隨著信息科技快速發(fā)展，世界各國航空公司認識安全的重要性，飛機信息系統(tǒng)AIS（Aircraft Information system）應(yīng)用多、規(guī)模龐大、業(yè)務(wù)依賴程度高，國內(nèi)民航企業(yè)AIS安全管理尚處在比較初級階段，但是隨著網(wǎng)絡(luò)恐怖事件、間諜軟件、黑客、病毒攻擊層出不窮，這些安全隱患，時時刻刻威脅著AIS的安全運行，其破壞和攻擊更是呈現(xiàn)出一種組織化、目的化、預(yù)謀化勢態(tài)，甚至產(chǎn)生連環(huán)效應(yīng)，禍及社會全球。越來越多的政府權(quán)威機構(gòu)和專家都在呼吁對信息系統(tǒng)安全進行進一步的重視，以避免因安全缺陷帶來的嚴(yán)審無法估量的后果。

 

2　基于身份安全認證管理研究

2.1　身份認證安全種類與模式

　　身份認證應(yīng)用模式大致如下幾種：①口令認證，主要分為SSO（Single Sign-On）和OTP(One Time Password)；②多因素生物身份認證，基于指紋生物特征識別技術(shù)的個人身份識別系統(tǒng)具有更高的安全性、可靠性和有效性，越來越受到人們的重視，并開始進入社會生活的各個領(lǐng)域；③協(xié)議認證，包括DCE/Kerberos、PKI/CA(公鑰)、SSL-VPN虛擬加密通道認證。身份認證包括以下幾點，一是單因素認證開始于1981年，LampOrt首次提出基于用戶口令遠程認證方案。1989年Harn,Huang和Laih提出了一種基于公鑰加密體制的口令認證方案。二是雙因素身份認證，1991年Chang和Wu提出了一種利用智能卡實現(xiàn)的基于中國剩余定理的遠程口令認證方案，Das等人于2004年提出了基于動態(tài)ID口令認證方案，通過引入動態(tài)ID技術(shù)，實現(xiàn)了用戶匿名認證。2005年Liao等實現(xiàn)雙向認證。三是多因素和生物識別等身份認證，2002年Lee等人首次提出一種基于指紋結(jié)合智能卡,實現(xiàn)將三因素認證技術(shù)運用到遠程用戶認證當(dāng)中。

2.2　AIS現(xiàn)存安全缺陷與不足

　　AIS系統(tǒng)安全框架基本交由硬件防火墻、企業(yè)級專業(yè)路由、CA服務(wù)及SSL硬件加密服務(wù)器等，AIS系統(tǒng)大都停留在單因素“用戶和密碼”單點登錄模式，用戶ID可由Admin管理者手動控制產(chǎn)生，任意崗位授權(quán)、角色定位和密碼設(shè)定，這種簡單的軟控制模式存在巨大的安全隱患，現(xiàn)行AIS系統(tǒng)存在巨大隱患。

 

3　非對稱ECC指紋身份加解密流程

　　基于ECC的ElGamal數(shù)字簽名方案是對ElGamal簽名體制的一種增強，其安全性將基于橢圓曲線離散對數(shù)問題的難解性。設(shè)p和q是大素數(shù)，E為橢圓曲線，基點P為橢圓曲線E上一點其階為q,p、q、E和P公開，Zq為有限域，其階為q，設(shè)h()為單向hash函數(shù)，其結(jié)果為{1,…,q-1}，消息為m，AIS客戶端用戶為AUser，服務(wù)器端用戶為BUser，基于指紋識別和ECC算法下的管理過程描述如下：

3.1　產(chǎn)生AUser密鑰

AUser通過指紋采集等圖像數(shù)字化處理，獲得拓撲結(jié)構(gòu)的指紋特征數(shù)據(jù)集合(處理流程見圖1)，利用隨機函數(shù)發(fā)生器（為參數(shù)與偽指紋發(fā)生器共同產(chǎn)生指紋特征生成密鑰d=GenRadmonParam()，計算點Q=d×p;得到公鑰(E,P,q,Q),密鑰為d。

3.2　執(zhí)行AUser簽名

(1)隨機選取整數(shù)k∈[1，q-1]。

(2)計算(x，y)==k×P，令r=x(modq),若r=0，則轉(zhuǎn)步驟(1)。

(3)計算s=dr+k h(m) (mod q)，若s=0，則轉(zhuǎn)步驟(1)；否則，用戶AUser對明文消息m進行數(shù)字簽名為整數(shù)對(r,s)。

(4)AUser發(fā)送明文m和簽名信息給服務(wù)器BUser。

3.3　BUser收到受明文和簽名，執(zhí)行驗證

(1)BUser獲得AUser公鑰(E,P,q,Q)，驗證r和s都是區(qū)間[1，q-1]上的整數(shù)。

(2)計算(x',y')=sh(m)-1P-rh(m)?1Q。

(3)若x'=r(mod q)，則接受簽名；反之，拒絕。

　　若接受簽名則用戶客戶AUser與服務(wù)器BUser之間相互傳遞密文信息d即為指紋特征信息，可以在任意一端進行身份比對、匹配，若指紋比對成功，即可授權(quán)用戶運行AIS。

 

AIS客戶端用戶指紋身份認證與識別成功后，登錄與訪問AIS模式需要進行：AIS產(chǎn)生隨機用戶User_radom;將User_radom用戶與服務(wù)器登錄用戶在AIS中進行關(guān)聯(lián)定位與映射；檢索服務(wù)器中登錄用戶角色、權(quán)限信息對User_radom用戶進行動態(tài)授權(quán)和綁定；執(zhí)行AIS業(yè)務(wù)管理;啟動相應(yīng)退出策略，取消服務(wù)器用戶映射和授權(quán)，注銷安全資源,保存日志等。

 

5　結(jié)語

　　利用偽指紋特征密鑰和ECC非對稱加密模式，可為AIS系統(tǒng)帶來全新的安全訪問和管理模式,臨時角色動態(tài)綁定和訪問管理機制可避免傳統(tǒng)AIS管理中暴露固定用戶登錄和身份偷換替代的可能，大大降低內(nèi)部身份篡改和暴力破解風(fēng)險，未來指紋密鑰的AIS安全體系將成為AIS安全領(lǐng)域的新熱點。