FR2918779A1 - Commutateur de donnees securise - Google Patents

Commutateur de donnees securise Download PDF

Info

Publication number
FR2918779A1
FR2918779A1 FR0704985A FR0704985A FR2918779A1 FR 2918779 A1 FR2918779 A1 FR 2918779A1 FR 0704985 A FR0704985 A FR 0704985A FR 0704985 A FR0704985 A FR 0704985A FR 2918779 A1 FR2918779 A1 FR 2918779A1
Authority
FR
France
Prior art keywords
module
modules
data
switch
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0704985A
Other languages
English (en)
Other versions
FR2918779B1 (fr
Inventor
Patrick Duputz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Priority to FR0704985A priority Critical patent/FR2918779B1/fr
Publication of FR2918779A1 publication Critical patent/FR2918779A1/fr
Application granted granted Critical
Publication of FR2918779B1 publication Critical patent/FR2918779B1/fr
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/45Arrangements for providing or supporting expansion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

La présente invention concerne un commutateur de données sécurisé. Le commutateur comporte plusieurs entrées-sorties permettant de recevoir et d'émettre des flux de données (36a à 36h) à des niveaux de sécurité différents. Il comporte en outre un module de terminaison raccordé à chaque entrée et sortie, et un module de commutation comprenant des circuits opérant une interconnexion entre les modules de terminaison. Des flux de données transitant par le commutateur sont protégés par des fonctions appliquées par les modules de terminaison. L'invention s'applique notamment aux systèmes d'information sécurisés, pour des transmissions de données entre plusieurs équipements, certains équipements échangeant des données à des niveaux de sécurité différents.

Description

Commutateur de données sécurisé
La présente invention concerne un commutateur de données sécurisé. Elle s'applique notamment aux systèmes d'information sécurisés, pour des transmissions de données entre plusieurs équipements fonctionnant à des niveaux de sécurité différents.
Les systèmes de communications sécurisées comportent des fonctions de sécurité ayant pour rôle de protéger des flux de données transitant par leurs interfaces. Les architectures de ces systèmes s'appuient généralement sur les principes de cloisonnement des fonctions de sécurité et de séparation physique des flux de données de niveaux de sécurité différents. Cependant, lorsque ces architectures sont appliquées à des systèmes d'information, elles s'avèrent souvent trop rigides en regard de la multiplicité des besoins des utilisateurs. De plus, il est parfois nécessaire de gérer de nombreux niveaux de sécurité, et donc de transmettre des informations entre de nombreux sous réseaux avec chacun leur niveau de sécurité propre, ce qui complexifie davantage la mise en oeuvre du système d'information. Une demande de brevet EP1536311 de Bull S.A. concernant un système cryptographique haut débit à architecture modulaire propose une architecture sécurisée permettant le transfert de données entre des composants fonctionnant à différents niveaux de sécurité. Selon cette architecture, les composants d'un système communiquent via un module d'interconnexion permettant des échanges sécurisés de données. Ce document définit l'architecture du système et le rôle de chacun de ses composants, mais ne résout pas le problème de la réalisation d'un module d'interconnexion sécurisé adaptable à une multitude de cas d'emploi. Un dispositif matériel et/ou logiciel comprenant notamment des fonctions cryptographiques et/ou des fonctions de filtrage protocolaire sera, par la suite, désigné par équipement de sécurité ou plus simplement par équipement . De manière analogue, un tel dispositif permettant de traiter des données sur plusieurs niveaux de sécurité différents sera qualifié d'équipement multi niveaux de sécurité .
Le principe de séparation physique des flux de données est illustré dans la figure 1 qui présente un équipement 10 classique adapté à gérer deux niveaux de sécurité en traitant des données rouges en clair à protéger, et des données noires chiffrées, donc déjà protégées.
L'équipement 10 comporte une interface rouge 11 adaptée à recevoir les données rouges, une interface noire 12 adaptée à recevoir les données noires, et un module de sécurité inter niveaux 13 reliant les deux interfaces 11, 12. Le module de sécurité inter niveaux 13 applique des fonctions de protection/déprotection sur des données transmises par une première interface pour les faire transiter vers l'autre interface. En généralisant ce principe aux équipements gérant des données à N niveaux de sécurité, on montre aisément que le nombre de séparations physiques nécessaires à la protection des données progresse de manière quadratique par rapport à N. De plus, les équipements multi niveaux de sécurité comportent généralement de multiples fonctions de sécurité, des fonctions additionnelles de routage de données, et plusieurs interfaces de communication. Tous les modules réalisant ces fonctions se combinent pour former des structures internes élaborées, structures dont un exemple est présenté en figure 2. Un équipement de sécurité 20 gère trois niveaux de sécurité, dispose de quatre interfaces d'accès 21, 22, 23, 24, de quatre modules de sécurité inter niveaux 25a, 25b, 25c, 25d permettant de transmettre des données d'un niveau de sécurité à un autre, et de modules de routage 26a, 26b, 26c, 26d placés entre les interfaces et les modules de sécurité. Une première interface d'accès 21 est adaptée à recevoir des flux de données d'un premier niveau de sécurité, une deuxième interface 22 est adaptée à recevoir des flux de données d'un deuxième niveau de sécurité, et deux autres interfaces d'accès 23, 24 sont adaptées à recevoir des flux de données d'un même niveau de sécurité. Un flux de données d'un premier niveau de sécurité est reçu par une interface d'accès puis routé vers une fonction de sécurité pour passer à un autre niveau de sécurité. Selon un des principes précités, les modules de sécurité 25a, 25b, 25c, 25d sont cloisonnés. Les liaisons entre les interfaces 21, 22, 23, 24, les modules de sécurité 25a, 25b, 25c, 25d et les modules de routage 26a, 26b, 26c, 26d sont établies pour répondre à des besoins d'utilisation spécifiques. Selon les cas d'emploi de l'équipement, les interfaces et les modules doivent être associés différemment. Cet exemple simple montre qu'un équipement gérant seulement quelques niveaux de sécurité fait intervenir un nombre important d'éléments pouvant être combinés selon de nombreuses possibilités. Les équipements multi niveaux de sécurité offrent un tel potentiel de services et de connectivités, que leur mise en oeuvre au sein des infrastructures de réseaux est soumise à une très grande diversité des cas d'emploi. Un problème relatif aux équipements multi niveaux de sécurité est donc la maîtrise de leur complexité fonctionnelle, matérielle et logicielle. II est possible de construire un système d'information multi niveaux de sécurité à partir d'équipements gérant deux niveaux, mais une telle opération est coûteuse car il faut combiner et interconnecter entre eux un grand nombre de ces équipements pour obtenir les fonctionnalités attendues. C'est également une opération complexe car ces équipements ne sont généralement pas interopérables. Le résultat s'avère donc peu flexible, peu intégré et aussi très coûteux en administration et en maintenance. L'architecture des équipements de sécurité à deux niveaux (rouge/noir), bien que maîtrisée et optimisée, offre donc un faible potentiel d'évolution vers les multi niveaux de sécurité. De plus, la simple adaptation de cette architecture aux multi niveaux de sécurité tend à reporter toutes les contraintes techniques sur les seuls composants cryptographiques. Ces composants sont difficiles à développer, à produire et à évaluer à cause de leur niveau de complexité élevé. Ils sont de plus soumis à de fortes contraintes de sécurité, et n'apportent donc pas un niveau suffisant de flexibilité pour s'adapter aux différents cas d'emploi opérationnels.
La présente invention propose une solution peu coûteuse et flexible pour la conception des équipements multi niveaux de sécurité à dominante matérielle. A cet effet, l'invention a pour objet un dispositif de commutation sécurisé pourvu de plusieurs entrées-sorties interconnectées par au moins un module commutateur, chacune des entrées-sorties étant adaptée à recevoir un flux de données correspondant à un niveau de sécurité, caractérisé en ce qu'au moins un module de protection est placé entre au moins une entrée-sortie et le module commutateur, de sorte qu'un flux de données transitant par le commutateur est protégé, ledit flux entrant par une première entrée-sortie étant transformé par une première fonction appliquée par un premier module de protection, et le flux sortant par une seconde entrée-sortie étant transformé par une seconde fonction appliquée par un second module de protection, la seconde fonction étant duale de la première. Autrement dit, un flux dans un état initial est transformé par la première fonction avant d'être commuté, puis, si ce flux a été commuté sans anomalie, il est transformé par la seconde fonction qui le rétablit dans son état initial. Si le flux n'a pas été commuté selon le chemin prévu, la seconde fonction permet de lever une alarme et/ou ne rétablit pas le flux dans son état initial. Le dispositif de commutation sécurisé peut comporter un premier module mémoire accessible en écriture enregistrant au moins une configuration d'interconnexion des entrées-sorties, la configuration active étant modifiable par écriture sur le module mémoire, et un ou plusieurs autres modules mémoires enregistrant la configuration des modules de protection. Selon un mode de réalisation, au moins un module de protection est un module d'identification marquant, par l'insertion d'un identifiant, un flux de données entrant par une entrée-sortie, et vérifiant l'identifiant d'un flux de données issu du module commutateur pour détecter une anomalie de commutation, les modules d'identification liés à des entrées-sorties interconnectées par le module commutateur étant configurés avec des identifiants communs. Selon un mode de réalisation, au moins un module de protection est un module d'authentification, appliquant une signature cryptographique sur un flux de données reçu par une entrée-sortie, et vérifiant la signature d'un flux de données issu du module commutateur pour détecter une anomalie de commutation, les modules d'authentification liés à des entrées-sorties interconnectées par le module commutateur utilisant des clés de cryptage communes. Selon un mode de réalisation, au moins un module de protection est un module de chiffrement adapté à chiffrer un flux de données reçu par une entrée-sortie, ou à déchiffrer un flux de données issu du module commutateur, les modules de chiffrement liés à des entrées-sorties interconnectées par le module commutateur utilisant des clés de cryptage communes. Le dispositif peut comporter au moins : o deux modules commutateurs, un premier module commutateur et un deuxième module commutateur configurés avec la même configuration d'interconnexions, o un comparateur placé entre une entrée-sortie et les modules 5 commutateurs adapté à : dupliquer un premier flux de données en deux autres flux de données, un deuxième flux de données aiguillé vers le premier module commutateur, et un troisième flux de données aiguillé vers le deuxième module commutateur, 10 ^ comparer un flux de données issu du premier module commutateur à un flux de données issu du deuxième module commutateur pour détecter une anomalie de commutation. Selon un mode de réalisation, plusieurs modules de protection 15 reliés à une même entrée-sortie sont compris dans un même module matériel de terminaison. Selon un mode de réalisation, un ou plusieurs modules de terminaison sont chacun redondés par au moins un deuxième module de terminaison, placé en série du module de terminaison redondé. 20 Selon un mode de réalisation, un module de protection détectant une anomalie de commutation produit un signal d'alarme. Le dispositif de commutation peut comporter des verrous, chacun des verrous étant commandé par un signal de commande conséquent au signal d'alarme et placé entre une entrée-sortie du dispositif et une interface 25 externe du module commutateur, un verrou comportant au moins une position de blocage de la réception et de l'émission de flux de données par le dispositif et une deuxième position permettant la réception et l'émission de flux de données, le signal de commande activant la position de blocage des verrous lorsqu'une anomalie de commutation est détectée. 30 Selon un mode de réalisation, le dispositif de commutation comporte un module de contrôle, les signaux d'alarme étant transmis au module de contrôle, ledit module étant adapté à générer le signal de commande déclenchant la fermeture des verrous. Selon un mode de réalisation, le commutateur sécurisé comporte 35 un module d'autotest, placé entre une entrée-sortie et le module commutateur, est adapté à insérer des données de test dans un flux de données reçu par une entrée-sortie du dispositif et à vérifier les données de test présentes dans un flux de données sortant du module commutateur. Le ou les modules commutateurs, et les modules de terminaison 5 peuvent être implantés sur une même puce électronique de type ASIC. Selon un autre mode de réalisation, le ou les modules commutateurs sont implantés sur des circuits de type FPGA et/ou CPLD.
L'invention a également pour objet un équipement multi niveaux 10 de sécurité comportant un dispositif de commutation sécurisé tel que décrit plus haut. D'autres caractéristiques et avantages apparaîtront à la lecture de la description détaillée donnée à titre d'exemple et non limitative qui suit faite 15 en regard de dessins annexés qui représentent : - la figure 1, une architecture fonctionnelle d'un équipement de sécurité à deux niveaux, cette figure a déjà été décrite plus haut, la figure 2, une architecture fonctionnelle d'un équipement multi 20 niveaux de sécurité, cette figure a déjà été décrite plus haut, la figure 3, une architecture d'un équipement multi niveaux de sécurité pourvu d'un commutateur sécurisé selon l'invention, - la figure 4, un modèle d'architecture d'un commutateur sécurisé selon l'invention, 25 la figure 5, un exemple de structure interne d'un commutateur sécurisé selon l'invention, la figure 6, une réalisation d'un commutateur sécurisé selon l'invention dans un composant de type ASIC, la figure 7, un exemple d'implantation physique du 30 commutateur selon l'invention, la figure 8, des exemples de schémas d'interconnexions des modules de terminaison, la figure 9, une commutation effectuée par le commutateur sécurisé selon l'invention, la figure 10, un procédé d'identification appliqué à des flux de données entrant et sortant du commutateur sécurisé selon l'invention, la figure 11, un procédé d'authentification appliqué à des flux de données entrant et sortant du commutateur sécurisé selon l'invention, la figure 12, un procédé de chiffrement appliqué à des flux de données entrant et sortant du commutateur sécurisé selon l'invention, la figure 13, un exemple de structure interne redondée d'un commutateur sécurisé selon l'invention, la figure 14, un comparateur mis en oeuvre pour le principe de redondance, la figure 15, une mise en oeuvre d'un dispositif d'autotest du commutateur sécurisé selon l'invention.
La figure 3 présente un modèle d'architecture d'un équipement multi niveaux de sécurité 30 comportant un commutateur de données sécurisé selon l'invention. L'équipement multi niveaux de sécurité 30 comprend une 20 première famille 31 de composants d'interfaces de communication iso niveau, une deuxième famille 32 de composants de traitement iso niveau, une troisième famille 33 de composants de sécurité inter niveaux, et un composant d'interconnexion interne multi niveaux 34. La famille de composants d'interfaces de communication 31 comporte 25 des interfaces physiques externes 31a, 31b, 31c, 31d physiquement séparées. Chaque interface physique externe 31a, 31b, 31c, 31d est une voie d'accès à l'équipement multi niveaux de sécurité 30 correspondant à un niveau de sécurité. Plusieurs interfaces physiques externes peuvent correspondre à un même niveau de sécurité. Des flux de données 35a, 35b, 30 35c, 35d transitant par l'équipement multi niveaux de sécurité 30 sont reçus et émis par ces interfaces. Par ailleurs, il est possible, sans altérer la sécurité de l'équipement multi niveaux de sécurité 30, de réaliser un multiplexage logique des flux de données d'un même niveau de sécurité. Enfin, la séparation physique des interfaces externes 31a, 31b, 31c, 31d permet de 35 renforcer la sécurité de l'équipement multi niveaux de sécurité 30. 10 15 La famille de composants de traitement 32 prend en charge des fonctions de protocole et de réseau. Il s'agit par exemple de modules d'encapsulation, ou de tramage de flux de données, de modules de routage, de modules de communication de paquets ou de trames de données, de modules de contrôle de flux de données, de gestion ou de supervision du trafic. Dans l'exemple de la figure 3, plusieurs composants de traitement 32a, 32b, 32c, 32d fonctionnent concurremment. Chaque composant traite des données à un niveau de sécurité différent et comporte au moins une interface via laquelle transitent des flux de données. De même que pour les 1 o interfaces externes 31a, 31b, 31c, 31d, les composants de traitement 32a, 32b, 32c, 32d de niveaux de sécurité différents sont, de préférence, physiquement séparés. La famille de composants de sécurité inter niveaux 33 prend en charge des fonctions de sécurité telles que la cryptographie et le filtrage, par 15 exemple. Des composants de sécurité inter niveaux 33a, 33b, 33c permettent chacun une transmission de données entre deux niveaux de sécurité, un niveau rouge et un niveau noir , selon un principe déjà illustré dans la figure 1. Selon un mode de réalisation préféré, les composants de sécurité inter niveaux 33a, 33b, 33c sont physiquement 20 séparés, de même que leurs interfaces rouge et noire. Les composants des trois familles 31, 32, 33 susmentionnées pourraient être directement interconnectés à l'intérieur de l'équipement multi niveaux de sécurité 30 à l'aide d'un réseau de liaisons physiques point à point. Seuls les chemins de connexions entre les composants seraient 25 câblés, garantissant ainsi qu'aucune donnée ne sortirait du chemin autorisé. Cependant, une telle approche, bien que recevable du point de vue de la sécurité de fonctionnement, ne serait pas optimale en termes de flexibilité et d'extensibilité, car la configuration de connexion obtenue serait figée pour un cas d'utilisation de l'équipement. C'est pourquoi, notamment, les composants 30 sont connectés au commutateur sécurisé selon l'invention, également qualifié Dispositif de Cloisonnement Multi niveaux de Sécurité , ou DCMS. Le DCMS 34 comporte des interfaces de communication permettant aux trois familles 31, 32, 33 de composants de se connecter au DCMS 34 directement pour échanger des données de manière sécurisée. Ainsi, l'ensemble des flux 35 de données échangés dans l'équipement multi niveaux de sécurité 30 entre les familles de composants 31, 32, 33 transite via le DCMS 34. En fonction du cas d'utilisation de l'équipement multi niveaux de sécurité 30, une configuration établissant un schéma d'interconnexions entre les composants est chargée en mémoire du DCMS 34. De plus, des composants peuvent être déconnectés du DCMS 34, et/ou des composants supplémentaires peuvent y être raccordés. Ainsi, le DCMS 34 permet de relier de manière sûre, flexible, et extensible les composants d'interfaces 31a à 31d, de traitement 32a à 32d et de sécurité 33a, à 33c de l'équipement multi niveaux de sécurité 30. II concentre les principales difficultés induites par la présence de plusieurs niveaux de sécurité. En effet, le DCMS 34 doit prendre en compte, d'une part les contraintes de sécurité, et d'autre part les contraintes liées aux besoins des utilisateurs qui demandent une forte capacité d'adaptation aux multiples cas d'emploi. En outre, la maîtrise des chemins empruntés par les flux de données échangés entre les composants 31a à 31d, 32a à 32d, 33a, à 33c est bien sûr moins évidente dans un DCMS qu'avec des liaisons physiques point à point. C'est pourquoi la flexibilité et l'extensibilité apportées par le schéma d'interconnexions doivent être accompagnées de certaines précautions afin de garantir la sécurité des échanges de données, notamment s'assurer que chaque flux de données n'emprunte pas un chemin de commutation erroné. C'est notamment pour cette raison que le DCMS 34 comporte des mécanismes de sécurité particuliers, détaillés par la suite. La figure 4 présente un modèle d'architecture interne d'un DCMS 34 comprenant deux couches fonctionnelles concentriques : un coeur de commutation 341 enveloppé dans une couche de protection 342. Des flux de données à commuter 36a, 36b, 36c, 36d, 36e, 36f, 36g, 36h de différents niveaux de sécurité doivent d'abord traverser la couche de protection 342 pour atteindre le coeur de commutation 341. Le coeur de commutation 341 commute les flux de données 36a à 36h au sein de l'équipement multi niveaux de sécurité 31, entre les composants d'interfaces de communication 31a à 31d, les composants de traitement 32a à 32d et les composants de sécurité 33a à 33c. La séparation des flux de données transitant au sein du coeur de commutation 341 est de nature logique. Néanmoins, pour permettre au DCMS 34 d'atteindre un haut niveau de sécurité, le coeur de commutation 341 est associé à la couche de protection 342 qui offre au moins deux services : d'une part une fiabilisation de la séparation des flux de données par des mécanismes de sécurité, et d'autre part une limitation des risques de compromission en cas de défaillance de ces mécanismes. Afin de fournir ces services, la couche de protection 342 met en oeuvre au moins une technique de protection parmi lesquelles : - une identification des flux de données de bout en bout - une authentification des flux de données de bout en bout, - un chiffrement des flux de données de bout en bout, - une redondance du coeur de commutation 341, - une redondance de la couche de protection 342, - un mécanisme d'autotest de l'ensemble, le terme de flux de données qualifiant les flux de données transitant par le DCMS 34, et l'expression de bout en bout signifiant de la réception du flux de données par le DCMS 34 jusqu'à son émission par le DCMS 34 depuis une entrée du DCMS 34 jusqu'à une sortie du DCMS 34. La figure 5 présente un exemple de structure interne d'un DCMS 34, afin de mieux comprendre son fonctionnement. Le DCMS 34 comporte, dans l'exemple, huit entrées-sorties 37a, 37b, 37c, 37d, 37e, 37f, 37g, 37h, chacune adaptée à recevoir un flux de données 36a, 36b, 36c, 36d, 36e, 36f, 36g, 36h d'un niveau de sécurité défini. Le DCMS 34 comporte également un coeur de commutation 341 protégé par une couche de protection en deux parties analogues 342a et 342b. Chacune de ces deux parties 342a, 342b comprend, dans l'exemple, quatre modules de terminaison 40a, 40b, 40c, 40d, et 40e, 40f, 40g, 40h. Les modules de terminaison 40a à 40h sont des modules de protection du coeur de commutation 341. Pour des raisons de clarté et de concision de la description, seul un premier module de terminaison 40a sera détaillé, les autres modules de terminaison 40b à 40h étant réalisés selon le même principe. Le premier module de terminaison 40a, comporte un module d'autotest 41a, un verrou 42a, un module d'identification 43a, un module d'authentification 44a et un module de chiffrement 45a. Le coeur de commutation comporte, dans cet exemple, un seul module commutateur 341a. Le premier module de terminaison 40a comprend en outre au moins deux entrées/sorties de flux de données, une première entrée/sortie recevant un premier flux de données 36a transmis vers l'extérieur du DOMS 34, une deuxième entrée/sortie recevant un deuxième flux de données 50a transmis vers le module commutateur 341a. Dans l'exemple, le DCMS 34 comporte également un module de contrôle 47 relié à chaque module de terminaison 40a à 40h et aux module commutateur 341a.Avantageusement, et afin de renforcer l'aspect modulaire et évolutif du DCMS 34, le module de contrôle 47, les modules de terminaison 40a à 40h et les modules commutateurs sont des composants matériels de base réutilisables. Ces modules sont donc, le plus souvent, des sous-ensembles matériels physiquement distincts. Dans un mode de réalisation préféré, les flux de données 50a, 50b, 50c, 50d, 50e, 50f, 50g, 50h transitant entre les modules de terminaison 40a à 40h et le module commutateur 341a sont transmis sur des raccordements opérés à l'aide d'un standard industriel de liaisons séries différentielles rapides, comme par exemple LVDS en référence au terme anglo-saxon Low Voltage Differential Signaling .
Les modules de terminaison 40a à 40h sont des interfaces du DCMS 34. Tous les flux de données qui transitent par l'un de ces modules sont du même niveau de sécurité, mais plusieurs modules de terminaison peuvent traiter des flux d'un même niveau de sécurité. Dans l'exemple développé, les modules de terminaison 40a à 40h comportent des mécanismes d'identification, d'authentification, de chiffrement et d'autotest de la couche de protection 342. Il est possible de réaliser un DCMS comportant moins de mécanismes de sécurité, ou un DCMS comportant des mécanismes de sécurité supplémentaires, selon le niveau d'exigence requis par l'équipement de sécurité 30.
Concernant la technologie de fabrication des circuits des composants constituant le DCMS 34, plusieurs options sont possibles parmi lesquelles des circuits de type ASIC (Application-Specific Integrated Circuit), des circuits programmables de type CPLD (Complex Programmable Logic Device), et des circuits programmables de type FPGA (Field-Programmable Gate Array) dont, notamment, des FPGA masqués, des FPGA en technologie anti-fusible, et des FPGA reprogrammables. Le choix de la technologie de fabrication dépend notamment du niveau de performance requis pour le DCMS 34 et d'éventuels besoins de reprogrammation des circuits eux-même. L'utilisation de FPGA reprogrammables, par exemple, apporte des perspectives étendues de configuration du DCMS 34 par rapport à une simple modification de paramètres de configuration mémorisés par le DOMS 34. La figure 6 illustre un mode de réalisation dans lequel les modules de terminaison 40a à 40h, le module commutateur 341a et le module de contrôle 47 sont rassemblés et implémentés dans un seul ASIC 60. Une telle implémentation présente les avantages d'un niveau record d'intégration et réduit le coût de production en série des DOMS. La technologie ASIC permet d'atteindre de bonnes performances et néanmoins adaptée aux équipements multi niveaux de sécurité haut débit. En effet, elle est compatible avec un haut niveau de sécurité puisqu'elle permet, à l'intérieur d'une même puce électronique, d'obtenir une séparation physique des modules de terminaison 40a à 40h et du module commutateur 341a. Selon un mode de réalisation, illustré en figure 7, l'extensibilité de l'équipement est favorisée par l'adoption d'une structure de type râtelier, souvent appelée rack , avec une carte de fond de panier. Les cartes numériques des composants d'interfaces de communication 31, de traitement 32 et de sécurité inter niveaux 33 sont enfichées sur la carte de fond de panier 70 qui comprend le modules commutateur 341a et le module de contrôle 47. Ce principe permet de faciliter l'ajout ou le remplacement des composants. Par ailleurs, il est préférable d'implanter les interfaces du DCMS 34, c'est à dire les modules de terminaison 40a à 40h, au plus près des autres composants compris dans l'équipement de sécurité 30 en vue de diminuer le risque de compromission. Le module commutateur 341a est réalisé, par exemple, à partir d'une 25 technologie classique de Switch Fabric . Afin de diminuer les coûts, la réutilisation d'un commutateur réseau est possible. Selon le mode de réalisation décrit dans le document, le module commutateur 341a mémorise des données de configuration, dont, par exemple, un schéma d'interconnexions des modules de terminaison 40a à 30 40h. Le schéma d'interconnexions correspond à un cas d'utilisation de l'équipement multi niveaux de sécurité 30 comportant le DOMS 34. II définit quels modules de terminaison sont interconnectés. Le schéma d'interconnexions est très important du point de vue de la sécurité des échanges de données, puisque seules les connexions autorisées doivent 35 être implantées.
La figure 8 présente des exemples de schémas d'interconnexions 80, 80', 80" des modules de terminaison 40a à 40h. Le coeur de commutation 341 comporte des interfaces de communication 81 adaptées au raccordement avec les modules de terminaison 40a à 40h du DCMS 34. Un changement du schéma d'interconnexions 80, 80', 80" configurant le coeur de commutation 341 permet de modifier les liaisons entre les interfaces de communication 81et donc les échanges entre les composants raccordés au DCMS 34. Une modification du schéma d'interconnexions 80 permet également de prendre en charge de nouveaux composants à raccorder au DCMS 34. Le schéma d'interconnexions 80 est, par exemple, enregistré dans un module mémoire (non représenté sur la figure) intégré au coeur de commutation 341 et accessible en écriture de manière à modifier un schéma d'interconnexions déjà mémorisé. Avantageusement, plusieurs schémas d'interconnexions 80, 80', 80" sont mémorisés, parmi lesquels un schéma actif définissant le mode de commutation en fonctionnement, les autres schémas constituant des alternatives pouvant être chargées en remplacement de la configuration active, notamment lorsqu'un autre cas d'utilisation de l'équipement 30 apparaît. La figure 9 illustre une commutation de données lors de laquelle le flux de données 36a reçu par le premier module de terminaison 40a est commuté vers le deuxième module de terminaison 40g. Une première méthode de protection de la commutation implantée par le DCMS 34 est le procédé d'identification des flux de données. Il permet de contrôler le bon fonctionnement de la commutation au niveau des modules de terminaison 40a à 40h. Un moyen pour remplir cette fonction est d'associer un numéro d'identification unique à chaque flux de données commuté. Le numéro d'identification est unique pour chaque chemin formé entre deux modules de terminaison. Les modules de terminaison 40a à 40h qui sont appairés par le schéma d'interconnexions 80 (figure 8) sont configurés avec un numéro d'identification commun. Lorsqu'un premier module de terminaison est appairé avec plusieurs autres modules de terminaison, chaque paire de modules de terminaison est marquée avec un numéro d'identification différent. En d'autres termes, des flux portant chacun un numéro d'identification différent peuvent transiter à travers un même module de terminaison.
La figure 10 détaille un exemple de procédé d'identification opéré par le DCMS 34 pendant la commutation présentée en figure 9. Le module d'identification source 43a, compris, dans l'exemple, dans le premier module de terminaison 40a, comporte une première mémoire 100a de paramétrage, et un bloc d'insertion 102. Un module d'identification destination 43g, compris, dans l'exemple, dans le deuxième module de terminaison 40g, comporte une seconde mémoire 100g de paramétrage, un module d'extraction 104, et un module de comparaison 106. L'exemple de procédé d'identification mis en oeuvre dans le DCMS 34 est décomposé comme suit : o Dans un premier temps, le module d'insertion 102 construit une trame 103 par concaténation d'un numéro d'identification IDI avec un fragment de données 101 issu du flux source 52a à commuter. Le numéro d'identification IDI est enregistré dans la première mémoire 100a de paramétrage du premier module de terminaison 40a. o Dans un deuxième temps, le coeur de commutation 341 aiguille la trame 103 du premier module de terminaison 40a vers le deuxième module de terminaison 40g. Le module d'identification destination 43g reçoit alors la trame 103. o Dans un troisième temps, le module d'extraction 104 extrait le numéro 20 d'identification IDI et le fragment 101 de la trame 103. o Dans un quatrième temps, le module de comparaison 106 compare le numéro d'identification IDI extrait de la trame 103 avec un second numéro d'identification ID2 enregistré dans la seconde mémoire 100g. Si le module d'identification source 45a et le module d'identification 25 destination 45g sont appairés par le schéma d'interconnexions 80, alors les numéros d'identifications ID1 et ID2 sont égaux. Un signal d'alarme 200 est généré si les numéros d'identification ID1 et ID2 sont différents.
Les moyens de construction de la trame 103 peuvent être basés sur 30 l'utilisation d'un protocole de liaison de données standard, comme par exemple CSIX pour Common Switch Interface Layer 1/2 , UTOPIA / ATM (Universal Tests and Operations Physical-Layer Interface for Asynchronous Transmission Mode), PDH/SDH (Plesiochronous Digital Hierarchy / Synchronous Digital Hierarchy), ou encore Ethernet. En effet, ces protocoles disposent d'un champ adresse destination ou identifiant de circuit adapté au transport du numéro d'identification de flux. Une deuxième méthode de protection implantée dans le DCMS 34 est le procédé d'authentification des flux de données. II permet, par des moyens compris dans les modules de terminaison 40a à 40h, de contrôler le bon fonctionnement du coeur de commutation 341 du DCMS 34, avec un niveau de confiance supérieur à celui du procédé d'identification. Un moyen pour remplir cette fonction est d'associer à chaque flux commuté une signature cryptographique. Les modules de terminaison 40a à 40h appairés par le schéma d'interconnexions 80 sont configurés avec une clé cryptographique secrète commune et appliquent un même algorithme cryptographique, public ou non. En outre, l'usage d'un marquant aléatoire est souhaitable pour limiter l'usure de la clé cryptographique secrète partagée entre les modules de terminaisons 40a à 40h.
La figure 11 détaille un exemple de procédé d'authentification mis en oeuvre par le DCMS 34 lors de la commutation présentée en figure 9. Le module d'authentification source 44a, compris, dans l'exemple, dans le premier module de terminaison 40a, comporte une première mémoire de paramétrage 110a, un générateur d'aléa 112, un module d'insertion 114 et un premier module de calcul de signature 116a. Le module d'authentification 44g, compris, dans l'exemple, dans le deuxième module de terminaison 40g, comporte une deuxième mémoire de paramétrage 110g, un module d'extraction 118, un deuxième module de calcul de signature 116g, et un module de comparaison 119. L'exemple de procédé d'authentification mis en oeuvre dans le DCMS 34 comporte les étapes suivantes : o Dans un premier temps, le générateur d'aléa 112 produit un marquant aléatoire 111 qu'il transmet au premier module de calcul de signature 116a et au module d'insertion 114. o Dans un deuxième temps, le premier module de calcul de signature 116a calcule une première signature 113a à partir d'un fragment 101 issu du flux de données à commuter 52a, d'une première clé cryptographique 115a et du marquant aléatoire 111. La première clé cryptographique 115a est enregistrée dans la première mémoire de paramétrage de l'authentification 110a. o Dans un troisième temps, le module d'insertion 114 construit une trame 117 en y insérant la première signature 113a, le marquant aléatoire 111, et le fragment 101 de données à commuter. La trame 117 est dirigée vers le coeur de commutation 341. o Dans un quatrième temps, le coeur de commutation 341 aiguille la trame 117 du premier module de terminaison 40a vers le deuxième module de terminaison 40g. Le module d'authentification destination 44g reçoit alors la trame 117. o Dans un cinquième temps, le module d'extraction 118 extrait la signature 113a, le marquant aléatoire 111 et le fragment 101 de données de la trame 117. Le module d'extraction 118 transmet la signature extraite 113a au module de comparaison 119. Il transmet également le marquant aléatoire extrait 111 et le fragment 101 au deuxième module de calcul de signature 113g. o Dans un sixième temps, le deuxième module de calcul de signature 113g calcule une deuxième signature 113g à partir du fragment 101, du marquant aléatoire extrait 111 et d'une seconde clé cryptographique 115g. La seconde clé cryptographique 115g, enregistrée dans la deuxième mémoire de paramétrage 110g de l'authentification, est identique à la première clé cryptographique 115a si, dans le schéma d'interconnexions 80, le premier module de terminaison 40a est bien appairé avec le deuxième module de terminaison 40g. o Dans un septième temps, la signature extraite 113a et la deuxième signature 113g sont comparées dans le module de comparaison 119. Un signal d'alarme 201 est généré si les deux signatures 113a, 113g ne correspondent pas. Un défaut d'aiguillage dans le coeur de commutation 341 entraîne une incohérence entre les signatures cryptographiques calculées par les modules d'authentification source 40a et destination 40g. Cette incohérence provoque alors un défaut de comparaison des signatures 113a, 113g, puis le déclenchement d'un signal d'alarme 201. Les moyens d'insertion, d'extraction des signatures et de transport des flux de données commutés reposent, par exemple, sur le protocole de liaison utilisé pour le procédé d'identification.
Une troisième méthode de protection implantée dans le DOMS 34 est le procédé de chiffrement des flux de données. II permet de réduire notablement le risque de compromission par défaut de commutation. Un moyen pour remplir cette fonction est de chiffrer le flux de données dans le module de terminaison source avant la commutation, puis à déchiffrer le flux de données dans le module de terminaison destination après la commutation. De même que pour le procédé d'authentification, les modules de terminaison 40a à 40h appairés par le schéma d'interconnexions 80 sont configurés avec une clé cryptographique secrète commune et appliquent un même algorithme cryptographique. L'utilisation d'un marquant aléatoire est également préférable pour éviter l'usure de la clé cryptographique. Une variante améliorée de l'invention renforce le niveau de sécurité du DOMS 34, en ajoutant une partie programmable dans le module de terminaison pour y intégrer un algorithme cryptographique particulier.
Un exemple de procédé de chiffrement est détaillé en figure 12, en se basant sur l'exemple de commutation présenté en figure 9. Le module de chiffrement source 45a, compris, dans l'exemple, dans le premier module de terminaison 40a, comporte une première mémoire de paramétrage 120a du chiffrement, un générateur d'aléa 122, un module de chiffrement par bloc 124, et un module d'insertion 126. Le module de chiffrement destination 45g, compris, dans l'exemple, dans le deuxième module de terminaison 40g, comporte une deuxième mémoire de paramétrage 120g du chiffrement, un module d'extraction 128 et un module de déchiffrement par bloc 129. L'exemple de procédé de chiffrement mis en oeuvre dans le DOMS 34 peut être décomposé comme suit : o Dans un premier temps, le générateur d'aléa 122 génère un marquant aléatoire 121. Le marquant aléatoire 121 est transmis au module de chiffrement par bloc 124 et au module d'insertion 126. o Dans un deuxième temps, le module de chiffrement par bloc 124 chiffre un fragment 101 du flux de données source à commuter 52a en utilisant une première clé cryptographique 123a et le marquant aléatoire 121. La première clé cryptographique 123a est enregistrée dans la première mémoire de paramétrage 120a. Le résultat est un fragment 101x chiffré de données transmis au module d'insertion 126. o Dans un troisième temps, le module d'insertion 126 construit une trame 127 en y insérant le marquant aléatoire 121 et le fragment de données chiffré 101x. Le résultat issu du module d'insertion 126 est une trame 127. o Dans un quatrième temps, le coeur de commutation 351 aiguille la trame 127 du premier module de terminaison 40a vers le deuxième module de terminaison 40g. Le module de chiffrement destination 45g reçoit alors la trame 127. o Dans un cinquième temps, le module d'extraction 128 extrait le marquant 10 aléatoire 121 et le fragment de données chiffré 101x de la trame 127. Le module d'extraction 128 transmet au module de déchiffrement par bloc 129 à la fois le marquant aléatoire extrait 121 et le fragment de données chiffré 101x. o Dans un sixième temps, le module de déchiffrement 129 déchiffre le 15 fragment de données chiffré 101x en utilisant une deuxième clé cryptographique 123g et le marquant aléatoire extrait 121. Le résultat du déchiffrement est un fragment de données 101x'. Si le module de chiffrement source 45a et le module de chiffrement destination 45g sont appairés par le schéma d'interconnexions 80, alors la deuxième clé 20 cryptographique 123g, enregistrée dans la deuxième mémoire de paramétrage 120g est identique à la première clé cryptographique 123a et le fragment 101x' issu du déchiffrement est identique au fragment à commuter 101. Ainsi, si une anomalie survient dans le coeur de commutation 341 et que la 25 trame 127 est aiguillée vers un module de terminaison destination incorrect, le fragment chiffré 101x par le deuxième module de terminaison 40g n'est pas correctement déchiffré car les clés cryptographiques 123a, 123g ayant servi au chiffrement puis au déchiffrement ne correspondent pas. En conséquence, le flux de données incorrectement commuté 53g sort du 30 DCMS 34 chiffré, et donc protégé. Selon une variante de réalisation, les première et deuxième mémoires de paramétrages 120a, 120g sont les mêmes que celles 100a, 100g utilisées pour le procédé d'identification et/ou celles 110a, 110g liées à l'authentification. Une quatrième méthode de protection implantée dans le DCMS 34 est 35 la redondance, comme l'illustre la figure 13. Le mode de réalisation présenté en figure 13 comprend une redondance du coeur de commutation 341 et une redondance de la couche de protection 342. Ainsi, chacun des modules de terminaison primaire 40a à 40h est redondé par un module de terminaison 40a' à 40h' secondaire placé en série du module de terminaison primaire 40h à 40h. D'autre part, le coeur de commutation 341 comporte un module commutateur primaire 341a et un module commutateur secondaire 341b configurés avec le même schéma d'interconnexion 80. Un comparateur 46a à 46h relie chaque module de terminaison primaire 40a à 40h aux modules commutateurs primaire 341 a et secondaire 341 b.
Ainsi, les ressources matérielles du coeur de commutation 341 et des modules de terminaison sont dupliquées. Cette duplication est associée à une comparaison systématique des flux de données sortant des deux modules commutateurs 341a, 341b pour détecter une anomalie de fonctionnement. Ce dernier rôle est dévolu aux comparateurs 46a à 46h.
La figure 14 détaille le comparateur 46a associé au premier module de terminaison 40a, les comparateurs présents dans les autres modules de terminaison 40b à 40h fonctionnant de manière analogue. Le comparateur 46a comporte un module de duplication 48a et un module de comparaison 49a. Le comparateur 46a fonctionne selon deux modes : o lorsqu'un flux 53a de données est dirigé du premier module de terminaison 40a vers le coeur de commutation 341, le module de duplication 48a duplique le flux 53a entrant et aiguille chaque flux obtenu 50a, 50a' respectivement vers le commutateur primaire 341 a et le commutateur secondaire 341 b, o lorsque des flux de données 50a, 50a' sont dirigés des commutateurs primaire 341a et secondaire 341b vers le premier module de terminaison 40a, le module de comparaison 49a compare les flux entrant 50a, 50b et génère un flux sortant unique 53a ; un défaut de comparaison génère un signal d'alarme 202.
Le module de comparaison 49a peut notamment effectuer une comparaison bit à bit des données après resynchronisation des flux reçus 50a, 50b. Le DCMS 34 comprend également des mécanismes d'administration afin, notamment, de charger des données de configuration et d'extraire un journal d'évènements de sécurité.
Les données de configuration du DCMS 34 comprennent les numéros d'identification ID1, ID2 de chaque module de terminaison 40a à 40h, les clés de chiffrement 113a, 113g, les clés d'authentification 123a, 123g, ainsi que le schéma d'interconnexions 80 des modules commutateurs 341a, 341b. Le chargement des données de configuration est réalisé au niveau de chaque ressource matérielle du DCMS 34, notamment, pour chaque module de terminaison 40a à 40h et pour chaque module commutateur 341a, 341b. Selon un autre mode de réalisation, le chargement des données de configuration est centralisé sur une même interface physique. Dans ce dernier cas, il faut garantir que la distribution des données de configuration n'introduit pas de vulnérabilité qui pourrait affaiblir la sécurité du DCMS 34. Pour renforcer le suivi de la sécurité de l'équipement 30, une journalisation des évènements de sécurité, tels que, par exemple, les générations de signaux d'alarme, est réalisée par le DCMS 34. Un journal permet de connaître avec précision la nature et la date d'un événement, tel qu'une panne ou une intrusion, qui a provoqué le basculement du DCMS 34 dans un état non opérationnel. La journalisation est, de préférence, réalisée au niveau de chaque ressource matérielle du DCMS 34, par exemple dans des modules mémoires dédiés à l'enregistrement des évènements concernant chacune des ressources matérielles. Selon un autre mode de réalisation, le journal est centralisé sur une même interface physique. Dans ce dernier cas, il faut garantir que la transmission des évènements de sécurité vers cette interface n'introduit pas de vulnérabilité qui pourrait dégrader le niveau de sécurité du DCMS 34.
En résumé, la mise en oeuvre des techniques de protection dans le DCMS 34, telles que l'identification, l'authentification, le chiffrement et la redondance se traduit par l'application de fonctions duales en amont et en aval de la phase de commutation effectuée par le coeur de commutation 341. Dans un premier temps, une fonction de protection est appliquée avant la commutation sur le flux de données entrant dans le DCMS 34, au niveau du module de terminaison source 40a. Puis dans un second temps, une fonction de vérification, duale de la fonction de protection, est appliquée après la commutation, au niveau du module de terminaison destination 40g pour vérifier le bon déroulement de la commutation. A titre d'illustration, les fonctions duales appliquées sur un flux de données commuté entre le module de terminaison source 40a et le module de terminaison destination 40g sont résumées ci-après pour chaque technique de protection mise en oeuvre dans l'exemple de la figure 13 : o pour l'identification, la fonction de protection se traduit par l'insertion dans le flux de données à commuter d'un premier identifiant IDI lié au module de terminaison source 40a, sa fonction duale de vérification étant l'extraction du premier identifiant ID1 du flux de données commuté et sa comparaison avec un second identifiant ID2 lié au module de terminaison destination 40g ; o pour l'authentification, la fonction de protection se traduit par l'insertion dans le flux de données à commuter d'une première signature cryptographique 113a liée au module de terminaison source 40a, sa fonction duale de vérification étant l'extraction de la première signature cryptographique 113a du flux de données commuté et sa comparaison avec une seconde signature cryptographique 113g liée au module de terminaison destination 40g ; o pour le chiffrement, la fonction de protection se traduit, au niveau du module de terminaison source 40a, par le chiffrement du flux de données à commuter, sa fonction duale de vérification, au niveau du module de terminaison destination 40g, étant le déchiffrement du flux de données commuté ; o pour la redondance, la fonction de protection se traduitù par la duplication du flux de données à commuter, sa fonction duale de vérification -étant la comparaison des flux de données dupliqués.
Lorsqu'aucune anomalie ne survient, les données d'un flux issu du DCMS 34 de la figure 13, sont identiques aux données qui étaient transportées par ce même flux avant d'être reçu par le DCMS 34. En effet, par exemple, les identifiants ou les signatures cryptographiques sont retirées des flux sortant du DCMS 34, rétablissant ainsi l'état initial du flux.
Certaines fonctions de vérification, situées en aval de la commutation, génèrent un signal d'alarme de sécurité 200, 201, 202 en cas de détection d'anomalie. Par exemple, la réception d'un flux portant un numéro d'identification inattendu, une signature erronée, ou encore une dispersion entre les commutateurs primaire 341a et secondaire 341b détectée à l'aide des comparateurs 46a. La fermeture des verrous 42a vise à empêcher une éventuelle compromission provoquée par l'apparition d'une ou de plusieurs anomalies au niveau des composants matériels du DCMS 34. Le verrou 42a peut, par exemple, être réalisé avec une bascule ou un registre synchrone n-bits, dont la commande d'activation est générée par le module de contrôle 47, ou selon un autre mode de réalisation, par les modules de vérification tels que les modules d'identification et d'authentification. Afin de contrôler à la fois le bon fonctionnement des fonctions de commutation et de sécurité, et également le bon fonctionnement des fonctions d'alarme, le DCMS 34 met en oeuvre un procédé d'autotest. Les contrôles réalisés lors de l'autotest sont effectués de manière périodique ou continue, selon le niveau de sécurité requis par l'équipement multi niveaux de sécurité 30. Ils sont réalisés sur un trafic de test, généré en interne par le DCMS 34, afin de ne pas perturber le trafic des flux de données utiles, échangées entre les différents modules de l'équipement multi niveaux de sécurité 30. La figure 15 illustre un procédé de génération, d'insertion et d'extraction des flux de test mis en oeuvre par le DCMS 34. Un module d'autotest source 41a insère ces données de test entre des fragments de données utiles à commuter, puis ces données de test sont extraites dans un module d'autotest destination 41g pour être vérifiées. Le module d'autotest source 41a présent dans le premier module de terminaison 40a comporte une file d'attente 142, un multiplexeur 144, un premier générateur de fragment pseudo aléatoire 146a, et une première mémoire de paramétrage 140a. Un module d'autotest destination 41g, présent dans le deuxième module de terminaison 40g comporte un démultiplexeur 148, un second générateur de fragment pseudo aléatoire 146g, une seconde mémoire de paramétrage 140g et un comparateur 149. Le procédé de création/vérification des données de test peut être décomposé comme suit : o Dans un premier temps, le premier générateur de nombre pseudo aléatoire 146a produit un premier fragment 141a de données pseudo aléatoires à partir d'un vecteur d'initialisation 143a fourni par la première mémoire de paramétrage 140a. Pendant ce temps, le flux de données à commuter 52a est stocké dans la file d'attente 142. o Dans un second temps, un premier signal de commande 210 d'autotest 35 est envoyé au multiplexeur 144 afin de multiplexer le premier fragment de données pseudo aléatoires 141a avec un fragment de données à commuter 101 stocké dans la file d'attente 142. Le premier signal de commande 210 d'autotest est, par exemple, envoyé par le module de contrôle 47 pour signifier le déclenchement du multiplexage. Lorsque le signal de commande 210 est inactif, le multiplexeur 144 ne fait que transmettre le fragment de données à commuter 101 vers la sortie du module d'autotest source 41a sans insérer de données pseudo aléatoires 141a de test dans le flux à commuter. o Dans un troisième temps, le coeur de commutation 341 aiguille le fragment de données multiplexé du premier module de terminaison 40a vers le deuxième module de terminaison 40g. Le module d'autotest destination 45g reçoit alors un fragment de données commuté 50g. o Dans un quatrième temps, un deuxième signal de commande 211 d'autotest, envoyé, par exemple, par le module de contrôle 47 au démultiplexeur 148, déclenche un traitement du fragment de données commuté par le démultiplexeur 148. Le démultiplexeur 148 fournit, d'une part le fragment 101 de données utiles commuté en sortie du module d'autotest destination 45g, et d'autre part le premier fragment de données pseudo aléatoires 141a. Pour que le multiplexeur 144 et le démultiplexeur 148 fonctionnent de manière cohérente, il faut que les deux signaux de commande d'autotest 210, 211 soient émis en séquence, cette tâche incombant, dans l'exemple, au module de contrôle 47. o Dans un cinquième temps, le second générateur de fragment pseudo aléatoire 146g produit un deuxième fragment 141g de données pseudo aléatoires à partir d'un vecteur d'initialisation 143g fourni par la deuxième mémoire de paramétrage 140g. Les modules de terminaison appairés par le schéma d'interconnexions 80 sont configurés de manière à ce que leurs mémoires de paramétrage 140a, 140g fournissent les mêmes vecteurs d'initialisation 143a, 143g. o Dans un sixième temps, le comparateur 149 reçoit les premier et deuxième fragments de données pseudo aléatoires 141a, 141g. Si ces deux fragments 141a, 141g sont différents, alors une erreur s'est produite lors de la commutation des données, et un signal d'alarme 203 est produit par le comparateur 149.
Les données de test constituant des fragments de données supplémentaires à faire commuter, le coeur de commutation 341 doit être dimensionné de manière à pouvoir commuter ce surcroît de trafic sans subir d'engorgement. Selon une variante de l'invention, le DCMS 34 peut, par exemple, effectuer un rebouclage de ses sorties, c'est à dire rediriger le flux de données reçu par le module d'autotest destination vers le module d'autotest source. Le procédé se déroule alors comme suit : o pour commencer, les fragments de données de test sont générés dans le module d'autotest source ; o ensuite, ces fragments sont commutés vers le module d'autotest destination qui, les redirige de nouveau vers le module d'autotest source ; o enfin, le module d'autotest source vérifie l'état des fragments de test commutés et génère un signal d'alarme en cas d'erreur.
Pour contrôler le bon fonctionnement des fonctions d'alarme, le dispositif d'autotest simule une défaillance en perturbant momentanément la fonction de commutation. Le dispositif d'autotest peut, par exemple, altérer, ponctuellement et aléatoirement, la configuration des modules commutateur 341a, 341b, c'est à dire modifier le schéma d'interconnexions 80. La configuration opérationnelle doit être sauvegardée et restaurée respectivement en début et en fin d'autotest, pour garantir le bon fonctionnement du DCMA 34 vis à vis du trafic utile. Le dispositif d'autotest vérifie ensuite la levée d'un signal d'alarme et le blocage de l'ensemble des flux de données transitant dans le DOMS 34 par les verrous. Si le dispositif d'autotest échoue, on peut, par exemple, lever un signal d'alarme particulier pour bloquer définitivement l'ensemble des flux de données, une opération de maintenance étant alors nécessaire pour remettre le DOMS 34 en condition de fonctionnement normal. Par exemple, le module de contrôle 47 centralise les remontées d'alarme commande une fermeture de tous les verrous. Selon un autre mode de réalisation, le DOMS 34 ne comporte pas de module de contrôle 47. Dans ce cas, la fermeture d'un verrou 42a est gérée de façon interne au module de terminaison.
Un avantage du commutateur selon l'invention est qu'il s'adapte 35 facilement au nombre de modules compris par l'équipement de sécurité, en offrant un nombre d'interfaces physiques extensible. Il offre également un schéma d'interconnexions extensible et entièrement paramétrable, permettant ainsi de s'adapter aux différents cas d'emploi opérationnels de l'équipement de sécurité dans lequel il est compris.
Un autre avantage du commutateur selon l'invention est que la complexité d'un équipement multi niveaux comportant un tel commutateur évolue linéairement avec le nombre de ses interfaces de communication et de ses fonctions de sécurité et de traitement, contrairement à d'autres solutions classiques de sécurisation multi niveaux pour lesquelles la ~o complexité de l'équipement évoluerait de façon quadratique. Un autre avantage du commutateur selon l'invention est sa conception modulaire, facilitantainsi la réutilisation de modules déjà développés.

Claims (13)

REVENDICATIONS
1. Dispositif de commutation sécurisé (34) pourvu de plusieurs entrées-sorties (37a à 37h) interconnectées par au moins un module commutateur (341a, 341b), chacune des entrées-sorties étant adaptée à recevoir un flux de données (36a à 36h) correspondant à un niveau de sécurité, caractérisé en ce qu'au moins un module de protection (43a, 44a, 45a, 46a) est placé entre au moins une entrée-sortie (37a à 37h) et le module commutateur (341a, 341b), de sorte qu'un flux de données transitant par le commutateur est protégé, ledit flux entrant par une première entrée-sortie étant transformé par une première fonction appliquée par un premier module de protection, et le flux sortant par une seconde entrée-sortie étant transformé par une seconde fonction appliquée par un second module de protection, la seconde fonction étant duale de la première.
2. Dispositif de commutation sécurisé selon la revendication 1, caractérisé en ce qu'il comporte : o un premier module mémoire accessible en écriture enregistrant au moins une configuration d'interconnexion (80) des entrées- sorties (37a à 37h), la configuration active étant modifiable par écriture sur le module mémoire, o un ou plusieurs autres modules mémoires enregistrant la configuration des modules de protection.
3. Dispositif de commutation sécurisé selon l'une des revendications précédentes, caractérisé en ce qu'au moins un module de protection est un module d'identification (43a) marquant, par l'insertion d'un identifiant (ID1), un flux de données entrant par une entrée-sortie (37a), et vérifiant l'identifiant d'un flux de données issu du module commutateur (341a, 341b) pour détecter une anomalie de commutation, ladite anomalie engendrant la levée d'un signal d'alarme (200), les modules d'identification (43a, 43g) liés à des entrées-sorties interconnectées par le module commutateur étant configurés avec des identifiants communs.
4. Dispositif de commutation sécurisé selon l'une des revendications précédentes, caractérisé en ce qu'au moins un module de protection est un module d'authentification (44a), appliquant une signature cryptographique (113a) sur un flux de données reçu par une entrée-sortie (37a), et vérifiant la signature (113a) d'un flux de données issu du module commutateur (341a, 341b) pour détecter une anomalie de commutation, ladite anomalie engendrant la levée d'un signal d'alarme (201), les modules d'authentification (44a, 44g) liés à des entrées-sorties interconnectées par le module commutateur étant configurés avec des clés de cryptage communes.
5. Dispositif de commutation sécurisé selon l'une des revendications précédentes, caractérisé en ce qu'au moins un module de protection 15 est un module de chiffrement (45a) adapté à chiffrer un flux de données reçu par une entrée-sortie (37a), ou à déchiffrer un flux de données issu du module commutateur (341a, 341b), les modules de chiffrement (45a, 45g) liés à des entrées-sorties interconnectées par le module commutateur utilisant des clés de cryptage communes. 20
6. Dispositif de commutation sécurisé selon l'une des revendications précédentes, caractérisé en ce qu'il comporte au moins : o deux modules commutateurs, un premier module commutateur (341a) et un deuxième module commutateur (341b) configurés avec la même configuration d'interconnexions (80), o un comparateur (46a) placé entre une entrée-sortie (37a) et les modules commutateurs (341 a, 341 b) adapté à : ^ dupliquer un premier flux de données en deux autres flux de données, un deuxième flux de données aiguillé vers le premier module commutateur (341a), et un troisième flux de données aiguillé vers le deuxième module commutateur (341 b), ^ comparer un flux de données issu du premier module commutateur (341a) à un flux de données issu du deuxième module commutateur (341b) pour détecter 25 30 35une anomalie de commutation et générer un signal d'alarme (202).
7. Dispositif de commutation sécurisé selon l'une des revendications précédentes, caractérisé en ce que plusieurs modules de protection (43a, 44a, 45a) reliés à une même entrée-sortie sont compris dans un même module matériel de terminaison (40a à 40h).
8. Dispositif de commutation sécurisé selon l'une des revendications précédentes, caractérisé en ce qu'un ou plusieurs modules de terminaison (40a à 40h) sont chacun redondés par au moins un deuxième module de terminaison (40a' à 40h'), placé en série du module de terminaison redondé.
9. Dispositif de commutation sécurisé selon l'une des revendications 3 à 8, caractérisé en ce qu'il comporte des verrous (42a), chacun des verrous étant commandé par un signal de commande conséquent du signal d'alarme et placé entre une entrée-sortie du dispositif et une interface externe du module commutateur, un verrou comportant au moins une position de blocage de la réception et de l'émission de flux de données par le dispositif et une deuxième position permettant la réception et l'émission de flux de données, le signal de commande activant la position de blocage des verrous lorsqu'une anomalie de commutation est détectée.
10. Dispositif de commutation sécurisé selon l'une des revendications précédentes, caractérisé en ce qu'un module d'autotest (41a), placé entre une entrée-sortie (37a) et le module commutateur (341a), est adapté à insérer des données de test dans un flux de données reçu par une entrée-sortie (37a) du dispositif et à vérifier les données de test présentes dans un flux de données issu du module commutateur (341a, 341b).
11. Dispositif de commutation sécurisé selon l'une des revendications précédentes, caractérisé en ce que le ou les modules commutateurs(341a, 341b), et les modules de terminaison (40a à 40h) sont implantés sur une même puce électronique (60) de type ASIC.
12. Dispositif de commutation sécurisé selon l'une des revendications 1 à 5 10, caractérisé en ce que le ou les modules commutateurs (341a, 341 b) sont implantés sur des circuits de type FPGA et/ou CPLD.
13.Equipement multi niveaux de sécurité comportant un dispositif de commutation sécurisé selon l'une des revendications précédentes. 10
FR0704985A 2007-07-10 2007-07-10 Commutateur de donnees securise Expired - Fee Related FR2918779B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0704985A FR2918779B1 (fr) 2007-07-10 2007-07-10 Commutateur de donnees securise

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0704985A FR2918779B1 (fr) 2007-07-10 2007-07-10 Commutateur de donnees securise

Publications (2)

Publication Number Publication Date
FR2918779A1 true FR2918779A1 (fr) 2009-01-16
FR2918779B1 FR2918779B1 (fr) 2009-11-20

Family

ID=39102743

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0704985A Expired - Fee Related FR2918779B1 (fr) 2007-07-10 2007-07-10 Commutateur de donnees securise

Country Status (1)

Country Link
FR (1) FR2918779B1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2830277A1 (fr) * 2013-07-24 2015-01-28 Rohde & Schwarz SIT GmbH Procédé et système de transmission inviolable de paquets de données
WO2017014831A1 (fr) * 2015-07-21 2017-01-26 Raytheon Company Ensemble commutateur sécurisé

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040160903A1 (en) * 2003-02-13 2004-08-19 Andiamo Systems, Inc. Security groups for VLANs
WO2004105297A2 (fr) * 2003-05-19 2004-12-02 Network Security Technologies, Inc. Procede et systeme de generation d'un transfert de donnees unilateral securise
EP1526690A2 (fr) * 2003-10-16 2005-04-27 Alcatel Système et procédé pour fournir des communications dans un réseau en utilisant une architecture redondante de commutation
EP1536311A1 (fr) * 2003-11-28 2005-06-01 Bull S.A. Système cryptographique haut débit à architecture modulaire
WO2005083970A1 (fr) * 2004-02-27 2005-09-09 Bae Systems Plc Communication informatique securisee

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040160903A1 (en) * 2003-02-13 2004-08-19 Andiamo Systems, Inc. Security groups for VLANs
WO2004105297A2 (fr) * 2003-05-19 2004-12-02 Network Security Technologies, Inc. Procede et systeme de generation d'un transfert de donnees unilateral securise
EP1526690A2 (fr) * 2003-10-16 2005-04-27 Alcatel Système et procédé pour fournir des communications dans un réseau en utilisant une architecture redondante de commutation
EP1536311A1 (fr) * 2003-11-28 2005-06-01 Bull S.A. Système cryptographique haut débit à architecture modulaire
WO2005083970A1 (fr) * 2004-02-27 2005-09-09 Bae Systems Plc Communication informatique securisee

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2830277A1 (fr) * 2013-07-24 2015-01-28 Rohde & Schwarz SIT GmbH Procédé et système de transmission inviolable de paquets de données
WO2017014831A1 (fr) * 2015-07-21 2017-01-26 Raytheon Company Ensemble commutateur sécurisé
US9641176B2 (en) 2015-07-21 2017-05-02 Raytheon Company Secure switch assembly

Also Published As

Publication number Publication date
FR2918779B1 (fr) 2009-11-20

Similar Documents

Publication Publication Date Title
US7457416B1 (en) Key distribution center for quantum cryptographic key distribution networks
CN112822181B (zh) 跨链交易的验证方法、终端设备及可读存储介质
Barrett et al. No signaling and quantum key distribution
US5440633A (en) Communication network access method and system
EP3528430B1 (fr) Procédé et système de validation de preuve ordonnée de transit de paquets de trafic dans un réseau
US8095800B2 (en) Secure configuration of programmable logic device
JP5300719B2 (ja) 量子暗号リンクネットワーク用節点装置及び該節点装置用節点モジュール
US20200351086A1 (en) Method of operation of a quantum key controller
WO2012107698A1 (fr) Procede de transaction securisee a partir d'un terminal non securise
WO2010049673A1 (fr) Distribution de clé quantique
EP1665622A2 (fr) Unite d'interface de confiance et procede de fabrication et d'utilisation
EP1536311A1 (fr) Système cryptographique haut débit à architecture modulaire
WO2022179304A1 (fr) Procédé, appareil et système de communication sécurisée pour une interconnexion cc
CN109688583B (zh) 一种星地通信系统中的数据加密方法
Rahman et al. CSST: an efficient secure split-test for preventing IC piracy
CN112769773B (zh) 一种基于国密算法的铁路安全通信协议仿真系统
CN115987514B (zh) 一种量子与经典密码融合加密传输设备
FR2918779A1 (fr) Commutateur de donnees securise
Doyle et al. Automated security analysis of cryptographic protocols using coloured Petri net specifications.
Jones thesis
EP2750354A1 (fr) Procédé de définition d'un module de filtrage, module de filtrage associé
EP1032158B1 (fr) Circuit et procédé pour la sécurisation d'un coprocesseur dédié à la cryptographie
Gomułkiewicz et al. Synchronization fault cryptanalysis for breaking A5/1
Rivas-Moscoso et al. A Security Plane Architecture for Ultra-Low-Energy, High-Capacity Optical Transport Networks
Kocher Public Key Cryptography in Computer and Network Security

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13

ST Notification of lapse

Effective date: 20210305