空天地一体化网络安全防护技术分析

李 华，范鑫鑫，2，秘建宁，武 超，程 静，焦 栋，郑学欣

（1.中国电子科学研究院，北京 100041；2.北京航空航天大学电子信息工程学院，北京 100191）

空天地一体化网络安全防护技术分析

李 华1，范鑫鑫1，2，秘建宁1，武 超1，程 静1，焦 栋1，郑学欣1

（1.中国电子科学研究院，北京 100041；2.北京航空航天大学电子信息工程学院，北京 100191）

随着我国海洋、太空等国家利益不断拓展，国内安全应急事件处置，以及空间科学探索任务等的不断深入，对空天地一体化网络跨地域、跨空域安全通信、传输提出了更高的要求。针对其面临的安全威胁进行深入的分析，并提出了一体化网络安全防护未来发展亟待解决的关键技术，为后期开展空天地一体化网络安全防护研究指明了方向。

密钥管理；安全切换；安全路由；端到端传输

0 引 言

目前，地面网络基本上都具有相对稳定的网络基础设施，网络单元和终端设备通过光纤、以太网、无线网等物理传输技术进行互连，主干节点和链路相对固定、传输时延较短，且链路时空的变化较小。但空间网络是由各种航天和飞行器件进行动态组网，具有传输距离远（高达上万公里）、节点高动态（速率为几百m／s～几千m／s）、链路时空尺度变化大等特点，传统的互联网组网模式和安全防护技术已无法有效适应空间网络，需要针对其特点进行专门设计和优化。因此，如何有效地将空间网络、临近空间网络和地面互联网进行安全有效融合，从而形成空天地一体化的信息网络，面临着众多的难点和挑战，其中，在“安全路由”、“安全切换”、“安全传输”等方面面临着严峻的挑战。

空天地一体化网络在国土安全防御、作战指挥决策、军事行动实施等领域均发挥着极其重要的作用，也是决定着未来信息化战争成败的关键因素之一。在网络对抗背景下，我主要战略对手大力发展网络攻击能力，空天地一体化网络成为其重要进攻方向之一。由于空天地一体化网络投入巨大，其高暴露性容易遭受各方面的网络攻击，一旦遭受破坏，维护成本比较昂贵；另外，天地一体化网络还承担着多星协同探测、情报侦察等军事任务。因此，必须采用有效的安全防护措施来保障空天地一体化网络的正常运行。为了能够应对来自不同方面和层次的网络安全威胁，必须将安全防护思想融合到空天地一体化网络的体系结构中。

1 面临的安全威胁

空天地一体化网络由于自身具有的结构时变性、通信平台异构性、链路易受干扰等特性，使得空天地一体化网络在安全防护方面受到不同方面和不同层次的安全威胁。具体地讲：（1）在移动终端接入方面面临着身份认证威胁；（2）在空间网络、临近空间网络和地面网络融合方面面临着安全路由威胁（3）空天地一体化网络在进行同域／跨域通信方面面临着安全切换、安全传输威胁。

1.1 密钥管理

在空天地一体化网络环境中，通信数据加密、控制消息完整性保护、接入身份认证等安全服务和安全机制的操作都离不开密钥管理技术。一体化网络是由空间／卫星网络、临近空间网络和地面网络融合而成的多域异构网络，因此，一体化网络密钥管理采取了集中式和分布式相结合的管理模式，如图1所示。

图1 空天地一体化网络密钥管理模型

总体上，一体化网络密钥管理方案采取的是集中式管理模式［2］。在地面安全区域，设置一个总的密钥管理中心，负责对整个一体化网络密钥进行管理。由于一体化网络规模庞大再加之计算复杂度高，需要根据网络域将密钥管理划分为三个中心：卫星域密钥管理中心、临近空间域密钥管理中心和移动终端域密钥管理中心，每个密钥管理中心对域内节点的公钥进行管理，并接受总密钥管理中心的控制。

由于一体化网络特殊的拓扑结构，基于可信第三方的集中式密钥管理中心在分配密钥时容易造成通信阻塞甚至瘫痪，因此，应以分布式密钥管理为主，集中式密钥管理为辅。再者，由于一体化网络的运算处理能力存在着较大的差别，分布式密钥管理技术，需要避免将运算处理能力较低的节点布置在高开销的位置上。另外，还应解决由于密钥协商消息需经多次转发才可到达，协商时延较长和成功率较低的问题。

1.2 路由协议

空天地一体化网络由卫星网络、临近空间网络和地面无线网络等多种异构网络融合而成，消息在传输、转发和处理等过程中需要设计一种高效安全的路由协议方案，用以找出一条从源端路由器到目的端路由器的最优路径。从路由域的角度，可以将空天地一体化网络划分为三个部分［2，3］，如图2所示。

（1）上／下行链路（Up／Down Link，UDL）路由，负责地面终端到空间网络的接入控制，并选择源端和目的端的空间段路由器。

（2）边界路由，负责卫星网络、临近空间网络与地面网络之间的互操作和融合，使得终端用户能够通过空间网络进行透明通信。

（3）空间段路由，是指卫星网络或临近空间网络内部的路由，负责在网络内建立源端路由器和目的端路由器之间满足一定约束条件的最优路径。GEO／MEO／LEO多层卫星网络的路由又可分为层内路由和层间路由。

在空天地一体化网络中，空间网络由于卫星节点的高速移动性、拓扑结构的可预测性及通信的高度暴露性，使得路由协议的控制消息面临着窃取、篡改、伪造、仿冒、重放、虫洞和拒绝服务等多种恶意攻击［1］。

图2 空天地一体化网络路由组成

1.3 终端通信

空天地一体化网络各管理域中节点的相对位置处于动态变化的过程中，为了保证移动终端节点之间通过卫星网络或临近空间网络进行不间断的通信，必须使用切换机制用以提供无缝的网络接入服务。切换（handover／handoff）是指移动终端在通信过程中，从一个网络接入点的覆盖区域进入到另一接入点的覆盖区域时，必须改变通信链路以保持不间断的通信［2］。如当移动终端由M位置移动到位置M1处时，表示移动终端由与SATA通信切换至与SATB通信，如图3所示。

移动终端节点与新网络接入点、旧网络接入点和地面网络节点均需进行频繁的切换信息交互。切换控制消息同样也可能面临着窃取、篡改、伪造、重放等攻击。因此，空天地一体化网络在发生切换时需要满足关键数据保密性、接入认证管理和控制消息完整性等安全需求。

图3 空天地一体化网络移动终端切换

1.4 端到端传输

在空天地一体化网络中，从一个终端用户到另一个终端用户的数据传输可能涉及到多个网络域，如图4所示。然而，卫星网络节点和链路动态变化、网络时空行为复杂且分布稀疏，同时无线电干扰、节点能量限制等原因，导致通信链路具有传输距离远、传输时延大、高误码率、间歇性连接等特性，这些都与传统的地面互联网传输控制技术的前提要求有很大的不同。地面互联网的高速高效数据传输及其拥塞控制，是建立在数据源和目的之间存在端到端路径、端到端时延可控、丢包率较小等假设条件之上的，无法有效适应空间网络。

图4 空天地一体化网络端到端传输

目前，卫星网络主要使用的传输协议为CCSDS的空间传输协议标准SCPS［4］和空间IP及其改进协议［5］。现有研究工作关注的焦点在于传输性能的改进与提高［6］、可靠性的增强［7］等领域。其中，在安全传输方面，以IPSec［8］和SCPS－SP［9］两种协议为基础进行研究。然而，上述方案均为卫星网络协议栈中网络层的安全技术，传输层安全方面的研究还很少涉及。安全的传输层协议不但需要考虑真实性、机密性、完整性等安全服务需求，还应该降低协议的交互次数和传输的消息量，在安全和性能之间达到一定程度上的平衡。与此同时，一体化网络涉及空间网络、临近空间网络和互联网、无线移动网络等多种异构网络，为端到端信息传输提供了多种可选途径，提升了传输容量，但由于不同网络在传输特性和性能等多方面有着巨大差异，使得端到端多网络一体化安全传输技术成为研究难点。

2 安全防护关键技术

2.1 基于密码技术的统一密钥管理技术

在空天地一体化网络环境中，安全路由协议机制、安全切换机制，以及端到端安全传输方案都离不开密码技术的支撑。在设计卫星网络路由协议过程中，必须保护路由消息的机密性、完整性以及真实性；地面站或邻近空间网络中移动终端在进行跨域安全切换的过程中，必须克服切换消息被窃取、篡改、伪造、重放等威胁；在端到端数据安全传输的过程中，必须保护敏感数据的机密性，防止重要信息泄露。

为了实现一体化网络不同移动终端之间的接入认证，保证传输数据的真实性、机密性、完整性、不可否认性，需要依赖各种基于密码技术的数字签名、签密解密机制来实现。基于密码技术的安全机制其安全性不在于密码算法本身的保密，而在于密钥的真实性和有效性［2］。而密钥管理技术着重解决各种基于密码学的安全技术中密钥的使用问题，如密钥的生成、分发、存储、更新、撤销和销毁等整个生命周期的管理。密码技术是密钥管理机制、安全路由、终端通信以及端到端传输机制的核心技术。

传统的密钥管理不再适用于空天地一体化网络，其原因在于：（1）运算负载大，容易通信阻塞和单点失效；（2）密钥协商消息经多次转发后造成的时延较长。为了解决以上安全问题，需要结合空天地一体化网络节点间通信方式，研究适用于空间网络、临近空间网络与地面因特网、地面移动通信网、无线自组网间不同安全域和不同功能域的统一安全管控技术，用以提高空天地一体化网络密码管理效率，内容包括密钥的生成、分发、存储、更新、撤销、销毁及单播通信会话密钥的协商等，由于协商消息经过多次转发才可到达目的节点，由此造成的协商时延也较长，因此，在保证密钥协商协议是可证安全的同时，需设计轻量级密码，降低计算复杂度及存储复杂度，提高密钥协商的时效性；另一方面，还需要研究组播密钥管理技术，为合法的组成员分配和维护组密钥，支持空天地一体化网络进行空间组播通信时敏感信息在合法组成员或某个成员子集之间共享，如图1所示。

2.2 安全路由技术

与传统的地面互联网相比，空间网络的有如下特点：（1）空间网络组成复杂，结构立体化；（2）空间网络节点高速运动，网络拓扑结构时变性强；（3）空间网络通信环境恶劣，链路质量差，误码率高；（4）空间网络通信距离远，通信时延及时延抖动高；（5）空间网络载荷有限，能源有限，节点计算、存储和带宽资源受限；（6）空间网络任务的多样性，对空间网络传输需求也具有多样性；（7）空间网络节点之间通信方式开放，安全性能差。

考虑到上述空间网络独特的特点，空天地一体化网络路由协议仍然面临着严峻的挑战，需设计安全高效的路由机制用以提高数据传输的效率和可靠性、减少对地面网络资源的依赖性。针对空天地一体化网络，已提出了多种单层或多层卫星网络路由算法［1］。但这些路由算法很少考虑到安全性问题，如果路由协议受到恶意攻击，将会导致网络性能的明显下降甚至瘫痪。因此，必须在充分考虑空天地一体化网络特性带来不利影响的基础上，设计安全高效的一体化网络安全路由协议，保证路由信息在传输过程中的真实性、机密性和完整性，并采取适当的机制和策略以尽量降低安全方案的实施对路由性能的影响，在安全和性能之间寻求合理的平衡。

2.3 网络安全切换技术

空天地一体化网络节点间相对位置是动态变化的，为了保证终端节点之间通过卫星或邻近空间网络进行不间断的通信，必须使用安全切换机制用以提供无缝网络接入服务。具体地讲，包含以下相关技术：

（1）对跨域身份认证的假冒攻击技术。在空天地一体化网络中，空间、临近空间和地面网络隶属于不同的管理域。由于网络节点的动态接入，攻击者可能冒充合法节点接入到一体化网络中，因此，需要身份认证机制证明一个节点所声称的身份，用于建立安全跨域切换。认证及密钥交换协议为通信双方进行身份确认并生成一个共享的秘密，从而建立一条安全的信道。网络节点身份的认证，可以防止非法节点假冒合法节点占用网络资源、删除或篡改数据；再者，认证地建立会话密钥，可保护合法节点在网络上通信的内容，抵抗非法窃听。

（2）对切换控制消息的窃取、篡改和重放攻击技术。通过数据窃取手段，卫星网络、临近空间网络与地面网络中节点两两之间，以及网络内部传输的无线信号很容易被攻击者截获，通过对信号进行分析或破译，可能获取传输的数据、内容信息或流量信息。重放攻击是指通过记录一条合法或部分合法的消息在以后的时间重复发送来影响系统的正常工作，通过对信息传输中的部分或全部数据内容的篡改，可能造成系统功能的破坏，降低系统的可用性，甚至使系统难以正常工作或完全瘫痪。

（3）对切换预判消息的欺骗、合谋攻击技术。在判断到天地一体化网络的切换动向时，预先选择最有可能发生切换的临近节点，为切换提前确定安全服务能力，提前将其相关安全参数信息发送至新的接入节点，在发生切换的同时进行信任关系的传递。减少临时获取大量信息或协议交互而导致的时间开销。然而，由于网络节点的动态接入，攻击者可能冒充合法节点接入到网络，或者形成合谋团体，这些攻击节点在切换过程中给出的虚假切换信息将严重地影切换概率传递的准确性，从而也影响了切换预判结果的准确性，甚至有可能将移动终端切换至恶意节点。

2.4 网络安全传输技术

空天一体化网络的端到端数据传输需跨越多个异构的网络域，带宽受限、高延迟的信道环境会严重降低安全传输通道的建立、维护和数据传输过程，影响数据传输的效率，并可能造成不同网络域内部信息的泄露，需采取措施提高安全传输通道建立、维护的效率和安全性。需要研究适用于空天地一体化网络信道环境的安全传输技术。相关技术包括：

（1）安全传输握手协议加速技术。端到端安全传输首先需要实现双方的握手，在传统的基于证书的握手协议中，需要通过传输、处理证书来实现双方的认证，但一体化网络的信道带宽受限，传输时延大，在此种传输环境下，握手过程中存在高延迟，其性能上的不足日益突出。因此，需设计一种可行的握手过程加速方案，减少握手过程中的通信载荷，提高一体化网络环境下的握手效率。

（2）数据安全传输通道多方密钥协商技术。多层IPSec协议可以通过与TCP性能增强代理结合应用于一体化网络中，在提高网络性能的同时增强网络的安全性，但多层IPSec协议需要有相应的密钥协商协议在协商终端双方共享密钥的基础上协商多方共有的密钥，与此同时，一体化网络高延迟的信道环境会大大增加密钥协商消息的时延，影响密钥协商的效率。因此，需设计适用于一体化网络信道环境的数据安全传输通道多方密钥协商协议方案，提高安全传输通道建立和维护的效率。

（3）基于策略的安全传输控制技术。空天地一体化网络中空间网络和地面网络分属于不同的管理域，不同管理域内的终端间进行跨域数据传输时需对其跨域通信权限进行控制，以避免敏感信息的泄露；同时各管理域需对跨域通信终端的地址进行隐藏，以防止外部对本域内部网络的探测，需要设计满足空天地一体化网络融合条件下跨域数据传输的安全性方案。实现分属不同管理域的终端跨域通信的受控数据传输和终端的拓扑隐藏，提高跨域数据传输的安全性。

3 结 语

针对空天地一体化网络存在的安全问题进行了深入的分析，并在此基础上提出了一体化网络安全防护未来发展的关键技术。这些关键技术是空天地一体化网络安全体系的重要组成部分，对后期进行一体化网络安全架构的研究和设计有着重要的借鉴和指导作用。

［1］郝选文.空间信息网抗毁路由及网络攻防攻击技术研究［D］.西安：西安电子科技大学，2013.

［2］彭长艳.空间网络安全关键技术研究［D］.长沙：国防科学技术大学，2010.

［3］白建军.天基网路由技术研究［D］.长沙：国防科学技术大学，2005.

［4］RUHAIWANG，STEPHEN HORAN.Protocol Testing of SCPS+TP over NASA’s ACTS Asymmetric Links［J］. IEEE Transactions on Aerospace and Electronic Systems，2009，45（2）：790+798.

［5］WEI KOONG CHAI，MERKOURIOS KARALIOPOU+ LOS，GEORGE PAVLOU.Providing Proportional TCP Performance by Fixed+Point Approximations over Band+ width on Demand Satellite Networks［J］.IEEE Transac+ tions on Wireless Communications，2009，8（7）：3554+ 3565.

［6］JIONG LIU，ZHIGANG CAO，KHAN M JUNAID.TP+ Satellite：A New Transport ProtocolforSatelliteIPNetworks［J］.IEEETransactionsonAerospaceandElectronic Sys+ tems，2009，45（2）：502+515.

［7］张民，罗光春，王俊峰，等.空间信息网络可靠传输协议研究［J］.通信学报，2008，29（6）：63+68.

［8］CESARE ROSETI，MICHELE LUGLIO，PROVENZA+ NOS，et al.A Cross+Layer Architecturefor Satellite Net+ work Security：CL+IPsec［C］／／Proceedings of the 4th Ad+ vanced Satellite Mobile Systems（ASMS’08），Bologna，Italy，2008，82+87.

［9］CCSDS.Space Communications Protocol Specification（SCPS）+Security Protocol（SCPS+SP）［S］.CCS+ DS713.5+B+l，Blue Book，1999.

李 华（1982—），四川人，硕士，主要研究方向为未来网络安全；

范鑫鑫（1984—），河南人，博士，主要研究方向为天地一体化网络安全体系；

秘建宁（1979—），河北人，博士，主要研究方向为网络空间安全；

武 超（1984—），北京人，硕士，主要研究方向为网络安全与仿真；

程 静（1965—），研究员级高级工程师，主要研究方向为信息安全与通信仿真；

焦 栋（1986—），山西人，博士，主要研究方向为信息安全、秘密共享策略；

郑学欣（1985—），山东人，博士，主要研究方向为信息安全。

Analysis of Security Technologies in Integrated Space-air-ground Networks

LIHua1，FAN Xin+xin1，2，BIJian+ning1，WU Chao1，CHENG Jing1，JIAO Dong1，ZHENG XUE+xin1
（1.China Academy of Electronics and Information Technology，Beijing 100041，China；2.School of Electronic and Information Engineering，Beijing University of Aeronautics and Astronautics，Beijing 100191，China）

In integrated space+ground networks，a higher level of cross+ground／space secure communica+ tion and transport is required due to the continuous extension of national interests in the fields of ocean and space and exactneeds of handling national contingency events and deeply exploring of space scientific tasks.The security threats and challenges are disclosed thoroughly，and a series of key security technolo+ gies to be addressed in the future are proposed，which willguide the direction of research on space+air+ ground network security.

keymanagement；secure handover；secure routing；end+to+end transport

TP393.08

：A

：1673+5692（2014）06+592+06

10.3969／j.issn.1673+5692.2014.06.008

2014+10+27

2014+12+01

国家高技术研究发展技术（863计划）（SS2015AA010302）；装备预先研究项目；通信装备预先研究项目。