星链安全设计理念初探

admin 2023年6月5日16:57:26评论61 views字数 4421阅读14分44秒阅读模式

摘  要

美国 SpaceX 公司的“星链”是目前全球商业化应用最广泛的卫星互联网系统。出于保护商业秘密的原因,SpaceX 极少向外界透露有关“星链”系统的安全设计信息。根据 SpaceX 官方网站发布的少量信息,对“星链”终端和系统的安全设计理念进行了介绍,对应用中面临的挑战和关键技术进行了探讨,并对国内卫星互联网安全设计提出了建议。

内容目录:
1 星链系统概述
2 星链终端的安全设计理念
2.1 星链终端安全事件
2.2 危害性分析
2.3 安全设计思路分析
3 星链系统安全设计理念
3.1 核心思想
3.2 主要安全特性
4 结 语

星链计划(Startlink)是美国太空探索公司(以下简称 SpaceX 公司)建设的卫星互联网系统,该系统计划发射 4.2 万颗卫星,向全球提供宽带卫星互联网服务。截至 2022 年 12 月 19 日,星链已累计发射超过 3 600 颗卫星,覆盖全球 40 多个国家和地区,用户数达到 100 万 。毫无疑问,星链已成为全球卫星互联网行业的标杆,但是在 SpaceX的严格保密下,有关星链安全设计的信息却始终未公开披露。

2022 年 8 月 10 日, 比 利 时 研 究 人 员 在 黑 客大会上公布了一种入侵星链卫星终端的方法 ,此后 SpaceX 发布了《星链欢迎安全研究人员带来BUG》的声明 ,声称个别终端被入侵不会对其他用户和整个系统的安全造成影响,同时首次介绍了星链的安全设计理念。

目前,国内的卫星互联网大多基于 5G 通信体制进行设计,5G 标准的 R17 版本已经包含非地面网络(Non-Terrestrial Networks,NTN)的基本内容 ,但是以 TS 33.501 为代表的 5G 安全标准尚未针对卫星互联网特有的安全问题提供标准化的建议,安全设计工作缺乏标准和成熟经验的指导,因此星链的安全设计理念对卫星互联网安全从业者具有重要的参考价值。

星链系统概述

根据 SpaceX 公司官方资料和相关信息,星链系统架构如图 1 所示 。

星链安全设计理念初探

图 1 星链系统架构

系统由卫星终端、卫星星座、信关站、运行控制和运营支撑系统以及互联网接入点共同组成。用户上网时,手机、笔记本电脑等用户终端通过 Wi-Fi或网线连接卫星终端,并通过卫星星座、信关站和互联网接入点访问地面互联网应用。运行控制和运营支撑系统负责卫星控制、网络控制和运营服务。

从网络安全视角看,攻击者可以从卫星终端、卫星、信关站、运行控制和运营支撑系统等多方位对星链系统实施攻击,同时还可以从供应链实施攻击,系统面临严峻的安全形势。

星链终端的安全设计理念

2.1 星链终端安全事件

在美国拉斯维加斯举行的 2022“黑帽(Black Hat)” 安 全 会 议 上, 来 自 比 利 时 鲁 汶 大 学 的Lennert Wouters 发布了题为《由地球人类制造的故障:SpaceX 星链用户终端的黑盒安全评估》的演讲,揭示了一种通过硬件方式控制星链卫星终端的方法 

Wouters 采用了一个成本为 25 欧元的树莓派开发板制作了一个能够执行电压故障注入的定制硬件 modchip,在终端系统级芯片(System-on-Chip,SoC)的第一级引导程序(BL1)运行的某个时机进行电压故障注入,破坏了 SoC 内部指令执行,使得研究人员可以执行任意的程序代码,进而获得了终端控制器。用于破解的定制硬件 modchip 如图 2 所示,破解后的终端界面如图 3 所示。

星链安全设计理念初探

图 2 电压注入工具

星链安全设计理念初探

图 3 破解后的终端登录界面

2.2 危害性分析

从技术原理看,对终端入侵造成的直接危害是有限的,但间接影响可能难以估计。一方面,这种攻击方式必须接触到终端硬件才能实施,具有一定局限性,无法通过网络对大量终端进行大规模破坏。同时,攻击者虽然可以进入终端系统,但难以直接对整个网络和其他用户造成危害。另一方面,攻击者在控制终端之后,可以更加细致地观察研究终端与网络之间的信号和通信数据,为挖掘新的漏洞建立了基础,后续可能提炼出扩大攻击范围的方法。

2.3 安全设计思路分析

这个安全事件揭示出星链终端的部分设计理念。首先,星链终端遵循了可信计算的设计思想,采用密码技术对软件的各个组成部分进行逐级验证,形成了完整的软件信任链条;其次,设计者采取了权限最小化的设计思路,屏蔽了非必要的端口功能和开发人员登录功能,减小了攻击面。以上措施对研究人员的破解工作带来了很大困难。

与传统的专用卫星通信系统不同,卫星互联网要面向全球用户提供服务,卫星终端要面向社会公众进行销售,同时需要在世界各地的各种场合下使用,所以终端遭受接触式攻击的可能性很大,星链终端安全事件为业界敲响了警钟。

星链系统安全设计理念

3.1 核心思想

星链系统设计理念的核心是:对于任何大型复杂系统,尤其是提供大规模网络连接的系统,必须有多层防御,以限制单个漏洞的总体影响。这种纵深防御意味着,如果某一层受到破坏,那么其背后还有其他层可以缓解和限制问题。

星链系统设计中体现了面对不可控环境的体系化纵深防御设计思想。SpaceX 认为,卫星终端的安全不可控,非常容易遭受攻击者的持续分析和破坏,无论采用什么技术措施都无法彻底阻止攻击者最终取得卫星终端的控制权,因此设计者唯一能做的是通过添加额外的纵深防御层来构建一个安全系统,保护网络和系统中其他用户不受到单一设备被非法入侵的影响。基于同样的考虑,星链卫星也采取了同样的安全保护措施。

3.2 主要安全特性

SpaceX 认为,为了提供上述额外的保护层,星链系统必须具备如下的一些安全特性。

3.2.1 安全启动

在星链系统的终端和卫星中都应用了安全启动技术。安全启动是在设备启动时采用密码技术对软件系统进行真实性和完整性验证。安全启动的作用主要包括:检测软件是否意外损坏;使攻击者难以长期维持对设备的攻击(因为硬件重启后又会重新加载可信的软件);防止攻击者非法篡改软件,尤其是防止攻击者通过网络对大量设备进行非法控制。

安全启动作为可信计算理论的典型应用已经广为业界公知。在 GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》中,已经提出了“可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证”的要求 。目前,基于可信密码模块的安全启动技术在国产计算机和服务器中已有一定规模的应用,形成了相对成熟的应用模式。但是由于受到实施成本和技术架构的限制,在嵌入式设备中的应用还不广泛,其应用方式也不统一,需要根据设备的具体情况进行定制化设计。

由于卫星终端和卫星处于复杂不可控的运行环境中,可能面临各种威胁,因此合理有效地应用安全启动和可信计算技术显得尤为重要。

3.2.2 软件更新

由于软件的缺陷难以避免,并且新的攻击手段不断涌现,因此软件持续更新是抵御新型攻击的一种非常有效的安全措施。通过软件更新可以快速修补漏洞,增添新的安全功能,实现系统安全能力的不断提升和演进。SpaceX 表示,星链系统能够快速迭代,大约每周对超过 100 万台 Linux 设备进行软件更新。

与应用在地面环境的计算机、手机、车联网等领域的软件更新技术相比,卫星互联网具有设备类型繁多、数量巨大、分布范围极其广泛、网络连接状况快速变化等特点,对软件更新的安全性、可靠性、可用性提出了新的挑战。

3.2.3 身份管理

可信的身份是卫星互联网安全的基础,因此身份管理是安全设计的重要环节。SpaceX 认为,网络中的每个设备需要具备唯一的可信的身份标识,该标识需要具有抗伪造、抗复制和易撤销的特性。在星链设备中,通过采用公钥密码、数字签名证书和基于硬件的密钥安全存储等技术保障身份安全。

星链在身份管理方面的理念并无创新之处,但是在具体实施中由于卫星互联网系统具有部分设备资源受限、网络拓扑动态变化等特点,导致互联网领域成熟的身份管理技术不能完全满足卫星互联网的身份管理需求,需要解决资源受限环境下无法支持公钥密码算法、传统身份管理机制效率低以及多种身份统一管理等问题。

3.2.4 权限最小化

星链的一个设计目标是为系统的每个部分提供完成工作所需的最小权限集,如果任何部分受到损害,它只能在最小范围内造成影响。基于这一考虑,星链设计了系统各部分之间的网络交互,以限制参与者的权限,主要的限制措施包括:

(1)对卫星权限的限制:卫星只能看到加密后的用户流量;卫星只能下载自身的更新软件,但卫星没有权限下载用户终端的更新软件;Starlink用户终端精确地知道自己的位置,但卫星只需要知道用户所在的小区,而不知道用户的精确位置。

(2)对用户终端权限的限制:一个用户终端可以请求修改自己的网络路径,但这不影响其他终端的网络路径;一个用户终端在与中心服务交互的过程中,无法通过系统与其他终端进行交互,避免一个终端获得攻击另外一个终端的特权地位。

权限最小化设计体现了星链更深层次的安全设计思想:

(1)体现出星链设计者具有强烈的实战意识。他们充分认识到系统某些组成部分存在不可控风险的客观现实,预先通过权限最小化设计,缩小危害的范围,确保系统整体正常运行。

(2)体现出星链设计者对用户隐私和数据安全的重视。SpaceX 公司作为运营商,需要遵循个人隐私保护的法规,避免用户信息泄露对公司造成不利影响。从卫星只能看到加密用户流量可以推断星链系统对用户数据采用了端到端的加密保护措施,可以有效防止用户信息在传输中间环节被非法窃取或篡改。

4

   语

从现有公开信息看,星链的安全设计遵循了现代网络安全设计的通用理念,虽然没有颠覆性创新,但是体现出设计者对卫星互联网安全的深刻理解和对网络安全技术的合理运用。

当前,国内卫星互联网产业正处于发展初期,卫星互联网的安全设计可以借鉴星链的安全设计理念,从保障太空关键信息基础设施安全的战略高度出发,充分考虑系统中不可控因素,以超越合规性要求的视野,从实战对抗的角度进行体系化设计。

本文在研究星链公开资料的基础上,结合卫星互联网的技术特征对星链的安全设计理念进行了介绍和解读,揭示了理念背后的设计思路,并从实际应用的角度对可能面临的问题或需要解决的关键技术进行了讨论,对卫星互联网安全设计具有一定参考价值。

引用格式:王亮 , 毕敏 , 石元兵 .“星链”安全设计理念初探 [J]. 通信技术 ,2023,56(1):105-109.

作者简介 >>>

王  亮,男,学士,工程师,主要研究方向为通信安全和物联网安全;

毕  敏, 女, 硕 士, 高级工程师,主要研究方向为通信安全;

石元兵, 男, 硕 士, 高级工程师,主要研究方向为网络信息安全。

选自《通信技术》2023年第1期(为便于排版,已省去原文参考文献)
星链安全设计理念初探


商务合作 | 开白转载 | 媒体交流 | 理事服务 

请联系:15710013727(微信同号)

《信息安全与通信保密》杂志投稿

联系电话:13391516229(微信同号)

邮箱:[email protected]   

《通信技术》杂志投稿

联系电话:15198220331(微信同号)

邮箱:[email protected]

原文始发于微信公众号(信息安全与通信保密杂志社):“星链”安全设计理念初探

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月5日16:57:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   星链安全设计理念初探https://cn-sec.com/archives/1744990.html

发表评论

匿名网友 填写信息