用于飞行器系统的安全可移除存储装置制造方法及图纸

本申请公开用于飞行器系统的安全可移除存储装置。公开了用于保护在可移除存储介质装置中由线路可更换单元(LRU)维护的(例如，飞行器的)备份操作数据的技术。LRU生成第一加密密钥。LRU使用第一加密密钥加密操作数据。LRU基于至少第二LRU的密钥数据生成第二加密密钥。LRU使用第二加密密钥加密第一加密密钥。

Secure removable storage device for aircraft systems

The present application discloses a secure removable storage device for an aircraft system. Techniques for protecting backup data in a removable storage medium device (e.g., an aircraft) maintained by a line replaceable unit (LRU) are disclosed. LRU generates the first encryption key. LRU encrypts the operation data with the first encryption key. LRU generates a second encryption key based on the key data of at least second LRU. The LRU encrypts the first encryption key using the second encryption key.

【技术实现步骤摘要】
用于飞行器系统的安全可移除存储装置
本文提出的各方面总体涉及在封闭通信系统中的数据安全(例如，在飞行器、轨道交通工具和汽车中使用的电子系统)，并且更具体地涉及用于保护存储在这类系统的可移除存储介质中的备份数据的安全性和完整性的技术。
技术介绍
现代运输模式装备有彼此通信和交换信息的电子和计算机组件。例如，飞机可以包括若干线路可更换单元(LRU)，其是在飞机内连网的装置。每个LRU执行特定的功能，诸如管理航空电子系统和机载设备之间的通信，提供飞机和地面网络之间的连接(例如，商业航空公司)，以及提供对飞行器客舱的无线网络访问。给定LRU是可互换的并且能够在LRU失效(或以其他方式不能提供服务)时在操作位置被迅速更换。在一些飞行器电子和计算机系统中，一个LRU用作失效的单个点，即，该特定LRU的失效可以导致不可接受的数据损失并且因此导致操作准备就绪的损失。一个示例LRU包括网络文件服务器，其维护用于识别飞行器在场外或外部维护系统的信息。一种减轻数据损失的方法是通过借助附接至LRU的可移除存储介质备份关键操作数据。因此，即使LRU失效，操作数据在可移除存储介质上保持完好无损，该可移除存储介质随后能够被插入替换LRU中。
技术实现思路
本文提出的一个方面描述一种方法。该方法通常包括：通过多个线路可更换单元(LRU)中的第一LRU生成第一加密密钥。该方法通常还包括使用第一加密密钥对指定的数据进行加密。该指定的数据作为备份数据存储在可附接至第一LRU的存储介质装置中。该方法还包括基于多个LRU中的至少第二LRU的密钥数据生成第二加密密钥。使用第二加密密钥对第一加密密钥进行加密。在一个方面中，结合上述，该方法还包括将加密过的指定的数据和加密过的第一加密密钥存储在存储介质装置中。该加密过的指定的数据被存储在存储介质装置的加密分区中。此外，加密过的第一加密密钥被存储在存储介质装置的未加密分区中。这种方法还可以包括基于至少第二LRU的密钥数据，通过第一LRU的替换LRU生成第二加密密钥。该方法还包括对存储在存储介质装置中的加密过的第一加密密钥和加密过的指定的数据进行解密。该方法还包括将指定的数据恢复(restore)到替换LRU。在一个方面中，结合上述任何示例，多个LRU在飞机中运行。此外，指定的数据是飞机的操作数据。在一个方面中，结合上述任何示例，在使用第二加密密钥对第一加密密钥进行加密之前，针对在存储介质装置中维护的一个或更多个数据集生成消息认证代码(MAC)。使用第一加密密钥作为签名密钥生成该MAC。在一个方面中，结合上述任何示例，在生成第二加密密钥之前，发起与至少第二LRU的传输层安全(TLS)连接。经由TLS连接检索来自第二LRU的密钥数据。此外，本文描述的方面包括上述方法的前述布置或配置的任何替代、变形和修改。其他方面包括但不限于，一种非临时性存储介质，该非临时性存储介质具有计算机可读程序代码，该计算机可读程序代码使得处理单元能够实施所公开的方法的一个或更多个方面；以及一种系统，该系统具有处理器、存储器和应用程序，该应用程序被配置为实施所公开的方法的一个或更多个方面。附图说明图1根据一个方面说明示例计算环境。图2根据一个方面进一步说明关于图1描述的存储介质装置。图3根据一个方面说明封装用于保护操作数据的加密密钥的示例流程。图4根据一个方面说明用于保护操作数据到存储介质装置的方法。图5根据一个方面说明恢复操作数据到线路可更换单元(LRU)的示例。图6根据一个方面说明用于恢复操作数据到LRU的方法。图7根据一个方面说明在LRU失效后保护操作数据到存储介质装置的示例。图8根据一个方面说明被配置用于保护操作数据到存储介质装置的示例LRU。具体实施方式本文提出的方面公开了用于保护在封闭通信系统(诸如在飞行器通信系统)中的使用的备份数据的技术。飞机通常包括若干线路可更换单元(LRU)，每个LRU在飞行器内执行给定的功能。通常，LRU被设计以允许在LRU失效时进行相对快速地替换。一些LRU存储对于飞机的操作至关重要的数据。例如，飞机可以包括网络文件服务器(NFS)LRU，其存储用于识别飞机到其他系统(例如，地面控制系统，维护系统等)的信息。这种LRU的失效导致重大数据损失和飞机操作准备就绪的损失。为解决该问题，LRU将操作数据备份到可移除存储介质装置。在一个方面，操作者可以将存储介质装置附接至LRU并将操作数据复制到该装置。在LRU失效时，操作者可以从LRU移除存储介质装置并将该装置附接至替换LRU。操作者可以随后将操作数据恢复到该替换LRU。然而，这种方法存在的一个顾虑在于保护备份数据免受攻击。例如，攻击者能够移除存储介质装置并复制数据，潜在地导致不期望的后果(例如，使用操作数据假冒飞机身份和操纵维护统计，执行关于地面系统的拒绝服务攻击等)。为解决该顾虑，LRU能够使用加密算法(诸如高级加密标准(AES))对数据加密。这种做法防止在没有正确的AES加密密钥的情况下访问数据。因此，在这种方法情况下，确定存储加密密钥的位置成为顾虑。例如，在LRU上存储密钥是不期望的，原因在于在LRU失效时潜在的密钥丢失。以及将密钥不受阻碍地存储在存储介质装置上也是不期望的，因为能够访问存储介质装置的攻击者也能够从该装置获得密钥从而解密数据。各方面提供用于生成密钥以封装AES加密密钥的技术。更具体地，各技术描述基于对飞机来说有区别的数据生成封装密钥。数据可以包括在飞机的公共密钥基础设施(PKI)中使用的信息，例如与飞机中的连网的两个或更多个其他LRU相关联的公共密钥。这种数据对于飞机是私有的并且对于用于替换失效的一个LRU的LRU是可访问的。在一个方面，LRU可以利用封装密钥(wrappingkey)对AES加密密钥进行加密，并且将封装过的AES加密密钥存储在可移除存储介质装置上。在这种方法情况下，AES加密密钥保持不可由攻击者访问，即使攻击者能够复制存储介质装置的内容。此外，即使攻击者能够危害LRU中的一个从而识别用于该LRU的密钥信息，攻击者也不能重制封装密钥(原因在于封装密钥使用其他LRU作为种子生成)。如果LRU(其存储关键操作数据)失效，操作者可以将可移除存储介质附接至用于替换失效的LRU的新的LRU。新的LRU可以使用最初用于生成封装密钥的相同的数据重新生成该封装密钥。LRU可以随后解密封装的AES密钥并恢复操作数据。此外，如果其他LRU中的任何一个失效，存储关键操作数据的LRU可以重新生成AES密钥并且重新加密操作数据。此外，LRU可以使用新数据生成封装密钥，该新数据来自替换失效的LRU的LRU。这种做法缩窄了攻击者能够从失效的LRU获得公共密钥信息的窗口。在一个方面中，LRU还可以使用AES加密密钥作为签名密钥以保持在存储介质装置中存储的未加密数据的完整性。也就是，可期望检测攻击者是否已移除存储介质装置并且已使用虚假数据替换未加密数据集。LRU可以使用消息认证代码(MAC)算法，其作为输入使用AES加密密钥(用作私密密钥)和未加密数据集。LRU可以将产生的MAC连同数据集一起存储到存储介质装置。此外，LRU可以使用封装密钥来加密AES密钥。为了证明数据集的完整性，LRU可以使用上述技术解密AES密钥，并且使用AES密钥本文档来自技高网...

【技术保护点】
一种方法，包括：通过多个线路可更换单元即多个LRU中的第一LRU，生成第一加密密钥；使用所述第一加密密钥对指定的数据进行加密，其中所述指定的数据作为备份数据存储在可附接至所述第一LRU的存储介质装置中；基于所述多个LRU中的至少第二LRU的密钥数据，生成第二加密密钥；以及使用所述第二加密密钥对所述第一加密密钥进行加密。

【技术特征摘要】
2015.11.16 US 14/942,6801.一种方法，包括：通过多个线路可更换单元即多个LRU中的第一LRU，生成第一加密密钥；使用所述第一加密密钥对指定的数据进行加密，其中所述指定的数据作为备份数据存储在可附接至所述第一LRU的存储介质装置中；基于所述多个LRU中的至少第二LRU的密钥数据，生成第二加密密钥；以及使用所述第二加密密钥对所述第一加密密钥进行加密。2.根据权利要求1所述的方法，进一步包括：在所述存储介质装置中存储加密的指定的数据和加密的第一加密密钥。3.根据权利要求2所述的方法，进一步包括：通过所述第一LRU的替换LRU，基于至少所述第二LRU的密钥数据，生成所述第二加密密钥；解密在所述存储介质装置中存储的所述加密的第一加密密钥；解密所述加密的指定的数据；以及将所述指定的数据恢复到所述替换LRU。4.根据权利要求2所述的方法，其中所诉加密的指定的数据被存储在所述存储介质装置的加密分区中，并且其中所述加密的第一加密密钥被存储在所述存储介质装置的未加密分区中。5.根据权利要求1所述的方法，其中所述多个LRU在飞机内操作，并且其中所述指定的数据是所述飞机的操作数据。6.根据权利要求1所述的方法，进一步包括，在使用所述第二加密密钥对所述第一加密密钥进行加密之前：针对在所述存储介质装置中维护的一个或更多个数据集，生成消息认证代码即MAC，其中使用所述第一加密密钥作为签名密钥生成所述MAC。7.根据权利要求1所述的方法，进一步包括，在生成所述第二加密密钥之前：...

【专利技术属性】
技术研发人员：I·G·奥格斯，R·A·圣地亚哥，
申请(专利权)人：波音公司，
类型：发明
国别省市：美国,US