互連不同域的高保障安全網(wǎng)關(guān)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明總體涉及互連不同域的高保障安全網(wǎng)關(guān),并且具體涉及在嵌入式基礎(chǔ)設(shè)施中的高保障安全網(wǎng)關(guān)。
【背景技術(shù)】
[0002]在大多數(shù)工業(yè)領(lǐng)域中,常常使具有不同應(yīng)用的不同系統(tǒng)彼此通信以便實(shí)現(xiàn)分配。每個應(yīng)用可以被認(rèn)為是一組功能,并且每個功能是有助于執(zhí)行該應(yīng)用要完成的任務(wù)的一部分的一款軟件。例如,車輛或飛行器中的許多不同類型的設(shè)備需要通過通信系統(tǒng)彼此交換數(shù)據(jù),以便實(shí)現(xiàn)對車輛或飛行器的操縱。每個類型的設(shè)備可以具有一組特定的功能或應(yīng)用,所述一組特定的功能或應(yīng)用具有不同級別的關(guān)鍵性,這取決于它們的重要性。在應(yīng)用的關(guān)鍵性的作用下將特定的安全級別關(guān)聯(lián)于每個應(yīng)用。因此,重要的且實(shí)際上有用的是建立如下機(jī)制:在不影響應(yīng)用的安全的情況下允許在具有不同安全級別的域中的應(yīng)用之間進(jìn)行信息的有效交換。
[0003]一種解決方案將包括:通過在不同的物理系統(tǒng)上容納各個應(yīng)用來物理地分離不同的應(yīng)用并且經(jīng)由網(wǎng)絡(luò)通道連接所述應(yīng)用。經(jīng)由該網(wǎng)絡(luò)通道的數(shù)據(jù)交換需要由用于保護(hù)信息交換的控制裝置來控制。
[0004]嵌入式環(huán)境的計(jì)算資源過去根本不足以容納一個功能。然而現(xiàn)在,由于計(jì)算資源的當(dāng)前日益增長的效率,趨勢是完全相反的并且包括將若干應(yīng)用或功能放置在同一物理系統(tǒng)上,以便使用由該系統(tǒng)提供的全部計(jì)算能力和存儲器存儲能力。這使得能夠避免浪費(fèi)未使用的資源,進(jìn)而因此降低生產(chǎn)成本以及對于飛行器、衛(wèi)星或車輛非常重要的系統(tǒng)的總重量。然而這種架構(gòu)具有助于誤差的傳播的缺點(diǎn)。實(shí)際上,系統(tǒng)的一個部分的任何設(shè)計(jì)或?qū)嵤┱`差可能導(dǎo)致影響系統(tǒng)的其它部分的故障。從安全角度來解決該困難,例如在飛行器環(huán)境中通過現(xiàn)有的集成模塊化航空電子(IMA)架構(gòu)來消除從系統(tǒng)的一個部分傳播到另一部分的設(shè)計(jì)或?qū)嵤┱`差。此外,在最近幾年,已經(jīng)開發(fā)出虛擬化技術(shù),以便考慮與惡意企圖有關(guān)的安全方面。因此,如今的趨勢是通過為不同應(yīng)用之間的嚴(yán)格運(yùn)行時間環(huán)境隔離提供良好的保障級別以在同一物理系統(tǒng)上容納多個應(yīng)用。一個這樣的安全架構(gòu)是基于針對執(zhí)行環(huán)境和嚴(yán)格的通信路徑的嚴(yán)格的隔離特性所構(gòu)建的多個獨(dú)立的安全級別(MILS)。實(shí)際上,在這些應(yīng)用之間沒有任何干擾的情況下MILS架構(gòu)允許系統(tǒng)容納具有不同安全級別或相同安全級別的多個應(yīng)用或功能。
[0005]然而,仍然存在如下問題:如何保護(hù)以不同的安全級別表征的若干應(yīng)用的安全同時授權(quán)所述應(yīng)用之間的雙向信息交換。例如,如果由于一個原因或另外的原因而導(dǎo)致系統(tǒng)的一部分變成惡意的,則需要防止系統(tǒng)的該部分試圖故意損壞系統(tǒng)的其它部分。
[0006]存在有一些安全技術(shù),其部分解決了以不同的安全級別進(jìn)行通信的問題。
[0007]一種這樣的技術(shù)是解決保密方面的Bell-La Padula模型。該模型基于“不向下寫、不向上讀”策略。換言之,不允許具有高安全級別的第一域?qū)⑷魏螖?shù)據(jù)寫入或傳送至具有低安全級別的第二域,但是允許第一域從第二域讀取數(shù)據(jù)。另一方面,不允許具有低安全級別的第二域從具有高安全級別的第一域讀取數(shù)據(jù),但是授權(quán)第二域向第一域?qū)懭霐?shù)據(jù)。
[0008]另一種已知方法是Biba完整性模型,該模型定義了旨在確保數(shù)據(jù)完整性的一組訪問規(guī)則。該模型基于“不向下讀、不向上寫”策略。換言之,不允許具有高安全級別的第一域讀取或使用來自具有低安全級別的第二域的任何數(shù)據(jù)。另一方面,不允許第二域向具有高安全級別的第一域?qū)懭牖騻魉腿魏螖?shù)據(jù)。
[0009]很顯然,上述兩個模型無法同時被實(shí)現(xiàn)。因此,為了在同一時間授權(quán)關(guān)于這兩個模型在兩個域之間的雙向通信,應(yīng)當(dāng)實(shí)施復(fù)雜的應(yīng)用層代理。然而,復(fù)雜的代理很難以高保障級別進(jìn)行分析。
[0010]實(shí)際上,認(rèn)證復(fù)雜的代理的困難由所述代理的軟件架構(gòu)進(jìn)行推斷,因?yàn)樗龃碚狭巳舾晒δ懿⑶彝ㄟ^大量的軟件代碼(即幾十萬行的代碼)來實(shí)現(xiàn)。通用準(zhǔn)則標(biāo)準(zhǔn)提供了針對計(jì)算機(jī)系統(tǒng)的安全認(rèn)證的框架和指導(dǎo)。該標(biāo)準(zhǔn)定義了七個評估保障級別(EAL)。EAL 7提供了最高的保障級別,但是還需要對接受評估的系統(tǒng)進(jìn)行形式化建模。呈現(xiàn)出比EAL 4的級別較高的級別的安全評估在國際上不被認(rèn)可。因此,要求高EAL級別的系統(tǒng)需要來自將使用該系統(tǒng)的不同國家的多個認(rèn)證。
[0011]因此,本發(fā)明的目的是提出一種網(wǎng)關(guān)和用于實(shí)現(xiàn)該網(wǎng)關(guān)的有效方法,所述網(wǎng)關(guān)一一其具有授權(quán)位于不同域(其可能具有不同的安全級別)的應(yīng)用之間的雙向通信的構(gòu)架一一呈現(xiàn)出高保障級別的保護(hù)、有效地使用硬件資源、適于在嵌入式環(huán)境中使用、以及允許實(shí)現(xiàn)較容易的安全認(rèn)證,而不具有上述缺點(diǎn)。
【發(fā)明內(nèi)容】
[0012]本發(fā)明由使用虛擬化平臺并且適于互連不同域的網(wǎng)關(guān)來限定,所述網(wǎng)關(guān)包括一組功能塊,所述一組功能塊被配置成授權(quán)沿第一域與第二域之間的兩個不同路徑的安全雙向數(shù)據(jù)流動,所述一組功能塊被分解成多個基本可評估組件(在下文中被稱為基本組件),所述多個基本可評估組件中的每個基本可評估組件具有指定功能并且適于與其它預(yù)定義的基本組件進(jìn)行通信。
[0013]該網(wǎng)關(guān)使得能夠?qū)崿F(xiàn)沿位于兩個不同域中的并且可能具有不同安全級別的應(yīng)用之間的兩個不同路由的雙向的且高度安全的通信。具體地,所述基本組件被配置成足夠小以便可以易于分析,進(jìn)而因此保護(hù)具有高保障級別的應(yīng)用的安全?;镜陌踩鰪?qiáng)特性是:這些基本組件可以經(jīng)由明確定義的網(wǎng)關(guān)內(nèi)部通信路徑僅在彼此之間進(jìn)行交互,同時這些組件彼此之間的所有其它非預(yù)期的干擾被禁止。
[0014]本發(fā)明還涉及一種包括根據(jù)上述特征的所述網(wǎng)關(guān)的嵌入式基礎(chǔ)設(shè)施(例如計(jì)算機(jī))。
[0015]此外,本發(fā)明涉及一種包括根據(jù)上述特征的所述網(wǎng)關(guān)的飛行器通信系統(tǒng)。
[0016]此外,本發(fā)明涉及一種用于構(gòu)造使用(例如MILS類型的)虛擬化平臺的并且適于互連具有不同安全級別的不同域的網(wǎng)關(guān)的方法,該方法包括如下步驟:
[0017]-定義并分析一組功能塊,所述一組功能塊被配置成授權(quán)沿兩個不同域之間的兩個不同路徑的安全雙向數(shù)據(jù)流動;
[0018]-以迭代方式將所述一組功能塊分解成多個基本可評估組件(在下文中被稱為基本組件),所述多個基本組件中的每個基本組件具有指定功能并且適于與其它預(yù)定義的基本組件進(jìn)行通信。
【附圖說明】
[0019]通過參照附圖閱讀本發(fā)明所給出的優(yōu)選實(shí)施方式,本發(fā)明的其它特征和優(yōu)點(diǎn)將變得明顯,在附圖中:
[0020]圖1示意性地示出了根據(jù)本發(fā)明的適于使可能具有不同安全級別的不同域互連的網(wǎng)關(guān);
[0021]圖2是示出用于根據(jù)圖1的實(shí)施方式來構(gòu)造網(wǎng)關(guān)的方法的流程圖;
[0022]圖3示意性地示出了根據(jù)本發(fā)明的第一實(shí)施方式的適于使具有不同安全級別的第一域和第二域互連的網(wǎng)關(guān);
[0023]圖4A和圖4B示意性地示出了根據(jù)本發(fā)明的不同實(shí)施方式的基本過濾組件的不同配置;以及
[0024]圖5示意性地示出了根據(jù)本發(fā)明的第二實(shí)施方式的適于使第一域和第二域互連的網(wǎng)關(guān)。
【具體實(shí)施方式】
[0025]本發(fā)明的構(gòu)思由以下構(gòu)成:將網(wǎng)關(guān)的功能分解成可以容易進(jìn)行評估或分析的足夠小的組件。
[0026]圖1示意性地示出了根據(jù)本發(fā)明的適于使可能具有不同安全級別的不同域互連的網(wǎng)關(guān)。
[0027]網(wǎng)關(guān)I使用MILS類型的虛擬化平臺3,并且網(wǎng)關(guān)I被設(shè)計(jì)成利用這樣的平臺的強(qiáng)隔離特性和指定通信信道以便同時容納若干功能。
[0028]要想到的是,針對高保障需求而開發(fā)的虛擬化平臺3基本上基于不同功能之間的嚴(yán)格隔離特性和不干擾特性。實(shí)際上,虛擬化平臺3提供了針對每個功能創(chuàng)建孤立的運(yùn)行時間環(huán)境(一般被稱為分區(qū))的可能性。虛擬化平臺3還提供了分區(qū)之間的強(qiáng)時空隔離(即不同功能所共享的硬件資源與軟件資源之間的不干擾特性)。此外,虛擬化平臺3提供了由平臺3容納的不同分區(qū)之間的安全通信裝置以及平臺3的一個或更多個分區(qū)與外部域之間的安全通信裝置(例如網(wǎng)絡(luò)接口)。可以通過使用軟件和/或硬件虛擬化技術(shù)例如MILS分離內(nèi)核虛擬化操作系統(tǒng)或者滿足上述特性的任何其它虛擬化操作系統(tǒng)來構(gòu)建虛擬化平臺3。平臺3的硬件部分通常包括互連一個或更多個處理單元(未示出)的通信總線(未示出)、存儲設(shè)備(未示出)以及一個或更多個(可能虛擬化的)網(wǎng)絡(luò)接口(未示出)和用于管理直接存儲器存取的特定硬件模塊(未示出)例如輸入輸出管理存儲器單元(1MMU) ο
[0029]根據(jù)本發(fā)明,網(wǎng)關(guān)I適于互連可能具有不同安全級別的不同域5、7。為了簡單起見,圖1的示例示出了適于與第二域7進(jìn)行通信的第一域5,但是當(dāng)然,第一域5還可以與第三域(未示出)進(jìn)行通信,而第二域7同樣可以與第四域(未示出)進(jìn)行通信等等。
[0030]網(wǎng)關(guān)I包括一組功能塊9-17,所述一組功能塊9-17被配置成授權(quán)在第一域5與第二域7之間沿相反方向的兩條不同路徑19、21的安全雙向數(shù)據(jù)流