现有技术应用于“星融网”建设过程中面临的安全风险初探

◎中国航天系统科学与工程研究院 顾升高 闫陈静 陈漠 张伟

一、引言

随着全球网络信息化的不断发展，基于系统工程理论方法，以天基系统为主体的“星融网”新型未来全球全域网络架构应运而生。“星融网”是由覆盖全球的不同轨道、不同类型、不同性能的卫星，通过星间、星地链路将地面、海上、空中和深空中的用户、飞行器以及各种通信平台密集联合，按照信息资源的最大有效综合利用原则，进行信息准确获取、快速处理、高效传输和综合应用的一体化高速宽带大容量空间信息网络。

“星融网”包括天基骨干网、天基接入网、地基综合网三部分。天基骨干网由若干高轨卫星联网组成，为中低轨用户提供覆盖全球的骨干互联、数据中继、路由管理等服务；天基接入网由各类卫星、星座和临近空间飞行器等设备组成的多种专业子网的核心节点组成，满足陆、海、空、天多层次海量用户的各种网络接入服务需求；地面综合网由卫星地面站和地面大数据中心组成，与其他地面网络互联互通。

“星融网”是跨越天基、空基、地基、海基，基于异构网络融合的，以天基网络为骨干的复杂巨系统网络。由于其网络的特殊性，导致以卫星节点为基础的天基骨干网络具有物理通信环境恶劣、卫星节点计算能力有限、网络拓扑动态变化、间歇通信与高延迟等安全风险点，因而面临诸多安全挑战。

（一）物理通信环境恶劣

“星融网”系统中基于空基的星间和星地通信链路长期暴露于恶劣的太空环境且信道开放，容易受到宇宙射线、大气层电磁信号以及恶意电磁信号的干扰。由于无线链路具有开放性，特别容易受到干扰、截取、伪造等恶意攻击。

（二）卫星节点计算能力有限

相比地面系统，卫星节点的硬件处理能力较低，星上系统的计算能力、存储空间等都受到一定限制，直接导致星上无法进行复杂运算及大开销通信，这使得基于天基的星间通信、星地通信无法应用复杂的、高安全性的通信协议，难以有效部署各种网络安全防护系统。

（三）网络拓扑动态变化

“星融网”系统由部署在太空、空中、地面、海上等多种异构网络互联组成，传统的路由、网络接入等技术不能完全适用于“星融网”系统。此外，“星融网”的各天基节点（卫星节点）始终处于高速运转状态，可能频繁地加入或退出网络，空基、地基、海基等节点也会经常移动，导致网络拓扑时刻发生变化，网络通信各个终端间的通信关系也在不断变化，这也导致传统的身份认证、PKI和访问控制技术，不能有效适用于“星融网”系统。

（四）间歇通信与高延迟

星间、星地的链路由于传输距离远远长于传统地面网络，且由于卫星始终处在变化的恶劣自然环境中，链路与地面通信链路相比连通不稳定且延迟较高。这导致星间、星地的链路更加容易受到欺骗、篡改等方式的网络攻击而难以被发觉。

“星融网”将在国土安全防御、作战指挥决策、军事行动实施等领域发挥出极其重要的作用，也将是决定着未来信息化战争成败的关键因素之一。在网络对抗背景下，我主要战略对手大力发展网络攻击能力，“星融网”未来将成为其重要进攻方向之一。但是“星融网”有别于传统网络，有着信道开放性、链路间歇性、拓扑动态性等特征，因此由于其特殊的通信环境，以及以卫星网络为主干的特点，使得“星融网”面临着与传统网络不同的安全威胁。本文结合“星融网”创新性网络架构，深入分析基于现有技术建设“星融网”过程中可能面临的安全威胁，为进一步研究“星融网”网络安全架构和安全防护关键技术研究提供支撑。

二、网络体系结构安全风险分析

基于传统的OSI网络分层模型，本文从物理层、数据层、传输层和应用层四个层面分别阐述基于现有体系结构“星融网”设计和建设过程中可能面临的网络体系结构的安全风险。

（一）物理层安全风险

“星融网”物理层在建设过程中面临的安全威胁主要是物理毁损和信号干扰。

物理毁损主要指对天、空、地、海等基础设施进行物理破坏。主要威胁存在于太空环境及近地环境恶劣的自然环境对天、空基础设施造成不可抗的自然破坏，影响网络的正常运行。另一方面，在军事领域，天基基础设施极易成为敌人首要的攻击目标，造成“星融网”通信中断。

信号干扰主要指传输信号受到自然或人为的电子干扰。由于“星融网”网络处于复杂的电磁环境下，极易遭受宇宙射线、大气层电磁信号、恶意电磁信号等各类干扰，导致正常的数据传输受到影响乃至发生中断。其中，恶意干扰主要包括欺骗干扰、压制干扰等。欺骗干扰通过对卫星信号重放或伪造，使用户终端收到错误的信息，从而实现干扰。压制干扰是通过同频段大功率噪声干扰，致使卫星信号信噪比降低，从而导致通信传输可用性降低甚至无法使用。

（二）数据层安全风险

“星融网”数据层在建设过程中面临的主要安全威胁是数据机密性、完整性破坏。数据机密性、完整性破坏主要是指数据在传输过程中数据遭到窃取和破坏。由于星上计算资源有限，现有星间、星地数据传输协议在设计上安全性考虑不足，容易遭到来自攻击者的数据窃取、篡改和伪造、重放攻击以及中间人攻击等。

（三）传输层安全风险

“星融网”传输层在建设过程中面临的主要安全威胁是身份欺骗和拒绝服务攻击。身份欺骗主要是指“星融网”节点，尤其是卫星节点，由于其动态接入的特点，存在真实节点被冒充的可能，导致数据泄露。拒绝服务攻击主要是指利用网络协议缺陷，在同一时间利用大量网络访问某一网络目标设备，造成网络资源耗尽，无法提供正常服务。特别是在天基卫星网络带宽和计算资源受限情况下，更易遭到分布式拒绝服务攻击。

（四）应用层安全风险

“星融网”应用层可能面临的威胁主要是指各种蠕虫病毒、恶意软件、网络钓鱼等利用“星融网”可能存在的脆弱点、安全漏洞等缺陷，破坏“星融网”系统，威胁“星融网”核心服务器和骨干链路，造成“星融网”基础设施瘫痪。

由于“星融网”一体化信息网络的特点，整个网络是由数量庞大的各种接入系统构成，每个接入系统都有可能存在漏洞和脆弱点。攻击者可能通过利用任何一个系统/软件漏洞，达到侵入整个“星融网”的目的，对“星融网”造成严重威胁。通过对以上不同体系结构层次的安全威胁分析，可以看到，“星融网”网络体系结构的各层都存在被攻击的可能性，因此，设计“星融网”网络体系结构时必须综合统筹并合理兼顾，根据不同空间任务和应用的安全风险，对各层的情况都给予充分的考虑。

三、密钥管理风险分析

在未来“星融网”网络环境中，通信数据加密、控制消息完整性保护、接入身份认证等安全服务和安全机制的操作都离不开密钥管理技术。总体上，密钥管理法分为集中式和分布式两种，对于密钥管理集中式管理模式，在地面安全区域，设置一个总的密钥管理中心，负责对整个网络的密钥进行管理。由于“星融网”规模庞大再加之计算复杂度高，可以根据网络域将密钥管理划分为三个中心：卫星域密钥管理中心、临近空间域密钥管理中心和地面终端域密钥管理中心，每个密钥管理中心对域内节点的公钥进行管理，并接受总密钥管理中心的控制，由于“星融网”特殊的拓扑结构，该方案适用于规模较小的组播通信工作。但是，由于集中式密钥管理方案可靠性较差，当组控制者被攻击时，容易导致整个组瘫痪（即存在单点失效问题）。

分布式密钥管理不需要设置固定的组控制者，密钥由所有成员共同协商得到。但在密钥初始协商、成员加入和退出时，必须要由某个或某些组成员来担当临时管理者，为其他节点计算分发相关参数。“星融网”是由空间/卫星网络、临近空间网络和地面网络融合而成的多域异构网络，结合以上两种密钥管理方式的优缺点，未来“星融网”密钥管理可以采用以分布式密钥管理为主的方式。此外，还应在未来“星融网”建设中解决由于密钥协商消息需经多次转发才可到达，协商时延较长和成功率较低的问题。

四、路由协议风险分析

空间网络由于卫星节点的高速移动性、拓扑结构的可预测性及通信的高度暴露性，使得路由协议的控制消息面临着窃取、篡改、伪造、仿冒、重放、虫洞和拒绝服务等多种恶意攻击，目前的路由算法如果在“星融网”中应用会存在很多不足。

（一）抗毁性差

现有的路由算法的抗毁性差，即使一体化路由协议具备一定的抗毁能力，但是层次组织结构没有过多的冗余度，在网络中的节点失效的情况下，需要花费大量的开销使网络再次稳定下来。

（二）节点编址开销大

现有的路由算法大多仍是采用传统的地面IP编址方案对网络中的节点进行编址。如果卫星节点也采用IP编址方案，则需要的存储开销太大，对于本来星上存储能力就有限的卫星更是遇到了瓶颈。即使在地面网络和卫星网络需要进行消息传输的时候把数据包头部的IP地址转换成适合卫星系统的编址，也会大大增加网络负担，增加网络处理延迟。

（三）不能充分利用层间卫星链路资源

现有的路由算法大多以卫星为控制中心，地面移动节点通过地面站向卫星发送数据与其他节点实现通信的目的。虽然建立了多层卫星网络，上层卫星对于下层卫星来说只起到了管理的作用，在下层卫星路由失效的情况下报告错误并进行路由重计算。路由的功能主要由下层的卫星完成，这样就加大了下层卫星的负荷，而上层卫星与下层卫星之间的链路资源没有得到充分的利用。

（四）缺乏对网络中流量突发性变化的适应能力

卫星网络由于所处空间的独特性，卫星节点容易发生各种各样的故障。一旦网络中存在突发流量或者发生故障，整个系统就会崩溃，没有很好的适应能力。

针对当前路由算法存在的诸多风险，在未来的“星融网”安全防护方案研究中需要着重研究安全路由协议。由于“星融网”是由卫星网络、临近空间网络和地面无线网络等多种异构网络融合而成的复杂网络，消息在传输、转发和处理等过程中需要设计一种高效安全的路由协议方案，用以找出一条从源端路由器到目的端路由器的最优路径，保证“星融网”的路由安全。

五、网络安全切换风险分析

“星融网”各管理域中节点的相对位置处于动态变化的过程中，为了保证移动终端节点之间通过卫星网络或临近空间网络进行不间断的通信，必须使用切换机制用以提供无缝的网络接入服务。切换是指终端在通信过程中，从一个网络接入点的覆盖区域进入到另一接入点的覆盖区域时，必须改变通信链路以保持不间断的通信。

当终端节点在空间网络中发生切换时，与新网络接入点、旧网络接入点，甚至地面控制网络之间均需要进行频繁的切换信息，进行交互。切换控制消息可能受到窃取、篡改、伪造、重放等攻击的威胁，因此，切换过程中需要满足关键数据保密性、注册认证管理和控制消息完整性等安全需求，才能为网络接入服务提供安全保障。因此，在未来“星融网”的建设中，需要根据不同切换场景的特点和要求，设计快速、平滑、无缝的安全切换方案和协议，确保使用的安全机制满足各项安全属性，同时尽量缩短切换延迟，降低切换过程中的丢包率。

六、网络数据传输风险分析

在“星融网”中，从一个终端用户到另一个终端用户的数据传输可能涉及到多个网络域。然而，卫星网络节点和链路动态变化、网络时空行为复杂且分布稀疏，同时无线电干扰、节点能量限制等原因，导致通信链路具有传输距离远、传输时延大、高误码率、间歇性连接等特性，这些都与传统的地面互联网传输控制技术的前提要求有很大的不同。地面互联网的高速高效数据传输及其拥塞控制，是建立在数据源和目的之间存在端到端路径、端到端时延可控、丢包率较小等假设条件之上的，无法有效适应空间网络。

“星融网”的端到端数据传输需跨越多个异构的网络域，带宽受限、高延迟的信道环境会严重降低安全传输通道的建立、维护和数据传输过程，影响数据传输的效率，并可能造成不同网络域内部信息的泄露，因此，在未来“星融网”设计建设的过程中需采取措施提高安全传输通道建立、维护的效率和安全性，需要研究适用于“星融网”网络信道环境的安全传输技术。

七、结束语

随着技术的发展和应用需求的多样化，功能单一、结构规则、运行依赖于地面、相互之间孤立的天地通信网络已经不能满足实时性、综合性的服务需求。目前，抢占未来天空地信息竞争制高点、建设“星融网”是推进我国快速发展的又一次战略机遇。但是总体上看，基于现有的网络、通信等技术，“星融网”在未来的建设中可能在网络体系结构、密钥管理、路由协议、网络安全切换、网络数据传输等多方面面临着安全风险。本文基于“星融网”网络通信架构，深入分析了现有技术应用于“星融网”未来建设中可能面临的安全威胁，为下一步研究提出具有系统化、标准化、全方位、普适性的“星融网”安全架构方案和安全防护关键技术提供了有力依据和指引。