[发明专利]综合化航空电子系统密钥管理方法

说明书

技术领域

本发明涉及综合化航空电子系统领域，具体涉及一种综合化航空电子系统密钥管理方法。

背景技术

航空信息安全是机载综合核心处理系统极具挑战性的问题之一，受到国内外广泛关注。在高度综合化的航空电子系统中，大量的计算、通信、控制服务都由飞机上的一个机载综合核心处理系统提供，各种安全级别不同的数据、代码在同一个平台上处理运行，这种处理方式给飞机上的航电系统带来了新的安全挑战。

综合化航空电子系统采用层次化分布式体系结构，通用系统管理(GSM)是其管理核心，也采用层次化管理模式，分为三级，分别为飞机级通用系统管理(AC-GSM)、综合区级通用系统管理(IA-GSM)、资源级通用系统管理(RE-GSM)。

相应地，通用系统管理的安全管理(GSM-SM)也是被分为三级进行管理，分别为飞机级通用系统管理的安全管理(AC-GSM-SM)、综合区级通用系统管理的安全管理和资源级通用系统管理的安全管理模块(RE-GSM-SM)。在整个航空电子系统中，存在一个飞机级通用系统管理的安全管理(AC-GSM-SM)，负责若干个综合区级通用系统管理的安全管理(IA-GSM-SM)和资源级通用系统管理的安全管理模块(RE-GSM-SM)，每个综合区级通用系统管理的安全管理(IA-GSM-SM)负责若干个资源级通用系统管理的安全管理模块(RE-GSM-SM)，其中综合区级通用系统管理的安全管理(IA-GSM-SM)也可能是分级的。其分布结构如图1所示。

综合化航空电子系统密钥管理方法是机载综合核心处理系统安全支撑平台的基础，目前针对综合化航空电子系统密钥管理还没有一个行之有效的方法。本发明对提升我国机载嵌入式系统的主动防御水平，构建和完善综合化航空电子系统安全保障体系，防御装备系统免遭外来威胁，提高航空装备系统的抗毁性都有着重要的意义。

发明内容

为了解决现有的综合化航空电子系统密钥管理方法匮乏、低效的问题，本发明为综合化航空电子系统确保消息的机密性，消息的完整性，分区身份认证以及数据的安全存储，防止攻击者在网络中窃听及篡改被传输的数据提供了一种综合化航空电子系统密钥管理方法。

本发明的技术解决方案：

综合化航空电子系统密钥管理方法，其特殊之处在于：

1】密钥产生：

1.1】预先在PC机上产生系统运行时所需的密钥，所述密钥包括主密钥MEK、消息加/解密密钥、公私钥对密钥、身份认证密钥以及消息鉴别密钥；所述公私钥对密钥包括公钥Pub和私钥Pri；

1.2】所述消息加/解密密钥的本身所具有的特征值和消息加/解密密钥本身组成消息加/解密密钥文件MsgKeyFile，

所述身份认证密钥的本身所具有的特征值和身份认证密钥本身组成身份认证密钥文件AuthKeyFile，

所述消息鉴别密钥的本身所具有的特征值和消息鉴别密钥组成消息鉴别密钥文件IntegrityKeyFile，

所述私钥Pri的本身所具有的特征值和私钥Pri组成私钥文件PriFile，

所述主密钥本身组成主密钥文件MEKFile；

1.3】通过主密钥MEK对消息加/解密密钥文件MsgKeyFile、身份认证密钥文件AuthKeyFile和消息鉴别密钥文件IntegrityKeyFile分别进行加密得到加密后的消息加/解密密钥文件MsgKeyFile、加密后的身份认证密钥文件AuthKeyFile和加密后的消息鉴别密钥文件IntegrityKeyFile，通过公钥Pub对主密钥文件MEKFile加密成加密后的主密钥文件MEKedFile；

2】密钥传输：

将上述加密后的所有密钥文件传输给综合化模块化航空电子系统IMA；

3】密钥分配：

3.1】飞机级通用系统管理的安全管理AC-GSM-SM向综合化模块化航空电子系统IMA请求密钥；

3.1.1】飞机级通用系统管理的安全管理AC-GSM-SM利用应用到操作系统的接口APEX读取综合化模块化航空电子系统IMA中的所有加密后的密钥文件并存储到飞机级通用系统管理的安全管理AC-GSM-SM本地；

3.1.2】采用非对称解密算法，利用私钥Pri对加密后的主密钥文件MEKedFile进行解密得到主密钥MEK；

3.1.3】利用主密钥MEK对加密后的身份认证密钥文件、加密后的消息加/解密密钥文件和加密后的消息鉴别密钥文件进行解密得到对应的身份认证密钥、消息加/解密密钥和消息鉴别密钥：