[发明专利]一种基于树链混合的ADS-B数据安全认证方法

说明书

本发明提供了一种基于树链混合的ADS‑B数据安全认证方法，包括将实时的ADS‑B报文流分成若干组，定义根据哈希树结构生成每个组中数据的根哈希为组哈希；对每个组通过哈希树结构使用SM3哈希算法生成根哈希；在每个组内生成根哈希后，使用ADS‑B数据组构建链内认证架构；通过同一空管部门管制区域内的多个飞机进行协作，选举主飞机节点，每架飞机按照链内认证架构生成认证短链，由主飞机节点按照哈希树树结构生成根节点，之后对根节点进行签名，从而构建链间认证架构；接收端缓存各个短链，在接收端收到签名报文后，使用SM9算法生成的用户公钥对签名报文进行验证。本发明实现了对ADS‑B报文数据轻量级的数据认证。

技术领域

本发明属于数据安全技术领域，尤其是涉及一种基于树链混合的ADS-B数据安全认证方法。

背景技术

ADS-B系统在世界范围内得到了广泛的应用，已成为飞行监视的重要手段之一。与传统的雷达监测方法相比，ADS-B具有许多优点。但是由于ADS-B系统在设计初期考虑到原始消息的开放性，采用明文广播方式，导致其容易受到各种攻击，因此存在着巨大的安全漏洞。实验表明，仅仅使用一个简单的软件无线电外设，攻击者就可以对ADS-B消息进行窃听、修改、伪造等操作。目前ADS-B的安全隐患经新闻报道和论文披露，已引起了相关领域专家学者的重视。

国内外的相关研究人员已经对ADS-B数据的检测与认证方法进行了颇多研究。目前的解决方案主要可以分为基于非加密技术ADS-B安全方案和基于加密技术的ADS-B安全方案。

采用非加密技术的ADS-B安全方案中，大多数采用基于机器学习的ADS-B异常数据检测技术或基于信号分析的数据校验技术，仍存在不足。在基于机器学习的ADS-B安全方案中，进行异常ADS-B数据流的检测与机器学习算法的离群点检测有着本质的区别。同时，ADS-B通信网络的数据流量复杂多变，为异常数据的界定带来了困难。使用机器学习进行异常检测也需要使用大量的历史数据对模型训练，在一定程度上限制了该方案的发展空间。在基于信号分析的ADS-B方案中，广域多点定位系统(Wide Area Multilateration,WAM)与多点定位技术(Multilateration, MLAT)采用多个接收器接收ADS-B应答机发出的信号，通过接收信号的到达时间差(Time Difference of Arrival, TDOA)来计算目标位置从而为飞机的位置和身份提供认证。然而，开发适合航空链路的多点定位系统仍然面临着严峻挑战。当要求较为准确的测量精度时，仅使用MLAT/WAM作为定位设备位置的手段是不合适的。在密集的多径环境下，多点定位系统的定位精度将会降低。此外，MLAT/WAM系统需要多个地面站进行协同以确定飞机位置，对时间同步也有一定要求，认证成本高，并且在土地资源狭窄的的地区实现较为困难。因此目前信号分析的ADS-B数据认证方案也面临着巨大挑战。

采用加密技术的ADS-B安全方案，主要可以分为对称加密方案和非对称加密方案。加密方案存在的主要缺点是对称密钥的管理与更新问题；非对称加密方案虽然相对于对称加密方案提升了安全性，但仍存在通信开销与计算开销巨大，数字证书管理困难的问题。除此之外，无论是加密方案还是非加密方案，均存在认证信息的传输问题，而ADS-B可用的数据传输位只有56bit，加密技术的应用势必将占用过多的ADS-B报文资源，对ADS-B报文的更新频率带来影响。因此，目前的加密安全方案主要存在以下的几个问题：1)对称加密方案存在密钥分发的问题，在实际部署中存在困难。2)传统公钥密码体制下的非对称加密方案对每条ADS-B报文单独签名，认证成本过高，将影响ADS-B系统的性能，不适合低带宽的数据链路。3)简单地对ADS-B数据加密与该系统在设计初期的开放性原则相冲突。目前的ADS-B数据认证方案，并没有很好地兼顾安全性与开放性。4)ADS-B报文认证中数字证书的管理也是一项棘手的问题。

发明内容

有鉴于此，本发明提供了一种基于树链混合的ADS-B数据安全认证方法，结合树链混合策略与国产密码算法，通过链内-链间认证方案实现对ADS-B报文数据轻量级的数据认证。