周 健, 孙丽艳

(1. 北京邮电大学 计算机学院, 北京 100083;2. 安徽财经大学 管理科学与工程学院, 安徽 蚌埠 233041)

随着空间活动的日益增多,基于一跳方式的空间通信难以满足空间任务需要,基于多跳方式的深空通信网络被提出[1-3].然而空间环境的复杂多变和网络覆盖的面积较大,导致数据传输延时较长,链路具有间断连通的特点[4],这一现状导致深空的安全问题比地面无线网络更为突出[5-6].密钥管理作为网络安全技术的基础,是深空网络安全研究必不可少的内容[7].目前对深空网络的密钥管理研究主要集中在卫星网络[8-10],如文献[11-13]在LKH[14]方案的基础上根据卫星网络的拓扑特点进行优化,但仍需KMC负责密钥管理任务;文献[15]对卫星网络采用分层分簇,减少密钥更新开销;文献[16]针对近地空间网络使用基于身份的密钥协议消除对证书的依赖,并使用分簇方法提高更新效率;文献[12]采用结合LKH和GDH[17]方案提高卫星网络的带宽利用率.CCSDS制定了空间通信协议(space communications protocol specification,SCPS)[18],为安全协议预留了安全字段,但是仅仅为深空密钥管理提供基础.上述密钥管理方案适合延时较短的地面与卫星间的通信网络,密钥管理服务中心(key management center,KMC)能够提供实时密钥管理服务,因此该类方案不适合长延时、间断连通的深空网络组密钥管理任务需要[19].

随着高集成度专用芯片的开发和利用[20],以及可持续能源的高能电池的配备[21],星上处理能力日益提高,空间实体的自主能力越来越强[22],目前星上处理的研究主要包括:空间探测器的自主管理、空间飞行器自主导航、软件信息系统自主管理.在文献[23-24]中给出自主网络的定义,构造基于知识库的深空网络自主管理方案,以及自主网络需要满足的4个属性:自配置、自恢复、自优化和自保护.空间网络的自主化必须建立在一定硬件基础上.目前空间飞行器搭载的处理器从第一代空间飞行器通用计算器(spacecraft common flight computer,CFC)(每秒1百万条指令、四芯片、1750指令结构),发展到第三代空间飞行器(x2000 system flight compuer,SFC)(PowerPC 750CPU),执行复杂的密钥算法是可行的,且其运算速度低于秒级,远低于空间信道的传输延时级别.因此对比传输延时代价,计算延时代价可以忽略不计.空间实体的能量水平从早期的短寿命的锌银电池,到目前支持大功率的长寿命的可持续的太阳能混合燃料电池,使得支撑更为复杂的空间任务成为可能[25].因此,无地面控制中心支持,在具有高性能处理器和高水平能量电池的空间实体上本地执行复杂的安全协议是可行的.

综上所述,自主星上处理能力是未来深空网络的发展趋势,设计具有自主性的安全协议和密钥管理方案是符合这一趋势要求的,但是自主深空安全策略和其他星上的自主能力是有区别的.

1 深空网络密钥管理性能需求

如图1所示,深空通信具有距离遥远、长延时传输、空间环境复杂、数据传输误码率较高、间断连接链路、非对称信道带宽、异构通信实体、动态网络拓扑结构、成本高昂和后期维护困难等特点.通过建立若干行星附近的近空网络,并通过星际主干网络将这些近空网络连接起来,提高深空网络的通信效率[26-27].目前已经提出的4种空间通信协议体系,基于CCSDS的空间协议结构[28]、基于TCP/IP 的空间协议结构[29]、结合CCSDS与TCP/IP的空间协议结构[30]、基于容延迟/中断网络的空间协议结构[31-32],都是借鉴地面无线网络的密钥管理方式,密钥管理的性能不能满足深空通信需求,如密钥更新难以保证密钥的新鲜性.

图1 深空通信Fig.1 Deep space networks for communication

既然依赖基础设备,如KMC的密钥管理策略不足以满足深空网络的安全需要,执行本地化的密钥管理策略势在必行,所以深空网络的密钥管理有2种状态:①基于可靠的端到端的链接的KMC密钥管理模式,即地面控制中心的KMC能够和深空网络中实体建立可靠的端到端的链接,并且其策略的延时是可容忍的,基于KMC的密钥管理好处在于密钥的计算任务由KMC承担,但是延时较长;②基于非可靠的端到端链接的本地节点的密钥管理模式,即由网络成员分担网络密钥管理任务,优点是能够灵活应对网络环境的变化,减少密钥管理延时,缺点是网络成员需要承担大量的计算任务,并且为了保证协议的正确执行,成员的秘密配置信息可能需要被告知管理者,进而威胁秘密配置信息.因此,为满足本地节点的密钥管理中成员间无需公开秘密配置信息的目的,设计在安全性上等效于基于KMC的密钥管理方案的本地节点的自主密钥管理模式是一个挑战.

在基于本地节点的密钥管理模式中,网络成员具有比集中式密钥管理方案中成员更强的能力,能够承担基于KMC密钥管理模式中面向自身的密钥管理任务.成员可根据效率和本地上下文情景选择2种模式中的一种,或者混合模式,并能执行优化策略,具有更好的性能,如图2所示.该模式下, 深空网络成员的密钥管理降低对地面基础设施和可靠端到端链路的依赖, 降低密钥材料传输的范围和距离, 从而提高密钥管理的成功率.

图2 自主密钥管理节点状态转移Fig.2 State transition of autonomic management node

2 自主密钥管理属性

基于自主的深空网络密钥管理的最终目的是尽量减少地面控制中心的KMC的实时任务管理的复杂度,能够根据环境的变化作出可靠的密钥管理策略[33-34].基于自主的深空网络密钥管理除了需要满足密钥管理的基本安全和效率属性外,还应该具有如下的安全和效率属性:自组织、自配置、自保护、自优化和可视性.

2.1 自组织

2.2 自配置

2.3 自保护

自保护是指由于KMC最高的安全性和较高的能力,任何节点的安全行为对KMC都是可视的,因此基于KMC的安全策略对成员秘密配置参数的修改是安全的.相反,基于本地节点的安全策略可能引发篡改其他成员秘密参数或破坏其合法性的问题,在密钥管理中,由于公开加密密钥的更新,使得其他成员的私有密钥的合法性被破坏,成员需要重新执行密钥协议,或者暴露秘密密钥材料.密钥管理的自保护的意义在于基于本地节点的密钥管理不会威胁其他成员的秘密参数,具有KMC的部分密钥管理功能,该部分内容只限定在密钥管理对象为本身节点时.因此深空成员的密钥管理的自保护显得十分重要,这种自保护对于KMC是无用的,但是却能够保证节点自身的密钥管理功能不会被其他节点的密钥管理功能影响和破坏[35].综上所述,自主密钥管理中的自保护具有4层含义:①在KMC缺失的情况下,成员工作能够保证密钥管理工作正确的执行;②成员在执行密钥管理工作中不会降低系统的安全性;③成员执行密钥管理不会破坏其他节点的安全性;④成员的合法密钥管理功能不能被其他节点替代.

设密钥管理的安全目标为Γ,节点ui的安全目标为Γui,满足式(1),

(1)

KMC在密钥管理中行为的安全性表示为

(2)

成员在密钥管理中行为的安全性表示为

(3)

则密钥管理的自保护性可以表示为

(4)

2.4 自优化

密钥管理的自优化是指,在可靠端到端联系下,KMC能够及时获取网络的全局信息,执行最优化的密钥管理策略.但是在深空网络中,KMC获取的信息可能是陈旧的,不仅不能优化密钥管理性能,反而可能会对环境变化做出错误反应.因此,深空网络节点需要有能力根据环境的变化调整密钥管理策略,提高密钥管理的性能.

2.5 可视性

密钥管理的可视性,KMC在密钥管理中的核心地位是不变的,网络中所有成员的安全配置信息对KMC都是可视的,即在可靠端到端连接允许的情况下,任何成员都必须向KMC汇报自己的安全配置参数,然而这种可视性仅仅限于KMC.也因此自主密钥管理方案中KMC和成员都可以作为密钥管理执行的发起者,但是它们是有区别的,KMC对所有成员的秘密安全参数都是可视的,而成员只有自己的秘密配置参数.

2.6 自主密钥管理定义

基于以上的自组织、自配置、自保护、自优化和可视性属性,无论KMC支撑还是缺乏KMC支撑,密钥协议都可成功执行,并且在安全性能上等价.可靠性是深空网络密钥管理中需要重点考虑的属性,自保护属性严格界定了KMC和成员间的安全边界,是判断密钥管理自主性的基本条件,因此自保护处于自主密钥管理安全核心地位.因此自主密钥管理中的安全具有3层含义:①在无KMC支持的情况下,成员能够保证组密钥管理任务正确的执行;②动态成员在执行密钥管理任务中不会降低系统的安全性,保护密钥更新的前向和后向安全性;③动态成员执行密钥管理任务不会破坏其他节点的安全性,其他成员的私有秘密值不能被篡改.

3 自主密钥管理模型

提出独立性单加密密钥多解密密钥密钥更新模型(autonomic one-encryption-key multi-decryption-key rekeying model, AOMRM),即AOMRM在保证密钥更新独立特性同时,更新成员具有独立更新加密密钥的能力.如图3所示,密钥管理中通过密钥交互协议协商共享加密密钥,当有成员加入或退出网络时,由加入或退出成员执行密钥更新过程,注册或撤销自己的私有秘密密钥的合法性,并且密钥更新的实施者不能威胁其他合法成员私有解密密钥合法性,即使加入或退出节点的是一个恶意成员.

图3 自主单加密密钥多解密加密解密模型的密钥更新模型Fig.3 Autonomic rekeying model of one-encryption-key multi-decryption-key protocol

定义2 自主密钥更新模型,不仅满足独立密钥更新条件,而且更新成员ui在密钥更新活动Prekeying中生成的加密密钥不会破坏其他成员的私有解密密钥的合法性,无需非更新成员参与密钥更新过程.

定理1 AOMRM满足自保护性.

证明 在更新前更新后的参数如表1所示.

表1 OORM在更新前更新后的参数Table 1 Parameters of OORM before and after rekeying

KMC在密钥管理中的安全目标表示为

(5)

更新成员在密钥管理中行为的安全性表示为

(6)

非更新成员在密钥管理中行为的安全性表示为

Γi:Dskeyj,j≠i(Eekey(m))=Dskeyj,j≠i(Eekey′(m))=m.

(7)

由此定理1得证.

4 结 语

本文分析深空网络实体的特点和自主密钥管理的属性,不仅具有地面无线网络密钥管理的安全和效率,而且需要满足自主密钥管理的自组织、自配置、自保护、自优化和可视性等属性.设计基于自主的深空网络密钥管理架构,自主密钥管理方案不仅可以提供可靠端到端链接的KMC服务,而且支持节点自主的管理密钥.分析自保护属性的内容,指出自保护属性是深空密钥管理的最重要的属性.从密钥更新角度研究四种密钥更新模型,基于单加密密钥多解密密钥加密解密模型提出独立密钥更新模型和自主密钥更新模型,阐述基于自主密钥更新模型的密钥管理具有更好的性能.