基于 DVB-RCS 的商業(yè)通信衛(wèi)星數(shù)據(jù)加密模式與技術(shù)

０引言衛(wèi)星通信在當(dāng)今世界各國引起了高度重視，在軍事、應(yīng)急救援、海事以及民生等各領(lǐng)域發(fā)揮了重要作用。作為重要的通信手段，它的保密性問題尤為重要，必須保證信息在產(chǎn)生、傳輸、處理以及存儲(chǔ)的各個(gè)環(huán)節(jié)不會(huì)泄露。同時(shí)，信息完整性也同樣重要，需要保證信息在傳輸及存儲(chǔ)過程中不被修改、不被破壞、不被插入、不亂序以及不丟失。當(dāng)前國內(nèi)外暫無衛(wèi)星通信加密統(tǒng)一標(biāo)準(zhǔn)，傳統(tǒng)IPVPN設(shè)備無法匹配衛(wèi)星通信數(shù)據(jù)加密接口，同時(shí)部分海外衛(wèi)星通信廠商具有適配自身衛(wèi)星通信產(chǎn)品私有化接口的加密產(chǎn)品，接口協(xié)議無法通用，市場暫無成熟衛(wèi)星通信加密產(chǎn)品可適配所有品牌衛(wèi)通產(chǎn)品。基于衛(wèi)星通信的數(shù)據(jù)加密，可針對信令數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)進(jìn)行加密，同時(shí)需兼顧考慮衛(wèi)星通信網(wǎng)的特點(diǎn)，支持TCP加速、QoS等功能。傳統(tǒng)的IPSecVPN設(shè)備無法直接應(yīng)用于衛(wèi)星通信網(wǎng)絡(luò)，因此從多角度闡述衛(wèi)星通信數(shù)據(jù)加密類型、架構(gòu)以及流程，同時(shí)簡要介紹商業(yè)出口型衛(wèi)星通信加密系統(tǒng)相關(guān)模式。１衛(wèi)星通信系統(tǒng)安全性設(shè)計(jì)衛(wèi)星通信系統(tǒng)安全性包括保障數(shù)據(jù)連續(xù)不中斷、數(shù)據(jù)穩(wěn)定、數(shù)據(jù)不被偵聽及篡改等。1.1抗雨衰目前，衛(wèi)星通信正在向高頻段快速發(fā)展，如Ka頻段和Q/V頻段高通量衛(wèi)星將是未來發(fā)展的熱點(diǎn)。高頻段通信衛(wèi)星在帶來高速率、高可靠、大容量的同時(shí)，受到的雨衰也會(huì)迅速增大，如Ka頻段雨衰通常可達(dá)到幾十分貝。傳統(tǒng)的抗雨衰手段是功率預(yù)留裕度方法，不適用于高頻段。預(yù)留裕度過多，在天氣晴好時(shí)會(huì)造成資源浪費(fèi)和鏈路間干擾；預(yù)留過少，在雨量大時(shí)又可能不夠用。目前，衛(wèi)星通信抗雨衰技術(shù)主要有自適應(yīng)信號(hào)處理技術(shù)和分集技術(shù)。自適應(yīng)信號(hào)處理技術(shù)包括自適應(yīng)編碼技術(shù)、自適應(yīng)調(diào)制技術(shù)以及自適應(yīng)降速技術(shù)，通過改變系統(tǒng)的功率、速率和調(diào)制方式，適應(yīng)傳播路徑上的雨衰。分集技術(shù)包括站址分集、軌道分集和頻率分集。站址分集和軌道分集基于降雨分布的不均勻，采用多條通信鏈路繞開雨區(qū)的策略消除或減小雨衰。在不同城市或地區(qū)建立多個(gè)通信主站，在一個(gè)主站鏈路雨衰過大時(shí)，鏈路自動(dòng)切換至備用主站。頻率分集則在路徑上有降雨事件發(fā)生時(shí)，采用受雨衰影響較小的低頻段進(jìn)行通信。1.2抗干擾在衛(wèi)星通信過程中，頻率相近的信號(hào)會(huì)產(chǎn)生電磁環(huán)境干擾、人為干擾等。目前，主流的信號(hào)抗干擾技術(shù)主要為跳擴(kuò)頻技術(shù)。擴(kuò)頻技術(shù)具有信號(hào)頻譜寬、波形復(fù)雜、安全隱蔽等特點(diǎn)，截獲、干擾的難度大，是衛(wèi)星通信中最基本的抗干擾技術(shù)。它的抗干擾能力與擴(kuò)頻處理增益成正比，對多徑干擾有較強(qiáng)的抑制能力。跳頻技術(shù)充分利用衛(wèi)星轉(zhuǎn)發(fā)器的帶寬，提供較高的處理增益[4]。二者結(jié)合的跳擴(kuò)頻技術(shù)能更好地發(fā)揮兩種技術(shù)的優(yōu)勢，提供更強(qiáng)的抗干擾能力。1.3數(shù)據(jù)加密數(shù)據(jù)加密技術(shù)主要可實(shí)現(xiàn)對衛(wèi)星測控?cái)?shù)據(jù)和衛(wèi)星通信業(yè)務(wù)數(shù)據(jù)的加密，實(shí)現(xiàn)防偵聽、防身份冒充以及防篡改等目的。對于衛(wèi)星測控，無論軍用通信衛(wèi)星還是商業(yè)通信衛(wèi)星，衛(wèi)星軌道與姿態(tài)數(shù)據(jù)、控制調(diào)姿變軌數(shù)據(jù)都有極高保密要求，一旦被偵聽或篡改，將直接導(dǎo)致衛(wèi)星被遠(yuǎn)程控制，引發(fā)偏離軌道甚至跟蹤丟失等問題。采用星地鏈路測控?cái)?shù)據(jù)加密將避免該類問題發(fā)生。對于衛(wèi)星通信業(yè)務(wù)數(shù)據(jù)，數(shù)據(jù)安全性同樣重要。數(shù)據(jù)業(yè)務(wù)使用者通常為軍隊(duì)、政府、大型企業(yè)等，傳輸數(shù)據(jù)重要性遠(yuǎn)高于常用的地面通信，一旦數(shù)據(jù)被竊取、篡改、仿冒，將直接影響軍隊(duì)作戰(zhàn)、政府決策、商業(yè)運(yùn)營，故需采用端到端數(shù)據(jù)安全加密，保證數(shù)據(jù)在全鏈路的安全性。２通信衛(wèi)星數(shù)據(jù)加密架構(gòu)與技術(shù)2.1加密類型目前，基于衛(wèi)星通信數(shù)據(jù)加密的基本類型，主要包含TRANSEC（傳輸安全）和COMSEC（通信安全）兩大類。在軍事衛(wèi)星通信領(lǐng)域，主要使用基于TRANSEC的安全加密方式，而COMSEC更多用于民用領(lǐng)域。TRANSEC的加解密終端一般與通信終端站集成為一體，多為定制化的加密通信終端站設(shè)備。在TRANSEC方案中，由于加密是在通信終端站IDU部分對數(shù)據(jù)進(jìn)行處理后進(jìn)行，故可實(shí)現(xiàn)TCP加速、QoS等衛(wèi)星通信功能與加密兼容，同時(shí)可實(shí)現(xiàn)包含業(yè)務(wù)數(shù)據(jù)與通信信令數(shù)據(jù)的加密。既保障了業(yè)務(wù)數(shù)據(jù)安全，又保障了信令數(shù)據(jù)不被偵聽與篡改，防止通信終端站被遠(yuǎn)程劫持而改變通信狀態(tài)。此外，可通過IPsec模式實(shí)現(xiàn)對IP數(shù)據(jù)報(bào)頭的加密，隱藏通信鏈路中IP地址，防止攻擊者通過IP數(shù)據(jù)流量統(tǒng)計(jì)分析解析系統(tǒng)網(wǎng)絡(luò)布局，降低對重要地址的攻擊風(fēng)險(xiǎn)。TRANSEC模式雖然有較多優(yōu)勢，但通常該加密與通信終端站需一體化集成，成本較高，定制化程度高，市面常見的各類衛(wèi)通終端通常不具有該功能。同時(shí)，通信終端不具備開蓋報(bào)警、密鑰擦除等物理防護(hù)措施，安全性低，不符合安全使用要求。商用通信衛(wèi)星通常使用COMSEC加密模式，其衛(wèi)通系統(tǒng)與加密系統(tǒng)可單獨(dú)銷售，便利性強(qiáng)。加密設(shè)備通常部署于衛(wèi)通終端站與業(yè)務(wù)數(shù)據(jù)發(fā)送設(shè)備間。加解密終端可實(shí)現(xiàn)各類物理防護(hù)，保護(hù)密鑰與算法參數(shù)安全性。但是，若采用常見的IPsecVPN設(shè)備將無法適應(yīng)TCP加速與QoS，必須對加密數(shù)據(jù)接口協(xié)議進(jìn)行定制化改造才可適配。由于數(shù)據(jù)加密后才進(jìn)入通信終端站，故無法對終端站通信信令進(jìn)行加密。在選取加密類型時(shí)，在軍用、政府用衛(wèi)星通信及對衛(wèi)通信令數(shù)據(jù)保密要求較高，需保障衛(wèi)通小站業(yè)務(wù)流量信息與用戶通信習(xí)慣等信息不被泄露，需保障衛(wèi)通小站不被遠(yuǎn)程非法操控與劫持，建議選取TRANSEC通信模式。在商用衛(wèi)星通信、僅對業(yè)務(wù)數(shù)據(jù)具有安全保密要求時(shí)，可選取COMSEC通信模式。2.2加密架構(gòu)DVB-RCS衛(wèi)通系統(tǒng)具有星狀網(wǎng)和網(wǎng)狀網(wǎng)結(jié)構(gòu)。在網(wǎng)狀網(wǎng)拓?fù)浣Y(jié)構(gòu)下，通信業(yè)務(wù)數(shù)據(jù)并不經(jīng)過通信主站轉(zhuǎn)發(fā)，僅信令數(shù)據(jù)與主站有交互，故衛(wèi)通加密系統(tǒng)應(yīng)將加解密功能通過部署在各通信終端站側(cè)的加解密終端站內(nèi)實(shí)現(xiàn)。業(yè)務(wù)數(shù)據(jù)在通信兩端進(jìn)行加解密，在端站與衛(wèi)星間的上下行鏈路、星狀網(wǎng)拓?fù)湎碌闹髡巨D(zhuǎn)發(fā)過程中均為密文傳輸，最大限度地保證了數(shù)據(jù)加密范圍，且同時(shí)保證了終端用戶數(shù)據(jù)安全及隱私不受主站運(yùn)維人員影響。在這種加密模式下，需在主站建立密鑰管理中心，負(fù)責(zé)系統(tǒng)密鑰的生成、分發(fā)、協(xié)商、管理與存儲(chǔ)。密鑰協(xié)商數(shù)據(jù)使用通信信令傳輸信道，保證每個(gè)通信終端站與主站的實(shí)時(shí)連接，不受業(yè)務(wù)數(shù)據(jù)收發(fā)限制。圖1衛(wèi)星通信加密系統(tǒng)架構(gòu)2.3加密數(shù)據(jù)流程與密鑰2.3.1衛(wèi)星通信加密系統(tǒng)密鑰體系衛(wèi)星通信加密系統(tǒng)建議與通用加密系統(tǒng)一樣，采用身份標(biāo)識(shí)密鑰、傳輸密鑰以及會(huì)話密鑰三層密鑰體系。此外，它還包括數(shù)據(jù)庫密鑰，用于保護(hù)數(shù)據(jù)庫中的數(shù)據(jù)。身份標(biāo)識(shí)密鑰。中心和各個(gè)加解密終端都擁有自己的身份標(biāo)識(shí)密鑰，即各自的非對稱密鑰，用于中心和站點(diǎn)之間的相互認(rèn)證和密鑰協(xié)商。傳輸密鑰。傳輸密鑰是中心和加解密終端之間的共享密鑰，是中心和站點(diǎn)基于身份標(biāo)識(shí)密鑰協(xié)商出來的。傳輸密鑰是對稱密鑰。會(huì)話密鑰。會(huì)話密鑰是加解密終端之間的共享密鑰，每兩個(gè)站點(diǎn)之間都有一個(gè)會(huì)話密鑰。會(huì)話密鑰是在中心的幫助下生成的，用于站點(diǎn)之間的通信數(shù)據(jù)加密。會(huì)話密鑰是對稱密鑰。圖2衛(wèi)星通信加密系統(tǒng)密鑰體系2.3.2衛(wèi)星通信加密系統(tǒng)加密數(shù)據(jù)流程加密數(shù)據(jù)流程包括加解密設(shè)備的接入認(rèn)證與傳輸密鑰協(xié)商過程、會(huì)話密鑰協(xié)商過程和IP數(shù)據(jù)通信過程。加解密設(shè)備的接入認(rèn)證與傳輸密鑰協(xié)商過程在加解密終端開機(jī)時(shí)觸發(fā)。加解密設(shè)備初始化后，端站的加解密設(shè)備具有了與密鑰管理中心共享的傳輸密鑰。會(huì)話密鑰的首次協(xié)商是由IP應(yīng)用數(shù)據(jù)觸發(fā)的，由通信雙方在密鑰管理中心的協(xié)助下完成。會(huì)話密鑰協(xié)商后，通信雙方具有了共同的會(huì)話密鑰。當(dāng)一個(gè)小站A向另一個(gè)小站B發(fā)送信息時(shí)，位于小站A處的加解密設(shè)備A’對數(shù)據(jù)進(jìn)行加密，在小站B處的加解密設(shè)備B’對數(shù)據(jù)進(jìn)行解密，完成一次加密會(huì)話。此過程中，A’與B’間全鏈路均為密文傳輸。同時(shí)，由于衛(wèi)星通信具有組播功能，在加解密終端識(shí)別數(shù)據(jù)包為組播數(shù)據(jù)包后，應(yīng)使用系統(tǒng)預(yù)置的組播密鑰進(jìn)行加密，接收的端站用組播密鑰進(jìn)行解密。所有密鑰均應(yīng)根據(jù)重要性、使用頻率等因素定期更新密鑰。2.4加解密終端管理在衛(wèi)星通信加密系統(tǒng)中，由于Ka頻段等高通量衛(wèi)星終端數(shù)量以萬計(jì)，加解密終端也數(shù)量巨大且分布很廣，系統(tǒng)必須建立遠(yuǎn)程管理系統(tǒng)，且管理數(shù)據(jù)流必須保證數(shù)據(jù)安全。遠(yuǎn)程管理系統(tǒng)主要負(fù)責(zé)管理密鑰管理系統(tǒng)和加解密終端。通過遠(yuǎn)程管理系統(tǒng)可以查看這些設(shè)備的信息、設(shè)置會(huì)話密鑰協(xié)商和傳輸密鑰協(xié)商參數(shù)、啟用/暫停密鑰管理系統(tǒng)、添加加解密終端信息、刪除加解密終端、暫停加解密終端以及恢復(fù)暫停狀態(tài)的加解密終端等。遠(yuǎn)程管理系統(tǒng)除了對密鑰管理系統(tǒng)進(jìn)行管理，對加解密終端的大部分管理操作也需要密鑰管理系統(tǒng)協(xié)同完成，包括加解密終端信息獲取、添加、更新、加解密狀態(tài)暫停、加密/旁路模式切換以及加解密終端日志獲取。為了數(shù)據(jù)通信安全，遠(yuǎn)程管理系統(tǒng)在與密鑰管理系統(tǒng)進(jìn)行以下交互時(shí)采用加密通信：獲取密鑰管理系統(tǒng)的狀態(tài)信息、設(shè)置密鑰管理系統(tǒng)的暫停/啟動(dòng)狀態(tài)、指令密鑰管理系統(tǒng)恢復(fù)出廠設(shè)置、設(shè)置密鑰協(xié)商參數(shù)（會(huì)話密鑰、接入認(rèn)證隨機(jī)數(shù)以及會(huì)話密鑰周期、傳輸密鑰周期）、添加/更新端站公鑰信息、暫停端站以及端站加密/旁路模式切換。密鑰管理系統(tǒng)與遠(yuǎn)程管理系統(tǒng)的加密通信，使用了密鑰管理系統(tǒng)的管理身份標(biāo)識(shí)密鑰對及遠(yuǎn)程管理系統(tǒng)的身份標(biāo)識(shí)密鑰對。加密通信的服務(wù)中，所有遠(yuǎn)程管理系統(tǒng)發(fā)送給密鑰管理系統(tǒng)的信息都由管理客戶端使用密鑰管理系統(tǒng)的管理身份標(biāo)識(shí)密鑰公鑰加密和自身的私鑰簽名。所有密鑰管理系統(tǒng)返回給遠(yuǎn)程管理系統(tǒng)的信息都由密鑰管理系統(tǒng)使用管理客戶端的身份標(biāo)識(shí)密鑰公鑰加密和自身的管理身份標(biāo)識(shí)密鑰私鑰簽名。2.5密鑰管理與身份認(rèn)證在衛(wèi)星通信加密系統(tǒng)中，密鑰管理與身份認(rèn)證至關(guān)重要[6]。系統(tǒng)中，核心的主密鑰是所有密鑰協(xié)商與身份認(rèn)證的基礎(chǔ)，安全等級(jí)最高，通常建議采用密鑰共享技術(shù)將主密鑰保存在多個(gè)核心管理者手中，只有多位管理者同時(shí)在場才能讀取主密鑰[7]。除主密鑰外，傳輸密鑰、會(huì)話密鑰等密鑰均應(yīng)加密存儲(chǔ)在數(shù)據(jù)庫中，讀取和使用時(shí)均應(yīng)對操作者進(jìn)行身份認(rèn)證。同時(shí)，衛(wèi)星通信加解密終端設(shè)備由于與衛(wèi)星通信終端部署在同一地點(diǎn)，部署分散，操作人員混雜，設(shè)備安全受到的挑戰(zhàn)巨大，需對加解密設(shè)備硬件增加防護(hù)措施。在設(shè)備受到鉆孔、開蓋、探針破壞、強(qiáng)制斷電等情況下，需迅速刪除內(nèi)部所有算法參數(shù)及密鑰數(shù)據(jù)，同時(shí)將報(bào)警狀態(tài)上報(bào)密鑰管理中心。對于任何一臺(tái)加解密終端站，需在初次使用時(shí)對其進(jìn)行初始化操作，以在后續(xù)工作過程中每次開機(jī)時(shí)驗(yàn)證身份。建議在初始化時(shí)，將算法參數(shù)、非對稱身份標(biāo)識(shí)密鑰的私鑰部分等敏感信息進(jìn)行加密存儲(chǔ)在USBKey中，同時(shí)將加密密鑰打印在密碼信封中，將USBKey與密碼信封分不同傳遞者送至加解密終端，減少傳遞過程中數(shù)據(jù)被竊取風(fēng)險(xiǎn)。后續(xù)每次對設(shè)備進(jìn)行關(guān)機(jī)后，所有密鑰信息必須進(jìn)行擦除，開機(jī)后需重新協(xié)商密鑰。在每次因設(shè)備被開蓋等破壞導(dǎo)致報(bào)警后，所有密鑰與算法參數(shù)、身份信息均被擦除，設(shè)備必須重新經(jīng)過初始化后才能再次使用。圖3加解密設(shè)備初始化操作2.6加密算法衛(wèi)星通信加密系統(tǒng)在多層密鑰架構(gòu)下，需采用非對稱算法與對稱算法配合使用，對算法并無特殊性要求，國際通用的RSA、AES和國內(nèi)商密算法SM2、SM3、SM4均可使用。但是，由于RSA-2048、RSA-4096及AES-256已使用多年，安全性已不再可被所有用戶接受，故在國內(nèi)商業(yè)衛(wèi)星加密算法建議使用國內(nèi)商密算法系列，出口型商業(yè)衛(wèi)星加密算法建議采用定制化算法，算法不對外公開，與公開算法相比安全性更高，同時(shí)參數(shù)可由用戶自行配置。這樣在系統(tǒng)交付運(yùn)行后可由用戶更改算法參數(shù)，阻斷開發(fā)者對算法破譯與攻擊的可能性，更易被用戶接受。對于衛(wèi)星通信加密系統(tǒng)而言，系統(tǒng)應(yīng)從整體設(shè)計(jì)出發(fā)，注重與衛(wèi)星通信系統(tǒng)的強(qiáng)關(guān)聯(lián)性，在加密類型、加密架構(gòu)、密鑰管理、加密流程、加密算法等各個(gè)設(shè)計(jì)環(huán)節(jié)均應(yīng)充分考慮衛(wèi)星通信系統(tǒng)設(shè)計(jì)與用戶應(yīng)用模式，同時(shí)應(yīng)注重密鑰安全與加解密設(shè)備物理安全，在通信各功能不受限的前提下保障各個(gè)環(huán)節(jié)信息保密與安全。３出口型加密系統(tǒng)實(shí)施原則由于加密設(shè)備及系統(tǒng)一直是各國重點(diǎn)管理的對象，在我國同樣不例外。2020年1月1日實(shí)行的《中華人民共和國密碼法》對密碼分類管理進(jìn)行了描述，其中核心密碼和普通密碼屬于國家秘密，需實(shí)行嚴(yán)格管理，不允許出口。因此，對于對外出口的加密系統(tǒng)，需確保全系統(tǒng)不涉及國內(nèi)黨政軍使用的核心密碼、普通密碼及相關(guān)的密碼芯片、密碼卡等產(chǎn)品，必須為商用密碼。其次，對于非公開自研算法，必須經(jīng)國密局驗(yàn)證審批，認(rèn)為算法安全性達(dá)到要求后，方可允許使用。再次，所有加解密終端均需在國密局獲得商密設(shè)備型號(hào)證書，該項(xiàng)與國內(nèi)銷售商密產(chǎn)品要求相同。最后，需在獲得商密設(shè)備型號(hào)證書后申請出口許可，由于密碼產(chǎn)品為特殊產(chǎn)品，必須進(jìn)行出口許可申請，獲得許可的方可出口。以上為加密產(chǎn)品與系統(tǒng)出口相關(guān)手續(xù)及實(shí)施原則。在出口項(xiàng)目中包含加解密系統(tǒng)與設(shè)備時(shí)，應(yīng)考慮商密算法、模塊與產(chǎn)品，同時(shí)應(yīng)盡可能將產(chǎn)品商密型號(hào)證書申請與出口許可申請納入項(xiàng)目實(shí)施與交付計(jì)劃，前者平均所需時(shí)間為4—6個(gè)月，后者平均所需時(shí)間為1—2個(gè)月，做好提前量，以免耽誤項(xiàng)目按時(shí)交付。４結(jié)語作為衛(wèi)星應(yīng)用的重要組成部分，衛(wèi)星通信正廣泛應(yīng)用于軍事、國防、政府以及應(yīng)急等領(lǐng)域，也在漸漸走入千家萬戶。衛(wèi)星通信的數(shù)據(jù)安全性需求快速增加，如何保證在長鏈路、大時(shí)延、復(fù)雜拓?fù)涞臈l件下對數(shù)據(jù)進(jìn)行穩(wěn)定的