FR2908916A1 - Systeme de traitement d'objets graphiques comportant un gestionnaire graphique securise - Google Patents
Systeme de traitement d'objets graphiques comportant un gestionnaire graphique securise Download PDFInfo
- Publication number
- FR2908916A1 FR2908916A1 FR0610078A FR0610078A FR2908916A1 FR 2908916 A1 FR2908916 A1 FR 2908916A1 FR 0610078 A FR0610078 A FR 0610078A FR 0610078 A FR0610078 A FR 0610078A FR 2908916 A1 FR2908916 A1 FR 2908916A1
- Authority
- FR
- France
- Prior art keywords
- application
- applications
- storage space
- time
- manager
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012545 processing Methods 0.000 title claims abstract description 13
- 238000001514 detection method Methods 0.000 claims abstract description 12
- 238000005204 segregation Methods 0.000 claims abstract description 9
- 238000012800 visualization Methods 0.000 claims abstract description 8
- 230000006870 function Effects 0.000 claims description 17
- 238000005259 measurement Methods 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 3
- 230000002085 persistent effect Effects 0.000 claims description 2
- 238000000034 method Methods 0.000 description 5
- 238000011161 development Methods 0.000 description 3
- 230000018109 developmental process Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000000135 prohibitive effect Effects 0.000 description 1
- 229920006395 saturated elastomer Polymers 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/84—Protecting input, output or interconnection devices output devices, e.g. displays or monitors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
- G06F9/4806—Task transfer initiation or dispatching
- G06F9/4843—Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
- G06F9/4881—Scheduling strategies for dispatcher, e.g. round robin, multi-level priority queues
- G06F9/4887—Scheduling strategies for dispatcher, e.g. round robin, multi-level priority queues involving deadlines, e.g. rate based, periodic
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09G—ARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
- G09G5/00—Control arrangements or circuits for visual indicators common to cathode-ray tube indicators and other visual indicators
- G09G5/36—Control arrangements or circuits for visual indicators common to cathode-ray tube indicators and other visual indicators characterised by the display of a graphic pattern, e.g. using an all-points-addressable [APA] memory
- G09G5/363—Graphics controllers
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09G—ARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
- G09G5/00—Control arrangements or circuits for visual indicators common to cathode-ray tube indicators and other visual indicators
- G09G5/36—Control arrangements or circuits for visual indicators common to cathode-ray tube indicators and other visual indicators characterised by the display of a graphic pattern, e.g. using an all-points-addressable [APA] memory
- G09G5/39—Control of the bit-mapped memory
- G09G5/393—Arrangements for updating the contents of the bit-mapped memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/032—Protect output to user by software means
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09G—ARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
- G09G2330/00—Aspects of power supply; Aspects of display protection and defect management
- G09G2330/12—Test circuits or failure detection circuits included in a display system, as permanent part thereof
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09G—ARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
- G09G2360/00—Aspects of the architecture of display systems
- G09G2360/12—Frame memory handling
- G09G2360/125—Frame memory handling using unified memory architecture [UMA]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Graphics (AREA)
- Human Computer Interaction (AREA)
- Controls And Circuits For Display Device (AREA)
- Digital Computer Display Output (AREA)
Abstract
Le domaine général de l'invention est celui des systèmes de visualisation devant afficher des informations ou des images ayant des niveaux de criticité différents. Le système de visualisation selon l'invention comprend au moins un gestionnaire graphique sécurisé (10) de niveau de criticité au moins égal au niveau de criticité le plus élevé des applications graphiques, ledit gestionnaire ayant des moyens de détection suivants :- violation de la ségrégation des applications dans leur fenêtre d'affichage respective ;- dépassement des temps de traitement de chaque application ;- violation des espaces de stockage spécifiques des applications graphiques.
Description
1 SYSTEME DE TRAITEMENT D'OBJETS GRAPHIQUES COMPORTANT UN GESTIONNAIRE
GRAPHIQUE SECURISE Le domaine de l'invention est celui des systèmes de visualisation devant afficher des informations ou des images ayant des niveaux de criticité différents. Le domaine d'application privilégié est le domaine des cockpits d'aéronefs, mais l'invention peut s'appliquer à tout système de contrôle possédant des écrans de visualisation sur lesquels il doit être possible d'afficher à la fois des informations critiques, importantes pour la sécurité du système et des informations de criticité moindre qui n'ont pas de caractère vital pour la sécurité de l'aéronef, de son équipage et de ses passagers.
Généralement, un système de visualisations comprend trois dispositifs principaux comme indiqué en figure 1. Un premier dispositif 1 appelé ressource calcul ou encore CPU, acronyme de Computer Processing Unit permet de réaliser les différents calculs de symbologies à partir des données issues des bases de données et des capteurs de l'aéronef. Dans la suite du texte, on appellera application chaque calcul de symbologies. Un second dispositif 2 relié au premier est appelé ressource graphique ou encore GPU, acronyme de Graphics Processing Unit . Il transforme les applications issues du CPU en signaux vidéo. Le système comprend également une mémoire partagée entre lesdites applications graphiques, chaque application ayant un espace de stockage spécifique dans ladite mémoire. Le dernier dispositif 3 est un ensemble de visualisations pouvant comprendre un ou plusieurs écrans d'affichage. Généralement, pour les applications récentes, il s'agit d'écrans matriciels à cristaux liquides.
Sur les écrans de faible taille, seule une application est affichée sur l'écran. Avec l'augmentation de la taille des écrans, plusieurs applications peuvent être amener à partager l'écran et donc à s'afficher simultanément. Ces applications ont souvent des niveaux de criticité différents. Ainsi, dans le domaine aéronautique, on peut avoir à afficher simultanément des informations critiques de pilotage et avoir à présenter simultanément une 2908916 2 carte numérique du terrain survolé, information considérée comme non critique dans la mesure où elle n'est pas susceptible de mettre en péril la sécurité de l'aéronef. Il est nécessaire alors, pour des problèmes de coût et de sécurité, de leur attribuer des niveaux de criticité différents. Les 5 informations de criticité élevée bénéficient de méthodes de développement et de mises en oeuvre particulières leur assurant une fiabilité très élevée alors que les informations de criticité faibles ont une fiabilité moindre, mais au prix de développements moins coûteux. Ainsi, dans le domaine aéronautique, une information critique a un taux de panne de 10-9 par heure de vol, soit une 10 panne par milliard d'heures de vol alors qu'une information non critique a un taux de panne variant de 10"5 à 10-3 par heure de vol, soit une panne possible toutes les cent à dix mille heures de vol. Ces applications sont traitées ou peuvent être traitées par une ressource graphique commune. Il faut alors gérer les problèmes de criticité 15 différents. II existe différentes solutions possibles. Par exemple, on peut réserver l'accès à la ressource graphique aux applications de niveau de criticité le plus élevé. Bien entendu, il n'existe alors aucune souplesse dans la répartition des images sur les ressources graphiques. Une seconde solution consiste à traiter toutes les applications au niveau de criticité le plus 20 élevé. Dans ce cas, les coûts de développement deviennent prohibitifs car les applications non critiques sont développées comme des applications critiques. Une autre solution a été proposée par la société Honeywell et est décrite dans le brevet américain US 6 980 216 dont le titre anglais est 25 Graphics driver and method with time partitioning . Le principe de cette méthode est d'allouer à chaque application une durée temporelle prévisionnelle et de contrôler, lorsque l'application est en cours, si cette durée est atteinte ou dépassée. Cette solution qui présente un progrès sensible sur les solutions précédentes a cependant certains inconvénients.
30 D'une part, elle ne propose qu'une ségrégation temporelle des applications. D'autre part, elle requiert une connaissance détaillée de la chaîne graphique car elle nécessite de disposer d'une prédiction de l'utilisation temporelle de la ressource graphique pour chaque ordre graphique.
2908916 3 L'objet du système selon l'invention est de diminuer ou d'éliminer les inconvénients précédents et de permettre un partage souple de la ressource graphique entre plusieurs applications de niveaux de criticité différents. Le coeur du système est d'ajouter au niveau de la ressource calcul 5 un gestionnaire graphique sécurisé. Plus précisément, l'invention a pour objet un système de visualisation comprenant au moins : - un premier dispositif électronique appelé ressource calcul 10 permettant de faire du traitement d'au moins deux applications graphiques, lesdites applications graphiques étant de niveau de criticité différent, - un second dispositif électronique appelé ressource graphique , permettant de mettre sous forme de signaux vidéo les applications graphiques issues du premier dispositif, 15 - une mémoire partagée entre les applications graphiques, chaque application ayant un espace de stockage spécifique dans ladite mémoire ; - un ensemble de visualisations comprenant des fenêtres d'affichage, chaque application s'affichant dans au moins une fenêtre dédiée 20 à ladite application ; caractérisé en ce que la ressource calcul comprend un gestionnaire graphique sécurisé de niveau de criticité au moins égal au niveau de criticité le plus élevé des applications, ledit gestionnaire ayant des moyens de détection suivants : 25 - violation de la ségrégation des applications dans leur fenêtre d'affichage respective ; dépassement des temps de traitement de chaque application ; - violation des espaces de stockage spécifiques. Avantageusement, les moyens de détection de violation de la 30 ségrégation assurent les fonctions suivantes : -vérification des fenêtres de destination des applications ; limitation de l'affichage de chaque application à leur fenêtre dédiée. Avantageusement, si la ressource calcul dispose d'une période 35 temporelle entre deux rafraîchissements successifs des données, les 2908916 4 moyens de détection des dépassement des temps de traitement de chaque application assure les fonctions suivantes : - allocation à chaque application d'un temps d'utilisation théorique pendant chaque période ; 5 - mesure pour chaque application et pour chaque période temporelle du temps d'utilisation réel ; - calcul, pour l'ensemble des applications, de la somme des temps d'utilisation réels, la somme étant notée temps total d'utilisation ; - comparaison du temps total d'utilisation avec la durée de la 10 période ; - si le temps total d'utilisation est supérieur à la durée de la période, détermination des applications fautives dont le temps d'utilisation réel dépasse le temps d'utilisation théorique ; - sanction des applications fautives.
15 Avantageusement, la mémoire partagée comportant des données dites rémanentes, les moyens de détection de violation des espaces de stockage assure les fonctions suivantes: -interdiction pour toutes les applications de modifier les données rémanentes ; 20 - allocation à chaque application d'un espace de stockage théorique ; - mesure pour chaque application de l'espace de stockage réel ; - comparaison, pour chaque application, de l'espace de stockage réel avec l'espace de stockage théorique ; 25 - si l'espace de stockage réel est supérieur à l'espace de stockage théorique, sanction de l'application fautive. Avantageusement, la sanction de l'application consiste à réinitialiser le système sans l'application fautive. Enfin, les moyens de détection peuvent être réalisés, par logiciel, 30 en langage OpenGL. L'invention sera mieux comprise et d'autres avantages apparaîtront à la lecture de la description qui va suivre donnée à titre non limitatif et grâce aux figures annexées parmi lesquelles : 2908916 5 • la figure 1 représente le synoptique général d'un système de visualisations ; • La figure 2 représente le synoptique général d'un gestionnaire graphique sécurisé selon l'invention.
5 Comme illustré en figure 2, le coeur de l'invention est d'ajouter au niveau de la ressource calcul 1 un gestionnaire graphique 10 sécurisé dont le niveau de criticité est au moins égal au niveau de criticité de l'application I la plus critique. Comme on le verra, ce gestionnaire assure des fonctions 10 relativement simples. II est donc aisé de lui assurer une très grande fiabilité. Ce gestionnaire possède des moyens permettant d'assurer les fonctions de détection suivants : - violation de la ségrégation des applications dans leur fenêtre d'affichage respective, fonction notée 11 sur la figure 2 ; 15 - dépassement des temps de traitement de chaque application, fonction notée 12 sur la figure 2 ; - violation des espaces de stockage spécifiques, fonction notée 13 sur la figure 2 .
20 Ces fonctions seront détaillées ci-dessous. Pour être facilement mis en place, il est nécessaire que le système de visualisation ait les caractéristiques suivantes : - Toutes les applications sont localisées sur la ressource calcul ; - La ressource calcul est ségréguée spatialement et 25 temporellement. Cela signifie que la ressource assure à la fois le partage sécurisé de son espace mémoire et le partage sécurisé de son temps de traitement. Les différentes applications ont des espaces de stockage spécifiques dans la mémoire et elles sont calculées successivement de façon à ne pas interférer entre elles. A titre d'exemple, les systèmes d'exploitation 30 réalisés selon la norme ARINC 653 vérifient parfaitement ces conditions ; - Les ressources calcul et graphique sont à un niveau de criticité au moins égal au niveau de criticité de l'application la plus critique ; - La ressource graphique dispose d'une interface de type OpenGL. Le standard OpenGL, pour OPEN Graphics Library, développé initialement par la société Silicon Graphics, est une spécification qui définit 2908916 6 une API, acronyme d'Application Programming Interface, multi plate-formes pour la conception d'applications générant des images 2D ou 3D. L'interface regroupe des centaines de fonctions différentes qui peuvent être utilisées pour afficher des scènes tridimensionnelles complexes à partir de simples 5 primitives. Ce standard est maintenant utilisé très largement et un sous-ensemble de ce standard, dénommé OpenGL ES, ES pour Embedded System, est normalisé par le Khronos Group pour l'utilisation dans les systèmes embarqués. Khronos Group est un groupement d'industriels dont la mission est l'établissement de standards dans un certain nombre de 10 domaines concernant les applications logiciel. Une application peut s'afficher dans une ou plusieurs fenêtres des écrans de visualisation. Généralement, les règles d'affichage sont les suivantes : 15 - Une application peut avoir plusieurs fenêtres ; - Chaque application peut s'afficher dans toutes les fenêtres qui lui sont associées ; - Une fenêtre ne peut être associée qu'à une seule application.
20 Les moyens de détection de violation de la ségrégation des applications dans leur fenêtre d'affichage respective assurent les fonctions suivantes : vérification des fenêtres de destination des applications ; - limitation de l'affichage de chaque application à leur fenêtre 25 dédiée. Plus précisément, le procédé de détection de violation de la ségrégation comporte les étapes suivantes : - Identification par l'application de la fenêtre dans laquelle elle souhaite s'afficher, c'est-à-dire envoyer ses ordres graphiques ; 30 - Contrôle par le gestionnaire que cette fenêtre fait partie de celles qui sont associées à ladite application ; -Limitation de l'affichage de ladite application à cette fenêtre en associant à l'application un espace de stockage dans la ressource graphique dédié à ladite application ; 2908916 7 - Stockage des ordres graphiques de ladite application dans ledit espace de stockage ; -Autorisation d'affichage par le gestionnaire graphique sécurisé. Les données de l'application sont transférées vers la ressource graphique 5 puis vers la fenêtre sélectionnée de visualisation. Lorsque l'application doit s'afficher dans plusieurs fenêtres différentes, le procédé ci-dessus est réitéré pour chaque fenêtre d'affichage. Dans un système de visualisation, les écrans de visualisation sont 10 rafraîchis à une certaine cadence. Généralement, la durée T séparant deux rafraîchissements est comprise entre 10 millisecondes et 100 millisecondes. Le gestionnaire graphique possède des moyens de détection des dépassement des temps de traitement de chaque application. Ils assurent les fonctions suivantes : 15 - allocation à chaque application I d'un temps théorique TI d'accès à la ressource graphique pendant chaque période ; - mesure pour chaque application I et pour chaque période temporelle du temps d'accès réel t1. Pour mesurer ce temps réel d'utilisation t1, le gestionnaire déclenche une mesure de temps dès qu'il donne accès à la 20 ressource graphique à l'application I. Entre chaque application I, le gestionnaire graphique envoie une commande de synchronisation à la ressource graphique, encore appelé rendez-vous. Cette commande permet de s'assurer que l'ensemble des commandes graphiques a bien été exécuté par la ressource graphique. Dans le cas où le rendez-vous n'est pas atteint 25 avant la fin du temps imparti T,, l'application a dépassé le temps qui lui était alloué et est identifié à posteriori comme telle par le gestionnaire graphique ; -calcul, pour l'ensemble des applications, de la somme SI des temps d'utilisation réels, la somme étant notée temps total d'utilisation ; -comparaison du temps total d'utilisation SI avec la durée de la 30 période T ; - si le temps total d'utilisation est supérieur à la durée de la période, détermination des applications fautives dont le temps d'utilisation réel dépasse le temps d'utilisation théorique ; - sanction des applications fautives. La sanction de l'application 35 fautive peut être, par exemple, l'arrêt immédiat de l'application fautive.
2908916 8 Le gestionnaire graphique assure une troisième fonction de sécurité. Il vérifie qu'une application ne peut perturber les zones mémoires du processeur graphique d'une autre application. A cette fin, le gestionnaire 5 graphique possède des moyens de détection de violation des espaces de stockage qui assurent les fonctions suivantes: - interdiction pour toutes les applications de modifier les données rémanentes ; - allocation à chaque application d'un espace de stockage 10 théorique ; mesure pour chaque application de l'espace de stockage réel ; - comparaison, pour chaque application, de l'espace de stockage réel avec l'espace de stockage théorique ; - si l'espace de stockage réel est supérieur à l'espace de stockage 15 théorique, sanction de l'application fautive, la sanction de l'application peut, par exemple, consister à réinitialiser le système sans l'application fautive. Le gestionnaire graphique sécurisé comporte de nombreux avantages : 20 - Par la multiplication des contrôles dans des domaines très différents comme la gestion de l'espace, du temps et de la ressource mémoire, il permet d'atteindre un très haut niveau de sécurisation des applications graphiques. - Il ne nécessite pas une connaissance détaillée de l'architecture 25 graphique utilisée. On peut ainsi introduire n'importe quel type de processeur graphique sans connaissance détaillée de son architecture ou de son fonctionnement. - Les mesures de l'utilisation des ressources sont réalisées, à posteriori sans faire d'hypothèses. 30 - Il possède une très grande souplesse permettant de conserver le système en marche tant que la ressource graphique n'est pas saturée.
Claims (6)
1. Système de visualisation comprenant au moins : - un premier dispositif électronique appelé ressource calcul (1) permettant de faire du traitement d'au moins deux applications graphiques, lesdites applications graphiques étant de niveau de criticité différent ; - un second dispositif électronique appelé ressource graphique (2), permettant de mettre sous forme de signaux vidéo les applications graphiques issues du premier dispositif, - une mémoire partagée entre lesdites applications graphiques, chaque application ayant un espace de stockage spécifique dans ladite mémoire ; - un ensemble de visualisations (3) comprenant des fenêtres d'affichage, chaque application s'affichant dans au moins une fenêtre dédiée à ladite application ; caractérisé en ce que la ressource calcul comprend un gestionnaire graphique sécurisé (10) de niveau de criticité au moins égal au niveau de criticité le plus élevé des applications, ledit gestionnaire ayant des moyens de détection suivants : - violation de la ségrégation des applications dans leur fenêtre d'affichage respective ; -dépassement des temps de traitement de chaque application ; - violation des espaces de stockage spécifiques.
2. Système de visualisation selon la revendication 1, caractérisé 25 en ce que les moyens de détection de violation de la ségrégation assure les fonctions suivantes : - vérification des fenêtres de destination des applications ; - limitation de l'affichage de chaque application à leur fenêtre dédiée. 30 2908916 10
3. Système de visualisation selon la revendication 1, caractérisé en ce que, si la ressource calcul dispose d'une période temporelle (T) entre deux rafraîchissements successifs des données, les moyens de détection des dépassement des temps de traitement de chaque application assure les 5 fonctions suivantes : - allocation à chaque application d'un temps d'utilisation théorique (TI) pendant chaque période ; - mesure pour chaque application et pour chaque période temporelle du temps d'utilisation réel (t,); 10 - calcul, pour l'ensemble des applications, de la somme des temps d'utilisation réels, la somme étant notée temps total d'utilisation (S1); - comparaison du temps total d'utilisation avec la durée de la période ; -si le temps total d'utilisation est supérieur à la durée de la 15 période, détermination des applications fautives dont le temps d'utilisation réel dépasse le temps d'utilisation théorique ; - sanction des applications fautives.
4. Système de visualisation selon la revendication 1, caractérisé 20 en ce que, la mémoire partagée comportant des données dites rémanentes, les moyens de détection de violation des espaces de stockage assure les fonctions suivantes: - interdiction pour toutes les applications de modifier les données rémanentes ; - allocation à chaque application d'un espace de stockage théorique ; mesure pour chaque application de l'espace de stockage réel ; - comparaison, pour chaque application, de l'espace de stockage réel avec l'espace de stockage théorique ; 30' - si l'espace de stockage réel est supérieur à l'espace de stockage théorique, sanction de l'application fautive.
5. Système de visualisation selon les revendications 3 ou 4, caractérisé en ce que la sanction de l'application consiste à réinitialiser le 35 système sans l'application fautive. 2908916 11
6. Système de visualisation selon l'une des revendications précédentes, caractérisé en ce que les moyens de détection sont réalisés, par logiciel, en langage OpenGL. 5
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0610078A FR2908916B1 (fr) | 2006-11-17 | 2006-11-17 | Systeme de traitement d'objets graphiques comportant un gestionnaire graphique securise |
| US12/514,483 US20100058116A1 (en) | 2006-11-17 | 2007-11-13 | System for processing graphic objects including a secured graphic manager |
| PCT/EP2007/062279 WO2008058965A1 (fr) | 2006-11-17 | 2007-11-13 | Systeme de traitement d'objets graphiques comportant un gestionnaire graphique securise |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0610078A FR2908916B1 (fr) | 2006-11-17 | 2006-11-17 | Systeme de traitement d'objets graphiques comportant un gestionnaire graphique securise |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR2908916A1 true FR2908916A1 (fr) | 2008-05-23 |
| FR2908916B1 FR2908916B1 (fr) | 2009-04-17 |
Family
ID=38123912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0610078A Active FR2908916B1 (fr) | 2006-11-17 | 2006-11-17 | Systeme de traitement d'objets graphiques comportant un gestionnaire graphique securise |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20100058116A1 (fr) |
| FR (1) | FR2908916B1 (fr) |
| WO (1) | WO2008058965A1 (fr) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2924507B1 (fr) * | 2007-11-30 | 2010-02-26 | Thales Sa | Dispositif de controle d'un pointeur informatique dans un systeme comprenant differents types d'afficheurs |
| US8646028B2 (en) | 2009-12-14 | 2014-02-04 | Citrix Systems, Inc. | Methods and systems for allocating a USB device to a trusted virtual machine or a non-trusted virtual machine |
| FR2963690B1 (fr) | 2010-08-06 | 2012-08-03 | Thales Sa | Systeme informatique "client-serveur" securise pour applications interactives |
| US20150147274A1 (en) * | 2011-12-02 | 2015-05-28 | Cancer Research Technology Limited | Antibodies against hgf - receptor and uses |
| CN106201713B (zh) * | 2016-06-30 | 2019-10-22 | 宇龙计算机通信科技(深圳)有限公司 | 一种卡顿的处理方法及系统 |
| FR3106226B1 (fr) | 2020-01-15 | 2022-01-21 | Thales Sa | Procede de generation de surfaces graphiques a afficher sur un ecran, processeur graphique associe |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050162434A1 (en) * | 2004-01-27 | 2005-07-28 | Hancock William R. | Graphics driver and method with time partitioning |
| US20060107264A1 (en) * | 2004-11-18 | 2006-05-18 | Hamilton Sundstrand Corporation | Operating system and architecture for embedded system |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6292874B1 (en) * | 1999-10-19 | 2001-09-18 | Advanced Technology Materials, Inc. | Memory management method and apparatus for partitioning homogeneous memory and restricting access of installed applications to predetermined memory ranges |
| FR2884949B1 (fr) * | 2005-04-26 | 2007-06-22 | Thales Sa | Dispositif de generation graphique comportant des moyens de surveillance de son fonctionnement. |
| US20070038939A1 (en) * | 2005-07-11 | 2007-02-15 | Challen Richard F | Display servers and systems and methods of graphical display |
| FR2891929A1 (fr) * | 2005-10-07 | 2007-04-13 | Thales Sa | Procede de configuration-reconfiguration d'affichage pour un ensemble de dispositifs de visualisation |
-
2006
- 2006-11-17 FR FR0610078A patent/FR2908916B1/fr active Active
-
2007
- 2007-11-13 WO PCT/EP2007/062279 patent/WO2008058965A1/fr active Application Filing
- 2007-11-13 US US12/514,483 patent/US20100058116A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050162434A1 (en) * | 2004-01-27 | 2005-07-28 | Hancock William R. | Graphics driver and method with time partitioning |
| US20060107264A1 (en) * | 2004-11-18 | 2006-05-18 | Hamilton Sundstrand Corporation | Operating system and architecture for embedded system |
Non-Patent Citations (4)
| Title |
|---|
| CARPENTER T ET AL: "ARINC 659 scheduling: problem definition", REAL-TIME SYSTEMS SYMPOSIUM, 1994., PROCEEDINGS. SAN JUAN, PUERTO RICO 7-9 DEC. 1994, LOS ALAMITOS, CA, USA,IEEE COMPUT. SOC, 7 December 1994 (1994-12-07), pages 165 - 169, XP010100430, ISBN: 0-8186-6600-5 * |
| HABAN D ET AL: "Application of real-time monitoring to scheduling tasks with random execution times", PROCEEDINGS OF THE REAL TIME SYSTEMS SYMPOSIUM. SANTA MONICA, DEC. 5 - 7, 1989, LOS ALAMITOS, IEEE COMP. SOC. PRESS, US, vol. SYMP. 10, 5 December 1989 (1989-12-05), pages 172 - 181, XP010017787, ISBN: 0-8186-2004-8 * |
| LYNUXWORKS: "POSIX and ARINC for Safety-Critical Applications", DOC-0620-00, 2005, pages I - IV,1-38, XP002438986, Retrieved from the Internet <URL:http://www.lynuxworks.com/rtos/0620-00-los178_arinc653_hb_alt.pdf> [retrieved on 20070622] * |
| SNYDER M: "Solving the Embedded OpenGL Puzzle - Making Standards, Tools, and APIs work together in highly embedded and safety critical environments", DIGITAL AVIONICS SYSTEMS CONFERENCE, 2005. DASC 2005. THE 24TH WASHINGTON, DC, USA 30-03 OCT. 2005, PISCATAWAY, NJ, USA,IEEE, 30 October 2005 (2005-10-30), pages 8.C.4-1 - 8.C.4-9, XP010868366, ISBN: 0-7803-9307-4 * |
Also Published As
| Publication number | Publication date |
|---|---|
| FR2908916B1 (fr) | 2009-04-17 |
| US20100058116A1 (en) | 2010-03-04 |
| WO2008058965A1 (fr) | 2008-05-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10114968B2 (en) | Proximity based content security | |
| US9525695B2 (en) | Mechanism to augment IPS/SIEM evidence information with process history snapshot and application window capture history | |
| EP1875439B1 (fr) | Dispositif de generation graphique comportant des moyens de surveillance de son fonctionnement | |
| US8910057B2 (en) | Accessing window pixel data for application sharing | |
| RU2688757C1 (ru) | Устройство и способ для анализа импортированного видео | |
| US20150206353A1 (en) | Time constrained augmented reality | |
| FR2908916A1 (fr) | Systeme de traitement d'objets graphiques comportant un gestionnaire graphique securise | |
| US11954317B2 (en) | Systems and method for a customizable layered map for visualizing and analyzing geospatial data | |
| IL249739A (en) | Secure video acquisition and verification system and method | |
| US11042955B2 (en) | Manipulating display content of a graphical user interface | |
| CN113343312B (zh) | 基于前端埋点技术的页面防篡改方法及系统 | |
| CN109660581B (zh) | 物理机管理方法及装置、系统 | |
| FR3031619A1 (fr) | Procede et dispositif de commande d'un appareil d'affichage et systeme d'affichage pour son application | |
| US9851783B2 (en) | Dynamic augmented reality media creation | |
| KR20210144650A (ko) | 디지털 지도에서 이미지 보기 | |
| US9514228B2 (en) | Banning tags | |
| US20170180293A1 (en) | Contextual temporal synchronization markers | |
| CN104281258B (zh) | 使用图像捕获设备调整透明显示器 | |
| US10217000B2 (en) | Context-based extraction and information overlay for photographic images | |
| US20240212166A1 (en) | Aligned time surfaces via dense optical flows for event-based object detection, identification and tracking | |
| US20140351064A1 (en) | Directional Filmstrip Display in Street View | |
| CN115619924A (zh) | 用于光估计的方法与装置 | |
| US10748203B2 (en) | Serving related content via a content sharing service | |
| US20150373114A1 (en) | Storage abstraction layer and a system and a method thereof | |
| WO2023216088A1 (fr) | Commande de confidentialité d'images sur la base d'un contenu |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 10 |
|
| PLFP | Fee payment |
Year of fee payment: 11 |
|
| PLFP | Fee payment |
Year of fee payment: 12 |
|
| PLFP | Fee payment |
Year of fee payment: 13 |
|
| PLFP | Fee payment |
Year of fee payment: 14 |
|
| PLFP | Fee payment |
Year of fee payment: 15 |
|
| PLFP | Fee payment |
Year of fee payment: 16 |
|
| PLFP | Fee payment |
Year of fee payment: 17 |
|
| PLFP | Fee payment |
Year of fee payment: 18 |