ホーム > 特許ランキング > ザ・ボーイング・カンパニー
知財求人 - 知財ポータルサイト「IP Force」
特許6978204ミッション中の無人空中ビークルとのマルチ・パス通信のためのシステムおよびコンピュータ実行型の方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6978204
(24)【登録日】2021年11月15日
(45)【発行日】2021年12月8日
(54)【発明の名称】ミッション中の無人空中ビークルとのマルチ・パス通信のためのシステムおよびコンピュータ実行型の方法
(51)【国際特許分類】
H04W 48/16 20090101AFI20211125BHJP
H04L 9/08 20060101ALI20211125BHJP
G06F 21/60 20130101ALI20211125BHJP
G06F 21/44 20130101ALI20211125BHJP
B64C 39/02 20060101ALI20211125BHJP
H04B 7/185 20060101ALI20211125BHJP
H04W 12/08 20210101ALI20211125BHJP
B64C 13/20 20060101ALN20211125BHJP
【FI】
H04W48/16 134
H04L9/00 601C
G06F21/60 360
G06F21/44
B64C39/02
H04B7/185
H04W12/08
!B64C13/20 Z
【請求項の数】8
【外国語出願】
【全頁数】13
(21)【出願番号】特願2017-5713(P2017-5713)
(22)【出願日】2017年1月17日
(65)【公開番号】特開2018-11284(P2018-11284A)
(43)【公開日】2018年1月18日
【審査請求日】2020年1月16日
(31)【優先権主張番号】16382148.1
(32)【優先日】2016年4月6日
(33)【優先権主張国】EP
(73)【特許権者】
【識別番号】500520743
【氏名又は名称】ザ・ボーイング・カンパニー
【氏名又は名称原語表記】The Boeing Company
(74)【代理人】
【識別番号】100108453
【弁理士】
【氏名又は名称】村山 靖彦
(74)【代理人】
【識別番号】100133400
【弁理士】
【氏名又は名称】阿部 達彦
(74)【代理人】
【識別番号】100163522
【弁理士】
【氏名又は名称】黒田 晋平
(74)【代理人】
【識別番号】100154922
【弁理士】
【氏名又は名称】崔 允辰
(72)【発明者】
【氏名】ヴィクトル・ペレス・ヴィジャル
【審査官】
青木 健
(56)【参考文献】
【文献】
中国特許出願公開第102740366(CN,A)
【文献】
韓国公開特許第10−2016−0014546(KR,A)
【文献】
特表2010−508771(JP,A)
【文献】
米国特許出願公開第2003/0014368(US,A1)
【文献】
特開2003−069560(JP,A)
【文献】
米国特許出願公開第2008/0133935(US,A1)
【文献】
国際公開第2016/028527(WO,A2)
【文献】
米国特許出願公開第2014/0142787(US,A1)
【文献】
Sanchez et al.,The CCSDS Space Data Link Security Protocol,The 2010 Military Communications Conference,IEEE,2010年10月31日,P.219-214,https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=5680491
(58)【調査した分野】(Int.Cl.,DB名)
IPC H04B 7/24 − 7/26
H04W 4/00 − 99/00
H04L 9/08
G06F 21/60
G06F 21/44
B64C 39/02
B64C 13/20
(57)【特許請求の範囲】
【請求項1】
ミッション中の無人空中ビークル(UAV)のためのマルチ・パス通信のオンボード・システムであって、
前記ミッション中に1つまたは複数のネットワークで使用される複数の安全なデータ・リンクと、前記1つまたは複数のネットワークで使用される前記複数の安全なデータ・リンクの各々に関連付けられた地理的カバレッジ・データとを格納するように構成されたデータベースと、
複数の安全なデータ・リンクを用いて1つまたは複数のネットワーク上で通信するように構成された通信ユニットと、
カバレッジおよびUAV位置に従って前記複数の安全なデータ・リンクを管理し、前記1つまたは複数のネットワーク上で通信するように構成されている際に、同時に前記複数の安全なデータ・リンク間でデータ・フローを分配するための管理ユニットと、
を備え、
前記管理ユニットは、現在のUAV位置および地理的カバレッジ・データの互換性をチェックする際に前記データベース内のデータ・リンクを選択するように構成される、システム。
前記ミッション中に1つまたは複数のネットワークで使用される複数の安全なデータ・リンクと、前記1つまたは複数のネットワークで使用される前記複数の安全なデータ・リンクの各々に関連付けられた地理的カバレッジ・データとを格納するように構成されたデータベースと、
複数の安全なデータ・リンクを用いて1つまたは複数のネットワーク上で通信するように構成された通信ユニットと、
カバレッジおよびUAV位置に従って前記複数の安全なデータ・リンクを管理し、前記1つまたは複数のネットワーク上で通信するように構成されている際に、同時に前記複数の安全なデータ・リンク間でデータ・フローを分配するための管理ユニットと、
を備え、
前記管理ユニットは、現在のUAV位置および地理的カバレッジ・データの互換性をチェックする際に前記データベース内のデータ・リンクを選択するように構成される、システム。
【請求項2】
前記管理ユニットは、安全なデータ・リンクを用いて、認証されたエンティティから命令をリモートに受信する際に前記データベースを操作するように構成される、請求項1に記載のシステム。
【請求項3】
前記データベースの要素で実施される削除動作が、代替的な安全なデータ・リンクを用いて前記通信ユニットにより前記認証されたエンティティで確認される、請求項2に記載のシステム。
【請求項4】
前記認証されたエンティティは地上管制または異なるUAVである、請求項3に記載のシステム。
【請求項5】
前記データベース内の各データ・リンクは別々の暗号鍵でタグ付けされる、請求項1乃至4の何れか1項に記載のシステム。
【請求項6】
前記通信ユニットは、マルチ・パスTCP(MPTCP)を用いて通信するように構成され、前記データベース内の複数のデータ・リンクはMP_CAPABLEとしてマークされる、請求項1乃至5の何れか1項に記載のシステム。
【請求項7】
請求項1乃至6の何れかに記載のオンボード・システムを有する無人空中ビークル(UAV)のためのコンピュータ実行型マルチ・パス通信の方法。
【請求項8】
ミッション中の無人空中ビークル(UAV)に対するマルチ・パス通信のためのコンピュータ・プログラムであって、プロセッサにより実行されたとき、前記プロセッサに請求項7に記載の方法を実施させるコンピュータ・コード命令を備えた、コンピュータ・プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無人空中ビークル(UAV)を含む航空電気通信の分野に含まれる。特に、本発明は、地上局(複数可)およびUAVの間の高度なセキュリティ通信機構に関する。
【背景技術】
【0002】
無人空中ビークル(UAV)は乗務員が搭乗せずに飛行する航空機である。UAVは、人間によりリモートに操作されてもよく、または、自律動作が可能であってもよい。従来、UAVには安全な通信管理能力が提供されていない。しかし、地上ベースの制御システムおよびUAVの間の通信は、ミッション目標を実現するのに極めて重要である。このシナリオでは、連続的なネットワーク接続性を保証することはできない。さらに、通信を、1つまたは複数の通信経路またはデータ・リンクを扱う不均一ネットワーク上で確立する必要があるかもしれない。
【0003】
ミッション中に、UAVは、通信システムの多様な無線周波数、ブロードバンド、およびタイプを有する異なるデータ・リンクを用いて、地上管制に対してデータを送受信する。UAVはまた、TCP/IPのような通信標準を使用する。この点、複数のおよび多様な空中プラットフォーム、複数の特定の機能ペイロードおよびミッションのタイプの存在が脆弱性をもたらすかもしれない。サード・パーティが、UAVと地上管制の間の通信を損なうかもしれず、当該データ・リンクをハッキングすることによってUAVの制御を潜在的に取得するかもしれない。したがって、地上管制通信データ・リンク、この場合、コマンド制御メッセージ(C2メッセージ)およびまた(アップリンクまたはダウンリンクで)交換されるデータがサイバー攻撃の特定のターゲットでありうる。一般に、脅威は、スプーフィング、ハイジャックおよびジャミング(通信チャネルへの雑音の挿入)に関しうる。
【発明の概要】
【発明が解決しようとする課題】
【0004】
現在の脅威軽減技術は、オンボードの複雑かつ高価な電子対抗手段(ECM)システムを必要とする。振幅信号、到着時間、一貫性、到来角に関する極性または差分を用いた差別化信号に基づいてスプーフィングに対抗するための技術がある。それらは、データ・リンクが一意であるとき、ある程度の軽減を提供する。しかし、上で説明するように、UAVは一般に多数のデータ・リンクを使用する。さらにミッションは通常、データ・リンクを妨害しうる1つまたは多数のイベントを含み、しばしば、データ・リンク間の変更を必要とする。ミッション中のデータ・リンクのかかる多様性は、対抗手段の有効性を減らす重要な因子である。
【課題を解決するための手段】
【0005】
本発明は、通信のセキュリティおよび多様性を管理できる無人空中ビークル(UAV)上で実装されるコンピュータ実行型の方法およびシステムに関する。
【0006】
TCP/IP通信標準は現在、接続ごとの単一の経路に制限されている。マルチ・パスTCP(MPTCP)の使用が提案され、安全な通信を扱うための新たな特徴を追加することが本発明の特定の態様である。このMPTCP標準により、同一の接続のもとでノードごとの複数のアドレスの利用を可能とすることによって、複数の経路を用いたUAVと地上管制の間の通信を可能とする。有利なことに、ネットワーク上でMPTPCはTCPと同一であるように見える。MPTPCはまた後方互換であり、通信トラフィック・ルーティング、ネットワーク・アドレッシング、および接続管理を含む様々な態様が改善される。
【0007】
MPTCPは幾つかの利点を提供する。MPTCPは、複数のインタフェースを同時に使用することによってデータ転送のスループットを増大させる。輻輳制御機構はUAVとの通信に適切であるかもしれない。輻輳制御機構はまた、遅延耐性ネットワーク(DTN)およびTCP/IPに基づく新たな関連技術の利用を促進し容易化する。輻輳制御機構を、グローバル航空電気通信ネットワーク(ATN)と統合してもよい。
【0008】
本発明の1例は、ミッション中の無人空中ビークル(UAV)のためのマルチ・パス通信のオンボード・システムに関する。当該システムは、データベース、通信ユニット、および管理ユニットを備える。当該データベースは、ミッション中に1つまたは複数のネットワークで使用される複数の安全なデータ・リンクを格納するように構成される。当該通信ユニットは、複数の安全なデータ・リンクを用いて1つまたは複数のネットワーク上で通信するように構成され、当該管理ユニットはデータ・リンクを管理し、カバレッジおよびUAV位置に従って同時にデータ・リンク間でデータ・フローを分配するように構成される。
【0009】
本発明の1例はミッション中の無人空中ビークル(UAV)に対するマルチ・パス通信の方法に関する。当該方法は、プロセッサと、当該プロセッサにより実行されたときに、当該コンピュータに、ミッション中に1つまたは複数のネットワークで使用される複数の安全なデータ・リンクを格納するデータベースにアクセスし、複数の安全なデータ・リンクを用いて1つまたは複数のネットワーク上でデータ・フローを通信させるコンピュータ実行可能命令を含むメモリとを備えるコンピュータにより実装される。当該プロセッサはまた、データ・リンクを管理し、同時にカバレッジおよびUAV位置に従ってデータ・リンク間のデータ・フローを分散する命令を実行する。
【0010】
説明したこれらのおよび他の特徴、機能、および利点を、様々な実施形態において独立に実現してもよく、または、さらに他の実施形態において結合してもよい。
【0011】
本開示のより良い理解を支援し、非限定的な例として提供される一連の図面を以下で非常に簡単に説明する。
【図面の簡単な説明】
【0012】
【図1】異なるネットワークを用いて地理的領域上を飛行するUAVを概略的に示す図である。
【図2】地理的領域上を飛行しているUAVのトラフィックをハッキングしようとするサード・パーティを概略的に示す図である。
【図3】UAV飛行/ミッション中にセキュリティを管理するためのオンボード・データベース構造を示す図である。
【図4】通信の安全を確保するための6つの状態マシンを示す図である。
【図5】新規データ・リンクの検証を示す図である。
【図6】UAVミッション空間の重複ボリュームへの分解を概略的に示す図である。
【発明を実施するための形態】
【0013】
ミッション中にUAVが、複数のネットワーク接続の帯域幅を結合するか、または、地上管制とのセッションを維持しつつ異なるネットワークをローミングするかもしれない。この目的のため、UAVは、複数のネットワーク上のデータのTCPフローを分割し、当該セッションを落とすことなくシームレスにネットワーク間で変化するためのマルチ・パスTCP(MPTCP)を実装する。
【0014】
MPTCPは、インターネット・エンジニアリング・タスク・フォース作業部会のリクエスト・フォー・コメンツRFC−6824で定義されている。MPTCPは、実際のIPV4ネットワーク・アドレッシングシステムとともに動作するが、将来のIPv6標準インターネット・アドレッシング・システムの利用と完全に互換である。
【0015】
ここで提示した技術は、高レベルなセキュリティを保証するための、異なるネットワークを扱いUAVミッション中のデータ・フローをバランスするMPTCP通信を説明する。
【0016】
通常の状況を図1および図2に示す。UAVは異なる領域にわたるミッションのコースを飛行し(例えば、第1の領域11と第3の領域13は地上であり、第2の領域12は衛星である)、多数のデータ・リンクが同時に利用可能であってもよい。マルチ・パス通信は、様々なデータ・リンクを選択できるのでブロードバンドおよび信頼性を増大させる。
【0017】
好ましくは、インターネット・プロトコル(IP)はネットワーク・ルーティングおよびアドレッシング能力を提供する。これらを、複数の利用可能なデータ・リンク上のデータ・リンク停止を迂回するために使用してもよい。インターネットはまた、エンド・ツー・エンド(UAVおよび地上管制)データ転送サービス、即ち、幾つかのメッセージが失われた場合でも信頼できる配送を担当する送信制御プロトコル(TCP)を提供する。
【0018】
図1に示すように、T1からT6までの時間間隔では、UAV通信は異なるデータ・リンクによりサポートされる。UAVは、このデータ・リンクおよびネットワークを扱うためのインタフェースを起動し管理する。通信のTCP/IP機構において、サービスは、T1−T2では第1の領域11内の地上アンテナにより、T3−T4では第2の領域12内の衛星により、T5−T6では両方とも第3の領域13内で(MPTCP/IPプロトコルを用いて)同時に、提供される。特定の時間間隔において、特定のデータ・リンクを自発的に切断して、例えば慎重な飛行を維持してもよい。このシナリオのもとで、UAVが、幾つかのTCP/IP接続を同時に処理し、アドレスおよび複数の利用可能なネットワークを管理することを要求してもよい。
【0019】
幾つかのTCP接続を管理するために、UAVが、多数のネットワーク・インタフェースおよびデータ・リンクの間でデータ・フロー分割の再分割を編成してもよく、また、地上管制との通信を保証するために異なるデータ・リンク内の同一のデータを複製する冗長性を含んでもよい。例えばUAVが、単一のTCP経路を用いて肝要なデータのみを地上および衛星データ・リンクに送信してもよいが、MPTCPを用いて、UAVは地上データ・リンクを用いてデータの80%を送信でき、衛星を用いて当該データ・フローの残りの20%を同時に送信することができる。
【0020】
MPTCPは、遅延/妨害耐性ネットワーキング(DTN)と呼ばれる特定のバンドル・プロトコルを含むために、マルチ・パス通信の概念をオーバレイ・ネットワークの一部として拡張することを可能とする。オーバレイ・ネットワークは、既存のネットワークでは利用可能でないサービスを実装する目的で既存のネットワークの上に構築された通信ノードおよび論理リンクの仮想ネットワークである。オーバレイ・ネットワークとしてのDTNは、通信中の妨害および遅延ならびにマルチ・パス能力を管理することができる。
【0021】
MPTCPセッションを維持するために、少なくとも1つのデータ・リンクが必要である。通信は、衛星通信、地上通信ネットワーク、地上Wi−Fiアンテナ等を用いて確立される。UAVにおいてDTNおよびMPTCPを用いることによって、セッションは長期の切断間隔、および、現在の幾つかの衛星通信におけるような極端な遅延中にでも維持される。幾つかのケースでは、このオーバレイ・ネットワークが、アップリンクおよびダウンリンクを考慮して非対称ブロードバンド通信を処理してもよい。
【0022】
UAVは、多数のネットワーク・プロバイダにわたるシームレスなセッション・エンドポイント・マイグレーションを可能とする必要がある。通信の途中において、単一のTCP接続は、変化するエンドポイント・アドレス(UAV IPアドレス)を扱うことができない。接続は壊れ、ネットワーク・アドレスの変化ごとに再確立されなければならない。これは通常、UAVが物理的に(空間にわたって)、および論理的に(ネットワークにわたって)の両方でミッション中に動き回るときのケースであり、データ・リンク層で実装される認証によりセッションを維持する必要がある。
【0023】
多様性とは別に、通信のセキュリティを保証するための機構がミッション中に必要である。この点、図2は図1と同様な状況を示し、UAVがミッション中に、サード・パーティがUAVと地上管制の間の通信をハッキングしようと試みる領域21にわたって飛行する。
【0024】
MPTCPを導入することによる脆弱性が、UAV飛行/ミッション中に、新たなアドレスを進行中の接続に追加する容量から生じうる。これは、攻撃のリダイレクションをもたらしうる。新たなアドレスを進行中の通信に追加する前に、UAVは新たなアドレスのセキュリティ/信頼性をチェックしなければならない。
【0025】
ミッションはミッション管理システム(MMS)により以前に計画されている。ミッションの準備中に、地上管制および他の信頼され協調するUAVとの通信計画を設計するための特定のタスクがある。通信計画は、ミッション中に使用されることが期待されるデータ・リンクの定義、カバレッジおよびミッション中に認証するための信頼された機構を含む。
【0026】
当該データ・リンクは、可用性に基づいて計画されるかまたは更新される。当該データ・リンクを集めてもよく、データ・リンク計画情報を地上ベースのデータベース、オンボード・データベース、または地上ベースおよびオンボードのデータベースの組合せで維持してもよい。図3を考慮すると、オンボード・データベース30が示されている。データベース30は、UAV識別(UAV ID31)およびセッション識別(セッションID32)を含む幾つかのフィールド31−35を含む。これらの2つの値は一意な識別子であり、ミッション目的をMMSにより定義するときに計画の最初にUAVに割り当てられる。
【0027】
本開示において、UAVID31およびセッションID32を提供するプロセスは識別と呼ばれる。当該識別が、物理的な無人プラットフォームにより構成されたハードウェア・トークンとオンボードに搭載された機能ペイロードとを使用してもよい。当該識別を、UAVが地上管制設備内の土地に配置されたときに行ってもよいが、飛行中に他の信頼されたUAVにより行うことも可能である(マシン・ツー・マシン(M2M)識別)。
【0028】
データベース30の管理を、地上管制および/または信頼されたUAVによりリモートに開始することができる。このデータベース30の要素に対する任意の更新/削除/挿入動作を、UAV管理ユニットにより実施し、承認されるために安全なデータ・リンクを用いて地上管制に送信しなければならない。管理ユニットが、装置メモリに格納されたコンピュータ可読プログラムコードを実行するように構成されたプロセッサを有するコンピューティング・デバイスとして実装してもよい。このデータベース30上の全ての動作は認証プロセスの後に生成される。当該認証が、UAVおよび地上管制の間の鍵確立(鍵交換)の以前のステップを用いて、非対称鍵アルゴリズムに基づいてもよい。当該接続を認証するために、ディフィー・ヘルマン鍵交換および公開鍵インフラ構造(PKIの)のような任意の暗号プロトコルを使用してもよい。これらの動作は、サード・パーティからのデータベース30の望ましくない操作を防止する。
【0029】
一般に、計画されたミッションは特定の制御された航空交通領域に制限される。この領域をその自身の頂点により囲まれた空間ボリューム(例えば、3D凸多角形)として定義でき、頂点は地理的座標(緯度および経度)および高度として参照される。ボリューム全体は、凸包(凸包絡)と呼ばれる点の凸集合により囲まれる。当該凸包は、その自身の頂点によりボリュームを定義するために計算幾何学において使用される概念である。
【0030】
図6に示すように、UAVミッションの空間全体を、凸ボリュームを重ね合わせることによって分解することができる。各ボリュームは、識別を有し、1つの(または多数の)データ・リンク・カバレッジに属する。UAVが、単一のボリュームにおいて飛行中であってもよく、または、複数の重複するボリューム内で同時に飛行中であってもよい。UAVがこれらのボリュームのうち1つ(または多数)の内部において飛行中であるとき、UAV通信ユニットは、以前に識別されたボリューム33およびデータ・リンクとの通信のみを、そのオンボード・データベース30内で承認および列挙されたものとして受理する(図3の表を参照)。UAVは、その地理的位置を全ての時点で認識し、計算幾何学を用いることにより、どのID_VOLUMEに所与のデータ・リンクが関連付けられるかを計算してもよい。
【0031】
UAVがボリュームID_VOLUME内に新規データ・リンクを発見した場合、UAVが、接続を否定するか、または、そのSSID(Service Set Identifier)にデジタル署名を加えてものを地上管制に送信して承認を待機してもよい。地上管制が新規データ・リンクを受理した場合には、オンボード・データベース30が正しく更新される。
【0032】
オンボード・データベース30に対するデータは、安全なデータ・リンクを用いて、認証プロセスの後にUAVにロードされる。このデータベース30に含まれる要素は、ミッション中の信頼されたデータ・リンクと考えられるべきである。関連付けられたボリュームは、ミッション経路と、不測の事態の場合にカバーされる近傍の領域と地理的に互換でなければならない。
【0033】
UAVと地上管制の間のMPTCP通信における複数の経路の安全性を確保するためのプロセス全体をさらに、図4の6状態マシンを参照して説明することができる。
【0034】
A)アイドル状態40−この状態では、UAVにはミッションが割り当てられていない。UAVを、ミッションの割当てを待機している他のUAVとともに、所有者設備内部で保護してもよい。あるいは、UAVが、新たな割当てを飛行中に待機していてもよく、または、別の異なるミッション中の他のUAV、およびMMSと協調していてもよい。UAVがミッションに割り当てられているとき、当該状態はUAVの識別を検証するために識別42に遷移する。
【0035】
B)識別状態42−UAVのアイデンティティは、UAVのデジタル・アイデンティティとして確認され定義される。識別が、UAVおよび/またはそのペイロードに関連付けられたハードウェア・トークンを使用してもよい。当該識別が、当該デジタル・アイデンティティに基づいてマシン・ツー・マシン(M2M)識別管理機構に依存してもよい。例えば、UAVのアイデンティティを、飛行中の別の信頼されたUAVにより確認してもよい。識別に成功した場合には、当該状態はUAVの識別を認証するために認証44に遷移する。
【0036】
C)認証状態44−認証の1つまたは複数の様々な方法を組み合せで実装してもよい。この状態において、強い多要素認証(MFA)を実装することが可能である。したがって、UAVのアイデンティティを、GPS、セキュリティトークン等により位置のような幾つかの別々の証明書を成功裏に表示することにより認証してもよい。
【0037】
初期認証44は、UAVが安全な初期鍵交換プロセス(例えば有名なディフィー・ヘルマン)でミッションを開始する前に生成される。これを、初期TCP/IPハンドシェークの一部として保護されたLAN(Local Area Network)を用いて行ってもよい。これは通常、地上管制設備内部でおよび/または他の信頼されたUAVにより飛行中に行われる。
【0038】
認証が上手く完了した後、ミッションはUAVに割り当てられると考えられ、ミッションが自律的に開始してもよい。初期認証状態が完了した後、データ・リンク・カバレッジを有するデータベース30がオンボードにロードされる。
【0039】
認証に成功したとき、データ・リンクを用いた通信が鍵交換46に遷移して安全な通信を確立する。
【0040】
D)鍵交換状態46−場合によっては、証明書を、各データ・リンク上で通信を暗号化するために交換してもよい。例えば、ディフィー・ヘルマン・プロトコルは適切であり、2つのコンピュータがある。一方はオンボードであり、他方は地上管制に配置されている。安全でないデータ・リンク内にわたって交換できる共有プライベート鍵(暗号化されている)が生成される。そうすることによって、盗聴者により当該鍵を取得することを回避することができる。鍵合意(交渉成功)に達したとき、次の状態はセッション状態46に到達する。
【0041】
E)セッション状態50−この状態は、安全なデータ・リンク上でUAVと接続された地上システムを保守するためのMPTCPセッションを生成する。全てのデータは、初期識別状態42中に共有される強力な暗号により安全が確保される。本発明の場合、情報を、MPTCPを用いたマルチ・パス・ブロードキャストにより送信してもよい。これは、先ず、当該通信が1つのみ(実際のデータ・リンク)を有し、さらなるデータ・リンクがグループに追加される場合、鍵をこの新規データ・リンクに対しても共有しうることを意味する。承認されたデータ・リンクのみが通信するために使用される。
【0042】
マルチ・パス機構の内部で1組の妥当なデータ・リンクを維持するために、MPTCP特徴を使用してUAVと地上の間の接続性を支援することを提案する。UAVは、MP_CAPABLE(マルチ・パスのサブ・フローの許可)としてマークされたMPTCPデータ・リンクのみを使用する。サード・パーティにより提供された任意の他のデータ・リンク、またはミッション中にしばしば近傍にある既存のデータ・リンクが回避される。さらに、さらなる通信セキュリティを保証するために、全ての新規データ・リンクが自身の暗号鍵を使用してもよい。
【0043】
MPTCPセッションを用いて、UAVが、(ミッションの最初に割り当てられた)単一のIPv6アドレスを用いて、または異なるデータ・リンクに接続された異なるIPv4を用いて、空間を移動することができる。IPv4のUAVアドレス内の全ての変化は識別、認証および鍵交換をトリガする。当該プロセス全体はDTN(Delay Tolerant Networks)で定義されたバンドル層と互換であり、非TCP/IPネットワークにわたってこの技術を使用することも可能である。これらの2つの特徴は、セキュリティを維持しつつ、このソリューションを数々の承認されたデータ・リンクに対して適切にする。
【0044】
通信セッション中に、新規データ・リンクが提供されるかもしれず、オンボード・コンピュータがMPTCPセッションを喪失するか、または証明書を再確認する必要があるかもしれない。これらの事例において、識別42、認証44、および鍵交換46のステップはデータ・リンクを再確立するかまたは新規データ・リンクを承認するために必要であり、当該状態は総計状態48を通じて遷移する。
【0045】
F)総計状態48−この状態は、新規データ・リンクが可能なものに追加されたとき、または、オンボード・コンピュータがMPTCPセッションを喪失したとき(この場合、識別状態42にシフトする)に到達する。総計状態48は、MPTCPプロトコルのもとで使用される前に、各新規データ・リンクの安全を確保させる。
【0046】
プロセスのまとめ纏めると、UAVがミッションを開始したときの最初のタスクは識別42、認証44および鍵交換46である。これらのステップは通常、ミッションの開始前にデータ・リンク層で実装される。認証44はセッションにリンクされ、データ・リンクにリンクされる。MPTCPセッションが失われた場合、幾つかの機構が以前の認証を再度セットアップするために実装される。新規データ・リンクが飛行中/ミッション中に提供された場合、地上管制からの承認が必要である。承認を得るための機構は、新たなSSIDを証明書とともに地上管制に再送して承認を待つことである。地上管制はデータベースをチェックし、当該新規データ・リンクが信頼されるかどうかを判定する。
【0047】
初期認証が完了したらミッションを開始してもよい。データベース30が(図3に示すように)オンボードにロードされ、飛行中/ミッション中に使用される1組の安全なデータ・リンクを格納する。これらの安全なデータ・リンクは既に定義された地理的ボリューム(凸包)、一意な通信データ・リンクを関連付けている。全てのデータ・リンクは自身の署名を有し、検証およびトンネル化されるデジタル署名を有する。これらのレコードは最初にデータベース30にロードされる。
【0048】
新規データ・リンク任意の可能な新規データ・リンクは、UAVにより使用される前に地上管制により承認されなければならない。当該新規データ・リンクの認証は地上管制のタスクの1つである。UAVは新規データ・リンク51の存在を地上管制に送信するだけでよい。図5は、新たなミッションまたは進行中のミッションに対する新規データ・リンクの検証の略例を示す。
【0049】
地上管制により承認された新規データ・リンク51を、UAV通信ユニットによりデータベース30に追加し、安全であると考えることができる。当該挿入は、地上管制に通信され、新規データ・リンク51を用いて開始されなければならない。認証で開始し、ネットワークに割り当てられたデジタル署名を使用し、当該通信がマルチ・パスのTCPサブ・フローをこのデータ・リンクに割り当てることを許可する。この挿入を地上管制に通信しなければならない。これらの動作中の地上管制との双方向通信を安全なデータ・リンク上で暗号化して、サード・パーティによる干渉を回避しなければならない。
【0050】
ときどき、地上管制は飛行中/ミッション中にデータベース30内の特定のデータ・リンクを削除または除去したい。当該動作を、認証され信頼されたデータ・リンクを介してのみUAVに通信しなければならない。削除は、代替的なデータ・リンクを用いて確認し、中間者攻撃を回避しなければならない。
【0051】
UAVがミッション中に安全なデータ・リンクを格納し管理する。識別、認証、および鍵交換のプロセスは常に図5に示すように新規データ・リンク51ごとに生成される。したがってデータ・リンクは、承認されたデータ・リンクごとに1つ、異なる鍵で暗号化される。全ての新規データ・リンクは地上管制で処理される。地上管制内の受信器ユニットは、全てのMPTCPパケットを復号化し、エンド・ツー・エンドのシステムを介してデータ・フローを編成することができる。次いで、強力な暗号化器を使用してデータ・リンクのセキュリティを高めてもよい。
【0052】
新規データ・リンクが利用可能であることをUAVが検出した場合、使用される前の最初のステップは、オンボード・データベース30内の安全なデータ・リンクとして列挙されているかどうかをチェックすることである。ついでUAVが、オンボード・データベース30内のレジスタとして格納されうるMP_CAPABLEとしてマークされる場合に、当該新規データ・リンクをマルチ・パス方式で利用するかどうかを判定してもよい。
【0053】
本発明の1つまたは複数の態様によれば、ミッション中の無人空中ビークル(UAV)のためのマルチ・パス通信のオンボード・システムは、データベース30、通信ユニット、および管理ユニットを備える。データベース30は、ミッション中に1つまたは複数のネットワークで使用される複数の安全なデータ・リンクを格納するように構成される。当該通信ユニットは、複数の安全なデータ・リンクを用いて1つまたは複数のネットワーク上で通信するように構成され、当該管理ユニットは、データ・リンクを管理し、カバレッジおよびUAV位置に従って同時にデータ・リンク間でデータ・フローを分配する。
【0054】
本発明の1つまたは複数の態様によれば、データベース30は、ネットワークの各データ・リンクに関連付けられた地理的カバレッジ・データを含む。
【0055】
本発明の1つまたは複数の態様によれば、当該管理ユニットは、現在のUAV位置および地理的カバレッジ・データの互換性をチェックする際に当該データベース内のデータ・リンクを選択するように構成される。
【0056】
本発明の1つまたは複数の態様によれば、当該管理ユニットは、安全なデータ・リンクを用いて、認証されたエンティティから命令をリモートに受信する際に当該データベースを操作するように構成される。
【0057】
本発明の1つまたは複数の態様によれば、データベース30の要素に実施される削除動作が、代替的な安全なデータ・リンクを用いて当該通信ユニットにより、当該認証されたエンティティで確認される。
【0058】
本発明の1つまたは複数の態様によれば、当該データベース内の各データ・リンクは別々の暗号鍵でタグ付けされる。
【0059】
本発明の1つまたは複数の態様によれば、当該通信ユニットは、マルチ・パスTCP(MPTCP)を用いて通信するように構成され、当該データベース内の複数のデータ・リンクがMP_CAPABLEとしてマークされる。
【0060】
本発明の1つまたは複数の態様によれば、当該認証されたエンティティは地上管制または異なるUAVである。
【0061】
本発明の1つまたは複数の態様によれば、ミッション中の無人空中ビークル(UAV)に対するマルチ・パス通信のコンピュータ実行型の方法は、データベース30にアクセスし、ミッション中に1つまたは複数のネットワークで使用される複数の安全なデータ・リンクを格納するステップと、複数の安全なデータ・リンクを用いてデータ・フローを1つまたは複数のネットワーク上で通信するステップと、カバレッジおよびUAV位置に従ってデータ・リンクを管理し、同時にデータ・リンク間でデータ・フローを分配するステップとを含む。
【0062】
本発明の1つまたは複数の態様によれば、当該コンピュータ実行型の方法は認証ステップを含み、認証は当該セッションおよび当該データ・リンクに関連付けられる。
【0063】
本発明の1つまたは複数の態様によれば、認証ステップは、データ・リンクがドロップされるかまたは新規データ・リンクが使用されるときにトリガされる。
【0064】
本発明の1つまたは複数の態様によれば、データ・リンクを管理するステップは、現在のUAV位置および地理的カバレッジ・データの互換性をチェックする際に当該データベース内のデータ・リンクを選択するステップを含む。
【0065】
本発明の1つまたは複数の態様によれば、データ・リンクを管理するステップは、安全なデータ・リンクを用いて、認証されたエンティティから命令をリモートに受信する際に当該データベースを操作するステップをさらに含む。
【0066】
本発明の1つまたは複数の態様によれば、ミッション中の無人空中ビークル(UAV)に対するマルチ・パス通信のためのコンピュータ・プログラム製品は、プロセッサにより実行されたとき、当該プロセッサに本明細書で説明する方法を実施させるコンピュータ・コード命令を含む。
【符号の説明】
【0067】
30承認済みデータ・リンク付きデータベース51新規TCPデータ・リンク