用于在具有或不具有写入权限的不同的存储区域中更新程序和数据的计算机系统.pdf

上传人:000****221 文档编号:265516 上传时间:2018-02-06 格式:PDF 页数:9 大小:1.83MB
返回 下载 相关 举报
摘要
申请专利号:

CN201280066182.1

申请日:

2012.12.19

公开号:

CN104040498A

公开日:

2014.09.10

当前法律状态:

撤回

有效性:

无权

法律详情:

发明专利申请公布后的视为撤回IPC(主分类):G06F 9/445申请公布日:20140910|||实质审查的生效IPC(主分类):G06F 9/445申请日:20121219|||公开

IPC分类号:

G06F9/445; G06F21/57

主分类号:

G06F9/445

申请人:

大陆汽车有限责任公司

发明人:

贝恩德·贝克尔

地址:

德国汉诺威

优先权:

2012.01.05 DE 102012200155.7

专利代理机构:

北京康信知识产权代理有限责任公司 11240

代理人:

余刚;李慧

PDF下载: PDF下载
内容摘要

本发明涉及一种计算机系统(100)包括处理器(CPU)、第一大容量存储器(MS1)和第二大容量存储器(MS2)。计算机系统(100)设置用于在主操作系统内核(MBS)的控制下实施主操作系统内核(MBS)以及第一和第二操作系统内核(BS1,BS2)。第一大容量存储器(MS1)设置用于存储软件管理的数据库。第二操作系统存储器(MS2)设置用于存储用于第二操作系统内核(BS1,BS2)的系统文件和程序文件。第一操作系统内核(BS1)设置用于在使用软件管理的数据库的情况下执行第二操作系统内核(BS2)的软件更新。

权利要求书

1.  一种计算机系统(100),具有处理器(CPU)、第一大容量存储器(MS1)和第二大容量存储器(MS2),其中
-所述计算机系统设置为在主操作系统内核的控制下在所述处理器(CPU)上实施所述主操作系统内核(MBS)以及第一操作系统内核(BS1)和第二操作系统内核(BS2);
-所述第一大容量存储器(MS1)设置为存储用于软件管理的数据库;
-所述第二大容量存储器(MS2)设置为存储用于所述第二操作系统内核(BS2)的系统文件和程序文件,以及
-所述第一操作系统内核(BS1)设置为在使用用于所述软件管理的所述数据库的情况下执行所述第二操作系统内核(BS2)的软件更新。

2.
  根据权利要求1所述的计算机系统(100),所述计算机系统设置为使得所述第一操作系统内核(BS1)对所述第一大容量存储器(MS1)和所述第二大容量存储器(MS2)分别进行读取访问和写入访问,并且所述第二操作系统内核(BS2)不对所述第一大容量存储器(MS1)进行读取访问和写入访问以及对所述第二大容量存储器(MS2)进行读取访问而不进行写入访问。

3.
  根据权利要求1或2所述计算机系统(100),其中,通过所述主操作系统内核(MBS)控制对所述第一大容量存储器(MS1)和所述第二大容量存储器(MS2)进行的读取访问和写入访问

4.
  根据权利要求1至3中任一项所述计算机系统(100),其中,用于所述第二操作系统内核(BS2)的所述系统文件和所述程序文件最终存储在所述第二大容量存储器(BS2)上。

5.
  根据权利要求1至4中任一项所述计算机系统(100),其中,所述第一操作系统内核(BS1)设置用于利用安全规程来运行和/或用于实施病毒扫描装置。

6.
  根据权利要求1至5中任一项所述计算机系统100),其中,所述第二操作系统内核(BS2)设置用于实施以下的至少其中一个:
-多媒体应用;
-网页浏览器;
-用于播放音乐的软件;
-图像观察软件;
-文档浏览器。

7.
  根据权利要求1至6中任一项所述计算机系统(100),其中,所述第一大容量存储器(MS1)设置用于存储安全证书,其中,所述第一操作系统内核(BS1)设置为在执行所述软件更新时,根据存储的所述安全证书中的至少一个来认证要安装的文件。

8.
  根据权利要求1至7中任一项所述计算机系统(100),还具有特别是用于存储用户数据的第三大容量存储器(MS3),其中,所述第二操作系统内核(BS2)对所述第三大容量存储器(MS3)进行读取访问和写入访问。

9.
  根据权利要求8所述的计算机系统(100),其中,所述主操作系统内核(MBS)设置为阻止或管理已经保存在所述第三大容量存储器(MS3)上的程序的实施。

10.
  根据权利要求1至9中任一项所述的计算机系统(100),其中,所述第一大容量存储器(MS1)和所述第二大容量存储器(MS2)布置在共同的大容量存储介质(FLSH)上、特别是布置在非易失性的大容量存储介质上。

11.
  根据权利要求1至10中任一项所述计算机系统(100),其中所述主操作系统内核(MBS)包括微内核或分离内核。

12.
  根据权利要求1至11中任一项所述计算机系统(100),其中所述计算机系统设置用于在机动车辆中的运行。

13.
  根据权利要求1至12中任一项所述计算机系统(100),所述计算机系统设计为嵌入的系统。

14.
  一种用于运行计算机系统的方法,所述方法包括:
-在第一大容量存储器(MS1)上存储用于软件管理的数据库;
-在所述第一大容量存储器(MS1)和/或在第二大容量存储器(MS2)上存储用于第一操作系统内核(BS1)的系统文件和程序文件;
-在所述第二大容量存储器(MS2)上存储用于第二操作系统内核(BS2)的系统文件和程序文件;
-实施主操作系统内核(MBS)
-在所述主操作系统内核(MBS)的控制下分别实施所述第一操作系统内核(BS1)和所述第二操作系统内核(BS2),以及
-在使用用于所述软件管理的所述数据库的情况下通过所述第一操作系统内核(BS1)执行用于所述第二操作系统内核(BS2)的软件更新。

说明书

用于在具有或不具有写入权限的不同的存储区域中更新程序和数据的计算机系统
技术领域
本发明涉及一种计算机系统和一种用于运行计算机系统的方法。
本发明涉及一种计算机系统,其例如可以应用在机动车辆中以及本发明涉及一种用于运行计算机系统的方法。
背景技术
在传统的计算机系统中基于信息实施包括操作系统文件在内的安装的软件的管理,这些信息例如存储在数据库中。在此这样的软件管理可以控制,哪些程序可以安装在计算机系统上,或者哪些程序版本对于安装的软件来说是许可的。特别是这样的软件管理能够阻止非认证的软件在计算机系统上安装。
这个原理基于软件管理是值得信任的并且用于安装或更新的可能的程序来源于值得信任的源头,这可以再次由软件管理来验证。
然而如果由在计算机系统上的恶意软件、例如病毒,其充分利用计算机系统的安全漏洞的程序或者类似物实现对软件管理的和/或软件管理的数据库的不期望的访问,那么软件管理的值得信任的位置可以受到危害(kompromittiert)。由此紧接着例如可能的是,对于计算机系统来说原本不允许的软件也被安装并且进而例如在计算机系统中产生其他的安全漏洞。
在传统的计算机系统中,相应地例如尝试在恶意软件实施之间发现和清除能攻击软件管理的恶意软件。
发明内容
待实现的目的在于,给出一种用于计算机系统的软件管理的经过改进的安全方案。
本发明的目的由独立权利要求的内容来实现。本发明的设计方案和改进方案是从属权利要求的内容。
本发明基于以下构想,将系统的软件管理与待管理的系统分离并且在独立的安全的系统中实施。例如由此在计算机系统上实施两个独立的操作系统内核或者说基于此的操作系统,其中第一操作系统内核实施用于第二操作系统内核的软件管理。为了保护第一操作系统内核的以及软件管理的数据库的安全性,设计独立的大容量存储器,其中在第一大容量存储器上另外存储软件管理的数据库并且在第二大容量存储器上存储第二操作系统内核的系统文件和程序文件。由此可以仅当第二操作系统内核被受到危害时,保持软件管理的信赖性或软件管理的数据库,以使得阻止在第二操作系统内核上不期望的软件的安装。
根据一个实施方式计算机系统具有处理器、大容量存储器和第二大容量存储器。设置计算机系统,在主操作系统内核的控制下在处理器上实施主操作系统内核以及第一和第二操作系统内核。第一大容量存储器设置为存储用于软件管理的数据库。第二大容量存储器设置为存储用于第二操作系统内核的系统文件和程序文件。第一操作系统内核设置为在使用用于软件管理的数据库的情况下执行第二操作系统内核的软件更新。在不同的实施方式中第一操作系统内核也执行用于第一操作系统内核的软件更新。用于第一操作系统内核的系统文件和程序文件优选地保存在第一大容量存储器上。
在计算机系统上或在处理器上相应地首先实施主操作系统内核,其例如实施为微内核或分离内核。主操作系统内核能相应地实现彼此不相关地实施或控制第一和第二操作系统内核,以使得这两个经过控制的操作系统内核能够访问处理器、存储器或相应其他的操作系统内核的类似物。
优选地设置用于安全的操作系统的第一操作系统内核,在其上特别是仅仅运行少量的程序,这些程序基本上除了管理的目的以外不要求和用户互相作用。第二操作系统内核设置原则上用于实施任意的程序,例如网页浏览器、用于播放音乐的软件、图像观察软件、文档浏览器或类似这样的多媒体应用。由此特别是在第二操作系统内核下也实施潜在的有安全风险的软件。
优选地对第一和第二大容量存储器的访问由第一和第二操作系统内核来管理。特别是例如对第一和第二大容量存储器的读取访问和写入访问由主操作系统内核来控制。
在一个实施方式中,第一操作系统内核对第一和第二大容量存储内核分别进行读取访问和写入访问,而第二操作系统内核不对第一大容量存储器进行读取访问和写入访问以及对第二大容量存储器进行读取访问但不进行写入访问。相应地仅仅第一操作系统内核对第一以及特别是在第二大容量存储器进行写入地访问,以便存储或改变操作系统内核的系统文件和程序文件。也在第二操作系统内核出问题时可以不会由于错误地对第二大容量存储器进行写入访问而进行安装的系统文件和程序文件的变化。此外由于错误地对第一大容量存储器的读取访问和写入访问阻止了,第二操作系统内核能够读出用于软件管理的数据库并且进而例如获得关于安装的软件的信息或用于安装软件的权限。
在不同的实施方式中,第二操作系统内核的系统文件和程序文件最终存储在第二大容量存储器上。由此能实现,用于第二操作系统内核的程序和系统文件的控制最终由第一操作系统内核来实施。
在其他的实施方式中第一大容量存储器也设置用于存储安全证书,其中设置第一操作系统内核,在进行待安装的文件的软件更新时根据存储的安全证书中的至少一个来证实。安全证书例如基于密码学的密钥或待安装的文件的签名。由此能够实现,仅仅是利用机密的密钥或凭证已经证实的文件能被安装。如果第二操作系统内核不能访问第一大容量存储器,也可以阻止由在第二操作系统内核上的恶意软件读出安全证书,以使得能防止安全证书的不期望的泄密。
在其他的实施方式中计算机系统还具有特别是用于存储用户数据的第三大容量存储器,其中第二操作系统内核对第三大容量存储器进行读取访问和写入访问。由此例如经由因特网连接或以其他的方式到达第二操作系统内核的数据能够保存。优选地在此设置主操作系统内核,防止或至少管理在第三大容量存储器上存储的程序的实施。在此每种形式的能实施的文件包括脚本文件以及程序文库看作程序。例如用于HTML5必需的Java脚本这样的确定的脚本文件可以允许实施。由于限定的写入权限也在恶意的脚本文件的情况下阻止整个系统的持续的损坏。
在计算机系统的另一个实施方式中,第一和第二大容量存储器布置在共同的大容量存储介质上、特别是在非易失性的大容量存储介质上。大容量存储介质例如是所谓的如多媒体卡、MMC或安全数字存储卡、SD卡或类似物之类的闪存存储器。例如非易失性的大容量存储介质是与NAND存储器、NOR存储器或经过管理的NAND存储器,其可以分别固定地钎焊在计算机系统的电路板上。在另一个实施方式中大容量存储介质也可以是硬盘或硬体盘、英语为Solid State Drive、SSD。
计算机系统特别是设置用于在机动车辆中的操作。例如计算机系统设计为嵌入的系统。然而计算机系统也可以应用在其他的环境中。
在用于运行计算机系统的方法的一个实施方式中,用于软件管理的数据库存储在第一大容量存储器上。用于第一操作系统内核的系统文件和程 序文件存储在第一大容量存储器上和/或第二大容量存储器上。此外用于第二操作系统内核的系统文件和程序文件存储在第二大容量存储器上。在计算机系统中分别在主操作系统内核的控制下实施主操作系统内核以及第一和第二操作系统内核。第二操作系统内核的软件更新在使用用于软件管理的数据库的情况下由第一操作系统内核执行。
本方法的其他的实施方式和设计方案直接由前面描述的计算机系统的实施方式中得出。
在前面描述的实施方式中,软件更新在操作系统之中、基于第二操作系统内核由这个操作系统的外部执行。例如这在Linux为基础的系统中能由此实现,即例如像RPM、DPKG或APK这样的包管理从待管理的操作系统中选出并且在第一操作系统内核之外实施。附加地具有第二操作系统内核的操作系统不能对其自身的文件系统进行写入访问,以便改变文件库、能实施的文件和配置文件,因为这由于主操作系统内核的使用而被阻止,其例如实施为微内核或分离内核。与在这两个操作系统内核之间完全的按照硬件的分离不同地,在所提出的计算机系统中由唯一的主管机关执行非易失性的大容量存储器的控制,其中同时实现了这样的可能性,实施具有第一操作系统内核的安全的操作系统,而且该第一操作系统内核可以更新非易失性的大容量存储器的内容。
附图说明
本发明以下在一个实施例中根据唯一的附图1详细地阐述。
图1示出计算机系统的实施例。
具体实施方式
示例性示出的计算机系统100包括处理器CPU以及大容量存储介质FLSH,其例如实施作为闪存或作为硬盘或作为固态盘。在大容量存储介 质FLSH上例如设置三个大容量存储器MS1,MS2,MS3,其例如作为分区在大容量存储介质FLS上存在。在计算机系统100的处理器CPU上运行至少一个主操作系统内核MBS,其包括或控制两个独立操作的操作系统内核BS1,BS2。
主操作系统内核例如实施作为微内核,其与传统的单一的操作系统内核相比包括仅仅关于基本的功能,例如用于同步以及通信的存储和过程管理。
然而优选地主操作系统内核实施作为分离内核,其作为安全操作系统内核工作,以便模拟经过分布的环境。特别是设置分离内核,以便彼此分离地控制第一操作系统内核BS1以及第二操作系统内核BS2。在所示出的实施方式的变型中可以由主操作系统内核MBS也控制其他的操作系统内核,其与第一和第二操作系统内核BS1,BS2并行运行,但是由于清晰的原因在这里没有示出。
左侧的操作系统内核BS2用于实施传统的操作系统,该操作系统能实现网页浏览器、能下载的应用和多媒体功能这样的因特网应用。优选地操作系统内核BS2确保了,其中必需的是提供提高的可靠性。操作系统文件、应用、程序库文件和配置文件对于第二操作系统内核BS2而言保存在第二大容量存储器MS2上。为此例如第二大容量存储器MS2具有用于系统文件BIN的存储器位置、能执行的文件EXE和配置文件CNF。经过主操作系统内核MBS确保了,第二操作系统内核BS2仅仅能对第二大容量存储器MS2进行读取访问,而不对第二大容量存储器进行写入访问,由ro(只读)表征。像音乐文件MP3、图像文件JPG或其他的因特网格式HTML这样的用户数据保存在第三大容量存储器MS3,在其对第二操作系统内核不仅进行读取访问还进行写入访问,这由名称rw(读写)来表征。
右侧的操作系统内核BS1用于实施安全的操作系统,在该安全的操作系统下软件管理程序运行。此外在第一操作系统内核BS1下也执行病毒 扫描和/或确定的安全准则。对于第一操作系统内核的访问优选地仅仅设计用于维护目的,以使得特别是不能实施不安全的多媒体应用或诸如此类。第一操作系统内核BS1对第一和第二大容量存储器MS1,MS2进行读取访问和写入访问。在第一大容量存储器MS1上存储用于软件管理SW-DB、安全证书CERT的数据库和病毒扫描VS。操作系统文件、应用、程序库文件和配置文件第一操作系统内核BS1而言或者同样存储在第二大容量存储器MS2上或优选地存储在第一大容量存储器MS1上。第二操作系统内核BS2绝不对第一大容量存储器MS1进行访问并且优选地也没有这个大容量存储器MS1的存在的认识。对于大容量存储介质FLSH或大容量存储器MS1,MS2,MS3的访问由主操作系统内核MBS控制,以使得在第二操作系统内核BS2下实施的恶意软件也不能访问软件管理的数据和安全证书。此外恶意软件也不能改变在第二大容量存储器MS2上的系统文件或应用。优选地也在大容量存储介质FLSH上设有其他的大容量存储器,其例如存储用于主操作系统内核MBS的系统文件。
相应地第一操作内核BS1用于第二操作系统内核BS2的软件更新,该第一操作系统基于软件管理的数据库在第二大容量存储器MS2上的系统文件和应用的更新。由此优选地相对于存储的安全证书证实待安装的软件包,以使得仅仅能够安装来自值得信赖的源的软件包,这些源识别安全证书。例如软件管理基于包管理器。在使用例如基于Linux的系统时可以由RPM、早先的Red-Hat、包管理器、RPM、Debian包管理器、DPKG或Android包管理器、APK构成。
计算机系统的示出的实施方式能实现,自身在第二操作系统内核BS2受到危害时能阻止由恶意软件对系统文件的改变并且进而从第二操作系统内核BS2出发防止其他的安全漏洞的有目的的开口。由于第二操作系统内核的因特网能力和多媒体能力因而原则上存在风险,即由于不知道的或新出现的在系统中的安全漏洞能够带入第二操作系统内核BS2的区域中,其然而由于缺乏写入权限在第二操作系统内核BS2下不能导致操作系统 的持续的改变。这使得,当系统切断以及在此接通时,恶意软件不能保留在计算机系统中。
此外阻止了,这样的恶意软件在第一操作系统内核BS2下读出安全证书,其保存在第一大容量存储器MS1上,以便通过认知读出的密钥的产生受到危害的安装包。
优选地由主操作系统内核MBS也控制,阻止或至少管理程序的实施,这些程序保存在第三大容量存储器MS3上。在此每一能实施的文件包括程序脚本以及程序库理解为程序。这样的程序例如经由外部的存储介质或经由因特网连接在第二操作系统内核BS2的操作系统中加载以及在第三大容量存储器MS3上存储。例如可以允许如对于HTML5所需要的Java脚本那样的确定的脚本文件,以用于实施。由于局限的写入权限也在恶意的脚本文件的情况下阻止完整系统的持续的损坏。
经过将软件更新从原本待更新的操作系统中出发分离在其他的操作系统内核上,由此完全作用地由待更新的操作系统自身阻止了具有含有破坏的程序的更新。因而可能的是,操作系统在第二操作系统内核BS2下对于具有潜在的破坏代码的因特网应用是更敞开的,不会危害完整的计算机系统的安全性。
与操作系统内核BS1,BS2的执行不同,在不同的硬件平台上由主操作系统内核MBS的应用能实现统一的安全管理,该主操作系统内核共同控制这两个操作系统内核BS1,BS2。为此计算机系统的已经描述的实施方式中也在主操作系统内核MBS的唯一的控制下也能访问大容量存储介质FLSH或大容量存储器MS1,MS2,MS3。
计算机系统100特别是设置用于在机动车辆中的运行。例如计算机系统100实施作为嵌入式的系统。然而计算机系统100也应用在其他的环境中。
例如不易失的大容量存储介质FLSH是NAND存储器、NOR存储器或经过管理的NAND存储器,其分别固定地能钎焊在计算机系统100的电路板上。

用于在具有或不具有写入权限的不同的存储区域中更新程序和数据的计算机系统.pdf_第1页
第1页 / 共9页
用于在具有或不具有写入权限的不同的存储区域中更新程序和数据的计算机系统.pdf_第2页
第2页 / 共9页
用于在具有或不具有写入权限的不同的存储区域中更新程序和数据的计算机系统.pdf_第3页
第3页 / 共9页
点击查看更多>>
资源描述

《用于在具有或不具有写入权限的不同的存储区域中更新程序和数据的计算机系统.pdf》由会员分享,可在线阅读,更多相关《用于在具有或不具有写入权限的不同的存储区域中更新程序和数据的计算机系统.pdf(9页珍藏版)》请在专利查询网上搜索。

1、10申请公布号CN104040498A43申请公布日20140910CN104040498A21申请号201280066182122申请日20121219102012200155720120105DEG06F9/445200601G06F21/5720060171申请人大陆汽车有限责任公司地址德国汉诺威72发明人贝恩德贝克尔74专利代理机构北京康信知识产权代理有限责任公司11240代理人余刚李慧54发明名称用于在具有或不具有写入权限的不同的存储区域中更新程序和数据的计算机系统57摘要本发明涉及一种计算机系统100包括处理器CPU、第一大容量存储器MS1和第二大容量存储器MS2。计算机系统100。

2、设置用于在主操作系统内核MBS的控制下实施主操作系统内核MBS以及第一和第二操作系统内核BS1,BS2。第一大容量存储器MS1设置用于存储软件管理的数据库。第二操作系统存储器MS2设置用于存储用于第二操作系统内核BS1,BS2的系统文件和程序文件。第一操作系统内核BS1设置用于在使用软件管理的数据库的情况下执行第二操作系统内核BS2的软件更新。30优先权数据85PCT国际申请进入国家阶段日2014070486PCT国际申请的申请数据PCT/EP2012/0762192012121987PCT国际申请的公布数据WO2013/102564DE2013071151INTCL权利要求书2页说明书5页附。

3、图1页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书5页附图1页10申请公布号CN104040498ACN104040498A1/2页21一种计算机系统100,具有处理器CPU、第一大容量存储器MS1和第二大容量存储器MS2,其中所述计算机系统设置为在主操作系统内核的控制下在所述处理器CPU上实施所述主操作系统内核MBS以及第一操作系统内核BS1和第二操作系统内核BS2;所述第一大容量存储器MS1设置为存储用于软件管理的数据库;所述第二大容量存储器MS2设置为存储用于所述第二操作系统内核BS2的系统文件和程序文件,以及所述第一操作系统内核BS1设置为在使用用于所述软件管理。

4、的所述数据库的情况下执行所述第二操作系统内核BS2的软件更新。2根据权利要求1所述的计算机系统100,所述计算机系统设置为使得所述第一操作系统内核BS1对所述第一大容量存储器MS1和所述第二大容量存储器MS2分别进行读取访问和写入访问,并且所述第二操作系统内核BS2不对所述第一大容量存储器MS1进行读取访问和写入访问以及对所述第二大容量存储器MS2进行读取访问而不进行写入访问。3根据权利要求1或2所述计算机系统100,其中,通过所述主操作系统内核MBS控制对所述第一大容量存储器MS1和所述第二大容量存储器MS2进行的读取访问和写入访问4根据权利要求1至3中任一项所述计算机系统100,其中,用于。

5、所述第二操作系统内核BS2的所述系统文件和所述程序文件最终存储在所述第二大容量存储器BS2上。5根据权利要求1至4中任一项所述计算机系统100,其中,所述第一操作系统内核BS1设置用于利用安全规程来运行和/或用于实施病毒扫描装置。6根据权利要求1至5中任一项所述计算机系统100,其中,所述第二操作系统内核BS2设置用于实施以下的至少其中一个多媒体应用;网页浏览器;用于播放音乐的软件;图像观察软件;文档浏览器。7根据权利要求1至6中任一项所述计算机系统100,其中,所述第一大容量存储器MS1设置用于存储安全证书,其中,所述第一操作系统内核BS1设置为在执行所述软件更新时,根据存储的所述安全证书中。

6、的至少一个来认证要安装的文件。8根据权利要求1至7中任一项所述计算机系统100,还具有特别是用于存储用户数据的第三大容量存储器MS3,其中,所述第二操作系统内核BS2对所述第三大容量存储器MS3进行读取访问和写入访问。9根据权利要求8所述的计算机系统100,其中,所述主操作系统内核MBS设置为阻止或管理已经保存在所述第三大容量存储器MS3上的程序的实施。10根据权利要求1至9中任一项所述的计算机系统100,其中,所述第一大容量存储器MS1和所述第二大容量存储器MS2布置在共同的大容量存储介质FLSH上、特别是布置在非易失性的大容量存储介质上。权利要求书CN104040498A2/2页311根据。

7、权利要求1至10中任一项所述计算机系统100,其中所述主操作系统内核MBS包括微内核或分离内核。12根据权利要求1至11中任一项所述计算机系统100,其中所述计算机系统设置用于在机动车辆中的运行。13根据权利要求1至12中任一项所述计算机系统100,所述计算机系统设计为嵌入的系统。14一种用于运行计算机系统的方法,所述方法包括在第一大容量存储器MS1上存储用于软件管理的数据库;在所述第一大容量存储器MS1和/或在第二大容量存储器MS2上存储用于第一操作系统内核BS1的系统文件和程序文件;在所述第二大容量存储器MS2上存储用于第二操作系统内核BS2的系统文件和程序文件;实施主操作系统内核MBS在。

8、所述主操作系统内核MBS的控制下分别实施所述第一操作系统内核BS1和所述第二操作系统内核BS2,以及在使用用于所述软件管理的所述数据库的情况下通过所述第一操作系统内核BS1执行用于所述第二操作系统内核BS2的软件更新。权利要求书CN104040498A1/5页4用于在具有或不具有写入权限的不同的存储区域中更新程序和数据的计算机系统技术领域0001本发明涉及一种计算机系统和一种用于运行计算机系统的方法。0002本发明涉及一种计算机系统,其例如可以应用在机动车辆中以及本发明涉及一种用于运行计算机系统的方法。背景技术0003在传统的计算机系统中基于信息实施包括操作系统文件在内的安装的软件的管理,这些。

9、信息例如存储在数据库中。在此这样的软件管理可以控制,哪些程序可以安装在计算机系统上,或者哪些程序版本对于安装的软件来说是许可的。特别是这样的软件管理能够阻止非认证的软件在计算机系统上安装。0004这个原理基于软件管理是值得信任的并且用于安装或更新的可能的程序来源于值得信任的源头,这可以再次由软件管理来验证。0005然而如果由在计算机系统上的恶意软件、例如病毒,其充分利用计算机系统的安全漏洞的程序或者类似物实现对软件管理的和/或软件管理的数据库的不期望的访问,那么软件管理的值得信任的位置可以受到危害KOMPROMITTIERT。由此紧接着例如可能的是,对于计算机系统来说原本不允许的软件也被安装并。

10、且进而例如在计算机系统中产生其他的安全漏洞。0006在传统的计算机系统中,相应地例如尝试在恶意软件实施之间发现和清除能攻击软件管理的恶意软件。发明内容0007待实现的目的在于,给出一种用于计算机系统的软件管理的经过改进的安全方案。0008本发明的目的由独立权利要求的内容来实现。本发明的设计方案和改进方案是从属权利要求的内容。0009本发明基于以下构想,将系统的软件管理与待管理的系统分离并且在独立的安全的系统中实施。例如由此在计算机系统上实施两个独立的操作系统内核或者说基于此的操作系统,其中第一操作系统内核实施用于第二操作系统内核的软件管理。为了保护第一操作系统内核的以及软件管理的数据库的安全性。

11、,设计独立的大容量存储器,其中在第一大容量存储器上另外存储软件管理的数据库并且在第二大容量存储器上存储第二操作系统内核的系统文件和程序文件。由此可以仅当第二操作系统内核被受到危害时,保持软件管理的信赖性或软件管理的数据库,以使得阻止在第二操作系统内核上不期望的软件的安装。0010根据一个实施方式计算机系统具有处理器、大容量存储器和第二大容量存储器。设置计算机系统,在主操作系统内核的控制下在处理器上实施主操作系统内核以及第一和说明书CN104040498A2/5页5第二操作系统内核。第一大容量存储器设置为存储用于软件管理的数据库。第二大容量存储器设置为存储用于第二操作系统内核的系统文件和程序文件。

12、。第一操作系统内核设置为在使用用于软件管理的数据库的情况下执行第二操作系统内核的软件更新。在不同的实施方式中第一操作系统内核也执行用于第一操作系统内核的软件更新。用于第一操作系统内核的系统文件和程序文件优选地保存在第一大容量存储器上。0011在计算机系统上或在处理器上相应地首先实施主操作系统内核,其例如实施为微内核或分离内核。主操作系统内核能相应地实现彼此不相关地实施或控制第一和第二操作系统内核,以使得这两个经过控制的操作系统内核能够访问处理器、存储器或相应其他的操作系统内核的类似物。0012优选地设置用于安全的操作系统的第一操作系统内核,在其上特别是仅仅运行少量的程序,这些程序基本上除了管理。

13、的目的以外不要求和用户互相作用。第二操作系统内核设置原则上用于实施任意的程序,例如网页浏览器、用于播放音乐的软件、图像观察软件、文档浏览器或类似这样的多媒体应用。由此特别是在第二操作系统内核下也实施潜在的有安全风险的软件。0013优选地对第一和第二大容量存储器的访问由第一和第二操作系统内核来管理。特别是例如对第一和第二大容量存储器的读取访问和写入访问由主操作系统内核来控制。0014在一个实施方式中,第一操作系统内核对第一和第二大容量存储内核分别进行读取访问和写入访问,而第二操作系统内核不对第一大容量存储器进行读取访问和写入访问以及对第二大容量存储器进行读取访问但不进行写入访问。相应地仅仅第一操。

14、作系统内核对第一以及特别是在第二大容量存储器进行写入地访问,以便存储或改变操作系统内核的系统文件和程序文件。也在第二操作系统内核出问题时可以不会由于错误地对第二大容量存储器进行写入访问而进行安装的系统文件和程序文件的变化。此外由于错误地对第一大容量存储器的读取访问和写入访问阻止了,第二操作系统内核能够读出用于软件管理的数据库并且进而例如获得关于安装的软件的信息或用于安装软件的权限。0015在不同的实施方式中,第二操作系统内核的系统文件和程序文件最终存储在第二大容量存储器上。由此能实现,用于第二操作系统内核的程序和系统文件的控制最终由第一操作系统内核来实施。0016在其他的实施方式中第一大容量存。

15、储器也设置用于存储安全证书,其中设置第一操作系统内核,在进行待安装的文件的软件更新时根据存储的安全证书中的至少一个来证实。安全证书例如基于密码学的密钥或待安装的文件的签名。由此能够实现,仅仅是利用机密的密钥或凭证已经证实的文件能被安装。如果第二操作系统内核不能访问第一大容量存储器,也可以阻止由在第二操作系统内核上的恶意软件读出安全证书,以使得能防止安全证书的不期望的泄密。0017在其他的实施方式中计算机系统还具有特别是用于存储用户数据的第三大容量存储器,其中第二操作系统内核对第三大容量存储器进行读取访问和写入访问。由此例如经由因特网连接或以其他的方式到达第二操作系统内核的数据能够保存。优选地在。

16、此设置主操作系统内核,防止或至少管理在第三大容量存储器上存储的程序的实施。在此每种形式的能实施的文件包括脚本文件以及程序文库看作程序。例如用于HTML5必需的JAVA脚本这样的确定的脚本文件可以允许实施。由于限定的写入权限也在恶意的脚本文件的情况说明书CN104040498A3/5页6下阻止整个系统的持续的损坏。0018在计算机系统的另一个实施方式中,第一和第二大容量存储器布置在共同的大容量存储介质上、特别是在非易失性的大容量存储介质上。大容量存储介质例如是所谓的如多媒体卡、MMC或安全数字存储卡、SD卡或类似物之类的闪存存储器。例如非易失性的大容量存储介质是与NAND存储器、NOR存储器或经。

17、过管理的NAND存储器,其可以分别固定地钎焊在计算机系统的电路板上。在另一个实施方式中大容量存储介质也可以是硬盘或硬体盘、英语为SOLIDSTATEDRIVE、SSD。0019计算机系统特别是设置用于在机动车辆中的操作。例如计算机系统设计为嵌入的系统。然而计算机系统也可以应用在其他的环境中。0020在用于运行计算机系统的方法的一个实施方式中,用于软件管理的数据库存储在第一大容量存储器上。用于第一操作系统内核的系统文件和程序文件存储在第一大容量存储器上和/或第二大容量存储器上。此外用于第二操作系统内核的系统文件和程序文件存储在第二大容量存储器上。在计算机系统中分别在主操作系统内核的控制下实施主操。

18、作系统内核以及第一和第二操作系统内核。第二操作系统内核的软件更新在使用用于软件管理的数据库的情况下由第一操作系统内核执行。0021本方法的其他的实施方式和设计方案直接由前面描述的计算机系统的实施方式中得出。0022在前面描述的实施方式中,软件更新在操作系统之中、基于第二操作系统内核由这个操作系统的外部执行。例如这在LINUX为基础的系统中能由此实现,即例如像RPM、DPKG或APK这样的包管理从待管理的操作系统中选出并且在第一操作系统内核之外实施。附加地具有第二操作系统内核的操作系统不能对其自身的文件系统进行写入访问,以便改变文件库、能实施的文件和配置文件,因为这由于主操作系统内核的使用而被阻。

19、止,其例如实施为微内核或分离内核。与在这两个操作系统内核之间完全的按照硬件的分离不同地,在所提出的计算机系统中由唯一的主管机关执行非易失性的大容量存储器的控制,其中同时实现了这样的可能性,实施具有第一操作系统内核的安全的操作系统,而且该第一操作系统内核可以更新非易失性的大容量存储器的内容。附图说明0023本发明以下在一个实施例中根据唯一的附图1详细地阐述。0024图1示出计算机系统的实施例。具体实施方式0025示例性示出的计算机系统100包括处理器CPU以及大容量存储介质FLSH,其例如实施作为闪存或作为硬盘或作为固态盘。在大容量存储介质FLSH上例如设置三个大容量存储器MS1,MS2,MS3。

20、,其例如作为分区在大容量存储介质FLS上存在。在计算机系统100的处理器CPU上运行至少一个主操作系统内核MBS,其包括或控制两个独立操作的操作系统内核BS1,BS2。0026主操作系统内核例如实施作为微内核,其与传统的单一的操作系统内核相比包括仅仅关于基本的功能,例如用于同步以及通信的存储和过程管理。说明书CN104040498A4/5页70027然而优选地主操作系统内核实施作为分离内核,其作为安全操作系统内核工作,以便模拟经过分布的环境。特别是设置分离内核,以便彼此分离地控制第一操作系统内核BS1以及第二操作系统内核BS2。在所示出的实施方式的变型中可以由主操作系统内核MBS也控制其他的操。

21、作系统内核,其与第一和第二操作系统内核BS1,BS2并行运行,但是由于清晰的原因在这里没有示出。0028左侧的操作系统内核BS2用于实施传统的操作系统,该操作系统能实现网页浏览器、能下载的应用和多媒体功能这样的因特网应用。优选地操作系统内核BS2确保了,其中必需的是提供提高的可靠性。操作系统文件、应用、程序库文件和配置文件对于第二操作系统内核BS2而言保存在第二大容量存储器MS2上。为此例如第二大容量存储器MS2具有用于系统文件BIN的存储器位置、能执行的文件EXE和配置文件CNF。经过主操作系统内核MBS确保了,第二操作系统内核BS2仅仅能对第二大容量存储器MS2进行读取访问,而不对第二大容。

22、量存储器进行写入访问,由RO只读表征。像音乐文件MP3、图像文件JPG或其他的因特网格式HTML这样的用户数据保存在第三大容量存储器MS3,在其对第二操作系统内核不仅进行读取访问还进行写入访问,这由名称RW读写来表征。0029右侧的操作系统内核BS1用于实施安全的操作系统,在该安全的操作系统下软件管理程序运行。此外在第一操作系统内核BS1下也执行病毒扫描和/或确定的安全准则。对于第一操作系统内核的访问优选地仅仅设计用于维护目的,以使得特别是不能实施不安全的多媒体应用或诸如此类。第一操作系统内核BS1对第一和第二大容量存储器MS1,MS2进行读取访问和写入访问。在第一大容量存储器MS1上存储用于。

23、软件管理SWDB、安全证书CERT的数据库和病毒扫描VS。操作系统文件、应用、程序库文件和配置文件第一操作系统内核BS1而言或者同样存储在第二大容量存储器MS2上或优选地存储在第一大容量存储器MS1上。第二操作系统内核BS2绝不对第一大容量存储器MS1进行访问并且优选地也没有这个大容量存储器MS1的存在的认识。对于大容量存储介质FLSH或大容量存储器MS1,MS2,MS3的访问由主操作系统内核MBS控制,以使得在第二操作系统内核BS2下实施的恶意软件也不能访问软件管理的数据和安全证书。此外恶意软件也不能改变在第二大容量存储器MS2上的系统文件或应用。优选地也在大容量存储介质FLSH上设有其他的。

24、大容量存储器,其例如存储用于主操作系统内核MBS的系统文件。0030相应地第一操作内核BS1用于第二操作系统内核BS2的软件更新,该第一操作系统基于软件管理的数据库在第二大容量存储器MS2上的系统文件和应用的更新。由此优选地相对于存储的安全证书证实待安装的软件包,以使得仅仅能够安装来自值得信赖的源的软件包,这些源识别安全证书。例如软件管理基于包管理器。在使用例如基于LINUX的系统时可以由RPM、早先的REDHAT、包管理器、RPM、DEBIAN包管理器、DPKG或ANDROID包管理器、APK构成。0031计算机系统的示出的实施方式能实现,自身在第二操作系统内核BS2受到危害时能阻止由恶意软。

25、件对系统文件的改变并且进而从第二操作系统内核BS2出发防止其他的安全漏洞的有目的的开口。由于第二操作系统内核的因特网能力和多媒体能力因而原则上存在风险,即由于不知道的或新出现的在系统中的安全漏洞能够带入第二操作系统内核BS2的区域中,其然而由于缺乏写入权限在第二操作系统内核BS2下不能导致操作系统的持续的改变。这使得,当系统切断以及在此接通时,恶意软件不能保留在计算机系统中。说明书CN104040498A5/5页80032此外阻止了,这样的恶意软件在第一操作系统内核BS2下读出安全证书,其保存在第一大容量存储器MS1上,以便通过认知读出的密钥的产生受到危害的安装包。0033优选地由主操作系统内。

26、核MBS也控制,阻止或至少管理程序的实施,这些程序保存在第三大容量存储器MS3上。在此每一能实施的文件包括程序脚本以及程序库理解为程序。这样的程序例如经由外部的存储介质或经由因特网连接在第二操作系统内核BS2的操作系统中加载以及在第三大容量存储器MS3上存储。例如可以允许如对于HTML5所需要的JAVA脚本那样的确定的脚本文件,以用于实施。由于局限的写入权限也在恶意的脚本文件的情况下阻止完整系统的持续的损坏。0034经过将软件更新从原本待更新的操作系统中出发分离在其他的操作系统内核上,由此完全作用地由待更新的操作系统自身阻止了具有含有破坏的程序的更新。因而可能的是,操作系统在第二操作系统内核B。

27、S2下对于具有潜在的破坏代码的因特网应用是更敞开的,不会危害完整的计算机系统的安全性。0035与操作系统内核BS1,BS2的执行不同,在不同的硬件平台上由主操作系统内核MBS的应用能实现统一的安全管理,该主操作系统内核共同控制这两个操作系统内核BS1,BS2。为此计算机系统的已经描述的实施方式中也在主操作系统内核MBS的唯一的控制下也能访问大容量存储介质FLSH或大容量存储器MS1,MS2,MS3。0036计算机系统100特别是设置用于在机动车辆中的运行。例如计算机系统100实施作为嵌入式的系统。然而计算机系统100也应用在其他的环境中。0037例如不易失的大容量存储介质FLSH是NAND存储器、NOR存储器或经过管理的NAND存储器,其分别固定地能钎焊在计算机系统100的电路板上。说明书CN104040498A1/1页9图1说明书附图CN104040498A。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 物理 > 计算;推算;计数


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1