國家保密局網(wǎng)站>>保密科技

衛(wèi)星通信安全風(fēng)險與防御技術(shù)概述

2023年06月06日    來源:國家保密科技測評中心【字體: 打印

【摘 要】 本文介紹了衛(wèi)星通信發(fā)展現(xiàn)狀及演進(jìn)趨勢,分析了衛(wèi)星通信系統(tǒng)安全風(fēng)險及安全防護(hù)體系面臨的挑戰(zhàn),在闡述目前典型衛(wèi)星通信協(xié)議體系與安全機(jī)制的基礎(chǔ)上,總結(jié)出了衛(wèi)星通信系統(tǒng)面臨的具體安全威脅以及應(yīng)具備的主要安全特性與技術(shù)。

【關(guān)鍵詞】 衛(wèi)星通信 協(xié)議體制 安全威脅 防御體系

1 引言

隨著寬帶衛(wèi)星通信業(yè)務(wù)需求的增強(qiáng),以高容量、低單位帶寬成本、靈活覆蓋為主要特點(diǎn)的高通量衛(wèi)星通信系統(tǒng)建設(shè)不斷提速。傳統(tǒng)高通量衛(wèi)星以高軌衛(wèi)星為主,近年來,工業(yè)界著力發(fā)展中低軌高通量衛(wèi)星系統(tǒng)。特別是由于小衛(wèi)星、發(fā)射和通信技術(shù)的快速發(fā)展,總體成本大為降低,通信衛(wèi)星領(lǐng)域呈現(xiàn)出越來越明顯的“低軌化”分布特征,低軌(LEO)通信衛(wèi)星部署數(shù)量也呈現(xiàn)爆發(fā)式增長。特別是大型LEO衛(wèi)星星座建設(shè)計劃,如美國太空探索技術(shù)公司SpaceX的星鏈(Starlink)、英國一網(wǎng)公司OneWeb的低軌衛(wèi)星星座計劃等,把“寬帶LEO衛(wèi)星通信”推到一個前所未有的熱度。國內(nèi)的寬帶LEO衛(wèi)星通信系統(tǒng)早已起步,但進(jìn)展相對緩慢。目前,這些系統(tǒng)主要是基于Ku和Ka頻段提供衛(wèi)星通信服務(wù),而更高頻段也在考慮和探索中。典型的衛(wèi)星通信系統(tǒng)架構(gòu)如圖1所示,包含用戶段、地面段以及空間段。

近年來,衛(wèi)星通信業(yè)界希望能夠利用地面移動通信產(chǎn)業(yè)鏈和技術(shù)為公眾提供普遍互聯(lián)網(wǎng)服務(wù)。衛(wèi)星通信和地面移動通信融合是大勢所趨,2條起源不同的技術(shù)路線將趨于統(tǒng)一技術(shù)體制,如圖2所示。業(yè)界普遍認(rèn)為集成空、天、地、海一體化通信系統(tǒng)是6G的藍(lán)圖。

由于自身的特點(diǎn)和限制,衛(wèi)星通信系統(tǒng)除了面對傳統(tǒng)無線通信和互聯(lián)網(wǎng)相關(guān)的安全威脅外,還面臨許多特有的安全風(fēng)險問題。為此,本文將在概括目前典型衛(wèi)星通信協(xié)議體系與安全機(jī)制的基礎(chǔ)上,總結(jié)出衛(wèi)星通信的實(shí)際安全威脅以及安全防御系統(tǒng)應(yīng)具有的主要安全特性與機(jī)制,進(jìn)而討論衛(wèi)星通信安全保密管理面臨的關(guān)鍵問題。

2 衛(wèi)星通信系統(tǒng)安全威脅與防御技術(shù)

2.1 主要安全威脅

衛(wèi)星通信系統(tǒng)面臨的安全威脅多種多樣,威脅來源也不同,既可能源于衛(wèi)星通信協(xié)議及安全設(shè)計或?qū)崿F(xiàn)過程中的漏洞,也可能源于新技術(shù)被濫用而衍生出的新型攻擊手段。除了類似傳統(tǒng)的地面移動網(wǎng)絡(luò)所面臨的安全威脅外,衛(wèi)星通信系統(tǒng)面臨的特有安全威脅主要是針對衛(wèi)星通信系統(tǒng)各無線鏈路、載荷和衛(wèi)星平臺的干擾、竊聽和攻擊等。

(1)空口干擾。衛(wèi)星通信系統(tǒng)中所有的無線設(shè)備接收到的無線信號都比較弱,而且各空間載荷的能力有限,因此容易被惡意干擾。對用戶鏈路、饋電鏈路、星間鏈路的干擾,可能會導(dǎo)致在某個區(qū)域內(nèi)的通信服務(wù)中斷;對測控鏈路的干擾,可能導(dǎo)致在一段時間內(nèi)無法進(jìn)行遙測、遙控等操作,進(jìn)而影響到衛(wèi)星的正常運(yùn)行。衛(wèi)星通信系統(tǒng)面臨的干擾可分為壓制式干擾和欺騙式干擾。

(2)空口竊聽。衛(wèi)星通信系統(tǒng)用戶鏈路和饋電鏈路的下行鏈路波束覆蓋范圍比較大,攻擊者容易接收到無線信號并可能破解出通信內(nèi)容;對于用戶鏈路和饋電鏈路的上行鏈路信號,攻擊者可以接收衛(wèi)星終端或地面站的旁瓣信號,并可能破解出通信內(nèi)容。2009年,美軍在伊拉克和阿富汗戰(zhàn)場使用的“捕食者”無人機(jī)圖像被攻擊者攔截,主要原因就是這些信息在通過衛(wèi)星傳輸?shù)倪^程中沒有加密。

(3)拒絕服務(wù)。由于空間通信平臺在功耗、體積、計算、存儲等方面嚴(yán)重受限,很容易受到“拒絕服務(wù)”攻擊。攻擊者可以用無線設(shè)備模仿衛(wèi)星終端或者入侵并控制合法終端設(shè)備,頻繁地發(fā)起隨機(jī)接入請求,消耗空口物理層隨機(jī)接入信道資源,使得其他衛(wèi)星終端無法正常接入衛(wèi)星通信系統(tǒng)。此外,星地?zé)o線鏈路跨度大,攻擊者通過施加大功率上行干擾,衛(wèi)星節(jié)點(diǎn)仍然可能工作在非線性區(qū),造成功率掠奪問題,使得正常的衛(wèi)星通信業(yè)務(wù)信號無法傳輸,導(dǎo)致衛(wèi)星系統(tǒng)癱瘓。

(4)重放攻擊。受限于衛(wèi)星平臺資源,由于測控鏈路大都沒有抗重放攻擊的功能,攻擊者可以將之前攔截并記錄的指令向目標(biāo)衛(wèi)星重復(fù)發(fā)送。若重放指令未被識別并丟棄,則衛(wèi)星有可能重復(fù)執(zhí)行操作從而導(dǎo)致衛(wèi)星天線指向錯誤或運(yùn)行過程中偏離預(yù)定軌道。

(5)高功率微波(HPM)。通過地基或天基向目標(biāo)衛(wèi)星發(fā)射高功率脈沖,脈沖能量通過衛(wèi)星接天線進(jìn)入測控通道對衛(wèi)星測控通道中的電子器件造成不可逆的“硬傷”,可能導(dǎo)致整個衛(wèi)星測控通道失效。

(6)欺騙攻擊。由于衛(wèi)星互聯(lián)網(wǎng)中衛(wèi)星節(jié)點(diǎn)動態(tài)接入的特點(diǎn),真實(shí)節(jié)點(diǎn)可能被冒充,從而造成非法節(jié)點(diǎn)接入到衛(wèi)星互聯(lián)網(wǎng)中,導(dǎo)致系統(tǒng)發(fā)生異常甚至癱瘓。攻擊者可能假冒合法節(jié)點(diǎn)加入網(wǎng)絡(luò),使原有合法節(jié)點(diǎn)的數(shù)據(jù)傳遞失常。例如,2003年,中國“鑫諾衛(wèi)星”的轉(zhuǎn)發(fā)器就遭到境外敵對者基于大功率信號偽裝衛(wèi)星地面站的劫持。

(7)路由攻擊。用戶數(shù)據(jù)在空間路由過程中可能面臨篡改攻擊、偽造攻擊等威脅。攻擊者可能偽造路由消息,在網(wǎng)絡(luò)中惡意篡改路由,造成無效路由,從而導(dǎo)致數(shù)據(jù)傳輸延時、傳輸開銷大幅增加等,嚴(yán)重降低網(wǎng)絡(luò)的性能。

2.2 衛(wèi)星通信系統(tǒng)主要安全特性

衛(wèi)星通信系統(tǒng)安全可以分成測控域安全、接入域安全及網(wǎng)絡(luò)域安全。其保護(hù)的對象主要是各空間載荷、設(shè)備、系統(tǒng)、測控流、業(yè)務(wù)流、信令、管理流和控制流。

2.2.1 測控域安全特性

測控域涉及衛(wèi)星平臺、測控站和衛(wèi)星操作中心,以及它們之間的通信鏈路。在實(shí)際部署中,還可能會借助第三方的測控站。因此,測控域安全至少包括以下特性:測控載荷與測控地面系統(tǒng)間的認(rèn)證、遙控數(shù)據(jù)的機(jī)密性和完整性保護(hù)、遙測數(shù)據(jù)的機(jī)密性保護(hù)、測控站安全防護(hù)、衛(wèi)星操作中心安全防護(hù)。

2.2.2 接入域安全特性

接入域涉及衛(wèi)星終端、接入網(wǎng)載荷、地面接入網(wǎng)設(shè)備、核心網(wǎng)設(shè)備、用戶鏈路、饋電鏈路。用戶鏈路和饋電鏈路都是無線信道,需要無線鏈路安全保護(hù)。但當(dāng)衛(wèi)星載荷的工作在“星上處理”模式下,饋電鏈路不屬于接入域。接入域至少包括以下安全特性:衛(wèi)星終端與核心網(wǎng)間的認(rèn)證、信令機(jī)密性和完整性保護(hù)包括衛(wèi)星終端—接入網(wǎng)載荷/地面接入網(wǎng)設(shè)備間信令以及衛(wèi)星終端—核心網(wǎng)間信令、終端管理信息的機(jī)密性和完整性保護(hù)、業(yè)務(wù)數(shù)據(jù)的機(jī)密性及選擇性的完整性保護(hù)。

2.2.3 網(wǎng)絡(luò)域安全特性

網(wǎng)絡(luò)域安全涉及通信載荷、地面段設(shè)備或系統(tǒng),以及它們之間的通信鏈路,網(wǎng)絡(luò)域安全至少包括以下安全特性:通信載荷與地面段網(wǎng)絡(luò)之間的認(rèn)證、信令機(jī)密性和完整性保護(hù)、網(wǎng)絡(luò)管理信息的機(jī)密性和完整性保護(hù)、網(wǎng)絡(luò)控制信息的機(jī)密性和完整性保護(hù)、相應(yīng)等級的密鑰管理、整個系統(tǒng)的安全管理、滿足相關(guān)法律要求的合法監(jiān)聽機(jī)制。

2.3 主要安全機(jī)制

衛(wèi)星通信系統(tǒng)主要安全機(jī)制包括以下4個方面。

(1)安全協(xié)議與密碼算法:盡管不同衛(wèi)星通信系統(tǒng)的安全設(shè)計不太一樣,但都把安全協(xié)議與密碼算法作為最主要的安全手段,用以實(shí)現(xiàn)認(rèn)證、密鑰協(xié)商、機(jī)密性保護(hù)、完整性保護(hù)和抗重放攻擊的功能。

(2)空口擾亂:在一些安全性要求較高的衛(wèi)星通信系統(tǒng)中,或針對安全性要求較高的用戶,通常利用擾亂的方式,隱藏L2幀頭或上層包頭,防止隱私泄露,同時也可增加破解的難度。

(3)擴(kuò)頻:在一些安全性較高的衛(wèi)星通信系統(tǒng),利用擴(kuò)頻的方式提高系統(tǒng)的抗截獲能力和抗干擾能力。

(4)用戶身份保護(hù):使用臨時標(biāo)識取代永久性標(biāo)識或?qū)τ谰眯詷?biāo)識進(jìn)行加密,以防止用戶隱私泄露或降低用戶隱私泄露的概率。

3 典型衛(wèi)星通信體制與安全協(xié)議設(shè)計

由于歷史及產(chǎn)業(yè)鏈原因,現(xiàn)有的衛(wèi)星通信系統(tǒng)所采用的通信體制各不相同,很難說哪個衛(wèi)星通信系統(tǒng)完全符合被業(yè)界廣泛接受的標(biāo)準(zhǔn)。目前常見的衛(wèi)星通信系統(tǒng)的基礎(chǔ)標(biāo)準(zhǔn)主要來自CCSDS、ETSI和3GPP。

3.1 CCSDS協(xié)議體系與安全機(jī)制

空間數(shù)據(jù)系統(tǒng)咨詢委員會(CCSDS)于20世紀(jì)90年代定義了一套空間通信協(xié)議(Space Communication Protocol Specification,SCPS)。該協(xié)議體系最初只規(guī)定了鏈路層組網(wǎng)協(xié)議,包括普通在軌系統(tǒng)(COS)和高級在軌系統(tǒng)(AOS)2個部分,后來引入TCP/IP協(xié)議體系實(shí)現(xiàn)在網(wǎng)絡(luò)層互聯(lián)。空間通信協(xié)議體系結(jié)構(gòu)自下而上包括:物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層,如圖3所示。

SCPS體系中的安全機(jī)制基于SCPS-SP協(xié)議實(shí)現(xiàn)。SCPS-SP應(yīng)用在網(wǎng)絡(luò)層和傳輸層之間,可以根據(jù)通信用戶的不同安全需求對這些來自傳輸層的數(shù)據(jù)單元提供相應(yīng)的安全性服務(wù)主要有4種:數(shù)據(jù)完整性檢查、機(jī)密性機(jī)制、身份認(rèn)證與接入控制。其認(rèn)證主要是依靠SCPS-SP定義的數(shù)據(jù)封裝規(guī)則,通過封裝通信雙方的網(wǎng)絡(luò)地址來實(shí)現(xiàn)。SCPS-SP協(xié)議的主要特點(diǎn)表現(xiàn)為最小的通信開銷和最佳比特率,這些優(yōu)勢在通信資源受到嚴(yán)重限制的空間通信系統(tǒng)中得到了充分發(fā)揮,但是SCSP-SP不提供抗重放攻擊的保護(hù)。

3.2 ETSIDVB協(xié)議體系與安全機(jī)制

DVB-RCS(Digital Video Broadcasting-Return Channel via Satellite)是歐洲電信標(biāo)準(zhǔn)協(xié)會(ETSI)于2000年發(fā)布的第一個為交互式應(yīng)用而定義的衛(wèi)星通信行業(yè)標(biāo)準(zhǔn)。至2012年1月,陸續(xù)發(fā)布了第二代DVB交互衛(wèi)星系統(tǒng)(DVB-RCS2)系列標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)不僅定義了系統(tǒng)的底層協(xié)議,前向鏈路基于DVB-S2,反向鏈路基于DVB-RCS2,還定義了上層功能,包括管理和控制功能。目前不少Ku和Ka頻段的寬帶衛(wèi)星通信系統(tǒng)都基于DVB-S2(X)和DVB-RCS2標(biāo)準(zhǔn)。

DVB-RCS標(biāo)準(zhǔn)定義了網(wǎng)絡(luò)控制中心(NCC)與回傳鏈路衛(wèi)星通信終端(RCST)之間的認(rèn)證及密鑰交換機(jī)制。NCC為每個RCST分配一個cookie值作為其身份標(biāo)志,用于向NCC證明自己的身份。NCC在維護(hù)一個保存所有RCST的cookie值的數(shù)據(jù)庫,保證NCC可以驗證合法RCST的身份。為實(shí)現(xiàn)NCC和RCST之間的密鑰交換,DVB-RCS定義了3種協(xié)議,包括主密鑰協(xié)商(Main Key Exchange,MKE)、快速密鑰協(xié)商(Quick Key Exchange,QKE)、顯式密鑰協(xié)商(Explicit Key Exchange,EKE)。但這些密鑰交換協(xié)議沒有考慮到主動攻擊者的存在,因此面臨中間人攻擊的風(fēng)險。另外,該協(xié)議只是單向身份認(rèn)證,存在一定的安全隱患。

DVB-RCS2協(xié)議為消費(fèi)級用戶、專業(yè)級用戶和政府級用戶制定了不同安全機(jī)制,如表1所示。

對于專業(yè)級用戶和政府級用戶,這套協(xié)議提供了包頭隱藏的機(jī)制;對于專業(yè)用戶來說,其管理與控制面的安全機(jī)制基于IPSec。此外,還具備抗重放攻擊的能力。

3.3 3GPP協(xié)議體系與安全機(jī)制

目前有些運(yùn)行于L/S頻段的衛(wèi)星通信系統(tǒng)在空中接口設(shè)計上已經(jīng)借鑒了地面移動通信網(wǎng)絡(luò)協(xié)議。“天通一號”、Thuraya等均采用3GPP-R4/R6空中接口分層方案,保留了上層協(xié)議(NAS層協(xié)議)絕大部分設(shè)計,主要針對星地傳輸鏈路特點(diǎn)設(shè)計物理層波形、話音承載、MAC幀結(jié)構(gòu),以及RRC層資源分配算法進(jìn)行優(yōu)化。3GPP從R14階段開始探索將衛(wèi)星作為5G的接入方式之一,發(fā)揮衛(wèi)星在5G系統(tǒng)中的優(yōu)勢。其在R15中對衛(wèi)星通信與地面5G的融合做了進(jìn)一步研究。3GPP R16階段主要開展了衛(wèi)星5G系統(tǒng)架構(gòu)和新空中接口支持非地面網(wǎng)絡(luò)的解決方案等方面的研究,提出了針對無線空口協(xié)議、5G接入網(wǎng)架構(gòu)等相關(guān)問題的解決方案。

3GPP定義的5G系統(tǒng)支持用戶面的機(jī)密性保護(hù)、控制面的機(jī)密性和完整性保護(hù)、抗重放攻擊、接入雙向認(rèn)證、密鑰和安全算法協(xié)商、用戶身份等隱私信息保護(hù)等安全機(jī)制?紤]到專業(yè)用戶的安全需要和系統(tǒng)優(yōu)化的需要,也有不少系統(tǒng)在3GPP定義的安全上進(jìn)行較多修改。

4 結(jié)語

隨著低軌道、高通量衛(wèi)星星座的大量部署,衛(wèi)星通信與地面移動通信融合的一體化系統(tǒng)將同時提供面向垂直行業(yè)的特殊服務(wù)及面向公眾的互聯(lián)網(wǎng)接入服務(wù)。由于衛(wèi)星通信系統(tǒng)自身的特點(diǎn),相關(guān)安全問題將會越來越突出。這不僅會影響用戶通信安全和衛(wèi)星通信系統(tǒng)安全,還可能威脅到國家安全。因此,衛(wèi)星通信系統(tǒng)需要具備輕量級、具有一定容錯能力的通信安全技術(shù)和網(wǎng)絡(luò)防護(hù)體系。此外,衛(wèi)星通信與地面移動通信的融合也給安全管理帶來新的挑戰(zhàn),未來仍然需要探索適用于衛(wèi)星通信的高效安全保密管理機(jī)制。

(原載于《保密科學(xué)技術(shù)》雜志2022年6月刊)