Système de gestion des droits d'accès à des applications et des données avioniques et procédé mis en œuvre par ce système

Domaine de l'invention L'invention concerne un système pour gérer les droits d'accès d'un utilisateur à des applications et des données avioniques, c'est-à-dire à des informations relatives au vol et à la sécurité d'un aéronef.

L'invention concerne également un procédé mis en œuvre par ce système de contrôle d'accès. L'invention trouve des applications dans le domaine de l'aéronautique et, en particulier, dans le domaine de la sécurité des aéronefs pour sélectionner le personnel autorisé à accéder à certaines informations mémorisées dans le calculateur de l'aéronef. Etat de la technique Actuellement, en aéronautique, les différentes applications et données relatives au vol d'un aéronef comme, par exemple, un plan de vol, sont accessibles, depuis le cockpit de l'aéronef, à toutes les personnes ayant accès au cockpit. Autrement dit, toute personne ayant accès à l'aéronef, et notamment au cockpit, peut avoir accès à toutes les applications et données avioniques enregistrées dans le calculateur de l'aéronef et destinées à être affichées sur les écrans du cockpit.

Or, certaines de ces applications et de ces données, appelées par la suite informations avioniques, sont confidentielles et ne doivent être connues que de certaines personnes, comme le personnel de navigation de l'aéronef. En particulier, dans le domaine de l'aéronautique militaire, il est indispensable que certaines informations restent secrètes tant que l'aéronef est au sol. Par exemple, dans certaines missions secrètes, le plan de vol d'un aéronef militaire doit être connu uniquement du pilote et de son équipe de navigation. Dans de telles missions, pour assurer la confidentialité du plan de vol, il est important que l'ensemble du personnel pouvant avoir accès à l'aéronef, au sol, par exemple les techniciens de maintenance, ne puisse être en mesure de connaître ce plan de vol.

Actuellement, il n'existe aucun moyen technique pour contrôler l'accès aux applications et aux données avioniques, c'est-à-dire aux informations susceptibles d'être affichées sur les écrans du cockpit.

En outre, actuellement, l'accès aux informations avioniques est anonyme, ce qui signifie qu'il n'y a aucune trace des informations visionnées et des actions effectuées par les personnes, dans le cockpit de l'aéronef. Il n'est donc pas possible de connaître, à posteriori, la liste des personnes ayant utilisé des applications avioniques ou ayant visionné des données avioniques. Cependant, il peut être important, dans le cas de missions militaires ou en cas d'incident, de connaître la liste des personnes ayant accédé aux différentes informations avioniques. Exposé de l'invention L'invention a pour but de remédier aux inconvénients des techniques exposées précédemment. A cette fin, l'invention propose un procédé et un système qui permettent de contrôler l'accès aux applications et aux données avioniques. Pour cela, l'invention propose de munir d'une carte d'identification chaque utilisateur susceptible d'avoir accès à l'aéronef et d'utiliser un dispositif d'identification connecté à un calculateur avionique pour lire ces cartes d'identification et déterminer les droits d'accès d'un utilisateur à des informations avioniques. En fonction de ses droits d'accès, l'utilisateur peut utiliser certaines applications et visionner certaines données ou bien accéder à toutes les informations ou à aucune information. L'affichage des applications et des données sur les écrans de l'aéronef n'est autorisé que si les droits d'accès de la personne le permettent.

De façon plus précise l'invention concerne un système de gestion des droits d'accès d'un utilisateur à des informations avioniques, embarqué à bord d'un aéronef, caractérisé en ce qu'il comporte : - au moins un dispositif d'identification apte à lire des informations d'identité de l'utilisateur contenues dans une carte personnelle, et

- un calculateur avionique comportant des moyens de gestion des droits d'accès, aptes à authentifier l'utilisateur et à déterminer, en fonction de l'identité de l'utilisateur, des droits d'accès aux informations avioniques. Le système de l'invention peut comporter également une ou plusieurs des caractéristiques suivantes :

- le dispositif d'identification est apte à lire une carte à puce comportant un code d'identification et les droits d'accès de l'utilisateur.

- le dispositif d'identification est apte à lire une carte biométrique et en ce que les droits d'accès sont mémorisés dans une base de données.

- le dispositif d'identification est un lecteur de cartes.

- le calculateur avionique est relié à un système de gestion de l'affichage à qui il transmet des autorisations et/ou des interdictions d'affichage. - plusieurs stations de travail sont reliées au calculateur avionique et qu'au moins un dispositif d'identification est associé à chaque station de travail.

L'invention concerne également un procédé de gestion des droits d'accès d'un utilisateur à des informations avioniques, caractérisé en ce qu'il comporte les opérations suivantes :

- lecture d'une carte personnelle et détermination de l'identité de l'utilisateur,

- transfert de l'identité de l'utilisateur au calculateur avionique,

- détermination, par le calculateur avionique, des droits d'accès de l'utilisateur à des informations avioniques, en fonction de son identité,

- transmission d'autorisations et/ou interdictions d'affichage des informations avioniques à des dispositifs d'affichage de l'aéronef.

Le procédé de l'invention peut comporter également une ou plusieurs des caractéristiques suivantes : - il comporte une opération d'enregistrement des informations visualisées par l'utilisateur et d'actions effectuées par ledit utilisateur.

- la gestion des droits d'accès est désactivée automatiquement lorsque l'aéronef est en vol et activée automatiquement lorsque l'aéronef est au sol. - il comporte une opération d'authentification de la carte personnelle.

L'invention concerne également un aéronef comportant le système tel que décrit précédemment.

Brève description des dessins

La figure 1 représente un système de contrôle d'accès selon l'invention installé au sein de l'équipement électronique embarqué à bord de l'aéronef.

La figure 2 représente un diagramme fonctionnel du procédé de contrôle d'accès selon l'invention.

Description détaillée de modes de réalisation de l'invention

L'invention propose un système et un procédé pour contrôler l'accès aux informations avioniques. Pour cela, l'invention propose d'attribuer des droits d'accès à chaque utilisateur susceptible d'accéder à un aéronef. Ces droits d'accès sont personnalisés en fonction de l'identité de l'utilisateur. Ces droits d'accès sont des autorisations et/ou des interdictions d'accéder à certaines informations avioniques, à savoir des données ou des applications avioniques. L'autorisation ou l'interdiction d'accès peut être donnée à un utilisateur particulier ou à un groupe d'utilisateurs, pour une application ou une donnée spécifique, ou encore pour un type d'application ou un type de donnée. Autrement dit, l'invention propose d'autoriser ou de refuser l'accès à certaines informations avioniques en fonction de l'identité de l'utilisateur ou de l'appartenance de cet utilisateur à une catégorie d'utilisateurs, telle que la catégorie des techniciens de maintenance, la catégorie des pilotes, la catégorie des agents de sécurité, la catégorie du personnel de chargement, etc., L'invention permet, par exemple, d'autoriser tous les pilotes à accéder à toutes les informations avioniques, d'autoriser la mise à jour des calculateurs de l'aéronef uniquement au personnel autorisé, d'interdire l'accès aux données de mission de l'aéronef à tout le personnel autre que l'équipe de pilotage, etc. Selon l'invention, chaque utilisateur a donc des droits d'accès personnels. Ces droits d'accès sont liés à l'identité de l'utilisateur. Dans la suite de la description, on regroupera sous le terme « identité de l'utilisateur », toutes les informations relatives à l'utilisateur, telles que son nom et sa date de naissance, ou encore la catégorie d'utilisateurs dans laquelle il se situe.

Dans l'invention, on munit chaque utilisateur d'une carte personnelle, appelée aussi carte d'identification, contenant des informations d'identité de l'utilisateur. Cette carte personnelle peut être une carte à puce, une carte magnétique, une carte biométrique, etc., ou tout type de carte permettant de mémoriser des informations relatives à l'identité de l'utilisateur.

Dans un mode de réalisation de l'invention, la carte personnelle contient uniquement des informations d'identité de l'utilisateur. C'est le cas, par exemple, d'une carte biométrique. Comme on le verra de façon plus détaillée par la suite, les droits d'accès attribués à chaque utilisateur sont,

dans ce mode de réalisation, mémorisés dans une base de données reliée au calculateur de l'aéronef.

Dans le mode de réalisation préféré de l'invention, la carte personnelle, par exemple une carte magnétique ou une carte à puce, contient, en plus des informations d'identification, un code d'identification qui permet à l'utilisateur de se faire authentifier auprès du système de l'invention. Ce code d'identification peut être un code PIN (Personal Identification Number, en termes anglo-saxons) ou tout autre type de code secret. Ce code d'identification permet au système de l'invention de s'assurer que la personne qui présente la carte d'identification est bien le titulaire de ladite carte.

Dans ce mode de réalisation, la carte personnelle peut contenir aussi les droits d'accès de l'utilisateur. Dans ce cas, les droits d'accès de l'utilisateur sont enregistrés dans une zone mémoire de la carte elle-même. Les cartes personnelles telles qu'elles viennent d'être décrites peuvent être utilisées uniquement pour la gestion des droits d'accès du personnel. Les cartes personnelles peuvent aussi être des cartes multiusages, utilisées pour d'autres fonctions (comme l'interopérabilité de la carte avec les systèmes sol de préparation de mission et de maintenance). Dans ce cas, les droits d'accès aux applications et aux données avioniques sont ajoutées à la carte existente.

Selon l'invention, l'authentification de l'utilisateur et le contrôle des accès aux informations avioniques est réalisé au moyen d'une application de gestion des droits d'accès, appelée application IA4CS (Identification, Authentification, Accounting, Audit and Access Control, en termes anglo- saxons). Cette application de gestion des droits d'accès est hébergée dans un serveur d'applications de l'aéronef. Ce serveur d'applications peut être un calculateur de l'aéronef, embarqué à bord de l'aéronef. Ce calculateur avionique supporte, outre l'application de gestion des droits d'accès, une pluralité d'applications avioniques classiques.

Sur la figure 1 , on a représenté un exemple d'un système de contrôle de l'accès aux informations avioniques conforme à l'invention. Ce système comporte le calculateur avionique 1 décrit précédemment. Ce calculateur 1 est relié aux différents équipements électroniques de l'aéronef. Il est relié, notamment :

- à une station de travail fixe 2 du cockpit, appelée station AMAT (Aircraft Multipurpose Access Terminal, en termes anglo-saxons),

- à une station de travail multitâche portable 3, appelée PMAT (Portable Multipurpose Access Terminal, en termes anglo-saxons) connecté au calculateur par une liaison filaire ou sans fil, et

- à un terminal de chargement des soutes 4.

Comme on le verra de façon plus détaillée par la suite, le calculateur 1 est également relié à différents systèmes de l'aéronef par l'intermédiaire d'un réseau avionique 5. Selon l'invention, le calculateur 1 est relié également à au moins un dispositif d'identification. Le dispositif d'identification est un lecteur de cartes adapté au type de cartes utlisées comme cartes personnelles. Dans le mode de réalisation préféré de l'invention, la carte personnelle étant une carte à puce, le dispositif d'identification est un lecteur de cartes à puce. Dans l'exemple de la figure 1 , le système de l'invention comporte plusieurs lecteurs de cartes. Il comporte un premier lecteur de cartes 10 connecté directement au calculateur 1. Ce premier lecteur de cartes 10 est installé dans le cockpit, par exemple à proximité des écrans du cockpit. Il comporte également des lecteurs de cartes placés à proximité des différentes stations de travail de l'aéronef. Dans l'exemple de la figure 1 , un deuxième lecteur de carte 21 est installé à proximité de la station AMAT 2. Ce deuxième lecteur de cartes 21 est relié au calculateur 1 par l'intermédiaire de ladite station AMAT. Un troisième lecteur de cartes 31 est installé à proximité de la station PMAT 3. Ce troisième lecteur de cartes 31 est relié au calculateur 1 par l'intermédiaire de ladite station PMAT. Un quatrième et un cinquième lecteurs de cartes 41 , 42 sont installés dans la soute. Ils sont reliés directement au calculateur 1.

Dans l'exemple de la figure 1 , le calculateur avionique 1 héberge de nombreuses applications nécessaires au vol de l'aéronef, telles que des application d'aide au pilotage. Dans l'exemple de la figure 1 , le calculateur 1 supporte un système 12 de configuration et de chargement de données DLCS, un système 14 de maintenance centralisé CMS, un système 16 de gestion des conditions aéronautiques ACMS, un système 18 de gestion de la durée de vie LTMS, une fonction 13 d'administration du serveur NSS, une fonction 15 d'instrumentation du routeur de communication du réseau

aéronautique NAIF, un système 17 d'aide au décollage et à l'atterrissage TOPOCF et une fonction 19 de gestion du réseau NBF. Selon l'invention, le calculateur avionique 1 comporte également une application 11 de gestion des droits d'accès IA4C. Cette application 11 de gestion des droits d'accès assure, d'une part, l'authentification de l'utilisateur et, d'autre part, la gestion des droits d'accès de cet utilisateur.

Le calculateur avionique est relié, via l'application d'authentification, à des stations de travail. Le calculateur avionique est également relié à différents systèmes de contrôle par l'intermédiaire d'un réseau. Dans l'exemple de la figure 1 , le calculateur avionique est relié au système de gestion de vol FMS, au système d'aide de défense DASS, et au système de gestion de missions militaires MMMS. Le calculateur avionique est également relié à un système de contrôle des affichages CDS. Ce système de contrôle des affichages assure la gestion des données à afficher sur les différents écrans du cockpit.

Ainsi, un utilisateur qui souhaite accéder à des informations avioniques doit obligatoirement insérer sa carte personnelle dans un des lecteurs de cartes du système. Tant qu'aucune carte n'a été insérée dans un des lecteurs de cartes, aucune autorisation d'accès n'est donnée, c'est-à-dire qu'aucune information n'est affichée sur aucun écran du cockpit. La demande d'une information avionique doit nécessairement passer par l'application 1 1 de gestion des droits d'accès. Pour cela, une carte personnelle doit avoir été lue par un des lecteurs qui transmet alors les informations d'identité lues sur la carte à l'application 11 de gestion des droits d'accès du calculateur 1. A réception de ces informations d'identité, le calculateur 1 , et en particulier l'application 1 1 du calculateur, authentifie l'utilisateur au moyen de son code d'identification. Si l'utilisateur n'est pas authentifié, aucun affichage n'est autorisé. Si l'utilisateur est authentifié, le calculateur 1 détermine les droits d'accès de cet utilisateur en fonction de l'identité de l'utilisateur. Le calculateur donne alors l'accès aux informations avioniques que l'utilisateur est autorisé à utiliser. Le calculateur donne un accès à des informations avioniques en transférant, aux dispositifs ou aux applications concernés (c'est-à-dire les dispositifs ou les applications qui hébergent les informations avioniques recherchées), une autorisation ou une interdiction d'afficher les informations.

Dans le mode de réalisation de la figure 1 , le calculateur 1 est relié par le réseau avionique 5 à un système 9 de gestion des affichages du cockpit CDS (Cockpit Display System, en termes anglo-saxons). Le système 9 de gestion des affichages est un dispositif qui gère et contrôle l'affichage des différentes informations avioniques sur les différents écrans 91 du cockpit. Ce système 9 de gestion des affichages est lui-même relié par le réseau avionique 5 à une pluralité de calculateurs tels que le calculateur 8 de gestion de vol FMS, le calculateur 7 d'aide à la défense DASS et le calculateur 6 et le calculateur de gestion des missions militaires. Le système 9 de gestion des affichages reçoit des informations des différents calculateurs et génère l'affichage du cockpit en fonction de ces informations.

Ainsi, après détermination des droits d'accès de l'utilisateurs, le calculateur 1 transmet ces droits d'accès aux différents dispositifs d'affichage de l'aéronef et, notamment, au système de gestion des affichages. Autrement dit, il envoie, via le réseau avionique 5, au système 9 de gestion des affichages et aux éventuels autres dispositifs d'affichage, la liste des informations autorisées et/ou interdites à la visualisation par l'utilisateur. Dans une première variante, le système 9 de gestion des affichages affiche alors uniquement les informations avioniques autorisées parmi toutes les informations fournies par les différents calculateurs. Dans une seconde variante, le système 9 de gestion des affichages filtre les informations interdites pour n'afficher que les informations qui ne sont pas interdites. Les écrans de l'aéronef n'affichent ainsi que les informations avioniques autorisées suivant les droits de l'utilisateur authentifié. Sur la figure 2, on a représenté un diagramme fonctionnel du procédé mis en œuvre par le système de l'invention. Ce procédé comporte une première étape 100 dans laquelle l'utilisateur insère sa carte personnelle dans le lecteur de carte.

Le lecteur de carte demande à l'utilisateur d'entrer son code d'identification, ou code PIN. A l'étape 1 10, l'utilisateur inscrit son code d'identification sur le clavier du lecteur de carte. Si le code PIN inscrit est correct, c'est-à-dire s'il correspond bien à la carte personnelle insérée dans le lecteur, alors le procédé se poursuit à l'étape 120. Si le code PIN est faux, alors le lecteur de carte peut proposer un deuxième, voir un troisième essai à l'utilisateur. Si, au dernier essai, le code PIN est toujours invalide, alors la

carte personnelle est rejetée à l'étape 130 et aucun affichage n'est autorisé sur les écrans de l'aéronef.

Lorsque le code PIN est correct, alors les informations d'identité de l'utilisateur enregistrées dans la carte personnelle sont lues et transmises à l'application de gestion des droits d'accès du calculateur 1 (étape 120). Le calculateur 1 vérifie alors l'authenticité de la carte personnelle à l'étape 140.

A l'étape 150, le calculateur 1 recherche les droits d'accès de l'utilisateur qui vient d'être authentifié. Comme expliqué précédemment, les droits d'accès de chaque utilisateur peuvent être enregistrés directement sur la carte personnelle de l'utilisateur. C'est le cas, par exemple, lorsque la carte personnelle est une carte à puce. Ce mode de réalisation a l'avantage de faciliter la lecture des informations d'identité. Il a l'avantage également de laisser la possibilité aux compagnies aériennes ou à l'armée de ne reconnaître, sur l'aéronef, que les cartes personnelles configurées par leurs organisations et de révoquer les cartes personnelles qui auraient pu être perdues. Par contre, la mise à jour des droits d'accès nécessite une lecture et une modification, carte par carte, de chacune des cartes dont les utlisateurs sont concernés par la mise à jour.

Les droits d'accès des utilisateurs peuvent aussi être enregistrés dans une base de données reliée au calculateur 1. C'est le cas, par exemple, lorsque la carte personnelle est une carte biométrique. Dans ce mode de réalisation, les droits d'accès de tous les utlisateurs sont regroupés dans le même dispositif. Ceci permet de faciliter la mise à jour des droits d'accès en modifiant simultanément les droits d'accès de tous les utilisateurs concernés. Dans le cas où les droits d'accès sont enregistrés sur la carte personnelle, le calculateur 1 lit simplement, sur la carte, ces droits d'accès. Dans le cas où les droits d'accès sont mémorisés dans une base de donnée, alors le calculateur 1 va rechercher, dans la base de données, les droits d'accès correspondants à l'utilisateur qu'il a authentifié. Une fois lus, les droits d'accès sont appliqués à l'étape 160.

L'application des droits d'accès consiste à transmettre une autorisation ou une interdiction d'afficher certaines informations avioniques aux dispositifs d'affichage ou au système de gestion des affichages. Les informations avioniques autorisées sont alors affichées sur les écrans du cockpit et/ou sur les écrans de la station de travail à laquelle est connecté le lecteur de cartes

utilisé. Par exemple, si l'utilisateur a utilisé le lecteur de cartes du cockpit, alors les informations autorisées sont affichées sur les écrans du cockpit. Si l'utilisateur a utilisé le lecteur de cartes relié terminal d'accès multitâche AMAT, alors les informations autorisées sont affichées sur les écrans du cockpit et sur les écrans de l'AMAT. Si l'utilisateur a utilisé le lecteur de cartes relié au terminal portable PMAT ou au terminal en soute, alors les informations autorisées ne sont affichées sur les écrans du terminal utilisé, respectivement les écrans du terminal PMAT ou les écrans du terminal de soute. Comme expliqué précédemment, a cette étape du procédé, l'utilisateur a accès aux différentes informations qu'il a le droit de consulter. L'utilisateur peut donc effectuer les actions nécessaires pour accomplir correctement sa tache de travail.

Dans un mode de réalisation préféré de l'invention, les différentes actions effectuées par l'utilisateur sont enregistrées, à l'étape 170, afin de pouvoir être utilisées ultérieurement. Cet enregistrement des actions des utilisateurs offre une traçabilité des accès aux informations avioniques. Cette traçabilité permet, en cas d'incident, d'avoir un regard à posteriori sur les actions effectuées par les différents utilisateurs et sur les informations visualisées avant l'incident. Autrement dit, cette traçabilité des accès aux informations avioniques permet de réaliser un audit avec consultation à posteriori des accès aux informations.

En outre, par cette traçabilité sur les actions des personnes qui se sont authentifiées auprès du système, l'invention permet de limiter l'accès aux informations avioniques en fonction des droits des utilisateurs et de révoquer un accès à ces informations, par exemple, lorsqu'une personne a changé de fonction ou qu'une carte personnelle a été perdue.

Dans un mode de réalisation de l'invention, lorsque l'utilisateur a fini d'utiliser les informations avioniques dont il avait besoin, il doit se déconnecter du système (étape 180). Pour cela, l'utilisateur insère à nouveau sa carte personnelle dans le lecteur de cartes, de préférence dans le même lecteur de cartes que celui dans lequel il avait initialement introduit sa carte personnelle. Selon les variantes, il peut être amené à saisir à nouveau son code d'identification. Lorsque le calculateur détecte l'identité du même utilisateur que celui authentifié précédemment, alors il considère que

la procédure d'affichage d'informations pour cet utilisateur est terminée. Cette étape de déconnexion par réinsertion de la carte personnelle permet à l'utilisateur de retirer sa carte afin de s'authentifier sur d'autres terminaux.

Dans un mode de réalisation préféré de l'invention, et pour des raisons de sécurité, le système de gestion des droits d'accès est automatiquement désactivé lorsque l'aéronef est en vol afin que tout l'équipage à bord puisse accéder à toutes les informations avioniques. Au contraire, lorsque l'aéronef est au sol, le système de l'invention est automatiquement réactivé.