衛(wèi)星通信安全風(fēng)險(xiǎn)與防御技術(shù)概述

【摘 要】 本文介紹了衛(wèi)星通信發(fā)展現(xiàn)狀及演進(jìn)趨勢(shì)，分析了衛(wèi)星通信系統(tǒng)安全風(fēng)險(xiǎn)及安全防護(hù)體系面臨的挑戰(zhàn)，在闡述目前典型衛(wèi)星通信協(xié)議體系與安全機(jī)制的基礎(chǔ)上，總結(jié)出了衛(wèi)星通信系統(tǒng)面臨的具體安全威脅以及應(yīng)具備的主要安全特性與技術(shù)。

【關(guān)鍵詞】 衛(wèi)星通信 協(xié)議體制 安全威脅 防御體系

1 引言

隨著寬帶衛(wèi)星通信業(yè)務(wù)需求的增強(qiáng)，以高容量、低單位帶寬成本、靈活覆蓋為主要特點(diǎn)的高通量衛(wèi)星通信系統(tǒng)建設(shè)不斷提速。傳統(tǒng)高通量衛(wèi)星以高軌衛(wèi)星為主，近年來(lái)，工業(yè)界著力發(fā)展中低軌高通量衛(wèi)星系統(tǒng)。特別是由于小衛(wèi)星、發(fā)射和通信技術(shù)的快速發(fā)展，總體成本大為降低，通信衛(wèi)星領(lǐng)域呈現(xiàn)出越來(lái)越明顯的“低軌化”分布特征，低軌（LEO）通信衛(wèi)星部署數(shù)量也呈現(xiàn)爆發(fā)式增長(zhǎng)。特別是大型LEO衛(wèi)星星座建設(shè)計(jì)劃，如美國(guó)太空探索技術(shù)公司SpaceX的星鏈（Starlink）、英國(guó)一網(wǎng)公司OneWeb的低軌衛(wèi)星星座計(jì)劃等，把“寬帶LEO衛(wèi)星通信”推到一個(gè)前所未有的熱度。國(guó)內(nèi)的寬帶LEO衛(wèi)星通信系統(tǒng)早已起步，但進(jìn)展相對(duì)緩慢。目前，這些系統(tǒng)主要是基于Ku和Ka頻段提供衛(wèi)星通信服務(wù)，而更高頻段也在考慮和探索中。典型的衛(wèi)星通信系統(tǒng)架構(gòu)如圖1所示，包含用戶段、地面段以及空間段。

近年來(lái)，衛(wèi)星通信業(yè)界希望能夠利用地面移動(dòng)通信產(chǎn)業(yè)鏈和技術(shù)為公眾提供普遍互聯(lián)網(wǎng)服務(wù)。衛(wèi)星通信和地面移動(dòng)通信融合是大勢(shì)所趨，2條起源不同的技術(shù)路線將趨于統(tǒng)一技術(shù)體制，如圖2所示。業(yè)界普遍認(rèn)為集成空、天、地、海一體化通信系統(tǒng)是6G的藍(lán)圖。

由于自身的特點(diǎn)和限制，衛(wèi)星通信系統(tǒng)除了面對(duì)傳統(tǒng)無(wú)線通信和互聯(lián)網(wǎng)相關(guān)的安全威脅外，還面臨許多特有的安全風(fēng)險(xiǎn)問(wèn)題。為此，本文將在概括目前典型衛(wèi)星通信協(xié)議體系與安全機(jī)制的基礎(chǔ)上，總結(jié)出衛(wèi)星通信的實(shí)際安全威脅以及安全防御系統(tǒng)應(yīng)具有的主要安全特性與機(jī)制，進(jìn)而討論衛(wèi)星通信安全保密管理面臨的關(guān)鍵問(wèn)題。

2 衛(wèi)星通信系統(tǒng)安全威脅與防御技術(shù)

2.1 主要安全威脅

衛(wèi)星通信系統(tǒng)面臨的安全威脅多種多樣，威脅來(lái)源也不同，既可能源于衛(wèi)星通信協(xié)議及安全設(shè)計(jì)或?qū)崿F(xiàn)過(guò)程中的漏洞，也可能源于新技術(shù)被濫用而衍生出的新型攻擊手段。除了類似傳統(tǒng)的地面移動(dòng)網(wǎng)絡(luò)所面臨的安全威脅外，衛(wèi)星通信系統(tǒng)面臨的特有安全威脅主要是針對(duì)衛(wèi)星通信系統(tǒng)各無(wú)線鏈路、載荷和衛(wèi)星平臺(tái)的干擾、竊聽和攻擊等。

（1）空口干擾。衛(wèi)星通信系統(tǒng)中所有的無(wú)線設(shè)備接收到的無(wú)線信號(hào)都比較弱，而且各空間載荷的能力有限，因此容易被惡意干擾。對(duì)用戶鏈路、饋電鏈路、星間鏈路的干擾，可能會(huì)導(dǎo)致在某個(gè)區(qū)域內(nèi)的通信服務(wù)中斷；對(duì)測(cè)控鏈路的干擾，可能導(dǎo)致在一段時(shí)間內(nèi)無(wú)法進(jìn)行遙測(cè)、遙控等操作，進(jìn)而影響到衛(wèi)星的正常運(yùn)行。衛(wèi)星通信系統(tǒng)面臨的干擾可分為壓制式干擾和欺騙式干擾。

（2）空口竊聽。衛(wèi)星通信系統(tǒng)用戶鏈路和饋電鏈路的下行鏈路波束覆蓋范圍比較大，攻擊者容易接收到無(wú)線信號(hào)并可能破解出通信內(nèi)容；對(duì)于用戶鏈路和饋電鏈路的上行鏈路信號(hào)，攻擊者可以接收衛(wèi)星終端或地面站的旁瓣信號(hào)，并可能破解出通信內(nèi)容。2009年，美軍在伊拉克和阿富汗戰(zhàn)場(chǎng)使用的“捕食者”無(wú)人機(jī)圖像被攻擊者攔截，主要原因就是這些信息在通過(guò)衛(wèi)星傳輸?shù)倪^(guò)程中沒(méi)有加密。

（3）拒絕服務(wù)。由于空間通信平臺(tái)在功耗、體積、計(jì)算、存儲(chǔ)等方面嚴(yán)重受限，很容易受到“拒絕服務(wù)”攻擊。攻擊者可以用無(wú)線設(shè)備模仿衛(wèi)星終端或者入侵并控制合法終端設(shè)備，頻繁地發(fā)起隨機(jī)接入請(qǐng)求，消耗空口物理層隨機(jī)接入信道資源，使得其他衛(wèi)星終端無(wú)法正常接入衛(wèi)星通信系統(tǒng)。此外，星地?zé)o線鏈路跨度大，攻擊者通過(guò)施加大功率上行干擾，衛(wèi)星節(jié)點(diǎn)仍然可能工作在非線性區(qū)，造成功率掠奪問(wèn)題，使得正常的衛(wèi)星通信業(yè)務(wù)信號(hào)無(wú)法傳輸，導(dǎo)致衛(wèi)星系統(tǒng)癱瘓。

（4）重放攻擊。受限于衛(wèi)星平臺(tái)資源，由于測(cè)控鏈路大都沒(méi)有抗重放攻擊的功能，攻擊者可以將之前攔截并記錄的指令向目標(biāo)衛(wèi)星重復(fù)發(fā)送。若重放指令未被識(shí)別并丟棄，則衛(wèi)星有可能重復(fù)執(zhí)行操作從而導(dǎo)致衛(wèi)星天線指向錯(cuò)誤或運(yùn)行過(guò)程中偏離預(yù)定軌道。

（5）高功率微波（HPM）。通過(guò)地基或天基向目標(biāo)衛(wèi)星發(fā)射高功率脈沖，脈沖能量通過(guò)衛(wèi)星接天線進(jìn)入測(cè)控通道對(duì)衛(wèi)星測(cè)控通道中的電子器件造成不可逆的“硬傷”，可能導(dǎo)致整個(gè)衛(wèi)星測(cè)控通道失效。

（6）欺騙攻擊。由于衛(wèi)星互聯(lián)網(wǎng)中衛(wèi)星節(jié)點(diǎn)動(dòng)態(tài)接入的特點(diǎn)，真實(shí)節(jié)點(diǎn)可能被冒充，從而造成非法節(jié)點(diǎn)接入到衛(wèi)星互聯(lián)網(wǎng)中，導(dǎo)致系統(tǒng)發(fā)生異常甚至癱瘓。攻擊者可能假冒合法節(jié)點(diǎn)加入網(wǎng)絡(luò)，使原有合法節(jié)點(diǎn)的數(shù)據(jù)傳遞失常。例如，2003年，中國(guó)“鑫諾衛(wèi)星”的轉(zhuǎn)發(fā)器就遭到境外敵對(duì)者基于大功率信號(hào)偽裝衛(wèi)星地面站的劫持。

（7）路由攻擊。用戶數(shù)據(jù)在空間路由過(guò)程中可能面臨篡改攻擊、偽造攻擊等威脅。攻擊者可能偽造路由消息，在網(wǎng)絡(luò)中惡意篡改路由，造成無(wú)效路由，從而導(dǎo)致數(shù)據(jù)傳輸延時(shí)、傳輸開銷大幅增加等，嚴(yán)重降低網(wǎng)絡(luò)的性能。

2.2 衛(wèi)星通信系統(tǒng)主要安全特性

衛(wèi)星通信系統(tǒng)安全可以分成測(cè)控域安全、接入域安全及網(wǎng)絡(luò)域安全。其保護(hù)的對(duì)象主要是各空間載荷、設(shè)備、系統(tǒng)、測(cè)控流、業(yè)務(wù)流、信令、管理流和控制流。

2.2.1 測(cè)控域安全特性

測(cè)控域涉及衛(wèi)星平臺(tái)、測(cè)控站和衛(wèi)星操作中心，以及它們之間的通信鏈路。在實(shí)際部署中，還可能會(huì)借助第三方的測(cè)控站。因此，測(cè)控域安全至少包括以下特性：測(cè)控載荷與測(cè)控地面系統(tǒng)間的認(rèn)證、遙控?cái)?shù)據(jù)的機(jī)密性和完整性保護(hù)、遙測(cè)數(shù)據(jù)的機(jī)密性保護(hù)、測(cè)控站安全防護(hù)、衛(wèi)星操作中心安全防護(hù)。

2.2.2 接入域安全特性

接入域涉及衛(wèi)星終端、接入網(wǎng)載荷、地面接入網(wǎng)設(shè)備、核心網(wǎng)設(shè)備、用戶鏈路、饋電鏈路。用戶鏈路和饋電鏈路都是無(wú)線信道，需要無(wú)線鏈路安全保護(hù)。但當(dāng)衛(wèi)星載荷的工作在“星上處理”模式下，饋電鏈路不屬于接入域。接入域至少包括以下安全特性：衛(wèi)星終端與核心網(wǎng)間的認(rèn)證、信令機(jī)密性和完整性保護(hù)包括衛(wèi)星終端—接入網(wǎng)載荷/地面接入網(wǎng)設(shè)備間信令以及衛(wèi)星終端—核心網(wǎng)間信令、終端管理信息的機(jī)密性和完整性保護(hù)、業(yè)務(wù)數(shù)據(jù)的機(jī)密性及選擇性的完整性保護(hù)。

2.2.3 網(wǎng)絡(luò)域安全特性

網(wǎng)絡(luò)域安全涉及通信載荷、地面段設(shè)備或系統(tǒng)，以及它們之間的通信鏈路，網(wǎng)絡(luò)域安全至少包括以下安全特性：通信載荷與地面段網(wǎng)絡(luò)之間的認(rèn)證、信令機(jī)密性和完整性保護(hù)、網(wǎng)絡(luò)管理信息的機(jī)密性和完整性保護(hù)、網(wǎng)絡(luò)控制信息的機(jī)密性和完整性保護(hù)、相應(yīng)等級(jí)的密鑰管理、整個(gè)系統(tǒng)的安全管理、滿足相關(guān)法律要求的合法監(jiān)聽機(jī)制。

2.3 主要安全機(jī)制

衛(wèi)星通信系統(tǒng)主要安全機(jī)制包括以下4個(gè)方面。

（1）安全協(xié)議與密碼算法：盡管不同衛(wèi)星通信系統(tǒng)的安全設(shè)計(jì)不太一樣，但都把安全協(xié)議與密碼算法作為最主要的安全手段，用以實(shí)現(xiàn)認(rèn)證、密鑰協(xié)商、機(jī)密性保護(hù)、完整性保護(hù)和抗重放攻擊的功能。

（2）空口擾亂：在一些安全性要求較高的衛(wèi)星通信系統(tǒng)中，或針對(duì)安全性要求較高的用戶，通常利用擾亂的方式，隱藏L2幀頭或上層包頭，防止隱私泄露，同時(shí)也可增加破解的難度。

（3）擴(kuò)頻：在一些安全性較高的衛(wèi)星通信系統(tǒng)，利用擴(kuò)頻的方式提高系統(tǒng)的抗截獲能力和抗干擾能力。

（4）用戶身份保護(hù)：使用臨時(shí)標(biāo)識(shí)取代永久性標(biāo)識(shí)或?qū)τ谰眯詷?biāo)識(shí)進(jìn)行加密，以防止用戶隱私泄露或降低用戶隱私泄露的概率。

3 典型衛(wèi)星通信體制與安全協(xié)議設(shè)計(jì)

由于歷史及產(chǎn)業(yè)鏈原因，現(xiàn)有的衛(wèi)星通信系統(tǒng)所采用的通信體制各不相同，很難說(shuō)哪個(gè)衛(wèi)星通信系統(tǒng)完全符合被業(yè)界廣泛接受的標(biāo)準(zhǔn)。目前常見的衛(wèi)星通信系統(tǒng)的基礎(chǔ)標(biāo)準(zhǔn)主要來(lái)自CCSDS、ETSI和3GPP。

3.1 CCSDS協(xié)議體系與安全機(jī)制

空間數(shù)據(jù)系統(tǒng)咨詢委員會(huì)（CCSDS）于20世紀(jì)90年代定義了一套空間通信協(xié)議（Space Communication Protocol Specification，SCPS）。該協(xié)議體系最初只規(guī)定了鏈路層組網(wǎng)協(xié)議，包括普通在軌系統(tǒng)（COS）和高級(jí)在軌系統(tǒng)（AOS）2個(gè)部分，后來(lái)引入TCP/IP協(xié)議體系實(shí)現(xiàn)在網(wǎng)絡(luò)層互聯(lián)。空間通信協(xié)議體系結(jié)構(gòu)自下而上包括：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層，如圖3所示。

SCPS體系中的安全機(jī)制基于SCPS-SP協(xié)議實(shí)現(xiàn)。SCPS-SP應(yīng)用在網(wǎng)絡(luò)層和傳輸層之間，可以根據(jù)通信用戶的不同安全需求對(duì)這些來(lái)自傳輸層的數(shù)據(jù)單元提供相應(yīng)的安全性服務(wù)主要有4種：數(shù)據(jù)完整性檢查、機(jī)密性機(jī)制、身份認(rèn)證與接入控制。其認(rèn)證主要是依靠SCPS-SP定義的數(shù)據(jù)封裝規(guī)則，通過(guò)封裝通信雙方的網(wǎng)絡(luò)地址來(lái)實(shí)現(xiàn)。SCPS-SP協(xié)議的主要特點(diǎn)表現(xiàn)為最小的通信開銷和最佳比特率，這些優(yōu)勢(shì)在通信資源受到嚴(yán)重限制的空間通信系統(tǒng)中得到了充分發(fā)揮，但是SCSP-SP不提供抗重放攻擊的保護(hù)。

3.2 ETSIDVB協(xié)議體系與安全機(jī)制

DVB-RCS（Digital Video Broadcasting-Return Channel via Satellite）是歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)（ETSI）于2000年發(fā)布的第一個(gè)為交互式應(yīng)用而定義的衛(wèi)星通信行業(yè)標(biāo)準(zhǔn)。至2012年1月，陸續(xù)發(fā)布了第二代DVB交互衛(wèi)星系統(tǒng)（DVB-RCS2）系列標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)不僅定義了系統(tǒng)的底層協(xié)議，前向鏈路基于DVB-S2，反向鏈路基于DVB-RCS2，還定義了上層功能，包括管理和控制功能。目前不少Ku和Ka頻段的寬帶衛(wèi)星通信系統(tǒng)都基于DVB-S2（X）和DVB-RCS2標(biāo)準(zhǔn)。

DVB-RCS標(biāo)準(zhǔn)定義了網(wǎng)絡(luò)控制中心（NCC）與回傳鏈路衛(wèi)星通信終端（RCST）之間的認(rèn)證及密鑰交換機(jī)制。NCC為每個(gè)RCST分配一個(gè)cookie值作為其身份標(biāo)志，用于向NCC證明自己的身份。NCC在維護(hù)一個(gè)保存所有RCST的cookie值的數(shù)據(jù)庫(kù)，保證NCC可以驗(yàn)證合法RCST的身份。為實(shí)現(xiàn)NCC和RCST之間的密鑰交換，DVB-RCS定義了3種協(xié)議，包括主密鑰協(xié)商（Main Key Exchange，MKE）、快速密鑰協(xié)商（Quick Key Exchange，QKE）、顯式密鑰協(xié)商（Explicit Key Exchange，EKE）。但這些密鑰交換協(xié)議沒(méi)有考慮到主動(dòng)攻擊者的存在，因此面臨中間人攻擊的風(fēng)險(xiǎn)。另外，該協(xié)議只是單向身份認(rèn)證，存在一定的安全隱患。

DVB-RCS2協(xié)議為消費(fèi)級(jí)用戶、專業(yè)級(jí)用戶和政府級(jí)用戶制定了不同安全機(jī)制，如表1所示。

對(duì)于專業(yè)級(jí)用戶和政府級(jí)用戶，這套協(xié)議提供了包頭隱藏的機(jī)制；對(duì)于專業(yè)用戶來(lái)說(shuō)，其管理與控制面的安全機(jī)制基于IPSec。此外，還具備抗重放攻擊的能力。

3.3 3GPP協(xié)議體系與安全機(jī)制

目前有些運(yùn)行于L/S頻段的衛(wèi)星通信系統(tǒng)在空中接口設(shè)計(jì)上已經(jīng)借鑒了地面移動(dòng)通信網(wǎng)絡(luò)協(xié)議�！疤焱ㄒ惶�(hào)”、Thuraya等均采用3GPP-R4/R6空中接口分層方案，保留了上層協(xié)議（NAS層協(xié)議）絕大部分設(shè)計(jì)，主要針對(duì)星地傳輸鏈路特點(diǎn)設(shè)計(jì)物理層波形、話音承載、MAC幀結(jié)構(gòu)，以及RRC層資源分配算法進(jìn)行優(yōu)化。3GPP從R14階段開始探索將衛(wèi)星作為5G的接入方式之一，發(fā)揮衛(wèi)星在5G系統(tǒng)中的優(yōu)勢(shì)。其在R15中對(duì)衛(wèi)星通信與地面5G的融合做了進(jìn)一步研究。3GPP R16階段主要開展了衛(wèi)星5G系統(tǒng)架構(gòu)和新空中接口支持非地面網(wǎng)絡(luò)的解決方案等方面的研究，提出了針對(duì)無(wú)線空口協(xié)議、5G接入網(wǎng)架構(gòu)等相關(guān)問(wèn)題的解決方案。

3GPP定義的5G系統(tǒng)支持用戶面的機(jī)密性保護(hù)、控制面的機(jī)密性和完整性保護(hù)、抗重放攻擊、接入雙向認(rèn)證、密鑰和安全算法協(xié)商、用戶身份等隱私信息保護(hù)等安全機(jī)制�？紤]到專業(yè)用戶的安全需要和系統(tǒng)優(yōu)化的需要，也有不少系統(tǒng)在3GPP定義的安全上進(jìn)行較多修改。

4 結(jié)語(yǔ)

隨著低軌道、高通量衛(wèi)星星座的大量部署，衛(wèi)星通信與地面移動(dòng)通信融合的一體化系統(tǒng)將同時(shí)提供面向垂直行業(yè)的特殊服務(wù)及面向公眾的互聯(lián)網(wǎng)接入服務(wù)。由于衛(wèi)星通信系統(tǒng)自身的特點(diǎn)，相關(guān)安全問(wèn)題將會(huì)越來(lái)越突出。這不僅會(huì)影響用戶通信安全和衛(wèi)星通信系統(tǒng)安全，還可能威脅到國(guó)家安全。因此，衛(wèi)星通信系統(tǒng)需要具備輕量級(jí)、具有一定容錯(cuò)能力的通信安全技術(shù)和網(wǎng)絡(luò)防護(hù)體系。此外，衛(wèi)星通信與地面移動(dòng)通信的融合也給安全管理帶來(lái)新的挑戰(zhàn)，未來(lái)仍然需要探索適用于衛(wèi)星通信的高效安全保密管理機(jī)制。

（原載于《保密科學(xué)技術(shù)》雜志2022年6月刊）