基于無證書密鑰隔離簽名和加密方案的ACARS數據鏈安全通信

◆翁太偉

?

基于無證書密鑰隔離簽名和加密方案的ACARS數據鏈安全通信

◆翁太偉

（中國民用航空珠海進近管制中心 廣東 519070）

基于地空數據鏈的飛機通信尋址與報告系統(ACARS)是民航飛機與地面進行通信主要方式之一。針對其受到的數據欺騙、實體偽裝和拒絕服務等威脅，本文通過分析部分學者提出的解決方案的不足，提出一個新型的無證書密鑰隔離簽名和加密方案，用于解決 ACARS數據鏈安全通信中CA不可信和密鑰泄漏問題。與傳統的公鑰體制和基于身份的密碼體制相比較，該無證書密鑰隔離簽名方案可以解決簽名驗證者在驗證簽名時需驗證簽名者公鑰的有效性和密鑰托管問題，該無證書密鑰隔離加密方案可以在密鑰泄漏后，還可以保證大部份數據的安全。本方案通過提出新型的無證書密鑰隔離簽名和加密方案實現時間片段內的安全簽名和加密，加密傳輸通信用的對稱密鑰，進而確保對話安全。本方案有如下兩個的優勢：(1)無需對用戶的公鑰進行數字證書管理，可以避免管理公鑰數據證書所引起的大量開銷；(2)能夠有效降低系統因密鑰泄漏帶來的危害。

ACARS數據鏈；無證書簽名；無證書加密；密鑰隔離；密鑰泄漏

0 引言

飛機通信尋址與報告系統(ACARS) 作為重要的地空通信手段，目前已廣泛應用于民用航空飛機與地面系統的數據通信中。航空公司通過ACARS數據鏈可以把飛機上的各類信息傳送到公司的維護部門、飛行管理部門、旅客服務部門等與航班相關的各個環節，空管系統依托 ACARS實現了數字空管系統（包括數字放行 DCL和數字通波 D- ATIS），實現從塔臺管制員到飛機飛行員之間的信息交換。但是因為ACARS報文使用明文傳輸的特性，任何人只需使用較低成本的接收裝置就能監視和解碼ACARS報文，獲得飛行器類型、位置、計劃航路、乘客情況和飛行器運行狀態等細節，進而對飛行的安全性產生重大威脅。目前的ACARS 系統存在著以下幾個安全問題：

(1) 數據欺騙——在ACARS明文通信過程，非法分子通過篡改和重新發送等方法修改真實的ACARS信息，飛機最終收到的是錯誤數據，從而對飛機的安全飛行產生直接影響。

(2) 實體偽裝——ACARS鏈路中沒有做到百分百保障鏈路的安全性，在空管的數字放行應用中，如果非法分子利用發射設備冒充空管部門發射虛假的ACARS報文指揮空中交通，直接影響航空飛行器的安全，甚至造成飛行器相撞的嚴重后果。

(3) 拒絕服務——攻擊者想辦法讓目標機器停止提供真實服務。ACARS 系統中地面站在同一時刻只能和一個飛機進行有效的通信，攻擊者直接發送或偽裝成某個飛機向地面站發送超量的ACARS偽報文，使得地面站不能夠及時響應其它飛機的正常通信請求，造成地面站或信息處理中心服務器超出負載能力，不能夠及時響應其正常信息，從而造成服務器拒絕服務[1]。

為了解決上述不安全問題，王曉林等學者提出基于第三方的端對端的安全架構方案，該方案混合使用對稱密碼和非對稱密碼的策略。但這個方案中的認證前提是CA是要求認證方所信任的。同時建議，為了防止密鑰的泄漏，還可以使用時間標記和證書有效期，而且CA也有必要保存一個合法的證書清單，有認證要求的一方可以定期查看它。但這樣的系統卻存在私鑰托管問題。CA可以獲取任何用戶的私鑰，不可靠的CA就可以竊聽任何用戶的通信信息，并可以偽造任何合法用戶的簽名。無證書公鑰密碼系統(certificateless public key cryptography)[2]正是為了克服基于身份的系統中的私鑰托管(key escrow)問題而提出的，其概念由Al-Riyami 和Paterson于2003 年提出。無證書公鑰密碼體制與基于PKI的傳統公鑰密碼體制相比較，有不需要公鑰證書等優勢，并且無證書密碼系統消除了基于身份的密碼系統中存在的私鑰托管問題。

在無證書的公鑰密碼體系中，需要一個可信的第三方密鑰生成中心KGC(key generation center)，KGC 持有系統的主密鑰(master key),根據系統的主密鑰和申請用戶的身份信息計算出用戶的部分私鑰，將結果傳送給申請用戶。在收到KGC發過來的部分私鑰后，申請用戶根據自己的部分私鑰和隨機生產的一個秘密值生成自己的完整私鑰。而公鑰則需要自己的秘密值、身份信息和系統參數安全共同計算得出，最終以可靠的方式公布?？蛻羰褂米约旱乃借€進行簽名和解密，而KGC無法獲取任何用戶的私鑰，這樣可以避免基于身份系統中的私鑰托管問題。

吳志軍等在文獻[3]中提出，在一些特殊情況下（如私鑰泄漏），航空公司可以向CA發送吊銷證書請求，收到請求后CA會吊銷證書。為了減少密鑰泄漏帶來的危害，Dodis等人[4]在2002年提出了一種密鑰隔離的密碼系統。在該系統中，一個物理安全的設備被用來儲存協助器密鑰，只有將私鑰和協助器密鑰結合起來才能完整密鑰的更新，這樣達到即使部分密鑰泄漏也可以最大限度的保證絕大多數的數據的安全。

在Dodis等人的基礎上，不少的密鑰隔離簽名方案被提出來[5-12]。Zhou等人[9]提出第一個基于身份的密鑰隔離簽名方案，然而Weng等人[7]指出該方案無法滿足強密鑰隔離安全，并給出了一個滿足強密鑰隔離安全的基于身份的密鑰隔離簽名方案。Zhongmei[12]提出了一個無證書密鑰隔離簽名方案，該方案中包含著傳統無證書密碼方案的一些類似組成。

在此基礎上，結合ACARS數據鏈安全通信存在的問題，我們構建出新型的無證書密鑰隔離簽名和加密方案，該方案有兩個的優勢，一是無需對用戶的公鑰進行數字管理，可以避免傳統PKI機制因管理公鑰數據證實引起的大量開銷；二是能夠有效地降低因密鑰泄漏帶來的危害。

1 相關數學知識

本方案需要用到雙線性配對(bilinear pairing)群組這一工具。為此，下面給出非對稱和對稱的雙線性映射群組的定義。

2 方案模型

2.1 無證書密鑰隔離的簽名方案模型

一個無證書密鑰隔離的簽名方案由以下六部分算法組成：

2.2 無證書密鑰隔離的加密方案模型

2.3 無證書密鑰隔離簽名方案

我們所提出的無證書密鑰隔離簽名方案由以下算法所組成：

2.4 無證書密鑰隔離加密方案

3 ACARS安全通信

3.1 ACARS安全會話建立過程

實施無證書密鑰隔離簽名和加密方案的安全ACARS通信，操作機構需指定一個實體作為密鑰管理中心，該中心只是存儲系統主密鑰和系統公開參數，該參數可供飛機和地面申請使用，不直接分發通信用的公鑰和私鑰。從而避免非可信中心的風險。具體過程通信過程參考圖1。

圖1 安全ACARS通信初始化和密鑰建立過程

3.2 安全性說明

正常會話初始化情況下，飛機端利用管理中心生成的部分密鑰和公開參數，生成自己的公鑰、協助器密鑰和私鑰。在對身份、時間片段和公鑰進行簽名后，發送給地面端。若飛機公鑰在傳輸過程中被篡改，則地面端無法對飛機端的簽名進行認證，進而拒絕飛機的回話初始化請求。飛機端的密鑰由飛機本身和管理中心共同來完成。不僅消除了傳統的公鑰證書的復雜管理，而且可以解決了密鑰托管問題。針對文獻[1]中CA不可信的情形，也滿足回話的安全要求。在得到飛機端的公鑰后，地面端選取的對稱密鑰在加密后發送給飛機端，并在飛機端解密后建立該對稱密鑰通信。為提高其安全性，在約定的時間范圍內更換到新的對稱密鑰，而相應地，飛機端借助密鑰協助器進行私鑰的更新，以滿足新的時間段內的解密要求。在文獻[3]中，對于密鑰不慎泄漏，則需要通過吊銷證書來解決。而本方案可以通過密鑰協助器進行密鑰的更新，通過時間片段的分割，最大限度地減少泄漏的風險，也避免吊銷證書的復雜性。

4 結語

本文對ACARS地_空數據鏈安全隱患進行分析，針對現有的方案中CA存在的不可信和密鑰泄漏的風險，根據無證書密鑰隔離密碼體制的特性，分別設計了一個新型的無證書密鑰隔離簽名和加密方案。結合ACARS地_空數據鏈通信的特性，對安全ACARS通信初始化和密鑰建立過程加以說明，對其安全性進行分析說明。本文由于篇幅限制，暫不對安全性展開證明。期待在今后的研究中，需要將帶寬等因素考慮在內，以提高算法的適用性。

[1]王曉琳，張學軍，何葭.ACARS 數據鏈中的安全通信[J].航空電子技術，2003.

[2]Al-Riyami SS, Paterson KG. Certificateless public key cryptography. In: Laih CS, ed. Proc. of the ASIACRYPT 2003. LNCS 2894,Berlin: Springer-Verlag, 2003.

[3]吳志軍，賈悅霖.ACARS地-空數據鏈中數字證書的應用研究[J].中國民航大學學報，2013.

[4]Y. Dodis, J. Katz, S. Xu and M. Yung. Key-Insulated Public-KeyCryptosystems. In Proc. of Eurocrypt’2002, LNCS 2332, pp.65-82,Springer-Verlag，2002.

[5]Y. Dodis, J. Katz, S. Xu, and M. Yung. Strong key-insulated signature schemes. In Proc. of PKC’2003, LNCS 2567, pp. 130-144, Springer-Verlag，003.

[6]N. Gonz′alez-Deleito, O. Markowitch, and E. Dall’Olio. A New Key-Insulated Signature Scheme. In Proc. of ICICS’2004, LNCS 3269, pp.465-479. Springer-Verlag， 2004.

[7]J. Weng, K.F. Chen, S.L. Liu, X.X. Li. Identity-Based Key-Insulated Signature with Secure Key-updates. In Proc. of Inscrypt’06, LNCS4318，2006.

[8]J. Weng, S.L. Liu, K.F. Chen, C.S. Ma. Identity-Based Key-Insulated Signature Without Random Oracles. In Proc. of CIS’06, LNAI 4456，2007

[9]Y. Zhou, Z. Cao and Z. Chai. Identity-Based Key-Insulated Signature.In Proc. of ISPEC’2006, LNCS 3903, pp.226-234, Springer-Verlag，2006.

[10]J.Weng, K. Chen, X. Li and S. Liu. Parallel Key-Insulated Signature:Framework and Construction. Journal of Shanghai Jiao Tong University(Science). Vol. 13, No. 1, 2008.

[11]Z. Wan. X. Lai. J. Weng. and J. Li. Certificateless Strong Key-Insualted Signature. In Proc. Of ICIST’2011. [12]J.-S. Coron. On the Exact Security of Full Domain Hash. In Proc. Of Crypto’2000, LNCS 1880, pp. 229-235, Springer-Verlag, 2000.