現有技術應用于“星融網”建設過程中面臨的安全風險初探

◎中國航天系統科學與工程研究院 顧升高 閆陳靜 陳漠 張偉

一、引言

隨著全球網絡信息化的不斷發展，基于系統工程理論方法，以天基系統為主體的“星融網”新型未來全球全域網絡架構應運而生。“星融網”是由覆蓋全球的不同軌道、不同類型、不同性能的衛星，通過星間、星地鏈路將地面、海上、空中和深空中的用戶、飛行器以及各種通信平臺密集聯合，按照信息資源的最大有效綜合利用原則，進行信息準確獲取、快速處理、高效傳輸和綜合應用的一體化高速寬帶大容量空間信息網絡。

“星融網”包括天基骨干網、天基接入網、地基綜合網三部分。天基骨干網由若干高軌衛星聯網組成，為中低軌用戶提供覆蓋全球的骨干互聯、數據中繼、路由管理等服務；天基接入網由各類衛星、星座和臨近空間飛行器等設備組成的多種專業子網的核心節點組成，滿足陸、海、空、天多層次海量用戶的各種網絡接入服務需求；地面綜合網由衛星地面站和地面大數據中心組成，與其他地面網絡互聯互通。

“星融網”是跨越天基、空基、地基、海基，基于異構網絡融合的，以天基網絡為骨干的復雜巨系統網絡。由于其網絡的特殊性，導致以衛星節點為基礎的天基骨干網絡具有物理通信環境惡劣、衛星節點計算能力有限、網絡拓撲動態變化、間歇通信與高延遲等安全風險點，因而面臨諸多安全挑戰。

（一）物理通信環境惡劣

“星融網”系統中基于空基的星間和星地通信鏈路長期暴露于惡劣的太空環境且信道開放，容易受到宇宙射線、大氣層電磁信號以及惡意電磁信號的干擾。由于無線鏈路具有開放性，特別容易受到干擾、截取、偽造等惡意攻擊。

（二）衛星節點計算能力有限

相比地面系統，衛星節點的硬件處理能力較低，星上系統的計算能力、存儲空間等都受到一定限制，直接導致星上無法進行復雜運算及大開銷通信，這使得基于天基的星間通信、星地通信無法應用復雜的、高安全性的通信協議，難以有效部署各種網絡安全防護系統。

（三）網絡拓撲動態變化

“星融網”系統由部署在太空、空中、地面、海上等多種異構網絡互聯組成，傳統的路由、網絡接入等技術不能完全適用于“星融網”系統。此外，“星融網”的各天基節點（衛星節點）始終處于高速運轉狀態，可能頻繁地加入或退出網絡，空基、地基、海基等節點也會經常移動，導致網絡拓撲時刻發生變化，網絡通信各個終端間的通信關系也在不斷變化，這也導致傳統的身份認證、PKI和訪問控制技術，不能有效適用于“星融網”系統。

（四）間歇通信與高延遲

星間、星地的鏈路由于傳輸距離遠遠長于傳統地面網絡，且由于衛星始終處在變化的惡劣自然環境中，鏈路與地面通信鏈路相比連通不穩定且延遲較高。這導致星間、星地的鏈路更加容易受到欺騙、篡改等方式的網絡攻擊而難以被發覺。

“星融網”將在國土安全防御、作戰指揮決策、軍事行動實施等領域發揮出極其重要的作用，也將是決定著未來信息化戰爭成敗的關鍵因素之一。在網絡對抗背景下，我主要戰略對手大力發展網絡攻擊能力，“星融網”未來將成為其重要進攻方向之一。但是“星融網”有別于傳統網絡，有著信道開放性、鏈路間歇性、拓撲動態性等特征，因此由于其特殊的通信環境，以及以衛星網絡為主干的特點，使得“星融網”面臨著與傳統網絡不同的安全威脅。本文結合“星融網”創新性網絡架構，深入分析基于現有技術建設“星融網”過程中可能面臨的安全威脅，為進一步研究“星融網”網絡安全架構和安全防護關鍵技術研究提供支撐。

二、網絡體系結構安全風險分析

基于傳統的OSI網絡分層模型，本文從物理層、數據層、傳輸層和應用層四個層面分別闡述基于現有體系結構“星融網”設計和建設過程中可能面臨的網絡體系結構的安全風險。

（一）物理層安全風險

“星融網”物理層在建設過程中面臨的安全威脅主要是物理毀損和信號干擾。

物理毀損主要指對天、空、地、海等基礎設施進行物理破壞。主要威脅存在于太空環境及近地環境惡劣的自然環境對天、空基礎設施造成不可抗的自然破壞，影響網絡的正常運行。另一方面，在軍事領域，天基基礎設施極易成為敵人首要的攻擊目標，造成“星融網”通信中斷。

信號干擾主要指傳輸信號受到自然或人為的電子干擾。由于“星融網”網絡處于復雜的電磁環境下，極易遭受宇宙射線、大氣層電磁信號、惡意電磁信號等各類干擾，導致正常的數據傳輸受到影響乃至發生中斷。其中，惡意干擾主要包括欺騙干擾、壓制干擾等。欺騙干擾通過對衛星信號重放或偽造，使用戶終端收到錯誤的信息，從而實現干擾。壓制干擾是通過同頻段大功率噪聲干擾，致使衛星信號信噪比降低，從而導致通信傳輸可用性降低甚至無法使用。

（二）數據層安全風險

“星融網”數據層在建設過程中面臨的主要安全威脅是數據機密性、完整性破壞。數據機密性、完整性破壞主要是指數據在傳輸過程中數據遭到竊取和破壞。由于星上計算資源有限，現有星間、星地數據傳輸協議在設計上安全性考慮不足，容易遭到來自攻擊者的數據竊取、篡改和偽造、重放攻擊以及中間人攻擊等。

（三）傳輸層安全風險

“星融網”傳輸層在建設過程中面臨的主要安全威脅是身份欺騙和拒絕服務攻擊。身份欺騙主要是指“星融網”節點，尤其是衛星節點，由于其動態接入的特點，存在真實節點被冒充的可能，導致數據泄露。拒絕服務攻擊主要是指利用網絡協議缺陷，在同一時間利用大量網絡訪問某一網絡目標設備，造成網絡資源耗盡，無法提供正常服務。特別是在天基衛星網絡帶寬和計算資源受限情況下，更易遭到分布式拒絕服務攻擊。

（四）應用層安全風險

“星融網”應用層可能面臨的威脅主要是指各種蠕蟲病毒、惡意軟件、網絡釣魚等利用“星融網”可能存在的脆弱點、安全漏洞等缺陷，破壞“星融網”系統，威脅“星融網”核心服務器和骨干鏈路，造成“星融網”基礎設施癱瘓。

由于“星融網”一體化信息網絡的特點，整個網絡是由數量龐大的各種接入系統構成，每個接入系統都有可能存在漏洞和脆弱點。攻擊者可能通過利用任何一個系統/軟件漏洞，達到侵入整個“星融網”的目的，對“星融網”造成嚴重威脅。通過對以上不同體系結構層次的安全威脅分析，可以看到，“星融網”網絡體系結構的各層都存在被攻擊的可能性，因此，設計“星融網”網絡體系結構時必須綜合統籌并合理兼顧，根據不同空間任務和應用的安全風險，對各層的情況都給予充分的考慮。

三、密鑰管理風險分析

在未來“星融網”網絡環境中，通信數據加密、控制消息完整性保護、接入身份認證等安全服務和安全機制的操作都離不開密鑰管理技術。總體上，密鑰管理法分為集中式和分布式兩種，對于密鑰管理集中式管理模式，在地面安全區域，設置一個總的密鑰管理中心，負責對整個網絡的密鑰進行管理。由于“星融網”規模龐大再加之計算復雜度高，可以根據網絡域將密鑰管理劃分為三個中心：衛星域密鑰管理中心、臨近空間域密鑰管理中心和地面終端域密鑰管理中心，每個密鑰管理中心對域內節點的公鑰進行管理，并接受總密鑰管理中心的控制，由于“星融網”特殊的拓撲結構，該方案適用于規模較小的組播通信工作。但是，由于集中式密鑰管理方案可靠性較差，當組控制者被攻擊時，容易導致整個組癱瘓（即存在單點失效問題）。

分布式密鑰管理不需要設置固定的組控制者，密鑰由所有成員共同協商得到。但在密鑰初始協商、成員加入和退出時，必須要由某個或某些組成員來擔當臨時管理者，為其他節點計算分發相關參數。“星融網”是由空間/衛星網絡、臨近空間網絡和地面網絡融合而成的多域異構網絡，結合以上兩種密鑰管理方式的優缺點，未來“星融網”密鑰管理可以采用以分布式密鑰管理為主的方式。此外，還應在未來“星融網”建設中解決由于密鑰協商消息需經多次轉發才可到達，協商時延較長和成功率較低的問題。

四、路由協議風險分析

空間網絡由于衛星節點的高速移動性、拓撲結構的可預測性及通信的高度暴露性，使得路由協議的控制消息面臨著竊取、篡改、偽造、仿冒、重放、蟲洞和拒絕服務等多種惡意攻擊，目前的路由算法如果在“星融網”中應用會存在很多不足。

（一）抗毀性差

現有的路由算法的抗毀性差，即使一體化路由協議具備一定的抗毀能力，但是層次組織結構沒有過多的冗余度，在網絡中的節點失效的情況下，需要花費大量的開銷使網絡再次穩定下來。

（二）節點編址開銷大

現有的路由算法大多仍是采用傳統的地面IP編址方案對網絡中的節點進行編址。如果衛星節點也采用IP編址方案，則需要的存儲開銷太大，對于本來星上存儲能力就有限的衛星更是遇到了瓶頸。即使在地面網絡和衛星網絡需要進行消息傳輸的時候把數據包頭部的IP地址轉換成適合衛星系統的編址，也會大大增加網絡負擔，增加網絡處理延遲。

（三）不能充分利用層間衛星鏈路資源

現有的路由算法大多以衛星為控制中心，地面移動節點通過地面站向衛星發送數據與其他節點實現通信的目的。雖然建立了多層衛星網絡，上層衛星對于下層衛星來說只起到了管理的作用，在下層衛星路由失效的情況下報告錯誤并進行路由重計算。路由的功能主要由下層的衛星完成，這樣就加大了下層衛星的負荷，而上層衛星與下層衛星之間的鏈路資源沒有得到充分的利用。

（四）缺乏對網絡中流量突發性變化的適應能力

衛星網絡由于所處空間的獨特性，衛星節點容易發生各種各樣的故障。一旦網絡中存在突發流量或者發生故障，整個系統就會崩潰，沒有很好的適應能力。

針對當前路由算法存在的諸多風險，在未來的“星融網”安全防護方案研究中需要著重研究安全路由協議。由于“星融網”是由衛星網絡、臨近空間網絡和地面無線網絡等多種異構網絡融合而成的復雜網絡，消息在傳輸、轉發和處理等過程中需要設計一種高效安全的路由協議方案，用以找出一條從源端路由器到目的端路由器的最優路徑，保證“星融網”的路由安全。

五、網絡安全切換風險分析

“星融網”各管理域中節點的相對位置處于動態變化的過程中，為了保證移動終端節點之間通過衛星網絡或臨近空間網絡進行不間斷的通信，必須使用切換機制用以提供無縫的網絡接入服務。切換是指終端在通信過程中，從一個網絡接入點的覆蓋區域進入到另一接入點的覆蓋區域時，必須改變通信鏈路以保持不間斷的通信。

當終端節點在空間網絡中發生切換時，與新網絡接入點、舊網絡接入點，甚至地面控制網絡之間均需要進行頻繁的切換信息，進行交互。切換控制消息可能受到竊取、篡改、偽造、重放等攻擊的威脅，因此，切換過程中需要滿足關鍵數據保密性、注冊認證管理和控制消息完整性等安全需求，才能為網絡接入服務提供安全保障。因此，在未來“星融網”的建設中，需要根據不同切換場景的特點和要求，設計快速、平滑、無縫的安全切換方案和協議，確保使用的安全機制滿足各項安全屬性，同時盡量縮短切換延遲，降低切換過程中的丟包率。

六、網絡數據傳輸風險分析

在“星融網”中，從一個終端用戶到另一個終端用戶的數據傳輸可能涉及到多個網絡域。然而，衛星網絡節點和鏈路動態變化、網絡時空行為復雜且分布稀疏，同時無線電干擾、節點能量限制等原因，導致通信鏈路具有傳輸距離遠、傳輸時延大、高誤碼率、間歇性連接等特性，這些都與傳統的地面互聯網傳輸控制技術的前提要求有很大的不同。地面互聯網的高速高效數據傳輸及其擁塞控制，是建立在數據源和目的之間存在端到端路徑、端到端時延可控、丟包率較小等假設條件之上的，無法有效適應空間網絡。

“星融網”的端到端數據傳輸需跨越多個異構的網絡域，帶寬受限、高延遲的信道環境會嚴重降低安全傳輸通道的建立、維護和數據傳輸過程，影響數據傳輸的效率，并可能造成不同網絡域內部信息的泄露，因此，在未來“星融網”設計建設的過程中需采取措施提高安全傳輸通道建立、維護的效率和安全性，需要研究適用于“星融網”網絡信道環境的安全傳輸技術。

七、結束語

隨著技術的發展和應用需求的多樣化，功能單一、結構規則、運行依賴于地面、相互之間孤立的天地通信網絡已經不能滿足實時性、綜合性的服務需求。目前，搶占未來天空地信息競爭制高點、建設“星融網”是推進我國快速發展的又一次戰略機遇。但是總體上看，基于現有的網絡、通信等技術，“星融網”在未來的建設中可能在網絡體系結構、密鑰管理、路由協議、網絡安全切換、網絡數據傳輸等多方面面臨著安全風險。本文基于“星融網”網絡通信架構，深入分析了現有技術應用于“星融網”未來建設中可能面臨的安全威脅，為下一步研究提出具有系統化、標準化、全方位、普適性的“星融網”安全架構方案和安全防護關鍵技術提供了有力依據和指引。