基于APP的衛(wèi)星地面遙控系統(tǒng)安全性設(shè)計(jì)

劉 鵬，李 成，劉 超，邵 坤，師 帥

基于APP的衛(wèi)星地面遙控系統(tǒng)安全性設(shè)計(jì)

劉 鵬，李 成，劉 超，邵 坤，師 帥

（北京空間飛行器總體設(shè)計(jì)部 北京 100094）

目前，我國絕大部分衛(wèi)星的遙控指令上行操作必須在專用測(cè)控網(wǎng)內(nèi)進(jìn)行，當(dāng)衛(wèi)星發(fā)生在軌異常時(shí)，相關(guān)支持人員必須趕赴測(cè)控中心現(xiàn)場(chǎng)進(jìn)行集中處置，非工作時(shí)段時(shí)效性較低，不利于緊急情況下的異常快速處置。對(duì)基于APP的衛(wèi)星地面遙控系統(tǒng)安全應(yīng)用方案進(jìn)行了研究和設(shè)計(jì)，旨在為我國未來衛(wèi)星高效運(yùn)行管理提供一種新的手段，通過原型系統(tǒng)的仿真測(cè)試，驗(yàn)證了系統(tǒng)的技術(shù)可行性，實(shí)現(xiàn)衛(wèi)星管理相關(guān)人員在遠(yuǎn)離測(cè)控中心的情況下也能安全有效地參與在軌異常應(yīng)急處置。

APP；衛(wèi)星；遙控；風(fēng)控

引 言

目前，我國絕大部分衛(wèi)星的遙控指令上行操作必須在專用測(cè)控網(wǎng)內(nèi)進(jìn)行，操作人員在測(cè)控中心編制好遙控指令序列后，由地面加解密設(shè)備完成遙控指令的加解密處理[1,2]，通過地面測(cè)控網(wǎng)發(fā)送至測(cè)控站后上行至衛(wèi)星。因此，當(dāng)衛(wèi)星發(fā)生在軌異常時(shí)，相關(guān)支持人員必須趕赴測(cè)控中心現(xiàn)場(chǎng)進(jìn)行集中處置，非工作時(shí)段時(shí)效性較低，不利于緊急情況下的異?？焖偬幹?。而在無人機(jī)、電力系統(tǒng)等其他領(lǐng)域，采用移動(dòng)終端APP進(jìn)行遠(yuǎn)程遙控操作的應(yīng)用已較為成熟[3-5]，在確保安全可靠的情況下可有效提高工作效率。

基于上述背景，本文對(duì)基于APP的衛(wèi)星地面遙控系統(tǒng)安全應(yīng)用方案進(jìn)行了研究和設(shè)計(jì)，旨在為我國未來航天器高效運(yùn)行管理提供一種新的手段，實(shí)現(xiàn)衛(wèi)星管理相關(guān)人員在遠(yuǎn)離測(cè)控中心的情況下也能有效參與在軌異常應(yīng)急處置，提高任務(wù)快速響應(yīng)能力和故障處理成效。

1 系統(tǒng)架構(gòu)設(shè)計(jì)

利用普通智能移動(dòng)終端在公共互聯(lián)網(wǎng)絡(luò)上實(shí)現(xiàn)遙控指令的安全操作，采用加密傳輸機(jī)制只是最基本的保障。本系統(tǒng)在對(duì)移動(dòng)終端植入安全芯片實(shí)現(xiàn)與后端中心系統(tǒng)之間安全認(rèn)證和加密交互的基礎(chǔ)上，結(jié)合實(shí)際業(yè)務(wù)需求引入遙控指令二次審批機(jī)制，同時(shí)參考人工智能在互聯(lián)網(wǎng)金融風(fēng)控領(lǐng)域的應(yīng)用技術(shù)路線進(jìn)行了多維智能風(fēng)控策略設(shè)計(jì)。整個(gè)系統(tǒng)的邏輯架構(gòu)如圖1所示，主要由以下幾部分構(gòu)成。

圖1 系統(tǒng)邏輯結(jié)構(gòu)圖

①安全芯片：自主研發(fā)、集成國密算法的獨(dú)立安全運(yùn)算單元，可為移動(dòng)終端系統(tǒng)和應(yīng)用提供簽名/驗(yàn)簽、數(shù)據(jù)加/解密、密鑰安全管理等基礎(chǔ)安全服務(wù)。一般通過在SIM卡上貼膜卡或插入TF卡的方式為普通智能移動(dòng)終端植入安全芯片。

②安全組件：基于安全芯片內(nèi)部運(yùn)算資源，將一部分核心指令邏輯直接在安全芯片內(nèi)部實(shí)現(xiàn)，以完成特殊功能操作的軟件模塊。由于直接在安全芯片內(nèi)部執(zhí)行和運(yùn)算，與終端操作系統(tǒng)和業(yè)務(wù)軟件完全隔離，可以防止終端系統(tǒng)環(huán)境不可控對(duì)核心指令安全性產(chǎn)生影響。

③指令服務(wù)系統(tǒng)：用于處理從終端發(fā)送過來的指令請(qǐng)求的服務(wù)系統(tǒng)，在對(duì)指令數(shù)據(jù)處理前，需要通過調(diào)用服務(wù)器密碼機(jī)對(duì)應(yīng)的SDK對(duì)加密指令數(shù)據(jù)進(jìn)行解密、解析、校驗(yàn)，確認(rèn)數(shù)據(jù)完整、安全、可信后再進(jìn)行后續(xù)處理。

④審批模塊：調(diào)度不同智能終端協(xié)同完成遙控指令的遠(yuǎn)程二次審批流程。

⑤智能風(fēng)控模塊：結(jié)合衛(wèi)星遙控場(chǎng)景的特點(diǎn)和在軌大數(shù)據(jù)，對(duì)指令操作的身份、行為、人物關(guān)系、適用場(chǎng)景和在軌狀態(tài)等多個(gè)維度進(jìn)行實(shí)時(shí)風(fēng)險(xiǎn)檢測(cè)和控制，降低風(fēng)險(xiǎn)。

⑥服務(wù)器密碼機(jī)：具有數(shù)據(jù)加解密、簽名、驗(yàn)簽、MAC、雜湊等功能，內(nèi)置一個(gè)或多個(gè)PCI-E密碼卡，基于SM1/SM2/SM3/SM4等國密算法通過光纖或網(wǎng)口對(duì)外提供高速密碼服務(wù)。

⑦加密機(jī)SDK：服務(wù)器密碼機(jī)提供的開發(fā)服務(wù)包，支持安全設(shè)備或應(yīng)用系統(tǒng)方便、快捷的調(diào)用服務(wù)器加密機(jī)實(shí)現(xiàn)簽名認(rèn)證、密文指令數(shù)據(jù)的加/解密等。

2 指令加解密傳輸設(shè)計(jì)

系統(tǒng)通過安全芯片實(shí)現(xiàn)智能終端APP到后端系統(tǒng)之間端到端的通信加密，保證指令數(shù)據(jù)在傳輸過程中的機(jī)密性和完整性。遙控指令加解密傳輸流程主要分為設(shè)備認(rèn)證及會(huì)話密鑰交換、遙控指令傳輸處理兩個(gè)階段，具體流程如圖2所示。

圖2 指令加密傳輸流程

2.1 設(shè)備認(rèn)證及會(huì)話密鑰交換

為確保只有持合法身份的設(shè)備才能接入后端系統(tǒng)進(jìn)行操作，防止非法設(shè)備/用戶接入。首先需要進(jìn)行終端設(shè)備認(rèn)證及會(huì)話密鑰交換，具體流程如下：

①應(yīng)用APP通過終端設(shè)備集成安全芯片驅(qū)動(dòng)，向安全芯片內(nèi)部安全組件發(fā)送認(rèn)證及會(huì)話密鑰交換請(qǐng)求。

②安全芯片內(nèi)部安全組件收到請(qǐng)求，調(diào)用安全芯片隨機(jī)數(shù)發(fā)生器生成隨機(jī)數(shù)據(jù)rnd1，并讀取芯片ID，生成序列號(hào)sno1，讀取終端設(shè)備數(shù)字證書，組合成認(rèn)證請(qǐng)求信息，通過應(yīng)用APP代理轉(zhuǎn)發(fā)給指令服務(wù)系統(tǒng)。

③指令服務(wù)系統(tǒng)收到后，根據(jù)請(qǐng)求數(shù)據(jù)協(xié)議標(biāo)識(shí)轉(zhuǎn)交給服務(wù)器密碼機(jī)處理。服務(wù)器密碼機(jī)解析請(qǐng)求數(shù)據(jù)，驗(yàn)證數(shù)據(jù)協(xié)議及客戶端證書有效性，取出隨機(jī)數(shù)rnd1，調(diào)用PCI-E密碼卡生成隨機(jī)數(shù)rnd2，合并rnd1和rnd2，調(diào)用密鑰生成函數(shù)計(jì)算會(huì)話密鑰。

④使用客戶端公鑰加密rnd2，附加服務(wù)器密碼機(jī)設(shè)備證書、算法標(biāo)識(shí)、序列號(hào)作為認(rèn)證回執(zhí)信息，通過指令服務(wù)系統(tǒng)轉(zhuǎn)發(fā)給智能終端。

⑤智能終端收到回復(fù)數(shù)據(jù)后，發(fā)送給安全芯片，由安全芯片內(nèi)安全組件處理。安全組件解析、驗(yàn)證設(shè)備數(shù)字證書完整性、有效性，并使用芯片內(nèi)私鑰解密rnd2密文信息，得到rnd2。合并rnd1盒rnd2，利用與服務(wù)器密碼機(jī)同樣的密鑰生成函數(shù)計(jì)算會(huì)話密鑰，并存儲(chǔ)芯片內(nèi)密鑰文件。

⑥安全組件利用生成的會(huì)話密鑰加密芯片ID，加密結(jié)果作為會(huì)話密鑰有效性驗(yàn)證數(shù)據(jù)，通過應(yīng)用APP發(fā)送給指令服務(wù)系統(tǒng)。

⑦指令服務(wù)系統(tǒng)收到后根據(jù)請(qǐng)求標(biāo)識(shí)發(fā)送給服務(wù)器密碼機(jī)處理。服務(wù)器密碼機(jī)通過第一步運(yùn)算得到的會(huì)話密鑰解密數(shù)據(jù)，將得到的明文結(jié)果與第一步拿到的芯片ID做比對(duì)。如果一致，表示會(huì)話密鑰有效。否則表示會(huì)話密鑰無效，認(rèn)證過程失敗，將狀態(tài)反饋給指令服務(wù)系統(tǒng)，指令服務(wù)系統(tǒng)斷開與智能終端的連接。

2.2 遙控指令傳輸處理

認(rèn)證過程完成且會(huì)話密鑰協(xié)商成功后，用戶可以通過應(yīng)用APP操作界面進(jìn)行具體控制操作，主要流程包括：

①安全芯片內(nèi)的安全組件使用芯片內(nèi)會(huì)話密鑰對(duì)應(yīng)用APP生成的指令加密，變成密文后返回給應(yīng)用APP；

②應(yīng)用APP將密文指令信息發(fā)送給指令服務(wù)系統(tǒng)處理，由指令服務(wù)系統(tǒng)根據(jù)業(yè)務(wù)標(biāo)識(shí)將密文信息轉(zhuǎn)發(fā)給服務(wù)器密碼機(jī)進(jìn)行解密；

③服務(wù)器密碼機(jī)收到后請(qǐng)求后，根據(jù)會(huì)話信息查詢對(duì)應(yīng)會(huì)話密鑰，并解密數(shù)據(jù)，將解密結(jié)果回復(fù)給指令服務(wù)系統(tǒng)；

④指令服務(wù)系統(tǒng)驗(yàn)證明文數(shù)據(jù)完整性，解析指令并執(zhí)行；

⑤將執(zhí)行結(jié)果通過服務(wù)器密碼機(jī)加密回復(fù)給應(yīng)用APP；

⑥應(yīng)用APP調(diào)用安全芯片內(nèi)安全組件進(jìn)行解密，得到明文回執(zhí)，指令執(zhí)行過程結(jié)束。

3 指令二次審批設(shè)計(jì)

為了保證指令數(shù)據(jù)完整可靠，系統(tǒng)進(jìn)一步引入遠(yuǎn)程審批二次確認(rèn)的機(jī)制。在指令執(zhí)行前彈出提示窗口，要求操作人員選擇需審批確認(rèn)的其他人員，發(fā)送請(qǐng)求至對(duì)方終端；審批人員確認(rèn)指令可以繼續(xù)執(zhí)行后，發(fā)送審批通過回復(fù)至操作人員終端；操作人員點(diǎn)擊執(zhí)行后才能繼續(xù)發(fā)送指令。

指令發(fā)起、審批、驗(yàn)證過程中的每一步都進(jìn)行了簽名處理，由下一個(gè)處理過程對(duì)上一個(gè)操作的發(fā)起人身份、指令數(shù)據(jù)、發(fā)起時(shí)間等信息采用PKI簽名驗(yàn)簽機(jī)制進(jìn)行驗(yàn)證，保證每一個(gè)過程發(fā)起人身份可信、數(shù)據(jù)完整有效。具體流程如下：

①需要審批的指令由終端安全組件進(jìn)行處理，在原始數(shù)據(jù)中增加時(shí)間戳和唯一序列號(hào)，然后調(diào)用安全芯片對(duì)原始數(shù)據(jù)進(jìn)行HASH運(yùn)算，生成摘要值，然后調(diào)用芯片內(nèi)發(fā)起人私鑰對(duì)摘要值進(jìn)行簽名生成簽名信息并返回給終端安全組件；

②終端安全組件拼接指令數(shù)據(jù)、時(shí)間戳、唯一序列號(hào)和簽名數(shù)據(jù)，返回給應(yīng)用APP，由其發(fā)送給后端系統(tǒng)，通過審批模塊轉(zhuǎn)發(fā)給對(duì)應(yīng)的審批人；

③審批人收到審批請(qǐng)求后，調(diào)用終端安全組件向服務(wù)器驗(yàn)證發(fā)起人身份，身份認(rèn)證通過后獲取發(fā)起人數(shù)字證書并解析出公鑰，計(jì)算原始指令偽碼（含時(shí)間戳和唯一序列號(hào)）HASH值，并用公鑰解開審批請(qǐng)求數(shù)據(jù)內(nèi)附帶的簽名信息，得到發(fā)起人計(jì)算的HASH值，對(duì)比一致，表示數(shù)據(jù)在傳輸過程中完整、有效沒有被非法篡改和偽造，且是由合法的用戶發(fā)起，身份信息安全可信，審批人可以對(duì)請(qǐng)求進(jìn)行審批；

④審批完成后，應(yīng)用APP會(huì)將原始請(qǐng)求與審批動(dòng)作一同交給安全組件，進(jìn)行審批過程簽名，同樣在原始指令數(shù)據(jù)（含時(shí)間戳、唯一序列號(hào)）、附加的簽名信息基礎(chǔ)上，增加審批時(shí)間戳和審批信息后進(jìn)行HASH運(yùn)算，得到摘要數(shù)據(jù)后調(diào)用審批人終端上的安全芯片，使用其私鑰對(duì)摘要信息進(jìn)行簽名，完成審批簽名過程，并把簽名數(shù)據(jù)返回給應(yīng)用APP，由其發(fā)送到后端系統(tǒng)進(jìn)行審核；

⑤后端系統(tǒng)審批模塊收到后，依次驗(yàn)證審批簽名信息、發(fā)起請(qǐng)求簽名信息，保證指令請(qǐng)求在發(fā)起過程、審批過程中人員信息安全可信、數(shù)據(jù)完整可靠，再進(jìn)行指令數(shù)據(jù)審核、有效性驗(yàn)證，并發(fā)起執(zhí)行動(dòng)作，從而保證指令數(shù)據(jù)全過程安全有效、完整可控。

4 多維智能風(fēng)控策略設(shè)計(jì)

目前，互聯(lián)網(wǎng)金融領(lǐng)域開始利用大數(shù)據(jù)實(shí)現(xiàn)智能風(fēng)控，通過履約記錄、社交行為、行為偏好、身份信息和設(shè)備安全等多方面行為“弱特征”，填補(bǔ)傳統(tǒng)基于評(píng)分卡模型和規(guī)則引擎等“強(qiáng)特征”風(fēng)控模式的不足[6]。本系統(tǒng)參考該技術(shù)路線，在采用上述加密和二次審批基礎(chǔ)上，結(jié)合衛(wèi)星在軌管理業(yè)務(wù)場(chǎng)景的特點(diǎn)，進(jìn)一步設(shè)計(jì)了多維智能風(fēng)控策略。

4.1 強(qiáng)特征風(fēng)控策略

在本系統(tǒng)中，強(qiáng)特征是指身份、行為、人物關(guān)系等比較明顯的用戶特征，即使依賴人工也可快速明確地進(jìn)行識(shí)別。本系統(tǒng)設(shè)計(jì)了基于“人-卡-機(jī)”強(qiáng)關(guān)聯(lián)認(rèn)證、基于行為自動(dòng)調(diào)整認(rèn)證級(jí)別、基于人物關(guān)系圖譜的風(fēng)控等三種強(qiáng)特征風(fēng)控策略。

①基于“人-卡-機(jī)”強(qiáng)關(guān)聯(lián)認(rèn)證

由于支付寶、微信等移動(dòng)支付軟件可以用賬號(hào)密碼在異地登錄，與手機(jī)沒有強(qiáng)關(guān)聯(lián)綁定，用戶A可以使用用戶B的手機(jī)以用戶C的賬號(hào)密碼進(jìn)行登錄，因此存在賬號(hào)盜用的風(fēng)險(xiǎn)[7]。本系統(tǒng)采用用戶特征+安全芯片/數(shù)字證書+手機(jī)硬件特征（IMEI號(hào)）+SIM卡唯一編號(hào)（IMSI號(hào)）的四碼強(qiáng)關(guān)聯(lián)綁定認(rèn)證，相關(guān)操作只能由符合要求的用戶通過相匹配的終端完成，不存在異地登錄、盜用等風(fēng)險(xiǎn)。遙控指令只能由具備相應(yīng)權(quán)限且通過認(rèn)證的用戶和終端發(fā)出。

②基于行為自動(dòng)調(diào)整認(rèn)證級(jí)別

目前，終端及軟件的認(rèn)證方式主要包括傳統(tǒng)認(rèn)證方式，如數(shù)字證書、口令、手勢(shì)等，以及基于生物特性的認(rèn)證方式，如指紋、虹膜、人臉、聲紋等[8]。傳統(tǒng)的認(rèn)證方式存在容易被盜、丟失或者偽造的風(fēng)險(xiǎn)，基于生物特性的認(rèn)證方式則更加安全可靠。

本系統(tǒng)默認(rèn)采用數(shù)字證書+口令或手勢(shì)的方式進(jìn)行認(rèn)證，但當(dāng)由訪問低密級(jí)衛(wèi)星切換為訪問高密級(jí)衛(wèi)星等更敏感信息情況時(shí)，系統(tǒng)智能風(fēng)控模塊會(huì)啟動(dòng)更高級(jí)別身份認(rèn)證方式進(jìn)行二次驗(yàn)證，如基于生物特征的指紋、人臉識(shí)別等。

③基于人物關(guān)系圖譜的操作風(fēng)控

在互聯(lián)網(wǎng)金融領(lǐng)域，用戶的人物關(guān)系圖譜對(duì)于平臺(tái)方來說預(yù)先是不可知的，需要基于大量的歷史數(shù)據(jù)進(jìn)行學(xué)習(xí)才能掌握每個(gè)用戶與其他人物關(guān)系圖譜。但是對(duì)于測(cè)控業(yè)務(wù)來說，以衛(wèi)星為關(guān)聯(lián)對(duì)象，其用戶單位、測(cè)控單位及研制單位之間各相關(guān)責(zé)任人是按要求預(yù)先設(shè)定好的，人物關(guān)系圖譜對(duì)于操作人員和任務(wù)中心均是事先知道的。因此，可以基于此特點(diǎn)設(shè)計(jì)基于人物關(guān)系圖譜的操作風(fēng)控。

操作人員通過移動(dòng)終端執(zhí)行遙控指令時(shí)，對(duì)于需要審批才能發(fā)送的指令，需要在大量隨機(jī)人名中選擇或直接輸入正確的人員姓名進(jìn)行審批。當(dāng)不匹配的次數(shù)超過一定的閾值，則認(rèn)為存在較高風(fēng)險(xiǎn)，系統(tǒng)智能風(fēng)控模塊暫時(shí)鎖定操作，生成告警，管理員電話確認(rèn)情況后方可解鎖。

4.2 弱特征風(fēng)控策略

在本系統(tǒng)中，弱特征是指指令發(fā)送的安全場(chǎng)景是否符合預(yù)期等不明顯的特征，需要系統(tǒng)基于大量在軌數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析才能準(zhǔn)確識(shí)別。本系統(tǒng)設(shè)計(jì)了基于指令安全場(chǎng)景、基于在軌基線狀態(tài)等兩種弱特征的遙控操作風(fēng)控策略。

①基于指令安全場(chǎng)景的操作風(fēng)控

當(dāng)航天器在軌運(yùn)行在某種模式或某種環(huán)境下，某些操作是不允許進(jìn)行的，否則將導(dǎo)致故障發(fā)生。例如：在對(duì)某通信衛(wèi)星實(shí)施向南位置保持操作時(shí)，同時(shí)進(jìn)行星時(shí)計(jì)數(shù)器重置，結(jié)果造成偏航姿態(tài)異常，導(dǎo)致衛(wèi)星通信業(yè)務(wù)出現(xiàn)中斷。其原因在于：在衛(wèi)星處于位保模式并使用太陽敏感器作為偏航基準(zhǔn)的條件下，修改了星時(shí)計(jì)數(shù)器，在這兩個(gè)因素同時(shí)發(fā)生的情況下，偏航計(jì)算公式中一次補(bǔ)償項(xiàng)時(shí)間差計(jì)算錯(cuò)誤。又例如：有些低軌航天器要求在側(cè)擺時(shí)禁止注入軌道數(shù)據(jù)[9]。

因此，可以預(yù)先充分識(shí)別各衛(wèi)星可能處于的各種在軌運(yùn)行場(chǎng)景及在該場(chǎng)景下上行操作的影響，然后設(shè)置指令安全場(chǎng)景，對(duì)指令進(jìn)行分組，設(shè)定各場(chǎng)景下不可發(fā)送的禁止指令清單?？傮w來說，場(chǎng)景至少可分為：

1）外部環(huán)境：衛(wèi)星是否處于或即將進(jìn)入地月影期或光照期等；

2）任務(wù)需求：衛(wèi)星是否正在或即將進(jìn)行軌道控制、側(cè)擺成像等常規(guī)在軌操作任務(wù)；

3）運(yùn)行狀態(tài)：衛(wèi)星是否處于異常報(bào)警狀態(tài)或異常處置過程中；

4）測(cè)控條件：衛(wèi)星是否處于可見跟蹤測(cè)控范圍之內(nèi)。

系統(tǒng)在后臺(tái)運(yùn)行時(shí)，自動(dòng)從在軌數(shù)據(jù)庫中提取各個(gè)航天器的實(shí)時(shí)監(jiān)測(cè)報(bào)警信息、歷史相似報(bào)警信息原因分析結(jié)論、在軌遙測(cè)數(shù)據(jù)、指令發(fā)送記錄、軌道數(shù)據(jù)、在軌操作事件記錄、實(shí)際測(cè)控跟蹤弧段時(shí)間、地月影預(yù)報(bào)、航天器基本信息、在軌異常等多元信息進(jìn)行關(guān)聯(lián)分析，挖掘出規(guī)律信息，識(shí)別出航天器當(dāng)前應(yīng)該處于的在軌運(yùn)行場(chǎng)景。例如：系統(tǒng)識(shí)別出衛(wèi)星當(dāng)前處于地影期內(nèi)，對(duì)于光照期內(nèi)才能執(zhí)行的指令則處于非激活狀態(tài)。

當(dāng)遙控指令發(fā)送至后端系統(tǒng)時(shí)，智能風(fēng)控模塊會(huì)基于已識(shí)別出的航天器當(dāng)前應(yīng)該處于的在軌運(yùn)行場(chǎng)景，根據(jù)該場(chǎng)景相關(guān)聯(lián)的禁止指令列表進(jìn)行指令的發(fā)送權(quán)限檢查，驗(yàn)證指令是否被屏蔽，防止日常操作中蓄意或誤發(fā)送危險(xiǎn)指令。

②基于在軌基線狀態(tài)的操作風(fēng)控

在軌基線狀態(tài)是能夠反映衛(wèi)星上各軟硬件當(dāng)前在軌運(yùn)行應(yīng)當(dāng)所處的狀態(tài)，包括硬件狀態(tài)、軟件狀態(tài)、運(yùn)行模式、裝訂參數(shù)及其對(duì)應(yīng)遙測(cè)參數(shù)的實(shí)際表征值等。需要在系統(tǒng)中，對(duì)航天器的在軌基線狀態(tài)進(jìn)行實(shí)時(shí)記錄和更新維護(hù)。

當(dāng)遙控指令發(fā)送至后端系統(tǒng)時(shí)，智能風(fēng)控模塊會(huì)與當(dāng)前相關(guān)的單機(jī)設(shè)備或軟件的在軌基線狀態(tài)進(jìn)行比對(duì)分析，防止出現(xiàn)不合理的操作。例如：當(dāng)前某發(fā)射機(jī)A機(jī)為當(dāng)班狀態(tài)，B機(jī)為常駐故障，處于關(guān)機(jī)狀態(tài)，當(dāng)A機(jī)未鎖定時(shí)，正常應(yīng)該發(fā)送A機(jī)復(fù)位或重新關(guān)開機(jī)的指令，當(dāng)系統(tǒng)檢測(cè)到當(dāng)前發(fā)送的是B機(jī)的復(fù)位或重新關(guān)開機(jī)的指令時(shí)，則給操作人員和審批人員發(fā)送提示信息，告知不合理操作的風(fēng)險(xiǎn)。

5 系統(tǒng)仿真

基于上述設(shè)計(jì)實(shí)現(xiàn)了系統(tǒng)原型，在智能手機(jī)上部署了加密膜卡和APP軟件，針對(duì)部分出口商業(yè)衛(wèi)星進(jìn)行了相關(guān)指令的配置，并與后端系統(tǒng)和衛(wèi)星模擬器進(jìn)行對(duì)接測(cè)試，驗(yàn)證了系統(tǒng)的技術(shù)可行性。

身份驗(yàn)證通過后，用戶可通過APP軟件自定義編輯指令，包括批量指令和單條指令，通過4G無線網(wǎng)絡(luò)發(fā)送至后端系統(tǒng)，經(jīng)過審批和解密后能夠成功發(fā)送至衛(wèi)星模擬器執(zhí)行。在網(wǎng)絡(luò)條件良好的情況下，單條指令從發(fā)出到成功執(zhí)行平均消耗時(shí)間小于5 s，效果如圖3所示。

圖3 指令編輯及執(zhí)行效果圖

當(dāng)指令二次審批時(shí)選取對(duì)象不匹配的次數(shù)超過一定閾值時(shí)，基于人物關(guān)系圖譜的操作風(fēng)控能夠有效識(shí)別并鎖定操作，生成告警提示，效果如圖4所示。

圖4 基于人物關(guān)系圖譜的操作風(fēng)控效果圖

當(dāng)執(zhí)行不屬于當(dāng)前場(chǎng)景的關(guān)鍵指令，基于指令安全場(chǎng)景的操作風(fēng)控可有效實(shí)現(xiàn)攔截并告警提醒，實(shí)現(xiàn)效果如圖5所示。

當(dāng)遙控指令與當(dāng)前相關(guān)的單機(jī)設(shè)備在軌基線狀態(tài)不匹配時(shí)，基于在軌基線狀態(tài)的操作風(fēng)控能夠有效識(shí)別，效果如圖6所示。

圖5 基于指令安全場(chǎng)景的操作風(fēng)控效果圖

圖6 基于在軌基線狀態(tài)的操作風(fēng)控效果圖

6 結(jié)束語

本文對(duì)基于APP的衛(wèi)星地面遙控系統(tǒng)安全應(yīng)用方案進(jìn)行了研究和設(shè)計(jì)，在對(duì)移動(dòng)終端植入安全芯片實(shí)現(xiàn)與后端中心系統(tǒng)安全認(rèn)證和加密交互的基礎(chǔ)上，結(jié)合實(shí)際業(yè)務(wù)場(chǎng)景引入遙控指令二次審批機(jī)制和多維智能風(fēng)控策略設(shè)計(jì)。通過原型系統(tǒng)的仿真測(cè)試，驗(yàn)證了系統(tǒng)的技術(shù)可行性，實(shí)現(xiàn)衛(wèi)星管理相關(guān)人員在遠(yuǎn)離測(cè)控中心的情況下也能有效參與在軌異常應(yīng)急處置。未來還需要進(jìn)一步提升軟件成熟度，并結(jié)合軍民商用衛(wèi)星不同的應(yīng)用需求開展適應(yīng)性評(píng)估，在符合保密要求的前提下逐步探索投入應(yīng)用。

[1] 申維和. 新型測(cè)控?cái)?shù)據(jù)加解密平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 哈爾濱: 哈爾濱工程大學(xué), 2014.

SHEN Weihe. Design and implementation of new platform for encryption and decryption of telemetry and telecontrol data[D]. Harbin: Harbin Engineering University, 2014

[2] 郜曉亮, 王劍, 張權(quán). 測(cè)控網(wǎng)安全防護(hù)體系研究[J]. 飛行器測(cè)控學(xué)報(bào), 2013, 32(4): 294–301.

GAO Xiaoliang, WANG Jian, ZHANG Quan. A study on the security architecture of TT&C networks[J]. Journal of Spacecraft TT&C Technology, 2013, 32(4): 294–301.

[3] 胡子杰, 張帆, 沈繼忠, 等. 針對(duì)民用無人機(jī)的遙控?cái)?shù)據(jù)保護(hù)方法[J]. 計(jì)算機(jī)工程, 2019, 45(4): 100–107.

HU Zijie, ZHANG Fan, SHEN Jizhong, et al. Remote control data protection method for civilian UAV[J]. Computer Engineering, 2019, 45(4): 100–107.

[4] 向軍, 朱姣. 電力移動(dòng)終端系統(tǒng)網(wǎng)絡(luò)安全的設(shè)計(jì)與實(shí)現(xiàn)[J]. 自動(dòng)化技術(shù)與應(yīng)用, 2019, 38(5): 101–105.

XIANG Jun, ZHU Jiao. Design and implementation of network security for power mobile terminal system[J]. Techniques of Automation and Applications, 2019, 38(5): 101–105.

[5] 王志賀, 駱釗, 謝吉華, 等. 基于SM2密碼體系的SD卡的電力移動(dòng)終端安全接入方案[J]. 中國電力, 2015, 48(5): 75–80.

WANG Zhihe, LUO Zhao, XIE Jihua, et al. Secure access of electric power mobile terminal using SM2-crypto-system- based SD Card, Electric Power, 2015, 48(5): 75–80.

[6] 劉剛. 大數(shù)據(jù)時(shí)代智能風(fēng)控體系建設(shè)實(shí)踐[J]. 中國金融電腦, 2018(8): 15–18.

[7] 劉鵬, 王曉晨, 劉超, 等. 基于移動(dòng)終端和云的航天器在軌監(jiān)視系統(tǒng)設(shè)計(jì)[J]. 遙測(cè)遙控, 2021, 42(1): 31–39.

LIU Peng, WANG Xiaochen, LIU Chao, et al. Design of in-orbit spacecraft monitoring system based on mobile terminal and cloud platform[J]. Journal of Telemetry , Tracking and Command, 2021, 42(1): 31–39.

[8] 丁玲玲. 移動(dòng)終端的安全認(rèn)證技術(shù)研究與實(shí)現(xiàn)[D]. 南京:南京理工大學(xué), 2015.

DING Lingling. Research and Implementation of Secure Authentication for Mobile Terminals[D]. Nanjing: Nanjing University of Technology, 2015.

[9] 張國云, 王大鵬, 曹繼宏, 等. 航天器在軌運(yùn)行段遙控作業(yè)規(guī)范化設(shè)計(jì)與實(shí)現(xiàn)[J]. 遙測(cè)遙控, 2020, 41(3): 51–60.

ZHANG Guoyun, WANG Dapeng, CAO Jihong, et al. Design and realization of normalization on telecommand program for spacecraft in operation section[J]. Journal of Telemetry , Tracking and Command, 2020, 41(3): 51–60.

Safety design of ground telecommand system for satellites based on mobile Apps

LIU Peng, LI Cheng, LIU Chao, SHAO Kun, SHI Shuai

（Beijing Institute of Spacecraft System Engineering, Beijing 100094, China）

At present, the telecommand operation of most satellites in our country must be carried out in the dedicated network, when the satellite is abnormal in orbit, relevant personnel must rush to the task center for centralized disposal, which leads to the problem of low timeliness. This article proposes a safety design scheme of ground telecommand system for satellites based on mobile Apps, which is aimed to provide a new method for the efficient operation and management of satellites in the future. Through the test of prototype system, it is verified that the spacecraft management experts can access to the back-end platform and dispose the abnormity through the mobile terminal in a reliable way while being far away from the task center.

APP; Satellite; Telecommand; Risk control

TP311

A

CN11-1780(2022)01-0074-08

10.12347/j.ycyk.20210604001

劉鵬, 李成, 劉超, 等.基于APP的衛(wèi)星地面遙控系統(tǒng)安全性設(shè)計(jì)[J]. 遙測(cè)遙控, 2022, 43(1): 74–81.

DOI：10.12347/j.ycyk.20210604001

: LIU Peng, LI Cheng, LIU Chao, et al.Safety design of ground telecommand system for satellites based on mobile apps[J]. Journal of Telemetry, Tracking and Command, 2022, 43(1): 74–81.

劉 鵬 1981年生，碩士，高級(jí)工程師，主要研究方向?yàn)樵谲壒芾碇悄芗夹g(shù)。

李 成 1986年生，學(xué)士，工程師，主要研究方向?yàn)樵谲壒芾碇悄芗夹g(shù)。

劉 超 1984年生，碩士，工程師，主要研究方向?yàn)樵谲壒芾碇悄芗夹g(shù)。

邵 坤 1983年生，碩士，高級(jí)工程師，主要研究方向?yàn)樵谲壒芾碇悄芗夹g(shù)。

師 帥 1991年生，學(xué)士，工程師，主要研究方向?yàn)樵谲壒芾碇悄芗夹g(shù)。

2021-06-04

2021-06-20

Website: ycyk.brit.com.cn Email: ycyk704@163.com

(本文編輯：潘三英)