飞行器飞行数据分发的安全认证的制作方法

1.本发明涉及航空领域、数字数据认证以及数字数据分配的安全确认。本发明进一步更具体地涉及安全的飞行相关数据的控制和分配给多个单独的飞行器。


背景技术：

2.飞行中的现代飞行器需要导航数据库(本文中的navdb，在本领域中有时称为“ndb”)以提供关于机场、航线(“空中高速公路”)、机场进近(机场的“上下坡道”)、地形数据库、机场物理基础设施、跑道、导航设备、登机口、标准仪表起飞(standard instrument departures，sid)、标准航站楼到达路线(standard terminal arrival routes，star)的基本数据，以及类似的数据。这些数据对于安全着陆和起飞至关重要，并有助于避免与其他空中交通和地面障碍物发生冲突。
3.navdb必须定期更新，也就是所谓的每28天发生一次的“airac周期”。这些更新提供了跑道关闭、机场维护、机场通信频率、标准仪表进近、vhf和ndb(非定向信标)导航设备的修正信息，以及地面、飞行器支持基础设施的其他变化。(这种更新可能被视为类似于汽车和卡车司机为其车更新gps系统的方式，并且进一步说明gps更新可能会在未来对自动驾驶汽车来说至关重要。从本质上说，飞机需要最新的航道和机场数据，以及最新的飞行程序和规则)。
4.在当前世界范围的实践中，许多州省(整个国家或国家内的各州省)都有政府或民间组织发布合适的导航数据并定期更新数据。然后，少数组织或私营公司(例如jeppesen、lufthansa systems flightnav inc.和其他)获得并整合更新的数据。然后将整合的数据以行业标准格式出售给其他大型飞行器系统第三方供应商和飞行器导航数据供应商，例如通用电气航空(g.e.av)。(例如，示例性系统300的许可服务器320(如下面的图3所示)，并定期提供更新的ndvdb 330，可以是由诸如通用电气公司的供应商维护的许可服务器。)
5.通常，诸如g.e.av之类的飞行器数据供应商将处理navdb数据以编译ge专有形式的数据。编译数据可能需要，例如但不限于：基于内存大小限制或其他因素对数据进行子设置，以及数据压缩。然后将编译的navdb分配给每家航空公司，这些航空公司为navdb向供应商(诸如ge航空系统(geas))付款，navdb通常按每架飞行器收费。因此，navdb供应商通常会维护一个特定飞行器的数据库或列表，这些飞行器被授权(通过合同并支付许可费)接收navdb更新。
6.在遗留系统(即，当前分配系统)中，飞行器通常在地面上或维护期间不连接到互联网。因此，飞行器维修人员完全使用本地的数据手段，诸如软盘或以太网加载器，将更新的navdb加载到飞行器上。这些是与飞行管理系统(fms)的直接电气连接。这可能会导致数据加载延迟，也无法提供任何方法来审核数据上传，以确保只有获得适当许可的飞行器(由其“尾号”标识)才能获取数据。目前，数据更新的财务计费是在“荣誉系统”的基础上进行的。
7.在遗留系统中，数据用户(航空公司)周期性地向数据供应商(例如，g.e.)报告他
们的机队规模，然后数据供应商(例如g.e.)相应地收费。这是一个非常容易出错、协调繁重的计费程序，并且由于缺乏对数据库上传的每架飞行器身份验证，可能会出现错误。在最坏的情况下，报告可能会凌乱，甚至可能漏报数据上传(无论是错误还是故意)。
8.那么，需要一种用于可靠地更新诸如飞行器导航数据库的飞行器数据库的系统和方法，其中更新过程具有适当的更新监控、跟踪以及审计；并且所有这些都是在飞行器通常没有连接到远程更新服务器时完成的。


技术实现要素：

9.本系统和方法解决了navdb上传、审计以及计费过程中的上述缺陷。
10.在一些实施例中，本系统和方法采用便携式、手持计算机，诸如(例如但不限于)电子飞行包(efb)、ipad或其他带有电子飞行包app的其它平板计算机。便携式计算设备用作数据库服务器和每架飞行器之间的中介。由于是便携式的并且本地链接(随着时间的推移)到不同的飞行器，中间计算设备可以提供数据上传验证和审计以用于数据库使用的准确计费。
11.这确保了接收上传的每个飞行器都有权基于付费许可接收上传。因此，数据库供应商的计费基于使用情况。如果特定飞行器的fms想要在给定周期中使用navdb，则需要使用其尾号(或等效物)对数据库/许可证服务器进行认证。认证由中间计算设备进行调解。
12.相关领域的技术人员可以认识到，在现有计算环境中，计算机和其他类似的数字计算设备与互联网保持基本常规的、持续的通信连接和/或对互联网的访问。在这种“持续互联网”环境中，经由与中央服务器的常设互联网连接来验证/认证/解锁各种计算机软件、数据库和其他数字资源是司空见惯的。
13.然而，在本上下文中，这种持续的互联网连接并不是经常存在的。飞行中的飞行器和一般的航空电子系统虽然具有与各种地面和卫星资源的无线电连接，但通常不会连接到互联网。因此，本系统和方法经由中间计算设备提供数据库验证和激活，而无需立即、同时期的互联网访问。
附图说明
14.本发明的实施例的有利设计源于独立和从属权利要求、说明书以及附图。以下结合附图详细说明本发明的实施例的各种示例：
15.图1示出了根据本系统和方法的示例性飞行器。
16.图2呈现了根据本系统和方法可以采用的示例性飞行器控制器的框图。
17.图3呈现了飞行器数据库更新系统架构图。
18.图4呈现了用于在分配式系统架构上更新数据库的示例性方法的流程图。
具体实施方式
19.以下详细描述在本质上仅是示例性的，并且不旨在限制系统和方法、系统和方法的元件或步骤、系统和方法的应用及其本文公开的用途。进一步，无意将范围约束或限制于前述背景或概要中提出的任何理论，也无意将范围限制于或限制于以下详细描述中提出的任何理论。如根据书面描述所理解的，本发明的系统和方法的范围在所附权利要求中阐述。
20.一、术语、多个实施例和范围
21.在本文中将理解的是：
22.各种实施例的描述可以使用“包括”语言，指示系统和方法可以包括所描述的某些元件或步骤；但是，系统和方法还可以包括未描述的、或者可以结合其他实施例描述的、或者可以仅在附图中示出的、或者本领域公知的那些对于处理系统的功能所必需的其他元件或步骤。然而，本领域技术人员将理解，在一些特定情况下，可以可选地使用语言“基本上由
……
组成”或“由
……
组成”来描述实施例。
23.二、示例性飞行器和处理系统
24.图1示出了根据本系统和方法的示例性飞行运输工具100，并且更具体地示出了飞行器100。飞行器100可以包括机身102、位于机身102中的驾驶舱104，以及从机身102向外延伸的机翼组件108。飞行器100还可以包括多个发动机160。虽然已经示出了商用固定机翼飞行器100，但是可以设想本文描述的本公开的方面可以用于任何类型的固定机翼、旋转机翼或可转换机翼飞行器100或其他飞行运输运载器100，包括例如但不限于：直升机、可再发射火箭和无人机。
25.控制器和航空电子设备：飞行器100可包括一个或多个通用飞行器控制器130，统称为航空电子设备套件130。控制器和/或航空电子设备套件可包括飞行管理计算机系统(fmcs)130，以下进一步讨论。飞行员控制和视觉显示器260链接到fmcs130。fmcs130还可以与各种飞行器控制系统和传感器(图1中未示出)接口以获得飞行器100的操作状态。
26.图2呈现了示例性控制器130的框图或系统级图，例如可根据本系统和方法采用的数字飞行管理计算机系统(fmcs)130。fmcs 130可以实现或执行，例如计算机代码(软件或固件)，其使飞行器能够执行本文中提出的数据传输、数据存储和/或数据验证方法。用于特定功能的计算机代码可以称为模块350，诸如下面进一步讨论的更新模块350(见图3)。
27.示例性控制器130通常具有主板205，主板205通常保持和互连各种微芯片215/225/230，以及易失性和非易失性存储器或储存器220/235，其一起在硬件等级实现控制器130、代码模块350的操作，并且尤其是实现本系统和方法的一些操作。控制器130可以包括，例如但不限于：
28.硬件微处理器215，也称为中央处理单元(cpu)215或微控制器(mcu)215，其提供控制器130的整体操作控制。这包括但不限于从数据文件或从与其他计算机的连接接收数据、从目标硬件平台接收数据以及将数据或文件发送到目标硬件平台。微处理器215还被配置为执行实现本系统和方法所必需的算术和逻辑运算。
29.静态存储器或固件230可以存储非易失性操作代码，包括但不限于操作系统代码、用于本地处理和分析数据的计算机代码，以及可以专门用于使控制器130能够实现本文中描述的模块和方法以及所附权利要求范围内的其他方法。cpu 215可以采用存储在静态存储器230和/或动态存储器220和/或非易失性数据存储器235中的代码来实现本文中描述的方法和模块以及其他方法。
30.控制电路225可以执行多种任务，包括数据和控制交换，以及输入/输出(i/o)任务、网络连接操作、总线212的控制和处理系统领域中公知的其他任务。控制电路225还可以控制非易失性数据存储器235或与非易失性数据存储器235连接，并与飞行器传感器连接。
31.控制电路225还可支持诸如外部输入/输出(i/o)之类的功能(例如，经由usb端口、
以太网端口或无线通信，图中未示出)。例如，控制电路225可以包括飞行器接口设备(aid)225，用于使控制器130和飞行器100通常能够与外部和/或便携式计算设备连接。
32.易失性存储器220，诸如动态ram(dram)，可用于临时存储数据或程序代码或代码模块。易失性存储器220还可用于临时存储来自静态存储器230/235的一些或全部代码。
33.非易失性存储器235可以采用硬盘驱动器、固态驱动器(包括闪存驱动器和存储卡)、磁带上的记录、dvd或类似光盘上的存储、或现在已知或有待开发的其他形式的非易失性存储器的形式。静态存储器230或非易失性数据235可以用于各种飞行相关数据库330的持久存储，例如本文下面进一步讨论的导航数据库(navdb或ndb)330(见图3)。
34.系统总线212提供cpu 215、存储器220、230以及非易失性数据储存器235之间的数据通信。可以是视觉(显示屏或视觉投影)、音频、或者两者的驾驶舱信息系统260可以集成到控制器130中或与控制器130通信联接，以便将飞行数据呈现给飞行器的机长或副驾驶。经由驾驶舱信息系统260呈现的飞行数据可以包括在其他元件中，从navdb 330和其他存储的数据库获得的机场数据和导航数据。
35.其他计算系统：在各种实施例中，本系统和方法可能需要使用图3的示例性实施例中描述的飞行管理计算机(fmc)130。在各种实施例中，本系统和方法可以采用附加的或可选的计算系统130，其中一些可能不是飞行器100的一部分。这些可选的、附加的或补充的计算机130可以包括，例如但不限于，电子飞行包(efb)305.2，如下所述；便携式维护平板电脑305.2或维护板305.2，也在下面讨论；和/或许可服务器/数据库服务器320(下面进一步讨论)。相关领域的技术人员将理解的是，这些其他计算机系统305.1、305.2、320可包括与上述飞行器控制器130相同或基本相似的许多元件，包括例如但不限于：cpu215、存储器220、230、235以及控制电路225。
36.三、导航数据库维护和更新服务概述
37.现在参考图3：现代飞行器配备有飞行管理系统(fms)302。在本系统和方法的一些实施例中，fms 302是经由上述讨论的飞行管理计算机130(fmc)实现的，其执行一个或多个软件程序或软件模块，诸如操作飞行程序(ofp)304。(本文区分了fmc 130，即计算机硬件，和fms 302，即配置有合适的软件程序或模块的fmc 130。本领域的其他地方，配置有fms 302的fmc 130可简称为飞行管理计算机系统(fmcs)；本文中使用的“fms 302”可被认为与其他地方可能使用的fmcs基本相同。还应注意的是，在航空业的其他地方，“fms”有时可能指“对外军售”，但本文不打算这样使用。)
38.驾驶舱中的相关控制和显示单元260(上面讨论过)，诸如多功能控制显示单元(mcdu)，使机组人员能够与opf 304交互。
39.在飞行之前，机组人员通常将飞行计划(计划的飞行器航线)输入到fms 302中，使得具有合适飞行计划的fms 302将在起飞后基本上驾驶飞行器直到接近着陆。这种自动飞行是通过自动驾驶仪(a/p)和自动油门(a/t)完成的，其可能是ofp 304(图中未示出)的元件，但通常是其他线路可更换单元(lru)的元件；a/p和a/t可以根据既定的程序沿指定的航线导航飞行器。
40.作为该自动导航的一个元件，fms 302需要导航数据库(navdb)330。(在本文中采用“navdb”(330)，但是在本领域中也经常采用首字母缩略词“ndb”。)navdb 330包含有关机场的信息；每个机场的跑道；每个机场的出发和到达程序(这些程序基本上是预先定义的连
接机场与航空公司的“入口匝道”和“出口匝道”)。navdb 330的来源是航空信息出版物(或aip)，该出版物包含对空中航行至关重要的大部分持久性特征(诸如机场位置)的航空信息。aip通常由各国各自的民航管理机构或代表其颁发。
41.然而，机场可以随着时间而改变，航空程序也可以。因此，aip通过固定周期的定期修正来保持最新。对于操作上的重大信息变更，使用称为airac(航空信息监管和控制)周期的周期：每56天(双airac周期)或每28天(单airac周期)进行修正。在本文中，为了方便而非限制，假设了示例性的28天修正周期。
42.因此，飞行器的navdb 330通常需要每二十八(28)天更新一次，以维护当前信息，诸如临时跑道关闭，或其他设备因维护等事情而关闭。这些数据的可用性对于适航性至关重要。
43.因此，信息服务需要经由航空公司来获得更新的navdb 330并以28天为周期处理更新的navdb数据，每个单个的飞行器100的飞行管理系统(fms)302需要更新存储在其持久存储器230、235中。通常，更新的navdb 330由第三方信息服务提供给航空公司，每个航空公司有义务为更新支付每架飞行器的费用。
44.相关领域的技术人员将意识到，单个飞行器100由单个飞行器编号(或尾部编号)标识。更新的navdb 330通常由飞行器维修人员使用有形的本地(便携式)数据存储设备，诸如老式软盘驱动器加载到每个飞行器的fms 302中(用于帮助确保数据完整性和监管链，其他数据传输方式(例如蓝牙或usb连接)不易建立)。
45.因此，在遗留飞行器中，fms 302本身或甚至用于将navdb 330加载到fms 302中的机组数据设备通常不连接到外部世界。因此，没有集中核实或验证(通过验证代码或类似物)来确定特定飞行器100的特定fms 302，如其飞行器编号所标识的，有权接收更新的navdb 330。此外，在遗留的飞行器维护系统和操作中，没有验证正确的navdb 330(来自经过验证的来源的最新navdb)实际上正在上传到fms 302。
46.navdb和经由中间认证设备的飞行器认证
47.本系统和方法针对中间认证设备(iad)305的适配，其也可以被称为中间上传设备305，用于navdb更新330.2的上传和认证。
48.在本发明的系统和方法的一些实施例中，中间上传设备(iad)305可以是数字处理设备和/或数字计算设备，其处理架构可以与示例性飞行管理计算机130(上述讨论的)相同或相似。然而，在本系统和方法的一些实施例中，至少在便携性方面，iad 305可能不同于飞行管理计算机130；虽然飞行管理计算机130通常被设计和配置为集成到飞行器100的结构中，但在一些实施例中，iad 305可以被配置为便携式计算设备，诸如笔记本电脑、平板电脑或可能的一些其他专用的、手持便携式计算设备305。
49.在本系统和方法的一些实施例中，iad305可以是用于认证navdb更新的电子飞行包(efb)305.1。efb 305.1是一种便携式，通用计算系统，帮助机组人员执行多个不同的飞行管理和/或飞行中的维护任务。机长和/或副驾驶员通常会在每次飞行时携带efb 305.1(具有为飞行器100和特定飞行定制的数据)。
50.在本系统和方法的可选实施例中，iad 305可以是用于多种目的的维护平板(mt)305.2，包括用于navdb更新的认证。mt 305.2是一般来说是一种便携式，通用计算系统的飞行器工程师和维修队伍来执行飞行之间的地面飞行器维修。
51.图3呈现了示例性飞行器数据库更新系统(adus)300的系统级图，在一些实施例中，该系统是分配式系统。adus 300可以用于更新飞行器数据库、授权飞行器数据库、验证飞行器数据库和审计飞行器数据库和/或飞行器100本身以确定数据库330被授权在飞行器100上或与飞行器100一起使用的任何或全部。
52.飞行中数据库：在本系统和方法的一些实施例中，要更新、验证、授权和/或审计的飞行数据库可以是navdb 330，如本文中别处所述。在可选实施例中，其他飞行中数据库330，任务关键的或非任务关键的，可以是适用的。(“飞行中的数据库”和“飞行数据库”同义和互换使用，可用于在飞行器飞行期间使用和访问的数据库。”)
53.数据库和许可服务器：在本系统和方法的一些实施例中，adus 300可以包括数据库服务器320和/或许可服务器320。许可服务器320可以存储被授权接收对navdb330.1的更新的飞行器100的授权飞行器列表(aal)345。。aal 345可以通过单个飞行器尾号或其他飞行器id来识别授权的飞行器。aal 345可以包括用于审计目的的其他信息，诸如navdb更新的日期、各航空公司为navdb更新支付的费用，以及与更新、授权和/或审计navdb 330的分发和使用相关的其他信息。
54.在本系统和方法的一些实施例中，许可服务器320还可以存储最新的、源的或原始的navdb 330.1(在图3中标识为主要navdb)。在可选实施例中，主要navdb 330.1可以存储在与许可服务器320不同的服务器上。仅出于描述和简洁的目的，本文假设示例性系统架构，其中主要navdb 330.1和授权飞行器列表345是存储在公共或共享文件服务器上。
55.然而，虽然在示例性系统300中示出了单个数据供应商许可服务器320，但是可以包括附加的这样的服务器。例如，供应商可以将数据上传到由每个单独的航空公司维护的单独的许可服务器320(图中未示出)。然而，最终，根据本系统和方法的许可服务器被单独地或通过分配式软件模块配置，以维护授权飞行器100的记录，以及与将更新的navdb数据库320的数据副本分发给特定航空公司和特定飞行器100相关的数据传输、更新、许可和其他相关审计数据。副本复制到。因此，图3中所示的单个aal 345仅是示例性的并且不应被解释为限制性的。
56.互联网、wan或lan：示例性飞行器数据库更新系统(adus)300被解释为包括或利用通用的广域数据通信系统315或数据网络系统315，诸如互联网、广域网网(wan)或局域网(lan)。连同可以是有线、无线或两者组合的合适的通信链路310，通用数据网络315实现许可服务器320和中间认证设备305之间的数据通信。
57.在本系统和方法的一个实施例中，许可服务器320可以是远离机场的文件服务器，诸如第三方政府或公司服务器320。在可选实施例中，许可服务器320可以是特定机场本地的基于地面的计算机。
58.中间通信设备(efb或维护平板电脑)：为了在飞行器上安装数据库——这可以包括初始安装和更新——可以采用中间通信设备(icd)305。中间通信设备可以是例如但不限于电子飞行包(efb)305.1或维护平板电脑305.2，如以上更详细讨论的。icd 305可以经由一个或多个通信链路310与许可服务器320通信联接，通信链路310可以是有线的、光纤的或无线的(包括例如经由卫星)；并且这种通信可以全部或部分地通过局域网或广域网315或诸如互联网315的扩展云网络发生。飞行器机长副驾驶或维修技术员可以使用icd 305从许可服务器320获得主要navdb 330.1；；icd 305然后将navdb 330的副本储存在其本地持久
储存器230、235中作为最近更新的navdb 330.2。
59.icd 305可以存储指示被授权以接收navdb更新330.2的飞行器的一个或多个飞行器id 340”的列表。icd 305还可以存储日志(列表或其他数据库)，该日志指示在当前一轮更新期间和/或在过去更新期间，哪些飞行器100实际上已经接收到更新的navdb。在各种实施例中，航班尾号/飞行器id的列表340"和更新日志350可以是存储在icd 305上的单个公共数据库或结构的一部分，或者每个文件或结构均可以在icd 305上有单独的储存。
60.飞行管理系统：在获得更新的navdb 330之后，机长或技术员可以将中间通信设备305(efb 305.1或维护平板电脑305.2，视情况而定)与飞行管理系统(fms)302连接。在本系统和方法的实施例中，经由有线或无线连接直接和本地进行连接，并且可以经由将icd 305与fms 302通信联接的飞行器接口设备225进行连接。在本系统和方法的实施例中，fms 302的更新模块350可以获得更新的navdb 330.2并将navdb 330.2的副本存储在飞行器100上的持久存储器中。出于数据库验证、认证，和/或审计的目的，更新模块305还可以与中间通信设备305通信和交换数据。
61.在可选实施例中，icd 305可以将navdb 330.2加载到飞行器100的机载维护系统(oms)(图中未示出)中。然后oms将navdb 330.2分发到fms 302。
62.中间通信设备的示例性功能：在本系统和方法的一个实施例中，示例性adus架构300使便携式、手提式、中间通信设备305(诸如efb 305.1或维护平板电脑305.2)能够与飞行器的fms 302连接，同时保持与许可服务器320的实时连接。
63.在本系统和方法的一个可选实施例中，icd 305可以与fms 302连接，而不是同时与互联网315或许可服务器320连接。在这样的实施例中，icd 305可以在其他时间(稍后或更早)与许可服务器320连接以认证navdb 330为有效，并认证navdb 330向任何特定飞行器100的上传。
64.在本系统和方法的一些实施例中，除了navdb 330之外，作为navdb330的可选，可以上传其他与飞行相关的数据库330。
65.在本系统和方法的一些实施例中，navdb 330起初可以被锁定，这意味着navdb 330被加密并且在解锁之前不能被读取。在本系统和方法下，navdb 330由icd 305解锁以在给定的飞行器上使用，但是仅在icd 305已经验证了navdb 330和navdb 330被上传到其中的飞行器100中的一个或两个之后。
66.在本系统和方法的一个实施例中，icd 305仅在以下之后才解锁navdb 300(例如，通过对其进行解密，或通过在飞行器100的fms 302上存储解密密钥)：(i)将navdb 330上传到fms 302，并且在(ii)验证特定飞行器100有权上传之后(意思是，航空公司已支付将navdb 330上传到特定飞行器100的费用)。验证是基于飞行器100的尾部/飞行器编号340执行的，如与通过icd 305从许可服务器320获得的授权飞行器/尾部编号345相匹配。
67.数据库更新和更新审计的示例性方法
68.图4呈现了用于经由分配式系统架构300更新飞行器100上的导航数据库的示例性方法400的流程图。该方法可以例如由已经在本文的别处描述的中间通信设备305来执行。
69.icd与服务器连接：方法400开始于步骤410。在步骤410中，中间通信设备305虽然仍然独立于任何特定飞行器，但与数据库服务器和/或许可服务器320(诸如示例性数据供应商许可服务器320)建立数据通信链路。作为该步骤的一部分，icd 305可以根据安全性、
密码、生物特征和本领域已知的其他验证程序建立安全通信，包括与许可服务器的适当安全登录。
70.在步骤410之后，并且在本系统和方法的一个实施例[a]中，icd 305可以自动下载飞行器数据库330.1，在这种情况下，该方法直接进行到步骤425。例如，可以根据airac周期在特定日期安排飞行器数据库更新。
[0071]
评估是否需要更新：然而，本系统和方法的可选实施例[b]可以采用可选步骤415。在可选步骤415中，icd 305可以确定其是否需要更新飞行器数据库330。例如，确定可能需要识别当前日期是否是应该发生更新的日期。在一个实施例中，icd 305可以识别已经存储在其持久存储器230、235中的飞行器数据库330.2的当前版本或当前日期，并将其与存储在许可服务器320上的飞行器数据库330.1的版本或发布日期进行比较。如果在许可服务器320在icd 305上存储比在icd305上飞行器数据库330.2更近或更新版本的飞行器数据库330.1，则icd 305确定该数据库需要更新。在一个可选实施例中，可以是许可服务器320与icd330通信并且确定飞行器数据库330.1的版本是否比icd305的版本更新的版本。如果在步骤415中，确定飞行数据库330应该更新，则该方法进行到步骤420。
[0072]
将导航数据库上传到icd：在步骤417中，最近的导航数据库330.1从服务器320上传到icd 305，然后，其中icd 305将在持久存储器中储存数据库330的副本作为导航数据库330.2。该方法进行到步骤420。
[0073]
授权飞行器列表：在步骤420中，icd 305从许可服务器320下载授权飞行器列表或授权飞行器列表(aal)345。aal 345可以包含飞行器列表(其中授权以接收更新飞行器数据库330，例如具有由尾号或其他飞行器id标识的飞行器)。
[0074]
icd的手动断开/传输：在步骤420之后，在步骤420的icd 305的执行和步骤422的icd的执行之间可能存在时间延迟或中断，可能延长几分钟或几小时，或者在一些实施例中，甚至几天。在此中断期间，icd 305的用户(可以是飞行器机长或副驾驶，或飞行器维修人员)可以可选地将中间通信设备305与互联网315和/或数据许可服务器320断开连接；并且通常将icd 305运输到飞行器100(经由手提运输或人载运输)。(该过程不包括在图4中方法400的流程图中。)
[0075]
与飞行器联接的icd：在飞行器处，并在步骤425中，飞行器机长或飞行器维修人员在icd 305和飞行器100的飞行管理系统302之间建立物理和通信联接。这种物理联接可能需要经由本领域已知的连接将icd 305连接到飞行管理计算机130(例如无线连接，可能需要wi-fi或蓝牙；或通过有线链接，诸如usb、以太网或光纤链接；或经由acars网络的扩展)。在一些实施例中，物理层链接可以由飞行器接口设备225调解。同样在步骤425中，icd 305和飞行管理系统302根据本领域公知的方法建立可能需要各种验证和授权程序的信令、逻辑以及数据链路(例如，数据、会话、传输以及应用层通信链路)。
[0076]
获取飞行器id号：在步骤430中，icd从飞行管理系统302或从飞行器100的通信管理单元(cmu)获得飞行器识别码340。飞行器识别码340可以是尾号或飞行器id，或其他指定的飞行器识别。在本系统和方法的一个实施例中，飞行器识别码340可以存储在飞行管理系统302的持久存储器中。在可选实施例中，飞行器名称/id 340可以由飞行器机长或副驾驶或飞行器维修人员手动获得(例如，从涂在飞行器本身外部的飞行器编号；或从驾驶舱内带有此信息的名牌)；进一步，飞行器id 340可以手动输入到icd 340(经由键盘、触摸屏界面、
语音命令或类似物)。该方法进行到步骤435。
[0077]
验证飞行器以接收更新的数据：在步骤435中，并且在本系统和方法的一个实施例中，icd 305将飞行器100的飞行器识别码340与授权飞行器列表(aal)345进行比较。icd 305确定飞行器100是否被授权接收更新的飞行器数据库330.2。
[0078]
在本系统和方法的可选实施例中，飞行器435的验证由飞行器机长、副驾驶或维修人员手动执行。飞行器机长/维修人员将飞行器id与授权飞行器列表进行比较(该列表可以存储在icd 305上，或者可选地存储在另一个便携式计算设备上，或者甚至存储在打印、随身携带的列表上)。如果当前飞行器100由飞行器机长/维修人员手动确认，则同一个人可以启动步骤440(紧接在下面)的上传。
[0079]
数据库上传：如果在步骤435中确定飞行器100被授权接收更新的数据库330.2，则在步骤440中icd 305上传更新的数据库330.2以供飞行管理系统302存储。从而将最近的数据库330.1的副本330.3存储在飞行管理系统302中。上传步骤440还可能需要各种数据验证和完整性检查以确保数据库被正确更新。步骤440然后继续步骤445。
[0080]
在步骤445中，icd 305在存储的内部更新日志350、更新记录350或更新数据库350中记录更新事件，以识别飞行器的导航数据库330针对由尾号340识别的特定飞行器100进行了更新。
[0081]
步骤445可以继续步骤450。
[0082]
步骤450可以在步骤445之后立即发生。在可选实施例中，步骤450可以在显著晚于步骤445的某个时间发生，在icd 305不再与飞行管理系统302连接或通信联接时(甚至可能不再物理上接近于飞行器100)。在本系统和方法的一些实施例中，步骤450可以仅在多个不同飞行器100已经接收到navdb 330的更新之后发生。
[0083]
在步骤450中，icd 305与许可服务器320的建立通信链接，然后向许可服务器320发送消息或上传数据文件，指示针对特定飞行器100更新了飞行器数据库330
[0084]
非授权飞行器：返回到方法步骤435，如果确定飞行器尾部编号340不匹配aal列表345的任何尾部编号340.n，则该方法进行到步骤437。步骤437可以根据数据库供应商的各种策略选择在不同实施例中变化：
[0085]
(i)在一个实施例中，中间通信设备icd 305不更新飞行管理系统302上的数据库330。
[0086]
(ii)在一个可选实施例中，icd 305可以继续将更新的数据库330上传到飞行器100；但是icd 305可以在更新日志350中记录未经授权的飞行器已经用数据库330更新。在这样的实施例中，出于飞行安全的原因提供更新的数据库330，使得飞行器确实具有最新的数据库330；但与此同时，许可服务器320(并经由许可服务器，数据库供应商)被通知未授权飞行器接收到更新数据330。
[0087]
(iii)加密上传：在另一个可选实施例中，icd 305可以继续将更新数据库330的加密版本上传到飞行器100。通过这种方式，飞行器现在具有更新数据库330的副本；但是在收到(从供应商)解密密钥之前，控制航空公司可能首先需要与数据库供应商解决付款或许可问题。
[0088]
(iv)在可选实施例中，该方法可以采用各种算法或参数来确定未经授权的飞行器100是否应该接收更新的数据库330。例如，该方法可以确定飞行器100本身与已更新的其他
飞行器100属于不同类型(不同设计或类型的飞行器)，在这种情况下，该方法可以指示不更新数据库330。(例如，飞行器技术人员可能试图向飞行器100提供更新的数据库330，意在接收完全不同版本的数据库。也可能是维修技术人员从航空公司收到了一份用于维修的飞行器列表，并且该列表错误地将某些飞行器识别为更新的目标。)
[0089]
可选地，该方法可以确定该飞行器与已经接收到更新的其他飞行器具有非常不同的类型，例如暗示该飞行器被航空公司错误地识别为需要更新，而实际上该飞行器不需要更新或需要不同范围的其他可选数据库。在后一种情况下，可以确定不更新数据库。
[0090]
(v)在可选或补充实施例中，如果icd 305确定飞行器未被授权接收数据库更新(330)，icd可以采取至少两个动作：(1)将更新的navdb 330上传到fms 302；以及(ii)经由云315与金融或银行系统通信，以向拥有飞行器100的航空公司的储备基金或储备金融账户收取金融费用。该金融费用旨在支付上传的费用。(根据与数据库供应商签订的一般许可协议，航空公司通常可以选择在稍后日期审查并可能质疑收费。)
[0091]
一般而言，存在本系统和方法的实施例，其中navdb 330将始终加载到fms 302，但是navdb 330可以被锁定直到其被授权。这样navdb 302基本上是“在舱面上(on deck)”，只需要快速检查许可。在不同的实施例中，这种“在舱面上”方法的详细步骤可以不同。
[0092]
个人技能和相关领域的相关领域技术人员将理解的是，可以采取各种附加步骤，或采用可选步骤，并且这里列出的步骤仅是示例性的。例如，除了上传更新的navdb 330之外，icd 305还可用于向飞行器100上传和/或从飞行器100下载其他数据，或执行与飞行器100相关的其他状态或通信检查。
[0093]
由于(a)多架飞行器和/或(b)airic循环而导致的重复、连续更新。相关领域的技术人员会理解以下几点：
[0094]
(a)步骤425到445可以重复，并且实际上很可能重复多次，每架飞行器一次，这需要更新飞行器数据库330。因此，这里描述的方法可以参与根据步骤410至420，从许可服务器320进行飞行器数据库330的单一更新或下载；然后通过步骤445进行多轮步骤，以获得更新多个飞行器100。在该过程结束时，可以执行步骤450以向许可服务器320识别多个飞行器100已经更新。通过这种方式，许可服务器320获得必要的信息来具体地识别哪些飞行器100已经接收到更新的数据库330，从而能够对服务进行合适的审计和计费。
[0095]
(b)在步骤440/445(和/或步骤s 437)之间可能存在大量延迟时间——可能是几天或者甚至几周，这需要从icd 305到fms 302的数据库上传；以及步骤450，其将更新日志从icd 305传输到远程服务器320。该方法仅以步骤450的执行结束。在整个方法400的第一次执行结束时，步骤450因此可以与该方法的第二次执行启动(从步骤410开始)同时发生。
[0096]
即，当icd 305再次与许可服务器通信以根据上述步骤410获得另一数据库更新时，可以通过相同数据连接同时执行前一轮更新的步骤450。再次重申：当方法400在步骤410中获得授权飞行器345的列表和更新的数据库330.1时，该方法也可以同时执行步骤450以向许可服务器320提供用于前一轮的更新确认和验证数据。
[0097]
上传后核实/验证
[0098]
在本系统和方法的一些实施例中，如本文上文已经描述的，icd 305可以从许可服务器320获得授权飞行器列表(aal)345；并且当idc 305与飞行管理系统(fms)302在本地通信联接时，icd 305验证(或尝试验证)飞行器100适合上传的数据库330。
[0099]
在可选实施例中，icd 305可能没有用于授权飞行器345的列表的本地存储。相反，icd 305可以由飞行器机长(使用eft 305.1)携带到飞行器100并连接到飞行器100，机长简单地将navdb 330从icd 305上传到fms 302；或者icd 305可以是维护人员携带到多架飞行器100的维护平板电脑305.2，例如根据航空公司提供的列表。在后一种情况下，维护人员再次简单地将icd 305连接到fms 302，并上传更新的navdb 330，而不涉及任何验证。(这样的实施例跳过上面示例性方法400的方法步骤417和435。)
[0100]
然而，在这样的实施例中，icd 305仍然从飞行器100获得飞行器识别码340(根据示例性方法400的步骤430)。在稍后的某个时间(并且按照步骤450)，icd 305仍然与数据供应商许可服务器(dvl服务器)320连接，并且将传输日志350或传输记录350上传到dvl服务器320，指示修改后的navdb 330上传到飞行器。dvl服务器320或相关联的服务器和业务系统然后可以确定修改后的navdb 330是否已上传到一架或多架未经授权的飞行器100。根据这样的确定，适当的处理和业务程序由dvl服务器(或相关联的业务/财务系统)启动，以协调航空公司和飞行器供应商之间的财务和/或许可差异。
[0101]
数据库加密(锁定)
[0102]
上面已经对数据加密进行了参考。出于本文的目的，加密navdb 330实际上等同于“锁定”数据库，从而虽然其可以被存储在fms 302上但不能够被访问。如上所述，在一些实施例中，可以加密存储在icd 305上的navdb更新330.2的副本。加密可以用于保护数据库330免于数字盗窃(由于黑客攻击，或者由于故意不正确地分配给有权访问icd 305的人员)。在将navdb更新330传输到fms 302期间或之后，加密可以从数据库330.3中移除，因为其被复制到fms 302。
[0103]
在上述已经讨论的实施例中，如果飞行器100未被授权接收更新，icd 305仍然可以继续将修改后的navdb 330上传到飞行器100；但是navdb 300.3具有内置的或相关联的软件元件以在指定的宽限期之后自加密或以其他方式阻止对数据库330的访问(再次锁定数据库330)。在这种情况下，延迟认证或数据库验证和/或加密/解密可以由飞行器的fms302或飞行器接口设备225上的常设加密/解密应用程序执行，因此延迟验证不需要icd 305的存在。
[0104]
在各种实施例中，可以根据本领域公知的方法采用不同类型和等级的认证方案以及加密/解密方案。例如，除了尾号/飞行器id 340(通常是公知的或可获得的)之外，每架飞行器100可以具有其自己唯一的私人飞行器标识和/或飞行器密码。
[0105]
可以采用非对称加密方法，其中飞行器100和icd 305各自存储公钥或私钥(根据所采用的加密方法的细节)。这可确保符指过程不受航空公司的篡改，同时仍允许在不访问互联网的情况下进行本地或私人身份验证。本地验证也可以通过本地连接多个icd 305(efb 305.1和/或维护平板电脑305.2)的本地虚拟网络(vnet)来促进。(图中未示出vnet。)在此类部署中，在航空环境中，飞行器aid 225用作到icd 305和/或vnet的网关。icd可以存储'b'密钥的缓存版本(最初从数据库供应商许可服务器320获得)，而每架飞行器100可以在aid225或其他程序系统存储其自己的'a'密钥。
[0106]
进一步的实施例
[0107]
虽然本系统和方法已经在导航数据库(navdb)330的上下文中在本文中被公开，但是相同的方法可以应用于其他飞行器数据库330，这些飞行器数据库330可以包含数据或以
其他方式与第三方资源或组织有关，或在一定程度的授权或控制下与第三方资源或组织有关。例如，各种性能数据库，例如与飞行器阻力、推力或燃料流有关的那些，可以通过这里描述的方法上传和/或下载，而不需要直接的互联网连接。
[0108]
然后，本系统和方法可用于更一般地跟踪哪个数据库在哪个飞行器上运行。fms安装的软件应用程序和/或数据库330可以通过各种选项代码进行控制，这些选项代码根据这里公开的方法通过icd 305更新，确保飞行器使用它们被许可的特征或数据。
[0109]
结论
[0110]
本公开涉及采用icd 305的系统和方法，，以确保来自远程服务器320的正确且经许可的第三方数据330经由与云访问服务器的交叉检查被传输到正确的飞行器，即使飞行器100在数据下载或上传时可能未与云/互联网315连接。本公开的系统和方法同样提供针对多架飞行器的数据分配的便利、可靠的审计/计费。
[0111]
在上文中，在各种实施例中，呈现的是旨在实现这些目标的示例性系统和方法。在所附权利要求的范围内，不同实施例的元件可以在本文未具体列举的各种实施例中组合，并且在一些情况下可以省略一些元件。本领域技术人员可以做出仍将被本公开涵盖的可选实施例、示例和修改，尤其是根据前述教导。此外，应当理解的是，用于描述本公开的术语旨在具有描述词的性质而不是限制性的。
[0112]
本领域技术人员还将理解，可以在不脱离本公开的范围和精神的情况下配置上述优选和可选实施例的各种变型和修改。因此，应当理解的是，在所附权利要求的范围内，本公开内容可以不同于本文具体描述的方式来实践。
[0113]
本发明的进一步方面通过以下条项的主题提供：
[0114]
1.一种方法，方法包括：在手持便携式中间通信设备(icd)处，从远程数据库服务器接收要储存在icd的非易失性储存器中的飞行数据库；在icd和飞行运输工具之间建立本地通信联接；在icd处，从飞行运输工具的飞行管理系统(fms)获取飞行运输工具的识别码；以及其中，当飞行运输工具未与数据库服务器通信联接时，icd被配置为：(i)上传飞行数据库以储存在飞行管理系统中，以及(ii)支持根据识别码确定飞行运输工具是否被授权接收飞行数据库的上传。
[0115]
2.根据任何在前条项的方法，进一步包括：在确定飞行运输工具被授权接收上传之后，从icd将飞行数据库上传到fms。
[0116]
3.根据任何在前条项的方法，进一步包括：在icd的更新日志中记录与识别码相关联的飞行器接收上传的指示。
[0117]
4.根据任何在前条项的方法，进一步包括：从icd向远程数据库服务器上传与识别码相关联的飞行器接收上传的指示。
[0118]
5.根据任何在前条项的方法，进一步包括：在icd的非易失性储存器中储存飞行数据库的锁定版本。
[0119]
6.根据任何在前条项的方法，进一步包括：在icd确定飞行运输工具被授权接收上传后，将飞行数据库的解锁版本储存在fms中。
[0120]
7.根据任何在前条项的方法，进一步包括：由icd确定飞行运输工具未被授权接收上传之后，(i)在fms中储存飞行数据库的解锁版本，(ii)在icd的更新日志中记录与识别码相关联的飞行器未被授权接收更新的指示；以及(iii)在icd的更新日志中记录飞行器接收
到更新的解锁版本的指示。
[0121]
8.根据任何在前条项的方法，进一步包括：在指定的宽限期过期之后，经由icd配置fms以锁定未经授权的飞行数据库。
[0122]
9.根据任何在前条项的方法，进一步包括：在icd确定飞行运输工具未被授权接收上传之后，将飞行数据库的锁定版本储存在fms中。
[0123]
10.一种储存指令的计算机可读、非瞬态性储存介质，指令当由中间通信设备(icd)的硬件处理器执行时，使中间通信设备执行一种方法，方法包括：从远程数据库服务器接收要储存在icd的非易失性存储器中的飞行数据库；在icd和飞行运输工具之间建立本地通信联接；以及在icd处，从飞行运输工具的飞行管理系统(fms)获取飞行运输工具的识别码；其中，当飞行运输工具未与数据库服务器通信联接时，icd被配置为：(i)将飞行数据库上传至飞行管理系统，以及(ii)支持根据识别码确定飞行运输工具是否被授权接收飞行数据库的上传。
[0124]
11.根据任何在前条项的计算机可读、非瞬态性储存介质，方法进一步包括：在确定飞行运输工具被授权接收上传之后，从icd将飞行数据库上传到fms。
[0125]
12.根据任何在前条项的计算机可读、非瞬态性储存介质，方法进一步包括：在icd的更新日志中记录与识别码相关联的飞行器接收上传的指示；以及从icd向远程数据库服务器上传与识别码相关联的飞行器接收上传的指示。
[0126]
13.根据任何在前条项的计算机可读、非瞬态性储存介质，方法进一步包括在icd的非易失性储存器中储存飞行数据库的锁定版本。
[0127]
14.根据任何在前条项的计算机可读、非瞬态性储存介质，方法进一步包括：在icd确定飞行运输工具被授权接收上传后，将飞行数据库的解锁版本储存在fms中。
[0128]
15.根据任何在前条项的计算机可读、非瞬态性储存介质，方法进一步包括：由icd确定飞行运输工具未被授权接收上传之后：(i)在fms中储存飞行数据库的解锁版本；(ii)在icd的更新日志中记录与识别码相关联的飞行器未被授权接收更新的指示；以及(iii)在icd的更新日志中记录飞行器接收到更新的解锁版本的指示。
[0129]
16.根据任何在前条项的方法，进一步包括：在指定的宽限期过期之后，经由icd配置fms以锁定未经授权的飞行数据库。
[0130]
17.根据任何在前条项的方法，进一步包括：在icd确定飞行运输工具未被授权接收上传之后，将飞行数据库的锁定版本储存在fms中。
[0131]
18.一种手持便携式中间通信设备(icd)，设备包括硬件处理器、配置用于与其他处理设备进行数字通信的控制电路以及储存器，其中，储存器储存指令，指令将处理器配置为：从远程数据库服务器接收要存储在icd的非易失性存储器中的飞行数据库；在icd和飞行运输工具之间建立本地通信联接；以及在icd处，从飞行运输工具的飞行管理系统(fms)获取飞行运输工具的识别码；其中，当飞行运输工具未与数据库服务器通信联接时，icd被配置为：(i)将飞行数据库上传到飞行管理系统中，以及(ii)支持根据识别码确定飞行运输工具是否被授权接收飞行数据库的上传。