文章总结： 清华大学、北京理工大学与盛邦安全联合团队针对卫星互联网传统边界防御失效问题，研发出内生主动防御架构（EADA）。该架构基于IPv6段路由技术扩展，实现密码学与网络架构融合，通过无凭证不路由机制确保逻辑安全。模拟显示，该架构能抵御高强度攻击，显著降低劫持风险，且资源消耗极低，为星地融合网络提供了有效的底层安全解决方案。 综合评分： 88 文章分类： 解决方案,安全建设,网络安全

清华大学、北京理工大学、盛邦安全等联合团队为卫星互联网找到可用安全架构

盛邦安全WebRAY

2026年3月12日 18:31 北京

文章来源：科技日报

低轨卫星星座的加速部署，催生了“星地融合网络”。但卫星作为节点向全球开放接入，大幅增加了网络安全防护的难度。为了构建适配卫星互联网的底层架构，清华大学、北京理工大学、盛邦安全等联合研究团队开发出一种内生主动的防御架构，相关成果发表于《中国科学：信息科学》。

“卫星在地球上空运转，访问无法设限，传统网络依赖设立边界进行被动防御的安全架构不适用于星地融合网络。”3月12日，清华大学网络科学与网络空间研究院研究员、盛邦安全负责人权小文告诉科技日报记者，近年来发生的多起典型安全事件由对卫星互联网的攻击造成，如去年底发生的一次重大网络攻击导致欧洲航天局超过700G数据泄露。卫星互联网已成为网络空间攻防对抗的现场，沿用地面网络的安全架构是否能够为卫星互联网提供防护？为验证这一问题，团队通过理论建模与对比分析，对VPN（搭建虚拟逻辑链路，采用隧道技术、加解密技术和身份认证技术保障通信安全的一种技术）等技术应用于卫星互联网的场景进行模拟，发现现有防御方案在星载资源受限、拓扑高频重构的场景下难以发挥作用。

 论文网站截图

“星座互联网的安全问题不是单点风险的简单叠加，而是贯穿于星座测控、运维管控、融合通信、网络接入和全球合规等多个层面。”权小文解释，传统卫星通信模式下，数据沿预先规划的星地链路传输至特定信关站（卫星通信星地系统的数据中心节点），而在以星链为代表的卫星互联网中，海量低轨卫星变为低延迟接入层。后者的高动态拓扑、全球化运营等特性，使得端到端身份验证与数据完整性缺乏可证明性。

为了解决上述问题，团队设计了内生主动防御架构（EADA）。该架构基于下一代互联网协议IPv6段路由技术（SRv6）进行扩展，将跨域身份凭证映射为网络层的安全段标识（S-SID），实现了密码学与网络架构的深度融合。在这一机制下，只有持有有效密码凭证的流量才可构建转发路径等安全能力，实现“无凭证，不路由”，对于未获授权的实体，网络拓扑在逻辑上不可达。该架构将抽象的安全策略转化为物理网络中强制执行的数据隔离，将身份认证、访问控制与路由转发等关键安全能力融入系统运行的全周期中。由密码学强制执行的逐包级网络层微隔离，显著提升了卫星互联网在共享物理网络中的逻辑安全性。

权小文介绍，研究假定攻击者具备全球信道控制能力和国家级对抗资源，能够攻击边缘卫星或信关站并发起横向渗透，模拟典型低轨星座验证EADA能力。结果显示，EADA在保障跨域逻辑隔离的同时，显著降低了中间节点劫持与路径篡改风险，在高并发场景下信令带宽消耗低于0.02%，仅需占用星载2.77%的逻辑资源即可实现微秒级高速处理。

科技日报记者 张佳星

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：盛邦安全WebRAY 《清华大学、北京理工大学、盛邦安全等联合团队为卫星互联网找到可用安全架构》