基于雙公鑰加密技術的可監管空管數據安全共享方案

劉 一，周星光

（中國民航管理干部學院大數據與信息管理研究中心，北京 100102）

民航空管數據安全共享是國際民航組織（ICAO）推行的“全球和諧航行”的基礎，也是增加空域容量和提升飛行保障能力的核心環節。“數據”是空管系統運行的保證，空管大數據是ICAO 推行的基于航跡運行的未來空管發展的基礎[1]。在當今空管領域每天產生T 級數據量情況下，面向空管業務服務的數據安全存儲與共享至關重要。2018 年中國民航局發布了“創新機制，凝聚共識，進一步推動民航運行數據共享快速健康發展”的情況通報，旨在加快民航運行數據共享縱深發展，打造共享共贏新業態。當前，我國民航空管系統正處于加快建設“四強空管”、推動空管高質量發展的攻堅階段[2]。

作為民航運行共享數據源重要組成部分的空管大數據，其交互主體主要涉及數據提供方、使用方、監管方。數據提供方主要指空管局可以提供共享數據的部資門。使用方主要包括使用數據資源的航空公司、機場以及其他空軍用戶等。監管方主要承擔民航空管數據資源共享應用的合規性、有效性監管以及安全能力檢測評估等職責。空管數據共享與交互具有主體關聯性強、業務量大、交互頻繁等特點，一旦某條鏈路發生網絡安全攻擊，將引發全網癱瘓的風險。空管數據在上述各主體間交互時主要面臨的安全問題包括：1）現有數據大多采用集中式存儲方式，當用戶訪問數據時，都要訪問數據中心，一方面造成擁塞和訪問時間長，另一方面當中心遭到攻擊時，所有部門均無法提供正常服務；2）現有研究較多關注大數據在空管的應用，而對如何有效獲得空管大數據（包括存儲和共享空管大數據）研究甚少，特別在數據共享、存儲等方面缺乏靈活的安全防護策略，細粒度訪問機制與安全保護強度彼此制約，極易導致數據泄露風險；3）現有空管數據安全共享模型中多采用提供方進行數據加密及簽名，使用方進行數據解密、數據驗簽等，以確保數據存儲與共享安全，監管方在與使用方交互后方可獲得其使用數據，導致監管效率降低，不能及時發現使用中的違規數據。

針對問題1），各民航等企事業單位致力于通過數字化技術構建數據共享與交互平臺，加強數據連通與融合，突破中心化對數據共享與訪問的限制問題；在大數據、人工智能、區塊鏈等新一代數字技術的發展趨勢下，國際航空運輸協會（IATA）也強調通過數字化技術促進運行主體單位的合作與共享，其發布的《航空區塊鏈白皮書》[3]明確指出，要利用區塊鏈技術推動航空企業間的合作。聯盟鏈作為我國監管體制下已獲得授權準入機制的一種區塊鏈方式，特別適用于去強力中心、多方協作的交互場景，其分布式存儲特點和數據不可纂改、可溯源等特性與民航運行數據提供方的數據安全需求、使用方及監管方的數據溯源需求高度契合，是構建數據共享平臺的安全可靠方案。針對問題2），國際航空機構、空管科技及相關科研機構紛紛展開研究，致力于通過數據應用體系結構重塑與密碼學技術手段，解決數據安全共享與泄露問題。例如：美國國家航空航天局的阿姆斯研究中心研究了空管大數據的融合問題，使用語義集成技術建立空管大數據系統，促進空管數據的跨系統融通[4]；波音公司空中交通管理研發部門建立航空大數據分析系統，通過航空大數據共享技術，為航空用戶提供數據共享、查詢和預測分析服務[5]；中國民航大學基于密碼學方法研究民航運行系統的網絡安全問題，提出基于屬性加密的空管大數據多授權中心簽名方案與空管大數據訪問控制方案[6]。針對問題3），民航業也形成了法律條文以及相應的管理辦法，一方面加強數據提供方及使用方與監管部門的直接對接與交互，實現了“事前”預防與“事后”管控，另一方面為空管數據的合理使用提供政策依據與保障。

上述方法分別從技術與法律的角度，為空管數據安全共享提供了強有力的保護。但需要注意的是：它尚未從安全機制上解決多主體交互情境下的數據安全與訪問控制問題，也缺乏對空管數據安全共享等基礎安全理論的研究；同時沒有保障數據監管與數據訪問的同步性，尚未達到“事中”監管的良好效果。因此，有必要基于業務體量與安全需求，構建符合空管運行數據共享特征的數據加密方案，一方面降低集權中心的流量負擔以及避免多業務主體與系統遭受全網攻擊的風險，另一方面實現多主體交互環境下的數據安全與同步監管。

基于上述空管運行數據安全需求，本文基于公鑰密碼學方法[7]，提出一種基于聯盟鏈的雙公鑰加密方案：數據提供方、使用方、監管方作為聯盟鏈的聯盟成員，在數據提供方提交的密文中嵌入使用方與監管方的雙重公鑰，突破單純的數據保密性需求，監管方可以按需、及時查看任意發往使用方的共享數據，而無需額外的協議交互或二次確認，這是對“事中”監管的有力保障；基于聯盟鏈的運行數據共享平臺，不僅降低了數據中心的流量負擔與網絡攻擊風險，還為共享數據的可溯源性提供保障；上傳至聯盟鏈的數據簽名，則確保了各主體對于數據共享與使用的不可抵賴性。

1 理論基礎

雙線映射作為數學工具，廣泛用于構造具有安全結果的密碼學算法[8?9]。本文使用對稱雙線性映射。

定義雙線性映射：

1）G1,G2,GT是3 個階為素數n的 循環群；

2）群 G1生成元為G1，群 G2生成元為G2；

雙線性映射具有以下2 個性質。

1）雙線性：對任意a,b∈Z?,U∈G1,V∈G2，有均成立。

Weil Diffie-Hellman 困難假設：已知P,aP,bP,cP∈G1，其中a,b,c∈Z，不存在高效算法能夠計算出

本文所構造密碼學算法的安全性是基于Weil Diffie-Hellman 困難假設的。

2 方案設計

2.1 系統模型

如圖1 所示，基于聯盟鏈的可監管空管數據安全方案包含4 個參與方：空管運行數據的提供方（簡稱空管部門）、空管運行數據的使用方（簡稱使用方）、空管運行數據的監管方（簡稱監管方）和聯盟鏈共識節點[10]。該系統模型的建立包含8 個步驟。

圖1 基于聯盟鏈的空管運行數據安全共享系統模型

步驟1，生成系統所需的公共參數。

步驟2，空管部門、使用方和監管方基于各自的身份ID 和系統公共參數，生成基于身份ID的私鑰。基于身份ID的標識可用于空管運行數據的加密。此外，空管部門、使用方和監管方獨立生成各自的私鑰和公鑰。

步驟3，空管部門使用監管方的身份ID 和使用方的公鑰對運行數據進行加密并簽名。

步驟4，共識節點驗證簽名一致性。如果一致，則接受并上傳至聯盟鏈，否則拒絕。

步驟5，使用方使用其私鑰解密并獲得空管運行數據。

步驟6，使用方對數據內容的摘要（即對多項運行數據進行簡單描述）進行簽名。

步驟7，共識節點驗證數據摘要簽名的一致性。如果一致，則接受并上傳至聯盟鏈，否則拒絕。

步驟8，監管方讀取并解密聯盟鏈上的空管運行數據，讀取使用方的數據摘要。如果運行數據與數據摘要匹配，則接受，否則拒絕。

2.2 方案設計

本文中的加密方案是對文獻[11]中身份基加密方案的擴展。原方案中發送方使用接收方標識ID 對消息加密，接收方使用標識ID 對應的私鑰進行解密。該標識密碼系統中的標識可作為實際應用場景中的部門標識，不需要進行身份認證，具有極大的便捷性。本方案繼承了標識密碼系統的優良性質，直接使用監管部門的標識對運行數據加密。基于此思路，將標識作為公鑰，添加到空管部門的發送方密文中，使得監管部門和數據使用方可以收到完全一致的運行數據。為了保障雙接收方收到完全一致的數據，通常會采用2 種加密方法：一是發送方利用接收方不同的私鑰，生成2 份密文，接收方使用各自私鑰分別解密，但此方法需要采用額外的零知識證明過程去驗證2 份密文的數據內容相等；二是發送方利用雙接收方協商出的會話密鑰生成一份密文，雙接收方使用會話密鑰解密，但此方法的密鑰協商過程也增加了額外的時間成本。本文方案是在同一份密文中嵌入雙接收方的公鑰，使用相應解密算法確保雙接收方收到完全一致的數據消息。這既省去了零知識證明的過程，也無須額外的會話密鑰協商，對于使用方和監管方而言，提高了實際的執行效率和可操作性。該方案的算法步驟如下。

步驟1，系統初始化。系統輸入安全參數 λ，選擇對稱雙線性群參數PG=，雙線性映射群 G的階為n和生成元為G。哈希函數為h1:{0,1}?→G，h2:{0,1}?→{0,1}n。隨機選擇α ∈Zp，計算G1=α·G，則主密鑰和主公鑰分別為：MSK=α,MPK=G1。

步驟3，空管部門對業務數據加密并簽名。確定某項運行數據M和監管方身份 ID3；輸入其私鑰SK1=a1和使用方公鑰PK2=a2·G，選擇一個公開隨機數γ ∈Zp，對運行數據M進行加密，為

式中，r1=h2(C1,a1·PK2)=h2(γ,a1a2·G)。

空管部門選擇隨機數r2∈以私鑰SK1=a1、數據密文C為輸入，計算簽名

如果δ1=0或δ2=0，則重新選擇隨機數r2并重新計算 δ1與 δ2，最終的簽名為δ=(δ1,δ2)。空管部門將運行數據密文C和簽名δ 提交到聯盟鏈系統中。

步驟4，共識節點一致性驗證與共識。共識節點檢查δ1,δ2是否屬于[1,n?1]：如果否，則拒絕；否則以δ1,δ2和公鑰PK1=a1·G為輸入，進行計算(x1,y1)←δ2·G+(δ1+δ2)·PK1。

如果等式δ1=x1+h2(C)modn成立，則接受并存儲到聯盟鏈上，否則拒絕。

步驟5，使用方解密。運行數據使用方從聯盟鏈上讀取并獲得密文C1=γ，并輸入其私鑰SK2=a2和公鑰PK1=a1·G，計算隨機數r1：r1=h2(C1,a2·PK1)=h2(γ,a2a1·G)。使用方輸入隨機數r1、監管方身份 ID3、主公鑰G1和局部密文C3，解密運行數據M，為

以此類推，使用方可解密獲得多項運行數據，記為M1,···,Mn。使用方對數據內容的摘要進行簽名。

步驟6，使用方進行數據摘要與簽名。使用方對多項用于共享的運行數據M1,···,Mn進行摘要計算，輸入數據摘要DataAbs、使用方私鑰SK2=a2和監管方公鑰PK3=a3·G，選擇隨機數r3∈進行計算，為

如果δ3=0或δ4=0，則重新選擇隨機數r3并重新計算 δ3與 δ4，最終生成簽名δ′=(δ3,δ4)。使用方將數據摘要DataAbs和簽名 δ′提交到聯盟鏈系統中。

步驟7，共識節點一致性驗證與共識。共識節點檢查 δ3與 δ4是否屬于[1,n?1]：如果不屬于，則拒絕；否則以 δ3，δ4和公鑰PK2=G2為輸入，進行計算，為

若等式δ3=x2+h2(DataAbs,G3)modn成立，則接受并存儲到聯盟鏈上，否則拒絕。

步驟8，監管方解密。監管方從聯盟鏈上讀取并獲得密文C2與C3，輸入其私鑰dID3，進行解密，為

以此類推，監管方可解密獲得多項運行數據M1,···,Mn，并判斷數據M1,···,Mn與數據摘要DataAbs的匹配性（以確保使用方對所使用的數據不可篡改）：如果匹配，則接受并完成驗證；否則拒絕。

解密一致性檢驗包括2 方面。

1）使用方解密滿足一致性。

2）監管方解密滿足一致性。

解密一致性表明，使用方和監管方在無需協議協商的情況下，即可解密獲得嚴格一致的消費數據。

3 理論分析

本方案基于Dan Boneh 加密方案[11]進行較大擴展，在其基礎上添加一個接收方公鑰，生成的密文中嵌入了2 個公鑰陷門信息，使得數據使用方和監管方作為2 個接收方均能夠獨立解密并獲得相同的明文信息。本文基于方案構造步驟3、步驟5、步驟8，對數據提供方（空管部門）的加密復雜度、使用方和監管方的解密復雜度進行分析，如表1所示。其中：Pair 是雙線性映射計算；Exp 是指數計算；H2,H1分別是哈希函數H2,H1的計算；Xor是異或計算。H2和Xor計算量較低，可忽略。

表1 性能分析

4 實驗分析

實驗測試平臺的情況如表2 所示。本文選擇jPBC 庫中Type A 橢圓曲線進行測試，運行與對比加密、解密算法的計算復雜度。

表2 實驗配置平臺

如圖2 所示，采用文獻[11]方案和本文方案對10 組隨機數據加密，平均加密時間分別為56.3 ms、64.7 ms。本文方案加密時間略有增加的原因在于，本方案有額外接收方的公鑰嵌入密文，導致需要一次額外的指數計算，時間約10 ms，其影響可以忽略。如圖3 所示，采用文獻[11] 方案對10 組隨機數據解密，平均解密時間約為14.6 ms，采用本方案，數據使用方與監管方的解密時間分別為14.8 ms、54.8 ms。本文方案中數據使用方的解密時間復雜度與文獻[11]方案的接收方解密時間復雜度幾乎一致；本文方案監管方需要進行額外的指數運算，且根據公開隨機數和指數運算結果進行哈希值運算，增量了一定的計算量，但運行總時間小于60 ms，低于聯盟鏈網絡平均100 ms的傳輸時間。綜上所述，本方案在增加了1 位接收方的情況下依然保持較高的運行效率。

圖2 加密時間

圖3 解密時間

5 總結

本方案基于聯盟鏈系統，創新性地融入了雙公鑰加密機制。一方面確保了空管運行數據的安全，為其安全共享與同步監管提供保障；另一方面為空管運行數據多主體協同運行提供新的模式，降低了中心流量負擔與網絡攻擊風險。此外，本方案采用基于橢圓曲線離散對數的加密算法，與現有聯盟鏈系統采取的橢圓曲線公鑰密碼方法相一致，確保了算法的可擴展性與高效性。