オープンドメインからアビオニクスドメインまでの通信のオンボードアクセス制御システム
本発明は、オープンドメイン(12)からアビオニクスドメイン(11)までの通信のため、オンボード航空機の情報システムに対するオンボードアクセス制御システムに関し、これらの2つのドメインは、アビオニクスドメインからオープンドメインまで、単一方向のリンク(13)を通じて、相互に接続されている。このシステムは、これらの2つのドメインへのアクセスを制御するアクセススイッチ(14,15)と、制御装置(16)と、取得、データをバッファメモリ内に入れること、及びアビオニクスドメインへの転送ためのモジュール(17)と、データ制御モジュール(18)と、オープンドメインから、及び、バッファメモリ内に入れる取得モジュール(19)とを具備しているセキュリティデバイス(10)と、オペレータの認証手段(20)とを具備している。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、オープンドメインからアビオニクスドメインまでの通信のオンボードアクセス制御システムに関する。このシステムは、航空機(例えば、飛行機)にオンボード設置してもよい。
【背景技術】
【0002】
オンボード情報システムは、2つの「ドメイン」で構成されたシステムであり、それは、アビオニクスドメイン(AW)(明確に定義された証明(certification)規則を満足する)と、オープンドメイン(OW)(公衆(general public)コンピュータコンポーネントに基づく)とである。現在では、この通信はアビオニクスドメインからオープンドメインへの方向に認可されるだけである(データ処理セキュリティ指示の後で)。それにも拘らず、両方向に通信する必要があり、かつ、この必要性はシステムのために必須になっている。
【0003】
§アビオニクスドメイン
アビオニクスドメインは、航空管制などの重大な機能を含むすべてのアビオニクス機能を処理するアビオニクスコンピュータに割り当てられる。
【0004】
その完全性、その結果、オペレーション上の信頼性を保証するために、データ処理攻撃に対してアビオニクスドメインを保護しなければならない。アビオニクス機器は、オフィシャルサービスによって命令され、その結果、飛行安全を保証した航空航行可能性規則に合意して開発される。オープンドメインから生じる非制御の侵入試みに対して安全なドメインを保護しなければならない。
【0005】
アビオニクスドメインは、以下を含む項目を処理するのに割り当てられる。
1)航空機のオペレーション上の使用、及び、良好な飛行制御に貢献する即時のオペレーションに必要なすべてもの。
2)良好なオペレーション上の使用のための飛行準備に必要なすべてもの。
3)地上から発生する一部の「センシティブな」データの取得。
【0006】
§オープンドメイン
「オープン」ドメインは、飛行安全に全く影響しないメインテナンスアプリケーション、オペレーション上のアプリケーション、および客室アプリケーションにホストキャパシティを供給するアプリケーションサーバを含んでいる。航空機のオンボードイーサネット(登録商標)ローカルネットワークは、オープンドメインの異なったコンポーネント間の情報交換を可能にする。また、オープンドメインは、高速衛星通信を介して、地上ベースの航空会社に属する情報システムと通信してもよい。
【0007】
すべてのオペレータに対してオープンであるので、このドメインは「オープン」として取り扱われる。それは、公衆コンポーネント及びデータ処理規格(イーサネット(登録商標)ローカルネットワーク、COTS(Components Off The Shelf)ソフトウェア、およびハードウェア)を使用するので、非制御として取り扱われる。
【0008】
使用されるコンピュータセキュリティ要素は、どのようなタイプのウイルス及び/又は攻撃も伝わらないのを保証しなければならない。
【0009】
「オープン」ドメインは、以下を提供する。
1)セキュリティ、安全、および可用性に関する複雑さを減少させる低コストソリューション(例えば市場ソリューション)。
2)航空機製造会社による最小の関与か、又は、一切関与なく、自身のアプリケーション(「第三者アプリケーション」)をインストールすることを望むオペレータに対する最大の柔軟性(その結果、実施コストと時間を制限する)。
3)オペレーション上のルール(FAR121、FAR145…)を満たし、エアラインに責任のあるアプリケーションのインストールの容易さ。
4)即時オペレーションの主要でない(non-major)機能/アプリケーションを収容するキャパシティ。
【0010】
本発明の別の目的は、特にデータセキュリティ、安全、性能、インストール、構成、および航空機証明(certification)に関するオンボード情報システムの必要性と、一般及び特定の目的とを考慮に入れることである(アビオニクスドメインとオープンドメインとの間の2方向の通信を可能にするために、オープンドメインからアビオニクスドメインまで、セキュアな通信を可能にするオンボードアクセス制御システムを提供することによって)。
【発明の概要】
【課題を解決するための手段】
【0011】
本発明は、オンボード航空機の情報システムへのアクセスを制御するオンボードシステムに関し、
明確に定義された証明規則を満足するアビオニクスドメインと、
すべてのオペレータにアクセス可能な公衆コンポーネントに基づくオープンドメインと
を備え、
セキュリティ上の理由のため、これらの2つのドメインが、アビオニクスドメインからオープンドメインまでの単一方向リンクを通じて、相互に接続されるシステムにおいて、
オペレータ認証手段と、
・これらの2つのドメインのそれぞれへのアクセスを制御し、電子施錠のようにオペレーションする、1セットの2つのアクセススイッチと、
・オペレータのプロファイルによって決まる期間中に、これらの2つのスイッチのオープンを制御する、制御装置と、
・取得し、オープンドメインから生じるデータをバッファメモリ内に入れ、かつ、アビオニクスドメインに転送するためのモジュールと、
・オープンドメインからのデータを取得し、かつ、それをバッファメモリ内に入れる、取得モジュールと、
・バッファメモリ間のすべての交換に適用可能なフィルタ基準を定義する、データ制御モジュールと
を具備するセキュリティデバイスと
を具備し、
オープンドメインからアビオニクスドメインまでのセキュアな通信を可能にさせ、その結果、これらの2つのドメイン間で2方向の通信を可能にする。
【0012】
第1変形例(variant)では、前記オペレータ認証手段は、電子カード読み出し手段か、バイオメトリックス手段か、又は、コード読み出し手段を具備している。
【0013】
第2変形例では、前記オペレータ認証手段は、航空機と、地上に位置するオペレータが自身を認証することができる地上との間のセキュアなリンクを具備し、次いで、このリンクは、前記制御装置に接続される。
【0014】
好ましくは、前記スイッチはハードウェアスイッチである。
【0015】
前記制御モジュールは、OSIモデルのネットワーク、トランスポート、及びアプリケーション層における保護メカニズムを具備してもよい。好ましくは、前記制御モジュールは暗号化手段を具備している。前記制御モジュールは、データフィルタリングテーブルによって構成してもよい。
【0016】
好ましくは、これらの2つのアビオニクス及びオープンドメインのそれぞれで使用されるプロトコルは異なり、かつ、これらの2つのドメイン間のデータ交換のセキュリティを向上させるのに関与する。
【図面の簡単な説明】
【0017】
【図1】本発明のオンボードアクセス制御システムを示している。
【図2】本発明のオンボードアクセス制御システムのオペレーション方法の例を示すフローチャートである。
【発明を実施するための形態】
【0018】
図1に示すように、本発明のオンボードアクセス制御システムは、アビオニクスドメイン11と、オープンドメイン12との間に接続されている。これらの2つのドメイン11,12は、アビオニクスドメイン11からオープンドメイン12に向かう方向で、単一方向リンク13によって、従来方法で接続されている。
【0019】
本発明のシステムは、以下を具備している。
1)以下を具備するセキュリティデバイス10
・これらの2つのドメインのそれぞれにアクセスを実行させるハードウェアスイッチ14及び15
・制御装置16
・取得、バッファ記憶(memorization)、及び、アビオニクスドメイン11への転送のためのモジュール17
・データ制御モジュール(「ファイアウォール」)18
・オープンドメイン12からのデータ及びバッファ記憶のための取得モジュール19
2)オペレータ認証手段20
【0020】
第1変形例では、オペレータ認証手段は、認証手段(例えば、電子カード読み出し手段、バイオメトリックス手段、又は、コード読み出し手段を含む)で構成される。
【0021】
第2変形例では、オペレータ認証手段は、航空機と、地上に位置するオペレータが自身を認証することができる地上との間のセキュアなリンクを具備し、次いで、このリンクは、制御装置16に接続される。
【0022】
本発明のオンボードアクセス制御システムは、「電子施錠」(アビオニクスドメインとオープンドメインとのそれぞれにアクセススイッチを備える)と類似している。他のドメインへのアクセススイッチがクローズされたとき、1つのドメインから他のドメインまでデータを通過させることができ、故に、2つのドメイン間の恒久的な物理リンクを回避し、かつ、これらの2つのドメイン間に保護された通信をもたらすことができる。
【0023】
2つのハードウェアスイッチ14及び15の開閉は、オペレータが認証された以降に、セキュリティデバイス10によって制御される。このセキュリティデバイス10は、リンク13の反対方向(オープンドメイン12からアビオニクスドメイン11まで)で、セキュアなリンクを許可する。
【0024】
転送されるデータ量は、2つの取得、バッファ記憶、及び、転送モジュール17及び19のキャパシティに基づいて決定される。
【0025】
セキュリティデバイス10のため、オープンドメインからアビオニクスドメインまでのリンクは、常にオープンにされ、アビオニクスドメインへの恒久的なアクセスを回避し、不正侵入者のアクセスを禁止する。
【0026】
このセキュリティデバイス10は、以下の機能を備える。
【0027】
§制御装置16
制御装置16は、オペレータの認証を受理し、かつ、セキュリティデバイス10(オペレータのプロファイルのファンクションとしてオペレーションする)によって使用される規則を定義する。制御装置16は、オープンドメインとアビオニクスドメインとの間の接続を形成するオペレータのファンクションとして、セキュリティデバイス10を構成する。特に、制御装置16は、通信が可能である間に、オペレータのプロファイルによって決まるタイムウインドウを割り当てる。これを実行するために、それは、オペレータの認証の間に決定されたオペレータのプロファイルによって決まる期間に対して、アクセススイッチ14及び15のオープンを制御する。
【0028】
§アクセスモジュール19
オープンドメイン12へのアクセスモジュール19は、第1プロトコルの使用を考慮に入れ、かつ、オープンドメイン12から生じるデータをバッファメモリ内に格納する。
【0029】
§アクセスモジュール17
アビオニクスドメイン11へのアクセスモジュール17は、第2プロトコルの使用を許可し、かつ、オープンドメイン12から生じるデータをバッファメモリ(制御モジュール18を介して)内に格納する(それらを、アビオニクスドメイン11に転送することができるように)。
【0030】
§制御モジュール18
制御モジュール18は、オープンドメイン12とアビオニクスドメイン11との間に保護を設ける。特に、それはファイアウォール機能を実行する。これを実行するために、それは、ロードされたデータフィルタリングテーブル(フィルタ基準が定義され、かつ、バッファメモリ間のすべての交換に適用可能である)によって構成することができる。この制御モジュール18は、データ完全性をチェックする。
【0031】
適用されるセキュリティレベルは、転送されるデータのタイプのファンクションとして決定される。考慮に入れられるリストの例は、特に、侵入者による攻撃、商業スパイ、企業データ(ユーザ、従業員、及び企業データ)の予想外の公開、及びサービス妨害攻撃である。
【0032】
第1及び第2プロトコルは、当業者には周知のプロトコルの中から選択される。それらは異なってもよく、その結果、オープンドメイン12とアビオニクスドメイン11との間のデータ交換を安全にすることに関与する。
【0033】
そのような制御モジュール18は、従来の方法で、OSI(Open System Interconnection)モデルの以下の層に対する保護メカニズムを含む。
・ネットワーク層
・トランスポート層
・アプリケーション層
【0034】
秘匿性、認証を有効にし、かつ、完全性を向上させるたに、暗号化を使用してもよい。
【0035】
§アクセススイッチ14及び15
制御装置16は、アクセススイッチ14及び15の開閉を管理する。それらは、電子施錠(反対側のドメインのスイッチがクローズされたときにだけ、1つのドメインから他のドメインまで、データを通過させることができる)のようにオペレーションし、2つのドメイン間の物理的なリンクを回避する。
【0036】
オープンドメイン12とアビオニクスドメイン11との間でデータが転送されるプロセスは、以下のステップを具備している。
【0037】
1)オペレータ認証
制御装置16は、以下のステップと共に、オペレータ認証デバイス20によって転送されたデータを取得し、かつ、ユーザのプロファイルのファンクションとして権利を割り当てる。
・オープンドメインアクセススイッチ15をクローズする。
・第1プロトコルを初期化する。
・データをバッファ内に格納する。
【0038】
2)データをバッファメモリ内に格納する。
・データをバッファメモリ内に格納する。モジュール19では、転送されるすべての候補データのため、すべての以前のデータは除去されている。
・オープンドメインアクセススイッチ15をオープンにする。
【0039】
3)データチェック/フィルタリング
・バッファメモリ内に格納されたデータを、制御モジュール18へ転送する。
・所定のフィルタ基準のファンクションとしてデータをフィルタリングする。
【0040】
4)認証されたデータをバッファメモリ内に格納する。
・アビオニクスドメイン11とオープンドメイン12とへのアクセスを制御するスイッチ14及び15がそれぞれオープン及びクローズであるかをチェックする。
・すべての以前のデータが削除された後、データをバッファ記憶モジュール17へ転送する。
・モジュール19のメモリを消去する。
・アビオニクスドメインアクセススイッチ14(オープンにされているオープンドメインアクセススイッチ15)をクローズにする。
・第2プロトコルを初期化して、取得モジュール17からアビオニクスドメインまでデータを転送する。
【0041】
図2は、本発明のシステムのオペレーション例を図示したフローチャートである。
【0042】
このフローチャートは、以下のステップを具備している。
【0043】
1)本発明のシステムの構成を初期化するためのステップ21
オープンドメイン12へのアクセススイッチ15はオープンにされ、かつ、アビオニクスドメイン11へのアクセススイッチ11はクローズにされる。
【0044】
2)アクセス制御構成23及び認証又はアクセス制御規則24を受信する、本発明のシステムを更新するためのステップ22
【0045】
3)以下のステップを備えた、本発明のシステムの構成を変更させるためのテスト25
・スイッチ15はオープンにされ、かつ、スイッチ14はクローズにされ、出力26が、その後、ステップ27によって、第2プロトコル(アビオニクスドメインエンド)を初期化し、かつ、ステップ21にリターンする。
・スイッチ15はクローズされ、かつ、スイッチ14はオープンにされ、出力28が、その後、
*ステップ29によって、第1プロトコル(オープンドメインエンド)を初期化し、
*ステップ30によって、データをバッファメモリ内に格納し、かつ、データをオープンドメインから取得し、
*ステップ31によって、データフィルタ構成32を受信するデータをフィルタリングし(ファイアウォール機能)、
*ステップ33によって、有効なデータを記憶し、かつ、変更構成ステップ25の以前に、リターンし、かつ、
*ステップ34によって、バッファメモリを消去する。
【0046】
データは、以下のように、オープンドメインとアビオニクスドメインとの間で転送される。
1)テスト25からの出力28が第1ステップで使用される。
2)同じテスト25からの出力26が第2ステップで使用される。
【符号の説明】
【0047】
10 セキュリティデバイス
11 アビオニクスドメイン
12 オープンドメイン
13 単一方向リンク
14,15 ハードウェアスイッチ
16 制御装置
17,19 取得、バッファ記憶、及び、転送モジュール
18 データ制御モジュール(「ファイアウォール」)
20 オペレータ認証手段
【技術分野】
【0001】
本発明は、オープンドメインからアビオニクスドメインまでの通信のオンボードアクセス制御システムに関する。このシステムは、航空機(例えば、飛行機)にオンボード設置してもよい。
【背景技術】
【0002】
オンボード情報システムは、2つの「ドメイン」で構成されたシステムであり、それは、アビオニクスドメイン(AW)(明確に定義された証明(certification)規則を満足する)と、オープンドメイン(OW)(公衆(general public)コンピュータコンポーネントに基づく)とである。現在では、この通信はアビオニクスドメインからオープンドメインへの方向に認可されるだけである(データ処理セキュリティ指示の後で)。それにも拘らず、両方向に通信する必要があり、かつ、この必要性はシステムのために必須になっている。
【0003】
§アビオニクスドメイン
アビオニクスドメインは、航空管制などの重大な機能を含むすべてのアビオニクス機能を処理するアビオニクスコンピュータに割り当てられる。
【0004】
その完全性、その結果、オペレーション上の信頼性を保証するために、データ処理攻撃に対してアビオニクスドメインを保護しなければならない。アビオニクス機器は、オフィシャルサービスによって命令され、その結果、飛行安全を保証した航空航行可能性規則に合意して開発される。オープンドメインから生じる非制御の侵入試みに対して安全なドメインを保護しなければならない。
【0005】
アビオニクスドメインは、以下を含む項目を処理するのに割り当てられる。
1)航空機のオペレーション上の使用、及び、良好な飛行制御に貢献する即時のオペレーションに必要なすべてもの。
2)良好なオペレーション上の使用のための飛行準備に必要なすべてもの。
3)地上から発生する一部の「センシティブな」データの取得。
【0006】
§オープンドメイン
「オープン」ドメインは、飛行安全に全く影響しないメインテナンスアプリケーション、オペレーション上のアプリケーション、および客室アプリケーションにホストキャパシティを供給するアプリケーションサーバを含んでいる。航空機のオンボードイーサネット(登録商標)ローカルネットワークは、オープンドメインの異なったコンポーネント間の情報交換を可能にする。また、オープンドメインは、高速衛星通信を介して、地上ベースの航空会社に属する情報システムと通信してもよい。
【0007】
すべてのオペレータに対してオープンであるので、このドメインは「オープン」として取り扱われる。それは、公衆コンポーネント及びデータ処理規格(イーサネット(登録商標)ローカルネットワーク、COTS(Components Off The Shelf)ソフトウェア、およびハードウェア)を使用するので、非制御として取り扱われる。
【0008】
使用されるコンピュータセキュリティ要素は、どのようなタイプのウイルス及び/又は攻撃も伝わらないのを保証しなければならない。
【0009】
「オープン」ドメインは、以下を提供する。
1)セキュリティ、安全、および可用性に関する複雑さを減少させる低コストソリューション(例えば市場ソリューション)。
2)航空機製造会社による最小の関与か、又は、一切関与なく、自身のアプリケーション(「第三者アプリケーション」)をインストールすることを望むオペレータに対する最大の柔軟性(その結果、実施コストと時間を制限する)。
3)オペレーション上のルール(FAR121、FAR145…)を満たし、エアラインに責任のあるアプリケーションのインストールの容易さ。
4)即時オペレーションの主要でない(non-major)機能/アプリケーションを収容するキャパシティ。
【0010】
本発明の別の目的は、特にデータセキュリティ、安全、性能、インストール、構成、および航空機証明(certification)に関するオンボード情報システムの必要性と、一般及び特定の目的とを考慮に入れることである(アビオニクスドメインとオープンドメインとの間の2方向の通信を可能にするために、オープンドメインからアビオニクスドメインまで、セキュアな通信を可能にするオンボードアクセス制御システムを提供することによって)。
【発明の概要】
【課題を解決するための手段】
【0011】
本発明は、オンボード航空機の情報システムへのアクセスを制御するオンボードシステムに関し、
明確に定義された証明規則を満足するアビオニクスドメインと、
すべてのオペレータにアクセス可能な公衆コンポーネントに基づくオープンドメインと
を備え、
セキュリティ上の理由のため、これらの2つのドメインが、アビオニクスドメインからオープンドメインまでの単一方向リンクを通じて、相互に接続されるシステムにおいて、
オペレータ認証手段と、
・これらの2つのドメインのそれぞれへのアクセスを制御し、電子施錠のようにオペレーションする、1セットの2つのアクセススイッチと、
・オペレータのプロファイルによって決まる期間中に、これらの2つのスイッチのオープンを制御する、制御装置と、
・取得し、オープンドメインから生じるデータをバッファメモリ内に入れ、かつ、アビオニクスドメインに転送するためのモジュールと、
・オープンドメインからのデータを取得し、かつ、それをバッファメモリ内に入れる、取得モジュールと、
・バッファメモリ間のすべての交換に適用可能なフィルタ基準を定義する、データ制御モジュールと
を具備するセキュリティデバイスと
を具備し、
オープンドメインからアビオニクスドメインまでのセキュアな通信を可能にさせ、その結果、これらの2つのドメイン間で2方向の通信を可能にする。
【0012】
第1変形例(variant)では、前記オペレータ認証手段は、電子カード読み出し手段か、バイオメトリックス手段か、又は、コード読み出し手段を具備している。
【0013】
第2変形例では、前記オペレータ認証手段は、航空機と、地上に位置するオペレータが自身を認証することができる地上との間のセキュアなリンクを具備し、次いで、このリンクは、前記制御装置に接続される。
【0014】
好ましくは、前記スイッチはハードウェアスイッチである。
【0015】
前記制御モジュールは、OSIモデルのネットワーク、トランスポート、及びアプリケーション層における保護メカニズムを具備してもよい。好ましくは、前記制御モジュールは暗号化手段を具備している。前記制御モジュールは、データフィルタリングテーブルによって構成してもよい。
【0016】
好ましくは、これらの2つのアビオニクス及びオープンドメインのそれぞれで使用されるプロトコルは異なり、かつ、これらの2つのドメイン間のデータ交換のセキュリティを向上させるのに関与する。
【図面の簡単な説明】
【0017】
【図1】本発明のオンボードアクセス制御システムを示している。
【図2】本発明のオンボードアクセス制御システムのオペレーション方法の例を示すフローチャートである。
【発明を実施するための形態】
【0018】
図1に示すように、本発明のオンボードアクセス制御システムは、アビオニクスドメイン11と、オープンドメイン12との間に接続されている。これらの2つのドメイン11,12は、アビオニクスドメイン11からオープンドメイン12に向かう方向で、単一方向リンク13によって、従来方法で接続されている。
【0019】
本発明のシステムは、以下を具備している。
1)以下を具備するセキュリティデバイス10
・これらの2つのドメインのそれぞれにアクセスを実行させるハードウェアスイッチ14及び15
・制御装置16
・取得、バッファ記憶(memorization)、及び、アビオニクスドメイン11への転送のためのモジュール17
・データ制御モジュール(「ファイアウォール」)18
・オープンドメイン12からのデータ及びバッファ記憶のための取得モジュール19
2)オペレータ認証手段20
【0020】
第1変形例では、オペレータ認証手段は、認証手段(例えば、電子カード読み出し手段、バイオメトリックス手段、又は、コード読み出し手段を含む)で構成される。
【0021】
第2変形例では、オペレータ認証手段は、航空機と、地上に位置するオペレータが自身を認証することができる地上との間のセキュアなリンクを具備し、次いで、このリンクは、制御装置16に接続される。
【0022】
本発明のオンボードアクセス制御システムは、「電子施錠」(アビオニクスドメインとオープンドメインとのそれぞれにアクセススイッチを備える)と類似している。他のドメインへのアクセススイッチがクローズされたとき、1つのドメインから他のドメインまでデータを通過させることができ、故に、2つのドメイン間の恒久的な物理リンクを回避し、かつ、これらの2つのドメイン間に保護された通信をもたらすことができる。
【0023】
2つのハードウェアスイッチ14及び15の開閉は、オペレータが認証された以降に、セキュリティデバイス10によって制御される。このセキュリティデバイス10は、リンク13の反対方向(オープンドメイン12からアビオニクスドメイン11まで)で、セキュアなリンクを許可する。
【0024】
転送されるデータ量は、2つの取得、バッファ記憶、及び、転送モジュール17及び19のキャパシティに基づいて決定される。
【0025】
セキュリティデバイス10のため、オープンドメインからアビオニクスドメインまでのリンクは、常にオープンにされ、アビオニクスドメインへの恒久的なアクセスを回避し、不正侵入者のアクセスを禁止する。
【0026】
このセキュリティデバイス10は、以下の機能を備える。
【0027】
§制御装置16
制御装置16は、オペレータの認証を受理し、かつ、セキュリティデバイス10(オペレータのプロファイルのファンクションとしてオペレーションする)によって使用される規則を定義する。制御装置16は、オープンドメインとアビオニクスドメインとの間の接続を形成するオペレータのファンクションとして、セキュリティデバイス10を構成する。特に、制御装置16は、通信が可能である間に、オペレータのプロファイルによって決まるタイムウインドウを割り当てる。これを実行するために、それは、オペレータの認証の間に決定されたオペレータのプロファイルによって決まる期間に対して、アクセススイッチ14及び15のオープンを制御する。
【0028】
§アクセスモジュール19
オープンドメイン12へのアクセスモジュール19は、第1プロトコルの使用を考慮に入れ、かつ、オープンドメイン12から生じるデータをバッファメモリ内に格納する。
【0029】
§アクセスモジュール17
アビオニクスドメイン11へのアクセスモジュール17は、第2プロトコルの使用を許可し、かつ、オープンドメイン12から生じるデータをバッファメモリ(制御モジュール18を介して)内に格納する(それらを、アビオニクスドメイン11に転送することができるように)。
【0030】
§制御モジュール18
制御モジュール18は、オープンドメイン12とアビオニクスドメイン11との間に保護を設ける。特に、それはファイアウォール機能を実行する。これを実行するために、それは、ロードされたデータフィルタリングテーブル(フィルタ基準が定義され、かつ、バッファメモリ間のすべての交換に適用可能である)によって構成することができる。この制御モジュール18は、データ完全性をチェックする。
【0031】
適用されるセキュリティレベルは、転送されるデータのタイプのファンクションとして決定される。考慮に入れられるリストの例は、特に、侵入者による攻撃、商業スパイ、企業データ(ユーザ、従業員、及び企業データ)の予想外の公開、及びサービス妨害攻撃である。
【0032】
第1及び第2プロトコルは、当業者には周知のプロトコルの中から選択される。それらは異なってもよく、その結果、オープンドメイン12とアビオニクスドメイン11との間のデータ交換を安全にすることに関与する。
【0033】
そのような制御モジュール18は、従来の方法で、OSI(Open System Interconnection)モデルの以下の層に対する保護メカニズムを含む。
・ネットワーク層
・トランスポート層
・アプリケーション層
【0034】
秘匿性、認証を有効にし、かつ、完全性を向上させるたに、暗号化を使用してもよい。
【0035】
§アクセススイッチ14及び15
制御装置16は、アクセススイッチ14及び15の開閉を管理する。それらは、電子施錠(反対側のドメインのスイッチがクローズされたときにだけ、1つのドメインから他のドメインまで、データを通過させることができる)のようにオペレーションし、2つのドメイン間の物理的なリンクを回避する。
【0036】
オープンドメイン12とアビオニクスドメイン11との間でデータが転送されるプロセスは、以下のステップを具備している。
【0037】
1)オペレータ認証
制御装置16は、以下のステップと共に、オペレータ認証デバイス20によって転送されたデータを取得し、かつ、ユーザのプロファイルのファンクションとして権利を割り当てる。
・オープンドメインアクセススイッチ15をクローズする。
・第1プロトコルを初期化する。
・データをバッファ内に格納する。
【0038】
2)データをバッファメモリ内に格納する。
・データをバッファメモリ内に格納する。モジュール19では、転送されるすべての候補データのため、すべての以前のデータは除去されている。
・オープンドメインアクセススイッチ15をオープンにする。
【0039】
3)データチェック/フィルタリング
・バッファメモリ内に格納されたデータを、制御モジュール18へ転送する。
・所定のフィルタ基準のファンクションとしてデータをフィルタリングする。
【0040】
4)認証されたデータをバッファメモリ内に格納する。
・アビオニクスドメイン11とオープンドメイン12とへのアクセスを制御するスイッチ14及び15がそれぞれオープン及びクローズであるかをチェックする。
・すべての以前のデータが削除された後、データをバッファ記憶モジュール17へ転送する。
・モジュール19のメモリを消去する。
・アビオニクスドメインアクセススイッチ14(オープンにされているオープンドメインアクセススイッチ15)をクローズにする。
・第2プロトコルを初期化して、取得モジュール17からアビオニクスドメインまでデータを転送する。
【0041】
図2は、本発明のシステムのオペレーション例を図示したフローチャートである。
【0042】
このフローチャートは、以下のステップを具備している。
【0043】
1)本発明のシステムの構成を初期化するためのステップ21
オープンドメイン12へのアクセススイッチ15はオープンにされ、かつ、アビオニクスドメイン11へのアクセススイッチ11はクローズにされる。
【0044】
2)アクセス制御構成23及び認証又はアクセス制御規則24を受信する、本発明のシステムを更新するためのステップ22
【0045】
3)以下のステップを備えた、本発明のシステムの構成を変更させるためのテスト25
・スイッチ15はオープンにされ、かつ、スイッチ14はクローズにされ、出力26が、その後、ステップ27によって、第2プロトコル(アビオニクスドメインエンド)を初期化し、かつ、ステップ21にリターンする。
・スイッチ15はクローズされ、かつ、スイッチ14はオープンにされ、出力28が、その後、
*ステップ29によって、第1プロトコル(オープンドメインエンド)を初期化し、
*ステップ30によって、データをバッファメモリ内に格納し、かつ、データをオープンドメインから取得し、
*ステップ31によって、データフィルタ構成32を受信するデータをフィルタリングし(ファイアウォール機能)、
*ステップ33によって、有効なデータを記憶し、かつ、変更構成ステップ25の以前に、リターンし、かつ、
*ステップ34によって、バッファメモリを消去する。
【0046】
データは、以下のように、オープンドメインとアビオニクスドメインとの間で転送される。
1)テスト25からの出力28が第1ステップで使用される。
2)同じテスト25からの出力26が第2ステップで使用される。
【符号の説明】
【0047】
10 セキュリティデバイス
11 アビオニクスドメイン
12 オープンドメイン
13 単一方向リンク
14,15 ハードウェアスイッチ
16 制御装置
17,19 取得、バッファ記憶、及び、転送モジュール
18 データ制御モジュール(「ファイアウォール」)
20 オペレータ認証手段
【特許請求の範囲】
【請求項1】
オンボード航空機の情報システムへのオンボードアクセス制御システムであって、
明確に定義された証明規則を満足するアビオニクスドメイン(11)と、
すべてのオペレータにアクセス可能な公衆コンポーネントに基づくオープンドメイン(12)と
を備え、
セキュリティ上の理由のため、これらの2つのドメインが、前記アビオニクスドメインから前記オープンドメインまでの単一方向リンク(13)を通じて、相互に接続されるシステムにおいて、
オペレータ認証手段(20)と、
・これらの2つのドメインのそれぞれへのアクセスを制御し、電子施錠のようにオペレーションする、1セットの2つのアクセススイッチ(14,15)と、
・前記オペレータのプロファイルによって決まる期間中に、これらの2つのスイッチ(14,15)のオープンを制御する、制御装置(16)と、
・取得し、前記オープンドメインから生じるデータをバッファメモリ内に入れ、かつ、前記アビオニクスドメインに転送するためのモジュール(17)と、
・前記オープンドメインからのデータを取得し、かつ、それをバッファメモリ内に入れる、取得モジュール(19)と、
・バッファメモリ間のすべての交換に適用可能なフィルタ基準を定義する、データ制御モジュール(18)と
を具備するセキュリティデバイス(10)と
を具備し、
前記オープンドメイン(12)から前記アビオニクスドメイン(11)までのセキュアな通信を可能にさせ、その結果、これらの2つのドメイン間で2方向の通信を可能にすることを特徴とするシステム。
【請求項2】
前記オペレータ認証手段(20)は、電子カード読み出し手段か、バイオメトリックス手段か、又は、コード読み出し手段を具備することを特徴とする請求項1に記載のシステム。
【請求項3】
前記オペレータ認証手段(20)は、地上のオペレータが自身を識別することができるように、航空機と地上との間にセキュアなリンクを具備することを特徴とする請求項1に記載のシステム。
【請求項4】
前記スイッチ(14,15)はハードウェアスイッチであることを特徴とする請求項1に記載のシステム。
【請求項5】
前記制御モジュール(18)は、OSIモデルのネットワーク、トランスポート、及びアプリケーション層における保護メカニズムを具備することを特徴とする請求項1に記載のシステム。
【請求項6】
前記制御モジュール(18)は、暗号化手段を具備することを特徴とする請求項1に記載のシステム。
【請求項7】
前記制御モジュール(18)は、データフィルタリングテーブルによって構成されることを特徴とする請求項1に記載のシステム。
【請求項8】
これらの2つのアビオニクス及びオープンドメインのそれぞれで使用されるプロトコルは異なり、かつ、
これらの2つのドメイン間のデータ交換のセキュリティを向上させるのに関与することを特徴とする請求項1に記載のシステム。
【請求項9】
前記航空機は飛行機であることを特徴とする請求項1乃至8のいずれか1項に記載のシステム。
【請求項10】
請求項1乃至8のいずれか1項に記載のシステムを使用する航空機。
【請求項1】
オンボード航空機の情報システムへのオンボードアクセス制御システムであって、
明確に定義された証明規則を満足するアビオニクスドメイン(11)と、
すべてのオペレータにアクセス可能な公衆コンポーネントに基づくオープンドメイン(12)と
を備え、
セキュリティ上の理由のため、これらの2つのドメインが、前記アビオニクスドメインから前記オープンドメインまでの単一方向リンク(13)を通じて、相互に接続されるシステムにおいて、
オペレータ認証手段(20)と、
・これらの2つのドメインのそれぞれへのアクセスを制御し、電子施錠のようにオペレーションする、1セットの2つのアクセススイッチ(14,15)と、
・前記オペレータのプロファイルによって決まる期間中に、これらの2つのスイッチ(14,15)のオープンを制御する、制御装置(16)と、
・取得し、前記オープンドメインから生じるデータをバッファメモリ内に入れ、かつ、前記アビオニクスドメインに転送するためのモジュール(17)と、
・前記オープンドメインからのデータを取得し、かつ、それをバッファメモリ内に入れる、取得モジュール(19)と、
・バッファメモリ間のすべての交換に適用可能なフィルタ基準を定義する、データ制御モジュール(18)と
を具備するセキュリティデバイス(10)と
を具備し、
前記オープンドメイン(12)から前記アビオニクスドメイン(11)までのセキュアな通信を可能にさせ、その結果、これらの2つのドメイン間で2方向の通信を可能にすることを特徴とするシステム。
【請求項2】
前記オペレータ認証手段(20)は、電子カード読み出し手段か、バイオメトリックス手段か、又は、コード読み出し手段を具備することを特徴とする請求項1に記載のシステム。
【請求項3】
前記オペレータ認証手段(20)は、地上のオペレータが自身を識別することができるように、航空機と地上との間にセキュアなリンクを具備することを特徴とする請求項1に記載のシステム。
【請求項4】
前記スイッチ(14,15)はハードウェアスイッチであることを特徴とする請求項1に記載のシステム。
【請求項5】
前記制御モジュール(18)は、OSIモデルのネットワーク、トランスポート、及びアプリケーション層における保護メカニズムを具備することを特徴とする請求項1に記載のシステム。
【請求項6】
前記制御モジュール(18)は、暗号化手段を具備することを特徴とする請求項1に記載のシステム。
【請求項7】
前記制御モジュール(18)は、データフィルタリングテーブルによって構成されることを特徴とする請求項1に記載のシステム。
【請求項8】
これらの2つのアビオニクス及びオープンドメインのそれぞれで使用されるプロトコルは異なり、かつ、
これらの2つのドメイン間のデータ交換のセキュリティを向上させるのに関与することを特徴とする請求項1に記載のシステム。
【請求項9】
前記航空機は飛行機であることを特徴とする請求項1乃至8のいずれか1項に記載のシステム。
【請求項10】
請求項1乃至8のいずれか1項に記載のシステムを使用する航空機。
【図1】
【図2】
【図2】
【公表番号】特表2010−531484(P2010−531484A)
【公表日】平成22年9月24日(2010.9.24)
【国際特許分類】
【出願番号】特願2010−510765(P2010−510765)
【出願日】平成20年6月3日(2008.6.3)
【国際出願番号】PCT/EP2008/056844
【国際公開番号】WO2008/148756
【国際公開日】平成20年12月11日(2008.12.11)
【出願人】(509230403)エアバス・オペレーションズ (30)
【Fターム(参考)】
【公表日】平成22年9月24日(2010.9.24)
【国際特許分類】
【出願日】平成20年6月3日(2008.6.3)
【国際出願番号】PCT/EP2008/056844
【国際公開番号】WO2008/148756
【国際公開日】平成20年12月11日(2008.12.11)
【出願人】(509230403)エアバス・オペレーションズ (30)
【Fターム(参考)】
[ Back to top ]