应用场景
卫星通信网络主要由一个卫星通信中心站、多个卫星通信小站以及租用的通信卫星(转发器)等组成。
中心站将数据通过卫星以点对点和广播等方式传输到各小站,称为前向信道传输;各小站将数据通过卫星回传给中心站,称为返向信道传输。其中,前向信道传输采用DVB-S2体制,返向信道传输采用MF-TDMA体制。通信卫星(转发器)只完成数据的透明转发。
中心站与各小站之间的信息传递只须经过一跳卫星链路,例如中心站到小站m的前向信道信息流为①、②。而各小站之间的信息传递是通过中心站转接的,需要经过两跳卫星链路,例如小站m到小站n的信息流为④、⑤、①、③,小站n到小站m的信息流为⑥、⑤、①、②。
卫星通信中心站相对明确固定,站内设备包括各类用户终端,VOIP终端,视频服务器,管理服务器、交换机、编码服务器、前向信道调制器及返向卫星网关等,负责前向链路数据的广播分发、返向链路数据的分时接收和对全网的控制管理。
卫星通信小站则数量众多,分布在全国各地甚至国外,主要设备包括卫星路由器(实现解调器及基带信息帧解码的功能),交换机及用户终端、VOIP终端等。
需求分析
针对卫星通信网络信息系统的网络架构、应用环境、传输特征,在严格遵循国密局有关商用密码安全要求的前提下,充分考虑到应用环境、特定要求和使用习惯,分析用户的安全需求,设计定制化的安全保密系统。通过分析用户的安全需求,对相应的安全保密系统提出如下的功能要求:1. 系统保密性能达到国密局有关商用密码算法的加密要求。
2. 具有对卫星系统传输的各类用户业务数据实施一体化的加密功能,数据加解密能满足系统对信息传输质量的要求,即不能明显降低卫星系统信息通信的质量。
方案设计
其中KMC和CCE配置在通信系统的中心站位置,CCE采用双机热备的方式配置,VCE配置在远程卫星终端站,每个卫星地球站中只需配置一台VCE。在图中同时也标示了各保密设备在卫星网络中的逻辑连接关系。
本系统是多设备(硬件与软件相结合)的商用密码集成系统。
本系统中的密钥管理中心(KMC)、中心站密码机(CCE)、小站密码机(VCE)均配置有身份卡驱动器、管理接口和业务接口,身份卡驱动器用于身份卡内容的读取,与软件配合完成设备密钥的管理;管理接口用于系统的配置和管理;业务接口完成用户业务数据的加解密。
KMC的主要功能是:脱网完成整个卫星通信网络中各保密设备的初始化设置;联网实现对CCE、VCE的控制管理、参数设置、密钥分发等功能。
CCE的主要功能是:完成中心站卫星前向链路的用户业务数据信息加密和返向链路用户业务数据信息解密;接受KMC的控制和管理,完成密钥管理等工作。
VCE的主要功能是:完成小站卫星用户业务数据信息的加密、解密;远程接收KMC的设备管理和密钥管理等工作。
根据DVB-RCS卫星通信网络的拓扑结构,CCE、VCE均串接在网络交换机和卫星路由器之间,CCE对每个VCE建立一条前向信道安全通道,每个VCE到CCE建立一条返向信道安全通道,VCE与其它每个VCE之间建立一条安全通道。保密系统以IP地址作为各保密设备的标识,通过对IP数据包的解析,完成每个VCE与CCE以及VCE与VCE之间传输数据的加密保护,从而实现对整个卫星网络系统业务数据信息的加密防护功能。
保密系统能依据每个保密设备的编号、身份卡编号自动实现对每个保密设备安全的远程设备管理和远程密钥管理,能脱网完成网中各密码机的初始化设置;联网实现对CCE、VCE的入网控制管理。在系统配置完成后,CCE和VCE可以独立于KMC自动实现对卫星信道上传输的用户业务信息的加解密。
方案特色
基于上述阐述,本系统具备如下功能:
1. 保障通信质量(支持QoS)。
2. 支持组播相关业务(支持任意到任意业务通信)。
3. 不改变现有网络部署及拓扑(透明网桥模式接入,不影响QOS,不增加网络开销和复杂度)。
4. 业务实时性好(即时连接,减少类似于语音流量的延时)。
5. 适用窄带宽网络,如:卫星网络(数据链路密码机加解密不改变业务数据IP报文长度,不增加网络开销)。
6. 复杂网络情况下,稳定性好,易维护(统一集中管控,配置简单,维护工作少)。
功用性能
应用案例
某央企卫星系统:DVB-RCS卫星通信加密系统的应用环境、组网结构及部署方式如下图所示:
结合卫星星状网络的特点,在卫星主站部署密钥管理中心,在主站的卫星路由出口处部署中心站密码机,在卫星小站路由处部署小站密码机。实现小站与主站间数据传输加密保护。
