衛(wèi)星通信系統(tǒng)安全風(fēng)險分析及防御對策初探

吳流麗，廖建華，蘇懷方

（中國人民解放軍61660部隊，北京100089）

0 引言

衛(wèi)星通信網(wǎng)是指2個或多個地球站使用無線信道，利用衛(wèi)星作為中繼站，在中央控制站的管理和協(xié)調(diào)下實現(xiàn)遠距離通信的網(wǎng)絡(luò)，其因區(qū)域覆蓋面廣、通信不受地理條件所限、信道鏈路成本低、可用頻率資源豐富等優(yōu)勢，成為了各國構(gòu)建全球覆蓋、隨遇接入、按需服務(wù)的天地一體化信息網(wǎng)絡(luò)的首要選擇。隨著衛(wèi)星通信應(yīng)用的不斷拓展,各種針對衛(wèi)星通信網(wǎng)絡(luò)的攻擊手段不斷涌現(xiàn),并有從物理層干擾攻擊逐步上升至協(xié)議棧上層攻擊的發(fā)展趨勢。由于衛(wèi)星通信網(wǎng)使用無線信道作為傳輸媒介,沒有固定基礎(chǔ)設(shè)施的物理保護,相較地面互連網(wǎng)更容易遭受竊聽、篡改、偽造、拒絕服務(wù)等攻擊威脅。同時，衛(wèi)星通信網(wǎng)絡(luò)的網(wǎng)絡(luò)拓撲隨時間動態(tài)變化,且衛(wèi)星的存儲空間、計算能力也有限，地面互聯(lián)網(wǎng)現(xiàn)有的安全技術(shù)并不完全適用于衛(wèi)星通信，因此其面臨的安全風(fēng)險更為嚴峻。

一直以來頻發(fā)的衛(wèi)星安全事件足以印證這一點：1997年，黑客入侵了美國宇航局戈達德太空飛行中心天體物理學(xué)部的計算機，向衛(wèi)星傳送數(shù)據(jù)和指令；1998年，黑客控制了美德ROSAT天文學(xué)衛(wèi)星，并將其高分辨率成像儀對準太陽，造成衛(wèi)星載荷失效；1999年，黑客控制了英國SkyNet衛(wèi)星網(wǎng)絡(luò)的一顆衛(wèi)星并轉(zhuǎn)移了它，然后索要贖金；2002年，某組織入侵我國鑫諾通信衛(wèi)星的電視網(wǎng)絡(luò)，播放違規(guī)電視內(nèi)容，造成非常嚴重的后果；2007年，Landsat 7衛(wèi)星遭受了12 min的干擾；2007年，斯里蘭卡恐怖組織泰米爾伊拉姆猛虎解放組織盜用一顆Intelsat衛(wèi)星，并使用該衛(wèi)星廣播電視消息；2008年，黑客入侵約翰遜航天中心的計算機并安裝木馬，隨后接入到國際空間站的上行鏈路，并破壞了空間站的電子郵件系統(tǒng)；2015年，德國CCC大會上，黑客Sec和schneider演示了如何使用Camp徽章竊聽銥星數(shù)傳的流量。值得注意的是，2020年，在defcon黑客大會上，美國空軍與國防數(shù)字服務(wù)局合作舉辦太空安全挑戰(zhàn)賽，允許黑客對真實的衛(wèi)星進行入侵比賽活動。這些事例表明，太空安全成為了越來越突出的問題，已然上升到國家戰(zhàn)略層級。

安全威脅分析是制定安全解決方案、提供安全服務(wù)以及實施安全機制的前提和基礎(chǔ)。本文首先闡述了衛(wèi)星通信的特點，然后從物理組成角度分析衛(wèi)星通信系統(tǒng)不同組成部分所面臨的安全威脅,在此基礎(chǔ)上總結(jié)相應(yīng)的防護技術(shù)，從而為衛(wèi)星安全防護解決方案和安全機制制定提供支撐。

1 衛(wèi)星通信系統(tǒng)特點

相比于地面通信系統(tǒng)，衛(wèi)星通信系統(tǒng)具有如下特點：

1）物理環(huán)境惡劣

通信衛(wèi)星一般位于據(jù)地面高度2 000 km(低地球軌道)至35 800 km(同步衛(wèi)星軌道)的太空軌道，距地面遠、環(huán)境惡劣。衛(wèi)星上的電子器件容易受到太空輻射、溫度差、太陽能變化等影響。通信鏈路容易受到太陽黑子爆發(fā)、暴雨天氣、大氣層電磁噪聲信號或惡意電磁干擾信號的影響。

2）衛(wèi)星節(jié)點暴露且信道開放

衛(wèi)星通信網(wǎng)絡(luò)中，衛(wèi)星節(jié)點直接暴露于空間軌道上，缺乏物理保護措施，面臨反輻射武器硬摧毀、空間碎片撞擊等風(fēng)險。同時通信信道具有開放性，容易遭受非法截獲、欺騙以及干擾等攻擊。

3）衛(wèi)星節(jié)點能力受限

受衛(wèi)星有效載荷技術(shù)等因素的影響，衛(wèi)星節(jié)點的硬件處理能力較低，星上系統(tǒng)的計算能力、存儲空間、電能功率等都受到一定限制，這直接制約了星上運算的復(fù)雜度和通信開銷。

4）網(wǎng)絡(luò)拓撲動態(tài)變化

衛(wèi)星通信網(wǎng)絡(luò)中的同步衛(wèi)星、中低軌道衛(wèi)星等按照各自既定的軌道在空間中高速運行,相對位置隨時間變化，導(dǎo)致網(wǎng)絡(luò)節(jié)點間的拓撲不斷變化。

5）網(wǎng)絡(luò)節(jié)點升級維護困難。

在現(xiàn)有技術(shù)下，衛(wèi)星一旦發(fā)射進入軌道，硬件層面幾乎沒有升級改造的可能，軟件功能也很難隨著相應(yīng)技術(shù)的發(fā)展而進行升級。同時當(dāng)衛(wèi)星出現(xiàn)故障時只能通過遠距離的監(jiān)測系統(tǒng)對其進行檢測，而且即使檢測到故障也很難對其進行維修。

鑒于衛(wèi)星系統(tǒng)的上述特點，其面臨的安全威脅相較地面通信系統(tǒng)既有普遍性，又有其特殊性，因此需要針對衛(wèi)星通信系統(tǒng)分析其風(fēng)險，并研提相應(yīng)的防護對策。

2 衛(wèi)星通信系統(tǒng)面臨的安全風(fēng)險

衛(wèi)星通信系統(tǒng)整體組成可分為空間段、地面段和鏈路段。空間段主要包括衛(wèi)星平臺和衛(wèi)星有效載荷；鏈路段主要包括星間鏈路、星地鏈路和地面鏈，地面段主要包括地球站、測控站以及各種通信平臺。圖1為衛(wèi)星通信系統(tǒng)的組成示意圖。

圖1 衛(wèi)星通信系統(tǒng)組成示意圖

下面分別從這3個部分分析衛(wèi)星通信網(wǎng)絡(luò)的安全風(fēng)險以及應(yīng)對威脅的防護技術(shù)。

2.1 空間段

2.1.1 物理攻擊

由于衛(wèi)星運行軌道數(shù)據(jù)大多公開，或可通過雷達、偵查衛(wèi)星、光學(xué)望遠鏡等方式觀測得到，其實時在軌位置極易暴露給敵方，因此衛(wèi)星有可能受到敵方的物理攻擊。攻擊方式包括采用反衛(wèi)星武器（導(dǎo)彈、衛(wèi)星）摧毀衛(wèi)星，使用非動能武器（如激光或高功率微波系統(tǒng)、核輻射粒子束等）對衛(wèi)星上的轉(zhuǎn)發(fā)器、電源系統(tǒng)等關(guān)鍵設(shè)備進行攻擊等。同時，太空中日益增多的碎片也對衛(wèi)星安全造成嚴重威脅。2019年7月5日，國際空間站ISS曾進行軌道機動，避免與太空火箭體碎片相撞。

對抗物理攻擊的方法主要是采取抗損毀策略，比如采取抗輻射加固、衛(wèi)星冗余備份、多軌道衛(wèi)星組網(wǎng)、高軌道分散化星座設(shè)計、對攻擊性武器進行攔截和摧毀等措施。

2.1.2 網(wǎng)絡(luò)入侵攻擊

最初，衛(wèi)星設(shè)計更多關(guān)注可用性和效率，其星載操作系統(tǒng)、星上載荷、總線等設(shè)計對于安全機制的討論尚不充分，因此存在安全漏洞、后門等風(fēng)險隱患，存在被網(wǎng)絡(luò)入侵攻擊的威脅。

例如星載主流操作系統(tǒng)Vx Works曾經(jīng)被爆出多個漏洞：2015年，安全研究員在“好奇號”使用的Vx-Works操作系統(tǒng)中發(fā)現(xiàn)了一個允許遠程代碼執(zhí)行的整數(shù)溢出漏洞；2019年，VxWorks系統(tǒng)被研究人員發(fā)現(xiàn)了11個漏洞，其中6個為高危遠程代碼執(zhí)行漏洞。隨后，Vx Works又被發(fā)現(xiàn)存在遠程拒絕服務(wù)漏洞。2019年，360公司研究員發(fā)現(xiàn)全球衛(wèi)星搜救系統(tǒng)SARSAT載荷存在易被攻擊的隱患，包括遭受拒絕服務(wù)攻擊、偽造求救信標(biāo)、盜取載荷資源進行通信、信息泄露、易被同頻信號干擾等風(fēng)險。對于衛(wèi)星總線，衛(wèi)星常用總線有CAN、1553B、SpaceWire等，由于設(shè)計時未考慮安全因素，同樣存在易被攻擊的特點。

在空間段對抗網(wǎng)絡(luò)層攻擊的手段主要有提高星上產(chǎn)品的國產(chǎn)化率減少后門攻擊風(fēng)險、在系統(tǒng)設(shè)計時加入安全性設(shè)計等。隨著星上處理能力的提升，地面互聯(lián)網(wǎng)的防病毒、入侵檢測等網(wǎng)絡(luò)安全功能也可以應(yīng)用到衛(wèi)星平臺中。

2.2 地面段

2.2.1 物理攻擊

地面段面臨的物理攻擊威脅主要是來自海陸空的硬攻擊。其中，對地球站的攻擊將會造成地球站平臺的損壞，從而使用戶無法接入衛(wèi)星通信網(wǎng)絡(luò)，導(dǎo)致整個衛(wèi)星通信網(wǎng)絡(luò)的癱瘓。對測控站的攻擊將會導(dǎo)致地面對通信衛(wèi)星的失控，通信衛(wèi)星在失去地面控制的情況下有可能偏離既定軌道和姿態(tài)，從而造成系統(tǒng)的癱瘓，甚至衛(wèi)星的損毀。

對于衛(wèi)星地面段的防護除了采取隱蔽手段、加強設(shè)施安保、多站備份等方式外，還可以通過運用星座自主運行技術(shù)來減少衛(wèi)星對地面站的依賴，通過更復(fù)雜的星間鏈路協(xié)議使衛(wèi)星與地面站交互的頻次降低，甚至可以實現(xiàn)在應(yīng)急條件下，星座脫離地面站自主運行。這種技術(shù)在星座導(dǎo)航系統(tǒng)中應(yīng)用較多，如未來的GPSⅢ將實現(xiàn)星座在與地面控制中心失去聯(lián)系的情況下，仍能在180天內(nèi)按系統(tǒng)規(guī)范精度發(fā)送導(dǎo)航信號。

2.2.2 網(wǎng)絡(luò)入侵攻擊

地面段的地球站、測控站、通信平臺等面臨的威脅與傳統(tǒng)計算機網(wǎng)絡(luò)安全威脅相似。比如衛(wèi)星通信相關(guān)設(shè)備和應(yīng)用存在供應(yīng)鏈攻擊、后門、漏洞等，可能導(dǎo)致信息被泄露或設(shè)備被敵方控制利用等后果。國內(nèi)安全研究人員曾發(fā)現(xiàn)衛(wèi)星通信設(shè)備提供商COMTECH的調(diào)制解調(diào)器的EDMAC/EDMAC2遠程控制功能沒有做物理地址認證，可被攻擊者遠程修改參數(shù)從而切斷衛(wèi)星鏈路。同時，地面關(guān)口站、測控站、網(wǎng)管站可能被國外軍方組織APT攻擊、內(nèi)網(wǎng)滲透入侵等，敵方長期潛伏于衛(wèi)星網(wǎng)絡(luò)和測控網(wǎng)絡(luò)之中，導(dǎo)致數(shù)據(jù)被泄露、測控信令、網(wǎng)管信息被竊取，給用戶以及衛(wèi)星本身帶來嚴重后果。

其他一些安全風(fēng)險如計算機終端漏洞、病毒、惡意代碼等威脅與傳統(tǒng)計算機網(wǎng)安全類似，在此不再贅述。

防范地面段網(wǎng)絡(luò)入侵攻擊的方式主要是采取傳統(tǒng)計算機網(wǎng)絡(luò)安全防護手段，如提升產(chǎn)品的國產(chǎn)化率、部署防火墻及入侵檢測系統(tǒng)、安裝防病毒軟件、建立日志審計機制等。隨著技術(shù)的發(fā)展，內(nèi)生安全、主動防御、人工智能等理念逐步應(yīng)用到網(wǎng)絡(luò)安全中，可大大提升系統(tǒng)抗網(wǎng)絡(luò)攻擊的能力。

2.3 鏈路段

鏈路段分為業(yè)務(wù)鏈路和測控鏈路。業(yè)務(wù)鏈路主要用來傳輸用戶的通信信息；測控鏈路主要用來傳輸衛(wèi)星的控制指令以及衛(wèi)星的遙測數(shù)據(jù)，測控鏈路是有效控制衛(wèi)星、確保衛(wèi)星的正常工作的最重要部分。

鏈路層面臨的威脅主要有干擾和竊聽。竊聽、干擾設(shè)備可置于地面(如固定式、車載式或船載式干擾站)，也可以置于空中(如機載、氣球運載的干擾站)，也可以置于太空(如星載干擾站)。

1)竊聽攻擊

由于衛(wèi)星下行通信采用廣播方式，而且通信協(xié)議標(biāo)準為國際標(biāo)準的CCSDS協(xié)議，具有信令識別容易、易被逆向等缺陷，給實施竊聽攻擊帶來便利，容易導(dǎo)致通信數(shù)據(jù)被竊取、纂改等嚴重安全風(fēng)險。

對抗竊聽攻擊主要的技術(shù)有：

①傳統(tǒng)數(shù)據(jù)加密技術(shù)。利用對稱加密算法或非對稱加密算法對咬傳輸?shù)臄?shù)據(jù)進行加密，其安全性依賴于加密算法復(fù)雜度、密鑰管理方式等。隨著計算能力的飛速發(fā)展，尤其是量子計算機的出現(xiàn)，這種基于計算復(fù)雜度的加密方式面臨較大風(fēng)險。

②低截獲概率通信技術(shù)。根據(jù)衛(wèi)星通信信號的實際傳播特征，利用編碼、調(diào)制和波形設(shè)計等物理層技術(shù)防止通信信號被發(fā)現(xiàn)，特征被提取，信息被還原，從而保障通信信號、信號特征以及信息內(nèi)容的安全。主要實現(xiàn)方法有跳/擴頻通信、人工噪聲、波束形成等。

低截獲概率通信可以與上層加密技術(shù)互相補充，進一步保障無線通信系統(tǒng)的安全。

2)干擾攻擊

針對衛(wèi)星無線鏈路的干擾主要有壓制干擾和欺騙干擾。

壓制干擾是指無意或蓄意的干擾源通過產(chǎn)生隨機噪聲，在時域、空域、能量域、頻域等多維空間上覆蓋通信信號，使得衛(wèi)星信號信噪比降低，從而失去可用性的干擾手段，又可分為大功率壓制干擾和靈巧干擾。大功率壓制干擾一般會忽略通信的過程性特征，即不考慮通信的時、頻、空、功率的變化性。靈巧干擾針對通信同步、建鏈、持續(xù)、拆鏈等過程以及數(shù)據(jù)封裝格式等特征，對通信信號進行有針對性的干擾，相較大功率壓制干擾，具有隱蔽性強、機動性好等優(yōu)點，但其實現(xiàn)也較為復(fù)雜。

欺騙干擾是通過對衛(wèi)星信號重放轉(zhuǎn)發(fā)或模仿偽造，使用戶終端做出錯誤判斷的干擾攻擊。由于無需大功率的干擾信號，因此它在空間上比壓制干擾作用域更廣，但這種攻擊需要對衛(wèi)星信號編碼特征具有一定了解。

典型的抗干擾技術(shù)有以下幾種：

①有擴頻調(diào)制和跳頻調(diào)制技術(shù)。擴頻技術(shù)通過偽隨機擴頻序列將發(fā)送的信號頻帶擴展，接收端用相同的擴頻碼解擴，從而達到“稀釋”干擾信號的目的；跳頻則是通過連續(xù)改變發(fā)送信號的中心頻率的方式，實現(xiàn)物理意義上的隨機信道選擇，提高通信信道的隱蔽性。

②角度鑒別、指紋鑒別技術(shù)。角度鑒別是通過干擾源與星座信號發(fā)射角度的差異來鑒別真實信號，該方法只能鑒別單一方向的欺騙干擾源；指紋鑒別是通過無線電設(shè)備工作時發(fā)射信號所具有的各不相同的“紋路”(幅度、頻率和相位的統(tǒng)計參數(shù)、測量參數(shù)和數(shù)值參數(shù))來鑒別真實信號，從而規(guī)避欺騙干擾。

③自適應(yīng)波束形成技術(shù)、點波束技術(shù)。自適應(yīng)波束形成技術(shù)通過星上感應(yīng)器感知通信環(huán)境的變化，當(dāng)檢測存在干擾信號時，在干擾方向形成自適應(yīng)零陷從而抑制干擾。點波束技術(shù)減小通信波束的波束寬度，在空間上規(guī)避干擾。

④猝發(fā)通信技術(shù)。猝發(fā)通信極大壓縮信號的傳輸時間，大大降低了被偵察、截獲的概率，可有效抗擊欺騙式干擾。

⑤認證加密技術(shù)。借鑒計算機網(wǎng)絡(luò)防止仿冒攻擊和重放攻擊等方法，可在衛(wèi)星信號中加入密文傳輸?shù)恼J證碼、一次性隨機因子等安全機制防范欺騙式干擾。

實際上，上述抗干擾技術(shù)都有其局限性或不足之處。因此應(yīng)該綜合應(yīng)用多種抗干擾技術(shù)，使它們可以克服彼此的局限性或不足之處，做到優(yōu)勢互補，從而真正提高鏈路段的抗干擾能力。

3 結(jié)束語

根據(jù)衛(wèi)星系統(tǒng)的特點，從空間段、地面段、鏈路段分析了衛(wèi)星通信網(wǎng)面臨的安全威脅，總結(jié)了應(yīng)對安全威脅的相應(yīng)防護技術(shù)。衛(wèi)星系統(tǒng)的安全威脅是多方面的，可能涉及衛(wèi)星系統(tǒng)的多個部分，因此衛(wèi)星的安全防護需要體系設(shè)計、總體規(guī)劃。