自主深空網絡密鑰管理體系結構

周 健, 孫麗艷

(1. 北京郵電大學 計算機學院, 北京 100083;2. 安徽財經大學 管理科學與工程學院, 安徽 蚌埠 233041)

隨著空間活動的日益增多,基于一跳方式的空間通信難以滿足空間任務需要,基于多跳方式的深空通信網絡被提出[1-3].然而空間環境的復雜多變和網絡覆蓋的面積較大,導致數據傳輸延時較長,鏈路具有間斷連通的特點[4],這一現狀導致深空的安全問題比地面無線網絡更為突出[5-6].密鑰管理作為網絡安全技術的基礎,是深空網絡安全研究必不可少的內容[7].目前對深空網絡的密鑰管理研究主要集中在衛星網絡[8-10],如文獻[11-13]在LKH[14]方案的基礎上根據衛星網絡的拓撲特點進行優化,但仍需KMC負責密鑰管理任務;文獻[15]對衛星網絡采用分層分簇,減少密鑰更新開銷;文獻[16]針對近地空間網絡使用基于身份的密鑰協議消除對證書的依賴,并使用分簇方法提高更新效率;文獻[12]采用結合LKH和GDH[17]方案提高衛星網絡的帶寬利用率.CCSDS制定了空間通信協議(space communications protocol specification,SCPS)[18],為安全協議預留了安全字段,但是僅僅為深空密鑰管理提供基礎.上述密鑰管理方案適合延時較短的地面與衛星間的通信網絡,密鑰管理服務中心(key management center,KMC)能夠提供實時密鑰管理服務,因此該類方案不適合長延時、間斷連通的深空網絡組密鑰管理任務需要[19].

隨著高集成度專用芯片的開發和利用[20],以及可持續能源的高能電池的配備[21],星上處理能力日益提高,空間實體的自主能力越來越強[22],目前星上處理的研究主要包括:空間探測器的自主管理、空間飛行器自主導航、軟件信息系統自主管理.在文獻[23-24]中給出自主網絡的定義,構造基于知識庫的深空網絡自主管理方案,以及自主網絡需要滿足的4個屬性:自配置、自恢復、自優化和自保護.空間網絡的自主化必須建立在一定硬件基礎上.目前空間飛行器搭載的處理器從第一代空間飛行器通用計算器(spacecraft common flight computer,CFC)(每秒1百萬條指令、四芯片、1750指令結構),發展到第三代空間飛行器(x2000 system flight compuer,SFC)(PowerPC 750CPU),執行復雜的密鑰算法是可行的,且其運算速度低于秒級,遠低于空間信道的傳輸延時級別.因此對比傳輸延時代價,計算延時代價可以忽略不計.空間實體的能量水平從早期的短壽命的鋅銀電池,到目前支持大功率的長壽命的可持續的太陽能混合燃料電池,使得支撐更為復雜的空間任務成為可能[25].因此,無地面控制中心支持,在具有高性能處理器和高水平能量電池的空間實體上本地執行復雜的安全協議是可行的.

綜上所述,自主星上處理能力是未來深空網絡的發展趨勢,設計具有自主性的安全協議和密鑰管理方案是符合這一趨勢要求的,但是自主深空安全策略和其他星上的自主能力是有區別的.

1 深空網絡密鑰管理性能需求

如圖1所示,深空通信具有距離遙遠、長延時傳輸、空間環境復雜、數據傳輸誤碼率較高、間斷連接鏈路、非對稱信道帶寬、異構通信實體、動態網絡拓撲結構、成本高昂和后期維護困難等特點.通過建立若干行星附近的近空網絡,并通過星際主干網絡將這些近空網絡連接起來,提高深空網絡的通信效率[26-27].目前已經提出的4種空間通信協議體系,基于CCSDS的空間協議結構[28]、基于TCP/IP 的空間協議結構[29]、結合CCSDS與TCP/IP的空間協議結構[30]、基于容延遲/中斷網絡的空間協議結構[31-32],都是借鑒地面無線網絡的密鑰管理方式,密鑰管理的性能不能滿足深空通信需求,如密鑰更新難以保證密鑰的新鮮性.

圖1 深空通信Fig.1 Deep space networks for communication

既然依賴基礎設備,如KMC的密鑰管理策略不足以滿足深空網絡的安全需要,執行本地化的密鑰管理策略勢在必行,所以深空網絡的密鑰管理有2種狀態:①基于可靠的端到端的鏈接的KMC密鑰管理模式,即地面控制中心的KMC能夠和深空網絡中實體建立可靠的端到端的鏈接,并且其策略的延時是可容忍的,基于KMC的密鑰管理好處在于密鑰的計算任務由KMC承擔,但是延時較長;②基于非可靠的端到端鏈接的本地節點的密鑰管理模式,即由網絡成員分擔網絡密鑰管理任務,優點是能夠靈活應對網絡環境的變化,減少密鑰管理延時,缺點是網絡成員需要承擔大量的計算任務,并且為了保證協議的正確執行,成員的秘密配置信息可能需要被告知管理者,進而威脅秘密配置信息.因此,為滿足本地節點的密鑰管理中成員間無需公開秘密配置信息的目的,設計在安全性上等效于基于KMC的密鑰管理方案的本地節點的自主密鑰管理模式是一個挑戰.

在基于本地節點的密鑰管理模式中,網絡成員具有比集中式密鑰管理方案中成員更強的能力,能夠承擔基于KMC密鑰管理模式中面向自身的密鑰管理任務.成員可根據效率和本地上下文情景選擇2種模式中的一種,或者混合模式,并能執行優化策略,具有更好的性能,如圖2所示.該模式下, 深空網絡成員的密鑰管理降低對地面基礎設施和可靠端到端鏈路的依賴, 降低密鑰材料傳輸的范圍和距離, 從而提高密鑰管理的成功率.

圖2 自主密鑰管理節點狀態轉移Fig.2 State transition of autonomic management node

2 自主密鑰管理屬性

基于自主的深空網絡密鑰管理的最終目的是盡量減少地面控制中心的KMC的實時任務管理的復雜度,能夠根據環境的變化作出可靠的密鑰管理策略[33-34].基于自主的深空網絡密鑰管理除了需要滿足密鑰管理的基本安全和效率屬性外,還應該具有如下的安全和效率屬性:自組織、自配置、自保護、自優化和可視性.

2.1 自組織

2.2 自配置

2.3 自保護

自保護是指由于KMC最高的安全性和較高的能力,任何節點的安全行為對KMC都是可視的,因此基于KMC的安全策略對成員秘密配置參數的修改是安全的.相反,基于本地節點的安全策略可能引發篡改其他成員秘密參數或破壞其合法性的問題,在密鑰管理中,由于公開加密密鑰的更新,使得其他成員的私有密鑰的合法性被破壞,成員需要重新執行密鑰協議,或者暴露秘密密鑰材料.密鑰管理的自保護的意義在于基于本地節點的密鑰管理不會威脅其他成員的秘密參數,具有KMC的部分密鑰管理功能,該部分內容只限定在密鑰管理對象為本身節點時.因此深空成員的密鑰管理的自保護顯得十分重要,這種自保護對于KMC是無用的,但是卻能夠保證節點自身的密鑰管理功能不會被其他節點的密鑰管理功能影響和破壞[35].綜上所述,自主密鑰管理中的自保護具有4層含義:①在KMC缺失的情況下,成員工作能夠保證密鑰管理工作正確的執行;②成員在執行密鑰管理工作中不會降低系統的安全性;③成員執行密鑰管理不會破壞其他節點的安全性;④成員的合法密鑰管理功能不能被其他節點替代.

設密鑰管理的安全目標為Γ,節點ui的安全目標為Γui,滿足式(1),

(1)

KMC在密鑰管理中行為的安全性表示為

(2)

成員在密鑰管理中行為的安全性表示為

(3)

則密鑰管理的自保護性可以表示為

(4)

2.4 自優化

密鑰管理的自優化是指,在可靠端到端聯系下,KMC能夠及時獲取網絡的全局信息,執行最優化的密鑰管理策略.但是在深空網絡中,KMC獲取的信息可能是陳舊的,不僅不能優化密鑰管理性能,反而可能會對環境變化做出錯誤反應.因此,深空網絡節點需要有能力根據環境的變化調整密鑰管理策略,提高密鑰管理的性能.

2.5 可視性

密鑰管理的可視性,KMC在密鑰管理中的核心地位是不變的,網絡中所有成員的安全配置信息對KMC都是可視的,即在可靠端到端連接允許的情況下,任何成員都必須向KMC匯報自己的安全配置參數,然而這種可視性僅僅限于KMC.也因此自主密鑰管理方案中KMC和成員都可以作為密鑰管理執行的發起者,但是它們是有區別的,KMC對所有成員的秘密安全參數都是可視的,而成員只有自己的秘密配置參數.

2.6 自主密鑰管理定義

基于以上的自組織、自配置、自保護、自優化和可視性屬性,無論KMC支撐還是缺乏KMC支撐,密鑰協議都可成功執行,并且在安全性能上等價.可靠性是深空網絡密鑰管理中需要重點考慮的屬性,自保護屬性嚴格界定了KMC和成員間的安全邊界,是判斷密鑰管理自主性的基本條件,因此自保護處于自主密鑰管理安全核心地位.因此自主密鑰管理中的安全具有3層含義:①在無KMC支持的情況下,成員能夠保證組密鑰管理任務正確的執行;②動態成員在執行密鑰管理任務中不會降低系統的安全性,保護密鑰更新的前向和后向安全性;③動態成員執行密鑰管理任務不會破壞其他節點的安全性,其他成員的私有秘密值不能被篡改.

3 自主密鑰管理模型

提出獨立性單加密密鑰多解密密鑰密鑰更新模型(autonomic one-encryption-key multi-decryption-key rekeying model, AOMRM),即AOMRM在保證密鑰更新獨立特性同時,更新成員具有獨立更新加密密鑰的能力.如圖3所示,密鑰管理中通過密鑰交互協議協商共享加密密鑰,當有成員加入或退出網絡時,由加入或退出成員執行密鑰更新過程,注冊或撤銷自己的私有秘密密鑰的合法性,并且密鑰更新的實施者不能威脅其他合法成員私有解密密鑰合法性,即使加入或退出節點的是一個惡意成員.

圖3 自主單加密密鑰多解密加密解密模型的密鑰更新模型Fig.3 Autonomic rekeying model of one-encryption-key multi-decryption-key protocol

定義2 自主密鑰更新模型,不僅滿足獨立密鑰更新條件,而且更新成員ui在密鑰更新活動Prekeying中生成的加密密鑰不會破壞其他成員的私有解密密鑰的合法性,無需非更新成員參與密鑰更新過程.

定理1 AOMRM滿足自保護性.

證明 在更新前更新后的參數如表1所示.

表1 OORM在更新前更新后的參數Table 1 Parameters of OORM before and after rekeying

KMC在密鑰管理中的安全目標表示為

(5)

更新成員在密鑰管理中行為的安全性表示為

(6)

非更新成員在密鑰管理中行為的安全性表示為

Γi:Dskeyj,j≠i(Eekey(m))=Dskeyj,j≠i(Eekey′(m))=m.

(7)

由此定理1得證.

4 結 語

本文分析深空網絡實體的特點和自主密鑰管理的屬性,不僅具有地面無線網絡密鑰管理的安全和效率,而且需要滿足自主密鑰管理的自組織、自配置、自保護、自優化和可視性等屬性.設計基于自主的深空網絡密鑰管理架構,自主密鑰管理方案不僅可以提供可靠端到端鏈接的KMC服務,而且支持節點自主的管理密鑰.分析自保護屬性的內容,指出自保護屬性是深空密鑰管理的最重要的屬性.從密鑰更新角度研究四種密鑰更新模型,基于單加密密鑰多解密密鑰加密解密模型提出獨立密鑰更新模型和自主密鑰更新模型,闡述基于自主密鑰更新模型的密鑰管理具有更好的性能.