RU2010114660A - Двунаправленный шлюз с улучшенным уровнем защиты - Google Patents

Двунаправленный шлюз с улучшенным уровнем защиты Download PDF

Info

Publication number
RU2010114660A
RU2010114660A RU2010114660/08A RU2010114660A RU2010114660A RU 2010114660 A RU2010114660 A RU 2010114660A RU 2010114660/08 A RU2010114660/08 A RU 2010114660/08A RU 2010114660 A RU2010114660 A RU 2010114660A RU 2010114660 A RU2010114660 A RU 2010114660A
Authority
RU
Russia
Prior art keywords
data
interface
path
communication
packet
Prior art date
Application number
RU2010114660/08A
Other languages
English (en)
Other versions
RU2494561C2 (ru
Inventor
Бенжамен ДЕКЛЕТИ (FR)
Бенжамен ДЕКЛЕТИ
Кристиан ОРИ (FR)
Кристиан ОРИ
Original Assignee
Сажем Дефенс Секюрите (FR)
Сажем Дефенс Секюрите
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Сажем Дефенс Секюрите (FR), Сажем Дефенс Секюрите filed Critical Сажем Дефенс Секюрите (FR)
Publication of RU2010114660A publication Critical patent/RU2010114660A/ru
Application granted granted Critical
Publication of RU2494561C2 publication Critical patent/RU2494561C2/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Organic Low-Molecular-Weight Compounds And Preparation Thereof (AREA)

Abstract

1. Устройство (2.1) для соединения по меньшей мере двух сетей связи путем соединения первой сети, называемой сетью с высоким уровнем защиты, и по меньшей мере одной второй сети, называемой сетью с низким уровнем защиты, содержащее: ! - первый интерфейс (2.11) связи с сетью с высоким уровнем защиты; ! - второй интерфейс (2.12) связи с сетью с низким уровнем защиты; ! - модуль (2.3) маршрутизации, соединенный с первым интерфейсом; и ! - модуль (2.8) адаптации, соединенный со вторым интерфейсом; ! отличающееся тем, что оно дополнительно содержит: ! - однонаправленный тракт (2.4, 2.6), называемый нисходящим трактом, между модулем (2.3) маршрутизации и модулем (2.8) адаптации, предназначенный для передачи данных из модуля (2.3) маршрутизации в модуль (2.8) адаптации, и ! - однонаправленный тракт (2.5, 2.7, 2.8), называемый обратным трактом, между модулем (2.8) адаптации и модулем (2.3) маршрутизации, предназначенный для передачи данных из модуля (2.8) адаптации в модуль (2.3) маршрутизации, при этом все передачи данных между первым интерфейсом (2.11) и вторым интерфейсом (2.12) обязательно проходят через эти два однонаправленных тракта, а модуль (2.8) адаптации создает соединительную линию между этими однонаправленными трактами и вторым интерфейсом (2.12). ! 2. Устройство по п.1, которое дополнительно содержит средство (2.6), гарантирующее на физическом уровне однонаправленность нисходящего тракта. ! 3. Устройство по одному из пп.1 или 2, которое дополнительно содержит средство (2.10) уменьшения скорости по меньшей мере для части обратного тракта относительно скорости интерфейсов указанного устройства, с формированием, таким образом, низкоскоростной линии. ! 4. Устройство по п.3, в

Claims (13)

1. Устройство (2.1) для соединения по меньшей мере двух сетей связи путем соединения первой сети, называемой сетью с высоким уровнем защиты, и по меньшей мере одной второй сети, называемой сетью с низким уровнем защиты, содержащее:
- первый интерфейс (2.11) связи с сетью с высоким уровнем защиты;
- второй интерфейс (2.12) связи с сетью с низким уровнем защиты;
- модуль (2.3) маршрутизации, соединенный с первым интерфейсом; и
- модуль (2.8) адаптации, соединенный со вторым интерфейсом;
отличающееся тем, что оно дополнительно содержит:
- однонаправленный тракт (2.4, 2.6), называемый нисходящим трактом, между модулем (2.3) маршрутизации и модулем (2.8) адаптации, предназначенный для передачи данных из модуля (2.3) маршрутизации в модуль (2.8) адаптации, и
- однонаправленный тракт (2.5, 2.7, 2.8), называемый обратным трактом, между модулем (2.8) адаптации и модулем (2.3) маршрутизации, предназначенный для передачи данных из модуля (2.8) адаптации в модуль (2.3) маршрутизации, при этом все передачи данных между первым интерфейсом (2.11) и вторым интерфейсом (2.12) обязательно проходят через эти два однонаправленных тракта, а модуль (2.8) адаптации создает соединительную линию между этими однонаправленными трактами и вторым интерфейсом (2.12).
2. Устройство по п.1, которое дополнительно содержит средство (2.6), гарантирующее на физическом уровне однонаправленность нисходящего тракта.
3. Устройство по одному из пп.1 или 2, которое дополнительно содержит средство (2.10) уменьшения скорости по меньшей мере для части обратного тракта относительно скорости интерфейсов указанного устройства, с формированием, таким образом, низкоскоростной линии.
4. Устройство по п.3, в котором низкоскоростная линия (2.10) является последовательной линией.
5. Устройство по одному из пп.1 или 2, которое содержит в обратном тракте межсетевой экран (2.7), предназначенный для фильтрации данных, идущих по обратному тракту.
6. Устройство по п.3, которое дополнительно содержит:
- средства (2.8) форматирования данных, передаваемых по обратному тракту, до низкоскоростной линии, согласно протоколу связи, отличающемуся от протоколов связи, используемых для связи в интерфейсах указанного устройства, и
- средства (2.5) восстановления данных, передаваемых по обратному тракту, после низкоскоростной линии, из данных, отформатированных согласно вышеуказанному протоколу связи, отличающемуся от протоколов связи, используемых для связи в интерфейсах указанного устройства.
7. Устройство по п.6, в котором указанный протокол связи, отличающийся от протоколов связи, используемых для связи в интерфейсах указанного устройства, использует пакеты данных, включающие метку (3.1), которая идентифицирует тип данных, при этом указанный межсетевой экран включает средства фильтрации пакетов согласно списку санкционированных меток.
8. Устройство по п.7, в котором для каждой метки задана максимальная скорость передачи, при этом межсетевой экран (2.7) включает средства для проверки скорости передачи для пакетов, соответствующих каждой метке, и для отклонения пакетов, соответствующих данной метке, если эта скорость превышена.
9. Устройство по п.6, в котором для указанного устройства задано несколько режимов работы, при этом список санкционированных меток зависит от режима работы устройства.
10. Устройство по одному из пп.1 или 2, в котором все данные передаваемые по обратному тракту, имеют криптографическую подпись посредством механизма асимметричного ключа, при этом указанное устройство включает также криптографические средства (2.5) для проверки подлинности источника данных.
11. Устройство по п.10, в котором все данные передаваемые по обратному каналу, шифруются посредством механизма ассиметричного ключа, при этом устройство включает также криптографические средства (2.5) для дешифрования переданных данных.
12. Способ управления потоком данных для пакетной передачи данных в пределах устройства по одному из пп.10 или 11, отличающийся тем, что он для каждого пакета данных включает следующие шаги:
- шаг передачи пакета данных модулем маршрутизации, включающий:
- шаг подготовки подписанного пакета, называемого пакетом Ok;
- шаг подготовки подписанного пакета, называемого пакетом Ко;
- шаг совместной передачи пакета данных и пакетов Ok и Ко по нисходящему тракту;
- шаг приема модулем адаптации, включающий:
- шаг проверки корректности передачи пакета данных;
- если передача пакета данных прошла корректно, шаг передачи по обратному тракту пакета Ok;
- если передача прошла некорректно, шаг передачи по обратному тракту пакета Ко.
13. Способ по п.12, отличающийся тем, что он дополнительно включает:
- шаг периодической передачи по нисходящему тракту модулем маршрутизации подписанного пакета, называемого пакетом NOP, в случае отсутствия приема по обратному тракту в течение заданного времени;
- шаг передачи по обратному тракту любого пакета NOP, принятого модулем адаптации по нисходящему тракту.
RU2010114660/08A 2007-10-23 2008-10-21 Двунаправленный шлюз с улучшенным уровнем защиты RU2494561C2 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0707428A FR2922705B1 (fr) 2007-10-23 2007-10-23 Passerelle bidirectionnelle a niveau de securite renforce
FR07/07428 2007-10-23
PCT/EP2008/064211 WO2009053361A1 (fr) 2007-10-23 2008-10-21 Passerelle bidirectionnelle à niveau de sécurité renforcé

Publications (2)

Publication Number Publication Date
RU2010114660A true RU2010114660A (ru) 2011-11-27
RU2494561C2 RU2494561C2 (ru) 2013-09-27

Family

ID=39511037

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2010114660/08A RU2494561C2 (ru) 2007-10-23 2008-10-21 Двунаправленный шлюз с улучшенным уровнем защиты

Country Status (8)

Country Link
US (1) US8397286B2 (ru)
EP (1) EP2204034B1 (ru)
CN (1) CN101836422B (ru)
BR (1) BRPI0818010A2 (ru)
CA (1) CA2703298A1 (ru)
FR (1) FR2922705B1 (ru)
RU (1) RU2494561C2 (ru)
WO (1) WO2009053361A1 (ru)

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2922705B1 (fr) * 2007-10-23 2011-12-09 Sagem Defense Securite Passerelle bidirectionnelle a niveau de securite renforce
US8739270B1 (en) * 2009-01-28 2014-05-27 The Boeing Company Trusted, cross domain information sharing between multiple legacy and IP based devices
FR2977238B1 (fr) * 2011-06-29 2013-08-02 Dassault Aviat Systeme de maintenance embarque d'un aeronef, et aeronef associe.
BR112014001567A2 (pt) * 2011-07-22 2017-06-27 Aspen Avionics Inc método de processamento de informações, método de exibição de informações e sistema para transmitir e receber comunicações de dados de aeronave
US8762990B2 (en) 2011-07-25 2014-06-24 The Boeing Company Virtual machines for aircraft network data processing systems
US9239247B1 (en) 2011-09-27 2016-01-19 The Boeing Company Verification of devices connected to aircraft data processing systems
US8806579B1 (en) 2011-10-12 2014-08-12 The Boeing Company Secure partitioning of devices connected to aircraft network data processing systems
US8589020B1 (en) * 2011-11-29 2013-11-19 The Boeing Company Updating identity information in aircraft network data processing systems
WO2013190289A1 (en) * 2012-06-20 2013-12-27 Deep-Secure Limited Apparatus and method for connecting computer networks
GB2507250A (en) * 2012-08-22 2014-04-30 Anthony James Higgins Sending acknowledgments on a unidirectional channel
CN103186743B (zh) * 2012-09-14 2015-10-28 曾崛 一种多网络***数据传导装置及方法
US9858324B2 (en) 2013-06-13 2018-01-02 Northrop Grumman Systems Corporation Trusted download toolkit
FR3015830B1 (fr) * 2013-12-19 2017-03-17 Sagem Defense Securite Dispositif d'interconnexion de reseaux de communication a securite controlee
FR3017508B1 (fr) * 2014-02-11 2016-03-04 Dassault Aviat Systeme et procede d'echange de donnees
US9503422B2 (en) * 2014-05-09 2016-11-22 Saudi Arabian Oil Company Apparatus, systems, platforms, and methods for securing communication data exchanges between multiple networks for industrial and non-industrial applications
US20150350247A1 (en) * 2014-05-30 2015-12-03 Apple Inc. Efficient secure instant messaging
GB201410089D0 (en) 2014-06-06 2014-07-23 Bae Systems Plc Secured network bridge
EP3139548B1 (en) * 2015-09-04 2018-04-11 Airbus Operations High assurance segregated gateway interconnecting different domains
FR3047335B1 (fr) * 2016-01-28 2018-01-12 Renault S.A.S Dispositif de passerelle pour un systeme de communication embarque d'un vehicule automobile.
US10721259B2 (en) * 2016-03-31 2020-07-21 The Boeing Company System and method for automatic generation of filter rules
US10063435B2 (en) * 2016-04-11 2018-08-28 The Boeing Company System and method for context aware network filtering
US11063886B2 (en) * 2016-12-08 2021-07-13 Vado Security Technologies Ltd System and method for directing data packets by a virtual switch over a unidirectional medium
FR3066293B1 (fr) * 2017-05-11 2019-11-01 Thales Passerelle de securite avionique amelioree et aeronef comportant une telle passerelle
EP3425865B1 (de) * 2017-07-05 2019-12-18 Siemens Mobility GmbH Verfahren und vorrichtung zur rückwirkungsfreien unidirektionalen übertragung von daten an einen abgesetzten anwendungsserver
CN107895391B (zh) * 2017-08-30 2021-07-16 陕西千山航空电子有限责任公司 一种飞参数据包处理方法
EP3506587A1 (en) * 2017-12-29 2019-07-03 Nagravision S.A. Integrated circuit
WO2020055919A1 (en) * 2018-09-11 2020-03-19 Aveva Software, Llc Server and system for secure configuration push for dmz proxy clients
RU2746105C2 (ru) 2019-02-07 2021-04-07 Акционерное общество "Лаборатория Касперского" Система и способ конфигурирования шлюза для защиты автоматизированных систем
RU2724796C1 (ru) 2019-02-07 2020-06-25 Акционерное общество "Лаборатория Касперского" Система и способ защиты автоматизированных систем при помощи шлюза
WO2020249536A1 (de) 2019-06-14 2020-12-17 Siemens Mobility GmbH Rechenanlage und verfahren zum betreiben einer rechenanlage
DE102019209009A1 (de) * 2019-06-20 2020-12-24 Siemens Mobility GmbH Filter, Anordnung und Betriebsverfahren für eine Anordnung
US11349872B2 (en) * 2019-11-26 2022-05-31 General Electric Company Provably secure application-specific cross-domain solutions
CN112187722B (zh) * 2020-09-02 2022-11-22 博依特(广州)工业互联网有限公司 一种基于fpga的安全隔离***
CN112564918B (zh) * 2020-12-03 2022-08-12 深圳大学 智能电网中的轻量级主动式跨层认证方法
EP4020885B1 (en) * 2020-12-22 2024-02-14 Koninklijke Fabriek Inventum B.V. Establishment of battery-free insert access to secure network
RU2770458C1 (ru) * 2021-10-14 2022-04-18 Акционерное общество "Лаборатория Касперского" Сетевой шлюз и способ передачи данных из первой сети во вторую сеть
EP4167523A1 (en) * 2021-10-14 2023-04-19 AO Kaspersky Lab Network gateway and method for transferring data from a first network to a second network
FR3135062A1 (fr) * 2022-04-29 2023-11-03 Thales Passerelle de sécurité réseau embarquée à bord d’un aéronef pour connecter des domaines de confiance basse et haute d’une infrastructure informatique avionique.
FR3139963A1 (fr) * 2022-09-21 2024-03-22 Airbus Defence And Space Sas Systeme et procede d’exposition de donnees d’un domaine noir vers un domaine rouge

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US5828832A (en) * 1996-07-30 1998-10-27 Itt Industries, Inc. Mixed enclave operation in a computer network with multi-level network security
US6993582B2 (en) * 1996-07-30 2006-01-31 Micron Technology Inc. Mixed enclave operation in a computer network
US6272538B1 (en) * 1996-07-30 2001-08-07 Micron Technology, Inc. Method and system for establishing a security perimeter in computer networks
US5884142A (en) * 1997-04-15 1999-03-16 Globalstar L.P. Low earth orbit distributed gateway communication system
US6108583A (en) * 1997-10-28 2000-08-22 Georgia Tech Research Corporation Adaptive data security system and method
US6233618B1 (en) * 1998-03-31 2001-05-15 Content Advisor, Inc. Access control of networked data
US6212633B1 (en) * 1998-06-26 2001-04-03 Vlsi Technology, Inc. Secure data communication over a memory-mapped serial communications interface utilizing a distributed firewall
US6643783B2 (en) * 1999-10-27 2003-11-04 Terence T. Flyntz Multi-level secure computer with token-based access control
US6351817B1 (en) * 1999-10-27 2002-02-26 Terence T. Flyntz Multi-level secure computer with token-based access control
US6389542B1 (en) * 1999-10-27 2002-05-14 Terence T. Flyntz Multi-level secure computer with token-based access control
IT1313837B1 (it) * 1999-11-03 2002-09-23 Siemens Inf & Comm Networks Metodo per equalizzare i ritardi di propagazione ed ottimizzare illivello di potenza in una stazione mobile che accede ai servizi di
FR2804564B1 (fr) * 2000-01-27 2002-03-22 Bull Sa Relais de securite multiapplicatif
US20020112181A1 (en) * 2000-12-12 2002-08-15 Smith Mark Elwin Multilevel secure network access system
DE10142959A1 (de) * 2001-09-03 2003-04-03 Siemens Ag Verfahren, System und Rechner zum Aushandeln einer Sicherheitsbeziehung auf der Anwendungsschicht
US6889045B2 (en) * 2002-06-26 2005-05-03 Motorola, Inc. Method and apparatus for implementing bi-directional soft handovers between wireless networks via media gateway control
US7506368B1 (en) * 2003-02-13 2009-03-17 Cisco Technology, Inc. Methods and apparatus for network communications via a transparent security proxy
US8250235B2 (en) * 2003-05-19 2012-08-21 Verizon Patent And Licensing Inc. Method and system for providing secure one-way transfer of data
US8108679B2 (en) * 2004-05-20 2012-01-31 Qinetiq Limited Firewall system
CN100337222C (zh) * 2004-07-15 2007-09-12 联想网御科技(北京)有限公司 一种防火墙***及其访问限制方法
JP2006148661A (ja) * 2004-11-22 2006-06-08 Toshiba Corp 情報端末遠隔操作システム、そのリモートアクセス端末、そのゲートウェイサーバ、その情報端末制御装置、情報端末装置、およびその遠隔操作方法
DE502004001973D1 (de) * 2004-12-23 2006-12-21 Cit Alcatel Vorrichtung und Verfahren zur sicheren Fehlerbehandlung in geschützten Kommunikationsnetzen
US7607167B1 (en) * 2005-06-27 2009-10-20 Rockwell Collins, Inc. Secure gateway/router
US7623458B2 (en) * 2005-09-30 2009-11-24 The Boeing Company System and method for providing integrated services across cryptographic boundaries in a network
US8041946B2 (en) * 2006-02-28 2011-10-18 The Boeing Company Data transfer between networks operating at different security levels
US8161529B1 (en) * 2006-03-02 2012-04-17 Rockwell Collins, Inc. High-assurance architecture for routing of information between networks of differing security level
US8060744B2 (en) * 2006-03-23 2011-11-15 Harris Corporation Computer architecture for an electronic device providing single-level secure access to multi-level secure file system
US7675867B1 (en) * 2006-04-19 2010-03-09 Owl Computing Technologies, Inc. One-way data transfer system with built-in data verification mechanism
US7873071B2 (en) * 2006-05-15 2011-01-18 The Boeing Company Multiple level security adapter
US20090252070A1 (en) * 2007-01-12 2009-10-08 Connors Dennis P Airlink management in a wireless broadcast system
FR2922705B1 (fr) * 2007-10-23 2011-12-09 Sagem Defense Securite Passerelle bidirectionnelle a niveau de securite renforce
US20090193503A1 (en) * 2008-01-28 2009-07-30 Gbs Laboratories Llc Network access control
US20100005179A1 (en) * 2008-07-03 2010-01-07 Raytheon Company Multi-Level Secure Network
CN102239674B (zh) * 2008-08-19 2017-04-19 高赛科实验室公司 隔离的多网络计算机***及设备
US8112046B2 (en) * 2009-02-04 2012-02-07 Mitre Corporation Wearable one way transfer device
US9305189B2 (en) * 2009-04-14 2016-04-05 Owl Computing Technologies, Inc. Ruggedized, compact and integrated one-way controlled interface to enforce confidentiality of a secure enclave
US20110153969A1 (en) * 2009-12-18 2011-06-23 William Petrick Device and method to control communications between and access to computer networks, systems or devices
US8732453B2 (en) * 2010-07-19 2014-05-20 Owl Computing Technologies, Inc. Secure acknowledgment device for one-way data transfer system

Also Published As

Publication number Publication date
CN101836422A (zh) 2010-09-15
WO2009053361A1 (fr) 2009-04-30
US20100299742A1 (en) 2010-11-25
CA2703298A1 (en) 2009-04-30
EP2204034A1 (fr) 2010-07-07
EP2204034B1 (fr) 2019-04-03
BRPI0818010A2 (pt) 2015-04-14
RU2494561C2 (ru) 2013-09-27
FR2922705A1 (fr) 2009-04-24
FR2922705B1 (fr) 2011-12-09
CN101836422B (zh) 2013-09-11
US8397286B2 (en) 2013-03-12

Similar Documents

Publication Publication Date Title
RU2010114660A (ru) Двунаправленный шлюз с улучшенным уровнем защиты
CN102037663B (zh) 用于无源光网络中数据保密的方法和装置
CN101309273B (zh) 一种生成安全联盟的方法和装置
GB2332128A (en) Arrangement for transmitting packet data segments from a media access controller across multiple physical links
US9900268B2 (en) System, method and apparatus for multi-lane auto-negotiation over reduced lane media
US9094375B2 (en) WAN transport of frames with MAC security
CN101494585B (zh) 一种实现通用路由封装隧道可靠传输的方法及设备
CN108881302A (zh) 工业以太网与blvds总线互联通讯装置及工业控制***
WO2013060298A1 (zh) 一种在IPsec机制下的网络测试方法,装置及***
CN101026469A (zh) 网络中继装置和数据包的传送方法
KR102441200B1 (ko) 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
CN105635154A (zh) 灵活的MACSec报文加密认证的芯片实现方法及实现装置
RU2010134937A (ru) Способ обеспечения различной длины пакетов в протоколе передачи данных
CN102035733B (zh) 通过以太网建立串行数据透明传输通道的方法
CN100521690C (zh) 实现第一部件与第二部件通信的***及部件
CN101635727A (zh) 一种用于伪线网络的数据安全发送接收方法、装置及***
CN109194682A (zh) 一种双单向隔离交换技术实现方法
CN100450119C (zh) 在ip视频会议***中进行密文传输的方法
CN100550756C (zh) 一种在spi4.2总线上实现组播的方法
CN107517137A (zh) 一种业务质量测量方法及装置
US7590135B2 (en) Methods and apparatus to perform security related operations on received signals
RU2687040C1 (ru) Способ и устройство для контроля опорной сети
WO2014029958A1 (en) Acknowledgement system and method
CN115442305B (zh) 具有中间介质访问控制安全设备的端到端流量控制
US20240015009A1 (en) AUTOMATIC IN-BAND MEDIA ACCESS CONTROL SECURITY (MACsec) KEY UPDATE FOR RETIMER DEVICE

Legal Events

Date Code Title Description
PD4A Correction of name of patent owner