CN107888378A - 安全凭证至安排的乘务员的自动传送 - Google Patents

Abstract

本申请公开了一种用于向一个或更多个乘务人员计算装置传送安全凭证以用于访问交通工具的电子系统的管理接口的系统和方法。所述系统具有本地安全凭证生成器以及与本地安全凭证生成器通信的远程安全凭证中继器。根据乘务人员成员配置安排表中所定义的、伴随传输至远程安全凭证中继器的安全凭证的交通工具标识符与一个或更多个乘务人员计算装置的相关性，识别一个或更多个安全凭证目的地。然后将安全凭证传送至乘务人员计算装置。响应于对从乘务人员计算装置传输至本地登录控制器的安全凭证的验证，本地登录控制器授权对管理接口的访问。

Description

安全凭证至安排的乘务员的自动传送

技术领域

本公开内容总体上涉及飞行器装载的计算机系统中的数据安全，并且更具体地，涉及自动向被安排成为飞行器工作的乘务人员传送安全凭证。

背景技术

在飞行器技术的许多进步中，乘客舒适和便利方面的改进已经获得很多关注。由于空中旅行通常涉及持续的时间跨度为至少几个小时的旅程(如果不是更长时间)，运输公司已经找出各种解决方案来使乘客保持充实。部分地由能够传送一系列多媒体内容的计算机系统的广泛可用性驱动地，最常用的解决方案之一是飞行器装载的机上娱乐(IFE)系统。典型的IFE系统包括安装在座位靠背、扶手或其他内部机舱结构上以供乘客使用的相应的显示器和输入/输出部件(例如多功能远程控制器和音频输出插孔)，以及客户终端计算机系统及相关的网络部件。另外，IFE系统还包括可以从其中检索内容数据以用于个性化呈现/交互的中央服务器计算机系统。

这样的内容可以包括近期发行的电影、电视节目例如新闻节目、情景单口喜剧、纪录片等。还经常呈现关于目的地的有用信息，例如机场下机程序、入境和海关程序等。也可获得仅音频的节目，通常包括符合常用主题或类型的歌曲的播放列表。同样地，可获得仅视频的内容，例如飞行进度图、飞行状态显示等。许多IFE系统还包括可供乘客玩的视频游戏。

尽管低成本的数据存储装置的可用性已经极大地增加了经由IFE系统提供的多媒体内容选择，然而它是有限的，因为不可能将任何给定乘客期望的特定节目都加载到服务器上。因此，具有这样的特定内容喜好的乘客可以将他们自己的可以加载有期望的音乐、音频、游戏以及他们选择的其他多媒体内容的便携式电子装置(PED)带到飞行器上，便携式电子装置例如是智能电话、媒体播放器、电子阅读器、平板计算机、膝上型计算机等。这也是有限的，特别是与因特网中可用的内容相比。

由于因特网访问在地面上的普遍性，无论通过蜂窝数据连接、公共WIFI网络等，乘客已经变得习惯于随时访问因特网，甚至在飞行期间也是如此。响应这个需求，运输公司、飞行器制造商以及机上娱乐系统提供商等同样地已经开发和部署了机上因特网访问解决方案。不仅可以使用因特网访问检索多媒体娱乐内容，还可以将PED投入到经常需要访问因特网的更有生产力(productive)的使用。例如，PED上可能已经安装有各种电子邮件和即时消息传送客户应用、股票交易应用、银行应用、文件共享应用、基于云的笔记记录应用以及无数其他生产力软件(productivity software)。此外，可以存在具有在旅行期间特别有用的功能(例如旅程和转接航班/登机口追踪)的专用应用。受欢迎的还有不一定与生产力相关但是仍然需要因特网访问的应用，例如体育得分更新、基于文本的新闻等。在一定程度上，这些功能也可以在IFE系统中实现。

经由PED和IFE终端单元连接的机载WiFi网络提供飞行中的因特网访问。在这个方面，整个机舱中可能存在若干个WiFi接入点，每个WiFi接入点连接至与卫星进行通信的卫星上行链路模块。该卫星继而可以与连接至因特网的地面工作站进行通信。因此提供的另外的通信功能使得有理由将这些系统称为机上娱乐通信(IFEC)系统(也经常使用连接，而不是通信)。

在IFEC系统的整个操作周期中，机舱乘务人员和地面维护乘务人员可能需要访问IFEC系统的各种管理功能。例如，在飞行期间可能需要暂时禁用机载WiFi网络，或者取决于在某些目的地或出发场所的无线电频率发射限制可能需要激活或停用机载WiFi网络。类似地，可以启用卫星通信链路以克服针对卫星传输的监管限制。此外，在紧急情况期间可能需要禁用整个IFEC系统，或者如果有需要电力循环过程的出错状况，则可能需要使电力循环。当飞行器在地面时，维护乘务员可以向IFEC系统上传新的内容。这些功能通常经由在安装于飞行器中的乘务员终端上执行的乘务员管理接口进行访问。因为仅物理上位于乘务员终端附近的个人可以访问IFEC系统的这样的管理功能，所以基本的认证过程、例如持久密码/口令等被认为足以限制对IFEC系统的访问。

乘务人员(飞行乘务员、机舱乘务员以及地面乘务员)现在通常分配有PED。例如，飞行乘务人员和机舱乘务人员可以使用PED作为电子飞行包(EFB)，其上有对飞行操作极重要的信息，例如飞行器手册、导航和航空图表、航路手册、航空日志、飞行器操作过程检查清单、天气报告等。类似地，地面乘务人员在维护操作期间可以使用PED作为信息参考。无论在飞行期间使用还是在地面上使用，PED可以被编程有无线地与各种航空电子系统相接口(interface)的移动乘务员管理接口(MCMI)应用，各种航空电子系统包括IFEC系统以及经由乘务员管理接口提供的IFEC系统的管理功能。到MCMI应用的图形用户界面的输入可操作用于向IFEC系统传输命令，以用于在IFEC系统上执行。

常规地，经由在PED上运行的MCMI应用对IFEC系统的乘务员管理接口的访问受到限制，直到输入一次性口令(OTP)。OTP由乘务员终端经由乘务员管理接口生成，然后经由PED输入至MCMI应用。在诸如轮承重(Weight-on-Wheels)、飞行结束、门打开等的飞行结束事件之后，认为IFEC系统使所有的有效OTP失效，并且使已经经由MCMI应用登录到乘务员管理接口的这些PED的会话结束。

然而，这样的认证方式存在一些不足。要求用户物理上位于控制面板/乘务员终端的附近是费力的，并且构成大量的操作开销，尽管事实上这个要求提供了用户是他/她所声称的人的额外的保证。这可以通过允许跨多个PED使用一次生成的OTP来在一定程度上减轻，使得仅需要单个用户通过物理上位于乘务员终端处来生成OTP。然而，生成的OTP仍然必须在乘务人员中流转，当OTP必须由机舱乘务人员生成并且随后中继到可能限制于驾驶舱的飞行乘务人员时，操作开销仍然很大。因此，在本领域中存在对自动向被安排成为飞行器工作的乘务人员传送安全凭证的需要。

发明内容

公开了用于访问飞行器机上娱乐通信(IFEC)系统的管理功能的安全凭证的先进传送，并且消除了乘务人员使用飞行器上的乘务员终端生成用于获取对IFEC管理接口的访问的一次性口令的需要。根据各种实施方式，该系统在飞行结束时自动地生成一次性口令，并且将一次性口令发送至下一航班乘务员。替选实施方式构想了飞行器经营者/运输公司生成一次性口令，并且将其发送至下一航班乘务员以及飞行器。

本公开内容的一个方面构想了一种用于向一个或更多个乘务人员计算装置传送安全凭证以用于访问交通工具的电子系统的管理接口的系统。该系统可以包括本地安全凭证生成器，并且可以通过该本地安全凭证生成器、响应于交通工具行进终止事件而生成安全凭证。安全凭证还可以和与交通工具对应的交通工具标识符相关联。该系统还可以包括与本地安全凭证生成器进行通信的远程安全凭证中继器。另外，远程安全凭证中继器可以接收来自本地安全凭证生成器的安全凭证的传输。可以根据乘务人员成员配置安排表(staffing schedule)中所定义的、伴随安全凭证的交通工具标识符与乘务人员计算装置中的相应的一个或更多个特定乘务人员计算装置的相关性，而识别一个或更多个安全凭证目的地。远程安全凭证中继器可以被配置成将安全凭证传输至乘务人员计算装置中的、与相应的一个或更多个所识别的安全凭证目的地对应的一个或更多个特定乘务人员计算装置。还可以有与乘务人员计算装置中的一个或更多个特定乘务人员计算装置进行通信的本地登录控制器。响应于对由乘务人员计算装置中的一个或更多个特定乘务人员计算装置传输至本地登录控制器的安全凭证的验证，本地登录控制器可以授权对交通工具的电子系统的管理接口的访问。

本公开内容的另一方面是一种用于向乘务人员计算装置传送安全凭证以用于访问机上娱乐通信(IFEC)系统的管理接口的的方法。该方法可以包括使用在IFEC系统上运行的本地安全模块生成安全凭证的步骤。安全凭证可以与飞行器标识符相关联。此后，可以存在将安全凭证和相关联的飞行器标识符从本地安全模块传输至远程安全凭证中继器的步骤。该方法还可以包括将与接收到的安全凭证相关联的飞行器标识符和特定航班的乘务人员清单中的安全凭证目的地进行关联。安全凭证目的地可以与分配给在特定航班上工作的特定乘务人员的乘务人员计算装置对应。还可以有将安全凭证从远程安全凭证中继器传输至由安全凭证目的地所指定的乘务人员计算装置的步骤。

又一方面是一种用于向一个或更多个乘务人员计算装置传送安全凭证以用于访问交通工具的电子系统的管理接口的系统。该系统可以包括与一个或更多个乘务人员计算装置进行通信的本地登录控制器。还可以有远程安全凭证生成器，并且安全凭证可以和与交通工具对应的交通工具标识符相关联。该系统可以包括与远程安全凭证生成器进行通信的远程安全凭证中继器。可以根据乘务人员成员配置安排表中所定义的、与安全凭证相关联的交通工具标识符和乘务人员计算装置中的相应的一个或更多个特定乘务人员计算装置的相关性，而识别一个或更多个安全凭证目的地。远程安全凭证中继器可以被配置成将安全凭证传输至本地登录控制器以及乘务人员计算装置中的、与相应的一个或更多个所识别的安全凭证目的地对应的一个或更多个特定乘务人员计算装置。响应于对由乘务人员计算装置中的一个或更多个特定乘务人员计算装置传输至本地登录控制器的安全凭证的验证，本地登录控制器可以授权对交通工具的电子系统的管理接口的访问。

根据另一方面，存在一种用于向乘务人员计算装置传送用于访问飞行器的IFEC系统的管理接口的安全凭证的方法。该方法可以包括使用远程安全模块生成安全凭证，随后从乘务人员清单中得到与分配给在飞行器的特定航班上工作的相应乘务人员的乘务人员计算装置对应的一个或更多个安全凭证目的地。还可以有将安全凭证从远程安全模块传输至安全凭证目的地所指定的乘务人员计算装置的步骤。该方法还可以包括将安全凭证从远程安全模块传输至连接至飞行器的IFEC系统的管理接口的本地安全模块的步骤。

通过结合附图参考下面的详细描述将更好地理解本公开内容。

附图说明

根据下面的描述及附图，将会更好地理解本文公开的各种实施方式的这些和其他特征和优点，其中，全文中相同的附图标记指代相同的部件，并且在附图中：

图1是示出可以实现用于自动向安排的乘务人员传送安全凭证的当前公开的系统的飞行器操作环境的图；

图2是根据本公开内容的一个实施方式的、用于向乘务人员计算装置传送安全凭证的系统的框图；

图3是示出用于向乘务人员装置传送安全凭证的方法的一个实施方式的流程图，其中在飞行器上生成安全凭证；以及

图4是示出用于向乘务人员装置传送安全凭证的方法的另一实施方式的流程图，其中远程地生成安全凭证。

具体实施方式

下面结合附图阐述的具体实施方式旨在作为对向乘务人员计算装置传送安全凭证的系统的若干当前构想的方面的描述。该描述不旨在表示可以开发或使用所公开的发明的各种方面的唯一方式。该描述结合示出的实施方式阐述功能和特征。然而，要理解的是，相同或等效的功能可以通过也旨在包括在本公开内容的范围内的不同的实施方式来实现。还应当理解的是，例如第一和第二、本地和远程等的关系术语的使用仅用于将一个实体与另一个实体区分开，而不一定要求或暗示这些实体之间任何实际的这样的关系或次序。

图1的图描绘了可以实现当前公开的系统和方法的各种方面的示例性飞行器10。在飞行器10的机身12内存在跨多个排16布置的座位14，并且每个座位14容纳单个乘客。尽管将在载客飞机10及其设施的背景下描述本公开内容的特征，但是其他载客交通工具、例如火车、船舶、公共汽车和使用集成的娱乐系统的其他载客交通工具可以进行替代。

飞行器10包含机上娱乐通信(IFEC)系统18，通过该IFEC系统18可以在飞行器上向乘客提供各种娱乐和连接服务。典型的IFEC系统18包括单独的座位靠背模块，该座位靠背模块包括终端单元20、显示器22、音频输出24以及远程控制器26。对于给定排16的座位14，终端单元20和音频输出24布置在座位靠背模块所设置到的座位14上，但是显示器22和远程控制器26可以布置在座位靠背模块所设置到的座位14前面的排16上。也就是说，显示器22和远程控制器26安装在座位前面的排的座位靠背上。这仅作为示例，其他显示器22和远程控制器26安装在例如可收缩的臂等的安装至座位14的扶手的访问配置上，或者通过安装在舱壁上进行安装。

显示器22被认为是具有适于安装在座位靠背上的低轮廓的常规液晶显示器(LCD)屏幕。每个乘客可以使用由航空公司或者由乘客供应的单独的耳机28，耳机28提供了更私人的聆听体验。在示出的布置中，音频输出24是耳机插孔，其是标准的环/塞尖(tip)/套筒插口(sleeve socket)。耳机插孔可以布置在显示器22附近或者如所示出的那样布置在座位14的扶手上。耳机插孔可以是具有噪声消除并且包括三个插口的有源类型，或者是没有噪声消除的标准音频输出。在替选实施方式中，每个显示器22可以结合终端单元20，以形成本领域称之为智能监视器的显示单元。

安装在飞行器上的终端单元20的常用用途是播放各种多媒体内容。终端单元20可以通过对与多媒体内容对应的数据文件进行解码并且分别生成用于显示器22和音频输出24的视频信号和音频信号的通用数据处理器来实现。这种多媒体内容可以包括电影、电视节目例如新闻节目、喜剧、纪录片以及有关飞行目的地的信息内容。此外，多媒体内容还可以包括仅音频的节目，以及交互游戏、飞行进度图、飞行状态显示、可在显示器22上阅读的报纸/杂志等。广义地，多媒体内容旨在指代可以经由显示器22或音频输出24或者显示器22与音频输出24的组合呈现给乘客的不同持续时间和形式的任何内容。

多媒体内容的数据文件可以存储在与IFEC系统18相关联的数据库30中。特别地，数据库30连接至IFEC服务器32并且由IFEC服务器32管理，IFEC服务器32可以是被配置为响应于对数据的请求而提供数据的服务器的专门适配的通用计算机系统。各种软件模块被认为并入IFEC服务器32中，包括从数据库检索多媒体内容的流媒体服务器，以及用户与其交互以选择期望的多媒体内容的分类/菜单应用。

乘客可以玩在终端单元上执行的游戏以及使用远程控制器26以其他方式与多媒体内容进行交互。还可以使用远程控制器26浏览广泛的多媒体内容库并且选择它们进行观看和/或收听，然而在一些实施方式中，可以设置触屏显示器以用于与多媒体内容数据库进行更直观的交互。在任一情况下，终端单元20加载有由数据处理器执行的内容选择软件应用，并且接受来自远程控制器26或者其他输入方式的输入并在显示器22上呈现的图形界面上生成响应。

每个终端单元20均可以通过飞行器局域网34连接至IFEC服务器32，该飞行器局域网34的一部分可以优选地是以太网。因此，IFEC服务器32包括本地数据通信模块36，并且更具体地，包括以太网数据通信模块36a，例如以太网交换机或路由器。

在飞行期间，一个或更多个乘客可以使用便携式电子装置(PED)38。出于本公开内容的目的，乘客PED 38是指智能电话、平板计算机、膝上型计算机以及包括如下通用数据处理器的其他类似装置：该通用数据处理器利用控制指令的执行的输入执行预编程指令，以在显示器上生成各种输出。尽管这些装置最常由乘客自身带到飞行器10上，但是运输公司也可以向乘客提供这些装置以供临时使用。

除了乘客携带PED 38到飞行器上用于娱乐或者生产力用途以外，飞行乘务员和机舱乘务员也可以在飞行期间使用计算装置执行他们各自的任务。例如，飞行乘务员可以使用乘务人员PED 40a作为电子飞行包(EFB)。可以向机舱乘务员发放加载有用于管理机舱操作的特定应用的乘务人员PED 40b。在下文中，将飞行乘务员电子飞行包和发放给机舱乘务员的装置称为乘务人员PED 40，该乘务人员PED 40被理解为包括智能电话、平板计算机、膝上型计算机等。

几乎所有常规的乘客PED 38具有WLAN(Wi-Fi)模块，因此IFEC服务器32的本地数据通信模块36还包括WLAN接入点36b。PED 38、PED 40可以经由飞行器局域网34连接至IFEC服务器32，以访问其上提供的各种服务，例如内容下载/观看、购物等。

通常，单个WLAN接入点36b不足以提供整个机舱的无线连接，因此可以在彼此间隔开的各个位置处安装额外的WLAN接入点36b-1和36b-2。这些额外的WLAN接入点36b-1和36b-2可以通过作为上述飞行器局域网34的一部分的以太网链路连接至IFEC服务器32。局域网接口或本地数据通信模块36被认为包括例如WLAN收发器36b和以太网路由器/交换机36a的硬件部件以及将硬件部件与IFEC服务器32的其他软件模块相接口的软件驱动器。

IFEC系统18还可以为连接的终端单元20以及PED 38、PED 40提供因特网接入。使用IFEC系统18进行操作的一种构想方式是建立到通信卫星46的数据上行链路44的卫星模块42。根据一个示例性实施方式，数据上行链路44可以是Ku波段微波传输。然而，在不偏离本公开内容的情况下，也可以使用任何合适的通信卫星46，例如国际海事通信卫星(Inmarsat)或者铱卫星(Iridium)。传输至通信卫星46的数据被中继至卫星通信服务提供商48。在通信卫星46与卫星通信服务提供商48之间建立有数据下行链路50，卫星通信服务提供商48继而包括连接至因特网54的网络网关52。在另一实施方式中，替代或者除了卫星模块42以外，飞行器10可以配备有蜂窝调制解调器56以用于远程连接，该蜂窝调制解调器56根据本领域公知的方式类似地经由地面蜂窝站点建立至因特网54的通信链路。

终端单元20或PED 38、PED 40被认为通过由本地数据通信模块36建立的飞行器局域网34连接至IFEC系统18，本地数据通信模块36将数据传输中继至卫星模块42。数据通过数据上行链路44传输至通信卫星46，并且通信卫星46将数据通过数据下行链路50中继至卫星通信服务提供商48。然后，网络网关52将该传输路由至因特网54。由于在漫游模式下的与通信卫星46和蜂窝网络相关联的高成本，运输公司可以使用防火墙58限制去往和来自卫星模块42和蜂窝调制解调器56的数据业务。

在飞行操作期间，乘务人员可能需要执行某些管理任务，该管理任务一般地与IFEC系统18相关，并且更特别地与IFEC服务器32相关。此外，在飞行之间，地面乘务人员可以执行日常维护和内容更新任务。因此，IFEC服务器32包括通过其可以执行这些任务的乘务员管理接口(CMI)60。在IFEC系统18的一些实现方式中，存在安装在飞行器10内的、连接至IFEC服务器32及其乘务员管理接口60的乘务员终端(CT)62。乘务员终端62被认为是通过其可以向IFEC服务器32和安装在飞行器10上的其他航空电子系统发布各种命令的通用计算机系统，并且乘务员终端62可以安装在乘务员访问区域，例如厨房插入远程控制中心(galley insert remote control center)。

可替选地，飞行器10可以配备有简单开关面板(SSP)64，该SSP 64是可以由乘务人员使用以控制IFEC服务器32执行各种维护和操作功能的一组物理开关、状态灯以及数据通信端口(例如RJ-45)。简单开关面板64被认为是乘务员终端62的替选物，并且提供有限的控制以及与IFEC服务器32的交互。在一个实施方式中，简单开关面板64具有一个用于接通和关断至IFEC系统18的电力的控制开关。这可以在紧急情况期间使用，或者如果有需要电力循环的状况，则可以用于使电力循环。此外，如果有来自乘客的可疑的网络入侵，则可以使用这样的开关来停用整个IFEC系统18。简单开关面板64可以包括手动地激活和停用卫星模块42、或者具体地卫星模块42的发射器的另一开关，以便覆盖基于飞行器位置而选择性地激活卫星模块42的机载监管数据库。这对地面测试和调试目的可能是有用的。可以存在用于激活和停用例如电话和WLAN接入点36b的不同的本地数据通信模块36或者将其置于维护模式的另外的开关。

简单开关面板64还可以包括各种指示器。一种这样的指示器被认为是服务状态灯，其可以指示IFEC系统18何时在正常操作，IFEC系统何时处于仅接收模式，或者何时存在故障情况。另外的指示器可以用于向乘务人员通知各种机舱状态标识何时被激活或停用，例如用于移动电话使用何时被允许或禁止的标识。

已经通过仅示例而非限制的方式呈现了IFEC系统18的前述布置及其组成部件。本领域技术人员将认识到，IFEC系统18及其功能子部分可以许多不同配置进行布置和组织。此外，可以存在本文中没有提及的额外的部件，并且某些功能可以由与本公开内容所归因于的子部分或部件不同的子部分或部件来处理。

替代使用简单开关面板64，可以在乘务人员PED 40中实现简单开关面板64的接口。具体地，机舱乘务人员PED 40b上可以安装有与IFEC系统18相接口的移动乘务员管理接口(MCMI)应用，MCMI应用直接与IFEC服务器32相接口或者通过乘务员管理接口60相接口。移动乘务员管理接口应用可以具有与简单开关面板64相同的接口元件，其中物理开关和指示器被替换为呈现在乘务人员PED 40的图形用户界面上的相应交互元件。可替选地，经由乘务员终端62可访问的相同功能可以经由移动乘务员管理接口应用实现并变得可用。

尽管乘务人员PED 40在被激活用于机上服务时可以针对预安装的安全凭证进行认证和验证，但可以实现其他安全措施以将对乘务员管理接口60的管理功能的访问限于仅乘务人员PED 40。一种安全措施是需要一次性口令(OTP)，该一次性口令(OTP)由乘务员管理接口60生成并在乘务员终端62处呈现给乘务人员，并且被输入到移动乘务员管理接口中。如果对照由乘务员管理接口60生成的一次性口令验证了通过乘务人员PED 40呈现的一次性口令，则允许对管理功能的进一步访问。

本公开内容的各种方面构想预先向被安排到飞行器10的乘务人员分发一次性口令或者其他类似的安全凭证。可以在分配有乘务人员PED 40的乘务人员上飞行器10之前，将一次性口令直接传送至这样的PED 40。商业和商务飞行经营者通常具有飞行操作中心66，该飞行操作中心66处理飞行器和乘务人员安排和管理，包括向乘务人员供应PED 40。

飞行操作中心66被认为是用于追踪机队中的飞行器10并且与其进行通信的信息技术基础设施的中心，并且因此可以在其中部署一个或更多个服务器计算机系统68。这样的服务器计算机系统68可以经由闭路通信系统与飞行器10进行通信，或者可替选地，针对某些低优先级/敏感度数据经由因特网54与飞行器10进行通信。尽管图1仅示出了飞行操作中心66与飞行器10之间的有限数量的通信链路，但这要被理解为仅是示例而非限制。

服务器计算机系统68也可以用于向乘务人员PED 40分发一次性口令。图1中的框图示出了与服务器计算机系统68进行通信的多个机舱乘务人员PED 40b-1至40b-3，下面将更充分地描述本公开内容的、可以实现向机舱乘务人员PED传送一次性口令的功能的各个方面的细节。在一次性口令无法直接地传送至乘务人员PED 40的情况下，或者在乘务人员配置方面存在不期望改变的情况下，明确地设想用于在乘务员终端62上生成一次性口令以手动输入到乘务人员PED 40中的现有方式仍然可用。

图2的框图示出了用于向乘务人员PED 40传送安全凭证以用于访问IFEC系统18的乘务员管理接口60的系统70。根据各个方面，安全凭证是在飞行之前生成并且被安全地传输至乘务人员PED 40的一次性口令72。用于一次性口令72的长度和字符集可以根据安全与易用之间的平衡而变化。例如，如果使用三位的数字，虽然安全等级最小，但会最容易记住和使用。另一方面，由具有延伸长度(多于几个字符)的区分大小写的字母数字字符组成的一次性口令被认为具有较高安全等级，但是相称地更难记住并且使用更麻烦。本公开内容构想直接向乘务人员PED 40传送一次性口令72，因此可用性问题可能不会太大，但是根据一些实施方式，可以将手动输入方式保留作为备用措施，因此，一次性口令72的复杂度可以保持在合理水平。还可以使用根据使用背景而变化复杂度的一次性口令72。当一次性口令72在乘务员终端62处被手动地生成并且输入到乘务人员PED 40时，则考虑到由于乘务员物理存在而可能产生的提高的有效性假设，可以使用较低复杂度的一次性口令72。然而，如果根据当前公开的系统70的各个方面，一次性口令72被直接地传送至乘务人员PED 40，则可以使用较高复杂度的一次性口令72。

本公开内容还构想一种用于向乘务人员PED 40传送安全凭证的方法。另外参考图3的流程图，该方法的一方面因此开始于生成安全凭证的步骤200，安全凭证例如是由也可以称为OTP生成器的本地安全凭证生成器74生成的一次性口令72。具体地，可以响应于交通工具行进终止事件而因此生成一次性口令72。

在飞行器10的实现方式中，飞行器10的航空电子系统报告各种飞行结束事件，飞行结束事件被广义地示出为飞行器事件报告76并且更一般地可以被称为交通工具状态报告。飞行器事件报告76与包括轮承重(WoW)指示器76a、飞行结束(CoF)指示器76b和门打开指示器76c的飞行结束事件对应。这些指示器中的任何一个被认为用信号表明飞行结束，因为在飞行器着陆时设置轮承重指示器76a、当在飞行结束时飞行乘务员发送ACARS(飞行器通信寻址与报告系统)消息时设置飞行结束指示器76b以及在飞行器已经到达终点并且门被打开以允许乘客下飞行器时设置门打开指示器76c。当这些事件中的任何事件发生时，系统70生成用于下一次飞行的一次性口令72。替代响应于飞行器事件报告76而启动一次性口令72的生成，也可以在飞行器10的安排到达时间之前的预定时间进行该处理。一旦生成一次性口令72，则可以将其存储在也称为OTP存储装置的安全凭证存储装置78中，用于与由乘务人员PED 40提供的一次性口令进行比较以获得对乘务员管理接口60的访问。

为了可以将一次性口令72传送至分配给被安排为飞行器10的下一次飞行工作的乘务人员的乘务人员PED 40，一次性口令72伴随有飞行器标识符80，飞行器标识符80更一般地也可以被称为交通工具标识符。根据本领域已知的广泛使用的数据加密技术对一次性口令72进行加密，其中这样的功能由单独的本地加密引擎82来提供。在一个实现方式中，本地加密引擎82使用具有RSA2048位密钥的数字认证。然而，这应当被理解为仅是示例而非限制。在不偏离本公开内容的范围的情况下，任何其他合适的加密引擎82可以进行替代。还可以对包括一次性口令72和飞行器标识符80的安全凭证传输84进行加密。

本地安全凭证生成器74、安全凭证存储装置78以及本地加密引擎82被认为是本地安全模块86的逻辑子部件，其可以被实现为由计算机系统执行的一系列预编程指令。本领域普通技术人员将容易地认识到实现本地安全模块86的功能所需的这样的计算机系统的各种基础部件，并且为了简洁省略了这些基础部件的细节。

本地安全模块86另外地包括也被称为OTP分发器的安全凭证分发器88，安全凭证分发器88与远程安全模块90进行通信，远程安全模块90包括被实现为由与飞行操作中心66相关联的服务器计算机系统68执行的一系列预编程指令的各种逻辑子部件。远程安全模块90包括远程安全凭证中继器92，其可以称为OTP中继器。远程安全凭证中继器92通过OTP分发器与本地安全凭证生成器74进行通信，并且可接收来自本地安全凭证生成器74的安全凭证传输84。因此，图3的流程图中示出的用于分发安全凭证的构想方法包括将一次性口令72和飞行器标识符80从本地安全模块86向远程安全凭证中继器92传输的相应步骤210。

如上所指示，安全凭证传输84包括一次性口令72以及飞行器标识符80，该飞行器标识符80指定一次性口令72被指定的飞行器10。飞行器标识符80用于指定飞行器标识符80中所阐述的被分配给飞行器10的下一次飞行的那些乘务人员的乘务人员PED 40。根据步骤220，远程安全模块90使用乘务人员成员配置安排表94来将接收到的飞行器标识符80与安排到飞行器10的下一次飞行的乘务人员相关联，并且将一次性口令72传送至分配给这些乘务人员的乘务人员PED 40。

在最基本的层级，乘务人员成员配置安排表94可以被定义为包括多个行和多个列的表，其中每个行与特定的乘务人员对应，列和与这样的乘务人员相关联的各种字段或属性对应。第一列94a通过姓名标识乘务人员，而第二列94b阐述乘务人员下一次被分配至的航班号/标识符。另外地，还有标识在飞行中操作的飞行器的第三列94c。构想了用于向乘务人员PED 40传输一次性口令72的不同方式，包括但不限于电子邮件、短信服务(SMS)、电话呼叫以及即时消息传送。优选的方式可以在乘务人员成员配置安排表94中在其第四列94d中定义，其中设置有目的地地址、电话号码等。

乘务人员成员配置安排表94的前述结构通过仅示例的方式而非限制的方式呈现。在不偏离本公开内容的范围的情况下，可以容易地用对其中包含的信息进行组织的其他方式代替。乘务人员成员配置安排表94中可以包括更多、更少或者不同字段/属性。例如，替代通过姓名标识乘务人员，可以使用职工ID号。按照这些方法，确定一次性口令72被传输至的特定乘务人员PED 40可能仅需要航班标识符或飞行器标识符中的一个。

跨运输公司的整个机队的安排/成员配置信息被认为是预先存在的，因为其对协调飞行操作很重要。因此，包含在乘务人员成员配置安排表94中的结构以及字段/属性被认为是其副本或者至少复制其结构。这样的信息可以存储在各种客户可以与其连接以查看和修改成员配置安排表的专用中心数据库中。在这种情况下，远程安全凭证中继器92可以直接访问该数据库，以检索选择在本公开内容的不同实施方式中使用的数据元素。在这样的实施方式中，乘务人员成员配置安排表94被认为是这样的专用数据库。

一旦根据飞行器标识符80确定安全凭证目的地，根据步骤230，远程安全凭证中继器92将一次性口令72传输至所指定的特定乘务人员PED 40。例如，如果在安全凭证传输84中的伴随一次性口令72的飞行器标识符80是“B-7343”，则乘务人员“JohnDoe”和“JaneDoe”将接收一次性口令，特别地在其乘务人员PED 40上接收一次性口令。乘务人员成员配置安排表94指示乘务人员“JohnDoe”被设置成以电子邮件地址jdoe@airline.com接收一次性口令72。在这种情况下，远程安全凭证中继器92可以连接至电子邮件传输服务器或者以其他方式调用电子邮件传输服务器，并且将一次性口令72传输至指定的电子邮件地址。按照这些方法，乘务人员“Jane Doe”也被识别为在具有飞行器标识符“B-7343”的飞行器10上工作，但是指定的安全凭证目的地是具有电话号码“945-555-1233”的移动装置，并且优选方式被设置成短信服务或者文本消息传送。远程安全凭证中继器92可以连接至SMS发送服务并且将一次性口令72传输至具有该指定电话号码的移动装置/乘务人员PED 40。

如上所指示的，乘务人员PED 40是具有其上可以安装和运行各种应用的标准操作平台的常规移动计算装置。向IFEC系统18的乘务员管理接口60提供接口的一个这样的应用是移动乘务员管理接口(MCMI)应用96。另外地，MCMI应用96与远程安全凭证中继器92协作，以检索指定用于特定乘务人员PED 40的一次性口令72。

因为在飞行操作中心66的服务器计算机系统68之间使用开放/不安全的传输方式，例如电子邮件和SMS，所以认为一次性口令72如从本地安全模块86提供的那样仍然加密。也就是说，在从安全凭证分发器88进行接收时，远程安全凭证中继器92在将一次性口令72传输至乘务人员PED 40之前不对一次性口令72进行解密。出于对加密的一次性口令72进行解密的目的，乘务人员PED 40包括与本地安全模块86的本地加密引擎82对应的加密引擎98。

替代依赖于开放/不安全的传输方式，远程安全凭证中继器92可以通过安全信道与乘务人员PED 40建立交互通信会话，在这样的情况下，一次性口令72可以首先由远程安全模块90进行解密。可选地，可以通过虚拟专用网络(VPN)进行通信会话。为此，乘务人员PED 40可以包括VPN客户端97，并且在飞行操作中心66处可以存在相应的VPN服务器99。

虚拟专用网络对服务器计算机系统68与乘务人员PED 40之间的所有数据业务进行加密，并且被认为符合Cisco IPSec。可以使用不同的VPN实现方式，其中支持多个VPN通道。可以提供用于确保数据完整性的不同加密函数，例如SHA-1(安全散列算法)、MD5以及RSA，并且构想多种加密方式，包括DES、3DES以及AES。可以通过用于现有远程RADIUS(远程认证用户拨号服务)服务器101的RADIUS协议执行认证。

使用VPN保护服务器计算机系统68与乘务人员PED 40之间的传输通过仅示例的方式而非限制的方式呈现。在不偏离本公开内容的范围的情况下，任何其他网络安全方式可以进行替代。

不管传输方式如何，乘务人员PED 40的操作平台可以配置成生成警告，特别是指示一次性口令已经被加载的警告。明确构想的是，这些警告被配置成对在没有首先对用户进行认证的情况下可以访问的锁定屏幕隐藏一次性口令72的内容。因此，降低了使用自动地加载到丢失或被盗的乘务人员PED 40中的一次性口令72进行未授权访问的风险。

本地安全模块86包括与乘务人员PED 40进行通信的本地登录控制器100。MCMI应用96尝试获取对乘务员管理接口60的访问，并且被引导至本地登录控制器100。除了要求常规的访问凭证、例如账户名/标识符以及相应的口令以外，本地登录控制器100要求一次性口令，以用于对照安全凭证存储装置78中的一次性口令进行验证。MCMI应用96检索存储在乘务人员PED 40上的一次性口令72，并且将其传输至本地登录控制器100。这种传输可以通过飞行器局域网34中的安全/加密的通信信道进行。在对所有要求的安全凭证(例如账户名、账户口令以及一次性口令72)进行验证之后，本地登录控制器100授权对乘务员管理接口60的访问。

系统70的上述实施方式在飞行器10处生成一次性口令72，以经由远程安全凭证中继器92分发至乘务人员PED 40。还构想了在飞行操作中心66生成一次性口令72的替选实施方式。图4的流程图示出了基于系统70的这种实施方式的用于传送安全凭证的方法，并且以使用远程安全模块90生成一次性口令72的步骤300开始。所生成的一次性口令72被提供至特定的飞行器10以及在这样的飞行器上工作的那些乘务人员的乘务人员PED 40。在该实施方式中的远程安全模块90包括远程安全凭证生成器102，其也称为远程OTP生成器。利用与本地加密引擎82相似的远程加密引擎104对一次性口令72进行加密。

远程安全凭证中继器92也访问乘务人员成员配置安排表94或乘务人员清单。此外，远程安全凭证中继器92命令远程安全凭证生成器102为即将发生的飞行生成一次性口令72。替代响应于飞行结束事件而生成一次性口令72，远程安全凭证生成器102追踪时间和/或有效飞行，并且将所生成的一次性口令72与下述飞行器标识符80进行关联：该飞行器标识符80与成员配置即将发生变化的飞行器10相关联。根据用于传送安全凭证的方法的步骤310，基于相关联的飞行器标识符80，可以从乘务人员成员配置安排表94中得到安全凭证目的地。这可以通过将飞行器标识符80与一个或更多个乘务人员PED 40进行关联来实现。

在另一个示例中，远程安全模块90检测到具有“B-2002”的飞行器标识符80的飞行器10接近飞行结束。远程安全凭证中继器92命令远程安全凭证生成器102生成另一个一次性口令72，并且使用远程加密引擎104对该一次性口令72进行加密。利用同一飞行器10进行的下一次飞行的成员为航班003上的“Taro Yamada”和“Hanako Yamada”。“Taro Yamada”的安全凭证目的地是即时消息传送系统，其账户是“tyamada”。远程安全凭证中继器92命令适当的即时消息传送服务器向这个账户传送包括生成并加密的一次性口令72的消息。“Hanako Yamada”的安全凭证目的地是语音电话号码，并且因此远程安全凭证中继器92可以命令电话系统呼叫乘务人员PED 40并且合成包括一次性口令72的语音。因此，在构想的方法中，存在将一次性口令72从远程安全模块90传送至前一步骤310中得到的安全凭证目的地所指定的乘务人员PED 40的步骤320。MCMI应用96加载提供的一次性口令72，直到该一次性口令72被呈现至本地登录控制器100用于获取对乘务员管理接口60的访问为止。

除了将一次性口令72传送至乘务人员PED 40之外，在步骤330中，远程安全凭证中继器92将一次性口令72提供至飞行器10的本地安全模块86。远程安全凭证中继器92可以建立到安全凭证分发器88的安全数据通信链路，并且将生成的一次性口令72上传至安全凭证分发器88，以用于保留在安全凭证存储装置78中。在使用不安全或开放的数据通信链路的情况下，一次性口令72本身在被复制到安全凭证存储装置78之前可以保持加密，以由本地加密引擎82进行解密。本地登录控制器100对照安全凭证存储装置78上的这个更新的一次性口令72验证从MCMI应用96传输的一次性口令72。

在一次性口令72由飞行操作中心66提供的情况下，可以在成员为相同的乘务人员的多次飞行中使用相同的一次性口令72。因此，安全凭证传输84可以包括有效期106。在一个实施方式中，有效期106可以与预期的交通工具行程时间段对应，而在另一实施方式中，有效期106可以与预期交通工具行程段数对应，该预期交通工具行程段数在每次飞行结束之后减少。短途飞行器可以在一天中使用相同的乘务人员完成四至五次飞行，并且在有效期106被设置成与具有相同乘务人员的行程中的段数或小时数对应的情况下，没有必要在每次飞行之后分配和输入一次性口令72。

针对由远程安全模块90提供一次性口令72的各个方面的认证过程在其他方面与关于由本地安全模块86生成一次性口令72的各个方面所讨论的认证过程相同。也就是说，MCMI应用96请求对乘务员管理接口60的访问，然后被引导至本地登录控制器100。将乘务人员PED 40上存储的一次性口令72传输至本地登录控制器100，并且对照安全凭证存储装置78中的一次性口令72对其进行验证。如果通过验证，则允许MCMI应用96对乘务员管理接口60进行访问。

本文中示出的详细说明仅作为示例并用于说明性讨论的目的，并且是为了提供被认为是对本公开内容中阐述的用于驾驶舱和客舱航空系统应用的、用于通过无线网络转换飞行器数据的系统的各个方面的原理和概念性方面最有用且容易理解的描述而呈现的。在这方面，未尝试示出比基本理解各个方面的不同特征的所必需的细节更多的任何细节，与附图一起呈现的描述使得在实践中可以如何实现这些方面对于本领域技术人员来说是明显的。

Claims (20)

1.一种用于向一个或更多个乘务人员计算装置传送安全凭证以用于访问交通工具的电子系统的管理接口的系统，所述系统包括：

本地安全凭证生成器，通过所述本地安全凭证生成器，响应于交通工具行进终止事件而生成所述安全凭证，并且所述安全凭证和与所述交通工具对应的交通工具标识符相关联；

远程安全凭证中继器，其与所述本地安全凭证生成器进行通信，并且能够接收来自所述本地安全凭证生成器的安全凭证的传输，根据乘务人员成员配置安排表中所定义的、伴随所述安全凭证的所述交通工具标识符与所述乘务人员计算装置中的相应的一个或更多个特定乘务人员计算装置的相关性，识别一个或更多个安全凭证目的地，其中，所述远程安全凭证中继器被配置成将所述安全凭证传输至所述乘务人员计算装置中的、与相应的一个或更多个所识别的安全凭证目的地对应的一个或更多个特定乘务人员计算装置；以及

本地登录控制器，其与所述乘务人员计算装置中的所述一个或更多个特定乘务人员计算装置进行通信；

其中，响应于对由所述乘务人员计算装置中的所述一个或更多个特定乘务人员计算装置传输至所述本地登录控制器的安全凭证的验证，所述本地登录控制器授权对所述交通工具的电子系统的管理接口的访问。

2.根据权利要求1所述的系统，还包括：

本地加密模块，其对所述安全凭证进行加密，以用于传输至所述远程安全凭证中继器。

3.根据权利要求1所述的系统，其中，所述一个或更多个乘务人员计算装置均加载有与所述交通工具的电子系统的管理接口进行通信的移动乘务员管理接口应用。

4.根据权利要求1所述的系统，其中，所述交通工具行进终止事件是从交通工具状态报告得到。

5.根据权利要求4所述的系统，其中，所述交通工具状态报告选自：轮承重指示器、交通工具门打开指示器以及行程结束指示器。

6.根据权利要求1所述的系统，其中，所述交通工具行进终止事件与安排的交通工具行进结束之前的预定时间对应。

7.根据权利要求1所述的系统，其中，所述安全凭证是一次性口令OTP。

8.一种用于向一个或更多个乘务人员计算装置传送安全凭证以用于访问交通工具的电子系统的管理接口的系统，所述系统包括：

本地登录控制器，其与所述一个或更多个乘务人员计算装置进行通信；

远程安全凭证生成器，所述安全凭证和与所述交通工具对应的交通工具标识符相关联；

远程安全凭证中继器，其与所述远程安全凭证生成器进行通信，根据乘务人员成员配置安排表中所定义的、与所述安全凭证相关联的交通工具标识符和所述乘务人员计算装置中的相应的一个或更多个特定乘务人员计算装置的相关性，识别一个或更多个安全凭证目的地，其中，所述远程安全凭证中继器被配置成将所述安全凭证传输至所述本地登录控制器以及所述乘务人员计算装置中的、与相应的一个或更多个所识别的安全凭证目的地对应的一个或更多个特定乘务人员计算装置；

其中，响应于对由所述乘务人员计算装置中的所述一个或更多个特定乘务人员计算装置传输至所述本地登录控制器的安全凭证的验证，所述本地登录控制器授权对所述交通工具的电子系统的管理接口的访问。

9.根据权利要求8所述的系统，还包括：

远程加密模块，其对所述安全凭证进行加密，以用于传输至所述本地登录控制器以及所述乘务人员计算装置中的所述一个或更多个特定乘务人员计算装置。

10.根据权利要求8所述的系统，其中，所述安全凭证被分配有有效期。

11.根据权利要求10所述的系统，其中，所述有效期与预期的交通工具行程时间段对应。

12.根据权利要求10所述的系统，其中，所述有效期与预期的交通工具行程段数对应。

13.根据权利要求8所述的系统，还包括：

本地安全凭证生成器，通过所述本地安全凭证生成器，响应于输入到直接连接至所述电子系统的管理接口的乘务员终端的请求而生成本地安全凭证；

其中，响应于对从所述乘务人员计算装置传输的本地安全凭证的验证，所述本地登录控制器授权对所述交通工具的电子系统的管理接口的访问。

14.根据权利要求8所述的系统，其中，所述安全凭证是一次性口令OTP。

15.一种用于向乘务人员计算装置传送安全凭证以用于访问机上娱乐通信系统IFEC的管理接口的方法，所述方法包括：

使用在信息处理系统上运行的安全模块生成所述安全凭证，所述安全凭证与飞行器标识符相关联；

将所述安全凭证和相关联的飞行器标识符从所述安全模块传输至安全凭证中继器或分发器；

将与接收到的安全凭证相关联的飞行器标识符和航班的乘务人员清单中的安全凭证目的地进行关联，所述安全凭证目的地与分配给在所述航班上工作的乘务人员的乘务人员计算装置对应；以及

将所述安全凭证从所述安全凭证中继器或分发器传输至由所述安全凭证目的地指定的乘务人员计算装置。

16.根据权利要求15所述的方法，还包括：

在所述机上娱乐通信系统上接收从所述乘务人员计算装置传输的所述安全凭证；

验证所述安全凭证；以及

在验证所述安全凭证后，向所述乘务人员计算装置授予对所述机上娱乐通信系统的管理接口的访问特权。

17.根据权利要求15所述的方法，其中，响应于飞行终止事件而生成所述安全凭证。

18.根据权利要求15所述的方法，其中，所述安全模块包括不在飞行器上的地面远程安全模块，以及在飞行器上并且连接至飞行器的机上娱乐通信系统的管理接口的本地安全模块，所述方法还包括：

将所述安全凭证从所述远程安全模块传输到连接至所述飞行器的机上娱乐通信系统的管理接口的所述本地安全模块。

19.根据权利要求18所述的方法，其中，所述本地安全模块在所述机上娱乐通信系统上运行，所述方法还包括：

在运行于所述机上娱乐通信系统上的所述本地安全模块上接收从所述乘务人员计算装置传输的安全凭证；

使用本地安全模块验证所述安全凭证；以及

在验证所述安全凭证后，向所述乘务人员计算装置授予对所述机上娱乐通信系统的管理接口的访问特权。

20.根据权利要求18所述的方法，其中，所述安全凭证被分配有有效期。