[go: up one dir, main page]

BE1014777A3 - Systeme de communications securisees, comportant un reseau local par exemple du type ethernet, notamment embarque dans un aeronef. - Google Patents

Systeme de communications securisees, comportant un reseau local par exemple du type ethernet, notamment embarque dans un aeronef. Download PDF

Info

Publication number
BE1014777A3
BE1014777A3 BE2001/0837A BE200100837A BE1014777A3 BE 1014777 A3 BE1014777 A3 BE 1014777A3 BE 2001/0837 A BE2001/0837 A BE 2001/0837A BE 200100837 A BE200100837 A BE 200100837A BE 1014777 A3 BE1014777 A3 BE 1014777A3
Authority
BE
Belgium
Prior art keywords
address
data
network
terminal
multicast
Prior art date
Application number
BE2001/0837A
Other languages
English (en)
Inventor
Marc Vervust
Mark Hugaerts
Original Assignee
Thales Comm Belgium S A
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales Comm Belgium S A filed Critical Thales Comm Belgium S A
Priority to BE2001/0837A priority Critical patent/BE1014777A3/fr
Priority to PCT/FR2002/004258 priority patent/WO2003056754A2/fr
Priority to US10/498,938 priority patent/US20050105527A1/en
Priority to AU2002364636A priority patent/AU2002364636A1/en
Priority to EP02805792A priority patent/EP1461902A2/fr
Application granted granted Critical
Publication of BE1014777A3 publication Critical patent/BE1014777A3/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/189Arrangements for providing special services to substations for broadcast or conference, e.g. multicast in combination with wireless systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/413Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/742Route cache; Operation thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/4028Bus for use in transportation systems the transportation system being an aircraft
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

La présente invention concerne un système de communictions sécurisées comportant un réseau local, par exemple du type Ethernet. Le système comporte au moins un réseau et échangeant des paquets de donnée. Chaque terminal comporte une table mémorisant les adresses des groupes de terminaux avec lequels il peut entrer en communication. Un terminal qui émet un paquet de données sur le réseau en mode multicast crée une adresse réseau multicast (43) dont des bits, par exemple les octets de poids fort, ont une valeur donnée (01 00 5E) et qui comporte l'adresse (43) du groupe destinataire du pacquet de données, chaque terminal comparant l'adresse du groupe destinataire avec le contenu de sa table une fois l'adresse réseau émise sur le réseau. L'invention s'applique notamment pour les systèmes de communication multifonctions où il est nécessaire d'assurer un haut niveau de sécurité dans la transmission des données , comme dc'est le cas par exemple pour certains systèmes embarqués dans des aéronefs.

Description


   <Desc/Clms Page number 1> 
 



   Système de communications sécurisées, comportant un réseau local par exemple du type Ethernet, notamment embarqué dans un aéronef 
La présente invention concerne un système de communications sécurisées comportant un réseau local, par exemple du type Ethernet Elle s'applique notamment pour les systèmes de communication multifonctions où il est nécessaire d'assurer un haut niveau de sécurité dans la transmission de la voix ou de données, comme c'est le cas par exemple pour certains systèmes embarqués dans des aéronefs 
Des systèmes de communications entre plusieurs membres d'un même équipage, embarqués dans des avions par exemple,

   sont connus Dans ce cas les communications peuvent d'ailleurs être étendues à l'extérieur de l'aéronef Les différents membres d'équipage vont échanger entre eux des informations de niveaux de sécurité -différents Tous les destinataires ne peuvent pas recevoir toutes les informations transmises par un opérateur donné Il est donc important que le système puisse de la façon la plus fiable possible séparer les données selon leur niveau de confidentialité afin notamment que chaque opérateur soit sûr que ce sera le destinataire autorisé qui recevra son message La sécurisation du transfert de l'information est un aspect essentiel dans ce type de systèmes de communications,

   le destinataire recevant l'information de façon intentionnelle ou non 
Un but de l'invention est notamment de permettre une transmission fiable des données à l'intérieur d'un réseau de communication local A cet effet, l'invention a pour objet un système de communication, comportant au moins un réseau local et des terminaux connectés à ce réseau et échangeant des paquets de donnée Chaque terminal comporte une table mémorisant les adresses des groupes de terminaux avec lesquels il peut entrer en communication Un terminal qui émet   un   paquet de données sur le réseau en mode multicast crée une adresse réseau multicast dont des bits, par exemple les octets de poids fort, ont une valeur donnée et qui comporte l'adresse du groupe destinataire du paquet de données,

   chaque 

 <Desc/Clms Page number 2> 

 terminal comparant l'adresse du groupe destinataire avec le contenu de sa table une fois l'adresse réseau émise sur le réseau 
D'autres caractéristiques et avantages de l'invention apparaîtront à l'aide de la description qui suit faite en regard de dessins annexés qui représentent la figure 1, un schéma fonctionnel d'un système selon l'invention , - la figure 2, un schéma synoptique d'un système selon l'invention ;

   - la figure 3, une illustration des couches logiciel d'un terminal récepteur intervenant dans le filtrage des données transmises dans le système , la figure 4, une illustration du mode d'adressage des paquets de données utilisé par un terminal émetteur , - la figure 5, une illustration de l'analyse des adresses de paquets transmis effectuée par un terminal récepteur , la figure 6, un exemple de structure d'un paquet de données transmises par un terminal émetteur , - la figure 7, un exemple de classement d'adresses dans une table associée à chaque terminal du système 
La figure 1 présente un schéma fonctionnel d'un système 1 selon l'invention Il permet à plusieurs opérateurs de communiquer, en particulier selon plusieurs niveaux de sécurité et échanger plusieurs types d'informations,

   vocales ou non Ces opérateurs sont par exemple les membres d'équipage d'un avion 
Ce système 1 relie entre eux plusieurs éléments de radiocommunication R,, Rj, 2 Ces éléments sont par exemple des postes tels que des récepteurs radio et des émetteurs radio, ou sont par exemple des ensembles 2 d'écouteurs/ microphones intégrés notamment dans des casques Le système 1 peut encore relier par exemple ces éléments à des moyens d'enregistrement 3, à des moyens de traitement de données 4, à des moyens de commande 5 notamment pour la maintenance.

   Il permet aussi de relier à tous ces éléments des moyens de cryptage KY de façon à protéger certaines données sensibles, ces données représentant une voix ou 

 <Desc/Clms Page number 3> 

 toute autre information, numérisée ou non, lors des communications ou échanges d'informations 
Le système 1 comporte notamment un réseau local 21, par exemple du type LAN à haut débit, dont les n&num;uds comportent des unités d'émission/ réception qui sont reliées à ces éléments R,, KY, 2,3, 4,5 directement ou par l'intermédiaires d'interfaces.

   Ces unités comportent des moyens tels que par exemple des protocoles d'adressage et de communication qui permettent l'aiguillage des données d'un groupe d'éléments à un autre groupe d'éléments 
La figure 2 illustre par un synoptique le système 1 précédent, ce dernier étant par exemple un système de communication multifonctions entre plusieurs opérateurs. 



   Le système comporte au moins des terminaux multicanaux MCTU et des terminaux à simple canal SCTU situées aux   n&num;uds   du réseau 21 Il comporte par ailleurs des interfaces de commande et de contrôle 6 Ces interfaces 6 peuvent être plus ou moins élaborées Les unités MCTU sont reliées à des postes radio R1,. RN, à des moyens de cryptage KY, ainsi par exemple qu'à des moyens de maintenance non représentés.

   Un terminal multicanaux MCTU peut être relié à plusieurs éléments du type poste radio ou moyens de cryptage par exemple Les unités SCTU sont reliées aux interfaces de commande et de contrôle 6 Une unité SCTU et une interface 6 peuvent par exemple être regroupées dans une même boîte Les unités SCTU sont par ailleurs par exemple reliées à des casques audio et des microphones, ou tout autre moyen de communication audio, voire visuel Une interface de commande et de contrôle 6 est une interface homme-machine élaborée, par exemple un panneau de contrôle comportant un écran tactile et diverses touches, qui permet à un opérateur de sélectionner ses canaux de communication.

   L'interface 6 relie donc les unités MCTU et SCTU à des moyens de communication audio du type microphone ou casque, mais aussi à des moyens de contrôle du type touche ou écran tactiles précités Elle est donc par exemple couplée à une station de commande 
Le système 1 peut aussi communiquer avec des interfaces simplifiées CB Une telle interface CB est par exemple une interface homme- machine de base destinée à un opérateur, cette interface est reliée 

 <Desc/Clms Page number 4> 

 directement à une unité MCTU Elle comporte une interface audio qui peut être soit un casque ou un microphone, ou tout autre moyen de communication.

   Une interface CB accède au système à travers un canal de communication propre relié à une unité MCTU En particulier elle n'accède pas à une unité MCTU via le réseau local 21 
Une unité terminale multicanaux MCTU est donc interfacée avec un certains nombre de canaux analogiques et numériques reliés notamment aux postes radio R, et auxmoyens de cryptage KY Un canal analogique, appelé par la suite canal audio, consiste en une ligne bidirectionnelle et un certains nombre d'entrées/ sorties discrètes fournissant un contrôle des émissions et réceptions Le canal est encore appelé   full duplex   dans la littérature anglo-saxonne dans la mesure où les communications peuvent se faire simultanément dans un sens et dans l'autre Un canal numérique, appelé par la suite canal de données, consiste en une ligne bidirectionnelle,

   de type   full duplex   avec des entrées/ sorties discrètes pour fournir un contrôle des émissions et réceptions Chaque MCTU est ainsi interfacée avec le réseau local 21 par un circuit approprié Ce circuit est commandé par une couche logicielle De même, chaque unité SCTU est interfacée avec le réseau 21 par un tel circuit De la sorte, le réseau local 21 interconnecte entre elles toutes les unités MCTU et SCTU Il véhicule toutes les données audio, numériques ou de contrôle à travers tout le système 
Une unité MCTU réalise notamment des conversions analogique- numérique et numérique-analogique pour tous les canaux audio qui lui sont interfaces Elle convertit et route les données d'entrées d'un canal de données vers le réseau 21 Vice et versa, elle convertit et route les données du réseau vers les canaux de données.

   Toutes les données entrantes dans une unité MCTU , audio ou numériques, mais aussi les adresses sont par exemple automatiquement affectées d'un tag selon leur niveau de sécurité De la sorte une donnée peut être reconnue de façon sécurisée et utilisée par un récepteur approprié du réseau 21 En particulier, deux niveaux de sécurité sont à considérer, un niveau dit rouge et un niveau dit noir Si le niveau de sécurité d'un signal, une voix digitalisée ou des données, est rouge ce signal sera affecté d'un premier type de tag, dit rouge Si le niveau de sécurité d'un signal, une voix digitalisée ou des données, est noir ce signal sera affecté d'un deuxième type de tag, dit noir Il est à noter que l'affectation de tags 

 <Desc/Clms Page number 5> 

 n'est pas limité à des tags rouge ou noir,

   mais peut aussi être étendu à d'autres niveaux de sécurité 
Une unité terminale à simple canal SCTU constitue notamment un n&num;ud d'entrée ou de sortie du réseau local 21 pour les signaux audio, représentant particulièrement les voix des différents opérateurs Elle forme donc une entrée / sortie audio pour le système 1 Une unité SCTU comporte ainsi, via une interface de contrôle 6, une liaison avec une interface audio qui peut être par exemple un casque audio, un microphone ou un masque à oxygène L'unité SCTU comporte par exemple un deuxième canal destinée à un observateur Ce deuxième canal n'est pas un canal de données séparé, mais est issu d'un multiplexage analogique avant numérisation des signaux Comme pour l'unité MCTU, un canal analogique, appelé par la suite canal audio,

   consiste en une ligne bidirectionnelle de type   full duplex   et un certains nombre d'entrées / sorties discrètes ou non fournissant un contrôle des émissions et réceptions Les informations de contrôle sont notamment fournies par l'interface 6 associée Ces informations dépendent par exemple du niveau de sécurité demandé et des destinataires ou des émetteurs des messages Comme cela a été indiqué précédemment, une unité SCTU est interfacée directement avec le réseau local 21 par l'intermédiaire d'un circuit approprié Elle réalise notamment les conversions analogique-numérique et numérique-analogique Elle affecte ses données entrantes d'un tag correspondant à leur niveau de sécurité Une unité SCTU est reliée à une interface de contrôle 6 par un bus série Ce bus est seulement utilisé pour le transfert des informations de contrôle,

   c'est-à-dire pour le contrôle et l'analyse des commandes envoyées vers l'interface 6 ou provenant de cette dernière Il ne contient pas des informations de voix L'unité SCTU transfert notamment les données issues de l'interface 6 vers le réseau local 21 
Chaque n&num;ud du système, c'est-à-dire soit une unité MCTU ou une unité SCTU, est physiquement connecté au réseau local 21 par un circuit intégré numérique connu par ailleurs, par exemple à microprocesseur Ce circuit comporte les entrées et sorties nécessaires aux données véhiculées ainsi qu'aux diverses informations de contrôle, y compris l'adressage matériel du circuit Ce dernier est par exemple relié au réseau au moyen d'un nombre de paires de conducteurs, soit quatre conducteurs par 

 <Desc/Clms Page number 6> 

 connexion, deux de type RX et deux de type TX.

   D'autres modes de liaison au réseau sont bien sûr possibles   @   
Un des noeuds du système, une unité MCTU ou une unité SCTU, joue le rôle de serveur, en particulier pour la mise en marche du système 
N'importe quelle unité MCTU ou SCTU peut jouer ce rôle Ce serveur contient la base de données du système Lorsque le serveur est mis en marche, il met à jour la base de données du système dans tous les   n&num;uds   du réseau, c'est-à-dire dans toutes les unités MCTU et SCTU Chaque n&num;

  ud a ainsi la même base de données et a ainsi accès à la configuration opérationnelle de tout   le'   réseau La base de données système permet d'identifier pour chaque poste les opérations autorisées, par exemple les canaux de communication qu'un opérateur peut sélectionner au travers de son interface de commande et de contrôle 6 Quand l'opérateur effectue une sélection et presse par exemple sur un bouton de commande de transmission, le message audio est échantillonné, c'est-à-dire qu'il subit une conversion analogique-numérique par l'unité SCTU reliée à l'interface 6 Puis il est par exemple traité pour former un paquet de données d'une certaine longueur   #t   Il est alors transféré sur le réseau local 21 Le paquet audio ainsi défini est ensuite capté par les autres   n&num;

  uds   MCTU, SCTU du réseau qui le sont autorisés Ainsi par exemple, si un utilisateur veut parler à deux radios Rt, Rk en même temps, chaque At son poste envoie deux paquets de signaux numériques audio successifs sur le réseau, un paquet pour le poste radio Rj et un pour le poste radio Rk L'en-tête d'un paquet détermine qui est autorisé à le recevoir,

   c'est-à-dire qu'il comporte l'adresse du ou des destinataires Le systèmè utilise par exemple les protocoles TCP/IP et UDP/IP pour communiquer dans le réseau local 21 Le protocole utilisé a une structure en couches empilées où chaque couche fournit un service à la couche qui lui est immédiatement inférieure Un paquet qui est reçu matériellement par une unité doit traverser ensuite chaque couche avant d'être présenté à l'applicatif qui réside sur la couche supérieure de la pile 
Chaque couche réalise un filtrage du paquet reçu de façon à ce que les paquets non autorisés soient rejetés le plus tôt possible Cela est particulièrement nécessaire pour des raisons de sécurité.

   A cet effet, une table d'adressage est implémentée dans chaque terminal MCTU, SCTU Le réseau local Ethernet par exemple, utilise six octets d'adresse au niveau 

 <Desc/Clms Page number 7> 

 matériel. La couche IP (Internet Protocol) située au-dessus de la couche d'interface matérielle utilise quatre octets d'adresse Finalement, les protocoles TCP et UDP utilisent par exemple des numéros de ports pour adresser un process donné 
Dans un réseau sécurisé, toutes les données transmises ne peuvent pas aller sur n'importe quel récepteur A titre d'exemple, on se base ici sur des données de type rouge et des données de type noir, d'autres niveaux de sécurité pouvant bien sûr être gérés par un système selon l'invention Dans l'exemple de configuration de la figure 2,

   certaines données   doivent   être cryptées avant transmission à des postes radio A cet effet, des unités MCTU dédiées sont reliées à des moyens de cryptages KY, celles-ci sont destinées à router les données rouges qui doivent.être cryptées avant transmission aux postes radio par exemple D'autres unités MCTU sont reliées directement aux postes radios et sont destinées à router les données noires qui ne nécessitent pas de cryptage Une unités MCTU est soit rouge, soit noire de façon figée dans le temps Au contraire, une unité SCTU peut être rouge à un instant donné et noire à un autre instant Les moyens de cryptage KY sont par ailleurs reliés à des éléments de communications vers l'extérieur via une unité MCTU,

   soit reliés directement à des éléments de communications non représentés 
La figure 3 illustre comment le filtrage des données est appliqué au niveau de chaque composant hôte 31, chaque fois qu'une trame ou paquet passe sur le réseau local 21 Ce composant 31 est par exemple une unité MCTU ou une unité SCTU La première couche de filtrage est effectuée par le circuit matériel 32 associé à chaque unité, c'est-à-dire le circuit 32 directement connecté au réseau local 21 Ce circuit 32 de connexion pourra être appelé par la suite circuit Ethernet pour faciliter la description Tout autre circuit 32 qui est une interface matérielle réseau peut bien sûr être utilisé Ce circuit 32 comporte une première couche logicielle 33 Donc, dans une première étape, le circuit Ethernet 32 analyse l'adresse de chaque paquet qui passe sur le réseau.

   Il agit en particulier différemment selon que le paquet de données et du type unicast ou multicast 

 <Desc/Clms Page number 8> 

 
La figure 4 illustre le mode d'adressage des paquets de données utilisé dans un système selon l'invention, pour une transmission du type multicast Une transmission multicast permet la transmission d'un paquet de données depuis un n&num;

  ud du réseau, dans le cas présent une unité MCTU ou SCTU, vers un groupe de noeuds du réseau, c'est-à-dire vers un ensemble d'unités MCTU ou SCTU Chaque groupe multicast est identifié par une adresse spécifique L'appartenance à un groupe multicast donné est dynamique, c'est-à-dire que des unités peuvent rejoindre ou quitter un groupe à n'importe quel instant Une unité peut appartenir à plusieurs groupes à la fois Une unité n'a pas besoin d'être membre d'un groupe pour envoyer des données vers les membres de ce groupe 
Les groupes multicast sont par exemple identifiés par une adresse 41 de classe D, correspondant au protocole TCP/IP, c'est-à-dire par une adresse dont les quatre bits de poids fort sont 1110, formant la valeur E en hexadécimal Cette adresse est codée sur 32 bits En notation Internet standard,

   les adresses des groupes multicast occupent donc l'espace compris entre 224 0 0 0 et 239.255 255 255 L'adresse 224 0 0 0 n'est par exemple pas utilisée et l'adresse 224 0 0 1 est par exemple réservée pour le groupe multicast correspondant à toutes les unités MCTU et SCTU Les adresses des groupes multicast sont mémorisées dans une table 42, appelée par la suite table multicast Cette table 42 est présente dans chaque unité MCTU, SCTU, plus particulièrement dans son circuit Ethernet 32 associé Une unité MCTU, SCTU est reliée au réseau local 21 par l'intermédiaire de ce circuit A un instant donné, la table multicast stockée dans une unité, ou plus particulièrement dans son circuit de connexion 32, représente l'ensemble des groupes   multicast   auxquels appartient cette unité A chaque groupe multicast correspond donc une adresse,

   et à cette adresse correspond un canal 
Pour pouvoir parler à un poste radio ou à un réseau de conférence donné, il est nécessaire d'utiliser un canal. Un canal est en fait une connexion virtuelle qui existe entre un initiateur du canal, typiquement l'opérateur activant son interface de commande et de contrôle 6, et une ou plusieurs stations Un canal est identifié par un numéro unique de telle façon qu'il puisse être utilisé à l'intérieur du réseau local 21 sans ambiguïté Ainsi par exemple, lorsqu'un opérateur active son interface de contrôle et de 

 <Desc/Clms Page number 9> 

 commande 6 pour entrer en communication avec un groupe d'interlocuteurs, cet interface 6 envoie un message à son unité SCTU associée lui indiquant le numéro de canal choisi,

   correspondant au groupe sélectionné Le numéro de canal correspond par exemple à l'emplacement de l'adresse de groupe multicast dans la table 42 
L'unité SCTU va donc chercher dans sa .table multicast 42 l'adresse de groupe multicast correspondante puis crée l'adresse réseau multicast du paquet de données qui va être transmis, cette adresse réseau 43 étant par exemple codée sur 48 bits, comme l'illustre la figure 4 A cet effet, les 23 bits de poids faible de l'adresse de groupe multicast 41 forment les 23 bits de poids faible de l'adresse réseau 43 Le bit suivant n'est par exemple pas utilisé, et fixé arbitrairement à 0 dans l'adresse réseau Enfin, les trois octets de poids fort de l'adresse réseau 43 sont toujours fixés à une même valeur,

   par exemple une valeur d'adresse Ethernet codée en base hexadécimale 01 00 5E Une adresse réseau commençant par cette valeur 01 00 5E sera comprise comme une adresse Ethernet multicast Les cinq bits de l'adresse de groupe multicast 41 compris entre les 23 bits de poids faible et les quatre bits de poids fort formant la valeur hexadécimale E ne sont pas utilisés, et donc pas reportés dans l'adresse réseau A titre d'exemple, si une adresse de groupe multicast a la valeur E1 55 55 55, ses données correspondantes seront transmises avec l'adresse réseau 01 00 5E 55 55 55 Dans l'exemple de création d'adresse réseau 43 par une unité émettrice, on a considéré à titre d'exemple que l'adresse transférée était du type IP (Internet Protocol), notamment TCP/IP D'autres types de protocoles peuvent bien sûr être considérés Par ailleurs,

   cette adresse a été transférée sur 23 bits Elle peut évidemment être transférée sur un autre nombre N de bits, notamment en fonction de la structure du réseau et des circuits de réception 
Dès lors, l'analyse des adresses effectuées par le circuit de connexion 32 se fait conformément à la figure 5 On suppose qu'une unité SCTU envoie un paquet avec une adresse de destination Les circuits Ethernet 32 des autres unités analysent cette adresse comme l'illustre la figure 5 Sur Ethernet par exemple, le bit de poids faible de l'octet de poids fort de l'adresse multicast est fixé à 1 Ainsi, en base hexadécimale, cette 

 <Desc/Clms Page number 10> 

 adresse est du type X1 XX XX XX XX Le circuit 32 ayant vérifié qu'il s'agit d'une adresse Ethernet, il vérifie dans un premier test 51 que l'adresse réseau 43 contient une adresse multicast 41 de classe D,

   c'est-à-dire conformément à la création des adresses précédemment décrite, que cette adresse réseau commence par la valeur 01 00 5E Si ce n'est pas le cas, il vérifie dans un test suivant 52 que l'adresse reçue correspond à son adresse physique Si c'est bien le cas, cela signifie qu'il est destinataire du message, le message est alors traité par une couche logicielle suivante 34 Dans le cas contraire, le message est rejeté 53, il n'est pas pris en compte Si le premier test 51 confirme qu'il s'agit d'un message multicast, c'est-à-dire que l'adresse commence par 01 00 5E, alors le circuit 32 va vérifier par un test suivant 54 s'il appartient bien au groupe multicast destinataire du message Pour cela, il reconstitue l'adresse multicast par l'opération inverse de celle illustrée par la figure 4,

   en extrayant notamment les 23 bits de poids faible Puis il vérifie que l'adresse multicast ainsi obtenue est contenue dans sa table multicast 42 Si c'est le cas, il appartient bien au groupe   multicast   destinataire et le message est ensuite traité par la couche logicielle suivante 34 Cette adresse sera ensuite traitée classiquement comme une adresse multicast dans le protocole de communication qui est par exemple du type TCP/IP ou UDP/IP Si l'adresse multicast n'est pas contenue dans la table multicast du circuit 32, ce dernier rejette 53 le message 
On se reporte de nouveau à la figure 3 Donc, en règle générale, le circuit Ethernet 32 reçoit seulement les paquets dont l'adresse de destination correspond soit à son adresse matérielle,

   soit à une adresse de groupe multicast contenue dans sa table 42 Ce circuit'est commandé par une couche logicielle 33 qui est le premier de l'empilement des couches logicielles successives qui vont filtrer les messages reçus Cette première couche logicielle 33 transmet les paquets à la couche suivante 34 qui est par exemple une couche IP Ce protocole Internet IP effectue un filtrage basé sur les adresses source et destination, et transmet le datagramme à la couche suivante 35, qui est une couche TCP/IP ou UDP/IP, si tout est conforme Chaque fois que cette dernière couche 35 reçoit un datagramme de la couche IP 34, elle réalise un filtrage basé sur le numéro du port de destination, et éventuellement aussi sur le numéro de port source.

   Il y a donc 

 <Desc/Clms Page number 11> 

 ici un niveau de filtrage supplémentaire qui prend en compte le numéro de port de la source d'émission Un système selon l'invention est réalisé de telle sorte que chaque canal ait une adresse multicast unique, et aussi par exemple de telle sorte que chaque unité source, notamment les unités SCTU, ait un numéro de port unique Cela permet à une unité réceptrice, au niveau de sa couche logicielle 35 de dernier niveau par exemple, de distinguer pour chaque canal les différentes sources Pour un canal donné, c'est-à-dire pour une adresse multicast donnée, et un numéro de port source donné N1, N2, N3, la couche logicielle 35 d'une unité réceptrice peut ainsi activer un applicatif correspondant 36,37,

   38 A chaque couple canal - numéro de port peut donc correspondre un traitement spécifique 
Un autre niveau de sécurité peut être basé sur le type d'informations transmises Comme indiqué précédemment, ce niveau de sécurité peut être basé sur le classement rouge ou noir des données A cet effet, chaque paquet émis comporte un tag dont la valeur indique si les données transmises sont rouges ou noires Ce tag ne donne pas obligatoirement une information binaire, en particulier il peut affecter les données émises d'une information autre que le type rouge ou noir Ce tag est généré par l'unité émettrice.

   L'analyse du tag est notamment exécutée par les couches logicielles de l'unité réceptrice Ainsi, si une unité MCTU reçoit un message rouge alors qu'elle est classée noire, elle rejettera le message 
La figure 6 illustre un exemple de structure de paquet de données 61 généré par une unité SCTU dans un système selon l'invention Ce paquet comporte en en-tête l'adresse réseau 43, le numéro de port 62 de l'unité émettrice, du tag 63 et du message 64.

   L'adresse 43 est de type multicast en cas d'émission multicast, elle est donc par exemple égale à 01 00 5E XX XX XX Le numéro de port 62 est codé sur un nombre de bits compatible avec le nombre d'unités source en jeu Le tag est codé sur un nombre de bits donnés, par exemple 8 bits Même s'il ne définit qu'un état binaire, par exemple la qualification rouge ou noire des messages, il est plus fiable qu'il soit codé sur   un   nombre de bits supérieur à un Enfin le message proprement dit 64 représente par exemple le codage d'un message vocal en cas de système de communication entre opérateurs Ce message peut bien sûr coder tout autre type d'informations 

 <Desc/Clms Page number 12> 

 
La figure 7 illustre un exemple de classement d'adresses de groupe multicast dans la table multicast 42 à des fins de filtrage,

   permettant notamment un renforcement du filtrage des données transmises La sécurité des transmissions étant importante, il est avantageux de recourir à plusieurs tests successifs comme cela   vient   d'être décrit Un test supplémentaire peut être effectué sur la place des adresses   multicast   dans la table multicast 42 associée à chaque unité Ce niveau de sécurité est ici basé sur la place des adresses multicast dans cette table 42 comme le décrit la figure 7 En d'autres termes, les canaux sont classés en catégories, la position de l'adresse multicast d'un canal dans la table 42 étant fonction de sa catégorie Une zone de la table,   disjointe   ou non,

   est associée à chaque catégorie La position de l'adresse multicast est définie par son adresse dans cette table 42 La catégorie peut bien sûr définir un niveau de sécurité, par exemple rouge ou noir La figure 7 illustre un rangement des adresses multicast dans la table 42 en fonction de leur catégorie Les adresses de la première catégories occupent par exemple les N premières cases de la table, les adresses de la deuxième catégorie occupent les M cases suivantes et ainsi de suite Un espace de plusieurs cases inoccupées peut être laissé entre deux catégories d'adresses Dans le cas d'un niveau de sécurité rouge et noir, les adresses multicast rouges occupent par exemple les N premières cases et les adresses multicast noires occupent par exemple les cases suivantes Avantageusement, grâce au rangement des adresses multicast dans la table 42,

   un filtrage peut être fait en se basant sur ce rangement Ainsi, une unité réceptrice noire qui reçoit une adresse multicast rangée dans la zone rouge de la table va rejeter l'information En combinant par exemple ce filtrage avec les autres filtrages, on augmente encore la fiabilité sur la sécurité de transmission des informations, on augmente par exemple la fiabilité sur la séparation des informations rouges et noires 
En se référant de nouveau à la figure 3, une fois que la dernière couche logicielle 35 d'une unité réceptrice a confirmé que la donnée reçue est bien destinée à cette unité, par l'application d'un ou plusieurs filtrages précédemment décrits, elle active l'applicatif prévu pour cette donnée A titre d'exemple, si l'unité réceptrice est une unité MCTU,

   cet applicatif correspond 

 <Desc/Clms Page number 13> 

 en la transmission des données vers des moyens de cryptage si l'unité MCTU est rouge ou en une conversion numérique-analogique du signal et sa transmission vers un poste radio si le l'unité MCTU est noire Dans la suite des différents filtrages effectués sur les données reçues, des alarmes peuvent être générées au cas où une donnée non conforme franchit un premier niveau de sécurité,

   typiquement une donnée rouge reçue par une unité noire 
Un système selon l'invention peut être embarqué dans un avion ou un navire par exemple Il permet notamment dans ce cas à tous les membres d'équipage de communiquer entre eux et avec l'extérieur selon plusieurs niveaux de sécurité Les informations échangées sont dans ce cas des messages vocaux mais ces informations peuvent en fait représenter bien d'autres types de données Ces données pourraient être par exemple des données vidéo, des messages écrits, des figures,

   des traitements informatiques etc
Le système a été décnt avec des terminaux multicanaux MCTU et des terminaux à simple canal SCTU L'invention s'applique bien évidemment à des systèmes ne comportant que des terminaux multicanaux ou que des terminaux   unicanal   Ces terminaux communiquant avec des interfaces ou des postes radio comme décnt ici ou avec tout autre type de moyens de communication

Claims (12)

  1. REVENDICATIONS 1 Système de communication, caractérisé en ce qu'il comporte au moins un réseau local (21) et des terminaux (MCTU, SCTU) connectés à ce réseau et échangeant des paquets de données (61), chaque terminal comportant une table (42) mémorisant les adresses des groupes de terminaux avec lesquels il peut entrer en communication, un terminal qui émet un paquet de données (61) sur le réseau en mode multicast créant une adresse réseau multicast (43) dont des bits ont une valeur donnée (01 00 5E) et qui comporte l'adresse (41) du groupe destinataire du paquet de données, chaque terminal comparant l'adresse (41) du groupe destinataire avec le contenu de sa table (42) une fois l'adresse réseau (43) émise sur le réseau
  2. 2 Système selon la revendication 1, caractérisé en ce que des octets de poids fort de l'adresse réseau (43)
    ont la valeur donnée
  3. 3 Système selon l'une quelconque des revendications précédentes, caractérisé en ce que les N bits de poids faible de l'adresse de groupe (41) forment les N bits de poids faible de l'adresse réseau multicast (43)
  4. 4 Système selon l'une quelconque des revendications précédentes, caractérisé en ce que l'adresse de groupe est une adresse TCP/IP de classe D
  5. 5 Système selon l'une quelconque des revendications précédentes, caractérisé en ce qu'un terminal (MCTU, ' SCTU) analyse les adresses des paquets de réseau de sorte que s'il s'agit de l'adresse réseau multicast (43) comportant la valeur donnée (01 00 5E), il compare l'adresse de groupe (41) qu'elle contient avec sa table (42) et que s'il ne s'agit pas de l'adresse (43) comportant la valeur donnée (01 00 5E), il n'accepte le paquet seulement si cette adresse donnée (43)
    correspond à son adresse physique <Desc/Clms Page number 15>
  6. 6. Système selon l'une quelconque des revendications précédentes, caractérisé en ce que l'analyse de l'adresse réseau (43) est faite au niveau d'une couche logicielle (33) implémentéè dans le circuit de connexion (32) de chaque terminal
  7. 7 Système selon l'une quelconque des revendications précédentes, caractérisé en ce que le paquet de données transmises (61) comporte outre l'adresse réseau (43) et l'Information (64) à transmettre, le numéro de port (62) du terminal source
  8. 8 Système selon la revendication 7, caractérisé en ce qu'une couche logicielle (35) active un applicatif (36,37, 38) en fonction du numéro de port (62) du terminal source
  9. 9 Système selon l'une quelconque des revendications précédentes, caractérisé en ce que le paquet de données transmises (61)
    comporte outre l'adresse réseau (43) et l'Information (64) à transmettre, un tag (63) représentant une catégorie de données
  10. 10 Système selon la revendication 9, caractérisé en ce que le système véhicule au moins deux catégories de données
  11. 11 Système selon l'une quelconque des revendications 9 ou 10, caractérisé en ce qu'une couche logicielle (35) analyse les données reçues en fonction de la valeur du tag
  12. 12 Système selon l'une quelconque des revendications précédentes, caractérisé en ce que les adresse de groupe (41) sont stockées dans des zones (C1, C2, CN) de la table (42) fonctions de leurs catégories 13.
    Système selon la revendication la revendication 12, caractérisé en ce caractérisé en ce qu'une couche logicielle (35) analyse les données reçues en fonction de la place de leur adresse de groupe (41) dans la table <Desc/Clms Page number 16> 14 Système selon la revendication 13, caractérisé en ce qu'une donnée dont l'adresse ne se situe pas dans la zone attendue est rejetée 15 Système selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comporte des terminaux (MCTU) reliés à des éléments de communication (R,) et des terminaux (S.CTU) reliés chacun à une interface de commande et de contrôle (6) pour la transmission des données, un terminal (SCTU) créant l'adresse réseau (43) en fonction des instructions reçues de l'interface 16 Système selon la revendication 15,
    caractérisé en ce qu'il comporte des moyens de cryptage des données (KY) reliés à des terminaux pour la transmission de données sécurisées, un terminai relié directement à des moyens de communication (R,) n'étant jamais relié en même temps à des moyens de cryptage (KY) 17 Système selon l'une quelconque des revendications 12 à 14 et la revendication 16, caractérisé en ce qu'il véhicule au moins deux catégories de données, les données d'une première catégorie étant destinées aux terminaux reliés aux moyens de cryptage 18 Système selon l'une quelconque des revendications précédentes, caractérisé en ce que la valeur donnée est 01 00 5E en base hexadécimale 19 Système selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il est embarqué dans un aéronef
BE2001/0837A 2001-12-21 2001-12-21 Systeme de communications securisees, comportant un reseau local par exemple du type ethernet, notamment embarque dans un aeronef. BE1014777A3 (fr)

Priority Applications (5)

Application Number Priority Date Filing Date Title
BE2001/0837A BE1014777A3 (fr) 2001-12-21 2001-12-21 Systeme de communications securisees, comportant un reseau local par exemple du type ethernet, notamment embarque dans un aeronef.
PCT/FR2002/004258 WO2003056754A2 (fr) 2001-12-21 2002-12-10 Systeme de communication multicast
US10/498,938 US20050105527A1 (en) 2001-12-21 2002-12-10 Secure communication system, comprising a local network such as ethernet, in particular on board an aircraft
AU2002364636A AU2002364636A1 (en) 2001-12-21 2002-12-10 Secure communication system, comprising a local network such as ethernet, in particular on board an aircraft
EP02805792A EP1461902A2 (fr) 2001-12-21 2002-12-10 Systeme de communication multicast

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
BE2001/0837A BE1014777A3 (fr) 2001-12-21 2001-12-21 Systeme de communications securisees, comportant un reseau local par exemple du type ethernet, notamment embarque dans un aeronef.

Publications (1)

Publication Number Publication Date
BE1014777A3 true BE1014777A3 (fr) 2004-04-06

Family

ID=3897154

Family Applications (1)

Application Number Title Priority Date Filing Date
BE2001/0837A BE1014777A3 (fr) 2001-12-21 2001-12-21 Systeme de communications securisees, comportant un reseau local par exemple du type ethernet, notamment embarque dans un aeronef.

Country Status (5)

Country Link
US (1) US20050105527A1 (fr)
EP (1) EP1461902A2 (fr)
AU (1) AU2002364636A1 (fr)
BE (1) BE1014777A3 (fr)
WO (1) WO2003056754A2 (fr)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
USH1511H (en) * 1992-09-10 1995-12-05 Chappell; Charles W. Absorbent articles having improved longitudinal fluid movement
FR2936071B1 (fr) * 2008-09-15 2010-10-29 Airbus France Procede et dispositif pour automatiser des procedures de verification d'equipements dans un aeronef.
WO2010070459A1 (fr) * 2008-12-16 2010-06-24 Acceleradio Ltd. Système et procédé d'exploitation d'un dispositif de relais
US8275494B1 (en) 2009-12-31 2012-09-25 Michael Roth System, apparatus and method for controlling an aircraft
FR2989854B1 (fr) * 2012-04-23 2014-05-09 Team Commutateur pour relier selectivement un recepteur a l'une de deux sources de signaux, et centrale de gestion de communications comportant un tel commutateur
CN102801622B (zh) * 2012-08-14 2016-02-24 神州数码网络(北京)有限公司 一种数据报文的转发方法及转发装置
US10321310B1 (en) * 2013-06-04 2019-06-11 Rockwell Collins, Inc. Secure authentication of mobile devices using sensor transfer of keying material
CN103491129B (zh) * 2013-07-05 2017-07-14 华为技术有限公司 一种业务节点配置方法、业务节点池注册器及系统
US9522744B2 (en) * 2014-09-05 2016-12-20 Ge Aviation Systems Llc Method for management of a maintenance routine for an aircraft and a maintenance system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6061350A (en) * 1997-07-09 2000-05-09 Lg Semicon Co., Ltd. Address detecting device of ethernet controller and address detecting method thereof

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5579480A (en) * 1995-04-28 1996-11-26 Sun Microsystems, Inc. System and method for traversing ATM networks based on forward and reverse virtual connection labels
US6839348B2 (en) * 1999-04-30 2005-01-04 Cisco Technology, Inc. System and method for distributing multicasts in virtual local area networks
US6526058B1 (en) * 1999-08-18 2003-02-25 Nortel Networks Limited VODSL service provision
US6975628B2 (en) * 2000-12-22 2005-12-13 Intel Corporation Method for representing and controlling packet data flow through packet forwarding hardware
US7154859B2 (en) * 2001-10-24 2006-12-26 The Boeing Company Method for improving bandwidth performance of a mobile computer network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6061350A (en) * 1997-07-09 2000-05-09 Lg Semicon Co., Ltd. Address detecting device of ethernet controller and address detecting method thereof

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
DEERING S: "HOST EXTENSIONS FOR IP MULTICASTING", INTERNET SPECIFICATION RFC, XX, XX, no. 1112, 1 August 1989 (1989-08-01), pages 1 - 17, XP002007299 *

Also Published As

Publication number Publication date
EP1461902A2 (fr) 2004-09-29
WO2003056754A9 (fr) 2004-04-15
WO2003056754A2 (fr) 2003-07-10
US20050105527A1 (en) 2005-05-19
WO2003056754A3 (fr) 2004-01-22
AU2002364636A1 (en) 2003-07-15

Similar Documents

Publication Publication Date Title
US7515560B2 (en) Apparatus and method for dynamically updating and communicating within flexible networks
US6389030B1 (en) Internet access over a ring network
FR2851708A1 (fr) Methode pour transmettre des paquets de haute priorite dans un reseau de transmission ip
BE1014777A3 (fr) Systeme de communications securisees, comportant un reseau local par exemple du type ethernet, notamment embarque dans un aeronef.
Reynders et al. Practical TCP/IP and ethernet networking for industry
Dostálek et al. Understanding TCP/IP: A clear and comprehensive guide to TCP/IP protocols
FR2844946A1 (fr) Procede de selection et de tri de paquets mis a disposition d&#39;un equipement par un reseau de transmission de donnees par paquets
EP1902563A2 (fr) Detection d une intrusion par detournement de paquets de donnees dans un reseau de telecommunication
JPH0779367B2 (ja) 連結モードネットワークと非連結モードネットワークとの間のosiトランスポートリレーシステム
EP1304836A1 (fr) Bus de terrain déterministe et procédé de gestion d&#39;un tel bus
Norman Information technology systems infrastructure
FR2717334A1 (fr) Vérification d&#39;intégrité de données échangées entre deux stations de réseau de télécommunications.
Banzal Data and computer network communication
Upadhyay et al. Computer Network: A Modern Technology
EP3146683A1 (fr) Commutateur de trames numeriques
US20070153784A1 (en) Method and apparatus for enabling transport of ethernet data over a serial digital interface transport service
US11671455B2 (en) Ethernet communications device and method for operating an ethernet communications device
FR2524750A1 (fr) Systeme de visioconference multisalle
EP1128636B1 (fr) Procédé pour constituer des répertoires dans des terminaux en réseau
FR2794591A1 (fr) Installation interieure de client multi-terminaux basee sur l&#39;atm
WO2002030148A1 (fr) Routeur dans une installation terminale privative en mode atm
Sunkari A Brief Study on Data Communication and Computer Networks
EP3934180A1 (fr) Commutateur pour un système de communication avionique, système de communication avionique et procédé de transmission associés
EP4482180A1 (fr) Communication à l alternat sur deux réseaux de communication différents
FR2828357A1 (fr) Procede de traitement de signaux de telecommande au sein d&#39;un reseau audiovisuel domestique, signal, dispositifs et programme d&#39;ordinateur correspondants

Legal Events

Date Code Title Description
RE Patent lapsed

Effective date: 20071231