現有技術應用於“星融網”建設過程中面臨的安全風險初探
【編者按】“星融網”是由不同軌道上多種型別的衛星系統、臨近空間的各類飛行器(如無人機)以及陸、海、空基的應用終端和地面終端系統互聯互通構成的智慧化通訊網路。該網路通過互聯互通和資訊交換,在空間資訊獲取的基礎上,融合陸、海、空基等多種資訊,實現安全、可靠、持續、實時地獲取、處理、傳輸和分發多源資訊,並具有一定的自主管理和網路重構能力。本文針對現有技術應用於“星融網”建設過程中可能面臨的安全風險進行初步的分析,為後期開展“星融網”安全防護研究指明瞭方向。
現有技術應用於“星融網”建設過程中 面臨的安全風險初探
中國航天系統科學與工程研究院
顧升高 閆陳靜 陳漠 張偉
一、引言
隨著全球網路資訊化的不斷髮展,基於系統工程理論方法,以天基系統為主體的“星融網”新型未來全球全域網路架構應運而生。“星融網”是由覆蓋全球的不同軌道、不同型別、不同效能的衛星,通過星間、星地鏈路將地面、海上、空中和深空中的使用者、飛行器以及各種通訊平臺密集聯合,按照資訊資源的最大有效綜合利用原則,進行資訊準確獲取、快速處理、高效傳輸和綜合應用的一體化高速寬頻大容量空間資訊網路。
“星融網”包括天基骨幹網、天基接入網、地基綜合網三部分。天基骨幹網由若干高軌衛星聯網組成,為中低軌使用者提供覆蓋全球的骨幹互聯、資料中繼、路由管理等服務 ;天基接入網由各類衛星、星座和臨近空間飛行器等裝置組成的多種專業子網的核心節點組成,滿足陸、海、空、天多層次海量使用者的各種網路接入服務需求 ;地面綜合網由衛星地面站和地面大資料中心組成,與其他地面網路互聯互通。
“星融網”是跨越天基、空基、地基、海基,基於異構網路融合的,以天基網路為骨幹的複雜巨系統網路。由於其網路的特殊性,導致以衛星節點為基礎的天基骨幹網路具有物理通訊環境惡劣、衛星節點計算能力有限、網路拓撲動態變化、間歇通訊與高延遲等安全風險點,因而面臨諸多安全挑戰。
(一)物理通訊環境惡劣
“星融網”系統中基於空基的星間和星地通訊鏈路長期暴露於惡劣的太空環境且通道開放,容易受到宇宙射線、大氣層電磁訊號以及惡意電磁訊號的干擾。由於無線鏈路具有開放性,特別容易受到干擾、擷取、偽造等惡意攻擊。
(二)衛星節點計算能力有限
相比地面系統,衛星節點的硬體處理能力較低,星上系統的計算能力、儲存空間等都受到一定限制,直接導致星上無法進行復雜運算及大開銷通訊,這使得基於天基的星間通訊、星地通訊無法應用複雜的、高安全性的通訊協議,難以有效部署各種網路安全防護系統。
(三)網路拓撲動態變化
“星融網”系統由部署在太空、空中、地面、海上等多種異構網路互聯組成,傳統的路由、網路接入等技術不能完全適用於“星融網”系統。此外,“星融網”的各天基節點(衛星節點)始終處於高速運轉狀態,可能頻繁地加入或退出網路,空基、地基、海基等節點也會經常移動,導致網路拓撲時刻發生變化,網路通訊各個終端間的通訊關係也在不斷變化,這也導致傳統的身份認證、PKI 和訪問控制技術,不能有效適用於“星融網”系統。
(四)間歇通訊與高延遲
星間、星地的鏈路由於傳輸距離遠遠長於傳統地面網路,且由於衛星始終處在變化的惡劣自然環境中,鏈路與地面通訊鏈路相比連通不穩定且延遲較高。這導致星間、星地的鏈路更加容易受到欺騙、篡改等方式的網路攻擊而難以被發覺。
“星融網”將在國土安全防禦、作戰指揮決策、軍事行動實施等領域發揮出極其重要的作用,也將是決定著未來資訊化戰爭成敗的關鍵因素之一。在網路對抗背景下,我主要戰略對手大力發展網路攻擊能力,“星融網”未來將成為其重要進攻方向之一。但是“星融網”有別於傳統網路,有著通道開放性、鏈路間歇性、拓撲動態性等特徵,因此由於其特殊的通訊環境,以及以衛星網路為主幹的特點,使得“星融網”面臨著與傳統網路不同的安全威脅。本文結合“星融網”創新性網路架構,深入分析基於現有技術建設“星融網”過程中可能面臨的安全威脅,為進一步研究“星融網”網路安全架構和安全防護關鍵技術研究提供支撐。
二、網路體系結構安全風險分析
基於傳統的 OSI 網路分層模型,本文從物理層、資料層、傳輸層和應用層四個層面分別闡述基於現有體系結構“星融網”設計和建設過程中可能面臨的網路體系結構的安全風險。
(一)物理層安全風險
“星融網”物理層在建設過程中面臨的安全威脅主要是物理毀損和訊號干擾。
物理毀損主要指對天、空、地、海等基礎設施進行物理破壞。主要威脅存在於太空環境及近地環境惡劣的自然環境對天、空基礎設施造成不可抗的自然破壞,影響網路的正常執行。另一方面,在軍事領域,天基基礎設施極易成為敵人首要的攻擊目標,造成“星融網”通訊中斷。
訊號干擾主要指傳輸訊號受到自然或人為的電子干擾。由於“星融網”網路處於複雜的電磁環境下,極易遭受宇宙射線、大氣層電磁訊號、惡意電磁訊號等各類干擾,導致正常的資料傳輸受到影響乃至發生中斷。其中,惡意干擾主要包括欺騙干擾、壓制干擾等。欺騙干擾通過對衛星訊號重放或偽造,使使用者終端收到錯誤的資訊,從而實現干擾。壓制干擾是通過同頻段大功率噪聲干擾,致使衛星訊號信噪比降低,從而導致通訊傳輸可用性降低甚至無法使用。
(二)資料層安全風險
“星融網”資料層在建設過程中面臨的主要安全威脅是資料機密性、完整性破壞。資料機密性、完整性破壞主要是指資料在傳輸過程中資料遭到竊取和破壞。由於星上計算資源有限,現有星間、星地資料傳輸協議在設計上安全性考慮不足,容易遭到來自攻擊者的資料竊取、篡改和偽造、重放攻擊以及中間人攻擊等。
(三)傳輸層安全風險
“星融網”傳輸層在建設過程中面臨的主要安全威脅是身份欺騙和拒絕服務攻擊。身份欺騙主要是指“星融網”節點,尤其是衛星節點,由於其動態接入的特點,存在真實節點被冒充的可能,導致資料洩露。拒絕服務攻擊主要是指利用網路協議缺陷,在同一時間利用大量網路訪問某一網路目標裝置,造成網路資源耗盡,無法提供正常服務。特別是在天基衛星網路頻寬和計算資源受限情況下,更易遭到分散式拒絕服務攻擊。
(四)應用層安全風險
“星融網”應用層可能面臨的威脅主要是指各種蠕蟲病毒、惡意軟體、網路釣魚等利用“星融網”可能存在的脆弱點、安全漏洞等缺陷,破壞“星融網”系統,威脅“星融網”核心伺服器和骨幹鏈路,造成“星融網”基礎設施癱瘓。
由於“星融網”一體化資訊網路的特點,整個網路是由數量龐大的各種接入系統構成,每個接入系統都有可能存在漏洞和脆弱點。攻擊者可能通過利用任何一個系統 / 軟體漏洞,達到侵入整個“星融網”的目的,對“星融網”造成嚴重威脅。通過對以上不同體系結構層次的安全威脅分析,可以看到,“星融網”網路體系結構的各層都存在被攻擊的可能性,因此,設計“星融網”網路體系結構時必須綜合統籌併合理兼顧,根據不同空間任務和應用的安全風險,對各層的情況都給予充分的考慮。
三、金鑰管理風險分析
在未來“星融網”網路環境中,通訊資料加密、控制訊息完整性保護、接入身份認證等安全服務和安全機制的操作都離不開金鑰管理技術。總體上,金鑰管理法分為集中式和分散式兩種,對於金鑰管理集中式管理模式,在地面安全區域,設定一個總的金鑰管理中心,負責對整個網路的金鑰進行管理。由於“星融網”規模龐大再加之計算複雜度高,可以根據網路域將金鑰管理劃分為三個中心:衛星域金鑰管理中心、臨近空間域金鑰管理中心和地面終端域金鑰管理中心,每個金鑰管理中心對域內節點的公鑰進行管理,並接受總金鑰管理中心的控制,由於“星融網”特殊的拓撲結構,該方案適用於規模較小的組播通訊工作。但是,由於集中式金鑰管理方案可靠性較差,當組控制者被攻擊時,容易導致整個組癱瘓(即存在單點失效問題)。
分散式金鑰管理不需要設定固定的組控制者,金鑰由所有成員共同協商得到。但在金鑰初始協商、成員加入和退出時,必須要由某個或某些組成員來擔當臨時管理者,為其他節點計算分發相關引數。“星融網”是由空間 / 衛星網路、臨近空間網路和地面網路融合而成的多域異構網路,結合以上兩種金鑰管理方式的優缺點,未來“星融網”金鑰管理可以採用以分散式金鑰管理為主的方式。此外,還應在未來“星融網”建設中解決由於金鑰協商訊息需經多次轉發才可到達,協商時延較長和成功率較低的問題。
四、路由協議風險分析
空間網路由於衛星節點的高速移動性、拓撲結構的可預測性及通訊的高度暴露性,使得路由協議的控制訊息面臨著竊取、篡改、偽造、仿冒、重放、蟲洞和拒絕服務等多種惡意攻擊,目前的路由演算法如果在“星融網”中應用會存在很多不足。
(一)抗毀性差
現有的路由演算法的抗毀性差,即使一體化路由協議具備一定的抗毀能力,但是層次組織結構沒有過多的冗餘度,在網路中的節點失效的情況下,需要花費大量的開銷使網路再次穩定下來。
(二)節點編址開銷大
現有的路由演算法大多仍是採用傳統的地面 IP 編址方案對網路中的節點進行編址。如果衛星節點也採用 IP 編址方案,則需要的儲存開銷太大,對於本來星上儲存能力就有限的衛星更是遇到了瓶頸。即使在地面網路和衛星網路需要進行訊息傳輸的時候把資料包頭部的 IP 地址轉換成適合衛星系統的編址,也會大大增加網路負擔,增加網路處理延遲。
(三)不能充分利用層間衛星鏈路資源
現有的路由演算法大多以衛星為控制中心,地面移動節點通過地面站向衛星傳送資料與其他節點實現通訊的目的。雖然建立了多層衛星網路,上層衛星對於下層衛星來說只起到了管理的作用,在下層衛星路由失效的情況下報告錯誤並進行路由重計算。路由的功能主要由下層的衛星完成,這樣就加大了下層衛星的負荷,而上層衛星與下層衛星之間的鏈路資源沒有得到充分的利用。
(四)缺乏對網路中流量突發性變化的適應能力
衛星網路由於所處空間的獨特性,衛星節點容易發生各種各樣的故障。一旦網路中存在突發流量或者發生故障,整個系統就會崩潰,沒有很好的適應能力。
針對當前路由演算法存在的諸多風險,在未來的“星融網”安全防護方案研究中需要著重研究安全路由協議。由於“星融網”是由衛星網路、臨近空間網路和地面無線網路等多種異構網路融合而成的複雜網路,訊息在傳輸、轉發和處理等過程中需要設計一種高效安全的路由協議方案,用以找出一條從源端路由器到目的端路由器的最優路徑,保證“星融網”的路由安全。
五、網路安全切換風險分析
“星融網”各管理域中節點的相對位置處於動態變化的過程中,為了保證移動終端節點之間通過衛星網路或臨近空間網路進行不間斷的通訊,必須使用切換機制用以提供無縫的網路接入服務。切換是指終端在通訊過程中,從一個網路接入點的覆蓋區域進入到另一接入點的覆蓋區域時,必須改變通訊鏈路以保持不間斷的通訊。
當終端節點在空間網路中發生切換時,與新網路接入點、舊網路接入點,甚至地面控制網路之間均需要進行頻繁的切換資訊,進行互動。切換控制訊息可能受到竊取、篡改、偽造、重放等攻擊的威脅,因此,切換過程中需要滿足關鍵資料保密性、註冊認證管理和控制訊息完整性等安全需求,才能為網路接入服務提供安全保障。因此,在未來“星融網”的建設中,需要根據不同切換場景的特點和要求,設計快速、平滑、無縫的安全切換方案和協議,確保使用的安全機制滿足各項安全屬性,同時儘量縮短切換延遲,降低切換過程中的丟包率。
六、網路資料傳輸風險分析
在“星融網”中,從一個終端使用者到另一個終端使用者的資料傳輸可能涉及到多個網路域。然而,衛星網路節點和鏈路動態變化、網路時空行為複雜且分佈稀疏,同時無線電干擾、節點能量限制等原因,導致通訊鏈路具有傳輸距離遠、傳輸時延大、高誤位元速率、間歇性連線等特性,這些都與傳統的地面網際網路傳輸控制技術的前提要求有很大的不同。地面網際網路的高速高效資料傳輸及其擁塞控制,是建立在資料來源和目的之間存在端到端路徑、端到端時延可控、丟包率較小等假設條件之上的,無法有效適應空間網路。
“星融網”的端到端資料傳輸需跨越多個異構的網路域,頻寬受限、高延遲的通道環境會嚴重降低安全傳輸通道的建立、維護和資料傳輸過程,影響資料傳輸的效率,並可能造成不同網路域內部資訊的洩露,因此,在未來“星融網”設計建設的過程中需採取措施提高安全傳輸通道建立、維護的效率和安全性,需要研究適用於“星融網”網路通道環境的安全傳輸技術。
七、結束語
隨著技術的發展和應用需求的多樣化,功能單一、結構規則、執行依賴於地面、相互之間孤立的天地通訊網路已經不能滿足實時性、綜合性的服務需求。目前,搶佔未來天空地資訊競爭制高點、建設“星融網”是推進我國快速發展的又一次戰略機遇。但是總體上看,基於現有的網路、通訊等技術,“星融網”在未來的建設中可能在網路體系結構、金鑰管理、路由協議、網路安全切換、網路資料傳輸等多方面面臨著安全風險。本文基於“星融網”網路通訊架構,深入分析了現有技術應用於“星融網”未來建設中可能面臨的安全威脅,為下一步研究提出具有系統化、標準化、全方位、普適性的“星融網”安全架構方案和安全防護關鍵技術提供了有力依據和指引。
本文刊登於《網信軍民融合》雜誌2018年10月刊
宣告:本文來自網信軍民融合,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。