CN100521685C - 安全转换器及用于检查其完整性的方法 - Google Patents
安全转换器及用于检查其完整性的方法 Download PDFInfo
- Publication number
- CN100521685C CN100521685C CN200510127559.1A CN200510127559A CN100521685C CN 100521685 C CN100521685 C CN 100521685C CN 200510127559 A CN200510127559 A CN 200510127559A CN 100521685 C CN100521685 C CN 100521685C
- Authority
- CN
- China
- Prior art keywords
- telegram
- inspection
- filter
- data network
- inspection part
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012360 testing method Methods 0.000 title claims abstract description 6
- 238000000034 method Methods 0.000 title claims description 11
- 238000007689 inspection Methods 0.000 claims description 175
- 238000001914 filtration Methods 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 4
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 3
- 238000012423 maintenance Methods 0.000 claims description 2
- 238000006243 chemical reaction Methods 0.000 abstract description 5
- 230000004083 survival effect Effects 0.000 abstract 2
- 238000012795 verification Methods 0.000 description 23
- 231100000572 poisoning Toxicity 0.000 description 20
- 230000000607 poisoning effect Effects 0.000 description 20
- 230000006870 function Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000013508 migration Methods 0.000 description 2
- 230000005012 migration Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 101000911390 Homo sapiens Coagulation factor VIII Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000010009 beating Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 102000057593 human F8 Human genes 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 229940047431 recombinate Drugs 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000005316 response function Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
一个安全转换器(STL),其用于把与较低安全级别有关的数据网络(N2)连接到与较高安全级别有关的数据网络(N1),该安全转换器以一定间隔检验其自身的完整性以确定故障,并且其中适当地触发向安全故障状态的转换。安全故障状态存在于从具有较低安全级别的数据网络到具有较高安全级别的数据网络的连接被中断的情况下。这借助于看门狗电路(WD1、WD2)来获得,只要看门狗电路接收到规律的生存标记,它就保持具有较低安全级别的数据网络(N2)和具有较高安全级别的数据网络(N1)之间的连接(CTN)是闭合的;并且如果看门狗电路在预定时段上没有接收到生存标记,则自动地中断该连接。
Description
相关申请的交叉引用
本发明基于优先权申请EP 04293124.6,其内容通过参考引入于此。
技术领域
本发明涉及一个用于把与较低安全级别有关的数据网络连接到与较高安全级别有关的数据网络的设备和处理,特别地用于诸如铁路技术之类的与安全高度相关的应用。
背景技术
在安全相关的应用中,必须保护数据网络以防止诸如黑客攻击之类的外部侵入。而另一方面,通常恰好又需要把具有较低安全级别的数据网络连接到具有较高安全级别的数据网络。一般通过插入一个所谓的防火墙来做到这一点,即防火墙是一个用来禁止未被允许的外部操作的设备。
一个特别与安全相关的应用存在于铁路技术中。与特殊的安全类别有关的网络区域在其中被指定为完整性区域(IB)。尽管术语“完整性区域”来源于电子铁路控制中心的控制和操作系统的应用领域,然而在本文中将更广义地对其进行使用。
在电子铁路控制中心的控制和操作系统的范围内存在三层完整性:IB1是操作上的-即安全相关的区域,其中,铁路控制中心由交通控制器(从所谓的下级控制中心或中央控制中心)来操作。IB2是管理特定的、安全无关的区域,其中,调度程序可以通览操作控制中心覆盖的全部区域但不操作铁路控制中心,而是如有必要就向交通控制器或火车路由系统发出(电子)指令。最后,IB3是一个与铁路运营商有关的网络区域,其具有比IB2低的安全级别,而且用于铁路运营商的内部通信。
控制和操作系统的结构提供了IB1中的系统和IB3中的系统的互相作用。在转换点,需要一个设备有效地防止可能在功能和完整性方面损害IB1的信令系统的信息的侵入。这个设备在下面将被指定为安全转换器。尽管IB3不是完全不受控的区域,然而不得不假定它对防止未授权访问或电报讹误不提供保证。因此,安全转换器必须防止从IB3到IB1的任何未许可的访问。
在这方面,重要的是在安全转换器故障或失灵的情况下不会发生安全破坏。因此,如果发生技术失灵,则安全转换器必须进入安全故障状态,在该状态中再也不可能从IB3访问IB1。
发明内容
因此,本发明的目的是指定一个用于把与较低安全级别有关的数据网络连接到与较高安全级别有关的数据网络的装置和处理,所述装置可靠地禁止从具有较低安全级别的数据网络到具有较高安全级别的数据网络的未经许可的访问,并且在发生故障时进入安全故障状态。
这些目的及其它目的借助于一个装置来实现,该装置用于把与较低安全级别有关的数据网络连接到与较高安全级别有关的数据网络。
该装置包括:
-电报过滤器,用于根据预定的过滤器规则从具有较低安全级别的数据网络中过滤电报,
-第一检查部件,其被设计用于产生检查电报并且经由电报过滤器把它们发送到第二检查部件,以及
-由第二检查部件激活的看门狗电路,其被设计用于,只要它从第二检查部件接收规律的生存标记,就保持具有较低安全级别的数据网络和具有较高安全级别的数据网络之间的连接是闭合的,并且其被设计用于,如果它在预定时段上没有接收到生存标记,则自动地中断该连接。
第二检查部件还被设计用于,在接收到根据过滤器规则被允许的检查电报之后,产生一个用于看门狗电路的生存标记,并且在接收到根据过滤器规则不被允许的检查电报之后,至少在一预定时段中禁止产生用于该看门狗电路的生存标记。
根据本发明的另一方面,提供一个方法用于检查装置的完整性,该装置用于把与较低安全级别有关的数据网络连接到与高安全级别有关的数据网络,并且该装置包括一个电报过滤器以便根据预定的过滤器规则从具有较低安全级别的数据网络中过滤电报,并且包括一个看门狗电路,其被设计用于,只要看门狗电路接收规则的生存标记,就保持具有较低安全级别的数据网络和具有较高安全级别的数据网络之间的连接是闭合的,并且其被设计用于,如果它在预定时段上没有接收到生存标记,则自动地中断该连接。该方法包括下列步骤:
-产生检查电报并经由电报过滤器将其发送给检查部件,
-在接收到根据过滤器规则被允许的检查电报之后,检查部件产生一个用于看门狗电路的生存标记,并且
-在接收到根据过滤器规则不被允许的检查电报之后,检查部件至少在预定时段内禁止产生用于该看门狗电路的生存标记。
安全转换器以特定间隔检验其自己的完整性以便确定失灵,并且其中,适宜地触发向安全故障状态的转换。根据本发明,安全故障状态存在于从具有较低安全级别的数据网络到具有较高安全级别的数据网络的连接被中断的期间。这借助于一个看门狗电路来获得,只要看门狗电路接收到规则的生存标记,它就保持具有较低安全级别的数据网络和具有较高安全级别的数据网络之间的连接是闭合的,并且如果看门狗电路在预定时段上没有接收到生存标记,则它自动地中断该连接。
安全转换器具有一个电报过滤器,以便根据预定的过滤器规则从具有较低安全级别的数据网络中过滤电报。另外,安全转换器具有第一检查部件和第二检查部件。第一检查部件产生检查电报并经由电报过滤器将它们发送到第二检查部件。在接收到根据过滤器规则被允许的检查电报之后,第二检查部件产生一个用于看门狗电路的生存标记,并且在接收到根据过滤器规则不被允许的检查电报之后,它至少在预定时段内禁止产生生存标记。
因此,可以在定义的故障显示时间证明安全转换器的过滤器设备的肯定和否定特性,其接着使得系统的低剩余差错概率得到证明,因此所述的系统可以被许可用于铁路技术应用。
附图说明
以下,将基于附图详细地阐明本发明的一个示例性实施例。其中:
图1为一个安全转换器,其建立具有不同安全级别的两个数据网络之间的连接,
图2为图1的安全转换器的详图,
图3为图1的安全转换器的网络部件的物理互连,
图4为用于检查安全转换器的过滤功能的流程图,
图5为安全转换器的过滤器功能发生故障的情况下的流程图,
图6为用于检查看门狗电路的流程图,
图7为看门狗电路发生故障的情况下的流程图,
图8为关于检查序列号差错和校验和差错的流程图,
图9为关于序列号差错和校验和差错的检查发生故障的情况下的流程图,以及
图10一个检查方案。
具体实施方式
在图1示出了第一数据网络N1和第二数据网络N2。第一数据网络对应于完整性区域IB1,而第二数据网络对应于完整性区域IB3。IB1是一个安全相关的区域,而IB3被认为是一个与较低安全级别有关的区域。
一个安全转换器STL设置在两个数据网络之间,其在两个数据网络之间建立一个安全连接。安全转换器STL包括一个连接到数据网络N2的具有TCP代理的常规的防火墙STL-PU,还包括一个连接到数据网络N1的过滤设备STL-PR。防火墙STL-PU和过滤设备STL-PR借助于TCP/IP协议经由单独的以太网CTN相互连接。
用示例性的方式与数据网络N1链接的是列车号核心(train-numbercore)(Zugnummernkern)ZNK、应用监督代理管理器ASA和协议转换计算机PCC2。在这种情况下,如所知的,这是一个铁路控制中心中部件的问题。用示例性方式链接到数据网络N2的是序列子系统SER和模拟器SIM,它们同样是已知的并且被发现用于铁路运营商的网络区域中。
安全转换器STL是一种设备,用来防止可能损害IB1信令系统的功能和完整性的信息的侵入。STL防止从IB3到IB1的所禁止的访问。为此,它只支持经由基于TCP/IP来传送的SBS类协议的通信。电报结构将在下面进一步地更确切地阐明。不存在通过STL的IP透明度,即例如在数据网络N1和数据网络N2之间不可能经由STL存在PING。
协议能够容忍多至10秒的每日连接中断。一个应用能够通过临时存储发送失败的电报并通过随后进行重复分发实现这个要求。在序列号差错已经建立之后,还存在产生新的升级请求的可能性。
防火墙STL-PU负责击退经由通信层1-4(根据ISO/OSI参考模型,参见ISO/OSI基本参考模型ISO/IEC10731/1994)的来自于数据网络N2的攻击。为此提供了具有TCP代理的防火墙部件。
在示例性实施例中,防火墙STL-PU的任务由Secunet销售的上市产品Secuwall-STL来承担。Secuwall-STL基于一个特别地精简和强化的Linux操作系统;它配备有强大的防火墙功能,以及侵扰、检测&响应功能。一个集成的TCP代理提供了防止直到通信层4并且包括通信层4的攻击的安全。
防火墙STL-PU充当数据网络N2中的IB3应用和过滤器设备STL-PR之间的一个代理,即IB3应用建立到防火墙STL-PU的TCP/IP连接,并且防火墙STL-PU保存一个到过滤器设备STL-PR的相关的TCP/IP连接。在建立连接的过程中,防火墙STL-PU充当一个服务器,只有在之前批准的TCP端口处才接受连接。防火墙STL-PU经由系统记录(SysLog)协议来将被击退的攻击尝试记录到过滤器设备STL-PR。另外,防火墙STL-PU经由系统记录定期报告它的状态。
对防火墙STL-PU的进一步的要求如下:防火墙STL-PU必须能够假定一个安全故障状态;在安全故障状态中,防火墙STL-PU的任何非管理的使用必须被禁止;只能够通过人工干预来实现防火墙STL-PU的重启以用在已经假定安全故障状态之后的重启。
仅许可互联网协议作为网络协议。IB3应用经由永久分配的TCP端口仅通过TCP/IP与防火墙STL-PU通信。防火墙STL-PU是"可ping的"。通过防火墙STL-PU来ping数据网络N1中的节点是不可能的。系统记录协议被允许用于把状态信息分发到IB1中。诸如例如FTP、http、Telnet、SNMP之类的所有其它的网络服务被禁止。
对于每个从数据网络N2进入的TCP连接,都存在一个到过滤器设备STL-PR的连接。经由两个单独的TCP连接,用作完整性检查(进一步参见下文)的检查电报从过滤器设备STL-PR被发送到防火墙STL-PU。检查电报必须再经由两个适当的连接从代理被发送回过滤器设备STL-PR。来自数据网络N2的电报以及与过滤器设备STL-PR有关的检查电报被该代理扰码。来自于数据网络N1的电报不被代理扰码。包括检查电报的用户数据被防火墙STL-PU接收并且又经由指定的连接被分发。通过检查电报连接而接收的数据被估计为生存标记。如果在可配置的时间内没有接收到数据,则防火墙STL-PU假定为安全故障状态。
过滤器设备STL-PR的结构在图2中被更加详细地示出。所述的过滤设备具有过滤电报的任务,该电报在应用层中从数据网络N2被发送到数据网络N1。过滤器设备STL-PR必须向IB1的系统管理报告整个STL系统的状态;它必须持久地检验其部件的功能能力。不合格或故障的部件会导致安全故障状态。
将过滤器设备STL-PR经由一个单独的以太网(TCP/IP)连接到防火墙STL-PU。经由第一网卡,有n个(n=数据网络N2和数据网络N1之间的通信关系的数量)到STL-PU的TCP连接。数据通过这些连接在N2和N1之间传输。
另外还存在四个(两个发送、两个接收)单独的TCP连接,经由这些连接只传输检查电报。这些检查电报由过滤器设备STL-PR产生并且经由防火墙STL-PU发送回STL-PR。检查电报用于完整性检查。
过滤装置STL-PR用一个具有两个网卡和两个看门狗卡WD1和WD2的商用视窗PC来实现。不同的程序模块在该PC上运行,即电报过滤器TF、电报路由器TR、第一检查部件P1、第二检查部件P2、OAM模块OM和应用监督代理ASA。图2示出了过滤器设备STL-PR的逻辑结构,而图3示出了它的物理结构。
看门狗电路WD1、WD2是具有其自身微控制器的独立插入式卡,将它们包括在过滤器设备STL-PR内。看门狗卡从PC的其它部分自发地运行,并且经由PCI接口做出响应。
看门狗电路WD1、WD2具有建立安全故障状态的任务。为此,STL-PU和STL-PR之间的网络连接的接收线路有线连接到看门狗卡上的一个中继器(参见图3)。看门狗电路WD1、WD2具有一个到与其相关联的检查部件P1、P2的接口,经由这个接口其接收生存标记。在看门狗电路中配置了一个固定时间间隔,检查部件必须在该固定时间间隔内(看门狗超时值)接收到生存标记。如果再没有接收到生存标记,则STL-PU和STL-PR之间的网络连接CTN通过中继器回动被物理地中断。将看门狗电路设计为冗余的。看门狗电路WD1、WD2由相关联的检查部件P1、P2来提供生存标记。看门狗检查发生在看门狗卡的预定的故障显示时间之内。
单独的程序模块将在下面更详细地阐明。较低的通信层确保了只有完全组装的应用电报才被转交给电报过滤器TF。这意指,电报的长度字段总是与电报的实际长度相对应。
在STL-PR处的来自N2和N1的所有进入数据以及检查电报都通过电报过滤器TF。只有被授权和被检查的电报才能通过电报过滤器TF。拒绝并记录未授权和无效的电报。如果一个电报被电报过滤器TF允许通过,则它然后被向前路由到电报路由器TR。
在示例性实施例中,电报具有以下固定的结构。关于这方面,定义了表1中列出的字段以用于铁路控制中心的控制和操作系统。
表1:电报结构
1)L对应于包含在电报内的用户数据长度。
电报结构对于安全转换器STL的其它特定应用可以有不同地理解。对于电报过滤器TF电报结构不是强制的,因为,电报过滤器原则上能够在电报中的任意位置相对于任意的模式进行过滤。但是用于铁路控制中心的控制和操作系统中的操作的较低通信层的模块需要长度字段的精确的规范,以便从TCP数据流中重组电报。电报路由器TR需要路由信息的精确规范(接收者和发起者)。如果电报结构被改变以用于其它的使用,则这些模块必须相应地进行修改。
在过滤器的输入处以扰码状态给出电报,即接收数据的所有比特都借助于XOR与预定的比特模式结合。过滤器设备STL-PR接收的电报由防火墙STL-PU来进行扰码。对从数据网络N2接收的电报在STL-PR的N1端输入处的下游进行扰码。在过滤器的输入处,电报借助于XOR被恢复到初始状态。在N1侧输入处的扰码只有在为了电报过滤器TF双向等同地执行功能的情况下才有必要;它不具有安全功能。
电报过滤器TF使用几个过滤器规则。每个过滤器规则都依次包括若干条件。在所有的条件都为真的情况下,过滤器规则被认为已经满足,然后电报可以通过。一旦启动安全转换器STL,就从过滤器规则文件中读出过滤器规则。原则上,能够相对于基于偏移和长度的任意模式来实现过滤。因此例如相对于电报类型(信息类型)、技术类型发起者地址、技术类型接收者地址来说进行过滤也是可能的。
这里有三个不同的类型的过滤器规则:肯定规则、否定规则和检查规则。永远预先确定检查电报所依照的过滤器规则的顺序:
1.否定规则的列表
2.肯定规则的列表
3.检查规则
肯定规则应是互斥的。在应用否定过滤器规则的情况下,电报被拒绝并被记录。如果对一个电报应用了肯定规则,则该电报被允许通过并向前路由。检查规则应用于专用检查电报,其是监控安全转换器STL的完整性所必需的。如果这些过滤器规则均未应用到一个电报,则将所述的电报记录并拒绝。
过滤器规则包括表2中再现的元素。
表2:过滤器规则的结构
过滤器文件的结构由以下XML模式来定义:
<?xml version=″1.0″encoding=″UTF-8″?>
<xsd:schema xmlns:xsd=″http://www.w3.org/2001/XMLSchema″
xmlns=″http://www.w3.org/2001/XMLSchema″>
<xsd:element name=″Filter Rules″>
<xsd:complexType>
<xsd:sequence>
<xsd:element name=″Filter Rule″maxOccurs=″unbounded″>
<xsd:complexType>
<xsd:sequence>
<xsd:element name=″Name″type=″xsd:string″/>
<xsd:element name=″Throughput″
type=″xsd:integer″/>
<xsd:element name=″PatternEntry″
maxOccurs=″unbounded″>
<xsd:complexType>
<xsd:sequence>
<xsd:element name=″Startposition″
type=″xsd:integer″/>
<xsd:element name=″Pattern″
type=″xsd:string″/>
<xsd:element name=″Bitmask″
type=″xsd:string″minOccurs=″0″/>
</xsd:sequence>
</xsd:complexType>
</xsd:element>
</xsd:sequence>
</xsd:complexType>
</xsd:element>
</xsd:sequence>
</xsd:complexType>
</xsd:element>
</xsd:schema>
XML格式的过滤器规则文件的示例
<?xml version=″1.0″encoding=″iso-8859-1″?>
<Filter Rules>
<Filter Rule>
<Name>KF Condition</Name>
<Throughput>0</Throughput>
<PatternEntry>
<Startposition>1</Startposition>
<Pattern>062050</Pattern>
</PatternEntry>
<PatternEntry>
<Startposition>3</Startposition>
<Pattern>062052</Pattern>
</PatternEntry>
</Filter Rule>
<Filter Rule>
<name>ZNK-SER</Name>
<Throughput>50</Throughput>
<PatternEntry>
<Startposition>1</Startposition>
<Pattern>072554</Pattern>
<Bitmask>f0ff10</Bitmask>
</PatternEntry>
<PatternEntry>
<Startposition>8</Startposition>
<Pattern>06</Pattern>
<Bitmask>0a</Bitmask>
</PatternEntry>
</Filter Rule>
<Filter Rule>
<name>Checking Rule</Name>
<Throughput>4</Throughput>
<PatternEntry>
<Startposition>1</Startposition>
<Pattern>ffffff</Pattern>
<Bitmask>f0ffff</Bitmask>
</PatternEntry>
</Filter Rule>
</Filter Rules>
能够经由配置文件激活的SBS协议的MD4附录检查还可选地由电报过滤器来执行。当该功能被打开时,安全转换器STL在电报过滤器TF的输入处对于每个未检查的电报创建MD4哈希码,并且将其与传输的电报的MD4附录相比较。在这个处理中,在每个实例中只有低阶的64位MD4哈希码相互比较,因为在SBS电报中只传输128位MD4哈希码的一半。非保形(non-conformal)的电报被记录并拒绝。
另外,电报过滤器TF执行吞吐量限制功能。为了防止具有所允许电报的IB1应用的泛滥,STL-PR中的吞吐量通过电报过滤器TF来限制。肯定过滤器规则和检查规则被认为是一个逻辑过滤器通道,电报经过它们能够通过过滤器。对于每个肯定规则,能够经由配置文件来设置一个阈值(每个单位时间的电报数)。对超过该阈值的电报进行记录并拒绝。
电报路由器TR基于SBS地址来实现路由功能。一个规划的路由表位于过滤器设备STL-PR中。SBS路由器从每个电报中提取发起者和接收SBS地址,并基于项目规划来路由电报。这意指,它经由已经确定的连接来向前路由电报。路由表中还包括用于检查电报的条目,它们具有相应的检查部件P1、P2作为其目标。
检查部件P1、P2的任务是检查电报过滤器TF、看门狗电路WD1、WD2以及检查部件P1、P2自身的功能能力。对于电报过滤器TF是否知道和是否正在应用过滤器规则不断地进行检查。为此,专用检查电报被周期性地发送回防火墙STL-PU,并从那儿被发送回过滤器设备STL-PR。
检查部件根据一个明确的方案产生并发送检查电报。下面,所述的方案将被指定为检查方案。两个检查部件都循环地、但是以时间偏移的方式来执行相同的检查方案。时间偏移通过以时移方式启动检查部件P1、P2并且以变化的开始索引来开始检查计划来获得。在STL-PR的启动过程中,检查部件P1首先被启动,并且开始执行索引1处的检查计划。然后,检查部件P2在15s后启动并在索引11处开始。因此,检查部件P1开始在几分钟之后检验看门狗电路WD1;检查部件P2只有在24小时后才检验看门狗电路WD2。因此,每24小时就交替地检验两个看门狗电路WD1、WD2中的一个。
检查方案在图10中被说明为表3。所述检查方案包括下列段:过滤器测试、吞吐量限制检查、序列号检查、校验和检查以及看门狗检查。两个检查电报之间的时间间隔在这里小于看门狗的超时值。检查部件本身并不知道相应段的功能。从检查方案中得到字段信息类型、延迟系数和看门狗延迟,并将其插入将要被发送的检查电报中。检查部件依照检查方案用一个讹误(corruption)模式完成其自身的序列号,并且把所述序列号输入到将要被发送的检查电报中。事实上,只有一旦在检查方案内,序列号才会确实地被误用(用不正确的序列号发送电报)。讹误字节根据检查方案被输入到检查电报中。为了检查电报还要创建一个MD4附录。
将必须被电报过滤器拒绝的电报指定为中毒电报(poisoningtelegram),因为在错误地不拒绝它们的情况下,它们会导致其中一个看门狗的连接中断。
中毒电报是一个专用检查电报。如果它由检查部件P1、P2接收,则假定了安全故障状态。为此,一个中毒电报包含一个很高的延迟系数。如果检查部件P1、P2接收这类电报,则推迟下一个将要根据检查方案发送的电报,以至于在看门狗超时值之内不发送生存标记。因此,相关的看门狗电路永久地中断网络。这个状态不能被另外的检查电报改变;因此中毒电报的接收是不可逆转的。
此外,还定义了一个看门狗重置电报。如果检查部件接收了一个具有这个专用信息类型的检查电报,则它初始化看门狗卡。看门狗卡的中继器在该初始状态中已经变得可操作,即STL-PR和STL-PU之间的连接没有被中断。
在示例性方式中(看门狗超时值=67s),检查方案将被理解如下:
1.每30s发送一个检查电报10次
2.等待30s
3.每100ms发送一个检查电报10次
4.等待10ms
5.发送1个中毒电报
6.等待29s
7.发送1个检查电报
8.等待2s
9.发送1个具有不正确序列号的中毒电报
10.等待2s
11.发送1个具有检查规则的讹误字节=0xFF的中毒电报
12.等待2s
13.发送1个校验和的讹误字节=0xFF的中毒电报
14.等待24s
15.发送1个检查电报
16.等待2s
17.发送1个看门狗重置电报
18.等待70s
19.发送1个中毒电报
20.等待18s
21.每30s发送一个检查电报2865次
22.等待30s
23.每30s发送一个检查电报2880次(对应于24小时)
24.从1开始。
检查电报具有下列结构:
-长度:电报长度
-发起者地址:发送电报的部件的具体STL的SBS地址
-接收者地址:接收电报的部件的具体STL的SBS地址
-序列号:连续号
-信息类型:具体STL检查电报信息类型(过滤器测试、看门狗重置)
-延迟系数:延迟系数
-看门狗延迟:看门狗延迟
-校验和:与静态系统数据的存储映射有关的校验和
-校验和的讹误字节:校验和的故意讹误
-检查规则的讹误字节:检查电报的故意讹误
-MD4附录:与整个电报有关的校验和
需要序列号以用于创建校验和;借助于这些号码,每个检查电报,并因此每个检查电报的校验和也都是不同的。所有的检查电报都包含一个连续的序列号。在发送检查电报的过程中,每个检查部件在这里插入其之前发送电报的数量。其序列号小于之前接收的序列号的进入检查电报会被拒绝。
检查部件在其数据中包括一个时间间隔系数。在接收一个检查电报的过程中,所包含的延迟系数被乘以该时间间隔系数,并且将结果存储为新的时间间隔系数。发送两个检查电报之间的时间间隔由时间间隔系数和时间间隔(参见检查方案中的“时间间隔”栏)的乘积来计算。检查部件在它向看门狗发送消息(生存标记或重置)之前等待这个时间。
OAM模块向文件写入事件,这通常也被指定为"记录"。将记录以下事件:
-未授权电报,
-超过阈值的电报,
-安全故障状态,
-由STL-PU经由系统记录报告的事件(系统记录具有到STL-PU的UDP连接,经由该连接接收系统记录消息),
-记录器能够经由配置文件这样来设置,以使它还经由STL记录全部的数据业务,即它记录所有的电报。
OAM维护一个到ASA的接口。原则上,将所有的前述事件都报告给ASA。为了避免例如由于吞吐量的持续超出而造成的系统过载,可以配置每个单位时间最多报告多少事件。OAM循环地把STL的状态报告给ASA。
ASA的任务是使得OAM模块报告的事件可在数据网络N1中可用于IB1系统管理。而且,ASA监控OAM模块是否正在循环地报告STL的状态。如果情况不是这样,则将一个错误消息中继给IB1的系统管理。
过滤器设备STL-PR的独立功能中的完整性检查的发生的方式将在下面描述。
必须在正在进行的操作中不断地监控电报过滤器TF的功能。这借助于专用的过滤器规则检查电报来进行。检查电报只通过检查电报过滤器通道,即它之前通过过滤器规则系统的所有的肯定和否定过滤器规则。最后的过滤器规则是一个检查电报的肯定规则。因此,将检查电报评估为已授权,并且将其经由电报路由器TR转发给检查部件P1、P2。如果检查部件P1、P2已经接收到这个检查电报,则它向看门狗电路WD1、WD2发送一个生存标记。因此保证了电报过滤器TF正在起作用,即正在应用过滤器规则。检查部件P1、P2中缺少检查电报的接收会导致发射到看门狗电路WD1、WD2的生存标记的暂停。在图4中示出了过滤器检查的情况的流程图。
检查部件P1、P2基于它们的检查方案彼此发送检查电报。这些电报用于过滤器检查,并且用作看门狗电路WD1、WD2的生存标记触发。检查方案受到到达电报内包含的延迟系数的影响。延迟系数在一般情况中等于1,即检查方案保持不受影响。检查部件在看门狗延迟(已经从接收到的检查电报中读出看门狗延迟)期满之后向它的看门狗电路发送一个生存标记。借助于这个处理,确保了向两个看门狗电路都提供生存标记,并且该网络连接CTN保持存在。
过滤器故障时的情况在图5中以一个流程图的形式来表示。
情况1:如果检查电报不再通过过滤器,则电报过滤器TF被认为已经故障。检查部件P1、P2则不再接收检查电报,即不再将生存标记发送给看门狗电路WD1、WD2。看门狗电路WD1、WD2然后永久地中断网络连接CTN。由此,已经建立安全故障状态。
情况2:如果所有的电报都通过过滤器,则电报过滤器TF被认为已经故障。根据检查方案,分发一个中毒电报,其已经故意地误用了一个字节。所述中毒电报仍然是一个检查电报,但是它不遵循电报过滤器TF的检查电报规则;在电报过滤器起作用的情况下它将被拒绝。此外,这个情况另外还将在吞吐量限制检查期间被显示出来,因为如果吞吐量限制不起作用则中毒电报还是会被接收。由此,不再分发检查电报。然后,看门狗电路永久地中断网络连接CTN,并且已经建立安全故障状态。
另外,防火墙STL-PU还假定了安全故障状态,因为不再通过它传输检查电报。
数量限制也被配置在检查电报的过滤器规则中。检查部件以规律的间隔发送检查电报的突发。这类突发的最后一个电报总是一个专用中毒电报。如果吞吐量限制起作用,则这类中毒电报永远不能到达检查部件P1、P2,因为在电报过滤器TF中它已经被拒绝。如果吞吐量限制发生故障,则检查部件P1、P2接收这个中毒电报;然后,检查部件P1、P2不再向看门狗电路发送生存标记。由此而获得了安全故障状态。
在图6中,看门狗电路WD1、WD2的检验以一个流程图的形式来表示。在这种情况下,以规律的间隔做检查,以检查是否每个看门狗电路WD1、WD2能够建立安全故障状态。检查部件的检查方案包含一个用于看门狗检查的段。基于该检查方案,检查部件P1发送一个专用看门狗重置电报。在这个检查电报中,看门狗延迟大于看门狗电路的看门狗超时值。基于该看门狗重置电报的接收,检查部件P2在电报内包含的看门狗延迟期满之后产生一个对看门狗电路WD2的重置命令。基于它的检查方案,检查部件P1首先不再进一步发送检查电报。看门狗电路WD2因此在其看门狗超时值内没有获得生存标记,并且中断该网络直到它接收到重置之时为止。就在看门狗重置电报之后,检查部件P1向检查部件P2发送一个中毒电报。然而,这个电报没有到达检查部件P2,因为看门狗电路WD2已经中断了网络。检查部件P1因此再次向检查部件P2发送“正常的”检查电报,其会触发看门狗电路WD2的生存标记,同时看门狗电路WD2已经借助于该重置来重建网络连接。
相同的情况也以时移方式(根据检查方案)由检查部件P2来运行,并且由此检验看门狗电路WD1。
在图7中用一个流程图来示出看门狗电路故障的情况。如果看门狗电路WD2发生故障,则网络不被中断,即检查部件P2接收该中毒电报。这在检查部件P1中导致了生存标记被暂停发送到看门狗电路WD2,看门狗电路WD2然后会中断网络。因此,甚至在看门狗电路WD1发生故障的情况下,也可借助于第二看门狗电路WD1来获得安全故障状态。相同的情况应用于“故障的看门狗电路WD1”。
两个检查部件互相检验。检查部件P1向检查部件P2发送检查电报;检查部件P2向检查部件P1发送检查电报。如果一个检查部件发生故障或出错,则不再将生存标记发送到相关联的看门狗电路。由此,获得了安全故障状态。
此外,确保了将从硬盘读入的数据在STL启动时还没有被误用。为此,在写入之后,由这些数据创建校验和,并且将其与类似地在硬盘上的校验和相比较。如果存在差值,则终止安全转换器STL的启动。
已经被读入的静态系统数据必须被不断地检查以避免存储器中随机的讹误。这些数据由不同的部件(检查部件P1、检查部件P2、电报过滤器TF)保持在不同的存储区域中。对于每个接收的检查电报,过滤器部件由一个字节序列创建校验和,该序列包括:
-在其自身的存储器中的过滤器规则
-在其自身的存储器中的检查方案
-序列号(接收的电报的组成部分)。
这个校验和由过滤器部件输入到检查电报中,并且将其中继给电报路由器TR。正在接收的检查部件类似地由其自身的存储器中的过滤器规则和检查方案以及所接收的序列号来创建校验和。检查部件比较来自接收的电报的校验和+讹误字节与具体计算的校验和+讹误字节=0(固定编码的)。如果检查部件确定了一个差值,则部件的静态系统数据已经被误用。正在检测的检查部件然后拒绝这个检查电报,即不向看门狗发送生存标记。几个被拒绝的检查电报会导致安全故障状态。
在图8中序列号检查和校验和检查被显示为一个流程图。为此,以规律间隔检查是否正在拒绝具有无效校验和的电报。检查部件的检查方案包含一个用于校验和检查的段。基于它的检查方案,该检查部件发送一个具有讹误字节=0xFF的中毒电报。如果该检查起作用,则拒绝这个电报,并且正在运行的系统保持不受影响。另外,以规律的间隔检查是否正在拒绝具有无效序列号的电报。检查部件的检查方案包含一个用于序列号检查的段。基于它的检查方案,该检查部件发送一个具有无效序列号的中毒电报。如果该序列号检查起作用,则拒绝这个电报,并且正在运行的系统保持不受影响。
序列号检查或校验和检查的故障导致图9中以流程图形式示出的情况。如果校验和检查或序列号检查不再起作用,则中毒电报会到达检查部件。这会导致安全故障状态。
已经参考安全转换器STL在IB3和IB1之间的转换的具体应用描述了本发明。但是,当然,它同样地适用于IB2-IB1的转换。转换到IB2还是IB3取决于ZLV总线的连接。为简化起见只考虑了转换到IB3的情况,因为在其它情况中这些要求是更适中的。
Claims (8)
1.一种用于把与较低安全级别有关的数据网络连接到与较高安全级别有关的数据网络的装置,包括
-电报过滤器,用于根据预定的过滤器规则从具有较低安全级别的所述数据网络中过滤电报,
-第一检查部件,其被设计用于产生检查电报并经由所述电报过滤器把它们发送到第二检查部件,以及
-由所述第二检查部件激活的看门狗电路,其被设计用于,只要它从所述第二检查部件接收规律的生存标记,就保持具有较低安全级别的所述数据网络和具有较高安全级别的所述数据网络之间的连接是闭合的,并且其被设计用于,如果它在预定时段内没有接收到生存标记,则自动地中断该连接,
所述第二检查部件被设计用于,在接收到根据所述过滤器规则被允许的检查电报之后,产生一个用于所述看门狗电路的生存标记,并且在接收到根据所述过滤器规则不被允许的检查电报之后,在所述预定时段内禁止产生用于所述看门狗电路的生存标记。
2.根据权利要求1的装置,其中,该所述第二检查部件包括时间间隔系数,该系数影响一个时间间隔,在该时间间隔之后产生用于所述看门狗电路的生存标记,并且其中所述检查电报包括延迟系数,该延迟系数被乘以计时器的延迟值,根据所述过滤器规则被允许的检查电报包括所述延迟系数1,而根据所述过滤器规则不被允许的检查电报包括比所述延迟系数1更高的延迟系数。
3.根据权利要求1的装置,包括第二看门狗电路,其由所述第一检查部件来激活,并且其被设计用于,只要它从所述第一检查部件接收规律的生存标记,就保持具有较低安全级别的所述数据网络和具有较高安全级别的所述数据网络之间的连接是闭合的,并且其被设计用于,如果它在预定的时段中没有接收到生存标记,则自动地中断该连接;所述第二检查部件被设计用于产生检查电报,并经由所述电报过滤器把它们发送到所述第一检查部件,并且所述第一检查部件被设计用于,在接收到根据所述过滤器规则被允许的检查电报之后,产生用于所述第二看门狗电路的生存标记,并且在接收到根据所述过滤器规则不被允许的检查电报之后,在所述预定时段内禁止产生用于所述第二看门狗电路的生存标记。
4.根据权利要求3的装置,其中,所述两个检查部件的每一个都包括时间间隔系数,该系数影响一个时间间隔,在该时间间隔中下一个检查电报被发送给另一个检查部件,并且其中所述检查电报包括延迟系数,该延迟系数被乘以该时间间隔系数并被存储作为一个新的时间间隔系数,根据所述过滤器规则被允许的检查电报包括延迟系数1,而根据所述过滤器规则不被允许的检查电报包括比所述延迟系数1更高的延迟系数。
5.根据权利要求3的装置,其中所述第一和第二看门狗电路串联地连接。
6.根据前述权利要求之一的装置,包括一个具有TCP代理的防火墙,被设置在具有较低安全级别的所述数据网络和所述电报过滤器之间,检查电报经由所述防火墙从所述检查部件被路由到所述电报过滤器,并且所述看门狗电路中的一个或两个被设计用于中断所述防火墙和所述电报过滤器之间的连接。
7.根据权利要求1至5中任意一项的装置,其中所述电报过滤器和所述两个检查部件采用计算机上运行的程序模块的形式,并且所述第一和/或第二看门狗电路被构造成插入计算机中的插入式卡。
8.一种用于检查装置的完整性的方法,该装置用于把与较低安全级别有关的数据网络连接到与较高安全级别有关的数据网络,并且该装置包括电报过滤器,以便根据预定的过滤器规则从具有较低安全级别的所述数据网络中过滤电报,还包括看门狗电路,被设计用于,只要它接收到规律的生存标记,就保持具有较低安全级别的所述数据网络和具有较高安全级别的所述数据网络之间的连接是闭合的,并且其被设计用于,如果它在预定时段上没有接收到生存标记,则自动地中断该连接,下列步骤在该方法的过程中被执行:
-产生检查电报并经由所述电报过滤器将其发送给检查部件,
-在接收到根据所述过滤器规则被允许的检查电报之后,所述检查部件产生用于看门狗电路的生存标记,并且
在接收到根据所述过滤器规则不被允许的检查电报之后,所述检查部件在预定时段内禁止产生用于所述看门狗电路的生存标记。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP04293124A EP1675342B1 (de) | 2004-12-23 | 2004-12-23 | Vorrichtung und Verfahren zur sicheren Fehlerbehandlung in geschützten Kommunikationsnetzen |
EP04293124.6 | 2004-12-23 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1794726A CN1794726A (zh) | 2006-06-28 |
CN100521685C true CN100521685C (zh) | 2009-07-29 |
Family
ID=34931657
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200510127559.1A Active CN100521685C (zh) | 2004-12-23 | 2005-12-05 | 安全转换器及用于检查其完整性的方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20060143449A1 (zh) |
EP (1) | EP1675342B1 (zh) |
CN (1) | CN100521685C (zh) |
AT (1) | ATE345011T1 (zh) |
DE (1) | DE502004001973D1 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8185944B2 (en) * | 2006-02-28 | 2012-05-22 | The Boeing Company | High-assurance file-driven content filtering for secure network server |
FR2922705B1 (fr) * | 2007-10-23 | 2011-12-09 | Sagem Defense Securite | Passerelle bidirectionnelle a niveau de securite renforce |
EP2131256B1 (de) * | 2008-06-04 | 2012-05-30 | VEGA Grieshaber KG | Ermitteln von Telegrammlängen |
US8286231B2 (en) * | 2009-01-28 | 2012-10-09 | The Boeing Company | System and method for information sharing between non-secure devices |
US8407779B1 (en) * | 2011-07-29 | 2013-03-26 | Juniper Networks, Inc. | Transposing a packet firewall policy within a node |
US9858324B2 (en) | 2013-06-13 | 2018-01-02 | Northrop Grumman Systems Corporation | Trusted download toolkit |
CN105072059B (zh) * | 2015-06-30 | 2018-09-21 | 乐孝春 | 民航空管自动化系统防电报拥堵解决方法和系统 |
DE102016208937A1 (de) * | 2016-05-24 | 2017-11-30 | Robert Bosch Gmbh | Kraftfahrzeug-Schnittstelleninterface |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6735702B1 (en) * | 1999-08-31 | 2004-05-11 | Intel Corporation | Method and system for diagnosing network intrusion |
US8266677B2 (en) * | 2000-12-20 | 2012-09-11 | Intellisync Corporation | UDP communication with a programmer interface over wireless networks |
US20020138627A1 (en) * | 2001-03-26 | 2002-09-26 | Frantzen Michael T. | Apparatus and method for managing persistent network connections |
EP1449093A4 (en) * | 2001-10-18 | 2005-06-08 | Univ Nebraska | ERROR TOLERANT FIREWALL LAYER STRUCTURES |
EP1634175B1 (en) * | 2003-05-28 | 2015-06-24 | Citrix Systems, Inc. | Multilayer access control security system |
-
2004
- 2004-12-23 DE DE502004001973T patent/DE502004001973D1/de active Active
- 2004-12-23 EP EP04293124A patent/EP1675342B1/de active Active
- 2004-12-23 AT AT04293124T patent/ATE345011T1/de not_active IP Right Cessation
-
2005
- 2005-11-23 US US11/285,282 patent/US20060143449A1/en not_active Abandoned
- 2005-12-05 CN CN200510127559.1A patent/CN100521685C/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN1794726A (zh) | 2006-06-28 |
EP1675342A1 (de) | 2006-06-28 |
DE502004001973D1 (de) | 2006-12-21 |
EP1675342B1 (de) | 2006-11-08 |
ATE345011T1 (de) | 2006-11-15 |
US20060143449A1 (en) | 2006-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100521685C (zh) | 安全转换器及用于检查其完整性的方法 | |
CN1761240B (zh) | 用于高度可实现性应用的智能集成网络安全设备 | |
KR101977731B1 (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
US8146149B2 (en) | Apparatus and method for protecting a medical device and a patient treated with this device against harmful influences from a communication network | |
US9813448B2 (en) | Secured network arrangement and methods thereof | |
EP2916511B1 (en) | High assurance security gateway interconnecting different domains | |
US9306959B2 (en) | Dual bypass module and methods thereof | |
CN107026843A (zh) | 用于监测交通工具上的计算设备的方法、系统和介质 | |
US10554497B2 (en) | Method for the exchange of data between nodes of a server cluster, and server cluster implementing said method | |
WO2021076340A1 (en) | Token-based device access restriction systems | |
CN104718727A (zh) | 通信网络和用于运行通信网络的方法 | |
CN103516458A (zh) | 具有错误减轻的通信装置、系统和方法 | |
KR101881061B1 (ko) | 모드 변경이 가능한 양방향 통신 장치 및 방법 | |
CN111385286A (zh) | 用于保护车辆免受网络攻击的方法和相应的设备 | |
CN105306582A (zh) | 一种远程更换gyk运行控制程序的系统及方法 | |
CN112583932B (zh) | 业务处理方法、装置及网络架构 | |
CN106650459A (zh) | 维护分布式存储系统数据可信的系统及方法 | |
CN114600424A (zh) | 用于过滤数据流量的安全系统和方法 | |
JP4531565B2 (ja) | インテリジェント・ネットワーク・コントローラ | |
CN113901478B (zh) | 一种通信安全验证的方法、装置、设备及存储介质 | |
CN108156098B (zh) | 一种基于powerlink的通信网络系统 | |
EP2540050B1 (en) | Dual bypass module | |
Kypraios | Security solutions for denial of service attacks in smart vehicles. | |
Leu et al. | A verification flow for FlexRay communication robustness compliant with IEC 61508 | |
Lee et al. | Physical layer redundancy method for fault-tolerant networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |