提供了用于安全上载文件到诸如飞机的交通工具上的方法和系统。在一个实施例中,用于传输文件到远程交通工具的系统包括:远程交通工具上机载的通信系统;耦合到通信系统的远程交通工具上机载的至少一个处理器;以及包括数据库的至少一个存储设备,所述至少一个存储设备进一步包括计算机可执行指令,该计算机可执行指令在由至少一个处理器所执行时,实现数据检查功能性过程,该数据检查功能过程包括:从由通信系统接收到的上行文件在远程交通工具处生成安全文件;使用所述安全文件验证所述上行文件的完整性;当所述上行文件的完整性得到证实时,接受所述上行文件;以及当所述上行文件的完整性未被证实时,拒绝所述上行文件。
【技术实现步骤摘要】
用于安全上载文件到飞机上的方法和系统
本专利技术涉及交通工具领域,具体而言,本专利技术涉及安全上载文件到远程交通工具上的方法和系统。
技术介绍
飞机操作员和拥有者正越来越多地利用现有的和新兴的基于无线和互联网的连接来远程地上载数据到飞机。这些数据在整个飞机使用期限的各个时间被加载到飞机的航空电子系统中,并且这些数据通常必须是安全的。远程地上载文件使飞机易受下载到恶意的数据的可能性,攻击者上载该恶意的数据替换了正确的数据。高保证软件可以检测到一些恶意的数据;然而,这种软件通常是昂贵的。通常情况下,数据库文件连同其校验和一起被上载到飞机。机载系统计算该数据库的第二校验和,并将该第二校验和与上载的校验和进行比较。两个校验和之间的不一致可表明噪音或错误已经发生。然而,这种系统和方法对潜在的攻击是开放的。例如,攻击者可以尝试改变数据库文件并提供相应的校验和,或以不变更原始校验和的方式来改变数据库。在这种情况下,当机载系统接收改变的数据库文件和其相应的校验和时,机载系统无法检测到数据库文件被更改。因此,上载文件到飞机上的当前的方法不能检测一些形式的篡改或恶化。依据阅读和理解说明书,以上陈述的原因和以下陈述的其他原因对本领域技术人员来说将变得显而易见,在本领域存在对于提供安全上载飞机上机载的数据的方法和系统的需要。
技术实现思路
本专利技术的实施例提供了用于通过数据流模型进行类型和范围传播的方法和系统,并且将通过阅读和学习随后的说明书而被理解。提供了安全上载文件到诸如飞机的交通工具上的方法和系统。在一个实施例中,用于传输文件到远程交通工具的系统包括:远程交通工具上机载的通信系统;耦合到通信系统的远程交通工具上机载的至少一个处理器;以及包括数据库的至少一个存储设备;所述至少一个存储设备进一步包括计算机可执行指令,该计算机可执行指令在由至少一个处理器所执行时,实现数据检查功能过程,该数据检查功能过程包括:从由通信系统接收到的上行文件在远程交通工具处生成安全文件;使用所述安全文件验证所述上行文件的完整性;当所述上行文件的完整性得到证实时,接受所述上行文件;以及当所述上行文件的完整性未被证实时,拒绝所述上行文件。附图说明当鉴于考虑优选的实施例的描述和随后的附图时,本专利技术实施例能够被更容易地理解,以及其进一步的优点和使用更容易地显而易见,其中:图1是根据本专利技术一个实施例的用于安全上载文件到飞机上的系统的框图;图2是根据本专利技术一个实施例的用于安全上载文件到远程交通工具上的方法的流程图;图3示出了根据图2的方法的上行和下行消息的示例性流程图;图4是根据本专利技术一个实施例的用于使用消息认证码(MAC)来验证上行文件的方法的流程图;以及图5是根据本专利技术另一个实施例的用于从地面单元到远程交通工具验证上行文件的方法的流程图。按照一般惯例,各种描述的特征并不是按比例绘制的,而是根据强调有关本专利技术的特征来绘制的。贯穿附图和全文,相同的参考字符指示相同的元件。具体实施方式在随后的详细描述中,参考了附图,所述阹构成在此的一部分,并其中借助本专利技术可实施的特定的说明性实施例来示出。这些实施例被充分详细地描述,以使本领域技术人员能够实施本专利技术,以及应当理解的是,在不偏离本专利技术的范围的情况下,也可利用其他的实施例并可作出逻辑、机械和电气的改变。因此,随后的详细描述不被理解为限制意义。此处描述的一些实施例提供了用于通过易遭受外部攻击的系统(例如通过无线连接或在互联网上)远程地、安全地上载文件的系统和方法。这些实施例确保上载的文件是原始文件的有效副本或是原始文件的相关文件。这是通过验证上载的文件的完整性来实现的。在一些实施例中,上载的文件的完整性通过使用一个或多个远程完整性检查网站、外场可更换单元(LRU)、或高保证的机载系统来被验证。图1是根据本专利技术的一个实施例的安全上载文件到飞机110的系统100的框图。如在此所使用的,术语“飞机”是指任何航空交通工具,例如,但不限于,飞机、直升机、或其他飞行器。地面单元140包括具有处理和通信能力的设备或系统,并且远离飞机110。换句话说,地面单元140不是飞机110机载安装的系统。飞机110包括航空电子系统112,该航空电子系统112与通信系统130通信耦合。航空电子系统112包括航空电子处理器114、存储器116、和至少一个数据存储设备120,该至少一个数据存储设备用于存储由这种计算机可执行应用所使用的计算机可执行应用指令和数据。尤其是,存储设备120包括数据库122,该数据库122尤其存储了有关飞行信息和飞机规格的信息,包括例如飞行计划、导航信息和诸如飞机110的当前重量的飞机参数。存储设备120还存储高保证软件124和低保证软件126(在此共同称为“软件124和126”),其包括计算机可执行程序指令。如图1所说明的,存储设备120进一步包括用于数据检查功能128的可执行代码,其可作为高保证软件124的一部分、低保证软件126的一部分、或两者兼而有之的一部分被实现。航空电子处理器114执行高保证软件124和低保证软件126,以使航空电子处理器114执行在此所描述的处理,就如航空电子系统112执行一样,以便于从地面单元140安全地使上行文件到该航空电子系统112。依据阅读本说明书,本领域的普通技术人员将理解,航空电子应用中使用的软件应服从有关该软件的安全性和可靠性的政府规章。表明一段特定的航空电子软件是如何顺从那些规章的典型手段是,具备详述该软件的可靠性的认证等级。因而,高保证软件124比低保证软件126具有更高的认证等级。作为此处使用的术语,认证等级表明在软件设计、验证和批准方面所应用的质量保证等级,以确保所述软件将以预期的可靠性等级来执行。例如,认证等级经常被用于识别满足适航性要求的软件。对于此处描述的一些实施例,由航空无线电技术委员会(RTCA)公司出版的标准DO-178B《机载系统和设备合格审定中的软件考虑》,被用于指定软件125和126的认证等级。DO-178B定义了五个软件设计保证等级(DAL),从最高等级A(最可靠)开始一直到最低等级E(最不可靠)。每个等级由故障状况的影响所定义,该故障状况由在飞机、机组人员和乘客上具有的异常软件行为所引起。例如,被指定的等级A软件的软件的故障是灾难性的(故障可能引起坠落),等级B是危险的(在安全或性能方面有重大负面影响),等级C是较重的(故障是重大的,但比等级B的故障具有更小的影响)。等级D是较轻的(故障是明显的),以及等级E是没有影响的(故障在安全、飞机操作,或机组人员工作量方面没有影响)。通常,由于在文档化、构建和测试代码方面花费了额外时间,高保证等级的软件在设计和生产方面相比低保证等级的软件更加昂贵。虽然这些航空电子认证等级是以航空电子为导向的,但它们也为其他系统的开发提供了一套方便的标准和目标。这种标准可应用于任何系统,不论是否需要正式认证,正是认证例如是从政府机构所获得的。在图1中所示的实施例的至少一种实现方式中,高保证软件124包括具有从A到C的认证等级的软件,而低保证软件126包括认证等级D和E。通常,相比低保证软件126,高保证软件124被用于更关键的飞行控制系统。低保证软件126被用于维护功能,包括例如,上载用于存储在数据库122中的文件。或者,高保本文档来自技高网...
【技术保护点】
【技术特征摘要】
2011.02.18 US 13/030,2921.一种用于传输文件到远程交通工具(110)的系统,所述系统包括:远程交通工具(110)上机载的通信系统(130);远程交通工具(110)上机载的至少一个处理器(114),耦合到通信系统(130);以及包括数据库的至少一个存储设备(120),所述至少一个存储设备(120)进一步包括计算机可执行指令,所述计算机可执行指令在由所述至少一个处理器(114)所执行时,实现数据检查功能过程(128),该数据检查功能过程包括:从由通信系统(130)接收到的上行文件在远程交通工具(110)处生成安全文件;将所述安全文件下行到地面单元(140),其中地面单元通过将安全文件与地面单元生成的第二安全文件进行比较来来执行完整性检查;基于由通信系统(130)从地面单元(140)接收指示上行文件被地面单元验证为原始文件的副本的认证消息来确定所述上行文件的完整性是否被验证;当所述上行文件的完整性得到证实时,接受所述上行文件;以及当所述上行文件的完整性未被证实时,拒绝所述上行文件。2.根据权利要求1所述的系统,其中所述地面单元(140)包括完整性检查软件(154),所述完整性检查软件(154)实现以下过程,包括:从所述上行文件计算所述第二安全文件。3.根据权利要求1...
【专利技术属性】
技术研发人员:D·P·约翰逊,J·努塔罗,
申请(专利权)人:霍尼韦尔国际公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。