衛星通信安全風險與防御技術概述

【摘 要】 本文介紹了衛星通信發展現狀及演進趨勢，分析了衛星通信系統安全風險及安全防護體系面臨的挑戰，在闡述目前典型衛星通信協議體系與安全機制的基礎上，總結出了衛星通信系統面臨的具體安全威脅以及應具備的主要安全特性與技術。

【關鍵詞】 衛星通信 協議體制 安全威脅 防御體系

1 引言

隨著寬帶衛星通信業務需求的增強，以高容量、低單位帶寬成本、靈活覆蓋為主要特點的高通量衛星通信系統建設不斷提速。傳統高通量衛星以高軌衛星為主，近年來，工業界著力發展中低軌高通量衛星系統。特別是由于小衛星、發射和通信技術的快速發展，總體成本大為降低，通信衛星領域呈現出越來越明顯的“低軌化”分布特征，低軌（LEO）通信衛星部署數量也呈現爆發式增長。特別是大型LEO衛星星座建設計劃，如美國太空探索技術公司SpaceX的星鏈（Starlink）、英國一網公司OneWeb的低軌衛星星座計劃等，把“寬帶LEO衛星通信”推到一個前所未有的熱度。國內的寬帶LEO衛星通信系統早已起步，但進展相對緩慢。目前，這些系統主要是基于Ku和Ka頻段提供衛星通信服務，而更高頻段也在考慮和探索中。典型的衛星通信系統架構如圖1所示，包含用戶段、地面段以及空間段。

近年來，衛星通信業界希望能夠利用地面移動通信產業鏈和技術為公眾提供普遍互聯網服務。衛星通信和地面移動通信融合是大勢所趨，2條起源不同的技術路線將趨于統一技術體制，如圖2所示。業界普遍認為集成空、天、地、海一體化通信系統是6G的藍圖。

由于自身的特點和限制，衛星通信系統除了面對傳統無線通信和互聯網相關的安全威脅外，還面臨許多特有的安全風險問題。為此，本文將在概括目前典型衛星通信協議體系與安全機制的基礎上，總結出衛星通信的實際安全威脅以及安全防御系統應具有的主要安全特性與機制，進而討論衛星通信安全保密管理面臨的關鍵問題。

2 衛星通信系統安全威脅與防御技術

2.1 主要安全威脅

衛星通信系統面臨的安全威脅多種多樣，威脅來源也不同，既可能源于衛星通信協議及安全設計或實現過程中的漏洞，也可能源于新技術被濫用而衍生出的新型攻擊手段。除了類似傳統的地面移動網絡所面臨的安全威脅外，衛星通信系統面臨的特有安全威脅主要是針對衛星通信系統各無線鏈路、載荷和衛星平臺的干擾、竊聽和攻擊等。

（1）空口干擾。衛星通信系統中所有的無線設備接收到的無線信號都比較弱，而且各空間載荷的能力有限，因此容易被惡意干擾。對用戶鏈路、饋電鏈路、星間鏈路的干擾，可能會導致在某個區域內的通信服務中斷；對測控鏈路的干擾，可能導致在一段時間內無法進行遙測、遙控等操作，進而影響到衛星的正常運行。衛星通信系統面臨的干擾可分為壓制式干擾和欺騙式干擾。

（2）空口竊聽。衛星通信系統用戶鏈路和饋電鏈路的下行鏈路波束覆蓋范圍比較大，攻擊者容易接收到無線信號并可能破解出通信內容；對于用戶鏈路和饋電鏈路的上行鏈路信號，攻擊者可以接收衛星終端或地面站的旁瓣信號，并可能破解出通信內容。2009年，美軍在伊拉克和阿富汗戰場使用的“捕食者”無人機圖像被攻擊者攔截，主要原因就是這些信息在通過衛星傳輸的過程中沒有加密。

（3）拒絕服務。由于空間通信平臺在功耗、體積、計算、存儲等方面嚴重受限，很容易受到“拒絕服務”攻擊。攻擊者可以用無線設備模仿衛星終端或者入侵并控制合法終端設備，頻繁地發起隨機接入請求，消耗空口物理層隨機接入信道資源，使得其他衛星終端無法正常接入衛星通信系統。此外，星地無線鏈路跨度大，攻擊者通過施加大功率上行干擾，衛星節點仍然可能工作在非線性區，造成功率掠奪問題，使得正常的衛星通信業務信號無法傳輸，導致衛星系統癱瘓。

（4）重放攻擊。受限于衛星平臺資源，由于測控鏈路大都沒有抗重放攻擊的功能，攻擊者可以將之前攔截并記錄的指令向目標衛星重復發送。若重放指令未被識別并丟棄，則衛星有可能重復執行操作從而導致衛星天線指向錯誤或運行過程中偏離預定軌道。

（5）高功率微波（HPM）。通過地基或天基向目標衛星發射高功率脈沖，脈沖能量通過衛星接天線進入測控通道對衛星測控通道中的電子器件造成不可逆的“硬傷”，可能導致整個衛星測控通道失效。

（6）欺騙攻擊。由于衛星互聯網中衛星節點動態接入的特點，真實節點可能被冒充，從而造成非法節點接入到衛星互聯網中，導致系統發生異常甚至癱瘓。攻擊者可能假冒合法節點加入網絡，使原有合法節點的數據傳遞失常。例如，2003年，中國“鑫諾衛星”的轉發器就遭到境外敵對者基于大功率信號偽裝衛星地面站的劫持。

（7）路由攻擊。用戶數據在空間路由過程中可能面臨篡改攻擊、偽造攻擊等威脅。攻擊者可能偽造路由消息，在網絡中惡意篡改路由，造成無效路由，從而導致數據傳輸延時、傳輸開銷大幅增加等，嚴重降低網絡的性能。

2.2 衛星通信系統主要安全特性

衛星通信系統安全可以分成測控域安全、接入域安全及網絡域安全。其保護的對象主要是各空間載荷、設備、系統、測控流、業務流、信令、管理流和控制流。

2.2.1 測控域安全特性

測控域涉及衛星平臺、測控站和衛星操作中心，以及它們之間的通信鏈路。在實際部署中，還可能會借助第三方的測控站。因此，測控域安全至少包括以下特性：測控載荷與測控地面系統間的認證、遙控數據的機密性和完整性保護、遙測數據的機密性保護、測控站安全防護、衛星操作中心安全防護。

2.2.2 接入域安全特性

接入域涉及衛星終端、接入網載荷、地面接入網設備、核心網設備、用戶鏈路、饋電鏈路。用戶鏈路和饋電鏈路都是無線信道，需要無線鏈路安全保護。但當衛星載荷的工作在“星上處理”模式下，饋電鏈路不屬于接入域。接入域至少包括以下安全特性：衛星終端與核心網間的認證、信令機密性和完整性保護包括衛星終端—接入網載荷/地面接入網設備間信令以及衛星終端—核心網間信令、終端管理信息的機密性和完整性保護、業務數據的機密性及選擇性的完整性保護。

2.2.3 網絡域安全特性

網絡域安全涉及通信載荷、地面段設備或系統，以及它們之間的通信鏈路，網絡域安全至少包括以下安全特性：通信載荷與地面段網絡之間的認證、信令機密性和完整性保護、網絡管理信息的機密性和完整性保護、網絡控制信息的機密性和完整性保護、相應等級的密鑰管理、整個系統的安全管理、滿足相關法律要求的合法監聽機制。

2.3 主要安全機制

衛星通信系統主要安全機制包括以下4個方面。

（1）安全協議與密碼算法：盡管不同衛星通信系統的安全設計不太一樣，但都把安全協議與密碼算法作為最主要的安全手段，用以實現認證、密鑰協商、機密性保護、完整性保護和抗重放攻擊的功能。

（2）空口擾亂：在一些安全性要求較高的衛星通信系統中，或針對安全性要求較高的用戶，通常利用擾亂的方式，隱藏L2幀頭或上層包頭，防止隱私泄露，同時也可增加破解的難度。

（3）擴頻：在一些安全性較高的衛星通信系統，利用擴頻的方式提高系統的抗截獲能力和抗干擾能力。

（4）用戶身份保護：使用臨時標識取代永久性標識或對永久性標識進行加密，以防止用戶隱私泄露或降低用戶隱私泄露的概率。

3 典型衛星通信體制與安全協議設計

由于歷史及產業鏈原因，現有的衛星通信系統所采用的通信體制各不相同，很難說哪個衛星通信系統完全符合被業界廣泛接受的標準。目前常見的衛星通信系統的基礎標準主要來自CCSDS、ETSI和3GPP。

3.1 CCSDS協議體系與安全機制

空間數據系統咨詢委員會（CCSDS）于20世紀90年代定義了一套空間通信協議（Space Communication Protocol Specification，SCPS）。該協議體系最初只規定了鏈路層組網協議，包括普通在軌系統（COS）和高級在軌系統（AOS）2個部分，后來引入TCP/IP協議體系實現在網絡層互聯。空間通信協議體系結構自下而上包括：物理層、數據鏈路層、網絡層、傳輸層和應用層，如圖3所示。

SCPS體系中的安全機制基于SCPS-SP協議實現。SCPS-SP應用在網絡層和傳輸層之間，可以根據通信用戶的不同安全需求對這些來自傳輸層的數據單元提供相應的安全性服務主要有4種：數據完整性檢查、機密性機制、身份認證與接入控制。其認證主要是依靠SCPS-SP定義的數據封裝規則，通過封裝通信雙方的網絡地址來實現。SCPS-SP協議的主要特點表現為最小的通信開銷和最佳比特率，這些優勢在通信資源受到嚴重限制的空間通信系統中得到了充分發揮，但是SCSP-SP不提供抗重放攻擊的保護。

3.2 ETSIDVB協議體系與安全機制

DVB-RCS（Digital Video Broadcasting-Return Channel via Satellite）是歐洲電信標準協會（ETSI）于2000年發布的第一個為交互式應用而定義的衛星通信行業標準。至2012年1月，陸續發布了第二代DVB交互衛星系統（DVB-RCS2）系列標準。該標準不僅定義了系統的底層協議，前向鏈路基于DVB-S2，反向鏈路基于DVB-RCS2，還定義了上層功能，包括管理和控制功能。目前不少Ku和Ka頻段的寬帶衛星通信系統都基于DVB-S2（X）和DVB-RCS2標準。

DVB-RCS標準定義了網絡控制中心（NCC）與回傳鏈路衛星通信終端（RCST）之間的認證及密鑰交換機制。NCC為每個RCST分配一個cookie值作為其身份標志，用于向NCC證明自己的身份。NCC在維護一個保存所有RCST的cookie值的數據庫，保證NCC可以驗證合法RCST的身份。為實現NCC和RCST之間的密鑰交換，DVB-RCS定義了3種協議，包括主密鑰協商（Main Key Exchange，MKE）、快速密鑰協商（Quick Key Exchange，QKE）、顯式密鑰協商（Explicit Key Exchange，EKE）。但這些密鑰交換協議沒有考慮到主動攻擊者的存在，因此面臨中間人攻擊的風險。另外，該協議只是單向身份認證，存在一定的安全隱患。

DVB-RCS2協議為消費級用戶、專業級用戶和政府級用戶制定了不同安全機制，如表1所示。

對于專業級用戶和政府級用戶，這套協議提供了包頭隱藏的機制；對于專業用戶來說，其管理與控制面的安全機制基于IPSec。此外，還具備抗重放攻擊的能力。

3.3 3GPP協議體系與安全機制

目前有些運行于L/S頻段的衛星通信系統在空中接口設計上已經借鑒了地面移動通信網絡協議。“天通一號”、Thuraya等均采用3GPP-R4/R6空中接口分層方案，保留了上層協議（NAS層協議）絕大部分設計，主要針對星地傳輸鏈路特點設計物理層波形、話音承載、MAC幀結構，以及RRC層資源分配算法進行優化。3GPP從R14階段開始探索將衛星作為5G的接入方式之一，發揮衛星在5G系統中的優勢。其在R15中對衛星通信與地面5G的融合做了進一步研究。3GPP R16階段主要開展了衛星5G系統架構和新空中接口支持非地面網絡的解決方案等方面的研究，提出了針對無線空口協議、5G接入網架構等相關問題的解決方案。

3GPP定義的5G系統支持用戶面的機密性保護、控制面的機密性和完整性保護、抗重放攻擊、接入雙向認證、密鑰和安全算法協商、用戶身份等隱私信息保護等安全機制。考慮到專業用戶的安全需要和系統優化的需要，也有不少系統在3GPP定義的安全上進行較多修改。

4 結語

隨著低軌道、高通量衛星星座的大量部署，衛星通信與地面移動通信融合的一體化系統將同時提供面向垂直行業的特殊服務及面向公眾的互聯網接入服務。由于衛星通信系統自身的特點，相關安全問題將會越來越突出。這不僅會影響用戶通信安全和衛星通信系統安全，還可能威脅到國家安全。因此，衛星通信系統需要具備輕量級、具有一定容錯能力的通信安全技術和網絡防護體系。此外，衛星通信與地面移動通信的融合也給安全管理帶來新的挑戰，未來仍然需要探索適用于衛星通信的高效安全保密管理機制。

（原載于《保密科學技術》雜志2022年6月刊）