虞志刚,冯 旭,赵 晶,陆 洲,吴 巍
(1.中国电子科学研究院,北京 100041;2.中国电子科技集团公司第五十四研究所,石家庄 050000)
随着空天技术的迅猛发展,人类的活动疆域已经由陆地拓展到深海、深空,为切实保障远洋考察、空间探索等领域的通信任务需求,构建以移动通信网和地面互联网为依托、空间网络为拓展的空、天、地、海一体化网络,实现空间网络与地面网络互联互通与深度融合迫在眉睫[1-6]。作为天地一体化网络的重要组成部分,空间网络具有广域覆盖、灵活组网、不受地理环境限制等优点,能够为资源勘察、灾害监测、气象观察、应急通信、军事应用等提供多样化网络通信服务,必将对经济社会发展、祖国国防建设产生深远而巨大的影响。
作为地面网络的延伸与拓展,空间网络实现不同轨道卫星、空间站、飞机等航空航天器之间以及与地面站之间的互联互通[7],将网络疆域从近地空间拓展到远地新空间,从地面二维覆盖延伸到空间三维新泛在。
空间网络主要包括高轨卫星(GEO),中轨卫星(MEO),低轨卫星(LEO),临近空间(HAP),空间站、飞机等航天器构成的网络节点,以及多样化的星间、星地通信链路,链路将网络节点连接在一起,共同构成多层次、立体化空间网络架构,如图1所示(图中仅给出部分链路,详细的链路列表见表1)。其中,GEO位于距离地面36000 km的地球静止轨道,星地往返时延为250~280 ms。具有覆盖面积广的优点,单颗卫星可覆盖全球1/3面积,同时也带来功率高和传输延迟大的问题[8]。但由于GEO不能覆盖纬度81以外的区域,因此单纯依赖GEO并不能实现真正意义上的全球覆盖,要实现全球覆盖必须引入MEO、LEO作为补充。
图1 空间网络架构
LEO轨道距地700~2000 km,星地往返时延仅为20~25毫秒。与GEO不同,LEO距离地面较近,对地面设备的功率要求也相应较低,小型化手持终端即可保持与卫星的通信连接,这一良好特性使得它很适合构建卫星宽带通信网。因此,国外的铱星、OneWeb,国内的鸿雁、虹云等卫星互联网计划大多采用LEO星座[2,9]。
但单颗LEO覆盖面积不大,需较多的卫星来提供全球覆盖,通常为几十甚至上百颗。另外,星间切换也十分频繁,通常10 min左右一次。介于GEO和LEO之间,MEO运行在距地10000~20000 km高度的圆形轨道,星地往返时延为110~130 ms。与GEO不同,MEO相对地球运动,一般需要十几颗提供全球覆盖,每颗卫星对于地面的可见时间是1~2 h。
HAP节点主要包括汽艇、飘空气球等设施,位于距离地面10~20 km空域,具有部署成本低、调配灵活机动的特点,主要用于实现重点、热点区域的通信增强。除此之前,空间段还包括预警机、无人机等飞行器[10-11]。空间网络节点通过多样化的星地、星间链路连接起来,构成完整空间网络架构。空间网络中节点间互连链路通常会采用不同的频段/波长、调制编码格式、数据帧格式、传输容量速率等,如表1所示。
表1 空间网络链路类型划分
注:分类不包括卫星测控链路且未细分用户链路
作为空间网络研究的核心内容,路由技术负责选择合适的路径将信息从源传送到目的节点。与地面网络不同,进行空间路由协议设计时,必须考虑空间网络特征:一是网络拓扑动态多变,MEO、LEO、HAP节点均动态运动,导致节点间的通信链路亦是间歇连通;二是星上计算存储能力受限,鉴于空间环境(如电磁辐射)、卫星有效载荷技术(如载荷重量、功耗限制)的影响,星上计算存储能力非常受限。
目前,针对空间网络的特点,国内外研究人员提出了大量路由协议。例如,针对LEO网络拓扑周期性变化的特征,Gounder等人提出快照序列路由协议SSS[12],通过将网络动态拓扑精心分割成一系列静态拓扑(快照),再对静态拓扑逐一进行路由设计;针对GEO网络拓扑相对固定且带宽资源宝贵特征,研究人员通过改进OSPF大幅缩短路由收敛时间。
空间网络处于电磁开放空间,面临非法接入、窃听、信息篡改、重放攻击、病毒感染等多样化安全威胁。与此同时,空间网络路由容易遭受黑洞攻击、被动攻击、路由表溢出攻击、虫洞攻击仿冒攻击、网络分割攻击以及伪造错误路由攻击等多种恶意攻击[2,10],这些攻击可能会带来路由控制信息泄漏、虚假路由等严重后果。因此,研究高效可靠的安全路由协议成为空间网络研究的热点内容。
针对空间网络的安全路由问题,通过参考地面无线网络,特别是借鉴与空间网络具有一定相似性的无线传感网,国内外研究人员开展了深入广泛的研究,相关的安全路由协议研究成果可以归纳为三类:基于密码学的安全路由协议、基于信誉度的安全路由协议以及以上两种安全策略的有效结合,下面将逐一介绍。
基于密码学的安全路由技术主要通过采用密码技术对路由控制信息(如路由请求、路由应答、路由失效信息)进行签名、认证和完整性校验等,保障路由协议的正常稳定工作。在这类方法中,密钥和证书的分发与管理是安全策略的前提[9,11],代表协议有SMOR、SRP、SLOAR等。
按需路由协议[12](SMOR)采用基于身份的密码学方案对路由控制信息实施签密,可在攻击发生前构建防范机制,有效应对网络外部攻击而产生的各类路由安全问题。按需路由策略是一种反应式动态路由技术,当且仅当需要发送数据时,才进行路由查找,这样可以避免复杂的路由表建立、维护和更新过程,减少路由开销。同时,在路由按需建立过程中,采用“紧约束”与“松约束”相结合的方法降低路由控制信息扩散范围,有效减少路由维护开销。
SMOR协议采用基于身份的签密方案不再需要维护公钥证书,的确可以大大简化传统公钥密码体制中密钥管理方面的开销,较为适合计算和存储资源受限的空间环境。但也存在如下几方面的问题,一是该协议建立在网络节点数相对固定的情况下,可靠性与扩展性仍有待完善。二是该协议为单层LEO网络设计,扩展至多维空间网络仍然需考虑不同层次卫星之间的管理关系和信息交互流程等。三是该协议的签密方案是基于Diffie-Hellman问题,需要节点对接收/发出的路由信息进行复杂的双线性对运算,对空间节点计算和存储能力提出了要求。
同样基于身份的签密策略,文献[13]中提出了一种基于身份签密的卫星网络安全路由协议(SRP),借鉴无线传感网络AODV协议进行路由信息的动态构建与维护,通过基于身份的签密策略来保证网络信息在路由过程中的安全,同时为了有效应对网络内部节点被攻击之后引起的复杂威胁,SRP采取了动态隔离机制。即当私钥生成中心PKG发现某个原本合法的节点对其他节点产生攻击行为而变得不再可信,PKG就会产生通知消息,加密后广播给网络中其他节点,接收到的节点将删除包含该不可信节点的路由信息,从而实现对不可信节点及时隔离,确保网络在遭受内部攻击后,通过对相应攻击节点进行快速隔离,仍然能够抗毁顽存,提供不间断网络服务。
文献[14]针对辅助定位按需路由协议(LAOR)进行了安全性分析,指出LAOR协议在设计中没有考虑用户终端身份认证、网络节点实体认证等安全措施,致使路由过程中易遭受黑洞攻击、假冒、拒绝服务攻击、拜占庭攻击以及路由重放攻击等,严重影响网络运行与服务保障。基于以上考虑,在LAOR协议基础上,提出了一种基于身份的密码体制的安全路由协议(S-LAOR),与SMOR类似,通过引入基于身份的密码体制来对网络中的路由控制分组进行加密认证,有效保证路由信息的完整性、机密性,保障路由协议安全运行。然而,S-LOAR继承了LOAR的特性,主要为极轨LEO星座设计,可扩展性还需进一步考虑。
基于信誉度的安全机制是通过网络节点信誉度的变化,及时判断节点的恶意行为,并对有害节点进行隔离。有效的信任管理机制能够使网络中的节点进行分布式协作,检测节点的有害行为。将邻接点量化为一个可信度。可信度是对节点转发包、丢弃包和路由发现等行为的综合评价指标,大于规定可信度的节点可以参与到路由中,其他节点则排除在参与路由的节点集之外。这类安全路由协议主要有SODV、PW、TARP-HL、RELAODV等。
LI等在文献[15]中首次将基于信誉度的节点信任机制引入安全路由设计,提出基于安全机制的动态路由算法(SODV)。该算法采用静态策略与动态调配互补的机理,实现路由信息周期性更新与按需实时更新相结合,从而以较小的计算/存储开销实现网络路由算法的自适应调整,较好地满足了星上计算/存储能力受限的问题。同时,为了有效应对针对路由算法的黑洞攻击、路由表溢出攻击(DOS攻击)等,采用分布式信誉度机制为网络中每个节点动态维护信誉度,在进行路由时尽量经由信誉度高节点进行转发,将信誉度低于规定阈值的节点从网络中隔离,有效防范网络内外部各种攻击。
然而,研究发现SODV存在两个方面的问题:一是该协议将节点处理数据包和转发路由包的成功率纳入节点信誉度的评价体系;鉴于空间网络流量是不均匀特性,当网络负载较高时,信誉度高的节点将会“吸引”更多负载,成为整个网络的热点,影响网络整体性能。二是提出了信誉度的评价机制,但信誉度的评价信息应该如何选取时间区间却没有给出方案,特别是恶意节点经过恢复处理之后如何快速入网、信誉度如何评价没有提出解决措施。
除此之外,文献[16]中提出一种适用于HAP/LEO网络结构的层次式认证路由协议(TARP-HL)。假设上层LEO节点是完全可信的,承担对下层HAP的证书颁发、管理等功能。一方面,引入基于椭圆曲线的具有消息恢复特性的轻量级签名方案[17]对路由控制信息进行签名、认证和完整性校验以保证路由协议的正常工作,具有安全性高,计算开销较小的特点,可以有效很好的适应空间网络环境。另一方面,引入了信誉度评价机制,在网络运行过程中根据邻居节点的行为动态调整信誉度,对信誉度较低的节点实施隔离,保证网络安全可信。
但TARP-HL也存在一些方面的不足,一是没有考虑当某些节点信誉度恢复之后重新入网的问题。二是路由控制信息在传输中每一步都要进行加解密工作,无疑会增加路由建立时间给网络性能造成损失。三是与传统采用基于证书的认证和签密机制类似,需要复杂的证书存储和管理,难以适应空间网络计算和存储能力弱的环境。
阎冬等在文献[18]中提出基于信誉度评价与负载感知的距离矢量路由协议(RELAODV),在信誉度评价的基础上,引入负载感知机制,综合考虑信誉度和负载感知机制的混合型路径选择策略,实时根据网络运行态势对路由选择进行动态调整。一方面,通过节点信誉度评价机制,将恶意节点隔离在网络之外;另一方面,通过增加节点负载感知策略,引导网络数据流向负载较轻节点、远离负载严重的节点,实现基于负载的路由自适应调整;两种策略有机结合,实现网络安全性与高效性双重保障。
如上所述,针对空间网络的安全路由技术研究大多采用基于密码学的策略进行路由控制信息以保证可靠的端到端的信息传输,实现网络安全路由的主动性防御;或采用基于信誉度的安全评价体制,通过对产生不信任行为的网络节点进行隔离以保证网络的持续稳定运行,实现网络安全路由的反应式防御。目前,一些研究人员提出,可以将以上两个安全策略结合一起,形成主动与被动防御联动的安全路由协议,这类安全路由协议主要有S-ALBR、TSRP等。
张辉年等在文献[19]中提出一种基于移动Agent的动态路由协议(ALBR),针对LEO网络拓扑动态多变的特点,利用卫星上搭载的静止Agent收集卫星位置、链路时延等信息用于路由表构建;同时利用移动Agent自主迁移,收集路由信息,探测路径信息,获取网络实时状态信息直接形成路由决策支撑,有效保障网络安全。在此基础上,提出一种基于移动Agent的动态安全路由协议(S-ALBR),引入认证技术实现卫星或Agent节点通信时进行可信认证,引入加密技术保障路由控制信息的安全传输,引入基于信誉度的安全策略将不良卫星节点排除在路由决策范围之内,指引流量远离不可信节点。
文献[20]中提出了一种针对多层卫星网络的安全路由协议(TSRP),通过卫星节点运行拓扑的周期性变化特此,简化路由设计复杂度。在节点安全性方面,通过采用身份验证体制实现源、目的节点间的可信互认证,有效抵制DoS攻击;在传输安全性方面,采用数字加密技术,并引入签名、时间戳、路由维护等技术,实现端到端信息安全可靠传输,抵御网络中可能存在的重放、自私行为和黑洞等;同时,通过基于信誉度的安全机制对网络节点行为的实时评估和信誉度动态调整,实现对非正常节点的安全隔离。
综上所述,针对空间网络的安全路由问题,通过参考地面无线网络,特别是借鉴与空间网络具有一定相似性的无线传感网,国内外研究人员已经开展了深入广泛的研究,相关的安全路由协议研究成果汇总如表2所示。
表2 空间网络安全路由技术对比
基于密码学的安全路由机制,通过对路由控制信息的加密有效防御网络攻击;相对应地,针对网络内部的攻击行为,基于信誉度的安全路由机制是在网络中出现攻击或者发生威胁时,通过实时更新节点的信任度,隔离具有安全威胁的不可信网络节点,保障网络整体的安全可信。在此基础上,基于多策略的安全路由机制对以上两种策略进行了有机结合,可以同时对网络内部、外部攻击的进行有效抵御。然而,现有的安全路由机制在设计中还存在一些不足,主要表现为如下三个方面:
(1)适用范围方面,现有安全路由协议往往是利用特定网络结构的拓扑特性进行设计,比如SMOR、LAOR等均需要利用极轨星座的拓扑特性,ARP-DSN专为MEO+LEO网络设计,TSRP专为GEO+LEO网络设计,难以直接扩展应用到网络结构更为丰富的空间网络。
(2)路由策略方面,现有安全路由协议主要是在已有路由协议的基础上增加安全机制,比如S-LAOR协议是在LAOR协议上的扩展,S-ALBR是ALBR协议上的扩展,亟需结合空间网络特性,综合考虑空间网络安全与高效路由需求,开展安全机制与路由协议的一体化设计。
(3)系统开销方面,现有安全协议一方面采用基于身份的密码学方案代替基于证书的方案,省去了证书的计算存储开销[21],另一方面通过实时更新节点信誉度的安全策略实现不可信节点的有效隔离,但这些安全机制对路由协议性能的影响缺少定量分析。同时,安全协议的对比没有结合空间网络计算存储等实际条件进行综合考虑。
鉴于空间网络拓扑动态多变、链路间歇连通、星上资源受限、空间环境复杂等典型特征,高效安全路由研究一直颇具挑战性。目前,虽然国内外已经提出了一些安全路由协议,但是标准化的安全路由协议尚未形成,安全协议的研究呈现如下主要特征:
(1)安全加密轻量化。作为空间网络节点的主要组成部分,卫星、空间站等航天器受空间电磁环境以及载荷技术的限制,星上的计算存储资源相对受限。当前,虽然大平台技术快速发展,但相对于地面商业计算存储器件,星上计算存储能力还相对落后。与此同时,空间环境下必须严格控制功耗。因此,进行安全路由协议设计时,必须在充分考虑空间网络这一基本特征基础上,研究设计轻量级的安全加密机制。
(2)安全策略一体化。空间网络处于复杂的电磁辐照环境,网络节点、链路处于开放电磁空间,必须开展一体化的安全策略设计,路由协议要能够同时应对网络内部、外部的各种攻击,以及空间恶劣电磁环境可能造成的故障或错误,确保空间网络在路由遭受攻击时仍能够路由快速收敛、信息正常投递,保障网络安全可靠运行。
(3)安全路由通用化。目前的安全路由协议主要针对特定的卫星星座(如LEO、GEO+LEO)设计,还没有形成一个可以适用于整个空间信息网络的安全路由协议,亟需抽象空间网络立体多层的网络结构特征,综合考虑空间复杂环境因素基础上,研究设计“真正”的空间网络路由协议,从而构建面向空间信息网络全局安全的路由协议体系。