石玲玲++周陽++呂博

摘 要：認證性作為空間信息系統(tǒng)的一個重要安全需求和目標，關系到整個系統(tǒng)的安全性、穩(wěn)定性和抗毀性。論文在對現(xiàn)有認證技術的總結和分析的基礎上，結合空間信息系統(tǒng)的特點，較系統(tǒng)、全面地分析了航天信息系統(tǒng)中可能面臨的認證安全問題，最后提出了適用于空間信息系統(tǒng)計算終端訪問控制、大規(guī)模地面信息網(wǎng)絡身份認證、空間自組織網(wǎng)絡入侵檢測等，以及不同應用場景下的可信安全認證解決方案，確?？臻g信息網(wǎng)絡認證安全、認證可信，有效地提升空間信息系統(tǒng)的信息安全保障能力。

關鍵詞：空間信息系統(tǒng)；認證；訪問控制；信息安全

中圖分類號： TP309.02 文獻標識碼：A

1 引言

空間信息系統(tǒng)是利用先進的空間自組網(wǎng)技術，將具有空間通信能力的高、中、低不同軌道上、不同飛行運動速度、執(zhí)行不同任務的多種類型的衛(wèi)星、空間和臨近空間飛行器（衛(wèi)星、深空探測器、載人飛船、無人機、空間站、航天飛機、飛艇等），及相應的地面設施和終端連接起來，實現(xiàn)空間網(wǎng)絡、臨近空間網(wǎng)絡、地面網(wǎng)絡等各級網(wǎng)絡互聯(lián)互通的立體化的綜合信息系統(tǒng)?？臻g信息系統(tǒng)集成了各種空間信息獲取、傳輸、處理、分發(fā)和應用系統(tǒng)，能夠為通信、導航、監(jiān)視、偵察、預警、空間作戰(zhàn)、電子對抗等國民經(jīng)濟、社會服務及指揮控制等國防軍事領域提供重要保障?？臻g信息系統(tǒng)具有重要的軍事應用價值，其數(shù)據(jù)高敏感性和機密性、環(huán)境復雜多變、多種鏈路并存的通信方式，及各分系統(tǒng)互聯(lián)互通、各軍兵種協(xié)同協(xié)作的需求，決定了其各個環(huán)節(jié)更加脆弱，更容易遭受各種網(wǎng)絡攻擊和安全威脅。敵方對空間信息及節(jié)點身份進行偽造，非法接觸重要信息、對網(wǎng)絡進行干擾和破壞等，將會極大地影響軍事戰(zhàn)略計劃和行動。空間信息系統(tǒng)、網(wǎng)絡、信息中存在重要和敏感的機密數(shù)據(jù)，其安全保障不僅關系到數(shù)據(jù)傳送的準確度和保密度，更是直接決定了消息傳輸?shù)目煽慷群褪褂每尚哦龋J證技術對空間信息系統(tǒng)服務效能具有較大的影響和支配作用。身份認證技術為空間信息系統(tǒng)提供了對系統(tǒng)信息，及終端、網(wǎng)絡用戶的身份判別和確認機制，確保系統(tǒng)訪問者、網(wǎng)絡通信雙方的可信性和真實性，為信息及信息系統(tǒng)的訪問控制提供認證和授權依據(jù)。加強認證方案的研究和實施已成為空間信息系統(tǒng)建設中至關重要的問題。

2 空間信息系統(tǒng)認證需求分析

空間信息系統(tǒng)所面臨的信息安全問題已嚴重制約了空間信息系統(tǒng)的發(fā)展。同傳統(tǒng)網(wǎng)絡一樣，空間信息系統(tǒng)的網(wǎng)絡安全目標包括機密性、完整性、可用性、認證性和不可否認性等。其中，認證性在信息安全中處于非常重要的地位，是訪問控制、入侵防范等安全機制的基礎。

為確?？臻g信息系統(tǒng)消息傳輸?shù)陌踩裕嗖捎眉用軝C制，在發(fā)端利用對稱加密算法對要傳輸?shù)臄?shù)據(jù)、消息和指令進行加密，在接收端解密恢復出明文消息。機密機制可以防止攻擊者截獲或竊聽到消息明文，但不能解決身份偽造、信息造假、消息重放等信息安全問題的發(fā)生，尤其在敏感度較高的空間信息系統(tǒng)中，不能對訪問者進行有效的身份認證所造成的后果是極其惡劣的，主要表現(xiàn)在幾個方面。

（1）若訪問控制不嚴格，攻擊者輕而易舉接觸到空間系統(tǒng)中的計算終端或軟件系統(tǒng)，獲取機密軍事消息，造成機密泄露。

（2）若消息源身份認證機制不完善，攻擊者偽造管理員的身份向空間節(jié)點下達指令，指揮空間節(jié)點進行錯誤的行動，將導致節(jié)點無法正常運作，甚至整個空間網(wǎng)絡的癱瘓。

（3）在軍事應用中，空間偵察/探測節(jié)點檢測到的情報消息，若不加認證或認證不嚴密即進行情報收集、信息融合、輔助決策，將誤導決策者的決心方案，后果不堪設想。

認證性作為空間信息系統(tǒng)信息安全的一個重要目標，是空間信息系統(tǒng)穩(wěn)定運行的重要保障。為完善空間信息系統(tǒng)中的信息安全體系，建立一個符合空間信息系統(tǒng)規(guī)定和技術要求、安全可靠、技術先進成熟、運行穩(wěn)定的可信身份認證機制，空間信息系統(tǒng)中的認證方案必須滿足幾項要求。

（1）訪問控制：訪問者對空間系統(tǒng)終端如涉密服務器、設備或網(wǎng)絡等進行訪問時，空間信息系統(tǒng)要能及時、正確地鑒別和核實訪問者的身份，根據(jù)其身份分配相應的訪問權限，對其操作和訪問行為進行有效控制，以提高系統(tǒng)及數(shù)據(jù)的機密性，防止軍用機密消息和消息系統(tǒng)被非授權訪問。

（2）消息源認證：要能對空、天、地網(wǎng)絡通信中通信節(jié)點的身份進行及時、有效、準確地識別和驗證，確保消息源是真實可信而不是偽造、失效的，以提高空間信息系統(tǒng)網(wǎng)絡通信的安全性和認證性，防止空間節(jié)點接收和執(zhí)行非法指令。

（3）抗抵賴性：訪問完成后，要能對用戶的訪問行為進行安全審計，用戶不能對其訪問行為進行否認；網(wǎng)絡認證后，管理者不能對自己下達指令的行為進行抵賴；在發(fā)生糾紛時要能進行有效的評判和仲裁，以確?？臻g信息系統(tǒng)訪問控制和身份認證的公平性和合理性。

（4）空間節(jié)點入侵行為認證：空間信息網(wǎng)絡具有拓撲結構動態(tài)多變、通信方式不對等、髙度開放等特點，特別是臨近空間領域，節(jié)點頻繁的加入與退出網(wǎng)絡，導致一些非法入侵者侵入該網(wǎng)絡中的節(jié)點，進一步影響信息在網(wǎng)絡中的安全傳輸，并對網(wǎng)絡的正常運行造成非常嚴重的負面影響。因此，需要一定的入侵檢測和響應機制來對空間節(jié)點身份進行認證，應對入侵行為的對空間網(wǎng)絡的安全威脅。

3 常用安全認證技術

認證技術在網(wǎng)絡安全、終端安全和存儲安全中有較廣泛、較成熟的應用，常用的身份認證技術[1]包括幾種。

（1）口令認證：最簡單、最普遍的身份鑒別、認證方式，基于用戶所知道信息，常采用“賬戶+密碼”的認證方式。靜態(tài)口令機制部署和實施簡單，用戶口令固定不變，易被盜用，不能滿足安全強度要求較高的系統(tǒng)應用；動態(tài)口令是基于時間同步的動態(tài)密碼，進行一次性口令認證，但仍然存在較大安全漏洞，對服務器時鐘系統(tǒng)進行攻擊，就會給安全認證系統(tǒng)以毀滅性打擊。

（2）質詢/響應認證：采用一次性隨機數(shù)的認證方案，可以是單向、雙向認證。由發(fā)端根據(jù)算法選擇隨機數(shù)發(fā)出質詢，收端根據(jù)約定的算法對隨機數(shù)進行一定變換后輸出響應回送給發(fā)端，發(fā)端驗證響應的有效性，進而確認對方身份的真實性，質詢/響應認證技術常跟數(shù)字簽名認證技術同時使用，可以抵抗消息重放攻擊。endprint

（3）Kerberos認證：基于TCP/IP的Internet和Intranet設計的安全認證協(xié)議。核心原理是對稱共享密鑰算法，工作在C/S模式，各用戶與可信賴的第三方KDC（密鑰分發(fā)中心）都有一共享主密鑰，為網(wǎng)絡用戶和服務器建立和分配一次性會話密鑰，包括客戶端、服務器端、認證服務器AS、票據(jù)服務器TGS、票據(jù)等。該機制中，用戶每次訪問服務器需要Kerberos認證系統(tǒng)為其分配會話密鑰，因此需要中心服務器的持續(xù)響應和密鑰管理，存在單點失效隱患；通信主機的時鐘同步要求較高，不能預防猜測口令攻擊。

（4）基于公鑰證書的身份認證：方案的核心是基于公鑰密碼算法的數(shù)字簽名技術，數(shù)字簽名的不可逆性、不可偽造性使得該認證技術具有較高的安全性，很好地解決了大規(guī)模網(wǎng)絡下的節(jié)點信任問題。公鑰證書是由權威、可信的認證機構CA負責簽名并發(fā)布的，包含用戶公鑰信息、證書有效期、簽發(fā)機構、簽名算法、數(shù)字簽名等信息。與公鑰證書中的公鑰相匹配的私鑰僅被證書的合法持有者所擁有，是用戶實施消息簽名的有效工具，其他用戶利用簽名者的公鑰對其數(shù)字簽名進行驗證，鑒定消息源身份的真實性。

（5）基于生物特征的身份認證[2]：基于指紋、虹膜、聲音、人臉等個人特有的生理特征的身份認證技術，具有唯一性、不可偽造性。較其他認證技術而言，基于生物特征的身份認證具有更穩(wěn)定、更可靠的識別能力，在高安全強度環(huán)境下的應用較多，但特征的提取、處理和識別過程需要算法和硬件芯片的支持，軟硬件實現(xiàn)成本較高。

（6）智能卡認證：智能卡、IC卡是一種內(nèi)置集成電路的卡片，卡片中存有與用戶身份相關的數(shù)據(jù)，由用戶隨身攜帶，登錄終端時必須將其插入專用的讀卡器讀取信息，以驗證用戶的身份。智能卡的安全性是基于硬件的不可復制性，但由于每次從IC卡讀取的用戶數(shù)據(jù)是靜態(tài)的，通過內(nèi)存掃描、網(wǎng)絡監(jiān)聽等技術容易獲取用戶身份消息，同時存在智能卡丟失，被人假冒、可偽造等安全問題。

（7）USB Key認證[3]：一種USB接口的秘密數(shù)據(jù)存儲設備，采用軟硬件結合、一次一密的強雙因子認證模式，PIN碼和硬件構成了其必要認證因子；帶有安全存儲空間，存儲數(shù)字證書、用戶密鑰等秘密數(shù)據(jù)，不存在數(shù)據(jù)復制的危險；內(nèi)置CPU或智能卡芯片，可以實現(xiàn)PKI系統(tǒng)中的數(shù)據(jù)加解密、消息摘要和數(shù)字簽名等算法，由于在USB Key內(nèi)采用硬件實現(xiàn)密碼操作，安全性得到提升?；赨SB Key的身份認證方案主要有基于質詢/響應和基于PKI體系的兩種認證模式，目前主要應用在電子政務、網(wǎng)上銀行等。

4 空間信息系統(tǒng)可信認證方案構想

4.1 計算終端可信認證

管理系統(tǒng)為管理者提供了直接指揮、監(jiān)視、控制空間系統(tǒng)運作的終端平臺。部署了較多的機要設備和系統(tǒng)，當訪問者試圖進行訪問操作，終端登錄，建立網(wǎng)絡連接時，需要制定對訪問者進行身份鑒別和認證的訪問控制機制，根據(jù)認證結果分配訪問范圍和執(zhí)行權限，結合在各終端配置防火墻、入侵檢測等增強系統(tǒng)的訪問控制能力，使得入侵者和非法用戶無法接觸到機密信息或系統(tǒng)。

實際中，根據(jù)具體應用選擇基于單機或基于C/S模式的認證模式，根據(jù)對安全和認證的需求程度，可以選擇口令、USB Key、虹膜、指紋、人臉生物特征識別等訪問控制技術，對終端訪問者的身份進行驗證和核實。在重要機密設備等對訪問控制要求較嚴格的條件下，比如管理人員通過操作特殊電子設備，向空間通信節(jié)點下達變軌等命令，則需要采用多種認證手段相結合的認證方式，如Key認證+生物特征的雙因子認證技術等，以加強對用戶身份認證的嚴密性和準確性，降低系統(tǒng)誤認證和漏認證事件發(fā)生的概率，確?？臻g控制系統(tǒng)身份認證的權威性和可信性。為有效地抵御消息重放網(wǎng)絡攻擊，空間信息系統(tǒng)的身份認證方案可以與質詢/響應的認證方式相結合。

4.2 大規(guī)模網(wǎng)絡可信認證

隨著網(wǎng)絡中心戰(zhàn)的深入和擴大，空間網(wǎng)絡規(guī)模將愈加龐大，空間信息系統(tǒng)內(nèi)部的各級管理機構、保障部門、信息處理中心、控管中心等機構，以及各類空間通信節(jié)點之間將組成一個復雜龐大的互聯(lián)互通網(wǎng)絡。在可信通信中，除了在操作層建立訪問控制機制外，還需要研究和建立消息源身份認證方案，解決通信中的身份真實性、合法性驗證問題。

基于公鑰證書的身份認證技術是目前開放、分布式、大規(guī)模網(wǎng)絡環(huán)境下，實現(xiàn)網(wǎng)絡身份認證的最廣泛、最有效的技術手段，具有認證性好、可靠性高等特點，PKI在提供認證性的同時，還能滿足網(wǎng)絡機密性、完整性傳輸，訪問控制，密鑰和數(shù)字證書管理的功能需求。不同于通用網(wǎng)絡中的PKI系統(tǒng)，空間信息系統(tǒng)具有更高的安全性和抗毀性要求，本文考慮采用基于分布式CA的PKI方案實現(xiàn)空間信息系統(tǒng)中的網(wǎng)絡身份認證機制，以強化空間信息網(wǎng)絡的認證安全性保護。

基于分布式CA的PKI方案通過在空間信息系統(tǒng)中部署多個認證機構CA、多個注冊機構RA、證書數(shù)據(jù)庫、密鑰備份及恢復系統(tǒng)、證書撤銷系統(tǒng)、PKI應用接口等，為空間信息系統(tǒng)各終端實體提供密鑰、證書的產(chǎn)生、簽名、備份、發(fā)布、更新、撤銷、恢復等密鑰和數(shù)字證書管理操作，各單元的具體職能同PKI系統(tǒng)保持一致。

分布式CA的PKI方案的核心是門限簽名方案[4]，簽名算法可以采用RSA、ECC等。以（n，t）門限簽名方案為例，系統(tǒng)初始化階段：秘密產(chǎn)生系統(tǒng)簽名私鑰和系統(tǒng)公鑰，根據(jù)Shamir門限秘密共享方案[10]，將系統(tǒng)簽名私鑰分割為n份子私鑰，由網(wǎng)絡中分布的n個CA持有。簽名實施階段：只有不少于t個持有子私鑰的CA才能對數(shù)字證書實施有效簽名，否則簽名無效，數(shù)字證書簽發(fā)失敗，其中數(shù)字證書包含了用戶的公鑰信息。認證階段：用戶A欲與用戶B建立通信，用戶A用其私鑰對消息進行簽名后，發(fā)送給用戶B，用戶B首先驗證用戶A數(shù)字證書的有效性（用系統(tǒng)公鑰驗證用戶A的數(shù)字證書中的CA簽名），通過后利用A的公鑰驗證消息簽名的有效性，通過則認為消息的發(fā)送方即是A，此消息是真實可信的，否則判定A是假冒的，其發(fā)送的消息也是不可信的，中止通信過程。endprint

分布式CA的PKI方案中，門限參數(shù)根據(jù)網(wǎng)絡規(guī)模、網(wǎng)絡對可靠性的需求程度而設定，同時要兼顧方案實施的軟硬件成本消耗。

該方案中，數(shù)字簽名的應用不僅能解決網(wǎng)絡傳輸?shù)南⒃凑J證、防止假冒身份的行為，數(shù)字簽名的唯一性、不可逆性也為空間信息網(wǎng)絡提供了消息抗抵賴的保障。

4.3 空間自組織網(wǎng)絡可信認證

空、天信息系統(tǒng)的網(wǎng)絡環(huán)境動態(tài)多變，各類航天器之間通過傳感器網(wǎng)絡和Ad Hoc網(wǎng)絡互聯(lián)互通。

4.3.1 身份認證

傳感器網(wǎng)絡、Ad Hoc網(wǎng)絡等組網(wǎng)方式在航天器空間組網(wǎng)方面具有巨大的應用價值和發(fā)展前景，但此類網(wǎng)絡存在節(jié)點資源和能源有限、鏈路帶寬資源有限等問題，使得計算復雜、簽名長度較大的數(shù)字簽名在此類網(wǎng)絡中的應用受到阻礙，基于公鑰證書的認證方案的可行性大大降低。而基于單向哈希鏈的認證方案且較傳統(tǒng)的數(shù)字簽名而言，具有較小的計算量和輸出量，且能解決小規(guī)模網(wǎng)絡下的消息源身份認證問題，本文考慮在空間信息系統(tǒng)能源和資源受限的戰(zhàn)場網(wǎng)絡環(huán)境中采用基于單向哈希鏈的認證方案代替數(shù)字簽名，實現(xiàn)網(wǎng)絡通信的消息源認證。

基于單向哈希鏈的認證方案[5]是基于哈希函數(shù)的單向性和無碰撞性原理，該認證方案具有較好的消息源身份認證特性。初始階段：節(jié)點A選取一個秘密隨機數(shù)r作為種子，采用單向哈希函數(shù)如MD5、SHA、HMAC等對r進行N次遞歸哈希計算，得到一個單向哈希鏈{r，hi（r）（i=1，2，3…，N）}，其中N是一個正整數(shù)，i是哈希值的級數(shù)，hi（r）是第i級哈希值，作為認證憑據(jù)。初始階段完成后，向網(wǎng)絡公布hN（r），{r，hi（r）（i=1，2，3，…，N-1）}則作為A的秘密密鑰集合，由A秘密保存。認證階段：A每次從秘密密鑰集合中選取最大級數(shù)的哈希值，認證完畢后，從秘密密鑰集合中刪除使用過哈希值，致使A的秘密密鑰集合隨著認證次數(shù)動態(tài)變化。假設A目前的秘密密鑰集合為{r，hi（r）（i=1，2，3，…，m）}，則A會選擇hm（r）作為本次的認證票據(jù)，發(fā)送給節(jié)點B；節(jié)點B通過驗證hN-mhm（r）=hN（r）是否成立，確認對方是否為節(jié)點A。根據(jù)哈希函數(shù)的單向性，其他節(jié)點在不知道r的情況下，即使知道hn（r）（n>m），也無法計算出hm（r）。只有A知道未公開過的hm（r），所以，僅通過驗證hN-mhm（r）=hN（r）的成立性就可以判別消息源是否為節(jié)點A。

4.3.2 惡意節(jié)點入侵檢測

空間網(wǎng)絡開放且移動性較大，都是基于分布式的、多節(jié)點協(xié)作實現(xiàn)戰(zhàn)場監(jiān)測、網(wǎng)絡路由、消息傳輸?shù)?，動態(tài)多變的環(huán)境使得單個節(jié)點的可信度和抗毀性有所降低。惡意節(jié)點混入網(wǎng)絡騙取了合法證書、我方節(jié)點被俘虜、節(jié)點被移動、節(jié)點自身出現(xiàn)故障等問題的發(fā)生不可避免，這些故障節(jié)點統(tǒng)稱為惡意節(jié)點。為了防止空間移動網(wǎng)絡中單點失效問題，必須綜合多因素的影響、多節(jié)點的協(xié)作來執(zhí)行入侵檢測、節(jié)點合法性認證，確保檢測的可靠性；空間節(jié)點資源和系統(tǒng)資源極其有限，入侵檢測算法必須盡可能消耗較少的節(jié)點和系統(tǒng)資源，確保檢測的效率性。

分布式協(xié)作策略是一種依靠分布在網(wǎng)絡中一定范圍內(nèi)、多個節(jié)點的聯(lián)合作用和相互協(xié)作而實施的網(wǎng)絡策略?？梢圆扇》植际絽f(xié)同入侵檢測方法，根據(jù)具體應用、網(wǎng)絡規(guī)模、安全需求等，在多點協(xié)作、分布式的移動網(wǎng)絡中部署合適的惡意節(jié)點識別方案[6]，建立合理、完備的信用值計算公式，完善節(jié)點信用值的影響因素（被控因素、指控因素、撤控因素等），并合理權衡各個因素對信用值的影響程度。初始，為每個節(jié)點簽發(fā)數(shù)字證書、建立信用值記錄。當節(jié)點收到指控（被控）后，該節(jié)點會受到懲罰，根據(jù)信用值計算公式，信用值降低分值。當某節(jié)點的信用值達到檢測閾值時，則判定為惡意節(jié)點，通過撤銷數(shù)字證書、網(wǎng)絡隔離等方式將惡意節(jié)點剔除網(wǎng)絡，以確?？臻g信息系統(tǒng)網(wǎng)絡處于可信狀態(tài)。

5 結束語

可信認證在提高空間信息系統(tǒng)的信息安全保障水平，增強空間信息系統(tǒng)的信息化作戰(zhàn)抗攻擊能力方面發(fā)揮越來越重要的作用。本文在全面深入分析空間信息系統(tǒng)的特點及認證需求的基礎上，綜合利用各類安全認證技術，構建了適用于空間信息系統(tǒng)的終端訪問控制、大規(guī)模網(wǎng)絡身份認證、空間無線網(wǎng)絡惡意節(jié)點識別的認證方案構想，能夠為空間網(wǎng)絡提供全方位、高強度的安全認證防護，滿足空間信息系統(tǒng)在不同應用環(huán)境下的安全認證需求，為提升空間信息系統(tǒng)的信息安全綜合防御能力提供支撐。

參考文獻

[1] 劉曉知，覃峰.淺談身份認證技術[J].科技信息（科學教研）， 2007， （29）.

[2] 田啟川，張潤生生物特征識別綜述[J].計算機應用研究， 2009， （12）.

[3] 楊桓.基于USB KEY的身份認證技術的相關研究[J].軟件導刊， 2011， （03）.

[4] 柴震川.門限密碼方案安全性和應用研究[D].上海交通大學， 2007.

[5] 基于單向哈希鏈的Ad Hoc網(wǎng)絡認證和密鑰管理研究[J].翁麗萍.中南大學. 2010 （03）

[6] 石玲玲. Ad Hoc網(wǎng)絡證書撤銷機制的分析和研究[J].西安電子科技大學，2011.endprint