卫星互联网安全：机遇、挑战与未来方向

本文内容基于西安电子科技大学杨卫东老师关于“卫星信号攻击与防护”以及航天五院502所陈睿老师关于“智能赋能星载嵌入式软件可信保障”的精彩演讲基础上，进行了系统整合与扩展。

两位老师分别围绕卫星互联网安全与航天器智能软件可信性保障两大核心主题，分享了最新研究成果与实战经验，深入剖析了当前技术发展的战略背景、面临的关键挑战，以及未来演进趋势。

本稿在忠实记录原始演讲要点的基础上，结合现有研究资料与应用案例，进行了梳理和内容深化，力求更全面、系统地呈现出：

• 卫星互联网发展现状与国家战略布局；

• 卫星信号截获、防护及导航系统抗欺骗技术；

• 智能航天器软件测试、验证与安全保障新方法；

• 面向未来太空竞争与智能航天发展的安全对策与技术展望。

希望通过本次整理，能够为相关领域的研究工作者、工程实践人员，以及关心卫星互联网与航天智能化安全问题的读者，提供有价值的参考与启示。

一、卫星互联网的发展现状与国家战略

卫星互联网作为新一代信息基础设施，是地面互联网的有效延伸与重要补充，代表着未来全球通信网络体系演进的重要方向。其通过构建覆盖全球的卫星星座系统，实现地面、海洋、空中乃至偏远地区的无缝通信服务，已成为全球科技强国布局的战略高地。

在我国政府工作报告中，卫星互联网已被明确纳入战略性新兴产业范畴，要求将其作为未来信息网络的重要组成部分，加快推进布局，抢占发展先机。这不仅体现了国家层面对新一代网络空间基础设施建设的高度重视，也标志着卫星互联网将在未来数字经济、国防安全、民生保障等领域发挥关键支撑作用。

当前，全球卫星互联网竞争格局异常激烈，主要呈现以下特点：

低轨卫星星座部署加速

以美国SpaceX公司为代表，星链（Starlink）项目规划部署超4.2万颗低轨通信卫星，截至2025年初，已有超过6000颗卫星在轨运行，基本实现对北美、欧洲、亚洲主要区域的网络覆盖。

空间资源争夺白热化

低轨道资源（300km至1000km）是建设全球卫星互联网的黄金轨道，空间有限、资源稀缺。美方的超大规模注册行动使得留给其他国家与组织的轨道频率资源极为紧张，未来窗口期正在迅速关闭。

面对全球竞争态势，我国加快卫星互联网发展已势在必行。总体而言，我国的发展布局可归纳为以下三大方向：

1. 占区保轨：抢占低轨道资源，构建自主可控网络 低轨通信卫星能够实现更低时延、更高带宽的全球互联网覆盖，且具有更强的抗干扰能力和重构能力。 我国已启动战区保轨工程，围绕300km至1000km低轨空间，规划部署多批次卫星星座（如银河航天、鸿雁星座、启明星座等），力求在有限的轨道资源中，构建覆盖全球、独立可控的通信网络体系。

这不仅是技术发展问题，更是空间安全与国家主权问题。若轨道资源被外部力量长期控制，将严重威胁我国在全球信息空间的独立性与自主权。

1. 国家安全保障：关键时期保障指挥通信不中断 卫星互联网具备天然的高可靠、广覆盖特性，能够在地面基础设施遭到破坏（如自然灾害、战争冲突）时，依然维持指挥通信畅通。

俄乌战争实践已充分验证，乌克兰在地面网络受损情况下，通过星链卫星系统持续保障前线指挥、无人机作战、武器调度，大幅提升了抗干扰、抗压制作战能力。星链成为乌军信息战体系不可或缺的重要组成。

这一现实启示我们，卫星互联网不仅是民用通信基础，更是国家安全战略资源。未来在国防动员、应急救援、抗灾防灾、突发事件响应等领域，卫星互联网将发挥不可替代的作用。

1. 商业航天拓展：打造新型太空经济生态 随着火箭发射成本降低、卫星制造小型化、网络通信需求不断增长，全球正在加速迈向商业航天时代。

太空旅游：已有多家公司实现了短时间载人亚轨道飞行（如Blue Origin、Virgin Galactic），未来太空旅游市场潜力巨大。

太空资源开采：小行星采矿、月球资源利用、轨道制造等新兴产业正在酝酿之中。

卫星物联网：通过小型低轨卫星实现物联网终端互联互通，应用于能源、交通、海洋、农业等多个领域，提升数据采集、实时控制与智能决策能力。

我国多家单位，如银河航天、航天科工、航天科技集团、清华大学、哈尔滨工业大学等，正在积极布局低轨卫星物联网、太空经济新兴产业，形成从火箭发射、卫星制造、网络部署到应用服务的全产业链体系。

卫星互联网不仅是通信网络的升级，更是开启数字太空时代的基础性工程。

1. 地面网络补充与社会价值 尽管我国地面5G网络建设已达到全球领先水平，但幅员辽阔，边疆地区、海域、大型海岛等仍存在大量信号盲区。依赖传统基站扩展覆盖不仅成本高昂，且维护难度大。

通过卫星互联网，可以低成本、快速实现这些地区的宽带覆盖，极大提升应急通信能力、保障交通运输、能源勘探、海洋作业等关键行业的网络需求，同时也助力乡村振兴、边疆固防，具有重要的社会效益与民生价值。

二、卫星互联网安全挑战分析

随着卫星互联网系统规模的迅速扩大与应用场景的持续拓展，新的安全威胁与挑战也同步浮现。 相较于传统地面通信网络，卫星互联网在结构、运营模式、应用环境等方面具有显著差异，导致其面临更为复杂且严峻的安全问题。

总体来看，卫星互联网的主要安全挑战体现在以下几个方面：

1. 大范围信号暴露，成为天然攻击目标 卫星互联网为了实现全球广域覆盖，通常采用高功率、大波束天线技术，确保在地面任意位置都能接收到稳定信号。 然而，这种设计也带来了副作用：

信号泄露范围远超地面基站，形成了巨大的无线电“攻击面”。

攻击者无需接近卫星本体，仅凭地面设备，即可在覆盖区域内进行拦截、干扰、伪造或篡改通信信号。

下行链路（卫星到地面）安全风险尤为突出，容易被监听、截获甚至重放。

尤其是在战争、军事冲突等特殊环境下，卫星互联网的信号广泛暴露特性，使其成为敌方电子战部队优先攻击的重要对象。

1. 网络边界模糊，传统防御体系失效 地面通信网络通常依托于国界、物理范围设立防护边界，如防火墙、边界网关、隔离带等措施可以有效阻断非法访问与跨境攻击。

然而，卫星互联网由于卫星绕地轨道运行的特性：

物理边界完全消失，网络节点持续在全球范围高速移动。

信号覆盖区域跨越多个国家和海洋区域，极大地增加了通信链路的不可控性与管辖复杂度。

传统基于地理边界的安全策略失效，无法有效隔离恶意节点或限制潜在攻击流量。

网络边界模糊，使得卫星互联网系统必须面对更复杂的全球动态攻击面管理问题，对安全防护技术提出了更高要求。

1. 轨道空间复杂交错，系统性攻击风险加剧 随着各国和商业机构大量部署低轨卫星星座，轨道资源日益紧张，多个星座在相邻轨道、甚至同轨道运行，形成了高度密集的“轨道交通”。

轨道管理混乱，存在碰撞、信号干扰、资源抢占的隐患。

不同星座间可能存在数据链路干扰、信号欺骗、频率抢占等恶意竞争行为。

跨国部署的商用卫星星座，背后往往存在复杂的政府与军方合作背景，增加了潜在的网络对抗风险。

根据美国国防部与欧盟航天局发布的公开报告，全球范围内已经记录到多起低轨卫星信号互扰、通信链路争抢的案例。未来轨道空间将成为继网络空间之后新的国际安全争夺前沿。

1. 俄乌战争实例：卫星互联网成为战场攻防焦点 2022年俄乌冲突期间，SpaceX的星链（Starlink）系统向乌克兰大规模部署，提供了关键时刻的通信支持。 据《华尔街日报》《CNN》等多家媒体报道：

星链终端设备帮助乌军在断网地区保持指挥调度、无人机侦察、前线作战等关键通信。

俄罗斯军方曾针对星链系统发起多轮电子干扰攻击（jamming）与网络攻击（cyber attacks）。

2023年4月，俄罗斯黑客组织Sandworm被曝试图利用特制设备对星链终端实施破坏性攻击，但由于星链迅速推送更新版加密协议，成功抵御了初步破坏企图。

这场冲突表明，卫星互联网已经成为现代战争中不可或缺的作战资源，同时也成为敌对势力重点打击的高危目标。

未来战争形态中，电子战（EW）、网络战（Cyber War）与太空战（Space War）三者将高度融合，卫星互联网安全防护体系建设迫在眉睫。

1. 新型攻击技术不断涌现，防护难度升级 针对卫星互联网的攻击手段不断演进，目前已知的威胁技术包括：

物理干扰（Jamming）：通过强力无线电干扰屏蔽卫星链路。

伪基站攻击（Spoofing）：模拟合法卫星信号，诱骗地面终端接入，进行流量劫持或信息篡改。

数据链劫持（Link Hijacking）：非法控制地面网关或链路节点，窃取或篡改卫星数据传输。

电子伪装与重放攻击（Replay Attack）：拦截卫星信号并重发，实现导航欺骗或信息误导。

供应链攻击（Supply Chain Attack）：通过卫星制造、部署、维护环节植入后门或漏洞，长期潜伏。

由于卫星系统部署复杂、更新周期长、补丁施加困难，一旦存在初期设计漏洞或供应链问题，将极难彻底修复，形成长期安全隐患。

三、卫星信号截获与防护研究工作

面对卫星互联网领域日益严峻的信息安全威胁，我团队聚焦铱星（Iridium）星座通信系统与全球导航卫星系统（GNSS，涵盖GPS与北斗），围绕信号截获分析、系统脆弱性挖掘与防护技术创新开展了系统性的攻防研究。

通过实地测试与建模仿真，我们发现现有卫星通信协议体系在认证机制、信道防护、物理层特征保护等方面普遍存在设计缺陷，亟需从理论和工程两个维度同步加强防护能力。

本部分重点介绍我们在铱星星座注册认证安全分析及基于射频指纹认证系统设计两方面的研究进展。

（一）铱星星座注册认证过程漏洞分析 铱星（Iridium）系统是全球首个商业化部署的低轨道卫星通信系统，自1998年投入运营以来，凭借66颗运行卫星和9颗在轨备份卫星，形成了全球无缝通信覆盖网络。

在深入分析其接入与认证流程后，我们发现存在以下关键安全隐患：

1. 单向认证机制缺陷 铱星终端在注册接入过程中，主要通过以下步骤完成链路建立：

卫星广播导频信号（Pilot Beacon），告知终端自身状态与通信参数。

地面终端基于导频信号捕获卫星信道，发起接入请求。

卫星下发分配信道和同步指令，终端依据接收指令完成注册。

然而，整个过程采用的是单向认证模式：终端基于接收到的广播信息单方面信任卫星信号源的合法性，缺乏对卫星真实性的反向验证与质询机制（Challenge-Response Authentication）。

这一设计导致攻击者能够轻易构造伪造导频信号，诱导终端误接入伪卫星链路，进而触发以下攻击场景：

1. 典型攻击模式 拒绝服务攻击（DOS Attack）：攻击者通过伪造导频信号，占用频率资源或拒绝分配信道，使地面终端持续无法完成接入，导致通信中断。

中间人攻击（MITM Attack）：攻击者在中转阶段拦截、篡改或记录终端传输的数据，实现流量窃取或信息篡改。

流量重定向攻击：伪卫星诱导终端建立连接后，将终端引导至非预期的链路，实现数据劫持与隐蔽监听。

根据实际仿真实验，伪造导频信号并诱骗铱星终端的攻击实施门槛并不高，仅需一定功率的定向天线与常规软件无线电设备（如USRP平台）即可实现原型搭建，极具现实威胁性。

（二）基于射频指纹的卫星身份认证系统 为有效应对上述伪基站攻击威胁，提升卫星链路接入认证的安全性，我们设计并实现了一套基于射频指纹识别（Radio Frequency Fingerprinting, RFF）的卫星身份认证系统。

1. 核心思路 射频指纹（RF Fingerprint）指的是每一台发射设备由于制造误差、器件老化、电路非理想特性等原因，在发射信号中无可避免地叠加了独特的、难以仿造的物理特征。 这些特征在时间域、频率域、相位噪声、调制误差矢量（EVM）等多个维度上具有稳定性和可辨识性。

本系统通过：

实时提取接收信号中的多维射频指纹特征；

与事先建立的合法卫星射频指纹库进行比对；

结合机器学习分类器进行身份识别与异常检测；

实现对卫星信号源的无感知、实时、连续认证，显著提升系统抗伪造与抗攻击能力。

1. 系统架构与功能模块 本系统主要由以下功能模块组成：

信号采集模块：基于高灵敏度的软件无线电前端（SDR Frontend），持续采集下行链路导频信号，确保完整记录物理层特征。

特征提取模块：利用快速傅里叶变换（FFT）、相位空间分析（Phase Space Analysis）等方法提取时频域多维特征。

指纹建模模块：通过特征压缩、降噪与特征工程处理，构建射频指纹数据库，形成每颗卫星唯一对应的指纹模板。

匹配与认证模块：基于支持向量机（SVM）、卷积神经网络（CNN）等机器学习算法，实时完成指纹比对与合法性判别。

异常检测模块：当接入请求信号的指纹与合法库存在明显偏差时，触发异常警报并拒绝接入。

1. 实验验证与性能评估 在实际测试环境中，我们采集并分析了铱星系统多颗卫星的导频信号，构建了完整的指纹数据库，并进行了大量接入验证测试。

结果显示：

认证准确率达到92%，在复杂多径、低信噪比（SNR低于5dB）环境下仍能稳定工作；

伪造信号检测率达89%以上，能有效识别基于商用无线电设备发起的伪基站攻击；

认证延迟低于50ms，基本不增加用户接入感知时延；

系统稳定性高，在连续72小时无间断运行测试中，未出现识别崩溃或错误分类现象。

这一成果表明，基于射频指纹的认证体系可以成为补强现有单向认证流程的重要手段，显著提升卫星互联网基础设施的接入安全性与抗攻击能力。

四、导航卫星欺骗检测与防护研究

全球导航卫星系统（GNSS），包括GPS、北斗、GLONASS、Galileo等，已广泛应用于军事指挥、交通运输、民航导航、能源勘探、金融授时、个人定位等关键领域。 然而，现行导航系统普遍缺乏完善的信号真实性验证机制，导致其在复杂对抗环境下面临极高的信号欺骗（Spoofing）与干扰（Jamming）风险，严重威胁国家安全、公共安全与经济稳定。

1. 导航信号的安全隐患 目前大部分GNSS系统（特别是面向民用的L1信号）存在以下安全短板：

缺少端到端的消息认证机制：导航卫星广播的是开放的、未加密的定位信号，任何设备都可以接收解析，无法确认信号来源的真实性与完整性。

易受伪造攻击：攻击者可使用软件无线电平台（如USRP）搭建伪造发射器，重放或篡改导航数据流，诱导接收端产生错误定位或授时。

缺乏有效的防御与检测手段：传统接收机难以区分真实卫星信号与伪造信号，容易被误导而不自知。

这种结构性安全弱点，已经在多次实际事件中暴露。

1. 典型攻击案例 阿塞拜疆客机GPS欺骗事件（2014年）： 阿塞拜疆航空一架客机在飞行途中，导航系统遭遇GPS欺骗攻击（Spoofing Attack），误导飞行路径偏离预定航线，险些导致严重事故。 后续调查确认，攻击者利用地面伪造设备重播虚假GPS信号，诱导飞机导航系统产生错误定位。

黑海商船集体定位偏移事件（2017年）： 多艘停泊在黑海沿岸的船只同时报告导航异常，位置数据大规模漂移。调查指向区域性GNSS欺骗活动，疑似为军事测试。

这些案例充分证明，在没有认证保护的开放式导航信号下，即使是规模较小、成本较低的攻击也能造成严重后果。

1. 我们的研究与技术方案 针对上述问题，我团队研发了基于射频指纹识别（RF Fingerprinting）和三维特征图分析的导航信号真实性检测系统，主要创新点如下：

（一）基于射频指纹的导航信号认证 核心思路： 每一颗导航卫星在发射信号过程中，因硬件制造差异、时钟漂移、功放特性等因素，都会在其射频信号中留下不可伪造的微小特征。 通过提取这些物理层指纹特性，可以建立卫星信号的唯一身份标识，实现对接收信号的真实性验证。

指纹提取与建模： 利用高精度采样设备对GPS、北斗下行信号进行捕获，提取多维度特征（包括频率抖动、相位噪声、调制特性、信号包络等），建立卫星指纹数据库。

实时认证与异常检测： 在实际运行中，接收设备实时提取到的指纹与合法指纹库进行快速比对，若指纹不符或特征异常，则判定为潜在欺骗或伪造信号，及时报警。

（二）引入3D特征图与图像识别技术 多维信号特征可视化： 将射频信号特征向量映射成三维灰度图（时间、频率、幅度三个维度），使复杂信号特征模式直观呈现。

图像识别算法增强检测： 引入卷积神经网络（CNN）等深度学习模型，对特征图进行分类与识别，有效提升对异常信号的敏感性与识别精度。

优势：

抗低信噪比环境（SNR<5dB）性能提升；

能有效检测多种欺骗模式（静态欺骗、动态拖移、重放攻击）；

自动适应多源卫星信号，支持GPS、北斗等多系统兼容识别。

1. 实验验证与性能评估 在野外实测和仿真环境下，我们分别对真实GPS/北斗信号和多种伪造信号进行了认证检测实验，结果如下：

检测准确率提升至99%： 能在短时间内准确识别真实与伪造信号，漏检率低于1%。

误报率控制在1.2%以下： 保证在高动态环境（如航行、飞行状态）下仍能稳定工作。

检测时延小于100毫秒： 实现近乎实时的导航信号完整性保护，满足军事应用、民用航空等高实时性场景需求。

系统稳定性验证： 在连续48小时多源信号监听测试中，无假阳性报警，无系统崩溃，表现出优良的工程可靠性。

五、伽利略导航系统的安全分析

随着全球对导航系统安全性的关注不断增强，欧洲伽利略（Galileo）卫星导航系统在设计之初就引入了导航消息认证（Navigation Message Authentication，简称NMA）机制，成为国际上首个公开提供民用导航认证服务的系统。 NMA旨在防止传统导航系统中普遍存在的伪造信号攻击，提高民用用户接收信号的真实性和可信性。

然而，通过系统性分析与实验验证，我们发现伽利略NMA机制在实际应用中仍存在一定安全漏洞，且可被特定攻击手段利用。

1. 伽利略NMA机制概述 伽利略系统的NMA服务主要包括两种模式：

OSNMA（Open Service Navigation Message Authentication） 面向开放服务（Open Service）用户，通过在导航消息中嵌入数字签名，提供消息源认证和完整性保护。

CAS（Commercial Authentication Service） 面向商业用户，提供更高安全等级的认证服务，包括加密信号与增强型防伪特性。

其中，OSNMA基于数字签名机制（通常采用ECDSA椭圆曲线数字签名算法），通过签名验证导航消息未被篡改，理论上能够有效抵御伪造与篡改攻击。

1. 我们发现的两类主要漏洞 尽管NMA大幅提升了导航消息的安全性，但在实际部署与协议细节上，仍存在可以被攻击者利用的漏洞，主要包括：

（一）重放攻击漏洞（Replay Attack） 原理： 由于伽利略系统出于通信延迟、终端性能等因素考虑，允许接收机在30秒的认证延迟窗口内，缓存并使用未及时验证的导航消息进行定位解算。 这一“宽容窗口”设计本意是提升系统鲁棒性，但却为攻击者留下了可乘之机。

攻击方式： 攻击者在合法环境中捕获伽利略导航消息，在30秒窗口内重新播放至受害终端附近。 终端由于无法及时完成认证验证，默认接受伪造信号，导致定位偏移、轨迹漂移等结果。

影响： 可以对航空航海器、车辆、无人机等依赖GNSS的系统实施隐蔽干扰，造成严重安全隐患。

（二）哈希顺序攻击漏洞（Hash Chain Manipulation） 原理： 伽利略NMA使用哈希链机制（Hash Chain）生成导航消息的认证密钥。 本质上，认证信息是基于连续导航消息哈希累积计算而成，依赖于严格的消息顺序。

漏洞点： 哈希链在验证时是按照“先生成、后逆序使用”的方式操作，且对链式完整性校验不足。 攻击者可以通过消息重组、拼接、替换等操作，制造伪造的哈希链认证数据，使得部分终端无法识别异常。

攻击方式：

捕获若干连续合法导航消息；

调整消息顺序或插入特制篡改消息；

通过哈希链拼接伪造认证信息，骗过部分接收机初步验证。

影响： 可能导致终端误信伪造导航路径，产生错误的位置信息和授时数据，进而影响依赖导航的关键业务系统。

1. 攻击原型系统与实验验证 针对上述两个漏洞，我们搭建了完整的攻击原型系统，主要包括：

信号采集模块：使用高精度SDR设备（如USRP系列）实时捕获伽利略L1频段导航信号。

信号编辑模块：开发自定义软件框架，实现导航消息解析、修改、重组、重签名（模拟攻击操作）。

信号发射模块：使用可编程无线电平台将伪造信号回放至测试终端。

实验结果： 重放攻击在30秒窗口内成功率达到98%；

哈希顺序篡改攻击在部分市售民用终端上实现稳定定位偏移，部分设备出现系统重启或导航功能异常。

实验充分证明，现有伽利略NMA设计在实战环境下仍存在可利用的攻击面，需进一步加强安全防护措施。

1. 防护思路与未来研究方向 针对上述漏洞，我们提出了初步的防护思路：

缩短认证窗口时间：将认证延迟窗口从30秒缩短至10秒以内，减少重放攻击时间窗口。

引入时间戳与物理层校验：在导航消息中增加绝对时间标识，并结合接收信号的到达时间、频率漂移等物理层参数进行双重验证。

强化哈希链校验机制：增加多级哈希链完整性验证，防止消息插入与重组攻击。

动态随机认证策略：随机抽检导航消息进行额外认证，以增加攻击者操作复杂度与风险。

目前，我们正在进一步优化攻击检测算法，并探索基于机器学习的导航信号异常识别机制，力争为伽利略及其他导航系统提供更强健的安全保障能力。

六、智能软件测试与航天器安全保障

随着人工智能技术的迅猛发展，智能化软件在航天器系统中的应用日益普及，涵盖自主导航、路径规划、智能故障诊断、资源调度优化等多个关键任务模块。 以嫦娥六号任务为例，其搭载的月球表面微型巡视探测器首次引入了基于深度学习的自主导航系统，标志着我国航天器智能化水平迈上了新台阶。

然而，智能软件的引入也带来了新的安全挑战：

智能模型的不确定性与不可解释性，增加了任务失控的风险；

传统嵌入式软件测试技术难以覆盖神经网络等非传统编程结构；

智能算法对环境噪声、异常输入极为敏感，易受干扰、诱导与攻击。

在此背景下，我团队围绕智能化嵌入式软件的安全性保障问题，开展了系统性研究与工程应用探索。

1. 对抗样本生成与鲁棒性测试 （一）研究动机 神经网络在高维输入空间中存在大量微小扰动即能引发错误决策的脆弱区域，被称为对抗样本（Adversarial Examples）。 在航天器环境中，一旦智能决策系统受到对抗样本干扰，可能导致路径规划偏移、目标识别失败、资源调度紊乱等严重后果。

（二）技术方法 黑盒攻击与白盒攻击结合： 针对航天智能系统的典型神经网络结构，设计多种扰动策略，在无模型内部知识（黑盒）和已知模型参数（白盒）两种场景下生成对抗样本。

梯度攻击、优化攻击与物理攻击结合： 包括FGSM、PGD、C&W攻击等常见方法，同时考虑现实环境中的物理扰动（如光照变化、噪声污染）影响。

自动化生成平台： 开发集成化对抗样本生成测试平台，可快速批量生成不同类型的对抗样本用于验证。

（三）应用效果 在嫦娥六号智能巡视器系统中，通过对抗样本测试，我们发现并修正了导航系统中的若干鲁棒性薄弱点，显著提升了其在复杂地形、极端光照条件下的决策可靠性。

1. 智能覆盖率引导测试 （一）研究动机 传统软件测试通常依赖于结构覆盖率指标（如语句覆盖、分支覆盖），但神经网络内部结构复杂，常规覆盖率指标无法有效衡量测试充分性。

（二）技术方法 神经元覆盖（Neuron Coverage）： 统计在推理过程中被激活的神经元比例，作为基本覆盖率指标。

多粒度覆盖体系： 引入脆弱路径覆盖、激活强度覆盖、组合神经元覆盖等多种新型指标，全面反映智能软件的行为空间。

基于覆盖率的测试用例生成： 结合进化搜索与启发式优化，生成高覆盖率的测试数据，提高漏洞暴露概率。

（三）应用效果 在对嫦娥六号智能导航模块进行测试时，通过智能覆盖率引导测试，整体覆盖率提升超过34%，发现多起潜在的决策异常隐患，大幅提升了系统鲁棒性与安全性。

1. 形式化验证技术应用 （一）研究动机 智能软件具有高度非线性与不可解释性，难以仅通过测试穷尽所有输入空间。 因此，需引入形式化验证方法，从数学角度严格证明系统满足关键安全属性。

（二）技术方法 约束抽象与求解（Constraint Solving）： 将神经网络推理过程建模为逻辑约束系统，使用SMT求解器验证属性是否被满足。

模型抽象与精化（Abstraction Refinement）： 对大型深度网络进行结构简化与近似建模，提升验证可扩展性与效率。

形式化规格制定： 明确定义智能模块在输入输出空间中的安全性要求（如决策一致性、边界条件下的稳定性）。

（三）应用效果 在智能导航系统中，我们成功对若干关键路径规划决策进行了形式化验证，确保其在极端地形条件下不会出现失控、回环或卡死等错误行为。

1. 不确定性量化评估 （一）研究动机 智能系统决策过程中不可避免地存在预测不确定性。 在航天任务这种高安全等级场景下，必须对每次智能决策结果的不确定性进行实时量化评估，以指导是否采信、是否触发备份机制。

（二）技术方法 贝叶斯推断（Bayesian Inference）： 将神经网络参数建模为分布，量化输出预测的不确定区间。

深度高斯过程（Deep Gaussian Process）建模： 对高维输入空间的不确定性传播进行建模与估计。

基于不确定性分界的安全决策： 当预测不确定性超过阈值时，自动切换至传统确定性导航模式或紧急回退策略。

（三）应用效果 在嫦娥六号任务测试中，通过不确定性量化评估，成功规避了多起极端地形导航误判风险，提升了整体任务成功率与系统韧性。

1. 智能软件自动化安全检测平台——“天控” 为支撑上述研究成果的实际应用落地，我团队自主研发了智能软件安全测试与验证一体化平台“天控”，具备以下主要功能：

对抗样本生成与鲁棒性测试模块；

智能覆盖率统计与用例引导模块；

形式化验证与规约检查模块；

不确定性量化评估与异常决策预警模块；

结果可视化与综合分析模块。

应用案例： 在嫦娥六号智能巡视器项目中，“天控”平台被全面应用于软件交付前的安全审查，发现并修正了200余处潜在安全问题，为任务的圆满成功提供了有力保障。

七、总结与展望

当前，全球范围内围绕卫星互联网、智能航天器系统的竞争正呈加速态势。美国、欧盟、日本等国家和地区纷纷将低轨星座布局、太空经济开发和航天器智能化作为国家战略的重要组成部分，力图在未来全球网络空间和太空空间中确立主导地位。

我国在卫星互联网与航天智能化领域同样取得了长足进步，从通信星座部署到智能导航系统研发，从关键领域应用到基础设施建设，逐步形成了具有自主创新能力和规模化发展的战略格局。

然而，随着系统复杂性日益提高，网络化程度持续深化，信息安全威胁也同步增长，主要体现在：

卫星互联网成为网络攻击与电子干扰的新战场；

导航系统信号欺骗与干扰手段不断演化；

航天器智能软件带来新的不可预测性与潜在漏洞。

这些挑战警示我们，航天领域的信息安全保障必须前置于系统设计之中，必须以系统工程思维和主动防御理念构建完善的安全防护体系，确保我国在未来全球竞争中立于不败之地。

未来重点工作方向 面向新一阶段的任务需求与挑战环境，我们将继续聚焦以下三个核心方向，深化研究与技术创新：

1. 卫星星座安全防护技术创新 深化低轨星座系统漏洞挖掘与攻防模拟研究；

构建基于物理层、网络层、应用层多重防护体系；

推进轨道空间资源安全监测与对抗能力建设；

探索量子通信、抗干扰调制等新型卫星安全通信技术。

1. 导航系统抗欺骗防护体系建设 完善GNSS信号真实性验证机制，提升抗伪造能力；

开发多源融合定位技术（GNSS+星基+地基）提升鲁棒性；

建立高动态环境下的欺骗检测与快速响应机制；

推动新一代导航消息认证标准与协议演进。

1. 智能软件可信测试与验证体系完善 深化对抗测试、智能覆盖、形式化验证等先进测试方法研究；

开发适配航天智能软件特点的持续验证与在线监测平台；

建立人工智能算法安全认证与标准评估体系；

推动智能航天器软件开发、验证、部署全生命周期安全保障体系化。

结语 各位专家、各位同仁，

未来航天事业的发展，既是科技的竞速，更是安全的竞赛。 信息安全已成为卫星互联网与航天智能系统不可或缺的核心能力。 唯有不断创新，不断挑战极限，才能在未来的全球航天强国竞争中赢得主动、赢得尊严。

在此，我们也诚挚希望：

各位专家继续指导；

各位同行携手合作；

各方力量共同参与；

让我们以更加开放、务实、进取的姿态，共同推动我国航天信息安全事业迈向新的高度，为实现航天强国目标贡献智慧与力量！

谢谢大家！