セキュアなファイル転送手段
本発明は、搭載用遠隔通信システムに関する。本システムは、セキュアエリアと非セキュアエリアとに区分けされ、セキュアエリアの第1遠隔通信機器ユニットと、非セキュアエリアの第2遠隔通信機器ユニットと、第1機器ユニットから第2機器ユニットへの第1片方向リンクとを少なくとも具備する。上記第1機器ユニットは、第1プロトコルに従って上記第1リンクでデータを送信するように構成される。本システムは、第2機器ユニットから第1機器ユニットへの、第2プロトコルに従う第2リンクをさらに具備する。上記第2プロトコルの上位2つのレイヤは、第1プロトコルの上位2つのレイヤとは異なる。上記第2機器は、第2プロトコルに従ってフレーム内にカプセル化された第1プロトコルに従うメッセージとして、第2リンクでデータの送信を行うように構成される。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、搭載用(on-board)遠隔通信システム、具体的には、航空機に搭載される遠隔通信システムの分野に関する。
【背景技術】
【0002】
近年、いくつかの航空会社では、乗客に対して、フライト中の遠隔通信サービス、具体的には、衛星リンクを介したインターネットアクセス及び電子メールの送受信を可能にするサービスを提供している。このために、航空機の客室は、乗客が普段通りに接続可能なイーサネット(登録商標)タイプの有線ネットワーク又は無線LANネットワーク(IEEE 802.11 b/g)を備えている。このような通信システムについては、例えば、特許文献1を参照されたい。
【0003】
また、パイロット、整備員、及び航空機乗務員は、機上ネットワークにリンクされている制御端末を持つ。機上ネットワークは、明白なセキュリティ上の理由で非セキュアエリアとセキュアエリアとに区分けされ、乗客が前者にはアクセスできるが後者にはアクセスできないようになっている必要がある。セキュアエリアは、航空機の情報及び制御システムを特に含み、コックピット及び空港に位置する。セキュアエリアは、従来の物理的アクセスコントロール手段によって保護されている。
【0004】
機上ネットワークのセキュアエリアへのアクセスを禁止する容易かつ既知の1つの方法が、セキュアエリアと非セキュアエリアとの間のリンクを片方向リンクで提供することである。
【0005】
図1は、セキュアエリアAと非セキュアエリアBとに区分けされた機上ネットワーク100の概略図である。リンク110は、AからBへの片方向リンクであり、例えば、AからBへの通信方向に対応するシングルツイストペアケーブルを用いたイーサネット(登録商標)リンクである。しかしながら、このようなシステムは、効率よくエリアAのセキュリティを保証するが、一方で、2つの重大な欠点を有する。まず、このシステムは、エリアBからエリアAへのいかなる通信も例外なく禁止してしまう。また、エリアAからエリアBへのデータ転送に対して、送信先機器は、データを送信した機器へ受信通知を返すことができない。これでは、最新の通信プロトコルとの互換性が取れず、その上、送信元機器から正しい転送手続に関するあらゆる種類の保証を奪ってしまう。
【0006】
本発明の目的は、セキュアエリアと非セキュアエリアに区分けされた搭載用遠隔通信システムであって、セキュアエリアのプロテクトを大幅に低下させることなく、2つのエリア間で双方向通信を行う機会を提供するシステムを提案することである。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】国際公開第00/14987号パンフレット
【非特許文献】
【0008】
【非特許文献1】"CES White Paper on AFDX",http://www.ces.ch
【非特許文献2】"The TFTP Protocol",http://www.ietf.org/rfc/rfc783.txt
【非特許文献3】"ARINC Protocol Tutorial",http://www.condoreng.com
【発明の概要】
【課題を解決するための手段】
【0009】
本発明は、セキュアエリアと非セキュアエリアとに区分けされ、セキュアエリアの第1遠隔通信機器ユニットと、非セキュアエリアの第2遠隔通信機器ユニットと、第1機器ユニットから第2機器ユニットへの第1片方向リンクとを少なくとも具備する搭載用遠隔通信システムによって定義される。上記第1機器ユニットは、第1プロトコルに従って上記第1リンクでデータを送信するように構成される本システムは、第2プロトコルに従う第2機器ユニットから第1機器ユニットへの第2リンクを具備する。上記第2プロトコルの上位2つのレイヤは、第1プロトコルの上位2つのレイヤとは異なる。上記第2機器ユニットは、第2プロトコルに従ってフレーム内にカプセル化された第1プロトコルに従うメッセージとして、第2リンクでデータの送信を行うように構成される。
【0010】
有利には、第1プロトコルの上位2つのレイヤは、イーサネット(登録商標)レイヤである。換言すれば、第1プロトコルのスタックは、TFTP/UDP/IP/Ethernet(登録商標)である。
【0011】
第1実施態様に従い、第2プロトコルの上位2つのレイヤは、ARINC 429レイヤである。
【0012】
第2実施態様に従い、第2プロトコルの上位2つのレイヤは、CANレイヤである。
【図面の簡単な説明】
【0013】
【図1】最新の技術では既知である搭載用ネットワークの概略図である。
【図2】本発明の第1実施形態による搭載用遠隔通信システムの概略図である。
【図3】セキュアエリアの機器ユニットと非セキュアエリアの機器ユニットとの間の通信プロトコルを示す図である。
【図4】本発明の第2実施形態による搭載用遠隔通信システムの概略図である。
【図5】本発明の第3実施形態による搭載用遠隔通信システムの概略図である。
【図6】ARINC 429プロトコルに準拠したリンクで使用されるフレームを示す図である。
【発明を実施するための形態】
【0014】
本発明のその他の特徴及び利点が、添付された図面を参照して、発明の好適な実施形態から明らかとなる。
【0015】
本発明の第1の基本構想は、あるプロトコル(以後、第2プロトコルと称する)に準拠した、非セキュエリアからセキュアエリアへのリターンリンクを提供することにある。第2プロトコルの上位2つのレイヤは、セキュアエリアから非セキュアエリアへの通信に用いられるプロトコル(以後、第1プロトコルと称する)のそれらとは異なる。
【0016】
本発明の第2の基本構想は、データ送信のために、セキュアエリアからのすべての制御メッセージと共に、シンプルかつ強固なファイル転送プロトコルを使用することにある。
【0017】
図2は、本発明に従う搭載用遠隔通信システムの概略図である。
【0018】
LRU1及びLRU2は、それぞれ、セキュアエリアA及び非セキュアエリアBに属する遠隔通信機器を示す。エリアA及びエリアBに対応するサブネットワークは、イーサネット(登録商標)ネットワークを切り替えて、及び/又は、共有して使用する。例えば、エリアAのサブネットワークは、AFDX(Avionics Full Duplex Switched Ethernet(登録商標))ネットワークであってよい。AFDXネットワークの説明については、サイトwww.ces.chで入手可能な文献"CES White Paper on AFDX"を参照されたい。リンク240及びリンク241のようなエリアA及びエリアBのイーサネット(登録商標)リンクは、全二重タイプであってよい。一方で、リンク210のようなエリアAからエリアBへ向かう各イーサネット(登録商標)リンクは、単信タイプである必要がある。
【0019】
本発明に従って、リンク220のようなエリアBからエリアAへ向かう各リンクは、リンク210のプロトコルとは異なるプロトコル、例えば、航空分野で一般に使用されるARINC 429プロトコルに準拠している。ARINC 429プロトコルは、リンクレイヤと同様に、物理レイヤを規格化する。ARINC 429プロトコルは、一対のツイストケーブルを使用し、BからAへの選択された片方向送信を行う。
【0020】
あるいは、エリアBからエリアAへ向かうリンクは、自動車の分野で普及しているCAN(Control Area Network)プロトコルに従ってもよい。CANプロトコルのリンクレイヤ及び物理レイヤの一部は、ISO 11898−1規格で規格化される。このプロトコルは、シンプルケーブル対上での半二重タイプの送信を提供する。実際には、本発明においては、エリアBからエリアAへの送信のみが使用される。
【0021】
図3は、本発明の一実施形態に従う遠隔通信システムに実装されるプロトコルスタックを示す。機器LRU1は、片方向イーサネット(登録商標)リンク310での送信のための第1プロトコルスタック330と、リターンリンクでのデータ受信のための第2プロトコルスタック350とを使用する。リンク320は、ARINC 429プロトコルに準拠する。対称的に、機器LRU2は、イーサネット(登録商標)リンク310でのデータ受信のための第1プロトコルスタック340と、リンク320でのデータ送信のための第2プロトコルスタック360とを使用する。
【0022】
有利には、第1プロトコルスタック330,340は、TFTP/UDP/IP/Ethernet(登録商標)から成る。TFTP(Trivial File Transfer Protocol)がIETFによって規格化されたファイル転送プロトコルであることに留意されたい。包括的な説明は、www.ietf.org/rfc/rfc783.txt中のRFC 1350を参照されたい。
【0023】
機器LRU1がデータファイルをLRU2へ送信しようとするとき、TFTPレイヤは、ライトリクエスト(WRQ)によって一時セッションをオープンするとともに、ファイルを512バイトのブロックに分割する。ブロックは、TFTPヘッダとの連結後に、UDPトランスポートレイヤへ送信される。UDPレイヤは、当業者には既知のように、接続確立やエラー時の再送を行うことなく、メッセージレベルサービスを提供する。そして、メッセージのIPデータグラムは、従来通りイーサネット(登録商標)フレームで送信される。受信時には、データは、プロトコルスタック340とは逆の方向に向かう。受信したTFTPメッセージ毎に、機器LRU2は、RFC 1350規格に従って、受信通知メッセージを送信する。このメッセージは、360で示され、かつ以下に記載されるように、ARINC 429フレームにカプセル化される。ARINCフレームは、従来通りリンク320で送信され、かつメッセージは、351でデカプセル化される。故に、スタック330及びスタック340のTFTPレイヤに対して、あたかもトランスポートが全二重リンクによってIPネットワーク上で行われるかのように動作する。
【0024】
機器LRU2がデータファイルをLRU1へ送信しなければならないとき、一時セッションは、リードリクエスト(RRQ)によって、LRU1主導でオープンされる。送信されるファイルは、スタック340のTFTPレイヤによって、512バイトのブロックに分割される。ブロックは、対応するTFTPヘッダと連結される。このようにして得られたTFTPメッセージは、361に示され、かつ以下で詳細に記載されるように、ARINCフレームにカプセル化される。ARINCフレームは、従来通りリンク320で送信されるとともに、351でデカプセル化される。ついで、機器LRU1は、スタック330、すなわち、イーサネット(登録商標)単信リンク310を介して、受信通知メッセージを送信する。受信通知メッセージは、プロトコルスタック340を介して、逆方向へ届けられる。ここで再び、スタック330,340のTFTPレイヤに対して、あたかもトランスポートが全二重リンクによってIPネットワーク上で行われるかのように動作する。
【0025】
ARINCリンク320と、第1プロトコルのメッセージを第2プロトコルのフレームにカプセル化するメカニズムとは、セキュアエリアとは隔てられたアクセスを形成する。
【0026】
非セキュアエリアの機器LRU2は、例えば、乗客の端末が接続可能なプロキシサーバとして、航空機に常設される。この場合、TFTPメッセージカプセル化を実現するコンバージョンゲートウェイは、上記サーバに位置する。
【0027】
図4は、本発明の第2実施形態に従う搭載用遠隔通信システムの概略図である。第1実施形態とは異なり、セキュアエリアのいくつかの機器ユニットLRU1,LRU3,LRU5は、非セキュアエリアの機器ユニットLRU2と通信できる。このために、マルチキャストタイプのARINCリンク420は、関係する機器へのリターンパスとして機能する。ARINCリンクは、送信源(emitter)には接続できないが、最大20台の受信機に対応できるということに留意されたい。
【0028】
図5は、本発明の第3実施形態に従う搭載用遠隔通信システムの概略図である。第1及び第2実施形態とは異なり、LRU1などのセキュアエリアの機器ユニットは、非セキュアエリアの複数の機器ユニットLRU2,LRU4,LRU6と通信できる。このために、機器LRU1は、複数のARINC 429インタフェースを備える。機器ユニットLRU2,LRU4,LRU6を上記インタフェースにそれぞれ接続する複数の下りARINCリンク521,522,523は、リターンパスとして機能する。この実施形態では、CANバスが、複数の送信源にリンクできるCANバスとして、ARINCリンクの代わりに有利に使用できる。
【0029】
セキュアエリアの複数の機器ユニットが非セキュアエリアの複数の機器ユニットと通信できるようにするために、第2及び第3実施形態が第4実施形態へと有利に組み合わせできることが当業者には明白である。この場合、いくつかのマルチキャストタイプのARINCリンクは、セキュアエリアの機器ユニットへのリターンパスとして機能する。変形例に従って、CANバスは、非セキュアエリアの機器ユニットとセキュアエリアの機器ユニットとの間のリターン機能を確保する。
【0030】
上記の実施形態は、TFTPメッセージを第2プロトコル、例えば、ARINC 429プロトコルのフレームにカプセル化するメカニズムを使用する。ARINC 429プロトコルの詳細な説明は、サイトwww.condoreng.comで入手可能な"ARINC Protocol Tutorial"と題された文献を参照されたい。
【0031】
図6は、ARINCフレームの概略図である。ARINCフレームは、5つのフィールドから成る32ビットのワードで構成されている。ビットPは、パリティビットである。フィールドSSMは、機器の動作状態を示す。19ビットのフィールドPAYLOADは、ペイロードを含み、必要であれば、パディングビット(PAD)が付加される。フィールドSDIは、マルチキャスト送信の場合に、フレームの送信先の指示を可能にする。最後に、フィールドLABELは、ペイロードに対応する航空電子工学パラメータと、それを構成するデータのフォーマットとを示す。
【0032】
以後、TFTPメッセージは、リターンパスでのカプセル化の後に送信できるもの、すなわち、ACK、DATA、ERRORと見なされる。
【0033】
図3を参照すると、機器LRU1がデータファイルを機器LRU2へ送信しようとするとき、機器LRU1は、ライトリクエストメッセージ(WRQ)を機器LRU2へ送信する。LRU2は、ファイルを受信できる状態にあるならば、確認メッセージをLRU1へ返す。ついで、ファイルのデータブロックを含む受信したメッセージ毎に、機器LRU2は、受信したブロックの数を示す確認メッセージをLRU1へ返す。ファイルの終端は、512バイト未満のブロックを受信したときに、スタック340のTFTPレイヤによって検出される。ライトリクエストを確認するための第1メッセージは、通常、ブロックナンバー0で示される。機器LRU1がデータブロックを送信する際に、スタック330のTFTPレイヤは、タイマを設定する。タイマがアップする前に確認メッセージが受信されなければ、データブロックは、TFTPメッセージによって再送信される。
【0034】
TFTPプロトコルの確認メッセージACKは、メッセージのタイプを識別する2バイトの第1オペレーションコードフィールド(Opcode=4)と、確認されたブロック受信数を与える2バイトの第2フィールドとを含む。カプセル化モジュール361は、第2オペレーションコードバイト(第1バイトは、確認メッセージのために常にゼロとなる)と、その次の、ブロック数の2バイトとを、第2プロトコルのフレームに格納する。カプセル化モジュール361は、データ転送に使用される送信元機器(LRU1)及び送信先機器(LRU2)のUDPポート番号を、このメッセージに付加する。1バイトで符号化されたUDPポート番号毎に、確認メッセージのために7バイトが送信されなければならず、3つのARINCフレーム又は1つのCANフレームを要する。
【0035】
機器LRU1が機器LRU2からデータファイルを受信しようとするとき、機器LRU1は、リードリクエストRRQを機器LRU2へ送信する。機器LRU2は、送信可能な状態にあるならば、関係するファイルの512バイトの第1ブロックを、確認通知として機器LRU1へ直接送信する。機器LRU1は、応答として、第1ブロックの確認メッセージACKを送信する。その過程は、上記の通り、ファイルの最終ブロックが送信されるまで続く。ブロックの送信後、スタック340のTFTPレイヤが所与の時間内に確認通知を受信しない場合、送信が繰り返される。
【0036】
TFTPプロトコルのデータメッセージDATAは、メッセージのタイプを識別する2バイトの第1オペレーションコードフィールド(Opcode=3)と、送信したブロック数を与える2バイトの第2フィールドと、データブロックが格納された0≦n≦512であるnバイトのフィールドとを含む。
【0037】
カプセル化モジュール361は、第2オペレーションコードバイト(第1バイトは、データメッセージのために常にゼロである)と、その次の、送信されたブロック数の2バイトと、最後の、関係するブロックのnバイトとを、第2プロトコルのフレームに格納する。モジュール361は、データ転送に使用される送信元機器LRU1及び送信先機器LRU2のUDPポート番号を、このメッセージに付加する。故に、nデータバイトのブロックの送信のためには、n+7バイトが送信されなければならず、E[(n+7).8/19]+1のARINCフレームと、n+7のCANフレームとを必要とする。ここで、E[x]は、xの整数部を与える。
【0038】
LRU1によって送信されたライトリクエスト(WRQ)又はリードリクエスト(RRQ)がLRU2によって承諾できない場合、又はデータ転送中にエラーが発生した場合、スタック340のTFTPレイヤによって、エラーメッセージが送信される。
【0039】
TFTPプロトコルのエラーメッセージERRORは、メッセージのタイプを識別する2バイトの第1オペレーションコードフィールド(Opcode=5)と、診断されたエラーのコードを含む2バイトの第2フィールドと、場合によっては、エラーを説明するASCII記号を含む第3フィールドとを含み、その後にゼロバイトが続く。この第3フィールドは、ここでは使用されない。
【0040】
カプセル化モジュール361は、第2オペレーションコードバイト(第1バイトは、エラーメッセージのために常にゼロである)と、その次の、エラーコードの2バイトとを、第2プロトコルのフレームに格納する。最後に、モジュール361は、データ転送に使用される送信元機器(LRU1)及び送信先機器(LRU2)のUDPポート番号を、このメッセージに付加する。故に、エラーメッセージの送信のためには、5バイトが送信されなければならず、3つのARINCフレーム又は5つのCANフレームを必要とする。
【0041】
第2実施形態のように、機器LRU2がセキュアエリアの複数の機器ユニットにリンクされている場合、カプセル化モジュール361は、TFTPメッセージの送信先に応じて、ARINCフレームのSIDフィールドの値を決定する。
【0042】
しかしながら、TFTPメッセージの送信先を区別できない第2プロトコルをシステムが使用する場合、モジュール361は、送信先機器のIPアドレスを、カプセル化されたメッセージに有利に付加する。
【0043】
また、第3実施形態のように、非セキュアエリアの複数の機器ユニットがセキュアエリアの機器ユニットにリンクされる場合と、TFTPメッセージの送信先機器ユニットによるTFTPメッセージを送信した送信元機器の判断ができない第2プロトコルをシステムが使用する場合、各モジュール361は、送信元機器のIPアドレスを、カプセル化されたメッセージに有利に付加する。
【0044】
一般に、第4実施形態の場合には、各モジュール361は、TFTPメッセージの送信元及び送信先機器それぞれのIPアドレスを、カプセル化されたメッセージに付加する。
【符号の説明】
【0045】
310 片方向イーサネット(登録商標)リンク
320 ARINCリンク
330,340 第1プロトコルスタック
350,360 第2プロトコルスタック
351 デカプセル化モジュール
361 カプセル化モジュール
【技術分野】
【0001】
この発明は、搭載用(on-board)遠隔通信システム、具体的には、航空機に搭載される遠隔通信システムの分野に関する。
【背景技術】
【0002】
近年、いくつかの航空会社では、乗客に対して、フライト中の遠隔通信サービス、具体的には、衛星リンクを介したインターネットアクセス及び電子メールの送受信を可能にするサービスを提供している。このために、航空機の客室は、乗客が普段通りに接続可能なイーサネット(登録商標)タイプの有線ネットワーク又は無線LANネットワーク(IEEE 802.11 b/g)を備えている。このような通信システムについては、例えば、特許文献1を参照されたい。
【0003】
また、パイロット、整備員、及び航空機乗務員は、機上ネットワークにリンクされている制御端末を持つ。機上ネットワークは、明白なセキュリティ上の理由で非セキュアエリアとセキュアエリアとに区分けされ、乗客が前者にはアクセスできるが後者にはアクセスできないようになっている必要がある。セキュアエリアは、航空機の情報及び制御システムを特に含み、コックピット及び空港に位置する。セキュアエリアは、従来の物理的アクセスコントロール手段によって保護されている。
【0004】
機上ネットワークのセキュアエリアへのアクセスを禁止する容易かつ既知の1つの方法が、セキュアエリアと非セキュアエリアとの間のリンクを片方向リンクで提供することである。
【0005】
図1は、セキュアエリアAと非セキュアエリアBとに区分けされた機上ネットワーク100の概略図である。リンク110は、AからBへの片方向リンクであり、例えば、AからBへの通信方向に対応するシングルツイストペアケーブルを用いたイーサネット(登録商標)リンクである。しかしながら、このようなシステムは、効率よくエリアAのセキュリティを保証するが、一方で、2つの重大な欠点を有する。まず、このシステムは、エリアBからエリアAへのいかなる通信も例外なく禁止してしまう。また、エリアAからエリアBへのデータ転送に対して、送信先機器は、データを送信した機器へ受信通知を返すことができない。これでは、最新の通信プロトコルとの互換性が取れず、その上、送信元機器から正しい転送手続に関するあらゆる種類の保証を奪ってしまう。
【0006】
本発明の目的は、セキュアエリアと非セキュアエリアに区分けされた搭載用遠隔通信システムであって、セキュアエリアのプロテクトを大幅に低下させることなく、2つのエリア間で双方向通信を行う機会を提供するシステムを提案することである。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】国際公開第00/14987号パンフレット
【非特許文献】
【0008】
【非特許文献1】"CES White Paper on AFDX",http://www.ces.ch
【非特許文献2】"The TFTP Protocol",http://www.ietf.org/rfc/rfc783.txt
【非特許文献3】"ARINC Protocol Tutorial",http://www.condoreng.com
【発明の概要】
【課題を解決するための手段】
【0009】
本発明は、セキュアエリアと非セキュアエリアとに区分けされ、セキュアエリアの第1遠隔通信機器ユニットと、非セキュアエリアの第2遠隔通信機器ユニットと、第1機器ユニットから第2機器ユニットへの第1片方向リンクとを少なくとも具備する搭載用遠隔通信システムによって定義される。上記第1機器ユニットは、第1プロトコルに従って上記第1リンクでデータを送信するように構成される本システムは、第2プロトコルに従う第2機器ユニットから第1機器ユニットへの第2リンクを具備する。上記第2プロトコルの上位2つのレイヤは、第1プロトコルの上位2つのレイヤとは異なる。上記第2機器ユニットは、第2プロトコルに従ってフレーム内にカプセル化された第1プロトコルに従うメッセージとして、第2リンクでデータの送信を行うように構成される。
【0010】
有利には、第1プロトコルの上位2つのレイヤは、イーサネット(登録商標)レイヤである。換言すれば、第1プロトコルのスタックは、TFTP/UDP/IP/Ethernet(登録商標)である。
【0011】
第1実施態様に従い、第2プロトコルの上位2つのレイヤは、ARINC 429レイヤである。
【0012】
第2実施態様に従い、第2プロトコルの上位2つのレイヤは、CANレイヤである。
【図面の簡単な説明】
【0013】
【図1】最新の技術では既知である搭載用ネットワークの概略図である。
【図2】本発明の第1実施形態による搭載用遠隔通信システムの概略図である。
【図3】セキュアエリアの機器ユニットと非セキュアエリアの機器ユニットとの間の通信プロトコルを示す図である。
【図4】本発明の第2実施形態による搭載用遠隔通信システムの概略図である。
【図5】本発明の第3実施形態による搭載用遠隔通信システムの概略図である。
【図6】ARINC 429プロトコルに準拠したリンクで使用されるフレームを示す図である。
【発明を実施するための形態】
【0014】
本発明のその他の特徴及び利点が、添付された図面を参照して、発明の好適な実施形態から明らかとなる。
【0015】
本発明の第1の基本構想は、あるプロトコル(以後、第2プロトコルと称する)に準拠した、非セキュエリアからセキュアエリアへのリターンリンクを提供することにある。第2プロトコルの上位2つのレイヤは、セキュアエリアから非セキュアエリアへの通信に用いられるプロトコル(以後、第1プロトコルと称する)のそれらとは異なる。
【0016】
本発明の第2の基本構想は、データ送信のために、セキュアエリアからのすべての制御メッセージと共に、シンプルかつ強固なファイル転送プロトコルを使用することにある。
【0017】
図2は、本発明に従う搭載用遠隔通信システムの概略図である。
【0018】
LRU1及びLRU2は、それぞれ、セキュアエリアA及び非セキュアエリアBに属する遠隔通信機器を示す。エリアA及びエリアBに対応するサブネットワークは、イーサネット(登録商標)ネットワークを切り替えて、及び/又は、共有して使用する。例えば、エリアAのサブネットワークは、AFDX(Avionics Full Duplex Switched Ethernet(登録商標))ネットワークであってよい。AFDXネットワークの説明については、サイトwww.ces.chで入手可能な文献"CES White Paper on AFDX"を参照されたい。リンク240及びリンク241のようなエリアA及びエリアBのイーサネット(登録商標)リンクは、全二重タイプであってよい。一方で、リンク210のようなエリアAからエリアBへ向かう各イーサネット(登録商標)リンクは、単信タイプである必要がある。
【0019】
本発明に従って、リンク220のようなエリアBからエリアAへ向かう各リンクは、リンク210のプロトコルとは異なるプロトコル、例えば、航空分野で一般に使用されるARINC 429プロトコルに準拠している。ARINC 429プロトコルは、リンクレイヤと同様に、物理レイヤを規格化する。ARINC 429プロトコルは、一対のツイストケーブルを使用し、BからAへの選択された片方向送信を行う。
【0020】
あるいは、エリアBからエリアAへ向かうリンクは、自動車の分野で普及しているCAN(Control Area Network)プロトコルに従ってもよい。CANプロトコルのリンクレイヤ及び物理レイヤの一部は、ISO 11898−1規格で規格化される。このプロトコルは、シンプルケーブル対上での半二重タイプの送信を提供する。実際には、本発明においては、エリアBからエリアAへの送信のみが使用される。
【0021】
図3は、本発明の一実施形態に従う遠隔通信システムに実装されるプロトコルスタックを示す。機器LRU1は、片方向イーサネット(登録商標)リンク310での送信のための第1プロトコルスタック330と、リターンリンクでのデータ受信のための第2プロトコルスタック350とを使用する。リンク320は、ARINC 429プロトコルに準拠する。対称的に、機器LRU2は、イーサネット(登録商標)リンク310でのデータ受信のための第1プロトコルスタック340と、リンク320でのデータ送信のための第2プロトコルスタック360とを使用する。
【0022】
有利には、第1プロトコルスタック330,340は、TFTP/UDP/IP/Ethernet(登録商標)から成る。TFTP(Trivial File Transfer Protocol)がIETFによって規格化されたファイル転送プロトコルであることに留意されたい。包括的な説明は、www.ietf.org/rfc/rfc783.txt中のRFC 1350を参照されたい。
【0023】
機器LRU1がデータファイルをLRU2へ送信しようとするとき、TFTPレイヤは、ライトリクエスト(WRQ)によって一時セッションをオープンするとともに、ファイルを512バイトのブロックに分割する。ブロックは、TFTPヘッダとの連結後に、UDPトランスポートレイヤへ送信される。UDPレイヤは、当業者には既知のように、接続確立やエラー時の再送を行うことなく、メッセージレベルサービスを提供する。そして、メッセージのIPデータグラムは、従来通りイーサネット(登録商標)フレームで送信される。受信時には、データは、プロトコルスタック340とは逆の方向に向かう。受信したTFTPメッセージ毎に、機器LRU2は、RFC 1350規格に従って、受信通知メッセージを送信する。このメッセージは、360で示され、かつ以下に記載されるように、ARINC 429フレームにカプセル化される。ARINCフレームは、従来通りリンク320で送信され、かつメッセージは、351でデカプセル化される。故に、スタック330及びスタック340のTFTPレイヤに対して、あたかもトランスポートが全二重リンクによってIPネットワーク上で行われるかのように動作する。
【0024】
機器LRU2がデータファイルをLRU1へ送信しなければならないとき、一時セッションは、リードリクエスト(RRQ)によって、LRU1主導でオープンされる。送信されるファイルは、スタック340のTFTPレイヤによって、512バイトのブロックに分割される。ブロックは、対応するTFTPヘッダと連結される。このようにして得られたTFTPメッセージは、361に示され、かつ以下で詳細に記載されるように、ARINCフレームにカプセル化される。ARINCフレームは、従来通りリンク320で送信されるとともに、351でデカプセル化される。ついで、機器LRU1は、スタック330、すなわち、イーサネット(登録商標)単信リンク310を介して、受信通知メッセージを送信する。受信通知メッセージは、プロトコルスタック340を介して、逆方向へ届けられる。ここで再び、スタック330,340のTFTPレイヤに対して、あたかもトランスポートが全二重リンクによってIPネットワーク上で行われるかのように動作する。
【0025】
ARINCリンク320と、第1プロトコルのメッセージを第2プロトコルのフレームにカプセル化するメカニズムとは、セキュアエリアとは隔てられたアクセスを形成する。
【0026】
非セキュアエリアの機器LRU2は、例えば、乗客の端末が接続可能なプロキシサーバとして、航空機に常設される。この場合、TFTPメッセージカプセル化を実現するコンバージョンゲートウェイは、上記サーバに位置する。
【0027】
図4は、本発明の第2実施形態に従う搭載用遠隔通信システムの概略図である。第1実施形態とは異なり、セキュアエリアのいくつかの機器ユニットLRU1,LRU3,LRU5は、非セキュアエリアの機器ユニットLRU2と通信できる。このために、マルチキャストタイプのARINCリンク420は、関係する機器へのリターンパスとして機能する。ARINCリンクは、送信源(emitter)には接続できないが、最大20台の受信機に対応できるということに留意されたい。
【0028】
図5は、本発明の第3実施形態に従う搭載用遠隔通信システムの概略図である。第1及び第2実施形態とは異なり、LRU1などのセキュアエリアの機器ユニットは、非セキュアエリアの複数の機器ユニットLRU2,LRU4,LRU6と通信できる。このために、機器LRU1は、複数のARINC 429インタフェースを備える。機器ユニットLRU2,LRU4,LRU6を上記インタフェースにそれぞれ接続する複数の下りARINCリンク521,522,523は、リターンパスとして機能する。この実施形態では、CANバスが、複数の送信源にリンクできるCANバスとして、ARINCリンクの代わりに有利に使用できる。
【0029】
セキュアエリアの複数の機器ユニットが非セキュアエリアの複数の機器ユニットと通信できるようにするために、第2及び第3実施形態が第4実施形態へと有利に組み合わせできることが当業者には明白である。この場合、いくつかのマルチキャストタイプのARINCリンクは、セキュアエリアの機器ユニットへのリターンパスとして機能する。変形例に従って、CANバスは、非セキュアエリアの機器ユニットとセキュアエリアの機器ユニットとの間のリターン機能を確保する。
【0030】
上記の実施形態は、TFTPメッセージを第2プロトコル、例えば、ARINC 429プロトコルのフレームにカプセル化するメカニズムを使用する。ARINC 429プロトコルの詳細な説明は、サイトwww.condoreng.comで入手可能な"ARINC Protocol Tutorial"と題された文献を参照されたい。
【0031】
図6は、ARINCフレームの概略図である。ARINCフレームは、5つのフィールドから成る32ビットのワードで構成されている。ビットPは、パリティビットである。フィールドSSMは、機器の動作状態を示す。19ビットのフィールドPAYLOADは、ペイロードを含み、必要であれば、パディングビット(PAD)が付加される。フィールドSDIは、マルチキャスト送信の場合に、フレームの送信先の指示を可能にする。最後に、フィールドLABELは、ペイロードに対応する航空電子工学パラメータと、それを構成するデータのフォーマットとを示す。
【0032】
以後、TFTPメッセージは、リターンパスでのカプセル化の後に送信できるもの、すなわち、ACK、DATA、ERRORと見なされる。
【0033】
図3を参照すると、機器LRU1がデータファイルを機器LRU2へ送信しようとするとき、機器LRU1は、ライトリクエストメッセージ(WRQ)を機器LRU2へ送信する。LRU2は、ファイルを受信できる状態にあるならば、確認メッセージをLRU1へ返す。ついで、ファイルのデータブロックを含む受信したメッセージ毎に、機器LRU2は、受信したブロックの数を示す確認メッセージをLRU1へ返す。ファイルの終端は、512バイト未満のブロックを受信したときに、スタック340のTFTPレイヤによって検出される。ライトリクエストを確認するための第1メッセージは、通常、ブロックナンバー0で示される。機器LRU1がデータブロックを送信する際に、スタック330のTFTPレイヤは、タイマを設定する。タイマがアップする前に確認メッセージが受信されなければ、データブロックは、TFTPメッセージによって再送信される。
【0034】
TFTPプロトコルの確認メッセージACKは、メッセージのタイプを識別する2バイトの第1オペレーションコードフィールド(Opcode=4)と、確認されたブロック受信数を与える2バイトの第2フィールドとを含む。カプセル化モジュール361は、第2オペレーションコードバイト(第1バイトは、確認メッセージのために常にゼロとなる)と、その次の、ブロック数の2バイトとを、第2プロトコルのフレームに格納する。カプセル化モジュール361は、データ転送に使用される送信元機器(LRU1)及び送信先機器(LRU2)のUDPポート番号を、このメッセージに付加する。1バイトで符号化されたUDPポート番号毎に、確認メッセージのために7バイトが送信されなければならず、3つのARINCフレーム又は1つのCANフレームを要する。
【0035】
機器LRU1が機器LRU2からデータファイルを受信しようとするとき、機器LRU1は、リードリクエストRRQを機器LRU2へ送信する。機器LRU2は、送信可能な状態にあるならば、関係するファイルの512バイトの第1ブロックを、確認通知として機器LRU1へ直接送信する。機器LRU1は、応答として、第1ブロックの確認メッセージACKを送信する。その過程は、上記の通り、ファイルの最終ブロックが送信されるまで続く。ブロックの送信後、スタック340のTFTPレイヤが所与の時間内に確認通知を受信しない場合、送信が繰り返される。
【0036】
TFTPプロトコルのデータメッセージDATAは、メッセージのタイプを識別する2バイトの第1オペレーションコードフィールド(Opcode=3)と、送信したブロック数を与える2バイトの第2フィールドと、データブロックが格納された0≦n≦512であるnバイトのフィールドとを含む。
【0037】
カプセル化モジュール361は、第2オペレーションコードバイト(第1バイトは、データメッセージのために常にゼロである)と、その次の、送信されたブロック数の2バイトと、最後の、関係するブロックのnバイトとを、第2プロトコルのフレームに格納する。モジュール361は、データ転送に使用される送信元機器LRU1及び送信先機器LRU2のUDPポート番号を、このメッセージに付加する。故に、nデータバイトのブロックの送信のためには、n+7バイトが送信されなければならず、E[(n+7).8/19]+1のARINCフレームと、n+7のCANフレームとを必要とする。ここで、E[x]は、xの整数部を与える。
【0038】
LRU1によって送信されたライトリクエスト(WRQ)又はリードリクエスト(RRQ)がLRU2によって承諾できない場合、又はデータ転送中にエラーが発生した場合、スタック340のTFTPレイヤによって、エラーメッセージが送信される。
【0039】
TFTPプロトコルのエラーメッセージERRORは、メッセージのタイプを識別する2バイトの第1オペレーションコードフィールド(Opcode=5)と、診断されたエラーのコードを含む2バイトの第2フィールドと、場合によっては、エラーを説明するASCII記号を含む第3フィールドとを含み、その後にゼロバイトが続く。この第3フィールドは、ここでは使用されない。
【0040】
カプセル化モジュール361は、第2オペレーションコードバイト(第1バイトは、エラーメッセージのために常にゼロである)と、その次の、エラーコードの2バイトとを、第2プロトコルのフレームに格納する。最後に、モジュール361は、データ転送に使用される送信元機器(LRU1)及び送信先機器(LRU2)のUDPポート番号を、このメッセージに付加する。故に、エラーメッセージの送信のためには、5バイトが送信されなければならず、3つのARINCフレーム又は5つのCANフレームを必要とする。
【0041】
第2実施形態のように、機器LRU2がセキュアエリアの複数の機器ユニットにリンクされている場合、カプセル化モジュール361は、TFTPメッセージの送信先に応じて、ARINCフレームのSIDフィールドの値を決定する。
【0042】
しかしながら、TFTPメッセージの送信先を区別できない第2プロトコルをシステムが使用する場合、モジュール361は、送信先機器のIPアドレスを、カプセル化されたメッセージに有利に付加する。
【0043】
また、第3実施形態のように、非セキュアエリアの複数の機器ユニットがセキュアエリアの機器ユニットにリンクされる場合と、TFTPメッセージの送信先機器ユニットによるTFTPメッセージを送信した送信元機器の判断ができない第2プロトコルをシステムが使用する場合、各モジュール361は、送信元機器のIPアドレスを、カプセル化されたメッセージに有利に付加する。
【0044】
一般に、第4実施形態の場合には、各モジュール361は、TFTPメッセージの送信元及び送信先機器それぞれのIPアドレスを、カプセル化されたメッセージに付加する。
【符号の説明】
【0045】
310 片方向イーサネット(登録商標)リンク
320 ARINCリンク
330,340 第1プロトコルスタック
350,360 第2プロトコルスタック
351 デカプセル化モジュール
361 カプセル化モジュール
【特許請求の範囲】
【請求項1】
セキュアエリアと非セキュアエリアとに区分けされ、
セキュアエリアの第1遠隔通信機器ユニットと、
非セキュアエリアの第2遠隔通信機器ユニットと、
第1機器ユニットから第2機器ユニットへの第1片方向リンクと
を少なくとも具備し、
前記第1機器ユニットが第1プロトコルに従って前記第1リンクでデータの送信を行うように構成された、搭載用遠隔通信システムであって、
第2機器ユニットから第1機器ユニットへの、第2プロトコルに従う第2リンクを具備し、
第2プロトコルの上位2つのレイヤは、第1プロトコルの上位2つのレイヤとは異なっており、
前記第2機器ユニットは、第2プロトコルに従ってフレーム内にカプセル化された第1プロトコルに従うメッセージとして、第2リンクでデータの送信を行うように構成されることを特徴とする搭載用遠隔通信システム。
【請求項2】
第1プロトコルの上位2つのレイヤが、イーサネット(登録商標)レイヤであることを特徴とする請求項1に記載の搭載用遠隔通信システム。
【請求項3】
第1プロトコルのスタックが、TFTP/UDP/IP/Ethernet(登録商標)であることを特徴とする請求項2に記載の搭載用遠隔通信システム。
【請求項4】
第2プロトコルの上位2つのレイヤが、ARINC 429レイヤであることを特徴とする請求項1ないし3のいずれか1項に記載の搭載用遠隔通信システム。
【請求項5】
第2プロトコルの上位2つのレイヤが、CANレイヤであることを特徴とする請求項1ないし3のいずれか1項に記載の搭載用遠隔通信システム。
【請求項6】
第2機器ユニットが、カプセル化モジュールを具備し、
前記カプセル化モジュールは、TFTPプロトコルのメッセージ、すなわち、ACK、ERROR、DATAを、ARINC 429フレームにカプセル化するように構成されることを特徴とする請求項3又は4に記載の搭載用遠隔通信システム。
【請求項7】
前記カプセル化モジュールが、第1機器と第2機器との間でデータを送信するために使用されるUDPポート番号を、前記TFTPメッセージに付加するように構成されることを特徴とする請求項6に記載の搭載用遠隔通信システム。
【請求項8】
前記カプセル化モジュールが、前記TFTPメッセージの送信先機器のIPアドレス、及び/又は、前記TFTPメッセージの送信元機器のIPアドレスを、前記TFTPメッセージに付加するように構成されることを特徴とする請求項6又は7に記載の搭載用遠隔通信システム。
【請求項9】
請求項1ないし8のいずれか1項に記載の搭載用遠隔通信システムを具備することを特徴とする航空機。
【請求項1】
セキュアエリアと非セキュアエリアとに区分けされ、
セキュアエリアの第1遠隔通信機器ユニットと、
非セキュアエリアの第2遠隔通信機器ユニットと、
第1機器ユニットから第2機器ユニットへの第1片方向リンクと
を少なくとも具備し、
前記第1機器ユニットが第1プロトコルに従って前記第1リンクでデータの送信を行うように構成された、搭載用遠隔通信システムであって、
第2機器ユニットから第1機器ユニットへの、第2プロトコルに従う第2リンクを具備し、
第2プロトコルの上位2つのレイヤは、第1プロトコルの上位2つのレイヤとは異なっており、
前記第2機器ユニットは、第2プロトコルに従ってフレーム内にカプセル化された第1プロトコルに従うメッセージとして、第2リンクでデータの送信を行うように構成されることを特徴とする搭載用遠隔通信システム。
【請求項2】
第1プロトコルの上位2つのレイヤが、イーサネット(登録商標)レイヤであることを特徴とする請求項1に記載の搭載用遠隔通信システム。
【請求項3】
第1プロトコルのスタックが、TFTP/UDP/IP/Ethernet(登録商標)であることを特徴とする請求項2に記載の搭載用遠隔通信システム。
【請求項4】
第2プロトコルの上位2つのレイヤが、ARINC 429レイヤであることを特徴とする請求項1ないし3のいずれか1項に記載の搭載用遠隔通信システム。
【請求項5】
第2プロトコルの上位2つのレイヤが、CANレイヤであることを特徴とする請求項1ないし3のいずれか1項に記載の搭載用遠隔通信システム。
【請求項6】
第2機器ユニットが、カプセル化モジュールを具備し、
前記カプセル化モジュールは、TFTPプロトコルのメッセージ、すなわち、ACK、ERROR、DATAを、ARINC 429フレームにカプセル化するように構成されることを特徴とする請求項3又は4に記載の搭載用遠隔通信システム。
【請求項7】
前記カプセル化モジュールが、第1機器と第2機器との間でデータを送信するために使用されるUDPポート番号を、前記TFTPメッセージに付加するように構成されることを特徴とする請求項6に記載の搭載用遠隔通信システム。
【請求項8】
前記カプセル化モジュールが、前記TFTPメッセージの送信先機器のIPアドレス、及び/又は、前記TFTPメッセージの送信元機器のIPアドレスを、前記TFTPメッセージに付加するように構成されることを特徴とする請求項6又は7に記載の搭載用遠隔通信システム。
【請求項9】
請求項1ないし8のいずれか1項に記載の搭載用遠隔通信システムを具備することを特徴とする航空機。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公表番号】特表2009−538016(P2009−538016A)
【公表日】平成21年10月29日(2009.10.29)
【国際特許分類】
【出願番号】特願2009−510505(P2009−510505)
【出願日】平成19年4月27日(2007.4.27)
【国際出願番号】PCT/FR2007/051186
【国際公開番号】WO2007/132107
【国際公開日】平成19年11月22日(2007.11.22)
【出願人】(501446228)エアバス・フランス (93)
【Fターム(参考)】
【公表日】平成21年10月29日(2009.10.29)
【国際特許分類】
【出願日】平成19年4月27日(2007.4.27)
【国際出願番号】PCT/FR2007/051186
【国際公開番号】WO2007/132107
【国際公開日】平成19年11月22日(2007.11.22)
【出願人】(501446228)エアバス・フランス (93)
【Fターム(参考)】
[ Back to top ]