CN107066899A - 用于安全上载文件到飞机上的方法和系统 - Google Patents
用于安全上载文件到飞机上的方法和系统 Download PDFInfo
- Publication number
- CN107066899A CN107066899A CN201611126429.0A CN201611126429A CN107066899A CN 107066899 A CN107066899 A CN 107066899A CN 201611126429 A CN201611126429 A CN 201611126429A CN 107066899 A CN107066899 A CN 107066899A
- Authority
- CN
- China
- Prior art keywords
- file
- remote vehicle
- message authentication
- authentication code
- integrality
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Bioethics (AREA)
- Medical Informatics (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Small-Scale Networks (AREA)
Abstract
提供了用于安全上载文件到诸如飞机的交通工具上的方法和系统。在一个实施例中,用于传输文件到远程交通工具的系统包括:远程交通工具上机载的通信系统;耦合到通信系统的远程交通工具上机载的至少一个处理器;以及包括数据库的至少一个存储设备,所述至少一个存储设备进一步包括计算机可执行指令,该计算机可执行指令在由至少一个处理器所执行时,实现数据检查功能性过程,该数据检查功能过程包括:从由通信系统接收到的上行文件在远程交通工具处生成安全文件;使用所述安全文件验证所述上行文件的完整性;当所述上行文件的完整性得到证实时,接受所述上行文件;以及当所述上行文件的完整性未被证实时,拒绝所述上行文件。
Description
本申请是申请号为201210105701.2,申请日为2012年2月20日,发明名称为“用于安全上载文件到飞机上的方法和系统”的分案申请。
背景技术
飞机操作员和拥有者正越来越多地利用现有的和新兴的基于无线和互联网的连接来远程地上载数据到飞机。这些数据在整个飞机使用期限的各个时间被加载到飞机的航空电子系统中,并且这些数据通常必须是安全的。远程地上载文件使飞机易受下载到恶意的数据的可能性,攻击者上载该恶意的数据替换了正确的数据。高保证软件可以检测到一些恶意的数据;然而,这种软件通常是昂贵的。
通常情况下,数据库文件连同其校验和一起被上载到飞机。机载系统计算该数据库的第二校验和,并将该第二校验和与上载的校验和进行比较。两个校验和之间的不一致可表明噪音或错误已经发生。然而,这种系统和方法对潜在的攻击是开放的。例如,攻击者可以尝试改变数据库文件并提供相应的校验和,或以不变更原始校验和的方式来改变数据库。在这种情况下,当机载系统接收改变的数据库文件和其相应的校验和时,机载系统无法检测到数据库文件被更改。因此,上载文件到飞机上的当前的方法不能检测一些形式的篡改或恶化。
依据阅读和理解说明书,以上陈述的原因和以下陈述的其他原因对本领域技术人员来说将变得显而易见,在本领域存在对于提供安全上载飞机上机载的数据的方法和系统的需要。
发明内容
本发明的实施例提供了用于通过数据流模型进行类型和范围传播的方法和系统,并且将通过阅读和学习随后的说明书而被理解。
提供了安全上载文件到诸如飞机的交通工具上的方法和系统。在一个实施例中,用于传输文件到远程交通工具的系统包括:远程交通工具上机载的通信系统;耦合到通信系统的远程交通工具上机载的至少一个处理器;以及包括数据库的至少一个存储设备;所述至少一个存储设备进一步包括计算机可执行指令,该计算机可执行指令在由至少一个处理器所执行时,实现数据检查功能过程,该数据检查功能过程包括:从由通信系统接收到的上行文件在远程交通工具处生成安全文件;使用所述安全文件验证所述上行文件的完整性;当所述上行文件的完整性得到证实时,接受所述上行文件;以及当所述上行文件的完整性未被证实时,拒绝所述上行文件。
附图说明
当鉴于考虑优选的实施例的描述和随后的附图时,本发明实施例能够被更容易地理解,以及其进一步的优点和使用更容易地显而易见,其中:
图1是根据本发明一个实施例的用于安全上载文件到飞机上的系统的框图;
图2是根据本发明一个实施例的用于安全上载文件到远程交通工具上的方法的流程图;
图3示出了根据图2的方法的上行和下行消息的示例性流程图;
图4是根据本发明一个实施例的用于使用消息认证码(MAC)来验证上行文件的方法的流程图;以及
图5是根据本发明另一个实施例的用于从地面单元到远程交通工具验证上行文件的方法的流程图。
按照一般惯例,各种描述的特征并不是按比例绘制的,而是根据强调有关本发明的特征来绘制的。贯穿附图和全文,相同的参考字符指示相同的元件。
具体实施方式
在随后的详细描述中,参考了附图,所述阹构成在此的一部分,并其中借助本发明可实施的特定的说明性实施例来示出。这些实施例被充分详细地描述,以使本领域技术人员能够实施本发明,以及应当理解的是,在不偏离本发明的范围的情况下,也可利用其他的实施例并可作出逻辑、机械和电气的改变。因此,随后的详细描述不被理解为限制意义。
此处描述的一些实施例提供了用于通过易遭受外部攻击的系统(例如通过无线连接或在互联网上)远程地、安全地上载文件的系统和方法。这些实施例确保上载的文件是原始文件的有效副本或是原始文件的相关文件。这是通过验证上载的文件的完整性来实现的。在一些实施例中,上载的文件的完整性通过使用一个或多个远程完整性检查网站、外场可更换单元(LRU)、或高保证的机载系统来被验证。
图1是根据本发明的一个实施例的安全上载文件到飞机110的系统100的框图。如在此所使用的,术语“飞机”是指任何航空交通工具,例如,但不限于,飞机、直升机、或其他飞行器。地面单元140包括具有处理和通信能力的设备或系统,并且远离飞机110。换句话说,地面单元140不是飞机110机载安装的系统。
飞机110包括航空电子系统112,该航空电子系统112与通信系统130通信耦合。航空电子系统112包括航空电子处理器114、存储器116、和至少一个数据存储设备120,该至少一个数据存储设备用于存储由这种计算机可执行应用所使用的计算机可执行应用指令和数据。尤其是,存储设备120包括数据库122,该数据库122尤其存储了有关飞行信息和飞机规格的信息,包括例如飞行计划、导航信息和诸如飞机110的当前重量的飞机参数。存储设备120还存储高保证软件124和低保证软件126(在此共同称为“软件124和126”),其包括计算机可执行程序指令。如图1所说明的,存储设备120进一步包括用于数据检查功能128的可执行代码,其可作为高保证软件124的一部分、低保证软件126的一部分、或两者兼而有之的一部分被实现。
航空电子处理器114执行高保证软件124和低保证软件126,以使航空电子处理器114执行在此所描述的处理,就如航空电子系统112执行一样,以便于从地面单元140安全地使上行文件到该航空电子系统112。
依据阅读本说明书,本领域的普通技术人员将理解,航空电子应用中使用的软件应服从有关该软件的安全性和可靠性的政府规章。表明一段特定的航空电子软件是如何顺从那些规章的典型手段是,具备详述该软件的可靠性的认证等级。因而,高保证软件124比低保证软件126具有更高的认证等级。作为此处使用的术语,认证等级表明在软件设计、验证和批准方面所应用的质量保证等级,以确保所述软件将以预期的可靠性等级来执行。例如,认证等级经常被用于识别满足适航性要求的软件。
对于此处描述的一些实施例,由航空无线电技术委员会(RTCA)公司出版的标准DO-178B《机载系统和设备合格审定中的软件考虑》,被用于指定软件125和126的认证等级。DO-178B定义了五个软件设计保证等级(DAL),从最高等级A(最可靠)开始一直到最低等级E(最不可靠)。每个等级由故障状况的影响所定义,该故障状况由在飞机、机组人员和乘客上具有的异常软件行为所引起。例如,被指定的等级A软件的软件的故障是灾难性的(故障可能引起坠落),等级B是危险的(在安全或性能方面有重大负面影响),等级C是较重的(故障是重大的,但比等级B的故障具有更小的影响)。等级D是较轻的(故障是明显的),以及等级E是没有影响的(故障在安全、飞机操作,或机组人员工作量方面没有影响)。通常,由于在文档化、构建和测试代码方面花费了额外时间,高保证等级的软件在设计和生产方面相比低保证等级的软件更加昂贵。虽然这些航空电子认证等级是以航空电子为导向的,但它们也为其他系统的开发提供了一套方便的标准和目标。这种标准可应用于任何系统,不论是否需要正式认证,正是认证例如是从政府机构所获得的。
在图1中所示的实施例的至少一种实现方式中,高保证软件124包括具有从A到C的认证等级的软件,而低保证软件126包括认证等级D和E。通常,相比低保证软件126,高保证软件124被用于更关键的飞行控制系统。低保证软件126被用于维护功能,包括例如,上载用于存储在数据库122中的文件。或者,高保证软件124或低保证软件可潜在地使用存储在数据库122中的信息。如下文更详细讨论的,在将那些文件加载到数据库122中之前,数据检查功能128运行以验证从地面单元140上行的文件的完整性。
提供标准DO-178B仅出于示例目的。即,对于其他的实施例,使用其他的标准和/或认证等级。在系统100的另外的实施例中,航空电子系统112中的软件124和126无需被明确认证以满足特定的认证等级,或者可替代地,可被认证为相同的认证等级。例如,用于航空电子系统112的所有的软件应用,理论上都可被认证为DO-178B等级A,但基于软件124和126执行的功能的关键性,软件124和126之间仍然被分离。本领域的普通技术人员在阅读本说明书时将理解,航空电子系统112可进一步包括软件124和126之外的附加的软件,该附加的软件具有不同的认证等级。
在一些实施例中,硬件划分将高保证软件124与低保证软件126分开。在一个这样的实施例中,航空电子处理器114实际上包括两个单独的处理设备(例如,两个不同的微处理器),其中第一处理设备运行高保证软件124,而第二处理设备运行低保证软件126。航空电子系统112的一个实现方式包括,集成模块化航空电子设备(IMA),其是能够支持不同临界等级的许多应用的计算网络。
如图1中所说明的,航空电子系统112进一步包括用户接口118和通信系统130。用户接口118对用户(如飞行员或机组成员)提供与航空电子系统112相交互的功能。在一个实施例中,用户接口118是人机接口(HMI),该人机接口包括一组屏幕,用于接收从地面单元140上行的文件,验证所接收的文件的完整性,以及拒绝接收的文件或将其存储在数据库122中。在其它的实施例中,航空电子系统112在没有用户输入的情况下执行此处所描述的方法。
通信系统130包括无线通信设备,诸如操作在一个或多个频带的射频(RF)收发器,例如,高频(HF)、甚高频(VHF)、或超高频(UHF),或使用移动电话技术。通信系统130可选择地包括其他基于IP的通信技术,以供与互联网数据链路(例如,但不限于Wi-Fi)一起使用,并可包括用于直接有线连接的物理以太网协议接口。此外,通信系统130可在飞机110上被用于飞机数据链路通信系统,飞机数据链路通信系统例如但不限于,航空电信网(ATN)、未来空中导航系统(FANS)、和飞机通信寻址和报告系统(ACARS)。
地面单元140包括处理器142、存储器146、和包括地面软件152和完整性检查软件154的存储设备150、以及通信系统156,其中任何一个均可类似于它们在飞机110中的配对元件而被实施。地面软件152包括促进使文件上行到飞机110的功能,文件诸如是数据库文件。地面软件152包括计算机可执行指令,该计算机可执行指令在由处理器142所执行时,执行下文描述的归属于地面单元的功能。这种功能可包括获取和/或生成数据库文件、作为一个或多个网站的主机或访问一个或多个网站、得到安全文件、发起文件传输和验证文件传输。这些功能在下文被更具体地描述。飞机110和地面单元140通过各自的通信系统130和156互相通信。
图2是根据本发明的一个实施例的用于安全上载文件到远程交通工具的方法的流程图。在该方法一个实施方式中,地面单元包括上文讨论的地面单元140,并且远程交通工具包括飞机110上的航空电子系统112。在一个实施例中,地面单元作为完整性检查网站和数据库网站的主机。完整性检查网站包括用于通过验证文件的完整性来证实上载到远程交通工具的文件的真实性的功能。数据库网站包括用于生成、建立、或以其他方式获得文件的功能,该文件要被上载到远程交通工具。在一些实施例中,由完整性检查网站和数据库网站所提供的功能分布在多个物理设备上,并可包括冗余系统以在不利状况下提高可靠性,不利状况诸如是当试图攻击以使远程交通工具上的系统恶化时。
该方法开始于步骤210:获取用于传输到远程交通工具的文件。在一个实施例中,用于传输的文件由地面单元生成。在其他实施例中,用于传输的文件由地面单元从外部源接收,例如通过安全的网络连接,或诸如通过光盘的本地加载。在一个实施例中,用于传输的文件包括用于上载到飞机110上的数据库122上的数据库文件。
该方法进行到步骤220,包括从用于传输的文件计算出第一安全文件。在一个实施例中,地面单元使用完整性检查网站从该文件计算出第一地面安全文件。如此处使用的术语,“安全文件”包括文件或代码,该文件或代码被用来验证传送的文件是否与原始文件相关或是原始文件的副本。安全文件的例子包括用散列函数计算的散列码、加密的口令、共享密钥、校验和或循环冗余校验(CRC)、签名、消息认证码(MAC),等等。在一个实施例中,使用来自美国国家标准与技术研究院(NIST)的标准散列函数来计算散列码。
该方法进行到步骤230:将用于传输的文件上行到远程交通工具。如此处使用的,术语“上行”是指从地面单元传输到远程交通工具,而“下行”是指从远程交通工具传输到地面单元。在一个实施例中,通过无线通信链路来执行上行。在其他的实施例中,诸如在飞机110已经降落的地方,可通过地面单元和远程交通工具之间的有线连接来执行上行。在这一点,远程交通工具已经从地面单元接收到该文件,但是因为该文件还尚未得到验证,因此远程交通工具还不能利用文件中的信息。在一个实施例中,该文件暂时存储在存储器中,但尚未被加载到永久存储器中,直到完成以下所描述的验证。
该方法进行到步骤240:从在远程交通工具处接收的用于传输的文件生成第二安全文件,并进行到步骤250:将第二安全文件下行到地面单元。
该方法然后进行到步骤260:通过将第一安全文件与第二安全文件相比较来执行完整性检查。在一个实施例中,通过远程完整性检查网站来执行完整性检查。在一个实施例中,完整性检查验证第一和第二安全文件是否匹配,或验证是否以其它方式按预期的相关联。当在远程交通工具处接收的文件的完整性被验证(在方框270证实)时,该方法进行到步骤272:将认证消息上行到远程交通工具。如这里所用的,认证消息是表明了接收的文件被验证为原始文件的副本的任何消息。
在一个实施例中,认证消息包括加密的口令。例如,远程交通工具将使用共享密钥来解密该口令,以确定接收到的文件是否是有效的。在另一个实施例中,认证消息是数据库字母(“db字母”),诸如那些用于飞机认证的字母。该db字母表明了正确的文件已被被上载,并作为用于远程交通工具加载该文件的“提货单”或“继续执行的许可”。在这样的实施例中,远程交通工具和地面单元不需要共享密钥或计算或校验散列。当在远程交通工具处接收到认证消息时,该方法进行到步骤274:接受上行文件。也就是说,远程交通工具将该文件加载到存储设备120和/或数据库122。
当在远程交通工具处接收到的文件的完整性验证失败(如在方框270证实)时,该过程进行到276:拒绝将上行文件存储在至少一个存储设备上。也就是说,远程交通工具不加载供远程交通工具所使用的文件。在一个实施例中,当发生这种情况时,该文件被远程交通工具丢弃。在一个实施例中,远程交通工具基于超时期限的届满而假设验证已经失败,在该超时期限期间尚未接收到认证消息。在另一个实施例中,该方法提供了将消息上行到远程交通工具,该消息表明了该文件是无效的。这样,该方法允许地面单元通过分析接收到的安全文件来监测飞机上的数据加载事件。如果该安全文件是不正确的,则有航空电子系统正具有错误的可能性。在这种情况下,地面单元可以给远程交通工具或用户发送通知系统或用户存在错误的指示符。此外,从远程交通工具接收到非预期的安全文件能够表明,加载文件到远程交通工具上的授权尝试何时已经被尝试。
图3说明了上行和下行通信的流程图,比如根据图2的方法200所发生的那些。如上所述,在一个实施例中,地面单元已经接入到完整性检查网站和数据库网站。数据库网站生成要被加载在远程交通工具上的数据库文件。在一些实施例中,由数据库网站生成的数据库文件(一个)被传输到完整性检查网站,并从那里被传输到远程交通工具。在一个这样的实施例中,远程交通工具链接到完整性检查网站,以便发起文件的上行。在其它实施例中,地面单元直接向远程交通工具无线传输数据库文件。
如图3所说明的,上行传输302源自地面单元340(其在一个实施例中包括地面单元140),并被传输到远程交通工具330(其在一个实施例中包括飞机110上的航空电子系统112)。从上行传输的内容在地面单元340处生成第一安全文件。当接收上行传输302时,在远程交通工具330处的数据检查功能(诸如128)从上行文件生成第二安全文件,并发送第二安全文件到地面单元340作为下行传输304。
完整性检查网站接收第二安全文件,并将其与第一安全文件进行比较。如果文件按预期相对应,上载的文件被验证,并且地面单元340通过上行传输306将认证消息传输到远程交通工具330。在一个实施例中,认证消息为飞机110提供指令,以基于比较第一和第二安全文件存储上行文件。另外,上行传输306可改为表明该文件的完整性验证失败,在这种情况下,远程交通工具330丢弃其通过上行传输302接收到的文件。在一个实施例中,当远程交通工具330未能在传输第二安全文件的预定时间段内接收认证消息时,则假定通过上行传输302接收到的文件是无效的,并丢弃该文件。在一个实施例中,可通过替代的通信通道可选择地传输该上行传输306。
图4是说明了本发明的一个实施例的方法400的流程图。方法400被绘制为使用消息认证码(MAC)来验证上行文件。如此处使用的,消息认证码或MAC,被定义为结合了共享密钥的键控(keyed)散列函数派生值。消息认证码通过允许接收拥有共享密钥以检测对消息内容的任何更改,来保护消息数据的完整性和真实性两者。此外,没有共享密钥,就不可能为消息伪造有效的消息认证码。在图4的方法的一个实现方式中,如同图2中描述的方法一样,地面单元包括地面单元140,以及远程交通工具包括飞机110上的航空电子系统112。
该方法开始于步骤410:传输上行消息到远程交通工具,上行消息包括用于传输的文件和认证该文件的消息认证码。在一个实施例中,地面单元作为完整性检查网站和数据库网站的主机。在该情况下,完整性检查网站包括为用于传输的文件声称消息认证码的功能。数据库网站包括用于生成、建立、或以其他方式获得该文件的功能,该文件要被上载到远程交通工具。
该方法进行到步骤420:在接收上行消息和消息认证码时,在远程交通工具处计算确认消息认证码(AMAC)。即,远程交通工具产生确认消息,该确认消息本身使用被附加到确认消息的键控散列函数派生值来认证。在一个实施例中,在方框410中与键控散列函数以及上行消息一起使用的共享密钥与用于生成AMAC的共享密钥相同。在其他实施例中,在方框410和420处使用不同的共享密钥。
在一个实施例中,如图1中所说明的,方框420通过数据检查功能128来执行。在该实施例的不同的实现方式中,上行消息的MAC和AMAC可以在航空电子系统112中由高保证软件124或低保证软件126所处理。在一个实现方式中,高保证软件124被用于双重检查由低保证软件126所执行的一些或所有功能。
该方法进行到步骤430:分析在地面单元处的AMAC以验证上行消息接收的完整性。在一个实施例中,由完整性检查网站来分析AMAC以证实该AMAC与上行消息相对应,表明了由上行消息所携带的文件在远程交通工具处被正确地接收,并且表面了AMAC本身尚没有被更改。当对该AMAC的分析证实了上行消息接收的完整性(在步骤435被检查)时,方法进行到步骤440:传输(上行)认证消息到远程交通工具。如上文所述,在替代的实施例中,认证消息可包括一个加密的口令、数据库字母。当认证消息在远程交通工具处被接收时,该方法进行到步骤450:通过加载该文件到远程交通工具处的储存设备来接受该上行文件。在一个实施例中,可通过替代的通信信道来可选择地实现在步骤440的将该认证信息上行。
当分析AMAC未能证实上行消息的成功传输时(如在方框435被证实),该方法进行到步骤460:拒绝上行文件,其中远程交通工具不接受该文件以用于载入到存储设备中。在一个实施例中,当这种情况发生时,该文件被远程交通工具所丢弃。在一个实施例中,远程交通工具基于超时期限的届满而假设验证失败,在该超时期限期间尚未接收到认证消息。在另一个实施例中,该方法提供了将消息上行到远程交通工具,该消息表明该文件是无效的。这样,该方法允许地面单元通过分析接收到的安全文件来监测飞机上的数据加载事件。
在又一个实施例中,飞机包括外场可更换单元(LRU),其耦合到航空电子系统或在航空电子系统内部。该LRU被预加载有供地面站使用的共享密钥。使用这个共享密钥,该LRU为上行消息中的文件计算MAC,并且将该MAC与由地面单元提供的MAC进行比较,以确认该文件是有效的。当该文件有效时,该LRU命令航空电子系统加载该文件。
图5是说明了本发明的一个实施例的又一方法500的流程图。在图5的方法的一个实现方式中,地面单元包括地面单元140,以及远程交通工具包括飞机110上的航空电子系统112。在该实施例中,地面单元不执行有效性证实。而是,该地面单元和远程交通工具均被预加载有键控散列函数和口令以用于计算消息认证码。
该方法开始于步骤510:获取用于传输到远程交通工具的文件。在一个实施例中,用于传输的文件由地面单元所生成。在一个实施例中,地面单元作为完整性检查网站和一个数据库网站的主机。在一个这样的实施例中,数据库网站包括用于生成、建立、或以其他方式获得文件的功能,这些文件要被上载到远程交通工具。在其他实施例中,用于传输的文件由地面单元例如通过安全的网络连接从外部源所接收,或诸如通过光盘在本地加载。
该方法进行到步骤520:从用于传输的文件生成第一消息认证码、用于该消息认证码的第一确认消息认证码、和用于该第一消息认证码和第一确认消息认证码的第一循环冗余校验(CRC)。即,CRC值基于第一MAC和第一AMAC两者一起来被计算。在一个实施例中,方框520的功能通过在地面单元处由该完整性检查网站所执行。
该方法进行到步骤530,包括将上行消息上行到远程交通工具,该上行消息包括用于传输的文件、第一AMAC和第一CRC。在远程交通工具处接收上行消息时,方法进行到步骤535:远程交通工具从该文件计算第二MAC,从该第二MAC计算第二AMAC,和从该第二MAC和该第二AMAC计算第二CRC。即,该第二CRC值基于第二MAC和第二AMAC两者一起来被计算。
该方法进行到步骤540:通过将在上行消息中接收的该第一AMAC与该第二AMAC进行比较来验证该上行消息。当验证该上行消息证实了该上行消息的成功传输时(在步骤545被检查),该方法进行到步骤550:接受该上行文件。当验证该上行消息未能证实该上行消息的成功传输时(如在步骤545被证实),该方法进行到步骤560:拒绝该上行文件。在一个实施例中,拒绝上行文件包括丢弃该文件。即,该远程交通工具不会永久地加载或以其他方式利用该文件。
图5的该方法的一个特定的优点是,该方法可以在地面单元和远程交通工具之间不具有双向通信的情况下来执行。即,无需下行来验证上行消息中提供的文件的完整性。
在一个实施例中,该远程交通工具的航空电子系统中的高保证软件(例如,等级A)生成第二CRC,并将该第二CRC与第一CRC进行比较,而低保证软件(例如,等级D)生成该第二MAC和AMAC。在这个实施例中,高保证软件检查以确保由低级保证软件成生的第二MAC和AMAC是正确的。
在另一个实施例中,该远程交通工具的航空电子系统中的低保证软件将第二AMAC针对第一AMAC进行检查以用于验证。在这样的实施例中,如果两者之间有冲突,则该文件在那一点上被拒绝,并且该文件的数据不被加载。对于高保证软件来说不需要比较这些CRC。
在上文图2-5中提供的方法的一些实施例中,在地面单元和远程交通工具之间上行和下行消息的传输没有被加密。在其他实施例中,一些或全部的上行和下行消息被加密。此外,在上文方法的一些实施例中,低保证系统或软件的行为由高保证系统或软件所交叉检查。
应当理解的是,本发明的实施例适用于航空电子设备以外的情形,包括从一个设备到另一个设备进行安全文件的任何传输。例如,此处所描述的方法和系统适用于下载文件的任何有线或无线单元。此处所描述的实施例提供了如下验证:如果该机载系统已经接收正确的文件并正确地计算上载的文件的签名,则已经上载正确文件,这是通过向机载系统发送只能由机载系统检查的认证消息来完成的。此处所描述的实施例还提供了用于地面单元监测飞机上的数据加载事件的方式。
可用若干装置来实现本说明书中所讨论的系统和方法。这些装置包括,但不限于,数字计算机系统、微处理器、通用计算机、可编程控制器和现场可编程逻辑门阵列(FPGA)或者专用集成电路(ASIC)。因此,本发明的其他实施例是驻存在计算机可读介质上的程序指令,当通过这种装置实现该程序指令时,该程序指令能够实现本发明的实施例。上文描述的用于存储器和储存设备的计算机可读介质包括任何形式的物理计算机存储器储存设备。这种物理计算机存储器储存设备的例子包括,但不限于,穿孔卡、固件、磁盘或磁带、光学数据存储系统、闪速只读存储器(ROM)、非易失性ROM、可编程ROM(PROM)、可擦除可编程ROM(EPROM)、随机存取存储器(RAM)、或任何其他形式的永久、半永久或临时存储器存储系统或设备。编程指令包括,但不限于,由计算机系统处理器所执行的计算机可执行指令,以及硬件描述语言,例如超高速集成电路(VHSIC)硬件描述语言(VHDL)。
尽管已经在此说明和描述了特定的实施例,本领域技术普通人员将理解的是,被考虑来实现相同目的的任何布置,可对示出的特定实施例进行替换。本申请旨在涵盖本发明的任何改编或变化。因此,本发明显然旨在仅由权利要求及其等价物来限定。
Claims (3)
1.一种用于验证上行到远程交通工具的文件的完整性的系统,所述系统包括:
所述远程交通工具上机载的通信系统,所述通信系统被配置为接收上行文件;
所述远程交通工具上机载的至少一个处理器,耦合到通信系统;以及
至少一个存储设备,耦合到所述至少一个处理器,所述至少一个存储设备包括处理器可执行指令,所述处理器可执行指令在由所述至少一个处理器所执行时,实现数据检查功能:
接收用于所述上行文件的第一消息认证码,用于所述消息认证码的第一确认消息认证码,以及用于所述第一消息认证码和所述第一确认消息认证码的第一循环冗余校验;
通过从关于所述上行文件和第一密钥的第一键控散列函数派生出值来根据所述上行文件计算第二消息认证码,通过从关于所述消息认证码和所述第一密钥或其它密钥之一的所述第一键控散列函数或其它键控散列函数之一派生出值来根据第二消息认证码计算第二确认消息认证码,以及根据第二消息认证码和第二确认消息认证码来计算第二循环冗余校验;
通过将所述第二确认消息认证码针对所述第一确认消息认证码进行比较来验证所述上行文件的完整性;
如果所述上行文件的完整性得到证实,接受所述上行文件;以及
如果所述上行文件的完整性未被证实,拒绝所述上行文件。
2.根据权利要求1所述的系统,其中所述远程交通工具是飞机。
3.根据权利要求1所述的系统,其中使用安全文件验证所述上行文件的完整性包括,通过将所述第一循环冗余校验与所述第二循环冗余校验进行比较来验证所述上行文件。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/030292 | 2011-02-18 | ||
| US13/030,292 US8881294B2 (en) | 2011-02-18 | 2011-02-18 | Methods and systems for securely uploading files onto aircraft |
| CN201210105701.2A CN102708315B (zh) | 2011-02-18 | 2012-02-20 | 用于安全上载文件到飞机上的方法和系统 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210105701.2A Division CN102708315B (zh) | 2011-02-18 | 2012-02-20 | 用于安全上载文件到飞机上的方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107066899A true CN107066899A (zh) | 2017-08-18 |
Family
ID=45655990
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611126429.0A Pending CN107066899A (zh) | 2011-02-18 | 2012-02-20 | 用于安全上载文件到飞机上的方法和系统 |
| CN201210105701.2A Active CN102708315B (zh) | 2011-02-18 | 2012-02-20 | 用于安全上载文件到飞机上的方法和系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210105701.2A Active CN102708315B (zh) | 2011-02-18 | 2012-02-20 | 用于安全上载文件到飞机上的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US8881294B2 (zh) |
| EP (1) | EP2490145A1 (zh) |
| CN (2) | CN107066899A (zh) |
| CA (1) | CA2768819A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110312256A (zh) * | 2018-03-27 | 2019-10-08 | 霍尼韦尔国际公司 | 用于实现外部设备与航空电子系统的连接性的系统和方法 |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2858003B1 (en) * | 2012-05-29 | 2018-10-10 | Toyota Jidosha Kabushiki Kaisha | Authentication system and authentication method |
| WO2015100675A1 (zh) * | 2013-12-31 | 2015-07-09 | 华为终端有限公司 | 一种网络配置方法、相关装置及系统 |
| US9811657B2 (en) * | 2014-06-06 | 2017-11-07 | The Boeing Company | Security information for software parts |
| CN105519028B (zh) * | 2015-07-01 | 2019-05-28 | 海能达通信股份有限公司 | 一种无线系统接入控制方法及装置 |
| US10083325B2 (en) * | 2015-11-16 | 2018-09-25 | The Boeing Company | Secure removable storage for aircraft systems |
| EP3283996B1 (en) * | 2016-01-21 | 2021-03-03 | Hewlett-Packard Enterprise Development LP | Software validation for untrusted computing systems |
| DE112016006810T5 (de) * | 2016-04-28 | 2019-01-24 | Mitsubishi Electric Corporation | Fahrzeugbordeinrichtung, Bodendaten-Managementeinrichtung, Boden-zu-Fahrzeug-Kommunikationssicherheitssystem und Boden-zu-Fahrzeugkommunikationsverfahren |
| US10819418B2 (en) * | 2016-04-29 | 2020-10-27 | Honeywell International Inc. | Systems and methods for secure communications over broadband datalinks |
| US10529150B2 (en) | 2016-06-30 | 2020-01-07 | Aviation Systems LLC | Remote data loading for configuring wireless communication unit for communicating engine data |
| US10470114B2 (en) | 2016-06-30 | 2019-11-05 | General Electric Company | Wireless network selection |
| US10467016B2 (en) | 2016-06-30 | 2019-11-05 | General Electric Company | Managing an image boot |
| US10819601B2 (en) | 2016-06-30 | 2020-10-27 | Ge Aviation Systems Llc | Wireless control unit server for conducting connectivity test |
| EP3264658A1 (en) * | 2016-06-30 | 2018-01-03 | Kamstrup A/S | Radio frequency communication system and method |
| US10444748B2 (en) | 2016-06-30 | 2019-10-15 | Ge Aviation Systems Llc | In-situ measurement logging by wireless communication unit for communicating engine data |
| US10200110B2 (en) | 2016-06-30 | 2019-02-05 | Ge Aviation Systems Llc | Aviation protocol conversion |
| US10681132B2 (en) | 2016-06-30 | 2020-06-09 | Ge Aviation Systems Llc | Protocol for communicating engine data to wireless communication unit |
| US10712377B2 (en) | 2016-06-30 | 2020-07-14 | Ge Aviation Systems Llc | Antenna diagnostics for wireless communication unit for communicating engine data |
| US10764747B2 (en) | 2016-06-30 | 2020-09-01 | Ge Aviation Systems Llc | Key management for wireless communication system for communicating engine data |
| US10318451B2 (en) | 2016-06-30 | 2019-06-11 | Ge Aviation Systems Llc | Management of data transfers |
| US9967172B2 (en) * | 2016-10-11 | 2018-05-08 | Panasonic Avionics Corporation | Methods and systems for content loading and offloading to and from a transportation vehicle |
| US10057803B2 (en) | 2016-10-28 | 2018-08-21 | Hewlett Packard Enterprise Development Lp | Wi-Fi adoption index |
| US10148653B2 (en) * | 2016-12-14 | 2018-12-04 | The Boeing Company | Authenticating an aircraft data exchange using detected differences of onboard electronics |
| CN106549847B (zh) * | 2016-12-16 | 2018-08-14 | 中国商用飞机有限责任公司北京民用飞机技术研究中心 | 一种新型综合模块化航电系统 |
| US10839401B2 (en) | 2017-01-20 | 2020-11-17 | Honeywell International Inc. | Apparatus and method for qualifying data automatically generated from an unqualified system |
| US10740186B2 (en) * | 2017-05-15 | 2020-08-11 | The Boeing Company | High data integrity processing system |
| US10097615B1 (en) * | 2017-06-13 | 2018-10-09 | Kitty Hawk Corporation | Method for vehicle data collection |
| FR3071946B1 (fr) * | 2017-10-03 | 2019-09-27 | Thales | Dispositif electronique et procede de surveillance de donnees stockees au sein d'un appareil avionique, programme d'ordinateur associe |
| US10819689B2 (en) | 2018-05-03 | 2020-10-27 | Honeywell International Inc. | Systems and methods for encrypted vehicle data service exchanges |
| US10715511B2 (en) | 2018-05-03 | 2020-07-14 | Honeywell International Inc. | Systems and methods for a secure subscription based vehicle data service |
| US10482768B1 (en) * | 2018-05-08 | 2019-11-19 | Denso International America, Inc. | Vehicle function impairment detection |
| US10776094B2 (en) * | 2018-07-29 | 2020-09-15 | ColorTokens, Inc. | Computer implemented system and method for encoding configuration information in a filename |
| US11290258B2 (en) | 2019-02-22 | 2022-03-29 | Panasonic Avionics Corporation | Hybrid cryptographic system and method for encrypting data for common fleet of vehicles |
| EP3716115A1 (en) | 2019-03-29 | 2020-09-30 | General Electric Company | Reporting and configuration enhancements of on-board certified software |
| EP3716114A1 (en) * | 2019-03-29 | 2020-09-30 | General Electric Company | Method and system for remote load of on-board certified software |
| EP3852336B1 (en) | 2020-01-17 | 2023-08-02 | GE Aviation Systems LLC | System for connecting one or more applications of an electronic device to one or more avionics systems |
| CN113176887B (zh) * | 2021-02-05 | 2023-09-29 | 西安宇飞电子技术有限公司 | 一种无人机数据链终端的无线固件升级方法 |
| CN113485455B (zh) * | 2021-08-23 | 2022-09-06 | 一飞(海南)科技有限公司 | 编队舞步文件状态信息回传后台的方法、系统、终端、无人机 |
| EP4362363A1 (de) * | 2022-10-28 | 2024-05-01 | Siemens Mobility GmbH | Verfahren und systeme zum bearbeiten von nutzdaten |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7086089B2 (en) * | 2002-05-20 | 2006-08-01 | Airdefense, Inc. | Systems and methods for network security |
| US20070027589A1 (en) * | 2001-02-13 | 2007-02-01 | Brinkley Roger R | Methods and apparatus for wirelss upload and download of aircraft data |
| CN1918928A (zh) * | 2004-02-18 | 2007-02-21 | 诺基亚公司 | 用于在e-dch中执行tfci可靠性检测的方法和设备 |
| CN1991779A (zh) * | 2005-12-30 | 2007-07-04 | 联想(北京)有限公司 | 基于安全芯片的防病毒方法 |
| CN101039186A (zh) * | 2007-05-08 | 2007-09-19 | 中国科学院软件研究所 | 系统日志的安全审计方法 |
| CN101072096A (zh) * | 2007-05-31 | 2007-11-14 | 北京威讯紫晶科技有限公司 | 一种无线传感器网络中数据安全传输的方法 |
| US20090198393A1 (en) * | 2008-02-06 | 2009-08-06 | Sims Iii John Benjamin | Method and apparatus for loading software aircraft parts |
| CN101573911A (zh) * | 2006-03-29 | 2009-11-04 | 空中客车法国公司 | 发送和接收数据的方法,尤其用于飞行器和地面基地之间的安全交换,相关设备以及装备有这种设备的飞行器 |
| CN101932997A (zh) * | 2007-11-27 | 2010-12-29 | 波音公司 | 分配可加载软件飞行器部件(lsap)的方法和设备 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0112944B1 (en) * | 1982-12-30 | 1987-03-04 | International Business Machines Corporation | Testing the validity of identification codes |
| US5475826A (en) | 1993-11-19 | 1995-12-12 | Fischer; Addison M. | Method for protecting a volatile file using a single hash |
| US6047165A (en) | 1995-11-14 | 2000-04-04 | Harris Corporation | Wireless, frequency-agile spread spectrum ground link-based aircraft data communication system |
| US6438468B1 (en) | 2000-11-28 | 2002-08-20 | Honeywell International Inc. | Systems and methods for delivering data updates to an aircraft |
| GB0103416D0 (en) | 2001-02-12 | 2001-03-28 | Nokia Networks Oy | Message authentication |
| US7386878B2 (en) * | 2002-08-14 | 2008-06-10 | Microsoft Corporation | Authenticating peer-to-peer connections |
| FR2871012B1 (fr) | 2004-05-28 | 2006-08-11 | Sagem | Procede de chargement de fichiers depuis un client vers un serveur cible et dispositif pour la mise en oeuvre du procede |
| US8165930B2 (en) * | 2007-11-27 | 2012-04-24 | The Boeing Company | Crate tool |
-
2011
- 2011-02-18 US US13/030,292 patent/US8881294B2/en active Active
-
2012
- 2012-02-16 EP EP12155853A patent/EP2490145A1/en not_active Ceased
- 2012-02-17 CA CA2768819A patent/CA2768819A1/en not_active Abandoned
- 2012-02-20 CN CN201611126429.0A patent/CN107066899A/zh active Pending
- 2012-02-20 CN CN201210105701.2A patent/CN102708315B/zh active Active
-
2014
- 2014-09-02 US US14/475,258 patent/US9602509B2/en active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070027589A1 (en) * | 2001-02-13 | 2007-02-01 | Brinkley Roger R | Methods and apparatus for wirelss upload and download of aircraft data |
| US7086089B2 (en) * | 2002-05-20 | 2006-08-01 | Airdefense, Inc. | Systems and methods for network security |
| CN1918928A (zh) * | 2004-02-18 | 2007-02-21 | 诺基亚公司 | 用于在e-dch中执行tfci可靠性检测的方法和设备 |
| CN1991779A (zh) * | 2005-12-30 | 2007-07-04 | 联想(北京)有限公司 | 基于安全芯片的防病毒方法 |
| CN101573911A (zh) * | 2006-03-29 | 2009-11-04 | 空中客车法国公司 | 发送和接收数据的方法,尤其用于飞行器和地面基地之间的安全交换,相关设备以及装备有这种设备的飞行器 |
| CN101039186A (zh) * | 2007-05-08 | 2007-09-19 | 中国科学院软件研究所 | 系统日志的安全审计方法 |
| CN101072096A (zh) * | 2007-05-31 | 2007-11-14 | 北京威讯紫晶科技有限公司 | 一种无线传感器网络中数据安全传输的方法 |
| CN101932997A (zh) * | 2007-11-27 | 2010-12-29 | 波音公司 | 分配可加载软件飞行器部件(lsap)的方法和设备 |
| US20090198393A1 (en) * | 2008-02-06 | 2009-08-06 | Sims Iii John Benjamin | Method and apparatus for loading software aircraft parts |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110312256A (zh) * | 2018-03-27 | 2019-10-08 | 霍尼韦尔国际公司 | 用于实现外部设备与航空电子系统的连接性的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8881294B2 (en) | 2014-11-04 |
| CN102708315B (zh) | 2016-12-21 |
| US9602509B2 (en) | 2017-03-21 |
| CA2768819A1 (en) | 2012-08-18 |
| EP2490145A1 (en) | 2012-08-22 |
| US20150033015A1 (en) | 2015-01-29 |
| US20120216286A1 (en) | 2012-08-23 |
| CN102708315A (zh) | 2012-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102708315B (zh) | 用于安全上载文件到飞机上的方法和系统 | |
| US11716334B2 (en) | Transport communication management | |
| EP3275154B1 (en) | Authenticated messages between unmanned vehicles | |
| US9930027B2 (en) | Authenticated messages between unmanned vehicles | |
| EP3002679A1 (en) | Software aircraft part installation system | |
| EP2956886B1 (en) | Verification of aircraft information in response to compromised digital certificate | |
| US20160280370A1 (en) | Influencing acceptance of messages in unmanned vehicles | |
| US20160285863A1 (en) | Unmanned vehicle message exchange | |
| JP7074498B2 (ja) | 機器のマシンツーマシン認証のためのシステム及びコンピュータ実装された方法 | |
| US9916701B2 (en) | Vehicle auditing and control of maintenance and diagnosis for vehicle systems | |
| EP2801926A1 (en) | Use of multiple digital signatures and quorum rules to verify aircraft information | |
| US20150356319A1 (en) | Security Information for Software Parts | |
| US20230014326A1 (en) | Method and system for remote load of on-board certified software | |
| US11757858B2 (en) | Analog waveform monitoring for real-time device authentication | |
| EP2375333A2 (en) | Avionic data validation system | |
| US20190109825A1 (en) | Method for the management and maintenance of an aircraft comprising a zone with a high degree of security | |
| US20090198390A1 (en) | Secure command method and device for remote maintenance terminal | |
| CN113260570B (zh) | 用于核验飞行器上设备存在的方法和相关装置 | |
| EP3716115A1 (en) | Reporting and configuration enhancements of on-board certified software | |
| KR102501268B1 (ko) | 무인항공기의 행위 분석 시스템, 행위 분석 모델 학습 시스템 및 방법 | |
| EP3958529A1 (en) | Systems and methods for multi-factor digital authentication of aircraft operations | |
| CN107306258A (zh) | 安全通信方法及装置、系统和安全服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170818 |