本發(fā)明涉及通信安全領域，尤其涉及一種面向衛(wèi)星通信的數(shù)據(jù)要素加密方法及系統(tǒng)。

背景技術：

1、衛(wèi)星通信數(shù)據(jù)加密的特點衛(wèi)星通信系統(tǒng)具有覆蓋廣闊、抗干擾性強等特點，在應急通信、遠程監(jiān)控等場景中扮演重要角色。但衛(wèi)星通信鏈路容易受到竊聽和篡改的威脅，因此數(shù)據(jù)加密就尤為關鍵。衛(wèi)星通信數(shù)據(jù)加密需要考慮鏈路帶寬受限、終端計算資源有限等因素，加密算法和密鑰管理方案需要高效輕量化。同時還需要滿足數(shù)據(jù)實時性和斷鏈續(xù)傳的需求。

2、該目前應用的衛(wèi)星通信加密方法可能存在以下潛在的技術缺陷:舉例說明，算法效率和計算資源限制:雖然提到要設計輕量高效的加密算法，但實際實現(xiàn)中可能還存在進一步優(yōu)化的空間，以更好地適應衛(wèi)星終端設備有限的計算資源。

技術實現(xiàn)思路

1、本發(fā)明的目的在于提供一種面向衛(wèi)星通信的數(shù)據(jù)要素加密方法及系統(tǒng)，解決了現(xiàn)有技術中指出的上述技術問題。

2、本發(fā)明提供了一種面向衛(wèi)星通信的數(shù)據(jù)要素加密方法，包括如下操作步驟：

3、在當前需求衛(wèi)星終端設備發(fā)送加密數(shù)據(jù)收取請求后，使用隨機數(shù)生成器對當前待加密數(shù)據(jù)生成初始密鑰；同時將初始密鑰的解密信息發(fā)送給當前需求衛(wèi)星終端設備；

4、將生成的初始密鑰封裝在密鑰盒子信息中，使用二次加密密鑰對其所述密鑰盒子信息進行加密，得到密鑰盒加密信息；

5、建立一個密鑰盒分發(fā)列表，記錄每個衛(wèi)星終端設備的唯一標識符和各自對應的密鑰盒解密密鑰；

6、將密鑰盒加密信息進行分組拆成得到多個第一加密標準數(shù)據(jù)，從所述密鑰分發(fā)列表中篩選位于同一個局域網(wǎng)網(wǎng)段的多個衛(wèi)星終端設備作為目標衛(wèi)星終端設備，并確定其唯一標識符；將所述第一加密標準數(shù)據(jù)通過并行處理機制分別發(fā)送給多個目標衛(wèi)星終端設備；

7、多個目標衛(wèi)星終端設備并行接收多個第一加密標準數(shù)據(jù)，并通過所述各自密鑰盒解密密鑰進行所述第一加密標準數(shù)據(jù)的解密處理，將解密后的數(shù)據(jù)發(fā)送給當前需求衛(wèi)星終端設備；

8、當前需求衛(wèi)星終端設備基于初始密鑰的解密信息對由第一加密標準數(shù)據(jù)的解密后的數(shù)據(jù)進行二次解密獲得原始的待加密數(shù)據(jù)。

9、優(yōu)選的，作為一種可實施方式，所述二次加密密鑰包括主密鑰或ksk-密鑰簽名密鑰等等。

10、優(yōu)選的，作為一種可實施方式，在將所述第一加密標準數(shù)據(jù)通過并行處理機制分別發(fā)送給多個目標衛(wèi)星終端設備之前，還包括對當前的第一加密標準數(shù)據(jù)進行壓縮，然后將壓縮后的數(shù)據(jù)分發(fā)給目標衛(wèi)星終端設備；需要說明的是，上述對第一加密標準數(shù)據(jù)進行壓縮可以減少需要發(fā)送的數(shù)據(jù)量，從而降低數(shù)據(jù)接收以及計算負擔。

11、需要說明的是，在衛(wèi)星終端設備上實現(xiàn)并行處理機制，允許同時處理多個數(shù)據(jù)分組，提高加密效率。

12、優(yōu)選的，作為一種可實施方式，執(zhí)行處理模塊在兩個衛(wèi)星終端設備之間進行“將解密后的數(shù)據(jù)發(fā)送給當前需求衛(wèi)星終端設備”時，采用基于802.1x端口實現(xiàn)數(shù)據(jù)發(fā)送。

13、使用安全的傳輸協(xié)議：利用安全的數(shù)據(jù)傳輸協(xié)議(如傳輸層安全協(xié)議(tls)是一種廣泛認可的安全協(xié)議)來保護密鑰在傳輸過程中的安全性。本技術方案可以在局域網(wǎng)內(nèi)建立tls傳輸協(xié)議，然后基于該tls傳輸協(xié)議實現(xiàn)終端設備之間的安全數(shù)據(jù)傳輸。

14、對于局域網(wǎng)(lan)內(nèi)的終端設備，tls同樣適用，因為它可以在任何底層傳輸協(xié)議上使用，包括局域網(wǎng)內(nèi)的協(xié)議1。tls的最新版本，tls1.3，提供了進一步的性能和安全性改進，例如減少握手延遲、僅支持前向安全模式，并且定義了新的密碼套件。

15、在局域網(wǎng)內(nèi)，還可以使用802.1x端口訪問控制來增強安全性，這是一種基于端口的網(wǎng)絡訪問控制標準，它結合使用端口認證進行身份驗證。

16、上述tls協(xié)議是實現(xiàn)兩個終端設備之間安全數(shù)據(jù)傳輸?shù)氖走x協(xié)議，尤其是在需要加密和身份驗證的場合。對于局域網(wǎng)內(nèi)的安全，可以結合使用vlan技術和802.1x端口訪問控制，以進一步增強安全性。

17、優(yōu)選的，作為一種可實施方式，在將所述第一加密標準數(shù)據(jù)通過并行處理機制分別發(fā)送給多個目標衛(wèi)星終端設備之后，還包括：

18、從所述密鑰盒分發(fā)列表中選擇當前目標衛(wèi)星終端設備，并確定唯一標識符；將所述密鑰盒分發(fā)列表以及當前目標衛(wèi)星終端設備的唯一標識符一并發(fā)送給當前目標衛(wèi)星終端設備；所述目標衛(wèi)星終端設備將當前目標衛(wèi)星終端設備自身的唯一標識符和查詢到的密鑰盒分發(fā)列表對應的密鑰盒解密密鑰進行緩存處理。

19、相應地，本發(fā)明還提出了一種面向衛(wèi)星通信的數(shù)據(jù)要素加密系統(tǒng)，包括：多個衛(wèi)星終端設備以及主控制器；

20、所述主控制器包括密鑰生成模塊、密鑰封裝模塊和密鑰分發(fā)列表處理模塊、密鑰數(shù)據(jù)分組模塊；所述衛(wèi)星終端設備包括執(zhí)行處理模塊；

21、密鑰生成模塊，用于在當前需求衛(wèi)星終端設備發(fā)送加密數(shù)據(jù)收取請求后，使用隨機數(shù)生成器對當前待加密數(shù)據(jù)生成初始密鑰；同時將初始密鑰的解密信息發(fā)送給當前需求衛(wèi)星終端設備；

22、密鑰封裝模塊，用于將生成的初始密鑰封裝在密鑰盒子信息中，使用二次加密密鑰對其所述密鑰盒子信息進行加密，得到密鑰盒加密信息；

23、密鑰分發(fā)列表處理模塊，用于建立一個密鑰盒分發(fā)列表，記錄每個衛(wèi)星終端設備的唯一標識符和各自對應的密鑰盒解密密鑰；

24、密鑰數(shù)據(jù)分組模塊，用于將密鑰盒加密信息進行分組拆成得到多個第一加密標準數(shù)據(jù)，從所述密鑰分發(fā)列表中篩選位于同一個局域網(wǎng)網(wǎng)段的多個衛(wèi)星終端設備作為目標衛(wèi)星終端設備，并確定其唯一標識符；將所述第一加密標準數(shù)據(jù)通過并行處理機制分別發(fā)送給多個目標衛(wèi)星終端設備；

25、執(zhí)行處理模塊，用于多個目標衛(wèi)星終端設備并行接收多個第一加密標準數(shù)據(jù)，并通過所述各自密鑰盒解密密鑰進行所述第一加密標準數(shù)據(jù)的解密處理，將解密后的數(shù)據(jù)發(fā)送給當前需求衛(wèi)星終端設備；

26、當前需求衛(wèi)星終端設備，用于基于初始密鑰的解密信息對由第一加密標準數(shù)據(jù)的解密后的數(shù)據(jù)進行二次解密獲得原始的待加密數(shù)據(jù)。

27、優(yōu)選的，作為一種可實施方式，所述二次加密密鑰包括主密鑰或ksk-密鑰簽名密鑰等等。

28、優(yōu)選的，作為一種可實施方式，還包括壓縮處理模塊，所述壓縮處理模塊用于對當前的第一加密標準數(shù)據(jù)進行壓縮，然后將壓縮后的數(shù)據(jù)分發(fā)給目標衛(wèi)星終端設備。

29、優(yōu)選的，作為一種可實施方式，還包括緩存處理模塊；所述緩存處理模塊用于將當前目標衛(wèi)星終端設備自身的唯一標識符和查詢到的密鑰盒分發(fā)列表對應的密鑰盒解密密鑰進行緩存處理。即緩存處理模塊用于存儲當前衛(wèi)星終端設備的唯一標識符和自身的密鑰盒解密密鑰。解釋說明：在衛(wèi)星終端設備上實現(xiàn)高效的緩存機制，存儲常用的密鑰盒解密密鑰，減少重復計算。

30、優(yōu)選的，作為一種可實施方式，所述主控制器為加密芯片或fpga芯片。

31、本實施例的系統(tǒng)采用了硬件加速方式，即使用硬件加速模塊，例如專用的加密芯片或fpga，尤其是fpga運算速度快，可以減少加密過程中的計算時間。

32、將加密后的密鑰安全地傳輸給每個衛(wèi)星終端設備?？梢允褂命c對點的通信方式，或者通過一個可信的密鑰分發(fā)中心。本技術實施例是選擇出來多個安全的終端(即多個目標衛(wèi)星終端設備)作為可信的密鑰分發(fā)中心，然后再由多個目標衛(wèi)星終端設備進行密鑰盒信息解密實現(xiàn)端到端傳送給需求的衛(wèi)星終端設備，通過二次加密提高了數(shù)據(jù)加密的安全性，同時還通過分發(fā)機制實現(xiàn)了高效率的加密數(shù)據(jù)傳送處理，實現(xiàn)了輕量化吹。

33、相應的，本技術還涉及一種存儲介質(zhì)，所述存儲介質(zhì)內(nèi)存儲有計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)一種面向衛(wèi)星通信的數(shù)據(jù)要素加密方法。

34、與現(xiàn)有技術相比，本發(fā)明實施例至少存在如下方面的技術優(yōu)勢：

35、分析本發(fā)明提供的上述一種面向衛(wèi)星通信的數(shù)據(jù)要素加密方法可知，在具體應用時，在s100階段，使用隨機數(shù)生成器生成初始密鑰，提高了密鑰的隨機性和安全性，避免了可預測的密鑰。s200階段，將初始密鑰進行二次加密封裝，形成密鑰盒子信息，進一步提升了密鑰的安全性。s300階段，建立密鑰盒分發(fā)列表，記錄每個衛(wèi)星終端設備的唯一標識符和對應的解密密鑰，方便后續(xù)對密鑰盒進行精確高效的分發(fā)。s400階段，采用分組拆分和并行處理機制，將密鑰盒加密信息分發(fā)給處于同一局域網(wǎng)網(wǎng)段的多個目標衛(wèi)星終端設備，大幅提高了密鑰分發(fā)的速度和效率。

36、s500階段，多個目標衛(wèi)星終端設備通過各自的解密密鑰對收到的第一加密標準數(shù)據(jù)進行解密，確保了數(shù)據(jù)在傳輸過程中的安全性。

37、s600階段，當前需求衛(wèi)星終端設備基于初始密鑰對解密后的數(shù)據(jù)進行二次解密，確保了最終數(shù)據(jù)的完整性和保密性。

38、綜上所述，本發(fā)明實施例采用的技術方案充分利用了隨機數(shù)生成器、密鑰分發(fā)列表、并行處理等手段，實現(xiàn)了衛(wèi)星終端設備之間加密數(shù)據(jù)的高效、安全傳輸，大大提升了整體系統(tǒng)的安全性和保密性，同時實現(xiàn)輕量化的安全處理。