FR3017508A1 - SYSTEM AND METHOD FOR DATA EXCHANGE - Google Patents
SYSTEM AND METHOD FOR DATA EXCHANGE Download PDFInfo
- Publication number
- FR3017508A1 FR3017508A1 FR1400371A FR1400371A FR3017508A1 FR 3017508 A1 FR3017508 A1 FR 3017508A1 FR 1400371 A FR1400371 A FR 1400371A FR 1400371 A FR1400371 A FR 1400371A FR 3017508 A1 FR3017508 A1 FR 3017508A1
- Authority
- FR
- France
- Prior art keywords
- data
- network
- module
- secure network
- segment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 6
- 230000005540 biological transmission Effects 0.000 claims abstract description 82
- 238000001914 filtration Methods 0.000 claims abstract description 74
- 230000006399 behavior Effects 0.000 claims description 10
- 238000010200 validation analysis Methods 0.000 claims description 10
- 230000001427 coherent effect Effects 0.000 claims description 9
- 238000012550 audit Methods 0.000 claims description 2
- 230000008878 coupling Effects 0.000 description 61
- 238000010168 coupling process Methods 0.000 description 61
- 238000005859 coupling reaction Methods 0.000 description 61
- 239000000872 buffer Substances 0.000 description 32
- 238000012423 maintenance Methods 0.000 description 10
- 238000013500 data storage Methods 0.000 description 7
- 238000011161 development Methods 0.000 description 5
- 230000007257 malfunction Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 239000012536 storage buffer Substances 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Ce système (1) d'échange de données entre un premier réseau sécurisé (3) et un deuxième réseau (5) d'un niveau de sécurité plus faible ou inconnu comprend une première chaîne (7) de transmission de données depuis ledit premier réseau (3) à destination dudit deuxième réseau (5), et une deuxième chaîne (9) de transmission de données depuis ledit deuxième réseau (5) à destination dudit premier réseau (3). Ladite deuxième chaîne (9) comprend des moyens de filtrage (31, 37) de données transmises depuis ledit deuxième réseau (5) à destination dudit premier réseau sécurisé (3), comprenant un module de contrôle de cohérence (37), propre à vérifier si lesdites données sont cohérentes avec des données attendues par ledit premier réseau sécurisé (3), à autoriser leur transmission vers ledit premier réseau sécurisé (3) si lesdites données sont cohérentes et à interdire leur transmission si lesdites données ne sont pas cohérentes.This system (1) for exchanging data between a first secure network (3) and a second network (5) of a lower or unknown security level comprises a first chain (7) for transmitting data from said first network (3) to said second network (5), and a second chain (9) for transmitting data from said second network (5) to said first network (3). Said second channel (9) comprises data filtering means (31, 37) transmitted from said second network (5) to said first secure network (3), comprising a coherence check module (37), suitable for checking if said data are consistent with data expected by said first secure network (3), to allow transmission to said first secure network (3) if said data are consistent and prohibit their transmission if said data are not consistent.
Description
17508 1 Système et procédé d'échange de données L'invention concerne un système d'échange de données entre un premier réseau sécurisé et un deuxième réseau d'un niveau de sécurité plus faible que le premier réseau sécurisé ou d'un niveau de sécurité inconnu, ledit système comprenant une première chaîne de transmission de données depuis ledit premier réseau sécurisé à destination dudit deuxième réseau, et une deuxième chaîne de transmission de données depuis ledit deuxième réseau à destination dudit premier réseau sécurisé, ladite deuxième chaîne comprenant des moyens de filtrage de données transmises depuis ledit deuxième réseau à destination dudit premier réseau sécurisé. Elle s'applique en particulier à l'échange de données dans un système embarqué sur une plate-forme telle qu'un véhicule terrestre, nautique ou aérien, entre un réseau sécurisé et un réseau soit de niveau de sécurité plus faible que le premier réseau sécurisé (c'est-à-dire que tout ou partie du deuxième réseau présente un niveau de sécurité plus faible que le premier réseau) soit de niveau de sécurité inconnu (c'est-à-dire que tout ou partie du deuxième réseau présente un niveau de sécurité inconnu). Le réseau sécurisé est appelé segment plate-forme. Ce réseau est dit sécurisé en raison du fait qu'il est constitué de matériels et logiciels spécifiquement développés ou adaptés pour être intégrés à la plate-forme et qualifiés et/ou certifiés pour leur utilisation sur cette plate-forme. Par exemple, si la plate-forme est un aéronef civil, le segment plate-forme correspond au domaine avionique, et comprend des calculateurs avioniques dédiés aux commandes de vol. Dans le cas d'un aéronef de combat, le segment plate-forme comprend également des systèmes d'armement.System and method for data exchange The invention relates to a system for exchanging data between a first secure network and a second network with a lower security level than the first secure network or a security level. unknown, said system comprising a first chain of data transmission from said first secure network to said second network, and a second chain of data transmission from said second network to said first secure network, said second channel comprising filtering means data transmitted from said second network to said first secure network. It applies in particular to the exchange of data in an onboard system on a platform such as a land, water or air vehicle, between a secure network and a network that is at a lower security level than the first network. secure (that is to say that all or part of the second network has a lower security level than the first network) is of unknown security level (that is to say that all or part of the second network present an unknown security level). The secure network is called a platform segment. This network is said to be secure because it consists of hardware and software specifically developed or adapted to be integrated into the platform and qualified and / or certified for their use on this platform. For example, if the platform is a civilian aircraft, the platform segment corresponds to the avionics domain, and includes avionics computers dedicated to flight controls. In the case of a combat aircraft, the platform segment also includes weapons systems.
Le réseau de niveau de sécurité soit plus faible soit inconnu, appelé segment ouvert, inclut des matériels et des logiciels non spécifiques, de gamme industrielle voire grand public. Le segment ouvert offre notamment une souplesse d'adaptation rapide et simple à des besoins spécifiques du contexte d'exploitation, notamment pour l'affichage de cartes, d'informations météorologiques, pour la communication avec l'extérieur de la plate-forme ou encore pour le divertissement des passagers d'un aéronef de transport civil. En raison de problématiques de certification et de qualification du système embarqué, la connexion du segment ouvert au segment plate-forme à des fins d'échange d'informations doit préserver les acquis de la plate-forme en termes de sûreté de fonctionnement, de capacités fonctionnelles et de sécurité des systèmes d'informations (SSI). Il est notamment souhaitable de maîtriser les échanges de données entre le segment plate-forme et le segment ouvert afin de garantir l'intégrité et la disponibilité des fonctions du segment plate-forme, notamment pour protéger le segment plate-forme d'éventuelles attaques malveillantes, et pour garantir la confidentialité des données qui le nécessitent.The security level network is weaker or unknown, called open segment, includes non-specific hardware and software, industrial or even mainstream. The open segment offers in particular a quick and easy adaptation flexibility to specific needs of the operating context, in particular for the display of maps, weather information, for communication with the outside of the platform or even for the amusement of the passengers of a civil transport aircraft. Due to issues of certification and qualification of the embedded system, the connection of the open segment to the platform segment for information exchange purposes must preserve the platform's achievements in terms of dependability, capabilities functional and security information systems (SSI). In particular, it is desirable to control the exchange of data between the platform segment and the open segment in order to guarantee the integrity and availability of platform segment functions, in particular to protect the platform segment from possible malicious attacks. , and to guarantee the confidentiality of the data that require it.
Afin de protéger le segment plate-forme d'éventuelles attaques malveillantes, il est connu de limiter l'échange de données entre le segment plate-forme et le segment ouvert à la seule transmission de données depuis le segment plate-forme vers le segment ouvert, aucune donnée n'étant autorisée à transiter depuis le segment ouvert vers le segment plate-forme.In order to protect the platform segment from possible malicious attacks, it is known to limit the exchange of data between the platform segment and the open segment to only the transmission of data from the platform segment to the open segment. no data is allowed to pass from the open segment to the platform segment.
Or, un échange bidirectionnel de données entre le segment plate-forme et le segment ouvert est souhaitable afin d'étendre les fonctionnalités du système dans son ensemble, par exemple pour charger des bases de données dans le segment plate-forme depuis le segment ouvert, y entrer tout ou partie d'un plan de navigation ou autres données de mission, et dans l'autre sens pour récupérer des données depuis le segment plate-forme, par exemple des données relatives à la navigation, des informations de trafic, des données météorologiques ou des images de caméra. On entend par « transmission » de données le transfert monodirectionnel de données, c'est dire soit du segment plate-forme vers le segment ouvert soit du segment ouvert vers le segment plate-forme.However, a bidirectional exchange of data between the platform segment and the open segment is desirable in order to extend the functionality of the system as a whole, for example to load databases in the platform segment from the open segment, enter all or part of a navigation plan or other mission data, and in the other direction to retrieve data from the platform segment, for example data relating to navigation, traffic information, data weather or camera images. The term "data transmission" means the one-way transfer of data, that is to say either from the platform segment to the open segment or from the open segment to the platform segment.
On entend par « échange » de données le transfert des données, du segment plate-forme vers le segment ouvert d'une part et du segment ouvert vers le segment plate-forme d'autre part. Pour résoudre ce problème, on connaît du document FR 2 917 206-Al un système comprenant un dispositif de sécurité pour la transmission de données depuis le segment ouvert à destination du domaine avionique. Par ailleurs ce document décrit également une liaison monodirectionnelle de transmission de données depuis le domaine avionique vers le segment ouvert Néanmoins, ce système ne permet pas de prévenir entièrement les risques d'attaques malveillantes du domaine avionique par le segment ouvert. En particulier, ce système n'est pas apte à traiter le risque associé à l'exploitation fonctionnelle par le domaine avionique de données dont la valeur est erronée, par malveillance ou du fait d'une sûreté de fonctionnement moindre du segment ouvert. En outre, ce système protège uniquement la transmission de données depuis le domaine ouvert vers le domaine avionique, la transmission de données dans l'autre sens restant libre de toute contrainte de sécurité. Ce système ne garantit donc pas la confidentialité des informations émises par le domaine avionique, et ne permet pas d'empêcher l'envoi de données sensibles au segment ouvert, susceptibles de permettre à un utilisateur malveillant d'en déduire des scénarios d'attaque du domaine avionique. Par ailleurs, le dispositif de sécurité selon le document FR 2 917 206-Al comprend un module de contrôle centralisé pilotant l'ensemble du dispositif. Ce module de contrôle peut donc constituer un cheminement des données du segment ouvert vers le domaine avionique, parallèle au cheminement sécurisé recherché. De plus ce positionnement rend le module de contrôle potentiellement vulnérable à des attaques venant du segment ouvert, alors que son rôle est le pilotage de l'ensemble du dispositif de sécurité. L'invention a donc pour but de proposer un système de transmission de données entre un premier réseau sécurisé et un deuxième réseau d'un niveau de sécurité plus faible ou d'un niveau de sécurité inconnu, qui assure de manière efficace la sécurité du premier réseau sécurisé et la confidentialité des données qui le nécessitent. A cet effet, l'invention a pour objet un système d'échange de données du type précité, caractérisé en ce que lesdits moyens de filtrage comprennent un module de contrôle de cohérence, propre à vérifier si lesdites données sont cohérentes avec des données attendues par ledit premier réseau sécurisé, et à autoriser la transmission desdites données vers ledit premier réseau sécurisé si lesdites données sont cohérentes et à interdire la transmission desdites données vers ledit premier réseau sécurisé si lesdites données ne sont pas cohérentes.The term "data exchange" refers to the transfer of data from the platform segment to the open segment on the one hand and from the open segment to the platform segment on the other hand. To solve this problem, document FR 2 917 206-A1 discloses a system comprising a security device for the transmission of data from the open segment to the avionics domain. Furthermore, this document also describes a one-way data transmission link from the avionics domain to the open segment. Nevertheless, this system does not fully prevent the risks of malicious attacks from the avionics domain by the open segment. In particular, this system is not able to deal with the risk associated with the functional exploitation by the avionics domain of data whose value is erroneous, maliciously or because of a lower operational safety of the open segment. In addition, this system only protects the transmission of data from the open domain to the avionics domain, the transmission of data in the other direction remaining free of any security constraint. This system therefore does not guarantee the confidentiality of the information emitted by the avionics domain, and does not make it possible to prevent the sending of sensitive data to the open segment, which may allow a malicious user to deduce attack scenarios from the avionics domain. Furthermore, the security device according to document FR 2 917 206-A1 comprises a centralized control module controlling the entire device. This control module can therefore constitute a data flow from the open segment to the avionics domain, parallel to the desired secure path. Moreover this positioning makes the control module potentially vulnerable to attacks from the open segment, while its role is the control of the entire security device. The invention therefore aims to propose a data transmission system between a first secure network and a second network of a lower security level or an unknown security level, which effectively ensures the security of the first one. secure network and the confidentiality of the data that requires it. For this purpose, the subject of the invention is a data exchange system of the aforementioned type, characterized in that said filtering means comprise a coherence control module, able to check whether said data are consistent with data expected by said first secure network, and to allow the transmission of said data to said first secure network if said data are consistent and to prohibit the transmission of said data to said first secure network if said data are not consistent.
Le système d'échange selon l'invention comporte également les caractéristiques suivantes, prises séparément ou en combinaison : - le module de contrôle de cohérence est propre à identifier les données devant faire l'objet d'une validation complémentaire par un opérateur pour être considérées comme cohérentes, à transmettre ces données à l'opérateur pour validation, et à autoriser la transmission desdites données vers ledit premier réseau sécurisé si lesdites données sont validées par l'opérateur et à interdire la transmission desdites données vers ledit premier réseau sécurisé si lesdites données ne sont pas validées par l'opérateur ; - ledit module de contrôle de cohérence est propre à vérifier si la valeur desdites données appartient à un ensemble prédéterminé de valeurs attendues pour lesdites données et/ou si le comportement dynamique de la valeur desdites données appartient bien à un ensemble prédéterminé de comportements dynamiques attendus pour lesdites données ; - lesdites première et deuxième chaînes forment un anneau monodirectionnel pour l'échange de données entre ledit premier réseau sécurisé et ledit deuxième réseau et pour l'échange de données internes ; - ledit module de contrôle de cohérence est interposé, sur ladite deuxième chaîne, entre ledit premier réseau sécurisé et ledit deuxième réseau, de telle sorte que toute donnée transmise depuis ledit deuxième réseau à destination dudit premier réseau sécurisé transite par ledit module de contrôle de cohérence ; - lesdits moyens de filtrage comprennent un module de filtrage de données, propre à analyser lesdites données pour déterminer si lesdites données sont autorisées à être transmises audit premier réseau sécurisé, à transmettre lesdites données vers ledit premier réseau sécurisé si lesdites données sont autorisées à être transmises audit premier réseau sécurisé et à interdire la transmission desdites données vers ledit premier réseau sécurisé si lesdites données ne sont pas autorisées à être transmises au audit premier réseau sécurisé ; - ledit module de filtrage de données est interposé sur ladite deuxième chaîne entre ledit deuxième réseau et ledit module de contrôle de cohérence, et ladite deuxième chaîne comprend un commutateur propre à interdire la transmission desdites données depuis ledit module de filtrage de données vers ledit module de contrôle de cohérence tant que lesdites données n'ont pas été jugées par ledit module de filtrage de données comme autorisées à être transmises audit premier réseau sécurisé ; - le système comprend des moyens d'identification et d'authentification dudit deuxième réseau et d'un opérateur opérant depuis ledit deuxième réseau, lesdits moyens d'identification et d'authentification étant propres à interdire tout échange de données entre ledit système d'échange et ledit deuxième réseau si ledit opérateur et/ou ledit deuxième réseau sont jugés par lesdits moyens d'identification et d'authentification comme non autorisés à échanger des données avec ledit premier réseau sécurisé ; - ladite première chaîne comprend des moyens de protection de données transmises depuis ledit premier réseau sécurisé à destination dudit deuxième réseau ; - lesdits moyens de protection comprennent un module de filtrage de données, propre à analyser lesdites données pour déterminer si lesdites données sont autorisées à être transmises audit deuxième réseau, et à autoriser la transmission desdites données vers ledit deuxième réseau si lesdites données sont autorisées et à interdire la transmission desdites données vers ledit deuxième réseau si lesdites données ne sont pas autorisées ; - lesdits moyens de protection comportent un module de protection cryptographique, apte à appliquer une protection cryptographique à des données transmises depuis ledit premier réseau sécurisé à destination dudit deuxième réseau ; - ledit module de filtrage de données est propre à analyser les données autorisées pour déterminer, en fonction de ladite deuxième politique de sécurité prédéterminée, si lesdites données doivent être protégées avant d'être transmises vers ledit deuxième réseau, et à aiguiller lesdites données vers ledit module de protection cryptographique uniquement si lesdites données doivent être protégées avant d'être transmises vers ledit deuxième réseau ; - ledit premier réseau sécurisé est un segment plate-forme d'un aéronef, et ledit deuxième réseau est un segment ouvert dudit aéronef. L'invention a également pour objet un aéronef comprenant un segment plate-forme et un segment ouvert, caractérisé en ce qu'il comprend un système d'échange de données selon l'invention embarqué dans ledit aéronef pour l'échange de toute donnée entre ledit segment plate-forme et ledit segment ouvert. L'invention a également pour objet un procédé d'échange de données entre un premier réseau sécurisé et un deuxième réseau d'un niveau de sécurité plus faible que le premier réseau sécurisé ou d'un niveau de sécurité inconnu, caractérisé en ce qu'il comprend les étapes suivantes : - fourniture d'un système tel que défini plus haut, - lors d'une transmission de données depuis ledit deuxième réseau à destination dudit premier réseau sécurisé à travers ladite deuxième chaîne de transmission de données, un filtrage desdites données, ledit filtrage comprenant une phase de contrôle de cohérence desdites données, lors de laquelle ledit module de cohérence vérifie si lesdites données sont cohérentes avec des données attendues par ledit premier réseau sécurisé, et autorise la transmission desdites données vers ledit premier réseau sécurisé si lesdites données sont cohérentes ou interdit la transmission desdites données vers ledit premier réseau sécurisé si lesdites données ne sont pas cohérentes. L'invention sera davantage comprise au regard d'exemples de réalisation de l'invention qui vont maintenant être décrits en faisant référence aux figures annexées parmi lesquelles : - la Figure 1 est un schéma d'un système d'échange de données selon un premier mode de réalisation de l'invention ; - la Figure 2 est un schéma synoptique illustrant des étapes du procédé selon un mode de réalisation de l'invention, mises en oeuvre par le système d'échange de données de la figure 1 ; - la Figure 3 est un schéma d'un système d'échange de données selon un deuxième mode de réalisation de l'invention, et - la Figure 4 est un schéma d'un système d'échange de données selon un troisième mode de réalisation de l'invention.The exchange system according to the invention also comprises the following characteristics, taken separately or in combination: the coherence control module is able to identify the data to be the subject of an additional validation by an operator to be considered; as coherent, to transmit this data to the operator for validation, and to allow the transmission of said data to said first secure network if said data are validated by the operator and to prohibit the transmission of said data to said first secure network if said data are not validated by the operator; said coherence check module is capable of checking whether the value of said data belongs to a predetermined set of expected values for said data and / or whether the dynamic behavior of the value of said data belongs to a predetermined set of expected dynamic behaviors for said data; said first and second chains form a monodirectional ring for the exchange of data between said first secure network and said second network and for the exchange of internal data; said coherence control module is interposed on said second channel between said first secure network and said second network, so that any data transmitted from said second network to said first secure network passes through said coherence control module; ; said filtering means comprise a data filtering module capable of analyzing said data to determine whether said data are authorized to be transmitted to said first secure network, to transmit said data to said first secure network if said data are authorized to be transmitted. to said first secure network and to prohibit transmission of said data to said first secure network if said data is not allowed to be transmitted to said first secure network; said data filtering module is interposed on said second string between said second network and said coherence control module, and said second channel comprises a switch able to prohibit the transmission of said data from said data filtering module to said module; consistency check as long as said data has not been judged by said data filtering module as allowed to be transmitted to said first secure network; the system comprises means for identifying and authenticating said second network and an operator operating from said second network, said identification and authentication means being able to prohibit any data exchange between said exchange system and said second network if said operator and / or said second network are judged by said identification and authentication means as not authorized to exchange data with said first secure network; said first channel comprises data protection means transmitted from said first secure network to said second network; said protection means comprise a data filtering module capable of analyzing said data to determine whether said data are authorized to be transmitted to said second network, and to authorizing the transmission of said data to said second network if said data are authorized and to prohibiting transmission of said data to said second network if said data is not allowed; said protection means comprise a cryptographic protection module able to apply cryptographic protection to data transmitted from said first secure network to said second network; said data filtering module is capable of analyzing the authorized data in order to determine, according to said predetermined second security policy, whether said data must be protected before being transmitted to said second network, and to refer said data to said cryptographic protection module only if said data must be protected before being transmitted to said second network; said first secure network is a platform segment of an aircraft, and said second network is an open segment of said aircraft. The invention also relates to an aircraft comprising a platform segment and an open segment, characterized in that it comprises a data exchange system according to the invention embedded in said aircraft for the exchange of any data between said platform segment and said open segment. The invention also relates to a method for exchanging data between a first secure network and a second network of a lower security level than the first secure network or an unknown security level, characterized in that it comprises the following steps: - supply of a system as defined above, - during a transmission of data from said second network to said first secure network through said second data transmission chain, a filtering of said data said filtering comprising a coherence check phase of said data, in which said coherence module checks whether said data are coherent with data expected by said first secure network, and authorizes the transmission of said data to said first secure network if said data are coherent or prohibits the transmission of said data to said first network u secure if said data is not consistent. The invention will be further understood with reference to embodiments of the invention which will now be described with reference to the appended figures among which: FIG. 1 is a diagram of a data exchange system according to a first embodiment of the invention; FIG. 2 is a block diagram illustrating steps of the method according to one embodiment of the invention, implemented by the data exchange system of FIG. 1; FIG. 3 is a diagram of a data exchange system according to a second embodiment of the invention, and FIG. 4 is a diagram of a data exchange system according to a third embodiment. of the invention.
On a illustré sur la Figure 1 un système 1 d'échange de données selon un mode de réalisation de l'invention pour l'échange de données entre un premier réseau 3 et un deuxième réseau 5, le deuxième réseau 5 étant d'un niveau de sécurité soit plus faible que le premier réseau 3 soit inconnu.FIG. 1 illustrates a data exchange system 1 according to one embodiment of the invention for exchanging data between a first network 3 and a second network 5, the second network 5 being of a level security is lower than the first network 3 is unknown.
Le premier réseau sécurisé 3 et le deuxième réseau 5 sont par exemple deux réseaux d'un système embarqué sur une plate-forme telle qu'un véhicule terrestre, nautique ou aérien. Le premier réseau 3, appelé par la suite segment plate-forme, est un réseau sécurisé.The first secure network 3 and the second network 5 are for example two networks of a system embedded on a platform such as a land vehicle, nautical or air. The first network 3, hereafter referred to as a platform segment, is a secure network.
Le deuxième réseau 5, par la suite appelé segment ouvert, est soit de niveau de sécurité plus faible que le premier réseau (c'est-à-dire que tout ou partie du deuxième réseau 5 présente un niveau de sécurité plus faible que le premier réseau 3) soit de niveau de sécurité inconnu (c'est-à-dire que tout ou partie du deuxième réseau 5 présente un niveau de sécurité inconnu). En particulier, le segment ouvert 5 peut être accessible à tout opérateur, et peut comprendre des composants grand public et être implémenté selon des standards non spécifiques ou non adaptés au segment plate-forme. Par exemple, la plate-forme considérée est un aéronef, le segment plate-forme 3 correspond à l'avionique de cet aéronef, et le segment ouvert 5 est un calculateur avec un réseau local Ethernet embarqué dans l'aéronef, apte à communiquer, notamment via une liaison directe radio ou satellite, avec un système d'information au sol. Le système 1 d'échange est en coupure entre le segment plate-forme 3 et le segment ouvert 5, de telle sorte que toutes les données échangées entre le segment plate-forme 3 et le segment ouvert 5 passent obligatoirement par le système 1 d'échange de données.The second network 5, subsequently called an open segment, is either of a lower security level than the first network (ie all or part of the second network 5 has a lower security level than the first one). network 3) is of unknown security level (that is to say that all or part of the second network 5 has an unknown security level). In particular, the open segment 5 may be accessible to any operator, and may include consumer components and be implemented according to non-specific or non-platform platform specific standards. For example, the platform considered is an aircraft, the platform segment 3 corresponds to the avionics of this aircraft, and the open segment 5 is a computer with an Ethernet local network embedded in the aircraft, able to communicate, especially via a direct radio or satellite link, with a ground information system. The exchange system 1 is cut between the platform segment 3 and the open segment 5, so that all the data exchanged between the platform segment 3 and the open segment 5 necessarily pass through the system 1 of data exchange.
Le système d'échange de données 1 comprend des moyens de transmission de données du segment plate-forme 3 vers le segment ouvert 5 d'une part et des moyens de transmission de données du segment ouvert 5 vers le segment plate-forme 3. Le système d'échange de données 1 comprend ainsi une première chaîne monodirectionnelle 7 de transmission de données depuis le segment plate-forme 3 à destination du segment ouvert 5, et une deuxième chaîne monodirectionnelle 9 de transmission de données depuis le segment ouvert 5 à destination du segment plate-forme 3 La première chaîne 7 comprend des moyens de protection de données transmises depuis le segment plate-forme 3 à destination du segment ouvert 5.The data exchange system 1 comprises data transmission means from the platform segment 3 to the open segment 5 on the one hand and the data transmission means from the open segment 5 to the platform segment 3. data exchange system 1 thus comprises a first unidirectional data transmission chain 7 from the platform segment 3 to the open segment 5, and a second unidirectional data transmission chain 9 from the open segment 5 to the platform segment 3 The first channel 7 comprises data protection means transmitted from the platform segment 3 to the open segment 5.
En particulier, la première chaîne 7 est propre à filtrer les données afin de restreindre l'envoi des données du segment plate-forme 3 aux données autorisées, et de protéger les données qui le nécessitent, conformément à une politique de sécurité prédéfinie. La première chaîne 7 comprend également des moyens permettant aux données de ne circuler exclusivement que dans le sens sortant, c'est-à-dire vers le segment ouvert 5. La deuxième chaîne 9 comprend des moyens de transmission sécurisée des données depuis le segment ouvert 5 à destination du segment plate-forme 3. Sur la deuxième chaîne 9, les données circulent exclusivement dans le sens entrant, c'est-à-dire vers le segment plate-forme 3.In particular, the first channel 7 is able to filter the data in order to restrict the sending of the data of the platform segment 3 to the authorized data, and to protect the data that require it, in accordance with a predefined security policy. The first channel 7 also comprises means enabling the data to circulate exclusively only in the outgoing direction, that is to say towards the open segment 5. The second channel 9 comprises means for the secure transmission of data from the open segment 5 to the platform segment 3. On the second channel 9, the data flows exclusively in the incoming direction, that is to say towards the platform segment 3.
En particulier, la deuxième chaîne 9 comprend des moyens de filtrage des données transmises depuis le segment ouvert 5 à destination du segment plate-forme 3, ainsi que des moyens 38 de contrôle/validation de données par l'opérateur et des moyens 33 d'isolement permanent des segments 3 et 5. Ces moyens de filtrage sont propres à contrôler, par des mécanismes d'identification et d'authentification, l'accès au segment plate-forme 3, et à interdire la transmission de données par un opérateur ou par un segment ouvert non autorisé. Ces moyens de filtrage sont par ailleurs propres à ne laisser passer que des données autorisées, à vérifier si ces données sont cohérentes avec des données attendues par le segment plate-forme 3, et à autoriser la transmission des données vers le segment plate- forme 3 si les données sont cohérentes et à interdire la transmission des données vers le segment plate-forme 3 si les données ne sont pas cohérentes. Ces moyens de filtrage sont également propres à permettre un contrôle de données par l'opérateur, afin qu'il puisse valider manuellement par les moyens 38 ces données pour permettre leur transmission vers le segment plate-forme, ou qu'il puisse les invalider et interdire ainsi leur transmission vers le segment plateforme. A cette fin, les première 7 et deuxième 9 chaînes comportent un premier module 13 de couplage du segment plate-forme 3 au système d'échange de données 1, et un deuxième module 15 de couplage du segment ouvert 5 au système d'échange de données 1. Chacun des premier 13 et deuxième 15 modules de couplage est commun aux première et deuxième chaînes 7 et 9. La première chaîne 7 comprend par ailleurs un module de filtrage 21 de données, appelé par la suite premier module de filtrage 21, un module de protection cryptographique 23, et une diode monodirectionnelle 25. Le premier module de filtrage 21, le module de protection cryptographique 23 et la diode 25 sont connectés en série entre le premier module de couplage 13 et le deuxième module de couplage 15.In particular, the second channel 9 comprises means for filtering data transmitted from the open segment 5 to the platform segment 3, as well as means 38 for controlling / validating data by the operator and means 33 for permanent isolation of the segments 3 and 5. These filtering means are adapted to control, by identification and authentication mechanisms, access to the platform segment 3, and to prohibit the transmission of data by an operator or by an unauthorized open segment. These filtering means are moreover adapted to allow only authorized data to pass, to check whether these data are consistent with data expected by the platform segment 3, and to authorize the transmission of data to the platform segment 3 if the data is consistent and prohibit the transmission of data to platform segment 3 if the data is inconsistent. These filtering means are also suitable for allowing a data control by the operator, so that he can manually validate by the means 38 these data to allow their transmission to the platform segment, or that he can invalidate them and prohibit their transmission to the platform segment. For this purpose, the first 7 and second 9 chains comprise a first coupling module 13 of the platform segment 3 to the data exchange system 1, and a second coupling module 15 of the open segment 5 to the data exchange system. data 1. Each of the first 13 and second 15 coupling modules is common to the first and second chains 7 and 9. The first channel 7 further comprises a data filtering module 21, hereinafter referred to as the first filter module 21, a cryptographic protection module 23, and a monodirectional diode 25. The first filter module 21, the cryptographic protection module 23 and the diode 25 are connected in series between the first coupling module 13 and the second coupling module 15.
En particulier, le premier module de couplage 13 comprend une première entrée 13a, connectée au segment plate-forme 3, une deuxième entrée 13b, une première sortie 13c connectée au segment plate-forme 3, et une deuxième sortie 13d. Le premier module de filtrage 21 comprend une entrée 21a, connectée à la deuxième sortie 13d du premier module de couplage 13, une première sortie 21b et une deuxième 21c sortie. Le module de protection cryptographique 23 comprend une entrée 23a, connectée à la première sortie 21b du premier module de filtrage 21, et une sortie 23b. La diode 25 comprend deux entrées 25a, 25b, respectivement connectées à la sortie 23b du module de protection cryptographique 23 et à la deuxième sortie 21c du premier module de filtrage 21, et une sortie 25c. Le deuxième module de couplage 15 comprend une première entrée 15a, connectée à la sortie 25c de la diode 25, une deuxième entrée 15b connectée au segment ouvert 5, une première sortie 15c connectée au segment ouvert 5 et une deuxième sortie 15d. La deuxième chaîne 9 comprend, outre les premier et deuxième modules 13 et 15 de couplage, un module de filtrage 31 de données, appelé par la suite deuxième module de filtrage 31, un commutateur 33, un premier module tampon 35 de stockage de données, un module de contrôle de cohérence 37 et un deuxième module tampon 39 de stockage de données. Le deuxième module de filtrage 31, le commutateur 33, le module de contrôle de cohérence 37 et le deuxième module tampon 39 de stockage de données sont connectés en série entre le deuxième module de couplage 15 et le premier module de couplage 13. En particulier, le deuxième module de filtrage 31 comprend une entrée 31a, connectée à la deuxième sortie 15d du deuxième module de couplage 15, et une sortie 31b. Le commutateur 33 comprend une entrée 33a, connectée à la sortie 31b du deuxième module de filtrage 31, une sortie 33b, et une entrée/sortie 33c. Le module de contrôle de cohérence 37 comprend une entrée 37a connectée à la sortie 33b du commutateur 33 et une sortie 37b. Le deuxième module tampon 39 comprend une entrée 39a connectée à la sortie 37b du module de contrôle de cohérence 37 et une sortie 39b connectée à la deuxième entrée 13b du premier module de filtrage 21. Le premier module tampon 35 de stockage de données est connecté à l'entrée/sortie 33c du commutateur 33.In particular, the first coupling module 13 comprises a first input 13a, connected to the platform segment 3, a second input 13b, a first output 13c connected to the platform segment 3, and a second output 13d. The first filter module 21 comprises an input 21a, connected to the second output 13d of the first coupling module 13, a first output 21b and a second 21c output. The cryptographic protection module 23 comprises an input 23a, connected to the first output 21b of the first filtering module 21, and an output 23b. The diode 25 comprises two inputs 25a, 25b respectively connected to the output 23b of the cryptographic protection module 23 and the second output 21c of the first filter module 21, and an output 25c. The second coupling module 15 comprises a first input 15a, connected to the output 25c of the diode 25, a second input 15b connected to the open segment 5, a first output 15c connected to the open segment 5 and a second output 15d. The second channel 9 comprises, in addition to the first and second coupling modules 13 and 15, a data filtering module 31, hereinafter called second filtering module 31, a switch 33, a first data storage buffer module 35, a coherence control module 37 and a second data storage buffer module 39. The second filter module 31, the switch 33, the coherence control module 37 and the second data storage buffer module 39 are connected in series between the second coupling module 15 and the first coupling module 13. In particular, the second filtering module 31 comprises an input 31a, connected to the second output 15d of the second coupling module 15, and an output 31b. The switch 33 comprises an input 33a, connected to the output 31b of the second filtering module 31, an output 33b, and an input / output 33c. The coherence control module 37 comprises an input 37a connected to the output 33b of the switch 33 and an output 37b. The second buffer module 39 comprises an input 39a connected to the output 37b of the coherence control module 37 and an output 39b connected to the second input 13b of the first filter module 21. The first data storage buffer module 35 is connected to the input / output 33c of the switch 33.
Ainsi, les première et deuxième chaînes 7 et 9 forment un anneau monodirectionnel pour l'échange de données entre le segment plate-forme 3 et le segment ouvert 5. En particulier, la première chaîne 7 ne contient aucun module central qui serait connecté à l'ensemble des autres modules de la première chaîne 7. De même, la deuxième chaîne 9 ne contient aucun module central qui serait connecté à l'ensemble des autres modules de la deuxième chaîne 9. Le système 1 d'échange ne comprend par ailleurs aucun module central qui piloterait les première et deuxième chaînes 7 et 9. Ainsi, le système 1 ne comprend aucun cheminement d'échanges non désirés (i.e. aucun court- circuit ou « bypass ») entre le segment plate-forme 3 et le segment ouvert 5. Ces première et deuxième chaînes 7 et 9 forment également un anneau monodirectionnel pour l'envoi de données de fonctionnement aux modules du système 1. Ces données à destination d'un module du système 1 proviennent soit d'un autre module du système 1 soit des segments 3 et 5 et sont soumis aux mêmes traitements que les autres données. Par la suite on qualifiera de « données internes » ces données qui sont à destination d'un module interne au système (par exemple des états ou informations d'événements échangés entre modules). Ainsi, les données qui circulent sur la chaîne 7 sont à destination soit du segment ouvert 5, soit d'un module interne et les données qui circulent sur la chaîne 9 sont à destination soit du segment plate-forme 3, soit d'un module interne. Le premier module de couplage 13 assure le couplage du segment plate-forme 3 au système 1 d'échange de données. Notamment, le premier module de couplage 13 est propre à mettre en place et à contrôler un protocole de connexion et d'échange d'information avec le segment plate- forme 3. Le premier module de couplage 13 est propre à recevoir des données provenant du module tampon 39 (par exemple des données internes) ou des données issues du segment plate-forme 3 et à transmettre ces données au premier module de filtrage 21. En outre, lorsque ces données sont sous la forme de signaux analogiques, le premier module de couplage 13 est propre à convertir ces signaux analogiques en flux de données transmissibles à travers le système 1, selon un protocole prédéfini, avant leur transmission au premier module de filtrage 21. Par ailleurs, le premier module de couplage 13 est également propre à recevoir des données issues du deuxième module tampon 39, et à transmettre ces données issues du deuxième module tampon 39 au segment plate-forme 3 quand il s'agit de données à destination de ce segment 3. Le premier module de filtrage 21 est propre à recevoir des données issues du premier module de couplage 13, et à analyser ces données pour déterminer, en fonction de la politique de sécurité prédéfinie, si les données sont autorisées à être transmises au segment ouvert 5 ou si elles font partie des données internes autorisées à circuler au sein du système 1. Le premier module de filtrage 21 est également propre à déterminer, en fonction de la politique de sécurité prédéfinie, si les données autorisées à être transmises au segment ouvert 5 doivent être protégées avant cette transmission. Le système 1 est paramétré en cohérence avec une politique de sécurité prédéfinie, par exemple via le module de maintenance 40 décrit plus loin. Ainsi, le premier module de filtrage 21 comprend des moyens de paramétrage permettant de définir quelles données sont autorisées à être transmises depuis le segment plate-forme 3 au segment ouvert 5, quelles données nécessitent une protection cryptographique avant leur transmission vers le segment ouvert 5, et quelles données peuvent être transmises en clair, i.e. sans protection cryptographique, vers le segment ouvert 5. Le premier module de filtrage 21 est propre à interdire la transmission de données qui n'ont pas été autorisées vers le segment ouvert 5 ou vers un des modules du système 1 si ce sont des données internes. Le premier module de filtrage 21 est également propre à aiguiller les données autorisées vers le module de protection cryptographique 23, en vue de leur protection avant transmission vers le segment ouvert 5, si ces données autorisées doivent être protégées avant d'être transmises vers le segment ouvert 5, et à transmettre les données autorisées à la diode 25 s'il n'est pas jugé nécessaire de protéger ces données. Le premier module de filtrage 21 transmet ainsi les données autorisées soit au module de protection cryptographique 23, soit directement à la diode 25, mais ne transmet aucune donnée à la fois au module de protection cryptographique 23 et à la diode 25, ceci afin d'éviter de compromettre les caractéristiques de la protection appliquée par le module de protection cryptographique 23, par exemple une clé ou un algorithme de chiffrement utilisé par le module de protection cryptographique 23. Ainsi, le premier module de filtrage 21 est propre à empêcher la transmission vers le segment ouvert 5 de données sensibles, qui seraient susceptibles de fournir des renseignements permettant à un utilisateur malveillant d'en déduire des attaques du segment plate-forme 3.Thus, the first and second chains 7 and 9 form a monodirectional ring for the exchange of data between the platform segment 3 and the open segment 5. In particular, the first channel 7 contains no central module that would be connected to the all the other modules of the first channel 7. Likewise, the second channel 9 contains no central module that would be connected to all the other modules of the second channel 9. The exchange system 1 does not include any other central module that would drive the first and second chains 7 and 9. Thus, the system 1 does not include any unwanted exchanges path (ie no short circuit or "bypass") between the platform segment 3 and the open segment 5 These first and second chains 7 and 9 also form a monodirectional ring for sending operating data to the system modules 1. This data for a module of the system 1 comes from oit another module of the system 1 is segments 3 and 5 and are subject to the same processing as other data. Subsequently, this data will be called "internal data" and is intended for a module that is internal to the system (for example, states or information of events exchanged between modules). Thus, the data circulating on the channel 7 are destined either for the open segment 5 or for an internal module and the data that travels on the channel 9 are intended either for the platform segment 3 or for a module internal. The first coupling module 13 couples the platform segment 3 to the data exchange system 1. In particular, the first coupling module 13 is adapted to set up and control a protocol for connection and exchange of information with the platform segment 3. The first coupling module 13 is able to receive data from the buffer module 39 (for example internal data) or data from the platform segment 3 and to transmit this data to the first filter module 21. Moreover, when these data are in the form of analog signals, the first module of FIG. coupling 13 is suitable for converting these analog signals into transmissible data streams through the system 1, according to a predefined protocol, before their transmission to the first filtering module 21. Moreover, the first coupling module 13 is also able to receive data. data from the second buffer module 39, and to transmit this data from the second buffer module 39 to the platform segment 3 when it is data destined for This first filter module 21 is adapted to receive data from the first coupling module 13, and to analyze this data to determine, according to the predefined security policy, whether the data are authorized to be transmitted. to the open segment 5 or if they are part of the internal data allowed to circulate within the system 1. The first filtering module 21 is also able to determine, according to the predefined security policy, whether the data authorized to be transmitted to the Open segment 5 must be protected before this transmission. The system 1 is set in coherence with a predefined security policy, for example via the maintenance module 40 described below. Thus, the first filtering module 21 comprises setting means for defining which data are allowed to be transmitted from the platform segment 3 to the open segment 5, which data require cryptographic protection before transmission to the open segment 5, and which data can be transmitted in clear, ie without cryptographic protection, to the open segment 5. The first filtering module 21 is able to prohibit the transmission of data that has not been authorized to the open segment 5 or to one of the System 1 modules if they are internal data. The first filter module 21 is also able to direct the authorized data to the cryptographic protection module 23, for their protection before transmission to the open segment 5, if these authorized data must be protected before being transmitted to the segment open 5, and transmit the authorized data to the diode 25 if it is not considered necessary to protect these data. The first filtering module 21 thus transmits the authorized data to either the cryptographic protection module 23, or directly to the diode 25, but does not transmit any data at once to the cryptographic protection module 23 and to the diode 25, this in order to avoid compromising the characteristics of the protection applied by the cryptographic protection module 23, for example a key or an encryption algorithm used by the cryptographic protection module 23. Thus, the first filtering module 21 is able to prevent transmission to the cryptographic protection module 23. the open segment 5 of sensitive data, which would be likely to provide information allowing a malicious user to infer attacks platform segment 3.
Le premier module de filtrage 21 est également propre à empêcher la transmission vers le segment ouvert 5 de données opérationnelles jugées confidentielles. Le module de protection cryptographique 23 est apte à recevoir des données issues du premier module de filtrage 21.The first filter module 21 is also able to prevent the transmission to the open segment 5 of operational data deemed confidential. The cryptographic protection module 23 is able to receive data from the first filtering module 21.
Par ailleurs, le module de protection cryptographique 23 est apte à appliquer une protection cryptographique à ces données, par exemple un chiffrement, en vue de leur transmission vers le segment ouvert 5. Le module de protection cryptographique 23 est apte à transmettre les données protégées à la diode 25.Furthermore, the cryptographic protection module 23 is able to apply a cryptographic protection to this data, for example an encryption, for transmission to the open segment 5. The cryptographic protection module 23 is able to transmit the protected data to the diode 25.
La diode 25 est apte à assurer une transmission monodirectionnelle des données sur la première chaîne 7 entre soit le segment plate-forme 3 soit un des modules du système 1 si ce sont des données internes, et soit le segment ouvert 5 soit un des modules du système 1 si ce sont des données internes. La diode 25 est ainsi propre à autoriser exclusivement ces transmissions, en interdisant toute transmission de données sur la première chaîne 7 en sens inverse soit depuis le segment ouvert 5 soit depuis un des modules du système 1 si ce sont des données internes, vers le segment plate-forme 3. La diode 25 est avantageusement une diode physique. Une diode physique présente en effet un niveau de sécurité élevé.The diode 25 is capable of ensuring a one-way transmission of the data on the first channel 7 between either the platform segment 3 or one of the modules of the system 1 if it is internal data, and either the open segment 5 or one of the modules of the system 1 if they are internal data. The diode 25 is thus able to authorize exclusively these transmissions, by prohibiting any transmission of data on the first channel 7 in the opposite direction either from the open segment 5 or from one of the modules of the system 1 if they are internal data, to the segment platform 3. The diode 25 is advantageously a physical diode. A physical diode indeed has a high level of security.
Le deuxième module de couplage 15 assure le couplage du système 1 d'échange au segment ouvert 5. Notamment, le deuxième module de couplage 15 est propre à mettre en place et à contrôler un protocole de connexion et d'échange d'informations avec le segment ouvert 5.The second coupling module 15 couples the exchange system 1 to the open segment 5. In particular, the second coupling module 15 is able to set up and control a protocol for connection and exchange of information with the open segment 5.
Par ailleurs, le deuxième module de couplage 15 est propre à recevoir des données issues du segment plate-forme 3 ou des données internes via la diode 25, et à transmettre ces données soit au segment ouvert 5 soit au module 31 (par exemple s'il s'agit de données internes). Le deuxième module de couplage 15 est également propre à recevoir des données issues du segment ouvert 5 à destination soit du segment plate-forme 3 soit d'un module interne, et à transmettre ces données au deuxième module de filtrage 31. En outre, lorsque les données sont sous la forme de signaux analogiques, le deuxième module de couplage 15 est propre à convertir ces signaux analogiques en flux de données transmissibles à travers le système 1, selon un protocole prédéfini, avant leur transmission au deuxième module de filtrage 31.Furthermore, the second coupling module 15 is adapted to receive data from the platform segment 3 or internal data via the diode 25, and to transmit these data either to the open segment 5 or to the module 31 (for example: this is internal data). The second coupling module 15 is also adapted to receive data from the open segment 5 intended for either the platform segment 3 or an internal module, and to transmit these data to the second filter module 31. Moreover, when the data is in the form of analog signals, the second coupling module 15 is adapted to convert these analog signals into data streams transmissible through the system 1, according to a predefined protocol, before their transmission to the second filtering module 31.
Par ailleurs, le deuxième module de couplage 15 est propre à permettre l'identification et l'authentification de l'opérateur du système 1 (par exemple via un identifiant et un mot de passe ou via une clé d'identification) et à contrôler l'accès au segment plate-forme 3 via le système 1, pour ne permettre un accès au segment plate- forme 3 via le système 1 d'échange qu'à un opérateur autorisé. Le deuxième module de couplage 15 est également propre à se connecter au segment ouvert 5 suivant un protocole de connexion au segment ouvert 5 prédéfini. En particulier, le deuxième module de couplage 15 est propre à procéder à une identification et une authentification du segment ouvert 5 depuis lequel la connexion est initiée, et à autoriser l'initialisation de cette connexion uniquement si le segment ouvert 5 y est effectivement autorisé. En outre, le deuxième module de couplage 15 est propre à vérifier que les identités de l'opérateur initialisant la connexion au système 1 d'échange de données et de l'opérateur connecté au segment ouvert 5 correspondent.Furthermore, the second coupling module 15 is able to allow the identification and authentication of the operator of the system 1 (for example via an identifier and a password or via an identification key) and to control the system. access to the platform segment 3 via the system 1, to allow access to the platform segment 3 via the exchange system 1 to an authorized operator. The second coupling module 15 is also able to connect to the open segment 5 following a connection protocol to the predefined open segment. In particular, the second coupling module 15 is able to identify and authenticate the open segment from which the connection is initiated, and to allow the initialization of this connection only if the open segment 5 is actually authorized. In addition, the second coupling module 15 is able to verify that the identities of the operator initiating the connection to the data exchange system 1 and the operator connected to the open segment 5 correspond.
Le deuxième module de couplage 15 est ainsi propre à interdire une connexion d'un opérateur ou d'un segment ouvert 5 non autorisé au système 1 d'échange de données, et à interdire une connexion d'un opérateur initiant une connexion au système 1 si l'identité de cet opérateur diffère de l'identité de l'opérateur connecté au segment ouvert 5.The second coupling module 15 is thus able to prohibit a connection of an operator or of an unauthorized open segment 5 to the data exchange system 1, and to prohibit a connection of an operator initiating a connection to the system 1 if the identity of this operator differs from the identity of the operator connected to the open segment 5.
En outre, le deuxième module de couplage 15 est propre à vérifier la version et l'intégrité du pilote de connexion installé sur le segment ouvert 5, et à interdire une connexion du segment ouvert 5 au système 1 si une anomalie de version ou d'intégrité de ce pilote de connexion est détectée. Le deuxième module de filtrage 31 est propre à recevoir des données transmises par le deuxième module de couplage 15, et à analyser ces données pour déterminer, si ces données sont autorisées à être transmises au segment plate-forme 3 ou si elles font partie des données internes autorisées à circuler au sein du système 1. Notamment, le deuxième module de filtrage est propre à déterminer quel est le format des données, ce format étant contenu dans le message qui contient les données, afin de déterminer si ces données sont autorisées à être transmises au segment plate- forme 3. Le deuxième module de filtrage 31 ne transmet que les données qui sont autorisées à être transmises depuis le segment ouvert 5 au segment plate-forme 3 et que les données internes autorisées à circuler.In addition, the second coupling module 15 is able to check the version and the integrity of the connection driver installed on the open segment 5, and to prohibit a connection of the open segment 5 to the system 1 if a version or a problem exists. integrity of this connection driver is detected. The second filtering module 31 is adapted to receive data transmitted by the second coupling module 15, and to analyze these data to determine if these data are authorized to be transmitted to the platform segment 3 or if they are part of the data. internal rules allowed to circulate within the system 1. In particular, the second filtering module is able to determine the format of the data, this format being contained in the message which contains the data, in order to determine whether these data are authorized to be transmitted to the platform segment 3. The second filtering module 31 transmits only the data that is allowed to be transmitted from the open segment 5 to the platform segment 3 and the internal data allowed to flow.
De plus, le deuxième module de filtrage 31 est propre à vérifier l'intégrité des données. Par exemple, si les données sont transmises sous la forme de trames comprenant des codes de détection d'erreurs, la vérification de l'intégrité des données par le deuxième module de filtrage 31 est réalisée par vérification de ces codes de détection d'erreurs. Le deuxième module de filtrage 31 est ainsi propre à empêcher la transmission vers le segment plate-forme 3 de données non autorisées ou corrompues. Le commutateur 33 est propre à isoler le deuxième module de filtrage 31 du module de contrôle de cohérence 37, de telle sorte que le deuxième module de filtrage 31 ne soit jamais directement connecté au module de contrôle de cohérence 37, et à isoler ainsi en permanence les segments 3 et 5 sur la chaîne 9.In addition, the second filtering module 31 is able to verify the integrity of the data. For example, if the data is transmitted in the form of frames including error detection codes, verification of the integrity of the data by the second filter module 31 is performed by checking these error detection codes. The second filtering module 31 is thus able to prevent the transmission to the platform segment 3 of unauthorized or corrupted data. The switch 33 is able to isolate the second filtering module 31 from the coherence control module 37, so that the second filtering module 31 is never directly connected to the coherence control module 37, and thus to be permanently isolated. segments 3 and 5 on the chain 9.
Le commutateur 33 est avantageusement un commutateur physique, propre à isoler physiquement le deuxième module de filtrage 31 du module de contrôle de cohérence 37. Le commutateur 33 est propre à basculer entre une position de stockage et une position de transmission. La position de stockage est propre à isoler les modules du système 1 des données émises par le segment ouvert au plus près de leur réception par le coupleur 15 et de leur filtrage par le module 31, en évitant ainsi leur propagation dans le système 1. Elle correspond à la position de sécurité du commutateur. Dans la position de stockage, le commutateur 33 connecte le deuxième module de filtrage 31 au premier module tampon 35, et autorise ainsi la transmission de données depuis le deuxième module de filtrage 31 au premier module tampon 35. Dans cette position de stockage, le module de contrôle de cohérence 37 n'est connecté ni au deuxième module de filtrage 31 ni au premier module tampon 35. Dans la position de transmission, le commutateur 33 connecte le premier module tampon 35 au module de contrôle de cohérence 37, et autorise la transmission de données stockées dans le premier module tampon 35 vers le module de contrôle de cohérence 37. Dans la position de transmission, le deuxième module de filtrage 31 n'est connecté ni au premier module tampon 35 ni au module de contrôle de cohérence 37. Le premier module tampon 35 comprend une zone de stockage de données, propre à recevoir des données transmises par le deuxième module de filtrage 31 à travers le commutateur 33 lorsque le commutateur 33 est dans la position de stockage, et à stocker ces données. Le premier module tampon 35 est par ailleurs propre à transmettre les données stockées vers le module de contrôle de cohérence 37 à travers le commutateur 33 lorsque le commutateur 33 est dans la position de transmission.The switch 33 is advantageously a physical switch, capable of physically isolating the second filter module 31 of the coherence control module 37. The switch 33 is able to switch between a storage position and a transmission position. The storage position is capable of isolating the modules of the system 1 from the data transmitted by the open segment as close as possible to their reception by the coupler 15 and of their filtering by the module 31, thus avoiding their propagation in the system 1. It corresponds to the security position of the switch. In the storage position, the switch 33 connects the second filter module 31 to the first buffer module 35, and thus allows the transmission of data from the second filtering module 31 to the first buffer module 35. In this storage position, the module 37 is connected neither to the second filter module 31 nor to the first buffer module 35. In the transmission position, the switch 33 connects the first buffer module 35 to the coherence control module 37, and allows the transmission data stored in the first buffer module 35 to the coherence control module 37. In the transmission position, the second filtering module 31 is connected neither to the first buffer module 35 nor to the coherence control module 37. first buffer module 35 comprises a data storage area adapted to receive data transmitted by the second filter module 31 through the switch 33 lo when the switch 33 is in the storage position, and storing this data. The first buffer module 35 is further adapted to transmit the stored data to the coherence control module 37 through the switch 33 when the switch 33 is in the transmission position.
Le premier module tampon 35 est propre à effacer de façon sécurisée toute donnée stockée dans sa zone de stockage de données Le module de contrôle de cohérence 37 est propre à recevoir des données transmises par le premier module tampon 35 lorsque le commutateur 33 est dans la position de transmission. Le module de contrôle de cohérence 37 est par ailleurs propre à vérifier si les données sont cohérentes avec des données attendues par le segment plate-forme 3, et à autoriser la transmission des données vers le segment plate-forme 3 si les données sont cohérentes, et à interdire la transmission des données vers le segment plate-forme 3 si les données ne sont pas cohérentes. En particulier, le module de contrôle de cohérence 37 est propre à analyser les données pour déterminer de quelles données il s'agit, puis à contrôler que la valeur de ces données appartient à un ensemble prédéterminé de valeurs attendues pour ces données ou que le comportement dynamique de la valeur desdites données appartient bien à un ensemble prédéterminé de comportements dynamiques attendus pour lesdites données.The first buffer module 35 is able to securely erase any data stored in its data storage area. The coherence control module 37 is adapted to receive data transmitted by the first buffer module 35 when the switch 33 is in the position. of transmission. The coherence control module 37 is furthermore able to verify whether the data are consistent with data expected by the platform segment 3, and to allow the transmission of data to the platform segment 3 if the data are coherent, and to prohibit the transmission of data to platform segment 3 if the data is not consistent. In particular, the coherence control module 37 is able to analyze the data to determine what data it is, then to check that the value of these data belongs to a predetermined set of expected values for these data or that the behavior The dynamics of the value of said data does indeed belong to a predetermined set of expected dynamic behaviors for said data.
Pour déterminer de quelles données il s'agit, le module de contrôle de cohérence 37 est propre à extraire du message qui contient la donnée le format de cette donnée.. A partir de ces informations, le module de contrôle de cohérence 37 est propre à effectuer la vérification de cohérence de valeur en utilisant les éléments dont il dispose, par exemple des tables de valeurs (par exemple de tables de chaînes de caractère), des domaines de variation possible (par exemple des domaines de variations de valeurs numériques), et en effectuant des calculs sur des valeurs reçues successivement d'une même donnée pour s'assurer que le comportement dynamique des valeurs est bien cohérent d'un ensemble prédéterminé de comportements dynamiques attendus pour lesdites données, y compris en utilisant des données transmises par le segment plate-forme au système 1 via les chaînes 7 et 9 jusqu'au module 37 (par exemple la localisation, les attitudes de l'aéronef ou encore des données d'état du segment plate-forme). Notamment, si les données sont des données numériques, le module de contrôle de cohérence 37 est propre à réaliser un contrôle statique de la valeur de ces données, c'est-à-dire à contrôler que la valeur de ces données correspond bien à une valeur attendue pour ces données. Par exemple, si les données correspondent à des coordonnées d'un objet au sol, le module de contrôle de cohérence 37 est propre à vérifier que la valeur de ces données correspond bien à des coordonnées qui sont au sol. Par ailleurs, le module de contrôle de cohérence 37 est propre à réaliser un contrôle du comportement dynamique de la valeur de ces données, c'est-à-dire à contrôler que l'évolution de la valeur de ces données correspond bien à une évolution attendue pour ces données. Par exemple, si les données sont relatives à la position d'un trafic, le module de contrôle de cohérence 37 est propre à vérifier que l'évolution de cette position est cohérente avec une évolution attendue. Si les données ne sont pas numériques, par exemple s'il s'agit de chaînes de caractères, le module de contrôle de cohérence 37 est propre vérifier que la valeur de ces données appartient à une liste prédéfinie de valeurs. Le module de contrôle de cohérence 37 est également propre à identifier celles de ces données devant faire l'objet d'une validation complémentaire par un opérateur (par exemple le pilote de l'avion) qui devra contrôler lui-même les données, si ces données sont préalablement identifiées comme nécessitant un tel contrôle ou si ces données ont une valeur préalablement identifiée comme nécessitant un tel contrôle. Ces données sont alors transmises à l'opérateur, en vue de leur validation, si l'opérateur juge que ces données sont cohérentes avec les données attendues, par appui sur une commande de validation prévue à cet effet. Le module de contrôle de cohérence 37 comprend ainsi des moyens de paramétrage permettant à un opérateur de définir quelles données et/ou quelles valeurs de données nécessitent une telle validation, qui peut par exemple être effectué via le module de maintenance 40. Par exemple si la précision attendue sur des données numériques transmises par le segment ouvert (par exemple coordonnées d'un point du sol) est plus importante que la précision de contrôle de cohérence effectué par le module 37, l'opérateur devra contrôler par un autre canal de vérification que ces données sont bien cohérentes des coordonnées attendues, par exemple en les comparants aux données sources avant qu'elles ne soient chargées dans le segment ouvert. Le module de contrôle de cohérence 37 permet ainsi de vérifier si les données sont cohérentes de l'exploitation fonctionnelle qui va en être faite par le segment plate- forme 3, afin de limiter les risques associés à une erreur sur cette valeur. Une telle erreur peut par exemple résulter d'une malveillance ou d'un dysfonctionnement du segment ouvert 5. Le module de contrôle de cohérence 37 est propre à transmettre les données qui sont autorisées à être transmises au deuxième module tampon 39. Le deuxième module tampon 39 comprend une zone de stockage de données, propre à recevoir des données transmises par le module de contrôle de cohérence 37, à stocker ces données, et à les transmettre au premier module de couplage 13. Chaque module du système 1 est propre à sauvegarder des informations relatives aux événements constatés par ce module dans une période donnée.In order to determine which data is involved, the coherence control module 37 is able to extract from the message which contains the data the format of this data. From this information, the coherence control module 37 is specific to carry out the value consistency check using the elements available to it, for example tables of values (for example of tables of character strings), areas of possible variation (for example domains of variations of numerical values), and by performing calculations on values successively received from the same data to ensure that the dynamic behavior of the values is indeed consistent with a predetermined set of expected dynamic behaviors for said data, including using data transmitted by the segment platform to system 1 via channels 7 and 9 up to module 37 (eg location, aircraft attitudes or state of the platform segment). In particular, if the data are digital data, the coherence control module 37 is able to carry out a static control of the value of these data, that is to say to control that the value of these data corresponds to a expected value for these data. For example, if the data correspond to coordinates of a ground object, the coherence control module 37 is able to verify that the value of these data corresponds to coordinates that are on the ground. Furthermore, the coherence control module 37 is able to carry out a control of the dynamic behavior of the value of these data, that is to say to control that the evolution of the value of these data corresponds to an evolution. expected for these data. For example, if the data relates to the position of a traffic, the coherence control module 37 is able to verify that the evolution of this position is consistent with an expected evolution. If the data are not numeric, for example if they are strings, the coherence check module 37 is able to verify that the value of these data belongs to a predefined list of values. The coherence control module 37 is also able to identify those of these data to be the subject of an additional validation by an operator (for example the pilot of the aircraft) who will have to control the data himself, if these data are previously identified as requiring such control or if these data have a value previously identified as requiring such control. This data is then transmitted to the operator, for validation, if the operator considers that these data are consistent with the expected data, by pressing a validation command provided for this purpose. The coherence control module 37 thus comprises parameterization means enabling an operator to define which data and / or which data values require such validation, which can for example be carried out via the maintenance module 40. accuracy expected on digital data transmitted by the open segment (eg coordinates of a point of the ground) is more important than the accuracy of consistency check performed by the 37 module, the operator will have to check by another verification channel that these data are well coherent of the expected coordinates, for example by comparing them with the source data before they are loaded into the open segment. The consistency control module 37 thus makes it possible to verify whether the data are consistent with the functional exploitation that will be made by the platform segment 3, in order to limit the risks associated with an error on this value. Such an error may for example result from malice or malfunction of the open segment 5. The coherence control module 37 is able to transmit the data that is authorized to be transmitted to the second buffer module 39. The second buffer module 39 includes a data storage area, adapted to receive data transmitted by the coherence control module 37, to store these data, and to transmit them to the first coupling module 13. Each module of the system 1 is able to save data. information about the events noted by this module in a given period.
Comme précédemment décrit, les première et deuxième chaînes 7 et 9 forment un anneau monodirectionnel pour l'échange de données. Ainsi, toute donnée à destination du segment ouvert 5 transite obligatoirement et exclusivement par la première chaîne 7, en transitant successivement par le premier module de couplage 13, le premier module de filtrage 21, la diode 25 (éventuellement via le module de protection cryptographique 23), et le deuxième module de couplage 15, avant d'être transmise au segment ouvert 5. De même, toute donnée à destination du segment plate-forme 3 transite obligatoirement et exclusivement par la deuxième chaîne 9, en transitant successivement par le deuxième module de couplage 15, le deuxième module de filtrage 31, le premier module tampon 35 via le commutateur 33, le module de contrôle de cohérence 37 via le commutateur 33, la deuxième module tampon 39 et le premier module de couplage 15. Les données internes effectuent le mêmes parcours et subissent les mêmes traitements que les autres données jusqu'à atteindre le module auquel elles sont destinées. Ainsi, bien qu'un module du système 1 ne puisse pas communiquer directement avec un autre module du système 1 qui ne lui est pas directement connecté, chaque module du système 1 est propre à communiquer avec tout autre module du système 1, via les modules du système 1 interposés entre ces modules, mais uniquement dans le sens de circulation des données autorisé, les données internes échangées étant alors soumises aux traitements réalisés par chaque module jusqu'à atteindre son module de destination Les opérations de maintenance et de paramétrage sur chacun des modules du système 1 d'échange sont effectuées au moyen d'un module de maintenance 40 propre à se connecter au deuxième module de couplage 15. Cette connexion n'est possible que si l'opérateur est authentifié comme ayant un rôle d'opérateur habilité à se connecter en mode maintenance. Elle n'est également possible que lorsqu'aucune connexion n'existe entre le segment ouvert 5 et le système 1, ni entre le segment plate-forme 3 et le système 1. Enfin lorsque le mode maintenance est opérationnel, toute connexion du système 1 avec l'extérieur est interdite, que ce soit avec le segment plate-forme 3 ou le segment ouvert 5. Ce module de maintenance 40 comprend des moyens d'interface avec un opérateur, permettant à cet opérateur de définir les politiques de sécurité des modules 21 et 37, et d'accéder à des informations relatives au fonctionnement du système 1.As previously described, the first and second chains 7 and 9 form a monodirectional ring for the exchange of data. Thus, any data destined for the open segment 5 necessarily and exclusively passes through the first chain 7, passing successively through the first coupling module 13, the first filtering module 21, the diode 25 (possibly via the cryptographic protection module 23 ), and the second coupling module 15, before being transmitted to the open segment 5. Similarly, any data intended for the platform segment 3 necessarily and exclusively passes through the second channel 9, passing successively through the second module 15, the second filter module 31, the first buffer module 35 via the switch 33, the coherence control module 37 via the switch 33, the second buffer module 39 and the first coupling module 15. The internal data perform the same path and undergo the same processing as the other data until reaching the module for which they are intended. Thus, although a module of the system 1 can not communicate directly with another module of the system 1 which is not directly connected to it, each module of the system 1 is able to communicate with any other module of the system 1, via the modules of the system 1 interposed between these modules, but only in the direction of authorized data flow, the internal data exchanged then being subjected to the processing performed by each module until reaching its destination module Maintenance and parameterization operations on each of the Exchange system 1 modules are made by means of a maintenance module 40 able to connect to the second coupling module 15. This connection is only possible if the operator is authenticated as having an authorized operator role to log in maintenance mode. It is also possible only when no connection exists between the open segment 5 and the system 1, or between the platform segment 3 and the system 1. Finally, when the maintenance mode is operational, any connection of the system 1 with the outside is prohibited, whether with the platform segment 3 or the open segment 5. This maintenance module 40 includes interface means with an operator, allowing this operator to define the security policies of the modules 21 and 37, and access information relating to the operation of the system 1.
Ce module de maintenance 40 est propre à vérifier le bon fonctionnement de chacun des modules du système 1 et à réaliser des mises à jour des composants logiciels de ces modules. Ce module de maintenance 40 est également propre à paramétrer le premier module de filtrage 21 et le module de contrôle de cohérence 37 en fonction des politiques de sécurité prédéfinies Les événements liés à la sécurité ou à une anomalie de fonctionnement sont enregistrées horodatées dans un journal, par exemple les connexions des opérateurs au système 1, quels que soient leurs rôles, les connexions du segment ouvert 5, les anomalies de sécurité ou de fonctionnement. Le module de maintenance 40 est par ailleurs propre à permettre un audit de chacun des modules, en recevant de chaque module les informations relatives aux événements constatés par ce module dans une période donnée, et en permettant à l'opérateur autorisé de les consulter.This maintenance module 40 is able to verify the proper operation of each of the modules of the system 1 and to perform updates of the software components of these modules. This maintenance module 40 is also able to set the first filtering module 21 and the coherence control module 37 according to the predefined security policies The events related to security or a malfunction are recorded timestamped in a log, for example the connections of the operators to the system 1, whatever their roles, the connections of the open segment 5, the security or operating anomalies. The maintenance module 40 is further adapted to allow an audit of each of the modules, receiving from each module the information relating to the events observed by this module in a given period, and allowing the authorized operator to consult them.
On a représenté sur la Figure 3 les étapes mises en oeuvre par le système 1 pour l'échange de données. Afin de faciliter la lecture, les étapes d'échange de données décrites ci-après sont uniquement décrites dans le cas d'un échange de données entre le segment ouvert 5 et le segment plate-forme 3 mais il en va exactement de même des étapes de mise en oeuvre pour l'échange de données internes. Dans une étape 100 de démarrage du système 1, le commutateur 33 est commuté dans sa position de stockage, et les données éventuellement présentes dans les zones de stockage des premier et deuxième modules tampon 35 et 39 sont effacées. Puis, dans une étape 102 d'initialisation, une session est établie par un opérateur se connectant au système 1. Cette étape 102 d'initialisation comprend une phase 104 d'identification et d'authentification de l'opérateur, lors de laquelle le deuxième module de couplage 15 procède à une identification et une authentification de l'opérateur, et autorise l'initialisation de la connexion uniquement si l'opérateur y est effectivement autorisé par son rôle.FIG. 3 shows the steps implemented by the system 1 for the exchange of data. In order to facilitate the reading, the data exchange steps described hereinafter are only described in the case of a data exchange between the open segment 5 and the platform segment 3, but the steps are exactly the same. implementation for the exchange of internal data. In a step 100 of system start 1, the switch 33 is switched to its storage position, and the data possibly present in the storage areas of the first and second buffer modules 35 and 39 are erased. Then, in an initialization step 102, a session is established by an operator connecting to the system 1. This initialization step 102 comprises a phase 104 of identification and authentication of the operator, during which the second coupling module 15 carries out identification and authentication of the operator, and authorizes the initialization of the connection only if the operator is actually authorized by his role.
Puis, lors d'une phase 106 de connexion au segment ouvert 5, le deuxième module de couplage 15 se connecte au segment ouvert 5 suivant le protocole prédéfini. Lors de cette phase 106 de connexion, le deuxième module de couplage 15 se connecte au segment ouvert 5 suivant le protocole défini, il procède à une identification et à une authentification du segment ouvert 5 et vérifie notamment la version et l'intégrité du pilote installé sur le segment ouvert 5. En outre, le deuxième module de couplage 15 vérifie que les identités de l'opérateur connecté au système 1 et de l'opérateur connecté au segment ouvert 5 correspondent. Si le deuxième module de couplage 15 ne constate aucune anomalie, le deuxième module de couplage 15 met en oeuvre lors de la phase 106 un protocole d'échange avec le segment ouvert 5. Le segment ouvert 5 est alors propre à échanger des données avec le système 1. Par ailleurs, lors d'une phase 108 de connexion au segment plate-forme 3, le premier module de couplage 13 se connecte au segment plate-forme 3 suivant le protocole prédéfini, différent du protocole de connexion entre le second module de couplage 15 et le segment ouvert 5, et contrôle le bon fonctionnement de ce protocole. Le segment plate-forme 3 est alors propre à échanger des données avec le système 1, de telle sorte que le système permet alors l'échange de données entre le segment ouvert 5 et le segment plate-forme 3. En particulier, le segment ouvert 5 est propre à transmettre des données à destination du segment plate-forme 3 selon une étape 110 à travers la deuxième chaîne 9, et le segment plate-forme 3 est propre à transmettre des données à destination du segment ouvert 5 via la première chaîne 7 selon une étape 112. Si lors de l'une des phases 104, 106 ou 108 une anomalie de fonctionnement ou de sécurité est constatée par un des modules, l'anomalie est enregistrée et horodatée dans un journal. De plus, le module concerné transmet l'information d'anomalie aux autres modules du système 1, dans l'ordre imposé par le sens de circulation des données des chaînes 9 puis 7, ainsi qu'à l'opérateur, afin que les mesures prévues par la politique de sécurité pour l'anomalie constatée soient appliquées, par exemple qu'aucune connexion ne puisse être établie ni entre le segment ouvert 5 et le système 1 d'échange de données d'une part, ni entre le segment plate-forme 3 et le système 1 d'échange de données d'autre part, et que chaque connexion éventuellement déjà engagée soit alors interrompue, que les données des modules tampon 35 et 39 soient effacées de façon sécurisée, que le module de commutation soit positionné en position de stockage, avec ou sans décision et intervention de l'opérateur.Then, during a phase 106 of connection to the open segment 5, the second coupling module 15 connects to the open segment 5 according to the predefined protocol. During this connection phase 106, the second coupling module 15 connects to the open segment 5 according to the defined protocol, it carries out an identification and an authentication of the open segment 5 and checks in particular the version and integrity of the installed driver. in the open segment 5. In addition, the second coupling module 15 verifies that the identities of the operator connected to the system 1 and the operator connected to the open segment 5 match. If the second coupling module 15 does not detect any anomaly, the second coupling module 15 implements during the phase 106 an exchange protocol with the open segment 5. The open segment 5 is then able to exchange data with the system 1. Moreover, during a phase 108 connection to the platform segment 3, the first coupling module 13 connects to the platform segment 3 according to the predefined protocol, different from the connection protocol between the second module of coupling 15 and the open segment 5, and controls the proper functioning of this protocol. The platform segment 3 is then able to exchange data with the system 1, so that the system then allows the exchange of data between the open segment 5 and the platform segment 3. In particular, the open segment 5 is able to transmit data to the platform segment 3 in a step 110 through the second channel 9, and the platform segment 3 is able to transmit data to the open segment 5 via the first channel 7 according to a step 112. If during one of the phases 104, 106 or 108 a malfunction or security is found by one of the modules, the anomaly is recorded and time stamped in a log. In addition, the module concerned transmits the anomaly information to the other modules of the system 1, in the order imposed by the direction of data flow of the chains 9 and 7, as well as to the operator, so that the measurements provided by the security policy for the anomaly observed are applied, for example that no connection can be established between the open segment 5 and the data exchange system 1 on the one hand, or between the flat segment form 3 and the system 1 of data exchange on the other hand, and that each connection possibly already engaged is then interrupted, that the data of the buffer modules 35 and 39 are erased securely, that the switching module is positioned in storage position, with or without decision and operator intervention.
En particulier, si le deuxième module de couplage 15 constate que l'opérateur ou le segment ouvert n'est pas autorisé à initier une connexion, que l'identité de l'opérateur initiant la connexion diffère de l'identité de l'opérateur connecté au segment ouvert 5, ou qu'il existe une anomalie de version ou d'intégrité du pilote de connexion au segment ouvert 5, le deuxième module de couplage 15 interdit la connexion du segment ouvert 5 au système 1, enregistre cet événement, et en informe l'opérateur.In particular, if the second coupling module 15 finds that the operator or the open segment is not authorized to initiate a connection, that the identity of the operator initiating the connection differs from the identity of the connected operator in the open segment 5, or there is a version or integrity anomaly of the open segment connection driver 5, the second coupling module 15 prohibits the connection of the open segment 5 to the system 1, records this event, and informs the operator.
L'étape 110 de transmission de données issues du segment ouvert 5 à destination du segment plate-forme 3 comprend une phase 114 lors de laquelle le deuxième module de couplage 15 reçoit les données et les transmet au deuxième module de filtrage 33. Si ces données sont sous la forme de signaux analogiques, le deuxième module de couplage 15 convertit ces signaux analogiques, avant leur transmission au deuxième module de filtrage 33, en flux de données transmissibles à travers le système 1. Puis, lors d'une phase 116, le deuxième module de filtrage 31 reçoit les données transmises par le deuxième module de couplage 15, et analyse ces données pour déterminer si ces données sont autorisées à être transmises au segment plate-forme 3.The step 110 of data transmission from the open segment 5 to the platform segment 3 includes a phase 114 in which the second coupling module 15 receives the data and transmits them to the second filtering module 33. If these data are in the form of analog signals, the second coupling module 15 converts these analog signals, before their transmission to the second filter module 33, into data streams transmissible through the system 1. Then, during a phase 116, the second filtering module 31 receives the data transmitted by the second coupling module 15, and analyzes these data to determine whether these data are authorized to be transmitted to the platform segment 3.
En particulier, le deuxième module de filtrage 31 identifie et authentifie les données et leurs applications sources, vérifie l'intégrité des données, et vérifie le format de ces données. Lors de la phase 116, si le deuxième module de filtrage 31 constate qu'au moins une donnée n'est pas prévue d'être transmise au segment plate-forme 3, ou est corrompue, le deuxième module de filtrage 31 empêche la transmission des données vers le segment plate-forme 3. Dans le cas contraire, le deuxième module de filtrage 31 transmet les données au premier module tampon 35 via le commutateur 33. Puis, lors d'une phase 118, le premier module tampon 35 reçoit les données transmises par le deuxième module de filtrage 31 et stocke ces données sur sa zone de stockage. Par ailleurs, lors de cette phase 118, si la politique de sécurité le prévoit, le deuxième module de filtrage 31 vérifie l'absence de codes malicieux sur les données stockées sur le premier module tampon 35.In particular, the second filtering module 31 identifies and authenticates the data and their source applications, verifies the integrity of the data, and verifies the format of these data. During the phase 116, if the second filtering module 31 finds that at least one piece of data is not expected to be transmitted to the platform segment 3, or is corrupted, the second filtering module 31 prevents transmission of the data. data to the platform segment 3. In the opposite case, the second filtering module 31 transmits the data to the first buffer module 35 via the switch 33. Then, during a phase 118, the first buffer module 35 receives the data transmitted by the second filtering module 31 and stores these data on its storage area. Moreover, during this phase 118, if the security policy so provides, the second filtering module 31 checks the absence of malicious codes on the data stored on the first buffer module 35.
Puis, si aucun code malicieux n'est détecté par le deuxième module de filtrage 31 sur les données stockées sur le premier module tampon 35, le deuxième module de filtrage 31 commande lors d'une phase 120 la commutation du commutateur 33 dans sa position de transmission. Si lors de l'une des phases 116 ou 118, une anomalie de fonctionnement ou de sécurité est constatée par le deuxième module de filtrage 31, l'anomalie est enregistrée et horodatée dans un journal. Par ailleurs, le deuxième module de filtrage 31 transmet l'information d'anomalie aux autres modules du système 1 dans l'ordre imposé par le sens de circulation des données des chaînes 9 puis 7, ainsi qu'à l'opérateur, afin que les mesures prévues par la politique de sécurité pour l'anomalie constatée soient appliquées.Then, if no malicious code is detected by the second filtering module 31 on the data stored on the first buffer module 35, the second filtering module 31 controls in a phase 120 the switching of the switch 33 in its position of transmission. If during one of the phases 116 or 118, a malfunction or security is found by the second filtering module 31, the anomaly is recorded and timestamped in a log. Furthermore, the second filtering module 31 transmits the anomaly information to the other modules of the system 1 in the order imposed by the direction of data flow of the chains 9 and 7, as well as to the operator, so that the measures provided for by the security policy for the anomaly found are applied.
Il s'agit par exemple d'une interruption de la transmission de données depuis le segment ouvert 5 par le second module de filtrage 31 lui-même, et/ou d'un effacement sécurisé des modules tampon 35 et 39, et/ou d'un positionnement du module de commutation en position de stockage, et/ou d'une interruption par le second module de couplage 15 de la connexion du système 1 au segment ouvert 5, et/ou d'une interruption par le premier module de couplage 13 de la connexion du système 1 au segment plate-forme 3, avec ou sans décision et intervention de l'opérateur.. Lors d'une phase 122 de contrôle des données, le module de contrôle de cohérence 37 reçoit les données stockées dans le premier module tampon 35, via le commutateur 33 qui est dans la position de transmission. Le module de contrôle de cohérence 37 vérifie alors si les données sont cohérentes avec des données attendues par le segment plate-forme 3. En particulier, le module de contrôle de cohérence 37 analyse les données pour déterminer de quelles données il s'agit, puis contrôle que la valeur de ces données appartient à un ensemble prédéterminé de valeurs attendues pour ces données. Cet ensemble prédéterminé de valeurs comprend par exemple des valeurs numériques continues et/ou discrètes, et/ou une liste de chaînes de caractères. Notamment, si les données sont des données numériques, le module de contrôle de cohérence 37 réalise un contrôle statique de la valeur de ces données, en contrôlant que la valeur de ces données correspond bien à une valeur attendue pour ces données. Par ailleurs, le module de contrôle de cohérence 37 réalise un contrôle du comportement dynamique de la valeur de ces données, c'est-à-dire contrôle que l'évolution de la valeur de ces données correspond bien à une évolution attendue pour ces données. Si les données ne sont pas des données numériques, par exemple s'il s'agit de chaînes de caractères, le module de contrôle de cohérence 37 vérifie que la valeur de ces données appartient à une liste prédéfinie de valeurs.This is for example an interruption of the data transmission from the open segment 5 by the second filter module 31 itself, and / or a secure erasure of the buffer modules 35 and 39, and / or a positioning of the switching module in the storage position, and / or an interruption by the second coupling module 15 of the connection of the system 1 to the open segment 5, and / or an interruption by the first coupling module 13 of the connection of the system 1 to the platform segment 3, with or without decision and intervention of the operator. During a phase 122 of data control, the coherence control module 37 receives the data stored in the first buffer module 35, via the switch 33 which is in the transmission position. The coherence control module 37 then checks whether the data are consistent with data expected by the platform segment 3. In particular, the coherence control module 37 analyzes the data to determine which data is involved, then checks that the value of these data belongs to a predetermined set of expected values for these data. This predetermined set of values comprises, for example, continuous and / or discrete digital values, and / or a list of strings. In particular, if the data is digital data, the coherence control module 37 performs a static control of the value of these data, by checking that the value of these data corresponds to an expected value for these data. Moreover, the coherence control module 37 performs a control of the dynamic behavior of the value of these data, that is to say that the evolution of the value of these data corresponds to an expected evolution for these data. . If the data are not numeric data, for example if they are strings, the consistency check module 37 verifies that the value of these data belongs to a predefined list of values.
Si le module de contrôle de cohérence 37 constate que les données sont préalablement identifiées comme nécessitant un contrôle d'un opérateur, ou que la valeur des données nécessite un contrôle d'un opérateur, le module de contrôle de cohérence 37 transmet ces données à l'opérateur pour contrôle et validation. Si le module de contrôle de cohérence 37 ou l'opérateur constate que la valeur des données appartient bien à l'ensemble prédéterminé de valeurs attendues pour ces données, les données sont jugées cohérentes avec l'exploitation fonctionnelle prévue pour ces données. Si les données sont cohérentes, éventuellement après validation complémentaire par l'opérateur, le module de contrôle de cohérence 37 transmet ces données au deuxième module tampon 39. À 21 Lorsque le module tampon 35 a transmis toutes les données au module de contrôle de cohérence 37, le module de contrôle de cohérence 37 commande, via les modules 39 13, 21, 25, 15, 31, la commutation du commutateur 33 qui passe dans sa position de stockage, et l'effacement sécurisé des données stockées par le premier module tampon 35. Dans le cas contraire, ou en cas d'anomalie de fonctionnement, l'anomalie est enregistrée et horodatée dans un journal. Par ailleurs, le module 37 transmet l'information d'anomalie aux autres modules du système 1 dans l'ordre imposé par les sens de circulation des données des chaînes 9 puis 7, ainsi qu'à l'opérateur, afin que les mesures prévues par la politique de sécurité pour l'anomalie constatée soient appliquées. Il s'agit par exemple d'une invalidation des données par le module 37 lui-même, et/ou d'une interruption de la transmission de données depuis le segment ouvert 5 par le second module de filtrage 31, et/ou d'un effacement sécurisé des module tampon 35 et 39, et/ou d'un positionnement du module de commutation en position de stockage, et/ou d'une interruption par le second module de couplage 15 de la connexion du système 1 au segment ouvert 5, et/ou d'une interruption par le premier module de couplage 13 de la connexion du système 1 au segment plate-forme 3, avec ou sans décision et intervention de l'opérateur. Lors d'une phase 124, le deuxième module tampon 39 reçoit les données transmises par le module de contrôle de cohérence 37, et stocke ces données sur sa zone de stockage. Puis, le deuxième module tampon 39 transmet lors d'une phase 126 les données au segment plate-forme 3 via le module de couplage 13. L'étape 112 de transmission de données issues du segment plate-forme 3 à destination du segment ouvert 5 comprend une phase 130 lors de laquelle le premier module de couplage 13 reçoit les données et les transmet au premier module de filtrage 31. Si ces données sont sous la forme de signaux analogiques, le premier module de couplage 13 convertit ces signaux analogiques, avant leur transmission au premier module de filtrage 31, en flux de données transmissibles à travers le système 1.If the coherence check module 37 finds that the data is previously identified as requiring control by an operator, or that the value of the data requires operator control, the coherence check module 37 transmits this data to the operator. operator for control and validation. If the coherence control module 37 or the operator finds that the value of the data belongs to the predetermined set of expected values for these data, the data are considered consistent with the intended functional exploitation for these data. If the data is coherent, possibly after additional validation by the operator, the coherence control module 37 transmits this data to the second buffer module 39. To 21 When the buffer module 35 has transmitted all the data to the coherence control module 37 , the coherence control module 37 controls, via the modules 39 13, 21, 25, 15, 31, the switching of the switch 33 which passes into its storage position, and the secure erasure of the data stored by the first buffer module 35. In the opposite case, or in the event of a malfunction, the anomaly is recorded and time stamped in a log. Furthermore, the module 37 transmits the anomaly information to the other modules of the system 1 in the order imposed by the data flow directions of the chains 9 and 7, as well as to the operator, so that the measures provided for by the security policy for the anomaly found are applied. This is for example an invalidation of the data by the module 37 itself, and / or an interruption of the data transmission from the open segment 5 by the second filtering module 31, and / or secure erasure of the buffer module 35 and 39, and / or a positioning of the switching module in the storage position, and / or an interruption by the second coupling module 15 of the connection of the system 1 to the open segment 5 and / or an interruption by the first coupling module 13 of the connection of the system 1 to the platform segment 3, with or without decision and intervention of the operator. During a phase 124, the second buffer module 39 receives the data transmitted by the coherence control module 37, and stores these data on its storage area. Then, the second buffer module 39 transmits during a phase 126 the data to the platform segment 3 via the coupling module 13. The step 112 of data transmission from the platform segment 3 to the open segment 5 comprises a phase 130 in which the first coupling module 13 receives the data and transmits them to the first filter module 31. If these data are in the form of analog signals, the first coupling module 13 converts these analog signals, before their transmission to the first filter module 31 in data streams transmissible through the system 1.
Lors d'une phase 132 de filtrage, le premier module de filtrage 21 reçoit les données issues du premier module de couplage 13, et analyse ces données pour déterminer si ces données sont autorisées à être transmises au segment ouvert 5. Le premier module de filtrage 21 détermine également si les données autorisées à être transmises au segment ouvert 5, doivent être protégées avant cette transmission.During a filtering phase 132, the first filtering module 21 receives the data from the first coupling module 13, and analyzes this data to determine whether this data is authorized to be transmitted to the open segment 5. The first filtering module 21 also determines whether the data authorized to be transmitted to the open segment 5, must be protected before this transmission.
Si le premier module de filtrage 21 juge que les données sont autorisées à être transmises au segment ouvert 5 sans qu'il soit nécessaire de leur appliquer une protection cryptographique, le premier module de filtrage 21 transmet ces données via la diode 25, au deuxième module de couplage 15. Si le premier module de filtrage 21 juge que les données sont autorisées à être transmises au segment ouvert 5 mais qu'il s'agit de données sensibles, i.e. nécessitant une protection cryptographique, le premier module de filtrage 21 transmet ces données au module de protection cryptographique 23. Si au contraire le premier module de filtrage 21 juge que les données ne sont pas autorisées à être transmises au segment ouvert 5, il bloque leur transmission, enregistre cet événement, et en informe l'opérateur.If the first filtering module 21 judges that the data are authorized to be transmitted to the open segment 5 without the need to apply cryptographic protection to them, the first filtering module 21 transmits these data via the diode 25, to the second module 15. If the first filter module 21 judges that the data is authorized to be transmitted to the open segment 5 but that it is sensitive data, ie requiring cryptographic protection, the first filtering module 21 transmits this data. to the cryptographic protection module 23. If on the contrary the first filtering module 21 judges that the data are not authorized to be transmitted to the open segment 5, it blocks their transmission, records this event, and informs the operator.
Lors d'une phase 134 de protection, le module de protection cryptographique 23 reçoit les données sensibles transmises par le premier module de filtrage 21, et applique à ces données une protection cryptographique, par exemple un chiffrement. Puis le module de protection cryptographique 23 transmet les données protégées, via la diode 25, au deuxième module de couplage 15.During a protection phase 134, the cryptographic protection module 23 receives the sensitive data transmitted by the first filter module 21, and applies to these data a cryptographic protection, for example an encryption. Then the cryptographic protection module 23 transmits the protected data, via the diode 25, to the second coupling module 15.
Lors d'une phase 136, le deuxième module de couplage 15 reçoit les données issues du segment plate-forme 3 à destination du segment ouvert 5, transmises par la diode 25, et transmet ces données au segment ouvert 5. Le système d'échange de données 1 selon l'invention permet ainsi un échange bidirectionnel d'informations entre le segment plate-forme 3 et le segment ouvert 5, tout en préservant le segment plate-forme 3 en terme d'intégrité et de disponibilité des fonctions qu'il assure, et en terme de niveau de confidentialité des informations qu'il héberge. Notamment, le contrôle systématique de la cohérence des données par le module de contrôle de cohérence 37 permet d'empêcher la transmission au segment plate-forme 3 de données dont la valeur est erronée, donc de réduire significativement le risque lié à l'exploitation potentielle de ces données par le segment plate-forme 3. Par ailleurs, le filtrage par le premier module de filtrage 21 des données permet de préserver la confidentialité des données du segment plate-forme 3, en interdisant la transmission au segment ouvert 5 de données confidentielles et en protégeant les données sensibles avant leur transmission au segment ouvert 5. En outre, la topologie en anneau du système 1 selon l'invention permet de s'assurer que l'ensemble des données passe bien par les mécanismes de sécurités prévus, dans le bon ordre, dans chaque sens de circulation. Cette topologie permet également d'empêcher les données de circuler sur des chemins parallèles entre le segment plate-forme 3 et le segment ouvert 5, non sécurisés, et de s'abstraire de tout module centralisé potentiellement source de vulnérabilités. En effet, chaque module peut communiquer avec tout autre module du système 1 sans qu'il soit nécessaire d'avoir recours à un module centralisé. Le positionnement du commutateur 33, entre le module 15 assurant le couplage du système 1 avec le segment ouvert 5 et le module de contrôle de cohérence 37 des données, permet de protéger le module de contrôle de cohérence 37. En effet, le commutateur 33 isole ainsi le module de contrôle de cohérence 37 du segment ouvert 5, et les données issues du segment ouvert 5 ne sont transmises au module de contrôle de cohérence 37 qu'après vérification de leur intégrité. Il est à noter que la diode 25 d'une part et le commutateur 33 d'autre part assurent ensemble une isolation permanente du segment plate-forme 3 vis-à-vis des données émises par le segment ouvert 5. Il devra toutefois être compris que les exemples de réalisation présentés ci-dessus ne sont pas limitatifs. On a ainsi illustré sur la Figure 3 un système d'échange de données 200 selon un deuxième mode de réalisation. Le système 200 est disposé en coupure entre un segment plate-forme 203 et deux segments ouverts distincts 205 et 205', et assure un échange sécurisé de données entre le segment plate-forme 203 et chacun des segments ouverts 205, 205'. Le système 200 comprend pour cela deux sous-systèmes 201 et 201' identiques, similaires au système 1 décrit en référence à la Figure 1, et disposés en parallèle. Chacun des sous-systèmes 201, 201' assure un échange sécurisé de données entre le segment plate-forme 203 et un segment ouvert 205 ou 205'. Les sous-systèmes 201 et 201' comprennent un premier module de couplage 213 commun à ces deux sous-systèmes 201 et 201'.During a phase 136, the second coupling module 15 receives the data from the platform segment 3 to the open segment 5, transmitted by the diode 25, and transmits this data to the open segment 5. The exchange system 1 of the invention thus allows a bidirectional exchange of information between the platform segment 3 and the open segment 5, while preserving the platform segment 3 in terms of integrity and availability of the functions it ensures, and in terms of the level of confidentiality of the information it hosts. In particular, the systematic control of the coherence of the data by the coherence control module 37 makes it possible to prevent the transmission to the platform segment 3 of data whose value is erroneous, and thus to significantly reduce the risk associated with the potential exploitation. of this data by the platform segment 3. Furthermore, the filtering by the first filter module 21 of the data makes it possible to preserve the confidentiality of the data of the platform segment 3, by preventing the transmission to the open segment 5 of confidential data. and protecting the sensitive data prior to their transmission to the open segment 5. In addition, the ring topology of the system 1 according to the invention makes it possible to ensure that all the data passes through the security mechanisms provided for, in the good order, in each direction of circulation. This topology also makes it possible to prevent the data from circulating on parallel paths between the platform segment 3 and the open segment 5, which are not secured, and to get away from any centralized module potentially a source of vulnerabilities. Indeed, each module can communicate with any other module of the system 1 without the need to use a centralized module. The positioning of the switch 33, between the module 15 coupling the system 1 with the open segment 5 and the data coherence control module 37, makes it possible to protect the coherence control module 37. Indeed, the switch 33 isolates and the coherence control module 37 of the open segment 5, and the data from the open segment 5 are transmitted to the coherence check module 37 after verification of their integrity. It should be noted that the diode 25 on the one hand and the switch 33 on the other hand together provide permanent isolation of the platform segment 3 vis-à-vis the data transmitted by the open segment 5. It must however be understood that the embodiments described above are not limiting. Thus, FIG. 3 illustrates a data exchange system 200 according to a second embodiment. The system 200 is cut-off between a platform segment 203 and two distinct open segments 205 and 205 ', and provides secure data exchange between the platform segment 203 and each of the open segments 205, 205'. The system 200 comprises two identical subsystems 201 and 201 ', similar to the system 1 described with reference to FIG. 1, and arranged in parallel. Each of the subsystems 201, 201 'provides secure data exchange between the platform segment 203 and an open segment 205 or 205'. The subsystems 201 and 201 'comprise a first coupling module 213 common to these two subsystems 201 and 201'.
Bien entendu, le système selon l'invention peut comprendre un nombre plus important de sous-systèmes, en fonction du nombre de segments ouverts distincts que l'on souhaite connecter au système. On a par ailleurs illustré sur la Figure 4 un système d'échange de données 300 selon un troisième mode de réalisation.Of course, the system according to the invention may comprise a larger number of subsystems, depending on the number of distinct open segments that one wishes to connect to the system. FIG. 4 also illustrates a data exchange system 300 according to a third embodiment.
Le système 300 est disposé en coupure entre un segment plate-forme 303, un segment ouvert 305 externe et un segment ouvert 305' interne. Le segment ouvert interne 305' est par exemple un segment utilisant des constituants matériels et logiciels de gamme industrielle voire grand public, donc non soumis aux même contraintes de sécurité que le segment plate-forme 303, et destiné au développement industriel du segment plate-forme 303 par exemple pour permettre le développement de fonctionnalités déjà développées et intégrées sur des constituants matériels et logiciels de gamme industrielle voire grand public, par l'industriel responsable du développement et de l'intégration du segment plate-forme, et d'améliorer ainsi l'efficience du développement, tout en maîtrisant le processus de développement et l'industrialisation.The system 300 is cut-off between a platform segment 303, an outer open segment 305 and an inner open segment 305 '. The internal open segment 305 'is for example a segment using hardware and software constituents of industrial or even general public range, and therefore not subject to the same security constraints as the platform segment 303, and intended for the industrial development of the platform segment. 303 for example to allow the development of features already developed and integrated on hardware components and software of industrial range or even general public, by the industrialist responsible for the development and integration of the platform segment, and thus to improve the development efficiency, while controlling the process of development and industrialization.
Le système 300 comprend un premier sous-système 301 assurant un échange sécurisé de données entre le segment plate-forme 303 et le segment ouvert externe 305. Le premier sous-système 301 est par exemple similaire au système 1 décrit en référence à la Figure 1. Le système 300 comprend un deuxième sous-système 301' assurant un échange sécurisé de données entre le segment plate-forme 303 et le segment ouvert interne 305'. Le deuxième sous-système 301' diffère du système 1 décrit en référence à la Figure 1 en ce que sa première branche 307', assurant la transmission des données dans le sens du segment plate-forme 303 au segment ouvert interne 305', ne comprend pas de module de protection cryptographique.The system 300 comprises a first subsystem 301 ensuring a secure exchange of data between the platform segment 303 and the external open segment 305. The first subsystem 301 is for example similar to the system 1 described with reference to FIG. The system 300 includes a second subsystem 301 'providing secure data exchange between the platform segment 303 and the inner open segment 305'. The second subsystem 301 'differs from the system 1 described with reference to FIG. 1 in that its first branch 307', ensuring the transmission of data in the direction of the platform segment 303 to the internal open segment 305 ', does not include no cryptographic protection module.
Ainsi, toutes les données transmises du segment plate-forme 303 au segment ouvert interne 305' sont transmises en clair. Par ailleurs, les sous-systèmes 301 et 301' comprennent un premier module de couplage 313 commun à ces deux sous-systèmes 301 et 301'.Thus, all the data transmitted from the platform segment 303 to the internal open segment 305 'are transmitted in clear. Furthermore, the subsystems 301 and 301 'comprise a first coupling module 313 common to these two subsystems 301 and 301'.
Claims (15)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1400371A FR3017508B1 (en) | 2014-02-11 | 2014-02-11 | SYSTEM AND METHOD FOR DATA EXCHANGE |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1400371A FR3017508B1 (en) | 2014-02-11 | 2014-02-11 | SYSTEM AND METHOD FOR DATA EXCHANGE |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR3017508A1 true FR3017508A1 (en) | 2015-08-14 |
| FR3017508B1 FR3017508B1 (en) | 2016-03-04 |
Family
ID=51063488
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR1400371A Active FR3017508B1 (en) | 2014-02-11 | 2014-02-11 | SYSTEM AND METHOD FOR DATA EXCHANGE |
Country Status (1)
| Country | Link |
|---|---|
| FR (1) | FR3017508B1 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107370761B (en) * | 2017-08-31 | 2020-12-01 | 中国航空工业集团公司沈阳飞机设计研究所 | LCA system security and secrecy management method |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100299742A1 (en) * | 2007-10-23 | 2010-11-25 | Benjamin Declety | Bidirectional gateway with enhanced security level |
-
2014
- 2014-02-11 FR FR1400371A patent/FR3017508B1/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100299742A1 (en) * | 2007-10-23 | 2010-11-25 | Benjamin Declety | Bidirectional gateway with enhanced security level |
Non-Patent Citations (1)
| Title |
|---|
| KEVIN MULLER ET AL: "MILS-related information flow control in the avionic domain: A view on security-enhancing software architectures", DEPENDABLE SYSTEMS AND NETWORKS WORKSHOPS (DSN-W), 2012 IEEE/IFIP 42ND INTERNATIONAL CONFERENCE ON, IEEE, 25 June 2012 (2012-06-25), pages 1 - 6, XP032221975, ISBN: 978-1-4673-2264-5, DOI: 10.1109/DSNW.2012.6264665 * |
Also Published As
| Publication number | Publication date |
|---|---|
| FR3017508B1 (en) | 2016-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9467475B2 (en) | Secure mobile framework | |
| US9306953B2 (en) | System and method for secure unidirectional transfer of commands to control equipment | |
| EP2215801B1 (en) | Method for securing a bi-directional communication channel and device for implementing said method | |
| EP3008872B1 (en) | Method for authenticating a terminal by a gateway of an internal network protected by an entity providing secure access | |
| EP2156360B1 (en) | Access control onboard system for communication from open domain to avionics domain | |
| US20140281539A1 (en) | Secure Mobile Framework With Operating System Integrity Checking | |
| US20150012748A1 (en) | Method And System For Protecting Data | |
| FR2900298A1 (en) | SECURE SYSTEM AND METHOD FOR DATA PROCESSING BETWEEN A FIRST DEVICE AND AT LEAST ONE SECOND DEVICE FOR MONITORING MEANS | |
| FR3017508A1 (en) | SYSTEM AND METHOD FOR DATA EXCHANGE | |
| FR3037686A1 (en) | METHOD FOR DEPLOYING AN APPLICATION IN A SECURE ELEMENT | |
| EP3433991B1 (en) | Method for managing and maintaining an aircraft comprising an area with a high degree of security | |
| FR2930830A1 (en) | CONFIDENCE RESOURCE INTEGRATED WITH A BIOMETRIC DATA MONITORING DEVICE PROVIDING SECURITY OF CONTROL AND THAT OF DATA | |
| CA2747375C (en) | Microkernel gateway server | |
| EP3477517B1 (en) | Method for controlling access to a secure area of a device, associated computer program, computer medium and device | |
| CN105871931A (en) | Safety processing and accessing method of cloud service terminal | |
| EP2377290B1 (en) | Method and device for securely transferring digital data | |
| KR20160137032A (en) | Apparatus and method for authenticating remote of between networking devices | |
| FR3090254A1 (en) | Secure access to encrypted data from a user terminal | |
| EP1510904B1 (en) | Method and system for evaluating the level of security of an electronic equipment and for providing conditional access to resources | |
| FR3131497A1 (en) | Device for managing a data transfer request | |
| FR3030832A1 (en) | SECURITY COMPUTING COMPONENT WITH CONTROLLED STORAGE SPACE | |
| Chaudhary et al. | Vulnerabilities in Cloud Computing | |
| FR3071946B1 (en) | ELECTRONIC DEVICE AND METHOD OF MONITORING DATA STORED IN AN AVIONIC APPARATUS, COMPUTER PROGRAM | |
| EP1966974B1 (en) | Secure system for inputting and processing authentication data | |
| Schmitt | A Framework for Cyber Vulnerability Assessments of InfiniBand Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 2 |
|
| PLFP | Fee payment |
Year of fee payment: 3 |
|
| PLFP | Fee payment |
Year of fee payment: 4 |
|
| PLFP | Fee payment |
Year of fee payment: 5 |
|
| PLFP | Fee payment |
Year of fee payment: 7 |
|
| PLFP | Fee payment |
Year of fee payment: 8 |
|
| PLFP | Fee payment |
Year of fee payment: 9 |
|
| PLFP | Fee payment |
Year of fee payment: 10 |
|
| PLFP | Fee payment |
Year of fee payment: 11 |