- 卫星导航系统民用导航电文信息安全认证技术
- 吴志军等
- 4703字
- 2024-01-18 12:14:08
前言
PREFACE
全球卫星导航系统(GNSS)是能为在地球表面或近地空间任意地点的用户提供全天候三维坐标、速度和时间信息的空基无线电导航定位系统。北斗卫星导航系统(BDS)作为GNSS的主要成员之一,是中国自主建设运行的全球卫星导航系统,为全球用户提供全天候、全天时、高精度的定位、导航和授时服务。北斗三号全球卫星导航系统已于2020年7月31日正式开通,在交通运输、农林渔业、气象测报、通信授时、公共安全等领域得到广泛应用,并服务于国家重要基础设施,产生了显著的经济效益和社会效益。
北斗用户利用北斗卫星导航系统民用导航电文(B-CNAV)提供的数据,可以解算得到时间、定位等导航信息。然而,B-CNAV是公开的,并且BDS没有提供B-CNAV完整性保护措施,使得B-CNAV面临欺骗攻击的威胁。欺骗攻击以转发或再生假冒的定位、导航、授时信息为手段,伪造真实信号,生成欺骗信号,使目标接收方在毫无察觉的情况下接收欺骗信号的信息,导致接收方解算出错误的定位结果,造成严重的后果。为此,需要对B-CNAV进行信息安全认证,以保障BDS的数据安全。
在实际的航空交通运输应用中,B-CNAV应满足以下两方面的要求:第一,从信息安全角度,保障B-CNAV的完整性和不可否认性;第二,从信息传输的可靠性角度,保障B-CNAV的认证性和有效性。本书面向针对B-CNAV的欺骗攻击,分析了B-CNAV的安全隐患,构建了威胁模型,研究了基于密码认证的方案,提出了安全认证协议和方法,研究了如何保障B-CNAV的信息完整性、不可否认性、认证性和有效性。
国际上针对GNSS CNAV的抗欺骗研究已经取得了很多成果。这些成果采用的方法可以分为基于密码的认证(加密认证)和基于信号的检测(信号检测)两大类。基于密码的认证方法主要包括基于椭圆曲线数字签名算法(ECDSA)生成签名的认证方法、基于时间效应流丢失容错算法(TESLA)的认证方法和二者(ECDSA和TESLA)混合认证方法;基于信号的检测方法主要包括信号功率监测、信号质量监测、到达方向区分、多天线技术与接收方自主相关监视等。本书主要研究基于密码的认证方法。
1.意义
目前,实施GNSS欺骗攻击已经不仅仅停留在理论研究上,欺骗方很容易制造出欺骗设备,这对每天或每时每刻都依赖GNSS导航的远洋轮船、航空飞行器,以及使用智能手机导航的用户来说,无疑是巨大的安全威胁。针对GNSS CNAV的欺骗攻击已经成为GNSS面临的主要安全威胁之一,可能造成巨大的航空、航海灾难或铁路、公路交通事故,危及国家和个人安全。因此,本书的意义体现在以下几个方面。
1)保障卫星导航与位置服务业务的安全
研究抵抗GNSS欺骗攻击的完整解决方案,以保障卫星导航与位置服务业务的安全。
(1)解决针对GNSS CNAV的欺骗攻击问题,有效抵抗通过伪造或重放GNSS信号的方式发起的欺骗攻击。
(2)解决GNSS开放信道未认证的问题,提出基于国产密码的CNAV认证协议,以保障目标接收方接收的是真实CNAV。
2)助力卫星导航与位置服务产业发展的连续性
本书从以下两个方面开展研究,以保障GNSS服务的连续性。
(1)从信息安全角度,保障GNSS CNAV的完整性和不可否认性。
(2)从信息传输的可靠性角度,保障GNSS CNAV的认证性和有效性。
面向GNSS CNAV的欺骗攻击能够阻塞目标导航系统,或者诱导系统解算出错误的定位结果,具有极强的隐蔽性和很高的危险性。因此,为了保障GNSS CNAV的完整性、不可否认性、认证性和有效性,本书采用基于密码的认证技术实现抗欺骗的方法。该方法既具有通用性,又不需要其他的导航仪器辅助,符合中国B-CNAV抗欺骗攻击的需求。同时,为了避免因采用国外研发的密码算法而产生的安全漏洞,本书将我国自主研制的国产密码应用于B-CNAV抗欺骗的研究。因此,本书的研究面向国家重大需求,致力于保障我国BDS提供安全服务,具有重大意义。
2.目标
作为GNSS的主要成员之一,BDS与GPS和Galileo一样,也不可避免地面临转发式和生成式欺骗攻击威胁。本书中设计的方案虽然是面向GNSS,但是可以应用于BDS,保护其CNAV,如北斗二代的D1和D2民用导航电文,以及北斗三代的D1和D2民用导航电文、B-CNAV1、B-CNAV2和B-CNAV3。此外,本书提出的CNAV认证协议可以根据BDS的CNAV结构及传输过程和服务流程进行接口设计,实现与BDS的对接。
本书研究成果在BDS中的应用前景表现在以下两个方面。
1)阻止欺骗攻击,避免经济损失
根据中国卫星导航定位协会发布的《2020中国卫星导航与位置服务产业发展白皮书》,2019年中国卫星导航与位置服务产业总产值达3 450亿元;随着“北斗+”和“+北斗”应用的深入推进,由卫星导航衍生带动形成的关联产值保持高速增长,达到2 284亿元,有力支撑了产业总体经济效益的进一步提升。
但是,当BDS面临欺骗攻击时,其服务可能中断,甚至造成灾难性的后果。欧盟曾经从经济角度做过估算,结果表明,如果卫星导航服务中断2天,则整个欧洲的经济损失会超过10亿欧元。因此,如果BDS因为欺骗攻击而造成服务中断,那么产生的经济损失可能是巨大的。
2)防御欺骗攻击,保障国家安全
BDS是国家安全的有力保障之一。第一,BDS是国家的重要空间信息基础设施,对国家的信息化建设和经济发展具有重要意义;第二,BDS是国家网络空间安全的关键基础设施,为国家、地方和行业的战略性科技服务,其安全性关乎国家的政治安全、经济安全和社会安全。
可靠的定位和定时服务对基于位置及授时的安全服务至关重要。因此,针对GNSS所固有的安全缺陷及可能面临的安全威胁,非常有必要采用系统化、复合技术等手段保障BDS的安全运行和服务连续性。
3.内容安排
本书共10章,具体内容如下。
第1章,绪论,主要介绍GNSS安全保障的背景和目的,分析GNSS所面临的威胁及近年国内外针对GNSS威胁所采取的安全保障方法的研究现状,并阐述GNSS安全对其应用的价值。
第2章,北斗卫星导航系统的脆弱性,介绍BDS可能存在的主要安全隐患,包括系统本身脆弱性、卫星信号传播途径脆弱性、干扰脆弱性等。
第3章,面向北斗卫星导航系统的欺骗攻击模型,主要介绍针对BDS的威胁模型和欺骗攻击的原理,并对欺骗攻击进行分类,将其主要分为转发式欺骗攻击、生成式欺骗攻击、估计类欺骗攻击和高级欺骗攻击。
第4章,基于ECDSA的北斗二代民用导航电文信息认证方法,介绍采用椭圆曲线数字签名算法在北斗二代民用导航电文的保留位中插入数字签名,用于验证导航数据的真实性和完整性,避免实体伪装和数据篡改。此外,本章还介绍通过北斗短报文服务或数字证书来设计密钥的交换过程,以及通过仿真实验评估方案的有效性和安全性等。
第5章,基于TESLA的北斗民用导航电文信息认证方法,介绍一种将国产密码和时间效应流丢失容错算法相结合的北斗民用导航电文抗欺骗方案。该方案使用SM3生成TESLA的密钥链,然后使用密钥链的密钥生成北斗D2民用导航电文的消息认证码,并将其与密钥一同插入D2民用导航电文的保留位,实现认证过程。此外,本章还针对该方案进行了性能测试。
第6章,基于信息认证的北斗二代民用导航电文信息抗欺骗方法,主要从卫星地面站的角度设计一种具有综合信息认证功能的北斗二代民用导航电文。该类民用导航电文具有特定的认证内容,可通过地面站将这些内容编排在一起发送。此外,本章还设计了具体的北斗短报文的密钥交互过程,并进行了仿真实验与结果分析。
第7章,基于NMA和SSI的北斗二代民用导航电文信息认证方案,介绍使用国产密码和扩频信息抵抗欺骗攻击的北斗二代民用导航电文信息认证方案,并对方案的时间损耗和认证率进行了仿真实验与结果分析。
第8章,基于无证书签名的北斗D1民用导航电文信息认证协议,介绍无证书签名方案的一般模型,给出北斗D1民用导航电文信息认证协议的定义,并对该协议进行了安全性分析和SVO证明,最后对该协议进行了仿真实验与结果分析。
第9章,基于身份签名的北斗D2民用导航电文信息认证协议,主要分析北斗D2民用导航电文的特性,然后结合基于身份的签名技术,提出北斗D2民用导航电文信息安全认证协议,并对该协议进行了安全性分析和SVO证明,最后对该协议进行了仿真实验与结果分析。
第10章,北斗二代民用导航电文信息安全认证协议,主要介绍一种将国产密码和北斗卫星导航系统相结合的安全认证协议,设计电文认证序号,并对该协议进行理论分析和SVO证明,最后将该协议与同类协议进行性能分析与比较。
4.本书特色
本书在分析BDS的脆弱性和多种类型欺骗攻击的基础上,根据B-CNAV的结构,在信息层面系统性地监测B-CNAV报文的内容,能够有效地对欺骗信息进行准确检测,实现对B-CNAV的安全认证,保障导航定位服务的安全性。本书中的方法基于密码实现了信息级的安全认证,避免了因信号到达地球表面时强度变得异常微弱而导致的信号检测结果不稳定。本书采用国产SM系列密码和TESLA协议设计B-CNAV的安全认证协议和提出认证方法,实现了加密签名一系列操作,将生成的密文插入B-CNAV保留位并通过卫星进行播发,保持了导航系统的原有结构,减少了资源消耗。在分析B-CNAV结构的基础上,统计保留位位数,依据具体的格式对信息插入方式进行设计,不需要改变B-CNAV结构,也不需要增加辅助硬件设备,极大地减少了系统计算量,达到了抵抗欺骗攻击的目的。
在B-CNAV安全认证采用的密码中,公、私钥存在着一一对应的关系,其中,私钥由卫星秘密存储,公钥被公开给接收方,只有掌握密钥的授权接收方才可以对处理后的密文进行解算,得到正确的导航信息。因暴力求解需要消耗大量时间,而导航信息传输对时间有较高的要求,所以欺骗方很难在有效时间内对密文进行逆运算。一旦信息在传输过程中遭到篡改或伪造,就会导致接收方解算得到的信息与原信息不符,无法通过验证,使接收方及时发现接收的导航信息遭到了恶意攻击,属于非法信息,无法用于后续的定位计算,从而将其舍弃。
用密码技术保护B-CNAV的完整性和不可否认性,实现B-CNAV的认证性和有效性,建立系统化的认证流程,可利用较少的运算资源得到更加精准的认证结果,分析现有密码的特点,将其与具体的B-CNAV相结合,从不同的角度对信息进行处理,根据不同的侧重点提出认证方法,在较少改变B-CNAV结构的前提下,实现对欺骗攻击的检测,抵抗面向B-CNAV的欺骗攻击,可避免因欺骗攻击而引发的错误定位、错误授时等一系列安全问题,从而保障卫星导航系统的安全性。
5.阅读建议
在阅读本书时,建议首先从导航系统的工作原理开始,逐步掌握卫星通信过程中导航信息传输的流程和存在的安全隐患;然后熟悉导航系统的威胁模型、欺骗原理和不同种类的欺骗手段,掌握导航信息安全保障的具体要素和需求分析方法,了解加密算法的基本原理和加密认证流程;最后学习书中一系列针对B-CNAV的安全认证方法,进行信息安全相关领域的实践。
本书是在中国民航大学安全科学与工程学院航空电信网及信息安全领域的教师、博士研究生和硕士研究生多年研究成果的基础上整理形成的,主要由国内首个航空安全领域博士点“安全科学与工程”中的“民航信息系统安全保障技术”方向带头人、中国民航大学信息安全实验室负责人吴志军教授组织撰写,参与撰写的人员还有岳猛教授和雷缙老师。其中,岳猛教授撰写了约10万字,雷缙老师撰写了约5万字。特别感谢信息安全实验室的鲁艳蓉、张礼哲、刘亮和李瑞琪提供的帮助;感谢中国民航大学图书馆的梁铖和2020级研究生张媛等人,他们在本书的整理、校对等方面做了大量工作;感谢中国民航大连空管站张云工程师对本书的贡献。本书内容的组织得到曹海娟、刘如森、杨一鸣等的支持,在此表示衷心感谢!
本书的出版得到了国家重点研发计划课题2022YFB3904503、国家自然科学基金面上项目62172418和天津市应用基础研究多元投入基金重点项目21JCZDJC00830的资助,在此表示感谢!
本书是一本关于卫星导航系统信息安全的著作,对航空网络空间安全领域的科研、技术和管理人员在民用导航电文的数据安全和隐私保护方面的学习具有较高的参考价值。本书内容由浅入深,涵盖了导航系统脆弱性、欺骗原理及其实施方式,以及一系列抗欺骗方法,相关专业高校师生和航空网络安全领域的研究人员能够从中获得需要掌握的知识。
由于时间仓促和作者水平有限,书中有遗漏和不妥之处在所难免,还望读者批评指正!
著者
2023年9月25日于天津