本發明提出了一種互連不同域的高保障安全網關，該網關具有如下架構：授權位于不同域的應用之間的雙向通信，并且呈現出高保障級別的保護。該網關使用虛擬化平臺，并且包括一組功能塊(9、11、13、15、17)，所述一組功能塊(9、11、13、15、17)被配置成授權沿第一域(5)與第二域(7)之間的兩個不同路徑(19、21)的安全雙向數據流動，所述一組功能塊被分解成多個基本可評估組件，所述多個基本可評估組件中的每個基本可評估組件具有指定功能并且適于與其它預定義的基本組件進行通信。

技術領域

本發明總體涉及互連不同域的高保障安全網關，并且具體涉及在嵌入式基礎設施中的高保障安全網關。

背景技術

在大多數工業領域中，常常使具有不同應用的不同系統彼此通信以便實現分配。每個應用可以被認為是一組功能，并且每個功能是有助于執行該應用要完成的任務的一部分的一款軟件。例如，車輛或飛行器中的許多不同類型的設備需要通過通信系統彼此交換數據，以便實現對車輛或飛行器的操縱。每個類型的設備可以具有一組特定的功能或應用，所述一組特定的功能或應用具有不同級別的關鍵性，這取決于它們的重要性。在應用的關鍵性的作用下將特定的安全級別關聯于每個應用。因此，重要的且實際上有用的是建立如下機制：在不影響應用的安全的情況下允許在具有不同安全級別的域中的應用之間進行信息的有效交換。

一種解決方案將包括：通過在不同的物理系統上容納各個應用來物理地分離不同的應用并且經由網絡通道連接所述應用。經由該網絡通道的數據交換需要由用于保護信息交換的控制裝置來控制。

嵌入式環境的計算資源過去根本不足以容納一個功能。然而現在，由于計算資源的當前日益增長的效率，趨勢是完全相反的并且包括將若干應用或功能放置在同一物理系統上，以便使用由該系統提供的全部計算能力和存儲器存儲能力。這使得能夠避免浪費未使用的資源，進而因此降低生產成本以及對于飛行器、衛星或車輛非常重要的系統的總重量。然而這種架構具有助于誤差的傳播的缺點。實際上，系統的一個部分的任何設計或實施誤差可能導致影響系統的其它部分的故障。從安全角度來解決該困難，例如在飛行器環境中通過現有的集成模塊化航空電子(IMA)架構來消除從系統的一個部分傳播到另一部分的設計或實施誤差。此外，在最近幾年，已經開發出虛擬化技術，以便考慮與惡意企圖有關的安全方面。因此，如今的趨勢是通過為不同應用之間的嚴格運行時間環境隔離提供良好的保障級別以在同一物理系統上容納多個應用。一個這樣的安全架構是基于針對執行環境和嚴格的通信路徑的嚴格的隔離特性所構建的多個獨立的安全級別(MILS)。實際上，在這些應用之間沒有任何干擾的情況下MILS架構允許系統容納具有不同安全級別或相同安全級別的多個應用或功能。

然而，仍然存在如下問題：如何保護以不同的安全級別表征的若干應用的安全同時授權所述應用之間的雙向信息交換。例如，如果由于一個原因或另外的原因而導致系統的一部分變成惡意的，則需要防止系統的該部分試圖故意損壞系統的其它部分。

存在有一些安全技術，其部分解決了以不同的安全級別進行通信的問題。

一種這樣的技術是解決保密方面的Bell-La Padula模型。該模型基于“不向下寫、不向上讀”策略。換言之，不允許具有高安全級別的第一域將任何數據寫入或傳送至具有低安全級別的第二域，但是允許第一域從第二域讀取數據。另一方面，不允許具有低安全級別的第二域從具有高安全級別的第一域讀取數據，但是授權第二域向第一域寫入數據。

另一種已知方法是Biba完整性模型，該模型定義了旨在確保數據完整性的一組訪問規則。該模型基于“不向下讀、不向上寫”策略。換言之，不允許具有高安全級別的第一域讀取或使用來自具有低安全級別的第二域的任何數據。另一方面，不允許第二域向具有高安全級別的第一域寫入或傳送任何數據。

很顯然，上述兩個模型無法同時被實現。因此，為了在同一時間授權關于這兩個模型在兩個域之間的雙向通信，應當實施復雜的應用層代理。然而，復雜的代理很難以高保障級別進行分析。