Бортовая система управления доступом для связи из открытого домена с доменом бортового радиоэлектронного оборудования

Область техники, к которой относится изобретение

Изобретение относится к бортовой системе управления доступом для передачи данных из открытого домена в домен бортового радиоэлектронного оборудования. Эта система может размещаться на борту летательного аппарата, например самолета.

Уровень техники

Бортовая информационная система представляет собой систему, составленную из двух «доменов»: домена бортового радиоэлектронного оборудования (далее - авионики (AW)), который удовлетворяет четко определенным правилам сертификации, и открытого домена (OW), основанного на общедоступных компьютерных компонентах. В настоящее время связь санкционируется только в направлении от домена авионики к открытому домену вслед за директивами по безопасности обработки данных. Тем не менее, существует необходимость в связи в обоих направлениях, и эта необходимость стала настоятельной в интересах данной системы.

Домен бортового радиоэлектронного оборудования

Домен авионики специально назначается бортовым компьютерам, которые обрабатывают данные для всех функций авионики, в том числе таких ответственных функций, как управление полетом.

Домен авионики должен быть защищен от атак на обрабатываемые данные, чтобы гарантировать его целостность и тем самым гарантировать надежность работы. Бортовое оборудование разрабатывается в соответствии с правилами и инструкциями воздушной навигации, диктуемыми официальными службами, что гарантирует безопасность полетов. Защищенный домен должен быть защищен от попыток неконтролируемого вторжения, которые могут исходить из открытого домена.

Домен авионики назначается для обработки нескольких объектов, включая:

- все необходимое для немедленных операций, влияющих на эксплуатацию летательного аппарата и надлежащее управление полетом;

- все необходимое для подготовки полета к надлежащей эксплуатации;

- сбор некоторых «чувствительных» данных, поступающих с земли.

Открытый домен

«Открытый» домен включает в себя прикладной сервер, предоставляющий главную емкость для эксплуатационных приложений, рабочих приложений и приложений пассажирского салона, которые не оказывают влияния на безопасность полета. Бортовая локальная сеть Ethernet в летательном аппарате позволяет осуществлять обмен информацией между различными компонентами открытого домена. Открытый домен может также связываться с информационной системой, принадлежащей авиационной компании, находящейся на земле, посредством высокоскоростной спутниковой связи.

Этот домен рассматривается как «открытый», потому что он открыт для каждого оператора. Он рассматривается как неконтролируемый, потому что он использует общедоступные компоненты и стандарты обработки данных: локальные сети Ethernet, программное обеспечение и аппаратное обеспечение COTS (готовые компоненты).

Используемые элементы компьютерной защиты должны гарантировать, что любые вирусы и (или) атаки любого типа не смогут распространяться.

«Открытый» домен обеспечивает:

- недорогие решения, например рыночные решения, для снижения сложности, связанной с надежностью, безопасностью и доступностью;

- максимальную гибкость для оператора, который желает установить свои собственные приложения («приложения третьей стороны») с минимальным вовлечением или даже без вовлечения изготовителя летательного аппарата, тем самым ограничивая стоимость и время воплощения;

- легкость инсталляции приложений, за которые отвечает авиакомпания, удовлетворяющих рабочим правилам (FAR 121, FAR 145, …);

- способность приспособления не главных функций / приложений для немедленной работы.

Другое назначение изобретения состоит в учете потребностей, а также общих и конкретных целей бортовой информационной системы, в частности, связанных с надежностью данных, безопасностью, показателями, инсталляцией, конфигурацией и сертификацией летательного аппарата, путем обеспечения бортовой системы управления доступом, дающей возможность осуществлять безопасную связь из открытого домена в домен авионики, чтобы обеспечить двунаправленную связь между доменом авионики и открытым доменом.

Раскрытие изобретения

Изобретение относится к бортовой системе управления доступом к информационной системе на борту летательного аппарата, содержащей домен авионики, удовлетворяющий четко определенным правилам сертификации, и открытый домен на основе стандартных компонентов, доступный для всех операторов, причем эти два домена соединены друг с другом для обеспечения безопасности посредством однонаправленной линии связи из домена авионики в открытый домен. Бортовая система управления доступом содержит:

- средство аутентификации оператора,

- прибор системы безопасности, содержащий:

• набор из двух коммутаторов доступа, управляющих доступом к каждому из этих двух доменов, работающий как электронный замок,

• контроллер, который управляет открыванием этих двух коммутаторов на отрезки времени, которые зависят от операторского профиля,

• модуль для сбора данных из открытого домена, помещения их в буферную память и передачи в домен авионики,

• модуль сбора данных, получающий данные из открытого домена и помещающий их в буферную память,

• модуль управления данными, который определяет критерии фильтрации, применимые ко всем обменам между буферными памятями,

чтобы обеспечить безопасную связь из открытого домена в домен авионики и тем самым разрешить двунаправленную связь между этими двумя доменами.

В первом варианте средство аутентификации оператора содержит средство для считывания электронных карт, биометрическое средство или средство считывания кода.

Во втором варианте средство аутентификации оператора содержит защищенную линию между летательным аппаратом и землей, позволяющую расположенному на земле оператору аутентифицировать себя, причем эта линия далее соединена с контроллером.

Преимущественно коммутаторы являются аппаратными коммутаторами.

Модуль управления может включать в себя защитные механизмы в сетевом, транспортном и прикладном уровнях модели взаимодействия открытых систем (ВОС) (OSI). Преимущественно модуль управления включает в себя средство шифрования. Модуль управления может быть выполнен согласно таблице фильтрации данных.

Преимущественно протоколы, используемые в каждом из этих двух доменов, авионики и открытого домена, различны и участвуют в повышении защиты обменов данных между этими двумя доменами.

Краткое описание чертежей

Фиг.1 показывает бортовую систему управления доступом согласно изобретению.

Фиг.2 - блок-схема алгоритма, иллюстрирующая пример того, как работает бортовая система управления доступом согласно изобретению.

Подробное описание вариантов осуществления изобретения

Как показано на фиг.1, бортовая система управления доступом согласно изобретению включена между доменом 11 авионики и открытым доменом 12. Эти два домена 11 и 12 обычно соединены однонаправленной линией 13 в направлении от домена 11 авионики к открытому домену 12.

Система согласно изобретению содержит:

- прибор 10 системы безопасности, содержащий:

• аппаратные коммутаторы 14 и 15, обеспечивающие доступ к каждому из этих доменов,

• контроллер 16,

• модуль 17 для сбора данных, буферизации и передачи в домен 11 авионики,

• модуль 18 управления данными («брандмауэр»), и

• модуль 19 сбора данных для данных из открытого домена 12 и для буферизации,

- средство 20 аутентификации оператора.

В первом варианте средство аутентификации оператора состоит из устройства аутентификации, которое, например, включает в себя средство для считывания электронной карты, биометрическое средство или средство считывания кода.

Во втором варианте средство аутентификации оператора содержит защищенную линию между летательным аппаратом и землей, позволяющую расположенному на земле оператору аутентифицировать себя, причем эта линия далее соединена с контроллером 16.

Бортовая система управления доступом согласно изобретению подобна «электронному замку», содержащему коммутатор доступа к каждому из доменов, домену авионики и открытому домену. Данные могут проходить из одного домена в другой, когда коммутатор доступа к другому домену замкнут, тем самым исключается постоянная физическая линия связи между двумя доменами, и можно обеспечить защищенную связь между этими двумя доменами.

Открывание и закрывание двух аппаратных коммутаторов 14 и 15 управляется прибором 10 системы безопасности после того, как оператор аутентифицирован. Прибор 10 системы безопасности обеспечивает защищенную линию в направлении, противоположном линии 13, из открытого домена 12 к домену 11 авионики.

Объем передаваемых данных определяется на основе емкости двух модулей 17 и 19 регистрации, буферизации и передачи.

Благодаря прибору 10 системы безопасности линия из открытого домена в домен авионики всегда разомкнута, что препятствует постоянному доступу в домен авионики, ограничивая или запрещая доступ любого злоумышленника.

Этот прибор 10 системы безопасности имеет следующие функции.

Контроллер 16

Контроллер 16 принимает аутентификационные данные оператора и определяет правила, используемые прибором 10 системы безопасности, который работает в зависимости от параметров, задаваемых оператором профиля. Контроллер 16 конфигурирует прибор 10 системы безопасности в зависимости от операторов, чтобы выполнить соединение между открытым доменом и доменом авионики. В частности, контроллер 16 назначает временное окно, которое зависит от параметров оператора и в течение которого возможна связь. Он управляет размыканием коммутаторов 14 и 15 доступа на отрезки времени, которые зависят от параметров оператора, найденного во время аутентификации оператора.

Модуль 19 доступа

Модуль 19 доступа к открытому домену 12 учитывает использование первого протокола и сохраняет в буферной памяти данные, исходящие из открытого домена 12.

Модуль 17 доступа

Модуль 17 доступа в домен 11 авионики позволяет использовать второй протокол и сохраняет в буферной памяти (посредством модуля 18 управления) данные, исходящие из открытого домена 12, чтобы их можно было передавать в домен 11 авионики.

Модуль 18 управления

Модуль 18 управления обеспечивает защиту между открытым доменом 12 и доменом 11 авионики. В частности, он выполняет функцию брандмауэра. Для достижения этого он может быть выполнен согласно таблице фильтрации данных, в которой критерии фильтрации определены и доступны для всех обменов между буферными памятями. Этот модуль 18 управления проверяет целостность данных.

Уровень защиты, который должен применяться, определяется в виде функции от типа передаваемых данных. Примерами рисков, подлежащих учету, являются, в частности, атаки злоумышленников, коммерческий шпионаж, случайное раскрытие данных компании (пользователи, служащие или сведения о компании) и атаки, приводящие к отказу в обслуживании.

Первый и второй протоколы выбираются из протоколов, общеизвестных для специалистов. Они могут быть различными и тем самым участвовать в защите обменов данных между открытым доменом 12 и доменом 11 авионики.

Такой модуль 18 управления традиционно включает в себя защитные механизмы для следующих уровней модели ВОС («взаимодействия открытых систем»):

- сетевой уровень,

- транспортный уровень,

- прикладной уровень.

Он может использовать шифрование для обеспечения конфиденциальности, аутентификации и для улучшения целостности.

Коммутаторы 14 и 15 доступа

Контроллер 16 управляет размыканием и замыканием коммутаторов 14 и 15 доступа. Они работают наподобие электронного замка, в котором данные могут проходить из одного домена в другой, только когда коммутатор в противоположном домене закрыт, что предотвращает любую физическую линию связи между двумя доменами.

Процесс, в котором данные передаются между открытым доменом 12 и доменом 11 авионики, включает в себя следующие этапы:

- Аутентификация оператора

Контроллер 16 регистрирует данные, переданные устройством 20 аутентификации оператора, и назначает права в зависимости от параметров пользователя в следующих этапах:

• замкнуть коммутатор 15 доступа открытого домена,

• инициализировать первый протокол,

• сохранить данные в буферной памяти.

- Сохранить данные в буферной памяти

• сохранить данные в буферной памяти в модуле 19, из которого удалены все предыдущие данные, для всех подлежащих передаче данных-кандидатов,

• разомкнуть коммутатор 15 доступа открытого домена.

- Проверить / отфильтровать данные

• передать данные, сохраненные в буферной памяти, в модуль 18 управления,

• отфильтровать данные в зависимости от найденных критериев фильтрации.

- Сохранить санкционированные данные в буферной памяти

• проверить, что коммутаторы 14 и 15, управляющие доступом в домен 11 авионики и открытый домен 15, открыт и закрыт соответственно,

• передать данные в модуль 17 буферизации после того, как все предыдущие данные удалены,

• стереть память в модуле 19,

• замкнуть коммутатор 14 доступа домена авионики (при этом коммутатор 15 доступа открытого домена разомкнут),

• инициализировать второй протокол для передачи данных из регистрирующего модуля 17 в домен авионики.

Фиг.2 является блок-схемой алгоритма, иллюстрирующей примерную работу системы согласно изобретению.

Эта блок-схема алгоритма включает в себя следующие этапы:

- этап 21: инициализация конфигурации системы согласно изобретению; коммутатор 15 доступа к открытому домену 12 в разомкнутом состоянии, а коммутатор 14 доступа к домену 11 авионики в замкнутом состоянии,

- этап 22: обновление системы согласно изобретению, при этом принимается конфигурация 23 управления доступом и аутентификация или правила 24 управления доступом,

- проверка 25 для изменения конфигурации системы согласно изобретению, при этом

• на выходе 26 коммутатор 15 в разомкнутом состоянии, а коммутатор 14 в замкнутом состоянии, после чего следует этап 27 инициализации второго протокола (завершение работы домена авионики) и возврат к этапу 21,

• на выходе 28 коммутатор 15 в замкнутом состоянии, а коммутатор 14 в разомкнутом состоянии, после чего следует

∗ этап 29: инициализация первого протокола (завершение работы открытого домена),

∗ этап 30: сохранение данных в буферной памяти и регистрация данных из открытого домена,

∗ этап 31: фильтрация данных (функция брандмауэра), при этом принимают конфигурацию 32 фильтрации данных,

∗ этап 33: запоминание допустимых данных и возврат перед этапом 25 изменения конфигурации, и

∗ этап 34: стирание буферной памяти.

Данные передаются между открытым доменом 12 и доменом 11 авионики следующим образом:

- выход 28 после проверки 25 используется на первом этапе,

- выход 26 после той же самой проверки 25 используется на втором этапе.

1. Бортовая система управления доступом к информационной системе на борту летательного аппарата, содержащей домен авионики, удовлетворяющий четко определенным правилам сертификации, и открытый домен на основе стандартных компонентов, доступный для всех операторов, причем эти два домена для обеспечения безопасности соединены друг с другом посредством однонаправленной линии связи от домена авионики к открытому домену, отличающаяся тем, что она содержит:
средство аутентификации оператора,
прибор системы безопасности, содержащий:
набор из двух коммутаторов доступа, управляющих доступом к каждому из указанных двух доменов, работающий как электронный замок,
контроллер, управляющий открыванием этих двух коммутаторов в течение отрезков времени, которые зависят от параметров оператора,
модуль для сбора данных из открытого домена, помещения их в буферную память и передачи в домен авионики,
модуль сбора данных, получающий данные из открытого домена и помещающий их в буферную память,
модуль управления данными, который определяет критерии фильтрации, применимые ко всем обменам между буферными памятями, с тем, чтобы обеспечить безопасную передачу данных из открытого домена в домен авионики и тем самым разрешить двунаправленную связь между этими двумя доменами.

2. Система по п.1, в которой средство аутентификации оператора содержит средство для считывания электронных карт, или биометрическое средство, или средство считывания кода.

3. Система по п.1, в которой средство аутентификации оператора содержит защищенную линию связи между летательным аппаратом и землей, позволяющую расположенному на земле оператору идентифицировать себя.

4. Система по п.1, в которой коммутаторы являются аппаратными коммутаторами.

5. Система по п.1, в которой модуль управления включает в себя защитные механизмы в сетевом, транспортном и прикладном уровнях модели взаимодействия открытых систем (OSI).

6. Система по п.1, в которой модуль управления включает в себя средство шифрования.

7. Система по п.1, в которой модуль управления выполнен согласно таблице фильтрации данных.

8. Система по п.1, в которой протоколы, используемые в каждом из этих двух доменов, домена авионики и открытого домена, различны и позволяют повысить защищенность информационного обмена между этими двумя доменами.

9. Система по любому из пп.1-8, в которой летательный аппарат является самолетом.

10. Летательный аппарат, использующий систему по п.1.