JP2017130913A - 航空機システムのためのセキュアな取り外し可能ストレージ - Google Patents

航空機システムのためのセキュアな取り外し可能ストレージ Download PDF

Info

Publication number
JP2017130913A
JP2017130913A JP2016221359A JP2016221359A JP2017130913A JP 2017130913 A JP2017130913 A JP 2017130913A JP 2016221359 A JP2016221359 A JP 2016221359A JP 2016221359 A JP2016221359 A JP 2016221359A JP 2017130913 A JP2017130913 A JP 2017130913A
Authority
JP
Japan
Prior art keywords
lru
key
encryption key
data
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016221359A
Other languages
English (en)
Other versions
JP6546144B2 (ja
Inventor
イアン ガレス アンガス,
Gareth Angus Ian
イアン ガレス アンガス,
ロドルフォ アクニャ サンティアゴ,
Acuna Santiago Rodolfo
ロドルフォ アクニャ サンティアゴ,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Boeing Co
Original Assignee
Boeing Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Boeing Co filed Critical Boeing Co
Publication of JP2017130913A publication Critical patent/JP2017130913A/ja
Application granted granted Critical
Publication of JP6546144B2 publication Critical patent/JP6546144B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2131Lost password, e.g. recovery of lost or forgotten passwords

Abstract

【課題】列線交換ユニット(LRU)によって取り外し可能な記憶媒体デバイスに保持されている(例えば、航空機の)バックアップ運航データを保管する方法及びシステムを提供する。
【解決手段】LRUは、第1の暗号化鍵を生成する。LRUは、第1の暗号化鍵を用いて運航データを暗号化する。LRUは、少なくとも第2のLRUの鍵データに基づいて、第2の暗号化鍵を生成する。LRUは、第2の暗号化鍵を用いて第1の暗号化鍵を暗号化する。
【選択図】図4

Description

本明細書に提示される態様は、クローズドな通信システム(例えば、航空機、列車、及び自動車で用いられる電子システム)におけるデータセキュリティに関し、より詳細には、それらのシステムにおいて取り外し可能な記憶媒体に記憶されるバックアップデータのセキュリティ及び完全性を保つ技術に関する。
現代の輸送様式は、互いに通信して情報を交換し合う電子部品及びコンピュータコンポーネントが装備されている。例えば飛行機は、飛行機内でネットワークされたデバイスである幾つかの列線交換ユニット(LRU)を含み得る。各LRUは特定の機能を実行する。例えば、アビオニクスシステムと機上の機器との間の通信を管理し、飛行機と地上ネットワークとの間の(例えば、民間航空機の)コネクティビティを提供し、航空機キャビンに無線ネットワークアクセスを提供する。所与のLRUは互いに交換可能であり、LRUに不具合が生じた(或いはその他の方式でサービス不能となった)場合に作動位置で素早く交換することができる。
航空機の幾つかの電子及びコンピュータシステムにおいては、1つのLRUが不具合の単一のポイントとして作用し、即ち、この特定のLRUの不具合が許容不可能なデータロスを引き起こすことにより運航上の即応性が失われることになることがある。一例として、LRUは、機外もしくは外部の整備システムに対し航空機を識別するのに用いられる情報を維持するネットワークファイルサーバを含む。データロスを抑える策の1つとして、LRUに取り付けられた取り外し可能な記憶媒体を通じて重要な運航データをバックアップすることがある。従って、LRUに不具合が生じても、運航データは取り外し可能な記憶媒体上で無傷のままであり、この記憶媒体が交換用のLRUに挿入されればよい。
本明細書で提示する一態様では、方法について記載する。方法は、一般に、複数のLRUのうち第1の列線交換ユニット(LRU)によって第1の暗号化鍵を生成することを含む。方法はまた、一般に、第1の暗号化鍵を用いて特定のデータを暗号化することを含む。特定のデータは、第1のLRUに取り付け可能な記憶媒体デバイスにバックアップデータとして記憶されている。方法はまた、複数のLRUのうちの少なくとも第2のLRUの鍵データに基づいて、第2の暗号化鍵を生成することを含む。第1の暗号化鍵が第2の暗号化鍵を用いて暗号化される。
一態様では、上記との組み合わせで、方法が、暗号化された特定のデータと暗号化された第1の暗号化鍵とを記憶媒体デバイスに記憶することも含む。暗号化された特定のデータは、記憶媒体デバイスの暗号化された区画に記憶される。更に、暗号化された第1の暗号化鍵が、記憶媒体デバイスの暗号化された区画に記憶される。この方法は、少なくとも第2のLRUの鍵データに基づいて、第1のLRUの交換用LRUによって、第2の暗号化鍵を生成することも含み得る。方法は、記憶媒体デバイスに記憶された、暗号化された第1の暗号化鍵と暗号化された特定のデータとを復号することも含む。方法は、特定のデータを交換用LRUに復元することも含む。
一態様では、上記の例のうちの任意のものとの組み合わせで、複数のLRUが飛行機で作動する。更に、特定のデータが飛行機の運航データである。
一態様では、上記の例のうちの任意のものとの組み合わせで、第2の暗号化鍵を用いて第1の暗号化鍵を暗号化する前に、記憶媒体デバイスに保持された一以上のデータセットについて、メッセージ認証コード(MAC)が生成される。MACは、署名鍵として第1の暗号化鍵を用いて生成される。
一態様では、上記の例のうちの任意のものとの組み合わせで、第2の暗号化鍵を生成する前に、少なくとも第2のLRUとのトランスポートレイヤセキュリティ(TLS)コネクションが確立される。鍵データは、TLSコネクションを介して第2のLRUから取り出される。
更に、本明細書に記載の態様は、上記の方法の先に述べた配置又は構成のいかなる代替、変形、及び改変態様をも含む。
その他の態様は、非限定的に、本開示の方法の一以上の態様を処理部に実施させるコンピュータ可読プログラムコードを有した、非一過性記憶媒体、及び、本開示の方法の一以上の態様を実施するように設定されたプロセッサ、メモリ、及びアプリケーションプログラムを有したシステムを含む。
一態様によるコンピューティング環境の一例を示す。 一態様による、図1に関連した記憶媒体デバイスを更に示す。 一態様による、運航データを保管する暗号化鍵のラッピングフローの一例を示す。 一態様による、運航データを記憶媒体デバイスに保管する方法を示す。 一態様による、運航データを列線交換ユニット(LRU)に復元する一例を示す。 一態様による、運航データをLRUに復元する方法の一例を示す。 一態様による、LRUの不具合の後に運航データを記憶媒体デバイスに保管する一例を示す。 一態様による、運航データを記憶媒体デバイスに保管するように設定されたLRUの一例を示す。
本明細書に提示された態様は、航空機の通信システムなどにおいて通信システムで用いられるバックアップデータを保管する技術を開示する。飛行機は典型的に、航空機内で所与の機能をそれぞれ実施する幾つかの列線交換ユニット(LRU)を含む。LRUは一般的に、LRUに不具合が生じた場合に比較的素早く交換することを可能にするよう設計されている。幾つかのLRUは飛行機の運航に重要なデータを記憶している。例えば、飛行機は、他のシステム(例えば、地上管制システム、整備システムなど)に対して飛行機を識別するのに用いられる情報を記憶する、ネットワークファイルサーバ(NFS)LRUを含み得る。このLRUの不具合により、深刻なデータロス及び飛行機の運航上の即応性の喪失が生じる。
この問題に対処するために、LRUは、取り外し可能な記憶媒体デバイスに運航データをバックアップする。一態様では、オペレータが記憶媒体デバイスをLRUに取り付け、運航データをデバイスにコピーし得る。LRUに不具合が生じた場合、オペレータは記憶媒体デバイスをLRUから取り外し、デバイスを交換用LRUに取り付け得る。次いでオペレータは、この交換用LRUに運航データを復元し得る。
しかしながら、この手法で懸念されることは、バックアップデータの攻撃者からの保護である。例えば、攻撃者が記憶媒体デバイスを取り外してデータをコピーし、望ましくない結果(例えば、運航データを用いて飛行機のIDを騙って整備統計を操作し、地上システムに対してサービス妨害攻撃を行う、など)を引き起こす可能性がある。この懸念に対処するために、LRUはAdvanced Encryption Standard(AES)などの暗号化アルゴリズムを用いてデータを暗号化し得る。これにより、正しいAES暗号化鍵なしにデータがアクセシブルとなることが防げる。
従って、この手法では、暗号化鍵を記憶する場所の決定が問題となる。例えば、LRUに不具合が生じた場合に鍵が失われる可能性があるため、LRUに鍵を記憶するのは望ましくない。記憶媒体デバイスにアクセスできる攻撃者はデバイスから鍵を取得してデータを復号することもできるので、鍵を暗号化せずに記憶媒体デバイスに記憶するのも望ましくない。
諸態様は、AES暗号化鍵をラップするのに用いられる鍵を生成する技術を提供する。より詳細には、技術は、飛行機に固有のデータに基づいてラップ鍵を生成することを示す。データは、飛行機の公開鍵基盤(PKI)で用いられる情報、例えば、機内の2つ以上の他のLRUネットワークに関連する公開鍵を含み得る。そのようなデータは飛行機にプライベートなものであり、不具合が生じたLRUの交換に用いられるLRUにとってアクセシブルである。
一態様では、LRUは、ラップ鍵を用いてAES暗号化鍵を暗号化し、ラップされたAES暗号化鍵を取り外し可能な記憶媒体デバイスに記憶し得る。この手法では、攻撃者が記憶媒体デバイスの内容をコピーできたとしても、AES暗号化鍵は攻撃者にとってアクセス不可能なままである。更に、攻撃者がLRUのうちの1つを危殆化してLRUの鍵情報を識別できたとしても、攻撃者は(ラップ鍵がシードとして他のLRUを用いて生成されているので)依然としてラップ鍵を再生できないであろう。(重要な運航データを記憶している)LRUに不具合が生じた場合、オペレータは取り外し可能な記憶媒体デバイスを新しいLRUに取り付けて、不具合が生じたLRUを交換し得る。新しいLRUはラップ鍵を、この鍵を生成するのにもともと用いた同じデータを用いて再生成し得る。次いでLRUは、ラップされたAES鍵を復号し、運航データを復旧し得る。
更に、他のLRUのうちの任意のものに不具合が生じた場合、重要な運航データを記憶しているLRUは、AES鍵を再生成し、運航データを再暗号化し得る。更に、LRUは、不具合が生じたLRUを交換するLRUからの新しいデータを用いてラップ鍵を生成し得る。こうすることにより、攻撃者が不具合が生じたLRUから公開鍵情報を得るウィンドウを狭めることができる。
一態様では、LRUはまた、記憶媒体デバイスに記憶された暗号化されていないデータの完全性を保つために、AES暗号化鍵を署名鍵として使用し得る。即ち、攻撃者が記憶媒体デバイスを取り外して暗号化されていないデータセットを偽データに置き換えたかどうかを検知することが望ましいことがある。LRUは、AES暗号化鍵(秘密鍵として作用する)及び暗号化されていないデータセットをインプットとして用いて、メッセージ認証コード(MAC)アルゴリズムを使用し得る。LRUは、得られたMACをデータセットとともに記憶媒体デバイスに記憶し得る。更に、LRUはラップ鍵を用いてAES鍵を暗号化し得る。
データセットの完全性を証明するために、LRUは、上述の技術を用いてAES鍵を復号し、AES鍵と暗号化されていないデータセットとをインプットとして用いてMACを演算し得る。得られたMACが取り外し可能な記憶媒体デバイスに記憶されたMACと一致しない場合には、データセットは改ざんされている可能性があり、LRUは応答してエラーを返し得る。
有利には、飛行機のLRUが、重要な運航バックアップデータを保管するのに用いられる暗号化鍵をラップし、飛行機の他のLRUに関連するPKIデータに基づいて生成された鍵を用いて、記憶媒体デバイス上の暗号化されていないデータの完全性を証明し得る。本技術は、単一障害点の(single−point−of−failure)LRUがオフラインとなった場合でもバックアップデータをセキュアなままとする手法を提供する。
下記では、センシティブなバックアップデータを取り外し可能な記憶媒体デバイス上でセキュアに記憶することの参照例として、飛行機で動作する列線交換ユニット(LRU)が用いられていることに留意されたい。しかしながら、本明細書に提示された態様が、システム内の様々なモジュール式コンポーネントの公開鍵基盤を有して構成された他のタイプのクローズドな通信システムに応用され得ることを、当業者は認識するであろう。例えば、態様は、そのようなシステムを有する列車及び自動車などの他の輸送様式で応用され得る。別の例として、態様は、SCADA(監視制制御及びデータ取得)システムなどの産業用クローズドな通信システムに応用されてもよい。
図1は、一態様によるコンピューティング環境100の一例を示す。図示のように、コンピューティング環境100は、列線交換ユニット(LRU)A105、LRU B115、LRU C120、LRU D125、及び記憶媒体デバイス130を含む。LRU105、115、120、及び125はそれぞれ、ネットワーク135(例えば、ローカルエリアネットワーク(LAN))を介して相互接続されている。一態様では、コンピューティング環境100が、飛行機内で作動するキャビンシステムを表している。当然ながら、コンピューティング環境100に示されている構成要素は例として示されているので、キャビンシステムは更なる構成要素を含むであろう。
図示のように、LRU A105は、認証局(CA)サービス106、CA秘密鍵107、LRU A公開鍵108、LRU A秘密鍵109、鍵選択器/生成器110、暗号化/復号コンポーネント111、メッセージ認証コード(MAC)生成コンポーネント112、及び運航データ113を含む。一態様では、LRU A105が、機上ネットワークシステムのネットワークファイルサーバ(NFS)を表す。
LRU B115、C120、及びD125は、様々な機能を行う、キャビンシステムアーキテクチャのコンポーネントシステムをそれぞれ表し得る。例えば、LRU B115は、飛行機のアビオニクスシステムとIPベースの機器(例えば、乗客用機内娯楽及びアプリケーションなど)との間のネットワークルーティング機能を提供する、ネットワークエクステンションデバイス(NED)を表し得る。別の例として、LRU C120は、例えば、ゲートリンクアプリケーションの、ネットワーク135から地上ベースのLANへの無線アクセスブリッジとして機能する端末無線LANユニット(TWLU)を表し得る。更に別の例として、LRU D120は、ネットワーク135からキャビン内で作動するデバイス(例えば、個人用デバイス、機内娯楽システムなど)への無線アクセスブリッジとして機能するキャビン無線LANユニット(CWLU)を表し得る。
一態様では、LRUA105、B115、C120、及びD125が、機内の公開鍵基盤(PKI)の構成要素でもある。機内PKIは、関与している構成要素間の通信がセキュアなままであることを保証する。例えば、各LRUは、LRUに固有の公開/秘密鍵ペアを生成し得る。例示的に、LRU A公開鍵108、LRU A秘密鍵109、LRU B公開鍵116、LRU B秘密鍵117、LRU C公開鍵121、LRU C秘密鍵122、LRU D公開鍵126、及びLRU D秘密鍵127はそれぞれ、各LRUの公開/秘密鍵ペアを表す。CAサービス106は、証明書署名技術を用いて各公開鍵を認証し得る。
先述のように、LRU A105はNFSユニットを表す。LRU A105はイーサネットコンバージョン、マルチキャストルーティング、ファイアウォールプロテクション、データローディング、アプリケーションホスティング、及び通信ゲートウェイなどの様々な機能を行う。更に、LRU A105は、地上及び整備システムに対して飛行機(飛行機ID)の識別に用いられる情報など、飛行機の運航にとって重要なデータ(運航データ113)を記憶し得る。
上述のように、LRU(例えば、LRU A105)の不具合により運航データを失うことが懸念される。この問題に対処するために、LRU A105はデータを記憶媒体デバイス130にバックアップする。記憶媒体デバイス130は、例えば、ストレージカード、USBフラッシュドライブなどの任意のタイプの取り外し可能な記憶デバイスであってよい。更に、運航データを保管するためにLRU A105がデータを保管し得る。そのためには、鍵選択器/生成器110が、Advanced Encryption Standard(AES)技術を用いて暗号化鍵を生成し得る。暗号化/復号コンポーネント111は、生成されたAES鍵を用いてデータを暗号化し、暗号化されたデータ131が得られる。
攻撃者がAES暗号化鍵を危殆化しないことを保証するために、一態様では、鍵選択器/生成器110が、他のLRUB115、C120、又はD125のうちの2つ以上からのPKIデータを用いて、追加の暗号化鍵を生成し得る。所与のLRUからそのような情報を得るために、鍵選択器/生成器110 LRUとのトランスポートレイヤセキュリティ(TLS)コネクションを確立し得る。鍵選択器/生成器110は、LRUの任意の組み合わせを用いて、ラップ鍵を生成し得る。例えば、鍵選択器/生成器110は、LRU C公開鍵121とLRU D公開鍵126とをシードとしてハッシアルゴリズム(例えば、SHA−256)のインプットとして用い、ラップ鍵(ラップされた暗号化鍵132)を生成し得る。その後、暗号化/復号コンポーネント111は、ラップ鍵を用いてAES鍵を保管する。
暗号化されたデータを(例えば、LRU A105に不具合が生じて交換される場合に)復旧するために、交換用LRU A上で実行している鍵選択器/生成器は、ラップ鍵の生成にLRU鍵のどの組み合わせが使用されたかを判定する。次いで鍵選択器/生成器は、その組み合わせからラップ鍵を再作成する。次いで、このLRU Aの暗号化/復号コンポーネントがAES暗号化鍵をアンラップし得る。次に、暗号化/復号コンポーネントは暗号化されたデータ131AES暗号化鍵を用いて復号する。
一態様では、生成されたAES暗号化鍵が、MAC生成のための秘密鍵としても用いられ得る。MAC生成コンポーネント112は、記憶媒体デバイス130に保持された暗号化されていないデータのMACを作成し得る。こうすることにより、記憶媒体デバイス130に保持されたデータのいかなる改ざん又は改変をも容易に検出できるよう、データセットの完全性が保たれる。データの完全性を更に保つため、暗号化/復号コンポーネント111は、上述の同じ技術を用いてAES暗号化鍵をラップし得る。即ち、運航データの保管か、又は暗号化されていないデータのMACの生成がなされるまで、暗号化鍵がアクセス不可能なままである。
図2は更に、一態様による、図1に関連して示した記憶媒体デバイス130を示す。例示的に、記憶媒体デバイス130は、点線で表された2つのセクションに区分される。底部は暗号化されていない区画を表す。上部は暗号化された区画を表す。一態様で、記憶媒体デバイス130は、複数の暗号化された区画を含み得る。これにより、CAサービス106が暗号化鍵をロールすることが可能である。
図示のように、記憶媒体デバイス130の暗号化された部分は、暗号化されたデータ131を含む。暗号化されたデータ131自体は、LRU B公開鍵205、LRU C公開鍵210、LRU D公開鍵215、及び運航データ220のコピーを含む。先述したように、暗号化/復号コンポーネント111は、AES鍵を用いて 鍵選択器/生成器110によって生成された運航データを暗号化し得る。
図示のように、記憶媒体デバイス130の暗号化されていない区画は、ラップされた暗号化鍵132を含む。一態様では、鍵選択器/生成器110が、機内PKI(例えば、LRU B115、LRU C120、及びLRU D125)に関与している既存のLRUの組み合わせに基づいて、様々なAES暗号化鍵を生成し得る。例えば、 ラップされた暗号化鍵132は、LRU B公開鍵116とLRU C公開鍵121とに基づいて生成された、ラップされた暗号化鍵225を含む。ラップされた暗号化鍵132は、LRU C公開鍵121とLRU D公開鍵126とに基づいて生成された、ラップされた暗号化鍵230も含む。ラップされた暗号化鍵132は、LRU公開鍵116とLRU D235とに基づいて生成された、ラップされた暗号化鍵235も含む。鍵選択器/生成器110は、LRU PKI情報の任意の組み合わせを介して暗号化されたデータのセキュリティを強化するのに要するAES暗号化鍵を作成し得る。
更に、記憶媒体デバイス130の暗号化されていない区画は、暗号化されたデータ131を暗号化するのに用いられる公開鍵のフィンガープリントを含み得る。各フィンガープリントは、各公開鍵を一意に識別する。鍵選択器/生成器110はフィンガープリントを評価して、適切なラップ鍵を生成するのにどの公開鍵が必要であるかを判定する。これにより、鍵選択器/生成器110が、関連するLRUから公開鍵を取り出して、(例えば、暗号化されたデータ131を復号する際に)ラップ鍵を生成することが可能となる。
図3は、一態様による、運航データの保管に用いるAES暗号化鍵のラッピングフロー300の一例を示す。305で、鍵選択器/生成器は、AES鍵生成技術を用いて暗号化鍵307を生成する。310で、鍵選択器/生成器は、AES暗号化鍵307のラッピングに用いる暗号化鍵311も生成する。例えば、例示的に、鍵選択器/生成器110は、LRU C及びLRU D(それぞれ)から公開鍵301及び302を取り出し、これら鍵をラップ鍵311生成のシードとして使用し得る。公開鍵301及び302は、LRUC及びDに関連するID情報303を含み得る。
先述したように、暗号化/復号コンポーネントは、AES暗号化鍵307を用いて、重要な運航データの暗号化、暗号化されていないデータの署名、暗号化されていないデータのMAC生成などを行う。315で、暗号化/復号コンポーネントは、生成されたラップ鍵317を用いてAES暗号化鍵をラップする。LRU Aは、ラップされた暗号化鍵317を、記憶媒体デバイスの暗号化されていない区画に記憶し得る。
図4は、一態様による、運航データを記憶媒体デバイスに保管する方法400を示す。具体的には、方法400は、LRU A105によって保持されている重要な運航データの保管の一例を示す。図示のように、方法400はステップ405で開始される。ステップ405で、鍵選択器/生成器110が、(記憶媒体デバイス130に記憶されている運航データの暗号化に用いる)AES暗号化鍵を生成する。ステップ410で、暗号化/復号コンポーネント111は、AES暗号化鍵を用いて運航データを暗号化する。
ステップ415で、CAサービス106は、各LRUにPKI鍵を供給する。各LRUは、既知の鍵生成技術を用いて公開/秘密鍵ペアを生成し得る。次いで、CAサービス106は各鍵ペアを機内PKIで使用するために認証し得る。ステップ420で、鍵選択器/生成器110は、PKI中のLRU A105とは別のLRU(例えば、LRU B115、LRU C120、又はLRU D125)の公開鍵の組み合わせに基づいて、一以上のラップ鍵を生成する。
ステップ425で、暗号化/復号コンポーネント111は、ラップ鍵を用いてAES鍵を暗号化する。ステップ430で、鍵選択器/生成器110は、ラップされた暗号化鍵を暗号化せずに記憶媒体デバイス130に記憶する。更に、鍵選択器/生成器110は、AES鍵のラップに用いるLRU公開鍵のフィンガープリントデータを生成し得る。これより、(例えば、ラップされたAES暗号化鍵を復号する際に)鍵選択器/生成器110が公開鍵を識別することが可能となる。ステップ435で、暗号化/復号コンポーネント111は、暗号化された運航データを記憶媒体デバイス130にコピーする。
図5は、一態様による、運航データを列線交換ユニット(LRU)に復元することの一例500を示す。図示のように、例500は、LRU A500、記憶媒体デバイス515、LRU B525、LRU C530、LRU D535を含む。この例で、以前は動作していたLRU Aに不具合が生じ、コンピューティング環境で初期化されていたLRU A500と交換されると仮定する。LRU A500は更に、CAサービス506、CA秘密鍵507、LRU A公開鍵508、LRU A秘密鍵509、メモリ510、鍵選択器/生成器511、及び暗号化/復号コンポーネント512を含む。記憶媒体デバイス515は、暗号化されたデータ516、ラップされた暗号化鍵521、ラップされた暗号化鍵522、及びラップされた暗号化鍵523を含む。LRU Bは、公開鍵526及び秘密鍵527を含む。LRU Cは、公開鍵531及び秘密鍵532を含む。LRU D535は、公開鍵536及び秘密鍵537を含む。
暗号化されたデータ516は、対応するLRU B公開鍵517、LRU C公開鍵518、及びLRU D公開鍵519を含む。CAサービス506、CA秘密鍵507、LRU A公開鍵508、LRU A秘密鍵509、LRU B公開鍵517、LRU C公開鍵518、及びLRU D公開鍵519は、飛行機の機内PKI505を表す。記憶媒体デバイス515のコンテンツ(例えば、暗号化されたデータ516及びラップ鍵)は、前のLRU Aの不具合以前に予め供給されている。
運航データ520をLRU A500のメモリ510に復元するために、鍵選択器/生成器511は、データ516の暗号化にLRU鍵のどの組み合わせ合わせが用いられたかを判定する。そのために、鍵選択器/生成器511は、用いられた公開鍵に対応する、記憶媒体デバイス515(図示せず)に記憶されたフィンガープリントに基づいて、組み合わせを識別し得る。例示的に、鍵選択器/生成器511は、(LRU C530及びLRU D535それぞれから)公開鍵531及び536を識別する。鍵選択器/生成器511は、LRU C530及びLRU D535とのTLSセッションを確立して、公開鍵531及び536を取り出し得る。
暗号化/復号コンポーネント512は、ラップされた暗号化鍵522を取り出し得る。ラップされた暗号化鍵522は、公開鍵531及び536の組み合わせを用いてラップされたAES暗号化鍵に対応する。鍵選択器/生成器511は、公開鍵531及び536に基づいて、ラップ鍵を生成する。次いで、暗号化/復号コンポーネント512は、生成された鍵を用いて運航データ520を復号する。これより、LRU A500が運航データ520を取り出してメモリ510に記憶することが可能となる。
図6は、一態様による、運航データをLRUに復元する方法600を示す。単一障害点の LRU(例えば、LRU A)に不具合が生じており、新しい対応するLRU(例えば、図5に示すLRU A500)と交換されると仮定する。記憶媒体デバイス(例えば、記憶媒体デバイス515)が、不具合が生じたLRUから取り外されて交換用LRUに取り付けられると仮定する。
図示のように、方法600はステップ605で開始される。ステップ605では、鍵選択器/生成器が、関連するLRUからラップ鍵の生成に用いる公開鍵を得る。そのために、鍵選択器/生成器は、運航データの暗号化に使用するAES鍵を暗号化するラップ鍵の生成にどの公開鍵が用いられたかを、例えば、記憶媒体デバイスに記憶されたフィンガープリントデータを評価することにより判定し得る。次いで、鍵選択器/生成器は各LRUとのTLSセッションを確立する。これより、鍵選択器/生成器がLRUから公開鍵を安全に得ることが可能となる。ステップ610で、鍵選択器/生成器は、取得した公開鍵に基づいて鍵を生成することにより、ラップ鍵を再生する。次いで、このラップ鍵を用いて、LRU上で作動する暗号化/復号コンポーネントがAES暗号化鍵をアンラップし得る。
ステップ615で、暗号化/復号コンポーネントは、記憶媒体デバイス上の暗号化されたデータを復号する。LRU Aは、(ステップ620で)暗号化されたデータから運航データを復旧し、その後、LRU Aのメモリに暗号化されていない運航データを記憶する。ステップ625で、LRU Aは、LRU A上で作動するCAサービスを初期化し得る。CAサービスは、LRUに保持されている現在の鍵データを失効させる。次に、各LRUは、公開/秘密鍵ペアを再生成し、LRU Aの初期化されたCAで新しい鍵を認証する。LRU Aは、新しく生成された公開鍵を用いて運航データを再暗号化し得、暗号化された運航データを記憶媒体デバイスに記憶し得る。
図7は、一態様による、LRUの不具合の後に運航データを記憶媒体デバイスへの保管の一例を示す。具体的には、例700は、LRU A以外のLRUに不具合が生じた場合に引き起こされるプロセスを示している。即ち、ラップ鍵の生成に用いる公開鍵を有しているLRUのうちの1つに不具合が生じた場合、既存のPKI鍵を失効させて運航データを再暗号化することが望ましい。この例で、図示されている各公開鍵が新しく生成されていると仮定する。この例で、LRU Dに不具合が生じ、新しいLRU D735と交換されると仮定する。図7に示すコンピューティング環境は、LRU A700を含む。LRU A700は更に、CAサービス706、CA秘密鍵707、LRU A公開鍵708、LRU A秘密鍵709、メモリ710、鍵選択器/生成器711、及び暗号化/復号コンポーネント712を含む。記憶媒体デバイス715は、暗号化されたデータ716、ラップされた暗号化鍵721、ラップされた暗号化鍵722、及びラップされた暗号化鍵723を含む。LRU Bは、公開鍵726及び秘密鍵727を含む。LRU Cは、公開鍵731及び秘密鍵732を含む。LRU D735は、公開鍵736及び秘密鍵737を含む。
暗号化されたデータ716は、対応するLRU B公開鍵717、LRU C公開鍵718、及びLRU D公開鍵719を含む。CAサービス706、CA秘密鍵707、LRU A公開鍵708、LRU A秘密鍵709、LRU B公開鍵717、LRU C公開鍵718、及びLRU D公開鍵719は、飛行機の機内PKI705を表す。記憶媒体デバイス715のコンテンツ(例えば、暗号化されたデータ716及びラップ鍵)は、前のLRU Aの不具合以前に予め供給されている。
CAサービス706は、LRUのうちの1つに不具合が生じた(又はその他の方式でオフラインとなった)ことを検知すると、そのLRUの鍵ペアを失効させ得る。各LRUは、新しい鍵ペアを生成し、その鍵ペアをCAサービス706で再認証し得る。更に、鍵選択器/生成器711は、運航データの暗号化に用いる新しいAESを生成し得る。更に、鍵選択器/生成器711は、データを暗号化するラップ鍵を生成するための (且つ/又は、記憶媒体デバイス上の暗号化されていないデータのMACを生成するための署名鍵として用いられる)LRU公開鍵の新しい組み合わせを決定し得る。例示的に、鍵選択器/生成器711は、LRU B公開鍵726とLRU C公開鍵731とを用いてラップ鍵を生成する。更に、鍵選択器/生成器711は、LRU公開鍵データの様々な組み合わせを用いてラップ鍵を生成する。暗号化/復号コンポーネント712は、AES暗号化鍵を用いてデータを再暗号化し得る。その後、暗号化/復号コンポーネント712は、選択されたラップ鍵を用いてAES暗号化鍵を暗号化し得る。鍵選択器/生成器711は、ラップされた暗号化鍵を記憶媒体デバイス715に記憶し得る。
図8は、一態様による、運航データを記憶媒体デバイスに保管するように設定された例示的な列線交換ユニット(LRU)800を示す。図示のように、LRU800は、非限定的に、バス817にそれぞれ接続された、中央処理装置(CPU)805、ネットワークインターフェース815、メモリ820、及びストレージ830を含む。LRU800は、入出力装置812をLRU800に接続する入出力装置インターフェース810も含み得る。更に、本開示の文脈では、LRU800に示されているコンピューティング要素が、飛行機内で作動するフィジカルコンピューティングシステムに対応し得る。
CPU805は、メモリ820に記憶されたプログラミング命令を取り出して実行するとともに、ストレージ830に存在するアプリケーションデータを記憶して取り出す。CPU805、入出力装置インターフェース810、ストレージ830、ネットワークインターフェース815、及びメモリ820間でプログラミング命令及びアプリケーションデータを伝送するのに、バス817が用いられる。CPU805は、単一のCPU、複数のCPU、複数のプロセッサコアを有する単一のCPUなどを表すものとして含まれていることに留意されたい。メモリ820は、一般的に、ランダムアクセスメモリを表すものとして含まれている。ストレージ830はディスクドライブ記憶デバイスであり得る。ストレージ830は、単一のユニットとして示されているものの、固定式ディスクドライブ、取り外し可能なメモリカード、又は光学式ストレージ、ネットワーク接続型ストレージ(NAS)、又はストレージエリアネットワーク(SAN)などの、固定式及び/又は取り外し可能な記憶デバイスの組み合わせであってもよい。
例示的に、メモリ820は、CAサービス822、鍵選択器/生成器824、暗号化/復号コンポーネント826、及びMAC生成コンポーネント828を含む。ストレージ830は運航データ832を含む。一態様では、LRU800は、飛行機のネットワークファイルサーバ(NFS)を表す。LRU800は、飛行機の運航にとって重要であり得る運航データ832を保持している。LRU800は、取り外し可能な記憶媒体デバイス(図示せず)に運航データ832のバックアップを保持している。
運航データ832を保管するために、鍵選択器/生成器824は、例えば、AES鍵生成アルゴリズムを用いて暗号化鍵を生成する。更に、鍵選択器/生成器824は、AES暗号化鍵のラップに用いる一以上の他の暗号化鍵を生成する。各ラップ鍵は、飛行機内で作動する2つ以上の他のLRUのPKIデータ(例えば、公開鍵)に基づいて生成され得る。暗号化/復号コンポーネント826は、運航データ832を暗号化し、暗号化されたデータを取り外し可能な記憶媒体デバイスに記憶し得る。更に、MAC生成コンポーネント828は、AES暗号化鍵に基づいて、記憶媒体デバイスに記憶された暗号化されていないデータセットのMACを生成し得る。
暗号化/復号コンポーネント826は、生成されたラップ鍵のうちの1つを用いてAES暗号化鍵を暗号化し得る。ラップされると、暗号化/復号コンポーネント826は、ラップされた鍵を取り外し可能な記憶媒体デバイスの暗号化されていない区画に記憶する。暗号化/復号コンポーネント826は、ラップ鍵の生成に用いられた公開鍵のフィンガープリントデータも記憶する。
様々な態様の記載は、例示を目的として提示されているものであり、網羅的であること、又は本開示の態様に限定されることは意図していない。当業者には、記載した態様の範囲及び精神から逸脱することなく、多数の修正形態及び変形形態が明らかであろう。本書で使用される用語は、市場において見られる技術の諸態様、実際的な施用、もしくは技術的改良の原理を最も良く説明するため、又は本明細書で開示する諸態様を他の当業者に理解せしめるために、選択されたものである。
以下で、本開示で提示される諸態様が参照される。しかし、本開示の範囲は、記載される具体的な諸態様に限定されない。代わりに、検討される諸態様の実装及び実施のため、種々の諸態様に関連しているかどうかに関わらず、以下の特徴及び要素の任意の組み合わせが検討される。さらに、本明細書で開示される諸態様によって他の可能な解決法又は先行技術と比べた利点が達成可能であるかもしれないが、具体的な利点が所与の態様によって達成されるかどうかは、本開示の範囲を限定するものではない。したがって、以下の態様、特徴、及び利点は、単なる例示であり、添付の特許請求の範囲で明示されていない限り、特許請求の範囲の要素であると考えられたり又は特許請求の範囲を限定すると考えられたりすべきではない。
本開示の諸態様は、専らハードウェアである態様、専らソフトウェア(ファームウェア、常駐ソフトウェア、マイクロコードなどを含む)である態様、又はソフトウェアとハードウェアの態様を組み合わせた態様の形式をとり得る。本書では、それらは全て「回路」、「モジュール」又は「システム」と広く称され得る。
本開示の諸態様は、システム、方法、及び/又はコンピュータプログラム製品であり得る。コンピュータプログラム製品は、本明細書に記載の諸態様をプロセッサに実行させるコンピュータ可読プログラム命令を内に有する、非一過性コンピュータ可読記憶媒体(単数又は複数)を含み得る。
コンピュータ可読記憶媒体は、命令実行装置によって使用される命令を保持及び記憶することが可能な、有形の装置であり得る。コンピュータ可読記憶媒体は、限定しないが例として、電子記憶装置、磁気記憶装置、光学記憶装置、電磁記憶装置、半導体記憶装置、又はこれらの任意の適切な組み合わせであり得る。コンピュータ可読記憶媒体のより具体的な非網羅的リストには、ポータブルコンピュータ用フロッピーディスク、ハードディスク、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、消去可能プログラマブル読出し専用メモリ(EPROM又はフラッシュメモリ)、スタティックランダムアクセスメモリ(SRAM)、持ち運び可能なコンパクトディスク読出し専用メモリ(CD−ROM)、デジタル多用途ディスク(DVD)、メモリースティック、フロッピーディスク、パンチカード又は記録された命令を有する溝内の隆起構造といった機械的にエンコードされた装置、及びこれらの任意の適切な組み合わせ、が含まれる。コンピュータ可読記憶媒体とは、本明細書で使用される場合、電波もしくは他の自由に伝播する電磁波、導波管もしくは他の伝送媒体を通って伝播する電磁波(例えば光ファイバーケーブルを通過する光パルス)、又は電線を通って伝送される電気信号といった、一過性信号それ自体と解釈されるべきではない。
本明細書に記載のコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体から各コンピューティング装置/プロセッシング装置に対して、又は、例えばインターネット、ローカルエリアネットワーク、ワイドエリアネットワーク及び/もしくはワイヤレスネットワークといったネットワークを経由して外部のコンピュータもしくは外部記憶装置に対して、ダウンロード可能である。ネットワークは、銅の伝送ケーブル、光伝送ファイバー、無線伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイコンピュータ、及び/又はエッジサーバを含み得る。各コンピューティング/プロセッシング装置のネットワークアダプタカード又はネットワークインターフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、各コンピューティング/プロセッシング装置内のコンピュータ可読記憶媒体内に保存するために、該コンピュータ可読プログラム命令を転送する。
本開示の動作を実行するコンピュータ可読プログラム命令は、アセンブラ命令、命令セットアーキテクチャ(ISA)命令、機械語命令、機械依存命令、マイクロコード、ファームウェア命令、状態設定データ、又は、スモールトーク、C++などといったオブジェクト指向プログラミング言語、及び、プログラミング言語「C」又は同様のプログラミング言語といった従来型の手続き型プログラミング言語を含む、1以上のプログラミング言語の任意の組み合わせによって書かれたソースコードもしくはオブジェクトコードであり得る。コンピュータ可読プログラム命令は、完全にユーザのコンピュータ上で、スタンドアロンのソフトウェアパッケージとして部分的にユーザのコンピュータ上で、部分的にユーザのコンピュータ上且つ部分的にリモートコンピュータ上で、又は完全にリモートのコンピュータもしくはサーバ上で、実行され得る。後者の場合、リモートコンピュータは、ローカルエリアネットワーク(LAN)もしくはワイドエリアネットワーク(WAN)を含む任意のタイプのネットワークを介してユーザのコンピュータに接続され得るか、又は、(例えば、インターネットサービスプロバイダを利用してインターネットを介して)外部のコンピュータへの接続がなされてもよい。幾つかの態様では、例えば、プログラム可能論理回路、フィールドプログラマブルゲートアレイ(FPGA)、又はプログラム可能論理アレイ(PLA)を含む電子回路は、本開示の諸態様を実行する目的で該電子回路をカスタマイズするために、コンピュータ可読プログラム命令の状態情報を利用することによってコンピュータ可読プログラム命令を実行してよい。
本明細書に記載の諸態様による方法、装置(システム)、及びコンピュータプログラム製品のフロー図及び/又はブロック図を参照して、本明細書で提示される諸態様が記載されている。フロー図及び/又はブロック図の各ブロック、並びにフロー図及び/又はブロック図のブロックの組み合わせが、コンピュータ可読プログラム命令によって実行可能であることは、理解されよう。
これらのコンピュータ可読プログラム命令は、コンピュータ又は他のプログラマブルデータ処理装置のプロセッサを介して実行を行う命令が、フロー図及び/又はブロック図の1又は複数のブロック内で特定されている機能/作用を実装するための手段を生成するように、汎用コンピュータ、特殊用途コンピュータ、又は、機器を作製するための他のプログラマブルデータ処理装置のプロセッサに、提供され得る。これらのコンピュータ可読プログラム命令は、コンピュータに命令可能なコンピュータ可読記憶媒体内、プログラム可能なデータ処理装置内、及び/又は特有の方法で機能する他の装置内にもまた、記憶され得る。それによって、命令が記憶されているコンピュータ可読記憶媒体には、該フロー図及び/又はブロック図の単数もしくは複数のブロックで明記されている機能/動作の態様を実装する命令を含む製品が、含まれる。
コンピュータ可読プログラム命令は、一連の動作ステップをコンピュータ上、他のプログラム可能な装置上、又はコンピュータに実装される処理を生み出す他の装置上で実行させるために、コンピュータ、他のプログラム可能なデータ処理装置、又は他の装置に搭載されてもまた、よい。これによって、コンピュータ上、他のプログラム可能な装置上、又は他の装置上で実行される命令は、該フロー図及び/又はブロック図の単数もしくは複数のブロックで明記されている機能/動作を実装する。
図面のフロー図及びブロック図は、本開示の様々な実施形態によるシステム、方法及びコンピュータプログラム製品の可能な態様のアーキテクチャ、機能性、及び操作を示すものである。その際、フロー図及びブロック図の各ブロックは、特定の一又は複数の論理機能を実装するための一又は複数の実行可能な命令を含むコードのモジュール、セグメント、又は部分を表し得る。幾つかの代替的な実施態様では、ブロックに記載された機能は図面に記載された順序を逸脱して現われることがある。例えば、場合によっては、連続して示されている2つのブロックがほぼ同時に実行されてもよく、或いは含まれる機能によってはブロックは逆の順に実行されてもよい。ブロック図及び/又はフロー図の各ブロック、並びにブロック図及び/又はフロー図のブロックの組み合わせは、特定機能又は作業を行う特殊用途のハードウェアベースのシステムによって実行可能であるか、又は特殊用途のハードウェア及びコンピュータ命令の組み合わせによって実行可能である。
更に、本発明は下記の条項による実施形態を含む。
条項1
複数の列線交換ユニット(LRU)の第1のLRUによって、第1の暗号化鍵を生成すること、
第1の暗号化鍵を用いて、第1のLRUに取り付け可能な記憶媒体デバイスにバックアップデータとして記憶されている特定のデータを暗号化すること、
複数のLRUのうちの少なくとも第2のLRUの鍵データに基づいて、第2の暗号化鍵を生成すること、及び
第2の暗号化鍵を用いて、第1の暗号化鍵を暗号化すること
を含む、方法。
条項2
暗号化された特定のデータと、暗号化された第1の暗号化鍵とを、記憶媒体デバイスに記憶することを更に含む、条項1に記載の方法。
条項3
第1のLRUの交換用LRUによって、少なくとも第2のLRUの鍵データに基づいて、第2の暗号化鍵を生成すること、
記憶媒体デバイスに記憶された、暗号化された第1の暗号化鍵を復号すること、
暗号化された特定のデータを復号すること、及び
特定のデータを交換用LRUに復元すること
を更に含む、条項2に記載の方法。
条項4
暗号化された特定のデータが、記憶媒体デバイスの暗号化された区画に記憶され、暗号化された第1の暗号化鍵が、記憶媒体デバイスの暗号化されていない区画に記憶される、条項2に記載の方法。
条項5
複数のLRUが飛行機で作動し、特定のデータが飛行機の運航データである、条項1に記載の方法。
条項6
第2の暗号化鍵を用いて第1の暗号化鍵を暗号化する前に、
第1の暗号化鍵を署名鍵として用いて、記憶媒体デバイスに保持されている一以上のデータセットのメッセージ認証コード(MAC)を生成すること
を更に含む、条項1に記載の方法。
条項7
第2の暗号化鍵を生成する前に、
少なくとも第2のLRUとのトランスポートレイヤセキュリティ(TLS)コネクションを確立すること、及び
TLSコネクションを通じて、第2のLRUから鍵データを取り出すこと
を更に含む、条項1に記載の方法。
条項8
非一過性コンピュータ可読記憶媒体であって、実行すると、
複数の列線交換ユニット(LRU)の第1のLRUによって、第1の暗号化鍵を生成すること、
第1の暗号化鍵を用いて、第1のLRUに取り付け可能な記憶媒体デバイスにバックアップデータとして記憶されている特定のデータを暗号化すること、
複数のLRUのうちの少なくとも第2のLRUの鍵データに基づいて、第2の暗号化鍵を生成すること、及び
第2の暗号化鍵を用いて、第1の暗号化鍵を暗号化すること
を含む工程を実施する命令を有した、非一過性コンピュータ可読記憶媒体。
条項9
工程が、
暗号化された特定のデータと、暗号化された第1の暗号化鍵とを、記憶媒体デバイスに記憶することを更に含む、条項8に記載のコンピュータ可読記憶媒体。
条項10
工程が、
第1のLRUの交換用LRUによって、少なくとも第2のLRUの鍵データに基づいて、第2の暗号化鍵を生成すること、
記憶媒体デバイスに記憶された、暗号化された第1の暗号化鍵を復号すること、
暗号化された特定のデータを復号すること、及び
特定のデータを交換用LRUに復元すること
を更に含む、条項9に記載のコンピュータ可読記憶媒体。
条項11
暗号化された特定のデータが、記憶媒体デバイスの暗号化された区画に記憶され、暗号化された第1の暗号化鍵が、記憶媒体デバイスの暗号化されていない区画に記憶される、条項9に記載のコンピュータ可読記憶媒体。
条項12
複数のLRUが飛行機で作動し、特定のデータが飛行機の運航データである、条項8に記載のコンピュータ可読記憶媒体。
条項13
工程が、第2の暗号化鍵を用いて第1の暗号化鍵を暗号化する前に、
第1の暗号化鍵を署名鍵として用いて、記憶媒体デバイスに保持されている一以上のデータセットのメッセージ認証コード(MAC)を生成すること
を更に含む、条項8に記載のコンピュータ可読記憶媒体。
条項14
工程が、第2の暗号化鍵を生成する前に、
少なくとも第2のLRUとのトランスポートレイヤセキュリティ(TLS)コネクションを確立すること、及び
TLSコネクションを通じて、第2のLRUから鍵データを取り出すこと
を更に含む、条項8に記載のコンピュータ可読記憶媒体。
条項15
複数のLRUのうちの第1の列線交換ユニット(LRU)を表すシステムであって、
プロセッサと、
プログラムコードを記憶しているメモリであって、プログラムコードは、プロセッサ上で実行されると、
第1の暗号化鍵を生成すること、
第1の暗号化鍵を用いて、システムに取り付け可能な記憶媒体デバイスにバックアップデータとして記憶されている特定のデータを暗号化すること、
複数のLRUの少なくとも第2のLRUの鍵データに基づいて、第2の暗号化鍵を生成すること、及び
第2の暗号化鍵を用いて、第1の暗号化鍵を暗号化すること
を含む工程を実施する、メモリと
を含む、システム。
条項16
工程が、
暗号化された特定のデータと、暗号化された第1の暗号化鍵とを、記憶媒体デバイスに記憶することを更に含む、条項15に記載のシステム。
条項17
暗号化された特定のデータが、記憶媒体デバイスの暗号化された区画に記憶され、暗号化された第1の暗号化鍵が、記憶媒体デバイスの暗号化されていない区画に記憶される、条項16に記載のシステム。
条項18
複数のLRUが飛行機で作動し、特定のデータが飛行機の運航データである、条項15に記載のシステム。
条項19
工程が、
第2の暗号化鍵を用いて第1の暗号化鍵を暗号化する前に、
第1の暗号化鍵を署名鍵として用いて、記憶媒体デバイスに保持されている一以上のデータセットのメッセージ認証コード(MAC)を生成すること
を更に含む、条項15に記載のシステム。
条項20
工程が、第2の暗号化鍵を生成する前に、
少なくとも第2のLRUとのトランスポートレイヤセキュリティ(TLS)コネクションを確立すること、及び
TLSコネクションを通じて、第2のLRUから鍵データを取り出すこと
を更に含む、条項15に記載のシステム。
上記は本開示の諸態様を対象としているが、その基本的な範囲及び以下の特許請求の範囲によって決定されるその範囲を逸脱することなく、本開示の他の、及び更なる態様が考案され得る。

Claims (13)

  1. 複数の列線交換ユニット(LRU)の第1のLRUによって、第1の暗号化鍵を生成すること、
    前記第1の暗号化鍵を用いて、前記第1のLRUに取り付け可能な記憶媒体デバイスにバックアップデータとして記憶されている特定のデータを暗号化すること、
    前記複数のLRUのうちの少なくとも第2のLRUの鍵データに基づいて、第2の暗号化鍵を生成すること、及び
    前記第2の暗号化鍵を用いて、前記第1の暗号化鍵を暗号化すること
    を含む、方法。
  2. 前記暗号化された特定のデータと、前記暗号化された第1の暗号化鍵とを、前記記憶媒体デバイスに記憶することを更に含む、請求項1に記載の方法。
  3. 前記第1のLRUの交換用LRUによって、少なくとも前記第2のLRUの前記鍵データに基づいて、前記第2の暗号化鍵を生成すること、
    前記記憶媒体デバイスに記憶された、前記暗号化された第1の暗号化鍵を復号すること、
    前記暗号化された特定のデータを復号すること、及び
    前記特定のデータを前記交換用LRUに復元すること
    を更に含む、請求項2に記載の方法。
  4. 前記暗号化された特定のデータが前記記憶媒体デバイスの暗号化された区画に記憶され、前記暗号化された第1の暗号化鍵が前記記憶媒体デバイスの暗号化されていない区画に記憶される、請求項2に記載の方法。
  5. 前記複数のLRUが飛行機で作動し、前記特定のデータが前記飛行機の運航データである、請求項1に記載の方法。
  6. 前記第2の暗号化鍵を用いて前記第1の暗号化鍵を暗号化する前に、
    前記第1の暗号化鍵を署名鍵として用いて、前記記憶媒体デバイスに保持されている一以上のデータセットのメッセージ認証コード(MAC)を生成すること
    を更に含む、請求項1に記載の方法。
  7. 前記第2の暗号化鍵を生成する前に、
    少なくとも前記第2のLRUとのトランスポートレイヤセキュリティ(TLS)コネクションを確立すること、及び
    前記TLSコネクションを通じて、前記第2のLRUから前記鍵データを取り出すこと
    を更に含む、請求項1に記載の方法。
  8. 複数の列線交換ユニット(LRU)のうちの第1のLRUを表すシステムであって、
    プロセッサと、
    プログラムコードを記憶しているメモリであって、前記プログラムコードは、前記プロセッサ上で実行されると、
    第1の暗号化鍵を生成すること、
    前記第1の暗号化鍵を用いて、前記システムに取り付け可能な記憶媒体デバイスにバックアップデータとして記憶されている特定のデータを暗号化すること、
    前記複数のLRUの少なくとも第2のLRUの鍵データに基づいて、第2の暗号化鍵を生成すること、及び
    前記第2の暗号化鍵を用いて、前記第1の暗号化鍵を暗号化すること
    を含む工程を実施する、メモリと
    を含む、システム。
  9. 前記工程が、
    前記暗号化された特定のデータと、前記暗号化された第1の暗号化鍵とを、前記記憶媒体デバイスに記憶することを更に含む、請求項8に記載のシステム。
  10. 前記暗号化された特定のデータが前記記憶媒体デバイスの暗号化された区画に記憶され、前記暗号化された第1の暗号化鍵が前記記憶媒体デバイスの暗号化されていない区画に記憶される、請求項9に記載のシステム。
  11. 前記複数のLRUが飛行機で作動し、前記特定のデータが前記飛行機の運航データである、請求項8に記載のシステム。
  12. 前記工程が、
    前記第2の暗号化鍵を用いて前記第1の暗号化鍵を暗号化する前に、
    前記第1の暗号化鍵を署名鍵として用いて、前記記憶媒体デバイスに保持されている一以上のデータセットのメッセージ認証コード(MAC)を生成すること
    を更に含む、請求項8に記載のシステム。
  13. 前記工程が、前記第2の暗号化鍵を生成する前に、
    少なくとも前記第2のLRUとのトランスポートレイヤセキュリティ(TLS)コネクションを確立すること、及び
    前記TLSコネクションを通じて、前記第2のLRUから前記鍵データを取り出すこと
    を更に含む、請求項8に記載のシステム。
JP2016221359A 2015-11-16 2016-11-14 航空機システムのためのセキュアな取り外し可能ストレージ Active JP6546144B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/942,680 US10083325B2 (en) 2015-11-16 2015-11-16 Secure removable storage for aircraft systems
US14/942,680 2015-11-16

Publications (2)

Publication Number Publication Date
JP2017130913A true JP2017130913A (ja) 2017-07-27
JP6546144B2 JP6546144B2 (ja) 2019-07-17

Family

ID=56799278

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016221359A Active JP6546144B2 (ja) 2015-11-16 2016-11-14 航空機システムのためのセキュアな取り外し可能ストレージ

Country Status (5)

Country Link
US (1) US10083325B2 (ja)
EP (1) EP3169035B1 (ja)
JP (1) JP6546144B2 (ja)
CN (1) CN106709313B (ja)
CA (1) CA2939956C (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10652027B2 (en) 2015-10-20 2020-05-12 The Boeing Company Airplane identity management with redundant line replaceable units (LRUs) and composite airplane modifiable information (AMI)
US10536445B1 (en) * 2017-06-12 2020-01-14 Daniel Maurice Lerner Discrete blockchain and blockchain communications
US10171435B1 (en) * 2017-06-12 2019-01-01 Ironclad Encryption Corporation Devices that utilize random tokens which direct dynamic random access
WO2018231703A1 (en) * 2017-06-12 2018-12-20 Daniel Maurice Lerner Securitization of temporal digital communications via authentication and validation for wireless user and access devices
US10154015B1 (en) * 2017-06-12 2018-12-11 Ironclad Encryption Corporation Executable coded cipher keys
US10645070B2 (en) * 2017-06-12 2020-05-05 Daniel Maurice Lerner Securitization of temporal digital communications via authentication and validation for wireless user and access devices
US10616192B2 (en) * 2017-06-12 2020-04-07 Daniel Maurice Lerner Devices that utilize random tokens which direct dynamic random access
US10154021B1 (en) * 2017-06-12 2018-12-11 Ironclad Encryption Corporation Securitization of temporal digital communications with authentication and validation of user and access devices
FR3071079B1 (fr) 2017-09-08 2019-09-13 Alstom Transport Technologies Procede de transmission et de verification de validite de donnees de configuration dans un systeme electronique, systeme electronique et produit programme d'ordinateur associes
US11290258B2 (en) 2019-02-22 2022-03-29 Panasonic Avionics Corporation Hybrid cryptographic system and method for encrypting data for common fleet of vehicles
US20230071375A1 (en) * 2021-09-03 2023-03-09 Motional Ad Llc Protecting confidentiality of air-gapped logs

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000101562A (ja) * 1998-09-21 2000-04-07 Kodo Ido Tsushin Security Gijutsu Kenkyusho:Kk 暗号通信装置
US20070266258A1 (en) * 2006-05-15 2007-11-15 Research In Motion Limited System and method for remote reset of password and encryption key
US20120216286A1 (en) * 2011-02-18 2012-08-23 Honeywell International Inc. Methods and systems for securely uploading files onto aircraft
JP2012213036A (ja) * 2011-03-31 2012-11-01 Panasonic Corp 通信装置及び通信システム
JP2014089640A (ja) * 2012-10-31 2014-05-15 Renesas Electronics Corp 半導体装置及び暗号鍵書き込み方法
JP2017112597A (ja) * 2015-10-20 2017-06-22 ザ・ボーイング・カンパニーThe Boeing Company 冗長列線交換ユニット(「lru」)及び複合的な、航空会社によって変更可能な情報(「ami」)を用いた飛行機の識別管理

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1997020362A1 (en) * 1995-11-30 1997-06-05 Amsc Subsidiary Corporation Virtual network configuration and management system for satellite communications system
AU7593601A (en) * 2000-07-14 2002-01-30 Atabok Inc Controlling and managing digital assets
CN100571125C (zh) * 2005-12-30 2009-12-16 上海贝尔阿尔卡特股份有限公司 一种用于用户设备与内部网络间安全通信的方法及装置
US8386782B2 (en) 2006-02-02 2013-02-26 Nokia Corporation Authenticated group key agreement in groups such as ad-hoc scenarios
ATE549813T1 (de) 2006-05-13 2012-03-15 Research In Motion Ltd System und verfahren zum fernbedienten zurücksetzen von kennwort und kryptografischem schlüssel
EP2441229B1 (en) * 2009-06-11 2020-05-06 Panasonic Avionics Corporation System and method for providing security aboard a moving platform
WO2011010688A1 (ja) * 2009-07-22 2011-01-27 日本電気株式会社 コンテンツ配信システム、コンテンツ配信方法、コンテンツ配信プログラム
DE102009057568A1 (de) * 2009-12-09 2011-06-16 Lufthansa Technik Ag Line Replaceable Unit für ein Luftfahrzeug
US8701169B2 (en) * 2011-02-11 2014-04-15 Certicom Corp. Using a single certificate request to generate credentials with multiple ECQV certificates
US20130132548A1 (en) * 2011-11-17 2013-05-23 Flight Focus Pte. Ltd. Aircraft computer system for executing inflight entertainment and electronic flight bag applications
US9594698B2 (en) 2013-08-13 2017-03-14 Dell Products, Lp Local keying for self-encrypting drives (SED)
US9426650B2 (en) * 2014-10-31 2016-08-23 Gogo Llc Autonomous-mode content delivery and key management

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000101562A (ja) * 1998-09-21 2000-04-07 Kodo Ido Tsushin Security Gijutsu Kenkyusho:Kk 暗号通信装置
US20070266258A1 (en) * 2006-05-15 2007-11-15 Research In Motion Limited System and method for remote reset of password and encryption key
US20120216286A1 (en) * 2011-02-18 2012-08-23 Honeywell International Inc. Methods and systems for securely uploading files onto aircraft
JP2012213036A (ja) * 2011-03-31 2012-11-01 Panasonic Corp 通信装置及び通信システム
JP2014089640A (ja) * 2012-10-31 2014-05-15 Renesas Electronics Corp 半導体装置及び暗号鍵書き込み方法
JP2017112597A (ja) * 2015-10-20 2017-06-22 ザ・ボーイング・カンパニーThe Boeing Company 冗長列線交換ユニット(「lru」)及び複合的な、航空会社によって変更可能な情報(「ami」)を用いた飛行機の識別管理

Also Published As

Publication number Publication date
CN106709313A (zh) 2017-05-24
CN106709313B (zh) 2021-11-02
EP3169035B1 (en) 2018-12-12
EP3169035A1 (en) 2017-05-17
CA2939956A1 (en) 2017-05-16
US20170140175A1 (en) 2017-05-18
JP6546144B2 (ja) 2019-07-17
CA2939956C (en) 2020-07-07
US10083325B2 (en) 2018-09-25

Similar Documents

Publication Publication Date Title
JP6546144B2 (ja) 航空機システムのためのセキュアな取り外し可能ストレージ
CN107018134B (zh) 一种配电终端安全接入平台及其实现方法
JP7199189B2 (ja) 無人水中輸送体のための安全で中断耐性のある通信
US9667416B1 (en) Protecting master encryption keys in a distributed computing environment
CN105873031B (zh) 基于可信平台的分布式无人机密钥协商方法
CN110445747B (zh) 用于加密交通工具数据服务交换的系统和方法
US9954680B1 (en) Secure management of a master encryption key in a split-key based distributed computing environment
US8732462B2 (en) Methods and apparatus for secure data sharing
Hauser et al. P4-MACsec: Dynamic topology monitoring and data layer protection with MACsec in P4-based SDN
US10277559B2 (en) Methods and systems for data traffic control and encryption
US20180013570A1 (en) Systems and methods for verifying a route taken by a communication
CN106797316A (zh) 通过网络向用户设备的数据分发
Pattaranantakul et al. Secure and efficient key management technique in quantum cryptography network
Gilles et al. Securing IIot communications using OPC UA pubsub and trusted platform modules
Rosborough et al. All about eve: comparing DNP3 secure authentication with standard security technologies for SCADA communications
CN116545706B (zh) 一种数据安全传输控制系统、方法、装置及电子设备
US9800568B1 (en) Methods for client certificate delegation and devices thereof
US20170317817A1 (en) Pre-authorization of public key infrastructure
US20170034214A1 (en) Apparatus and method for cross enclave information control
CN111279655A (zh) 数据共享方法、数据共享系统、数据共享服务器、通信终端、程序
Das et al. Performance analysis of client side encryption tools
EP3739808A1 (en) Transient key negotiation for passenger accessible peripherals
Gilles et al. Securing communication on the field: Protecting geo-distributed computing in an untrusted environment
Wang et al. FPGA based Rekeying for cryptographic key management in Storage Area Network
CN116405257A (zh) 信令传输方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180907

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190529

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190611

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190620

R150 Certificate of patent or registration of utility model

Ref document number: 6546144

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250