科技日報北京3月12日電(記者張佳星)低軌衛星星座的加速部署催生了“星地融合網絡”,但衛星作為節點向全球開放接入,安全防護難度大。為適應衛星互聯網的安全新局面,清華大學、北京理工大學、盛邦安全等聯合研究團隊成功開發出一種內生主動防禦架構(EADA),相關論文發表於《中國科學:信息科學》。
“近年來多起典型安全事件源自衛星互聯網攻擊,如去年一起重大網絡攻擊導致歐洲航天局超過700G數據洩露。”3月12日,論文第一作者、清華大學網絡科學與網路空間研究院博士權小文告訴科技日報記者,現有防禦方案在星載資源受限、拓撲高頻重構的場景下難以發揮作用。
通過理論建模與對比分析,團隊對傳統科技應用於衛星互聯網的場景進行了類比。“衛星在地球上空運轉,訪問無法設限,傳統網絡依賴設立邊界進行被動防禦的安全架構不適用於星地融合網絡。”權小文解釋,傳統衛星通信模式下,數據沿預先規劃的星地連結傳輸至特定信關站,即衛星通信星地系統的資料中心節點。在以星鏈為代表的衛星互聯網中,海量低軌衛星變為低延遲接入層,其高動態拓撲、全球化運營等特性,使得端到端身份驗證與數據完整性缺乏可證明性。
為解决上述問題,團隊設計了EADA,將跨域身份憑證映射為網路層的安全段標識,只有持有有效密碼憑證的流量才可構建轉發路徑等安全能力,而未獲授權的實體,網路拓撲在邏輯上不可達。由密碼學強制執行的逐包級網路層微隔離,顯著提升了衛星互聯網在共亯物理網絡中的邏輯安全性。
權小文介紹,該研究進行了攻擊類比驗證,結果顯示,EADA在保障跨域邏輯隔離的同時,顯著降低了中間節點劫持與路徑篡改風險,在高併發場景下信令頻寬消耗低於0.02%,僅需佔用星載2.77%的邏輯資源即可實現微秒級高速處理。