基于无证书密钥隔离签名和加密方案的ACARS数据链安全通信

◆翁太伟



基于无证书密钥隔离签名和加密方案的ACARS数据链安全通信

◆翁太伟

（中国民用航空珠海进近管制中心 广东 519070）

基于地空数据链的飞机通信寻址与报告系统(ACARS)是民航飞机与地面进行通信主要方式之一。针对其受到的数据欺骗、实体伪装和拒绝服务等威胁，本文通过分析部分学者提出的解决方案的不足，提出一个新型的无证书密钥隔离签名和加密方案，用于解决 ACARS数据链安全通信中CA不可信和密钥泄漏问题。与传统的公钥体制和基于身份的密码体制相比较，该无证书密钥隔离签名方案可以解决签名验证者在验证签名时需验证签名者公钥的有效性和密钥托管问题，该无证书密钥隔离加密方案可以在密钥泄漏后，还可以保证大部份数据的安全。本方案通过提出新型的无证书密钥隔离签名和加密方案实现时间片段内的安全签名和加密，加密传输通信用的对称密钥，进而确保对话安全。本方案有如下两个的优势：(1)无需对用户的公钥进行数字证书管理，可以避免管理公钥数据证书所引起的大量开销；(2)能够有效降低系统因密钥泄漏带来的危害。

ACARS数据链；无证书签名；无证书加密；密钥隔离；密钥泄漏

0 引言

飞机通信寻址与报告系统(ACARS) 作为重要的地空通信手段，目前已广泛应用于民用航空飞机与地面系统的数据通信中。航空公司通过ACARS数据链可以把飞机上的各类信息传送到公司的维护部门、飞行管理部门、旅客服务部门等与航班相关的各个环节，空管系统依托 ACARS实现了数字空管系统（包括数字放行 DCL和数字通波 D- ATIS），实现从塔台管制员到飞机飞行员之间的信息交换。但是因为ACARS报文使用明文传输的特性，任何人只需使用较低成本的接收装置就能监视和解码ACARS报文，获得飞行器类型、位置、计划航路、乘客情况和飞行器运行状态等细节，进而对飞行的安全性产生重大威胁。目前的ACARS 系统存在着以下几个安全问题：

(1) 数据欺骗——在ACARS明文通信过程，非法分子通过篡改和重新发送等方法修改真实的ACARS信息，飞机最终收到的是错误数据，从而对飞机的安全飞行产生直接影响。

(2) 实体伪装——ACARS链路中没有做到百分百保障链路的安全性，在空管的数字放行应用中，如果非法分子利用发射设备冒充空管部门发射虚假的ACARS报文指挥空中交通，直接影响航空飞行器的安全，甚至造成飞行器相撞的严重后果。

(3) 拒绝服务——攻击者想办法让目标机器停止提供真实服务。ACARS 系统中地面站在同一时刻只能和一个飞机进行有效的通信，攻击者直接发送或伪装成某个飞机向地面站发送超量的ACARS伪报文，使得地面站不能够及时响应其它飞机的正常通信请求，造成地面站或信息处理中心服务器超出负载能力，不能够及时响应其正常信息，从而造成服务器拒绝服务[1]。

为了解决上述不安全问题，王晓林等学者提出基于第三方的端对端的安全架构方案，该方案混合使用对称密码和非对称密码的策略。但这个方案中的认证前提是CA是要求认证方所信任的。同时建议，为了防止密钥的泄漏，还可以使用时间标记和证书有效期，而且CA也有必要保存一个合法的证书清单，有认证要求的一方可以定期查看它。但这样的系统却存在私钥托管问题。CA可以获取任何用户的私钥，不可靠的CA就可以窃听任何用户的通信信息，并可以伪造任何合法用户的签名。无证书公钥密码系统(certificateless public key cryptography)[2]正是为了克服基于身份的系统中的私钥托管(key escrow)问题而提出的，其概念由Al-Riyami 和Paterson于2003 年提出。无证书公钥密码体制与基于PKI的传统公钥密码体制相比较，有不需要公钥证书等优势，并且无证书密码系统消除了基于身份的密码系统中存在的私钥托管问题。

在无证书的公钥密码体系中，需要一个可信的第三方密钥生成中心KGC(key generation center)，KGC 持有系统的主密钥(master key),根据系统的主密钥和申请用户的身份信息计算出用户的部分私钥，将结果传送给申请用户。在收到KGC发过来的部分私钥后，申请用户根据自己的部分私钥和随机生产的一个秘密值生成自己的完整私钥。而公钥则需要自己的秘密值、身份信息和系统参数安全共同计算得出，最终以可靠的方式公布。客户使用自己的私钥进行签名和解密，而KGC无法获取任何用户的私钥，这样可以避免基于身份系统中的私钥托管问题。

吴志军等在文献[3]中提出，在一些特殊情况下（如私钥泄漏），航空公司可以向CA发送吊销证书请求，收到请求后CA会吊销证书。为了减少密钥泄漏带来的危害，Dodis等人[4]在2002年提出了一种密钥隔离的密码系统。在该系统中，一个物理安全的设备被用来储存协助器密钥，只有将私钥和协助器密钥结合起来才能完整密钥的更新，这样达到即使部分密钥泄漏也可以最大限度的保证绝大多数的数据的安全。

在Dodis等人的基础上，不少的密钥隔离签名方案被提出来[5-12]。Zhou等人[9]提出第一个基于身份的密钥隔离签名方案，然而Weng等人[7]指出该方案无法满足强密钥隔离安全，并给出了一个满足强密钥隔离安全的基于身份的密钥隔离签名方案。Zhongmei[12]提出了一个无证书密钥隔离签名方案，该方案中包含着传统无证书密码方案的一些类似组成。

在此基础上，结合ACARS数据链安全通信存在的问题，我们构建出新型的无证书密钥隔离签名和加密方案，该方案有两个的优势，一是无需对用户的公钥进行数字管理，可以避免传统PKI机制因管理公钥数据证实引起的大量开销；二是能够有效地降低因密钥泄漏带来的危害。

1 相关数学知识

本方案需要用到双线性配对(bilinear pairing)群组这一工具。为此，下面给出非对称和对称的双线性映射群组的定义。

2 方案模型

2.1 无证书密钥隔离的签名方案模型

一个无证书密钥隔离的签名方案由以下六部分算法组成：

2.2 无证书密钥隔离的加密方案模型

2.3 无证书密钥隔离签名方案

我们所提出的无证书密钥隔离签名方案由以下算法所组成：

2.4 无证书密钥隔离加密方案

3 ACARS安全通信

3.1 ACARS安全会话建立过程

实施无证书密钥隔离签名和加密方案的安全ACARS通信，操作机构需指定一个实体作为密钥管理中心，该中心只是存储系统主密钥和系统公开参数，该参数可供飞机和地面申请使用，不直接分发通信用的公钥和私钥。从而避免非可信中心的风险。具体过程通信过程参考图1。

图1 安全ACARS通信初始化和密钥建立过程

3.2 安全性说明

正常会话初始化情况下，飞机端利用管理中心生成的部分密钥和公开参数，生成自己的公钥、协助器密钥和私钥。在对身份、时间片段和公钥进行签名后，发送给地面端。若飞机公钥在传输过程中被篡改，则地面端无法对飞机端的签名进行认证，进而拒绝飞机的回话初始化请求。飞机端的密钥由飞机本身和管理中心共同来完成。不仅消除了传统的公钥证书的复杂管理，而且可以解决了密钥托管问题。针对文献[1]中CA不可信的情形，也满足回话的安全要求。在得到飞机端的公钥后，地面端选取的对称密钥在加密后发送给飞机端，并在飞机端解密后建立该对称密钥通信。为提高其安全性，在约定的时间范围内更换到新的对称密钥，而相应地，飞机端借助密钥协助器进行私钥的更新，以满足新的时间段内的解密要求。在文献[3]中，对于密钥不慎泄漏，则需要通过吊销证书来解决。而本方案可以通过密钥协助器进行密钥的更新，通过时间片段的分割，最大限度地减少泄漏的风险，也避免吊销证书的复杂性。

4 结语

本文对ACARS地_空数据链安全隐患进行分析，针对现有的方案中CA存在的不可信和密钥泄漏的风险，根据无证书密钥隔离密码体制的特性，分别设计了一个新型的无证书密钥隔离签名和加密方案。结合ACARS地_空数据链通信的特性，对安全ACARS通信初始化和密钥建立过程加以说明，对其安全性进行分析说明。本文由于篇幅限制，暂不对安全性展开证明。期待在今后的研究中，需要将带宽等因素考虑在内，以提高算法的适用性。

[1]王晓琳，张学军，何葭.ACARS 数据链中的安全通信[J].航空电子技术，2003.

[2]Al-Riyami SS, Paterson KG. Certificateless public key cryptography. In: Laih CS, ed. Proc. of the ASIACRYPT 2003. LNCS 2894,Berlin: Springer-Verlag, 2003.

[3]吴志军，贾悦霖.ACARS地-空数据链中数字证书的应用研究[J].中国民航大学学报，2013.

[4]Y. Dodis, J. Katz, S. Xu and M. Yung. Key-Insulated Public-KeyCryptosystems. In Proc. of Eurocrypt’2002, LNCS 2332, pp.65-82,Springer-Verlag，2002.

[5]Y. Dodis, J. Katz, S. Xu, and M. Yung. Strong key-insulated signature schemes. In Proc. of PKC’2003, LNCS 2567, pp. 130-144, Springer-Verlag，003.

[6]N. Gonz´alez-Deleito, O. Markowitch, and E. Dall’Olio. A New Key-Insulated Signature Scheme. In Proc. of ICICS’2004, LNCS 3269, pp.465-479. Springer-Verlag， 2004.

[7]J. Weng, K.F. Chen, S.L. Liu, X.X. Li. Identity-Based Key-Insulated Signature with Secure Key-updates. In Proc. of Inscrypt’06, LNCS4318，2006.

[8]J. Weng, S.L. Liu, K.F. Chen, C.S. Ma. Identity-Based Key-Insulated Signature Without Random Oracles. In Proc. of CIS’06, LNAI 4456，2007

[9]Y. Zhou, Z. Cao and Z. Chai. Identity-Based Key-Insulated Signature.In Proc. of ISPEC’2006, LNCS 3903, pp.226-234, Springer-Verlag，2006.

[10]J.Weng, K. Chen, X. Li and S. Liu. Parallel Key-Insulated Signature:Framework and Construction. Journal of Shanghai Jiao Tong University(Science). Vol. 13, No. 1, 2008.

[11]Z. Wan. X. Lai. J. Weng. and J. Li. Certificateless Strong Key-Insualted Signature. In Proc. Of ICIST’2011. [12]J.-S. Coron. On the Exact Security of Full Domain Hash. In Proc. Of Crypto’2000, LNCS 1880, pp. 229-235, Springer-Verlag, 2000.