CN104901874B - 互连不同域的高保障安全网关 - Google Patents
互连不同域的高保障安全网关 Download PDFInfo
- Publication number
- CN104901874B CN104901874B CN201510098426.XA CN201510098426A CN104901874B CN 104901874 B CN104901874 B CN 104901874B CN 201510098426 A CN201510098426 A CN 201510098426A CN 104901874 B CN104901874 B CN 104901874B
- Authority
- CN
- China
- Prior art keywords
- component
- basic
- components
- domain
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出了一种互连不同域的高保障安全网关,该网关具有如下架构:授权位于不同域的应用之间的双向通信,并且呈现出高保障级别的保护。该网关使用虚拟化平台,并且包括一组功能块(9、11、13、15、17),所述一组功能块(9、11、13、15、17)被配置成授权沿第一域(5)与第二域(7)之间的两个不同路径(19、21)的安全双向数据流动,所述一组功能块被分解成多个基本可评估组件,所述多个基本可评估组件中的每个基本可评估组件具有指定功能并且适于与其它预定义的基本组件进行通信。
Description
技术领域
本发明总体涉及互连不同域的高保障安全网关,并且具体涉及在嵌入式基础设施中的高保障安全网关。
背景技术
在大多数工业领域中,常常使具有不同应用的不同系统彼此通信以便实现分配。每个应用可以被认为是一组功能,并且每个功能是有助于执行该应用要完成的任务的一部分的一款软件。例如,车辆或飞行器中的许多不同类型的设备需要通过通信系统彼此交换数据,以便实现对车辆或飞行器的操纵。每个类型的设备可以具有一组特定的功能或应用,所述一组特定的功能或应用具有不同级别的关键性,这取决于它们的重要性。在应用的关键性的作用下将特定的安全级别关联于每个应用。因此,重要的且实际上有用的是建立如下机制:在不影响应用的安全的情况下允许在具有不同安全级别的域中的应用之间进行信息的有效交换。
一种解决方案将包括:通过在不同的物理系统上容纳各个应用来物理地分离不同的应用并且经由网络通道连接所述应用。经由该网络通道的数据交换需要由用于保护信息交换的控制装置来控制。
嵌入式环境的计算资源过去根本不足以容纳一个功能。然而现在,由于计算资源的当前日益增长的效率,趋势是完全相反的并且包括将若干应用或功能放置在同一物理系统上,以便使用由该系统提供的全部计算能力和存储器存储能力。这使得能够避免浪费未使用的资源,进而因此降低生产成本以及对于飞行器、卫星或车辆非常重要的系统的总重量。然而这种架构具有助于误差的传播的缺点。实际上,系统的一个部分的任何设计或实施误差可能导致影响系统的其它部分的故障。从安全角度来解决该困难,例如在飞行器环境中通过现有的集成模块化航空电子(IMA)架构来消除从系统的一个部分传播到另一部分的设计或实施误差。此外,在最近几年,已经开发出虚拟化技术,以便考虑与恶意企图有关的安全方面。因此,如今的趋势是通过为不同应用之间的严格运行时间环境隔离提供良好的保障级别以在同一物理系统上容纳多个应用。一个这样的安全架构是基于针对执行环境和严格的通信路径的严格的隔离特性所构建的多个独立的安全级别(MILS)。实际上,在这些应用之间没有任何干扰的情况下MILS架构允许系统容纳具有不同安全级别或相同安全级别的多个应用或功能。
然而,仍然存在如下问题:如何保护以不同的安全级别表征的若干应用的安全同时授权所述应用之间的双向信息交换。例如,如果由于一个原因或另外的原因而导致系统的一部分变成恶意的,则需要防止系统的该部分试图故意损坏系统的其它部分。
存在有一些安全技术,其部分解决了以不同的安全级别进行通信的问题。
一种这样的技术是解决保密方面的Bell-La Padula模型。该模型基于“不向下写、不向上读”策略。换言之,不允许具有高安全级别的第一域将任何数据写入或传送至具有低安全级别的第二域,但是允许第一域从第二域读取数据。另一方面,不允许具有低安全级别的第二域从具有高安全级别的第一域读取数据,但是授权第二域向第一域写入数据。
另一种已知方法是Biba完整性模型,该模型定义了旨在确保数据完整性的一组访问规则。该模型基于“不向下读、不向上写”策略。换言之,不允许具有高安全级别的第一域读取或使用来自具有低安全级别的第二域的任何数据。另一方面,不允许第二域向具有高安全级别的第一域写入或传送任何数据。
很显然,上述两个模型无法同时被实现。因此,为了在同一时间授权关于这两个模型在两个域之间的双向通信,应当实施复杂的应用层代理。然而,复杂的代理很难以高保障级别进行分析。
实际上,认证复杂的代理的困难由所述代理的软件架构进行推断,因为所述代理整合了若干功能并且通过大量的软件代码(即几十万行的代码)来实现。通用准则标准提供了针对计算机系统的安全认证的框架和指导。该标准定义了七个评估保障级别(EAL)。EAL7提供了最高的保障级别,但是还需要对接受评估的系统进行形式化建模。呈现出比EAL 4的级别较高的级别的安全评估在国际上不被认可。因此,要求高EAL级别的系统需要来自将使用该系统的不同国家的多个认证。
因此,本发明的目的是提出一种网关和用于实现该网关的有效方法,所述网关——其具有授权位于不同域(其可能具有不同的安全级别)的应用之间的双向通信的构架——呈现出高保障级别的保护、有效地使用硬件资源、适于在嵌入式环境中使用、以及允许实现较容易的安全认证,而不具有上述缺点。
发明内容
本发明由使用虚拟化平台并且适于互连不同域的网关来限定,所述网关包括一组功能块,所述一组功能块被配置成授权沿第一域与第二域之间的两个不同路径的安全双向数据流动,所述一组功能块被分解成多个基本可评估组件(在下文中被称为基本组件),所述多个基本可评估组件中的每个基本可评估组件具有指定功能并且适于与其它预定义的基本组件进行通信。
该网关使得能够实现沿位于两个不同域中的并且可能具有不同安全级别的应用之间的两个不同路由的双向的且高度安全的通信。具体地,所述基本组件被配置成足够小以便可以易于分析,进而因此保护具有高保障级别的应用的安全。基本的安全增强特性是:这些基本组件可以经由明确定义的网关内部通信路径仅在彼此之间进行交互,同时这些组件彼此之间的所有其它非预期的干扰被禁止。
本发明还涉及一种包括根据上述特征的所述网关的嵌入式基础设施(例如计算机)。
此外,本发明涉及一种包括根据上述特征的所述网关的飞行器通信系统。
此外,本发明涉及一种用于构造使用(例如MILS类型的)虚拟化平台的并且适于互连具有不同安全级别的不同域的网关的方法,该方法包括如下步骤:
-定义并分析一组功能块,所述一组功能块被配置成授权沿两个不同域之间的两个不同路径的安全双向数据流动;
-以迭代方式将所述一组功能块分解成多个基本可评估组件(在下文中被称为基本组件),所述多个基本组件中的每个基本组件具有指定功能并且适于与其它预定义的基本组件进行通信。
附图说明
通过参照附图阅读本发明所给出的优选实施方式,本发明的其它特征和优点将变得明显,在附图中:
图1示意性地示出了根据本发明的适于使可能具有不同安全级别的不同域互连的网关;
图2是示出用于根据图1的实施方式来构造网关的方法的流程图;
图3示意性地示出了根据本发明的第一实施方式的适于使具有不同安全级别的第一域和第二域互连的网关;
图4A和图4B示意性地示出了根据本发明的不同实施方式的基本过滤组件的不同配置;以及
图5示意性地示出了根据本发明的第二实施方式的适于使第一域和第二域互连的网关。
具体实施方式
本发明的构思由以下构成:将网关的功能分解成可以容易进行评估或分析的足够小的组件。
图1示意性地示出了根据本发明的适于使可能具有不同安全级别的不同域互连的网关。
网关1使用MILS类型的虚拟化平台3,并且网关1被设计成利用这样的平台的强隔离特性和指定通信信道以便同时容纳若干功能。
要想到的是,针对高保障需求而开发的虚拟化平台3基本上基于不同功能之间的严格隔离特性和不干扰特性。实际上,虚拟化平台3提供了针对每个功能创建孤立的运行时间环境(一般被称为分区)的可能性。虚拟化平台3还提供了分区之间的强时空隔离(即不同功能所共享的硬件资源与软件资源之间的不干扰特性)。此外,虚拟化平台3提供了由平台3容纳的不同分区之间的安全通信装置以及平台3的一个或更多个分区与外部域之间的安全通信装置(例如网络接口)。可以通过使用软件和/或硬件虚拟化技术例如MILS分离内核虚拟化操作系统或者满足上述特性的任何其它虚拟化操作系统来构建虚拟化平台3。平台3的硬件部分通常包括互连一个或更多个处理单元(未示出)的通信总线(未示出)、存储设备(未示出)以及一个或更多个(可能虚拟化的)网络接口(未示出)和用于管理直接存储器存取的特定硬件模块(未示出)例如输入输出管理存储器单元(IOMMU)。
根据本发明,网关1适于互连可能具有不同安全级别的不同域5、7。为了简单起见,图1的示例示出了适于与第二域7进行通信的第一域5,但是当然,第一域5还可以与第三域(未示出)进行通信,而第二域7同样可以与第四域(未示出)进行通信等等。
网关1包括一组功能块9-17,所述一组功能块9-17被配置成授权在第一域5与第二域7之间沿相反方向的两条不同路径19、21的安全双向数据流动。所述一组功能块9-17被分解成多个基本可评估组件91-173。所述基本可评估组件(以下称为基本组件)是指可分析或可评估的足够小的组件。换言之,这意味着所述基本组件的代码复杂度很简单,以便容易通过将模型(例如分析模型或形式化方法)与给定实施相关联来进行对该组件的分析,并且针对组件规范来证明组件的正确性。特别地,形式化方法适合用于以高保障级别来表征基本组件。作为示例,具有少于约8000行的高级语言代码(LOC)的组件被认为是足够小到可以通过形式化方法进行评估。要注意的是,组件越小,就越简单,并且因此,就越容易证明组件的功能的正确实施。
所要求的保障级别(EAL)限定了基本组件的大小,并且因此限定了基本组件的复杂度。较高的保障级别(即通过提供较高保障使给定功能被正确地实施)需要较高的认证工作,并且因此,较小的组件对于处理可负担得起的认证费用而言将会是更有利的。
此外,每个基本组件具有明确指定或定义的功能(亦即基本组件获知在任何情况下到底该怎么做)。基本组件还适于与其它预定义的基本组件进行通信。换言之,基本组件具有明确定义的接口以用于与其它明确识别的组件进行经授权的通信。
因此,根据本发明,网关1被分解成明确定义的足够小的且可评估的组件或模块,所述组件或模块被称为基本组件91-173。
图2是示出根据图1的实施方式来构建网关的方法的流程图。
在步骤E1中,定义并分析了网关1的主要功能。例如定义并分析了一组功能块11-17,以便授权在两个不同的域5、7之间沿两个不同路径19、21的安全双向数据流动。这些功能块11-17被配置成在虚拟化平台(例如MILS类型的虚拟化平台或者确保强分离特性的任何其它平台)上运行,并且包括适于接收数据流的接收块11、13;与接收块分离的并且适于发送数据流的发射块15、17;适于分析应用层协议数据流安全的分析块9等。
步骤(E2-E4)涉及将所述一组功能块11-17迭代分解成多个基本可评估组件111-173。
具体地,在步骤E2中,每个功能块被分解成具有明确定义的功能的较小功能组件。根据明确指定的授权规则,功能组件适于并允许彼此进行通信。
例如,对于给定协议,由功能块实施的一组安全规则被细分为若干不同的子集,每个子集对应于仅具有非常少的元素(即一个或两个规则)的不同功能组件。
在步骤E3中,确定每个功能组件的复杂度。例如,针对每个组件估计分支的数量和/或代码行(LOC)的数量,以便确定组件是否足够小到可以根据针对该组件所选择的保障级别进行分析。
步骤E4是停止准则,用于测试所有功能组件是否为基本组件(亦即所有功能组件是否足够小到可以以期望保障级别进行分析,注意,不同组件可以以不同保障级别进行评估)。如果测试的输出为所有功能组件不是基本组件,则重复步骤E2-E4,而如果测试的输出为所有功能组件是基本组件,则在步骤E5中确定网关1的最终架构。因此所得到的网关1是在虚拟化平台上容易进行评估并容纳的简单基本模块例如以组件111-173为例的有效组合。
要注意的是,基本组件111-173可以彼此独立地进行开发和认证,并且因此,可以在任何时间通过引入新的基本组件对网关1进行更新。可以由诸如检测到基本组件的潜在漏洞、修改现有组件的功能(例如修改要由给定组件施加的安全规则)、或者增加新的提升整体网关功能的组件(例如针对新的应用层协议增加数据流的处理)等事件来触发网关的一个或更多个组件的更新。
图3示意性地示出了根据本发明的第一实施方式的适于使具有不同安全级别的第一域和第二域互连的网关。
根据本实施方式,第一域5的特征在于其安全级别高于第二域7的安全级别。从安全的角度来看,这意味着:第一域5的资产被认为比第二域7的资产更重要且更有价值。给定域的资产为该域所容纳的应用、功能或数据。显然,当所述两个域5、7属于同一基础设施(飞行器、卫星、船或车辆)时(通常都是这种情况),二者的安全级别之间的比较简单。
网关1由虚拟化平台3容纳,并且网关1被配置成授权在第一域5与第二域7之间沿两个不同且独立的(单向的)路径19、21的安全双向数据流动。具体地,网关1必须确保:在所述两个域5、7之间的通信期间,第一域5的安全不会被可能由以较低安全级别为特征的第二域7引入的潜在威胁所损坏。因此,在第一位置中,位于第一域5中的资产的完整性和可用性必须由网关1保护,而仅在第二位置中考虑所述两个域5、7之间的通信的可用性。
图3的示例示出:网关1包括基本组件911a-933c的分析块9、基本组件111-117的第一接收块11和基本组件131-137的第二接收块13、基本组件151-153的第一发射块15和基本组件171-173的第二发射块17、以及第一网络接口卡NIC(或组件)25和第二网络接口卡NIC(或组件)27。明确定义了所有元素(即元素组件和网络接口组件),并且所有元素彼此进行通信或者根据明确定义的应用编程接口(API)与底层虚拟化平台进行通信,所述API明确指定了这些元素之间的相互作用。例如,在航空电子环境中,所述API可以是ARINC 653或AFDX标准的子集。
每个基本组件可以在由同时容纳所有分区的MILS类型的虚拟化平台提供的一个或若干个分区中实施。
网关1的入口端是第一网络接口组件25和第二网络接口组件27,所述第一网络接口组件25和所述第二网络接口组件27分别被配置成与第一域5和第二域7进行通信。第一网络接口组件25连接至第一接收块11并且连接至第二发射块17。第二网络接口组件27连接至第二接收块13并且连接至第一发射块15。
第一接收块11和第二接收块13分别被配置成:沿第一路径19接收来自第一域5的数据和沿第二路径21接收来自第二域7的数据,并且以网络安全级别分析每个接收到的数据。
特别地,第一接收块11包括第一基本堆栈接收器组件111、第一基本流安全接收器组件113、第一基本流调度接收器组件115以及第一通信管理器接收器组件117。
第一基本堆栈接收器组件111被配置成通过将每个数据帧分解成独立的数据字段来处理来自第一域5的数据帧的输入流,其中所述独立的数据字段沿第一路径19形成数据字段的流。
第一通信管理器接收器组件117被配置成管理确认消息。实际上,第一通信管理器接收器组件117适于将对接收到的包的确认发送回至接口组件25(箭头22)或者将接收到的确认发送至堆栈发射器组件173(箭头24)。
第一基本流安全接收器组件113被配置成接收来自第一基本堆栈接收器组件111的数据字段的流,以将用于寻址通信合作者所必需的有用字段复制到内部结构(未示出)中,并且将网络安全规则施加至这些有用字段。网络安全规则包括用于检查例如数据字段的目的地和/或源被授权的规则、用于检查网络层处不存在残缺字段的规则、以及其它网络规则。
第一基本流调度接收器组件115被配置成接收有用字段并且在将所述有用字段发送至分析块9之前对所述有用字段实施初级应用层安全规则。
类似地,第二接收块13包括第二基本堆栈接收器组件131、第二基本流安全接收器组件133、第二基本流调度接收器组件135和第二通信管理器接收器组件137。所有这些组件都具有与第一接收块11中的组件等同的功能,但是所有这些组件都与第二接口组件27有关。
分析块9包括第一组基本控制组件91和第二组基本控制组件93以及一组相关联的基本状态性背景组件95(951、953、955)。每组的三个基本组件仅作为示例示出,当然组件的数量没有限制并且取决于整体网关功能。
第一组基本控制组件91包括第一组基本观测组件911(911a-911c),所述第一组基本观测组件911(911a-911c)被配置成:收集与沿第一路径19(即从第一域5至第二域7)流动的数据有关的信息,并且将所述信息发送至相关联的一组被配置成存储该信息的状态性背景组件951-955。每个基本观测组件(911a-911c)对应于预定的应用层协议。有利地,基本观测组件911a-911c可以进一步分解成一组基本观测子组件(未示出)。
第二组基本控制组件93包括第二组相关联的基本过滤组件933(933a-933c),所述第二组相关联的基本过滤组件933(933a-933c)被配置成在允许或不允许沿第二路径21从第二域7朝向第一域5的数据流动之前实施一系列强应用安全规则。每个基本过滤组件(933a-933c)对应于预定的应用层协议。该系列应用安全规则包括第一咨询规则,所述第一咨询规则意在咨询相关联的一组状态性背景组件951-955中所存储的信息。有利地,一个或更多个基本过滤组件933a-933c可以由彼此串联连接的一组基本过滤子组件(未示出)构成,每个基本过滤子组件实施应用安全规则的子集。例如,每个基本过滤子组件适于对给定级别的应用协议做出决定,并且适于与相应的状态性背景组件951-955进行交互。因此,仅在相关联的基本过滤组件933a-933c的所有基本过滤子组件部分授权的情况下,才允许数据流穿过网关1。
有利地,可以使用多元化方法来增大基本过滤组件933a-933c的置信度。
实际上,图4A和图4B示意性地示出了根据本发明的不同实施方式的基本过滤组件的不同配置。
例如,对于给定的应用协议,基本过滤组件的功能可以被实现成串联或并联连接的两个或更多个基本过滤组件。
图4A的示例示出了第一基本过滤组件933d和第二基本过滤组件933e,所述第一基本过滤组件933d和所述第二基本过滤组件933e定义了串联连接的相同功能的两种不同实现。显然,第二基本过滤组件933e仅在第一基本过滤组件933d已经授权的情况下开始分析数据流。
更普遍地,所述一组相关联的基本过滤组件可以包括基本过滤组件的多个子集,每个子集由彼此串联连接的两个或更多个基本过滤组件构成。
图4B的示例示出了两个基本过滤组件933g、933h,所述基本过滤组件933g、933h定义并联连接的相同功能的两种不同实现。在那种情况下,需要基本表决器组件915来比较两个基本过滤组件933g和933h的输出。为了保护目的地域5的完整性,基本表决器组件915仅在两个基本过滤组件933g、933h已经授权的情况下转发数据流。
更普遍地,所述一组相关联的基本过滤组件933可以包括基本过滤组件的多个子集,每个子集由彼此并联连接的两个或更多个基本过滤组件构成并且所述并联的基本过滤组件的输出连接至基本表决器组件。
作为变型,基本表决器组件915包括定义授权请求的参考模型。因此将每个基本过滤组件933g、933h的输出与参考模型进行比较,并且仅在已经找到完美匹配的情况下将数据流转发至发射块17。该实施方式增加了在两个损坏的基本过滤组件已经欺骗性地授权数据流的情况下的完整性保护和信任级别,其中所述损坏的基本过滤组件通常应当禁止数据流。
另外,在另一实施方式中,基本表决器组件915被配置成当两个基本过滤组件933g、933h中的至少一个基本过滤组件已经回答时,直接转发数据流。这允许通过暂时掩蔽某些组件的延迟问题或故障来增加网关1的整体可用性。
要注意的是,由于在优选实施方式中网关架构是基于使用分区的静态调度的虚拟化平台的事实,图4B的并联配置提供了更有效的CPU利用率。在其它实施方式中,可以使用动态调度。
在其它方面,第一发射块15包括第一基本流发射器组件151和第一基本堆栈发射器组件153。
第一基本流发射器组件151被配置成收集来自相应的基本控制组件91的数据字段并且将不同的数据字段汇编成数据帧。
此外,第一基本堆栈发射器组件153被配置成接收来自第一基本流发射器组件151的数据帧,并且将所述数据帧经由第二网络接口组件27发送至第二域7。堆栈发射器组件153还通过处理对由目标域发送的并且从第二通信管理器137转发的先前发送的包的确认来管理网络层的通信(箭头24)。
类似地,第二发射块17包括第二基本流发射器组件171和第二基本堆栈发射器组件173。这些组件171、173与第一发射块15中的组件等同,但是这些组件171、173与第一网络接口组件25有关。
有利地,网关1到基本组件的分解(每个基本组件具有局部加强其正确且安全实施的精确且简单的功能)允许识别基本组件的安全级别。换言之,容易确定这些基本组件中的每个基本组件针对其局部实施的功能所需的安全级别。这些代码安全级别可以分为四类,其包括“高安全级别”、“中等安全级别”、“低安全级别”以及最后一类的“未必可信”。呈现“高安全级别”的组件是指该组件的实施(针对良好规范)是正确且有效的,免除了恶意代码并且理论上免除了漏洞。由于针对一款软件的零漏洞目标几乎是无法实现的,所以实施必须证明将无法充分挖掘已知漏洞。
根据相对于“高安全级别”的缺失特征的数目来定义其它的安全级别(“中等安全级别”、“低安全级别”和“未必可信”)。然而,针对所有这些级别,必须确认每个基本组件的实现没有出现任何恶意代码。然而,在安全级别的作用下或多或少保证了代码正确性和抗毁性。
当然,“高安全级别”归因于分析块9的基本组件,其中分析块9获知第一域的完整性主要依赖于基本组件。实际上,基本观测组件911a-911c、基本状态性背景组件951-955和基本过滤组件933a-933c被配置成对在第一域5与第二域7之间交换的数据实施应用协议层的主要安全规则。因此针对高标准规范正确且有效地实施这些基本组件(911a-911c、951-955、933a-933c),并且免除了恶意代码和已知漏洞。
然而,网络接口组件25、27,基本流安全接收器组件113、133和基本流调度接收器组件115、135可以归类于“低安全级别”,这是因为与分析块9相比它们在数据流分析方面具有不太重要的作用。
最后,基本堆栈接收器组件111、131,管理器接收器组件117、137,基本流发射器组件151、171和基本堆栈发射器组件153、173可以归类于“未必可信”。实际上,基本堆栈接收器组件111、131几乎是网关1的第一入口点,并且因此,可以认为外部恶意数据可以成功攻击他们,但是由于高安全级别组件,攻击将无法通过网关1传播到另一端。流发射器组件151、171和基本堆栈发射器组件153、173不对数据流施加任何安全规则,并且上述组件的作用仅限于经由网络接口组件25、27以准备和发送数据流。实际上,如果极不可能的恶意数据流成功到达这些发射器组件,则将已经来不及阻止攻击。
有利地,网关1进一步包括审计组件31、监视组件33和自测试组件35。这些组件不参与处理第一域5与第二域7之间的数据流,但是它们具有监督网关1本身在其寿命期间的正常工作的作用。
特别地,审计组件31被配置成收集来自所有其它基本组件的关于取证分析的审计日志。监视组件33被配置成监视所有组的基本组件的健康并且在检测到反常、故障或异常行为的情况下做出决定。最后,自测试组件35被配置成通过注入测试数据来测试基本组件。自测试组件35的作用是在安全检查期间测试基本组件的正确性能。在不存在由第一域5和第二域7中的任一域发起的数据流时,当然由自测试组件35与监视组件33协同工作以自测试网关基本组件。
有利地,审计组件31、监视组件33和自测试组件35由虚拟化平台容纳,由此防止在嵌入式环境中这些组件之间的任何干扰。
审计组件31可以归类于“低安全级别”,因为审计组件31的收集来自所有其它组件的日志的作用被认为是被动的。与此相反,“中等安全级别”可以归因于监视组件33和自测试组件35,监视组件33和自测试组件35具有较主动的作用,但是其作用当然小于分析块9的作用。实际上,这些组件的任何不当行为将会被分析块9检测到,分析块9将直接拒绝他们发起的任何残缺或恶意数据。特别地,恶意数据可能仅来自自测试组件35,其中自测试组件35获知监视组件33与任何其它组件的相互作用不能被认为是恶意的。然而,过量的自测试活动可能会被来自监视组件33的命令错误地发起。尽管如此,高安全级别组件的分析块9总是如预期的那样作用,无论恶意数据是来自第二域7还是来自自测试组件35。
应当注意的是,形成网关1的组件可以被构造到不同的域或组中。组件到组的归属取决于跨越该组件的数据在应用层有还是没有经历任何安全检查。第一网络接口25的组件连同第一接收块11和第二发射块17是高安全组的一部分。与此相反,第二网络接口27、第二接收块13和第一发射块15的组件是低安全组的一部分。负责分析数据流的基本组件(即分析块9的基本组件)属于安全关键组。这些基本组件被配置成在交换数据期间实施强安全规则。这些基本组件被用作针对数据流的验证对象,并且这些基本组件通过其功能来改变从网关1的一端到另一端的数据的安全级别。
最后,审计组件31、监视组件33和自测试组件35构成第三组的一部分,其中该第三组负责网关1的内部良好运行。
有利地,组件到不同组的这种分区,使得能够针对包含较小的一组明确识别基本组件的安全关键组来清楚地限定边界,其中所述较小的一组明确识别基本组件仅是允许使数据流的安全级别降级或升级的组件。
在其它方面,要注意的是,网关1的第一目标是保护高安全级别的域(即第一域5)免受对系统的完整性的任何数据损坏尝试或任何攻击的威胁。一旦保障了完整性,则第二个目标是保护该域的可用性。最后,一旦达到了前两个目标,则第三个目标是实现网关的普通功能,所述普通功能包括允许在两个域5、7之间进行通信。这些目标的顺序示出了它们各自的重要性,并且因此容易规定两个域之间的通信以便保持高安全域的完整性。
在下文中给出了示例参照图3的网关架构来说明在第一域5与第二域7之间数据交换的步骤。
据推测,第一域5中的第一应用将请求消息发送至位于第二域7中的第二应用以请求给定文件,并且第二应用响应于在接收该消息之后的请求。
当在第一网络接口组件25处接收到来自第一域5的请求时,对应于该请求的数据流由第一网络接口组件25发送至第一基本堆栈接收器组件111。当第一基本堆栈接收器组件111根据给定协议(例如UDP/IP或TCP/IP)处理数据的输入流时,第一通信管理器接收器组件117向第一网络接口组件25发送确认消息。第一基本堆栈接收器组件111将每个数据帧拆分成单独的数据字段,然后该单独的数据字段被发送至第一基本流安全接收器组件113。该数据字段的流由第一基本流安全接收器组件113收集。特别地,该组件基于所接收到的包通过复制重要的数据字段在内部构建数据流。因此,消除了出现在未使用的包字段中的任何恶意攻击。此外,将网络安全规则施加到被复制的有用字段。有利地,每个规则可以由第一基本流安全接收器组件的基本子组件(未示出)来实现。这些网络安全规则使得能够例如根据开放系统互连(OSI)模型来消除未授权的目的地和/或源以及网络层的残缺字段。当然,还可以进行其它网络安全检查。
一旦在网络层授权了数据字段的有用流,则将数据字段的有用流发送至第一基本流调度接收器组件115,其施加基本应用性安全规则以用于分析应用层协议。如果协议被授权,则在相关联的应用层协议的作用下将数据流发送至基本观测组件911a-911c中的一个(例如911a)。有利地,在发送数据流之前,基本观测组件911a的活动由监视组件33检查。实际上,如果检测到基本观测组件911a是非活动的,则基本观测组件911a被禁用并且不接收任何数据。
假定该第一实施方式的网关1意在保护第一域5(其不是恶意的并且保障是可信源)的完整性,然后从该域流入第二域7的数据不需要从安全角度深刻地分析。因此,数据字段的流可以在没有进一步分析的情况下被发送至第一基本流发射器组件151。然而,每个基本观测组件(911a-911c)的作用包括:收集通信细节,并且将通信细节发送至相关联的状态性背景组件(951-955),以使得相应的基本过滤组件(933a-933c)可以经由通信的第二路径21沿相反方向咨询状态性背景组件(951-955)。例如,基本观测组件911a将与由第一域5所做的关于给定文件的要求有关的细节记录在相应的状态性背景组件951中。
然后,第一基本流发射器组件151收集来自所有基本观测组件911a-911c的数据字段。第一基本流发射器组件151在将数据字段发送至第一基本堆栈发射器组件153之前将不同数据字段汇编成数据帧,第一基本堆栈发射器组件153进而经由第二网络接口组件27将数据帧发送至第二域7。
在相反方向上(即针对来自第二域7沿第二路径21至第一域5的数据流),第二接收块13和第二发射块17执行与第一接收块11和第一发射块15的步骤相类似的步骤。
实际上,当在第二网络接口27处接收到由第二域7发送的响应消息时,对应于该响应的数据流在相关联的应用层协议的作用下经由第二接收块13被发送至第二组相关联的基本过滤组件933a-933c中的一个(例如933a)。响应消息经历由第二接收块13的基本组件进行的操作,所述操作等同于第一接收块11的相应组件进行的操作。有利地,在允许每个基本过滤组件(933a-933c)接收响应数据之前还检查其有效性。
与第一域5相比,第二域7被认为是信任度较低,并且潜在地第二域7可能生成恶意数据流。因此,为了保护第一域5的完整性,通过第二组基本过滤组件933a-933c深刻地分析来自第二域7的数据流。实际上,针对每个应用层协议,通过一系列规则检查当前数据字段,每个规则将适于一个或更多个帧。如果这些规则中的仅一个规则未得到遵守,则数据字段中的当前流被拒绝或丢弃。
规则中的至少一个规则包括咨询相应的状态性背景组件(951-955),以便确保仅允许包含正确数据的授权请求。例如,如果来自第二域7的应答消息包含给定文件,在这种情况下,基本过滤组件933a咨询相应的状态性背景组件951以检查该文件是否先前被第一域5请求,并且如果没有被请求,则应答消息会简单地被拒绝或丢弃。应指出的是,除了咨询状态性背景组件951-955之外,基本过滤组件933a-933c实施应用协议层的强安全规则,因为关键点是保护第一域5的高安全性免受低安全的第二域7接收的错误或恶意数据的威胁。
一旦第二组基本过滤组件933a-933c的相应的应用层组件授权应答消息,则应答消息被发送至第二发射块17的组件,第二发射块17的组件在经由第一网络接口组件25将应答消息发送至第一域5之前以与第一发射块15的处理相同的方式处理数据。
上述示例有关授权在高安全级别的第一域5与低安全级别的第二域7之间的双向通信的方法。很明显,该方法可以扩展至其中第一域5还与具有较低安全级别的第三域(未示出)进行通信的情况。如图3中所描绘的基本组件可以用于实现与第三域进行双向通信。实际上,可以使用相同的基本组件或者复制相同的基本组件以使得在高安全级别域与低安全级别域之间能够双向通信。
此外,通过在两个相反的方向上设置基本观测组件和基本过滤组件,可以实现在具有相同的安全级别的两个域之间的双向通信。实际上,两个域都可以具有高安全级别,但出于不同原因未必信任彼此。例如,这两个域之间的通信可以跨越不可信域。
图5示意性地示出了根据本发明第二实施方式的适于使第一域5和第二域7互连的网关1。
两个域5、7可以具有相同或不同的安全级别。
根据本实施方式的网关1与图3的网关1相同,不同之处在于分析块9包括沿两个不同路径的等效基本组件。
实际上,分析块9包括第一组基本控制组件91和第二组基本控制组件93以及一组相关联的基本状态性背景组件95。第一组基本控制组件91包括第一组基本观测组件911a-911c和第一组基本过滤组件913a-913c。第二组基本控制组件93包括第二组基本观测组件931a-931c和第二组基本过滤组件933a-933c。
特别地,第二组基本观测组件931a-931c被配置成收集沿第二路径21(即从第二域7至第一域5)流动的数据信息,并且将数据信息发送至相关联的一组状态性背景组件951-955。第一组基本过滤组件913a-913c被配置成实施一系列应用层安全规则,所述一系列应用层安全规则包括第二咨询规则,所述第二咨询规则意在咨询相关联的一组状态性背景组件中所存储的信息。
根据本发明的网关架构允许大多数的网关组件和基本组件彼此独立地开发。每个基本组件具有明确限定的作用和与其它基本组件的指定接口。每个基本组件被设计成具有非常少量的功能,以使得其实施易于完成且易于验证。因此,网关可以被认为由一组模块(即基本组件)组成并且可以在任何时间添加新的模块。
特别地,分析块9的模块或基本组件完全独立于网关的其它基本组件。因此,任何新的应用层功能可以被实现为对应于容易被引入网关的新的基本组件的一个分区或若干分区。仅需要在基本流调度组件的配置中定义相关联的应用层过滤功能的协议以便该协议识别,并且提供与实施新的应用层过滤功能的一个或更多个基本组件进行分区间通信。基本应用层过滤组件也彼此独立。实际上,一个协议的过滤在任何方式下不会干扰另一协议的过滤。因此,应用层过滤的开发可以在任何时刻进行并且独立于任何其它组件的开发。将应用层过滤结合到网关中是非常简单的,并且也可以独立地对应用层过滤进行认证。因此,可以更新网关,并且贯穿网关的整个寿命可以提高网关的功能。实际上,通过使用递增且独立的认证方法,现有组件的改进或新组件的独立认证允许网关容易被更新而无需从头开始。
已经通过聚焦到与域的资产的保护有关的完整性方面来描述了网关架构。然而,相同的网关架构可以同样用来保护可用性和/或保密性和/或不可否认性。
值得注意的是,基本组件11、13、15、17可以包含加密/解密功能。
根据本发明的网关有利地用于嵌入式基础设施。特别地,该网关适于在飞行器通信系统中使用。
Claims (14)
1.一种使用虚拟化平台并且适于互连不同域的网关,其特征在于,所述网关(1)包括一组功能块(9、11、13、15、17),所述一组功能块(9、11、13、15、17)被配置成授权沿第一域(5)与第二域(7)之间的两个不同单向路径(19、21)的安全双向数据流动,所述一组功能块被分解成多个基本可评估组件,所述基本可评估组件在下文中被称为基本组件,所述多个基本可评估组件中的每个基本可评估组件具有指定功能并且适于与其它预定义的基本组件进行通信,每个基本组件能够以期望保障级别进行分析;
其中,所述一组功能块包括:
-第一基本组件(111-117)的第一接收块(11)和第二基本组件(131-137)的第二接收块(13),所述第一接收块(11)和所述第二接收块(13)分别被配置成沿第一路径(19)接收来自所述第一域(5)的数据和沿第二路径(21)接收来自所述第二域(7)的数据并且在网络安全层分析各自接收到的数据,
-第三基本组件(151-153)的第一发射块(15)和第四基本组件(171-173)的第二发射块(17),所述第一发射块(15)和所述第二发射块(17)分别被配置成沿所述第一路径向所述第二域发送数据和沿所述第二路径向所述第一域发送数据,
-第五基本组件(911a-911c、951-955、933a-933c)的分析块(9),所述分析块(9)被配置成对沿至少一个第二路径(21)流动的数据进行分析并且实施应用协议层的一系列安全规则,以确保没有恶意数据或未经授权数据沿所述至少一个路径流动。
2.根据权利要求1所述的网关,其特征在于,所述网关包括:
-第一网络接口组件(25),所述第一网络接口组件(25)连接至所述第一接收块(11)并且连接至所述第二发射块(17),所述第一网络接口组件被配置成与所述第一域(5)进行通信,以及
-第二网络接口组件(27),所述第二网络接口组件(27)连接至所述第二接收块(13)并且连接至所述第一发射块(15),所述第二网络接口组件被配置成与所述第二域(7)进行通信。
3.根据权利要求1或2所述的网关,其特征在于,所述分析块(9)包括第一组基本控制组件(91)和第二组基本控制组件(93)以及相关联的一组基本状态性背景组件(951-955),所述第一组基本控制组件包括第一组基本观测组件(911a-911c),所述第一组基本观测组件(911a-911c)被配置成收集与沿所述第一路径(19)流动的数据有关的信息并且将所述信息发送至所述相关联的一组状态性背景组件(951-955),其中所述相关联的一组状态性背景组件(951-955)被配置成存储所述信息,以及所述第二组基本控制组件包括第二组相关联的基本过滤组件(933a-933c),所述第二组相关联的基本过滤组件(933a-933c)被配置成在允许或不允许沿所述第二路径从所述第二域朝向所述第一域的数据流动之前实施第一系列应用层安全规则,所述第一系列应用层安全规则包括第一咨询规则,所述第一咨询规则意在咨询所述相关联的一组状态性背景组件中所存储的信息。
4.根据权利要求3所述的网关,其特征在于,所述第二组基本控制组件进一步包括第二组基本观测组件(931a-933c),所述第二组基本观测组件(931a-933c)被配置成收集与沿所述第二路径流动的数据有关的信息并且将所述信息发送至所述相关联的一组状态性背景组件;以及所述第一组基本控制组件进一步包括第一组基本过滤组件(913a-913c),所述第一组基本过滤组件(913a-913c)被配置成实施第二系列应用层安全规则,所述第二系列应用层安全规则包括第二咨询规则,所述第二咨询规则意在咨询在所述相关联的一组状态性背景组件中所存储的信息。
5.根据权利要求4所述的网关,其特征在于,至少一个基本观测组件由彼此串联连接的一组基本观测子组件构成,并且/或者所述第二组相关联的基本过滤组件中的至少一个基本过滤组件由彼此串联连接的一组基本过滤子组件构成。
6.根据权利要求4所述的网关,其特征在于,所述第一组基本过滤组件和/或所述第二组相关联的基本过滤组件包括基本过滤组件的多个子集,每个子集由彼此并联连接的两个或更多个基本过滤组件构成,并且所述并联的基本过滤组件的输出端连接至基本表决器组件。
7.根据权利要求1或2所述的网关,其特征在于,所述第一接收块和所述第二接收块分别包括:
-第一基本堆栈接收器组件(111)和第二基本堆栈接收器组件(131),所述第一基本堆栈接收器组件(111)和所述第二基本堆栈接收器组件(131)被配置成通过将每个数据帧拆分成单独的数据字段来分别处理来自所述第一域和所述第二域的数据帧的输入流,其中所述单独的数据字段形成数据字段的流,
-第一基本流安全接收器组件(113)和第二基本流安全接收器组件(133),所述第一基本流安全接收器组件(113)和所述第二基本流安全接收器组件(133)被配置成接收所述数据字段的流并且在将网络安全规则施加于有用字段之前将所述有用字段复制到内部结构中;以及
-第一基本流调度接收器组件(115)和第二基本流调度接收器组件(135),所述第一基本流调度接收器组件(115)和所述第二基本流调度接收器组件(135)被配置成接收所述有用字段并且在将所述有用字段发送至基本组件的所述分析块之前对所述有用字段实施初级应用层安全规则。
8.根据权利要求7所述的网关,其特征在于,所述网络安全规则包括:
-用于检查数据字段的目的地和/或源被授权的规则,以及
-用于检查在网络层不存在残缺字段的规则。
9.根据权利要求1或2所述的网关,其特征在于,所述第一发射块和所述第二发射块分别包括:
-第一基本流发射器组件(151)和第二基本流发射器组件(171),所述第一基本流发射器组件(151)和所述第二基本流发射器组件(171)被配置成从相应的基本控制组件收集数据字段并且将不同的数据字段汇编成数据帧,以及
-第一基本堆栈发射器组件(153)和第二基本堆栈发射器组件(173),所述第一基本堆栈发射器组件(153)和所述第二基本堆栈发射器组件(173)被配置成分别接收来自所述第一发射块和所述第二发射块的数据帧并且将所述数据帧分别发送至所述第二域和所述第一域。
10.根据权利要求1或2所述的网关,其特征在于,所述网关进一步包括:
-审计组件(31),其被配置成收集来自所有组的基本组件的关于取证分析的审计日志,
-监视组件(33),其被配置成监视所有组的基本组件的健康并且在检测到反常或异常行为的情况下做出决定,以及
-自测试组件(35),其被配置成通过注入测试数据来测试基本组件。
11.一种嵌入式基础设施,包括根据权利要求1至10中任一项所述的网关。
12.一种飞行器通信系统,包括根据权利要求1至10中任一项所述的网关。
13.一种用于构造使用MILS类型的虚拟化平台的并且适于互连具有不同安全级别的不同域的网关的方法,其特征在于,所述方法包括:
-定义一组功能块,其被配置成授权沿两个不同域之间的两个不同单向路径的安全双向数据流动,
-以迭代方式将所述一组功能块分解成多个基本可评估组件,所述基本可评估组件在下文中被称为基本组件,每个基本组件具有指定功能并且被允许与其它预定义的基本组件进行通信,每个基本组件能够以期望保障级别进行分析;
其中,所述一组功能块包括:
-第一基本组件(111-117)的第一接收块(11)和第二基本组件(131-137)的第二接收块(13),所述第一接收块(11)和所述第二接收块(13)分别被配置成沿第一路径(19)接收来自第一域(5)的数据和沿第二路径(21)接收来自第二域(7)的数据并且在网络安全层分析各自接收到的数据,
-第三基本组件(151-153)的第一发射块(15)和第四基本组件(171-173)的第二发射块(17),所述第一发射块(15)和所述第二发射块(17)分别被配置成沿所述第一路径向所述第二域发送数据和沿所述第二路径向所述第一域发送数据,
-第五基本组件(911a-911c、951-955、933a-933c)的分析块(9),所述分析块(9)被配置成对沿至少一个第二路径(21)流动的数据进行分析并且实施应用协议层的一系列安全规则,以确保没有恶意数据或未经授权数据沿所述至少一个路径流动。
14.根据权利要求13所述的方法,其特征在于,所述方法包括:
-彼此独立地开发所述基本组件,
-彼此独立地认证所述基本组件,以及
-通过结合新的基本组件或者修改现有的基本组件来更新所述网关。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP14158361.7A EP2916511B1 (en) | 2014-03-07 | 2014-03-07 | High assurance security gateway interconnecting different domains |
| EP14158361.7 | 2014-03-07 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104901874A CN104901874A (zh) | 2015-09-09 |
| CN104901874B true CN104901874B (zh) | 2020-03-20 |
Family
ID=50336062
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510098426.XA Active CN104901874B (zh) | 2014-03-07 | 2015-03-05 | 互连不同域的高保障安全网关 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10462103B2 (zh) |
| EP (1) | EP2916511B1 (zh) |
| CN (1) | CN104901874B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3139548B1 (en) * | 2015-09-04 | 2018-04-11 | Airbus Operations | High assurance segregated gateway interconnecting different domains |
| US10721259B2 (en) * | 2016-03-31 | 2020-07-21 | The Boeing Company | System and method for automatic generation of filter rules |
| US10063435B2 (en) * | 2016-04-11 | 2018-08-28 | The Boeing Company | System and method for context aware network filtering |
| EP3330816A1 (de) * | 2016-12-05 | 2018-06-06 | Siemens Aktiengesellschaft | Verfahren zur softwareaktualisierung bei cloud-gateways, computerprogramm mit einer implementation des verfahrens und verarbeitungseinheit zur ausführung des verfahrens |
| CN106982233B (zh) * | 2017-05-23 | 2023-06-27 | 信联安宝(北京)科技有限公司 | 电源分立的集成安全管理交换机 |
| DE102017117498A1 (de) * | 2017-08-02 | 2019-02-07 | Airbus Defence and Space GmbH | System und Verfahren zum Kalibrieren einer Sendeeinheit sowie Wasserfahrzeug mit einem System zum Kalibrieren einer Sendeeinheit |
| EP3506587A1 (en) * | 2017-12-29 | 2019-07-03 | Nagravision S.A. | Integrated circuit |
| EP3713188A1 (de) * | 2019-03-19 | 2020-09-23 | Siemens Mobility GmbH | Verfahren und übertragungsvorrichtung zur datenübertragung zwischen zwei netzwerken |
| CN110213225A (zh) * | 2019-04-22 | 2019-09-06 | 重庆金融资产交易所有限责任公司 | 基于数据分析的网关配置方法、装置及计算机设备 |
| CN110347507A (zh) * | 2019-07-01 | 2019-10-18 | 电子科技大学 | 基于时间片轮转的多级融合实时调度方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101325585A (zh) * | 2007-06-14 | 2008-12-17 | 华为技术有限公司 | 文件传输方法、互连网关和客户端 |
| US7607167B1 (en) * | 2005-06-27 | 2009-10-20 | Rockwell Collins, Inc. | Secure gateway/router |
| CN102025719A (zh) * | 2009-09-16 | 2011-04-20 | 阿瓦雅公司 | 利用排序应用和ims对等的不同域之间的下一代集成 |
| EP2677425A1 (de) * | 2012-06-12 | 2013-12-25 | EADS Deutschland GmbH | Beschleunigungseinrichtung mit Unterstützung für virtuelle Maschinen |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020083331A1 (en) * | 2000-12-21 | 2002-06-27 | 802 Systems, Inc. | Methods and systems using PLD-based network communication protocols |
| FI20012339A0 (fi) * | 2001-11-29 | 2001-11-29 | Stonesoft Corp | Palomuurien välillä siirtyvien yhteyksien käsittely |
| US20060156400A1 (en) * | 2005-01-06 | 2006-07-13 | Gbs Laboratories Llc | System and method for preventing unauthorized access to computer devices |
| US20060253908A1 (en) * | 2005-05-03 | 2006-11-09 | Tzu-Jian Yang | Stateful stack inspection anti-virus and anti-intrusion firewall system |
| US20080104586A1 (en) * | 2006-10-27 | 2008-05-01 | Microsoft Corporation | Allowing Virtual Machine to Discover Virtual Status Thereof |
| US8068415B2 (en) * | 2007-04-18 | 2011-11-29 | Owl Computing Technologies, Inc. | Secure one-way data transfer using communication interface circuitry |
| US7941526B1 (en) * | 2007-04-19 | 2011-05-10 | Owl Computing Technologies, Inc. | Transmission of syslog messages over a one-way data link |
| US20110126197A1 (en) * | 2009-11-25 | 2011-05-26 | Novell, Inc. | System and method for controlling cloud and virtualized data centers in an intelligent workload management system |
| US8453225B2 (en) * | 2009-12-23 | 2013-05-28 | Citrix Systems, Inc. | Systems and methods for intercepting and automatically filling in forms by the appliance for single-sign on |
| US20110188499A1 (en) * | 2010-02-04 | 2011-08-04 | Cisco Technology, Inc. | Point-to-multipoint path implementation in a multicast virtual private network |
| US8478997B2 (en) * | 2010-09-10 | 2013-07-02 | Raytheon Company | Multi-level security software architecture |
| AU2012271352B2 (en) * | 2011-06-16 | 2015-05-07 | Argyle Data, Inc. | Software virtual machine for acceleration of transactional data processing |
| KR101469894B1 (ko) * | 2011-08-12 | 2014-12-08 | 한국전자통신연구원 | 도메인 분리 기반 안전 실행 환경 제공 방법 및 장치 |
| CN103944865B (zh) * | 2013-01-22 | 2018-11-27 | 横河电机株式会社 | 隔离保护系统及其执行双向数据包过滤检查的方法 |
| US8898227B1 (en) * | 2013-05-10 | 2014-11-25 | Owl Computing Technologies, Inc. | NFS storage via multiple one-way data links |
| US8891546B1 (en) * | 2014-04-27 | 2014-11-18 | Waterfall Security Solutions Ltd. | Protocol splitter |
| GB201410089D0 (en) * | 2014-06-06 | 2014-07-23 | Bae Systems Plc | Secured network bridge |
-
2014
- 2014-03-07 EP EP14158361.7A patent/EP2916511B1/en active Active
-
2015
- 2015-03-04 US US14/638,467 patent/US10462103B2/en active Active
- 2015-03-05 CN CN201510098426.XA patent/CN104901874B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7607167B1 (en) * | 2005-06-27 | 2009-10-20 | Rockwell Collins, Inc. | Secure gateway/router |
| CN101325585A (zh) * | 2007-06-14 | 2008-12-17 | 华为技术有限公司 | 文件传输方法、互连网关和客户端 |
| CN102025719A (zh) * | 2009-09-16 | 2011-04-20 | 阿瓦雅公司 | 利用排序应用和ims对等的不同域之间的下一代集成 |
| EP2677425A1 (de) * | 2012-06-12 | 2013-12-25 | EADS Deutschland GmbH | Beschleunigungseinrichtung mit Unterstützung für virtuelle Maschinen |
Non-Patent Citations (2)
| Title |
|---|
| MILS-BASED INFROMATION FLOW CONTROL IN THE AVIONIC DOMAIN:A CASE STUDY ON COMPOSITIONAL ARCHITECTURE AND VERIFICATION;KEVIN MULLER 等;《DIGITAL AVIONICS SYSTEMS CONFERENCE(DASC),2012 IEEE/AIAA 31ST, IEEE》;20121014;第2-5页 * |
| MILS-RELATED INFORMATION FLOW CONTROL IN THE AVIONIC DOMAIN:A VIEW ON SECURITY-ENHANCING SOFTWARE ARCHITECTURES;KEVIN MULLER 等;《DEPENDABLE SYSTEMS AND NETWORKS WORKSHOPS(DSN-W),2012 IEEE/IFIP 42ND INTERNATIONAL CONFERENCE ON, IEEE》;20120625;第2-8页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US10462103B2 (en) | 2019-10-29 |
| EP2916511B1 (en) | 2020-02-12 |
| EP2916511A1 (en) | 2015-09-09 |
| CN104901874A (zh) | 2015-09-09 |
| US20150256512A1 (en) | 2015-09-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104901874B (zh) | 互连不同域的高保障安全网关 | |
| US10609029B2 (en) | High assurance segregated gateway interconnecting different domains | |
| Kleidermacher et al. | Embedded systems security: practical methods for safe and secure software and systems development | |
| JP2022545040A (ja) | エンドツーエンドで安全な専用の第5世代電気通信を提供するための方法、システム、キット、及び装置 | |
| Glas et al. | Automotive safety and security integration challenges | |
| Cha et al. | Security evaluation framework for military IoT devices | |
| JP2015527624A (ja) | 電子実体アーキテクチャの動的生成及び修正のための方法 | |
| Hamad et al. | Red-Zone: Towards an Intrusion Response Framework for Intra-vehicle System. | |
| Heinrich et al. | Security requirements engineering in safety-critical railway signalling networks | |
| Jayaram et al. | Software engineering for secure software-state of the art: A survey | |
| Hamad et al. | Intrusion response system for vehicles: Challenges and vision | |
| CN108347411B (zh) | 一种统一安全保障方法、防火墙系统、设备及存储介质 | |
| Pakmehr et al. | Applying Zero Trust Principles to Distributed Embedded Engine Control Systems | |
| KR20230156129A (ko) | 블록체인 기반의 책임 있는 분산 컴퓨팅 시스템 | |
| Varadharajan et al. | Techniques for Enhancing Security in Industrial Control Systems | |
| Weissman | MLS-PCA: A high assurance security architecture for future avionics | |
| Hasan et al. | Zero Trust Architecture Patterns for Cyber-Physical Systems | |
| Stamp et al. | Cyber Security Gap Analysis for Critical Energy Systems (CSGACES). | |
| RU2770458C1 (ru) | Сетевой шлюз и способ передачи данных из первой сети во вторую сеть | |
| Gaska | Assessing dual use embedded security for IMA | |
| Eder | CyRes: towards operational cyber resilience | |
| EP4167523A1 (en) | Network gateway and method for transferring data from a first network to a second network | |
| Werthwein et al. | A Concept Enabling Cybersecurity for a Self-Adaptive Avionics Platform With Respect to RTCA DO-326 And RTCA DO-356 | |
| US9590964B1 (en) | GPS-enabled cross-domain guard | |
| Santos | Safety and Security Requirements Working Together |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |