基于 5G/6G 的卫星互联网是将安全与通信融合的网络，它代表了未来网络设计方向。分析 5G/6G 卫星互联网组网安全的关键，提出安全与通信一体化设计总体保障思路和卫星互联网和安全一体化设计的总体架构，实现其闭环管理机制及自智成长机制，为我国卫星互联网建设提供了设计参考。

距地面几百上千公里的高空，数千颗人造卫星围绕地球运行，维持世界正常运转。时间系统、全球定位系统（GPS），以及各种通信技术，全都由卫星提供支持。但多年来，安全研究人员不断发出警告，需要进一步加强卫星安全，使卫星能够抵御网络攻击。随着2022年针对太空部门基础设施的网络攻击成为现实，NIST和MITRE这两个组织的目标是通过制定框架计划来应对未来的攻击。这些框架的目标不仅是更好地了解潜在威胁——就应用于太空部门的传统战术、技术和程序 (TTP) 而言——而且还帮助公司和政府机构制定应对针对卫星和航天器的攻击的对策。

2023年1月3日，太空评论（TheSpaceview）刊登专家文章《弹性对美国导弹预警卫星至关重要》，表达了对卫星弹性的担忧。文章称来自太空作战分析中心(SWAC)的设计包括向扩散导弹预警(MW)和导弹跟踪(MT)架构的过渡。但到目前为止，这些设计都集中在新架构的弹性承诺上，而很少有人知道在过渡到新架构期间，这些必须的弹性显得更紧迫和更重要，如何解决？过渡期会持续到2030年，这让类似的竞争对手或挑战者，有太多的机会。比如中国，在这之前不费一枪一弹就拿下台湾。

5G/6G 和卫星网络融合的呼声越来越高，5G/6G 作为“新基建”之首，引发了近年来经济的数字化转型。在人烟稀少的偏远地区或在灾害应急情况下，地面网络的经济性及抗毁性都较卫星网络差，并且维护难度大。因此，5G/6G 与卫星网络融合是解决“信息随心至，万物触可及”的最佳方案。

3GPP 对 5G/6G 和卫星互联网的融合可以分为两个阶段 ：第一个阶段是卫星系统接入5G/6G的核心网，即卫星作为接入网络和传输网络；第二阶段是卫星系统与5G/6G在空口技术的融合，即卫星作为 5G/6G 的一种空口无线接入方式，至此卫星通信空口协议与 5G/6G 空口协议融合，只需在频段上稍作区分，卫星基站即成为 5G/6G基站，卫星终端也可以是普通 5G/6G 终端。

1月3日，美国国家标准与技术研究院 (NIST) 和同为政府承包商的MITRE Corp. 发布了针对太空部门地面部分量身定制的NIST网络安全框架版本。NIST出版物补充了非营利性政府承包商The Aerospace Corp. 的另一项努力，该公司于10月创建了太空攻击研究和战术分析 (Sparta) 矩阵，这是MITRE ATT&CK框架的另一个版本，适用于针对天基基础设施的威胁。

学术论文中显示，研究人员检查的卫星在其固件中含有“简单的”漏洞，反映出“最近十年里几乎没有什么安全研究触及太空领域”。存在的问题包括缺乏身份验证和加密。研究人员称，理论上而言，他们发现的这种种问题可导致攻击者能够夺取卫星的控制权，操纵卫星撞向其他物体。

此项安全分析的首席研究员、波鸿鲁尔大学博士研究生Johannes Willbold表示，卫星安全现状可归类为“隐匿式安全”。换句话说，我们对其防护状况所知甚少。Willbold称，研究团队联系了多家在太空中拥有卫星的机构，希望能够检查其卫星固件，但大部分机构拒绝了他们的请求或者根本没有回复，只有三家机构同意与他的团队合作，他对这三家机构的开放性表示赞赏。

团队着眼的三颗卫星是科研卫星，运行在近地轨道上，并且主要由大学运营。这三颗卫星分别是2013年发射的爱沙尼亚立方体卫星ESTCube-1；欧洲航天局开放研究平台OPS-SAT；以及斯图加特大学和防务企业空中客车公司制造的迷你卫星Flying Laptop。研究人员检查了这三颗卫星的固件。

在分析中，研究人员表示自己发现了六类共13个安全漏洞。其中包括“无保护遥控接口”，也就是地面上的卫星运营商与在轨卫星通信所用的接口。“很多情况下，这些接口一开始就缺乏防护。”Willbold表示，“他们基本上什么都不检查。”Willbold将在下月于美国拉斯维加斯举行的黑帽安全大会上呈现此项研究。

除了卫星软件中存在的漏洞，这支团队还在似乎多颗卫星都在用的代码库中发现了一个漏洞。研究详细描述了纳型卫星制造商GomSpace所开发软件中基于栈的一个缓冲区溢出漏洞。研究人员称，该问题的根源在于2014年最后一次更新的一个代码库。Willbold表示，GomSpace在团队报告该问题时就承认了这一发现。GomSpace并未回复媒体的评论请求。

相关卫星制造商对媒体表示，将固件交由研究人员检查是有益的，他们将在未来的航天器上考虑这些发现。欧洲航天局（ESA）任务运营部负责人Simon Plum表示，由于是“太空实验室”，OPS-SAT的安全级别与其他任务不同。但Plum也表示，ESA正在审查这些发现，且至少已经对此卫星进行了一次更改。“我们想保护太空系统免遭网络威胁侵害，发展太空网络安全领域的韧性文化和常识。”Plum称。

5G/6G 与卫星互联网融合的天地一体化网络，可以继承目前 5G 的安全措施，但是由于空基网络的引入，卫星的移动性又埋下新的安全隐患。

基于 5G/6G 制式发展衍生的天地一体化网络架构如图 3 所示，卫星接入与地基接入互补，地基控制与星上控制并存。接入终端可以是双连接，分别接入卫星基站和地面基站，核心网络也可以有空基的核心网络和地面核心网络，随着业务发展需要，还可能两部分核心网逐步融合成一张大网 。

（1）终端安全更细分。在天地一体化网络中，终端既可以接入到卫星基站，也可以接入到地面基站，存在两条业务并存的情况，而这两条业务的业务属性、安全等级可能存在不同。对不同等级的安全业务需要注意访问控制问题；由于两条链路不同步，终端需要为这两条业务调用不同的资源来处理、存储；终端需要对其软件、硬件进行精细化的安全管理。此外，针对天基、地基业务，终端需要分别维护其信令、数据的完整性保护、机密性保护，以及移动安全管理等问题，大大增加了终端处理的复杂性。

图 3　天地一体化网络架构

（2）接入安全更自治。天地一体化组网网络覆盖范围更加宽广，接入网络高度异构，安全自治性更强。不同的物件组、人群组，需要建立独立的具有自己安全属性、排他性的小组（小簇）；利用小区、扇区、异构级联网络结合安全手段进行空口接入控制，异构接入天地一体化网络架构如图 4 所示，为这些小区分配独立的接入资源、小组 ID、小组密钥，以及小组数据保护方式。并且，卫星的移动性将带来接入网络资源的频繁切换，增加业务安全处理的复杂性的后果。

图 4　异构接入天地一体化网络架构

（3）网络安全高协同。星地融合网络具有新型、复杂的应用场景，以及网络结构时变，混合业务复杂多变的特征，天地一体化应用业务如图 5 所示。因此，卫星互联网调度呈现高动态，并且多个链路段高度协调，以实现高复杂的路由，共同完成端到端业务及安全保障。

图 5　天地一体化应用业务

爱沙尼亚塔尔图大学副教授Andris Slavinskis致力于ESTCube项目，他表示，这些发现“重要且相关”，ESTCube-1系统是“在立方体卫星领域蛮荒时代开发和发射的”，其第二版ESTCube-2将于今年发射。同时，参与开发Flying Laptop的斯图加特大学卫星技术教授Sabine Klinkner表示，研究人员发现的“弱点”是围绕卫星功能与访问的一系列取舍结果。

Klinkner称：“与许多大学卫星一样，我们的威胁模型权衡了攻击学术卫星的些微激励与建立链路向卫星发送有效命令的繁琐操作。目前尚未发现有任何恶意连接接入卫星。未来的任务会加强网络安全措施，从而抵御威胁。”

尽管此卫星安全分析主要着眼科研和学术卫星，但凸显了整个卫星领域专家担忧已久的安全问题。康奈尔大学助理教授Gregory Falco专注于太空网络安全，他表示，研究人员很少能触及卫星固件并发表相关研究。类似该德国团队所完成分析的公开信息“几乎没有”。

关于太空系统的警告由来已久。研究人员一直呼吁需要做更多的工作来保护太空系统免遭攻击，还需要改进太空系统的构建方式。Falco称，太空固件和软件开发成为“噩梦”的原因有二。首先，开发过程中常用到老旧软件，且这些软件几乎不更新。“另一个原因则是太空系统并非由软件开发人员构建。大多数情况下，太空系统是由航空航天工程师构建的。”德国研究团队还就系统安全级别问题咨询了19位卫星行业专家。在学术论文中，一位受访者表示：“我们重在提供能用的系统而不是安全的系统。”

防务智库英国皇家联合军种研究院太空安全研究分析员和政策负责人Juliana Suess解释道，除了软件和固件漏洞，攻击卫星系统的途径还有很多。其中包括干扰和欺骗攻击，也就是干扰卫星之间传输的信号。“你都不需要是太空强国就能做到这一点。”Suess称。去年，获得许可的安全研究人员演示了如何利用退役卫星广播恶意电视信号。 

Suess认为，去年俄乌冲突之初美国卫星通信供应商Viasat遭到的网络攻击就已经给航天工业再敲警钟了。2022年2月24日凌晨，俄罗斯军队踏上乌克兰土地之时，一场网络攻击中断了卫星互联网系统的数千个调制解调器，致全球各地无数连接掉线，包括德国风电场。欧盟、英国和美国都指称攻击是俄罗斯干的，而此次事件促使美国国家安全局就卫星安全问题发声。在俄罗斯入侵乌克兰的初期，与俄罗斯结盟的黑客将Viasat卫星通信网络的地面部分作为攻击目标，使整个欧洲的互联网调制解调器离线。据政府官员和SpaceX 首席执行官埃隆·马斯克称，Viasat卫星攻击事件不久之后，俄罗斯黑客也瞄准了分布式卫星互联网服务Starlink ，这对于为乌克兰战争提供互联网连接至关重要。

“迄今为止，Starlink抵制了俄罗斯的网络战干扰和黑客攻击，但 [攻击者] 正在加大力度，”马斯克2022年5月曾在推特上表示。

11月，Starlink再次成为攻击目标，与俄罗斯相关的Killnet APT以DDoS攻击为目标，导致该服务在数小时内无法访问。

作为必然结果，卫星也已成为非网络攻击的目标。在最近的例子中，某大国研究人员提出在距地球表面50英里处进行10兆吨的核爆炸，以此作为使穿过放射性云的Starlink卫星失效的方法。

国防和政府承包商BAE Systems Digital Intelligence空间安全负责人Neil Sherwin-Peddie在最近的专栏中表示，相似之处使攻击者更容易利用支持卫星系统的系统，而复杂的供应链使基础设施更容易受到攻击。

“卫星实际上只是具有嵌入式系统和接口的平台，包括无线电通信、遥测跟踪控制系统和地面段连接，”他写道。“这些本质上都是企业网络，但这也使它们成为网络犯罪分子的可乘之机。”

对Viasat的攻击包括两个部分，并强调已知的攻击方法可以针对地面和天基卫星系统进行调整。

首先，根据Viasat的安全咨询公告，攻击者利用“VPN设备中的错误配置来远程访问”地面网络。然后，攻击者发现并破坏了卫星网络的管理网络，并向地面调制解调器发出恶意命令。

“具体来说，这些破坏性命令删除并覆盖了调制解调器闪存中的关键数据，导致调制解调器无法访问网络，但并非永久无法使用，”该公司表示。

根据独立网络安全研究员Ruben Santamarta进行的后续分析，这些命令执行的功能类似于擦除器攻击，覆盖关键数据以中断操作，这是网络物理攻击中的一种常见方法。

未来还将出现新的攻击向量。 

“我们将在航天器上看到更多的自动化，因此我们将需要更多的机载自主网络保护，”航空航天公司网络评估和研究部的高级项目负责人布兰登贝利说。“这意味着整合诸如航天器上的分段、认证、加密和入侵检测[和]预防在未来将是必须的。”

“地面部分正在变得更加互联和基于云的地面基础设施，但是传统的太运营和太空飞行器本身使用定制的软件和硬件，这些软件和硬件通常不是为了成为现代高度互联的网络生态系统的一部分而创建的，”NIST-IR -8401指出。“对于可能在安全最佳实践开发之前创建或使用过时安全措施的遗留组件，这可能尤其成问题。”

NIST发布太空运营中地面部分的网络安全指南

航空航天公司创建了太空攻击研究和战术分析 (SPARTA) 矩阵，以解决阻碍识别和共享太空网络战术、技术和程序 (TTP) 的信息和通信障碍。SPARTA旨在向太空专业人士提供关于航天器如何通过网络手段受到破坏的非机密信息。该矩阵定义并分类了导致航天器受损的常见活动。在适用的情况下，SPARTA TTP与其他航空航天相关工作交叉引用，例如TOR 2021-01333 REV A，可在SPARTA网站的相关工作菜单中找到。

Sparta框架旨在涵盖对天基组件（如卫星、航天器和其他系统）的网络攻击。The Aerospace Corp的Bailey说，该框架将随着领域的发展和攻击者使用的TTP的变化而发展和变化。

“航天器方面的网络是一个相对较新的领域；因此，随着漏洞（如 PCSpoof）的披露，我们将添加TTP和对策，”他说。“我们还打算与Space ISAC合作，随着它的成熟……我们将整合威胁信息和已识别的TTP。”

随着卫星通信技术的发展，空间网络与地面网络一体化融合演进，实现应用业务的融合、网络架构的融合、核心网的融合，通过天地协同的资源调度实现资源按需分配、数据最优流转，构建覆盖全球的天地一体化网络，实现用户无感的自配置、自修复、自优化的网络是未来网络技术的发展趋势。

在这样的网络规划前景下，网络代际效应明显，安全措施亟待革新，而不仅是遵循传统的方式，待网络建成之后再简单叠加上安全产品，被动采用通信 / 安全“两张皮”的建设模式，这样的模式在高动态的网络架构下将举步维艰，逐步被淘汰。

搭乘网络大融合的风向，安全也需要与网络融合，进行一体化设计 。安全成为网络的内生因子，内化到网络的计算、存储等资源中，最终成为网络资源的一种构成因素，与网络共成长；安全服务化，按网络需求共编排。

卫星互联网安全保障总体思路

畅想未来 5G/6G 卫星互联网发展及业务应用场景，设计卫星互联网安全保障底座。以 5G技术为始，面向 6G 的卫星互联网将彻底向星地融合的新型一体化网络演进，呈现自配置、自修复、自优化等多个特性。

重构安全资源

天地融合网络将在共享的网络基础设施上，同时为公众用户、行业用户和特殊用户提供差异化的网络服务。这意味着需要组合多样化的资源满足差异化的需求，资源共享、统一编排资源，对资源进行分级的安全保护，防止侧信道攻击及威胁扩散。需要将传统统一、固化的安全资源根据需求颗粒化，变为动态、异构、冗余的安全资源，便于网络根据不同的需求选取及重组。安全资源分级化、全资源服务化，满足同一安全等级的安全资源可复用：当业务开始时，某些安全资源被占用；当安全业务结束时，安全资源被释放，能够被重组完成其他安全任务。

网络内生安全因子

面对各种差异化的应用，按需对安全资源块和网络资源块进行分配、编排完成任务。要做到这一点，需要将安全因子以一种服务的方式植入到网络整体中。首先，根据需求整合安全硬件实体与网络硬件实体，使其在处理器上融合适应未来网络发展；其次，对安全硬件“细粒度”组件化拆分，然后将每个组件进行服务化封装，以降低安全功能之间的耦合性、可重用率；最后，采用软件定义安全服务功能为用户应用系统提供多种虚拟化安全服务，通过定义实现与其他网络安全互通。

统一身份与信任体系

5G/6G 卫星互联网打造全移动和全连接的数字化社会，面向未来 VR/AR、智慧城市、智慧农业、智慧远洋、无人沙漠、工业互联网、车联网、无人驾驶、智能家居、智慧医疗、无人机、应急安全，等等。因此，在卫星互联网生态系统中，参与的角色更加复杂 。不仅包括2G/3G/4G 中的业务提供商、网络运营商、设备商、终端用户，还包括边缘计算服务、物联网服务平台等专用业务系统、云平台运营商、终端使用者和终端拥有者等一系列新的角色，因此，5G/6G 卫星互联网中各生态系统变得更加复杂。需要定义安全框架刻画 5G/6G 卫星互联网生态系统中的各种角色，并制定角色间的安全边界和承担的安全任务，从而建立一个信任模型贯穿端到端的业务系统，将卫星互联网这个分段式的网络合成一个有机的整体。

卫星通信安全总体架构

综上，本文提出一种基于密码的 5G/6G 的天地一体化网络安全架构，如图 6 所示。第一层为安全支撑层，包含密码资源池、身份管理、安全策略、安全服务、安全存储资源、安全计算资源，安全基因内置到网络资源中，支撑网络构建；同时，建立端到端统一身份和信任体系，提供基础设施可信以及身份、数据可信的信任体系。第二层为安全服务层，利用第一层的资源构建终端安全服务、接入安全服务、网络安全服务、移动安全服务，为网络各个节点提供分级安全保障。第三层为全网安全层，形成天地一体化的闭环安全体系，高动态卫星互联网的终端、网元、边界达到全网一体化安全，最终以内置安全因子为基础构建自感知、自成长的安全网络。

该架构中将数字化、可重构的密码技术作为一种网络基因，植入到网络底层，随网络共同编排、成长，构建网络的“先天免疫”，同时随着网络的发展，密码技术也共同学习发展，最终实现安全技术的“后天成长”。

图 6　5G/6G 天地一体化网络安全架构

闭环管理

基 于 5G/6G 天 地 一 体 化 网 络 安 全 架 构，安全资源与网络资源统一架构、统一服务、统一编排。图 7 抽象出了安全网络资源的闭环管理过程。利用密码态势感知技术，安全资源能够根据网络需求、网络变化提供动态调整，为打造未来自智的卫星互联安全网络提供可支撑。

图 7　5G/6G 天地一体化网络安全资源的闭环管理

密码筑基，后天成长

从 2G 时代起，密码技术就与通信技术共同存在，并且随着 3G/4G/5G 技术的发展逐步发展，5G 时代，密码更是通过主认证技术、二次认证技术、通信技术、Oahth2.0，以及机密性和完整性保护等技术保障通信基础设施的安全。其应用大多在某些关键流程开始之前进行身份认证，作为获取资源的一种准入技术，机密性保护及传输加密技术在现网中很少会开启，原因在于安全影响了网络效率，大大拉低了频谱利用率。

然而，随着网络容量和利用率的提高，网络安全问题必将层出不穷，攻击者不断破坏企业和个人的数据安全，得到眼中的“财富”。

因此，5G/6G 融合的卫星互联网在设计之初就需要考虑安全代价与网络性能的问题。将密码底层数字信号处理逻辑单元与网络资源底层的计算逻辑单元、存储逻辑单元联动设计，最大限度地发挥服务器硬件效能。如此才能适应卫星互联网资源受限及高动态的属性，将密码作为网络质量的因子，与网络资源共编排，与网络共重构，随着网络共自智，共成长。

5G/6G 卫星互联网是一种天、地、海、空逐步融合的网络，是一种 DOICT 融合的网络，更是一种安全与通信融合的网络及未来网络发展的方向。本文提出的以密码为基础的卫星网络安全架构将安全因子筑基于网络基础设施层，协同编排，灵活调度打造安全的卫星互联网络。

空间系统纵深防御

从历史上看，航天器被认为相对安全，不会受到网络入侵。然而，最近的活动表明航天器本身就在我们对手的视线中。虽然以太空为中心的网络安全标准和治理继续落后，但为太空系统采用纵深防御技术将有助于确保太空系统能够抵御网络入侵。

航空航天公司的太空攻击研究与战术分析 (SPARTA) 探索了对手在攻击太空物体时可能使用的各种技术，以及太空界可以使用的各种反制措施。
以下是空间系统网络威胁向量的示例描述。蓝线表示正常的预期通信和访问，而红线表示直接来自对手基础设施的通信。

空间系统应该对地面和空间部分都应用网络安全保护。通过纵深防御策略，在用户段、地面段、链路段和空间段进行安全控制，确保空间系统具有健壮的安全架构。

以下是空间系统的各种纵深防御层。外层是预防，是进行治理、供应链保护和风险管理等保护的地方。内层是任务数据和飞行软件所在的地方，并通过加密和软件保证等保护措施来降低风险。

未来，以本文提供的架构为参考，安全服务于卫星互联网的终端层、接入层、传输层、应用层，打造端到端天地一体化安全服务体系，为卫星通信保驾护航。