水下聲吶通信安全研究

吳 暉，翟月琛，張東鑰

（中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所，北京100083）

0 引言

21世紀(jì)以來(lái)，人類(lèi)對(duì)海洋資源的開(kāi)發(fā)利用以及海洋權(quán)益日益重視。海洋資源的勘探與開(kāi)發(fā)、海洋環(huán)境監(jiān)測(cè)、軍事對(duì)抗等現(xiàn)代海洋高新科學(xué)技術(shù)已成為各海洋大國(guó)研究的重要領(lǐng)域[1-2]。任何海洋技術(shù)的應(yīng)用都離不開(kāi)對(duì)海洋數(shù)據(jù)的采集與傳輸，水聲是海洋中無(wú)線信息傳輸?shù)闹饕夹g(shù)手段[3]。水聲通信及網(wǎng)絡(luò)可靈活地應(yīng)用于不同的速率載荷、覆蓋距離、水體深度、網(wǎng)絡(luò)結(jié)構(gòu)的情景，實(shí)現(xiàn)水下不同空間位置多個(gè)通信節(jié)點(diǎn)間的信息交互[4]。水聲通信即水下聲吶通信，由最初的水下聲吶探測(cè)衍生，現(xiàn)為水下聲吶通信探測(cè)一體化設(shè)備?，F(xiàn)階段，其通信種類(lèi)向多方向發(fā)展，有水下組網(wǎng)、潛漂標(biāo)探測(cè)、遙控遙測(cè)等[5]。

水下聲吶通信具有傳輸速率低、誤碼率高、延遲高、信道窄等缺陷，特別容易遭受惡意攻擊。因此，水下通信安全是一個(gè)不容忽視的重要問(wèn)題，特別在軍事應(yīng)用方面，保證通信安全更是需要首先考慮的問(wèn)題[6]。盡管目前針對(duì)水聲通信安全問(wèn)題的研究仍處于起步階段，但越來(lái)越多的研究人員意識(shí)到安全問(wèn)題的重要性，開(kāi)展了相應(yīng)的研究工作。文獻(xiàn)[7]重點(diǎn)介紹了水下無(wú)線傳感器網(wǎng)絡(luò)的安全要求、威脅模型以及需要解決的安全問(wèn)題；文獻(xiàn)[8]重點(diǎn)研究了AES加密算法和輕量級(jí)遙控?zé)o人潛水器的軟硬件設(shè)計(jì)，給出了水下環(huán)境數(shù)據(jù)采集及加密傳輸?shù)臏y(cè)試結(jié)果；文獻(xiàn)[9]提出了一種基于橢圓曲線的密鑰管理方案和一種基于混沌理論的分組加密算法，并對(duì)算法的抵抗攻擊能力和資源消耗情況進(jìn)行了分析，驗(yàn)證了對(duì)水下通信網(wǎng)絡(luò)的適用性；文獻(xiàn)[10]提出了一組新的8-bit S盒設(shè)計(jì)，新S盒不僅提供強(qiáng)大的加密標(biāo)準(zhǔn)，還針對(duì) TI進(jìn)行了優(yōu)化；文獻(xiàn)[11]總結(jié)了輕量級(jí)分組密碼算法的設(shè)計(jì)準(zhǔn)則與目標(biāo)，并給出設(shè)計(jì)軟件輕量化或硬件輕量化算法的一些指導(dǎo)性思想。

本文針對(duì)水下聲吶通信系統(tǒng)安全防護(hù)等級(jí)較弱的現(xiàn)狀，根據(jù)水聲通信特點(diǎn)，分析了水下密碼裝備的發(fā)展趨勢(shì)。然后，從保護(hù)數(shù)據(jù)機(jī)密性角度出發(fā)，設(shè)計(jì)了一型密碼樣機(jī)和一種輕量級(jí)密碼算法，用于水下聲吶通信安全技術(shù)的演示驗(yàn)證，為未來(lái)水聲通信系統(tǒng)配備密碼系統(tǒng)奠定研究基礎(chǔ)。

1 水下聲吶通信系統(tǒng)

現(xiàn)水聲通信設(shè)備主要分為三類(lèi)[12]，分別為：

（1）水聲通信一體化平臺(tái)：從人機(jī)交互界面到信號(hào)發(fā)聲裝置（換能器）集成一體，具有探測(cè)、語(yǔ)音和電報(bào)功能。

（2）水下潛標(biāo)：分為電子組（信號(hào)處理）、傳感器組和電池組，具有探測(cè)、信息傳送、節(jié)點(diǎn)組網(wǎng)等功能。

（3）水下modem：獨(dú)立聲吶設(shè)備，外供電，通過(guò)422串口完成數(shù)據(jù)收發(fā)。

目前，這些水下裝備沒(méi)有密碼系統(tǒng)防護(hù)，信息安全無(wú)法保證[13]。未來(lái)水聲通信必須將密碼系統(tǒng)設(shè)計(jì)考慮其中，并一同考量，這也是國(guó)家海洋戰(zhàn)略規(guī)劃論證提出的重點(diǎn)問(wèn)題。整個(gè)密碼系統(tǒng)由終端密碼機(jī)和密鑰分發(fā)設(shè)備組成，對(duì)水下通信系統(tǒng)的控制信道和業(yè)務(wù)信道同時(shí)進(jìn)行保護(hù)，實(shí)現(xiàn)信息化密碼保障，如圖 1所示。

圖1 水下通信安全保密分系統(tǒng)示意圖

水下密碼裝備發(fā)展趨勢(shì)[14]：

（1）小型化、低功耗

水下無(wú)人潛艇、浮標(biāo)站等裝備平臺(tái)，需要密碼裝備小型化和低功耗，嵌入到裝備的通信單元中，能夠長(zhǎng)時(shí)間自主工作，為設(shè)備提供數(shù)據(jù)存儲(chǔ)和傳輸?shù)陌踩Ｃ芊雷o(hù)。

（2）無(wú)人值守、防丟失

水下裝備（除有人潛艇外）的最大特點(diǎn)是可控距離近、境外使用或者長(zhǎng)時(shí)間無(wú)人看管，丟失風(fēng)險(xiǎn)大，密碼裝備的抗丟失和無(wú)人值守設(shè)計(jì)尤為重要。

（3）密碼算法輕量設(shè)計(jì)、密碼保障簡(jiǎn)單化設(shè)計(jì)

水下無(wú)線通信帶寬窄，通信速率受水下復(fù)雜環(huán)境影響大，通信距離近、速率慢。水下密碼裝備要適應(yīng)水下通信的特點(diǎn)，密碼算法要輕量設(shè)計(jì)，且滿足水域范圍大、不易保障的特點(diǎn)，做到設(shè)備可丟失，丟失后對(duì)整個(gè)密碼系統(tǒng)無(wú)影響。

（4）智能化

水下裝備的發(fā)展趨勢(shì)是無(wú)人化、智能化，密碼裝備作為保障水下裝備通信安全的設(shè)備，也需要智能化設(shè)計(jì)，以滿足水下智能化要求，以及密碼裝備自身的智能化安全防御增強(qiáng)等。

2 水下聲吶通信密碼樣機(jī)設(shè)計(jì)

在前述背景下，現(xiàn)以水下modem為例設(shè)計(jì)一型密碼樣機(jī)，用于水下聲吶通信安全的演示驗(yàn)證。系統(tǒng)采用信源端進(jìn)行信息加密，加密后由通信系統(tǒng)處理發(fā)送，解密反向同理。通過(guò)加密、鑒別等密碼保密技術(shù)手段，為水聲通信系統(tǒng)傳送的各種業(yè)務(wù)信息提供完善的密碼保密功能。

2.1 硬件設(shè)計(jì)

密碼樣機(jī)主要由電源處理單元、CPU、DDR2接口電路、Flash接口電路、實(shí)時(shí)時(shí)鐘電路以及4路串口通信電路等組成，如圖2所示。模塊外接12 V電源，電源處理單元將12 V電源轉(zhuǎn)換為模塊所需電壓。CPU（神州龍芯GSC3280）最小系統(tǒng)為核心處理單元，負(fù)責(zé)加解密處理及密鑰的注入、銷(xiāo)毀等功能。4路RS232串口用于密碼模塊的調(diào)試、資源注入、管控指令收發(fā)以及業(yè)務(wù)數(shù)據(jù)收發(fā)等功能。密碼樣機(jī)在硬件設(shè)計(jì)上合理選型與布局，元器件國(guó)產(chǎn)化率達(dá)100%。

圖2 密碼樣機(jī)硬件框圖

2.1.1 電源處理單元

電源處理單元為整個(gè)模塊提供3.3 V、1.8 V、1.2 V三種電壓，如圖3所示。采用上海貝嶺BL8033實(shí)現(xiàn)12 V轉(zhuǎn) 3.3 V，再利用中電58所的JPC62065實(shí)現(xiàn) 3.3 V轉(zhuǎn) 1.8 V、3.3 V轉(zhuǎn) 1.2 V，滿足 3.3 V電源先于1.2 V電源上電的時(shí)序要求。這兩款芯片的優(yōu)勢(shì)在于：寬電壓輸入范圍；電源轉(zhuǎn)化效率高，均在90%以上；超小封裝，節(jié)省布板面積；寬工作溫度范圍，具有較好的環(huán)境適應(yīng)性。

圖3 電源處理單元框圖

2.1.2 Flash接口電路

Nor Flash和Nand Flash的硬件原理如圖4所示。利用GSC3280芯片的SPI1接口拓展一片16 MB容量的 Nor Flash，作為系統(tǒng) Boot、內(nèi)核以及文件系統(tǒng)的存儲(chǔ)單元，芯片采用兆易創(chuàng)新GD25Q128CSIGR。利用GSC3280芯片的SPI0接口拓展一片512 MB容量的Nand Flash，作為用戶(hù)數(shù)據(jù)文件的存儲(chǔ)單元，芯片采用兆易創(chuàng)新GD5F4GQ4UCYIGR。

圖4 Flash硬件原理圖

2.1.3 RS232接口電路

利用 GSC3280芯片的 uart0、uart2、uart3和 uart7，外接 2片電平轉(zhuǎn)換芯片（深圳國(guó)微 SM3232），構(gòu)成四路RS232串口，分別用作調(diào)試、資源注入、管控指令收發(fā)以及業(yè)務(wù)數(shù)據(jù)收發(fā)，RS232硬件原理如圖5所示。

圖5 RS232硬件原理圖

2.2 軟件設(shè)計(jì)

密碼樣機(jī)軟件采用分層模塊化設(shè)計(jì)，遵循“高內(nèi)聚、低耦合”原則，以提高軟件模塊的獨(dú)立性和可繼承性。密碼樣機(jī)軟件架構(gòu)主要包括通信層和服務(wù)層，如圖6所示。通信層實(shí)現(xiàn)樣機(jī)對(duì)外基本通信功能，包括業(yè)務(wù)通信接口模塊、管理控制接口模塊、注入接口模塊、銷(xiāo)毀接口模塊以及硬件設(shè)備驅(qū)動(dòng)模塊等。服務(wù)層實(shí)現(xiàn)樣機(jī)的主要功能，包括主控、系統(tǒng)運(yùn)行維護(hù)、管理服務(wù)和加密服務(wù)等模塊。

圖6 嵌入式軟件架構(gòu)

2.2.1 通信協(xié)議

通信系統(tǒng)調(diào)用密碼樣機(jī)實(shí)現(xiàn)各類(lèi)業(yè)務(wù)信息加解密，為提高數(shù)據(jù)傳輸正確性，采用幀結(jié)構(gòu)來(lái)降低數(shù)據(jù)包在傳輸過(guò)程中的誤碼率。水下聲吶通信安全演示驗(yàn)證階段的數(shù)據(jù)包采用變長(zhǎng)消息格式設(shè)計(jì)，擬定的幀結(jié)構(gòu)如表1所示。

表1 數(shù)據(jù)幀格式

2.2.2 工作流程設(shè)計(jì)

軟件啟動(dòng)后，首先進(jìn)行必要變量、密碼資源以及設(shè)備接口的初始化工作。然后，創(chuàng)建三個(gè)并行線程，即注入線程、管控線程和業(yè)務(wù)線程。注入線程實(shí)現(xiàn)密碼資源注入與密存，管控線程實(shí)現(xiàn)自檢、入網(wǎng)管理、資源銷(xiāo)毀等管控功能，業(yè)務(wù)線程實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)加解密。本文主要對(duì)水聲通信業(yè)務(wù)數(shù)據(jù)加密傳輸進(jìn)行演示驗(yàn)證，故此處主要介紹業(yè)務(wù)線程工作流程，如圖7所示。主要有以下步驟：（1）對(duì)接收到的業(yè)務(wù)幀做合法性校驗(yàn)；（2）判斷合法幀是明文還是密文，若是明文，則調(diào)用算法進(jìn)行加密，若是密文，則調(diào)用算法進(jìn)行解密；（3）對(duì)加密/解密后的數(shù)據(jù)重新組幀發(fā)送給宿主設(shè)備。

圖7 業(yè)務(wù)線程工作流程圖

2.2.3 輕量級(jí)密碼算法

針對(duì)水下無(wú)線通信帶寬窄，通信速率受水下復(fù)雜環(huán)境影響大，通信距離近、速率慢，資源有限且不易保障等特點(diǎn)，研究輕量級(jí)密碼算法，為水下通信提供全方位保障。該算法整體上采用Feistel結(jié)構(gòu)，分組長(zhǎng)度為 128 bit，密鑰長(zhǎng)度為 256 bit[15]，結(jié)構(gòu)如圖8所示。輕量級(jí)密碼算法按以下步驟運(yùn)行：（1）將輸入分為左右兩個(gè)64 bit分支，分別異或子密鑰；（2）每一分支分別進(jìn)行ROUND2變換，也就是兩輪SP結(jié)構(gòu)的ROUND函數(shù)變換，然后將左分支異或到右分支上，再交換左右分支的位置，此為一步操作，共循環(huán)10步（第10步每一分支上進(jìn)行的為ROUND2-FINAL操作，且無(wú)左分支向右分支異或操作）。

圖8 算法整體加密結(jié)構(gòu)圖

本文采用的輕量級(jí)分組密碼算法代碼量?jī)H6.1 KB，且可通過(guò)算法庫(kù)文件的替換/調(diào)用實(shí)現(xiàn)算法重構(gòu)。經(jīng)過(guò)理論與實(shí)驗(yàn)分析，在輪數(shù)達(dá)到算法總輪數(shù)的2/3時(shí)，單條差分特征的差分概率≤2-128。在輪數(shù)達(dá)到算法總輪數(shù)的2/3時(shí)，單條線性特征的線性相關(guān)度≤2-64。算法能夠抵抗差分攻擊、線性攻擊、不可能差分攻擊和零相關(guān)線性攻擊等密碼攻擊。加解密算法能夠通過(guò)完全性和擴(kuò)散性檢測(cè)。

3 測(cè)試與驗(yàn)證

針對(duì)水下數(shù)據(jù)加密傳輸?shù)囊?，以及?duì)輕量級(jí)分組密碼算法的驗(yàn)證需要，在實(shí)驗(yàn)室環(huán)境下搭建水下聲吶通信安全演示驗(yàn)證平臺(tái)，實(shí)物效果如圖9所示。

圖9 水下聲吶通信安全演示驗(yàn)證平臺(tái)

系統(tǒng)主要由2個(gè)水下modem、2部密碼樣機(jī)、1臺(tái)調(diào)試單機(jī)和若干直流電源組成，工作流程與連接關(guān)系如圖10所示。

圖10 系統(tǒng)工作流程與連接關(guān)系

測(cè)試時(shí)，水下 modem功率設(shè)置為“-30”（對(duì)應(yīng)發(fā)射聲源級(jí)為 153 dB），通信速率設(shè)置為 39 b/s。發(fā)送端輸入962個(gè)隨機(jī)字符，調(diào)用密碼樣機(jī)進(jìn)行加密，然后由發(fā)送端modem將加密后的信息發(fā)送出去。結(jié)果顯示：加密該字符串信息共耗時(shí)70 ms，平均加密速率107 kb/s。接收端modem接收到密文后，若不調(diào)用密碼樣機(jī)進(jìn)行解密，則無(wú)法獲取真實(shí)信息。結(jié)果顯示為亂碼。此時(shí)，接收端必須調(diào)用密碼樣機(jī)對(duì)密文進(jìn)行反向解密，才能還原真實(shí)信息，結(jié)果顯示：原始信息為962個(gè)字符，與輸入端字符串完全一致，解密共耗時(shí) 70 ms，平均解密速率107 kb/s。

演示驗(yàn)證時(shí)，還對(duì)密碼樣機(jī)在線資源銷(xiāo)毀功能進(jìn)行了測(cè)試，結(jié)果完全符合預(yù)期，本文不做詳述。

4 結(jié)論

本文針對(duì)水下通信系統(tǒng)沒(méi)有密碼系統(tǒng)的現(xiàn)狀，考慮水下通信特點(diǎn)，研制了一型密碼樣機(jī)，用于水下聲吶通信安全技術(shù)的演示驗(yàn)證。從驗(yàn)證結(jié)果來(lái)看，采用輕量級(jí)分組密碼算法的密碼樣機(jī)保證了水下modem的通信安全，且滿足通信速率要求。這在一定程度上為今后的水下通信網(wǎng)絡(luò)安全研究奠定了基礎(chǔ)，下一步將利用此平臺(tái)對(duì)水下信息安全防護(hù)技術(shù)做進(jìn)一步研究，包括低功耗、小型化、水下組網(wǎng)以及防打撈智能銷(xiāo)毀等。