JP2004304723A - Earth station, satellite control apparatus and its system - Google Patents
Earth station, satellite control apparatus and its system Download PDFInfo
- Publication number
- JP2004304723A JP2004304723A JP2003098179A JP2003098179A JP2004304723A JP 2004304723 A JP2004304723 A JP 2004304723A JP 2003098179 A JP2003098179 A JP 2003098179A JP 2003098179 A JP2003098179 A JP 2003098179A JP 2004304723 A JP2004304723 A JP 2004304723A
- Authority
- JP
- Japan
- Prior art keywords
- command
- satellite
- execution
- ground station
- transmitted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Radio Relay Systems (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
この発明は、地上局からの指示により衛星を制御する衛星制御システムと、その衛星制御システムを構成する地上局装置及び衛星制御装置とに関するものである。
【0002】
【従来の技術】
従来の衛星制御システムは、衛星が地上局から制御用のコマンドを受信すると、そのコマンドを地上局に返送するとともに、そのコマンドを実行待ちキューに格納し、その後、地上局からエグゼキュート信号を受信すると、そのコマンドを実行する(以下の非特許文献1を参照)。
したがって、悪意の第三者からコマンドとエグゼキュート信号が送信された場合でも、衛星の制御が行われてしまうので、悪意の第三者による衛星の乗っ取りや、衛星の損傷等の可能性を排除することができない。
【0003】
そこで、以下の特許文献1には、衛星に対するセキュリティーを高める観点から、地上局が制御用のコマンドを衛星に送信する際、そのコマンドを暗号化して送信し、衛星が暗号化されているコマンドを復号化して実行待ちキューに格納する衛星制御システムが開示されている。
【0004】
【非特許文献1】
「衛星通信システムエンジニアリング」 啓学出版発行(第130頁から第131頁)
【特許文献1】
特開平5−244152号公報(第4頁から第22頁、図3)
【0005】
【発明が解決しようとする課題】
従来の衛星制御システムは以上のように構成されているので、地上局が制御用のコマンドを衛星に送信する際、そのコマンドを暗号化して送信すれば、悪意の第三者による衛星の乗っ取りや、衛星の損傷等の可能性を排除することができるが、衛星側に暗号化されているコマンドを復号化する復号機能を搭載する必要が生じるため、衛星のコストアップや重量増加を招くなどの課題があった。
【0006】
この発明は上記のような課題を解決するためになされたもので、衛星側に暗号化されているコマンドを復号化するような複雑な処理を実装することなく、悪意の第三者による衛星の乗っ取りや、衛星の損傷等の可能性を排除することができる地上局装置、衛星制御装置及び衛星制御システムを得ることを目的とする。
【0007】
【課題を解決するための手段】
この発明に係る衛星制御システムは、衛星に向けて送信したコマンドと衛星から返送されたコマンドを照合し、双方のコマンドが一致しない場合にはコマンドの廃棄指令を衛星に送信する地上局装置と、地上局からコマンドの廃棄指令を受信すると、実行待ちキューから当該コマンドを削除する衛星制御装置とを設けたものである。
【0008】
【発明の実施の形態】
以下、この発明の実施の一形態を説明する。
実施の形態1.
図1はこの発明の実施の形態1による衛星制御システムを示す構成図であり、図において、地上局1は地上局装置4を搭載し、衛星3は衛星制御装置5を搭載している。また、地上局1の近隣には、地上局1と同様の機能を有している近隣地上局2が設置されている。
図2は地上局装置4及び衛星制御装置5の内部構成を示す構成図であり、図において、コマンド送信部11は衛星3の制御内容が記述されているコマンドを衛星3に向けて送信する。コマンド受信部12は衛星3から返送されたコマンドを受信する。なお、コマンド送信部11及びコマンド受信部12から送受信手段が構成されている。
【0009】
コマンド収集部13はコマンド送信部11から送信されたコマンドと同一のコマンドを収集するとともに、近隣地上局2から衛星3に向けて送信されたコマンドと同一のコマンドを収集する。ただし、コマンド収集部13はコマンド送信部11からコマンドが送信されていれば、近隣地上局2からコマンドを収集せず、コマンド送信部11からコマンドが送信された形跡がないとき、近隣地上局2から衛星3に向けてコマンドが送信されていれば、近隣地上局2からコマンドを収集するようにしてもよい。
照合部14はコマンド収集部13により収集されたコマンドとコマンド受信部12により受信されたコマンドを照合する。なお、コマンド収集部13及び照合部14から照合手段が構成されている。
実行制御部15は照合部14の照合結果がコマンドの一致を示す場合、そのコマンドの実行指令を衛星3に送信し、照合部14の照合結果がコマンドの不一致を示す場合、そのコマンドの廃棄指令を衛星3に送信する実行制御手段を構成している。
【0010】
コマンド受付部21は地上局1から衛星3の制御内容が記述されているコマンドを受信すると、そのコマンドを実行待ちキュー22に格納するとともに、そのコマンドを地上局1に返送するコマンド受付手段を構成している。実行待ちキュー22は例えばFIFOメモリから構成され、先に受信されたコマンドから順番に格納し、最後に受信されたコマンドを最後尾に格納する。
指令受信部23は地上局1からコマンドの実行指令又は廃棄指令を受信する指令受信手段を構成している。
コマンド管理部24は指令受信部23がコマンドの実行指令を受信すると、そのコマンドの実行フラグをOFFからONに変更して実行を許可し、指令受信部23がコマンドの廃棄指令を受信すると、実行待ちキュー22から当該コマンドを削除するコマンド管理手段を構成している。
図3はこの発明の実施の形態1による衛星制御システムの処理内容を示すフローチャートである。
【0011】
次に動作について説明する。
例えば、衛星3の姿勢を変える必要がある場合などにおいては、地上局装置4のコマンド送信部11が衛星3の制御内容が記述されているコマンドを衛星3に向けて送信する(ステップST1)。ここでは、説明の簡単化のため、1つのコマンドを送信するものについて説明するが、複数のコマンドからなるコマンド列を送信するようにしてもよい。
衛星制御装置5のコマンド受付部21は、地上局1からコマンドが送信されると、そのコマンドを受信し(ステップST2)、そのコマンドを実行待ちキュー22に格納するとともに、そのコマンドを地上局1に返送する(ステップST3,ST4)。なお、コマンド受付部21は、コマンドを実行待ちキュー22に格納する際、まだ実行が許可されていない旨を示すOFFのフラグと対にしてコマンドを格納する。
【0012】
地上局装置4のコマンド受信部12は、衛星3からコマンドが返送されると、そのコマンドを受信する。
地上局装置4のコマンド収集部13は、コマンド受信部12がコマンドを受信すると、コマンド送信部11から送信されたコマンドと同一のコマンドを収集する。また、近隣地上局2から衛星3に向けて送信されたコマンドと同一のコマンドを収集する(ステップST5)。
ここで、近隣地上局2からもコマンドを収集する理由は、近隣地上局2から衛星3に向けてコマンドが送信されたのち、衛星3が移動することによって、地上局1及び近隣地上局2と衛星3の位置関係が変化することにより、コマンド送信部11がコマンドを送信していない場合でも、コマンド受信部12がコマンドを受信することがあるからである。
【0013】
地上局装置4の照合部14は、コマンド受信部12により受信されたコマンドが、コマンド送信部11や近隣地上局2から送信されたコマンドの返送コマンドではなく、悪意の第三者が衛星3に向けて送信した不正コマンドの可能性があるため、コマンド収集部13により収集されたコマンドとコマンド受信部12により受信されたコマンドを照合する(ステップST6)。
地上局装置4の実行制御部15は、照合部14の照合結果がコマンドの一致を示す場合、コマンド受信部12により受信されたコマンドは衛星制御装置5により正当に受領されて返送されたコマンドであると認識し、そのコマンドの実行指令を衛星3に送信する(ステップST7)。
【0014】
しかし、照合部14の照合結果がコマンドの不一致を示す場合、コマンド受信部12により受信されたコマンドは、悪意の第三者から衛星3に向けて不正に送信されたコマンドであると認識し、そのコマンドの廃棄指令を衛星3に送信する(ステップST8)。なお、地上局装置4から衛星3に向けて正当に送信されたコマンドであっても、何らかの理由によりコマンドが正常に受信されず、衛星3がコマンドの制御内容を誤認識する場合があるが、この場合も照合部14の照合結果がコマンドの不一致を示し、そのコマンドの廃棄指令を衛星3に送信する。
また、コマンド送信部11及び近隣地上局2の何れにおいても、コマンドの送信形跡がなく、コマンド収集部13がコマンド送信部11及び近隣地上局2の何れからもコマンドを収集することができない場合も、コマンド受信部12により受信されたコマンドは、悪意の第三者から衛星3に向けて不正に送信されたコマンドであると認識し、そのコマンドの廃棄指令を衛星3に送信する(ステップST8)。
【0015】
ここで、実行制御部15が送信する実行指令又は廃棄指令には、コマンドを特定する整理番号等が付加されているものとする。
なお、近隣地上局2から収集するコマンドは、地上回線を利用して収集するので、悪意の第三者のコマンドが混入することはないと考えられる。
【0016】
衛星制御装置5のコマンド管理部24は、指令受信部23が地上局1から実行待ちキュー22に格納されているコマンドの実行指令を受信すると、そのコマンドの実行を許可するために、そのコマンドのフラグをOFFからONに変更する(ステップST9,ST10)。
これにより、そのコマンドの実行の順番が巡ってくると、そのコマンドが実行され、衛星3の姿勢等が制御される。
ただし、指令受信部23がコマンドの実行指令を受信する前に、実行待ちキュー22が満杯になり、そのコマンドが実行待ちキュー22に格納されているコマンドの中で最も古いコマンドであれば、そのコマンドは不正なコマンドであるか否かに拘わらず、実行待ちキュー22から削除される。
【0017】
衛星制御装置5のコマンド管理部24は、地上局装置4の実行制御部15により不正コマンドの送信が認識されることにより、指令受信部23が実行待ちキュー22に格納されている不正コマンドの廃棄指令を受信すると、実行待ちキュー22から不正コマンドを削除する(ステップST11)。
これにより、悪意の第三者が不正コマンドを衛星3に向けて送信したのち、悪意の第三者が不正コマンドの実行指令を衛星3に送信したとしても、未だ不正コマンドが実行されていなければ、その不正コマンドの実行を阻止することができる。
【0018】
また、衛星制御装置5のコマンド管理部24は、指令受信部23がコマンドの廃棄指令を受信すると、コマンド削除の実行結果を地上局1に通知する(ステップST12)。
コマンド削除の実行結果としては、図4に示すように、不正コマンドを正常に削除することができた場合、“成功”を示す実行結果を通知する。
また、不正コマンドが実行待ちキュー22に存在するが、その不正コマンドが正に実行されている最中であるために不正コマンドを削除することができなかったような場合には、“削除失敗”を示す実行結果を通知する。
また、不正コマンドの実行が完了している場合のように不正コマンドが実行待ちキュー22に存在していない場合、“該当無し”を示す実行結果を通知する。
地上局装置4の実行制御部15は、衛星3からコマンド削除の実行結果の通知を受信すると(ステップST13)、その実行結果を例えば表示するなどにより、地上局1の操作員にその事実を知らせる。
【0019】
以上で明らかなように、この実施の形態1によれば、衛星3に向けて送信したコマンドと衛星3から返送されたコマンドを照合し、双方のコマンドが一致しない場合には不正なコマンドの廃棄指令を衛星3に送信する地上局装置4と、地上局1から不正コマンドの廃棄指令を受信すると、実行待ちキュー22から不正コマンドを削除する衛星制御装置5とを設けるように構成したので、衛星3側で暗号化されているコマンドを復号化するような複雑な処理を実施することなく、悪意の第三者による衛星3の乗っ取りや、衛星3の損傷等の可能性を排除することができる効果を奏する。
【0020】
実施の形態2.
図5はこの発明の実施の形態2による衛星制御システムを示す構成図であり、図6はこの発明の実施の形態2による衛星制御システムの処理内容を示すフローチャートである。
上記実施の形態1では、地上局装置4の実行制御部15がコマンドの廃棄指令を衛星に送信しても、そのコマンドが実行中である場合や、既に、そのコマンドの実行が完了している場合には、悪意の第三者による衛星3の制御を阻止することができない。
そこで、この実施の形態2では、次のような処理を追加する。
【0021】
地上局装置4の実行制御部15は、上記実施の形態1と同様にコマンドの廃棄指令を衛星に送信したのち、衛星3から“削除失敗”を示す実行結果、または、“該当無し”を示す実行結果を受けると、そのコマンドと逆の制御内容が記述されている逆コマンドを生成し、その逆コマンドをコマンド送信部11から衛星3に向けて送信させる(ステップST14)。
例えば、逆コマンドには、悪意の第三者による不正なコマンドの制御内容が衛星3を右に10度傾けるという内容であれば、不正なコマンドの実行内容を実質的にキャンセルするため、逆に衛星3を左に10度傾けるという制御内容を記述する。
【0022】
衛星制御装置5のコマンド受付部21は、地上局1から逆コマンドが送信されると、その逆コマンドを受信し(ステップST15)、その逆コマンドを実行待ちキュー22に格納するとともに、その逆コマンドを地上局1に返送する(ステップST16,ST17)。なお、コマンド受付部21は、逆コマンドを実行待ちキュー22に格納する際、まだ実行が許可されていない旨を示すOFFのフラグと対にして逆コマンドを格納する。
【0023】
地上局装置4のコマンド受信部12は、衛星3から逆コマンドが返送されると、その逆コマンドを受信する。
地上局装置4のコマンド収集部13は、コマンド受信部12が逆コマンドを受信すると、上述したように、コマンド送信部11から衛星3に向けて逆コマンドが送信された場合には、コマンド送信部11から送信された逆コマンドと同一の逆コマンドを収集する(ステップST18)。また、近隣地上局2から衛星3に向けて逆コマンドが送信されていれば、その逆コマンドと同一の逆コマンドを収集する。
【0024】
地上局装置4の照合部14は、コマンド受信部12により受信された逆コマンドが、コマンド送信部11や近隣地上局2から送信された逆コマンドの返送コマンドではなく、悪意の第三者が衛星3に向けて送信した不正コマンドの可能性があるため、コマンド収集部13により収集された逆コマンドとコマンド受信部12により受信された逆コマンドを照合する(ステップST19)。
地上局装置4の実行制御部15は、照合部14の照合結果がコマンドの一致を示す場合、コマンド受信部12により受信されたコマンドは衛星制御装置5により正当に受領されて返送された逆コマンドであると認識し、その逆コマンドの実行指令を衛星3に送信する(ステップST20)。
【0025】
しかし、照合部14の照合結果がコマンドの不一致を示す場合、コマンド受信部12により受信されたコマンドは、悪意の第三者から衛星3に向けて不正に送信されたコマンドであると認識し、そのコマンドの廃棄指令を衛星3に送信する(ステップST8)。なお、地上局装置4から衛星3に向けて正当に送信された逆コマンドであっても、何らかの理由により逆コマンドが正常に送信されず、衛星3が逆コマンドの制御内容を誤認識する場合があるが、この場合も照合部14の照合結果がコマンドの不一致を示し、そのコマンドの廃棄指令を衛星3に送信する。
また、コマンド送信部11及び近隣地上局2の何れにおいても、逆コマンドの送信形跡がなく、コマンド収集部13がコマンド送信部11及び近隣地上局2の何れからもコマンドを収集することができない場合も、コマンド受信部12により受信されたコマンドは、悪意の第三者から衛星3に向けて不正に送信されたコマンドであると認識し、そのコマンドの廃棄指令を衛星3に送信する(ステップST8)。
【0026】
衛星制御装置5のコマンド管理部24は、指令受信部23が地上局1から実行待ちキュー22に格納されている逆コマンドの実行指令を受信すると、その逆コマンドの実行を許可するために、その逆コマンドのフラグをOFFからONに変更する(ステップST21,ST22)。
これにより、その逆コマンドの実行の順番が巡ってくると、その逆コマンドが実行され、不正なコマンドの実行内容を実質的にキャンセルすることができる。
ただし、指令受信部23が逆コマンドの実行指令を受信する前に、実行待ちキュー22が満杯になり、その逆コマンドが実行待ちキュー22に格納されているコマンドの中で最も古いコマンドであれば、その逆コマンドは不正なコマンドであるか否かに拘わらず、実行待ちキュー22から削除される。
【0027】
衛星制御装置5のコマンド管理部24は、地上局装置4の実行制御部15により不正コマンドの送信が認識されることにより、指令受信部23が実行待ちキュー22に格納されている不正コマンドの廃棄指令を受信すると、実行待ちキュー22から不正コマンドを削除する(ステップST11)。
【0028】
以上で明らかなように、この実施の形態2によれば、実行制御部15がコマンドの廃棄指令を衛星3に送信しても、そのコマンドが実行された場合、そのコマンドと逆の制御内容が記述されているコマンドをコマンド送信部11から衛星3に向けて送信させるように構成したので、悪意の第三者による不正コマンドが実行されてしまっても、不正コマンドの実行内容を実質的にキャンセルすることができる効果を奏する。
【0029】
実施の形態3.
図7はこの発明の実施の形態3による衛星制御システムを示す構成図であり、図8は地上局装置4及び衛星制御装置5の内部構成を示す構成図である。
図において、図1及び図2と同一符号は同一または相当部分を示すので説明を省略する。ハッシュ値受信部31は衛星3から返送されたコマンドのハッシュ値を受信する送受信手段を構成している。
照合部32はコマンド収集部13により収集されたコマンドのハッシュ値を計算し、そのハッシュ値とハッシュ値受信部31により受信されたハッシュ値を照合する照合手段を構成している。ただし、近隣地上局2がコマンドではなく、そのコマンドのハッシュ値を地上局1に送信する場合には、照合部32が近隣地上局2から送信されたコマンドのハッシュ値を計算する必要はない。
コマンド受付部41は地上局1から衛星3の制御内容が記述されているコマンドを受信すると、そのコマンドを実行待ちキュー22に格納するとともに、そのコマンドのハッシュ値を計算して、そのハッシュ値を地上局1に返送するコマンド受付手段を構成している。
図9はこの発明の実施の形態3による衛星制御システムの処理内容を示すフローチャートである。
【0030】
次に動作について説明する。
例えば、衛星3の姿勢を変える必要がある場合などにおいては、地上局装置4のコマンド送信部11が衛星3の制御内容が記述されているコマンドを衛星3に向けて送信する(ステップST31)。
衛星制御装置5のコマンド受付部41は、地上局1からコマンドが送信されると、そのコマンドを受信し(ステップST32)、そのコマンドを実行待ちキュー22に格納する(ステップST33)。また、そのコマンドのハッシュ値を計算し(例えば、MD5などのハッシュ関数にコマンドを代入してハッシュ値を計算する)、そのハッシュ値とコマンドの整理番号を地上局1に返送する(ステップST34a,ST34b)。
【0031】
この実施の形態3では、上記実施の形態1のように、コマンドを返送するのではなく、コマンドのハッシュ値を返送するが、コマンドのハッシュ値であれば、悪意の第三者が傍受に成功しても、コマンドの制御内容の把握が極めて困難である。
なお、コマンド受付部41は、コマンドを実行待ちキュー22に格納する際、まだ実行が許可されていない旨を示すOFFのフラグと整理番号とコマンドを対応付けて格納する。
【0032】
地上局装置4のハッシュ値受信部31は、衛星3からハッシュ値と整理番号が返送されると、そのハッシュ値と整理番号を受信する。
地上局装置4のコマンド収集部13は、ハッシュ値受信部31がハッシュ値を受信すると、上述したように、コマンド送信部11から衛星3に向けてコマンドが送信された場合には、コマンド送信部11から送信されたコマンドと同一のコマンドを収集する(ステップST35)。また、近隣地上局2から衛星3に向けてコマンドが送信されていれば、そのコマンドと同一のコマンドを収集する。なお、近隣地上局2において、コマンドのハッシュ値が計算されている場合には、近隣地上局2からハッシュ値を収集してもよい。
【0033】
地上局装置4の照合部32は、コマンド収集部13がコマンドを収集すると、そのコマンドのハッシュ値を計算し(ステップST36)、そのハッシュ値とハッシュ値受信部31により受信されたハッシュ値を照合する(ステップST37)。
地上局装置4の実行制御部15は、照合部32の照合結果がハッシュ値の一致を示す場合、ハッシュ値受信部31により受信されたハッシュ値は衛星制御装置5により正当に受領されて返送されたコマンドのハッシュ値であると認識し、そのコマンドの実行指令を衛星3に送信する(ステップST38)。
【0034】
しかし、照合部32の照合結果がハッシュ値の不一致を示す場合、ハッシュ値受信部31により受信されたコマンドのハッシュ値は、悪意の第三者から不正に送信されたハッシュ値であると認識し、そのコマンドの廃棄指令を衛星3に送信する(ステップST39)。なお、地上局装置4から衛星3に向けて正当に送信されたコマンドであっても、何らかの理由によりコマンドが正常に送信されず、衛星3がコマンドの制御内容を誤認識する場合があるが、この場合も照合部14の照合結果がハッシュ値の不一致を示し、そのコマンドの廃棄指令を衛星3に送信する。
また、コマンド送信部11及び近隣地上局2の何れにおいても、コマンドの送信形跡がなく、コマンド収集部13がコマンド送信部11及び近隣地上局2の何れからもコマンドを収集することができない場合も、ハッシュ値受信部31により受信されたコマンドのハッシュ値は、悪意の第三者から不正に送信されたハッシュ値であると認識し、そのコマンドの廃棄指令を衛星3に送信する(ステップST39)。
【0035】
ここで、実行制御部15が送信する実行指令又は廃棄指令には、コマンドを特定する整理番号が付加されているものとする。
なお、近隣地上局2から収集するコマンドは、地上回線を利用して収集するので、悪意の第三者のコマンドが混入することはないと考えられる。
【0036】
衛星制御装置5のコマンド管理部24は、指令受信部23が地上局1から実行待ちキュー22に格納されているコマンドの実行指令を受信すると、そのコマンドの実行を許可するために、そのコマンドのフラグをOFFからONに変更する(ステップST40,ST41)。
これにより、そのコマンドの実行の順番が巡ってくると、そのコマンドが実行され、衛星3の姿勢等が制御される。
ただし、指令受信部23がコマンドの実行指令を受信する前に、実行待ちキュー22が満杯になり、そのコマンドが実行待ちキュー22に格納されているコマンドの中で最も古いコマンドであれば、そのコマンドは不正なコマンドであるか否かに拘わらず、実行待ちキュー22から削除される。
【0037】
衛星制御装置5のコマンド管理部24は、地上局装置4の実行制御部15により不正コマンドの送信が認識されることにより、指令受信部23が実行待ちキュー22に格納されている不正コマンドの廃棄指令を受信すると、実行待ちキュー22から不正コマンドを削除する(ステップST42)。
これにより、悪意の第三者が不正コマンドを衛星3に向けて送信したのち、悪意の第三者が不正コマンドの実行指令を衛星3に送信したとしても、未だ不正コマンドが実行されていなければ、その不正コマンドの実行を阻止することができる。
【0038】
また、衛星制御装置5のコマンド管理部24は、指令受信部23がコマンドの廃棄指令を受信すると、コマンド削除の実行結果を地上局1に通知する(ステップST43)。
地上局装置4の実行制御部15は、衛星3からコマンド削除の実行結果の通知を受信すると(ステップST44)、その実行結果を例えば表示するなどにより、地上局1の操作員にその事実を知らせる。
【0039】
以上で明らかなように、この実施の形態3によれば、衛星3に向けて送信したコマンドのハッシュ値と、衛星3から返送されたコマンドのハッシュ値を照合し、双方のハッシュ値が一致しない場合には不正なコマンドの廃棄指令を衛星3に送信する地上局装置4と、地上局1から不正コマンドの廃棄指令を受信すると、実行待ちキュー22から不正コマンドを削除する衛星制御装置5とを設けるように構成したので、衛星3側で暗号化されているコマンドを復号化するような複雑な処理を実施することなく、悪意の第三者による衛星3の乗っ取りや、衛星3の損傷等の可能性を排除することができる効果を奏する。
また、衛星制御装置5がコマンドの代わりにハッシュ値を返送するので、悪意の第三者がハッシュ値の傍受に成功しても、コマンドの制御内容を容易に把握することができない効果を奏する。
【0040】
実施の形態4.
図10はこの発明の実施の形態4による衛星制御システムを示す構成図であり、図11はこの発明の実施の形態4による衛星制御システムの処理内容を示すフローチャートである。
上記実施の形態3では、地上局装置4の実行制御部15がコマンドの廃棄指令を衛星に送信しても、そのコマンドが実行中である場合や、既に、そのコマンドの実行が完了している場合には、悪意の第三者による衛星3の制御を阻止することができない。
そこで、この実施の形態4では、次のような処理を追加する。
【0041】
地上局装置4の実行制御部15は、上記実施の形態3と同様にコマンドの廃棄指令を衛星に送信したのち、衛星3から“削除失敗”を示す実行結果、または、“該当無し”を示す実行結果を受けると(図12を参照)、そのコマンドと逆の制御内容が記述されている逆コマンドを生成し、その逆コマンドをコマンド送信部11から衛星3に向けて送信させる(ステップST45)。
例えば、逆コマンドには、悪意の第三者による不正なコマンドの制御内容が衛星3を右に10度傾けるという内容であれば、不正なコマンドの実行内容を実質的にキャンセルするため、逆に衛星3を左に10度傾けるという制御内容を記述する。
【0042】
なお、衛星制御装置5のコマンド管理部24が削除失敗の実行結果を地上局1に送信する際、削除対象のコマンドも付属して送信する(ステップST44)。削除対象のコマンドは、実行完了前であれば実行待ちキュー22から整理番号をキーにして検索し、実行完了後であれば実行済コマンドリングバッファ(図10を参照)から整理番号をキーにして検索する。また、実行完了後であれば、実行時刻も併せて地上局1に送信する。削除対象のコマンドが、正に実行中であった場合は、実行完了まで待った後、実行済みの場合と同じ処理を行う。
ただし、削除対象のコマンドが実行済コマンドリングバッファからも掃出されてしまう位古い場合は、削除結果通知に削除対象のコマンドを付属させることができず、削除結果通知は“該当無し”になる。
【0043】
衛星制御装置5のコマンド受付部41は、地上局1から逆コマンドが送信されると、その逆コマンドを受信し(ステップST46)、その逆コマンドを実行待ちキュー22に格納する(ステップST47)。また、その逆コマンドのハッシュ値を計算し、そのハッシュ値と逆コマンドの整理番号を地上局1に返送する(ステップST48,ST49)。
なお、コマンド受付部41は、逆コマンドを実行待ちキュー22に格納する際、まだ実行が許可されていない旨を示すOFFのフラグと対にして逆コマンドを格納する。
【0044】
地上局装置4のハッシュ値受信部31は、衛星3から逆コマンドのハッシュ値と整理番号が返送されると、そのハッシュ値と整理番号を受信する。
地上局装置4のコマンド収集部13は、ハッシュ値受信部31がハッシュ値を受信すると、上述したように、コマンド送信部11から衛星3に向けて逆コマンドが送信された場合には、コマンド送信部11から送信された逆コマンドと同一の逆コマンドを収集する(ステップST50)。また、近隣地上局2から衛星3に向けて逆コマンドが送信されていれば、その逆コマンドと同一の逆コマンドを収集する。
【0045】
地上局装置4の照合部32は、コマンド収集部13が逆コマンドを収集すると、その逆コマンドのハッシュ値を計算し(ステップST51)、そのハッシュ値とハッシュ値受信部31により受信されたハッシュ値を照合する(ステップST52)。
地上局装置4の実行制御部15は、照合部32の照合結果がハッシュ値の一致を示す場合、ハッシュ値受信部31により受信されたハッシュ値は衛星制御装置5により正当に受領されて返送された逆コマンドのハッシュ値であると認識し、その逆コマンドの実行指令を衛星3に送信する(ステップST53)。
【0046】
しかし、照合部32の照合結果がハッシュ値の不一致を示す場合、ハッシュ値受信部31により受信されたコマンドのハッシュ値は、悪意の第三者から不正に送信されたハッシュ値であると認識し、そのコマンドの廃棄指令を衛星3に送信する(ステップST39)。なお、地上局装置4から衛星3に向けて正当に送信された逆コマンドであっても、何らかの理由により逆コマンドが正常に送信されず、衛星3が逆コマンドの制御内容を誤認識する場合があるが、この場合も照合部14の照合結果がハッシュ値の不一致を示し、そのコマンドの廃棄指令を衛星3に送信する。
また、コマンド送信部11及び近隣地上局2の何れにおいても、逆コマンドの送信形跡がなく、コマンド収集部13がコマンド送信部11及び近隣地上局2の何れからも逆コマンドを収集することができない場合も、ハッシュ値受信部31により受信されたコマンドのハッシュ値は、悪意の第三者から不正に送信されたハッシュ値であると認識し、そのコマンドの廃棄指令を衛星3に送信する(ステップST39)。
【0047】
衛星制御装置5のコマンド管理部24は、指令受信部23が地上局1から実行待ちキュー22に格納されている逆コマンドの実行指令を受信すると、その逆コマンドの実行を許可するために、その逆コマンドのフラグをOFFからONに変更する(ステップST54,ST55)。
これにより、その逆コマンドの実行の順番が巡ってくると、その逆コマンドが実行され、不正なコマンドの実行内容を実質的にキャンセルすることができる。
ただし、指令受信部23が逆コマンドの実行指令を受信する前に、実行待ちキュー22が満杯になり、その逆コマンドが実行待ちキュー22に格納されているコマンドの中で最も古いコマンドであれば、その逆コマンドは不正なコマンドであるか否かに拘わらず、実行待ちキュー22から削除される。
【0048】
衛星制御装置5のコマンド管理部24は、地上局装置4の実行制御部15により不正コマンドの送信が認識されることにより、指令受信部23が実行待ちキュー22に格納されている不正コマンドの廃棄指令を受信すると、実行待ちキュー22から不正コマンドを削除する(ステップST42)。
【0049】
以上で明らかなように、この実施の形態4によれば、実行制御部15がコマンドの廃棄指令を衛星3に送信しても、そのコマンドが実行された場合、衛星3から当該コマンドを収集して、そのコマンドと逆の制御内容が記述されているコマンドをコマンド送信部11から衛星3に向けて送信させるように構成したので、悪意の第三者による不正コマンドが実行されてしまっても、不正コマンドの実行内容を実質的にキャンセルすることができる効果を奏する。
【0050】
【発明の効果】
以上のように、この発明によれば、衛星に向けて送信したコマンドと衛星から返送されたコマンドを照合し、双方のコマンドが一致しない場合にはコマンドの廃棄指令を衛星に送信する地上局装置と、地上局からコマンドの廃棄指令を受信すると、その実行待ちキューからコマンドを削除する衛星制御装置とを設けるように構成したので、衛星側に暗号化されているコマンドを復号化するような複雑な処理を実装することなく、悪意の第三者による衛星の乗っ取りや、衛星の損傷等の可能性を排除することができる効果がある。
【図面の簡単な説明】
【図1】この発明の実施の形態1による衛星制御システムを示す構成図である。
【図2】地上局装置及び衛星制御装置の内部構成を示す構成図である。
【図3】この発明の実施の形態1による衛星制御システムの処理内容を示すフローチャートである。
【図4】削除実行結果を示す説明図である。
【図5】この発明の実施の形態2による衛星制御システムを示す構成図である。
【図6】この発明の実施の形態2による衛星制御システムの処理内容を示すフローチャートである。
【図7】この発明の実施の形態3による衛星制御システムを示す構成図である。
【図8】地上局装置及び衛星制御装置の内部構成を示す構成図である。
【図9】この発明の実施の形態3による衛星制御システムの処理内容を示すフローチャートである。
【図10】この発明の実施の形態4による衛星制御システムを示す構成図である。
【図11】この発明の実施の形態4による衛星制御システムの処理内容を示すフローチャートである。
【図12】削除実行結果を示す説明図である。
【符号の説明】
1 地上局、2 近隣地上局、3 衛星、4 地上局装置、5 衛星制御装置、11 コマンド送信部(送受信手段)、12 コマンド受信部(送受信手段)、13 コマンド収集部(照合手段)、14 照合部(照合手段)、15 実行制御部(実行制御手段)、21 コマンド受付部(コマンド受付手段)、22 実行待ちキュー、23 指令受信部(指令受信手段)、24 コマンド管理部(コマンド管理手段)、31 ハッシュ値受信部(送受信手段)、32 照合部(照合手段)、41 コマンド受付部(コマンド受付手段)。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a satellite control system that controls a satellite according to an instruction from a ground station, and a ground station device and a satellite control device that constitute the satellite control system.
[0002]
[Prior art]
When a satellite receives a control command from a ground station, the conventional satellite control system returns the command to the ground station, stores the command in an execution queue, and then receives an execute signal from the ground station. Then, the command is executed (see Non-Patent Document 1 below).
Therefore, even if a command and execute signal are transmitted from a malicious third party, the satellite is controlled, eliminating the possibility of a malicious third party taking over the satellite or damaging the satellite. Can not do it.
[0003]
Therefore, from the viewpoint of enhancing the security for the satellite, when the ground station transmits a control command to the satellite, the command is encrypted and transmitted, and the satellite transmits the encrypted command. A satellite control system that decodes and stores it in a queue is disclosed.
[0004]
[Non-patent document 1]
"Satellite Communication System Engineering" published by Keigaku Shuppan (pages 130 to 131)
[Patent Document 1]
JP-A-5-244152 (
[0005]
[Problems to be solved by the invention]
Since the conventional satellite control system is configured as described above, when a ground station transmits a control command to the satellite, if the command is encrypted and transmitted, malicious third parties can take over the satellite and Although it is possible to eliminate the possibility of damage to the satellite, it is necessary to mount a decryption function to decrypt the encrypted command on the satellite side, which leads to an increase in satellite cost and weight. There were challenges.
[0006]
SUMMARY OF THE INVENTION The present invention has been made to solve the above-described problem, and a malicious third party cannot use a satellite to implement complicated processing such as decrypting an encrypted command on the satellite side. An object of the present invention is to provide a ground station device, a satellite control device, and a satellite control system that can eliminate the possibility of takeover, damage to a satellite, and the like.
[0007]
[Means for Solving the Problems]
A satellite control system according to the present invention checks a command transmitted to a satellite and a command returned from the satellite, and when both commands do not match, a ground station apparatus transmitting a command discard command to the satellite, When a command discard command is received from the ground station, a satellite control device for deleting the command from the execution waiting queue is provided.
[0008]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, an embodiment of the present invention will be described.
Embodiment 1 FIG.
FIG. 1 is a configuration diagram showing a satellite control system according to Embodiment 1 of the present invention. In the figure, a ground station 1 has a
FIG. 2 is a configuration diagram showing the internal configuration of the
[0009]
The
The collating
The
[0010]
When the
The
When the
FIG. 3 is a flowchart showing the processing content of the satellite control system according to the first embodiment of the present invention.
[0011]
Next, the operation will be described.
For example, when it is necessary to change the attitude of the
When a command is transmitted from the ground station 1, the
[0012]
When the command is returned from the
When the
Here, the reason for collecting commands from the neighboring
[0013]
The matching
When the collation result of the
[0014]
However, if the collation result of the
Further, there is also a case where neither the
[0015]
Here, it is assumed that the execution command or the discard command transmitted by the
Since the command collected from the neighboring
[0016]
When the
Thus, when the order of execution of the command comes, the command is executed and the attitude of the
However, before the
[0017]
When the
Thus, even if the malicious third party sends an illegal command to the
[0018]
When the
As an execution result of the command deletion, as shown in FIG. 4, when an illegal command can be normally deleted, an execution result indicating "success" is notified.
In addition, when an unauthorized command is present in the
In addition, when the execution of the unauthorized command is completed, such as when the execution of the unauthorized command is completed, the execution result indicating “not applicable” is notified.
Upon receiving the command deletion execution result notification from the satellite 3 (step ST13), the
[0019]
As is clear from the above, according to the first embodiment, the command transmitted to the
[0020]
FIG. 5 is a configuration diagram showing a satellite control system according to
In the first embodiment, even if the
Therefore, in the second embodiment, the following processing is added.
[0021]
After transmitting a command discarding command to the satellite in the same manner as in the first embodiment, the
For example, if the content of the control of the unauthorized command by the malicious third party is to tilt the
[0022]
When the reverse command is transmitted from the ground station 1, the
[0023]
When the reverse command is returned from the
When the
[0024]
The collating
When the collation result of the
[0025]
However, if the collation result of the
Also, in the case where neither the
[0026]
When the
Thus, when the order of execution of the reverse command comes, the reverse command is executed, and the execution contents of the illegal command can be substantially canceled.
However, before the
[0027]
When the
[0028]
As is clear from the above, according to the second embodiment, even if the
[0029]
FIG. 7 is a configuration diagram showing a satellite control system according to
In the figure, the same reference numerals as those in FIGS. The hash
The matching
When receiving the command describing the control content of the
FIG. 9 is a flowchart showing processing contents of the satellite control system according to the third embodiment of the present invention.
[0030]
Next, the operation will be described.
For example, when the attitude of the
When a command is transmitted from the ground station 1, the
[0031]
In the third embodiment, a hash value of the command is returned instead of returning the command as in the first embodiment. However, if the hash value of the command is used, a malicious third party can successfully intercept the command. Even so, it is extremely difficult to grasp the control contents of the command.
When storing the command in the
[0032]
When the hash value and the serial number are returned from the
When the hash
[0033]
When the
When the matching result of the
[0034]
However, when the collation result of the
Further, there is also a case where neither the
[0035]
Here, it is assumed that the execution command or the discard command transmitted by the
Since the command collected from the neighboring
[0036]
When the
Thus, when the order of execution of the command comes, the command is executed and the attitude of the
However, before the
[0037]
When the
Thus, even if the malicious third party sends an illegal command to the
[0038]
When the
Upon receiving the command deletion execution result notification from the satellite 3 (step ST44), the
[0039]
As is clear from the above, according to the third embodiment, the hash value of the command transmitted to the
Further, since the
[0040]
FIG. 10 is a block diagram showing a satellite control system according to the fourth embodiment of the present invention, and FIG. 11 is a flowchart showing processing contents of the satellite control system according to the fourth embodiment of the present invention.
In the third embodiment, even if the
Therefore, in the fourth embodiment, the following processing is added.
[0041]
After transmitting a command discard command to the satellite in the same manner as in the third embodiment, the
For example, if the content of the control of the unauthorized command by the malicious third party is to tilt the
[0042]
When the
However, if the command to be deleted is too old to be flushed from the executed command ring buffer, the command to be deleted cannot be attached to the deletion result notification, and the deletion result notification becomes “not applicable”. .
[0043]
When the reverse command is transmitted from the ground station 1, the
When storing the reverse command in the
[0044]
When the hash value of the reverse command and the serial number are returned from the
When the hash
[0045]
When the
When the matching result of the
[0046]
However, when the collation result of the
In addition, neither the
[0047]
When the
Thus, when the order of execution of the reverse command comes, the reverse command is executed, and the execution contents of the illegal command can be substantially canceled.
However, before the
[0048]
When the
[0049]
As is clear from the above, according to the fourth embodiment, even if the
[0050]
【The invention's effect】
As described above, according to the present invention, a ground station apparatus that compares a command transmitted to a satellite with a command returned from the satellite, and transmits a command discard command to the satellite when both commands do not match. And a satellite controller that deletes the command from the execution waiting queue when a command discard command is received from the ground station, so that a complicated command such as decoding the command encrypted on the satellite side is provided. This eliminates the possibility of taking over the satellite by a malicious third party or damaging the satellite without implementing a complicated process.
[Brief description of the drawings]
FIG. 1 is a configuration diagram showing a satellite control system according to a first embodiment of the present invention.
FIG. 2 is a configuration diagram showing an internal configuration of a ground station device and a satellite control device.
FIG. 3 is a flowchart showing processing contents of the satellite control system according to the first embodiment of the present invention.
FIG. 4 is an explanatory diagram showing a deletion execution result.
FIG. 5 is a configuration diagram showing a satellite control system according to a second embodiment of the present invention.
FIG. 6 is a flowchart showing processing contents of the satellite control system according to the second embodiment of the present invention.
FIG. 7 is a configuration diagram showing a satellite control system according to
FIG. 8 is a configuration diagram showing an internal configuration of a ground station device and a satellite control device.
FIG. 9 is a flowchart showing processing contents of the satellite control system according to the third embodiment of the present invention.
FIG. 10 is a configuration diagram showing a satellite control system according to
FIG. 11 is a flowchart showing processing contents of a satellite control system according to
FIG. 12 is an explanatory diagram showing a deletion execution result.
[Explanation of symbols]
Reference Signs List 1 ground station, 2 nearby ground stations, 3 satellites, 4 ground station equipment, 5 satellite control device, 11 command transmission unit (transmission / reception means), 12 command reception unit (transmission / reception means), 13 command collection unit (collation means), 14 Collation unit (collation unit), 15 execution control unit (execution control unit), 21 command reception unit (command reception unit), 22 execution queue, 23 command reception unit (command reception unit), 24 command management unit (command management unit) ), 31 hash value receiving unit (transmitting / receiving unit), 32 checking unit (checking unit), 41 command receiving unit (command receiving unit).
Claims (8)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003098179A JP2004304723A (en) | 2003-04-01 | 2003-04-01 | Earth station, satellite control apparatus and its system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003098179A JP2004304723A (en) | 2003-04-01 | 2003-04-01 | Earth station, satellite control apparatus and its system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004304723A true JP2004304723A (en) | 2004-10-28 |
Family
ID=33409772
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003098179A Pending JP2004304723A (en) | 2003-04-01 | 2003-04-01 | Earth station, satellite control apparatus and its system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004304723A (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009130746A (en) * | 2007-11-27 | 2009-06-11 | Mitsubishi Electric Corp | Security support device |
CN102354123A (en) * | 2011-07-18 | 2012-02-15 | 北京航空航天大学 | Cross-platform extendible satellite dynamic simulation test system |
CN104052538A (en) * | 2013-03-12 | 2014-09-17 | 南京理工大学常熟研究院有限公司 | Multi-network integration node safety access middleware |
JP2016016804A (en) * | 2014-07-10 | 2016-02-01 | 公益財団法人鉄道総合技術研究所 | Onboard database update system and onboard database update method |
CN107490800A (en) * | 2017-08-07 | 2017-12-19 | 桂林电子科技大学 | A kind of satellite navigation method for rapidly positioning, device and satellite navigation receiver |
WO2023190804A1 (en) * | 2022-03-30 | 2023-10-05 | 株式会社アクセルスペース | Information processing method, information processing device, and program |
-
2003
- 2003-04-01 JP JP2003098179A patent/JP2004304723A/en active Pending
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009130746A (en) * | 2007-11-27 | 2009-06-11 | Mitsubishi Electric Corp | Security support device |
CN102354123A (en) * | 2011-07-18 | 2012-02-15 | 北京航空航天大学 | Cross-platform extendible satellite dynamic simulation test system |
CN104052538A (en) * | 2013-03-12 | 2014-09-17 | 南京理工大学常熟研究院有限公司 | Multi-network integration node safety access middleware |
JP2016016804A (en) * | 2014-07-10 | 2016-02-01 | 公益財団法人鉄道総合技術研究所 | Onboard database update system and onboard database update method |
CN107490800A (en) * | 2017-08-07 | 2017-12-19 | 桂林电子科技大学 | A kind of satellite navigation method for rapidly positioning, device and satellite navigation receiver |
CN107490800B (en) * | 2017-08-07 | 2019-09-03 | 桂林电子科技大学 | A kind of satellite navigation method for rapidly positioning, device and satellite navigation receiver |
WO2023190804A1 (en) * | 2022-03-30 | 2023-10-05 | 株式会社アクセルスペース | Information processing method, information processing device, and program |
JP2023148960A (en) * | 2022-03-30 | 2023-10-13 | 株式会社アクセルスペース | Information processing method, information processing apparatus, and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9560474B2 (en) | Device for transfering data between an unconscious capture device and another device | |
US8370643B2 (en) | Cryptographic module selecting device and program | |
EP1866766B1 (en) | Automatic reconnect and reacquisition in a computer investigation system | |
JP4993733B2 (en) | Cryptographic client device, cryptographic package distribution system, cryptographic container distribution system, and cryptographic management server device | |
JP4089742B2 (en) | Document management system and document disposal apparatus | |
WO1999029066A1 (en) | Method and apparatus for isolating an encrypted computer system upon detection of viruses and similar data | |
EP2960808A1 (en) | Server device, private search program, recording medium, and private search system | |
US8599404B2 (en) | Network image processing system, network image processing apparatus, and network image processing method | |
CN1470112A (en) | Cryptographic data security system and method | |
US20060005259A1 (en) | Information-processing device, information-processing method, and information-processing program product | |
JP5239123B2 (en) | Wireless LAN system | |
JP4405309B2 (en) | Access point, wireless LAN connection method, medium recording wireless LAN connection program, and wireless LAN system | |
JP2007060466A (en) | Certificate management apparatus, program, and method | |
JP2004304723A (en) | Earth station, satellite control apparatus and its system | |
CN110213232B (en) | fingerprint feature and key double verification method and device | |
US20070169119A1 (en) | Information processing apparatus and method of installing application program | |
US20240163267A1 (en) | Data transmission method, internet of things system, electronic device, and storage medium | |
JP2004118709A (en) | Printing method by print system, print system, server computer, authenticating method with print system, computer program, and storage medium readable with computer | |
CN113452724A (en) | Separated storage electronic signature encryption protection system and method based on Internet | |
JPWO2020138505A1 (en) | File transmission system | |
WO2006080098A1 (en) | Content protection system | |
JP4780077B2 (en) | Document management system | |
JP2000236305A (en) | System and method for collecting viewing history | |
KR100951378B1 (en) | Detecting system for hidden file and method thereof | |
JP2021064411A (en) | Information processing device and program thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050111 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070219 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070306 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070411 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070807 |