ES2199128T3 - Sistema informatico asegurado. - Google Patents
Sistema informatico asegurado.Info
- Publication number
- ES2199128T3 ES2199128T3 ES00402644T ES00402644T ES2199128T3 ES 2199128 T3 ES2199128 T3 ES 2199128T3 ES 00402644 T ES00402644 T ES 00402644T ES 00402644 T ES00402644 T ES 00402644T ES 2199128 T3 ES2199128 T3 ES 2199128T3
- Authority
- ES
- Spain
- Prior art keywords
- processor
- security
- peripheral
- computer system
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 230000002093 peripheral effect Effects 0.000 claims abstract description 40
- 238000004364 calculation method Methods 0.000 claims abstract description 14
- 210000000056 organ Anatomy 0.000 claims abstract description 8
- 238000011282 treatment Methods 0.000 claims description 13
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000004891 communication Methods 0.000 claims description 4
- 238000004519 manufacturing process Methods 0.000 claims 1
- 238000001514 detection method Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000015654 memory Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 230000004064 dysfunction Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000000034 method Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000002747 voluntary effect Effects 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L15/00—Indicators provided on the vehicle or train for signalling purposes
- B61L15/0063—Multiple on-board control systems, e.g. "2 out of 3"-systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/30—Trackside multiple control systems, e.g. switch-over between different systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/08—Error detection or correction by redundancy in data representation, e.g. by using checking codes
- G06F11/10—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
- G06F11/1008—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's in individual solid state devices
- G06F11/1012—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's in individual solid state devices using codes or arrangements adapted for a specific type of error
- G06F11/104—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's in individual solid state devices using codes or arrangements adapted for a specific type of error using arithmetic codes, i.e. codes which are preserved during operation, e.g. modulo 9 or 11 check
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Hardware Redundancy (AREA)
- Storage Device Security (AREA)
Abstract
Sistema informático que comprende por lo menos un calculador con procesador (10) que trabaja bajo el control de un programa, que trabaja sobre unos datos de entrada asociables cada uno a un código y que proporciona unos datos de salida asociables a un código, destinados a ser transmitidos o a ser aplicados a unos órganos de salida, caracterizado porque comprende por lo menos un periférico (12) exterior al procesador, conectado al procesador para recibir por lo menos los códigos de los datos de entrada, teniendo los operandos y la naturaleza de la operación de cada operación elemental efectuada por el procesador (10), una arquitectura aseguradora que calcula un código a cada operación elemental efectuada por el procesador y que verifica la buena ejecución de todo o parte del programa ejecutado, mientras que el procesador sólo efectúa unos cálculos sobre los valores funcionales de los datos codificados.
Description
Sistema informático asegurado.
La presente invención se refiere a los sistemas
informáticos asegurados, ideados de manera que tengan un nivel de
seguridad cuantificable (es decir un nivel de detección de
cualquier defecto de funcionamiento, que es demostrable). La
invención encuentra una aplicación particularmente importante,
aunque no exclusiva, en las instalaciones de conducción automática
ferroviarias en las que es esencial detectar cualquier defecto que
produjera el riesgo de provocar un incidente.
Se conocen diversas técnicas de asegurar sistemas
informáticos. Se utiliza en particular la redundancia, que consiste
en disponer en paralelo varios órganos que tiene una probabilidad
de fallo común muy baja, inferior a un umbral predefinido. Otra
solución, que se puede calificar de seguridad intrínseca, utiliza
unos componentes y unos subconjuntos cuyo comportamiento en caso de
fallo es conocido y es tal que cualquier fallo provoca una
configuración de seguridad.
Además, la sociedad MATRA TRANSPORT INTERNATIONAL
ha realizado unos sistemas cuya seguridad se obtiene introduciendo,
en la información numérica a tratar, una redundancia tal que la
probabilidad de fallo no detectado sea inferior a un umbral
previamente definido.
Esta solución ha sido utilizada en particular en
un procesador codificado. Cada información susceptible de tener una
influencia sobre la seguridad está codificada y se adopta un solo
modo de codificación en todo el trayecto de la información en el
curso de su adquisición, de su tratamiento y de su transmisión. La
seguridad de la información puede ser completada, si es necesario,
por encriptado.
El principio del modo de asegurado por
codificación, que es utilizado por la sociedad MATRA TRANSPORT
INTERNATIONAL bajo la marca DIGISAFE, es el siguiente.
La utilización del principio puede separarse de
los detalles de realización que serán descritos a continuación para
tener en cuenta la tecnología utilizada.
Cada una de las características de cada
información entrante que tiene alguna incidencia sobre la seguridad
está protegida por un código. Las características pueden ser en
particular:
- un valor y una identidad (eventualmente una
fecha de límite de validez); o
- un dato, una dirección y eventualmente una
secuencia de aparición.
La codificación añade una redundancia sobre la
información a proteger.
Con una información numérica útil contenida en un
campo de n bits, la codificación consiste en añadir k bits de
redundancia para formar una palabra codificada sobre m bits tal
que:
m = n +
k
Hay por tanto 2^{n} palabras posibles que
pertenecen al código y (2^{n+k} - 2^{n}) palabras posibles que
no pertenecen al código.
La probabilidad de que una palabra que pertenece
al código sea tomada en lugar de otra (probabilidad de no detección
de error) es por tanto:
p =
1/2^{k}
La potencia de la codificación se elige para
alcanzar el nivel de seguridad requerido. Así, para obtener una
probabilidad de 10^{-12}, es preciso que k sea superior a 40.
Para que el código sea compatible con el conjunto
de las operaciones algorítmicas, se ha elegido un código aritmético
tal que cualquier valor x esté representado por:
X = A \cdot
x
donde A, clave del código, es un número
primo.
\newpage
Todas las operaciones aritméticas conservan por
tanto la propiedad de que X es múltiplo de A. Los errores de
cálculo son detectados por la pérdida de divisibilidad por A.
La identidad debe estar protegida contra un error
de direccionado que corre el riesgo de hacer tomar una variable Y =
A \cdot y en lugar de X = A \cdot x puesto que X e Y pertenecen
al código. La codificación aritmética por multiplicación no es
suficiente para detectar el error. Se elimina la dificultad
asociando, a cada variable x, un identificador entero Bx
estrictamente comprendido entre 0 y A, extremos excluidos, x estará
entonces representado por:
X' = A \cdot x +
B_{x}
La protección de la fecha sólo es necesaria si
una variable evoluciona en función del tiempo. Si se desea
garantizar la frescura de la información en cada ciclo de cálculo,
caracterizado por una fecha, la fecha es añadida al código de
cualquier información variante. Así x estará representado por:
| X'' = A \cdot x | + | B_{x} | + | D |
| valor | identidad | fecha |
con
B_{x}+ D <
A
El control de la validez del resultado se realiza
entonces por división entera por A. Se extrae eventualmente D del
resto B_{x} + D y se compara la parte B_{x} con el valor
esperado; siendo el algoritmo conocido, el valor del resto es
previsible desde la concepción.
El código puede ser más extenso cuando la
protección buscada es incrementada.
Esta arquitectura presenta algunos inconvenientes
y limitaciones. Dado que la misma exige unas manipulaciones de
código complejas, requiere unos calculadores dedicados y unas
arquitecturas optimizadas, por tanto cerradas. Sin embargo ha dado
muy buenos resultados en unos sistemas que utilizan unos
procesadores potentes, pero cuya seguridad interna es verdadera a
prior. Pero la misma se presta mal para el empleo de los
microprocesadores recientes que comprenden unas memorias escudo (o
antememorias) de datos o de memoria puesto que su utilización
necesitaría un análisis de seguridad específico complejo y no
garantizaría una seguridad absoluta. Además, subsisten unos
escenarios residuales debido a la presencia en el mismo procesador
de las informaciones funcionales y de las constantes o de las
operaciones de codificación. No es en consecuencia posible explotar
toda la potencia de este tipo de microprocesador.
El documento
GB-A-2169114, al cual se podrá
también hacer referencia, da a conocer un sistema informático que
tiene un procesador y un coprocesador y que trata unos datos de
entrada asociados a unos códigos; estos códigos permanecen
asociados a los datos en el procesador lo que recarga el trabajo de
este último.
La invención tal como se define en la
reivindicación 1 prevé eliminar las limitaciones anteriores y para
ello retirar la carga del tratamiento numérico de seguridad del
procesador transfiriendo el conjunto de los tratamientos numéricos
de seguridad hacia un periférico. Por otra parte, se conocerá así
perfectamente el nivel de seguridad obtenido.
La invención propone en consecuencia un sistema
informático que comprende por lo menos un procesador que trabaja
bajo el control de un programa, que puede ser permanente o
telecargado, que trabaja sobre unos datos de entrada asociables a
un código y que proporciona unos datos de salida destinados a ser
transmitidos o a ser aplicados a unos órganos de salida, asociables
a un código, caracterizado porque comprende un periférico exterior
al procesador, conectado al procesador para recibir por lo menos
los códigos de los datos de entrada, teniendo los operandos y la
naturaleza de cada operación elemental efectuada por el procesador
una arquitectura de seguridad que calcula un código a cada operación
elemental efectuada por el procesador y que verifica la buena
ejecución de todo o parte del programa ejecutado, mientras que el
procesador sólo efectúa unos cálculos sobre los valores funcionales
de datos codificados.
En ciertos casos, habrá verificación del código
del resultado a cada operación.
El término ``operación'' debe ser interpretado
como que significa una operación aritmética, matemática, lógica o
de control, y no una instrucción elemental. Esta constitución no
impone ninguna obligación sobre los escudos de datos o de programa
del procesador, puesto que el procesador sólo efectúa unos cálculos
sobre los valores funcionales de los datos codificados, y no sobre
los códigos.
El periférico recibe todas las informaciones
necesarias para verificar, al final de cada operación efectuada en
el sistema, si el código obtenido es correcto y ello por unos
cálculos aritméticos simples. En el caso de una transferencia, es
suficiente verificar que el código ha sido conservado. En el caso
de una operación en que han de intervenir dos operandos x e y que
tienen unos códigos Cx y Cy, un algoritmo f almacenado en el
periférico permitirá determinar el código Cz correcto del
resultado. Por ejemplo, para una suma:
Cz = f(CxX +
CyY)
Si k es el número de bits útil para la
representación de las palabras del lenguaje y es tal que 2^{k}
> A, se puede entonces escribir A\cdot x en la forma
A \cdot x = 2^{k} \cdot x - r_{k}
(x)
en la que r^{k}(x) es el resto de la
división de 2^{k}\cdot x por A y se puede escribir un valor
X'':
X'' = 2^{k} \cdot x + B_{x} + D -
r_{k}
(x)
Esta representación permite separar el código del
valor no codificado:
X'' = X_{k} +
C_{x}
donde:
X_{k} = 2^{k} \cdot x representa el valor
no codificado de la variable,
y
C_{x} representa la parte codificada de la
variable.
A partir de esta representación, el procesador
sólo manipulará las instrucciones o los datos no codificados
X_{k}. El periférico administrará los códigos y sus evoluciones
con las funciones aplicadas a la codificación y que él conoce.
A cada instrucción, el procesador transfiere el
identificador (es decir el ``contenedor'', los valores funcionales
que constituyen un ``contenido'') de los operandos utilizados (por
ejemplo la dirección de la variable, que puede también ser
conservada en una ``memoria espejo'' del periférico), la operación
efectuada y el valor del resultado.
A partir de estos datos, el periférico calcula
las evoluciones del código.
Se pueden escribir esquemáticamente las
operaciones en la forma siguiente:
\newpage
El periférico puede ser local o distante. El
término ``sistema'' para asegurar el calculador mismo o el sistema
informático al cual pertenece designa no solamente unos órganos de
tratamiento de la información, sino también unos dispositivos de
entrada y salida de las informaciones cuyo contenido debe
asegurarse.
La arquitectura propuesta suprime las
obligaciones ligadas a la seguridad en la elección del procesador
(o de los procesadores) y de su sistema de explotación en tiempo
real (lógica). No hay pérdida de potencia notable de cálculo en
tiempo real del procesador y es detectado cualquier error de
tratamiento cometido a consecuencia de un fallo material cualquiera
o de una intrusión en los tratamientos.
Las características anteriores, así como otras,
aparecerán mejor con la lectura de la descripción que sigue de
modos particulares de realización, dados a título de ejemplos no
limitativos. La descripción se refiere a los planos que la
acompañan, en los cuales:
- las figuras 1, 2, 3 son unos esquemas que
muestran la adaptación de la invención a diversos sistemas;
- la figura 4 es un esquema que muestra una
constitución posible del periférico de seguridad.
El sistema representado en la figura 1 comprende
varios calculadores huéspedes 10a, 10b, 10c, 10d, conectados por un
soporte de transmisión 14, provistos cada uno de un periférico de
seguridad 12a, 12b, 12c y 12d. Solamente los periféricos de los
calculadores 10c y 10d están equipados para la puesta en seguridad
de las Entradas/Salidas E/S. Se constata que el sistema está
completamente abierto.
En el modo de realización de la figura 2, un solo
periférico 12 implantado sobre el calculador 10d, que constituye el
calculador huésped, garantiza la seguridad de todo un sistema de
cuatro calculadores (y no solamente del calculador huésped). Este
periférico puede garantizar o bien únicamente la seguridad de los
tratamientos numéricos efectuados en los calculadores, o bien
también la puesta en seguridad de las Entradas/Salidas E/S del
calculador huésped. Puede también estar conectado directamente al
soporte de transmisión.
El calculador huésped está equipado con un piloto
de seguridad que le permite dialogar con el periférico y los otros
calculadores representados, a su vez equipados con un periférico de
seguridad, que pueden estar conectados por cualquier soporte de
transmisión (bus de los calculadores, conexiones en serie, radio,
Internet, etc.).
En el sistema de la figura 3, el periférico de
seguridad 12 está conectado a un conjunto de cálculo clásico 18
constituido por una unidad central o por un procesador 20 y por
periféricos clásicos 22a, ... 22n. Comprende uno o dos órganos de
cálculo, cuya seguridad es intrínseca (es decir puede ser apreciada
a priori) que efectúa a la vez:
- los tratamientos numéricos de seguridad;
- los tratamientos de asegurado de las
entradas-salidas.
En caso de detección de un disfuncionamiento
externo o interno por el periférico 12, los mensajes de validación
de las salidas de seguridad no son ya emitidos, el sistema al cual
pertenece el dispositivo es puesto en un estado particular, seguro,
que depende de las aplicaciones.
En una variante, el periférico 12 provoca
solamente, en caso de detección de un disfuncionamiento externo o
interno por el dispositivo, la puesta del sistema en un estado
particular, seguro, que depende de las aplicaciones.
Será a menudo ventajoso constituir el periférico
asegurador por un ASIC (circuito integrado de aplicación
específica) que realiza el tratamiento de las operaciones de
seguridad y que efectúa su control. Incluyendo un dispositivo de
control dinámico (que sólo permite la activación de las salidas
seguras en presencia de un código coherente, en la funcionalidad
del periférico de seguridad, las salidas de seguridad son inhibidas
desde la aparición de una anomalía en el código de seguridad).
Un periférico de seguridad es también utilizable,
en una forma que será entonces generalmente muy simple, para
fiabilizar los intercambios entre una tarjeta con chip y uno o unos
calculadores.
El periférico de seguridad puede ser implantado
en la misma tarjeta (como lo permite un ASIC) y puede ser asociado
a los calculadores o a uno de los calculadores utilizados, para
garantizar que los cálculos y tratamientos efectuados por el chip
de la tarjeta, y/o por los calculadores con los cuales dialoga,
estén exentos de cualquier error debido a un fallo material
inopinado de un órgano del sistema utilizado o de una intrusión
lógica o voluntaria.
Se describirá ahora de forma sucinta una
aplicación de la invención a unos equipos de conducción automática
de vehículos de transporte colectivo sobre una vía. Algunos por lo
menos de estos equipos deben estar asegurados. Las necesidades de
seguridad pueden entonces ser resumidas como sigue:
\newpage
Cualquier error en la parte útil de una
información aseguradora de un mensaje de serie cometido entre la
salida de una aplicación aseguradora y la entrada de otra
aplicación aseguradora debe provocar un ``fuera código'' de la
información, es decir una incoherencia entre la parte útil y la
parte redundante de esta información.
``Todo o nada'' define las entradas o las salidas
caracterizadas por el estado 0 ó 1. Una entrada aseguradora de este
tipo que restringe una operación debe provocar la elaboración de
una variable de entrada codificada que significa el estado
restrictivo o fuera código. Una variable de salida codificada en el
estado restrictivo o fuera código debe provocar un estado
restrictivo de la salida ``todo o nada'' correspondiente.
Cualquier error de ejecución de una operación
elemental que provoca un error en la parte funcional debe provocar
un ``fuera código'' de las variables de salida interesadas por esta
operación elemental.
Cada una de las necesidades ``seguridad''
precedentes expresa un comportamiento puramente algorítmico, pero
los comportamientos no son instantáneos: tienen un tiempo de
respuesta que debe ser delimitado con seguridad en el caso del
transporte. Para ello, el calculador puede ser ritmado por un reloj
de seguridad que cadencia la adquisición de las entradas, los
cálculos codificados y el mando de las salidas. Para estos tres
elementos, la seguridad está basada en la fecha. Los mensajes serie
(que no pueden ser fechados) utilizan una hora ``lógica'', a nivel
del sistema, debido al asincronismo de los calculadores entre sí. Su
toma en cuenta forma parte de un descompactado de los mensajes;
para tener en cuenta de que las informaciones deben de ser
recientes, se pueden tomar las medidas siguientes:
- -
- Cualquier deriva del reloj que cadencia el calculador más allá de un umbral provoca la puesta en seguridad del sistema.
- -
- Cualquier mensaje intercalculador juzgado demasiado viejo a la vista de su hora lógica es ignorado, siendo este último control afectado por el periférico asegurador.
Todas estas operaciones pueden ser efectuadas por
el periférico de seguridad 12 en el sistema representado en la
figura 2, que es un esquema de la parte embarcada en un vehículo de
un equipo de conducción automática.
El sistema representado en la figura 4 comprende
un calculador 18 que incorpora un microprocesador 20 rápido que
incorpora una memoria escudo y que utiliza un bus estándar PCI 24
de ordenador personal. El periférico de seguridad 12, que será
generalmente un ASIC permite explotar plenamente las capacidades de
un microprocesador rápido.
Un registro tampón 26 está previsto para que el
periférico de seguridad 12 pueda ejecutar las operaciones
elementales a medida de sus posibilidades a fin de explotar
plenamente las capacidades del microprocesador.
Para evitar que el registro 26 restituya en forma
permanente un ciclo completo o una parte de ciclo que ha
memorizado, pueden estar previstos unos medios no representados
para poner el sistema en un estado de seguridad si este suceso es
detectable, por ejemplo por control de la fecha.
El microprocesador 20 constituye la unidad
central que asegura el conjunto de las funciones del sistema. La
misma está provista de una intercara serie 28 que permite conectar
el sistema a otros calculadores.
El sistema comprende también un controlador
dinámico constituido por una parte numérica 30 conectada al bus 24
y por una parte analógica 32. La parte 34 está intercalada con la
unidad central 20 y con la parte analógica 32 que asegura diversas
funciones:
- -
- proporcionar la potencia necesaria para la alimentación de las salidas aseguradoras a partir de las secuencias elaboradas por la parte numérica 30,
- -
- cortar de forma segura la alimentación en caso de secuencias incorrectas proporcionadas por la parte 30,
- -
- controlar la frecuencia de las secuencias de entrada, es decir la frescura de las informaciones.
Las entradas E y las salidas S de los sistemas
están conectadas a la parte analógica 30. Entre estas entradas y
salidas, algunas son puramente funcionales y no están aseguradas.
La figura 4 muestra las intercaras 34 y 36 con las entradas y
salidas funcionales conectadas en cadenas a una primera entrada de
la parte numérica 30, que estará generalmente constituida por una
tarjeta distinta de otra tarjeta que constituye la parte analógica
32. Las intercaras 38 y 40 con las entradas y salidas aseguradas
serán también agrupadas en cadenas, con eventualmente una conexión
con el bus 24 para transferir las informaciones que permiten
verificar la validez de los códigos introducidos por las
intercaras.
El sistema comprende también unas conexiones con
unos órganos que proporcionan unas informaciones utilizadas por la
parte numérica del controlador dinámico.
Los órganos representados comprenden un captador
de desplazamiento 42 que está conectado por una intercara 44 de
adaptación conectada al bus PCI 24. La intercara elabora las
señales de alimentación del captador y transfiere las informaciones
recibidas del captador. Estos órganos comprenden también un
subconjunto de comunicación con unas balizas repartidas a lo largo
de la vía. Este subconjunto comprende una antena 46 de comunicación
con las balizas, un módulo analógico 48 de telealimentación (si se
trata de balizas pasivas), de recepción y de desmodulación, y una
intercara 50 de control y de fechado.
En lugar de estar previsto para efectuar
sucesivamente las operaciones elementales, el periférico de
seguridad puede ser adaptado a un funcionamiento en modo
``pipe-line'', con una estructura de multiplexado
temporal. Puede también comprender unas estructuras paralelas que
permiten efectuar simultáneamente varias operaciones
elementales.
Claims (9)
1. Sistema informático que comprende por lo menos
un calculador con procesador (10) que trabaja bajo el control de un
programa, que trabaja sobre unos datos de entrada asociables cada
uno a un código y que proporciona unos datos de salida asociables a
un código, destinados a ser transmitidos o a ser aplicados a unos
órganos de salida, caracterizado porque comprende por lo
menos un periférico (12) exterior al procesador, conectado al
procesador para recibir por lo menos los códigos de los datos de
entrada, teniendo los operandos y la naturaleza de la operación de
cada operación elemental efectuada por el procesador (10), una
arquitectura aseguradora que calcula un código a cada operación
elemental efectuada por el procesador y que verifica la buena
ejecución de todo o parte del programa ejecutado, mientras que el
procesador sólo efectúa unos cálculos sobre los valores funcionales
de los datos codificados.
2. Sistema informático según la reivindicación 1,
caracterizado porque dicho programa es permanente o
telecargado.
3. Sistema informático según la reivindicación 1
ó 2, caracterizado porque el periférico es único y está
asociado a un calculador huésped (12) para garantizar la seguridad
de todo un sistema con varios calculadores conectados a un soporte
de comunicación común (14).
4. Sistema informático según la reivindicación 3,
caracterizado porque el calculador huésped (10d) está
equipado con un piloto de seguridad que le permite dialogar con el
periférico y los otros calculadores.
5. Sistema informático según la reivindicación 1
ó 2, caracterizado porque el sistema comprende varios
calculadores huésped (10a, 10b, 10c, 10d), conectados por un
soporte de transmisión (14) y provisto cada uno de un periférico de
seguridad (12a, 12b, 12c, 12d).
6. Sistema informático según cualquiera de las
reivindicaciones 1 a 4, caracterizado porque el periférico
de seguridad o los periféricos de seguridad sólo realizan las
operaciones de puesta en seguridad sobre las entradas/salidas de
algunos solamente de los procesadores.
7. Sistema informático según la reivindicación 1
ó 2, caracterizado porque el sistema comprende un periférico
de seguridad (12) único, conectado a un conjunto de cálculo (18)
constituido por una unidad central o por un procesador y por
periféricos (22a, ... 22n), teniendo dicho periférico de seguridad
uno o unos medios de cálculo que efectúan:
- -
- los tratamientos numéricos de seguridad,
- -
- un tratamiento asegurador de las entradas/salidas.
8. Sistema según cualquiera de las
reivindicaciones 1 a 7, caracterizado porque dicho
periférico de seguridad está previsto para asegurar un conjunto del
sistema constituido por una tarjeta con un chip, un lector y uno o
unos calculadores que intervienen en el tratamiento y que
constituyen el sistema y para fabricar los intercambios entre la
tarjeta con chip y el o los calculadores.
9. Sistema según cualquiera de las
reivindicaciones anteriores, cuyo periférico asegurador es un
circuito integrado de aplicación específica.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9912055 | 1999-09-28 | ||
| FR9912055A FR2799018B1 (fr) | 1999-09-28 | 1999-09-28 | Systeme informatique securise |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2199128T3 true ES2199128T3 (es) | 2004-02-16 |
Family
ID=9550294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES00402644T Expired - Lifetime ES2199128T3 (es) | 1999-09-28 | 2000-09-25 | Sistema informatico asegurado. |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP1089175B1 (es) |
| DE (1) | DE60002809T2 (es) |
| ES (1) | ES2199128T3 (es) |
| FR (1) | FR2799018B1 (es) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2879778B1 (fr) * | 2004-12-21 | 2007-06-15 | Siemens Transp Systems Soc Par | Procede de traitement de signature de donnees |
| DE602005008602D1 (de) | 2005-09-16 | 2008-09-11 | Siemens Transportation Systems | Redundanzkontrollverfahren und Vorrichtung für sichere Rechnereinheiten |
| DE102008056095A1 (de) * | 2008-11-04 | 2010-05-12 | Siemens Aktiengesellschaft | Einrichtung und Verfahren zum Empfangen und zum Verarbeiten von Signalen zur Zugbeeinflussung auf einem Schienenfahrzeug sowie Empfangsgerät |
| DE102011082598A1 (de) * | 2011-09-13 | 2013-03-14 | Siemens Aktiengesellschaft | Steueranordnung |
| US9233698B2 (en) | 2012-09-10 | 2016-01-12 | Siemens Industry, Inc. | Railway safety critical systems with task redundancy and asymmetric communications capability |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4831521A (en) * | 1983-11-10 | 1989-05-16 | General Signal Corporation | Vital processor implemented with non-vital hardware |
| FR2704329B1 (fr) * | 1993-04-21 | 1995-07-13 | Csee Transport | Système de sécurité à microprocesseur, applicable notamment au domaine des transports ferroviaires. |
-
1999
- 1999-09-28 FR FR9912055A patent/FR2799018B1/fr not_active Expired - Fee Related
-
2000
- 2000-09-25 DE DE60002809T patent/DE60002809T2/de not_active Expired - Lifetime
- 2000-09-25 EP EP00402644A patent/EP1089175B1/fr not_active Expired - Lifetime
- 2000-09-25 ES ES00402644T patent/ES2199128T3/es not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| FR2799018B1 (fr) | 2003-07-04 |
| EP1089175B1 (fr) | 2003-05-21 |
| FR2799018A1 (fr) | 2001-03-30 |
| EP1089175A1 (fr) | 2001-04-04 |
| DE60002809D1 (de) | 2003-06-26 |
| DE60002809T2 (de) | 2004-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2835793T3 (es) | Autenticación de punteros de código para el control de flujo de hardware | |
| ES2390796T3 (es) | Método de implementación de un procesador para garantizar la integridad de un software | |
| JP5414780B2 (ja) | 差分電力解析を妨害する命令マスクや他の手法を備えた暗号アーキテクチャ | |
| US7979826B1 (en) | Computer-readable storage media comprising data streams having mixed mode data correction capability | |
| CN101398872B (zh) | 保护口令免受未授权访问的方法和数据处理单元 | |
| Abad et al. | On-chip control flow integrity check for real time embedded systems | |
| JP2008502283A5 (es) | ||
| US20120260107A1 (en) | Instruction Encryption/Decryption Arrangement and Method with Iterative Encryption/Decryption Key Update | |
| US20080181407A1 (en) | Method for protecting a control device against manipulation | |
| ES2473326T3 (es) | Procedimiento y dispositivo de tratamiento de datos | |
| US20200233815A1 (en) | Storage in a non-volatile memory | |
| ES2199128T3 (es) | Sistema informatico asegurado. | |
| US20050229164A1 (en) | Method to secure the execution of a program against attacks by radiation or other | |
| US7512813B2 (en) | Method for system level protection of field programmable logic devices | |
| US20130055025A1 (en) | Microprocessor protected against memory dump | |
| US7607025B1 (en) | Methods of intrusion detection and prevention in secure programmable logic devices | |
| KR20140008839A (ko) | 데이터 처리 장치 및 이를 포함하는 보안 메모리 장치 | |
| US20100194609A1 (en) | Method and Device For Coding Data Words | |
| US20090126029A1 (en) | Permanent Data Hardware Integrity | |
| US20060289656A1 (en) | Portable electronic apparatus and data output method therefor | |
| US7302587B2 (en) | Secure computer system | |
| RU2467390C2 (ru) | Способ и устройство для безопасного хранения и для безопасного считывания полезных данных | |
| ES2385070T3 (es) | Procedimiento de preservación de la seguridad de una ramificación condicional, soporte de informaciones, programa y sistema asegurado para ese procedimiento | |
| ES2416367T3 (es) | Tarjeta de circuito integrado con tampón de entrada/salida asegurado | |
| US20110289293A1 (en) | Semiconductor device |