CN102656559B - 实施需要不同安全级别或责任限制的功能的多用途数据的自动处理 - Google Patents
实施需要不同安全级别或责任限制的功能的多用途数据的自动处理 Download PDFInfo
- Publication number
- CN102656559B CN102656559B CN201080041951.3A CN201080041951A CN102656559B CN 102656559 B CN102656559 B CN 102656559B CN 201080041951 A CN201080041951 A CN 201080041951A CN 102656559 B CN102656559 B CN 102656559B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- data
- security
- level
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 title description 9
- 230000006870 function Effects 0.000 claims description 61
- 238000000034 method Methods 0.000 claims description 20
- 230000008569 process Effects 0.000 claims description 16
- 230000005540 biological transmission Effects 0.000 claims description 13
- 238000002955 isolation Methods 0.000 claims description 5
- 230000008859 change Effects 0.000 claims description 4
- 238000007689 inspection Methods 0.000 claims description 2
- 238000013500 data storage Methods 0.000 claims 3
- 239000011800 void material Substances 0.000 claims 1
- 238000004891 communication Methods 0.000 description 12
- 238000007726 management method Methods 0.000 description 10
- 238000012423 maintenance Methods 0.000 description 7
- 230000006378 damage Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000000116 mitigating effect Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 241000196324 Embryophyta Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001427 coherent effect Effects 0.000 description 1
- 239000013065 commercial product Substances 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000035807 sensation Effects 0.000 description 1
- 230000035939 shock Effects 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
本发明尤其涉及用于多用途数据的自动处理的软件组件,该软件组件实施需要不同安全级别或责任限制的功能。本发明的软件组件包括多个虚拟机(215),每个虚拟机适于执行需要一预先确定的安全级别或责任限制的至少一个功能,还包括适于控制所述多个虚拟机的执行的管理程序(210)。
Description
技术领域
本发明涉及数据处理系统,尤其是飞行器信息系统的数据,更特别涉及用于多用途数据的自动处理的软件组件和装置,其实施需要不同安全级别或责任限制的功能。
背景技术
自从2001年9月11日与商业飞机撞击有关的悲剧事件以来,安全成为今后航空业的主要问题。针对该问题,制造商和航空公司开发和纳入了一些旨在提高飞行器机上安全的功能。
例如,已经开发了加固的驾驶舱门和内部视频监控系统。同样,机载信息系统从此也受到防止恶意损害的保护。
另外,为了保持飞行器零件的安全级别,航空公司具有实施技术性和组织性措施的规定责任,如确定飞行器交付的安全级别。这些规定责任只覆盖物理安全性,而不是逻辑安全性。
但是,由于该规定责任,某些航空公司要求飞行器制造商可以将安全功能纳入到航空公司的操作过程中。另外,某些航空公司要求飞行器制造商使有关的操作功能和安全功能与商业硬件和软件相容而不是专门针对航空。
一般说来,数据自动处理系统,也称为STADs,可以在航空环境中用于包括操作和/或通讯软件应用程序,即像工具箱,使操作人员例如飞行员和副驾驶以及技术员和维修队可以完成它们的某些任务。这些工具箱还可以为其它用途开放。特别是,航空公司可以决定在其中安装它自己的行业或办公应用程序。工具箱不是安全功能,即它们的作用不是保证安全,而是可以实现操作任务。
在STADs中实施的操作软件应用程序所使用的数据可以是下载的、计算的、显示的和/或传输的。由于前面提到的安全约束,在数据的保密性、完整性和/或可用性方面有很强的安全要求。
但是,当必须遵守一安全目标时,很难使功能和敏感的数据与能够向外通信并基于商业软件和硬件的功能性共存。
发明内容
本发明可以解决上述问题中的至少一个。
因此,本发明的目的是用于多用途数据的自动处理的计算机的软件组件,所述软件组件实施需要不同安全级别或责任限制的功能,并且包括:
-多个虚拟机,每个虚拟机用于执行需要一预先确定的安全级别或责任限制的至少一个功能;和
-用于控制所述多个虚拟机的执行的管理程序。
因此,根据本发明的软件组件可以在同一机器中实施一些具有不同安全级别和责任限制的功能,而与飞行器上使用的信息系统的硬件平台和结构无关。因此,实施的软件应用程序的编辑者不再依赖开发系统的进化,并掌握了这些应用程序的生命周期。
因此,可以根据硬件相容性列表在市场上销售的移动的STAD上实施该软件组件。由于责任限制是清楚识别的,可以接受提供者和使用者的软件应用程序。这种STAD可以与飞行器或使用者连接。
与移动或不移动的单用途设备相比,使用根据本发明的软件组件不增加维修要求。它保证操作数据的完整性的良好隔离级别和安全级别。针对实施的商业产品缺乏可靠性,本发明的软件组件可以相对独立地控制不同功能之间的资源分配。
有利的是,所述管理程序包括用于认证所述多个虚拟机中的至少一个虚拟机的认证部件,以便尤其是控制传输数据的有效性。同样,所述认证部件优选地能够验证所述至少一个被认证的虚拟机的完整性。
另外,所述认证部件优选地能够验证所述至少一个被认证的虚拟机相对于所述多个虚拟机中的至少另一个虚拟机的隔离级别,以便尤其是控制对其它虚拟机的传输数据的有效性。
根据一特殊实施例,所述软件组件另外包括由所述多个虚拟机中的至少一个虚拟机处理的数据的存储部件,所述存储部件能够将所述处理数据储存在所述计算机的可移动存储器中。因此,本发明的软件组件可以储存可信级别不确定的数据,而不损害可信级别。这些数据储存部件优选地由所述多个虚拟机中安全级别低于预定阈值的虚拟机来实施。
还是根据一特殊实施例,所述软件组件另外包括检验由所述多个虚拟机中至少一个虚拟机处理的至少一个数据的可信级别的检验部件,所述至少一个处理的数据只在被检验后,才被本地储存在所述计算机中。因此,本发明的软件组件可以只在本地储存可信级别确定的数据,以便不损害可信级别。
还是根据一特殊实施例,所述软件组件另外包括在所述多个虚拟机中的第一虚拟机和第二虚拟机之间传输数据的传输部件。如果所述第二虚拟机的安全级别高于所述第一虚拟机的安全级别,则所述传输部件能够过滤传输的数据,以便使交换的数据有效,尤其是根据它们的类型或访问这些数据的需要。
还是根据一特殊实施例,用于启动所述多个虚拟机中至少一个虚拟机的配置(configuration)数据在启动的所述至少一个虚拟机的执行过程中不改变,以便于软件组件的维护,并且允许从一稳定和有效状态重新启动该软件。
本发明的目的还在于一种装置,该装置包括能够实施上述软件组件的每个元素的部件,其优点与上面提到的优点类似。
附图说明
通过下面参照附图作为非限定例子的详细描述,可以了解本发明的其它优点、目的和特征,图中:
-图1示意示出可以使用实施本发明的多用途数据自动处理系统的环境的例子;
-图2示出根据本发明的多用途数据的自动处理系统的架构的例子;
-图3示意示出机器中执行的某些功能的调配的例子;
-图4示意示出用于分析与要在同一STAD中执行的功能有关的风险的某些实施步骤;
-图5示意示出用于将在STAD中实施的软件应用根据它们调用的功能在虚拟机中分配的算法的例子;
-图6示出能够至少部分地实施本发明的装置的例子。
具体实施方式
本发明尤其可以用单一安全的并优选地是移动的STAD替代现在用于维护和任务的移动或固定的单用途数据自动处理系统(STAD)。
图1示意示出可以在其中使用实施本发明的多用途自动数据处理系统的环境100的例子。根据该例子,飞行器110中的机组成员可以使用STAD 105,例如用于执行飞行管理的软件应用。
维修队可以使用同一STAD 105或类似的STAD 115,以便读取飞行器110的维修数据,并且/或者更新飞行器的数据或软件应用。
另外,可以在航空公司的办公室125中使用同一STAD 105或类似的STAD 120,例如用于飞行准备。与此类似,它的拥有者可以从例如酒店的接入网135使用同一STAD 105或类似STAD 130,以访问办公应用或其电子邮箱。
这里应指出的是,图1所示的例子只是作为例子给出。它们不是限定性的。
为了可以在单一STAD上实施需要不同安全级别的功能,而不影响这些功能中的每一个的安全性,将几种技术结合。
因此,STAD的操作应用、办公应用、和个人应用,以及更普遍地在STAD中实施的所有功能根据安全级别的需要并优选地通过责任包括在STAD中实施的多个虚拟机中。
这里要提到的是,虚拟机提供具有其自己的配置特征特性的执行环境。换句话说,两个虚拟机可以看作是两个独立的物理机器。每个虚拟机运行其操作系统、其驱动程序、其软件应用、其管理和数据交换的配置。
虚拟机制尤其可以借助管理程序在真实机器上运行多个虚拟机。
管理程序负责分配真实机器的资源,和应用访问资源的控制规则。例如,在虚拟机之间分配的资源为CPU(中央处理器)的计算能力、通讯通道、硬件和软件开关、输入/输出端口、存储器、时钟、总线系统、控制器和/或大容量存储器。本发明的基础是使用用于根据预先确定的规则管理虚拟机的个人化的标准管理程序。
这里使用的虚拟化是硬件虚拟化,例如是完全虚拟化,管理程序根据该虚拟化管理虚拟机的所有请求,或是类虚拟化,虚拟机根据该虚拟化直接管理某些请求。
根据一特殊实施例,能够进行实时虚拟化的软件工具用于使它们在性能和安全级别上受益。
另外观察到,对机载系统,虚拟化允许优化实施的信息硬件的比重,该信息硬件包括服务器、交换机和电缆,并且也减少耗电,以及简化开发和维护过程,这在航空环境中是特别有利的。
图2示出根据本发明的STAD的架构的例子,该架构在具有不同安全级别的环境中使用足够可靠。
如图所示,这里STAD 200包括硬件层205。例如,该层相当于便携式个人计算机(笔记本电脑)、PDA(个人数字助手)、或智能电话的硬件层。
硬件层应该是可信的,它可以由PC型开放平台构成,通过使用称为TPM(可信平台模块)的认证模块提高它的可信级别。其指的是由可信计算组(Trusted Computing Group)定义的密码硬件部件。
硬件层205允许运行包括管理程序的软件层。它可以运行多个不同的虚拟机,例如标号分别为215-1、215-2、215-3、和215-x的虚拟机MV1、MV2、MV3、和MVx。
第一虚拟机,这里是虚拟机215-1,具有特殊的作用和权限。这就是作为用于平台维护和配置的访问口的管理机器。它在这里使用操作系统OS1。还是根据该例,虚拟机215-1包括存储空间或大容量储存器和通讯接口,记作I/O(输入/输出)。
第二虚拟机,这里是虚拟机215-2,允许STAD与最敏感的信息系统即飞行器的信息系统连接。与该虚拟机有关的显示可以引向STAD的屏幕或飞行器的专门屏幕,例如根据客户端/服务器类型的标准用户图形界面。
这里虚拟机215-2使用操作系统OS2和输入/输出接口,该接口允许通过驾驶舱接待站(station d’accueil)类型的连接与飞行器信息系统交换数据。虚拟机215-2允许执行操作应用。它适于准确确定该环境中具备的外部设备,以及为保证要求的安全级别的管理权限。
第三虚拟机,这里是虚拟机215-3,允许STAD与不太敏感的信息系统连接,这里是与飞行器信息系统不同的系统。作为示例,虚拟机215-3允许使STAD访问开发STAD的企业的内部网络或互联网,例如访问一酒店的WiFi接入端。
与虚拟机215-3有关的风险高于虚拟机215-1和215-2的风险,因为它向可能是危害源(source de compromission)的环境开放。因此,该虚拟机可能是恶意软件的目标。另外,由于该虚拟机中实施的软件应用和驱动程序默认是标准软件,因此其具有已知潜在的缺陷。
另外,开发STAD的设计者和/或公司可以决定建立一个或多个其它虚拟机215-x,以满足特殊需要。作为示例,虚拟机215-x可以用于执行需要与虚拟机215-2的安全级别相同但提供者与虚拟机215-2执行的应用的供应者不同的软件应用。因此,通过根据要求的安全级别和责任将软件应用的执行环境分开,就可以使用单一STAD。
有利地,在STAD启动时,执行级别限制在在使用者空间中,以便使管理权限不可被访问。另外,连接标志(bannière)优选地为未激活,以阻止使用者从虚拟层出来。因此,他只能访问虚拟机。还是以有利的方式,启动接触序列为未激活。另外,如果将硬件虚拟化的功能性植入到STAD的处理器中,该功能性将设置为不降低期望的安全级别。
启动STAD时,或激活STAD时,例如监视(mise en veille)后,使用者被认证。这里通过管理程序实施这种认证。对虚拟机的访问取决于该认证。因此,例如,驾驶员或副驾驶员(copilote)可以访问植入到STAD上的所有虚拟机,用于配置STAD的管理虚拟机除外,而维护技术员可以访问该管理虚拟机。虚拟机可以自动或根据使用者的请求启动STAD的运行。可以根据使用者的需要独立地启动和停止每个虚拟机。使用者可以根据标准机制,例如通过图形界面从一个虚拟机过渡到另一虚拟机。
根据一特殊实施例,根据如在虚拟机中执行的虚拟机的安全级别的某些参数,配置在虚拟机中实施的功能。
图3示意示出根据功能的类型(步骤300),根据参数调配在虚拟机中执行的某些功能的例子。
因此,例如,对允许传输数据的通讯功能,虚拟机或它们之中的某些,从认证阶段经过,用于与STAD外部的某些系统连接(步骤305),例如与飞行器的信息系统连接。在虚拟机启动和/或数据交换时通过管理程序实施该认证阶段,该阶段包括以下步骤:
-根据标准认证机制认证虚拟机(步骤310);
-通过检查例如多个安全指标,如最新更新的日期和操作系统,验证虚拟机的完整性(步骤315);和
-根据实施的功能验证虚拟机相对于其它虚拟机的隔离级别(步骤320)。该步骤允许验证当虚拟机与飞行器的系统连接时,没有任何虚拟机可以例如通过用户接口或网络与要求验证的虚拟机互动。可选地,该步骤可以在于验证遵守预先确定的通讯规定。
因此,只有在虚拟机的认证后才能有效进行数据传输(步骤325),使虚拟机不能向外部系统传输错误数据。
同样,虚拟机之间的数据传输受到控制,以保证要求的安全级别。实际上,尽管为了责任限制或不同的安全级别的需要,已经将虚拟机隔离,但是某些功能可能需要虚拟机之间的数据传输,因此需要通讯通道的参数选择。
因此,产生一引进功能,以便可以使向具有高于源虚拟机(图3记作MV*)的安全级别的安全级别虚拟机传输的数据有效。该功能的原理尤其是根据数据的类型过滤数据(步骤330),并保证只有期望的数据(步骤335)通过开放的通讯通道传递(步骤325)。但是,使用者仍控制有效性,即数据从一虚拟机向另一具有更高安全级别的虚拟机的有效传递的有效性。
为了改进STADs的维护操作,优选地实施称为快照(snapshots)的瞬时照相机制。
瞬时照相功能允许在给定时刻储存与一虚拟机有关的所有数据,使虚拟机以后能够重新启动,并重新设置,以便虚拟机重新处于数据以照相形式储存时所处的状态。该功能可以被使用者激活,或根据预先确定的周期自动激活,例如每周或每月,或响应于特殊事件。
另外,为了保证STADs的安全级别,在每个虚拟机中建立管理数据写入的特别机制。这里该机制的基础是写入时的图象复制功能,称为copy-on-write,以及禁止将某些数据写到STAD的大容量存储器中的功能。
根据写入时复制图象的功能,虚拟机启动时使用的所有数据都被复制,并且只有该复制被虚拟机使用。因此,虚拟机的每个下次启动时,上次启动时使用的相同数据被使用,即使这些数据后来已改变。
这些功能的结合允许保证安全级别,同时避免STADs需要比标准设备更多的维护。实际上,如果一虚拟机受到损害,只需从稳定状态实施的瞬时照相恢复虚拟机,以便重新得到功能系统。
有利的是,为了不破坏平台,根据虚拟机的安全级别,只有必要的操作允许将数据写到STAD的大容量储存器中(步骤340)。例如,只有操作数据和明确识别的用户数据可以储存到STAD中。另外,如果虚拟机的安全级别高,那么只有可信级别经过验证的数据可以储存到STAD中(步骤345和350)。该验证在于例如使数据的完整性或来源有效,或验证数据产生的环境。但是,即使这些数据可以储存到STAD中,它们优选地储存在可移动载体例如SD卡或U盘中,以便于更换STAD,而避免数据回收步骤。可信级别没有经过验证的数据可以储存到这样的可移动载体中(步骤355)。
对使用者从安全级别低、即安全级别低于预先确定阈值的虚拟机收集的数据进行特别处理,例如当虚拟机可以访问互联网,并因此接收邮件、应用和cookies时,或者当外部设备如外部储存设备可以与STAD连接时。在这种情况下,由于操作和安全的原因,这些数据只能储存在可移动载体中,如SD卡或U盘中(步骤355)。
如前面指出的,这里每个虚拟机与预先确定的安全级别需求相对应,应用例如操作应用、办公应用和使用者的个人应用根据应用调用的功能按安全级别的需要分布在多个虚拟机中。因此,为了得到令人满意的总的安全级别,通过考虑尤其是良好的使用、严格需要的驱动软件、和支持STAD功能的通讯部件精确设置管理程序和虚拟机是很重要的,以便尽可能减小攻击面(surface d’attaque),因此不降低安全级别。
图4示意示出用于分析与要在同一STAD上执行的功能有关的风险而实施的某些步骤。这些风险允许确定应植入到STAD中的虚拟机,和这些功能在使用的虚拟机中的分布。
该分析尤其在于确定执行功能的参数,特别地,以便确定可以使用的通讯接口、使用的操作系统和处理数据的来源。这些参数可以确定能够实施功能并确定安全级别的虚拟机参数的特性。
需要指出的是,安全级别也可以与一功能直接有关,例如如果该安全级别是强制的。
第一步骤(步骤400)的目标是背景分析,以确定可以评估每个功能的风险的参数。
这里评估在失去保密性、完整性、可用性或真实性情况下评估出的风险,为了评估风险而可能考虑的参数尤其可以是以下参数:
-信息对商业活动的战略价值;
-信息对财产和人员安全的关键性;
-规章和合同义务;
-处理信息的保密性、完整性、真实性和可用性的操作重要性;及
-接受方的期待和感觉以及在品牌形象上的结果。
这些参数用于建立评估网,该评估网确定每个已鉴别风险的区域。例如,该网可以包括对应于低风险、中风险和高风险的三个区域。优选地预先确定与每个区域有关的处理,该处理尤其是允许在实施前识别功能的风险,以便可以比较和重现结果。换句话说,步骤400可以在在STAD中实施功能前建立功能的分析背景,用于满足特殊需要。
在第二步骤(步骤405)中,识别风险。这里在已经确定要保护的财产清单并且已经识别责任后,识别潜在威胁以及这些威胁的矢量(vecteur)和已经实施的缓和手段(moyens de mitigation)。要指出的是,使用的清单应足够详细,以便可以作出关于安全级别需求的决定。
在下一步骤中(步骤410),在采用易损性和进攻的概率的情况下,通过交叉前面得到信息与已知的易损性以及结果的类型和水平评估风险。该步骤特别允许根据操作背景对给定风险评估可能的结果,并建立功能可能承受的风险清单。
最后,在下一步骤(步骤415),利用前面建立的网和相关处理对每个功能评估风险水平。可以根据得到的结果决定用一执行变量重新进行风险分析过程(重复步骤400-415),以便例如通过强加补充约束来减小与一功能有关的风险。
参照图4描述的用于应包括在STAD中的功能的步骤可以确定每个功能的安全级别要求。可能与责任指标结合的这些结果可以确定组合在同一虚拟机中的功能。如前面指出的,使用责任指标可以确定功能或应用植入到STAD中的不同成员之间的责任限制。例如,可以对每个成员确定一虚拟机,使每个成员对它的部分负责。
因此,作为示例,可以按照下面的方案实施四个虚拟机:
-虚拟机F1,用于执行需要高安全级别的应用。该虚拟机与其它虚拟机隔离,以便允许遵循提供者1的责任;
-虚拟机F2,用于执行需要高安全级别的应用。该虚拟机与其它虚拟机隔离,以便允许遵循提供者2的责任;
-虚拟机F3,用于执行需要中等安全级别的应用;和
-虚拟机F4,用于执行需要低安全级别的应用。
需要指出的是,安装时由管理程序创建的用于管理其它虚拟机的管理虚拟机具有纯技术用途,而不是操作用途。访问其它机器的使用者权限特别地是从该虚拟机管理。
图5示意示出用于将在STAD中实施的软件应用根据它们调用的功能在虚拟机中分布的算法的例子。
变量i表示在STAD中实施的软件应用的索引,变量j表示具有索引i的应用调用的功能的索引,这些变量初始化为值1(步骤500)。确定具有索引i的应用所调用的功能(步骤505)。这里它们以表的形式储存在数据库510中。
然后确定索引为i的应用的安全级别需求,称为BNS(i),为索引为j的功能的安全级别需求,称为BNS(j)(步骤515)。
然后进行测试(步骤520),用于确定索引j的值是否对应于索引为i的功能所调用的功能的数量。在肯定的情况下,索引j增加1(步骤525),并进行另一测试(步骤530),以确定索引为j的功能的安全级别需求(BNS(j))是否高于索引为i的应用的安全级别需求(BNS(i))。在肯定的情况下,将索引为i的应用的安全级别需求(BNS(i))确定为索引为j的功能的安全级别需求(BNS(j))(步骤535)。然后在步骤520继续该算法。
如果索引j的值与索引为i的功能所调用的功能的数量相对应,则使索引为i的应用与安全级别对应于BNS(i)的虚拟机相关联(步骤540)。这里该信息储存在数据库545中。
然后使索引i的值与STAD实施的应用数比较,以确定所有应用是否已与一虚拟机相关联(步骤550)。在肯定的情况下,过程结束。在相反情况下,索引i增加1,并重复前面的步骤(步骤505-550)。
如前所述,可以产生互相独立的虚拟机,以便使它们可以根据特殊需要集合在管理程序内。另外,该实施例使不同成员可以根据需要集合它们的应用。由于负责一个或多个虚拟机,因此每个成员可以提供运行安全方面的保证。
因此,利用STAD的架构和上述算法,应用提供者可以交付包括它的应用的一个或多个虚拟机,并告知将建议的软件平台(在虚拟化的基础上)安装在STAD上的操作模式。STAD也可和管理程序或预先安装的一个或多个虚拟机一起提供。
另外,如前面指出的,用户可以使用U盘或SD卡储存资料(profil)和用户数据,如邮箱用户名、cookies和浏览器收藏夹,以及连接脚本(scripts)。以这种方式,STAD是可以互换的,并且可以以机队方式(en flotte)管理。
有利的是,对STADs能够与之连接的飞行器的所有用途和所有类型通用的软件库安装在STADs的机队上。然后安装与使用和/或飞行器类型对应的一个或多个虚拟机。设置结束时,产生一个或多个参考图象,以便可以在使用STAD时设置STAD。另外,使用者可以恢复这些参考图象,而不求助于技术员。
作为示例,这里考虑名字为电子飞行包(EFB)的已知工具箱。这指的是飞行员和他的副驾驶准备执行任务的工具箱。EFB不是具有高安全级别的应用。
主要存在以下方式定义的三级EFB:
-一级:任务数据从地面加载在便携式STAD中。STAD带到飞行器上,但是其不与机上的信息系统连接。数据只在着陆后与地面交换;
-二级:涉及与飞行员连接的标准便携式STAD。STAD与地面特别是航空公司和机场交换数据,并在整个飞行阶段与飞行器的信息系统交换数据;和
-三级:STAD与驾驶舱连在一起,并且可以访问要求高验证级别的关键系统。
因此,二级EFB可以由根据本发明的STAD管理。在这种情况下,EFB的提供者给用户交付操作应用或操作应用的一部分。提供者向用户告知相容系统的清单和管理程序的最小配置,或将STAD与管理程序和预先安装的虚拟机一起交付。
在初始准备阶段,用户根据操作应用和收到的配置数据准备虚拟机。用户还准备允许实施企业专用应用如邮箱应用的虚拟机。
因此,信息技术员可以利用创建的虚拟机安装STAD的管理程序,则管理程序允许使用企业的信息工具、EFB的功能,和可能的其它功能。
为了使STAD可以互换,使用者的数据优选地储存在可移动存储卡上,例如SD型卡,而不是储存在STAD的内部盘上。
使用时,当在一虚拟机例如与一互联网站连接的虚拟机上检测出危害时,使用者可以通过利用最近的相关参考图象重新启动虚拟机,而不求助于技术人员。
同样,在STAD硬件故障的情况下,技术员回收使用者的存储卡,并将卡插入到机队的另一STAD中。他不需要使该STAD个性化,也不需要复制使用者的数据。
图6示出适于实施本发明的硬件架构的例子。这里装置600包括通讯总线605,总线605与以下装置连接:
-中央处理器或微处理器610(CPU);
-可以包括实施本发明所需程序的只读存储器615(ROM);
-随机存取存储器或缓存存储器620(RAM),该存储器包括能够记录在上述程序的执行过程中创建和改变的变量和参数的寄存器;和
-能够发送和接收数据的通讯接口650。
装置600优选地还拥有以下元件:
-可以查看如指令表达的数据并作为与使用者的图形界面的屏幕625,使用者可以借助键盘和鼠标630或其它点击装置如触摸屏或遥控器与根据本发明的程序互动;
-可以包括根据本发明的上述程序和处理后或待处理数据的硬盘635;和
-能够接纳存储卡645并且在上面读或写根据本发明的已处理数据或待处理数据的存储卡的读取器640。
通讯总线可以在包括在装置600中的或与装置600连接的不同元件之间通讯和互操作。总线的表示不是限定的,尤其是中央处理器可以直接或通过装置600的其它元件给装置600的所有元件发出指令。
允许可编程装置实施根据本发明的过程的每个程序的可执行代码可以储存在例如硬盘635中,或者储存在只读储存器615中。
根据一变型,存储卡645可以包含数据,特别是检测出的事件和可以被激发的指令之间的对应表,以及一旦被装置600读取就储存在硬盘635中的上述程序的可执行代码。
根据另一变型,程序的可执行代码可以至少部分通过接口650接收,以便以和前面描述的相同方式储存。
更普遍的是,一个或多个程序可以在执行前加载在装置600的储存部件之一中。
中央处理器610将控制并引导根据本发明的程序的指令或软件代码部分的执行,指令储存在硬盘635上或只读存储器615中或上述其它存储元件中。当施加电压时,储存在非易失存储器、例如硬盘635或只读储存器615中的程序被传输到包含根据本发明的程序的可执行代码的随机存取存储器620、以及用于储存实施本发明所需变量和参数的寄存器中。
当然,为了满足特殊需要,本领域的技术人员可以在上述描述中进行修改。
Claims (8)
1.一种适于多用途数据的自动处理的设备,该设备的特征在于,实施一些需要不同安全级别或责任限制的功能,并且包括:
多个虚拟机(215),每个虚拟机适于执行需要一预先确定的安全级别或责任限制的至少一个功能,至少一个所述的功能根据在其中执行该功能的虚拟机的参数进行调整;
适于控制所述多个虚拟机的执行的管理程序(210);及
在所述多个虚拟机中的第一虚拟机和第二虚拟机之间传输数据的传输部件,如果所述第二虚拟机的安全级别高于所述第一虚拟机的安全级别,所述传输部件适于根据被传输的数据的类型来过滤(330、335)被传输的数据,以使得只有期望的数据被传输,被传输的数据的类型与所述多个虚拟机的安全级别无关。
2.如权利要求1所述的设备,其中,所述管理程序包括认证部件,用于认证(310)所述多个虚拟机中的至少一个虚拟机。
3.如权利要求2所述的设备,其中,所述认证部件适于验证所述至少一个被认证的虚拟机的完整性(315)。
4.如权利要求2或3所述的设备,其中,所述认证部件适于验证所述至少一个被认证的虚拟机相对于所述多个虚拟机中的至少另一个虚拟机的隔离级别(320)。
5.如权利要求1所述的设备,它另外包括由所述多个虚拟机中的至少一个虚拟机处理的数据的数据存储部件,所述数据存储部件适于将被处理的数据储存在一计算机的可移动存储器上(355)。
6.如权利要求5所述的设备,其中,所述数据存储部件由所述多个虚拟机中安全级别低于预定阈值的虚拟机来实施(340)。
7.如权利要求5或6所述的设备,它另外包括检验由所述多个虚拟机中至少一个虚拟机处理的至少一个数据的可信级别的检验部件(345),所述至少一个处理的数据仅在其已经被检验后,才能够被本地存储(350)在所述计算机中。
8.如权利要求1、2、3、5和6中任一项所述的设备,其中,用于启动所述多个虚拟机中至少一个虚拟机的配置数据在启动的所述至少一个虚拟机的执行过程中不改变。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0955281A FR2948789B1 (fr) | 2009-07-28 | 2009-07-28 | Composant logiciel et dispositif pour le traitement automatise de donnees multi-usages, mettant en oeuvre des fonctions ayant besoin de differents niveaux de surete ou limites de responsabilite |
FR0955281 | 2009-07-28 | ||
PCT/FR2010/000552 WO2011020954A2 (fr) | 2009-07-28 | 2010-07-28 | COMPOSANT LOGICIEL ET DISPOSITIF POUR LE TRAITEMENT AUTOMATISÉ DE DONNÉES MULTI-USAGES, METTANT EN œUVRE DES FONCTIONS AVANT BESOIN DE DIFFÉRENTS NIVEAUX DE SÛRETÉ OU LIMITES DE RESPONSABILITÉ |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102656559A CN102656559A (zh) | 2012-09-05 |
CN102656559B true CN102656559B (zh) | 2016-12-07 |
Family
ID=41432807
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201080041951.3A Active CN102656559B (zh) | 2009-07-28 | 2010-07-28 | 实施需要不同安全级别或责任限制的功能的多用途数据的自动处理 |
Country Status (8)
Country | Link |
---|---|
US (1) | US9804875B2 (zh) |
EP (1) | EP2460071A2 (zh) |
JP (1) | JP5646622B2 (zh) |
CN (1) | CN102656559B (zh) |
CA (1) | CA2769239C (zh) |
FR (1) | FR2948789B1 (zh) |
RU (1) | RU2012107091A (zh) |
WO (1) | WO2011020954A2 (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2568779C2 (ru) * | 2010-02-23 | 2015-11-20 | Астроноутикс Корпорейшн оф Америка | Однопроцессорная электронная система бортовой документации 3-го класса |
CN103677983B (zh) * | 2012-09-20 | 2018-05-04 | 三亚中兴软件有限责任公司 | 应用的调度方法及装置 |
FR2997811B1 (fr) | 2012-11-05 | 2015-01-02 | Viaccess Sa | Dispositif de traitement de contenus multimedia mettant en oeuvre une pluralite de machines virtuelles. |
US9781118B2 (en) * | 2013-03-14 | 2017-10-03 | Intel Corporation | Differentiated containerization and execution of web content based on trust level and other attributes |
RU2568282C2 (ru) * | 2014-04-18 | 2015-11-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обеспечения отказоустойчивости антивирусной защиты, реализуемой в виртуальной среде |
US9454497B2 (en) * | 2014-08-15 | 2016-09-27 | Intel Corporation | Technologies for secure inter-virtual-machine shared memory communication |
US20160098259A1 (en) * | 2014-10-02 | 2016-04-07 | The Boeing Company | Software Aircraft Part Installation System |
US9444849B2 (en) * | 2014-10-06 | 2016-09-13 | The Boeing Company | Enforcing policy compliance on a device |
FR3038404B1 (fr) * | 2015-07-02 | 2019-04-26 | Viaccess | Procede et systeme d'execution securisee de machines virtuelles par un ensemble de dispositifs programmables interconnectes |
EP3323077A4 (en) * | 2015-07-15 | 2019-03-27 | Nokia Solutions and Networks Oy | SECURITY-SENSITIVE INSTANCATION RELATING TO NETWORK SERVICES AND / OR VIRTUALIZED NETWORK FUNCTIONS |
DE102015214389A1 (de) * | 2015-07-29 | 2017-02-02 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Aktualisieren einer auf einer physischen Maschine unter einem Hypervisor betriebenen virtuellen Maschine |
US10225349B2 (en) | 2016-10-26 | 2019-03-05 | Honeywell International Inc. | Software development kit for aircraft tablet device and airborne application server |
US11175937B2 (en) * | 2018-03-30 | 2021-11-16 | The Boeing Company | Virtualized avionics systems for operational environments |
CN116260823B (zh) * | 2023-05-15 | 2023-09-15 | 南方电网数字电网研究院有限公司 | 受控数据共享方法、装置、计算机设备和存储介质 |
Family Cites Families (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5442645A (en) * | 1989-06-06 | 1995-08-15 | Bull Cp8 | Method for checking the integrity of a program or data, and apparatus for implementing this method |
US5809493A (en) * | 1995-12-14 | 1998-09-15 | Lucent Technologies Inc. | Knowledge processing system employing confidence levels |
US5870610A (en) * | 1996-06-28 | 1999-02-09 | Siemens Business Communication Systems, Inc. | Autoconfigurable method and system having automated downloading |
US6941410B1 (en) * | 2000-06-02 | 2005-09-06 | Sun Microsystems, Inc. | Virtual heap for a virtual machine |
US6922774B2 (en) * | 2001-05-14 | 2005-07-26 | The United States Of America As Represented By The National Security Agency | Device for and method of secure computing using virtual machines |
US7730318B2 (en) * | 2003-10-24 | 2010-06-01 | Microsoft Corporation | Integration of high-assurance features into an application through application factoring |
US7401230B2 (en) * | 2004-03-31 | 2008-07-15 | Intel Corporation | Secure virtual machine monitor to tear down a secure execution environment |
US7506170B2 (en) * | 2004-05-28 | 2009-03-17 | Microsoft Corporation | Method for secure access to multiple secure networks |
JP2006201845A (ja) * | 2005-01-18 | 2006-08-03 | Hitachi Software Eng Co Ltd | ウィルス感染及び機密情報漏洩防止対策コンピュータ |
US7881755B1 (en) * | 2005-05-26 | 2011-02-01 | Marvell International Ltd. | Wireless LAN power savings |
CN100547515C (zh) * | 2005-07-15 | 2009-10-07 | 联想(北京)有限公司 | 支持可信计算的虚拟机系统及在其上实现可信计算的方法 |
WO2007048062A2 (en) * | 2005-10-21 | 2007-04-26 | Vir2Us, Inc. | Computer security method having operating system virtualization allowing multiple operating system instances to securely share single machine resources |
WO2007083300A2 (en) * | 2006-01-17 | 2007-07-26 | Kidaro (Israel) Ltd. | Securing data in a networked environment |
JP4735331B2 (ja) * | 2006-03-01 | 2011-07-27 | 日本電気株式会社 | 仮想マシンを利用した情報処理装置および情報処理システム、並びに、アクセス制御方法 |
JP2008084081A (ja) * | 2006-09-28 | 2008-04-10 | Nec Corp | 機密情報の漏洩防止システム、機密情報の漏洩防止方法、記録媒体、及びプログラム |
US9015703B2 (en) * | 2006-10-17 | 2015-04-21 | Manageiq, Inc. | Enforcement of compliance policies in managed virtual systems |
US8234641B2 (en) * | 2006-10-17 | 2012-07-31 | Managelq, Inc. | Compliance-based adaptations in managed virtual systems |
US8949826B2 (en) * | 2006-10-17 | 2015-02-03 | Managelq, Inc. | Control and management of virtual systems |
JP4907371B2 (ja) * | 2007-02-01 | 2012-03-28 | 株式会社日立ソリューションズ | ウィルス感染及び機密情報漏洩防止対策システム |
US8024790B2 (en) * | 2007-04-11 | 2011-09-20 | Trend Micro Incorporated | Portable secured computing environment for performing online confidential transactions in untrusted computers |
JP4987555B2 (ja) * | 2007-04-27 | 2012-07-25 | 株式会社東芝 | 情報処理装置、および情報処理システム |
JP4782871B2 (ja) * | 2007-10-03 | 2011-09-28 | 富士通株式会社 | デバイスアクセス制御プログラム、デバイスアクセス制御方法および情報処理装置 |
US8819676B2 (en) * | 2007-10-30 | 2014-08-26 | Vmware, Inc. | Transparent memory-mapped emulation of I/O calls |
US20090133097A1 (en) * | 2007-11-15 | 2009-05-21 | Ned Smith | Device, system, and method for provisioning trusted platform module policies to a virtual machine monitor |
KR101489244B1 (ko) * | 2007-12-24 | 2015-02-04 | 삼성전자 주식회사 | 가상 머신 모니터 기반의 프로그램 실행 시스템 및 그 제어방법 |
WO2009087702A1 (ja) * | 2008-01-09 | 2009-07-16 | Fujitsu Limited | 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置 |
CA2661398C (en) * | 2008-04-05 | 2016-05-17 | Third Brigade Inc. | System and method for intelligent coordination of host and guest intrusion prevention in virtualized environment |
US8561137B2 (en) * | 2008-07-23 | 2013-10-15 | Oracle International Corporation | Techniques for identity authentication of virtualized machines |
US8387046B1 (en) * | 2009-03-26 | 2013-02-26 | Symantec Corporation | Security driver for hypervisors and operating systems of virtualized datacenters |
-
2009
- 2009-07-28 FR FR0955281A patent/FR2948789B1/fr active Active
-
2010
- 2010-07-28 EP EP10752854A patent/EP2460071A2/fr not_active Ceased
- 2010-07-28 CA CA2769239A patent/CA2769239C/fr active Active
- 2010-07-28 WO PCT/FR2010/000552 patent/WO2011020954A2/fr active Application Filing
- 2010-07-28 RU RU2012107091/08A patent/RU2012107091A/ru unknown
- 2010-07-28 JP JP2012522202A patent/JP5646622B2/ja active Active
- 2010-07-28 CN CN201080041951.3A patent/CN102656559B/zh active Active
- 2010-07-28 US US13/387,561 patent/US9804875B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2013500531A (ja) | 2013-01-07 |
RU2012107091A (ru) | 2013-09-10 |
CN102656559A (zh) | 2012-09-05 |
FR2948789A1 (fr) | 2011-02-04 |
US20120167089A1 (en) | 2012-06-28 |
EP2460071A2 (fr) | 2012-06-06 |
WO2011020954A2 (fr) | 2011-02-24 |
WO2011020954A3 (fr) | 2011-04-14 |
CA2769239A1 (fr) | 2011-02-24 |
JP5646622B2 (ja) | 2014-12-24 |
US9804875B2 (en) | 2017-10-31 |
CA2769239C (fr) | 2018-10-23 |
FR2948789B1 (fr) | 2016-12-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102656559B (zh) | 实施需要不同安全级别或责任限制的功能的多用途数据的自动处理 | |
CA3022462C (en) | Systems and methods for private cloud computing | |
JP4842248B2 (ja) | 複数のビジネスアプリケーション全体における手続き欠陥の検出 | |
Ogheneovo | Software dysfunction: Why do software fail? | |
Hinchey et al. | Evolving critical systems: A research agenda for computer-based systems | |
CN110390200A (zh) | 用于通过拦截函数调用识别应用程序的漏洞的系统和方法 | |
Conmy et al. | High Level Failure Analysis for Integrated Modular Avionics. | |
CN112699035A (zh) | 一种多分区机载应用软件关联索引测试方法和装置 | |
AU2013203291B2 (en) | Systems and methods for private cloud computing | |
Huyck | Safe and Secure Data Fusion—Use of MILS Multicore Architecture to Reduce Cyber Threats | |
Boring et al. | Considerations for the treatment of computerized procedures in human reliability analysis | |
Bos et al. | Catalogue of system and software properties | |
CN110476146B (zh) | 外壳应用 | |
Heagney et al. | Mitigate software obsolescence and cyber risk using application virtualization. | |
Kryuchkov et al. | System of management MSF through RPC requests | |
Wolf et al. | Safety and Security Design Processes | |
Feiler et al. | Managing Development of Very Large Systems: Implications for Integrated Environment Architectures | |
Berk | An analysis of current guidance in the certification of airborne software | |
Zhang | Methods for modeling of product lines for safety-critical systems | |
Cotroneo et al. | A failure analysis of data distribution middleware in a mission-critical system for air traffic control | |
Lougee | HUMS-certification considerations for current and emerging technology | |
Romano | Formal approaches to critical systems development: a case study using SPARK | |
Romano | Desenvolvimento Formal de Sistemas Críticos: Caso de Estudo Usando Spark | |
Oy | BSI-ITSEC-0097-1996 zu Setcad 202 Software, Version 1.42 der Firma | |
Xompero et al. | A Fuzz Testing Approach for Embedded Avionic Software |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |