基于 DVB-RCS 的商業(yè)通信衛(wèi)星數(shù)據(jù)加密模式與技術(shù)

０引言衛(wèi)星通信在當(dāng)今世界各國引起了高度重視，在軍事、應(yīng)急救援、海事以及民生等各領(lǐng)域發(fā)揮了重要作用。作為重要的通信手段，它的保密性問題尤為重要，必須保證信息在產(chǎn)生、傳輸、處理以及存儲的各個環(huán)節(jié)不會泄露。同時，信息完整性也同樣重要，需要保證信息在傳輸及存儲過程中不被修改、不被破壞、不被插入、不亂序以及不丟失。當(dāng)前國內(nèi)外暫無衛(wèi)星通信加密統(tǒng)一標(biāo)準，傳統(tǒng)IPVPN設(shè)備無法匹配衛(wèi)星通信數(shù)據(jù)加密接口，同時部分海外衛(wèi)星通信廠商具有適配自身衛(wèi)星通信產(chǎn)品私有化接口的加密產(chǎn)品，接口協(xié)議無法通用，市場暫無成熟衛(wèi)星通信加密產(chǎn)品可適配所有品牌衛(wèi)通產(chǎn)品?；谛l(wèi)星通信的數(shù)據(jù)加密，可針對信令數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)進行加密，同時需兼顧考慮衛(wèi)星通信網(wǎng)的特點，支持TCP加速、QoS等功能。傳統(tǒng)的IPSecVPN設(shè)備無法直接應(yīng)用于衛(wèi)星通信網(wǎng)絡(luò)，因此從多角度闡述衛(wèi)星通信數(shù)據(jù)加密類型、架構(gòu)以及流程，同時簡要介紹商業(yè)出口型衛(wèi)星通信加密系統(tǒng)相關(guān)模式。１衛(wèi)星通信系統(tǒng)安全性設(shè)計衛(wèi)星通信系統(tǒng)安全性包括保障數(shù)據(jù)連續(xù)不中斷、數(shù)據(jù)穩(wěn)定、數(shù)據(jù)不被偵聽及篡改等。1.1抗雨衰目前，衛(wèi)星通信正在向高頻段快速發(fā)展，如Ka頻段和Q/V頻段高通量衛(wèi)星將是未來發(fā)展的熱點。高頻段通信衛(wèi)星在帶來高速率、高可靠、大容量的同時，受到的雨衰也會迅速增大，如Ka頻段雨衰通?？蛇_到幾十分貝。傳統(tǒng)的抗雨衰手段是功率預(yù)留裕度方法，不適用于高頻段。預(yù)留裕度過多，在天氣晴好時會造成資源浪費和鏈路間干擾；預(yù)留過少，在雨量大時又可能不夠用。目前，衛(wèi)星通信抗雨衰技術(shù)主要有自適應(yīng)信號處理技術(shù)和分集技術(shù)。自適應(yīng)信號處理技術(shù)包括自適應(yīng)編碼技術(shù)、自適應(yīng)調(diào)制技術(shù)以及自適應(yīng)降速技術(shù)，通過改變系統(tǒng)的功率、速率和調(diào)制方式，適應(yīng)傳播路徑上的雨衰。分集技術(shù)包括站址分集、軌道分集和頻率分集。站址分集和軌道分集基于降雨分布的不均勻，采用多條通信鏈路繞開雨區(qū)的策略消除或減小雨衰。在不同城市或地區(qū)建立多個通信主站，在一個主站鏈路雨衰過大時，鏈路自動切換至備用主站。頻率分集則在路徑上有降雨事件發(fā)生時，采用受雨衰影響較小的低頻段進行通信。1.2抗干擾在衛(wèi)星通信過程中，頻率相近的信號會產(chǎn)生電磁環(huán)境干擾、人為干擾等。目前，主流的信號抗干擾技術(shù)主要為跳擴頻技術(shù)。擴頻技術(shù)具有信號頻譜寬、波形復(fù)雜、安全隱蔽等特點，截獲、干擾的難度大，是衛(wèi)星通信中最基本的抗干擾技術(shù)。它的抗干擾能力與擴頻處理增益成正比，對多徑干擾有較強的抑制能力。跳頻技術(shù)充分利用衛(wèi)星轉(zhuǎn)發(fā)器的帶寬，提供較高的處理增益[4]。二者結(jié)合的跳擴頻技術(shù)能更好地發(fā)揮兩種技術(shù)的優(yōu)勢，提供更強的抗干擾能力。1.3數(shù)據(jù)加密數(shù)據(jù)加密技術(shù)主要可實現(xiàn)對衛(wèi)星測控數(shù)據(jù)和衛(wèi)星通信業(yè)務(wù)數(shù)據(jù)的加密，實現(xiàn)防偵聽、防身份冒充以及防篡改等目的。對于衛(wèi)星測控，無論軍用通信衛(wèi)星還是商業(yè)通信衛(wèi)星，衛(wèi)星軌道與姿態(tài)數(shù)據(jù)、控制調(diào)姿變軌數(shù)據(jù)都有極高保密要求，一旦被偵聽或篡改，將直接導(dǎo)致衛(wèi)星被遠程控制，引發(fā)偏離軌道甚至跟蹤丟失等問題。采用星地鏈路測控數(shù)據(jù)加密將避免該類問題發(fā)生。對于衛(wèi)星通信業(yè)務(wù)數(shù)據(jù)，數(shù)據(jù)安全性同樣重要。數(shù)據(jù)業(yè)務(wù)使用者通常為軍隊、政府、大型企業(yè)等，傳輸數(shù)據(jù)重要性遠高于常用的地面通信，一旦數(shù)據(jù)被竊取、篡改、仿冒，將直接影響軍隊作戰(zhàn)、政府決策、商業(yè)運營，故需采用端到端數(shù)據(jù)安全加密，保證數(shù)據(jù)在全鏈路的安全性。２通信衛(wèi)星數(shù)據(jù)加密架構(gòu)與技術(shù)2.1加密類型目前，基于衛(wèi)星通信數(shù)據(jù)加密的基本類型，主要包含TRANSEC（傳輸安全）和COMSEC（通信安全）兩大類。在軍事衛(wèi)星通信領(lǐng)域，主要使用基于TRANSEC的安全加密方式，而COMSEC更多用于民用領(lǐng)域。TRANSEC的加解密終端一般與通信終端站集成為一體，多為定制化的加密通信終端站設(shè)備。在TRANSEC方案中，由于加密是在通信終端站IDU部分對數(shù)據(jù)進行處理后進行，故可實現(xiàn)TCP加速、QoS等衛(wèi)星通信功能與加密兼容，同時可實現(xiàn)包含業(yè)務(wù)數(shù)據(jù)與通信信令數(shù)據(jù)的加密。既保障了業(yè)務(wù)數(shù)據(jù)安全，又保障了信令數(shù)據(jù)不被偵聽與篡改，防止通信終端站被遠程劫持而改變通信狀態(tài)。此外，可通過IPsec模式實現(xiàn)對IP數(shù)據(jù)報頭的加密，隱藏通信鏈路中IP地址，防止攻擊者通過IP數(shù)據(jù)流量統(tǒng)計分析解析系統(tǒng)網(wǎng)絡(luò)布局，降低對重要地址的攻擊風(fēng)險。TRANSEC模式雖然有較多優(yōu)勢，但通常該加密與通信終端站需一體化集成，成本較高，定制化程度高，市面常見的各類衛(wèi)通終端通常不具有該功能。同時，通信終端不具備開蓋報警、密鑰擦除等物理防護措施，安全性低，不符合安全使用要求。商用通信衛(wèi)星通常使用COMSEC加密模式，其衛(wèi)通系統(tǒng)與加密系統(tǒng)可單獨銷售，便利性強。加密設(shè)備通常部署于衛(wèi)通終端站與業(yè)務(wù)數(shù)據(jù)發(fā)送設(shè)備間。加解密終端可實現(xiàn)各類物理防護，保護密鑰與算法參數(shù)安全性。但是，若采用常見的IPsecVPN設(shè)備將無法適應(yīng)TCP加速與QoS，必須對加密數(shù)據(jù)接口協(xié)議進行定制化改造才可適配。由于數(shù)據(jù)加密后才進入通信終端站，故無法對終端站通信信令進行加密。在選取加密類型時，在軍用、政府用衛(wèi)星通信及對衛(wèi)通信令數(shù)據(jù)保密要求較高，需保障衛(wèi)通小站業(yè)務(wù)流量信息與用戶通信習(xí)慣等信息不被泄露，需保障衛(wèi)通小站不被遠程非法操控與劫持，建議選取TRANSEC通信模式。在商用衛(wèi)星通信、僅對業(yè)務(wù)數(shù)據(jù)具有安全保密要求時，可選取COMSEC通信模式。2.2加密架構(gòu)DVB-RCS衛(wèi)通系統(tǒng)具有星狀網(wǎng)和網(wǎng)狀網(wǎng)結(jié)構(gòu)。在網(wǎng)狀網(wǎng)拓撲結(jié)構(gòu)下，通信業(yè)務(wù)數(shù)據(jù)并不經(jīng)過通信主站轉(zhuǎn)發(fā)，僅信令數(shù)據(jù)與主站有交互，故衛(wèi)通加密系統(tǒng)應(yīng)將加解密功能通過部署在各通信終端站側(cè)的加解密終端站內(nèi)實現(xiàn)。業(yè)務(wù)數(shù)據(jù)在通信兩端進行加解密，在端站與衛(wèi)星間的上下行鏈路、星狀網(wǎng)拓撲下的主站轉(zhuǎn)發(fā)過程中均為密文傳輸，最大限度地保證了數(shù)據(jù)加密范圍，且同時保證了終端用戶數(shù)據(jù)安全及隱私不受主站運維人員影響。在這種加密模式下，需在主站建立密鑰管理中心，負責(zé)系統(tǒng)密鑰的生成、分發(fā)、協(xié)商、管理與存儲。密鑰協(xié)商數(shù)據(jù)使用通信信令傳輸信道，保證每個通信終端站與主站的實時連接，不受業(yè)務(wù)數(shù)據(jù)收發(fā)限制。圖1衛(wèi)星通信加密系統(tǒng)架構(gòu)2.3加密數(shù)據(jù)流程與密鑰2.3.1衛(wèi)星通信加密系統(tǒng)密鑰體系衛(wèi)星通信加密系統(tǒng)建議與通用加密系統(tǒng)一樣，采用身份標(biāo)識密鑰、傳輸密鑰以及會話密鑰三層密鑰體系。此外，它還包括數(shù)據(jù)庫密鑰，用于保護數(shù)據(jù)庫中的數(shù)據(jù)。身份標(biāo)識密鑰。中心和各個加解密終端都擁有自己的身份標(biāo)識密鑰，即各自的非對稱密鑰，用于中心和站點之間的相互認證和密鑰協(xié)商。傳輸密鑰。傳輸密鑰是中心和加解密終端之間的共享密鑰，是中心和站點基于身份標(biāo)識密鑰協(xié)商出來的。傳輸密鑰是對稱密鑰。會話密鑰。會話密鑰是加解密終端之間的共享密鑰，每兩個站點之間都有一個會話密鑰。會話密鑰是在中心的幫助下生成的，用于站點之間的通信數(shù)據(jù)加密。會話密鑰是對稱密鑰。圖2衛(wèi)星通信加密系統(tǒng)密鑰體系2.3.2衛(wèi)星通信加密系統(tǒng)加密數(shù)據(jù)流程加密數(shù)據(jù)流程包括加解密設(shè)備的接入認證與傳輸密鑰協(xié)商過程、會話密鑰協(xié)商過程和IP數(shù)據(jù)通信過程。加解密設(shè)備的接入認證與傳輸密鑰協(xié)商過程在加解密終端開機時觸發(fā)。加解密設(shè)備初始化后，端站的加解密設(shè)備具有了與密鑰管理中心共享的傳輸密鑰。會話密鑰的首次協(xié)商是由IP應(yīng)用數(shù)據(jù)觸發(fā)的，由通信雙方在密鑰管理中心的協(xié)助下完成。會話密鑰協(xié)商后，通信雙方具有了共同的會話密鑰。當(dāng)一個小站A向另一個小站B發(fā)送信息時，位于小站A處的加解密設(shè)備A’對數(shù)據(jù)進行加密，在小站B處的加解密設(shè)備B’對數(shù)據(jù)進行解密，完成一次加密會話。此過程中，A’與B’間全鏈路均為密文傳輸。同時，由于衛(wèi)星通信具有組播功能，在加解密終端識別數(shù)據(jù)包為組播數(shù)據(jù)包后，應(yīng)使用系統(tǒng)預(yù)置的組播密鑰進行加密，接收的端站用組播密鑰進行解密。所有密鑰均應(yīng)根據(jù)重要性、使用頻率等因素定期更新密鑰。2.4加解密終端管理在衛(wèi)星通信加密系統(tǒng)中，由于Ka頻段等高通量衛(wèi)星終端數(shù)量以萬計，加解密終端也數(shù)量巨大且分布很廣，系統(tǒng)必須建立遠程管理系統(tǒng)，且管理數(shù)據(jù)流必須保證數(shù)據(jù)安全。遠程管理系統(tǒng)主要負責(zé)管理密鑰管理系統(tǒng)和加解密終端。通過遠程管理系統(tǒng)可以查看這些設(shè)備的信息、設(shè)置會話密鑰協(xié)商和傳輸密鑰協(xié)商參數(shù)、啟用/暫停密鑰管理系統(tǒng)、添加加解密終端信息、刪除加解密終端、暫停加解密終端以及恢復(fù)暫停狀態(tài)的加解密終端等。遠程管理系統(tǒng)除了對密鑰管理系統(tǒng)進行管理，對加解密終端的大部分管理操作也需要密鑰管理系統(tǒng)協(xié)同完成，包括加解密終端信息獲取、添加、更新、加解密狀態(tài)暫停、加密/旁路模式切換以及加解密終端日志獲取。為了數(shù)據(jù)通信安全，遠程管理系統(tǒng)在與密鑰管理系統(tǒng)進行以下交互時采用加密通信：獲取密鑰管理系統(tǒng)的狀態(tài)信息、設(shè)置密鑰管理系統(tǒng)的暫停/啟動狀態(tài)、指令密鑰管理系統(tǒng)恢復(fù)出廠設(shè)置、設(shè)置密鑰協(xié)商參數(shù)（會話密鑰、接入認證隨機數(shù)以及會話密鑰周期、傳輸密鑰周期）、添加/更新端站公鑰信息、暫停端站以及端站加密/旁路模式切換。密鑰管理系統(tǒng)與遠程管理系統(tǒng)的加密通信，使用了密鑰管理系統(tǒng)的管理身份標(biāo)識密鑰對及遠程管理系統(tǒng)的身份標(biāo)識密鑰對。加密通信的服務(wù)中，所有遠程管理系統(tǒng)發(fā)送給密鑰管理系統(tǒng)的信息都由管理客戶端使用密鑰管理系統(tǒng)的管理身份標(biāo)識密鑰公鑰加密和自身的私鑰簽名。所有密鑰管理系統(tǒng)返回給遠程管理系統(tǒng)的信息都由密鑰管理系統(tǒng)使用管理客戶端的身份標(biāo)識密鑰公鑰加密和自身的管理身份標(biāo)識密鑰私鑰簽名。2.5密鑰管理與身份認證在衛(wèi)星通信加密系統(tǒng)中，密鑰管理與身份認證至關(guān)重要[6]。系統(tǒng)中，核心的主密鑰是所有密鑰協(xié)商與身份認證的基礎(chǔ)，安全等級最高，通常建議采用密鑰共享技術(shù)將主密鑰保存在多個核心管理者手中，只有多位管理者同時在場才能讀取主密鑰[7]。除主密鑰外，傳輸密鑰、會話密鑰等密鑰均應(yīng)加密存儲在數(shù)據(jù)庫中，讀取和使用時均應(yīng)對操作者進行身份認證。同時，衛(wèi)星通信加解密終端設(shè)備由于與衛(wèi)星通信終端部署在同一地點，部署分散，操作人員混雜，設(shè)備安全受到的挑戰(zhàn)巨大，需對加解密設(shè)備硬件增加防護措施。在設(shè)備受到鉆孔、開蓋、探針破壞、強制斷電等情況下，需迅速刪除內(nèi)部所有算法參數(shù)及密鑰數(shù)據(jù)，同時將報警狀態(tài)上報密鑰管理中心。對于任何一臺加解密終端站，需在初次使用時對其進行初始化操作，以在后續(xù)工作過程中每次開機時驗證身份。建議在初始化時，將算法參數(shù)、非對稱身份標(biāo)識密鑰的私鑰部分等敏感信息進行加密存儲在USBKey中，同時將加密密鑰打印在密碼信封中，將USBKey與密碼信封分不同傳遞者送至加解密終端，減少傳遞過程中數(shù)據(jù)被竊取風(fēng)險。后續(xù)每次對設(shè)備進行關(guān)機后，所有密鑰信息必須進行擦除，開機后需重新協(xié)商密鑰。在每次因設(shè)備被開蓋等破壞導(dǎo)致報警后，所有密鑰與算法參數(shù)、身份信息均被擦除，設(shè)備必須重新經(jīng)過初始化后才能再次使用。圖3加解密設(shè)備初始化操作2.6加密算法衛(wèi)星通信加密系統(tǒng)在多層密鑰架構(gòu)下，需采用非對稱算法與對稱算法配合使用，對算法并無特殊性要求，國際通用的RSA、AES和國內(nèi)商密算法SM2、SM3、SM4均可使用。但是，由于RSA-2048、RSA-4096及AES-256已使用多年，安全性已不再可被所有用戶接受，故在國內(nèi)商業(yè)衛(wèi)星加密算法建議使用國內(nèi)商密算法系列，出口型商業(yè)衛(wèi)星加密算法建議采用定制化算法，算法不對外公開，與公開算法相比安全性更高，同時參數(shù)可由用戶自行配置。這樣在系統(tǒng)交付運行后可由用戶更改算法參數(shù)，阻斷開發(fā)者對算法破譯與攻擊的可能性，更易被用戶接受。對于衛(wèi)星通信加密系統(tǒng)而言，系統(tǒng)應(yīng)從整體設(shè)計出發(fā)，注重與衛(wèi)星通信系統(tǒng)的強關(guān)聯(lián)性，在加密類型、加密架構(gòu)、密鑰管理、加密流程、加密算法等各個設(shè)計環(huán)節(jié)均應(yīng)充分考慮衛(wèi)星通信系統(tǒng)設(shè)計與用戶應(yīng)用模式，同時應(yīng)注重密鑰安全與加解密設(shè)備物理安全，在通信各功能不受限的前提下保障各個環(huán)節(jié)信息保密與安全。３出口型加密系統(tǒng)實施原則由于加密設(shè)備及系統(tǒng)一直是各國重點管理的對象，在我國同樣不例外。2020年1月1日實行的《中華人民共和國密碼法》對密碼分類管理進行了描述，其中核心密碼和普通密碼屬于國家秘密，需實行嚴格管理，不允許出口。因此，對于對外出口的加密系統(tǒng)，需確保全系統(tǒng)不涉及國內(nèi)黨政軍使用的核心密碼、普通密碼及相關(guān)的密碼芯片、密碼卡等產(chǎn)品，必須為商用密碼。其次，對于非公開自研算法，必須經(jīng)國密局驗證審批，認為算法安全性達到要求后，方可允許使用。再次，所有加解密終端均需在國密局獲得商密設(shè)備型號證書，該項與國內(nèi)銷售商密產(chǎn)品要求相同。最后，需在獲得商密設(shè)備型號證書后申請出口許可，由于密碼產(chǎn)品為特殊產(chǎn)品，必須進行出口許可申請，獲得許可的方可出口。以上為加密產(chǎn)品與系統(tǒng)出口相關(guān)手續(xù)及實施原則。在出口項目中包含加解密系統(tǒng)與設(shè)備時，應(yīng)考慮商密算法、模塊與產(chǎn)品，同時應(yīng)盡可能將產(chǎn)品商密型號證書申請與出口許可申請納入項目實施與交付計劃，前者平均所需時間為4—6個月，后者平均所需時間為1—2個月，做好提前量，以免耽誤項目按時交付。４結(jié)語作為衛(wèi)星應(yīng)用的重要組成部分，衛(wèi)星通信正廣泛應(yīng)用于軍事、國防、政府以及應(yīng)急等領(lǐng)域，也在漸漸走入千家萬戶。衛(wèi)星通信的數(shù)據(jù)安全性需求快速增加，如何保證在長鏈路、大時延、復(fù)雜拓撲的條件下對數(shù)據(jù)進行穩(wěn)定的