衛(wèi)星通信安全風險與防御技術概述

【摘 要】 本文介紹了衛(wèi)星通信發(fā)展現(xiàn)狀及演進趨勢，分析了衛(wèi)星通信系統(tǒng)安全風險及安全防護體系面臨的挑戰(zhàn)，在闡述目前典型衛(wèi)星通信協(xié)議體系與安全機制的基礎上，總結出了衛(wèi)星通信系統(tǒng)面臨的具體安全威脅以及應具備的主要安全特性與技術。

【關鍵詞】 衛(wèi)星通信 協(xié)議體制 安全威脅 防御體系

1 引言

隨著寬帶衛(wèi)星通信業(yè)務需求的增強，以高容量、低單位帶寬成本、靈活覆蓋為主要特點的高通量衛(wèi)星通信系統(tǒng)建設不斷提速。傳統(tǒng)高通量衛(wèi)星以高軌衛(wèi)星為主，近年來，工業(yè)界著力發(fā)展中低軌高通量衛(wèi)星系統(tǒng)。特別是由于小衛(wèi)星、發(fā)射和通信技術的快速發(fā)展，總體成本大為降低，通信衛(wèi)星領域呈現(xiàn)出越來越明顯的“低軌化”分布特征，低軌（LEO）通信衛(wèi)星部署數(shù)量也呈現(xiàn)爆發(fā)式增長。特別是大型LEO衛(wèi)星星座建設計劃，如美國太空探索技術公司SpaceX的星鏈（Starlink）、英國一網(wǎng)公司OneWeb的低軌衛(wèi)星星座計劃等，把“寬帶LEO衛(wèi)星通信”推到一個前所未有的熱度。國內(nèi)的寬帶LEO衛(wèi)星通信系統(tǒng)早已起步，但進展相對緩慢。目前，這些系統(tǒng)主要是基于Ku和Ka頻段提供衛(wèi)星通信服務，而更高頻段也在考慮和探索中。典型的衛(wèi)星通信系統(tǒng)架構如圖1所示，包含用戶段、地面段以及空間段。

近年來，衛(wèi)星通信業(yè)界希望能夠利用地面移動通信產(chǎn)業(yè)鏈和技術為公眾提供普遍互聯(lián)網(wǎng)服務。衛(wèi)星通信和地面移動通信融合是大勢所趨，2條起源不同的技術路線將趨于統(tǒng)一技術體制，如圖2所示。業(yè)界普遍認為集成空、天、地、海一體化通信系統(tǒng)是6G的藍圖。

由于自身的特點和限制，衛(wèi)星通信系統(tǒng)除了面對傳統(tǒng)無線通信和互聯(lián)網(wǎng)相關的安全威脅外，還面臨許多特有的安全風險問題。為此，本文將在概括目前典型衛(wèi)星通信協(xié)議體系與安全機制的基礎上，總結出衛(wèi)星通信的實際安全威脅以及安全防御系統(tǒng)應具有的主要安全特性與機制，進而討論衛(wèi)星通信安全保密管理面臨的關鍵問題。

2 衛(wèi)星通信系統(tǒng)安全威脅與防御技術

2.1 主要安全威脅

衛(wèi)星通信系統(tǒng)面臨的安全威脅多種多樣，威脅來源也不同，既可能源于衛(wèi)星通信協(xié)議及安全設計或?qū)崿F(xiàn)過程中的漏洞，也可能源于新技術被濫用而衍生出的新型攻擊手段。除了類似傳統(tǒng)的地面移動網(wǎng)絡所面臨的安全威脅外，衛(wèi)星通信系統(tǒng)面臨的特有安全威脅主要是針對衛(wèi)星通信系統(tǒng)各無線鏈路、載荷和衛(wèi)星平臺的干擾、竊聽和攻擊等。

（1）空口干擾。衛(wèi)星通信系統(tǒng)中所有的無線設備接收到的無線信號都比較弱，而且各空間載荷的能力有限，因此容易被惡意干擾。對用戶鏈路、饋電鏈路、星間鏈路的干擾，可能會導致在某個區(qū)域內(nèi)的通信服務中斷；對測控鏈路的干擾，可能導致在一段時間內(nèi)無法進行遙測、遙控等操作，進而影響到衛(wèi)星的正常運行。衛(wèi)星通信系統(tǒng)面臨的干擾可分為壓制式干擾和欺騙式干擾。

（2）空口竊聽。衛(wèi)星通信系統(tǒng)用戶鏈路和饋電鏈路的下行鏈路波束覆蓋范圍比較大，攻擊者容易接收到無線信號并可能破解出通信內(nèi)容；對于用戶鏈路和饋電鏈路的上行鏈路信號，攻擊者可以接收衛(wèi)星終端或地面站的旁瓣信號，并可能破解出通信內(nèi)容。2009年，美軍在伊拉克和阿富汗戰(zhàn)場使用的“捕食者”無人機圖像被攻擊者攔截，主要原因就是這些信息在通過衛(wèi)星傳輸?shù)倪^程中沒有加密。

（3）拒絕服務。由于空間通信平臺在功耗、體積、計算、存儲等方面嚴重受限，很容易受到“拒絕服務”攻擊。攻擊者可以用無線設備模仿衛(wèi)星終端或者入侵并控制合法終端設備，頻繁地發(fā)起隨機接入請求，消耗空口物理層隨機接入信道資源，使得其他衛(wèi)星終端無法正常接入衛(wèi)星通信系統(tǒng)。此外，星地無線鏈路跨度大，攻擊者通過施加大功率上行干擾，衛(wèi)星節(jié)點仍然可能工作在非線性區(qū)，造成功率掠奪問題，使得正常的衛(wèi)星通信業(yè)務信號無法傳輸，導致衛(wèi)星系統(tǒng)癱瘓。

（4）重放攻擊。受限于衛(wèi)星平臺資源，由于測控鏈路大都沒有抗重放攻擊的功能，攻擊者可以將之前攔截并記錄的指令向目標衛(wèi)星重復發(fā)送。若重放指令未被識別并丟棄，則衛(wèi)星有可能重復執(zhí)行操作從而導致衛(wèi)星天線指向錯誤或運行過程中偏離預定軌道。

（5）高功率微波（HPM）。通過地基或天基向目標衛(wèi)星發(fā)射高功率脈沖，脈沖能量通過衛(wèi)星接天線進入測控通道對衛(wèi)星測控通道中的電子器件造成不可逆的“硬傷”，可能導致整個衛(wèi)星測控通道失效。

（6）欺騙攻擊。由于衛(wèi)星互聯(lián)網(wǎng)中衛(wèi)星節(jié)點動態(tài)接入的特點，真實節(jié)點可能被冒充，從而造成非法節(jié)點接入到衛(wèi)星互聯(lián)網(wǎng)中，導致系統(tǒng)發(fā)生異常甚至癱瘓。攻擊者可能假冒合法節(jié)點加入網(wǎng)絡，使原有合法節(jié)點的數(shù)據(jù)傳遞失常。例如，2003年，中國“鑫諾衛(wèi)星”的轉發(fā)器就遭到境外敵對者基于大功率信號偽裝衛(wèi)星地面站的劫持。

（7）路由攻擊。用戶數(shù)據(jù)在空間路由過程中可能面臨篡改攻擊、偽造攻擊等威脅。攻擊者可能偽造路由消息，在網(wǎng)絡中惡意篡改路由，造成無效路由，從而導致數(shù)據(jù)傳輸延時、傳輸開銷大幅增加等，嚴重降低網(wǎng)絡的性能。

2.2 衛(wèi)星通信系統(tǒng)主要安全特性

衛(wèi)星通信系統(tǒng)安全可以分成測控域安全、接入域安全及網(wǎng)絡域安全。其保護的對象主要是各空間載荷、設備、系統(tǒng)、測控流、業(yè)務流、信令、管理流和控制流。

2.2.1 測控域安全特性

測控域涉及衛(wèi)星平臺、測控站和衛(wèi)星操作中心，以及它們之間的通信鏈路。在實際部署中，還可能會借助第三方的測控站。因此，測控域安全至少包括以下特性：測控載荷與測控地面系統(tǒng)間的認證、遙控數(shù)據(jù)的機密性和完整性保護、遙測數(shù)據(jù)的機密性保護、測控站安全防護、衛(wèi)星操作中心安全防護。

2.2.2 接入域安全特性

接入域涉及衛(wèi)星終端、接入網(wǎng)載荷、地面接入網(wǎng)設備、核心網(wǎng)設備、用戶鏈路、饋電鏈路。用戶鏈路和饋電鏈路都是無線信道，需要無線鏈路安全保護。但當衛(wèi)星載荷的工作在“星上處理”模式下，饋電鏈路不屬于接入域。接入域至少包括以下安全特性：衛(wèi)星終端與核心網(wǎng)間的認證、信令機密性和完整性保護包括衛(wèi)星終端—接入網(wǎng)載荷/地面接入網(wǎng)設備間信令以及衛(wèi)星終端—核心網(wǎng)間信令、終端管理信息的機密性和完整性保護、業(yè)務數(shù)據(jù)的機密性及選擇性的完整性保護。

2.2.3 網(wǎng)絡域安全特性

網(wǎng)絡域安全涉及通信載荷、地面段設備或系統(tǒng)，以及它們之間的通信鏈路，網(wǎng)絡域安全至少包括以下安全特性：通信載荷與地面段網(wǎng)絡之間的認證、信令機密性和完整性保護、網(wǎng)絡管理信息的機密性和完整性保護、網(wǎng)絡控制信息的機密性和完整性保護、相應等級的密鑰管理、整個系統(tǒng)的安全管理、滿足相關法律要求的合法監(jiān)聽機制。

2.3 主要安全機制

衛(wèi)星通信系統(tǒng)主要安全機制包括以下4個方面。

（1）安全協(xié)議與密碼算法：盡管不同衛(wèi)星通信系統(tǒng)的安全設計不太一樣，但都把安全協(xié)議與密碼算法作為最主要的安全手段，用以實現(xiàn)認證、密鑰協(xié)商、機密性保護、完整性保護和抗重放攻擊的功能。

（2）空口擾亂：在一些安全性要求較高的衛(wèi)星通信系統(tǒng)中，或針對安全性要求較高的用戶，通常利用擾亂的方式，隱藏L2幀頭或上層包頭，防止隱私泄露，同時也可增加破解的難度。

（3）擴頻：在一些安全性較高的衛(wèi)星通信系統(tǒng)，利用擴頻的方式提高系統(tǒng)的抗截獲能力和抗干擾能力。

（4）用戶身份保護：使用臨時標識取代永久性標識或?qū)τ谰眯詷俗R進行加密，以防止用戶隱私泄露或降低用戶隱私泄露的概率。

3 典型衛(wèi)星通信體制與安全協(xié)議設計

由于歷史及產(chǎn)業(yè)鏈原因，現(xiàn)有的衛(wèi)星通信系統(tǒng)所采用的通信體制各不相同，很難說哪個衛(wèi)星通信系統(tǒng)完全符合被業(yè)界廣泛接受的標準。目前常見的衛(wèi)星通信系統(tǒng)的基礎標準主要來自CCSDS、ETSI和3GPP。

3.1 CCSDS協(xié)議體系與安全機制

空間數(shù)據(jù)系統(tǒng)咨詢委員會（CCSDS）于20世紀90年代定義了一套空間通信協(xié)議（Space Communication Protocol Specification，SCPS）。該協(xié)議體系最初只規(guī)定了鏈路層組網(wǎng)協(xié)議，包括普通在軌系統(tǒng)（COS）和高級在軌系統(tǒng)（AOS）2個部分，后來引入TCP/IP協(xié)議體系實現(xiàn)在網(wǎng)絡層互聯(lián)�？臻g通信協(xié)議體系結構自下而上包括：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層和應用層，如圖3所示。

SCPS體系中的安全機制基于SCPS-SP協(xié)議實現(xiàn)。SCPS-SP應用在網(wǎng)絡層和傳輸層之間，可以根據(jù)通信用戶的不同安全需求對這些來自傳輸層的數(shù)據(jù)單元提供相應的安全性服務主要有4種：數(shù)據(jù)完整性檢查、機密性機制、身份認證與接入控制。其認證主要是依靠SCPS-SP定義的數(shù)據(jù)封裝規(guī)則，通過封裝通信雙方的網(wǎng)絡地址來實現(xiàn)。SCPS-SP協(xié)議的主要特點表現(xiàn)為最小的通信開銷和最佳比特率，這些優(yōu)勢在通信資源受到嚴重限制的空間通信系統(tǒng)中得到了充分發(fā)揮，但是SCSP-SP不提供抗重放攻擊的保護。

3.2 ETSIDVB協(xié)議體系與安全機制

DVB-RCS（Digital Video Broadcasting-Return Channel via Satellite）是歐洲電信標準協(xié)會（ETSI）于2000年發(fā)布的第一個為交互式應用而定義的衛(wèi)星通信行業(yè)標準。至2012年1月，陸續(xù)發(fā)布了第二代DVB交互衛(wèi)星系統(tǒng)（DVB-RCS2）系列標準。該標準不僅定義了系統(tǒng)的底層協(xié)議，前向鏈路基于DVB-S2，反向鏈路基于DVB-RCS2，還定義了上層功能，包括管理和控制功能。目前不少Ku和Ka頻段的寬帶衛(wèi)星通信系統(tǒng)都基于DVB-S2（X）和DVB-RCS2標準。

DVB-RCS標準定義了網(wǎng)絡控制中心（NCC）與回傳鏈路衛(wèi)星通信終端（RCST）之間的認證及密鑰交換機制。NCC為每個RCST分配一個cookie值作為其身份標志，用于向NCC證明自己的身份。NCC在維護一個保存所有RCST的cookie值的數(shù)據(jù)庫，保證NCC可以驗證合法RCST的身份。為實現(xiàn)NCC和RCST之間的密鑰交換，DVB-RCS定義了3種協(xié)議，包括主密鑰協(xié)商（Main Key Exchange，MKE）、快速密鑰協(xié)商（Quick Key Exchange，QKE）、顯式密鑰協(xié)商（Explicit Key Exchange，EKE）。但這些密鑰交換協(xié)議沒有考慮到主動攻擊者的存在，因此面臨中間人攻擊的風險。另外，該協(xié)議只是單向身份認證，存在一定的安全隱患。

DVB-RCS2協(xié)議為消費級用戶、專業(yè)級用戶和政府級用戶制定了不同安全機制，如表1所示。

對于專業(yè)級用戶和政府級用戶，這套協(xié)議提供了包頭隱藏的機制；對于專業(yè)用戶來說，其管理與控制面的安全機制基于IPSec。此外，還具備抗重放攻擊的能力。

3.3 3GPP協(xié)議體系與安全機制

目前有些運行于L/S頻段的衛(wèi)星通信系統(tǒng)在空中接口設計上已經(jīng)借鑒了地面移動通信網(wǎng)絡協(xié)議�！疤焱ㄒ惶枴�、Thuraya等均采用3GPP-R4/R6空中接口分層方案，保留了上層協(xié)議（NAS層協(xié)議）絕大部分設計，主要針對星地傳輸鏈路特點設計物理層波形、話音承載、MAC幀結構，以及RRC層資源分配算法進行優(yōu)化。3GPP從R14階段開始探索將衛(wèi)星作為5G的接入方式之一，發(fā)揮衛(wèi)星在5G系統(tǒng)中的優(yōu)勢。其在R15中對衛(wèi)星通信與地面5G的融合做了進一步研究。3GPP R16階段主要開展了衛(wèi)星5G系統(tǒng)架構和新空中接口支持非地面網(wǎng)絡的解決方案等方面的研究，提出了針對無線空口協(xié)議、5G接入網(wǎng)架構等相關問題的解決方案。

3GPP定義的5G系統(tǒng)支持用戶面的機密性保護、控制面的機密性和完整性保護、抗重放攻擊、接入雙向認證、密鑰和安全算法協(xié)商、用戶身份等隱私信息保護等安全機制�？紤]到專業(yè)用戶的安全需要和系統(tǒng)優(yōu)化的需要，也有不少系統(tǒng)在3GPP定義的安全上進行較多修改。

4 結語

隨著低軌道、高通量衛(wèi)星星座的大量部署，衛(wèi)星通信與地面移動通信融合的一體化系統(tǒng)將同時提供面向垂直行業(yè)的特殊服務及面向公眾的互聯(lián)網(wǎng)接入服務。由于衛(wèi)星通信系統(tǒng)自身的特點，相關安全問題將會越來越突出。這不僅會影響用戶通信安全和衛(wèi)星通信系統(tǒng)安全，還可能威脅到國家安全。因此，衛(wèi)星通信系統(tǒng)需要具備輕量級、具有一定容錯能力的通信安全技術和網(wǎng)絡防護體系。此外，衛(wèi)星通信與地面移動通信的融合也給安全管理帶來新的挑戰(zhàn)，未來仍然需要探索適用于衛(wèi)星通信的高效安全保密管理機制。

（原載于《保密科學技術》雜志2022年6月刊）