RU2554090C1 - Method of protection of spacecraft command-and-measurement system - Google Patents

Abstract

FIELD: aircraft engineering.

SUBSTANCE: coordinates of a signal source are assessed and compared with the ground control complex coordinates stored in onboard memory. In case of good coincidence of coordinates the decision on legitimacy of a signal source is made. And in case of deviation of coordinates the commends received from an illegitimate signal source are blocked. therefore, the problem of protection of the command line of the spacecraft and, in particular, an exception of unauthorised access of illegitimate users to command-and-measurement system of the spacecraft is solved.

EFFECT: possibility of blocking of commands received from a illegitimate user including the protection against unauthorised intervention in operation of command-and-measurement system of a spacecraft.

1 dwg

Description

Предлагаемое техническое решение относится к области автоматизированных систем управления подвижными объектами, в частности космическими аппаратами (КА) и, более конкретно, к способам защиты командно-измерительной системы космического аппарата от несанкционированного вмешательства, возможного со стороны нелегитимных пользователей - злоумышленников.The proposed technical solution relates to the field of automated control systems for moving objects, in particular spacecraft (SC) and, more specifically, to methods for protecting the command and measurement system of a spacecraft from unauthorized interference, possible from illegitimate users - attackers.

Командно-измерительная система космического аппарата (КИС КА) обеспечивает прием от наземного комплекса управления (НКУ) командной информации, передачу на НКУ телеметрической информации относительно параметров КА и поддерживает траекторные измерения. Составной частью КИС КА является двунаправленная радиолиния связи «Земля - космический аппарат», зона покрытия которой может занимать весьма значительную площадь. Наземная станция, с помощью которой нелегитимные пользователи имеют принципиальную возможность вмешательства, может быть расположена в любой точке этой площади, в т.ч. вне пределов границ государственной территории. Поэтому защита КИС КА преследует цель снижение риска несанкционированного вмешательства, которое может быть осуществлено радиотехническими средствами злоумышленника и потенциально может привести к тяжелым последствиям, вплоть до утраты космического аппарата.The command and measurement system of the spacecraft (KIS KA) provides reception of command information from the ground control complex (GCC), transmission of telemetry information to the GSC regarding spacecraft parameters and supports trajectory measurements. An integral part of the KIS spacecraft is a bi-directional radio link "Earth - spacecraft", the coverage area of which can occupy a very significant area. A ground station, through which illegitimate users have the fundamental possibility of intervention, can be located anywhere in this area, including outside the borders of the state territory. Therefore, the KIS spacecraft defense aims to reduce the risk of unauthorized interference, which can be carried out by radio means of the attacker and could potentially lead to serious consequences, up to the loss of the spacecraft.

Один из наиболее распространенных способов защиты от несанкционированного вмешательства состоит в передаче пользователем уникальных пароля и логина, сопоставлении принятых пароля и логина с хранимыми в бортовой аппаратуре КИС КА и принятии решения на основании этого сопоставления о разрешении доступа пользователя к информационным ресурсам бортовой аппаратуры КИС КА. Эта процедура широко распространена и называется процедурой аутентификации. (The Consultative Committee for Space Data System. Draft Recommendation for Space Data System Standards. SPACE DATA LINK SECURITY PROTOCOL. DRAFT RECOMMENDED STANDARD CCSDS 355.0-R-2. Красная книга, февраль 2012). Но недостаток этой процедуры состоит в том, что невозможно гарантированное исключение несанкционированного вмешательства в канал передачи команд управления КА.One of the most common ways to protect against unauthorized interference is to transmit a unique password and login by the user, matching the received password and login with those stored in the KIS KA onboard equipment and making a decision based on this comparison on allowing user access to the information resources of the KIS KA onboard equipment. This procedure is widespread and is called an authentication procedure. (The Consultative Committee for Space Data System. Draft Recommendation for Space Data System Standards. SPACE DATA LINK SECURITY PROTOCOL. DRAFT RECOMMENDED STANDARD CCSDS 355.0-R-2. Red Book, February 2012). But the disadvantage of this procedure is that it is impossible to guarantee the exclusion of unauthorized interference in the transmission channel of the spacecraft control commands.

Известен также способ передачи информации с криптозащитой по линии связи, заключающийся в использовании синхропоследовательности с большим периодом повторения (год и более), шифрования синхропоследовательности с использованием заранее установленного ключа и перемножения по модулю 2 зашифрованной синхропоследовательности и исходного сообщения. Способ детально описан в: (http://library.tuit.uz/skanir_knigi/book/telekommunikacionnie_sistemi/glava_2.htm).There is also a known method of transmitting information with crypto protection over a communication line, which consists in using a synchronization sequence with a large repetition period (year or more), encrypting a synchronization sequence using a pre-set key, and modulo 2 multiplying an encrypted synchronization sequence and the original message. The method is described in detail in: (http://library.tuit.uz/skanir_knigi/book/telekommunikacionnie_sistemi/glava_2.htm).

Недостаток известного способа состоит в принципиальной возможности вскрытия процедуры шифрования и нанесения вреда работе КА путем искажения командной информации. Кроме того, возможна постановка помех нелегитимным пользователем, в результате действия которых возможно оказание деструктивных действий на работу КА на фоне невозможности оперативного обнаружения факта постановки помех и определения координат постановщика помех.The disadvantage of this method lies in the fundamental possibility of opening the encryption procedure and harming the operation of the spacecraft by distorting the command information. In addition, jamming by an illegitimate user is possible, as a result of which destructive actions on the spacecraft’s operation are possible due to the inability to quickly detect the fact of jamming and determining the coordinates of the jammer.

Наиболее близким к заявляемому является способ, реализованный в спутниковой системе, включающей в себя систему связи с использованием КА, в которой коммуникационная система (далее командно-измерительная система) настроена для получения первой информации (далее командная информация) от удаленной платформы (далее наземный комплекс управления) и передачи второй информации (далее телеметрическая информация) от КА к наземному комплексу управления, и некоторое количество компьютеров, связанных с космическим аппаратом. В спутниковой системе компьютеры настроены для определения блока информации и для шифрования инструкции в командной информации, генерирования ключа для части блока информации на основе инструкций, выполнения операции, исключающей ИЛИ, на блоке информации с помощью ключа, чтобы сформировать блок зашифрованных данных, и передавать блок зашифрованных данных. (US 20130077788. Blanchard; D.L.; et al. March 28, 2013. «Selective Downlink Data Encryption System for Satellites»). В прототипе использованы понятия:Closest to the claimed one is a method implemented in a satellite system including a communication system using a spacecraft in which a communication system (hereinafter command-measuring system) is configured to receive first information (hereinafter command information) from a remote platform (hereinafter terrestrial control complex ) and the transmission of second information (hereinafter telemetric information) from the spacecraft to the ground-based control complex, and a number of computers connected to the spacecraft. In the satellite system, computers are configured to determine the information block and to encrypt instructions in the command information, generate a key for a part of the information block based on the instructions, perform an exclusive OR operation on the information block with the key to form the block of encrypted data, and transmit the block of encrypted data. (US 20130077788. Blanchard; D.L .; et al. March 28, 2013. “Selective Downlink Data Encryption System for Satellites”). In the prototype, the concepts are used:

- трансивер (transceiver). В тексте патента нет конкретного описания этих узлов. Из фиг.12 описания патента следует, что под блоком 1212 понимается приемное устройство с приемной антенной. Блок 1210 также носит наименование трансивера, но ясно, что это передающее устройство с передающей антенной.- transceiver (transceiver). In the text of the patent there is no specific description of these nodes. From the patent description, it follows that block 1212 is understood to be a receiving device with a receiving antenna. Block 1210 is also called a transceiver, but it is clear that this is a transmitting device with a transmitting antenna.

Как следует из описания, в известном способе используется кодирование (засекречивание) передаваемой информации с целью обеспечения скрытности содержательной ее части. Но вскрытие кодированной (засекреченной) информации зачастую является принципиально возможным, что следует отметить в качестве недостатка этого технического решения.As follows from the description, the known method uses encoding (secrecy) of the transmitted information in order to ensure the secrecy of its content. But the opening of coded (classified) information is often fundamentally possible, which should be noted as a drawback of this technical solution.

В основу изобретения положена задача защиты командной линии управления КА, в том числе и от несанкционированного вмешательства в работу командно-измерительной системы КА. Технический результат заключается в возможности блокирования команд, полученных от нелегитимного пользователя.The basis of the invention is the task of protecting the spacecraft command line control, including from unauthorized interference in the operation of the spacecraft command-measuring system. The technical result consists in the possibility of blocking commands received from an illegitimate user.

Поставленная задача решается тем, что в способе защиты командно-измерительной системы космического аппарата от несанкционированного вмешательства, включающем передачу с наземного комплекса управления по линии связи «Земля - космический аппарат» сигналов, содержащих команды управления космическим аппаратом, прием этих сигналов бортовой аппаратурой командно-измерительной системы космического аппарата, выделение из принятых сигналов команд управления космическим аппаратом, согласно изобретению на борту космического аппарата дополнительно производят запись выделенных команд управления космическим аппаратом в промежуточную бортовую память, измеряют координаты источника сигналов, принимаемых по линии связи «Земля - Космический аппарат», измеренные координаты источника принимаемых сигналов сопоставляют с координатами наземного комплекса управления, введенными в процессе предстартовой подготовки в бортовую память космического аппарата, и при совпадении координат источника принимаемых сигналов и наземного комплекса управления принимают решение о разрешении переноса выделенных команд управления космическим аппаратом в рабочую область бортовой памяти космического аппарата, при несовпадении координат источника принимаемых сигналов и наземного комплекса управления принимают решение об информационной атаке на командно-измерительную систему космического аппарата, а выделенные команды управления космическим аппаратом блокируют и в наземный комплекс управления отправляют сообщение «информационная атака» с координатами нелегитимного пользователя.The problem is solved in that in the method of protecting the command and measuring system of the spacecraft from unauthorized interference, including transmitting from the ground-based control complex via the Earth-to-spacecraft communication line signals containing control commands for the spacecraft, receiving these signals by the onboard command-measuring equipment spacecraft systems, separation from received signals of spacecraft control commands according to the invention on board the spacecraft the recorded spacecraft control commands are recorded in intermediate onboard memory, the coordinates of the source of signals received via the Earth – Spacecraft communication line are measured, the measured coordinates of the source of received signals are compared with the coordinates of the ground control complex, which were entered into the onboard memory of the spacecraft during prelaunch apparatus, and when the coordinates of the source of the received signals and the ground control complex coincide, they decide on the resolution of transferring the allocated spacecraft control commands to the working area of the spacecraft's onboard memory, if the coordinates of the received signal source and the ground control complex do not match, they decide on an information attack on the spacecraft command and measurement system, and the dedicated spacecraft control commands are blocked and sent to the ground control complex message "information attack" with the coordinates of an illegitimate user.

На фиг.1 приведен один из вариантов структурной схемы устройства для реализации предлагаемого способа защиты КИС КА.Figure 1 shows one of the variants of the structural diagram of the device for implementing the proposed method of protecting CIS KA.

Устройство, реализующее способ защиты командно-измерительной системы, космического аппарата содержит две приемные антенны 1, два приемника 2, декодер командно-программной информации 3, промежуточную бортовую память 4, измеритель координат 5, устройство сравнения 6, рабочую область бортовой памяти 7, передатчик 8, передающую антенну 9.A device that implements a method for protecting a command-measuring system and a spacecraft contains two receiving antennas 1, two receivers 2, a command-program information decoder 3, an intermediate on-board memory 4, a coordinate meter 5, a comparison device 6, a working area on-board memory 7, a transmitter 8 transmitting antenna 9.

Способ осуществляется следующим образом. Сигнал легитимного (нелегитимного) пользователя принимается двумя приемными антеннами 1₁ и 1₂ и соответствующими приемниками 2. Сигналы с соответствующих выходов приемников 2 поступают на блок измерения координат 5 и на декодер 3 командно-программной информации. На основе разности фаз между принимаемыми сигналами в блоке измерения координат 5 определяются координаты источника сигналов. Фронт волны, поступающий на приемные антенны 1₁ и 1₂, несет информацию о координатах источника сигнала. В первом приближении для двух приемных антенн 1₁ и 1₂ линией положения на поверхности Земли явится кривая, образованная сечением поверхности Земли вертикальной плоскостью, делящей пополам базовое расстояние между приемными антеннами 1₁ и 1₂, и к которой принадлежит радиус-вектор КА, направленный в центр Земли. Поэтому для передающего средства (источника сигнала) злоумышленника, расположенного в любой точке этой кривой на поверхности Земли, разность фаз между принятыми антеннами 1₁ и 1₂ сигналами будет близка к нулю. Для всех других расположений источника сигналов нелегитимного пользователя разность фаз между принимаемыми антеннами 1₁ и 1₂ сигналами будет отличной от нуля. Поэтому координаты нелегитимного пользователя будут существенно отличаться от координат наземного комплекса управления, хранимых в рабочей области бортовой памяти 7. Измеренные координаты источника сигнала определяются сдвигом фаз между сигналами, принятыми антеннами 1₁ и 1₂. Далее измеренные координаты поступают на первый вход устройства сравнения 6, а на второй его вход поступают координаты наземного комплекса управления из рабочей области бортовой памяти 7. В это же время выделенные команды с выхода декодера 3 командно-программной информации поступают в промежуточную бортовую память 4. После того как координаты источника принятого сигнала были сравнены с координатами наземного комплекса управления, принимается решение о переносе выделенных команд из промежуточной бортовой памяти 4 в рабочую область бортовой памяти 7. В случае несовпадения координат информация о координатах нелегитимного пользователя поступает на вход передатчика 8 и через передающую антенну 9 передается в наземный комплекс управления.The method is as follows. The signal of a legitimate (illegitimate) user is received by two receiving antennas 1 ₁ and 1 ₂ and the corresponding receivers 2. The signals from the respective outputs of the receivers 2 are fed to the coordinate measurement unit 5 and to the command-program information decoder 3. Based on the phase difference between the received signals in the coordinate measurement unit 5, the coordinates of the signal source are determined. The wave front entering the receiving antennas 1 ₁ and 1 ₂ carries information about the coordinates of the signal source. As a first approximation, for two receiving antennas 1 ₁ and 1 _2, the position line on the Earth’s surface will be a curve formed by a vertical plane section of the Earth’s surface, bisecting the base distance between receiving antennas 1 ₁ and 1 ₂ , and to which the spacecraft’s radius vector to the center of the earth. Therefore, for a transmitting means (signal source) of an attacker located at any point of this curve on the surface of the Earth, the phase difference between the received antennas 1 ₁ and 1 ₂ signals will be close to zero. For all other locations of the illegitimate user signal source, the phase difference between the received antennas 1 ₁ and 1 ₂ signals will be non-zero. Therefore, the coordinates of the illegitimate user will differ significantly from the coordinates of the ground control complex stored in the working area of the onboard memory 7. The measured coordinates of the signal source are determined by the phase shift between the signals received by antennas 1 ₁ and 1 ₂ . Next, the measured coordinates are transmitted to the first input of the comparison device 6, and the coordinates of the ground-based control complex from the working area of the onboard memory 7 are received at its second input. At the same time, the selected commands from the output of the decoder 3 of the command-program information enter the intermediate on-board memory 4. After after the coordinates of the source of the received signal were compared with the coordinates of the ground control complex, a decision is made to transfer the selected commands from the intermediate onboard memory 4 to the working area of the onboard of memory 7. In case of a mismatch of coordinates, information about the coordinates of an illegitimate user is transmitted to the input of the transmitter 8 and transmitted through the transmitting antenna 9 to the ground control complex.

Таким образом, нелегитимный пользователь существенно ограничен в выборе места для размещения станции - постановщика помех, что существенно снижает вероятность несанкционированного вмешательства в работу командно-измерительной системы КА.Thus, an illegitimate user is significantly limited in the choice of a location for a jamming station, which significantly reduces the likelihood of unauthorized interference in the operation of the spacecraft command and measurement system.

Также возможна реализация предложенного способа с тремя приемными антеннами. При этом третья приемная антенна образует с одной из первых двух приемных антенн 1₁ и 1₂ вторую базу, размещенную под прямым углом относительно базы, образованной антеннами 1₁ и 1₂. Такая конфигурация антенн позволит измерять две координаты источника сигнала, расположенного в любой точке освещаемого пространства с КА.It is also possible to implement the proposed method with three receiving antennas. In this case, the third receiving antenna forms from the one of the first two receiving antennas 1 ₁ and 1 _{2 a} second base placed at right angles to the base formed by antennas 1 ₁ and 1 ₂ . Such a configuration of antennas will make it possible to measure two coordinates of a signal source located at any point in the illuminated space from the spacecraft.

Возможна также реализация предложенного способа и с четырьмя приемными антеннами. При этом четвертая антенна должна быть расположена в плоскости, перпендикулярной плоскости расположения первых двух баз, образованных тремя антеннами. Эта конфигурация антенн позволит измерять три координаты нелегитимного источника (в т.ч. высоту), если он расположен на борту другого летательного аппарата или другого КА.It is also possible to implement the proposed method with four receiving antennas. In this case, the fourth antenna should be located in a plane perpendicular to the plane of the location of the first two bases formed by three antennas. This antenna configuration will allow you to measure the three coordinates of an illegitimate source (including altitude) if it is located on board another aircraft or another spacecraft.

Отсюда следует, что факт атаки на КА будет обнаружен при расположении передатчика нелегитимного пользователя в любой точке окружающего пространства.It follows that the attack on the spacecraft will be detected when the transmitter of an illegitimate user is located at any point in the surrounding space.

Таким образом, путем оценки координат источника сигнала и принятия решения о легитимности пользователя (при близком совпадении координат источника сигнала с хранимыми в рабочей области бортовой памяти космического аппарата) и блокирования команд, полученных от нелегитимного пользователя, решается задача защиты командной линии космического аппарата и, в частности, исключения несанкционированного доступа нелегитимных пользователей к командно-измерительной системе КА.Thus, by evaluating the coordinates of the signal source and deciding on the legitimacy of the user (when the coordinates of the signal source are close to those stored in the working area of the onboard memory of the spacecraft) and blocking the commands received from the illegitimate user, the task of protecting the command line of the spacecraft and, in in particular, the exclusion of unauthorized access of illegitimate users to the spacecraft command and measurement system.

Claims (1)

Способ защиты командно-измерительной системы космического аппарата от несанкционированного вмешательства, включающий передачу с наземного комплекса управления по линии связи «Земля - космический аппарат» сигналов, содержащих команды управления космическим аппаратом, прием этих сигналов бортовой аппаратурой командно-измерительной системы космического аппарата, выделение из принятых сигналов команд управления космическим аппаратом, отличающийся тем, что на борту космического аппарата дополнительно производят запись выделенных команд управления космическим аппаратом в промежуточную бортовую память, измеряют координаты источника сигналов, принимаемых по линии связи «Земля - Космический аппарат», измеренные координаты источника принимаемых сигналов сопоставляют с координатами наземного комплекса управления, введенными в процессе предстартовой подготовки в бортовую память космического аппарата, и при совпадении координат источника принимаемых сигналов и наземного комплекса управления принимают решение о разрешении переноса выделенных команд управления космическим аппаратом в рабочую область бортовой памяти космического аппарата, при несовпадении координат источника принимаемых сигналов и наземного комплекса управления принимают решение об информационной атаке на командно-измерительную систему космического аппарата, а выделенные команды управления космическим аппаратом блокируют и в наземный комплекс управления отправляют сообщение «информационная атака» с координатами нелегитимного пользователя. A method for protecting the command and measuring system of a spacecraft from unauthorized interference, including transmitting signals containing control commands to the spacecraft from the ground-based control complex via the Earth-spacecraft communication line, receiving these signals with the onboard equipment of the command and measuring system of the spacecraft, and isolating from received signals of spacecraft control commands, characterized in that on board the spacecraft additionally record selected and the spacecraft control into the intermediate onboard memory, the coordinates of the source of signals received via the Earth – Spacecraft communication line are measured, the measured coordinates of the source of received signals are compared with the coordinates of the ground control complex entered into the onboard memory of the spacecraft during prelaunch the coordinates of the source of the received signals and the ground control complex coincide, a decision is made on the permission to transfer the selected control commands with a spacecraft in the working area of the onboard memory of the spacecraft, if the coordinates of the source of the received signals and the ground control complex do not match, they decide on an information attack on the command and measurement system of the spacecraft, and the dedicated control commands for the spacecraft block and send the message "information attack to the ground control complex »With the coordinates of an illegitimate user.