FR3044498A1 - Systeme de transmission de donnees securisees entre un systeme a surete non garantie vers un systeme a surete garantie - Google Patents

Systeme de transmission de donnees securisees entre un systeme a surete non garantie vers un systeme a surete garantie Download PDF

Info

Publication number
FR3044498A1
FR3044498A1 FR1502478A FR1502478A FR3044498A1 FR 3044498 A1 FR3044498 A1 FR 3044498A1 FR 1502478 A FR1502478 A FR 1502478A FR 1502478 A FR1502478 A FR 1502478A FR 3044498 A1 FR3044498 A1 FR 3044498A1
Authority
FR
France
Prior art keywords
data
digital file
computer system
data transmission
transmission system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1502478A
Other languages
English (en)
Other versions
FR3044498B1 (fr
Inventor
Francois Michel
Laurent Laluque
Bruno Capelle
Bruno Aymeric
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Priority to FR1502478A priority Critical patent/FR3044498B1/fr
Publication of FR3044498A1 publication Critical patent/FR3044498A1/fr
Application granted granted Critical
Publication of FR3044498B1 publication Critical patent/FR3044498B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

Le domaine général de l'invention est celui des systèmes de transmission de données comportant un premier système informatique et un second système informatique. Le premier système informatique comporte un calculateur de données (10), une interface graphique (11) générant une image graphique comportant lesdites données, un dispositif de visualisation (12) affichant ladite image graphique sous forme d'une matrice de pixels. Le premier système informatique comporte un moyen de validation par un utilisateur de l'image graphique affichée, un dispositif de capture d'écran (13) permettant de créer un fichier numérique à partir de ladite matrice de pixels et un moyen de transfert du fichier numérique de ladite image graphique validée vers le second système informatique. Le second système informatique comporte au moins un moyen de réception du fichier numérique de ladite image graphique validée et des moyens d'analyse (14) dudit fichier numérique reçu de façon à en extraire les données.

Description

Système de transmission de données sécurisées entre un système à sûreté non garantie vers un système à sûreté garantie
Le domaine de l’invention est celui de la transmission de données numériques entre un système électronique à sûreté non garantie vers un système électronique à sûreté garantie.
Dans un certain nombre de domaine techniques, les systèmes électroniques de commande et les logiciels associés comportent des niveaux de sécurité ou de sûreté garantie, c’est-à-dire que leur niveau de fiabilité est très élevé. On peut citer notamment les systèmes avioniques pour aéronef qui nécessitent de très hauts niveaux de sécurité et dont les ensembles électroniques et les logiciels font l’objet d’importantes procédures de certification. Dans la suite de la description, on appelle ces systèmes « systèmes critiques ».
Dans un certain nombre d’applications, il est intéressant de transférer vers ces systèmes critiques des données et des informations issues de systèmes à sûreté non garantie. Ces systèmes correspondent généralement à des applications dites « grand public » qui ne nécessitent pas la même rigueur et la même sûreté. Dans la suite de la description, on appelle ces systèmes « monde ouvert» par opposition au monde fermé des applications critiques. A titre d’exemple, un pilote d’avion commercial calcule un plan de vol à l’aide d’une application grand public de « flight planning » sur une tablette et souhaite le transférer vers le système de gestion du vol ou « FMS » pour « Flight Management System » de son avion. Dans ce cas, l’opérateur est le pilote, le « monde ouvert » est la tablette et l’application grand public de « flight planning », le système critique est le système avionique de bord.
Le monde ouvert ne présentant pas la même sûreté que le système critique, les données issues du monde ouvert peuvent présenter des erreurs qui ne sont pas tolérables par le système critique. Elles sont de deux types. Les premières sont d’ordre syntaxique. Chaque donnée possède un domaine d’usage accepté par le système avionique. Une erreur syntaxique fait sortir la donnée de ce domaine d’usage.
Les secondes erreurs sont d’ordre sémantique. La donnée est bien dans le domaine d’usage mais ne correspond pas à la saisie de l’opérateur.
Par exemple, dans le cas du plan de vol, une erreur syntaxique est l’absence d’aéroport de destination dans le plan de vol. Une erreur sémantique est un changement d’aéroport de destination.
Les erreurs syntaxiques sont ou peuvent être détectées par le système critique qui les utilise et donc ne posent pas de problème important de sûreté.
Il n’est pas de même des erreurs sémantiques, plus difficiles à déceler. Pour les déceler, les solutions actuelles sont les suivantes : - On augmente le niveau de sûreté du monde ouvert. C’est le cas de certains équipements portables comme les « EFB » de classe III, EFB signifiant « Electronic Flight Bag ». Cependant cette solution est coûteuse économiquement et peu évolutive. Cette solution réduit, voire détruit l’intérêt du monde ouvert ; - L’opérateur effectue un contrôle des données venant du monde ouvert dans le système critique. C’est par exemple le cas pour la réception d’un plan de vol via l’ACARS, acronyme de « Aircraft Communication Addressing and Reporting System ». Cette solution entraîne une surcharge de travail pour le pilote et nécessite des moyens de contrôle des données. On citera, par exemple, l’affichage du plan de vol « ACARS » dans le « MCDU », acronyme de « Multifunction Contrat Display Unit » ; - Les données ne sont pas utilisées pour des fonctions critiques. C’est le cas par exemple, des données météorologiques affichées dans l’application «Digital Map». Dans ce cas encore, cette solution réduit l’intérêt du monde ouvert.
Le système selon l’invention ne présente pas ces inconvénients. En effet, il n’utilise pas un transfert direct des données numériques qui est difficilement contrôlable par l’utilisateur mais le système met en œuvre le transfert de données affichées, beaucoup plus facilement contrôlables par l’utilisateur. Il permet ainsi d’assurer une parfaite sûreté de transmission de données entre le monde ouvert et un système critique. Plus précisément, l’invention a pour objet un système de transmission de données comportant au moins un premier système informatique et un second système informatique,
Le premier système informatique comportant un calculateur de données numériques, lesdites données constituant un premier fichier numérique, une interface graphique générant une image graphique comportant lesdites données, cette image constituant un second fichier numérique, un dispositif de visualisation affichant ladite image graphique ;
Caractérisé en ce que :
Le premier système informatique comporte un moyen de validation par un utilisateur de l’image graphique affichée,
Le second système informatique comporte au moins un dispositif de capture d’écran permettant d’enregistrer le second fichier numérique, un moyen de transfert du second fichier numérique, un moyen de réception du second fichier numérique et des moyens d’analyse dudit second fichier numérique reçu de façon à extraire les données correspondantes au premier fichier numérique.
Avantageusement, les moyens de transfert et de réception appartiennent à un réseau informatique.
Avantageusement, les moyens de transfert et de réception sont des moyens de stockage de données numériques.
Avantageusement, les données à analyser sont sous forme alphanumériques ou graphiques.
Avantageusement, les données à analyser occupent une position déterminée dans l’image graphique, ladite position étant connue des moyens d’analyse du fichier numérique.
Avantageusement, les données à analyser ont un format déterminé, ledit format étant connu des moyens d’analyse du fichier numérique.
Avantageusement, le premier système informatique comporte des moyens de transmission du premier fichier numérique, le second système comporte des moyens de réception du premier fichier numérique et des moyens de comparaison des données du premier fichier numérique avec les données du second fichier numérique.
Avantageusement, le premier système informatique est un microordinateur ou un téléphone portable ou une tablette.
Avantageusement, le second système informatique est un dispositif d’un système de gestion de vol d’un aéronef. L’invention sera mieux comprise et d’autres avantages apparaîtront à la lecture de la description qui va suivre donnée à titre non limitatif et grâce aux figures annexées parmi lesquelles :
La figure 1 représente le synoptique général du système de transmission de données selon l’invention ;
La figure 2 représente un exemple de système de transmission de données selon l’invention ;
La figure 3 représente un premier type de données transmises par le système selon l’invention ;
La figure 4 représente un second type de données transmises par le système selon l’invention.
La figure 1 représente le synoptique général du système de transmission de données selon l’invention. Ce système de transmission de données comporte au moins un premier système informatique et un second système informatique.
Le premier système informatique appartient, comme on l’a défini précédemment, au « monde ouvert ». Globalement, c’est le domaine du matériel et des applications dites « Grand public ». Le second système appartient au « monde fermé ». C’est un système critique hautement sécurisé. C’est, à titre d’exemple non limitatif, le « Flight Management System » des systèmes avioniques.
Le premier système informatique comporte : - un calculateur électronique 10 permettant de calculer des données numériques à partir d’une application logicielle. Ces données constituent un premier fichier numérique. Ces données peuvent être de toute nature. Dans le cas d’applications aéronautiques, il peut s’agir des données d’un plan de vol comportant les différents points de passage ; - une interface graphique 11 générant une image graphique comportant lesdites données. Cette image graphique constitue un second fichier numérique. Cette image graphique est organisée sous forme d’une matrice de pixels colorés ; - un dispositif de visualisation 12 affichant sur un écran ladite image graphique sous forme de la matrice de pixels ;
Le système de transmission de données 13 comporte un moyen de validation par un utilisateur de l’image graphique affichée, un dispositif de capture d’écran permettant d’enregistrer ce second fichier numérique et un moyen de transfert du second fichier numérique de ladite image graphique validée vers le second système informatique. Sur la figure 1, ce système de transmission de données 13 est représenté symboliquement par un appareil photographique numérique qui assure : - la validation par l’utilisateur au moment où il prend une photographie de l’écran des données affichées ; - la capture d’écran qui correspond à l’image numérique enregistrée par l’appareil photographique sur une carte amovible de stockage de données numériques ; - la transmission de données par ladite carte amovible de stockage de données numériques.
Le second système informatique comporte un moyen de réception du second fichier numérique de ladite image graphique validée et des moyens d’analyse 14 dudit fichier numérique reçu de façon à en extraire les données initiales.
Avec cette solution de transfert de données, on crée ainsi une barrière étanche entre le monde ouvert et le système critique dans la mesure où l’image graphique ne peut pas contenir d’erreurs sémantiques qui ne soient pas décelées par l’utilisateur avant validation de l’image.
Il existe différentes variantes techniques à cette première configuration. A titre d’exemple, la figure 2 représente une tablette graphique ou un téléphone portable 20. A partir d’une application logicielle, le dispositif 20 crée un premier fichier de données qui est affiché sur l’écran 21 de la tablette ou du smartphone 20 au moyen d’un calculateur graphique. L’image affichée constitue un second fichier numérique. Sur cette tablette 20, est connecté un dispositif critique 22 de capture d’images qui enregistre, sur commande de l’utilisateur, ce second fichier numérique. La connexion peut se faire notamment par une liaison dite « HDMI », acronyme de « High-Definition Multimedia Interface ». La commande de l’utilisateur peut se faire classiquement par un moyen de commande, par exemple, une touche sur l’écran tactile du smartphone. Elle peut également se faire par l’apparition d’une forme particulière dans l’image qui déclenche automatiquement la capture d’images.
Ce second fichier est ensuite transféré, par exemple, par une liaison sans fil 23, vers un dispositif du monde critique qui peut être un calculateur ou un système électronique 24.
Les données à analyser peuvent être des symboles graphiques. Cependant, dans la grande majorité des applications, les données à analyser sont sous forme alphanumérique. Pour faciliter la reconnaissance des caractères alphanumériques par les moyens d’analyse, il est intéressant de privilégier les polices de caractère simples. Il est également intéressant que les données à analyser occupent une position déterminée dans l’image graphique, ladite position étant connue des moyens d’analyse du second fichier numérique. A titre de premier exemple, la figure 3 correspond, dans un cadre aéronautique, à une transmission de données de fréquences. L’indicatif de la fréquence « VHF1 » sur la figure 3 est toujours disposé à gauche de l’image alors que sa valeur « 121.5 » est toujours disposée à droite de l’image, ce qui facilite la reconnaissance de ces termes. A titre de second exemple, la figure 4 correspond, toujours dans un cadre aéronautique, à une transmission d’un plan de vol d’aéronef. La partie gauche de la figure 4 correspond à l’affichage d’un plan de vol 30 dans une représentation cartographique en vue de dessus. La partie droite de la figure 4 correspond à l’affichage 31 des différents points de passage ou « waypoints ». Ils sont notés « LFMN », « ARBON », « LESP1 », « MOU » et « LFPG » sur cette figure. Il est important que la disposition de cette représentation soit connue des moyens d’analyse.
Pour sécuriser encore le transfert des données, le premier système informatique peut comporter des moyens de transmission du premier fichier numérique, le second système peut comporter des moyens de réception du premier fichier numérique et des moyens de comparaison des données du premier fichier numérique avec les données du second fichier numérique. Ainsi, si les données transmises par le canal sécurisé de l’image capturée et par un canal traditionnel de transmission de données sont identiques, alors le risque d’erreurs est pratiquement inexistant.
Le système de transmission de données selon l’invention présente l’avantage d’être particulièrement simple à mettre en œuvre et de nécessiter que des adaptations simples des systèmes informatiques.

Claims (9)

  1. REVENDICATIONS
    1. Système de transmission de données comportant au moins un premier système informatique et un second système informatique, Le premier système informatique comportant un calculateur de données numériques (10), lesdites données constituant un premier fichier numérique, une interface graphique (11) générant une image graphique comportant lesdites données, cette image constituant un second fichier numérique, un dispositif de visualisation (12) affichant ladite image graphique ; caractérisé en ce que : Le premier système informatique comporte un moyen de validation par un utilisateur de l’image graphique affichée, Le second système informatique (24) comporte au moins un dispositif de capture d’écran (13, 22) permettant d’enregistrer le second fichier numérique, un moyen de transfert (23) du second fichier numérique, un moyen de réception du second fichier numérique et des moyens d’analyse (14) dudit second fichier numérique reçu de façon à extraire les données correspondantes au premier fichier numérique.
  2. 2. Système de transmission de données selon la revendication 1, caractérisé en ce que les moyens de transfert et de réception appartiennent à un réseau informatique.
  3. 3. Système de transmission de données selon la revendication 1, caractérisé en ce que les moyens de transfert et de réception sont des moyens de stockage de données numériques.
  4. 4. Système de transmission de données selon la revendication 1, caractérisé en ce que les données à analyser sont sous forme alphanumériques ou graphiques.
  5. 5. Système de transmission de données selon la revendication 1, caractérisé en ce que les données à analyser occupent une position déterminée dans l’image graphique, ladite position étant connue des moyens d’analyse du second fichier numérique.
  6. 6. Système de transmission de données selon la revendication 1, caractérisé en ce que les données à analyser ont un format déterminé, ledit format étant connu des moyens d’analyse du fichier numérique.
  7. 7. Système de transmission de données selon l’une des revendications précédentes, caractérisé en ce que le premier système informatique comporte des moyens de transmission du premier fichier numérique, le second système comporte des moyens de réception du premier fichier numérique et des moyens de comparaison des données du premier fichier numérique avec les données du second fichier numérique.
  8. 8. Système de transmission de données selon l’une des revendications précédentes, caractérisé en ce que le premier système informatique (20) est un micro-ordinateur ou un téléphone portable ou une tablette.
  9. 9. Système de transmission de données selon l’une des revendications précédentes, caractérisé en ce que le second système informatique est un dispositif d’un système de gestion de vol d’un aéronef.
FR1502478A 2015-11-27 2015-11-27 Systeme de transmission de donnees securisees entre un systeme a surete non garantie vers un systeme a surete garantie Active FR3044498B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1502478A FR3044498B1 (fr) 2015-11-27 2015-11-27 Systeme de transmission de donnees securisees entre un systeme a surete non garantie vers un systeme a surete garantie

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1502478 2015-11-27
FR1502478A FR3044498B1 (fr) 2015-11-27 2015-11-27 Systeme de transmission de donnees securisees entre un systeme a surete non garantie vers un systeme a surete garantie

Publications (2)

Publication Number Publication Date
FR3044498A1 true FR3044498A1 (fr) 2017-06-02
FR3044498B1 FR3044498B1 (fr) 2018-03-30

Family

ID=55862820

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1502478A Active FR3044498B1 (fr) 2015-11-27 2015-11-27 Systeme de transmission de donnees securisees entre un systeme a surete non garantie vers un systeme a surete garantie

Country Status (1)

Country Link
FR (1) FR3044498B1 (fr)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050004720A1 (en) * 2003-06-04 2005-01-06 Airbus France Process and system for transmitting information on an aircraft

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050004720A1 (en) * 2003-06-04 2005-01-06 Airbus France Process and system for transmitting information on an aircraft

Also Published As

Publication number Publication date
FR3044498B1 (fr) 2018-03-30

Similar Documents

Publication Publication Date Title
CA2930409C (fr) Systeme et procede de gestion et d'analyse d'informations multimedia
US9117066B2 (en) Camera-based portal content security
US9830505B2 (en) Identifying and obscuring faces of specific individuals in an image
US20080291213A1 (en) Automatic color display conversion
US20160147836A1 (en) Enhanced Network Data Sharing and Acquisition
US10147230B2 (en) Dynamic video visualization
US11095762B2 (en) Display device with camera embedded beneath screen
US10719552B2 (en) Focalized summarizations of a video stream
US11343545B2 (en) Computer-implemented event detection using sonification
US20160011951A1 (en) Techniques for web service black box testing
FR3025633A1 (fr) Procedes pour controler l'integrite de donnees a affichage numerique et systeme d'affichage
US10275608B2 (en) Object-centric video redaction
US11620778B2 (en) Imaging system for superimposing at least two images and a related method
US20160189678A1 (en) Adjusting a transparent display with an image capturing device
US20170147159A1 (en) Capturing and storing dynamic page state data
US10038937B2 (en) Location-specific audio capture and correspondence to a video file
KR100792240B1 (ko) 멀티 비전 구현 방법 및 그 시스템
FR3044498A1 (fr) Systeme de transmission de donnees securisees entre un systeme a surete non garantie vers un systeme a surete garantie
US20200042480A1 (en) Hdmi devices and methods with stacking support
EP3340565B1 (fr) Ensemble d'identification, de partage et de gestion de donnees comportant des donnees critiques et des donnees non critiques
US10673919B1 (en) Concurrent input monitor and ingest
CN105589634A (zh) 一种信息反馈方法、装置及设备
FR2991073A1 (fr) Procede d'affichage d'une donnee emise par deux voies de communication distinctes
CN114372057A (zh) 信息处理方法、装置、设备及介质
Mathew The challenges and solutions for building an integrated video analytics platform

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20170602

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9