空間信息安全規(guī)范發(fā)展研究

殷明

摘要：論文針對(duì)CCSDS（空間數(shù)據(jù)系統(tǒng)咨詢(xún)委員會(huì)）標(biāo)準(zhǔn)中信息安全規(guī)范進(jìn)行了詳細(xì)調(diào)研，對(duì)CCSDS空間信息系統(tǒng)安全規(guī)范的最新進(jìn)展和主要問(wèn)題進(jìn)行了總結(jié)和提煉，并對(duì)我國(guó)如何引用CCSDS空間信息安全規(guī)范來(lái)提升我國(guó)空間信息系統(tǒng)的安全進(jìn)行了分析。

關(guān)鍵詞： 空間信息安全;CCSDS標(biāo)準(zhǔn);安全規(guī)范

中圖分類(lèi)號(hào)：TP391? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）02-0040-07

Abstract： In this paper， according to information security specifications in the CCSDS standards， we summarize the evolution and several important issues of security specifications. To improve the security of space information systems for our country， the usage of the CCSDS space information security specifications is analyzed.

Key words： space information security; CCSDS standards; security specification

1 概述

隨著通信技術(shù)和信息技術(shù)的發(fā)展，世界各國(guó)都已經(jīng)開(kāi)展6G通訊技術(shù)研究，6G網(wǎng)絡(luò)將是一個(gè)地面無(wú)線與衛(wèi)星通信集成的全連接世界。通過(guò)將衛(wèi)星通信整合到6G移動(dòng)通信，實(shí)現(xiàn)全球無(wú)縫覆蓋，網(wǎng)絡(luò)信號(hào)能夠抵達(dá)任何一個(gè)偏遠(yuǎn)的地區(qū)。在這個(gè)開(kāi)放空間通信系統(tǒng)里，數(shù)據(jù)安全一直受到重點(diǎn)關(guān)注，特別是在數(shù)據(jù)系統(tǒng)設(shè)計(jì)和任務(wù)實(shí)施中，數(shù)據(jù)安全更占有舉足輕重的地位。

空間數(shù)據(jù)系統(tǒng)咨詢(xún)委員會(huì)（The Consultative Committee for Space Data Systems，CCSDS）是一個(gè)以美國(guó)宇航局（National Aeronautics and Space Administration，NASA）和歐洲航天局（European Space Agency，ESA）為主體，由多國(guó)空間組織共同組成的國(guó)際性標(biāo)準(zhǔn)化組織。自1982年以來(lái)，CCSDS一直致力于空間數(shù)據(jù)系統(tǒng)的標(biāo)準(zhǔn)化工作，制定標(biāo)準(zhǔn)化的通信體系結(jié)構(gòu)、通信協(xié)議與業(yè)務(wù)。三十多年來(lái)，CCSDS推出了一整套技術(shù)建議書(shū)，并且其中一部分已經(jīng)直接轉(zhuǎn)化為國(guó)際標(biāo)準(zhǔn)化組織的正式國(guó)際標(biāo)準(zhǔn)。CCSDS標(biāo)準(zhǔn)不僅為實(shí)現(xiàn)開(kāi)放互連的國(guó)際空間數(shù)據(jù)系統(tǒng)網(wǎng)奠定了技術(shù)基礎(chǔ)，而且還反映了世界空間數(shù)據(jù)系統(tǒng)的最新技術(shù)發(fā)展動(dòng)態(tài)。該組織的宗旨是通過(guò)技術(shù)協(xié)商方式，建立一整套空間數(shù)據(jù)系統(tǒng)的標(biāo)準(zhǔn)，以便實(shí)現(xiàn)廣泛的國(guó)際合作和相互支持。

為了應(yīng)對(duì)空間數(shù)據(jù)通信中所面臨的安全問(wèn)題，CCSDS已經(jīng)專(zhuān)門(mén)成立了一個(gè)安全工作組（CCSDS Security Working Group），該小組主要從事安全指南和安全標(biāo)準(zhǔn)的制定工作，以及為CCSDS其他工作組提供有關(guān)安全方面的建議和指導(dǎo)。到目前為止，CCSDS安全工作組已經(jīng)頒布了十余本空間數(shù)據(jù)安全方面的藍(lán)皮書(shū)和綠皮書(shū)，內(nèi)容主要涵蓋了空間數(shù)據(jù)安全的如下方面：空間數(shù)據(jù)安全需求和安全威脅、空間數(shù)據(jù)系統(tǒng)的安全體系結(jié)構(gòu)、安全協(xié)議、密鑰管理、密碼算法和身份驗(yàn)證/完整性算法設(shè)計(jì)等[1]-[9]。安全工作組還在進(jìn)一步完善對(duì)空間數(shù)據(jù)安全的標(biāo)準(zhǔn)制定工作，如空間數(shù)據(jù)安全通信協(xié)議、對(duì)稱(chēng)密鑰管理規(guī)范和CCSDS安全算法設(shè)計(jì)等。

2 CCSDS空間任務(wù)安全威脅

在2006年CCSDS頒布的空間任務(wù)安全威脅綠皮書(shū)（CCSDS 350.1-G-1）[3]中，根據(jù)空間任務(wù)安全需求對(duì)空間任務(wù)系統(tǒng)所面臨的安全威脅類(lèi)型和具體的空間任務(wù)安全威脅進(jìn)行了分析。

對(duì)空間任務(wù)系統(tǒng)的威脅包括：空間數(shù)據(jù)損壞、地面系統(tǒng)的物理攻擊、空間數(shù)據(jù)竊聽(tīng)、數(shù)據(jù)阻塞攻擊、偽裝攻擊、重放攻擊、軟件威脅和非授權(quán)訪問(wèn)。CCSDS空間任務(wù)威脅可以分為主動(dòng)威脅和被動(dòng)威脅兩類(lèi)。

典型主動(dòng)威脅類(lèi)型有通信系統(tǒng)擁塞（DoS攻擊）、非授權(quán)系統(tǒng)訪問(wèn)、可信數(shù)據(jù)包重放、偽裝成合法實(shí)體、軟件脆弱點(diǎn)掃描、非授權(quán)數(shù)據(jù)修改、惡意軟件等。典型的被動(dòng)威脅有通信鏈路竊聽(tīng)、軟件脆弱性探測(cè)、流量分析等。被動(dòng)式威脅一般不會(huì)導(dǎo)致系統(tǒng)中信息的改動(dòng)，系統(tǒng)自身將不受影響。這類(lèi)危害一般是數(shù)據(jù)機(jī)密性的喪失。主動(dòng)式攻擊將帶來(lái)對(duì)信息的更改或?qū)ο到y(tǒng)操作狀態(tài)惡意的改變。主動(dòng)式威脅通過(guò)破壞數(shù)據(jù)的完整性或降低系統(tǒng)的可用性來(lái)?yè)p壞數(shù)據(jù)通信系統(tǒng)的信息。

CCSDS 350.1-G-1中針對(duì)不同類(lèi)型的空間任務(wù)進(jìn)行了安全威脅分析。任務(wù)類(lèi)型主要包括：載人航天器、氣象衛(wèi)星（LEO和GEO）、通信衛(wèi)星（LEO和GEO）、科學(xué)任務(wù)和導(dǎo)航衛(wèi)星。表 1給出了通信衛(wèi)星的安全威脅分析。如圖 1所示，顯示了通信鏈路體系結(jié)構(gòu)中不同鏈路節(jié)點(diǎn)可能面臨的安全威脅。

3 CCSDS空間數(shù)據(jù)系統(tǒng)安全體系結(jié)構(gòu)

目前，CCSDS正在對(duì)空間數(shù)據(jù)系統(tǒng)安全體系結(jié)構(gòu)規(guī)范進(jìn)行評(píng)審和修訂。在2011年公布的體系結(jié)構(gòu)草案（CCSDS 351.0-R-1）[2]中，根據(jù)CCSDS體系結(jié)構(gòu)工作組（CCSDS Architecture Working Group）所提出的空間數(shù)據(jù)系統(tǒng)參照架構(gòu)（Reference Architecture for Space Data Systems，RASDS）設(shè)計(jì)一個(gè)空間數(shù)據(jù)系統(tǒng)安全參照架構(gòu)（Security Reference Architecture for Space Data Systems，SASDS）。利用SASDS，（1）建立一個(gè)完整的CCSDS概念框架，將安全與空間任務(wù)數(shù)據(jù)系統(tǒng)相結(jié)合;（2）定義一種通用的語(yǔ)言和描述方法，描述空間數(shù)據(jù)系統(tǒng)中的安全問(wèn)題（風(fēng)險(xiǎn)、需求和解決方法）;（3）為空間任務(wù)系統(tǒng)的安全設(shè)計(jì)提供一個(gè)信息源;（4）有利于其他標(biāo)準(zhǔn)的制定。

3.1 CCSDS安全參照架構(gòu)

3.1.1 企業(yè)視圖

企業(yè)視圖的安全性主要包括安全策略和組織間的信任兩個(gè)方面，特別是那些需要交互支持和互操作的機(jī)構(gòu)。在開(kāi)發(fā)一個(gè)空間任務(wù)時(shí)，可能需要許多組織共同參與。為了確保所設(shè)計(jì)的安全方法在不同組織間的一致性，需要建立一種安全策略用來(lái)解釋高層的安全需求、角色和任務(wù)職責(zé)。由主代理提出網(wǎng)絡(luò)安全要求，其他代理機(jī)構(gòu)連接其網(wǎng)絡(luò)時(shí)，必須遵循這些安全要求。所有這些接口和安全要求必須在代理間的合同或服務(wù)協(xié)議中被明確。

安全體系結(jié)構(gòu)需要考慮兩種截然不同的信任關(guān)系：（1）所有機(jī)構(gòu)相互信任（至少在一個(gè)系統(tǒng)級(jí)），整個(gè)系統(tǒng)的安全性由最弱的機(jī)構(gòu)確定，且風(fēng)險(xiǎn)與相關(guān)聯(lián)系統(tǒng)有關(guān)。（2）機(jī)構(gòu)不完全互相信任，有關(guān)注基礎(chǔ)設(shè)施和關(guān)注數(shù)據(jù)兩種交互方法。

組織間關(guān)系類(lèi)型會(huì)影響他們相互作用的性質(zhì)和確保安全的方式。企業(yè)視圖的任務(wù)結(jié)構(gòu)能揭示需要開(kāi)發(fā)什么安全策略，識(shí)別哪些信任關(guān)系是假象。

如圖 2所示，一個(gè)機(jī)構(gòu)對(duì)另一機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)遙測(cè)、跟蹤和控制（Telemetry Tracking and Control，TT&C）。主代理可能的網(wǎng)絡(luò)安全要求，其他代理機(jī)構(gòu)連接其網(wǎng)絡(luò)時(shí)必須遵循。此外，該機(jī)構(gòu)提供測(cè)控支持服務(wù)，也可能獲取任務(wù)數(shù)據(jù)，作為方案補(bǔ)償?shù)囊徊糠郑ㄈ鐖D2例中的科學(xué)團(tuán)隊(duì)）。應(yīng)該定義和記錄這些接口和技術(shù)數(shù)據(jù)交換點(diǎn);協(xié)議應(yīng)建立對(duì)他們的管理和實(shí)現(xiàn)（如安全機(jī)制相關(guān)的接入控制、認(rèn)證和機(jī)密性的使用）。

3.1.2 連接視圖

連接視圖反映執(zhí)行太空任務(wù)的數(shù)據(jù)網(wǎng)絡(luò)物理節(jié)點(diǎn)的位置以及節(jié)點(diǎn)間的通訊關(guān)系，如圖 3所示。

應(yīng)用通信鏈路的任何安全增強(qiáng)系統(tǒng)必須能夠處理通信中斷、不對(duì)稱(chēng)通信、通信速度和通信質(zhì)量等問(wèn)題。如占用現(xiàn)有可用通信資源的90%或在軌CPU絕大多數(shù)時(shí)鐘周期的安全系統(tǒng)一定不會(huì)被采用。

使用連接視圖可對(duì)任務(wù)的功能和性能進(jìn)行完全分析時(shí)，從而允許任務(wù)規(guī)劃者可考慮這諸多因素，并選用恰當(dāng)?shù)陌踩椒ā?/p>

從連接視圖的系統(tǒng)分析，可以找到通信網(wǎng)絡(luò)的防護(hù)要點(diǎn)，從而很好地部署網(wǎng)關(guān)和邊界設(shè)備等網(wǎng)絡(luò)工具。

考慮連接視圖安全時(shí)，從飛船回送數(shù)據(jù)的所有環(huán)節(jié)的風(fēng)險(xiǎn)都要考慮，包括中間節(jié)點(diǎn)及通信鏈路，如中繼星、地面站、WAN、空間鏈路、任務(wù)控制、載荷控制和終端用戶(hù)系統(tǒng)?？赡艽嬖诘陌踩L(fēng)險(xiǎn)有：射頻信號(hào)的干擾;竊聽(tīng);信號(hào)丟失（無(wú)論是否是預(yù)期的）;使用地面系統(tǒng)連接的開(kāi)放網(wǎng)絡(luò)。

3.1.3 功能視圖

功能視圖定義了系統(tǒng)的功能，它是任務(wù)生命周期的第一個(gè)視圖，因?yàn)樵谌蝿?wù)設(shè)計(jì)之初就應(yīng)考慮其安全性，這可以節(jié)省大量時(shí)間和物資開(kāi)銷(xiāo)。

安全體系的功能視圖設(shè)計(jì)應(yīng)在任務(wù)功能體系設(shè)計(jì)之后隨即進(jìn)行，因?yàn)榘踩w系就是描述任務(wù)功能模塊間及與外部系統(tǒng)之間如何交互以滿足系統(tǒng)安全需求。

安全功能視圖將記錄諸如連接訪問(wèn)控制、密鑰管理、功能和邏輯安全邊界等的安全控制，如物理邊界、防火墻的部署。

圖 4提供了一個(gè)任務(wù)的功能結(jié)構(gòu)和其在系統(tǒng)分配的物理節(jié)點(diǎn)。這些分配將完成，以滿足任務(wù)目標(biāo)和設(shè)計(jì)，并且可以選擇作為一個(gè)設(shè)計(jì)權(quán)衡的結(jié)果。諸如無(wú)人駕駛組件（例如地面?zhèn)鞲衅髡镜淖饔茫┗蚺c外部實(shí)體的聯(lián)系特征在系統(tǒng)安全設(shè)計(jì)中需要特殊考慮，包括訪問(wèn)控制如何管理和共享資源如何管理。

3.1.4 信息視圖

信息安全控制系統(tǒng)內(nèi)的數(shù)據(jù)如何保護(hù)，數(shù)據(jù)如何存儲(chǔ)，以及系統(tǒng)功能元素間如何傳輸，這在信息安全視圖上有體現(xiàn)，如圖 5所示。

需要考慮的重要問(wèn)題是航天器的遙控和數(shù)據(jù)隱私問(wèn)題。信息視圖設(shè)計(jì)必須考慮航天器（或地基設(shè)施）怎樣能驗(yàn)證命令的來(lái)源合法性，并詳細(xì)討論數(shù)據(jù)的機(jī)密性如何管理。

針對(duì)以下安全服務(wù)，從信息視圖考察系統(tǒng)風(fēng)險(xiǎn)：可驗(yàn)證性;機(jī)密性;完整性;可用性;不可抵賴(lài)性。

3.1.5 通信視圖

通信視圖描述了支持系統(tǒng)網(wǎng)絡(luò)節(jié)點(diǎn)間通信的分層協(xié)議，如所示。從安全角度來(lái)說(shuō)，這有助于描述不同的通信安全機(jī)制如何適用于整體通信棧架構(gòu)。

利用通信視圖的安全分析將考慮元素之間如何通信，從而決定在任務(wù)中使用CCSDS安全架構(gòu)的哪些部分，以及部署安全棧的哪些層。

根據(jù)任務(wù)的安全需求，通信鏈路安全可能應(yīng)用于一個(gè)或多個(gè)層上。應(yīng)用層加密可使應(yīng)用數(shù)據(jù)安全，但使通信棧的其余部分都以明文形式進(jìn)行操作;網(wǎng)絡(luò)層加密將有效加密用戶(hù)和目標(biāo)應(yīng)用程序之間端到端的數(shù)據(jù)流;如果任務(wù)需求和物理部署可行，也可以對(duì)空間或地面單一鏈路進(jìn)行加密。在這些例子中，網(wǎng)路和鏈路參數(shù)以明文傳輸，僅數(shù)據(jù)內(nèi)容受保護(hù)。在一些任務(wù)配置中，需要更高層次的安全，如保護(hù)所有路由信息以防流量分析或應(yīng)用物理層加密。

3.2 安全核心套件模式

一個(gè)安全核心套件如圖 7所示。由于航天器的安全配置很靈活，因此如果在運(yùn)行期間威脅發(fā)生變化則安全服務(wù)也應(yīng)隨之改變。例如，火星任務(wù)處于地球軌道運(yùn)行階段和試航測(cè)試階段，會(huì)面臨某些特定的威脅。而當(dāng)其處于巡航和在站階段時(shí)，威脅形式會(huì)發(fā)生改變。因此當(dāng)威脅形式發(fā)生變化時(shí)，使用可變更的安全架構(gòu)能夠提高通信效率。

上層（例如網(wǎng)絡(luò)層和應(yīng)用層）可提供端到端的安全服務(wù)。在應(yīng)用層，提供終端節(jié)點(diǎn)上對(duì)等應(yīng)用程序間的安全服務(wù)，該服務(wù)可以通過(guò)某些加密函數(shù)來(lái)實(shí)現(xiàn)。在網(wǎng)絡(luò)層，提供終端系統(tǒng)間的安全服務(wù)，該服務(wù)可以通過(guò)利用安全網(wǎng)關(guān)來(lái)實(shí)現(xiàn)。在數(shù)據(jù)鏈路層，提供跳到跳或者鏈路到鏈路的安全服務(wù)，該服務(wù)可以在通信設(shè)備或子系統(tǒng)上實(shí)現(xiàn)。

根據(jù)不同任務(wù)需要提供特定的安全需求。CCSDS安全核心套件已經(jīng)實(shí)施，但也實(shí)施了其他兩個(gè)安全套件，一個(gè)是任務(wù)機(jī)構(gòu)所授權(quán)的，另一個(gè)是對(duì)這個(gè)任務(wù)所特有的。通過(guò)使用額外的數(shù)據(jù)鏈接層和有效載荷的安全機(jī)制來(lái)擴(kuò)展其具體任務(wù)的安全套件。這體現(xiàn)了CCSDS安全架構(gòu)的兼容性。

4 CCSDS安全系統(tǒng)協(xié)議應(yīng)用

CCSDS頒布的有關(guān)空間系統(tǒng)安全協(xié)議的規(guī)范有CCSDS安全系統(tǒng)協(xié)議應(yīng)用（350.0-G-2）[1]、空間通信協(xié)議規(guī)范安全協(xié)議（SCPS-SP）部分（713.5-B-1 Cor. 1）[5]和空間數(shù)據(jù)鏈路安全協(xié)議（355.0-R-1）[4]。如圖 8所示，利用空間鏈路參照模型描繪了一個(gè)完整的空間任務(wù)數(shù)據(jù)系統(tǒng)安全體系結(jié)構(gòu)。該模型列出了一些可利用的CCSDS協(xié)議，以及四個(gè)可以實(shí)施安全保護(hù)的位置。這四個(gè)安全保護(hù)實(shí)施點(diǎn)包括：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和應(yīng)用層。

如果任務(wù)需要，安全保護(hù)也可以在其他層實(shí)施（如運(yùn)輸層）。但是，CCSDS只考慮以上四個(gè)安全保護(hù)實(shí)施位置，因?yàn)檫@樣可以滿足大部分的任務(wù)需求。在圖 8中并未列出所有的CCSDS協(xié)議。

如圖 8所示，不同的安全服務(wù)可能在航天器通信系統(tǒng)的不同層進(jìn)行實(shí)施，并且在特定任務(wù)的數(shù)據(jù)系統(tǒng)中并非需要對(duì)所有層都提供安全服務(wù)。下面分別對(duì)各個(gè)層上的CCSDS安全實(shí)施進(jìn)行闡述。

4.1 塊加密（Bulk Encryption）

塊加密為通信系統(tǒng)中的所有數(shù)據(jù)（結(jié)構(gòu)）提供機(jī)密性保護(hù)。它在物理層實(shí)施，提供最高級(jí)別的點(diǎn)到點(diǎn)數(shù)據(jù)機(jī)密性保護(hù)，亦稱(chēng)為“鏈路加密”。但是這并不是指在鏈路層而是在物理鏈路層對(duì)數(shù)據(jù)進(jìn)行加密。

任務(wù)如果采用CCSDS推薦標(biāo)準(zhǔn)，塊加密則表示對(duì)整個(gè)物理層數(shù)據(jù)結(jié)構(gòu)單元進(jìn)行加密。對(duì)于遙控指令數(shù)據(jù)來(lái)說(shuō)，表示加密指令鏈路傳輸單元（Command Link Transmission Unit，CLTU）。對(duì)于遙測(cè)數(shù)據(jù)來(lái)說(shuō)，表示加密信道訪問(wèn)服務(wù)數(shù)據(jù)單元（Channel Access Service Data Unit，CA_SDU）。對(duì)于高級(jí)在軌系統(tǒng)（Advanced Orbiting Systems，AOS）數(shù)據(jù)來(lái)說(shuō)，表示加密物理信道訪問(wèn)協(xié)議數(shù)據(jù)單元（Physical Channel Access Protocol Data Unit，PCA_PDU）。

同樣地，可以利用一些技術(shù)例如擴(kuò)頻技術(shù)（直接序列和跳頻）來(lái)消除物理層數(shù)據(jù)攔截和阻斷，稱(chēng)其為傳輸安全（TRANSEC）。

圖 9給出了塊加密在物理層上各種協(xié)議數(shù)據(jù)結(jié)構(gòu)單元中的具體實(shí)現(xiàn)。

4.2 數(shù)據(jù)鏈路安全

目前，CCSDS正在制定空間數(shù)據(jù)鏈路安全協(xié)議規(guī)范（355.0-R-2）。CCSDS數(shù)據(jù)鏈路安全的實(shí)施位置如圖 10所示，它可以依據(jù)數(shù)據(jù)類(lèi)型提供對(duì)TM、TC和AOS數(shù)據(jù)的加密和認(rèn)證保護(hù)。

4.3 網(wǎng)絡(luò)層安全

4.3.1 SCPS-SP

SCPS-SP的結(jié)構(gòu)如圖 11所示。該協(xié)議添加了（最小）8比特的明文頭部、附加的（最?。?比特的受保護(hù)頭部、上層協(xié)議數(shù)據(jù)單元（SCPS傳輸協(xié)議）的可變長(zhǎng)度ICV。除明文頭部以外，其他數(shù)據(jù)將被加密，所采取的加密由系統(tǒng)定義。由于明文頭部未被加密，攻擊者能夠分析而獲得相互通信的實(shí)體，而無(wú)須知道通信內(nèi)容（亦被稱(chēng)為流量分析）。可以通過(guò)利用鏈路層加密、擴(kuò)頻/跳頻技術(shù)來(lái)避免流量分析攻擊。

4.3.2 空間分組協(xié)議安全

空間分組層安全的基本思想如圖 12所示。應(yīng)用層數(shù)據(jù)將被加密，可選的次級(jí)頭部也可能被加密。系統(tǒng)低層協(xié)議的其他數(shù)據(jù)域均不被加密。

值得注意的是如果某些任務(wù)需要提供空間鏈路上數(shù)據(jù)包的安全，那么需要在數(shù)據(jù)包頭部添加一個(gè)應(yīng)用處理標(biāo)識(shí)（Application Process Identifier，APID）用來(lái)區(qū)分密文數(shù)據(jù)包和明文數(shù)據(jù)包。

4.4 應(yīng)用層安全

安全服務(wù)可以在應(yīng)用層實(shí)施，因此如果空間任務(wù)使用的是空間分組協(xié)議，那么機(jī)密性、完整性和認(rèn)證服務(wù)的實(shí)施與上述空間分組安全一樣。然而，通過(guò)利用運(yùn)輸層安全（Transport Layer Security，TLS）技術(shù)（也稱(chēng)為安全套接字層，Secure Socket Layer，SSL），每個(gè)單獨(dú)應(yīng)用可以獨(dú)立地實(shí)施安全服務(wù)。首先，應(yīng)用層服務(wù)的使用不需要任何較低層提供安全保護(hù)。此外，每個(gè)應(yīng)用需要單獨(dú)地實(shí)施安全機(jī)制以提供安全服務(wù)，而不是利用較低層所提供的安全服務(wù)。較低層的安全服務(wù)能夠?yàn)樗械膽?yīng)用提供安全服務(wù)。

另一個(gè)在應(yīng)用層實(shí)現(xiàn)的重要的安全服務(wù)是訪問(wèn)控制?？梢岳冒踩L問(wèn)授權(quán)數(shù)據(jù)庫(kù)實(shí)現(xiàn)訪問(wèn)控制。被認(rèn)證的實(shí)體才能獲得訪問(wèn)控制授權(quán)許可。

4.5 CCSDS安全協(xié)議的組合實(shí)施

為了滿足特定空間任務(wù)的需求，通常需要將上述的CCSDS安全實(shí)施方法結(jié)合使用。安全服務(wù)可能在任務(wù)數(shù)據(jù)系統(tǒng)的多個(gè)層中同時(shí)進(jìn)行實(shí)施。

高安全等級(jí)的任務(wù)可能需要同時(shí)實(shí)施網(wǎng)絡(luò)層安全和較低層的安全，如圖 13所示。通過(guò)實(shí)現(xiàn)網(wǎng)絡(luò)層安全以提供端到端的數(shù)據(jù)保護(hù)，特別是當(dāng)數(shù)據(jù)通過(guò)地面網(wǎng)傳輸時(shí)。當(dāng)?shù)蛯影踩僮鲀H在空間鏈路層實(shí)施時(shí)，是為了防止地面到空間段鏈路受到流量分析攻擊。

包括在軌資源和星間通信的空間系統(tǒng)同樣可能采用聯(lián)合的安全解決方案。聯(lián)合解決方案包括兩部分，在地面-空間鏈路實(shí)現(xiàn)鏈路層安全，以及在航天器和地面網(wǎng)的通信鏈路實(shí)現(xiàn)網(wǎng)絡(luò)層安全。

另一個(gè)選擇是將基于地面網(wǎng)的協(xié)議與CCSDS協(xié)議結(jié)合。例如，某個(gè)大學(xué)的用戶(hù)（PI）可能與Internet網(wǎng)絡(luò)相連，PI通過(guò)利用Internet網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)（如IP，IPSEC，TCP，HTTP，TLS/SSL）經(jīng)由CCSDS地面-空間網(wǎng)關(guān)同星上設(shè)備通信。網(wǎng)關(guān)執(zhí)行CCSDS SCPS協(xié)議并且能夠在基于地面網(wǎng)協(xié)議的會(huì)話和基于SCPS協(xié)議的會(huì)話之間進(jìn)行轉(zhuǎn)換。因此PI可以運(yùn)行一個(gè)標(biāo)準(zhǔn)的桌面系統(tǒng)而僅需做小的修改或不需做任何修改（IPSEC需要進(jìn)行初始配置已建立一個(gè)安全地從PI到網(wǎng)關(guān)的連接）。桌面系統(tǒng)創(chuàng)建一個(gè)安全地到網(wǎng)關(guān)的連接意味著創(chuàng)建了一個(gè)安全地到航天器的連接。通過(guò)這一方式，基于地面網(wǎng)的協(xié)議用于Internet網(wǎng)絡(luò)和基于空間的協(xié)議用于空間鏈路。一種聯(lián)合的解決方案如圖 14所示。因此，無(wú)須將基于空間的協(xié)議安裝于地面系統(tǒng)同樣可以實(shí)現(xiàn)端到端的安全。同樣地，即便是空間環(huán)境容許（如足夠大帶寬、持續(xù)覆蓋、充足電能）也無(wú)須在空間部署基于地面的協(xié)議以實(shí)現(xiàn)端到端的安全。

5 CCSDS密鑰管理及安全算法建議

5.1 空間任務(wù)中的密鑰管理

2011年CCSDS頒布了空間任務(wù)中的密鑰管理綠皮書(shū)（350.6-G-1）[8]，它描述了空間任務(wù)背景下密鑰管理相關(guān)的核心概念，以及具體的針對(duì)空間任務(wù)的密鑰管理方案。

5.2 密鑰基礎(chǔ)設(shè)施

（1） 秘密密鑰基礎(chǔ)設(shè)施（SKI）

一個(gè)典型的秘密密鑰分層管理方案如圖 15所示，在最底層，利用特定的TPK（通信保護(hù)密鑰）實(shí)施數(shù)據(jù)的加密和認(rèn)證操作;TPK由KEK（關(guān)鍵加密密鑰）加密后傳輸給航天器;KEK經(jīng)Master Key（主密鑰）加密后進(jìn)行傳輸。

（2） 公鑰基礎(chǔ)設(shè)施（PKI）

一個(gè)典型的PKI數(shù)字證書(shū)生成過(guò)程如圖 16所示。用戶(hù)向最近的RA請(qǐng)求身份驗(yàn)證，驗(yàn)證通過(guò)后，RA給CA發(fā)送數(shù)字證書(shū)請(qǐng)求，CA生成密鑰對(duì)和用戶(hù)證書(shū)并進(jìn)行簽名，用戶(hù)接收到數(shù)字證書(shū)，并且CA將其拷貝到DIR中，當(dāng)該證書(shū)被撤銷(xiāo)時(shí)，將其添加到CRL中。

（3） 航天器星座密鑰管理系統(tǒng)

CCSDS根據(jù)不同的航天器星座拓?fù)涮峁┝藘深?lèi)密鑰管理方案：獨(dú)立密鑰管理和完全互聯(lián)的星座密鑰管理。如果航天器間的控制相互獨(dú)立，并且可以劃分成多個(gè)獨(dú)立的密鑰管理系統(tǒng)，那么地面站可視為透明路由實(shí)體，而非密鑰管理系統(tǒng)的一部分，而星座可以由某個(gè)OCC進(jìn)行集中控制，如圖 17所示。

如果航天器、地面站、OCC和用戶(hù)終端是獨(dú)立節(jié)點(diǎn)，并且每個(gè)節(jié)點(diǎn)組可能需要建立一個(gè)密鑰管理關(guān)聯(lián)，那么可以參考基于Internet的密鑰管理方案，進(jìn)而設(shè)計(jì)合適的組密鑰管理協(xié)議。

5.3 安全算法建議

2008年CCSDS頒布的綠皮書(shū)350.2-G-1[6]和350.3-G-1[7]分別對(duì)已有的加密算法和認(rèn)證算法進(jìn)行了調(diào)研和分析。

CCSDS 350.2-G-1全面考察了13種加密算法，如表 2所示。調(diào)研結(jié)果顯示，最適合的待選算法是Rijindael算法和Kasumi算法。Kasumi算法主要應(yīng)用于GSM 3GPP，基于Kasumi算法的應(yīng)用范圍廣、關(guān)注度較窄和對(duì)Rijindael算法的應(yīng)用領(lǐng)域廣、關(guān)注度廣的現(xiàn)狀，CCSDS建議采用Rijindael算法（即AES加密算法）。

CCSDS 350.3-G-1考察了數(shù)字簽名算法、基于哈希的消息驗(yàn)證碼算法和基于加密的消息驗(yàn)證碼算法。各種認(rèn)證算法的比較如表 3、表 4和表 5所示。

6 結(jié)論

通過(guò)不斷跟蹤和調(diào)研分析CCSDS頒布的空間信息安全相關(guān)規(guī)范，可以為我國(guó)空間信息系統(tǒng)安全體系建設(shè)和安全技術(shù)研究提供很好的參考對(duì)象。雖然鑒于空間信息系統(tǒng)安全性的要求，其核心安全技術(shù)需要獨(dú)立研發(fā)，但CCSDS作為國(guó)際化組織，其在空間數(shù)據(jù)系統(tǒng)包括數(shù)據(jù)安全在內(nèi)的規(guī)范化規(guī)劃發(fā)展思路是值得我們借鑒的。

（1） CCSDS已經(jīng)形成了較完整的數(shù)據(jù)安全體系架構(gòu)和技術(shù)規(guī)范建議，五視圖安全體系架構(gòu)（企業(yè)視圖、連接視圖、功能視圖、信息視圖和通信視圖）的提出，在可操作性上是一個(gè)巨大的提高。

（2） CCSDS提出了安全核心套件模式，這提高了針對(duì)特定任務(wù)安全需求的安全系統(tǒng)兼容能力，對(duì)空間信息系統(tǒng)安全策略和動(dòng)態(tài)安全機(jī)制設(shè)計(jì)是一個(gè)很好的支持。

（3） CCSDS在安全系統(tǒng)協(xié)議應(yīng)用方面，從物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和應(yīng)用層四個(gè)層次討論了數(shù)據(jù)安全保護(hù)，并對(duì)安全實(shí)施方法給出了建議，但在基于信息屬性的空間信息安全方面還沒(méi)有深入討論和明確建議，這方面的研究值得進(jìn)一步探討。

（4） CCSDS針對(duì)氣象衛(wèi)星、載人航天器、通信衛(wèi)星、科學(xué)試驗(yàn)衛(wèi)星、導(dǎo)航衛(wèi)星分析，給出了密鑰管理需求和技術(shù)標(biāo)準(zhǔn)，其思路值得參考引用。

（5） CCSDS在近幾年對(duì)空間任務(wù)中加密算法和消息驗(yàn)證/完整性算法等給出了明確的推薦標(biāo)準(zhǔn)，CCSDS建議采用AES加密算法、DSA數(shù)字簽名算法和HMAC消息驗(yàn)證碼。CCSDS在安全技術(shù)方面的篩選方法值得我們借鑒。

參考文獻(xiàn)：

[1] CCSDS. 350.0-G-2 The Application of CCSDS Protocols to Secure Systems [S]. Green Book， Issue 2. Washington， D.C.： CCSDS， January 2006.

[2] CCSDS. 351.0-R-1 Security Architecture for Space Data Systems [S]. Red Book， Issue 1. Washington， D.C.： CCSDS， April 2011.

[3] CCSDS. 350.1-G-1 Security Threats against Space Missions [S]. Green Book， Issue 1. Washington， D.C.： CCSDS， October 2006.

[4] CCSDS. 355.0-R-2 CCSDS Space Data Link Security Protocol [S]. Red Book， Issue 2. Washington， D.C.： CCSDS， February 2012.

[5] CCSDS. 713.5-B-1 Space Communications Protocol Specification （SCPS） - Security Protocol （SCPS-SP） [S]. Blue Book， Issue 1. California： CCSDS， May 1999.

[6] CCSDS. 350.2-G-1 Encryption Algorithm Trade Survey [S]. Green Book， Issue 1. Washington， D.C.： CCSDS， March 2008.

[7] CCSDS. 350.3-G-1 Authentication/Integrity Algorithm Issues Survey [S]. Green Book， Issue 1. Washington， D.C.： CCSDS， March 2008.

[8] CCSDS. 350.6-G-1 Space Missions Key Management Concept [S]. Green Book， Issue 1. Washington， D.C.： CCSDS， November 2011.

[9] CCSDS. 350.7-G-1 Security Guide for Mission Planners [S]. Green Book， Issue 1. Washington， D.C.： CCSDS， October 2011.

【通聯(lián)編輯：代影】