CCSDS遥控协议数据认证保护研究

摘 要：针对CCSDS体制中分包遥控(Telecommand)系统所面临的安全威胁，结合空间通信环境的特点，总结了对遥控协议数据进行认证性保护的技术方法，讨论了认证算法在分包遥控协议中的应用位置。为了避免认证算法与COP-1闭环之间的冲突，提出了在数据链路层COP-1闭环之前进行认证操作的方法。结合国内外相关领域的研究进展，分析了在分包遥控协议中应用SHA-256进行数据认证性保护的必要性与可用性。

关键词：分包遥控；CCSDS；身份认证；SHA-256

中图分类号：TP391.9文献标识码：A

文章编号：1004-373X(2008)07-076-04オ

Research on the Application of Authentication Mechanisms in CCSDS Telecommand Protocol

LIU Debo1,2，WANG Minghua3，ZHANG Lei1，ZHANG Quan1

(1.School of Electronic Science and Engineering,National University of Defense Technology,Changsha,410073,China;

2.77536 Unit of the Chinese People′s Liberation Army,Lasa,850000,China;3.Binzhou Vocational College,Binzhou,256603,China)

オ

Abstract：Risk analysis performed by several space agencies have provided indications of the impact of different threats on several categories of space missions.Various technical methods are summarized in this paper to protect the telecommand information,the localization of authentication layer is analyzed with the authentication mechanisms integrated into CCSDS telecommand protocol.Authentication operations are implemented ahead of COP-1 operations,the method of which is proposed to avoid the conflict with the COP-1 loop.With the introduction of the state-of-the-art on authentication mechanisms,the necessity and availability of applying SHA-256 in CCSDS telecommand protocol is analyzed.

Keywords：telecommand;CCSDS;authentication;SHA-256

1 引 言

数据的安全性问题始终是数据传输系统中受到重点关注的问题，在空间数据系统与航天器测控系统设计和任务实施过程，数据安全更是占有举足轻重的地位。在航天技术发展的初期，保障数据安全依靠的是纯粹的机要手段。空间数据系统与航天器测控系统中所使用的频率、调制体制、指令码表等被列入绝密级，由专人负责保管。空间数据系统产品的研制、测试、试验和使用要严格遵守有关的保密规定和程序。这些措施在当时条件下是非常有效的。然而，现代电子侦察和电子对抗技术使空间数据系统具有本质上的开放性，这种开放性对依靠机要手段保障空间数据系统安全的传统方法形成了严重的威胁。敌方可以通过技术手段通过开放的空间链路截获所发送的遥测遥控信号，分析和窃取信息内容，并通过伪造遥控信息对正常工作中的航天器进行攻击和破坏。因此，必须也只可能依靠数学及其物理实现来保证空间数据系统的安全性。

空间数据系统咨询委员会(CCSDS)是空间数据系统技术权威的国际组织，采用CCSDS标准是空间通信领域技术发展的必然方向。

CCSDS的Security Working Groups一直致力于针对空间任务的安全需求研究。2006年，CCSDS制定了Security Threats Against Space Missions［1］和The Application of CCSDS to Secure Systems［2］建议书，描述了空间任务所面临的安全威胁并提出了基于CCSDS标准的各类航天任务安全框架。虽然不同性质的航天任务有不同级别的安全需求，但CCSDS建议对遥控信息进行认证保护是最基本的要求；而且，针对军用通信等安全需求较高的航天任务，对遥控信息进行加密和认证的双重保护是必要的。将不同密码学算法应用到CCSDS分包遥控系统中成为CCSDS近两年的研究重点之一［3］。其中，意大利的S.Susanna等人在文献［4］中首先提出了在ESA分包遥控系统的分段层中采用EAX认证加密算法(Authenticated Encryption with Associated Data,AEAD)，对遥控信息进行加密和认证的联合数据保护；文献［5］中，ZHANG L等人提出在CCSDS分包遥控系统中采用GCM认证加密算法进行数据保护的具体方法，并针对空间链路的特点对消息认证码的长度进行了分析，提出了一种根据传输帧数据域长度计算消息鉴别码最佳长度的算法；德国的Daniel Fischer等人在文献［6,7］分析了数据保护机制在分包遥控系统中的实现位置，并提出了在传统的分段层实现数据保护的局限性和在数据链路层实现数据保护机制可能产生认证循环与分包遥控系统中的COP-1闭环之间的冲突。

本文通过分析CCSDS分包遥控系统的数据操作流程，基于不同级别的安全需求，以及认证算法能够保证传输信息的认证性和完整性的特点，总结了在CCSDS分包遥控协议中应用认证算法的各种方法，并结合CCSDS Security Working Group的最新研究进展，对分包遥控协议数据中的保护机制研究进行了展望。

2 CCSDS分包遥控系统及其安全需求

分包遥控是由空间数据系统咨询委员会(CCSDS)的建议书所规定的空间数据系统数据传输体制。在分包遥控系统中，不同信源、不同速率的数据通过动态管理形成统一的数据流，通过上行信道传输，包括航天器平台和有效载荷在内的各种应用过程通过这种方式获得灵活、透明和高效的数据传输业务。由于分包遥控标准已被各主要空间国家(地区)采用，因而可以实现各国家(地区)地球站之间的交互支持［8］。

2.1 分包遥控系统

分包遥控采用分层体制，可以将复杂的航天器控制过程简化为由各层一系列简单的标准操作同等实现，层与层之间按照一定的协议由标准的数据格式接口，其层次模型如图1所示。分包遥控传输帧结构如图2所示，“控制命令标志”字段将遥控帧分为装载遥控数据的“D模式”帧和装载控制命令的“C模式”帧。传统的分包遥控安全保护机制只对“D模式”帧进行加密和认证操作，而“C模式”帧则保持明文状态，以保证正常的星地操作。由于“C模式”帧装载了遥控系统的控制命令，如果受到攻击，对遥控系统所造成的影响会更加严重，因此，在安全级别较高的航天任务中，例如军用卫星通信等特殊环境下，对“C模式”帧进行保护也是必要的。

为了保证星地操作中上行数据链路的可靠性，分包遥控在传送层定义了命令操作步骤(COP-1)，他负责数据在对等层之间进行无差错、按序、无遗漏及无重复的闭环操作，是CCSDS分包遥控中的重要组成部分［9］。

COP-1是CCSDS建议书中实现遥控闭环控制的关键。在传送层内由一对同步操作步骤构成:发送端的帧操作步骤(FOP-1)和接收端的帧接收和汇报机制(FARM-1)。发送端的FOP将遥控帧发送给接收端的FARM，FARM通过遥测下行信道返回命令链路控制字(CLCW)给FOP-1，完成对遥控帧接收状态的闭环报告。COP-1保证遥控数据在有噪信道中正确、完整、顺序的传输。

COP-1基于GO-BACK-N ARQ策略的滑动窗口流控制机制使用帧序列计数的接收和重传，FOP-1组织遥控帧时同时启动一个向上的序列计数器，FARM-1只接收到达帧序列计数与星上的帧序列计数相符合的传输帧，如果计数不匹配，FARM-1将拒收后续到达的一系列帧，并通过下行链路返回CLCW要求FOP-1重传。FOP-1检测CLCW是否有帧被拒收，如果有，则从FARM-1所期待的帧序列号开始重新发送。

2.2 CCSDS体制分包遥控系统安全需求

CCSDS分包遥控系统的安全需求主要包括遥控数据信息的机密性、完整性和认证性。

机密性 保证入侵者不能获得协议执行过程中的协议数据内容。

数据完整性 在协议执行过程中，消息的接收者应该能够验证协议数据没有被修改；入侵者不能伪造消息代替合法协议数据。

认证性 在协议的执行过程中，消息的接收者应该能够确认协议数据的来源；入侵者也不可能伪装成他人。认证性不仅适用于协议通信双方，也适用于协议数据本身。通信双方应该能够互相证明自己身份的合法性,经过信道传送到接收方的数据应该可以被验证与消息来源所发送的数据是完全一致的。

在空间任务中，为了保证入侵者不能对遥控系统数据进行恶意修改或破坏，遥控系统的数据完整性和认证性非常重要。在民用任务中，一般不需要保证上行控制链路的机密性,但是在军用任务或者其他关键任务中，保证上行控制链路的机密性则是必须的。

3 认证算法的实施

3.1 概述

由于空间通信环境具有链路带宽窄、时延大和上下行信道非对称的特点，在分包遥控系统中广泛采用对称密码学算法来进行数据保护操作，与非对称密码学算法相比，对称密码学算法执行过程更为简单、速度更快，引起的系统开销也远小于非对称密码学算法。

为了保证信息的完整性和来源合法性，通常在原有的消息上附加一个数字签名的数据单元来进行身份认证，数字签名用于保证所接受到的信息确实是签名者所发送的。

由于空间通信不同于地面网络的一些特点，必须设计高效的数字签名算法来满足空间通信的要求，另外必须建立公钥基础设施PKI、密钥管理基础设施KMI、授权管理基础设施PMI以提供身份认证服务、授权服务和密钥管理服务。

通过调研发现，大多数采用CCSDS标准的各国遥控、遥测系统中，协议身份认证机制均采用基于对称加密的报文鉴别码(MAC)进行认证或采用基于散列函数的报文鉴别码进行认证。

为了进行认证操作，也需要在原有的数据结构中添加一些数据域。其中最重要的部分是数字签名域，数字签名域中包含了用于协议认证的数字签名，该数字签名是由MAC算法计算得出。为了保证加密消息的新鲜性以及抵抗重放攻击，需要另外的数据域来存放新鲜性信息。常见的一种做法是增加时间戳或重放计数器。图3描述了协议数据认证机制数据结构。协议数据认证机制也会产生大量的数据负载。通常的数字签名长度是16 B以上，这对于本身长度较短的控制命令数据来说，安全机制所带来的负载是相当大的。因此采用不同的压缩算法对数字签名进行压缩和修正，从而尽可能在保证协议数据认证机制可靠的前提下，减小数字签名所带来的数据负载。

3.2 分包遥控数据认证保护的实现

传统研究认为，TC协议栈传送层是遥控系统中最适合进行数据认证保护的位置［2］。分包遥控系统的传送层向上提供最多64个虚拟信道(VC)，而分段层向上提供相对于每个虚拟信道64个多工器入口点(MAP)，他们都是相互独立的。为了保持这种独立性，在传送层实现数据保护是对64个虚拟信道分别进行，而在分段层以上的各层要对64×64个MAP分别进行，这对数据保护过程中的密钥管理、使用等环节带来了更大的困难。然而，在分包遥控系统传送层中，数据保护机制不能保护命令操作步骤中的COP标志(“通过标志”与“控制命令标志”)，这就给入侵者提供了发起拒绝服务攻击的可能。

而在分包遥控系统的数据链路层实现数据保护机制主要是针对整个传输帧进行数据保护，而且由于数据链路层位于传送层与信道编码层之间，在数据链路层进行数据保护同样具有操作简单的优点，但是在数据链路层的帧汇报和接收检查机制操作前(FARM)进行认证操作时会引起分包遥控系统中COP-1循环与认证循环的冲突，有可能造成通信进程的死锁［7］。

并且，由于遥控帧结构中的帧序列信息过于短小(B类遥控帧中完全没有帧序列信息，A类遥控帧中帧序列信息长度仅为一字节)，单单进行认证操作时，消息认证码抵抗重放攻击的能力非常有限［10］。

在认证算法的具体应用时，认证操作应位于虚拟信道多路复用与COP命令操作步骤之间进行。如图4所示，这样就避免了认证循环机制与COP的检错重发循环之间存在的冲突。因此，在数据链路层采用认证算法不但能够充分保证遥控帧数据的完整性和数据来源的认证及抵抗重放攻击，而且由于导头部分未进行加密，能够保证星地间通信不受数据保护操作的影响。同时，由于将认证位置提前到帧检查之后进行，对接收到的数据、命令等进行认证，并通过CLCW向地面控制端汇报帧接收反馈数据，不必在COP中另外增加安全汇报控制操作。对于普通的安全等级的命令、数据等在该处进行认证后即可进入后续操作。

3.3 CCSDS推荐的认证算法

目前国际商业运用中普遍使用的签名算法是安全散列算法-1(SHA-1)。他的安全强度自2004年王晓云教授成功改进了其攻击方法后，从2的80次方减少到2的63次方,这就使攻击成功率提高了2 000倍。对于拥有强大资源的攻击者来说,攻击SHA-1已经变成现实。美国国家标准与技术研究院(NIST)鼓励迅速采用SHA-2算法,同时建议美国联邦机构必须在2010年底前停止使用SHA-1的数字签名。2007年1月，在美国科罗多那州召开的CCSDS安全工作会议对认证运算法进行了讨论［3］。工作组指出在SHA-1的基础上鼓励使用SHA-256、SHA-384和SHA-512等算法以保护遥控数据的完整性及信息来源的合法性。

任何长度增加和签名运算循环轮次增加，都会增加空间处理器的负担，使他对信息处理周期加长。空间系统遥控指令一般是长度较短，重复使用的消息。签名分组长度长，就会使填充字节增加。摘要长会使遥控指令长度增加。SHA-1的安全强度受到严重挑战，SHA-256的分组长度和摘要长度都远小于SHA-384，SHA-512，而其分组长度和SHA-1相等。对已经使用SHA-1的CCSDS体制的分包遥控系统来说,SHA-256的分组长度所增加的运算复杂度最小,在现有硬件基础上采用SHA-256算法对系统所造成的影响也最小。综合多方面，运用SHA-256在分包遥控的数据链路层进行认证算法的实施是理想的。

4 结 语

卫星遥控系统安全级别的高低与保护措施的强度是由航天任务的性质所决定的，在实际应用时需要综合考虑各种相关问题，以最小的开销满足安全需求。由于空间链路资源的匮乏及星上处理能力的限制，要尽可能在不影响有效数据吞吐量的前提下对遥控数据实施安全保护。

与在传送层进行认证操作相比，在数据链路层的帧接收与检查机制后应用认证加密算法避免了与COP-1之间的冲突。并且能够通过虚拟信道的多路复用机制降低签名或消息认证码所带来的性能消耗。由于SHA-1面临新的攻击方法已不再具备无条件安全性，按照CCSDS Security Working Group的建议，在CCSDS分包遥控协议中采用SHA-256算法对遥控数据信息进行认证保护能够以最小的代价获得安全性能的提高。

由于分包遥控系统的数据处理过程较为复杂，空间传输链路性质较为特殊，通过理论分析很难给出具体的解决方法，在今后的研究中需要通过仿真工具搭建仿真平台进行测试，以获得认证算法在分包遥控系统中的最佳应用方案。

参 考 文 献

［1］CCSDS 350.1-G-1,Security Threats Against Space Missions［S］.

［2］CCSDS 350.0-G-2,The Application of CCSDS to Secure Systems［S］.

［3］Recommended Practice for Authentication.Draft Recommended Practice,2007 (available at:/sea/docs/).

［4］Spinsante S,Chiaraluce F,Gambi E.New Perspectives in Telecommand Security:The Application of EAX to TC Segments［C］.Proc.Data Systems in Aerospace DASIA,Naples,Italy,2007.

［5］Zhang Lei,Tang Chaojing,Zhang Quan.A New Method of Enhancing Telecommand Security:The Application of GCM in TC Protocol［C］.Proc.Second International Conference on Space Information Technology,Wuhan,China,2007.

［6］Daniel Fischer,Mario Merri,Thomas Engel.Introducing a Generic Security Extension for The Packet TM/TC Protocol Stack［C］.4th ESA International Workshop on Tracking,Telemetry and Command Systems for Space Applications,2007.

［7］Fischer D,Engle T,Merri M.Application of the Integration of Data Security in the CCSDS Packet TM/TC Standards［C］.Ninth International Conference on Space Operations (Spaceops 2006),Rome,Italy,2006.

［8］CCSDS 232.0-B-1,TC Space Data Link Protocol［S］.

［9］CCSDS 232.1-B-1,Command Operation Procedures-1［S］.

［10］陈宜元.卫星无线电测控技术(上册)［M］.北京:宇航出版社,2007.

［11］谭维炽，顾莹琦.空间数据系统［M］.北京：中国科学技术出版社,2004.

［12］赵泽茂.数字签名理论[M].北京:科学出版社,2007.

作者简介 刘德波 男，1979年出生，重庆人，硕士研究生。研究方向为空间通信网络安全与仿真。