专利名称:检测侵入飞行器和地面站之间的通信链接的企图的方法及系统的制作方法
技术领域:
本发明涉及一种检测侵入飞行器和地面站之间的通信的安全链 接的企图的方法,以及一种包括使该方法得以实施的设备的飞行器。本发明同样涉及一种检测侵入飞行器和地面站之间的通信的安全链 接的企图的设备及一种包括这样设备的飞行器。
背景技术:
现代飞行器,尤其是民用航空飞机,都与地面站,特别是那些能 实施空中控制或者能与运营这些飞机的航空公司对话的地面站交换 信息。交换的信息尤其与天气预报、飞行器的维护、空中控制授权等有关。这些信息的交换通常借助于符合ACARS (飞机通信寻址报告 系统)或ATN (航空电信网)标准的数字数据链接来实现。在开始通 信会话后,飞行器和地面站交换包括上述信息的消息。这些相关数据 链接通常都是无线电通信或卫星链接类型的。因此,这些数据有可能 被不法分子截取不法分子可尝试对飞行器或地面站发送的消息进行 解码,然后发送被认为是来自某个飞行器或地面站的伪消息。为了保 护上述通信链接不受不法分子的破坏,这些链接可以被安全化这样, 就可以规定对消息的发送者的验证或者是对消息的加密。但是,不法 分子可能会尝试摒除这些安全技术,继续传输大量的虚假消息直到其 中的某一个偶然被一个飞行器或地面站接收。 一个飞行器或地面站接 收虚假消息的风险远比收到的虚假消息的数目要小的多。因此,为了 使接收不法分子传输的消息的风险降到最低,检测侵入这样的通信链 接的企图就变得很重要,以便能够向飞行器的飞行员以及(航空公司 或航空控制)地面站的工作人员指出该企图,这些人员应该采取适当
的警觉措施。发明内容这些问题由根据本发明的检测侵入飞行器和地面站之间的通信 链接的企图的方法至少部分地解决了。值得注意的是在该方法中通信可以根据多个安全等级被配置,该方法包括以下步骤a) 当与所述链接关联的接收装置接收到一个消息时,分析所述 消息以确定对应于所述消息的安全等级;b) 比较对应于所述接收到的消息的所述安全等级和与所述通信 相关的安全等级;c) 如果在步骤b)比较的安全等级不同,进行关于拒绝所述接 收到的消息和指示有入侵企图的行动。这样,当在飞行器和地面站之间其上已经事先建立通信会话的通 信链接上交换消息时, 一方面人们检测安全等级与期望不符的接收到 的消息,另一方面接受或拒绝上述接收到的消息,并指出那些被假定 入侵上述链接的企图。根据本发明的方法因此能表现出其能够拒绝不 法分子传输的消息以及指出相应的侵入企图的优越性,这样,人工操 作者(飞行员,航空监控工作人员或者航空公司,等等)就能采取适 当的预防措施。在最佳实施方式中,在步骤c),上述与拒绝接收到的消息和指 出有侵入企图相关的行动从下组中选择Al)拒绝接收到的消息并且指示有入侵企图;或者 A2)拒绝接收到的消息;或者 A3)接受接收到的消息。按有益的方式,当在步骤c)中拒绝接收到的消息时,在上述通 信的链接上发送告知前面被拒绝的接收到的消息的发送者的消息。这 表现了这样一个优点当接收到的消息来自得到授权的发送者,但是 安全等级不适宜的时候,这个发送者会被告知其上述消息^L拒绝。有利的是,在步骤c)中,还检验与上述链接相关的通信状态值,
并会根据上述的通信状态值进行关于拒绝接收到的消息和指出侵入 企图的行动。这个通信状态尤其可以与通信链接相关的安全等级的《稳定》或《变化中》状态相对应。在这种情况下,当通信状态与《稳 定》相对应时,拒绝接收到的消息并指出有侵入企图。当通信状态与《变化中》相对应时,拒绝接收到的消息但不指出有侵入企图,因为 该消息有可能是获得授权的发送者(飞行器或地面站)在考虑安全等 级的变化之前发送的。还是按有益方式,在步骤b)中,与该通信相关的安全等级对应 于通信管理装置预先选择的安全等级。尤其,这个安全等级可以由人 类操作者(飞行员,等等)根据情况选择。如果操作员被根据本发明 的方法通知有侵入企图,他还可以选择提高安全等级。 一般,为了改 变通信链接的安全等级,这些(飞行器或地面站的)通信管理装置向 位于该链接的另一端(分别为地面站或飞行器)的通信管理装置发送 请求以便另一端为该链接选择同样的安全等级。在最佳实施方式中,如果步骤b)中比较的安全等级不同,就在 上述的通信链接上发送消息,要求发送上述接收到的消息的发送者改 变通信的安全等级到与该通信管理装置预先选择的安全等级相同的 安全等级。这样,就表现了它的一个优点当接收到的消息来自得到 授权的发送者但是却没有相对应的安全等级的时候,就可以自动地重 新使对应于这些飞行器和地面站的安全等级同步。随后的消息就可以 以恰当的安全等级进行传输。在本发明的实施的一种特别模式下,通信的安全等级# 据传输的 消息的类型而定。这就保证了使安全等级适合消息的重要性和危急 性,只有当消息很重要时,发送时才采取更高的安全等级(更高的安 全等级的耗费比低的等级高出很多)。有利的是,当在步骤c)中执行行动A1时,还将一个计数器增 量。这样就能计算上述通信链接上的侵入企图。这个计数器尤其可以 在维护和统计时纟皮查询。在本发明的实施的另一种特别方式下,当在步骤c)中执行行动
A2)时,还对一个周期性归零的计数器进行增量,并且当所述计数器 的值超过预定阈值时指示有入侵企图。这样就保证了,当在一个预定 时段中接收到足够数目的安全级别不适当的消息但是该消息的单独 的接收却不会被认为是侵入企图时,对这样的情况进行检测。还是按有益方式,在步骤c)中,根据所述通信的状态值分别对 应于稳定安全等级或变化中的安全等级来实施行动Al)或A2)。这 样,当接收到的消息的安全等级不恰当时,尽管通信链接的安全等级 被看作是稳定的状态,既然此消息的发送者被看作以恰当的安全等级 传输消息这就涉嫌入侵的企图。相反,当与该通信链接相关的安全等 级就被看作是变化中的状态时,就不涉嫌入侵的企图。因为,在这种 情况下,消息的发送者有可能没有意识到与通信链接关联的安全等级 的变化。本发明还涉及一个监视飞行器和地面站之间的通信链接的通信 的设备,包括通信链接上的消息的发送/接收装置;与所述发送/接收装置相连的通信管理装置;该设备的特征在于所述通信可被根据多个安全等级配置,它还包 括通信监视装置,该通信监视装置包括用于分析所述发送/接收装置接收到的消息以确定对应于所述消 息的安全等级的第一装置;用于比较对应于所述接收到的消息的所述安全等级和与所述通 信相关的安全等级并提供所述比较的结果的第二装置;根据所述第二装置提供的比较结果确定与所述接收到的消息相 关的行动的第三装置。有利的是,第三装置可以用来检验与该链接相关的通信状态值, 而且可以根据通信状态值确定与接收到的消息相关的行动。有利的是,上述通信管理装置包括上述通信监视装置。有利的是,通信管理装置还包括适用于管理与该链接相关的通信 状态值的装置。
上述的消息发送/接收的装置,根据人们希望飞行器或地面站检 测对接收消息的入侵企图的意愿,被安装在飞行器上或者地面站中。 按有益的方式,整个本发明设备将分别安装在飞行器或地面站上。如前面提及的,本发明还涉及一种包括监视飞行器和地面站之间 的通信的设备的飞行器。
通过阅读下面的描述和附图,将能更好地理解本发明。图1是根据本发明的监视飞行器和地面站之间的通信的设备的简图。
具体实施方式
为了更清楚的描述,下面的例子是试图检测对飞行器接收到的消 息的入侵企图的情况。当然,这应解释为非限制性的,本发明的方法 可应用于与检测对地面站接收到的消息的入侵企图相似的方式。本发明的设备l在图1中图示。设备1安装在飞行器尤其是民航飞机上,借助于通信链接12,尤其是根据关于不法分子入侵该链接的 风险的多个安全等级配置的数字化数据链接,与地面站通信。该设备用于监视通信链接12上的通信以探测不法分子对该链接 12的入侵企图。为此,本发明的设备l包括飞行器和地面站之间的通信链接12上的消息的发送/接收装置 10,例如安装在飞行器上的通用通信装置(VHF, HF无线电通信装 置,卫星通信装置,等等)通过链接30与发送/接收装置10连接的通信管理装置14。这些 通信管理装置可以是管理飞行器通信的计算机的一部分,例如ATSU 类型的计算机;通信监视装置16,包括第一装置22,用来分析发送/接收装置IO接收到的消息以确定与 这个消息关联的安全等级;
第二装置24,用来比较与这个接收到的消息关联的安全等级和与该通信关联的一个安全等级并提供比较结果;第三装置26,用来检验与链接12关联的通信状态值,并一方面 根据第二装置24提供的比较结果另一方面根据上述通信状态值确定 与该接收到的消息关联的行动按有益的方式,通信管理装置14包括路由器18,它通过链接30 从发送/接收装置10接收通信链接12的接收到的消息,并通过链接组 34将每个消息传输到至少一个目标应用Al, A2, ...An。每个上述的 应用可以是安装在飞行器的计算机上的计算机应用程序。相互地,路 由器收集来自上述应用的通过链接组34的消息并将其通过链接30传 输到发送/接收装置10,它通过通信链接12发送这些消息。还是按有益的方式,如图l所示,通信监视装置16集成在通信 管理装置14中。它们通过链接32与路由器18连接。通信管理装置14还包括用于管理与通信链接12相关的通信状态 的装置28。装置28尤其可集成在通信监视装置16中。这些装置28 可对应于具有至少2种状态的状态机第一状态对应于稳定的通信安 全等级,第二状态对应于变化中的通信安全等级。该第二状态尤其对 应于飞行器的通信管理装置14传输了通往地面站的请求消息以改变 通信的安全等级(例如应飞行器飞行员的要求)的情况,并且在这种 情况下飞行器的通信管理装置14还没有从地面站接收到关于接受改 变等级的决定。第一种情况,对它来说,尤其对应于飞行器的通信管 理装置14在传输了通往地面站的请求消息以改变通信的安全等级(例 如应飞行器飞行员的要求)后接收到了地面站接受改变等级的决定的 情况。它还对应于飞行器的通信管理装置14接收了来自地面站的改 变通信的安全等级的请求并向地面站传输接受这个请求的消息的情 况。当通信管理装置14是ATUS类型计算机的一部分时,通信监视 装置16被集成入通信管理装置14,而且用来管理通信状态的第一装 置22、第二装置24、第三装置26以及装置28以ATUS计算机的软
件功能形式实现。通信安全等级尤其可以在以下的等级组或该等级组的分等级组中选择对于不法分子的攻击的危险缺乏通信安全; 验证消息发送者,例如使用验证钥; 对数据链接12上传输的消息进行加密,例如使用密码钥; 验证消息发送者和对数据链接12上传输的消息进行加密。 在实施本发明的有益方式下,通信可以根据如下进行配置 第一等级,对应于面对不法分子的攻击的危险缺乏通信安全; 第二安全等级,对应于验证消息发送者; 第三安全等级,对应于验证消息发送者以及对数据链接12上传 输的消息进行加密。当发送/接收装置IO接收到通信链接12的消息时,通过链接30 将其传输至通信管理装置14,在这里由路由器18接收。路由器18通 过链接32将其传输至集成在通信监视装置16中的第一装置22。第一 装置22分析该消息以确定与该消息相关的安全等级。这个安全等级 通过链接36传输至第二装置24。第二装置将这个安全等级和与该通 信相关联的一个安全等级进行比较,该与通信相关联的安全等级可尤 其对应于通信管理装置14预选和存储的安全等级。尤其,这个安全 等级可以根据飞行员或地面站的要求预先确定以改变与该通信相关 联的安全等级。与接收到的消息对应的安全等级和与该通信关联的安 全等级之间的比较结果由第二装置24通过链接38传输至第三装置 26。在比较的安全等级相同的情况下,第三装置26通过链接32向路 由器送回接受该消息的信息,因为,在这种情况下,它们没有检测到 对通信链接12的入侵企图。路由器然后通过链接组34将这个消息传 输给目标应用。在比较的安全等级不同的情况下,第三装置26通过链接32向路 由器送回拒绝该消息的信息。因此,路由器不将这个消息传输给目标
应用。更为便利的是,通信管理装置14通过链接30、发送/接收装置 10和通信链接12为中介将消息传输给地面站以通知地面站拒绝上迷 消息。通信管理装置14还向地面站传输要求其改变在地面站中预选 的安全等级以使其与飞行器的通信管理装置14中预选的安全等级相 同的消息。这样,如果接收(和拒绝)的消息来自地面站,地面站就 可以用合适的安全等级送回它。另外,第三装置26检验与通信链接 12相关的通信的状态值。第三装置26通过链接40接收装置28的通 信状态。这个通信状态至少对应于上述第一或第二状态。当它对应于 第一状态时(稳定通信的安全等级),意味着对通信链接12有入侵 企图。因为在接收这个消息前,通信根据其安全等级是稳定建立的。 因此,第三装置26指示有入侵企图。入侵企图可以通知给例如FWC(Fight Warning Computer)类型的飞行器的警报管理计算机(图1 没有显示)或DCDU(Digital Communications Display Unit)类型的装 置或与链接12关联的并能显示关于入侵企图的信息的MCDU(Multifunction Control Display unit)装置。当通信状态对应于第二 状态时(变化中的通信安全等级),意味着没有对通信链接12的入 侵企图,因为在接收该消息前,通信的安全等级就是变化的因此, 即使不确定,该接收到的消息也可能来自地面站。在这种情况下,第 三装置26就指示有出入侵企图了 。在本发明的特别实施方式中,当第二装置24比较的安全等级不 同时,如果对应于接收到的消息的安全等级对应于第二等级(验证消 息发送者)并且通信对应于第三安全等级(验证消息发送者以及消息 加密),第三装置26通过链接32向路由器传输接受该消息的信息。 路由器通过链接32将消息传输至目标应用。事实上,这种情况中没 有对通信链接12的入侵企图,因为消息以验证消息发送者被接收 如果发送者就是地面站则该消息就不是来自企图对通信链接12进行 入侵的不法分子。根据本发明的第一个变型,在飞行器和地面站之间的通信链接 12中往返的消息的安全等级都是相同的。
根据另 一个变型,当通信链接中通信的消息根据不同消息类型分 类时,安全等级根据消息类型而不同。这就体现了能够根据消息的重 要性和危急性调整安全等级的优越性。这样,只有当消息很重要时才 会以更高的安全等级传输(例如第三等级)。这就降低了飞行器运营 的成本,其中消息传输的成本根据消息的安全等级增加。例如,第一种命名为ATC类型的消息对应于飞行器和空中控制之间交换的消息, 第二种命名为AOC的消息对应于飞行器和运营这个飞行器的航空公 司之间交换的消息。按有益的方式,当第三装置26指示有入侵企图时,就对通信监 视装置16中的计数器(图1没有显示)进行增量。该计数器当对飞 行器进行维护时能够被读取以用于统计数据。在特别的实现方式下, 通信监视装置16包括几个计数器,在有入侵企图时,根据对应于接 收到的消息的安全等级、该通信的安全等级和与该通信链接12相关 的通信状态对从其中选择的一个计数器进行增量。在本发明的一个变 型中,通信的安全等级根据消息类型确定,可以和每一类消息关联一 个计数器。在这种情况下,当第三装置26指示有入侵企图时,对与 接收到的消息对应的消息类型关联的计数器进行增量。在本发明的特别实现方式下,当第三装置26向路由器18发送拒 绝接收到的消息的信息而没有指示有入侵企图时,还对通信监视装置 16中的另外一个计数器(图1没有显示)进行增量。这种情况尤其对 应于当对应于接收到的消息的安全等级和该通信的安全等级不同的 情况以及该通信对应于的安全等级在变化的情况。独立于消息的接 收,计算机定期复位为零。如果超过了预定值,第三装置26指示有 入侵企图。事实上,当通信链接12的安全等级变化时,当接收到有 限的安全等级不恰当的消息时,可以认为没有入侵企图,但是当数目 上升时,尤其是超过一预定值时,就不能这样认为了。
权利要求
1. 一种检测入侵飞行器和地面站之间的通信链接(12)的企图的方法,其特征在于所述通信能够根据多个安全等级进行配置,所述方法包括以下步骤a)当与所述链接(12)关联的接收装置(10)接收到一个消息时,分析所述消息以确定对应于所述消息的安全等级;b)比较对应于所述接收到的消息的所述安全等级和与所述通信相关的安全等级;c)如果在步骤b)比较的安全等级不同,进行关于拒绝所述接收到的消息和指示有入侵企图的行动。
2. 根据权利要求1的方法,其特征在于所述关于拒绝所述接收 到的消息和指示有入侵企图的行动在下组中选择Al)拒绝所述接收到的消息并且指示有入侵企图;或者 A2)拒绝所述接收到的消息;或者 A3)接受所述接收到的消息。
3. 根据权利要求1或2的方法,其特征在于当在步骤c)中拒 绝所述接收到的消息时,在所述通信链接(12)上发送消息告知已被 拒绝的所述接收到的消息的发送者。
4. 根据上述任一项权利要求的方法,其特征在于在步骤c)中 还检验与所述链接相关的通信的状态值,并根据所述通信状态值进行 所述关于拒绝所述接收到的消息和指示有入侵企图的行动。
5. 根据上述任一项权利要求的方法,其特征在于在步骤b)中, 与所述通信相关的安全等级对应于所述通信管理装置(14)中预选的 安全等级。
6. 根据权利要求5的方法,其特征在于如果步骤b)中比较的 安全等级不同,在所述通信链接(12)上发送消息,要求所述接收到 的消息的发送者改变所述通信的安全等级到与所述通信管理装置(14)中预选的安全等级相同的安全等级。
7. 根据上述任一项权利要求的方法,其特征在于所述通信的安 全等级随着传输的消息的类型变化。
8. 根据权利要求2至7中任一项的方法,其特征在于当在步骤 c)中执行行动A1)时,还对一个计数器进行增量。
9. 根据权利要求2至8中任一项的方法,其特征在于当在步骤 c)中执行行动A2)时,还对一个周期性归零的计数器进行增量,并 且当所述计数器的值超过预定阔值时指示有入侵企图。
10. 根据上述任一项权利要求的方法,其特征在于所述通信能够 根据以下被配置第一等级,对应于面对不法分子的攻击的危险时缺乏所述通信的安全;第二安全等级,对应于验证消息发送者; 第三安全等级,对应于验证消息发送者以及对所述数据链接(12)上传输的消息进行加密。
11. 根据权利要求10和权利要求2至9中任一项的结合的方法, 其特征在于在步骤c)中,当所述接收到的消息的安全等级对应于第 二安全等级并且与所述通信相关的安全等级对应于第三安全等级时, 实施行动A3 )。
12. 根据权利要求4和权利要求2至10中任一项的结合的方法, 其特征在于在步骤c)中,根据所述通信的状态值分别对应于稳定安 全等级或变化中的安全等级来实施行动Al)或A2)。
13. —种用于监视飞行器和地面站之间的通信链接(12)上的通 信的监视设备,包括通信链接(12)上的消息的发送/接收装置(10);与所述发送/接收装置(10)相连的通信管理装置(14);其特征在于所述通信被根据多个安全等级配置,所述监视设备还 包括通信监视装置(16 ),所述通信监视装置(16 )包括用于分析所述发送/接收装置(10)接收到的消息以确定对应于 所述消息的安全等级的第一装置(22); 用于比较对应于所述接收到的消息的所述安全等级和与所述通信相关的安全等级并提供所述比较的结果的第二装置(24);根据所迷第二装置(24 )提供的比较结果确定与所述接收到的消 息相关的行动的第三装置(26)。
14. 根据权利要求13的设备,其特征在于所述第三装置(26) 还用于检验与所述链接(12)相关的通信状态值,并根据所述通信状 态值确定与所述接收到的消息相关的行动。
15. 根据权利要求13或14的设备,其特征在于所述通信管理装 置(14 )包括通信监视装置(16 )。
16. 根据权利要求13至15中任一项的设备,其特征在于所述通 信管理装置(14)还包括用于管理与所述链接(12)相关的所述通信 状态值的装置(28)。
17. 根据权利要求13至16中任一项的设备,其特征在于所述消 息发送/接收装置(10)安装在所述飞行器上。
18. 根据权利要求13至16中任一项的设备,其特征在于所述消 息发送/接收装置(10)安装在所述地面站中。
19. 一种飞行器,包括根据权利要求13至18中任一项的通信监 视设备(1)。
全文摘要
本发明涉及一种检测入侵飞行器和地面站之间的通信链接的企图的方法,所述通信能够根据不同的安全等级进行配置,所述方法包括以下步骤a)当与所述链接(12)关联的接收装置(10)接收到一个消息时,分析所述消息以确定对应于所述消息的安全等级;b)比较对应于所述接收到的消息的所述安全等级和与所述通信相关的安全等级;c)如果在步骤b比较的安全等级不同,进行关于拒绝所述接收到的消息和指示有入侵企图的行动。本发明还涉及实现该方法的设备。
文档编号H04W84/06GK101395951SQ200780007943
公开日2009年3月25日 申请日期2007年2月28日 优先权日2006年3月8日
发明者A·勒克莱尔 申请人:空中客车法国公司