李云飛，劉菊琨

（1.云南財(cái)經(jīng)大學(xué)研究生院，云南 昆明 650221；2.云南中醫(yī)藥大學(xué)國際交流中心，云南 昆明 650500）

0 引 言

廣播式自動(dòng)相關(guān)監(jiān)視（ADS-B）[1]是一種新型的監(jiān)視手段，航空器通過自身攜帶的機(jī)載導(dǎo)航系統(tǒng)、GPS 等定位系統(tǒng)得到包括航空器唯一標(biāo)識(shí)、位置數(shù)據(jù)以及其他相關(guān)數(shù)據(jù)，通過地空數(shù)據(jù)鏈以廣播模式將這些數(shù)據(jù)發(fā)布出去。相比二次雷達(dá)監(jiān)視目標(biāo)的方位，是通過地面多個(gè)二次雷達(dá)詢問，由地面自動(dòng)化系統(tǒng)綜合計(jì)算得到的。由于二次雷達(dá)的飛機(jī)方位信息是由地面自動(dòng)化系統(tǒng)計(jì)算得到，所以很難出現(xiàn)假目標(biāo)的情況。而ADS-B 系統(tǒng)的方位信息是由飛機(jī)自身產(chǎn)生的，這樣某些非法的航空器可以通過ADS-B 技術(shù)向地面發(fā)射假的方位信息，所以如何認(rèn)證飛機(jī)的身份是目前ADS-B 技術(shù)研究的重點(diǎn)領(lǐng)域之一[2，3]。

本文針對(duì)這種情況提出了一種ADS-B 飛機(jī)身份認(rèn)證和數(shù)據(jù)加密方案。該方案基于數(shù)字簽名、對(duì)稱加密算法、PKI[4]（Public Key Infrastructure）公鑰基礎(chǔ)設(shè)施來實(shí)現(xiàn)。其中數(shù)字簽名采用RSA 算法[5]來實(shí)現(xiàn)。RSA 密碼算法是目前應(yīng)用最為廣泛的公鑰密碼算法，擁有良好的安全性且易于實(shí)現(xiàn)和理解。RSA 密碼算法已成為公鑰密碼學(xué)研究的一個(gè)重要范本[6]。經(jīng)過三十多年的技術(shù)發(fā)展和在信息領(lǐng)域的大規(guī)模應(yīng)用，RSA 密碼算法實(shí)現(xiàn)技術(shù)已經(jīng)很成熟，并且出現(xiàn)了許多如OpenSSL 的RSA 算法實(shí)現(xiàn)的代碼開源庫，這進(jìn)一步促進(jìn)了RSA 密碼算法的更廣泛的應(yīng)用，而且其安全性也進(jìn)一步得到事實(shí)的證明。但RSA 算法在進(jìn)行數(shù)字簽名和解密時(shí)需要耗費(fèi)大量的計(jì)算資源?？紤]到機(jī)載設(shè)備的重量輕、設(shè)備硬件配置低、設(shè)備運(yùn)算能力弱的情況，本文基于之前的EAPORSA算法[7，8]提出了一種負(fù)載轉(zhuǎn)移的RSA 數(shù)字簽名方案。將機(jī)載設(shè)備簽名的絕大部分負(fù)載轉(zhuǎn)移到地面的ADS-B服務(wù)器中，使機(jī)載設(shè)備用較小的計(jì)算資源就能實(shí)現(xiàn)數(shù)字簽名。

本文中飛機(jī)的身份認(rèn)證是通過數(shù)字簽名來實(shí)現(xiàn)的，在進(jìn)行數(shù)字簽名和認(rèn)證簽名時(shí)需要使用相應(yīng)的私鑰和公鑰，其中公鑰的信息是公開的，這樣可能會(huì)出現(xiàn)公鑰和公鑰持有者的身份不匹配的情況，在這種情況下進(jìn)行數(shù)字簽名和簽名認(rèn)證都是毫無意義的。所以如何將公鑰和公鑰持有者的身份綁定在一起是認(rèn)證簽名的關(guān)鍵。PKI 公鑰基礎(chǔ)設(shè)施通過引入第三方認(rèn)證中心，將公鑰和公鑰持有者身份綁定到數(shù)字證書中。這樣可通過對(duì)數(shù)字簽名的認(rèn)證方式來對(duì)簽名者的身份進(jìn)行認(rèn)證。目前PKI 已經(jīng)得到了廣泛的應(yīng)用。特別在保障電子商務(wù)網(wǎng)上交易安全方面，發(fā)揮了重要的作用。所以本文基于PKI提出了一種適合于民航系統(tǒng)的數(shù)字證書管理體系，來綁定飛機(jī)和ADS-B臺(tái)站的身份信息，從而實(shí)現(xiàn)對(duì)飛機(jī)身份的認(rèn)證[6]。

1 改進(jìn)簽名算法和證書管理體系

本節(jié)首先對(duì)ADS-B 身份認(rèn)證和數(shù)據(jù)加密方案中使用到的改進(jìn)RSA 簽名算法進(jìn)行了研究，接著對(duì)基于PKI 的民航證書管理體系進(jìn)行詳細(xì)的闡述。

1.1 EAPORSA 簽名算法內(nèi)容

EAPORSA 簽名算法[7，8]包括：密鑰生成階段、簽名階段和認(rèn)證簽名三個(gè)階段。

1.1.1 密鑰生成階段

該階段需輸入密鑰生成算法的安全參數(shù)n、k和c。改進(jìn)算法的公鑰和密鑰通過該密鑰生成算法得到，具體計(jì)算過程如下：

（1）產(chǎn)生兩個(gè)[n/3]位的素?cái)?shù)p和q，且必須保證p和q互不相同，接著通過N=p2q計(jì)算得到大數(shù)模N。

（2）選取改進(jìn)RSA 算法公鑰e，一般狀況下e取值為65 537，并且e與?(N)=（p-1）(q-1)（注意不是?(N)=p(p-1)(q-1))互素，接下來計(jì)算d=e-1mod?(N)。與此同時(shí)計(jì)算e_inv_p=e-1modp和p2_inv_q=(p2)-1modq。

（3）計(jì)算d=d1,1e1,1+d2,2e2，2mod?(N)其中di,j和ei,j為二進(jìn)制向量，其中1 ≤i≤2 和1 ≤j≤2，di,j和ei,j分別是為c位和[n]位的隨機(jī)序列。經(jīng)過以上計(jì)算步驟，計(jì)算得到EAPORSA 算法的公鑰是：＜N,e,e1,1,e2,2＞，算法的私鑰是：＜N,e,d1,1,d2,2＞。

1.1.2 簽名階段

簽名過程包括以下幾個(gè)步驟：先將需要簽名的信息M∈ZN通過哈希摘要函數(shù)得到該信息的哈希值H=Hash(M)。 再產(chǎn)生簽名向量S=(s1,1,s2,2)，其中最后計(jì)算得到簽名向量S=(s1,1,s2,2)，簽名方將該向量發(fā)送到簽名認(rèn)證端進(jìn)行認(rèn)證處理。這樣數(shù)字簽名的大部分計(jì)算負(fù)載被轉(zhuǎn)移到了認(rèn)證方。

對(duì)于s1,1和s2,2的計(jì)算，本文采用了中國剩余定理[9]來進(jìn)行加速，以下是求解的過程：

（1）計(jì)算Mq通過，位數(shù)為c位的d1，1值在密鑰生成階段簽名方已經(jīng)將它保存在算法的私鑰中。簽名方通過多個(gè)位數(shù)較小的模冪運(yùn)算，就可以實(shí)現(xiàn)簽名。

（2）求取A0通過計(jì)算接下來通過式子計(jì)算出，其中H_inv_P=H-1modp。

通過以上步驟可計(jì)算得到Mp值。

（4）結(jié)合中國剩余定理先求出V=Mq-Mpmodq，接著計(jì)算出V=V×(p2_inv_q)modq的值。

（5）最后以中國剩余定理為依據(jù)，將Mp值和Mq值進(jìn)行合并。最終得到明文，通過s1,1=V?p2(modN)和M=M+MpmodN。

1.1.3 認(rèn)證簽名階段

認(rèn)證方得到簽名向量S后進(jìn)行認(rèn)證，具體操作步驟如下：

（2）計(jì)算H通過，其中e為公鑰。若認(rèn)證方已知簽名方的明文，并將該明文進(jìn)行哈希摘要處理得到哈希值H′，若認(rèn)證得到H和H′是相等的，則可以證明該簽名確實(shí)是該公鑰持有者簽的名，在公鑰證書中，公鑰和身份是綁定的，這樣既可確定了簽名者的身份。

EAPORSA 以中國剩余定理為基礎(chǔ)，使用中國剩余定理的標(biāo)準(zhǔn)RSA 算法，簽名CdmodN需要耗時(shí)O(log3N/2)[7]，通過以上數(shù)值，可以得到理論上，EAPORSA 算法相比標(biāo)準(zhǔn)RSA 的簽名加速比大概為：

其中k是指私鑰指數(shù)d被劃分為k個(gè)向量，c是為k個(gè)向量元素的位數(shù)大小，數(shù)值b是大數(shù)模N(N=pb-1q)的參數(shù)，本文b的取值為3。例n=2 816 位，b=3，k=2 和c=128 位，改進(jìn)算法的理論加速比為12.38。

1.2 基于PKI 的民航數(shù)字證書管理體系

如前所述，可以使用數(shù)字簽名作為驗(yàn)證簽名者身份的有效性，必須建立在公鑰的確是簽名者唯一持有，這就會(huì)出現(xiàn)簽名者公鑰的真實(shí)性的確認(rèn)問題。所以必須要通過某種辦法，使得簽名驗(yàn)證者們能夠識(shí)別相應(yīng)簽名者的公鑰的真?zhèn)?。目前最常用的?yàn)證簽名者公鑰的真?zhèn)畏椒ɑ驒C(jī)制是通過身份認(rèn)證權(quán)威機(jī)構(gòu)CA（Certif icate Authority）機(jī)制。CA 是可信第三方，在PKI 系統(tǒng)中通信雙方都信任的實(shí)體。

公鑰的持有人用自己的公鑰和身份信息向CA 申請(qǐng)數(shù)字證書（Certif icate），為了保證持有者私鑰的機(jī)密性，通常情況下，數(shù)字證書的申請(qǐng)人不用向CA 中心提供自己的私鑰信息。數(shù)字證書由CA 簽發(fā)，并由CA 負(fù)責(zé)管理。數(shù)字證書的內(nèi)容必須包括證書持有者的身份信息、公鑰信息、CA 的簽發(fā)證書。為了確保證書的真實(shí)性，CA 通過數(shù)字證書證實(shí)其他通信實(shí)體的公鑰信息，通過對(duì)其他實(shí)體上證書進(jìn)行CA 的簽名。而PKI 公鑰基礎(chǔ)設(shè)施是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺(tái)，目的是對(duì)密鑰和數(shù)字證書進(jìn)行管理。一個(gè)機(jī)構(gòu)或系統(tǒng)通過采用PKI 框架管理密鑰和證書可以建立一個(gè)安全的網(wǎng)絡(luò)環(huán)境，可以構(gòu)建可靠的CA 平臺(tái)。

本文基于PKI 提出了中國民航的證書管理體系。整個(gè)體系包括兩個(gè)部分：空管局、機(jī)場、ADS-B 站證書管理體系（如圖1 所示）和空管局、航空公司、飛機(jī)證書管理體系（如圖2 所示）。整個(gè)體系以民航空管局為核心，是整個(gè)體系的最高身份認(rèn)證權(quán)威機(jī)構(gòu)，是民航證書管理體系的根CA，它構(gòu)成了證書管理體系的第一個(gè)層次。第二個(gè)層次包括各地區(qū)空管局和各大航空公司，它們構(gòu)成了證書管理體系的第一級(jí)CA，空管局根CA 授權(quán)、認(rèn)證和確保第一級(jí)CA 身份的真實(shí)性、有效性，第一級(jí)CA 由空管局CA 進(jìn)行管理。一級(jí)CA 下設(shè)的各空管分局構(gòu)成了第二級(jí)CA，該級(jí)CA 由一級(jí)CA 進(jìn)行授權(quán)和管理。最后一個(gè)層次為實(shí)體證書的發(fā)放。該層次包括各空管分局所涉及的各機(jī)場和ADS-B 臺(tái)站對(duì)應(yīng)證書的發(fā)放、認(rèn)證和身份綁定，以及各航空公司飛機(jī)證書的認(rèn)證、發(fā)放和身份綁定。以上各級(jí)CA 持有其上級(jí)CA 認(rèn)證和授權(quán)的證書。

圖1 空管局、機(jī)場、ADS-B 臺(tái)站證書管理體系

圖2 空管局、航空公司、飛機(jī)證書管理體系

2 ADS-B 飛機(jī)身份認(rèn)證和加密方案

飛機(jī)身份認(rèn)證和數(shù)據(jù)加密方案基于飛機(jī)起飛到降落的整一過程。該過程包括三個(gè)階段：身份認(rèn)證和密鑰交換階段、起始機(jī)場密鑰傳遞階段和終點(diǎn)機(jī)場密鑰銷毀階段。

2.1 身份認(rèn)證和密鑰交換階段

該階段是指飛機(jī)起飛前和起飛機(jī)場ADS-B 服務(wù)器之間的身份認(rèn)證和密鑰交換過程，整個(gè)過程類似于SSL 協(xié)議[11]，具體過程如下：

（1）飛機(jī)根據(jù)飛行計(jì)劃在起飛前45 分鐘，通過地空數(shù)據(jù)鏈向起飛機(jī)場ADS-B 服務(wù)器端發(fā)送一個(gè)需要建立身份認(rèn)證的“client Hello”請(qǐng)求消息。該消息包括隨機(jī)序列rc和飛機(jī)能夠支持密碼算法套件。

（2）地面服務(wù)器端發(fā)送“server Hello”消息作為回應(yīng).消息中包括隨機(jī)序列rs、ADS-B 服務(wù)器端證書和在飛機(jī)支持的密碼算法套件中ADS-B 服務(wù)器端選擇的算法套件。

（3）在飛機(jī)客戶端預(yù)主密鑰（Pre-Master Secret）x被產(chǎn)生，該預(yù)主密鑰是一個(gè)大小為48 位的隨機(jī)數(shù)，與此同時(shí)密鑰導(dǎo)出函數(shù)f將x、rc和rs作為函數(shù)的輸入，輸出函數(shù)值k，即飛機(jī)客戶端和ADS-B 服務(wù)器端進(jìn)行安全通信的對(duì)稱主密鑰k（Master Secret）；接著，飛機(jī)通過EAPORSA 簽名算法產(chǎn)生數(shù)字簽名信息S=(s1,1,s2,2)，其中H是飛機(jī)唯一標(biāo)識(shí)（Air ID）的哈希摘要值、。接著飛機(jī)將x、飛機(jī)唯一標(biāo)識(shí)和簽名S=(s1,1,s2,2)通過用ADS-B 服務(wù)器端公鑰進(jìn)行加密處理后，存儲(chǔ)在“Client Key Exchange”消息，并將該消息通過地空數(shù)據(jù)鏈傳到機(jī)場ADS-B 服務(wù)器端。

（4）ADS-B 服務(wù)器端通過自身私鑰將以上信息進(jìn)行解密得到：x、飛機(jī)唯一標(biāo)識(shí)和簽名向量S=(s1,1,s2,2)。ADS-B服務(wù)器首先求出飛機(jī)唯一標(biāo)識(shí)的哈希摘要值H，接著認(rèn)證簽名向量通過計(jì)算其中e、e1,1和e2,2的值是服務(wù)器端通過飛機(jī)的唯一標(biāo)識(shí)在證書列表中得到的值。若H值和H′的值相同，則表示該飛機(jī)身份是真實(shí)可靠的，可進(jìn)行下一步操作。如果不相同的話，說明該飛機(jī)的身份是不可靠的服務(wù)器拒絕提供服務(wù)。若飛機(jī)身份得到了認(rèn)證且真實(shí)、有效，則在ADS-B 服務(wù)器端，類似于客戶端通過密鑰導(dǎo)出函數(shù)f得到k，以x、rc和rs作為函數(shù)輸入。計(jì)算得到k，并將其作為該飛機(jī)和起飛機(jī)場ADS-B 站進(jìn)行安全通信的共有對(duì)稱密鑰。

（5）飛機(jī)客戶端向服務(wù)器端發(fā)送客戶端結(jié)束消息“Client Finished”，為確保此前握手過程信息未被修改，“Client Finished”包含了此前飛機(jī)客戶端發(fā)送的所有握手消息的哈希摘要值。該消息通過加密處理后以密文形式進(jìn)行傳送。

（6）起飛機(jī)場ADS-B 服務(wù)器端向客戶端發(fā)送“Server Finished”消息，其中包含了此前服務(wù)器端發(fā)送的握手消息的哈希摘要值，以確保此前的握手消息未經(jīng)篡改。這個(gè)消息也是經(jīng)加密后以密文形式進(jìn)行傳輸?shù)摹?/p>

2.2 起始機(jī)場密鑰傳遞階段

接下來是起飛機(jī)場如何將對(duì)稱通信密鑰k傳遞到飛機(jī)經(jīng)過的每一個(gè)ADS-B 臺(tái)站直到降落機(jī)場，確保飛機(jī)從起飛到降落的整個(gè)過程中飛機(jī)身份得到認(rèn)證并且通信信息得到加密。該身份認(rèn)證是基于共享對(duì)稱密鑰來實(shí)現(xiàn)的，即飛機(jī)和地面臺(tái)站之間有可以通信的共同密鑰，該密鑰由上一階段產(chǎn)生并且將飛機(jī)身份和該密鑰進(jìn)行了綁定，所以只需要傳遞共享密鑰即可對(duì)飛機(jī)身份進(jìn)行了認(rèn)證，以下為密鑰傳遞過程：

（1）起飛機(jī)場ADS-B 服務(wù)器對(duì)飛機(jī)身份認(rèn)證成功后，產(chǎn)生雙方共享的對(duì)稱密鑰k，接著起飛機(jī)場用二級(jí)CA 的公鑰對(duì)密鑰k和飛機(jī)唯一標(biāo)識(shí)進(jìn)行加密，并發(fā)送到二級(jí)CA 認(rèn)證中心。

（2）二級(jí)CA 認(rèn)證中心用自己的私鑰對(duì)起飛機(jī)場發(fā)來的密文進(jìn)行解密得到對(duì)稱密鑰k和飛機(jī)唯一標(biāo)識(shí)。接著二級(jí)CA 根據(jù)該飛機(jī)的飛行計(jì)劃，確定其所經(jīng)過的ADS-B 臺(tái)站。

（3）若該飛機(jī)所經(jīng)過的ADS-B 臺(tái)站都處于該二級(jí)CA管轄的范圍內(nèi)，則該二級(jí)CA 用該飛機(jī)所涉及的所有ADS-B臺(tái)站的公鑰對(duì)密鑰k和飛機(jī)唯一標(biāo)識(shí)進(jìn)行加密，將密文發(fā)送到對(duì)應(yīng)的臺(tái)站，密文到達(dá)各個(gè)臺(tái)站后用相應(yīng)的密鑰解密出對(duì)稱密鑰k和飛機(jī)唯一標(biāo)識(shí)，根據(jù)密鑰和飛機(jī)唯一標(biāo)識(shí)與將要飛越的飛機(jī)建立安全通信。

（4）若該飛機(jī)所經(jīng)過的ADS-B 臺(tái)站不僅處于本二級(jí)CA 管轄區(qū)域內(nèi)，還處于其他或同一一級(jí)CA 管轄下的其他二級(jí)CA 管理的范圍內(nèi)，則該二級(jí)CA 首先向自己管轄區(qū)域的ADS-B 臺(tái)站傳送密鑰，如（3），同時(shí)該二級(jí)CA 用飛機(jī)經(jīng)過的相鄰的其他二級(jí)CA 的公鑰對(duì)對(duì)稱密鑰k和飛機(jī)唯一標(biāo)識(shí)進(jìn)行加密，傳遞到相鄰的二級(jí)CA 中心，該二級(jí)CA 解密，并進(jìn)行（3）中的操作。

（5）其中（4）中的操作是以各個(gè)二級(jí)CA 之間有直接的鏈路為前提，如民航ATM 網(wǎng)或轉(zhuǎn)報(bào)網(wǎng)絡(luò)。若二級(jí)CA 之間沒有直接的鏈路可以通過路由的方式，首先在密文上加上密文要抵達(dá)的二級(jí)CA 的標(biāo)記，接著將該密文發(fā)送到對(duì)應(yīng)的一級(jí)CA，一級(jí)CA 存有相應(yīng)的路由表，根據(jù)二級(jí)CA的標(biāo)記和路由表將該密文發(fā)送到相應(yīng)的二級(jí)CA。若該密文所涉及的二級(jí)CA 是其他一級(jí)CA 下的二級(jí)CA，則該一級(jí)CA 根據(jù)路由表將該密文發(fā)送到相應(yīng)的一級(jí)CA，一級(jí)CA根據(jù)二級(jí)CA 的標(biāo)記和路由表，將該密文發(fā)送到相應(yīng)的二級(jí)CA。其中密文處于一級(jí)CA 時(shí)，不需要對(duì)密文進(jìn)行加密和解密。整個(gè)密鑰傳遞過程是：二級(jí)CA 對(duì)二級(jí)CA。這樣一級(jí)CA 不用花費(fèi)太多資源去加密和解密，整個(gè)分配過程處于一種分布式的狀態(tài)，計(jì)算所耗費(fèi)的資源被分散到了各個(gè)二級(jí)CA。整體上提升了密鑰傳遞過程的性能。

2.3 終點(diǎn)機(jī)場密鑰銷毀階段

當(dāng)飛機(jī)到達(dá)終點(diǎn)機(jī)場時(shí)，若飛機(jī)需停留很長時(shí)間（該時(shí)間門限值可設(shè)為24 小時(shí)）才進(jìn)行下一次飛行，則可以對(duì)飛機(jī)共享的密鑰進(jìn)行銷毀。進(jìn)行下一次飛行時(shí)，再重新認(rèn)證身份和分配密鑰。若飛機(jī)停留幾個(gè)小時(shí)后又重新起飛且經(jīng)過的航線相同，則不需再進(jìn)行身份認(rèn)證，繼續(xù)使用共享密鑰。但為了確保密鑰和身份認(rèn)證的安全性，每24 小時(shí)需要更新一次會(huì)話密鑰。

以上三個(gè)階段構(gòu)成了完整的ADS-B 飛機(jī)身份認(rèn)證和數(shù)據(jù)加密方案。該方案提供了數(shù)據(jù)完整性、防否性、機(jī)密性和身份認(rèn)證服務(wù)。確保了ADS-B 系統(tǒng)中的飛機(jī)的身份真實(shí)性，能有效抵抗假目標(biāo)和非法數(shù)據(jù)攻擊。

3 結(jié) 論

本文提出了一種ADS-B飛機(jī)身份認(rèn)證和數(shù)據(jù)加密方案。該方案包含了數(shù)字簽名技術(shù)、對(duì)稱加密技術(shù)、PKI 公鑰基礎(chǔ)設(shè)施等。其中認(rèn)證方案包括了基于公鑰的認(rèn)證和基于對(duì)稱共享密鑰的認(rèn)證。本文還基于PKI 提出了與該方案相匹配的中國民航數(shù)字證書管理體系。ADS-B 飛機(jī)身份認(rèn)證和數(shù)據(jù)加密方案為ADS-B 監(jiān)視系統(tǒng)提供了機(jī)密性、數(shù)據(jù)完整性服務(wù)、防否認(rèn)性服務(wù)和身份認(rèn)證服務(wù)，為ADS-B 監(jiān)視系統(tǒng)在運(yùn)行過程中提供了各種安全保障，能有效抵抗ADS-B 監(jiān)視系統(tǒng)中的假目標(biāo)和非法數(shù)據(jù)攻擊。下一步研究的重點(diǎn)是：認(rèn)證方案的不斷細(xì)化和對(duì)認(rèn)證方案的形式化驗(yàn)證。