FR3108199A1 - Dispositif monde ouvert de communication avec un système avionique, système de communication et procédé de communication associé - Google Patents

Dispositif monde ouvert de communication avec un système avionique, système de communication et procédé de communication associé Download PDF

Info

Publication number
FR3108199A1
FR3108199A1 FR2002545A FR2002545A FR3108199A1 FR 3108199 A1 FR3108199 A1 FR 3108199A1 FR 2002545 A FR2002545 A FR 2002545A FR 2002545 A FR2002545 A FR 2002545A FR 3108199 A1 FR3108199 A1 FR 3108199A1
Authority
FR
France
Prior art keywords
request
communication
component
status
avionic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR2002545A
Other languages
English (en)
Other versions
FR3108199B1 (fr
Inventor
Pierre Bayle
Olivier BALARD
Aurélie GARCIA
André CLEROUX
Clara LOPEZ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Priority to FR2002545A priority Critical patent/FR3108199B1/fr
Priority to PCT/EP2021/056701 priority patent/WO2021185846A1/fr
Priority to CA3171907A priority patent/CA3171907A1/fr
Priority to US17/911,918 priority patent/US12438846B2/en
Priority to CN202180028230.7A priority patent/CN115769288B/xx
Priority to DE112021001641.5T priority patent/DE112021001641T5/de
Publication of FR3108199A1 publication Critical patent/FR3108199A1/fr
Application granted granted Critical
Publication of FR3108199B1 publication Critical patent/FR3108199B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/004Error avoidance
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G5/00Traffic control systems for aircraft
    • G08G5/20Arrangements for acquiring, generating, sharing or displaying traffic information
    • G08G5/21Arrangements for acquiring, generating, sharing or displaying traffic information located onboard the aircraft
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G5/00Traffic control systems for aircraft
    • G08G5/30Flight plan management
    • G08G5/34Flight plan management for flight plan modification
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G5/00Traffic control systems for aircraft
    • G08G5/50Navigation or guidance aids
    • G08G5/53Navigation or guidance aids for cruising
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G5/00Traffic control systems for aircraft
    • G08G5/50Navigation or guidance aids
    • G08G5/55Navigation or guidance aids for a single aircraft
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Communication Control (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)

Abstract

Dispositif monde ouvert de communication avec un système avionique, système de communication et procéde de communication associés La présente invention concerne un dispositif monde ouvert de communication (16) avec un système avionique (12) d’un aéronef, comprenant une composante applicative (22-1, …, 22-N). Ce dispositif (16) comprend en outre une composante d’interfaçage (24) comprenant un module de communication (31) apte à intercepter chaque requête envoyée par la composante applicative (22-1, …, 22-N) et un clone (33) du système avionique (12) apte à tester chaque requête interceptée par le module de communication (31) pour déterminer un statut de cette requête entre un statut conforme et un statut non-conforme. Le module de communication (31) est apte à transmette au système avionique (12) uniquement les requêtes ayant le statut conforme. Figure pour l'abrégé : figure 2

Description

Dispositif monde ouvert de communication avec un système avionique, système de communication et procéde de communication associés
La présente invention concerne un dispositif monde ouvert de communication.
La présente invention concerne également un système de communication et un procédé de communication associés à ce dispositif monde ouvert de communication.
L’invention est notamment applicable à un système avionique présentant un système de gestion de vol.
Dans le domaine de l’aéronautique, un système de gestion de vol, connu sous le terme «FMS» (de l’anglais «Flight Management System») présente un système important de l’aéronef à travers lequel le pilote a la possibilité d’introduire des données de vol à suivre, comme par exemple un plan de vol, un point d’arrivée, des points de passage, etc.
Ainsi, un tel système FMS permet de manière connue en soi de planifier un vol et en particulier, de prédire une trajectoire devant être suivie par l’aéronef ainsi que l’ensemble des données associées à cette trajectoire telles que par exemple le temps de vol, la consommation, etc.
Cela permet par exemple à un système de pilotage automatique de s’asservir sur la trajectoire définie par le système FMS afin de guider automatiquement l’aéronef le long de cette trajectoire.
Un système FMS est généralement associé à un écran d’affichage ainsi qu’à des moyens d’introduction permettant au pilote d’introduire des données dans ce système. Les données résultant des calculs effectués par le système FMS peuvent ensuite être affichées sur l’écran et/ou transmises à d’autres systèmes.
Le système FMS fait partie des systèmes avioniques et présente à cet effet un système dit du monde fermé.
Souvent, pour introduire des données dans le système FMS, le pilote utilise d’autres dispositifs électroniques qui ne font pas partie du monde fermé. Par opposition, ces dispositifs sont donc dits du monde ouvert.
Cela signifie en particulier que ces dispositifs ne suivent pas les mêmes règles de certification que les dispositifs du monde fermé et en conséquence, qu’ils ne présentent pas le même niveau d’intégrité et de sécurité que ces dispositifs du monde fermé.
Parmi les dispositifs du monde ouvert utilisables par le pilote, on connait notamment un dispositif électronique appelé «Sac Électronique de Vol» ou «EFB» (de l’anglais«Electronic Flight Bag»).
Un tel dispositif se présente par exemple sous la forme d’une tablette électronique ou de tout autre dispositif électronique portable, et permet au pilote notamment d’effectuer un certain nombre de calculs relatifs au plan de vol à suivre.
Le dispositif EFB permet également de garder des procédures de vol ainsi que d’autres informations utiles.
Afin d’éviter toute interaction des dispositifs du monde ouvert avec les systèmes avioniques, les pilotes introduisent généralement manuellement les données issues par exemple du dispositif EFB dans le système FMS ou plus généralement, dans tout autre système avionique.
Pour assurer la fluidité du travail des pilotes, réduire la charge de travail des pilotes et diminuer le risque d’erreurs, il est toutefois souhaitable de pouvoir connecter directement au moins certains des dispositifs monde ouvert aux systèmes avioniques tels que notamment le système de gestion de vol FMS.
Dans l’état de la technique, quelques solutions permettent déjà d’assurer au moins partiellement une connexion entre des dispositifs monde ouvert et des systèmes avioniques tels que le système FMS notamment.
Ces solutions utilisent notamment de nombreux systèmes de filtrage permettant de filtrer chaque requête envoyée par un dispositif monde ouvert vers le système FMS.
Toutefois, les systèmes existants ne donnent pas entière satisfaction d’une part parce qu’ils présentent des structures relativement complexes à mettre en place et d’autre part, parce qu’ils ne permettent pas d’éviter complètement des requêtes pouvant être éventuellement malveillantes.
La présente invention a pour but de remédier à ces inconvénients et de proposer donc un dispositif monde ouvert permettant de communiquer directement avec un système avionique sans avoir besoin d’introduire une structure complexe et cela tout en assurant un haut niveau de sécurité.
À cet effet, l’invention a pour objet un dispositif monde ouvert de communication un dispositif monde ouvert de communication avec un système avionique d’un aéronef, comprenant une composante applicative apte à envoyer vers le système avionique des requêtes et à recevoir de la part du système avionique des données.
Le dispositif est caractérisé en ce qu’il comprend en outre une composante d’interfaçage comprenant un module de communication apte à intercepter chaque requête envoyée par la composante applicative et un clone du système avionique apte à tester chaque requête interceptée par le module de communication pour déterminer un statut de cette requête entre un statut conforme et un statut non-conforme ;
le module de communication étant apte à transmette au système avionique uniquement les requêtes ayant le statut conforme.
Suivant d’autres aspects avantageux de l’invention, le dispositif monde ouvert comprend une ou plusieurs des caractéristiques suivantes prises isolements ou suivant toutes les combinaisons techniquement possibles:
- le module de communication est apte en outre à envoyer à la composante applicative un message d’erreur pour chaque requête ayant le statut non-conforme;
- la composante d’interfaçage comprend en outre un module d’authentification apte à authentifier la composante applicative pour l’autoriser à envoyer des requêtes vers le système avionique;
- les données émises par le système avionique se présentent sous la forme d’un flux de données diffusé par ce système et dans lequel la composante d’interfaçage est apte à transmettre directement ledit flux de données à la composante applicative;
- le module de communication est apte à transmette au système avionique les requêtes correspondantes sous une forme cryptée;
- la composante d’interfaçage est la seule composante du dispositif raccordée au système avionique;
- la composante d’interfaçage se présente sous la forme d’une application;
- le clone se présente sous la forme d’un logiciel-clone du système avionique;
- le clone détermine le statut d’une requête comme non-conforme lorsqu’ au moins l’une des conditions choisie dans le groupe comprenant :
- le nombre de requêtes envoyées dans un intervalle temporel prédéterminé n’est pas compatible avec la capacité de traitement du clone ;
- le format de la requête ne correspond pas à un format attendu ;
- l’exécution de la requête conduit à des données inattendues ;
- la requête ne permet pas d’être exécutée par le système avionique de l’aéronef sans mettre en danger ses occupants ;
est remplie;
- le module de communication est apte à bloquer la composante applicative lorsqu’au moins une requête envoyée par cette composante a le statut non-conforme;
- le dispositif comprend une pluralité de composantes applicatives chaque composante applicative étant apte à envoyer vers le système avionique des requêtes via la composante d’interfaçage et à recevoir de la part de ce système avionique des données;
- le système avionique est un système de gestion de vol.
L’invention a également pour objet un système de communication pour un aéronef, comprenant :
- un système avionique ;
- un dispositif monde ouvert de communication avec le système avionique, le dispositif étant tel que défini précédemment.
Suivant d’autres aspects avantageux de l’invention, le système de communication comprend en outre une interface raccordant le dispositif monde ouvert au système avionique.
L’invention a également pour objet un procédé de communication avec un système avionique d’un aéronef, mis en œuvre par un dispositif monde ouvert de communication comme défini précédemment ;
le procédé comprenant les étapes suivantes :
- génération d’une requête destinée au système avionique ;
- interception de ladite requête ;
- test de ladite requête interceptée par le module de communication pour déterminer un statut de cette requête entre un statut conforme et un statut non-conforme ;
- lorsque ladite requête a le statut conforme, envoi de cette requête au système avionique.
Ces caractéristiques et avantages de l’invention apparaitront à la lecture de la description qui va suivre, donnée uniquement à titre d’exemple non limitatif, et faite en référence aux dessins annexés, sur lesquels:
- la figure 1 est une vue schématique d’un système de communication selon l’invention, le système de communication comprenant notamment un dispositif monde ouvert de communication selon l’invention;
- la figure 2 est une vue schématique détaillée du dispositif monde ouvert de communication de la figure 1;
- la figure 3 est un organigramme d’un procédé de communication selon l’invention, le procédé de communication étant mis en œuvre par le dispositif monde ouvert de communication de la figure 2;
- la figure 4 est une vue schématique illustrant la mise en œuvre du procédé de communication de la figure 3.
On a en effet illustré sur la figure 1, un système de communication 10 pour un aéronef.
Par aéronef, on entend notamment un avion ou un hélicoptère, ou un drone, ou encore tout autre engin volant dont le pilotage s’effectue en utilisant au moins partiellement un système avionique tel que décrit ci-dessous, par au moins un pilote. Un tel système avionique peut être embarqué directement dans l’aéronef ou alors être distant de celui-ci. Dans ce dernier cas, le pilotage de l’aéronef s’effectue par exemple également de manière distante.
Comme cela est visible sur la figure 1, le système de communication 10 comprend un système avionique 12, une interface 14 et un dispositif monde ouvert de communication 16.
Le système avionique est notamment un système de gestion de vol 12 connu sous le terme anglais FMS (de «Flight Management System»). Ce système 12 sera désigné ci-après par le terme système FMS 12.
De manière connue en soi, ce système FMS 12 permet de calculer notamment une trajectoire de l’aéronef ainsi que des données de prédiction liées à cette trajectoire à partir des données introduites par le pilote. Ces données sont notamment introduites sous la forme de requêtes à partir du dispositif monde ouvert 16 comme cela sera expliqué par la suite.
Le système FMS 12 permet en outre de générer des données destinées par exemple à un autre système avionique et/ou au pilote et/ou au dispositif monde ouvert de communication 16. Ces données sont appelées par la suite des données de gestion de vol.
Le système FMS 12 est couplé notamment à un ou plusieurs écrans d’affichage et à des moyens d’introduction des données tels qu’un clavier par exemple.
De manière également connue en soi, ce système FMS 12 peut être doublé par un autre système de gestion de vol associé par exemple à un autre pilote.
L’interface 14 permet de raccorder le dispositif monde ouvert de communication 16 au système FMS 12.
L’interface 14 présente par exemple une passerelle connectée de manière filaire au système FMS 12 et sans fil au dispositif monde ouvert de communication 16.
Dans certains exemples de réalisation, cette interface 14 présente également un support servant de base pour le dispositif monde ouvert de communication 16.
Ainsi, dans ce cas, ce dispositif monde ouvert 16 peut par exemple être posé sur le support pour par exemple être chargé et pour être raccordé de manière filaire au système FMS 12. Lorsque le dispositif monde ouvert 16 est enlevé de ce support, ce dispositif 16 peut par exemple être raccordé à celle-ci sans fil, en utilisant l’un des protocoles de transmission de données sans fils connus en soi.
Le dispositif monde ouvert 16 présente par exemple une tablette ou tout autre dispositif électronique portable tel qu’un smartphone par exemple configuré pour être utilisé par le pilote pour communiquer avec le système FMS 12.
De manière générale, ce dispositif monde ouvert 16 peut présenter des fonctionnalités d’un dispositif électronique connu dans l’état de la technique sous le nom «Sac Électronique de Vol» ou «EFB» (del’anglais «Electronic Flight Bag»).
Notamment, ce dispositif monde ouvert 16 permet au pilote d’effectuer au moins certaines opérations relatives au calcul lors de la préparation d’un plan de vol.
Le dispositif monde ouvert de communication 16 sera désormais expliqué plus en détail en référence à la figure 2.
Ainsi, comme cela est illustré sur la figure 2, le dispositif monde ouvert 16 comprend une pluralité de composantes applicatives 22-1 à 22-N et une composante d’interfaçage 24 permettant de raccorder chacune de ces composantes applicatives 22-1 à 22-N au système FMS 12 via l’interface 14.
Le dispositif monde ouvert 16 comprend en outre des composantes connues en soi (non représentées sur la figure 2) telles qu’un processeur, une mémoire, un écran, des moyens d’introduction, etc.
Chacune des composantes applicatives 22-1 à 22-N présente par exemple une application stockée dans la mémoire du dispositif monde ouvert 16 et permettant de mettre en œuvre au moins certaines fonctionnalités utilisables par le pilote en relation avec le système FMS 12.
Ainsi, chacune de ces composantes applicatives 22-1 à 22-N permet de générer des requêtes à envoyer vers le système FMS 12 et de recevoir des données de gestion de vol issues de ce système FMS 12.
Pour connecter chacune des composantes applicatives 22-1 à 22-N au système FMS, la composante applicative 24 comprend un module de communication 31, un module d’authentification 32 et un clone 33 du système FMS 12.
La composante applicative 24 se présente notamment sous la forme d’un ou de plusieurs logiciels, ou au moins partiellement sous la forme d’un circuit logique programmable, par exemple de type FPGA (de l’anglais «Field-Programmable Gate Array»).
Le module de communication 31 permet d’intercepter chaque requête provenant de chaque composante applicative 22-1 à 22-N afin de la transmettre au clone 33.
Le module de communication 31 permet également de crypter les requêtes ayant le statut conforme et de les transmettre au module FMS 12.
Le module de communication 31 permet enfin de rejeter ou de renvoyer à la composante applicative correspondante chaque requête ayant le statut non-conforme, comme cela sera expliqué par la suite.
Le module d’authentification 32 permet d’authentifier chacune des composantes applicatives de 22-1 à 22-N pour qu’elle puisse communiquer avec la composante d’interfaçage 24.
Pour ce faire, le module d’authentification 32 comprend par exemple une base de données permettant d’identifier l’ensemble des composantes applicatives autorisées à communiquer avec le système FMS 12.
Selon un autre exemple de réalisation, le module d’authentification 32 est apte à mettre en œuvre une analyse spécifique de chacune des composantes applicatives pour lui délivrer ou non l’autorisation de communiquer avec le système FMS 12.
Le clone 33 permet de reproduire le fonctionnement du système FMS 12 de manière autonome. Pour ce faire, ce clone 33 se présente par exemple sous la forme d’un logiciel-clone du système FMS 12.
Autrement dit, le clone 33 est apte à modéliser le fonctionnement du système FMS 12.
En outre, le clone 33 est apte à recevoir chaque requête interceptée par le module de communication 31 afin de déterminer sa conformité.
En particulier, le clone 33 permet de déterminer un statut de chaque requête interceptée parmi un statut conforme et un statut non-conforme.
Le statut conforme est associé à la requête interceptée lorsque son exécution conduirait, selon la modélisation faite par ce clone 33, au fonctionnement normal du système FMS 12.
Le statut non-conforme est associé à chaque requête interceptée lorsque son exécution conduirait, selon la modélisation faite par ce clone 33, au fonctionnement anormal du système FMS 12 ou à au moins une donnée résultante anormale.
En particulier, le statut non-conforme est associé à une requête interceptée lorsqu’au moins l’une des conditions choisies dans le groupe comprenant:
- le nombre de requêtes envoyées dans un intervalle temporel prédéterminé n’est pas compatible avec la capacité de traitement du clone 33;
-le format de la requête ne correspond pas à un format attendu;
- l’exécution de la requête conduit à des données inattendues, notamment selon le contexte actuel du vol de l’aéronef;
- le plan de vol destiné à être transmis au système FMS 12 ne permet pas d’être exécuté par l’aéronef sans mettre en danger ses occupants.
est remplie.
En particulier, il est clair par exemple que lorsqu’une requête conduit à une déstabilisation du fonctionnement normal FMS selon la modélisation faite par le clone 33, le statut non-conforme est associé à cette requête.
Selon encore un autre exemple, lorsqu’une requête conduit à des données de performances en dehors des capacités de l’aéronef, cette requête est également associée au statut non-conforme.
Lorsqu’une requête est associée au statut non-conforme, le module de communication 31 est apte à renvoyer cette requête vers la composante applicative l’ayant générée avec un message d’erreur.
Ce message d’erreur peut par exemple comprendre un rapport complet relatif à la requête.
Le dispositif monde ouvert de communication 16 est apte à mettre en œuvre un procédé de communication selon l’invention qui sera désormais expliqué en référence à la figure 3 présentant un organigramme de ses étapes et en référence à la figure 4 illustrant la mise en œuvre de celles-ci.
L’étape initiale 110 correspond à une étape d’authentification des composantes applicatives 22-1 à 22-N autorisées à communiquer avec le système FMS 12.
L’étape 110 peut par exemple être mise en œuvre avant le vol de l’aéronef, lors de l’installation de la composante applicative correspondante ou lors de son ouverture sur le dispositif monde ouvert de communication 16.
En particulier, lors de cette étape, la composante applicative correspondante envoie une demande d’authentification au module d’authentification 32.
En fonction de la nature de cette composante applicative, le module d’authentification 32 autorise ou non cette composante à communiquer avec le système FMS 12.
Par la suite, il est considéré que chacune des composantes applicatives 22-1 à 22-N est autorisée à communiquer avec le système FMS 12.
L’étape 120 suivante est mise en œuvre lorsqu’une composante applicative, par exemple la composante applicative 22-1 envoie une requête vers le système FMS 12.
Cela peut être par exemple fait suite à une demande correspondante de la part du pilote, lors par exemple de la préparation ou de la modification d’un plan de vol.
Ainsi, lors de cette étape 120, la composante applicative 22-1 envoie au module de communication 31 la requête correspondante, comme cela est par ailleurs illustré sur la figure 4.
Lors de l’étape 130 suivante, le module de communication 31 intercepte la requête envoyée par la composante applicative 22-1 pour la transmettre au clone 33.
Lors de l’étape 140 suivante, le clone 33 détermine la conformité de la requête reçue.
Pour ce faire, le clone 33 modélise l’exécution de cette requête comme s’il s’agissait du système FMS 12.
Ensuite, le clone 33 analyse le résultat de cette exécution.
Lorsque l’exécution a conduit au fonctionnement normal du système FMS, le clone 33 conclut qu’il s’agit d’une requête conforme et la transmet au module de communication 31 avec le statut conforme lors de l’étape 145. Dans ce cas, le module de communication 31 crypte le message à transmettre au module FMS 12 et lui transmets lors de l’étape 150 via l’interface 14. Autrement dit, les requêtes sont transmises par le module de communication 31 au module FMS 12 sous une forme cryptée.
Lorsque le clone 33 considère que la requête correspondante a conduit à un fonctionnement anormal du système FMS par exemple lorsque l’une des conditions précitées est remplie, le clone 33 renvoie cette requête avec un statut non-conforme au module de communication 31 lors de l’étape 155. Lors de l’étape 160 suivante, le module de communication 31 transmet alors un message d’erreur à la composante applicative 22-1 ayant envoyé cette requête. Ce message peut être envoyé par exemple avec la requête correspondante et/ou avec un rapport complet relatif à l’erreur.
Éventuellement, lorsque le statut non-conforme a été associé à une requête, le module de communication bloque la composante applicative 22-1 l’ayant envoyée.
Lorsqu’une requête ayant le statut conforme est exécutée par le système FMS 12, ce système diffuse des données de gestion de vol sous la forme d’un flux de données qui est par exemple reçu par l’ensemble des composantes applicatives autorisées. Cela est par exemple fait directement, sans contrôle par la composante d’interfaçage 24.
La présente invention présente alors un certain nombre d’avantages.
Tout d’abord l’invention permet de connecter un dispositif monde ouvert tel qu’une tablette par exemple au système FMS de manière sécurisée.
Ceci a été rendu possible en intégrant un clone du système FMS directement dans ce dispositif monde ouvert.
Ainsi, lorsqu’une requête envoyée par l’une des composantes applicatives de ce dispositif présente un risque, cette requête est interceptée et n’est pas envoyée au système FMS.
Enfin, l’invention ne modifie pas le monde avionique et notamment ne modifie aucune composante du système FMS en intégrant l’ensemble de composantes nouvelles dans le dispositif monde ouvert.
Cela permet alors un déploiement particulièrement simple et facile de l’invention dans les composantes matérielles existantes.
Bien entendu, d’autres modes de réalisation restent également possibles.
Notamment, il est clair que l’invention reste applicable à tout système avionique autre que le système FMS. Dans, ce cas, le clone intégré dans le dispositif monde ouvert selon l’invention est apte à reproduire le fonctionnement d’un tel système avionique. Il est donc clair que l’ensemble des enseignements précédents restent applicables en relation avec un système avionique quelconque.

Claims (15)

  1. Dispositif monde ouvert de communication (16) avec un système avionique (12) d’un aéronef, comprenant une composante applicative (22-1, …, 22-N) apte à envoyer vers le système avionique (12) des requêtes et à recevoir de la part du système avionique (12) des données;
    le dispositif (16) étant caractérisé en ce qu’il comprend en outre une composante d’interfaçage (24) comprenant un module de communication (31) apte à intercepter chaque requête envoyée par la composante applicative (22-1, …, 22-N) et un clone (33) du système avionique (12) apte à tester chaque requête interceptée par le module de communication (31) pour déterminer un statut de cette requête entre un statut conforme et un statut non-conforme;
    le module de communication (31) étant apte à transmette au système avionique (12) uniquementles requêtes ayant le statut conforme.
  2. Dispositif (16) selon la revendication 1, dans lequel le module de communication (31) est apte en outre à envoyer à la composante applicative (22-1, …, 22-N) un message d’erreur pour chaque requête ayant le statut non-conforme.
  3. Dispositif (16) selon la revendication 1 ou 2, dans lequel la composante d’interfaçage (24) comprend en outre un module d’authentification (32) apte à authentifier la composante applicative (22-1, …, 22-N) pour l’autoriser à envoyer des requêtes vers le système avionique (12).
  4. Dispositif (16) selon l’une quelconque des revendications précédentes, dans lequel les données émises par le système avionique (12) se présentent sous la forme d’un flux de données diffusé par ce système (12) et dans lequel la composante d’interfaçage (24) est apte à transmettre directement ledit flux de données à la composante applicative (22-1, …, 22-N).
  5. Dispositif (16) selon l’une quelconque des revendications précédentes, dans lequel le module de communication (31) est apte à transmette au système avionique (12) les requêtes correspondantes sous une forme cryptée.
  6. Dispositif (16) selon l’une quelconque des revendications précédentes, dans lequel la composante d’interfaçage (24) est la seule composante du dispositif (16) raccordée au système avionique (12).
  7. Dispositif (16) selon l’une quelconque des revendications précédentes, dans lequel la composante d’interfaçage (24) se présente sous la forme d’une application.
  8. Dispositif (16) selon l’une quelconque des revendications précédentes, dans lequel le clone (33) se présente sous la forme d’un logiciel-clone du système avionique (12).
  9. Dispositif (16) selon l’une quelconque des revendications précédentes, dans lequel le clone (33) détermine le statut d’une requête comme non-conforme lorsqu’ au moins l’une des conditions choisie dans le groupe comprenant:
    - le nombre de requêtes envoyées dans un intervalle temporel prédéterminé n’est pas compatible avec la capacité de traitement du clone (33) ;
    - le format dela requête ne correspond pas à un format attendu;
    - l’exécution de la requête conduit à des données inattendues;
    - la requête ne permet pas d’être exécutée par le système avionique (12) de l’aéronef sans mettre en danger ses occupants;
    est remplie.
  10. Dispositif (16) selon l’une quelconque des revendications précédentes, dans lequel le module de communication (31) est apte à bloquer la composante applicative (22-1, …, 22-N) lorsqu’au moins une requête envoyée par cette composante a le statut non-conforme.
  11. Dispositif (16) selon l’une quelconque des revendications précédentes, comprenant une pluralité de composantes applicatives (22-1, …, 22-N), chaque composante applicative (22-1, …, 22-N) étant apte à envoyer vers le système avionique (12) des requêtes via la composante d’interfaçage (24) et à recevoir de la part de ce système avionique (12) des données.
  12. Dispositif (16) selon l’une quelconque des revendications précédentes, dans lequel le système avionique (12) est un système de gestion de vol (12).
  13. Système de communication (10) pour un aéronef, comprenant:
    - un système avionique (12);
    - un dispositif monde ouvert de communication (16) avec le système avionique (12), le dispositif (16) étant selon l’une quelconque des revendications précédentes.
  14. Système de communication (10) selon la revendication 13, comprenant en outre une interface (14) raccordant le dispositif monde ouvert (16) au système avionique (12).
  15. Procédé de communication avec un système avionique (12) d’un aéronef, mis en œuvre par un dispositif monde ouvert de communication (16) selon l’une quelconque des revendications 1 à 12;
    le procédé comprenant les étapes suivantes:
    - génération (120) d’une requête destinée au système avionique (12);
    - interception (130) de ladite requête;
    - test (140) de ladite requête interceptée par le module de communication (31) pour déterminer un statut de cette requête entre un statut conforme et un statut non-conforme;
    - lorsque ladite requête a le statut conforme, envoi (150) de cette requête au système avionique (12).
FR2002545A 2020-03-16 2020-03-16 Dispositif monde ouvert de communication avec un système avionique, système de communication et procédé de communication associé Active FR3108199B1 (fr)

Priority Applications (6)

Application Number Priority Date Filing Date Title
FR2002545A FR3108199B1 (fr) 2020-03-16 2020-03-16 Dispositif monde ouvert de communication avec un système avionique, système de communication et procédé de communication associé
PCT/EP2021/056701 WO2021185846A1 (fr) 2020-03-16 2021-03-16 Dispositif monde ouvert de communication avec un système avionique, système de communication et procéde de communication associés
CA3171907A CA3171907A1 (fr) 2020-03-16 2021-03-16 Dispositif monde ouvert de communication avec un systeme avionique, systeme de communication et procede de communication associes
US17/911,918 US12438846B2 (en) 2020-03-16 2021-03-16 Open world communication device for communicating with an avionics system, associated communication system and communication method
CN202180028230.7A CN115769288B (zh) 2020-03-16 2021-03-16 用于与航空电子系统通信的开放世界通信设备、相关通信系统和通信方法
DE112021001641.5T DE112021001641T5 (de) 2020-03-16 2021-03-16 Open-World-Kommunikationsvorrichtung zur Kommunikation mit einem Avioniksystem, assoziiertes Kommunikationssystem und Kommunikationsverfahren

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2002545 2020-03-16
FR2002545A FR3108199B1 (fr) 2020-03-16 2020-03-16 Dispositif monde ouvert de communication avec un système avionique, système de communication et procédé de communication associé

Publications (2)

Publication Number Publication Date
FR3108199A1 true FR3108199A1 (fr) 2021-09-17
FR3108199B1 FR3108199B1 (fr) 2022-03-25

Family

ID=70978157

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2002545A Active FR3108199B1 (fr) 2020-03-16 2020-03-16 Dispositif monde ouvert de communication avec un système avionique, système de communication et procédé de communication associé

Country Status (5)

Country Link
US (1) US12438846B2 (fr)
CA (1) CA3171907A1 (fr)
DE (1) DE112021001641T5 (fr)
FR (1) FR3108199B1 (fr)
WO (1) WO2021185846A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3413200A1 (fr) * 2017-06-05 2018-12-12 Honeywell International Inc. Systèmes et procédés de validation de données externes pour les systèmes embarqués à bord des aéronefs
US10295349B2 (en) * 2016-05-24 2019-05-21 Airbus Operations (S.A.S.) Flight management system for an aircraft and method of securing open world data using such a system
EP3553764A1 (fr) * 2018-04-05 2019-10-16 Ge Aviation Systems Llc, Inc. Fourniture d'une interface ouverte à des systèmes de navigation

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7845001B2 (en) * 2004-09-15 2010-11-30 Verizon Business Global Llc Method and system for managing secure platform administration

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10295349B2 (en) * 2016-05-24 2019-05-21 Airbus Operations (S.A.S.) Flight management system for an aircraft and method of securing open world data using such a system
EP3413200A1 (fr) * 2017-06-05 2018-12-12 Honeywell International Inc. Systèmes et procédés de validation de données externes pour les systèmes embarqués à bord des aéronefs
EP3553764A1 (fr) * 2018-04-05 2019-10-16 Ge Aviation Systems Llc, Inc. Fourniture d'une interface ouverte à des systèmes de navigation

Also Published As

Publication number Publication date
CN115769288A (zh) 2023-03-07
US20230140117A1 (en) 2023-05-04
FR3108199B1 (fr) 2022-03-25
US12438846B2 (en) 2025-10-07
DE112021001641T5 (de) 2023-02-16
WO2021185846A1 (fr) 2021-09-23
CA3171907A1 (fr) 2021-09-23

Similar Documents

Publication Publication Date Title
US12095755B1 (en) Techniques for simultaneously accessing multiple isolated systems while maintaining security boundaries
AU2019204322B2 (en) Aggregation platform portal
FR3020910A1 (fr) Systeme de connexion d'un dispositif mobile a un reseau sans fil d'un aeronef
CN121357005A (zh) 用于管理车辆数据收集的系统、方法和装置
US11683299B2 (en) Semi-interactive one-way transfer of data to an isolated network
US12327127B2 (en) Techniques for bootstrapping across secure air gaps with static sidecar
US11425147B2 (en) In-service data plane encryption verification
FR2926692A1 (fr) Procedes et dispositifs pour ameliorer la fiabilite de communication entre un aeronef et un systeme distant
US12153933B2 (en) Techniques for bootstrapping across secure air gaps with edge device cluster
FR3027477A1 (fr) Commutateur de transmission de donnees entre reseaux heterogenes pour aeronef
EP3241137B1 (fr) Procede mis en oeuvre dans un document d'identite et document d'identite associe
FR3050555B1 (fr) Procede de traitement d'un fichier de mise a jour d'un equipement avionique d'un aeronef, produit programme d'ordinateur, dispositif electronique de traitement et systeme de traitement associes
US20260073739A1 (en) System, method, and apparatus for vehicle testing and diagnostics
EP3433991A1 (fr) Procédé de gestion et de maintenance d'un aéronef comportant une zone de haut degré de sécurité
EP3555745B1 (fr) Dispositif de chargement de données dans des unités informatiques de traitement depuis une source de données
EP3667530B1 (fr) Accès sécurise à des données chiffrées d'un terminal utilisateur
FR2952258A1 (fr) Procede et dispositif pour acceder a des fonctions de maintenance d'un aeronef a partir d'un terminal mobile de maintenance
FR3108199A1 (fr) Dispositif monde ouvert de communication avec un système avionique, système de communication et procédé de communication associé
EP2689569B1 (fr) Dispositif de connexion à un réseau de haute sécurité
FR3094595A1 (fr) Serveur multimédia destiné à être embarqué à bord d'un aéronef, système électronique de divertissement comprenant un tel serveur, procédé de mise à jour d'un tel serveur et programme d'ordinnateur associé
FR3140966A1 (fr) Procédé et dispositif de communication pour véhicule comprenant une chaine de blocs
EP4119900B1 (fr) Calculateur amovible pour aeronef
FR3032846A1 (fr) Procede de communication securisee entre un systeme d'exploitation d'un terminal et un dispositif distinct du terminal
EP3084666A1 (fr) Dispositif d'interconnexion de réseaux de communication à sécurité contrôlée
CN115769288B (zh) 用于与航空电子系统通信的开放世界通信设备、相关通信系统和通信方法

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20210917

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7