吳流麗,廖建華,蘇懷方
(中國人民解放軍61660部隊(duì),北京100089)
衛(wèi)星通信網(wǎng)是指2個(gè)或多個(gè)地球站使用無線信道,利用衛(wèi)星作為中繼站,在中央控制站的管理和協(xié)調(diào)下實(shí)現(xiàn)遠(yuǎn)距離通信的網(wǎng)絡(luò),其因區(qū)域覆蓋面廣、通信不受地理?xiàng)l件所限、信道鏈路成本低、可用頻率資源豐富等優(yōu)勢,成為了各國構(gòu)建全球覆蓋、隨遇接入、按需服務(wù)的天地一體化信息網(wǎng)絡(luò)的首要選擇。隨著衛(wèi)星通信應(yīng)用的不斷拓展,各種針對衛(wèi)星通信網(wǎng)絡(luò)的攻擊手段不斷涌現(xiàn),并有從物理層干擾攻擊逐步上升至協(xié)議棧上層攻擊的發(fā)展趨勢。由于衛(wèi)星通信網(wǎng)使用無線信道作為傳輸媒介,沒有固定基礎(chǔ)設(shè)施的物理保護(hù),相較地面互連網(wǎng)更容易遭受竊聽、篡改、偽造、拒絕服務(wù)等攻擊威脅。同時(shí),衛(wèi)星通信網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)潆S時(shí)間動(dòng)態(tài)變化,且衛(wèi)星的存儲空間、計(jì)算能力也有限,地面互聯(lián)網(wǎng)現(xiàn)有的安全技術(shù)并不完全適用于衛(wèi)星通信,因此其面臨的安全風(fēng)險(xiǎn)更為嚴(yán)峻。
一直以來頻發(fā)的衛(wèi)星安全事件足以印證這一點(diǎn):1997年,黑客入侵了美國宇航局戈達(dá)德太空飛行中心天體物理學(xué)部的計(jì)算機(jī),向衛(wèi)星傳送數(shù)據(jù)和指令;1998年,黑客控制了美德ROSAT天文學(xué)衛(wèi)星,并將其高分辨率成像儀對準(zhǔn)太陽,造成衛(wèi)星載荷失效;1999年,黑客控制了英國SkyNet衛(wèi)星網(wǎng)絡(luò)的一顆衛(wèi)星并轉(zhuǎn)移了它,然后索要贖金;2002年,某組織入侵我國鑫諾通信衛(wèi)星的電視網(wǎng)絡(luò),播放違規(guī)電視內(nèi)容,造成非常嚴(yán)重的后果;2007年,Landsat 7衛(wèi)星遭受了12 min的干擾;2007年,斯里蘭卡恐怖組織泰米爾伊拉姆猛虎解放組織盜用一顆Intelsat衛(wèi)星,并使用該衛(wèi)星廣播電視消息;2008年,黑客入侵約翰遜航天中心的計(jì)算機(jī)并安裝木馬,隨后接入到國際空間站的上行鏈路,并破壞了空間站的電子郵件系統(tǒng);2015年,德國CCC大會(huì)上,黑客Sec和schneider演示了如何使用Camp徽章竊聽銥星數(shù)傳的流量。值得注意的是,2020年,在defcon黑客大會(huì)上,美國空軍與國防數(shù)字服務(wù)局合作舉辦太空安全挑戰(zhàn)賽,允許黑客對真實(shí)的衛(wèi)星進(jìn)行入侵比賽活動(dòng)。這些事例表明,太空安全成為了越來越突出的問題,已然上升到國家戰(zhàn)略層級。
安全威脅分析是制定安全解決方案、提供安全服務(wù)以及實(shí)施安全機(jī)制的前提和基礎(chǔ)。本文首先闡述了衛(wèi)星通信的特點(diǎn),然后從物理組成角度分析衛(wèi)星通信系統(tǒng)不同組成部分所面臨的安全威脅,在此基礎(chǔ)上總結(jié)相應(yīng)的防護(hù)技術(shù),從而為衛(wèi)星安全防護(hù)解決方案和安全機(jī)制制定提供支撐。
相比于地面通信系統(tǒng),衛(wèi)星通信系統(tǒng)具有如下特點(diǎn):
1)物理環(huán)境惡劣
通信衛(wèi)星一般位于據(jù)地面高度2 000 km(低地球軌道)至35 800 km(同步衛(wèi)星軌道)的太空軌道,距地面遠(yuǎn)、環(huán)境惡劣。衛(wèi)星上的電子器件容易受到太空輻射、溫度差、太陽能變化等影響。通信鏈路容易受到太陽黑子爆發(fā)、暴雨天氣、大氣層電磁噪聲信號或惡意電磁干擾信號的影響。
2)衛(wèi)星節(jié)點(diǎn)暴露且信道開放
衛(wèi)星通信網(wǎng)絡(luò)中,衛(wèi)星節(jié)點(diǎn)直接暴露于空間軌道上,缺乏物理保護(hù)措施,面臨反輻射武器硬摧毀、空間碎片撞擊等風(fēng)險(xiǎn)。同時(shí)通信信道具有開放性,容易遭受非法截獲、欺騙以及干擾等攻擊。
3)衛(wèi)星節(jié)點(diǎn)能力受限
受衛(wèi)星有效載荷技術(shù)等因素的影響,衛(wèi)星節(jié)點(diǎn)的硬件處理能力較低,星上系統(tǒng)的計(jì)算能力、存儲空間、電能功率等都受到一定限制,這直接制約了星上運(yùn)算的復(fù)雜度和通信開銷。
4)網(wǎng)絡(luò)拓?fù)鋭?dòng)態(tài)變化
衛(wèi)星通信網(wǎng)絡(luò)中的同步衛(wèi)星、中低軌道衛(wèi)星等按照各自既定的軌道在空間中高速運(yùn)行,相對位置隨時(shí)間變化,導(dǎo)致網(wǎng)絡(luò)節(jié)點(diǎn)間的拓?fù)洳粩嘧兓?/p>
5)網(wǎng)絡(luò)節(jié)點(diǎn)升級維護(hù)困難。
在現(xiàn)有技術(shù)下,衛(wèi)星一旦發(fā)射進(jìn)入軌道,硬件層面幾乎沒有升級改造的可能,軟件功能也很難隨著相應(yīng)技術(shù)的發(fā)展而進(jìn)行升級。同時(shí)當(dāng)衛(wèi)星出現(xiàn)故障時(shí)只能通過遠(yuǎn)距離的監(jiān)測系統(tǒng)對其進(jìn)行檢測,而且即使檢測到故障也很難對其進(jìn)行維修。
鑒于衛(wèi)星系統(tǒng)的上述特點(diǎn),其面臨的安全威脅相較地面通信系統(tǒng)既有普遍性,又有其特殊性,因此需要針對衛(wèi)星通信系統(tǒng)分析其風(fēng)險(xiǎn),并研提相應(yīng)的防護(hù)對策。
衛(wèi)星通信系統(tǒng)整體組成可分為空間段、地面段和鏈路段??臻g段主要包括衛(wèi)星平臺和衛(wèi)星有效載荷;鏈路段主要包括星間鏈路、星地鏈路和地面鏈,地面段主要包括地球站、測控站以及各種通信平臺。圖1為衛(wèi)星通信系統(tǒng)的組成示意圖。
圖1 衛(wèi)星通信系統(tǒng)組成示意圖
下面分別從這3個(gè)部分分析衛(wèi)星通信網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)以及應(yīng)對威脅的防護(hù)技術(shù)。
2.1.1 物理攻擊
由于衛(wèi)星運(yùn)行軌道數(shù)據(jù)大多公開,或可通過雷達(dá)、偵查衛(wèi)星、光學(xué)望遠(yuǎn)鏡等方式觀測得到,其實(shí)時(shí)在軌位置極易暴露給敵方,因此衛(wèi)星有可能受到敵方的物理攻擊。攻擊方式包括采用反衛(wèi)星武器(導(dǎo)彈、衛(wèi)星)摧毀衛(wèi)星,使用非動(dòng)能武器(如激光或高功率微波系統(tǒng)、核輻射粒子束等)對衛(wèi)星上的轉(zhuǎn)發(fā)器、電源系統(tǒng)等關(guān)鍵設(shè)備進(jìn)行攻擊等。同時(shí),太空中日益增多的碎片也對衛(wèi)星安全造成嚴(yán)重威脅。2019年7月5日,國際空間站ISS曾進(jìn)行軌道機(jī)動(dòng),避免與太空火箭體碎片相撞。
對抗物理攻擊的方法主要是采取抗損毀策略,比如采取抗輻射加固、衛(wèi)星冗余備份、多軌道衛(wèi)星組網(wǎng)、高軌道分散化星座設(shè)計(jì)、對攻擊性武器進(jìn)行攔截和摧毀等措施。
2.1.2 網(wǎng)絡(luò)入侵攻擊
最初,衛(wèi)星設(shè)計(jì)更多關(guān)注可用性和效率,其星載操作系統(tǒng)、星上載荷、總線等設(shè)計(jì)對于安全機(jī)制的討論尚不充分,因此存在安全漏洞、后門等風(fēng)險(xiǎn)隱患,存在被網(wǎng)絡(luò)入侵攻擊的威脅。
例如星載主流操作系統(tǒng)Vx Works曾經(jīng)被爆出多個(gè)漏洞:2015年,安全研究員在“好奇號”使用的Vx-Works操作系統(tǒng)中發(fā)現(xiàn)了一個(gè)允許遠(yuǎn)程代碼執(zhí)行的整數(shù)溢出漏洞;2019年,VxWorks系統(tǒng)被研究人員發(fā)現(xiàn)了11個(gè)漏洞,其中6個(gè)為高危遠(yuǎn)程代碼執(zhí)行漏洞。隨后,Vx Works又被發(fā)現(xiàn)存在遠(yuǎn)程拒絕服務(wù)漏洞。2019年,360公司研究員發(fā)現(xiàn)全球衛(wèi)星搜救系統(tǒng)SARSAT載荷存在易被攻擊的隱患,包括遭受拒絕服務(wù)攻擊、偽造求救信標(biāo)、盜取載荷資源進(jìn)行通信、信息泄露、易被同頻信號干擾等風(fēng)險(xiǎn)。對于衛(wèi)星總線,衛(wèi)星常用總線有CAN、1553B、SpaceWire等,由于設(shè)計(jì)時(shí)未考慮安全因素,同樣存在易被攻擊的特點(diǎn)。
在空間段對抗網(wǎng)絡(luò)層攻擊的手段主要有提高星上產(chǎn)品的國產(chǎn)化率減少后門攻擊風(fēng)險(xiǎn)、在系統(tǒng)設(shè)計(jì)時(shí)加入安全性設(shè)計(jì)等。隨著星上處理能力的提升,地面互聯(lián)網(wǎng)的防病毒、入侵檢測等網(wǎng)絡(luò)安全功能也可以應(yīng)用到衛(wèi)星平臺中。
2.2.1 物理攻擊
地面段面臨的物理攻擊威脅主要是來自海陸空的硬攻擊。其中,對地球站的攻擊將會(huì)造成地球站平臺的損壞,從而使用戶無法接入衛(wèi)星通信網(wǎng)絡(luò),導(dǎo)致整個(gè)衛(wèi)星通信網(wǎng)絡(luò)的癱瘓。對測控站的攻擊將會(huì)導(dǎo)致地面對通信衛(wèi)星的失控,通信衛(wèi)星在失去地面控制的情況下有可能偏離既定軌道和姿態(tài),從而造成系統(tǒng)的癱瘓,甚至衛(wèi)星的損毀。
對于衛(wèi)星地面段的防護(hù)除了采取隱蔽手段、加強(qiáng)設(shè)施安保、多站備份等方式外,還可以通過運(yùn)用星座自主運(yùn)行技術(shù)來減少衛(wèi)星對地面站的依賴,通過更復(fù)雜的星間鏈路協(xié)議使衛(wèi)星與地面站交互的頻次降低,甚至可以實(shí)現(xiàn)在應(yīng)急條件下,星座脫離地面站自主運(yùn)行。這種技術(shù)在星座導(dǎo)航系統(tǒng)中應(yīng)用較多,如未來的GPSⅢ將實(shí)現(xiàn)星座在與地面控制中心失去聯(lián)系的情況下,仍能在180天內(nèi)按系統(tǒng)規(guī)范精度發(fā)送導(dǎo)航信號。
2.2.2 網(wǎng)絡(luò)入侵攻擊
地面段的地球站、測控站、通信平臺等面臨的威脅與傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全威脅相似。比如衛(wèi)星通信相關(guān)設(shè)備和應(yīng)用存在供應(yīng)鏈攻擊、后門、漏洞等,可能導(dǎo)致信息被泄露或設(shè)備被敵方控制利用等后果。國內(nèi)安全研究人員曾發(fā)現(xiàn)衛(wèi)星通信設(shè)備提供商COMTECH的調(diào)制解調(diào)器的EDMAC/EDMAC2遠(yuǎn)程控制功能沒有做物理地址認(rèn)證,可被攻擊者遠(yuǎn)程修改參數(shù)從而切斷衛(wèi)星鏈路。同時(shí),地面關(guān)口站、測控站、網(wǎng)管站可能被國外軍方組織APT攻擊、內(nèi)網(wǎng)滲透入侵等,敵方長期潛伏于衛(wèi)星網(wǎng)絡(luò)和測控網(wǎng)絡(luò)之中,導(dǎo)致數(shù)據(jù)被泄露、測控信令、網(wǎng)管信息被竊取,給用戶以及衛(wèi)星本身帶來嚴(yán)重后果。
其他一些安全風(fēng)險(xiǎn)如計(jì)算機(jī)終端漏洞、病毒、惡意代碼等威脅與傳統(tǒng)計(jì)算機(jī)網(wǎng)安全類似,在此不再贅述。
防范地面段網(wǎng)絡(luò)入侵攻擊的方式主要是采取傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)手段,如提升產(chǎn)品的國產(chǎn)化率、部署防火墻及入侵檢測系統(tǒng)、安裝防病毒軟件、建立日志審計(jì)機(jī)制等。隨著技術(shù)的發(fā)展,內(nèi)生安全、主動(dòng)防御、人工智能等理念逐步應(yīng)用到網(wǎng)絡(luò)安全中,可大大提升系統(tǒng)抗網(wǎng)絡(luò)攻擊的能力。
鏈路段分為業(yè)務(wù)鏈路和測控鏈路。業(yè)務(wù)鏈路主要用來傳輸用戶的通信信息;測控鏈路主要用來傳輸衛(wèi)星的控制指令以及衛(wèi)星的遙測數(shù)據(jù),測控鏈路是有效控制衛(wèi)星、確保衛(wèi)星的正常工作的最重要部分。
鏈路層面臨的威脅主要有干擾和竊聽。竊聽、干擾設(shè)備可置于地面(如固定式、車載式或船載式干擾站),也可以置于空中(如機(jī)載、氣球運(yùn)載的干擾站),也可以置于太空(如星載干擾站)。
1)竊聽攻擊
由于衛(wèi)星下行通信采用廣播方式,而且通信協(xié)議標(biāo)準(zhǔn)為國際標(biāo)準(zhǔn)的CCSDS協(xié)議,具有信令識別容易、易被逆向等缺陷,給實(shí)施竊聽攻擊帶來便利,容易導(dǎo)致通信數(shù)據(jù)被竊取、纂改等嚴(yán)重安全風(fēng)險(xiǎn)。
對抗竊聽攻擊主要的技術(shù)有:
①傳統(tǒng)數(shù)據(jù)加密技術(shù)。利用對稱加密算法或非對稱加密算法對咬傳輸?shù)臄?shù)據(jù)進(jìn)行加密,其安全性依賴于加密算法復(fù)雜度、密鑰管理方式等。隨著計(jì)算能力的飛速發(fā)展,尤其是量子計(jì)算機(jī)的出現(xiàn),這種基于計(jì)算復(fù)雜度的加密方式面臨較大風(fēng)險(xiǎn)。
②低截獲概率通信技術(shù)。根據(jù)衛(wèi)星通信信號的實(shí)際傳播特征,利用編碼、調(diào)制和波形設(shè)計(jì)等物理層技術(shù)防止通信信號被發(fā)現(xiàn),特征被提取,信息被還原,從而保障通信信號、信號特征以及信息內(nèi)容的安全。主要實(shí)現(xiàn)方法有跳/擴(kuò)頻通信、人工噪聲、波束形成等。
低截獲概率通信可以與上層加密技術(shù)互相補(bǔ)充,進(jìn)一步保障無線通信系統(tǒng)的安全。
2)干擾攻擊
針對衛(wèi)星無線鏈路的干擾主要有壓制干擾和欺騙干擾。
壓制干擾是指無意或蓄意的干擾源通過產(chǎn)生隨機(jī)噪聲,在時(shí)域、空域、能量域、頻域等多維空間上覆蓋通信信號,使得衛(wèi)星信號信噪比降低,從而失去可用性的干擾手段,又可分為大功率壓制干擾和靈巧干擾。大功率壓制干擾一般會(huì)忽略通信的過程性特征,即不考慮通信的時(shí)、頻、空、功率的變化性。靈巧干擾針對通信同步、建鏈、持續(xù)、拆鏈等過程以及數(shù)據(jù)封裝格式等特征,對通信信號進(jìn)行有針對性的干擾,相較大功率壓制干擾,具有隱蔽性強(qiáng)、機(jī)動(dòng)性好等優(yōu)點(diǎn),但其實(shí)現(xiàn)也較為復(fù)雜。
欺騙干擾是通過對衛(wèi)星信號重放轉(zhuǎn)發(fā)或模仿偽造,使用戶終端做出錯(cuò)誤判斷的干擾攻擊。由于無需大功率的干擾信號,因此它在空間上比壓制干擾作用域更廣,但這種攻擊需要對衛(wèi)星信號編碼特征具有一定了解。
典型的抗干擾技術(shù)有以下幾種:
①有擴(kuò)頻調(diào)制和跳頻調(diào)制技術(shù)。擴(kuò)頻技術(shù)通過偽隨機(jī)擴(kuò)頻序列將發(fā)送的信號頻帶擴(kuò)展,接收端用相同的擴(kuò)頻碼解擴(kuò),從而達(dá)到“稀釋”干擾信號的目的;跳頻則是通過連續(xù)改變發(fā)送信號的中心頻率的方式,實(shí)現(xiàn)物理意義上的隨機(jī)信道選擇,提高通信信道的隱蔽性。
②角度鑒別、指紋鑒別技術(shù)。角度鑒別是通過干擾源與星座信號發(fā)射角度的差異來鑒別真實(shí)信號,該方法只能鑒別單一方向的欺騙干擾源;指紋鑒別是通過無線電設(shè)備工作時(shí)發(fā)射信號所具有的各不相同的“紋路”(幅度、頻率和相位的統(tǒng)計(jì)參數(shù)、測量參數(shù)和數(shù)值參數(shù))來鑒別真實(shí)信號,從而規(guī)避欺騙干擾。
③自適應(yīng)波束形成技術(shù)、點(diǎn)波束技術(shù)。自適應(yīng)波束形成技術(shù)通過星上感應(yīng)器感知通信環(huán)境的變化,當(dāng)檢測存在干擾信號時(shí),在干擾方向形成自適應(yīng)零陷從而抑制干擾。點(diǎn)波束技術(shù)減小通信波束的波束寬度,在空間上規(guī)避干擾。
④猝發(fā)通信技術(shù)。猝發(fā)通信極大壓縮信號的傳輸時(shí)間,大大降低了被偵察、截獲的概率,可有效抗擊欺騙式干擾。
⑤認(rèn)證加密技術(shù)。借鑒計(jì)算機(jī)網(wǎng)絡(luò)防止仿冒攻擊和重放攻擊等方法,可在衛(wèi)星信號中加入密文傳輸?shù)恼J(rèn)證碼、一次性隨機(jī)因子等安全機(jī)制防范欺騙式干擾。
實(shí)際上,上述抗干擾技術(shù)都有其局限性或不足之處。因此應(yīng)該綜合應(yīng)用多種抗干擾技術(shù),使它們可以克服彼此的局限性或不足之處,做到優(yōu)勢互補(bǔ),從而真正提高鏈路段的抗干擾能力。
根據(jù)衛(wèi)星系統(tǒng)的特點(diǎn),從空間段、地面段、鏈路段分析了衛(wèi)星通信網(wǎng)面臨的安全威脅,總結(jié)了應(yīng)對安全威脅的相應(yīng)防護(hù)技術(shù)。衛(wèi)星系統(tǒng)的安全威脅是多方面的,可能涉及衛(wèi)星系統(tǒng)的多個(gè)部分,因此衛(wèi)星的安全防護(hù)需要體系設(shè)計(jì)、總體規(guī)劃。