行信道被配置成:根据低安全性网络或专用下载信道的至少一个预定数据模型,无论何时从低安全性网络发送至高安全性网络的上行链路数据流包括所有或部分预定数据模型时,例如向高安全性网络发送返回信号,该返回信号与上行链路数据流的传送连带地被传送的,或者是在完成向高安全性网络传送上行数据流之后被传送的。
用于将具有受控制的安全性的通信网络互连的装置
技术领域
[0001] 本发明涉及一种安全互联装置,该安全互联装置使得两个通信网络——第一高安全网络和第二网络——之间能够进行双向通信,其中,第二网络的安全性低于第一网络的安全性。这样的装置可以尤其用于以太网(ETHERNET)网络,以太网帧在其中递送的网络。
背景技术
[0002] 图1示出了一种系统的总体架构,该系统包括用于将第一网络11与第二网络12连接的互联装置10。这两个网络11、12具有不同的安全性级别。
[0003] 网络是指实际的通信网络和可以彼此通信的一组被连接的装置。
[0004] 安全性级别是指对网络设定的一组操作规则和限制,用于确保只有被授权的数据流才能经由该网络进行传送。
[0005] 当具有不同级别安全性的网络彼此通信时,有必要确保高安全性网络不会被来自低安全性网络的攻击或不稳定操作所破坏。
[0006] 在一些需要高级别安全性的情况下,这种保证必定是非常强大或者甚至是绝对的。
[0007] 在航空电子设备的情况下,这是特别必要的,其中,用于对飞行器的控制单元进行连接的数据网络在飞行阶段必须绝对提供非常高级别的安全性。
[0008] 然而,将该高安全性网络与较低安全性网络连接是有利的,尤其是,在飞行器的维护阶段期间对飞行的不同参数的数据恢复方面是有利的。
[0009] 此外,通过乘客网络提供与飞行有关的以及飞行期间的实时信息是有利的。
[0010] 众所周知,可以在具有不同级别安全性的两个网络之间构建单向网关。在这种情况下,网关授权将来自高安全性网络的数据传送至低安全性网络。例如,甚至可以通过诸如文献EP 1 533 947 B1中所描述的二极管来保证物理层通信处的单向方面。
[0011] 这种类型的网关确保不传递来自低安全性网络的数据并连累高安全性网络。
[0012] 然而,为了使能一些应用的操作,可以证明需要将来自低安全性网络的信息传送至高安全性网络。这些有时可以是简单的指令。
[0013] 在从高安全性网络向低安全性网络递送数据期间,具有数据流控制机制是有利的。该数据流控制需要能够向递送源返回信息并且因此从低安全性网络返回至高安全性网络。
[0014] 然而,优选地是将安全性级别维持在非常高的等级。因此,应当维持对从低安全性网络返回至高安全性网络的信息的控制。这种控制确保了非常高级别的安全性。
[0015] 在这类型的情形中,通常是利用防火墙来设置网关。这些防火墙对网关上流通的数据的过滤进行组织。可以根据所使用的通信协议、通信中所涉及的地址和端口号来实现这些过滤的实例。
[0016] 然而,这样的防火墙所带来的安全性级别在对安全性的需求非常高的情况下并不是足够高。
[0017] 能够提高这样的网关的安全性级别以确保安全性级别接近于单向网关所带来的安全性级别,将是有利的。
发明内容
[0018] 本发明响应于这个需求,并且根据第一方面,提出了一种至少两个数据通信网络的互联装置,该装置用于将有资格作为高安全性网络的第一网络与有资格作为低安全性网络的至少一个第二网络连接,该装置包括:
[0019] 所述高安全性网络与所述低安全性网络之间的被称为下行链路信道的单向信道;
[0020] 所述低安全性网络与所述高安全性网络之间的被称为上行链路信道的单向信道,所述上行链路信道被配置成:根据源自所述低安全性网络或专用下载信道的提前预定的至少一个数据模型,在源自所述低安全性网络去往所述高安全性网络的上行链路数据流包括所有或部分所预定的数据模型时,将返回信号传送至所述高安全性网络,所述返回信号是与所述上行链路数据流的传送连带地被传送的、或者是在完成所述上行链路流至所述高安全性网络的传送时被传送的。
[0021] 本发明有利地由下列特征来实现,采用单一的特征或者通过这些特征的任何技术上可能的组合来实现。
[0022] 所述数据流包括一连串数据包,每个数据包包括多个数据字段,所述上行链路信道被配置成在源自所述低安全性网络的上行链路数据流中检测遵照参考数据模型的一组数据的检测步骤。
[0023] 所述上行链路信道还被配置成:当源自所述低安全性网络去往所述高安全性网络的上行链路数据流包括所有或部分所预定的数据模型时,执行对返回信号至所述高安全性网络的传送进行触发的触发步骤。
[0024] 所述参考数据模型属于一组至少一个参考数据模型,这组至少一个参考数据模型中的每个参考数据模型与同所检测到的参考数据模型相关联的返回流相对应。
[0025] 所述参考数据模型的尺寸大于或等于所述返回流的尺寸。
[0026] 所述上行链路信道还被配置成执行从源自所述低安全性网络的数据流中构建返回流的构建步骤,所述构建包括从来自所述上行链路数据流的数据中提取一部分数据,所述返回流是因此而被构建的信号。
[0027] 所述上行链路信道被配置成执行从源自所述高安全性网络的数据流中构建参考数据模型的构建步骤。
[0028] 所述上行链路信道被配置成对所述上行链路数据流的完整性执行验证。
[0029] 数据流的完整性的验证是在所述上行链路数据流的传送期间进行的。
[0030] 所述上行链路信道被配置成:如果所述上行链路流不正确,则将所述上行链路流的一部分传送至所述高安全性网络,用于在所述上行链路流的帧中插入指示,所述指示用于指示所述上行链路流不正确。
[0031] 如果所述上行链路流不包括CRC的自动插入,则所述低安全性网络被配置成:制定CRC,使得目的在于所述安全网络的所述上行链路流是正确的。
[0032] 所述下行链路包括有资格保证所述下行链路的单向特性的模块,所述模块优选地为二极管。
[0033] 在下列步骤之后执行从源自所述高安全性网络的数据流中构建参考数据模型的构建步骤:
[0034] 在源自所述高安全性网络的数据流中检测遵照初始化数据流的一组数据;以及[0035] 对源自所述高安全性网络的、通过这种方式检测的数据流的完整性进行验证;以及
[0036] 从源自所述高安全性网络或源自所述专用下载信道的数据流中构建所述参考数据模型。
[0037] 本发明还涉及一种包括多个根据本发明的装置的组件,所述组件包括同一专用信道,所述专用信道用于将所述参考数据模型引导至每个装置的每个上行链路信道。
[0038] 本发明还涉及包括多个根据本发明的装置的组件,所述组件被布置成首尾相连,并且具有独立于所述上行链路流和所述下行链路流的专用配置链路。
[0039] 根据第二方面,本发明涉及一种包括多个根据本发明的第一方面的装置的组件,该组件包括同一专用信道,所述专用信道用于将所述参考数据模型引导至每个装置的每个上行链路信道。
[0040] 根据第三方面,本发明涉及一种组件,该组件包括多个根据本发明的第一方面的装置,并且该组件被放置成首尾相连并且具有独立于上行链路流和下行链路流的专用配置链路。
[0041] 可以只通过硬件来实现本发明,即,无需处理器,因为不需要软件来增强安全性。实现是进行端到端的控制的。
[0042] 本发明特别是基于在上行链路数据流的每个数据包的开始处所预期的参考模型的识别、接着是返回信号的构件步骤,然后进行返回信号的传送。
[0043] 特别地,返回信号的构建是动态的。返回信号可以包括静态数据和/或直接来自低安全性网络所发送的上行数据流的数据,这些数据的比例是灵活的以确保传递多种协议或者适用于不同级别的安全性。
[0044] 因此,相对于背景技术中的各技术,特别是文献FR 2 922 705中所描述的技术,不通过专用低速率内部信道来传递数据。
附图说明
[0045] 根据下面的描述,本发明的其他特征、目的及优点将显现出来,下面的描述纯粹是说明性而非限制性的,并且必须针对附图来考虑下面的描述,在除了已经讨论过的图1以外的附图中:
[0046] 图2示意性地示出了根据本发明的第一方面的互连装置;
[0047] 图3示意性地示出了根据本发明的用于控制互连装置中的数据流的传输的方法的第一实施例;
[0048] 图4示意性地示出了根据本发明的用于对互连装置中的数据流的传输进行控制的方法的第二实施例;
[0049] 图5示意性地示出了根据本发明的用于对互连装置中的数据流的传输进行控制的方法的第三实施例;
[0050] 图6示意性地示出了根据本发明的用于对互连装置中的数据流的传输进行控制的方法的第四实施例;
[0051] 图7示意性地示出了根据本发明的第二方面的组件;以及
[0052] 图8示意性地示出了根据本发明的第三方面的组件。
[0053] 在所有的附图中,类似的要素具有相同的参考标号。
具体实施方式
[0054] 图2示出了至少两个数据通信网络的互连装置20,该互连装置20用于将有资格作为高安全性网络的第一网络11与有资格作为低安全性网络的至少一个第二网络12连接。
[0055] 这样的装置还包括与低安全性网络11的第一通信接口21以及与高安全性网络12的第二通信接口22。
[0056] 该互连装置还包括下行链路201,源自高安全性网络11的下行链路数据流F-DES试图通过该下行链路201传输至低安全性网络12。
[0057] 该互连装置还包括上行链路信道202,可以通过该上行链路信道202发送上行链路数据流F-ASC,并且上行链路数据流F-ASC可以触发返回信号SIG-RET至低安全性网络11的传送。可以根据上行链路数据流中的至少一个数据来启动该触发。
[0058] 下行链路数据流、上行链路数据流以及返回信号SIG-RET优选地包括按照以太网格式的数据包来组织的数据,这意味着CRC被自动地插入到包括各不同数据流的各帧中。
[0059] 通过这种方式,下行链路201被配置成使得高安全性网络11中的所有数据流能够传递到低安全性网络12。
[0060] 具体地,该下行链路包括有资格保证下行链路的单向特性的模块。这样的模块优选地类似于二极管类型的功能。
[0061] 此外,根据源自高安全性网络11或专用独立下载信道30的提前预定的至少一种数据模型F-REF(下文,引用为数据模型F-REF),上行链路信道202被配置成:当源自低安全性网络12去往高安全性网络11的上行链路数据流F-ASC包括所有或一部分预定数据模型F-REF时,将返回信号SIG-RET传送至高安全性网络11。返回信号SIG-RET可以与上行链路流F-ASC同时被传送,或者可以在完成上行链路数据流F-ASC之后完成传送。
[0062] 在一些特定的条件下,将启动返回信号SIG-RET至低安全性网络12的传送,所述条件将在如下方法的实施例中进行描述,该方法用于对上行链路信道202所执行的数据流的传送进行控制,该上行链路信道202被配置成执行下文所描述的与每个实施例有关的步骤。
[0063] 图3示出了用于对图2中的互连装置的上行链路信道202所执行的数据流的传送进行控制的方法的第一实施例。
[0064] 根据该第一实施例,在第一步骤DET-F-REF中,在源自低安全性网络12目的在于高安全性网络11的上行链路数据流F-ASC中检测遵照参考数据模型F-REF的一组数据。参考数据模型F-REF可以要么来自于高安全性网络要么来自于专用信道30。
[0065] 接下来,在第二步骤VER-CRC中,验证上行链路数据流F-ASC的完整性是否是标准的以避免传播完整性会不正确的内容。
[0066] 接下来,如果检测到遵照参考模型F-REF的一组数据并且如果上行链路数据流F-ASC是正确的,则在第三步骤DEC-EMI中,触发返回信号SIG-RET至高安全性网络11的传送,返回信号SIG-RET为预定的返回数据流F-RET。
[0067] 在该第一实施例中,返回信号独立于下行链路流F-DES和上行链路流F-ASC。
[0068] 此外,该返回数据流F-RET是预定的,因为该返回数据流F-RET遵照互联装置的存储器(未示出)中的预下载的一组数据。
[0069] 在该第一实施例中,在完成上行链路流F-ASC的传送时,传送返回信号SIG-RET。
[0070] 图4示出了第二实施例,根据该第二实施例,除了第一实施例的特征以外,参考数据模型F-REF还属于一组参考数据模型F-REF1、F-REF2、F-REF3、F-REF4,使得来自这些参考数据模型的参考数据模型被检测到DET-F-REFi,i=1,2,3,4或者更一般地,i=1,...,N,其中N为参考数据模型的数量,并且所检测的参考数据模型F-REFi的完整性被验证,检测和验证触发了返回信号SIG-RET的传送DEC-EMI,返回信号SIG-RET是与所检测到的参考数据模型相对应的预定数据流F-RETi。参考数据模型F-REFi可以要么来自于高安全性网络要么来自于专用信道30。
[0071] 根据该实施例,针对每个所存储的参考流,存储了预定的返回流F-RET。
[0072] 对于上文所述的第一实施例和第二实施例中的每个,参考模型的尺寸大于或等于返回流F-RET的尺寸,这在本质上导致沿着上行链路信道的速率降低。
[0073] 此外,上行链路信道202可以包括减速器(未示出),减速器限制上行链路信道上每个时间单位所传送的数据包的数量并且尤其限制返回信号SIG-RET的数据包的数量。这样的速率降低可以借助于单稳态设备、抽取装置或其他滑动窗口来进行。
[0074] 所得到的速率限制的优点在于第一高安全性网络11不会受到高于预定负载的压力。
[0075] 在该第二实施例中,在完成了上行链路数据流F-ASC的传送时,传送返回信号SIG-RET。
[0076] 图5示出了第三实施例,包括从源自低安全性网络12的上行链路数据流中构建返回流F-RET的构建步骤CONS-F-RET,该构建包括从来自上行链路数据流的数据中提取一部分数据,返回信号SIG-RET是因此而被构建的信号。
[0077] 此外,正如在第一实施例和第二实施例中那样,该方法包括步骤DET-F-REF,根据该步骤DET-F-REF,在源自低安全性网络12目的在于高安全性网络11的上行链路数据流F-ASC中检测遵照参考数据模型F-REF的一组数据。参考数据模型F-REF可以要么来自于高安全性网络要么来自于专用信道30。
[0078] 并且如果检测到遵照参考模型的一组数据,则触发返回信号SIG-RET至高安全性网络11的传送。
[0079] 返回流F-RET以及因此返回信号SIG-RET包括来自上行链路数据流的数据以及提前预定的数据F-INIT。因此,返回流包括静态数据和动态数据二者(因为,静态数据和动态数据取决于来自可能彼此不同的上行链路数据流的数据)。
[0080] 根据该实施例,可以在完成对上行链路数据流F-ASC的接收之后或者在传送上行链路流F-ASC时连带地传送返回信号SIG-RET。
[0081] 更确切地,参考数据模型F-REF包括一组信息,该组信息逐字节地限定根据上行链路流F-ASC即时作出(例如,划分出)返回流F-RET的方式。这表示在返回流F-RET上放置:
[0082] -静态数据F-INIT,其为参考数据模型F-REF的子集;
[0083] -或者来自上行链路流F-ASC的数据,该数据还可以是逐位掩蔽的以精细地选择可以被授权从非安全网络12返回至安全网络11的程度;
[0084] -或者在与即时制定的流有关的帧的尾部处自动插入(或不是自动插入)完整性校验字CRC。
[0085] 根据该实施例,在对上行链路流F-ASC和返回信号SIF-RET连带传送的情况下,在上行链路流F-ASC的传送期间计算CRC,并且即时进行数据流的完整性的验证VER-CRC。如果所验证的数据流是不正确的,当数据流的部分被接收时,可以在上行链路数据流的传送期间将表示流的不完整性的CRC插入到帧中以向高安全性网络表示所接收到的流是不正确的。
[0086] 有利地,如果CRC的自动添加被去激活并且相应的放置是由上行链路流F-ASC引起的,则非安全网络12将负责作出用于CRC的正确值,该CRC与动态地制定的整个返回数据流F-RET有关。为此,非安全网络12需要完全得知返回信号F-RET以及相应的静态数据F-INIT。在缺少这些信息的情况下,非安全网络12将无法提交对于安全网络11有效的上行链路流F-ASC。
[0087] 此外,如图4所示的第二实施例,参考数据模型F-REF可以属于一组参考数据模型F-REF1、F-REF2、F-REF3、F-REF4(未示出),返回流F-RETi还包括提前预定的数据F-INITi、一组参考数据模型中的参考数据模型F-REF。
[0088] 图6示出了遵照第三实施例的第四实施例,但是在第四实施例中,上行链路信道202还被配置成执行从源自高安全性网络11的数据流中构建该情况下的参考数据模型的构建步骤CONS-F-REF。
[0089] 有利地,此外,在下列步骤之后执行从源自高安全性网络11的数据流中构建参考流的构建步骤CONS-F-REF:
[0090] 在源自高安全性网络的数据流中检测遵照初始参考数据流F-REF0的一组数据;以及
[0091] 对具有已知类型的源自高安全性网络的、通过这种方式检测的初始参考数据流的完整性进行验证VER-CRC0。
[0092] 正如从图6明显得知的,当且仅当参考数据流F-REF0正确(即,具有正确的CRC)时,才可以执行参考流的构建步骤CONS-F-REF。
[0093] 此外,可以遵照该第四实施例构建多个参考流,并且正如第一实施例,返回流属于几个返回流的集合,返回流与参考流相对应。
[0094] 参考数据模型F-REFi可以要么来自于高安全性网络要么来自于专用信道30。
[0095] 根据第二方面,图7示出了一组互连装置,这组互连装置遵照本发明的第一方面并且可根据结合的第一实施例、第二实施例甚至第三实施例来进行操作,使得同一专用信道30向每个互连装置201、202、20N馈送参考数据模型F-REFi,n,其中n=1,N,并且i为参考数据模型的索引。
[0096] 根据第三实施例,图8示出了被布置成彼此首尾相连的一组两个互连装置20#1,20#2,这组互连装置遵照本发明的第一方面并且可根据遵照第一实施例、第二实施例甚至第三实施例的方法进行操作。根据该实施例,通过先前所描述的上行链路信道和下行链路信道来控制对高安全性网络11以及同样的低安全性网络12两者的访问。每个装置20#1、20#
2还包括用于引导参考数据模型F-REFi#1、F-REFi#2的专用信道30。这样的配置产生了用于沿着每个方向独立地提供受控安全性的组件。
