汪思冒 王杰 赵庆 彭小燕 刘文婷
上海航天电子技术研究所 上海市 201109
摘要:为进一步提升空间信息安全性,对CCSDS(国际空间数据系统咨询委员会)近年发布的所有相关标准进行了研究,并与国内现有常用航天器数据保护技术对比,总结了航天器通用规范以及发展方向。论文将从空间信息风险展开,针对应用层、网络层、链路层与物理层进行全方面分析,讨论如何根据CCSDS最新标准对我国航天数据保护技术进行提升与改进。
关键词:CCSDS标准、信息安全、航天器数据保护。
1.概述
随着解密技术的飞速发展与每年航天器发射数量的快速增长,数据安全一直占据着举足轻重的地位。CCSDS自1982年成立以来,制定了一系列空间数据系统的协议规范和标准,是空间数据保护技术的核心指标。目前,全球主要航天机构均参与了该组织(如美国NASA、俄罗斯RCA、日本NASDA、欧盟各国航天局等)。我国现行标准主要源于IRIG标准与ESA标准,但随着航天科技发展规划,我国将逐渐采用CCSDS标准。
CCSDS与2020年2月对部分空间信息安全标准进行了更新,综合15年颁布的新版空间任务安全威胁绿皮书,可针对高风险级别问题进行重点分析与研究应对措施,对我国航天器数据保护技术做出改进。
由于军方航天器的任务不同,密级也更高,国内外均无法做出统计与对比。CCSDS协议只针对除军用外,全球民用、商业、科研或其他用途航天器。
2.空间信息安全威胁分析
空间信息安全威胁来源分为四个方面:对手攻击、内部泄密、环境影响与结构上软硬件的失败。经过统计,CCSDS标准中将航天器常见威胁分为以下几点:
(1)数据损坏
(2)地面系统失效
(3)非法窃听
(4)堵塞加扰
(5)系统服务失效
(6)非法用户伪装
(7)重放攻击
(8)软件失效
(9)未授权访问
针对不同类型航天器,同一种威胁因素导致结果也各不相同。CCSDS将威胁程度由低至高分为1-5等级,以下表格为等级3及以上威胁分析总结。其中对于任何航天器,硬件损坏等级均为3,由制造使用时考虑安全性,未计入下表分析。
.png)
.png)
由上述威胁分析总结可知,常见且威胁性大的因素有:数据损坏、堵塞加扰、非法窃听、系统服务失效、未经授权访问。为防患威胁因素发生,提高空间信息安全性,可根据需求设计出一套全方面的数据保护系统。目前国内外均有自主发展中的数据保护系统,2019年8月,CCSDS也根据现有技术情况更新了数据保护系统中各环节部分技术标准。
3.空间信息安全系统设计
3.1.整体方案设计
为提升空间数据安全性,需避免上述风险,根据CCSDS350.0-G-3绿皮书[1]可知,建议信息保护系统必须设计以下安全措施:
图1 CCSDS安全设计参考[2]
.png)
3.2.数据加密及传输安全
此层空间数据保护主要技术为:数据加密、扩频与跳频技术。
数据加密可批量为整体数据进行处理,常用国际加解密算法有AES等,利用对称算法的特性对数据进行加密处理并隐式实现身份认证功能(初步实现认证功能,无法验证完整性及抵抗堵塞加扰攻击),密钥要求由密钥分发系统分发,需严格控制管理。
为了防止物理层干扰,且数据加密后同步头部分依旧为明文,容易被直接捕获整包数据,可直接采用扩频技术跳频技术防止数据拦截与干扰。扩频技术可将数据流分为小块分布在频谱的不同频率信道中,跳频技术则是在传输过程中传输频率会随着时间变化而改变。这二者均能将信号伪装成噪声,有效保护数据。
在分组数据加密过程中,CCSDS将数据格式分为四类,如下图所示,四种格式类型均有其详细定义,进一步确保加密过程中数据的安全可靠性。(详细解释可参考CCSDS相关蓝皮书部分)[3]-[7]
.png)
3.3.空间数据链路安全
空间信息传输时链路的保护可由信道编码机制、数据链路协议等技术提供安全保护。针对空间数据传输,CCSDS制定了空间数据链路安全协议(SDLS),适用于三个部分:TM(遥控)、TC(遥测)、AOS(高级在轨系统)。Proximity-1跨层所以不使用。SDLS可用于确认数据完整性、源认证与反重放保护,无法提供数据保密性。
SDLS协议主要内容为利用消息认证码(MAC)完成的完整性与认证技术。国际上通常采用单向函数哈希函数完成,发送方输入一个任意长度消息和一与接受者之间的共享密钥,其可输出固定长度且唯一的MAC值用于确认消息未被修改或损坏[8]。
SDLS协议在原有数据前加入哈希函数产生的认证数据作为安全头,经过链路保护后数据格式如下图所示:
图6SDLS协议保护后数据格式
.png)
黄色部分安全头内MAC值中有递增序号内容,用于防重放功能。哈希函数通常和非对称算法结合使用,通过公钥加密哈希函数产生的MAC值与原始数据并一同发送,若能够用私钥成功解密且运算后MAC匹配成功,则能够同时确认用户身份与数据完整性。
3.4.网络与空间分组安全
互联网工程任务组制定的网际协议安全可确保终端至终端的数据传输安全,TCP/IP协议目前也在我国广泛使用,能够有效保证网络层信息传输安全,禁止非法用户的访问。
图7IPsec协议框架
.png)
首8字节明文IP header部分为4字节安全参数指数与4字节序列号,ESP安全头为最小8字节,后续利用ESP协议提供 IP层加密保证和验证数据源以对付不法监听,进一步提供数据保密性并防止篡改[6]。通常此IP协议被用于地面网络协议,可作用在接受航天器数据后与其他终端进行传输。
空间分组部分可用于航天器间遥控数据与遥测数据的传输,带有认证功能,具体格式如下:
图8CCSDS空间数据协议框架
.png)
与地面协议相同,包头部分为明文,此格式仅为数据协议初步框架,无法达到防重放等功能,需在此基础上进一步根据需要进行修改,如添加身份验证、明密区分、重播计数器等。尾部为数字签名与可变长度的完整性校验。
3.5.应用层安全
应用层安全主要包括进行独立安全服务与对访问的控制。若在应用层使用传输层安全技术,则能够允许各个应用程序独立处理数据安全问题,不许向较低层提供服务。而访问控制则是通过身份验证对数据来源进行授权许可。
但应用层安全服务可根据空间数据需求进行筛选,若使用空间分组协议,则机密性、数据完整性、身份认证等于3.4节中一致,无需额外服务。
4.CCSDS技术指标及我国常用技术
通过安全系统设计可知,经过如上四个层面的数据保护措施,可实现数据加密、身份认证、完整性验证、访问控制等功能。这些空间信息安全防护技术能够有效抵抗前文描述风险,保证空间数据传输的安全性与可靠性。2019年8月,CCSDS针对安全系统更新了部分技术标准,以下为CCSDS更新内容与我国目前情况对比。
.png)
“/”表示无统计或目前无标准限制。
经过对比可知,CCSDS对空间信息安全的重点防护在对于数据的加密、身份认证与数据完整性验证。我国自主研制的SM系列算法可较好完成这些保护措施,SM3为杂凑算法,可代替哈希函数用于完整性验证,SM2属于椭圆算法,同一安全等级下密钥长度与资源消耗比RSA表现更为优越,而SM4为组合算法可代替AES用于分组数据加密。虽然算法上空间信息保护强度足够优越,但密钥管理、算法的组合使用等技术方面仍需进一步的提升。
5.问题分析及未来展望
5.1数据格式处理
现有空间数据加密处理后其同步头部分为明数据,即使密数据部分前端有其它加密后标志头,但明文部分仍可造成整包数据的窃取,给不法分子带来堵塞、重放等攻击的机会。目前推荐使用扩频、跳频或通过信道编码加扰等模式使整包数据均为伪随机序列,提高了空间数据传输的安全性。不同航天器可根据自身需求选择适当技术,在安全可靠的前提下节约资源,实现高效空间数据保护。
5.2身份认证及数据完整性问题
已知我国SM2与SM3算法能够良好的完成签名与数据验证功能,但大部分航天器仍旧依靠对称算法本身与网络协议完成身份认证与数据校验,未广泛实施采取杂凑算法与非对称算法结合验证数据的保护措施,这对部分数据安全性要求高的航天器带来了威胁。若要改善空间数据传输安全性,确保访问用户来源,必须对哈希函数、椭圆曲线算法、SM2与SM3进行研究比对,挑选出适合目标航天器的算法组合使用,制定出一套尽可能不产生额外开销的数据系统。
5.3密钥管理问题
空间数据的主要数据加密模式为对称加密,其安全性高度依赖于密钥安全性,所以密钥的管理分发极为重要。CCSDS密钥管理绿皮书中表明,密钥无论是由地面分发通过链路上注,还是预注密钥库再通过链路传输密钥组号选择,均满足密钥安全管理。目前对密钥的在轨更换需使用主密钥、关键密钥、通信保护密钥等多重加密密钥,这给密钥管理带来了更高的泄露风险与提高了管理复杂度。并且,对身份认证所需的公、私钥管理方式又不相同。
综合前文算法选择部分,可利用非对称算法特性,在实现身份认证的同时进行密钥管理,使在轨更换密钥更加安全简单。
5.4地面系统的保护
目前航天器的数据大多使用射频通信链路传输,比普通无线电更不易被拦截。并且随着光纤通信的发展,数据的传输可在非常狭窄的带宽中进行,未来在上下行链路上截获数据将更加困难。与之相反,由前文可知,已有攻击中超过一半的攻击手法同时针对地面系统,由于地面数据资源丰富,网络构成更加复杂,对地面管理系统进行攻击窃听可行性较高,可成为不法分子的有效攻击手段。为避免这一风险,需对地面控制系统进行更加严格的保护,针对地面网络,制定出一套全面覆盖的地面系统数据传输管理协议,降低被攻击与泄密风险。
6.结论
通过研究分析CCSDS相关规范,可统计出目前面临主要安全威胁并明确空间信息安全系统构架,对数据经过所有物理层、链路层、网络层与应用层都做出了基本标准规范。虽然其具体核心技术需各个国家自主研制,但CCSDS所有标准协议中给出了较为明确的参考,对算法、密钥位要求、数据格式等都有基础示例,可根据其规范与目标航天器需求进行修改,完成空间数据保护。同时,经过对比我国现有技术与其规范差别,在威胁风险分析的前提下,可制定出更加严密的空间数据保护方案,符合我国未来航天发展规划。
参考文献:
[1] CCSDS. 350.1-G-2 Security Threats Against Space Missions[S]. Green Book, Issue 2. Washington, D.C.: CCSDS, December 2015.
[2] CCSDS. 351.0-B-2 CCSDS Cryptographic Algorithms [S]. Blue Book, Issue 2. Washington, D.C.: CCSDS, August 2019.
[3] CCSDS. 350.1-G-1 TM Space Data Link Protocol [S]. Blue Book, Issue 2. Washington, D.C.: CCSDS, September 2015.
[4] CCSDS. 232.0-B-3 TC Space Data Link Protocol [S]. Blue Book, Issue 3. Washington, D.C.: CCSDS, September 2015.
[5] CCSDS. 211.2-B-3 Proximity-1 Space Link Protocol-Coding And Synchronization Sublayer [S]. Blue Book, Issue 3. Washington, D.C.: CCSDS, October 2019.
[6] CCSDS. 356.0-B-1 Network Layer Security Adaptation Profile [S]. Blue Book, Issue 1. Washington, D.C.: CCSDS, June 2018.
[7]陈红,周纳,佟晓筠,刘杰. CCSDS-TC协议安全技术分析研究[J].南京大学学报(自然科学),2018,05(03):548-554.
[8]殷明.空间信息安全规范发展研究[J].电脑知识与技术, 2020,16(02):40-46.