本发明专利技术提出一种SCPS-SP多安全等级及抗重放功能的设计方法。首先依据现有的空间通信协议规范-安全协议(SCPS-SP)提出一种多等级安全设计,通过划分不同的安全等级满足用户的不同安全需求;其次提出了一种在SCPS-SP中实现抗重放服务的方法。以上两类设计既满足了空间通信用户多样化的安全需求,也使得用户在进行安全联盟协商时更方便简单,还增加了抗重放功能,避免了用户在中继系统可能遭遇的传输信息被非法用户截获转而重复发送给接收用户,或者对传输信息进行篡改等威胁。
【技术实现步骤摘要】
本专利技术涉及通信安全协议的改进,尤其是空间数据通信的安全协议的改进方法。
技术介绍
目前,空间信息网络通信成为近年来国内研究的热点,天地空一体化网络也是未来网络发展的重要趋势。与地面通信相比,空间通信系统的覆盖范围更广,拓扑结构变化更加频繁,数据在传输过程中更容易受到攻击。因此,提出一种可靠有效的空间通信安全协议是非常有必要和具有现实意义的。我国现有的关于空间通信安全协议是由空间数据系统咨询委员会(CCSDS)提出的空间通信协议规范-安全协议(SCPS-SP),SCPS-SP能够提供一种端到端的安全保护,主要包括完整性保护,身份认证保护,数据机密性保护,它借鉴了地面通信安全协议(IPSec)的保护机制,通过对网络层的数据重新封装组成安全报文(S-PDU)再传送到信道中去来达到安全保护。但是它还有其不足的地方,首先它允许来自下层的头是明文,使得中间系统可以进行中继,但这样做的缺点是被加密的数据有可能被非法用户获得加以非法利用;其次还有一点不足就是在SCPS-SP中定义了安全等级的概念但是没有给出具体的使用标准,使得概念没有得到实际的应用。为了提高空间通信的安全性和可靠性,本专利技术将在IPSec和SCPS-SP的基础上提出一种SCPS-SP多安全等级及抗重放功能的设计方法。
技术实现思路
专利技术目的:为了克服现有SCPS-SP的不足,本专利技术提出了对SCPS-SP的两点改进:①具体化了SCPS-SP中的分等级安全保护概念,将数据的安全保护根据用户的不同服务需求分为A、B、C三等,每一等级还根据采用的算法不同分为三个水平值,用户可以选择自己需要的安全等级来实现通信的保护;②在SCPS-SP现有的服务上增加抗重放功能。为实现本专利技术的目的,其特征包括:①定义安全级别映射,确定每一个安全级别控制的信息,明确SCPS-SP报文头中安全级别标签域的长度;②定义抗重放服务的实施过程,以及SCPS-SP报文中抗重放域的长度和抗重放服务选项标识符的设定。本专利技术的技术方案如下。1、安全等级划分1-1、安全级别映射本专利技术根据能提供的不同服务将安全等级分为A、B、C三类,其中每一类又根据所使用的算法的不同分为三个安全水平,为每一个安全水平赋一个唯一的安全标签值。如附图1,每一个安全等级标签所确定的服务如下:10100001表示A1等级,所使用的安全保护为完整性和认证检测,使用的完整性算法为MD5;10100010表示A2等级,所使用的保护为完整性和认证检测,使用的完整性算法为SHA-1;10100011表示A3等级,所使用的安全保护为完整性和认证检测,使用的完整性算法为MD2;10110001表示B1等级,所使用的安全保护为数据加密,使用的加密算法为AES;10110010表示B2等级,所使用的安全保护为数据加密,使用的加密算法为3DES;10110011表示B3等级,所使用的安全保护为数据加密,使用的加密算法为DES;11000001表示C1等级,所使用的安全保护为认证、完整性检测和加密,使用的算法为AES,MD5;11000010表示C2等级,所使用的安全保护为认证、完整性检测和加密,使用的算法为3DES,SHA-1;11000011表示C3等级,所使用的安全保护为认证、完整性检测和加密,使用的算法为DES,MD2;本专利技术规定的安全等级标签域的长度为8bit,可以提供28个安全等级,而我们定义使用的只有9个,余下的00000000~10100000、10100100~10110000、10110100~11000000、11000100~11111111这些未使用的标签都预留给用户自己根据需要定义使用。1-2、多安全级别在报文中的结构如附图2,将SCPS-SP报文保护头中的安全等级域设定为8bit的长度,从左到右依次为bit7~bit0,其中bit7~bit4用来区分A、B、C三种服务等级,分别表示为A:1010,B:1011,C:1100,bit3~bit0用来区分每一服务等级下的1、2、3三个小等级分别表示为:1:0001,2:0010,3:0011。1-3、多级别安全协商过程在定义了上述安全等级标签之后,我们将所有的安全等级标签及其所代表的服务和算法一同存放在安全联盟数据库(SADB)中,在用户进行SA协商的时候,首先根据自己的安全服务需求向对方发送一个安全等级标签,对方接收到发送过来的标签就确定了此次通信将要使用的安全服务及算法,然后再将需要的参数反馈给发送方,这样就建立起了双方通信所需要的SA。2、抗重放服务2-1、报文结构设计如附图2,在SCPS-SP报文头添加一个32bit的抗重放域存放一个单调递增的序列号,这个序列号在SA创建的时候为0,以后每在这个SA上发送一次数据就加1;除此之外,在SCPS-SP报文保护头的安全选项标识符中还增加了1bit抗重放服务标识符,用来控制抗重放服务功能的使用与否,1表示使用,0表示不使用。2-2、抗重放功能实施过程发送端将SA中的序列号填充在SCPS-SP报文的抗重放域中随着数据报发送出去,而在接收端建立一个长度为64的滑动窗口,最左边序号为N,最右边序号为N+63,接收端对接收到的数据进行以下处理来实现抗重放服务:——如果接收到的报文序列号在滑动窗口内部,就检查是否有接收过这个报文,如果没有则接收此报文,如果有则丢弃此报文;——如果接收到的报文序列号在滑动窗口左侧,直接丢弃;——如果接收到的报文序列号在滑动窗口右侧,直接接收进行其他处理。附图说明图1安全等级划分具体情况示意图;图2改进的SCPS-SP报文格式示意图;图3A、B通信的流程图示意图;图4A、B通信时的S-PDU填充情况示意图。具体实施方式下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的对象。下面通过参考附图描述的实施例是示例性的,仅用于解释本专利技术,而不能理解为对本专利技术的限制。假设现有两个空间用户A和B要进行通信,A作为通信发起方,B作为通信接收方。A和B通信的步骤如下:步骤100:首先建立安全联盟(SA),A向B发送一系列安全等级标签,B接收后选择其中一种,假设B选择的是(11000001)反馈给A,A根据反馈回来的安全等级标签可以得知将要提供的服务(认证,完整,加密)和使用的一些算法<本文档来自技高网...
【技术保护点】
一种SCPS‑SP多安全等级及抗重放功能的设计方法,其特征在于,包括:S1,基于空间通信协议规范‑安全协议(SCPS‑SP),提出一种分等级的多级安全报文设计及协商流程;S2,在SCPS‑SP中增加了一种抗重放功能,提出一种抗重放功能的报文设计及实施过程。
【技术特征摘要】
1.一种SCPS-SP多安全等级及抗重放功能的设计方法,其特征在于,包括:
S1,基于空间通信协议规范-安全协议(SCPS-SP),提出一种分等级的多级
安全报文设计及协商流程;
S2,在SCPS-SP中增加了一种抗重放功能,提出一种抗重放功能的报文设
计及实施过程。
2.根据权利要求1所述的一种SCPS-SP多安全等级及抗重放功能的设计方
法,其特征在于,所述S1中分级安全保护方法包括:
S1-1,安全等级的划分,根据用户对安全需求的不同,将安全等级划分为A、
B、C三个等级,分别区分所能提供的不同的安全服务,然后在每一个等级之下
又划分三个小等级1、2、3分别代表在服务中使用的不同算法;
S1-2,安全联盟的协商,在用户选择了S1-1中确定等级的安全策略后,系
统根据用户所选的安全策略进行安全联盟的协商。
3.根据权利要求2所述的一种SCPS-SP多安全等级及抗重放功能的设计方
法,其特征在于,所述S1-1中安全等级具体划分方法包括:
S1-1-1,安全等级标签的设定,将SCPS-SP报文保护头中的安全等级域设定
为8bit的长度,从左到右依次为bit7~bit0,其中bit7~bit4用来区分A、B、C三
种服务等级,分别表示为A:1010,B:1011,C:1100,bit3~bit0用来区分每
一服务等级下的1、2、3三个小等级分别表示为:1:0001,2:0010,3:0011;
S1-1-2,每一安全等级标签所确定的安全服务,根据S3-1所述共有9个安
全等级标签,其分别对应确定的安全服务为:
10100001表示A1等级,所使用的安全保护为完整性和认证检测,使用的
完整性算法为MD5;
10100010表示A2等级,所使用的保护为完整性和认证检测,使用的完整
性算法为SHA-1;
10100011表示A3等级,所使用的安全保护为完整性和认证检测,使用的
完整性算法为MD2;
10110001表示B1等级,所使用的安全保护为数据加密,使用的...
【专利技术属性】
技术研发人员:廖勇,郭修琼,
申请(专利权)人:重庆大学,
类型:发明
国别省市:重庆;85
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。