北斗高精度數據傳輸安全研究*

王 雍，張舒黎，石元兵，帥軍軍

（成都衛士通信息產業股份有限公司，四川 成都 610041）

0 引言

北斗衛星導航系統是我國自主發展、獨立運行的全球衛星導航系統[1]，與美國的GPS、俄羅斯的GLONASS 以及歐盟的Galileo 并稱全球四大衛星導航系統。北斗衛星導航系統結合分布在地面的連續運行基準站，為用戶提供亞米級、厘米級甚至事后毫米級的高精度定位[2]。隨著北斗衛星導航系統的逐步全球化，北斗高精度數據應用在民用領域的應用不斷擴充，在智能交通領域為車輛提供精確的導航定位，在農業領域進行精準播種，在設施監測領域為橋梁邊坡進行變形監測。目前，在民口應用中，北斗高精度數據都是以明文方式進行傳輸，傳輸敏感數據時存在安全保護需求。本文從北斗高精度數據在傳輸中的應用中提煉抽象出共性的安全需求，結合商密算法進行研究，設計出北斗高精度數據分級授權分發的安全防護方案，確保北斗高精度數據得到合理的應用。

1 北斗高精度數據傳輸安全分析

1.1 北斗高精度數據應用基本情況

北斗高精度數據應用是基于BD/GPS 衛星定位技術、計算機網絡技術、數字通信技術等高新科技，通過在一定區域布設若干個GNSS 連續運行參考基準站，對區域GNSS 定位誤差進行整體建模，然后通過數據通信網絡向用戶播發定位信息和增強信息。北斗高精度定位信息相比傳統定位信息可以顯著提高定位和授時精度，可使終端的定位精度提高到米級以內，且定位精度分布均勻、實時性好、可靠性高。

整個系統由空間衛星、基準站、數據中心、用戶終端以及相應的數據傳輸系統組成[3]。空間衛星定位數據生成并下發。基準站對衛星定位數據跟蹤、采集、傳輸，對系統實施可靠性監測。數據中心包括數據處理中心和傳輸中心，接收并控制各基準站發回的數據；對數據進行分析、處理、存貯、管理；形成一定格式的數據文件，發送給用戶。用戶終端包括高精度衛星接收機、手機、車載終端等GNSS信號接收，實時差分解算，事后處理解算。系統組成如圖1 所示。

1.2 北斗高精度數據傳輸安全現狀

北斗高精度數據傳輸包含基準站到數據中心和數據中心到用戶端兩段數據傳輸。目前，基準站到數據中心通過專線傳輸高精度數據時，通常不做任何加密處理。數據中心到用戶端的數據傳輸過程中，只對用戶端做了身份驗證，未對數據發送方做身份驗證，因此用戶端無法判斷接收的數據是否為真實的基站發出，缺少真實性和有效性。北斗高精度數據屬于敏感數據，目前任何用戶都可以接收，缺乏對高精度數據的分級分發監管機制。

圖1 系統組成

北斗高精度數據傳輸存在如下的安全隱患[4]。

（1）高精度數據泄露。單個基準站的數據只是敏感數據不涉密，但多個基準站的數據匯聚在一起后形成秘密級數據。北斗高精度數據傳輸過程中涉及以太網、光纖、無線網絡等多種傳輸方式，數據缺少加密方式，網絡協議脆弱，數據易被監聽、入侵。秘密數據一旦被不法分子獲取策劃不法行動，將會對人民生命財產安全造成不可估量的嚴重后果。

（2）高精度數據完整性破壞。高精度數據協議校驗簡單，無完善的完整性校驗機制，高精度數據在傳輸過程中存在非法篡改、破壞等風險。

（3）身份仿冒。攻擊者可以偽造成基準站，從而實現對運營服務平臺的攻擊。攻擊者也可假冒用戶訪問應用平臺從事破壞行為。用戶終端與數據中心間僅通過“用戶名+口令”的方式，實現身份認證，認證方式過于簡單，一旦口令被泄露或者攻破，將面臨著身份冒用的風險。

（4）權限濫用。不同權限的用戶越權訪問應用平臺資源，易造成北斗數據信息的泄漏，情況嚴重時會危害整個系統。業務服務器、數據庫服務器等主機中容易出現安全漏洞，一旦這些漏洞被攻擊者掌握，將會造成巨大的破壞。針對數據庫進行攻擊或者誤操作，會給數據庫帶來極大的危害。北斗高精度亞米級以下的導航軟件，高精度北斗系統位置數據采集、處理、存儲等流程缺乏監督監測機制，普通用戶可輕易獲取，而數據傳輸過程也易被不法分子截獲利用，安全風險問題多，風險系數高。

綜上所述，目前民用高精度數據應用面臨的安全風險主要為數據泄露、數據完整性破壞、身份仿冒和權限濫用等方面的安全風險。

1.3 北斗高精度數據傳輸安全需求

隨著北斗高精度數據應用率越來越高給人們帶來更加精準便利的生活，高精度數據的應用變得越來越重要。目前，民用高精度數據傳輸多采用公網明文傳輸的方式，使數據面臨著一系列安全問題，因此存在如下安全需求[4]。

（1）身份認證安全需求。高精度數據傳輸為標準的通信協議，當高精度設備被人為更換、替代后，網絡不法分子很容易模擬進入軟件平臺，接入到北斗應用網絡，對網絡內的其他設備或主機進行攻擊。為此可使用基于數字證書的身份認證，保證終端設備身份的合法性與唯一性。

（2）數據機密性安全需求。各行各業對北斗衛星數據的精度需求不同，高精度需求對高精度數據安全防護要求更高，需要做到多重防護。

（3）數據完整性安全需求。高精度數據的明文傳輸、行業協議的標準化，導致數據和協議很容易被篡改，因此需要對數據完整性進行保護。

（4）分級授權需求。對不同定位精度進行分級授權的安全防護需求，保證在網絡上傳輸的高精度數據機密性。構建普通用戶“僅能使用，不可查看”、專業用戶“受限查看”、管理部門“敏感數據全生命周期安全及可視化的全程監督管理”的權限。高精度用戶使用厘米級的高精度數據，中等精度用戶使用亞米級中等精度數據，普通大眾用戶使用米級精度數據。

2 北斗高精度數據傳輸安全應用

2.1 總體介紹

北斗高精度數據的傳輸分兩部分：第一部分指從基準站接收到衛星信號后，通過專線或者公網傳輸到達數據中心；第二部分指數據傳輸中心負責把數據處理中心做脫密處理后的差分改正數據發送給用戶端。此過程中高精度數據傳輸的模型如圖2 所示。

圖2 高精度數據傳輸的模型

基準站：在北斗系統中，基準站按需求分布在全國各地，實時接收北斗導航衛星發送的定位信息，并將信息通過專用網絡發送給其對應的數據中心。

數據中心：數據中心接收來自于各個基準站的衛星定位數據，然后做脫密、差分校準等計算工作，并將計算得出的差分校準值等通過互聯網發送給有導航定位需求的用戶。

用戶：用戶通過互聯網請求接收的方式獲取來自數據中心的差分校準值，進而進一步矯正自己直接接收到的來自于北斗衛星的定位數據，以獲得精確的導航定位信息。

通過對高精度數據傳輸過程的研究，把傳輸過程中的兩部分進行安全防護的設計，以確保整個過程中獲得的高精度數據的完整性和真實性。

2.2 北斗高精度數據傳輸安全應用總體框架

系統圍繞國產自主可控的商用密碼構建安全體系，以PK/CA 碼體制、商用密碼算法、商用密碼協議為基礎，結合密碼芯片、密碼模塊、密碼設備、密碼設施等密碼產品，在網絡和通信安全、設備和計算安全、數據和應用安全等方面應用密碼技術，重點解決基準站與數據中心之間高精度數據的傳輸安全問題以及數據中心與用戶終端之間的高精度數據安全分發問題，同時兼顧基準站、數據中心高精度終端的安全防護，全面保障北斗高精度數據的安全傳輸與應用，如圖3 所示。

2.3 高精度數據傳輸安全防護方案

2.3.1 基準站到數據中心安全保護方案

如圖4 所示，在基準站到數據中心間的通信鏈路上添加網絡加密設備進行安全保護。網絡加密設備以商用密碼技術為核心，在TCP/IP 體系的網絡層提供隧道傳輸和加密功能，為基準站與數據中心間通信鏈路采用SM2 算法進行認證、采用SM4 算法進行加密服務、采用SM3 算法實現數據完整性校驗[4]。

圖3 系統總體框架

圖4 基準站到數據中心安全設計

在基準站現有產品的基礎上，以密鑰、設備證書為安全基礎，通過配置密碼模塊（USBKey 或安全芯片）、密碼中間件對密碼資源的基礎算法進行封裝，提供密碼服務；配置SecPortal[5]客戶端（TLS），實現基準站與數據中心的業務/監控數據的安全傳輸，保障基準站的合規性和安全性。

邏輯結構如圖5 所示。

圖5 密碼應用邏輯結構

安全模塊：配置USBKey 或安全芯片以及相應的驅動程序，提供商用密碼支撐。

安全組件：密碼中間件對安全模塊的API 進行封裝，提供密碼運算服務，減少業務應用調用復雜度，降低密碼應用的門檻。基準站本地存儲業務，調用中間件的接口，實現原始觀測數據的加密存儲。

SecPortal 客戶端（TLS）：與數據中心的安全網關建立TLS 安全隧道，實現基準站與數據中心的業務/監控數據的安全傳輸。

CA 系統：負責數字證書的管理，簽發安全網關（中心端）的數字證書和SecPortal 客戶端（TLS）USBKey 的數字證書。

2.3.2 數據中心到互聯網用戶端安全方案

根據北斗高精度數據傳輸系統的用戶（終端）類型，數據中心到用戶端的場景可分為兩種：數據中心到互聯網用戶端和數據中心到廣播用戶端。本文主要介紹對互聯網用戶的安全方案，經過仔細深入的研究，將提供基于不同定位精度需求所采取的分級授權分發安全方案，如圖6 所示。

圖6 分級授權分發結構

根據不同定位精度需求的應用，互聯網用戶可進一步劃分為高精度需求互聯網用戶、中等精度需求互聯網用戶和普通大眾互聯網用戶。對于不同定位精度需求的用戶，將分別設計不同的安全方案，以實現北斗高精度導航定位數據的分級授權分發。

（1）高精度需求互聯網用戶。考慮高精度數據的敏感性，這部分用戶對應的安全需求定位為高級別。因此，本方案將對雙方的通信內容通過SM4算法進行加密處理、通過SM3 算法進行完整性驗證、以及通過SM2 算法實現通信雙方的相互身份認證。特別地，高精度需求互聯網用戶將使用密碼卡等安全媒介（如TF 卡、SD 卡等）的方式驗證其身份的合法性。密碼卡在出廠時存儲有密鑰管理中心分發的用戶公私密鑰對信息。

（2）中等精度需求用戶。對于北斗導航定位數據的需求一般定位為中等級別的精度。出于中等精度數據的敏感性考慮，這部分用戶對應的安全需求定位為中等級別。因此，本方案將對雙方的通信內容通過算法SM3 做完整性驗證、通過算法SM2實現通信雙方的相互身份驗證。特別地，中等精度需求互聯網用戶將使用以用戶名+口令登錄的方式驗證其身份的合法性。用戶名和口令需要提前在線注冊。

（3）普通大眾互聯網用戶。普通大眾互聯網用戶對于北斗導航定位數據的需求一般定位為低等級別的精度。出于低等精度數據的敏感性考慮，這部分用戶對應的安全需求定位為低等級別。因此，本方案中數據中心將不需要對普通大眾互聯網用戶的身份進行安全驗證，且此級別的導航定位數據不需要進行加密保護。僅需要大眾用戶實現對數據中心的身份真實性以及來自數據中心的數據完整性進行驗證。

2.3.3 部署實現

部署分為基準站到數據中心和數據中心到用戶端兩個階段的場景，詳細部署如圖7 所示。

圖7 高精度數據傳輸安全防護部署

（1）基準站到數據中心安全保護部署實現

在基準站里配置密碼模塊（USBKey 或安全芯片）和SecPortal 客戶端（TLS）。數據中心CA 負責數字證書的管理，簽發安全網關（中心端）的數字證書和SecPortal 客戶端（TLS）USBKey 的數字證書。數據中心處部署有密鑰管理中心，以實現密鑰的生成、存儲、分發、更新、撤銷等功能，以及用于加解密運算的相關密碼模塊/密碼卡。通過網絡層通信加密機制，實現北斗高精度數據的網絡傳輸加密。

（2）數據中心到互聯網用戶端安全保護部署實現

從數據中心到互聯網用戶端的數據傳輸過程中，首先需要在數據中心處部署密鑰管理中心，以實現密鑰的生成、存儲、分發、更新、撤銷等功能，以及用于加解密運算的相關密碼模塊/密碼卡。根據實際使用需求，數據中心處可部署自己的代理服務器，模擬數據中心本身的主要功能負責基站數據的差分計算、響應用戶請求、數據加解密、身份認證以及密鑰接收使用等。互聯網用戶根據其用戶對不同級別數據的要求部署不同的密碼模塊，如高精度需求用戶將部署SD/TF 密碼卡等實現身份認證和加解密運算，中等精度需求用戶和普通大眾用戶將部署密碼軟模塊實現加解密運算。

3 實驗分析

實驗環境搭建，如圖8 所示。

圖8 北斗高精度加密通信實驗環境搭建

室外部署北斗天線和基準站，室內建立數據中心，添加密碼設備，模擬基準站和數據中心高精度數據加密傳輸過程，實現網絡傳輸之間的安全防護。模擬環境設計如圖9 所示。

圖9 北斗高精度加密通信實驗

北斗高精度數據傳輸過程中的延時通常控制在2 s，不超過5 s。通過測試得出的數據分析如圖10 所示。

圖10 使用加密機加密前后接收延時對比

可見，使用密碼設備后，北斗高精度數據傳輸的延時時長不超過北斗高精度數據傳輸延時范圍。

4 結語

本文通過對北斗高精度數據應用進行研究，應用現狀的安全分析，設計出數據分級授權分發的防護方案，并基于國家密碼局發布的商密算法對北斗高精度數據進行加密安全防護設計，最后對方案進行試驗驗證。本文設計的北斗高精度數據傳輸安全防護方案通過了交通部的北斗衛星導航系統交通運輸行業數據傳輸加密與應用安全防護課題研究的專家評審。