测试驻留在虚拟化平台上的集成独立安全等级组件的制作方法

测试驻留在虚拟化平台上的集成独立安全等级组件的制作方法
【技术领域】
[0001]本发明总体上涉及测试驻留在虚拟化平台上并且特别地驻留在嵌入式基础设施中的集成独立安全等级组件。
【背景技术】
[0002]在大部分工业领域，不同的系统常具有彼此互相通信的不同的应用以实现一项任务。每个应用可以被看作一组功能并且每个功能是有助于执行该应用所要实现的任务的一部分的一个软件。例如，在车辆或航空器中许多不同类型的装备需要通过通信系统来彼此交换数据以实现对车辆或航空器的操纵。
[0003]由于计算资源当前不断增长的效率，趋势包括将若干个应用或功能放在同一计算机平台上以使用该平台所提供的全部计算能力和存储器存储容量。这使得能够避免浪费未使用资源并因此降低了生产成本和系统的总重量，这在用于航空器、卫星或交通工具的嵌入式基础设施中特别有利。然而该架构具有促使传播错误的缺点。因此，设置安全构件以防止在系统的一个部分上的任何设计错误或实现错误影响系统的其他部分。还需要保护系统不受来自系统内部的有意的恶意攻击的影响。
[0004]该困难可以通过现有的安全架构解决，诸如依据关于执行环境的严格的隔离性质以及严格的通信路径构建的MILS (多重独立安全等级)。
[0005]具体地，从各种或多或少松散耦合的子功能的组合中实现计算机系统的功能。为了设计MILS计算系统，这种松散耦合组件的方法是有价值的。实际上，将复杂的系统分成小的组件允许限定关于这些组件的要求并在本地强化它们的正确且安全的实现。为了再次实现复杂的功能，组件被一起放在同一硬件平台上。通常特殊的操作系统(例如，分离内核)为组件提供称为分区的隔离的运行时环境。分离内核实现了在平台的不同组件之间的无干扰性质。为了仍允许在分区之间通信，分离内核还提供了用于分区间通信的特定的通道。这些通信通道被控制并且通过全系统信息流策略增强流过这些通信通道的信息流。分离的构思以及控制在分离的组件之间的信息流的构思两者都是MILS系统的主要性质。
[0006]图8示意性地图示了包括根据现有技术的MILS组件103a-103e的MILS系统101的示例。
[0007]MILS组件103a_103f包括应用分区103a_103d，I/O分区103e以及外部通信接口103fo不同组件经由底层分离内核的通信通道107在一起操作以最终达到系统的目的。不同的组件经由预先限定的通信路径通信。在MILS系统中存在可被区分的三种不同类型的通信路径。这些路径包括外部通信接口，分区间通信接口以及经由I/O分区的通信接口。在分区和外部通信接口 103f之间的通信可以经由设备驱动器109实现。
[0008]目前，MILS系统最初在其开发期间被测试，并且随后通过借助外部接口观察其输出来测试。换言之，MILS系统的测试目前包括两种测试。在组件或应用测试中，在MILS系统的环境的外部，以单独的方式在外部对由分区容留的每个应用进行测试。第二种测试是集成测试，其中通过观察对于给定输入的整个系统的输出来对集成MILS系统的正确行为进行测试。
[0009]然而，已知方法不允许系统性测试方法。具体地，当组件已经部署在MILS系统中时，现有技术的方法不能测试这些组件的反应。
[0010]此外，在诸如飞行学的某些领域中，特别严格的可靠性和安全性的限制决定了上述需要。具体地，存在如下的明确的要求:不允许在评估中的系统与最终部署在飞行中的系统之间的任何系统配置改变。因此，在已证明系统合格后不能移除任何测试构件。
[0011]因此，本发明的目的在于提出如下的不具有上述缺点的方法和系统，其用于在分区类型平台(例如MILS)上在组件的集成环境中在本地测试组件并且适于在如航空电子的嵌入式环境中被系统性地使用。

【发明内容】

[0012]本发明通过一种(例如MILS类型的)虚拟化平台来限定，该虚拟化平台包括经由通信通道互连的多个集成独立安全等级组件(下文中称为组件)，所述虚拟化平台还包括:
[0013]-集成拦截器模块，其经由所述通信通道连接到所述组件，每个拦截器模块被置于连接两个组件的通信通道中，以及
[0014]-集成分析构件，其连接到所述拦截器模块并且包括控制构件和测试构件，所述控制构件被配置成使每个拦截器模块处于从包括测试模式的一组预定操作模式中选出的操作模式，并且所述测试构件被配置成在本地测试连接到处于测试模式的拦截器模块的组件。
[0015]这样，根据本发明的虚拟化平台提供了在组件的集成环境中，即当组件被部署在虚拟化平台中且没有任何干扰的情况下，对一些或全部组件的反应和本地行为的系统性的和透明的测试。
[0016]本发明还涉及一种包括根据上述特性的所述虚拟化平台的嵌入式基础设施(例如，计算机)。
[0017]另外，本发明涉及一种包括航空电子网络和根据上述特性的嵌入式基础设施的航空器通信系统，组件、拦截器模块以及分析构件经由所述航空电子网络互连。
[0018]此外，本发明涉及一种测试在虚拟化平台上的集成独立安全等级组件的方法，所述组件经由通信通道互连，所述方法包括如下步骤:
[0019]-将拦截器模块置于连接不同的组件的通信通道中，
[0020]-使每个拦截器模块处于从包括测试模式的一组预定操作模式中选出的操作模式，以及
[0021]-在本地测试连接到处于测试模式的拦截器模块的组件。
【附图说明】
[0022]在阅读参照附图给出的本发明的优选实施方式时，本发明的其他特性和优点将变得明显，在附图中:
[0023]图1示意性地图示了根据本发明的实施方式的包括集成独立安全等级组件的虚拟化平台；
[0024]图2示意性地图示了演示根据本发明的实施方式的一种用于测试组件的方法的在虚拟化平台的两个组件之间的通信接口；
[0025]图3示意性地图示了根据本发明的一个实施方式的通过一组线程实现的拦截器丰吴块；
[0026]图4示意性地图示了根据图2的实施方式的处于传送模式的拦截器模块；
[0027]图5示意性地图示了根据图2的实施方式的处于测试模式的拦截器模块；
[0028]图6示意性地图示了根据图2的实施方式的处于观察模式的拦截器模块；
[0029]图7示意性地图示了根据本发明的实施方式的在测试中的组件的链；以及
[0030]图8示意性地图示了包括根据现有技术的MILS组件的MILS系统的示例。
【具体实施方式】
[0031]本发明的构思包括在MILS类型平台的通信通道中集成透明的拦截构件，使得能够在本地测试平台的组件。
[0032]图1示意性地图示了根据本发明的实施方式的包括集成独立安全等级组件的虚拟化平台I。
[0033]集成独立安全等级组件3a_3f (下文中称为组件)包括应用分区3a_3c，输入-输出分区3d，以及外部通信接口 3e、3f。该示例示出了三个应用分区3a_3c，一个输入-输出分区3d，以及两个外部通信接口 3e、3f，但上述数目当然不限于此而是取决于期望的应用。
[0034]每个组件具有良好指定的功能并适于与其他预先限定的组件通信。例如，组件3a-3d中的每一个具有良好限定的接口 5a-5d，用于经由通信通道15与被授权通信的其他良好识别的组件通信。
[0035]实际上，不同的组件3a_3f经由底层平台I的通信通道15在一起操作。它们经由包括外部通信接口、分区间通信接口以及经由输入-输出I/o分区的通信接口的预先限定的通信路径进行通信。虚拟化平台的例示通常使用这些不同的通信路径的组合。另一方面，组件3a-3d与外部通信接口 3e之间的通信可以经由设备驱动器9实现。
[0036]所有元件(3a_3f和9)由虚拟化平台容留。回想为了高确信需要而开发的M