admin 要对卫星的遥测遥控信息进行安全防护,最有效的方法就是对其进行加密处理,以防止测控信息资源被故意地或偶然地非授权泄漏、更改、破坏,或使信息被敌方辨识和控制,从而确保测控信息的完整性、保密性、可用性和可控性。通常,对测控信息实施加密处理可以分为硬件实现或软件实现,而硬件加密技术,由于其固有的许多优点,在卫星测控中,越来越受到重视。
一、硬件加密基本原理
硬件加密,是通过使用硬件资源构成安全、便捷的对上层应用提供包括密码运算、密钥存储、随机数生成等在内的诸多安全服务的技术。硬件加密系统通常包含一个能存储敏感信息、自主完成与密码运算相关操作的硬件设备,通常称这类设备为密码设备。系统外界只能通过定义好的接口调用其中功能,不能直接访问其中的敏感信息,也不能对其中进行的运算进行干预。任何对密码设备的非法访问都将被加密系统阻止。当非法访问严重威胁加密系统安全时,加密系统可以采取包括自锁或自毁在内的诸多防护措施。硬件加密系统具有安全性高、运算速度快、应用范围广的优点,因此被广泛使用在各种安全系统的解决方案中。目前,随着计算机和数字集成电路的飞速发展,硬件加密产品多以计算机板卡的形式出现,并且常常由一个主控芯片来完成多路数据信息的加密和解密要求。针对卫星测控数据的加解密,一个典型的硬件加解密插卡由主控芯片、扩展SRAM、程序存储器、接口单元和噪声码电路等组成,如图1所示。
图1中,加解密插卡采用PCI总线作为与PC机的接口,PCI总线为目前通用的计算机总线标准,能达到1~2倍33Mbit/s的总线传输速率。采用PCI(或PCI-E)接口标准,具有通用性好、速率高、可扩展性良好等优点。
主控芯片用于完成多路数据的遥测解密和遥控加密,通常采用具有较高时钟频率的DSP芯片,以进行大量的数据交换和加解密运算。主芯片外扩一片FLASH,作为程序存储区,用于存放主程序。
主芯片外扩一片SRAIVf,以增强板卡的可扩展性。板卡上还有独立的噪声码产生电路,用于产生遥控加密所需的信息密钥。
二、硬件加密的优点
虽然与硬件加密系统相比,软件加密系统具有开发时间短、研发成本低、部署维护方便等特点,但硬件加密系统在抵御攻击、密钥的安全存储、运算速度等方面可以提供较软件加密系统更优质的服务。基于这些因素,在许多场合硬件加密系统起着软件加密系统不可替代的作用。
1、种子密钥的保护
加密系统中的种子密钥用来保护加密系统内敏感信息,需要长期保存下来口如何安全地使用密钥对加密系统至关重要。软件加密系统,通常以密文形式将种子密钥保存在计算机硬盘上的文件中,攻击者可用多种方式获得该文件,并用穷举等手段加以攻击,种子密钥的安全性难以得到保证。而且在密码运算过程中,种子密钥在参与运算时必须以明文方式出现在内存中,虽然可以采取一些措施加以保护,但是很难保证它的绝对安全。
在硬件加密系统中,种子密钥保存在密码设备的物理器件如专用的FLASH中,从物理上断绝了非法访问密钥的可能性。而且还可以通过专门的保护电路防止物理攻击,以提高种子密钥的安全性。同时,与种子密钥相关的所有操作都在密码设备内完成,充分保证了种子密钥的安全性。
2、完整性保护
硬件加密系统可以保证系统运行时的完整性,而软件系统则很难做到这一点。硬件加密系统以密码设备为基础,并配以相应的软件程序。硬件加密系统中的密码算法芯片一般采用反熔丝的FPGA或ASIC实现,难以破解或更改,其相应的控制程序也是通过专用设备写入密码设备内的FLASH芯片,并加以保护,攻击者很难非法改写。此外,核心程序运行在密码设备内专用的SRAM上,它在物理通路上与外界隔绝,使得攻击者不能非法访问、修改
程序中的数据。而软件加密系统直接利用计算机系统的软硬件资源,它的安全受制于计算机系统本身限制。以Windows系统为例,通过使用反汇编技术或者类似Softice软件对系统运行时的内存、寄存器、变量进行监视,可以获得程序运行过程中的某些关键信息,从而达到破解软件获取敏感信息的目的。更有甚者,攻击者可以通过监视程序的输入输出、扫描程序数据区,以造成更大危害。因此软件加密系统在防止外部非法访问、篡改数据等方面,很难实现加密系统对于完整性的要求。相比之下,在硬件加密系统中,与密码相关的运算可以放在密码设备专用处理器上完成,不使用专门的设备难以跟踪,从而极大地减少了系统被破解的可能。
3、运算速度
与软件加密系统相比,硬件加密系统可以提供更高速的服务,随着芯片制造业的飞速发展,目前在数据处理速度上,相对于采用软件处理,使用专门为加密系统设计的硬件处理器可以达到更高的运算速度。而软件加密系统直接使用计算机系统资源,当进行密码运算时需要占用较多的系统资源,可能会影响系统中其他应用的正常运行。加解密处理常常是高强度的计算任务,计算机微处理器对此效率不高,将加密移到芯片上,即使那个芯片仅是另一个处理器,也会使整个系统速度加快。
4、终端用户使用
对于最终用户来讲,他们真正关注的是具体应用。在他们看来,加密系统应该是透明的,而不应该影响到业务系统。在这一方面,硬件加密系统具有很大优势。例如在卫星测控中,地面加解密设备布设在卫星测控中心,负责对上行遥控数据加密和下行遥测数据解密,测控中心到测控站,测控站到卫星间的数据信息均为密文格式。对于使用者来说,加解密设备就像是“黑匣子”使用者只需按接口要求接收或发送数据即可,由加解密设备自动完成数据的加解密、密钥更换等工作,不需要使用者干预,降低了地面系统使用、维护加密设备的要求。
综上所述,与软件加密系统相比,硬件加密系统具有安全性高、运算速度快、应用范围广的优点,因此被广泛使用在各种安全系统的解决方案中。
小知识之硬件加密
硬件加密是通过专用加密芯片或独立的处理芯片等实现密码运算。将加密芯片、专有电子钥匙、硬盘一一对应到一起时,加密芯片将把加密芯片信息、专有钥匙信息、硬盘信息进行对应并做加密运算,同时写入硬盘的主分区表。
