[发明专利]一种SCPS-SP多安全等级及抗重放功能的设计方法

说明书

本发明提出一种SCPS‑SP多安全等级及抗重放功能的设计方法。首先依据现有的空间通信协议规范‑安全协议(SCPS‑SP)提出一种多等级安全设计，通过划分不同的安全等级满足用户的不同安全需求；其次提出了一种在SCPS‑SP中实现抗重放服务的方法。以上两类设计既满足了空间通信用户多样化的安全需求，也使得用户在进行安全联盟协商时更方便简单，还增加了抗重放功能，避免了用户在中继系统可能遭遇的传输信息被非法用户截获转而重复发送给接收用户，或者对传输信息进行篡改等威胁。

技术领域

本发明涉及通信安全协议的改进，尤其是空间数据通信的安全协议的改进方法。

背景技术

目前，空间信息网络通信成为近年来国内研究的热点，天地空一体化网络也是未来网络发展的重要趋势。与地面通信相比，空间通信系统的覆盖范围更广，拓扑结构变化更加频繁，数据在传输过程中更容易受到攻击。因此，提出一种可靠有效的空间通信安全协议是非常有必要和具有现实意义的。

我国现有的关于空间通信安全协议是由空间数据系统咨询委员会(CCSDS)提出的空间通信协议规范-安全协议(SCPS-SP)，SCPS-SP能够提供一种端到端的安全保护，主要包括完整性保护，身份认证保护，数据机密性保护，它借鉴了地面通信安全协议(IPSec)的保护机制，通过对网络层的数据重新封装组成安全报文(S-PDU)再传送到信道中去来达到安全保护。但是它还有其不足的地方，首先它允许来自下层的头是明文，使得中间系统可以进行中继，但这样做的缺点是被加密的数据有可能被非法用户获得加以非法利用；其次还有一点不足就是在SCPS-SP中定义了安全等级的概念但是没有给出具体的使用标准，使得概念没有得到实际的应用。

为了提高空间通信的安全性和可靠性，本发明将在IPSec和SCPS-SP的基础上提出一种SCPS-SP多安全等级及抗重放功能的设计方法。

发明内容

发明目的：为了克服现有SCPS-SP的不足，本发明提出了对SCPS-SP的两点改进：①具体化了SCPS-SP中的分等级安全保护概念，将数据的安全保护根据用户的不同服务需求分为A、B、C三等，每一等级还根据采用的算法不同分为三个水平值，用户可以选择自己需要的安全等级来实现通信的保护；②在SCPS-SP现有的服务上增加抗重放功能。

为实现本发明的目的，其特征包括：

①定义安全级别映射，确定每一个安全级别控制的信息，明确SCPS-SP报文头中安全级别标签域的长度；②定义抗重放服务的实施过程，以及SCPS-SP报文中抗重放域的长度和抗重放服务选项标识符的设定。

本发明的技术方案如下。

1、安全等级划分

1-1、安全级别映射

本发明根据能提供的不同服务将安全等级分为A、B、C三类，其中每一类又根据所使用的算法的不同分为三个安全水平，为每一个安全水平赋一个唯一的安全标签值。

如附图1，每一个安全等级标签所确定的服务如下：

1010 0001表示A1等级，所使用的安全保护为完整性和认证检测，使用的完整性算法为MD5；

1010 0010表示A2等级，所使用的保护为完整性和认证检测，使用的完整性算法为SHA-1；

1010 0011表示A3等级，所使用的安全保护为完整性和认证检测，使用的完整性算法为MD2；

1011 0001表示B1等级，所使用的安全保护为数据加密，使用的加密算法为AES；

1011 0010表示B2等级，所使用的安全保护为数据加密，使用的加密算法为3DES；

1011 0011表示B3等级，所使用的安全保护为数据加密，使用的加密算法为DES；