CA2291865C - Procede de mise en oeuvre d'une unite de service de trafic air - Google Patents
Procede de mise en oeuvre d'une unite de service de trafic air Download PDFInfo
- Publication number
- CA2291865C CA2291865C CA002291865A CA2291865A CA2291865C CA 2291865 C CA2291865 C CA 2291865C CA 002291865 A CA002291865 A CA 002291865A CA 2291865 A CA2291865 A CA 2291865A CA 2291865 C CA2291865 C CA 2291865C
- Authority
- CA
- Canada
- Prior art keywords
- forbidden
- air traffic
- false
- aoc
- service unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q99/00—Subject matter not provided for in other groups of this subclass
Landscapes
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Traffic Control Systems (AREA)
- Other Investigation Or Analysis Of Materials By Electrical Means (AREA)
Abstract
L'invention concerne un procédé de mise en oeuvre de l'unité de service de trafic air (ATSU) qui gère les liaisons entre certains équipements avion et les moyens de communications sol/bord, et dont le système d'exploitation (OS) gère les entrées/sorties, l'utilisation des ressources logicielles et matérielles, l'enchaînement et le cadencement des applications, qui sont des programmes réalisant des fonctionnalités du système avion, dans lequel on utilise des mécanismes de découpage de la mémoire, et des mécanismes de découpage de l'unité centrale ; dans lequel on filtre les appels au système d'exploitation de manière à interdire auxdites applications de type AOC (Airline Operational Communication) de perturber le fonctionnement de ladite unité de service de trafic air.
Description
PROCEDE DE MISE EN OEUVRE D'iTNE UNITE DE SERVICE
DE TRAFIC AIR
DESCRIPTION
Domaine technique La présente invention concerne un procédé de mise en oeuvre d'une unité de service de trafic air.
Etat de la technique antérieure Dans les générations d'avions à venir, un nouvel équipement va voir le jour : l'unité de service de trafic air ou ATSU. Cette unité de service de trafic air, telle que décrite dans le document référencé [1]
en fin de description, a pour objet de gérer les liaisons entre certains équipements avions (tels le système de gestion de vol (FMS), l'ordinateur de maintenance central (CMC), le système d'alarmes de vol (FWS)...) et les moyens de communication sol/bord (tels que la communication satellite (SatCom), la liaison données HF (HFDL), le système de présentation et d'adressage de communication système (ACARS)...).
La particularité de l'unité de service de trafic air est d'être conçue comme un calculateur classique avec un système d'exploitation, sur lequel s'exécutent des applications. On retrouve ainsi l'architecture classique illustrée sur la figure 1.
Le système d'exploitation 10 gère les entrées/sorties il, l'utilisation des ressources logicielles 12 et matérielles 13, l'enchaînement et le cadencement des applications 14 : A1.... An.
Les ressources logicielles sont l'équivalent de sous-programmes utilisables par les applications et/ou le système d'exploitation (gestions des communications, bibliothèques,...) SP 15263.69 DB
DE TRAFIC AIR
DESCRIPTION
Domaine technique La présente invention concerne un procédé de mise en oeuvre d'une unité de service de trafic air.
Etat de la technique antérieure Dans les générations d'avions à venir, un nouvel équipement va voir le jour : l'unité de service de trafic air ou ATSU. Cette unité de service de trafic air, telle que décrite dans le document référencé [1]
en fin de description, a pour objet de gérer les liaisons entre certains équipements avions (tels le système de gestion de vol (FMS), l'ordinateur de maintenance central (CMC), le système d'alarmes de vol (FWS)...) et les moyens de communication sol/bord (tels que la communication satellite (SatCom), la liaison données HF (HFDL), le système de présentation et d'adressage de communication système (ACARS)...).
La particularité de l'unité de service de trafic air est d'être conçue comme un calculateur classique avec un système d'exploitation, sur lequel s'exécutent des applications. On retrouve ainsi l'architecture classique illustrée sur la figure 1.
Le système d'exploitation 10 gère les entrées/sorties il, l'utilisation des ressources logicielles 12 et matérielles 13, l'enchaînement et le cadencement des applications 14 : A1.... An.
Les ressources logicielles sont l'équivalent de sous-programmes utilisables par les applications et/ou le système d'exploitation (gestions des communications, bibliothèques,...) SP 15263.69 DB
2 Les ressources matérielles comprennent mémoires, bus, registres, processeur, co-processeur...
Les applications sont des programmes réalisant chacun une fonctionnalité du système avion, par exemple la communication de liaison données contrôleur/pilote ( C PDLC ) .
La mission de l'unité de service de trafic air est d'augmenter les capacités opérationnelles de l'avion en automatisant les échanges pilotes/
contrôleurs via l'utilisation de réseaux de communication de données.
L'unité de service de trafic air supporte la base des activités communication et surveillance incluses dans le concept général FANS-CNS/ATM au sein du système ATIMS.
Les principales fonctions fournies par l'unité
de service de trafic air sont :
- la gestion du dialogue équipage/contrôleur (CPDLC/AFN) ;
- la surveillance dépendante automatique (ADS) ;
- les fonctions d'exploitation de l'avion (AOC), par exemple modification du plan de vol, rapports de maintenance, ... ;
- l'utilisation du réseau ACARS avant la mise en oeuvre du réseau ATN ;
- le routage ACARS.
Vis-à-vis des objectifs de sécurité, la classification des fonctions offertes par l'unité de service de trafic air ne nécessite pas d'architecture particulière.
Comme illustré sur la figure 2, l'environnement de l'unité de trafic air est constitué de SP 15263.69 DB
Les applications sont des programmes réalisant chacun une fonctionnalité du système avion, par exemple la communication de liaison données contrôleur/pilote ( C PDLC ) .
La mission de l'unité de service de trafic air est d'augmenter les capacités opérationnelles de l'avion en automatisant les échanges pilotes/
contrôleurs via l'utilisation de réseaux de communication de données.
L'unité de service de trafic air supporte la base des activités communication et surveillance incluses dans le concept général FANS-CNS/ATM au sein du système ATIMS.
Les principales fonctions fournies par l'unité
de service de trafic air sont :
- la gestion du dialogue équipage/contrôleur (CPDLC/AFN) ;
- la surveillance dépendante automatique (ADS) ;
- les fonctions d'exploitation de l'avion (AOC), par exemple modification du plan de vol, rapports de maintenance, ... ;
- l'utilisation du réseau ACARS avant la mise en oeuvre du réseau ATN ;
- le routage ACARS.
Vis-à-vis des objectifs de sécurité, la classification des fonctions offertes par l'unité de service de trafic air ne nécessite pas d'architecture particulière.
Comme illustré sur la figure 2, l'environnement de l'unité de trafic air est constitué de SP 15263.69 DB
3 - un système 20 d'accès au sous-réseau air/sol ACARS
- des systèmes avioniques 21 tels que = système de gestion de vol (FMS), = système électronique de vol/gestion d'avion centralisée électronique (EFIS/
ECAM), = ordinateur de maintenance central (CMC), = système d'avertissement en vol (FWS), = imprimante, = unité de commande de disque multi-usage (MDDU), = horloge - des unités d'affichages (MCDU1, MCDU2, MCDU3,...) ;
- une unité 22 de contrôle de liaison de données et d'affichage.
La figure 3 illustre la structure logicielle de l'unité de service de trafic air avec des logiciels indépendants et avec leurs relations de chargement.
La figure 4 illustre les fonctions de l'unité
de service de trafic air avec leur positionnement pour les applications et pour la plate-forme logicielle.
Le calculateur de l'unité de service de trafic air est composé de deux catégories de fonctions :
- les fonctions basiques qui assurent le rôle fonctionnel de ce calculateur ;
- les fonctions de gestion du système qui n'ont pas d'impact sur le rôle fonctionnel du calculateur.
Elles sont chargées de remplir les services classiques de tout calculateur embarqué sur avion (maintenance, surveillance, etc...) SP 15263.69 DB
- des systèmes avioniques 21 tels que = système de gestion de vol (FMS), = système électronique de vol/gestion d'avion centralisée électronique (EFIS/
ECAM), = ordinateur de maintenance central (CMC), = système d'avertissement en vol (FWS), = imprimante, = unité de commande de disque multi-usage (MDDU), = horloge - des unités d'affichages (MCDU1, MCDU2, MCDU3,...) ;
- une unité 22 de contrôle de liaison de données et d'affichage.
La figure 3 illustre la structure logicielle de l'unité de service de trafic air avec des logiciels indépendants et avec leurs relations de chargement.
La figure 4 illustre les fonctions de l'unité
de service de trafic air avec leur positionnement pour les applications et pour la plate-forme logicielle.
Le calculateur de l'unité de service de trafic air est composé de deux catégories de fonctions :
- les fonctions basiques qui assurent le rôle fonctionnel de ce calculateur ;
- les fonctions de gestion du système qui n'ont pas d'impact sur le rôle fonctionnel du calculateur.
Elles sont chargées de remplir les services classiques de tout calculateur embarqué sur avion (maintenance, surveillance, etc...) SP 15263.69 DB
4 Parmi les fonctions basiques on trouve les applications. La terminologie application fait référence à un protocole de communication de liaison de données air/sol et à son intégration à bord. Chaque application possède la compétence nécessaire pour le séquencement des traitements différents requis.
Ces applications comprennent :
= Les applications de service de trafic aérien ou ATC
qui regroupent :
- les services de gestion de trafic aérien (ATMS). Ces applications supportent et initialisent les échanges d'informations bord/sol et sol/bord, les communications de liaison données contrôleur/pilote (CPDLC) et la notification de facilité de trafic aérien (AFN) étant incluses ;
- l'application de surveillance (ADS) qui permet en particulier de donner en permanence la position de l'avion ;
- les services d'information de vol.
= Les applications de communication opérationnelles compagnie ou AOC.
Lorsque l'unité de service de trafic air est livrée, la compagnie client peut implémenter des applications qui lui appartiennent, qu'elle a développées elle-même ou fait développer par un tiers.
Cette possibilité est très intéressante commercialement, ces applications permettant à ladite compagnie d'exploiter pour ses besoins propres certaines données présentes au niveau de l'avion, qui ne concernent pas le fonctionnement proprement dit de l'avion mais son exploitation en tant qu'outil SP 15263.69 DB
commercial (durée de certaines parties d'un vol, consommation de carburant, ..). Ces applications, appelées AOC, ne sont pas connues du fabricant de l'unité de service de trafic air.
Ces applications comprennent :
= Les applications de service de trafic aérien ou ATC
qui regroupent :
- les services de gestion de trafic aérien (ATMS). Ces applications supportent et initialisent les échanges d'informations bord/sol et sol/bord, les communications de liaison données contrôleur/pilote (CPDLC) et la notification de facilité de trafic aérien (AFN) étant incluses ;
- l'application de surveillance (ADS) qui permet en particulier de donner en permanence la position de l'avion ;
- les services d'information de vol.
= Les applications de communication opérationnelles compagnie ou AOC.
Lorsque l'unité de service de trafic air est livrée, la compagnie client peut implémenter des applications qui lui appartiennent, qu'elle a développées elle-même ou fait développer par un tiers.
Cette possibilité est très intéressante commercialement, ces applications permettant à ladite compagnie d'exploiter pour ses besoins propres certaines données présentes au niveau de l'avion, qui ne concernent pas le fonctionnement proprement dit de l'avion mais son exploitation en tant qu'outil SP 15263.69 DB
commercial (durée de certaines parties d'un vol, consommation de carburant, ..). Ces applications, appelées AOC, ne sont pas connues du fabricant de l'unité de service de trafic air.
5 L'unité de service de trafic air doit pouvoir accueillir de telles applications AOC développées par des tiers à la demande des compagnies aériennes. Les contraintes associées à une telle exigence se traduisent par une structure d'accueil permettant de :
- rendre ces différents développements (réalisation, mise au point et support) les plus autonomes possible ;
- rendre la plate-forme matérielle transparente pour le logiciel ;
- garantir une capacité de traitement à chaque processus (temps unité centrale) ;
- garantir la non-perturbation d'une application ATC par une application AOC.
Le fabricant de l'unité de service de trafic air doit certifier l'équipement auprès de divers organismes officiels, certifier signifiant : connaître, vérifier et garantir le fonctionnement de l'ensemble dans tous les modes possibles de fonctionnement, y compris des modes dégradés ou lors de défaut de certains de ses éléments. C'est une procédure connue et maîtrisée.
La certification a deux fonctions : une fonction purement administrative qui équivaut à une autorisation d'emploi sur avion commercial et surtout une fonction de garantie de sécurité. La certification permet de garantir que le fonctionnement ou le dysfonctionnement d'un équipement n'aura pas de conséquences inacceptables. Le niveau de dysfonctionnement permis varie suivant le rôle SP 15263.69 DB
- rendre ces différents développements (réalisation, mise au point et support) les plus autonomes possible ;
- rendre la plate-forme matérielle transparente pour le logiciel ;
- garantir une capacité de traitement à chaque processus (temps unité centrale) ;
- garantir la non-perturbation d'une application ATC par une application AOC.
Le fabricant de l'unité de service de trafic air doit certifier l'équipement auprès de divers organismes officiels, certifier signifiant : connaître, vérifier et garantir le fonctionnement de l'ensemble dans tous les modes possibles de fonctionnement, y compris des modes dégradés ou lors de défaut de certains de ses éléments. C'est une procédure connue et maîtrisée.
La certification a deux fonctions : une fonction purement administrative qui équivaut à une autorisation d'emploi sur avion commercial et surtout une fonction de garantie de sécurité. La certification permet de garantir que le fonctionnement ou le dysfonctionnement d'un équipement n'aura pas de conséquences inacceptables. Le niveau de dysfonctionnement permis varie suivant le rôle SP 15263.69 DB
6 fonctionnel de l'équipement dans l'avion : ainsi l'équipement qui gère les liseuses individuelles des passagers n'est pas soumis aux mêmes contraintes qu'un calculateur de commandes de vol. Le document [2]
illustre le fait que le logiciel complet d'un équipement de bord est concerné par la certification.
On a donc un équipement dont le fonctionnement est certifié (connu, vérifié et garanti) sur lequel on peut exécuter une application AOC inconnue.
Manifestement, le nouvel ensemble n'est plus celui qui a été certifié. Pour le certifier il faudrait recommencer une procédure de certification pour l'ensemble fabriqué, enrichi de la (ou des) application(s) AOC. Une telle procédure serait beaucoup trop chère. De plus l'avantage commercial de proposer à
une compagnie la possibilité d'implémenter ses propres applications disparaîtrait.
Pour minimiser les procédures de certification pour chaque évolution, l'unité de service de trafic air met en oeuvre :
- une conception logicielle modulaire - un concept de plate-forme centrale - des interfaces de haut niveau entre cette plate-forme centrale et les applications ;
- une séparation des applications.
Afin de concentrer les intégration/validation détaillées et la qualification uniquement sur l'application modifiée/ajoutée, le procédé réduit résulte d'une analyse d'impact de modification lorsqu'un nouveau logiciel (sauf les applications AOC) est ajouté.
Une certification initiale de l'unité de service de trafic air couvre, bien sûr, tous les aspects, mais la certification d'une évolution de cette SP 15263.69 DB
illustre le fait que le logiciel complet d'un équipement de bord est concerné par la certification.
On a donc un équipement dont le fonctionnement est certifié (connu, vérifié et garanti) sur lequel on peut exécuter une application AOC inconnue.
Manifestement, le nouvel ensemble n'est plus celui qui a été certifié. Pour le certifier il faudrait recommencer une procédure de certification pour l'ensemble fabriqué, enrichi de la (ou des) application(s) AOC. Une telle procédure serait beaucoup trop chère. De plus l'avantage commercial de proposer à
une compagnie la possibilité d'implémenter ses propres applications disparaîtrait.
Pour minimiser les procédures de certification pour chaque évolution, l'unité de service de trafic air met en oeuvre :
- une conception logicielle modulaire - un concept de plate-forme centrale - des interfaces de haut niveau entre cette plate-forme centrale et les applications ;
- une séparation des applications.
Afin de concentrer les intégration/validation détaillées et la qualification uniquement sur l'application modifiée/ajoutée, le procédé réduit résulte d'une analyse d'impact de modification lorsqu'un nouveau logiciel (sauf les applications AOC) est ajouté.
Une certification initiale de l'unité de service de trafic air couvre, bien sûr, tous les aspects, mais la certification d'une évolution de cette SP 15263.69 DB
7 unité de service de trafic air ne doit pas se focaliser sur les nouvelles parties modifiées.
L'invention a pour objet, dans le cas spécifique des applications AOC, de ne nécessiter aucune certification, le logiciel de telles applications étant situé au niveau E (niveau minimum de criticité de pannes vis-à-vis de l'avion), et donc de concilier les deux nécessités : certifier l'équipement dans son ensemble (c'est-à-dire applications AOC
comprises) et permettre aux compagnies d'implémenter des applications qui leur sont propres.
Exposé de l'invention La présente invention concerne un procédé de mise en oeuvre d'une unité de service de trafic air (ATSU) qui gère les liaisons entre certains équipements avion et les moyens de communication sol/bord, et dont le système d'exploitation (OS) gère les entrées/sorties, l'utilisation des ressources logicielles et matérielles, l'enchaînement et le cadencement des applications, qui sont des programmes réalisant des fonctionnalités du système avion, et dans lequel on utilise des mécanismes de découpage de la mémoire, et des mécanismes de découpage de l'unité
centrale, ledit procédé étant caractérisé en ce que l'on filtre les appels au système d'exploitation issus d'applications de communication opérationnelle compagnie aérienne ou AOC de manière à interdire auxdites applications de perturber le fonctionnement de ladite unité de service de trafic air.
Avantageusement le filtrage est réalisé par la méthode Hook. Ce filtrage ne laisse passer que les appels système autorisés.
SP 15263.69 DB
L'invention a pour objet, dans le cas spécifique des applications AOC, de ne nécessiter aucune certification, le logiciel de telles applications étant situé au niveau E (niveau minimum de criticité de pannes vis-à-vis de l'avion), et donc de concilier les deux nécessités : certifier l'équipement dans son ensemble (c'est-à-dire applications AOC
comprises) et permettre aux compagnies d'implémenter des applications qui leur sont propres.
Exposé de l'invention La présente invention concerne un procédé de mise en oeuvre d'une unité de service de trafic air (ATSU) qui gère les liaisons entre certains équipements avion et les moyens de communication sol/bord, et dont le système d'exploitation (OS) gère les entrées/sorties, l'utilisation des ressources logicielles et matérielles, l'enchaînement et le cadencement des applications, qui sont des programmes réalisant des fonctionnalités du système avion, et dans lequel on utilise des mécanismes de découpage de la mémoire, et des mécanismes de découpage de l'unité
centrale, ledit procédé étant caractérisé en ce que l'on filtre les appels au système d'exploitation issus d'applications de communication opérationnelle compagnie aérienne ou AOC de manière à interdire auxdites applications de perturber le fonctionnement de ladite unité de service de trafic air.
Avantageusement le filtrage est réalisé par la méthode Hook. Ce filtrage ne laisse passer que les appels système autorisés.
SP 15263.69 DB
8 Dans un mode de réalisation avantageux, un logiciel de contrôle des appels système permet de :
- configurer les filtres dont certaines caractéristiques peuvent être fixées par un processus super-utilisateur , de l'unité de service de trafic air ;
- filtrer les appels système qui doivent l'être ;
- enregistrer dans une zone spécifique les refus d'exécution d'appels système ;
- fournir, à la demande du processus super-utilisateur de l'unité de service de trafic air, les données stockées sur les rejets d'appels système.
Brève description des dessins - La figure 1 illustre la structure de l'unité
de service de trafic air ;
- la figure 2 illustre l'environnement de l'unité de service de trafic air ;
- la figure 3 illustre la structure logicielle de l'unité de service de trafic air ;
- la figure 4 illustre les fonctions de l'unité
de service de trafic air ;
- la figure 5 illustre le procédé de l'invention.
Exposé détaillé de modes de réalisation L'invention concerne un procédé de mise en oeuvre de l'unité de service de trafic air (ATSU) qui gère les liaisons entre certains équipements avion et les moyens de communication sol/bord, et dont le système d'exploitation (OS) gère les entrées/sorties, l'utilisation des ressources logicielles et matérielles, l'enchaînement et le cadencement des SP 15263.69 DB
- configurer les filtres dont certaines caractéristiques peuvent être fixées par un processus super-utilisateur , de l'unité de service de trafic air ;
- filtrer les appels système qui doivent l'être ;
- enregistrer dans une zone spécifique les refus d'exécution d'appels système ;
- fournir, à la demande du processus super-utilisateur de l'unité de service de trafic air, les données stockées sur les rejets d'appels système.
Brève description des dessins - La figure 1 illustre la structure de l'unité
de service de trafic air ;
- la figure 2 illustre l'environnement de l'unité de service de trafic air ;
- la figure 3 illustre la structure logicielle de l'unité de service de trafic air ;
- la figure 4 illustre les fonctions de l'unité
de service de trafic air ;
- la figure 5 illustre le procédé de l'invention.
Exposé détaillé de modes de réalisation L'invention concerne un procédé de mise en oeuvre de l'unité de service de trafic air (ATSU) qui gère les liaisons entre certains équipements avion et les moyens de communication sol/bord, et dont le système d'exploitation (OS) gère les entrées/sorties, l'utilisation des ressources logicielles et matérielles, l'enchaînement et le cadencement des SP 15263.69 DB
9 applications, qui sont des programmes réalisant des fonctionnalités du système avion.
L'architecture logicielle de l'unité de service de trafic air est basée sur l'utilisation d'un système d'exploitation temps réel qui gère les traitements. Un sous-ensemble logiciel est appliqué sur chaque traitement.
Chaque traitement est protégé des autres traitements par différents mécanismes de protection tels que :
= Un découpage de la mémoire Le système d'exploitation utilise une unité de gestion de mémoire (MMU) du microprocesseur de telle manière que deux étapes sont nécessaires pour traduire l'adresse logique du code courant en adresse physique :
- adresse logique ---> adresse linéaire au travers d'un mécanisme de segmentation de l'unité de gestion de mémoire ;
- adresse linéaire ---> adresse physique au travers d'un mécanisme de pagination de l'unité de gestion de mémoire.
Durant chacune de ces étapes l'unité de gestion de mémoire réalise une vérification de protection et interdit un accès illégal.
Le système d'exploitation fournit deux types de découpage :
- le code utilisateur (non privilégié) ne peut accéder directement le code système d'exploitation ou espace de données. Seul un accès indirect au travers des appels au système d'exploitation est possible ;
- le code procédé ne peut accéder un autre code procédé ou espace de données.
= Un découpage de l'utilisation de l'unité centrale de traitement.
SP 15263.69 DB
Chaque procédé peut être composé de quatre tâches au maximum. Chaque tâche a une priorité
inférieure ou égale à la priorité du procédé dont elle est issue. Le système d'exploitation fournit un relevé
5 de priorité préemptif combiné avec une gestion circulaire par niveau de priorité. Ainsi une tâche de bas niveau ne peut empêcher une tâche de niveau supérieur d'utiliser l'unité centrale et une tâche ne peut monopoliser l'unité centrale indéfiniment au
L'architecture logicielle de l'unité de service de trafic air est basée sur l'utilisation d'un système d'exploitation temps réel qui gère les traitements. Un sous-ensemble logiciel est appliqué sur chaque traitement.
Chaque traitement est protégé des autres traitements par différents mécanismes de protection tels que :
= Un découpage de la mémoire Le système d'exploitation utilise une unité de gestion de mémoire (MMU) du microprocesseur de telle manière que deux étapes sont nécessaires pour traduire l'adresse logique du code courant en adresse physique :
- adresse logique ---> adresse linéaire au travers d'un mécanisme de segmentation de l'unité de gestion de mémoire ;
- adresse linéaire ---> adresse physique au travers d'un mécanisme de pagination de l'unité de gestion de mémoire.
Durant chacune de ces étapes l'unité de gestion de mémoire réalise une vérification de protection et interdit un accès illégal.
Le système d'exploitation fournit deux types de découpage :
- le code utilisateur (non privilégié) ne peut accéder directement le code système d'exploitation ou espace de données. Seul un accès indirect au travers des appels au système d'exploitation est possible ;
- le code procédé ne peut accéder un autre code procédé ou espace de données.
= Un découpage de l'utilisation de l'unité centrale de traitement.
SP 15263.69 DB
Chaque procédé peut être composé de quatre tâches au maximum. Chaque tâche a une priorité
inférieure ou égale à la priorité du procédé dont elle est issue. Le système d'exploitation fournit un relevé
5 de priorité préemptif combiné avec une gestion circulaire par niveau de priorité. Ainsi une tâche de bas niveau ne peut empêcher une tâche de niveau supérieur d'utiliser l'unité centrale et une tâche ne peut monopoliser l'unité centrale indéfiniment au
10 détriment d'une tâche ayant la même priorité.
L'invention consiste à filtrer les appels au système d'exploitation issus d'applications de type AOC
de manière à interdire auxdites applications de perturber le fonctionnement de l'unité de service de trafic air.
Pour comprendre ce mécanisme de filtrage, on va revenir rapidement sur le fonctionnement du système d'exploitation.
Lorsqu'une application a besoin d'une ressource logicielle ou matérielle, de communiquer avec une autre application ou même de modifier des paramètres du système d'exploitation, elle doit transiter par le système d'exploitation.
De par la conception même du calculateur, de type UNIX par exemple, l'application ne peut pas effectuer ces accès directement : elle effectue des demandes d'accès au système d'exploitation par le biais d'une interruption logicielle paramétrée. Les paramètres définissent le type d'accès souhaité, c'est-à-dire la fonctionnalité appelée.
Le fabricant du système d'exploitation a prévu une possibilité appelée méthode HOOK permettant lors SP 15263.69 DB
L'invention consiste à filtrer les appels au système d'exploitation issus d'applications de type AOC
de manière à interdire auxdites applications de perturber le fonctionnement de l'unité de service de trafic air.
Pour comprendre ce mécanisme de filtrage, on va revenir rapidement sur le fonctionnement du système d'exploitation.
Lorsqu'une application a besoin d'une ressource logicielle ou matérielle, de communiquer avec une autre application ou même de modifier des paramètres du système d'exploitation, elle doit transiter par le système d'exploitation.
De par la conception même du calculateur, de type UNIX par exemple, l'application ne peut pas effectuer ces accès directement : elle effectue des demandes d'accès au système d'exploitation par le biais d'une interruption logicielle paramétrée. Les paramètres définissent le type d'accès souhaité, c'est-à-dire la fonctionnalité appelée.
Le fabricant du système d'exploitation a prévu une possibilité appelée méthode HOOK permettant lors SP 15263.69 DB
11 d'un appel système de lancer une procédure juste avant le traitement de l'appel par le système d'exploitation.
Le document [3] donne deux exemples de tests réalisés sur le logiciel ATSU et qui montrent l'effet du filtrage par la procédure HOOK.
Le filtrage des appels est effectué via une procédure dont le principe conduit à créer :
- un mécanisme de procédure HOOK dans le traitement du répartiteur des appels systèmes du système d'exploitation ;
- un logiciel driver (code développé par le fabricant pour filtrer les appels au système ; le tableau I donné en fin de description à titre d'exemple liste les 266 appels système ainsi que le type de filtrage associé ; le fabricant proposant, en effet, en standard un noyau configurable par l'utilisateur à
l'aide de stubs , mécanismes qui simulent des appels réels en n'effectuant aucun traitement). Ce logiciel activé par la procédure HOOK, réalise effectivement le filtrage.
Dans la procédure HOOK du répartiteur des appels système, tout appel système active ce répartiteur qui assure le passage dans le contexte du système d'exploitation et réalise l'appel système requis. Ce répartiteur est le point d'entrée dans le système d'exploitation ; c'est donc là que la procédure HOOK d'appel du filtre est disposée.
La procédure HOOK est implémentée juste avant la répartition et consiste à permettre l'activation d'un traitement (assimilable à une partie d'un driver ) de contrôle du caractère réalisable de l'appel système.
Ce logiciel de contrôle des appels système permet de :
SP 15263.69 DB
Le document [3] donne deux exemples de tests réalisés sur le logiciel ATSU et qui montrent l'effet du filtrage par la procédure HOOK.
Le filtrage des appels est effectué via une procédure dont le principe conduit à créer :
- un mécanisme de procédure HOOK dans le traitement du répartiteur des appels systèmes du système d'exploitation ;
- un logiciel driver (code développé par le fabricant pour filtrer les appels au système ; le tableau I donné en fin de description à titre d'exemple liste les 266 appels système ainsi que le type de filtrage associé ; le fabricant proposant, en effet, en standard un noyau configurable par l'utilisateur à
l'aide de stubs , mécanismes qui simulent des appels réels en n'effectuant aucun traitement). Ce logiciel activé par la procédure HOOK, réalise effectivement le filtrage.
Dans la procédure HOOK du répartiteur des appels système, tout appel système active ce répartiteur qui assure le passage dans le contexte du système d'exploitation et réalise l'appel système requis. Ce répartiteur est le point d'entrée dans le système d'exploitation ; c'est donc là que la procédure HOOK d'appel du filtre est disposée.
La procédure HOOK est implémentée juste avant la répartition et consiste à permettre l'activation d'un traitement (assimilable à une partie d'un driver ) de contrôle du caractère réalisable de l'appel système.
Ce logiciel de contrôle des appels système permet de :
SP 15263.69 DB
12 - configurer les filtres dont certaines caractéristiques peuvent être fixées par un processus, dit super-utilisateur , de l'unité de service de trafic air ;
- filtrer les appels système qui doivent l'être (lettre H dans le tableau I) ;
- enregistrer dans une zone spécifique les refus d'exécution d'appels système ;
- fournir, à la demande du processus super-utilisateur de l'unité de service de trafic air, les données stockées sur les rejets d'appels système.
Sachant qu'on ne sait rien du fonctionnement des applications AOC et qu'on ne peut pas les contrôler, l'invention a pour objet un procédé
permettant d'empêcher ces applications de perturber le reste du système. On filtre donc tous les échanges applications AOC H système d'exploitation.
Comme illustré sur la figure 5, le procédé de l'invention comprend une procédure filtrant, via la méthode HOOK, les appels du système d'exploitation issus des applications AOC et n'autorisant que celles qui n'ont aucune influence sur ce qui est certifié.
Chaque appel système possible est analysé et le risque que son utilisation incontrôlée peut faire courir au système global est déterminé individuellement. Chaque appel système se trouve classé dans une des trois catégories : refusé, accepté sous conditions ou accepté. Lors d'un appel système interdit, la procédure HOOK renvoie un message type, ne rien faire ou même mettre fin au processus appelant.
Le système d'exploitation possède ainsi un nouveau mécanisme qui permet de mettre en place, au niveau utilisateur, une politique de contrôle des appels système, appel par appel.
SP 15263.69 DB
- filtrer les appels système qui doivent l'être (lettre H dans le tableau I) ;
- enregistrer dans une zone spécifique les refus d'exécution d'appels système ;
- fournir, à la demande du processus super-utilisateur de l'unité de service de trafic air, les données stockées sur les rejets d'appels système.
Sachant qu'on ne sait rien du fonctionnement des applications AOC et qu'on ne peut pas les contrôler, l'invention a pour objet un procédé
permettant d'empêcher ces applications de perturber le reste du système. On filtre donc tous les échanges applications AOC H système d'exploitation.
Comme illustré sur la figure 5, le procédé de l'invention comprend une procédure filtrant, via la méthode HOOK, les appels du système d'exploitation issus des applications AOC et n'autorisant que celles qui n'ont aucune influence sur ce qui est certifié.
Chaque appel système possible est analysé et le risque que son utilisation incontrôlée peut faire courir au système global est déterminé individuellement. Chaque appel système se trouve classé dans une des trois catégories : refusé, accepté sous conditions ou accepté. Lors d'un appel système interdit, la procédure HOOK renvoie un message type, ne rien faire ou même mettre fin au processus appelant.
Le système d'exploitation possède ainsi un nouveau mécanisme qui permet de mettre en place, au niveau utilisateur, une politique de contrôle des appels système, appel par appel.
SP 15263.69 DB
13 REFERENCES
[1] AIM-FABS The Airbus Interoperable Modular Future Air Navigation System (Salon du Bourget, mai 1997, Aerospatiale) [2] Software Considerations In Airborne Systems And Equipment Certification (DO-178B/ED-12B, RTCA
Inc., décembre 1992, pages 28, 60, 69 et 71) [3] Essai SAR OSY001 . Agression sur l'operating system (LA_2T0_PTV_SA_01C, Aerospatiale, pages 147-153, 1998) SP 15263.69 DB
[1] AIM-FABS The Airbus Interoperable Modular Future Air Navigation System (Salon du Bourget, mai 1997, Aerospatiale) [2] Software Considerations In Airborne Systems And Equipment Certification (DO-178B/ED-12B, RTCA
Inc., décembre 1992, pages 28, 60, 69 et 71) [3] Essai SAR OSY001 . Agression sur l'operating system (LA_2T0_PTV_SA_01C, Aerospatiale, pages 147-153, 1998) SP 15263.69 DB
14 TABLEAU I
o Filtre requis Détails d'implémentation N Appel ou contrôle de privilège Type 0 aucun interdit H faux 1 reboot 2 fork l'utilisateur appelant doit être Ha uid==0 root (administrateur) 3 (aucun) b interdit H faux 4 sbrk Isbrk 6 sethostname l'utilisateur appelant doit être root H uid==0 7 gesthostname l'utilisateur appelant doit être root H uid==0 8 kill 9 exit etitimer 11 setitimer 12 wait3 13 wait 14 setpriority l'utilisateur appelant doit être root H (uid==0)I
ou la priorité demandée inférieure à (newprio<priolim) la priorité maximale définie pour le processus getpriority 16 getpid 17 getppid 18 sigvec 19 sigblock sigsetmask 21 sigpause 22 killpg 23 read 24 iocti Iseek 26 write 27 close 28 open 29 getrusage (aucun)c interdit H faux 31 s nc 32 mkdir 33 mknod l'utilisateur appelant doit être root H uid==0 34 execve dup2 36 dup 37 pipe 38 stat SP 15263.69 DB
o Filtre requis Détails d'implémentation N Appel ou contrôle de privilège Type 39 Istat 40 fstat 41 chdir 42 chmod 43 fchmod 44 link 45 unlink 46 chroot 47 fcntl 48 getdtablesize 49 fsync 50 getpgrp 51 setpgrp 52 readlink 53 access 54 getuid 55 gettimeofday 56 umask 57 settimeofday 58 rmdir 59 rename 60 symlink 61 mount 62 unmount 63 sem_get interdit H faux 64 sem_count interdit H faux 65 sem_wait interdit H faux 66 sem_signal interdit H faux 67 sem_nsignal interdit H faux 68 sem_reset interdit H faux 69 sem_delete interdit H faux 70 smem_create Seul l'utilisateur root a le droit de H (uid==0)I
créer des mémoires partagées (name in table &&
mappées sur un espace physique. (uid==owneruid&&
Les autres utilisateurs n'ont accès umode!=0 )I(ownergid in qu'à des mémoires dont le nom group(process) &&
logique et le mode d'accès sont gmode!=0)I(omode!=0)) spécifiés dans une table. Le mode d'accès dépend de l'utilisateur, et du ou des groupes auxquels il appartient 71 sem_get Seul l'utilisateur root a le droit de H (uid==0)I
créer des mémoires partagées. Les (name in table &&
SP 15263.69 DB
No Appel Filtre requis Type Détails d'implémentation ou contrôle de privilège autres utilisateurs n'ont accès qu'à (uid==owneruid&&
des mémoires dont le nom logique umode!=0 )I(ownergid in et le mode d'accès sont spécifiés group(process) &&
dans une table. Le mode d'accès gmode!=0)I(omode!=0)) dépend de l'utilisateur, et du ou des groupes aux uels il appartient.
72 smem_remove l'utilisateur appelant doit être root H uid==O
73 info 74 flock interdit H faux 75 chcdev 76 dr install 77 dr uninstall 78 cdv install 79 cdv uninstall 80 select 81 getpagesize 82 getrlimit 83 setrlimit 84 bdv install 85 bdv uninstall 86 setreuid 87 brk 88 chown 89 fchown 90 utimes 91 lockf interdit Se stub lockf 92 geteuid 93 getgid 94 getegid 95 setre i 96 et ou s 97 set ou s 98 truncate 99 ftruncate 100 mkcontig interdit H faux 101 msgctl destruction interdite si utilisateur H (uid==0) I
non root (cmd!=IPC_RMID) 102 msgget création interdite si utilisateur non H (uid==0) I
root ((flag&IPC_CREAT) =
0) 103 msgrcv 104 msgsnd 105 readv 106 writev 107 socket l'utilisateur appelant doit être root S uid==0 108 connect l'utilisateur appelant doit être root S uid==0 SP 15263.69 DB
o Filtre requis Détails d'implémentation N Appel ou contrôle de privilège Type 109 bind l'utilisateur appelant doit être root S uid==0 110 listen l'utilisateur appelant doit être root S uid==0 111 accept l'utilisateur appelant doit être root S uid==0 112 shutdown l'utilisateur appelant doit être root S uid==0 113 sysi86 interdit H faux 114 plock 115 semget création interdite si utilisateur non H (uid==0) I
root ((flag&IPC_CREAT)=
0) 116 semctl destruction interdite si utilisateur H (uid==0) I
non root (cmd!=IPC_RMID) 117 semop 118 shmctl destruction interdite si utilisateur H (uid==0) I
autre que root (cmd!=IPC_RMID) 119 shmget création interdite si l'utilisateur H (uid==0) I
autre que root ((flag&IPC_CREAT)==
0) 120 shmat 121 shmdt 122 si endin 123 waitpid 124 ptrace l'utilisateur appelant doit être root H uid==0 125 send l'utilisateur appelant doit être root S uid==0 126 sendto l'utilisateur appelant doit être root S uid==0 127 sendmsg l'utilisateur appelant doit être root S uid==0 128 recv l'utilisateur appelant doit être root S uid==0 129 recvfrom l'utilisateur appelant doit être root S uid==0 130 recvmsg l'utilisateur appelant doit être root S uid==0 131 setsockopt l'utilisateur appelant doit être root S uid==0 132 etsocko t l'utilisateur appelant doit être root S uid==0 133 getsockname l'utilisateur appelant doit être root S uid==0 134 getpeername l'utilisateur appelant doit être root S uid==0 135 nfsmount l'utilisateur appelant doit être root S uid==0 136 vmstart interdit H faux 137 newconsole 138 st_build On ne peut créer un nouveau H threadcnt<maxthread&&
thread (bout de programme qui totalstackGpstacklim&&
s'exécute de manière autonome) (uid==01 que si le nombre de threads newprio apriolim) courants du processus est inférieur à
une limite et que la somme des piles de threads existants augmentée de celle du thread à créer est inférieure à une limite et que la priorité est inférieure à la priorité maximale donnée pour le processus. Ces limites ne peuvent être spécifiées que par le processus root.
139 s[ resume SP 15263.69 DB
N A el Filtre requis ,1 e Détails d'implémentation pp ou contrôle de privilège yp 140 st_stop 141 st,join 142 st_detach 143 st-exit 144 _getstid 145 st_setcancel 146 st_testcancel 147 st_cancel 148 mutex_enter 149 mutex exit 150 cv wait 151 cv_signal 152 cv_broadcast 153 csem wait 154 csem si nal 155 sigwait 156 st_sethandle 157 synch_validate Un processus ne peut posséder plus H usynchcnt.=naxusynch d'un nombre maximum objets de synchronisation entre threads.
158 synch_invalidate 159 st_setkhandle 160 st switch 161 st setabstimer 162 fast_setprio interdit S stub alsys 163 st_prioresume interdit S stub alsys 164 st_stopself interdit S stub alsys 165 syslog interdit 166 vatopa idem 165 167 statfs 168 fstatfs 169 profil interdit H faux 170 vmtopm interdit H faux 171 mkshm interdit S stub pshm 172 shmmap interdit S stub pshm 173 ap interdit S stub pshm 174 mkmq interdit S stub pmsg 175 mqsend interdit S stub pmsg 176 mqreceive interdit S stub pmsg 177 mqsetattr interdit S stub pmsg 178 m etattr interdit S stub pmsg 179 m ur e interdit S stub pmsg 180 msgalloc interdit S stub pmsg SP 15263.69 DB
Filtre requis Détails d'implémentation N0 Appel ou contrôle de privilège Type 181 ms free interdit S stub pmsg 182 mqputevt interdit S stub pmsg 183 mqgetevt interdit S stub pmsg 184 yield 185 setscheduler La politique d'ordonancement et la H (uid==0) I
priorité ne peuvent être changée, ((newalg==cur_alg)&&
pour la première, ou augmentée, (newprioCpriolim)) pour la deuxième, que par l'utili-sation root.
186 etscheduler 187 setquantum 188 et uantum 189 mksem interdit S stub binsem 190 semifpost interdit S stub binsem 191 sempost interdit S stub binsem 192 semifwait interdit S stub binsem 193 semwait interdit S stub binsem 194 sigaction 195 si sus end 196 sigprocmask 197 ekill interdit H faux 198 memlk interdit S stub memlk 199 memunlk interdit S stub memlk 200 arequest interdit S stub are uest 201 listio interdit S stubare uest 202 (aucun)g interdit H faux 203 await interdit S stub are uest 204 acancel interdit S stub are uest 205 make_event_timer interdit S stub evtimer 206 remove_event_timer interdit S stub evtimer 207 esigpoll interdit H faux 208 times 209 uname 210 getmsg interdit H faux 211 putmsg interdit H faux 212 oll interdit H faux 213 mqmserver interdit H faux 214 setsid 215 setpgid 216 (aucun)' interdit H faux 217 fast_stop interdit H faux 218 fast_stop_th interdit H faux 219 fast_stop_ti interdit H faux 220 fast_resume interdit H faux 221 fast_stop_pi interdit H faux 222 fast_stop_pi_ti interdit H faux SP 15263.69 DB
N A el Filtre requis ,I e Détails d'implémentation pp ou contrôle de privilège yp 223 fast_switch interdit H faux 224 fast_cancel_timeout interdit H faux 225 fast_enable_preemption interdit H faux 226 fast_info_attack interdit H faux 227 fast_sem_get interdit H faux 228 fast_sem_wait interdit H faux 229 fast_sem_signal interdit H faux 230 fast_sem_delete interdit H faux 231 fast_sem_twait interdit H faux 232 fast_csem_set interdit H faux 233 fast_csem_wait interdit H faux 234 fast_csem_signal interdit H faux 235 si ueue 236 seek_n_read interdit H faux 237 seek_n_write interdit H faux 238 st_name interdit H faux 239 fast_sem_open interdit H faux 240 fast_sem_close interdit H faux 241 fast_sem_unlink interdit H faux 242 fast_sem_markdelete interdit H faux 243 fast_sem_unmarkdelete interdit H faux 244 shm_open interdit H faux 245 shm_unlink interdit H faux 246 mmap interdit H faux 247 munmap interdit H faux 248 mprotect interdit H faux 249 msync interdit H faux 250 clock_gettime 251 clock settime 252 clock_getres 253 timer_create interdit H faux 254 timer_delete interdit H faux 255 timer_getoverrun interdit H faux 256 timer_gettime interdit H faux 257 timer_settime interdit H faux 258 fdata_sync 259 (aucun~ interdit H faux 260 nanosleep 261 socket_pair l'utilisateur appelant doit être root S uid==0 262 nsbrk SP 15263.69 DB
o Filtre requis Détails d'implémentation N Appel ou contrôle de privilège Type 263 sigtimedwait 264 si notif interdit H faux 265 name_server interdit H faux 266 adjtime SP 15263.69 DB
LEXIQUE
ACARS Aircraft Communication Addressing and Reporting System ou système de présentation et d'adressage de communication système ADS . Automatic dependent Surveillance ou surveillance dépendante automatique AFN . ATC (Air Traffic Control) Facility Notification ou notification de facilité de trafic aérien AOC . Airline Operational Conununication ou communication opérationnelle compagnie aérienne ARINC Aeronautical Radio Incorporated ou norme radio aéronautique ATIMS . Air traffic and Information Management System ou système de gestion d' information et de trafic aérien ATM . Air traffic Management ou gestion de trafic aérien ATSU Air Traffic Service Unit ou unité de service de trafic air BITE . Built in Test Equipment ou équipement de test intégré
CMC : Central Maintenance Computer ou ordinateur de maintenance central CNS . Communication Navigation and Surveillance ou surveillance et navigation de communication CPDLC Controler/Pilot Data Link Communication ou communication de liaison données contrôleur/pilote CPU . Central Process Unit ou unité centrale de traitement ECAM : Electronic Centralized Aircraft Monitoring ou contrôle avion centralisé électronique EFIS Electronic Flight Instrument System ou système instrument de vol électronique FANS . Future Air Navigation System ou système de navigation aérien futur FMS Flight Management System ou système de gestion de vol SP 15263.69 DB
FWS . Flight Warning System ou système d'avertissement de vol HFDL . HF Data Link ou liaison de données HF
HMI : Human Machine Interface ou interface homme-machine MCDU . Multipurpose Control and Display Unit ou unité d'affichage et de contrôle multi-usage MDDU . Multipurpose Disk Drive Unit ou unité de commande de disque multi-usage OS . Operating System ou système d'exploitation SatCom . Satellite Communication ou communication satellite VDR . VHF Data Radio ou radio de données VHF
SP 15263.69 DB
o Filtre requis Détails d'implémentation N Appel ou contrôle de privilège Type 0 aucun interdit H faux 1 reboot 2 fork l'utilisateur appelant doit être Ha uid==0 root (administrateur) 3 (aucun) b interdit H faux 4 sbrk Isbrk 6 sethostname l'utilisateur appelant doit être root H uid==0 7 gesthostname l'utilisateur appelant doit être root H uid==0 8 kill 9 exit etitimer 11 setitimer 12 wait3 13 wait 14 setpriority l'utilisateur appelant doit être root H (uid==0)I
ou la priorité demandée inférieure à (newprio<priolim) la priorité maximale définie pour le processus getpriority 16 getpid 17 getppid 18 sigvec 19 sigblock sigsetmask 21 sigpause 22 killpg 23 read 24 iocti Iseek 26 write 27 close 28 open 29 getrusage (aucun)c interdit H faux 31 s nc 32 mkdir 33 mknod l'utilisateur appelant doit être root H uid==0 34 execve dup2 36 dup 37 pipe 38 stat SP 15263.69 DB
o Filtre requis Détails d'implémentation N Appel ou contrôle de privilège Type 39 Istat 40 fstat 41 chdir 42 chmod 43 fchmod 44 link 45 unlink 46 chroot 47 fcntl 48 getdtablesize 49 fsync 50 getpgrp 51 setpgrp 52 readlink 53 access 54 getuid 55 gettimeofday 56 umask 57 settimeofday 58 rmdir 59 rename 60 symlink 61 mount 62 unmount 63 sem_get interdit H faux 64 sem_count interdit H faux 65 sem_wait interdit H faux 66 sem_signal interdit H faux 67 sem_nsignal interdit H faux 68 sem_reset interdit H faux 69 sem_delete interdit H faux 70 smem_create Seul l'utilisateur root a le droit de H (uid==0)I
créer des mémoires partagées (name in table &&
mappées sur un espace physique. (uid==owneruid&&
Les autres utilisateurs n'ont accès umode!=0 )I(ownergid in qu'à des mémoires dont le nom group(process) &&
logique et le mode d'accès sont gmode!=0)I(omode!=0)) spécifiés dans une table. Le mode d'accès dépend de l'utilisateur, et du ou des groupes auxquels il appartient 71 sem_get Seul l'utilisateur root a le droit de H (uid==0)I
créer des mémoires partagées. Les (name in table &&
SP 15263.69 DB
No Appel Filtre requis Type Détails d'implémentation ou contrôle de privilège autres utilisateurs n'ont accès qu'à (uid==owneruid&&
des mémoires dont le nom logique umode!=0 )I(ownergid in et le mode d'accès sont spécifiés group(process) &&
dans une table. Le mode d'accès gmode!=0)I(omode!=0)) dépend de l'utilisateur, et du ou des groupes aux uels il appartient.
72 smem_remove l'utilisateur appelant doit être root H uid==O
73 info 74 flock interdit H faux 75 chcdev 76 dr install 77 dr uninstall 78 cdv install 79 cdv uninstall 80 select 81 getpagesize 82 getrlimit 83 setrlimit 84 bdv install 85 bdv uninstall 86 setreuid 87 brk 88 chown 89 fchown 90 utimes 91 lockf interdit Se stub lockf 92 geteuid 93 getgid 94 getegid 95 setre i 96 et ou s 97 set ou s 98 truncate 99 ftruncate 100 mkcontig interdit H faux 101 msgctl destruction interdite si utilisateur H (uid==0) I
non root (cmd!=IPC_RMID) 102 msgget création interdite si utilisateur non H (uid==0) I
root ((flag&IPC_CREAT) =
0) 103 msgrcv 104 msgsnd 105 readv 106 writev 107 socket l'utilisateur appelant doit être root S uid==0 108 connect l'utilisateur appelant doit être root S uid==0 SP 15263.69 DB
o Filtre requis Détails d'implémentation N Appel ou contrôle de privilège Type 109 bind l'utilisateur appelant doit être root S uid==0 110 listen l'utilisateur appelant doit être root S uid==0 111 accept l'utilisateur appelant doit être root S uid==0 112 shutdown l'utilisateur appelant doit être root S uid==0 113 sysi86 interdit H faux 114 plock 115 semget création interdite si utilisateur non H (uid==0) I
root ((flag&IPC_CREAT)=
0) 116 semctl destruction interdite si utilisateur H (uid==0) I
non root (cmd!=IPC_RMID) 117 semop 118 shmctl destruction interdite si utilisateur H (uid==0) I
autre que root (cmd!=IPC_RMID) 119 shmget création interdite si l'utilisateur H (uid==0) I
autre que root ((flag&IPC_CREAT)==
0) 120 shmat 121 shmdt 122 si endin 123 waitpid 124 ptrace l'utilisateur appelant doit être root H uid==0 125 send l'utilisateur appelant doit être root S uid==0 126 sendto l'utilisateur appelant doit être root S uid==0 127 sendmsg l'utilisateur appelant doit être root S uid==0 128 recv l'utilisateur appelant doit être root S uid==0 129 recvfrom l'utilisateur appelant doit être root S uid==0 130 recvmsg l'utilisateur appelant doit être root S uid==0 131 setsockopt l'utilisateur appelant doit être root S uid==0 132 etsocko t l'utilisateur appelant doit être root S uid==0 133 getsockname l'utilisateur appelant doit être root S uid==0 134 getpeername l'utilisateur appelant doit être root S uid==0 135 nfsmount l'utilisateur appelant doit être root S uid==0 136 vmstart interdit H faux 137 newconsole 138 st_build On ne peut créer un nouveau H threadcnt<maxthread&&
thread (bout de programme qui totalstackGpstacklim&&
s'exécute de manière autonome) (uid==01 que si le nombre de threads newprio apriolim) courants du processus est inférieur à
une limite et que la somme des piles de threads existants augmentée de celle du thread à créer est inférieure à une limite et que la priorité est inférieure à la priorité maximale donnée pour le processus. Ces limites ne peuvent être spécifiées que par le processus root.
139 s[ resume SP 15263.69 DB
N A el Filtre requis ,1 e Détails d'implémentation pp ou contrôle de privilège yp 140 st_stop 141 st,join 142 st_detach 143 st-exit 144 _getstid 145 st_setcancel 146 st_testcancel 147 st_cancel 148 mutex_enter 149 mutex exit 150 cv wait 151 cv_signal 152 cv_broadcast 153 csem wait 154 csem si nal 155 sigwait 156 st_sethandle 157 synch_validate Un processus ne peut posséder plus H usynchcnt.=naxusynch d'un nombre maximum objets de synchronisation entre threads.
158 synch_invalidate 159 st_setkhandle 160 st switch 161 st setabstimer 162 fast_setprio interdit S stub alsys 163 st_prioresume interdit S stub alsys 164 st_stopself interdit S stub alsys 165 syslog interdit 166 vatopa idem 165 167 statfs 168 fstatfs 169 profil interdit H faux 170 vmtopm interdit H faux 171 mkshm interdit S stub pshm 172 shmmap interdit S stub pshm 173 ap interdit S stub pshm 174 mkmq interdit S stub pmsg 175 mqsend interdit S stub pmsg 176 mqreceive interdit S stub pmsg 177 mqsetattr interdit S stub pmsg 178 m etattr interdit S stub pmsg 179 m ur e interdit S stub pmsg 180 msgalloc interdit S stub pmsg SP 15263.69 DB
Filtre requis Détails d'implémentation N0 Appel ou contrôle de privilège Type 181 ms free interdit S stub pmsg 182 mqputevt interdit S stub pmsg 183 mqgetevt interdit S stub pmsg 184 yield 185 setscheduler La politique d'ordonancement et la H (uid==0) I
priorité ne peuvent être changée, ((newalg==cur_alg)&&
pour la première, ou augmentée, (newprioCpriolim)) pour la deuxième, que par l'utili-sation root.
186 etscheduler 187 setquantum 188 et uantum 189 mksem interdit S stub binsem 190 semifpost interdit S stub binsem 191 sempost interdit S stub binsem 192 semifwait interdit S stub binsem 193 semwait interdit S stub binsem 194 sigaction 195 si sus end 196 sigprocmask 197 ekill interdit H faux 198 memlk interdit S stub memlk 199 memunlk interdit S stub memlk 200 arequest interdit S stub are uest 201 listio interdit S stubare uest 202 (aucun)g interdit H faux 203 await interdit S stub are uest 204 acancel interdit S stub are uest 205 make_event_timer interdit S stub evtimer 206 remove_event_timer interdit S stub evtimer 207 esigpoll interdit H faux 208 times 209 uname 210 getmsg interdit H faux 211 putmsg interdit H faux 212 oll interdit H faux 213 mqmserver interdit H faux 214 setsid 215 setpgid 216 (aucun)' interdit H faux 217 fast_stop interdit H faux 218 fast_stop_th interdit H faux 219 fast_stop_ti interdit H faux 220 fast_resume interdit H faux 221 fast_stop_pi interdit H faux 222 fast_stop_pi_ti interdit H faux SP 15263.69 DB
N A el Filtre requis ,I e Détails d'implémentation pp ou contrôle de privilège yp 223 fast_switch interdit H faux 224 fast_cancel_timeout interdit H faux 225 fast_enable_preemption interdit H faux 226 fast_info_attack interdit H faux 227 fast_sem_get interdit H faux 228 fast_sem_wait interdit H faux 229 fast_sem_signal interdit H faux 230 fast_sem_delete interdit H faux 231 fast_sem_twait interdit H faux 232 fast_csem_set interdit H faux 233 fast_csem_wait interdit H faux 234 fast_csem_signal interdit H faux 235 si ueue 236 seek_n_read interdit H faux 237 seek_n_write interdit H faux 238 st_name interdit H faux 239 fast_sem_open interdit H faux 240 fast_sem_close interdit H faux 241 fast_sem_unlink interdit H faux 242 fast_sem_markdelete interdit H faux 243 fast_sem_unmarkdelete interdit H faux 244 shm_open interdit H faux 245 shm_unlink interdit H faux 246 mmap interdit H faux 247 munmap interdit H faux 248 mprotect interdit H faux 249 msync interdit H faux 250 clock_gettime 251 clock settime 252 clock_getres 253 timer_create interdit H faux 254 timer_delete interdit H faux 255 timer_getoverrun interdit H faux 256 timer_gettime interdit H faux 257 timer_settime interdit H faux 258 fdata_sync 259 (aucun~ interdit H faux 260 nanosleep 261 socket_pair l'utilisateur appelant doit être root S uid==0 262 nsbrk SP 15263.69 DB
o Filtre requis Détails d'implémentation N Appel ou contrôle de privilège Type 263 sigtimedwait 264 si notif interdit H faux 265 name_server interdit H faux 266 adjtime SP 15263.69 DB
LEXIQUE
ACARS Aircraft Communication Addressing and Reporting System ou système de présentation et d'adressage de communication système ADS . Automatic dependent Surveillance ou surveillance dépendante automatique AFN . ATC (Air Traffic Control) Facility Notification ou notification de facilité de trafic aérien AOC . Airline Operational Conununication ou communication opérationnelle compagnie aérienne ARINC Aeronautical Radio Incorporated ou norme radio aéronautique ATIMS . Air traffic and Information Management System ou système de gestion d' information et de trafic aérien ATM . Air traffic Management ou gestion de trafic aérien ATSU Air Traffic Service Unit ou unité de service de trafic air BITE . Built in Test Equipment ou équipement de test intégré
CMC : Central Maintenance Computer ou ordinateur de maintenance central CNS . Communication Navigation and Surveillance ou surveillance et navigation de communication CPDLC Controler/Pilot Data Link Communication ou communication de liaison données contrôleur/pilote CPU . Central Process Unit ou unité centrale de traitement ECAM : Electronic Centralized Aircraft Monitoring ou contrôle avion centralisé électronique EFIS Electronic Flight Instrument System ou système instrument de vol électronique FANS . Future Air Navigation System ou système de navigation aérien futur FMS Flight Management System ou système de gestion de vol SP 15263.69 DB
FWS . Flight Warning System ou système d'avertissement de vol HFDL . HF Data Link ou liaison de données HF
HMI : Human Machine Interface ou interface homme-machine MCDU . Multipurpose Control and Display Unit ou unité d'affichage et de contrôle multi-usage MDDU . Multipurpose Disk Drive Unit ou unité de commande de disque multi-usage OS . Operating System ou système d'exploitation SatCom . Satellite Communication ou communication satellite VDR . VHF Data Radio ou radio de données VHF
SP 15263.69 DB
Claims (4)
1. Procédé de mise en oeuvre d'une unité de service de trafic air comprenant un système d'exploitation qui gère des entrées/sorties ainsi que des ressources logicielles et matérielles, comportant les étapes suivantes:
gérer des liaisons entre des équipements avion et des moyens de communication sol/bord à travers le système d'exploitation;
enchaîner une application de communication opérationnelle de type AOC d'une compagnie aérienne, ladite application réalisant une fonctionnalité du système de l'avion;
cadencer l'application de type AOC;
utiliser un mécanisme de découpage de la mémoire permettant une vérification de protection, ladite vérification déterminant un code d'accès de l'application de type AOC;
utiliser un mécanisme de découpage de l'utilisation de l'unité centrale de traitement, ledit mécanisme attribuant une priorité à une tâche, ladite priorité déterminant l'accès de l'application de type AOC à l'unité centrale de traitement; et filtrer un appel du système d'exploitation issu de l'application de type AOC de manière à interdire, à ladite application, de perturber le fonctionnement de l'unité de service de trafic air.
gérer des liaisons entre des équipements avion et des moyens de communication sol/bord à travers le système d'exploitation;
enchaîner une application de communication opérationnelle de type AOC d'une compagnie aérienne, ladite application réalisant une fonctionnalité du système de l'avion;
cadencer l'application de type AOC;
utiliser un mécanisme de découpage de la mémoire permettant une vérification de protection, ladite vérification déterminant un code d'accès de l'application de type AOC;
utiliser un mécanisme de découpage de l'utilisation de l'unité centrale de traitement, ledit mécanisme attribuant une priorité à une tâche, ladite priorité déterminant l'accès de l'application de type AOC à l'unité centrale de traitement; et filtrer un appel du système d'exploitation issu de l'application de type AOC de manière à interdire, à ladite application, de perturber le fonctionnement de l'unité de service de trafic air.
2. Procédé selon la revendication 1, dans lequel le filtrage est réalisé par la méthode HOOK.
3. Procédé selon la revendication 2, dans lequel le filtrage ne laisse passer que les appels système autorisés.
4. Procédé selon la revendication 1, dans lequel un logiciel de contrôle des appels système permet de :
configurer les filtres dont certaines caractéristiques peuvent être fixées par un processus super-utilisateur , de l'unité de service de trafic air ;
filtrer les appels système qui doivent l'être ;
enregistrer dans une zone spécifique les refus d'exécution d'appels système ;
fournir, à la demande du processus super-utilisateur de l'unité de service de trafic air, les données stockées sur les rejets d'appels système.
configurer les filtres dont certaines caractéristiques peuvent être fixées par un processus super-utilisateur , de l'unité de service de trafic air ;
filtrer les appels système qui doivent l'être ;
enregistrer dans une zone spécifique les refus d'exécution d'appels système ;
fournir, à la demande du processus super-utilisateur de l'unité de service de trafic air, les données stockées sur les rejets d'appels système.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9815690 | 1998-12-11 | ||
| FR9815690A FR2787269B1 (fr) | 1998-12-11 | 1998-12-11 | Procede de mise en oeuvre d'une unite de service de trafic air |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CA2291865A1 CA2291865A1 (fr) | 2000-06-11 |
| CA2291865C true CA2291865C (fr) | 2009-04-07 |
Family
ID=9533888
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CA002291865A Expired - Lifetime CA2291865C (fr) | 1998-12-11 | 1999-12-07 | Procede de mise en oeuvre d'une unite de service de trafic air |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US6275767B1 (fr) |
| EP (1) | EP1008947A1 (fr) |
| CA (1) | CA2291865C (fr) |
| FR (1) | FR2787269B1 (fr) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7667647B2 (en) | 1999-03-05 | 2010-02-23 | Era Systems Corporation | Extension of aircraft tracking and positive identification from movement areas into non-movement areas |
| US8203486B1 (en) | 1999-03-05 | 2012-06-19 | Omnipol A.S. | Transmitter independent techniques to extend the performance of passive coherent location |
| US7908077B2 (en) | 2003-06-10 | 2011-03-15 | Itt Manufacturing Enterprises, Inc. | Land use compatibility planning software |
| US8446321B2 (en) | 1999-03-05 | 2013-05-21 | Omnipol A.S. | Deployable intelligence and tracking system for homeland security and search and rescue |
| US7889133B2 (en) | 1999-03-05 | 2011-02-15 | Itt Manufacturing Enterprises, Inc. | Multilateration enhancements for noise and operations management |
| US7570214B2 (en) | 1999-03-05 | 2009-08-04 | Era Systems, Inc. | Method and apparatus for ADS-B validation, active and passive multilateration, and elliptical surviellance |
| US7782256B2 (en) | 1999-03-05 | 2010-08-24 | Era Systems Corporation | Enhanced passive coherent location techniques to track and identify UAVs, UCAVs, MAVs, and other objects |
| US7739167B2 (en) | 1999-03-05 | 2010-06-15 | Era Systems Corporation | Automated management of airport revenues |
| US7777675B2 (en) | 1999-03-05 | 2010-08-17 | Era Systems Corporation | Deployable passive broadband aircraft tracking |
| US6408258B1 (en) * | 1999-12-20 | 2002-06-18 | Pratt & Whitney Canada Corp. | Engine monitoring display for maintenance management |
| FR2818769B1 (fr) * | 2000-12-21 | 2004-06-18 | Eads Airbus Sa | Procede et systeme d'exploitation temps reel multitaches |
| US7346528B2 (en) * | 2001-11-13 | 2008-03-18 | Navitaire, Inc. | Integrated decision support system for optimizing the training and transition of airline pilots |
| US7249047B2 (en) * | 2002-01-10 | 2007-07-24 | Navitaire, Inc. | Employee transfer and leave optimization processor |
| US7240018B2 (en) * | 2002-01-11 | 2007-07-03 | Navitaire, Inc. | Rapid generation of minimum length pilot training schedules |
| US7379887B2 (en) * | 2002-01-31 | 2008-05-27 | Accenture Global Services Gmbh | Integrated decision support system for optimizing the training and transition of airline pilots |
| US7904081B2 (en) | 2002-08-20 | 2011-03-08 | Arinc Incorporated | ACARS messages over iridium |
| US7398057B2 (en) * | 2002-08-20 | 2008-07-08 | Arinc Inc. | Security messenger system |
| US7647139B2 (en) * | 2005-12-02 | 2010-01-12 | The Boeing Company | Seamless air traffic control (ATC) datalink transfers |
| US7495602B2 (en) * | 2005-12-02 | 2009-02-24 | The Boeing Company | Single air traffic control (ATC) operator interface |
| US7965227B2 (en) | 2006-05-08 | 2011-06-21 | Era Systems, Inc. | Aircraft tracking using low cost tagging as a discriminator |
| US8280563B2 (en) * | 2009-11-13 | 2012-10-02 | Honeywell International Inc. | Method and system to reduce impact of non-ATC data-link messages on ATC data-link messages on a shared air-ground communication link |
| FR2989808B1 (fr) * | 2012-04-24 | 2014-06-06 | Thales Sa | Systeme de gestion d'alertes et de procedures electroniques entierement parametrable destine a un aeronef |
| CN104750111B (zh) * | 2015-03-09 | 2019-02-22 | 王琪杰 | 一种无人机飞行监控系统 |
| US10592749B2 (en) | 2016-11-14 | 2020-03-17 | General Electric Company | Systems and methods for analyzing turns at an airport |
| RU2648913C1 (ru) * | 2016-12-07 | 2018-03-28 | Акционерное общество "Научно-исследовательский институт информационных технологий" | Система контроля и координации полетов авиации |
| FR3065945B1 (fr) * | 2017-05-04 | 2021-04-16 | Thales Sa | Procede et dispositif electronique de surveillance d'une application logicielle avionique, programme d'ordinateur et systeme avionique associes |
| US10834336B2 (en) | 2018-01-29 | 2020-11-10 | Ge Aviation Systems Llc | Thermal imaging of aircraft |
| FR3103038B1 (fr) * | 2019-11-07 | 2021-11-19 | Thales Sa | Procede et dispositif electronique de surveillance d'une application logicielle avionique via des compteurs d'appel(s) systeme, programme d'ordinateur et systeme avionique associes |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4943919A (en) * | 1988-10-17 | 1990-07-24 | The Boeing Company | Central maintenance computer system and fault data handling method |
| FR2712742B1 (fr) | 1993-11-15 | 1995-12-15 | Commissariat Energie Atomique | Microlaser solide, monolithique, autoaligné, à déclenchement passif par absorbant saturable et son procédé de fabrication. |
| US5541863A (en) * | 1994-09-30 | 1996-07-30 | Rockwell International | Virtual integrated software testbed for avionics |
| FR2736217B1 (fr) | 1995-06-27 | 1997-08-08 | Commissariat Energie Atomique | Cavite microlaser et microlaser solide impulsionnel a declenchement actif par micromodulateur |
| FR2748145B1 (fr) * | 1996-04-30 | 1998-07-10 | Sextant Avionique | Procede et dispositif d'entree et de controle de donnees de vol |
-
1998
- 1998-12-11 FR FR9815690A patent/FR2787269B1/fr not_active Expired - Lifetime
-
1999
- 1999-12-07 CA CA002291865A patent/CA2291865C/fr not_active Expired - Lifetime
- 1999-12-08 US US09/456,434 patent/US6275767B1/en not_active Expired - Lifetime
- 1999-12-08 EP EP99403069A patent/EP1008947A1/fr not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| FR2787269A1 (fr) | 2000-06-16 |
| CA2291865A1 (fr) | 2000-06-11 |
| US6275767B1 (en) | 2001-08-14 |
| EP1008947A1 (fr) | 2000-06-14 |
| FR2787269B1 (fr) | 2001-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2291865C (fr) | Procede de mise en oeuvre d'une unite de service de trafic air | |
| CA2454223C (fr) | Gestionnaire de securite de bord | |
| US8458688B2 (en) | Virtual machine maintenance with mapped snapshots | |
| FR2854978A1 (fr) | Dispositif et procede d'assistance automatisee aux controleurs de la circulation aerienne. | |
| EP3017367A1 (fr) | Dispositif de communication pour systeme embarque sur aeronef | |
| FR2935818A1 (fr) | Systeme d'ordonnancement de taches pour controler l'execution de procedures d'alerte sur un aeronef | |
| EP2676417B1 (fr) | Systeme de securite aeroportuaire | |
| FR2953954A1 (fr) | Dispositif d'elaboration des alertes d'un systeme d'aeronef | |
| FR3046273A1 (fr) | Architecture ouverte pour systeme de gestion de vol | |
| FR3021108A1 (fr) | Procede d'execution de services en temps reel, notamment de gestion de vol et systeme temps reel mettant en oeuvre un tel procede | |
| FR3013831A1 (fr) | Systeme avionique d'un aeronef | |
| FR2910124A1 (fr) | Procede de creation et de mise a jour d'un plan de vol atc en temps reel pour la prise en compte de consignes de vol et dispositif de mise en oeuvre | |
| FR3030805A1 (fr) | Qualite de service d'un systeme de gestion de vol | |
| FR3023912A1 (fr) | Calcul de performance pour aeronef | |
| EP2991274A1 (fr) | Procédé d'exécution de services en temps réel adaptatif, notamment de gestion de vol et système temps réel mettant en oeuvre un tel procédé | |
| WO2021038558A1 (fr) | Système, procédé et produit programme d'ordinateur mettant en oeuvre un canal avionique décentralisé | |
| US9153138B1 (en) | Agent-based airfield conflict resolution | |
| FR3083897A1 (fr) | Systeme de gestion de taches d'un equipage d'aeronef lors d'une mission et procede associe | |
| FR2737028A1 (fr) | Architecture d'habillage d'applications pour une plate-forme informatique | |
| RU2623281C2 (ru) | Полностью параметризуемая система управления электронными предупреждениями и процедурами, предназначенная для летательного аппарата | |
| Kozłowski et al. | Risk analysis in air transport telematics systems based on aircraft’s Airbus A320 accident | |
| FR3026507A1 (fr) | Infrastructure d'hebergement de services dans un aeronef, et procede d'acces associe | |
| US20190132548A1 (en) | Traffic stop communications system | |
| EP4058959A1 (fr) | Espace collaboratif de gestion de contexte de plan de vol | |
| FR3033420A1 (fr) | Procede de gestion de donnees relatives a une mission d'aeronefs et module de gestion de donnees correspondant |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| EEER | Examination request | ||
| MKEX | Expiry |
Effective date: 20191209 |