利用冗余线路可替换单元（“LRU”）和复合飞机可更改信息（“AMI”）的飞机身份管理的制作方法

本发明总体涉及以安全方式传输数据至飞机、从飞机传输数据或在飞机内传输数据。

背景技术：

诸如波音787和空中客车A350等最新一代的飞机包括引入潜在的网络安全弱点的飞机数据网络。网络安全弱点不是新的概念，然而它们关于适航性是新的。此网络提供用于传递数据至飞机和从飞机传递数据的在飞机和地面系统之间的连接，以及提供到维护地面支持设备的连接。飞机网络安全程序被要求保护此数据链路。

传统的飞机设计涉及诸如ARINC 429/629或MIL-STD-1553等数据总线的使用。最新的飞机设计可以使用除其他事项之外的非航空标准TCP/IP，以传送包括但不限于乘客信息和娱乐系统的各种数字信息。经验已经示出，此类型的技术易受各种攻击。除非适当地管理，如果成功地被攻击，任何网络化航空系统可以影响飞机软件配置。操作员必须遵循关于由类型证书持有人、补充类型证书持有人、CASA规定和政策推荐的信息网络安全的指令，以便保持适航性。可加载软件部件或现场(field)可加载软件是用于改变飞机软件配置的软件应用的类型。用与基于物理的部件相同的适航性意图看待软件是重要的。可加载软件部件将要求授权的发布证书。这些基于软件的部件的处理要求对一些独特概念的理解。软件应用的变化改变飞机软件配置。

E-使能的(或“电子化”)飞机由具有具体实时计算和控制任务的高度集成互连软件和固件驱动的计算机系统组成。TCP/IP数据链路在飞行中和在地面上传递并接收关键控制、导航、操作和维护信息。在给飞行和商业操作带来较高水平的效率的同时，它们也带来安全隐患、风险和需求。

E-使能的飞机具有无线地且经由各种数据传递机制重新编程飞行关键的航空电子组件的能力。该能力可以单独地或加上e-使能的飞机网络上的乘客连通性从对飞机的安全和持续的适航性是关键的数据和/或系统的有意或无意破坏来导致网络安全弱点。

飞机和其他专用交通工具的电气系统通常包括线路可替换单元(“(多个)LRU”或“LRU”)。LRU是执行各种交通工具操作的模块化电子系统。除其他之外，LRU通常具有输入和输出电连接和内部总线，通常是串联总线。

飞机LRU可以根据它们对飞机操作是如何关键进行分类，即，根据关键性进行分类。最不关键的LRU负责诸如乘客在飞行中的娱乐的操作，而最关键的LRU负责飞机适航性，例如，飞行控制。例如，飞机控制域(ACD)LRU是最关键的LRU，航空信息系统(AIS)LRU是中等关键的LRU，并且在飞行中的娱乐(AIF)LRU是最不关键的LRU。

现代飞机是极其复杂的。例如，飞机可以具有许多类型的机载电子系统。飞机上的电子系统可以是LRU。LRU经设计成容易替换的。当飞机在飞行中时或者当飞机在地面上时，线路可替换单元可以被替换。

LRU可以采用各种形式。飞机上的LRU可以是例如但不限于飞行管理系统、自动驾驶仪、在飞行中的娱乐系统、通信系统、导航系统、飞行控制器、飞行记录器、碰撞避免系统、支持维护功能的系统或支持机组人员过程的系统。飞机上的各种LRU可以是飞机网络数据处理系统的部件。

LRU可以使用软件或编程以对各种操作和功能提供逻辑或控制。通常地，飞机上的软件被视为一个或多个单独的部件，或者与硬件部件结合并且在不改变硬件部件号码的情况下是不可改变的。被视为飞机部件的飞机软件可以称为可加载的飞机软件部件或飞机软件部件。飞机软件部件是飞机的配置的部件。

当前电子使能的飞机具有通过其飞机产生机载私钥的过程，所述机载私钥被匹配到数字证书以向飞机给出加密身份。当此过程被延伸到具有高可用性设计的飞机时，包括密钥(身份)复制的天真方法本质上使我们违反一些原始的安全要求，以便保持机外通信的可用性。具体地，如果不鼓励，冗余使一个人意外地(或有意地)继续使用向折衷敞开的身份密钥，因为仍然在使用中的密钥可以经由取证分析从LRU被提取。

技术实现要素：

根据各种示例，提供一种用于飞机的线路可替换单元(“LRU”)，所述线路可替换单元包括航空公司可更改信息(“AMI”)，所述航空公司可更改信息包括一个以上的公钥证书，其中一个以上的公钥证书中的每个至少部分地基于与由加密密钥发生器产生的一个或多个公钥/私钥对相关联的公钥独特地识别所述飞机，用于地面通信。

上述示例的各种可选特征包括下列特征。LRU可以进一步包括可操作产生一个或多个公钥/私钥对的加密密钥发生器和可操作存储所述一个或多个公钥/私钥对的存储器。

根据各种示例，提供一种飞机，所述飞机可以包括第一线路可替换单元(“LRU”)和第二LRU，其中第一LRU和第二LRU包括航空公司可更改信息(“AMI”)，所述航空公司可更改信息(“AMI”)包含第一公钥证书，其中第一公钥证书至少部分地基于与由第一加密密钥发生器产生的第一公钥/私钥对相关联的第一公钥提供针对飞机的第一独特身份，用于地面通信；和第二公钥证书，其中第二公钥证书至少部分地基于与由第二加密密钥发生器产生的第二公钥/私钥对相关联的第二公钥提供针对飞机的第二独特身份，用于地面通信。

上述示例的各种可选特征包括下列特征。第一LRU可以进一步包括可操作产生第一公钥/私钥对的第一加密密钥发生器和可操作存储所述第一公钥/私钥对的第一存储器。第二LRU可以进一步包括可操作产生第二公钥/私钥对的第二加密密钥发生器和可操作存储所述第二公钥/私钥对的第二存储器。第一LRU可以经配置识别第二LRU正在使用哪些一个或多个身份证书，并且第二LRU经配置识别第一LRU正在使用哪些一个或多个身份证书。第一LRU、第二LRU或第一LRU或第二LRU二者可以可操作以至少部分地基于第一LRU可操作识别第二LRU正在使用哪些一个或多个身份证书和第二LRU经配置识别第一LRU正在使用哪些一个或多个身份证书来产生一个或多个证书废除请求。

根据各种示例，提供一种用于在飞机中使用第一LRU准备第二线路可替换单元(“LRU”)的方法。所述方法可以包括由第一LRU提供到第二LRU的通信，以基于由第二LRU产生的公钥-私钥对请求证书签字请求(“CSR”)；从第一LRU获得CSR；将CSR和针对替换的LRU的证书废除请求提供到证书授权机构(“CA”)；获得包括与由第一LRU产生的私钥相关联的公钥证书的复合(composite)航空公司可更改信息(“AMI”)；以及将复合AMI提供到第一LRU。

上述示例的各种可选特征包括下列特征。复合AMI可以包括独特地识别其他飞机或相同飞机的其他LRU的附加证书。复合AMI可以包括提供用于飞机的次要身份的附加证书。公钥证书可以是X.509证书。

根据各种示例，提供一种用于确定存储在飞机的航空公司可更改信息(“AMI”)上的线路可替换单元(“LRU”)的正确公钥基础设施(“PKI”)证书的方法。所述方法可以包括从AMI获得一个或多个PKI证书；由LRU确定存储在LRU上的私钥或公钥与存储在一个或多个PKI证书的PKI证书中的公钥相关联；以及使用PKI证书以独特地识别飞机以用于通信。

上述示例的各种可选特征包括下列特征。一个或多个PKI证书中的一个或多个可以与另一个LRU相关联。所述另一LRU可以与另一个飞机相关联。所述确定可以进一步包括将存储在LRU上的公钥与存储在PKI证书中的公钥匹配。

根据各种示例，提供一种具有计算机可解释的指令的计算机可读介质，当所述指令由至少一个电子处理器执行时，所述指令引起至少一个电子处理器执行确定存储在飞机(105)的航空公司可更改信息(“AMI”)(210)上的线路可替换单元(“LRU”)(205)的正确公钥基础设施(“PKI”)证书的方法。所述方法可以包括从AMI(210)获得一个或多个PKI证书；由LRU(205)确定存储在LRU(205)上的私钥或公钥与存储在一个或多个PKI证书中的PKI证书中的公钥相关联；以及使用PKI证书独特地识别飞机(105)以用于通信。

附图说明

当结合附图考虑时，由于参照以下详细描述示例变得更好理解，示例的各种特征可以更完全地被领会，其中：

图1是根据一些示例的飞机维护环境的框图的图示；

图2示出根据一些示例的复合机载验证服务(“OAS”)AMI；

图3示出根据一些示例的用于AMI的示例构造过程300；

图4示出根据一些示例的示例LRU替换数据加载过程400；

图5示出根据一些示例的示例身份选择和安装过程；

图6示出根据一些示例的示例LRU替换过程；以及

图7示出根据示例的示例计算机系统。

具体实施方式

现在将对发明的本示例(示例性示例)详细地做出参考，其示例在附图中示出。只要有可能，相同的附图标记将贯穿附图被使用以指代相同或类似部件。在下列描述中，对附图做出参考，所述附图形成其一部分，并且其中具体的示例性示例通过说明的方式被示出，发明可以在所述具体的示例性示例中被实践。这些示例充分详细地被描述以使本领域的技术人员能够实践该发明，并且应当理解的是，可以使用其他示例并且在不背离本发明的范围的情况下可以做出改变。因此，以下描述仅是示例性的。

到飞机的通信和来自飞机的通信以及在飞机内的通信呈现了航空网络安全中的缺口。一些示例通过提供软件解决方案来改进此类通信的安全，所述软件解决方案不要求在飞机中安装附加硬件。这保持整体成本低，因为该解决方案可以被提供作为软件升级以与现有硬件工作。注意，将硬件添加到在服务中的飞机通常要求昂贵的且耗时的联邦航空管理局(FAA)重新认证。因此，一些示例向目前在服务中的飞机提供大大改进其通信安全状态而无需FAA重新认证的开销的能力。因此一些示例对航空公司和其他飞机提供商是有吸引力的。

每个飞机基于公钥加密而具有用于数字通信的独特(unique)身份。针对与地面系统通信的飞机，飞机使用地面信任的证书向地面系统识别自身。现今公钥/私钥对可以存在于飞机中的一个或多个系统(诸如LRU)上。如果仅一个LRU具有密钥对并且所述LRU故障且为了要维持安全最佳实践，则假设私钥的控制已经丢失。在这种情况下，由于没有私钥的备份副本，将产生新的密钥对并且新的证书将被重新发布并被加载。如果来自替换的LRU的私钥要被恢复，则具有该私钥的任何人可以伪装为网络中的飞机。理想地证书应该在移除所述故障的LRU的维护动作发生之后尽可能早地废除。在该密钥更新过程期间，由于地面基础设施将不能够验证飞机的身份，飞机和地面基础设施之间的通信将失效。

一般来说，本公开提供一种方法，其维持并实施关于私钥的安全最佳实践，遵循现有飞机公钥基础设施(“PKI”)维护过程的流程，并使能验证的通信路径的连续可用性。作为附加的好处，本方法使得更容易巩固飞机身份作为跨越飞机编队的操作软件被管理的方式；由此，大大减少必须被管理的部件的数量。例如，对于100架飞机的编队，所述减少可以有效地是在需要管理的飞机身份软件部件的数量方面的100倍(fold)减少。

飞机操作员是操作飞机的实体。飞机操作员也可以负责飞机的维护和维修。飞机操作员的示例包括航空公司和军事单位。当飞机操作员接收飞机时，飞机软件部件可以已经安装在飞机上的线路可替换单元中。

飞机操作员也可以接收加载的飞机软件部件的副本，以防部件需要重新安装或重新加载到飞机上的线路可替换单元。例如，如果软件在其中被使用的线路可替换单元被替换或维修，则可以要求重新加载飞机软件部件。此外，飞机操作员有时也可以接收对飞机软件部件的更新。这些更新可以包括在当前安装的飞机软件部件中不存在的附加特征，并且可以认为是对一个或多个线路可替换单元的升级。指定的程序可以在飞机上的飞机软件部件的加载期间被遵循，使得包括加载在飞机上的所有飞机软件部件的飞机的当前配置是已知的。如以下进一步所讨论的，私钥不被包括作为加载的飞机软件部件的一部分。在这种情况下并且再次将在下面讨论，LRU创建加密密钥对，至少部分地基于产生的加密密钥对的公钥向证书授权机构或受信任的第三方创建并提供证书签字请求，并且基于作为可加载软件部件(诸如航空公司可更改信息(“AMI”))的一部分的公钥接收针对LRU的身份(以及由此产生的飞机)的证书。

电子系统可以采用各种形式。飞机上的电子系统可以是例如但不限于飞行管理系统、自动驾驶仪、飞行中的娱乐系统、通信系统、导航系统、飞行控制器、飞行记录仪和碰撞避免系统。飞机上的各种电子系统可以经由数字飞机网络彼此通信。

数据处理网络可以在公钥基础设施中采用数字证书，以确保仅批准的软件和其他数据在网络上被使用。此类数字证书也可以称为公钥证书或身份证书。所述数字证书由网络信任的证书授权机构发布。数字证书以可以被信任的方式识别到网络的软件或其他数据的源。网络可以使用数字证书以确定软件或其他数据是否将在网络上被使用。

现在转向图1，根据说明性示例描绘飞机维护环境的方框图的图示。在此示例中，飞机维护环境100可以经配置用于一个或多个飞机的维护。一个或多个飞机105a和105b可以由航空公司130管理为飞机的编队。一个或多个飞机105a、105b中的每个可以包括一个或多个LRU，如LRU 110a、110b、110c，其中每个可以加载有一个或多个AMI，如AMI 115。通过编队管理方案的非限制示例的方式，相同的AMI可以被加载到每个飞机的对应的相同LRU上，使得AMI被加载到由航空公司130管理的每个飞机上的相同LRU位置上。

飞机105a、105b可以是任何合适类型的飞机。例如，但不限于，飞机105a、105b可以是商用或私人载客飞机、载货飞机、军事或其他政府飞机，或经配置用于任何适当目的或任务的任何其他飞机。飞机105a、105b可以是固定翼、旋转翼或比空中飞机更轻。飞机105a、105b可以是有人驾驶的飞机或无人驾驶的空中交通工具。

飞机105a、105b是其中可以实施说明性示例的平台的一个示例。所述平台可以是交通工具或其他移动结构。例如，但不限制，所述平台可以是能够行进通过空气、在空间或两者的航空航天交通工具。作为另一示例，但不限制，所述平台可以是能够在陆地上、在水的表面上、在水下或在任何其他介质或多个介质的组合中行进的交通工具。在另一说明性示例中，所述平台可以是静态系统。例如，但不限制，所述平台可以是工业控制系统或其他一般非移动系统。

飞机105a、105b可以使用用于飞机105a、105b的操作的数据。例如，数据可以包括软件、其他数据或数据的各种组合。例如，但不限制，软件可以包括用于在飞机105a、105b上的线路可替换单元110a、110b、110c上使用的飞机软件部件。例如，但不限制，其他数据可以包括测绘数据或其他数据或用于由飞机105a、105b使用的数据的组合。

所述数据可以由飞机105a、105b上的数个系统使用。例如，但不限制，所述数个系统可以包括自动驾驶、飞行管理、通信、健康管理、其他系统或用于在飞机105a、105b上执行各种功能的系统的各种组合。

数据可以由数据提供者(如航空公司130)提供。数据提供者可以是具有提供用于在飞机105a、105b上使用的数据或在飞机105a、105b上加载数据的权力的任何实体。例如，但不限制，数据提供者可以包括软件供应商、飞机维护实体、飞机操作员、飞机制造者或任何其他实体或经授权提供用于在飞机105a、105b上使用的数据的实体的组合。数据提供者可以是任何实体或负责维护飞机105a、105b的实体的组合。数据提供者可以或不可以是飞机105a、105b的所有者。数据提供者可以包括代表飞机105a、105b的所有者而行动的实体，以提供用于在飞机105a、105b上使用的数据。数据提供者(诸如航空公司130)可以包括证书授权机构(“CA”)132或者与证书授权机构(“CA”)132相关联，所述证书授权机构(“CA”)132与航空公司或另一受信任的第三方相关联，所述数据提供者可以提供CA的功能，如接收用于发布数字证书或废除数字证书的请求。

数据提供者可以以数据包提供数据，用于通过网络125加载在飞机105a、105b上。例如，数据包可以包括数据连同提供在航空公司可更改信息(“AMI”)115中的一个或多个数字证书120。在一些示例中，一个或多个数字证书120可以来自于一个或多个证书授权机构。

图1的图示不意在暗示对其中可以实施不同说明性示例的方式的物理或构造限制。可以使用除了、代替或除了和代替二者所示的组件的其他组件。

图2示出根据本教导的复合机载验证服务(“OAS”)AMI 200。所述OAS提供用于验证诸如飞机105a、105b、航空公司130或包括网络125的地面基础设施等各种部件的框架。飞机105a、105b可以具有(图1的)一个或多个LRU 110a、110b、110c或(图2的)205。一个或多个LRU 205中的每个LRU 205可以包括AMI 210。在一些实施方式中，每个LRU 205可以使用密钥对发生器215产生加密密钥对，这可以至少部分地基于软件、硬件或软件和硬件源。在一些实施方式中和如图2中所示，密钥对可以由在LRU 205外部的密钥对发生器215产生。在任一情况下，密钥对中的公钥可以存储在公钥存储装置220中，并且密钥对中的私钥可以存储在私钥存储装置225中。在一些情况下，公钥存储装置220和私钥存储装置225在可以在逻辑上分开的公用存储结构中，或在不同存储结构中。AMI 205可以存储一个或多个证书230、235、240(也被称为身份证书或PKI证书)(如X.509PKI证书)作为配置数据。每个证书215、220、225可以包括识别用于飞机105的信息，诸如尾部编号或独特地识别飞机105的其他信息。存储在LRU 205中的每个私钥可以代表不同的飞机身份，通过每个私钥，飞机可以使用AMI 210中准备的相关证书与地面基础设施通信。在可以导致潜在不安全私钥的LRU的折中或替换的情况下，允许飞机具有由不同私钥代表的不同身份的能力允许飞机在通信中的一些冗余。飞机105可以在不同方案中基于不同的私钥使用不同的证书。如以下在图5中进一步讨论的，AMI 210中的证书可以通过密钥匹配操作245与公钥和/或私钥匹配。例如，诸如证书#1 230、证书#2 235和证书#3 240等每个证书进而可以与公钥或私钥比较，以确定公钥或私钥是否与该证书相关联。对公钥情况，证书本身将包含发布所述证书的公钥，并且密钥匹配245可以比较存储在公钥存储装置220中的公钥与每个证书中的每个公钥。当LRU 205识别与存储在公钥存储装置220中的公钥匹配的证书时，所述LRU 205将使用用于与航空公司130、CA 132或其他地面基础设施实体通信的匹配证书。

在一些情况下，AMI 210可以存储用于多个飞机的证书，这可以简化AMI 210的创建。在这种情况下，可以为由特定航空公司拥有的飞机的编队创建单个AMI。此AMI可以被加载到每个飞机上，并且所述飞机通过存储在LRU上的独特私钥可以被用于确定哪个证书与该独特私钥相关联。一旦识别到正确的(多个)证书，飞机可以然后在与用于验证的地面基础设施通信中使用该(多个)证书。

如上所述，飞机可以具有一个或多个LRU。在其中使用多个LRU的情况下，飞机可以具有验证备份以防LRU之一发生故障。本公开不受LRU的数量的限制。在AMI产生的情况下，如图3中所示，描述两个LRU，其中LRU中的一个可以是主要LRU并且另一LRU可以是次要或备份的LRU。在LRU的替换的情况下，如图4和图6中所示，使用以下标记。旧LRU(也称为第一LRU)是保持的LRU，并且新LRU(也称为第二LRU)是经安装替换所替换的LRU(也称为第三LRU)的LRU。所替换的或第三LRU是已故障或为另一原因被替换的LRU。

图3示出根据与本教导一致的各方面的用于AMI的示例构造过程300。在305处，LRU 1 380产生一个或多个第一证书签字请求(“CSR”)，其中每个证书签字请求对应于一个密钥对。在310处，LRU 2 385产生一个或多个第二CSR并发送所述一个或多个第二CSR至LRU 1 380。在315处，LRU 1 380发送一个或多个第一CSR和一个或多个第二CSR到航空公司CA 370。在320处，航空公司CA 370产生针对一个或多个CSR中的每个公钥的一个或多个证书，所述一个或多个证书是公钥基础设施(“PKI”)或X.509数字证书(也称为由LRU和因此其中LRU驻留的飞机使用的“身份证书”，以向航空公司130、CA 132、航空公司CA 370、航空公司后勤办公室375或其他地面基础设施实体识别飞机)，并且航空公司CA 370发布针对LRU 1 380(ID 1)和LRU 2 385(ID 2)的这些身份证书并将所述身份证书发送至航空公司后勤办公室375。在325处，航空公司后勤办公室375建立复合AMI并可选地包括先前从其他飞机发布的证书。在330处，航空公司后勤办公室375将复合AMI发送到LRU 1 380并在335处被加载。在340处，LRU 1 380在与335的交叠时间段期间或在不同时间间隔处将包括复合AMI的数据通信发送到要被加载和执行的LRU 2 385。在345处，LRU 1 380和LRU 2 385可以交换信息，以识别哪些身份在每个LRU上是有效的，其中特定身份至少部分基于对该LRU独特的公钥/私钥对。在一些实施方式中，特定LRU可以基于多个密钥对具有多个身份。

图4根据与本教导一致的各方面示出示例LRU替换数据加载(加载和执行)过程400。在此示例中，所替换的LRU或第三LRU(未示出)已经用新的或第二LRU 2 385替换，并且旧的或第一LRU 1 380能够准备(provision)新的或第二LRU 2 385。在405处，旧的或第一LRU 1 380向新的或第二LRU 2 385发送初始操作软件加载。在410处，旧的LRU 1 380可以基于与旧的或第一LRU 1 380相关联的次要密钥对可选地发送一个或多个临时密钥并记录向新的或第二LRU 2 385发送的那些密钥。在此情况下，旧的或第一LRU 1 380在其与新的或第二LRU 2 385交互中可以可选地作用为航空公司CA 370的下级CA。在旧的或第一LRU 1 380具有多个密钥对(和对应的多个身份，每个密钥对针对一个身份)，其中一个密钥对被设计作为主要密钥对(对应于主要身份)，并且一个或多个密钥对被设计作为次要密钥对(对应于一个或多个第二身份)，旧的或第一LRU 1 380可以将针对每个密钥对的单独的CSR发送到航空公司CA 370并具有针对与旧的或第一LRU 1 380相关联的每个密钥对发布的多个证书。如果旧的或第一LRU 1 380故障，则所述旧的或第一LRU 1 380可以然后使用一个或多个次要密钥对中的一个或多个，以准备新的或第二LRU 2 385作为备份选项，从而维持通信完整性。在415处，旧的或第一LRU 1 380将加载复合OAS AMI发送到新的或第二LRU 2 385。在420处，旧的或第一LRU 1 380将用于新CSR的产生的请求发送到新的或第二LRU 2 385。在425处，新的或第二LRU 2 385将新的(一个或多个)CSR发送到旧的或第一LRU 1 380。在430处，旧的或第一LRU 1 380向航空公司CA 370发送一个或多个CSR和(多个)废除请求，以废除由被替换的LRU(第三LRU)在使用中的针对一个或多个身份的一个或多个证书。

图5根据与本教导一致的各方面示出示例身份选择和安装过程500。所述过程在505处开始，并且在510处，提供复合AMI，所述复合AMI将飞机身份作为证书列表出来，其中在515处至少一个证书在复合AMI中被预期与存储在的LRU内的私钥匹配。在520处，提供存储在一个或多个LRU中的机载公钥/私钥对，其中在525处迭代过程通过检查机载公钥和/或私钥的列表开始。在530处，对私钥是否匹配证书中的公钥做出确定。如果在530处确定的结果是否定的(私钥不与公钥相关联或者公钥不匹配)，过程继续迭代直到在535处无更多的密钥并循环回到525。如果在530处确定的结果是肯定的(私钥与公钥相关联或者公钥匹配)，则在540处基于证书的身份被添加到列表以将由飞机使用，用于与地面基础设施的验证，并且继续迭代直到在535处无更多密钥。在545处，对列表是否为空做出确定。如果在545处确定的结果是否定的(列表为空)，则在550处引起故障并且过程在560处终止。如果在545处确定的结果是肯定的(列表不是空的)，则(多个)身份证书在555处被安装并且过程在560处终止。

图6根据与本教导一致的各方面示出示例LRU替换过程600。在LRU替换过程中，在605处，旧的或第一LRU 1 380针对要被替换的LRU(未示出的第三LRU)的一个或多个旧身份证书(ID2)产生一个或多个证书废除请求。在610处，旧的或第一LRU 1 380请求新的或第二LRU 2 385，以产生一个或多个密钥对并从新的或第二LRU 2 385接收一个或多个第一CSR。在615处，新的或第二LRU 2 385产生一个或多个第二CSR并将所述一个或多个第二CSR发送至旧的或第一LRU 1 380。一个或多个第一CSR和一个或多个第二CSR中的每个CSR是针对一个或多个密钥对的一个公钥的证书的请求。在620处，旧的或第一LRU 1 380通过通信网络将一个或多个第二CSR和所替换的(或第三)LRU的一个或多个证书的废除请求发送至航空公司CA 370。在625处，旧的或第一LRU 1 380可以可选地将具有旧的LRU发布的或共享的证书的临时准备消息发送至新的或第二LRU 2 385，如以上参照图4所讨论的。在630处，航空公司CA 370发布针对新的或第二LRU 2 385的一个或多个新身份证书ID2并废除针对所替换的(或第三)LRU的一个或多个旧身份证书，并且将此信息发送至航空公司后勤办公室375。在635处，航空公司后勤办公室375建立复合AMI，并且可选地包括来自其他飞机(诸如由航空公司130管理的其他飞机)的一个或多个证书。在640处，航空公司后勤办公室375通过通信网络将(多个)复合AMI作为操作软件发送至飞机的旧的或第一LRU 1 380。在645处，旧的或第一LRU 1 380将(多个)复合AMI发送至要被加载和执行的新的或第二LRU 2 385。

前述描述是说明性的，并且本领域的技术人员可以想到在配置和实施方式中的变化。例如，结合本文公开的示例所描述的各种说明性逻辑、逻辑块、模块和电路可以利用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他可编程逻辑器件、分立栅极(discrete gate)或晶体管逻辑、分立硬件组件或经设计执行本文所述功能的它们的任何组合来实施或执行。通用处理器可以是微处理器，但是在可替代示例中，处理器可以是任何常规处理器、控制器、微控制器或状态机。处理器也可以实施为计算装置的组合，例如，DSP和微处理器的组合、多个微处理器、与DSP核心结合的一个或多个微处理器或任何其他此类配置。

在一个或多个示例中，所描述的功能可以在硬件、软件、固件或它们的任何组合中实施。对于软件实施方式，本文描述的技术可以利用执行本文所述功能的模块(例如，过程、功能、子程序、程序、例程、子例程、模块、软件包、类等)实施。模块可以通过传递和/或接收信息、数据、变元、参数或存储器内容被耦合到另一模块或硬件电路。使用包括存储器共享、消息传递、令牌传递、网络传输等的任何合适方法可以传递、转发或传输信息、变元、参数、数据或类似物。软件代码可以存储在存储器单元中并由处理器执行。存储器单元可以在处理器内或在处理器外部实施，在这种情况下可以经由如本领域中已知的各种方法将存储器单元通信地耦合到处理器。

例如，图7示出可以用于执行上述过程中的一个或多个的计算机装置700的硬件配置的示例。虽然图7示出包含在计算机装置700中的各种组件，但是图7示出计算机装置的一个示例并且可以添加附加组件且可以移除现有组件。

计算机装置700可以是任何类型的计算机装置诸如台式计算机、膝上型计算机、服务器等，或诸如智能电话、平板计算机、蜂窝电话、个人数字助理等移动装置。如图7中所示，计算机装置700可以包括改变核心配置和时钟频率的一个或多个处理器702。计算机装置700也可以包括在计算机装置700的操作期间用作主存储器的一个或多个存储器装置704。例如，在操作期间，支持DNS操作的软件的副本可以存储在一个或多个存储器装置704中。计算机装置700也可以包括用于使人能够与计算机装置700交互和操纵计算机装置700的一个或多个外围接口706，如键盘、鼠标、触控板、计算机屏幕、触摸屏等。

计算机装置700也可以包括用于经由一个或多个网络进行通信的一个或多个网络接口708，如用于使用协议通过有线或无线媒体通信的以太网适配器、无线收发器或串联网络组件。计算机装置700也可以包括改变物理尺寸和存储能力的一个或多个存储装置710(如闪存驱动器、硬盘驱动器、随机存取存储器等)，用于存储数据(如图像、文件和用于由一个或多个处理器702执行的程序指令)。

此外，计算机装置700可以包括使能以上描述的功能的一个或多个软件程序712。所述一个或多个软件程序712可以包括使一个或多个处理器702执行本文描述的过程的指令。一个或多个软件程序712的副本可以存储在一个或多个存储器装置704中和/或存储在一个或多个存储装置710中。同样地，由一个或多个软件程序712使用的数据(例如DNS记录)可以存储在一个或多个存储器装置704中和/或存储在一个或多个存储装置710中。

在实施方式中，计算机装置700可以经由网络716与其他装置通信。其他装置可以是如上描述的任何类型的装置。网络716可以是任何类型的网络，如局域网、广域网、虚拟专用网络、互联网、内联网、外联网、公共交换电话网络、红外网络、无线网络和它们的任何组合。网络716可以支持使用诸如TCP/IP、UDP、OSI、FTP、UPnP、NFS、CIFS、AppleTalk等任何各种商业可用协议的通信。网络716可以是例如局域网、广域网、虚拟专用网络、互联网、内联网、外联网、公共交换电话网络、红外网络、无线网络和它们的任何组合。

计算机装置700可以包括如上所讨论的各种数据存储装置和其他存储器和存储媒体。这些可以驻留在各种位置中，如在本地一个或多个计算机(和/或驻留在一个或多个计算机中)或跨越网络远离任何或所有计算机的存储介质上。在一些实施方式中，信息可以驻留在为本领域的技术人员熟悉的存储区域网络(“SAN”)中。类似地，用于执行归于计算机、服务器或其他网络装置的功能的任何必要文件可以适当地在本地和/或远程地存储。

在实施方式中，如上所述的计算机装置700的组件不需要封装在单个壳体内或甚至彼此紧密靠近定位。本领域的技术人员将理解的是，以上描述的组件部分(componentry)仅是示例，因为计算机装置700可以包括用于执行公开的实施方式的任何类型的硬件组件部分，所述硬件组件部分包括任何必要的随附固件或软件。计算机装置700也可以部分地或全部地由电子电路组件或处理器(如专用集成电路(ASIC)或现场可编程门阵列(FPGA))实施。

如果以软件实施，功能可以作为一个或多个指令或代码被存储在计算机可读介质上或通过计算机可读介质被传输。计算机可读介质包括包含促进计算机程序从一个地方传递到另一个地方的任何介质的有形的、非暂时性的计算机存储介质和通信介质。存储介质可以是可以由计算机访问的任何可用的有形的、非暂时性介质。通过示例的方式，并且非限制性，此类有形的、非暂时性的计算机可读介质可以包括RAM、ROM、闪存存储器、EEPROM、CD-ROM或其他光盘存储装置、磁盘存储装置或其他磁存储设备，或可以被用于携带或存储以指令或数据结构形式的期望的程序代码并可以由计算机访问的任何其他介质。如本文所用，磁盘和光盘包括CD、激光光盘、光盘、DVD、软盘和蓝光光盘，其中磁盘通常磁性地再现数据，而光盘使用激光器光学地再现数据。另外，任何连接被适当地称作计算机可读介质。例如，如果软件使用同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或诸如红外、无线电和微波等无线技术从网站、服务器或其他远程源被传输，则所述同轴电缆、光纤电缆、双绞线、DSL或诸如红外、无线电和微波等无线技术被包括在介质的定义中。上述的组合也应该被包括在计算机可读介质的范围内。

此外，本公开包括根据以下条款的示例：

条款1.一种用于飞机(105a、105b)的线路可替换单元(“LRU”)(110a、110b、110c)，其包括：包括一个以上的公钥证书(120)的航空公司可更改信息(“AMI”)(115)，其中一个以上的公钥证书(120)中的每个至少部分地基于与由加密密钥发生器(215)产生的一个或多个公钥/私钥对相关联的公钥独特地识别飞机(105a、105b)，用于地面通信。

条款2.根据条款1所述的LRU，其进一步包括：可操作产生一个或多个公钥/私钥对的加密密钥发生器(215)；可操作存储所述一个或多个公钥/私钥对的存储器(220、225)。

条款3.一种飞机(105a、105b)，其包括：第一线路可替换单元(“LRU”)(110a)；第二LRU(110b)，其中第一LRU和第二LRU中的每个包括：航空公司可更改信息(“AMI”)(115)，所述航空公司可更改信息(“AMI”)(115)包括：第一公钥证书(120)，其中第一公钥证书(120)至少部分地基于与由第一加密密钥发生器(215)产生的第一公钥/私钥对相关联的第一公钥提供针对飞机(105a、105b)的第一独特身份，用于地面通信；和第二公钥证书(120)，其中第二公钥证书(120)至少部分地基于与由第二加密密钥发生器(215)产生的第二公钥/私钥对相关联的第二公钥提供针对飞机(105a、105b)的第二独特身份，用于地面通信。

条款4.根据条款3所述的飞机，其中第一LRU进一步包括：可操作产生第一公钥/私钥对的第一加密密钥发生器(215)；和可操作存储所述第一公钥/私钥对的第一存储器(220、225)。

条款5.根据条款4所述的飞机，其中第二LRU进一步包括：可操作产生第二公钥/私钥对的第二加密密钥发生器(215)；和可操作存储第二公钥/私钥对的第二存储器(220、225)。

条款6.根据条款3所述的飞机，其中第一LRU可操作识别第二LRU正在使用哪些一个或多个身份证书，并且第二LRU经配置识别第一LRU正在使用哪些一个或多个身份证书。

条款7.根据条款6所述的飞机，其中第一LRU、第二LRU或第一LRU或第二LRU二者可操作以至少部分地基于第一LRU可操作识别第二LRU正在使用哪些一个或多个身份证书和第二LRU经配置识别第一LRU正在使用哪些一个或多个身份证书来产生一个或多个证书废除请求。

条款8.一种用于在飞机(105a、105b)中使用第一LRU(380)准备第二线路可替换单元(“LRU”)(385)的方法，该方法包括：由第一LRU(380)提供至第二LRU(385)的通信，以基于由第二LRU(385)产生的公钥-私钥对请求证书签字请求(“CSR”)；从第一LRU(385)获得CSR；将CSR和针对所替换的LRU的证书废除请求提供至证书授权机构(“CA”)(370)；获得包括与由第一LRU(380)产生的私钥相关联的公钥证书的复合航空公司可更改信息(“AMI”)(210)；以及将复合AMI(210)提供到第一LRU(385)。

条款9.根据条款8所述的方法，其中复合AMI(210)包括独特地识别其他飞机或相同飞机上的其他LRU的附加证书。

条款10.根据条款8所述的方法，其中复合AMI(210)包括提供用于飞机的次要身份的附加证书。

条款11.根据条款8所述的方法，其中公钥证书是X.509证书。

条款12.一种用于确定存储在飞机(105a、105b)的航空公司可更改信息(“AMI”)(210)上的线路可替换单元(“LRU”)(205)的正确公钥基础设施(“PKI”)证书的方法，该方法包括：从AMI(210)获得一个或多个PKI证书；由LRU(205)确定存储在LRU(205)上的私钥或公钥与存储在一个或多个PKI证书中的PKI证书中的公钥相关联；以及使用PKI证书以独特地识别飞机(105a、105b)用于通信。

条款13.根据条款12所述的方法，其中一个或多个PKI证书中的一个或多个与另一个LRU相关联。

条款14.根据条款13所述的方法，其中另一个LRU与另一个飞机相关联。

条款15.根据条款12所述的方法，其中所述确定进一步包括：将存储在LRU上的公钥与存储在PKI证书中的公钥匹配。

条款16.一种具有计算机可解释的指令的计算机可读介质，当由至少一个电子处理器执行指令时，所述指令使至少一个电子处理器执行一种确定存储在飞机(105a、105b)的航空公司可更改信息(“AMI”)(210)上的线路可替换单元(“LRU”)(205)的正确公钥基础设施(“PKI”)的方法，所述方法包括：从AMI(210)获得一个或多个PKI证书；由LRU(205)确定存储在LRU(205)上的私钥或公钥与存储在一个或多个PKI证书中的PKI证书中的公钥相关联；以及使用PKI证书来独特地识别飞机(105a、105b)，用于通信。

条款17.根据条款16所述的计算机可读介质，其中一个或多个PKI证书中的一个或多个与另一个LRU相关联。

条款18.根据条款16所述的计算机可读介质，其中另一个LRU与另一个飞机相关联。

条款19.根据条款16所述的计算机可读介质，其中所述确定进一步包括：将存储在LRU上的公钥与存储在PKI证书中的公钥匹配。

虽然教导已经参照其实施方式的示例被描述，但是本领域的技术人员将能够对描述的实施方式做出各种修改，而不背离真实的精神和范围。本文所用的术语和描述仅通过说明的方式被阐述，并且不意在作为限制。具体地，虽然过程已经通过示例被描述，但是过程的阶段可以以与所示的顺序不同的顺序或同时地执行。此外，在术语“包括(including)”、“包含”、“具有(having)”、“含有”、“具有(with)”或它们的变型在详细的描述中被使用这一程度上，此类术语意在以与术语“包括(comprising)”类似的方式包括。如本文所用，术语“......中的一个或多个”和“......中的至少一个”相对于诸如例如A和B的各项的列出是指单独的A、单独的B或A和B。此外，除非具体指定，术语“集”应该理解为“一个或多个”。另外，术语“耦合”或“耦接”意在指间接连接或直接连接。因此，如果第一装置耦接到第二装置，则该连接可以通过直接连接或通过经由其他装置、组件和连接点的间接连接。

本领域的技术人员将能够对所描述的示例做出各种修改，而不背离真实的精神和范围。本文所用的术语和描述仅通过说明的方式被阐述，并且不意在作为限制。具体地，虽然方法已经通过示例被描述，但是方法的步骤可以以与所示的顺序不同的顺序或同时地执行。本领域的技术人员将认识到，在如随附权利要求及其等同物中定义的精神和范围内，这些及其他变型是可能的。