[发明专利]一种适用于卫星通信的端到端安全通信加密方法

说明书

本发明涉及一种适用于卫星通信的端到端安全通信加密方法，利用通信链路调制解调器协议栈默认MTU的更改，匹配加解密设备对原始数据包分片机制，达到适用于卫星通信端到端的数据加解密。本发明方法通过对Portal、PPPoE协议自身特点及加解密算法特点，构造出可适用于任意类型UDP数据包的加解密方式。本技术具有更强的适应性，同时支持多类型协议，适用于端到端在线、离线加解密的卫星通信安全加密方案。

技术领域

本发明涉及一种适用于卫星通信的端到端安全通信加密方法，属于卫星通信技术领域。

背景技术

卫星通信在当今世界各国引起了越来越多的重视，其在军事、应急救援、海事、民生等各领域发挥了不可替代的作用，而其作为重要的通信手段，保密性问题显得尤为突出，必须保证信息在产生、传输、处理、存储的各个环节不会泄露。同时信息完整性也同样重要，需要保证信息在传输及存储的过程中不被修改、不被破坏、不被插入、不乱序、不丢失。卫星通信由于其使用场景多涉及国计民生，且存在链路长、延迟大、系统复杂等特点，其信息安全重要性与难度均超过地面通信网。

通常情况下，小站之间的加密通信直接采用协商好的会话密钥对通信数据加密和解密，采用对称密码算法。采用CTR模式，经过加解密设备的每个IP包增加固定长度的IV和MAC校验和，即在原始数据包的基础上增加一定字节。由于应用端默认的MTU(最大传输单元)为1500，故数据包经过加解密设备增加了该固定字节后必然会超过最大值，被动进行分片。而卫星通信小站的协议栈具备的重组功能使数据包重组，重组后的两个数据包与经过加解密机的被分片的两个数据包不同，导致收发端加解密设备及卫星通信主站的数据包不一致，故收端加解密设备及卫星通信主站镜像业务的加解密机无法正常解密。

目前通用卫星通信加密方式为仅对发端小站出口与收端小站入口处进行加解密，此加解密方案仅对空间链路层存在加密密文传输，通信数据在小站、主站部分均未加密，为明文传输，降低了系统的安全性，同时在主站端若进行所有数据的存储，其存储为明文，一旦信息泄露，后果极其严重。而端到端安全加密难度大，需要考虑接口多，目前无统一方案。但卫星通信多传输敏感重要内容，仅对链路进行加密无法保证通信地面站信息被窃取后安全。

发明内容

本发明所要解决的技术问题是提供一种采用全新设计，能够有效提高数据加密安全性的适用于卫星通信的端到端安全通信加密方法。

本发明为了解决上述技术问题采用以下技术方案：本发明设计了一种适用于卫星通信的端到端安全通信加密方法，基于分设主站和小站的加解密设备，针对主站与小站间、小站与小站间的端到端待加密卫星通信包实现安全加密，包括如下步骤：

步骤A.获取预设加密算法针对待加密卫星通信包的数据增量，即获取预设加密算法的随机数与MAC校验和；

步骤B.获取小站协议栈最大传输单元值；

步骤C.根据预设加密算法的随机数与MAC校验和，以及小站协议栈最大传输单元值，获取加解密设备的最大传输单元值；

步骤D.加解密设备根据其最大传输单元值，针对待加密卫星通信包中的报文进行数据分片；

步骤E.根据通信协议，设定小站协议栈的最大传输单元值，然后由加解密设备针对数据分片进行加密，获得加密通信数据包。

作为本发明的一种优选技术方案：所述主站到小站的端到端待加密卫星通信包，基于主站的数据、小站的数据均需要加密，判断主站与小站间、小站与小站间为端到端待加密卫星通信包。

作为本发明的一种优选技术方案：所述步骤C中，根据预设加密算法的随机数p字节与MAC校验和q字节，以及小站协议栈最大传输单元值n，按如下公式：

m＝n-(p+q)-k

获取小于m，且被4整除的值，作为加解密设备的最大传输单元值，其中，k表示通信协议的协议报头。