殷明

摘要：论文针对CCSDS（空间数据系统咨询委员会）标准中信息安全规范进行了详细调研，对CCSDS空间信息系统安全规范的最新进展和主要问题进行了总结和提炼，并对我国如何引用CCSDS空间信息安全规范来提升我国空间信息系统的安全进行了分析。

关键词： 空间信息安全;CCSDS标准;安全规范

中图分类号：TP391        文献标識码：A

文章编号：1009-3044（2020）02-0040-07

Abstract： In this paper， according to information security specifications in the CCSDS standards， we summarize the evolution and several important issues of security specifications. To improve the security of space information systems for our country， the usage of the CCSDS space information security specifications is analyzed.

Key words： space information security; CCSDS standards; security specification

1 概述

随着通信技术和信息技术的发展，世界各国都已经开展6G通讯技术研究，6G网络将是一个地面无线与卫星通信集成的全连接世界。通过将卫星通信整合到6G移动通信，实现全球无缝覆盖，网络信号能够抵达任何一个偏远的地区。在这个开放空间通信系统里，数据安全一直受到重点关注，特别是在数据系统设计和任务实施中，数据安全更占有举足轻重的地位。

空间数据系统咨询委员会（The Consultative Committee for Space Data Systems，CCSDS）是一个以美国宇航局（National Aeronautics and Space Administration，NASA）和欧洲航天局（European Space Agency，ESA）为主体，由多国空间组织共同组成的国际性标准化组织。自1982年以来，CCSDS一直致力于空间数据系统的标准化工作，制定标准化的通信体系结构、通信协议与业务。三十多年来，CCSDS推出了一整套技术建议书，并且其中一部分已经直接转化为国际标准化组织的正式国际标准。CCSDS标准不仅为实现开放互连的国际空间数据系统网奠定了技术基础，而且还反映了世界空间数据系统的最新技术发展动态。该组织的宗旨是通过技术协商方式，建立一整套空间数据系统的标准，以便实现广泛的国际合作和相互支持。

为了应对空间数据通信中所面临的安全问题，CCSDS已经专门成立了一个安全工作组（CCSDS Security Working Group），该小组主要从事安全指南和安全标准的制定工作，以及为CCSDS其他工作组提供有关安全方面的建议和指导。到目前为止，CCSDS安全工作组已经颁布了十余本空间数据安全方面的蓝皮书和绿皮书，内容主要涵盖了空间数据安全的如下方面：空间数据安全需求和安全威胁、空间数据系统的安全体系结构、安全协议、密钥管理、密码算法和身份验证/完整性算法设计等[1]-[9]。安全工作组还在进一步完善对空间数据安全的标准制定工作，如空间数据安全通信协议、对称密钥管理规范和CCSDS安全算法设计等。

2 CCSDS空间任务安全威胁

在2006年CCSDS颁布的空间任务安全威胁绿皮书（CCSDS 350.1-G-1）[3]中，根据空间任务安全需求对空间任务系统所面临的安全威胁类型和具体的空间任务安全威胁进行了分析。

对空间任务系统的威胁包括：空间数据损坏、地面系统的物理攻击、空间数据窃听、数据阻塞攻击、伪装攻击、重放攻击、软件威胁和非授权访问。CCSDS空间任务威胁可以分为主动威胁和被动威胁两类。

典型主动威胁类型有通信系统拥塞（DoS攻击）、非授权系统访问、可信数据包重放、伪装成合法实体、软件脆弱点扫描、非授权数据修改、恶意软件等。典型的被动威胁有通信链路窃听、软件脆弱性探测、流量分析等。被动式威胁一般不会导致系统中信息的改动，系统自身将不受影响。这类危害一般是数据机密性的丧失。主动式攻击将带来对信息的更改或对系统操作状态恶意的改变。主动式威胁通过破坏数据的完整性或降低系统的可用性来损坏数据通信系统的信息。

CCSDS 350.1-G-1中针对不同类型的空间任务进行了安全威胁分析。任务类型主要包括：载人航天器、气象卫星（LEO和GEO）、通信卫星（LEO和GEO）、科学任务和导航卫星。表 1给出了通信卫星的安全威胁分析。如图 1所示，显示了通信链路体系结构中不同链路节点可能面临的安全威胁。

3 CCSDS空间数据系统安全体系结构

目前，CCSDS正在对空间数据系统安全体系结构规范进行评审和修订。在2011年公布的体系结构草案（CCSDS 351.0-R-1）[2]中，根据CCSDS体系结构工作组（CCSDS Architecture Working Group）所提出的空间数据系统参照架构（Reference Architecture for Space Data Systems，RASDS）设计一个空间数据系统安全参照架构（Security Reference Architecture for Space Data Systems，SASDS）。利用SASDS，（1）建立一个完整的CCSDS概念框架，将安全与空间任务数据系统相结合;（2）定义一种通用的语言和描述方法，描述空间数据系统中的安全问题（风险、需求和解决方法）;（3）为空间任务系统的安全设计提供一个信息源;（4）有利于其他标准的制定。

3.1 CCSDS安全参照架构

3.1.1 企业视图

企业视图的安全性主要包括安全策略和组织间的信任两个方面，特别是那些需要交互支持和互操作的机构。在开发一个空间任务时，可能需要许多组织共同参与。为了确保所设计的安全方法在不同组织间的一致性，需要建立一种安全策略用来解释高层的安全需求、角色和任务职责。由主代理提出网络安全要求，其他代理机构连接其网络时，必须遵循这些安全要求。所有这些接口和安全要求必须在代理间的合同或服务协议中被明确。

安全体系结构需要考虑两种截然不同的信任关系：（1）所有机构相互信任（至少在一个系统级），整个系统的安全性由最弱的机构确定，且风险与相关联系统有关。（2）机构不完全互相信任，有关注基础设施和关注数据两种交互方法。

组织间关系类型会影响他们相互作用的性质和确保安全的方式。企业视图的任务结构能揭示需要开发什么安全策略，识别哪些信任关系是假象。

如图 2所示，一个机构对另一机构进行网络遥测、跟踪和控制（Telemetry Tracking and Control，TT&C）。主代理可能的网络安全要求，其他代理机构连接其网络时必须遵循。此外，该机构提供测控支持服务，也可能获取任务数据，作为方案补偿的一部分（如图2例中的科学团队）。应该定义和记录这些接口和技术数据交换点;协议应建立对他们的管理和实现（如安全机制相关的接入控制、认证和机密性的使用）。

3.1.2 连接视图

连接视图反映执行太空任务的数据网络物理节点的位置以及节点间的通讯关系，如图 3所示。

应用通信链路的任何安全增强系统必须能够处理通信中断、不对称通信、通信速度和通信质量等问题。如占用现有可用通信资源的90%或在轨CPU绝大多数时钟周期的安全系统一定不会被采用。

使用連接视图可对任务的功能和性能进行完全分析时，从而允许任务规划者可考虑这诸多因素，并选用恰当的安全方法。

从连接视图的系统分析，可以找到通信网络的防护要点，从而很好地部署网关和边界设备等网络工具。

考虑连接视图安全时，从飞船回送数据的所有环节的风险都要考虑，包括中间节点及通信链路，如中继星、地面站、WAN、空间链路、任务控制、载荷控制和终端用户系统。可能存在的安全风险有：射频信号的干扰;窃听;信号丢失（无论是否是预期的）;使用地面系统连接的开放网络。

3.1.3 功能视图

功能视图定义了系统的功能，它是任务生命周期的第一个视图，因为在任务设计之初就应考虑其安全性，这可以节省大量时间和物资开销。

安全体系的功能视图设计应在任务功能体系设计之后随即进行，因为安全体系就是描述任务功能模块间及与外部系统之间如何交互以满足系统安全需求。

安全功能视图将记录诸如连接访问控制、密钥管理、功能和逻辑安全边界等的安全控制，如物理边界、防火墙的部署。

图 4提供了一个任务的功能结构和其在系统分配的物理节点。这些分配将完成，以满足任务目标和设计，并且可以选择作为一个设计权衡的结果。诸如无人驾驶组件（例如地面传感器站的作用）或与外部实体的联系特征在系统安全设计中需要特殊考虑，包括访问控制如何管理和共享资源如何管理。

3.1.4 信息视图

信息安全控制系统内的数据如何保护，数据如何存储，以及系统功能元素间如何传输，这在信息安全视图上有体现，如图 5所示。

需要考虑的重要问题是航天器的遥控和数据隐私问题。信息视图设计必须考虑航天器（或地基设施）怎样能验证命令的来源合法性，并详细讨论数据的机密性如何管理。

针对以下安全服务，从信息视图考察系统风险：可验证性;机密性;完整性;可用性;不可抵赖性。

3.1.5 通信视图

通信视图描述了支持系统网络节点间通信的分层协议，如所示。从安全角度来说，这有助于描述不同的通信安全机制如何适用于整体通信栈架构。

利用通信视图的安全分析将考虑元素之间如何通信，从而决定在任务中使用CCSDS安全架构的哪些部分，以及部署安全栈的哪些层。

根据任务的安全需求，通信链路安全可能应用于一个或多个层上。应用层加密可使应用数据安全，但使通信栈的其余部分都以明文形式进行操作;网络层加密将有效加密用户和目标应用程序之间端到端的数据流;如果任务需求和物理部署可行，也可以对空间或地面单一链路进行加密。在这些例子中，网路和链路参数以明文传输，仅数据内容受保护。在一些任务配置中，需要更高层次的安全，如保护所有路由信息以防流量分析或应用物理层加密。

3.2 安全核心套件模式

一个安全核心套件如图 7所示。由于航天器的安全配置很灵活，因此如果在运行期间威胁发生变化则安全服务也应随之改变。例如，火星任务处于地球轨道运行阶段和试航测试阶段，会面临某些特定的威胁。而当其处于巡航和在站阶段时，威胁形式会发生改变。因此当威胁形式发生变化时，使用可变更的安全架构能够提高通信效率。

上层（例如网络层和应用层）可提供端到端的安全服务。在应用层，提供终端节点上对等应用程序间的安全服务，该服务可以通过某些加密函数来实现。在网络层，提供终端系统间的安全服务，该服务可以通过利用安全网关来实现。在数据链路层，提供跳到跳或者链路到链路的安全服务，该服务可以在通信设备或子系统上实现。

根据不同任务需要提供特定的安全需求。CCSDS安全核心套件已经实施，但也实施了其他两个安全套件，一个是任务机构所授权的，另一个是对这个任务所特有的。通过使用额外的数据链接层和有效载荷的安全机制来扩展其具体任务的安全套件。这体现了CCSDS安全架构的兼容性。

4 CCSDS安全系统协议应用

CCSDS颁布的有关空间系统安全协议的规范有CCSDS安全系统协议应用（350.0-G-2）[1]、空间通信协议规范安全协议（SCPS-SP）部分（713.5-B-1 Cor. 1）[5]和空间数据链路安全协议（355.0-R-1）[4]。如图 8所示，利用空间链路参照模型描绘了一个完整的空间任务数据系统安全体系结构。该模型列出了一些可利用的CCSDS协议，以及四个可以实施安全保护的位置。这四个安全保护实施点包括：物理层、数据链路层、网络层和应用层。

如果任务需要，安全保护也可以在其他层实施（如运输层）。但是，CCSDS只考虑以上四个安全保护实施位置，因为这样可以满足大部分的任务需求。在图 8中并未列出所有的CCSDS协议。

如图 8所示，不同的安全服务可能在航天器通信系统的不同层进行实施，并且在特定任务的数据系统中并非需要对所有层都提供安全服务。下面分别对各个层上的CCSDS安全实施进行阐述。

4.1 块加密（Bulk Encryption）

块加密为通信系统中的所有数据（结构）提供机密性保护。它在物理层实施，提供最高级别的点到点数据机密性保护，亦称为“链路加密”。但是这并不是指在链路层而是在物理链路层对数据进行加密。

任务如果采用CCSDS推荐标准，块加密则表示对整个物理层数据结构单元进行加密。对于遥控指令数据来说，表示加密指令链路传输单元（Command Link Transmission Unit，CLTU）。对于遥测数据来说，表示加密信道访问服务数据单元（Channel Access Service Data Unit，CA_SDU）。对于高级在轨系统（Advanced Orbiting Systems，AOS）数据来说，表示加密物理信道访问协议数据单元（Physical Channel Access Protocol Data Unit，PCA_PDU）。

同样地，可以利用一些技术例如扩频技术（直接序列和跳频）来消除物理层数据拦截和阻断，称其为传输安全（TRANSEC）。

图 9给出了块加密在物理层上各种协议数据结构单元中的具体实现。

4.2 数据链路安全

目前，CCSDS正在制定空间数据链路安全协议规范（355.0-R-2）。CCSDS数据链路安全的实施位置如图 10所示，它可以依据数据类型提供对TM、TC和AOS数据的加密和认证保护。

4.3 网络层安全

4.3.1 SCPS-SP

SCPS-SP的结构如图 11所示。该协议添加了（最小）8比特的明文头部、附加的（最小）8比特的受保护头部、上层协议数据单元（SCPS传输协议）的可变长度ICV。除明文头部以外，其他数据将被加密，所采取的加密由系统定义。由于明文头部未被加密，攻击者能够分析而获得相互通信的实体，而无须知道通信內容（亦被称为流量分析）。可以通过利用链路层加密、扩频/跳频技术来避免流量分析攻击。

4.3.2 空间分组协议安全

空间分组层安全的基本思想如图 12所示。应用层数据将被加密，可选的次级头部也可能被加密。系统低层协议的其他数据域均不被加密。

值得注意的是如果某些任务需要提供空间链路上数据包的安全，那么需要在数据包头部添加一个应用处理标识（Application Process Identifier，APID）用来区分密文数据包和明文数据包。

4.4 应用层安全

安全服务可以在应用层实施，因此如果空间任务使用的是空间分组协议，那么机密性、完整性和认证服务的实施与上述空间分组安全一样。然而，通过利用运输层安全（Transport Layer Security，TLS）技术（也称为安全套接字层，Secure Socket Layer，SSL），每个单独应用可以独立地实施安全服务。首先，应用层服务的使用不需要任何较低层提供安全保护。此外，每个应用需要单独地实施安全机制以提供安全服务，而不是利用较低层所提供的安全服务。较低层的安全服务能够为所有的应用提供安全服务。

另一个在应用层实现的重要的安全服务是访问控制。可以利用安全访问授权数据库实现访问控制。被认证的实体才能获得访问控制授权许可。

4.5 CCSDS安全协议的组合实施

为了满足特定空间任务的需求，通常需要将上述的CCSDS安全实施方法结合使用。安全服务可能在任务数据系统的多个层中同时进行实施。

高安全等级的任务可能需要同时实施网络层安全和较低层的安全，如图 13所示。通过实现网络层安全以提供端到端的数据保护，特别是当数据通过地面网传输时。当低层安全操作仅在空间链路层实施时，是为了防止地面到空间段链路受到流量分析攻击。

包括在轨资源和星间通信的空间系统同样可能采用联合的安全解决方案。联合解决方案包括两部分，在地面-空间链路实现链路层安全，以及在航天器和地面网的通信链路实现网络层安全。

另一个选择是将基于地面网的协议与CCSDS协议结合。例如，某个大学的用户（PI）可能与Internet网络相连，PI通过利用Internet网络协议标准（如IP，IPSEC，TCP，HTTP，TLS/SSL）经由CCSDS地面-空间网关同星上设备通信。网关执行CCSDS SCPS协议并且能够在基于地面网协议的会话和基于SCPS协议的会话之间进行转换。因此PI可以运行一个标准的桌面系统而仅需做小的修改或不需做任何修改（IPSEC需要进行初始配置已建立一个安全地从PI到网关的连接）。桌面系统创建一个安全地到网关的连接意味着创建了一个安全地到航天器的连接。通过这一方式，基于地面网的协议用于Internet网络和基于空间的协议用于空间链路。一种联合的解决方案如图 14所示。因此，无须将基于空间的协议安装于地面系统同样可以实现端到端的安全。同样地，即便是空间环境容许（如足够大带宽、持续覆盖、充足电能）也无须在空间部署基于地面的协议以实现端到端的安全。

5 CCSDS密钥管理及安全算法建议

5.1 空间任务中的密钥管理

2011年CCSDS颁布了空间任务中的密钥管理绿皮书（350.6-G-1）[8]，它描述了空间任务背景下密钥管理相关的核心概念，以及具体的针对空间任务的密钥管理方案。

5.2 密钥基础设施

（1） 秘密密钥基础设施（SKI）

一个典型的秘密密钥分层管理方案如图 15所示，在最底层，利用特定的TPK（通信保护密钥）实施数据的加密和认证操作;TPK由KEK（关键加密密钥）加密后传输给航天器;KEK经Master Key（主密钥）加密后进行传输。

（2） 公钥基础设施（PKI）

一个典型的PKI数字证书生成过程如图 16所示。用户向最近的RA请求身份验证，验证通过后，RA給CA发送数字证书请求，CA生成密钥对和用户证书并进行签名，用户接收到数字证书，并且CA将其拷贝到DIR中，当该证书被撤销时，将其添加到CRL中。

（3） 航天器星座密钥管理系统

CCSDS根据不同的航天器星座拓扑提供了两类密钥管理方案：独立密钥管理和完全互联的星座密钥管理。如果航天器间的控制相互独立，并且可以划分成多个独立的密钥管理系统，那么地面站可视为透明路由实体，而非密钥管理系统的一部分，而星座可以由某个OCC进行集中控制，如图 17所示。

如果航天器、地面站、OCC和用户终端是独立节点，并且每个节点组可能需要建立一个密钥管理关联，那么可以参考基于Internet的密钥管理方案，进而设计合适的组密钥管理协议。

5.3 安全算法建议

2008年CCSDS颁布的绿皮书350.2-G-1[6]和350.3-G-1[7]分别对已有的加密算法和认证算法进行了调研和分析。

CCSDS 350.2-G-1全面考察了13种加密算法，如表 2所示。调研结果显示，最适合的待选算法是Rijindael算法和Kasumi算法。Kasumi算法主要应用于GSM 3GPP，基于Kasumi算法的应用范围广、关注度较窄和对Rijindael算法的应用领域广、关注度广的现状，CCSDS建议采用Rijindael算法（即AES加密算法）。

CCSDS 350.3-G-1考察了数字签名算法、基于哈希的消息验证码算法和基于加密的消息验证码算法。各种认证算法的比较如表 3、表 4和表 5所示。

6 结论

通过不断跟踪和调研分析CCSDS颁布的空间信息安全相关规范，可以为我国空间信息系统安全体系建设和安全技术研究提供很好的参考对象。虽然鉴于空间信息系统安全性的要求，其核心安全技术需要独立研发，但CCSDS作为国际化组织，其在空间数据系统包括数据安全在内的规范化规划发展思路是值得我们借鉴的。

（1） CCSDS已经形成了较完整的数据安全体系架构和技术规范建议，五视图安全体系架构（企业视图、连接视图、功能视图、信息视图和通信视图）的提出，在可操作性上是一个巨大的提高。

（2） CCSDS提出了安全核心套件模式，这提高了针对特定任务安全需求的安全系统兼容能力，对空间信息系统安全策略和动态安全机制设计是一个很好的支持。

（3） CCSDS在安全系统协议应用方面，从物理层、数据链路层、网络层和应用层四个层次讨论了数据安全保护，并对安全实施方法给出了建议，但在基于信息属性的空间信息安全方面还没有深入讨论和明确建议，这方面的研究值得进一步探讨。

（4） CCSDS针对气象卫星、载人航天器、通信卫星、科学试验卫星、导航卫星分析，给出了密钥管理需求和技术标准，其思路值得参考引用。

（5） CCSDS在近几年对空间任务中加密算法和消息验证/完整性算法等给出了明确的推荐标准，CCSDS建议采用AES加密算法、DSA数字签名算法和HMAC消息验证码。CCSDS在安全技术方面的筛选方法值得我们借鉴。

参考文献：

[1] CCSDS. 350.0-G-2 The Application of CCSDS Protocols to Secure Systems [S]. Green Book， Issue 2. Washington， D.C.： CCSDS， January 2006.

[2] CCSDS. 351.0-R-1 Security Architecture for Space Data Systems [S]. Red Book， Issue 1. Washington， D.C.： CCSDS， April 2011.

[3] CCSDS. 350.1-G-1 Security Threats against Space Missions [S]. Green Book， Issue 1. Washington， D.C.： CCSDS， October 2006.

[4] CCSDS. 355.0-R-2 CCSDS Space Data Link Security Protocol [S]. Red Book， Issue 2. Washington， D.C.： CCSDS， February 2012.

[5] CCSDS. 713.5-B-1 Space Communications Protocol Specification （SCPS） - Security Protocol （SCPS-SP） [S]. Blue Book， Issue 1. California： CCSDS， May 1999.

[6] CCSDS. 350.2-G-1 Encryption Algorithm Trade Survey [S]. Green Book， Issue 1. Washington， D.C.： CCSDS， March 2008.

[7] CCSDS. 350.3-G-1 Authentication/Integrity Algorithm Issues Survey [S]. Green Book， Issue 1. Washington， D.C.： CCSDS， March 2008.

[8] CCSDS. 350.6-G-1 Space Missions Key Management Concept [S]. Green Book， Issue 1. Washington， D.C.： CCSDS， November 2011.

[9] CCSDS. 350.7-G-1 Security Guide for Mission Planners [S]. Green Book， Issue 1. Washington， D.C.： CCSDS， October 2011.

【通联编辑：代影】