專利名稱:用于安全上載文件到飛機(jī)上的方法和系統(tǒng)的制作方法
用于安全上載文件到飛機(jī)上的方法和系統(tǒng)
背景技術(shù):
飛機(jī)操作員和擁有者正越來越多地利用現(xiàn)有的和新興的基于無線和互聯(lián)網(wǎng)的連接來遠(yuǎn)程地上載數(shù)據(jù)到飛機(jī)。這些數(shù)據(jù)在整個飛機(jī)使用期限的各個時間被加載到飛機(jī)的航空電子系統(tǒng)中��,并且這些數(shù)據(jù)通常必須是安全的����。遠(yuǎn)程地上載文件使飛機(jī)易受下載到惡意的數(shù)據(jù)的可能性,攻擊者上載該惡意的數(shù)據(jù)替換了正確的數(shù)據(jù)�����。高保證軟件可以檢測到一些惡意的數(shù)據(jù)����;然而,這種軟件通常是昂貴的�����。通常情況下��,數(shù)據(jù)庫文件連同其校驗(yàn)和一起被上載到飛機(jī)��。機(jī)載系統(tǒng)計(jì)算該數(shù)據(jù)庫的第二校驗(yàn)和���,并將該第二校驗(yàn)和與上載的校驗(yàn)和進(jìn)行比較�。兩個校驗(yàn)和之間的不一致可表明噪音或錯誤已經(jīng)發(fā)生。然而�,這種系統(tǒng)和方法對潛在的攻擊是開放的。例如�����,攻擊者可以嘗試改變數(shù)據(jù)庫文件并提供相應(yīng)的校驗(yàn)和����,或以不變更原始校驗(yàn)和的方式來改變數(shù)據(jù)庫���。在這種情況下���,當(dāng)機(jī)載系統(tǒng)接收改變的數(shù)據(jù)庫文件和其相應(yīng)的校驗(yàn)和時,機(jī)載系統(tǒng)無法檢測到數(shù)據(jù)庫文件被更改����。因此,上載文件到飛機(jī)上的當(dāng)前的方法不能檢測一些形式的篡 改或惡化��。依據(jù)閱讀和理解說明書�,以上陳述的原因和以下陳述的其他原因?qū)Ρ绢I(lǐng)域技術(shù)人員來說將變得顯而易見�,在本領(lǐng)域存在對于提供安全上載飛機(jī)上機(jī)載的數(shù)據(jù)的方法和系統(tǒng)的需要����。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施例提供了用于通過數(shù)據(jù)流模型進(jìn)行類型和范圍傳播的方法和系統(tǒng),并且將通過閱讀和學(xué)習(xí)隨后的說明書而被理解�。提供了安全上載文件到諸如飛機(jī)的交通工具上的方法和系統(tǒng)。在一個實(shí)施例中�����,用于傳輸文件到遠(yuǎn)程交通工具的系統(tǒng)包括遠(yuǎn)程交通工具上機(jī)載的通信系統(tǒng)���;耦合到通信系統(tǒng)的遠(yuǎn)程交通工具上機(jī)載的至少一個處理器�����;以及包括數(shù)據(jù)庫的至少一個存儲設(shè)備�;所述至少一個存儲設(shè)備進(jìn)一步包括計(jì)算機(jī)可執(zhí)行指令�����,該計(jì)算機(jī)可執(zhí)行指令在由至少一個處理器所執(zhí)行時����,實(shí)現(xiàn)數(shù)據(jù)檢查功能過程��,該數(shù)據(jù)檢查功能過程包括從由通信系統(tǒng)接收到的上行文件在遠(yuǎn)程交通工具處生成安全文件���;使用所述安全文件驗(yàn)證所述上行文件的完整性;當(dāng)所述上行文件的完整性得到證實(shí)時�,接受所述上行文件;以及當(dāng)所述上行文件的完整性未被證實(shí)時�,拒絕所述上行文件。
當(dāng)鑒于考慮優(yōu)選的實(shí)施例的描述和隨后的附圖時����,本發(fā)明實(shí)施例能夠被更容易地理解,以及其進(jìn)一步的優(yōu)點(diǎn)和使用更容易地顯而易見�,其中圖I是根據(jù)本發(fā)明一個實(shí)施例的用于安全上載文件到飛機(jī)上的系統(tǒng)的框圖���;圖2是根據(jù)本發(fā)明一個實(shí)施例的用于安全上載文件到遠(yuǎn)程交通工具上的方法
的流程圖�;圖3示出了根據(jù)圖2的方法的上行和下行消息的示例性流程圖4是根據(jù)本發(fā)明一個實(shí)施例的用于使用消息認(rèn)證碼(MAC)來驗(yàn)證上行文件的方法的流程圖��;以及圖5是根據(jù)本發(fā)明另一個實(shí)施例的用于從地面單元到遠(yuǎn)程交通工具驗(yàn)證上行文件的 方法的流程圖��。按照一般慣例�,各種描述的特征并不是按比例繪制的,而是根據(jù)強(qiáng)調(diào)有關(guān)本發(fā)明的特征來繪制的��。貫穿附圖和全文,相同的參考字符指示相同的元件��。
具體實(shí)施例方式
在隨后的詳細(xì)描述中���,參考了附圖����,所述陸構(gòu)成在此的一部分����,并其中借助本發(fā)明可實(shí)施的特定的說明性實(shí)施例來示出。這些實(shí)施例被充分詳細(xì)地描述����,以使本領(lǐng)域技術(shù)人員能夠?qū)嵤┍景l(fā)明,以及應(yīng)當(dāng)理解的是���,在不偏離本發(fā)明的范圍的情況下��,也可利用其他的實(shí)施例并可作出邏輯�����、機(jī)械和電氣的改變���。因此��,隨后的詳細(xì)描述不被理解為限制意義����。
此處描述的一些實(shí)施例提供了用于通過易遭受外部攻擊的系統(tǒng)(例如通過無線連接或在互聯(lián)網(wǎng)上)遠(yuǎn)程地��、安全地上載文件的系統(tǒng)和方法����。這些實(shí)施例確保上載的文件是原始文件的有效副本或是原始文件的相關(guān)文件。這是通過驗(yàn)證上載的文件的完整性來實(shí)現(xiàn)的�。在一些實(shí)施例中,上載的文件的完整性通過使用一個或多個遠(yuǎn)程完整性檢查網(wǎng)站���、外場可更換單元(LRU)��、或高保證的機(jī)載系統(tǒng)來被驗(yàn)證。
圖I是根據(jù)本發(fā)明的一個實(shí)施例的安全上載文件到飛機(jī)110的系統(tǒng)100的框圖�����。如在此所使用的,術(shù)語“飛機(jī)”是指任何航空交通工具�����,例如��,但不限于�,飛機(jī)、直升機(jī)��、或其他飛行器�����。地面單元140包括具有處理和通信能力的設(shè)備或系統(tǒng)�����,并且遠(yuǎn)離飛機(jī)110�。換句話說,地面單元140不是飛機(jī)110機(jī)載安裝的系統(tǒng)����。
飛機(jī)110包括航空電子系統(tǒng)112,該航空電子系統(tǒng)112與通信系統(tǒng)130通信耦合��。航空電子系統(tǒng)112包括航空電子處理器114、存儲器116�����、和至少一個數(shù)據(jù)存儲設(shè)備120�,該至少一個數(shù)據(jù)存儲設(shè)備用于存儲由這種計(jì)算機(jī)可執(zhí)行應(yīng)用所使用的計(jì)算機(jī)可執(zhí)行應(yīng)用指令和數(shù)據(jù)。尤其是�����,存儲設(shè)備120包括數(shù)據(jù)庫122���,該數(shù)據(jù)庫122尤其存儲了有關(guān)飛行信息和飛機(jī)規(guī)格的信息�,包括例如飛行計(jì)劃�、導(dǎo)航信息和諸如飛機(jī)110的當(dāng)前重量的飛機(jī)參數(shù)。存儲設(shè)備120還存儲高保證軟件124和低保證軟件126 (在此共同稱為“軟件124和126”)�����,其包括計(jì)算機(jī)可執(zhí)行程序指令��。如圖I所說明的����,存儲設(shè)備120進(jìn)一步包括用于數(shù)據(jù)檢查功能128的可執(zhí)行代碼,其可作為高保證軟件124的一部分�����、低保證軟件126的一部分��、或兩者兼而有之的一部分被實(shí)現(xiàn)����。
航空電子處理器114執(zhí)行高保證軟件124和低保證軟件126,以使航空電子處理器114執(zhí)行在此所描述的處理����,就如航空電子系統(tǒng)112執(zhí)行一樣,以便于從地面單元140安全地使上行文件到該航空電子系統(tǒng)112���。
依據(jù)閱讀本說明書���,本領(lǐng)域的普通技術(shù)人員將理解,航空電子應(yīng)用中使用的軟件應(yīng)服從有關(guān)該軟件的安全性和可靠性的政府規(guī)章��。表明一段特定的航空電子軟件是如何順從那些規(guī)章的典型手段是���,具備詳述該軟件的可靠性的認(rèn)證等級���。因而��,高保證軟件124比低保證軟件126具有更高的認(rèn)證等級����。作為此處使用的術(shù)語�,認(rèn)證等級表明在軟件設(shè)計(jì)、驗(yàn)證和批準(zhǔn)方面所應(yīng)用的質(zhì)量保證等級���,以確保所述軟件將以預(yù)期的可靠性等級來執(zhí)行����。例如�����,認(rèn)證等級經(jīng)常被用于識別滿足適航性要求的軟件�。
對于此處描述的一些實(shí)施例,由航空無線電技術(shù)委員會(RTCA)公司出版的標(biāo)準(zhǔn)DO-178B《機(jī)載系統(tǒng)和設(shè)備合格審定中的軟件考慮》����,被用于指定軟件125和126的認(rèn)證等級。DO-178B定義了五個軟件設(shè)計(jì)保證等級(DAL)�����,從最高等級A(最可靠)開始一直到最低等級E (最不可靠)���。每個等級由故障狀況的影響所定義����,該故障狀況由在飛機(jī)��、機(jī)組人員和乘客上具有的異常軟件行為所引起���。例如�,被指定的等級A軟件的軟件的故障是災(zāi)難性的(故障可能引起墜落)�,等級B是危險的(在安全或性能方面有重大負(fù)面影響),等級C是較重的(故障是重大的����,但比等級B的故障具有更小的影響)。等級D是較輕的(故障是明顯的)�����,以及等級E是沒有影響的(故障在安全�、飛機(jī)操作�,或機(jī)組人員工作量方面沒有影響)����。通常,由于在文檔化����、構(gòu)建和測試代碼方面花費(fèi)了額外時間,高保證等級的軟件在設(shè)計(jì)和生產(chǎn)方面相比低保證等級的軟件更加昂貴���。雖然這些航空電子認(rèn)證等級是以航空電子為導(dǎo)向的�����,但它們也為其他系統(tǒng)的開發(fā)提供了一套方便的標(biāo)準(zhǔn)和目標(biāo)����。這種標(biāo)準(zhǔn)可應(yīng)用于任何系統(tǒng)����,不論是否需要正式認(rèn)證,正是認(rèn)證例如是從政府機(jī)構(gòu)所獲得的���。
在圖I中所示的實(shí)施例的至少一種實(shí)現(xiàn)方式中�����,高保證軟件124包括具有從A到C的認(rèn)證等級的軟件��,而低保證軟件126包括認(rèn)證等級D和E�����。通常�,相比低保證軟件126���,高保證軟件124被用于更關(guān)鍵的飛行控制系統(tǒng)���。低保證軟件126被用于維護(hù)功能,包括例如�,上載用于存儲在數(shù)據(jù)庫122中的文件?�;蛘?�,高保證軟件124或低保證軟件可潛在地使用存儲在數(shù)據(jù)庫122中的信息����。如下文更詳細(xì)討論的���,在將那些文件加載到數(shù)據(jù)庫122中之前,數(shù)據(jù)檢查功能128運(yùn)行以驗(yàn)證從地面單元140上行的文件的完整性����。
提供標(biāo)準(zhǔn)DO-178B僅出于示例目的。即���,對于其他的實(shí)施例�,使用其他的標(biāo)準(zhǔn)和/或認(rèn)證等級�。在系統(tǒng)100的另外的實(shí)施例中,航空電子系統(tǒng)112中的軟件124和126無 需被明確認(rèn)證以滿足特定的認(rèn)證等級���,或者可替代地��,可被認(rèn)證為相同的認(rèn)證等級�。例如���,用于航空電子系統(tǒng)112的所有的軟件應(yīng)用����,理論上都可被認(rèn)證為DO-178B等級A,但基于軟件124和126執(zhí)行的功能的關(guān)鍵性��,軟件124和126之間仍然被分離���。本領(lǐng)域的普通技術(shù)人員在閱讀本說明書時將理解����,航空電子系統(tǒng)112可進(jìn)一步包括軟件124和126之外的附加的軟件��,該附加的軟件具有不同的認(rèn)證等級�����。
在一些實(shí)施例中�����,硬件劃分將高保證軟件124與低保證軟件126分開���。在一個這樣的實(shí)施例中,航空電子處理器114實(shí)際上包括兩個單獨(dú)的處理設(shè)備(例如�,兩個不同的微處理器),其中第一處理設(shè)備運(yùn)行高保證軟件124�����,而第二處理設(shè)備運(yùn)行低保證軟件126。航空電子系統(tǒng)112的一個實(shí)現(xiàn)方式包括����,集成模塊化航空電子設(shè)備(IMA),其是能夠支持不同臨界等級的許多應(yīng)用的計(jì)算網(wǎng)絡(luò)��。
如圖I中所說明的�����,航空電子系統(tǒng)112進(jìn)一步包括用戶接口118和通信系統(tǒng)130�。用戶接口 118對用戶(如飛行員或機(jī)組成員)提供與航空電子系統(tǒng)112相交互的功能。在一個實(shí)施例中�����,用戶接口 118是人機(jī)接口(HMI)����,該人機(jī)接口包括一組屏幕,用于接收從地面單元140上行的文件��,驗(yàn)證所接收的文件的完整性��,以及拒絕接收的文件或?qū)⑵浯鎯υ跀?shù)據(jù)庫122中。在其它的實(shí)施例中��,航空電子系統(tǒng)112在沒有用戶輸入的情況下執(zhí)行此處所描述的方法�����。
通信系統(tǒng)130包括無線通信設(shè)備����,諸如操作在一個或多個頻帶的射頻(RF)收發(fā)器����,例如,高頻(HF)�、甚高頻(VHF)�、或超高頻(UHF),或使用移動電話技術(shù)�。通信系統(tǒng)130可選擇地包括其他基于IP的通信技術(shù),以供與互聯(lián)網(wǎng)數(shù)據(jù)鏈路(例如�����,但不限于Wi-Fi) —起使用����,并可包括用于直接有線連接的物理以太網(wǎng)協(xié)議接口�。此外��,通信系統(tǒng)130可在飛機(jī)110上被用于飛機(jī)數(shù)據(jù)鏈路通信系統(tǒng)�����,飛機(jī)數(shù)據(jù)鏈路通信系統(tǒng)例如但不限于�,航空電信網(wǎng)(ATN)、未來空中導(dǎo)航系統(tǒng)(FANS)�����、和飛機(jī)通信尋址和報告系統(tǒng)(ACARS)�����。地面單元140包括處理器142�、存儲器146、和包括地面軟件152和完整性檢查軟件154的存儲設(shè)備150�、以及通信系統(tǒng)156,其中任何一個均可類似于它們在飛機(jī)110中的配對元件而被實(shí)施���。地面軟件152包括促進(jìn)使文件上行到飛機(jī)110的功能,文件諸如是數(shù)據(jù)庫文件����。地面軟件152包括計(jì)算機(jī)可執(zhí)行指令,該計(jì)算機(jī)可執(zhí)行指令在由處理器142所執(zhí)行時�����,執(zhí)行下文描述的歸屬于地面單元的功能��。這種功能可包括獲取和/或生成數(shù)據(jù)庫文件����、作為一個或多個網(wǎng)站的主機(jī)或訪問一個或多個網(wǎng)站、得到安全文件����、發(fā)起文件傳輸和驗(yàn)證文件傳輸。這些功能在下文被更具體地描述�����。飛機(jī)110和地面單元140通過各自的通信系統(tǒng)130和156互相通信��。圖2是根據(jù)本發(fā)明的一個實(shí)施例的用于安全上載文件到遠(yuǎn)程交通工具的方法的流程圖����。在該方法一個實(shí)施方式中,地面單元包括上文討論的地面單元140��,并且遠(yuǎn)程交通 工具包括飛機(jī)110上的航空電子系統(tǒng)112�。在一個實(shí)施例中,地面單元作為完整性檢查網(wǎng)站和數(shù)據(jù)庫網(wǎng)站的主機(jī)���。完整性檢查網(wǎng)站包括用于通過驗(yàn)證文件的完整性來證實(shí)上載到遠(yuǎn)程交通工具的文件的真實(shí)性的功能���。數(shù)據(jù)庫網(wǎng)站包括用于生成、建立���、或以其他方式獲得文件的功能�,該文件要被上載到遠(yuǎn)程交通工具��。在一些實(shí)施例中����,由完整性檢查網(wǎng)站和數(shù)據(jù)庫網(wǎng)站所提供的功能分布在多個物理設(shè)備上�����,并可包括冗余系統(tǒng)以在不利狀況下提高可靠性���,不利狀況諸如是當(dāng)試圖攻擊以使遠(yuǎn)程交通工具上的系統(tǒng)惡化時�。該方法開始于步驟210 :獲取用于傳輸?shù)竭h(yuǎn)程交通工具的文件。在一個實(shí)施例中����,用于傳輸?shù)奈募傻孛鎲卧伞T谄渌麑?shí)施例中��,用于傳輸?shù)奈募傻孛鎲卧獜耐獠吭唇邮?����,例如通過安全的網(wǎng)絡(luò)連接�,或諸如通過光盤的本地加載。在一個實(shí)施例中����,用于傳輸?shù)奈募ㄓ糜谏陷d到飛機(jī)110上的數(shù)據(jù)庫122上的數(shù)據(jù)庫文件。該方法進(jìn)行到步驟220��,包括從用于傳輸?shù)奈募?jì)算出第一安全文件�。在一個實(shí)施例中����,地面單元使用完整性檢查網(wǎng)站從該文件計(jì)算出第一地面安全文件。如此處使用的術(shù)語�,“安全文件”包括文件或代碼,該文件或代碼被用來驗(yàn)證傳送的文件是否與原始文件相關(guān)或是原始文件的副本�����。安全文件的例子包括用散列函數(shù)計(jì)算的散列碼����、加密的口令、共享密鑰�、校驗(yàn)和或循環(huán)冗余校驗(yàn)(CRC)、簽名����、消息認(rèn)證碼(MAC),等等���。在一個實(shí)施例中�,使用來自美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的標(biāo)準(zhǔn)散列函數(shù)來計(jì)算散列碼����。該方法進(jìn)行到步驟230 :將用于傳輸?shù)奈募闲械竭h(yuǎn)程交通工具。如此處使用的,術(shù)語“上行”是指從地面單元傳輸?shù)竭h(yuǎn)程交通工具�,而“下行”是指從遠(yuǎn)程交通工具傳輸?shù)降孛鎲卧T谝粋€實(shí)施例中���,通過無線通信鏈路來執(zhí)行上行���。在其他的實(shí)施例中,諸如在飛機(jī)110已經(jīng)降落的地方��,可通過地面單元和遠(yuǎn)程交通工具之間的有線連接來執(zhí)行上行���。在這一點(diǎn),遠(yuǎn)程交通工具已經(jīng)從地面單元接收到該文件�����,但是因?yàn)樵撐募€尚未得到驗(yàn)證��,因此遠(yuǎn)程交通工具還不能利用文件中的信息�。在一個實(shí)施例中,該文件暫時存儲在存儲器中��,但尚未被加載到永久存儲器中���,直到完成以下所描述的驗(yàn)證���。該方法進(jìn)行到步驟240 :從在遠(yuǎn)程交通工具處接收的用于傳輸?shù)奈募傻诙踩募?�,并進(jìn)行到步驟250 :將第二安全文件下行到地面單元。該方法然后進(jìn)行到步驟260 :通過將第一安全文件與第二安全文件相比較來執(zhí)行完整性檢查���。在一個實(shí)施例中�,通過遠(yuǎn)程完整性檢查網(wǎng)站來執(zhí)行完整性檢查���。在一個實(shí)施例中�,完整性檢查驗(yàn)證第一和第二安全文件是否匹配���,或驗(yàn)證是否以其它方式按預(yù)期的相關(guān)聯(lián)。當(dāng)在遠(yuǎn)程交通工具處接收的文件的完整性被驗(yàn)證(在方框270證實(shí))時�����,該方法進(jìn)行到步驟272 :將認(rèn)證消息上行到遠(yuǎn)程交通工具���。如這里所用的��,認(rèn)證消息是表明了接收的文件被驗(yàn)證為原始文件的副本的任何消息���。在一個實(shí)施例中����,認(rèn)證消息包括加密的口令���。例如,遠(yuǎn)程交通工具將使用共享密鑰來解密該口令����,以確定接收到的文件是否是有效的。在另一個實(shí)施例中�,認(rèn)證消息是數(shù)據(jù)庫字母(“db字母”)�����,諸如那些用于飛機(jī)認(rèn)證的字母����。該db字母表明了正確的文件已被被上載,并作為用于遠(yuǎn)程交通工具加載該文件的“提貨單”或“繼續(xù)執(zhí)行的許可”����。在這樣的實(shí)施例中����,遠(yuǎn)程交通工具和地面單元不需要共享密鑰或計(jì)算或校驗(yàn)散列��。當(dāng)在遠(yuǎn)程交通工具處接收到認(rèn)證消息時��,該方法進(jìn)行到步驟274 :接受上行文件���。也就是說�����,遠(yuǎn)程交通工具將該文件加載到存儲設(shè)備120和/或數(shù)據(jù)庫122��。當(dāng)在遠(yuǎn)程交通工具處接收到的文件的完整性驗(yàn)證失敗(如在方框270證實(shí))時����,該過程進(jìn)行到276 :拒絕將上行文件存儲在至少一個存儲設(shè)備上。也就是說����,遠(yuǎn)程交通工具 不加載供遠(yuǎn)程交通工具所使用的文件�。在一個實(shí)施例中����,當(dāng)發(fā)生這種情況時,該文件被遠(yuǎn)程交通工具丟棄����。在一個實(shí)施例中,遠(yuǎn)程交通工具基于超時期限的屆滿而假設(shè)驗(yàn)證已經(jīng)失敗��,在該超時期限期間尚未接收到認(rèn)證消息���。在另一個實(shí)施例中��,該方法提供了將消息上行到遠(yuǎn)程交通工具���,該消息表明了該文件是無效的。這樣���,該方法允許地面單元通過分析接收到的安全文件來監(jiān)測飛機(jī)上的數(shù)據(jù)加載事件�����。如果該安全文件是不正確的�����,則有航空電子系統(tǒng)正具有錯誤的可能性�。在這種情況下,地面單元可以給遠(yuǎn)程交通工具或用戶發(fā)送通知系統(tǒng)或用戶存在錯誤的指示符����。此外,從遠(yuǎn)程交通工具接收到非預(yù)期的安全文件能夠表明��,力口載文件到遠(yuǎn)程交通工具上的授權(quán)嘗試何時已經(jīng)被嘗試����。圖3說明了上行和下行通信的流程圖300���,比如根據(jù)圖2的方法200所發(fā)生的那些����。如上所述����,在一個實(shí)施例中���,地面單元已經(jīng)接入到完整性檢查網(wǎng)站和數(shù)據(jù)庫網(wǎng)站����。數(shù)據(jù)庫網(wǎng)站生成要被加載在遠(yuǎn)程交通工具上的數(shù)據(jù)庫文件。在一些實(shí)施例中��,由數(shù)據(jù)庫網(wǎng)站生成的數(shù)據(jù)庫文件(一個)被傳輸?shù)酵暾詸z查網(wǎng)站��,并從那里被傳輸?shù)竭h(yuǎn)程交通工具���。在一個這樣的實(shí)施例中�����,遠(yuǎn)程交通工具鏈接到完整性檢查網(wǎng)站����,以便發(fā)起文件的上行����。在其它實(shí)施例中,地面單元直接向遠(yuǎn)程交通工具無線傳輸數(shù)據(jù)庫文件��。如圖3所說明的���,上行傳輸302源自地面單元340 (其在一個實(shí)施例中包括地面單元140)�,并被傳輸?shù)竭h(yuǎn)程交通工具330 (其在一個實(shí)施例中包括飛機(jī)110上的航空電子系統(tǒng)112)。從上行傳輸?shù)膬?nèi)容在地面單元340處生成第一安全文件���。當(dāng)接收上行傳輸302時��,在遠(yuǎn)程交通工具330處的數(shù)據(jù)檢查功能(諸如128)從上行文件生成第二安全文件��,并發(fā)送第二安全文件到地面單元340作為下行傳輸304�。完整性檢查網(wǎng)站接收第二安全文件�����,并將其與第一安全文件進(jìn)行比較�����。如果文件按預(yù)期相對應(yīng)��,上載的文件被驗(yàn)證�,并且地面單元340通過上行傳輸306將認(rèn)證消息傳輸?shù)竭h(yuǎn)程交通工具330�����。在一個實(shí)施例中,認(rèn)證消息為飛機(jī)110提供指令���,以基于比較第一和第二安全文件存儲上行文件���。另外,上行傳輸306可改為表明該文件的完整性驗(yàn)證失敗��,在這種情況下����,遠(yuǎn)程交通工具330丟棄其通過上行傳輸302接收到的文件。在一個實(shí)施例中�����,當(dāng)遠(yuǎn)程交通工具330未能在傳輸?shù)诙踩募念A(yù)定時間段內(nèi)接收認(rèn)證消息時���,則假定通過上行傳輸302接收到的文件是無效的��,并丟棄該文件�����。在一個實(shí)施例中����,可通過替代的通信通道可選擇地傳輸該上行傳輸306。圖4是說明了本發(fā)明的一個實(shí)施例的方法400的流程圖��。方法400被繪制為使用消息認(rèn)證碼(MAC)來驗(yàn)證上行文件���。如此處使用的�����,消息認(rèn)證碼或MAC��,被定義為結(jié)合了共享密鑰的鍵控(keyed)散列函數(shù)派生值�����。消息認(rèn)證碼通過允許接收擁有共享密鑰以檢測對消息內(nèi)容的任何更改�,來保護(hù)消息數(shù)據(jù)的完整性和真實(shí)性兩者���。此外,沒有共享密鑰��,就不可能為消息偽造有效的消息認(rèn)證碼。在圖4的方法的一個實(shí)現(xiàn)方式中�����,如同圖2中描述的方法一樣�����,地面單元包括地面單元140����,以及遠(yuǎn)程交通工具包括飛機(jī)110上的航空電子系統(tǒng)112。該方法開始于步驟410:傳輸上行消息到遠(yuǎn)程交通工具��,上行消息包括用于傳輸?shù)奈募驼J(rèn)證該文件的消息認(rèn)證碼�����。在一個實(shí)施例中�����,地面單元作為完整性檢查網(wǎng)站和數(shù)據(jù)庫網(wǎng)站的主機(jī)��。在該情況下�,完整性檢查網(wǎng)站包括為用于傳輸?shù)奈募暦Q消息認(rèn)證碼的功能。數(shù)據(jù)庫網(wǎng)站包括用于生成、建立�、或以其他方式獲得該文件的功能,該文件要被上載 到遠(yuǎn)程交通工具���。該方法進(jìn)行到步驟420 :在接收上行消息和消息認(rèn)證碼時�����,在遠(yuǎn)程交通工具處計(jì)算確認(rèn)消息認(rèn)證碼(AMAC)��。即���,遠(yuǎn)程交通工具產(chǎn)生確認(rèn)消息,該確認(rèn)消息本身使用被附加到確認(rèn)消息的鍵控散列函數(shù)派生值來認(rèn)證����。在一個實(shí)施例中,在方框410中與鍵控散列函數(shù)以及上行消息一起使用的共享密鑰與用于生成AMAC的共享密鑰相同�����。在其他實(shí)施例中�,在方框410和420處使用不同的共享密鑰。在一個實(shí)施例中���,如圖I中所說明的���,方框420通過數(shù)據(jù)檢查功能128來執(zhí)行。在該實(shí)施例的不同的實(shí)現(xiàn)方式中�����,上行消息的MAC和AMAC可以在航空電子系統(tǒng)112中由高保證軟件124或低保證軟件126所處理��。在一個實(shí)現(xiàn)方式中��,高保證軟件124被用于雙重檢查由低保證軟件126所執(zhí)行的一些或所有功能�����。該方法進(jìn)行到步驟430 :分析在地面單元處的AMAC以驗(yàn)證上行消息接收的完整性�。在一個實(shí)施例中,由完整性檢查網(wǎng)站來分析AMAC以證實(shí)該AMAC與上行消息相對應(yīng)�����,表明了由上行消息所攜帶的文件在遠(yuǎn)程交通工具處被正確地接收����,并且表面了 AMAC本身尚沒有被更改�����。當(dāng)對該AMAC的分析證實(shí)了上行消息接收的完整性(在步驟435被檢查)時��,方法進(jìn)行到步驟440 :傳輸(上行)認(rèn)證消息到遠(yuǎn)程交通工具�����。如上文所述�����,在替代的實(shí)施例中��,認(rèn)證消息可包括一個加密的口令��、數(shù)據(jù)庫字母�����。當(dāng)認(rèn)證消息在遠(yuǎn)程交通工具處被接收時�����,該方法進(jìn)行到步驟450 :通過加載該文件到遠(yuǎn)程交通工具處的儲存設(shè)備來接受該上行文件���。在一個實(shí)施例中����,可通過替代的通信信道來可選擇地實(shí)現(xiàn)在步驟440的將該認(rèn)證信息上行���。當(dāng)分析AMAC未能證實(shí)上行消息的成功傳輸時(如在方框435被證實(shí)),該方法進(jìn)行到步驟460 :拒絕上行文件��,其中遠(yuǎn)程交通工具不接受該文件以用于載入到存儲設(shè)備中���。在一個實(shí)施例中��,當(dāng)這種情況發(fā)生時�����,該文件被遠(yuǎn)程交通工具所丟棄�。在一個實(shí)施例中���,遠(yuǎn)程交通工具基于超時期限的屆滿而假設(shè)驗(yàn)證失敗���,在該超時期限期間尚未接收到認(rèn)證消息����。在另一個實(shí)施例中�,該方法提供了將消息上行到遠(yuǎn)程交通工具,該消息表明該文件是無效的�。這樣,該方法允許地面單元通過分析接收到的安全文件來監(jiān)測飛機(jī)上的數(shù)據(jù)加載事件���。
在又一個實(shí)施例中�,飛機(jī)包括外場可更換單元(LRU)�,其耦合到航空電子系統(tǒng)或在航空電子系統(tǒng)內(nèi)部。該LRU被預(yù)加載有供地面站使用的共享密鑰�。使用這個共享密鑰,該LRU為上行消息中的文件計(jì)算MAC�����,并且將該MAC與由地面單元提供的MAC進(jìn)行比較��,以確認(rèn)該文件是有效的�����。當(dāng)該文件有效時�����,該LRU命令航空電子系統(tǒng)加載該文件。圖5是說明了本發(fā)明的一個實(shí)施例的又一方法500的流程圖�。在圖5的方法的一個實(shí)現(xiàn)方式中,地面單元包括地面單元140���,以及遠(yuǎn)程交通工具包括飛機(jī)110上的航空電子系統(tǒng)112��。在該實(shí)施例中,地面單元不執(zhí)行有效性證實(shí)��。而是����,該地面單元和遠(yuǎn)程交通工具均被預(yù)加載有鍵控散列函數(shù)和口令以用于計(jì)算消息認(rèn)證碼。該方法開始于步驟510 :獲取用于傳輸?shù)竭h(yuǎn)程交通工具的文件�����。在一個實(shí)施例中�,用于傳輸?shù)奈募傻孛鎲卧伞T谝粋€實(shí)施例中����,地面單元作為完整性檢查網(wǎng)站和一個數(shù)據(jù)庫網(wǎng)站的主機(jī)���。在一個這樣的實(shí)施例中,數(shù)據(jù)庫網(wǎng)站包括用于生成����、建立、或以其他方式獲得文件的功能���,這些文件要被上載到遠(yuǎn)程交通工具����。在其他實(shí)施例中��,用于傳輸?shù)奈募傻孛鎲卧缤ㄟ^安全的網(wǎng)絡(luò)連接從外部源所接收��,或諸如通過光盤在本地加載��。
該方法進(jìn)行到步驟520 :從用于傳輸?shù)奈募傻谝幌⒄J(rèn)證碼����、用于該消息認(rèn)證碼的第一確認(rèn)消息認(rèn)證碼、和用于該第一消息認(rèn)證碼和第一確認(rèn)消息認(rèn)證碼的第一循環(huán)冗余校驗(yàn)(CRC)�����。S卩,CRC值基于第一 MAC和第一 AMAC兩者一起來被計(jì)算���。在一個實(shí)施例中��,方框520的功能通過在地面單元處由該完整性檢查網(wǎng)站所執(zhí)行���。該方法進(jìn)行到步驟530,包括將上行消息上行到遠(yuǎn)程交通工具����,該上行消息包括用于傳輸?shù)奈募⒌谝?AMAC和第一CRC���。在遠(yuǎn)程交通工具處接收上行消息時,方法進(jìn)行到步驟535 :遠(yuǎn)程交通工具從該文件計(jì)算第二 MAC�,從該第二 MAC計(jì)算第二 AMAC,和從該第二 MAC和該第二 AMAC計(jì)算第二 CRC��。S卩�����,該第二 CRC值基于第二 MAC和第二 AMAC兩者一起來被計(jì)笪
o該方法進(jìn)行到步驟540 :通過將在上行消息中接收的該第一 AMAC與該第二 AMAC進(jìn)行比較來驗(yàn)證該上行消息。當(dāng)驗(yàn)證該上行消息證實(shí)了該上行消息的成功傳輸時(在步驟545被檢查)�,該方法進(jìn)行到步驟550 :接受該上行文件。當(dāng)驗(yàn)證該上行消息未能證實(shí)該上行消息的成功傳輸時(如在步驟545被證實(shí))��,該方法進(jìn)行到步驟560 :拒絕該上行文件���。在一個實(shí)施例中�����,拒絕上行文件包括丟棄該文件����。即���,該遠(yuǎn)程交通工具不會永久地加載或以其他方式利用該文件�����。圖5的該方法的一個特定的優(yōu)點(diǎn)是���,該方法可以在地面單元和遠(yuǎn)程交通工具之間不具有雙向通信的情況下來執(zhí)行。即����,無需下行來驗(yàn)證上行消息中提供的文件的完整性���。在一個實(shí)施例中,該遠(yuǎn)程交通工具的航空電子系統(tǒng)中的高保證軟件(例如����,等級A)生成第二 CRC,并將該第二 CRC與第一 CRC進(jìn)行比較����,而低保證軟件(例如,等級D)生成該第二 MAC和AMAC���。在這個實(shí)施例中���,高保證軟件檢查以確保由低級保證軟件成生的第二MAC和AMAC是正確的。在另一個實(shí)施例中���,該遠(yuǎn)程交通工具的航空電子系統(tǒng)中的低保證軟件將第二 AMAC針對第一 AMAC進(jìn)行檢查以用于驗(yàn)證。在這樣的實(shí)施例中��,如果兩者之間有沖突���,則該文件在那一點(diǎn)上被拒絕�,并且該文件的數(shù)據(jù)不被加載。對于高保證軟件來說不需要比較這些CRC�����。在上文圖2-5中提供的方法的一些實(shí)施例中����,在地面單元和遠(yuǎn)程交通工具之間上行和下行消息的傳輸沒有被加密。在其他實(shí)施例中����,一些或全部的上行和下行消息被加密。此外�����,在上文方法的一些實(shí)施例中���,低保證系統(tǒng)或軟件的行為由高保證系統(tǒng)或軟件所交叉檢查��。應(yīng)當(dāng)理解的是����,本發(fā)明的實(shí)施例適用于航空電子設(shè)備以外的情形,包括從一個設(shè)備到另一個設(shè)備進(jìn)行安全文件的任何傳輸��。例如�,此處所描述的方法和系統(tǒng)適用于下載文件的任何有線或無線單元。此處所描述的實(shí)施例提供了如下驗(yàn)證如果該機(jī)載系統(tǒng)已經(jīng)接收正確的文件并正確地計(jì)算上載的文件的簽名��,則已經(jīng)上載正確文件���,這是通過向機(jī)載系統(tǒng)發(fā)送只能由機(jī)載系統(tǒng)檢查的認(rèn)證消息來完成的��。此處所描述的實(shí)施例還提供了用于地面單元監(jiān)測飛機(jī)上的數(shù)據(jù)加載事件的方式�。
可用若干裝置來實(shí)現(xiàn)本說明書中所討論的系統(tǒng)和方法��。這些裝置包括����,但不限于,數(shù)字計(jì)算機(jī)系統(tǒng)�����、微處理器�����、通用計(jì)算機(jī)�����、可編程控制器和現(xiàn)場可編程邏輯門陣列(FPGA)或者專用集成電路(ASIC)�。因此,本發(fā)明的其他實(shí)施例是駐存在計(jì)算機(jī)可讀介質(zhì)上的程序指令����,當(dāng)通過這種裝置實(shí)現(xiàn)該程序指令時,該程序指令能夠?qū)崿F(xiàn)本發(fā)明的實(shí)施例�����。上文描述的用于存儲器和儲存設(shè)備的計(jì)算機(jī)可讀介質(zhì)包括任何形式的物理計(jì)算機(jī)存儲器儲存設(shè)備����。這種物理計(jì)算機(jī)存儲器儲存設(shè)備的例子包括,但不限于�����,穿孔卡��、固件�、磁盤或磁帶��、光學(xué)數(shù)據(jù)存儲系統(tǒng)���、閃速只讀存儲器(ROM)、非易失性ROM�、可編程ROM(PROM)、可擦除可編程ROM(EPR0M)���、隨機(jī)存取存儲器(RAM)�����、或任何其他形式的永久�、半永久或臨時存儲器存儲系統(tǒng)或設(shè)備��。編程指令包括�,但不限于,由計(jì)算機(jī)系統(tǒng)處理器所執(zhí)行的計(jì)算機(jī)可執(zhí)行指令���,以及硬件描述語言����,例如超高速集成電路(VHSIC)硬件描述語言(VHDL)。盡管已經(jīng)在此說明和描述了特定的實(shí)施例����,本領(lǐng)域技術(shù)普通人員將理解的是����,被考慮來實(shí)現(xiàn)相同目的的任何布置,可對示出的特定實(shí)施例進(jìn)行替換���。本申請旨在涵蓋本發(fā)明的任何改編或變化��。因此���,本發(fā)明顯然旨在僅由權(quán)利要求及其等價物來限定。
權(quán)利要求
1.一種用于傳輸文件到遠(yuǎn)程交通工具(110)的系統(tǒng)�,所述系統(tǒng)包括 遠(yuǎn)程交通工具(Iio)上機(jī)載的通信系統(tǒng)(130); 遠(yuǎn)程交通工具(110)上機(jī)載的至少一個處理器(114)����,耦合到通信系統(tǒng)(130);以及包括數(shù)據(jù)庫的至少一個存儲設(shè)備(120),所述至少一個存儲設(shè)備(120)進(jìn)一步包括計(jì)算機(jī)可執(zhí)行指令�����,所述計(jì)算機(jī)可執(zhí)行指令在由至少一個處理器(114)所執(zhí)行時����,實(shí)現(xiàn)數(shù)據(jù)檢查功能過程(128)��,該數(shù)據(jù)檢查功能過程包括 從由通信系統(tǒng)(130)接收到的上行文件在遠(yuǎn)程交通工具(110)處生成安全文件����; 使用所述安全文件驗(yàn)證所述上行文件的完整性�����; 當(dāng)所述上行文件的完整性得到證實(shí)時���,接受所述上行文件��;以及 當(dāng)所述上行文件的完整性未被證實(shí)時����,拒絕所述上行文件�����。
2.權(quán)利要求I的系統(tǒng)����,其中所述數(shù)據(jù)檢查功能性過程(128)進(jìn)一步包括 將所述安全文件下行到地面單元(140);以及 基于由所述通信系統(tǒng)(130)從所述地面單元(140)接收認(rèn)證消息���,確定所述上行文件的完整性是否被驗(yàn)證; 所述地面單元(140)包括完整性檢查軟件(154)��,所述完整性檢查軟件(154)實(shí)現(xiàn)以下過程�,包括 從所述上行文件計(jì)算第二安全文件��;以及 通過將所述第二安全文件與從飛機(jī)下行的安全文件進(jìn)行比較來執(zhí)行完整性檢查�����。
3.權(quán)利要求I的系統(tǒng)�����,所述數(shù)據(jù)檢查功能性過程(128)進(jìn)一步包括下列步驟之一 (i)接收用于所述上行文件的消息認(rèn)證碼�, 其中從上行文件生成安全文件包括,當(dāng)接收所述上行文件和所述消息認(rèn)證碼時�,在所述遠(yuǎn)程交通工具(110)處計(jì)算確認(rèn)消息認(rèn)證碼; (ii)經(jīng)由通信系統(tǒng)(130)接收用于所述上行文件的消息認(rèn)證碼����; 其中從所述上行文件生成安全文件包括,在所述遠(yuǎn)程交通工具(110)處計(jì)算用于所述上行文件的第二消息認(rèn)證碼,以及 其中使用所述安全文件驗(yàn)證所述上行文件的完整性包括���,通過將所述第二消息認(rèn)證碼與經(jīng)由所述通信系統(tǒng)(130)接收到的所述消息認(rèn)證碼進(jìn)行比較來執(zhí)行完整性檢查�����;或 (iii)接收用于所述上行文件的第一消息認(rèn)證碼�����、用于所述消息認(rèn)證碼的第一確認(rèn)消息認(rèn)證碼�����、和用于所述第一消息認(rèn)證碼和所述確認(rèn)消息認(rèn)證碼的第一循環(huán)冗余校驗(yàn)����,以及 其中從所述上行文件生成安全文件包括����,從所述上行文件計(jì)算第二消息認(rèn)證碼,從所述第二消息認(rèn)證碼計(jì)算第二確認(rèn)消息認(rèn)證碼���,以及從所述第二消息認(rèn)證碼和第二確認(rèn)消息認(rèn)證碼計(jì)算第二循環(huán)冗余校驗(yàn)���; 其中使用所述安全文件驗(yàn)證所述上行文件的完整性包括�����,通過將所述第一循環(huán)冗余校驗(yàn)與所述第二循環(huán)冗余校驗(yàn)進(jìn)行比較來驗(yàn)證所述上行文件���,或者,其中使用所述安全文件驗(yàn)證所述上行文件的完整性包括��,通過將所述第二確認(rèn)消息認(rèn)證碼針對所述第一確認(rèn)消息認(rèn)證碼進(jìn)行比較來驗(yàn)證所述上行文件����。
全文摘要
提供了用于安全上載文件到諸如飛機(jī)的交通工具上的方法和系統(tǒng)����。在一個實(shí)施例中,用于傳輸文件到遠(yuǎn)程交通工具的系統(tǒng)包括遠(yuǎn)程交通工具上機(jī)載的通信系統(tǒng)�����;耦合到通信系統(tǒng)的遠(yuǎn)程交通工具上機(jī)載的至少一個處理器��;以及包括數(shù)據(jù)庫的至少一個存儲設(shè)備�,所述至少一個存儲設(shè)備進(jìn)一步包括計(jì)算機(jī)可執(zhí)行指令�����,該計(jì)算機(jī)可執(zhí)行指令在由至少一個處理器所執(zhí)行時��,實(shí)現(xiàn)數(shù)據(jù)檢查功能性過程��,該數(shù)據(jù)檢查功能過程包括從由通信系統(tǒng)接收到的上行文件在遠(yuǎn)程交通工具處生成安全文件��;使用所述安全文件驗(yàn)證所述上行文件的完整性�;當(dāng)所述上行文件的完整性得到證實(shí)時��,接受所述上行文件����;以及當(dāng)所述上行文件的完整性未被證實(shí)時,拒絕所述上行文件��。
文檔編號H04L29/06GK102708315SQ20121010570
公開日2012年10月3日 申請日期2012年2月20日 優(yōu)先權(quán)日2011年2月18日
發(fā)明者D·P·約翰遜, J·努塔羅 申請人:霍尼韋爾國際公司