專利名稱:實(shí)施需要不同安全級(jí)別或責(zé)任限制的功能的多用途數(shù)據(jù)的自動(dòng)處理的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)處理系統(tǒng)�����,尤其是飛行器信息系統(tǒng)的數(shù)據(jù)�,更特別涉及用于多用途數(shù)據(jù)的自動(dòng)處理的軟件組件和裝置,其實(shí)施需要不同安全級(jí)別或責(zé)任限制的功能���。
背景技術(shù):
自從2001年9月11日與商業(yè)飛機(jī)撞擊有關(guān)的悲劇事件以來�,安全成為今后航空業(yè)的主要問題����。針對(duì)該問題,制造商和航空公司開發(fā)和納入了ー些g在提高飛行器機(jī)上安全的功能���。 例如��,已經(jīng)開發(fā)了加固的駕駛艙門和內(nèi)部視頻監(jiān)控系統(tǒng)���。同樣�����,機(jī)載信息系統(tǒng)從此也受到防止惡意損害的保護(hù)�。另外����,為了保持飛行器零件的安全級(jí)別,航空公司具有實(shí)施技術(shù)性和組織性措施的規(guī)定責(zé)任���,如確定飛行器交付的安全級(jí)別�。這些規(guī)定責(zé)任只覆蓋物理安全性����,而不是邏輯安全性�����。但是���,由于該規(guī)定責(zé)任����,某些航空公司要求飛行器制造商可以將安全功能納入到航空公司的操作過程中。另外����,某些航空公司要求飛行器制造商使有關(guān)的操作功能和安全功能與商業(yè)硬件和軟件相容而不是專門針對(duì)航空。一般說來���,數(shù)據(jù)自動(dòng)處理系統(tǒng)���,也稱為STADs,可以在航空環(huán)境中用于包括操作和/或通訊軟件應(yīng)用程序��,即像工具箱�,使操作人員例如飛行員和副駕駛以及技術(shù)員和維修隊(duì)可以完成它們的某些任務(wù)。這些工具箱還可以為其它用途開放���。特別是���,航空公司可以決定在其中安裝它自己的行業(yè)或辦公應(yīng)用程序。工具箱不是安全功能��,即它們的作用不是保證安全,而是可以實(shí)現(xiàn)操作任務(wù)��。在STADs中實(shí)施的操作軟件應(yīng)用程序所使用的數(shù)據(jù)可以是下載的����、計(jì)算的、顯示的和/或傳輸?shù)?。由于前面提到的安全約束,在數(shù)據(jù)的保密性��、完整性和/或可用性方面有很強(qiáng)的安全要求����。但是,當(dāng)必須遵守一安全目標(biāo)時(shí)����,很難使功能和敏感的數(shù)據(jù)與能夠向外通信并基于商業(yè)軟件和硬件的功能性共存。
發(fā)明內(nèi)容
本發(fā)明可以解決上述問題中的至少ー個(gè)���。因此��,本發(fā)明的目的是用于多用途數(shù)據(jù)的自動(dòng)處理的計(jì)算機(jī)的軟件組件,所述軟件組件實(shí)施需要不同安全級(jí)別或責(zé)任限制的功能����,并且包括一多個(gè)虛擬機(jī)�����,每個(gè)虛擬機(jī)用于執(zhí)行需要ー預(yù)先確定的安全級(jí)別或責(zé)任限制的至少ー個(gè)功能��;和一用于控制所述多個(gè)虛擬機(jī)的執(zhí)行的管理程序���。因此,根據(jù)本發(fā)明的軟件組件可以在同一機(jī)器中實(shí)施ー些具有不同安全級(jí)別和責(zé)任限制的功能�����,而與飛行器上使用的信息系統(tǒng)的硬件平臺(tái)和結(jié)構(gòu)無關(guān)�����。因此���,實(shí)施的軟件應(yīng)用程序的編輯者不再依賴開發(fā)系統(tǒng)的進(jìn)化��,并掌握了這些應(yīng)用程序的生命周期�����。因此�����,可以根據(jù)硬件相容性列表在市場上銷售的移動(dòng)的STAD上實(shí)施該軟件組件���。由于責(zé)任限制是清楚識(shí)別的����,可以接受提供者和使用者的軟件應(yīng)用程序��。這種STAD可以與飛行器或使用者連接���。與移動(dòng)或不移動(dòng)的單用途設(shè)備相比����,使用根據(jù)本發(fā)明的軟件組件不增加維修要求�����。它保證操作數(shù)據(jù)的完整性的良好隔離級(jí)別和安全級(jí)別�。針對(duì)實(shí)施的商業(yè)產(chǎn)品缺乏可靠性,本發(fā)明的軟件組件可以相對(duì)獨(dú)立地控制不同功能之間的資源分配�����。有利的是�,所述管理程序包括用于認(rèn)證所述多個(gè)虛擬機(jī)中的至少ー個(gè)虛擬機(jī)的認(rèn)證部件,以便尤其是控制傳輸數(shù)據(jù)的有效性��。同樣��,所述認(rèn)證部件優(yōu)選地能夠驗(yàn)證所述至少ー個(gè)被認(rèn)證的虛擬機(jī)的完整性�。 另外,所述認(rèn)證部件優(yōu)選地能夠驗(yàn)證所述至少ー個(gè)被認(rèn)證的虛擬機(jī)相對(duì)于所述多個(gè)虛擬機(jī)中的至少另ー個(gè)虛擬機(jī)的隔離級(jí)別��,以便尤其是控制對(duì)其它虛擬機(jī)的傳輸數(shù)據(jù)的有效性��。根據(jù)ー特殊實(shí)施例��,所述軟件組件另外包括由所述多個(gè)虛擬機(jī)中的至少ー個(gè)虛擬機(jī)處理的數(shù)據(jù)的存儲(chǔ)部件����,所述存儲(chǔ)部件能夠?qū)⑺鎏幚頂?shù)據(jù)儲(chǔ)存在所述計(jì)算機(jī)的可移動(dòng)存儲(chǔ)器中。因此�����,本發(fā)明的軟件組件可以儲(chǔ)存可信級(jí)別不確定的數(shù)據(jù)���,而不損害可信級(jí)別�。這些數(shù)據(jù)儲(chǔ)存部件優(yōu)選地由所述多個(gè)虛擬機(jī)中安全級(jí)別低于預(yù)定閾值的虛擬機(jī)來實(shí)施。還是根據(jù)ー特殊實(shí)施例�����,所述軟件組件另外包括檢驗(yàn)由所述多個(gè)虛擬機(jī)中至少ー個(gè)虛擬機(jī)處理的至少ー個(gè)數(shù)據(jù)的可信級(jí)別的檢驗(yàn)部件�����,所述至少一個(gè)處理的數(shù)據(jù)只在被檢驗(yàn)后��,才被本地儲(chǔ)存在所述計(jì)算機(jī)中���。因此�,本發(fā)明的軟件組件可以只在本地儲(chǔ)存可信級(jí)別確定的數(shù)據(jù)����,以便不損害可信級(jí)別。還是根據(jù)ー特殊實(shí)施例��,所述軟件組件另外包括在所述多個(gè)虛擬機(jī)中的第一虛擬機(jī)和第二虛擬機(jī)之間傳輸數(shù)據(jù)的傳輸部件����。如果所述第二虛擬機(jī)的安全級(jí)別高于所述第一虛擬機(jī)的安全級(jí)別���,則所述傳輸部件能夠過濾傳輸?shù)臄?shù)據(jù),以便使交換的數(shù)據(jù)有效��,尤其是根據(jù)它們的類型或訪問這些數(shù)據(jù)的需要�����。還是根據(jù)ー特殊實(shí)施例�,用于啟動(dòng)所述多個(gè)虛擬機(jī)中至少ー個(gè)虛擬機(jī)的配置(configuration)數(shù)據(jù)在啟動(dòng)的所述至少一個(gè)虛擬機(jī)的執(zhí)行過程中不改變�,以便于軟件組件的維護(hù),并且允許從ー穩(wěn)定和有效狀態(tài)重新啟動(dòng)該軟件��。本發(fā)明的目的還在于ー種裝置����,該裝置包括能夠?qū)嵤┥鲜鲕浖M件的每個(gè)元素的部件,其優(yōu)點(diǎn)與上面提到的優(yōu)點(diǎn)類似�����。
通過下面參照附圖作為非限定例子的詳細(xì)描述��,可以了解本發(fā)明的其它優(yōu)點(diǎn)、目的和特征�,圖中ー圖I示意示出可以使用實(shí)施本發(fā)明的多用途數(shù)據(jù)自動(dòng)處理系統(tǒng)的環(huán)境的例子;ー圖2示出根據(jù)本發(fā)明的多用途數(shù)據(jù)的自動(dòng)處理系統(tǒng)的架構(gòu)的例子�;ー圖3示意示出機(jī)器中執(zhí)行的某些功能的調(diào)配的例子;—圖4示意示出用于分析與要在同一 STAD中執(zhí)行的功能有關(guān)的風(fēng)險(xiǎn)的某些實(shí)施步驟�����;ー圖5示意示出用于將在STAD中實(shí)施的軟件應(yīng)用根據(jù)它們調(diào)用的功能在虛擬機(jī)中分配的算法的例子ー圖6示出能夠至少部分地實(shí)施本發(fā)明的裝置的例子���。
具體實(shí)施例方式本發(fā)明尤其可以用單一安全的并優(yōu)選地是移動(dòng)的STAD替代現(xiàn)在用于維護(hù)和任務(wù)的移動(dòng)或固定的單用途數(shù)據(jù)自動(dòng)處理系統(tǒng)(STAD)���。圖I示意示出可以在其中使用實(shí)施本發(fā)明的多用途自動(dòng)數(shù)據(jù)處理系統(tǒng)的環(huán)境100的例子。根據(jù)該例子�,飛行器110中的機(jī)組成員可以使用STAD 105,例如用于執(zhí)行飛行管理的軟件應(yīng)用�����。維修隊(duì)可以使用同一 STAD 105或類似的STAD 115��,以便讀取飛行器110的維修數(shù)據(jù)�����,并且/或者更新飛行器的數(shù)據(jù)或軟件應(yīng)用。另外�,可以在航空公司的辦公室125中使用同一 STAD 105或類似的STAD 120,例如用于飛行準(zhǔn)備���。與此類似�����,它的擁有者可以從例如酒店的接入網(wǎng)135使用同一 STAD 105或類似STAD 130����,以訪問辦公應(yīng)用或其電子郵箱���。這里應(yīng)指出的是,圖I所示的例子只是作為例子給出�。它們不是限定性的。為了可以在單一 STAD上實(shí)施需要不同安全級(jí)別的功能���,而不影響這些功能中的每ー個(gè)的安全性����,將幾種技術(shù)結(jié)合����。因此����,STAD的操作應(yīng)用����、辦公應(yīng)用、和個(gè)人應(yīng)用�,以及更普遍地在STAD中實(shí)施的所有功能根據(jù)安全級(jí)別的需要并優(yōu)選地通過責(zé)任包括在STAD中實(shí)施的多個(gè)虛擬機(jī)中。這里要提到的是�,虛擬機(jī)提供具有其自己的配置特征特性的執(zhí)行環(huán)境。換句話說�,兩個(gè)虛擬機(jī)可以看作是兩個(gè)獨(dú)立的物理機(jī)器。每個(gè)虛擬機(jī)運(yùn)行其操作系統(tǒng)�����、其驅(qū)動(dòng)程序���、其軟件應(yīng)用���、其管理和數(shù)據(jù)交換的配置。虛擬機(jī)制尤其可以借助管理程序在真實(shí)機(jī)器上運(yùn)行多個(gè)虛擬機(jī)��。管理程序負(fù)責(zé)分配真實(shí)機(jī)器的資源,和應(yīng)用訪問資源的控制規(guī)則����。例如,在虛擬機(jī)之間分配的資源為CPU (中央處理器)的計(jì)算能力�、通訊通道、硬件和軟件開關(guān)�、輸入/輸出端ロ、存儲(chǔ)器���、時(shí)鐘���、總線系統(tǒng)、控制器和/或大容量存儲(chǔ)器���。本發(fā)明的基礎(chǔ)是使用用于根據(jù)預(yù)先確定的規(guī)則管理虛擬機(jī)的個(gè)人化的標(biāo)準(zhǔn)管理程序。這里使用的虛擬化是硬件虛擬化�,例如是完全虛擬化,管理程序根據(jù)該虛擬化管理虛擬機(jī)的所有請(qǐng)求��,或是類虛擬化���,虛擬機(jī)根據(jù)該虛擬化直接管理某些請(qǐng)求��。根據(jù)ー特殊實(shí)施例�,能夠進(jìn)行實(shí)時(shí)虛擬化的軟件工具用于使它們?cè)谛阅芎桶踩?jí)別上受益。另外觀察到�����,對(duì)機(jī)載系統(tǒng)��,虛擬化允許優(yōu)化實(shí)施的信息硬件的比重����,該信息硬件包括服務(wù)器、交換機(jī)和電纜�,并且也減少耗電,以及簡化開發(fā)和維護(hù)過程���,這在航空環(huán)境中是特別有利的�����。圖2示出根據(jù)本發(fā)明的STAD的架構(gòu)的例子�,該架構(gòu)在具有不同安全級(jí)別的環(huán)境中使用足夠可靠�����。如圖所示,這里STAD 200包括硬件層205����。例如,該層相當(dāng)于便攜式個(gè)人計(jì)算機(jī)(筆記本電腦)���、PDA (個(gè)人數(shù)字助手)�����、或智能電話的硬件層��。硬件層應(yīng)該是可信的�����,它可以由PC型開放平臺(tái)構(gòu)成�,通過使用稱為TPM(可信平臺(tái)模塊)的認(rèn)證模塊提高它的可信級(jí)別�。其指的是由可信計(jì)算組(Trusted Computing Group)定義的密碼硬件部件��。硬件層205允許運(yùn)行包括管理程序的軟件層�。它可以運(yùn)行多個(gè)不同的虛擬機(jī),例如標(biāo)號(hào)分別為 215-1�����、215-2、215-3���、和 215-x 的虛擬機(jī) MV1�����、MV2����、MV3���、和 MVx��。第一虛擬機(jī)�����,這里是虛擬機(jī)215-1�,具有特殊的作用和權(quán)限��。這就是作為用于平臺(tái)維護(hù)和配置的訪問ロ的管理機(jī)器�。它在這里使用操作系統(tǒng)0S1��。還是根據(jù)該例���,虛擬機(jī)215-1包括存儲(chǔ)空間或大容量儲(chǔ)存器和通訊接ロ,記作I/O (輸入/輸出)�。 第二虛擬機(jī),這里是虛擬機(jī)215-2��,允許STAD與最敏感的信息系統(tǒng)即飛行器的信息系統(tǒng)連接�。與該虛擬機(jī)有關(guān)的顯示可以引向STAD的屏幕或飛行器的專門屏幕,例如根據(jù)客戶端/服務(wù)器類型的標(biāo)準(zhǔn)用戶圖形界面���。這里虛擬機(jī)215-2使用操作系統(tǒng)0S2和輸入/輸出接ロ��,該接ロ允許通過駕駛艙接待站(station d’accueil)類型的連接與飛行器信息系統(tǒng)交換數(shù)據(jù)��。虛擬機(jī)215-2允許執(zhí)行操作應(yīng)用����。它適于準(zhǔn)確確定該環(huán)境中具備的外部設(shè)備�,以及為保證要求的安全級(jí)別的
管理權(quán)限。第二虛擬機(jī)����,這Jl是虛擬機(jī)215-3,允許STAD與不太敏感的"[目息系統(tǒng)連接,這Jl是與飛行器信息系統(tǒng)不同的系統(tǒng)�����。作為示例���,虛擬機(jī)215-3允許使STAD訪問開發(fā)STAD的企業(yè)的內(nèi)部網(wǎng)絡(luò)或互聯(lián)網(wǎng)�,例如訪問ー酒店的WiFi接入端���。與虛擬機(jī)215-3有關(guān)的風(fēng)險(xiǎn)高于虛擬機(jī)215-1和215-2的風(fēng)險(xiǎn)�,因?yàn)樗蚩赡苁俏:υ?source de compromission)的環(huán)境開放����。因此,該虛擬機(jī)可能是惡意軟件的目標(biāo)。另外�����,由于該虛擬機(jī)中實(shí)施的軟件應(yīng)用和驅(qū)動(dòng)程序默認(rèn)是標(biāo)準(zhǔn)軟件���,因此其具有已知潛在的缺陷���。另外�,開發(fā)STAD的設(shè)計(jì)者和/或公司可以決定建立一個(gè)或多個(gè)其它虛擬機(jī)215-x�����,以滿足特殊需要���。作為示例��,虛擬機(jī)215-x可以用于執(zhí)行需要與虛擬機(jī)215-2的安全級(jí)別相同但提供者與虛擬機(jī)215-2執(zhí)行的應(yīng)用的供應(yīng)者不同的軟件應(yīng)用�����。因此���,通過根據(jù)要求的安全級(jí)別和責(zé)任將軟件應(yīng)用的執(zhí)行環(huán)境分開,就可以使用単一 STAD�����。有利地��,在STAD啟動(dòng)時(shí)�����,執(zhí)行級(jí)別限制在在使用者空間中,以便使管理權(quán)限不可被訪問����。另外����,連接標(biāo)志(banni社e)優(yōu)選地為未激活,以阻止使用者從虛擬層出來�。因此,他只能訪問虛擬機(jī)���。還是以有利的方式���,啟動(dòng)接觸序列為未激活。另外�����,如果將硬件虛擬化的功能性植入到STAD的處理器中���,該功能性將設(shè)置為不降低期望的安全級(jí)別����。啟動(dòng)STAD時(shí),或激活STAD時(shí)��,例如監(jiān)視(mise en veille)后�,使用者被認(rèn)證。這里通過管理程序?qū)嵤┻@種認(rèn)證�。對(duì)虛擬機(jī)的訪問取決于該認(rèn)證。因此���,例如����,駕駛員或副駕駛員(copilote)可以訪問植入到STAD上的所有虛擬機(jī)���,用于配置STAD的管理虛擬機(jī)除外���,而維護(hù)技術(shù)員可以訪問該管理虛擬機(jī)。虛擬機(jī)可以自動(dòng)或根據(jù)使用者的請(qǐng)求啟動(dòng)STAD的運(yùn)行�。可以根據(jù)使用者的需要獨(dú)立地啟動(dòng)和停止每個(gè)虛擬機(jī)����。使用者可以根據(jù)標(biāo)準(zhǔn)機(jī)制���,例如通過圖形界面從ー個(gè)虛擬機(jī)過渡到另一虛擬機(jī)。根據(jù)ー特殊實(shí)施例����,根據(jù)如在虛擬機(jī)中執(zhí)行的虛擬機(jī)的安全級(jí)別的某些參數(shù),配置在虛擬機(jī)中實(shí)施的功能�。
圖3示意示出根據(jù)功能的類型(步驟300)�����,根據(jù)參數(shù)調(diào)配在虛擬機(jī)中執(zhí)行的某些功能的例子�����。因此��,例如���,對(duì)允許傳輸數(shù)據(jù)的通訊功能����,虛擬機(jī)或它們之中的某些�,從認(rèn)證階段經(jīng)過���,用干與STAD外部的某些系統(tǒng)連接(步驟305),例如與飛行器的信息系統(tǒng)連接��。在虛擬機(jī)啟動(dòng)和/或數(shù)據(jù)交換時(shí)通過管理程序?qū)嵤┰撜J(rèn)證階段�����,該階段包括以下步驟一根據(jù)標(biāo)準(zhǔn)認(rèn)證機(jī)制認(rèn)證虛擬機(jī)(步驟310);一通過檢查例如多個(gè)安全指標(biāo)����,如最新更新的日期和操作系統(tǒng),驗(yàn)證虛擬機(jī)的完整性(步驟315);和一根據(jù)實(shí)施的功能驗(yàn)證虛擬機(jī)相對(duì)于其它虛擬機(jī)的隔離級(jí)別(步驟320)�。該步驟允許驗(yàn)證當(dāng)虛擬機(jī)與飛行器的系統(tǒng)連接時(shí),沒有任何虛擬機(jī)可以例如通過用戶接ロ或網(wǎng)絡(luò)與要求驗(yàn)證的虛擬機(jī)互動(dòng)�����?��?蛇x地���,該步驟可以在于驗(yàn)證遵守預(yù)先確定的通訊規(guī)定。
因此��,只有在虛擬機(jī)的認(rèn)證后才能有效進(jìn)行數(shù)據(jù)傳輸(步驟325),使虛擬機(jī)不能向外部系統(tǒng)傳輸錯(cuò)誤數(shù)據(jù)���。同樣���,虛擬機(jī)之間的數(shù)據(jù)傳輸受到控制,以保證要求的安全級(jí)別��。實(shí)際上�,盡管為了責(zé)任限制或不同的安全級(jí)別的需要,已經(jīng)將虛擬機(jī)隔離�����,但是某些功能可能需要虛擬機(jī)之間的數(shù)據(jù)傳輸�����,因此需要通訊通道的參數(shù)選擇�。因此��,產(chǎn)生一引進(jìn)功能�����,以便可以使向具有高于源虛擬機(jī)(圖3記作MV*)的安全級(jí)別的安全級(jí)別虛擬機(jī)傳輸?shù)臄?shù)據(jù)有效。該功能的原理尤其是根據(jù)數(shù)據(jù)的類型過濾數(shù)據(jù)(步驟330)�����,并保證只有期望的數(shù)據(jù)(步驟335)通過開放的通訊通道傳遞(步驟325)�。但是,使用者仍控制有效性�,即數(shù)據(jù)從一虛擬機(jī)向另一具有更高安全級(jí)別的虛擬機(jī)的有效傳遞的有效性。為了改進(jìn)STADs的維護(hù)操作,優(yōu)選地實(shí)施稱為快照(snapshots)的瞬時(shí)照相機(jī)制����。瞬時(shí)照相功能允許在給定時(shí)刻儲(chǔ)存與一虛擬機(jī)有關(guān)的所有數(shù)據(jù),使虛擬機(jī)以后能夠重新啟動(dòng)���,并重新設(shè)置�,以便虛擬機(jī)重新處于數(shù)據(jù)以照相形式儲(chǔ)存時(shí)所處的狀態(tài)��。該功能可以被使用者激活�,或根據(jù)預(yù)先確定的周期自動(dòng)激活,例如每周或毎月����,或響應(yīng)于特殊事件。另外,為了保證STADs的安全級(jí)別�����,在每個(gè)虛擬機(jī)中建立管理數(shù)據(jù)寫入的特別機(jī)制��。這里該機(jī)制的基礎(chǔ)是寫入時(shí)的圖象復(fù)制功能�,稱為copy-onirite,以及禁止將某些數(shù)據(jù)寫到STAD的大容量存儲(chǔ)器中的功能����。根據(jù)寫入時(shí)復(fù)制圖象的功能,虛擬機(jī)啟動(dòng)時(shí)使用的所有數(shù)據(jù)都被復(fù)制�,并且只有該復(fù)制被虛擬機(jī)使用。因此�,虛擬機(jī)的每個(gè)下次啟動(dòng)時(shí),上次啟動(dòng)時(shí)使用的相同數(shù)據(jù)被使用����,即使這些數(shù)據(jù)后來已改變��。這些功能的結(jié)合允許保證安全級(jí)別�����,同時(shí)避免STADs需要比標(biāo)準(zhǔn)設(shè)備更多的維護(hù)�����。實(shí)際上,如果一虛擬機(jī)受到損害����,只需從穩(wěn)定狀態(tài)實(shí)施的瞬時(shí)照相恢復(fù)虛擬機(jī),以便重新得到功能系統(tǒng)��。有利的是��,為了不破壞平臺(tái)���,根據(jù)虛擬機(jī)的安全級(jí)別����,只有必要的操作允許將數(shù)據(jù)寫到STAD的大容量儲(chǔ)存器中(步驟340)��。例如����,只有操作數(shù)據(jù)和明確識(shí)別的用戶數(shù)據(jù)可以儲(chǔ)存到STAD中。另外��,如果虛擬機(jī)的安全級(jí)別高,那么只有可信級(jí)別經(jīng)過驗(yàn)證的數(shù)據(jù)可以儲(chǔ)存到STAD中(步驟345和350)�。該驗(yàn)證在于例如使數(shù)據(jù)的完整性或來源有效,或驗(yàn)證數(shù)據(jù)產(chǎn)生的環(huán)境����。但是,即使這些數(shù)據(jù)可以儲(chǔ)存到STAD中���,它們優(yōu)選地儲(chǔ)存在可移動(dòng)載體例如SD卡或U盤中��,以便于更換STAD�����,而避免數(shù)據(jù)回收步驟��??尚偶?jí)別沒有經(jīng)過驗(yàn)證的數(shù)據(jù)可以儲(chǔ)存到這樣的可移動(dòng)載體中(步驟355)�����。對(duì)使用者從安全級(jí)別低����、即安全級(jí)別低于預(yù)先確定閾值的虛擬機(jī)收集的數(shù)據(jù)進(jìn)行特別處理,例如當(dāng)虛擬機(jī)可以訪問互聯(lián)網(wǎng)��,并因此接收郵件��、應(yīng)用和cookies時(shí)�����,或者當(dāng)外部設(shè)備如外部儲(chǔ)存設(shè)備可以與STAD連接吋���。在這種情況下����,由于操作和安全的原因�����,這些數(shù)據(jù)只能儲(chǔ)存在可移動(dòng)載體中��,如SD卡或U盤中(步驟355)�����。如前面指出的��,這里每個(gè)虛擬機(jī)與預(yù)先確定的安全級(jí) 別需求相對(duì)應(yīng),應(yīng)用例如操作應(yīng)用���、辦公應(yīng)用和使用者的個(gè)人應(yīng)用根據(jù)應(yīng)用調(diào)用的功能按安全級(jí)別的需要分布在多個(gè)虛擬機(jī)中����。因此��,為了得到令人滿意的總的安全級(jí)別���,通過考慮尤其是良好的使用����、嚴(yán)格需要的驅(qū)動(dòng)軟件�、和支持STAD功能的通訊部件精確設(shè)置管理程序和虛擬機(jī)是很重要的,以便盡可能減小攻擊面(surface d’ attaque),因此不降低安全級(jí)別����。圖4示意示出用于分析與要在同一 STAD上執(zhí)行的功能有關(guān)的風(fēng)險(xiǎn)而實(shí)施的某些步驟。這些風(fēng)險(xiǎn)允許確定應(yīng)植入到STAD中的虛擬機(jī)����,和這些功能在使用的虛擬機(jī)中的分布。該分析尤其在于確定執(zhí)行功能的參數(shù)�����,特別地����,以便確定可以使用的通訊接ロ、使用的操作系統(tǒng)和處理數(shù)據(jù)的來源�。這些參數(shù)可以確定能夠?qū)嵤┕δ懿⒋_定安全級(jí)別的虛擬機(jī)參數(shù)的特性。需要指出的是�,安全級(jí)別也可以與一功能直接有關(guān),例如如果該安全級(jí)別是強(qiáng)制的����。第一步驟(步驟400)的目標(biāo)是背景分析,以確定可以評(píng)估每個(gè)功能的風(fēng)險(xiǎn)的參數(shù)��。這里評(píng)估在失去保密性�、完整性、可用性或真實(shí)性情況下評(píng)估出的風(fēng)險(xiǎn)����,為了評(píng)估風(fēng)險(xiǎn)而可能考慮的參數(shù)尤其可以是以下參數(shù)—信息對(duì)商業(yè)活動(dòng)的戰(zhàn)略價(jià)值;一信息對(duì)財(cái)產(chǎn)和人員安全的關(guān)鍵性��;ー規(guī)章和合同義務(wù)����;一處理信息的保密性��、完整性����、真實(shí)性和可用性的操作重要性����;及一接受方的期待和感覺以及在品牌形象上的結(jié)果。這些參數(shù)用于建立評(píng)估網(wǎng)�����,該評(píng)估網(wǎng)確定每個(gè)已鑒別風(fēng)險(xiǎn)的區(qū)域�����。例如�,該網(wǎng)可以包括對(duì)應(yīng)于低風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)和高風(fēng)險(xiǎn)的三個(gè)區(qū)域�。優(yōu)選地預(yù)先確定與每個(gè)區(qū)域有關(guān)的處理,該處理尤其是允許在實(shí)施前識(shí)別功能的風(fēng)險(xiǎn)�����,以便可以比較和重現(xiàn)結(jié)果。換句話說�,步驟400可以在在STAD中實(shí)施功能前建立功能的分析背景,用于滿足特殊需要��。在第二步驟(步驟405)中����,識(shí)別風(fēng)險(xiǎn)�����。這里在已經(jīng)確定要保護(hù)的財(cái)產(chǎn)清單并且已經(jīng)識(shí)別責(zé)任后����,識(shí)別潛在威脅以及這些威脅的矢量(vecteur)和已經(jīng)實(shí)施的緩和手段(moyensde mitigation)。要指出的是,使用的清單應(yīng)足夠詳細(xì)��,以便可以作出關(guān)于安全級(jí)別需求的決定����。在下一步驟中(步驟410),在采用易損性和進(jìn)攻的概率的情況下���,通過交叉前面得到信息與已知的易損性以及結(jié)果的類型和水平評(píng)估風(fēng)險(xiǎn)����。該步驟特別允許根據(jù)操作背景對(duì)給定風(fēng)險(xiǎn)評(píng)估可能的結(jié)果,并建立功能可能承受的風(fēng)險(xiǎn)清単��。
最后�����,在下ー步驟(步驟415)�,利用前面建立的網(wǎng)和相關(guān)處理對(duì)每個(gè)功能評(píng)估風(fēng)險(xiǎn)水平?���?梢愿鶕?jù)得到的結(jié)果決定用ー執(zhí)行變量重新進(jìn)行風(fēng)險(xiǎn)分析過程(重復(fù)步驟400-415),以便例如通過強(qiáng)加補(bǔ)充約束來減小與一功能有關(guān)的風(fēng)險(xiǎn)�。參照?qǐng)D4描述的用于應(yīng)包括在STAD中的功能的步驟可以確定每個(gè)功能的安全級(jí)別要求?�?赡芘c責(zé)任指標(biāo)結(jié)合的這些結(jié)果可以確定組合在同一虛擬機(jī)中的功能�。如前面指出的,使用責(zé)任指標(biāo)可以確定功能或應(yīng)用植入到STAD中的不同成員之間的責(zé)任限制����。例如,可以對(duì)每個(gè)成員確定一虛擬機(jī),使每個(gè)成員對(duì)它的部分負(fù)責(zé)�����。因此���,作為示例����,可以按照下面的方案實(shí)施四個(gè)虛擬機(jī)一虛擬機(jī)F1�����,用于執(zhí)行需要高安全級(jí)別的應(yīng)用�����。該虛擬機(jī)與其它虛擬機(jī)隔離��,以便允許遵循提供者I的責(zé)任��;
一虛擬機(jī)F2�,用于執(zhí)行需要高安全級(jí)別的應(yīng)用���。該虛擬機(jī)與其它虛擬機(jī)隔離����,以便允許遵循提供者2的責(zé)任;一虛擬機(jī)F3���,用于執(zhí)行需要中等安全級(jí)別的應(yīng)用����;和一虛擬機(jī)F4�����,用于執(zhí)行需要低安全級(jí)別的應(yīng)用�����。需要指出的是���,安裝時(shí)由管理程序創(chuàng)建的用于管理其它虛擬機(jī)的管理虛擬機(jī)具有純技術(shù)用途�,而不是操作用途���。訪問其它機(jī)器的使用者權(quán)限特別地是從該虛擬機(jī)管理�。圖5示意示出用于將在STAD中實(shí)施的軟件應(yīng)用根據(jù)它們調(diào)用的功能在虛擬機(jī)中分布的算法的例子。變量i表示在STAD中實(shí)施的軟件應(yīng)用的索引���,變量j表示具有索引i的應(yīng)用調(diào)用的功能的索引����,這些變量初始化為值I (步驟500)�����。確定具有索引i的應(yīng)用所調(diào)用的功能(步驟505)���。這里它們以表的形式儲(chǔ)存在數(shù)據(jù)庫510中�。然后確定索引為i的應(yīng)用的安全級(jí)別需求�,稱為BNS(i),為索引為j的功能的安全級(jí)別需求�����,稱為BNS(j)(步驟515)����。然后進(jìn)行測(cè)試(步驟520),用于確定索引j的值是否對(duì)應(yīng)于索引為i的功能所調(diào)用的功能的數(shù)量�����。在肯定的情況下,索引j増加I (步驟525)���,并進(jìn)行另ー測(cè)試(步驟530)����,以確定索引為j的功能的安全級(jí)別需求(BNS(j))是否高于索引為i的應(yīng)用的安全級(jí)別需求(BNS(i))��。在肯定的情況下�����,將索引為i的應(yīng)用的安全級(jí)別需求(BNS(i))確定為索引為j的功能的安全級(jí)別需求(BNS(j))(步驟535)���。然后在步驟520繼續(xù)該算法���。如果索引j的值與索引為i的功能所調(diào)用的功能的數(shù)量相對(duì)應(yīng),則使索引為i的應(yīng)用與安全級(jí)別對(duì)應(yīng)于BNS (i)的虛擬機(jī)相關(guān)聯(lián)(步驟540)���。這里該信息儲(chǔ)存在數(shù)據(jù)庫545中�。然后使索引i的值與STAD實(shí)施的應(yīng)用數(shù)比較����,以確定所有應(yīng)用是否已與一虛擬機(jī)相關(guān)聯(lián)(步驟550)���。在肯定的情況下,過程結(jié)束�。在相反情況下,索引i増加1���,并重復(fù)前面的步驟(步驟505-550)���。如前所述,可以產(chǎn)生互相獨(dú)立的虛擬機(jī)�����,以便使它們可以根據(jù)特殊需要集合在管理程序內(nèi)�。另外�,該實(shí)施例使不同成員可以根據(jù)需要集合它們的應(yīng)用。由于負(fù)責(zé)一個(gè)或多個(gè)虛擬機(jī)����,因此每個(gè)成員可以提供運(yùn)行安全方面的保證。因此��,利用STAD的架構(gòu)和上述算法,應(yīng)用提供者可以交付包括它的應(yīng)用的ー個(gè)或多個(gè)虛擬機(jī)�,并告知將建議的軟件平臺(tái)(在虛擬化的基礎(chǔ)上)安裝在STAD上的操作模式。STAD也可和管理程序或預(yù)先安裝的一個(gè)或多個(gè)虛擬機(jī)一起提供��。另外��,如前面指出的�,用戶可以使用U盤或SD卡儲(chǔ)存資料(PTOfil)和用戶數(shù)據(jù),如郵箱用戶名���、cookies和瀏覽器收藏夾��,以及連接腳本(scripts)�����。以這種方式���,STAD是可以互換的,并且可以以機(jī)隊(duì)方式(en flotte)管理�。有利的是,對(duì)STADs能夠與之連接的飛行器的所有用途和所有類型通用的軟件庫安裝在STADs的機(jī)隊(duì)上�����。然后安裝與使用和/或飛行器類型對(duì)應(yīng)的ー個(gè)或多個(gè)虛擬機(jī)。設(shè)置結(jié)束時(shí)�����,產(chǎn)生ー個(gè)或多個(gè)參考圖象�����,以便可以在使用STAD時(shí)設(shè)置STAD���。另外�,使用者可以恢復(fù)這些參考圖象��,而不求助于技術(shù)員 �。作為示例,這里考慮名字為電子飛行包(EFB)的已知工具箱�����。這指的是飛行員和他的副駕駛準(zhǔn)備執(zhí)行任務(wù)的工具箱��。EFB不是具有高安全級(jí)別的應(yīng)用��。主要存在以下方式定義的三級(jí)EFB :一一級(jí)任務(wù)數(shù)據(jù)從地面加載在便攜式STAD中�����。STAD帶到飛行器上�����,但是其不與機(jī)上的信息系統(tǒng)連接�����。數(shù)據(jù)只在著陸后與地面交換����;一二級(jí)涉及與飛行員連接的標(biāo)準(zhǔn)便攜式STAD。STAD與地面特別是航空公司和機(jī)場交換數(shù)據(jù)����,并在整個(gè)飛行階段與飛行器的信息系統(tǒng)交換數(shù)據(jù);和一三級(jí)STAD與駕駛艙連在一起�����,并且可以訪問要求高驗(yàn)證級(jí)別的關(guān)鍵系統(tǒng)���。因此���,ニ級(jí)EFB可以由根據(jù)本發(fā)明的STAD管理�����。在這種情況下�����,EFB的提供者給用戶交付操作應(yīng)用或操作應(yīng)用的一部分����。提供者向用戶告知相容系統(tǒng)的清單和管理程序的最小配置�,或?qū)TAD與管理程序和預(yù)先安裝的虛擬機(jī)一起交付。在初始準(zhǔn)備階段���,用戶根據(jù)操作應(yīng)用和收到的配置數(shù)據(jù)準(zhǔn)備虛擬機(jī)���。用戶還準(zhǔn)備允許實(shí)施企業(yè)專用應(yīng)用如郵箱應(yīng)用的虛擬機(jī)。因此�,信息技術(shù)員可以利用創(chuàng)建的虛擬機(jī)安裝STAD的管理程序,則管理程序允許使用企業(yè)的信息工具����、EFB的功能�,和可能的其它功能�。為了使STAD可以互換�,使用者的數(shù)據(jù)優(yōu)選地儲(chǔ)存在可移動(dòng)存儲(chǔ)卡上,例如SD型卡�����,而不是儲(chǔ)存在STAD的內(nèi)部盤上�。使用時(shí),當(dāng)在一虛擬機(jī)例如與一互聯(lián)網(wǎng)站連接的虛擬機(jī)上檢測(cè)出危害吋����,使用者可以通過利用最近的相關(guān)參考圖象重新啟動(dòng)虛擬機(jī),而不求助于技術(shù)人員�����。同樣�����,在STAD硬件故障的情況下�����,技術(shù)員回收使用者的存儲(chǔ)卡,并將卡插入到機(jī)隊(duì)的另一 STAD中�。他不需要使該STAD個(gè)性化,也不需要復(fù)制使用者的數(shù)據(jù)�����。圖6示出適于實(shí)施本發(fā)明的硬件架構(gòu)的例子���。這里裝置600包括通訊總線605����,總線605與以下裝置連接一中央處理器或微處理器610 (CPU)�;一可以包括實(shí)施本發(fā)明所需程序的只讀存儲(chǔ)器615 (ROM);一隨機(jī)存取存儲(chǔ)器或緩存存儲(chǔ)器620(RAM)��,該存儲(chǔ)器包括能夠記錄在上述程序的執(zhí)行過程中創(chuàng)建和改變的變量和參數(shù)的寄存器���;和一能夠發(fā)送和接收數(shù)據(jù)的通訊接ロ 650�����。裝置600優(yōu)選地還擁有以下元件一可以查看如指令表達(dá)的數(shù)據(jù)并作為與使用者的圖形界面的屏幕625��,使用者可以借助鍵盤和鼠標(biāo)630或其它點(diǎn)擊裝置如觸摸屏或遙控器與根據(jù)本發(fā)明的程序互動(dòng)�;
一可以包括根據(jù)本發(fā)明的上述程序和處理后或待處理數(shù)據(jù)的硬盤635 ;和一能夠接納存儲(chǔ)卡645并且在上面讀或?qū)懜鶕?jù)本發(fā)明的已處理數(shù)據(jù)或待處理數(shù)據(jù)的存儲(chǔ)卡的讀取器640。通訊總線可以在包括在裝置600中的或與裝置600連接的不同元件之間通訊和互操作�����?�?偩€的表示不是限定的�,尤其是中央處理器可以直接或通過裝置600的其它元件給裝置600的所有元件發(fā)出指令�����。允許可編程裝置實(shí)施根據(jù)本發(fā)明的過程的每個(gè)程序的可執(zhí)行代碼可以儲(chǔ)存在例如硬盤635中���,或者儲(chǔ)存在只讀儲(chǔ)存器615中�。根據(jù)ー變型��,存儲(chǔ)卡645可以包含數(shù)據(jù)�,特別是檢測(cè)出的事件和可以被激發(fā)的指令之間的對(duì)應(yīng)表,以及一旦被裝置600讀取就儲(chǔ)存在硬盤635中的上述程序的可執(zhí)行代碼�����。 根據(jù)另ー變型,程序的可執(zhí)行代碼可以至少部分通過接ロ 650接收����,以便以和前面描述的相同方式儲(chǔ)存。更普遍的是�,一個(gè)或多個(gè)程序可以在執(zhí)行前加載在裝置600的儲(chǔ)存部件之一中。中央處理器610將控制并引導(dǎo)根據(jù)本發(fā)明的程序的指令或軟件代碼部分的執(zhí)行����,指令儲(chǔ)存在硬盤635上或只讀存儲(chǔ)器615中或上述其它存儲(chǔ)元件中。當(dāng)施加電壓時(shí)��,儲(chǔ)存在非易失存儲(chǔ)器�、例如硬盤635或只讀儲(chǔ)存器615中的程序被傳輸?shù)桨鶕?jù)本發(fā)明的程序的可執(zhí)行代碼的隨機(jī)存取存儲(chǔ)器620、以及用于儲(chǔ)存實(shí)施本發(fā)明所需變量和參數(shù)的寄存器中�。當(dāng)然,為了滿足特殊需要�,本領(lǐng)域的技術(shù)人員可以在上述描述中進(jìn)行修改。
權(quán)利要求
1.用于適于多用途數(shù)據(jù)的自動(dòng)處理的計(jì)算機(jī)的軟件組件�����,該軟件組件的特征在于�,它實(shí)施ー些需要不同安全級(jí)別或責(zé)任限制的功能,并且它包括 -多個(gè)虛擬機(jī)(215)�,每個(gè)虛擬機(jī)適于執(zhí)行需要ー預(yù)先確定的安全級(jí)別或責(zé)任限制的至少ー個(gè)功能���,至少ー個(gè)所述的功能根據(jù)在其中執(zhí)行該功能的虛擬機(jī)的參數(shù)進(jìn)行調(diào)整;及 -適于控制所述多個(gè)虛擬機(jī)的執(zhí)行的管理程序(210)���。
2.如權(quán)利要求I所述的軟件組件�����,其中�����,所述管理程序包括認(rèn)證部件,用于認(rèn)證(310)所述多個(gè)虛擬機(jī)中的至少ー個(gè)虛擬機(jī)���。
3.如權(quán)利要求2所述的軟件組件����,其中�����,所述認(rèn)證部件適于驗(yàn)證所述至少ー個(gè)被認(rèn)證的虛擬機(jī)的完整性(315)����。
4.如權(quán)利要求2或3所述的軟件組件�����,其中�����,所述認(rèn)證部件適于驗(yàn)證所述至少ー個(gè)被認(rèn)證的虛擬機(jī)相對(duì)于所述多個(gè)虛擬機(jī)中的至少另ー個(gè)虛擬機(jī)的隔離級(jí)別(320)���。
5.如上述權(quán)利要求之任一項(xiàng)所述的軟件組件,它另外包括由所述多個(gè)虛擬機(jī)中的至少一個(gè)虛擬機(jī)處理的數(shù)據(jù)的存儲(chǔ)部件�����,所述存儲(chǔ)部件適于將被處理的數(shù)據(jù)儲(chǔ)存在所述計(jì)算機(jī)的可移動(dòng)存儲(chǔ)器上(355)����。
6.如權(quán)利要求5所述的軟件組件,其中�����,所述數(shù)據(jù)存儲(chǔ)部件由所述多個(gè)虛擬機(jī)中安全級(jí)別低于預(yù)定閾值的虛擬機(jī)來實(shí)施(340)�。
7.如上述權(quán)利要求之任一項(xiàng)所述的軟件組件����,它另外包括檢驗(yàn)由所述多個(gè)虛擬機(jī)中至少ー個(gè)虛擬機(jī)處理的至少ー個(gè)數(shù)據(jù)的可信級(jí)別的檢驗(yàn)部件(345)��,所述至少一個(gè)處理的數(shù)據(jù)僅在其已經(jīng)被檢驗(yàn)后����,才能夠被本地存儲(chǔ)(350)在所述計(jì)算機(jī)中。
8.如上述權(quán)利要求之任一項(xiàng)所述的軟件組件�����,它另外包括在所述多個(gè)虛擬機(jī)中的第一虛擬機(jī)和第二虛擬機(jī)之間傳輸數(shù)據(jù)的傳輸部件��,如果所述第二虛擬機(jī)的安全級(jí)別高于所述第一虛擬機(jī)的安全級(jí)別��,所述傳輸部件適于過濾(330�、335)傳輸?shù)臄?shù)據(jù)����。
9.如上述權(quán)利要求之任一項(xiàng)所述的軟件組件,其中���,用于啟動(dòng)所述多個(gè)虛擬機(jī)中至少一個(gè)虛擬機(jī)的配置數(shù)據(jù)在啟動(dòng)的所述至少一個(gè)虛擬機(jī)的執(zhí)行過程中不改變��。
10.包括適于實(shí)施如上述權(quán)利要求之任一項(xiàng)所述的軟件組件的每個(gè)元素的部件的裝置�。
全文摘要
本發(fā)明尤其涉及用于多用途數(shù)據(jù)的自動(dòng)處理的軟件組件,該軟件組件實(shí)施需要不同安全級(jí)別或責(zé)任限制的功能����。本發(fā)明的軟件組件包括多個(gè)虛擬機(jī)(215),每個(gè)虛擬機(jī)適于執(zhí)行需要一預(yù)先確定的安全級(jí)別或責(zé)任限制的至少一個(gè)功能���,還包括適于控制所述多個(gè)虛擬機(jī)的執(zhí)行的管理程序(210)���。
文檔編號(hào)G06F21/00GK102656559SQ201080041951
公開日2012年9月5日 申請(qǐng)日期2010年7月28日 優(yōu)先權(quán)日2009年7月28日
發(fā)明者P·比翁迪, S·韋爾芒德 申請(qǐng)人:空中客車公司