周 健, 孫麗艷

(1. 北京郵電大學(xué) 計(jì)算機(jī)學(xué)院, 北京 100083;2. 安徽財(cái)經(jīng)大學(xué) 管理科學(xué)與工程學(xué)院, 安徽 蚌埠 233041)

隨著空間活動(dòng)的日益增多,基于一跳方式的空間通信難以滿(mǎn)足空間任務(wù)需要,基于多跳方式的深空通信網(wǎng)絡(luò)被提出[1-3].然而空間環(huán)境的復(fù)雜多變和網(wǎng)絡(luò)覆蓋的面積較大,導(dǎo)致數(shù)據(jù)傳輸延時(shí)較長(zhǎng),鏈路具有間斷連通的特點(diǎn)[4],這一現(xiàn)狀導(dǎo)致深空的安全問(wèn)題比地面無(wú)線(xiàn)網(wǎng)絡(luò)更為突出[5-6].密鑰管理作為網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ),是深空網(wǎng)絡(luò)安全研究必不可少的內(nèi)容[7].目前對(duì)深空網(wǎng)絡(luò)的密鑰管理研究主要集中在衛(wèi)星網(wǎng)絡(luò)[8-10],如文獻(xiàn)[11-13]在LKH[14]方案的基礎(chǔ)上根據(jù)衛(wèi)星網(wǎng)絡(luò)的拓?fù)涮攸c(diǎn)進(jìn)行優(yōu)化,但仍需KMC負(fù)責(zé)密鑰管理任務(wù);文獻(xiàn)[15]對(duì)衛(wèi)星網(wǎng)絡(luò)采用分層分簇,減少密鑰更新開(kāi)銷(xiāo);文獻(xiàn)[16]針對(duì)近地空間網(wǎng)絡(luò)使用基于身份的密鑰協(xié)議消除對(duì)證書(shū)的依賴(lài),并使用分簇方法提高更新效率;文獻(xiàn)[12]采用結(jié)合LKH和GDH[17]方案提高衛(wèi)星網(wǎng)絡(luò)的帶寬利用率.CCSDS制定了空間通信協(xié)議(space communications protocol specification,SCPS)[18],為安全協(xié)議預(yù)留了安全字段,但是僅僅為深空密鑰管理提供基礎(chǔ).上述密鑰管理方案適合延時(shí)較短的地面與衛(wèi)星間的通信網(wǎng)絡(luò),密鑰管理服務(wù)中心(key management center,KMC)能夠提供實(shí)時(shí)密鑰管理服務(wù),因此該類(lèi)方案不適合長(zhǎng)延時(shí)、間斷連通的深空網(wǎng)絡(luò)組密鑰管理任務(wù)需要[19].

隨著高集成度專(zhuān)用芯片的開(kāi)發(fā)和利用[20],以及可持續(xù)能源的高能電池的配備[21],星上處理能力日益提高,空間實(shí)體的自主能力越來(lái)越強(qiáng)[22],目前星上處理的研究主要包括:空間探測(cè)器的自主管理、空間飛行器自主導(dǎo)航、軟件信息系統(tǒng)自主管理.在文獻(xiàn)[23-24]中給出自主網(wǎng)絡(luò)的定義,構(gòu)造基于知識(shí)庫(kù)的深空網(wǎng)絡(luò)自主管理方案,以及自主網(wǎng)絡(luò)需要滿(mǎn)足的4個(gè)屬性:自配置、自恢復(fù)、自?xún)?yōu)化和自保護(hù).空間網(wǎng)絡(luò)的自主化必須建立在一定硬件基礎(chǔ)上.目前空間飛行器搭載的處理器從第一代空間飛行器通用計(jì)算器(spacecraft common flight computer,CFC)(每秒1百萬(wàn)條指令、四芯片、1750指令結(jié)構(gòu)),發(fā)展到第三代空間飛行器(x2000 system flight compuer,SFC)(PowerPC 750CPU),執(zhí)行復(fù)雜的密鑰算法是可行的,且其運(yùn)算速度低于秒級(jí),遠(yuǎn)低于空間信道的傳輸延時(shí)級(jí)別.因此對(duì)比傳輸延時(shí)代價(jià),計(jì)算延時(shí)代價(jià)可以忽略不計(jì).空間實(shí)體的能量水平從早期的短壽命的鋅銀電池,到目前支持大功率的長(zhǎng)壽命的可持續(xù)的太陽(yáng)能混合燃料電池,使得支撐更為復(fù)雜的空間任務(wù)成為可能[25].因此,無(wú)地面控制中心支持,在具有高性能處理器和高水平能量電池的空間實(shí)體上本地執(zhí)行復(fù)雜的安全協(xié)議是可行的.

綜上所述,自主星上處理能力是未來(lái)深空網(wǎng)絡(luò)的發(fā)展趨勢(shì),設(shè)計(jì)具有自主性的安全協(xié)議和密鑰管理方案是符合這一趨勢(shì)要求的,但是自主深空安全策略和其他星上的自主能力是有區(qū)別的.

1 深空網(wǎng)絡(luò)密鑰管理性能需求

如圖1所示,深空通信具有距離遙遠(yuǎn)、長(zhǎng)延時(shí)傳輸、空間環(huán)境復(fù)雜、數(shù)據(jù)傳輸誤碼率較高、間斷連接鏈路、非對(duì)稱(chēng)信道帶寬、異構(gòu)通信實(shí)體、動(dòng)態(tài)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、成本高昂和后期維護(hù)困難等特點(diǎn).通過(guò)建立若干行星附近的近空網(wǎng)絡(luò),并通過(guò)星際主干網(wǎng)絡(luò)將這些近空網(wǎng)絡(luò)連接起來(lái),提高深空網(wǎng)絡(luò)的通信效率[26-27].目前已經(jīng)提出的4種空間通信協(xié)議體系,基于CCSDS的空間協(xié)議結(jié)構(gòu)[28]、基于TCP/IP 的空間協(xié)議結(jié)構(gòu)[29]、結(jié)合CCSDS與TCP/IP的空間協(xié)議結(jié)構(gòu)[30]、基于容延遲/中斷網(wǎng)絡(luò)的空間協(xié)議結(jié)構(gòu)[31-32],都是借鑒地面無(wú)線(xiàn)網(wǎng)絡(luò)的密鑰管理方式,密鑰管理的性能不能滿(mǎn)足深空通信需求,如密鑰更新難以保證密鑰的新鮮性.

圖1 深空通信Fig.1 Deep space networks for communication

既然依賴(lài)基礎(chǔ)設(shè)備,如KMC的密鑰管理策略不足以滿(mǎn)足深空網(wǎng)絡(luò)的安全需要,執(zhí)行本地化的密鑰管理策略勢(shì)在必行,所以深空網(wǎng)絡(luò)的密鑰管理有2種狀態(tài):①基于可靠的端到端的鏈接的KMC密鑰管理模式,即地面控制中心的KMC能夠和深空網(wǎng)絡(luò)中實(shí)體建立可靠的端到端的鏈接,并且其策略的延時(shí)是可容忍的,基于KMC的密鑰管理好處在于密鑰的計(jì)算任務(wù)由KMC承擔(dān),但是延時(shí)較長(zhǎng);②基于非可靠的端到端鏈接的本地節(jié)點(diǎn)的密鑰管理模式,即由網(wǎng)絡(luò)成員分擔(dān)網(wǎng)絡(luò)密鑰管理任務(wù),優(yōu)點(diǎn)是能夠靈活應(yīng)對(duì)網(wǎng)絡(luò)環(huán)境的變化,減少密鑰管理延時(shí),缺點(diǎn)是網(wǎng)絡(luò)成員需要承擔(dān)大量的計(jì)算任務(wù),并且為了保證協(xié)議的正確執(zhí)行,成員的秘密配置信息可能需要被告知管理者,進(jìn)而威脅秘密配置信息.因此,為滿(mǎn)足本地節(jié)點(diǎn)的密鑰管理中成員間無(wú)需公開(kāi)秘密配置信息的目的,設(shè)計(jì)在安全性上等效于基于KMC的密鑰管理方案的本地節(jié)點(diǎn)的自主密鑰管理模式是一個(gè)挑戰(zhàn).

在基于本地節(jié)點(diǎn)的密鑰管理模式中,網(wǎng)絡(luò)成員具有比集中式密鑰管理方案中成員更強(qiáng)的能力,能夠承擔(dān)基于KMC密鑰管理模式中面向自身的密鑰管理任務(wù).成員可根據(jù)效率和本地上下文情景選擇2種模式中的一種,或者混合模式,并能執(zhí)行優(yōu)化策略,具有更好的性能,如圖2所示.該模式下, 深空網(wǎng)絡(luò)成員的密鑰管理降低對(duì)地面基礎(chǔ)設(shè)施和可靠端到端鏈路的依賴(lài), 降低密鑰材料傳輸?shù)姆秶途嚯x, 從而提高密鑰管理的成功率.

圖2 自主密鑰管理節(jié)點(diǎn)狀態(tài)轉(zhuǎn)移Fig.2 State transition of autonomic management node

2 自主密鑰管理屬性

基于自主的深空網(wǎng)絡(luò)密鑰管理的最終目的是盡量減少地面控制中心的KMC的實(shí)時(shí)任務(wù)管理的復(fù)雜度,能夠根據(jù)環(huán)境的變化作出可靠的密鑰管理策略[33-34].基于自主的深空網(wǎng)絡(luò)密鑰管理除了需要滿(mǎn)足密鑰管理的基本安全和效率屬性外,還應(yīng)該具有如下的安全和效率屬性:自組織、自配置、自保護(hù)、自?xún)?yōu)化和可視性.

2.1 自組織

2.2 自配置

2.3 自保護(hù)

自保護(hù)是指由于KMC最高的安全性和較高的能力,任何節(jié)點(diǎn)的安全行為對(duì)KMC都是可視的,因此基于KMC的安全策略對(duì)成員秘密配置參數(shù)的修改是安全的.相反,基于本地節(jié)點(diǎn)的安全策略可能引發(fā)篡改其他成員秘密參數(shù)或破壞其合法性的問(wèn)題,在密鑰管理中,由于公開(kāi)加密密鑰的更新,使得其他成員的私有密鑰的合法性被破壞,成員需要重新執(zhí)行密鑰協(xié)議,或者暴露秘密密鑰材料.密鑰管理的自保護(hù)的意義在于基于本地節(jié)點(diǎn)的密鑰管理不會(huì)威脅其他成員的秘密參數(shù),具有KMC的部分密鑰管理功能,該部分內(nèi)容只限定在密鑰管理對(duì)象為本身節(jié)點(diǎn)時(shí).因此深空成員的密鑰管理的自保護(hù)顯得十分重要,這種自保護(hù)對(duì)于KMC是無(wú)用的,但是卻能夠保證節(jié)點(diǎn)自身的密鑰管理功能不會(huì)被其他節(jié)點(diǎn)的密鑰管理功能影響和破壞[35].綜上所述,自主密鑰管理中的自保護(hù)具有4層含義:①在KMC缺失的情況下,成員工作能夠保證密鑰管理工作正確的執(zhí)行;②成員在執(zhí)行密鑰管理工作中不會(huì)降低系統(tǒng)的安全性;③成員執(zhí)行密鑰管理不會(huì)破壞其他節(jié)點(diǎn)的安全性;④成員的合法密鑰管理功能不能被其他節(jié)點(diǎn)替代.

設(shè)密鑰管理的安全目標(biāo)為Γ,節(jié)點(diǎn)ui的安全目標(biāo)為Γui,滿(mǎn)足式(1),

(1)

KMC在密鑰管理中行為的安全性表示為

(2)

成員在密鑰管理中行為的安全性表示為

(3)

則密鑰管理的自保護(hù)性可以表示為

(4)

2.4 自?xún)?yōu)化

密鑰管理的自?xún)?yōu)化是指,在可靠端到端聯(lián)系下,KMC能夠及時(shí)獲取網(wǎng)絡(luò)的全局信息,執(zhí)行最優(yōu)化的密鑰管理策略.但是在深空網(wǎng)絡(luò)中,KMC獲取的信息可能是陳舊的,不僅不能優(yōu)化密鑰管理性能,反而可能會(huì)對(duì)環(huán)境變化做出錯(cuò)誤反應(yīng).因此,深空網(wǎng)絡(luò)節(jié)點(diǎn)需要有能力根據(jù)環(huán)境的變化調(diào)整密鑰管理策略,提高密鑰管理的性能.

2.5 可視性

密鑰管理的可視性,KMC在密鑰管理中的核心地位是不變的,網(wǎng)絡(luò)中所有成員的安全配置信息對(duì)KMC都是可視的,即在可靠端到端連接允許的情況下,任何成員都必須向KMC匯報(bào)自己的安全配置參數(shù),然而這種可視性?xún)H僅限于KMC.也因此自主密鑰管理方案中KMC和成員都可以作為密鑰管理執(zhí)行的發(fā)起者,但是它們是有區(qū)別的,KMC對(duì)所有成員的秘密安全參數(shù)都是可視的,而成員只有自己的秘密配置參數(shù).

2.6 自主密鑰管理定義

基于以上的自組織、自配置、自保護(hù)、自?xún)?yōu)化和可視性屬性,無(wú)論KMC支撐還是缺乏KMC支撐,密鑰協(xié)議都可成功執(zhí)行,并且在安全性能上等價(jià).可靠性是深空網(wǎng)絡(luò)密鑰管理中需要重點(diǎn)考慮的屬性,自保護(hù)屬性嚴(yán)格界定了KMC和成員間的安全邊界,是判斷密鑰管理自主性的基本條件,因此自保護(hù)處于自主密鑰管理安全核心地位.因此自主密鑰管理中的安全具有3層含義:①在無(wú)KMC支持的情況下,成員能夠保證組密鑰管理任務(wù)正確的執(zhí)行;②動(dòng)態(tài)成員在執(zhí)行密鑰管理任務(wù)中不會(huì)降低系統(tǒng)的安全性,保護(hù)密鑰更新的前向和后向安全性;③動(dòng)態(tài)成員執(zhí)行密鑰管理任務(wù)不會(huì)破壞其他節(jié)點(diǎn)的安全性,其他成員的私有秘密值不能被篡改.

3 自主密鑰管理模型

提出獨(dú)立性單加密密鑰多解密密鑰密鑰更新模型(autonomic one-encryption-key multi-decryption-key rekeying model, AOMRM),即AOMRM在保證密鑰更新獨(dú)立特性同時(shí),更新成員具有獨(dú)立更新加密密鑰的能力.如圖3所示,密鑰管理中通過(guò)密鑰交互協(xié)議協(xié)商共享加密密鑰,當(dāng)有成員加入或退出網(wǎng)絡(luò)時(shí),由加入或退出成員執(zhí)行密鑰更新過(guò)程,注冊(cè)或撤銷(xiāo)自己的私有秘密密鑰的合法性,并且密鑰更新的實(shí)施者不能威脅其他合法成員私有解密密鑰合法性,即使加入或退出節(jié)點(diǎn)的是一個(gè)惡意成員.

圖3 自主單加密密鑰多解密加密解密模型的密鑰更新模型Fig.3 Autonomic rekeying model of one-encryption-key multi-decryption-key protocol

定義2 自主密鑰更新模型,不僅滿(mǎn)足獨(dú)立密鑰更新條件,而且更新成員ui在密鑰更新活動(dòng)Prekeying中生成的加密密鑰不會(huì)破壞其他成員的私有解密密鑰的合法性,無(wú)需非更新成員參與密鑰更新過(guò)程.

定理1 AOMRM滿(mǎn)足自保護(hù)性.

證明 在更新前更新后的參數(shù)如表1所示.

表1 OORM在更新前更新后的參數(shù)Table 1 Parameters of OORM before and after rekeying

KMC在密鑰管理中的安全目標(biāo)表示為

(5)

更新成員在密鑰管理中行為的安全性表示為

(6)

非更新成員在密鑰管理中行為的安全性表示為

Γi:Dskeyj,j≠i(Eekey(m))=Dskeyj,j≠i(Eekey′(m))=m.

(7)

由此定理1得證.

4 結(jié) 語(yǔ)

本文分析深空網(wǎng)絡(luò)實(shí)體的特點(diǎn)和自主密鑰管理的屬性,不僅具有地面無(wú)線(xiàn)網(wǎng)絡(luò)密鑰管理的安全和效率,而且需要滿(mǎn)足自主密鑰管理的自組織、自配置、自保護(hù)、自?xún)?yōu)化和可視性等屬性.設(shè)計(jì)基于自主的深空網(wǎng)絡(luò)密鑰管理架構(gòu),自主密鑰管理方案不僅可以提供可靠端到端鏈接的KMC服務(wù),而且支持節(jié)點(diǎn)自主的管理密鑰.分析自保護(hù)屬性的內(nèi)容,指出自保護(hù)屬性是深空密鑰管理的最重要的屬性.從密鑰更新角度研究四種密鑰更新模型,基于單加密密鑰多解密密鑰加密解密模型提出獨(dú)立密鑰更新模型和自主密鑰更新模型,闡述基于自主密鑰更新模型的密鑰管理具有更好的性能.