BR112020012821A2 - circuito integrado - Google Patents
circuito integrado Download PDFInfo
- Publication number
- BR112020012821A2 BR112020012821A2 BR112020012821-0A BR112020012821A BR112020012821A2 BR 112020012821 A2 BR112020012821 A2 BR 112020012821A2 BR 112020012821 A BR112020012821 A BR 112020012821A BR 112020012821 A2 BR112020012821 A2 BR 112020012821A2
- Authority
- BR
- Brazil
- Prior art keywords
- network interface
- interface processor
- data
- network
- integrated circuit
- Prior art date
Links
- 238000012546 transfer Methods 0.000 claims abstract description 26
- 238000004891 communication Methods 0.000 claims abstract description 25
- 230000002441 reversible effect Effects 0.000 claims abstract description 17
- 230000005540 biological transmission Effects 0.000 claims description 10
- 230000003287 optical effect Effects 0.000 claims description 6
- 230000001419 dependent effect Effects 0.000 claims 2
- 238000012545 processing Methods 0.000 abstract description 8
- 230000006870 function Effects 0.000 description 32
- 238000012795 verification Methods 0.000 description 15
- 238000005259 measurement Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000000034 method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Storage Device Security (AREA)
Abstract
Na visão geral, um circuito integrado de acordo com a divulgação compreende o primeiro e o segundo processadores de interface de rede que são processadores separados e que são conectados por uma primeira interconexão unidirecional. A primeira interconexão unidirecional permite a transferência de dados do primeiro processador de interface de rede para o segundo processador de interface de rede, enquanto impede a transferência de dados na direção reversa. O primeiro processador de interface de rede é para comunicação com uma primeira rede que pode ser uma rede segura e o segundo processador de interface de rede é para comunicação com a segunda rede que pode ser uma rede pública, por exemplo, uma rede pública insegura. Dessa maneira, o processamento dos dados recebidos de cada uma dentre a primeira e a segunda redes é realizado por processadores separados e os dados só podem ser enviados da primeira rede para a segunda rede, protegendo a primeira rede da segunda rede.
Description
[001] A presente divulgação se refere a um circuito integrado, em particular, a um circuito integrado que fornece comunicação segura entre duas redes, por exemplo, onde uma rede é uma rede segura e a outra é uma rede pública.
[002] Um grande desafio na Internet das Coisas (loT - internet of things) e outros tipos de segurança de rede é como conectar dispositivos e redes com segurança e proteger as operações nas redes que mantêm a funcionalidade. Em infraestruturas críticas, por exemplo, uma rede de tecnologia operacional segura (OT - operational technology), na qual os dados são encaminhados para uma rede insegura, como a Internet para processamento adicional de dados, o desafio é proteger a rede OT contra invasões originadas na rede pública. Um exemplo específico de uma rede OT é uma rede de sensores que fazem parte de um sistema de controle de uma estação de energia. Os dados gerados pelos sensores na rede de sensores do sistema de controle da estação de energia podem ser sensíveis, valiosos e/ou de missão crítica, de modo que a adulteração dos dados do sensor pode representar riscos de segurança. Os dados em si e as operações com dados produzidos por sensores na rede de sensores (como os mecanismos de autenticação) precisam ser protegidos contra ataques cibernéticos originados em uma rede insegura com a qual a rede dos sensores está em comunicação.
[003] As soluções atuais visam principalmente isolar redes fisicamente ou por meio de Redes de Áreas Locais Virtuais. No entanto, permanece o problema de que, em algum momento, as redes seguras e inseguras precisam se comunicar. Este é o ponto em que a rede segura é vulnerável a ataques cibernéticos originários da rede insegura. É necessária uma solução segura, econômica e escalável.
[004] Várias modalidades são agora descritas a título de exemplo para fins de explicação e ilustração, com referência aos desenhos anexos nos quais:
[005] A FIG. 1 ilustra um sistema de transmissão de dados que compreende uma primeira rede em comunicação com uma segunda rede através de um circuito integrado;
[006] A FIG. 2 ilustra um circuito integrado em mais detalhes; e
[007] A FIG. 3 ilustra uma área segura do circuito integrado em mais detalhes.
[008] Na visão geral, um circuito integrado de acordo com a divulgação compreende o primeiro e o segundo processadores de interface de rede que são processadores separados e que são conectados por uma primeira interconexão unidirecional. A primeira interconexão unidirecional permite a transferência de dados do primeiro processador de interface de rede para o segundo processador de interface de rede, enquanto impede a transferência de dados na direção reversa. O primeiro processador de interface de rede é para comunicação com uma primeira rede que pode ser uma rede segura e o segundo processador de interface de rede é para comunicação com a segunda rede que pode ser uma rede pública, por exemplo, uma rede pública insegura. Dessa forma, o processamento dos dados recebidos de cada uma dentre a primeira e a segunda redes é realizado por processadores separados e os dados só podem ser enviados da primeira rede para a segunda rede, protegendo assim a primeira rede da segunda rede.
[009] Em alguns aspectos da divulgação, é fornecido um circuito integrado. O circuito integrado compreende um primeiro processador de interface de rede para comunicação com uma primeira rede e um segundo processador de interface de rede para comunicação com uma segunda rede. O segundo processador de interface de rede é um processador separado do primeiro processador de interface de rede. Também é fornecida uma primeira interconexão unidirecional que conecta o primeiro e o segundo processadores de interface de rede. A primeira interconexão unidirecional é configurada para permitir a transferência de dados do primeiro processador de interface de rede para o segundo processador de interface de rede através da primeira interconexão unidirecional e para impedir a transferência de dados do segundo processador de interface de rede para o primeiro processador de interface de rede através da primeira interconexão unidirecional. O primeiro processador de interface de rede é configurado para transmitir dados para o segundo processador de interface de rede através da primeira interconexão unidirecional e o segundo processador de interface de rede é configurado para receber dados do primeiro processador de interface de rede através da primeira interconexão unidirecional.
[010] Vantajosamente, quando a primeira e a segunda redes estão respectivamente em comunicação com o primeiro processador de interface de rede e o segundo processador de interface de rede do circuito integrado, a primeira rede, que pode ser uma rede segura, é capaz de enviar dados para a segunda rede, que pode ser uma rede pública, de modo que a primeira rede não corra o risco de ataques originados na segunda rede, já que os dados da segunda rede não podem ser transmitidos para a primeira rede por meio da primeira interconexão unidirecional. Como tal, quaisquer dispositivos da primeira rede, como sensores, são protegidos da segunda rede pública pelo circuito integrado. O processamento da comunicação de rede é separado em um processador dedicado para cada uma das duas redes, os processadores sendo conectados pela primeira interconexão unidirecional, fornecendo segurança adicional. Além disso, o fornecimento dessa funcionalidade na forma de um circuito integrado é um mecanismo barato e escalável para permitir a comunicação segura de uma primeira para uma segunda rede.
[011] Em algumas modalidades, a primeira interconexão unidirecional pode compreender um primeiro diodo de dados configurado para permitir a transferência de dados do primeiro processador de interface de rede para o segundo processador de interface de rede através da primeira interconexão unidirecional e para impedir a transferência de dados do segundo processador de interface de rede para o primeiro processador de interface de rede através da primeira interconexão unidirecional. Em algumas modalidades, o primeiro diodo de dados pode ser um diodo óptico de dados. Um diodo de dados permite um "fluxo de dados em uma direção". Será bem entendido que um diodo óptico é um exemplo não limitativo e que um registro de hardware com as respectivas interfaces somente de leitura e somente de escrita, um barramento de hardware unidirecional ou um barramento de hardware unidirecional com interfaces somente de leitura escrava e somente de escrita mestre podem ser usados. Um diodo de dados também pode ser um ram de acesso duplo, com um lado limitado à função de escrita e outro lado limitado a uma função de leitura, e similares.
[012] Em algumas modalidades, a primeira interconexão unidirecional pode compreender adicionalmente um primeiro interruptor configurado para desativar a primeira interconexão unidirecional, de modo que nenhuma transferência de dados entre o primeiro processador de interface de rede e o segundo processador de interface de rede através da primeira interconexão unidirecional seja possível quando o primeiro interruptor está aberto. Vantajosamente, o fluxo de dados do primeiro processador de interface de rede para o segundo processador de interface de rede através da primeira interconexão unidirecional pode ser impedido através da operação do interruptor. Isso permite o controle total do fluxo de dados através da primeira interconexão unidirecional, pois a abertura do interruptor desabilita fisicamente a primeira interconexão unidirecional.
[013] Em algumas modalidades, o circuito integrado pode compreender adicionalmente uma área segura, por exemplo, uma raiz de confiança de hardware, configurada para controlar a operação do primeiro interruptor. Vantajosamente, o controle da primeira interconexão unidirecional é totalmente gerenciado pela área segura e a configuração do fluxo de dados entre a primeira e a segunda redes através da primeira interconexão unidirecional pode ser controlada com segurança.
[014] Em algumas modalidades, o circuito integrado pode ser configurado para gerar dados de autenticação para dados recebidos no primeiro processador de interface de rede da primeira rede. Vantajosamente, os dados recebidos no primeiro processador de interface de rede da primeira rede podem ser fornecidos com dados de autenticação associados, para que possam ser autenticados por um receptor, verificando os dados de autenticação, nos quais o receptor possui uma função de verificação apropriada. Por exemplo, uma função de autenticação pode ser usada para fornecer dados de autenticação e o receptor pode possuir uma função de verificação que pode ser usada para verificar os dados de autenticação, desse modo autenticando os dados aos quais os dados de autenticação estão associados. Dessa maneira, os dados produzidos pelas primeiras redes que não compreendem nenhum meio de fornecer dados de autenticação podem ser fornecidos com os dados de autenticação associados pelo circuito integrado, pelo qual os dados podem ser autenticados.
[015] Em algumas modalidades, o circuito integrado pode compreender adicionalmente uma segunda interconexão unidirecional que conecta o primeiro e o segundo processadores de interface de rede. A segunda interconexão unidirecional é configurada para permitir a transferência de dados do segundo processador de interface de rede para o primeiro processador de interface de rede através da segunda interconexão unidirecional e para impedir a transferência de dados do primeiro processador de interface de rede para o segundo processador de interface de rede através da segunda interconexão unidirecional. O segundo processador de interface de rede pode ser configurado para transmitir dados para o primeiro processador de interface de rede através da segunda interconexão unidirecional e o primeiro processador de interface de rede pode ser configurado para receber dados do segundo processador de interface de rede através da segunda interconexão unidirecional.
[016] Em algumas modalidades, a segunda interconexão unidirecional pode compreender um segundo diodo de dados configurado para permitir a transferência de dados do segundo processador de interface de rede para o primeiro processador de interface de rede através da segunda interconexão unidirecional e para impedir a transferência de dados do primeiro processador de interface de rede para o segundo processador de interface de rede através da segunda interconexão unidirecional. Em algumas modalidades, o segundo diodo de dados pode ser um diodo de dados óptico.
[017] Em algumas modalidades, a segunda interconexão unidirecional pode compreender adicionalmente um segundo interruptor configurado para desativar a segunda interconexão unidirecional, de modo que nenhuma transferência de dados entre o primeiro processador de interface de rede e o segundo processador de interface de rede através da segunda interconexão unidirecional seja possível quando o segundo interruptor é aberto. Em algumas modalidades, a área segura é configurada para controlar a operação do segundo interruptor.
[018] Vantajosamente, o fluxo de dados do segundo processador de interface de rede para o primeiro processador de interface de rede através da segunda interconexão unidirecional pode ser impedido através da operação do segundo interruptor. Isso permite o controle total do fluxo de dados através da primeira interconexão unidirecional, pois a abertura do interruptor desabilita fisicamente a primeira interconexão unidirecional.
[019] Em algumas modalidades, o circuito integrado pode ser configurado para permitir apenas a transmissão de dados de um tamanho predeterminado através da segunda interconexão unidirecional, por exemplo, o tamanho pode ser limitado ao tamanho de um ou mais sinais de reconhecimento ou reconhecimento negativo. A segunda interconexão unidirecional pode ser configurada para ter uma finalidade limitada muito específica. Por exemplo, apenas um único bit de dados confirmando que uma parte dos dados passados do primeiro processador de interface de rede para o segundo processador de interface de rede, através da primeira interconexão unidirecional, foi transmitida com sucesso, pode ser enviado na direção reversa através da segunda interconexão unidirecional. Isso tem aplicações quando o primeiro processador de interface de rede está conectado a uma rede segura e o segundo processador de interface de rede está conectado a uma rede pública insegura, pois a sinalização de reconhecimento é habilitada sem colocar nenhum risco na zona segura, pois apenas uma quantidade limitada de dados pode ser enviada de volta ao primeiro processador de interface de rede a partir do segundo processador de interface de rede. Qualquer dado potencialmente prejudicial provavelmente será de tamanho maior que um sinal de reconhecimento ou reconhecimento negativo, que pode ser da ordem de apenas alguns bits. Como tal, o risco de dados prejudiciais a serem transmitidos para a primeira rede segura é reduzido.
[020] Em algumas modalidades, a área segura pode ser configurada para controlar a operação do segundo interruptor. Vantajosamente, o controle da segunda interconexão unidirecional é totalmente gerenciado pela área segura e a configuração do fluxo de dados entre a primeira e a segunda redes através da segunda interconexão unidirecional pode ser controlada com segurança.
[021] Em algumas modalidades, o circuito integrado pode ser configurado para autenticar os dados recebidos no segundo processador de interface de rede da segunda rede, verificando os dados de autenticação associados aos dados recebidos. Os dados recebidos podem ser descriptografados pela segunda rede com o uso de uma chave emitida pela área segura. Vantajosamente, os dados recebidos no segundo processador de interface de rede podem ser autenticados com o uso dos dados de autenticação correspondentes, onde o circuito integrado possui a função de verificação apropriada. Em algumas modalidades, se os dados de autenticação não forem verificados com sucesso, o circuito integrado pode ser configurado para impedir que os dados associados sejam enviados para o primeiro processador de interface de rede a partir do segundo processador de interface. Vantajosamente, apenas os dados que foram autenticados com sucesso podem ser transmitidos do segundo processador de interface para o primeiro processador de interface.
[022] Em algumas modalidades, a área segura tem configuração específica de memória não reversível, de modo que, dependendo de sua configuração não reversível, a área segura força o(s) interruptor(es) em um bloqueio permanente e não reversível da direção. Os interruptores podem ser interruptores programáveis uma vez (OTP - one-time programmable) que podem ser travados na posição aberta ou fechada, após o que não é possível alterar o estado dos interruptores. Em algumas modalidades, os interruptores OTP incluem um fusível que pode ser queimado para impedir a operação adicional dos interruptores ou para desativar a interconexão correspondente de cada interruptor. Em outras modalidades, e quando o interruptor ou interruptores são controlados pela área segura, um local de memória na área segura que pode ser registrado uma vez que pode ser fornecido. A configuração desejada do interruptor ou interruptores (aberto ou fechado) pode ser gravada no local da memória e a configuração dos interruptores é então fixa. A área segura, por exemplo, o local da memória, tem uma configuração específica de memória não reversível. Dependendo de sua configuração não reversível, a área segura força o(s) interruptor(es) a ser "aberto" para que qualquer direção possa ser permanentemente desativada com o respectivo interruptor bloqueado para uma posição aberta. Em outras palavras, a área segura força o(s) interruptor(es) a um bloqueio permanente e não reversível da respectiva direção.
[023] Vantajosamente, esse circuito integrado é configurável, pois, antes que o interruptor OTP seja bloqueado em qualquer posição, uma decisão sobre os estados desejados para um ou ambos os interruptores pode ser tomada e o interruptor ou interruptores OTP podem ser bloqueado no estado desejado.
[024] Será entendido que, no contexto da presente divulgação, uma "interconexão unidirecional" é uma interconexão em um circuito integrado que permite a transmissão de dados em uma primeira direção ao longo da interconexão e impede a transmissão de dados na direção reversa.
[025] Da mesma forma, no contexto da presente divulgação, um "diodo de dados", como entendido na técnica, permite a transmissão unidirecional de dados através do mesmo. Por exemplo, nas modalidades em que está presente, o primeiro diodo de dados da primeira interconexão unidirecional permite que os dados sejam transmitidos do primeiro processador de interface de rede para o segundo processador de interface de rede, mas impede a transmissão de dados na direção reversa. Um exemplo de diodo de dados é um diodo de dados óptico que compreende uma fonte de luz, como um LED, cuja saída de luz é incidente em um sensor de luz, como um fototransistor. O primeiro processador de interface de rede pode estar em comunicação com a fonte de luz e o segundo processador de interface de rede pode estar em comunicação com o sensor de luz. Os dados podem ser transmitidos do primeiro processador de interface de rede para a fonte de luz que pode transmitir os dados para o segundo processador de interface de rede através do sensor de luz. Será evidente que o sensor de luz é incapaz de transmitir dados para a fonte de luz e, como tal, os dados não podem se deslocar na direção reversa. Dessa maneira, é fornecida uma funcionalidade semelhante ao diodo.
[026] O termo "circuito integrado" tem seu significado convencional, ou seja, é um circuito no qual todos ou alguns dos elementos do circuito são inseparavelmente associados e interconectados eletricamente, de modo que é considerado indivisível para fins de construção e comércio. Um exemplo de circuito integrado é um "sistema em um chip" (SOC - system on a chip). Um SOC é um circuito integrado no qual todos os componentes necessários para um computador ou outro sistema estão incluídos em um único chip. Todas as modalidades dos circuitos integrados aqui descritas podem, em algumas modalidades, ser um sistema em um chip.
[027] O segundo processador de interface de rede sendo "separado" do primeiro processador de interface de rede requer que os processadores sejam entidades separadas no circuito integrado. Por exemplo, eles podem estar localizados em áreas separadas de um substrato do circuito integrado e apenas ser conectados por uma ou mais dentre a primeira e a segunda interconexões aqui descritas.
[028] Uma rede OT permite que a comunicação entre hardware e software dedicado detecte ou cause alterações nos processos físicos por meio do monitoramento direto e/ou controle de dispositivos físicos, como sensores, válvulas, bombas e similares. As redes OT permitem que os sistemas de computador monitorem ou alterem o estado físico de um sistema. Exemplos incluem redes de sistemas de controle para uma estação de energia ou a rede de controle para um sistema ferroviário.
[029] Se dados, como dados do sensor produzidos por um sensor na primeira rede, foram "autenticados", isso significa que os dados de autenticação associados aos dados do sensor, como uma assinatura digital ou um código de autenticação de mensagem, foram verificados através dos mecanismos descritos neste documento, para que o receptor dos dados possa ter certeza razoável de que os dados se originaram do sensor e que não foram adulterados.
[030] Os "dados de autenticação" são quaisquer dados que permitem a autenticação de dados, como dados de sensor produzidos por um sensor na primeira rede. Vários exemplos são dados aqui. Uma "assinatura digital" é um exemplo. Uma assinatura digital é um esquema matemático para demonstrar a autenticidade de mensagens ou documentos digitais, como pacotes de dados. Uma etiqueta de dados do código de autenticação de mensagens (MAC - message authentication code) é outro exemplo de dados de autenticação.
[031] Se os dados de autenticação foram "verificados", isso significa que uma função de verificação, por exemplo, dos tipos aqui descritos, foi usada para determinar que os dados de autenticação são conforme o esperado, autenticando os dados associados aos dados de autenticação.
[032] Um "sinal de reconhecimento" é um sinal enviado por um receptor de dados para indicar o recebimento dos dados. Um "sinal de reconhecimento negativo" é um receptor de dados destinado a indicar uma rejeição de dados recebidos ou a indicar algum tipo de erro, por exemplo, quando um pacote de dados ausentes em uma série de pacotes de dados for detectado pelo receptor pretendido.
[033] Uma "área segura" é uma região segura do circuito integrado. Os exemplos incluem um ambiente de execução confiável (TEE - trusted execution environment), como uma raiz de confiança de hardware. Em termos gerais, a área segura é uma área na qual o código e os dados carregados dentro dela são protegidos com respeito à confidencialidade e integridade.
[034] Um "ambiente de execução confiável" (TEE) é um ambiente isolado integrado a outro ambiente, como o ambiente mais amplo de um circuito integrado. Os aplicativos em execução no TEE são denominados aplicativos confiáveis e podem fornecer serviços como armazenamento seguro (por exemplo, de chaves criptográficas) e operações criptográficas (por exemplo, funções de autenticação, funções de verificação e algoritmos de geração de chaves).
[035] Uma "raiz de confiança de hardware" é um TEE implementado em hardware, como o Synopsys tRoot. O malware não pode adulterar as funções fornecidas pelas raízes de confiança do hardware, pois são implementadas no hardware.
[036] Algumas modalidades específicas são agora descritas a título de ilustração, com referência aos desenhos anexos, nos quais números de referência semelhantes se referem a características semelhantes.
[037] Com referência à Figura 1, um circuito integrado 104 está em comunicação com uma primeira rede 102. A primeira rede 102 é uma rede segura, por exemplo, de uma tecnologia operacional (OT) ou privada, de sensores 108 que produz dados de medição. Os dados de medição de saída podem estar relacionados a dados de pressão, temperatura, radioatividade, corrente, tensão, peso, fluxo, umidade, aceleração e/ou posicionamento, entre outras coisas. O circuito integrado 104 também está em comunicação com uma segunda rede 106. A segunda rede 106 é uma rede pública e, portanto, menos segura, como a Internet. A segunda rede 106 está em comunicação adicional com um sistema de computador 110 para processamento adicional da saída de dados de medição dos sensores 108 em comunicação com a primeira rede 102.
[038] Embora as modalidades sejam descritas em relação aos sensores 108, os sensores 108 podem igualmente ser qualquer dispositivo que compreende uma fonte de dados adequada para fornecer dados de saída.
[039] Com referência à Figura 2, algumas modalidades do circuito integrado 104 são agora descritas. O circuito integrado 104 compreende um primeiro processador de interface de rede 202, um segundo processador de interface de rede 204, uma primeira interconexão unidirecional 206 que compreende um primeiro diodo de dados 210a e um primeiro interruptor 212a, uma segunda interconexão unidirecional 208 compreendendo um segundo diodo de dados 210b e um segundo interruptor 212b, uma área segura 214 e um módulo de autenticação 216.
[040] Será entendido que a figura 2 é um exemplo ilustrativo. O módulo de autenticação 216 pode verificar a autenticidade dos dados recebidos pelo ambiente seguro ou rede segura 102. Também pode gerar autenticidade para os dados gerados pelo ambiente seguro 102. Também pode descriptografar os dados recebidos pela rede segura 102. Também pode criptografar os dados enviados pela rede segura 102. Cada função pode ser configurada independentemente com uma direção com chaves/configurações específicas e a outra direção com outras chaves/configurações.
[041] O primeiro processador de interface de rede 202 está disposto para se comunicar com a primeira rede 102. Dados de medição dos sensores 108 em comunicação com a primeira rede 102 são recebidos pelo primeiro processador de interface de rede 202. O segundo processador de interface de rede 204 é um processador separado do primeiro processador de interface de rede 202, de modo que dois ambientes de processamento distintos são fornecidos. A primeira interconexão unidirecional 206 e a segunda interconexão unidirecional 208 são os únicos caminhos de comunicação entre o primeiro processador de interface de rede 202 e o segundo processador de interface de rede 204. Em algumas modalidades, a primeira interconexão unidirecional 206 é o único caminho de comunicação entre o primeiro processador de interface de rede 202, por exemplo, quando nenhuma segunda interconexão unidirecional 208 é fornecida ou quando a segunda interconexão unidirecional 208 foi desativada através dos mecanismos descritos neste documento.
[042] Cada uma dentre a primeira interconexão unidirecional 206 e a segunda interconexão unidirecional 208, respectivamente, compreendem um primeiro diodo de dados 210a e um segundo diodo de dados 210b, bem como um primeiro interruptor 212a e um segundo interruptor 212b. O primeiro diodo de dados 210a é disposto para permitir que os dados sejam transmitidos do primeiro processador de interface de rede 202 para o segundo processador de interface de rede 204 através da primeira interconexão unidirecional 206 e impedir que os dados sejam transmitidos na direção reversa. O segundo diodo de dados 210b é disposto para permitir que os dados sejam transmitidos do segundo processador de interface de rede 204 para o primeiro processador de interface de rede 202 através da segunda interconexão unidirecional 208 e impedir que os dados sejam transmitidos na direção reversa.
[043] Embora a modalidade representada faça uso do primeiro e do segundo diodos de dados 210a, 210b, a fim de fornecer a funcionalidade unidirecional da primeira e da segunda interconexões 206, 208, outros mecanismos podem ser utilizados para fornecer a funcionalidade unidirecional.
[044] O primeiro interruptor 212a está disposto para desativar a primeira interconexão unidirecional 206, de modo que nenhuma transferência de dados entre o primeiro processador de interface de rede 202 e o segundo processador de interface de rede 204 seja possível através da primeira interconexão unidirecional 206 quando o primeiro interruptor 212a estiver aberto. Quando o primeiro interruptor 212a é fechado, a transferência de dados é possível. O segundo interruptor 212b está disposto para desativar a segunda interconexão unidirecional 208 da mesma maneira que o primeiro interruptor 121a está disposto para desativar a primeira interconexão unidirecional 206. A operação do primeiro e do segundo interruptores 212a, 212b é controlada pela área segura 214.
[045] Em algumas modalidades, o primeiro interruptor 212a e/ou o segundo interruptor 212b são interruptores baseados em OTP que podem ser travados em um estado aberto ou fechado com o uso de um OTP, após o que não é possível alterar o estado do interruptor.
[046] O segundo processador de interface de rede 204 está disposto para se comunicar com a segunda rede 106. Por exemplo, os dados de medição recebidos pelo primeiro processador de interface de rede 202 e comunicados ao segundo processador de interface de rede 204 através da primeira interconexão unidirecional 206 podem ser enviados pelo segundo processador de interface de rede 204 para um sistema de computador 110 através da segunda rede 106 para processamento adicional.
[047] Em modalidades alternativas, a primeira interconexão unidirecional 206 é o único caminho de comunicação entre o primeiro processador de interface de rede 202 e o segundo processador de interface de rede 204, pois nenhuma segunda interconexão unidirecional 208 é fornecida ou a segunda interconexão unidirecional
208 foi desativada pela abertura do segundo interruptor 212b. Desta maneira, o primeiro processador de interface de rede 202 e, portanto, a primeira rede 102, é protegido da segunda rede 106, pois nenhum dado da segunda rede 106 pode ser recebido pelo primeiro processador de interface de rede 202.
[048] Em outras modalidades alternativas, a segunda interconexão unidirecional 208 pode ser configurada para permitir apenas a transmissão de dados de tamanho e/ou natureza predeterminados. Por exemplo, apenas um ou mais de um sinal de reconhecimento ou reconhecimento negativo pode ser transmitido através da segunda interconexão unidirecional 208. Um sinal de reconhecimento ou reconhecimento negativo pode ser emitido pelo sistema de computador 110 em resposta ao recebimento de dados de medição dos um ou mais sensores 108. Um sinal de reconhecimento pode ser gerado e enviado quando o sistema de computador 110 recebe com sucesso uma parte específica de dados de um ou mais sensores 108 e um sinal de confirmação negativa pode ser gerado e enviado para rejeitar uma parte de dados recebida de um ou mais sensores 108 ou para indicar um erro na peça de dados recebida. Cada um dos sinais de reconhecimento ou reconhecimento negativo pode ter alguns bits de tamanho, por exemplo, 1, 2 ou 3 bits. Portanto, o circuito integrado 104 pode ser disposto para permitir apenas a transmissão de dados de tamanho de 3 ou menos bits através da segunda interconexão unidirecional 208. Quaisquer dados maliciosos provavelmente teriam mais bits do que o tamanho máximo permitido e não poderiam ser transmitidos ao primeiro processador de interface de rede 202 que faz interface com a primeira rede 102 através da segunda interconexão unidirecional 208. Portanto, a primeira rede 102 permanece protegida de quaisquer mensagens maliciosas que excedam o tamanho máximo permitido.
[049] A área segura 214 é disposta para controlar a operação do primeiro interruptor 212a e do segundo interruptor 212. Como tal, a configuração do fluxo de dados através do circuito integrado 104 pode ser controlada com segurança pela área segura 214. Em algumas modalidades, a área segura 214 pode ser um ambiente TEE de execução confiável implementado em software, como um enclave seguro ou um processador seguro dedicado separado para executar software confiável e seguro.
[050] Em outras modalidades, a área segura 214 pode ser um ambiente de execução confiável implementado em hardware, como uma raiz de confiança de hardware.
[051] O módulo de autenticação 216 está disposto para aplicar funções criptográficas aos dados recebidos no primeiro processador de interface de rede 202 de um dos sensores 108 através da primeira rede 102 e aos dados recebidos no segundo processador de interface de rede 204 do sistema de computador 110 através da segunda rede 106. Isso pode ser para verificar dados de autenticação associados aos dados recebidos ou para gerar dados de autenticação associados aos dados recebidos, que podem ser verificados por outra entidade. O módulo de autenticação também pode fornecer sigilo de dados por meio de funções de criptografia. Em algumas modalidades, o módulo de autenticação 216 faz parte da área segura 214, de modo que as funções criptográficas aplicadas pelo módulo de autenticação 216 sejam aplicadas dentro da área segura 214.
[052] Para fornecer dados de autenticação para dados recebidos no primeiro processador de interface de rede 202, como os dados de medição enviados por um dos sensores 108, uma função de autenticação é aplicada aos dados. A função de autenticação pode ser um algoritmo de código de autenticação de mensagens (MAC), um algoritmo de assinatura de um esquema de assinatura digital ou uma função de hash criptográfico ou um algoritmo de criptografia autenticado que fornece autenticidade e confidencialidade dos dados, como um modo Galois/Counter. Qualquer esquema de autenticação adequado pode ser usado. Em algumas modalidades, os dados de autenticação podem ser fornecidos para dados recebidos no segundo processador de interface de rede 204, como dados enviados pelo sistema de computador 110.
[053] Para verificar os dados de autenticação recebidos no segundo processador de interface de rede 204, como dados com dados de autenticação associados enviados pelo sistema de computador 110, uma função de verificação é usada para verificar os dados de autenticação recebidos. Em algumas modalidades, se os dados de autenticação recebidos no segundo processador de interface de rede 204 não forem verificados com êxito pela função de verificação, eles podem ser impedidos de ser transmitidos para o primeiro processador de interface de rede 202. Em algumas modalidades, os dados de autenticação recebidos no primeiro processador de interface de rede 202, como dados enviados por um dos sensores 108, podem ser verificados.
[054] No exemplo de um algoritmo MAC sendo usado para fornecer dados de autenticação para dados recebidos de um dos sensores 108 através da primeira rede 102 que deve ser transmitida do primeiro processador de interface de rede 202 para o segundo processador de interface de rede 204, o módulo de autenticação 216 executa os dados através de um algoritmo MAC (que é a função de autenticação neste exemplo) com o uso de uma chave para produzir uma etiqueta de dados MAC (que são os dados de autenticação neste exemplo). Os dados e a etiqueta MAC são então enviados para o sistema de computador 110 pelo segundo processador de interface de rede 204 através da segunda rede 106. O sistema de computador 110, por sua vez, executa os dados recebidos através do mesmo algoritmo MAC (que é a função de verificação neste exemplo) com o uso da mesma chave, produzindo uma segunda etiqueta de dados MAC. O sistema de computador 110 então compara a primeira etiqueta MAC com a segunda etiqueta MAC gerada. Se eles são idênticos, o sistema de computador 110 pode assumir com segurança que os dados não foram alterados ou adulterados durante a transmissão e é garantido um grau de integridade dos dados.
[055] No exemplo de um algoritmo MAC sendo usado para verificar dados de autenticação recebidos do sistema de computador 110 através da segunda rede 106 que está associada aos dados recebidos do sistema de computador 110 que devem ser transmitidos do segundo processador de interface de rede 204 para o primeiro processador de interface de rede 202, as funções do módulo de autenticação 216 e do sistema de computador 110 são revertidas, com o sistema de computador 110 executando os dados a serem enviados ao circuito integrado 104 através de um algoritmo MAC para gerar uma etiqueta de dados MAC e, mediante recebimento dos dados e da etiqueta de dados MAC, o módulo de autenticação 216 gera uma segunda etiqueta de dados MAC e verifica os dados da maneira descrita acima.
[056] No exemplo de um esquema de assinatura digital que está sendo usado para fornecer dados de autenticação para dados recebidos de um dos sensores 108 através da primeira rede 102 que deve ser transmitida do primeiro processador de interface de rede 202 para o segundo processador de interface de rede 204, um algoritmo de geração de chave primeiro seleciona uma chave privada uniformemente aleatoriamente a partir de um conjunto de possíveis chaves privadas. Em algumas modalidades, o algoritmo de geração de chave está localizado na área segura 214. O algoritmo de geração de chave gera a chave privada e uma chave pública correspondente. A chave privada é comunicada ao módulo de autenticação 216 e a chave pública é comunicada ao sistema de computador 110. O módulo de autenticação 216 usa um algoritmo de assinatura (que é a função de autenticação neste exemplo) para produzir uma assinatura (que são os dados de autenticação neste exemplo) com o uso dos dados (ou, alternativamente, um hash ou resumo dos dados) e a chave privada. A assinatura é então enviada ao sistema de computador 110, por exemplo, juntamente com os dados. Após o recebimento, a assinatura, os dados (ou um hash ou resumo dos dados do primeiro pacote de dados onde esses foram usados pelo algoritmo de assinatura) e a chave pública são executados por meio de um algoritmo de verificação de assinaturas (que é a função de verificação em neste exemplo) pelo sistema de computador 110, e a autenticidade dos dados é aceita ou rejeitada, dependendo do resultado.
[057] No exemplo de um esquema de assinatura digital que está sendo usado para verificar os dados de autenticação recebidos do sistema de computador 110 através da segunda rede 106 que está associada aos dados recebidos do sistema de computador 110 que devem ser transmitidos do segundo processador de interface de rede 204 para o primeiro processador de interface de rede 202, as funções do módulo de autenticação 216 e do sistema de computador 110 são revertidas, com o sistema de computador 110 assinando os dados para gerar uma assinatura da maneira descrita acima e o módulo de autenticação 216 verificando a assinatura para autenticar os dados da maneira descrita acima.
[058] Chaves criptográficas usadas pelas funções de autenticação e verificação podem ser provisionadas pela área segura 214 e podem ser configuradas durante a fabricação do circuito integrado. As chaves podem ser chaves de sessão calculadas com o uso de um protocolo de compartilhamento de chaves que é comum à área segura 214 e ao receptor dos dados sujeitos à função criptográfica, por exemplo, o sistema de computador 110.
[059] Em algumas modalidades, os dados transmitidos do primeiro processador de interface de rede 202 para o segundo processador de interface de rede 204 são fornecidos com dados de autenticação gerados pelo módulo de autenticação 216. O sistema de computador receptor 110, é então capaz de autenticar os dados verificando os dados de autenticação com o uso de uma função de verificação. Desta maneira, o módulo de autenticação 216 do circuito integrado 104 pode adicionar dados de autenticação aos dados de medição recebidos do sensor
108. Como tal, os dados de autenticação podem ser fornecidos para sensores e quaisquer outros dispositivos em comunicação com a primeira rede 102, que não conseguem produzir seus próprios dados de autenticação.
[060] Da mesma forma, em algumas modalidades, os dados transmitidos do segundo processador de interface de rede 204 para o primeiro processador de interface de rede 202 podem ser fornecidos com dados de autenticação gerados pelo módulo de autenticação 216.
[061] Em algumas modalidades, os dados transmitidos do segundo processador de interface de rede 204 para o primeiro processador de interface de rede 202 são autenticados pelo módulo de autenticação 216, aplicando uma função de verificação aos dados de autenticação associados aos dados para verificar os dados de autenticação. Os dados recebidos no segundo processador de interface de rede 204 através da segunda rede 106 do sistema de computador 110 podem ser autenticados. Os dados de autenticação associados aos dados podem ser verificados pelo módulo de autenticação 216 com o uso de uma função de verificação para autenticar os dados recebidos. Em algumas modalidades, apenas os dados recebidos no segundo processador de interface de rede 204 que foi autenticado com sucesso podem ser transmitidos do segundo processador de interface de rede 204 para o primeiro processador de interface de rede 202.
[062] Da mesma forma, em algumas modalidades, os dados de autenticação associados aos dados recebidos no primeiro processador de interface de rede 202 podem ser verificados com o uso de uma função de verificação pelo módulo de autenticação 216 para autenticar os dados.
[063] Com referência à Figura 3, as modalidades de uma área segura 214 são agora descritas. A área segura 214 compreende um processador 302, uma memória 304, um módulo de controle de chave 306 e um módulo de gerenciamento de chaves 308. O processador 302 está disposto para coordenar entre o módulo de controle de comutação 306 e um módulo de gerenciamento de chaves 308. A memória 304 pode armazenar instruções para execução pelo processador 302 para fazer com que o processador 302 forneça a funcionalidade desejada. Em algumas modalidades,
o módulo de autenticação 216 também faz parte da área segura 214: uma memória não volátil pode ser integrada para armazenar chaves raiz, como células OTP e/ou alguns criptos pretos de hardware
[064] A área segura 214 é uma região segura do circuito integrado 104. A área segura 214 é uma área na qual o código e os dados carregados dentro dela são protegidos em relação à confidencialidade e integridade. Por exemplo, a área segura 214 pode compreender um ambiente de execução isolado com recursos de processamento e memória separados e isolados do resto do circuito integrado. O acesso à área segura 214 pode ser através de arranjo de caixa de correio segura.
[065] Em algumas modalidades, a área segura 214 é um ambiente de execução confiável (TEE) implementado como um ambiente isolado integrado dentro do ambiente mais amplo do circuito integrado 104. Os aplicativos em execução no TEE (como o módulo de controle do interruptor 306, o módulo de gerenciamento de chaves 308 e, em algumas modalidades, o módulo de autenticação 216) são nomeados aplicativos confiáveis, pois são protegidos com relação à confidencialidade e à integridade e podem ser executados dentro do ambiente isolado da área segura
214.
[066] Em algumas modalidades, a área segura 214 é uma raiz de confiança de hardware e um TEE implementado em hardware, como o Synopsys tRoot. O malware não pode adulterar as funções fornecidas pelas raízes de confiança do hardware, pois são implementadas no hardware.
[067] Em algumas modalidades, a área segura 214 é um ambiente de execução confiável, por exemplo, uma raiz de confiança de hardware, como a Synopsys tRoot.
[068] O módulo de controle de interruptor 306 está disposto para controlar com segurança a operação do primeiro interruptor 212a e do segundo interruptor 212b, conforme as operações de controle para os interruptores são realizadas dentro da área segura 214.
[069] O módulo de gerenciamento de chaves 308 está disposto para fornecer chaves criptográficas ao módulo de autenticação 216 necessárias para criptografar e/ou descriptografar dados como descrito acima. Em algumas modalidades, o módulo de gerenciamento de chaves 308 é disposto para fornecer ao sistema de computador 110 chaves criptográficas necessárias para criptografar e/ou descriptografar dados como descrito acima.
[070] Deve ser entendido que a descrição acima se destina a ser ilustrativa e não restritiva. Muitas outras implementações serão evidentes para os versados na técnica após a leitura e compreensão da descrição acima. Embora a presente divulgação tenha sido descrita com referência a exemplos de implementações específicas, será reconhecido que a divulgação não se limita às implementações descritas, mas pode ser praticada com modificação e alteração dentro do espírito e escopo das reivindicações anexas. Assim, o relatório descritivo e os desenhos devem ser considerados em um sentido ilustrativo, e não em um sentido restritivo. O escopo da divulgação deve, portanto, ser determinado com referência às reivindicações anexas, juntamente com o escopo completo de equivalentes aos quais essas reivindicações têm direito.
Claims (14)
1. Circuito integrado, CARACTERIZADO pelo fato de que compreende: um primeiro processador de interface de rede para comunicação com uma primeira rede; um segundo processador de interface de rede para comunicação com uma segunda rede, em que o segundo processador de interface de rede é um processador separado do primeiro processador de interface de rede; e uma primeira interconexão unidirecional que conecta o primeiro e o segundo processadores de interface de rede; em que a primeira interconexão unidirecional é configurada para permitir a transferência de dados do primeiro processador de interface de rede para o segundo processador de interface de rede através da primeira interconexão unidirecional e para impedir a transferência de dados do segundo processador de interface de rede para o primeiro processador de interface de rede através da primeira interconexão unidirecional, em que o primeiro processador de interface de rede está configurado para transmitir dados para o segundo processador de interface de rede através da primeira interconexão unidirecional; e o segundo processador de interface de rede é configurado para receber os dados do primeiro processador de interface de rede por meio da primeira interconexão unidirecional.
2. Circuito integrado, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que a primeira interconexão unidirecional compreende um primeiro diodo de dados configurado para permitir a transferência de dados do primeiro processador de interface de rede para o segundo processador de interface de rede através da primeira interconexão unidirecional e para impedir a transferência de dados do segundo processador de interface de rede para o primeiro processador de interface de rede através da primeira interconexão unidirecional, opcionalmente, em que o diodo de dados é um diodo de dados óptico.
3. Circuito integrado, de acordo com a reivindicação 1 ou reivindicação 2, CARACTERIZADO pelo fato de que a primeira interconexão unidirecional compreende ainda um primeiro interruptor configurado para desativar a primeira interconexão unidirecional, de modo que nenhuma transferência de dados entre o primeiro processador de interface de rede e o segundo processador de interface de rede através da primeira interconexão unidirecional seja possível quando o primeiro interruptor está aberto.
4. Circuito integrado, de acordo com a reivindicação 3, CARACTERIZADO pelo fato de que compreende ainda uma área segura configurada para controlar a operação do primeiro interruptor.
5. Circuito integrado, de acordo com a reivindicação 4, CARACTERIZADO pelo fato de que a área segura compreende uma raiz de confiança de hardware configurada para controlar a operação do primeiro interruptor.
6. Circuito integrado, de acordo com qualquer reivindicação anterior, CARACTERIZADO pelo fato de que o circuito integrado é configurado para gerar dados de autenticação para dados recebidos no primeiro processador de interface de rede da primeira rede.
7. Circuito integrado, acordo com qualquer reivindicação anterior, CARACTERIZADO pelo fato de que o circuito integrado compreende ainda uma segunda interconexão unidirecional que conecta o primeiro e o segundo processadores de interface de rede, em que a segunda interconexão unidirecional é configurada para permitir a transferência de dados do segundo processador de interface de rede para o primeiro processador de interface de rede através da segunda interconexão unidirecional e para impedir a transferência de dados do primeiro processador de interface de rede para o segundo processador de interface de rede através da segunda interconexão unidirecional, em que o segundo processador de interface de rede está configurado para transmitir dados para o primeiro processador de interface de rede através da segunda interconexão unidirecional; e o primeiro processador de interface de rede está configurado para receber dados do segundo processador de interface de rede por meio da segunda interconexão unidirecional.
8. Circuito integrado, de acordo com a reivindicação 7, CARACTERIZADO pelo fato de que a segunda interconexão unidirecional compreende um segundo diodo de dados configurado para permitir a transferência de dados do segundo processador de interface de rede para o primeiro processador de interface de rede através da segunda interconexão unidirecional e para impedir a transferência de dados do primeiro processador de interface de rede para o segundo processador de interface de rede através da segunda interconexão unidirecional, opcionalmente, em que o diodo de dados é um diodo de dados óptico.
9. Circuito integrado, de acordo com a reivindicação 7 ou reivindicação 8, CARACTERIZADO pelo fato de que a segunda interconexão unidirecional compreende ainda um segundo interruptor configurado para desativar a segunda interconexão unidirecional, de modo que nenhuma transferência de dados entre o primeiro processador de interface de rede e o segundo processador de interface de rede através da segunda interconexão unidirecional seja possível quando o segundo interruptor está aberto.
10. Circuito integrado, de acordo com a reivindicação 9, quando dependente da reivindicação 4 ou reivindicação 5, CARACTERIZADO pelo fato de que a área segura é configurada para controlar a operação do segundo interruptor.
11. Circuito integrado, de acordo com qualquer uma das reivindicações 7 a
10, CARACTERIZADO pelo fato de que o circuito integrado é configurado para permitir apenas a transmissão de dados de um tamanho predeterminado por meio da segunda interconexão unidirecional.
12. Circuito integrado, de acordo com qualquer uma das reivindicações 7 a 11, quando dependente da reivindicação 4 ou reivindicação 5, CARACTERIZADO pelo fato de que o circuito integrado é configurado para autenticar dados recebidos no segundo processador de interface de rede da segunda rede, verificando dados de autenticação associados aos dados recebidos.
13. Circuito integrado, de acordo com a reivindicação 12, CARACTERIZADO pelo fato de que os dados recebidos são descriptografados pela segunda rede com o uso de uma chave emitida pela área segura.
14. Circuito integrado, de acordo com qualquer uma das reivindicações anteriores, CARACTERIZADO pelo fato de que a área segura tem uma configuração de memória não reversível específica, de modo que, dependendo de sua configuração não reversível, a área segura força o interruptor ou os interruptores para um bloqueio permanente e não reversível da respectiva direção.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17211231.0 | 2017-12-29 | ||
| EP17211231.0A EP3506587A1 (en) | 2017-12-29 | 2017-12-29 | Integrated circuit |
| PCT/EP2018/086570 WO2019129704A1 (en) | 2017-12-29 | 2018-12-21 | Integrated circuit |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| BR112020012821A2 true BR112020012821A2 (pt) | 2020-11-24 |
Family
ID=60990608
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| BR112020012821-0A BR112020012821A2 (pt) | 2017-12-29 | 2018-12-21 | circuito integrado |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US11271901B2 (pt) |
| EP (2) | EP3506587A1 (pt) |
| CN (2) | CN116366341A (pt) |
| BR (1) | BR112020012821A2 (pt) |
| ES (1) | ES2971640T3 (pt) |
| SG (1) | SG11202005555XA (pt) |
| WO (1) | WO2019129704A1 (pt) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11212084B2 (en) | 2018-07-21 | 2021-12-28 | Fundacja “Blockchain Development Foundation” | System and a method for signing transactions using air-gapped private keys |
| WO2020198169A1 (en) * | 2019-03-22 | 2020-10-01 | Sibel Inc. | Wireless communication system for wearable medical sensors |
| EP3852334B1 (en) * | 2020-01-20 | 2023-06-07 | Bitfold AG | A system and a method for secure data transfer using air gapping hardware protocol |
| CN112822029A (zh) * | 2021-02-03 | 2021-05-18 | 广州市保伦电子有限公司 | 一种可阻挡外界信号的录音采集方法、模块和装置 |
| GB2610850A (en) * | 2021-09-17 | 2023-03-22 | Pa Knowledge Ltd | Method and device |
| US11709970B1 (en) | 2022-12-19 | 2023-07-25 | Fend Incorporated | One-way communication data diode on a chip |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8046571B1 (en) | 2006-12-18 | 2011-10-25 | Marvell International Ltd. | System-on-a-chip (SoC) security using one-time programmable memories |
| FR2922705B1 (fr) * | 2007-10-23 | 2011-12-09 | Sagem Defense Securite | Passerelle bidirectionnelle a niveau de securite renforce |
| US20110138475A1 (en) * | 2008-07-30 | 2011-06-09 | Telefonaktiebolaget L M Ericsson (Publ) | Systems and method for providing trusted system functionalities in a cluster based system |
| EP2173060B1 (en) * | 2008-10-02 | 2012-09-12 | VirtualLogix SA | Virtualized secure networking |
| US8429735B2 (en) * | 2010-01-26 | 2013-04-23 | Frampton E. Ellis | Method of using one or more secure private networks to actively configure the hardware of a computer or microchip |
| CN201774551U (zh) * | 2010-08-25 | 2011-03-23 | 上海神计信息系统工程有限公司 | 两物理隔断网络即时通讯数据摆渡传输器 |
| CN202759475U (zh) * | 2012-04-28 | 2013-02-27 | 上海杰之能信息科技有限公司 | 数据发送装置、数据接收装置、数据传输系统以及服务器 |
| CN102929329B (zh) * | 2012-09-28 | 2015-04-08 | 无锡江南计算技术研究所 | 片上系统间互连网络的动态重构方法 |
| US8898227B1 (en) * | 2013-05-10 | 2014-11-25 | Owl Computing Technologies, Inc. | NFS storage via multiple one-way data links |
| EP2916511B1 (en) * | 2014-03-07 | 2020-02-12 | Airbus Opérations SAS | High assurance security gateway interconnecting different domains |
| DE102015205833A1 (de) * | 2015-03-31 | 2016-10-06 | Siemens Aktiengesellschaft | Einweg-Koppelvorrichtung, Anfrageeinrichtung und Verfahren zum rückwirkungsfreien Übertragen von Daten |
| US10524124B2 (en) * | 2015-06-04 | 2019-12-31 | Vm-Robot, Inc. | Routing systems and methods |
| US10193857B2 (en) * | 2015-06-30 | 2019-01-29 | The United States Of America, As Represented By The Secretary Of The Navy | Secure unrestricted network for innovation |
| CN105282172B (zh) * | 2015-11-09 | 2018-04-20 | 珠海市鸿瑞软件技术有限公司 | 基于硬件数据变换技术的单处理系统及网络安全隔离方法 |
| IL250010B (en) * | 2016-02-14 | 2020-04-30 | Waterfall Security Solutions Ltd | Secure connection with protected facilities |
| US10791100B2 (en) * | 2017-03-10 | 2020-09-29 | Ovsecure Ltd. | Systems, methods and devices for secure routing and recording of network data transported through network switch |
| DE102017117604B4 (de) * | 2017-08-03 | 2019-06-19 | Kriwan Industrie-Elektronik Gmbh | Verfahren zum Betreiben wenigstens eines Elektromotors und/oder einer damit gekoppelten, nichtfahrenden Arbeitsmaschine sowie eine nichtfahrende Arbeitsmaschine |
| US10701107B2 (en) * | 2017-12-06 | 2020-06-30 | Nicira, Inc. | Deterministic load balancing of IPSec processing |
-
2017
- 2017-12-29 EP EP17211231.0A patent/EP3506587A1/en not_active Withdrawn
-
2018
- 2018-12-21 ES ES18826059T patent/ES2971640T3/es active Active
- 2018-12-21 US US16/958,069 patent/US11271901B2/en active Active
- 2018-12-21 CN CN202310339928.1A patent/CN116366341A/zh active Pending
- 2018-12-21 WO PCT/EP2018/086570 patent/WO2019129704A1/en unknown
- 2018-12-21 SG SG11202005555XA patent/SG11202005555XA/en unknown
- 2018-12-21 CN CN201880082813.6A patent/CN111656747B/zh active Active
- 2018-12-21 BR BR112020012821-0A patent/BR112020012821A2/pt unknown
- 2018-12-21 EP EP18826059.0A patent/EP3732847B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP3732847C0 (en) | 2024-01-24 |
| CN111656747B (zh) | 2023-04-04 |
| ES2971640T3 (es) | 2024-06-06 |
| CN111656747A (zh) | 2020-09-11 |
| US11271901B2 (en) | 2022-03-08 |
| EP3732847A1 (en) | 2020-11-04 |
| EP3732847B1 (en) | 2024-01-24 |
| US20210067488A1 (en) | 2021-03-04 |
| WO2019129704A1 (en) | 2019-07-04 |
| CN116366341A (zh) | 2023-06-30 |
| SG11202005555XA (en) | 2020-07-29 |
| EP3506587A1 (en) | 2019-07-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| BR112020012821A2 (pt) | circuito integrado | |
| US10484365B2 (en) | Space-time separated and jointly evolving relationship-based network access and data protection system | |
| US11921911B2 (en) | Peripheral device | |
| EP3073668B1 (en) | Apparatus and method for authenticating network devices | |
| ES2773950T3 (es) | Sistema informático asegurado con autenticación asíncrona | |
| US9208355B1 (en) | Apparatus, system and method for providing cryptographic key information with physically unclonable function circuitry | |
| BR112019013584A2 (pt) | Endereçamento de um ambiente de execução confiável usando a chave de assinatura | |
| ES2952067T3 (es) | Un sistema y un método para la transferencia segura de datos usando el protocolo de hardware de air gapping | |
| Dave et al. | Sracare: Secure remote attestation with code authentication and resilience engine | |
| Fongen et al. | Integrity attestation in military IoT | |
| US9407442B2 (en) | Tamper-evident network messaging method and system, and device configured therefor | |
| Asoni et al. | Alcatraz: Data exfiltration-resilient corporate network architecture | |
| Bhatt et al. | A survey on developing secure iot products | |
| Heigl et al. | Embedded plug-in devices to secure industrial network communications | |
| Shi et al. | Design of Security Gateway Based On Dual-Homed Architecture | |
| Murti et al. | Security in embedded systems | |
| Anderson | Securing embedded linux | |
| BR112021010158A2 (pt) | imposição remota de memória de dispositivo | |
| US11709941B1 (en) | Extending measured boot for secure link establishment | |
| Belay | Securing the boot process of embedded Linux systems | |
| Muñoz-Gallego et al. | Secure Mobile Agents on Embedded Boards: a TPM based solution | |
| Muñoz | Secure Mobile Agents on Embedded Boards: a TPM based solution |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| B350 | Update of information on the portal [chapter 15.35 patent gazette] |