Протокол безопасности в рамках модели OSI

Представляет собой метод требующий шифрование, аутентификации или шифрование + аутентификация для содержимого фреймов передачи, передающихся по космическому каналу. Он поддерживается канальным уровнем.

Протокол безопасности в рамках модели OSI

Взаимодействие протокола безопасности с фреймами передачи космических данных

На рисунке представлена упрощенная схема фрейма передачи без использования сервисов безопасности и после того, как эти сервисы применены. Перед полем фрейма вставляется заголовок. После фрейма концевик безопасности. Если после фрейма данных должно иметь фиксированный размер, необходимо это учитывать при использовании сервисов безопасности. Для определения параметров сервисов безопасности используется понятие контекста безопасности, одновременно действующего как на передающей так и на принимающей стороне. Контекст безопасности содержит алгоритмы и криптографические ключи, которые должны действовать одновременно для данного вида фрейма. В зависимости от передаваемых данных, либо каких либо событий инициатор передачи может переключать контекст. Каждый security header содержит индекс параметра безопасности, который собственно указывает на контекст. этим протоколом определены следующие сервисы безопасности: аутентификация, шифрование, аутентификация + шифрование. Механизм переключения с одного сервиса на другой относится к функции прикладного уровня. 

 В security header записывается:

1) индекс параметра безопасности 

2) значение счетчика порядкового номера, передаваемого аутентифицируемым фреймом.

       В security trailer указывается имитовставка. Если контекст безопасности шифрование, то в security header указываются данные контекст-безопасности, trailer отсутствует, а поле данных фрейма заменяется шифрованной версией. В ряде случаев в зависимости от криптографического алгоритма могут потребоваться дополнительные данные, которые могут быть размещены в поле pad lenght.

       Контекст безопасности - аутентификация + шифрование. Указывается данный контекст безопасности в header, счетчик порядкового номера, передаваемого аутентифицируемым фреймом, дополнительные параметры криптографического алгоритма. В trailer имитовставка. Поле данных фрейма заменяется зашифрованной версией.

Как следует из рисунков, практически все поля являются опциональными и имеют переменную длину, кроме поля индекса безопасности, которые имеют длину 16 бит. Значение SPI зарезервировано.

Поле вектора инициализации используется для синхронизации параметров криптографических преобразований, длина поля переменна, если данное поле не требуется, то отсутствует.

Поле порядковый номер используется при аутентификации, может отсутствовать.

Длина заполнителя - содержит число заполняющих бит для криптографического преобразования. Может отсутствовать.

MAC - только для аутентификации, размер определяется используемым алгоритмом аутентификации и длина его для данного контекста является фиксированной.

На данном слайде показан охват применения сервисов безопасности к трем фреймам космических данных:

1) телеметрия

2) телеуправление

3) фреймы межспутникового взаимодействия AOS

Для шифрования используется только поле фрейма данных. Используются первичные заголовки, заголовок безопасности и фрейм данных (концевики не используются).

Чтобы использовать контекст безопасности, каждая из сторон должна, создать контекст безопасности (сторона-передатчик получает контекст безопасности от прикладного уровня, а сторона-приемник контекст безопасности получает из security header). Связать контекст с требуемыми криптографическими преобразованиями и ключами. Осуществить выполнение процедуры сервиса безопасности в соответствии с требуемым охватом данных.

Процедуры управления должны поддерживать переключение контекста безопасности в зависимости от типа передаваемых данных или иных обстоятельств.

Фрейм телеметрии с использованием протокола безопасности

Фрейм телеуправления с использованием протокола безопасности