专利名称:广播式自动相关监视信息安全传输系统的制作方法
技术领域:
本发明涉及一种广播式自动相关监视(Automatic D印endent Surveillance -Broadcast,以下简称ADS-B)信息安全传输系统,尤其涉及一种用户特征信息的群 组管理体系和ADS-B广播通信体制的独立双向认证模式,从而保证ADS-B用户飞机在航 行时,其身份特征等重要信息的安全性,属于空中交通管制领域。
技术背景空中交通管制的根本目的是使航线上的飞机安全、有效和有计划的在空域中飞 行,管制员需要对管制空域内飞机的飞行动态进行实时监视。传统的雷达监视技术采用询问应答方式对目标进行探测。从长远来看,雷达监视 技术存在很多局限性,限制了监视性能的提高。例如,雷达波束的直线传播形成了大 量雷达盲区,无法覆盖海洋和荒漠等地区;雷达旋转周期限制了数据更新率的提高, 从而限制了监视精度的提高;雷达无法获得飞机的计划航路、速度等态势数据,限制 了跟踪精度的提高和短期冲突检测告警的能力。自动相关监视(Automatic D印endent Surveillance,以下简称ADS)是国际 民航组织(International Civil Aviation Organization,以下简称ICAO)在新 航行系统中推荐的监视技术,是指由机载导航系统获得导航信息,并通过卫星数据链 或甚高频空-地数据链,自动实时地将导航信息发送到地面站接收和处理系统,然后 通过显示设备提供伪雷达画面,供地面站监视飞机的运行状态。ADS-B为ADS的一种,是指航空器周期性的实时自动广播由机载星基导航和定位 系统生成的精确定位信息,地面设备和其他航空器通过航空数据链接收此信息,卫星 系统、飞机以及地基系统通过高速数据链实现空天地一体化协同监视。ADS-B克服了 传统雷达监视技术的一些问题,具有延迟较小、更新率高、应用范围广等优势。作为一种全新的监视模式,ADS-B用户飞机(简称ADS-B用户)通过空空、空地 数据链传输监视信息时,采用周期性广播的方式,使得用户的身份、位置和飞行意向 等信息很容易被拥有相应接收设备的攻击者所捕获,实现被动攻击,从而导致ADS-B 特殊用户敏感信息的泄漏。与此同时,ADS-B通信体制也面临着一些主动攻击的巨大 威胁(1)伪装,即攻击者可以使用非法的ADS-B收发装置冒充正常的ADS-B地面 站或者ADS-B飞机,向管制空域广播非法的监视信息;(2)重放,即攻击者可以通过接收一段时间内ADS-B合法用户的监视信息,然后再将这些信息通过非法途径重新 散布到管制空域;(3)篡改,即攻击者可以通过对正常的ADS-B监视信息的某些关 键数据进行篡改,在将经过篡改的信息通过非法途径发送至管制空域;等等。这些攻 击都可以干扰ADS-B用户对有关空域态势的感知与评估,甚至威胁飞行安全。因此,通信体制的安全性问题大大限制了 ADS-B在民航特殊用户(比如重要人物 座机)和军航领域的应用。为此,ICAO在DO-242A (Minimum Aviation System Performance Standards for ADS-B ) 和 D0-286A ( Minimum Aviation System Performance Standards for TIS-B)等文件中均提到了应用于ADS-B针对特殊用户 的匿名(Anonymity)服务,要求实现通信数据的保密性,各国也正在开展广泛的研 究。然而,目前此匿名服务安全机制仅仅是将用户飞机的广播信息电文中的身份代码 部分隐去,不但用户飞机、地面管理部门均没有抵抗上述主动攻击的能力,而且攻击 者还可以通过分析电文中的其它部分信息(如经纬度位置、高度、速度等)来掌握用 户的实时状态,造成巨大安全隐患。此外,尽管ADS-B的通信体制在广义上属于无线 通信模式,但现有的无线通信网络安全机制并不适用于ADS-B: ADS-B用户在此仅指 民航客机,尽管数量较大但一般仅在固定航线上飞行,在机场停靠,机场的分布又是 固定的,往往相当广阔的区域内只有一个机场,而且民航领域内的飞机、人员、地面 设施、管理体制等各方面均自成体系,这些与常见的无线通信的用户和基站分布及管 理模式有很大不同;而且,ADS-B采用特殊的信息传输模式,监视信息的发送与接收 相互独立,而且是在特定空域内进行实时、周期性的广播,没有固定对象,这些均不 同于传统的端对端通信模式,也无法在正式通信之前以询问/应答的方式进行相互认 证来建立连接,因此目前世界各国在推广应用ADS-B的过程当中尚未采取行之有效的 信息安全措施。因此,如何充分考虑民航领域的特殊性和ADS-B信息传输的特点,设 计用于ADS-B信息传输的安全机制,能够实现针对特殊用户可靠的匿名服务,能够有 效的抵御各种主动攻击,实现有效的安全认证,从而保证ADS-B信息传输的秘密性、 完整性,是一个亟待解决的问题。 发明内容本发明的发明目的在于提供一种广播式自动相关监视信息安全传输系统,可以实现为 ADS-B特殊用户提供可靠的匿名服务,并能够有效的抵御各种主动攻击,实现有效的 安全认证,从而保证ADS-B信息传输的安全。本发明的目的是这样实现的广播式自动相关监视信息安全传输的实现方法,其特征在于(1)建立ADS-B用户特征信息的群组管理体系按照空管中心、飞行情报区、及飞行情报中心所属的管制区构建三级垂直管理体系, 并采用树型结构来表示,管理体系最低层的叶点是分属各管制区的ADS-B用户,ADS-B 用户飞机可以跨区飞行,ADS-B用户与其所属的管制区服务器之间通过ADS-B空地数据链 广播通信,并采用独立双向认证模式进行通信,即ADS-B用户到所属的管制区服务器 和所述的管制区服务器到所述的ADS-B用户的相互独立的加密和认证安全策略进行通 信;空管中心服务器与各飞行情报区及其所属的管制区服务器之间通过地面数据通信链 路相连接;(2)对建立ADS-B用户特征信息的群组管理体系进行管理 空管中心负责对不同的飞行情报区及其下属管制区进行统一管理;在每一级各管 理部门建立并维护一个下一级部门及其各自所属用户特征信息的服务器;同级管理部门之 间的服务器不直接相连,跨部门通信需经由上一级部门进行;ADS-B用户的计划航线在安 全周期开始阶段经过由其所属的管制区和飞行情报区顺序报至空管中心,空管中心为该匿 名ADS-B用户分配一个临时身份,并建立从临时身份至真实身份的映射关系,此映射关系 是保密的,将所述的映射关系发送至该ADS-B用户计划航线经过的飞行情报区的管理部 门;ADS-B用户起飞前,所属的管制区管理部门将其服务器内的用户临时身份、对称密钥, 以及用户计划航线俯近的地面服务器的服务器标识码和服务器消息认证码的公钥信息秘 密分配给该ADS-B用户;该ADS-B用户降落后,此次安全周期结束,对于下一个安全周期, ADS-B用户在安全机制上的归属关系会发生变更,在安全周期结束时所属的管制区管理部 门将所述的ADS-B用户的用户临时身份、对称密钥,以及用户计划航线附近的地面服务器 的服务器标识码和服务器消息认证码的公钥信息销毁,并变更其归属关系,并将变更情况 上报空管中心。所述的ADS-B用户与其所属的管制区服务器之间的独立双向认证模式为ADS-B用户在起飞前获得通过本发明的ADS-B用户特征信息的群组管理体系给其分配的临时身份、对称密钥,以及该用户计划航线附近的地面服务器的服务器标识码和服务器认证码的公钥;ADS-B用户下行通信,即ADS-B用户广播,地面服务器接收,采用对称加密的方式, 在广播的同时实现信息的加密和认证;ADS-B用户使用管理部门分配的密钥对下行信息进 行实时加密,并将加密后的信息连同管理部门分配的临时身份通过机载收发信机对外界广播;地面服务器接收到此信息后,根据临时身份确定信息种类,即加密、非加密以及ADS-B 用户的对称密钥,实时解密并进行校验,得到用户全部监视信息;服务器上行通信,即地面服务器广播,ADS-B用户接收,采用明文电码附加公钥认证码的方式,在广播信息的同时实现信息的认证,即服务器及服务器信息的合法性认证;地面服务器将需要发送的交通信息明文附加公钥认证码后在作用空域内进行广播,其中的用户身份代码部分使用临时身份;ADS-B用户接收到此信息后,通过判断此地面服务器的 和合法性并对此广播信息进行认证,认证合法后方可使用。所述的下行通信中ADS-B用户加密及地面服务器认证过程的处理流程为 (a) ADS-B用户通过机载收发信机向外广播如下信息双因子,即加密因子yV/7/7和 对称密钥vf朋、加密信息//^/^ J y^7和临时身份加,其中6/7,6^>> A^7表示用对称密钥A"/7/7对ADS-B用户的明文信息ffl和;z/的校验信息,即ADS— B用户上行信息的杂凑函数i/as^ 6^通过加密函数f进行加密,再与加密因子A7J作异或运算,相当于第二次加密,增强了安全性能;(b)管制区服务器5b/7收到ADS-B用户的下行广播信息后,通过临时身份^J判断是 加密信息,并从自身的数据库中查找与^3对应的加密因子A^ ,以及对称密钥,朋,之后 做如下运算/^w^j Ato^A 6z , //oy/^ 6t^,再解密得到恥i/w/^ &>>;然后,服务器对信息合法性作以下判决设定合理的时间误差范围 」t;提取历当中的时间戳与接收信息时的服务器系统接收时间r相比较,若/7 -7skAr,证明此信息在时间上是合法的,并对解密得到的明文信息历进行本地校验运算//oy/^ 若与接收信息中的//^/^ 6z^相等,证明此信息是完好的,据此,地面管制区服务器完成对此ADS-B用户信息的合法性认证,可以使用解密后的该用户的明文信息 孤所述的上行通信中地面服务器广播,ADS-B用户接收认证过程为 (a)管制区服务器A / 通过地基收发信机向作用空域内广播如下信息上行明文 信息历,历的公钥认证码M4Cm, ^fife^ /以及服务器标识码5"朋,其中M4C《m//fo^s 6t^7表示服务器5>7"使用服务器杂凑函数//0 /^对上行信息作杂凑运算,得到//^& 6z/J ;再用自己的私钥A7ws对/fas^ 签发认证码;(b) ADS-B用户接收到5>7/7的上行信息后,通过服务器标识码5" 77/7判断此为服务器5>7/7的广播信息,通过机载导航定位系统得到自己当前的地理位置信息,判断其是否在的有效区域内,来判断5>7/7的合法性;苒通过查找与对应的公钥A77p,对认证码解算后得到/Zas^;然后服务器对信息合法性作以下判决设定合理的时间误差范围Z17;提取历当中的时间戳7^,与接收信息时的本机系统接收时间7相比较,若/7 -7^1^Ar,证明此信息在时间上是合法的;并对接收的明文信息历进行本机校验运算 /fo^s 6z > ,若与接收信息中的Z/as/is相等,证明此信息是完好的;据此,ADS-B 用户完成对服务器5>7/7上行信息的合法性认证,可以使用此服务器的上行明文信息历。 本发明与现有技术相比的优点在于(1) 本发明基于空中交通管理的体制及其特点,对ADS-B用户的特征信息划分 群组进行管理;在此基础上,不改变ADS-B信息周期性广播的现有传输模式,在ADS-B 用户和地面服务器之间进行广播式通信的同时,应用双向同时(用户到服务器和服务 器到用户)、相互独立的加密、认证等安全策略,保证了 ADS-B信息传输的安全。(2) 本发明可以实现ADS-B用户特征信息的有效管理,保证机密信息的安全性。在 用户飞机起飞前,即与地面服务器开始广播通信之前,能够完成临时身份和密锊的产生、 分配,实现用户与地面服务器安全机制的建立和起始,实现了保密通信和有效的认证, 从而保证ADS-B信息传输的安全。(3) 本发明可为ADS-B用户提供可靠的匿名服务。ADS-B用户飞机和地面服务器进 行广播通信时,均使用临时身份,除用户本人外,只有管理部门知道用户的真实身份;匿 名服务将下行的加密信息中身份信息数据项设为零,因此即使信息被截获并破译,攻击者 也无法获得用户的真实身份,而上行的明文信息中同样临时身份,这些保证了匿名用户身 份的机密性,并能够有效的抵御各种主动攻击,实现有效的安全认证(4) 本发明可以有效的保证用户下行信息内容的安全性。由于对称密钥和加密因子 只在用户和用户航线经过的管制区服务器之间共享,攻击者无法破译加密信息;即使攻击 者破解获得了加密因子,也无法反向求出对称密钥,因此仍然无法破译加密信息。用户的 临时身份、对称密钥及其映射关系每个安全周期均不同,相当于一次一密,攻击者不能通 过上一次的成功来保证下一次对用户信息的捕获;不同用户的特征信息没有明显的相关 性,攻击者无法通过对一个用户的成功攻击来获取其它用户的信息。这^些都保证了下行信 息内容的安全性,因此保证了ADS-B用户飞机信息不会被攻击者识别并窃取,保证了航行 安全。(5) 本发明可以有效的抗伪装攻击,重放攻击和篡改攻击。下行信息的双因子对称 加密认证体制和上行认证中公钥认证码都有效的避免了入侵者的伪装攻击。下行认证和上行认证中关于合理时间误差范围的设定zir可以有效的避免入侵者的重放攻击。杂凑函数泡s力可以有效保证用户信息一旦被篡改,可以被准确的检测出来。这些都保证了 ADS-B 用户飞机与地面服务器同时进行相互独立的双向认证,可以有效的抵抗上述主动攻击,进 一步保证了空管的安全性。
图1为本发明的ADS-B用户特征信息的群组管理体系的结构示意图; 图2为本发明在一个安全周期中地面服务器与ADS-B用户建立安全协议的流程图; 图3为本发明的ADS-B用户与地面服务器进行广播通信时安全机制的实施示意图; 图4为本发明的下行通信加密及认证过程的处理流程图; 图5为本发明的上行通信认证过程的处理流程图。
具体实施方式
下面通过附图和实例,对本发明的技术方案做进一步的描述,同时对本方案的具体细 节作进一步的说明。本发明中的用户特征信息一般包括真实身份、临时身份、对称密钥等内容。特征 信息与用户飞机之间是一一对应的关系,其具体定义如下(1 )对于ADS-B用户飞机,真实身份在匿名服务当中是需要保密的,它一般包括:ADS-B 广播电文中的3/A模式答码(Mode 3/A) 、 24-bit ICAO地址(Target Address)、飞行 计划数据(Flight Plan)、目标识别码(Target Identification)等信息;本发明当中, 匿名服务需要将加密的电文当中的真实身份信息全部设置为零。(2) 临时身份起到加密标识符的作用,接收者可以通过这部分数据判断是否为加密 电文;同时每个用户的临时身份都不同,合法接收者可以通过临时身份与真实身份的映射 关系确定用户的真实身份,而这个映射关系对外界是保密的。临时身份在每个安全周期的 开始阶段由空管部门产生并分配给用户,安全周期结束时销毁,每次均不相同。(3) 对称密钥用于ADS-B用户对广播电文的实时加密和空管部门对此信息的实时解 密,在每个安全周期的开始阶段也由空管部门产生并分配给ADS-B用户,在安全周期结束 时销毁,每次均不相同。本发明基于ADS-B电文的特点,采用对称分组加密方式,根据 ADS-B电文长度,每次对一帧或几帧进行分组加密。对称密钥需要严格保密。用户的归属关系定义为用户计划航线的起点(安全周期开始时)所在区域在此管 理体系中的归属关系,因此对于不同的安全周期,不同的计划航线,这种归属关系是动态 的,这样更符合用户飞机飞行区域、停靠地点不固定的现实情况。图l为本发明的管理体系及其传输实现过程的实例说明。1、 ADS-B用户特征信息的群组管理体系图1提供了本发明的实例说明,在此实例当中J7M7为空管中心;必…他为各飞行情报区管理部门;657/, 572…57"J , " 厶5^*…S2;^…5>72…5/7/^分别为归属#厶…#/ 的管制区管理部 门;各管理部门的服务器之间通过地面数据通信链路相连接;方形叶点为用户,假设为用 户A 5…从每个服务器理论上都可以有任意多个所属用户,用户飞机可以跨区飞行, 用户与管制区服务器之间仍通过ADS-B空地数据链广播通信。这里认为空管中心服务器、 飞行情报区服务器和管制区服务器之间的地面通信信道是安全的。Z7MT的服务器维护一个全体ADS-B用户真实身份库W ^y"efro";^和一个动态临 时身份库^Tofe/7"/Yer froi/W ,以及全体ADS-B用户——管制区服务器——飞行情 报区服务器所属关系列表。^TM7将匿名用户临时身份到真实身份的映射关系(映射关系 保密)发送至该用户计划航线经过的飞行情报区的管理部门。真实身份和临时身份的比特 长度不同,以防止重复。#7…i^的服务器维护^M7所分配的各自用户群组的真实身份库…7K^和 动态临时身份库0"/^/…/Z 6"/^的映射关系,及其飞行情报区所属用户一管制区服务器 关系列表,并将用户的临时身份发送至用户所属管制区管理部门T57/, 572…57/7> … (^SW, M…0G57厶572…57/7J…G"/, …的服务器各拥有一个公钥/私钥对 A77^…沐777p, A7; s"…AWs乂…"/朋,A7"SyO ,私钥用于给自己的广播信 息附加认证码,公钥向所有航线经过该服务器作用区域的用户公开。管制区服务器维护 #7…i//7所分配的各自所属ADS-B用户真实身份和临时身份的映射关系。"J ,…6o> J…Ov7/ , //《"J…F" "J 是管制区服务器各自的单 向线性函数。此类函数的特点在于对任意有/ "/J "i9 ;且若已知/" "9的值,由/6^求x极为困难,具体可见有关文献。管制区服务器利用此函数产生 一个加密因子,此加密因子与ADS-B用户的对称密钥共同构成了双因子加解密对称密钥, 可以极大地提高加解密的安全性。ADS-B用户起飞前,管制区管理部门将其服务器内的此 用户临时身份、双因子对称密钥,以及用户计划航线附近的地面服务器的服务器标识码和 服务器消息认证码的公钥等信息秘密分配给该用户飞机。为防止重复,这些信息的比特数 应当不同。此外,用户飞机一个安全周期结束后,对于下一个安全周期,用户在安全机制上的 归属关系往往会发生变更。此时附…胞和6S7入572…57/^)…^W, …的信息库应当及时进行更新,并将变更情况上报安全周期定义为时间起始于ADS-B用户飞机起飞准备阶段,终止于ADS-B用户飞机降落,图2为图,1所提供的实例在一个安全周期中地面服务器与用户Z建立安全协议的实 施实例^在安全周期开始阶段上报计划航线,假设由57/起始,经过57么结束于5^厶因 此力在此安全周期当中归属于起始点57/, #/管理的用户群组。用户的计划航线经 577 #7 7,的顺序报至空管中心。^TM7为^分配一个临时身份力7,并建立力/到^的映射;力riC将此映射关系发往i/厶 #2; #7将其发往57厶572; #2将其发往5"i7。W7产生一个随机数作共享密钥A7/,计算加密因子A7〉 07",然后将^ , A7"和通过秘密渠道在起飞前发给^并分别经过577 — — 572和 577—5"i7的顺序将A777和A7/发送给Z的计划航线所要经过的管 制区57么6^/服务器。■577直接将服务器标识码677和认证码的公钥秘密分配给A 57么5"i7分别经 过5724#_/">57/"^和Si7—yJ/i^/I7M:4yW4 5774^的顺序将其服务器标识码57么 Si7和认证码的公钥jO"、 A7》、A27p等信息秘密分配给/!。J降落在5"i7,力的此次安全周期结束,管理体系将的临时身份、对称密钥等信息 销毁,并变更Z的归属关系Z归属S27, #2管理的群组。2、 ADS-B广播通信体制的独立双向认证模式令历为ADS-B明文信息(可以是用户的下行信息或地面服务器的上行信息),^为对 称加密函数,鹏C为公钥认证码函数(公钥函数具体介绍见有关文献),"为解密运算的 统称,7^为每条ADS-B信息的时间戳,7为系统接收时间,用户拥有计划航线附近管制区 服务器的公钥集合。^ss力为杂凑函数,起到对信息进行错误控制的作用,具体特性见有 关文献。在本发明当中,用户(User)下行信息的杂凑运算和地面服务器(Server)上行 信息的杂凑运算是不相同的,分别用//^~和/7^/^表示;同时,在本发明当中,杂凑算 法//cw/^和ifos^可以是公开的。图3是在图1、图2所提供的实例情况下,本发明关于ADS-B广播通信体制的独立双 向认证模式的一个实施实例,具体为用户^与服务器之间的广播通信及其加密、认证的过程。本发明的ADS-B广播通信体制的独立双向认证模式,其应用于每条广播信息的具体 实施方式包括如下过程(1) 下行通信的加密及认证过程图4为下行通信的加密及认证过程的处理流程,具体包括以下步骤 (a)^通过机载收发信机向外广播如下信息双因子(A77, A77)加密信息E^ "//oy/^ 6z J J十A77和临时身份W。其中£^ 6 , //a^y 6ffJ J 用对称密钥A77对用户Z的明文信息历和的校验信息/fas^ 通过加密函数^进行加密;再与加密因子A77作异或运算,相当于第二次加密,增强了安全性能。(b)管制区服务器57/收到^的下行广播信息后,通过临时身份W (起到加密标识 码的作用)判断是加密信息,并从自身的数据库中査找与/1/对应的加密因子A7/,以及 对称密钥,/7,之后做如下运算//ay/^ ; 7K/" 7K/7-^n Way/^J,再解密得到仏//a^^ ^J。然后,服务器对信息合法性作以下判决设定合 理的时间误差范围Z^提取历当中的时间戳rs,与接收信息时的服务器系统接收时间r 相比较,若/7 - 7^2Ar,证明此信息在时间上是合法的;并对解密得到的明文信息历 进行本地校验运算//^/^ 0^,若与接收信息中的^^/^ 证明此信息是完好 的。据此,地面管制区服务器完成对此ADS-B用户信息的合法性认证,可以使用解密后的 该用户的监视信息历。(2) 上行通信的认证过程图5为用户X经过管制区服务器577作用空域时,对57/上行通信的认证过程的处 理流程,^经过管制区服务器57i"和5"i7作用空域时,与上述在57/作用空域中的认证过 程的处理流程类似。具体包括以下步骤(a)管制区服务器5V/通过地基收发信机向作用空域内广播如下信息上行明文 信息历,历的公钥认证码M4C^, _/以及服务器标识码77,其中M4C^,/"7fe^ 6^J表示服务器57/使用Z/a^^对上行信息作杂凑运算,得到//^&;再用自己的私钥A7"对/fo;y/^ 6z^签发认证码。(b) 用户^接收到57/的上行信息后,通过服务器标识码f W判断此为服务器 57/的广播信息;再通过机载导航定位系统得到自己当前的地理位置信息,判断其是否在 57/的有效区域内,来判断57/的合法性;通过査找与57/对应的公钥A7^,对认证码解算后得到i/M^ ;之后服务器对信息合法性作以下判决设定合理的时间误差范围」r,提取加当中的时间戳&,与接收信息时的本机系统接收时间7相比较,若/7 -&| 2 A7",证明此信息在时间上是合法的;并对接收的明文信息历进行本机校验运算//^/^6^,若与接收信息中的i/M/^ 6z^相等,证明此信息是完好的;据此,用户^完成对 服务器577上行信息的合法性认证,可以使用此服务器的上明文信息肌总之,本发明设计了一种基于用户群组管理和独立双向认证的ADS-B安全机制,有 效的利用了现有的空管领域的资源,其用户的群组管理体系易于构建;在保持ADS-B周期 性广播体制的同时,实现了通信的同时加认证和上行、下行通信的独立性,实现了重要信 息的加密传输,能有效的对抗伪装、篡改、重放等主动攻击,并为用户提供可靠的匿名服 务,是解决现有ADS-B安全性能不足的有效手段。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参 照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以 对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而 这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范 围。
权利要求
1、广播式自动相关监视信息安全传输的实现方法,其特征在于(1)建立ADS-B用户特征信息的群组管理体系按照空管中心、飞行情报区、及飞行情报中心所属的管制区构建三级垂直管理体系,并采用树型结构来表示,管理体系最低层的叶点是分属各管制区的ADS-B用户,ADS-B用户飞机可以跨区飞行,ADS-B用户与其所属的管制区服务器之间通过ADS-B空地数据链广播通信,并采用独立双向认证模式进行通信,即ADS-B用户到所属的管制区服务器,及所述的管制区服务器到所述的ADS-B用户之间的通信采用相互独立的加密和认证安全策略;空管中心服务器与各飞行情报区及其所属的管制区服务器之间通过地面数据通信链路相连接;(2)对ADS-B用户特征信息的群组管理体系进行管理,实现信息的安全传输空管中心负责对不同的飞行情报区及其下属管制区进行统一管理;在每一级各管理部门建立并维护一个下一级部门及其各自所属用户特征信息的服务器;同级管理部门之间的服务器不直接相连,跨部门通信需经由上一级部门进行;ADS-B用户的计划航线在安全周期开始阶段经过由其所属的管制区和飞行情报区顺序报至空管中心,空管中心为该匿名ADS-B用户分配一个临时身份,并建立从临时身份至真实身份的映射关系,此映射关系是保密的,将所述的映射关系发送至该ADS-B用户计划航线经过的飞行情报区的管理部门;ADS-B用户起飞前,所属的管制区管理部门将其服务器内的用户临时身份、双因子对称密钥,以及用户计划航线附近的地面服务器的服务器标识码和服务器消息认证码的公钥信息秘密分配给该ADS-B用户;该ADS-B用户降落后,此次安全周期结束,对于下一个安全周期,ADS-B用户在安全机制上的归属关系会发生变更,在安全周期结束时所属的管制区管理部门将所述的ADS-B用户的用户临时身份、双因子对称密钥,以及用户计划航线附近的地面服务器的服务器标识码和服务器消息认证码的公钥信息销毁,变更其归属关系,并将变更情况上报空管中心。
2、根据权利要求l所述的广播式自动相关监视信息安全传输的实现方法,其特征 在于所述的ADS-B用户与其所属的管制区服务器之间的独立双向认证模式为ADS-B用户在起飞前获得通过本发明的ADS-B用户特征信息的群组管理体系给其 分配的临时身份、对称密钥,以及该用户计划航线附近的地面服务器的服务器标识码和服 务器认证码的公钥;ADS-B用户下行通信,即ADS-B用户广播,地面服务器接收,采用对称加密的方式,在广播的同时实现信息的加密和认证;ADS-B用户使用管理部门分配的密钥对下行信息进 行实时加密,并将加密后的信息连同管理部门分配的临时身份通过机载收发信机对外界广 播;地面服务器接收到此信息后,根据临时身份确定信息种类,即加密、非加密以及ADS-B 用户的对称密钥,实时解密并进行校验,得到用户全部监视信息;服务器上行通信,即地面服务器广播,ADS-B用户接收,采用明文电码附加公钥认 证码的方式,在广播信息的同时实现信息的认证,即服务器及服务器信息的合法性认证; 地面服务器将需要发送的交通信息明文附加公钥认证码后在作用空域内进行广播,其中的 用户身份代码部分使用临时身份;ADS-B用户接收到此信息后,通过判断此地面服务器的 和合法性并对此广播信息进行认证,认证合法后方可使用。
3、根据权利要求2所述的广播式自动相关监视信息安全传输的实现方法,其特征 在于所述的下行通信中ADS-B用户加密及地面服务器认证过程的处理流程为(a) ADS-B用户通过机载收发信机向外广播如下信息双因子,即加密因子M /7和 对称密钥J朋、加密信息6z7, Ha^; 6/ ) J yto/7和临时身份力/ ,其中£L 6z , //tw^6z^J> Afe 表示用对称密钥^ / 对ADS-B用户的明文信息/7和历的校验信息,即ADS— B用户上行信息的杂凑函数/fa^^ 6^通过加密函数^进行加密,再与加密因子W/作异或运算,相当于第二次加密,增强了安全性能;(b)管制区服务器&"收到ADS-B用户的下行广播信息后,通过临时身份/!/7判断是加密信息,并从自身的数据库中查找与^7对应的加密因子M7/2,以及对称密钥《"",之后做如下运算6z;, 7fos/^ ) 67, /fey/^ 6z 9,再解密得到肌6^;然后,服务器对信息合法性作以下判决设定合理的时间误差范围47,提取历当中的时间戳7s,与接收信息时的服务器系统接收时间r相比较,若/7 -rsl^Ar,证明此信息在时间上是合法的,并对解密得到的明文信息贝进行本地校验运算ifos/^ &J,若与接收信息中的/^Ay 6^相等,证明此信息是完好的,据此,地面管制区服务器完成对此ADS-B用户信息的合法性认证,可以使用解密后的该用户的明文信息 历。
4、根据权利要求2所述的广播式自动相关监视信息安全传输的实现方法,其特征在于所述的上行通信中地面服务器广播,ADS-B用户接收认证过程为(a)管制区服务器&7/7通过地基收发信机向作用空域内广播如下信息上行明文 信息历,历的公钥认证码旭C^, 0 >> J以及服务器标识码5^/7/7,其中M4C^乂/fo^ 6^J表示服务器5>777使用服务器杂凑函数//氾/^对上行信息作杂凑运算,得到/fiw/^;再用自己的私钥A77/w对i/os/^ 6^签发认证码;(b) ADS-B用户接收到5>w的上行信息后,通过服务器标识码5" / "判断此为服 务器5>3/3的广播信息,通过机载导航定位系统得到自己当前的地理位置信息,判断其是否 在5/7/7的有效区域内,来判断5V7"的合法性;再通过查找与S/w对应的公钥A7//>,对认 证码解算后得到/foA, ;然后服务器对信息合法性作以下判决设定合理的时间误 差范围Z7;提取历当中的时间戳&,与接收信息时的本机系统接收时间7相比较,若/7 -7^1^Ar,证明此信息在时间上是合法的;并对接收的明文信息"进行本机校验运算 ifo^s,若与接收信息中的i/w^ 6z79相等,证明此信息是完好的;据此,ADS-B用户完成对服务器5>7/7上行信息的合法性认证,可以使用此服务器的上行明文信息肌
5、 根据权利要求1所述的广播式自动相关监视信息安全传输的实现方法,其特征 在于所述的空管中心服务器维护一个全体ADS-B用户真实身份库、 一个动态临时身份 库,及全体ADS-B用户至管制区服务器,管制服务器至飞行情报区服务器所属的关系列表, 并将匿名用户临时身份到真实身份的映射关系发送至该用户计划航线经过的飞行情报区 的管理部门。
6、 根据权利要求l所述的广播式自动相关监视信息安全传输的实现方法,其特征 在于所述的飞行情报区的服务器维护空管中心所分配的各自用户群组的真实身份库和 动态临时身份库的映射关系,及其飞行情报区所属用户与管制区服务器关系列表,并将用 户的临时身份发送至用户所属管制区管理部门。
7、 根据权利要求l所述的广播式自动相关监视信息安全传输的实现方法,其特征 在于所述的飞行情报中心所属的管制区的服务器各拥有一个公钥和私钥对,私钥用于给自己的广播信息附加认证码,公钥向所有航线经过该服务器作用区域的用户公开,管制区服务器维护所分配的各自所属ADS-B用户真实身份和临时身份的映射关系。
8、 根据权利要求l所述的广播式自动相关监视信息安全传输的实现方法,其特征 在于对于ADS-B用户飞机,所述的真实身份在匿名服务当中是需要保密的,包括ADS-B 广播电文中的3/A模式答码、24-bit ICA0地址、飞行计划数据、目标识别码信息;匿名 服务中需要将加密的电文当中的真实身份信息全部设置为零。
9、 根据权利要求l所述的广播式自动相关监视信息安全传输实现方法,其特征在于所述的临时身份起到加密标识符的作用,接收者可以通过这部分数 据判断是否为加密电文;同时每个用户的临时身份都不同,合法接收者可以通过临时身份与真实身份的映射关系确定用户的真实身份,而这个映射关系对外界是保密的,临时身份 在每个安全周期的开始阶段由空管部门产生并分配给用户,安全周期结束时销毁,每次均 不相同。
10、根据权利要求l所述的广播式自动相关监视信息安全传输的实现方法,其特征 在于所述的对称密钥用于ADS-B用户对广播电文的实时加密和空管部门对此信息的实 时解密,在每个安全周期的开始阶段也由空管部门产生并分配给ADS-B用户,在安全周期 结束时销毁,每次均不相同;基于ADS-B电文的特点,采用对称分组加密方式,根据ADS-B 电文长度,每次对一帧或几帧进行分组加密,对称密钥需要严格保密。
全文摘要
广播式自动相关监视信息安全传输的实现方法(1)按照空管中心、飞行情报区、及飞行情报中心所属的管制区构建三级垂直管理体系,最低层是分属各管制区的ADS-B用户,ADS-B用户与其所属的管制区服务器之间采用独立双向认证模式进行通信;(2)ADS-B用户在计划航线安全周期开始阶段,空管中心为该ADS-B用户分配一个临时身份,并建立从临时身份至真实身份的映射关系,并将映射关系发送至该ADS-B用户计划航线经过的飞行情报区的管理部门;ADS-B用户起飞前,所属的管制区管理部门将其服务器内的用户临时身份、双因子对称密钥,以及用户计划航线附近的地面服务器的服务器标识码和服务器消息认证码的公钥信息秘密分配给该ADS-B用户。本发明能够有效的抵御各种主动攻击,实现安全认证,保证了ADS-B信息传输的安全。
文档编号H04L29/06GK101261772SQ20081010429
公开日2008年9月10日 申请日期2008年4月17日 优先权日2008年4月17日
发明者伟 刘, 军 张, 张青竹, 朱衍波, 熙 林 申请人:民航数据通信有限责任公司;北京航空航天大学;北京民航天宇科技发展有限公司