FR3050555A1 - Procede de traitement d'un fichier de mise a jour d'un equipement avionique d'un aeronef, produit programme d'ordinateur, dispositif electronique de traitement et systeme de traitement associes - Google Patents

Procede de traitement d'un fichier de mise a jour d'un equipement avionique d'un aeronef, produit programme d'ordinateur, dispositif electronique de traitement et systeme de traitement associes Download PDF

Info

Publication number
FR3050555A1
FR3050555A1 FR1600665A FR1600665A FR3050555A1 FR 3050555 A1 FR3050555 A1 FR 3050555A1 FR 1600665 A FR1600665 A FR 1600665A FR 1600665 A FR1600665 A FR 1600665A FR 3050555 A1 FR3050555 A1 FR 3050555A1
Authority
FR
France
Prior art keywords
condensate
update
mobile terminal
aircraft
calculated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1600665A
Other languages
English (en)
Other versions
FR3050555B1 (fr
Inventor
Christian Cantaloube
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Priority to FR1600665A priority Critical patent/FR3050555B1/fr
Priority to US15/491,621 priority patent/US10452382B2/en
Priority to CN201710265527.0A priority patent/CN107066898A/zh
Publication of FR3050555A1 publication Critical patent/FR3050555A1/fr
Application granted granted Critical
Publication of FR3050555B1 publication Critical patent/FR3050555B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • G06F21/645Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Power Engineering (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Stored Programmes (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Ce procédé permet de valider un fichier de mise à jour d'au moins un ensemble de données informatiques d'un équipement avionique d'un aéronef. Le procédé de traitement est mis en œuvre au sein d'un système de traitement comprenant un terminal mobile (10) indépendant de l'aéronef, une unité de mise à jour (11) intégrée à l'aéronef, et une base de données (12) distante de l'aéronef et du terminal mobile (10) et comprend : - l'obtention (21) d'un condensat calculé, le condensat calculé résultant de l'application, par l'unité de mise à jour (11), d'une fonction de hachage cryptographique au fichier de mise à jour, - l'obtention (22) d'un condensat de référence, le condensat de référence étant acquis par le terminal mobile (10) par accès sécurisé à une base de données comprenant le condensat de référence, - le traitement du fichier de mise à jour en fonction d'une comparaison du condensat calculé avec le condensat de référence.

Description

Procédé de traitement d'un fichier de mise à jour d'un équipement avionique d'un aéronef, produit programme d'ordinateur, dispositif électronique de traitement et système de traitement associés
La présente invention concerne un procédé de traitement d’un fichier de mise à jour d’au moins un ensemble de données informatiques d’un équipement avionique d’un aéronef, le procédé de traitement étant mis en œuvre au sein d’un système de traitement comprenant un terminal mobile indépendant de l’aéronef, une unité de mise à jour intégrée à l’aéronef, et une base de données distante de l’aéronef et du terminal mobile. L'invention concerne également un produit programme d'ordinateur comportant des instructions logicielles qui, lorsque mis en œuvre par une unité de traitement d'informations intégrée au sein d’un système de traitement du type précité, met en œuvre un tel procédé de traitement. L’invention concerne également un dispositif électronique de traitement d’un fichier de mise à jour d’au moins un ensemble de données informatiques d’un équipement avionique d’un aéronef, le dispositif électronique de traitement étant configuré pour être intégré dans un système de traitement d’un fichier de mise à jour, le système de traitement comprenant un terminal mobile indépendant de l’aéronef, une unité de mise à jour intégrée à l’aéronef, et une base de données distante de l’aéronef et du terminal mobile. L’invention concerne également un système de traitement d’un fichier de mise à jour d’au moins un ensemble de données informatiques d’un équipement avionique d’un aéronef, le système de traitement comprenant au moins : un terminal mobile indépendant de l’aéronef, une unité de mise à jour intégrée à l’aéronef, une base de données distante de l’aéronef et du terminal mobile. L’invention s’applique au domaine de l’avionique, et plus particulièrement à celui des systèmes de mise à jour de composant logiciels et de bases de données d’équipement avionique d’un aéronef, tel qu'un avion ou un hélicoptère, ou encore un drone.
De façon classique, une telle mise à jour est opérée, soit par transfert de fichiers (i.e. ensemble de données) mémorisés sur des périphériques de stockage mobiles tels que des disques durs, des clés USB (de l'anglais Universal Serial Bus), des ordinateurs portables, soit par transmission de données via des liaisons de communication, telle que des liaisons de communication radio. L’intégrité d’une telle opération de mise à jour des données embarquées sur un équipement avionique est critique au regard de la sécurité du vol et du bon déroulement des opérations de navigation. Pour assurer une telle intégrité, des solutions basées sur l’application d’une fonction de hachage cryptographique, aux fichiers de mise à jour dont le résultat est appelé condensât, ou valeur de hachage, ou encore empreinte numérique sont mises en œuvre.
Un exemple de ce type de solution est notamment décrit dans le document US 2013/036103 A1.
Selon ce document, une comparaison entre un condensât calculé et un condensât de référence préalablement stocké au sein d’un module d’intégrité de l’aéronef est mise en œuvre pour valider la mise à jour.
Toutefois, cette solution mise en œuvre au sein de l’aéronef s’avère inefficace lorsqu’un tiers malveillant parvient à s’introduire dans le système de mise à jour de l’aéronef. Par ailleurs, cette solution requiert une mise à jour préalable et récurrente des condensats de référence stockés au sein du module d’intégrité de l’aéronef, ces condensais de référence étant eux-mêmes des fichiers de données dont il faut protéger l’intégrité au sein de l’aéronef.
Pour y remédier, des solutions basées sur une signature électronique combinant la technique de condensât précitée et un chiffrage par échange de clés asymétriques ont été proposées. Néanmoins, ces solutions sont complexes à mettre en œuvre d’un point de vue logistique du fait que le chiffrage suppose une distribution d’une part de clés publiques à l’aéronef et d’autre part de clés privées aux équipementiers délivrant les mises à jour à installer, ainsi qu'une gestion au cours du temps de la validité de ces clés et des certificats associés (par exemple en cas de révocation).
Un but de l’invention est donc de proposer un procédé de traitement d’un fichier de mise à jour, permettant d’améliorer la sécurité lors de la mise à jour d’au moins un ensemble de données informatiques d’un équipement avionique d’un aéronef, tout en facilitant la réalisation de la mise à jour. A cet effet, l’invention a pour objet un procédé de traitement d’un fichier de mise à jour du type précité, le procédé de traitement comprenant les étapes suivantes : l’obtention d’un condensât calculé, associé au fichier de mise à jour, le condensât calculé résultant de l’application, par l’unité de mise à jour, d’une fonction de hachage cryptographique au fichier de mise à jour, l’obtention d’un condensât de référence, associé au fichier de mise à jour, le condensât de référence étant acquis par le terminal mobile par accès sécurisé à une base de données comprenant le condensât de référence, le traitement du fichier de mise à jour en fonction d’une comparaison du condensât calculé avec le condensât de référence.
Par « fichier de mise à jour », on entend un logiciel ou un jeu de données.
Par « ensemble de données informatiques d’un équipement avionique », on entend une partie logicielle ou une base de données de l’équipement avionique sur lequel le fichier de mise à jour est appliqué.
Par « obtention », on entend l’obtention « directe » ou « indirecte » d'un objet. Par exemple, selon une première architecture de système de traitement, l’obtention du condensât calculé est, « directe » lors de la détermination effectuée par l’unité de mise à jour, et, selon une deuxième architecture, « indirecte », lorsque le terminal mobile obtient le condensât calculé préalablement déterminé par l’unité de mise à jour.
Suivant d’autres aspects avantageux de l’invention, le procédé de traitement comprend une ou plusieurs des caractéristiques suivantes, prises isolément ou suivant toutes les combinaisons techniquement possibles : la comparaison du condensât calculé avec le condensât de référence comprend une obtention d’un indicateur de comparaison comprenant : l’acquisition de l’indicateur de comparaison saisi par un opérateur, ou la mise en œuvre automatique de la comparaison du condensât calculé avec le condensât de référence, le procédé comprend en outre la mémorisation de l'indicateur de comparaison, lorsque le procédé est mis en œuvre par le terminal mobile, l’obtention du condensât calculé comprend ; la réception du condensât calculé émis par l’unité de mise à jour, ou la réception du condensât calculé saisi par un opérateur, ou une acquisition, basée sur une reconnaissance optique du condensât calculé, sur un écran de restitution de l’aéronef, lorsque le procédé est mis en œuvre par l’unité de mise à jour, l'obtention du condensât de référence comprend : la réception du condensât de référence émis par le terminal mobile, ou la réception du condensât de référence saisi par un opérateur, ou une acquisition, basée sur une reconnaissance optique du condensât de référence, sur un écran de restitution du terminal mobile, le traitement du fichier de mise à jour en fonction d’une comparaison du condensât calculé avec le condensât de référence comprend: la validation du fichier de mise à jour lorsque le condensât calculé est identique au condensât de référence, ou la suppression du fichier de mise à jour lorsque le condensât calculé est différent du condensât de référence.
Le « traitement du fichier de mise à jour » comprend donc au sens large les opérations de traitement qui permettent la validation (par exemple, par génération d’une validation associée au fichier de mise à jour, ou par acquisition d’une validation associée au fichier de mise à jour saisie par un opérateur) ou la suppression du fichier de mise à jour. L’invention a également pour objet un produit programme d’ordinateur comportant des instructions logicielles qui, lorsque mis en œuvre par une unité de traitement d’informations intégrée au sein d’un système de traitement du type précité, met en œuvre un procédé de traitement tel que défini ci-dessus. L’invention a également pour objet un dispositif électronique de traitement du type précité, dans lequel le dispositif électronique de traitement comprend : un module d’obtention d’un condensât calculé, associé au fichier de mise à jour, le condensât calculé résultant de l'application, par l’unité de mise à jour, d’une fonction de hachage cryptographique au fichier de mise à jour, un module d'obtention d’un condensât de référence, associé au fichier de mise à jour, le condensât de référence étant acquis par le terminal mobile par accès sécurisé à une base de données comprenant le condensât de référence, un module de traitement du fichier de mise à jour en fonction d’une comparaison du condensât calculé avec le condensât de référence. L'invention a également pour objet un système de traitement d’un fichier de mise à jour du type précité dans lequel : le terminal mobile comprend au moins un module d’obtention d’un condensât de référence, associé au fichier de mise à jour, le condensât de référence étant acquis par le terminal mobile par accès sécurisé à une base de données comprenant le condensât de référence, l’unité de mise à jour comprend au moins un module d’obtention d’un condensât calculé, associé au fichier de mise â jour, le condensât calculé résultant de l’application, par l’unité de mise à jour, d’une fonction de hachage cryptographique au fichier de mise à jour, et le terminal mobile, ou l’unité de mise à jour, comprend un module de traitement du fichier de mise à jour en fonction d’une comparaison du condensât calculé avec le condensât de référence.
Suivant un autre aspect avantageux de l’invention, le système de traitement est tel que l’unité de mise à jour est une unité électronique intégrée dans l’équipement avionique, ou une unité électronique distincte du ou des équipements avioniques de l’aéronef.
Ces caractéristiques et avantages de l’invention apparaîtront à la lecture de la description qui va suivre, donnée uniquement à titre d’exemple non limitatif, et faite en référence aux dessins annexés, sur lesquels : - la figure 1 est une vue schématique d’un exemple d’architecture de système de traitement d’un fichier de mise à jour selon l’invention comprenant un terminal mobile, une unité de mise à jour connectée à un équipement avionique d’un aéronef, et une base de données distante de l’aéronef et du terminal mobile, - la figure 2 est un organigramme d’un procédé de traitement d’un fichier de mise à jour selon l’invention, - les figures 3 à 5 illustrent trois modes de réalisation de l’étape d’obtention d’un condensât calculé du procédé de traitement illustré par la figure 2, et - les figures 6 et 7 illustrent deux modes de réalisation de l’étape d’obtention d’un condensât de référence du procédé de traitement illustré par la figure 2, - les figures 8 et 9 illustrent deux modes de réalisation de l’étape d’obtention d’un indicateur de comparaison du procédé de traitement illustré par la figure 2, - la figure 10 est un organigramme des étapes mises en œuvre réciproquement par l’unité de mise à jour lorsque le procédé selon l’invention est mis en œuvre par un dispositif électronique de traitement intégré au terminal mobile, selon une première architecture du système de traitement tel qu’illustré sur la figure 1.
Sur la figure 1, un système de traitement d’un fichier de mise à jour selon l’invention comprend au moins un terminal mobile 10 apte à être porté par un opérateur de maintenance 14, ce dernier étant chargé d’installer une mise à jour d’un ensemble de données informatiques d’un équipement avionique d’un aéronef (non représenté). Le terminal mobile 10 est donc apte à être déplacé, et localisé à l’extérieur ou à l’intérieur de l’aéronef.
Le système de traitement d’un fichier de mise à jour comprend également au moins une unité 11 de mise à jour de l’ensemble de données informatiques d’un équipement avionique de l’aéronef.
Une telle unité de mise à jour 11 est intégrable dans l’aéronef et utilisable, pour la maintenance d’une pluralité d’équipements avioniques distincts, ou dédiée à un équipement avionique particulier.
En d’autres termes, selon une première variante l’unité de mise à jour 11 est dédiée à un équipement avionique particulier et fait physiquement partie de cet équipement avionique (i.e. l'unité de mise à jour est un sous-ensemble d’un équipement avionique).
Selon une deuxième variante, l’unité de mise à jour 11 est un équipement avionique en tant que tel de l’aéronef (i.e. physiquement autonome au regard des autres équipements avioniques) et est utilisée pour mettre à jour un ou plusieurs autres équipements avioniques distincts.
Par ailleurs, le système de traitement d’un fichier de mise à jour comprend une base de données 12 distante de l’aéronef, et également distante du terminal mobile 10.
Une telle base de données 12 correspond par exemple à un système informatique au sol, hébergé chez un équipementier avionique certifié du fabricant de l’aéronef, chez le fabricant de l’aéronef ou chez la compagnie opératrice de l’aéronef, et intègre un module d’authentification forte par signatures/certificats (depuis par exemple le producteur d’origine).
En complément, le système de mise à jour comprend également un écran de restitution 13 localisé sur l’aéronef, par exemple un des écrans du cockpit.
Selon une première variante, le système de traitement d’un fichier de mise à jour comprend un outil 17 de chargement du ou des fichier(s) de mise à jour, indépendant de l’unité de mise à jour 11, et dont il est complexe de garantir l’intégrité de manière pérenne.
Selon un premier exemple, un tel outil de chargement 17 est un média : i.e. un support de stockage amovible tel qu’une clé USB, une carte mémoire, un disque de données (CD/DVD). Dans ce cas, l’unité de mise à jour 11 comprend, ou est connectée, via une liaison sans fil ou filaire à, un lecteur de média (non représenté) compatible avec le média 17 utilisé.
Selon un deuxième exemple, l’outil de chargement 17 est un ordinateur portable comprenant, une mémoire (i.e. disque dur) dans laquelle le fichier de mise à jour est stocké, et un lecteur de média. Dans ce cas l’ordinateur portable est également connecté à l’unité de mise à jour (11) via une liaison filaire ou une liaison sans fil.
Selon une autre variante, le ou les fichier(s) de mise à jour est (sont) transmis par la base de données 12 à l’unité de mise à jour 11 au moyen d’une liaison de données 15 du réseau public (non représenté), telle qu’une liaison radioélectrique de données, ou encore une liaison filaire, par exemple, en cas de passage en atelier de maintenance de l’aéronef.
Le terminal mobile 10 et la base de données 12 communiquent via un réseau de communication sécurisé, par exemple au moyen d’une liaison VPN 16 (de l’anglais Virtual Private Network).
Le terminal mobile 10, indépendant de l’aéronef, comprend une première unité d’information 1000 formée par exemple d’un premier processeur 100, et d’une première mémoire 102 associée au premier processeur 100.
Le terminal mobile 10 est, par exemple, un ordiphone (de l’anglais smartphone) géré par un système d’exploitation, tel que le système d’exploitation Android de la société Google®, ou selon un autre exemple, une tablette tactile, et comprend en outre une antenne radioélectrique et un émetteur-récepteur radioélectrique (non représentés), l'émetteur-récepteur est connecté à l’unité de traitement d’informations 1000. Par ailleurs, un tel terminal mobile 10 comprend un clavier, un écran, et, par exemple, un appareil photo numérique.
Selon un aspect optionnel, le terminal mobile 10 est également configuré pour échanger, avec l'unité de mise à jour 11, à l’aide d’une liaison de données 18, telle qu’une liaison radioélectrique de données ou encore une liaison filaire.
Selon un aspect particulier, le terminal mobile 10 est configuré pour mettre en œuvre une solution de sécurisation Teopad® de la société Thaïes®.
Le terminal mobile 10 est porté par l’opérateur 14 de maintenance et est de ce fait indépendant de la base de donnée 12 comme de l’aéronef comprenant l’équipement avionique auquel est connectée l’unité de mise à jour 11. Ainsi, un même terminal mobile 10 est par exemple utilisable par l’opérateur 14 pour mettre à jour un même ensemble de données informatiques d’un même équipement avionique de plusieurs aéronefs.
Plusieurs architectures de systèmes de traitement d’un fichier de mise à jour selon l’invention sont implémentables.
Une première architecture correspond au système de traitement d’un fichier de mise à jour tel que représenté sur la figure 1. Selon ce premier exemple d’architecture, le terminal mobile 10 comprend un dispositif électronique 1001 de traitement de mise à jour.
Un tel dispositif électronique de traitement d’un fichier de mise à jour 1001 comprend, premièrement, un premier module 104 d’obtention, via la liaison de données 18, d’un condensât calculé associé au fichier de mise à jour, le condensât calculé résultant de l’application, par l’unité de mise à jour 11 d’une fonction de hachage cryptographique, au fichier de mise à jour.
Selon une première variante de réalisation, ce premier module d’obtention 104 comprend un émetteur-récepteur radioélectrique (non représenté) qui reçoit directement via la liaison de données 18 le condensât calculé émis, par l’unité de mise à jour 11.
Selon cette première variante, il est donc possible que l’opérateur 14 de maintenance porteur du terminal mobile 10 soit à distance de l’aéronef, sous réserve que l'émetteur-récepteur radioélectrique du terminal mobile reste dans la zone de portée d’émission de l’unité de mise à jour 11.
En outre, la liaison de donnée 18 utilisée par l’émetteur-récepteur radioélectrique est conçue pour éviter l’introduction d’un leurre par un tiers malveillant lors de la communication entre l’unité de mise à jour 11 et le terminal mobile 10.
Selon une deuxième variante de réalisation, ce premier module d’obtention 104 comprend un module de réception du condensât calculé saisi par l’opérateur 14. Un tel module de réception (non représenté) correspond par exemple au clavier du terminal mobile 10.
Selon une troisième variante de réalisation, ce premier module d’obtention 104 comprend un module d’acquisition (non représenté) configuré pour lire le condensât calculé, ou une image représentative du condensât calculé, sur l’écran de restitution 13 de l’aéronef. Un tel module d’acquisition (non représenté) correspond dans ce cas à un appareil photo numérique du terminal mobile 10, ou comprend avantageusement un module de reconnaissance optique d’objet (non représenté) tel qu’une image (par exemple un lecteur de code QR (de l’anglais Quick Response) ou tel qu’une chaîne de caractères.
Le dispositif électronique de traitement d’un fichier de mise à jour 1001 comprend également un deuxième module 103 d’obtention, via l’accès sécurisé utilisant la liaison sécurisée 16, d’un condensât de référence associé au fichier de mise à jour, certifié et stocké dans la base de données 12 distante de l’aéronef et du terminal mobile 10.
Selon un aspect particulier, l’activation de ce deuxième module d’obtention 103 est synchronisée avec le premier module d’obtention 104 au moyen d’un module de synchronisation (non représenté), de sorte qu’une fois que le condensât calculé est reçu, le deuxième module d’obtention 103 est activé pour accéder en temps réel à la base de données 12.
Selon un autre aspect, l’activation de ce deuxième module d’obtention 103 est préalable à l’obtention du condensât calculé. Dans ce cas, le deuxième module d’obtention 103 est connecté à la première mémoire 102 du terminal de sorte à être configuré pour y stocker le condensât de référence obtenu préalablement au condensât calculé.
Le dispositif électronique de traitement d’un fichier de mise à jour 1001 comprend également optionnellement un module d’obtention d’un indicateur de comparaison 105 du condensât calculé avec le condensât de référence. Ce module d’obtention d'un indicateur de comparaison 105 est connecté aux premier et deuxième modules d'obtention du condensât de référence, et du condensât calculé respectivement, tels que décrits ci-dessus.
Selon une première variante, ce module d’obtention d’un indicateur de comparaison 105 comprend une interface homme-machine 1050 permettant une interaction avec l’opérateur 14.
Une telle interface homme-machine 1050 comprend, par exemple, un écran de restitution, un haut-parleur, et un module de saisie (non représenté) tel qu’un clavier (tactile ou non) ou un logiciel de reconnaissance vocale.
Cette interface homme-machine 1050 est configurée pour permettre à l’opérateur 14 de prendre à sa charge la comparaison du condensât calculé avec le condensât de référence et d’obtenir mentalement le résultat de la comparaison, puis de saisir ce résultat de comparaison.
Selon une deuxième variante, ce module d’obtention d’un indicateur de comparaison 105 est configuré pour mettre en oeuvre automatiquement (i.e. sans intervention d’un opérateur) la comparaison du condensât de référence et du condensât calculé.
Par ailleurs, le dispositif électronique de traitement d’un fichier de mise à jour 1001 du terminal mobile 10 comprend, selon l’exemple de première architecture de système de traitement d’un fichier de mise à jour tel que représenté sur la figure 1, un module de traitement du fichier de mise à jour comprenant un module 106 de génération d’une validation du fichier de mise à jour, notamment lorsque le module d’obtention d’un indicateur de comparaison 105 est configuré pour mettre en œuvre automatiquement (i.e. sans intervention d’un opérateur) la comparaison. Un tel module de génération 106 d’une validation du fichier de mise à jour est connecté au module d’obtention d’un indicateur de comparaison 105 décrit ci-dessus.
Ce module de génération 106 est configuré pour délivrer automatiquement (i.e. sans intervention d’un opérateur) une validation V lorsque le module d’obtention d’un indicateur de comparaison 105 délivre automatiquement un résultat positif représentatif d’une identité entre le condensât de référence et le condensât calculé. Par exemple, si les condensais sont des images, un résultat positif correspond à une image de référence et une image associé au fichier de mise à jour identiques. Si les condensats sont de type SHA-1, i.e. des mots de 160 bits, le condensât de référence est égal, i.e. identique au condensât calculé, et les bits du condensât de référence et du condensât calculé sont identiques deux à deux.
Selon l’exemple de première architecture de système de traitement illustré par la figure 1, le module de traitement du fichier de mise à jour du dispositif électronique de traitement 1001 intégré au terminal mobile 10 comprend également un module de transmission 107 de la validation V à l’unité de mise à jour 11.
Selon l’exemple d’architecture de système de traitement illustré par la figure 1, l’unité de mise à jour 11 comprend également une deuxième unité d’information 1100 formée par exemple d’un deuxième processeur 110, et d’une deuxième mémoire 112 associée au deuxième processeur 110.
Par ailleurs, l’unité de mise à jour 11 comprend un module 113 de chargement dans une zone temporaire de la mémoire 112 de l’unité de mise à jour 11 avec le fichier de mise à jour.
Ce module de chargement 113 est par exemple un port USB, un port Bluetooth®, (i.e. un port conforme à la norme IEEE 802.15) ou encore un port NFC (de l’anglais Near Field Communication), configuré pour communiquer selon une première variante avec l’outil de chargement 17. Selon une deuxième variante, le module de chargement 113 correspond à un récepteur radioélectrique, un port Ethernet ou encore un récepteur Wi-Fi (conforme à la norme IEEE 802.11) configuré pour recevoir le fichier de mise à jour, émis directement depuis la base de données 12 via une liaison de données 15 du réseau de communication public. L’unité de mise à jour 11 comprend également un module 114 de détermination d’un condensât calculé. Ce module de détermination 114 est configuré pour appliquer au fichier de mise à jour une fonction de hachage cryptographique dont le résultat est appelé condensât, ou valeur de hachage, ou encore empreinte numérique.
En d’autres termes, un condensât correspond à une « empreinte » représentative du fichier de mise à jour permettant de le caractériser distinctement (par principe, un fichier ne peut pas être modifié sans que son condensât ne change).
Le module de détermination 114 est un calculateur utilisant un programme de calcul de condensât analogue, (en termes de formule/algorithme) à celui ou ceux mis en œuvre au sein de la base de données 12, du fait qu’il est propre à appliquer la même fonction de hachage cryptographique que celle mise en œuvre par la base de données 12. L’unité de mise à jour 11 comprend également un module 115 de transmission, du condensât calculé à partir du fichier de mise à jour reçu. Selon un aspect particulier, tel qu’illustré par la figure 1, un tel module de transmission 115 est un module de transmission-réception configuré pour transmettre mais également recevoir des données.
Ce module de transmission 115 est relié d’une part, au module de détermination 114 précité et d’autre part, selon une première variante au terminal mobile 10 via une liaison de données 18, ou selon une deuxième variante à l’écran de restitution 13 via une liaison 19, filaire ou non.
Selon un aspect optionnel de l’invention, la liaison de transmission 18 ou 19 utilisée entre le module de transmission 115 et l’entité destinataire, à savoir le terminal mobile 10 ou l’écran de restitution 13 de l’aéronef, est sécurisée ou ségréguée de sorte à éviter toute possibilité de leurrage par remplacement du condensât calculé par un condensât valide. L’unité de mise à jour 11 comprend en outre un module 116 de mise à jour de l’ensemble de données informatiques de l’équipement avionique de l’aéronef.
Un tel module de mise à jour 116 est, selon l’exemple de première architecture illustré par la figure 1 activé en présence d’une validation du fichier de mise à jour reçue du terminal mobile. Pour ce faire, ce module de mise à jour 116 est connecté au module de transmission-réception 115 de l’unité de mise à jour 11, le module de transmission-réception 115 étant configuré pour recevoir des données du terminal mobile 10 via une liaison de données 18 du réseau de communication public. Un tel module de mise à jour 116 est configuré pour charger définitivement le fichier de mise à jour depuis sa mémoire 112 vers l’équipement avionique dont l’ensemble de données informatiques est concerné par le fichier de mise à jour. L’unité de mise à jour 11 comprend également optionnellement un module 117 de suppression du fichier de mise à jour de la zone temporaire de la deuxième mémoire 112. Un tel module de suppression 117 est activé en l’absence d’une validation reçue du terminal mobile 10 par le module de réception précité. En d’autres termes, un tel module 117 de suppression est configuré pour bloquer l’utilisation du fichier de mise à jour.
Selon une variante optionnelle, l’unité de mise à jour 11 comprend également un compteur (non représenté) connecté au module de transmission 115 précité, au module de réception et au module de suppression 117 décrits ci-dessus. Un tel compteur est configuré pour mesurer le temps qui s’écoule à partir de la transmission, par l’unité de mise à jour 11, du condensât calculé, et pour activer le module de suppression 117 en l’absence de validation reçue du terminal mobile au-delà d’une période prédéterminée.
Selon un deuxième exemple d'architecture (non représenté) du système de traitement d’un fichier de mise à jour, le dispositif électronique de traitement d’un fichier de mise à jour 1001 est intégré au sein de l’unité de mise à jour 11 au lieu d’être intégré dans le terminal mobile 10.
Selon cette deuxième architecture du système de traitement, le terminal mobile 10 comprend toujours le deuxième module 103 d’obtention, via l’accès sécurisé à la base de donnée 12 utilisant la liaison sécurisée 16, d’un condensât de référence associé au fichier de mise à jour.
De plus, selon cette deuxième architecture du système de traitement, selon une première option (non représentée), le terminal mobile 10 comprend un module de transmission du condensât de référence à l’unité de mise à jour 11.
Selon une deuxième option, l’écran du terminal mobile 10 est configuré pour restituer automatiquement, ou sur requête, le condensât de référence.
Selon cette deuxième architecture du système de traitement où l’unité de mise à jour 11 comprend le dispositif électronique de traitement 1001, l’unité de mise à jour comprend alors également un module d’obtention (i.e. obtention « indirecte ») d’un condensât de référence intégré au dispositif électronique de traitement 1001.
Selon une première option, le module d’obtention du condensât de référence du dispositif de traitement intégré à l’unité de mise à jour 11 comprend un module de réception configuré pour recevoir le condensât de référence émis par le module de transmission du terminal mobile 10.
Selon une deuxième option, le module d’obtention du condensât de référence du dispositif de traitement intégré à l’unité de mise à jour 11 comprend un module de réception configuré pour recevoir le condensât de référence saisi par l'opérateur 14.
Selon une troisième option, le module d’obtention du condensât de référence du dispositif de traitement intégré à l’unité de mise à jour 11 comprend un module d’acquisition configuré pour mettre en oeuvre une reconnaissance optique du condensât de référence sur un écran de restitution du terminal mobile.
Selon cette deuxième architecture, le module d’obtention d’un condensât calculé, associé au fichier de mise à jour est le module de détermination 114 d’un condensât calculé, décrit précédemment en relation avec la première architecture représentée par la figure 1.
De manière similaire à la première architecture de système de traitement précédemment décrite, selon la deuxième architecture où le dispositif électronique de traitement est intégré dans l’unité de mise à jour, le dispositif électronique de traitement 1001 comprend optionnellement un module d’obtention 105 d’un indicateur de comparaison du condensât calculé avec le condensât de référence. Ce module d’obtention 105 comprend selon une première variante une interface homme-machine 1050 permettant une interaction avec l’opérateur 14. Selon une deuxième variante, ce module d’obtention 105 est configuré pour mettre en œuvre automatiquement (i.e. sans intervention d’un opérateur) la comparaison du condensât de référence et du condensât calculé.
Selon cette deuxième architecture de système de traitement où le dispositif électronique de traitement 1001 est intégré à l’unité de mise à jour 11, le module de transmission 107 de validation tel que décrit relativement à la première architecture, où le dispositif électronique de traitement est intégré au terminal mobile 10, n’est pas nécessaire.
Ainsi, selon cette deuxième architecture le module de traitement du fichier de mise à jour comprend, notamment lorsque le module d’obtention d’un indicateur de comparaison 105 est configuré pour mettre en œuvre automatiquement (i.e. sans intervention d’un opérateur) la comparaison, le module de génération 106 d’une validation V du fichier de mise à jour, le module de mise à jour 116 et le module de suppression 117 tels que décrits relativement à la première architecture.
Selon un troisième exemple d’architecture du système de traitement d’un fichier de mise à jour (non représenté), le dispositif électronique de traitement d’un fichier de mise à jour 1001 est « éclaté » entre le terminal mobile 10 et l’unité de mise à jour 11.
En d’autres termes, d’une part, le terminal mobile 10 comprend toujours le deuxième module 103 d’obtention, via l’accès sécurisé à la base de donnée 12 utilisant la liaison sécurisée 16, d’un condensât de référence associé au fichier de mise à jour. En outre, selon cette troisième architecture, l’écran du terminal mobile 10 est configuré pour restituer à l’opérateur 14 le condensât de référence. D’autre part, l’unité de mise à jour 11 comprend le module d’obtention d’un condensât calculé, associé au fichier de mise à jour, le condensât calculé résultant de l’application, par l’unité de mise à jour 11, d’une fonction de hachage cryptographique au fichier de mise à jour, ce module d’obtention d’un condensât calculé étant le module de détermination 114 d'un condensât calculé décrit précédemment en relation avec la première architecture représentée par la figure 1. En outre, selon cette troisième architecture, l’écran de l'aéronef 13 est configuré pour restituer à l’opérateur 14 le condensât calculé.
Selon cette troisième architecture, le module de traitement, du fichier de mise à jour, en fonction d’une comparaison du condensât calculé avec le condensât de référence, comprend une interface homme-machine 1050 permettant l’acquisition d’une validation (ou d’une requête de suppression du fichier de mise à jour) saisie par l’opérateur 14 qui a fait lui-même la comparaison entre le condensât calculé et le condensât de référence restitués réciproquement par l’écran 13 de l’aéronef et l’écran du terminal mobile 10.
Un tel module de traitement est intégré soit au terminal mobile 10 soit à l’unité de mise à jour 11.
Lorsque le module de traitement est intégré au terminal mobile 10, il comprend optionnellement les moyens de transmission 107 de la validation à l’unité de mise à jour 11.
Lorsque le module de traitement est intégré à l’unité de mise à jour 11, le module de mise à jour 116, précédemment décrit relativement à la première architecture, est activé en présence de la validation saisie par l’opérateur 14.
Le traitement d’un fichier de mise à jour, telle que mise en œuvre au sein de la première architecture du système de traitement illustré par la figure 1, va être à présent décrite à l’aide des figures 2 à 10 respectivement.
Selon cette première architecture, la validation d’une mise à jour en tant que telle est mise en œuvre par le terminal mobile 10 précédemment décrit et suppose une interaction, telle que décrit ci-après, avec d’une part l’unité de mise à jour 11, qui charge les données de mise à jour et met en œuvre la mise à jour le cas échéant, et d’autre part la base de donnée 12 qui sert de référence pour la validation. L’homme du métier comprendra que le procédé de traitement d’un fichier de mise à jour décrit ci-après est un exemple de réalisation parmi d’autres permettant de valider un fichier de mise à jour par un système de validation selon l’invention. Un tel procédé décrit en relation avec la première architecture de système de validation est aisément transposable aux deux autres architectures de système de validation décrites précédemment.
En premier Heu, selon le procédé de validation mis en œuvre dans le système de validation dont une première architecture est illustrée sur la figure 1, l’unité de mise à jour 11 met en œuvre une étape 61 de chargement des données de mise à jour dans une zone temporaire de sa mémoire 112. Selon une première variante, une telle étape de chargement 61 est opérée à partir de l’outil de chargement 17 connecté au module de chargement 113 de l’unité de mise à jour 11. Selon une deuxième variante, une telle étape de chargement 61 correspond à la réception par le module de chargement 113 du fichier de mise à jour transmises par une liaison de donnée 15 du réseau public par la base de données 12.
Une fois que l’étape de chargement 61 de ces données est effectuée, l’unité de mise à jour 11 met en oeuvre une étape 62 de détermination du condensât qui leur est associé en appliquant une fonction de hachage cryptographique, certifiée et identique à celle mise en œuvre par la base de données 12.
Par exemple, une telle fonction de hachage cryptographique est de type SHA-1, SHA-2, SHA-224, SHA-256, SHA-3 etc. Selon l’invention, tout type de fonction de hachage est mis en œuvre de sorte à délivrer un condensât, ou « empreinte » représentant au moins un fichier de mise à jour dont l’intégrité doit être vérifiée avant la mise en œuvre effective de la mise à jour.
Lorsque la mise à jour requiert une pluralité de fichiers de mise à jour, la fonction de hachage est : • selon un premier exemple, appliquée à l’ensemble de la pluralité de sorte à délivrer un condensât pour l’ensemble de la pluralité, ou • selon un deuxième exemple, appliquée à un groupe de fichiers de mise à jour de la pluralité, ou • selon un troisième exemple, appliquée à chaque fichier de la pluralité de sorte à délivrer autant de condensais qu’il y a de fichiers dans la pluralité, etc.
Une fois l’étape de détermination 62 réalisée, l’unité de mise â jour 11 met en œuvre une étape 63 de transmission de ce condensât calculé, soit, selon une première variante illustrée par la figure 3, directement au terminal mobile 10 de l’opérateur 14, via une liaison, radio ou filaire, dédiée ou sécurisée, soit, selon une deuxième variante illustrée par la figure 4, à l’écran de restitution 13 de l’aéronef.
Cette étape de transmission 63 comprend optionnellement des informations complémentaires d’identification du fichier de mise à jour, telles qu’un identifiant, un numéro de version, l’origine ou l’auteur de ce fichier de mise à jour. De telles informations complémentaires d’identification permettent notamment de faciliter la gestion et la traçabilité des fichiers de mise à jour. Réciproquement, le terminal mobile 10 met en œuvre une première étape d’obtention 21 du condensât calculé. Selon la première variante décrite ci-dessus et illustrée par la figure 3, le terminal mobile 10 met en œuvre une étape 210 de réception du condensât calculé, transmis par l’unité de mise à jour 11, via une liaison, radio ou filaire, dédiée ou sécurisée.
Selon la deuxième variante illustrée par la figure 4, une telle première étape d’obtention 21 par le terminal mobile 10 comprend une étape 212 d’acquisition, par exemple par lecture, de l’écran de restitution 13 de l’aéronef auquel l’unité de mise à jour 11 à transmis le condensât calculé.
Une telle étape d’acquisition 212 est par exemple basée sur une reconnaissance optique du condensât calculé.
Selon une troisième variante illustrée par la figure 5, une telle première étape d’obtention 21 par le terminal mobile 10 comprend une étape 211 de réception du condensât calculé saisi par l’opérateur 14, une fois que l’opérateur 14 a lu le condensât calculé restitué par l’écran de restitution 13.
Le terminal mobile 10 met également en oeuvre une deuxième étape 22 d’obtention d’un condensât de référence également associé à l’ensemble de données informatiques de l’équipement avionique à mettre à jour.
Selon une première variante illustrée par la figure 6, le terminal mobile 10 met en oeuvre une deuxième étape 221 d’obtention de ce condensât de référence indépendamment de l’instant de mise en oeuvre de la première étape d’obtention 21 du condensât calculé.
En effet, selon cette variante, le terminal mobile 10 met en œuvre une étape 220 de transmission d’une requête d'obtention de condensat(s) de référence destinée à la base de donnée 12 préalablement à une opération de maintenance mise en œuvre par l’opérateur 14 portant le terminal mobile 10.
Une fois le condensât de référence obtenu selon la deuxième étape d'obtention 221, le terminal mobile 10 met en œuvre une étape 222 de stockage du condensât de référence sur une zone de la première mémoire 102 et attend la réalisation de la première étape d’obtention 21 du condensât calculé pour mettre en œuvre les étapes ultérieures du procédé de validation de mise à jour telles que décrites ci-après.
Selon une deuxième variante illustrée par la figure 7, le terminal mobile 10 attend la réalisation de la première étape d’obtention 21 du condensât calculé pour mettre en œuvre une étape 220 de transmission d’une requête d’obtention du condensât de référence correspondant auprès de la base de données 12. Selon cette variante le terminal mobile 10 met en œuvre la deuxième étape d’obtention 221 en temps réel du condensât de référence. L’instant de mise en œuvre de la deuxième étape d’obtention 221 du condensât de référence selon cette deuxième variante dépend donc directement de l’instant de mise en œuvre de la première étape d’obtention 21 par le terminal mobile du condensât calculé.
Une fois le condensât de mise à jour et le condensât de référence obtenus respectivement selon les première et deuxième étapes d’obtention 21, 22 le terminal mobile 10 met en œuvre une étape d’obtention 23 d’un indicateur de comparaison de ces deux condensats.
Selon une première variante illustrée par la figure 8, la comparaison en tant que telle est effectuée par l’opérateur 14 au moyen d’une interface homme-machine 1050. Par exemple, le condensât de référence et le condensât calculé sont restitués au cours d’une étape 231 de restitution sur l’écran de l’interface homme-machine 1050 ou au moyen d’un haut-parleur. L’opérateur 14 effectue lui-même la comparaison et met en œuvre une étape 232 de saisie d’un indicateur représentatif du résultat de cette comparaison. Un tel indicateur correspond par exemple à la saisie, par l’opérateur 14, du message « OK », lorsque le résultat de comparaison est positif, et « KO » lorsque le résultat de comparaison est négatif. Un tel message est par exemple textuel et saisi au moyen d’un clavier (tactile ou non). Selon un autre exemple, un tel message est vocal et saisi au moyen d’un outil de reconnaissance vocale. Selon un autre exemple un tel message est saisi par pression d’une touche « OK » du clavier ou d’une touche « KO » du clavier.
Tout autre doublet d’indicateurs de comparaison peut être utilisé pour représenter le résultat de comparaison mis en œuvre par l’opérateur, tel que l’utilisation de touches de couleur verte et rouge ou d’un code binaire 0 et 1, etc.
Selon une deuxième variante illustrée par la figure 9, le terminal mobile 10 est configuré pour mettre en œuvre automatiquement l’étape de comparaison 233 des deux condensats en utilisant notamment une reconnaissance optique d’objet.
Ainsi, selon cette deuxième variante, la mise en œuvre de l’étape d’obtention 23 de l’indicateur de comparaison ne nécessite aucune intervention de l’opérateur 14.Selon une étape optionnelle, l’indicateur de comparaison est mémorisé (étape non représentée), par exemple dans la mémoire 102 du terminal mobile 10, ou directement dans une mémoire de la base de donnée 12 (i.e. dans ce cas le terminal mobile 10 transmet l’indicateur de comparaison à la base de donnée 12 via la liaison sécurisée 16. Une telle mémorisation comprend par exemple la création d’un fichier de traçabilité (de l’anglais Log file) de la vérification en cours.
Un tel fichier de traçabilité comprend optionnellement des informations complémentaires d’identification du fichier de mise à jour, telles qu’un identifiant, un numéro de version, l'origine ou l’auteur de ce fichier de mise à jour ou encore des informations relatives à la validation telles la date et l’heure, le nom de l’opérateur 14.
Une telle mémorisation est par exemple automatique et systématique ou effectuée sur requête de l’opérateur notamment via une application logicielle du terminal mobile, l’application logicielle étant accessible via l’interface homme-machine 1050 précédemment décrite.
Optionnellement, l’indicateur de comparaison est ensuite utilisé par le terminal mobile 10 dans une étape 24 de génération, le cas échéant, d’une validation V des données de mise à jour chargées sur l’unité de mise à jour 11.
Plus précisément, lorsque l’indicateur de comparaison représente un résultat de comparaison positif (i.e. le condensât calculé et le condensât de référence sont identiques) la validation V permettant le traitement du fichier de mise à jour est générée au cours de l’étape de génération 24, puis transmise au cours d’une étape 25 de transmission à l’unité de mise à jour 11. A réception de cette validation V (Y sur la figure 10), l’unité de mise à jour 11 met en oeuvre une étape 64 de mise à jour de l’ensemble de données informatiques de l’équipement avionique.
En revanche, lorsque l’indicateur de comparaison représente un résultat de comparaison négatif (i.e. le condensât calculé et le condensât de référence sont différents) aucune validation V n’est générée ni transmise par le terminal mobile 10 à l’unité de mise à jour 11. L’unité de mise à jour 11 ne recevant pas cette validation (N sur la figure 10), met alors en œuvre une étape 65 de suppression des données de mise à jour de la zone temporaire de la mémoire 112 de l’unité de mise à jour 11.
Selon une variante de réalisation, une telle étape de suppression 65 est mise en œuvre, par l’unité de mise à jour 11, à l’expiration d’une période prédéterminée mesurée par un compteur de l’unité de mise à jour 11.
Ainsi, selon la présente invention il est proposé « d’externaliser » l’opération d’autorisation de mise à jour sur un terminal mobile 10 indépendant de l’aéronef sur lequel les données de mise à jour sont chargées pour la mise à jour d’au moins un équipement avionique qui le constitue.
Une telle externalisation rend plus complexe la mise en œuvre de modifications malveillantes efficaces. En effet, selon la présente invention pour corrompre la mise à jour sans que cette corruption ne soit détectée, il est nécessaire de corrompre à la fois les données de mises à jour, l’unité de mise à jour 11 localisé sur l’aéronef et le terminal mobile 10 d’un opérateur apte à être localisé en dehors de l’aéronef.
En d’autres termes, la présente invention propose de distribuer différentes étapes nécessaires à une mise à jour sécurisée, en les répartissant entre la base de données 12 servant de référence certifiée, l’unité de mise à jour 11 qui, pour un fichier de mise à jour donné, calcule un condensât calculé associé, et le terminal mobile 10 qui permet de vérifier ce condensât calculé par l’unité de mise à jour 11, en obtenant par un chemin d’accès sécurisé à la base de données 12 le condensât de référence associé au fichier de mise à jour, le condensât de référence étant à comparer avec le condensât calculé, une telle comparaison étant mise en oeuvre par un opérateur ou automatiquement tel que décrit précédemment.

Claims (10)

  1. REVENDICATIONS
    1. Procédé de traitement d’un fichier de mise à jour d’au moins un ensemble de données informatiques d’un équipement avionique d’un aéronef, le procédé de traitement étant mis en oeuvre au sein d’un système de traitement comprenant un terminal mobile (10) indépendant de l’aéronef, une unité de mise à jour (11) intégrée à l'aéronef, et une base de données (12) distante dë l’aéronef et du terminal mobile (10), le procédé de traitement comprenant: l’obtention (21) d’un condensât calculé, associé au fichier de mise à jour, le condensât calculé résultant de l’application, par l’unité de mise à jour (11), d’une fonction de hachage cryptographique au fichier de mise à jour, l’obtention (22) d’un condensât de référence, associé au fichier de mise à jour, le condensât de référence étant acquis par le terminal mobile (10) par accès sécurisé à une base de données comprenant le condensât de référence, le traitement du fichier de mise à jour en fonction d’une comparaison du condensât calculé avec le condensât de référence.
  2. 2. Procédé de traitement selon la revendication 1, dans lequel la comparaison du condensât calculé avec le condensât de référence comprend une obtention (23) d’un indicateur de comparaison comprenant : l’acquisition (232) de l’indicateur de comparaison saisi par un opérateur (14), ou la mise en œuvre automatique (233) de la comparaison du condensât calculé avec le condensât de référence.
  3. 3. Procédé de traitement selon la revendication 2, dans lequel le procédé comprend en outre la mémorisation de l’indicateur de comparaison.
  4. 4. Procédé de traitement selon l’une quelconque des revendications 1 à 3, dans lequel, lorsqu’il est mis en œuvre par le terminal mobile (10), l’obtention (21) du condensât calculé comprend: la réception (210) du condensât calculé émis par l’unité de mise à jour (11), ou la réception (211) du condensât calculé saisi par un opérateur, ou une acquisition (212), basée sur une reconnaissance optique du condensât calculé, sur un écran de restitution (13) de l’aéronef.
  5. 5. Procédé de traitement selon l’une quelconque des revendications 1 à 3, dans lequel, lorsqu’il est mis en oeuvre par l’unité de mise à jour (11), l’obtention (22) du condensât de référence comprend : la réception du condensât de référence émis par le terminal mobile (10), ou la réception du condensât de référence saisi par un opérateur, ou une acquisition, basée sur une reconnaissance optique du condensât de référence, sur un écran de restitution du terminal mobile (10).
  6. 6. Procédé de traitement selon l’une quelconque des revendications précédentes, dans lequel le traitement du fichier de mise à jour en fonction d’une comparaison du condensât calculé avec le condensât de référence comprend: la validation du fichier de mise à jour lorsque le condensât calculé est identique au condensât de référence, ou la suppression (117) du fichier de mise à jour lorsque le condensât calculé est différent du condensât de référence.
  7. 7. Produit programme d’ordinateur comportant des instructions logicielles qui lorsqu’elles sont mises en œuvre par une unité de traitement d'informations intégrée au sein d’un système de traitement comprenant un terminal mobile (10) indépendant de l’aéronef, une unité de mise à jour (11) intégrée à l’aéronef, et une base de données (12) distante de l’aéronef et du terminal mobile (10), mettent en œuvre le procédé de traitement selon l’une quelconque des revendications précédentes.
  8. 8. Dispositif électronique de traitement (1001) d’un fichier de mise à jour d’au moins un ensemble de données informatiques d’un équipement avionique d’un aéronef, le dispositif électronique de traitement étant configuré pour être intégré dans un système de traitement d’un fichier de mise à jour, le système de traitement comprenant un terminal mobile (10) indépendant de l’aéronef, une unité de mise à jour (11) intégrée à l’aéronef, et une base de données (12) distante de l’aéronef et du terminal mobile (10), caractérisé en ce que le dispositif électronique de traitement (1001) comprend: un module d’obtention.(104,114) d’un condensât calculé, associé au fichier de mise à jour, le condensât calculé résultant de l’application, par l’unité de mise à jour (11), d’une fonction de hachage cryptographique au fichier de mise à jour, un module d’obtention (103) d’un condensât de référence, associé au fichier de mise à jour, le condensât de référence étant acquis par le terminal mobile (10) par accès sécurisé à une base de données comprenant le condensât de référence, un module de traitement du fichier de mise à jour en fonction d’une comparaison du condensât calculé avec le condensât de référence.
  9. 9. Système de traitement d’un fichier de mise à jour d’au moins un ensemble de données informatiques d’un équipement avionique d’un aéronef, comprenant au moins un terminal mobile (10) indépendant de l’aéronef, une unité de mise à jour (11) intégrée à l’aéronef, une base de données (12) distante de l’aéronef et du terminal mobile (10), caractérisé en ce que : le terminal mobile (10) comprend au moins un module d’obtention (103) d’un condensât de référence, associé au fichier de mise à jour, le condensât de référence étant acquis par le terminal mobile (10) par accès sécurisé à une base de données comprenant le condensât de référence, l’unité de mise à jour (11) comprend au moins un module d’obtention (114) d’un condensât calculé, associé au fichier de mise à jour, le condensât calculé résultant de l’application, par l’unité de mise à jour (11), d’une fonction de hachage cryptographique au fichier de mise à jour, et le terminal mobile (10), ou l’unité de mise à jour (11), comprend un module de traitement du fichier de mise à jour en fonction d’une comparaison du condensât calculé avec le condensât de référence.
  10. 10. Système de traitement selon la revendication 9, dans lequel l’unité de mise à jour (11) est une unité électronique intégrée dans l’équipement avionique, ou une unité électronique distincte du ou des équipements avioniques de l’aéronef.
FR1600665A 2016-04-21 2016-04-21 Procede de traitement d'un fichier de mise a jour d'un equipement avionique d'un aeronef, produit programme d'ordinateur, dispositif electronique de traitement et systeme de traitement associes Active FR3050555B1 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FR1600665A FR3050555B1 (fr) 2016-04-21 2016-04-21 Procede de traitement d'un fichier de mise a jour d'un equipement avionique d'un aeronef, produit programme d'ordinateur, dispositif electronique de traitement et systeme de traitement associes
US15/491,621 US10452382B2 (en) 2016-04-21 2017-04-19 Method for processing an update file of an avionic equipment of an aircraft, a computer program product, related processing electronic device and processing system
CN201710265527.0A CN107066898A (zh) 2016-04-21 2017-04-21 用于处理飞行器的航空电子设备更新文件的方法、计算机程序产品、相关电子装置和系统

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1600665A FR3050555B1 (fr) 2016-04-21 2016-04-21 Procede de traitement d'un fichier de mise a jour d'un equipement avionique d'un aeronef, produit programme d'ordinateur, dispositif electronique de traitement et systeme de traitement associes
FR1600665 2016-04-21

Publications (2)

Publication Number Publication Date
FR3050555A1 true FR3050555A1 (fr) 2017-10-27
FR3050555B1 FR3050555B1 (fr) 2019-09-27

Family

ID=56896601

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1600665A Active FR3050555B1 (fr) 2016-04-21 2016-04-21 Procede de traitement d'un fichier de mise a jour d'un equipement avionique d'un aeronef, produit programme d'ordinateur, dispositif electronique de traitement et systeme de traitement associes

Country Status (3)

Country Link
US (1) US10452382B2 (fr)
CN (1) CN107066898A (fr)
FR (1) FR3050555B1 (fr)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10846076B2 (en) * 2016-10-11 2020-11-24 Barfield, Inc. Remote application update of measurement device field firmware
FR3080941B1 (fr) * 2018-05-04 2020-04-17 Thales Systeme et procede de reconnaissance vocale pour aeronef
EP3668037A1 (fr) * 2018-12-11 2020-06-17 Thales Dis France SA Procédé pour gérer de multiples documents virtuels dans un élément sécurisé sans contact
EP3716115A1 (fr) 2019-03-29 2020-09-30 General Electric Company Améliorations de l'établissement de rapports et de la configuration de logiciels embarqués certifiés
EP3716114A1 (fr) * 2019-03-29 2020-09-30 General Electric Company Procédé et système de charge à distance d'un logiciel certifié embarqué
US11508025B1 (en) * 2019-07-08 2022-11-22 Safran Electronics & Defense System and method for updating data for computing devices included in an aircraft
US11297474B2 (en) * 2019-08-16 2022-04-05 The Boeing Company Aircraft to ground data systems and computing methods
CN110609700B (zh) * 2019-09-23 2022-11-04 中国航空无线电电子研究所 分布式综合模块化航电系统构型管理系统
CN112796893B (zh) 2019-11-14 2024-09-17 通用电气公司 发动机控制系统
CN111970238B (zh) * 2020-07-09 2022-06-10 北京航空航天大学 一种可靠的控制临近空间飞艇载荷指令安全传输的方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100031050A1 (en) * 2008-08-04 2010-02-04 Airbus Operations Gmbh Permanent display and authentication of status information of a technical device
EP2557522A2 (fr) * 2011-08-04 2013-02-13 The Boeing Company Validation de partie logicielle utilisant des valeurs de hachage
US20130227540A1 (en) * 2012-02-28 2013-08-29 Seagate Technology Llc Updating peripheral device firmware via a portable device
FR3022418A1 (fr) * 2014-06-12 2015-12-18 Airbus Procede de communication d'informations d'un systeme avionique

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IES20010666A2 (en) * 2001-07-17 2002-11-13 Aircraft Man Technologies Ltd An electronic operations and maintenance log and system for an aircraft
US7263521B2 (en) * 2002-12-10 2007-08-28 Caringo, Inc. Navigation of the content space of a document set
US7603562B2 (en) * 2005-02-02 2009-10-13 Insyde Software Corporation System and method for reducing memory requirements of firmware
EP2128783A4 (fr) * 2007-03-19 2011-08-31 Fujitsu Ltd Système de commande de service, procédé de commande de service et programme de commande de service
US8490074B2 (en) * 2007-11-27 2013-07-16 The Boeing Company Aircraft software part library
SG10201702351UA (en) * 2007-11-27 2017-05-30 Boeing Co Method and apparatus for loadable software airplane parts (lsap) distribution
US20100138298A1 (en) * 2008-04-02 2010-06-03 William Fitzgerald System for advertising integration with auxiliary interface
US8452475B1 (en) * 2009-10-02 2013-05-28 Rockwell Collins, Inc. Systems and methods for dynamic aircraft maintenance scheduling
WO2011047069A1 (fr) * 2009-10-13 2011-04-21 Tiger's Lair Inc. Procédé et appareil pour garantir une configuration cohérente de système dans des applications sécurisées
US8270962B1 (en) * 2009-10-20 2012-09-18 Sprint Communications Company L.P. Emergency calls on a wireless communication device during a device reboot
US8811616B2 (en) * 2010-04-12 2014-08-19 Flight Focus Pte. Ltd. Secure aircraft data channel communication for aircraft operations
WO2012030383A1 (fr) * 2010-08-31 2012-03-08 Falconstor, Inc. Déduplication de données
US9426652B2 (en) * 2010-09-09 2016-08-23 Joseph Nutaro High assurance authorization device
JP5949732B2 (ja) * 2013-11-27 2016-07-13 株式会社オートネットワーク技術研究所 プログラム更新システム及びプログラム更新方法
US9542558B2 (en) * 2014-03-12 2017-01-10 Apple Inc. Secure factory data generation and restoration
EP2947848B1 (fr) * 2014-05-20 2018-07-11 2236008 Ontario Inc. Système et procédé pour accorder une autorisation pour une action de machine
US9311481B1 (en) * 2014-09-15 2016-04-12 Symantec Corporation Systems and methods for classifying package files as trojans
CN104484199B (zh) * 2014-12-08 2018-05-29 东软集团股份有限公司 航空器ife系统数据更新方法及装置
US20190149322A1 (en) * 2015-06-12 2019-05-16 Airspace Systems, Inc. Verifying identity identifier transmitted by an aerial vehicle
US9965270B2 (en) * 2015-07-01 2018-05-08 Quanta Computer Inc. Updating computer firmware
US20170090909A1 (en) * 2015-09-25 2017-03-30 Qualcomm Incorporated Secure patch updates for programmable memories

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100031050A1 (en) * 2008-08-04 2010-02-04 Airbus Operations Gmbh Permanent display and authentication of status information of a technical device
EP2557522A2 (fr) * 2011-08-04 2013-02-13 The Boeing Company Validation de partie logicielle utilisant des valeurs de hachage
US20130227540A1 (en) * 2012-02-28 2013-08-29 Seagate Technology Llc Updating peripheral device firmware via a portable device
FR3022418A1 (fr) * 2014-06-12 2015-12-18 Airbus Procede de communication d'informations d'un systeme avionique

Also Published As

Publication number Publication date
US20170308371A1 (en) 2017-10-26
CN107066898A (zh) 2017-08-18
US10452382B2 (en) 2019-10-22
FR3050555B1 (fr) 2019-09-27

Similar Documents

Publication Publication Date Title
FR3050555B1 (fr) Procede de traitement d'un fichier de mise a jour d'un equipement avionique d'un aeronef, produit programme d'ordinateur, dispositif electronique de traitement et systeme de traitement associes
US10594495B2 (en) Verifying authenticity of computer readable information using the blockchain
EP3590223B1 (fr) Procédé et dispositif pour mémoriser et partager des données intégrés
CN108055352B (zh) 用于密钥链同步的系统和方法
CN111475841B (zh) 一种访问控制的方法、相关装置、设备、系统及存储介质
US9537918B2 (en) File sharing with client side encryption
CA3041572A1 (fr) Systeme et procede d'authentification au moyen d'un dispositif mobile
CN107196901B (zh) 一种身份注册及认证的方法及装置
EP3241137B1 (fr) Procede mis en oeuvre dans un document d'identite et document d'identite associe
US20200084050A1 (en) Factory data storage and recovery
FR2989799A1 (fr) Procede de transfert d'un dispositif a un autre de droits d'acces a un service
CN113259111B (zh) 重新提供数字安全证书的方法、系统和计算机程序产品
CN110321757B (zh) 跨端生物特征识别系统、生物特征管理系统、方法及装置
US10146916B2 (en) Tamper proof device capability store
US9137219B1 (en) Methods and systems for securely managing multimedia data captured by mobile computing devices
US20200111067A1 (en) Ledger processing system and method
KR20210014084A (ko) 블록체인을 이용한 전자 데이터 제공 방법 및 그 시스템
CN110011807B (zh) 一种关键信息维护方法及系统
US10404697B1 (en) Systems and methods for using vehicles as information sources for knowledge-based authentication
FR3073111A1 (fr) Procede et dispositif pour memoriser et partager des donnees integres
US20230283465A1 (en) Keystore service for encryption in a secure service enclave
US20240114012A1 (en) Zero-trust distributed data sharing
FR3051091A1 (fr) Procede d'authentification pour autoriser l'acces a un site web ou l'acces a des donnees chiffrees

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20171027

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9