關于衛星通信密鑰管理方案的仿真設計*

陳 浩 ，單 莉 ，李欣陽

（1.中國電子科技集團公司第三十研究所，四川 成都 610041；2.北部海軍某部，北京 100000）

0 引 言

衛星移動通信系統由空間段和地面段兩部份組成。空間段包括分布在地球不同軌道平面上的多顆通信衛星，衛星之間通過星際鏈路保持鏈接；地面段包括信關站和手持衛星移動通信終端，信關站之間通過地面運控網保持鏈接。在衛星移動通信系統發展歷程中，雖然有美國摩托羅拉公司“銥星”系統在商業上失敗的案例，但是由于較傳統地面移動通信系統具有通信覆蓋范圍面積大，不容易受地理位置影響的特點，近幾年國內衛星移動通信系統在國內還是有了長遠的發展。2016年8月6日，我國第一顆地球同步軌道移動通信衛星天通一號的發射成功，標志著我國衛星移動通信系統發展進入了一個新的時期[1]。同時，由于衛星系統空間信道的開放性，對衛星系統的安全防護建設也提出了很高的挑戰，主要體現在以下幾個方面：

（1）可擴展性：衛星安全防護系統既要保證不影響各方面通信參數，比如時延、傳輸帶寬、業務質量等，同時還要求具有良好的擴展能力，能迅速適應安全態勢變化，并能夠提供和其他網絡的良好接口。

（2）多應用模式下的密鑰管理：衛星移動通信系統用戶配備面廣、地域范圍大、設備終端數量多、機動性強。衛星移動通信系統是一個多通信模式，多組網方式的復雜通信系統，密鑰管理協議設計的關鍵要素是在不增加系統總體開銷、不降低安全強度的前提下，安全可靠的支撐全網用戶的密鑰分發和管理，

（3）大容量需求：隨著衛星移動系統通信能力的增強，通信網絡規模成倍擴大，對密鑰分發管理提出了更高的管理要求，要能夠管理更多的設備，管理更多的密鑰。相比于原來單通信網10 000以內終端設備管理容量來講，新型衛星移動系統通信網絡普遍管理容量提高到10萬，容量大的甚至達到100萬。

（4）安全協議設計需求：安全防護系統的建設需要一套完善安全協議簇，其中密鑰管理協議是安全協議簇中的基礎和核心，安全可靠和高效的密鑰管理協議可以大大提高衛星移動通信安全防護系統的防護能力。設計完善、安全、可靠、無歧義的密鑰分發協議是需要解決的一個關鍵問題。

1 密鑰管理的作用

密鑰是密碼算法運算過程中的變量，不同的密鑰將會導致產生不同的運算結果。假設算法具有很好的強度，采取窮盡密鑰探索法的方法來破譯密碼體制，即所謂的強力攻擊。如果密鑰的長度越長，則意味著密鑰的變化空間越大，窮盡密鑰所花費的時間則越長。長度為8 bit的密鑰，意味著有256種可能的密鑰，長度為56 bit的密鑰，則意味著密鑰的變化空間為256；長度為64 bit的密鑰，則意味著密鑰的變化空間為264，窮盡探索大概需要花費60萬年的時間。

密鑰與算法之間的關系，類似于鑰匙與門鎖的關系。即使設計再復雜再精妙的門鎖，如果鑰匙被對手掌握，那么門鎖也相當于形同虛設。因此從傳統意義上來看，密鑰的管理始終是安全系統建設中必須克服的一個非常關鍵的問題。假設密碼算法強度足夠復雜，但如果在密鑰管理方面沒有采取有效措施，系統安全的根基是相當不牢固的。

這引出了一個在衛星安全防護系統建設的重要認識，衛星安全防護體制的基礎不僅取決于算法強度，更重要在于密鑰的管理。假設衛星安全體制的強度僅僅是基于破譯者不知道算法之上，那將是很弱的。如果破譯者掌握了雙方通信的密鑰，那么將大大減輕攻擊的強度，因此如何快速獲取通信雙方的密鑰，成為了破譯者攻擊的重點。但是在衛星移動通信系統中，衛星終端密鑰往往需要在衛星信道上進行傳遞。在兩個衛星終端之間建立密話通信過程，首先第一步就是完成雙方密鑰的交換，通信雙方掌握同一組密鑰是進行保密通信的前提條件。密鑰在密話通信建立過程存在泄露的風險，因此建立一個好的密鑰管理協議非常重要。

針對上述問題，在開展密鑰管理協議上需要著重考慮如下因素：

（1）信道條件：可能是單向通路，也可能是雙向通路，這是設計協議時最基本的一個前提條件。在協議的設計上要區別對待。為了便于傳輸，協議設計得盡量簡潔，減少交互次數，信息量少。

（2）完整性：為確保數據在傳輸過程中的完整性，避免被對手篡改，密鑰管理報文需要采取例如CRC等算法，對報文進行完整性保護。

（3）抗重傳攻擊：為了防止破壞者采用截獲重傳方式進行攻擊，協議幀中要加入抗重放措施。

（4）可認證性：協議中要加入發送和接收方的標識，用于確認雙方的身份。

（5）異常處理：由于在開放信道傳輸中，密鑰管理報文可能存在誤碼、亂序等問題，所以協議制定時需要考慮異常處理機制。因為異常情況在工作時很少出現，設備如果缺乏針對性的處理，往往較難發現。

2 系統結構描述

衛星系統密鑰管理仿真系統包括用戶節點、信關站和衛星3種通信模型。系統設置5個信關站，信關站之間通過交換機互聯；用戶終端分布于各個子網中，每個子網中用戶數可配置；星座采用24星walker星座[2]，具體參數如表1所示。

表1 星座具體參數

在5個信關站中，我們設置1個歸屬位置寄存器和4個拜訪位置寄存器，用于存儲全網用戶的身份信息，該信息全網共享。在仿真系統中，各個用戶終端采用查表的方式訪問用戶的身份信息。信關站模型、用戶節點模型和衛星模型之間主要傳遞的數據包括信令和業務數據。

2.1 用戶節點模型

用戶節點模型具備模擬移動衛星手持機的功能，包括衛星手持機開機入網注冊、話音撥號、呼叫建鏈、關機退網和安全加密等功能，可為后續仿真參數統計提供數據支撐。用戶節點模型由手持機業務模型、手持機信令模型和手持機安全保密模型3個部分組成。

手持機業務模型：主要實現手持機業務模塊之間的會話建立，具備調制解調和話音編解碼等功能。

手持機信令模型：主要實現與衛星模型、信關站模型的信令交換，包括用戶入網注冊、上層數據的收發、位置更新、移動切換等處理。

手持機安全保密模型：主要接受信關站中密鑰管理模型的管理，協同手持機其他模型，實現與其它手持機安全保密模型的密話通信功能。該模型包含了接入鑒權入網協議，密鑰協商協議和話音加密同步協議，以及相應的密碼算法。

2.2 信關站模型

在衛星系統中，信關站主要用于接收和處理移動用戶終端發送的各類消息，主要由話音數據消息和管理消息兩類組成。按照功能模塊組成，信關站模型包括了用戶身份信息管理模型、衛星信道管理模型、密鑰管理中心模型和認證鑒權中心模型，

用戶身份信息管理模型：主要用于管理用戶的身份信息，包括了歸屬位置寄存器和拜屬地位置寄存器。當用戶進行入網注冊和呼叫建立時，需要首先查詢用戶的身份信息[3]。

衛星信道管理模型：主要負責無線資源管理的處理工作，接收饋電鏈路的擴頻碼，存儲用戶呼叫處理中的資源信息。

密鑰管理中心模型：主要實現全網移動終端的密鑰管理，包括了密鑰數據庫和設備安全終端身份數據庫。

認證鑒權中心模型：主要實現全網移動終端的入網鑒權，包括了用戶黑名單和白名單管理。

2.3 衛星模型

衛星模型主要完成與信關站、用戶節點之間上行鏈路和下行鏈路的透明轉發功能，多個衛星模型之間通過星際鏈路進行通信。衛星模型由衛星鏈路模型和星間交換模型組成。

衛星鏈路模型：創建衛星導頻消息，并通過導頻信道廣播至用戶終端，同時提供信息發送服務，將信息按照信息類型選擇不同的信道發送出去。

星間交換模型：實現與信關站、用戶節點之間上下行鏈路的透明轉發功能。

3 仿真方案

3.1 仿真場景

針對建立的仿真模型和需要仿真的內容，需對各仿真節點模型所涉及的衛星個數、波束數、信道數、業務信道數、用戶數量、信道速率、平均通話時間、平均呼叫間隔、呼叫間隔分布、通話時間分布、信道誤碼率等參數進行設置。以美國摩托羅拉公司銥星的系統參數作為參考，衛星通信密鑰管理技術仿真參數設置如表2所示。

表2 衛星通信密鑰管理仿真參數

3.2 密分延時

密鑰分配延時包括主叫密分延時和被叫密分延時兩類，是指密鑰管理中心接收到為終端分配密鑰請求至收到返回的終端密分應答消息之間的時間間隔[4]。密鑰分配過程產生延時的原因，一是因為密鑰管理報文在衛星信道的傳輸延時和傳播延時，二是因為管理報文在信關站密鑰管理中心的排隊等待延時，該延時受密鑰中心的處理能力影響。

密鑰分配延時的統計結果如圖1所示。虛線為被叫平均密分延時，實線為主叫平均密分延時，兩條曲線數值接近，均為300 ms左右。

圖1 密分延時統計結果

3.3 密分成功概率

密鑰分配成功概率是指密鑰管理中心為用戶終端成功分配密鑰的次數與總密鑰分配次數之間的比值，包括主叫密分成功概率和被叫密分成功概率兩部分。

密鑰分配成功概率主要與信道誤碼率有關系，本仿真方案假設信道誤碼率為10-4，經過糾錯編碼后的剩余誤碼率為10-6。如圖2所示，在信道誤碼率為10-4，剩余誤碼率為10-6的情況下，主叫密分成功概率為99.9958%，被叫密分成功概率為99.9639%。

圖2 密分成功概率統計結果

3.4 身份鑒別延時

身份鑒別延時為由用戶終端或認證中心發起鑒別查詢消息至對方收到鑒別響應消息之間的時間間隔，包括主叫身份鑒別和被叫身份鑒別兩個部分。身份鑒別過程產生延時的原因，一是因為身份鑒別管理報文在衛星信道的傳輸延時和傳播延時，二是因為管理報文在信關站認證中心的排隊等待延時，該延時受認證中心的處理能力影響。

統計結果如圖3所示。虛線表示被叫平均身份鑒別延時，實線表示主叫平均身份鑒別延時。主叫平均身份鑒別延時為229.337 ms，被叫平均身份鑒別延時為415.514 ms。

圖3 身份鑒別延時統計結果

3.5 仿真結果分析

對上述仿真結果分析可知，在用戶數量為252，平均呼叫間隔為1小時的情況下，平均密鑰分配延時為298.894 ms，密鑰分配成功概率為99.97985%，平均身份鑒別為415.514 ms。

4 結 語

開展仿真設計是研究衛星密鑰管理方案的一種常用途徑之一。基于本文的研究成果，后面還可以開展以下工作：

（1）衛星系統模型與真實系統的逼真度將對仿真結果產生較大的影響。在后續的工程實踐中，我們可不斷完善仿真模型中的各項通信參數，以追求更逼真地展現真實的系統。

（2）衛星密鑰管理協議將在仿真系統中不斷迭代完善，并進行多種不同密鑰方案的分析和對比，最終將找到一種更為合適的密鑰管理方案。

（3）基于該仿真模型還可以進一步建立分布式仿真接口，與系統實物進行聯合仿真，將有利于得到更為貼近實際的密鑰管理仿真數據。