随着Starlink、千帆、星网等低轨星座持续建设卫星互联网开始形成覆盖全球的空间网络。星间激光链路承担数据转发任务星载计算平台负责协议处理与业务运行在轨升级系统持续重构卫星能力大量终端通过卫星网络接入天地一体化通信体系。卫星安全研究对象已经覆盖链路、载荷、软件、终端多个层面。对于低轨星座而言安全问题不再局限于通信保密而是直接影响星座组网能力、业务连续性以及卫星控制权限。一、激光星间链路星座内部网络的安全挑战激光星间链路承担星座内部的数据转发和路由交换任务。大量业务流量和控制信令在星间链路上传输链路状态直接影响星座组网效率和网络连通能力。激光终端依赖ATP捕获、跟踪与对准系统完成建链和持续跟踪。ATP工作过程中需要持续接收信标光信号并根据目标位置调整指向控制机构。高功率激光干扰可能导致跟踪传感器饱和链路失去锁定状态伪造信标光信号则可能干扰目标识别过程使终端对准错误方向引发链路重建或建链失败。星间链路同时承担路由信息交换功能。卫星节点一旦被入侵伪造拓扑状态、错误路由信息以及异常控制消息都可能沿星间网络扩散。对于采用多跳转发机制的低轨星座而言异常路由传播会直接影响数据转发路径选择。链路攻防博弈逐步形成针对性制衡逻辑PathWeaver利用动态拓扑和随机路由机制削弱链路泛洪攻击效果CLIF框架融合物理层测量数据和网络层流量特征对链路欺骗和异常路由行为进行检测。二、星载安全检测把威胁发现能力搬上轨道卫星安全长期依赖地面监测体系。星上设备产生遥测数据经星地链路回传后由地面平台分析处置。这种模式适用于设备故障诊断但面对实时入侵攻击天地链路时延会造成明显处置滞后。遥测异常检测姿态控制、电源管理、热控系统和通信载荷持续产生大量遥测数据。异常推力器动作、非预期功耗增长、载荷工作状态突变都可能成为攻击活动的早期迹象。相比固定阈值告警基于行为基线的检测方式更容易发现隐藏在正常业务中的异常活动。轻量化 TinyML 星上 AI检测星载抗辐照算力资源存在硬性限制地面深度学习大模型无法直接在轨部署。行业依托量化压缩、结构裁剪、算子优化三类模型轻量化手段适配星载边缘算力。卫星常态运行低功耗甄别模型完成流量、遥测基础巡检捕捉疑似攻击特征后自主启动深度分析模块溯源研判构成天地协同AI攻防识别链路。主动巡检与攻击诱捕除被动监测研判外主动核验机制成为星载主动防御核心手段。星载巡检区别于地面主机运维巡检聚焦卫星核心业务完整性核验覆盖后台服务、核心配置、全网路由、任务调度、载荷接口全维度校验。针对软件定义卫星可核验FPGA配置、波束调度、通信协议栈底层参数排查潜伏后门、非法篡改行为。星载诱捕服务则隔离于核心业务之外主动吸纳端口扫描、试探接入类攻击流量留存攻击行为特征支撑全网防御规则迭代优化。三、星载平台安全软件定义卫星时代的控制权防护软件定义卫星和可重构载荷的发展使卫星逐步具备在轨升级和功能重构能力。软硬件可远程改写的特性让攻击面从通信链路延伸至卫星底层平台控制权层面。可信启动可信启动是构建卫星安全根基的第一道防线。系统启动过程中Bootloader、操作系统、星载应用程序依次完成数字签名核验保障程序镜像未被篡改、来源可信。新一代星载平台搭载TPM安全芯片、PUF物理不可克隆单元绑定芯片硬件独有身份特征提升密钥窃取、固件仿冒攻击门槛。硬件信任根作为启动信任链源头从硬件底层拦截恶意启动载荷杜绝攻击者开机夺取卫星权限。在轨升级安全在轨升级系统是卫星最重要的远程管理通道之一。升级包在传输、存储和安装过程中都需要进行完整性校验和身份认证。版本控制机制用于防止回滚攻击双分区设计用于避免升级失败导致系统失效。对于星座系统而言升级通道一旦失守攻击影响范围可能覆盖整批卫星。因此升级签名密钥管理、权限控制以及升级审计机制成为安全建设重点。FPGA与软件定义载荷保护FPGA广泛用于星载基带处理、通信协议处理和载荷控制。攻击者无需破坏硬件本身只要篡改配置比特流就可能改变频率规划、波束调度和协议处理逻辑。部分情况下配置文件被修改后的影响甚至超过普通软件漏洞。针对这一问题行业开始采用比特流加密存储、配置完整性验证以及设备绑定机制防止配置文件被非法复制或替换。操作系统安全加固操作系统是星载软件运行基础。目前星载平台普遍采用裁剪化Linux、VxWorks、RTEMS以及其他实时操作系统。安全加固主要围绕服务精简、权限控制、日志审计和进程隔离展开。路由配置、姿轨控接口以及功率控制模块通常属于高敏感资源需要通过强制访问控制机制限制访问权限。同时关键操作日志会在链路窗口期回传地面用于后续审计分析。四、卫星物联网终端安全从设备认证到接入边界攻防卫星物联网正在成为低轨星座的重要业务场景。海上船舶、能源设施、环境监测设备以及大量工业终端持续接入卫星网络。与传统互联网不同这些设备大多长期运行在无人值守环境中设备被拆解、身份被仿冒以及通信数据被篡改的风险更高。安全启动与设备身份认证终端数量增长后首先面临的是身份可信问题。攻击者一旦伪造合法终端身份就可能向卫星网络注入虚假数据甚至消耗有限的星上通信资源。最佳实践要求为每个设备建立身份并在每次连接时进行验证。为解决这一问题卫星物联网开始采用轻量化身份认证和无证书密码机制在降低终端计算负担的同时完成设备身份校验。OTA固件升级与远程完整性验证终端OTA固件更新自带签名校验机制联动终端安全启动链路核验固件合法性升级中断、固件篡改时终端自动回滚可信原生固件避免终端被控失联。星地联动远程完整性核验可定时比对终端固件哈希基线及时捕捉固件篡改、后门植入行为。轻量化加密与长周期通信攻防受制于终端功耗、窄带星地链路限制高开销标准加密算法无法适配终端常态化通信。轻量化加密算法适配终端算力功耗抵御中间人劫持、报文重放、上行篡改接入攻击。结语卫星安全防护重心逐步从地面向轨道转移卫星互联网的安全攻防边界正持续向轨道侧延伸激光星间链路定义整网传输攻防底线星载本地 AI 检测、主动巡检前置拦截在轨威胁硬件信任根、FPGA 比特流管控筑牢卫星底层可信控制权全域终端准入核验守住全网接入关口。低轨巨型星座海量分布式节点、星间多跳转发、软硬件在轨可重构的特性衍生出区别于传统高轨卫星的全新攻击链路。当下卫星安全博弈已从早期地面事后研判、链路单向加密转向星上自主识别、软硬件全链路制衡、天地协同联动攻防的全新格局。未来卫星安全演进将围绕轻量化星上智能研判、硬件原生可信架构、可重构载荷权限管控三大攻防方向推进。