摘 要：針對(duì)CCSDS體制中分包遙控(Telecommand)系統(tǒng)所面臨的安全威脅，結(jié)合空間通信環(huán)境的特點(diǎn)，總結(jié)了對(duì)遙控協(xié)議數(shù)據(jù)進(jìn)行認(rèn)證性保護(hù)的技術(shù)方法，討論了認(rèn)證算法在分包遙控協(xié)議中的應(yīng)用位置。為了避免認(rèn)證算法與COP-1閉環(huán)之間的沖突，提出了在數(shù)據(jù)鏈路層COP-1閉環(huán)之前進(jìn)行認(rèn)證操作的方法。結(jié)合國(guó)內(nèi)外相關(guān)領(lǐng)域的研究進(jìn)展，分析了在分包遙控協(xié)議中應(yīng)用SHA-256進(jìn)行數(shù)據(jù)認(rèn)證性保護(hù)的必要性與可用性。



關(guān)鍵詞：分包遙控；CCSDS；身份認(rèn)證；SHA-256

中圖分類號(hào)：TP391.9文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1004-373X(2008)07-076-04

Research on the Application of Authentication Mechanisms in CCSDS Telecommand Protocol



LIU Debo1，2，WANG Minghua3，ZHANG Lei1，ZHANG Quan1

(1.School of Electronic Science and Engineering，National University of Defense Technology，Changsha，410073，China;

2.77536 Unit of the Chinese People′s Liberation Army，Lasa，850000，China;3.Binzhou Vocational College，Binzhou，256603，China)



Abstract：Risk analysis performed by several space agencies have provided indications of the impact of different threats on several categories of space missions.Various technical methods are summarized in this paper to protect the telecommand information，the localization of authentication layer is analyzed with the authentication mechanisms integrated into CCSDS telecommand protocol.Authentication operations are implemented ahead of COP-1 operations，the method of which is proposed to avoid the conflict with the COP-1 loop.With the introduction of the state-of-the-art on authentication mechanisms，the necessity and availability of applying SHA-256 in CCSDS telecommand protocol is analyzed.



Keywords：telecommand;CCSDS;authentication;SHA-256

1 引 言

數(shù)據(jù)的安全性問(wèn)題始終是數(shù)據(jù)傳輸系統(tǒng)中受到重點(diǎn)關(guān)注的問(wèn)題，在空間數(shù)據(jù)系統(tǒng)與航天器測(cè)控系統(tǒng)設(shè)計(jì)和任務(wù)實(shí)施過(guò)程，數(shù)據(jù)安全更是占有舉足輕重的地位。在航天技術(shù)發(fā)展的初期，保障數(shù)據(jù)安全依靠的是純粹的機(jī)要手段?？臻g數(shù)據(jù)系統(tǒng)與航天器測(cè)控系統(tǒng)中所使用的頻率、調(diào)制體制、指令碼表等被列入絕密級(jí)，由專人負(fù)責(zé)保管?？臻g數(shù)據(jù)系統(tǒng)產(chǎn)品的研制、測(cè)試、試驗(yàn)和使用要嚴(yán)格遵守有關(guān)的保密規(guī)定和程序。這些措施在當(dāng)時(shí)條件下是非常有效的。然而，現(xiàn)代電子偵察和電子對(duì)抗技術(shù)使空間數(shù)據(jù)系統(tǒng)具有本質(zhì)上的開(kāi)放性，這種開(kāi)放性對(duì)依靠機(jī)要手段保障空間數(shù)據(jù)系統(tǒng)安全的傳統(tǒng)方法形成了嚴(yán)重的威脅。敵方可以通過(guò)技術(shù)手段通過(guò)開(kāi)放的空間鏈路截獲所發(fā)送的遙測(cè)遙控信號(hào)，分析和竊取信息內(nèi)容，并通過(guò)偽造遙控信息對(duì)正常工作中的航天器進(jìn)行攻擊和破壞。因此，必須也只可能依靠數(shù)學(xué)及其物理實(shí)現(xiàn)來(lái)保證空間數(shù)據(jù)系統(tǒng)的安全性。

空間數(shù)據(jù)系統(tǒng)咨詢委員會(huì)(CCSDS)是空間數(shù)據(jù)系統(tǒng)技術(shù)權(quán)威的國(guó)際組織，采用CCSDS標(biāo)準(zhǔn)是空間通信領(lǐng)域技術(shù)發(fā)展的必然方向。

CCSDS的Security Working Groups一直致力于針對(duì)空間任務(wù)的安全需求研究。2006年，CCSDS制定了Security Threats Against Space Missions［1］和The Application of CCSDS to Secure Systems［2］建議書(shū)，描述了空間任務(wù)所面臨的安全威脅并提出了基于CCSDS標(biāo)準(zhǔn)的各類航天任務(wù)安全框架。雖然不同性質(zhì)的航天任務(wù)有不同級(jí)別的安全需求，但CCSDS建議對(duì)遙控信息進(jìn)行認(rèn)證保護(hù)是最基本的要求；而且，針對(duì)軍用通信等安全需求較高的航天任務(wù)，對(duì)遙控信息進(jìn)行加密和認(rèn)證的雙重保護(hù)是必要的。將不同密碼學(xué)算法應(yīng)用到CCSDS分包遙控系統(tǒng)中成為CCSDS近兩年的研究重點(diǎn)之一［3］。其中，意大利的S.Susanna等人在文獻(xiàn)［4］中首先提出了在ESA分包遙控系統(tǒng)的分段層中采用EAX認(rèn)證加密算法(Authenticated Encryption with Associated Data，AEAD)，對(duì)遙控信息進(jìn)行加密和認(rèn)證的聯(lián)合數(shù)據(jù)保護(hù)；文獻(xiàn)［5］中，ZHANG L等人提出在CCSDS分包遙控系統(tǒng)中采用GCM認(rèn)證加密算法進(jìn)行數(shù)據(jù)保護(hù)的具體方法，并針對(duì)空間鏈路的特點(diǎn)對(duì)消息認(rèn)證碼的長(zhǎng)度進(jìn)行了分析，提出了一種根據(jù)傳輸幀數(shù)據(jù)域長(zhǎng)度計(jì)算消息鑒別碼最佳長(zhǎng)度的算法；德國(guó)的Daniel Fischer等人在文獻(xiàn)［6，7］分析了數(shù)據(jù)保護(hù)機(jī)制在分包遙控系統(tǒng)中的實(shí)現(xiàn)位置，并提出了在傳統(tǒng)的分段層實(shí)現(xiàn)數(shù)據(jù)保護(hù)的局限性和在數(shù)據(jù)鏈路層實(shí)現(xiàn)數(shù)據(jù)保護(hù)機(jī)制可能產(chǎn)生認(rèn)證循環(huán)與分包遙控系統(tǒng)中的COP-1閉環(huán)之間的沖突。

本文通過(guò)分析CCSDS分包遙控系統(tǒng)的數(shù)據(jù)操作流程，基于不同級(jí)別的安全需求，以及認(rèn)證算法能夠保證傳輸信息的認(rèn)證性和完整性的特點(diǎn)，總結(jié)了在CCSDS分包遙控協(xié)議中應(yīng)用認(rèn)證算法的各種方法，并結(jié)合CCSDS Security Working Group的最新研究進(jìn)展，對(duì)分包遙控協(xié)議數(shù)據(jù)中的保護(hù)機(jī)制研究進(jìn)行了展望。

2 CCSDS分包遙控系統(tǒng)及其安全需求

分包遙控是由空間數(shù)據(jù)系統(tǒng)咨詢委員會(huì)(CCSDS)的建議書(shū)所規(guī)定的空間數(shù)據(jù)系統(tǒng)數(shù)據(jù)傳輸體制。在分包遙控系統(tǒng)中，不同信源、不同速率的數(shù)據(jù)通過(guò)動(dòng)態(tài)管理形成統(tǒng)一的數(shù)據(jù)流，通過(guò)上行信道傳輸，包括航天器平臺(tái)和有效載荷在內(nèi)的各種應(yīng)用過(guò)程通過(guò)這種方式獲得靈活、透明和高效的數(shù)據(jù)傳輸業(yè)務(wù)。由于分包遙控標(biāo)準(zhǔn)已被各主要空間國(guó)家(地區(qū))采用，因而可以實(shí)現(xiàn)各國(guó)家(地區(qū))地球站之間的交互支持［8］。

2.1 分包遙控系統(tǒng)

分包遙控采用分層體制，可以將復(fù)雜的航天器控制過(guò)程簡(jiǎn)化為由各層一系列簡(jiǎn)單的標(biāo)準(zhǔn)操作同等實(shí)現(xiàn)，層與層之間按照一定的協(xié)議由標(biāo)準(zhǔn)的數(shù)據(jù)格式接口，其層次模型如圖1所示。分包遙控傳輸幀結(jié)構(gòu)如圖2所示，“控制命令標(biāo)志”字段將遙控幀分為裝載遙控?cái)?shù)據(jù)的“D模式”幀和裝載控制命令的“C模式”幀。傳統(tǒng)的分包遙控安全保護(hù)機(jī)制只對(duì)“D模式”幀進(jìn)行加密和認(rèn)證操作，而“C模式”幀則保持明文狀態(tài)，以保證正常的星地操作。由于“C模式”幀裝載了遙控系統(tǒng)的控制命令，如果受到攻擊，對(duì)遙控系統(tǒng)所造成的影響會(huì)更加嚴(yán)重，因此，在安全級(jí)別較高的航天任務(wù)中，例如軍用衛(wèi)星通信等特殊環(huán)境下，對(duì)“C模式”幀進(jìn)行保護(hù)也是必要的。

為了保證星地操作中上行數(shù)據(jù)鏈路的可靠性，分包遙控在傳送層定義了命令操作步驟(COP-1)，他負(fù)責(zé)數(shù)據(jù)在對(duì)等層之間進(jìn)行無(wú)差錯(cuò)、按序、無(wú)遺漏及無(wú)重復(fù)的閉環(huán)操作，是CCSDS分包遙控中的重要組成部分［9］。

COP-1是CCSDS建議書(shū)中實(shí)現(xiàn)遙控閉環(huán)控制的關(guān)鍵。在傳送層內(nèi)由一對(duì)同步操作步驟構(gòu)成:發(fā)送端的幀操作步驟(FOP-1)和接收端的幀接收和匯報(bào)機(jī)制(FARM-1)。發(fā)送端的FOP將遙控幀發(fā)送給接收端的FARM，F(xiàn)ARM通過(guò)遙測(cè)下行信道返回命令鏈路控制字(CLCW)給FOP-1，完成對(duì)遙控幀接收狀態(tài)的閉環(huán)報(bào)告。COP-1保證遙控?cái)?shù)據(jù)在有噪信道中正確、完整、順序的傳輸。

COP-1基于GO-BACK-N ARQ策略的滑動(dòng)窗口流控制機(jī)制使用幀序列計(jì)數(shù)的接收和重傳，F(xiàn)OP-1組織遙控幀時(shí)同時(shí)啟動(dòng)一個(gè)向上的序列計(jì)數(shù)器，F(xiàn)ARM-1只接收到達(dá)幀序列計(jì)數(shù)與星上的幀序列計(jì)數(shù)相符合的傳輸幀，如果計(jì)數(shù)不匹配，F(xiàn)ARM-1將拒收后續(xù)到達(dá)的一系列幀，并通過(guò)下行鏈路返回CLCW要求FOP-1重傳。FOP-1檢測(cè)CLCW是否有幀被拒收，如果有，則從FARM-1所期待的幀序列號(hào)開(kāi)始重新發(fā)送。

2.2 CCSDS體制分包遙控系統(tǒng)安全需求

CCSDS分包遙控系統(tǒng)的安全需求主要包括遙控?cái)?shù)據(jù)信息的機(jī)密性、完整性和認(rèn)證性。

機(jī)密性 保證入侵者不能獲得協(xié)議執(zhí)行過(guò)程中的協(xié)議數(shù)據(jù)內(nèi)容。

數(shù)據(jù)完整性 在協(xié)議執(zhí)行過(guò)程中，消息的接收者應(yīng)該能夠驗(yàn)證協(xié)議數(shù)據(jù)沒(méi)有被修改；入侵者不能偽造消息代替合法協(xié)議數(shù)據(jù)。

認(rèn)證性 在協(xié)議的執(zhí)行過(guò)程中，消息的接收者應(yīng)該能夠確認(rèn)協(xié)議數(shù)據(jù)的來(lái)源；入侵者也不可能偽裝成他人。認(rèn)證性不僅適用于協(xié)議通信雙方，也適用于協(xié)議數(shù)據(jù)本身。通信雙方應(yīng)該能夠互相證明自己身份的合法性，經(jīng)過(guò)信道傳送到接收方的數(shù)據(jù)應(yīng)該可以被驗(yàn)證與消息來(lái)源所發(fā)送的數(shù)據(jù)是完全一致的。

在空間任務(wù)中，為了保證入侵者不能對(duì)遙控系統(tǒng)數(shù)據(jù)進(jìn)行惡意修改或破壞，遙控系統(tǒng)的數(shù)據(jù)完整性和認(rèn)證性非常重要。在民用任務(wù)中，一般不需要保證上行控制鏈路的機(jī)密性，但是在軍用任務(wù)或者其他關(guān)鍵任務(wù)中，保證上行控制鏈路的機(jī)密性則是必須的。

3 認(rèn)證算法的實(shí)施

3.1 概述

由于空間通信環(huán)境具有鏈路帶寬窄、時(shí)延大和上下行信道非對(duì)稱的特點(diǎn)，在分包遙控系統(tǒng)中廣泛采用對(duì)稱密碼學(xué)算法來(lái)進(jìn)行數(shù)據(jù)保護(hù)操作，與非對(duì)稱密碼學(xué)算法相比，對(duì)稱密碼學(xué)算法執(zhí)行過(guò)程更為簡(jiǎn)單、速度更快，引起的系統(tǒng)開(kāi)銷也遠(yuǎn)小于非對(duì)稱密碼學(xué)算法。

為了保證信息的完整性和來(lái)源合法性，通常在原有的消息上附加一個(gè)數(shù)字簽名的數(shù)據(jù)單元來(lái)進(jìn)行身份認(rèn)證，數(shù)字簽名用于保證所接受到的信息確實(shí)是簽名者所發(fā)送的。

由于空間通信不同于地面網(wǎng)絡(luò)的一些特點(diǎn)，必須設(shè)計(jì)高效的數(shù)字簽名算法來(lái)滿足空間通信的要求，另外必須建立公鑰基礎(chǔ)設(shè)施PKI、密鑰管理基礎(chǔ)設(shè)施KMI、授權(quán)管理基礎(chǔ)設(shè)施PMI以提供身份認(rèn)證服務(wù)、授權(quán)服務(wù)和密鑰管理服務(wù)。

通過(guò)調(diào)研發(fā)現(xiàn)，大多數(shù)采用CCSDS標(biāo)準(zhǔn)的各國(guó)遙控、遙測(cè)系統(tǒng)中，協(xié)議身份認(rèn)證機(jī)制均采用基于對(duì)稱加密的報(bào)文鑒別碼(MAC)進(jìn)行認(rèn)證或采用基于散列函數(shù)的報(bào)文鑒別碼進(jìn)行認(rèn)證。

為了進(jìn)行認(rèn)證操作，也需要在原有的數(shù)據(jù)結(jié)構(gòu)中添加一些數(shù)據(jù)域。其中最重要的部分是數(shù)字簽名域，數(shù)字簽名域中包含了用于協(xié)議認(rèn)證的數(shù)字簽名，該數(shù)字簽名是由MAC算法計(jì)算得出。為了保證加密消息的新鮮性以及抵抗重放攻擊，需要另外的數(shù)據(jù)域來(lái)存放新鮮性信息。常見(jiàn)的一種做法是增加時(shí)間戳或重放計(jì)數(shù)器。圖3描述了協(xié)議數(shù)據(jù)認(rèn)證機(jī)制數(shù)據(jù)結(jié)構(gòu)。協(xié)議數(shù)據(jù)認(rèn)證機(jī)制也會(huì)產(chǎn)生大量的數(shù)據(jù)負(fù)載。通常的數(shù)字簽名長(zhǎng)度是16 B以上，這對(duì)于本身長(zhǎng)度較短的控制命令數(shù)據(jù)來(lái)說(shuō)，安全機(jī)制所帶來(lái)的負(fù)載是相當(dāng)大的。因此采用不同的壓縮算法對(duì)數(shù)字簽名進(jìn)行壓縮和修正，從而盡可能在保證協(xié)議數(shù)據(jù)認(rèn)證機(jī)制可靠的前提下，減小數(shù)字簽名所帶來(lái)的數(shù)據(jù)負(fù)載。

3.2 分包遙控?cái)?shù)據(jù)認(rèn)證保護(hù)的實(shí)現(xiàn)

傳統(tǒng)研究認(rèn)為，TC協(xié)議棧傳送層是遙控系統(tǒng)中最適合進(jìn)行數(shù)據(jù)認(rèn)證保護(hù)的位置［2］。分包遙控系統(tǒng)的傳送層向上提供最多64個(gè)虛擬信道(VC)，而分段層向上提供相對(duì)于每個(gè)虛擬信道64個(gè)多工器入口點(diǎn)(MAP)，他們都是相互獨(dú)立的。為了保持這種獨(dú)立性，在傳送層實(shí)現(xiàn)數(shù)據(jù)保護(hù)是對(duì)64個(gè)虛擬信道分別進(jìn)行，而在分段層以上的各層要對(duì)64×64個(gè)MAP分別進(jìn)行，這對(duì)數(shù)據(jù)保護(hù)過(guò)程中的密鑰管理、使用等環(huán)節(jié)帶來(lái)了更大的困難。然而，在分包遙控系統(tǒng)傳送層中，數(shù)據(jù)保護(hù)機(jī)制不能保護(hù)命令操作步驟中的COP標(biāo)志(“通過(guò)標(biāo)志”與“控制命令標(biāo)志”)，這就給入侵者提供了發(fā)起拒絕服務(wù)攻擊的可能。

而在分包遙控系統(tǒng)的數(shù)據(jù)鏈路層實(shí)現(xiàn)數(shù)據(jù)保護(hù)機(jī)制主要是針對(duì)整個(gè)傳輸幀進(jìn)行數(shù)據(jù)保護(hù)，而且由于數(shù)據(jù)鏈路層位于傳送層與信道編碼層之間，在數(shù)據(jù)鏈路層進(jìn)行數(shù)據(jù)保護(hù)同樣具有操作簡(jiǎn)單的優(yōu)點(diǎn)，但是在數(shù)據(jù)鏈路層的幀匯報(bào)和接收檢查機(jī)制操作前(FARM)進(jìn)行認(rèn)證操作時(shí)會(huì)引起分包遙控系統(tǒng)中COP-1循環(huán)與認(rèn)證循環(huán)的沖突，有可能造成通信進(jìn)程的死鎖［7］。

并且，由于遙控幀結(jié)構(gòu)中的幀序列信息過(guò)于短小(B類遙控幀中完全沒(méi)有幀序列信息，A類遙控幀中幀序列信息長(zhǎng)度僅為一字節(jié))，單單進(jìn)行認(rèn)證操作時(shí)，消息認(rèn)證碼抵抗重放攻擊的能力非常有限［10］。

在認(rèn)證算法的具體應(yīng)用時(shí)，認(rèn)證操作應(yīng)位于虛擬信道多路復(fù)用與COP命令操作步驟之間進(jìn)行。如圖4所示，這樣就避免了認(rèn)證循環(huán)機(jī)制與COP的檢錯(cuò)重發(fā)循環(huán)之間存在的沖突。因此，在數(shù)據(jù)鏈路層采用認(rèn)證算法不但能夠充分保證遙控幀數(shù)據(jù)的完整性和數(shù)據(jù)來(lái)源的認(rèn)證及抵抗重放攻擊，而且由于導(dǎo)頭部分未進(jìn)行加密，能夠保證星地間通信不受數(shù)據(jù)保護(hù)操作的影響。同時(shí)，由于將認(rèn)證位置提前到幀檢查之后進(jìn)行，對(duì)接收到的數(shù)據(jù)、命令等進(jìn)行認(rèn)證，并通過(guò)CLCW向地面控制端匯報(bào)幀接收反饋數(shù)據(jù)，不必在COP中另外增加安全匯報(bào)控制操作。對(duì)于普通的安全等級(jí)的命令、數(shù)據(jù)等在該處進(jìn)行認(rèn)證后即可進(jìn)入后續(xù)操作。

3.3 CCSDS推薦的認(rèn)證算法

目前國(guó)際商業(yè)運(yùn)用中普遍使用的簽名算法是安全散列算法-1(SHA-1)。他的安全強(qiáng)度自2004年王曉云教授成功改進(jìn)了其攻擊方法后，從2的80次方減少到2的63次方，這就使攻擊成功率提高了2 000倍。對(duì)于擁有強(qiáng)大資源的攻擊者來(lái)說(shuō)，攻擊SHA-1已經(jīng)變成現(xiàn)實(shí)。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)鼓勵(lì)迅速采用SHA-2算法，同時(shí)建議美國(guó)聯(lián)邦機(jī)構(gòu)必須在2010年底前停止使用SHA-1的數(shù)字簽名。2007年1月，在美國(guó)科羅多那州召開(kāi)的CCSDS安全工作會(huì)議對(duì)認(rèn)證運(yùn)算法進(jìn)行了討論［3］。工作組指出在SHA-1的基礎(chǔ)上鼓勵(lì)使用SHA-256、SHA-384和SHA-512等算法以保護(hù)遙控?cái)?shù)據(jù)的完整性及信息來(lái)源的合法性。

任何長(zhǎng)度增加和簽名運(yùn)算循環(huán)輪次增加，都會(huì)增加空間處理器的負(fù)擔(dān)，使他對(duì)信息處理周期加長(zhǎng)?？臻g系統(tǒng)遙控指令一般是長(zhǎng)度較短，重復(fù)使用的消息。簽名分組長(zhǎng)度長(zhǎng)，就會(huì)使填充字節(jié)增加。摘要長(zhǎng)會(huì)使遙控指令長(zhǎng)度增加。SHA-1的安全強(qiáng)度受到嚴(yán)重挑戰(zhàn)，SHA-256的分組長(zhǎng)度和摘要長(zhǎng)度都遠(yuǎn)小于SHA-384，SHA-512，而其分組長(zhǎng)度和SHA-1相等。對(duì)已經(jīng)使用SHA-1的CCSDS體制的分包遙控系統(tǒng)來(lái)說(shuō)，SHA-256的分組長(zhǎng)度所增加的運(yùn)算復(fù)雜度最小，在現(xiàn)有硬件基礎(chǔ)上采用SHA-256算法對(duì)系統(tǒng)所造成的影響也最小。綜合多方面，運(yùn)用SHA-256在分包遙控的數(shù)據(jù)鏈路層進(jìn)行認(rèn)證算法的實(shí)施是理想的。

4 結(jié) 語(yǔ)

衛(wèi)星遙控系統(tǒng)安全級(jí)別的高低與保護(hù)措施的強(qiáng)度是由航天任務(wù)的性質(zhì)所決定的，在實(shí)際應(yīng)用時(shí)需要綜合考慮各種相關(guān)問(wèn)題，以最小的開(kāi)銷滿足安全需求。由于空間鏈路資源的匱乏及星上處理能力的限制，要盡可能在不影響有效數(shù)據(jù)吞吐量的前提下對(duì)遙控?cái)?shù)據(jù)實(shí)施安全保護(hù)。

與在傳送層進(jìn)行認(rèn)證操作相比，在數(shù)據(jù)鏈路層的幀接收與檢查機(jī)制后應(yīng)用認(rèn)證加密算法避免了與COP-1之間的沖突。并且能夠通過(guò)虛擬信道的多路復(fù)用機(jī)制降低簽名或消息認(rèn)證碼所帶來(lái)的性能消耗。由于SHA-1面臨新的攻擊方法已不再具備無(wú)條件安全性，按照CCSDS Security Working Group的建議，在CCSDS分包遙控協(xié)議中采用SHA-256算法對(duì)遙控?cái)?shù)據(jù)信息進(jìn)行認(rèn)證保護(hù)能夠以最小的代價(jià)獲得安全性能的提高。

由于分包遙控系統(tǒng)的數(shù)據(jù)處理過(guò)程較為復(fù)雜，空間傳輸鏈路性質(zhì)較為特殊，通過(guò)理論分析很難給出具體的解決方法，在今后的研究中需要通過(guò)仿真工具搭建仿真平臺(tái)進(jìn)行測(cè)試，以獲得認(rèn)證算法在分包遙控系統(tǒng)中的最佳應(yīng)用方案。

參 考 文 獻(xiàn)

［1］CCSDS 350.1-G-1，Security Threats Against Space Missions［S］.

［2］CCSDS 350.0-G-2，The Application of CCSDS to Secure Systems［S］.

［3］Recommended Practice for Authentication.Draft Recommended Practice，2007 (available at:http://cwe.ccsds.org/sea/docs/).

［4］Spinsante S，Chiaraluce F，Gambi E.New Perspectives in Telecommand Security:The Application of EAX to TC Segments［C］.Proc.Data Systems in Aerospace DASIA，Naples，Italy，2007.

［5］Zhang Lei，Tang Chaojing，Zhang Quan.A New Method of Enhancing Telecommand Security:The Application of GCM in TC Protocol［C］.Proc.Second International Conference on Space Information Technology，Wuhan，China，2007.

［6］Daniel Fischer，Mario Merri，Thomas Engel.Introducing a Generic Security Extension for The Packet TM/TC Protocol Stack［C］.4th ESA International Workshop on Tracking，Telemetry and Command Systems for Space Applications，2007.

［7］Fischer D，Engle T，Merri M.Application of the Integration of Data Security in the CCSDS Packet TM/TC Standards［C］.Ninth International Conference on Space Operations (Spaceops 2006)，Rome，Italy，2006.

［8］CCSDS 232.0-B-1，TC Space Data Link Protocol［S］.

［9］CCSDS 232.1-B-1，Command Operation Procedures-1［S］.

［10］陳宜元.衛(wèi)星無(wú)線電測(cè)控技術(shù)(上冊(cè))［M］.北京:宇航出版社，2007.

［11］譚維熾，顧瑩琦.空間數(shù)據(jù)系統(tǒng)［M］.北京：中國(guó)科學(xué)技術(shù)出版社，2004.

［12］趙澤茂.數(shù)字簽名理論[M].北京:科學(xué)出版社，2007.



作者簡(jiǎn)介 劉德波 男，1979年出生，重慶人，碩士研究生。研究方向?yàn)榭臻g通信網(wǎng)絡(luò)安全與仿真。