CCSDS Space Data Link Security Protocol(CCSDS 355.0-B-1)で使用する鍵やSA(セキュリティアソシエーション:送受信双方で暗号化方式や暗号鍵などの情報を交換・共有した安全な通信路)の情報は初めからエンティティにプリロードしたものをミッション終了まで使うことも可能ですが、複雑なミッションや長期にわたるミッションでは、プリロードされた鍵が危殆化したり、SAが枯渇したりする場合があります。そうした場合に、鍵やSAを再利用・再構成する機能やプロトコルの監視制御を行う機能をSpace Data Link Security Protocol Extended proceduresとして定義しています。鍵やSAの管理のために、鍵の状態、SAの状態やライフサイクルについて定義し、状態遷移をする際にどのような手続きが必要であるのかが記載されています。
CCSDSの鍵管理におけるライフサイクルは、一般に用いられるNIST SP 800-57 の鍵の状態遷移を簡略化したものをベースとしています。 マスター鍵(静的鍵または鍵暗号化鍵とも呼ばれる)とセッション鍵(トラフィック保護鍵とも呼ばれる)から構成される共通鍵基盤を中心に構築され、エンティティ間で鍵の状態を確認・更新することができます(図 1)。また、無線によるセッション鍵の更新プロトコル(OTAR; Over-The-AirRekeying)を定義することで、新たな鍵を外部からインポートすることも可能としています。制約として、鍵と鍵の状態がエンティティ間で同期されている必要があります。
SA管理では、通信を始める前に暗号化方式や暗号鍵などの情報を交換・共有した安全な通信路を確立するために4つの状態と6つのプロセス(図 2)が定義されています。
プロトコルの監視制御を行う機能では、Ping(死活監視)、Log出力、Logの消去、自己診断、アラームのリセットを要求することができます。
図1:鍵のライフサイクル(CCSDS355.0-B-1を参考に弊社作成)
図2:SAの状態遷移(CCSDS355.0-B-1を参考に弊社作成)
