空間信息安全規(guī)范發(fā)展研究

殷明

摘要：論文針對CCSDS（空間數據系統咨詢委員會）標準中信息安全規(guī)范進行了詳細調研，對CCSDS空間信息系統安全規(guī)范的最新進展和主要問題進行了總結和提煉，并對我國如何引用CCSDS空間信息安全規(guī)范來提升我國空間信息系統的安全進行了分析。

關鍵詞： 空間信息安全;CCSDS標準;安全規(guī)范

中圖分類號：TP391? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2020）02-0040-07

Abstract： In this paper， according to information security specifications in the CCSDS standards， we summarize the evolution and several important issues of security specifications. To improve the security of space information systems for our country， the usage of the CCSDS space information security specifications is analyzed.

Key words： space information security; CCSDS standards; security specification

1 概述

隨著通信技術和信息技術的發(fā)展，世界各國都已經開展6G通訊技術研究，6G網絡將是一個地面無線與衛(wèi)星通信集成的全連接世界。通過將衛(wèi)星通信整合到6G移動通信，實現全球無縫覆蓋，網絡信號能夠抵達任何一個偏遠的地區(qū)。在這個開放空間通信系統里，數據安全一直受到重點關注，特別是在數據系統設計和任務實施中，數據安全更占有舉足輕重的地位。

空間數據系統咨詢委員會（The Consultative Committee for Space Data Systems，CCSDS）是一個以美國宇航局（National Aeronautics and Space Administration，NASA）和歐洲航天局（European Space Agency，ESA）為主體，由多國空間組織共同組成的國際性標準化組織。自1982年以來，CCSDS一直致力于空間數據系統的標準化工作，制定標準化的通信體系結構、通信協議與業(yè)務。三十多年來，CCSDS推出了一整套技術建議書，并且其中一部分已經直接轉化為國際標準化組織的正式國際標準。CCSDS標準不僅為實現開放互連的國際空間數據系統網奠定了技術基礎，而且還反映了世界空間數據系統的最新技術發(fā)展動態(tài)。該組織的宗旨是通過技術協商方式，建立一整套空間數據系統的標準，以便實現廣泛的國際合作和相互支持。

為了應對空間數據通信中所面臨的安全問題，CCSDS已經專門成立了一個安全工作組（CCSDS Security Working Group），該小組主要從事安全指南和安全標準的制定工作，以及為CCSDS其他工作組提供有關安全方面的建議和指導。到目前為止，CCSDS安全工作組已經頒布了十余本空間數據安全方面的藍皮書和綠皮書，內容主要涵蓋了空間數據安全的如下方面：空間數據安全需求和安全威脅、空間數據系統的安全體系結構、安全協議、密鑰管理、密碼算法和身份驗證/完整性算法設計等[1]-[9]。安全工作組還在進一步完善對空間數據安全的標準制定工作，如空間數據安全通信協議、對稱密鑰管理規(guī)范和CCSDS安全算法設計等。

2 CCSDS空間任務安全威脅

在2006年CCSDS頒布的空間任務安全威脅綠皮書（CCSDS 350.1-G-1）[3]中，根據空間任務安全需求對空間任務系統所面臨的安全威脅類型和具體的空間任務安全威脅進行了分析。

對空間任務系統的威脅包括：空間數據損壞、地面系統的物理攻擊、空間數據竊聽、數據阻塞攻擊、偽裝攻擊、重放攻擊、軟件威脅和非授權訪問。CCSDS空間任務威脅可以分為主動威脅和被動威脅兩類。

典型主動威脅類型有通信系統擁塞（DoS攻擊）、非授權系統訪問、可信數據包重放、偽裝成合法實體、軟件脆弱點掃描、非授權數據修改、惡意軟件等。典型的被動威脅有通信鏈路竊聽、軟件脆弱性探測、流量分析等。被動式威脅一般不會導致系統中信息的改動，系統自身將不受影響。這類危害一般是數據機密性的喪失。主動式攻擊將帶來對信息的更改或對系統操作狀態(tài)惡意的改變。主動式威脅通過破壞數據的完整性或降低系統的可用性來損壞數據通信系統的信息。

CCSDS 350.1-G-1中針對不同類型的空間任務進行了安全威脅分析。任務類型主要包括：載人航天器、氣象衛(wèi)星（LEO和GEO）、通信衛(wèi)星（LEO和GEO）、科學任務和導航衛(wèi)星。表 1給出了通信衛(wèi)星的安全威脅分析。如圖 1所示，顯示了通信鏈路體系結構中不同鏈路節(jié)點可能面臨的安全威脅。

3 CCSDS空間數據系統安全體系結構

目前，CCSDS正在對空間數據系統安全體系結構規(guī)范進行評審和修訂。在2011年公布的體系結構草案（CCSDS 351.0-R-1）[2]中，根據CCSDS體系結構工作組（CCSDS Architecture Working Group）所提出的空間數據系統參照架構（Reference Architecture for Space Data Systems，RASDS）設計一個空間數據系統安全參照架構（Security Reference Architecture for Space Data Systems，SASDS）。利用SASDS，（1）建立一個完整的CCSDS概念框架，將安全與空間任務數據系統相結合;（2）定義一種通用的語言和描述方法，描述空間數據系統中的安全問題（風險、需求和解決方法）;（3）為空間任務系統的安全設計提供一個信息源;（4）有利于其他標準的制定。

3.1 CCSDS安全參照架構

3.1.1 企業(yè)視圖

企業(yè)視圖的安全性主要包括安全策略和組織間的信任兩個方面，特別是那些需要交互支持和互操作的機構。在開發(fā)一個空間任務時，可能需要許多組織共同參與。為了確保所設計的安全方法在不同組織間的一致性，需要建立一種安全策略用來解釋高層的安全需求、角色和任務職責。由主代理提出網絡安全要求，其他代理機構連接其網絡時，必須遵循這些安全要求。所有這些接口和安全要求必須在代理間的合同或服務協議中被明確。

安全體系結構需要考慮兩種截然不同的信任關系：（1）所有機構相互信任（至少在一個系統級），整個系統的安全性由最弱的機構確定，且風險與相關聯系統有關。（2）機構不完全互相信任，有關注基礎設施和關注數據兩種交互方法。

組織間關系類型會影響他們相互作用的性質和確保安全的方式。企業(yè)視圖的任務結構能揭示需要開發(fā)什么安全策略，識別哪些信任關系是假象。

如圖 2所示，一個機構對另一機構進行網絡遙測、跟蹤和控制（Telemetry Tracking and Control，TT&C）。主代理可能的網絡安全要求，其他代理機構連接其網絡時必須遵循。此外，該機構提供測控支持服務，也可能獲取任務數據，作為方案補償的一部分（如圖2例中的科學團隊）。應該定義和記錄這些接口和技術數據交換點;協議應建立對他們的管理和實現（如安全機制相關的接入控制、認證和機密性的使用）。

3.1.2 連接視圖

連接視圖反映執(zhí)行太空任務的數據網絡物理節(jié)點的位置以及節(jié)點間的通訊關系，如圖 3所示。

應用通信鏈路的任何安全增強系統必須能夠處理通信中斷、不對稱通信、通信速度和通信質量等問題。如占用現有可用通信資源的90%或在軌CPU絕大多數時鐘周期的安全系統一定不會被采用。

使用連接視圖可對任務的功能和性能進行完全分析時，從而允許任務規(guī)劃者可考慮這諸多因素，并選用恰當的安全方法。

從連接視圖的系統分析，可以找到通信網絡的防護要點，從而很好地部署網關和邊界設備等網絡工具。

考慮連接視圖安全時，從飛船回送數據的所有環(huán)節(jié)的風險都要考慮，包括中間節(jié)點及通信鏈路，如中繼星、地面站、WAN、空間鏈路、任務控制、載荷控制和終端用戶系統。可能存在的安全風險有：射頻信號的干擾;竊聽;信號丟失（無論是否是預期的）;使用地面系統連接的開放網絡。

3.1.3 功能視圖

功能視圖定義了系統的功能，它是任務生命周期的第一個視圖，因為在任務設計之初就應考慮其安全性，這可以節(jié)省大量時間和物資開銷。

安全體系的功能視圖設計應在任務功能體系設計之后隨即進行，因為安全體系就是描述任務功能模塊間及與外部系統之間如何交互以滿足系統安全需求。

安全功能視圖將記錄諸如連接訪問控制、密鑰管理、功能和邏輯安全邊界等的安全控制，如物理邊界、防火墻的部署。

圖 4提供了一個任務的功能結構和其在系統分配的物理節(jié)點。這些分配將完成，以滿足任務目標和設計，并且可以選擇作為一個設計權衡的結果。諸如無人駕駛組件（例如地面?zhèn)鞲衅髡镜淖饔茫┗蚺c外部實體的聯系特征在系統安全設計中需要特殊考慮，包括訪問控制如何管理和共享資源如何管理。

3.1.4 信息視圖

信息安全控制系統內的數據如何保護，數據如何存儲，以及系統功能元素間如何傳輸，這在信息安全視圖上有體現，如圖 5所示。

需要考慮的重要問題是航天器的遙控和數據隱私問題。信息視圖設計必須考慮航天器（或地基設施）怎樣能驗證命令的來源合法性，并詳細討論數據的機密性如何管理。

針對以下安全服務，從信息視圖考察系統風險：可驗證性;機密性;完整性;可用性;不可抵賴性。

3.1.5 通信視圖

通信視圖描述了支持系統網絡節(jié)點間通信的分層協議，如所示。從安全角度來說，這有助于描述不同的通信安全機制如何適用于整體通信棧架構。

利用通信視圖的安全分析將考慮元素之間如何通信，從而決定在任務中使用CCSDS安全架構的哪些部分，以及部署安全棧的哪些層。

根據任務的安全需求，通信鏈路安全可能應用于一個或多個層上。應用層加密可使應用數據安全，但使通信棧的其余部分都以明文形式進行操作;網絡層加密將有效加密用戶和目標應用程序之間端到端的數據流;如果任務需求和物理部署可行，也可以對空間或地面單一鏈路進行加密。在這些例子中，網路和鏈路參數以明文傳輸，僅數據內容受保護。在一些任務配置中，需要更高層次的安全，如保護所有路由信息以防流量分析或應用物理層加密。

3.2 安全核心套件模式

一個安全核心套件如圖 7所示。由于航天器的安全配置很靈活，因此如果在運行期間威脅發(fā)生變化則安全服務也應隨之改變。例如，火星任務處于地球軌道運行階段和試航測試階段，會面臨某些特定的威脅。而當其處于巡航和在站階段時，威脅形式會發(fā)生改變。因此當威脅形式發(fā)生變化時，使用可變更的安全架構能夠提高通信效率。

上層（例如網絡層和應用層）可提供端到端的安全服務。在應用層，提供終端節(jié)點上對等應用程序間的安全服務，該服務可以通過某些加密函數來實現。在網絡層，提供終端系統間的安全服務，該服務可以通過利用安全網關來實現。在數據鏈路層，提供跳到跳或者鏈路到鏈路的安全服務，該服務可以在通信設備或子系統上實現。

根據不同任務需要提供特定的安全需求。CCSDS安全核心套件已經實施，但也實施了其他兩個安全套件，一個是任務機構所授權的，另一個是對這個任務所特有的。通過使用額外的數據鏈接層和有效載荷的安全機制來擴展其具體任務的安全套件。這體現了CCSDS安全架構的兼容性。

4 CCSDS安全系統協議應用

CCSDS頒布的有關空間系統安全協議的規(guī)范有CCSDS安全系統協議應用（350.0-G-2）[1]、空間通信協議規(guī)范安全協議（SCPS-SP）部分（713.5-B-1 Cor. 1）[5]和空間數據鏈路安全協議（355.0-R-1）[4]。如圖 8所示，利用空間鏈路參照模型描繪了一個完整的空間任務數據系統安全體系結構。該模型列出了一些可利用的CCSDS協議，以及四個可以實施安全保護的位置。這四個安全保護實施點包括：物理層、數據鏈路層、網絡層和應用層。

如果任務需要，安全保護也可以在其他層實施（如運輸層）。但是，CCSDS只考慮以上四個安全保護實施位置，因為這樣可以滿足大部分的任務需求。在圖 8中并未列出所有的CCSDS協議。

如圖 8所示，不同的安全服務可能在航天器通信系統的不同層進行實施，并且在特定任務的數據系統中并非需要對所有層都提供安全服務。下面分別對各個層上的CCSDS安全實施進行闡述。

4.1 塊加密（Bulk Encryption）

塊加密為通信系統中的所有數據（結構）提供機密性保護。它在物理層實施，提供最高級別的點到點數據機密性保護，亦稱為“鏈路加密”。但是這并不是指在鏈路層而是在物理鏈路層對數據進行加密。

任務如果采用CCSDS推薦標準，塊加密則表示對整個物理層數據結構單元進行加密。對于遙控指令數據來說，表示加密指令鏈路傳輸單元（Command Link Transmission Unit，CLTU）。對于遙測數據來說，表示加密信道訪問服務數據單元（Channel Access Service Data Unit，CA_SDU）。對于高級在軌系統（Advanced Orbiting Systems，AOS）數據來說，表示加密物理信道訪問協議數據單元（Physical Channel Access Protocol Data Unit，PCA_PDU）。

同樣地，可以利用一些技術例如擴頻技術（直接序列和跳頻）來消除物理層數據攔截和阻斷，稱其為傳輸安全（TRANSEC）。

圖 9給出了塊加密在物理層上各種協議數據結構單元中的具體實現。

4.2 數據鏈路安全

目前，CCSDS正在制定空間數據鏈路安全協議規(guī)范（355.0-R-2）。CCSDS數據鏈路安全的實施位置如圖 10所示，它可以依據數據類型提供對TM、TC和AOS數據的加密和認證保護。

4.3 網絡層安全

4.3.1 SCPS-SP

SCPS-SP的結構如圖 11所示。該協議添加了（最小）8比特的明文頭部、附加的（最小）8比特的受保護頭部、上層協議數據單元（SCPS傳輸協議）的可變長度ICV。除明文頭部以外，其他數據將被加密，所采取的加密由系統定義。由于明文頭部未被加密，攻擊者能夠分析而獲得相互通信的實體，而無須知道通信內容（亦被稱為流量分析）。可以通過利用鏈路層加密、擴頻/跳頻技術來避免流量分析攻擊。

4.3.2 空間分組協議安全

空間分組層安全的基本思想如圖 12所示。應用層數據將被加密，可選的次級頭部也可能被加密。系統低層協議的其他數據域均不被加密。

值得注意的是如果某些任務需要提供空間鏈路上數據包的安全，那么需要在數據包頭部添加一個應用處理標識（Application Process Identifier，APID）用來區(qū)分密文數據包和明文數據包。

4.4 應用層安全

安全服務可以在應用層實施，因此如果空間任務使用的是空間分組協議，那么機密性、完整性和認證服務的實施與上述空間分組安全一樣。然而，通過利用運輸層安全（Transport Layer Security，TLS）技術（也稱為安全套接字層，Secure Socket Layer，SSL），每個單獨應用可以獨立地實施安全服務。首先，應用層服務的使用不需要任何較低層提供安全保護。此外，每個應用需要單獨地實施安全機制以提供安全服務，而不是利用較低層所提供的安全服務。較低層的安全服務能夠為所有的應用提供安全服務。

另一個在應用層實現的重要的安全服務是訪問控制。可以利用安全訪問授權數據庫實現訪問控制。被認證的實體才能獲得訪問控制授權許可。

4.5 CCSDS安全協議的組合實施

為了滿足特定空間任務的需求，通常需要將上述的CCSDS安全實施方法結合使用。安全服務可能在任務數據系統的多個層中同時進行實施。

高安全等級的任務可能需要同時實施網絡層安全和較低層的安全，如圖 13所示。通過實現網絡層安全以提供端到端的數據保護，特別是當數據通過地面網傳輸時。當低層安全操作僅在空間鏈路層實施時，是為了防止地面到空間段鏈路受到流量分析攻擊。

包括在軌資源和星間通信的空間系統同樣可能采用聯合的安全解決方案。聯合解決方案包括兩部分，在地面-空間鏈路實現鏈路層安全，以及在航天器和地面網的通信鏈路實現網絡層安全。

另一個選擇是將基于地面網的協議與CCSDS協議結合。例如，某個大學的用戶（PI）可能與Internet網絡相連，PI通過利用Internet網絡協議標準（如IP，IPSEC，TCP，HTTP，TLS/SSL）經由CCSDS地面-空間網關同星上設備通信。網關執(zhí)行CCSDS SCPS協議并且能夠在基于地面網協議的會話和基于SCPS協議的會話之間進行轉換。因此PI可以運行一個標準的桌面系統而僅需做小的修改或不需做任何修改（IPSEC需要進行初始配置已建立一個安全地從PI到網關的連接）。桌面系統創(chuàng)建一個安全地到網關的連接意味著創(chuàng)建了一個安全地到航天器的連接。通過這一方式，基于地面網的協議用于Internet網絡和基于空間的協議用于空間鏈路。一種聯合的解決方案如圖 14所示。因此，無須將基于空間的協議安裝于地面系統同樣可以實現端到端的安全。同樣地，即便是空間環(huán)境容許（如足夠大帶寬、持續(xù)覆蓋、充足電能）也無須在空間部署基于地面的協議以實現端到端的安全。

5 CCSDS密鑰管理及安全算法建議

5.1 空間任務中的密鑰管理

2011年CCSDS頒布了空間任務中的密鑰管理綠皮書（350.6-G-1）[8]，它描述了空間任務背景下密鑰管理相關的核心概念，以及具體的針對空間任務的密鑰管理方案。

5.2 密鑰基礎設施

（1） 秘密密鑰基礎設施（SKI）

一個典型的秘密密鑰分層管理方案如圖 15所示，在最底層，利用特定的TPK（通信保護密鑰）實施數據的加密和認證操作;TPK由KEK（關鍵加密密鑰）加密后傳輸給航天器;KEK經Master Key（主密鑰）加密后進行傳輸。

（2） 公鑰基礎設施（PKI）

一個典型的PKI數字證書生成過程如圖 16所示。用戶向最近的RA請求身份驗證，驗證通過后，RA給CA發(fā)送數字證書請求，CA生成密鑰對和用戶證書并進行簽名，用戶接收到數字證書，并且CA將其拷貝到DIR中，當該證書被撤銷時，將其添加到CRL中。

（3） 航天器星座密鑰管理系統

CCSDS根據不同的航天器星座拓撲提供了兩類密鑰管理方案：獨立密鑰管理和完全互聯的星座密鑰管理。如果航天器間的控制相互獨立，并且可以劃分成多個獨立的密鑰管理系統，那么地面站可視為透明路由實體，而非密鑰管理系統的一部分，而星座可以由某個OCC進行集中控制，如圖 17所示。

如果航天器、地面站、OCC和用戶終端是獨立節(jié)點，并且每個節(jié)點組可能需要建立一個密鑰管理關聯，那么可以參考基于Internet的密鑰管理方案，進而設計合適的組密鑰管理協議。

5.3 安全算法建議

2008年CCSDS頒布的綠皮書350.2-G-1[6]和350.3-G-1[7]分別對已有的加密算法和認證算法進行了調研和分析。

CCSDS 350.2-G-1全面考察了13種加密算法，如表 2所示。調研結果顯示，最適合的待選算法是Rijindael算法和Kasumi算法。Kasumi算法主要應用于GSM 3GPP，基于Kasumi算法的應用范圍廣、關注度較窄和對Rijindael算法的應用領域廣、關注度廣的現狀，CCSDS建議采用Rijindael算法（即AES加密算法）。

CCSDS 350.3-G-1考察了數字簽名算法、基于哈希的消息驗證碼算法和基于加密的消息驗證碼算法。各種認證算法的比較如表 3、表 4和表 5所示。

6 結論

通過不斷跟蹤和調研分析CCSDS頒布的空間信息安全相關規(guī)范，可以為我國空間信息系統安全體系建設和安全技術研究提供很好的參考對象。雖然鑒于空間信息系統安全性的要求，其核心安全技術需要獨立研發(fā)，但CCSDS作為國際化組織，其在空間數據系統包括數據安全在內的規(guī)范化規(guī)劃發(fā)展思路是值得我們借鑒的。

（1） CCSDS已經形成了較完整的數據安全體系架構和技術規(guī)范建議，五視圖安全體系架構（企業(yè)視圖、連接視圖、功能視圖、信息視圖和通信視圖）的提出，在可操作性上是一個巨大的提高。

（2） CCSDS提出了安全核心套件模式，這提高了針對特定任務安全需求的安全系統兼容能力，對空間信息系統安全策略和動態(tài)安全機制設計是一個很好的支持。

（3） CCSDS在安全系統協議應用方面，從物理層、數據鏈路層、網絡層和應用層四個層次討論了數據安全保護，并對安全實施方法給出了建議，但在基于信息屬性的空間信息安全方面還沒有深入討論和明確建議，這方面的研究值得進一步探討。

（4） CCSDS針對氣象衛(wèi)星、載人航天器、通信衛(wèi)星、科學試驗衛(wèi)星、導航衛(wèi)星分析，給出了密鑰管理需求和技術標準，其思路值得參考引用。

（5） CCSDS在近幾年對空間任務中加密算法和消息驗證/完整性算法等給出了明確的推薦標準，CCSDS建議采用AES加密算法、DSA數字簽名算法和HMAC消息驗證碼。CCSDS在安全技術方面的篩選方法值得我們借鑒。

參考文獻：

[1] CCSDS. 350.0-G-2 The Application of CCSDS Protocols to Secure Systems [S]. Green Book， Issue 2. Washington， D.C.： CCSDS， January 2006.

[2] CCSDS. 351.0-R-1 Security Architecture for Space Data Systems [S]. Red Book， Issue 1. Washington， D.C.： CCSDS， April 2011.

[3] CCSDS. 350.1-G-1 Security Threats against Space Missions [S]. Green Book， Issue 1. Washington， D.C.： CCSDS， October 2006.

[4] CCSDS. 355.0-R-2 CCSDS Space Data Link Security Protocol [S]. Red Book， Issue 2. Washington， D.C.： CCSDS， February 2012.

[5] CCSDS. 713.5-B-1 Space Communications Protocol Specification （SCPS） - Security Protocol （SCPS-SP） [S]. Blue Book， Issue 1. California： CCSDS， May 1999.

[6] CCSDS. 350.2-G-1 Encryption Algorithm Trade Survey [S]. Green Book， Issue 1. Washington， D.C.： CCSDS， March 2008.

[7] CCSDS. 350.3-G-1 Authentication/Integrity Algorithm Issues Survey [S]. Green Book， Issue 1. Washington， D.C.： CCSDS， March 2008.

[8] CCSDS. 350.6-G-1 Space Missions Key Management Concept [S]. Green Book， Issue 1. Washington， D.C.： CCSDS， November 2011.

[9] CCSDS. 350.7-G-1 Security Guide for Mission Planners [S]. Green Book， Issue 1. Washington， D.C.： CCSDS， October 2011.

【通聯編輯：代影】