一种星地互联安全防护装置和方法与流程

本发明属于信息与通信技术(ict)领域，涉及卫星互联网、天地一体化网络的安全防护体系结构、方法和技术，特别是涉及为星地互联提供一种网络安全防护装置和方法。

背景技术：

1、卫星互联网是基于卫星通信技术接入互联网，可以通俗地理解为地面基站被搬入空中的卫星平台，每颗卫星都是天上的移动基站，可以为全球范围内用户提供高带宽、灵活便捷的互联网接入服务。天地一体化网络是由通信、导航、气象等多种功能的异构卫星/卫星网络、深空网络、空间飞行器以及地面有线和无线网络设施组成的，通过星间、星地链路将地面、海上、空中和深空中的用户、飞行器以及各种通信平台密集联合，具有多功能融合、组成结构动态可变、运行状态复杂、信息交换处理一体化等功能特点。

2、在卫星互联网或天地一体化网络中，卫星都是关键的组成部分，对于通信卫星，它是数据转发中继的站点，而对于遥感、侦测和导航等功能卫星，它本身就是很多敏感数据的产生点。因此，卫星与地面通信连接的安全性关系到整个网络的安全。通常，星地互联主要面临如下三个方面的安全威胁：

3、(1)物理层面的威胁：物理层面的安全主要针对卫星和地面站的可用性和机密性等方面，星地互联在这一层面面临的威胁主要包括物理损毁、信号干扰等，比如网络中卫星、地面站等基础设施的物理破坏，传输链路信号受到人为或自然的电磁干扰等。

4、(2)网络层面的威胁：网络层面的安全主要针对卫星运行的可控性、可用性等方面，卫星和天地一体化网络在接入、切换、访问等运行过程中面临的威胁主要包括欺骗攻击、恶意代码攻击等。欺骗攻击是指由于卫星节点的动态接入特点，真实节点存在被冒充的可能，从而造成非法节点接入到天地一体化信息网络中，导致系统发生异常甚至瘫痪。恶意代码攻击指通过利用卫星和天地一体化网络中可能存在的安全漏洞、无效配置等缺陷，通过植入病毒、木马等各类恶意代码，从而造成卫星和天地一体化网络被远程操控、窃密和破坏。

5、(3)数据层面的威胁：数据层面的安全主要针对数据在传输、处理等过程中的保密性、完整性等方面，卫星和天地一体化网络在路由、数据传输等运行过程中面临的威胁主要包括路由伪造/篡改攻击、数据窃取攻击、嗅探攻击、中间人攻击等各类安全威胁。

6、与此同时，由于卫星过去主要用于军事、导航、气象等领域，卫星测控、运控仅有少数国家指定的机构或企业具备能力，卫星行业具有较强的封闭性，所以星地互联的网络安全防护水平还很低，在工程上仅有少数军用卫星具备一定的通信加密能力。随着低轨卫星的快速发展和卫星向民用领域应用的快速拓展，从卫星互联网和天地一体化网络的建设目标来说，当前星地互联在网络安全上可以说处于裸奔状态，卫星地面站使用普通防火墙根本不能对卫星测控、运控和数据传输活动进行有效保护，还没有相应的网络安全防护装置。

7、目前，一些科研机构和大学对卫星、卫星互联网和天地一体化网络的网络安全展开了研究，取得了一些研究成果，发表了不少学术论文和相关成果。比如中国科学院信息工程研究所发表的《天地一体化信息网络安全保障技术研究进展及发展趋势》论文，从物理层、运行层、数据层三个层面分析了安全威胁，并从物理安全、运行安全和数据安全三个方面给出了应对建议；中国科学院软件研究所申请的《星上数据采集处理系统、卫星监测系统和智能监测系统》专利，给出了一种星地协同的卫星安全监控方案；南京邮电大学申请的《一种面向卫星通信系统的安全仿真靶场系统和方法》专利，构建了一种卫星通信系统靶场来进行网络安全研究；北京空间信息传输中心发表的《基于星载网络探针的通信卫星信息安全监测系统设计》，给出了一种卫星安全监测装置设计方法。总体而言，这些研究还处于学术和预研层面，尚未进入到安全产品研发和工程实践阶段。

8、在星地互联安全中，卫星的测控、运控和数传(数据传输)，属于星地互联安全的重中之重，关系到卫星自身安全和卫星的价值实现，星地互联安全防护装置必须重点关注到卫星测控、运控和数传，为其提供针对性保护。

9、这里简单阐述一下卫星安全相关的几个概念，以便于更好地理解本技术实现要素：。数传是指卫星的数据传输，利用卫星实现二进制编码字母、数字、符号以及数字化声音、图像信息的远距离传输、交换和处理，是卫星载荷数据下传至地面站的通道，是实现地球上远距离信息传输、处理的手段。

10、测控是指卫星测控，主要关注卫星的姿态、位置、速度等参数的测量和监测，包括跟踪、遥测和遥控三部分，以保证卫星的稳定性和准确性。其中，跟踪是指获取卫星的瞬时位置并预测轨道，遥测是指测量卫星外部空间环境、载荷以及卫星平台各系统的工作状况，遥控是指通过对卫星遥测参数、姿态和轨道等参数的分析，一旦发现卫星异常或故障，就发出命令对问题进行修复。

11、运控是指卫星的运行控制，主要关注卫星任务的规划、资源的分配、任务的执行和故障处理等方面，负责向卫星发出各种指令，安排卫星工作程序，控制卫星运行姿态，指挥传感器工作及信息的传输，以及控制星载仪器与地面接收站的工作配合等，以保证卫星的任务完成和正常运行。

12、测控和运控是有区别的。测控侧重于数据采集和处理能力，由卫星测控系统完成；运控则偏重于实时控制能力,由卫星运控系统完成。目前，测控系统和运控系统正走向一体化，测控和运控发展为由统一的卫星测运控平台完成。卫星测控和运控相关系统或平台部署在卫星地面信息系统中。

技术实现思路

1、本发明的目的，是为星地互联提供一种网络安全防护装置，以抵御日趋严重的天地一体化网络安全威胁。通过在卫星地面站和/或卫星地面信息系统中部署和运行所述装置，提供访问控制、入侵防护、通信安全和安全审计等安全功能，通过监控审计流经的网络通信流量，有效保护星地互联的安全，特别是有针对性地保障测控安全、运控安全和数传安全。

2、本发明的一种星地互联安全防护装置，包括访问控制模块、入侵防护模块、通信安全模块、安全审计模块和管理模块。

3、所述访问控制模块基于安全策略对星地互联通信流量进行访问控制，不但支持tcp/ip协议全四层访问控制，还支持空间数据系统咨询委员会发布的协议族scps从数据链路层至应用层的访问控制。所述访问控制模块仅允许符合安全策略的通信流量通行，不符合安全策略的流量将被拦截、告警和审计。所述安全策略原则上执行白名单策略，将允许的网络通信纳入白名单，其余的网络通信将会被拦截，比如允许哪些卫星地面站连接卫星、允许某个卫星地面站对卫星做具体哪些测控和运控的操作、允许某颗卫星往某个卫星地面站下传数据，不在白名单中的网络通信流量将被拦截、告警和审计。

4、目前，绝大部分卫星测控、运控和数据传输协议都是基于tcp/ip协议(over ip)的，因此，所述访问控制模块的基础功能支持对tcp/ip协议从数据链路层、网络层、传输层到应用层全四层的访问控制，根据数据包包头字段和数据段内容进行访问控制。

5、进一步地，所述访问控制模块还支持国际性空间组织——空间数据系统咨询委员会(consultative committee for space data systems，简称ccsds)为适应空间通信环境而发布的tcp/ip改进版本协议scps(space communication protocol specification)进行访问控制。所述访问控制模块完全支持对scps协议从数据链路层、网络层、传输层到应用层全四层的访问控制，具体包括：基于scps协议的遥测tm(telemetry)空间数据链路协议、遥控tc(telecontrol)空间数据链路协议、高级在轨系统aos(advanced orbitingsystems)空间数据链路协议和prox-1(proximity-1)空间数据链路协议的包头字段进行访问控制；基于scps协议的scps-np(scps network protocol)网络层协议和空间分组协议spp(space packet protocol)的包头字段进行访问控制；基于scps协议的scps-tp(scpstransport protocol)传输协议、文件传输协议cfdp(ccsds file delivery protocol)和scps安全协议scps-sp(scps security protocol)的包头字段进行访问控制；基于scps协议的scps文件协议scps-fp(scps file protocol)的包头字段和数据段内容进行访问控制。

6、所述安全策略包括tcp/ip协议访问控制策略、scps协议访问控制策略和自定义安全策略，所述自定义安全策略是为了满足卫星测控、卫星运控和卫星数传协议现阶段多样性和复杂性的访问控制需要。

7、所述入侵防护模块，通过监测星地互联通信流量，识别发现来自卫星测控通道的、卫星运控通道的、卫星数传通道的、卫星用户的、星间的和开放空间的网络攻击和恶意代码，并予以拦截、告警和审计。所述入侵防护模块在发现网络攻击或恶意代码样本之后，能够提取所述样本并发送至卫星地面信息系统的网络安全管理中心或运营中心。所述安全管理中心或运营中心通常会部署网络安全态势感知平台，对卫星互联网或天地一体化网络的资产、威胁和脆弱性进行数据采集和分析研判，形成专项和总体安全态势感知。

8、所述入侵防护模块主要从攻击行为和数据两个层面，基于特征匹配和异常检测等技术进行网络攻击和恶意代码的识别、拦截、告警和审计。其中，攻击行为既包括体现在星地互联通信流量中的攻击行为，比如通过卫星运控通信通道恶意修改卫星运行参数的攻击行为、通过卫星用户服务通道的漏洞利用攻击行为或某种恶意代码特有的网络连接行为，也包括体现在星地互联通信流量中的恶意代码数据，比如木马样本、间谍软件样本或漏洞利用代码样本。这里，所述通信通道是指某种星地互联活动利用的网络通信端口或协议，比如卫星测控所利用的通信端口或协议、卫星数据传输所利用的通信端口或协议。

9、所述入侵防护模块还建立维护了一个与卫星、卫星测控、卫星运控及卫星数传密切关联的网络攻击和恶意代码的行为模型与特征库。利用卫星、卫星测控、卫星运控和卫星数传相关系统和协议的漏洞的网络攻击行为和恶意代码，以及来自太空等开放空间的对卫星地面站和卫星地面信息系统进行入侵的网络攻击和恶意代码，其行为模型、攻击特征会被纳入行为模型与特征库。所述行为模型与特征库用于支撑所述入侵防护模块的入侵防护功能。

10、所述入侵防护模块在所述访问控制模块之后工作，仅对所述访问控制模块处理之后允许通行的星地互联通信流量进行网络攻击和恶意代码的识别，实现对星地互联通信流量一次解包就完成了访问控制和入侵防护工作，从而大大提升所述装置效率，防止成为星地互联性能瓶颈。

11、所述告警产生的告警信息和所述审计生成的审计数据将传至卫星地面信息系统的网络安全管理或运营中心，以支撑卫星互联网或天地一体化网络的安全态势感知。

12、所述星地互联通信流量是指流经卫星地面站的网络通信数据，包括卫星和卫星地面信息系统的双向传输数据，以及从空天地开放空间经卫星地面站向卫星地面信息系统传输的数据。具体包括卫星的测控流量、运控流量、数传流量、用户流量、星间流量和开放空间流量；所述开放空间流量是指源自空天地的直接向卫星地面站天线空中接口发送的流量，可能含有恶意或攻击的目的，比如攻击者从卫星或航空器以无线方式直接向天线空中接口发送含有恶意代码的数据。所述恶意代码主要是指具有影响卫星、卫星地面站通信机、卫星测控运控系统正常运行、窃取卫星数据这些恶意目的的程序代码，包括但不限于病毒、蠕虫、木马、间谍软件、僵尸网络程序和漏洞利用代码。所述卫星用户是指使用卫星服务的终端，包括但不限于桌面终端计算机、智能手机、智能网联汽车、飞机、导弹、舰船和空间站。

13、所述通信安全模块采用加密技术，在网络层建立加密的通信链路，对卫星与卫星地面站、卫星地面站与卫星用户之间的网络通信进行安全保护，并实现双向实体身份鉴别。具体地，所述装置与卫星上的通信安全组件，可建立卫星与卫星地面站之间的网络层安全传输链路；所述装置与卫星用户客户端的通信安全组件，可建立卫星用户与卫星地面站之间的网络层安全传输链路。

14、所述管理模块，用于所述装置的各类安全策略管理和自身管理，并提供远程安全管理能力。通过该模块，所述装置的管理员可以对所述装置进行本地或远程安全管理，配置访问控制、入侵防护、通信安全和安全审计等各模块的安全策略，以及所述装置自身安全运行的策略。

15、所述安全审计模块用于记录和分析所述装置与网络安全相关的操作数据，支撑所述入侵防护模块、访问控制模块、通信安全模块和管理模块的安全审计，审计数据将传至卫星地面信息系统的网络安全管理中心或运营中心，以支撑卫星互联网或天地一体化网络的安全态势感知。

16、所属装置既可以设计实现为插拔式的板卡形态，成为卫星地面站通信机中的安全组件，也可以设计实现为一种独立运行的安全设备，与卫星地面站通信机通过网络连接。通常情况下，所述装置设计实现为独立运行的安全设备，当某些卫星地面站有特别的需求时，所述装置可以设计实现为一块插拔式的板卡形态，插入卫星地面站的通信机中，成为通信机的安全功能组件。

17、所述装置常规部署于卫星地面站，同时也可以部署在卫星地面信息系统的出入口处，对卫星测控系统、卫星运控系统、卫星载荷数据库和卫星数据服务提供增强的安全保障。因为所述装置具备对tcp/ip协议全四层的访问控制能力，所以根据卫星地面信息系统的安全需求，可以替换常规防火墙进行部署，同时还能够对卫星测控、运控和数据传输活动进行针对性保护。

18、因此，所述装置是一种双向网络安全防护设备，卫星与星间网络、卫星地面站和卫星地面信息系统都是其保护的对象。它既保护卫星和星间网络，防止来自地面ip网络的网络攻击、恶意代码注入和违反安全策略的行为，也保护地面卫星测控系统、运控系统、卫星载荷数据库和卫星数据服务，防止来自卫星、星间网络、卫星用户和开放空间的网络攻击和数据窃取等行为。

19、本发明的一种星地互联安全防护装置，还包括一种用于星地互联的安全监控方法，具体步骤为：

20、s10：所述通信安全模块获取星地互联通信流量；

21、s20：所述访问控制模块解析所述通信流量，基于安全策略对所述通信流量进行访问控制；如果所述通信流量符合安全策略，则所述访问控制模块允许所述通信流量通行；如果所述通信流量不符合安全策略，则所述访问控制模块拦截所述通信流量，并进行告警；

22、s30：所述入侵防护模块对允许通行的所述通信流量，进行网络攻击和恶意代码检测；如果所述通信流量存在网络攻击或恶意代码，则所述入侵防护模块拦截所述通信流量，提取网络攻击或恶意代码样本，并进行告警；如果所述通信流量不存在网络攻击或恶意代码，则所述入侵防护模块允许所述通信流量通行；

23、s40：所述安全审计模块对所述通信流量进行安全审计，并将审计数据发送至卫星地面信息系统中的网络安全管理中心或运营中心。

24、在步骤s20中的“所述访问控制模块解析所述通信流量，基于安全策略对所述通信流量进行访问控制”，具体展开包括如下步骤：

25、s201：识别所述通信流量是否为tcp/ip协议流量？

26、s202：如果是，则转至s205；如果否，则识别所述通信流量是否为scps协议流量？

27、s203：如果是，则转至s205；如果否，则判断所述通信流量是否可识别？

28、s204：如果是，则转至s205；如果否，则拦截所述通信流量，转至s206；

29、s205：解析所述通信流量，并基于安全策略进行从数据链路层、网络层、传输层到应用层的全四层访问控制；

30、s206：结束对所述通信流量的访问控制。

31、针对所述通信流量中的每一帧，所述安全监控方法步骤会执行一遍。