基于可延展带宽分配的卫星网络高可用性方案

张 尧，郑志明，张 筱

(北京航空航天大学 数学、信息与行为教育部重点实验室 数学与系统科学学院，北京 100191)

基于可延展带宽分配的卫星网络高可用性方案

张 尧，郑志明，张 筱

(北京航空航天大学 数学、信息与行为教育部重点实验室 数学与系统科学学院，北京 100191)

随着IPTV等网络服务的蓬勃发展，以及地面互联网的接入与融合，针对空间信息网络的资源规划势在必行。同时，为了有效抵抗分布式拒绝服务(DDoS)攻击，可用性设计成为卫星正常运转的重要前提。提出了基于网络带宽资源分配的DDoS攻击防御体系，建立了有效的卫星网络拓扑结构模型，并引入了路由状态数据包的概念，设计了相应的卫星网络路由协议。在此基础上，阐述了具有延展性的网络带宽分配机理及其实现方式。根据安全性分析与实验评估结果，提出方案可在有效防范敌手攻击的同时，保障带宽资源的可延展分配，同时方案具备良好的实现性能。

IPTV；卫星网络；带宽分配；分布式拒绝服务攻击；高可用性方案

随着互联网的繁荣，IPTV、视频会议、内容分发等网络应用蓬勃发展。与此同时，作为多网融合的重要组成部分，空间信息网络已成为大型互联网公司的研究热点[1-2]。利用多颗卫星进行全球覆盖，可以保证实时接入互联网，可靠地使用高清IPTV图像传输、高速内容分发等多种网络功能[3-4]。美国太空探索技术公司(SpaceX)已于2015年6月正式提出建设太空互联网的申请，拟通过近4 000颗小型卫星组网从太空向全球传送高速互联网信号；韩国三星公司也在2015年8月提出了太空互联网计划，欲打造由4 600颗卫星构成的民用太空互联网。互联网向空间的延伸以及空间信息的实时应用将成为航天与信息产业融合发展的主要趋势，而卫星网络的高可用性运营是该系统能否成功的关键因素。

保障网络可用性的一项重要技术途径是对带宽进行合理化分配，如传统TCP/IP网络中的带宽预留协议RSVP[5]与QoS协议IntServ[6]。但是上述带宽分配协议并非针对卫星网络设计，网络环境的差异性导致了原有协议的不兼容性；另一方面，支撑带宽分配功能的底层路由协议应考虑卫星网络拓扑结构本身的动态特性，已有的路由方案往往仅考虑了卫星网络的路由建立过程[7]，而设计面向带宽分配功能的一体化卫星网络路由方案，仍是一项亟待解决的研究课题。

在网络安全层面，分布式拒绝服务(DDoS)攻击，如洪泛攻击[8]，对网络的可用性构成了巨大威胁——卫星网络接入的远程化，也有利于分布在互联网各地的僵尸主机策动大规模DDoS攻击。已有的网络带宽分配协议RSVP与IntServ本质上运用了基于网络数据流的均分策略，意味着在有O(n)个收发方的通信场景下，每个人的带宽分配量仅为O(1/n2)，这说明正常用户的带宽分配并不具有延展性。特别地，在考虑存在百万量级受控僵尸主机的攻击场景时，用户的有效接入带宽将进一步遭受严重的制约。因此，带宽分配方案的设计应满足对DDoS攻击的稳固性。

本文提出一种基于可延展带宽分配的卫星网络高可用性方案。方案首先对卫星通信和卫星链路的机理进行总结，从而建立适用于卫星网络的拓扑结构模型。在此基础上，引入了路由状态数据包的概念，并设计了面向带宽分配功能的卫星网络路由协议。随后，给出了用户带宽接入申请的过程及其实现方式。最后对方案在安全性上进行了分析，并对方案的DDoS防御效果进行了评估。

1 卫星通信与链路

首先对卫星通信与卫星链路的概念进行描述。卫星通信，即通过人造卫星进行中转的、涉及两个及多个地球站之间的无线信号通信。地球站设置在地表面，也是地面互联网接入的常规入口。根据通信卫星距离地面的高度，通常将通信卫星分为以下3类[9]：1)低地球轨道(LEO)卫星；2)中地球轨道(MEO)卫星；3)地球静止轨道(GEO)卫星。

卫星链路由星间链路与星地链路构成。其中：1)星间链路(ISL)可进一步分为轨道内星间链路(Intra-ISL)和轨道间星间链路(Inter-ISL)[10]。轨道内星间链路即为同一卫星轨道平面上，邻近卫星之间建立的通信链路。由于轨道内卫星之间的位置保持相对不变，因而该类链路中卫星的天线方向是恒定的；轨道间星间链路是在属于邻近轨道的卫星之间建立的通信链路。此时卫星之间相对位置、方位角是时变的，这使得在卫星之间临时建立轨道间星间链路，并会在网络拓扑结构变化时进行重构。2)星地链路即为上/下行链路(UDL)，通常包括地球站-卫星链路(又称上行链路)和卫星-地球站链路(又称下行链路)两个部分。一个典型卫星通信网络的示意图如图1所示。

图1 卫星通信网络示意图

2 拓扑结构和网络路由

根据上节中关于卫星通信及链路的刻画，对空间网络的拓扑结构进行如图2的抽象。由图2所示，网络由3个轨道平面构成(不失一般性地，在图2中将MEO层和LEO层进行了合并简化)，地面IP用户群通过地面站E2接入空间网络，通过一系列卫星网络的数据传输，到达目标地面站E3，进而与目标用户所在的IP群进行会话。图2中给出的通信示例均经过了GEO轨道，即包含了一次或多次Inter-ISL链路。此外，地面用户的通信也可以直接通过同轨道的卫星进行Intra-ISL链路连接，如地面站E1和E2中的用户可以通过MEO/LEO层卫星的轨内星间链路进行连接，从而省去通过上层轨道GEO的连接过程。

图2 空间信息网络拓扑图

卫星网络拓扑结构不断变化导致了网络路由的动态性。为了实现有效的路径建立机制，借鉴下一代互联网络架构SCION的思想[11-12]，引入半路径路由状态的概念。将GEO层到地面站之间的每个链路路由记作一条半路径(Half Path)，所有的半路径通过顶层GEO卫星统一管理并周期性更新。具体来说，从GEO层到达地面站之间可存在经过MEO-LEO到达地面站、经过LEO层到达地面站、直达地面站3种情形。这样，GEO层卫星可以初始化从自身到达地面站的一条或多条路由(实际情况中，路由线路是固定的，从而路由的初始化过程具有确定性)。在路由建立的过程中，GEO传递一个包含自身路由信息的Beacon数据包给路径上的下一跳成员(如MEO卫星为例)，然后MEO卫星进行Beacon数据包的更新，更新后的路由数据包将继续传递给后续的路径成员。具体来讲，在Beacon数据包更新的时候，第i个路径节点在数据包中添加数据接收接口信息Ingressi与发送接口信息Egressi、轨道间链路的存活时限Ti，并添加一个由短消息验证码(MAC)生成的路由令牌Ri

R0=∅

(1)

(2)

式中：ki为路径上第i个节点的私钥。此外，途经每个卫星在Beacon包中添加用于自身连接的Intra-ISL信息及其存活时限，需要说明的是，在Beacon数据包未到达地面站之前，途经每个卫星对数据包的更新均需附带该颗卫星的数字签名，从而地面站可以通过卫星的公钥认证所接收路由的真实性。

通过周期性地利用Beacon包对星际路由进行更新，地面站可以获取多个到达GEO卫星的半路径，即一系列生成的路由令牌。在接收到路由信息后，地面站存储该路由，并实时返回一个带有该半路径的通信信号，完成在GEO卫星的路径注册操作。GEO轨道卫星将在链路存活期限内，存储已注册的半路径。尽管各星间链路生存时间不同——如LEO卫星可见时间通常仅为十几分钟，MEO卫星可见时间为几个小时，但根据路由数据包中的路由存活时间，地面站以及下属的用户群便可以有效地使用更为可靠的半路径，如使用最新更新得到的路由。

在后续发送通信数据包时，地面站用户将在数据包中嵌入选定的(除去卫星签名后的)半路径，以及该半路径中各个Ri的输入信息。接收到数据包的各个卫星将对携带路由信息的数据包进行验证(即通过轻量级的MAC计算，验证相应路由令牌Ri的正确性)。对于验证成功的数据包，卫星将直接传递给下一跳卫星，而验证失败的数据包将被丢弃。因此，卫星之间的路由转发将基于携带动态路由状态的数据包完成，而无需本地存储大量路由表，同时避免了由网络拓扑变化引起的路由表失效问题。

本方案中用户的端到端通信采用合并两条半路径的方式实现。在图2中，如果来自E2的用户希望和处于E3的另一用户进行通信，这时候，地面站E2向对应的GEO卫星G1发送请求，询问一条连接高轨卫星与E3的半路径。在本方案中，GEO轨道卫星之间将实时同步半路径信息，此时G1从G3处获取一条可连接至E3的有效半路径，并将该路径返回给E2。E2中用户通过合并自身到高轨卫星G1以及高轨卫星G3到E3的两条半路径，实现了与E3中用户的通信会话，该会话经过2跳上行的Inter-ISL链路和2跳下行的Inter-ISL链路，以及连接G1与G3的Intra-ISL高轨链路的全路径(Full Path)完成。需要强调的是，由于半路径路由信息中包含了可选轨道内星间链路信息，从而在合并全路径的时候，如果目的地对应的半路径只存在与高轨卫星的连接方式，则直接采用高轨卫星链路；若存在高轨卫星以下的轨道内星间链路，数据发送方可优先采用中/低轨路由的交互模式进行连接(如图2中地面站E1与E2之间的连接情形)。当然路径选择可进一步考虑通信质量、连接时延等因素，对全路径的路由决策进行优化。

3 用户带宽接入申请

根据上文提及的路由建立过程，空间信息系统中的地面站掌握了自身与另一地面站之间的全路径路由信息。此时，地面站的每一个IP用户均可以实现与目标地面站对应IP用户的访问。然而，当存在恶意抢占带宽，或大规模僵尸网络对链路进行洪泛时，上述设计无法有效地保护空间网络资源的可用性。因此提出具有延展性的用户带宽申请方法，以保证卫星资源的合理利用。

DDoS统一管理平台需要与总部骨干网流量流向分析系统、总部骨干网流量清洗系统、集总部骨干运维系统、总部业务支撑系统、省分 DDoS 监测系统、批发转零售客户自有系统配合，共同完成设定的各类防护策略。

具体来讲，每个从地面站接入的用户需要在原本的全路径路由(对应于路由令牌Ri)上进行带宽的申请。带宽申请数据包包含用户所需带宽量bwreq，带宽分配的有效时间treq，发送者所在地面站标识符EID，以及用户数据流标识符FlowID。其中，treq不超过申请时原全路径中各路由的最低存活时间。在申请的过程中，卫星根据接收到的带宽申请包中的地面站标识符，通过下述两个步骤，对带宽申请实施准入控制：

1)粗粒度检测：途经各卫星在本地实时更新一个带宽状态表。如图3所示，带宽状态表的阴影部分为各时间间隔内的已用带宽。由于本方案中所有分配的带宽都是即时生效，因此下一时间段t+1的可用带宽不少于当前时段t，通过核对当前时段的本地带宽状态，各卫星确定实时可用带宽总量。通过快速比较可用带宽总量与用户所需带宽量bwreq，途经卫星可以确定bwreq是否合法，若bwreq超过目前的可使用量，该申请包将被丢弃。

图3 多时间(N个)窗口下卫星本地带宽状态表

2)细粒度检测：途经卫星对于每个接入用户所在地面站，根据其申请能力计算该地面站带宽分配的上界。这一上界可通过对星上的总分配带宽进行基于地面站的均分得到。当然，可以考虑进一步利用各地面站的历史带宽接入量以及地面站用户的活跃程度，对总带宽进行基于地面站申请能力的加权分配。每个途经卫星将同时更新一个分配流量表，存储已分配成功的有效数据流。这样，通过核对分配流量表，卫星可获取某一地面站的已使用带宽总量。此时，如果用户新的接入带宽请求使得该地面站的已使用带宽超过其分配上限，用户的带宽请求将被拒绝；否则，带宽申请通过卫星的准入控制。

对于通过准入控制的带宽申请，途经卫星将暂时性地为该用户分配带宽bwreq。与此同时，发送者所在地面站与每个途经卫星将生成新的全路径路由，并依次嵌入带宽申请包中，在第i个路径节点处，新的带宽路由令牌BRi的计算方式如下

(2)

其中：ki是路径上第i个节点的私钥。当带宽请求数据包到达目标地面站后，如果发送者IP地址没有因为恶意流量被列入通信黑名单中，则目标地面站沿原路径返回一个数据指令，该指令包含新生成的、具有带宽使用权限的全路径，在该数据指令的引导下，所有途经卫星正式分配带宽给申请用户；否则超过一个往返传输时间(RTT)的时间间隔后，所有途经卫星将因没有收到数据指令，收回被暂时分配的带宽。这样，可以最大程度地减少分配过程中带宽的无效占用[12-13]。

随后，利用新生成的带宽路由令牌，发送者便可以使用受保护的分配带宽。由于星际路由的时限较短，用户申请得到的带宽也只会在短期内有效。但这有利于卫星上资源的灵活管理，带宽申请与使用也具备了良好的弹性：一方面，带宽申请只在需要的时候才进行，不会出现空闲情形，其他用户的后续申请可得到被释放的带宽；另一方面，对于需要维持带宽使用的用户，也能通过继续申请以实现带宽的续延操作。此外，地面站可采用IP地址统计复用的方式，保证用户带宽申请的公平性。

4 安全性分析

不难发现，原始全路径路由的数据传输等效于传统IP网络中的“尽力服务”数传模式。区别于“尽力服务”模式，为每个用户分配的带宽构成了优先通过卫星链路的受保护连接，保障了数据的可达性和整个链路的可用性。在考虑多个IP源的分布式拒绝服务攻击时，无论攻击是通过“尽力服务”或被分配的带宽进行，洪泛均无法淹没卫星/地面站的全部带宽。对于DDoS攻击，本方案的最重要优势在于使用地面站层面的均分策略，将合法用户的带宽接入能力与僵尸网络的规模独立开来，在本质上实现了带宽分配的可延展性。假设在图2中E1与E3之间用户的通信为正常会话，而E2存在大规模的DDoS攻击源。根据带宽分配方案，E2中无论存在多少恶意IP源，它们所能获取的链路带宽是存在上限的(不超过E2的带宽获取上限)。这样，尽管面临大规模攻击时，E1的通信会受到一定干扰，但在E1申请并获取连接E3的全路径带宽后，DDoS攻击的影响会大大缓解，从而保障了网络通信的高可用性。

此外，考虑IP地址欺骗攻击。由于方案中的路径采用短消息验证码的方式进行逐跳验证，攻击者即使对IP地址进行篡改，但却无法伪造用于星际传输的(全/半)路径，即一系列通过密码函数生成的路由令牌。这样，欺骗攻击的数据包会在经过第一个Inter-ISL链路的卫星时被丢弃，从而确保了方案对欺骗攻击的免疫性。

5 方案评估

表1 各项操作的具体运行时间

协议步骤平均用时/μs最短用时/μs最长用时/μs带宽分配6838158路由令牌验证7242半路径注册27668发送端处理6141105接收端处理8059116

表1说明即便在没有进行优化的实现情况下，途经卫星(运行条件等同于低配置PC)平均每秒仍可以完成15 000次带宽分配操作。对于正常的数据包转发，每个卫星平均每秒钟可验证约143 000个数据包。半路径路由的注册也非常高效，GEO卫星平均每秒可完成37 000个半路径的注册。同时，对于需要进行带宽分配的数据包发送/接收端，运行本方案也没有带来明显的时间成本。

进一步通过仿真实验验证带宽分配方案对于DDoS攻击的防御效果。这里假设在没有带宽分配的情况下，整条链路带宽均为“尽力服务”模式带宽，且可供分配的带宽总量不超过链路容量的60%。在实验中，来自某一地面站的IP用户群在没有申请带宽的情况下，在经过既定GEO卫星的全路径上进行数据传送。数传进行1 s后，来自其他50个地面站的僵尸网络发起DDoS攻击，向同一目标地面站发送大量数据流(这里假设攻击者占据受感染地面站的绝大部分上行带宽)。在发现攻击后，发送者启动带宽分配模式，并使用新的带宽路由令牌传输数据。

图4给出了上述攻击情形下，发送者地面站的实际带宽相之于初始传输速率的比重随时间变化的情况。如图4所示，发送者在第4 s启动带宽分配模式，随后2 s内受攻击地面站连接拥堵的状况得到了缓解，传输状态恢复至初始状态的60%。在后续通信过程中，攻击对发送者数据传输的影响可以忽略不计。

图4 单颗GEO卫星中转情形下受攻击地面站的连接恢复时间

为了排除网络拓扑结构对实验结果的影响，进一步考虑包含5颗GEO卫星的数传情形(攻击者设置相同)，即数据包在GEO平面经过多至4次轨道内星间链路时，受攻击地面站连接的恢复时长。如图5所示，在不同GEO卫星跳数的情况下，连接恢复曲线非常相近。整体而言，随着跳数的增加，恢复时间并没有出现明显的变化。上述仿真实验结果说明本文方案对于DDoS攻击具有良好的稳固性。

图5 多颗GEO卫星中转情形下受攻击地面站的连接恢复时间

6 结论

本文研究如何通过可延展的带宽分配保证卫星网络的高可用性。提出了由GEO卫星引导的、通过路由状态数据包进行的新型卫星网络路由机制，并设计了面向带宽分配功能的路由协议。进而，提出了基于地面站层面的用户带宽申请与分配方案，将合法用户的带宽申请能力与僵尸网络的规模相独立，实现了可延展的带宽分配。实验结果表明本方案具有良好的实现性能，并可以有效地防御DDoS洪泛攻击。这一工作将为卫星网络的可用性设计提供具有实践意义的参考，同时为实施高质量卫星网络服务(如IPTV)提供了解决方案。

[1] 张乃通，张中兆，李英涛.卫星移动通信原理及应用[M].北京：国防工业出版社，2000.

[2] 谷深远，黄国策. IP/ATM移动卫星网络[M].北京：电子工业出版社，2003.

[3] 廖晶晶.影响IPTV图像传输质量的关键技术分析及应用[J].电视技术，2011，35(24)：48-50.

[4] 张超，李锦文，高鹏，等.基于卫星分发链路的地面数字电视单频网关键技术及其应用[J].电视技术，2015，39(16)：87-91.

[5] ZHANG L，BERSON S，HERZOG S，et al. Resource reservation protocol (rsvp)-version 1 functional specification[R].[S.l.]：RFC 2205，1997.

[6] WROCLAWSKI J. The use of rsvp with ietf integrated services[R].[S.l.]：RFC 2210，1997.

[7] 袁天，梁俊.基于遗传算法的卫星MPLS网络路由协议研究[J].信息工程大学学报，2013，14(5)：548-551.

[8] 陈虎，彭艳兵.基于用户浏览行为相似度的HTTP-Get Flood检测[J].电视技术，2013，37(7)：104-106.

[9] 陈树新，王锋，周义建，等.空天信息工程概论[M].北京：国防工业出版社，2010.

[10] 卢昱，王宇，吴忠望，等.空间信息对抗[M].北京：国防工业出版社，2009.

[11] ZHANG X，HSIAO H C，HASKER G，et al. SCION：scalability，control，and isolation on next-generation networks[C]//Proc. Symposium on Security and Privacy. Oakland，CA：IEEE，2011：212-227.

[12] HSIAO H C，KIM T H J，YOO S，et al. STRIDE：sanctuary trail-refuge from internet ddos entrapment[C]//Proc. Symposium on Information，Computer and Communications Security. Hangzhou，China：ACM SIGSAC，2013：415-426.

[13] ZHANG Y，WANG X Y，PERRIG A，et al. Tumbler：adaptable link access in the bots-infested internet [J].Computer networks，2016(105)：180-193.

张 尧(1988— )，博士生，主研网络与信息安全；

郑志明(1953— )，博士，博士生导师，教授，从事信息科学领域中海量信息系统协同性与计算复杂性理论、软件可信性与信息安全等方向的研究工作；

张 筱(1984— )，女，博士，副教授，主要研究方向为复杂系统信息安全、动力学密码等方向。

责任编辑：许 盈

Scalable bandwidth allocation mechanism for high available satellite networks

ZHANG Yao, ZHENG Zhiming, ZHANG Xiao

(LMIBandSchoolofMathematicsandSystemsScience,BeihangUniversity,Beijing100191,China)

With the development of Internet services such as IPTV, and more utilization originated from the legacy Internet on the ground, resource management becomes a necessity for spatial networks. In the meantime, in order to effectively prevent the Distributed Denial of Service (DDoS) attacks, the satellite networking mechanism needs to be designed properly towards high availability. In this paper, a DDoS-resilient satellite-networking mechanism based on scalable bandwidth allocation is presented. A dedicated topology for the satellite networks is built and the concept of routing state packet is introduced. Then, the corresponding routing protocol for the satellite networks is designed. Furthermore, how to perform scalable bandwidth allocation and the implementation approaches are illustrated. Based on the security analysis and the experimental results, the proposal can guarantee scalable bandwidth allocation and effectively defend attacks. Also, the scheme provides considerable performance.

IPTV; satellite networks; bandwidth allocation; DDoS attacks; high availability mechanism

张尧，郑志明，张筱. 基于可延展带宽分配的卫星网络高可用性方案[J].电视技术，2017，41(1)：47-52. ZHANG Y，ZHENG Z M,ZHANG X. Scalable bandwidth allocation mechanism for high available satellite networks [J].Video engineering，2017，41(1)：47-52.

TP393.0

A

10.16280/j.videoe.2017.01.010

基金支持：国家自然科学基金项目(11290141；61402030)

2016-05-06