◎中國航天系統(tǒng)科學與工程研究院 顧升高 閆陳靜 陳漠 張偉

一、引言

隨著全球網(wǎng)絡(luò)信息化的不斷發(fā)展，基于系統(tǒng)工程理論方法，以天基系統(tǒng)為主體的“星融網(wǎng)”新型未來全球全域網(wǎng)絡(luò)架構(gòu)應運而生?！靶侨诰W(wǎng)”是由覆蓋全球的不同軌道、不同類型、不同性能的衛(wèi)星，通過星間、星地鏈路將地面、海上、空中和深空中的用戶、飛行器以及各種通信平臺密集聯(lián)合，按照信息資源的最大有效綜合利用原則，進行信息準確獲取、快速處理、高效傳輸和綜合應用的一體化高速寬帶大容量空間信息網(wǎng)絡(luò)。

“星融網(wǎng)”包括天基骨干網(wǎng)、天基接入網(wǎng)、地基綜合網(wǎng)三部分。天基骨干網(wǎng)由若干高軌衛(wèi)星聯(lián)網(wǎng)組成，為中低軌用戶提供覆蓋全球的骨干互聯(lián)、數(shù)據(jù)中繼、路由管理等服務(wù)；天基接入網(wǎng)由各類衛(wèi)星、星座和臨近空間飛行器等設(shè)備組成的多種專業(yè)子網(wǎng)的核心節(jié)點組成，滿足陸、海、空、天多層次海量用戶的各種網(wǎng)絡(luò)接入服務(wù)需求；地面綜合網(wǎng)由衛(wèi)星地面站和地面大數(shù)據(jù)中心組成，與其他地面網(wǎng)絡(luò)互聯(lián)互通。

“星融網(wǎng)”是跨越天基、空基、地基、海基，基于異構(gòu)網(wǎng)絡(luò)融合的，以天基網(wǎng)絡(luò)為骨干的復雜巨系統(tǒng)網(wǎng)絡(luò)。由于其網(wǎng)絡(luò)的特殊性，導致以衛(wèi)星節(jié)點為基礎(chǔ)的天基骨干網(wǎng)絡(luò)具有物理通信環(huán)境惡劣、衛(wèi)星節(jié)點計算能力有限、網(wǎng)絡(luò)拓撲動態(tài)變化、間歇通信與高延遲等安全風險點，因而面臨諸多安全挑戰(zhàn)。

（一）物理通信環(huán)境惡劣

“星融網(wǎng)”系統(tǒng)中基于空基的星間和星地通信鏈路長期暴露于惡劣的太空環(huán)境且信道開放，容易受到宇宙射線、大氣層電磁信號以及惡意電磁信號的干擾。由于無線鏈路具有開放性，特別容易受到干擾、截取、偽造等惡意攻擊。

（二）衛(wèi)星節(jié)點計算能力有限

相比地面系統(tǒng)，衛(wèi)星節(jié)點的硬件處理能力較低，星上系統(tǒng)的計算能力、存儲空間等都受到一定限制，直接導致星上無法進行復雜運算及大開銷通信，這使得基于天基的星間通信、星地通信無法應用復雜的、高安全性的通信協(xié)議，難以有效部署各種網(wǎng)絡(luò)安全防護系統(tǒng)。

（三）網(wǎng)絡(luò)拓撲動態(tài)變化

“星融網(wǎng)”系統(tǒng)由部署在太空、空中、地面、海上等多種異構(gòu)網(wǎng)絡(luò)互聯(lián)組成，傳統(tǒng)的路由、網(wǎng)絡(luò)接入等技術(shù)不能完全適用于“星融網(wǎng)”系統(tǒng)。此外，“星融網(wǎng)”的各天基節(jié)點（衛(wèi)星節(jié)點）始終處于高速運轉(zhuǎn)狀態(tài)，可能頻繁地加入或退出網(wǎng)絡(luò)，空基、地基、海基等節(jié)點也會經(jīng)常移動，導致網(wǎng)絡(luò)拓撲時刻發(fā)生變化，網(wǎng)絡(luò)通信各個終端間的通信關(guān)系也在不斷變化，這也導致傳統(tǒng)的身份認證、PKI和訪問控制技術(shù)，不能有效適用于“星融網(wǎng)”系統(tǒng)。

（四）間歇通信與高延遲

星間、星地的鏈路由于傳輸距離遠遠長于傳統(tǒng)地面網(wǎng)絡(luò)，且由于衛(wèi)星始終處在變化的惡劣自然環(huán)境中，鏈路與地面通信鏈路相比連通不穩(wěn)定且延遲較高。這導致星間、星地的鏈路更加容易受到欺騙、篡改等方式的網(wǎng)絡(luò)攻擊而難以被發(fā)覺。

“星融網(wǎng)”將在國土安全防御、作戰(zhàn)指揮決策、軍事行動實施等領(lǐng)域發(fā)揮出極其重要的作用，也將是決定著未來信息化戰(zhàn)爭成敗的關(guān)鍵因素之一。在網(wǎng)絡(luò)對抗背景下，我主要戰(zhàn)略對手大力發(fā)展網(wǎng)絡(luò)攻擊能力，“星融網(wǎng)”未來將成為其重要進攻方向之一。但是“星融網(wǎng)”有別于傳統(tǒng)網(wǎng)絡(luò)，有著信道開放性、鏈路間歇性、拓撲動態(tài)性等特征，因此由于其特殊的通信環(huán)境，以及以衛(wèi)星網(wǎng)絡(luò)為主干的特點，使得“星融網(wǎng)”面臨著與傳統(tǒng)網(wǎng)絡(luò)不同的安全威脅。本文結(jié)合“星融網(wǎng)”創(chuàng)新性網(wǎng)絡(luò)架構(gòu)，深入分析基于現(xiàn)有技術(shù)建設(shè)“星融網(wǎng)”過程中可能面臨的安全威脅，為進一步研究“星融網(wǎng)”網(wǎng)絡(luò)安全架構(gòu)和安全防護關(guān)鍵技術(shù)研究提供支撐。

二、網(wǎng)絡(luò)體系結(jié)構(gòu)安全風險分析

基于傳統(tǒng)的OSI網(wǎng)絡(luò)分層模型，本文從物理層、數(shù)據(jù)層、傳輸層和應用層四個層面分別闡述基于現(xiàn)有體系結(jié)構(gòu)“星融網(wǎng)”設(shè)計和建設(shè)過程中可能面臨的網(wǎng)絡(luò)體系結(jié)構(gòu)的安全風險。

（一）物理層安全風險

“星融網(wǎng)”物理層在建設(shè)過程中面臨的安全威脅主要是物理毀損和信號干擾。

物理毀損主要指對天、空、地、海等基礎(chǔ)設(shè)施進行物理破壞。主要威脅存在于太空環(huán)境及近地環(huán)境惡劣的自然環(huán)境對天、空基礎(chǔ)設(shè)施造成不可抗的自然破壞，影響網(wǎng)絡(luò)的正常運行。另一方面，在軍事領(lǐng)域，天基基礎(chǔ)設(shè)施極易成為敵人首要的攻擊目標，造成“星融網(wǎng)”通信中斷。

信號干擾主要指傳輸信號受到自然或人為的電子干擾。由于“星融網(wǎng)”網(wǎng)絡(luò)處于復雜的電磁環(huán)境下，極易遭受宇宙射線、大氣層電磁信號、惡意電磁信號等各類干擾，導致正常的數(shù)據(jù)傳輸受到影響乃至發(fā)生中斷。其中，惡意干擾主要包括欺騙干擾、壓制干擾等。欺騙干擾通過對衛(wèi)星信號重放或偽造，使用戶終端收到錯誤的信息，從而實現(xiàn)干擾。壓制干擾是通過同頻段大功率噪聲干擾，致使衛(wèi)星信號信噪比降低，從而導致通信傳輸可用性降低甚至無法使用。

（二）數(shù)據(jù)層安全風險

“星融網(wǎng)”數(shù)據(jù)層在建設(shè)過程中面臨的主要安全威脅是數(shù)據(jù)機密性、完整性破壞。數(shù)據(jù)機密性、完整性破壞主要是指數(shù)據(jù)在傳輸過程中數(shù)據(jù)遭到竊取和破壞。由于星上計算資源有限，現(xiàn)有星間、星地數(shù)據(jù)傳輸協(xié)議在設(shè)計上安全性考慮不足，容易遭到來自攻擊者的數(shù)據(jù)竊取、篡改和偽造、重放攻擊以及中間人攻擊等。

（三）傳輸層安全風險

“星融網(wǎng)”傳輸層在建設(shè)過程中面臨的主要安全威脅是身份欺騙和拒絕服務(wù)攻擊。身份欺騙主要是指“星融網(wǎng)”節(jié)點，尤其是衛(wèi)星節(jié)點，由于其動態(tài)接入的特點，存在真實節(jié)點被冒充的可能，導致數(shù)據(jù)泄露。拒絕服務(wù)攻擊主要是指利用網(wǎng)絡(luò)協(xié)議缺陷，在同一時間利用大量網(wǎng)絡(luò)訪問某一網(wǎng)絡(luò)目標設(shè)備，造成網(wǎng)絡(luò)資源耗盡，無法提供正常服務(wù)。特別是在天基衛(wèi)星網(wǎng)絡(luò)帶寬和計算資源受限情況下，更易遭到分布式拒絕服務(wù)攻擊。

（四）應用層安全風險

“星融網(wǎng)”應用層可能面臨的威脅主要是指各種蠕蟲病毒、惡意軟件、網(wǎng)絡(luò)釣魚等利用“星融網(wǎng)”可能存在的脆弱點、安全漏洞等缺陷，破壞“星融網(wǎng)”系統(tǒng)，威脅“星融網(wǎng)”核心服務(wù)器和骨干鏈路，造成“星融網(wǎng)”基礎(chǔ)設(shè)施癱瘓。

由于“星融網(wǎng)”一體化信息網(wǎng)絡(luò)的特點，整個網(wǎng)絡(luò)是由數(shù)量龐大的各種接入系統(tǒng)構(gòu)成，每個接入系統(tǒng)都有可能存在漏洞和脆弱點。攻擊者可能通過利用任何一個系統(tǒng)/軟件漏洞，達到侵入整個“星融網(wǎng)”的目的，對“星融網(wǎng)”造成嚴重威脅。通過對以上不同體系結(jié)構(gòu)層次的安全威脅分析，可以看到，“星融網(wǎng)”網(wǎng)絡(luò)體系結(jié)構(gòu)的各層都存在被攻擊的可能性，因此，設(shè)計“星融網(wǎng)”網(wǎng)絡(luò)體系結(jié)構(gòu)時必須綜合統(tǒng)籌并合理兼顧，根據(jù)不同空間任務(wù)和應用的安全風險，對各層的情況都給予充分的考慮。

三、密鑰管理風險分析

在未來“星融網(wǎng)”網(wǎng)絡(luò)環(huán)境中，通信數(shù)據(jù)加密、控制消息完整性保護、接入身份認證等安全服務(wù)和安全機制的操作都離不開密鑰管理技術(shù)?？傮w上，密鑰管理法分為集中式和分布式兩種，對于密鑰管理集中式管理模式，在地面安全區(qū)域，設(shè)置一個總的密鑰管理中心，負責對整個網(wǎng)絡(luò)的密鑰進行管理。由于“星融網(wǎng)”規(guī)模龐大再加之計算復雜度高，可以根據(jù)網(wǎng)絡(luò)域?qū)⒚荑€管理劃分為三個中心：衛(wèi)星域密鑰管理中心、臨近空間域密鑰管理中心和地面終端域密鑰管理中心，每個密鑰管理中心對域內(nèi)節(jié)點的公鑰進行管理，并接受總密鑰管理中心的控制，由于“星融網(wǎng)”特殊的拓撲結(jié)構(gòu)，該方案適用于規(guī)模較小的組播通信工作。但是，由于集中式密鑰管理方案可靠性較差，當組控制者被攻擊時，容易導致整個組癱瘓（即存在單點失效問題）。

分布式密鑰管理不需要設(shè)置固定的組控制者，密鑰由所有成員共同協(xié)商得到。但在密鑰初始協(xié)商、成員加入和退出時，必須要由某個或某些組成員來擔當臨時管理者，為其他節(jié)點計算分發(fā)相關(guān)參數(shù)?！靶侨诰W(wǎng)”是由空間/衛(wèi)星網(wǎng)絡(luò)、臨近空間網(wǎng)絡(luò)和地面網(wǎng)絡(luò)融合而成的多域異構(gòu)網(wǎng)絡(luò)，結(jié)合以上兩種密鑰管理方式的優(yōu)缺點，未來“星融網(wǎng)”密鑰管理可以采用以分布式密鑰管理為主的方式。此外，還應在未來“星融網(wǎng)”建設(shè)中解決由于密鑰協(xié)商消息需經(jīng)多次轉(zhuǎn)發(fā)才可到達，協(xié)商時延較長和成功率較低的問題。

四、路由協(xié)議風險分析

空間網(wǎng)絡(luò)由于衛(wèi)星節(jié)點的高速移動性、拓撲結(jié)構(gòu)的可預測性及通信的高度暴露性，使得路由協(xié)議的控制消息面臨著竊取、篡改、偽造、仿冒、重放、蟲洞和拒絕服務(wù)等多種惡意攻擊，目前的路由算法如果在“星融網(wǎng)”中應用會存在很多不足。

（一）抗毀性差

現(xiàn)有的路由算法的抗毀性差，即使一體化路由協(xié)議具備一定的抗毀能力，但是層次組織結(jié)構(gòu)沒有過多的冗余度，在網(wǎng)絡(luò)中的節(jié)點失效的情況下，需要花費大量的開銷使網(wǎng)絡(luò)再次穩(wěn)定下來。

（二）節(jié)點編址開銷大

現(xiàn)有的路由算法大多仍是采用傳統(tǒng)的地面IP編址方案對網(wǎng)絡(luò)中的節(jié)點進行編址。如果衛(wèi)星節(jié)點也采用IP編址方案，則需要的存儲開銷太大，對于本來星上存儲能力就有限的衛(wèi)星更是遇到了瓶頸。即使在地面網(wǎng)絡(luò)和衛(wèi)星網(wǎng)絡(luò)需要進行消息傳輸?shù)臅r候把數(shù)據(jù)包頭部的IP地址轉(zhuǎn)換成適合衛(wèi)星系統(tǒng)的編址，也會大大增加網(wǎng)絡(luò)負擔，增加網(wǎng)絡(luò)處理延遲。

（三）不能充分利用層間衛(wèi)星鏈路資源

現(xiàn)有的路由算法大多以衛(wèi)星為控制中心，地面移動節(jié)點通過地面站向衛(wèi)星發(fā)送數(shù)據(jù)與其他節(jié)點實現(xiàn)通信的目的。雖然建立了多層衛(wèi)星網(wǎng)絡(luò)，上層衛(wèi)星對于下層衛(wèi)星來說只起到了管理的作用，在下層衛(wèi)星路由失效的情況下報告錯誤并進行路由重計算。路由的功能主要由下層的衛(wèi)星完成，這樣就加大了下層衛(wèi)星的負荷，而上層衛(wèi)星與下層衛(wèi)星之間的鏈路資源沒有得到充分的利用。

（四）缺乏對網(wǎng)絡(luò)中流量突發(fā)性變化的適應能力

衛(wèi)星網(wǎng)絡(luò)由于所處空間的獨特性，衛(wèi)星節(jié)點容易發(fā)生各種各樣的故障。一旦網(wǎng)絡(luò)中存在突發(fā)流量或者發(fā)生故障，整個系統(tǒng)就會崩潰，沒有很好的適應能力。

針對當前路由算法存在的諸多風險，在未來的“星融網(wǎng)”安全防護方案研究中需要著重研究安全路由協(xié)議。由于“星融網(wǎng)”是由衛(wèi)星網(wǎng)絡(luò)、臨近空間網(wǎng)絡(luò)和地面無線網(wǎng)絡(luò)等多種異構(gòu)網(wǎng)絡(luò)融合而成的復雜網(wǎng)絡(luò)，消息在傳輸、轉(zhuǎn)發(fā)和處理等過程中需要設(shè)計一種高效安全的路由協(xié)議方案，用以找出一條從源端路由器到目的端路由器的最優(yōu)路徑，保證“星融網(wǎng)”的路由安全。

五、網(wǎng)絡(luò)安全切換風險分析

“星融網(wǎng)”各管理域中節(jié)點的相對位置處于動態(tài)變化的過程中，為了保證移動終端節(jié)點之間通過衛(wèi)星網(wǎng)絡(luò)或臨近空間網(wǎng)絡(luò)進行不間斷的通信，必須使用切換機制用以提供無縫的網(wǎng)絡(luò)接入服務(wù)。切換是指終端在通信過程中，從一個網(wǎng)絡(luò)接入點的覆蓋區(qū)域進入到另一接入點的覆蓋區(qū)域時，必須改變通信鏈路以保持不間斷的通信。

當終端節(jié)點在空間網(wǎng)絡(luò)中發(fā)生切換時，與新網(wǎng)絡(luò)接入點、舊網(wǎng)絡(luò)接入點，甚至地面控制網(wǎng)絡(luò)之間均需要進行頻繁的切換信息，進行交互。切換控制消息可能受到竊取、篡改、偽造、重放等攻擊的威脅，因此，切換過程中需要滿足關(guān)鍵數(shù)據(jù)保密性、注冊認證管理和控制消息完整性等安全需求，才能為網(wǎng)絡(luò)接入服務(wù)提供安全保障。因此，在未來“星融網(wǎng)”的建設(shè)中，需要根據(jù)不同切換場景的特點和要求，設(shè)計快速、平滑、無縫的安全切換方案和協(xié)議，確保使用的安全機制滿足各項安全屬性，同時盡量縮短切換延遲，降低切換過程中的丟包率。

六、網(wǎng)絡(luò)數(shù)據(jù)傳輸風險分析

在“星融網(wǎng)”中，從一個終端用戶到另一個終端用戶的數(shù)據(jù)傳輸可能涉及到多個網(wǎng)絡(luò)域。然而，衛(wèi)星網(wǎng)絡(luò)節(jié)點和鏈路動態(tài)變化、網(wǎng)絡(luò)時空行為復雜且分布稀疏，同時無線電干擾、節(jié)點能量限制等原因，導致通信鏈路具有傳輸距離遠、傳輸時延大、高誤碼率、間歇性連接等特性，這些都與傳統(tǒng)的地面互聯(lián)網(wǎng)傳輸控制技術(shù)的前提要求有很大的不同。地面互聯(lián)網(wǎng)的高速高效數(shù)據(jù)傳輸及其擁塞控制，是建立在數(shù)據(jù)源和目的之間存在端到端路徑、端到端時延可控、丟包率較小等假設(shè)條件之上的，無法有效適應空間網(wǎng)絡(luò)。

“星融網(wǎng)”的端到端數(shù)據(jù)傳輸需跨越多個異構(gòu)的網(wǎng)絡(luò)域，帶寬受限、高延遲的信道環(huán)境會嚴重降低安全傳輸通道的建立、維護和數(shù)據(jù)傳輸過程，影響數(shù)據(jù)傳輸?shù)男?，并可能造成不同網(wǎng)絡(luò)域內(nèi)部信息的泄露，因此，在未來“星融網(wǎng)”設(shè)計建設(shè)的過程中需采取措施提高安全傳輸通道建立、維護的效率和安全性，需要研究適用于“星融網(wǎng)”網(wǎng)絡(luò)信道環(huán)境的安全傳輸技術(shù)。

七、結(jié)束語

隨著技術(shù)的發(fā)展和應用需求的多樣化，功能單一、結(jié)構(gòu)規(guī)則、運行依賴于地面、相互之間孤立的天地通信網(wǎng)絡(luò)已經(jīng)不能滿足實時性、綜合性的服務(wù)需求。目前，搶占未來天空地信息競爭制高點、建設(shè)“星融網(wǎng)”是推進我國快速發(fā)展的又一次戰(zhàn)略機遇。但是總體上看，基于現(xiàn)有的網(wǎng)絡(luò)、通信等技術(shù)，“星融網(wǎng)”在未來的建設(shè)中可能在網(wǎng)絡(luò)體系結(jié)構(gòu)、密鑰管理、路由協(xié)議、網(wǎng)絡(luò)安全切換、網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)榷喾矫婷媾R著安全風險。本文基于“星融網(wǎng)”網(wǎng)絡(luò)通信架構(gòu)，深入分析了現(xiàn)有技術(shù)應用于“星融網(wǎng)”未來建設(shè)中可能面臨的安全威脅，為下一步研究提出具有系統(tǒng)化、標準化、全方位、普適性的“星融網(wǎng)”安全架構(gòu)方案和安全防護關(guān)鍵技術(shù)提供了有力依據(jù)和指引。