吴流丽，廖建华，苏怀方

（中国人民解放军61660部队，北京100089）

0 引言

卫星通信网是指2个或多个地球站使用无线信道，利用卫星作为中继站，在中央控制站的管理和协调下实现远距离通信的网络，其因区域覆盖面广、通信不受地理条件所限、信道链路成本低、可用频率资源丰富等优势，成为了各国构建全球覆盖、随遇接入、按需服务的天地一体化信息网络的首要选择。随着卫星通信应用的不断拓展,各种针对卫星通信网络的攻击手段不断涌现,并有从物理层干扰攻击逐步上升至协议栈上层攻击的发展趋势。由于卫星通信网使用无线信道作为传输媒介,没有固定基础设施的物理保护,相较地面互连网更容易遭受窃听、篡改、伪造、拒绝服务等攻击威胁。同时，卫星通信网络的网络拓扑随时间动态变化,且卫星的存储空间、计算能力也有限，地面互联网现有的安全技术并不完全适用于卫星通信，因此其面临的安全风险更为严峻。

一直以来频发的卫星安全事件足以印证这一点：1997年，黑客入侵了美国宇航局戈达德太空飞行中心天体物理学部的计算机，向卫星传送数据和指令；1998年，黑客控制了美德ROSAT天文学卫星，并将其高分辨率成像仪对准太阳，造成卫星载荷失效；1999年，黑客控制了英国SkyNet卫星网络的一颗卫星并转移了它，然后索要赎金；2002年，某组织入侵我国鑫诺通信卫星的电视网络，播放违规电视内容，造成非常严重的后果；2007年，Landsat 7卫星遭受了12 min的干扰；2007年，斯里兰卡恐怖组织泰米尔伊拉姆猛虎解放组织盗用一颗Intelsat卫星，并使用该卫星广播电视消息；2008年，黑客入侵约翰逊航天中心的计算机并安装木马，随后接入到国际空间站的上行链路，并破坏了空间站的电子邮件系统；2015年，德国CCC大会上，黑客Sec和schneider演示了如何使用Camp徽章窃听铱星数传的流量。值得注意的是，2020年，在defcon黑客大会上，美国空军与国防数字服务局合作举办太空安全挑战赛，允许黑客对真实的卫星进行入侵比赛活动。这些事例表明，太空安全成为了越来越突出的问题，已然上升到国家战略层级。

安全威胁分析是制定安全解决方案、提供安全服务以及实施安全机制的前提和基础。本文首先阐述了卫星通信的特点，然后从物理组成角度分析卫星通信系统不同组成部分所面临的安全威胁,在此基础上总结相应的防护技术，从而为卫星安全防护解决方案和安全机制制定提供支撑。

1 卫星通信系统特点

相比于地面通信系统，卫星通信系统具有如下特点：

1）物理环境恶劣

通信卫星一般位于据地面高度2 000 km(低地球轨道)至35 800 km(同步卫星轨道)的太空轨道，距地面远、环境恶劣。卫星上的电子器件容易受到太空辐射、温度差、太阳能变化等影响。通信链路容易受到太阳黑子爆发、暴雨天气、大气层电磁噪声信号或恶意电磁干扰信号的影响。

2）卫星节点暴露且信道开放

卫星通信网络中，卫星节点直接暴露于空间轨道上，缺乏物理保护措施，面临反辐射武器硬摧毁、空间碎片撞击等风险。同时通信信道具有开放性，容易遭受非法截获、欺骗以及干扰等攻击。

3）卫星节点能力受限

受卫星有效载荷技术等因素的影响，卫星节点的硬件处理能力较低，星上系统的计算能力、存储空间、电能功率等都受到一定限制，这直接制约了星上运算的复杂度和通信开销。

4）网络拓扑动态变化

卫星通信网络中的同步卫星、中低轨道卫星等按照各自既定的轨道在空间中高速运行,相对位置随时间变化，导致网络节点间的拓扑不断变化。

5）网络节点升级维护困难。

在现有技术下，卫星一旦发射进入轨道，硬件层面几乎没有升级改造的可能，软件功能也很难随着相应技术的发展而进行升级。同时当卫星出现故障时只能通过远距离的监测系统对其进行检测，而且即使检测到故障也很难对其进行维修。

鉴于卫星系统的上述特点，其面临的安全威胁相较地面通信系统既有普遍性，又有其特殊性，因此需要针对卫星通信系统分析其风险，并研提相应的防护对策。

2 卫星通信系统面临的安全风险

卫星通信系统整体组成可分为空间段、地面段和链路段。空间段主要包括卫星平台和卫星有效载荷；链路段主要包括星间链路、星地链路和地面链，地面段主要包括地球站、测控站以及各种通信平台。图1为卫星通信系统的组成示意图。

图1 卫星通信系统组成示意图

下面分别从这3个部分分析卫星通信网络的安全风险以及应对威胁的防护技术。

2.1 空间段

2.1.1 物理攻击

由于卫星运行轨道数据大多公开，或可通过雷达、侦查卫星、光学望远镜等方式观测得到，其实时在轨位置极易暴露给敌方，因此卫星有可能受到敌方的物理攻击。攻击方式包括采用反卫星武器（导弹、卫星）摧毁卫星，使用非动能武器（如激光或高功率微波系统、核辐射粒子束等）对卫星上的转发器、电源系统等关键设备进行攻击等。同时，太空中日益增多的碎片也对卫星安全造成严重威胁。2019年7月5日，国际空间站ISS曾进行轨道机动，避免与太空火箭体碎片相撞。

对抗物理攻击的方法主要是采取抗损毁策略，比如采取抗辐射加固、卫星冗余备份、多轨道卫星组网、高轨道分散化星座设计、对攻击性武器进行拦截和摧毁等措施。

2.1.2 网络入侵攻击

最初，卫星设计更多关注可用性和效率，其星载操作系统、星上载荷、总线等设计对于安全机制的讨论尚不充分，因此存在安全漏洞、后门等风险隐患，存在被网络入侵攻击的威胁。

例如星载主流操作系统Vx Works曾经被爆出多个漏洞：2015年，安全研究员在“好奇号”使用的Vx-Works操作系统中发现了一个允许远程代码执行的整数溢出漏洞；2019年，VxWorks系统被研究人员发现了11个漏洞，其中6个为高危远程代码执行漏洞。随后，Vx Works又被发现存在远程拒绝服务漏洞。2019年，360公司研究员发现全球卫星搜救系统SARSAT载荷存在易被攻击的隐患，包括遭受拒绝服务攻击、伪造求救信标、盗取载荷资源进行通信、信息泄露、易被同频信号干扰等风险。对于卫星总线，卫星常用总线有CAN、1553B、SpaceWire等，由于设计时未考虑安全因素，同样存在易被攻击的特点。

在空间段对抗网络层攻击的手段主要有提高星上产品的国产化率减少后门攻击风险、在系统设计时加入安全性设计等。随着星上处理能力的提升，地面互联网的防病毒、入侵检测等网络安全功能也可以应用到卫星平台中。

2.2 地面段

2.2.1 物理攻击

地面段面临的物理攻击威胁主要是来自海陆空的硬攻击。其中，对地球站的攻击将会造成地球站平台的损坏，从而使用户无法接入卫星通信网络，导致整个卫星通信网络的瘫痪。对测控站的攻击将会导致地面对通信卫星的失控，通信卫星在失去地面控制的情况下有可能偏离既定轨道和姿态，从而造成系统的瘫痪，甚至卫星的损毁。

对于卫星地面段的防护除了采取隐蔽手段、加强设施安保、多站备份等方式外，还可以通过运用星座自主运行技术来减少卫星对地面站的依赖，通过更复杂的星间链路协议使卫星与地面站交互的频次降低，甚至可以实现在应急条件下，星座脱离地面站自主运行。这种技术在星座导航系统中应用较多，如未来的GPSⅢ将实现星座在与地面控制中心失去联系的情况下，仍能在180天内按系统规范精度发送导航信号。

2.2.2 网络入侵攻击

地面段的地球站、测控站、通信平台等面临的威胁与传统计算机网络安全威胁相似。比如卫星通信相关设备和应用存在供应链攻击、后门、漏洞等，可能导致信息被泄露或设备被敌方控制利用等后果。国内安全研究人员曾发现卫星通信设备提供商COMTECH的调制解调器的EDMAC/EDMAC2远程控制功能没有做物理地址认证，可被攻击者远程修改参数从而切断卫星链路。同时，地面关口站、测控站、网管站可能被国外军方组织APT攻击、内网渗透入侵等，敌方长期潜伏于卫星网络和测控网络之中，导致数据被泄露、测控信令、网管信息被窃取，给用户以及卫星本身带来严重后果。

其他一些安全风险如计算机终端漏洞、病毒、恶意代码等威胁与传统计算机网安全类似，在此不再赘述。

防范地面段网络入侵攻击的方式主要是采取传统计算机网络安全防护手段，如提升产品的国产化率、部署防火墙及入侵检测系统、安装防病毒软件、建立日志审计机制等。随着技术的发展，内生安全、主动防御、人工智能等理念逐步应用到网络安全中，可大大提升系统抗网络攻击的能力。

2.3 链路段

链路段分为业务链路和测控链路。业务链路主要用来传输用户的通信信息；测控链路主要用来传输卫星的控制指令以及卫星的遥测数据，测控链路是有效控制卫星、确保卫星的正常工作的最重要部分。

链路层面临的威胁主要有干扰和窃听。窃听、干扰设备可置于地面(如固定式、车载式或船载式干扰站)，也可以置于空中(如机载、气球运载的干扰站)，也可以置于太空(如星载干扰站)。

1)窃听攻击

由于卫星下行通信采用广播方式，而且通信协议标准为国际标准的CCSDS协议，具有信令识别容易、易被逆向等缺陷，给实施窃听攻击带来便利，容易导致通信数据被窃取、纂改等严重安全风险。

对抗窃听攻击主要的技术有：

①传统数据加密技术。利用对称加密算法或非对称加密算法对咬传输的数据进行加密，其安全性依赖于加密算法复杂度、密钥管理方式等。随着计算能力的飞速发展，尤其是量子计算机的出现，这种基于计算复杂度的加密方式面临较大风险。

②低截获概率通信技术。根据卫星通信信号的实际传播特征，利用编码、调制和波形设计等物理层技术防止通信信号被发现，特征被提取，信息被还原，从而保障通信信号、信号特征以及信息内容的安全。主要实现方法有跳/扩频通信、人工噪声、波束形成等。

低截获概率通信可以与上层加密技术互相补充，进一步保障无线通信系统的安全。

2)干扰攻击

针对卫星无线链路的干扰主要有压制干扰和欺骗干扰。

压制干扰是指无意或蓄意的干扰源通过产生随机噪声，在时域、空域、能量域、频域等多维空间上覆盖通信信号，使得卫星信号信噪比降低，从而失去可用性的干扰手段，又可分为大功率压制干扰和灵巧干扰。大功率压制干扰一般会忽略通信的过程性特征，即不考虑通信的时、频、空、功率的变化性。灵巧干扰针对通信同步、建链、持续、拆链等过程以及数据封装格式等特征，对通信信号进行有针对性的干扰，相较大功率压制干扰，具有隐蔽性强、机动性好等优点，但其实现也较为复杂。

欺骗干扰是通过对卫星信号重放转发或模仿伪造，使用户终端做出错误判断的干扰攻击。由于无需大功率的干扰信号，因此它在空间上比压制干扰作用域更广，但这种攻击需要对卫星信号编码特征具有一定了解。

典型的抗干扰技术有以下几种：

①有扩频调制和跳频调制技术。扩频技术通过伪随机扩频序列将发送的信号频带扩展，接收端用相同的扩频码解扩，从而达到“稀释”干扰信号的目的；跳频则是通过连续改变发送信号的中心频率的方式，实现物理意义上的随机信道选择，提高通信信道的隐蔽性。

②角度鉴别、指纹鉴别技术。角度鉴别是通过干扰源与星座信号发射角度的差异来鉴别真实信号，该方法只能鉴别单一方向的欺骗干扰源；指纹鉴别是通过无线电设备工作时发射信号所具有的各不相同的“纹路”(幅度、频率和相位的统计参数、测量参数和数值参数)来鉴别真实信号，从而规避欺骗干扰。

③自适应波束形成技术、点波束技术。自适应波束形成技术通过星上感应器感知通信环境的变化，当检测存在干扰信号时，在干扰方向形成自适应零陷从而抑制干扰。点波束技术减小通信波束的波束宽度，在空间上规避干扰。

④猝发通信技术。猝发通信极大压缩信号的传输时间，大大降低了被侦察、截获的概率，可有效抗击欺骗式干扰。

⑤认证加密技术。借鉴计算机网络防止仿冒攻击和重放攻击等方法，可在卫星信号中加入密文传输的认证码、一次性随机因子等安全机制防范欺骗式干扰。

实际上，上述抗干扰技术都有其局限性或不足之处。因此应该综合应用多种抗干扰技术，使它们可以克服彼此的局限性或不足之处，做到优势互补，从而真正提高链路段的抗干扰能力。

3 结束语

根据卫星系统的特点，从空间段、地面段、链路段分析了卫星通信网面临的安全威胁，总结了应对安全威胁的相应防护技术。卫星系统的安全威胁是多方面的，可能涉及卫星系统的多个部分，因此卫星的安全防护需要体系设计、总体规划。