[发明专利]一种SCPS-SP多安全等级及抗重放功能的设计方法

权利要求书

1.一种SCPS-SP多安全等级及抗重放功能的设计方法，其特征在于，包括：

S1，基于空间通信协议规范-安全协议(SCPS-SP)，提出一种分等级的多级安全报文设计及协商流程；

所述S1中分级安全保护方法包括：

S1-1，安全等级的划分，根据用户对安全需求的不同，将安全等级划分为A、B、C三个等级，分别区分所能提供的不同的安全服务，然后在每一个等级之下又划分三个小等级1、2、3分别代表在服务中使用的不同算法；

S1-2，安全联盟的协商，在用户选择了S1-1中确定等级的安全策略后，系统根据用户所选的安全策略进行安全联盟的协商；

S2，在SCPS-SP中增加了一种抗重放功能，提出一种抗重放功能的报文设计及实施过程；

所述S2中增加的抗重放功能包括：

S2-1，SCPS-SP头部的改动，在SCPS-SP的保护头中添加一个32bit长度的抗重放域，用来存放序列号，且在保护头的安全选项符中增加一位抗重放功能标签，控制抗重放服务的使用与否，1表示使用，0表示不使用；

S2-2，抗重放功能的实现，用户进行通信的时候，发送方在封装安全传输报文时在SCPS-SP报文保护头内的抗重放域写进一个32bit的序列号，这个序列号在安全联盟(SA)产生时被设置为0，以后每在这个SA上传输一次数据就加1，而在接收方我们设置一个长度为64的滑动窗口，窗口最左边序号为N，最右边序号为N+63，如果接收到的报文的序列号在滑动窗口左边则直接丢弃；如果接收到的报文在滑动窗口内部且在这之前没有收到过相同序列号的报文就接收此报文；如果接收到的报文的序列号在滑动窗口右边则直接接收。

2.根据权利要求1所述的一种SCPS-SP多安全等级及抗重放功能的设计方法，其特征在于，所述S1-1中安全等级具体划分方法包括：

S1-1-1，安全等级标签的设定，将SCPS-SP报文保护头中的安全等级域设定为8bit的长度，从左到右依次为bit7～bit0，其中bit7～bit4用来区分A、B、C三种服务等级，分别表示为A：1010，B：1011，C：1100，bit3～bit0用来区分每一服务等级下的1、2、3三个小等级分别表示为：1：0001，2：0010，3：0011；

S1-1-2，每一安全等级标签所确定的安全服务，根据S1-1-1所述共有9个安全等级标签，其分别对应确定的安全服务为：

1010 0001表示A1等级，所使用的安全保护为完整性和认证检测，使用的完整性算法为MD5；

1010 0010表示A2等级，所使用的保护为完整性和认证检测，使用的完整性算法为SHA-1；

1010 0011表示A3等级，所使用的安全保护为完整性和认证检测，使用的完整性算法为MD2；

1011 0001表示B1等级，所使用的安全保护为数据加密，使用的加密算法为AES；

1011 0010表示B2等级，所使用的安全保护为数据加密，使用的加密算法为3DES；

1011 0011表示B3等级，所使用的安全保护为数据加密，使用的加密算法为DES；

1100 0001表示C1等级，所使用的安全保护为认证、完整性检测和加密，使用的算法为AES，MD5；

1100 0010表示C2等级，所使用的安全保护为认证、完整性检测和加密，使用的算法为3DES，SHA-1；

1100 0011表示C3等级，所使用的安全保护为认证、完整性检测和加密，使用的算法为DES，MD2；

安全等级标签域的长度为8bit，能够提供2⁸个安全等级，而定义使用的只有9个，余下的0000 0000～1010 0000、1010 0100～1011 0000、1011 0100～1100 0000、1100 0100～1111 1111这些未使用的标签都预留给用户自己根据需要定义使用。