基于PEP-IPSec实现卫星IP网的网络安全摘要：进一步发展Internet业务需要增大带宽并且要有移动性，因此IP网与卫星网结合成了热门话题。卫星通信中，其天然的广播特性以及全球无所不在的覆盖能力和IP网本身固有的很多安全隐患，使其安全问题尤显突出，在卫星IP网的性能增强型网关PEP中应用IPSec，从而构成PEP??IPSec，这样一方面提高了TCP／IP在卫星IP网上的性能；另一方面也极大地增强了卫星IP网的网络安全。??关键词：卫星IP网；TCP/IP协议；网络安全；PEP-IPSec：TP393．08文献标志码：A：1001－3695(2007)08－0132－05由于TCP/IP协议的广泛使用，利用TCP/IP协议进行数据传输逐渐成为网络应用的主流。Internet在全球的急剧膨胀导致传输带宽资源紧缺，这成为限制其发展的主要因素。业务应用一方面要求增大接入带宽；另一方面对移动Internet的需求越来越大。由于卫星通信有覆盖面广、组网灵活、建网快、不受地理环境限制等优点，卫星通信不仅是地面通信的有益补充，而且已成为信息基础设施建设的一个重要组成部分。无论是在民用还是军用，宽带卫星网络都具有良好的发展前景，同时卫星通信也将是无线Internet接入的重要手段。目前，利用卫星进行TCP/IP数据传输（卫星IP网络）已经引起人们广泛的重视。建设新一代安全、高效的因特网，除了进一步提高地面网络的传输能力和健壮性外，还必须有强大的空中因特网的支持和补充。随着Internet的大规模展开，其安全问题也逐渐显现出来，特别是在卫星通信中其天然的广播特性以及全球无所不在的覆盖能力，使其安全问题尤显突出。??1卫星IP网的网络结构??Internet接入和企业内部网的发展是推动宽带卫星业务迅速发展的主要因素。卫星数字电视直播、交互式远程教育以及分组数据传输、专用网络通信和移动通信的应用均已取得不同程度的成功。未来的宽带卫星通信系统将具有星上处理和交换能力、灵活的用户终端和支持标准的协议和接入方案，并且与地面系统互连。典型的宽带卫星通信系统应具有的网络实体包括用户终端（UT）、卫星适配单元（SAU）、有效负载（EP）、网关地球站（CWS）和网络控制中心（NCC）。目前有两种加速互联网传输的卫星解决方案：一种是利用宽带卫星的双向传输，例如，Teledesic系统可以给用户提供16kbps～2.048Mbps的传输速率；另一种是利用卫星的高速下载和地面反馈的外交互方式。这种方式是基于当前互联网信息流量的非对称性提出的。在人们经常涉及的互联网业务中，接收的数据量远远大于发送的数据量，如Web网页浏览。在传统的交互式卫星通信技术中，信息的往返传输均在同一种物理链路上实现，而外交互方式采用卫星链路作为下行数据链路，将其他通信网络如电话拨号、xDSL、局域网等作为上行数据链路，从而降低了整个系统的成本。??2卫星IP网的网络安全问题??在传统有线网络中，传输介质是较安全的，对网络的接入控制比较容易；而一旦无线接入引入网络中，只要在无线电波所能覆盖的范围内配备适当的接收装置，通信就对任何人都是开放的，很容易遭受各种各样的网络攻击，从被动的信息偷听到主动对信息进行窜改和发送一些恶意的信息。更糟的是，目前还没有任何手段得知所发出的信息是否被侦听或截取。例如，非授权的攻击者改变信息的目的地址或者信息的实际内容，使信息发送到其他地方或者使接收者得到虚假的信息，还有的冒充网络运行控制中心配置空中卫星，控制卫星的运行，甚至可以在卫星上放置特洛伊木马程序，利用被控制的卫星窃取、删除、修改信息或插入错误信息等[1]。利用传统网络中的一些安全机制，包括访问控制、信息加密、鉴别交换和安全审计等能够有效地解决卫星网络中的部分网络安全问题。但考虑到卫星网的自身特点，特别是在具有很大安全隐患的无线广播环境下，必须提出一些新的安全机制来加强卫星网的网络安全。在地面无线通信尤其是在无线局域网中，IEEE802．11工作组在无线数据链路层已做了大量的工作，提出了三种基本的安全接入AP（accesspoint）的措施，包括服务区别号（SSID）、MAC地址过滤控制（MACACLs）和有线等价保密机制（WEP）。然而，许多研究小组对目前的一些无线链路层设计的安全分析是令人失望的，在...