CN108111515B - 一种适用于卫星通信的端到端安全通信加密方法 - Google Patents

一种适用于卫星通信的端到端安全通信加密方法 Download PDF

Info

Publication number
CN108111515B
CN108111515B CN201711412157.5A CN201711412157A CN108111515B CN 108111515 B CN108111515 B CN 108111515B CN 201711412157 A CN201711412157 A CN 201711412157A CN 108111515 B CN108111515 B CN 108111515B
Authority
CN
China
Prior art keywords
encryption
satellite communication
small station
communication
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711412157.5A
Other languages
English (en)
Other versions
CN108111515A (zh
Inventor
吴凡
郭伟
孙勇
王新荣
李宝明
尚丽娜
乔晓慧
何传昀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Space Star Technology Co Ltd
Original Assignee
Space Star Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Space Star Technology Co Ltd filed Critical Space Star Technology Co Ltd
Priority to CN201711412157.5A priority Critical patent/CN108111515B/zh
Publication of CN108111515A publication Critical patent/CN108111515A/zh
Application granted granted Critical
Publication of CN108111515B publication Critical patent/CN108111515B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/14Relay systems
    • H04B7/15Active relay systems
    • H04B7/185Space-based or airborne stations; Stations for satellite systems
    • H04B7/18578Satellite systems for providing broadband data service to individual earth stations
    • H04B7/18593Arrangements for preventing unauthorised access or for providing user protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/36Flow control; Congestion control by determining packet size, e.g. maximum transfer unit [MTU]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Abstract

本发明涉及一种适用于卫星通信的端到端安全通信加密方法,利用通信链路调制解调器协议栈默认MTU的更改,匹配加解密设备对原始数据包分片机制,达到适用于卫星通信端到端的数据加解密。本发明方法通过对Portal、PPPoE协议自身特点及加解密算法特点,构造出可适用于任意类型UDP数据包的加解密方式。本技术具有更强的适应性,同时支持多类型协议,适用于端到端在线、离线加解密的卫星通信安全加密方案。

Description

一种适用于卫星通信的端到端安全通信加密方法
技术领域
本发明涉及一种适用于卫星通信的端到端安全通信加密方法,属于卫星通信技术领域。
背景技术
卫星通信在当今世界各国引起了越来越多的重视,其在军事、应急救援、海事、民生等各领域发挥了不可替代的作用,而其作为重要的通信手段,保密性问题显得尤为突出,必须保证信息在产生、传输、处理、存储的各个环节不会泄露。同时信息完整性也同样重要,需要保证信息在传输及存储的过程中不被修改、不被破坏、不被插入、不乱序、不丢失。卫星通信由于其使用场景多涉及国计民生,且存在链路长、延迟大、系统复杂等特点,其信息安全重要性与难度均超过地面通信网。
通常情况下,小站之间的加密通信直接采用协商好的会话密钥对通信数据加密和解密,采用对称密码算法。采用CTR模式,经过加解密设备的每个IP包增加固定长度的IV和MAC校验和,即在原始数据包的基础上增加一定字节。由于应用端默认的MTU(最大传输单元)为1500,故数据包经过加解密设备增加了该固定字节后必然会超过最大值,被动进行分片。而卫星通信小站的协议栈具备的重组功能使数据包重组,重组后的两个数据包与经过加解密机的被分片的两个数据包不同,导致收发端加解密设备及卫星通信主站的数据包不一致,故收端加解密设备及卫星通信主站镜像业务的加解密机无法正常解密。
目前通用卫星通信加密方式为仅对发端小站出口与收端小站入口处进行加解密,此加解密方案仅对空间链路层存在加密密文传输,通信数据在小站、主站部分均未加密,为明文传输,降低了系统的安全性,同时在主站端若进行所有数据的存储,其存储为明文,一旦信息泄露,后果极其严重。而端到端安全加密难度大,需要考虑接口多,目前无统一方案。但卫星通信多传输敏感重要内容,仅对链路进行加密无法保证通信地面站信息被窃取后安全。
发明内容
本发明所要解决的技术问题是提供一种采用全新设计,能够有效提高数据加密安全性的适用于卫星通信的端到端安全通信加密方法。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种适用于卫星通信的端到端安全通信加密方法,基于分设主站和小站的加解密设备,针对主站与小站间、小站与小站间的端到端待加密卫星通信包实现安全加密,包括如下步骤:
步骤A.获取预设加密算法针对待加密卫星通信包的数据增量,即获取预设加密算法的随机数与MAC校验和;
步骤B.获取小站协议栈最大传输单元值;
步骤C.根据预设加密算法的随机数与MAC校验和,以及小站协议栈最大传输单元值,获取加解密设备的最大传输单元值;
步骤D.加解密设备根据其最大传输单元值,针对待加密卫星通信包中的报文进行数据分片;
步骤E.根据通信协议,设定小站协议栈的最大传输单元值,然后由加解密设备针对数据分片进行加密,获得加密通信数据包。
作为本发明的一种优选技术方案:所述主站到小站的端到端待加密卫星通信包,基于主站的数据、小站的数据均需要加密,判断主站与小站间、小站与小站间为端到端待加密卫星通信包。
作为本发明的一种优选技术方案:所述步骤C中,根据预设加密算法的随机数p字节与MAC校验和q字节,以及小站协议栈最大传输单元值n,按如下公式:
m=n-(p+q)-k
获取小于m,且被4整除的值,作为加解密设备的最大传输单元值,其中,k表示通信协议的协议报头。
作为本发明的一种优选技术方案:所述预设加密算法为对称加密算法,并采用CTR模式。
本发明所述一种适用于卫星通信的端到端安全通信加密方法,采用以上技术方案与现有技术相比,具有以下技术效果:现有常规技术方案仅对空间链路部分进行加密,在其小站、主站处信息均为明文形式,易于窃取。本发明方法对端到端的卫星通信过程均进行加密,小站加解密设备放置于小站外侧,同时主站侧放置主站加解密设备,利于小站与主站的加密通信,同时主站存储数据为密文数据,加强了安全性,必要时可进行解密还原。此方案对加密系统与通信系统接口要求高,要求端到端数据包格式长度统一,本发明通过对加解密设备与小站协议栈MTU的配合更改,解决了接口不一致问题,同时兼容Portal与PPPoE协议,使数据可在端到端任意部份进行解密,且不同协议无需更改加解密设备配置,可广泛适用于卫星通信的数据安全加密。
附图说明
图1是本发明适用于卫星通信的端到端安全通信加密方法连接框图;
图2是本发明适用于卫星通信的端到端安全通信加密方法的流程框图。
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
相比地面通信网,卫星通信网具有链路长,涉及设备多,系统复杂,通信数据更加重要等特点,故采用常规地面通信加密方式安全性不能满足要求,而采用端到端的加密方式存在加密与通信接口不匹配问题,本文就该问题提出了一种适用于卫星通信的端到端安全加密数据包处理方法,有效解决了该类问题,可适用于各类型卫星通信安全加密系统,通过端到端模式可在除业务终端外的全部通信链路(含主站内部分与小站)传输内容全部为密文,极大地提高了系统的安全性。同时,端到端模式可使主站侧对通信数据进行密文存储,且本方法可保证存储密文数据包格式与长度与加密设备出口处一致,保证了存储数据的正常解密与还原。
本发明设计了一种适用于卫星通信的端到端安全通信加密方法,实际应用中,如图1、图2所示,基于主站的数据、小站的数据均需要加密,判断主站与小站间、小站与小站间为端到端待加密卫星通信包,并基于分设主站和各小站的加解密设备,针对主站与小站间、小站与小站间的端到端待加密卫星通信包实现安全加密,实际应用中,具体包括如下步骤:
步骤A.获取预设加密算法针对待加密卫星通信包的数据增量,即获取预设加密算法的随机数p字节与MAC校验和q字节。这里实际应用中,预设加密算法为DBC对称加密算法,并采用CTR模式。
步骤B.获取小站协议栈最大传输单元值n。
步骤C.根据预设加密算法的随机数p字节与MAC校验和q字节,以及小站协议栈最大传输单元值n,按如下公式:
m=n-(p+q)-k
获取小于m,且被4整除的值,作为加解密设备的最大传输单元值M,其中,k表示通信认证协议的协议报头。可以被4整除是为了加解密机可以根据数据包固定格式平均进行分片;同时,该值需要尽可能大,以避免降低通信效率。
步骤D.加解密设备根据其最大传输单元值,针对待加密卫星通信包中的报文进行数据分片。
步骤E.根据通信协议,设定小站协议栈的最大传输单元值,保证与加解密设备MTU匹配的同时,可使端到端数据可正常加解密。然后由加解密设备针对数据分片进行加密,获得加密通信数据包。
将上述设计适用于卫星通信的端到端安全通信加密方法,应用到具体实施例当中,如下:
基于主站的数据、小站的数据均需要加密,判断主站与小站间、小站与小站间为端到端待加密卫星通信包,其中,a.经过主站的数据是否需要进行加密;b.经过小站的数据是否需要加密;两者都需要加密时可判定主站到小站为端到端待加密卫星通信包,同理,经过小站A与小站B的数据都需要加密时可判定小站到小站为端到端待加密卫星通信包,然后,并基于分设主站和小站的加解密设备,针对主站与小站间、小站与小站间的端到端待加密卫星通信包实现安全加密,实际应用中,具体包括如下步骤:
步骤A.获取预设加密算法针对待加密卫星通信包的数据增量,即获取预设加密算法的随机数(IV)p字节与MAC校验和q字节。这里实际应用中,预设加密算法为DBC对称加密算法,并采用CTR模式,实际应用中,每个IP包增加128bit(p=16字节)IV和128bit(q=16字节)MAC校验和,即在原始数据包的基础上增加256bit(32字节)。
步骤B.获取小站协议栈最大传输单元值n,这里实施例中为1500。
步骤C.根据预设加密算法的随机数p字节与MAC校验和q字节,以及小站协议栈最大传输单元值n,按如下公式:
m=n-(p+q)-k
获取小于m,且被4整除的值,作为加解密设备的最大传输单元值M,其中,k表示通信协议的协议报头。则基于上述实施例数据,p=16字节,q=16字节,n=1500,并且这里通信协议选择PPPoE协议,即k=8,则取加解密设备的最大传输单元值M为1404。
步骤D.加解密设备根据其最大传输单元值,针对待加密卫星通信包中的报文进行数据分片。基于上述实施例数据,则根据加解密设备MTU值为1404,该加解密设备分片机制为:所有通过该设备的报文,若长度N小于M-p-q=1372,则报文经过加密后直接传输,若长度N大于M-p-q=1372,则将该报文分片,第一包长度为M=1404,第二包长度为N-(M-p-q)+20+p+q=N-1320。
步骤E.根据通信协议,设定小站协议栈的最大传输单元值,具体为对于Portal协议,将协议栈LAN口与WAN口MTU均改为1404;对于PPPoE协议,将协议栈LAN口MTU改为1404,WAN口MTU改为1404+8=1412;然后由加解密设备针对数据分片进行加密,获得加密通信数据包。
如此,使用双方小站下终端进行业务测试,所有业务均可正常使用,主站侧镜像数据可正常解密,解密后明文与加密前明文一致。通过该验证可说明本文所提出的方法正确,实施难度小,适用性强,可在卫星通信安全加密领域所使用。
上述技术方案所设计适用于卫星通信的端到端安全通信加密方法,端到端的卫星通信过程均进行加密,小站加解密设备放置于小站外侧,同时主站侧放置主站加解密设备,利于小站与主站的加密通信,同时主站存储数据为密文数据,加强了安全性,必要时可进行解密还原。此方案对加密系统与通信系统接口要求高,要求端到端数据包格式长度统一,本发明通过对加解密设备与小站协议栈MTU的配合更改,解决了接口不一致问题,同时兼容Portal与PPPoE协议,使数据可在端到端任意部份进行解密,且不同协议无需更改加解密设备配置,可广泛适用于卫星通信的数据安全加密。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变动。

Claims (2)

1.一种适用于卫星通信的端到端安全通信加密方法,其特征在于,基于分设主站和小站的加解密设备,针对主站与小站间、小站与小站间的端到端待加密卫星通信包实现安全加密,包括如下步骤:
步骤A.获取预设加密算法针对待加密卫星通信包的数据增量,即获取预设加密算法的随机数与MAC校验和;
步骤B.获取小站协议栈最大传输单元值;
步骤C.根据预设加密算法的随机数与MAC校验和,以及小站协议栈最大传输单元值,获取加解密设备的最大传输单元值;
步骤D.加解密设备根据其最大传输单元值,针对待加密卫星通信包中的报文进行数据分片;
步骤E.根据通信协议,设定小站协议栈的最大传输单元值,然后由加解密设备针对数据分片进行加密,获得加密通信数据包;
其中,所述主站到小站的端到端待加密卫星通信包,基于主站的数据、小站的数据均需要加密,判断主站与小站间、小站与小站间为端到端待加密卫星通信包;
所述步骤C中,根据预设加密算法的随机数p字节与MAC校验和q字节,以及小站协议栈最大传输单元值n,按如下公式:
m=n-(p+q)-k
获取小于m,且被4整除的值,作为加解密设备的最大传输单元值,其中,k表示通信协议的协议报头。
2.根据权利要求1所述的适用于卫星通信的端到端安全通信加密方法,其特征在于:所述预设加密算法为对称加密算法,并采用CTR模式。
CN201711412157.5A 2017-12-23 2017-12-23 一种适用于卫星通信的端到端安全通信加密方法 Active CN108111515B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711412157.5A CN108111515B (zh) 2017-12-23 2017-12-23 一种适用于卫星通信的端到端安全通信加密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711412157.5A CN108111515B (zh) 2017-12-23 2017-12-23 一种适用于卫星通信的端到端安全通信加密方法

Publications (2)

Publication Number Publication Date
CN108111515A CN108111515A (zh) 2018-06-01
CN108111515B true CN108111515B (zh) 2021-07-02

Family

ID=62212559

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711412157.5A Active CN108111515B (zh) 2017-12-23 2017-12-23 一种适用于卫星通信的端到端安全通信加密方法

Country Status (1)

Country Link
CN (1) CN108111515B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110649960B (zh) * 2019-10-12 2021-08-10 四川安迪科技实业有限公司 卫星网络报文交换方法及系统、发送与接收方法及装置
CN115460595B (zh) * 2022-11-11 2023-03-24 北京数盾信息科技有限公司 一种基于卫星网络的数据传输方法、中心信关站及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101226700A (zh) * 2008-01-28 2008-07-23 哈尔滨工业大学 Ip数据报的分片与重组过程的教学实验方法
CN101488912A (zh) * 2008-12-19 2009-07-22 华为技术有限公司 一种ip分片方法和装置
CN103905180A (zh) * 2014-04-21 2014-07-02 西安电子科技大学 经典应用接入量子通信网络的方法
CN104618275A (zh) * 2015-01-21 2015-05-13 大唐移动通信设备有限公司 一种分片处理的方法和设备
CN105337954A (zh) * 2014-10-22 2016-02-17 航天恒星科技有限公司 卫星通信中ip报文的加密、解密方法及装置
CN106612245A (zh) * 2015-10-27 2017-05-03 大唐移动通信设备有限公司 一种基于gtpu隧道协议的报文传输方法和系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7474619B2 (en) * 2004-07-22 2009-01-06 International Business Machines Corporation Method and apparatus for providing fragmentation at a transport level along a transmission path
JP4649315B2 (ja) * 2005-11-02 2011-03-09 キヤノン株式会社 通信装置及び通信方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101226700A (zh) * 2008-01-28 2008-07-23 哈尔滨工业大学 Ip数据报的分片与重组过程的教学实验方法
CN101488912A (zh) * 2008-12-19 2009-07-22 华为技术有限公司 一种ip分片方法和装置
CN103905180A (zh) * 2014-04-21 2014-07-02 西安电子科技大学 经典应用接入量子通信网络的方法
CN105337954A (zh) * 2014-10-22 2016-02-17 航天恒星科技有限公司 卫星通信中ip报文的加密、解密方法及装置
CN104618275A (zh) * 2015-01-21 2015-05-13 大唐移动通信设备有限公司 一种分片处理的方法和设备
CN106612245A (zh) * 2015-10-27 2017-05-03 大唐移动通信设备有限公司 一种基于gtpu隧道协议的报文传输方法和系统

Also Published As

Publication number Publication date
CN108111515A (zh) 2018-06-01

Similar Documents

Publication Publication Date Title
EP0998799B1 (en) Security method and system for transmissions in telecommunication networks
US8379638B2 (en) Security encapsulation of ethernet frames
US8356177B2 (en) Key transport in authentication or cryptography
CN111245862A (zh) 一种物联网终端数据安全接收、发送的系统
WO2007059558A1 (en) Wireless protocol for privacy and authentication
US7039190B1 (en) Wireless LAN WEP initialization vector partitioning scheme
EP3476078A1 (en) Systems and methods for authenticating communications using a single message exchange and symmetric key
KR20180130203A (ko) 사물인터넷 디바이스 인증 장치 및 방법
CN102469173A (zh) 基于组合公钥算法的IPv6网络层可信传输的方法和系统
US20040103279A1 (en) Systems and methods for providing autonomous security
CN113572766A (zh) 电力数据传输方法和系统
CN115567206A (zh) 采用量子分发密钥实现网络数据报文加解密方法及系统
CN113904809A (zh) 一种通信方法、装置、电子设备及存储介质
WO2022161369A1 (zh) 一种光传送网的安全管理信息处理方法及装置
US20120163383A1 (en) Method and device for transmitting data between two secured ethernet-type networks through a routed network
Borsc et al. Wireless security & privacy
CN108111515B (zh) 一种适用于卫星通信的端到端安全通信加密方法
CN107276996A (zh) 一种日志文件的传输方法及系统
CN114826748B (zh) 基于rtp、udp及ip协议的音视频流数据加密方法和装置
KR101457455B1 (ko) 클라우드 네트워크 환경에서의 데이터 보안 장치 및 방법
CN210839642U (zh) 一种物联网终端数据安全接收、发送的装置
CN111093193B (zh) 一种适用于Lora网络的MAC层安全通信的方法
CN108809888B (zh) 一种基于安全模块的安全网络构建方法和系统
CN110650016B (zh) 一种实现交直流控制保护系统网络数据安全的方法
KR20060091018A (ko) 무선 랜에서의 ccmp를 이용한 암호화, 복호화 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant