隨著信息科技快速發展，世界各國航空公司認識安全的重要性，飛機信息系統AIS（Aircraft Information system）應用多、規模龐大、業務依賴程度高，國內民航企業AIS安全管理尚處在比較初級階段，但是隨著網絡恐怖事件、間諜軟件、黑客、病毒攻擊層出不窮，這些安全隱患，時時刻刻威脅著AIS的安全運行，其破壞和攻擊更是呈現出一種組織化、目的化、預謀化勢態，甚至產生連環效應，禍及社會全球。越來越多的政府權威機構和專家都在呼吁對信息系統安全進行進一步的重視，以避免因安全缺陷帶來的嚴審無法估量的后果。

 

2　基于身份安全認證管理研究

2.1　身份認證安全種類與模式

　　身份認證應用模式大致如下幾種：①口令認證，主要分為SSO（Single Sign-On）和OTP(One Time Password)；②多因素生物身份認證，基于指紋生物特征識別技術的個人身份識別系統具有更高的安全性、可靠性和有效性，越來越受到人們的重視，并開始進入社會生活的各個領域；③協議認證，包括DCE/Kerberos、PKI/CA(公鑰)、SSL-VPN虛擬加密通道認證。身份認證包括以下幾點，一是單因素認證開始于1981年，LampOrt首次提出基于用戶口令遠程認證方案。1989年Harn,Huang和Laih提出了一種基于公鑰加密體制的口令認證方案。二是雙因素身份認證，1991年Chang和Wu提出了一種利用智能卡實現的基于中國剩余定理的遠程口令認證方案，Das等人于2004年提出了基于動態ID口令認證方案，通過引入動態ID技術，實現了用戶匿名認證。2005年Liao等實現雙向認證。三是多因素和生物識別等身份認證，2002年Lee等人首次提出一種基于指紋結合智能卡,實現將三因素認證技術運用到遠程用戶認證當中。

2.2　AIS現存安全缺陷與不足

　　AIS系統安全框架基本交由硬件防火墻、企業級專業路由、CA服務及SSL硬件加密服務器等，AIS系統大都停留在單因素“用戶和密碼”單點登錄模式，用戶ID可由Admin管理者手動控制產生，任意崗位授權、角色定位和密碼設定，這種簡單的軟控制模式存在巨大的安全隱患，現行AIS系統存在巨大隱患。

 

3　非對稱ECC指紋身份加解密流程

　　基于ECC的ElGamal數字簽名方案是對ElGamal簽名體制的一種增強，其安全性將基于橢圓曲線離散對數問題的難解性。設p和q是大素數，E為橢圓曲線，基點P為橢圓曲線E上一點其階為q,p、q、E和P公開，Zq為有限域，其階為q，設h()為單向hash函數，其結果為{1,…,q-1}，消息為m，AIS客戶端用戶為AUser，服務器端用戶為BUser，基于指紋識別和ECC算法下的管理過程描述如下：

3.1　產生AUser密鑰

AUser通過指紋采集等圖像數字化處理，獲得拓撲結構的指紋特征數據集合(處理流程見圖1)，利用隨機函數發生器（為參數與偽指紋發生器共同產生指紋特征生成密鑰d=GenRadmonParam()，計算點Q=d×p;得到公鑰(E,P,q,Q),密鑰為d。

3.2　執行AUser簽名

(1)隨機選取整數k∈[1，q-1]。

(2)計算(x，y)==k×P，令r=x(modq),若r=0，則轉步驟(1)。

(3)計算s=dr+k h(m) (mod q)，若s=0，則轉步驟(1)；否則，用戶AUser對明文消息m進行數字簽名為整數對(r,s)。

(4)AUser發送明文m和簽名信息給服務器BUser。

3.3　BUser收到受明文和簽名，執行驗證

(1)BUser獲得AUser公鑰(E,P,q,Q)，驗證r和s都是區間[1，q-1]上的整數。

(2)計算(x',y')=sh(m)-1P-rh(m)?1Q。

(3)若x'=r(mod q)，則接受簽名；反之，拒絕。

　　若接受簽名則用戶客戶AUser與服務器BUser之間相互傳遞密文信息d即為指紋特征信息，可以在任意一端進行身份比對、匹配，若指紋比對成功，即可授權用戶運行AIS。

 

AIS客戶端用戶指紋身份認證與識別成功后，登錄與訪問AIS模式需要進行：AIS產生隨機用戶User_radom;將User_radom用戶與服務器登錄用戶在AIS中進行關聯定位與映射；檢索服務器中登錄用戶角色、權限信息對User_radom用戶進行動態授權和綁定；執行AIS業務管理;啟動相應退出策略，取消服務器用戶映射和授權，注銷安全資源,保存日志等。

 

5　結語

　　利用偽指紋特征密鑰和ECC非對稱加密模式，可為AIS系統帶來全新的安全訪問和管理模式,臨時角色動態綁定和訪問管理機制可避免傳統AIS管理中暴露固定用戶登錄和身份偷換替代的可能，大大降低內部身份篡改和暴力破解風險，未來指紋密鑰的AIS安全體系將成為AIS安全領域的新熱點。