CN111656747B - 集成电路 - Google Patents
集成电路 Download PDFInfo
- Publication number
- CN111656747B CN111656747B CN201880082813.6A CN201880082813A CN111656747B CN 111656747 B CN111656747 B CN 111656747B CN 201880082813 A CN201880082813 A CN 201880082813A CN 111656747 B CN111656747 B CN 111656747B
- Authority
- CN
- China
- Prior art keywords
- network interface
- interface processor
- data
- network
- unidirectional interconnect
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012546 transfer Methods 0.000 claims abstract description 26
- 230000002427 irreversible effect Effects 0.000 claims description 10
- 238000012545 processing Methods 0.000 abstract description 8
- 230000006870 function Effects 0.000 description 29
- 238000004891 communication Methods 0.000 description 15
- 238000012795 verification Methods 0.000 description 14
- 238000005259 measurement Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000000034 method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Storage Device Security (AREA)
Abstract
总体上,根据本公开的集成电路包括第一和第二网络接口处理器,所述第一和第二网络接口处理器是分离的处理器并且通过第一单向互连连接。第一单向互连允许从第一网络接口处理器到第二网络接口处理器的数据传输,同时防止在相反方向上的数据传输。第一网络接口处理器用于与可以是安全网络的第一网络通信,并且第二网络接口处理器用于与可以是公共网络(例如,不安全公共网络)的第二网络通信。以这种方式,对从第一网络和第二网络中的每一个接收的数据的处理由单独的处理器执行,并且数据只能从第一网络发送到第二网络,从而保护第一网络免受第二网络的影响。
Description
技术领域
本公开涉及一种集成电路,具体地,涉及一种提供两个网络之间的安全通信的集成电路,例如其中一个网络是安全网络而另一个网络是公共网络。
背景技术
物联网(IoT)和其他类型的网络安全中的主要挑战是如何安全地连接设备和网络,以及如何在保持功能性的情况下保护跨网络的操作。在关键基础设施 (例如安全操作技术(OT)网络)中,其中数据被推向不安全网络(例如互联网)以用于进一步数据处理,挑战是保护OT网络免受源自公共网络的入侵。OT网络的具体示例是作为发电站的控制系统的一部分的传感器网络。由发电站控制系统的传感器网络中的传感器生成的数据可以是敏感的、有价值的和/ 或任务关键的,使得对传感器数据的篡改可以表示安全性和安全风险。需要保护数据本身和对由传感器网络中的传感器(诸如认证机制)产生的数据的操作免受源自与传感器网络通信的不安全网络的网络攻击。
当前的解决方案主要旨在物理地或经由虚拟局域网隔离网络。然而,问题仍然是,在某些时候,安全和不安全的网络需要通信。这是安全网络易受源自不安全网络的网络攻击的点。需要安全、成本有效和可扩展的解决方案。
附图说明
现在参照附图,为了解释和说明的目的,通过示例的方式描述各种实施例,在附图中:
图1示出包括经由集成电路与第二网络通信的第一网络的数据传输系统;
图2更详细地示出了集成电路;以及
图3更详细地示出了集成电路的安全区域。
具体实施方式
总体上,根据本公开的集成电路包括第一网络接口处理器和第二网络接口处理器,所述第一网络接口处理器和所述第二网络接口处理器是分离的处理器并且通过第一单向互连连接。所述第一单向互连允许从所述第一网络接口处理器到所述第二网络接口处理器的数据传输,同时防止在相反方向上的数据传输。所述第一网络接口处理器用于与可以是安全网络的第一网络通信,并且所述第二网络接口处理器用于与可以是公共网络(例如,不安全公共网络)的第二网络通信。以这种方式,对从所述第一网络和所述第二网络中的每一个网络接收的数据的处理由单独的处理器执行,并且数据只能从所述第一网络发送到所述第二网络,从而保护所述第一网络免受所述第二网络的影响。
在本公开的一些方面中,提供一种集成电路。该集成电路包括用于与第一网络通信的第一网络接口处理器和用于与第二网络通信的第二网络接口处理器。所述第二网络接口处理器是与所述第一网络接口处理器分离的处理器。还提供了连接所述第一网络接口处理器和所述第二网络接口处理器的第一单向互连。所述第一单向互连被配置为允许经由所述第一单向互连从所述第一网络接口处理器到所述第二网络接口处理器的数据传输,并且防止经由所述第一单向互连从所述第二网络接口处理器到所述第一网络接口处理器的数据传输。所述第一网络接口处理器被配置为经由所述第一单向互连向所述第二网络接口处理器发送数据,并且所述第二网络接口处理器被配置为经由所述第一单向互连从所述第一网络接口处理器接收数据。
有利地,在所述第一网络和所述第二网络分别与在所述集成电路的所述第一网络接口处理器和所述第二网络接口处理器通信的情况下,可以是安全网络的所述第一网络能够向可以是公共网络的所述第二网络发送数据,使得在所述第一网络不存在源自所述第二网络的攻击的风险,因为来自在所述第二网络的数据不能经由在所述第一单向互连发送到所述第一网络。这样,所述集成电路保护所述第一网络的任何设备(例如传感器)免受公共第二网络的影响。网络通信的处理被分离到用于两个网络中的每一个的专用处理器上,所述处理器通过所述第一单向互连连接,提供进一步的安全性。此外,以所述集成电路的形式提供此功能性是用于实现从第一网络到第二网络的安全通信的廉价且可扩展的机制。
在一些实施例中,所述第一单向互连可以包括第一数据二极管,该第一数据二极管被配置为允许经由所述第一单向互连从所述第一网络接口处理器到所述第二网络接口处理器的数据传输,并且防止经由所述第一单向互连从所述第二网络接口处理器到所述第一网络接口处理器的数据传输。在一些实施例中,所述第一数据二极管可以是光学数据二极管。数据二极管允许“单向数据流”。将很好地理解,光学二极管是非限制性示例,并且可以使用具有相应的只读接口和只写接口的硬件寄存器、单向硬件总线或具有主只写接口和从只读接口的单向硬件总线。数据二极管还可以是双存取RAM,其一侧限于写功能而另一侧限于读功能等。
在一些实施例中,所述第一单向互连还可以包括第一开关,该第一开关被配置为禁用所述第一单向互连,使得当所述第一开关打开时,在所述第一网络接口处理器和所述第二网络接口处理器之间经由所述第一单向互连的数据传输是不可能的。有利地,可以经由所述开关的操作来防止经由所述第一单向互连从所述第一网络接口处理器到所述第二网络接口处理器的数据流。这使得能够完全控制通过所述第一单向互连的数据流,因为所述开关的打开物理地禁用了所述第一单向互连。
在一些实施例中,所述集成电路还可以包括被配置为控制所述第一开关的操作的安全区域,例如硬件信任根(Root of Trust)。有利地,所述第一单向互连的控制完全由所述安全区域管理,并且可以安全地控制经由所述第一单向互连的所述第一网络和所述第二网络之间的所述数据流的配置。
在一些实施例中,所述集成电路可以被配置为生成在所述第一网络接口处理器处从所述第一网络接收的数据的认证数据。有利地,在所述第一网络接口处理器处从所述第一网络接收的数据可被提供有相关联的认证数据,使得其可由接收方通过验证所述认证数据来认证,其中,所述接收方拥有适当的验证功能。例如,认证功能可以用于提供认证数据,并且所述接收方可以拥有验证功能,该验证功能可以用于验证所述认证数据,从而认证与所述认证数据相关联的数据。以这种方式,由不包括用于提供认证数据的任何装置的第一网络产生的数据可以与相关联的认证数据一起由所述集成电路提供,通过所述集成电路可以认证该数据。
在一些实施例中,所述集成电路还可以包括连接所述第一网络接口处理器和所述第二网络接口处理器的第二单向互连。所述第二单向互连被配置为允许经由所述第二单向互连从所述第二网络接口处理器到所述第一网络接口处理器的数据传输,并且防止经由所述第二单向互连从所述第一网络接口处理器到所述第二网络接口处理器的数据传输。所述第二网络接口处理器可以被配置为经由所述第二单向互连向所述第一网络接口处理器发送数据,并且所述第一网络接口处理器可以被配置为经由所述第二单向互连从所述第二网络接口处理器接收数据。
在一些实施例中,所述第二单向互连可以包括第二数据二极管,该第二数据二极管被配置为允许经由所述第二单向互连从所述第二网络接口处理器到所述第一网络接口处理器的数据传输,并且防止经由所述第二单向互连从所述第一网络接口处理器到所述第二网络接口处理器的数据传输。在一些实施例中,所述第二数据二极管可以是光学数据二极管。
在一些实施例中,所述第二单向互连还可以包括第二开关,该第二开关被配置为禁用所述第二单向互连,使得当所述第二开关打开时,在所述第一网络接口处理器和所述第二网络接口处理器之间经由所述第二单向互连的数据传输是不可能的。在一些实施例中,所述安全区域被配置为控制所述第二开关的操作。
有利地,可以经由所述第二开关的操作来防止经由所述第二单向互连从所述第二网络接口处理器到所述第一网络接口处理器的数据流。这使得能够完全控制通过所述第一单向互连的数据流,因为所述开关的打开物理地禁用了所述第一单向互连。
在一些实施例中,所述集成电路可以被配置为仅允许经由所述第二单向互连发送预定大小的数据,例如,该大小可以被限制为确认信号或否定确认信号中的一个或多个的大小。所述第二单向互连可以被配置为具有非常具体的有限目的。例如,可以仅允许经由所述第二单向互连在所述相反方向上发送单个比特的数据,该单个比特的数据确认从所述第一网络接口处理器经由所述第一单向互连传递到所述第二网络接口处理器的一条数据已经被成功地发送。这具有如下的应用,其中,所述第一网络接口处理器连接到安全网络,并且所述第二网络接口处理器连接到不安全的公共网络,因为确认信令被启用而不会对安全区域造成任何风险,因为只有有限数量的数据可以从所述第二网络接口处理器被发送回所述第一网络接口处理器。任何潜在有害的数据将可能在大小上大于确认信号或否定确认信号,该确认信号或否定确认信号可以是仅几个比特的量级。这样,减少了有害数据被发送到安全的第一网络的风险。
在一些实施例中,所述安全区域可以被配置为控制所述第二开关的操作。有利地,所述第二单向互连的控制完全由所述安全区域管理,并且可以安全地控制经由所述第二单向互连的所述第一网络和所述第二网络之间的所述数据流的配置。
在一些实施例中,所述集成电路可以被配置为通过验证与接收到的数据相关联的认证数据来认证在所述第二网络接口处理器处从所述第二网络接收到的数据。所接收的数据可以由所述第二网络使用由所述安全区域发布的密钥来解密。有利地,可以使用相应的认证数据来认证在所述第二网络接口处理器处接收的数据,其中,所述集成电路拥有适当的验证功能。在一些实施例中,如果所述认证数据未被成功验证,则所述集成电路可以被配置为防止相关联的数据从所述第二接口处理器发送到所述第一网络接口处理器。有利地,只有已经成功认证的数据才能从所述第二接口处理器发送到所述第一接口处理器。
在一些实施例中,所述安全区域具有特定的不可逆存储器配置,使得取决于其不可逆配置,所述安全区域迫使开关处于方向的永久和不可逆锁定。所述开关可以是一次性可编程(OTP)开关,其可以被锁定在打开或闭合位置,之后不可能改变所述开关的状态。在一些实施例中,所述OTP开关包括保险丝,所述保险丝可被熔断以防止所述开关的进一步操作或禁用每个开关的对应互连。在其他实施例中,并且在一个或多个开关由所述安全区域控制的情况下,可以提供被一次写入的所述安全区域中的存储器位置。可以将所述一个或多个开关(打开或闭合)的期望配置写入所述存储器位置,然后固定所述开关的配置。所述安全区域(例如所述存储器位置)具有特定的不可逆存储器配置。根据其不可逆配置,所述安全区域迫使所述开关“打开”,因此在各个开关锁定到打开位置的情况下,可以永久禁用任一方向。换句话说,所述安全区域迫使(一个或多个)开关到各个方向的永久且不可逆的锁定。
有利地,这样的集成电路是可配置的,因为在一个或多个OTP开关被锁定在任何一个位置之前,可以做出关于一个或两个开关的期望状态的决定,并且一个或多个OTP开关可以被锁定到期望状态。
应当理解,在本公开的上下文中,“单向互连”是集成电路上的互连,其允许在沿着互连的第一方向上发送数据并且防止在相反方向上发送数据。
同样,在本公开的上下文中,如本领域所理解的,“数据二极管”允许通过其进行单向数据传输。例如,在存在第一单向互连的第一数据二极管的实施例中,所述第一单向互连的所述第一数据二极管允许数据从所述第一网络接口处理器发送到所述第二网络接口处理器,但是防止在相反方向上的数据传输。示例数据二极管是光学数据二极管,其包括诸如LED的光源,该光源的光输出入射到诸如光电晶体管的光传感器上。所述第一网络接口处理器可以与所述光源通信,所述第二网络接口处理器可以与所述光传感器通信。数据可以从所述第一网络接口处理器发送到所述光源,所述光源可以经由所述光传感器将所述数据发送到所述第二网络接口处理器。显然,所述光传感器不能将数据发送到所述光源,因此,数据不能在相反的方向上行进。以这种方式,提供了类似二极管的功能。
术语“集成电路”具有其常规含义,即其是其中全部或部分的电路元件不可分离地相关联且电互连的电路,使得其被认为用于构造和商业目的是不可分割的。集成电路的示例是“片上系统”(SOC)。SOC是其中计算机或其它系统所需的所有组件被包括在单个芯片上的集成电路。在一些实施例中,本文描述的集成电路的所有实施例可以是片上系统。
与所述第一网络接口处理器“分离”的所述第二网络接口处理器要求处理器是所述集成电路上的分离实体。例如,它们可以位于所述集成电路的基板的分离区域处,并且仅通过本文描述的所述第一互连和所述第二互连中的一个或多个来连接。
OT网络使得能够通过直接监测和/或控制诸如传感器、阀、泵等的物理设备来实现专用于检测或引起物理过程中的变化的硬件和软件之间的通信。OT 网络使计算机系统能够监测或改变系统的物理状态。示例包括用于发电站的控制系统网络或用于轨道系统的控制网络。
如果数据(例如由所述第一网络中的传感器产生的传感器数据)已被“认证”,则应理解为意味着与所述传感器数据相关联的认证数据(例如数字签名或消息认证码),已经通过本文描述的机制进行了验证,使得所述数据的接收方可以合理地确信所述数据源自所述传感器并且其没有被篡改。
“认证数据”是使得诸如由所述第一网络中的传感器产生的传感器数据之类的数据能够被认证的任何数据。本文给出了各种示例。“数字签名”就是一个这样的示例。数字签名是用于证明诸如数据分组之类的数字消息或文档的真实性的数学方案。消息认证码(MAC)数据标签是认证数据的另一示例。
如果认证数据已被“验证”,则这应被理解为意味着例如本文所述类型的验证功能已被用于确定所述认证数据如所期望的,从而认证与所述认证数据相关联的数据。
“确认信号”是由所述数据接收方发送的表示数据接收的信号。“否定确认信号”是数据的预期接收方,以指示拒绝接收到的数据或指示某种类型的错误,例如在一系列数据分组中的丢失数据分组已被预期接收方检测到的情况下。
“安全区域”是所述集成电路的安全区域。示例包括可信执行环境(TEE),诸如硬件信任根。一般来说,所述安全区域是其中加载到其中的代码和数据在机密性和完整性方面受到保护的区域。
“可信执行环境”(TEE)是集成在另一环境内的隔离环境,诸如集成电路的更宽环境。在TEE中运行的应用被命名为可信应用,并且这些应用可以提供诸如(例如,密钥的)安全存储和加密操作(例如,认证功能、验证功能和密钥生成算法)之类的服务。
“硬件信任根”是在硬件(如Synopsys tRoot)中实现的TEE。恶意软件不能篡改由硬件信任根提供的功能,因为这些功能是在硬件中实现的。
现在参考附图通过说明的方式描述一些具体实施例,在附图中,相似的附图标记指代相似的特征。
参照图1,集成电路104与第一网络102通信。第一网络102是输出测量数据的传感器108的安全网络,例如操作技术(OT)或专用网络。输出测量数据尤其可以涉及压力、温度、放射性、电流、电压、重量、流量、湿度、加速度和/或定位数据。集成电路104还与第二网络106进行通信。第二网络106 是公共网络,因此是安全性较低的网络,例如互联网。第二网络106进一步与计算机系统110通信,用于进一步处理与第一网络102通信的传感器108的测量数据输出。
尽管关于传感器108描述了实施例,但是传感器108同样可以是包括适合于提供输出数据的数据源的任何设备。
参照图2,现在描述集成电路104的一些实施例。集成电路104包括第一网络接口处理器202、第二网络接口处理器204、包括第一数据二极管210a和第一开关212a的第一单向互连206、包括第二数据二极管210b和第二开关 212b的第二单向互连208、安全区域214和认证模块216。
应当理解,图2是说明性示例。认证模块216可以验证由安全环境或安全网络102接收的数据的真实性。其还可以生成由安全环境102生成的数据的真实性。其还可以解密由安全网络102接收的数据。其还可以加密由安全网络 102发送的数据。每个功能可以独立地配置为具有特定密钥/配置的一个方向和具有其它密钥/配置的另一个方向。
第一网络接口处理器202被布置为与第一网络102通信。来自与第一网络 102通信的传感器108的测量数据由第一网络接口处理器202接收。第二网络接口处理器204是与第一网络接口处理器202分离的处理器,从而提供两个不同的处理环境。第一单向互连206和第二单向互连208是第一网络接口处理器 202和第二网络接口处理器204之间的唯一通信路径。在一些实施例中,第一单向互连206是第一网络接口处理器202之间的唯一通信路径,例如,其中未提供第二单向互连208或其中第二单向互连208已经由本文描述的机制禁用。
第一单向互连206和第二单向互连208中的每一个分别包括第一数据二极管210a和第二数据二极管210b,以及第一开关212a和第二开关212b。第一数据二极管210a被布置为允许经由第一单向互连206将数据从第一网络接口处理器202发送到第二网络接口处理器204,并且防止数据在相反方向上传输。第二数据二极管210b被布置为允许经由第二单向互连208将数据从第二网络接口处理器204发送到第一网络接口处理器202,并且防止数据在相反方向上传输。
尽管所描绘的实施例利用第一数据二极管210a和第二数据二极管210b以便提供第一互连206和第二互连 208的单向功能性,但可使用其它机制来提供单向功能性。
第一开关212a被布置为禁用第一单向互连206,使得当第一开关212a打开时,在第一网络接口处理器202和第二网络接口处理器204之间经由第一单向互连206的数据传输是不可能的。当第一开关212a闭合时,数据传输是可能的。第二开关212b被布置成以与第一开关212a被布置成禁用第一单向互连 206相同的方式来禁用第二单向互连208。第一开关212a和第二开关212b的操作由安全区域214控制。
在一些实施例中,第一开关212a和/或第二开关212b是基于OTP的开关,其可以使用OTP锁定在打开或闭合状态,之后不可能改变开关的状态。
第二网络接口处理器204被布置为与第二网络106通信。例如,由第一网络接口处理器202接收并且经由第一单向互连206传送到第二网络接口处理器 204的测量数据可由第二网络接口处理器204经由第二网络106发送到计算机系统110以供进一步处理。
在另选实施例中,第一单向互连206是第一网络接口处理器202和第二网络接口处理器204之间的唯一通信路径,因为没有提供第二单向互连208或者第二单向互连208已经通过打开第二开关212b而被禁用。这样,由于第一网络接口处理器202不能接收来自第二网络106的数据,所以第一网络接口处理器202以及因此第一网络102与第二网络106屏蔽开。
在其它另选实施例中,第二单向互连208可被配置为仅准许预定大小和/ 或性质的数据的传输。例如,可以经由第二单向互连208仅发送确认或否定确认信号中的一个或多个。计算机系统110可以响应于从一个或多个传感器108 接收到测量数据而发出确认或否定确认信号。当计算机系统110成功地从一个或多个传感器108接收到一条特定数据时,可以生成并发送确认信号,并且可以生成并发送否定确认信号,以拒绝从一个或多个传感器108接收到的一条数据,或者指示接收到的一条数据中的错误。确认信号或否定确认信号中的每一个的大小可以是几个比特,例如1、2或3比特。因此,集成电路104可被布置为仅允许经由第二单向互连208传输大小为3比特或3比特以下的数据。任何恶意数据将可能具有比最大允许大小更多的比特,并且不能经由第二单向互连208被发送到与第一网络102相接口的第一网络接口处理器202。因此,第一网络102保持被保护不受超过最大允许大小的任何恶意消息的影响。
安全区域214被布置为控制第一开关212a和第二开关212b的操作。因此,可通过安全区域214来安全地控制跨越集成电路104的数据流的配置。在一些实施例中,安全区域214可以是以软件实现的可信执行环境TEE,诸如用于执行可信且安全软件的安全包围区或分离的专用安全处理器。在其他实施例中,安全区域214可以是以硬件(诸如硬件信任根)实现的可信执行环境。
认证模块216被布置成将加密功能应用于在第一网络接口处理器202处经由第一网络102从传感器108之一接收的数据并且应用于在第二网络接口处理器204处经由第二网络106从计算机系统110接收的数据。这可以是验证与接收到的数据相关联的认证数据,或者生成与接收到的数据相关联的认证数据,该认证数据可以由另一实体验证。认证模块还可以通过加密功能提供数据保密性。在一些实施例中,认证模块216是安全区域214的一部分,使得在安全区域214内应用由认证模块216应用的加密功能。
为了向在第一网络接口处理器202处接收到的数据(例如,由传感器108 之一发送的测量数据)提供验证数据,将验证功能应用于所述数据。认证功能可以是消息认证码(MAC)算法、数字签名方案的签名算法、或加密散列函数、或提供数据真实性和机密性两者的认证加密算法,诸如伽罗瓦/计数器 (Galois/Counter)模式。可以使用任何合适的认证方案。在一些实施例中,可以为在第二网络接口处理器204处接收的数据提供认证数据,诸如由计算机系统110发送的数据。
为了验证在第二网络接口处理器204处接收到的认证数据,诸如具有由计算机系统110发送的相关联的认证数据的数据,使用验证功能来验证接收到的认证数据。在一些实施例中,如果在第二网络接口处理器204处接收的认证数据未被验证功能成功地验证,则可防止其被发送到第一网络接口处理器202。在一些实施例中,可以验证在第一网络接口处理器202处接收的认证数据,诸如由传感器108之一发送的数据。
在MAC算法被用于为经由第一网络102从传感器108之一接收的数据提供认证数据的示例中,该认证数据将被从第一网络接口处理器202发送到第二网络接口处理器204,认证模块216使用密钥通过MAC算法(在该示例中是认证功能)运行数据以产生MAC数据标签(在该示例中是认证数据)。然后,数据和MAC标签由第二网络接口处理器204经由第二网络106发送到计算机系统110。进而,计算机系统110使用相同的密钥通过相同的MAC算法(在该示例中是验证功能)来运行所接收的数据,从而产生第二MAC数据标签。然后,计算机系统110将第一MAC标签与第二生成的MAC标签进行比较。如果第一MAC标签与第二生成的MAC标签相同,则计算机系统110可以安全地假设数据在传输期间未被更改或篡改,并且确保一定程度的数据完整性。
在MAC算法被用于验证经由第二网络106从计算机系统110接收到的认证数据的示例中,该认证数据与从计算机系统110接收到的要从第二网络接口处理器204发送到第一网络接口处理器202的数据相关联,认证模块216和计算机系统110的角色互换,计算机系统110运行要通过MAC算法发送到集成电路104的数据以生成MAC数据标签,并且在接收到数据和MAC数据标签时,认证模块216生成第二MAC数据标签并且以上述方式验证数据。
在用于为经由第一网络102从传感器108之一接收的数据提供认证数据的数字签名方案的示例中,该认证数据将从第一网络接口处理器202发送到第二网络接口处理器204,密钥生成算法首先从一组可能的私钥中均匀地随机选择私钥。在一些实施例中,密钥生成算法位于安全区域214处。密钥生成算法输出私钥和对应的公钥。私钥被传送到认证模块216,并且公钥被传送到计算机系统110。认证模块216使用签名算法(在该示例中是认证功能)来使用数据 (或者可替换地,数据的散列或摘要)和私钥来产生签名(在该示例中是认证数据)。然后,签名例如与数据一起被发送到计算机系统110。在接收时,签名、数据(或者来自第一数据分组的数据的散列或摘要,其中签名算法已经使用了该散列或摘要)和公钥由计算机系统110通过签名验证算法(在该示例中是验证功能)来运行,并且根据结果来接受或拒绝数据的真实性。
在用于验证经由第二网络106从计算机系统110接收到的认证数据的数字签名方案的示例中,该认证数据与从计算机系统110接收到的要从第二网络接口处理器204发送到第一网络接口处理器202的数据相关联,认证模块216 和计算机系统110的角色互换,计算机系统110以上述方式对数据进行签名以生成签名,认证模块216以上述方式验证签名以对数据进行认证。
认证功能和验证功能所使用的加密密钥可由安全区域214供应且可在集成电路的制造期间配置。密钥可以是使用密钥共享协议计算的会话密钥,该密钥共享协议对于安全区域214和受加密功能约束的数据的接收方(例如计算机系统110)是公共的。
在一些实施例中,从第一网络接口处理器202发送到第二网络接口处理器 204的数据被提供有由认证模块216生成的认证数据。然后,接收方计算机系统110能够通过使用验证功能验证认证数据来认证数据。以此方式,集成电路 104的认证模块216可将认证数据添加到从传感器108接收的测量数据。这样,可以为传感器和与第一网络102通信的任何其他设备提供认证数据,这些设备不能产生其自身的认证数据。
同样,在一些实施例中,可以向从第二网络接口处理器204发送到第一网络接口处理器202的数据提供由认证模块216生成的认证数据。
在一些实施例中,从第二网络接口处理器204发送到第一网络接口处理器 202的数据由认证模块216通过将验证功能应用于与数据相关联的认证数据以验证认证数据来进行认证。在第二网络接口处理器204处经由第二网络106 从计算机系统110接收的数据可以被认证。与数据相关联的认证数据可由认证模块216使用验证功能来验证,以便认证所接收的数据。在一些实施例中,仅允许将在第二网络接口处理器204处接收到的已被成功认证的数据从第二网络接口处理器204发送到第一网络接口处理器202。
同样,在一些实施例中,与在第一网络接口处理器202处接收的数据相关联的认证数据可由认证模块216使用验证功能来验证以认证数据。
参照图3,现在描述安全区域214的实施例。安全区域214包括处理器302、存储器304、开关控制模块306和密钥管理模块308。处理器302被布置为在开关控制模块306和密钥管理模块308之间进行协调。存储器304可存储供处理器302执行以致使处理器302提供所需功能性的指令。在一些实施例中,认证模块216也是安全区域214的一部分:非易失性存储器可以被集成以存储根密钥,诸如OTP单元和/或一些硬件加密块。
安全区域214是集成电路104的安全区域。安全区域214是在其内部加载的代码和数据在机密性和完整性方面受到保护的区域。例如,安全区域214 可以包括具有与集成电路的其余部分分离和隔离的处理和存储器资源的隔离执行环境。对安全区域214的访问可以经由安全邮箱布置。
在一些实施例中,安全区域214是被实现为集成在集成电路104的更宽环境内的隔离环境的可信执行环境(TEE)。在TEE中运行的应用(例如,开关控制模块306、密钥管理模块308以及在一些实施例中,认证模块216)被命名为可信应用,因为它们在机密性和完整性方面受到保护并且可以在安全区域 214的隔离环境内执行。
在一些实施例中,安全区域214是以硬件(例如Synopsys tRoot)实现的 TEE的硬件信任根。恶意软件不能篡改由硬件信任根提供的功能,因为这些功能是在硬件中实现的。
在一些实施例中,安全区域214是可信执行环境,例如,诸如Synopsys tRoot之类的硬件信任根。
开关控制模块306被布置成当在安全区域214内执行对第一开关212a和第二开关212b的控制操作时,安全地控制第一开关212a和第二开关212b的操作。
密钥管理模块308被布置为向认证模块216提供如上所述加密和/或解密数据所需的加密密钥。在一些实施例中,密钥管理模块308被布置为向计算机系统110提供如上所述的加密和/或解密数据所需的加密密钥。
应当理解,上述描述是说明性的,而不是限制性的。在阅读和理解以上描述之后,许多其它实现对于本领域技术人员将是显而易见的。虽然已经参考特定示例性实现描述了本公开,但是将认识到,本公开不限于所描述的实现,而是可以在所附权利要求的精神和范围内通过修改和变更来实践。因此,说明书和附图将被认为是说明性的而不是限制性的。因此,本公开的范围应当参考所附权利要求以及这些权利要求所享有的等同物的全部范围来确定。
Claims (11)
1.一种集成电路,包括:
第一网络接口处理器,用于与第一网络通信;
第二网络接口处理器,用于与第二网络通信,其中,所述第二网络接口处理器是与所述第一网络接口处理器分离的处理器;以及
第一单向互连,其连接所述第一网络接口处理器和所述第二网络接口处理器,
其中,所述第一单向互连被配置为允许经由所述第一单向互连从所述第一网络接口处理器到所述第二网络接口处理器的数据传输,并且防止经由所述第一单向互连从所述第二网络接口处理器到所述第一网络接口处理器的数据传输,
其中,所述第一单向互连还包括第一开关,该第一开关被配置为禁用所述第一单向互连,使得当所述第一开关打开时,在所述第一网络接口处理器和所述第二网络接口处理器之间经由所述第一单向互连的数据传输是不可能的,从具有硬件信任根的安全区域进行所述第一开关的操作,
其中,所述第一网络接口处理器被配置为经由所述第一单向互连向所述第二网络接口处理器发送数据;并且
所述第二网络接口处理器被配置为经由所述第一单向互连从所述第一网络接口处理器接收数据。
2.根据权利要求1所述的集成电路,其中,所述第一单向互连包括第一数据二极管,该第一数据二极管被配置为允许经由所述第一单向互连从所述第一网络接口处理器到所述第二网络接口处理器的数据传输,并且防止经由所述第一单向互连从所述第二网络接口处理器到所述第一网络接口处理器的数据传输。
3.根据权利要求1所述的集成电路,其中,所述集成电路被配置为生成用于在所述第一网络接口处理器处从所述第一网络接收的数据的认证数据。
4.根据权利要求1所述的集成电路,所述集成电路还包括第二单向互连,该第二单向互连连接所述第一网络接口处理器和所述第二网络接口处理器,
其中,所述第二单向互连被配置为允许经由所述第二单向互连从所述第二网络接口处理器到所述第一网络接口处理器的数据传输,并且防止经由所述第二单向互连从所述第一网络接口处理器到所述第二网络接口处理器的数据传输,
其中,所述第二网络接口处理器被配置为经由所述第二单向互连向所述第一网络接口处理器发送数据;并且
所述第一网络接口处理器被配置为经由所述第二单向互连从所述第二网络接口处理器接收数据。
5.根据权利要求4所述的集成电路,其中,所述第二单向互连包括第二数据二极管,所述第二数据二极管被配置为允许经由所述第二单向互连从所述第二网络接口处理器到所述第一网络接口处理器的数据传输,并且防止经由所述第二单向互连从所述第一网络接口处理器到所述第二网络接口处理器的数据传输。
6.根据权利要求4所述的集成电路,其中,所述第二单向互连还包括第二开关,该第二开关被配置为禁用所述第二单向互连,使得当所述第二开关打开时,在所述第一网络接口处理器和所述第二网络接口处理器之间经由所述第二单向互连的数据传输是不可能的。
7.根据权利要求6所述的集成电路,其中,所述安全区域被配置为控制所述第二开关的操作。
8.根据权利要求4所述的集成电路,其中,所述集成电路被配置为仅允许经由所述第二单向互连发送预定大小的数据。
9.根据权利要求4或5所述的集成电路,其中,所述集成电路被配置为通过验证与所接收的数据相关联的认证数据来认证在所述第二网络接口处理器处从所述第二网络接收的数据。
10.根据权利要求9所述的集成电路,其中,接收到的数据由所述第二网络使用所述安全区域发出的密钥来解密。
11.根据权利要求4所述的集成电路,其中,所述安全区域具有不可逆存储器配置,使得取决于所述不可逆存储器配置的不可逆配置,所述安全区域迫使一个或多个开关到相应方向的永久和不可逆锁定。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310339928.1A CN116366341A (zh) | 2017-12-29 | 2018-12-21 | 集成电路 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17211231.0 | 2017-12-29 | ||
| EP17211231.0A EP3506587A1 (en) | 2017-12-29 | 2017-12-29 | Integrated circuit |
| PCT/EP2018/086570 WO2019129704A1 (en) | 2017-12-29 | 2018-12-21 | Integrated circuit |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310339928.1A Division CN116366341A (zh) | 2017-12-29 | 2018-12-21 | 集成电路 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111656747A CN111656747A (zh) | 2020-09-11 |
| CN111656747B true CN111656747B (zh) | 2023-04-04 |
Family
ID=60990608
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310339928.1A Pending CN116366341A (zh) | 2017-12-29 | 2018-12-21 | 集成电路 |
| CN201880082813.6A Active CN111656747B (zh) | 2017-12-29 | 2018-12-21 | 集成电路 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310339928.1A Pending CN116366341A (zh) | 2017-12-29 | 2018-12-21 | 集成电路 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US11271901B2 (zh) |
| EP (2) | EP3506587A1 (zh) |
| CN (2) | CN116366341A (zh) |
| BR (1) | BR112020012821A2 (zh) |
| ES (1) | ES2971640T3 (zh) |
| SG (1) | SG11202005555XA (zh) |
| WO (1) | WO2019129704A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11212084B2 (en) | 2018-07-21 | 2021-12-28 | Fundacja “Blockchain Development Foundation” | System and a method for signing transactions using air-gapped private keys |
| US20220167846A1 (en) * | 2019-03-22 | 2022-06-02 | Sibel Inc. | Wireless communication system for wearable medical sensors |
| ES2952067T3 (es) * | 2020-01-20 | 2023-10-26 | Bitfold Ag | Un sistema y un método para la transferencia segura de datos usando el protocolo de hardware de air gapping |
| CN112822029A (zh) * | 2021-02-03 | 2021-05-18 | 广州市保伦电子有限公司 | 一种可阻挡外界信号的录音采集方法、模块和装置 |
| GB2610850A (en) * | 2021-09-17 | 2023-03-22 | Pa Knowledge Ltd | Method and device |
| US11709970B1 (en) | 2022-12-19 | 2023-07-25 | Fend Incorporated | One-way communication data diode on a chip |
| US20240236057A1 (en) * | 2023-01-10 | 2024-07-11 | Rosemount Aerospace Inc. | System and method for a secure unidirectional network interface |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102929329A (zh) * | 2012-09-28 | 2013-02-13 | 无锡江南计算技术研究所 | 片上系统间互连网络的动态重构方法 |
| CN107409139A (zh) * | 2015-03-31 | 2017-11-28 | 西门子公司 | 用于无反馈地传输数据的单路耦合装置、询问机构和方法 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8046571B1 (en) | 2006-12-18 | 2011-10-25 | Marvell International Ltd. | System-on-a-chip (SoC) security using one-time programmable memories |
| FR2922705B1 (fr) * | 2007-10-23 | 2011-12-09 | Sagem Defense Securite | Passerelle bidirectionnelle a niveau de securite renforce |
| WO2010013092A1 (en) * | 2008-07-30 | 2010-02-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Systems and method for providing trusted system functionalities in a cluster based system |
| EP2173060B1 (en) * | 2008-10-02 | 2012-09-12 | VirtualLogix SA | Virtualized secure networking |
| US8429735B2 (en) * | 2010-01-26 | 2013-04-23 | Frampton E. Ellis | Method of using one or more secure private networks to actively configure the hardware of a computer or microchip |
| CN201774551U (zh) * | 2010-08-25 | 2011-03-23 | 上海神计信息系统工程有限公司 | 两物理隔断网络即时通讯数据摆渡传输器 |
| CN202759475U (zh) * | 2012-04-28 | 2013-02-27 | 上海杰之能信息科技有限公司 | 数据发送装置、数据接收装置、数据传输系统以及服务器 |
| US8898227B1 (en) * | 2013-05-10 | 2014-11-25 | Owl Computing Technologies, Inc. | NFS storage via multiple one-way data links |
| EP2916511B1 (en) * | 2014-03-07 | 2020-02-12 | Airbus Opérations SAS | High assurance security gateway interconnecting different domains |
| US10524124B2 (en) * | 2015-06-04 | 2019-12-31 | Vm-Robot, Inc. | Routing systems and methods |
| US10193857B2 (en) * | 2015-06-30 | 2019-01-29 | The United States Of America, As Represented By The Secretary Of The Navy | Secure unrestricted network for innovation |
| CN105282172B (zh) * | 2015-11-09 | 2018-04-20 | 珠海市鸿瑞软件技术有限公司 | 基于硬件数据变换技术的单处理系统及网络安全隔离方法 |
| IL250010B (en) * | 2016-02-14 | 2020-04-30 | Waterfall Security Solutions Ltd | Secure connection with protected facilities |
| US10791100B2 (en) * | 2017-03-10 | 2020-09-29 | Ovsecure Ltd. | Systems, methods and devices for secure routing and recording of network data transported through network switch |
| DE102017117604B4 (de) * | 2017-08-03 | 2019-06-19 | Kriwan Industrie-Elektronik Gmbh | Verfahren zum Betreiben wenigstens eines Elektromotors und/oder einer damit gekoppelten, nichtfahrenden Arbeitsmaschine sowie eine nichtfahrende Arbeitsmaschine |
| US10701107B2 (en) * | 2017-12-06 | 2020-06-30 | Nicira, Inc. | Deterministic load balancing of IPSec processing |
-
2017
- 2017-12-29 EP EP17211231.0A patent/EP3506587A1/en not_active Withdrawn
-
2018
- 2018-12-21 EP EP18826059.0A patent/EP3732847B1/en active Active
- 2018-12-21 CN CN202310339928.1A patent/CN116366341A/zh active Pending
- 2018-12-21 BR BR112020012821-0A patent/BR112020012821A2/pt unknown
- 2018-12-21 WO PCT/EP2018/086570 patent/WO2019129704A1/en unknown
- 2018-12-21 SG SG11202005555XA patent/SG11202005555XA/en unknown
- 2018-12-21 US US16/958,069 patent/US11271901B2/en active Active
- 2018-12-21 CN CN201880082813.6A patent/CN111656747B/zh active Active
- 2018-12-21 ES ES18826059T patent/ES2971640T3/es active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102929329A (zh) * | 2012-09-28 | 2013-02-13 | 无锡江南计算技术研究所 | 片上系统间互连网络的动态重构方法 |
| CN107409139A (zh) * | 2015-03-31 | 2017-11-28 | 西门子公司 | 用于无反馈地传输数据的单路耦合装置、询问机构和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3732847C0 (en) | 2024-01-24 |
| SG11202005555XA (en) | 2020-07-29 |
| WO2019129704A1 (en) | 2019-07-04 |
| US11271901B2 (en) | 2022-03-08 |
| EP3732847A1 (en) | 2020-11-04 |
| EP3732847B1 (en) | 2024-01-24 |
| CN116366341A (zh) | 2023-06-30 |
| ES2971640T3 (es) | 2024-06-06 |
| BR112020012821A2 (pt) | 2020-11-24 |
| US20210067488A1 (en) | 2021-03-04 |
| CN111656747A (zh) | 2020-09-11 |
| EP3506587A1 (en) | 2019-07-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111656747B (zh) | 集成电路 | |
| US10484365B2 (en) | Space-time separated and jointly evolving relationship-based network access and data protection system | |
| US9298917B2 (en) | Enhanced security SCADA systems and methods | |
| WO2006002282A1 (en) | Systems and methods for performing secure communications between an authorized computing platform and a hardware component | |
| US11403428B2 (en) | Protecting integrity of log data | |
| CN114710351A (zh) | 用于在通信过程中改进数据安全性的方法和系统 | |
| CN112948086B (zh) | 一种可信plc控制系统 | |
| CN112311718A (zh) | 检测硬件的方法、装置、设备及存储介质 | |
| Gui et al. | Hardware based root of trust for electronic control units | |
| Labrado et al. | Fortifying vehicular security through low overhead physically unclonable functions | |
| US9407442B2 (en) | Tamper-evident network messaging method and system, and device configured therefor | |
| CN110830507A (zh) | 资源访问方法、装置、电子设备及系统 | |
| CN111651740B (zh) | 一种面向分布式智能嵌入式系统的可信平台共享系统 | |
| WO2019069308A1 (en) | SYSTEM AND METHOD FOR VALIDATION OF COMMUNICATION AUTHENTICITY IN ONBOARD NETWORKS | |
| Asoni et al. | Alcatraz: Data exfiltration-resilient corporate network architecture | |
| Murti et al. | Security in embedded systems | |
| Bhatt et al. | A survey on developing secure iot products | |
| US20200382521A1 (en) | Network security interface component and data transmission method | |
| Anderson | Securing embedded linux | |
| García Aguilar et al. | A Threat Model Analysis of a Mobile Agent-based system on Raspberry Pi | |
| Papp | Protocol for remote attestation of malware-free state of embedded IoT devices | |
| EP1944942A1 (en) | Method for checking the running configuration of a network equipment and network equipment | |
| KR20240003977A (ko) | 차량 제어기의 앱 무결성 검증 방법 | |
| Bak et al. | TEE-based Remote Platform Attestation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |