专利名称:安全的文件传送方法
技术领域:
本发明涉及机载电信系统领域,尤其涉及在飞行器上的机载电 信系统领域。
背景技术:
最近, 一些航空公司为它们的乘客提供空中飞行电信服务,尤
为了这个目的,才几抢装备有以太网类型的有线网络或者WLAN网 络(IEEE 80Zllb/g),乘客可以以传统的方式登陆到这些网络中。 例如,在国际申请WO00/14987中可以找到这冲羊的通信系统的描述。
领航员、维护人员和飞行人员同样具有与机载网络相连的控制 终端。出于明显的安全原因,发现将网络划分为非安全区域和安全 区域是必要的,乘客可以进入非安全区域而不能进入安全区域。尤 其,安全区域包括位于驾驶舱和航空电子设备舱中的信息系统和控 制系统。通过传统的物理访问控制方法来<呆护安全区域。
一种严禁进入才几载网络的安全区域的简单且已知的方法是i殳 置安全区域和非安全区域之间的链路为单向链路。
图1示意性示出了被划分为安全区域A和非安全区域B的机 载网络100。《连^各110是由A到B的单向链^各,例如4吏用对应于/人 A到B通信方向的单一双绞线的以太网链路。尽管这样的系统有效地保证了区域A的安全性,然而它具有两个主要的缺点。首先,该
系统明确禁止/人区域B到区域A的任4可通信。而且,对于/人区i或A 到区域B的数据传送,目标设备不能向已发送该数据的设备返回响 应。这与大部分当前的通信协议不兼容并且剥夺了源设备对于正确 的传送程序的任意类型的保证。
本发明的目的是4是出一种,皮划分为安全区域和非安全区域的 机载电信系统,该系统在基本上不减小安全区域的保护的情况下, 才是供了在两个区域之间的双向通信的可能性。
发明内容
本发明由被划分为安全区域和非安全区域的机载电信系统限 定,该系统至少包括在安全区域中的第一电信设备单元、在非安全 区域中的第二电信设备单元、以及从第 一设备单元到第二设备单元 的第一单向链路,所述第一设备单元适用于根据第一协议在所述第 一4连i洛上传输数据。该系统包括从第二i殳备单元到第一i殳备单元的 根据第二协议的第二链路,第二协议的前两层区别于第 一协议的前 两层,所述第二设备单元适于在第二链路上将数据作为符合第一协 议的并且封装在符合第二协议的帧中的信息进行传输。
有利;也,第一f办+义的前两层是以太网层。例如,第一协i义的堆 栈是TFTP/UDP/IP/以太网。
才艮据第一实施例,第二协议的前两层是ARINC 429层。
才艮据第二实施例,第二协议的前两层是CAN层。
通过参考附图阅读本发明的优选实施例,本发明的其他特征和
优点将变得显而易见,其中
图1示意性示出了当前工艺水平中的已知才几载网络;
图2示意性示出了根据本发明的第一实施例的机载电信系统;
图3示出了在安全区域的设备单元和非安全区域的设备单元之 间的通4言十办i义;
图4示意性示出了根据本发明第二实施例的机载电信系统; 图5示意性示出了根据本发明第三实施例的机载电信系统; 图6示出了在遵守ARINC 429协议的链路上使用的帧。
具体实施例方式
本发明的第 一基本概念是提供遵守 一种协议(以下称为第二协 议)的、从非安全区域到安全区域的返回链路,该协议的前两层区 别于用于从安全区域到非安全区域的通信的协议(以下称为第一协 议)的前两层。
本发明的第二基本概念是对于数据传输使用简单健壮的 (robust)文件传输协i义并且该传输协议的所有控制信息来自安全 区域。
图2示意性示出了根据本发明的机载电信系统。LRU,和LRU2表示分别属于安全区域A和非安全区域B的通 信设备。对应于区域A和区域B的子网络是交换以太网网络和/或 共享以太网网络。例如,区域A的子网络可以是AFDX (4元空电子 i殳备的全双工通4言制交4奂以太网)网全备,可在网站www.ces.ch上可 得到的文献"CES Whit Paper on AFDX(关于AFDX的CES白皮书)" 中找到该网络的描述。区域A和区域B的以太网《连^各(诸如链^各 240和241 )可以是全只又工类型。另一方面,/人区i或A到区i或B的 每个以太网链3各(卞者如4连^各210)必须是单工类型。
才艮据本发明,从区域B到区域A的每个链路(诸如链路220 ) 遵守与链^各210的协议不同的协议,例如在4元空领域中经常使用的 ARINC 429协i义。ARINC 429协议将物理层以及《连3各层标准化。它 寸吏用一对双绞线并且为单向传输,此处选4奪为乂人B到A传输。
备选地,从区域B到区域A的链路遵照在汽车领域广泛使用 的CAN (控制区域网络)协议。CAN协议的物理层的某些特征以 及卡连^各层,皮标准化在ISO 11898-1标准中。这个协议才是供了在单一 对线(wire pair)上的半双工类型的传送。实际上,在本发明中, ^U吏用从区域B到区域A的传输。
图3示出了在才艮据本发明实施例的电信系统中实现的协议堆 栈。LRU,设备使用第一协议堆栈330以便在单向以太网链路310 上进行传输,并且使用第二协议堆栈350以便接收返回链路(此处 为符合ARINC 429协议的链路320)上的数据。对称地,LRU2设 备使用第一协议堆栈340以便接收以太网链路310上的数据,并且 使用第二协议堆栈360以便在链路320上传输数据。
有利;也,第 一十办i义堆才戋330和340由TFTP/UDP/IP/以太网组成。 应该记得,TFTP (—4殳的文件传丰俞协议)是由正TF标准化的文件传丰lr协i义。可以在www.ietf.org/rfc/rfc783 .txt的RFC 1350中找到该
协i义的详尽描述。
当LRU,设备想要向LRU2设备传输数据文件时,TFTP层通过 写入请求(WRQ)开启临时会话并且将文件分为若干个512字节的 块。所述块在与TFTP才良头(header)级联之后被传输到UDP传送 层。UDP层提供本领域技术人员已知的没有连接且没有错误重启的 信息级服务。之后,信息的IP数据报以常规的方式在以太网帧中传 输。接收之后,数据沿着协议堆栈340的另一个方向传送。对于接 收的每个TFTP信息,LRU2设备根据FRC 1350标准传输响应信息, 这个信息^皮封装在ARINC 429帧中,该帧由360示出并且将在下面 详细描述。ARJNC帧以常^见的方式在《连3各320上传llr并且在351 处将信息解包。因此,对于堆栈330和340的TFTP层, 一切犹如 在IP网络上通过全双工链路发生的传输。
当LRU2设备不得不向LRUj殳备传输数据文件时,通过读请 求(RRQ ), LRU!主动地开启临时会话。由堆栈340的TFTP层将 待传输的文件分为若千个512字节的块,并且该块与对应的TFTP 报头级联。因此获得的TFTP信息被封装在ARINC帧中,如在361 中所示的并且将在下面详细描述。ARINC帧以常规的方式在链^各 320上传输并且在351处解包。之后,LRUi "i殳备通过堆栈330和单 工以太网《连^各310传输响应信息。响应信息通过协i义堆栈340沿着 另 一个方向净皮^各由。同样地,对于堆栈330和340的TFTP层,一 切犹如在IP网络上通过全双工制链路发生的传输。
ARINC链路320和将第一协议的信息封装为第二协议的帧的 机制形成了对安全区域的访问屏障。非安全区域的LRU2设备被永久性地安装在飞行器中,例如作
为乘客终端可以连接于其上的代理服务器。在这种情况下,实现
TFTP信息封装的转换网关位于所述服务器中。
图4示意性示出了根据本发明第二实施例的机载电信系统。与 第一实施例不同,安全区域的多个设备单元LRU,, LRU3, LRU5 可以和非安全区域的设备单元LRU2进行通信。为了这个目的,多 点传送(multicast)类型月l务器的ARINC链^各420作为对相关i殳备 的返回通路。应该记得,不能将ARINC链路连接到一个发射器, 但是可以用于为20个接收器服务。
图5示意性示出了根据本发明第三实施例的机载电信系统。与 第一和第二实施例不同,安全区域的设备单元(诸如LRUJ可以 在这里和非安全区域的多个设备单元LRU2、 LRU4、 LRU6通信。为 了这个目的,LRIJ^设备具有多个ARINC 429接口。分别将设备单 元LRU2 、 LRU4 、 LRU6连才妄到所述4妻口的多个ARINC 4连;洛521 、 522、 523用作返回^各径。在该实施例中,有利地,可以4吏用CAN 总线代替ARINC链路,由于CAN总线可以被连接到多个发送设备。
对本领域纟支术人员清楚的是,有利地,第二和第三实施例可以 被组合为第四实施例以便使安全区域的多个设备单元能够与非安 全区域的多个设备单元通信。在这种情况下,多个多点传送类型的 ARINC《连^各用作到安全区域的i殳备单元的返回路径。才艮据变换的实 施例,CAN总线确保在非安全区域的设备单元和安全区域的设备单 元之间的返回功能。
上面考虑的实施例利用了在第二协议(例如ARINC 429)的帧 中封装TFTP信息的才几制。可以在网站www.condoreng.com上可得到 的题为"ARINC Protocol Tutorial"(ARINC协i义指导书),,的文章中找 到ARINC 429十办i义的i羊纟田4苗述。图6示意性示出了 ARINC帧。它由包括5个字#史的32位的字 组成。P位是奇偶校验位。SSM字段表示设备的运行状态。19位的 PAYLOAD字,殳包括净荷(payload ),在需要时可通过填充位(PAD ) 补充。在多点传送的情况下,SDI字段允许标识帧的目的地。最后, LABEL字段表示对应于净荷的航空电子参数和构成净荷的数据的 格式。
以下将考虑TFTP信息(即ACK, DATA, ERROR),该信息
可以在去于装后在返回鴻4圣上^专專命。
参照图3,当LRU!设备想向LRU2设备传输数据文件时,LRU, 设备向LRU2设备传输写入请求(WRQ)信息,如果LRU2准备好 接收文件,它返回给LRUi响应信息。然后,对于包含文件的数据 块的每个接收的信息,LRU2设备返回给LRUi设备表示接收的块的 数量的响应信息。当LRU2设备接收到少于512字节的块时,由堆 栈340的TFTP层一全测文件的末端。用于响应写入请求的第一信息 通常指示块数0。当LRU,设备传输数据块时,堆栈330的TFTP 层设置定时器。如果在定时期间之前没有接收到响应信息,则通过 TFTP信息再次传输凄t据块。
TFTP协议的响应信息ACK包括识别信息类型(Opcode=4) 的两字节的第一 Opcode字段和给出被响应的接收的块数的两字节 的第二字革爻。封装才莫块361在第二协议的帧中存卩诸第二 Opcode字 节(对于响应信息第一字节一直是0)、之后存储两个块数字节。封 装才莫块将用于凄t据传输的源i殳备(LRUJ和目的设备(LRU2)的 UDP端口号与该信息进4亍级耳关。每个UDP端口号一皮编码为 一个字 节,对于响应信息必须发送7个字节,这需要3个ARINC帧或单 个的CAN帧。当LR仏设备希望接收来自LRU2设备的凄t据文件时,LRU,设 备向LRU2设备传输读请求RRQ。如果LRU2设备准备好传输,作 为响应,LRU2设备直接向LRUi设备传输相关文件的512字节的第 一块。LRU^殳备反过来传输第一块的响应信息ACK。过程如前面 所述的一直继续到文件的最后的块的传输。如果在块的传输之后堆 栈340的TFTP层在给定的时间内没有收到响应,则重复传输。
TFTP协议的数据信息(DATA )包括标识信息类型(Opcode=3 ) 的两字节的第一 Opcode字段、给出已传输的块数的两字节的第二 字革殳和凄t据块存^诸于其中的n (0<n《512)字节的字4殳。
封装模块361在第二协议的帧中存储第二 Opcode字节(对于 数据信息来说第一字节总是0),之后存〗诸已传输的块凄t的两个字 节,最后存储相关的块的n个字节。才莫块361将用于lt据传输的源 设备(LRl^ )和目的设备(LRU2 )的UDP端口号与该信息进行级 联。因此,对于n个凄t据字节的块的传输,必须传输n+7个字节, 这需要E[ ( n+7 ) 8/19]+1个ARINC帧(其中E[x]给出了 x的整数 部分),和n+7个CAN帧。
如果由LRU!传输的写请求(WRQ)或读请求(RRQ)不能被 LRU2准许,或者如果在数据传输期间发生错误,则由堆栈340的 TFTP层传输4晉误信息。
TFTP协议的错误信息(ERROR )包括标识信息类型 (Opcode=5)的两字节的第一 Opcode字段、包含一皮诊断为错误的 代码的两字节的第二字段以及可能的包含描述错误的ASCII串的第 三字段(跟随有0字节)。这里不使用第三字段。
封装模块361在第二协议的帧中存储第二 Opcode字节(对于 错误信息第一字节一直是0),之后存储错误代码的两个字节。封装模块361最后将用于数据传输的源设备(LRUt )和目的设备(LRU2 ) 的UDP端口号与该信息级联。因此,对于错误信息的传输,必须 传送5个字节,这需要3个ARINC帧或5个CAN帧。
如在第二实施例中,当LRU2设备连接到安全区域的多个设备 单元时,封装模块361根据TFTP信息的目的地确定ARINC帧的 SID字萃殳的l直。
然而,如果系统使用不允许区分TFTP信息的目的地的第二协 议,则有利地,模块361将目的设备的IP地址与已封装的信息进行 级联。
同样地,如在第三实施例中,如果非安全区域的多个设备单元 连接到安全区域的设备单元,并且如果系统使用不允许TFTP信息 的目的设备单元确定传输TFTP信息的源设备的第二协议,则有利 地,每个模块361将源设备的IP地址与已封装的信息进行级联。
通常,在第四实施例的情况下,每个模块361将会把TFTP信 息的源设备和目的设备的各自的IP地址与已封装的信息进行级联。
权利要求
1. 一种被划分为安全区域和非安全区域的机载电信系统,所述机载电信系统至少包括在所述安全区域中的第一电信设备单元、在所述非安全区域中的第二电信设备单元、以及从所述第一设备单元到所述第二设备单元的第一单向链路,所述第一设备单元适合于根据第一协议在所述第一链路上传送数据,其特征在于,所述机载电信系统包括根据第二协议的从所述第二设备单元到所述第一设备单元的第二链路,所述第二协议的前两层不同于所述第一协议的前两层,所述第二设备单元适合于将数据作为符合所述第一协议并且封装在符合所述第二协议的帧中的信息在所述第二链路上进行传送。
2. 才艮据权利要求1所述的机载电信系统,其特征在于,所述第一 十办i义的前两层是以太网层。
3. 根据权利要求2所述的机载电信系统,其特征在于,所述第一 协议的堆栈是TFTP/UDP/IP/以太网。
4. 冲艮据上述片又利要求中4壬一项所述的才几载电信系统,其特4正在 于,所述第二协议的前两层是ARINC429层。
5. 根据权利要求1至3中任一项所述的机载电信系统,其特征在 于,所述第二协i义的前两层是CAN层。
6. 才艮据权利要求3或4所述的才几载电信系统,其特征在于,所述 第二设备单元包括封装模块,所述封装模块适合于在ARINC 429帧中封装TFTP协议的信息,即应答信息、错误信息、数 据信息。
7. 根据权利要求6所述的机载电信系统,其特征在于,所述封装模块适合于将用于在所述第 一设备和所述第二设备之间传送凄丈据的UDP端口与所述TFTP信息进4亍级写关。
8. 根据权利要求6或7所述的机载电信系统,其特征在于,所述 封装才莫块适合于将所述TFTP信息的目的设备的IP地址和/或 所述信息的源设备的IP地址与所述TFTP信息进行级联。
9. 一种包括根据上述权利要求中任一项所述的机载电信系统的 飞行器。
全文摘要
本发明涉及一种被划分为安全区域和非安全区域的机载电信系统,该系统至少包括在安全区域中的第一电信设备、在非安全区域中的第二电信设备、以及从第一设备到第二设备的第一单向链路,所述第一设备单元适用于根据第一协议在所述第一链路上传输数据。系统还包括根据第二协议的从第二设备单元到第一设备单元的第二链路,第二协议的前两层不同于第一协议的前两层,所述第二设备适用于在所述第二链路上将数据作为符合第一协议的并且封装在符合第二协议的帧中的信息进行传送。
文档编号H04L12/46GK101444068SQ200780017702
公开日2009年5月27日 申请日期2007年4月27日 优先权日2006年5月17日
发明者让-弗朗索瓦·圣-艾蒂安 申请人:法国空中客车公司