引用本文:曾勇,王驭,徐文斌,等.天地一体化信息网络无线链路安全防护技术探讨[J].信息安全与通信保密,2020(10):100-106.
摘 要
天地一体化信息网络是国家战略性公共基础设施,而网络安全是保证系统可靠运行的关键。天地一体化信息网络无线信道开放以及时空环境复杂的特性,使其更易遭到各种网络攻击,可能给系统造成不可估量的损失。针对系统网络架构和无线链路的信道特点,分析无线链路面临的安全威胁,探讨了复杂时空环境下的无线接入安全、节点互联安全、安全移动切换可信保持等场景采用的安全防护机制及技术实现途径,从而为天地一体化信息网络的安全防护体系提供支撑。
关键词:天地一体化信息网络;无线接入安全;节点互联安全;安全移动切换可信保持
内容目录:
0 引 言
1 网络节点及无线链路的特点
2 无线链路面临的安全威胁
3 无线链路安全防护关键技术及解决途径
4 结 语
0 引言
天地一体化信息网络采用“天网地网”架构,由天基骨干网、天基接入网和地基节点网组成,并与地面互联网和移动通信网互联互通,按照“天基组网、天地互联、全球服务”的思路建设,实现天空地多层次协同,实现全球覆盖、随遇接入、按需服务的网络信息服务能力,是国家在信息时代的战略性公共基础设施。
天地一体化信息网络中的天地网络融为一体,这就要求天基网络具有良好的开放性,支持各类服务应用,支持用户无感接入或即插即用。此外,天基网络的空间及电磁的特殊性易受到攻击和干扰,而其重要战略地位又要保证其具备高安全性。因此,天基网络安全是整个系统安全防护体系的重要组成部分,对系统的安全运行具有重要意义。
天地一体化信息网络天基网络安全的核心是无线链路安全,涉及到用户接入、节点互联以及移动切换等移动通信场景的安全防护,因此需要针对系统网络架构和无线链路的信道特点,分析无线链路面临的安全威胁,研究复杂时空环境下的无线接入安全、节点互联安全、安全移动切换可信保持等安全防护技术,研究相关安全技术体制和实现方式,提出相关安全技术解决途径,为天地一体化信息网络的安全防护体系提供支撑。
1 网络节点及无线链路的特点
天地一体化信息网络是跨陆、海、空、天复杂时空环境下的多层信息网络。无线网络由用户链路、馈电链路、星间链路等多种链路组成,是一个典型的大时空尺度的异构通信网络,它的网络节点及无线链路具有以下特点。
1.1 卫星节点暴露且信道开放
天地一体化信息系统网络的构建涵盖了天基骨干网(高轨卫星网络)和天基接入网(低轨卫星网络)。卫星节点直接暴露于空间轨道上,通信信道具有开放性,容易遭受非法截获、欺骗、重放以及干扰等攻击,且威胁复杂多变,及时发现并应对威胁较困难。
1.2 网络异构节点种类多
天地一体化信息网络的节点包括用户节点(高轨Ka终端、低轨L终端、低轨Ka终端等)、天基骨干节(高轨卫星)、天基接入节点(低轨卫星)和地基节点等多种节点。不同节点通过不同网域接入天地一体化信息网络的方式和流程存在差异。
1.3 网络拓扑动态变化高
天地一体化信息网络天基接入节点(低轨卫星)因距离地面近,始终处于高速运转状态。因此,天地一体化信息网络各节点间拓扑结构不断变化,致使星—星之间、星—地之间的无线链路的互联关系需要频繁切换,以保持通信的顺畅不中断。
1.4 用户链路快速切换
由于低轨卫星高速运动并且覆盖范围有限,用户终端基于单颗卫星持续通信的时间较短,超出覆盖范围后会导致原有用户链路失效。为保证通信不间断,用户终端必须在后续卫星进入覆盖范围时对通信链路进行切换,即用户链路切换。
1.5 卫星载荷能力受限
受卫星有效载荷功耗、体积、重量的限制及太空自然恶劣环境等因素的影响,卫星载荷对信息的处理能力均受到了较大限制。此外,为了保证业务信道的传输性能,控制信道带宽亦受限,且卫星发射后硬件层面几乎没有升级改造的可能,难以实现能力的有效扩展。
上述这些特点为天地一体化信息网络无线链路安全防护带来了诸多挑战,因此对无线链路安全关键技术进行研究时需要充分考虑这些因素,以确保相关解决方案的可行性和实用性。
2 无线链路面临的安全威胁
天地一体化信息系统网络无线链路主要涉及无线接入、节点互联和移动切换3个应用场景, 是系统无线链路安全防护的重点研究对象。
2.1 无线接入安全威胁
无线接入分为用户终端接入和卫星节点接入。首先,天地一体化信息网络的天基节点、地基节点和用户终端均通过开放的无线链路进行通信。由于无线信道的开放性,网络易受到攻击,如面临身份假冒、信息被窃听、信息被篡改和重放等威胁,造成系统被非法访问、信息泄露甚至工作异常。
其次,用户终端接入网络时需要上报自己的身份信息,如果该终端身份信息在空中传输时被攻击者截获,将造成用户位置信息暴露,对身份敏感的特种用户会造成较大的安全威胁。
因此,用户终端或者卫星节点接入地面网络时需进行身份认证,以保证用户终端或者卫星节点的真实性与合法性,并提供控制面和用户面的信息加密和完整性保护,同时对高端用户的身份信息需进行加密保护,防止用户被定位和跟踪。
2.2 节点互联安全威胁
由于天地一体化信息网络天基接入网的拓扑结构不断变化,为了保证通信业务的稳定畅通,各相邻星—星节点间、星—地节点间的通信业务需要进行无线链路互联。节点互联面临的威胁主要包括身份假冒、信息被窃听、信息篡改和重放等,导致卫星节点被非法访问、攻击,造成节点互联异常;或者对无线链路的路由协议进行恶意攻击,导致网络性能明显下降甚至瘫痪。因此,在天基网络拓扑高速变化、高时延等复杂时空环境下,如何在保证实现设备互联认证的同时,对星载资源的占用和信道开销最少、认证效率高,实现卫星节点可靠、可信的互联安全控制成为天地一体化信息系统网络安全运行的关键。
2.3 移动切换安全威胁
用户终端移动切换面临的安全威胁主要体现在由于用户链路的开放性使得用户在星间切换过程中切换控制消息也可能面临窃取、篡改、伪造、重放等攻击,造成移动切换时通信中断而无法为用户提供可靠的通信服务。同时,用户终端移动切换也面临着问题。
一方面,当用户终端在通信过程中发生切换时,如果用户终端与目的卫星节点进行重新认证时势必会造成通信断续,从而影响用户的使用;另一方面,由于用户终端的移动切换过程主要是在星上完成,而卫星载荷的处理能力有限,频繁切换会对卫星载荷和安全防护载荷的处理能力提出了较高的要求。
3 无线链路安全防护关键技术及解决途径
3.1 复杂时空环境下的无线接入安全
为了保证复杂时空环境下的接入安全,需为用户终端和卫星节点提供无线接入认证安全机制以及空口数据加密和完整性保护机制,同时为高端用户提供用户身份保护等安全防护机制。
3.1.1 用户终端接入认证
天地一体化信息网络的用户终端分为低轨L终端、低轨Ka终端和高轨Ka终端三类。针对用户终端不同的空中接口标准,需采用不同的认证协议体系,将接入认证协议与系统控制信道通信流程紧密融合,通过地面认证服务系统实现统一的用户终端接入认证服务。此外,为了减轻卫星载荷的处理负担,用户终端所有的认证消息均在地面进行处理,卫星载荷只进行透明转发。三种类型用户终端接入认证的示意图如图1所示。
图1 三种类型用户终端通过天基网接入地面网络
低轨L终端工作于L频段,空中接口标准采用地面通用移动通信系统的卫星扩展标准 (Satellite component of the Universal Mobile Telecommunications System,S-UMTS),具有与地面4G移动通信系统相同的接入特性,为用户提供移动通信服务。因此,低轨L终端接入认证可借鉴4G移动通信网络的认证与密钥协商(Authentication and Key Agreement,AKA)接入认证机制和协议体系进行改进。
基于对称和非对称混合密码体制,采用终端自身的私钥对身份信息进行签名,保证终端身份的唯一性和真实性,实现用户终端与认证服务系统的双向身份认证和控制面/用户面密钥派生,生成L用户终端与地基节点和卫星节点的安全关联,用于无线链路传输的信令和业务信息的机密性完整性保护。
高轨Ka终端和低轨Ka终端工作于Ka频段,空中接口均采用数字视频广播标准(Digital Video Broadcasting,DVB),因此高轨/低轨Ka终端的接入认证流程统一设计,基于公钥基础设施(Pubic Key Infrastructure,PKI)的公私钥认证体系进行改进。
采用对称和非对称混合密码体制,基于空间数据系统咨询委员会(Consultative Committee for Space Data System,CCSDS)链路层安全协议规范,将认证数据包嵌入CCSDS链路层数据帧,采用终端自身的私钥对身份信息进行签名,保证终端身份的唯一性和真实性,进而实现高轨Ka终端和低轨Ka终端的入网双向认证和控制面/用户面密钥派生,生成Ka终端与地基节点和卫星节点的安全关联,用于无线链路传输的信令和业务信息的机密性完整性保护。
针对身份隐私具有较高安全需求的用户,可使用认证服务系统的公钥证书对上报的身份信息进行加密,实现用户身份保护功能,防止身份信息被监听窃取而导致用户身份的暴露和被定位。此外,在上报的信息中嵌入时间戳信息,可以有效防止重放攻击。
3.1.2 卫星节点接入认证
在通信层面上,卫星节点(包括天基骨干节点和天基接入节点)的馈电链路亦采用DVB空口标准接入网络。因此,卫星节点接入认证可看作Ka终端接入认证的特殊情况。卫星节点的接入认证可与Ka终端接入认证机制和流程保持一致,基于PKI的公私钥认证体系进行改进,采用对称和非对称密码体制相结合的方式,参照CCSDS链路层安全协议规范,通过地面认证服务系统实现骨干节点和接入节点的入网双向认证和控制面/用户面密钥派生。
3.2 复杂时空环境下节点互联安全技术
节点互联安全主要针对天基网络拓扑结构不断变化时,为相邻节点间提供互联认证安全机制以及空口数据加密和完整性保护机制。根据系统通信架构,节点互联认证分为星地互联认证和星间互联认证两种场景。为保障天基网络的畅通,需要不断进行节点间的无线链路互联,因此节点互联安全技术是系统安全运行关键。节点互联认证示意如图 2 所示。
图2 节点互联认证过程
以星间互联认证为例,卫星节点之间的互联认证均属于端到端认证,不涉及系统网络其他节点或设备,因此节点互联可借鉴PKI基于非对称密码的认证体制进行改进。在卫星节点建立连接时,将互联认证协议嵌入节点互联的控制协议中,实现卫星节点之间的双向认证以及实现星间链路控制面密钥派生,用于节点间无线链路传输的信令信息的加密和完整性保护。
通过节点互联认证可以保证通信双方身份的真实性,确保合法节点间的正常互联,防止假冒节点对合法节点的欺骗,保障端到端信息可靠传输。在认证策略上,由于节点互联的场景较为频繁,为减少卫星节点资源的占用和信道开销,不用每次节点互联时均认证,可以采用定期认证的方式实现。
3.3 用户终端安全移动切换可信保持技术
天地一体化信息网络各节点间相对位置是动态变化的。为了保证用户终端之间通过天基接入网进行不间断的通信,必须使用安全切换机制以提供无缝网络接入服务。当低轨L/Ka终端在不同卫星节点之间切换时,不但需要解决切换过程中的切换控制信令的保护问题,还需要解决用户终端和卫星节点之间信任关系的无缝传递,本质为接入层信令保护密钥等安全参数的传递。
在移动切换发生前,源接入卫星与目的卫星之间进行节点互联认证,以便利用互联认证过程中协商的互联保护密钥Kintercon,为后续的切换控制信令和密钥传递提供机密性和完整性保护。
移动切换时用户终端发起请求,源接入卫星将与用户终端接入认证派生的控制面密钥经过密钥Kintercon加密保护传递给目的卫星,形成用户终端与目的卫星的安全关联。通过用户终端信任源接入卫星,源接入卫星信任目的卫星,最终完成用户终端与卫星节点的信任关系在源接入卫星与目的卫星之间的信任传递。由于用户终端与目的卫星无须重新认证,既实现了用户终端安全的移动切换与可信保持,也实现了新用户链路的快速建立,保证移动切换时通信业务连续不间断,工作原理如图3所示。
图3 用户终端安全移动切换可信保持工作原理
该安全移动切换机制借鉴了4G移动网络的切换机制,但又具有一些特殊性。一是低轨卫星移动速度快,为了避免用户通信中断,需要将安全移动切换设置为较高优先级;二是为了减少对卫星资源占用和控制信道的开销,需要对4G安全移动切换协议流程进行简化,保持其高效和快捷。通过用户终端的安全移动切换和可信保持机制的设计和实现,能够实现终端与目的节点的可信保持,保证通信双方身份的真实性,实现移动切换时对相关信令(如切换请求、参数传递等)的保护,保证移动切换整个过程的安全性。
4 结语
作为国家级的重大基础设施,天地一体化信息系统网络运行的安全性、可控性和可用性显得尤为重要。通过对天地一体化信息系统网络的多层网络架构分析,窃取、欺骗、假冒、篡改以及重放等攻击最容易出现的环节是无线接入、节点互联和移动切换过程。
本文将无线接入安全、节点互联安全、安全移动切换可信保持等作为天地一体化信息网络无线链路安全防护的关键进行研究,针对其面临的安全威胁,提出其相关安全机制、实现方式以及技术途径。
首先,基于现有移动通信安全协议进行优化改造,引入对称密码和非对称密码体制相结合的方式实现安全防护能力增强;其次,根据系统特点,采用安全协议与无线链路通信协议进行一体化设计,以地面处理为主、星上处理为辅,尽量减少卫星节点的处理负担和无线信道开销的设计思路,能够保证天地一体化信息系统网络无线链路安全防护技术实现的安全性、可行性和实用性。
作者简介
曾勇(1968—),男,硕士,高级工程师,主要研究方向为移动通信信息安全;
王驭(1981—),男,硕士,工程师,主要研究方向为移动通信信息安全;
徐文斌(1982—),男,学士,工程师,主要研究方向为移动通信信息安全;
张帆(1988—),男,硕士,工程师,主要研究方向为信息安全。
选自《信息安全与通信保密》2020年第10期(为便于排版,已省去原文参考文献)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
