面向空间信息系统的可信认证机制研究

石玲玲++周阳++吕博

摘 要：认证性作为空间信息系统的一个重要安全需求和目标，关系到整个系统的安全性、稳定性和抗毁性。论文在对现有认证技术的总结和分析的基础上，结合空间信息系统的特点，较系统、全面地分析了航天信息系统中可能面临的认证安全问题，最后提出了适用于空间信息系统计算终端访问控制、大规模地面信息网络身份认证、空间自组织网络入侵检测等，以及不同应用场景下的可信安全认证解决方案，确保空间信息网络认证安全、认证可信，有效地提升空间信息系统的信息安全保障能力。

关键词：空间信息系统；认证；访问控制；信息安全

中图分类号： TP309.02 文献标识码：A

1 引言

空间信息系统是利用先进的空间自组网技术，将具有空间通信能力的高、中、低不同轨道上、不同飞行运动速度、执行不同任务的多种类型的卫星、空间和临近空间飞行器（卫星、深空探测器、载人飞船、无人机、空间站、航天飞机、飞艇等），及相应的地面设施和终端连接起来，实现空间网络、临近空间网络、地面网络等各级网络互联互通的立体化的综合信息系统。空间信息系统集成了各种空间信息获取、传输、处理、分发和应用系统，能够为通信、导航、监视、侦察、预警、空间作战、电子对抗等国民经济、社会服务及指挥控制等国防军事领域提供重要保障。空间信息系统具有重要的军事应用价值，其数据高敏感性和机密性、环境复杂多变、多种链路并存的通信方式，及各分系统互联互通、各军兵种协同协作的需求，决定了其各个环节更加脆弱，更容易遭受各种网络攻击和安全威胁。敌方对空间信息及节点身份进行伪造，非法接触重要信息、对网络进行干扰和破坏等，将会极大地影响军事战略计划和行动。空间信息系统、网络、信息中存在重要和敏感的机密数据，其安全保障不仅关系到数据传送的准确度和保密度，更是直接决定了消息传输的可靠度和使用可信度，认证技术对空间信息系统服务效能具有较大的影响和支配作用。身份认证技术为空间信息系统提供了对系统信息，及终端、网络用户的身份判别和确认机制，确保系统访问者、网络通信双方的可信性和真实性，为信息及信息系统的访问控制提供认证和授权依据。加强认证方案的研究和实施已成为空间信息系统建设中至关重要的问题。

2 空间信息系统认证需求分析

空间信息系统所面临的信息安全问题已严重制约了空间信息系统的发展。同传统网络一样，空间信息系统的网络安全目标包括机密性、完整性、可用性、认证性和不可否认性等。其中，认证性在信息安全中处于非常重要的地位，是访问控制、入侵防范等安全机制的基础。

为确保空间信息系统消息传输的安全性，多采用加密机制，在发端利用对称加密算法对要传输的数据、消息和指令进行加密，在接收端解密恢复出明文消息。机密机制可以防止攻击者截获或窃听到消息明文，但不能解决身份伪造、信息造假、消息重放等信息安全问题的发生，尤其在敏感度较高的空间信息系统中，不能对访问者进行有效的身份认证所造成的后果是极其恶劣的，主要表现在几个方面。

（1）若访问控制不严格，攻击者轻而易举接触到空间系统中的计算终端或软件系统，获取机密军事消息，造成机密泄露。

（2）若消息源身份认证机制不完善，攻击者伪造管理员的身份向空间节点下达指令，指挥空间节点进行错误的行动，将导致节点无法正常运作，甚至整个空间网络的瘫痪。

（3）在军事应用中，空间侦察/探测节点检测到的情报消息，若不加认证或认证不严密即进行情报收集、信息融合、辅助决策，将误导决策者的决心方案，后果不堪设想。

认证性作为空间信息系统信息安全的一个重要目标，是空间信息系统稳定运行的重要保障。为完善空间信息系统中的信息安全体系，建立一个符合空间信息系统规定和技术要求、安全可靠、技术先进成熟、运行稳定的可信身份认证机制，空间信息系统中的认证方案必须满足几项要求。

（1）访问控制：访问者对空间系统终端如涉密服务器、设备或网络等进行访问时，空间信息系统要能及时、正确地鉴别和核实访问者的身份，根据其身份分配相应的访问权限，对其操作和访问行为进行有效控制，以提高系统及数据的机密性，防止军用机密消息和消息系统被非授权访问。

（2）消息源認证：要能对空、天、地网络通信中通信节点的身份进行及时、有效、准确地识别和验证，确保消息源是真实可信而不是伪造、失效的，以提高空间信息系统网络通信的安全性和认证性，防止空间节点接收和执行非法指令。

（3）抗抵赖性：访问完成后，要能对用户的访问行为进行安全审计，用户不能对其访问行为进行否认；网络认证后，管理者不能对自己下达指令的行为进行抵赖；在发生纠纷时要能进行有效的评判和仲裁，以确保空间信息系统访问控制和身份认证的公平性和合理性。

（4）空间节点入侵行为认证：空间信息网络具有拓扑结构动态多变、通信方式不对等、髙度开放等特点，特别是临近空间领域，节点频繁的加入与退出网络，导致一些非法入侵者侵入该网络中的节点，进一步影响信息在网络中的安全传输，并对网络的正常运行造成非常严重的负面影响。因此，需要一定的入侵检测和响应机制来对空间节点身份进行认证，应对入侵行为的对空间网络的安全威胁。

3 常用安全认证技术

认证技术在网络安全、终端安全和存储安全中有较广泛、较成熟的应用，常用的身份认证技术[1]包括几种。

（1）口令认证：最简单、最普遍的身份鉴别、认证方式，基于用户所知道信息，常采用“账户+密码”的认证方式。静态口令机制部署和实施简单，用户口令固定不变，易被盗用，不能满足安全强度要求较高的系统应用；动态口令是基于时间同步的动态密码，进行一次性口令认证，但仍然存在较大安全漏洞，对服务器时钟系统进行攻击，就会给安全认证系统以毁灭性打击。

（2）质询/响应认证：采用一次性随机数的认证方案，可以是单向、双向认证。由发端根据算法选择随机数发出质询，收端根据约定的算法对随机数进行一定变换后输出响应回送给发端，发端验证响应的有效性，进而确认对方身份的真实性，质询/响应认证技术常跟数字签名认证技术同时使用，可以抵抗消息重放攻击。endprint

（3）Kerberos认证：基于TCP/IP的Internet和Intranet设计的安全认证协议。核心原理是对称共享密钥算法，工作在C/S模式，各用户与可信赖的第三方KDC（密钥分发中心）都有一共享主密钥，为网络用户和服务器建立和分配一次性会话密钥，包括客户端、服务器端、认证服务器AS、票据服务器TGS、票据等。该机制中，用户每次访问服务器需要Kerberos认证系统为其分配会话密钥，因此需要中心服务器的持续响应和密钥管理，存在单点失效隐患；通信主机的时钟同步要求较高，不能预防猜测口令攻击。

（4）基于公钥证书的身份认证：方案的核心是基于公钥密码算法的数字签名技术，数字签名的不可逆性、不可伪造性使得该认证技术具有较高的安全性，很好地解决了大规模网络下的节点信任问题。公钥证书是由权威、可信的认证机构CA负责签名并发布的，包含用户公钥信息、证书有效期、签发机构、签名算法、数字签名等信息。与公钥证书中的公钥相匹配的私钥仅被证书的合法持有者所拥有，是用户实施消息签名的有效工具，其他用户利用签名者的公钥对其数字签名进行验证，鉴定消息源身份的真实性。

（5）基于生物特征的身份认证[2]：基于指纹、虹膜、声音、人脸等个人特有的生理特征的身份认证技术，具有唯一性、不可伪造性。较其他认证技术而言，基于生物特征的身份认证具有更稳定、更可靠的识别能力，在高安全强度环境下的应用较多，但特征的提取、处理和识别过程需要算法和硬件芯片的支持，软硬件实现成本较高。

（6）智能卡认证：智能卡、IC卡是一种内置集成电路的卡片，卡片中存有与用户身份相关的数据，由用户随身携带，登录终端时必须将其插入专用的读卡器读取信息，以验证用户的身份。智能卡的安全性是基于硬件的不可复制性，但由于每次从IC卡读取的用户数据是静态的，通过内存扫描、网络监听等技术容易获取用户身份消息，同时存在智能卡丢失，被人假冒、可伪造等安全问题。

（7）USB Key认证[3]：一种USB接口的秘密数据存储设备，采用软硬件结合、一次一密的强双因子认证模式，PIN码和硬件构成了其必要认证因子；带有安全存储空间，存储数字证书、用户密钥等秘密数据，不存在数据复制的危险；内置CPU或智能卡芯片，可以实现PKI系统中的数据加解密、消息摘要和数字签名等算法，由于在USB Key内采用硬件实现密码操作，安全性得到提升。基于USB Key的身份认证方案主要有基于质询/响应和基于PKI体系的两种认证模式，目前主要应用在电子政务、网上银行等。

4 空间信息系统可信认证方案构想

4.1 计算终端可信认证

管理系统为管理者提供了直接指挥、监视、控制空间系统运作的终端平台。部署了较多的机要设备和系统，当访问者试图进行访问操作，终端登录，建立网络连接时，需要制定对访问者进行身份鉴别和认证的访问控制机制，根据认证结果分配访问范围和执行权限，结合在各终端配置防火墙、入侵检测等增强系统的访问控制能力，使得入侵者和非法用户无法接触到机密信息或系统。

实际中，根据具体应用选择基于单机或基于C/S模式的认证模式，根据对安全和认证的需求程度，可以选择口令、USB Key、虹膜、指纹、人脸生物特征识别等访问控制技术，对终端访问者的身份进行验证和核实。在重要机密设备等对访问控制要求较严格的条件下，比如管理人员通过操作特殊电子设备，向空间通信节点下达变轨等命令，则需要采用多种认证手段相结合的认证方式，如Key认证+生物特征的双因子认证技术等，以加强对用户身份认证的严密性和准确性，降低系统误认证和漏认证事件发生的概率，确保空间控制系统身份认证的权威性和可信性。为有效地抵御消息重放网络攻击，空间信息系统的身份认证方案可以与质询/响应的认证方式相结合。

4.2 大规模网络可信认证

随着网络中心战的深入和扩大，空间网络规模将愈加庞大，空间信息系统内部的各级管理机构、保障部门、信息处理中心、控管中心等机构，以及各类空间通信节点之间将组成一个复杂庞大的互联互通网絡。在可信通信中，除了在操作层建立访问控制机制外，还需要研究和建立消息源身份认证方案，解决通信中的身份真实性、合法性验证问题。

基于公钥证书的身份认证技术是目前开放、分布式、大规模网络环境下，实现网络身份认证的最广泛、最有效的技术手段，具有认证性好、可靠性高等特点，PKI在提供认证性的同时，还能满足网络机密性、完整性传输，访问控制，密钥和数字证书管理的功能需求。不同于通用网络中的PKI系统，空间信息系统具有更高的安全性和抗毁性要求，本文考虑采用基于分布式CA的PKI方案实现空间信息系统中的网络身份认证机制，以强化空间信息网络的认证安全性保护。

基于分布式CA的PKI方案通过在空间信息系统中部署多个认证机构CA、多个注册机构RA、证书数据库、密钥备份及恢复系统、证书撤销系统、PKI应用接口等，为空间信息系统各终端实体提供密钥、证书的产生、签名、备份、发布、更新、撤销、恢复等密钥和数字证书管理操作，各单元的具体职能同PKI系统保持一致。

分布式CA的PKI方案的核心是门限签名方案[4]，签名算法可以采用RSA、ECC等。以（n，t）门限签名方案为例，系统初始化阶段：秘密产生系统签名私钥和系统公钥，根据Shamir门限秘密共享方案[10]，将系统签名私钥分割为n份子私钥，由网络中分布的n个CA持有。签名实施阶段：只有不少于t个持有子私钥的CA才能对数字证书实施有效签名，否则签名无效，数字证书签发失败，其中数字证书包含了用户的公钥信息。认证阶段：用户A欲与用户B建立通信，用户A用其私钥对消息进行签名后，发送给用户B，用户B首先验证用户A数字证书的有效性（用系统公钥验证用户A的数字证书中的CA签名），通过后利用A的公钥验证消息签名的有效性，通过则认为消息的发送方即是A，此消息是真实可信的，否则判定A是假冒的，其发送的消息也是不可信的，中止通信过程。endprint

分布式CA的PKI方案中，门限参数根据网络规模、网络对可靠性的需求程度而设定，同时要兼顾方案实施的软硬件成本消耗。

该方案中，数字签名的应用不仅能解决网络传输的消息源认证、防止假冒身份的行为，数字签名的唯一性、不可逆性也为空间信息网络提供了消息抗抵赖的保障。

4.3 空间自组织网络可信认证

空、天信息系统的网络环境动态多变，各类航天器之间通过传感器网络和Ad Hoc网络互联互通。

4.3.1 身份认证

传感器网络、Ad Hoc网络等组网方式在航天器空间组网方面具有巨大的应用价值和发展前景，但此类网络存在节点资源和能源有限、链路带宽资源有限等问题，使得计算复杂、签名长度较大的数字签名在此类网络中的应用受到阻碍，基于公钥证书的认证方案的可行性大大降低。而基于单向哈希链的认证方案且较传统的数字签名而言，具有较小的计算量和输出量，且能解决小规模网络下的消息源身份认证问题，本文考虑在空间信息系统能源和资源受限的战场网络环境中采用基于单向哈希链的认证方案代替数字签名，实现网络通信的消息源认证。

基于单向哈希链的认证方案[5]是基于哈希函数的单向性和无碰撞性原理，该认证方案具有较好的消息源身份认证特性。初始阶段：节点A选取一个秘密随机数r作为种子，采用单向哈希函数如MD5、SHA、HMAC等对r进行N次递归哈希计算，得到一个单向哈希链{r，hi（r）（i=1，2，3…，N）}，其中N是一个正整数，i是哈希值的级数，hi（r）是第i级哈希值，作为认证凭据。初始阶段完成后，向网络公布hN（r），{r，hi（r）（i=1，2，3，…，N-1）}则作为A的秘密密钥集合，由A秘密保存。认证阶段：A每次从秘密密钥集合中选取最大级数的哈希值，认证完毕后，从秘密密钥集合中删除使用过哈希值，致使A的秘密密钥集合随着认证次数动态变化。假设A目前的秘密密钥集合为{r，hi（r）（i=1，2，3，…，m）}，则A会选择hm（r）作为本次的认证票据，发送给节点B；节点B通过验证hN-mhm（r）=hN（r）是否成立，确认对方是否为节点A。根据哈希函数的单向性，其他节点在不知道r的情况下，即使知道hn（r）（n>m），也无法计算出hm（r）。只有A知道未公开过的hm（r），所以，仅通过验证hN-mhm（r）=hN（r）的成立性就可以判别消息源是否为节点A。

4.3.2 恶意节点入侵检测

空间网络开放且移动性较大，都是基于分布式的、多节点协作实现战场监测、网络路由、消息传输的，动态多变的环境使得单个节点的可信度和抗毁性有所降低。恶意节点混入网络骗取了合法证书、我方节点被俘虏、节点被移动、节点自身出现故障等问题的发生不可避免，这些故障节点统称为恶意节点。为了防止空间移动网络中单点失效问题，必须综合多因素的影响、多节点的协作来执行入侵检测、节点合法性认证，确保检测的可靠性；空间节点资源和系统资源极其有限，入侵检测算法必须尽可能消耗较少的节点和系统资源，确保检测的效率性。

分布式协作策略是一种依靠分布在网络中一定范围内、多个节点的联合作用和相互协作而实施的网络策略。可以采取分布式协同入侵检测方法，根据具体应用、网络规模、安全需求等，在多点协作、分布式的移动网络中部署合适的恶意节点识别方案[6]，建立合理、完备的信用值计算公式，完善节点信用值的影响因素（被控因素、指控因素、撤控因素等），并合理权衡各个因素对信用值的影响程度。初始，为每个节点签发数字证书、建立信用值记录。当节点收到指控（被控）后，该节点会受到惩罚，根据信用值计算公式，信用值降低分值。当某节点的信用值达到检测阈值时，则判定为恶意节点，通过撤销数字证书、网络隔离等方式将恶意节点剔除网络，以确保空间信息系统网络处于可信状态。

5 结束语

可信认证在提高空间信息系统的信息安全保障水平，增强空间信息系统的信息化作战抗攻击能力方面发挥越来越重要的作用。本文在全面深入分析空间信息系统的特点及认证需求的基础上，综合利用各类安全认证技术，构建了适用于空间信息系统的终端访问控制、大规模网络身份认证、空间无线网络恶意节点识别的认证方案构想，能够为空间网络提供全方位、高强度的安全认证防护，满足空间信息系统在不同应用环境下的安全认证需求，为提升空间信息系统的信息安全综合防御能力提供支撑。

參考文献

[1] 刘晓知，覃峰.浅谈身份认证技术[J].科技信息（科学教研）， 2007， （29）.

[2] 田启川，张润生生物特征识别综述[J].计算机应用研究， 2009， （12）.

[3] 杨桓.基于USB KEY的身份认证技术的相关研究[J].软件导刊， 2011， （03）.

[4] 柴震川.门限密码方案安全性和应用研究[D].上海交通大学， 2007.

[5] 基于单向哈希链的Ad Hoc网络认证和密钥管理研究[J].翁丽萍.中南大学. 2010 （03）

[6] 石玲玲. Ad Hoc网络证书撤销机制的分析和研究[J].西安电子科技大学，2011.endprint