基于虚拟机的航空交换系统及方法

基于虚拟机的航空交换系统及方法
【专利摘要】本发明属于计算机系统软件【技术领域】，具体涉及一种基于虚拟机的航空交换系统及方法。该系统包括飞机网络系统、虚拟交互系统以及地面系统；虚拟交互系统包括虚拟机、安全模块以及管理虚拟机；通过上述系统，通过安全模块原文信息进行身份认证，通过Biba模型对原文信息进行完整性验证，实现了飞机网络系统和地面系统以及飞机网络系统各个域间的安全通信。
【专利说明】基于虚拟机的航空交换系统及方法

【技术领域】
[0001]本发明属于计算机系统软件【技术领域】，涉及航电系统多域间不同安全级别的实体安全通信的系统和方法，具体涉及一种基于虚拟机的航空交换系统及方法。

【背景技术】
[0002]综合化航空电子系统通常会分多个域，每个域的安全级别不尽相同，域间通信以及各个域与地面之间的通信安全变得尤为重要，受到国内外的广泛关注。在高度综合的航空电子系统中，大量不同安全级别的实体相互通信，给航电系统的通信安全带来了不小的挑战。
[0003]传统方式的各个域与地面系统之间以及域间根据信息发送方和信息接收方的安全等级进行划分VLAN，也就是说将处在同一个安全等级的主客体划分在同一个VLAN中，比如安全等级为secret的主客体同在secret VLAN中，这样的好处是避免了繁杂的访问控制策略，使得通信相对比较简单。但是简单的同时，不同安全级别的主客体通信受到了严重约束，不利于信息的交互。
[0004]因此，传统的通信方式无法满足目前高度综合化的航空电子系统中域间通信以及各个域与地面之间的通信之间的安全性要求。


【发明内容】

[0005]为了解决【背景技术】中的问题，本发明提出一种基于虚拟机的航空交换系统及方法，不仅实现了飞机网络系统和地面系统的安全通信，同时实现飞机网络系统多域间不同安全级别的实体安全通信。
[0006]本发明的技术方案如下:
[0007]一种基于虚拟机的航空交换系统，其特征在于:包括飞机网络系统、虚拟交互系统以及地面系统；所述飞机网络系统通过虚拟交互系统与地面系统相互通信；
[0008]所述虚拟交互系统包括虚拟机、安全模块以及管理虚拟机；
[0009]所述管理虚拟机接收待交互信息并将其发送给安全模块；
[0010]所述安全模块将待交互的信息进行加密/解密、身份认证、防火墙、访问控制、完整性验证；
[0011]所述虚拟机用于实现飞机网络系统域间不同安全级别信息能够相互通信。
[0012]根据上述系统，现提出一种飞机网络系统与地面系统进行信息交互的方法，其特征在于，包括以下步骤:
[0013]1)通信开始，飞机网络系统将对原文信息加密后发送至虚拟交互系统的管理虚拟机；
[0014]2)管理虚拟机调用安全模块对原文信息进行身份认证和完整性验证；
[0015]2.1)原文信息的身份认证；
[0016]2.1.1)飞机网络系统对发送的原文信息进行运算，得到数字摘要MD ;
[0017]2.1.2)飞机网络系统用自己的私钥PVA，对数字摘要MD进行加密，即得数字签名DS ；
[0018]2.1.3)飞机网络系统用对称密钥对原文信息、数字签名DS及飞机网络系统证书的公钥PBA进行加密，得加密信息E ；
[0019]2.1.4)飞机网络系统用地面系统的公钥PBB，对称密钥SK加密，形成数字信封DE ；
[0020]2.1.5)飞机网络系统将加密信息E和数字信封DE经过管理虚拟机发送至地面系统；
[0021]2.1.6)地面系统接受到数字信封DE后，利用自己的私钥PVB解密数字信封，取出对称密钥SK ；
[0022]2.1.7)地面系统用对称密钥SK通过解密加密信息E，还原出原文信息、数字签名DS及发方Closed域证书的公钥PBA ；
[0023]2.1.8)地面系统验证数字签名DS，先用飞机网络系统的公钥解密数字签名得数字摘要MD ；
[0024]2.1.9)地面系统同时将原文信息用与步骤1.3.1.1)同样的运算，求得一个新的数字摘要MD’ ；将两个数字摘要MD和MD’进行比较，验证原文是否被修改；
[0025]若MD和MD’ 二者相等，则说明数据没有被篡改，原文信息是安全传输的，然后执行步骤2.2);否则拒绝该签名，认为原文信息不是安全传输，则拒绝信息的传输；
[0026]2.2)利用Biba模型对原文信息进行完整性验证；若验证成功，则执行步骤3);若验证失败，则拒绝信息的传输；
[0027]3)管理虚拟机将原文信息发送至地面系统，通信结束。
[0028]根据上述系统，现提出一种飞机网络系统域间进行信息交互的方法，其特征在于，包括以下步骤:
[0029]1)通信开始，发方域将对原文信息加密后发送至虚拟交互系统的虚拟机；
[0030]2)虚拟机接收到原文信息后，判断的发方域和收方域的安全等级等级是否匹配；
[0031]若匹配，则执行步骤3);
[0032]若不匹配，则利用虚拟机进行安全等级的升降级处理，使得发方域和收方域的安全等级相匹配后，执行步骤3);
[0033]3)虚拟机将原文信息发送至管理虚拟机，管理虚拟机调用安全模块对原文信息进行身份认证和完整性验证；
[0034]3.1)原文信息的身份认证；
[0035]3.1.1)发方域对发送的原文信息进行运算，得到数字摘要MD ;
[0036]3.1.2)发方域用自己的私钥PVA对数字摘要MD进行加密，即得数字签名DS ；
[0037]3.1.3)发方域用对称密钥对原文信息、数字签名DS及发方域系统证书的公钥PBA进行加密，得加密信息E ;
[0038]3.1.4)发方域用地面系统的公钥PBB，对称密钥SK加密，形成数字信封DE ；
[0039]3.1.5)发方域将加密信息E和数字信封DE经过管理虚拟机发送至地面系统；
[0040]3.1.6)收方域接受到数字信封DE后，利用自己的私钥PVB解密数字信封，取出对称密钥SK ；
[0041]3.1.7)收方域用对称密钥SK通过解密加密信息E，还原出原文信息、数字签名DS及发方Closed域证书的公钥PBA ；
[0042]3.1.8)收方域验证数字签名DS，先用发方域的公钥解密数字签名得数字摘要MD ；
[0043]3.1.9)收方域同时将原文信息用与步骤1.3.1.1)同样的运算，求得一个新的数字摘要MD’ ；将两个数字摘要MD和MD’进行比较，验证原文是否被修改；
[0044]若MD和MD’ 二者相等，则说明数据没有被篡改，原文信息是安全传输的，然后执行步骤3.2)；
[0045]否则拒绝该签名，认为原文信息不是安全传输，拒绝信息的传输；
[0046]3.2)利用Biba模型对原文信息进行完整性验证；若验证成功，则执行步骤4);
[0047]若验证失败，则拒绝信息的传输；
[0048]4)管理虚拟机原文信息发送至收方域，通信结束。
[0049]上述域间包括包括闭合域、私有域和公开域；所述闭合域用于保障安全飞行；所述私有域代表提供与安全飞行无关的飞机操作或乘客访问需求的服务；所述公开域代表提供给乘客的开放网络服务；
[0050]所述虚拟机设置有三个，三个虚拟机分别与三个域相互对应设置。
[0051]本发明的优点在于:
[0052]1、本发明系统结构的实现了目前高度综合化航空电子系统中飞机网络系统与地面系统以及飞机网络系统中各个域间的安全通信。
[0053]2、本发明采用安全模块对通信的发方和收方的信息进行身份认证，大大提高了通信的安全性。
[0054]3、本发明采用虚拟机虚拟机易于控制的优势来完成域间通信的安全实施，虚拟机技术能够有效屏蔽平台的异构性和动态性，使得资源得到最大限度的共享和复用，并使操作更加灵活，同时简化变更管理。
[0055]4、本发明采用Biba模型对文件进行完整性验证，验证结果可靠性大大提高。

【专利附图】

【附图说明】
[0056]图1为本发明航空交换系统的结构示意图；
[0057]图2为飞机网络系统的示意图；
[0058]图3为BLP访问控制原理图；
[0059]图4为Biba访问控制原理图。

【具体实施方式】
[0060]实施本发明基础是建立虚拟机的航空交换系统，该系统包括飞机网络系统、虚拟交互系统以及地面系统；
[0061]飞机网络系统通过虚拟交互系统与地面系统相互通信；虚拟交互系统包括虚拟机、安全模块以及管理虚拟机；管理虚拟机接收待交互信息并将其发送给安全模块；安全模块将待交互的信息进行加密/解密、身份认证、防火墙、访问控制、完整性验证；虚拟机用于实现飞机网络系统域间不同安全级别信息能够相互通信。
[0062]如图2所示，目前商用的飞机网络系统主要分成三个区域:闭合域(Closed)，私有域公开域$11)311(3)。01086(1域代表8#61:7关键航电系统、座舱管理系统；？1~1%丨6域代表航线运行系统、乘务终端系统等#111311(3域代表提供给乘客的开放网络服务，⑶3表示空中交通管理系统(通信导航11狀1职1: 1011监视8111-^611181106)⑶ 表不飞机控制，861^1(368 表不座舱服务，3八!'031
表示卫星通信，06?丨6；0111的18表示乘务员终端，86口1。68表示信息服务，01-08(1 1^11(1 表不宽频传输，2x1:611131 802.11 表不外部 802.11 协议，=1:61'的 1 802.11 表不内部802.11协议，06界(16^1068表示乘务员设备，6111:61-1:81111116111:表示机内娱乐，？5188611861~ (16^1068 表示乘客设备。
[0063]特别说明的是:每一个域对应设置有一个虚拟机，根据图1，闭合域与图中虚拟机1对应，私有域与虚拟机2对应，公开域与虚拟机3对应。每个域的安全级别不尽相同，他们之间的相互通信会比较复杂，需要对域间通信进行相应的控制，才能保证既可以保持彼此之间的独立，同时保证域间的通信安全。
[0064]首先，具体以闭合域和地面系统的信息交互对飞机网络系统和地面系统之间的信息交互的方法进行描述:
[0065]1)通信开始，闭合域将对原文信息加密后发送至虚拟交互系统的管理虚拟机；
[0066]2)管理虚拟机调用安全模块对原文信息进行身份认证和完整性验证；
[0067]2.1)原文信息的身份认证；
[0068]2.1.1)闭合域对发送的原文信息进行哈希运算，得到一个哈希值，即为数字摘要10 ；
[0069]2.1.2)闭合域系统用自己的私用(私钥-上的私有密钥即?社6 1^7，取的？和V两个字母)采用非对称…八算法对数字摘要10进行加密，即得数字签名
08 ；
[0070]2.1.3)闭合域用对称密钥对原文信息、数字签名03及闭合域证书的公钥？8八〈？8八表示八的匕7，取￠11)3110的？和13两个字母)采用对称算法进行加密，得加密信息2 ；
[0071]2.1.4)闭合域用地面系统的公钥？88 $88表示8的？油11。1^7，取？油11。的？和6两个字母)，采用尺5八算法对对称密钥1加密，形成数字信封02 ；
[0072]2.1.5)闭合域将加密信息2和数字信封02经过管理虚拟机发送至地面系统；
[0073]2.1.6)地面系统接受到数字信封02后，利用自己的私钥？乂8解密数字信封，取出对称密钥1 ；
[0074]2.1.7)地面系统用对称密钥1通过023算法解密加密信息￡,还原出原文信息、数字签名03及发方01086(1域证书的公钥？8八；
[0075]2.1.8)地面系统验证数字签名03，先用闭合域的公钥解密数字签名得数字摘要10 ；
[0076]2.1.9)地面系统同时将原文信息用与步骤1.3.1.1)同样的运算，求得一个新的数字摘要10’ ；将两个数字摘要10和10’进行比较，验证原文是否被修改；
[0077]若10和10’ 二者相等，则说明数据没有被篡改，原文信息是安全传输的，然后执行步骤2.2)；否则拒绝该签名，认为原文信息不是安全传输，拒绝信息传输
[0078]2.2)利用81“模型对原文信息进行完整性验证；若验证成功，则执行步骤3)；若验证失败，则拒绝信息传输
[0079]3)管理虚拟机将原文信息发送至地面系统，通信结束。
[0080]其他各域与地面系统的安全通信流程与上述闭合域和地面系统通信方式相同。
[0081]然后，具体以闭合域和私有域的信息交互为例对飞机网络系统域间进行信息交互的方法进行描述:
[0082]1)通信开始，发方域(闭合域)将对原文信息加密后发送至虚拟交互系统的虚拟机(虚拟机1)；
[0083]2)虚拟机(虚拟机1)接收到原文信息后，判断的发方域(闭合域)和收方域(私有域)的安全等级等级是否匹配；若匹配，则执行步骤3)；若不匹配，则利用虚拟机进行怎样的处理后，执行步骤3)；
[0084]3)虚拟机(虚拟机1)将原文信息发送至管理虚拟机，管理虚拟机调用安全模块对原文信息进行身份认证和完整性验证；
[0085]3.1)原文信息的身份认证；
[0086]3.1.1)发方域(闭合域)对发送的原文信息哈希运算，得到一
[0087]个哈希值，得到数字摘要10 ；
[0088]3.1.2)发方域(闭合域)用自己的私用？乂八，采用非对称…八算法对数字摘要10进行加密，即得数字签名03；
[0089]3.1.3)发方域(闭合域)用对称密钥对原文信息、数字签名03及发方域系统证书的公钥？8八进行加密，得加密信息2 ；
[0090]3.1.4)发方域(闭合域)用收方域(私有域)的公钥？88，采用…八算法对称密钥1加密，形成数字信封02 ；
[0091]3.1.5)发方域(闭合域)将加密信息2和数字信封02经过管理虚拟机(虚拟机1)发送至地面系统；
[0092]3.1.6)收方域(私有域)接受到数字信封02后，利用自己的私钥？乂8解密数字信封，取出对称密钥31(；
[0093]3.1.7)收方域(私有域)用对称密钥1通过023算法解密加密信息￡,还原出原文信息、数字签名03及发方01086(1域证书的公钥？8八；
[0094]3.1.8)收方域(私有域)验证数字签名03，先用发方域(闭合域)的公钥解密数字签名得数字摘要10 ；
[0095]3.1.9)收方域(私有域)同时将原文信息用与步骤1.3.1.1)同样的运算，求得一个新的数字摘要10’ ；将两个数字摘要10和10’进行比较，验证原文是否被修改；
[0096]若10和10’ 二者相等，则说明数据没有被篡改，原文信息是安全传输的，然后执行步骤3.2)；
[0097]否则拒绝该签名，认为原文信息不是安全传输，拒绝信息传输
[0098]3.2)利用81“模型对原文信息进行完整性验证；若验证成功，则执行步骤4)；若验证失败，则拒绝信息传输
[0099]4)管理虚拟机原文信息发送至收方域(私有域)，通信结束。
[0100]其他各域间的安全通信流程与上述闭合域和私有域通信方式类似。
[0101]此处，需要对上述方法中信息完整性验证使用的模型进行说明:
[0102]航空交换系统的访问控制按照权限等级划分成绝密、机密、秘密和公开等几类；--81？模型是在 1973 年由 0.8611 和了.在《1已1:11611181:1。81 ^01111 (1^-0118 811(1
00(161》提出并加以完善，它根据军方的安全政策设计，解决的本质题是对具有密级划分信息的访问控制，是第一个比较完整地形式化方法对系统安全进行严格证明的数学模型，被广泛应于描述计算机系统的安全问题。采用81？模型严格控制用户按照自己所属的密级访问。81？模型中，密级是集合I:绝密、机密、秘密、公开丨中的任一元素，此集合是全序的，即:绝密 ? 机密 ? 秘密 ? 公开。在81？模型中，安全属性的集合形成一个满足偏序关系的格([￡11:1:1(36)，此偏序关系称为支配(00111111211:6)关系。81？模型对系统中的每个用户分配一个安全属性(又称敏感等级)，它反映了对用户不将敏感信息泄露给不持有相应安全属性用户的置信度。用户激活的进程也将授予此安全属性。81？模型对系统中的每个客体也分配一个安全属性，它反映了客体内信息的敏感度，也反映了未经授权向不允许访问该信息的用户泄露这些信息所造成的潜在威胁。
[0103]81？模型中主体对客体的访问必须满足以下两个规则，如图3:
[0104]1、简单安全规则，仅当主体的敏感级不低于客体敏感级且主体的类别集合包含客体时，才允许该主体读该客体。即主体只能读密级等于或低于它的客体，也就是说主体只能从下读，而不能从上读；
[0105]2、星规则，仅当主体的敏感级不高于客体敏感级且客体的类别集合包含主体的类别集合时，才允许该主体写该客体。即主体只能写密级等于或高于它的客体，也就是说主体只能向上写，而不能向下写。
[0106]上述两条规则保证了信息的单向流动，即信息只能向高安全属性的方向流动，能够满足航空电子系统高安全的需求。
[0107]但是81？模型重点强调信息向高安全级的方向流动，但是对高安全级信息的完整性保护强调不够。针对航空电子系统信息的完整性需求，使用81“模型来保证。
[0108]81“模型是涉及计算机系统完整性的第一个模型，1977年发布。81“模型将完整性威胁分为来源于子系统内部和外部的威胁。如果子系统的一个组件是恶意或者不正确，则产生内部威胁；如果一个子系统企图通过错误数据或不正确调用函数来修改另一个系统，则产生外部威胁。81“认为内部威胁可以通过程序测试或检验来解决。所以模型主要针对外部威胁，解决了完整性的第一个目标:防止非授权用户的篡改。81“模型主要是针对信息完整性保护方面的。与81？模型类似，81“模型用完整性等级取代了 81？模型中的敏感等级，而访问控制的限制正好与81？模型相反，如图4。
[0109](1)简单完整规则，仅当主体的完整级大于等于客体的完整级且主体的类别集合包含客体的类别集时，才允许该主体写该客体。即主体只能向下写，而不能向上写，也就是说主体只能写(修改)完整性级别等于或低于它的客体；
[0110](2)完整性制约规则(星规则)，仅当主体的完整级不高于客体完整级且客体的类别集合包含主体的类别集合时，才允许该主体读该客体。即主体只能从上读，而不能从下读。
【权利要求】
1.一种基于虚拟机的航空交换系统，其特征在于:包括飞机网络系统、虚拟交互系统以及地面系统；所述飞机网络系统通过虚拟交互系统与地面系统相互通信； 所述虚拟交互系统包括虚拟机、安全模块以及管理虚拟机； 所述管理虚拟机接收待交互信息并将其发送给安全模块； 所述安全模块将待交互的信息进行加密/解密、身份认证、防火墙、访问控制、完整性验证； 所述虚拟机用于实现飞机网络系统域间不同安全级别信息能够相互通信。
2.根据权利要求1所述的基于虚拟机的航空交换系统的飞机网络系统与地面系统进行信息交互的方法，其特征在于，包括以下步骤: 1)通信开始，飞机网络系统将对原文信息加密后发送至虚拟交互系统的管理虚拟机； 2)管理虚拟机调用安全模块对原文信息进行身份认证和完整性验证； 2.1)原文信息的身份认证； 2.1.1)飞机网络系统对发送的原文信息进行运算，得到数字摘要MD ;2.1.2)飞机网络系统用自己的私钥PVA，对数字摘要MD进行加密，即得数字签名DS ； 2.1.3)飞机网络系统用对称密钥对原文信息、数字签名DS及飞机网络系统证书的公钥PBA进行加密，得加密信息E ； 2.1.4)飞机网络系统用地面系统的公钥PBB，对称密钥SK加密， 形成数字信封DE ；2.1.5)飞机网络系统将加密信息E和数字信封DE经过管理虚拟机发送至地面系统； 2.1.6)地面系统接受到数字信封DE后，利用自己的私钥PVB解密数字信封，取出对称密钥SK ； 2.1.7)地面系统用对称密钥SK通过解密加密信息E，还原出原文信息、数字签名DS及发方Closed域证书的公钥PBA ； 2.1.8)地面系统验证数字签名DS，先用飞机网络系统的公钥解密数字签名得数字摘要MD ； 2.1.9)地面系统同时将原文信息用与步骤1.3.1.1)同样的运算，求得一个新的数字摘要MD’ ；将两个数字摘要MD和MD’进行比较，验证原文是否被修改； 若MD和MD’ 二者相等，则说明数据没有被篡改，原文信息是安全传输的，然后执行步骤2.2);否则拒绝该签名，认为原文信息不是安全传输，则拒绝信息的传输； 2.2)利用Biba模型对原文信息进行完整性验证；若验证成功，则执行步骤3);若验证失败，则拒绝信息的传输； 3)管理虚拟机将原文信息发送至地面系统，通信结束。
3.根据权利要求1所述的基于虚拟机的航空交换系统的飞机网络系统域间进行信息交互的方法，其特征在于，包括以下步骤: 1)通信开始，发方域将对原文信息加密后发送至虚拟交互系统的虚拟机； 2)虚拟机接收到原文信息后，判断的发方域和收方域的安全等级等级是否匹配； 若匹配，则执行步骤3); 若不匹配，则利用虚拟机进行安全等级的升降级处理，使得发方域和收方域的安全等级相匹配后，执行步骤3); 3)虚拟机将原文信息发送至管理虚拟机，管理虚拟机调用安全模块对原文信息进行身份认证和完整性验证； 3.1)原文信息的身份认证； 3.1.1)发方域对发送的原文信息进行运算，得到数字摘要MD ; 3.1.2)发方域用自己的私钥PVA对数字摘要MD进行加密，即得数字签名DS ； 3.1.3)发方域用对称密钥对原文信息、数字签名DS及发方域系统证书的公钥PBA进行加密，得加密信息E ; 3.1.4)发方域用地面系统的公钥PBB，对称密钥SK加密，形成数字信封DE ; 3.1.5)发方域将加密信息E和数字信封DE经过管理虚拟机发送至地面系统； 3.1.6)收方域接受到数字信封DE后，利用自己的私钥PVB解密数字信封，取出对称密钥SK ； 3.1.7)收方域用对称密钥SK通过解密加密信息E，还原出原文信息、数字签名DS及发方Closed域证书的公钥PBA ； 3.1.8)收方域验证数字签名DS，先用发方域的公钥解密数字签名得数字摘要MD ； 3.1.9)收方域同时将原文信息用与步骤1.3.1.1)同样的运算，求得一个新的数字摘要MD’ ；将两个数字摘要MD和MD’进行比较，验证原文是否被修改； 若MD和MD’ 二者相等，则说明数据没有被篡改，原文信息是安全传输的，然后执行步骤3.2)； 否则拒绝该签名，认为原文信息不是安全传输，拒绝信息的传输； 3.2)利用Biba模型对原文信息进行完整性验证；若验证成功，则执行步骤4); 若验证失败，则拒绝信息的传输； 4)管理虚拟机原文信息发送至收方域，通信结束。
4.根据权利要求1所述的基于虚拟机的航空交换系统，其特征在于:所述域间包括包括闭合域、私有域和公开域；所述闭合域用于保障安全飞行；所述私有域代表提供与安全飞行无关的飞机操作或乘客访问需求的服务；所述公开域代表提供给乘客的开放网络服务； 所述虚拟机设置有三个，三个虚拟机分别与三个域相互对应设置。
【文档编号】H04L9/32GK104486300SQ201410714131
【公开日】2015年4月1日 申请日期:2014年11月29日 优先权日:2014年11月29日
【发明者】崔西宁, 周银萍, 戴小氐, 李亚晖, 张志为, 王宁, 张树兵, 习宁, 韩春阳 申请人:中国航空工业集团公司第六三一研究所, 西安电子科技大学