要對衛(wèi)星的遙測遙控信息進(jìn)行安全防護(hù)，最有效的方法就是對其進(jìn)行加密處理，以防止測控信息資源被故意地或偶然地非授權(quán)泄漏、更改、破壞，或使信息被敵方辨識(shí)和控制，從而確保測控信息的完整性、保密性、可用性和可控性。通常，對測控信息實(shí)施加密處理可以分為硬件實(shí)現(xiàn)或軟件實(shí)現(xiàn)，而硬件加密技術(shù)，由于其固有的許多優(yōu)點(diǎn)，在衛(wèi)星測控中，越來越受到重視。

一、硬件加密基本原理

硬件加密，是通過使用硬件資源構(gòu)成安全、便捷的對上層應(yīng)用提供包括密碼運(yùn)算、密鑰存儲(chǔ)、隨機(jī)數(shù)生成等在內(nèi)的諸多安全服務(wù)的技術(shù)。硬件加密系統(tǒng)通常包含一個(gè)能存儲(chǔ)敏感信息、自主完成與密碼運(yùn)算相關(guān)操作的硬件設(shè)備，通常稱這類設(shè)備為密碼設(shè)備。系統(tǒng)外界只能通過定義好的接口調(diào)用其中功能，不能直接訪問其中的敏感信息，也不能對其中進(jìn)行的運(yùn)算進(jìn)行干預(yù)。任何對密碼設(shè)備的非法訪問都將被加密系統(tǒng)阻止。當(dāng)非法訪問嚴(yán)重威脅加密系統(tǒng)安全時(shí)，加密系統(tǒng)可以采取包括自鎖或自毀在內(nèi)的諸多防護(hù)措施。硬件加密系統(tǒng)具有安全性高、運(yùn)算速度快、應(yīng)用范圍廣的優(yōu)點(diǎn)，因此被廣泛使用在各種安全系統(tǒng)的解決方案中。目前，隨著計(jì)算機(jī)和數(shù)字集成電路的飛速發(fā)展，硬件加密產(chǎn)品多以計(jì)算機(jī)板卡的形式出現(xiàn)，并且常常由一個(gè)主控芯片來完成多路數(shù)據(jù)信息的加密和解密要求。針對衛(wèi)星測控?cái)?shù)據(jù)的加解密，一個(gè)典型的硬件加解密插卡由主控芯片、擴(kuò)展SRAM、程序存儲(chǔ)器、接口單元和噪聲碼電路等組成，如圖1所示。

圖1中，加解密插卡采用PCI總線作為與PC機(jī)的接口，PCI總線為目前通用的計(jì)算機(jī)總線標(biāo)準(zhǔn)，能達(dá)到1～2倍33Mbit/s的總線傳輸速率。采用PCI(或PCI-E)接口標(biāo)準(zhǔn)，具有通用性好、速率高、可擴(kuò)展性良好等優(yōu)點(diǎn)。

主控芯片用于完成多路數(shù)據(jù)的遙測解密和遙控加密，通常采用具有較高時(shí)鐘頻率的DSP芯片，以進(jìn)行大量的數(shù)據(jù)交換和加解密運(yùn)算。主芯片外擴(kuò)一片F(xiàn)LASH，作為程序存儲(chǔ)區(qū)，用于存放主程序。

主芯片外擴(kuò)一片SRAIVf，以增強(qiáng)板卡的可擴(kuò)展性。板卡上還有獨(dú)立的噪聲碼產(chǎn)生電路，用于產(chǎn)生遙控加密所需的信息密鑰。

二、硬件加密的優(yōu)點(diǎn)

雖然與硬件加密系統(tǒng)相比，軟件加密系統(tǒng)具有開發(fā)時(shí)間短、研發(fā)成本低、部署維護(hù)方便等特點(diǎn)，但硬件加密系統(tǒng)在抵御攻擊、密鑰的安全存儲(chǔ)、運(yùn)算速度等方面可以提供較軟件加密系統(tǒng)更優(yōu)質(zhì)的服務(wù)?；谶@些因素，在許多場合硬件加密系統(tǒng)起著軟件加密系統(tǒng)不可替代的作用。

1、種子密鑰的保護(hù)

加密系統(tǒng)中的種子密鑰用來保護(hù)加密系統(tǒng)內(nèi)敏感信息，需要長期保存下來口如何安全地使用密鑰對加密系統(tǒng)至關(guān)重要。軟件加密系統(tǒng)，通常以密文形式將種子密鑰保存在計(jì)算機(jī)硬盤上的文件中，攻擊者可用多種方式獲得該文件，并用窮舉等手段加以攻擊，種子密鑰的安全性難以得到保證。而且在密碼運(yùn)算過程中，種子密鑰在參與運(yùn)算時(shí)必須以明文方式出現(xiàn)在內(nèi)存中，雖然可以采取一些措施加以保護(hù)，但是很難保證它的絕對安全。

在硬件加密系統(tǒng)中，種子密鑰保存在密碼設(shè)備的物理器件如專用的FLASH中，從物理上斷絕了非法訪問密鑰的可能性。而且還可以通過專門的保護(hù)電路防止物理攻擊，以提高種子密鑰的安全性。同時(shí)，與種子密鑰相關(guān)的所有操作都在密碼設(shè)備內(nèi)完成，充分保證了種子密鑰的安全性。

2、完整性保護(hù)

硬件加密系統(tǒng)可以保證系統(tǒng)運(yùn)行時(shí)的完整性，而軟件系統(tǒng)則很難做到這一點(diǎn)。硬件加密系統(tǒng)以密碼設(shè)備為基礎(chǔ)，并配以相應(yīng)的軟件程序。硬件加密系統(tǒng)中的密碼算法芯片一般采用反熔絲的FPGA或ASIC實(shí)現(xiàn)，難以破解或更改，其相應(yīng)的控制程序也是通過專用設(shè)備寫入密碼設(shè)備內(nèi)的FLASH芯片，并加以保護(hù)，攻擊者很難非法改寫。此外，核心程序運(yùn)行在密碼設(shè)備內(nèi)專用的SRAM上，它在物理通路上與外界隔絕，使得攻擊者不能非法訪問、修改
程序中的數(shù)據(jù)。而軟件加密系統(tǒng)直接利用計(jì)算機(jī)系統(tǒng)的軟硬件資源，它的安全受制于計(jì)算機(jī)系統(tǒng)本身限制。以Windows系統(tǒng)為例，通過使用反匯編技術(shù)或者類似Softice軟件對系統(tǒng)運(yùn)行時(shí)的內(nèi)存、寄存器、變量進(jìn)行監(jiān)視，可以獲得程序運(yùn)行過程中的某些關(guān)鍵信息，從而達(dá)到破解軟件獲取敏感信息的目的。更有甚者，攻擊者可以通過監(jiān)視程序的輸入輸出、掃描程序數(shù)據(jù)區(qū)，以造成更大危害。因此軟件加密系統(tǒng)在防止外部非法訪問、篡改數(shù)據(jù)等方面，很難實(shí)現(xiàn)加密系統(tǒng)對于完整性的要求。相比之下，在硬件加密系統(tǒng)中，與密碼相關(guān)的運(yùn)算可以放在密碼設(shè)備專用處理器上完成，不使用專門的設(shè)備難以跟蹤，從而極大地減少了系統(tǒng)被破解的可能。

3、運(yùn)算速度

與軟件加密系統(tǒng)相比，硬件加密系統(tǒng)可以提供更高速的服務(wù)，隨著芯片制造業(yè)的飛速發(fā)展，目前在數(shù)據(jù)處理速度上，相對于采用軟件處理，使用專門為加密系統(tǒng)設(shè)計(jì)的硬件處理器可以達(dá)到更高的運(yùn)算速度。而軟件加密系統(tǒng)直接使用計(jì)算機(jī)系統(tǒng)資源，當(dāng)進(jìn)行密碼運(yùn)算時(shí)需要占用較多的系統(tǒng)資源，可能會(huì)影響系統(tǒng)中其他應(yīng)用的正常運(yùn)行。加解密處理常常是高強(qiáng)度的計(jì)算任務(wù)，計(jì)算機(jī)微處理器對此效率不高，將加密移到芯片上，即使那個(gè)芯片僅是另一個(gè)處理器，也會(huì)使整個(gè)系統(tǒng)速度加快。

4、終端用戶使用

對于最終用戶來講，他們真正關(guān)注的是具體應(yīng)用。在他們看來，加密系統(tǒng)應(yīng)該是透明的，而不應(yīng)該影響到業(yè)務(wù)系統(tǒng)。在這一方面，硬件加密系統(tǒng)具有很大優(yōu)勢。例如在衛(wèi)星測控中，地面加解密設(shè)備布設(shè)在衛(wèi)星測控中心，負(fù)責(zé)對上行遙控?cái)?shù)據(jù)加密和下行遙測數(shù)據(jù)解密，測控中心到測控站，測控站到衛(wèi)星間的數(shù)據(jù)信息均為密文格式。對于使用者來說，加解密設(shè)備就像是“黑匣子”使用者只需按接口要求接收或發(fā)送數(shù)據(jù)即可，由加解密設(shè)備自動(dòng)完成數(shù)據(jù)的加解密、密鑰更換等工作，不需要使用者干預(yù)，降低了地面系統(tǒng)使用、維護(hù)加密設(shè)備的要求。

綜上所述，與軟件加密系統(tǒng)相比，硬件加密系統(tǒng)具有安全性高、運(yùn)算速度快、應(yīng)用范圍廣的優(yōu)點(diǎn)，因此被廣泛使用在各種安全系統(tǒng)的解決方案中。

admin

收藏 海報(bào)分享