【网络治理】太空与网络空间交互下的安全挑战（《太空政策》）

目前针对太空资产的安全攻击不断升级，而太空安全与网络安全的界限也在不断模糊。随着太空领域的商业化和军事化程度不断提高，太空资产作为目标的吸引力以及太空基础设施对网络安全的相应需求只会在范围和种类两个层次上不断增加。由于世界上大多数陆基关键基础设施——通信、金融服务、交通、物流、气象监测以及众多其他服务，本质上都依赖于天基资产，而防止这些资产受到损害是一项关键而紧迫的需求。

当前的趋势是太空领域在未来的增长速度会不断增快，在发射成本下降和技术快速发展的推动下，太空能力变得越来越具有商业竞争力。尽管航天工业非常先进，并且对太空基础设施的依赖性不断增强，但与太空相关的网络安全问题在一定程度上未被基础设施提供商和政策制定者充分认识，往往落后于其他高科技领域的发展。在本文中，作者研究了太空基础设施的当前威胁形势和安全挑战，以概述在制定太空网络安全解决方案时需要解决的问题，并为制定太空安全政策框架提供建议。

太空系统是存在于亚轨道或外层空间的资产，或是地面控制系统，包括用于发射这些资产的设施。太空系统通常分为三个技术和操作部分，即地面部分、空间部分和链路部分。所有这些部分都可能面临一系列网络威胁。

太空组织是建造、运营、维护或拥有太空系统的组织。从技术开发、所有权和管理的角度来看，太空系统比地面数字基础设施更为复杂。网络脆弱性不仅给天基资产本身带来严重风险，也给地面关键基础设施带来严重风险。从技术角度来看，很容易想象攻击者试图通过攻击亚马逊或贝宝等公司提供的云服务或一家银行机构来中断一个国家的商业活动。然而，如今这些公司在网络安全方面投入巨大，并不断监测其系统和网络以查找恶意活动和脆弱性。对攻击者来说，一个更简单且可能更有成效的途径是瞄准为金融系统和服务提供连接的太空基础设施，并攻击提供和运营这些实现此类服务的卫星的太空组织，通过破坏一个关键故障点来影响多个系统的能力使太空系统成为有吸引力的目标。

此外，由于在太空网络安全的责任及其持续管理方面经常存在模糊性，这种情况更加恶化。而且太空能力的商业转型也引发了一些关于如何最好地规范太空中商业行为者活动的基本问题。

（一）地面部分脆弱性

破坏地面站基础设施是攻击太空系统最简单的方法，因为它提供了利用现有的地面网络和系统合法控制和跟踪太空物体所需的软件和硬件。需要注意的是，太空基础设施还有用户段，对于天基服务的最终用户来说，它可以被视为地面段的延伸。这本身可以是一个分布式基础设施，为各种应用程序和服务提供接口，这些应用程序和服务可以直接与卫星信号或其他地面段系统交互。

与对企业基础设施的攻击类似，太空攻击涉及诸如利用系统中的错误配置和软件脆弱性、未经授权访问关键服务、注入恶意软件以及使用网络钓鱼获取敏感凭证等技术。此外，物理攻击可能导致地面站无法使用，直接危及太空任务的运行，并在不实际攻击系统的情况下控制太空资产及其服务。

（二）空间部分脆弱性

空间部分由在轨卫星群以及空间站和用于将卫星发射到太空的运载火箭组成。卫星本身包含有效载荷和旨在执行卫星功能的系统。例如，这些系统负责接收和处理上行链路和下行链路信号、验证、解码并向其他子系统发送命令，以及控制卫星的稳定性和方向等。航天器必须能够通信、保持轨道并为对任务至关重要的部件提供电力。如果通信能力被破坏，比如通过攻击卫星中的遥测、跟踪和指挥（TT&C）系统，那么航天器将无法支持其任务。类似地，如果攻击者瞄准卫星的轨道动力学，例如通过修改姿态控制功能，则可能会危及卫星的任务。

一般来说，空间系统可能会遭受至少四种类型的网络攻击。航天器可能容易受到命令入侵（发出错误指令以破坏或操纵基本控制），还可能存在对有效载荷的恶意控制（发送过多流量使系统过载）等攻击。恶意软件也可以用来感染地面系统（如卫星控制中心和用户系统）以及它们之间的连接，将来自不可信源的通信伪装成来自可信源的通信，或者重放、中断或延迟通信。从操作角度来看，空间环境带来了某些独特的挑战，导致出现很少有消费硬件系统会遇到的情况。一旦太空资产被部署，开发者和运营商不太可能再次直接接触到太空资产的硬件。这种物理接触的缺乏进一步增加了对网络安全措施的需求。

（三）链路部分脆弱性

对通信信道（上行链路和下行链路信道）最常见的威胁是干扰，这会危及全球定位系统。全球定位系统干扰器在与全球定位系统设备相同的频率上发送信号，以覆盖或扭曲全球定位系统卫星信号。全球定位系统干扰器很容易获得且价格低廉，这使得不太复杂的国家和商业恶意行为者也能使用它们。全球定位系统欺骗涉及对全球定位系统信号的操纵，并且比干扰更危险，因为对用户来说，全球定位系统似乎在正常工作。一个能够执行软件定义欺骗攻击的系统很容易以低成本开发出来。只需要制造一个相对便宜的欺骗器，攻击者就可以对卫星的上行链路信号进行指挥和控制。如果卫星的下行链路被欺骗，虚假数据可以被注入到目标的通信系统中，愚弄接收器计算出一个错误的位置。如果没有采取行动或者航天器上的系统采取了错误的行动，那么对传送给航天器的数据进行有意的改变可能会产生灾难性的影响。

通常，卫星和地面系统之间的通信路涉及使用通过空气发送的射频信号，这些信号容易被拦截。如果通信流量未加密，攻击者也可以拦截并窃听卫星通信流量。在短期内，随着更多的通信能力通过太空上线，这些类型的攻击可能会继续存在，不仅来自国家行为者，也来自资源充足的非国家行为者。

（四）供应链脆弱性

太空系统安全中的另一个主要问题是由于政府资助系统的供应链和供应商生态系统的复杂性而产生的。通常，太空资产所需的专门组件并非全部由单一制造商开发。事实上，为了降低成本，太空组织经常从世界各地经批准的供应商目录中购买组件。这些供应商的批准过程并不一定特别包括网络安全审查标准。例如，当一个太空组织从一个供应商那里购买一个组件时，它对该组件的软件开发人员编写的代码几乎没有控制权。这种缺乏洞察力带来了相当大的网络安全风险。

除了供应商在整个系统供应链中容易受到攻击之外，太空组织还经常与多个研究机构合作，而这些研究机构可能有自己的脆弱性。多个合作伙伴之间的自然合作加剧了潜在的供应链安全问题，这使得很难确定在太空资产生命周期的各个阶段谁应该在操作上（和财务上）对系统的网络安全负责。因此，太空资产供应链生命周期中的安全挑战是由太空资产的开发、管理、使用和所有权的复杂性引起的。此外，云基础设施是服务提供的一个组成部分，因此地面站系统经常使用它们进行数据存储和处理。这些云系统由其他商业提供商拥有，这些基础设施中的脆弱性和故障可能会产生不利影响，例如阻碍卫星实时系统的运行以及对卫星接收器进行拒绝服务攻击。

与关键基础设施不同，太空资产通常并非由管理该基础设施的同一组织所有，这就导致在它们遭到攻击时责任存在不确定性；太空资产本身较长的使用寿命使这些问题更加复杂。太空任务可能持续数十年，正因为如此，未打补丁的遗留系统加剧了安全问题。与工业控制系统类似，太空资产是为了经久耐用而建造的，并且由于它们在实地长时间运行且对任务至关重要，系统停机通常不是一个选项。这使得在发现太空资产的安全脆弱性时，对其进行完善即使不是不可能，也是非常困难的。

鉴于太空领域的快速发展以及越来越多不同的太空行为者操纵和利用太空系统脆弱性的能力不断增强，太空网络安全面临着若干独特的挑战。太空不仅变得越来越拥挤、竞争激烈，而且也变得更加商业化。不断增长的太空活动以及有太空能力的行为者的扩散所带来的危险在于，它可能会导致各方之间的不信任，这尤其在新技术的情况下可能会潜在地导致误判和误解。现在让我们来审视一下太空基础设施中一些新的独特安全挑战。

1、目前太空系统的安全现状通常基于地面部分的强大边界保护以及加密来确保地面站与太空物体之间的通信安全。在太空物体（如卫星）上，通常的假设是其组件基于供应链中的保证是可信的。这反过来意味着航天器自身在设计时几乎没有安全防御机制，如果有的话也很少。例如，如果对手能够进入地面部分或向航天器组件中插入恶意软件，那么通常几乎没有或根本没有防护措施来阻止他们直接控制空间部分。

2、太空系统中缺乏内置安全措施的一个后果是，它为攻击者提供了发现和利用脆弱性以及恶意操纵远程太空物体的新机会。稀少的文档和源代码的不可用性造成了一种 “通过隐匿实现安全” 的心态，供应商在开发这些太空产品时经常抱有这种心态。

3、在地面网络系统中，我们经常使用入侵检测和防御系统（IDS/IPS）来监测和应对基础设施中的威胁。太空系统也需要类似的技术来观察和应对卫星上的潜在攻击，如数据协议攻击和基于射频的攻击。利用机器学习在太空物体上检测和阻止网络入侵的入侵检测和防御技术将是未来太空系统中自然要考虑的方法。然而，这可能会引入与竞争的功率和内存需求以及可扩展性相关的额外问题，以及一些额外的可信硬件和软件，而这些本身也需要得到保护。此外，拥有 IDS/IPS 技术不应替代太空系统的安全设计和开发。

4、太空资产的偏远性和缺乏物理访问带来了一些独特的挑战。其中一个挑战来自对太空系统组件（例如卫星固件更新）进行软件更新的需求。未打补丁的软件使太空系统面临公开记录并可供利用的攻击向量。然而，这些更新只能在卫星对地面站可见时进行，并且可能需要不止一次飞越。此外，对可能需要传送给多颗卫星的固件更新，可以通过在地面站上空多次飞越时将其传送给一颗卫星，然后该卫星再将其传送给需要相同更新的其他卫星。软件更新可能会无意中通过合法的更新传输引入脆弱性，或者攻击者利用这种情况故意将缺陷注入太空物体中。

5、尽管在处理偏远性方面存在挑战，但困扰太空物体的软件问题在某种程度上与困扰地球上系统的问题相似。这些问题在太空系统中可能尤为突出，因为安全一开始就没有被纳入太空计算系统的设计中。此外，太空系统中可能有许多带有遗留软件的组件，这些软件的出现早于安全被认为重要的时期。

6、在检测恶意行为时，一个重要的问题是一个实体行为的意图。通常，在监测外国太空物体的活动时，除了用望远镜和雷达所感知到的信息之外，几乎没有其他信息。这些观察可能会揭示太空物体的轨迹和一些物理特征，但如果没有更多信息，就很难确定太空物体任务的性质。这使得在涉及太空物体的移动时，对意图的评估更加具有挑战性。在没有更多额外信息的情况下，只有其他国家关于其太空活动的官方政策可以为某些行动提供可能性解释。然而，这样的政策声明通常是一般性的，不一定涵盖特定类别的活动，这给决策增加了不确定性。

7、由于许多战略军事系统（如导弹系统）依赖太空基础设施进行导航、指挥和控制，对太空系统的网络攻击将破坏战略武器系统的完整性，并有可能掩盖攻击的发起者。随着网络技术越来越容易被非国家行为者掌握，它们为即使是小型恶意团体也创造了前所未有的机会来发动高影响力的攻击。事实上，在太空领域，网络的不对称性更加严重，在技术上和地缘政治上，进攻都比防守容易。

接下来我们将简要概述一些在安全太空系统的设计和部署中呈现出重大问题的特定安全问题。

1、安全定位：太空态势感知包括对太空物体的检测和特征描述，包括其位置，以及识别它并预测其未来位置的能力。所以，当涉及到太空系统时，第一个问题是如何安全地确定太空资产的正确位置。安全定位技术旨在在有攻击者决心伪造位置的情况下找到设备的正确位置。当今的定位系统常常容易受到位置欺骗的影响，通过这种方式设备可以在自己的位置上作弊，或者可以操纵其他设备的测量位置。这不是一个可以通过简单升级来解决的问题，因为现有的定位系统依赖于传统的距离测量技术和协议，这些技术和协议在设计时没有考虑安全因素，或者是在事后才考虑安全问题。显然需要开发一种新的准确的定位基础设施，这种基础设施在设计上是安全和私密的。这样的基础设施应该对位置和时间欺骗具有弹性，提供位置验证，并支持身份和位置隐私。

2、敌友认知：接下来的问题是如何确定太空资产的身份，以便从良性太空资产中检测出恶意的太空资产。例如，一颗恶意卫星在与其他卫星或地面站通信时可以假装成合法卫星。这不仅需要确保定位和卫星测距方案的安全性，以确保两个合法实体不能占据相同的物理空间，还需要结合具有经过认证的属性的安全措施，这些属性可以可靠地验证太空资产的身份，并拥有用于卫星之间以及与地面站通信的安全协议。

3、轻量级安全协议：太空的主要安全协议涉及太空资产的认证以及用于确保通信安全的密钥的建立和管理。在安全协议的设计方面有很多研究工作，包括轻量级协议。尽管如此，据我们所知，目前没有明确的指南推荐航天工业使用特定的轻量级安全协议。此外，在协议中实现安全功能总是会在计算和内存方面引入额外的开销。额外开销的严重程度以及它们是否可接受取决于与当前太空任务相关的风险和性能限制。

4、安全密钥管理：当涉及到具有许多星座的大规模太空系统时，安全协议和通信中使用的密钥管理可能会带来重大挑战。首先，可能有大量的密钥需要管理，从生成到更新再到撤销。从安全角度来看，这些密钥需要定期更新，更新频率越高，安全性越高，但需要更多的管理程序，因此开销也更大。在动态密钥管理方面，向新的太空资产安全地提供密钥以及从需要移除的旧资产中安全地撤销密钥可能会带来重大的技术挑战。因此，太空资产中的密钥管理系统必须配备容错机制来应对这种不利条件,诸如量子计算之类的新兴技术可以为未来确保通信安全提供新的密钥管理方法。然而，目前量子技术在距离和系统复杂性方面仍然存在一些需要克服的重大挑战。

5、安全路由：太空路由具有一些不同于传统地面网络的独特特性，比如动态变化的网络拓扑结构、长且可变的传播延迟、不对称的前向和反向链路容量、高误码率、间歇性的链路连接以及缺乏固定的通信资源。在太空路由协议方面已经有很多研究工作，最近在安全路由协议方面也有更多探索。由于不同平面上的卫星之间的距离会随卫星的移动而变化，路由算法不仅要在两个物体之间建立有效的路径，还要维持通信路径。随着太空通信的开放性导致攻击面增加，显然需要高效的安全路由协议。

6、安全系统管理：在设计大规模太空系统时，服务及其属性的安全管理是一个关键问题。大规模分布式系统和容错系统的开发中的设计选择在此处具有相关性。例如，有使用集中式、分布式或分散式架构的不同方法，包括动态按需机制以及更静态和预先计算的机制。这些选择中的每一个都有不同的安全和信任影响。

7、可信计算基础：在一个简单的层面上，像卫星这样的太空资产可以被认为是由处理、存储和传输数据的硬件和软件系统组成，每一个系统都有可能成为攻击面，尤其是当它在像太空这样的有争议的环境中运行时。一组卫星可以被看作是由多个这样的系统组成的计算集群。

8、保障供应链安全：随着太空资产的复杂性不断增加，太空系统中越来越多地使用商用现货组件，这使得恶意行为者能够在供应链中引入不可信的易受攻击的组件。随着商业公司的参与度不断提高，没有进行适当的供应链验证的风险进一步增加。至关重要的是，应遵循高安全标准以确保对供应链的信心和信任，同时还需要在由不可信组件组成的大规模安全系统的设计方面进行进一步的研究工作。

9、用户应用：当用户与太空系统交互时，无论是通过某种软件应用程序访问服务还是直接与接收器交互，都存在一些传统的企业安全挑战。这些挑战包括对用户和应用程序的认证，以及安全授权以确保他们具有执行所需操作的适当权限。虽然这些安全问题在企业环境中已被充分理解，但有必要将它们应用于由太空系统和地面站中的企业系统组成的系统体系中。

新的太空服务正在涌现，这意味着用户可以从世界任何地方通过他们的台式机或笔记本电脑访问此类服务。由于这为分布式用户从他们自己的设备访问太空系统提供了途径，因此迫切需要确保对这些新兴太空服务及相关操作的安全访问。此外，需要安全机制来确保恶意有效载荷不会被上传从而感染太空系统，并防止拒绝服务攻击。

另一个新兴的主要兴趣领域是太空系统和地面站基础设施的软件化和虚拟化。使用软件定义的平台将使太空系统更加灵活，因为它允许动态配置卫星功能以满足需求变化，从而有助于提高运营效率。

太空系统的软件化是通过诸如软件定义网络（SDN）和网络功能虚拟化（NFV）等新兴技术实现的，提供了创建多个逻辑网络所需的可编程性、灵活性和模块化，每个逻辑网络都针对特定的用例，在一个公共网络之上。SDN 和 NFV 技术可以应用于网络基础设施的地面部分和太空部分，网络安全在这些新技术中起着关键作用。随着硬件和软件技术的进步，在实践中部署这种软件化架构变得更加可行，这最终将有助于在太空中托管未来的数据中心和基础设施。

软件定义网络下的太空架构的新颖之处在于，它可以提供端到端逻辑隔离的网络服务，支持来自多个租户的不同用例，具有独立的控制和管理，并且可以根据需求在一个共同的基础设施上创建。它还可以在太空平台上支持新的网络服务，具有提供任意的每流逻辑和适应星座中快速拓扑变化的能力。然而，太空的这种软件化将引入一整套新的安全挑战，因为安全和信任对于太空服务的动态提供和管理以及对抗针对太空系统的复杂安全攻击至关重要。

另一个与太空相关的重要技术是可信的自主太空智能体，它们相互协作以实现整体系统目标，在动态、对抗和有争议的环境中执行众多任务。这些智能体应该有能力从环境中动态学习。由于它们将在有争议的环境中运行，它们应该有机制来保护自己免受其他恶意太空物体的攻击。它们应该能够在不确定性和对抗性威胁下做出可信的决策，并且能够适应环境的变化，以有目标导向的方式行为，涉及不同级别的前瞻性规划以完成它们的任务。

在建立未来太空设施时，需要这种可信的自主智能体，它们也构成了新一代智能卫星的一部分。例如，这种可信的自主卫星可以用于监管太空路线并对抗来自恶意太空实体对太空设施的攻击。专门的可信自主太空实体甚至可以帮助组建新的太空力量来保护太空设施。这可以被视为当前卫星在军事冲突中的使用的自然延伸。

综上所述，减轻太空网络威胁需要技术和政策解决方案。虽然许多适用于地面系统的技术解决方案也可应用于太空基础设施，但太空带来了一些独特的网络安全挑战。由于威胁环境是动态的，技术解决方案也需要是动态的，并适应新的威胁情况。除了传统的安全机制来对抗诸如全球定位系统欺骗和轻量级安全协议等攻击外，还需要新的安全架构和解决方案来满足太空系统的软件化、先进的自主太空智能体和使用户能够访问太空物体的托管服务以及基于量子的安全技术的需求。一个全面的有效应对和缓解方法需要一个系统的、统一的政策解决方案，以指导保护太空资产和服务的技术努力，必须有政策执行机制，使合法用户和行为能够进行，同时增加非法用户及其行为的成本。