ES3029335T3 - Network security gateway onboard an aircraft for connecting low and high trust domains of an avionics computer infrastructure - Google Patents

Network security gateway onboard an aircraft for connecting low and high trust domains of an avionics computer infrastructure Download PDF

Info

Publication number
ES3029335T3
ES3029335T3 ES23170235T ES23170235T ES3029335T3 ES 3029335 T3 ES3029335 T3 ES 3029335T3 ES 23170235 T ES23170235 T ES 23170235T ES 23170235 T ES23170235 T ES 23170235T ES 3029335 T3 ES3029335 T3 ES 3029335T3
Authority
ES
Spain
Prior art keywords
data processing
processing node
node
gateway
trust domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES23170235T
Other languages
English (en)
Inventor
Stéphane Monnier
Alexandre Noinski
Alexandre Fine
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Application granted granted Critical
Publication of ES3029335T3 publication Critical patent/ES3029335T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/42Centralised routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Esta puerta de enlace, que conecta un dominio de baja confianza (12) y un dominio de alta confianza (13) de una infraestructura informática de aviónica, ofrece diversas funciones de seguridad, cada una de las cuales es realizada por un nodo de procesamiento de datos. Esta puerta de enlace comprende, conectados en serie a lo largo de una cadena de filtrado de un flujo de datos recibido del dominio de baja confianza: un nodo de procesamiento de datos de cortafuegos (4); un nodo de procesamiento de datos de ruptura de protocolo (5); un nodo maestro de procesamiento de datos (1); y un nodo inverso de procesamiento de datos de ruptura de protocolo (6). La puerta de enlace comprende además un nodo de procesamiento de datos de seguridad (2) conectado a cada uno de los nodos de procesamiento de datos de la cadena de filtrado, estando los diferentes nodos de procesamiento de datos físicamente separados. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Pasarela de seguridad de red embarcada a bordo de una aeronave para conectar dominios de confianza baja y alta de una infraestructura informática de aviónica
[0001] La presente invención tiene como campo el de las pasarelas de seguridad de red destinadas a ser embarcadas a bordo de aeronaves, civiles o militares.
[0002] Una pasarela de seguridad de red permite una interconexión entre dos dominios informáticos que se caracterizan por niveles de criticidad diferentes, en particular entre un dominio de baja confianza y un dominio crítico para la seguridad (concepto de «safety» en inglés) de la aeronave, como por ejemplo el dominio de control del avión o ACD («Aircraft Control Domain»).
[0003] Esta interconexión puede ser permanente, en el caso por ejemplo de dos redes del avión que se utilizan durante una fase de vuelo, o temporal, en el caso por ejemplo de un equipo de mantenimiento conectado al avión durante una fase de mantenimiento en el suelo.
[0004] La pasarela permite proteger el dominio de mayor criticidad filtrando los flujos de datos que provienen del dominio de menor criticidad, rechazando los flujos de datos que no son compatibles con el nivel de criticidad más alto, especialmente los flujos de datos que corresponden a ataques informáticos maliciosos.
[0005] Por ejemplo, el documento FR 2922705 A1 describe una pasarela que realiza un control exhaustivo de datos para limitar el riesgo de corrupción de la red de nivel de seguridad elevado. Se contemplan diferentes controles como la verificación de etiquetas, una prueba criptográfica, la implementación de un cortafuegos, etc.
[0006] Como otro ejemplo, el documento EP 3068101 B1 describe un sistema de filtrado para el intercambio seguro de datos entre dominios de niveles de confidencialidad diferentes. Incluye, corriente arriba, un módulo de supresión de la envoltura de transporte, un módulo de protección del tipo cortafuegos y un módulo de ruptura de protocolo. De manera simétrica, corriente abajo, incluye un módulo de ruptura de protocolo inversa, un módulo de protección y un módulo de adición de la envoltura de transporte.
[0007] Dicha pasarela debe desarrollarse con el más alto nivel de desarrollo para la seguridad (nivel «SAL 3» en el marco de referencia definido por la norma ED-203A) a la vez que garantiza buenas propiedades de ciberseguridad, especialmente la imposibilidad de que un atacante eluda las funciones de filtrado implementadas por la pasarela.
[0008] Sin embargo, el respeto de estas exigencias de desarrollo, así como la verificación que permita garantizar el nivel de seguridad de manera eficaz suministrado constituyen dificultades mayores.
[0009] El objeto de la presente invención es proponer una arquitectura de pasarela que permita dar respuesta a estos problemas.
[0010] Para ello, la invención tiene como objeto una pasarela de seguridad según las reivindicaciones adjuntas.
[0011] La invención y sus ventajas se entenderán mejor con la lectura de la descripción detallada que se ofrece a continuación de una realización particular, dada únicamente a modo de ejemplo no limitativo, de manera que esta descripción se realiza en referencia a los dibujos adjuntos donde:
[Fig. 1] La figura 1 es una representación esquemática de una realización preferida de la pasarela de seguridad en aviónica según la invención; y,
[Fig. 2] La figura 2 es un cronograma que representa diferentes ejemplos de funcionamiento de la pasarela de la figura 1.
ESTRUCTURA
[0012] En referencia a la figura 1 se presentará la arquitectura de la pasarela según la invención. En esta figura, los enlaces bidireccionales se muestran en trazo continuo mientras que los enlaces unidireccionales se muestran en trazo discontinuo.
[0013] La pasarela de seguridad de red 10 está embarcada a bordo de una aeronave. Está colocada en la interfaz entre un dominio de confianza baja 12, o dominio «LTD», y un dominio de confianza alta 13, o dominio «HTD», de una infraestructura informática de aviónica. Por ejemplo, el dominio 13 corresponde al dominio de control del avión y el dominio 12 corresponde a otro dominio a bordo de la aeronave o conectado temporalmente a la aeronave.
[0014] La pasarela 10 tiene como función garantizar una transferencia segura de los datos al menos desde el dominio de confianza baja 12 hacia el dominio de confianza alta 13. Para ello, la pasarela 10 filtra los flujos de datos, siendo a la vez robusta frente a los ataques informáticos que pretenden eludir este filtrado.
[0015] Preferentemente, la pasarela 10 es una pasarela Ethernet/Ethernet. Alternativamente, se trata de una pasarela ARINC 429/ARINC 429. Más en general, se trata de una pasarela Ethernet y/o ARINC 429 y/o ARINC 664 (preferentemente ARINC 664 P3 o P7) en el lado de dominio de confianza baja y Ethernet y/o ARINC 429 y/o ARINC 664 (preferentemente ARINC 664 P3 o P7) en el lado de dominio de confianza alta.
[0016] La arquitectura de la pasarela 10 se basa preferentemente en una única tarjeta electrónica 11 que lleva varios nodos de tratamiento de datos (o «Data Processing Node» en inglés), estando cada nodo dedicado a la realización de una o varias funciones de seguridad específicas. Se trata, por tanto, de una arquitectura distribuida.
[0017] Un nodo puede ser cualquier tipo de dispositivo que disponga de sus propios recursos de cálculo, memoria y puerto de comunicación. Preferentemente, se trata de un microcontrolador, en la medida en que este componente presenta un consumo reducido, lo que limita, por consiguiente, los problemas de disipación de calor, una cuestión crítica en el campo de la aviónica. Alternativamente, se trata de un circuito lógico programable, como por ejemplo un FPGA («Field-Programmable Gate Array»).
[0018] Por tanto, las diferentes funciones están segregadas físicamente.
[0019] La tarjeta 11 lleva así un nodo maestro 1. El nodo maestro 1 realiza la función de filtrado como tal.
[0020] La tarjeta 11 lleva también varios nodos esclavos. En la realización de la figura 1 se prevén cuatro nodos esclavos, numerados como 2, 4, 5 y 6. Realizan funciones respectivamente de seguridad, de cortafuegos, de formateo y de formateo inverso.
[0021] La tarjeta 11 lleva también una pluralidad de dispositivos de conversión. En la realización de la figura 1 se prevén tres dispositivos de conversión, numerados como 3, 7 y 8.
[0022] Estos nodos y dispositivos de conversión se comunican entre sí por enlaces.
[0023] Los nodos de tratamiento de datos de cortafuegos 4, de formateo 5, maestro 1 y de ruptura de protocolo inversa 6 están conectados en serie para formar una cadena de filtrado de los flujos de datos.
[0024] El nodo de tratamiento de datos de seguridad 2 se conecta a cada uno de los nodos de tratamiento de datos de la cadena de filtrado.
[0025] El nodo maestro 1 está así «sumergido» en el núcleo de la tarjeta 11, en el sentido de que no presenta ninguna interfaz directa con ninguno de los dominios 12 y 13.
[0026] La arquitectura de la pasarela es tal que un flujo de datos que proviene del dominio de confianza baja 12 está obligado a pasar sucesivamente a través de los nodos de cortafuegos 4, de formateo 5 y maestro 1. Esta limitación se realiza físicamente por medio de los enlaces de comunicación entre estos nodos: el único canal de comunicación operativa que sale del nodo 4 (fuera de la interfaz hacia el dominio de confianza baja) lleva al nodo 5 y el único canal de comunicación operativa que sale del nodo 5 (fuera de la interfaz hacia el nodo 4) lleva al nodo 1.
[0027] En el lado del nivel de confianza baja de la pasarela (es decir, los nodos 4, 5 y 1) hay canales de comunicación entre cada uno de los nodos 4, 5 y 1 por una parte y el nodo 2 por otra parte, pero estos canales, a lo largo de los enlaces U42, U52 y U12, permiten únicamente la subida de informaciones de funcionamiento generadas por un nodo hacia un archivo de registro (archivo «log») memorizado por el nodo 2.
[0028] Para la comunicación entre una aplicación del dominio de confianza baja 12 y un servicio del nodo 2 (como una aplicación de control que utiliza el archivo de registro memorizado por el nodo 2), las comunicaciones ascendentes de interrogación son recibidas por el nodo 1 y a continuación transmitidas después del filtrado hacia el nodo 2 a través del enlace B12, y las comunicaciones descendentes de respuesta son transmitidas por el nodo 2 bien hacia el nodo 1 a través del enlace B12 (caso por ejemplo de un filtrado contextual implementado por el nodo 1) o bien directamente hacia el nodo 4 a través del enlace U24 (para comunicarse directamente y, por tanto, más rápidamente con el dominio 12 ).
Nodo de cortafuegos 4
[0029] El nodo de cortafuegos 4 está colocado en la parte frontal con el dominio de confianza baja 12 de donde pueden provenir los ataques informáticos.
[0030] Presenta al menos un puerto de entrada/salida para el establecimiento de un enlace bidireccional con el dominio 12. Preferentemente, incluye tres puertos que permiten establecer:
- un primer enlace B4a, directo con el dominio 12, por ejemplo, una red del avión durante una fase de vuelo. Se trata por ejemplo de un enlace Ethernet 100 Mbit/s;
- un segundo enlace B4b, directo con el dominio 12, por ejemplo, de conexión a un equipo de mantenimiento durante una fase de mantenimiento en el suelo. Se trata por ejemplo de un enlace Ethernet 100 Mbit/s;
- un tercer enlace B34, indirecto con el dominio 12, a través del primer módulo de conversión 3.
[0031] El primer módulo de conversión 3 permite convertir un flujo de datos que proviene del dominio 12, por ejemplo, al formato ARINC 429, en un flujo de datos al formato requerido en el enlace B34. El enlace B34 es, por ejemplo, un bus SPI o un enlace en serie asíncrono.
[0032] El primer módulo 3 está a su vez conectado directamente al dominio 12 por un enlace bidireccional B3, por ejemplo, constituido por dos enlaces unidireccionales para garantizar la bidireccionalidad.
[0033] El nodo de cortafuegos 4 presenta también un puerto de entrada/salida para el establecimiento de un enlace B45, bidireccional, con el nodo de desformateo 5.
[0034] El nodo de cortafuegos 4 presenta un puerto de salida para el establecimiento de un enlace U42, unidireccional, con el nodo de servicio 2.
[0035] El nodo de cortafuegos 4 presenta un puerto de entrada para el establecimiento de un enlace U24, unidireccional, con el nodo de servicio 2.
[0036] El nodo de cortafuegos 4 presenta un puerto de entrada para el establecimiento de un enlace U64, unidireccional, con el nodo de reformateo 6.
[0037] Este primer nodo 4 en la cadena de filtrado de datos garantiza un primer nivel de filtrado de tipo cortafuegos («firewall» en inglés). Ejecuta diferentes reglas de verificación de seguridad en los flujos de datos recibidos del dominio 12.
[0038] Si el flujo de datos que proviene del dominio 12 es aceptado por el nodo 4, se reemite hacia el nodo 5.
[0039] Por el contrario, si el flujo es rechazado, el nodo 4 genera informaciones de registro y las transmite al nodo de servicio 2.
[0040] El nodo de cortafuegos 4 realiza, por ejemplo, los filtrados siguientes:
- aceptar un flujo del dominio de confianza baja solo si se declara, por ejemplo, incluyendo el identificador de un puerto UDP declarado;
- verificar el tamaño de las tramas del flujo del dominio de confianza baja, debiendo responder este tamaño a valores configurables (tamaño mínimo / tamaño máximo);
- verificar que, para un flujo dado, la frecuencia de recepción de las tramas es según valores que son también configurables;
- verificar que la dirección IP de la fuente del flujo es según una lista de valores autorizada, siendo esta lista configurable.
[0041] En el caso en que el módulo 4 rechace una trama del flujo, las informaciones del encabezamiento de esta trama son enviadas hacia el módulo de servicio 2. Se realiza ventajosamente una agregación de las informaciones de encabezamiento mediante el módulo 4 cuando se rechaza un número demasiado grande de tramas.
Nodo de formateo 5
[0042] El nodo 5 está colocado entre el nodo 4 y el nodo maestro 1 en la cadena de filtrado de datos.
[0043] Presenta un puerto de entrada/salida para el establecimiento del enlace B45, bidireccional, con el nodo 4 y un puerto de entrada/salida para el establecimiento de un enlace B51, bidireccional, con el nodo maestro 1.
[0044] El nodo 5 presenta un puerto de salida para el establecimiento de un enlace U52, unidireccional, hacia el nodo de servicio 2.
[0045] El nodo 5 garantiza un segundo nivel de filtrado donde realiza una modificación del formato de los flujos.
[0046] Así, para un flujo de datos que proviene del dominio de confianza baja, el módulo 5 realiza una ruptura de protocolo. Determina la naturaleza del flujo incidente, es decir, su formato. Por ejemplo, el flujo de datos se refiere a un plano de vuelo o a la descarga de un software. El nodo 5 convierte a continuación este flujo incidente en un formato neutro. Si se consigue la ruptura de protocolo (en el sentido de que el mensaje contenido en el flujo de datos incidente es coherente, sin error de sintaxis), el flujo se reenvía, en este formato neutro, hacia el nodo maestro 1. Por el contrario, si el flujo incidente se rechaza, el nodo 5 genera nuevas entradas de registro y las transmite al nodo de servicio 2 a través del enlace U52.
[0047] Para un flujo de datos que proviene del dominio de confianza alta, el módulo 5 realiza una ruptura de protocolo inversa. Recibe un flujo de datos en el formato neutro desde el nodo maestro 1. Convierte este flujo en el formato requerido antes de transmitirlo al nodo de cortafuegos 4.
[0048] El formato neutro no está estandarizado y depende de las implementaciones.
Nodo maestro 1
[0049] En la cadena de filtrado de datos, el nodo maestro 1 está colocado entre el nodo de desformateo 5 y el nodo de reformateo 6.
[0050] Presenta un puerto de entrada/salida para el establecimiento de un enlace B51 bidireccional con el nodo 5 y un puerto de entrada/salida para el establecimiento de un enlace B16 bidireccional con el nodo 6.
[0051] Presenta, además, un puerto de salida para el establecimiento de un enlace U12 unidireccional con el nodo de servicio 2.
[0052] El nodo maestro 1 efectúa diferentes filtrados.
[0053] Por ejemplo, el nodo maestro realiza un filtrado de tipo dominio de uso, donde cada dato presentado en el formato neutro de la ruptura de protocolo es filtrado con respecto al valor que se supone que representa. Por ejemplo: filtrar un campo de tipo texto eliminando determinados caracteres especiales; filtrar un campo de velocidad con respecto a los valores potencialmente alcanzados por la aeronave; prohibir los flujos de cierta naturaleza según las fases de la aeronave (vuelo, rodadura en el suelo, mantenimiento en el suelo, etc.), donde uno u otro dato no tienen razón de ser.
[0054] Como otro ejemplo, el nodo maestro 1 aplica un filtrado rápido o un filtrado lento de manera que respeta un tiempo de latencia adaptado a la naturaleza del flujo incidente, según se identifica por el nodo 5. Así se permite limitar el tiempo de recorrido de determinados flujos denominados críticos. El nodo maestro 1 prioriza así los flujos críticos garantizando un tratamiento en una tarea dedicada, siendo los otros flujos, no críticos, tratados en una tarea general.
[0055] Como otro ejemplo, el nodo maestro 1 aplica un filtrado contextual. Por ejemplo, si un primer mensaje de solicitud circula desde el dominio 13 hacia el dominio 12, el nodo maestro 1 espera tener que filtrar el mensaje de respuesta correspondiente que el dominio 13 dirigirá al nodo 12. El nodo maestro 1 aplica así un tratamiento de verificación de la coherencia de los intercambios entre los dos dominios.
[0056] El nodo maestro 1 efectúa ventajosamente pruebas de vigilancia del buen funcionamiento de la tarjeta electrónica 11 y de sus componentes. La ejecución de una prueba se activa, por ejemplo, en una fase de mantenimiento en el suelo.
[0057] El nodo maestro 1 efectúa ventajosamente un filtrado de las solicitudes de paso de descarga, en particular sobre el formato correcto de dichas solicitudes, consistiendo la descarga a continuación en importar informaciones para el funcionamiento de la pasarela (valor de configuración del cortafuegos, actualización de software para realizar la ruptura de protocolo de un formato de datos hacia el formato neutro, etc.)
[0058] Por ejemplo, en una fase de mantenimiento en el suelo, se conecta un equipo de mantenimiento a la pasarela 10 que permite actualizar un software del módulo de cortafuegos 4. Este equipo transmite una solicitud de descarga, que es así filtrada por el módulo de cortafuegos 4, que la retransmite hacia el módulo de ruptura de protocolo 5, que a su vez la retransmite hacia el módulo maestro 1.
[0059] Al constatar que se trata de una solicitud de descarga, el nodo maestro 1 verifica toda una serie de condiciones. Entre estas condiciones está, por ejemplo, el hecho de que un equipo esté conectado efectivamente a la pasarela, que la fase de funcionamiento de la aeronave corresponda a una fase de mantenimiento en el suelo, etc. En caso de verificación positiva, el nodo 1 puede modificar el modo de funcionamiento de la pasarela para pasar, por ejemplo, de un modo de mantenimiento a un modo de descarga.
[0060] El nodo 1 puede generar una señal de interrupción que conduce al rearranque de la pasarela, es decir, al rearranque de cada uno de los nodos.
[0061] El nodo maestro 1 ejecuta una aplicación de detección de intrusión HIDS (por «Host-based Intrusión Detection System») en todos los flujos que filtra. Para la ejecución de esta aplicación, la aplicación de detección de intrusión necesita datos de entorno obtenidos del conjunto de los nodos y centralizados por el nodo de servicio 2. De ahí la presencia del enlace de comunicación bidireccional B12 entre el nodo maestro 1 y el nodo de servicio 2 para el intercambio de estos datos.
[0062] Las informaciones de detección generadas por esta aplicación constituyen entradas del registro mantenido al día por el nodo de servicio 2. Estas informaciones son dirigidas por el nodo 1 al nodo 2 a través del enlace U12.
[0063] Una vez filtrado el flujo, el nodo maestro 1 lo reenvía hacia el nodo de reformateo 6.
[0064] Si el flujo es rechazado, se generan informaciones de registro y se transmiten al nodo de servicio 2 a través del enlace U12.
[0065] El nodo maestro 1 se desarrolla con el más alto nivel de control de calidad cibernética (SAL3).
Nodo de formateo inverso 6
[0066] El nodo 6, corriente abajo con respecto al nodo maestro 1 en la cadena de filtrado, realiza una función de formateo inverso de la realizada por el nodo de formateo 5.
[0067] Así, para un flujo de datos que proviene del dominio de confianza baja que ha experimentado una ruptura de protocolo al atravesar el nodo 5, el nodo 6 realiza una ruptura de protocolo inversa para pasar del formato neutro hacia un formato esperado por el dominio de confianza alta 13.
[0068] En sentido contrario, para un flujo de datos que proviene del dominio de confianza alta y que debe ser dirigido hacia el nodo 1, el nodo 6 realiza una ruptura de protocolo. Al otro lado del nodo maestro 1, corresponderá al nodo 5 realizar la ruptura de protocolo inversa para pasar del formato neutro hacia un formato esperado por el nodo de cortafuegos o dominio de confianza baja.
[0069] En la realización de la figura 1, el nodo 6 presenta un puerto de entrada/salida para el establecimiento del enlace B16 bidireccional con el nodo maestro 1.
[0070] Presenta un puerto de entrada/salida para el establecimiento de un enlace B67 bidireccional con el segundo módulo de conversión 7.
[0071] Presenta un puerto de entrada/salida para el establecimiento de un enlace B68 bidireccional con el tercer módulo de conversión 8.
[0072] Presenta un puerto de entrada/salida para el establecimiento de un enlace B62 con el nodo de servicio 2. Este enlace se usa como monodireccional desde el nodo 6 hacia el nodo 2. Solo se usa como bidireccional durante una descarga desde un equipo de descarga colocado en el dominio 13.
[0073] El nodo 6 presenta también un puerto de salida para el establecimiento de un enlace U62 unidireccional hacia el nodo de servicio 2.
[0074] El nodo 6 presenta un puerto de salida para el establecimiento del enlace U64 unidireccional hacia el nodo de cortafuegos 4.
[0075] Si se consigue la ruptura de protocolo inversa, el flujo es reemitido hacia el dominio de confianza alta 13.
[0076] Por el contrario, si el flujo es rechazado, el nodo 6 genera informaciones de registro y las transmite al nodo de servicio 2.
[0077] El segundo módulo de conversión 7 permite convertir un flujo de datos que proviene del nodo 6 en un flujo de datos en el formato requerido por el dominio 13. El segundo módulo 7 está conectado directamente al dominio 13 por un enlace B7 bidireccional, preferentemente ARINC 664 P3 o ARINC 664 P7, en 100 Mbit/s u opcionalmente más.
[0078] El tercer módulo de conversión 8 permite convertir un flujo de datos que proviene del nodo 6 en un flujo de datos en el formato requerido por el dominio 13. El tercer módulo de conversión 8 está conectado directamente al dominio 13 por un enlace B8, bidireccional, preferentemente ARINC 429.
[0079] Cabe señalar que un flujo que proviene del dominio de confianza alta debe ser transmitido por el nodo de formateo inverso 6 bien por el nodo maestro 1 o bien directamente hacia el nodo de cortafuegos 4. La condición de direccionamiento de un flujo por el nodo 6 procede de una configuración de este último. Por ejemplo, la condición de direccionamiento depende del formato de los datos del flujo que es preciso tratar.
Nodo de servicio 2
[0080] El nodo 2 realiza diferentes funciones de seguridad.
[0081] Presenta un puerto de entrada/salida para el establecimiento del enlace B12 bidireccional con el nodo maestro 1, y un puerto de entrada/salida para el establecimiento del enlace B62 bidireccional con el nodo 6.
[0082] Presenta puertos de entrada para el establecimiento de los enlaces U42, U52, U12 y U62.
[0083] Presenta un puerto de salida para el establecimiento de un enlace U24, unidireccional, con el módulo de cortafuegos 4.
[0084] El nodo de servicio 2 garantiza la salvaguarda de los sucesos de seguridad y sus emisiones en un archivo de registro (archivo «log»). Por ejemplo, el archivo de registro se guarda en el formato SYS-LOG.
[0085] El nodo de servicio 2 garantiza la salvaguarda y la emisión de los datos asociados al correcto funcionamiento de la pasarela. Esta función es conocida, por ejemplo, por el experto en la materia con el nombre «BITE» («Built In Test Equipment»). Se trata de efectuar cíclicamente o según los sucesos activadores pruebas adaptadas a los diferentes componentes de la pasarela.
[0086] El nodo de servicio 2 se encarga de los intercambios de descarga con un equipo externo, una vez que el paso de descarga ha sido validado por el nodo maestro 1. Para responder a una solicitud de descarga del archivo de registro emitida por una aplicación del dominio de confianza baja 12 y validada por el nodo 1 , el nodo 2 puede transmitir los datos a través del enlace B12, o cuando existe interrogación simple, a través del enlace U24 directamente hacia el nodo de cortafuegos 4. El enlace U24 se usa así para responder de manera eficaz a las solicitudes de descarga simples.
[0087] Las comunicaciones internas en la tarjeta 11 usan tecnologías distintas, por ejemplo, Ethernet y en serie. Por ejemplo:
- los enlaces bidireccionales B45, B51 y B16 son buses de datos Ethernet, preferentemente a 1 Gbit/s;
- los enlaces bidireccionales B62 son buses de datos Ethernet, preferentemente a 100 Mbit/s;
- el enlace B34 es un bus sincronizado (SPI, por «Serial Peripheral Interface») o un enlace en serie asíncrono;
- los enlaces B67 y B68 son un bus PCI o PCI Express;
- y los diferentes enlaces unidireccionales son, por ejemplo, buses de datos en serie, preferentemente sincronizados (SPI por «Serial Peripheral Interface»), pero como variante pueden ser asíncronos.
[0088] Esta especificidad permite reforzar las propiedades de no elusión del filtrado.
[0089] El uso del protocolo Ethernet gigabits a lo largo de la cadena de filtrado garantiza tiempos de recorrido limitados entre los dominios 12 y 13 de manera que se obtengan tiempos de recorrido inferiores a 50 ms, según las exigencias en aviónica. De hecho, el protocolo Ethernet permite reenviar muy rápidamente un flujo después de haber recibido el último fragmento de un mensaje. Sin reemisión rápida hacia el nodo siguiente, el tiempo de recorrido de la pasarela se vería fuertemente afectado, especialmente para mensajes largos fragmentados, ya que la ruptura de protocolo solo puede hacerse en un mensaje completo y no en un fragmento del mismo. Los enlaces internos a lo largo de la cadena de filtrado presentan así una banda de paso superior a la de las conexiones que permiten conectar la pasarela a los dominios de confianza alta y baja.
[0090] Todos los nodos previstos en la tarjeta están sincronizados por un mismo reloj, que está bajo el control del nodo maestro 1. De esta manera, con sencillos secuenciadores de software donde cada nodo está desfasado en la ejecución de sus tareas para que el final de una tarea de un nodo esté sincronizado con el inicio de la tarea del nodo siguiente a lo largo de la cadena de filtrado, el tiempo de recorrido de la pasarela se optimiza teniendo en cuenta el tiempo de los tratamientos efectuados de manera independiente por cada uno de los nodos dispuestos en serie a lo largo de la cadena de filtrado.
FUNCIONAMIENTO/USO
[0091] La figura 2 ilustra varios funcionamientos posibles de la pasarela 10 que acaba de presentarse.
[0092] Según un primer funcionamiento 100, el nodo maestro 1 efectúa un filtrado simple de los flujos de datos que circulan desde el dominio de confianza baja 12 hacia el dominio de confianza alta 13.
[0093] Se emite un mensaje de solicitud desde el dominio 13 de destino de un servidor del dominio 12. La pasarela 10, en corte entre los dos dominios, recibe el mensaje de solicitud.
[0094] El mensaje de solicitud es recibido en primer lugar (etapa 110) por el nodo 6, que lo retransmite (112) directamente y sin modificación de formato al nodo de cortafuegos 4 a través del enlace U64. El nodo 4 lo retransmite (114) a su vez hacia el dominio 12.
[0095] En el dominio 12, el mensaje de solicitud se encamina hacia el servidor de destino, que elabora un mensaje de respuesta adaptado.
[0096] El mensaje de respuesta es reenviado desde el dominio de confianza baja 12 hacia el dominio de confianza alta 13. El mensaje de respuesta atraviesa, por tanto, la pasarela 10.
[0097] Más en concreto, el mensaje de respuesta es recibido (115) por el nodo de cortafuegos 4. Después de una verificación positiva, el nodo 4 lo retransmite (116) al nodo de formateo 5.
[0098] Este lleva a cabo la ruptura de protocolo y, en caso de éxito, retransmite (117) al nodo maestro 1 el mensaje de respuesta transcrito en el formato neutro.
[0099] Al recibir el mensaje de respuesta, el nodo maestro 1 aplica tratamientos de filtrado adaptados.
[0100] En caso de filtrado positivo, el mensaje de respuesta es transmitido (118) por el nodo maestro 1 hacia el nodo de formateo inverso 6. Este último convierte el mensaje de respuesta según el formato requerido y lo reemite (119) en el dominio de confianza alta 13.
[0101] Según un segundo funcionamiento 200, el nodo maestro 1 efectúa un filtrado contextual, en su caso una verificación de coherencia entre mensajes de solicitud y de respuesta.
[0102] Un mensaje de solicitud es emitido desde el dominio de confianza alta 13 con destino a un servidor del dominio de confianza baja 12. La pasarela 10, en corte entre los dos dominios, recibe el mensaje de solicitud.
[0103] Este mensaje de solicitud es recibido (etapa 210) por el nodo de formateo inverso 6. Teniendo en cuenta por ejemplo el valor de un campo del encabezamiento del mensaje de solicitud, el nodo 6 aplica una ruptura de protocolo en el mensaje de solicitud y retransmite (211 ) el mensaje de solicitud en el formato neutro hacia el nodo maestro 1.
[0104] Al constatar que se trata de una solicitud, el nodo maestro 1 memoriza por ejemplo el identificador de esta solicitud para efectuar posteriormente la verificación de coherencia.
[0105] El nodo maestro 1 retransmite (etapa 212) el mensaje de solicitud hacia el nodo de formateo 5, que aplica una ruptura de protocolo inversa y retransmite (213) el mensaje de solicitud en el formato adaptado hacia el nodo 4.
[0106] Este último el retransmite (214) a su vez el mensaje de solicitud hacia el dominio 12.
[0107] En el dominio 12, el mensaje de solicitud se encamina hacia el servidor de destino, que elabora un mensaje de respuesta adaptado.
[0108] El mensaje de respuesta es reenviado desde el dominio de confianza baja hacia el dominio de confianza elevada. El mensaje de respuesta atraviesa, por tanto, la pasarela 10.
[0109] El mensaje de respuesta es reenviado desde el dominio de confianza baja 12 hacia el dominio de confianza alta 13. El mensaje de respuesta atraviesa, por tanto, la pasarela 10.
[0110] Más en concreto, el mensaje de respuesta es recibido (215) por el nodo de cortafuegos 4, que lo retransmite (216), después de una verificación, al nodo de formateo 5.
[0111] Este efectúa la ruptura de protocolo y, en caso de éxito, retransmite (217) al nodo maestro 1 el mensaje de respuesta en el formato neutro.
[0112] Al recibir el mensaje de respuesta, el nodo maestro 1 aplica los tratamientos de filtrado adaptados así como la verificación de coherencia. Para ello, verifica si el identificador contenido en el mensaje de respuesta corresponde al identificador contenido en el mensaje de solicitud anteriormente tratado por el nodo maestro 1.
[0113] En caso de verificación positiva, el mensaje de respuesta es retransmitido (etapa 218) por el nodo maestro 1 hacia el nodo 6, que, después de la ruptura de protocolo inversa, lo reenvía (219) hacia el dominio de confianza alta 13.
[0114] En caso de verificación negativa, el mensaje de respuesta es rechazado por el nodo maestro 1 y se añade una entrada relativa al fracaso del tratamiento de coherencia al archivo de registro actualizado por el módulo de servicio 2.
[0115] Según un tercer funcionamiento 300, el dominio de confianza baja 12 aplica a la pasarela un mensaje de solicitud de paso de descarga, por ejemplo, con vistas a descargar una actualización de software para el nodo de cortafuegos 4.
[0116] Se recibe un mensaje de solicitud de paso de descarga (etapa 310) desde el dominio de confianza baja 12 por el nodo de cortafuegos 4.
[0117] Después de una verificación positiva, el nodo de cortafuegos 4 lo transmite (311) hacia el nodo de formateo 5.
[0118] El nodo 5 efectúa la ruptura de protocolo y retransmite (312) un mensaje de solicitud de paso de descarga al formato neutro hacia el nodo maestro 1.
[0119] El nodo maestro 1 analiza el mensaje de solicitud de paso de descarga. Especialmente verifica que el funcionamiento actual de la aeronave es compatible con una basculación en un modo de descarga de la pasarela. De hecho, por ejemplo, si la aeronave está en vuelo, el nodo maestro 1 rechaza la solicitud de descarga ya que con ello se corre el riesgo de perjudicar la seguridad de funcionamiento global de la aeronave.
[0120] En caso de verificación positiva, el nodo maestro 1 hace bascular la pasarela a un modo de funcionamiento de descarga.
[0121] Transmite (313) un mensaje de control de gestión de la descarga con destino al nodo de servicio 2, pero a través del nodo 6.
[0122] Al constatar que se trata de un mensaje con destino al nodo 2, el nodo 6 encamina (314) el mensaje de control hacia el nodo 2 a lo largo del enlace B62.
[0123] Al recibir el mensaje de control, el módulo de servicio 2 gestiona la descarga. El archivo es descargado desde el dominio 12 hacia el nodo 2 pasando por los nodos 4, 5, 1 y 6.
[0124] Por ejemplo, el nodo 2 registra (315) el archivo cargado en una memoria flash del nodo de cortafuegos 4.
[0125] Como resultado de la descarga, el nodo 2 indica al nodo maestro 1 el fin de la operación.
[0126] El nodo maestro 1 ordena entonces un rearranque de la pasarela 10, en el curso del cual el nodo de cortafuegos 4 reinicializa el contenido de su memoria viva - RAM con las informaciones contenidas en la memoria flash que se le asocia y, por consiguiente, con el archivo de actualización que acaba de ser descargado.
VENTAJAS
[0127] Al segregar físicamente las diferentes funciones, la pasarela que acaba de ser presentada alcanza los niveles de seguridad requeridos para el dominio de aviónica, lo que no sucedería en el caso de una simple segregación de software.
[0128] La arquitectura de la pasarela, basada en diferentes nodos físicamente independientes, permite simplificar las pruebas de un buen desarrollo de las funciones de seguridad. Por ejemplo, según la norma ED-203A, los nodos maestro 1 y de ruptura de protocolo 5 se desarrollan ventajosamente según el nivel más elevado, SAL3; el nodo de cortafuegos 4 según el nivel intermedio, SAL2; y los nodos de servicio 2 y de ruptura de protocolo inversa 6 según el nivel más bajo, SAL 1.
[0129] En particular, la ruptura de protocolo debe ser desarrollada en SAL3 para poder alcanzar un buen nivel de filtrado con el nivel de control de calidad más alto de ciberseguridad.
[0130] Se observará que estos dos últimos nodos, dado que están situados corriente abajo con respecto al nodo maestro 1 y que todos los flujos de datos que reciben son filtrados primero por los nodos de cortafuegos, de ruptura de protocolo y maestro, se benefician del nivel de criticidad del dominio de criticidad alta.
[0131] El nodo de servicio presenta a menudo una gran complejidad. Sería complicado y costoso desarrollarlo según el nivel SAL2. Por consiguiente, la invención permite relajar las limitaciones de desarrollo en este componente, a la vez que se garantiza que no puede usarse para eludir el filtrado de los flujos, que vuelven a pasar siempre hacia el nodo maestro.
[0132] Así pues, la arquitectura permite aislar las tareas según sus criticidades y de sus niveles de control de calidad asociados, a la vez que se asegura un punto de paso de los diferentes flujos para garantizar un filtrado sistemático. La pasarela permite realizar un filtrado de gran calidad donde se usan tecnologías diferentes según los flujos.
[0133] La solución propuesta garantiza que todos los flujos de datos que provienen del dominio de seguridad baja pasen por el nodo maestro. Esta arquitectura permite garantizar la no elusión de la función de filtrado.
[0134] Con esta arquitectura, los tiempos de recorrido pueden ser bastante bajos a la vez que se garantizan las propiedades de no elusión demandadas por el alto nivel de control de calidad de ciberseguridad requerido.
[0135] Según esta arquitectura, el nodo maestro no está en relación directa con el dominio de baja confianza: solo recibe los flujos pasados por dos filtrados, el realizado por el cortafuegos y el realizado por la ruptura de protocolo.
[0136] En la realización preferida presentada anteriormente, los diferentes nodos de tratamiento de datos están integrados en una misma tarjeta electrónica, lo que conduce a una solución que presenta un factor de forma reducido, lo cual resulta ventajoso en la medida en que las limitaciones de volumen sean limitaciones importantes en el dominio de la aviónica. Como variante, los nodos de tratamiento se implantan en varias tarjetas electrónicas conectadas entre sí de manera adaptada.
[0137] El aspecto modular facilita el desarrollo, la certificación, el mantenimiento y la actualización de la pasarela.
[0138] Se observará que la presente pasarela incluye un solo cortafuegos, dispuesto en la entrada conectada al dominio de red de baja confianza.
[0139] Se observará también que la pasarela es configurable, lo que permite parametrizar las diferentes funciones de filtrado según las amenazas actuales.

Claims (10)

  1. REIVINDICACIONES
    I. Pasarela de seguridad de red (10) destinada a ser embarcada a bordo de una aeronave para conectar un dominio de confianza baja (12) y un dominio de confianza alta (13) de una infraestructura informática de aviónica, ofreciendo la pasarela una pluralidad de funciones de seguridad, siendo realizada cada función por un nodo de tratamiento de datos, incluyendo la pasarela, conectados en serie a lo largo de una cadena de filtrado de un flujo de datos recibido desde el dominio de confianza baja:
    - un nodo de tratamiento de datos de cortafuegos (4);
    - un nodo de tratamiento de datos de ruptura de protocolo (5);
    - un nodo de tratamiento de datos maestro (1 ); y,
    - un nodo de tratamiento de datos de ruptura de protocolo inversa (6),
    incluyendo la pasarela además un nodo de tratamiento de datos de seguridad (2) conectado a cada uno de los nodos de tratamiento de datos de la cadena de filtrado, estando los diferentes nodos de tratamiento de datos segregados físicamente,
    ejecutando el nodo de tratamiento de datos maestro (1 ) una aplicación de detección de intrusión y siendo las informaciones de detección generadas por dicha aplicación dirigidas al nodo de tratamiento de datos de seguridad (2) como entradas de un archivo de registro.
  2. 2. Pasarela según la reivindicación 1, donde los nodos de la cadena de filtrado están conectados por enlaces bidireccionales, preferentemente en formato Ethernet, más preferentemente en formato Ethernet 1 Gbit/s, presentando una banda de paso superior a la de las conexiones que permiten conectar la pasarela a los dominios de confianza alta y baja.
  3. 3. Pasarela según cualquiera de las reivindicaciones 1 a 2, donde el nodo de tratamiento de datos de seguridad (2 ) está conectado a la pluralidad de nodos de la cadena de filtrado por enlaces unidireccionales, preferentemente en formato en serie, más preferentemente en formato en serie sincronizado.
  4. 4. Pasarela según cualquiera de las reivindicaciones 1 a 3, donde la pasarela constituye una interfaz Ethernet y/o ARINC 429 y/o ARINC 664, con el dominio de confianza alta (13) y una interfaz Ethernet y/o ARINC 429 y/o ARINC 664 con el dominio de confianza baja (12).
  5. 5. Pasarela según cualquiera de las reivindicaciones 1 a 4, donde el nodo de tratamiento de datos de cortafuegos (4) está conectado al dominio de confianza baja (12) por un primer módulo de conversión (3), que realiza una conversión de un formato de un flujo de datos que proviene del dominio de confianza baja (12), preferentemente el formato ARINC 429, en un formato de datos esperado por el nodo de tratamiento de datos de cortafuegos (4).
  6. 6. Pasarela según cualquiera de las reivindicaciones 1 a 5, donde el un nodo de tratamiento de ruptura de protocolo inversa (6) está conectado al dominio de confianza alta (13) por un segundo módulo de conversión (7), que realiza una conversión de un formato de un flujo de datos suministrado por el nodo de tratamiento de ruptura de protocolo inversa (6), preferentemente el formato Ethernet 100 Mbit/s, en un formato esperado por el dominio de confianza baja (12), preferentemente el formato ARINC 664, más preferentemente ARINC 664 P3 o P7.
  7. 7. Pasarela según cualquiera de las reivindicaciones 1 a 6, donde el nodo de tratamiento de datos maestro (1) filtra un flujo de datos según un contexto o según un nivel de prioridad.
  8. 8. Pasarela según cualquiera de las reivindicaciones 1 a 7, donde cualquier flujo de datos que proviene del dominio de confianza baja (12 ) pasa por el nodo de tratamiento de datos maestro (1 ), con la condición de que no haya sido rechazado por el nodo de tratamiento de datos de cortafuegos (4) o el nodo de tratamiento de datos de ruptura de protocolo (5).
  9. 9. Pasarela según cualquiera de las reivindicaciones 1 a 8, donde, además de su interfaz con el dominio de confianza baja (12), el nodo de tratamiento de datos de cortafuegos (4) incluye solo un puerto de salida que fuerza el encaminamiento de cualquier flujo de datos operativos que proviene del dominio de confianza baja (12) hacia el nodo de tratamiento de datos de ruptura de protocolo (5), y donde, además de su interfaz con el nodo de tratamiento de datos de cortafuegos (4), el nodo de tratamiento de datos de ruptura de protocolo (5) incluye solo un puerto de salida que fuerza el encaminamiento de cualquier flujo de datos operativos que proviene del dominio de confianza baja (12 ) hacia el nodo de tratamiento de datos maestro (1 ).
  10. 10. Pasarela según cualquiera de las reivindicaciones 1 a 9, donde cualquier flujo de datos que proviene del dominio de confianza alta (13) y con destino al dominio de confianza baja (12) y que no pasa por el nodo de tratamiento de datos maestro (1 ), se encamina por la pasarela a través de al menos un enlace unidireccional.
    I I . Pasarela según cualquiera de las reivindicaciones 1 a 10, que incluye un solo nodo de tratamiento de datos de cortafuegos (4) situado en la entrada de la cadena de filtrado en el lado del dominio de confianza baja (12).
ES23170235T 2022-04-29 2023-04-27 Network security gateway onboard an aircraft for connecting low and high trust domains of an avionics computer infrastructure Active ES3029335T3 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR2204073A FR3135062B1 (fr) 2022-04-29 2022-04-29 Passerelle de sécurité réseau embarquée à bord d’un aéronef pour connecter des domaines de confiance basse et haute d’une infrastructure informatique avionique.

Publications (1)

Publication Number Publication Date
ES3029335T3 true ES3029335T3 (en) 2025-06-24

Family

ID=83355529

Family Applications (1)

Application Number Title Priority Date Filing Date
ES23170235T Active ES3029335T3 (en) 2022-04-29 2023-04-27 Network security gateway onboard an aircraft for connecting low and high trust domains of an avionics computer infrastructure

Country Status (4)

Country Link
US (1) US12580886B2 (es)
EP (1) EP4270874B1 (es)
ES (1) ES3029335T3 (es)
FR (1) FR3135062B1 (es)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4564739A1 (en) * 2023-11-29 2025-06-04 Airbus Operations GmbH Filter device and method for communication between a trusted domain and an untrusted domain, and computer system

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005114947A1 (en) * 2004-05-20 2005-12-01 Qinetiq Limited Firewall system
US8161529B1 (en) * 2006-03-02 2012-04-17 Rockwell Collins, Inc. High-assurance architecture for routing of information between networks of differing security level
US8291495B1 (en) * 2007-08-08 2012-10-16 Juniper Networks, Inc. Identifying applications for intrusion detection systems
FR2922705B1 (fr) * 2007-10-23 2011-12-09 Sagem Defense Securite Passerelle bidirectionnelle a niveau de securite renforce
FR3033658B1 (fr) * 2015-03-12 2017-04-07 Thales-Raytheon Systems Company Sas Systeme electronique de reemission securisee de messages, procede de reemission et produit programme d'ordinateur associes
US11063886B2 (en) * 2016-12-08 2021-07-13 Vado Security Technologies Ltd System and method for directing data packets by a virtual switch over a unidirectional medium
US10771345B1 (en) * 2016-12-28 2020-09-08 Amazon Technologies, Inc. Network monitoring service
US11245667B2 (en) * 2018-10-23 2022-02-08 Akamai Technologies, Inc. Network security system with enhanced traffic analysis based on feedback loop and low-risk domain identification
US11509675B2 (en) * 2020-09-25 2022-11-22 Honeywell International Inc. Systems and methods for cyber monitoring and alerting for connected aircraft

Also Published As

Publication number Publication date
EP4270874B1 (fr) 2025-02-12
US20230353536A1 (en) 2023-11-02
FR3135062A1 (fr) 2023-11-03
FR3135062B1 (fr) 2024-12-20
US12580886B2 (en) 2026-03-17
EP4270874A1 (fr) 2023-11-01

Similar Documents

Publication Publication Date Title
US11134064B2 (en) Network guard unit for industrial embedded system and guard method
ES2805290T3 (es) Dispositivo para proteger un sistema electrónico de un vehículo
CN116055254B (zh) 一种安全可信网关系统、控制方法、介质、设备及终端
CN110337799B (zh) 具有车辆内部的数据网络的机动车以及运行机动车的方法
US8842677B2 (en) Methods and systems for providing a logical network layer for delivery of input/output data
EP2748981B1 (en) Network environment separation
CN107005483B (zh) 用于高性能网络结构安全的技术
CN109561091B (zh) 一种用于人防工程的网络安全防护系统
CN106105144B (zh) 机动车中的控制器、机动车
ES3029335T3 (en) Network security gateway onboard an aircraft for connecting low and high trust domains of an avionics computer infrastructure
JP2016507979A (ja) 隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法
CN111385326B (zh) 轨道交通通信系统
JP2008271538A (ja) パケットデータ比較器及びそれを用いたウイルスフィルタ、ウイルスチェッカ、ネットワークシステム
CN107612679B (zh) 一种基于国密算法的以太网桥加扰终端
EP3580910B1 (en) Method and device for providing a security service
Akram et al. Challenges of security and trust in avionics wireless networks
CN112995316A (zh) 数据处理方法、装置、电子设备和存储介质
CN107645458A (zh) 三层报文引流方法及控制器
CN112838974B (zh) 一种服务链引流系统以及方法
CN113994634B (zh) 用于在两个或更多个网络之间的数据传输的方法和传输装置
ES2947782T3 (es) Dispositivos y procedimientos para el funcionamiento de una radiocomunicación móvil con un dispositivo en tierra
US20250173287A1 (en) Filter device and method for communication between a trusted domain and an untrusted domain, and computer system
CN119254497B (zh) 一种基于Netfilter框架防御网络攻击的检测方法、系统及装置
CN118945043A (zh) 一种报文处理方法及相关设备
Fragkiadakis et al. Hardware Support for Active Networking.