美国空军研发颠覆性航天软件平台原型CHSS

美国麻省理工学院林肯实验室和空军研究实验室航天器部门太空网络弹性小组已经研发出一个实用的、可操作的和设计安全的航天软件平台原型“网络强化卫星软件”（CHSS），用于构建以安全性、可恢复性和性能作为一流系统设计优先事项的太空任务应用程序。在针对现有美国太空部队任务对CHSS进行成功评估后，CHSS平台目前正在扩展以支持混合空间飞行器架构，该架构包含CHSS感知和遗留子系统。CHSS有可能彻底改变太空系统的网络弹性，并大大减轻防御性网络操作（DCO）的负担。

由于该领域的固有限制，太空系统上的DCO在历史上是棘手的甚至是不可能的。不仅卫星在物理上无法访问，带宽受限且通信链路断断续续，而且网络物理安全限制强加了严格的时间和可预测性要求，现有的DCO工具很少能满足这些要求。此外，太空遗产的重要性导致关键任务代码难以现代化。卫星是不透明软件和硬件组件的集成系统，来源复杂多样。如果没有检查或命令这些组件的能力，DCO工具通常只能尽力而为地监控通信总线。综合挑战类似于防御者被要求保护一辆缺乏装甲的坦克，而其乘员则极力反对这一想法。攻击者拥有一切优势。

人们可能错误地认为卫星软件是一个困难的网络目标。不幸的是，事实并非如此。麻省理工学院林肯实验室的研究人员分析了常见的航天软件清单，并确定了涉及广泛部署的操作系统、第三方软件依赖项和固件的主要问题，这些问题使对手在卫星开发或集成期间通过软件供应链攻击植入自动化恶意软件。此外，软件供应链攻击只是众多可能的网络威胁媒介之一。例如，越来越多的交联星座网络世界为攻击者提供了另一种途径，可以利用一颗受感染的卫星攻击其他卫星。

这种恶劣的环境需要一种革命性的方法来进行防御性网络操作（DCO），以重新获得优势并阻止攻击者访问关键的太空系统。

革命性DCO：为了解决这一问题，麻省理工学院林肯实验室的研究人员将上述挑战提炼为航天软件在运行期间必须容忍的四种对抗条件。也就是说，航天软件要想抵御民族国家行为者的网络攻击，唯一的办法就是在这些条件下正常运行：

这些条件有效地充当了航天软件的安全设计要求，当满足这些要求时，将产生革命性的DCO能力，并使防御人员重新获得优势。这种航天软件可以在已经建立立足点的网络攻击下运行，至少半自动地减轻攻击，满足网络物理时间要求，与现有航天软件集成，避免删除现有的飞行遗产或对利益相关者强加不切实际的要求。

CHSS是实现这一宏伟愿景的一个有希望起点。CHSS是一个与任务无关的航天软件平台，其功能受到NASA核心飞行系统的启发，但强调网络弹性。最值得注意的是，CHSS在不牺牲性能的情况下提供了安全性。

作为安全基础和信任根，CHSS的核心是建立在高保证、高性能的操作系统微内核seL4上。seL4经过形式验证，是一个功能强大但劳动密集型的过程，用于从数学上证明不存在错误和软件实现的正确性。出于这个原因，seL4以前曾用于美国防高级研究计划局高保证网络军事系统和空军研究实验室业余无线电紧急服务计划。然而，作为一个微内核，seL4仅提供有限的系统功能。

作为seL4基本功能的重要一步，CHSS实现了一组功能丰富的操作系统服务、用于跨应用程序通信的安全中介软件数据总线、自主恢复机制和支持在网络攻击下进行操作和修复网络攻击的模块化飞行软件应用程序。

CHSS的设计和原型目前满足前三个对抗条件，目前正在扩展以支持遗留航天组件的容器化和透明保护以满足第四个要求。

为了限制遭渗透依赖项、驱动程序或未来应用程序的危害，CHSS使用功能隔离和最小特权（类似于零信任）的核心网络安全原则精心设计。此外，CHSS以内存安全的Rust语言实现，这是美国家安全局推荐的用于安全系统实现的语言之一。

功能隔离将跨应用程序交互限制在预先批准的通信渠道中。CHSS中的软件被分解为具有明确输入和输出的离散模块。每个模块在系统启动时都有自己的专用资源和内存域。模块相互通信的唯一方法是通过对消息实施安全策略的软件数据总线。这种方法同时将恶意代码隔离到其原始模块中，并鼓励在不同任务中重用模块。

最小特权是一种设计原则，其中每个系统组件都必须只能访问执行其合法目的所需资源，而不能再多了。受此原则的启发，CHSS将功能或不可伪造的令牌分配给允许访问特定系统资源（例如内存页面）的进程。就像没有有效机票的旅行者一样，无能力进程无法访问相关的系统资源。因为seL4管理CHSS的功能，所以上述功能的安全性来自seL4正式验证的正确性。

在CHSS中，由于假设人类DCO操作员在必要的时间尺度内无法减轻持续的网络攻击，因此恶意行为和非恶意故障会触发分阶段的自主恢复过程。这个过程从模块级重启开始，升级到飞行软件和全系统重启，最后退回到已知的安全状态。触发器包括明确的策略违规和未能定期提醒恢复处理程序模块处于良好状态。通常情况下，这种细粒度的恢复存在因数据过时、请求丢失等原因导致飞行软件模块不同步的风险，但CHSS在设计应用程序时明确考虑了恢复。具体来说，通信是无状态的，恢复期足够快，可以避免网络物理体系中的任何安全违规行为。

虽然模块重启足以从暂时性故障（例如内存损坏）中恢复，但无法应对嵌入到二进制文件中的恶意软件（例如软件供应链攻击）。当CHSS检测到某个应用程序反复出现故障时，它可以配置为从一个单独的启动映像重新启动到“安全模式”，并使用一个更小、更简单和更可靠的软件套件。此引导映像不包含来自主映像的代码，并且仅限于维护飞行安全和从地面部分接收更新。这可以阻止现存的恶意软件，并为地面DCO人员提供了开发和上传删除恶意代码的更新所需的时间。

然而，网络弹性只有在不以违反安全为代价的情况下才有价值。为了证明网络物理兼容性，麻省理工学院林肯实验室的研究人员根据现有的美国太空部队太空域感知任务评估了CHSS。控制卫星总线的任务飞行软件被移植到CHSS。一个处理器在环试验台被构建，该试验台使用硬件飞行计算机和总线硬件外围设备（例如反作用轮和星跟踪器）的软件仿真。闭环天体动力学模拟器从仿真硬件传感器向飞行软件提供输入，处理来自CHSS飞行软件的驱动命令，并适当调整轨道环境模型。这使得CHSS能够飞行具有从天体动力学模拟生成的逼真网络物理特性的虚拟卫星。在此实验场景下，CHSS飞行软件成功运行仿真卫星总线外设，确保不存在安全违规行为，性能可与当今卫星上使用的非加固操作系统（如实时Linux）相媲美，轻松满足网络物理操作的软实时要求，例如姿态传感/驱动控制回路。

CHSS是一种设计安全的原型，它建立了航天软件的潜力，该软件同时具有高性能、网络弹性、实用性，并且能够将优势从攻击者转移到DCO操作员。CHSS的模块化框架旨在与未来专注于有效载荷操作、通信堆栈和其他重要太空系统软件的应用程序很好地集成。此外，该愿景接纳卫星系统中始终存在的不合作、遗留软件组件的现实。CHSS平台目前正在扩展，以支持对此类遗留软件的包装和容器化，以提供网络弹性，而不会破坏太空遗产或对利益相关者提出不合理的要求。

发展CHSS平台，将其确立为未来太空系统的成熟参考标准，可以成为太空DCO游戏规则的改变者。