虞志剛，馮 旭，趙 晶，陸 洲，吳 巍

(1.中國電子科學研究院，北京 100041;2.中國電子科技集團公司第五十四研究所，石家莊 050000)

0 引 言

隨著空天技術(shù)的迅猛發(fā)展，人類的活動疆域已經(jīng)由陸地拓展到深海、深空，為切實保障遠洋考察、空間探索等領(lǐng)域的通信任務(wù)需求，構(gòu)建以移動通信網(wǎng)和地面互聯(lián)網(wǎng)為依托、空間網(wǎng)絡(luò)為拓展的空、天、地、海一體化網(wǎng)絡(luò)，實現(xiàn)空間網(wǎng)絡(luò)與地面網(wǎng)絡(luò)互聯(lián)互通與深度融合迫在眉睫[1-6]。作為天地一體化網(wǎng)絡(luò)的重要組成部分，空間網(wǎng)絡(luò)具有廣域覆蓋、靈活組網(wǎng)、不受地理環(huán)境限制等優(yōu)點，能夠為資源勘察、災害監(jiān)測、氣象觀察、應(yīng)急通信、軍事應(yīng)用等提供多樣化網(wǎng)絡(luò)通信服務(wù)，必將對經(jīng)濟社會發(fā)展、祖國國防建設(shè)產(chǎn)生深遠而巨大的影響。

1 空間網(wǎng)絡(luò)概述

作為地面網(wǎng)絡(luò)的延伸與拓展，空間網(wǎng)絡(luò)實現(xiàn)不同軌道衛(wèi)星、空間站、飛機等航空航天器之間以及與地面站之間的互聯(lián)互通[7]，將網(wǎng)絡(luò)疆域從近地空間拓展到遠地新空間，從地面二維覆蓋延伸到空間三維新泛在。

1.1 空間網(wǎng)絡(luò)架構(gòu)

空間網(wǎng)絡(luò)主要包括高軌衛(wèi)星(GEO)，中軌衛(wèi)星(MEO)，低軌衛(wèi)星(LEO)，臨近空間(HAP)，空間站、飛機等航天器構(gòu)成的網(wǎng)絡(luò)節(jié)點，以及多樣化的星間、星地通信鏈路，鏈路將網(wǎng)絡(luò)節(jié)點連接在一起，共同構(gòu)成多層次、立體化空間網(wǎng)絡(luò)架構(gòu)，如圖1所示(圖中僅給出部分鏈路，詳細的鏈路列表見表1)。其中，GEO位于距離地面36000 km的地球靜止軌道，星地往返時延為250～280 ms。具有覆蓋面積廣的優(yōu)點，單顆衛(wèi)星可覆蓋全球1/3面積，同時也帶來功率高和傳輸延遲大的問題[8]。但由于GEO不能覆蓋緯度81以外的區(qū)域，因此單純依賴GEO并不能實現(xiàn)真正意義上的全球覆蓋，要實現(xiàn)全球覆蓋必須引入MEO、LEO作為補充。

圖1 空間網(wǎng)絡(luò)架構(gòu)

LEO軌道距地700～2000 km，星地往返時延僅為20～25毫秒。與GEO不同，LEO距離地面較近，對地面設(shè)備的功率要求也相應(yīng)較低，小型化手持終端即可保持與衛(wèi)星的通信連接，這一良好特性使得它很適合構(gòu)建衛(wèi)星寬帶通信網(wǎng)。因此，國外的銥星、OneWeb，國內(nèi)的鴻雁、虹云等衛(wèi)星互聯(lián)網(wǎng)計劃大多采用LEO星座[2,9]。

但單顆LEO覆蓋面積不大，需較多的衛(wèi)星來提供全球覆蓋，通常為幾十甚至上百顆。另外，星間切換也十分頻繁，通常10 min左右一次。介于GEO和LEO之間，MEO運行在距地10000～20000 km高度的圓形軌道，星地往返時延為110～130 ms。與GEO不同，MEO相對地球運動，一般需要十幾顆提供全球覆蓋，每顆衛(wèi)星對于地面的可見時間是1～2 h。

HAP節(jié)點主要包括汽艇、飄空氣球等設(shè)施，位于距離地面10～20 km空域，具有部署成本低、調(diào)配靈活機動的特點，主要用于實現(xiàn)重點、熱點區(qū)域的通信增強。除此之前，空間段還包括預警機、無人機等飛行器[10-11]?？臻g網(wǎng)絡(luò)節(jié)點通過多樣化的星地、星間鏈路連接起來，構(gòu)成完整空間網(wǎng)絡(luò)架構(gòu)。空間網(wǎng)絡(luò)中節(jié)點間互連鏈路通常會采用不同的頻段/波長、調(diào)制編碼格式、數(shù)據(jù)幀格式、傳輸容量速率等，如表1所示。

表1 空間網(wǎng)絡(luò)鏈路類型劃分

注：分類不包括衛(wèi)星測控鏈路且未細分用戶鏈路

1.2 空間網(wǎng)絡(luò)路由

作為空間網(wǎng)絡(luò)研究的核心內(nèi)容，路由技術(shù)負責選擇合適的路徑將信息從源傳送到目的節(jié)點。與地面網(wǎng)絡(luò)不同，進行空間路由協(xié)議設(shè)計時，必須考慮空間網(wǎng)絡(luò)特征：一是網(wǎng)絡(luò)拓撲動態(tài)多變，MEO、LEO、HAP節(jié)點均動態(tài)運動，導致節(jié)點間的通信鏈路亦是間歇連通；二是星上計算存儲能力受限，鑒于空間環(huán)境(如電磁輻射)、衛(wèi)星有效載荷技術(shù)(如載荷重量、功耗限制)的影響，星上計算存儲能力非常受限。

目前，針對空間網(wǎng)絡(luò)的特點，國內(nèi)外研究人員提出了大量路由協(xié)議。例如，針對LEO網(wǎng)絡(luò)拓撲周期性變化的特征，Gounder等人提出快照序列路由協(xié)議SSS[12]，通過將網(wǎng)絡(luò)動態(tài)拓撲精心分割成一系列靜態(tài)拓撲(快照)，再對靜態(tài)拓撲逐一進行路由設(shè)計；針對GEO網(wǎng)絡(luò)拓撲相對固定且?guī)捹Y源寶貴特征，研究人員通過改進OSPF大幅縮短路由收斂時間。

1.3 網(wǎng)絡(luò)安全威脅

空間網(wǎng)絡(luò)處于電磁開放空間，面臨非法接入、竊聽、信息篡改、重放攻擊、病毒感染等多樣化安全威脅。與此同時，空間網(wǎng)絡(luò)路由容易遭受黑洞攻擊、被動攻擊、路由表溢出攻擊、蟲洞攻擊仿冒攻擊、網(wǎng)絡(luò)分割攻擊以及偽造錯誤路由攻擊等多種惡意攻擊[2,10]，這些攻擊可能會帶來路由控制信息泄漏、虛假路由等嚴重后果。因此，研究高效可靠的安全路由協(xié)議成為空間網(wǎng)絡(luò)研究的熱點內(nèi)容。

2 空間網(wǎng)絡(luò)安全路由協(xié)議

針對空間網(wǎng)絡(luò)的安全路由問題，通過參考地面無線網(wǎng)絡(luò)，特別是借鑒與空間網(wǎng)絡(luò)具有一定相似性的無線傳感網(wǎng)，國內(nèi)外研究人員開展了深入廣泛的研究，相關(guān)的安全路由協(xié)議研究成果可以歸納為三類：基于密碼學的安全路由協(xié)議、基于信譽度的安全路由協(xié)議以及以上兩種安全策略的有效結(jié)合，下面將逐一介紹。

2.1 基于密碼學的安全路由協(xié)議

基于密碼學的安全路由技術(shù)主要通過采用密碼技術(shù)對路由控制信息(如路由請求、路由應(yīng)答、路由失效信息)進行簽名、認證和完整性校驗等，保障路由協(xié)議的正常穩(wěn)定工作。在這類方法中，密鑰和證書的分發(fā)與管理是安全策略的前提[9,11]，代表協(xié)議有SMOR、SRP、SLOAR等。

按需路由協(xié)議[12](SMOR)采用基于身份的密碼學方案對路由控制信息實施簽密，可在攻擊發(fā)生前構(gòu)建防范機制，有效應(yīng)對網(wǎng)絡(luò)外部攻擊而產(chǎn)生的各類路由安全問題。按需路由策略是一種反應(yīng)式動態(tài)路由技術(shù)，當且僅當需要發(fā)送數(shù)據(jù)時，才進行路由查找，這樣可以避免復雜的路由表建立、維護和更新過程，減少路由開銷。同時，在路由按需建立過程中，采用“緊約束”與“松約束”相結(jié)合的方法降低路由控制信息擴散范圍，有效減少路由維護開銷。

SMOR協(xié)議采用基于身份的簽密方案不再需要維護公鑰證書，的確可以大大簡化傳統(tǒng)公鑰密碼體制中密鑰管理方面的開銷，較為適合計算和存儲資源受限的空間環(huán)境。但也存在如下幾方面的問題，一是該協(xié)議建立在網(wǎng)絡(luò)節(jié)點數(shù)相對固定的情況下，可靠性與擴展性仍有待完善。二是該協(xié)議為單層LEO網(wǎng)絡(luò)設(shè)計，擴展至多維空間網(wǎng)絡(luò)仍然需考慮不同層次衛(wèi)星之間的管理關(guān)系和信息交互流程等。三是該協(xié)議的簽密方案是基于Diffie-Hellman問題，需要節(jié)點對接收/發(fā)出的路由信息進行復雜的雙線性對運算，對空間節(jié)點計算和存儲能力提出了要求。

同樣基于身份的簽密策略，文獻[13]中提出了一種基于身份簽密的衛(wèi)星網(wǎng)絡(luò)安全路由協(xié)議(SRP)，借鑒無線傳感網(wǎng)絡(luò)AODV協(xié)議進行路由信息的動態(tài)構(gòu)建與維護，通過基于身份的簽密策略來保證網(wǎng)絡(luò)信息在路由過程中的安全，同時為了有效應(yīng)對網(wǎng)絡(luò)內(nèi)部節(jié)點被攻擊之后引起的復雜威脅，SRP采取了動態(tài)隔離機制。即當私鑰生成中心PKG發(fā)現(xiàn)某個原本合法的節(jié)點對其他節(jié)點產(chǎn)生攻擊行為而變得不再可信，PKG就會產(chǎn)生通知消息，加密后廣播給網(wǎng)絡(luò)中其他節(jié)點，接收到的節(jié)點將刪除包含該不可信節(jié)點的路由信息，從而實現(xiàn)對不可信節(jié)點及時隔離，確保網(wǎng)絡(luò)在遭受內(nèi)部攻擊后，通過對相應(yīng)攻擊節(jié)點進行快速隔離，仍然能夠抗毀頑存，提供不間斷網(wǎng)絡(luò)服務(wù)。

文獻[14]針對輔助定位按需路由協(xié)議(LAOR)進行了安全性分析，指出LAOR協(xié)議在設(shè)計中沒有考慮用戶終端身份認證、網(wǎng)絡(luò)節(jié)點實體認證等安全措施，致使路由過程中易遭受黑洞攻擊、假冒、拒絕服務(wù)攻擊、拜占庭攻擊以及路由重放攻擊等，嚴重影響網(wǎng)絡(luò)運行與服務(wù)保障?；谝陨峡紤]，在LAOR協(xié)議基礎(chǔ)上，提出了一種基于身份的密碼體制的安全路由協(xié)議(S-LAOR)，與SMOR類似，通過引入基于身份的密碼體制來對網(wǎng)絡(luò)中的路由控制分組進行加密認證，有效保證路由信息的完整性、機密性，保障路由協(xié)議安全運行。然而，S-LOAR繼承了LOAR的特性，主要為極軌LEO星座設(shè)計，可擴展性還需進一步考慮。

2.2 基于信譽度的安全路由協(xié)議

基于信譽度的安全機制是通過網(wǎng)絡(luò)節(jié)點信譽度的變化，及時判斷節(jié)點的惡意行為，并對有害節(jié)點進行隔離。有效的信任管理機制能夠使網(wǎng)絡(luò)中的節(jié)點進行分布式協(xié)作，檢測節(jié)點的有害行為。將鄰接點量化為一個可信度?？尚哦仁菍?jié)點轉(zhuǎn)發(fā)包、丟棄包和路由發(fā)現(xiàn)等行為的綜合評價指標，大于規(guī)定可信度的節(jié)點可以參與到路由中，其他節(jié)點則排除在參與路由的節(jié)點集之外。這類安全路由協(xié)議主要有SODV、PW、TARP-HL、RELAODV等。

LI等在文獻[15]中首次將基于信譽度的節(jié)點信任機制引入安全路由設(shè)計，提出基于安全機制的動態(tài)路由算法(SODV)。該算法采用靜態(tài)策略與動態(tài)調(diào)配互補的機理，實現(xiàn)路由信息周期性更新與按需實時更新相結(jié)合，從而以較小的計算/存儲開銷實現(xiàn)網(wǎng)絡(luò)路由算法的自適應(yīng)調(diào)整，較好地滿足了星上計算/存儲能力受限的問題。同時，為了有效應(yīng)對針對路由算法的黑洞攻擊、路由表溢出攻擊(DOS攻擊)等，采用分布式信譽度機制為網(wǎng)絡(luò)中每個節(jié)點動態(tài)維護信譽度，在進行路由時盡量經(jīng)由信譽度高節(jié)點進行轉(zhuǎn)發(fā)，將信譽度低于規(guī)定閾值的節(jié)點從網(wǎng)絡(luò)中隔離，有效防范網(wǎng)絡(luò)內(nèi)外部各種攻擊。

然而，研究發(fā)現(xiàn)SODV存在兩個方面的問題：一是該協(xié)議將節(jié)點處理數(shù)據(jù)包和轉(zhuǎn)發(fā)路由包的成功率納入節(jié)點信譽度的評價體系；鑒于空間網(wǎng)絡(luò)流量是不均勻特性，當網(wǎng)絡(luò)負載較高時，信譽度高的節(jié)點將會“吸引”更多負載，成為整個網(wǎng)絡(luò)的熱點，影響網(wǎng)絡(luò)整體性能。二是提出了信譽度的評價機制，但信譽度的評價信息應(yīng)該如何選取時間區(qū)間卻沒有給出方案，特別是惡意節(jié)點經(jīng)過恢復處理之后如何快速入網(wǎng)、信譽度如何評價沒有提出解決措施。

除此之外，文獻[16]中提出一種適用于HAP/LEO網(wǎng)絡(luò)結(jié)構(gòu)的層次式認證路由協(xié)議(TARP-HL)。假設(shè)上層LEO節(jié)點是完全可信的，承擔對下層HAP的證書頒發(fā)、管理等功能。一方面，引入基于橢圓曲線的具有消息恢復特性的輕量級簽名方案[17]對路由控制信息進行簽名、認證和完整性校驗以保證路由協(xié)議的正常工作，具有安全性高，計算開銷較小的特點，可以有效很好的適應(yīng)空間網(wǎng)絡(luò)環(huán)境。另一方面，引入了信譽度評價機制，在網(wǎng)絡(luò)運行過程中根據(jù)鄰居節(jié)點的行為動態(tài)調(diào)整信譽度，對信譽度較低的節(jié)點實施隔離，保證網(wǎng)絡(luò)安全可信。

但TARP-HL也存在一些方面的不足，一是沒有考慮當某些節(jié)點信譽度恢復之后重新入網(wǎng)的問題。二是路由控制信息在傳輸中每一步都要進行加解密工作，無疑會增加路由建立時間給網(wǎng)絡(luò)性能造成損失。三是與傳統(tǒng)采用基于證書的認證和簽密機制類似，需要復雜的證書存儲和管理，難以適應(yīng)空間網(wǎng)絡(luò)計算和存儲能力弱的環(huán)境。

閻冬等在文獻[18]中提出基于信譽度評價與負載感知的距離矢量路由協(xié)議(RELAODV)，在信譽度評價的基礎(chǔ)上，引入負載感知機制，綜合考慮信譽度和負載感知機制的混合型路徑選擇策略，實時根據(jù)網(wǎng)絡(luò)運行態(tài)勢對路由選擇進行動態(tài)調(diào)整。一方面，通過節(jié)點信譽度評價機制，將惡意節(jié)點隔離在網(wǎng)絡(luò)之外；另一方面，通過增加節(jié)點負載感知策略，引導網(wǎng)絡(luò)數(shù)據(jù)流向負載較輕節(jié)點、遠離負載嚴重的節(jié)點，實現(xiàn)基于負載的路由自適應(yīng)調(diào)整；兩種策略有機結(jié)合，實現(xiàn)網(wǎng)絡(luò)安全性與高效性雙重保障。

2.3 基于多策略的安全路由協(xié)議

如上所述，針對空間網(wǎng)絡(luò)的安全路由技術(shù)研究大多采用基于密碼學的策略進行路由控制信息以保證可靠的端到端的信息傳輸，實現(xiàn)網(wǎng)絡(luò)安全路由的主動性防御；或采用基于信譽度的安全評價體制，通過對產(chǎn)生不信任行為的網(wǎng)絡(luò)節(jié)點進行隔離以保證網(wǎng)絡(luò)的持續(xù)穩(wěn)定運行，實現(xiàn)網(wǎng)絡(luò)安全路由的反應(yīng)式防御。目前，一些研究人員提出，可以將以上兩個安全策略結(jié)合一起，形成主動與被動防御聯(lián)動的安全路由協(xié)議，這類安全路由協(xié)議主要有S-ALBR、TSRP等。

張輝年等在文獻[19]中提出一種基于移動Agent的動態(tài)路由協(xié)議(ALBR)，針對LEO網(wǎng)絡(luò)拓撲動態(tài)多變的特點，利用衛(wèi)星上搭載的靜止Agent收集衛(wèi)星位置、鏈路時延等信息用于路由表構(gòu)建；同時利用移動Agent自主遷移，收集路由信息，探測路徑信息，獲取網(wǎng)絡(luò)實時狀態(tài)信息直接形成路由決策支撐，有效保障網(wǎng)絡(luò)安全。在此基礎(chǔ)上，提出一種基于移動Agent的動態(tài)安全路由協(xié)議(S-ALBR)，引入認證技術(shù)實現(xiàn)衛(wèi)星或Agent節(jié)點通信時進行可信認證，引入加密技術(shù)保障路由控制信息的安全傳輸，引入基于信譽度的安全策略將不良衛(wèi)星節(jié)點排除在路由決策范圍之內(nèi)，指引流量遠離不可信節(jié)點。

文獻[20]中提出了一種針對多層衛(wèi)星網(wǎng)絡(luò)的安全路由協(xié)議(TSRP)，通過衛(wèi)星節(jié)點運行拓撲的周期性變化特此，簡化路由設(shè)計復雜度。在節(jié)點安全性方面，通過采用身份驗證體制實現(xiàn)源、目的節(jié)點間的可信互認證，有效抵制DoS攻擊；在傳輸安全性方面，采用數(shù)字加密技術(shù)，并引入簽名、時間戳、路由維護等技術(shù)，實現(xiàn)端到端信息安全可靠傳輸，抵御網(wǎng)絡(luò)中可能存在的重放、自私行為和黑洞等；同時，通過基于信譽度的安全機制對網(wǎng)絡(luò)節(jié)點行為的實時評估和信譽度動態(tài)調(diào)整，實現(xiàn)對非正常節(jié)點的安全隔離。

3 總結(jié)與展望

3.1 對比分析

綜上所述，針對空間網(wǎng)絡(luò)的安全路由問題，通過參考地面無線網(wǎng)絡(luò)，特別是借鑒與空間網(wǎng)絡(luò)具有一定相似性的無線傳感網(wǎng)，國內(nèi)外研究人員已經(jīng)開展了深入廣泛的研究，相關(guān)的安全路由協(xié)議研究成果匯總?cè)绫?所示。

表2 空間網(wǎng)絡(luò)安全路由技術(shù)對比

基于密碼學的安全路由機制，通過對路由控制信息的加密有效防御網(wǎng)絡(luò)攻擊；相對應(yīng)地，針對網(wǎng)絡(luò)內(nèi)部的攻擊行為，基于信譽度的安全路由機制是在網(wǎng)絡(luò)中出現(xiàn)攻擊或者發(fā)生威脅時，通過實時更新節(jié)點的信任度，隔離具有安全威脅的不可信網(wǎng)絡(luò)節(jié)點，保障網(wǎng)絡(luò)整體的安全可信。在此基礎(chǔ)上，基于多策略的安全路由機制對以上兩種策略進行了有機結(jié)合，可以同時對網(wǎng)絡(luò)內(nèi)部、外部攻擊的進行有效抵御。然而，現(xiàn)有的安全路由機制在設(shè)計中還存在一些不足，主要表現(xiàn)為如下三個方面：

(1)適用范圍方面，現(xiàn)有安全路由協(xié)議往往是利用特定網(wǎng)絡(luò)結(jié)構(gòu)的拓撲特性進行設(shè)計，比如SMOR、LAOR等均需要利用極軌星座的拓撲特性，ARP-DSN專為MEO+LEO網(wǎng)絡(luò)設(shè)計，TSRP專為GEO+LEO網(wǎng)絡(luò)設(shè)計，難以直接擴展應(yīng)用到網(wǎng)絡(luò)結(jié)構(gòu)更為豐富的空間網(wǎng)絡(luò)。

(2)路由策略方面，現(xiàn)有安全路由協(xié)議主要是在已有路由協(xié)議的基礎(chǔ)上增加安全機制，比如S-LAOR協(xié)議是在LAOR協(xié)議上的擴展，S-ALBR是ALBR協(xié)議上的擴展，亟需結(jié)合空間網(wǎng)絡(luò)特性，綜合考慮空間網(wǎng)絡(luò)安全與高效路由需求，開展安全機制與路由協(xié)議的一體化設(shè)計。

(3)系統(tǒng)開銷方面，現(xiàn)有安全協(xié)議一方面采用基于身份的密碼學方案代替基于證書的方案，省去了證書的計算存儲開銷[21]，另一方面通過實時更新節(jié)點信譽度的安全策略實現(xiàn)不可信節(jié)點的有效隔離，但這些安全機制對路由協(xié)議性能的影響缺少定量分析。同時，安全協(xié)議的對比沒有結(jié)合空間網(wǎng)絡(luò)計算存儲等實際條件進行綜合考慮。

3.2 發(fā)展趨勢

鑒于空間網(wǎng)絡(luò)拓撲動態(tài)多變、鏈路間歇連通、星上資源受限、空間環(huán)境復雜等典型特征，高效安全路由研究一直頗具挑戰(zhàn)性。目前，雖然國內(nèi)外已經(jīng)提出了一些安全路由協(xié)議，但是標準化的安全路由協(xié)議尚未形成，安全協(xié)議的研究呈現(xiàn)如下主要特征：

(1)安全加密輕量化。作為空間網(wǎng)絡(luò)節(jié)點的主要組成部分，衛(wèi)星、空間站等航天器受空間電磁環(huán)境以及載荷技術(shù)的限制，星上的計算存儲資源相對受限。當前，雖然大平臺技術(shù)快速發(fā)展，但相對于地面商業(yè)計算存儲器件，星上計算存儲能力還相對落后。與此同時，空間環(huán)境下必須嚴格控制功耗。因此，進行安全路由協(xié)議設(shè)計時，必須在充分考慮空間網(wǎng)絡(luò)這一基本特征基礎(chǔ)上，研究設(shè)計輕量級的安全加密機制。

(2)安全策略一體化。空間網(wǎng)絡(luò)處于復雜的電磁輻照環(huán)境，網(wǎng)絡(luò)節(jié)點、鏈路處于開放電磁空間，必須開展一體化的安全策略設(shè)計，路由協(xié)議要能夠同時應(yīng)對網(wǎng)絡(luò)內(nèi)部、外部的各種攻擊，以及空間惡劣電磁環(huán)境可能造成的故障或錯誤，確保空間網(wǎng)絡(luò)在路由遭受攻擊時仍能夠路由快速收斂、信息正常投遞，保障網(wǎng)絡(luò)安全可靠運行。

(3)安全路由通用化。目前的安全路由協(xié)議主要針對特定的衛(wèi)星星座(如LEO、GEO+LEO)設(shè)計，還沒有形成一個可以適用于整個空間信息網(wǎng)絡(luò)的安全路由協(xié)議，亟需抽象空間網(wǎng)絡(luò)立體多層的網(wǎng)絡(luò)結(jié)構(gòu)特征，綜合考慮空間復雜環(huán)境因素基礎(chǔ)上，研究設(shè)計“真正”的空間網(wǎng)絡(luò)路由協(xié)議，從而構(gòu)建面向空間信息網(wǎng)絡(luò)全局安全的路由協(xié)議體系。