劉 鵬，李 成，劉 超，邵 坤，師 帥

基于APP的衛(wèi)星地面遙控系統(tǒng)安全性設(shè)計

劉 鵬，李 成，劉 超，邵 坤，師 帥

（北京空間飛行器總體設(shè)計部 北京 100094）

目前，我國絕大部分衛(wèi)星的遙控指令上行操作必須在專用測控網(wǎng)內(nèi)進(jìn)行，當(dāng)衛(wèi)星發(fā)生在軌異常時，相關(guān)支持人員必須趕赴測控中心現(xiàn)場進(jìn)行集中處置，非工作時段時效性較低，不利于緊急情況下的異?？焖偬幹?。對基于APP的衛(wèi)星地面遙控系統(tǒng)安全應(yīng)用方案進(jìn)行了研究和設(shè)計，旨在為我國未來衛(wèi)星高效運(yùn)行管理提供一種新的手段，通過原型系統(tǒng)的仿真測試，驗(yàn)證了系統(tǒng)的技術(shù)可行性，實(shí)現(xiàn)衛(wèi)星管理相關(guān)人員在遠(yuǎn)離測控中心的情況下也能安全有效地參與在軌異常應(yīng)急處置。

APP；衛(wèi)星；遙控；風(fēng)控

引 言

目前，我國絕大部分衛(wèi)星的遙控指令上行操作必須在專用測控網(wǎng)內(nèi)進(jìn)行，操作人員在測控中心編制好遙控指令序列后，由地面加解密設(shè)備完成遙控指令的加解密處理[1,2]，通過地面測控網(wǎng)發(fā)送至測控站后上行至衛(wèi)星。因此，當(dāng)衛(wèi)星發(fā)生在軌異常時，相關(guān)支持人員必須趕赴測控中心現(xiàn)場進(jìn)行集中處置，非工作時段時效性較低，不利于緊急情況下的異?？焖偬幹?。而在無人機(jī)、電力系統(tǒng)等其他領(lǐng)域，采用移動終端APP進(jìn)行遠(yuǎn)程遙控操作的應(yīng)用已較為成熟[3-5]，在確保安全可靠的情況下可有效提高工作效率。

基于上述背景，本文對基于APP的衛(wèi)星地面遙控系統(tǒng)安全應(yīng)用方案進(jìn)行了研究和設(shè)計，旨在為我國未來航天器高效運(yùn)行管理提供一種新的手段，實(shí)現(xiàn)衛(wèi)星管理相關(guān)人員在遠(yuǎn)離測控中心的情況下也能有效參與在軌異常應(yīng)急處置，提高任務(wù)快速響應(yīng)能力和故障處理成效。

1 系統(tǒng)架構(gòu)設(shè)計

利用普通智能移動終端在公共互聯(lián)網(wǎng)絡(luò)上實(shí)現(xiàn)遙控指令的安全操作，采用加密傳輸機(jī)制只是最基本的保障。本系統(tǒng)在對移動終端植入安全芯片實(shí)現(xiàn)與后端中心系統(tǒng)之間安全認(rèn)證和加密交互的基礎(chǔ)上，結(jié)合實(shí)際業(yè)務(wù)需求引入遙控指令二次審批機(jī)制，同時參考人工智能在互聯(lián)網(wǎng)金融風(fēng)控領(lǐng)域的應(yīng)用技術(shù)路線進(jìn)行了多維智能風(fēng)控策略設(shè)計。整個系統(tǒng)的邏輯架構(gòu)如圖1所示，主要由以下幾部分構(gòu)成。

圖1 系統(tǒng)邏輯結(jié)構(gòu)圖

①安全芯片：自主研發(fā)、集成國密算法的獨(dú)立安全運(yùn)算單元，可為移動終端系統(tǒng)和應(yīng)用提供簽名/驗(yàn)簽、數(shù)據(jù)加/解密、密鑰安全管理等基礎(chǔ)安全服務(wù)。一般通過在SIM卡上貼膜卡或插入TF卡的方式為普通智能移動終端植入安全芯片。

②安全組件：基于安全芯片內(nèi)部運(yùn)算資源，將一部分核心指令邏輯直接在安全芯片內(nèi)部實(shí)現(xiàn)，以完成特殊功能操作的軟件模塊。由于直接在安全芯片內(nèi)部執(zhí)行和運(yùn)算，與終端操作系統(tǒng)和業(yè)務(wù)軟件完全隔離，可以防止終端系統(tǒng)環(huán)境不可控對核心指令安全性產(chǎn)生影響。

③指令服務(wù)系統(tǒng)：用于處理從終端發(fā)送過來的指令請求的服務(wù)系統(tǒng)，在對指令數(shù)據(jù)處理前，需要通過調(diào)用服務(wù)器密碼機(jī)對應(yīng)的SDK對加密指令數(shù)據(jù)進(jìn)行解密、解析、校驗(yàn)，確認(rèn)數(shù)據(jù)完整、安全、可信后再進(jìn)行后續(xù)處理。

④審批模塊：調(diào)度不同智能終端協(xié)同完成遙控指令的遠(yuǎn)程二次審批流程。

⑤智能風(fēng)控模塊：結(jié)合衛(wèi)星遙控場景的特點(diǎn)和在軌大數(shù)據(jù)，對指令操作的身份、行為、人物關(guān)系、適用場景和在軌狀態(tài)等多個維度進(jìn)行實(shí)時風(fēng)險檢測和控制，降低風(fēng)險。

⑥服務(wù)器密碼機(jī)：具有數(shù)據(jù)加解密、簽名、驗(yàn)簽、MAC、雜湊等功能，內(nèi)置一個或多個PCI-E密碼卡，基于SM1/SM2/SM3/SM4等國密算法通過光纖或網(wǎng)口對外提供高速密碼服務(wù)。

⑦加密機(jī)SDK：服務(wù)器密碼機(jī)提供的開發(fā)服務(wù)包，支持安全設(shè)備或應(yīng)用系統(tǒng)方便、快捷的調(diào)用服務(wù)器加密機(jī)實(shí)現(xiàn)簽名認(rèn)證、密文指令數(shù)據(jù)的加/解密等。

2 指令加解密傳輸設(shè)計

系統(tǒng)通過安全芯片實(shí)現(xiàn)智能終端APP到后端系統(tǒng)之間端到端的通信加密，保證指令數(shù)據(jù)在傳輸過程中的機(jī)密性和完整性。遙控指令加解密傳輸流程主要分為設(shè)備認(rèn)證及會話密鑰交換、遙控指令傳輸處理兩個階段，具體流程如圖2所示。

圖2 指令加密傳輸流程

2.1 設(shè)備認(rèn)證及會話密鑰交換

為確保只有持合法身份的設(shè)備才能接入后端系統(tǒng)進(jìn)行操作，防止非法設(shè)備/用戶接入。首先需要進(jìn)行終端設(shè)備認(rèn)證及會話密鑰交換，具體流程如下：

①應(yīng)用APP通過終端設(shè)備集成安全芯片驅(qū)動，向安全芯片內(nèi)部安全組件發(fā)送認(rèn)證及會話密鑰交換請求。

②安全芯片內(nèi)部安全組件收到請求，調(diào)用安全芯片隨機(jī)數(shù)發(fā)生器生成隨機(jī)數(shù)據(jù)rnd1，并讀取芯片ID，生成序列號sno1，讀取終端設(shè)備數(shù)字證書，組合成認(rèn)證請求信息，通過應(yīng)用APP代理轉(zhuǎn)發(fā)給指令服務(wù)系統(tǒng)。

③指令服務(wù)系統(tǒng)收到后，根據(jù)請求數(shù)據(jù)協(xié)議標(biāo)識轉(zhuǎn)交給服務(wù)器密碼機(jī)處理。服務(wù)器密碼機(jī)解析請求數(shù)據(jù)，驗(yàn)證數(shù)據(jù)協(xié)議及客戶端證書有效性，取出隨機(jī)數(shù)rnd1，調(diào)用PCI-E密碼卡生成隨機(jī)數(shù)rnd2，合并rnd1和rnd2，調(diào)用密鑰生成函數(shù)計算會話密鑰。

④使用客戶端公鑰加密rnd2，附加服務(wù)器密碼機(jī)設(shè)備證書、算法標(biāo)識、序列號作為認(rèn)證回執(zhí)信息，通過指令服務(wù)系統(tǒng)轉(zhuǎn)發(fā)給智能終端。

⑤智能終端收到回復(fù)數(shù)據(jù)后，發(fā)送給安全芯片，由安全芯片內(nèi)安全組件處理。安全組件解析、驗(yàn)證設(shè)備數(shù)字證書完整性、有效性，并使用芯片內(nèi)私鑰解密rnd2密文信息，得到rnd2。合并rnd1盒rnd2，利用與服務(wù)器密碼機(jī)同樣的密鑰生成函數(shù)計算會話密鑰，并存儲芯片內(nèi)密鑰文件。

⑥安全組件利用生成的會話密鑰加密芯片ID，加密結(jié)果作為會話密鑰有效性驗(yàn)證數(shù)據(jù)，通過應(yīng)用APP發(fā)送給指令服務(wù)系統(tǒng)。

⑦指令服務(wù)系統(tǒng)收到后根據(jù)請求標(biāo)識發(fā)送給服務(wù)器密碼機(jī)處理。服務(wù)器密碼機(jī)通過第一步運(yùn)算得到的會話密鑰解密數(shù)據(jù)，將得到的明文結(jié)果與第一步拿到的芯片ID做比對。如果一致，表示會話密鑰有效。否則表示會話密鑰無效，認(rèn)證過程失敗，將狀態(tài)反饋給指令服務(wù)系統(tǒng)，指令服務(wù)系統(tǒng)斷開與智能終端的連接。

2.2 遙控指令傳輸處理

認(rèn)證過程完成且會話密鑰協(xié)商成功后，用戶可以通過應(yīng)用APP操作界面進(jìn)行具體控制操作，主要流程包括：

①安全芯片內(nèi)的安全組件使用芯片內(nèi)會話密鑰對應(yīng)用APP生成的指令加密，變成密文后返回給應(yīng)用APP；

②應(yīng)用APP將密文指令信息發(fā)送給指令服務(wù)系統(tǒng)處理，由指令服務(wù)系統(tǒng)根據(jù)業(yè)務(wù)標(biāo)識將密文信息轉(zhuǎn)發(fā)給服務(wù)器密碼機(jī)進(jìn)行解密；

③服務(wù)器密碼機(jī)收到后請求后，根據(jù)會話信息查詢對應(yīng)會話密鑰，并解密數(shù)據(jù)，將解密結(jié)果回復(fù)給指令服務(wù)系統(tǒng)；

④指令服務(wù)系統(tǒng)驗(yàn)證明文數(shù)據(jù)完整性，解析指令并執(zhí)行；

⑤將執(zhí)行結(jié)果通過服務(wù)器密碼機(jī)加密回復(fù)給應(yīng)用APP；

⑥應(yīng)用APP調(diào)用安全芯片內(nèi)安全組件進(jìn)行解密，得到明文回執(zhí)，指令執(zhí)行過程結(jié)束。

3 指令二次審批設(shè)計

為了保證指令數(shù)據(jù)完整可靠，系統(tǒng)進(jìn)一步引入遠(yuǎn)程審批二次確認(rèn)的機(jī)制。在指令執(zhí)行前彈出提示窗口，要求操作人員選擇需審批確認(rèn)的其他人員，發(fā)送請求至對方終端；審批人員確認(rèn)指令可以繼續(xù)執(zhí)行后，發(fā)送審批通過回復(fù)至操作人員終端；操作人員點(diǎn)擊執(zhí)行后才能繼續(xù)發(fā)送指令。

指令發(fā)起、審批、驗(yàn)證過程中的每一步都進(jìn)行了簽名處理，由下一個處理過程對上一個操作的發(fā)起人身份、指令數(shù)據(jù)、發(fā)起時間等信息采用PKI簽名驗(yàn)簽機(jī)制進(jìn)行驗(yàn)證，保證每一個過程發(fā)起人身份可信、數(shù)據(jù)完整有效。具體流程如下：

①需要審批的指令由終端安全組件進(jìn)行處理，在原始數(shù)據(jù)中增加時間戳和唯一序列號，然后調(diào)用安全芯片對原始數(shù)據(jù)進(jìn)行HASH運(yùn)算，生成摘要值，然后調(diào)用芯片內(nèi)發(fā)起人私鑰對摘要值進(jìn)行簽名生成簽名信息并返回給終端安全組件；

②終端安全組件拼接指令數(shù)據(jù)、時間戳、唯一序列號和簽名數(shù)據(jù)，返回給應(yīng)用APP，由其發(fā)送給后端系統(tǒng)，通過審批模塊轉(zhuǎn)發(fā)給對應(yīng)的審批人；

③審批人收到審批請求后，調(diào)用終端安全組件向服務(wù)器驗(yàn)證發(fā)起人身份，身份認(rèn)證通過后獲取發(fā)起人數(shù)字證書并解析出公鑰，計算原始指令偽碼（含時間戳和唯一序列號）HASH值，并用公鑰解開審批請求數(shù)據(jù)內(nèi)附帶的簽名信息，得到發(fā)起人計算的HASH值，對比一致，表示數(shù)據(jù)在傳輸過程中完整、有效沒有被非法篡改和偽造，且是由合法的用戶發(fā)起，身份信息安全可信，審批人可以對請求進(jìn)行審批；

④審批完成后，應(yīng)用APP會將原始請求與審批動作一同交給安全組件，進(jìn)行審批過程簽名，同樣在原始指令數(shù)據(jù)（含時間戳、唯一序列號）、附加的簽名信息基礎(chǔ)上，增加審批時間戳和審批信息后進(jìn)行HASH運(yùn)算，得到摘要數(shù)據(jù)后調(diào)用審批人終端上的安全芯片，使用其私鑰對摘要信息進(jìn)行簽名，完成審批簽名過程，并把簽名數(shù)據(jù)返回給應(yīng)用APP，由其發(fā)送到后端系統(tǒng)進(jìn)行審核；

⑤后端系統(tǒng)審批模塊收到后，依次驗(yàn)證審批簽名信息、發(fā)起請求簽名信息，保證指令請求在發(fā)起過程、審批過程中人員信息安全可信、數(shù)據(jù)完整可靠，再進(jìn)行指令數(shù)據(jù)審核、有效性驗(yàn)證，并發(fā)起執(zhí)行動作，從而保證指令數(shù)據(jù)全過程安全有效、完整可控。

4 多維智能風(fēng)控策略設(shè)計

目前，互聯(lián)網(wǎng)金融領(lǐng)域開始利用大數(shù)據(jù)實(shí)現(xiàn)智能風(fēng)控，通過履約記錄、社交行為、行為偏好、身份信息和設(shè)備安全等多方面行為“弱特征”，填補(bǔ)傳統(tǒng)基于評分卡模型和規(guī)則引擎等“強(qiáng)特征”風(fēng)控模式的不足[6]。本系統(tǒng)參考該技術(shù)路線，在采用上述加密和二次審批基礎(chǔ)上，結(jié)合衛(wèi)星在軌管理業(yè)務(wù)場景的特點(diǎn)，進(jìn)一步設(shè)計了多維智能風(fēng)控策略。

4.1 強(qiáng)特征風(fēng)控策略

在本系統(tǒng)中，強(qiáng)特征是指身份、行為、人物關(guān)系等比較明顯的用戶特征，即使依賴人工也可快速明確地進(jìn)行識別。本系統(tǒng)設(shè)計了基于“人-卡-機(jī)”強(qiáng)關(guān)聯(lián)認(rèn)證、基于行為自動調(diào)整認(rèn)證級別、基于人物關(guān)系圖譜的風(fēng)控等三種強(qiáng)特征風(fēng)控策略。

①基于“人-卡-機(jī)”強(qiáng)關(guān)聯(lián)認(rèn)證

由于支付寶、微信等移動支付軟件可以用賬號密碼在異地登錄，與手機(jī)沒有強(qiáng)關(guān)聯(lián)綁定，用戶A可以使用用戶B的手機(jī)以用戶C的賬號密碼進(jìn)行登錄，因此存在賬號盜用的風(fēng)險[7]。本系統(tǒng)采用用戶特征+安全芯片/數(shù)字證書+手機(jī)硬件特征（IMEI號）+SIM卡唯一編號（IMSI號）的四碼強(qiáng)關(guān)聯(lián)綁定認(rèn)證，相關(guān)操作只能由符合要求的用戶通過相匹配的終端完成，不存在異地登錄、盜用等風(fēng)險。遙控指令只能由具備相應(yīng)權(quán)限且通過認(rèn)證的用戶和終端發(fā)出。

②基于行為自動調(diào)整認(rèn)證級別

目前，終端及軟件的認(rèn)證方式主要包括傳統(tǒng)認(rèn)證方式，如數(shù)字證書、口令、手勢等，以及基于生物特性的認(rèn)證方式，如指紋、虹膜、人臉、聲紋等[8]。傳統(tǒng)的認(rèn)證方式存在容易被盜、丟失或者偽造的風(fēng)險，基于生物特性的認(rèn)證方式則更加安全可靠。

本系統(tǒng)默認(rèn)采用數(shù)字證書+口令或手勢的方式進(jìn)行認(rèn)證，但當(dāng)由訪問低密級衛(wèi)星切換為訪問高密級衛(wèi)星等更敏感信息情況時，系統(tǒng)智能風(fēng)控模塊會啟動更高級別身份認(rèn)證方式進(jìn)行二次驗(yàn)證，如基于生物特征的指紋、人臉識別等。

③基于人物關(guān)系圖譜的操作風(fēng)控

在互聯(lián)網(wǎng)金融領(lǐng)域，用戶的人物關(guān)系圖譜對于平臺方來說預(yù)先是不可知的，需要基于大量的歷史數(shù)據(jù)進(jìn)行學(xué)習(xí)才能掌握每個用戶與其他人物關(guān)系圖譜。但是對于測控業(yè)務(wù)來說，以衛(wèi)星為關(guān)聯(lián)對象，其用戶單位、測控單位及研制單位之間各相關(guān)責(zé)任人是按要求預(yù)先設(shè)定好的，人物關(guān)系圖譜對于操作人員和任務(wù)中心均是事先知道的。因此，可以基于此特點(diǎn)設(shè)計基于人物關(guān)系圖譜的操作風(fēng)控。

操作人員通過移動終端執(zhí)行遙控指令時，對于需要審批才能發(fā)送的指令，需要在大量隨機(jī)人名中選擇或直接輸入正確的人員姓名進(jìn)行審批。當(dāng)不匹配的次數(shù)超過一定的閾值，則認(rèn)為存在較高風(fēng)險，系統(tǒng)智能風(fēng)控模塊暫時鎖定操作，生成告警，管理員電話確認(rèn)情況后方可解鎖。

4.2 弱特征風(fēng)控策略

在本系統(tǒng)中，弱特征是指指令發(fā)送的安全場景是否符合預(yù)期等不明顯的特征，需要系統(tǒng)基于大量在軌數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析才能準(zhǔn)確識別。本系統(tǒng)設(shè)計了基于指令安全場景、基于在軌基線狀態(tài)等兩種弱特征的遙控操作風(fēng)控策略。

①基于指令安全場景的操作風(fēng)控

當(dāng)航天器在軌運(yùn)行在某種模式或某種環(huán)境下，某些操作是不允許進(jìn)行的，否則將導(dǎo)致故障發(fā)生。例如：在對某通信衛(wèi)星實(shí)施向南位置保持操作時，同時進(jìn)行星時計數(shù)器重置，結(jié)果造成偏航姿態(tài)異常，導(dǎo)致衛(wèi)星通信業(yè)務(wù)出現(xiàn)中斷。其原因在于：在衛(wèi)星處于位保模式并使用太陽敏感器作為偏航基準(zhǔn)的條件下，修改了星時計數(shù)器，在這兩個因素同時發(fā)生的情況下，偏航計算公式中一次補(bǔ)償項(xiàng)時間差計算錯誤。又例如：有些低軌航天器要求在側(cè)擺時禁止注入軌道數(shù)據(jù)[9]。

因此，可以預(yù)先充分識別各衛(wèi)星可能處于的各種在軌運(yùn)行場景及在該場景下上行操作的影響，然后設(shè)置指令安全場景，對指令進(jìn)行分組，設(shè)定各場景下不可發(fā)送的禁止指令清單?？傮w來說，場景至少可分為：

1）外部環(huán)境：衛(wèi)星是否處于或即將進(jìn)入地月影期或光照期等；

2）任務(wù)需求：衛(wèi)星是否正在或即將進(jìn)行軌道控制、側(cè)擺成像等常規(guī)在軌操作任務(wù)；

3）運(yùn)行狀態(tài)：衛(wèi)星是否處于異常報警狀態(tài)或異常處置過程中；

4）測控條件：衛(wèi)星是否處于可見跟蹤測控范圍之內(nèi)。

系統(tǒng)在后臺運(yùn)行時，自動從在軌數(shù)據(jù)庫中提取各個航天器的實(shí)時監(jiān)測報警信息、歷史相似報警信息原因分析結(jié)論、在軌遙測數(shù)據(jù)、指令發(fā)送記錄、軌道數(shù)據(jù)、在軌操作事件記錄、實(shí)際測控跟蹤弧段時間、地月影預(yù)報、航天器基本信息、在軌異常等多元信息進(jìn)行關(guān)聯(lián)分析，挖掘出規(guī)律信息，識別出航天器當(dāng)前應(yīng)該處于的在軌運(yùn)行場景。例如：系統(tǒng)識別出衛(wèi)星當(dāng)前處于地影期內(nèi)，對于光照期內(nèi)才能執(zhí)行的指令則處于非激活狀態(tài)。

當(dāng)遙控指令發(fā)送至后端系統(tǒng)時，智能風(fēng)控模塊會基于已識別出的航天器當(dāng)前應(yīng)該處于的在軌運(yùn)行場景，根據(jù)該場景相關(guān)聯(lián)的禁止指令列表進(jìn)行指令的發(fā)送權(quán)限檢查，驗(yàn)證指令是否被屏蔽，防止日常操作中蓄意或誤發(fā)送危險指令。

②基于在軌基線狀態(tài)的操作風(fēng)控

在軌基線狀態(tài)是能夠反映衛(wèi)星上各軟硬件當(dāng)前在軌運(yùn)行應(yīng)當(dāng)所處的狀態(tài)，包括硬件狀態(tài)、軟件狀態(tài)、運(yùn)行模式、裝訂參數(shù)及其對應(yīng)遙測參數(shù)的實(shí)際表征值等。需要在系統(tǒng)中，對航天器的在軌基線狀態(tài)進(jìn)行實(shí)時記錄和更新維護(hù)。

當(dāng)遙控指令發(fā)送至后端系統(tǒng)時，智能風(fēng)控模塊會與當(dāng)前相關(guān)的單機(jī)設(shè)備或軟件的在軌基線狀態(tài)進(jìn)行比對分析，防止出現(xiàn)不合理的操作。例如：當(dāng)前某發(fā)射機(jī)A機(jī)為當(dāng)班狀態(tài)，B機(jī)為常駐故障，處于關(guān)機(jī)狀態(tài)，當(dāng)A機(jī)未鎖定時，正常應(yīng)該發(fā)送A機(jī)復(fù)位或重新關(guān)開機(jī)的指令，當(dāng)系統(tǒng)檢測到當(dāng)前發(fā)送的是B機(jī)的復(fù)位或重新關(guān)開機(jī)的指令時，則給操作人員和審批人員發(fā)送提示信息，告知不合理操作的風(fēng)險。

5 系統(tǒng)仿真

基于上述設(shè)計實(shí)現(xiàn)了系統(tǒng)原型，在智能手機(jī)上部署了加密膜卡和APP軟件，針對部分出口商業(yè)衛(wèi)星進(jìn)行了相關(guān)指令的配置，并與后端系統(tǒng)和衛(wèi)星模擬器進(jìn)行對接測試，驗(yàn)證了系統(tǒng)的技術(shù)可行性。

身份驗(yàn)證通過后，用戶可通過APP軟件自定義編輯指令，包括批量指令和單條指令，通過4G無線網(wǎng)絡(luò)發(fā)送至后端系統(tǒng)，經(jīng)過審批和解密后能夠成功發(fā)送至衛(wèi)星模擬器執(zhí)行。在網(wǎng)絡(luò)條件良好的情況下，單條指令從發(fā)出到成功執(zhí)行平均消耗時間小于5 s，效果如圖3所示。

圖3 指令編輯及執(zhí)行效果圖

當(dāng)指令二次審批時選取對象不匹配的次數(shù)超過一定閾值時，基于人物關(guān)系圖譜的操作風(fēng)控能夠有效識別并鎖定操作，生成告警提示，效果如圖4所示。

圖4 基于人物關(guān)系圖譜的操作風(fēng)控效果圖

當(dāng)執(zhí)行不屬于當(dāng)前場景的關(guān)鍵指令，基于指令安全場景的操作風(fēng)控可有效實(shí)現(xiàn)攔截并告警提醒，實(shí)現(xiàn)效果如圖5所示。

當(dāng)遙控指令與當(dāng)前相關(guān)的單機(jī)設(shè)備在軌基線狀態(tài)不匹配時，基于在軌基線狀態(tài)的操作風(fēng)控能夠有效識別，效果如圖6所示。

圖5 基于指令安全場景的操作風(fēng)控效果圖

圖6 基于在軌基線狀態(tài)的操作風(fēng)控效果圖

6 結(jié)束語

本文對基于APP的衛(wèi)星地面遙控系統(tǒng)安全應(yīng)用方案進(jìn)行了研究和設(shè)計，在對移動終端植入安全芯片實(shí)現(xiàn)與后端中心系統(tǒng)安全認(rèn)證和加密交互的基礎(chǔ)上，結(jié)合實(shí)際業(yè)務(wù)場景引入遙控指令二次審批機(jī)制和多維智能風(fēng)控策略設(shè)計。通過原型系統(tǒng)的仿真測試，驗(yàn)證了系統(tǒng)的技術(shù)可行性，實(shí)現(xiàn)衛(wèi)星管理相關(guān)人員在遠(yuǎn)離測控中心的情況下也能有效參與在軌異常應(yīng)急處置。未來還需要進(jìn)一步提升軟件成熟度，并結(jié)合軍民商用衛(wèi)星不同的應(yīng)用需求開展適應(yīng)性評估，在符合保密要求的前提下逐步探索投入應(yīng)用。

[1] 申維和. 新型測控數(shù)據(jù)加解密平臺的設(shè)計與實(shí)現(xiàn)[D]. 哈爾濱: 哈爾濱工程大學(xué), 2014.

SHEN Weihe. Design and implementation of new platform for encryption and decryption of telemetry and telecontrol data[D]. Harbin: Harbin Engineering University, 2014

[2] 郜曉亮, 王劍, 張權(quán). 測控網(wǎng)安全防護(hù)體系研究[J]. 飛行器測控學(xué)報, 2013, 32(4): 294–301.

GAO Xiaoliang, WANG Jian, ZHANG Quan. A study on the security architecture of TT&C networks[J]. Journal of Spacecraft TT&C Technology, 2013, 32(4): 294–301.

[3] 胡子杰, 張帆, 沈繼忠, 等. 針對民用無人機(jī)的遙控數(shù)據(jù)保護(hù)方法[J]. 計算機(jī)工程, 2019, 45(4): 100–107.

HU Zijie, ZHANG Fan, SHEN Jizhong, et al. Remote control data protection method for civilian UAV[J]. Computer Engineering, 2019, 45(4): 100–107.

[4] 向軍, 朱姣. 電力移動終端系統(tǒng)網(wǎng)絡(luò)安全的設(shè)計與實(shí)現(xiàn)[J]. 自動化技術(shù)與應(yīng)用, 2019, 38(5): 101–105.

XIANG Jun, ZHU Jiao. Design and implementation of network security for power mobile terminal system[J]. Techniques of Automation and Applications, 2019, 38(5): 101–105.

[5] 王志賀, 駱釗, 謝吉華, 等. 基于SM2密碼體系的SD卡的電力移動終端安全接入方案[J]. 中國電力, 2015, 48(5): 75–80.

WANG Zhihe, LUO Zhao, XIE Jihua, et al. Secure access of electric power mobile terminal using SM2-crypto-system- based SD Card, Electric Power, 2015, 48(5): 75–80.

[6] 劉剛. 大數(shù)據(jù)時代智能風(fēng)控體系建設(shè)實(shí)踐[J]. 中國金融電腦, 2018(8): 15–18.

[7] 劉鵬, 王曉晨, 劉超, 等. 基于移動終端和云的航天器在軌監(jiān)視系統(tǒng)設(shè)計[J]. 遙測遙控, 2021, 42(1): 31–39.

LIU Peng, WANG Xiaochen, LIU Chao, et al. Design of in-orbit spacecraft monitoring system based on mobile terminal and cloud platform[J]. Journal of Telemetry , Tracking and Command, 2021, 42(1): 31–39.

[8] 丁玲玲. 移動終端的安全認(rèn)證技術(shù)研究與實(shí)現(xiàn)[D]. 南京:南京理工大學(xué), 2015.

DING Lingling. Research and Implementation of Secure Authentication for Mobile Terminals[D]. Nanjing: Nanjing University of Technology, 2015.

[9] 張國云, 王大鵬, 曹繼宏, 等. 航天器在軌運(yùn)行段遙控作業(yè)規(guī)范化設(shè)計與實(shí)現(xiàn)[J]. 遙測遙控, 2020, 41(3): 51–60.

ZHANG Guoyun, WANG Dapeng, CAO Jihong, et al. Design and realization of normalization on telecommand program for spacecraft in operation section[J]. Journal of Telemetry , Tracking and Command, 2020, 41(3): 51–60.

Safety design of ground telecommand system for satellites based on mobile Apps

LIU Peng, LI Cheng, LIU Chao, SHAO Kun, SHI Shuai

（Beijing Institute of Spacecraft System Engineering, Beijing 100094, China）

At present, the telecommand operation of most satellites in our country must be carried out in the dedicated network, when the satellite is abnormal in orbit, relevant personnel must rush to the task center for centralized disposal, which leads to the problem of low timeliness. This article proposes a safety design scheme of ground telecommand system for satellites based on mobile Apps, which is aimed to provide a new method for the efficient operation and management of satellites in the future. Through the test of prototype system, it is verified that the spacecraft management experts can access to the back-end platform and dispose the abnormity through the mobile terminal in a reliable way while being far away from the task center.

APP; Satellite; Telecommand; Risk control

TP311

A

CN11-1780(2022)01-0074-08

10.12347/j.ycyk.20210604001

劉鵬, 李成, 劉超, 等.基于APP的衛(wèi)星地面遙控系統(tǒng)安全性設(shè)計[J]. 遙測遙控, 2022, 43(1): 74–81.

DOI：10.12347/j.ycyk.20210604001

: LIU Peng, LI Cheng, LIU Chao, et al.Safety design of ground telecommand system for satellites based on mobile apps[J]. Journal of Telemetry, Tracking and Command, 2022, 43(1): 74–81.

劉 鵬 1981年生，碩士，高級工程師，主要研究方向?yàn)樵谲壒芾碇悄芗夹g(shù)。

李 成 1986年生，學(xué)士，工程師，主要研究方向?yàn)樵谲壒芾碇悄芗夹g(shù)。

劉 超 1984年生，碩士，工程師，主要研究方向?yàn)樵谲壒芾碇悄芗夹g(shù)。

邵 坤 1983年生，碩士，高級工程師，主要研究方向?yàn)樵谲壒芾碇悄芗夹g(shù)。

師 帥 1991年生，學(xué)士，工程師，主要研究方向?yàn)樵谲壒芾碇悄芗夹g(shù)。

2021-06-04

2021-06-20

Website: ycyk.brit.com.cn Email: ycyk704@163.com

(本文編輯：潘三英)