專利名稱:實施需要不同安全級別或責任限制的功能的多用途數據的自動處理的制作方法
技術領域:
本發明涉及數據處理系統,尤其是飛行器信息系統的數據,更特別涉及用于多用途數據的自動處理的軟件組件和裝置,其實施需要不同安全級別或責任限制的功能。
背景技術:
自從2001年9月11日與商業飛機撞擊有關的悲劇事件以來,安全成為今后航空業的主要問題。針對該問題,制造商和航空公司開發和納入了ー些g在提高飛行器機上安全的功能。 例如,已經開發了加固的駕駛艙門和內部視頻監控系統。同樣,機載信息系統從此也受到防止惡意損害的保護。另外,為了保持飛行器零件的安全級別,航空公司具有實施技術性和組織性措施的規定責任,如確定飛行器交付的安全級別。這些規定責任只覆蓋物理安全性,而不是邏輯安全性。但是,由于該規定責任,某些航空公司要求飛行器制造商可以將安全功能納入到航空公司的操作過程中。另外,某些航空公司要求飛行器制造商使有關的操作功能和安全功能與商業硬件和軟件相容而不是專門針對航空。一般說來,數據自動處理系統,也稱為STADs,可以在航空環境中用于包括操作和/或通訊軟件應用程序,即像工具箱,使操作人員例如飛行員和副駕駛以及技術員和維修隊可以完成它們的某些任務。這些工具箱還可以為其它用途開放。特別是,航空公司可以決定在其中安裝它自己的行業或辦公應用程序。工具箱不是安全功能,即它們的作用不是保證安全,而是可以實現操作任務。在STADs中實施的操作軟件應用程序所使用的數據可以是下載的、計算的、顯示的和/或傳輸的。由于前面提到的安全約束,在數據的保密性、完整性和/或可用性方面有很強的安全要求。但是,當必須遵守一安全目標時,很難使功能和敏感的數據與能夠向外通信并基于商業軟件和硬件的功能性共存。
發明內容
本發明可以解決上述問題中的至少ー個。因此,本發明的目的是用于多用途數據的自動處理的計算機的軟件組件,所述軟件組件實施需要不同安全級別或責任限制的功能,并且包括一多個虛擬機,每個虛擬機用于執行需要ー預先確定的安全級別或責任限制的至少ー個功能;和一用于控制所述多個虛擬機的執行的管理程序。因此,根據本發明的軟件組件可以在同一機器中實施ー些具有不同安全級別和責任限制的功能,而與飛行器上使用的信息系統的硬件平臺和結構無關。因此,實施的軟件應用程序的編輯者不再依賴開發系統的進化,并掌握了這些應用程序的生命周期。因此,可以根據硬件相容性列表在市場上銷售的移動的STAD上實施該軟件組件。由于責任限制是清楚識別的,可以接受提供者和使用者的軟件應用程序。這種STAD可以與飛行器或使用者連接。與移動或不移動的單用途設備相比,使用根據本發明的軟件組件不增加維修要求。它保證操作數據的完整性的良好隔離級別和安全級別。針對實施的商業產品缺乏可靠性,本發明的軟件組件可以相對獨立地控制不同功能之間的資源分配。有利的是,所述管理程序包括用于認證所述多個虛擬機中的至少ー個虛擬機的認證部件,以便尤其是控制傳輸數據的有效性。同樣,所述認證部件優選地能夠驗證所述至少ー個被認證的虛擬機的完整性。 另外,所述認證部件優選地能夠驗證所述至少ー個被認證的虛擬機相對于所述多個虛擬機中的至少另ー個虛擬機的隔離級別,以便尤其是控制對其它虛擬機的傳輸數據的有效性。根據ー特殊實施例,所述軟件組件另外包括由所述多個虛擬機中的至少ー個虛擬機處理的數據的存儲部件,所述存儲部件能夠將所述處理數據儲存在所述計算機的可移動存儲器中。因此,本發明的軟件組件可以儲存可信級別不確定的數據,而不損害可信級別。這些數據儲存部件優選地由所述多個虛擬機中安全級別低于預定閾值的虛擬機來實施。還是根據ー特殊實施例,所述軟件組件另外包括檢驗由所述多個虛擬機中至少ー個虛擬機處理的至少ー個數據的可信級別的檢驗部件,所述至少一個處理的數據只在被檢驗后,才被本地儲存在所述計算機中。因此,本發明的軟件組件可以只在本地儲存可信級別確定的數據,以便不損害可信級別。還是根據ー特殊實施例,所述軟件組件另外包括在所述多個虛擬機中的第一虛擬機和第二虛擬機之間傳輸數據的傳輸部件。如果所述第二虛擬機的安全級別高于所述第一虛擬機的安全級別,則所述傳輸部件能夠過濾傳輸的數據,以便使交換的數據有效,尤其是根據它們的類型或訪問這些數據的需要。還是根據ー特殊實施例,用于啟動所述多個虛擬機中至少ー個虛擬機的配置(configuration)數據在啟動的所述至少一個虛擬機的執行過程中不改變,以便于軟件組件的維護,并且允許從ー穩定和有效狀態重新啟動該軟件。本發明的目的還在于ー種裝置,該裝置包括能夠實施上述軟件組件的每個元素的部件,其優點與上面提到的優點類似。
通過下面參照附圖作為非限定例子的詳細描述,可以了解本發明的其它優點、目的和特征,圖中ー圖I示意示出可以使用實施本發明的多用途數據自動處理系統的環境的例子;ー圖2示出根據本發明的多用途數據的自動處理系統的架構的例子;ー圖3示意示出機器中執行的某些功能的調配的例子;—圖4示意示出用于分析與要在同一 STAD中執行的功能有關的風險的某些實施步驟;ー圖5示意示出用于將在STAD中實施的軟件應用根據它們調用的功能在虛擬機中分配的算法的例子ー圖6示出能夠至少部分地實施本發明的裝置的例子。
具體實施例方式本發明尤其可以用單一安全的并優選地是移動的STAD替代現在用于維護和任務的移動或固定的單用途數據自動處理系統(STAD)。圖I示意示出可以在其中使用實施本發明的多用途自動數據處理系統的環境100的例子。根據該例子,飛行器110中的機組成員可以使用STAD 105,例如用于執行飛行管理的軟件應用。維修隊可以使用同一 STAD 105或類似的STAD 115,以便讀取飛行器110的維修數據,并且/或者更新飛行器的數據或軟件應用。另外,可以在航空公司的辦公室125中使用同一 STAD 105或類似的STAD 120,例如用于飛行準備。與此類似,它的擁有者可以從例如酒店的接入網135使用同一 STAD 105或類似STAD 130,以訪問辦公應用或其電子郵箱。這里應指出的是,圖I所示的例子只是作為例子給出。它們不是限定性的。為了可以在單一 STAD上實施需要不同安全級別的功能,而不影響這些功能中的每ー個的安全性,將幾種技術結合。因此,STAD的操作應用、辦公應用、和個人應用,以及更普遍地在STAD中實施的所有功能根據安全級別的需要并優選地通過責任包括在STAD中實施的多個虛擬機中。這里要提到的是,虛擬機提供具有其自己的配置特征特性的執行環境。換句話說,兩個虛擬機可以看作是兩個獨立的物理機器。每個虛擬機運行其操作系統、其驅動程序、其軟件應用、其管理和數據交換的配置。虛擬機制尤其可以借助管理程序在真實機器上運行多個虛擬機。管理程序負責分配真實機器的資源,和應用訪問資源的控制規則。例如,在虛擬機之間分配的資源為CPU (中央處理器)的計算能力、通訊通道、硬件和軟件開關、輸入/輸出端ロ、存儲器、時鐘、總線系統、控制器和/或大容量存儲器。本發明的基礎是使用用于根據預先確定的規則管理虛擬機的個人化的標準管理程序。這里使用的虛擬化是硬件虛擬化,例如是完全虛擬化,管理程序根據該虛擬化管理虛擬機的所有請求,或是類虛擬化,虛擬機根據該虛擬化直接管理某些請求。根據ー特殊實施例,能夠進行實時虛擬化的軟件工具用于使它們在性能和安全級別上受益。另外觀察到,對機載系統,虛擬化允許優化實施的信息硬件的比重,該信息硬件包括服務器、交換機和電纜,并且也減少耗電,以及簡化開發和維護過程,這在航空環境中是特別有利的。圖2示出根據本發明的STAD的架構的例子,該架構在具有不同安全級別的環境中使用足夠可靠。如圖所示,這里STAD 200包括硬件層205。例如,該層相當于便攜式個人計算機(筆記本電腦)、PDA (個人數字助手)、或智能電話的硬件層。硬件層應該是可信的,它可以由PC型開放平臺構成,通過使用稱為TPM(可信平臺模塊)的認證模塊提高它的可信級別。其指的是由可信計算組(Trusted Computing Group)定義的密碼硬件部件。硬件層205允許運行包括管理程序的軟件層。它可以運行多個不同的虛擬機,例如標號分別為 215-1、215-2、215-3、和 215-x 的虛擬機 MV1、MV2、MV3、和 MVx。第一虛擬機,這里是虛擬機215-1,具有特殊的作用和權限。這就是作為用于平臺維護和配置的訪問ロ的管理機器。它在這里使用操作系統0S1。還是根據該例,虛擬機215-1包括存儲空間或大容量儲存器和通訊接ロ,記作I/O (輸入/輸出)。 第二虛擬機,這里是虛擬機215-2,允許STAD與最敏感的信息系統即飛行器的信息系統連接。與該虛擬機有關的顯示可以引向STAD的屏幕或飛行器的專門屏幕,例如根據客戶端/服務器類型的標準用戶圖形界面。這里虛擬機215-2使用操作系統0S2和輸入/輸出接ロ,該接ロ允許通過駕駛艙接待站(station d’accueil)類型的連接與飛行器信息系統交換數據。虛擬機215-2允許執行操作應用。它適于準確確定該環境中具備的外部設備,以及為保證要求的安全級別的
管理權限。第二虛擬機,這Jl是虛擬機215-3,允許STAD與不太敏感的"[目息系統連接,這Jl是與飛行器信息系統不同的系統。作為示例,虛擬機215-3允許使STAD訪問開發STAD的企業的內部網絡或互聯網,例如訪問ー酒店的WiFi接入端。與虛擬機215-3有關的風險高于虛擬機215-1和215-2的風險,因為它向可能是危害源(source de compromission)的環境開放。因此,該虛擬機可能是惡意軟件的目標。另外,由于該虛擬機中實施的軟件應用和驅動程序默認是標準軟件,因此其具有已知潛在的缺陷。另外,開發STAD的設計者和/或公司可以決定建立一個或多個其它虛擬機215-x,以滿足特殊需要。作為示例,虛擬機215-x可以用于執行需要與虛擬機215-2的安全級別相同但提供者與虛擬機215-2執行的應用的供應者不同的軟件應用。因此,通過根據要求的安全級別和責任將軟件應用的執行環境分開,就可以使用単一 STAD。有利地,在STAD啟動時,執行級別限制在在使用者空間中,以便使管理權限不可被訪問。另外,連接標志(banni社e)優選地為未激活,以阻止使用者從虛擬層出來。因此,他只能訪問虛擬機。還是以有利的方式,啟動接觸序列為未激活。另外,如果將硬件虛擬化的功能性植入到STAD的處理器中,該功能性將設置為不降低期望的安全級別。啟動STAD時,或激活STAD時,例如監視(mise en veille)后,使用者被認證。這里通過管理程序實施這種認證。對虛擬機的訪問取決于該認證。因此,例如,駕駛員或副駕駛員(copilote)可以訪問植入到STAD上的所有虛擬機,用于配置STAD的管理虛擬機除外,而維護技術員可以訪問該管理虛擬機。虛擬機可以自動或根據使用者的請求啟動STAD的運行。可以根據使用者的需要獨立地啟動和停止每個虛擬機。使用者可以根據標準機制,例如通過圖形界面從ー個虛擬機過渡到另一虛擬機。根據ー特殊實施例,根據如在虛擬機中執行的虛擬機的安全級別的某些參數,配置在虛擬機中實施的功能。
圖3示意示出根據功能的類型(步驟300),根據參數調配在虛擬機中執行的某些功能的例子。因此,例如,對允許傳輸數據的通訊功能,虛擬機或它們之中的某些,從認證階段經過,用干與STAD外部的某些系統連接(步驟305),例如與飛行器的信息系統連接。在虛擬機啟動和/或數據交換時通過管理程序實施該認證階段,該階段包括以下步驟一根據標準認證機制認證虛擬機(步驟310);一通過檢查例如多個安全指標,如最新更新的日期和操作系統,驗證虛擬機的完整性(步驟315);和一根據實施的功能驗證虛擬機相對于其它虛擬機的隔離級別(步驟320)。該步驟允許驗證當虛擬機與飛行器的系統連接時,沒有任何虛擬機可以例如通過用戶接ロ或網絡與要求驗證的虛擬機互動。可選地,該步驟可以在于驗證遵守預先確定的通訊規定。
因此,只有在虛擬機的認證后才能有效進行數據傳輸(步驟325),使虛擬機不能向外部系統傳輸錯誤數據。同樣,虛擬機之間的數據傳輸受到控制,以保證要求的安全級別。實際上,盡管為了責任限制或不同的安全級別的需要,已經將虛擬機隔離,但是某些功能可能需要虛擬機之間的數據傳輸,因此需要通訊通道的參數選擇。因此,產生一引進功能,以便可以使向具有高于源虛擬機(圖3記作MV*)的安全級別的安全級別虛擬機傳輸的數據有效。該功能的原理尤其是根據數據的類型過濾數據(步驟330),并保證只有期望的數據(步驟335)通過開放的通訊通道傳遞(步驟325)。但是,使用者仍控制有效性,即數據從一虛擬機向另一具有更高安全級別的虛擬機的有效傳遞的有效性。為了改進STADs的維護操作,優選地實施稱為快照(snapshots)的瞬時照相機制。瞬時照相功能允許在給定時刻儲存與一虛擬機有關的所有數據,使虛擬機以后能夠重新啟動,并重新設置,以便虛擬機重新處于數據以照相形式儲存時所處的狀態。該功能可以被使用者激活,或根據預先確定的周期自動激活,例如每周或毎月,或響應于特殊事件。另外,為了保證STADs的安全級別,在每個虛擬機中建立管理數據寫入的特別機制。這里該機制的基礎是寫入時的圖象復制功能,稱為copy-onirite,以及禁止將某些數據寫到STAD的大容量存儲器中的功能。根據寫入時復制圖象的功能,虛擬機啟動時使用的所有數據都被復制,并且只有該復制被虛擬機使用。因此,虛擬機的每個下次啟動時,上次啟動時使用的相同數據被使用,即使這些數據后來已改變。這些功能的結合允許保證安全級別,同時避免STADs需要比標準設備更多的維護。實際上,如果一虛擬機受到損害,只需從穩定狀態實施的瞬時照相恢復虛擬機,以便重新得到功能系統。有利的是,為了不破壞平臺,根據虛擬機的安全級別,只有必要的操作允許將數據寫到STAD的大容量儲存器中(步驟340)。例如,只有操作數據和明確識別的用戶數據可以儲存到STAD中。另外,如果虛擬機的安全級別高,那么只有可信級別經過驗證的數據可以儲存到STAD中(步驟345和350)。該驗證在于例如使數據的完整性或來源有效,或驗證數據產生的環境。但是,即使這些數據可以儲存到STAD中,它們優選地儲存在可移動載體例如SD卡或U盤中,以便于更換STAD,而避免數據回收步驟。可信級別沒有經過驗證的數據可以儲存到這樣的可移動載體中(步驟355)。對使用者從安全級別低、即安全級別低于預先確定閾值的虛擬機收集的數據進行特別處理,例如當虛擬機可以訪問互聯網,并因此接收郵件、應用和cookies時,或者當外部設備如外部儲存設備可以與STAD連接吋。在這種情況下,由于操作和安全的原因,這些數據只能儲存在可移動載體中,如SD卡或U盤中(步驟355)。如前面指出的,這里每個虛擬機與預先確定的安全級 別需求相對應,應用例如操作應用、辦公應用和使用者的個人應用根據應用調用的功能按安全級別的需要分布在多個虛擬機中。因此,為了得到令人滿意的總的安全級別,通過考慮尤其是良好的使用、嚴格需要的驅動軟件、和支持STAD功能的通訊部件精確設置管理程序和虛擬機是很重要的,以便盡可能減小攻擊面(surface d’ attaque),因此不降低安全級別。圖4示意示出用于分析與要在同一 STAD上執行的功能有關的風險而實施的某些步驟。這些風險允許確定應植入到STAD中的虛擬機,和這些功能在使用的虛擬機中的分布。該分析尤其在于確定執行功能的參數,特別地,以便確定可以使用的通訊接ロ、使用的操作系統和處理數據的來源。這些參數可以確定能夠實施功能并確定安全級別的虛擬機參數的特性。需要指出的是,安全級別也可以與一功能直接有關,例如如果該安全級別是強制的。第一步驟(步驟400)的目標是背景分析,以確定可以評估每個功能的風險的參數。這里評估在失去保密性、完整性、可用性或真實性情況下評估出的風險,為了評估風險而可能考慮的參數尤其可以是以下參數—信息對商業活動的戰略價值;一信息對財產和人員安全的關鍵性;ー規章和合同義務;一處理信息的保密性、完整性、真實性和可用性的操作重要性;及一接受方的期待和感覺以及在品牌形象上的結果。這些參數用于建立評估網,該評估網確定每個已鑒別風險的區域。例如,該網可以包括對應于低風險、中風險和高風險的三個區域。優選地預先確定與每個區域有關的處理,該處理尤其是允許在實施前識別功能的風險,以便可以比較和重現結果。換句話說,步驟400可以在在STAD中實施功能前建立功能的分析背景,用于滿足特殊需要。在第二步驟(步驟405)中,識別風險。這里在已經確定要保護的財產清單并且已經識別責任后,識別潛在威脅以及這些威脅的矢量(vecteur)和已經實施的緩和手段(moyensde mitigation)。要指出的是,使用的清單應足夠詳細,以便可以作出關于安全級別需求的決定。在下一步驟中(步驟410),在采用易損性和進攻的概率的情況下,通過交叉前面得到信息與已知的易損性以及結果的類型和水平評估風險。該步驟特別允許根據操作背景對給定風險評估可能的結果,并建立功能可能承受的風險清単。
最后,在下ー步驟(步驟415),利用前面建立的網和相關處理對每個功能評估風險水平。可以根據得到的結果決定用ー執行變量重新進行風險分析過程(重復步驟400-415),以便例如通過強加補充約束來減小與一功能有關的風險。參照圖4描述的用于應包括在STAD中的功能的步驟可以確定每個功能的安全級別要求。可能與責任指標結合的這些結果可以確定組合在同一虛擬機中的功能。如前面指出的,使用責任指標可以確定功能或應用植入到STAD中的不同成員之間的責任限制。例如,可以對每個成員確定一虛擬機,使每個成員對它的部分負責。因此,作為示例,可以按照下面的方案實施四個虛擬機一虛擬機F1,用于執行需要高安全級別的應用。該虛擬機與其它虛擬機隔離,以便允許遵循提供者I的責任;
一虛擬機F2,用于執行需要高安全級別的應用。該虛擬機與其它虛擬機隔離,以便允許遵循提供者2的責任;一虛擬機F3,用于執行需要中等安全級別的應用;和一虛擬機F4,用于執行需要低安全級別的應用。需要指出的是,安裝時由管理程序創建的用于管理其它虛擬機的管理虛擬機具有純技術用途,而不是操作用途。訪問其它機器的使用者權限特別地是從該虛擬機管理。圖5示意示出用于將在STAD中實施的軟件應用根據它們調用的功能在虛擬機中分布的算法的例子。變量i表示在STAD中實施的軟件應用的索引,變量j表示具有索引i的應用調用的功能的索引,這些變量初始化為值I (步驟500)。確定具有索引i的應用所調用的功能(步驟505)。這里它們以表的形式儲存在數據庫510中。然后確定索引為i的應用的安全級別需求,稱為BNS(i),為索引為j的功能的安全級別需求,稱為BNS(j)(步驟515)。然后進行測試(步驟520),用于確定索引j的值是否對應于索引為i的功能所調用的功能的數量。在肯定的情況下,索引j増加I (步驟525),并進行另ー測試(步驟530),以確定索引為j的功能的安全級別需求(BNS(j))是否高于索引為i的應用的安全級別需求(BNS(i))。在肯定的情況下,將索引為i的應用的安全級別需求(BNS(i))確定為索引為j的功能的安全級別需求(BNS(j))(步驟535)。然后在步驟520繼續該算法。如果索引j的值與索引為i的功能所調用的功能的數量相對應,則使索引為i的應用與安全級別對應于BNS (i)的虛擬機相關聯(步驟540)。這里該信息儲存在數據庫545中。然后使索引i的值與STAD實施的應用數比較,以確定所有應用是否已與一虛擬機相關聯(步驟550)。在肯定的情況下,過程結束。在相反情況下,索引i増加1,并重復前面的步驟(步驟505-550)。如前所述,可以產生互相獨立的虛擬機,以便使它們可以根據特殊需要集合在管理程序內。另外,該實施例使不同成員可以根據需要集合它們的應用。由于負責一個或多個虛擬機,因此每個成員可以提供運行安全方面的保證。因此,利用STAD的架構和上述算法,應用提供者可以交付包括它的應用的ー個或多個虛擬機,并告知將建議的軟件平臺(在虛擬化的基礎上)安裝在STAD上的操作模式。STAD也可和管理程序或預先安裝的一個或多個虛擬機一起提供。另外,如前面指出的,用戶可以使用U盤或SD卡儲存資料(PTOfil)和用戶數據,如郵箱用戶名、cookies和瀏覽器收藏夾,以及連接腳本(scripts)。以這種方式,STAD是可以互換的,并且可以以機隊方式(en flotte)管理。有利的是,對STADs能夠與之連接的飛行器的所有用途和所有類型通用的軟件庫安裝在STADs的機隊上。然后安裝與使用和/或飛行器類型對應的ー個或多個虛擬機。設置結束時,產生ー個或多個參考圖象,以便可以在使用STAD時設置STAD。另外,使用者可以恢復這些參考圖象,而不求助于技術員 。作為示例,這里考慮名字為電子飛行包(EFB)的已知工具箱。這指的是飛行員和他的副駕駛準備執行任務的工具箱。EFB不是具有高安全級別的應用。主要存在以下方式定義的三級EFB :一一級任務數據從地面加載在便攜式STAD中。STAD帶到飛行器上,但是其不與機上的信息系統連接。數據只在著陸后與地面交換;一二級涉及與飛行員連接的標準便攜式STAD。STAD與地面特別是航空公司和機場交換數據,并在整個飛行階段與飛行器的信息系統交換數據;和一三級STAD與駕駛艙連在一起,并且可以訪問要求高驗證級別的關鍵系統。因此,ニ級EFB可以由根據本發明的STAD管理。在這種情況下,EFB的提供者給用戶交付操作應用或操作應用的一部分。提供者向用戶告知相容系統的清單和管理程序的最小配置,或將STAD與管理程序和預先安裝的虛擬機一起交付。在初始準備階段,用戶根據操作應用和收到的配置數據準備虛擬機。用戶還準備允許實施企業專用應用如郵箱應用的虛擬機。因此,信息技術員可以利用創建的虛擬機安裝STAD的管理程序,則管理程序允許使用企業的信息工具、EFB的功能,和可能的其它功能。為了使STAD可以互換,使用者的數據優選地儲存在可移動存儲卡上,例如SD型卡,而不是儲存在STAD的內部盤上。使用時,當在一虛擬機例如與一互聯網站連接的虛擬機上檢測出危害吋,使用者可以通過利用最近的相關參考圖象重新啟動虛擬機,而不求助于技術人員。同樣,在STAD硬件故障的情況下,技術員回收使用者的存儲卡,并將卡插入到機隊的另一 STAD中。他不需要使該STAD個性化,也不需要復制使用者的數據。圖6示出適于實施本發明的硬件架構的例子。這里裝置600包括通訊總線605,總線605與以下裝置連接一中央處理器或微處理器610 (CPU);一可以包括實施本發明所需程序的只讀存儲器615 (ROM);一隨機存取存儲器或緩存存儲器620(RAM),該存儲器包括能夠記錄在上述程序的執行過程中創建和改變的變量和參數的寄存器;和一能夠發送和接收數據的通訊接ロ 650。裝置600優選地還擁有以下元件一可以查看如指令表達的數據并作為與使用者的圖形界面的屏幕625,使用者可以借助鍵盤和鼠標630或其它點擊裝置如觸摸屏或遙控器與根據本發明的程序互動;
一可以包括根據本發明的上述程序和處理后或待處理數據的硬盤635 ;和一能夠接納存儲卡645并且在上面讀或寫根據本發明的已處理數據或待處理數據的存儲卡的讀取器640。通訊總線可以在包括在裝置600中的或與裝置600連接的不同元件之間通訊和互操作。總線的表示不是限定的,尤其是中央處理器可以直接或通過裝置600的其它元件給裝置600的所有元件發出指令。允許可編程裝置實施根據本發明的過程的每個程序的可執行代碼可以儲存在例如硬盤635中,或者儲存在只讀儲存器615中。根據ー變型,存儲卡645可以包含數據,特別是檢測出的事件和可以被激發的指令之間的對應表,以及一旦被裝置600讀取就儲存在硬盤635中的上述程序的可執行代碼。 根據另ー變型,程序的可執行代碼可以至少部分通過接ロ 650接收,以便以和前面描述的相同方式儲存。更普遍的是,一個或多個程序可以在執行前加載在裝置600的儲存部件之一中。中央處理器610將控制并引導根據本發明的程序的指令或軟件代碼部分的執行,指令儲存在硬盤635上或只讀存儲器615中或上述其它存儲元件中。當施加電壓時,儲存在非易失存儲器、例如硬盤635或只讀儲存器615中的程序被傳輸到包含根據本發明的程序的可執行代碼的隨機存取存儲器620、以及用于儲存實施本發明所需變量和參數的寄存器中。當然,為了滿足特殊需要,本領域的技術人員可以在上述描述中進行修改。
權利要求
1.用于適于多用途數據的自動處理的計算機的軟件組件,該軟件組件的特征在于,它實施ー些需要不同安全級別或責任限制的功能,并且它包括 -多個虛擬機(215),每個虛擬機適于執行需要ー預先確定的安全級別或責任限制的至少ー個功能,至少ー個所述的功能根據在其中執行該功能的虛擬機的參數進行調整;及 -適于控制所述多個虛擬機的執行的管理程序(210)。
2.如權利要求I所述的軟件組件,其中,所述管理程序包括認證部件,用于認證(310)所述多個虛擬機中的至少ー個虛擬機。
3.如權利要求2所述的軟件組件,其中,所述認證部件適于驗證所述至少ー個被認證的虛擬機的完整性(315)。
4.如權利要求2或3所述的軟件組件,其中,所述認證部件適于驗證所述至少ー個被認證的虛擬機相對于所述多個虛擬機中的至少另ー個虛擬機的隔離級別(320)。
5.如上述權利要求之任一項所述的軟件組件,它另外包括由所述多個虛擬機中的至少一個虛擬機處理的數據的存儲部件,所述存儲部件適于將被處理的數據儲存在所述計算機的可移動存儲器上(355)。
6.如權利要求5所述的軟件組件,其中,所述數據存儲部件由所述多個虛擬機中安全級別低于預定閾值的虛擬機來實施(340)。
7.如上述權利要求之任一項所述的軟件組件,它另外包括檢驗由所述多個虛擬機中至少ー個虛擬機處理的至少ー個數據的可信級別的檢驗部件(345),所述至少一個處理的數據僅在其已經被檢驗后,才能夠被本地存儲(350)在所述計算機中。
8.如上述權利要求之任一項所述的軟件組件,它另外包括在所述多個虛擬機中的第一虛擬機和第二虛擬機之間傳輸數據的傳輸部件,如果所述第二虛擬機的安全級別高于所述第一虛擬機的安全級別,所述傳輸部件適于過濾(330、335)傳輸的數據。
9.如上述權利要求之任一項所述的軟件組件,其中,用于啟動所述多個虛擬機中至少一個虛擬機的配置數據在啟動的所述至少一個虛擬機的執行過程中不改變。
10.包括適于實施如上述權利要求之任一項所述的軟件組件的每個元素的部件的裝置。
全文摘要
本發明尤其涉及用于多用途數據的自動處理的軟件組件,該軟件組件實施需要不同安全級別或責任限制的功能。本發明的軟件組件包括多個虛擬機(215),每個虛擬機適于執行需要一預先確定的安全級別或責任限制的至少一個功能,還包括適于控制所述多個虛擬機的執行的管理程序(210)。
文檔編號G06F21/00GK102656559SQ201080041951
公開日2012年9月5日 申請日期2010年7月28日 優先權日2009年7月28日
發明者P·比翁迪, S·韋爾芒德 申請人:空中客車公司