【技术实现步骤摘要】
集成电路
[0001]本申请是2018年12月21日提出的、申请号为201880082813.6、名称为“集成电路”的专利技术申请的分案申请。
[0002]本公开涉及一种集成电路,具体地,涉及一种提供两个网络之间的安全通信的集成电路,例如其中一个网络是安全网络而另一个网络是公共网络。
技术介绍
[0003]物联网(IoT)和其他类型的网络安全中的主要挑战是如何安全地连接设备和网络,以及如何在保持功能性的情况下保护跨网络的操作。在关键基础设施(例如安全操作技术(OT)网络)中,其中数据被推向不安全网络(例如互联网)以用于进一步数据处理,挑战是保护OT网络免受源自公共网络的入侵。OT网络的具体示例是作为发电站的控制系统的一部分的传感器网络。由发电站控制系统的传感器网络中的传感器生成的数据可以是敏感的、有价值的和/或任务关键的,使得对传感器数据的篡改可以表示安全性和安全风险。需要保护数据本身和对由传感器网络中的传感器(诸如认证机制)产生的数据的操作免受源自与传感器网络通信的不安全网络的网络攻击。
[0004]当前的解决方案主要旨在物理地或经由虚拟局域网隔离网络。然而,问题仍然是,在某些时候,安全和不安全的网络需要通信。这是安全网络易受源自不安全网络的网络攻击的点。需要安全、成本有效和可扩展的解决方案。
附图说明
[0005]现在参照附图,为了解释和说明的目的,通过示例的方式描述各种实施例,在附图中:
[0006]图1示出包括经由集成电路与第二网络通信的第一网络的数据传输系统;>[0007]图2更详细地示出了集成电路;以及
[0008]图3更详细地示出了集成电路的安全区域。
具体实施方式
[0009]总体上,根据本公开的集成电路包括第一网络接口处理器和第二网络接口处理器,所述第一网络接口处理器和所述第二网络接口处理器是分离的处理器并且通过第一单向互连连接。所述第一单向互连允许从所述第一网络接口处理器到所述第二网络接口处理器的数据传输,同时防止在相反方向上的数据传输。所述第一网络接口处理器用于与可以是安全网络的第一网络通信,并且所述第二网络接口处理器用于与可以是公共网络(例如,不安全公共网络)的第二网络通信。以这种方式,对从所述第一网络和所述第二网络中的每一个网络接收的数据的处理由单独的处理器执行,并且数据只能从所述第一网络发送到所述第二网络,从而保护所述第一网络免受所述第二网络的影响。
[0010]在本公开的一些方面中,提供一种集成电路。该集成电路包括用于与第一网络通信的第一网络接口处理器和用于与第二网络通信的第二网络接口处理器。所述第二网络接口处理器是与所述第一网络接口处理器分离的处理器。还提供了连接所述第一网络接口处理器和所述第二网络接口处理器的第一单向互连。所述第一单向互连被配置为允许经由所述第一单向互连从所述第一网络接口处理器到所述第二网络接口处理器的数据传输,并且防止经由所述第一单向互连从所述第二网络接口处理器到所述第一网络接口处理器的数据传输。所述第一网络接口处理器被配置为经由所述第一单向互连向所述第二网络接口处理器发送数据,并且所述第二网络接口处理器被配置为经由所述第一单向互连从所述第一网络接口处理器接收数据。
[0011]有利地,在所述第一网络和所述第二网络分别与在所述集成电路的所述第一网络接口处理器和所述第二网络接口处理器通信的情况下,可以是安全网络的所述第一网络能够向可以是公共网络的所述第二网络发送数据,使得在所述第一网络不存在源自所述第二网络的攻击的风险,因为来自在所述第二网络的数据不能经由在所述第一单向互连发送到所述第一网络。这样,所述集成电路保护所述第一网络的任何设备(例如传感器)免受公共第二网络的影响。网络通信的处理被分离到用于两个网络中的每一个的专用处理器上,所述处理器通过所述第一单向互连连接,提供进一步的安全性。此外,以所述集成电路的形式提供此功能性是用于实现从第一网络到第二网络的安全通信的廉价且可扩展的机制。
[0012]在一些实施例中,所述第一单向互连可以包括第一数据二极管,该第一数据二极管被配置为允许经由所述第一单向互连从所述第一网络接口处理器到所述第二网络接口处理器的数据传输,并且防止经由所述第一单向互连从所述第二网络接口处理器到所述第一网络接口处理器的数据传输。在一些实施例中,所述第一数据二极管可以是光学数据二极管。数据二极管允许“单向数据流”。将很好地理解,光学二极管是非限制性示例,并且可以使用具有相应的只读接口和只写接口的硬件寄存器、单向硬件总线或具有主只写接口和从只读接口的单向硬件总线。数据二极管还可以是双存取RAM,其一侧限于写功能而另一侧限于读功能等。
[0013]在一些实施例中,所述第一单向互连还可以包括第一开关,该第一开关被配置为禁用所述第一单向互连,使得当所述第一开关打开时,在所述第一网络接口处理器和所述第二网络接口处理器之间经由所述第一单向互连的数据传输是不可能的。有利地,可以经由所述开关的操作来防止经由所述第一单向互连从所述第一网络接口处理器到所述第二网络接口处理器的数据流。这使得能够完全控制通过所述第一单向互连的数据流,因为所述开关的打开物理地禁用了所述第一单向互连。
[0014]在一些实施例中,所述集成电路还可以包括被配置为控制所述第一开关的操作的安全区域,例如硬件信任根(Root of Trust)。有利地,所述第一单向互连的控制完全由所述安全区域管理,并且可以安全地控制经由所述第一单向互连的所述第一网络和所述第二网络之间的所述数据流的配置。
[0015]在一些实施例中,所述集成电路可以被配置为生成在所述第一网络接口处理器处从所述第一网络接收的数据的认证数据。有利地,在所述第一网络接口处理器处从所述第一网络接收的数据可被提供有相关联的认证数据,使得其可由接收方通过验证所述认证数据来认证,其中,所述接收方拥有适当的验证功能。例如,认证功能可以用于提供认证数据,
并且所述接收方可以拥有验证功能,该验证功能可以用于验证所述认证数据,从而认证与所述认证数据相关联的数据。以这种方式,由不包括用于提供认证数据的任何装置的第一网络产生的数据可以与相关联的认证数据一起由所述集成电路提供,通过所述集成电路可以认证该数据。
[0016]在一些实施例中,所述集成电路还可以包括连接所述第一网络接口处理器和所述第二网络接口处理器的第二单向互连。所述第二单向互连被配置为允许经由所述第二单向互连从所述第二网络接口处理器到所述第一网络接口处理器的数据传输,并且防止经由所述第二单向互连从所述第一网络接口处理器到所述第二网络接口处理器的数据传输。所述第二网络接口处理器可以被配置为经由所述第二单向互连向所述第一网络接口处理器发送数据,并且所述第一网络接口处理器可以被配置为经由所述第二单向互连从所述第二网络接口处理器接收数据。
[0017]在一些实施例中,所述第二单向互连可以包括第二数据二极管,该第二数据二极管被配置为允许经由所述第二单向互连从所述第二网络接口处理器到所述第一网络接口处理本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种集成电路,包括:第一网络接口处理器,用于与第一网络通信;第二网络接口处理器,用于与第二网络通信,其中,所述第二网络接口处理器是与所述第一网络接口处理器分离的处理器;以及第一单向互连,其连接所述第一网络接口处理器和所述第二网络接口处理器,其中,所述第一单向互连被配置为允许经由所述第一单向互连从所述第一网络接口处...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。