下一代衛星導航系統運行控制系統網電安全構想

王琦 張國亭 袁亞博

(北京跟蹤與通信技術研究所，北京 100094)

隨著衛星導航技術的發展和應用，其經濟效益和戰略價值已得到各經濟軍事強國的高度重視。目前全球性衛星導航系統包括美國全球定位系統(GPS)、俄羅斯格洛納斯衛星導航系統(GLONASS)、歐洲伽利略衛星導航系統(Galileo)和中國北斗衛星導航系統(BDS)，印度、日本也建設了區域性衛星導航系統[1]。北斗衛星導航系統已成為繼美國全球定位系統之后正式提供的全球定位、導航、授時服務的衛星導航系統。

隨著網絡空間興起并成為下一個作戰空間，運行控制系統將成為決定衛星導航系統服務能力和控制權的重要因素。美國已經啟動并不斷加強GPS的下一代地面控制段(OCX)網電安全的研發與部署，重點采取了防火墻、加密、安全操作系統、跨領域防護、安全代碼等安全防護措施[2]。繼北斗全球衛星導航系統之后，未來時空基準建立與維持、星載數字化載荷、星載智能電子信息系統、空間鏈路網絡等代表性技術的發展，將推動下一代導航系統向時空基準天基化、衛星智能化、鏈路網絡化等方向發展，下一代導航系統運行控制系統也將發展為天地一體化運行控制系統[3-4]。本文在空間網絡非硬毀傷性對抗背景下，研究下一代導航系統運行控制系統及其網電安全。

1 下一代導航系統運行控制系統及其網電安全內涵

導航系統運行控制系統是運行、管理、控制衛星導航系統與實施導航戰的關鍵基礎設施[2]。下一代導航系統網電安全具體指導航系統控制與運行安全，其主體和核心是運行控制系統網電安全。

基于未來衛星數字化、智能化以及空間鏈路網絡化的能力預期，下一代導航星座將由地面集中運行控制，演變為基于天地一體化網絡、以星座常態化自主運行為主體、面向目標按需化服務的天地分布式協同運行控制。

在天地分布式協同運行控制下，下一代導航系統運行控制系統將不再局限于地面運行控制系統及其控制信息的星地傳輸鏈路，而是涵蓋地面運行控制系統、星載運行控制系統及網絡化空間鏈路。其中，地面運行控制系統包含地面運行控制中心(可以是基于云架構的分布式管控結構)、地面數據交互設備、地面通信鏈路及網絡，組成數據在地面的基礎設施網絡；星載運行控制系統包含用于星載信息處理與運行控制的計算器、處理器、線路及傳輸終端；空間鏈路包含由星載數據傳輸終端及地面數據交互設備構成的星間、星地信息無線傳輸鏈路。基于一定的空間網絡協議，地面運行控制設施、星載運行控制設施和空間鏈路可形成空間數據傳輸網絡。如果空間網絡協議與地面網絡協議兼容，將能進一步實現空間數據傳輸網絡和地面數據傳輸網絡的一體化運行。

因此，未來下一代導航系統運行控制系統將具備天地一體化、網絡化等典型特征。下一代導航系統運行控制系統網電安全的內涵是天地運行控制網絡及其承載的運行控制相關信息和應用的安全。

2 下一代導航系統運行控制系統網電安全威脅分析

從空間鏈路、網絡、信息等方面具體分析下一代導航系統運行控制系統網電安全威脅。

1)空間鏈路安全威脅

下一代導航系統運行控制系統星間、星地鏈路處于開放空間。其中，星間、星地微波鏈路，容易受到敵方地基或天基電磁干擾系統的攻擊，主要威脅手段包括壓制干擾和欺騙干擾[5-6]。

(1)壓制干擾：采用大功率干擾設備對我方目標信號實施完全壓制，使我方接收機無法正確截獲、跟蹤接收信號，以達到阻斷信息傳輸鏈路的目的。主要的壓制干擾手段包括窄帶瞄準式干擾、寬帶強制阻塞干擾、快速頻率跟蹤干擾等。

(2)欺騙干擾：在我方使用的通信信道上，截獲我方信號，識別、利用我方的通信方式，進而有針對性的注入欺騙信息，欺騙、迷惑我接收方，造成我接收方的資源占用、信息差錯和判斷失誤等。主要的欺騙干擾手段包括轉發式干擾、冒充干擾和移頻式干擾等。

2)網絡安全威脅

下一代導航天地一體化網絡包括空間段和地面段，空間段主要包括基于空間節點構成的空間數據傳輸網絡，地面段主要包括地面支持系統及地面通信網絡。導航天地一體化網絡在接入、訪問等過程中面臨欺騙攻擊、惡意程序攻擊等網絡攻擊手段威脅[7]。

(1)欺騙攻擊：對于導航天地一體化網絡，由于空間節點動態接入，攻擊者可能冒充、代替合法節點接入到空間網絡，竊取網絡信息，破壞網絡運行管理，使空間網絡不能正常工作，甚至獲取空間網絡的部分乃至全部控制權。

(2)惡意程序攻擊：利用偵察破譯和各種軟硬件“后門”漏洞，通過地面網絡或無線注入方式攻擊衛星系統、地面網絡設備等，通過植入病毒、木馬等惡意程序，對天地一體化網絡進行滲透、篡改、竊密和潛伏遙控，使系統遭受嚴重破壞。

3)信息安全威脅

針對數據在傳輸、處理等過程中的機密性、完整性等，信息安全主要威脅有數據監聽和傳輸分析、信息篡改和偽造等[8]。

(1)數據監聽和傳輸分析：敵方可以通過監聽無線信道獲取我方敏感信息，而對于采取加密機制保護的信息，敵方可根據數據流量分析通信雙方的關系，或者采取密碼破譯的手段進行內容分析。

(2)信息篡改和偽造：攻擊者利用天地鏈路處于開放空間的特點偽裝成航天器和地面系統進行中間人攻擊，對信息傳輸中的部分或全部數據內容進行篡改，通過重放攻擊等手段偽造控制指令，進而造成系統功能的破壞，降低系統的可用性，甚至使系統難以正常工作或完全癱瘓。

3 下一代導航系統運行控制系統網電安全防護需求分析

從未來國家戰略安全及潛在的軍事對抗條件考慮，下一代導航系統運行控制系統網電安全防護主要是對空間鏈路、網絡、信息的各種威脅和攻擊提供檢測、防御與升級手段，提高在非硬毀傷性對抗條件下導航系統運行控制系統的安全可靠運行能力。

已應用的空間鏈路信號抗干擾、敏感信息加密、地面計算機網絡安全防護等安全技術和手段，可在一定程度上提升航天資產的安全性。在愈發復雜的國家安全形勢下，面向一體化、網絡化、智能化的未來導航系統，應構建運行控制系統網電安全體系化防護能力。下一代導航系統運行控制系統應綜合采取鏈路、信息、網絡、系統等防護手段[9-12]，建立檢測、防護、評估和升級于一體，多層次、全流程的網電安全防護體系，確保導航系統安全可控及可靠運行。具體防護目標和能力需求參見表1。

表1 下一代導航系統運行控制系統網電安全防護需求Table 1 The next generation navigation satellite operation control system cyber security requirement

4 下一代導航系統運行控制系統網電安全體系架構設計

設計下一代導航系統運行控制系統網電安全體系由4層組成，包括：技術層、基礎層、流程層和目標層。網電安全體系架構如圖1所示。

技術層包括從運行控制系統信息、鏈路、網絡、系統等維度，通過網電安全防護的各種技術和手段，為下一代導航系統運行控制系統網電安全提供技術基礎和解決途徑。

基礎層主要是支撐技術層的關鍵基礎技術和能力。

流程層主要是涵蓋網電安全威脅檢測、防護、評估和升級的實施流程，應用技術層各項技術途徑，轉化為相應的防護效果。

目標層主要是針對網電安全威脅，從運行控制系統信息、鏈路、網絡、系統等維度，明確網電安全技術途徑經實施后的防護效果要求。

圖1 下一代導航系統運行控制系統網電安全體系架構Fig.1 The next generation navigation satellite operation control system cyber security architecture

4.1 技術層

1)鏈路維度

采用干擾自動探測防護微波空間鏈路，具備星地、星間微波鏈路干擾探測、識別、記錄和自適應抗強干擾能力；采用星載自適應智能天線技術，滿足平時使用、應急使用的不同要求，與干擾自動探測防護微波空間鏈路結合，進一步提升微波空間鏈路抗強干擾能力；采用激光星間鏈路，具備對電磁干擾免疫和抗截獲能力，通過與微波空間鏈路結合使用，形成覆蓋高、中、低信息速率的空間鏈路抗干擾、抗截獲能力。

此外，采用空間鏈路分布式認證授權技術，形成星間、星地鏈路分布式身份認證、授權認證能力，具備鏈路防盜用、防接管能力。

2)網絡維度

空間網絡部分基于數字化載荷和星載智能電子信息系統技術，形成星載信息系統在軌重構修復能力；建立空間網絡安全協議體系，具備空間網絡防入侵、防盜用、防偽裝、防接管能力。

地面網絡部分發展威脅監測預警、攻防仿真、能力評估和基于大數據的動態安全防御技術，形成地面網絡一體化安全監測預警管理和多級聯合應急處置能力。

3)信息維度

采用網絡化、分布式星地鏈路信息加解密技術，具備適應多節點、多接口、多用戶的分布式鏈路信息加解密能力；采用星-星-地一體化、網絡化信息加解密技術，具備空間端到端網絡信息加解密能力。

此外，地面采用高效、安全的數字簽名算法和協議，進一步提升運行效率和安全強度[12]；采用遠程數據備份、自動備份等技術，確保數據存儲安全。

4)系統維度

采用空間網絡分布式自主安全管控技術，形成天地一體星載信息系統安全管控能力；采用星地協同衛星攻擊監測預警與檢測識別技術、衛星安全認證評估技術，形成星地分布式網電安全系統威脅告警和監測能力；發展衛星自主運行技術、衛星安全防御智能技術，形成衛星在軌自主安全運行能力；設計導航系統運行控制系統網電安全綜合管控系統，提升導航系統運行控制系統網電安全監測預警、檢測分析、防護決策、評估反饋、升級優化的綜合防護和協同管控能力。

4.2 基礎層

基礎層主要包括軟硬件自主可控和國產化以及衛星載荷數字化、衛星控制系統智能化、空間鏈路網絡化等基礎技術，是支撐網電安全技術發揮防護作用的核心基礎技術和能力。

4.3 流程層

流程層明確了網電安全“檢測-防護-評估-升級”的實施及升級流程。

4.4 目標層

目標層依據技術分層維度明確了網電安全防護的效果：鏈路維度信號抗干擾、抗截獲，鏈路防盜用、防接管；網絡維度空間網絡防入侵、防接管，地面網絡防偽裝、防致癱；信息維度信息防竊取、防篡改；系統維度檢測、防護、評估、升級體系化。

5 下一代導航系統運行控制系統網電安全重點技術

5.1 干擾自動探測防護微波空間鏈路技術

空間電磁干擾針對天線和接收終端發揮作用，空間網絡入侵須通過空間通道進入鏈路終端才能作用于其內部電子信息系統，鏈路信號的抗干擾、防盜用技術在網電安全中尤為重要。

干擾自動探測防護微波空間鏈路，兼具鏈路干擾探測、識別、記錄和自適應抗強干擾能力，是下一代導航系統運行控制系統的核心鏈路安全技術。干擾自動探測防護空間鏈路終端可自動探測工作頻帶內干擾源，檢測干擾信號工作參數，根據干擾類型、通信信道裕量等條件，空間鏈路收發雙方按照一定握手協議、切換流程和運行策略，實時、自動選擇并調整最佳信號體制與工作參數。在無強干擾的工作條件下，根據信息傳輸速率需要，自主選用日常中低速測控體制或高速數傳體制進行信息傳輸；當檢測到強干擾環境時，短時間內完成向高抗干擾能力的擴跳頻測控體制的切換，實現極低速核心數據的傳輸。

干擾自動探測防護微波空間鏈路技術通過與星載自適應智能天線技術和干擾信號消除處理技術的結合使用，將進一步提升鏈路抗強干擾的能力；通過結合身份授權和認證技術，將有效防止鏈路盜用。從而實現星地、星間鏈路全工作條件和環境下的干擾環境監測、綜合防護和安全高效運行。

5.2 空間網絡安全協議技術

未來空間網絡的發展方向是由骨干鏈路和接入鏈路組成的空間數據傳輸網絡。空間網絡協議的形成，將基于空間數據傳輸網絡的特殊性，對地面主流網絡協議進行裁剪、改進和發展。當前空間網絡協議的設計和應用尚未進入全局統一規劃的階段，但功能分層、兼容發展是空間網絡協議的必經技術路線。

在空間網絡協議設計時，應充分考慮網絡安全。密鑰分配和用戶認證、網絡訪問控制、IP安全是地面網絡應用中重點考慮的安全問題，在空間網絡協議設計中也應進行改進性實現。此外，未來空間網絡主要將面向空間數據傳輸進行服務，也應具備用戶數據流量監管功能。通過安全協議分層發展機制的建立，結合星載信息系統在軌重構技術，可對空間網絡安全協議進行分步優化升級，實現空間數據傳輸網絡的防入侵、防接管。

5.3 衛星在軌自主安全運行技術

基于星載時空基準建立與維持，下一代導航衛星自主運行程度將顯著提高，地面系統運行管理任務將發生重大變化；一方面要求地面實現傳統運行控制功能自動化、智能化;另一方面要求地面增加對衛星自主運行和智能重構的支持功能，基于人工智能等新技術在地面進行衛星自主運行功能的學習和智能升級，通過衛星數字化載荷完成衛星自主運行功能的重構升級。

衛星在軌自主安全運行管控機制將以衛星為主進行常態在軌管控，地面對衛星自主管控方案進行維護和優化。衛星在軌自主運行期間，網電安全由衛星自主監測、防護和功能恢復。地面基于更豐富的監測和防護手段，對衛星自主安全管控策略和方案進行同步維護；完成衛星自主安全防護評估，并按需進行自主安全運行策略調整或者功能升級。

以鏈路安全為例，干擾自動探測防護微波空間鏈路的干擾探測、識別、記錄和處置策略日常由衛星自主管控，地面同步監測并進行防護效能的智能化分析，按需遙控衛星進行處置策略、工作參數設置的調整，必要時進行鏈路防護功能和流程的重構，從而確保全周期鏈路動態防御的有效實現。

6 結束語

在日益復雜的國際環境和太空優勢爭奪背景下，下一代導航系統網電安全，尤其是下一代導航系統運行控制系統網電安全，具備重要的研究價值和意義。基于信息、鏈路、網絡、系統等多維度的網電安全技術，構建檢測、防護、評估和升級一體的網電安全體系，實現下一代導航系統運行控制系統全方位、體系化的網電安全。其中，干擾自動探測防護微波空間鏈路、空間網絡安全協議、衛星在軌自主安全運行等可作為網電安全技術的研究和發展重點。