天地一體化網(wǎng)絡(luò)安全使能技術(shù)研究

天地一體化網(wǎng)絡(luò)安全使能技術(shù)研究安全技術(shù)前沿SecurityTechnologyFrontier天地一體化網(wǎng)絡(luò)安全使能技術(shù)研究ResearchonSecurityEnablingTechnologiesofSpace-groundIntegratedNetwork（1.中國聯(lián)通研究院，北京100048；2.下一代互聯(lián)網(wǎng)寬帶業(yè)務(wù)應(yīng)用國家工程研究中（1.ChinaUnicomResearchInstitute，BeijingGenerationInternetBroadbandServiceApplicationNationalEngineeringResearchCenter，Beijing100048，China）關(guān)鍵詞：關(guān)鍵詞：多樣化的場景、接入方式以及新型網(wǎng)絡(luò)架構(gòu)，給天地一體化網(wǎng)絡(luò)安全帶來了新的需求和挑戰(zhàn)。從梳理天地一體化網(wǎng)絡(luò)新特征入手，提出了天地一體化網(wǎng)絡(luò)安全新挑戰(zhàn)；分析了天地一體化網(wǎng)絡(luò)在認(rèn)證鑒權(quán)、數(shù)據(jù)傳輸和攻擊溯源方面的安全風(fēng)險和需求，并探討了應(yīng)對相關(guān)問題的天地一體化安全使能技術(shù)。Abstract：Keywords：隨著衛(wèi)星通信技術(shù)的發(fā)展，衛(wèi)星通信網(wǎng)絡(luò)與地面通信網(wǎng)絡(luò)在體制和技術(shù)上已基本具備融合的條件。天地一體化網(wǎng)絡(luò)是以地基網(wǎng)絡(luò)為基礎(chǔ)，天基網(wǎng)絡(luò)為補(bǔ)立體覆蓋的信息通信網(wǎng)絡(luò)，具有重要的經(jīng)濟(jì)效益和社會效益。1天地一體化網(wǎng)絡(luò)發(fā)展機(jī)遇隨著天地一體化網(wǎng)絡(luò)軍用價值被廣泛關(guān)注和其商業(yè)價值的不斷提升，全球各國愈發(fā)重視天地一體化收稿日期：2023-06-16網(wǎng)絡(luò)的戰(zhàn)略地位及產(chǎn)業(yè)建設(shè)，全球在軌衛(wèi)星數(shù)量穩(wěn)步增長，且呈現(xiàn)低軌化、小體量化發(fā)展趨勢。美國政府推出《國家航天戰(zhàn)略》，通過部署多個衛(wèi)星星座計劃，推進(jìn)低軌通信衛(wèi)星組網(wǎng)工程建設(shè)，力爭主導(dǎo)全球低軌寬帶衛(wèi)星市場。歐盟通過IRIS2衛(wèi)星網(wǎng)絡(luò)，為其提供寬帶衛(wèi)星網(wǎng)絡(luò)服務(wù)，用于軍事、政府與公眾用途。我國也非常重視天地一體化網(wǎng)絡(luò)的發(fā)展，工信部《“十四五”信息通信行業(yè)發(fā)展規(guī)劃》中強(qiáng)調(diào)加強(qiáng)衛(wèi)星通信頂層設(shè)計和統(tǒng)籌布局，推動高軌衛(wèi)星與中低軌衛(wèi)星協(xié)調(diào)發(fā)展。推進(jìn)衛(wèi)星通信系統(tǒng)與地面信息通信系統(tǒng)深度融合，初步形成覆蓋全球、天地一體的信息網(wǎng)絡(luò)。天地一體化網(wǎng)絡(luò)迎來重大發(fā)展機(jī)遇，關(guān)于天地一體化網(wǎng)絡(luò)的研究已經(jīng)全面展開，并吸引了學(xué)術(shù)界和產(chǎn)業(yè)界的關(guān)注。多樣化的場景、接入方式以及新型網(wǎng)絡(luò)架構(gòu)，郵電設(shè)計技術(shù)/2023/0801安全技術(shù)前沿SecurityTechnologyFrontier天地一體化網(wǎng)絡(luò)安全使能技術(shù)研究給天地一體化網(wǎng)絡(luò)安全帶來了新的需求和挑戰(zhàn)，推進(jìn)天地一體化網(wǎng)絡(luò)安全技術(shù)的發(fā)展刻不容緩。2天地一體化網(wǎng)絡(luò)安全新挑戰(zhàn)天地一體化網(wǎng)絡(luò)相比傳統(tǒng)移動通信網(wǎng)絡(luò)發(fā)生很大變化，呈現(xiàn)出物理環(huán)境復(fù)雜化、網(wǎng)絡(luò)架構(gòu)異構(gòu)化、多協(xié)議棧融合化和跨域互聯(lián)規(guī)?；男绿卣鳎?-4］。這種天地一體化網(wǎng)絡(luò)新特征也帶來新的安全挑戰(zhàn)。a）物理環(huán)境復(fù)雜化。天地一體化網(wǎng)絡(luò)部署的物理環(huán)境進(jìn)一步復(fù)雜化與開放化，網(wǎng)絡(luò)基礎(chǔ)設(shè)施面臨自然環(huán)境破壞、信號干擾［5］、星上安全防護(hù)困難等挑戰(zhàn)，影響設(shè)備的可用性。b）網(wǎng)絡(luò)架構(gòu)異構(gòu)化。天地一體化網(wǎng)絡(luò)跨越陸、海、空、天多層級建設(shè)形成融合網(wǎng)絡(luò)，對網(wǎng)絡(luò)安全進(jìn)一步提高，需要部署適用于融合網(wǎng)絡(luò)的安全功能，抵抗網(wǎng)絡(luò)安全風(fēng)險。c）系統(tǒng)協(xié)議融合化。天地一體化網(wǎng)絡(luò)多系統(tǒng)多協(xié)議棧融合，需要對衛(wèi)星部署網(wǎng)絡(luò)和地面部署網(wǎng)絡(luò)進(jìn)行統(tǒng)一安全管理，實(shí)行星地融合、協(xié)同聯(lián)動的安全運(yùn)維和防護(hù)。d）跨域互聯(lián)規(guī)?；?。天地一體化多域異構(gòu)互聯(lián)模式下，加劇數(shù)據(jù)安全風(fēng)險，需要對天地一體化網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行全生命周期安全管理，并根據(jù)上級監(jiān)管要求，履行數(shù)據(jù)安全保護(hù)職責(zé)。3天地一體化網(wǎng)絡(luò)典型安全風(fēng)險和需求分析天地一體化網(wǎng)絡(luò)面臨海量多源終端接入、跨域網(wǎng)元互聯(lián)、傳輸信道開放變化、數(shù)據(jù)流轉(zhuǎn)路徑復(fù)雜等問題。需要重點(diǎn)關(guān)注認(rèn)證授權(quán)安全、數(shù)據(jù)傳輸安全和跨域攻擊溯源等方面的安全風(fēng)險和安全需求。a）認(rèn)證授權(quán)安全。天地一體化異構(gòu)融合網(wǎng)絡(luò)架構(gòu)下，不同業(yè)務(wù)場景下不同對象具備差異化的安全認(rèn)證需求，需要針對具體應(yīng)用場景和安全需求選擇合適的認(rèn)證鑒權(quán)技術(shù)，保障天地一體化網(wǎng)絡(luò)認(rèn)證授權(quán)安全［6］。天地一體化網(wǎng)絡(luò)需要在更廣的覆蓋范圍下，支撐海量多源終端隨時隨地?zé)o縫安全接入異構(gòu)融合網(wǎng)絡(luò)，而天基節(jié)點(diǎn)資源受限，存在認(rèn)證擁塞安全風(fēng)險。衛(wèi)星節(jié)點(diǎn)長期運(yùn)行在暴露的空間軌道，且拓?fù)渲芷谛愿叨葎討B(tài)變化，攻擊者更易假冒、劫持合法網(wǎng)絡(luò)節(jié)點(diǎn)，需要加強(qiáng)跨域互聯(lián)網(wǎng)元的認(rèn)證鑒權(quán)。同時，多運(yùn)營方融合組網(wǎng)場景下，還需要滿足多方互信需求。b）數(shù)據(jù)傳輸安全。天地一體化網(wǎng)絡(luò)相比傳統(tǒng)地面網(wǎng)絡(luò)面臨傳輸信道開放、傳輸距離跨度大等問題，數(shù)據(jù)竊聽和數(shù)據(jù)仿冒等安全威脅更加突出，數(shù)據(jù)傳輸安全風(fēng)險加劇。需要持續(xù)關(guān)注天地一體化網(wǎng)絡(luò)的無線鏈路數(shù)據(jù)傳輸安全風(fēng)險、互聯(lián)互通網(wǎng)元數(shù)據(jù)傳輸安全風(fēng)險和OM數(shù)據(jù)傳輸安全風(fēng)險等問題，利用成熟的安全措施、有效的安全手段、創(chuàng)新的安全技術(shù)來應(yīng)對。c）跨域攻擊溯源。天地一體化網(wǎng)絡(luò)在政治、軍事、經(jīng)濟(jì)、文化和社會等領(lǐng)域廣泛應(yīng)用的同時，國家間的對抗形勢也日益嚴(yán)峻，空天地一體化網(wǎng)絡(luò)攻防呈現(xiàn)雜多樣的網(wǎng)絡(luò)攻擊，不僅對監(jiān)測防御能力提出新的要求，更是為溯源追蹤帶來巨大挑戰(zhàn)。4天地一體化網(wǎng)絡(luò)安全使能技術(shù)研究根據(jù)對天地一體化網(wǎng)絡(luò)面臨的安全風(fēng)險和安全需求的分析，建議重點(diǎn)考慮將認(rèn)證鑒權(quán)安全技術(shù)、數(shù)據(jù)傳輸安全技術(shù)、跨域攻擊溯源技術(shù)應(yīng)用于天地一體星間鏈路星間鏈路③核心網(wǎng)天基接入網(wǎng)②⑤①終端地面信關(guān)站安全管控系統(tǒng)⑥地基接入網(wǎng)地基核心網(wǎng)天基核心網(wǎng)⑤②④核心網(wǎng)③攻擊溯源安全技術(shù)⑥跨域數(shù)據(jù)流轉(zhuǎn)軌跡分析與溯源數(shù)據(jù)傳輸安全技術(shù)⑤物理層加密認(rèn)證鑒權(quán)安全技術(shù)①輕量級認(rèn)證③區(qū)塊鏈技術(shù)②物理層認(rèn)證①輕量級認(rèn)證③區(qū)塊鏈技術(shù)圖1天地一體化網(wǎng)絡(luò)安全使能技術(shù)應(yīng)用示意4.1認(rèn)證鑒權(quán)安全技術(shù)4.1.1.1安全技術(shù)介紹目前，對于終端的接入認(rèn)證算法普遍資源開銷較大，而天地一體化網(wǎng)絡(luò)中天基節(jié)點(diǎn)資源受限，需要輕量級接入認(rèn)證技術(shù)來支持天地一體化終端安全接入。輕量級認(rèn)證技術(shù)可以利用經(jīng)典密碼機(jī)制，優(yōu)化已有的加密算法結(jié)構(gòu)，或者在不降低安全性能的條件下，減小占用的資源與成本開銷，主要實(shí)現(xiàn)方式包括設(shè)計輕天地一體化網(wǎng)絡(luò)安全使能技術(shù)研究安全技術(shù)前沿SecurityTechnologyFrontier量級接入認(rèn)證協(xié)議，簡化認(rèn)證流程、壓縮協(xié)議字段等。4.1.1.2天地一體化網(wǎng)絡(luò)應(yīng)用場景天地一體化網(wǎng)絡(luò)廣覆蓋場景下，終端接入認(rèn)證需要滿足海量隨機(jī)接入、低時延、切換頻繁等需要考慮資源受限的天基節(jié)點(diǎn)對認(rèn)證消息的處理能力。在保證安全性的基礎(chǔ)上，應(yīng)用輕量級接入認(rèn)證技術(shù)，既可以滿足終端接入認(rèn)證安全需求，又可以抵御認(rèn)證擁塞安全風(fēng)險。4.1.2物理層認(rèn)證4.1.2.1安全技術(shù)介紹物理層認(rèn)證技術(shù)通過基于物理層的特征屬性來實(shí)現(xiàn)對身份和消息的認(rèn)證，充分利用了底層信號特征屬性，具備較高的協(xié)議架構(gòu)兼容性、較高的協(xié)議靈活性以及較低的時延等優(yōu)良特性［7］。物理層認(rèn)證利用無線網(wǎng)絡(luò)物理層的私有信道特征提供低復(fù)雜度、高安全性的安全方案，主要分為如下2種方案。a）基于設(shè)備指紋的認(rèn)證。利用硬件設(shè)備的電特性差異提取設(shè)備獨(dú)有的特征，將這種唯一標(biāo)識作為設(shè)備的認(rèn)證指紋。b）基于信道指紋的認(rèn)證。不需要額外的信號提取設(shè)備，從無線信道特征入手，利用不同位置設(shè)備的信道特征之間存在的不相干性進(jìn)行認(rèn)證。4.1.2.2天地一體化網(wǎng)絡(luò)應(yīng)用場景天地一體化網(wǎng)絡(luò)對比傳統(tǒng)地面網(wǎng)絡(luò)，具有覆蓋范圍廣、受環(huán)境影響小、容災(zāi)能力強(qiáng)等顯著優(yōu)點(diǎn)，能夠提供全球通信、物聯(lián)網(wǎng)、導(dǎo)航、定位及遙感等多種業(yè)務(wù)能力，可廣泛應(yīng)用于政治、軍事、經(jīng)濟(jì)和社會等領(lǐng)域，不同業(yè)務(wù)場景下也存在不同安全保障能力需求。針對接入認(rèn)證安全要求高的業(yè)務(wù)類型，在信道特征明顯的場景下，可以考慮采用物理層認(rèn)證技術(shù)，通過豐富和多樣化的信號內(nèi)生特征實(shí)現(xiàn)物理層認(rèn)證，增強(qiáng)接入認(rèn)證安全性。4.1.3.1安全技術(shù)介紹廣義來講，區(qū)塊鏈技術(shù)是利用鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)存儲交易和驗(yàn)證數(shù)據(jù)，利用密碼學(xué)算法保證交易數(shù)據(jù)訪問和傳輸過程中的安全可靠，利用共識機(jī)制同步區(qū)塊鏈網(wǎng)絡(luò)和更新數(shù)據(jù)的一種全新的分布式基礎(chǔ)架構(gòu)。狹義來講，區(qū)塊鏈?zhǔn)且环N按照時間順序，將數(shù)據(jù)以鏈?zhǔn)浇Y(jié)構(gòu)進(jìn)行組織，并以密碼學(xué)算法保證安全、可追溯且不可篡改的分布式賬本［8］。區(qū)塊鏈為歸屬權(quán)極度分散的分布式網(wǎng)絡(luò)部署的基礎(chǔ)環(huán)境，提供了一種面向網(wǎng)絡(luò)的信任體系，非常適用于天地一體化網(wǎng)絡(luò)異構(gòu)融合分布式部署的網(wǎng)絡(luò)架構(gòu)下的認(rèn)證鑒權(quán)。4.1.3.2天地一體化網(wǎng)絡(luò)應(yīng)用場景合網(wǎng)絡(luò)，網(wǎng)絡(luò)架構(gòu)前所未有的龐大而復(fù)雜，且天基網(wǎng)絡(luò)、空基網(wǎng)絡(luò)和地面網(wǎng)絡(luò)可能由不同的運(yùn)營實(shí)體建設(shè)維護(hù)，多運(yùn)營方融合組網(wǎng)場景下存在強(qiáng)烈的多方互信需求。區(qū)塊鏈方案是保證多個互聯(lián)的網(wǎng)絡(luò)資源可信動態(tài)共享的一個較好方案。通過區(qū)塊鏈技術(shù)進(jìn)行網(wǎng)元身份管理，可以解決網(wǎng)元身份自主管控、不可篡改、有限匿名、跨域互聯(lián)多方信任等問題。4.1.4零信任技術(shù)4.1.4.1安全技術(shù)介紹零信任是新一代的網(wǎng)絡(luò)安全防護(hù)理念，它的關(guān)鍵在于“永不信任，持續(xù)驗(yàn)證”。零信任是一組圍繞資源訪問控制的安全策略、技術(shù)與過程的統(tǒng)稱。零信任默認(rèn)不信任網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng)，基于身份認(rèn)證和授權(quán)重新構(gòu)建訪問控制的信任基礎(chǔ)，從而確保身份可信、設(shè)備可信、應(yīng)用可信和承載網(wǎng)絡(luò)可信。零信任是一種以資源保護(hù)為核心的網(wǎng)絡(luò)安全范式，信任必須進(jìn)行持續(xù)評估，確保網(wǎng)絡(luò)上試圖訪問的每個設(shè)備都通過驗(yàn)證獲得信任［9］。4.1.4.2天地一體化網(wǎng)絡(luò)應(yīng)用場景天地一體化網(wǎng)絡(luò)拓?fù)渲芷谛愿叨葎討B(tài)變化場景下，對驗(yàn)證通信節(jié)點(diǎn)、訪問身份、承載網(wǎng)絡(luò)、共享資源的真實(shí)性的安全需求進(jìn)一步提高。網(wǎng)絡(luò)節(jié)點(diǎn)之間的通信應(yīng)以身份認(rèn)證為前提，通過啟用身份認(rèn)證流程來保證系統(tǒng)的安全性和獨(dú)立性。采用零信任接入機(jī)制，從對天地一體化用戶訪問主體的不信任開始，通過持續(xù)的身份鑒別和監(jiān)測評估，動態(tài)調(diào)整訪問策略和權(quán)限，實(shí)施精細(xì)化的訪問控制和安全防護(hù)，有助于保障表1給出了天地一體化網(wǎng)絡(luò)認(rèn)證鑒權(quán)安全技術(shù)適用場景。4.2數(shù)據(jù)傳輸安全技術(shù)4.2.1物理層加密技術(shù)4.2.1.1安全技術(shù)介紹傳統(tǒng)的提升物理層安全的技術(shù)，包括公鑰加密和對稱加密，存在計算量大和密鑰成本管理高的弱點(diǎn)，可能導(dǎo)致高復(fù)雜性和高資源消耗，并且無法保證非法竊聽者使用暴力算法時不能被破解。物理層加密技術(shù)從無線信號傳播特點(diǎn)入手，利用無線信道的不可測郵電設(shè)計技術(shù)/2023/0803安全技術(shù)前沿SecurityTechnologyFrontier天地一體化網(wǎng)絡(luò)安全使能技術(shù)研究表1天地一體化網(wǎng)絡(luò)認(rèn)證鑒權(quán)安全技術(shù)適用場景認(rèn)證對象認(rèn)證技術(shù)天地一體化網(wǎng)絡(luò)應(yīng)用場景終端輕量級認(rèn)證天地一體化網(wǎng)絡(luò)廣覆蓋場景下，支撐海量低安全需求終端低時延接入物理層認(rèn)證信道特征明顯的場景下，支撐高安全需求終端接入網(wǎng)元設(shè)載網(wǎng)絡(luò)、共享資源區(qū)塊鏈技術(shù)天地一體化融合組網(wǎng)多方信任場景下，滿足自主管控、不可篡改及有限匿名需求零信任技術(shù)天地一體化網(wǎng)絡(luò)拓?fù)渲芷谛愿叨葎討B(tài)變化場景下，通過持續(xù)的身份鑒別和監(jiān)測評估，保障網(wǎng)絡(luò)安全量、不可復(fù)制的內(nèi)生安全屬性，將傳統(tǒng)需經(jīng)過終端、接入點(diǎn)和網(wǎng)絡(luò)之間跨協(xié)議層、依靠附加安全字段的加密流程，轉(zhuǎn)化為利用信道指紋和射頻指紋在終端與接入點(diǎn)之間通信的物理層實(shí)現(xiàn)內(nèi)生安全。其中，信道指紋和射頻指紋蘊(yùn)藏于信號中，可伴隨通信流程一體化完成提取與處理。4.2.1.2天地一體化網(wǎng)絡(luò)應(yīng)用場景天地一體化網(wǎng)絡(luò)覆蓋范圍更廣、通信環(huán)境更開放，數(shù)據(jù)竊聽和數(shù)據(jù)仿冒的安全威脅更加突出，利用物理層加密技術(shù)可以有效增強(qiáng)數(shù)據(jù)傳輸安全性，實(shí)現(xiàn)天地一體化網(wǎng)絡(luò)中數(shù)據(jù)傳輸過程中機(jī)密性和完整性保護(hù)的安全增強(qiáng)，主要存在以下2個應(yīng)用場景。a）利用無線信道的差異設(shè)計與位置強(qiáng)關(guān)聯(lián)的信號傳輸和處理機(jī)制，使得只有在期望位置上的用戶才能正確解調(diào)信號，而在其他位置上的信號是置亂加b）利用通信雙方私有的信道特征，提取無線信道“指紋”特征，提供實(shí)時生成、無需分發(fā)的快速密鑰更新手段，逼近一次一密的完美加密效果。4.3跨域攻擊溯源安全技術(shù)4.3.1跨域數(shù)據(jù)流轉(zhuǎn)軌跡分析與溯源4.3.1.1安全技術(shù)介紹跨組織、跨地域、復(fù)雜多樣的網(wǎng)絡(luò)攻擊，為天體化網(wǎng)絡(luò)溯源追蹤帶來巨大挑戰(zhàn)?？缬驍?shù)據(jù)流轉(zhuǎn)軌跡分析和溯源是支撐天地一體化網(wǎng)絡(luò)安全技術(shù)手段建設(shè)的重要環(huán)節(jié)，是信息通報、應(yīng)急處置的重要技術(shù)支撐?？缬驍?shù)據(jù)流轉(zhuǎn)軌跡分析與溯源技術(shù)，通過采集天地一體化網(wǎng)絡(luò)各安全域原始數(shù)據(jù)信息，結(jié)合威脅情報以及業(yè)務(wù)系統(tǒng)產(chǎn)生的業(yè)務(wù)管理數(shù)據(jù)，經(jīng)數(shù)據(jù)治理及算法引擎、溯源模型計算后，形成滿足數(shù)據(jù)流轉(zhuǎn)軌跡分析與溯源所需要的場