专利名称:具有增强的安全级别的双向网关的制作方法
技术领域:
本发明涉及一种安全网关,其允许两个通信网络、即第一个高安全性网络和安全 性较低的第二个网络之间的双向通信。
背景技术:
图1示出本发明所位于的系统的总体架构。网关(附图标记为1. 1)允许第一个 网络(附图标记为1. 2)与第二个网络(附图标记为1. 3)相连接。在本发明的上下文中, 这两个网络的安全级别是不相同的。在此使用术语“网络”来指代通信网络以及能够彼此通 信的所有所连接的设备。安全级别意指施加于网络的所有操作规则以及约束,以便确保只 有预期的数据流能够通过该网络传递,这些数据流在预期的设备之间传递,且这些数据流 不易被未经授权的设备捕获。当安全级别不同的网络彼此通信时,需要确保高安全性网络 不会遭到来自低安全性网络的攻击的破坏。在一些要求高安全级别的环境中,这种保证必 须是非常强的,或者甚至是绝对的。这种环境的一个例子涉及航空电子学,其中连接航空器 的控制设备的数据网绝对必须特别是在飞行过程中提供非常高的安全级别。然而,有利的 是将该高安全性网络与安全性较低的网络相连接,尤 其是以便在维护过程中恢复关于各种 飞行参数的数据。还有利的是在飞行过程中能够在乘客网络上提供关于飞行的实时信息。已知在安全级别不同的两个网络之间构造单向网关。在这种情况下,该网关允许 数据从高安全性网络向低安全性网络传送。单向侧可以甚至在通信的物理层上得到保证, 这例如通过使用在以公开号FR 2 862399公布的同一申请人的专利申请中所描述的二极 管来实现。这种类型的网关保证来自低安全性网络的攻击将不可能危及高安全性网络。然而,为了允许某些应用的运行,需要将来自低安全性网络的信息传输至高安全 性网络。该信息有时可能是简单的命令。还有利的是能够在从高安全性网络至低安全性网络的数据传送过程中具有可用 的流控制机制。流控制需要能够将信息发回至传送源,因此将信息从低安全性网络发回至 高安全性网络。然而,希望将安全级别维持在很高的级别。因此需要保证对从低安全性网 络返回至高安全性网络的信息的控制。这种控制保证非常高的安全级别。在这种情况下常规的是利用防火墙来产生网关。这些防火墙对通过网关传播的数 据的过滤进行组织。这些过滤是根据所使用的通信协议和通信中所涉及的端口地址和端口 号进行的。然而,这种防火墙所提供的安全级别在一些高安全性需求特殊高的环境下是不 够的。有利的是能够提高这种网关的安全级别以便能够保证接近于单向网关所提供的安全 级别的安全级别。
发明内容
本发明提出一种在高安全性通信网络和低安全性通信网络之间的具有增强的安 全级别的双向网关。为此,从低安全性网络至高安全性网络的返回路径包括低速链路。该 低速链路的物理层不同于高安全性网络与低安全性网络中所涉及的物理层。该低速链路具有根据与在高安全性网络和低安全性网络上所使用的链路层上所使用的协议不同的协议的链路层。有利地,该低速链路的链路层配备有保证数据的来源的鉴权协议。根据本发明的网关借助易于证明的简单机制提供高的安全级别。因此它可以被用 于具有必须通过解决方案供应商来保证的高安全约束的应用中。本发明涉及一种用于互连至少两个数据通信网络的设备(2. 1),其将被称为高安 全性网络的第一网络与至少一个被称为低安全性网络的第二网络相连接,包括与高安全 性网络的第一通信接口(2.11);与低安全性网络的第二通信接口(2.12);连接到第一接 口的路由模块(2.3);连接到第二接口的适配模块(2.8);在路由模块(2.3)与适配模块 (2. 8)之间的被称为下行链路路径的单向路径(2. 4,2. 6),用于将数据从路由模块(2. 3)传 送到适配模块(2.8);以及在适配模块(2.8)与路由模块(2.3)之间的被称为返回路径的 单向路径(2.5,2.7,2. 8),用于将数据从适配模块(2. 8)传送到路由模块(2. 3),第一接口 (2. 11)与第二接口(2. 12)之间的所有数据传送必定通过这两个单向路径。根据本发明的特定实施例,该设备还包括用于在物理层保证下行链路路径的单向 侧的装置(2.6)。根据本发明的特定实施例,该设备还包括用于相对于该设备的接口的速度降低返 回路径的至少一部分的速度的装置(2. 10),从而形成被称为低速链路的链路。根据本发明的特定实施例,该低速链路(2. 10)是串行链路。根据本发明的特定实施例,该设备包括在返回路径上的防火墙(2. 7),其过滤通过 返回路径传递的数据。根据本发明的特定实施例,该设备还包括装置(2. 8),用于根据与被用于该设备 的接口上的通信的通信协议不同的通信协议在低速链路的上游将通过返回路径所传输的 数据格式化;以及装置(2. 5),用于在低速链路的下游从根据所述与被用于该设备的接口 上的通信的通信协议不同的通信协议被格式化的数据中重构通过返回路径所传输的数据。根据本发明的特定实施例,所述与被用于该设备的接口上的通信的通信协议不同 的通信协议使用数据分组,该数据分组包括标识数据的类型的标签(3. 1),防火墙包括用于 根据被授权的标签的列表对分组进行过滤的装置。根据本发明的特定实施例,针对每个标签定义最大传输速率,防火墙(2. 7)包括 用于验证每个标签的分组的传输速率并且在该速率被超过的情况下丢弃给定标签的分组 的装置。根据本发明的特定实施例,针对该设备定义多种工作模式,被授权的标签的列表 取决于该设备的工作模式。根据本发明的特定实施例,通过返回路径传输的所有数据均通过非对称密钥机制 被密码签名,该设备还包括用于对数据源的身份进行验证的密码装置(2. 5)。根据本发明的特定实施例,通过返回路径传输的所有数据均通过非对称密钥机制 被密码加密,该设备还包括用于对所传输的数据进行解密的密码装置(2. 5)。本发明还涉及在根据权利要求10或者11所述的设备内的数据分组传输的流控制 方法,针对每个数据分组,该方法包括由路由模块传输该数据分组的步骤,包括-准备被称为Ok分组的签名分组的步骤;-准备被称为Ko分组的签名分组的步骤;
-在下行链路路径上将该数据分组以及Ok和Ko分组联合传输的步骤;以及由适配模块接收的步骤,包括-测试该数据分组的正确传输的步骤;-如果传输已经正确地进行,则在返回路径上传输Ok分组的步骤;-如果传输已经错误地进行,则在返回路径上传输Ko分组的步骤。根据本发明的特定实施例,该方法还包括在给定时间期间在返回路径上没有接 收到的情况下由路由模块在下行链路路径上周期性地传输被称为NOP的签名分组的步骤; 以及由适配模块在返回路径上传输任何在下行链路路径上接收到的NOP分组的步骤。
在阅读了示例实施例的下列描述之后,上述的本发明的特征以及其它特征将更清 楚地显现出来,所述描述结合附图给出,其中图1示出本发明所位于的系统的总体架构。图2示出本发明的一个示例实施例的架构。图3示出在本发明的该示例实施例中通过低速链路传递的数据分组的形式。图4示出本发明的该示例实施例的防火墙的运行。图5示出本发明的该示例实施例中确认机制的运行。
具体实施例方式在图2中示出了根据该示例实施例的网关的架构。网关2. 1包含附图标记为2. 2 的所谓的置信区域2. 2。这个置信区域提供与通信接口 2. 11相连接的高安全性网络的安全 级别。而低安全性网络连接到通信接口 2. 12。网关的这些外部通信接口 2. 11和2. 12都是 标准接口,比如根据IEEE (电气和电子工程师协会)的标准802. 3的以太网接口。这些接口 允许根据IP协议(由RFC791定义的因特网协议)的通信。该网关在置信区域中包括路由 模块(附图标记为2. 3),负责管理与高安全性网络的链路。这个路由模块与两个单向路径 相连接由来自高安全性网络并去往低安全性网络的数据业务所采用的所谓的下行链路路 径;和由来自低安全性网路并去往高安全性网络的数据业务所采用的所谓的返回路径。附 图标记为2. 8的适配模块构成低安全性网络2. 12与两个单向信道之间的链路。高安全性 网络和低安全性网络之间的所有数据业务必定通过这两个单向信道。不存在通过网关的数 据可以采用的任何其他路径。下行链路路径包括附图标记为2. 4并且被称为DMZ-out的路径管理模块。通过该 下行链路路径的数据优选地通过附图标记为2. 6的二极管,该二极管允许在物理层上保证 不会通过下行链路路径反向传送数据。利用这个二极管,下行链路路径的安全性是完整的。返回路径包括附图标记为2. 10并且被称为低速链路的特定通信链路。这个低速 链路2. 10允许适配模块2. 8和防火墙2. 7之间的通信,负责过滤通过该低速链路2. 10的 数据。一旦这些数据通过防火墙2. 7被过滤,这些数据就在被传输至路由模块2. 3以便传 输至高安全性网络之前由附图标记为2. 5并且被称为DMZ-in的第二路径管理模块进行处 理。如果必要,媒体阅读器2. 9可以被连接到这个路径管理模块DMZ-in。网关的安全性的一个方面来自下行链路通信与返回通信的物理分离。将通信分离为两个单向路径允许对两个路径上的通信的特定控制。事实上,来自高安全性网络的下行链路数据不需要全面控制,因为其被假设为安全的,而返回数据是需要全面控制以便限制 高安全性网络的破坏风险的可疑数据。我们已经观察到,下行链路路径有利地在物理层上通过防止返回信息的二极管被 保护。在这种有利的情况下,网关并且因此高安全性网络的安全级别将取决于对采用返回 路径的信息的控制的级别。因此被用于控制该返回路径的所有控制机制将限定能够通过网 关和其安全级别被使用的服务。用于管理低速链路2. 10和防火墙2. 7的机制有利地被实 施在同一个可编程逻辑电路上。返回路径的控制的一个方面涉及在适配模块2. 8和防火墙2. 7之间的所谓的低速 链路2. 10的性质。该链路被称为低速,因为其被构造为保证低数据传送速度。事实上,通 常大约每秒几千字节的低速使得任何所谓的强力攻击(包括通过网关的大量尝试以及因 此请求)变得不可能。串行链路优选地被用于实施低速链路2. 10,但是ARINC 429、CAN总 线或离散链路也可以被使用。这种串行链路在物理上并且以极简单的方式保证返回路径上 与高安全性和低安全性网络上所使用的速率相比降低的速度,其中所述高安全性和低安全 性网络通常在以太网物理链路上以大约每秒十兆或者甚至百兆字节的速度运行。因此,在 低速链路的最大速度与网关接口的速度之间,速度降低可以在1000和10000之间的因子。 返回路径的控制的这个方面因此涉及使用降低该返回路径的最大速度的物理装置。该低速链路的安全级别有利地通过通信协议中止机制来补充。为此,特定协议被 用在低速链路上。该协议通过该链路上游的适配模块2. 8和下游的路径管理模块DMZ-in 2. 5进行管理。根据这个协议,适配模块2. 8将所传输的数据格式化,而路径管理模块 DMZ-in将从根据该协议格式化的数据重构所传输的数据。防火墙仅仅根据这个协议过滤所 传输的数据,并且因此保证通过返回路径的任何数据与这个协议一致。因此不能根据常规 协议、例如IP (由RFC791定义的因特网协议)、UDP(由RFC768定义的用户数据报协议)或 TCP (由RFC793定义的传输控制协议)通过上行链路路径来传输数据。由于这种协议中止, 使攻击变得更困难。事实上,在低速链路上所使用的协议是未公开的(nondocumentS)并且 不可以从网关外部获得的协议,因为该低速链路连接网关的两个内部组件。在本发明的该示例实施例中,这种协议使用结构在图3中示出的分组传输。这些分组包括第一字段3. 1,其包含用于描述所传送的数据的类型的标签。一个标 签值对应于所发送的命令,另一个标签值对应于数据,另一个标签值可能对应于下面将描 述的流控制机制。可以使用其它类型。分组还包括字段3. 2,其包含所传送的数据。分组的 字段3. 3包括校验和,例如CRC (循环冗余校验),以便保证所传送的数据的完整性。由适配 模块2. 8准备分组,该适配模块尤其执行针对物理链路的转换、标签的通知、以及CRC的计 算。所传送的数据是由源准备的,然后该源利用鉴权机制对数据进行签名。这些分组包括 有用的数据/描述符对。这个描述符包含在链路的下游重构该数据将需要的信息。这是在 数据的情况下当数据对应于命令或存储指令时用于执行命令的协议信息。这些数据被签名 为来自于源,使得验证实体能够验证其来源并且放心地使用这些数据。因此,通过低速链路 所传送的数据对应于有用数据和相关的描述符,总体被签名并且可选地被加密。防火墙旨在确保仅根据该传送协议的分组通过该低速链路。由该防火墙执行的主 要动作在图4中被描述。在步骤4. 1的过程中,防火墙检验分组标签是被授权和已知的标签。例如,检验该标签形成被授权的标签的列表的部分。在可能的步骤4. 2的过程中,检验 对应于这一标签的分组的发送速率。在这种情况下,针对每种数据类型以及因此针对每个 标签定义最大传输速率。如果给定标签的分组接收速率超过固定阈值,那么分组被丢弃。这 种检验确保防止大量地发送给定标签的分组。这是防止对直接连接到低安全性网络的适配 模块的破坏的附加保护。在步骤4. 3的过程中,防火墙检验工作模式。在定义了几个工作 模式的情况下这一步骤被执行。某些数据类型以及因此某些标签在某些工作模式下可以被 禁止。典型地,在航空电子学中使用的情况下,地面模式和飞行模式被定义。只有当航空器 在地面并且因此网关处于地面模式时,某些数据类型才将被授权。这些相同的标签在飞行 模式中将被禁止。被授权的标签的列表因此可以取决于网关的工作模式。最后,在步骤4. 4 的过程中,防火墙通过检验校验和(典型地为CRC)来检验分组的完整性。
在通过防火墙之后,分组被传输至路径管理模块DMZ-in。这个模块DMZ_in负责这 些分组的解释、根据标签对这些分组的重构和鉴权机制的检验。如上所述,所传输的数据利 用一组非对称密钥进行签名。它们包含签名,其中模块DMZ-in可以利用所需的公共密钥和 该签名包含的证书来检验该签名。为了提高安全级别,需要任何通过上行链路信道传输的 数据通过非对称密钥鉴权机制进行签名。因此确保只有预期的并且被适当鉴权的参与者可 以向高安全性网络发送数据。优选地,数据还利用相同的证书进行加密。因此模块DMZ-in 确保签名被验证并且因此检验数据源的身份。当必须由适配模块将所发送的数据分割为几 个分组以便通过低速链路传输时,模块DMZ-in将被分割的数据进行重构。一旦它们已经被 重构以及其完整性和源已经通过数字签名的处理被验证,这些数据可以被递送至它们的接 收端以进行处理。如果数据被加密,则接收端将数据传输至模块DMZ-out以进行解密。事 实上,在所述实施例中,加密和解密通过模块DMZ-out中的加密装置、例如SIM卡(用户身 份模块)类型的加密装置来执行。这些装置包括私有密钥,该私有密钥允许模块DMZ-out 在将其接收的数据传输给二极管之前对该数据进行加密或者对由加密上行链路流接收端 所提供的数据进行解密。这种网关允许实施需要两个网络之间的交互的简单机制。因此可以向高安全性网 络发送数据。也可以发送用于触发在相反方向上发送数据的命令。低安全性网络上的客户端变得可以触发数据的发送并且选择其希望从高安全性 网络接收的数据。这些机制以受控制的方式由通过有限数目的机制被适当鉴权的参与者实 施。所有返回的数据均借用速度有限的信道,并且使用非标准协议来传递。根据这个非标 准协议的所有数据分组被专用防火墙过滤,该专用防火墙根据与各种数据类型有关的约束 实施适于该协议的过滤规则。这些约束可以包括传输速率、即特定类型的数据的速度、以及 网关的工作模式。特别是,可以实施对从高安全性网路向低安全性网络传递的数据的流控制。图5 示出了这种机制。为此,路径管理模块DMZ-out为每个所发送的数据分组准备能够由适配 模块返回给其的两个分组。这就是步骤5. 1,5. 2和5. 3。第一个分组被称为Ok分组并且将 意味着该数据分组被适配模块正确接收。第二个数据分组被称为Ko分组并且将意味着该 分组未被适配模块正确接收。已经观察到,任何分组都必须被适当地签名,以便被网关的返 回路径所接受。因此,Ok和Ko分组将由其在高安全性网络侧的发送器进行签名。这个发 送器可以是模块DMZ-out。在步骤5. 4的过程中,该数据分组与两个分组Ok和Ko —并被传输。当适配模块接收到该数据分组时,适配模块根据对数据分组传输的测试5. 5通过返回 路径返回(步骤5. 6和5. 7) Ok分组和Ko分组。因为这些数据分组被模块DMZ-out适当地 签名,因此这些数据分组毫无问题地通过在返回路径上进行的检验而不会被破坏。在接收 到Ko分组时,模块DMZ-out重传被错误接收的分组。在接收到Ok分组时,模块DMZ-out继 续传输下一分组。这种机制同样可以适用于通过发射窗的流控制,其中发射窗的大小根据 所接收到的Ok或Ko分组的类型进行适配。如果在一定时间内没有接收到响应,模块DMZ-out产生被称为NOP分组的分组。 该分组对应于与数据分组不相关的Ok分组。该分组通过下行链路路径被传输以便通过适 配模块被返回。在没有接收到所返回的分组的情况下,线路可以被认为是中断的。NOP分 组继续有规律地被传输,以便允许检测恢复正常。只要没有接收到所返回的NOP分组,就不 传输任何数据分组。在被返回传输给模块DMZ-out之前,这些Ok,Ko和NOP分组通过模块 DMZ-in进行解释和检验。有利地,在这些Ok,Ko和NOP分组中实施反重放机制。这种机制可以以序列号或 时间戳(英语timestamp)的形式在分组中被实施。这种反重放机制避免任何通过恶意返 回这些分组的攻击。
流控制机制不一定被应用于所有下行链路数据传送。特别是,可以根据所谓的“发 送_忘记”模式来进行少量数据的传送。在这种模式下,模块DMZ-out发送数据分组而不产 生Ok或Ko分组。这些分组不被存储,并且它们的正确传输不被验证。
权利要求
用于互连至少两个数据通信网络的设备(2.1),将被称为高安全性网络的第一网络与至少一个被称为低安全性网络的第二网络相连接,包括-与高安全性网络的第一通信接口(2.11);-与低安全性网络的第二通信接口(2.12);-连接到第一接口的路由模块(2.3);-连接到第二接口的适配模块(2.8);其特征在于,该设备还包括-在路由模块(2.3)与适配模块(2.8)之间的被称为下行链路路径的单向路径(2.4,2.6),用于将数据从路由模块(2.3)传送到适配模块(2.8);以及-在适配模块(2.8)与路由模块(2.3)之间的被称为返回路径的单向路径(2.5,2.7,2.8),用于将数据从适配模块(2.8)传送到路由模块(2.3),第一接口(2.11)与第二接口(2.12)之间的所有数据传送必定通过这两个单向路径,适配模块(2.8)构成这些单向路径与第二接口(2.12)之间的链路。
2.根据权利要求1所述的设备,其特征在于,该设备还包括用于在物理层保证下行链 路路径的单向侧的装置(2. 6)。
3.根据权利要求1或2所述的设备,其特征在于,该设备还包括用于与该设备的接口的 速度相比降低返回路径的至少一部分的速度的装置(2. 10),从而形成被称为低速链路的链 路。
4.根据权利要求3所述的设备,其特征在于,该低速链路(2.10)是串行链路。
5.根据权利要求1至4之一所述的设备,其特征在于,该设备包括在返回路径上的防火 墙(2. 7),用于过滤通过返回路径传递的数据。
6.根据权利要求3至5之一所述的设备,其特征在于,该设备还包括-装置(2. 8),用于根据与被用于该设备的接口上的通信的通信协议不同的通信协议 在低速链路的上游将通过返回路径所传输的数据格式化;-装置(2. 5),用于在低速链路的下游从根据与被用于该设备的接口上的通信的通信 协议不同的通信协议被格式化的数据中重构在返回路径上所传输的数据。
7.根据权利要求6所述的设备,其特征在于,所述与被用于该设备的接口上的通信的 通信协议不同的通信协议使用数据分组,该数据分组包括标识数据的类型的标签(3. 1),防 火墙包括用于根据被授权的标签的列表对分组进行过滤的装置。
8.根据权利要求7所述的设备,其特征在于,针对每个标签定义最大传输速率,防火墙 (2. 7)包括用于验证每个标签的分组的传输速率并且在该速率被超过的情况下丢弃给定标 签的分组的装置。
9.根据权利要求6所述的设备,其特征在于,针对该设备定义多种工作模式,被授权的 标签的列表取决于该设备的工作模式。
10.根据权利要求1至9之一所述的设备,其特征在于,通过返回路径所传输的所有数 据均通过非对称密钥机制被密码签名,该设备还包括用于对数据源的身份进行验证的密码 装置(2. 5)。
11.根据权利要求10所述的设备,其特征在于,通过返回路径所传输的所有数据均通 过非对称密钥机制被密码加密,该设备还包括用于对所传输的数据进行解密的密码装置(2. 5)。
12.在根据权利要求10或者11所述的设备内的数据分组传输的流控制方法,其特征在 于,针对每个数据分组,该方法包括以下步骤-由路由模块传输该数据分组的步骤,包括 -准备被称为Ok分组的签名分组的步骤; -准备被称为Ko分组的签名分组的步骤;-在下行链路路径上将该数据分组以及Ok和Ko分组联合传输的步骤; -由适配模块接收的步骤,包括 -测试该数据分组的正确传输的步骤; -如果传输已经正确地进行,则在返回路径上传输Ok分组的步骤; -如果传输已经错误地进行,则在返回路径上传输Ko分组的步骤。
13.根据权利要求12所述的流控制方法,其特征在于,该方法还包括-在给定时间期间在返回路径上没有接收的情况下由路由模块在下行链路路径上周期 性地传输被称为NOP的签名分组的步骤;-由适配模块在返回路径上传输任何在下行链路路径上接收到的NOP分组的步骤。
全文摘要
安全网关允许两个通信网络、即高安全性的第一网络和安全性较低的第二网络之间的双向通信。该网关是双向的,在高安全性通信网络和低安全性通信网络之间具有增强的安全级别。为此,从低安全性网络到高安全性网络的返回路径包括低速链路。该低速链路的物理层不同于高安全性网络与低安全性网络中所涉及的物理层。该低速链路具有根据与在高安全性网络和低安全性网络上所使用的链路层上所使用的协议不同的协议的链路层。有利地,该低速链路的链路层配备有保证数据的来源的鉴权协议。
文档编号H04L12/22GK101836422SQ200880112665
公开日2010年9月15日 申请日期2008年10月21日 优先权日2007年10月23日
发明者B·德克莱蒂, C·豪里 申请人:萨基姆国防安全公司