空天網(wǎng)絡(luò)安全切換技術(shù)研究綜述

韓孟達(dá)，曹利峰，雷依翰，杜學(xué)繪

1.信息工程大學(xué)，鄭州 450001

2.河南省信息安全重點(diǎn)實(shí)驗(yàn)室，鄭州 450001

天地一體化信息網(wǎng)絡(luò)（space-ground integration network，SGIN）是涵蓋了陸、海、空、天以及網(wǎng)絡(luò)空間的新型未來網(wǎng)絡(luò)體系，旨在推進(jìn)天基信息網(wǎng)、未來互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng)的全面融合，形成覆蓋全球的天地一體化信息網(wǎng)絡(luò)，能夠打破各網(wǎng)絡(luò)獨(dú)立運(yùn)行的現(xiàn)狀[1]。科技部已將其納入到“科技創(chuàng)新2030重大項(xiàng)目”中。我國(guó)在此方面開展了“鴻雁星座”“行云工程”和“虹云工程”等建設(shè)工作，歐美等國(guó)家也在針對(duì)以中低軌道為主的天基網(wǎng)絡(luò)加速布局，主要有SpaceX的Starlink計(jì)劃、英國(guó)的OneWeb計(jì)劃、歐盟的Sat5G計(jì)劃等。建設(shè)天地一體化信息網(wǎng)絡(luò)是未來網(wǎng)絡(luò)基礎(chǔ)設(shè)施發(fā)展的趨勢(shì)所向，對(duì)國(guó)家戰(zhàn)略支撐具有重大意義[2]。

天地一體化信息網(wǎng)絡(luò)主要由天基骨干網(wǎng)[3]、天基接入網(wǎng)[4]、地基節(jié)點(diǎn)網(wǎng)[5]組成，其覆蓋能力可突破海拔、地形等地理?xiàng)l件限制，可滿足來自陸、海、空、天等全方位用戶的接入需求，實(shí)現(xiàn)全球組網(wǎng)。在業(yè)務(wù)保障能力方面，可面向用戶提供話務(wù)、數(shù)據(jù)、多媒體等多種類型的服務(wù)，并可提供安全可信的網(wǎng)絡(luò)環(huán)境。在兼容性方面，能夠與已有的網(wǎng)絡(luò)設(shè)施進(jìn)行整合，還可與5G、6G 等新型網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)對(duì)接[6-7]。

對(duì)于天地一體化信息網(wǎng)絡(luò)體系結(jié)構(gòu)的設(shè)計(jì)，已有多位院士專家給出了完善的規(guī)劃[8-10]。網(wǎng)絡(luò)的主要結(jié)構(gòu)及空間分布如圖1所示，所涵蓋的主要組成部分及其功能描述如下。

圖1 天地一體化信息網(wǎng)絡(luò)體系結(jié)構(gòu)Fig.1 Architecture of space-ground integrated information network

天基骨干網(wǎng)：主要由地球同步軌道衛(wèi)星組成，衛(wèi)星之間依托激光鏈路進(jìn)行通信。同步衛(wèi)星的信號(hào)覆蓋范圍廣，但與相對(duì)距離較遠(yuǎn)的用戶直接通信時(shí)信道質(zhì)量不佳，時(shí)延較長(zhǎng)，通常在網(wǎng)絡(luò)體系中承擔(dān)信息交換樞紐及空天節(jié)點(diǎn)管理的任務(wù)。

天基接入網(wǎng)：主要由低軌衛(wèi)星以及臨近空間中的浮空器等組成，通過數(shù)量眾多的節(jié)點(diǎn)為陸、海、空等多方位的用戶提供遍布全球的隨遇接入和無縫化切換的網(wǎng)絡(luò)服務(wù)，擁有比地基節(jié)點(diǎn)網(wǎng)更廣泛的覆蓋能力。

地基節(jié)點(diǎn)網(wǎng)：主要由布設(shè)在地表的各類骨干節(jié)點(diǎn)組成，其中既包括能夠與衛(wèi)星通信的地面站，又涵蓋了移動(dòng)通信網(wǎng)、地面互聯(lián)網(wǎng)等現(xiàn)有網(wǎng)絡(luò)，可為移動(dòng)用戶提供方便、穩(wěn)定的網(wǎng)絡(luò)服務(wù)，是實(shí)現(xiàn)天地一體化信息網(wǎng)絡(luò)資源共享的重要一環(huán)。相對(duì)于空中的節(jié)點(diǎn)，地基節(jié)點(diǎn)便于布設(shè)和維護(hù)，可承擔(dān)信息的管理、存儲(chǔ)、處理等業(yè)務(wù)。

目前天地一體化信息網(wǎng)絡(luò)發(fā)展的總體趨勢(shì)是天基網(wǎng)絡(luò)在未來網(wǎng)絡(luò)體系中的地位愈加凸顯，而天基網(wǎng)絡(luò)和地面網(wǎng)絡(luò)體系融合創(chuàng)新也在持續(xù)加速。但是，天地一體化信息網(wǎng)絡(luò)中空天網(wǎng)絡(luò)部分由于其特殊性，為信息安全技術(shù)在空天網(wǎng)絡(luò)中的應(yīng)用帶來了諸多挑戰(zhàn)，主要體現(xiàn)在：

（1）空天網(wǎng)絡(luò)高度暴露[11]。空天網(wǎng)絡(luò)是天地一體化信息網(wǎng)絡(luò)的重要組成部分，時(shí)空跨度大，完全暴露于空間之中，存在著赤道軌道、極軌道、傾斜軌道等，各國(guó)空天節(jié)點(diǎn)縱橫交錯(cuò)，相互毗鄰運(yùn)轉(zhuǎn)，使得空天節(jié)點(diǎn)受到的攻擊更加容易、更加多樣化，如何在層次化、立體化的網(wǎng)絡(luò)空間中構(gòu)建節(jié)點(diǎn)之間的信任關(guān)系，是防止節(jié)點(diǎn)假冒攻擊、竊取信息的關(guān)鍵。

（2）空天網(wǎng)絡(luò)節(jié)點(diǎn)高速運(yùn)動(dòng)[12]。衛(wèi)星、高速飛行器等節(jié)點(diǎn)運(yùn)行速度快，網(wǎng)絡(luò)拓?fù)鋭?dòng)態(tài)變化，接入基站難以提供持續(xù)性的服務(wù)，接入終端切換頻繁，如何無需重復(fù)認(rèn)證即可進(jìn)行安全、自由的切換，以實(shí)現(xiàn)節(jié)點(diǎn)間的可信保持，是確保空天網(wǎng)絡(luò)安全性的前提。

（3）計(jì)算資源受限[13]。空中節(jié)點(diǎn)隨著運(yùn)行高度的不同，受到天氣、電磁波、溫度等空間環(huán)境的影響，使得衛(wèi)星等節(jié)點(diǎn)的計(jì)算、存儲(chǔ)、通信等受到限制，對(duì)功耗控制要求高，節(jié)點(diǎn)的后期維護(hù)較為困難，這就要求空天網(wǎng)絡(luò)中應(yīng)用的密碼算法、安全協(xié)議、安全接入方案等具有輕量級(jí)，以滿足空天網(wǎng)絡(luò)的計(jì)算資源受限的需求。

（4）鏈路間歇連通[14]。空天網(wǎng)絡(luò)時(shí)空跨度大，鏈路采用微波、激光等媒介，由于空間受到自然條件、傳輸距離遠(yuǎn)、節(jié)點(diǎn)高速運(yùn)動(dòng)等影響，使得數(shù)據(jù)的傳輸存在著時(shí)延大、誤碼率高的問題，而且鏈路存在著間歇性連通，因此空天網(wǎng)絡(luò)是一個(gè)典型延遲容忍網(wǎng)絡(luò)。如何在鏈路間歇連通的情況下實(shí)現(xiàn)數(shù)據(jù)的延遲容忍傳輸，是確保安全接入、安全切換、安全傳輸?shù)年P(guān)鍵。

接入認(rèn)證是空天網(wǎng)絡(luò)信息安全的第一道防線，但是由于空天網(wǎng)絡(luò)節(jié)點(diǎn)的高速運(yùn)動(dòng)，使得接入節(jié)點(diǎn)頻繁發(fā)生切換，從而引起重復(fù)性的安全接入認(rèn)證，導(dǎo)致安全服務(wù)的不連續(xù)性，甚至中斷。因此，研究空天網(wǎng)絡(luò)環(huán)境下節(jié)點(diǎn)的安全切換，確保可信保持，是實(shí)現(xiàn)空天網(wǎng)絡(luò)持續(xù)性安全保障的關(guān)鍵[15]。針對(duì)空天網(wǎng)絡(luò)安全切換研究，目前國(guó)內(nèi)外也進(jìn)行了初步的探索研究，其也是天地一體化網(wǎng)絡(luò)建設(shè)的主要內(nèi)容，但是目前的研究大多針對(duì)單一的切換場(chǎng)景，難以適應(yīng)未來復(fù)雜時(shí)空環(huán)境下多場(chǎng)景、跨軌道平面、自由的安全切換需求，亟需針對(duì)復(fù)雜的空天網(wǎng)絡(luò)，開展更為深入的研究。本文重點(diǎn)對(duì)當(dāng)前的空天網(wǎng)絡(luò)安全切換技術(shù)進(jìn)行梳理、歸類與總結(jié)，闡述空天網(wǎng)絡(luò)安全切換的研究進(jìn)展，指出空天網(wǎng)絡(luò)安全切換所需的關(guān)鍵技術(shù)，對(duì)空天網(wǎng)絡(luò)安全切換的研究熱點(diǎn)以及未來發(fā)展趨勢(shì)進(jìn)行展望，為天地一體化網(wǎng)絡(luò)建設(shè)中無縫安全切換的深入研究提供參考。

1 空天網(wǎng)絡(luò)無縫安全切換概念

1.1 切換的基本概念

空天網(wǎng)絡(luò)節(jié)點(diǎn)之間存在著相對(duì)高速運(yùn)動(dòng)，接入基站的覆蓋范圍有限且動(dòng)態(tài)移動(dòng)，從而導(dǎo)致已接入的用戶可能離開當(dāng)前接入點(diǎn)的連接覆蓋范圍而進(jìn)入相鄰節(jié)點(diǎn)的覆蓋范圍，為了維持通信的持續(xù)性，需要斷開原有的連接，建立新的連接，這種行為在通信中稱為切換。比如，LEO、MEO衛(wèi)星對(duì)地高速運(yùn)動(dòng)，接入節(jié)點(diǎn)頻繁更換接入衛(wèi)星；飛行器高速運(yùn)動(dòng)，導(dǎo)致頻繁切換接入基站。從切換發(fā)生的層次角度，可將空天網(wǎng)絡(luò)切換分為數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層切換[16]。鏈路層切換又可分為點(diǎn)波束切換、衛(wèi)星間切換；網(wǎng)絡(luò)層切換則在切換過程中導(dǎo)致IP地址的變化，從而引起網(wǎng)絡(luò)層次切換。

切換的發(fā)生，除了因?yàn)楣?jié)點(diǎn)的高速運(yùn)動(dòng)外，在原有信道、網(wǎng)絡(luò)條件惡化時(shí)以及有新的業(yè)務(wù)需求時(shí)，均可通過主動(dòng)執(zhí)行切換操作來改善通信網(wǎng)絡(luò)的質(zhì)量，或者獲取新的服務(wù)。在切換過程中，為確保移動(dòng)用戶的業(yè)務(wù)不受切換的干擾或中斷，應(yīng)盡量減少切換過程的時(shí)延，使用戶察覺不到切換操作的影響，這種理想效果的切換操作稱為無縫切換（seamless handover）。

1.2 切換安全與安全切換

空天網(wǎng)絡(luò)高度暴露、邊界模糊，使得空天網(wǎng)絡(luò)更容易遭受攻擊。相應(yīng)地，在空天網(wǎng)絡(luò)切換過程中，也存在著身份假冒、信息篡改以及竊聽等安全威脅，因此，在空天網(wǎng)絡(luò)切換過程中，需要提供安全服務(wù)，比如認(rèn)證、加密、完整性等服務(wù)確保切換過程的安全性。上述針對(duì)空天網(wǎng)絡(luò)切換過程所采取的安全防護(hù)措施，目的是降低空天網(wǎng)絡(luò)場(chǎng)景下節(jié)點(diǎn)的安全風(fēng)險(xiǎn)，從而保障切換安全。

接入認(rèn)證是空天網(wǎng)絡(luò)安全的第一道防線，也是構(gòu)建空天網(wǎng)絡(luò)信任體系的主要手段、方法。當(dāng)空天網(wǎng)絡(luò)由于節(jié)點(diǎn)的高速運(yùn)動(dòng)帶來頻繁切換時(shí)，也必然引起接入的頻繁認(rèn)證。由于空天網(wǎng)絡(luò)間歇連通，計(jì)算資源受限，使得重復(fù)性的接入認(rèn)證易造成通信性能的降低，也使得通信業(yè)務(wù)的連續(xù)性受到影響。因此，如何在空天節(jié)點(diǎn)高速運(yùn)動(dòng)環(huán)境下，無需重復(fù)接入認(rèn)證，實(shí)現(xiàn)鏈路間歇連通情況下身份可信保持，確保服務(wù)的連續(xù)性，是空天網(wǎng)絡(luò)安全亟待解決的核心問題。避免重復(fù)認(rèn)證，就需要將節(jié)點(diǎn)的接入認(rèn)證狀態(tài)信息、歷史信息、節(jié)點(diǎn)狀態(tài)信息、通信狀態(tài)信息、切換密鑰等隨著空天網(wǎng)絡(luò)節(jié)點(diǎn)切換過程安全地轉(zhuǎn)移到下一個(gè)待接入的基站，依據(jù)安全狀態(tài)的驗(yàn)證實(shí)現(xiàn)節(jié)點(diǎn)的切換認(rèn)證，從而避免重復(fù)性的認(rèn)證。這樣的將安全狀態(tài)切換至下一個(gè)待接入基站的過程，稱之為安全切換。

錢雁斌等人[17]較早地提出了空天網(wǎng)絡(luò)中安全切換的概念，將安全切換歸類為切換機(jī)制的一種，并定義安全切換是在實(shí)現(xiàn)物理鏈路切換的同時(shí)保證用戶身份、權(quán)限和已經(jīng)建立的安全通道等能夠在切換節(jié)點(diǎn)間傳遞，從而在切換過程中實(shí)現(xiàn)用戶安全狀態(tài)的保持。因此，安全切換是一種兼顧切換過程安全性和性能的切換機(jī)制，諸多學(xué)者在研究空天網(wǎng)絡(luò)的安全保障技術(shù)中，也都將其表述為安全切換[15，18]。

綜上所述，本文所研究的空天網(wǎng)絡(luò)“安全切換”，是指用戶在接入節(jié)點(diǎn)信任關(guān)系的切換，即接入認(rèn)證狀態(tài)的切換，以避免重復(fù)性的接入認(rèn)證，結(jié)合空天網(wǎng)絡(luò)切換過程的安全，確保空天網(wǎng)絡(luò)節(jié)點(diǎn)信任的無縫傳遞，從而實(shí)現(xiàn)空天網(wǎng)絡(luò)中用戶的快速無縫安全切換。

2 無縫安全切換流程

2.1 空天網(wǎng)絡(luò)切換場(chǎng)景

空天網(wǎng)絡(luò)節(jié)點(diǎn)種類復(fù)雜、網(wǎng)絡(luò)層級(jí)多的特點(diǎn)致使其切換發(fā)生的場(chǎng)景和執(zhí)行過程會(huì)存在差異，如圖2 所示。空天網(wǎng)絡(luò)安全切換做到無縫化，應(yīng)能夠適應(yīng)空天網(wǎng)絡(luò)的應(yīng)用場(chǎng)景，并對(duì)空天網(wǎng)絡(luò)切換流程進(jìn)行一體化設(shè)計(jì)，以做到平滑安全切換，因此，空天網(wǎng)絡(luò)切換場(chǎng)景對(duì)安全切換的實(shí)施是非常重要的。

圖2 空天網(wǎng)絡(luò)接入與切換示意圖Fig.2 Schematic diagram of aerospace network access and handover

空天網(wǎng)絡(luò)是一個(gè)復(fù)雜、立體空間的網(wǎng)絡(luò)，在接入網(wǎng)方面，存在著橫向軌道衛(wèi)星平面、縱向軌道衛(wèi)星平面以及側(cè)向軌道衛(wèi)星平面，軌道縱橫交錯(cuò)，存在著同一軌道平面的切換與跨軌道平面的切換、網(wǎng)絡(luò)內(nèi)切換與異構(gòu)網(wǎng)絡(luò)域切換、單一場(chǎng)景切換與多場(chǎng)景切換等，切換較為復(fù)雜。但從技術(shù)層面來說，按照切換前后網(wǎng)絡(luò)技術(shù)異同，切換可分為水平切換、垂直切換；按照鏈路切換前后實(shí)體異同，可分為點(diǎn)波束間切換、衛(wèi)星間切換；按照接入信任域異同，還可以分為域內(nèi)切換、域間切換；參與組網(wǎng)的衛(wèi)星之間形成的鏈路，也會(huì)因衛(wèi)星間的相對(duì)運(yùn)動(dòng)建立和斷開，稱為星間鏈路切換。

（1）水平切換和垂直切換

水平切換是指在同一網(wǎng)絡(luò)技術(shù)體系下完成的接入基站間的切換。通常情況下是由于接入節(jié)點(diǎn)與接入基站的相對(duì)高速運(yùn)動(dòng)，使得接入基站在其覆蓋范圍內(nèi)無法繼續(xù)為接入節(jié)點(diǎn)提供服務(wù)，從而發(fā)生切換；亦或接入基站由于信道質(zhì)量下降，處于擁塞狀態(tài)，導(dǎo)致服務(wù)無法繼續(xù)而發(fā)生切換。而垂直切換則通常是由于業(yè)務(wù)需求發(fā)生了變化，或者由于網(wǎng)絡(luò)服務(wù)提供者發(fā)生變化，致使接入網(wǎng)絡(luò)發(fā)生變化，從而引起切換。水平切換與垂直切換可依據(jù)切換前后的網(wǎng)絡(luò)類型是否相同進(jìn)行區(qū)分，水平切換前后接入網(wǎng)絡(luò)技術(shù)相同，切換通常為鏈路層實(shí)現(xiàn)，而垂直切換由于前后接入網(wǎng)絡(luò)存在著異構(gòu)性，不僅要進(jìn)行鏈路切換，而且還需進(jìn)行網(wǎng)絡(luò)層切換[19]。在圖3中的A、B、C三點(diǎn)處，用戶在同種規(guī)格的衛(wèi)星之間發(fā)生切換，由于不涉及到接入技術(shù)的差異，屬于水平切換；而在D點(diǎn)，用戶從衛(wèi)星無線網(wǎng)絡(luò)切換至浮空器臨近空間網(wǎng)絡(luò)，屬于垂直切換。相比之下，垂直切換所涉及的協(xié)議設(shè)計(jì)要比水平切換復(fù)雜，需要考慮到不同網(wǎng)絡(luò)間的技術(shù)差異。相應(yīng)地，切換安全方面需要考慮不同網(wǎng)絡(luò)技術(shù)體制下信任的協(xié)商問題[20]。

圖3 空天網(wǎng)絡(luò)切換分類Fig.3 Classification of aerospace network handover

（2）點(diǎn)波束間切換與衛(wèi)星間切換

在點(diǎn)波束間切換中，每個(gè)衛(wèi)星上通常配備多波束天線，衛(wèi)星的通信覆蓋區(qū)域被劃分為類似蜂窩網(wǎng)絡(luò)的多個(gè)區(qū)域，以實(shí)現(xiàn)頻率復(fù)用。當(dāng)終端用戶跨越衛(wèi)星點(diǎn)波束間邊界時(shí)，即發(fā)生了星內(nèi)的點(diǎn)波束切換[21]。在圖3中A點(diǎn)處，移動(dòng)用戶在同一衛(wèi)星下的不同波束間切換，由于切換前后的會(huì)話雙方?jīng)]有發(fā)生變化，切換過程通常只需核驗(yàn)身份的真實(shí)性。由于點(diǎn)波束的覆蓋區(qū)域相對(duì)較小，點(diǎn)波束切換發(fā)生較為頻繁，通常為每1～2 min 一次。在點(diǎn)波束切換過程中，用戶的移動(dòng)相較衛(wèi)星的高速運(yùn)動(dòng)可以忽略，研究時(shí)可將其看作相對(duì)于小區(qū)直線運(yùn)動(dòng)[22]。由于點(diǎn)波束切換發(fā)生在同一衛(wèi)星實(shí)體，安全切換發(fā)生在衛(wèi)星系統(tǒng)內(nèi)部，實(shí)施較為容易，本文不討論點(diǎn)波束切換下的安全切換。

衛(wèi)星間切換[23]是指當(dāng)用戶從一顆衛(wèi)星的信號(hào)覆蓋范圍運(yùn)動(dòng)到另一顆衛(wèi)星的覆蓋范圍下時(shí)，為了保持業(yè)務(wù)的連續(xù)性，用戶節(jié)點(diǎn)需要在衛(wèi)星之間切換。如圖3的B、C、D三點(diǎn)處，由于覆蓋范圍相對(duì)變化，使得用戶在衛(wèi)星之間發(fā)生切換，由于切換前后接入衛(wèi)星不同，用戶在衛(wèi)星間鏈路切換的同時(shí)，安全切換需實(shí)現(xiàn)用戶接入認(rèn)證狀態(tài)的遷移，以及確保切換過程的安全性，這也是確保無縫切換、保持業(yè)務(wù)連續(xù)性的關(guān)鍵。

（3）域內(nèi)切換與域間切換

域內(nèi)切換指的是在同一信任域內(nèi)的切換，域內(nèi)的空天網(wǎng)絡(luò)節(jié)點(diǎn)屬于同一信任域，用戶的切換在域內(nèi)節(jié)點(diǎn)上進(jìn)行。而域間切換則是用戶在不同信息域之間發(fā)了切換，即用戶前后接入的節(jié)點(diǎn)分屬于不同的信任域。為了保持業(yè)務(wù)連續(xù)性，用戶需要闊別家鄉(xiāng)網(wǎng)絡(luò)，切換到另一域內(nèi)，此時(shí)就要發(fā)生跨域的安全切換[24]。如圖3中的A、B、D三點(diǎn)屬于域內(nèi)切換，而C點(diǎn)處發(fā)生了域間切換。在空天網(wǎng)絡(luò)中，實(shí)現(xiàn)跨域的安全切換，可能存在于跨地理位置或者跨層的切換，這些接入網(wǎng)絡(luò)之間屬于不同的信任域，因此在進(jìn)行安全切換時(shí)，需要進(jìn)行跨域的信任協(xié)商[25]，從而實(shí)現(xiàn)用戶的自由切換。

（4）星間鏈路切換

星上搭載的數(shù)個(gè)激光設(shè)備會(huì)使衛(wèi)星與范圍內(nèi)的若干個(gè)衛(wèi)星建立鏈路，由于衛(wèi)星軌道的錯(cuò)落分布，所屬于不同軌道的衛(wèi)星之間的鏈路通常會(huì)間歇性連通。

如圖4 所示，空天網(wǎng)絡(luò)某區(qū)域存在交匯的三條軌道，從ta時(shí)刻到tb時(shí)刻，衛(wèi)星B與C的星間鏈路斷開，而A與D建立起一條新的鏈路。星間鏈路的建立和斷開是頻繁的，而建立鏈路的衛(wèi)星之間也需要進(jìn)行相互認(rèn)證以保證切換的安全性[26]，因此星間鏈路也存在安全切換的問題。

圖4 星間鏈路切換Fig.4 Intersatellite link handover

2.2 空天網(wǎng)絡(luò)切換流程

通過對(duì)空天網(wǎng)絡(luò)切換的研究與分析，符合切換流程，相應(yīng)地，空天網(wǎng)絡(luò)安全切換主要包括切換感知、接入基站選擇、切換認(rèn)證以及切換密鑰更新等四個(gè)階段。階段間的關(guān)系及實(shí)施流程如圖5所示。

圖5 安全切換的實(shí)施流程Fig.5 Implementation process of security handover

第一階段：切換感知。主要是感知切換的發(fā)生，包括接入基站信號(hào)強(qiáng)弱感知、切換位置與時(shí)間的預(yù)測(cè)等。網(wǎng)絡(luò)中切換發(fā)生的根本原因，是由于用戶與接入基站之間的相對(duì)高速運(yùn)動(dòng)，造成接入基站對(duì)用戶覆蓋區(qū)域的減小或信道環(huán)境惡化，從而引起切換以保持業(yè)務(wù)的連續(xù)性。倘若僅將當(dāng)前接入節(jié)點(diǎn)的覆蓋信號(hào)強(qiáng)度作為切換的判定依據(jù)，在原信號(hào)強(qiáng)度和新切換信號(hào)強(qiáng)度趨近時(shí)易造成乒乓效應(yīng)。因此，飛行器的切換時(shí)間和位置等關(guān)鍵信息的預(yù)測(cè)和掌握，對(duì)安全切換的控制至關(guān)重要。通過預(yù)知飛行器將要發(fā)生切換的時(shí)間及位置，提供接入服務(wù)的衛(wèi)星節(jié)點(diǎn)一端也可以提前制定合理的信道預(yù)留方案，以保證切換過程的服務(wù)質(zhì)量，同時(shí)提高切換的準(zhǔn)確性、合理性。

第二階段：接入基站選擇。當(dāng)預(yù)測(cè)發(fā)生切換后，通常情況下，在切換位置會(huì)同時(shí)存在多個(gè)提供信號(hào)覆蓋的可接入節(jié)點(diǎn)，如何從多個(gè)接入基站中選擇出最優(yōu)的，確保業(yè)務(wù)連續(xù)性的質(zhì)量，是安全切換的亟待解決的關(guān)鍵問題，特別是在軌道縱橫交錯(cuò)、跨軌道跨平面切換時(shí)，基站的選擇涉及用戶移動(dòng)的位置、軌跡，接入點(diǎn)的運(yùn)動(dòng)軌跡，服務(wù)質(zhì)量等。因此，研究基站預(yù)測(cè)、安全切換策略、最優(yōu)化選擇等，將會(huì)為空天網(wǎng)絡(luò)中用戶的自由切換奠定技術(shù)基礎(chǔ)。

第三階段：切換認(rèn)證。本階段解決的問題是當(dāng)用戶發(fā)生切換時(shí)，如何避免重復(fù)性接入認(rèn)證，快速地進(jìn)行信任的鑒別。在該階段包括信任狀態(tài)傳遞以及安全切換觸發(fā)。其中信任狀態(tài)傳遞，完成接入用戶安全狀態(tài)的遷移，使得安全切換做到快速、無縫化，以實(shí)現(xiàn)平滑切換；安全切換觸發(fā)，即在發(fā)生切換時(shí)，通過輕量級(jí)的安全切換協(xié)議觸發(fā)用戶切換認(rèn)證的完成。

第四階段：切換密鑰更新。在基于安全上下文等切換認(rèn)證機(jī)制中，為提高切換效率，用戶與新的接入基站間的會(huì)話密鑰通常由舊的接入基站代理產(chǎn)生。由于用戶需要在新的基站下駐留一段時(shí)間，長(zhǎng)期使用代理產(chǎn)生的會(huì)話密鑰會(huì)存在一定風(fēng)險(xiǎn)，因此用戶需要更新會(huì)話密鑰，以保證后續(xù)服務(wù)的安全性。

3 空天網(wǎng)絡(luò)安全切換技術(shù)研究

依托于空天網(wǎng)絡(luò)安全切換流程，本文從切換感知技術(shù)、基站選擇技術(shù)、切換認(rèn)證技術(shù)，對(duì)空天網(wǎng)絡(luò)安全切換技術(shù)的研究進(jìn)行了歸納與分析。

3.1 安全切換感知技術(shù)研究

切換感知階段主要是對(duì)用戶自身所處的信號(hào)質(zhì)量進(jìn)行評(píng)估，確定當(dāng)前擁有的網(wǎng)絡(luò)資源是否能夠滿足業(yè)務(wù)通信的需求，判別是否需要切換、預(yù)測(cè)切換的時(shí)間與地點(diǎn)，并探知切換基站的相關(guān)信息，為接入基站的最優(yōu)選擇提供參數(shù)的評(píng)估。可見，安全切換感知技術(shù)的研究主要包括接入節(jié)點(diǎn)信號(hào)覆蓋下服務(wù)持續(xù)性評(píng)估以及安全切換參數(shù)的測(cè)量。由于接入基站、接入用戶的相對(duì)運(yùn)動(dòng)，其狀態(tài)信息是時(shí)刻變化的，安全切換的感知也需動(dòng)態(tài)更新，對(duì)于參數(shù)采樣的時(shí)間間隔應(yīng)設(shè)置在一個(gè)合適的范圍，既要保證參數(shù)信息的精度，又要避免頻繁的參數(shù)更新為系統(tǒng)帶來的負(fù)擔(dān)。

3.1.1 基于服務(wù)持續(xù)性評(píng)估的切換分析方法

在空天網(wǎng)絡(luò)中，預(yù)測(cè)安全切換發(fā)生需求，通常依賴于接入衛(wèi)星基站（浮空器）提供的服務(wù)質(zhì)量來進(jìn)行衡量，即接入基站的服務(wù)覆蓋范圍性能評(píng)估。服務(wù)質(zhì)量（quality of service，QoS）是用來衡量網(wǎng)絡(luò)狀況是否良好的重要指標(biāo)，為保證網(wǎng)絡(luò)質(zhì)量并為可能發(fā)生的切換做準(zhǔn)備，用戶節(jié)點(diǎn)會(huì)周期性地對(duì)各種影響服務(wù)質(zhì)量的關(guān)鍵因素進(jìn)行感知和評(píng)估，如信號(hào)強(qiáng)度、往返時(shí)延、分組丟失率、網(wǎng)絡(luò)負(fù)載、服務(wù)時(shí)間、業(yè)務(wù)需求等。其中信號(hào)強(qiáng)度是影響QoS的直接因素，有時(shí)信號(hào)強(qiáng)度會(huì)因?yàn)橐恍└蓴_造成短暫的衰減，并非用戶節(jié)點(diǎn)將要離開當(dāng)前接入點(diǎn)，因此有必要對(duì)該項(xiàng)參數(shù)的動(dòng)態(tài)獲取，避免不必要的切換。

文獻(xiàn)[27]通過建立空天網(wǎng)絡(luò)的信道模型，對(duì)信號(hào)強(qiáng)度等信道特征變化進(jìn)行監(jiān)控，提出了能夠自適應(yīng)信道條件變化的高效率切換算法。文獻(xiàn)[28]提出了一種基于當(dāng)前網(wǎng)絡(luò)剩余可持續(xù)時(shí)間的切換管理方案HM-LRT（handover management scheme based on link remaining time），提前為下一次切換的路由表變更做準(zhǔn)備，減少切換過程的數(shù)據(jù)丟失。文獻(xiàn)[29]設(shè)計(jì)了基于SDN 的空天網(wǎng)絡(luò)切換機(jī)制，由控制器定期更新衛(wèi)星位置、信號(hào)強(qiáng)度、可用資源等狀態(tài)信息，用于預(yù)知可能到來的切換，當(dāng)信號(hào)強(qiáng)度低于預(yù)認(rèn)證閾值時(shí)，源節(jié)點(diǎn)將預(yù)認(rèn)證信息轉(zhuǎn)發(fā)給用戶，從而實(shí)現(xiàn)信任的傳遞，有效克服了由于安全需求而導(dǎo)致切換延遲大的缺點(diǎn)。

3.1.2 基于運(yùn)動(dòng)軌跡的安全切換參數(shù)確定方法

用戶脫離原衛(wèi)星節(jié)點(diǎn)的信號(hào)覆蓋是發(fā)生切換的主要原因，因此需要掌握衛(wèi)星和用戶節(jié)點(diǎn)的運(yùn)動(dòng)軌跡，以便預(yù)先進(jìn)行切換準(zhǔn)備工作，從而提高系統(tǒng)在切換時(shí)的響應(yīng)速度，盡可能降低切換時(shí)延對(duì)用戶服務(wù)質(zhì)量帶來的影響。此外，對(duì)于空間節(jié)點(diǎn)的真實(shí)個(gè)體而言，其某一時(shí)刻在物理空間中所處的位置具有唯一性，不可以被其他節(jié)點(diǎn)所頂替，通過將節(jié)點(diǎn)位置等信息引入安全切換參數(shù)中，可以有效提高節(jié)點(diǎn)間身份認(rèn)證的安全性。

（1）對(duì)用戶移動(dòng)軌跡的預(yù)測(cè)

對(duì)于飛行器等空中移動(dòng)節(jié)點(diǎn)的航跡預(yù)測(cè)，目前通常采用卡爾曼濾波算法[30]。文獻(xiàn)[31]將該方法引入到空天網(wǎng)絡(luò)的切換研究中，通過建立用戶運(yùn)動(dòng)方程及計(jì)算卡爾曼增益，實(shí)現(xiàn)了對(duì)移動(dòng)用戶未來時(shí)刻的位置和速度的預(yù)測(cè)，并通過實(shí)驗(yàn)證實(shí)了卡爾曼濾波法得到的用戶預(yù)測(cè)位置能夠較好地接近實(shí)際位置。

（2）對(duì)衛(wèi)星移動(dòng)軌跡的預(yù)測(cè)

SGP4[32]是一種常用的低軌道外推算法，其充分考慮了地球引力、大氣阻力等因素對(duì)于LEO 衛(wèi)星運(yùn)動(dòng)軌跡的影響，具有較高的預(yù)測(cè)精度。文獻(xiàn)[33]在空天網(wǎng)絡(luò)切換研究中，通過結(jié)合SGP4提出了一種面向LEO衛(wèi)星的星下點(diǎn)軌跡預(yù)測(cè)方法，并由預(yù)測(cè)的星下點(diǎn)軌跡定期更新星歷，用以預(yù)測(cè)將要發(fā)生的切換。

（3）對(duì)于切換發(fā)生相對(duì)位置的預(yù)測(cè)

在（1）、（2）兩類預(yù)測(cè)算法中，可分別求得用戶和衛(wèi)星的移動(dòng)軌跡，再通過兩者未來運(yùn)動(dòng)軌跡時(shí)間空間上的重疊求得切換發(fā)生位置。然而，有學(xué)者提出了基于多普勒頻移技術(shù)的目標(biāo)切換位置和時(shí)刻的預(yù)測(cè)算法，該算法是以用戶和衛(wèi)星節(jié)點(diǎn)的相對(duì)位置為研究對(duì)象，因此預(yù)測(cè)結(jié)果可直接用于確定切換位置和時(shí)刻。Papapetrou等人在其研究中[34-35]針對(duì)LEO衛(wèi)星網(wǎng)絡(luò)地面節(jié)點(diǎn)切換問題，提出一種基于動(dòng)態(tài)多普勒技術(shù)的LEO 切換選擇算法DDBHP，通過檢測(cè)多普勒頻移可以測(cè)得某一時(shí)刻節(jié)點(diǎn)衛(wèi)星的仰角，并且在不同時(shí)刻進(jìn)行測(cè)量可進(jìn)一步推得節(jié)點(diǎn)衛(wèi)星與飛行器之間的方位角。基于該特點(diǎn)，有學(xué)者在研究中提出了基于多普勒的切換時(shí)間及位置預(yù)測(cè)方法[36-37]，簡(jiǎn)要描述如下：

設(shè)R為地球半徑，H、h分別為衛(wèi)星和飛行器距地面高度，α為在T時(shí)刻通過檢測(cè)多普勒頻移得到的衛(wèi)星相對(duì)于飛行器的仰角。則衛(wèi)星和飛行器垂直于地面的夾角β可表示為：

以飛行器距離地心距離R+h為半徑，地心為球心做球面，衛(wèi)星的信號(hào)覆蓋在此球面上進(jìn)行投影，得到以衛(wèi)星視角的俯視圖和側(cè)視圖如圖6所示。

圖6 不同角度的衛(wèi)星覆蓋視圖Fig.6 Satellite coverage view from different angles

設(shè)飛行器沿箭頭所指方向巡航飛行，并分別于tA和tB時(shí)刻先后經(jīng)過點(diǎn)A和B，其相應(yīng)的仰角分別為αA和αB,C為將來的切換發(fā)生點(diǎn)。則由式（1）可推算出飛行器位于A、B兩點(diǎn)時(shí)，分別對(duì)應(yīng)的地心夾角βA和βB。

同時(shí)，飛行器以巡航速度V運(yùn)動(dòng)，在從A到B過程中經(jīng)過的角度為：

在球面三角形中，由幾何關(guān)系可以得：

當(dāng)飛行器與衛(wèi)星的通信仰角最小時(shí)發(fā)生切換，設(shè)切換點(diǎn)為C，此時(shí)仰角為αC，則由式（1）可得此時(shí)的地心夾角βC，并且由幾何關(guān)系可得：

因此由式（3）、（4）可知∠BOC=π-∠OBC-∠OCB,設(shè)飛行器從B到C經(jīng)過的角度為φ′，則由式（2）可得：

從而可知切換時(shí)刻為：

但是，孟夢(mèng)等人[38]指出了文獻(xiàn)[35-36]中求解切換位置的方案存在局限性，比如衛(wèi)星處于極點(diǎn)位置時(shí)會(huì)存在無法得到飛行器坐標(biāo)的情況，繼而在此基礎(chǔ)上提出了一種基于平面扇形角訂立的任意點(diǎn)切換定位算法。如圖7所示，假設(shè)已知A點(diǎn)坐標(biāo)為(LatA),LongA，l 為弧長(zhǎng)，n為扇形圓心角，r為扇形半徑，并將飛行器速度分別沿緯線、經(jīng)線方向進(jìn)行分解為VLat、VLong，切換發(fā)生時(shí)間t已由式（6）推得。

圖7 切換點(diǎn)位置算法示意圖Fig.7 Schematic diagram of handover point location algorithm

因此由幾何關(guān)系得到：

上式中求得的(LatC),LongC即為發(fā)生切換的邊界點(diǎn)坐標(biāo)。

上述常用預(yù)測(cè)方法的對(duì)比如表1所示。

表1 常用預(yù)測(cè)方法對(duì)比Table 1 Comparison of commonly used prediction methods

3.2 接入基站選擇技術(shù)研究

接入基站選擇是執(zhí)行安全切換前的必要流程，通過制定安全切換策略，為用戶設(shè)定合理的切換發(fā)起時(shí)間，并在目標(biāo)接入基站處執(zhí)行信道預(yù)留和排隊(duì)策略，以保證切換執(zhí)行過程的可靠性；另一方面，由于用戶所在切換區(qū)域的候選基站可能并不唯一，在此情景下，需要將接入基站的各項(xiàng)屬性狀態(tài)及用戶的偏好相結(jié)合，為用戶選擇最佳的切換目標(biāo)基站。因此，在用戶發(fā)起切換認(rèn)證前，需要執(zhí)行安全切換策略控制以及選擇最優(yōu)接入基站，從而確保用戶的切換服務(wù)質(zhì)量。

3.2.1 安全切換策略控制研究

安全切換策略控制，目的是在安全切換發(fā)生前，為在可切換范圍內(nèi)的接入基站中選擇最優(yōu)接入點(diǎn)提供依據(jù)，也為無縫安全切換預(yù)留最優(yōu)的服務(wù)質(zhì)量。安全切換策略包括接入基站運(yùn)行軌跡、持續(xù)提供服務(wù)的時(shí)間、鏈路帶寬、待接入基站安全狀態(tài)以及其提供服務(wù)的類型等。安全切換策略的實(shí)施，則是在切換感知到切換發(fā)生之間的時(shí)隙執(zhí)行，這個(gè)時(shí)隙被稱為切換門限[39]，在這個(gè)門限期間，實(shí)現(xiàn)對(duì)接入基站的選擇、接入認(rèn)證狀態(tài)遷移、通信信道預(yù)留等。目前對(duì)切換策略的研究，關(guān)注點(diǎn)仍然在于空天節(jié)點(diǎn)較少情況下信道的預(yù)留方面，較少關(guān)注空天復(fù)雜網(wǎng)絡(luò)。

文獻(xiàn)[38]提出了基于SIM（satellite information manager）的空天網(wǎng)絡(luò)安全切換架構(gòu)，如圖8所示。該架構(gòu)建立了切換衛(wèi)星選擇策略，策略從待接入基站覆蓋范圍、信道資源、運(yùn)行軌跡、安全等級(jí)、切換門限閾值、服務(wù)質(zhì)量等角度進(jìn)行探討，為接入基站的選擇提供了依據(jù)。

圖8 基于SIM的空天網(wǎng)絡(luò)安全切換架構(gòu)Fig.8 SIM-based aerospace network security handover architecture

由于LEO 衛(wèi)星繞軌飛行具有周期性，Wu 等[40]提出了一種基于圖的低地球軌道衛(wèi)星通信網(wǎng)絡(luò)的衛(wèi)星切換框架，通過預(yù)先計(jì)算出以衛(wèi)星覆蓋周期為節(jié)點(diǎn)的有向圖，將用戶在衛(wèi)星間的切換視為一條有向邊，并將切換標(biāo)準(zhǔn)轉(zhuǎn)換為邊的權(quán)重，并可根據(jù)不同的標(biāo)準(zhǔn)設(shè)置權(quán)值從而影響用戶的實(shí)際切換，將衛(wèi)星切換過程轉(zhuǎn)化為在代表所有可能切換路徑的有向圖中尋找一條路徑。文獻(xiàn)[41]使用時(shí)間演進(jìn)圖對(duì)覆蓋移動(dòng)用戶的移動(dòng)節(jié)點(diǎn)進(jìn)行建模，并利用高斯-馬爾可夫模型估算出用戶的星下覆蓋時(shí)間，用以確定子圖的更新周期Δt。圖9中的k個(gè)子圖分別對(duì)應(yīng)k個(gè)關(guān)于該用戶的星下覆蓋間隙情況，該時(shí)間演進(jìn)圖還允許根據(jù)切換準(zhǔn)則對(duì)有向圖的邊權(quán)重進(jìn)行設(shè)置，從而通過最短路徑的求解來求解最優(yōu)路徑。

圖9 基于時(shí)間演進(jìn)圖的切換預(yù)測(cè)模型Fig.9 Handover prediction model based on time evolution graph

3.2.2 接入基站的最優(yōu)選擇

接入基站的選擇，是在切換感知后，依托用戶業(yè)務(wù)需求、運(yùn)動(dòng)軌跡等信息選擇合適的接入基站。其選擇由多個(gè)因素來決定，比如接入基站容忍的最大業(yè)務(wù)負(fù)荷、空天節(jié)點(diǎn)距離長(zhǎng)短、運(yùn)動(dòng)方向的契合度等。通常情況下，依據(jù)業(yè)務(wù)需求權(quán)重不一，主要包括最大容量準(zhǔn)則、最強(qiáng)信號(hào)準(zhǔn)則、最小距離準(zhǔn)則以及最大服務(wù)時(shí)間準(zhǔn)則等，如表2所示。

表2 通用參考準(zhǔn)則Table 2 General reference guidelines

然而，在安全切換時(shí)，移動(dòng)用戶節(jié)點(diǎn)在下一時(shí)刻存在多星冗余覆蓋，即待切換基站存在多個(gè)候選對(duì)象，究竟選擇哪個(gè)接入基站能確保業(yè)務(wù)的高可靠性、高可用性、高安全性等，是空天網(wǎng)絡(luò)無縫安全切換的關(guān)鍵。從多個(gè)候選基站中選擇最優(yōu)的進(jìn)行切換接入的過程，稱之為切換判決，即接入基站的最優(yōu)選擇。

對(duì)于多接入目標(biāo)節(jié)點(diǎn)的選擇，文獻(xiàn)[42]分析了仰角對(duì)鏈路電平余量及誤碼率等系統(tǒng)性能的影響，并發(fā)現(xiàn)以往的最長(zhǎng)覆蓋時(shí)間策略會(huì)使得用戶大概率處于低仰角，從而造成信道惡化。由此提出了以仰角和覆蓋時(shí)間加權(quán)策略作為切換判決的方法，在保證較長(zhǎng)覆蓋時(shí)間的同時(shí)有效避免了對(duì)信道質(zhì)量的影響。文獻(xiàn)[43]將切換目標(biāo)選取表述為隨機(jī)優(yōu)化問題，為了實(shí)現(xiàn)長(zhǎng)期的全局優(yōu)化，采用以信號(hào)質(zhì)量和剩余服務(wù)時(shí)間相結(jié)合的準(zhǔn)則，并提出了基于Q 學(xué)習(xí)的決策方案來訓(xùn)練出一個(gè)相對(duì)穩(wěn)定的切換判決策略，在降低用戶切換頻次方面得到了較好的結(jié)果。

除此之外，有學(xué)者認(rèn)為在接入基站最優(yōu)選擇時(shí)，可融入多因素進(jìn)行綜合衡量、決策，以滿足多種業(yè)務(wù)需求。分析提取空天網(wǎng)絡(luò)安全接入屬性，為屬性賦予權(quán)重，權(quán)重隨著空天網(wǎng)絡(luò)移動(dòng)用戶的業(yè)務(wù)需求動(dòng)態(tài)適變，以此從候選接入基站中獲得最優(yōu)解，即將安全切換判決看作參數(shù)能夠自適應(yīng)的多屬性決策問題。文獻(xiàn)[44]在權(quán)重值計(jì)算方面采用離差最大化的組合賦權(quán)法，將信號(hào)強(qiáng)度、持續(xù)時(shí)間和空閑信道數(shù)量引入其多屬性切換決策算法中，最優(yōu)解選擇過程使用了TOPSIS（technique for order preference by similarity to an ideal solution）法[45-46]，最終實(shí)現(xiàn)了減少切換頻率，提高通信質(zhì)量以及均衡信道利用率的效果。文獻(xiàn)[47]提出了一種將層次分析法（analytic hierarchy process，AHP）與TOPSIS 法相結(jié)合的接入點(diǎn)選擇算法。該算法首先確定了信號(hào)強(qiáng)度、覆蓋時(shí)間等效益屬性和傳輸時(shí)延等成本屬性，只有滿足效益屬性高于設(shè)定閾值并且成本屬性低于設(shè)定閾值的節(jié)點(diǎn)才會(huì)被保留，以達(dá)到對(duì)候選節(jié)點(diǎn)集的初步篩選，再通過AHP法確定各屬性的權(quán)重，最后利用TOPSIS 法對(duì)各個(gè)節(jié)點(diǎn)的綜合性能進(jìn)行排序，從而選出最優(yōu)接入節(jié)點(diǎn)。

文獻(xiàn)[48]結(jié)合網(wǎng)絡(luò)為中心和用戶為中心兩個(gè)維度，從抗毀性、負(fù)載均衡、節(jié)點(diǎn)性能、網(wǎng)絡(luò)QoS及用戶偏好共五方面出發(fā)，選取仰角、接收信號(hào)強(qiáng)度、網(wǎng)絡(luò)帶寬、數(shù)據(jù)傳輸速率、安全等級(jí)、節(jié)點(diǎn)可信度、接入負(fù)載以及用戶偏好等判決指標(biāo)，建立了如圖10所示的切換判決指標(biāo)樹。由服務(wù)質(zhì)量權(quán)重向量和用戶偏好向量生成綜合指標(biāo)權(quán)重，并設(shè)計(jì)了損失函數(shù)、增益指標(biāo)和損失指標(biāo)的歸一化函數(shù)，通過演化博弈理論建立了切換判決策略的動(dòng)態(tài)復(fù)制方程，從而實(shí)現(xiàn)了基于動(dòng)態(tài)平衡策略的切換判決機(jī)制。

圖10 切換判決指標(biāo)樹Fig.10 Handover decision index tree

從以上研究中可以看出，對(duì)于切換節(jié)點(diǎn)選擇的算法設(shè)計(jì)中的多屬性決策問題的解決思路并不唯一，但都離不開計(jì)算開銷輕量化、對(duì)動(dòng)態(tài)環(huán)境變化快速響應(yīng)、保證用戶切換性能等目標(biāo)。另外，Wang 等人[49]對(duì)于異構(gòu)無線網(wǎng)絡(luò)中節(jié)點(diǎn)選擇的模型建立問題調(diào)查了各種數(shù)學(xué)工具，包括模糊邏輯、博弈論、效用理論、成本函數(shù)、馬爾可夫鏈、組合優(yōu)化和多屬性決策。

用戶節(jié)點(diǎn)完成對(duì)于候選切換接入節(jié)點(diǎn)的選擇，得到切換接入預(yù)約的下一接入節(jié)點(diǎn)根據(jù)其策略完成服務(wù)預(yù)留工作，當(dāng)用戶節(jié)點(diǎn)到達(dá)預(yù)定切換位置時(shí)，執(zhí)行正式切換請(qǐng)求。

3.3 切換認(rèn)證技術(shù)研究

切換認(rèn)證，是在切換發(fā)生時(shí)接入基站對(duì)切換來的移動(dòng)用戶進(jìn)行身份的合法性驗(yàn)證，以實(shí)現(xiàn)移動(dòng)用戶身份的可信保持。在空天網(wǎng)絡(luò)中，由于頻繁的切換帶來的接入認(rèn)證的開銷較大，這就要求切換認(rèn)證盡量地輕量級(jí)，避免重復(fù)性的接入認(rèn)證，實(shí)現(xiàn)安全切換的快速性、無縫化以及安全性等。目前針對(duì)切換認(rèn)證的研究，主要集中在預(yù)先認(rèn)證、安全上下文傳遞以及會(huì)話密鑰生成等方面。

3.3.1 基于預(yù)先認(rèn)證的切換認(rèn)證機(jī)制

預(yù)先認(rèn)證機(jī)制中，移動(dòng)用戶節(jié)點(diǎn)通過當(dāng)前基站衛(wèi)星，與待接入基站衛(wèi)星進(jìn)行預(yù)先認(rèn)證，以減小切換后認(rèn)證時(shí)延。認(rèn)證過程通常依托密碼學(xué)機(jī)制實(shí)現(xiàn)，但由于空天鏈路間歇、通信時(shí)延大，基于公鑰基礎(chǔ)設(shè)施（public key infrastructure，PKI）的身份驗(yàn)證方式由于證書管理機(jī)制復(fù)雜，需要在線證書支持，不適合空天網(wǎng)絡(luò)環(huán)境，而基于身份密碼學(xué)（identity-based cryptography，IBC）的空天網(wǎng)絡(luò)的認(rèn)證機(jī)制受到了研究者的青睞。因?yàn)橹饕枷胧侨魏螌?shí)體的公鑰都可以由一個(gè)任意的字符串（如用戶名稱、郵件地址等）來生成，而不需另行派發(fā)公鑰，與之對(duì)應(yīng)的私鑰則由可信機(jī)構(gòu)（private key generator，PKG）生成，屬于無證書公鑰密碼體制，從而有效解決了基于證書密碼體制因公鑰存儲(chǔ)和管理在空天網(wǎng)絡(luò)場(chǎng)景中不能很好適用的問題，并且所采用的雙線性映射方案的安全性能夠得到證明[50]。

彭長(zhǎng)艷等[51]利用LEO 衛(wèi)星網(wǎng)絡(luò)和臨近空間網(wǎng)絡(luò)拓?fù)渚哂锌深A(yù)測(cè)性的特點(diǎn)，提出了一種基于預(yù)認(rèn)證機(jī)制的快速水平切換算法，通過IBC機(jī)制實(shí)現(xiàn)網(wǎng)絡(luò)中的所有用戶和衛(wèi)星公私鑰對(duì)的配發(fā)，在用戶預(yù)知切換目標(biāo)并進(jìn)入其覆蓋范圍后便提前執(zhí)行認(rèn)證過程，由用戶的當(dāng)前接入衛(wèi)星協(xié)助轉(zhuǎn)發(fā)消息，實(shí)現(xiàn)用戶與目的衛(wèi)星的驗(yàn)證消息簽密，以驗(yàn)證消息的合法性來保證雙向認(rèn)證的達(dá)成，等到前后衛(wèi)星的信號(hào)強(qiáng)度達(dá)到預(yù)定的切換條件時(shí)再執(zhí)行鏈路切換。為了提高IBC機(jī)制在切換認(rèn)證中的適用性，文獻(xiàn)[52]提出了基于區(qū)塊鏈的安全輕量認(rèn)證模型，如圖11所示。PKG 在區(qū)塊鏈中被稱為注冊(cè)機(jī)構(gòu)RA，在用戶的注冊(cè)階段由中心RA結(jié)合用戶的多維屬性生成網(wǎng)絡(luò)中的唯一訪問標(biāo)識(shí)符AID并將其添加到區(qū)塊鏈中，并且分布式的RA可根據(jù)ECC算法為用戶計(jì)算生成部分私鑰，最終的私鑰由用戶根據(jù)身份相關(guān)的組合策略生成。從而實(shí)現(xiàn)了PKG功能在多個(gè)RA節(jié)點(diǎn)上的分布式布置，從網(wǎng)絡(luò)結(jié)構(gòu)和密鑰派發(fā)流程上有效地解決了空天網(wǎng)絡(luò)場(chǎng)景中傳統(tǒng)IBC機(jī)制中PKG帶來的密鑰托管問題。

圖11 基于區(qū)塊鏈的安全輕量認(rèn)證模型Fig.11 Safe and lightweight authentication model based on blockchain

基于預(yù)先認(rèn)證的切換認(rèn)證機(jī)制能夠從切換流程上進(jìn)行優(yōu)化，利用切換執(zhí)行前的時(shí)間去完成用戶與節(jié)點(diǎn)間的相互認(rèn)證，但是此類方法需要用戶與目的衛(wèi)星重新執(zhí)行接入認(rèn)證流程，交互次數(shù)與計(jì)算量較大，增加了切換的代價(jià)。

3.3.2 基于安全上下文的切換認(rèn)證機(jī)制

安全上下的切換認(rèn)證，不同于預(yù)先認(rèn)證機(jī)制，該機(jī)制下要求當(dāng)前基站節(jié)點(diǎn)將移動(dòng)用戶相關(guān)的安全狀態(tài)信息、認(rèn)證信息、業(yè)務(wù)會(huì)話信息、節(jié)點(diǎn)信息、通信狀態(tài)、切換密鑰等，通過當(dāng)前基站與待接入基站之間的安全隧道進(jìn)行預(yù)先傳遞，縮減切換認(rèn)證協(xié)議的計(jì)算復(fù)雜度，從而減小移動(dòng)用戶在切換時(shí)的認(rèn)證開銷，實(shí)現(xiàn)觸發(fā)式的切換認(rèn)證。

Qian等人[53]較早地在將基于安全上下文傳輸（security context transfer，SCT）的方案應(yīng)用到空天網(wǎng)絡(luò)切換認(rèn)證中，在其設(shè)計(jì)方案中，由一個(gè)空天基站負(fù)責(zé)在當(dāng)前衛(wèi)星和可能成為切換目標(biāo)的衛(wèi)星之間建立雙向的安全通道，負(fù)責(zé)上下文信息的安全轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)用戶和目的衛(wèi)星的雙向認(rèn)證。文獻(xiàn)[38]將安全性歷史信息引入到安全上下文內(nèi)容中，安全性歷史信息由用戶初次接入認(rèn)證時(shí)的主密鑰、歷史切換認(rèn)證密鑰組、安全上下文壽命信息等構(gòu)成，通過完善安全上下文內(nèi)容，進(jìn)一步提高了切換認(rèn)證的安全性。文獻(xiàn)[54]從可信保持的角度看待切換認(rèn)證，提出了一種基于信任度和安全上下文傳遞的安全切換協(xié)議，并在其方案中建立了如圖12 所示的動(dòng)態(tài)信任演化機(jī)制。

圖12 動(dòng)態(tài)信任演化機(jī)制Fig.12 Dynamic trust evolution mechanism

文獻(xiàn)[55]提出了一種基于共識(shí)的切換認(rèn)證方案，該方案的原理如圖13所示。首先根據(jù)軌道和業(yè)務(wù)流量對(duì)衛(wèi)星進(jìn)行動(dòng)態(tài)區(qū)域劃分，并使用分布式Hash表（distributed Hash table，DHT）的方式對(duì)區(qū)域內(nèi)用戶的認(rèn)證Token進(jìn)行管理，實(shí)現(xiàn)區(qū)域內(nèi)衛(wèi)星對(duì)用戶認(rèn)證結(jié)果的共享和互信，對(duì)于不同區(qū)域間的認(rèn)證，則通過Hash鎖定的方式避免了對(duì)用戶Token和私鑰的依賴，并使用群簽名的方式實(shí)現(xiàn)了衛(wèi)星節(jié)點(diǎn)對(duì)于來自其他區(qū)域的授權(quán)條目的有效性查詢。相較于其他幾個(gè)關(guān)于安全上下文傳遞的方案，文獻(xiàn)[55]中基于共識(shí)的切換認(rèn)證方案可以看作將安全上下文的預(yù)先傳遞由單播變?yōu)榻M播。

圖13 基于共識(shí)機(jī)制的切換認(rèn)證方案Fig.13 Handover authentication scheme based on consensus mechanism

相比預(yù)先認(rèn)證機(jī)制，上下文傳遞的優(yōu)勢(shì)在于可以充分依托已有的資源完成可信的保持，從而避免重新執(zhí)行整個(gè)協(xié)議交換去建立繁瑣的認(rèn)證接入過程，而利用輕便、快捷的協(xié)議設(shè)計(jì)在低延時(shí)的條件下實(shí)現(xiàn)了高效的無縫化切換，實(shí)現(xiàn)了將“安全”狀態(tài)的切換，但是它的前提是衛(wèi)星節(jié)點(diǎn)之間需要具有信任關(guān)系。

將上述不同的安全認(rèn)證方案匯總對(duì)比如表3所示。

表3 安全認(rèn)證方案對(duì)比Table 3 Comparison of security authentication schemes

3.4 切換密鑰更新

切換認(rèn)證后，舊的會(huì)話被撤銷，新的會(huì)話被創(chuàng)建，為確保用戶會(huì)話的安全性，防止唯密文攻擊，需要重新協(xié)商會(huì)話密鑰，同時(shí)空天網(wǎng)絡(luò)中節(jié)點(diǎn)計(jì)算資源有限，鏈路間歇連通也對(duì)密鑰協(xié)商提出了交互次數(shù)少、運(yùn)算效率高的需求。針對(duì)空天網(wǎng)絡(luò)切換認(rèn)證后會(huì)話密鑰的協(xié)商，諸多學(xué)者依據(jù)空天網(wǎng)絡(luò)切換流程給出了相關(guān)方案。

文獻(xiàn)[56]充分權(quán)衡空天節(jié)點(diǎn)的特點(diǎn)，提出了一種基于身份的分布式密鑰管理方案，系統(tǒng)中的PKG 會(huì)在初始化后向成員公開一些用于密鑰管理的重要參數(shù)，在會(huì)話密鑰更新過程中，會(huì)話雙方只需經(jīng)過一次交互，并結(jié)合各自掌握的相關(guān)參數(shù)進(jìn)行異或運(yùn)算得到相同的秘密值，即可實(shí)現(xiàn)新的會(huì)話密鑰協(xié)商。為了解決空天網(wǎng)絡(luò)密鑰更新過程計(jì)算與通信成本高的問題，文獻(xiàn)[57]提出了利用切換認(rèn)證消息進(jìn)行密鑰更新的方案，用戶和衛(wèi)星分別選取秘密值a和b，而P為系統(tǒng)中公開的參數(shù)，雙方分別構(gòu)造出N=aP和M=bP，雙方只需在切換認(rèn)證的交互中捎帶完成對(duì)N和M進(jìn)行交換，即可協(xié)商出密鑰K=abP，從而實(shí)現(xiàn)高效的切換認(rèn)證和密鑰更新。

文獻(xiàn)[58]提出了一種基于組密鑰的空天網(wǎng)絡(luò)密鑰管理方案，由衛(wèi)星或浮空器擔(dān)任組管理者，而其下轄的若干個(gè)用戶作為組員，當(dāng)有新成員加入時(shí)組管理者會(huì)對(duì)二叉邏輯密鑰樹進(jìn)行更新維護(hù)，對(duì)該成員路徑上的密鑰更新，并通過簽密的方式將更新的密鑰發(fā)送給關(guān)聯(lián)的成員。文獻(xiàn)[59]同樣使用了基于組密鑰的方案，如圖14所示，方案中的組密鑰的派發(fā)對(duì)象為L(zhǎng)EO衛(wèi)星群組，而非成員數(shù)量相對(duì)較多、變更相對(duì)頻繁的用戶群組；又設(shè)計(jì)了一個(gè)單向密鑰推導(dǎo)函數(shù)KDF，可由KDF對(duì)組密鑰GK運(yùn)算得到臨時(shí)組密鑰TGK，通過TGK 實(shí)現(xiàn)原衛(wèi)星和目的衛(wèi)星間對(duì)用戶重要參數(shù)的對(duì)稱加密傳輸；在用戶完成切換認(rèn)證的同時(shí)，新的衛(wèi)星可利用KDF 對(duì)相關(guān)參數(shù)進(jìn)行運(yùn)算產(chǎn)生新的密鑰，從而有效實(shí)現(xiàn)了依托切換鏈路捎帶的切換密鑰更新。

圖14 基于共享組密鑰的切換認(rèn)證及密鑰更新Fig.14 Handover authentication and key update based on shared group key

4 研究挑戰(zhàn)與展望

4.1 關(guān)鍵技術(shù)分析

當(dāng)前針對(duì)空天網(wǎng)絡(luò)安全切換的研究，雖然已取得了一定的研究基礎(chǔ)，但是由于空天網(wǎng)絡(luò)的復(fù)雜性，使得現(xiàn)有的研究還存在著普適性、協(xié)同性以及安全性等問題。主要體現(xiàn)在以下關(guān)鍵技術(shù)需要進(jìn)一步突破。

（1）面向復(fù)雜網(wǎng)絡(luò)的安全切換技術(shù)

空天網(wǎng)絡(luò)中的節(jié)點(diǎn)類型復(fù)雜多樣，不同節(jié)點(diǎn)在認(rèn)證方式、密鑰類型等安全資源配置方面存在差異；空天網(wǎng)絡(luò)節(jié)點(diǎn)運(yùn)動(dòng)模式多樣，可能存在波束切換、星間切換、垂直切換等不同場(chǎng)景；此外，由于網(wǎng)絡(luò)域的劃分，不同域之間存在著跨域訪問的障礙，難以在復(fù)雜網(wǎng)絡(luò)上構(gòu)建起一套信任體系[60]。上述問題為實(shí)現(xiàn)用戶跨復(fù)雜場(chǎng)景切換帶來了一定的障礙，因此需要對(duì)空天復(fù)雜網(wǎng)絡(luò)的可信、自由安全切換架構(gòu)進(jìn)行研究，屏蔽異構(gòu)網(wǎng)絡(luò)的差異，確保為用戶提供持續(xù)的網(wǎng)絡(luò)服務(wù)即可信身份。

（2）接入衛(wèi)星最優(yōu)化選擇技術(shù)

在切換時(shí)多星冗余覆蓋場(chǎng)景下的接入衛(wèi)星選擇技術(shù)研究中，盡管現(xiàn)有的選擇算法大多考慮到了多種網(wǎng)絡(luò)參數(shù)對(duì)用戶服務(wù)質(zhì)量的影響，并在接入衛(wèi)星選擇算法中引入了較為均衡的多屬性判決算法，但是還有較大的改進(jìn)空間。一方面，現(xiàn)有的切換觸發(fā)通常是在用戶位置到達(dá)覆蓋邊界時(shí)被動(dòng)發(fā)起的，若能夠依據(jù)衛(wèi)星的軌道根數(shù)或星歷表等對(duì)接入網(wǎng)絡(luò)拓?fù)溥M(jìn)行預(yù)測(cè)，在用戶到達(dá)觸發(fā)條件前預(yù)先實(shí)現(xiàn)切換目的衛(wèi)星候選集的獲取，能夠提前完成切換認(rèn)證及預(yù)留信道資源；另一方面，為了實(shí)現(xiàn)用戶對(duì)接入衛(wèi)星的認(rèn)證以及衛(wèi)星間鏈路重構(gòu)時(shí)的認(rèn)證，針對(duì)衛(wèi)星的安全性或信任度評(píng)估是必要的，將信任度參數(shù)引入最優(yōu)化選擇算法中，能夠?yàn)橛脩襞c接入節(jié)點(diǎn)的互信提供安全可靠的支持。

（3）低開銷切換認(rèn)證技術(shù)

區(qū)別于現(xiàn)有的無線網(wǎng)絡(luò)切換認(rèn)證技術(shù)，空天網(wǎng)絡(luò)的特點(diǎn)對(duì)認(rèn)證方案提出了更為嚴(yán)苛的要求。重復(fù)認(rèn)證勢(shì)必導(dǎo)致切換時(shí)延大、計(jì)算復(fù)雜度高等問題，嚴(yán)重影響服務(wù)的連續(xù)性和可用性。如何在滿足安全切換雙向認(rèn)證需求的前提下，設(shè)計(jì)高效的無縫安全切換算法，降低切換時(shí)延和計(jì)算開銷，對(duì)保證服務(wù)連續(xù)性和切換雙方安全性意義重大[61]。盡管當(dāng)前學(xué)者提出的通過安全上下文傳遞的方式能夠降低切換認(rèn)證的開銷，但是在鏈路間歇的環(huán)境下，無法完全保證安全上下文的預(yù)先傳遞。通過降低認(rèn)證的開銷，實(shí)現(xiàn)基于鏈路切換捎帶的觸發(fā)認(rèn)證，是實(shí)現(xiàn)無縫自由切換的關(guān)鍵。

（4）安全切換中的隱私保護(hù)技術(shù)

節(jié)點(diǎn)與基站進(jìn)行切換認(rèn)證時(shí)，需要發(fā)送自己的身份標(biāo)識(shí)、所在位置等信息。由于空天鏈路的開放性，攻擊者能夠獲取接入節(jié)點(diǎn)的身份標(biāo)識(shí)和坐標(biāo)并對(duì)其發(fā)現(xiàn)和跟蹤。因此，為了保護(hù)節(jié)點(diǎn)隱私以及運(yùn)行安全，在空天網(wǎng)絡(luò)安全切換技術(shù)研究中，應(yīng)當(dāng)研究匿名切換認(rèn)證的實(shí)現(xiàn)方法，并且實(shí)現(xiàn)管理者對(duì)切換行為的監(jiān)管和追溯，以實(shí)現(xiàn)切換認(rèn)證的身份保護(hù)機(jī)制。

4.2 研究展望

通過對(duì)空天網(wǎng)絡(luò)中安全切換技術(shù)現(xiàn)有的研究進(jìn)展進(jìn)行回顧，并結(jié)合目前的實(shí)際需求，提出以下研究展望，希望空天網(wǎng)絡(luò)能夠在性能、安全性、適用性等方面帶來一定的提升。

（1）區(qū)塊鏈與安全切換

區(qū)塊鏈具有分布式、去中心化、匿名性、不可篡改性、可追溯性等特點(diǎn)，能夠通過分布式節(jié)點(diǎn)在共識(shí)機(jī)制下完成控制、授權(quán)、信任建立等工作。利用天地一體化信息網(wǎng)絡(luò)節(jié)點(diǎn)分布式特點(diǎn)，與區(qū)塊鏈技術(shù)相結(jié)合，將有效解決安全切換的可信保持問題，有助于構(gòu)建天地一體化信息網(wǎng)絡(luò)中節(jié)點(diǎn)的信任鏈。同時(shí)，可以實(shí)現(xiàn)對(duì)用戶接入、跨域切換、退網(wǎng)等行為的追溯，為整個(gè)網(wǎng)絡(luò)的安全管控提供可靠的技術(shù)支持。

（2）自由安全切換

隨著空天網(wǎng)絡(luò)衛(wèi)星節(jié)點(diǎn)部署規(guī)模和數(shù)量的增大，用戶切換前后的節(jié)點(diǎn)可能所屬不同類型軌道，來自不同網(wǎng)絡(luò)域，或者擁有不同的網(wǎng)絡(luò)接口，對(duì)節(jié)點(diǎn)間的安全協(xié)商帶來了空間屏障、安全屏障、技術(shù)屏障。因此需要依托智能、健全的切換支持，為用戶提供安全可靠的移動(dòng)場(chǎng)景下的可信保持策略，實(shí)現(xiàn)有接入節(jié)點(diǎn)信號(hào)覆蓋即可與之建立連接的自由安全切換，充分發(fā)揮網(wǎng)絡(luò)中豐富的節(jié)點(diǎn)資源優(yōu)勢(shì)。

（3）聚合安全切換

現(xiàn)有的安全切換相關(guān)研究大多是針對(duì)單個(gè)用戶，但在實(shí)際場(chǎng)景中，由于衛(wèi)星的移動(dòng)速度遠(yuǎn)大于用戶，且每個(gè)衛(wèi)星通常會(huì)為許多用戶提供覆蓋，衛(wèi)星的移動(dòng)可能會(huì)迫使其下覆蓋的多個(gè)用戶在同一較短時(shí)隙內(nèi)產(chǎn)生安全切換的需求。較多用戶在同一時(shí)段內(nèi)發(fā)起安全切換請(qǐng)求，將給系統(tǒng)性能和服務(wù)質(zhì)量帶來挑戰(zhàn)，為了提高多用戶并發(fā)切換效率，需要聚合安全切換技術(shù)的支持。通過對(duì)用戶群實(shí)施安全高效的聚合分組、批量認(rèn)證等策略，解決短時(shí)內(nèi)大量切換請(qǐng)求對(duì)節(jié)點(diǎn)造成的負(fù)擔(dān)，為群組內(nèi)每一用戶提供鑒權(quán)服務(wù)并拒絕非法用戶的切換請(qǐng)求，實(shí)現(xiàn)批量用戶的無縫安全切換。

（4）切換數(shù)據(jù)的隔離

為提供良好的區(qū)分型業(yè)務(wù)，在天基骨干節(jié)點(diǎn)、天基接入節(jié)點(diǎn)等硬件及系統(tǒng)虛擬化的基礎(chǔ)上，通過邊界識(shí)別與隔離控制技術(shù)，實(shí)現(xiàn)業(yè)務(wù)容器化，動(dòng)態(tài)構(gòu)建接入用戶虛擬隔離域，從而確保用戶切換過程中業(yè)務(wù)數(shù)據(jù)的隔離。為確保切換用戶的有效監(jiān)管，擬研究空天接入節(jié)點(diǎn)溯源機(jī)制，勾勒接入用戶數(shù)據(jù)與行為世系，便于接入用戶的審計(jì)與追責(zé)。通過研究，旨在打破地面移動(dòng)網(wǎng)切換方法在空天網(wǎng)絡(luò)應(yīng)用中存在的基站靜態(tài)、家鄉(xiāng)網(wǎng)絡(luò)遠(yuǎn)距離認(rèn)證帶來的局限性，構(gòu)建空天網(wǎng)絡(luò)安全切換信任體系，突破接入節(jié)點(diǎn)在立體網(wǎng)絡(luò)空間中信任的自由傳遞，使得無縫安全切換更加高效、更加可靠，從而確保安全接入可保持性與可監(jiān)管性，將具有非常重要的現(xiàn)實(shí)性意義。

5 結(jié)束語

天地一體化信息網(wǎng)絡(luò)是未來建設(shè)和發(fā)展的重要項(xiàng)目之一，它將填補(bǔ)現(xiàn)有網(wǎng)絡(luò)體系在覆蓋和協(xié)作等方面的短板。安全切換作為其中的一項(xiàng)重要技術(shù)，旨在為用戶提供安全且無縫的網(wǎng)絡(luò)服務(wù)。切換技術(shù)的不斷完善，天地一體化信息網(wǎng)絡(luò)能夠在擁有全天候覆蓋的業(yè)務(wù)保障能力同時(shí)，兼具傳統(tǒng)網(wǎng)絡(luò)的優(yōu)異效能，從而適應(yīng)更加豐富多樣的使用需求，使在其上開展的諸多業(yè)務(wù)都能夠得到可靠的網(wǎng)絡(luò)業(yè)務(wù)保障。本文系統(tǒng)地梳理了天地一體化信息網(wǎng)絡(luò)中切換的基本概念和流程，并對(duì)其控制策略及安全防護(hù)領(lǐng)域研究進(jìn)行了綜述，希望對(duì)天地一體化網(wǎng)絡(luò)的安全防護(hù)建設(shè)提供參考。