ES2667674T3 - Equipo de seguridad para la compartimentación entre un primer y segundo dominios, que comprende un componente de controlador - Google Patents

Equipo de seguridad para la compartimentación entre un primer y segundo dominios, que comprende un componente de controlador Download PDF

Info

Publication number
ES2667674T3
ES2667674T3 ES14200267.4T ES14200267T ES2667674T3 ES 2667674 T3 ES2667674 T3 ES 2667674T3 ES 14200267 T ES14200267 T ES 14200267T ES 2667674 T3 ES2667674 T3 ES 2667674T3
Authority
ES
Spain
Prior art keywords
component
interface
controller
data
operating system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES14200267.4T
Other languages
English (en)
Inventor
Jean-Marc Lacroix
Franck Curo
Dominique Ragot
Philippe Thierry
Fabien Germain
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from FR1303074A external-priority patent/FR3015837B1/fr
Priority claimed from FR1303075A external-priority patent/FR3015727B1/fr
Application filed by Thales SA filed Critical Thales SA
Application granted granted Critical
Publication of ES2667674T3 publication Critical patent/ES2667674T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/58Association of routers
    • H04L45/586Association of routers of virtual routers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

Equipo de seguridad (10) para la compartimentación entre el primer y el segundo dominios (1, 2), que comprende: - una capa de hardware (20), que comprende un medio de cálculo, un medio de memorización, y un primer y segundo medios de interfaz (21, 22) con dichos primer y segundo dominios; - una capa de virtualización (30) de la capa de hardware, que comprende un núcleo y un hipervisor; - una capa de aplicación (38) que comprende: - un primer componente de interfaz (42) para intercambiar datos con el primer dominio, siendo el primer componente de interfaz (42) del tipo componente del sistema operativo que integra un sistema operativo enriquecido, en el sentido de que se implementan por defecto numerosas funcionalidades y que no es posible certificarlo, comprendiendo el sistema operativo en particular un controlador nativo; - un segundo componente de interfaz (62) para intercambiar datos con el segundo dominio, siendo el segundo componente de interfaz (62) del tipo componente del sistema operativo que integra un sistema operativo enriquecido, en el sentido de que se implementan por defecto numerosas funcionalidades y que no es posible certificarlo, comprendiendo el sistema operativo en particular un controlador nativo; - un componente de seguridad (50) que forma una celda de intercambio de datos entre el primer y el segundo componentes, caracterizado porque al menos un componente de interfaz entre el primer y segundo componentes de interfaz está asociado con un componente de controlador (41, 61), siendo el componente de controlador del tipo componente de aplicación que es posible certificar, realizando el núcleo una partición espacial tal que solo el componente de controlador tiene acceso exclusivo a un espacio de almacenamiento del medio de memorización asignado al medio de interfaz correspondiente (21, 22),y el componente de controlador (41, 61) y el componente de interfaz intercambian datos por medio de un espacio de memoria compartida (44, 64) del medio de memorización, siendo el componente de controlador (41, 61) un componente de tipo "PROXY" capaz de actuar por cuenta del componente de interfaz, de tal manera que, en una primera dirección de intercambio de datos, una función del componente de interfaz, llamado por el controlador nativo del sistema operativo, escribe un dato en el espacio de memoria compartida con el componente del controlador y el componente del controlador lee los datos escritos en el espacio de memoria compartida y lanza una función correspondiente para escribir en el espacio de almacenamiento del medio de memorización asignado al medio de interfaz correspondiente (21, 22); y en una segunda dirección de intercambio de datos, el componente de controlador apela una función que requiere la lectura de datos escritos en el espacio de almacenamiento del medio de memorización asignado al medio de interfaz correspondiente (21, 22) y escribe el dato correspondiente en el espacio de memoria compartida con el componente de interfaz, y el componente de interfaz llama a la función correspondiente del controlador nativo y lee el dato ubicado en el espacio de memoria compartida, y por que el componente de controlador (41, 61) implementa aplicaciones de servicio para controlar el flujo de datos que pasa a través del componente de controlador.

Description

DESCRIPCIÓN
Equipo de seguridad para la compartimentación entre un primer y segundo dominios, que comprende un componente de controlador 5
[0001] La presente invención se refiere a un equipo de seguridad para la compartimentación entre un primer y segundo dominios, que comprende: una capa de hardware, que comprende un medio de cálculo, un medio de memorización, y un primer y segundo medios de interfaz con dichos primer y segundo dominios; una capa de virtualización de la capa de hardware, que comprende un núcleo y un hipervisor; y una capa de aplicación que
10 comprende: un primer componente de interfaz, para intercambiar datos con el primer dominio; un segundo componente de interfaz para intercambiar datos con el segundo dominio; y un componente de seguridad que forma una celda de intercambio de datos entre el primer y segundo componentes.
[0002] En el campo de la seguridad de los sistemas de información, el documento FR 2008 006839 o incluso el 15 documento US 7 607 167 B1 divulgan, respectivamente, un equipo de seguridad del tipo mencionado anteriormente
adecuado para realizar la compartimentación entre el primer y segundo dominios. El documento DE 10 2012 105 068 A1 describe un sistema similar, basado en máquinas virtuales y que vincula varios controladores de interfaz aislados a través de una partición de control. En cada dominio, se implementa un controlador de interfaz virtual. Ventajosamente, tal equipo de seguridad constituye una puerta de enlace entre un primer dominio que presenta un 20 nivel de seguridad "bajo" y un segundo dominio que presenta un nivel de seguridad "alto".
[0003] La capa de aplicación del equipo de seguridad del documento FR 2008 006839 B1 comprende un primer y segundo componentes de interfaz y un componente de seguridad.
25 [0004] El primer componente de interfaz está dedicado a gestionar el intercambio de paquetes de datos con el primer dominio. Comprende, en particular, los controladores necesarios para la comunicación con el primer dominio, a través de una primera interfaz de entrada/salida de la capa física del equipo de seguridad.
[0005] Cuando se ejecuta, el primer componente de interfaz sitúa los paquetes de datos recibidos desde el primer 30 dominio en un primer espacio de almacenamiento de entrada de la memoria del equipo de seguridad. El primer
componente de interfaz lee los paquetes de datos de un primer espacio de almacenamiento de salida de la memoria y los transmite al primer dominio.
[0006] De manera similar, el segundo componente de interfaz está dedicado a la gestión de intercambios de datos 35 con el segundo dominio. Comprende, en particular, los controladores necesarios para la comunicación con el
segundo dominio, a través de la segunda interfaz. Cuando se ejecuta, el segundo componente de interfaz accede a un segundo espacio de almacenamiento de salida de memoria y transmite los paquetes leídos al segundo dominio. El segundo componente de interfaz coloca los paquetes recibidos desde el segundo dominio en un segundo espacio de almacenamiento de entrada.
40
[0007] El componente de seguridad forma una celda en el intercambio de paquetes de datos entre el primer y segundo componentes de interfaz. Cuando se ejecuta, el componente de seguridad lee los paquetes de datos del primer espacio de almacenamiento de entrada, los procesa y coloca los paquetes procesados en el segundo espacio de almacenamiento de salida. De forma similar, el componente de seguridad lee los paquetes de datos del segundo
45 espacio de almacenamiento de entrada, los procesa y coloca los paquetes procesados en el primer espacio de almacenamiento de salida.
[0008] Una partición espacial (es decir, el hecho de que los espacios de almacenamiento de entrada y salida de un canal de circulación del flujo de datos de un dominio a otro corresponden a espacios diferentes y predeterminados
50 por la memoria) y una partición temporal (es decir, el hecho de que los componentes se ejecutan sucesivamente y por separado unos de otros por el procesador del equipo de seguridad, restringiéndose el tiempo de ejecución de un componente), garantizan la compartimentación entre el primer y segundo dominios.
[0009] Sin embargo, si el componente de seguridad puede certificarse en términos de seguridad operativa, no 55 sucede lo mismo con el primer y segundo componentes de interfaz.
[0010] De hecho, si bien el componente de seguridad es un componente de aplicación que integra solo un programa de aplicación específico para acceder directamente a los recursos de hardware, un componente de interfaz es un componente del sistema operativo que integra un sistema operativo (SO para "sistema operativo"), tal
como el sistema LINUX, y posiblemente uno o más programas de aplicación, que son específicos para acceder a los recursos de hardware, pero solamente a través del sistema operativo.
[0011] Por lo tanto, un componente del sistema operativo es rico, en el sentido de que se implementan por defecto 5 muchas funcionalidades. El programa de aplicación utiliza algunas de las funcionalidades disponibles, simplemente
llamando a las funciones correspondientes. En particular, un componente de interfaz usa los controladores de periféricos nativos del sistema operativo.
[0012] Además, un sistema operativo es un programa complejo, que comprende unos cientos de miles de líneas 10 de código. Es un programa que evoluciona regularmente a medida que se lanzan nuevas versiones. En el caso del
sistema LINUX, el programa es actualizado por una comunidad cuyos miembros no se conocen.
[0013] Por lo tanto, no es posible evaluar y, por lo tanto, certificar un sistema operativo. Como resultado, no es posible certificar un componente del sistema operativo.
15
[0014] Por lo tanto, debido a que el sistema operativo contiene, un componente de sistema operativo y, en particular, un componente de interfaz tiene vulnerabilidades de seguridad.
[0015] Al aprovechar estas vulnerabilidades de seguridad, es posible eludir la compartimentación hecha por el 20 componente de seguridad.
[0016] Por lo tanto, la invención tiene el propósito de superar este problema.
[0017] Para este fin, el objeto de la invención es un equipo de seguridad del tipo mencionado anteriormente, en el 25 que al menos un componente de interfaz entre el primer y segundo componentes de interfaz está asociado con un
componente complementario de controlador de interfaz, el núcleo realiza una partición espacial de manera que solo el componente de controlador tiene acceso exclusivo a un espacio de almacenamiento del medio de memorización asignado al medio de interfaz correspondiente, y el componente de controlador y el componente de interfaz intercambian datos a través de un espacio de memoria compartida del medio de memorización.
30
[0018] Al proporcionar al componente de seguridad un componente de controlador del tipo componente de aplicación y limitando los puertos de salida del componente de interfaz del tipo componente de sistema operativo, se eliminan los fallos de seguridad asociados con los controladores nativos del sistema operativo del componente de la interfaz.
35
[0019] De acuerdo con realizaciones particulares, el equipo comprende una o más de las siguientes características:
- el componente de interfaz y el componente de controlador asociado se ejecutan juntos en la misma partición 40 temporal.
- el componente de interfaz y el componente de controlador asociado se ejecutan por separado en dos particiones temporales.
- el núcleo de la capa de virtualización es un núcleo de separación.
- el componente de seguridad realiza un intercambio de datos del tipo diodo, medio criptográfico o filtro.
45 - el componente de seguridad realiza un intercambio de datos de tipo diodo entre un espacio de almacenamiento de
entrada en el lado del primer dominio y un espacio de almacenamiento de salida en el lado del segundo dominio.
- el primer componente de interfaz está asociado con un primer componente de controlador y el segundo componente de interfaz está asociado con un segundo componente de controlador.
- cada componente de controlador implementa aplicaciones de servicio, en particular de control del flujo de datos 50 que pasa a través del componente de controlador, o un medio de interfaz de entrada/salida.
[0020] La invención se comprenderá mejor tras leer la siguiente descripción de una realización, dada únicamente a modo de ejemplo ilustrativo y no limitativo, y con referencia a los dibujos adjuntos, en los que:
55 - la Figura 1 es una vista esquemática de un equipo de seguridad según la invención;
- la Figura 2 es un gráfico temporal que muestra la ejecución de los diversos componentes del equipo de seguridad
de la Figura 1.
[0021] En la Figura 1 se representa un equipo de seguridad 10 que establece una compartimentación en el
intercambio de paquetes de datos entre un primer y segundo dominios 1 y 2.
[0022] En el presente documento, el término "dominio" debe tomarse en sentido amplio: puede ser uno o más equipos informáticos diferentes conectados al equipo de seguridad considerado, a través de un enlace de
5 comunicación adecuado. También puede tratarse de un programa asociado a una partición y ejecutado en el equipo de seguridad considerado. Sin embargo, la invención se aplica a un equipo de seguridad en comunicación a través de al menos una interfaz adaptada a otro equipo, constituyendo un dominio.
[0023] En la realización descrita en detalle en el presente documento, el primer y segundo dominios son redes 10 conectadas al equipo de seguridad por enlaces de comunicación que cumplen con el protocolo ETHERNET. Sin
embargo, los principios de arquitectura descritos en el presente documento no están limitados a un tipo particular de protocolo, y los expertos en la técnica pueden prever muchas variantes de realización alternativas.
[0024] El primer dominio 1 tiene un nivel de seguridad "bajo", más débil que el nivel de seguridad "alto" del 15 segundo dominio 2.
[0025] Esto justifica la implementación, por el componente de seguridad 10, de una política de seguridad asimétrica entre paquetes de datos que fluyen desde el primer dominio al segundo dominio y los que fluyen desde el segundo dominio hasta el primer dominio.
20
[0026] En la realización descrita en el presente documento en detalle, el componente de seguridad 10 tiene una función de diodo, que autoriza la transmisión de paquetes de datos desde un emisor del primer dominio 1 a un receptor del segundo dominio 2, y que prohíbe, en operación nominal, cualquier intercambio de paquetes de datos desde el segundo dominio 2 al primer dominio 1.
25
[0027] El equipo de seguridad 10 comprende una capa de hardware 20, una capa de virtualización 30 y una capa de aplicación 38.
[0028] La capa de hardware 20 comprende un medio de cálculo, que comprende un procesador y un mecanismo 30 de hardware para compartimentar la memoria, llamada MMU (Unidad de Gestión de Memoria), y un medio de
memorización, que comprende una memoria, que es una memoria del sistema (RAM).
[0029] La capa de hardware 20 también comprende unos medios de interfaz de entrada/salida. Por ejemplo, el equipo de seguridad comprende una primera interfaz 21, del tipo ETHERNET, para la conexión al primer dominio 1 y
35 una segunda interfaz 22, del tipo ETHERNET, para la conexión al segundo dominio 2.
[0030] La capa física 20 comprende finalmente un bus físico de comunicación entre los medios de cálculo, de memorización y de interfaz.
40 [0031] La capa de virtualización 30 hace posible virtualizar la capa física 20. Comprende un núcleo y un hipervisor.
[0032] De una manera conocida per se, el núcleo es del tipo núcleo de separación. Permite, en función de la MMU, la partición espacial de la memoria y la asignación ("mapeo") a un componente de la capa de aplicación, de un espacio específico de la memoria RAM del sistema.
45
[0033] De una manera también conocida per se, el hipervisor garantiza la partición temporal, asignando una fracción del tiempo de uso del medio de cálculo a cada componente o grupo de componentes de la capa de aplicación, y esto de acuerdo con un plan de programación definido durante la configuración del equipo de seguridad.
50
[0034] La capa de aplicación 38 comprende una pluralidad de componentes de software.
[0035] Un primer tipo de componente de software, la denominada aplicación, integra solamente un programa de aplicación Appli, específico para acceder directamente a los recursos de hardware.
55
[0036] Un segundo tipo de componente de software, el denominado sistema operativo, integra un sistema operativo SO, tal como el sistema LINUX, y posiblemente uno o más programas de aplicación Appli, específicos para acceder a los recursos de hardware a los que autorizó el hipervisor, solamente a través del sistema operativo.
[0037] En la realización mostrada en la Figura 1, la capa de aplicación 38 comprende un primer compartimento 40, que comprende un primer componente de controlador 41 y un primer componente de interfaz 42, un componente de seguridad 50, y un segundo compartimento 60, que comprende un segundo componente de controlador 61 y un segundo componente de interfaz 62.
5
[0038] Si el primer y segundo componentes de interfaz, 42 y 62, son componentes del sistema operativo, el primer y segundo componentes de controlador 41 y 61 y el componente de seguridad 50 son componentes de aplicación.
[0039] Un compartimento se divide funcionalmente entre un componente de controlador y un componente de 10 interfaz.
[0040] Gracias a la partición espacial realizada por el núcleo de separación, el componente de interfaz no tiene acceso al espacio de la memoria reservada para la interfaz de entrada/salida de la capa de hardware. Solo el componente de controlador tiene acceso exclusivo al espacio de la memoria de la interfaz de entrada/salida de la
15 capa de hardware.
[0041] Además, se define un canal de comunicación, a priori bidireccional, entre el componente de interfaz y el componente de controlador.
20 [0042] Por lo tanto, en la comunicación de enlace descendente, una función del componente de interfaz, llamada por un controlador nativo del sistema operativo de este componente, no escribe un dato en el espacio de la memoria de la interfaz de entrada/salida, sino en un espacio de memoria compartida con el componente del controlador. Éste lee los datos escritos en el espacio de memoria compartida e inicia una función correspondiente para escribir en el espacio de la memoria de la interfaz de entrada/salida.
25
[0043] Una descripción similar podría hacerse en la comunicación de enlace ascendente. El componente de controlador llama a una función que requiere la lectura de datos escritos en el espacio de memoria de la interfaz de entrada/salida y escribe los datos correspondientes en el espacio de la memoria compartida con el componente de interfaz. Éste llama a la función correspondiente del controlador nativo y lee los datos ubicados en el espacio de
30 memoria compartida.
[0044] Ventajosamente, el componente de controlador puede, además de la aplicación de controlador AppliP, enriquecerse con una aplicación de servicio Appli, permitiendo, por ejemplo, el dominio de las operaciones de control del periférico conectado a la interfaz en cuestión, o incluso dominar el perfil del flujo de datos, ascendentes o
35 descendentes, que fluye a través del componente de controlador.
[0045] Por lo tanto, el primer compartimento 40 está dedicado al intercambio de paquetes de datos con el primer dominio 1. Al ejecutarse por el medio de cálculo, el primer compartimento 40 escribe los paquetes de datos procedentes del primer dominio 1 en un espacio de almacenamiento de entrada 51 de la memoria de la capa física
40 20.
[0046] Específicamente, el primer compartimiento 40 comprende un primer componente de controlador 41 y un primer componente de interfaz 42. La partición espacial proporciona acceso para el primer componente de interfaz 42 a la primera interfaz 21 a través del componente de controlador 41 solamente, usando el espacio de memoria
45 compartida 44. Por lo tanto, se define un canal de comunicación exclusivo entre el componente de interfaz 42 y el componente de controlador 41.
[0047] De manera similar, el segundo compartimento 60 está dedicado al intercambio de paquetes de datos con el segundo dominio 2. Al ejecutarse por el medio de cálculo, el segundo compartimento 60 lee los paquetes de datos
50 de un espacio de almacenamiento de salida 52 de la memoria de la capa física 20 y los transmite al segundo dominio 2.
[0048] Específicamente, el segundo compartimiento 60 comprende un segundo componente de controlador 61 y un segundo componente de interfaz 62. La partición espacial proporciona acceso para el segundo componente de
55 interfaz 62 a la segunda interfaz 22 a través del componente de controlador 61 solamente, usando el espacio de memoria compartida 64. Por lo tanto, se define un canal de comunicación exclusivo entre el componente de interfaz 62 y el componente de controlador 61.
[0049] El componente de seguridad forma una celda de intercambio de paquetes de datos entre el primer y
segundo compartimentos 40 y 60.
[0050] En la realización descrita en el presente documento en detalle, el componente de seguridad que es del tipo diodo es adecuado para leer un paquete de datos ubicado en el espacio de almacenamiento de entrada 51 y para
5 escribirlo en el espacio de almacenamiento de salida 52.
[0051] En la Figura 2, el encadenamiento temporal de la ejecución de los diferentes componentes o grupo de componentes del equipo de seguridad 10 se muestra durante el transcurso de una trama T1, y la siguiente trama T2. Las tramas tienen una duración D constante predeterminada.
10
[0052] Cabe señalar que la programación de la ejecución de los componentes es idéntica de una trama a otra. Esta programación temporal se define mediante una partición de inicialización ejecutada una vez al inicio del componente de seguridad. La partición de inicialización no se muestra en la Figura 1.
15 [0053] Se ejecutan sucesivamente, en una primera partición temporal, los primeros componentes de controlador y de interfaz, 41 y 42, en una segunda partición temporal, el componente de seguridad 50 y, en una tercera partición temporal, los segundos componentes de controlador y de, 61 y 62.
[0054] Como alternativa, la ejecución del componente de controlador y la del controlador de interfaz de un mismo 20 compartimiento se pueden dividir temporalmente entre sí.
[0055] Como alternativa, el componente de seguridad realiza otro tipo de compartimentación entre el primer y segundo dominio.
25 [0056] En aún otra variante, independiente de las anteriores, solo el compartimento de intercambio de datos con el dominio cuyo nivel de seguridad es el más bajo está funcionalmente dividido como se acaba de presentar, siendo el otro compartimento de conformidad con un componente interfaz de la técnica anterior.
[0057] En aún otra variante, los compartimentos 40, 60 y el componente de seguridad 50 pueden ejecutarse de 30 forma programada en varios procesadores de cálculo en paralelo, desde el momento en que dos dominios se
ejecutan en el mismo procesador de cálculo, su programación se descompondrá estrictamente, como se describe en las variantes anteriores.
[0058] Por lo tanto, el experto encontrará que el componente de controlador es un componente del tipo "PROXY", 35 capaz de actuar en nombre del componente de interfaz.
[0059] El componente de controlador que es un componente de la aplicación puede ser certificado.
[0060] Se evitan los accesos del componente de interfaz a la capa de hardware.
40
[0061] Al inhibir de esta manera el acceso a los canales ocultos del sistema operativo de un componente rico, se mejora la seguridad operativa del equipo de seguridad.

Claims (6)

  1. REIVINDICACIONES
    1. Equipo de seguridad (10) para la compartimentación entre el primer y el segundo dominios (1, 2), que comprende:
    5
    - una capa de hardware (20), que comprende un medio de cálculo, un medio de memorización, y un primer y segundo medios de interfaz (21, 22) con dichos primer y segundo dominios;
    - una capa de virtualización (30) de la capa de hardware, que comprende un núcleo y un hipervisor;
    - una capa de aplicación (38) que comprende:
    10 - un primer componente de interfaz (42) para intercambiar datos con el primer dominio, siendo el primer componente de interfaz (42) del tipo componente del sistema operativo que integra un sistema operativo enriquecido, en el sentido de que se implementan por defecto numerosas funcionalidades y que no es posible certificarlo, comprendiendo el sistema operativo en particular un controlador nativo;
    - un segundo componente de interfaz (62) para intercambiar datos con el segundo dominio, siendo el segundo 15 componente de interfaz (62) del tipo componente del sistema operativo que integra un sistema operativo
    enriquecido, en el sentido de que se implementan por defecto numerosas funcionalidades y que no es posible certificarlo, comprendiendo el sistema operativo en particular un controlador nativo;
    - un componente de seguridad (50) que forma una celda de intercambio de datos entre el primer y el segundo componentes,
    20
    caracterizado porque al menos un componente de interfaz entre el primer y segundo componentes de interfaz está asociado con un componente de controlador (41, 61), siendo el componente de controlador del tipo componente de aplicación que es posible certificar, realizando el núcleo una partición espacial tal que solo el componente de controlador tiene acceso exclusivo a un espacio de almacenamiento del medio de memorización asignado al medio 25 de interfaz correspondiente (21, 22),y el componente de controlador (41, 61) y el componente de interfaz intercambian datos por medio de un espacio de memoria compartida (44, 64) del medio de memorización, siendo el componente de controlador (41, 61) un componente de tipo "PROXY" capaz de actuar por cuenta del componente de interfaz,
    de tal manera que, en una primera dirección de intercambio de datos, una función del componente de interfaz, 30 llamado por el controlador nativo del sistema operativo, escribe un dato en el espacio de memoria compartida con el componente del controlador y el componente del controlador lee los datos escritos en el espacio de memoria compartida y lanza una función correspondiente para escribir en el espacio de almacenamiento del medio de memorización asignado al medio de interfaz correspondiente (21, 22); y en una segunda dirección de intercambio de datos, el componente de controlador apela una función que requiere la lectura de datos escritos en el espacio de 35 almacenamiento del medio de memorización asignado al medio de interfaz correspondiente (21, 22) y escribe el dato correspondiente en el espacio de memoria compartida con el componente de interfaz, y el componente de interfaz llama a la función correspondiente del controlador nativo y lee el dato ubicado en el espacio de memoria compartida, y por que el componente de controlador (41, 61) implementa aplicaciones de servicio para controlar el flujo de datos que pasa a través del componente de controlador.
    40
  2. 2. Equipo de seguridad según la reivindicación 1, caracterizado porque el componente de interfaz (42, 62) y el componente de controlador asociado (41, 61) se ejecutan juntos en la misma partición temporal.
  3. 3. Equipo de seguridad según la reivindicación 1, caracterizado porque el componente de interfaz (42, 45 62) y el componente de controlador asociado (41, 61) se ejecutan por separado en dos particiones temporales.
  4. 4. Equipo de seguridad según una cualquiera de las reivindicaciones 1 a 3, caracterizado porque el núcleo de la capa de virtualización (30) es un núcleo de separación.
    50 5. Equipo de seguridad según una cualquiera de las reivindicaciones 1 a 4, caracterizado porque el
    componente de seguridad (50) realiza un intercambio de datos del tipo de diodo, medios criptográficos o filtro.
  5. 6. Equipo de seguridad según una cualquiera de las reivindicaciones 1 a 5, caracterizado porque el componente de seguridad (50) realiza un intercambio de datos de tipo diodo entre un espacio de almacenamiento de
    55 entrada (51) en el lado del primer dominio (1) y un espacio de almacenamiento de salida (52) en el lado del segundo dominio (2).
  6. 7. Equipo de seguridad según una cualquiera de las reivindicaciones 1 a 6, caracterizado por que el primer componente de interfaz está asociado con un primer componente de controlador y el segundo componente
    de interfaz está asociado con un segundo componente de controlador.
ES14200267.4T 2013-12-24 2014-12-24 Equipo de seguridad para la compartimentación entre un primer y segundo dominios, que comprende un componente de controlador Active ES2667674T3 (es)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
FR1303074A FR3015837B1 (fr) 2013-12-24 2013-12-24 Equipement de securite de cloisonnement entre des premier et seconddomaines, comportant un composant de pilote
FR1303075 2013-12-24
FR1303075A FR3015727B1 (fr) 2013-12-24 2013-12-24 Equipement de securite de cloisennement entre des premier et second domaines, augmente d'une fonctionnalite
FR1303074 2013-12-24

Publications (1)

Publication Number Publication Date
ES2667674T3 true ES2667674T3 (es) 2018-05-14

Family

ID=52103239

Family Applications (1)

Application Number Title Priority Date Filing Date
ES14200267.4T Active ES2667674T3 (es) 2013-12-24 2014-12-24 Equipo de seguridad para la compartimentación entre un primer y segundo dominios, que comprende un componente de controlador

Country Status (3)

Country Link
EP (1) EP2889803B1 (es)
ES (1) ES2667674T3 (es)
NO (1) NO2889803T3 (es)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7607167B1 (en) * 2005-06-27 2009-10-20 Rockwell Collins, Inc. Secure gateway/router
FR2939540B1 (fr) * 2008-12-05 2011-01-07 Thales Sa Equipement de securite
DE102012105068A1 (de) * 2012-06-12 2013-12-12 Eads Deutschland Gmbh Beschleunigungseinrichtung mit Unterstützung für virtuelle Maschinen

Also Published As

Publication number Publication date
NO2889803T3 (es) 2018-07-21
EP2889803A1 (fr) 2015-07-01
EP2889803B1 (fr) 2018-02-21

Similar Documents

Publication Publication Date Title
EP3556081B1 (en) Reconfigurable server
EP3555788B1 (en) Secure execution environment on a server
US9076017B2 (en) Hardware virtualization module for exclusive controlled access to CPU
US10860374B2 (en) Real-time local and global datacenter network optimizations based on platform telemetry data
ES2428822T3 (es) Traducción de direcciones de entrada/salida a direcciones de memoria
US10972449B1 (en) Communication with components of secure environment
US9323686B2 (en) Paging in secure enclaves
US10846251B1 (en) Scratchpad-based operating system for multi-core embedded systems
ES2615860T3 (es) Sistema y procedimiento de aseguramiento de un ordenador que incluye un micronúcleo
US10911405B1 (en) Secure environment on a server
ES2966715T3 (es) Espacio de direcciones virtuales de anfitrión para un almacenamiento de control de interfaz segura
ES2975041T3 (es) Etiquetado de hardware de almacenamiento seguro de control de interfaz segura
WO2015010584A1 (en) Operating system virtualization for host channel adapters
CN109691028A (zh) 用于容器的设备虚拟化
US20110161644A1 (en) Information processor
TW201621678A (zh) 特權等級指出技術
ES2667674T3 (es) Equipo de seguridad para la compartimentación entre un primer y segundo dominios, que comprende un componente de controlador
US20210051083A1 (en) Method and system for packet inspection in virtual network service chains
US9703742B2 (en) Unified device interface for a multi-bus system
CN107992444B (zh) 用于在处理单元之间交换数据的通信架构
US9535859B2 (en) Sharing message-signaled interrupts between peripheral component interconnect (PCI) I/O devices
US20190042800A1 (en) Technologies for authenticated usb device policy enforcement
EP3899729B1 (en) Storing microcode for a virtual function in a trusted memory region
CN106201664B (zh) 具应用程序信息感知的数据处理方法以及系统
CN110678866B (zh) 子系统防火墙