La présente invention concerne une méthode et un dispositif de filtrage de maintien sur un flux d'Entrées/Sorties codé, selon les préambules des revendications 1 et 9.

En particulier, l'invention se rapporte aux systèmes informa ^¬ tiques sécurisés trouvant leurs applications dans le domaine des véhicules guidés, notamment dans le domaine ferroviaire, où une sécurisation des calculateurs associés à des automa ^¬ tismes sol et/ou bord doit être garantie afin de détecter tout défaut susceptible de porter atteinte à la sécurité du véhicule guidé. La présente invention se rapporte plus parti- culièrement à un dispositif et une méthode de calcul d'une somme de contrôle destinée à sécuriser un message sortant gé ^¬ néré à partir d'un message entrant dont une Entrée/Sortie est soit destinée à être maintenue, soit destinée à ne pas être maintenue .

Par « véhicule guidé », il est fait référence aux moyens de transport en commun tels que des bus, trolleybus, tramways, métros, trains ou unités de train, etc., et aux moyens de transport de charge tel que, par exemple, les ponts roulants, pour lesquels l'aspect sécuritaire est très important et pour lesquels le guidage est assuré par au moins un rail qui défi ^¬ nit au moins une ligne ou voie de transport, i.e. au moins un trajet pour ledit moyen de transport. De nombreux automatismes liés au fonctionnement des véhicules guidés, comme par exemple une ouverture de porte ou l'abais ^¬ sement d'une barrière de sécurité, sont réalisés en logiciel. Comme ces automatismes peuvent influer sur la sécurité du vé ^¬ hicule, il est nécessaire de pouvoir garantir en sécurité leur exécution, et donc, de contrôler l'exécution des logiciels qui servent à leur mise en œuvre.

Une technique de sécurisation d'un logiciel ou d'une applica- tion connue de l'homme du métier est basée sur une utilisa ^¬ tion d'un processeur sécuritaire codé (PSC) , notamment tel que développé par la Demanderesse sous la marque DIGISAFE. Le principe de base du processeur sécuritaire codé est d'asso ^¬ cier à chaque information numérique entrante destinée à être traitée par une application, un code qui sera traité et transmis avec ladite information numérique entrante lors de l'exécution de ladite application, de sorte que l'information numérique sortante résultant dudit traitement de 1 ' informa ^¬ tion numérique entrante soit elle-même codée. La corrélation du codage de l'information numérique entrante et du codage de 1 ' information numérique sortante étant connu en fonction de ladite application, une analyse du codage de l'information numérique sortante permet de déterminer si l'application s'est exécutée correctement. Ce principe de base a été utili- sé afin de garantir en sécurité de nombreux automatismes, le niveau de sécurité pouvant être choisi en fonction de la taille du code.

Le processeur sécuritaire codé est de plus aussi utilisé ac- tuellement pour le maintien en sécurité d'une information nu ^¬ mérique entrante et/ou sortante codée, ou autrement dit, pour le maintien d'une Entrée et/ou d'une Sortie codée, à une va ^¬ leur prédéfinie. Considérons par exemple une barrière optique qui, lorsqu'elle est coupée par un train, envoie un signal amorçant un abaissement de barrières de sécurité. Le signal envoyé par ladite barrière optique comprend deux états: un premier état indiquant une absence de train, correspondant à des barrières de sécurité relevées et à une valeur 0 dudit signal, et un second état indiquant une présence de train, correspondant à des barrières de sécurité abaissées et à une valeur 1 dudit signal. Pour des raisons de sécurité, il est nécessaire que les barrières de sécurité soient par exemple maintenues abaissées même si l'ensemble du train a déjà fran ^¬ chi la barrière optique. En d'autres termes, la valeur 1 du- 5 dit signal correspondant à la présence de train doit être non seulement codée, mais maintenue durant une certaine période de temps sécuritaire. Ce maintien, durant une certaine pé ^¬ riode de temps, d'une Entrée, respectivement d'une Sortie, à une valeur initiale est actuellement réalisé par des calcula ^¬ it) teurs sécuritaires du type DIGISAFE, i.e. par un processeur sécuritaire codé exécutant des algorithmes logiciels de trai ^¬ tement desdites Entrées/Sorties.

Généralement, les Entrées/Sorties qui doivent être prises en 15 compte par le processeur sécuritaire codé sont reçues sous forme de messages entrant successifs pouvant être successive ^¬ ment indicés, chaque message entrant comprenant:

- un ensemble de n Entrées/Sorties es± (i = l,...,n), cha ^¬ cune caractérisée par un état binaire pouvant être par

20 exemple permissif (lorsque ladite Entrée/Sortie est par exemple égale à 1) ou restrictif (lorsque ladite En ^¬ trée/Sortie est égale à 0);

- une somme de contrôle ∑Ses± constituée de la somme arithmétique d'un code de contrôle ou signature Ses±

25 pré-déterminable associé à l'état de chaque En ^¬ trée/Sortie;

- et une date servant à dater la somme de contrôle.

Le j ^eme message entrant peut dès lors s'écrire sous la forme 30 suivante:

[ { esi } , (∑Sesi ) + Date] _j A partir de chaque message entrant, le processeur sécuritaire codé génère un message sortant tel que le j ^eme message sor ^¬ tant, généré à partir du j ^eme message entrant, comprend:

- un ensemble de n Entrées/Sorties esitii , caractérisées

chacune par ledit état binaire, chaque Entrée/Sortie es - itii étant calculée à partir de l'Entrée/Sortie es± en fonction d'un éventuel maintien de l'état de ladite En ^¬ trée/Sortie es± durant une période Ti;

- une somme de contrôle ∑Sesitii constituée de la somme

arithmétique d'un code de contrôle ou signature Sesitii déterminée par ledit processeur sécuritaire codé en fonction des signatures Ses± des Entrées/Sorties du j ^eme message entrant et d'un éventuel maintien d'une des En ^¬ trées/Sorties es± du j ^eme message entrant;

- et ladite date.

Ladite date est une date qui s ' incrémente d'une valeur cons ^¬ tante à chaque message entrant et permet dès lors de vérifier que le j ^eme message sortant et le (j-l) ^eme message sortant sont le résultat du traitement de deux messages entrants consécu ^¬ tifs. D'autre part, la période de maintien i d'une En ^¬ trée/Sortie es± d'un message entrant représente un temps de maintien de ladite Entrée/Sortie es± à un de ses états durant un nombre prédéfini de messages successifs.

Le j ^eme message sortant peut dès lors s'écrire sous la forme suivante :

[ { esitii } , (∑Sesitii ) + (Date) ] _j

Malheureusement, chaque processeur sécuritaire codé comprend d'une part de nombreux composants électroniques coûteux, mais aussi d'autre part, requiert une ingénierie logicielle pous ^¬ sée qui n'est pas économiquement avantageuse.

Un but de la présente invention est de proposer une méthode et un dispositif de filtrage de maintien à un état binaire d'une ou plusieurs Entrées/Sorties libres de toute utilisa ^¬ tion et de toute exécution d'un logiciel sécuritaire, permet ^¬ tant ainsi une diminution des coûts liés audit maintien de ladite Entrée/Sortie à une valeur initiale.

Dans ce but, un dispositif et une méthode sont proposés par le contenu des revendications 1 et 9.

Un ensemble de sous-revendications présente également des avantages de l'invention.

A partir d'une méthode de filtrage de maintien sur un flux de m messages entrants ES _j successifs, destinés en particulier à être reçus en entrée d'un dispositif de filtrage de maintien destiné à les traiter afin de générer en sortie à partir de chaque message entrant ES _j un message sortant Esiti _j , l'indice j servant à indicer les messages entrants successifs, chaque message entrant ES _j comprenant:

a . un ensemble de n Entrées/Sorties es _i;j (i = l, ...,n), n

étant un entier positif, chacune caractérisable par Si états P _q ,i, q allant de 1 à s _i( Si étant un entier positif notamment supérieur ou égal à 2, à chaque état P _q ,i d'une Entrée/Sortie es _i;j étant associé une valeur v _q;i à laquelle est égale ladite Entrée/Sortie es _i;j lorsqu'elle est dans ledit état P _q ,i, chaque état P _q ,i pouvant être un état des ^¬ tiné à être maintenu (noté dès lors P _q ,i(h)) (en particulier durant une période temporelle ΤΊ) ou un état destiné à ne pas être maintenu, noté P _q;i (f) . Seront notés en particu ^¬ lier dans la suite du document P _q ,i,j le ou les états et vq,i,j l ^{a ou} l ^es valeurs effectives de l'Entrée/Sortie es _i; j au j message entrant. En particulier, si chaque message entrant est identique, chacun desdits messages entrant comprend dès lors un même nombre d'Entrées/Sorties et le nombre d'états susceptibles de caractériser une même En- trée/Sortie dans chacun des messages entrants est un inva ^¬ riant, i.e. eSi,j e {es±} Vj , P _q ,i,j e {P _q ,i} Vj et v _q , _i;j e {v _q ,i} Vj . b. une somme de contrôle ∑Ses _i;j de signatures Ses _i;j , notam ^¬ ment constituée d'une somme arithmétique desdites signatu- res Ses _i;j pré-déterminables , chaque signature Ses _i;j étant en particulier calculée en fonction de l'état de l'Entrée/Sortie es _i;j à laquelle elle est associée et étant des ^¬ tinée à coder ladite Entrée/Sortie es _i;j ,- c. et une date d _j destinée à dater la somme de contrôle, la- dite date étant incrémentée par un incrément de date pour chaque message entrant,

ladite méthode de filtrage de maintien permettant une généra ^¬ tion à partir de chaque message entrant ES _j d'un message sor ^¬ tant Esiti _j , tel que le j ^eme message sortant Esiti _j généré à par- tir du j ^eme message entrant ES _j comprend:

d. un ensemble de n Entrées/Sorties esm _i;j , chacune caractéri- sable par lesdits Si états P _q ,i,j, à chaque état P _q ,i,j d'une Entrée/Sortie esm _i;j étant associée ladite valeur v _q(i(j à laquelle est égale ladite Entrée/Sortie esm _i;j lorsqu'elle est dans ledit état P _q ,i, _j , la valeur v _q(i(j de l'En ^¬ trée/Sortie esm _i;j du message sortant Esiti _j pouvant être égale ou différente de la valeur v _q ,i,j de l'Entrée/Sortie es± _;j du message entrant ES _j en fonction d'un éventuel main ^¬ tien de l'état P _q ,i de l'Entrée/Sortie es _i;j , ou autrement dit un éventuel maintien de ladite valeur v _q;i de ladite

Entrée/Sortie es± _;j , par exemple durant une période ΤΊ ex ^¬ primable en nombre de messages successifs, débutant avec la génération d'un t ^eme message sortant Esm _t , t < j, et pré- férentiellement , susceptible d'être prolongée à partir du j ^eme message entrant par une nouvelle période supérieure ou égale à ladite période ΤΊ débutant avec la réception d'un g ^eme message entrant caractérisé par t < g ≤ j pour lequel l'Entrée/Sortie eSi, _g est destinée à être maintenue. En particulier la valeur v _q ,i,j de l'Entrée/Sortie esm _i;j du

(j) ^eme message sortant est égale à la valeur v _q ,i, _t de l'En ^¬ trée/Sortie esm _i;t du t ^eme message sortant quel que soit l'état P _q ,i,j de l'Entrée/Sortie es _i;j du (j) ^eme message entrant si et seulement si il existe un t ^eme message entrant

- l'état P _q ,i,t de l'Entrée/Sortie es _i;t du t ^eme message en ^¬ trant Es _t est un état destiné à être maintenu durant une période ΤΊ,

- et optionnellement l'Entrée/Sortie esi _;t du t ^eme message entrant Es _t n'est pas en cours de maintien, i.e. une pé ^¬ riode Ti de maintien de ladite Entrée/Sortie es± s'est achevée pour un r ^eme message sortant, r < t, et l'état de l'Entrée/Sortie es± de chaque message entrant compris entre le r ^eme message entrant et le t ^eme message entrant n'était pas destiné à être maintenu.

e. une somme de contrôle ∑Sesm _i;j de signatures Sesm _i;j , notam ^¬ ment constituée de la somme arithmétique des signatures Sesm _i;j , chaque signature Sesm _i;j étant destinée à coder l'Entrée/Sortie esm _i;j en fonction de l'état de l'En- trée/Sortie es _i;j ,- f . et ladite date d _j ; la méthode de filtrage de maintien selon l'invention est ca ^¬ ractérisée en ce que qu'elle comprend un calcul de chaque somme de contrôle ∑Sesm _i;j du message sortant par ajout, no ^¬ tamment par addition, d'au moins une compensation à ladite somme de contrôle ∑SeSi, _j , ladite compensation étant calculée en fonction d'un état courant d'un générateur pseudo aléa- toire et d'une donnée issue d'une table de compensation. La ^¬ dite compensation est en d'autres termes une valeur ajoutée, par exemple par addition, à ladite somme de contrôle, en par ^¬ ticulier à un champ de ladite somme de contrôle, afin que la somme de contrôle ∑Sesm _i;j caractérisant le message sortant soit cohérente avec les états des Entrées/Sorties esm _i;j dudit message sortant, en particulier lorsqu'une ou plusieurs des ^¬ dites Entrées/Sorties esm _i;j est caractérisée par au moins un état devant être maintenu durant ladite période ΤΊ.

La présente invention propose aussi, à partir d'un dispositif de filtrage de maintien destiné à traiter un flux de m messa ^¬ ges entrants ES _j tels que mentionnés ci-dessus, i.e. compre ^¬ nant chacun:

- ri _j Entrées/Sorties es _i;j ,

- une somme de contrôle ∑Ses _i;j de signatures Ses _i;j , chaque signature SeSi, _j étant destinée à coder ladite En ^¬ trée/Sortie es _i;j ,

- et une date d _j ,

afin de générer à partir de chaque message entrant ES _j un message sortant Esiti _j comprenant, tel que déjà mentionné ci- dessus :

- ri _j Entrées/Sorties esm _i;j ,

- une somme de contrôle ∑Sesm _i;j de signatures Sesm _i;j , cha- que signature Sesm _i;j étant destinée à coder ladite En ^¬ trée/Sortie esm _i;j ,

- et une date d _j ,

un dispositif de filtrage de maintien caractérisé en ce qu'il est capable de maintenir au moins un état d'au moins une En- trée/Sortie es _i;j d'au moins un desdits messages entrants ES _j durant une période de temps ΤΊ quel que soit l'état d'une En ^¬ trée/Sortie d'un message entrant consécutif audit message en ^¬ trant ES _j en générant au moins un message sortant caractérisé en ce que l'état de la i ^eme Entrée/Sortie du message sortant est égal à l'état de l'Entrée/Sortie es _{i ; j} de message entrant ES _j , le dispositif de filtrage de maintien selon l'invention étant de plus caractérisé en ce qu'il comprend:

- un dispositif de calcul capable de calculer pour chaque message entrant ES _j à partir de ladite somme de contrôle

∑Sesi _{; j} et par ajout, notamment par addition au moyen d'au moins un additionneur, d'au moins une compensation à ladite somme de contrôle ∑SeSi, _j , une somme de contrôle ∑Sesm _{i ; j} destinée à caractériser le message sortant Esiti _j ,-

- au moins un générateur pseudo aléatoire dont un état cou ^¬ rant est destiné au calcul de ladite compensation, ledit générateur pseudo aléatoire étant par exemple de type LFSR (Linear Feedback Shift Register) ;

- au moins une table de compensation destinée au calcul de ladite compensation.

En particulier, ledit dispositif de calcul, chaque générateur pseudo aléatoire et chaque table de compensation sont avanta- geusement couplés les uns avec les autres afin de générer la ^¬ dite compensation, calculable par exemple en fonction de l'état courant d'au moins un générateur pseudo aléatoire et d'une donnée issue d'au moins une table de compensation. Pré- férentiellement , le dispositif de filtrage de maintien com- prend un dispositif d'extraction de date accouplable audit générateur pseudo aléatoire, et son dispositif de calcul com ^¬ prend préférentiellement au moins un algorithme câblé permet ^¬ tant de calculer ladite compensation. En d'autres termes, une logique câblée permet en particulier au dispositif de fil- trage de maintien de maintenir une ou plusieurs En ^¬ trées/Sorties à au moins un de leurs états. Ainsi, la méthode de filtrage de maintien selon l'invention est en particulier caractérisée par un couplage dudit générateur pseudo aléa- toire avec un dispositif d'extraction de date capable d'ex ^¬ traire au moins une signature d'une somme de contrôle.

Préférentiellement , la méthode de filtrage de maintien selon l'invention est caractérisée par un découpage de ladite somme de contrôle ∑Sesm _i;j en c champs, c étant supérieur ou égal à

2. Avantageusement, le dispositif de filtrage de maintien se ^¬ lon 1 ' invention est capable de découper ladite somme de contrôle afin de la séparer en lesdits c champs.

Préférentiellement , la méthode selon l'invention est caracté ^¬ risée par une initialisation d'au moins un générateur pseudo aléatoire avant réception d'un premier message entrant Esi, notamment par un cycle LSFR d'initialisation, ladite initia- lisation étant destinée à générer au moyen dudit générateur pseudo aléatoire une valeur d'initialisation capable de trai ^¬ ter uniquement au moins un état d'une Entrée/Sortie destiné à ne pas être maintenu. Le cycle LSFR d'initialisation dudit générateur pseudo aléatoire est en particulier caractérisé par une durée permettant audit générateur d'évoluer dans un grand nombre d'états, ou autrement dit de générer un nombre de valeurs suffisant avant de traiter un premier message en ^¬ trant afin de permettre à un dispositif aval audit dispositif de filtrage de maintien de détecter un défaut de fonctionne- ment.

Préférentiellement , à partir du premier message entrant Esi et pour chaque message entrant ES _j consécutif, la méthode de filtrage de maintien selon l'invention comprend d'une part un parcours d'un cycle LSFR court par ledit générateur pseudo aléatoire associé à ladite Entrée/Sortie es± _;j si l'En ^¬ trée/Sortie es± _;j est dans un état destiné à ne pas être main ^¬ tenu, et d'autre part un parcours d'un cycle LSFR long par ledit générateur pseudo aléatoire associé à ladite En- trée/Sortie es _i;j si l'Entrée/Sortie es _i;j est dans un état destiné à être maintenu. En particulier, ledit parcours dudit cycle LSFR court et ledit parcours dudit cycle LSFR long com ^¬ prennent chacun, une addition effectuée successivement pour chaque champ de la somme de contrôle ∑SeSi, _j , dudit champ de la somme de contrôle ∑SeSi, _j avec d'une part une valeur ca ^¬ ractérisant l'état courant dudit générateur pseudo aléatoire, et d'autre part avec ladite donnée provenant de ladite table de compensation.

Préférentiellement , la table de compensation est capable de stocker dans une mémoire lesdites données prédéterminées, chaque donnée provenant de ladite table de compensation étant en particulier pré-dédéfinie en fonction de l'Entrée/Sortie eSi, _j , de son état et de la signature de contrôle Ses _i;j afin de permettre soit une génération d'une signature de contrôle Sesm _i;j caractérisant un maintien de l'état d'une En ^¬ trée/Sortie durant une période ΤΊ, soit une génération d'une signature de contrôle Sesm _i;j caractérisant une confirmation de l'état d'une Entrée/Sortie d'un message entrant.

En particulier, le dispositif de filtrage de maintien selon l'invention est caractérisé en ce qu'il comprend un disposi ^¬ tif d'extraction de date capable d'extraire la date d'au moins une somme de contrôle, d'un message entrant ou d'un message sortant, et de déterminer un incrément de date entre deux messages successifs traités par ledit dispositif de fil ^¬ trage de maintien. Ainsi, une vérification systématique de l'incrément de date entre deux messages entrants (ou sor- tants) consécutifs permet avantageusement de garantir ledit dispositif en sécurité en s 'assurant notamment que tous les messages sont bien traités. L'invention va maintenant être décrite plus en détail en se référant à un mode de réalisation préférentiel, cité à titre d'exemple non limitatif. Selon ledit mode de réalisation pré ^¬ férentiel de la présente invention, la méthode de filtrage de maintien peut comprendre les étapes suivantes consécutivement à l'étape f) décrite plus haut afin de réaliser ladite com ^¬ pensation et ledit maintien d'un état d'une Entrée/Sortie: avant réception d'un premier message entrant Esi:

- une initialisation d'au moins un générateur pseudo aléatoire dudit dispositif de filtrage de maintien destinée à permettre une génération initiale d'une valeur d'ini ^¬ tialisation. En particulier, le nombre de générateur pseudo aléatoire du dispositif de filtrage de maintien selon l'invention est égal au moins au nombre d'En ^¬ trées/Sorties par message entrant destinées à être main ^¬ tenues, et ladite initialisation est en particulier caractérisée par un cycle LSFR d'initialisation permettant à un dispositif aval de détecter une erreur de fonctionnement ;

- ladite génération initiale, par chaque générateur pseudo aléatoire préalablement initialisé, de ladite valeur d'initialisation. Ladite valeur d'initialisation est en particulier uniquement destinée au traitement (i.e. à la compensation) d'un premier champ Cl d'une somme de contrôle ∑Ses _i;j d'un message entrant ES _j pour lequel au moins une de ses Entrées/Sorties es _i;j est caractérisée par un état destiné à être maintenu par ledit générateur pseudo aléatoire. Ladite valeur d'initialisation est en particulier combinée avec une donnée de compensation uniquement apte à compenser les états P _q , i , _j (f ) de l'En ^¬ trée/Sortie es± _;j non destiné à être maintenus. En effet, chaque valeur d'initialisation résultant de l'initiali ^¬ sation de chaque générateur pseudo aléatoire est en par ^¬ ticulier apte à caractériser un état d'initialisation dudit générateur pseudo aléatoire. Lorsque ledit généra ^¬ teur pseudo aléatoire est dans ledit état d'initialisa ^¬ tion, le dispositif de filtrage selon l'invention est uniquement capable de compenser chaque état P _q , i , _j (f ) destiné à ne pas être maintenu, i.e. différent d'un état P _q , i , _j (h) , ou autrement dit, différent d'un état destiné à être maintenu, et permet donc uniquement de confirmer au moins une valeur v _q , i , _j d'une Entrée/Sortie es± _;j asso ^¬ ciée à l'état P _q , i , _j (f ) · Ainsi, ladite valeur d'initiali ^¬ sation permet uniquement de traiter au moins un état

P _q , i , _j (f ) , ou autrement dit, ladite valeur d'initialisa ^¬ tion permet de calculer une somme de contrôle ∑Sesm _i;j uniquement à partir d'une Entrée/Sortie es± _;j dont l'état P _q , i , _j est un état destiné à ne pas être maintenu; à partir du premier message entrant Esi et pour chaque mes ^¬ sage entrant ES _j consécutif:

- un découpage de la somme de contrôle ∑SeSi, _j en c champs C<1 C-

- puis pour chaque Entrée/Sortie es± _;j du message entrant ES _j comprenant un état P _q , i , _j (h) destiné à être maintenu au moyen dudit générateur pseudo aléatoire, chaque géné ^¬ rateur pseudo aléatoire étant en particulier responsa ^¬ ble, par message entrant, du traitement de la somme de contrôle ∑Ses _i;j pour une et une seule Entrée/Sortie es _i;j comprenant parmi les états P _q , i , _j susceptibles de la caractériser au moins un état P _q , i , _j (h) :

■ si l'Entrée/Sortie es _i; j est dans un état P _q , i , _j (f ) ,

i.e. non destiné à être maintenu, ou autrement dit, nécessitant uniquement une confirmation dudit état, la méthode de filtrage de maintien comprend les éta ^¬ pes suivantes caractérisant en particulier un par- cours d'un cycle LSFR court par un générateur pseudo aléatoire associé à ladite Entrée/Sortie es _{i ;} j :

1. une addition du premier champ ∑SeSi , j.Cl de la somme de contrôle ∑SeSi , j avec ladite valeur d'ini- tialisation et avec une donnée Data _C i, _q ,i,j provenant d'une table de compensation, chaque donnée Da- ta _C i, _q ,i,j étant en particulier pré-dédéfinie en fonction de l'état courant du générateur pseudo aléatoire, de l'Entrée/Sortie es _{i ;} j , de son état Pq,i,j et de la signature de contrôle Ses _{i ;} j associée audit état P _q ,i,j (f ) afin de permettre dans ce cas une génération, en sortie dudit dispositif de fil ^¬ trage de maintien, d'une signature de contrôle Ses - m _{i ;} j caractérisant un état P _q ,i,j de l'Entrée/Sortie esm _{i ;} j égal à l'état P _q ,i,j (f ) de l'Entrée/Sortie

©Si _t j

2. une génération, par ledit générateur pseudo aléatoire, d'une valeur caractérisant un nouvel état dudit générateur pseudo aléatoire, puis une addi- tion de ladite valeur caractérisant le nouvel état avec ledit second champ ∑Ses _{i ;} j.C2 de la somme de contrôle ∑Ses _{i ;} j et avec une donnée Data _C 2, _q ,i,j pro ^¬ venant de ladite table de compensation, chaque don ^¬ née Data _C 2, _q ,i,j étant en particulier pré-dédéfinie en fonction de l'état courant du générateur pseudo aléatoire, de l'Entrée/Sortie es _{i ;} j , de son état P _q ,i,j et de la signature de contrôle Ses _{i ;} j associée audit état P _q ,i,j (f ) afin de permettre dans ce cas une génération, en sortie dudit dispositif de fil- trage de maintien, d'une signature de contrôle Ses - m _{i ;} j caractérisant un état P _q ,i,j de l'Entrée/Sortie esm _i;j égal à l'état P _q , i , _j (f ) de l'Entrée/Sortie

©Si _{t j}

3. une réitération par ledit générateur pseudo aléatoire de l'étape 2) pour chaque champ C3 à Ce de la somme de contrôle ∑Ses _i;j si cette dernière a été découpée en plus de deux champs;

4. après traitement de chaque champ de la somme de

contrôle ∑Ses _i;j , ledit générateur pseudo aléatoire génère une valeur test caractérisant un état Test Dckd dudit générateur pseudo aléatoire pour ladite Entrée/Sortie es _i;j , ledit état Test Dckd étant des ^¬ tiné à permettre une extraction et une vérification dudit incrément de date de la somme de contrôle ob ^¬ tenue après traitement de tous ses champs;

5. une addition d'une donnée de bouclage CompLFSR _q , i , _j à une valeur caractérisant l'état courant du géné ^¬ rateur pseudo aléatoire, i.e. l'état Test Dckd du ^¬ dit générateur pseudo aléatoire à l'étape précédent l'étape 5), chaque donnée de bouclage CompLFSR _q , i , _j provenant en particulier de ladite table de compen ^¬ sation et étant prédéfinie en fonction de l'état P _q , i , _{j +} i de l' Entrée/Sortie es _i; j ₊ i _; et est destinée à permettre un retour dudit générateur à sa valeur d'initialisation caractérisant son état d'initiali ^¬ sation;

6. ladite génération du message sortant Esiti _j ,- si l'Entrée/Sortie es _i;j est dans un état P _q , i , _j (h) , i.e. un état destiné à être maintenu notamment durant ladite période ΤΊ, la méthode de filtrage de maintien comprend les étapes suivantes caractérisant en parti ^¬ culier un parcours d'un cycle LSFR long par un générateur pseudo aléatoire associé à ladite En ^¬ trée/Sortie eSi _;j : une génération, par ledit générateur pseudo aléatoire, d'une valeur de compensation initiale carac ^¬ térisant un état de compensation initial dudit gé ^¬ nérateur pseudo aléatoire, ladite valeur de compen- sation initiale étant destinée uniquement à compen ^¬ ser le champ Cl de la somme de contrôle ∑SeSi, _j afin de produire une nouvelle somme de contrôle

∑Sems _i;j pour laquelle l'état de l'Entrée/Sortie ems _i;j est égal à l'état de l'Entrée/Sortie es _i;j , i.e. en maintenant ledit état P _q ,i,j de ladite En ^¬ trée/Sortie es _i;j , ladite valeur de compensation initiale étant obtenue par addition à ladite valeur d'initialisation d'une donnée de compensation initiale;

une compensation du champ Cl de la somme de

contrôle ∑SeSi, _j par addition dudit champ Cl avec ladite valeur de compensation initiale et avec une donnée Data _C i, _q ,i,j provenant d'une table de compen ^¬ sation, chaque donnée Data _C i, _q ,i,j étant en particu- lier pré-dédéfinie en fonction de l'état courant du générateur pseudo aléatoire, de l'Entrée/Sortie es _i;j , de son état P _q ,i,j et de la signature de contrôle Ses _i;j associée audit état P _q ,i,j (h) afin de permettre dans ce cas une génération, en sortie du- dit dispositif de filtrage de maintien, d'une si ^¬ gnature de contrôle Sesm _i;j caractérisant un état P _q ,i,j de l'Entrée/Sortie esm _i;j égal à l'état

P _q ,i,j (h) de l'Entrée/Sortie es _{i ; j} ;

une génération, par ledit générateur pseudo aléa- toire, d'une valeur caractérisant un nouvel état dudit générateur pseudo aléatoire, puis une addi ^¬ tion de ladite valeur caractérisant le nouvel état avec ledit second champ C2 de la somme de contrôle ∑Ses _i; j et une donnée Data _C 2, _q ,i,j provenant de ladite table de compensation, chaque donnée Data _C 2, _q ,i,j étant en particulier pré-dédéfinie en fonction de l'état courant du générateur pseudo aléatoire, de l'Entrée/Sortie es _i;j , de son état P _q ,i,j et de la signature de contrôle Ses _i;j associée audit état P _q ,i,j (h) afin de permettre dans ce cas une généra ^¬ tion, en sortie dudit dispositif de filtrage de maintien, d'une signature de contrôle Sesm _i;j carac ^¬ térisant un état P _q ,i,j de l'Entrée/Sortie esm _i;j égal à l'état P _q ,i,j (h) de l'Entrée/Sortie es _i;j ,- une réitération par ledit générateur pseudo aléatoire de l'étape 3) pour chaque champ C3 à Ce de la somme de contrôle ∑Ses _i;j si cette dernière a été découpée en plus de deux champs;

après traitement de chaque champ de la somme de contrôle ∑Ses _i;j , ledit générateur pseudo aléatoire génère une valeur test caractérisant un état Test Dckd dudit générateur pseudo aléatoire pour ladite Entrée/Sortie es _i;j , ledit état Test Dckd étant des ^¬ tiné à permettre une extraction et une vérification dudit incrément de date de la somme de contrôle ob ^¬ tenue après traitement de tous ses champs;

ladite génération du message sortant Esiti _j ,- puis pour chaque message entrant Es _w consécutif au ^¬ dit message entrant ES _j et séparé dudit message en ^¬ trant ES _j par une période de temps inférieure ou égale à la période ΤΊ de maintien de l'état de la ^¬ dite Entrée/Sortie es _i;j :

i. une génération, par ledit générateur pseudo

aléatoire, d'une valeur caractérisant un nouvel état dudit générateur pseudo aléatoire, puis une addition de ladite valeur caractérisant le nouvel état avec ledit premier champ Cl de la somme de contrôle ∑Sesi _;W et une donnée Da- ta _C i,q,i, _w provenant de ladite table de compensa ^¬ tion, chaque donnée Data _C i, _q ,i, _w étant en particu ^¬ lier pré-dédéfinie en fonction de l'état cou ^¬ rant du générateur pseudo aléatoire, de l'En ^¬ trée/Sortie es _i;W , de son état P _q ,i, _w et de la si ^¬ gnature de contrôle Ses _i;W associée audit état P _q ,i,j (h) afin de permettre dans ce cas une géné ^¬ ration, en sortie dudit dispositif de filtrage de maintien, d'une signature de contrôle Sesm _i;W caractérisant un état P _q ,i, _w de l'Entrée/Sortie esm _i;W égal à l'état P _q ,i,j (h) de l'Entrée/Sortie es _i; j, suivi d'une répétition des étapes 3) à 6) pour ledit message entrant Es _w , i.e.

une génération, par ledit générateur pseudo aléatoire, d'une valeur caractérisant un nouvel état dudit générateur pseudo aléatoire, puis une addition de ladite valeur caractérisant le nouvel état avec ledit second champ C2 de la somme de contrôle ∑Sesi _;W et une donnée Da- ta _C 2, _q ,i,w provenant de ladite table de compensa ^¬ tion, chaque donnée Data _C 2, _q ,i, _w étant en particu ^¬ lier pré-dédéfinie en fonction de l'état cou ^¬ rant du générateur pseudo aléatoire, de l'En ^¬ trée/Sortie es _i;W , de son état P _q ,i, _w et de la si ^¬ gnature de contrôle Ses _i;W associée audit état P _q ,i,j (h) afin de permettre dans ce cas une géné ^¬ ration, en sortie dudit dispositif de filtrage de maintien, d'une signature de contrôle Sesm _i;W caractérisant un état P _q ,i, _w de l'Entrée/Sortie esm _i;W égal à l'état P _q ,i,j (h) de l'Entrée/Sortie

©Si _t j ii. une réitération par ledit générateur pseudo aléatoire de l'étape 3) pour chaque champ C3 à

Ce de la somme de contrôle ∑Ses _i;W si cette der ^¬ nière a été découpée en plus de deux champs; iv. après traitement de chaque champ de la somme de contrôle ∑Ses _i;W , ledit générateur pseudo aléa ^¬ toire génère une valeur test caractérisant un état Test Dckd dudit générateur pseudo aléa ^¬ toire pour ladite Entrée/Sortie es _i;W , ledit état Test Dckd étant destiné à permettre une extraction et une vérification dudit incrément de date de la somme de contrôle obtenue après traitement de tous ses champs;

v. ladite génération du message sortant Esn ;

une addition d'une donnée de bouclage CompLFSRQ _q ,i,„ à une valeur caractérisant l'état du générateur pseudo aléatoire à l'étape précédent l'étape 8), i.e. l'état Test Dckd, ou autrement dit, ladite va ^¬ leur caractérisant l'état courant du générateur pseudo aléatoire, ladite donnée de bouclage Com- pLFSRQ _q ,i, _w étant destinée à permettre un retour du ^¬ dit générateur soit à sa valeur d'initialisation caractérisant son état d'initialisation si l'Entrée/Sortie es _w+ i du message entrant Es _w+ i est carac ^¬ térisée par un état P _q ,i, _w +i(f), soit à sa valeur de compensation initiale si l'Entrée/Sortie es _w+ i du message entrant Es _w+ i est caractérisée par un état P _q ,i,w+i (h) , Es _w+ i étant le premier message entrant arrivant en entrée dudit dispositif de filtrage de maintien et séparé dudit message entrant ES _j par une période de temps strictement supérieure à la période ΤΊ, ladite donnée de bouclage CompLFSRQ _q ,i, _w provenant en particulier de ladite table de compen- sation et étant ainsi prédéfinie en fonction de l'état Pq,i, _w+ i de l' Entrée/Sortie es _i;W+ i;

9. un retour à l'étape h) afin de traiter le message entrant eSi _;W+ i et les prochains messages entrants consécutifs à eSi _;W+ i.

Finalement, des exemples de réalisation et d'application sont fournis à l'aide des figures suivantes:

Figure 1 exemple de filtrage de maintien destiné à

maintenir l'état d'une Entrée/Sortie durant une période ΤΊ.

Figure 2 exemple de réalisation d'un dispositif de fil ^¬ trage de maintien selon l'invention.

Figure 3 exemple d'un maintien d'une Entrée/Sortie à un de ses états au moyen d'un dispositif de fil ^¬ trage de maintien selon l'invention.

A titre d'exemple, la figure 1 montre un exemple de filtrage de maintien destiné à maintenir l'état P2,2, _j de la 2 ^eme En ^¬ trée/Sortie es ₂ , _j d'un message entrant ES _j , ladite En ^¬ trée/Sortie pouvant être caractérisée par deux états P _q ,2, _j (s ₂ = 2) : Pi,2,j et P ₂ ,2,j- Le graphique 11 représente l'état P _q ,2,j

(en ordonnée) des Entrées/Sorties es ₂ , _j (en abscisse) de mes ^¬ sages entrants ES _j (j = 1, ..., 14) consécutifs reçus par le dispositif de filtrage de maintien selon l'invention. Le gra ^¬ phique 12 représente l'état P _q ,2, _j (en ordonnée) des En ^¬ trées/Sorties esm _2;j (en abscisse) de messages sortants Esiti _j

(j = 1, ..., 14) consécutifs générés par le dispositif de fil ^¬ trage de maintien selon l'invention après traitement des mes ^¬ sages entrants ES _j et fournis en sortie dudit dispositif de filtrage de maintien. Lorsque l'Entrée/Sortie es ₂ , _j d'un mes ^¬ sage entrant ES _j est dans ledit état P2,2, _j , alors cet état est maintenu durant un intervalle de temps ou période ΤΊ et du ^¬ rant cette période ΤΊ chaque Entrée/Sortie esm _2;j a le même état que es2,j quel que soit j . La figure 2 décrit un exemple de réalisation d'un dispositif de filtrage de maintien 2 selon l'invention. Soit i un nombre entier positif, avec i allant de 1 à n, et considérons un j ^eme message entrant 11 comprenant n Entrées/Sorties es± _;j binai ^¬ res, i.e. Si = 2 quel que soit i et quel que soit j, i.e.

P _q ,i,j est soit égal à Pi,i,j = Pi soit égal à P2,i,j = P2, chacune desdites Entrées/Sorties es± _;j étant ainsi caractérisée par un état ou une valeur binaire, par exemple un état restrictif P ₂ pouvant être associé à une valeur 0 à laquelle peut être égale ladite Entrée/Sortie es± _;j et un état permissif Pi pou- vant être associé à une valeur 1 à laquelle peut être égale ladite Entrée/Sortie es _i;j , lesdites n Entrées/Sorties es _i;j étant de plus codées avec une somme de contrôle ∑Ses _i;j décou ^¬ pée en deux champs, respectivement un premier champ (∑Se- s _i;j ) .Cl et un second champ (∑Ses _{i; j} ) . C2 , ledit codage étant par exemple réalisé par un processeur sécuritaire codé en amont du dispositif de filtrage de maintien 2 selon l'inven ^¬ tion. La somme de contrôle ∑SeSi, _j est en particulier consti ^¬ tuée d'une somme arithmétique de codes ou de signatures ini ^¬ tiales Sesi _;j pré-déterminables , chaque signature initiale Se- Si,j étant associée à l'état d'une Entrée/Sortie es _i; j du mes ^¬ sage entrant 11 et destinée à son codage. Ledit message en ^¬ trant 11 peut dès lors s'écrire de la façon suivante:

[{es _i;j }, (∑Ses _i;j ) .Cl, (∑Ses _{i; j} ) . C2] + d _j où l'indice j permet d'identifier le j ^eme échantillon de mes ^¬ sage entrant 11 reçu par le dispositif de filtrage de main ^¬ tien 2, j allant par exemple de 1 à m, m étant un entier positif, d _j est un paramètre permettant de dater ledit échan- tillon j, ledit paramètre d _j étant par exemple incrémenté pour chaque échantillon reçu par le dispositif de filtrage de maintien 2. Ledit premier champ selon l'invention, respectivement le second champ (ou de manière générale le c ^ieme champ dans le cas d'un découpage de la somme de contrôle en c champs) , est constitué pour chaque échantillon j de la somme modulo Al, respectivement A2 (ou respectivement Ac) , des si ^¬ gnatures appartenant audit premier champ SeSi, _j .Cl, respecti ^¬ vement des signatures appartenant audit second champ SeSi, _j .C2 (ou respectivement des signatures appartenant au c ^ieme champ Ses _i;j .Cc), correspondant aux états des entrées es _i;j pour le ^¬ dit échantillon j additionné de la date d _j .Cl dudit échantil ^¬ lon j, respectivement D _j .C2 (ou respectivement D _j .Cc) . Chaque champ selon l'invention, identifié ci-dessus par Cl, respec- tivement par C2 (ou respectivement Ce) , représente une somme d'informations non séparable, i. e. il n'est pas possible d'extraire une signature SeSi, _j , ni une date d _j dudit champ. Par exemple, Al et A2 (jusqu'à respectivement Ac dans le cas d'un découpage de la somme de contrôle en c champs) sont des nombres premiers compris entre 2 ²³ et 2 ²⁴ et en particulier, chacun des champs de l'échantillon j, (∑Ses _i;j ) . Cl + d _j .Cl, (∑Ses _i;j ) .C2 + d _j .C2, (jusqu'à respectivement (∑Ses _i;j ) . Ce + d _j .Cc), peut comprendre 24 bits afin de faciliter des calculs par un processeur 32 bits placé en aval du dispositif de fil- trage de maintien 2. Ainsi, un message entrant comprenant un ensemble d'Entrées/Sorties binaires es _i;j et c découpages de sa somme de contrôle comprend c+1 groupes ou paquets d'infor ^¬ mation indissociable ou autrement dit non séparable. Un flux de m échantillons de messages entrant 11 comprenant chacun lesdites n Entrées/Sorties binaires peut alors être représenté par m ensembles ES _j = {esi, es _n , _j } successifs comprenant lesdites n Entrées/Sorties codées par ladite somme de contrôle découpée selon le premier et le second champ: (Sesi _;j +...+ Ses _n , _j ) .Cl+D _j .Cl et (Sesi _;j +...+ Ses _n , _j ) . C2+D _j . C2.

L'état de chaque Entrée/Sortie es _± est ainsi sécurisé par une signature de contrôle Ses _± intégrée dans la somme de contrôle présentée ci-dessus. La signature de contrôle Ses _± selon l'invention est en particulier une valeur comprise entre 1 et A, choisie au hasard par un dispositif amont du dispositif de filtrage, par exemple calculée par un générateur pseudo aléa- toire ou produite suivant une loi de calcul mathématique pré ^¬ définie. Une valeur est choisie pour les deux champs Cl et C2 de la signature de contrôle et pour chacun des états possi ^¬ bles de l'Entrée/Sortie es _± . Par exemple, pour une Entrée/Sortie es _± caractérisée par un état restrictif es _± = 0 et un état permissif es _± = 1 nous avons : esi = 1: Sesi.Cl = SESiVrai.Cl Sesi.C2 = SESiVrai.C2 esi = 0: Sesi.Cl = SESiFaux.Cl Sesi.C2 = SESiFaux.C2

Les valeurs successives des signatures de contrôles Ses _± de l'Entrée/Sortie i d'un flux de message entrant sont notamment notées Ses _i;j pour le j ^eme message entrant. Il sera procédé de manière analogue pour le message sortant.

Après le maintien de l'Entrée/Sortie es _±;j à un de ses états binaires, ou autrement dit, après le maintien de l'En ^¬ trée/Sortie es _i;j à une des ses valeurs 1 ou 0, la somme de contrôle traitée par le dispositif de filtrage de maintien 2 a évolué et comprend une somme de signatures Sesm _i;j finales destinées à la sécurisation du message sortant 12. Chacun des champs de la somme de contrôle peut alors s'écrire, en repre ^¬ nant l'exemple précédent: esitii = 1: Sesitii.Cl = SESMiVrai.Cl Sesitii.C2 = SESMiVrai.C2 esitii = 0: Sesitii.Cl = SESMiFaux.Cl Sesitii.C2 = SESMiFaux.C2 En particulier, pour chaque Entrée/Sortie non maintenue, la signature Sesitii de sécurisation obtenue après maintien est choisie égale à la signature initiale Ses± de sécurisation de l'Entrée/Sortie du message entrant: SESi* = SESMi * , i.e. SE- SiVrai.Cl = SESMiVrai.Cl; SESiVrai.C2 = SESMiVrai . C2 ; SESi- Faux. Cl = SESMiFaux.Cl; SESiFaux.C2 = SESMiFaux . C2.

Préférentiellement , pour chaque Entrée/Sortie maintenue de l'échantillon j, la signature Sesitii finale destinée à la sé ^¬ curisation et obtenue après maintien est choisie au hasard et est différente de la signature initiale Ses± de sécurisation de l'Entrée/Sortie du message entrant 11: SESi* ≠ SESMi*, i.e. SESiVrai.Cl ≠ SESMiVrai.Cl; SESiVrai.C2 ≠ SESMiVrai . C2 ;

SESiFaux.Cl ≠ SESMiFaux.Cl; SESiFaux.C2 ≠ SESMiFaux . C2. Cela permet notamment de garantir un traitement effectif des En- trées/Sorties par le dispositif de filtrage de maintien 2 se ^¬ lon l'invention.

Durant le maintien d'une valeur ou d'un état d'une En ^¬ trée/Sortie d'un échantillon j, une compensation provenant d'une table de compensation 24 est ajoutée, par exemple au moyen d'au moins un additionneur 212 du dispositif de calcul 21, à la somme de contrôle, par exemple une première compen ^¬ sation au premier champ de la somme de contrôle, et une se ^¬ conde compensation au second champ de la somme de contrôle, afin de produire une somme de contrôle comprenant une nou ^¬ velle signature pour chaque Entrée/Sortie maintenue. Cette compensation peut être par exemple calculée à partir de l'état d'un générateur pseudo aléatoire 23 et d'une donnée pré-calculée mémorisée dans la table de compensation 24. Ainsi, le dispositif de filtrage de maintien 2 est capable de générer à partir dudit flux de m échantillons de messages en ^¬ trants comprenant n Entrées/Sorties binaires, un flux de m échantillons de messages sortants 12 comprenant chacun n En ^¬ trées/Sorties binaires, ledit flux de messages sortants pou ^¬ vant être représenté par m ensembles Esiti _j = {esitii _;j , ... , esm _n;j } successifs comprenant chacun lesdites n En ^¬ trées/Sorties esm _i;j codées par une somme de contrôle ∑Sesm _i;j calculée par ledit dispositif de filtrage de maintien afin de tenir compte de chaque Entrée/Sortie dont l'état a été main ^¬ tenu dans ledit message sortant 12.

Le fonctionnement du générateur pseudo aléatoire 23 et le contenu de la table de compensation 24 sont en particulier aptes à garantir que seules les données nécessaires pour ré ^¬ aliser le maintien de l'Entrée/Sortie destinée à être mainte ^¬ nue sont disponibles. Préférentiellement , pour chaque échantillon reçu par le dis ^¬ positif de filtrage de maintien 2, les sommes de contrôle da ^¬ tées sont compensées par l'ajout d'un état courant du généra ^¬ teur pseudo aléatoire et d'une compensation issue de la table de compensation. Le choix de la donnée dans la table de com- pensation 24, ainsi que l'évolution du générateur pseudo aléatoire 23 dépendent notamment de la valeur fonctionnelle de l'Entrée/Sortie à maintenir.

Le générateur pseudo aléatoire 23, par exemple de type LFSR (Linear Feedback Shift Register) /accumulateur , peut ainsi être avantageusement utilisé afin de maintenir temporellement en sécurité l'état d'une Entrée/Sortie dudit message entrant 11 durant une période ΤΊ prédéterminée. En particulier, à chaque Entrée/Sortie d'un message entrant 11 destinée à être maintenue est en particulier associable un générateur pseudo aléatoire 23, notamment un et un seul générateur pseudo aléa ^¬ toire 23, destiné au calcul du maintien ou non maintien de ladite Entrée/Sortie. Chaque générateur pseudo aléatoire 23 est en particulier capable de parcourir deux cycles LFSR de contrôle, chacun définissant un mode d'évolution dudit géné ^¬ rateur pseudo aléatoire 23: un cycle LFSR court associé à une valeur d'Entrée/Sortie non maintenue et à un mode LFSR court d'évolution, et un cycle LFSR long associé au maintien d'une valeur d'Entrée/Sortie et à un mode LFSR long d'évolution du- dit générateur pseudo aléatoire 23. Ainsi, le dispositif de filtrage de maintien 2 comprend en particulier au moins deux fonctions: une fonction de maintien destinée au maintien de l'état d'une Entrée/Sortie d'un message entrant 11 associée au mode LSFR long, et une fonction de non-maintien ou évolu- tive destinée au non maintien de l'état d'une Entrée/Sortie d'un message entrant 11, associée au mode LFSR court.

Préférentiellement , chaque générateur pseudo aléatoire 23 comprend une fonction de prédétermination d'Entrées/Sorties permettant audit générateur de sélectionner, en fonction du message entrant 11, une unique Entrée/Sortie dudit message entrant dont l'état doit être maintenu. Ladite unique En ^¬ trée/Sortie dudit message entrant destinée à être traitée par ledit générateur pseudo aléatoire 23 est qualifiée dans la suite de ce document d'Entrée/Sortie "prédéterminée". La sé ^¬ lection réalisable par ledit générateur pseudo aléatoire 23 dépend du message entrant 11, par exemple d'un type de mes ^¬ sage entrant 11. Ainsi, ledit dispositif de filtrage de main ^¬ tien selon 1 ' invention est capable de prédéfinir ou de prédé- terminer pour chaque message entrant 11, au moins une En ^¬ trée/Sortie "prédéterminée" qui sera traitée par un et un seul générateur pseudo aléatoire et dont l'état sera maintenu par ledit dispositif de filtrage de maintien 2, chaque En ^¬ trée/Sortie "prédéterminée" étant ladite unique Entrée/Sortie dudit message entrant traitée par ledit générateur pseudo aléatoire .

En d'autres termes, une et une seule Entrée/Sortie es _±;j par message entrant, i.e. ladite Entrée/Sortie "prédéterminée", peut ainsi préférentiellement être traitée par ledit généra ^¬ teur pseudo aléatoire. Afin de traiter plusieurs En ^¬ trées/Sorties d'un message entrant, plusieurs générateurs pseudo aléatoire en parallèle ou en série peuvent en particu- lier être utilisés, afin que chacun traite une Entrée/Sortie différente dudit message entrant.

Préférentiellement , le dispositif de calcul 21 comprend éga ^¬ lement un module 211 destiné au calcul des Entrées/Sorties esm _i;j du message sortant 12 à partir des Entrées/Sorties es _i;j du message entrant 11, ledit module 211 étant capable de cal ^¬ culer lesdites Entrées/Sorties esm _i;j du message sortant 12 en fonction d'un état des Entrées/Sorties es _±;j du message en ^¬ trant 11. En particulier, ledit module 211 comprend une table de commande apte à décrire chaque Entrée/Sortie es _±;j suscep ^¬ tible d'être maintenue et une machine à état (s) fini (s) capa ^¬ ble de suivre l'état de chaque générateur pseudo aléatoire et de calculer chaque état de chaque Entrée/Sortie esm _i;j à par ^¬ tir des états de chaque Entrée/Sortie es _i;j et d'un contenu de ladite table de commande. De manière préférentielle, le dis ^¬ positif de filtrage de maintien 2 comprend un dispositif d'extraction 22 de signature accouplable audit générateur pseudo aléatoire 23 et au dispositif de calcul 21 et capable d'extraire d'une somme de contrôle d'un message sortant un incrément de date ou une date afin de vérifier que chaque message entrant 11 est traité par le dispositif de filtrage de maintien 2.

Nous allons décrire à présent au moyen de la figure 3 les étapes successives du traitement d'un message entrant reçu _{^ 0}

par le dispositif de filtrage de maintien selon l'invention, par exemple dans le cas d'un maintien d'une Entrée/Sortie du- dit message entrant à son état restrictif: es _i;j = 0, en re ^¬ prenant les caractéristiques du message entrant et du message sortant tel que données pour la figure 2.

Dans un premier temps, le générateur pseudo aléatoire est initialisé 3, et évolue en particulier selon un cycle LSFR d'initialisation 71 destiné à amener ledit générateur pseudo aléatoire à un état initial 4 caractérisé par une valeur ini ^¬ tiale Comp_a_l . Cl destinée à la compensation d'un état per ^¬ missif. Son initialisation 3 peut par exemple être corrélée à une réinitialisation d'un dispositif apte à générer des Entrées/Sorties destinées à être traitées par ledit dispositif de filtrage de maintien, ou à une réinitialisation déclenchée par une détection d'une erreur de fonctionnement. Le cycle LSFR d'initialisation permet audit générateur pseudo aléatoire d'évoluer dans un grand nombre d'état durant une pé ^¬ riode d'une durée paramétrable en fonction d'un temps néces ^¬ saire à une détection de l'erreur de fonctionnement par un dispositif aval.

Dans cet état initial 4, la fonction de maintien du disposi ^¬ tif de filtrage de maintien selon l'invention comprend uni- quement une compensation permettant au générateur pseudo aléatoire de confirmer et de calculer un état permissif de l'Entrée/Sortie. Dans son état initial 4, le générateur pseu ^¬ do aléatoire ne peut donc pas calculer un état restrictif d'une Entrée/Sortie "prédéterminée" qu'il est destiné à trai- ter et dont l'état est restrictif en entrée du dispositif de filtrage de maintien, mais peut uniquement traiter une En ^¬ trée/Sortie "prédéterminée" dont l'état est permissif en en ^¬ trée du dispositif de filtrage de maintien. Si l'état de l'Entrée/Sortie "prédéterminée" d'un message en ^¬ trant est permissif (i.e. es _i;j = 1) en entrée dudit disposi ^¬ tif de filtrage de maintien, la fonction évolutive dudit gé ^¬ nérateur est utilisée par ce dernier: le champ Cl de la somme de contrôle destinée au codage des Entrées/Sorties du message entrant (i.e. ∑Ses _i;j .Cl) est compensé, i.e. ledit dispositif de filtrage de maintien est capable d'additionner, par exemple au moyen d'un additionneur, au champ Cl de la somme de contrôle, ladite valeur initiale Comp_a_l . Cl caractérisant ledit état initial 4 ainsi qu'une donnée choisie dans la ta ^¬ ble de compensation, puis le générateur évolue en mode LFSR 7 court vers un état 41 caractérisé par une valeur Comp_a_l.C2 permettant une compensation du champ C2 de la somme de contrôle destinée au codage du message entrant. Cela permet avantageusement d'éviter un blocage du générateur pseudo aléatoire sur un état de compensation. Le choix de ladite donnée dans la table de compensation dépend en particulier de l'état de l'Entrée/Sortie "prédéterminée" du message entrant et du cycle LFSR de contrôle du générateur pseudo aléatoire.

Chaque Entrée/Sortie dudit message entrant est susceptible d'être une Entrée/Sortie "prédéterminée" pour un des généra ^¬ teurs pseudos aléatoires dudit dispositif de filtrage de maintien. Ainsi, une fois que chaque Entrée/Sortie "prédéter- minée" dudit message entrant a été traitée par le générateur pseudo aléatoire l'ayant sélectionnée, par exemple par plu ^¬ sieurs générateurs pseudo aléatoire de type LFSR travaillant en parallèle ou en série et ayant chacun simultanément sélec ^¬ tionné leur Entrée/Sortie "prédéterminée" dudit message en- trant, la validité de la somme de contrôle obtenue après traitement de toutes les Entrées/Sorties du message destinées à être maintenues est vérifiée par ledit dispositif de fil ^¬ trage de maintien, notamment par soustraction de la signature de chaque Entrée/Sortie de la somme de contrôle afin d'en ex- traire la date. Avantageusement, une extraction et une véri- fication 8 de la date permet en particulier de garantir que chaque échantillon de message entrant est traité par ledit dispositif de filtrage de maintien et est associé à un mes ^¬ sage sortant. A cette fin, un état "Test Dckd" dudit généra- teur pseudo aléatoire permet préférentiellement de réaliser une vérification différentielle de la date.

Ainsi, à chaque cycle d'acquisition d'un message entrant des ^¬ tiné à être traité par le dispositif de filtrage de maintien, la date dudit message entrant est vérifiée par comparaison avec la date du message entrant précédent qui a été traité, i.e. le message sortant, afin de garantir que chaque message entrant est pris en compte, ce qui permet avantageusement une mise en sécurité du dispositif de filtrage de maintien. Après vérification, et en cas de validité de la somme de contrôle, une première donnée de bouclage 42 est associée à l'état du générateur pseudo aléatoire afin de permettre un retour dudit générateur dans son état initial 4 permettant de compenser une Entrée/Sortie dont l'état est permissif. La première don- née de bouclage 42 est en particulier caractérisée par une valeur de compensation CompLFSRl destinée à la compensation du champ Cl d'une Entrée/Sortie permissive d'un message en ^¬ trant consécutif au message précédemment traité. En cas d'er ^¬ reur, la somme de contrôle est définitivement altérée et les messages produits par ledit dispositif de filtrage de main ^¬ tien ne sont plus utilisables par des dispositifs avals audit dispositif de filtrage de maintien. Préférentiellement , le dispositif de filtrage de maintien est automatiquement réini- tialisable en cas de détection d'une erreur de fonctionnement par un dispositif de surveillance et ladite réinitialisation permet au générateur pseudo aléatoire de retourner à son état initial 4 au moyen d'une évolution selon ledit cycle LSFR d'initialisation 71. L'évolution selon ledit cycle LSFR d'initialisation 71 garanti un temps minimum d ' indisponibili- té du dispositif de filtrage de maintien afin de garantir que tout défaut est détecté par les dispositifs avals.

Si l'état de l'Entrée/Sortie du message entrant est restric- tif (i.e. es _i;j = 0) en entrée dudit dispositif de filtrage de maintien, le générateur pseudo aléatoire est en particulier capable d'évoluer selon un cycle LSFR 7 vers un état de compensation initial 5 d'une Entrée/Sortie restrictive permet ^¬ tant uniquement une compensation de la somme de contrôle vers un état restrictif de l'Entrée/Sortie. En d'autres termes, ledit état de compensation initial 5 est caractérisé par une valeur initiale Comp_a_0_l . Cl permettant, lors de la compen ^¬ sation de la somme de contrôle du message entrant lorsque l'état de l'Entrée/Sortie du message entrant est restrictif, de générer par compensation en particulier du champ Cl de ladite somme de contrôle, une nouvelle somme de contrôle qui comprend un champ Cl compensé et le champ C2 et qui est des ^¬ tinée au maintien d'un état restrictif pour ladite En ^¬ trée/Sortie. Ladite compensation comprend en particulier un ajout, notamment par addition, au champ Cl de la somme de contrôle, de ladite valeur initiale Comp_a_0_l . Cl et d'une donnée choisie dans la table de compensation, chacune desti ^¬ née au maintien de l'Entrée/Sortie dans son état restrictif. Puis ledit générateur pseudo aléatoire évolue en mode LFSR 7 vers un état 51 caractérisé par une valeur Comp_a_0_l . C2 permettant une compensation du champ C2 de la somme de contrôle et destinée au maintien de l'Entrée/Sortie dans son état res ^¬ trictif. Après chaque compensation du champ Cl et du champ C2 de la somme de contrôle, un dispositif d'extraction de date est en particulier capable de vérifier 8 une évolution de l'incrément de date, notamment par extraction de la date de la somme de contrôle dont les champs ont été compensés, puis par vérification de ladite date par rapport à la date d'un message sortant et/ou d'un message entrant précédent le mes- sage en cours de traitement par ledit dispositif de filtrage de maintien. Dans tous les cas, après chaque compensation, le dispositif de filtrage de maintien est capable de créer un message sortant comprenant un nombre d'Entrées/Sorties esm _i;j identique au nombre d'Entrées/Sorties du message entrant, mais caractérisé en ce que l'état de chaque Entrée/Sortie dont l'état est destiné à être maintenu a été maintenu, et dont la signature ou plus précisément la somme de contrôle qui y est associée a été actualisée afin de tenir compte de l'éventuel maintien d'une ou plusieurs Entrées/Sorties dudit message entrant.

Après vérification 8 de l'incrément de date et maintien de l'Entrée/Sortie dans son état restrictif à partir de la com ^¬ pensation des champs Cl et C2 de la somme de contrôle au moyen respectivement de la valeur initiale Comp_a_0_l . Cl de l'état initial 5 et de la valeur Comp_a_0_l . C2 de l'état 51, le dispositif de filtrage de maintien est capable de mainte ^¬ nir, durant une période ΤΊ égale au temps nécessaire à l'ac ^¬ complissement de Ti - 1 étapes successives (ΤΊ étant une du- rée exprimée en nombres de messages successifs), l'En ^¬ trée/Sortie dans son état restrictif en accomplissant succes ^¬ sivement à chaque étape t, t allant de 2 à ΤΊ:

- une génération par évolution dudit générateur pseudo aléatoire selon un cycle LSFR 7 d'un état 52, 54, 56 ca- ractérisé par une valeur de compensation Comp_a_0_t . Cl ;

- une compensation du premier champ Cl de la somme de

contrôle par ajout à ladite somme de contrôle de ladite valeur Comp_a_0_t . Cl et d'une donnée de la table de com ^¬ pensation destinée à la compensation du premier champ Cl de la somme de contrôle dans un état uniquement restric ^¬ tif de ladite Entrée/Sortie;

- une génération par évolution dudit générateur pseudo aléatoire selon un cycle LSFR 7 d'un état 53, 55, 57 ca ^¬ ractérisé par une valeur de compensation Comp_a_0_t . C2 ; - une compensation du second champ C2 de la somme de contrôle par ajout à ladite somme de contrôle de la va ^¬ leur Comp_a_0_t . C2 et d'une donnée de la table de compen ^¬ sation destinée à la compensation du second champ C2 de la somme de contrôle dans un état uniquement restrictif de ladite Entrée/Sortie;

- une vérification 8 de l'incrément de date, par exemple par extraction de ladite date de la somme de contrôle;

- une génération d'un message sortant.

Le nombre (ΤΊ -1) d'étapes successives détermine la durée de maintien de l'Entrée/Sortie dans son état restrictif et peut- être prédéterminé en fonction du message entrant, par exemple en fonction d'un type de message entrant.

Après la (Ti-l) ^ème étape (i.e. t = T _± ) , le dispositif de fil ^¬ trage de maintien est en particulier capable de générer soit une seconde donnée de bouclage CompLFSR2 61 permettant au gé ^¬ nérateur de retourner à l'état initial 4 caractérisé par la valeur initiale Comp_a_l . Cl destinée à la compensation d'un état permissif d'une Entrée/Sortie du prochain message en ^¬ trant, soit une troisième donnée de bouclage CompLFSR3 62 permettant au générateur de retourner à l'état de compensa ^¬ tion initial 5 d'une Entrée/Sortie restrictive. Préférentiel- lement, le générateur pseudo aléatoire est capable d'asso ^¬ cier, notamment par addition, à son état résultant de la (ΤΊ- l) ^eme étape et de la vérification 8 de date ladite seconde donnée de bouclage CompLFSR2 61 si le message entrant consé ^¬ cutif au message entrant ayant été traité comprend une En- trée/Sortie caractérisée par un état permissif, ou ladite troisième donnée de bouclage CompLFSR3 62 si ledit message entrant consécutif au message entrant ayant été traité com ^¬ prend une Entrée/Sortie caractérisée par un état restrictif. Ainsi, une valeur de compensation, comme par exemple la va ^¬ leur initiale Comp_a_l . Cl caractérisant l'état initial, est associable à chaque état du générateur pseudo aléatoire et permet de compenser la somme de contrôle, ou en particulier un des champs de la somme de contrôle, tout en garantissant soit le maintien d'une Entrée/Sortie d'un message entrant, soit son non maintien, i.e. sa confirmation.

Afin de tracer l'opération de maintien réalisée par le géné- rateur pseudo aléatoire, les signatures de l'Entrée/Sortie après maintien de ladite Entrée/Sortie, i.e. dans le message sortant, sont en particulier différentes des signatures de ladite Entrée/Sortie avant son maintien, i.e. dans le message entrant, en entrée du dispositif de filtrage de maintien. Par contre, les signatures associées à un message entrant dont les Entrées/Sorties ne nécessitent aucun maintien de leur état respectif sont préférentiellement identiques aux signa ^¬ tures du message sortant. Un exemple de liste des compensations pour un maintien res ^¬ trictif de la i ^eme Entrée/Sortie d'un message entrant est don ^¬ né ci-dessous:

Lorsque un j ^eme message entrant est réceptionné par le dispo- sitif de filtrage de maintien, sa i ^eme Entrée/Sortie es _± est codée par exemple par une signature SESiVrai si son état est permissif, et respectivement une signature SESiFaux si son état est restrictif. Lors du maintien de cette i ^eme En ^¬ trée/Sortie, cette dernière est transformée par le dispositif de filtrage de maintien en une i ^eme Entrée/Sortie esitii d'un message sortant, ladite i ^eme Entrée/Sortie esitii étant codée par une signature SESMiVrai si l'état de es _± était permissif, et respectivement SESMiFaux si l'état de es _± était restric ^¬ tif, chaque signature étant prédéfinie et choisie au hasard. La donnée de la table de compensation destinée à la compensa ^¬ tion d'une somme de contrôle codant une Entrée/Sortie dont l'état en entrée dudit dispositif de filtrage de maintien est permissif, et donc associé à la valeur Comp_a_l . Cl ou respec- tivement Comp_a_l.C2, est donnée par exemple par:

CompNMaintienRl_i .Cl =

SESMiVrai.Cl - SESiVrai.Cl - Comp_a_l . Cl et respectivement par

CompNMaintienRl_i . C2 =

SESMiVrai.C2 - SESiVrai.C2 - Comp_a_l.C2 La donnée de compensation susmentionnée empêche avantageuse ^¬ ment toute compensation vers un état restrictif de ladite En ^¬ trée/Sortie .

De manière similaire, la donnée de la table de compensation destinée à la compensation d'une somme de contrôle codant une Entrée/Sortie dont l'état en entrée dudit dispositif de fil ^¬ trage de maintien est restrictif, et donc associé à la valeur Comp_a_0_l . Cl ou respectivement Comp_a_0_l . C2 , est par exem ^¬ ple donnée par:

CompMaintienR00_i_l .Cl =

SESMiFaux.Cl - SESiFaux.Cl - Comp_a_0_l . Cl et respectivement par

CompMaintienR00_i_l .C2 =

SESMiFaux.C2 - SESiFaux.C2 - Comp_a_0_l . C2

La donnée de compensation susmentionnée empêche une prise en compte d'un état permissif de l'Entrée/Sortie. Les données de la table de compensation associées au maintien de l'état restrictif de ladite Entrée/Sortie durant lesdites Ti-1 étapes successives associées aux états caractérisés par les valeurs Comp_a_0_t . Cl ou respectivement Comp_a_0_t . C2 du générateur pseudo aléatoire sont par exemple données par (t allant de 2 à ΤΊ) :

CompMaintienROO_i_k.Cl =

SESMiFaux.Cl - SESiFaux.Cl - Comp_a_0_t . Cl

CompMaintienR01_i_k.Cl =

SESMiFaux.Cl - SESiVrai.Cl - Comp_a_0_t . Cl et respectivement

CompMaintienR00_i_k.C2 =

SESMiFaux.C2 - SESiFaux.Cl - Comp_a_0_t . C2 CompMaintienR01_i_k.C2 =

SESMiFaux.C2 - SESiVrai.C2 - Comp_a_0_t . C2

Ainsi, quel que soit l'état de l'Entrée/Sortie, cette der ^¬ nière est maintenue restrictive dans le message sortant.

Une fois la période de maintien terminée, i.e. après que le générateur pseudo aléatoire a été dans l'état caractérisé par la valeur Comp_a_0_ . C2 (i.e. t = T) et que la vérification de la date a été effectuée, notamment au moyen de l'état Test Dckd du générateur pseudo aléatoire, ledit générateur pseudo aléatoire doit retourner soit à l'état initial caractérisé par la valeur Comp_a_l . Cl si l'Entrée/Sortie du nouveau mes ^¬ sage entrant est caractérisée par un état permissif, ou à la valeur Comp_a_0_l . Cl si l'Entrée/Sortie du nouveau message entrant est caractérisée par un état restrictif. A cette fin, une seconde donnée de bouclage provenant en particulier de la table de compensation est préférentiellement additionnée à la valeur de l'état Test Dckd du générateur pseudo aléatoire afin de le faire retourner à sa valeur Comp_a_l . Cl , ou simi- lairement une seconde donnée de bouclage provenant en parti ^¬ culier de la table de compensation est préférentiellement ad ^¬ ditionnée à la valeur de l'état Test Dckd du générateur pseudo aléatoire afin de le faire retourner à sa valeur

Comp_a_0_l . Cl . Egalement, une première donnée de bouclage est en particulier apte à permettre un retour du générateur pseudo aléatoire à sa valeur Comp_a_l . Cl lorsque ledit géné ^¬ rateur a traité une entrée permissive. Lesdites première, se ^¬ conde et troisième données de bouclage sont par exemple res ^¬ pectivement données par:

CompLFSRl = Comp_a_l . Cl - Test Dckd (Comp_a_l . C2 )

CompLFSR2 = Comp_a_l . Cl - Test Dckd (Comp_a_0_T . C2 )

CompLFSR3 = Comp_a_0_l . Cl - Test Dckd (Comp_a_0_T . C2 ) Préférentiellement , le dispositif d'extraction de date com ^¬ prend en particulier une table d'extraction permettant dans un premier temps de générer les signatures Sesitii d'Entrées/Sorties d'une somme de contrôle au moyen des valeurs des Entrées/Sorties esitii du message sortant, et dans un deuxième temps de soustraire les signatures d'Entrées/Sorties Sesitii de la somme de contrôle ∑Sesitii afin d'extraire la date de ladite somme de contrôle. La table d'extraction et les calculs qui y sont associés sont notamment confinés, i.e. inutilisable pour d'autres calculs afin d'éviter la construc- tion à tort de messages d'Entrées/Sorties erronés ayant une somme de contrôle correcte.

En résumé, la méthode et le dispositif selon l'invention pré ^¬ sentent plusieurs avantages par rapport aux méthodes et dis- positifs existant en ce que: ils s'affranchissent d'une utilisation d'un processeur codé,

ils sont économiquement avantageux par rapport aux mé ^¬ thodes et dispositifs utilisant un processeur codé, car ils permettent de réaliser une fonction de maintien en sécurité d'une Entrée/Sortie libre d'utilisation d'un calculateur sécuritaire, et donc sans logiciel, économi sant ainsi de nombreux composants électroniques et des heures d'ingénierie logicielle,

ils permettent une fréquence d'échantillonnage des En ^¬ trées/Sorties plus élevée que celle permise par une so ^¬ lution logicielle.