数据传输完整性_卫星导航定位服务系统数据传输安全性探究
引文格式:马雷,韩菲. 卫星导航定位服务系统数据传输安全性研探究[J]. 导航定位学报, 2020, 8(3): 105-109.(MA Lei,HAN Fei. Probe into data transmission security of satellite navigation and positioning service system[J]. Journal of Navigation and Positioning, 2020, 8(3): 105-109.)DOI:10.16547/j.cnki.10-1096.20200317.
卫星导航定位服务系统数据传输安全性探究
马 雷1,韩 菲2
(1. 北斗导航与位置服务河南省工程实验室,郑州 450003;2. 长安大学 地质工程与测绘学院,西安 710054)
摘要:为进一步增强卫星导航定位服务系统数据传输的安全性,提出1种卫星导航位置服务系统基站数据的安全传输方法:使用由北斗导航工程实验室,采用国产芯片及国产加密算法自主研发的数据传输安全模块,在不改变当前卫星导航位置服务系统网络环境的状态下,解决数据传输安全性、可靠性、完整性问题;给出数据传输安全模块的工作原理和技术要点,并分析卫星导航定位服务系统数据传输网络环境;最后对数据传输安全模块进行测试。结果表明,该方法能够完成接收机站端与数据中心端信息的安全传输,实现基站数据的安全传输和受控管理。
关键词:同步数字体系;身份认证;密钥
0 引言
随着互联网应用技术的迅速发展,网络安全已经成为很多行业关注的重要课题。降低对国外技术和产品的过度依赖,确保网络信息不受监听、窃取和篡改等威胁,增强网络信息的安全可控能力显得尤为必要和迫切。国家测绘地理信息局下发的《关于规范卫星导航定位基准站数据密级和管理的通知》国测成发[2016]1号文件指出:卫星导航普通基站观测数据包括伪距、载波相位观测数据,多普勒观测数据以及服务数据中实时差分数据,基站观测数据等相关数据需受控管理,数据中心很多数据都属于涉密管理范畴,数据中心对站点控制设备的指令数据,是整个系统安全运行的核心。研究卫星导航基站数据传输信息的安全性,确保数据传输的机密性(防窃取)、数据完整性(防篡改)、数据可靠性(防伪造)至关重要。本文对卫星导航定位服务系统安全性进行分析,在介绍数据传输加密模块关键技术、工作原理,并辅以数据验证的基础上,提出对原有数据传输网络加装安全模块的方案,以期实现数据安全传输、受控管理。1 卫星导航定位服务系统安全分析
河南省卫星导航位置服务系统基站包括国家测绘局全球卫星导航系统(global navigation satellite system, GNSS)基准站6个站点,采用 同步数字体系 专网接入数据中心。 同步数字体系 (synchronous digital hierarchy,SDH)是1种将复接、线路传输及交换功能融为一体、并由统一网管系统操作的综合信息传送网络[1],传输数据在整个系统中都是明码传输,包括采集的观测数据、指令数据等,遭受攻击时,传输数据的可靠性、完整性、保密性很难有效控制;GNSS系统基准站中有38个站利用气象专网电子数据网络(digital data network,DDN)连接至数据中心[2],DDN是基于数字数据网,利用数字信道提供永久性或半永久性连接电路来传输数据信号的服务,由于是明码传输,数据传输安全性与SDH类似[3];其他200个基准站点及其融合外省的基准站,多采用多协议标记交换虚拟专用网络(virtual private network,VPN)接入的。多协议标记交换(multi protocol label switching, MPLS)VPN专网产品是基于联通有线骨干网和光纤专线接入体系的集团企业专用产品[4]。 以上3种数据传输技术都有自己的安全策略[5-6],采用明码传输SDH专网、DDN专网如果不能与互联网物理隔离[7],那么GNSS系统中数据传输安全隐患很大;MPLS VPN的身份验证技术、加解密技术、隧道技术等数据安全传输的核心技术都是国外技术[8-9],用于基站数据传输也存在很大的安全隐患[10]。38个站利用气象专用电子数据网络(digital data network, DDN)连接至数据中心[2],DDN是基于数字数据网,利用数字信道提供永久性或半永久性连接电路来传输数据信号的服务,由于是明码传输,数据传输安全性与SDH类似[3];其他200个站点及外省连接的基准站,多采用多协议标记交换虚拟专用网络(virtual private network, VPN)接入的。多协议标记交换(multi protocol label switching, MPLS)VPN专网产品是基于联通有线IP MPLS骨干网和接入层光纤专线接入体系而推出的集团企业专用产品[4]。以上3种数据传输技术都有自己的安全策略[5-6],采用明码传输SDH专网、DDN专网如果不能与互联网物理隔离[7],用于卫星导航位置服务系统的基站数据传输安全隐患就会很大;MPLS VPN的身份验证技术、加解密技术、隧道技术等数据安全传输的核心技术都不是国产[8-9],用于基站数据传输也存在很大的安全隐患[10]。2 数据传输信息加密模块设置
当前卫星导航位置服务系统网络环境很复杂,虽然网络公司为我们建立了虚拟内网,但是数据加密技术、隧道技术、秘钥管理技术等都是国外通用技术,系统运维中的业务数据、管理指令数据等很难做到数据传输安全可控。 信息机密性:现有系统以明文形式在公网中进行数据传输,业务数据极易被第3方进行无技术 障碍地进行截取监听。 数据完整性:当第3方成功拦截正常的业务通信之后,可根据其意图任意地将拦截下来的数据进行修改并重新发送给接收方,从而影响系统工作,当前系统无法对数据进行完整性校验。 数据可靠性:仅通过业务数据中的标识信息进行身份标识,无法防止别有用心的攻击者,通过伪造身份的方式向系统发送伪造的业务数据,从而影响系统的正常运行。 针对导航定位服务系统信息传输的安全问题,由北斗导航工程实验室,采用国产芯片及国产加密算法,自主研发了数据传输安全模块,在不改变当前卫星导航位置服务系统网络环境的状态下,解决了数据传输的可靠性、完整性、保密性问题。3 网络数据安全传输拓扑结构
网络数据安全传输拓扑结构如图1所示,数据采集基站部分称为站端,接收机采集的实时数据通过安全模块进行加密,然后将加密数据传输给数据中心的服务端安全模块,服务端安全模块将数据解密并传给数据服务器;数据服务器端的指令数据也可以通过回路传递给站段,最终实现双向网络安全通讯。
图1 数据安全传输示意图
3.1 安全模块管理功能
1)安全模块配置。初次使用的新设备需通过串口的方式登录到专用的控制台环境中,进行设备网络地址以及与站点(或数据服务器)的绑定操作,同时生成安全代理模块的初始证书。 2)安全模块证书管理。数据中心端的安全模块管理各基准站点的站端安全模块的证书数据,包括站端安全模块(证书)的注册、更新、注销等操作。 3)会话密钥管理。数据中心端的安全模块对会话密钥进行查看与修改。 4)站点连接状态监视。数据中心端的安全模块对各基准站点的网络连接状态进行动态查看,可以查看到站端安全模块的证书状态、会话密钥更新状态、连接建立状态、数据传输状态等。3.2安全模块芯片
安全模块核心硬件是基于全国产密码算法的电子芯片,不仅可以满足数据安全传输的要求,更重要是可以满足卫星导航定位服务对数据延迟的要求。3.3密钥体系
1)SM2密钥。每个安全模块中预置一对私钥的SM2算法密钥对,站端的公钥作为该站的公钥证书公开给中心端,中心端的公钥作为中心的公钥证书在离线环境中预装至站端。 2)SM4会话密钥。在站端与数据中心服务器的通讯连接建立起来后,采用SM2算法进行“密钥协商”,获得SM4会话密钥,并且在持续的通讯过程中,由站端定时向中心发起密钥协商过程,从而实现会话密钥的定期更新,如图2所示。
图2密钥体系示意图
4安全模块关键技术配置
1)防窃取技术。通过使用通用的对称加密算法和专用的共享密钥,来实现将明文数据变换为 不可识别的密文数据,从而实现对信息的隐藏保护。 防窃取技术使得第3方在不知道共享密钥的情况下,即便截取了 密文数据,也无法获取数据原文中的任何信息; 合法的数据接受者,在获取到数据密文后,可通过对应的解密算法与共享密钥,来对密文数据进行解密,从而还原出数据明文。 为了避免共享加密密钥的频繁使用造成密钥的安全强度降低,通过基于非对称算法的密钥协商机制,可以实现加密密钥的定时更新,从而进一步增加数据的安全性。 防窃取技术安全模型见图3。
图3 数据加密安全模型
2)防篡改:防窃取技术:通过使用通用的对称加密算法和专用的共享密钥来,将明文数据变换为不可识别的密文数据,从而实现对信息的隐藏保护。防窃取技术使得第3方在不知道共享密钥的情况下,即便截取了密文数据也无法获取数据原文中的任何信息;合法的数据接受者在获取到数据密文后,可通过对应的解密算法与共享密钥来对密文数据进行解密,从而还原出数据明文。防窃取技术安全模型见图3。数据接收方在收到数据与MAC后,通过相同的MAC生成算法与密钥来计算MAC'(解密后的MAC值),由于MAC生成算法的特性,改变输入数据的任意字节数据都会导致生成结果的完全不同,因此通过比较MAC与MAC'的一致性即可判定接收数据与发送方发送的数据是否相同。消息验证码技术安全模型如图4所示。
图4消息验证码使用过程
3)防伪造。基于非对称密码算法的数字签名技术,为信息系统中的身份认证提供了完善的技术基础。在数字签名技术的模型当中,签名用的私钥数据仅由签名者持有,而用于验证签名的私钥数据可以公开给任何验签者,如此仅有私钥的持有者可使用特定的私钥进行签名,而所有人均可验证签名者的匹配性。数字签名技术安全模型如图5所示。
图5数字签名技术安全模型
5数据安全传输的工作原理
通过在数据中心与数据接受站的前端分别增加1个安全模块,来建立1个安全通道,使得在不改变站端接收机与中心数据服务器软件硬件结构的前提下,实现系统的业务数据及管理报文在网络中的安全传输,基于密码技术的特性使得业务数据的机密性、完整性、可靠性同时得到有效的提升,系统组成如图6所示。
图6信息安全传输系统组成
1)身份认证。身份认证机制用于站端与数据中心之间进行相互的身份认证。分别在站点与数据中心的安全模块中,预装代表各白身份的数字证书,站点与数据中心建立业务连接时,通过基于数字证书的签名来相互确认身份的合法性。在密钥协商的同时,进行基于SM2 算法的数字签名技术,来实现站点与中心间的身份认证,原理参考《GM/T0003.2-2012 SM2椭圆圆曲线公钥密码算法第2部分: 数字签名算法》。 2)密钥协商。密钥协商过程是基于非对称算法中公钥的公开性以及私钥的保密性,来协商一对一的安全会话密钥的过程。在此过程中,双方仅交换部分各自的公钥信息, 而最终的会话密钥均在本地通过私钥与共享的公钥信息来计算得出。密钥 协商的实现,是基于预置的国产SM2数字证书,并采用国产SM2算法,最终协商出国产SM4算法的会话密钥。原理参考《GM/T 0003.3-2012 SM2椭圆曲线公 钥密码算法第3部分:密钥交换协议》。 3)数据加密传输。通过持续动态更新的会话密钥,实现站段与数据中心之间的所有通讯都处于加密状态。数据发送方发出的数据经安全模块加密后,发送给接收方安全模块,解密后发送给接收服务器,从而建立在开放网络环境下安全传输通道。基于国产 SM2算法和SM4对称加密算法生成会话密钥,并采用该密钥来实现业务数据的加密保护,其原理参考《GM/T0002-2012 SM4分组密码算法》。 4)数据完整性校验。数据完整性校验通过使用动态更新的会话密钥,生成业务数据的消息验证码,然后基于消息验证码的扩散特性,来实现对业务数据的完整性和正确性进行校验。通过对数据的完整性校验,来保障数据接收方收到的数据没有经过第3方的篡改。站端使用基于国产 SM2算法的数字证书,并与数据中心协商,产生出国产SM4对称加密算法的会话密钥,来完成消息验证码的生成,原理参考《GM/T0002-2012 SM4分组密码算法》。6实验与结果分析
通过站端安全模块网格管理界面,监视各站端安全模块的工作状态,同时可对系统内数据进行抓包并分析验证。6.1安全模块输入输出数据验证
接收机发送原始数据包至基准站加密模块(如图7所示),加密模块将数据包进行加密(如图8所示),并发送到数据中心的解密设备(如图9所示);数据中心的解密设备对接收到的数据包进行解密(如图10所示),并推送到数据服务器计算存储。
6.2数据中心接收数据正确性验证
通过对比接收机同时经安全模块与未经安全模块发送至数据服务器的数据,可以看出相同时间的数据无任何变化;同时通过前一部分的比较,可以看出数据在网络中是以密文形式传输的。6.3数据安全传输模块对时延影响
基于密码的运算特性,对运算资源尤其是通用运算单元的消耗比较高,影响数据传输效率,造成时间延迟。数据加密模块的密码运算基于国产专用硬件完成的,比软件运算有着不可比拟的优势。设备传输业务报文信号时延=数据帧长度(B)/发送速率(B·s-1),经实验验证,设备传输业务报文信号延迟约为1.214 ms。通过在安全加密模块前后,对导航卫星数据,采用相同时延改正模型进行解算,没有发现处理结果有显著的精度变化,说明加密模块在数据安全传输过程中,没有对定位精度产生影响。7结束语
通过本文实验和分析,得出结论如下:在北斗信息增强系统中,使用基于国产加密板卡、国产加密算法开发的数据安全模块,实现了对该系统业务数据、管理数据、指令数据等在传输过程中的安全防护;由于采用硬件加解密运算,时间延时较小,大约1.2 ms。本文所述方法与结论可为GNSS服务系统数据传输安全的相关研究提供参考。参考文献(略)