Код документа: RU2719094C1
Изобретение относится к устройству с технической системой, в частности системой безопасности, и управляющему устройству для управления системой посредством управляющих команд для изменения технического состояния системы.
В основе изобретения лежит задача создания устройства, которое обеспечивало бы запрос данных из устройства управления посредством внешнего устройства удаленного запроса, однако надежным образом препятствовало бы манипулированию извне устройством управления.
Эта задача решается, согласно изобретению, посредством устройства с признаками п. 1 формулы. Предпочтительные варианты устройства охарактеризованы в зависимых пунктах формулы.
Согласно изобретению, предусмотрено, что к устройству управления подключено интерфейсное устройство, которое образует внешний интерфейс для подключения к внешнему устройству удаленного запроса, причем интерфейсное устройство содержит устройство контроля, выполненное таким образом, что оно проверяет принятый сигнал удаленного запроса на наличие команды запроса, хранящейся как разрешенная в интерфейсном устройстве, и в случае разрешения подает на устройство управления только команду запроса и блокирует подачу сигнала удаленного запроса как такового или всех других управляющих команд, которые не являются хранящимися как разрешенные команды запроса.
Существенное преимущество предложенного устройства следует усматривать в том, что интерфейсное устройство обеспечивает удаленный запрос данных о системе из устройства управления и, тем самым, всей технической системе, не нарушая при этом безопасность ее эксплуатации, поскольку интерфейсное устройство предотвращает непосредственную подачу управляющих сигналов или управляющих команд в устройство управления или техническую систему. Согласно изобретению, после приема сигнала удаленного запроса происходит проверка на наличие хранящейся как разрешенная команды запроса, и только в случае обнаружения таковой интерфейсным устройством происходит косвенная подача на устройство управления только соответствующей команды запроса. Следовательно, сигнал удаленного запроса как таковой не доходит до устройства управления.
В частности, в области железнодорожной техники должны выполняться высокие требования к безопасности; в соответствии с этим рассматривается как предпочтительное, если система обеспечения безопасности является железнодорожной системой, а управляющие команды, которые изменяли бы техническое состояние системы, являются такими, которые изменяли бы эксплуатационное состояние железнодорожной системы.
В отношении особенно хорошего развязывания между устройством управления и внешним устройством удаленного запроса рассматривается как предпочтительное, если интерфейсное устройство выполнено двух- или многоступенчатым и содержит два или более интерфейсных модулей, которые через интерфейсы каскадом включены друг за другом, причем между, по меньшей мере, двумя из интерфейсных модулей передача сигналов происходит по другому стандарту передачи или на основе иного пакетного протокола, нежели связь между интерфейсным устройством и устройством удаленного запроса.
Предпочтительно, если первый в каскаде интерфейсный модуль, связанный с внешним устройством удаленного запроса, выполнен таким образом, что он при наличии сигнала удаленного запроса, содержащего признанную как разрешенную команду запроса, подает на следующий в каскаде интерфейсный модуль исключительно команду запроса, а именно с изменением пакетного протокола или на основе беспакетной передачи сигналов (т.е. при полном отсутствии пакетного протокола).
В рассматриваемом как особенно предпочтительное выполнении устройства предусмотрено, что интерфейсное устройство содержит внутренний и внешний интерфейсные модули, содержащие соответственно внутренний и внешний интерфейсы, внутренний интерфейсный модуль посредством своего внутреннего интерфейса, называемого далее первым интерфейсом, соединен с устройством управления, а посредством своего внешнего интерфейса, называемого далее вторым интерфейсом, - с вышестоящим интерфейсным модулем модульного каскада, в случае двух интерфейсных модулей - с внешним интерфейсным модулем, внешний интерфейсный модуль посредством своего внутреннего интерфейса, называемого далее третьим интерфейсом, соединен с интерфейсом нижестоящего интерфейсного модуля, в случае двух интерфейсных модулей - с внутренним интерфейсным модулем, посредством своего внешнего интерфейса, называемого далее четвертым интерфейсом, - с устройством удаленного запроса, а устройство контроля содержится во внешнем интерфейсном модуле.
Устройство контроля содержится преимущественно во внешнем интерфейсном модуле.
В отношении эффективного развязывания между устройством управления и внешним устройством запроса рассматривается как предпочтительное, если четвертый интерфейс является пакетно-ориентированным интерфейсом, который осуществляет основанную на протоколе связь с устройством удаленного запроса на основе заданного внешнего пакетного протокола, а передача данных между, по меньшей мере, двумя из интерфейсных модулей, в случае двух интерфейсных модулей между вторым и третьим интерфейсами, основана на внутренней беспакетной передаче сигналов или на внутреннем пакетном протоколе, отличающемся от внешнего пакетного протокола.
Внутренний интерфейсный модуль выполнен преимущественно таким образом, что он при наличии команды запроса на своем втором интерфейсе подает команду запроса на первый интерфейс и, тем самым, на устройство управления, а именно на основе третьего пакетного протокола, отличающегося от внутреннего пакетного протокола и/или от внешнего пакетного протокола, или на основе беспакетной передачи сигналов, отличающейся от внутренней беспакетной передачи сигналов.
При наличии команды запроса устройство управления может передавать запрошенные данные через интерфейсное устройство на внешнее устройство удаленного запроса.
В одном особенно предпочтительном варианте предусмотрено, что параллельно, по меньшей мере, последнему в каскаде интерфейсному модулю, если смотреть от устройства удаленного запроса, т.е. тому, который связан с устройством управления, в частности внутреннему интерфейсному модулю в случае двух интерфейсных модулей, или параллельно, в целом, интерфейсному устройству включен диод данных, а при наличии команды запроса устройство управления передает запрошенные данные через диод данных и, тем самым, мимо связанного с устройством управления интерфейсного модуля, в частности внутреннего интерфейсного модуля в случае двух интерфейсных модулей, или мимо, в целом, интерфейсного устройства на внешнее устройство удаленного запроса. За счет передачи данных мимо, в целом, интерфейсного устройства или мимо, по меньшей мере, одного из интерфейсных модулей предпочтительным образом достигается высокая скорость передачи данных, поскольку имеющиеся в продаже диоды данных обычно рассчитаны на высокие скорости их передачи.
В отношении проведения удаленного обновления рассматривается как предпочтительное, если интерфейсное устройство содержит память для хранения одной или нескольких, рассматриваемых как действительные подписей и выполнено таким образом, что оно проверяет принятое на своем внешнем интерфейсе обновление программного обеспечения на наличие одной или нескольких, хранящихся как действительные подписей, при успешной проверке подписей выполняет обновление программного обеспечения, а при неудавшейся не выполняет.
Кроме того, изобретение относится к способу эксплуатации устройства, содержащего техническую систему, в частности систему обеспечения безопасности, и управляющее системой устройство управления, которое посредством управляющих команд может изменять техническое состояние системы.
В части такого способа, согласно изобретению, предусмотрено, что посредством внешнего устройства удаленного запроса на предвключенное устройству управления интерфейсное устройство подается сигнал удаленного запроса, интерфейсное устройство проверяет, содержит ли сигнал удаленного запроса хранящуюся в интерфейсном устройстве как разрешенная команду запроса данных о системе, в случае, если хранящаяся как разрешенная команда запроса содержится в сигнале удаленного запроса, эта команда запроса подается на устройство управления, а в противном случае не подается, а в случае разрешенной команды запроса запрошенные данные передаются на внешнее устройство удаленного запроса.
В отношении преимуществ предложенного способа следует сослаться на приведенные выше рассуждения в связи с предложенным устройством.
Предпочтительно, если перед подачей команды запроса на устройство управления она подается внешним интерфейсным модулем интерфейсного устройства сначала на внутренний интерфейсный модуль интерфейсного устройства, а именно с изменением пакетного протокола или на основе беспакетной передачи сигналов, а затем - внутренним интерфейсным модулем интерфейсного устройства на устройство управления.
Внутренний интерфейсный модуль осуществляет подачу команды запроса на устройство управления преимущественно на основе третьего пакетного протокола, отличающегося от внутреннего пакетного протокола и/или от внешнего пакетного протокола, или на основе беспакетной передачи сигналов, отличающейся от внутренней беспакетной передачи сигналов.
Предпочтительно, если параллельно, по меньшей мере, последнему в каскаде интерфейсному модулю, если смотреть от устройства удаленного запроса, т.е. тому, который связан с устройством управления, в частности, следовательно, внутреннему интерфейсному модулю в случае двух интерфейсных модулей, или параллельно, в целом, интерфейсному устройству включен диод данных, поляризованный таким образом, что данные могут передаваться в направлении внешнего устройства удаленного запроса, а при наличии команды запроса запрошенные данные передаются через диод данных и, тем самым, мимо связанного с устройством управления интерфейсного модуля, в частности внутреннего интерфейсного модуля в случае двух интерфейсных модулей, или мимо, в целом, интерфейсного устройства на внешнее устройство удаленного запроса.
Для выполнения обновления программного обеспечения подписывается преимущественно файл обновления программного обеспечения, а именно на основе одной или нескольких хранящихся в интерфейсном устройстве как действительные подписей. Подписанный файл обновления программного обеспечения передается преимущественно на интерфейсное устройство, которое проверяет этот файл на наличие одной или нескольких хранящихся как действительные подписей. При успешной проверке подписей выполняется содержащееся в файле обновление программного обеспечения, а при неудавшейся не выполняется.
Изобретение более подробно поясняется ниже на примерах его осуществления; при этом на чертежах схематично изображают:
- фиг. 1: пример выполнения устройства с технической системой и управляющим системой устройством управления, причем в целях удаленного запроса устройство управления связано с интерфейсным устройством;
- фиг. 2: пример выполнения устройства, у которого параллельно интерфейсному устройству включен диод данных;
- фиг. 3: пример выполнения устройства, у которого интерфейсное устройство содержит память для хранения подписей;
- фиг. 4: пример выполнения устройства, у которого интерфейсное устройство образовано каскадом включенных друг за другом интерфейсных модулей;
- фиг. 5: пример выполнения устройства, у которого интерфейсное устройство содержит каскад интерфейсных модулей, а параллельно каскаду включен диод данных;
- фиг. 6: устройство из фиг. 5, причем в которого интерфейсном устройстве дополнительно предусмотрена память подписей;
- фиг. 7: пример выполнения устройства, у которого интерфейсное устройство образовано каскадом включенных друг за другом интерфейсных модулей, и имеется диод данных, который обеспечивает поток данных от устройства управления в один из интерфейсных модулей интерфейсного устройства;
- фиг. 8: пример выполнения устройства, соответствующего по конструкции устройству из фиг. 7, причем в интерфейсном устройстве дополнительно предусмотрена память подписей.
Для наглядности на чертежах идентичные или сопоставимые компоненты обозначены одинаковыми ссылочными позициями.
На фиг. 1 изображено устройство с технической системой 10, у которой речь идет, например, о железнодорожной системе. Техническая система 10 связана с устройством управления 20, которая может управлять технической системой 10 и изменять ее состояние посредством управляющих команд SB. У устройства управления 20 речь может идти, например, о компьютере поста централизации стрелок и сигналов или о компьютере поста управления.
С устройством управления 20 связано интерфейсное устройство 30, которое образует внешний интерфейс для подключения к внешнему устройству 40 удаленного запроса. Интерфейсное устройство 30 позволяет посредством устройства 40 удаленного запроса подавать через интерфейсное устройство 30 на устройство управления 20 команды удаленного запроса, чтобы инициировать передачу запрошенных данных D.
Интерфейсное устройство 30 содержит устройство контроля 31, которое обрабатывает входящие сигналы FAS(AB) удаленного запроса, обнаруживает содержащиеся в них команды АВ запроса и, в случае если они разрешены или обнаруживаются как разрешенные, подает их на устройство управления 20, чтобы запрошенные посредством команды АВ запроса данные D могли передаваться устройством управления 20 через интерфейсное устройство 30 на устройство 40 удаленного запроса. Для проверки команд АВ запроса устройство контроля 31 содержит память 32, в которой хранятся все рассматриваемые как разрешенные команды запроса.
Устройство на фиг. 1 может эксплуатироваться, например, следующим образом.
Для запроса данных D из устройства управления 20 во внешний интерфейс 30ех интерфейсного устройства 30 посредством устройства 40 удаленного запроса подается сигнал FAS(AB) удаленного запроса. Этот сигнал FAS(AB) поступает в устройство контроля 31, которое проверяет сигнал FAS(AB) на наличие в нем команды АВ запроса. Если такая команда АВ запроса идентифицирована, то проверяется, рассматривается ли такая команда АВ запроса как разрешенная. Для этого устройство контроля 31 обращается к памяти 32, в которой хранятся все рассматриваемые как разрешенные команды запроса. Другими словами, устройство контроля 31 сравнивает содержащаяся в сигнале FAS(AB) удаленного запроса команда АВ запроса с хранящимися в памяти 32 командами запроса и подает соответствующую команду АВ запроса через внутренний интерфейс 30in на устройство управления 20, если команда запроса была обнаружена в памяти 32 и в соответствии с этим является разрешенной. Если в памяти 32 не найдено никакой соответствующей записи, то устройство контроля 31 делает из этого вывод о том, что команда АВ запроса недействительна и не может быть подана.
Если в устройство управления 20 от интерфейсного устройства 30 поступит команда АВ запроса, то устройство управления передаст запрошенные данные D через интерфейсное устройство 30 на устройство 40 удаленного запроса. Интерфейсное устройство 30 на фиг. 1 обеспечивает, тем самым, удаленный запрос данных D технической системы 10 посредством устройства 40 удаленного запроса, если в рамках удаленного запроса передаются разрешенные команды запроса, однако оно блокирует любую непосредственную передачу управляющих команд или команд АВ запроса на устройство управления 20. Последнее, тем самым, защищено интерфейсным устройством 30 от непосредственного или прямого доступа со стороны устройства 40 удаленного запроса.
На фиг. 2 изображен пример выполнения системы, у которой диод 50 данных включен параллельно интерфейсному устройству 30. Диод 50 данных обеспечивает однонаправленную передачу данных от устройства управления 20 в направлении устройства 40 удаленного запроса, однако блокирует любую передачу сигналов или данных в обратном направлении, т.е. здесь от устройства 40 удаленного запроса к устройству управления 20. Таким образом, последнее защищено диодом 50 данных от непосредственного доступа со стороны устройства 40 удаленного запроса.
Если посредством устройства 40 удаленного запроса на интерфейсное устройство 30 посредством сигнала FAS(AB) удаленного запроса передается команда АВ запроса, то интерфейсное устройство 30 направит команду АВ запроса на устройство управления 20. Последнее передаст запрошенные данные D через диод 50 данных на устройство 40 удаленного запроса.
Преимущество устройства на фиг. 2 заключается в том, что при соответствующем выполнении диода данных может быть достигнута более высокая скорость передачи данных, чем у устройства на фиг. 1, у которого данные D передаются через двунаправленно работающее интерфейсное устройство 30.
В остальном рассуждения в связи с фиг. 1 относятся к примеру на фиг. 2.
На фиг. 3 изображен пример устройства, у которого интерфейсное устройство 30 дополнительно выполнено с памятью 33. В ней хранятся рассматриваемые как действительные подписи.
С помощью хранящихся в памяти 33 подписей устройство контроля 31 может установить, правильно ли подписан поступивший на внешнем интерфейсе 30ех интерфейсного устройства 30, подписанный файл обновления программного обеспечения и можно ли выполнить содержащееся в этом файле обновление программного обеспечения.
Устройство на фиг. 3 может эксплуатироваться, например, следующим образом.
Если должно быть обновлено интерфейсное устройство 30 и/или устройство управления 20, то создается файл обновления программного обеспечения, содержащий соответствующее обновление программного обеспечения интерфейсного устройства 30 и устройства управления 20. Затем файл обновления программного обеспечения подписывается, причем создается подписанный файл обновления программного обеспечения. Подписанный файл обновления программного обеспечения обозначен на фиг. 3 SUD(sig).
Устройство контроля 31 проверит поступивший на внешнем интерфейсе 30ех, подписанный файл SUD(sig) обновления программного обеспечения на наличие правильной подписи, причем оно учитывает хранящиеся в памяти 33 подписи. Если оно установит, что файл SUD(sig) обновления программного обеспечения подписан хранящейся в памяти 33 подписью или правильно подписан, то оно разрешит выполнение обновления программного обеспечения и, если обновление программного обеспечения относится к интерфейсному устройству 30, само выполнит обновление программного обеспечения, или, если обновление программного обеспечения относится к устройству управления 20, то передаст обновление программного обеспечения на устройство управления 20 для выполнения.
Подписание и контроль подписей могут быть основаны, например, на ключевой паре с открытым и закрытым ключами, как это известно, например, в шифровании PGP или S/MIME.
В остальном рассуждения в связи с фиг. 1, 2 относятся к устройству на фиг. 3. Передача данных D в направлении устройства 40 удаленного запроса может осуществляться через интерфейсное устройство 30 (фиг. 1, 3) или через диод 50 данных (фиг. 2).
На фиг. 4 изображен пример интерфейсного устройства 30, включающего в себя каскад из двух включенных друг за другом интерфейсных модулей. Так, на фиг. 4 видны внутренний 300 и внешний 350 интерфейсные модули, содержащие соответственно внутренний и внешний интерфейсы.
Внутренний интерфейсный модуль 300 связан посредством своего внутреннего интерфейса, называемого далее первым интерфейсом S1, с внутренним интерфейсом 30in интерфейсного устройства 30 и, тем самым, с устройством управления 20. Своим внешним интерфейсом, называемым далее вторым интерфейсом S2, внутренний интерфейсный модуль 300 связан с предвключенным внешним интерфейсным модулем 350.
Внешний интерфейсный модуль 350 связан посредством своего внутреннего интерфейса, называемого далее третьим интерфейсом S3, со вторым интерфейсом S2, а посредством своего внешнего интерфейса, называемого далее четвертым интерфейсом S4, - с внешним интерфейсом 30ех интерфейсного устройства 30 и, тем самым, с устройством 40 удаленного запроса.
Устройство контроля 31 интерфейсного устройства 30 расположено преимущественно во внешнем интерфейсном модуле 350, поскольку последний образует первый интерфейсный модуль, если смотреть от устройства 40 удаленного запроса.
Устройство на фиг. 4 может эксплуатироваться, например, следующим образом.
Если на внешнем интерфейсе 30ех интерфейсного устройства 30 или на четвертом интерфейсе S4 внешнего интерфейсного модуля 350 поступает сигнал FAS(AB) удаленного запроса устройства 40 удаленного запроса, то расположенное во внешнем интерфейсном модуле 350 устройство контроля 31 проверит, содержится ли в сигнале FAS(AB) удаленного запроса разрешенная команда АВ запроса. Для этой цели оно запросит память 32, в которой хранятся как разрешенные команды запроса, и проведет соответствующее сравнение. Память 32, содержащая разрешенные команды запроса, является преимущественно составной частью внешнего интерфейсного модуля 350.
Если внешний интерфейсный модуль 350 установит, что команда АВ запроса действительна, то она передается через третий интерфейс S3 на второй интерфейс S2. В отношении оптимального развязывания внутреннего интерфейсного модуля 300 от устройства 40 удаленного запроса, т.е. в отношении максимально хорошей защиты от хакерской атаки, рассматривается предпочтительным, если передача данных между вторым S2 и третьим S3 интерфейсами происходит беспакетно или на основе иной пакетно-ориентированной передачи сигналов, нежели передача данных между устройством 40 удаленного запроса и четвертым интерфейсом S4. Другими словами, должно возникнуть нарушение или нарушение протокола в передаче сигналов, за счет которого внутренний интерфейсный модуль 300 наилучшим образом развязан от устройства 40 удаленного запроса.
При поступлении команды АВ запроса во внутренний интерфейсный модуль 300 он передаст ее на устройство управления 20. Последнее передаст запрошенные данные D затем через интерфейсное устройство 30 на устройство 40 удаленного запроса, как это уже пояснялось в связи с фиг. 1.
На фиг. 5 изображен пример устройства, в основном, соответствующего устройству на фиг. 1, за исключением того, что передача данных D от устройства управления 20 на устройство 40 удаленного запроса происходит не через интерфейсное устройство 30, а через параллельно включенный диод 50 данных, как это уже пояснялось в связи с примером на фиг. 2. В этом отношении следует сослаться на вышеприведенные рассуждения в связи с фиг. 2.
На фиг. 6 изображен пример устройства, соответствующего устройству на фиг. 5, причем во внешнем интерфейсном модуле 350 дополнительно к устройству контроля 31 и памяти 32 имеется еще память 33 подписей. В ней хранятся подписи, которые рассматриваются как действительные и привлекаются для проверки поступающих подписанных файлов SUD(sig) обновления программного обеспечения, как это уже пояснялось выше в связи с фиг. 3.
На фиг. 7 изображен пример устройства, содержащего диод 50 данных, как это предусмотрено также в примерах на фиг. 5 и 6. В отличие от них, диод 50 данных включен иначе. Так, видно, что выход А50 данных диода 50 данных соединен с устройством 40 удаленного запроса не непосредственно, а подключен к внешнему интерфейсному модулю 350, будь то к его третьему интерфейсу S3 или, как на фиг. 7, - к его другому интерфейсу (называемому далее пятым интерфейсом S5). Запрошенные устройством управления 20 данные D передаются, тем самым, от диода 50 данных не непосредственно на устройство 40 удаленного запроса, а сначала на внешний интерфейсный модуль 350, которые передает запрошенные данные затем на устройство 40 удаленного запроса.
За счет расположения диода 50 данных внутри каскада интерфейсных модулей 300, 350 достигается особенно хорошее развязывание между устройством управления 20 и устройством 40 удаленного запроса также в направлении запроса данных D, поскольку диод 50 данных поддерживается внешним интерфейсным модулем 350 при развязывании устройства управления 20 от устройства 40 удаленного запроса.
На фиг. 8 изображено устройство, в основном, соответствующее устройству на фиг. 7; дополнительно предусмотрено, что внешний интерфейсный модуль 350 снабжен памятью 33 подписей, которая для проверки подписанных файлов SUD(sig) обновления программного обеспечения содержит рассматриваемые как разрешенные подписи. В отношении проверки подписанных файлов SUD(sig) обновления программного обеспечения следует сослаться на вышеприведенные рассуждения в связи с фиг. 3 и 6.
Хотя изобретение было подробно проиллюстрировано и описано предпочтительными раскрытыми примерами его осуществления, оно не ограничено ими, и специалист может вывести из них другие варианты, не выходят за объем охраны изобретения.
Изобретение относится к средствам защиты от манипуляций устройством управления извне. В техническом решении к устройству (20) управления подключено интерфейсное устройство (30), которое образует внешний интерфейс для подключения к внешнему устройству (40) удаленного запроса, причем интерфейсное устройство (30) содержит устройство контроля (31), выполненное таким образом, что оно проверяет принятый сигнал (FAS(AB)) удаленного запроса на наличие команды (АВ) запроса, хранящейся в качестве разрешенной в интерфейсном устройстве (30), и в случае разрешения подает на устройство управления (20) только команду (АВ) запроса и блокирует подачу сигнала (FAS(AB)) удаленного запроса как такового или всех других управляющих команд, не являющихся хранящимися в качестве разрешенных команд (АВ) запроса. Достигается повышение защиты от манипуляций устройством управления извне. 2 н. и 13 з.п. ф-ы, 8 ил.