衛星通信系統安全風險分析及防御對策初探

吳流麗，廖建華，蘇懷方

（中國人民解放軍61660部隊，北京100089）

0 引言

衛星通信網是指2個或多個地球站使用無線信道，利用衛星作為中繼站，在中央控制站的管理和協調下實現遠距離通信的網絡，其因區域覆蓋面廣、通信不受地理條件所限、信道鏈路成本低、可用頻率資源豐富等優勢，成為了各國構建全球覆蓋、隨遇接入、按需服務的天地一體化信息網絡的首要選擇。隨著衛星通信應用的不斷拓展,各種針對衛星通信網絡的攻擊手段不斷涌現,并有從物理層干擾攻擊逐步上升至協議棧上層攻擊的發展趨勢。由于衛星通信網使用無線信道作為傳輸媒介,沒有固定基礎設施的物理保護,相較地面互連網更容易遭受竊聽、篡改、偽造、拒絕服務等攻擊威脅。同時，衛星通信網絡的網絡拓撲隨時間動態變化,且衛星的存儲空間、計算能力也有限，地面互聯網現有的安全技術并不完全適用于衛星通信，因此其面臨的安全風險更為嚴峻。

一直以來頻發的衛星安全事件足以印證這一點：1997年，黑客入侵了美國宇航局戈達德太空飛行中心天體物理學部的計算機，向衛星傳送數據和指令；1998年，黑客控制了美德ROSAT天文學衛星，并將其高分辨率成像儀對準太陽，造成衛星載荷失效；1999年，黑客控制了英國SkyNet衛星網絡的一顆衛星并轉移了它，然后索要贖金；2002年，某組織入侵我國鑫諾通信衛星的電視網絡，播放違規電視內容，造成非常嚴重的后果；2007年，Landsat 7衛星遭受了12 min的干擾；2007年，斯里蘭卡恐怖組織泰米爾伊拉姆猛虎解放組織盜用一顆Intelsat衛星，并使用該衛星廣播電視消息；2008年，黑客入侵約翰遜航天中心的計算機并安裝木馬，隨后接入到國際空間站的上行鏈路，并破壞了空間站的電子郵件系統；2015年，德國CCC大會上，黑客Sec和schneider演示了如何使用Camp徽章竊聽銥星數傳的流量。值得注意的是，2020年，在defcon黑客大會上，美國空軍與國防數字服務局合作舉辦太空安全挑戰賽，允許黑客對真實的衛星進行入侵比賽活動。這些事例表明，太空安全成為了越來越突出的問題，已然上升到國家戰略層級。

安全威脅分析是制定安全解決方案、提供安全服務以及實施安全機制的前提和基礎。本文首先闡述了衛星通信的特點，然后從物理組成角度分析衛星通信系統不同組成部分所面臨的安全威脅,在此基礎上總結相應的防護技術，從而為衛星安全防護解決方案和安全機制制定提供支撐。

1 衛星通信系統特點

相比于地面通信系統，衛星通信系統具有如下特點：

1）物理環境惡劣

通信衛星一般位于據地面高度2 000 km(低地球軌道)至35 800 km(同步衛星軌道)的太空軌道，距地面遠、環境惡劣。衛星上的電子器件容易受到太空輻射、溫度差、太陽能變化等影響。通信鏈路容易受到太陽黑子爆發、暴雨天氣、大氣層電磁噪聲信號或惡意電磁干擾信號的影響。

2）衛星節點暴露且信道開放

衛星通信網絡中，衛星節點直接暴露于空間軌道上，缺乏物理保護措施，面臨反輻射武器硬摧毀、空間碎片撞擊等風險。同時通信信道具有開放性，容易遭受非法截獲、欺騙以及干擾等攻擊。

3）衛星節點能力受限

受衛星有效載荷技術等因素的影響，衛星節點的硬件處理能力較低，星上系統的計算能力、存儲空間、電能功率等都受到一定限制，這直接制約了星上運算的復雜度和通信開銷。

4）網絡拓撲動態變化

衛星通信網絡中的同步衛星、中低軌道衛星等按照各自既定的軌道在空間中高速運行,相對位置隨時間變化，導致網絡節點間的拓撲不斷變化。

5）網絡節點升級維護困難。

在現有技術下，衛星一旦發射進入軌道，硬件層面幾乎沒有升級改造的可能，軟件功能也很難隨著相應技術的發展而進行升級。同時當衛星出現故障時只能通過遠距離的監測系統對其進行檢測，而且即使檢測到故障也很難對其進行維修。

鑒于衛星系統的上述特點，其面臨的安全威脅相較地面通信系統既有普遍性，又有其特殊性，因此需要針對衛星通信系統分析其風險，并研提相應的防護對策。

2 衛星通信系統面臨的安全風險

衛星通信系統整體組成可分為空間段、地面段和鏈路段。空間段主要包括衛星平臺和衛星有效載荷；鏈路段主要包括星間鏈路、星地鏈路和地面鏈，地面段主要包括地球站、測控站以及各種通信平臺。圖1為衛星通信系統的組成示意圖。

圖1 衛星通信系統組成示意圖

下面分別從這3個部分分析衛星通信網絡的安全風險以及應對威脅的防護技術。

2.1 空間段

2.1.1 物理攻擊

由于衛星運行軌道數據大多公開，或可通過雷達、偵查衛星、光學望遠鏡等方式觀測得到，其實時在軌位置極易暴露給敵方，因此衛星有可能受到敵方的物理攻擊。攻擊方式包括采用反衛星武器（導彈、衛星）摧毀衛星，使用非動能武器（如激光或高功率微波系統、核輻射粒子束等）對衛星上的轉發器、電源系統等關鍵設備進行攻擊等。同時，太空中日益增多的碎片也對衛星安全造成嚴重威脅。2019年7月5日，國際空間站ISS曾進行軌道機動，避免與太空火箭體碎片相撞。

對抗物理攻擊的方法主要是采取抗損毀策略，比如采取抗輻射加固、衛星冗余備份、多軌道衛星組網、高軌道分散化星座設計、對攻擊性武器進行攔截和摧毀等措施。

2.1.2 網絡入侵攻擊

最初，衛星設計更多關注可用性和效率，其星載操作系統、星上載荷、總線等設計對于安全機制的討論尚不充分，因此存在安全漏洞、后門等風險隱患，存在被網絡入侵攻擊的威脅。

例如星載主流操作系統Vx Works曾經被爆出多個漏洞：2015年，安全研究員在“好奇號”使用的Vx-Works操作系統中發現了一個允許遠程代碼執行的整數溢出漏洞；2019年，VxWorks系統被研究人員發現了11個漏洞，其中6個為高危遠程代碼執行漏洞。隨后，Vx Works又被發現存在遠程拒絕服務漏洞。2019年，360公司研究員發現全球衛星搜救系統SARSAT載荷存在易被攻擊的隱患，包括遭受拒絕服務攻擊、偽造求救信標、盜取載荷資源進行通信、信息泄露、易被同頻信號干擾等風險。對于衛星總線，衛星常用總線有CAN、1553B、SpaceWire等，由于設計時未考慮安全因素，同樣存在易被攻擊的特點。

在空間段對抗網絡層攻擊的手段主要有提高星上產品的國產化率減少后門攻擊風險、在系統設計時加入安全性設計等。隨著星上處理能力的提升，地面互聯網的防病毒、入侵檢測等網絡安全功能也可以應用到衛星平臺中。

2.2 地面段

2.2.1 物理攻擊

地面段面臨的物理攻擊威脅主要是來自海陸空的硬攻擊。其中，對地球站的攻擊將會造成地球站平臺的損壞，從而使用戶無法接入衛星通信網絡，導致整個衛星通信網絡的癱瘓。對測控站的攻擊將會導致地面對通信衛星的失控，通信衛星在失去地面控制的情況下有可能偏離既定軌道和姿態，從而造成系統的癱瘓，甚至衛星的損毀。

對于衛星地面段的防護除了采取隱蔽手段、加強設施安保、多站備份等方式外，還可以通過運用星座自主運行技術來減少衛星對地面站的依賴，通過更復雜的星間鏈路協議使衛星與地面站交互的頻次降低，甚至可以實現在應急條件下，星座脫離地面站自主運行。這種技術在星座導航系統中應用較多，如未來的GPSⅢ將實現星座在與地面控制中心失去聯系的情況下，仍能在180天內按系統規范精度發送導航信號。

2.2.2 網絡入侵攻擊

地面段的地球站、測控站、通信平臺等面臨的威脅與傳統計算機網絡安全威脅相似。比如衛星通信相關設備和應用存在供應鏈攻擊、后門、漏洞等，可能導致信息被泄露或設備被敵方控制利用等后果。國內安全研究人員曾發現衛星通信設備提供商COMTECH的調制解調器的EDMAC/EDMAC2遠程控制功能沒有做物理地址認證，可被攻擊者遠程修改參數從而切斷衛星鏈路。同時，地面關口站、測控站、網管站可能被國外軍方組織APT攻擊、內網滲透入侵等，敵方長期潛伏于衛星網絡和測控網絡之中，導致數據被泄露、測控信令、網管信息被竊取，給用戶以及衛星本身帶來嚴重后果。

其他一些安全風險如計算機終端漏洞、病毒、惡意代碼等威脅與傳統計算機網安全類似，在此不再贅述。

防范地面段網絡入侵攻擊的方式主要是采取傳統計算機網絡安全防護手段，如提升產品的國產化率、部署防火墻及入侵檢測系統、安裝防病毒軟件、建立日志審計機制等。隨著技術的發展，內生安全、主動防御、人工智能等理念逐步應用到網絡安全中，可大大提升系統抗網絡攻擊的能力。

2.3 鏈路段

鏈路段分為業務鏈路和測控鏈路。業務鏈路主要用來傳輸用戶的通信信息；測控鏈路主要用來傳輸衛星的控制指令以及衛星的遙測數據，測控鏈路是有效控制衛星、確保衛星的正常工作的最重要部分。

鏈路層面臨的威脅主要有干擾和竊聽。竊聽、干擾設備可置于地面(如固定式、車載式或船載式干擾站)，也可以置于空中(如機載、氣球運載的干擾站)，也可以置于太空(如星載干擾站)。

1)竊聽攻擊

由于衛星下行通信采用廣播方式，而且通信協議標準為國際標準的CCSDS協議，具有信令識別容易、易被逆向等缺陷，給實施竊聽攻擊帶來便利，容易導致通信數據被竊取、纂改等嚴重安全風險。

對抗竊聽攻擊主要的技術有：

①傳統數據加密技術。利用對稱加密算法或非對稱加密算法對咬傳輸的數據進行加密，其安全性依賴于加密算法復雜度、密鑰管理方式等。隨著計算能力的飛速發展，尤其是量子計算機的出現，這種基于計算復雜度的加密方式面臨較大風險。

②低截獲概率通信技術。根據衛星通信信號的實際傳播特征，利用編碼、調制和波形設計等物理層技術防止通信信號被發現，特征被提取，信息被還原，從而保障通信信號、信號特征以及信息內容的安全。主要實現方法有跳/擴頻通信、人工噪聲、波束形成等。

低截獲概率通信可以與上層加密技術互相補充，進一步保障無線通信系統的安全。

2)干擾攻擊

針對衛星無線鏈路的干擾主要有壓制干擾和欺騙干擾。

壓制干擾是指無意或蓄意的干擾源通過產生隨機噪聲，在時域、空域、能量域、頻域等多維空間上覆蓋通信信號，使得衛星信號信噪比降低，從而失去可用性的干擾手段，又可分為大功率壓制干擾和靈巧干擾。大功率壓制干擾一般會忽略通信的過程性特征，即不考慮通信的時、頻、空、功率的變化性。靈巧干擾針對通信同步、建鏈、持續、拆鏈等過程以及數據封裝格式等特征，對通信信號進行有針對性的干擾，相較大功率壓制干擾，具有隱蔽性強、機動性好等優點，但其實現也較為復雜。

欺騙干擾是通過對衛星信號重放轉發或模仿偽造，使用戶終端做出錯誤判斷的干擾攻擊。由于無需大功率的干擾信號，因此它在空間上比壓制干擾作用域更廣，但這種攻擊需要對衛星信號編碼特征具有一定了解。

典型的抗干擾技術有以下幾種：

①有擴頻調制和跳頻調制技術。擴頻技術通過偽隨機擴頻序列將發送的信號頻帶擴展，接收端用相同的擴頻碼解擴，從而達到“稀釋”干擾信號的目的；跳頻則是通過連續改變發送信號的中心頻率的方式，實現物理意義上的隨機信道選擇，提高通信信道的隱蔽性。

②角度鑒別、指紋鑒別技術。角度鑒別是通過干擾源與星座信號發射角度的差異來鑒別真實信號，該方法只能鑒別單一方向的欺騙干擾源；指紋鑒別是通過無線電設備工作時發射信號所具有的各不相同的“紋路”(幅度、頻率和相位的統計參數、測量參數和數值參數)來鑒別真實信號，從而規避欺騙干擾。

③自適應波束形成技術、點波束技術。自適應波束形成技術通過星上感應器感知通信環境的變化，當檢測存在干擾信號時，在干擾方向形成自適應零陷從而抑制干擾。點波束技術減小通信波束的波束寬度，在空間上規避干擾。

④猝發通信技術。猝發通信極大壓縮信號的傳輸時間，大大降低了被偵察、截獲的概率，可有效抗擊欺騙式干擾。

⑤認證加密技術。借鑒計算機網絡防止仿冒攻擊和重放攻擊等方法，可在衛星信號中加入密文傳輸的認證碼、一次性隨機因子等安全機制防范欺騙式干擾。

實際上，上述抗干擾技術都有其局限性或不足之處。因此應該綜合應用多種抗干擾技術，使它們可以克服彼此的局限性或不足之處，做到優勢互補，從而真正提高鏈路段的抗干擾能力。

3 結束語

根據衛星系統的特點，從空間段、地面段、鏈路段分析了衛星通信網面臨的安全威脅，總結了應對安全威脅的相應防護技術。衛星系統的安全威脅是多方面的，可能涉及衛星系統的多個部分，因此衛星的安全防護需要體系設計、總體規劃。