CN109150290B

CN109150290B - 一种卫星轻量化数据传输保护方法及地面安全服务系统

Info

Publication number: CN109150290B
Application number: CN201811234171.5A
Authority: CN
Inventors: 王利明; 徐建峰; 唐鼎
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2018-10-23
Filing date: 2018-10-23
Publication date: 2020-09-15
Anticipated expiration: 2038-10-23
Also published as: CN109150290A

Abstract

本发明公开了一种卫星轻量化数据传输保护方法及地面安全服务系统，包括接入管理模块、身份管理模块、密钥管理模块、消息分发模块和状态审计模块。地面安全服务系统根据不同用户设备对同一卫星资源信息的访问请求构造新的资源请求消息，并替代众多用户设备向卫星发送请求消息，通过基于身份的转发机制与请求汇聚实现由多个请求‑多个响应转变为一个请求‑一个响应。此外，卫星的安全响应资源信息经过安全服务系统后，能够正确分发给全部请求同一资源信息的用户设备，并且资源信息合法性得到验证。本发明能够解决卫星在与地面传输信息过程中带来的高昂的链路带宽开销问题，实现轻量化卫星数据的传输保护。

Description

一种卫星轻量化数据传输保护方法及地面安全服务系统

技术领域

本发明属于网络安全技术领域，具体涉及一种卫星轻量化数据传输保护方法及地面安全服务系统。

背景技术

随着地面网络化的不断推进以及以5G为代表的移动通讯网络的飞速发展，用户对下一代网络基础设施提出了超高速传输、超大带宽、超高可靠性、无缝覆盖、随时随地接入等具体要求。天地一体化网络将天基信息网、未来互联网、移动通信网进行全面融合，实现了天基、空基、陆基的互联互通，充分满足了未来网络的复杂需求，在构建高速、移动、安全、泛在的新一代信息基础设施上展现出了极强的优势。然而，作为天地一体化网络的核心——卫星，其在空间位置、服务方式、可用资源、通讯方式、运行环境以及协议体系等方面与现有地面网络设备存在很大区别。特别是，星地传输链路作为典型的开放信道，面临着诸如信号侦听、干扰、拒绝服务攻击等安全威胁。如何为星地之间的数据传输提供合理的安全保护，保障星地传输数据的机密性、完整性、可用性和来源真实性，是一个亟待解决的现实问题。同时，受限的星地链路资源为卫星与地面之间通信带来了高昂开销问题。

空间网络与传统地面网络之间存在的差异导致诸多传统问题产生了新的变化，星地链路对数据传输保护方案中的计算开销、传输开销等问题更加敏感。传统的地面通讯协议及安全方案存在一定局限性，不能很好地满足星地之间数据传输业务的严苛要求，不具有直接移植的可操作性。文献《基于PEP-IPSec实现卫星IP网的网络安全》在卫星IP网的性能增强型网关PEP中应用IPSec，从而构成PEP-IPSec，一方面提高了TCP/IP在卫星IP网上的性能；另一方面也极大地增强了卫星IP网的网络安全。文献《A multilayer IP securityprotocol for TCP performance enhancement in wireless networks》分析了IPSec应用于使用性能增强代理PEP的TCP协议场景中的冲突，提出一种多层IPSec模型(ML-IPSec)，提供分层的安全保护和细粒度的访问控制。文献《A Cross-Layer Architecture forSatellite Network Security:CL-IPsec》在IPSec中引入一种扩层架构扩展CL-IPSec，可以提供认证、完整性服务。文献《Performance-Aware Security of UnicastCommunication in Hybrid Satellite Networks》在原有IPSec-PEP的基础上，完善了密钥交换协议，提出一种基于证书的多种模式的密钥交换协议，避免了密钥分发问题。然而，上述方案在保护安全性的同时并没有保证在资源受限的星地链路上数据的传输效率。具体表现在，IPSec协议广泛应用于保护单播通讯，即卫星需要响应每一个用户请求，这样会存在重复响应的问题；层次化IPSec会增加高达三倍的数据传输；IPsec及其增强协议会带来复杂的设计成本和过重密钥的分发开销。

总之，当前的方案几乎未能同时满足传输安全性和传输效率，对星地链路的带宽造成很大的开销。而本发明提出的一种轻量化数据传输保护方案，使星地之间在安全通信的前提下，大大减少对星地链路带宽的消耗。

发明内容

本发明技术解决问题：克服现有技术的不足，针对资源受限的星地链路，为星地通信提供一种卫星轻量化数据传输保护方法及地面安全服务系统，用于在安全通信的前提下，减少对带宽资源的占用。

为了实现上述目的，本发明采用以下技术方案：

本发明的地面安全服务系统，由五个模块组成，分别是接入管理模块、身份管理模块、密钥管理模块、消息分发模块和状态审计模块；

接入管理模块

(1)地面安全服务系统被认为是服务端，意向与卫星通信的网络设备被认为是客户端，地面安全服务系统需实现接收多个用户设备消息的需求；接入管理模块首先监听SOCKET，等待用户设备的连接；

(2)接入管理模块接收到注册请求后，首先对用户设备的合法性进行校验，然后为该设备生成身份标识，并将身份标识返回给注册的用户设备；

(3)接入管理设备模块接收到资源访问请求后，对用户设备标识的真实性进行校验以及判断设备权限是否能够访问所请求的资源信息；

身份管理模块实现为：

(1)注册请求处理完成后，身份管理模块接收接入管理模块的执行结果，将新建的用户设备标识、用户设备权限等相关信息存储起来，以保证数据的持久化；

(2)验证请求资源的用户设备时，身份管理模块为接入管理模块提供该用户设备的全部信息；

密钥管理模块：保存空间卫星的身份标识、公钥等相关信息，以保证数据的持久化；

消息分发模块实现为：

(1)消息分发模块维护一张转发状态表，其保存的表项格式为<resource i，[dev1,dev2,dev n]>。该表项表示，在当前状态下，用户设备dev 1,dev 2,dev n向同一资源resourcei发起访问请求；消息分发模块通过请求聚合的方式存储信息，减少了存储资源的浪费；

(2)消息分发模块接收到访问资源信息的请求，首先查询转发状态表是否存在同时请求相同资源信息的表项。如果存在这样的表项，则直接把用户设备的身份标识添加到表项中，并丢弃该请求消息；如果不存在，消息分发模块则使用用户设备的身份标识和请求资源信息的标识在转发状态表中新建一条表项，并向卫星转发资源信息访问请求；

(3)消息分发模块接收到卫星的安全响应资源信息，首先在密钥管理模块处获得该卫星对应的公钥信息，验证安全响应资源信息的正确合法性，然后根据转发状态表，向请求该资源信息的所有用户设备下发卫星的安全响应资源信息，最后，从转发状态表中删除该表项。

状态审计模块实现过程：

(1)状态审计模块定期清除不活跃的用户设备，释放保存用户设备信息的存储；

(2)状态审计模块实时检测消息分发模块中的转发状态表，以避免该表遭受拒绝服务攻击。具体为，当转发状态表项急剧增加时，并且这种状态持续一段时间，则断定发生拒绝服务攻击，即刻处罚报警机制，定位恶意用户设备。

本发明提出了卫星轻量化数据传输保护方法，通过基于身份的转发机制与请求汇聚实现星地之间数据传输的高效与安全，步骤为：

(1)根据接收到的注册请求，为每一个注册的用户设备分配身份标识信息以及权限信息，实现后续对资源的访问控制；

(2)根据注册过程中生成的身份标识，对合法用户设备的资源请求进行汇聚，实现多个用户对同一资源的多个单播请求到仅向卫星发送一个请求的转变；

(3)在接收到有卫星下发的附加签名信息的资源信息后，首先对资源的合法性和安全性进行验证；无误后，根据该资源请求汇聚的情况，将接收到的安全资源消息分发给多个请求资源信息的用户设备，实现对星地链路的高效率利用。

其具体流程如下：

(1)设备注册：用户设备向地面安全服务系统发起注册请求，接入管理模块校验用户设备的合法性，并为该用户设备生成身份标识以及权限信息；身份管理模块将上述产生的用户设备信息存储起来以实现用户设备数据的持久化；接入管理模块为用户设备返回用户设备的身份标识信息。

(2)资源访问：接入管理模块接收用户设备的资源请求消息，向身份管理模块查询该用户设备是否已经注册以及是否存在访问资源信息的权限，接入管理模块的这一步操作可以避免未注册用户设备或者权限不足的用户设备对资源信息进行访问，实现了访问控制；对于合法的且权限足够大的用户设备，资源信息请求会传递到消息分发模块，消息分发模块首先查询转发状态表是否存在同时请求相同资源信息的表项。如果存在这样的表项，说明已有其他用户设备对此资源信息进行请求，则直接把该用户设备的身份标识添加到表项中，并丢弃请求消息；如果不存在，则说明该用户设备是当前第一个请求该资源信息的用户设备，消息分发模块则使用用户设备的身份标识和请求资源信息的标识在转发状态表中新建一条表项，并向卫星转发资源信息访问请求；

消息分发模块接收到卫星签名处理后的安全响应资源信息后，在密钥管理模块中提取中该卫星对应的公钥，并使用该密钥对安全响应资源信息进行验签，证明安全响应资源信息的完整性以及来源真实性；消息分发模块检索转发状态表获得请求安全响应资源信息的全部用户设备；消息分发模块将卫星的安全响应资源信息转发给请求该资源信息的全部用户设备，并删除转发状态表对应的表项已释放存储资源；用户设备接收到卫星的安全响应资源信息后，使用卫星对应的公钥验证其完整性和来源真实性；

(3)系统监控与审计

状态审计模块定期查询注册用户设备的活跃状态，对于不活跃用户设备及时进行清理，如长时间不与地面安全服务系统通信的用户设备。

状态审计模块实时检测消息分发模块中的转发状态表，以及时发现针对转发状态表进行的拒绝服务攻击。状态审计模块的判断标准为，转发状态表项持续地急剧增加。当断定发生拒绝服务攻击，该模块即刻处罚报警机制，定位恶意用户设备。

本发明与现有技术相比的有益效果在于：

(1)本发明实现了地面安全服务系统，用于维护用户设备信息、卫星信息以及资源信息请求，其中消息分发模块可以实现请求汇聚实现由多个请求-多个响应转变为一个请求-一个响应；

(2)本发明提出了基于身份的星地数据传输机制，并实现了基于身份的权限管理体系，利用此机制结合地面安全服务系统，实现了类似于“多播”的传输方式；

(3)本发明在星地传输系统中，引入地面安全服务系统以及基于身份的传输机制，实现了一种卫星轻量化数据传输保护方法，使星地之间在安全通信的前提下，大大减少对星地链路带宽的消耗；

(4)本发明能够解决卫星在与地面传输信息过程中带来的高昂的链路带宽开销问题，实现轻量化卫星数据的传输保护。

附图说明

图1为本发明地面安全服务系统的组成框图；

图2为本发明卫星轻量化数据传输保护方法的设备注册流程图；

图3为本发明卫星轻量化数据传输保护方法的资源访问请求流程图；

图4为本发明卫星轻量化数据传输保护方法的安全信息分发流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示。本发明的地面安全服务系统，由接入管理模块、身份管理模块、密钥管理模块、消息分发模块、状态审计模块组成。接入管理模块利用多线程Socket通信机制实现与多用户设备进行通信的需求，并完成用户设备身份标识生成、认证的功能。身份管理模块用于存储所有注册用户设备的信息至数据库以实现用户设备的数据持久化。密钥管理模块用于卫星的身份标识、公钥等相关信息至数据库以实现卫星数据持久化。消息分发模块用于汇聚用户设备的资源信息请求、代替用户设备向卫星请求资源信息、验证卫星安全响应资源信息的合法性与安全性以及将安全响应资源消息分发给用户设备。地面安全服务系统作为卫星轻量化数据传输保护方案中关键部分，状态审计模块实时检测消息分发模块的运行情况以及发现是否正在遭受拒绝服务攻击。

下面对上述进行详细说明。

接入管理模块，利用多线程Socket通信机制实现与多用户设备进行通信的需求，并完成用户设备身份标识生成、用户设备注册、验证用户设备身份与权限的功能。

身份管理模块，用于存储所有注册用户设备的信息至数据库以实现用户设备的数据持久化，并为管理员提供删除、修改、查询操作。

密钥管理模块，用于存储卫星的身份标识、公钥等相关信息至数据库以实现卫星数据持久化，并为管理员提供增加、删除、修改、查询操作。

消息分发模块，用于汇聚用户设备的资源信息请求、代替用户设备向卫星请求资源信息、验证卫星响应资源信息的合法性与安全性以及将响应资源信息分发给用户设备。

状态审计模块，实时检测消息分发模块的运行情况以及发现其中的转发状态表是否正在遭受拒绝服务攻击。

如图2所示，接入管理模块开启多线程Socket监听，等待用户设备的注册请求。当用户设备与接入管理模块成功建立连接并且发送注册请求，接入管理模块新建一个新的线程接收和处理用户设备的注册请求。接入管理模块通过“口令+邮箱/手机验证”来识别用户设备的合法性，并生成用户设备标识返回给设备。接下来，接入管理模块为用户设备分配权限，并将用户设备的全部信息传递给身份管理模块，身份管理模块将用户设备的全部信息存储至mysql数据库中device表中以实现用户设备数据的持久化存储，device表的结构，如下表1所示：

表1 device数据表结构

字段名	类型	长度	描述
				Dev_id	int	4bytes	用户设备标识
Dev_level	int	4bytes	用户设备权限等级
				Dev_type	int	4bytes	用户设备类型
Pin	varchar	20bytes	用户设备Pin码
				Extend	varchar	200bytes	附加信息

如图3所示，接入管理模块开启多线程Socket监听，等待用户设备的资源请求。接入管理模块接收用户设备的资源信息请求后，在请求中提取出用户设备的身份标识，然后向身份管理模块查询该用户设备是否存在以及是否存在访问资源信息的权限。

对于合法的且权限足够大的用户设备，资源信息请求会传递到消息分发模块，消息分发模块首先查询转发状态表是否存在同时请求相同资源信息的表项。本发明使用字典类型的数据结构<key,value>来存储转发状态表，其中key为资源信息标识，value为包含全部请求资源信息的用户设备身份标识的列表。如果转发状态表存在这样的表项，说明已有其他用户设备对同一资源信息进行请求，则直接把用户设备的身份标识添加到value中，并丢弃资源信息请求；如果不存在，则说明该用户设备是当前第一个请求资源信息的用户设备，消息分发模块则使用用户设备的身份标识和请求的资源信息标识在转发状态表中新建一条表项，并向卫星转发访问资源信息的请求；

以一个例子说明资源信息请求过程。当前用户设备dev 1,dev 2在请求资源信息r1，即转发状态表中存在<r1,[dev 1,dev 2]>这样的一个表项，这时消息分发模块接收到dev 3访问r1的资源信息请求，即更新表项为<r1,[dev 1,dev 2,dev3]>,并丢弃请求。如果消息分发模块接收到dev 4访问r2的请求，经过查询转发状态表，发现不存在r2的表项，故消息分发模块新建表项<r2,[dev 4]>，并代替dev4向卫星发送资源信息的访问请求。

如图4所示，消息分发模块接收到卫星签名处理后的安全响应资源信息后，在密钥管理模块中提取中该卫星对应的公钥，并使用该密钥对安全响应资源信息进行验签，证明该响应资源信息的完整性以及来源真实性；消息分发模块检索转发状态表获得请求安全响应资源信息的全部用户设备；消息分发模块通过接入管理模块将卫星的安全响应资源信息转发给请求的全部用户设备，并删除转发状态表对应的表项已释放存储资源；用户设备接收到卫星的安全响应资源信息后，使用卫星对应的公钥验证该安全响应资源信息的完整性和来源真实性；

接着上述的例子，消息分发模块接收到带有卫星签名的安全响应资源信息r1，在验证其安全性以及合法性之后，查询转发状态表，获得表项<r1,[dev 1,dev 2,dev3]>，便得知用户设备dev 1,dev 2,dev3都曾经对r1发起访问请求，所以消息分发模块通过接入管理模块将含有卫星签名的r1发送给dev 1,dev 2,dev3。三个用户设备接收到卫星的安全响应资源信息后，使用卫星对应的公钥验证r1的完整性和来源真实性，至此资源信息访问结束。假如使用单播的方式实现例子中三个用户设备对同一个资源信息的访问，星地链路需要通过三个请求数据包和三个响应数据包，但是使用本发明的机制，仅仅需要一个请求数据包和一个响应数据包，大大减少了星地链路带宽的占用，提高了传输效率。

提供以上实施例仅仅是为了描述本发明的目的，而并非要限制本发明的范围。本发明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修改，均应涵盖在本发明的范围之内。

Claims

1.一种卫星轻量化数据传输保护方法，其特征在于，通过基于身份的转发机制与请求汇聚实现星地之间数据传输的高效与安全，包括以下步骤：

(3)在接收到有卫星下发的附加签名信息的资源信息后，首先对资源的合法性和安全性进行验证；无误后，根据该资源请求汇聚的情况，将接收到的安全资源消息分发给多个请求资源信息的用户设备，实现对星地链路的高效率利用；

其具体流程如下：

(1)设备注册：用户设备向地面安全服务系统发起注册请求，接入管理模块校验用户设备的合法性，并为该用户设备生成身份标识以及权限信息；身份管理模块将上述产生的用户设备的身份标识以及权限信息存储起来以实现用户设备数据的持久化；接入管理模块为用户设备返回用户设备的身份标识信息；

(2)资源访问：接入管理模块接收用户设备的资源请求消息，向身份管理模块查询该用户设备是否已经注册以及是否存在访问资源信息的权限，接入管理模块的这一步操作可以避免未注册用户设备或者权限不足的用户设备对资源信息进行访问，实现了访问控制；对于合法的且权限足够大的用户设备，资源信息请求会传递到消息分发模块，消息分发模块首先查询转发状态表是否存在同时请求相同资源信息的表项，如果存在这样的表项，说明已有其他用户设备对此资源信息进行请求，则直接把该用户设备的身份标识添加到表项中，并丢弃请求消息；如果不存在，则说明该用户设备是当前第一个请求该资源信息的用户设备，消息分发模块则使用用户设备的身份标识和请求资源信息的标识在转发状态表中新建一条表项，并向卫星转发资源信息访问请求；

(3)系统监控与审计：状态审计模块定期查询注册用户设备的活跃状态，对于不活跃用户设备及时进行清理，如长时间不与地面安全服务系统通信的用户设备；

状态审计模块实时检测消息分发模块中的转发状态表，以及时发现针对转发状态表进行的拒绝服务攻击，状态审计模块的判断标准为，转发状态表项持续地急剧增加，当断定发生拒绝服务攻击，该模块即刻处罚报警机制，定位恶意用户设备。

2.一种地面安全服务系统，其特征在于：包括接入管理模块、身份管理模块、密钥管理模块、消息分发模块和状态审计模块，其中：

接入管理模块，实现同时与多用户设备的通信，该接入管理模块作为地面安全服务系统的入口，对进入其余模块的消息进行预处理，实现用户设备身份标识生成、用户设备注册、验证用户设备身份与权限的功能；

身份管理模块，用于存储接入管理模块处理用户设备注册请求的结果，即将所有注册用户设备的信息至数据库以实现对设备信息数据持久化，并为管理员提供删除、修改和查询的操作，所述用户设备的信息包括：用户设备身份标识、用户设备类型、用户设备权限和Pin码；除此之外，该模块为其他模块提供用户设备权限验证的接口；

密钥管理模块，用于存储卫星的信息至数据库以实现对所管控空间卫星的数据持久化保存，并为管理员提供增加、删除、修改和查询操作；所述卫星的信息包括：卫星身份标识、公钥和卫星类型；除此之外，该模块为其余模块提供卫星公钥查询接口；

消息分发模块，对于多个用户设备对资源的请求通过转发状态表来实现请求汇聚，并代替用户向卫星发送统一的请求，在接收到卫星的资源响应信息后，首先通过密钥管理模块所暴露出的接口验证卫星资源响应信息签名的合法性以确保资源响应信息的安全性，最后获取请求该资源响应信息的所有用户设备，并将该资源响应消息传递给接入管理模块，进行分发；

状态审计模块，实时检测消息转发模块中的转发状态表是否正在遭受拒绝服务攻击，具体实现为，通过判定转发状态表是否处于持续地急剧增加的状态来断定拒绝服务攻击发生与否；另外，该模块通过检测设定一段时间内不与卫星通信的用户设备，并将该用户终端判定为不活跃用户设备，状态审计模块定期清理不活跃用户设备以释放身份管理模块的存储资源。

3.根据权利要求2所述的一种地面安全服务系统，其特征在于：所述接入管理模块中，利用多线程Socket通信机制实现多个用户设备同时与接入管理管理模块通信，成功与用户设备建立连接后，分别创建新的线程独立处理每个用户设备的身份标识生成、用户注册、验证用户身份、权限认证及后续资源响应信息的传输。

4.根据权利要求2所述的一种地面安全服务系统，其特征在于：所述消息分发模块中，使用字典维护一张转发状态表，转发状态表保存的表项格式为<resource i，[dev 1,dev2,dev n]>，其中resource i为资源标识，dev1,dev2和dev3为请求资源resource i的所有用户设备标识。

5.根据权利要求2所述的一种地面安全服务系统，其特征在于：所述消息分发模块中资源请求汇聚方式如下：在接收到资源访问请求后，首先查询转发状态表是否存在请求相同资源的表项；如果存在表项，则直接把当前请求资源的用户设备的身份标识添加到表项中，并丢弃接收到的资源访问请求消息；如果不存在，则新建一条转发状态表项，并向卫星转发资源访问请求。

6.根据权利要求2所述的一种地面安全服务系统，其特征在于：所述消息分发模块中数据分发方式如下，在收到卫星的资源响应信息后，通过验证资源响应信息签名的正确性来确保该资源响应信息的安全性，然后根据转发状态表，向请求资源响应信息的所有用户设备下发卫星的安全响应信息，并从转发状态表中删除相应表项。