EP2183664A1 - Data processing and display system - Google Patents

Data processing and display system

Info

Publication number
EP2183664A1
EP2183664A1 EP08827202A EP08827202A EP2183664A1 EP 2183664 A1 EP2183664 A1 EP 2183664A1 EP 08827202 A EP08827202 A EP 08827202A EP 08827202 A EP08827202 A EP 08827202A EP 2183664 A1 EP2183664 A1 EP 2183664A1
Authority
EP
European Patent Office
Prior art keywords
data
display
domain
secure domain
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP08827202A
Other languages
German (de)
French (fr)
Inventor
Cécile MORLEC
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Airbus Operations SAS
Original Assignee
Airbus Operations SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Airbus Operations SAS filed Critical Airbus Operations SAS
Publication of EP2183664A1 publication Critical patent/EP2183664A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/14Digital output to display device ; Cooperation and interconnection of the display device with other functional units
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01CMEASURING DISTANCES, LEVELS OR BEARINGS; SURVEYING; NAVIGATION; GYROSCOPIC INSTRUMENTS; PHOTOGRAMMETRY OR VIDEOGRAMMETRY
    • G01C23/00Combined instruments indicating more than one navigational value, e.g. for aircraft; Combined measuring devices for measuring two or more variables of movement, e.g. distance, speed or acceleration
    • G01C23/005Flight directors
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09GARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
    • G09G2340/00Aspects of display data processing
    • G09G2340/10Mixing of images, i.e. displayed pixel being the result of an operation, e.g. adding, on the corresponding input pixels
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09GARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
    • G09G2340/00Aspects of display data processing
    • G09G2340/14Solving problems related to the presentation of information to be displayed
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09GARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
    • G09G2352/00Parallel handling of streams of display data
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09GARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
    • G09G2380/00Specific applications
    • G09G2380/12Avionics applications

Definitions

  • the present invention relates to a system for processing and displaying data in the context of displaying, on the same screen, active and / or passive information coming from domains whose security or confidence levels are different.
  • An example of a high security domain is the system architecture of the flight domain of an aircraft.
  • a data processing device For the processing and display of parameters of the flight functions of an aircraft, for example the data of the fuel supply systems, the data of the control circuit breakers of various avionic circuits, these systems are connected to a data processing device.
  • display in the form of a console comprising a screen and man-machine interface means such as a keyboard or a means of movement and input on the screen as a wheel pointer or a mouse.
  • the display processing device is adapted to receive data from the systems of the flight domain. These data come from embedded systems of the flight domain and according to these data the pilots have actions to perform which transit through the systems of the flight domain.
  • the display processing device is able to return the parameters of the actions of the operator such as that position of the pointer and pressing a key displayed on the screen by the systems of the field of flight.
  • the flight systems system architecture is a highly secure architecture that is designed so that no intrusion into the networks of this system that can disrupt its operation can be committed.
  • the display processing device is switched to the display of the manual page.
  • the confirmation window launched by the most secure domain will completely hide the information window displayed by the least secure domain, since it is not possible to segregate the screen or allow both domains to access it simultaneously.
  • the problem is that the operator no longer has the information from the less secure domain when he has to confirm the launch of the action.
  • the exact description of the action and its context from which flow its acceptance or not to launch the action is described in the information coming from the less secure domain.
  • the problem to solve is to keep the display of data from the less secure domain, while the display has been switched to the more secure domain to launch actions.
  • the solution proposed by the present invention is based on means making it possible to display by a more secure domain and on the same screen, on the one hand, informative data coming from a less secure domain in the first instance, and on the other hand from the active data of the more secure domain overprinting.
  • This active data makes it possible to launch one or more commands in and from the most secure domain.
  • the system is always composed of two separate security domains, and a display.
  • the display can always be switched manually or automatically in one of the two areas, but the two areas can not under any circumstances use this display simultaneously.
  • the less secure domain display a certain amount of information on the screen, and may request the launching of an action that can only be performed by the more secure domain. It is then necessary that the most secure level take the "responsibility" to actually launch the execution of the action.
  • the present invention proposes a system for processing and displaying data, characterized in that it comprises processing and display means adapted to display from a more secure domain and on the same screen.
  • a display processing device on the one hand informative data from one or more less secure domains and, on the other hand, active data from the more secure domain overprinting.
  • the system of the invention comprises selection means adapted to manually or automatically switch the processing and display means in one of the two domains and adapted to prohibit the simultaneous use of the processing and display means by both domains.
  • the processing and display means are part of the most secure domain, this domain comprising a control module adapted to receive the data of the less secure domain or domains and to support the display of those data.
  • the data of the less secure domain or domains is passive data.
  • the system of the invention is such that the most secure domain comprises filtering means adapted to allow the display of active data of the single most secure domain.
  • the most secure domain preferably comprises means for defining active zones of the screen and for limiting these active zones to a display area of a control window displayed by this domain.
  • the processing and display means are furthermore preferably adapted to prohibit the presence of man-machine interface means in the areas of the screen other than the active zones.
  • the system of the invention comprises sequential processing means adapted to first display the information from a first data sending module of the less secure domain or domains, then those from a second module sending more secure domain data.
  • the processing and display system comprises a connection between at least a first computer of the less secure domain and a second computer of the more secure domain to allow the passage of a data frame. from the less secure domain to the more secure domain.
  • the frame is advantageously of a predefined and reduced format excluding the passage of control data.
  • the frame is preferably defined to contain only information representative of the data to be displayed and of a fixed size format.
  • the most secure domain comprises in particular means adapted to cause a display of the information contained in the frame only passively.
  • FIG. 1A and 1B a schematic representation of a display device of two fields of the prior art
  • Figure 2 a schematic representation of an exemplary embodiment of a system of the invention
  • FIG. 3 a schematic representation of the steps of displaying information of a less secure domain and of commands to a more secure domain according to the invention
  • FIG. 4 a schematic representation of the steps of displaying information of a less secure domain and of commands to a more secure domain according to a variant of the invention.
  • two domains are considered: a more secure A domain and a less secure B domain.
  • Domain will be called an embedded avionics system whether it is a complex system comprising a set of networked computers, the associated software and protocols and the actuators and sensors of this system or a simple system comprising a single computer and its associated software depending on the level complexity of the functions handled by this system.
  • the domain A may be in particular the flight parameter management system, flight controls and control surfaces, the fuel management system or the system comprising all the functions necessary for the flight of the aircraft.
  • Domain B may be, for example, the computerized maintenance management system, an unsafe cabin system or the like.
  • the invention applies for example to the performance of aircraft maintenance operations for which, from a maintenance manual contained in a maintenance computer, the operator must perform actions on the avionics system of the aircraft.
  • a display processing device is also considered comprising a common screen and a common human-machine interface console for the computer networks of the two domains, the two domains being able to access separately (not simultaneously ) to the display processing device.
  • Figure 1A shows a solution of the prior art.
  • the less secure domain B is schematized by rectangle 1.
  • Domain A of high security level is shown schematically by rectangle 2.
  • the data 1a, 1b to be displayed from these two domains are sent to a manually or automatically operated switch 3 which directs the information to a display processing device 4 comprising a display 5.
  • the avionics calculator is part of the more secure domain A because it allows to act directly on the controls of the aircraft.
  • the maintenance computer contains, in particular, the maintenance manual.
  • the manual In order for the manual to be updated regularly at a lower cost, it must remain easily modifiable, and therefore in a calculator or the level of security is lower than that of the avionics calculator.
  • the maintenance calculator is a less secure domain B calculator.
  • the segregation between the avionics computer and the maintenance manual prevents actions by the avionics computer from being initiated directly from the maintenance computer.
  • the diagram of FIG. 1B relates to a variant for which a command number can be sent from domain B to domain A through a secure link and for which the display 5 switches automatically from one domain to another .
  • the proposed solution represented in FIGS. 2, 3 and 4 is based on the possibility of displaying by the more secure domain A and on the same display or screen 5, on the one hand, informative and passive data coming from one or more domains. B less secure and on the other hand higher security domain A active data.
  • the active data are possible actions by the user: Display of zones on which the user can act (buttons, entry areas, checkboxes %), and which allow to launch one or more command from the domain the most secure, and in this same area.
  • the data processing and display system of the invention comprises processing and display means adapted to display from the more secure domain A and on the same screen of the display processing device, on the one hand informative data from one or more domains B less secure on an inactive area 11a of the display and, on the other hand, active data of the more secure domain on an active area 11 b of the display.
  • a link 10 is established between at least a first computer 1 of the less secure domain and a second computer 2 of the more secure domain to allow the passage of a data frame 9 of the less secure domain. to the more secure domain.
  • the frame 9 To avoid accidental corruption of the frame and to easily control the data, the frame 9 must have the simplest possible format and be as small as possible.
  • data from domain B should be displayed by domain A only on inactive areas 11a of the screen and domain A should be the sole master of the color configuration. All the data of the frame are predefined: number of colors displayable, size of the frame and exact list of the pixels contained in the frame.
  • the informative data is thus sent from one of the less secure domains B to the more secure domain A in a frame 9 whose format is simple comprising only the information representative of the data to be displayed, without configuration parameters or commands.
  • the frame is predefined and of fixed size.
  • this frame is only intended to be displayed in a passive manner without possible user action, in the manner of a wallpaper.
  • transfer means arranged in the most secure domain and for example in a display management computer comprising, according to FIG. 2, a fusion module 6.
  • the number of colors displayable by the domain B will be limited and the color range will be further defined by the display management device 12 of the most secure domain according to the function of the color. This makes it possible: to reduce the risks of malicious use making it possible to produce very conspicuous displays thanks to the color scheme of the display, a better comfort of use, since it is necessary that the user can visually see the fact that the information is passive. to limit the volume of the frame exchanged from the less secure domain to the most secure domain, and therefore to be able to use architectures whose connection means between the two domains are potentially low on an embedded system for example.
  • the most secure domain preferably comprises means for defining active zones of the screen and for limiting these active zones to a display area of a control window displayed by this domain.
  • the processing and display means are furthermore preferably adapted to prohibit the presence of man-machine interface means in the areas of the screen other than the active zones.
  • the only link between the two sending modules is preferably a connection means allowing the sending of synchronizations from the less secure domain to the module of the most secure domain.
  • the system of the invention advantageously comprises a filtering device controls associated with a firewall and a system for authenticating and verifying the integrity of the data or less secure domains.
  • the data fusion for the display is done in a module 6, merging or synchronization whose security level is identical to that of the most secure domain A, and which: can receive the least secure domain B only the predefined display frames, can receive data including frames to display from the most secure domain, can send the merged frames to display to the display,
  • the reception or sending of additional data is conceivable, such as: the reception, by the merging module 6, of data for the display processing device, for example configuration data 14 or pointer mouse or ball of the device of display processing from the most secure domain.
  • Additional communications are preferably limited, for example: to sending acknowledgments 13 of the data fusion or synchronization module for the display to one or other of the domains.
  • the most secure domain manages the displays of the least secure domain during the command selection step to be performed on systems of the most secure domain.
  • the most secure domain A is shown on the left of the figure, the screen or display 5 in the middle and the B domain the least secure on the right. According to this example, the separation is carried out on the same display 5 under the control of the computer of the most secure domain of information 104 coming from the less secure domain and information 103 of the more secure domain, without preliminary realization of a common merge of the data.
  • the display first displays the information from the module less secure B.
  • the least secure domain controller B sends a frame 9 containing the information of the information zone to the most secure domain A calculator.
  • the domain A computer receives the frame and sends the display the information of the passive zone 104 to display containing the information from the domain A to the step E4.
  • the domain A calculator sends an acknowledgment frame 16 to the domain B calculator.
  • step E5 the order number to be made to the computer of the domain A through a secure link 15.
  • step E6 the computer of the domain A sends the information of the active zone 103 to the display corresponding to the command C1 to be made.
  • the segregation of the data of the passive zone 104 and data of the active zone 103 for the display can be done by software or by hardware.
  • the advantage of the hardware solution is that it is more robust over time because it is less sensitive to changes in piracy means and knowledge.
  • the residual risk is that the content of the frame 9 is modified in a consistent manner maliciously or accidentally in the domain B during its creation or that a coherent frame is sent by a third party to the domain A.
  • FIG. 4 corresponds to an alternative embodiment of the system for which the domain A comprises a synchronization module type calculator or a merge module that will manage the display and the data of the active and passive zones 103, 104:
  • step E11 the least secure domain B, rectangle 1, displays information 100 on the screen 5
  • step E12 the operator requests the activation of a command C1 which must be carried out by the most secure domain A,
  • step E13 the domain B sends to domain A a frame 9 of fixed size representing the list of colors of the pixels to be displayed on the screen as well as the formatting of the information zone,
  • step E14 the domain A receives the frame 9 at a synchronization module
  • step E15 the calculator of the less secure domain sends the number of the command chosen by the operator through a secure link 15,
  • step E16 the computer of the domain A receives the number of the command and sends to its synchronization module the parameters of the active zone of the man-machine interface of the command to be displayed,
  • the domain A synchronization module displays on the screen 5 the man-machine interface (HMI) of the control which occupies only a portion 11a of the window, the active zone 103, and displays the pixels described in the pixel frame sent by the domain B in screen portions 11a not occupied by the control's HMI, the information area 104.
  • HMI man-machine interface
  • the parameters of the information zone 100 at the top of the screen 5 whose display is required by the domain B are sent to the domain A.
  • the display 104 of this information area by the Domain A uses different colors and the area A display area on the screen is different.
  • the active areas 103 of the screen that is to say the areas where the operator using the pointer or the keyboard of the display processing device can validate an action or make a choice between two actions, are defined by the domain A and limited to the display area 11a of the command window displayed by this domain.
  • the other areas of the screen 104 do not contain any active HMI elements.
  • the list of colors used for the display of domain B information from domain A should be as small as possible (2 colors being ideal).
  • Domain A From the function of each color.
  • Domain B must translate its display into a number of colors managed by domain A.
  • domain B displays 24 colors, while domain A only accepts 2 colors from domain B (background color, and write color for example), then domain B must translate its command to on-screen display on 2 colors only, these 2 colors corresponding to the two functionalities treated by Domain A.
  • the size of the pixel frame is fixed and predefined, its content represents all or part or more of the screen displayed by the domain B.
  • the position of the pixels contained in the frame is predefined and known jointly by the two domains.
  • the content is actually a list of bits, each set of bits describing one or two pixels depending on whether the screen contains an even or odd number of pixels.
  • each set of nb bits, with nb [integer part of (n / 2 + 0.5)] bits makes it possible to describe a pixel.
  • nb [integer part of (n / 2 + 0.5)] bits
  • the size of the frame is: integer part ([p * nb * 8 + 7] / 8) bytes.
  • the frame is precisely defined and the useless data are eliminated either at the emission of the frame or by a filtering device in the processing module of the most secure domain.

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Human Computer Interaction (AREA)
  • General Engineering & Computer Science (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Controls And Circuits For Display Device (AREA)

Abstract

The invention relates to a data processing and display system that comprises processing and display means adapted for displaying, from a more secured domain (A) and on a same screen (5) of a display processing device, information data (104) from one ore more less secured domains (B) and active data (103) from the more secured domain as a superimposition.

Description

SYSTEME DE TRAITEMENT ET D1AFFICHAGE DE DONNEESTREATMENT SYSTEM AND DATA DISPLAY 1
La présente invention concerne un système de traitement et d'affichage de données dans le cadre de l'affichage, sur un même écran, d'informations actives et/ou passives provenant de domaines dont les niveaux de sécurité ou de confiance sont différents.The present invention relates to a system for processing and displaying data in the context of displaying, on the same screen, active and / or passive information coming from domains whose security or confidence levels are different.
Elle trouve notamment son application dans le domaine aéronautique et pour des aéronefs dont le système d'information est décomposé en domaines de sécurité différents comme par exemple dans le cas d'avions civils, les avions AIRBUS A380, A350.It finds particular application in the aeronautical field and for aircraft whose information system is broken down into different security areas such as for example in the case of civil aircraft, AIRBUS A380, A350 aircraft.
Dans un tel cadre il est par exemple nécessaire d'afficher, sur un même écran, sans ségrégation de l'écran par multiplexage ou autre, des informations actives et/ou passives provenant de domaines dont les niveaux de sécurité ou de confiance sont différents, le but étant en outre, pour un opérateur, de pouvoir confirmer le déclenchement d'une action dans le domaine le plus sécurisé, tout en conservant à l'écran les informations provenant du domaine le moins sécurisé.In such a framework it is for example necessary to display, on the same screen, without segregation of the screen by multiplexing or otherwise, active and / or passive information from domains whose security or confidence levels are different, the goal is further, for an operator, to be able to confirm the triggering of an action in the most secure domain, while keeping the information from the least secure domain on the screen.
Il y a lieu de réaliser cela en réduisant les risques d'attaques malveillantes conduisant à un affichage erroné notamment de données passives, données informatives par exemple, en réduisant la taille des données échangées du domaine le moins sécurisé vers le domaine le plus sécurisé et en prenant en compte le confort d'utilisation par l'affichage simultané des données provenant des deux domaines.This should be done by reducing the risk of malicious attacks leading to an erroneous display, particularly of passive data, informative data for example, by reducing the size of the data exchanged from the least secure domain to the most secure domain and taking into account the convenience of use by simultaneously displaying data from both domains.
En outre, pour des raisons de sécurité, l'utilisation d'un moyen permettant de ségréguer l'écran en plusieurs zones, chaque zone correspondant à l'affichage des informations provenant d'un domaine de sécurité différent par multiplexage par exemple n'est pas appropriée. La technique actuelle en matière d'avionique notamment consiste à utiliser un dispositif d'affichage alternativement entre les domaines à visualiser.In addition, for security reasons, the use of a means for segregating the screen into several areas, each area corresponding to the display of information from a different security domain by multiplexing for example is not appropriate. The current technique in avionics in particular is to use a display device alternately between the areas to be viewed.
Un exemple de domaine de haute sécurité est l'architecture des systèmes du domaine du vol d'un aéronef.An example of a high security domain is the system architecture of the flight domain of an aircraft.
Pour le traitement et l'affichage des paramètres des fonctions de vol d'un aéronef, par exemple les données des systèmes d'alimentation en carburant, les données des disjoncteurs de commande de divers circuits avioniques ces systèmes sont reliés à un dispositif de traitement d'affichage sous la forme d'une console comportant un écran et des moyens d'interface homme machine tels qu'un clavier ou un moyen de déplacement et de saisie sur l'écran comme un pointeur à roue ou une souris.For the processing and display of parameters of the flight functions of an aircraft, for example the data of the fuel supply systems, the data of the control circuit breakers of various avionic circuits, these systems are connected to a data processing device. display in the form of a console comprising a screen and man-machine interface means such as a keyboard or a means of movement and input on the screen as a wheel pointer or a mouse.
Le dispositif de traitement d'affichage est apte à recevoir des données des systèmes du domaine du vol. Ces données viennent de systèmes embarqués du domaine de vol et en fonction de ces données les pilotes ont des actions à réaliser qui transitent par les systèmes du domaine de vol.The display processing device is adapted to receive data from the systems of the flight domain. These data come from embedded systems of the flight domain and according to these data the pilots have actions to perform which transit through the systems of the flight domain.
En fonction des actions des pilotes telles que validation de boutons ou sélection à l'écran de touches de menus ou mise en et hors fonction de systèmes, le dispositif de traitement d'affichage est apte à renvoyer les paramètres des actions de l'opérateur tels que position du pointeur et appui sur une touche affichée à l'écran par les systèmes du domaine du vol.Depending on the actions of the drivers such as button validation or selection on the screen of menu keys or switching on and off systems, the display processing device is able to return the parameters of the actions of the operator such as that position of the pointer and pressing a key displayed on the screen by the systems of the field of flight.
L'architecture des systèmes du domaine du vol est une architecture hautement sécurisée qui est conçu pour qu'aucune intrusion dans les réseaux de ce système pouvant en perturber le fonctionnement ne puisse être commise.The flight systems system architecture is a highly secure architecture that is designed so that no intrusion into the networks of this system that can disrupt its operation can be committed.
De ce fait, il ne doit pas être possible que des commandes ou informations d'un autre domaine tel par exemple les systèmes embarqués de test ou de maintenance comme le système gestionnaire des manuels de maintenance s'affichent directement en même temps et sur le même écran du dispositif de traitement d'affichage que les informations des systèmes du domaine de vol et permettent ainsi des actions sur ces systèmes.As a result, it should not be possible for commands or information from another domain, such as on-board test or maintenance systems such as the maintenance manual management system, to be displayed directly at the same time and on the same screen of the display processing device that the information of the systems of the flight domain and thus allow actions on these systems.
Actuellement la solution est de basculer manuellement ou automatiquement le dispositif de traitement d'affichage de l'un des domaines à l'autre des domaines.Currently the solution is to manually or automatically switch the display processing device from one domain to another domain.
Ceci a pour inconvénient dans le cas de la maintenance notamment d'empêcher l'opérateur de consulter son manuel électronique pendant qu'il intervient sur les systèmes du domaine de vol. Par exemple, une opération de maintenance sur les disjoncteurs d'un système correspond à une page du manuel de maintenance.This has the disadvantage in the case of maintenance in particular to prevent the operator to consult his electronic manual while he intervenes on the systems of the flight area. For example, a maintenance operation on the breakers of a system corresponds to a maintenance manual page.
Lorsque cette page est sélectionnée, le dispositif de traitement d'affichage est basculé sur l'affichage de la page du manuel.When this page is selected, the display processing device is switched to the display of the manual page.
Si cette page de manuel demande de réaliser une action de mise en ou hors fonction de certains disjoncteurs, l'opérateur doit basculer l'afficheur sur l'affichage des données du domaine de vol pour exécuter les actions demandées.If this manual page requests an action to turn on or off certain circuit breakers, the operator must switch the display to display the data of the flight domain to perform the requested actions.
Ce faisant, il perd l'affichage de la page du manuel qu'il était en train de consulter ce qui est problématique en terme de risque d'erreur et d'ergonomie.In doing so, he loses the display of the manual page he was looking at what is problematic in terms of risk of error and ergonomics.
Pour résoudre ce problème, il est alors commun de faire afficher, par le domaine le plus sécurisé, une fenêtre de confirmation, avec éventuellement un court descriptif de l'action lancée. Le lancement de l'action est alors confirmé par l'opérateur utilisant le système.To solve this problem, it is then common to display, by the most secure domain, a confirmation window, possibly with a short description of the action launched. The launch of the action is then confirmed by the operator using the system.
Selon l'Hypothèse N°1 , la fenêtre de confirmation lancée par le domaine le plus sécurisé va complètement masquer la fenêtre d'information affichée par le domaine le moins sécurisé, puisqu'il n'est pas possible de ségréguer l'écran ni de permettre que les 2 domaines y aient accès simultanément.According to Hypothesis No. 1, the confirmation window launched by the most secure domain will completely hide the information window displayed by the least secure domain, since it is not possible to segregate the screen or allow both domains to access it simultaneously.
Selon l'Hypothèse N°2, pour des raisons de sécurité, seules des commandes simples vont transiter du domaine le moins sécurisé vers le domaine plus sécurisé. Le descriptif et le contexte de l'action lancée, informations provenant du domaine le plus sécurisé, seront donc très succincts, voir inexistants.According to Hypothesis No. 2, for security reasons, only simple commands will go from the less secure domain to the more secure domain. The description and context of the action launched, information from the most secure domain, will be very succinct, or nonexistent.
Le problème est donc que l'opérateur ne dispose plus des informations provenant du domaine moins sécurisé lorsqu'il doit confirmer le lancement de l'action. Or, la description exacte de l'action et de son contexte d'où découlent son acceptation ou non de lancer l'action, est décrite dans les informations provenant justement du domaine moins sécurisé.The problem is that the operator no longer has the information from the less secure domain when he has to confirm the launch of the action. However, the exact description of the action and its context from which flow its acceptance or not to launch the action, is described in the information coming from the less secure domain.
Le problème à résoudre est donc de conserver l'affichage des données provenant du domaine moins sécurisé, alors que l'afficheur a été basculé vers le domaine plus sécurisé pour lancer des actions.The problem to solve is to keep the display of data from the less secure domain, while the display has been switched to the more secure domain to launch actions.
Il est donc nécessaire de trouver un moyen permettant en toute sécurité de conserver certaines données du manuel de maintenance affichées pendant l'affichage des données du domaine de vol, ce en empêchant toute interférence des systèmes du domaine de la maintenance moins sécurisé sur les systèmes du domaine de vol plus sécurisé.It is therefore necessary to find a way to safely keep some of the data in the maintenance manual displayed during the display of the flight domain data, while preventing interference. systems in the field of less secure maintenance on the systems of the more secure flight domain.
La solution proposée par la présente invention est basée sur des moyens permettant de faire afficher par un domaine plus sécurisé et sur un même écran, d'une part des données informatives provenant d'un domaine moins sécurisé dans un premier temps, et d'autre part des données actives du domaine plus sécurisé en surimpression. Ces données actives permettent de lancer une ou plusieurs commande dans et à partir du domaine le plus sécurisé.The solution proposed by the present invention is based on means making it possible to display by a more secure domain and on the same screen, on the one hand, informative data coming from a less secure domain in the first instance, and on the other hand from the active data of the more secure domain overprinting. This active data makes it possible to launch one or more commands in and from the most secure domain.
Le système est toujours composé de deux domaines de sécurité distincte, et d'un afficheur. L'afficheur peut toujours être basculé manuellement ou automatiquement dans l'un des deux domaines, mais les deux domaines ne peuvent en aucun cas utiliser simultanément cet afficheur.The system is always composed of two separate security domains, and a display. The display can always be switched manually or automatically in one of the two areas, but the two areas can not under any circumstances use this display simultaneously.
On désire par contre que le domaine moins sécurisé affiche à l'écran un certain nombre d'informations, et puisse demander le lancement d'une action qui ne peut être réalisée que par le domaine plus sécurisé. Il est alors nécessaire que le niveau le plus sécurisé prenne la « responsabilité » de lancer effectivement l'exécution de l'action.On the other hand, it is desired that the less secure domain display a certain amount of information on the screen, and may request the launching of an action that can only be performed by the more secure domain. It is then necessary that the most secure level take the "responsibility" to actually launch the execution of the action.
Pour ce faire, la présente invention propose un système de traitement et d'affichage de données caractérisé en ce qu'il comprend des moyens de traitement et d'affichage adaptés pour afficher à partir d'un domaine plus sécurisé et sur un même écran d'un dispositif de traitement d'affichage, d'une part des données informatives provenant d'un ou plusieurs domaines moins sécurisé et, d'autre part, des données actives du domaine plus sécurisé en surimpression.To do this, the present invention proposes a system for processing and displaying data, characterized in that it comprises processing and display means adapted to display from a more secure domain and on the same screen. a display processing device, on the one hand informative data from one or more less secure domains and, on the other hand, active data from the more secure domain overprinting.
Avantageusement, le système de l'invention comprend des moyens de sélection adaptés à basculer manuellement ou automatiquement les moyens de traitement et d'affichage dans l'un des deux domaines et adaptés à interdire l'utilisation simultanée des moyens de traitement et d'affichage par les deux domaines.Advantageously, the system of the invention comprises selection means adapted to manually or automatically switch the processing and display means in one of the two domains and adapted to prohibit the simultaneous use of the processing and display means by both domains.
Selon un mode de réalisation particulier, les moyens de traitement et d'affichage font partie du domaine le plus sécurisé, ce domaine comportant un module de contrôle adapté à recevoir les données du ou des domaines moins sécurisés et à prendre en charge l'affichage de ces données.According to a particular embodiment, the processing and display means are part of the most secure domain, this domain comprising a control module adapted to receive the data of the less secure domain or domains and to support the display of those data.
Préférablement, les données du ou des domaines moins sécurisés sont des données passives. Selon un mode de réalisation avantageux, le système de l'invention est tel que le domaine le plus sécurisé comprend des moyens de filtrage adaptés à autoriser l'affichage de données actives du seul domaine le plus sécurisé.Preferably, the data of the less secure domain or domains is passive data. According to an advantageous embodiment, the system of the invention is such that the most secure domain comprises filtering means adapted to allow the display of active data of the single most secure domain.
Il comprend avantageusement des moyens adaptés à lancer, à partir des données actives, une ou plusieurs commande dans et à partir du domaine le plus sécurisé.It advantageously comprises means adapted to launch, from the active data, one or more commands in and from the most secure domain.
Dans ce cas, le domaine le plus sécurisé comporte préférablement des moyens de définition de zones actives de l'écran et de limitation de ces zones actives à une zone d'affichage d'une fenêtre de commande affichée par ce domaine.In this case, the most secure domain preferably comprises means for defining active zones of the screen and for limiting these active zones to a display area of a control window displayed by this domain.
Les moyens de traitement et d'affichage sont en outre préférablement adaptés à interdire la présence de moyens d'interface homme machine dans les zones de l'écran autres que les zones actives.The processing and display means are furthermore preferably adapted to prohibit the presence of man-machine interface means in the areas of the screen other than the active zones.
Selon une solution particulière, le système de l'invention comprend des moyens de traitement séquentiels adaptés à afficher en premier les informations provenant d'un premier module d'envoi de données du ou des domaines moins sécurisés, puis celles provenant d'un second module d'envoi de données du domaine plus sécurisé.According to a particular solution, the system of the invention comprises sequential processing means adapted to first display the information from a first data sending module of the less secure domain or domains, then those from a second module sending more secure domain data.
Selon un mode de réalisation préférentiel de l'invention, le système de traitement et d'affichage comporte une liaison entre au moins un premier calculateur du domaine moins sécurisé et un second calculateur du domaine plus sécurisé pour permettre le passage d'une trame de données du domaine moins sécurisé vers le domaine plus sécurisé.According to a preferred embodiment of the invention, the processing and display system comprises a connection between at least a first computer of the less secure domain and a second computer of the more secure domain to allow the passage of a data frame. from the less secure domain to the more secure domain.
La trame est avantageusement d'un format prédéfini et réduit excluant le passage de données de commande.The frame is advantageously of a predefined and reduced format excluding the passage of control data.
En outre la trame est préférablement définie pour ne contenir que des informations représentatives des données à afficher et d'un format de taille fixe.In addition, the frame is preferably defined to contain only information representative of the data to be displayed and of a fixed size format.
Toujours selon ce dernier mode de réalisation, le domaine le plus sécurisé comporte notamment des moyens adaptés à provoquer un affichage des informations contenues dans la trame de façon uniquement passive.Still according to this last embodiment, the most secure domain comprises in particular means adapted to cause a display of the information contained in the frame only passively.
D'autres caractéristiques et avantages de l'invention seront apparents à la lecture de la description qui suit d'un exemple de réalisation non limitatif en référence aux dessins qui représentent: aux figures 1 A et 1 B: une représentation schématique de dispositif d'affichage de deux domaines de l'art antérieur; en figure 2: une représentation schématique d'un exemple de réalisation d'un système de l'invention; en figure 3: une représentation schématique des étapes d'affichage d'informations d'un domaine moins sécurisé et de commandes vers un domaine plus sécurisé selon l'invention; en figure 4: une représentation schématique des étapes d'affichage d'informations d'un domaine moins sécurisé et de commandes vers un domaine plus sécurisé selon une variante de l'invention.Other characteristics and advantages of the invention will become apparent on reading the following description of a nonlimiting exemplary embodiment with reference to the drawings which represent: in Figures 1A and 1B: a schematic representation of a display device of two fields of the prior art; in Figure 2: a schematic representation of an exemplary embodiment of a system of the invention; in FIG. 3: a schematic representation of the steps of displaying information of a less secure domain and of commands to a more secure domain according to the invention; in FIG. 4: a schematic representation of the steps of displaying information of a less secure domain and of commands to a more secure domain according to a variant of the invention.
Dans le cadre de l'exemple représenté, on considère deux domaines : un domaine A plus sécurisé et un domaine B moins sécurisé.In the context of the example shown, two domains are considered: a more secure A domain and a less secure B domain.
On appellera domaine un système avionique embarqué que ce soit un système complexe comprenant un ensemble de calculateurs en réseau, les logiciels et protocoles associés et les actionneurs et capteurs de ce système ou un système simple comportant un unique calculateur et son logiciel associé en fonction du niveau de complexité des fonctions traitées par ce système.Domain will be called an embedded avionics system whether it is a complex system comprising a set of networked computers, the associated software and protocols and the actuators and sensors of this system or a simple system comprising a single computer and its associated software depending on the level complexity of the functions handled by this system.
Le domaine A peut être notamment le système de gestion des paramètre de vol, des commandes de vol et des gouvernes, le système de gestion carburant ou le système regroupant la totalité des fonctions nécessaires au vol de l'aéronef.The domain A may be in particular the flight parameter management system, flight controls and control surfaces, the fuel management system or the system comprising all the functions necessary for the flight of the aircraft.
Le domaine B peut être par exemple le système informatisé de gestion de la maintenance, un système cabine non sécuritaire ou autre.Domain B may be, for example, the computerized maintenance management system, an unsafe cabin system or the like.
L'invention s'applique par exemple à la réalisation des opérations de maintenance avion pour lesquelles, à partir d'un manuel de maintenance contenu dans un calculateur de maintenance, l'opérateur doit effectuer des actions sur le système avionique de l'appareil.The invention applies for example to the performance of aircraft maintenance operations for which, from a maintenance manual contained in a maintenance computer, the operator must perform actions on the avionics system of the aircraft.
On considère en outre dans le cadre de l'invention un dispositif de traitement d'affichage comportant un écran commun et une console d'interface homme machine commune pour les réseaux informatisés des deux domaines, les deux domaines pouvant accéder de façon séparée (non simultanément) au dispositif de traitement d'affichage.In the context of the invention, a display processing device is also considered comprising a common screen and a common human-machine interface console for the computer networks of the two domains, the two domains being able to access separately (not simultaneously ) to the display processing device.
De la sorte, lorsqu'une application du domaine A utilise l'écran du dispositif de traitement d'affichage, alors les applications du domaine B ne peuvent pas accéder à cet écran, et inversement. La figure 1A représente une solution de l'art antérieur.In this way, when an application of the domain A uses the screen of the display processing device, then the applications of the domain B can not access this screen, and vice versa. Figure 1A shows a solution of the prior art.
Le domaine B moins sécurisé est schématisé par le rectangle 1.The less secure domain B is schematized by rectangle 1.
Le domaine A de haut niveau de sécurité est schématisé par le rectangle 2.Domain A of high security level is shown schematically by rectangle 2.
Les données 1a, 1 b à afficher de ces deux domaines sont envoyées sur un commutateur 3 actionné manuellement ou automatiquement qui dirige les informations sur un dispositif de traitement d'affichage 4 comprenant un afficheur 5.The data 1a, 1b to be displayed from these two domains are sent to a manually or automatically operated switch 3 which directs the information to a display processing device 4 comprising a display 5.
Le calculateur avionique fait partie du domaine A plus sécurisé car il permet d'agir directement sur les commandes de l'avion.The avionics calculator is part of the more secure domain A because it allows to act directly on the controls of the aircraft.
Le calculateur de maintenance contient notamment le manuel de maintenance. Pour que le manuel puisse être mis à jour régulièrement à moindre coût, il doit rester facilement modifiable, et donc dans sur un calculateur ou le niveau de sécurité est plus faible que celui du calculateur avionique. Le calculateur de maintenance est un calculateur du domaine B moins sécurisé.The maintenance computer contains, in particular, the maintenance manual. In order for the manual to be updated regularly at a lower cost, it must remain easily modifiable, and therefore in a calculator or the level of security is lower than that of the avionics calculator. The maintenance calculator is a less secure domain B calculator.
Selon la figure 1A, aucun lien n'existe entre les deux domainesAccording to Figure 1A, there is no link between the two domains
Pour des raisons de sûreté, la ségrégation entre le calculateur avionique et le manuel de maintenance empêche de lancer des actions réalisées par le calculateur avionique, directement depuis le calculateur de maintenance.For safety reasons, the segregation between the avionics computer and the maintenance manual prevents actions by the avionics computer from being initiated directly from the maintenance computer.
C'est donc à partir du calculateur avionique que la confirmation de l'action doit être réalisée, afin que celui-ci puisse vérifier, avant confirmation et à partir des données disponibles dans le calculateur avionique de la validité de l'action demandée par l'opérateur, puis exécuter cette action si nécessaire.It is therefore from the avionics calculator that the confirmation of the action must be performed, so that it can verify, before confirmation and from the data available in the avionics calculator of the validity of the action requested by the operator, and then perform this action if necessary.
Le schéma de la figure 1 B concerne une variante pour laquelle un numéro de commande peut être envoyé du domaine B vers le domaine A au travers d'une liaison sécurisée et pour lequel l'afficheur 5 bascule automatiquement d'un domaine à l'autre.The diagram of FIG. 1B relates to a variant for which a command number can be sent from domain B to domain A through a secure link and for which the display 5 switches automatically from one domain to another .
Cette figure montre toutefois que, du fait de la ségrégation entre les systèmes, lorsque l'opérateur de maintenance décide d'activer la commande (Etapes 3 et 4), alors il n'a plus la vision du manuel de maintenance (étapes 1 et 2), pouvant l'aider à valider et donc confirmer ce choix.However, this figure shows that, because of the segregation between the systems, when the maintenance operator decides to activate the command (Steps 3 and 4), he no longer has the vision of the maintenance manual (steps 1 and 4). 2), which can help validate and confirm this choice.
Les opérateurs se plaignent de ce manque de visibilité qui existe avec l'utilisation du calculateur de maintenance, par rapport à l'utilisation un manuel papier par exemple. Il est pour eux difficilement compréhensible qu'on ne puisse pas inclure la fenêtre de confirmation dans la même fenêtre que le manuel de maintenance. Cela permettrait de conserver la totalité des informations disponibles sur le manuel de maintenance. Ces informations sont, dans tous les cas, beaucoup plus complètes que les informations disponibles à partir du calculateur avionique.Operators complain about the lack of visibility that exists with the use of the maintenance computer, compared to the use of a paper manual for example. It is difficult for them to understand that we can not include the confirmation window in the same window as the manual. maintenance. This would keep all the information available on the maintenance manual. This information is, in all cases, much more complete than the information available from the avionics calculator.
La solution proposée représentée aux figures 2, 3 et 4 est basée sur la possibilité de faire afficher par le domaine A plus sécurisé et sur un même afficheur ou écran 5, d'une part des données informatives et passives provenant d'un ou plusieurs domaines B moins sécurisés et d'autre part des données actives du domaine A de sécurité plus élevé.The proposed solution represented in FIGS. 2, 3 and 4 is based on the possibility of displaying by the more secure domain A and on the same display or screen 5, on the one hand, informative and passive data coming from one or more domains. B less secure and on the other hand higher security domain A active data.
Les données actives sont des actions possibles par l'utilisateur : Affichage de zone sur lesquels l'utilisateur peut agir (boutons, zones de saisie, cases à cocher...), et qui permettent de lancer une ou plusieurs commande à partir du domaine le plus sécurisé, et dans ce même domaine.The active data are possible actions by the user: Display of zones on which the user can act (buttons, entry areas, checkboxes ...), and which allow to launch one or more command from the domain the most secure, and in this same area.
Dans ce cadre, le système de traitement et d'affichage de données de l'invention comprend des moyens de traitement et d'affichage adaptés pour afficher à partir du domaine A plus sécurisé et sur un même écran du dispositif de traitement d'affichage, d'une part des données informatives provenant du ou de plusieurs domaines B moins sécurisés sur une zone inactive 11a de l'afficheur et, d'autre part, des données actives du domaine plus sécurisé sur une zone active 11 b de l'afficheur.In this context, the data processing and display system of the invention comprises processing and display means adapted to display from the more secure domain A and on the same screen of the display processing device, on the one hand informative data from one or more domains B less secure on an inactive area 11a of the display and, on the other hand, active data of the more secure domain on an active area 11 b of the display.
Pour ce faire, comme représenté en figure 2, une liaison 10 est établie entre au moins un premier calculateur 1 du domaine moins sécurisé et un second calculateur 2 du domaine plus sécurisé pour permettre le passage d'une trame de données 9 du domaine moins sécurisé vers le domaine plus sécurisé.To do this, as represented in FIG. 2, a link 10 is established between at least a first computer 1 of the less secure domain and a second computer 2 of the more secure domain to allow the passage of a data frame 9 of the less secure domain. to the more secure domain.
Pour éviter toute corruption accidentelle de la trame et pouvoir en contrôler aisément les données, la trame 9 doit avoir le format le plus simple possible et être la plus réduite possible.To avoid accidental corruption of the frame and to easily control the data, the frame 9 must have the simplest possible format and be as small as possible.
Ceci est nécessaire pour éviter que la trame ne renferme du code malicieux utilisable et afin que son affichage ne nécessite pas de traitement permettant d'exécuter un tel code, une décompression par exemple.This is necessary to prevent the frame contains usable malicious code and so that its display does not require treatment to execute such code, for example decompression.
De plus, les données en provenance du domaine B ne doivent être affichées par le domaine A que sur des zones inactives 11a de l'écran et le domaine A doit être seul maître de la configuration des couleurs. Toutes les données de la trame sont prédéfinies : nombre de couleurs affichables, taille de la trame et liste exacte des pixels contenus dans la trame.In addition, data from domain B should be displayed by domain A only on inactive areas 11a of the screen and domain A should be the sole master of the color configuration. All the data of the frame are predefined: number of colors displayable, size of the frame and exact list of the pixels contained in the frame.
Les données informatives sont ainsi envoyées d'un des domaines B moins sécurisé vers le domaine A plus sécurisé dans une trame 9 dont le format est simple comprenant seulement les informations représentatives des données à afficher, sans paramètres de configuration ni de commandes. La trame est prédéfinie et de taille fixe.The informative data is thus sent from one of the less secure domains B to the more secure domain A in a frame 9 whose format is simple comprising only the information representative of the data to be displayed, without configuration parameters or commands. The frame is predefined and of fixed size.
De plus, les informations contenues dans cette trame sont uniquement destinées à être affichées de façon passive sans action utilisateur possible, à la manière d'un fond d'écran.In addition, the information contained in this frame is only intended to be displayed in a passive manner without possible user action, in the manner of a wallpaper.
Ceci est contrôlé par des moyens de transfert disposés dans le domaine le plus sécurisé et par exemple dans un calculateur de gestion de l'affichage comportant selon la figure 2 un module de fusion 6.This is controlled by transfer means arranged in the most secure domain and for example in a display management computer comprising, according to FIG. 2, a fusion module 6.
Cela permet : de réduire les risques d'attaque malveillante lors de l'affichage de données informatives passives erronées. Le domaine plus sécurisé est ainsi protégé de toute attaque malveillante.This makes it possible: to reduce the risks of malicious attack when displaying erroneous passive information data. The more secure domain is thus protected from any malicious attack.
Dans un but de sécurité le nombre des couleurs affichables par le domaine B sera limité et la gamme de couleurs sera en outre définie par le dispositif de gestion de l'affichage 12 du domaine le plus sécurisé en fonction de la fonction de la couleur. Cela permet: de réduire les risques d'utilisation malveillante permettant de réaliser des affichages très voyants grâce au jeu de couleurs de l'afficheur, un meilleur confort d'utilisation, car il est nécessaire que l'utilisateur puisse voir visuellement le fait que les informations sont passives. de limiter le volume de la trame échangée du domaine le moins sécurisé vers le domaine le plus sécurisé, et donc de pouvoir utiliser des architectures dont les moyens de liaison entre les deux domaines sont potentiellement faibles sur un système embarqué par exemple.For security purposes the number of colors displayable by the domain B will be limited and the color range will be further defined by the display management device 12 of the most secure domain according to the function of the color. This makes it possible: to reduce the risks of malicious use making it possible to produce very conspicuous displays thanks to the color scheme of the display, a better comfort of use, since it is necessary that the user can visually see the fact that the information is passive. to limit the volume of the frame exchanged from the less secure domain to the most secure domain, and therefore to be able to use architectures whose connection means between the two domains are potentially low on an embedded system for example.
Dans ce cas, le domaine le plus sécurisé comporte préférablement des moyens de définition de zones actives de l'écran et de limitation de ces zones actives à une zone d'affichage d'une fenêtre de commande affichée par ce domaine. Les moyens de traitement et d'affichage sont en outre préférablement adaptés à interdire la présence de moyens d'interface homme machine dans les zones de l'écran autres que les zones actives.In this case, the most secure domain preferably comprises means for defining active zones of the screen and for limiting these active zones to a display area of a control window displayed by this domain. The processing and display means are furthermore preferably adapted to prohibit the presence of man-machine interface means in the areas of the screen other than the active zones.
Le seul lien entre les deux modules d'envoi est préférablement un moyen de liaison autorisant l'envoi de synchronisations du domaine le moins sécurisé vers le module du domaine le plus sécurisé.The only link between the two sending modules is preferably a connection means allowing the sending of synchronizations from the less secure domain to the module of the most secure domain.
Le système de l'invention comporte avantageusement un dispositif de filtrage des commandes associé à un pare feu et à un système d'authentification et vérification de l'intégrité des données du ou des domaines moins sécurisés.The system of the invention advantageously comprises a filtering device controls associated with a firewall and a system for authenticating and verifying the integrity of the data or less secure domains.
La réalisation de la fusion des données pour l'afficheur est faite dans un module 6, de fusion ou de synchronisation dont le niveau de sécurité est identique à celui du domaine A le plus sécurisé, et qui : peut recevoir du domaine B le moins sécurisé uniquement les trames d'affichage prédéfinies, peut recevoir des données notamment des trames à afficher depuis le domaine le plus sécurisé, peut envoyer les trames fusionnées à afficher vers l'afficheur,The data fusion for the display is done in a module 6, merging or synchronization whose security level is identical to that of the most secure domain A, and which: can receive the least secure domain B only the predefined display frames, can receive data including frames to display from the most secure domain, can send the merged frames to display to the display,
La réception ou l'envoi de données supplémentaires est envisageable, comme : la réception, par le module de fusion 6, de données pour le dispositif de traitement d'affichage, par exemple de données 14 de configuration ou pointeur souris ou boule du dispositif de traitement d'affichage provenant du domaine le plus sécurisé.The reception or sending of additional data is conceivable, such as: the reception, by the merging module 6, of data for the display processing device, for example configuration data 14 or pointer mouse or ball of the device of display processing from the most secure domain.
Comme certaines données rendraient le système plus sensible à des attaques malveillantes. Ces communications supplémentaires sont préférablement limitées par exemple : à l'envoi d'acquittements 13 du module de fusion ou de synchronisation des données pour l'afficheur vers l'un ou l'autre des domaines.As some data would make the system more susceptible to malicious attacks. These additional communications are preferably limited, for example: to sending acknowledgments 13 of the data fusion or synchronization module for the display to one or other of the domains.
Selon la figure 3, le domaine le plus sécurisé gère les affichages du domaine le moins sécurisé lors de l'étape de choix de la commande à réaliser sur des systèmes du domaine le plus sécurisé.According to FIG. 3, the most secure domain manages the displays of the least secure domain during the command selection step to be performed on systems of the most secure domain.
Le domaine A le plus sécurisé est représenté sur la gauche de la figure, l'écran ou afficheur 5 au milieu et le domaine B le moins sécurisé sur la droite. On réalise selon cet exemple la séparation sur le même afficheur 5 sous le contrôle du calculateur du domaine le plus sécurisé des informations 104 provenant du domaine moins sécurisé et des informations 103 du domaine plus sécurisé, sans réalisation préliminaire d'une fusion commune des données.The most secure domain A is shown on the left of the figure, the screen or display 5 in the middle and the B domain the least secure on the right. According to this example, the separation is carried out on the same display 5 under the control of the computer of the most secure domain of information 104 coming from the less secure domain and information 103 of the more secure domain, without preliminary realization of a common merge of the data.
Dans ce cas, aux étapes E1 , affichage d'informations et E2, choix par l'opérateur d'une commande correspondant à un numéro de commande donné, C1 selon l'exemple, l'afficheur affiche en premier les informations provenant du module moins sécurisé B.In this case, in steps E1, information display and E2, choice by the operator of a command corresponding to a given command number, C1 according to the example, the display first displays the information from the module less secure B.
Lorsque l'opérateur a effectué le choix de la commande, le calculateur du domaine B le moins sécurisé envoie une trame 9 contenant les informations de la zone d'information au calculateur du domaine A le plus sécurisé.When the operator has made the choice of the command, the least secure domain controller B sends a frame 9 containing the information of the information zone to the most secure domain A calculator.
Le calculateur du domaine A reçoit la trame et envoie à l'afficheur les informations de la zone passive 104 à afficher contenant les informations issues du domaine A à l'étape E4.The domain A computer receives the frame and sends the display the information of the passive zone 104 to display containing the information from the domain A to the step E4.
Le calculateur du domaine A envoie une trame d'acquittement 16 au calculateur du domaine B.The domain A calculator sends an acknowledgment frame 16 to the domain B calculator.
Ce dernier envoie alors à l'étape E5 le numéro de commande à réaliser vers le calculateur du domaine A au travers d'un lien sécurisé 15.The latter then sends in step E5 the order number to be made to the computer of the domain A through a secure link 15.
A l'étape E6, le calculateur du domaine A envoie les informations de la zone active 103 à l'afficheur en correspondance à la commande C1 à réaliser.In step E6, the computer of the domain A sends the information of the active zone 103 to the display corresponding to the command C1 to be made.
La ségrégation des données de la zone passive 104 et données de la zone active 103 pour l'afficheur peut être réalisée par logiciel ou par matériel.The segregation of the data of the passive zone 104 and data of the active zone 103 for the display can be done by software or by hardware.
L'avantage de la solution matérielle est qu'elle est plus robuste dans le temps car moins sensible aux évolutions des moyens et connaissances de piratage.The advantage of the hardware solution is that it is more robust over time because it is less sensitive to changes in piracy means and knowledge.
Le risque résiduel est que le contenu de la trame 9 soit modifié de façon cohérente par malveillance ou accidentellement dans le domaine B lors de sa création ou qu'une trame cohérente soit envoyée par un tiers au domaine A.The residual risk is that the content of the frame 9 is modified in a consistent manner maliciously or accidentally in the domain B during its creation or that a coherent frame is sent by a third party to the domain A.
Cela peut être détecté par un contrôle d'intégrité et/ou une authentification entre les domaines et le module de fusion des données pour l'afficheur.This can be detected by integrity checking and / or authentication between the domains and the data merge module for the display.
Ceci renforce la sécurité du module de fusion des données pour l'afficheur en évitant la réception de données non intègres ou dont la provenance n'est pas autorisée. Dans le cas où l'on désire afficher les données provenant de plusieurs domaines, alors les domaines moins sécurisés envoient des données vers le module du domaine le plus sécurisé. Ces données seront aussi dans ce cas toutes passives. Seul le domaine le plus sécurisé pourra afficher des données actives.This enhances the security of the data merging module for the display by avoiding the receipt of ungrateful data or whose provenance is not allowed. In case you want to display the data from several domains, then the less secure domains send data to the module of the most secure domain. This data will also be in this case all passive. Only the most secure domain will be able to display active data.
La figure 4 correspond à une variante de réalisation du système pour laquelle le domaine A comprend un calculateur du type module de synchronisation ou module de fusion qui va gérer l'affichage et les données des zones active et passive 103, 104:FIG. 4 corresponds to an alternative embodiment of the system for which the domain A comprises a synchronization module type calculator or a merge module that will manage the display and the data of the active and passive zones 103, 104:
- à l'étape E11 , le domaine B le moins sécurisé, rectangle 1 , affiche des informations 100 sur l'écran 5,in step E11, the least secure domain B, rectangle 1, displays information 100 on the screen 5,
- à l'étape E12, l'opérateur demande l'activation d'une commande C1 qui doit être réalisé par le domaine A le plus sécurisé,in step E12, the operator requests the activation of a command C1 which must be carried out by the most secure domain A,
- à l'étape E13, le domaine B envoie vers le domaine A une trame 9 de taille fixe représentant la liste des couleurs des pixels à afficher à l'écran ainsi que le formatage de la zone d'information,in step E13, the domain B sends to domain A a frame 9 of fixed size representing the list of colors of the pixels to be displayed on the screen as well as the formatting of the information zone,
- à l'étape E14, le domaine A reçoit la trame 9 au niveau d'un module de synchronisation,in step E14, the domain A receives the frame 9 at a synchronization module,
- à l'étape E15, le calculateur du domaine moins sécurisé envoie le numéro de la commande choisie par l'opérateur au travers d'un lien sécurisé 15,in step E15, the calculator of the less secure domain sends the number of the command chosen by the operator through a secure link 15,
- à l'étape E16, le calculateur du domaine A réceptionne le numéro de la commande et envoie à son module de synchronisation les paramètres de la zone active de l'interface homme machine de la commande à afficher,in step E16, the computer of the domain A receives the number of the command and sends to its synchronization module the parameters of the active zone of the man-machine interface of the command to be displayed,
- à l'étape E17, le module de synchronisation du domaine A affiche à l'écran 5 l'interface homme machine (IHM) de la commande qui n'occupe qu'une partie 11a de la fenêtre, la zone active 103, et affiche les pixels décrits dans la trame de pixels envoyée par le domaine B dans les parties d'écran 11a non occupées par l'IHM de la commande, la zone d'information 104.in step E17, the domain A synchronization module displays on the screen 5 the man-machine interface (HMI) of the control which occupies only a portion 11a of the window, the active zone 103, and displays the pixels described in the pixel frame sent by the domain B in screen portions 11a not occupied by the control's HMI, the information area 104.
Le module de synchronisation constitue des moyens de traitement séquentiels adaptés à afficher en premier les informations provenant d'un premier module d'envoi de données du ou des domaines moins sécurisés, puis celles provenant d'un second module d'envoi de données du domaine plus sécurisé.The synchronization module constitutes sequential processing means adapted to first display the information from a first data sending module of the less secure domain or domains, then those from a second data sending module of the domain. safer.
En outre, le module de synchronisation du domaine le plus sécurisé constitue des moyens de définition de zones actives de l'écran et de limitation de ces zones actives à une zone d'affichage d'une fenêtre de commande affichée par ce domaine et adaptés à interdire la présence de moyens d'interface homme machine dans les zones de l'écran autres que les zones actives.In addition, the synchronization module of the most secure domain constitutes means for defining active areas of the screen and for limiting the these active zones to a display area of a control window displayed by this domain and adapted to prohibit the presence of man-machine interface means in the screen areas other than the active areas.
Dans la figure 4, les paramètres de la zone d'information 100 en haut de l'écran 5 dont l'affichage est requis par le domaine B sont envoyés au domaine A. L'affichage 104 de cette zone d'information par le Domaine A utilise des couleurs différentes et la zone d'affichage du domaine A sur l'écran est différente.In FIG. 4, the parameters of the information zone 100 at the top of the screen 5 whose display is required by the domain B are sent to the domain A. The display 104 of this information area by the Domain A uses different colors and the area A display area on the screen is different.
Pour que le système soit sécurisé, les exigences suivantes sont prises en compte dans le cadre de l'invention:For the system to be secure, the following requirements are taken into account in the context of the invention:
Les zones actives 103 de l'écran, c'est à dire les zones ou l'opérateur utilisant le pointeur ou le clavier du dispositif de traitement d'affichage peut valider une action ou faire un choix entre deux actions, sont définies par le domaine A et limitées à la zone d'affichage 11a de la fenêtre de commande affichée par ce domaine. Les autres zones de l'écran 104 ne contiennent pas d'éléments d'IHM actifs.The active areas 103 of the screen, that is to say the areas where the operator using the pointer or the keyboard of the display processing device can validate an action or make a choice between two actions, are defined by the domain A and limited to the display area 11a of the command window displayed by this domain. The other areas of the screen 104 do not contain any active HMI elements.
La liste des couleurs utilisées pour l'affichage des informations du domaine B depuis le domaine A doit être la plus petite possible (2 couleurs étant l'idéal).The list of colors used for the display of domain B information from domain A should be as small as possible (2 colors being ideal).
Ces couleurs sont définies par le domaine A à partir de la fonction de chaque couleur. Le domaine B doit traduire son affichage en un nombre de couleurs gérées par le domaine A.These colors are defined by domain A from the function of each color. Domain B must translate its display into a number of colors managed by domain A.
Par exemple, Si le domaine B affiche 24 couleurs, alors que le domaine A n'accepte que 2 couleurs en provenance du domaine B (couleur de fond, et couleur d'écriture par exemple), alors le domaine B doit traduire sa commande d'affichage à l'écran sur 2 couleurs seulement, ces 2 couleurs correspondant aux deux fonctionnalités traitées par le Domaine A.For example, if domain B displays 24 colors, while domain A only accepts 2 colors from domain B (background color, and write color for example), then domain B must translate its command to on-screen display on 2 colors only, these 2 colors corresponding to the two functionalities treated by Domain A.
La taille de la trame de pixels est fixe et prédéfinie, son contenu représente tout ou une partie ou plusieurs parties de l'écran affiché par le domaine B. La position des pixels contenus dans la trame est prédéfinie et connue conjointement par les deux domaines.The size of the pixel frame is fixed and predefined, its content represents all or part or more of the screen displayed by the domain B. The position of the pixels contained in the frame is predefined and known jointly by the two domains.
Le contenu est en fait une liste de bits, chaque ensemble de bits décrivant un ou deux pixels selon que l'écran contient un nombre pair ou impair de pixels.The content is actually a list of bits, each set of bits describing one or two pixels depending on whether the screen contains an even or odd number of pixels.
Par exemple, si le domaine A gère un nombre n de couleurs, alors chaque ensemble de nb bits, avec nb = [partie entière de (n/2 +0,5)] bits permet de décrire un pixel. Par exemple, pour 2 couleurs C1 et C2, un seul bit permet de décrire le pixel :For example, if the domain A manages a number n of colors, then each set of nb bits, with nb = [integer part of (n / 2 + 0.5)] bits makes it possible to describe a pixel. For example, for 2 colors C1 and C2, a single bit is used to describe the pixel:
- si le bit est égal à 0 alors la couleur est C1 ,if the bit is 0 then the color is C1,
- si le bit est égal à 1 alors la couleur est C2,if the bit is equal to 1 then the color is C2,
Dans le cas de 3 couleurs C1 , C2 et C3, 2 bits permettent de décrire le pixel :In the case of 3 colors C1, C2 and C3, 2 bits make it possible to describe the pixel:
- si les bits sont égaux à 00 alors la couleur est C1 ,if the bits are equal to 00 then the color is C1,
- si les bits sont égaux à 01 alors la couleur est C2- if the bits are equal to 01 then the color is C2
- si les bits sont égaux à 10 ou 11 alors la couleur est C3.- if the bits are equal to 10 or 11 then the color is C3.
Dans le cas où le nombre de pixels décrits est égal à p, alors la taille de la trame est de : partie entière ([p*nb*8 + 7] /8) octets.In the case where the number of pixels described is equal to p, then the size of the frame is: integer part ([p * nb * 8 + 7] / 8) bytes.
Par exemple, si on veut décrire 200 pixels en 2 couleurs, alors la taille de la trame est de partie entière ([200*8 + 7] /8) octets = 200 octets.For example, if you want to describe 200 pixels in 2 colors, then the size of the frame is of integer part ([200 * 8 + 7] / 8) bytes = 200 bytes.
Si on veut décrire 207 pixels en 3 couleurs, alors la taille de la trame est de partie entière ([200*2*8 + 7] /8) octets = 414 octets.If we want to describe 207 pixels in 3 colors, then the size of the frame is of integer part ([200 * 2 * 8 + 7] / 8) bytes = 414 bytes.
Ainsi, la trame est précisément définie et les données inutiles sont éliminées soit à l'émission de la trame soit par un dispositif de filtrage dans le module de traitement du domaine le plus sécurisé.Thus, the frame is precisely defined and the useless data are eliminated either at the emission of the frame or by a filtering device in the processing module of the most secure domain.
L'invention décrite dans le cadre d'un exemple d'application à l'affichage de données d'un domaine non sécurisé tel que les calculateurs de maintenance d'un aéronef et la réalisation d'actions dans un domaine sécurisé de l'aéronef n'est pas limitée à cette exemple et est applicable à tout système comprenant au moins deux domaines de niveau de sécurité différents entrant dans le champ des revendications. The invention described in the context of an exemplary application to the display of data of a non-secure domain such as maintenance computers of an aircraft and the achievement of actions in a secure domain of the aircraft is not limited to this example and is applicable to any system comprising at least two different security level domains falling within the scope of the claims.

Claims

R E V E N D I C A T I O N SR E V E N D I C A T IO N S
1 - Système de traitement et d'affichage de données comprenant des moyens de traitement et d'affichage adaptés pour afficher à partir d'un domaine plus sécurisé (A) et sur un même écran (5) d'un dispositif de traitement d'affichage, d'une part des données informatives (104) provenant d'un ou plusieurs domaines moins sécurisé (B) et, d'autre part, des données actives (103) du domaine plus sécurisé en surimpression, caractérisé en ce que les moyens de traitement et d'affichage font partie du domaine le plus sécurisé, ce domaine comportant un module de contrôle (6) adapté à recevoir les données du ou des domaines moins sécurisés et à prendre en charge l'affichage de ces données et en ce que le système comprend des moyens adaptés à lancer, à partir des données actives (103), une ou plusieurs commande (C1 ) dans et à partir du domaine le plus sécurisé et pour lequel les données actives sont affichées sur une zone active de l'afficheur réalisant une interface homme machine par des moyens de définition de zones actives de l'écran du domaine le plus sécurisé.1 - Data processing and display system comprising processing and display means adapted to display from a more secure domain (A) and on the same screen (5) of a processing device. displaying, on the one hand, informative data (104) from one or more less secure domains (B) and, on the other hand, active data (103) from the more secure domain overprinting, characterized in that the means processing and display are part of the most secure domain, this domain comprising a control module (6) adapted to receive the data of less secure domain or domains and to support the display of these data and in that the system comprises means adapted to launch, from the active data (103), one or more commands (C1) in and from the most secure domain and for which the active data are displayed on an active area of the display performing an inter face man machine by means of defining active areas of the screen of the most secure domain.
2 - Système de traitement et d'affichage de données selon la revendication 1 caractérisé en ce qu'il comprend des moyens de sélection adaptés à basculer manuellement ou automatiquement les moyens de traitement et d'affichage dans l'un des deux domaines et adaptés à interdire l'utilisation simultanée des moyens de traitement et d'affichage par les deux domaines.2 - data processing and display system according to claim 1 characterized in that it comprises selection means adapted to switch manually or automatically the processing and display means in one of the two areas and adapted to prohibit the simultaneous use of the processing and display means by the two domains.
3 - Système de traitement et d'affichage de données selon la revendication 1 caractérisé en ce que les données du ou des domaines moins sécurisés sont des données passives (104).3 - data processing and display system according to claim 1 characterized in that the data or less secure domain are passive data (104).
4 - Système de traitement et d'affichage de données selon l'une des revendications 1 à 3 caractérisé en ce que le domaine le plus sécurisé comprend des moyens de filtrage adaptés à autoriser l'affichage de données actives du seul domaine le plus sécurisé.4 - data processing and display system according to one of claims 1 to 3 characterized in that the most secure domain comprises filtering means adapted to allow the display of active data of the single most secure domain.
5 - Système de traitement et d'affichage selon l'une des revendications précédentes caractérisé en ce que le domaine le plus sécurisé comporte des moyens de définition de zones actives de l'écran et de limitation de ces zones actives à une zone d'affichage d'une fenêtre de commande affichée par ce domaine et adaptés à interdire la présence de moyens d'interface homme machine dans les zones de l'écran autres que les zones actives.5 - processing and display system according to one of the preceding claims characterized in that the most secure domain comprises means for defining active areas of the screen and limiting these active areas to a display area a command window displayed by this domain and adapted to prohibit the presence of man-machine interface means in the areas of the screen other than the active areas.
6 - Système de traitement et d'affichage selon l'une des revendications précédentes caractérisé en ce qu'il comprend des moyens de traitement séquentiels adaptés à afficher en premier les informations provenant d'un premier module d'envoi de données du ou des domaines moins sécurisés, puis celles provenant d'un second module d'envoi de données du domaine plus sécurisé.6 - processing and display system according to one of the preceding claims characterized in that it comprises sequential processing means adapted to first display the information from a first data sending module of the domain or domains less secure, then those from a second module for sending data from the more secure domain.
7 - Système de traitement et d'affichage selon l'une des revendications précédentes caractérisé en ce qu'il comporte une liaison entre au moins un premier calculateur du domaine moins sécurisé et un second calculateur du domaine plus sécurisé pour permettre le passage d'une trame de données d'un format prédéfini de taille fixe et réduit, ne contenant que des informations représentatives des données à afficher et excluant le passage de données de commande du domaine moins sécurisé vers le domaine plus sécurisé.7 - processing and display system according to one of the preceding claims characterized in that it comprises a connection between at least a first computer less secure domain and a second computer more secure domain to allow the passage of a a data frame of a predefined format of fixed and reduced size, containing only information representative of the data to be displayed and excluding the passage of control data from the less secure domain to the more secure domain.
8 - Système de traitement et d'affichage selon la revendication 7 caractérisé en ce que le domaine le plus sécurisé comporte des moyens adaptés à provoquer un affichage des informations contenues dans la trame de façon uniquement passive. 8 - Processing and display system according to claim 7 characterized in that the most secure domain comprises means adapted to cause a display of the information contained in the frame only passive way.
EP08827202A 2007-08-08 2008-08-05 Data processing and display system Withdrawn EP2183664A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0756999A FR2919951B1 (en) 2007-08-08 2007-08-08 SYSTEM FOR PROCESSING AND DISPLAYING DATA
PCT/FR2008/051462 WO2009022080A1 (en) 2007-08-08 2008-08-05 Data processing and display system

Publications (1)

Publication Number Publication Date
EP2183664A1 true EP2183664A1 (en) 2010-05-12

Family

ID=39167521

Family Applications (1)

Application Number Title Priority Date Filing Date
EP08827202A Withdrawn EP2183664A1 (en) 2007-08-08 2008-08-05 Data processing and display system

Country Status (4)

Country Link
US (1) US8890893B2 (en)
EP (1) EP2183664A1 (en)
FR (1) FR2919951B1 (en)
WO (1) WO2009022080A1 (en)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2919951B1 (en) * 2007-08-08 2012-12-21 Airbus France SYSTEM FOR PROCESSING AND DISPLAYING DATA
FR2953285B1 (en) * 2009-12-01 2011-12-30 Sagem Defense Securite DEVICE FOR DISPLAYING CRITICAL AND NON-CRITICAL INFORMATION, AND AIRCRAFT INCORPORATING SUCH A DEVICE
DE102012207439A1 (en) * 2012-05-04 2013-11-07 Cassidian Airborne Solutions Gmbh Method for displaying safety-critical data by a display unit; display unit
FR2992086B1 (en) * 2012-06-14 2015-05-15 Thales Sa IMAGE COMPOSING DEVICE
EP2735962B1 (en) 2012-11-22 2022-03-09 Bombardier Transportation GmbH Colour-discriminating checksum computation in a human-machine interface
FR3005361B1 (en) * 2013-05-06 2018-05-04 Dassault Aviation CLEARANCE ASSISTING DEVICE FOR DISPLAYING ANIMATION AND ASSOCIATED METHOD
FR3036202A1 (en) * 2015-05-12 2016-11-18 Soc Technique Pour L'energie Atomique DATA DISPLAY SYSTEM FOR SUPERVISION OF TECHNICAL FACILITIES
FR3077401B1 (en) * 2018-01-29 2020-01-03 Psa Automobiles Sa DISPLAY SYSTEM WITH SCREENS ASSOCIATED WITH COMMON PROCESSING MEANS AND FOR DISPLAYING CONTENTS OF DIFFERENT PRIORITY LEVELS.
ES2923182T3 (en) 2018-04-06 2022-09-26 Thales Man & Services Deutschland Gmbh Train traffic control system and method for securely displaying a status indication of a route and train control system

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6061756A (en) * 1995-11-20 2000-05-09 Advanced Micro Devices, Inc. Computer system which performs intelligent byte slicing/data packing on a multi-byte wide bus
US6317714B1 (en) * 1997-02-04 2001-11-13 Microsoft Corporation Controller and associated mechanical characters operable for continuously performing received control data while engaging in bidirectional communications over a single communications channel
JP3561154B2 (en) * 1997-12-26 2004-09-02 株式会社東芝 Broadcast receiving device and contract management device
US6486914B1 (en) * 1998-02-27 2002-11-26 Flashpoint Technology, Inc. Method and system for controlling user interaction in a digital imaging device using dynamic overlay bars
FR2787658B1 (en) * 1998-12-18 2001-03-16 Sextant Avionique COMMUNICATION MODES MANAGEMENT METHOD FOR AN AIRCRAFT
KR100323679B1 (en) * 1999-03-26 2002-02-07 구자홍 Apparatus and Method for auto channel serching of TV
US7437750B1 (en) * 1999-04-12 2008-10-14 Matsushita Electric Industrial Co., Ltd. Data transceiving system and method therefor
US7327789B2 (en) * 2001-08-06 2008-02-05 Matsushita Electric Industrial Co., Ltd. Decoding apparatus, decoding method, decoding program, and decoding program storage medium
US6822624B2 (en) * 2002-09-10 2004-11-23 Universal Avionics Systems Corporation Display generation system
FR2844893B1 (en) * 2002-09-20 2004-10-22 Thales Sa MAN-MACHINE INTERFACE FOR AUTOMATIC PILOT CONTROL FOR AERODYNE PILOT PROVIDED WITH AN ATN TRANSMISSION NETWORK TERMINAL.
WO2004046924A1 (en) * 2002-11-18 2004-06-03 Arm Limited Processor switching between secure and non-secure modes
US7391910B2 (en) * 2003-07-31 2008-06-24 Seiko Epson Corporation LAPE: layered presentation system utilizing compressed-domain image processing
US7176937B2 (en) * 2003-09-23 2007-02-13 Honeywell International, Inc. Methods and apparatus for displaying multiple data categories
US7376943B2 (en) * 2003-12-18 2008-05-20 Lsi Corporation Safe method for upgrading firmware of optical disk product
US7215256B2 (en) * 2004-03-12 2007-05-08 Honeywell International Inc. Method and apparatus for displaying attitude, heading, and terrain data
US7376900B2 (en) * 2004-09-30 2008-05-20 International Business Machines Corporation Method and system to control operation of a portlet
US20060176278A1 (en) * 2005-02-10 2006-08-10 Motorola, Inc. Method and system for display orientation
US7853882B2 (en) * 2006-04-11 2010-12-14 International Business Machines Corporation Portlets having different portlet specific enablement states
FR2919951B1 (en) * 2007-08-08 2012-12-21 Airbus France SYSTEM FOR PROCESSING AND DISPLAYING DATA

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2009022080A1 *

Also Published As

Publication number Publication date
US8890893B2 (en) 2014-11-18
US20110157222A1 (en) 2011-06-30
FR2919951A1 (en) 2009-02-13
FR2919951B1 (en) 2012-12-21
WO2009022080A1 (en) 2009-02-19

Similar Documents

Publication Publication Date Title
WO2009022080A1 (en) Data processing and display system
US20220360976A1 (en) Systems and methods for real-time remote control of mobile applications
US20190050600A1 (en) Masking display of sensitive information
US20200153911A1 (en) Systems and methods for sharing saas content across workspace
US9203826B1 (en) Authentication based on peer attestation
US20200151243A1 (en) Systems and methods for rich input into text fields using an embedded browser
CN102841738B (en) Via signal conditioning package and the control method thereof of network and external device communication
WO2015088578A1 (en) Textbox magnifier
CN104270353B (en) information security transmission method and system, receiving terminal and sending terminal
US11245530B2 (en) System and method for secure communication
EP3198517A1 (en) Smartphone or tablet having a secure display
FR2907572A1 (en) DEVICE FOR CONTROLLING THE SWITCHING OF A USER INTERFACE ..
WO2022012614A1 (en) Data processing method and apparatus, and electronic device
US20180218163A1 (en) Preventing image capture data leaks
CN112637195B (en) Method and device for controlling electronic equipment and electronic equipment
CN114727033A (en) Signal source calling and controlling method and system
US9722983B2 (en) Method and device for connecting to a high security network
CN113138675B (en) Information display method and device and electronic equipment
EP3433991B1 (en) Method for managing and maintaining an aircraft comprising an area with a high degree of security
CN105491026B (en) A kind of remote loading method of security strategy
CN113961911A (en) Model data sending method, model data integration method and device
US8914884B1 (en) System and methods for protecting data from input devices
CN114449182A (en) Signal source calling and controlling method and system
EP1484673B1 (en) Method and system for transmission of aircraft information
JP4066033B1 (en) Client terminal monitoring system

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20100222

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA MK RS

17Q First examination report despatched

Effective date: 20100825

DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20180301