综合化航空电子系统密钥管理方法技术方案

本发明专利技术涉及综合化航空电子系统密钥管理方法，密钥管理处理密钥从产生到最终销毁的整个过程中，密钥管理作为综合化模块化航空电子系统（ＩＭＡ）系统中系统管理的安全管理（ＧＳＭ－ＳＭ）的一个功能组件实现，对系统中所有密钥进行统一管理，密钥管理涉及到的问题主要有步骤：１）密钥产生、２）密钥加载、３）密钥分配、４）密钥使用。本发明专利技术有利于提升我国机载嵌入式系统的主动防御水平，构建和完善综合化航空电子系统安全保障体系，防御装备系统免遭外来威胁，提高航空装备系统的抗毁性。

【技术实现步骤摘要】

本专利技术涉及综合化航空电子系统领域，具体涉及一种综合化航空电子系统密钥管理方法。
技术介绍
航空信息安全是机载综合核心处理系统极具挑战性的问题之一，受到国内外广泛关注。在高度综合化的航空电子系统中，大量的计算、通信、控制服务都由飞机上的一个机载综合核心处理系统提供，各种安全级别不同的数据、代码在同一个平台上处理运行，这种处理方式给飞机上的航电系统带来了新的安全挑战。综合化航空电子系统采用层次化分布式体系结构，通用系统管理(GSM)是其管理核心，也采用层次化管理模式，分为三级，分别为飞机级通用系统管理(AC-GSM)、综合区级通用系统管理(IA-GSM)、资源级通用系统管理(RE-GSM)。相应地，通用系统管理的安全管理(GSM-SM)也是被分为三级进行管理，分别为飞机级通用系统管理的安全管理(AC-GSM-SM)、综合区级通用系统管理的安全管理和资源级通用系统管理的安全管理模块(RE-GSM-SM)。在整个航空电子系统中，存在一个飞机级通用系统管理的安全管理(AC-GSM-SM)，负责若干个综合区级通用系统管理的安全管理(IA-GSM-SM)和资源级通用系统管理的安全管理模块(RE-GSM-SM)，每个综合区级通用系统管理的安全管理(IA-GSM-SM)负责若干个资源级通用系统管理的安全管理模块(RE-GSM-SM)，其中综合区级通用系统管理的安全管理(IA-GSM-SM)也可能是分级的。其分布结构如图1所示。综合化航空电子系统密钥管理方法是机载综合核心处理系统安全支撑平台的基础，目前针对综合化航空电子系统密钥管理还没有一个行之有效的方法。本专利技术对提升我国机载嵌入式系统的主动防御水平，构建和完善综合化航空电子系统安全保障体系，防御装备系统免遭外来威胁，提高航空装备系统的抗毁性都有着重要的意义。
技术实现思路
为了解决现有的综合化航空电子系统密钥管理方法匮乏、低效的问题，本专利技术为综合化航空电子系统确保消息的机密性，消息的完整性，分区身份认证以及数据的安全存储，防止攻击者在网络中窃听及篡改被传输的数据提供了一种综合化航空电子系统密钥管理方法。本专利技术的技术解决方案：综合化航空电子系统密钥管理方法，其特殊之处在于：1】密钥产生：1.1】预先在PC机上产生系统运行时所需的密钥，所述密钥包括主密钥MEK、消息加/解密密钥、公私钥对密钥、身份认证密钥以及消息鉴别密钥；所述公私钥对密钥包括公钥Pub和私钥Pri；-->1.2】所述消息加/解密密钥的本身所具有的特征值和消息加/解密密钥本身组成消息加/解密密钥文件MsgKeyFile，所述身份认证密钥的本身所具有的特征值和身份认证密钥本身组成身份认证密钥文件AuthKeyFile，所述消息鉴别密钥的本身所具有的特征值和消息鉴别密钥组成消息鉴别密钥文件IntegrityKeyFile，所述私钥Pri的本身所具有的特征值和私钥Pri组成私钥文件PriFile，所述主密钥本身组成主密钥文件MEKFile；1.3】通过主密钥MEK对消息加/解密密钥文件MsgKeyFile、身份认证密钥文件AuthKeyFile和消息鉴别密钥文件IntegrityKeyFile分别进行加密得到加密后的消息加/解密密钥文件MsgKeyFile、加密后的身份认证密钥文件AuthKeyFile和加密后的消息鉴别密钥文件IntegrityKeyFile，通过公钥Pub对主密钥文件MEKFile加密成加密后的主密钥文件MEKedFile；2】密钥传输：将上述加密后的所有密钥文件传输给综合化模块化航空电子系统IMA；3】密钥分配：3.1】飞机级通用系统管理的安全管理AC-GSM-SM向综合化模块化航空电子系统IMA请求密钥；3.1.1】飞机级通用系统管理的安全管理AC-GSM-SM利用应用到操作系统的接口APEX读取综合化模块化航空电子系统IMA中的所有加密后的密钥文件并存储到飞机级通用系统管理的安全管理AC-GSM-SM本地；3.1.2】采用非对称解密算法，利用私钥Pri对加密后的主密钥文件MEKedFile进行解密得到主密钥MEK；3.1.3】利用主密钥MEK对加密后的身份认证密钥文件、加密后的消息加/解密密钥文件和加密后的消息鉴别密钥文件进行解密得到对应的身份认证密钥、消息加/解密密钥和消息鉴别密钥：3.1.4】将步骤3.1.3】解密得到的所有密钥存储在飞机级通用系统管理的安全管理(AC-GSM-SM)本地等待分配；3.2】飞机级通用系统管理的安全管理AC-GSM-SM向综合区级通用系统管理的安全管理IA-GSM-SM和资源级通用系统管理的安全管理RE-GSM-SM分发其所需密钥；4】密钥使用：根据蓝图的安全策略，通用系统管理的安全管理综合区级IA-GSM-SM与综合区级通用系统管理的安全管理IA-GSM-SM之间、综合区级通用系统管理的安全管理IA-GSM-SM与资源级通用系统管理的安全管理RE-GSM-SM之间需要通信时，作为发送与接收的两端调用各自已分配好的相应的密钥，对通信数据进行加解密处理，完成安全通信。上述步骤3.2】的具体包括以下步骤：3.2.1】资源级通用系统管理的配置管理模块RE-GSM-CM通过同级逻辑接口HLI发送消息给资源级通用系统管理的安全管理模块RE-GSM-SM，通知资源级通用系统管理的安全管理模块RE-GSM-SM去取资源级通用系统管理的安全管理模块RE-GSM-SM所需密钥；-->3.2.2】资源级通用系统管理的安全管理模块RE-GSM-SM收到取密钥通知后，向上级综合区级通用系统管理的安全管理IA-GSM-SM申请资源级通用系统管理的安全管理模块RE-GSM-SM所需的密钥，并与综合区级通用系统管理的安全管理IA-GSM-SM间建立D-H安全通道；3.2.3】综合区级通用系统管理的安全管理IA-GSM-SM收到请求后，与飞机级通用系统管理的安全管理AC-GSM-SM间建立D-H安全通道，并向机级通用系统管理的安全管理AC-GSM-SM上传综合区级通用系统管理的安全管理IA-GSM-SM所需密钥请求信息；3.2.4】飞机级通用系统管理的安全管理AC-GSM-SM收到密钥请求后，根据系统管理到蓝图接口SMBP所提供的各个级之间所使用的通信通道，向综合区级通用系统管理的安全管理IA-GSM-SM发送其所请求的密钥；3.2.5】综合区级通用系统管理的安全管理IA-GSM-SM接收到密钥后向资源级通用系统管理的安全管理模块RE-GSM-SM发送资源级通用系统管理的安全管理模块RE-GSM-SM所请求的密钥；3.2.6】资源级通用系统管理的安全管理模块RE-GSM-SM接收到密钥后通知资源级通用系统管理的配置管理模块RE-GSM-CM密钥已获得。上述身份认证密钥文件AuthKeyFile包括通信通道Channel ID、是否需要、认证密钥和密钥长度；所述消息加/解密密钥文件MsgKeyFile包括通信通道Channel ID、消息加密等级、消息加/解密密钥和密钥长度；所述消息鉴别密钥文件(IntegrityKeyFil)包括通信通道Channel ID是否需要、消息鉴别密钥和密钥长度；所述私钥文件PriFile包括私钥和密钥长度。上述主密钥MEK采本文档来自技高网...

【技术保护点】
综合化航空电子系统密钥管理方法，其特征在于：１】密钥产生：１．１】预先在ＰＣ机上产生系统运行时所需的密钥，所述密钥包括主密钥（ＭＥＫ）、消息加／解密密钥、公私钥对密钥、身份认证密钥以及消息鉴别密钥；所述公私钥对密钥包括公钥（Ｐｕｂ）和私钥（Ｐｒｉ）；１．２】所述消息加／解密密钥的本身所具有的特征值和消息加／解密密钥本身组成消息加／解密密钥文件（ＭｓｇＫｅｙＦｉｌｅ），所述身份认证密钥的本身所具有的特征值和身份认证密钥本身组成身份认证密钥文件（ＡｕｔｈＫｅｙＦｉｌｅ），所述消息理的安全管理（ＲＥ－ＧＳＭ－ＳＭ）之间需要通信时，作为发送与接收的两端调用各自已分配好的相应的密钥，对通信数据进行加解密处理，完成安全通信。鉴别密钥的本身所具有的特征值和消息鉴别密钥组成消息鉴别密钥文件（ＩｎｔｅｇｒｉｔｙＫｅｙＦｉｌｅ），所述私钥（Ｐｒｉ）的本身所具有的特征值和私钥（Ｐｒｉ）组成私钥文件（ＰｒｉＦｉｌｅ），所述主密钥本身组成主密钥文件（ＭＥＫＦｉｌｅ）；１．３】通过主密钥（ＭＥＫ）对消息加／解密密钥文件（ＭｓｇＫｅｙＦｉｌｅ）、身份认证密钥文件（ＡｕｔｈＫｅｙＦｉｌｅ）和消息鉴别密钥文件（ＩｎｔｅｇｒｉｔｙＫｅｙＦｉｌｅ）分别进行加密得到加密后的消息加／解密密钥文件（ＭｓｇＫｅｙＦｉｌｅ）、加密后的身份认证密钥文件（ＡｕｔｈＫｅｙＦｉｌｅ）和加密后的消息鉴别密钥文件（ＩｎｔｅｇｒｉｔｙＫｅｙＦｉｌｅ），通过公钥（Ｐｕｂ）对主密钥文件（ＭＥＫＦｉｌｅ）加密成加密后的主密钥文件（ＭＥＫｅｄＦｉｌｅ）；２】密钥传输：将上述加密后的所有密钥文件传输给综合化模块化航空电子系统（ＩＭＡ）；３】密钥分配：３．１】飞机级通用系统管理的安全管理（ＡＣ－ＧＳＭ－ＳＭ）向综合化模块化航空电子系统（ＩＭＡ）请求密钥；３．１．１】飞机级通用系统管理的安全管理（ＡＣ－ＧＳＭ－ＳＭ）利用应用到操作系统的接口（ＡＰＥＸ）读取综合化模块化航空电子系统（ＩＭＡ）中的所有加密后的密钥文件并存储到飞机级通用系统管理的安全管理（ＡＣ－ＧＳＭ－ＳＭ）本地；３．１．２】采用非对称解密算法，利用私钥（Ｐｒｉ）对加密后的主密钥文件ＭＥＫｅｄＦｉｌｅ进行解密得到主密钥（ＭＥＫ）；３．１．３】利用主密钥（ＭＥＫ）对加密后的身份认证密钥文件、加密后的消息加／解密密钥文件和加密后的消息鉴别密钥文件进行解密得到对应的身份认证密钥、消息加／解密密钥和消息鉴别密钥：３．１．４】将步骤３...

【技术特征摘要】
CN 2009-12-24 200910312111.51.综合化航空电子系统密钥管理方法，其特征在于：1】密钥产生：1.1】预先在PC机上产生系统运行时所需的密钥，所述密钥包括主密钥(MEK)、消息加/解密密钥、公私钥对密钥、身份认证密钥以及消息鉴别密钥；所述公私钥对密钥包括公钥(Pub)和私钥(Pri)；1.2】所述消息加/解密密钥的本身所具有的特征值和消息加/解密密钥本身组成消息加/解密密钥文件(MsgKeyFile)，所述身份认证密钥的本身所具有的特征值和身份认证密钥本身组成身份认证密钥文件(AuthKeyFile)，所述消息鉴别密钥的本身所具有的特征值和消息鉴别密钥组成消息鉴别密钥文件(IntegrityKeyFile)，所述私钥(Pri)的本身所具有的特征值和私钥(Pri)组成私钥文件(PriFile)，所述主密钥本身组成主密钥文件(MEKFile)；1.3】通过主密钥(MEK)对消息加/解密密钥文件(MsgKeyFile)、身份认证密钥文件(AuthKeyFile)和消息鉴别密钥文件(IntegrityKeyFile)分别进行加密得到加密后的消息加/解密密钥文件(MsgKeyFile)、加密后的身份认证密钥文件(AuthKeyFile)和加密后的消息鉴别密钥文件(IntegrityKeyFile)，通过公钥(Pub)对主密钥文件(MEKFile)加密成加密后的主密钥文件(MEKedFile)；2】密钥传输：将上述加密后的所有密钥文件传输给综合化模块化航空电子系统(IMA)；3】密钥分配：3.1】飞机级通用系统管理的安全管理(AC-GSM-SM)向综合化模块化航空电子系统(IMA)请求密钥；3.1.1】飞机级通用系统管理的安全管理(AC-GSM-SM)利用应用到操作系统的接口(APEX)读取综合化模块化航空电子系统(IMA)中的所有加密后的密钥文件并存储到飞机级通用系统管理的安全管理(AC-GSM-SM)本地；3.1.2】采用非对称解密算法，利用私钥(Pri)对加密后的主密钥文件MEKedFile进行解密得到主密钥(MEK)；3.1.3】利用主密钥(MEK)对加密后的身份认证密钥文件、加密后的消息加/解密密钥文件和加密后的消息鉴别密钥文件进行解密得到对应的身份认证密钥、消息加/解密密钥和消息鉴别密钥：3.1.4】将步骤3.1.3】解密得到的所有密钥存储在飞机级通用系统管理的安全管理(AC-GSM-SM)本地等待分配；3.2】飞机级通用系统管理的安全管理(AC-GSM-SM)向综合区级通用系统管理的安全管理(IA-GSM-SM)和资源级通用系统管理的安全管理(RE-GSM-SM)分发其所需密钥；4】密钥使用：根据蓝图的安全策略，通用系统管理的安全管理综合区级(IA-GSM-SM)与综合区级通用系统管理的安全管理(IA-GSM-SM)之间、综合区级通用系统管理的安全管理(IA-GSM-SM)与资源级通用系统管理的安全管理(RE-GSM-SM)之间需要通信时，作为发送与接...

【专利技术属性】
技术研发人员：崔西宁，牛文生，胡林平，马建峰，叶宏，沈玉龙，戴小氐，邸海涛，孙磊，王和平，张炳平，王超，朱小未，
申请(专利权)人：中国航空工业集团公司第六三一研究所，
类型：发明
国别省市：87[中国|西安]