CN115460595B - 一种基于卫星网络的数据传输方法、中心信关站及系统 - Google Patents
一种基于卫星网络的数据传输方法、中心信关站及系统 Download PDFInfo
- Publication number
- CN115460595B CN115460595B CN202211413811.5A CN202211413811A CN115460595B CN 115460595 B CN115460595 B CN 115460595B CN 202211413811 A CN202211413811 A CN 202211413811A CN 115460595 B CN115460595 B CN 115460595B
- Authority
- CN
- China
- Prior art keywords
- gateway
- key
- cipher machine
- station
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B7/00—Radio transmission systems, i.e. using radiation field
- H04B7/14—Relay systems
- H04B7/15—Active relay systems
- H04B7/185—Space-based or airborne stations; Stations for satellite systems
- H04B7/1851—Systems using a satellite or space-based relay
- H04B7/18517—Transmission equipment in earth stations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/06—Airborne or Satellite Networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Astronomy & Astrophysics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Aviation & Aerospace Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于卫星网络的数据传输方法、中心信关站及系统,应用于地面系统的中心信关站侧的方法包括:接收第一信关小站发送的第一终端的第一数据;所述第一数据是通过第一信关小站的第一密码机对所述第一数据进行加密得到的;将所述第一数据发送至卫星链路中的第一卫星,并由所述第一卫星将所述第一数据转发至第二卫星;接收所述第二卫星发送的第一数据,将所述第一数据转发至与所述中心信关站通信连接的第二信关小站,由所述第二信关小站的第二密码机对所述第一数据进行解密后,发送给第二终端,所述第一密码机和第二密码机采用的密钥是所述中心信关站配置的。本发明的方案能够有效提升数据传输的安全性。
Description
技术领域
本发明涉及通信技术领域,特别是指一种基于卫星网络的数据传输方法、中心信关站及系统。
背景技术
卫星通信具有不受地面环境影响的空间跨越、远程通信和广播等优势,是数据信息交互传输的一种重要途径,并随着国家社会经济的快速发展日益受到人们的普遍关注。
当前大型企业的业务往往覆盖各大洲,通过卫星通信网络实现现场数据实时回传、远程视频会议、远程视频监控、教学培训和OA(Office Automation,办公室自动化)办公等业务。用户采购现有的卫星系统,卫星通讯厂商不提供链路层接口。其信息网络上传输有大量的涉密数据信息,数据信息的传输安全性差,需要加以保护。
发明内容
本发明提供一种基于卫星网络的数据传输方法、中心信关站及系统,解决数据信息的传输安全性差的问题。
为解决上述技术问题,本发明的技术方案如下:
一种基于卫星网络的数据传输方法,应用于地面系统的中心信关站,所述方法包括:
接收第一信关小站发送的第一终端的第一数据;所述第一数据是通过第一信关小站的第一密码机对所述第一数据进行加密得到的;
将所述第一数据发送至卫星链路中的第一卫星,并由所述第一卫星将所述第一数据转发至第二卫星;
接收所述第二卫星发送的第一数据,将所述第一数据转发至与所述中心信关站通信连接的第二信关小站,由所述第二信关小站的第二密码机对所述第一数据进行解密后,发送给第二终端,所述第一密码机和第二密码机采用的密钥是所述中心信关站配置的。
可选的,所述中心信关站对所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥配置,包括:
获取密钥配置策略;
根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行静态配置或者动态配置。
可选的,根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行静态配置,包括:
按照密钥配置周期,将至少一组密钥配置给所述第一信关小站的第一密码机和第二信关小站的第二密码机,其中一组密钥包括:所述第一密码机所使用的第一公私钥对以及所述第二密码机所使用的第二公私钥对,所述第一公私钥对和第二公私钥相同。
可选的,所述基于卫星网络的数据传输方法,还包括:
按所述至少一组密钥组的密钥组索引的顺序,配置所述第一密码机和第二密码机所使用的一组密钥生效;或者
通过密钥生效协商流程,配置所述第一密码机和第二密码机所使用的一组密钥生效。
可选的,通过密钥生效协商流程,配置所述第一密码机和第二密码机所使用的一组密钥生效,包括:
向所述第一信关小站的第一密码机和第二信关小站的第二密码机分别发送当前生效的一组密钥的组号;
接收所述第一密码机按照所述组号更新所述一组密钥的第一更新生效结果和接收第二密码机按照所述组号更新所述一组密钥的第二更新生效结果;
根据所述第一更新生效结果配置所述第一密码机和第二密码机所使用的密钥生效和/或根据所述第二更新生效结果配置所述第二密码机所使用的密钥生效。
可选的,根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行动态配置,包括:
向所述第一信关小站的第一密码机和第二信关小站的第二密码机分别发送动态密钥生效协商请求,动态密钥生效协商请求携带:密钥组的批次号和生效密钥的索引号;
接收所述第一密码机设置的生效密钥以及第二密码机设置的生效密钥;
根据所述第一密码机设置的生效密钥配置所述第一信关小站的第一密码机的密钥和根据所述第二密码机设置的生效密钥配置所述第二信关小站的第二密码机的密钥。
可选的,所述基于卫星网络的数据传输方法,还包括:
通过运营控制管理中心与所述地面系统中的其它中心信关站进行数据传输。
本发明还提供一种中心信关站,包括:
收发模块,用于接收第一信关小站发送的第一终端的第一数据;所述第一数据是通过第一信关小站的第一密码机对所述第一数据进行加密得到的;将所述第一数据发送至卫星链路中的第一卫星,并由所述第一卫星将所述第一数据转发至第二卫星;接收所述第二卫星发送的第一数据,将所述第一数据转发至与所述中心信关站通信连接的第二信关小站,由所述第二信关小站的第二密码机对所述第一数据进行解密后,发送给第二终端,所述第一密码机和第二密码机采用的密钥是所述中心信关站配置的。
本发明还提供一种基于卫星网络的数据传输系统,包括:地面系统的中心信关站和与所述中心信关站通信连接的至少两个信关小站;
所述中心信关站接收至少两个信关小站中的第一信关小站发送的第一终端的第一数据;所述第一数据是通过第一信关小站的第一密码机对所述第一数据进行加密得到的;
将所述第一数据发送至卫星链路中的第一卫星,并由所述第一卫星将所述第一数据转发至第二卫星;
接收所述第二卫星发送的第一数据,将所述第一数据转发至与所述中心信关站通信连接的第二信关小站,由所述第二信关小站的第二密码机对所述第一数据进行解密后,发送给第二终端,所述第一密码机和第二密码机采用的密钥是所述中心信关站配置的。
本发明还提供一种计算机可读存储介质,包括:存储指令,当所述指令在计算机上运行时,使得计算机执行如上所述的方法。
本发明的上述方案至少包括以下有益效果:
本发明的上述方案,通过接收第一信关小站发送的第一终端的第一数据;所述第一数据是通过第一信关小站的第一密码机对所述第一数据进行加密得到的;将所述第一数据发送至卫星链路中的第一卫星,并由所述第一卫星将所述第一数据转发至第二卫星;接收所述第二卫星发送的第一数据,将所述第一数据转发至与所述中心信关站通信连接的第二信关小站,由所述第二信关小站的第二密码机对所述第一数据进行解密后,发送给第二终端,所述第一密码机和第二密码机采用的密钥是所述中心信关站配置的。可以有效提升数据传输的安全性。
附图说明
图1是本发明实施例的基于卫星网络的数据传输方法的流程示意图;
图2是本发明实施例的基于卫星网络的数据传输系统的架构示意图;
图3是本发明实施例的基于卫星网络的数据传输系统的加密场景示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
如图1所示,本发明的实施例提供一种基于卫星网络的数据传输方法,应用于地面系统的中心信关站,所述方法包括:
步骤11,接收第一信关小站发送的第一终端的第一数据;所述第一数据是通过第一信关小站的第一密码机对所述第一数据进行加密得到的;
步骤12,将所述第一数据发送至卫星链路中的第一卫星,并由所述第一卫星将所述第一数据转发至第二卫星;
步骤13,接收所述第二卫星发送的第一数据,将所述第一数据转发至与所述中心信关站通信连接的第二信关小站,由所述第二信关小站的第二密码机对所述第一数据进行解密后,发送给第二终端,所述第一密码机和第二密码机采用的密钥是所述中心信关站配置的。
其中,所述第一数据可以包括但不限于:数据、基于IP地址的语音、视频。
本发明的该实施例中,通过地面系统的中心信关站对所述第一信关小站的第一密码机和第二信关小站的第二密码机进行密钥配置,使得所述第一信关小站可以通过第一密码机对所述第一数据进行加密,所述第二信关小站可以通过第二密码机对所述第一数据进行解密。这样在通过地面系统的中心信关站完成基于卫星网络的数据传输时,能够有效提升数据传输的安全性。
需要说明的是,所述卫星网络是卫星通信与互联网结合的网络形式,所述卫星网络可以包括但不限于:空间段(通信卫星或通信卫星星座)、地面段(信关站网络)以及用户段(终端),支持星型、网状和混合组网络结构。
所述卫星网络规模巨大,应用场景互联网化,所述卫星网络的通信系统可以包括:多颗卫星,多个卫星通信信关站(中心信关站、信关小站),以及上千到百万个及以上的卫星通信终端,中心信关站可以将数据通过卫星以点对点、广播、组播、星间传输等方式传输到各信关小站,各信关小站也可以通过点对点、广播、组播、星间传输等方式将数据通过卫星回传给其他信关站或者其他终端。
需要注意的是,由于卫星通信厂家不提供链路层接口,可以采用透明网桥的方式,实时俘获用户终端的IP数据,并对所述IP数据进行分析处理和加解密处理,这样能够保证用户终端数据在空间链路传递过程中的机密性,还能够保证大多数的卫星网络设备的安全。中心信关站密码机与通信系统相对独立,中心信关站密码机的配置使用比较方便,不需要卫星设备厂家提供额外的支持,即可独立完成配置任务。
如图2所示,本发明一可选的具体实施例中,所述基于卫星网络的数据传输系统,可以包括:空间段、地面段、地面系统,以及用户段;
其中,所述空间段可以包括:至少两个LEO(低轨道地球卫星)通信卫星星座,至少一个GEO(高轨道卫星)通信卫星;
所述地面段可以包括:运营控制管理中心和全球运营中心,所述空间段和所述地面段之间设置有检测系统;
所述地面系统可以包括:信关站系统,所述信关站系统中包括:至少一个中心信关站,所述中心信关站下包括至少两个信关小站,所述中心信关站可以包括:综合网关和运营支持等功能;
所述用户段可以包括:终端,所述终端可以通过移动通信网、PSTN(PublicSwitched Telephone Network,公共交换电话网络)地面网络、Internet互联网等网络,与地面系统进行数据的传输交互。
如图3所示,本发明又一可选的具体实施例中,所述基于卫星网络的数据传输系统的加密场景,可以包括:与卫星通信连接的中心信关站,与中心信关站通信连接的信关小站m和信关小站n;
所述中心信关站m和信关小站n中均可以包括:调制/解调器、卫星路由器、中心信关站密码机、密钥管理系统、交换机,数据终端、服务器、基于IP的语音传输终端、视频终端;
所述信关小站中可以包括:卫星路由器、信关小站密码机、交换机、数据终端、基于IP的语音传输终端、视频终端;
通过所述中心信关站和信关小站m以及信关小站n,传输的信息可以包括:数据、视频、音频等信息。
在中心信关站部署了中心信关站密码机,以及密钥管理系统(KMC,KeyManagement System),在信关小站部署了信关小站密码机,中心信关站的站内的安全,可以通过在服务器端调用密码机,用户端可以采用终端安全模块或安全插件的方式,进行数据的安全保护。
需要说明的是,中心信关站的中心信关站密码机和密钥管理系统可以采用双机热备的方式进行部署;密码设备的入网步骤等长操作可以选用现有的相关标准进行。
本发明一可选的实施例中,所述步骤13中,中心信关站对所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥配置,可以包括:
步骤131,获取密钥配置策略;
步骤132,根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行静态配置或者动态配置。
本实施例中,通过中心信关站对所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥配置,所述密钥配置可以包括:静态配置或者动态配置;能够在数据第一终端对传输数据进行加密保护,数据传输至第二终端时,再进行解密恢复,经过对数据的加密防护,能够保证数据在跨区域传输过程中的安全性。
需要说明的是,所述第一密码机和所述第二密码机可以采用单设备部署的方式进行部署。
本发明又一可选的实施例中,所述步骤132中,根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行静态配置,可以包括:
步骤1321,按照密钥配置周期,将至少一组密钥配置给所述第一信关小站的第一密码机和第二信关小站的第二密码机,其中一组密钥包括:所述第一密码机所使用的第一公私钥对以及所述第二密码机所使用的第二公私钥对,所述第一公私钥对和第二公私钥相同。
本实施例中,针对卫星链路具有长延时的特点,可以按照密钥配置周期,定期给各密码机配置密钥,这样不会对用户的卫星通信造成影响,同时,还可以确保用户能够快速使用密码服务,保障了数据传输的安全性。
需要说明的是,配置密钥时,中心信关站密钥管理中心,可以采用公私钥对和公钥密码算法(SM2,椭圆曲线公钥密码算法),结合对称密钥和对称分组密码算法(SM1/SM4,商密1号算法/分组密码算法)的方式,进行密码认证和密钥保护,这样能够确保各密码机的合法性和工作密钥的安全分发。
中心信关站可以实现多层密钥的配置,例如:总信关站可以为其下辖的各中心信关站进行密钥分发和密钥管理;中心信关站可以为其下辖的各信关小站进行密钥分发和密钥管理。这样的密钥管理方式,既可以兼顾集中管理的需求,又可以兼顾灵活管理的需求,总信关站和中心信关站都可以有各自对应的密码管理策略,这样能够便于灵活满足各种应用场景的需求。本发明又一可选的实施例中,所述步骤132中,根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行静态配置,还可以包括:
步骤1322,按所述至少一组密钥组的密钥组索引的顺序,配置所述第一密码机和第二密码机所使用的一组密钥生效;或者
步骤1323,通过密钥生效协商流程,配置所述第一密码机和第二密码机所使用的一组密钥生效。
具体实现时,步骤1323,可以包括:
步骤13231,向所述第一信关小站的第一密码机和第二信关小站的第二密码机分别发送当前生效的一组密钥的组号;
步骤13232,接收所述第一密码机按照所述组号更新所述一组密钥的第一更新生效结果和接收第二密码机按照所述组号更新所述一组密钥的第二更新生效结果;
步骤13233,根据所述第一更新生效结果配置所述第一密码机和第二密码机所使用的密钥生效和/或根据所述第二更新生效结果配置所述第二密码机所使用的密钥生效。
本实施例中,由于信关小站入网中心信关站时,需要进行注册,所有中心信关站中存有所有信关小站的通讯地址,中心信关站可以根据密钥配置策略为信关小站配置密钥,需要注意的是,中心信关站为信关小站配置的密钥闭关不是单个密钥,而是一个密钥组。
具体的,中心信关站为其对应的信关小站进行密钥配置,具体可以包括:
密钥配置周期根据策略配置而定,默认的密钥配置周期可以设置为1天,具体可以根据实际情况通过中心信关站密钥管理的配置系统进行配置,密钥组的个数可以默认设置为9组,索引可以默认设置为1的密码生效,默认密钥组的个数和生效密钥的索引,也可以通过中心信关站密钥组管理系统进行设置。
需要注意的是,如果注册的信关小站的个数,或者地址有变化,可动态增量更新设备映射表,并实现密钥的配置。
信关小站的加密机密钥的更新,除了可以通过中心站加密机,根据策列进行定时更新和手动更新外,还可以由信关小站加密机进行申请密钥更新,具体的密钥更新方式,可以根据实际的应用场景进行确定。
本发明又一可选的实施例中,所述步骤132中,根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行动态配置,可以包括:
步骤1324,向所述第一信关小站的第一密码机和第二信关小站的第二密码机分别发送动态密钥生效协商请求,动态密钥生效协商请求携带:密钥组的批次号和生效密钥的索引号;
步骤1325,接收所述第一密码机设置的生效密钥以及第二密码机设置的生效密钥;
步骤1326,根据所述第一密码机设置的生效密钥配置所述第一信关小站的第一密码机的密钥和根据所述第二密码机设置的生效密钥配置所述第二信关小站的第二密码机的密钥。
本实施例中,每个密钥组都有一个批号,批号递增不重复,根据密钥组的批号可以确认生效的是哪组密钥,密钥组配置时,有默认生效密钥的索引,信关小站接收到后根据报文中指定的生效索引,生效当前批次密钥组的密钥。
中心信关站将密钥组配置到信关小站后,信关小站返回的信息可以包括三类:第一类是密钥配置失败;第二类是密钥配置成功,但是本批次密钥没有实际应用;第三类是密钥配置成功,并已应用。
其中,第三类返回信息的应用场景可以包括:信关小站已经投入运营,在密钥进行了配置后,当前业务正在应用中,此时不能直接更新密钥,这样有可能会对当前的业务有影响,此类情况在密钥组配置后保存在备用密钥中。
这种应用场景下,信关小站可以自动向中心信关站发送密钥生效的报文,或是通过手动触发的方式发送密钥生效的报文,在中心信关站返回报文中,确认中心信关站已生效后,中心信关站和信关小站可以启用新的密钥进行传输数据的加密。
在密钥组已经应用的情况下,也可以通过动态配置改变生效密钥,中心信关站发送动态密钥生效协商请求,在请求中的关键参数可以包括:密钥组的批次号,以及生效密钥的索引号;在信关小站接收到动态密钥生效协商请求后,设置生效的密钥;
需要注意的是,信关小站接收到动态密钥生效协商请求后的处理返回报文和密钥下发的处理报文类似;
由于中心信关站和各信关小站的密钥是不相同的,因此各信关小站密钥更新的周期和生效的密钥组批次以及密钥索引也不尽相同,除了能够对数据的空间传输进行加密保护外,不同的信关小站之间的数据传输,也可以实现加密密钥的隔离保护,这样大大增加了空间数据传输的安全性。
本发明又一可选的实施例中,所述基于卫星网络的数据传输方法,还可以包括:
步骤14,通过运营控制管理中心与所述地面系统中的其它中心信关站进行数据传输。
本实施例中,中心信关站通过运营控制管理中心与所述地面系统中的其他中心信关站,也可以进行数据传输。例如:第一中心信关站通过运营控制管理中心与第二中心信关站也可以进行数据传输;
因此,通过中心信关站,属于不同中心信关站下的信关小站之间,也可以实现数据传输,例如:第一中心信关站下的第一信关小站,可以与第二中心信关站下的第二信关小站之间,实现数据传输。
需要注意的是,所述中心信关站与其对应的终端之间的数据传输,可以经过一跳卫星传输链路完成,与其他中心信关站对应的终端之间的数据传输,需要进行多跳卫星传输链路后,经过一条卫星链路完成;各信关小站之间的数据传输通过中心信关站及星间链路转发,需要经过两跳卫星链路。
需要说明的是,所述基于卫星网络的数据传输方法同样适用于总信关站和中心信关站之间的数据传输场景,各信关小站内部的数据安全属于传统的Internet网络安全。
本发明的上述实施例中,所述基于卫星网络的数据传输方法,可以采用密码文本窃用技术,实现加解密前后不改变IP报文的长度,不增加网络开销,不需要IP报文的拆包和拼包,能够大大提升性能和网络宽带利用率;
密码机的密钥配置相对独立,中心信关站的密码机配置方便,不需要卫星设备厂商提供额外的支持,能够从多维度保证数据的传输安全性。
本发明的实施例还提供一种中心信关站,包括:
收发模块,用于接收第一信关小站发送的第一终端的第一数据;所述第一数据是通过第一信关小站的第一密码机对所述第一数据进行加密得到的;将所述第一数据发送至卫星链路中的第一卫星,并由所述第一卫星将所述第一数据转发至第二卫星;接收所述第二卫星发送的第一数据,将所述第一数据转发至与所述中心信关站通信连接的第二信关小站,由所述第二信关小站的第二密码机对所述第一数据进行解密后,发送给第二终端,所述第一密码机和第二密码机采用的密钥是所述中心信关站配置的。
可选的,所述中心信关站对所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥配置,包括:
获取密钥配置策略;
根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行静态配置或者动态配置。
可选的,根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行静态配置,包括:
按照密钥配置周期,将至少一组密钥配置给所述第一信关小站的第一密码机和第二信关小站的第二密码机,其中一组密钥包括:所述第一密码机所使用的第一公私钥对以及所述第二密码机所使用的第二公私钥对,所述第一公私钥对和第二公私钥相同。
可选的,所述收发模块,还可以用于:
按所述至少一组密钥组的密钥组索引的顺序,配置所述第一密码机和第二密码机所使用的一组密钥生效;或者
通过密钥生效协商流程,配置所述第一密码机和第二密码机所使用的一组密钥生效。
可选的,通过密钥生效协商流程,配置所述第一密码机和第二密码机所使用的一组密钥生效,包括:
向所述第一信关小站的第一密码机和第二信关小站的第二密码机分别发送当前生效的一组密钥的组号;
接收所述第一密码机按照所述组号更新所述一组密钥的第一更新生效结果和接收第二密码机按照所述组号更新所述一组密钥的第二更新生效结果;
根据所述第一更新生效结果配置所述第一密码机和第二密码机所使用的密钥生效和/或根据所述第二更新生效结果配置所述第二密码机所使用的密钥生效。
可选的,根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行动态配置,包括:
向所述第一信关小站的第一密码机和第二信关小站的第二密码机分别发送动态密钥生效协商请求,动态密钥生效协商请求携带:密钥组的批次号和生效密钥的索引号;
接收所述第一密码机设置的生效密钥以及第二密码机设置的生效密钥;
根据所述第一密码机设置的生效密钥配置所述第一信关小站的第一密码机的密钥和根据所述第二密码机设置的生效密钥配置所述第二信关小站的第二密码机的密钥。
可选的,所述收发模块,还可以用于:
通过运营控制管理中心与所述地面系统中的其它中心信关站进行数据传输。
需要说明的是,该中心信关站是与上述应用于地面系统的中心信关站侧的方法对应的中心信关站,上述应用于地面系统的中心信关站侧的方法实施例中的所有实现方式均适用于该中心信关站的实施例中,也能达到相同的技术效果。
本发明的实施例中还提供一种基于卫星网络的数据传输系统,包括:地面系统的中心信关站和与所述中心信关站通信连接的至少两个信关小站;
所述中心信关站接收至少两个信关小站中的第一信关小站发送的第一终端的第一数据;所述第一数据是通过第一信关小站的第一密码机对所述第一数据进行加密得到的;
将所述第一数据发送至卫星链路中的第一卫星,并由所述第一卫星将所述第一数据转发至第二卫星;
接收所述第二卫星发送的第一数据,将所述第一数据转发至与所述中心信关站通信连接的第二信关小站,由所述第二信关小站的第二密码机对所述第一数据进行解密后,发送给第二终端,所述第一密码机和第二密码机采用的密钥是所述中心信关站配置的。
需要说明的是,该系统是与上述方法对应的系统,上述方法实施例中的所有实现方式均适用于该系统的实施例中,也能达到相同的技术效果。
本发明的实施例还提供一种计算机可读存储介质,存储指令,当所述指令在计算机上运行时,使得计算机执行如上所述的方法。上述各方法实施例中的所有实现方式均适用于该实施例中,也能达到相同的技术效果。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
此外,需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行,某些步骤可以并行或彼此独立地执行。对本领域的普通技术人员而言,能够理解本发明的方法和装置的全部或者任何步骤或者部件,可以在任何计算装置(包括处理器、存储介质等)或者计算装置的网络中,以硬件、固件、软件或者它们的组合加以实现,这是本领域普通技术人员在阅读了本发明的说明的情况下运用他们的基本编程技能就能实现的。
因此,本发明的目的还可以通过在任何计算装置上运行一个程序或者一组程序来实现。所述计算装置可以是公知的通用装置。因此,本发明的目的也可 以仅仅通过提供包含实现所述方法或者装置的程序代码的程序产品来实现。也就是说,这样的程序产品也构成本发明,并且存储有这样的程序产品的存储介质也构成本发明。显然,所述存储介质可以是任何公知的存储介质或者将来所开发出来的任何存储介质。还需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行。某些步骤可以并行或彼此独立地执行。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (7)
1.一种基于卫星网络的数据传输方法,其特征在于,应用于地面系统的中心信关站,所述方法包括:
接收第一信关小站发送的第一终端的第一数据;所述第一数据是通过第一信关小站的第一密码机对所述第一数据进行加密得到的;
将所述第一数据发送至卫星链路中的第一卫星,并由所述第一卫星将所述第一数据转发至第二卫星;
接收所述第二卫星发送的第一数据,将所述第一数据转发至与所述中心信关站通信连接的第二信关小站,由所述第二信关小站的第二密码机对所述第一数据进行解密后,发送给第二终端,所述第一密码机和第二密码机采用的密钥是所述中心信关站配置的;
其中,所述中心信关站对所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥配置,包括:
获取密钥配置策略;
根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行静态配置或者动态配置;
其中,根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行静态配置,包括:
按照密钥配置周期,将至少一组密钥配置给所述第一信关小站的第一密码机和第二信关小站的第二密码机,其中一组密钥包括:所述第一密码机所使用的第一公私钥对以及所述第二密码机所使用的第二公私钥对,所述第一公私钥对和第二公私钥相同;
根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行动态配置,包括:
向所述第一信关小站的第一密码机和第二信关小站的第二密码机分别发送动态密钥生效协商请求,动态密钥生效协商请求携带:密钥组的批次号和生效密钥的索引号;
接收所述第一密码机设置的生效密钥以及第二密码机设置的生效密钥;
根据所述第一密码机设置的生效密钥配置所述第一信关小站的第一密码机的密钥和根据所述第二密码机设置的生效密钥配置所述第二信关小站的第二密码机的密钥;
其中,每个密钥组都有一个批号,批号递增不重复,根据密钥组的批号可以确认生效的是哪组密钥,密钥组配置时,有默认生效密钥的索引,信关小站接收到后根据报文中指定的生效索引,生效当前批次密钥组的密钥;
中心信关站将密钥组配置到信关小站后,信关小站返回的信息包括三类:第一类是密钥配置失败;第二类是密钥配置成功,但是本批次密钥没有实际应用;第三类是密钥配置成功,并已应用。
2.根据权利要求1所述的基于卫星网络的数据传输方法,其特征在于,为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行静态配置时,还包括:
按所述至少一组密钥组的密钥组索引的顺序,配置所述第一密码机和第二密码机所使用的一组密钥生效;或者
通过密钥生效协商流程,配置所述第一密码机和第二密码机所使用的一组密钥生效。
3.根据权利要求2所述的基于卫星网络的数据传输方法,其特征在于,通过密钥生效协商流程,配置所述第一密码机和第二密码机所使用的一组密钥生效,包括:
向所述第一信关小站的第一密码机和第二信关小站的第二密码机分别发送当前生效的一组密钥的组号;
接收所述第一密码机按照所述组号更新所述一组密钥的第一更新生效结果和接收第二密码机按照所述组号更新所述一组密钥的第二更新生效结果;
根据所述第一更新生效结果配置所述第一密码机和第二密码机所使用的密钥生效和/或根据所述第二更新生效结果配置所述第二密码机所使用的密钥生效。
4.根据权利要求1所述的基于卫星网络的数据传输方法,其特征在于,还包括:通过运营控制管理中心与所述地面系统中的其它中心信关站进行数据传输。
5.一种中心信关站,其特征在于,包括:
收发模块,用于接收第一信关小站发送的第一终端的第一数据;所述第一数据是通过第一信关小站的第一密码机对所述第一数据进行加密得到的;将所述第一数据发送至卫星链路中的第一卫星,并由所述第一卫星将所述第一数据转发至第二卫星;接收所述第二卫星发送的第一数据,将所述第一数据转发至与所述中心信关站通信连接的第二信关小站,
由所述第二信关小站的第二密码机对所述第一数据进行解密后,发送给第二终端,所述第一密码机和第二密码机采用的密钥是所述中心信关站配置的;
其中,所述中心信关站对所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥配置,包括:
获取密钥配置策略;
根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行静态配置或者动态配置;
其中,根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行静态配置,包括:
按照密钥配置周期,将至少一组密钥配置给所述第一信关小站的第一密码机和第二信关小站的第二密码机,其中一组密钥包括:所述第一密码机所使用的第一公私钥对以及所述第二密码机所使用的第二公私钥对,所述第一公私钥对和第二公私钥相同;
根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行动态配置,包括:
向所述第一信关小站的第一密码机和第二信关小站的第二密码机分别发送动态密钥生效协商请求,动态密钥生效协商请求携带:密钥组的批次号和生效密钥的索引号;
接收所述第一密码机设置的生效密钥以及第二密码机设置的生效密钥;
根据所述第一密码机设置的生效密钥配置所述第一信关小站的第一密码机的密钥和根据所述第二密码机设置的生效密钥配置所述第二信关小站的第二密码机的密钥;
其中,每个密钥组都有一个批号,批号递增不重复,根据密钥组的批号可以确认生效的是哪组密钥,密钥组配置时,有默认生效密钥的索引,信关小站接收到后根据报文中指定的生效索引,生效当前批次密钥组的密钥;
中心信关站将密钥组配置到信关小站后,信关小站返回的信息包括三类:第一类是密钥配置失败;第二类是密钥配置成功,但是本批次密钥没有实际应用;第三类是密钥配置成功,并已应用。
6.一种基于卫星网络的数据传输系统,其特征在于,包括:地面系统的中心信关站和与所述中心信关站通信连接的至少两个信关小站;
所述中心信关站接收至少两个信关小站中的第一信关小站发送的第一终端的第一数据;所述第一数据是通过第一信关小站的第一密码机对所述第一数据进行加密得到的;
将所述第一数据发送至卫星链路中的第一卫星,并由所述第一卫星将所述第一数据转发至第二卫星;
接收所述第二卫星发送的第一数据,将所述第一数据转发至与所述中心信关站通信连接的第二信关小站,由所述第二信关小站的第二密码机对所述第一数据进行解密后,发送给第二终端,所述第一密码机和第二密码机采用的密钥是所述中心信关站配置的;
其中,所述中心信关站对所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥配置,包括:
获取密钥配置策略;
根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行静态配置或者动态配置;
其中,根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行静态配置,包括:
按照密钥配置周期,将至少一组密钥配置给所述第一信关小站的第一密码机和第二信关小站的第二密码机,其中一组密钥包括:所述第一密码机所使用的第一公私钥对以及所述第二密码机所使用的第二公私钥对,所述第一公私钥对和第二公私钥相同;
根据所述密钥配置策略为所述第一信关小站的第一密码机和第二信关小站的第二密码机的密钥进行动态配置,包括:
向所述第一信关小站的第一密码机和第二信关小站的第二密码机分别发送动态密钥生效协商请求,动态密钥生效协商请求携带:密钥组的批次号和生效密钥的索引号;
接收所述第一密码机设置的生效密钥以及第二密码机设置的生效密钥;
根据所述第一密码机设置的生效密钥配置所述第一信关小站的第一密码机的密钥和根据所述第二密码机设置的生效密钥配置所述第二信关小站的第二密码机的密钥;
其中,每个密钥组都有一个批号,批号递增不重复,根据密钥组的批号可以确认生效的是哪组密钥,密钥组配置时,有默认生效密钥的索引,信关小站接收到后根据报文中指定的生效索引,生效当前批次密钥组的密钥;
中心信关站将密钥组配置到信关小站后,信关小站返回的信息包括三类:第一类是密钥配置失败;第二类是密钥配置成功,但是本批次密钥没有实际应用;第三类是密钥配置成功,并已应用。
7.一种计算机可读存储介质,其特征在于,存储指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1至4任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211413811.5A CN115460595B (zh) | 2022-11-11 | 2022-11-11 | 一种基于卫星网络的数据传输方法、中心信关站及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211413811.5A CN115460595B (zh) | 2022-11-11 | 2022-11-11 | 一种基于卫星网络的数据传输方法、中心信关站及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115460595A CN115460595A (zh) | 2022-12-09 |
| CN115460595B true CN115460595B (zh) | 2023-03-24 |
Family
ID=84295830
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211413811.5A Active CN115460595B (zh) | 2022-11-11 | 2022-11-11 | 一种基于卫星网络的数据传输方法、中心信关站及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115460595B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103997796A (zh) * | 2014-05-28 | 2014-08-20 | 工业和信息化部电信传输研究所 | 一种业务数据处理方法 |
| CN104038937A (zh) * | 2014-06-24 | 2014-09-10 | 中国科学院软件研究所 | 一种适用于卫星移动通信网络的入网认证方法 |
| CN104184712A (zh) * | 2013-05-24 | 2014-12-03 | 成都林海电子有限责任公司 | 一种具有加密解密机的vsat信关站及加密解密机的加密解密方法 |
| CN105337954A (zh) * | 2014-10-22 | 2016-02-17 | 航天恒星科技有限公司 | 卫星通信中ip报文的加密、解密方法及装置 |
| CN106789057A (zh) * | 2016-11-28 | 2017-05-31 | 航天恒星科技有限公司 | 卫星通信协议下的密钥协商方法及系统 |
| CN109560861A (zh) * | 2018-12-24 | 2019-04-02 | 南京六九零二科技有限公司 | 基于卫星的导航与通信融合数据传输系统 |
| CN111555879A (zh) * | 2020-07-13 | 2020-08-18 | 南京凯瑞得信息科技有限公司 | 一种卫星通信网管信道报文加解密方法及系统 |
| CN111586000A (zh) * | 2020-04-28 | 2020-08-25 | 北京物资学院 | 一种全代理同态重加密传输系统及其运行机制 |
| WO2021129633A1 (zh) * | 2019-12-26 | 2021-07-01 | 海能达通信股份有限公司 | 一种上行数据的同步方法及装置 |
| CN114301939A (zh) * | 2021-12-24 | 2022-04-08 | 中国科学院青藏高原研究所 | 一种基于物联网卫星的非公网区域的环境监测方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05327694A (ja) * | 1992-05-21 | 1993-12-10 | Nec Corp | スター型衛星通信ネットワークにおける暗号化方式 |
| CN103685023B (zh) * | 2013-11-18 | 2017-01-18 | 中国空间技术研究院 | 一种基于星载ip交换的宽带卫星通信系统及通信方法 |
| CN108111515B (zh) * | 2017-12-23 | 2021-07-02 | 航天恒星科技有限公司 | 一种适用于卫星通信的端到端安全通信加密方法 |
| CN110086750A (zh) * | 2018-01-26 | 2019-08-02 | 北京数盾信息科技有限公司 | 一种基于光纤数据链路网络和卫星通信网络的加密系统 |
| CN111082847A (zh) * | 2018-10-18 | 2020-04-28 | 南京凯瑞得信息科技有限公司 | 一种移动通信核心网的信关站及卫星通信系统 |
| CN112202557B (zh) * | 2020-11-17 | 2023-05-30 | 平安科技(深圳)有限公司 | 基于密钥更新分发的加密方法、装置、设备及存储介质 |
-
2022
- 2022-11-11 CN CN202211413811.5A patent/CN115460595B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104184712A (zh) * | 2013-05-24 | 2014-12-03 | 成都林海电子有限责任公司 | 一种具有加密解密机的vsat信关站及加密解密机的加密解密方法 |
| CN103997796A (zh) * | 2014-05-28 | 2014-08-20 | 工业和信息化部电信传输研究所 | 一种业务数据处理方法 |
| CN104038937A (zh) * | 2014-06-24 | 2014-09-10 | 中国科学院软件研究所 | 一种适用于卫星移动通信网络的入网认证方法 |
| CN105337954A (zh) * | 2014-10-22 | 2016-02-17 | 航天恒星科技有限公司 | 卫星通信中ip报文的加密、解密方法及装置 |
| CN106789057A (zh) * | 2016-11-28 | 2017-05-31 | 航天恒星科技有限公司 | 卫星通信协议下的密钥协商方法及系统 |
| CN109560861A (zh) * | 2018-12-24 | 2019-04-02 | 南京六九零二科技有限公司 | 基于卫星的导航与通信融合数据传输系统 |
| WO2021129633A1 (zh) * | 2019-12-26 | 2021-07-01 | 海能达通信股份有限公司 | 一种上行数据的同步方法及装置 |
| CN111586000A (zh) * | 2020-04-28 | 2020-08-25 | 北京物资学院 | 一种全代理同态重加密传输系统及其运行机制 |
| CN111555879A (zh) * | 2020-07-13 | 2020-08-18 | 南京凯瑞得信息科技有限公司 | 一种卫星通信网管信道报文加解密方法及系统 |
| CN114301939A (zh) * | 2021-12-24 | 2022-04-08 | 中国科学院青藏高原研究所 | 一种基于物联网卫星的非公网区域的环境监测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115460595A (zh) | 2022-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107317789B (zh) | 密钥分发、认证方法,装置及系统 | |
| CN109412794B (zh) | 一种适应电力业务的量子密钥自动充注方法及系统 | |
| CN102196425B (zh) | 基于量子密钥分配网络的移动加密系统及其通信方法 | |
| CN101510877B (zh) | 单点登录方法和系统、通信装置 | |
| CN102202299A (zh) | 一种基于3g/b3g的端到端语音加密系统的实现方法 | |
| CN103490891A (zh) | 一种电网ssl vpn中密钥更新和使用的方法 | |
| CN103491531A (zh) | 在电力系统WiMAX无线通信网中使用量子密钥提高电力信息传输安全性的方法 | |
| EP2856789B1 (en) | Method for tracking a mobile device onto a remote displaying unit via a mobile switching center and a head-end | |
| CN115632779B (zh) | 一种基于配电网的量子加密通信方法及系统 | |
| CN105681340A (zh) | 一种数字证书的使用方法及装置 | |
| CN111881486B (zh) | 基于区块链的多方数据备份方法、装置及系统 | |
| CN103856330A (zh) | 一种基于非对称加密体系的集群组呼密钥分发的方法 | |
| CN110212991B (zh) | 量子无线网络通信系统 | |
| CN104168565A (zh) | 一种非可信无线网络环境下智能终端安全通讯的控制方法 | |
| CN100364332C (zh) | 一种保护宽带视音频广播内容的方法 | |
| CN113472722A (zh) | 数据传输方法、存储介质、电子设备及自动售检票系统 | |
| CN101296107A (zh) | 通信网络中基于身份标识加密技术的安全通信方法及装置 | |
| CN109831244A (zh) | 一种基于一体机的卫星数据实时可控传输方法及系统 | |
| CN115460595B (zh) | 一种基于卫星网络的数据传输方法、中心信关站及系统 | |
| CN109039613A (zh) | 一种量子密钥分发系统及方法 | |
| CN112134831B (zh) | 接入请求的发送、处理方法及装置 | |
| CN106713298A (zh) | 一种通信方法及设备 | |
| CN101425862B (zh) | 移动多媒体广播业务运营管理系统与方法 | |
| CN103427985B (zh) | 一种向电信终端分配数字加密密钥的方法 | |
| CN114158046B (zh) | 一键登录业务的实现方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: 100000 901, Floor 9, Building 7, Yard 8, Auto Museum East Road, Fengtai District, Beijing Patentee after: BEIJING SHUDUN INFORMATION TECHNOLOGY CO.,LTD. Address before: 100094 room 101-502, 5th floor, building 10, yard 3, fengxiu Middle Road, Haidian District, Beijing Patentee before: BEIJING SHUDUN INFORMATION TECHNOLOGY CO.,LTD. |
|
| CP02 | Change in the address of a patent holder |