專(zhuān)利名稱(chēng):安全轉(zhuǎn)換器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一個(gè)用于把與較低安全級(jí)別有關(guān)的數(shù)據(jù)網(wǎng)絡(luò)連接到與較高安全級(jí)別有關(guān)的數(shù)據(jù)網(wǎng)絡(luò)的設(shè)備和處理����,特別地用于諸如鐵路技術(shù)之類(lèi)的與安全高度相關(guān)的應(yīng)用�。
背景技術(shù):
在安全相關(guān)的應(yīng)用中,必須保護(hù)數(shù)據(jù)網(wǎng)絡(luò)以防止諸如黑客攻擊之類(lèi)的外部侵入����。而另一方面,通常恰好又需要把具有較低安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)連接到具有較高安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)����。一般通過(guò)插入一個(gè)所謂的防火墻來(lái)做到這一點(diǎn),即防火墻是一個(gè)用來(lái)禁止未被允許的外部操作的設(shè)備���。
一個(gè)特別與安全相關(guān)的應(yīng)用存在于鐵路技術(shù)中。與特殊的安全類(lèi)別有關(guān)的網(wǎng)絡(luò)區(qū)域在其中被指定為完整性區(qū)域(IB)����。盡管術(shù)語(yǔ)“完整性區(qū)域”來(lái)源于電子鐵路控制中心的控制和操作系統(tǒng)的應(yīng)用領(lǐng)域,然而在本文中將更廣義地對(duì)其進(jìn)行使用����。
在電子鐵路控制中心的控制和操作系統(tǒng)的范圍內(nèi)存在三層完整性IB1是操作上的-即安全相關(guān)的區(qū)域�����,其中����,鐵路控制中心由交通控制器(從所謂的下級(jí)控制中心或中央控制中心)來(lái)操作��。IB2是管理特定的��、安全無(wú)關(guān)的區(qū)域����,其中,調(diào)度程序可以通覽操作控制中心覆蓋的全部區(qū)域但不操作鐵路控制中心��,而是如有必要就向交通控制器或火車(chē)路由系統(tǒng)發(fā)出(電子)指令���。最后�,IB3是一個(gè)與鐵路運(yùn)營(yíng)商有關(guān)的網(wǎng)絡(luò)區(qū)域�����,其具有比IB2低的安全級(jí)別,而且用于鐵路運(yùn)營(yíng)商的內(nèi)部通信��。
控制和操作系統(tǒng)的結(jié)構(gòu)提供了IB1中的系統(tǒng)和IB3中的系統(tǒng)的互相作用����。在轉(zhuǎn)換點(diǎn),需要一個(gè)設(shè)備有效地防止可能在功能和完整性方面損害IB1的信令系統(tǒng)的信息的侵入��。這個(gè)設(shè)備在下面將被指定為安全轉(zhuǎn)換器����。盡管IB3不是完全不受控的區(qū)域,然而不得不假定它對(duì)防止未授權(quán)訪問(wèn)或電報(bào)訛誤不提供保證�����。因此��,安全轉(zhuǎn)換器必須防止從IB3到IB1的任何未許可的訪問(wèn)�����。
在這方面��,重要的是在安全轉(zhuǎn)換器故障或失靈的情況下不會(huì)發(fā)生安全破壞��。因此�����,如果發(fā)生技術(shù)失靈��,則安全轉(zhuǎn)換器必須進(jìn)入安全故障狀態(tài)���,在該狀態(tài)中再也不可能從IB3訪問(wèn)IB1�。
發(fā)明內(nèi)容
因此�����,本發(fā)明的目的是指定一個(gè)用于把與較低安全級(jí)別有關(guān)的數(shù)據(jù)網(wǎng)絡(luò)連接到與較高安全級(jí)別有關(guān)的數(shù)據(jù)網(wǎng)絡(luò)的裝置和處理���,所述裝置可靠地禁止從具有較低安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)到具有較高安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)的未經(jīng)許可的訪問(wèn)�,并且在發(fā)生故障時(shí)進(jìn)入安全故障狀態(tài)���。
這些目的及其它目的借助于一個(gè)裝置來(lái)實(shí)現(xiàn)����,該裝置用于把與較低安全級(jí)別有關(guān)的數(shù)據(jù)網(wǎng)絡(luò)連接到與較高安全級(jí)別有關(guān)的數(shù)據(jù)網(wǎng)絡(luò)。
該裝置包括-電報(bào)過(guò)濾器�����,用于根據(jù)預(yù)定的過(guò)濾器規(guī)則從具有較低安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)中過(guò)濾電報(bào)�,-第一檢查部件,其被設(shè)計(jì)用于產(chǎn)生檢查電報(bào)并且經(jīng)由電報(bào)過(guò)濾器把它們發(fā)送到第二檢查部件����,以及-由第二檢查部件激活的看門(mén)狗電路,其被設(shè)計(jì)用于���,只要它從第二檢查部件接收規(guī)律的生存標(biāo)記�����,就保持具有較低安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)和具有較高安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)之間的連接是閉合的�,并且其被設(shè)計(jì)用于�,如果它在預(yù)定時(shí)段上沒(méi)有接收到生存標(biāo)記,則自動(dòng)地中斷該連接����。
第二檢查部件還被設(shè)計(jì)用于,在接收到根據(jù)過(guò)濾器規(guī)則被允許的檢查電報(bào)之后��,產(chǎn)生一個(gè)用于看門(mén)狗電路的生存標(biāo)記,并且在接收到根據(jù)過(guò)濾器規(guī)則不被允許的檢查電報(bào)之后�����,至少在一預(yù)定時(shí)段中禁止產(chǎn)生用于該看門(mén)狗電路的生存標(biāo)記��。
根據(jù)本發(fā)明的另一方面���,提供一個(gè)方法用于檢查裝置的完整性,該裝置用于把與較低安全級(jí)別有關(guān)的數(shù)據(jù)網(wǎng)絡(luò)連接到與高安全級(jí)別有關(guān)的數(shù)據(jù)網(wǎng)絡(luò)��,并且該裝置包括一個(gè)電報(bào)過(guò)濾器以便根據(jù)預(yù)定的過(guò)濾器規(guī)則從具有較低安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)中過(guò)濾電報(bào)���,并且包括一個(gè)看門(mén)狗電路��,其被設(shè)計(jì)用于���,只要看門(mén)狗電路接收規(guī)則的生存標(biāo)記,就保持具有較低安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)和具有較高安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)之間的連接是閉合的��,并且其被設(shè)計(jì)用于�,如果它在預(yù)定時(shí)段上沒(méi)有接收到生存標(biāo)記,則自動(dòng)地中斷該連接�����。該方法包括下列步驟-產(chǎn)生檢查電報(bào)并經(jīng)由電報(bào)過(guò)濾器將其發(fā)送給檢查部件,-在接收到根據(jù)過(guò)濾器規(guī)則被允許的檢查電報(bào)之后����,檢查部件產(chǎn)生一個(gè)用于看門(mén)狗電路的生存標(biāo)記,并且-在接收到根據(jù)過(guò)濾器規(guī)則不被允許的檢查電報(bào)之后���,檢查部件至少在預(yù)定時(shí)段內(nèi)禁止產(chǎn)生用于該看門(mén)狗電路的生存標(biāo)記��。
安全轉(zhuǎn)換器以特定間隔檢驗(yàn)其自己的完整性以便確定失靈����,并且其中���,適宜地觸發(fā)向安全故障狀態(tài)的轉(zhuǎn)換�����。根據(jù)本發(fā)明�����,安全故障狀態(tài)存在于從具有較低安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)到具有較高安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)的連接被中斷的期間��。這借助于一個(gè)看門(mén)狗電路來(lái)獲得��,只要看門(mén)狗電路接收到規(guī)則的生存標(biāo)記�����,它就保持具有較低安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)和具有較高安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)之間的連接是閉合的����,并且如果看門(mén)狗電路在預(yù)定時(shí)段上沒(méi)有接收到生存標(biāo)記�,則它自動(dòng)地中斷該連接。
安全轉(zhuǎn)換器具有一個(gè)電報(bào)過(guò)濾器����,以便根據(jù)預(yù)定的過(guò)濾器規(guī)則從具有較低安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)中過(guò)濾電報(bào)。另外���,安全轉(zhuǎn)換器具有第一檢查部件和第二檢查部件�。第一檢查部件產(chǎn)生檢查電報(bào)并經(jīng)由電報(bào)過(guò)濾器將它們發(fā)送到第二檢查部件��。在接收到根據(jù)過(guò)濾器規(guī)則被允許的檢查電報(bào)之后�����,第二檢查部件產(chǎn)生一個(gè)用于看門(mén)狗電路的生存標(biāo)記,并且在接收到根據(jù)過(guò)濾器規(guī)則不被允許的檢查電報(bào)之后����,它至少在預(yù)定時(shí)段內(nèi)禁止產(chǎn)生生存標(biāo)記。
因此����,可以在定義的故障顯示時(shí)間證明安全轉(zhuǎn)換器的過(guò)濾器設(shè)備的肯定和否定特性,其接著使得系統(tǒng)的低剩余差錯(cuò)概率得到證明�����,因此所述的系統(tǒng)可以被許可用于鐵路技術(shù)應(yīng)用���。
以下��,將基于附圖詳細(xì)地闡明本發(fā)明的一個(gè)示例性實(shí)施例�。其中圖1為一個(gè)安全轉(zhuǎn)換器��,其建立具有不同安全級(jí)別的兩個(gè)數(shù)據(jù)網(wǎng)絡(luò)之間的連接����,圖2為圖1的安全轉(zhuǎn)換器的詳圖,圖3為圖1的安全轉(zhuǎn)換器的網(wǎng)絡(luò)部件的物理互連,圖4為用于檢查安全轉(zhuǎn)換器的過(guò)濾功能的流程圖����,圖5為安全轉(zhuǎn)換器的過(guò)濾器功能發(fā)生故障的情況下的流程圖,圖6為用于檢查看門(mén)狗電路的流程圖�,圖7為看門(mén)狗電路發(fā)生故障的情況下的流程圖,圖8為關(guān)于檢查序列號(hào)差錯(cuò)和校驗(yàn)和差錯(cuò)的流程圖�,圖9為關(guān)于序列號(hào)差錯(cuò)和校驗(yàn)和差錯(cuò)的檢查發(fā)生故障的情況下的流程圖,以及圖10一個(gè)檢查方案����。
具體實(shí)施例方式
在圖1示出了第一數(shù)據(jù)網(wǎng)絡(luò)N1和第二數(shù)據(jù)網(wǎng)絡(luò)N2����。第一數(shù)據(jù)網(wǎng)絡(luò)對(duì)應(yīng)于完整性區(qū)域IB1,而第二數(shù)據(jù)網(wǎng)絡(luò)對(duì)應(yīng)于完整性區(qū)域IB3�。IB1是一個(gè)安全相關(guān)的區(qū)域,而IB3被認(rèn)為是一個(gè)與較低安全級(jí)別有關(guān)的區(qū)域�。
一個(gè)安全轉(zhuǎn)換器STL設(shè)置在兩個(gè)數(shù)據(jù)網(wǎng)絡(luò)之間,其在兩個(gè)數(shù)據(jù)網(wǎng)絡(luò)之間建立一個(gè)安全連接��。安全轉(zhuǎn)換器STL包括一個(gè)連接到數(shù)據(jù)網(wǎng)絡(luò)N2的具有TCP代理的常規(guī)的防火墻STL-PU����,還包括一個(gè)連接到數(shù)據(jù)網(wǎng)絡(luò)N1的過(guò)濾設(shè)備STL-PR。防火墻STL-PU和過(guò)濾設(shè)備STL-PR借助于TCP/IP協(xié)議經(jīng)由單獨(dú)的以太網(wǎng)CTN相互連接���。
用示例性的方式與數(shù)據(jù)網(wǎng)絡(luò)N1鏈接的是列車(chē)號(hào)核心(train-numbercore)(Zugnummernkern)ZNK����、應(yīng)用監(jiān)督代理管理器ASA和協(xié)議轉(zhuǎn)換計(jì)算機(jī)PCC2。在這種情況下�,如所知的,這是一個(gè)鐵路控制中心中部件的問(wèn)題����。用示例性方式鏈接到數(shù)據(jù)網(wǎng)絡(luò)N2的是序列子系統(tǒng)SER和模擬器SIM,它們同樣是已知的并且被發(fā)現(xiàn)用于鐵路運(yùn)營(yíng)商的網(wǎng)絡(luò)區(qū)域中���。
安全轉(zhuǎn)換器STL是一種設(shè)備�,用來(lái)防止可能損害IB1信令系統(tǒng)的功能和完整性的信息的侵入���。STL防止從IB3到IB1的所禁止的訪問(wèn)�。為此����,它只支持經(jīng)由基于TCP/IP來(lái)傳送的SBS類(lèi)協(xié)議的通信。電報(bào)結(jié)構(gòu)將在下面進(jìn)一步地更確切地闡明�。不存在通過(guò)STL的IP透明度,即例如在數(shù)據(jù)網(wǎng)絡(luò)N1和數(shù)據(jù)網(wǎng)絡(luò)N2之間不可能經(jīng)由STL存在PING。
協(xié)議能夠容忍多至10秒的每日連接中斷����。一個(gè)應(yīng)用能夠通過(guò)臨時(shí)存儲(chǔ)發(fā)送失敗的電報(bào)并通過(guò)隨后進(jìn)行重復(fù)分發(fā)實(shí)現(xiàn)這個(gè)要求。在序列號(hào)差錯(cuò)已經(jīng)建立之后��,還存在產(chǎn)生新的升級(jí)請(qǐng)求的可能性���。
防火墻STL-PU負(fù)責(zé)擊退經(jīng)由通信層1-4(根據(jù)ISO/OSI參考模型�����,參見(jiàn)ISO/OSI基本參考模型ISO/IEC10731/1994)的來(lái)自于數(shù)據(jù)網(wǎng)絡(luò)N2的攻擊�����。為此提供了具有TCP代理的防火墻部件。
在示例性實(shí)施例中��,防火墻STL-PU的任務(wù)由Secunet銷(xiāo)售的上市產(chǎn)品Secuwall-STL來(lái)承擔(dān)����。Secuwall-STL基于一個(gè)特別地精簡(jiǎn)和強(qiáng)化的Linux操作系統(tǒng);它配備有強(qiáng)大的防火墻功能����,以及侵?jǐn)_����、檢測(cè)&響應(yīng)功能�����。一個(gè)集成的TCP代理提供了防止直到通信層4并且包括通信層4的攻擊的安全�����。
防火墻STL-PU充當(dāng)數(shù)據(jù)網(wǎng)絡(luò)N2中的IB3應(yīng)用和過(guò)濾器設(shè)備STL-PR之間的一個(gè)代理����,即IB3應(yīng)用建立到防火墻STL-PU的TCP/IP連接,并且防火墻STL-PU保存一個(gè)到過(guò)濾器設(shè)備STL-PR的相關(guān)的TCP/IP連接�。在建立連接的過(guò)程中,防火墻STL-PU充當(dāng)一個(gè)服務(wù)器����,只有在之前批準(zhǔn)的TCP端口處才接受連接。防火墻STL-PU經(jīng)由系統(tǒng)記錄(SysLog)協(xié)議來(lái)將被擊退的攻擊嘗試記錄到過(guò)濾器設(shè)備STL-PR����。另外�,防火墻STL-PU經(jīng)由系統(tǒng)記錄定期報(bào)告它的狀態(tài)���。
對(duì)防火墻STL-PU的進(jìn)一步的要求如下防火墻STL-PU必須能夠假定一個(gè)安全故障狀態(tài)����;在安全故障狀態(tài)中��,防火墻STL-PU的任何非管理的使用必須被禁止����;只能夠通過(guò)人工干預(yù)來(lái)實(shí)現(xiàn)防火墻STL-PU的重啟以用在已經(jīng)假定安全故障狀態(tài)之后的重啟。
僅許可互聯(lián)網(wǎng)協(xié)議作為網(wǎng)絡(luò)協(xié)議��。IB3應(yīng)用經(jīng)由永久分配的TCP端口僅通過(guò)TCP/IP與防火墻STL-PU通信���。防火墻STL-PU是″可ping的″�����。通過(guò)防火墻STL-PU來(lái)ping數(shù)據(jù)網(wǎng)絡(luò)N1中的節(jié)點(diǎn)是不可能的。系統(tǒng)記錄協(xié)議被允許用于把狀態(tài)信息分發(fā)到IB1中���。諸如例如FTP�����、http����、Telnet、SNMP之類(lèi)的所有其它的網(wǎng)絡(luò)服務(wù)被禁止��。
對(duì)于每個(gè)從數(shù)據(jù)網(wǎng)絡(luò)N2進(jìn)入的TCP連接����,都存在一個(gè)到過(guò)濾器設(shè)備STL-PR的連接。經(jīng)由兩個(gè)單獨(dú)的TCP連接���,用作完整性檢查(進(jìn)一步參見(jiàn)下文)的檢查電報(bào)從過(guò)濾器設(shè)備STL-PR被發(fā)送到防火墻STL-PU�����。檢查電報(bào)必須再經(jīng)由兩個(gè)適當(dāng)?shù)倪B接從代理被發(fā)送回過(guò)濾器設(shè)備STL-PR����。來(lái)自數(shù)據(jù)網(wǎng)絡(luò)N2的電報(bào)以及與過(guò)濾器設(shè)備STL-PR有關(guān)的檢查電報(bào)被該代理擾碼����。來(lái)自于數(shù)據(jù)網(wǎng)絡(luò)N1的電報(bào)不被代理擾碼�����。包括檢查電報(bào)的用戶(hù)數(shù)據(jù)被防火墻STL-PU接收并且又經(jīng)由指定的連接被分發(fā)���。通過(guò)檢查電報(bào)連接而接收的數(shù)據(jù)被估計(jì)為生存標(biāo)記。如果在可配置的時(shí)間內(nèi)沒(méi)有接收到數(shù)據(jù)��,則防火墻STL-PU假定為安全故障狀態(tài)�。
過(guò)濾器設(shè)備STL-PR的結(jié)構(gòu)在圖2中被更加詳細(xì)地示出。所述的過(guò)濾設(shè)備具有過(guò)濾電報(bào)的任務(wù)�,該電報(bào)在應(yīng)用層中從數(shù)據(jù)網(wǎng)絡(luò)N2被發(fā)送到數(shù)據(jù)網(wǎng)絡(luò)N1。過(guò)濾器設(shè)備STL-PR必須向IB1的系統(tǒng)管理報(bào)告整個(gè)STL系統(tǒng)的狀態(tài)����;它必須持久地檢驗(yàn)其部件的功能能力。不合格或故障的部件會(huì)導(dǎo)致安全故障狀態(tài)��。
將過(guò)濾器設(shè)備STL-PR經(jīng)由一個(gè)單獨(dú)的以太網(wǎng)(TCP/IP)連接到防火墻STL-PU���。經(jīng)由第一網(wǎng)卡���,有n個(gè)(n=數(shù)據(jù)網(wǎng)絡(luò)N2和數(shù)據(jù)網(wǎng)絡(luò)N1之間的通信關(guān)系的數(shù)量)到STL-PU的TCP連接����。數(shù)據(jù)通過(guò)這些連接在N2和N1之間傳輸����。
另外還存在四個(gè)(兩個(gè)發(fā)送���、兩個(gè)接收)單獨(dú)的TCP連接���,經(jīng)由這些連接只傳輸檢查電報(bào)。這些檢查電報(bào)由過(guò)濾器設(shè)備STL-PR產(chǎn)生并且經(jīng)由防火墻STL-PU發(fā)送回STL-PR��。檢查電報(bào)用于完整性檢查����。
過(guò)濾裝置STL-PR用一個(gè)具有兩個(gè)網(wǎng)卡和兩個(gè)看門(mén)狗卡WD 1和WD2的商用視窗PC來(lái)實(shí)現(xiàn)。不同的程序模塊在該P(yáng)C上運(yùn)行�,即電報(bào)過(guò)濾器TF、電報(bào)路由器TR����、第一檢查部件P1、第二檢查部件P2��、OAM模塊OM和應(yīng)用監(jiān)督代理ASA���。圖2示出了過(guò)濾器設(shè)備STL-PR的邏輯結(jié)構(gòu)���,而圖3示出了它的物理結(jié)構(gòu)���。
看門(mén)狗電路WD1、WD2是具有其自身微控制器的獨(dú)立插入式卡�����,將它們包括在過(guò)濾器設(shè)備STL-PR內(nèi)�。看門(mén)狗卡從PC的其它部分自發(fā)地運(yùn)行����,并且經(jīng)由PCI接口做出響應(yīng)。
看門(mén)狗電路WD1�����、WD2具有建立安全故障狀態(tài)的任務(wù)�����。為此,STL-PU和STL-PR之間的網(wǎng)絡(luò)連接的接收線路有線連接到看門(mén)狗卡上的一個(gè)中繼器(參見(jiàn)圖3)�����?�?撮T(mén)狗電路WD1���、WD2具有一個(gè)到與其相關(guān)聯(lián)的檢查部件P1、P2的接口��,經(jīng)由這個(gè)接口其接收生存標(biāo)記�。在看門(mén)狗電路中配置了一個(gè)固定時(shí)間間隔,檢查部件必須在該固定時(shí)間間隔內(nèi)(看門(mén)狗超時(shí)值)接收到生存標(biāo)記��。如果再?zèng)]有接收到生存標(biāo)記�����,則STL-PU和STL-PR之間的網(wǎng)絡(luò)連接CTN通過(guò)中繼器回動(dòng)被物理地中斷����。將看門(mén)狗電路設(shè)計(jì)為冗余的?��?撮T(mén)狗電路WD1���、WD2由相關(guān)聯(lián)的檢查部件P1�、P2來(lái)提供生存標(biāo)記����。看門(mén)狗檢查發(fā)生在看門(mén)狗卡的預(yù)定的故障顯示時(shí)間之內(nèi)����。
單獨(dú)的程序模塊將在下面更詳細(xì)地闡明。較低的通信層確保了只有完全組裝的應(yīng)用電報(bào)才被轉(zhuǎn)交給電報(bào)過(guò)濾器TF���。這意指�����,電報(bào)的長(zhǎng)度字段總是與電報(bào)的實(shí)際長(zhǎng)度相對(duì)應(yīng)��。
在STL-PR處的來(lái)自N2和N1的所有進(jìn)入數(shù)據(jù)以及檢查電報(bào)都通過(guò)電報(bào)過(guò)濾器TF����。只有被授權(quán)和被檢查的電報(bào)才能通過(guò)電報(bào)過(guò)濾器TF���。拒絕并記錄未授權(quán)和無(wú)效的電報(bào)�。如果一個(gè)電報(bào)被電報(bào)過(guò)濾器TF允許通過(guò),則它然后被向前路由到電報(bào)路由器TR��。
在示例性實(shí)施例中�,電報(bào)具有以下固定的結(jié)構(gòu)。關(guān)于這方面�,定義了表1中列出的字段以用于鐵路控制中心的控制和操作系統(tǒng)�。
表1電報(bào)結(jié)構(gòu)1)L對(duì)應(yīng)于包含在電報(bào)內(nèi)的用戶(hù)數(shù)據(jù)長(zhǎng)度。
電報(bào)結(jié)構(gòu)對(duì)于安全轉(zhuǎn)換器STL的其它特定應(yīng)用可以有不同地理解���。對(duì)于電報(bào)過(guò)濾器TF電報(bào)結(jié)構(gòu)不是強(qiáng)制的����,因?yàn)?����,電?bào)過(guò)濾器原則上能夠在電報(bào)中的任意位置相對(duì)于任意的模式進(jìn)行過(guò)濾�����。但是用于鐵路控制中心的控制和操作系統(tǒng)中的操作的較低通信層的模塊需要長(zhǎng)度字段的精確的規(guī)范���,以便從TCP數(shù)據(jù)流中重組電報(bào)�����。電報(bào)路由器TR需要路由信息的精確規(guī)范(接收者和發(fā)起者)�。如果電報(bào)結(jié)構(gòu)被改變以用于其它的使用,則這些模塊必須相應(yīng)地進(jìn)行修改��。
在過(guò)濾器的輸入處以擾碼狀態(tài)給出電報(bào)���,即接收數(shù)據(jù)的所有比特都借助于XOR與預(yù)定的比特模式結(jié)合����。過(guò)濾器設(shè)備STL-PR接收的電報(bào)由防火墻STL-PU來(lái)進(jìn)行擾碼��。對(duì)從數(shù)據(jù)網(wǎng)絡(luò)N2接收的電報(bào)在STL-PR的N1端輸入處的下游進(jìn)行擾碼����。在過(guò)濾器的輸入處,電報(bào)借助于XOR被恢復(fù)到初始狀態(tài)�。在N1側(cè)輸入處的擾碼只有在為了電報(bào)過(guò)濾器TF雙向等同地執(zhí)行功能的情況下才有必要;它不具有安全功能�。
電報(bào)過(guò)濾器TF使用幾個(gè)過(guò)濾器規(guī)則。每個(gè)過(guò)濾器規(guī)則都依次包括若干條件�����。在所有的條件都為真的情況下,過(guò)濾器規(guī)則被認(rèn)為已經(jīng)滿(mǎn)足����,然后電報(bào)可以通過(guò)。一旦啟動(dòng)安全轉(zhuǎn)換器STL���,就從過(guò)濾器規(guī)則文件中讀出過(guò)濾器規(guī)則�����。原則上,能夠相對(duì)于基于偏移和長(zhǎng)度的任意模式來(lái)實(shí)現(xiàn)過(guò)濾����。因此例如相對(duì)于電報(bào)類(lèi)型(信息類(lèi)型)、技術(shù)類(lèi)型發(fā)起者地址���、技術(shù)類(lèi)型接收者地址來(lái)說(shuō)進(jìn)行過(guò)濾也是可能的�����。
這里有三個(gè)不同的類(lèi)型的過(guò)濾器規(guī)則肯定規(guī)則����、否定規(guī)則和檢查規(guī)則。永遠(yuǎn)預(yù)先確定檢查電報(bào)所依照的過(guò)濾器規(guī)則的順序1.否定規(guī)則的列表2.肯定規(guī)則的列表3.檢查規(guī)則肯定規(guī)則應(yīng)是互斥的�。在應(yīng)用否定過(guò)濾器規(guī)則的情況下,電報(bào)被拒絕并被記錄����。如果對(duì)一個(gè)電報(bào)應(yīng)用了肯定規(guī)則,則該電報(bào)被允許通過(guò)并向前路由�����。檢查規(guī)則應(yīng)用于專(zhuān)用檢查電報(bào)�,其是監(jiān)控安全轉(zhuǎn)換器STL的完整性所必需的。如果這些過(guò)濾器規(guī)則均未應(yīng)用到一個(gè)電報(bào)����,則將所述的電報(bào)記錄并拒絕。
過(guò)濾器規(guī)則包括表2中再現(xiàn)的元素����。
表2過(guò)濾器規(guī)則的結(jié)構(gòu)過(guò)濾器文件的結(jié)構(gòu)由以下XML模式來(lái)定義<?xml version=″1.0″e(cuò)ncoding=″UTF-8″��?>
<xsdschema xmlnsxsd=″http//www.w3.org/2001/XMLSchema″xmlns=″http//www.w3.org/2001/XMLSchema″>
<xsdelement name=″Filter Rules″>
<xsdcomplexType>
<xsdsequence>
<xsdelement name=″Filter Rule″maxOccurs=″unbounded″>
<xsdcomplexType>
<xsdsequence>
<xsdelement name=″Name″type=″xsdstring″/>
<xsdelement name=″Throughput″type=″xsdinteger″/>
<xsdelement name=″PatternEntry″maxOccurs=″unbounded″>
<xsdcomplexType>
<xsdsequence>
<xsdelement name=″Startposition″
type=″xsdinteger″/>
<xsdelement name=″Pattern″type=″xsdstring″/>
<xsdelement name=″Bitmask″type=″xsdstring″minOccurs=″0″/>
</xsdsequence>
</xsdcomplexType>
</xsdelement>
</xsdsequence>
</xsdcomplexType>
</xsdelement>
</xsdsequence>
</xsdcomplexType>
</xsdelement>
</xsdschema>
XML格式的過(guò)濾器規(guī)則文件的示例<�?xml version=″1.0″e(cuò)ncoding=″iso-8859-1″��?>
<Filter Rules>
<Filter Rule>
<Name>KF Condition</Name>
<Throughput>0</Throughput>
<PatternEntry>
<Startposition>1</Startposition>
<Pattern>062050</Pattern>
</PatternEntry>
<PatternEntry>
<Startposition>3</Startposition>
<Pattern>062052</Pattern>
</PatternEntry>
</Filter Rule>
<Filter Rule>
<name>ZNK-SER</Name>
<Throughput>50</Throughput>
<PatternEntry>
<Startposition>1</Startposition>
<Pattern>072554</Pattern>
<Bitmask>f0ff10</Bitmask>
</PatternEntry>
<PatternEntry>
<Startposition>8</Startposition>
<Pattern>06</Pattern>
<Bitmas k>0a</Bitmask>
</PatternEntry>
</Filter Rule>
<Filter Rule>
<name>Checking Rule</Name>
<Throughput>4</Throughput>
<PatternEntry>
<Startposition>1</Startposition>
<Pattern>ffffff</Pattern>
<Bitmask>f0ffff</Bitmask>
</PatternEntry>
</Filter Rule>
</Filter Rules>
能夠經(jīng)由配置文件激活的SBS協(xié)議的MD4附錄檢查還可選地由電報(bào)過(guò)濾器來(lái)執(zhí)行��。當(dāng)該功能被打開(kāi)時(shí)��,安全轉(zhuǎn)換器STL在電報(bào)過(guò)濾器TF的輸入處對(duì)于每個(gè)未檢查的電報(bào)創(chuàng)建MD4哈希碼�����,并且將其與傳輸?shù)碾妶?bào)的MD4附錄相比較�����。在這個(gè)處理中�����,在每個(gè)實(shí)例中只有低階的64位MD4哈希碼相互比較,因?yàn)樵赟BS電報(bào)中只傳輸128位MD4哈希碼的一半�����。非保形(non-conformal)的電報(bào)被記錄并拒絕����。
另外�����,電報(bào)過(guò)濾器TF執(zhí)行吞吐量限制功能�。為了防止具有所允許電報(bào)的IB1應(yīng)用的泛濫�,STL-PR中的吞吐量通過(guò)電報(bào)過(guò)濾器TF來(lái)限制?��?隙ㄟ^(guò)濾器規(guī)則和檢查規(guī)則被認(rèn)為是一個(gè)邏輯過(guò)濾器通道�,電報(bào)經(jīng)過(guò)它們能夠通過(guò)過(guò)濾器���。對(duì)于每個(gè)肯定規(guī)則���,能夠經(jīng)由配置文件來(lái)設(shè)置一個(gè)閾值(每個(gè)單位時(shí)間的電報(bào)數(shù))。對(duì)超過(guò)該閾值的電報(bào)進(jìn)行記錄并拒絕��。
電報(bào)路由器TR基于SBS地址來(lái)實(shí)現(xiàn)路由功能�。一個(gè)規(guī)劃的路由表位于過(guò)濾器設(shè)備STL-PR中。SBS路由器從每個(gè)電報(bào)中提取發(fā)起者和接收SBS地址��,并基于項(xiàng)目規(guī)劃來(lái)路由電報(bào)�����。這意指,它經(jīng)由已經(jīng)確定的連接來(lái)向前路由電報(bào)�����。路由表中還包括用于檢查電報(bào)的條目���,它們具有相應(yīng)的檢查部件P1���、P2作為其目標(biāo)。
檢查部件P1�����、P2的任務(wù)是檢查電報(bào)過(guò)濾器TF�����、看門(mén)狗電路WD1��、WD2以及檢查部件P1����、P2自身的功能能力����。對(duì)于電報(bào)過(guò)濾器TF是否知道和是否正在應(yīng)用過(guò)濾器規(guī)則不斷地進(jìn)行檢查�����。為此���,專(zhuān)用檢查電報(bào)被周期性地發(fā)送回防火墻STL-PU,并從那兒被發(fā)送回過(guò)濾器設(shè)備STL-PR�。
檢查部件根據(jù)一個(gè)明確的方案產(chǎn)生并發(fā)送檢查電報(bào)。下面�����,所述的方案將被指定為檢查方案�����。兩個(gè)檢查部件都循環(huán)地����、但是以時(shí)間偏移的方式來(lái)執(zhí)行相同的檢查方案。時(shí)間偏移通過(guò)以時(shí)移方式啟動(dòng)檢查部件P1���、P2并且以變化的開(kāi)始索引來(lái)開(kāi)始檢查計(jì)劃來(lái)獲得���。在STL-PR的啟動(dòng)過(guò)程中����,檢查部件P1首先被啟動(dòng)�,并且開(kāi)始執(zhí)行索引1處的檢查計(jì)劃。然后�����,檢查部件P2在15s后啟動(dòng)并在索引11處開(kāi)始����。因此,檢查部件P1開(kāi)始在幾分鐘之后檢驗(yàn)看門(mén)狗電路WD1���;檢查部件P2只有在24小時(shí)后才檢驗(yàn)看門(mén)狗電路WD2���。因此,每24小時(shí)就交替地檢驗(yàn)兩個(gè)看門(mén)狗電路WD1�����、WD2中的一個(gè)�����。
檢查方案在圖10中被說(shuō)明為表3�����。所述檢查方案包括下列段過(guò)濾器測(cè)試����、吞吐量限制檢查、序列號(hào)檢查�����、校驗(yàn)和檢查以及看門(mén)狗檢查�����。兩個(gè)檢查電報(bào)之間的時(shí)間間隔在這里小于看門(mén)狗的超時(shí)值��。檢查部件本身并不知道相應(yīng)段的功能�。從檢查方案中得到字段信息類(lèi)型、延遲系數(shù)和看門(mén)狗延遲����,并將其插入將要被發(fā)送的檢查電報(bào)中���。檢查部件依照檢查方案用一個(gè)訛誤(corruption)模式完成其自身的序列號(hào),并且把所述序列號(hào)輸入到將要被發(fā)送的檢查電報(bào)中�。事實(shí)上,只有一旦在檢查方案內(nèi)�,序列號(hào)才會(huì)確實(shí)地被誤用(用不正確的序列號(hào)發(fā)送電報(bào))。訛誤字節(jié)根據(jù)檢查方案被輸入到檢查電報(bào)中����。為了檢查電報(bào)還要?jiǎng)?chuàng)建一個(gè)MD4附錄。
將必須被電報(bào)過(guò)濾器拒絕的電報(bào)指定為中毒電報(bào)(poisoningtelegram)�����,因?yàn)樵阱e(cuò)誤地不拒絕它們的情況下��,它們會(huì)導(dǎo)致其中一個(gè)看門(mén)狗的連接中斷����。
中毒電報(bào)是一個(gè)專(zhuān)用檢查電報(bào)。如果它由檢查部件P1�����、P2接收,則假定了安全故障狀態(tài)��。為此�����,一個(gè)中毒電報(bào)包含一個(gè)很高的延遲系數(shù)�。如果檢查部件P1����、P2接收這類(lèi)電報(bào),則推遲下一個(gè)將要根據(jù)檢查方案發(fā)送的電報(bào)�����,以至于在看門(mén)狗超時(shí)值之內(nèi)不發(fā)送生存標(biāo)記���。因此����,相關(guān)的看門(mén)狗電路永久地中斷網(wǎng)絡(luò)�����。這個(gè)狀態(tài)不能被另外的檢查電報(bào)改變;因此中毒電報(bào)的接收是不可逆轉(zhuǎn)的����。
此外,還定義了一個(gè)看門(mén)狗重置電報(bào)��。如果檢查部件接收了一個(gè)具有這個(gè)專(zhuān)用信息類(lèi)型的檢查電報(bào)����,則它初始化看門(mén)狗卡??撮T(mén)狗卡的中繼器在該初始狀態(tài)中已經(jīng)變得可操作,即STL-PR和STL-PU之間的連接沒(méi)有被中斷��。
在示例性方式中(看門(mén)狗超時(shí)值=67s)���,檢查方案將被理解如下1.每30s發(fā)送一個(gè)檢查電報(bào)10次2.等待30s3.每100ms發(fā)送一個(gè)檢查電報(bào)10次4.等待10ms5.發(fā)送1個(gè)中毒電報(bào)6.等待29s7.發(fā)送1個(gè)檢查電報(bào)
8.等待2s9.發(fā)送1個(gè)具有不正確序列號(hào)的中毒電報(bào)10.等待2s11.發(fā)送1個(gè)具有檢查規(guī)則的訛誤字節(jié)=0xFF的中毒電報(bào)12.等待2s13.發(fā)送1個(gè)校驗(yàn)和的訛誤字節(jié)=0xFF的中毒電報(bào)14.等待24s15.發(fā)送1個(gè)檢查電報(bào)16.等待2s17.發(fā)送1個(gè)看門(mén)狗重置電報(bào)18.等待70s19.發(fā)送1個(gè)中毒電報(bào)20.等待18s21.每30s發(fā)送一個(gè)檢查電報(bào)2865次22.等待30s23.每30s發(fā)送一個(gè)檢查電報(bào)2880次(對(duì)應(yīng)于24小時(shí))24.從1開(kāi)始�。
檢查電報(bào)具有下列結(jié)構(gòu)-長(zhǎng)度電報(bào)長(zhǎng)度-發(fā)起者地址發(fā)送電報(bào)的部件的具體STL的SBS地址-接收者地址接收電報(bào)的部件的具體STL的SBS地址-序列號(hào)連續(xù)號(hào)-信息類(lèi)型具體STL檢查電報(bào)信息類(lèi)型(過(guò)濾器測(cè)試���、看門(mén)狗重置)-延遲系數(shù)延遲系數(shù)-看門(mén)狗延遲看門(mén)狗延遲-校驗(yàn)和與靜態(tài)系統(tǒng)數(shù)據(jù)的存儲(chǔ)映射有關(guān)的校驗(yàn)和-校驗(yàn)和的訛誤字節(jié)校驗(yàn)和的故意訛誤-檢查規(guī)則的訛誤字節(jié)檢查電報(bào)的故意訛誤
-MD4附錄與整個(gè)電報(bào)有關(guān)的校驗(yàn)和需要序列號(hào)以用于創(chuàng)建校驗(yàn)和�;借助于這些號(hào)碼�����,每個(gè)檢查電報(bào),并因此每個(gè)檢查電報(bào)的校驗(yàn)和也都是不同的���。所有的檢查電報(bào)都包含一個(gè)連續(xù)的序列號(hào)����。在發(fā)送檢查電報(bào)的過(guò)程中�,每個(gè)檢查部件在這里插入其之前發(fā)送電報(bào)的數(shù)量。其序列號(hào)小于之前接收的序列號(hào)的進(jìn)入檢查電報(bào)會(huì)被拒絕����。
檢查部件在其數(shù)據(jù)中包括一個(gè)時(shí)間間隔系數(shù)��。在接收一個(gè)檢查電報(bào)的過(guò)程中��,所包含的延遲系數(shù)被乘以該時(shí)間間隔系數(shù)�����,并且將結(jié)果存儲(chǔ)為新的時(shí)間間隔系數(shù)����。發(fā)送兩個(gè)檢查電報(bào)之間的時(shí)間間隔由時(shí)間間隔系數(shù)和時(shí)間間隔(參見(jiàn)檢查方案中的“時(shí)間間隔”欄)的乘積來(lái)計(jì)算。檢查部件在它向看門(mén)狗發(fā)送消息(生存標(biāo)記或重置)之前等待這個(gè)時(shí)間����。
OAM模塊向文件寫(xiě)入事件�,這通常也被指定為″記錄″��。將記錄以下事件-未授權(quán)電報(bào)�����,-超過(guò)閾值的電報(bào)��,-安全故障狀態(tài)��,-由STL-PU經(jīng)由系統(tǒng)記錄報(bào)告的事件(系統(tǒng)記錄具有到STL-PU的UDP連接����,經(jīng)由該連接接收系統(tǒng)記錄消息),-記錄器能夠經(jīng)由配置文件這樣來(lái)設(shè)置�,以使它還經(jīng)由STL記錄全部的數(shù)據(jù)業(yè)務(wù),即它記錄所有的電報(bào)��。
OAM維護(hù)一個(gè)到ASA的接口�。原則上,將所有的前述事件都報(bào)告給ASA���。為了避免例如由于吞吐量的持續(xù)超出而造成的系統(tǒng)過(guò)載�,可以配置每個(gè)單位時(shí)間最多報(bào)告多少事件。OAM循環(huán)地把STL的狀態(tài)報(bào)告給ASA��。
ASA的任務(wù)是使得OAM模塊報(bào)告的事件可在數(shù)據(jù)網(wǎng)絡(luò)N1中可用于IB1系統(tǒng)管理����。而且,ASA監(jiān)控OAM模塊是否正在循環(huán)地報(bào)告STL的狀態(tài)��。如果情況不是這樣��,則將一個(gè)錯(cuò)誤消息中繼給IB1的系統(tǒng)管理��。
過(guò)濾器設(shè)備STL-PR的獨(dú)立功能中的完整性檢查的發(fā)生的方式將在下面描述��。
必須在正在進(jìn)行的操作中不斷地監(jiān)控電報(bào)過(guò)濾器TF的功能���。這借助于專(zhuān)用的過(guò)濾器規(guī)則檢查電報(bào)來(lái)進(jìn)行。檢查電報(bào)只通過(guò)檢查電報(bào)過(guò)濾器通道���,即它之前通過(guò)過(guò)濾器規(guī)則系統(tǒng)的所有的肯定和否定過(guò)濾器規(guī)則��。最后的過(guò)濾器規(guī)則是一個(gè)檢查電報(bào)的肯定規(guī)則��。因此�����,將檢查電報(bào)評(píng)估為已授權(quán)����,并且將其經(jīng)由電報(bào)路由器TR轉(zhuǎn)發(fā)給檢查部件P1、P2��。如果檢查部件P1����、P2已經(jīng)接收到這個(gè)檢查電報(bào),則它向看門(mén)狗電路WD1�����、WD2發(fā)送一個(gè)生存標(biāo)記����。因此保證了電報(bào)過(guò)濾器TF正在起作用,即正在應(yīng)用過(guò)濾器規(guī)則��。檢查部件P1����、P2中缺少檢查電報(bào)的接收會(huì)導(dǎo)致發(fā)射到看門(mén)狗電路WD1��、WD2的生存標(biāo)記的暫停�。在圖4中示出了過(guò)濾器檢查的情況的流程圖����。
檢查部件P1、P2基于它們的檢查方案彼此發(fā)送檢查電報(bào)��。這些電報(bào)用于過(guò)濾器檢查����,并且用作看門(mén)狗電路WD1、WD2的生存標(biāo)記觸發(fā)����。檢查方案受到到達(dá)電報(bào)內(nèi)包含的延遲系數(shù)的影響。延遲系數(shù)在一般情況中等于1�����,即檢查方案保持不受影響��。檢查部件在看門(mén)狗延遲(已經(jīng)從接收到的檢查電報(bào)中讀出看門(mén)狗延遲)期滿(mǎn)之后向它的看門(mén)狗電路發(fā)送一個(gè)生存標(biāo)記�。借助于這個(gè)處理,確保了向兩個(gè)看門(mén)狗電路都提供生存標(biāo)記���,并且該網(wǎng)絡(luò)連接CTN保持存在�。
過(guò)濾器故障時(shí)的情況在圖5中以一個(gè)流程圖的形式來(lái)表示�。
情況1如果檢查電報(bào)不再通過(guò)過(guò)濾器,則電報(bào)過(guò)濾器TF被認(rèn)為已經(jīng)故障����。檢查部件P1、P2則不再接收檢查電報(bào)��,即不再將生存標(biāo)記發(fā)送給看門(mén)狗電路WD1�����、WD2���?���?撮T(mén)狗電路WD1���、WD2然后永久地中斷網(wǎng)絡(luò)連接CTN����。由此,已經(jīng)建立安全故障狀態(tài)�����。
情況2如果所有的電報(bào)都通過(guò)過(guò)濾器���,則電報(bào)過(guò)濾器TF被認(rèn)為已經(jīng)故障��。根據(jù)檢查方案��,分發(fā)一個(gè)中毒電報(bào)��,其已經(jīng)故意地誤用了一個(gè)字節(jié)��。所述中毒電報(bào)仍然是一個(gè)檢查電報(bào)���,但是它不遵循電報(bào)過(guò)濾器TF的檢查電報(bào)規(guī)則;在電報(bào)過(guò)濾器起作用的情況下它將被拒絕��。此外�����,這個(gè)情況另外還將在吞吐量限制檢查期間被顯示出來(lái)���,因?yàn)槿绻掏铝肯拗撇黄鹱饔脛t中毒電報(bào)還是會(huì)被接收�。由此���,不再分發(fā)檢查電報(bào)�����。然后�,看門(mén)狗電路永久地中斷網(wǎng)絡(luò)連接CTN��,并且已經(jīng)建立安全故障狀態(tài)�。
另外,防火墻STL-PU還假定了安全故障狀態(tài)��,因?yàn)椴辉偻ㄟ^(guò)它傳輸檢查電報(bào)�����。
數(shù)量限制也被配置在檢查電報(bào)的過(guò)濾器規(guī)則中��。檢查部件以規(guī)律的間隔發(fā)送檢查電報(bào)的突發(fā)����。這類(lèi)突發(fā)的最后一個(gè)電報(bào)總是一個(gè)專(zhuān)用中毒電報(bào)����。如果吞吐量限制起作用�����,則這類(lèi)中毒電報(bào)永遠(yuǎn)不能到達(dá)檢查部件P1�、P2,因?yàn)樵陔妶?bào)過(guò)濾器TF中它已經(jīng)被拒絕�。如果吞吐量限制發(fā)生故障,則檢查部件P1�����、P2接收這個(gè)中毒電報(bào)��;然后�����,檢查部件P1�、P2不再向看門(mén)狗電路發(fā)送生存標(biāo)記。由此而獲得了安全故障狀態(tài)��。
在圖6中,看門(mén)狗電路WD1�、WD2的檢驗(yàn)以一個(gè)流程圖的形式來(lái)表示����。在這種情況下,以規(guī)律的間隔做檢查����,以檢查是否每個(gè)看門(mén)狗電路WD1、WD2能夠建立安全故障狀態(tài)�����。檢查部件的檢查方案包含一個(gè)用于看門(mén)狗檢查的段�。基于該檢查方案�,檢查部件P1發(fā)送一個(gè)專(zhuān)用看門(mén)狗重置電報(bào)。在這個(gè)檢查電報(bào)中���,看門(mén)狗延遲大于看門(mén)狗電路的看門(mén)狗超時(shí)值��?�;谠摽撮T(mén)狗重置電報(bào)的接收����,檢查部件P2在電報(bào)內(nèi)包含的看門(mén)狗延遲期滿(mǎn)之后產(chǎn)生一個(gè)對(duì)看門(mén)狗電路WD2的重置命令?;谒臋z查方案,檢查部件P1首先不再進(jìn)一步發(fā)送檢查電報(bào)�。看門(mén)狗電路WD2因此在其看門(mén)狗超時(shí)值內(nèi)沒(méi)有獲得生存標(biāo)記�����,并且中斷該網(wǎng)絡(luò)直到它接收到重置之時(shí)為止�����。就在看門(mén)狗重置電報(bào)之后�,檢查部件P1向檢查部件P2發(fā)送一個(gè)中毒電報(bào)。然而�,這個(gè)電報(bào)沒(méi)有到達(dá)檢查部件P2,因?yàn)榭撮T(mén)狗電路WD2已經(jīng)中斷了網(wǎng)絡(luò)�。檢查部件P1因此再次向檢查部件P2發(fā)送“正常的”檢查電報(bào),其會(huì)觸發(fā)看門(mén)狗電路WD2的生存標(biāo)記�����,同時(shí)看門(mén)狗電路WD2已經(jīng)借助于該重置來(lái)重建網(wǎng)絡(luò)連接。
相同的情況也以時(shí)移方式(根據(jù)檢查方案)由檢查部件P2來(lái)運(yùn)行�,并且由此檢驗(yàn)看門(mén)狗電路WD1。
在圖7中用一個(gè)流程圖來(lái)示出看門(mén)狗電路故障的情況�。如果看門(mén)狗電路WD2發(fā)生故障,則網(wǎng)絡(luò)不被中斷����,即檢查部件P2接收該中毒電報(bào)��。這在檢查部件P1中導(dǎo)致了生存標(biāo)記被暫停發(fā)送到看門(mén)狗電路WD2����,看門(mén)狗電路WD2然后會(huì)中斷網(wǎng)絡(luò)。因此�����,甚至在看門(mén)狗電路WD1發(fā)生故障的情況下���,也可借助于第二看門(mén)狗電路WD1來(lái)獲得安全故障狀態(tài)����。相同的情況應(yīng)用于“故障的看門(mén)狗電路WD1”����。
兩個(gè)檢查部件互相檢驗(yàn)���。檢查部件P1向檢查部件P2發(fā)送檢查電報(bào);檢查部件P2向檢查部件P1發(fā)送檢查電報(bào)��。如果一個(gè)檢查部件發(fā)生故障或出錯(cuò)��,則不再將生存標(biāo)記發(fā)送到相關(guān)聯(lián)的看門(mén)狗電路�����。由此����,獲得了安全故障狀態(tài)。
此外�����,確保了將從硬盤(pán)讀入的數(shù)據(jù)在STL啟動(dòng)時(shí)還沒(méi)有被誤用��。為此����,在寫(xiě)入之后,由這些數(shù)據(jù)創(chuàng)建校驗(yàn)和,并且將其與類(lèi)似地在硬盤(pán)上的校驗(yàn)和相比較���。如果存在差值�,則終止安全轉(zhuǎn)換器STL的啟動(dòng)��。
已經(jīng)被讀入的靜態(tài)系統(tǒng)數(shù)據(jù)必須被不斷地檢查以避免存儲(chǔ)器中隨機(jī)的訛誤�����。這些數(shù)據(jù)由不同的部件(檢查部件P1����、檢查部件P2����、電報(bào)過(guò)濾器TF)保持在不同的存儲(chǔ)區(qū)域中。對(duì)于每個(gè)接收的檢查電報(bào)����,過(guò)濾器部件由一個(gè)字節(jié)序列創(chuàng)建校驗(yàn)和,該序列包括-在其自身的存儲(chǔ)器中的過(guò)濾器規(guī)則-在其自身的存儲(chǔ)器中的檢查方案-序列號(hào)(接收的電報(bào)的組成部分)����。
這個(gè)校驗(yàn)和由過(guò)濾器部件輸入到檢查電報(bào)中,并且將其中繼給電報(bào)路由器TR。正在接收的檢查部件類(lèi)似地由其自身的存儲(chǔ)器中的過(guò)濾器規(guī)則和檢查方案以及所接收的序列號(hào)來(lái)創(chuàng)建校驗(yàn)和���。檢查部件比較來(lái)自接收的電報(bào)的校驗(yàn)和+訛誤字節(jié)與具體計(jì)算的校驗(yàn)和+訛誤字節(jié)=0(固定編碼的)��。如果檢查部件確定了一個(gè)差值���,則部件的靜態(tài)系統(tǒng)數(shù)據(jù)已經(jīng)被誤用。正在檢測(cè)的檢查部件然后拒絕這個(gè)檢查電報(bào)��,即不向看門(mén)狗發(fā)送生存標(biāo)記�����。幾個(gè)被拒絕的檢查電報(bào)會(huì)導(dǎo)致安全故障狀態(tài)���。
在圖8中序列號(hào)檢查和校驗(yàn)和檢查被顯示為一個(gè)流程圖���。為此,以規(guī)律間隔檢查是否正在拒絕具有無(wú)效校驗(yàn)和的電報(bào)���。檢查部件的檢查方案包含一個(gè)用于校驗(yàn)和檢查的段�����?����;谒臋z查方案����,該檢查部件發(fā)送一個(gè)具有訛誤字節(jié)=0xFF的中毒電報(bào)。如果該檢查起作用��,則拒絕這個(gè)電報(bào)�����,并且正在運(yùn)行的系統(tǒng)保持不受影響����。另外��,以規(guī)律的間隔檢查是否正在拒絕具有無(wú)效序列號(hào)的電報(bào)��。檢查部件的檢查方案包含一個(gè)用于序列號(hào)檢查的段�����。基于它的檢查方案��,該檢查部件發(fā)送一個(gè)具有無(wú)效序列號(hào)的中毒電報(bào)����。如果該序列號(hào)檢查起作用,則拒絕這個(gè)電報(bào)��,并且正在運(yùn)行的系統(tǒng)保持不受影響�����。
序列號(hào)檢查或校驗(yàn)和檢查的故障導(dǎo)致圖9中以流程圖形式示出的情況���。如果校驗(yàn)和檢查或序列號(hào)檢查不再起作用�,則中毒電報(bào)會(huì)到達(dá)檢查部件����。這會(huì)導(dǎo)致安全故障狀態(tài)。
已經(jīng)參考安全轉(zhuǎn)換器STL在IB3和IB1之間的轉(zhuǎn)換的具體應(yīng)用描述了本發(fā)明����。但是,當(dāng)然�����,它同樣地適用于IB2-IB1的轉(zhuǎn)換。轉(zhuǎn)換到IB2還是IB3取決于ZLV總線的連接��。為簡(jiǎn)化起見(jiàn)只考慮了轉(zhuǎn)換到IB3的情況�,因?yàn)樵谄渌闆r中這些要求是更適中的。
權(quán)利要求
1.一種用于把與較低安全級(jí)別有關(guān)的數(shù)據(jù)網(wǎng)絡(luò)連接到與較高安全級(jí)別有關(guān)的數(shù)據(jù)網(wǎng)絡(luò)的裝置�����,包括-電報(bào)過(guò)濾器�,用于根據(jù)預(yù)定的過(guò)濾器規(guī)則從具有較低安全級(jí)別的所述數(shù)據(jù)網(wǎng)絡(luò)中過(guò)濾電報(bào),-第一檢查部件�����,其被設(shè)計(jì)用于產(chǎn)生檢查電報(bào)并經(jīng)由所述電報(bào)過(guò)濾器把它們發(fā)送到第二檢查部件����,以及-由所述第二檢查部件激活的看門(mén)狗電路�����,其被設(shè)計(jì)用于���,只要它從所述第二檢查部件接收規(guī)律的生存標(biāo)記��,就保持具有較低安全級(jí)別的所述數(shù)據(jù)網(wǎng)絡(luò)和具有較高安全級(jí)別的所述數(shù)據(jù)網(wǎng)絡(luò)之間的連接是閉合的���,并且其被設(shè)計(jì)用于����,如果它在預(yù)定時(shí)段內(nèi)沒(méi)有接收到生存標(biāo)記����,則自動(dòng)地中斷該連接,所述第二檢查部件被設(shè)計(jì)用于��,在接收到根據(jù)所述過(guò)濾器規(guī)則被允許的檢查電報(bào)之后����,產(chǎn)生一個(gè)用于所述看門(mén)狗電路的生存標(biāo)記,并且在接收到根據(jù)所述過(guò)濾器規(guī)則不被允許的檢查電報(bào)之后���,至少在所述預(yù)定時(shí)段內(nèi)禁止產(chǎn)生用于所述看門(mén)狗電路的生存標(biāo)記���。
2.根據(jù)權(quán)利要求1的裝置,其中�����,該所述第二檢查部件包括時(shí)間間隔系數(shù),該系數(shù)影響一個(gè)時(shí)間間隔�,在該時(shí)間間隔之后產(chǎn)生用于所述看門(mén)狗電路的生存標(biāo)記,并且其中所述檢查電報(bào)包括延遲系數(shù)����,該延遲系數(shù)被乘以計(jì)時(shí)器的延遲值,根據(jù)所述過(guò)濾器規(guī)則被允許的電報(bào)包括所述延遲系數(shù)1�����,而根據(jù)所述過(guò)濾器規(guī)則不被允許的電報(bào)包括更高的延遲系數(shù)����。
3.根據(jù)權(quán)利要求1的裝置,包括第二看門(mén)狗電路����,其由所述第一檢查部件來(lái)激活,并且其被設(shè)計(jì)用于��,只要它從所述第一檢查部件接收規(guī)律的生存標(biāo)記�,就保持具有較低安全級(jí)別的所述數(shù)據(jù)網(wǎng)絡(luò)和具有較高安全級(jí)別的所述數(shù)據(jù)網(wǎng)絡(luò)之間的連接是閉合的��,并且其被設(shè)計(jì)用于,如果它在預(yù)定的時(shí)段中沒(méi)有接收到生存標(biāo)記�����,則自動(dòng)地中斷該連接�;所述第二檢查部件被設(shè)計(jì)用于產(chǎn)生檢查電報(bào),并經(jīng)由所述電報(bào)過(guò)濾器把它們發(fā)送到所述第一檢查部件�����,并且所述第一檢查部件被設(shè)計(jì)用于�����,在接收到根據(jù)所述過(guò)濾器規(guī)則被允許的檢查電報(bào)之后��,產(chǎn)生用于所述第二看門(mén)狗電路的生存標(biāo)記����,并且在接收到根據(jù)所述過(guò)濾器規(guī)則不被允許的檢查電報(bào)之后,至少在所述預(yù)定時(shí)段內(nèi)禁止產(chǎn)生用于所述第二看門(mén)狗電路的生存標(biāo)記���。
4.根據(jù)權(quán)利要求3的裝置�����,其中�,所述兩個(gè)檢查部件的每一個(gè)都包括時(shí)間間隔系數(shù),該系數(shù)影響一個(gè)時(shí)間間隔����,在該時(shí)間間隔中下一個(gè)檢查電報(bào)被發(fā)送給另一個(gè)檢查部件,并且其中所述檢查電報(bào)包括延遲系數(shù)�,該延遲系數(shù)被乘以該時(shí)間間隔系數(shù)并被存儲(chǔ)作為一個(gè)新的時(shí)間間隔系數(shù),根據(jù)所述過(guò)濾器規(guī)則被允許的電報(bào)包括延遲系數(shù)1����,而根據(jù)所述過(guò)濾器規(guī)則不被允許的電報(bào)包括更高的延遲系數(shù)。
5.根據(jù)權(quán)利要求3的裝置�����,其中所述第一和第二看門(mén)狗電路串聯(lián)地連接�。
6.根據(jù)前述權(quán)利要求之一的裝置,包括一個(gè)具有TCP代理的防火墻�,被設(shè)置在具有較低安全級(jí)別的所述數(shù)據(jù)網(wǎng)絡(luò)和所述電報(bào)過(guò)濾器之間,檢查電報(bào)經(jīng)由所述防火墻從所述檢查部件被路由到所述電報(bào)過(guò)濾器�,并且所述看門(mén)狗電路中的一個(gè)或兩個(gè)被設(shè)計(jì)用于中斷所述防火墻和所述電報(bào)過(guò)濾器之間的連接。
7.根據(jù)前述權(quán)利要求之一的裝置���,其中所述電報(bào)過(guò)濾器和所述兩個(gè)檢查部件采用計(jì)算機(jī)上運(yùn)行的程序模塊的形式�,并且所述第一和/或第二看門(mén)狗電路被構(gòu)造成插入計(jì)算機(jī)中的插入式卡。
8.一種用于檢查裝置的完整性的處理��,該裝置用于把與較低安全級(jí)別有關(guān)的數(shù)據(jù)網(wǎng)絡(luò)連接到與高安全級(jí)別有關(guān)的數(shù)據(jù)網(wǎng)絡(luò)�,并且該裝置包括電報(bào)過(guò)濾器���,以便根據(jù)預(yù)定的過(guò)濾器規(guī)則從具有較低安全級(jí)別的所述數(shù)據(jù)網(wǎng)絡(luò)中過(guò)濾電報(bào)���,還包括看門(mén)狗電路,被設(shè)計(jì)用于�,只要它接收到規(guī)律的生存標(biāo)記,就保持具有較低安全級(jí)別的所述數(shù)據(jù)網(wǎng)絡(luò)和具有較高安全級(jí)別的所述數(shù)據(jù)網(wǎng)絡(luò)之間的連接是閉合的����,并且其被設(shè)計(jì)用于,如果它在預(yù)定時(shí)段上沒(méi)有接收到生存標(biāo)記�����,則自動(dòng)地中斷該連接�,下列步驟在該處理的過(guò)程中被執(zhí)行-產(chǎn)生檢查電報(bào)并經(jīng)由所述電報(bào)過(guò)濾器將其發(fā)送給檢查部件,-在接收到根據(jù)所述過(guò)濾器規(guī)則被允許的檢查電報(bào)之后����,所述檢查部件產(chǎn)生用于看門(mén)狗電路的生存標(biāo)記��,并且在接收到根據(jù)所述過(guò)濾器規(guī)則不被允許的檢查電報(bào)之后��,所述檢查部件至少在預(yù)定時(shí)段內(nèi)禁止產(chǎn)生用于所述看門(mén)狗電路的生存標(biāo)記��。
全文摘要
一個(gè)安全轉(zhuǎn)換器(STL)��,其用于把與較低安全級(jí)別有關(guān)的數(shù)據(jù)網(wǎng)絡(luò)(N2)連接到與較高安全級(jí)別有關(guān)的數(shù)據(jù)網(wǎng)絡(luò)(N1)����,該安全轉(zhuǎn)換器以一定間隔檢驗(yàn)其自身的完整性以確定故障���,并且其中適當(dāng)?shù)赜|發(fā)向安全故障狀態(tài)的轉(zhuǎn)換��。安全故障狀態(tài)存在于從具有較低安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)到具有較高安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)的連接被中斷的情況下����。這借助于看門(mén)狗電路(WD1���、WD2)來(lái)獲得����,只要看門(mén)狗電路接收到規(guī)律的生存標(biāo)記,它就保持具有較低安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)(N2)和具有較高安全級(jí)別的數(shù)據(jù)網(wǎng)絡(luò)(N1)之間的連接(CTN)是閉合的���;并且如果看門(mén)狗電路在預(yù)定時(shí)段上沒(méi)有接收到生存標(biāo)記�,則自動(dòng)地中斷該連接���。
文檔編號(hào)H04L29/06GK1794726SQ200510127559
公開(kāi)日2006年6月28日 申請(qǐng)日期2005年12月5日 優(yōu)先權(quán)日2004年12月23日
發(fā)明者馬丁·格勒格爾, 馬庫(kù)斯·福倫克, 克里斯蒂安·肖爾茨 申請(qǐng)人:阿爾卡特公司