本发明属于通信技术领域,涉及一种航电高低安全网络域间的双向通信系统和方法。
背景技术:
在航空领域中,航电系统中运行的高安全应用为整个飞机的正常运行提供了保障。在传统的飞机系统架构中,航电数据通过专用总线在封闭的机载环境中进行传输,因此不会受到外部信息安保威胁,从而保证了航电数据的安全性。随着信息技术在民用航空电子系统中的大量应用,为了向飞机使用者(如飞机运营商、飞行员、维护人员等)提供更多、更便利的服务,引入了较低安全等级平台组成的、由以太网网络构建的机载网络服务系统,在机载网络服务系统上驻留和运行低安全等级应用。
新型民用飞机航空电子系统网络域划分为高安全网络域和低安全网络域,高安全网络域内驻留和运行安全等级较高的应用(安全等级a~c级),在低安全网络域内驻留和运行安全等级较低的应用(安全等级d~e级)。为了实现服务功能需求,高安全等级应用和低安全等级应用之间需要实时交换大量的数据。为此,高安全网络域将面临来自低安全网络域的网络信息安全威胁,进而对其安全性造成影响,为飞机运营带来安全影响。
技术实现要素:
为了解决航电系统中高低安全网络域间的双向通信问题,本发明提供了一种航电高低安全网络域间的双向通信系统和方法,通过通信控制模块的物理隔离和数据通信流之间的隔离,保证了双向通信时高安全网络的信息安全。
本发明的技术方案是:
一种航电高低安全网络域间的双向通信系统,其特殊之处在于:位于机载信息系统的安全域边界控制装置中,所述双向通信系统包括
信息网络通信代理模块101,位于安全域边界控制装置的系统应用层,用于实现信息网络内的低安全等级应用通信代理功能,根据从信息网络通信控制表102读取的规则对出入安全域边界控制装置的消息实施检查与控制,将检查通过的消息通过单向通信管道发给航电网络发送控制模块103;
航电网络发送控制模块103,位于安全域边界控制装置的系统核心层,根据从航电发送控制表104中读取的检查规则,实现航电网络发送检查与控制,将检查通过的消息发给航电网络发送模块105;
航电网络发送模块105,位于安全域边界控制装置的系统核心层,用于实现航电网络消息发送功能;
航电网络接收模块107,位于安全域边界控制装置的系统核心层,用于实现航电网络消息接收功能,将接收到的网络消息通过单向通信管道发送至信息网络通信代理模块101;
运行监控与日志记录模块109,位于安全域边界控制装置的系统核心层,用于监控信息网络通信代理模块101、航电网络发送控制模块103、航电网络发送模块105、航电网络接收模块107的运行状态,监控信息网络通信控制表102和航电发送控制表104的完整性是否被破坏,同时记录并保存监控日志。
进一步的,航电网络发送模块105,根据航电发送配置表106中的发送配置,封装航电网络通信帧,调用航电网络端节点驱动进行消息发送;航电网络接收模块107,根据航电接收配置表108中的接收配置,调用航电网络端节点驱动接收航电网络通信帧,解析通信帧后,发送网络消息至信息网络通信代理模块101。
进一步的,运行监控与日志记录模块109还用于监控航电发送配置表106、航电接收配置表108的完整性是否被破坏,同时记录并保存监控日志。
本发明同时提供了一种航电高低安全网络域间的双向通信方法,包括以下步骤,
步骤1:低安全网络域流向高安全网络域传输数据;
步骤1.1:信息网络通信代理模块101根据信息网络通信控制表102内的规则,检查外部低安全等级应用发来的数据消息的可信性,如果该消息可信,则将数据信息通过单向通信管道发送给航电网络发送控制模块103,否则转入步骤1.4;
步骤1.2:航电网络发送控制模块103根据航电发送控制表104的规则,检查所述数据消息是否合规,如果该消息合规,则将数据消息通过单向通信管道发送至航电网络发送模块105,否则转入步骤1.4;
步骤1.3:航电网络发送模块105根据航电发送配置表106,将收到的数据消息按照航电网络消息格式封装,经由航电网络发送给高安全等级应用,转至步骤1.5;
步骤1.4:丢弃消息,通知运行监控与日志记录模块109记录日志;
步骤1.5:结束本次传输过程;
步骤2:高安全网络域向低安全网络域传输数据;
步骤2.1:高安全等级应用将航电通信帧通过航电网络发送至航电网络接收模块107;
步骤2.2:航电网络接收模块107收到航电通信帧后,将通信帧解包,获取帧内部的数据消息,根据航电接收配置表108检查该消息的合规性;如果消息合规,则通过单向通信管道发送数据消息至信息网络通信代理模块101,转入步骤2.3;否则转入步骤2.4;
步骤2.3:信息网络通信代理模块101收到数据消息后,按照信息网络通信控制表内101的规则,将数据消息发送至低安全等级应用,转入步骤2.5;
步骤2.4:丢弃消息,通知运行监控与日志记录模块109记录日志;
步骤2.5:结束本次传输过程;
步骤3:运行状态监控过程;
运行监控与日志记录模块109按设定监控周期,监控其它模块的运行状态,监控信息网络通信控制表102、航电发送控制表104、航电发送配置表106和航电接收配置表108的完整性,并记录和保存监控日志;
上述步骤1~步骤3并行进行。
进一步的,上述步骤3)具体为:
步骤3.1,启动运行监控与日志记录模块109;
步骤3.2,运行监控与日志记录模块109检查监控周期时间是否到达,如果到达则进入步骤3.3,否则继续等待;
步骤3.3,运行监控与日志记录模块109采用散列算法计算信息网络通信控制表102的校验码,然后与预先记录的校验码比对;
步骤3.4,如果两个校验码的数值相同,则转入步骤3.5,否则转入步骤3.14;
步骤3.5,运行监控与日志记录模块109采用散列算法计算航电发送控制表104的校验码,然后与预先记录的校验码比对;
步骤3.6,如果两个校验码的数值相同,则转入步骤3.7,否则转入步骤3.14;
步骤3.7,运行监控与日志记录模块109采用散列算法计算航电发送配置表106的校验码,然后与预先记录的校验码比对;
步骤3.8,如果两个校验码的数值相同则转入步骤3.9,否则转入步骤3.14;
步骤3.9,运行监控与日志记录模块109采用散列算法计算航电接收配置表108的校验码,然后与预先记录的校验码比对;
步骤3.10,如果两个校验码的数值相同则转入步骤3.11,否则转入步骤3.14;
步骤3.11,运行监控与日志记录模块109检查信息网络通信代理模块101、航电网络发送控制模块103、航电网络发送模块105、航电网络接收模块107的运行状态;
步骤3.12,如果所有模块的运行状态均正常,则转入步骤3.13,如果任一模块运行状态不正常则转入步骤3.14;
步骤3.13,记录本次监控活动日志,转入步骤3.2;
步骤3.14,记录故障日志,终止信息网络通信代理模块101、航电网络发送控制模块103、航电网络发送模块105和航电网络接收模块107的运行。
进一步的,上述步骤3.3、步骤3.5、步骤3.7和步骤3.9中的散列算法采用sha(securehashalgorithm,安全哈希算法),以保证信息数据的完整性,增强抗攻击能力。
本发明的优点:
1)本发明安全域边界控制装置内部分为系统核心层和系统应用层,在系统应用层部署与低安全等级应用通信的模块,在系统核心层部署与高安全等级应用通信的模块,从而实现模块内部高低安全等级通信控制模块的物理隔离;采用航电网络发送控制模块、航电网络发送模块实现低安全网络域向高安全网络域的数据传输;采用航电网络接收模块实现高安全网络域向低安全网络域的数据传输,两种数据通信流之间实现物理隔离;有效的解决机载环境下高安全网络域与低安全网络域之间双向通信及其安全隔离与流向保护问题,实现了民用客机维护与信息服务一体化机载信息系统与航电网络间的数据双向通信。
2)本发明采用信息网络通信控制表、航电发送控制表、航电发送配置表分别配合信息网络通信代理模块、航电网络发送控制模块、航电网络发送模块,实现了3级由低至高安全等级的通信流安全控制;采用航电接收配置表、信息网络通信控制表分别配合航电网络接收模块、信息网络通信代理模块,实现了2级由高至低安全等级的通信流安全控制;由低至高安全等级的通信流安全控制与由高至低安全等级的通信流安全控制并行运行,不仅实现了分等级的通信安全控制,还兼顾了运行效率。
3)本发明采用运行监控与日志记录模块周期性实时检查信息网络通信控制表、航电发送控制表、航电发送配置表、航电接收配置表的完整性,能及时发现关键运行数据的安全特征,强化了系统的运行安全。
附图说明
图1为本发明双向通信系统的整体架构。
图2为本发明低安全网络域流向高安全网络域的数据流模型。
图3为本发明高安全网络域流向低安全网络域的数据流模型。
图4为本发明低安全网络域向高安全网络域的数据传输过程。
图5为本发明高安全网络域向低安全网络域的数据传输过程。
图6为本发明运行状态监控过程。
具体实施方式
以下结合附图对本发明作详细说明。
一、系统架构组成
本发明双向通信系统的架构组成如图1所示,各功能模块设置在安全域边界控制装置中,包括:
(1)信息网络通信代理模块101:该模块位于安全域边界控制装置的系统应用层,完成信息网络内的低安全等级应用通信代理功能,从信息网络通信控制表102读取规则,对出入安全域边界控制装置的消息实施检查与控制;在发送时,将检查通过的消息发给航电网络发送控制模块103;在接收时,接收来自航电网络接收模块107的消息。
(2)信息网络通信控制表102:位于安全域边界控制装置的系统应用层,在系统应用层内存中分配存储区,保存信息网络通信控制规则,该规则由信息网络通信代理模块101读取;信息网络通信控制表102在通信系统初始化时建立,工作过程中禁止写入或修改,以增强运行时的安全性。
(3)航电网络发送控制模块103:该模块位于安全域边界控制装置的系统核心层,完成航电网络发送检查与控制,检查规则从航电发送控制表104中读取,检查通过的消息由航电网络发送控制模块103发给航电网络发送模块105。
(4)航电发送控制表104:位于安全域边界控制装置的系统核心层,在系统核心层内存中分配存储区,保存航电网络发送控制规则,该规则由航电网络发送控制模块103读取;航电发送控制表104在通信系统初始化时建立,工作过程中禁止写入或修改。
(5)航电网络发送模块105:该模块位于安全域边界控制装置的系统核心层,完成航电网络消息发送功能;该模块根据航电发送配置表106中的发送配置,封装航电网络通信帧,调用航电网络端节点驱动进行消息发送。
(6)航电发送配置表106:位于安全域边界控制装置的系统核心层,在系统核心层内存中分配存储区,保存航电网络发送配置信息,该发送配置信息由航电网络发送模块105读取;航电发送配置表106在通信系统初始化时建立,工作过程中禁止写入或修改。
(7)航电网络接收模块107:该模块位于安全域边界控制装置的系统核心层,完成航电网络通信帧接收功能;该模块根据航电网络接收模块107中的接收配置,调用航电网络端节点驱动接收航电网络通信帧,解析通信帧后,发送消息至信息网络通信代理模块101。
(8)航电接收配置表108:位于安全域边界控制装置的系统核心层,在系统核心层内存中分配存储区,保存航电网络接收配置信息,该接收配置信息由航电网络接收模块107读取;航电接收配置表108在通信系统初始化时建立,工作过程中禁止写入或修改。
(9)运行监控与日志记录模块109:该模块位于安全域边界控制装置的系统核心层,该模块在工作过程中,监控信息网络通信代理模块101、航电网络发送控制模块103、航电网络发送模块105、航电网络接收模块107的运行状态,监控信息网络通信控制表102、航电发送控制表104、航电发送配置表106、航电接收配置表108的完整性是否被破坏,同时记录并保存监控日志。
上述各模块均可采用现有单元实现。
二、数据流模型
本发明通过对数据流进行隔离,实现通信流向的分离控制,数据流模型如图2和图3所示。
(1)参见图2,低安全网络域流向高安全网络域的数据流模型如下:
步骤1:位于低安全网络域的低安全等级应用向信息网络通信代理模块发送数据消息,信息网络通信代理模块接收到数据消息后,按照从信息网络通信控制表中读取的规则,检查数据消息是否可信,并向低安全等级应用发送应答消息。
步骤2:信息网络通信代理模块将数据消息经由单向通信管道发给航电网络发送控制模块。
步骤3:航电网络发送控制模块收到数据消息后,按照从航电发送控制表中读取的检查规则,检查数据消息的合规性,将合规数据消息经由单向通信管道发给航电网络发送模块。
步骤4:航电网络发送模块收到数据消息后,按照从航电发送配置表中读取的发送配置信息,将数据消息封装成航电网络通信帧,通过相应的航电网络端口发送给位于高安全网络域的高安全等级应用。
(2)参见图3,高安全网络域流向低安全网络域的的数据流模型如下:
步骤1:位于高安全网络域的高安全等级应用通过航电网络发送通信帧至安全域边界控制装置,由航电网络接收模块根据从航电接收配置表中读取的接收配置信息接收;
步骤2:航电网络接收模块将航电网络通信帧解包后,通过单向通信管道发送至信息网络通信代理模块;
步骤3:信息网络通信代理模收到航电数据后,按照从信息网络通信控制表中读取的控制规则,将航电数据发送给位于低安全网络域的低安全等级应用。
三、运行过程
本发明分为3部分并行操作的步骤,分别为低安全网络域向高安全网络域的数据传输过程、高安全网络域向低安全网络域的数据传输过程以及运行监控过程。
(1)低安全网络域向高安全网络域的数据传输过程,参见图4:
步骤1,低安全等级应用将数据消息通过信息网络发送至信息网络通信代理模块;
步骤2,信息网络通信代理模块根据信息网络通信控制表内的规则检查数据消息的可信性;
步骤3,如果该消息可信,则转入步骤4,否则转入步骤9;
步骤4,信息网络通信代理模块将数据信息通过单向通信管道传送至航电网络发送控制模块;
步骤5,航电网络发送控制模块收到数据消息后,根据航电发送控制表的规则检查消息的合规性;
步骤6,如果该消息合规,则转入步骤7,否则转入步骤9;
步骤7,航电网络发送控制模块将数据信息通过单向通信管道发送至航电网络发送模块;
步骤8,航电网络发送模块根据航电发送配置表中的发送配置信息,将收到的数据消息按照航电网络消息格式封装,经由航电网络发送给高安全等级应用,转至步骤10;
步骤9,丢弃消息,通知运行监控与日志记录模块记录日志;
步骤10,结束本次传输过程。
(2)高安全网络域向低安全网络域的数据传输过程,参见图5:
步骤1,高安全等级应用将航电通信帧通过航电网络发送至航电网络接收模块;
步骤2,航电网络接收模块收到航电通信帧后,将通信帧解包获取帧内部的数据消息,根据航电接收配置表中的接收配置信息,检查该数据消息的合规性;
步骤3,如果消息合规,则转入步骤4,否则转入步骤6;
步骤4,航电网络接收模块通过单向通信管道,发送数据消息至信息网络通信代理模块;
步骤5,信息网络通信代理模块收到数据消息后,按照信息网络通信控制表内的控制规则,将数据消息发送至低安全等级应用;
步骤6,丢弃消息,通知运行监控与日志记录模块记录日志;
步骤7,结束本次传输过程。
(3)运行状态监控过程,参见图6:
步骤1,启动运行监控与日志记录模块;
步骤2,运行监控与日志记录模块检查监控周期时间是否到达,如果到达则进入步骤3,否则继续等待;
步骤3,运行监控与日志记录模块采用散列算法(可选用sha或md5)计算信息网络通信控制表的校验码,然后与预先记录的校验码比对;
步骤4,如果两个校验码数值相同,则转入步骤5,否则转入步骤14;
步骤5,运行监控与日志记录模块采用散列算法(可选用sha或md5)计算航电发送控制表的校验码,然后与预先记录的校验码比对;
步骤6,如果两个校验码数值相同,则转入步骤7,否则转入步骤14;
步骤7,运行监控与日志记录模块采用散列算法(可选用sha或md5)计算航电发送配置表的校验码,然后与预先记录的校验码比对;
步骤8,如果两个校验码数值相同,则转入步骤9,否则转入步骤14;
步骤9,运行监控与日志记录模块采用散列算法(可选用sha或md5)计算航电接收配置表的校验码,然后与预先记录的校验码比对;
步骤10,如果两个校验码数值相同,则转入步骤11,否则转入步骤14;
步骤11,运行监控与日志记录模块检查信息网络通信代理模块、航电网络发送控制模块、航电网络发送模块、航电网络接收模块的运行状态;
步骤12,如果所有模块的运行状态均正常,则转入步骤13,如果任一模块运行状态不正常,则转入步骤14;
步骤13,记录本次监控活动日志,转入步骤2;
步骤14,记录故障日志,终止信息网络通信代理模块、航电网络发送控制模块、航电网络发送模块、航电网络接收模块的运行。