ES2619190T3 - Método y sistema para la visualización segura de información relevante para la seguridad - Google Patents

Método y sistema para la visualización segura de información relevante para la seguridad Download PDF

Info

Publication number
ES2619190T3
ES2619190T3 ES14004441.3T ES14004441T ES2619190T3 ES 2619190 T3 ES2619190 T3 ES 2619190T3 ES 14004441 T ES14004441 T ES 14004441T ES 2619190 T3 ES2619190 T3 ES 2619190T3
Authority
ES
Spain
Prior art keywords
secure
safe
input parameter
variable input
display
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES14004441.3T
Other languages
English (en)
Inventor
Matthias Auchmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Application granted granted Critical
Publication of ES2619190T3 publication Critical patent/ES2619190T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09GARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
    • G09G5/00Control arrangements or circuits for visual indicators common to cathode-ray tube indicators and other visual indicators
    • G09G5/36Control arrangements or circuits for visual indicators common to cathode-ray tube indicators and other visual indicators characterised by the display of a graphic pattern, e.g. using an all-points-addressable [APA] memory
    • G09G5/37Details of the operation on graphic patterns
    • G09G5/377Details of the operation on graphic patterns for mixing or overlaying two or more graphic patterns
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0072On-board train data handling
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/009On-board display devices
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0267Fault communication, e.g. human machine interface [HMI]
    • G05B23/0272Presentation of monitored results, e.g. selection of status reports to be displayed; Filtering information to the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0763Error or fault detection not based on redundancy by bit configuration check, e.g. of formats or tags
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1608Error detection by comparing the output signals of redundant hardware
    • G06F11/1616Error detection by comparing the output signals of redundant hardware where the redundant component is an I/O device or an adapter therefor
    • G06F11/162Displays
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T1/00General purpose image data processing
    • G06T1/60Memory management
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14097Display of error messages
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31481Safety monitoring system, redundant display, print systems for process data
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09GARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
    • G09G2340/00Aspects of display data processing
    • G09G2340/12Overlay of images, i.e. displayed pixel being the result of switching between the corresponding input pixels
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09GARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
    • G09G2380/00Specific applications
    • G09G2380/12Avionics applications
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09GARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
    • G09G3/00Control arrangements or circuits, of interest only in connection with visual indicators other than cathode-ray tubes
    • G09G3/20Control arrangements or circuits, of interest only in connection with visual indicators other than cathode-ray tubes for presentation of an assembly of a number of characters, e.g. a page, by composing the assembly by combination of individual elements arranged in a matrix no fixed position being assigned to or needed to be assigned to the individual characters or partial characters

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Automation & Control Theory (AREA)
  • Image Generation (AREA)
  • Processing Or Creating Images (AREA)
  • Computer Graphics (AREA)
  • Controls And Circuits For Display Device (AREA)

Abstract

Método para la visualización segura de información relevante para la seguridad, comprendiendo el método (30) los siguientes pasos: - para todos los estados posibles de al menos un parámetro de entrada variable, descomponer una visualización segura del al menos un parámetro de entrada variable en sus elementos (31) base seguros; - para cada uno de los elementos base seguros descompuestos, enumerar y almacenar un conjunto de todos los posibles estados de visualizaciones de elementos base seguros (32); - para cada uno de los elementos base seguros descompuestos, transmitir el conjunto de todos los estados posibles de visualizaciones de elementos base seguros a un sistema objetivo que proporciona visualización segura en tiempo de ejecución (33); - para cada uno del al menos un parámetro de entrada variable introducir un estado real del al menos un parámetro de entrada variable en el sistema objetivo y, para cada uno del al menos un parámetro de entrada variable, determinar una visualización de elemento base seguro correspondiente al estado real del al menos un parámetro de entrada variable y su estado correcto para el conjunto de todos los estados posibles de la visualización (34) de elemento base seguro; - sucesivamente representar y superponer cada uno de las visualizaciones de elementos base seguros correspondientes encima de las otras en un medio de representación del sistema objetivo, generando de este modo una visualización segura del estado real del al menos un parámetro (35) de entrada variable.

Description

5
10
15
20
25
30
35
40
45
50
55
DESCRIPCION
Metodo y sistema para la visualizacion segura de informacion relevante para la seguridad
La presente invencion se relaciona con un metodo y un sistema para la visualizacion segura de informacion relevante para la seguridad en un elemento de representacion, en donde se genera una visualizacion segura de al menos un parametro de entrada variable usando capas seguras.
Actualmente, los elementos de representacion se usan cada vez mas como unidades de visualizacion en muchas aplicaciones, en sistemas de monitorizacion y control por ejemplo. Ademas de esos casos, los elementos de representacion son mas comunmente utilizados para visualizar informacion relevante para la seguridad en el campo del control de trenes o aviones, por ejemplo. Generalmente unidades de este tipo estan basadas en un microcontrolador o un ordenador personal equipado con software que se ejecuta en un sistema operativo.
En ello, un fallo de visualizacion es considerado como un fallo relevante para la seguridad si el elemento de representacion solo parece que trabaja bien o parece que muestra la informacion correcta, pero realmente no representa la informacion correcta proporcionada a la unidad de visualizacion, por ejemplo no muestra la velocidad actual del tren. El elemento de representacion solo muestra un valor aparentemente correcto, el fallo, sin embargo, no puede ser detectado como tal por un observador.
Metodos y aparatos comunes para la aplicacion de metodos para una visualizacion segura de informacion relevante para la seguridad se basan en la suposicion de que el fallo de visualizacion resulta en una imagen obviamente falsa y asf es evidente para el observador. Por ejemplo, los datos visualizados pueden estar mezclados, pueden cambiar de color, o una figura puede estar incompleta o mostrarse con forma distorsionada, tal que el observador puede claramente ver que algo esta mal.
El documento DE 3411015 A1 describe un metodo para la visualizacion segura de informacion relevante para la seguridad, en donde un parametro de entrada es trasformado en una secuencia de datos de imagen que representan el parametro de entrada y la secuencia de datos de imagen es transmitida a un elemento de representacion. Ademas, se calcula una suma de comprobacion para la secuencia de datos de imagen y se compara con una suma de comprobacion de referencia y se proporciona una reaccion enfocada en la seguridad, si la suma de comprobacion no es identica a la suma de comprobacion de referencia.
Sin embargo, considerando un velodmetro simple con 24 bits de profundidad de pixel, que muestra por ejemplo la velocidad actual, velocidad minima, velocidad maxima y velocidad objetivo, que tiene cuatro fuentes de entrada, si cada una de esas fuentes tiene 10 bits de resolucion, el velodmetro tendna un total de 240 estados posibles. Ademas, si cada suma de comprobacion tuviera cuatro bytes, solo los datos de suma de comprobacion sumanan un total de 4 Tera bytes de datos de suma de comprobacion, lo que sena mucho mas de lo que proporciona cualquier sistema incorporado actual. Se puede encontrar una visualizacion de un velodmetro ejemplar en GUI (interfaces de usuario graficas) de trenes modernos como se describe en el estandar ERA ERTMS para “ETCS Driver Machine Interface” del Sistema de Control de Trenes Europeos (ETCS), o en complejidades similares a lo largo de la industria en aplicaciones modernas.
Incluso si un sistema incorporado pudiera ofrecer tal inmensa cantidad de memoria, el calculo previo de sumas de comprobacion sena poco practico. Considerando que se calculanan 10 sumas de comprobacion en un ordenador personal por segundo, llevana sobre 3487 anos calcular 240 sumas de comprobacion de referencia, lo que sena inaceptable.
El documento EP-A1-2 439 722 describe un metodo que comprende el paso de descomponer una visualizacion segura de al menos un parametro de entrada variable en sus elementos seguros para todos los posibles estados de al menos un parametro de entrada variable. Los datos de visualizacion en formato pixel relevantes para la seguridad son extrafdos antes de un elemento de representacion de un dispositivo de visualizacion. Los datos extrafdos son entonces convertidos en datos de visualizacion comprimidos relevantes para la seguridad en un controlador y un conjunto de datos con datos de visualizacion de referencia comprimidos relevantes para la seguridad son almacenados en una memoria del controlador, en donde se comparan entre sf los datos de visualizacion de referencia comprimidos y datos de visualizacion comprimidos, y se visualizan las discordancias de los datos de referencia comprimidos y datos de visualizacion comprimidos en un dispositivo de visualizacion a un usuario mediante una senal.
Es un objeto de la presente invencion proporcionar un metodo mejorada para la visualizacion segura de informacion relevante para la seguridad en un elemento de representacion.
La presente invencion proporciona un metodo para la visualizacion segura de informacion relevante para la seguridad. En ello, el metodo comprende lo siguiente:
En un primer paso, para todos los posibles estados de al menos un parametro de entrada variable, una visualizacion segura de al menos un parametro de entrada variable se descomponen en sus elementos base seguros, sus capas
5
10
15
20
25
30
35
40
45
50
55
60
seguras, en donde cada uno de los elementos base seguros pueden ser estaticos o representar la informacion de visualizacion en al menos un parametro de entrada variable.
En un segundo paso, para cada uno de los elementos base seguros descompuestos y, por lo tanto, para cada una de las capas seguras, se enumera un conjunto de todos los estados posibles de visualizacion de elementos base seguros y se almacena en un formato adecuado en donde el conjunto de todos los estados posibles de la visualizacion de elementos base seguros comprende la visualizacion de un elemento base seguro en las visualizaciones seguras de al menos un parametro de entrada variable para todos los estados posibles de al menos un parametro de entrada variable. Por ejemplo, asumiendo que el al menos un parametro de entrada variable incluye la velocidad actual de un tren, entonces las visualizaciones de todos los estados posibles de la velocidad actual del tren se enumeran y almacenan en un formato adecuado.
En un tercer paso, para cada uno de los elementos base seguros descompuestos y, por lo tanto, para cada una de las capas seguras, se transmite el conjunto de todos los estados posibles de visualizacion de elementos base seguros a un sistema objetivo que proporciona la visualizacion segura en tiempo de ejecucion.
En un cuarto paso, para cada uno del al menos un parametro de entrada variable se introduce un estado real del al menos un parametro de entrada variable en el sistema objetivo, y para cada parametro de entrada variable se determina el elemento base seguro correspondiente, la capa segura, y su estado correcto, por ejemplo buscando en el respectivo conjunto de todos los estados posibles de visualizacion del elemento base seguro.
En un quinto paso, cada capa segura correspondiente, en particular la visualizacion de cada elemento base seguro correspondiente, es representada, una tras otra, una superpuesta a la anterior. Este quinto paso, en particular la representacion y superposicion del estado del elemento base seguro correcto, genera de manera segura la visualizacion segura original del estado real del al menos un parametro de entrada variable, que es entonces visualizado en un elemento de representacion.
El metodo esta basado en la descomposicion de la visualizacion de uno o multiples parametros de entrada en sus elementos base. Por ejemplo, para un velodmetro simple, mostrando por ejemplo la velocidad actual de un tren, velocidad minima, velocidad maxima y velocidad objetivo, la visualizacion de cuatro parametros en un area rectangular se descompone en cuatro visualizaciones comparativamente simples, una para cada uno de los parametros de entrada, simplificando de este modo el problema. Los conjuntos de visualizaciones de elementos base descompuestos se pueden representar con seguridad uno encima de cada uno, de este modo transformando un problema multiplicativo en un problema aditivo y asf reduciendo la cantidad de estados posibles de visualizacion. En particular, visualizaciones simples separadas son rearmadas mediante la superposicion de capas seguras para reproducir la visualizacion original desde el conjunto simple de elementos base. En ello, el termino capa se introduce porque los elementos base individuales normalmente necesitan ser representados uno encima de los otros en un orden espedfico orden z para producir la visualizacion original, en donde un elemento se superpone a otro.
En ello, mas que usar sumas de comprobacion para cada posible estado de la visualizacion original para fines de verificacion, los datos de imagen descompuestos se pueden usar directamente y representar con seguridad. En particular, la visualizacion segura se descompone en las fuentes respectivas, que pueden ya haberse realizado en el tiempo de diseno durante un proceso de desarrollo. En ello, una visualizacion de elemento base es almacenada tras la otra de este modo formando capas, cada una de las cuales luego, en tiempo de ejecucion, sera mostrada encima de las otras, de este modo generando una visualizacion segura del al menos un parametro de entrada variable. Ademas, cada estado posible de una visualizacion de elemento base se puede transformar antes de ser almacenada para reducir la cantidad de capacidad de almacenamiento requerida para la capa de imagen. La transformacion para reducir el almacenamiento puede ser un algoritmo de compresion, o almacenar la visualizacion del elemento base particularmente eficientemente, tal como almacenarla en un formato de graficos de vector. De este modo, para un velodmetro simple a una profundidad de pixel RGBA de 32 bits, mostrar por ejemplo la velocidad actual de un tren, velocidad minima, velocidad maxima y velocidad objetivo, con cuatro parametros de entrada, y, por lo tanto, cuatro fuentes de entrada, en donde los datos cnticos de seguridad son posibles estados de visualizacion de los cuatro parametros de entrada, usando compresion de imagen como la transformacion y asumiendo una compresion de 25k bytes para la superposicion de imagen base estatica y aproximadamente 3k bytes de datos comprimidos por visualizacion de elemento base, con cada parametro de entrada siendo una entrada de 10 bits, un almacenamiento total de 25k bytes + 210 * 3k bytes + 210 * 3k bytes + 210 * 3k bytes + 210 * 3k bytes y, por lo tanto, se requiere una cantidad total de aproximadamente 12 Mega bytes. La suposicion de los tamanos de compresion como se enuncio anteriormente puede alcanzarse facilmente con algoritmos de compresion conocidos. Cuando se usan otras formas de transformacion antes de almacenar los datos de imagen de los posibles estados, tales como por ejemplo graficos de vector, la compresion alcanzada podna ser incluso mucho mejor. Si esto se compara con el metodo comun de sumas de comprobacion de todos los 210+10+10+10=240 estados de visualizacion de la visualizacion segura original, asumiendo que cada suma de comprobacion tiene 4 Bytes, el almacenamiento requerido alcanzana 4 Tera bytes de datos de suma de comprobacion, que es aproximadamente 349525 veces peor que los 12 Mega bytes de almacenamiento de datos requeridos.
El ultimo calculo ademas indica los beneficios de la presente invencion, a saber transformar el problema de visualizacion segura en una representacion aditiva mediante medios apropiados mas que usar el problema de
5
10
15
20
25
30
35
40
45
50
55
60
representacion multiplicativo comun, produciendo una drastica reduccion en estados de visualizacion. Al inicio del tiempo de computacion para el tiempo de diseno, ciertamente la descomposicion de la visualizacion, la enumeracion de todos los estados para cada capa y la transformacion y almacenamiento de datos para las capas en una forma comprimida o un formato espedfico puede llevar mas tiempo que el calculo de sumas de comprobacion para una unica imagen, sin embargo considerando un ordenador personal que ejecuta 1 descomposicion y transformacion adecuadas y almacena la operacion (por ejemplo compresion o representacion de graficos de vector) por segundo, para el velodmetro simple como se describio anteriormente se requiere un tiempo de computacion de 4097 segundos para la extraccion de todos los datos. Para soluciones conocidas actualmente, el paso de enumeracion todavfa tendna que ser realizado, e incluso si los calculos de sumas de comprobacion fueran mas rapidas y el mismo ordenador personal fuera diez veces mas rapido en el calculo de las sumas de comprobacion, siendo capaz de calcular 10 sumas de comprobacion por segundo, todavfa se necesitana un tiempo de computacion de aproximadamente 3487 anos para calcular 240 sumas de comprobacion, que es debido a la inmensa cantidad de estados en la visualizacion original, si el problema de visualizacion no se descompone y asf se rompe. Al contrario, una busqueda en tiempo de ejecucion de las visualizaciones de elementos base respectivos del al menos un parametro de entrada variable y una transformacion inversa correspondiente y representacion del estado transformado inversamente de cada visualizacion de elemento base es ciertamente mas caro computacionalmente que el mero calculo de sumas de comprobacion, sin embargo es facilmente realizable con procesadores modernos o FPGA, incluso en tasas de trama que se correspondan con LCD (elementos de representacion de cristal lfquido) modernas. Asf que los requisitos de potencia de computacion en tiempo de ejecucion son mas altos, pero facilmente dentro de los lfmites del hardware moderno.
Por lo tanto, se proporciona un metodo mejorado para la visualizacion segura de informacion relevante para la seguridad compleja en un elemento de representacion en cuanto a requisitos de almacenamiento y tiempo de computacion de tiempo de diseno. Tambien el metodo no esta restringido a un velodmetro representado como datos de imagen RGBA, mas bien se pueden concebir todas las formas posibles de visualizacion en varios espacios de color o representaciones de datos. Mediante el metodo de la presente invencion se pueden usar visualizaciones arbitrarias y complejas, dado que se pueden simplificar muy eficientemente aun en un modo generico. Tambien, mientras que la reconstruccion real de la visualizacion original en tiempo de ejecucion esta bien adaptada a como las librenas GUI modernas usan el orden z y mezcla alfa y/o enmascaramiento alfa para implementar la visualizacion en primer lugar, la complejidad del hardware y/o software necesarios se reduce drasticamente en comparacion con las librenas GUI modernas y sus sistemas operativos subyacentes y el hardware requerido. Por lo tanto, el metodo es suficientemente simple para implementar de forma que puede incluso descargarse a pequenas unidades de procesamiento incorporadas, tal como la parte relevante de seguridad del metodo es razonablemente pequeno y asf facilmente certificable, y aun capaz de virtualmente todas las visualizaciones comunes realizadas por computadoras personales completas con hardware y software complejos. Ademas, el metodo se puede usar para mejorar el rendimiento de presentacion de graficos, tambien, sin ningun fondo de seguridad.
En ello, el conjunto de todos los estados posibles de visualizaciones de elementos base seguros se pueden almacenar por ejemplo como una imagen en un espacio de color como RGBA (Rojo Verde Azul Alfa), que es un espacio de color comun para imagenes computerizadas, en donde el canal alfa habilita a los pfxeles a ser transparentes, traslucidos y opacos. El conjunto de todos los estados posibles de visualizaciones de elementos base seguros generado por la descomposicion de visualizaciones seguras podna tambien transformarse opcionalmente en un modo adecuado antes de almacenarse, por ejemplo comprimirse. Ademas, el conjunto de todos los estados posibles de visualizaciones se pueden almacenar en el orden z (el orden de superponer objetos de dos dimensiones en una visualizacion) en el cual ocurren en la visualizacion segura original. El primer y segundo pasos son normalmente, pero no necesariamente, realizados una vez para una visualizacion de una GUI (Interfaz de Usuario Grafica) dada, y son realizadas normalmente pero no necesariamente en tiempo de diseno. En ello, el estado de elemento base seguro correcto se puede superponer en el orden z en el cual fueron almacenados en el segundo paso. Ademas, si un formato de imagen capaz de pfxeles traslucidos o transparentes, un medio de superposicion para realizar la superposicion necesita implementar la mezcla alfa. La mezcla alfa es el proceso de combinar un color de pixel en primer plano traslucido con un color de pixel de fondo, produciendo por lo tanto un nuevo color mezclado para el pixel resultante. Opcionalmente, la superposicion se puede tambien procesar mediante la implementacion de enmascarado alfa. El enmascarado alfa es el proceso de aplicar una mascara alfa binaria adicional por capa, en particular si la capa depende de dos o mas parametros de entrada variables. Dado que una mascara alfa tiene solo un bit por pixel, es rapido y eficiente de almacenar, sin embargo puede simplificar significativamente algunos tipos de visualizaciones, especialmente cuando la mascara alfa a aplicar puede depender de una o mas parametros de entrada variables. En ello, la transformacion inversa opcional necesita hacerse para revertir la transformacion realizada cuando se almaceno el conjunto de todos los estados posibles de visualizaciones de elementos base seguros generados por la descomposicion de visualizaciones seguras, si tal transformacion se hizo, y podna consistir en la descompresion de una imagen RGBA. Tambien, un sistema de descomposicion en tiempo de diseno para descomponer los elementos base de visualizacion en tiempo de diseno y el sistema objetivo se pueden ser dispositivos separados o se pueden integrar en el mismo dispositivo, siendo asf partes de un unico dispositivo.
En algunas realizaciones, para todos los estados posibles del al menos un parametro de entrada variable podna haber tambien datos no cnticos de seguridad a ser mostrados, en donde los datos no cnticos de seguridad son
5
10
15
20
25
30
35
40
45
50
55
60
transmitidos a la unidad de elemento de representacion y en donde la tecnica de introducir al menos un parametro de entrada variable en el sistema objetivo, determinar las capas seguras correspondientes del al menos un parametro de entrada variable y buscar el estado correcto en el conjunto de todos los estados posibles de visualizaciones de elementos base seguros, y representar sucesivamente cada capa segura, por ejemplo la visualizacion de cada elemento base seguro, uno tras otro, uno superponiendose al anterior, produciendo finalmente la visualizacion segura completa del al menos un parametro de entrada variable, comprende lo siguiente: Los datos no cnticos de seguridad son representados primero. Entonces los datos no cnticos de seguridad son superpuestos sucesivamente por las capas seguras, mediante la representacion sucesiva de cada capa segura, por ejemplo la visualizacion de cada elemento base seguro, uno tras otro, uno superponiendose al anterior, produciendo finalmente la visualizacion segura completa del al menos un parametro de entrada variable. Esto resulta en una mayor reduccion de requisitos de almacenamiento y tiempo de computacion, dado que los datos no cnticos de seguridad por ejemplo no tienen que ser descompuestos y almacenados. En ello, los datos no cnticos de seguridad pueden comprender contenido no cntico de seguridad, por ejemplo, un color de fondo o botones con esquinas redondeadas o transparentes. Mientas que los colores de fondo o esquinas redondeadas que son superpuestas con informacion relevante de seguridad son ejemplos muy comunes de partes no cnticas de seguridad, tambien se pueden concebir en ciertos escenarios que se usen datos no cnticos de seguridad en capas con orden z mas que 0. Ademas, los datos no cnticos de seguridad podnan tambien transmitirse al sistema objetivo y mostrarse en el orden z adecuado.
En ello, elementos de visualizacion no cnticos de seguridad se pueden descomponer y transformar y procesar en el mismo modo que los elementos base seguros, tambien. Esto podna hacerse para mejorar la pureza arquitectonica o si es beneficioso desde un punto de vista de rendimiento.
Ademas, en algunas realizaciones, se usa un algoritmo de compresion como el paso de transformacion para los elementos del conjunto de todos los estados posibles de visualizaciones de elementos base seguros generados mediante la descomposicion de visualizaciones seguras para comprimir por separado datos de imagen, y se usa un algoritmo de descompresion correspondiente como la transformacion inversa en tiempo de ejecucion. El algoritmo de compresion puede ser un algoritmo de compresion sin perdidas, en particular un algoritmo de compresion que permita que los datos originales sean perfectamente reconstruidos desde los datos comprimidos, pero podna tambien ser un algoritmo de compresion con perdida de datos, en particular un algoritmo que permite la reconstruccion de una aproximacion de los datos originales, como se usa comunmente para datos de imagen o video, si la seguridad no se ve afectada significativamente. Esto significa que el metodo de introducir al menos un parametro de entrada variable, determinar los elementos base seguros correspondientes del al menos un parametro de entrada variable y buscar el estado correcto en el conjunto de todos los elementos base seguros generados por la descomposicion de visualizaciones seguras, una tras otra, una superponiendose a la anterior, produciendo finalmente la visualizacion segura completa del al menos un parametro de entrada variable, ademas comprende los pasos de descomprimir los datos de cada capa segura antes de representarlos como la transformacion inversa. Las utilidades de compresion de archivos, que son programas que aplican un algoritmo de compresion de archivos para formar desde uno, a una serie de archivos, y crear un archivo de archivos, son conocidos en la tecnica y son, por lo tanto, bastante faciles de implementar. Las utilidades de compresion de archivos convencionales tienen una caractenstica de extraccion que usa el algoritmo original usado para comprimir y crear el archivo, para extraer adecuadamente y recuperar los archivos desde el archivo y, asf, estas utilidades de compresion de archivos convencionales pueden usarse para comprimir cada uno de los elementos del conjunto de datos cnticos de seguridad extrafdos. Ademas, las utilidades de compresion de archivos son capaces de colocar multiples archivos en un archivo de archivos, con un tamano de archivo menor que la suma de los archivos en el y, asf, la cantidad de capacidad de almacenamiento se puede reducir mas. Tambien, hay algoritmos de compresion conocidos en la tecnica que son espedficamente eficientes cuando se usan con datos de imagen.
Como un ejemplo de un algoritmo de compresion de imagenes sin perdidas que esta bien adecuado para datos de imagen y tambien es particularmente eficiente y facil de implementar en un sistema incorporado, el algoritmo de compresion puede ser un algoritmo de tabla de busqueda de color con codificacion de longitud de secuencia, para comprimir sucesivamente los elementos respectivos. En la teona de codificacion, una tabla de busqueda es usada comunmente para mantener sfmbolos mas largos frecuentes en los datos originales, reemplazar los sfmbolos mas largos en los datos originales por indices de tabla de busqueda mas cortos, por lo tanto comprimiendo los datos originales. En el caso de datos de imagen, los colores son candidatos adecuados a ser usados como sfmbolos en las tablas de busqueda. La codificacion de longitud de secuencia es una forma muy simple de compresion de datos en la cual secuencias de datos son almacenados como un unico valor de dato y cuenta, mas que la secuencia original. Esto es mas util en datos que contienen muchas de esas secuencias, por ejemplo imagenes de graficos simples como iconos, dibujos de lmeas, por ejemplo los numeros y letras en el dial proyectado de un velodmetro convencional. Por lo tanto, dado que muchos datos de imagen, especialmente para las capas, tienen mayormente pfxeles transparentes, usar una tabla de busqueda de color para cada capa y combinarla con codificacion de longitud de secuencia es una tecnica muy eficiente, resultando usualmente en tasas de compresion del 10% de los datos originales para la imagen base, y sobre el 2% para una capa tfpica. Ademas, tal algoritmo puede implementarse facilmente en hardware y es factible para tanto procesadores de proposito general como FPGA.
Ademas, en algunas realizaciones, el paso de transformacion para el conjunto de todos los estados posibles de visualizaciones de elementos base seguros puede ser convertir cada elemento del conjunto de todos los elementos seguros generados mediante la descomposicion de visualizaciones seguras en un formato de graficos de vector, que
5
10
15
20
25
30
35
40
45
50
55
60
es particularmente eficiente en terminos de requisitos de almacenamiento, y puede tambien ser implementado eficientemente como la transformacion inversa en la etapa de representacion en tiempo de ejecucion.
Ademas, el tercer paso de transmitir los elementos base seguros descompuestos, opcionalmente transformados y almacenados y, por lo tanto, datos cnticos de seguridad podna incluir formas para asegurar la integridad de los datos de los datos transmitidos, mediante tecnicas conocidas tales como firmas o sumas de comprobacion de transmision.
En algunas realizaciones, el tercer paso de transmitir los elementos base seguros descompuestos y almacenados, podna incluir una inspeccion relevante para la seguridad o paso de verificacion para los datos almacenados, por ejemplo, mediante inspeccion manual, semiautomatica o automatica. Esto esta destinado a mejorar la seguridad, servir como una asf llamada barrera de seguridad, o introducir seguridad mediante algun tipo de inspeccion, en particular una barrera de seguridad que cruza desde un dominio no seguro a uno seguro. Durante el paso de inspeccion/verificacion se podnan anadir firmas para la autentificacion.
Tambien se pueden usar espacios de color capaces de tener pfxeles traslucidos y transparentes en el segundo paso. En esas realizaciones, un medio de superposicion para superponer las capas seguras necesita implementar mezcla alfa. La mezcla alfa es el proceso de combinar un color de pixel de primer plano traslucido con un color de pixel de fondo, por lo tanto produciendo un nuevo color mezclado para el pixel resultante.
Opcionalmente, cada capa puede tambien ser procesada mediante el enmascarado alfa. El enmascarado alfa es el proceso de aplicar una mascara alfa binaria adicional por capa, en particular si la capa depende de dos o mas parametros de entrada variables. Dado que una mascara alfa tiene solo un bit por pixel, es rapido y eficiente de almacenar, sin embargo puede simplificar significativamente algunos tipos de visualizaciones, especialmente cuando la mascara alfa a aplicar pude depender de uno o mas parametros de entrada variables.
Ademas, el orden z usado para superponer los datos, puede o estar predefinido o fijado, pero podna ser una opcion de configuracion o podna incluso depender de parametros de entrada variables y asf cambiar en tiempo de ejecucion. Por ejemplo, si la velocidad actual de un tren excede un valor predefinido, la visualizacion correspondiente y, por lo tanto, el elemento base seguro correspondiente puede ser mostrado encima de las otras visualizaciones de elementos base seguros.
Ademas, los datos de imagen y, por lo tanto, cada elemento del conjunto de todos los estados posibles de visualizaciones de elementos base pueden ser almacenados por separado. En adelante, almacenado por separado significa que cada elemento puede almacenarse en un area separada de una memoria segura, por ejemplo una memoria no volatil, que es una memoria de ordenador que puede mantener informacion almacenada aun cuando no esta alimentada. Mediante el almacenaje por separado de cada elemento del conjunto de todos los estados posibles de visualizaciones de elementos base seguros el tiempo de acceso para leer cada elemento del conjunto de todos los elementos base seguros generados mediante la descomposicion de visualizaciones seguras se puede acortar. El tiempo de acceso es el tiempo que un dispositivo informatico requiere para acceder el archivo por ejemplo, para leer o escribir.
Aunque la visualizacion segura del estado real del al menos un parametro de entrada variable se puede generar mediante la transformacion inversa sucesiva y opcional y entonces representacion y superposiciones de los elementos base seguros, las capas, de los datos cnticos de seguridad originales descompuestos, en algunas realizaciones el metodo puede ademas comprender lo siguiente: Cada una de las visualizaciones de elementos base requeridas son comparadas con una version del elemento base seguro respectivo del conjunto de todos los estados posibles de visualizaciones de elementos base seguros que son mostrados respectivamente en un elemento de representacion. Ademas, se proporciona una reaccion enfocada en la seguridad, si al menos uno de las visualizaciones de elementos base seguros requeridas no es identica a la version del elemento base seguro respectivo que es mostrada eficazmente en el elemento de representacion. En ello, la comparacion se puede llevar a cabo en una de muchas formas adecuadas, por ejemplo por comparacion de ancho de pixel, por ejemplo pixel a pixel, o por partes relevantes de los datos de pixel tales como para solo ciertos componentes de color, o mediante el calculo de sumas de comprobacion de las capas esperadas y las reales, y comparando las sumas de comprobacion, o haciendo algun tipo de correspondencia de patrones. Mediante la comprobacion de un elemento del conjunto de todos los estados posibles de visualizaciones de elementos base contra una version del elemento respectivo del conjunto de todos los estados posibles de visualizaciones de elementos base que son mostrados eficazmente, es necesario admitir una tolerancia, y proporcionar una reaccion enfocada en la seguridad si una capa esperada no es identica a la version de la capa respectiva que es mostrada eficazmente, se introduce una alta eficiencia y arquitectura de visualizacion segura con dos canales, donde el canal hacia delante hace la visualizacion real y el canal de verificacion proporciona o mejora la integridad en un modo relevante para la seguridad mediante la comparacion de la visualizacion actual con la visualizacion esperada. Si no esta disponible el acceso a las representaciones de elementos base separados o capas del canal hacia delante para la verificacion del canal, la verificacion del canal puede representar la visualizacion del al menos un parametro de entrada variable mediante la representacion sucesiva y superposicion de los elementos base seguros, las capas, de los datos cnticos de seguridad originales descompuestos en una memoria intermedia sombra, y puede entonces comparar la visualizacion resultante con lo que realmente se esta mostrando, otra vez con un medio de comparacion adecuado,
5
10
15
20
25
30
35
40
45
50
55
60
tal como algun tipo de comparacion de ancho de p^xel, comparacion de suma de comprobacion o correspondencia de patrones, por ejemplo.
En ello, la reaccion enfocada en la seguridad puede ser apagar el elemento de representacion. En ello, el elemento de representacion puede apagarse completamente o hasta un cierto grado. Sin embargo, todos los metodos que indican claramente un fallo cntico de seguridad a un observador son adecuados como reacciones enfocadas en la seguridad, por ejemplo proporcionar marcado de datos, enmascaramiento o distorsion o apagado del HMI.
Tambien se proporciona un sistema para la visualizacion segura de una informacion relevante para la seguridad, proporcionando un primer medio que compara un medio de descomposicion para realizar el primer paso, en particular para todos los estados posibles de al menos una descomposicion del parametro de entrada variable de la visualizacion segura del al menos un parametro de entrada variable en sus elementos base seguros, las capas seguras, y unos medios de enumeracion, transformacion y almacenamiento para realizar el segundo paso, en particular enumerando, transformando opcionalmente y entonces almacenando todos los posibles estados de cada capa en un conjunto de todos los estados posibles de visualizaciones de elementos base.
Un segundo medio implementa el tercer paso y comprende un medio de transmision y un medio opcional de inspeccion.
Un tercer medio presenta una entrada de al menos un parametro de entrada variable, implementa un procesamiento del parametro de entrada y comprende un medio de determinacion para determinar para cada uno del al menos un parametro de entrada variable los elementos base seguros correspondientes, las capas seguras, y su estado correcto dependiendo de un estado real del al menos un parametro de entrada variable, y un medio de superposicion, transformacion inversa opcional y entonces representacion de un elemento base seguro tras otro, uno superponiendose al anterior, por ejemplo en el orden z en el cual fueron almacenados, usando si es necesario mezclado alfa y/o enmascaramiento alfa. Tambien, el tercer medio comprende un medio de visualizacion, para mostrar la visualizacion resultante.
El sistema con sus tres medios por lo tanto genera una visualizacion segura del al menos un parametro de entrada variable. El primer medio podna por ejemplo ser un ordenador personal, el segundo medio podna ser un volumen de almacenamiento, tal como una memoria USB, una tarjeta SD, una memoria flash de tipo NAND o un disco duro, o algun tipo de conexion directa, por ejemplo Ethernet o WLAN, y los datos a ser transmitidos podnan ser inspeccionados opcionalmente por otro ordenador personal opcional que podna abrir y mostrar los datos transmitidos desde el volumen de almacenamiento o antes o durante la transmision a traves de la conexion directa. El tercer medio podna ser un HMI de algun tipo, usualmente un sistema incorporado que presenta un procesador o una FPGA o ambos, y un elemento de representacion TFT, como se encuentra comunmente en aplicaciones industriales, de trenes, de automoviles y de aviones, pero podna ser tambien un ordenador personal.
En algunas realizaciones, se usa un sistema que combina los tres medios en una unidad de computacion potente que realiza todos los pasos anteriores.
Asf, el sistema presentado para la visualizacion segura de informacion relevante para la seguridad esta basado en la descomposicion de la visualizacion de al menos un parametro de entrada variable en sus elementos base, las capas, por lo tanto tambien descomponiendo el problema. Los conjuntos de visualizaciones de elementos base descompuestos se pueden representar de forma segura encima de cada uno en tiempo de ejecucion, transformando por lo tanto un problema multiplicativo en un problema aditivo y asf reduciendo la cantidad de estados de visualizaciones posibles. Mas que usar sumas de comprobacion para verificar la visualizacion para cada estado posible de la visualizacion original, los datos de imagen descompuestos son usados directamente y bien representados de manera segura en una unidad de computacion segura, o usados en combinacion con algun tipo de comparacion de ancho de pixel, correspondencia de patrones o sumas de comprobacion para fines de verificacion, pero para la ahora reducida cantidad de estados de visualizacion del problema descompuesto mas que para la posiblemente enorme cantidad original de estados de visualizacion. La descomposicion del problema esta bien adaptada a como las librenas GUI usan el orden z y mezcla alfa y/o enmascarado alfa para implementar la visualizacion en primer lugar, y se puede realizar en una unidad relevante de seguridad pequena y simple para hacer la representacion, o una arquitectura de 2 canales en el canal de verificacion para anadir o mejorar la seguridad. Ademas, cada estado posible de visualizaciones de elementos base de seguridad puede transformarse antes de ser almacenado para reducir la cantidad de capacidad de almacenamiento requerida para la capa de imagen. La transformacion para reducir el requisito de almacenamiento podna ser un algoritmo de compresion, o almacenar la visualizacion de elemento base de manera particularmente eficiente, tal como almacenarlo como graficos de vectores. Por lo tanto, para un velodmetro simple con una profundidad de pixel RGBA de 32 bits, mostrando por ejemplo la velocidad actual, velocidad minima, velocidad maxima y velocidad objetivo de un tren, con cuatro parametros de entrada y, por lo tanto, cuatro fuentes de entrada, en donde los datos cnticos de seguridad son posibles estados de visualizacion de los cuatro parametros de entrada, usando compresion de imagen como la transformacion y asumiendo una compresion de 25k bytes para la superposicion de imagen base estatica y aproximadamente 3k bytes de datos comprimidos por visualizacion de elemento base, con cada parametro de entrada siendo una entrada de 10 bits, un almacenamiento total de 25k bytes + 210 * 3k bytes + 210 * 3k bytes + 210 * 3k bytes + 210 * 3k bytes y, por lo tanto, se requiere una cantidad total de aproximadamente 12 Mega bytes. Cuando
5
10
15
20
25
30
35
40
45
50
55
60
se usan otras formas de transformacion antes de almacenar los datos de imagen de los posibles estados, tales como por ejemplo graficos de vector, la compresion alcanzada podna ser incluso mucho mejor. Si esto se compara con el metodo comun de computar sumas de comprobacion de todos los 210+10+10+10=240 estados de visualizacion de la visualizacion segura original, asumiendo que cada suma de comprobacion tiene 4 Bytes, el almacenamiento requerido alcanzana 4 Tera bytes de datos de suma de comprobacion, que es aproximadamente 349525 veces peor que los 12 Mega bytes de almacenamiento de datos requeridos. El ultimo calculo muestra claramente los beneficios del presente sistema para la visualizacion segura de informacion relevante para la seguridad, no solo haciendo el sistema mas eficiente por un factor enorme, sino tambien habilitando visualizaciones seguras que antes habnan sido imposibles. Ademas, el sistema es suficientemente simple de implementar que puede incluso descargarse a pequenas unidades de procesamiento incorporadas, y la parte relevante de seguridad del metodo es razonablemente pequena y asf facilmente certificable.
En algunas realizaciones, pueden haber tambien datos no cnticos de seguridad incluidos en la visualizacion, en donde los datos no cnticos de seguridad son transmitidos al tercer medio del sistema por los medios de transmision, y en donde el sistema ademas comprende un medio para incorporar datos de visualizacion no cnticos de seguridad en los datos de visualizacion que estan siendo mostrados en el elemento de representacion. Esta tarea podna realizarse bien representando los datos no cnticos de seguridad y entonces superponiendo las capas cnticas de seguridad, o incorporando los datos no cnticos de seguridad en el paso de superposicion en orden z diferente a 0. Como una alternativa, para mejorar la pureza de la arquitectura, o como una realizacion mejorada, elementos de visualizacion no cnticos de seguridad podnan descomponerse y transformarse y procesarse de la misma manera que los elementos de visualizacion seguros. Tomando un sistema que opera en un tren como un ejemplo, el velodmetro podna mostrar datos de visualizacion seguros, pero podna compartir el elemento de representacion con la temperatura del aire acondicionado y un texto que mostrara por ejemplo el nombre de la siguiente estacion, siendo estos dos ultimos no cnticos de seguridad. Estos datos no cnticos de seguridad podnan transmitirse al tercer medio desde un sistema externo, o el tercer medio mismo, por ejemplo un ordenador HMI moderno, puede consistir tanto en una parte no relevante para la seguridad, tal como un sistema de procesamiento, como en una parte relevante para la seguridad, tal como un controlador de elemento de representacion seguro implementado por ejemplo en una FPGA u otro procesador, con la parte no relevante para la seguridad representando la temperatura del aire acondicionado y el texto de la siguiente estacion, y la parte relevante para la seguridad superponiendo el velodmetro relevante para la seguridad. En esto la parte no cntica de seguridad del sistema, podna proporcionar colores de fondo o puede proporcionar visualizacion de fondo que brille a traves de esquinas redondeadas incluso de visualizaciones relevantes para la seguridad como un velodmetro seguro rectangular, en donde el velodmetro seguro se representa superpuesto encima de los datos no cnticos de seguridad mediante la parte relevante para la seguridad del sistema, pero las esquinas del velodmetro seguro rectangular pueden contener datos transparentes y traslucidos, en donde la mezcla alfa en la parte superpuesta del metodo permite que los datos no cnticos de seguridad brillen a traves. Usar mezcla alfa durante la superposicion como se ha descrito permite escenarios muy complejos de datos relevantes para la seguridad y no relevantes para la seguridad mezclados. Tambien, el enmascarado alfa podna opcionalmente usarse para cortar o dejar brillar solo partes espedficas del fondo no seguro, con la mascara alfa incluso dependiendo de uno o mas parametros de entrada variables.
La parte segura del tercer medio podna tambien realizarse como parte de un controlador de graficos externo, una parte de un controlador de graficos integrado en una unidad de elemento de representacion o como un dispositivo autonomo tambien.
La parte no segura y la parte segura podnan no solo estar incorporadas en el tercer medio todas juntas sino tambien podnan implementarse en una unidad de procesamiento con otros medios para separar la visualizacion segura y la visualizacion no segura, tal como por ejemplo mediante metodos de particionamiento por software.
En algunas realizaciones, el primer medio comprende una primera unidad de almacenamiento, en donde los medios de enumeracion, transformacion y almacenamiento usan un algoritmo de compresion almacenado en la primera unidad de almacenamiento para comprimir de manera separada cada estado posible de cada capa antes de almacenarla. Ademas, el medio de superposicion usa un algoritmo de descompresion respectivo, que es en particular la transformacion inversa respectiva del algoritmo de compresion usado, almacenado en una segunda unidad de almacenamiento en el tercer medio, para descomprimir los estados posibles comprimidos de cada capa antes de superponer los elementos base seguros representados. Las utilidades de compresion de archivos, que son programas que aplican un algoritmo de compresion de archivos para formar uno, a una serie de archivos, y crear un archivo de archivos, son conocidos en la tecnica y son, por lo tanto, bastante faciles de implementar. Utilidades de compresion de archivos convencionales tienen una caractenstica de extraccion que usa el algoritmo original usado para comprimir y crear el archivo, para extraer adecuadamente y recuperar los archivos desde el archivo y, asf, estas utilidades de compresion de archivos convencionales pueden usarse para comprimir cada uno de los elementos base seguros descompuestos. Ademas, las utilidades de compresion de archivos son capaces de colocar multiples archivos en un archivo de archivos, con un tamano de archivo menor que la suma de los archivos en el y, asf, la cantidad de capacidad de almacenamiento se puede reducir mas. Tambien, hay algoritmos de compresion conocidos en la tecnica que son espedficamente eficientes cuando se usan con datos de imagen.
Como un ejemplo de un algoritmo de compresion de imagenes sin perdidas que esta bien adecuado para datos de imagen y tambien es particularmente eficiente y facil de implementar en un sistema incorporado, el algoritmo de
5
10
15
20
25
30
35
40
45
50
55
compresion cuyo codigo se almacena en la primera unidad de almacenamiento puede ser un algoritmo de tabla de busqueda de color con codificacion de longitud de secuencia, para comprimir sucesivamente los elementos respectivos. En la teona de codificacion, una tabla de busqueda es usada comunmente para mantener s^bolos mas largos frecuentes en los datos originales, reemplazar los sfmbolos mas largos en los datos originales por indices de tabla de busqueda mas cortos, por lo tanto comprimiendo los datos originales. En el caso de datos de imagen, los colores son candidatos adecuados a ser usados como sfmbolos en las tablas de busqueda. La codificacion de longitud de secuencia es una forma muy simple de compresion de datos en la cual secuencias de datos son almacenados como un unico valor de dato y cuenta, mas que la secuencia original. Esto es mas util en datos que contienen muchas de esas secuencias, por ejemplo imagenes de graficos simples como iconos, dibujos de lmeas, por ejemplo los numeros y letras en el dial proyectado de un velodmetro convencional. Por lo tanto, dado que muchos datos de imagen, especialmente para las capas, tienen mayormente pfxeles transparentes, usar una tabla de busqueda de color para cada capa y combinarla con codificacion de longitud de secuencia es una tecnica muy eficiente, resultando usualmente en tasas de compresion del 10% de los datos originales para la imagen base, y sobre 2% para una capa tfpica. Ademas, tal algoritmo puede implementarse facilmente en hardware y es factible para tanto procesadores de proposito general como FPGA.
Para todos los estados posibles del al menos un parametro de entrada variable tambien podnan haber datos no cnticos de seguridad a ser mostrados.
En algunas realizaciones, el tercer medio comprende una unidad de almacenamiento no volatil para almacenar los elementos base seguros transmitidos y una cuarta unidad de almacenamiento para almacenar los datos no cnticos de seguridad. Puede haber ademas un controlador de graficos, que gestiona la tercera unidad de almacenamiento o volatil asf como la cuarta unidad de almacenamiento, para conmutar un flujo de datos entre los datos no cnticos de seguridad y las capas cnticas de seguridad. En particular, el controlador de graficos seguros esta conectado a la memoria no volatil, que contiene los datos de imagen de capa comprimida y a la cuarta unidad de almacenamiento, que podna ser un sistema no seguro y contiene datos no cnticos de seguridad. Por lo tanto, el controlador de graficos seguros puede gestionar las capas seguras el mismo, separando datos seguros y no seguros en la memoria de elemento de representacion, y mostrando datos seguros encima de los datos no seguros. En ello, cada uno de los elementos del conjunto de todos los estados posibles de visualizaciones de elementos base seguros, en particular cada uno de los posibles estados de cada capa se puede almacenar en un area separada de la tercera unidad de almacenamiento no volatil, para acelerar el tiempo de acceso para leer cada visualizacion de elemento base seguro desde la tercera unidad de almacenamiento no volatil, y para facilitar la implementacion.
Ademas, en algunas realizaciones, la unidad de almacenamiento comprende una unidad de almacenamiento, que comprende una parte no segura para almacenar datos no cnticos de seguridad y una parte segura para almacenar los elementos base seguros. Dado que muchos sistemas no seguros tienen su propia memoria no volatil, esta memoria no volatil se puede usar y el sistema no seguro puede entregar los datos superpuestos seguros bajo pedido. Por lo tanto, comparando con dos unidades de almacenamiento diferente para los datos no cnticos de seguridad y los datos cnticos de seguridad, esta solucion es mas barata en terminos de costes de hardware, pero requiere complejidad computacional adicional, para eliminar la memoria no volatil segura para los datos cnticos de seguridad. Puede haber un controlador de graficos seguros, tambien, para gestionar el flujo de datos graficos. En particular, los datos cnticos de seguridad se pueden encriptar con una clave de encriptacion conocida por el controlador de graficos seguros solo, o algunos otros medios para asegurar la integridad de los datos. Por lo tanto, el sistema no seguro puede ser un suministrador factible de datos seguros, anadiendo el coste de complejidad computacional y algontmica aumentado, pero ahorrando un componente hardware. Si el sistema no seguro no cumple su deber de proporcionar datos de capa seguros de una manera oportuna, el controlador de graficos seguros podna todavfa conmutar a un estado seguro, por ejemplo borrando el elemento de representacion o activando alguna otra funcion de seguridad, para alcanzar el objetivo de seguridad y, por lo tanto, la visualizacion segura de la informacion relevante para la seguridad.
Estos objetos se alcanzan aplicando las caractensticas mostradas en las reivindicaciones independientes 1 a 14. Las reivindicaciones dependientes se refieren a las realizaciones preferidas de la presente invencion.
Se describiran ahora las realizaciones de la invencion con referencia a los dibujos.
La figura 1 ilustra un sistema para la visualizacion segura de una informacion relevante para la seguridad segun una primera realizacion.
La figura 2 ilustra un sistema para la visualizacion segura de una informacion relevante para la seguridad segun una segunda realizacion.
La figura 3 ilustra un diagrama de flujo de un metodo para la visualizacion segura de una informacion relevante para la seguridad segun una tercera realizacion.
Las figuras 4A-C ilustran una visualizacion segura de la velocidad real, velocidad minima, velocidad maxima y velocidad objetivo de un tren en un cuadro de un velodmetro segun la presente invencion.
Las figuras 5A y B ilustran el uso de enmascaramiento alfa segun la presente invencion.
5
10
15
20
25
30
35
40
45
50
55
La figura 1 ilustra un sistema 1 para la visualizacion segura de una informacion relevante para la seguridad segun una primera realizacion.
El sistema 1 mostrado comprende un primer medio 2, un segundo medio 3 y un tercer medio 4.
En ello, el primer medio 2 mostrado comprende un medio 5 de descomposicion para realizar para todos los estados posibles de al menos un parametro de entrada variable la descomposicion de una visualizacion segura del al menos un parametro de entrada variable en sus elementos base seguros, las capas seguras y unos medios 6 de enumeracion, transformacion y almacenamiento para enumerar, opcionalmente transformar y entonces almacenar todos los estados posibles de cada capa, en particular un conjunto de todos los estados posibles de visualizaciones de elementos base.
El segundo medio 3 mostrado comprende un medio 7 de transmision para transmitir los estados posibles almacenadas para cada capa desde el primer medio 2 al tercer medio 4. En ello, el medio 7 de transmision puede por ejemplo ser un volumen de almacenamiento, tal como una memoria USB, una tarjeta SD, una memoria flash de tipo NAND o un disco duro, o algun tipo de conexion directa, por ejemplo Ethernet o WLAN.
Ademas, el tercer medio 4 mostrado comprende un medio 8 de determinacion para determinar las capas seguras correspondientes a un estado real del al menos un parametro de entrada variable introducido en el tercer medio 4 y el estado correcto de las capas seguras determinadas dependiendo del al menos un parametro de entrada variable, y un medio 9 de superposicion para representar una capa determinada tras la otra, una superponiendose a la anterior. Si el espacio de color usado presenta un canal alfa, la mezcla alfa se puede usar para hacer la superposicion mas poderosa. El enmascarado alfa puede usarse opcionalmente en cada capa, independientemente del espacio de color usado. Ademas, el tercer medio 4 mostrado comprende un medio 10 de visualizacion para mostrar la visualizacion resultante. En ello, segun la realizacion de la figura 1, el medio 10 de visualizacion puede comprender por ejemplo un elemento de representacion 11 TFT.
Segun la realizacion de la figura 1, el al menos un parametro de entrada variable comprende la velocidad actual de un tren, en donde en una visualizacion segura de la velocidad actual del tren se muestra tambien una velocidad minima, velocidad maxima y velocidad objetivo del tren. Ademas, un estado real del al menos un parametro V de entrada variable, por ejemplo una velocidad actual del tren, velocidad minima, velocidad maxima o velocidad objetivo, es comunicada a e introducida en el tercer medio 4. En ello, el estado real de la velocidad actual del tren se puede originar desde y ser determinado por un ordenador principal, por ejemplo un control de tren realizado por ordenador, en el cumplimiento de los estandares y regulaciones de seguridad comunes.
El sistema 1 mostrado esta basado en la descomposicion de la visualizacion de uno o mas parametros de entrada multiples en sus elementos base. En particular, para un velodmetro simple, mostrar por ejemplo la velocidad actual, velocidad minima, velocidad maxima y velocidad objetivo de un tren, la visualizacion de cuatro parametros en un area rectangular se descompone en cuatro visualizaciones comparativamente simples, una para cada uno de los parametros de entrada, simplificando de este modo el problema. Los conjuntos de visualizaciones de elementos base descompuestos pueden entonces representarse con seguridad uno encima de los otros, transformando de este modo un problema multiplicativo en un problema aditivo y reduciendo asf la cantidad de estados de visualizacion posibles. En particular, las visualizaciones mas simples separadas son rearmadas mediante la superposicion de capas seguras para reproducir la visualizacion original desde el conjunto simple de elementos base. En ello, el termino capa se introduce porque los elementos base individuales normalmente necesitan ser representados unos encima de otros en un orden z espedfico para producir la visualizacion original, en donde un elemento se superpone sobre otro.
En ello, mas que usar sumas de comprobacion para cada estado posible de la visualizacion original con fines de verificacion, los datos de imagen descompuestos se pueden usar directamente y representar de forma segura. En particular, la visualizacion segura se descompone en las fuentes respectivas, que pueden estar ya hechas en tiempo de diseno durante un proceso de desarrollo. En ello, una visualizacion de elemento base es almacenada tras otra formando capas de este modo, cada una de las cuales es luego, en tiempo de ejecucion, mostrada encima de la otra, generando de este modo una visualizacion segura del al menos un parametro de entrada variable.
En la realizacion mostrada en la figura 1, el primer medio 2 ademas comprende una primera unidad 12 de almacenamiento, en la cual se almacena codigo para un algoritmo de compresion. En ello, los medios 6 de enumeracion, transformacion y almacenamiento usan el algoritmo de compresion almacenado en la primera unidad 12 de almacenamiento para comprimir por separado cada elemento del conjunto de todos los estados posibles de visualizaciones de elementos base seguros antes de almacenarlas. Ademas, el tercer medio 4 comprende una segunda unidad 13 de almacenamiento, en la cual se almacena codigo para un algoritmo de descompresion, que es en particular la transformacion inversa del algoritmo de compresion cuyo codigo esta almacenado en la primera unidad 12 de almacenamiento, y los medios 9 de superposicion mostrados en la figura 1 usan este algoritmo de descompresion para descomprimir los elementos comprimidos del conjunto de todos los estados posibles de las visualizaciones de elementos base seguros y despues para superponer sucesivamente las visualizaciones de elementos base seguros, en particular las capas seguras que se corresponden con el estado real del al menos un
5
10
15
20
25
30
35
40
45
50
55
60
parametro de entrada variable, de este modo generando la visualizacion segura del estado real del parametro de entrada variable, en particular la velocidad del tren, velocidad mmima, velocidad maxima, y velocidad objetivo.
En ello, el algoritmo de compresion usado cuyo codigo esta almacenado en la primera unidad 12 de almacenamiento es un algoritmo de tabla de busqueda de color con codificacion de longitud de secuencia, para sucesivamente extraer y comprimir los elementos respectivos.
Segun la realizacion de la figura 1, para todos los estados posibles del al menos un parametro de entrada variable hay tambien datos no cnticos de seguridad a ser mostrados, tambien, en donde los datos no cnticos de seguridad son transmitidos directamente al tercer medio 4. Ademas, el tercer medio 4 mostrado en la figura 1 comprende una tercera unidad 14 de almacenamiento no volatil para almacenar cada uno de los elementos base seguros descompuestos del conjunto de todos los estados posibles de visualizaciones de elementos base y una cuarta unidad 15 de almacenamiento para almacenar datos no cnticos de seguridad. La figura 1 tambien muestra un controlador 16 de graficos seguros, que gestiona la tercera unidad 14 de almacenamiento no volatil asf como la cuarta unidad 15 de almacenamiento, para conmutar un flujo de datos graficos entre los datos no cnticos de seguridad y las capas cnticas de seguridad. Por lo tanto, el controlador 16 de graficos seguros puede gestionar las capas seguras el mismo, separando datos seguros y no seguros en la memoria del elemento de representacion, y mostrar datos seguros encima de los datos no seguros.
En ello, segun la realizacion de la figura 1, cada uno de los elementos del conjunto de todos los estados posibles de visualizaciones de elementos base seguros es almacenado en un area separada de la tercera unidad 14 de almacenamiento no volatil, para acelerar el tiempo de acceso para leer cada elemento del conjunto de datos cnticos de seguridad extrafdos de la tercera unidad 14 de almacenamiento no volatil.
La figura 2 ilustra un sistema 20 para la visualizacion segura de una informacion relevante para la seguridad segun una segunda realizacion. En ello, identicas caractensticas estructurales como en la realizacion mostrada en la figura 1 se identifican por sfmbolos de referencia identicos.
Segun la realizacion de la figura 2, el tercer medio 4 comprende solo una unidad para almacenar los datos no cnticos de seguridad asf como el conjunto de todos los estados posibles de visualizaciones de elementos base seguros, en particular una quinta unidad 21 de almacenamiento, que comprende un area 22 de almacenamiento no seguro para almacenar los datos no cnticos de seguridad y un area 23 de almacenamiento seguro para almacenar las capas cnticas de seguridad. La figura 2 tambien muestra un controlador 24 de graficos conectado a la quinta unidad 21 de almacenamiento, para gestionar el flujo de datos graficos. En particular, los datos cnticos de seguridad son encriptados con una clave de encriptacion conocida solo por el controlador 24 de graficos seguros. Por lo tanto, el sistema no seguro puede ser un suministrador factible de datos seguros, anadiendo el coste de complejidad computacional y algontmica aumentado, pero ahorrando un componente hardware. Los datos no cnticos almacenados en el area 22 podnan tambien ser derivados desde una fuente que fuera completamente externa al sistema.
Ademas, segun la realizacion de la figura 2, el medio 7 de transmision del segundo medio 3 comprende un medio 25 de inspeccion para realizar una inspeccion relevante para la seguridad o verificacion de los datos almacenados, por ejemplo, mediante inspeccion manual, semiautomatica o automatica. Esto esta destinado a mejorar la seguridad, servir como una asf llamada barrera de seguridad, o introducir seguridad mediante algun tipo de inspeccion, en particular una barrera de seguridad que cruza desde un dominio no seguro a uno seguro. Durante el paso de inspeccion/verificacion se podnan anadir firmas para la autentificacion.
En ello, aunque la visualizacion segura del estado real del al menos un parametro de entrada variable se puede generar mediante la transformacion inversa sucesiva y opcional y entonces representacion y superposiciones de los elementos base seguros, las capas, de los datos cnticos de seguridad originales descompuestos, el sistema 20 puede ademas comprender un segundo medio 26 de inspeccion para realizar los siguiente: Cada una de las visualizaciones de elementos base determinadas del conjunto de todos los estados posibles de visualizaciones de elementos base seguros correspondientes con el estado real del al menos un parametro de entrada variable es comparada con una version del elemento base seguro respectivo del conjunto de todos los estados posibles de visualizaciones de elementos base seguros que son mostrados eficazmente mostrados. Ademas, se proporciona una reaccion enfocada en la seguridad, si al menos una de las visualizaciones de elementos base seguros requeridas no es identica a la version del elemento base seguro respectivo que es mostrada eficazmente. En ello, la comparacion se puede llevar a cabo en una de muchas formas adecuadas, por ejemplo por comparacion de ancho de pixel, por ejemplo pixel a pixel, o por partes relevantes de los datos de pixel tales como para solo ciertos componentes de color, o mediante el calculo de sumas de comprobacion de las capas esperadas y las reales, y comparando las sumas de comprobacion, o haciendo algun tipo de correspondencia de patrones. Mediante la comprobacion de un elemento del conjunto de todos los estados posibles de visualizaciones de elementos base contra una version del elemento respectivo del conjunto de todos los estados posibles de visualizaciones de elementos base que son mostrados eficazmente, es necesario admitir una tolerancia, y proporcionar una reaccion enfocada en la seguridad si una capa esperada no es identica a la version de la capa respectiva que es mostrada eficazmente, se introduce una alta eficiencia y arquitectura de visualizacion segura con dos canales, donde el canal hacia delante hace la visualizacion real y el canal de verificacion proporciona o mejora la integridad en un modo
5
10
15
20
25
30
35
40
45
50
55
relevante para la seguridad mediante la comparacion de la visualizacion actual con la visualizacion esperada. Si no esta disponible el acceso a las representaciones de elementos base separados o capas del canal hacia delante para la verificacion del canal, la verificacion del canal puede representar la visualizacion del al menos un parametro de entrada variable mediante la representacion sucesiva y superposicion de los elementos base seguros, las capas, de los datos cnticos de seguridad originales descompuestos en una memoria intermedia sombra, y puede entonces comparar la visualizacion resultante con lo que realmente se esta mostrando, otra vez con un medio de comparacion adecuado, tal como algun tipo de comparacion de ancho de pixel, comparacion de suma de comprobacion o correspondencia de patrones, por ejemplo.
En ello, la reaccion enfocada en la seguridad puede ser apagar el medio 10 de representacion. En ello, el medio 10 de representacion puede apagarse completamente o hasta un cierto grado. Sin embargo, todos los metodos que indican claramente un fallo cntico de seguridad a un observador son adecuados como reacciones enfocadas en la seguridad, por ejemplo proporcionar marcado de datos, enmascaramiento o distorsion o apagado del sistema todo junto.
La figura 3 ilustra un diagrama de flujo de un metodo 30 para la visualizacion segura de una informacion relevante para la seguridad segun una tercera realizacion.
Como se muestra en la figura 3, en un primer paso 31, para todos los estados posibles de al menos un parametro de entrada variable, una visualizacion segura de al menos un parametro de entrada variable se descomponen en sus elementos base seguros, sus capas seguras, en donde cada uno de los elementos base seguros pueden ser estaticos o representar la informacion de visualizacion en al menos un parametro de entrada variable.
Como ademas se ilustra, en un segundo paso 32, para cada uno de los elementos base seguros descompuestos y, por lo tanto, para cada una de las capas seguras, se enumera un conjunto de todos los estados posibles de visualizacion de elementos base seguros y se almacena en un formato adecuado en donde el conjunto de todos los estados posibles de la visualizacion de elementos base seguros comprende la visualizacion de un elemento seguro en las visualizaciones seguras de al menos un parametro de entrada variable para todos los estados posibles de al menos un parametro de entrada variable. Por ejemplo, asumiendo que el al menos un parametro de entrada variable incluye la velocidad actual de un tren, entonces las visualizaciones de todos los estados posibles de la velocidad actual del tren se enumeran y almacenan en un formato adecuado.
En un tercer paso 33, para todos los estados posibles del al menos un parametro de entrada variable cada uno de los elementos base seguros descompuestos y, por lo tanto, para cada capa segura, se transmite el conjunto de todos los estados posibles de visualizacion de elementos base seguros generados mediante la descomposicion de visualizaciones seguras a un sistema objetivo que proporciona la visualizacion segura en tiempo de ejecucion.
En un cuarto paso 34, un estado real del al menos un parametro de entrada variable se introduce en el sistema objetivo, y para cada parametro de entrada variable se determinan y se buscan en el respectivo conjunto de todos los estados posibles de visualizacion del elemento seguro el elemento base seguro correspondiente, la capa segura, y su estado correcto.
Ademas, como se muestra en la figura 3, cada capa segura correspondiente, en particular la visualizacion de cada elemento base seguro correspondiente, es representada desde el conjunto de todos los estados posibles de visualizaciones de elementos base seguros en un quinto paso 35, una tras la otra, una superponiendose a la anterior. Este quinto paso 35, en particular la representacion y superposicion de los estados de elementos base seguros correctos, genera de forma segura la visualizacion segura original del estado real del al menos un parametro de entrada variable, que es entonces mostrado en un elemento de representacion.
Asf, el metodo 30 de la figura 3 se basa en datos de imagen extrafdos en vez del uso de sumas de comprobacion. En particular, la visualizacion segura se descompone en las fuentes respectivas, que se pueden realizar durante el proceso de desarrollo. En ello, una imagen es extrafda tras la otra formando de ese modo capas, cada una de las cuales es luego, durante el tiempo de ejecucion, mostrada encima de la otra, generando de ese modo una visualizacion segura del al menos un parametro de entrada variable. Si el espacio de color usado presenta un canal alfa, la mezcla alfa se puede usar para hacer la superposicion mas poderosa. El enmascarado alfa puede usarse opcionalmente en cada capa, independientemente del espacio de color usado. Dado que la mascara alfa solo tiene un bit por pixel, es rapido y eficiente de almacenar, sin embargo puede simplificar significativamente algunos tipos de visualizaciones, especialmente cuando la mascara alfa a aplicar puede depender de uno o mas parametros de entrada variables.
Las figuras 4A a C ilustran una visualizacion segura de la velocidad de un tren en un cuadro de un velodmetro segun la presente invencion.
En particular, la figura 4A ilustra un cuadro 40 de un velodmetro que representa la velocidad de un tren.
Como se muestra en la figura 4A, el cuadro 40 de un velodmetro comprende una imagen 41 base en la forma de un fondo opaco e informacion opaca alfanumerica con muchos pfxeles transparentes 42, 43, 44, 45 en el fondo opaco. En ello, la informacion alfanumerica 42, 43, 44, 45 incluyen un puntero 42 que indica la velocidad real del tren, una
5
10
15
20
25
30
35
40
45
50
55
primera barra 43 que indica una velocidad objetivo deseada del tren, una segunda barra 44 que indica la velocidad irnnima del tren y un triangulo 45 que indica la velocidad maxima del tren. Asf, la figura 4A muestra un velodmetro que tiene cuatro fuentes de entrada. Ademas, el cuadro 40 de un velodmetro mostrado cumple con los requisitos del Sistema de Control de Trenes Europeos (ETCS).
En ello, para evitar un fallo relevante para la seguridad, tiene que asegurarse una visualizacion segura de la velocidad actual del tren, velocidad minima, velocidad maxima y velocidad objetivo. En ello, los metodos conocidos se basan en el calculo de sumas de comprobacion para una secuencia de datos de imagen que representan la velocidad actual del tren, velocidad minima, velocidad maxima y velocidad objetivo y compara la suma de comprobacion calculada con una suma de comprobacion de referencia. Entonces se proporciona una reaccion enfocada en la seguridad, si la suma de comprobacion no es identica a la suma de comprobacion de referencia.
Sin embargo, considerando el velodmetro mostrado en la figura 4A, que muestra la velocidad actual de un tren, velocidad minima, velocidad maxima y velocidad objetivo, que tiene cuatro fuentes de entradas, si cada una de las fuentes tiene 10 bits de resolucion, el velodmetro tendna un total de 240 estados posibles. Ademas, si cada suma de comprobacion tuviera cuatro bytes, solo los datos de sumas de comprobacion sumana un total de 4 Tera bytes de datos de sumas de comprobacion, lo que sena mucho mas de lo que cualquier sistema incorporado podna proporcionar.
Aun sf un sistema incorporado pudiera presentar tal enorme cantidad de memoria, el calculo previo de las sumas de comprobacion sena impracticable. Considerando que un ordenador personal pudiera calcular 10 sumas de comprobacion por segundo, le llevana 34865 anos calcular 240 sumas de comprobacion, lo que sena inaceptable.
Por lo tanto, segun la presente invencion, como se muestra en la figura 4B, cada uno de los elementos 41, 42, 43, 44, 45 es extrafdo por separado formando de ese modo capas seguras, cada una de las cuales sera despues, en tiempo de ejecucion, mostrada encima de las otras, generando de este modo una visualizacion segura de la velocidad actual del tren, velocidad minima, velocidad maxima y velocidad objetivo. Asf, segun la presente invencion, la visualizacion segura se descompone en las fuentes respectivas, que pueden estar hechas durante el proceso de desarrollo. Por lo tanto, para un velodmetro simple con 24 bits de profundidad de pixel, que muestra por ejemplo la velocidad actual, velocidad minima, velocidad maxima y velocidad objetivo, teniendo asf cuatro fuentes de
entrada, en donde los datos cnticos de seguridad son posibles estados de las capas, en particular la informacion
0 10 10 10 10 1 1
alfanumerica 42, 43, 44, 45, solo hay 2 +2 +2 +2 +2 estados posibles para la visualizacion del velodmetro. Por lo tanto, considerando 25k bytes para la imagen base comprimida y aproximadamente 3k bytes de datos comprimidos por capa, un almacenamiento total de 25k bytes + 210 * 3k bytes + 210 * 3k bytes + 210 * 3k bytes + 210 * 3k bytes y, por lo tanto, se requiere una cantidad total de aproximadamente 12M bytes, lo que es sobre 333333 veces mejor que una suma total de 4 Tera bytes de datos de sumas de comprobacion. Ademas, en efecto la extraccion de los datos de imagen puede llevar mas tiempo que el calculo de las sumas de comprobacion, pero considerando un ordenador personal que ejecuta 1 extraccion por segundo, se requiere un tiempo de computacion de 4097 segundos para la extraccion de todos los datos, lo cual es mucho mejor que un tiempo de computacion de 34865 anos para calcular 240 sumas de comprobacion. Por lo tanto, se proporciona un metodo mejorado para la visualizacion segura de informacion relevante para la seguridad en un elemento de presentacion sobre requisitos de almacenamiento y tiempo computacional.
La figura 4C ilustra un paso de superposiciones sucesivas de los elementos 41, 42, 43, 44, 45 extrafdos, generando de este modo la visualizacion 40 segura del cuadro de un velodmetro real.
Las figuras 5A y B ilustran el uso de enmascaramiento alfa segun la presente invencion.
En particular, la figura 5A ilustra una barra 50 que indica el area de velocidad objetivo de un tren, en donde un borde 51 izquierdo de la barra 50 indica el valor de velocidad minima del tren de aproximadamente 40km/h y un borde 52 derecho de la barra 50 indica el valor de velocidad maxima del tren de aproximadamente 80km/h.
Por lo tanto, la barra 50 mostrada depende de dos parametros de entrada variables. Asf, aun si esta barra 50 fuera un elemento base separado y, por lo tanto, una capa segura, el valor de la velocidad minima del tren y el valor de la velocidad maxima del tren no se podnan separar el uno del otro, y el numero de estados se multiplicana.
Por lo tanto, una mascara alfa binaria adicional se puede usar por capa, en particular una mascara alfa de 1 bit por pixel. En ello, una mascara alfa binaria denota una mascara de supresion que es aplicada por capa. En ello, un bit en la mascara alfa se corresponde con un pixel en la capa, en donde si el bit es 0 entonces el pixel correspondiente sera simplemente tratado como si tuviera un valor A de 0.
La figura 5B ilustra una descomposicion de la barra 50 mediante el enmascarado alfa.
Como se muestra en la figura 5B, usando el enmascarado alfa la barra 50 se puede visualizar dependiendo del valor de velocidad maxima del tren y una mascara 53 alfa es dependiente de la velocidad minima del tren. Primero, la barra se dibuja desde 0km/h a 80km/h, y entonces la mascara 53 alfa es aplicada para borrar la parte entre 0km/h y 40km/h, representando la visualizacion prevista de una barra en un intervalo entre 40km/h y 80km/h. Dado que la visualizacion se ha descompuesto en dos pasos, los estados se han sumado en vez de multiplicado.

Claims (18)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    REIVINDICACIONES
    1. Metodo para la visualizacion segura de informacion relevante para la seguridad, comprendiendo el metodo (30) los siguientes pasos:
    - para todos los estados posibles de al menos un parametro de entrada variable, descomponer una visualizacion segura del al menos un parametro de entrada variable en sus elementos (31) base seguros;
    - para cada uno de los elementos base seguros descompuestos, enumerar y almacenar un conjunto de todos los posibles estados de visualizaciones de elementos base seguros (32);
    - para cada uno de los elementos base seguros descompuestos, transmitir el conjunto de todos los estados posibles de visualizaciones de elementos base seguros a un sistema objetivo que proporciona visualizacion segura en tiempo de ejecucion (33);
    - para cada uno del al menos un parametro de entrada variable introducir un estado real del al menos un parametro de entrada variable en el sistema objetivo y, para cada uno del al menos un parametro de entrada variable, determinar una visualizacion de elemento base seguro correspondiente al estado real del al menos un parametro de entrada variable y su estado correcto para el conjunto de todos los estados posibles de la visualizacion (34) de elemento base seguro;
    - sucesivamente representar y superponer cada uno de las visualizaciones de elementos base seguros correspondientes encima de las otras en un medio de representacion del sistema objetivo, generando de este modo una visualizacion segura del estado real del al menos un parametro (35) de entrada variable.
  2. 2. El metodo segun la reivindicacion 1, en donde el paso de enumerar y almacenar un conjunto de todos los estados posibles de visualizaciones de elementos base seguros para cada uno de los elementos (32) base seguros descompuestos comprende transformar cada elemento del conjunto de todos los estados posibles de visualizaciones de elementos base seguros en un formato adecuado antes de almacenar los elementos base seguros descompuestos, y en donde el paso de representar sucesivamente y superponer cada una de las visualizaciones de elementos base seguros encima de las otras en un medio de representacion en el sistema objetivo, generando de ese modo una visualizacion segura del estado real del al menos un parametro (35) de entrada variable comprende el uso de transformacion inversa respectiva.
  3. 3. El metodo segun la reivindicacion 2, en donde el paso de transformar cada elemento del conjunto de estados posibles de visualizaciones de elementos base seguros en un formato adecuado comprende usar un algoritmo de compresion y en donde la transformacion inversa respectiva es un algoritmo de descomprension respectivo.
  4. 4. El metodo segun la reivindicacion 3, en donde el algoritmo de compresion es un algoritmo de tabla de busqueda de color con codificacion de longitud de secuencia.
  5. 5. El metodo segun la reivindicacion 2, en donde el paso de transformar cada elemento del conjunto de todos los estados posibles de visualizaciones de elementos base seguros en un formato adecuado comprende transformar cada uno de los elementos del conjunto de todos los estados posibles de visualizaciones de elementos base seguros en un formato de graficos de vector y en donde la transformacion inversa respectiva usada en el paso de representar sucesivamente y superponer cada una de las visualizaciones de elementos base seguros encima de las demas en un medio de representacion en el sistema objetivo, generando de este modo una visualizacion segura del estado real del al menos un parametro (35) de entrada variable comprende interpretar el formato de graficos de vector.
  6. 6. El metodo segun una de las reivindicaciones 1 a 5, en donde el paso de enumerar y almacenar un conjunto de todos los estados posibles de visualizaciones de elementos base seguros para cada uno de los elementos (32) base seguros descompuestos comprende el paso de almacenar el conjunto de todos los estados posibles de visualizaciones de elementos base seguros en un espacio de color que esta particularmente bien adaptado para la tarea de visualizacion.
  7. 7. El metodo segun una de las reivindicaciones 1 a 6, en donde para todos los estados posibles del al menos un parametro de entrada variable la visualizacion segura del al menos un parametro de entrada variable comprende datos no cnticos de seguridad, en donde los datos no cnticos de seguridad son transmitidos al sistema objetivo y en donde el paso de representar sucesivamente y superponer cada uno de las visualizaciones de elementos base seguros correspondiente encima de las demas en un medio de representacion del sistema objetivo, generando de este modo una visualizacion segura del estado real del al menos un parametro (35) de entrada variable comprende:
    - representar y mostrar los datos no cnticos de seguridad;
    - superponer sucesivamente los datos no cnticos de seguridad mostrados con cada una de las visualizaciones de elementos base seguros correspondientes.
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
  8. 8. El metodo segun una de las reivindicaciones 1 a 7, en donde el paso de enumerar y almacenar un conjunto de todos los estados posibles de visualizaciones de elementos base seguros para cada uno de los elementos (32) base seguros descompuestos comprende el paso de almacenar el conjunto de todos los estados posibles de visualizaciones de elementos base seguros en un espacio de color RGBA que en particular presenta un canal alfa, y en donde el paso de representar sucesivamente y superponer cada una de las visualizaciones de elementos base seguros correspondientes encima de las demas en un medio de representacion del sistema objetivo, generando de este modo una visualizacion segura del estado real del al menos un parametro (35) de entrada variable comprende usar mezcla alfa.
  9. 9. El metodo segun una de las reivindicaciones 1 a 8, en donde el paso de enumerar y almacenar un conjunto de todos los estados posibles de visualizaciones de elementos base seguros para cada uno de los elementos (32) base seguros descompuestos comprende usar enmascarado alfa, y en donde el paso de representar sucesivamente y superponer cada una de las visualizaciones de elementos base seguros correspondientes encima de las demas en un medio de representacion del sistema objetivo, generando de este modo una visualizacion segura del estado real del al menos un parametro (35) de entrada variable comprende usar enmascarado alfa para generar la visualizacion de elementos base seguros.
  10. 10. El metodo segun una de las reivindicaciones 1 a 9, en donde el paso de enumerar y almacenar un conjunto de todos los estados posibles de visualizaciones de elementos base seguros para cada uno de los elementos (32) base seguros descompuestos comprende usar un orden z no estatico y en donde el paso de representar sucesivamente y superponer cada una de las visualizaciones de elementos base seguros correspondientes encima de las demas en un medio de representacion del sistema objetivo, generando de este modo una visualizacion segura del estado real del al menos un parametro (35) de entrada variable comprende usar el orden z no estatico para generar la visualizacion de elementos base seguros.
  11. 11. El metodo segun una de las reivindicaciones 1 a 10, en donde el paso de transmitir el conjunto de todos los estados posibles de visualizaciones de elementos base seguros a un sistema objetivo que proporciona visualizacion segura en tiempo de ejecucion para cada uno de los elementos (33) base seguros descompuestos, comprende asegurar la integridad de los datos de los datos transmitidos y/o anadir un paso de inspeccion manual, semiautomatica o automatica para mejorar la integridad de seguridad de los datos.
  12. 12. El metodo segun una de las reivindicaciones 1 a 11, en donde el metodo (30) ademas comprende:
    - comparar cada uno de las visualizaciones de elementos base seguros con una version del elemento base seguro que es mostrada eficazmente;
    - proporcionar una reaccion enfocada en la seguridad, si uno de las visualizaciones de elementos base seguros no es identica a la version del elemento base seguro correspondiente que es mostrada eficazmente.
  13. 13. El metodo segun la reivindicacion 12, en donde la reaccion enfocada en la seguridad comprende apagar el medio de representacion del sistema objetivo.
  14. 14. Sistema para la visualizacion segura de informacion relevante para la seguridad comprendiendo un primer medio (2), que comprende medios (5) de descomposicion para realizar para todos los estados posibles de al menos un parametro de entrada variable la descomposicion de una visualizacion segura del al menos un parametro de entrada variable en sus elementos base seguros, y unos medios (6) de enumeracion, transformacion y almacenamiento para realizar para cada uno de los elementos base seguros descompuestos enumeracion y almacenamiento de un conjunto de todos los estados posibles de visualizaciones de elementos base seguros, y un segundo medio (3), que comprende un medio (7) de transmision para cada uno de los elementos base seguros descompuesto el conjunto de todos los estados posibles de visualizaciones de elementos base seguros a un tercer medio (4) que proporciona visualizacion segura en tiempo de ejecucion, en donde para cada uno del al menos un parametro de entrada variable un estado real del al menos un parametro de entrada variable es introducido en el tercer medio (4) y en donde el tercer medio (4) comprende un medio (8) de determinacion para determinar para cada uno del al menos un parametro de entrada variable la visualizacion de elemento base seguro correspondiente que se corresponde con el estado real del al menos un parametro de entrada variable y su estado correcto del conjunto de todos los estados posibles de visualizaciones de elementos base seguros, y un medio (9) de superposicion para representar y superponer sucesivamente cada una de las visualizaciones de elementos base seguros encima de los demas en un medio (10) de representacion del tercer medio(4), generando de este modo una visualizacion segura del estado real del al menos un parametro de entrada variable.
  15. 15. El sistema segun la reivindicacion 14, en donde para todos los estados posibles del al menos un parametro de entrada variable la visualizacion segura del al menos un parametro de entrada variable comprende datos no cnticos de seguridad, en donde los datos no cnticos de seguridad son transmitidos al tercer medio (4) mediante el medio (7) de transmision y en donde el tercer medio (4) comprende un medio para incorporar los datos no cnticos de seguridad en los datos de visualizacion que son mostrados en el medio (10) de visualizacion.
  16. 16. El sistema segun la reivindicacion 15, en donde el tercer medio (4) comprende una unidad (14) de almacenamiento no volatil para almacenar cada uno de los elementos base seguros descompuestos el conjunto de
    todos los estados posibles de visualizaciones de elementos base seguros, una cuarta unidad (15) de almacenamiento para almacenar los datos no cnticos de seguridad y un controlador (16) de graficos para gestionar la tercera unidad (14) de almacenamiento no volatil y la cuarta unidad (15) de almacenamiento mediante la conmutacion de un flujo de datos entre la tercera unidad (14) de almacenamiento no volatil y la cuarta unidad (15) de 5 almacenamiento en tal forma, que los datos no cnticos de seguridad se pueden representar y mostrar primero y son entonces superpuestos con cada una de las visualizaciones de elementos base seguros correspondientes.
  17. 17. El sistema segun la reivindicacion 15, en donde el tercer medio (4) comprende una unidad (21) de almacenamiento, que comprende un area (23) de almacenamiento seguro para almacenar para cada uno de los elementos base seguros descompuestos el conjunto de todos los estados posibles de visualizaciones de elementos
    10 base seguros y un area (22) de almacenamiento no seguro para almacenar los datos no cnticos de seguridad y un controlador (24) de graficos para gestionar la quinta unidad (21) de almacenamiento mediante la conmutacion de un flujo de datos entre el area (23) de almacenamiento seguro de la quinta unidad (21) de almacenamiento y el area (22) de almacenamiento no seguro de la quinta unidad (21) de almacenamiento en tal modo, que los datos no cnticos de seguridad se pueden representar y mostrar primero y entonces son superpuestos con cada una de las
    15 visualizaciones de elementos base seguros correspondientes.
  18. 18. El sistema segun una de las reivindicaciones 14 a 17, en donde el primer medio (2), el segundo medio (3) y el cuarto medio (4) se combinan en una unidad computacional.
ES14004441.3T 2014-12-30 2014-12-30 Método y sistema para la visualización segura de información relevante para la seguridad Active ES2619190T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP14004441.3A EP3040862B1 (en) 2014-12-30 2014-12-30 Method and system for the safe visualization of safety-relevant information

Publications (1)

Publication Number Publication Date
ES2619190T3 true ES2619190T3 (es) 2017-06-23

Family

ID=52391738

Family Applications (1)

Application Number Title Priority Date Filing Date
ES14004441.3T Active ES2619190T3 (es) 2014-12-30 2014-12-30 Método y sistema para la visualización segura de información relevante para la seguridad

Country Status (4)

Country Link
US (1) US10152952B2 (es)
EP (1) EP3040862B1 (es)
CA (1) CA2915543C (es)
ES (1) ES2619190T3 (es)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2619190T3 (es) 2014-12-30 2017-06-23 Matthias Auchmann Método y sistema para la visualización segura de información relevante para la seguridad
DE102016224967A1 (de) * 2016-12-14 2018-06-14 Siemens Aktiengesellschaft Technische Anlage, Verfahren zu deren Betrieb sowie Prozesszustandserkennungseinrichtung für eine technische Anlage
KR102001914B1 (ko) 2017-09-07 2019-07-19 엘지전자 주식회사 차량 av시스템의 오류 검출 ic
HUE059058T3 (hu) * 2018-04-06 2023-01-28 Thales Man & Services Deutschland Gmbh Vasúti forgalomirányító rendszer és eljárás egy vágányút- és vonatbefolyásoló rendszer állapotjelzésének biztonságos megjelenítésére
US11003425B2 (en) * 2019-01-10 2021-05-11 Disti, Llc Mixed criticality user interface development system
DE102021001673B3 (de) 2021-03-30 2022-06-15 Mercedes-Benz Group AG Verfahren und Vorrichtung zur sicheren Anzeige von ASIL-relevanten Daten auf einer Anzeigevorrichtung eines Kraftfahrzeuges

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3411015A1 (de) 1984-03-24 1985-09-26 Standard Elektrik Lorenz Ag, 7000 Stuttgart Verfahren und einrichtung zur signaltechnisch sicheren bildschirmdarstellung eines meldebildes
JP2007536634A (ja) * 2004-05-04 2007-12-13 フィッシャー−ローズマウント・システムズ・インコーポレーテッド プロセス制御システムのためのサービス指向型アーキテクチャ
US7593013B2 (en) * 2005-03-11 2009-09-22 University Of Utah Research Foundation Systems and methods for displaying and querying heterogeneous sets of data
US7623677B2 (en) * 2005-06-17 2009-11-24 Fuji Xerox Co., Ltd. Methods and interfaces for visualizing activity across video frames in an action keyframe
US7957598B2 (en) * 2006-01-09 2011-06-07 Lexmark International, Inc. Methods and systems for dynamic scan compression
US20080155437A1 (en) * 2006-12-21 2008-06-26 Morris Robert P Methods, systems, and computer program products for controlling presentation of dynamic content in a presentation element
US8624921B2 (en) * 2008-09-30 2014-01-07 Rockwell Automation Technologies, Inc. Industrial automation visualization schemes employing overlays
PL2353089T3 (pl) * 2009-07-06 2012-10-31 Deuta Werke Gmbh Sposób przedstawiania informacji istotnych dla bezpieczeństwa na wyświetlaczu oraz urządzenie do zastosowania sposobu
EP2273369B2 (de) 2009-07-06 2016-09-07 Deuta-Werke GmbH Verfahren zur Darstellung einer sicherheitsrelevanten Information auf einer Anzeigevorrichtung und Vorrichtung zur Durchführung des Verfahrens
EP2439722B1 (de) * 2010-09-20 2013-06-19 Pixy AG Verfahren zur Überprüfung von pixelformatierten Displaydaten zur Darstellung auf einem Bildschirm eines Anzeigegerätes in einem Fahrzeug
DE102011076929A1 (de) * 2011-06-03 2012-12-06 Siemens Ag Verfahren und Vorrichtung zur Darstellung von Volumendaten für eine Untersuchung von Dichteeigenschaften
US8671364B2 (en) * 2011-09-26 2014-03-11 Sas Institute, Inc. Techniques to present hierarchical information using a multivariable decomposition visualization
DE102012207439A1 (de) 2012-05-04 2013-11-07 Cassidian Airborne Solutions Gmbh Verfahren zur Darstellung sicherheitskritischer Daten durch eine Anzeigeneinheit; Anzeigeneinheit
DE102012208481B4 (de) 2012-05-21 2022-03-03 Beckhoff Automation Gmbh Verfahren und Vorrichtung zum Betreiben eines Computersystems
WO2014062102A1 (en) * 2012-10-15 2014-04-24 Saab Ab Flexible display system
US9386318B2 (en) * 2012-12-12 2016-07-05 Apple Inc. Lossless image compression using differential transfer
US10048396B2 (en) * 2013-03-14 2018-08-14 Exxonmobil Upstream Research Company Method for region delineation and optimal rendering transform of seismic attributes
US20160042024A1 (en) * 2014-08-08 2016-02-11 Front Porch Digital, Inc. Continuous data health check
ES2619190T3 (es) 2014-12-30 2017-06-23 Matthias Auchmann Método y sistema para la visualización segura de información relevante para la seguridad

Also Published As

Publication number Publication date
US20160189687A1 (en) 2016-06-30
CA2915543C (en) 2017-06-27
EP3040862A1 (en) 2016-07-06
US10152952B2 (en) 2018-12-11
CA2915543A1 (en) 2016-06-30
EP3040862B1 (en) 2016-12-28

Similar Documents

Publication Publication Date Title
ES2619190T3 (es) Método y sistema para la visualización segura de información relevante para la seguridad
US10602124B2 (en) Systems and methods for providing a cubic transport format for multi-lens spherical imaging
US20200007602A1 (en) Remote desktop video streaming alpha-channel
US8384738B2 (en) Compositing windowing system
US9607160B2 (en) Method and apparatus for providing string encryption and decryption in program files
TWI549094B (zh) 區塊消除之裝置與方法
US11900662B2 (en) Method, apparatus, and computer program product for training a signature encoding module and a query processing module to identify objects of interest within an image utilizing digital signatures
CN103617027A (zh) 基于安卓系统的图像渲染引擎构建方法及系统
US10496372B2 (en) Electronic calculating device for performing obfuscated arithmetic
WO2016083424A1 (en) Electronic calculating device for performing obfuscated arithmetic
CN105740661B (zh) 一种保护应用程序的方法和装置
CN107613046A (zh) 滤镜管道系统、图像数据处理方法、装置以及电子设备
US10593103B2 (en) Method and apparatus for managing graphics layers within a data processing system
EP2025143A1 (fr) Procede de codage d'une image numerique couleur comportant une information de marquage
US20180097966A1 (en) Enhancing graph visualization with supplemental data
Gagliardi et al. Homogeneous spherical data of orbits in spherical embeddings
KR102468801B1 (ko) 가상 현실 컨텐츠 변환 방법 및 장치
CN111054072B (zh) 一种角色模型拖尾的方法、装置、设备及存储介质
ES2750977T3 (es) Instrucciones de escalado de vectores para su uso en una unidad aritmética lógica
CN109656620A (zh) 固件参数设置方法、装置和电子设备
CN104318134B (zh) 一种数据保护方法
US20090106540A1 (en) Apparatus and method for remanipulating instructions
GB2514410A (en) Image scaling for images including low resolution text
Wang et al. Digital Image Encryption Test System Based on FPGA and Nios II Soft Core
EP3675027A1 (en) Image providing apparatus, image providing method, and image providing program