软件定义星地融合网络内生安全体系架构

赵国锋，陆 毅，梁 康，王杉杉，周继华，韩珍珍2,*

(1.重庆邮电大学 信息与通信工程学院，重庆 400065;2.重庆邮电大学 网络空间安全与信息法学院，重庆 400065；
3.复杂环境通信重庆市重点实验室，重庆 400030)

航空航天技术、移动通信技术以及信息网络技术的快速发展，带动未来互联网向空间维度进行扩展，将地面网络与空间网络融合，遵循“网络一体、安全一体、管控一体”的建设理念[1]，构建“全球覆盖、随遇接入、按需服务、安全可信”的STIN[2]已经成为未来网络的重要发展方向。传统的网络安全防护主要以边界防御思想为主，基于“外挂式”“补丁式”安全技术等进行网络安全防护。从技术发展趋势看，网络安全技术存在明显地从“外挂式”向“内生式”防御转变的技术变革。特别是针对STIN，由于天基网络节点(卫星、航天器等)具有显著的资源受限特征，难以承受外挂式/补丁式的安全防护手段所需的大量计算、存储资源要求，例如，在卫星上部署防火墙、入侵检测、拟态防御系统等的代价太高。因此，亟需从顶层、源头性设计内生式安全的STIN系统架构。

现有广泛适用于地面网络的外挂式防御方案难以在STIN系统中大规模部署，需要内生的安全技术来构建安全可信的未来空间信息网络，满足端到端通信的真实性、机密性、完整性、隐私性、可审计性和可用性等多种安全特性。而目前的星地融合系统架构缺乏内生的自验证机制，外挂的补丁式安全技术难以为网络通信提供保障。受害主机依然难以识别经过精心构造的虚假身份攻击者，缺乏内生安全的身份真实性验证机制，补丁式的安全方案难以解决用户身份伪造带来的身份真实性问题，网络运行各个阶段均会面临各种各样的安全问题。因此，需要打破当前功能优于安全的设计局限，以网络顶层架构、协议设计为切入点，使得网络自身能够从体系结构、协议功能来内生安全防护功效，为STIN系统提供可审计追踪的安全保障。

总之，STIN需要具备内生的身份认证、密钥协商交换等能力，考虑到星地融合的现状与未来发展，本方案更倾向于通过顶层、源头性的STIN系统架构设计来实现网络内生安全，通过软件定义技术(Software Defined Network,SDN)将安全资源虚拟化，将网络安全资源内嵌到基础网络架构中，支撑系统对安全资源的灵活调度，并提出安全即服务的安全理念，将安全和接入、路由、传输、管控等要素一体化考虑，实现安全内生的一体化网络系统。

STIN能够有效缓解地面站部署和覆盖受限对终端接入范围受限产生的影响，有效扩展移动通信网络的覆盖范围，为用户提供更加灵活的接入服务，成为6G移动通信网络建设的重要发展方向。在这种融合通信网络中卫星的作用从“透明转发”向“星上处理”演进，为提升系统的安全性提供了更好的支撑。

1.1 基于软件定义的星地融合网络

软件定义星地融合能够有效地解耦传统卫星通信网络“烟囱”式的体系架构，通过控制与转发分离的思想，提高卫星硬件设备的通用性及软件升级的灵活性，从而降低星上组网运行成本。文献[3]提出一种可重构的软件定义卫星网络体系架构，该架构采用分层管控结构，每层设置的控制器受控于单个控制中心，通过软件定义的方式对网络资源进行统一管理和配置，提高资源的利用率。面对构建卫星互联网的需求，文献[4]提出一种天地融合卫星互联网柔性体系架构，卫星与地面均部署SDN控制器，协调空地网络的资源分配，支撑资源调度、星地组网和干扰协调等网络需求，实现网络的灵活管控。文献[5]提出在轨自主控制星地融合智能组网架构。在地球静止轨道(Geostationary Earth Orbit,GEO)、低地球轨道(Low Earth Orbit,LEO)和地面分别部署管控节点，根据任务需求实现跨域协同管控。同时该文献指出这种分级组网管控架构能够在不同的网络需求和链路状态资源下提供更加灵活的组网管控服务。文献[6]提出基于SDN的空间网络架构，利用卫星节点轨道的历史数据预测未来的网络事件，通过基于SDN的优化决策来主动减轻网络事件对于网络性能产生的影响。文献[7]利用SDN和网络功能虚拟化技术(Network Function Virtualization,NFV)的思想构建卫星宽带网络，提出软件定义宽带卫星通信网络的基本架构，以提高卫星通信的服务质量，使得地面网络与空间网络能够无缝融合。文献[8]提出一种软件定义空地一体化网络架构，以无缝、高效和经济的方式支持各种车辆服务，引入虚拟化技术，通过网络切片对每个网段的资源进行隔离，将可用资源放入对应的资源池，以提高资源的利用率。上述基于软件定义的STIN架构研究，利用控制与转发分离的思想能够为系统提供更加灵活的可编程网络功能，从而支撑更加高效的网络安全机制设计。

1.2 星地融合网络安全机制研究

为了提高STIN的安全性，研究学者以安全作为主要设计目的提出STIN架构，在保障网络效率的同时提升系统的安全性。文献[9]提出面向天地一体化信息网络的安全动态赋能架构，以期提高天地一体化信息网络的安全服务能力、安全态势分析和安全威胁处理的能力。文献[10]指出人工智能在网络空间安全防御中扮演着越来越重要的作用，并将其引入到网络空间安全机制的设计中，使得系统能够有效处理海量多源异构性的数据，制定实时响应策略，最终达到提升网络空间安全防御能力的目的。文献[11]采用标识映射机制构建通信与安全一体化的天地异构融合网络总体架构模型，实现天基信息网与各类地面专网的高效融合、安全可靠以及资源整合。季新生等人[12]将具有异构、冗余及多样性特点的拟态防御技术应用在一体化网络中，提出构造安全内生网络架构的设想，使网络本身就具有一定安全防御功能，该类安全机制主要通过多重冗余备份的技术方案来实现。

此外，针对STIN的安全运行，如安全接入[13-14]、安全传输[15-16]、安全路由[17-18]与安全切换[19-20]。基于现有的互联网安全方案、加密机制及协议加强是实现网络运行安全的有效手段。采用加密方法和协议加强方案能够在一定程度上提高网络运行的安全性，但是各类安全机制之间相互分离，而对于整个网络系统来说，网络应用响应的各个阶段是相互关联的，针对阶段运行设计安全策略能够有效提升网络运行的安全指数，但对于整个网络运行系统来说往往并不是最合适的安全策略。且对于节点资源有限的网络来说，不同阶段安全机制的冗余设计，将会占用大量的有限资源，降低整个网络的运行效率。

STIN节点资源以及环境的特点使得互联网的安全设计理念不能完全应用于STIN，主要原因归纳为：① 当前网络安全设计理念呈现为补丁式。现有的互联网络发展遵循先有架构再有关键技术最后网络安全的发展规律，功能设计先于安全设计，安全机制都是以补丁的方式添加到已经成熟的网络架构中，由于空间网络中卫星载荷技术以及星间链路的限制，这种设计方案会使得一体化网络变得臃肿僵化；
② 系统运行阶段的安全设计相互独立。针对传统网络中的各种安全运行问题，如安全接入、安全路由、安全传输、安全切换安全管理等问题，相关的安全及安全加强方案能够解决对应的安全威胁或安全问题，然而，这种相互独立的安全运行机制的设计缺少对任务请求的安全响应过程的整体考虑，会带来存储和计算资源的过量占用，且影响网络运行效率。

考虑到空间信息网络资源受限的网络特点，需要设计一种网络架构灵活、支撑网络安全服务可编程的新型网络架构，这是开展未来网络一体化研究需要解决的基础性问题。安全即服务的设计思想，能够有效保障网络安全与网络运行的融合。即终端用户发送任务请求，系统根据用户提供的状态信息，提供安全响应服务。安全内生的一体化网络架构如图1所示，当终端节点发出应用任务请求时，任务请求通过系统安全服务层接入系统，系统则通过启动安全控制平面，根据管控策略下发安全管控指令，在由数据平面完成系统的安全响应服务。

图1 安全内生的一体化网络架构Fig.1 Architecture of integrated network based on security endogenous

由现有星地融合体系架构的分析可知，构建基于软件定义的STIN安全体系架构能够有效扩展卫星网络功能，与地面网络互补，提高整个系统的安全管控能力，有效支撑安全内生网络体系架构的设计。构建安全高效的STIN需要满足以下几个基本条件：

(1) 基础设备可编程

基于地面移动通信技术，将现有移动通信网络体系向空间维度扩展，构建STIN能够有效提高网络的服务能力，但也使得网络面临的安全威胁呈现出多样化的特性。此外，STIN节点种类众多且动态性强。为支撑终端的随时随地的安全接入和任务的高效传输，卫星需要通过软件加载的形式支撑网络功能的升级，以支撑更加多样化的安全应用需求，如星载路由器及星载控制器等。基于当前研究进展，可引入SDN和NFV支撑网络功能可编程的需求。

(2) 星地协同管控

相较于卫星网络，地面网络在计算存储方面具有优势，但是部署范围受限。卫星网络虽然星上处理能力受限，却能够有效弥补地面网络在服务覆盖上的不足。然而，单一地通过卫星转发业务，已经无法满足用户对网络多样化安全的需求。因此，需要扩展卫星网络的管控功能。根据卫星网络部署的空间特点，将网络安全管控功能模块加载到卫星上，协同地面完成整个系统的安全管控，实现STIN的安全一体化管控。

(3) 系统动态抗毁

卫星网络环境开放，网络节点的攻击和消息篡改的安全问题较突出，一旦网络节点或者链路发生故障，网络的可靠传输将会受影响。因此，在系统运行的过程中，STIN体系架构的设计需要考虑系统抗毁的需求，如安全预判、用户接入鉴权认证、系统冗余备份及故障恢复机制，从而保障终端的可靠接入和数据的可靠传输。

3.1 软件定义星地融合网络

基于软件定义STIN架构[21]如图2所示，该网络架构主要由卫星骨干网、平流层接入网络以及地面互连网组成。其中，GEO层卫星具有覆盖范围广、对地静止及链路功能可靠的特点，能够完成地面网络的全覆盖及对地轨卫星的动态监测，该体系架构设计中选择GEO层卫星群做主控制器协同地面站构建全局网络拓扑，实现系统的全局管控。LEO层卫星对地传播时延小，但拓扑变化快，针对时延敏感型应用，则需要根据应用需求及当前网络状态动态地选择合适LEO层中的卫星作为从属控制器，实现本地网络的灵活管控。主控制器与从属控制器之间相互协作共同完成控制平面的功能，呈现为逻辑上集中地理上分散的集中分布式控制架构。地面站是星地网络的主要连接节点，具有强大的计算存储功能，受政治及地理因素影响，其相对数量及位置都比较稳定，作为整个网络的管理中心，联合控制器平面完成高效灵活的网络配置。空间所有卫星节点构成整个网络的数据转发平面，承载整个网络控制流及数据流的转发。

图2 基于软件定义的STIN体系架构Fig.2 Architecture of STIN based on SDN

基于软件定义网络的功能可编程特性，安全内生的STIN系统设计遵循安全即服务的设计理念，整个系统相当于一个具有安全应用服务能力的系统，将网络安全内嵌到网络的接入、路由、传输、切换等整个运行的过程中，且不同运行阶段设计的安全策略能够相互衔接。针对可能面临的不同安全威胁或攻击，能够根据应用对网络安全要求的程度给出不同任务安全等级的响应方案，即具有不同强度等级的安全服务能力，提高整个网络的运行效率，实现网络安全一体化的理念。如图2所示，源自不同终端的任务请求，具备安全等级需求的差异性。系统在响应终端任务请求时，需要根据任务的安全等级确定接入认证方案的安全等级。终端接入系统后，卫星节点能够根据已存储用户的接入认证信息，确定路由传输或者移动性管理策略的安全性。这种一体化的安全服务机制，能够减少安全信令在星地间的交互次数，在减少网络资源占用的同时，提升系统的安全性。

3.2 安全内嵌的网络架构设计

基于软件定义一体化信息网的基础网络为灵活多样的网络应用提供了支撑，安全内嵌的STIN体系结合该网络特点与虚拟化技术，将安全设计的思想内嵌到整个网络体系中，主要包括承载安全数据的数据安全传输平面及制定安全响应的管控平面，为系统请求提供安全服务。

安全内嵌的STIN的基础架构如图3所示。在该架构体系中，当低空网络节点向可关联卫星节点发出接入请求时，系统即开始为终端提供安全服务响应。首先系统安全管控平面根据用户提交的基本身份信息完成接入认证，通过终端关联卫星节点为用户提供授权服务，并将其身份信息提交到实体身份管理模块，以便在为终端制定安全路由传输时使用，安全认证机制的设计受终端任务特征的影响，同时也会影响下一阶段安全路由传输机制的设计，整个网络系统相互配合，完成对终端任务请求的安全响应。

图3 安全内生的STIN架构Fig.3 Security endogenous architectureof STIN

安全内嵌的技术机制能在系统层面提供硬件、软件和运行环境等的安全服务能力。首先要求网络系统的硬件设备能够为上层的应用请求提供良好的服务；
其次要求整个系统具有灵活的管控系统；
最后整个网络具有完善的运行决策机制，在保证系统响应同时提高系统的安全服务能力。

(1) 基础设施层

安全内嵌的STIN基础设施层中多样化的网络设备节点，如卫星节点，低空节点、地面网络节点、海上船舰节点等，承载整个网络的数据流和控制流。设备节点在支撑整个网络运行的同时，需要根据网络需求动态地加载更新安全软件资源，如防火墙、WAF、IPS等，形成具有安全功能的节点设备。通过NFV及VNF技术设备资源虚拟成不同的网络资源切片构成设备资源池，根据上层网络应用的请求对切片化网络资源进行服务编排，完成网络资源的灵活调度及安全隔离。

网络节点安全资源的多样性直接影响网络安全服务能力，但受卫星节点存储能力和星间节点计算有限性的约束，需要将安全资源分布缓存在不同的节点上，使得安全资源存在一定程度的冗余，利用冗余备份的思想来加强网络安全，根据上层安全应用请求及时给出安全策略的同时使得网络具有一定的鲁棒性，灵活应对个别网络节点受网络攻击而产生的网络故障问题。

(2) 安全管控平台

安全管控平面作为整个网络架构的核心体系，提供安全服务编排、安全服务管理和网络运行监测，要求系统具有极度灵活的管控能力。在空间特有的环境条件下，控制方案设计直接决定了整个网络运行的效率和整个网络的安全性，集中加分布式的多层网络管控架构能够增加整个网络的可扩展性、灵活性及安全性。

安全一体化设计的核心是对于不同的网络任务接入请求制定不同安全等级的系统响应服务。安全协议加强机制和加密机制是提高系统安全服务能力的主要策略，不同的加密算法具有不同的计算复杂度，需要消耗一定的计算和存储资源。而基于密码技术的安全机制，其安全性不仅在于密码算法本身的保密性，而且在于密钥的真实性和有效性。即网络系统的安全服务能力受节点计算存储等资源的影响，同时也会影响网络的性能。要求管控平面能够根据用户请求以及网络系统的性能选择合适的密钥生成算法，在保证整个响应的安全的同时，降低计算复杂度和存储空间。

控制平面通过北向API接口与安全应用连接，根据应用的需求及安全策略，调用设备资源池的节点设备，完成整个响应过程的安全防护。

(3) 应用安全

安全一体化的设计理念要求整个系统在响应终端应用请求的时候保障整个响应过程的安全性，涉及到网络应用的接入、路由组网及传输，并非只能为用户提供单一的Web安全、访问控制或者DDoS防护等独立的安全应用。针对应用层安全来说，没有绝对的安全机制，网络安全建立在失败的前提之上，系统无法提供安全保障，只能尽可能提高安全概率，降低整个系统可能被攻击的概率。类似，在内嵌的网络架构体系中，针对不同的应用请求具有不同的安全等级需求，给出安全等级划分的设计理念，在不同的响应运行阶段设计不同的安全机制，不同阶段的安全机制互为基础，相互衔接，最大限度地降低安全机制对有限网络资源的占用。

4.1 基于AI的智能防御机制

相比较传统的被动防御系统架构，将AI技术应用到基于软件定义的STIN架构中，建立智能化的主动防御体系，更能提升系统的安全性。在终端接入系统前，基于AI的入侵检测技术作为一种积极主动的安全防护机制，通过对网络数据包或者信息进行收集，检测可能的入侵行为，并且能在入侵行为发生之前，或者造成危害之前，调动不同的响应措施保障软件定义STIN的安全。因此，在系统架构设计中利用AI技术的并行计算分布式存储以及多层结构的特点，使用分类器将入侵行为数据和正常的数据尽可能正确地分开，保留正常数据并分析网络异常行为，对可能的网络攻击采取不同的防御手段。基于AI技术的入侵检测系统可以有效保护信息的完整性、可用性和保密性，并提高网络的安全攻击检测的准确性。

4.2 轻量化安全接入机制

接入认证机制是防止非法接入的关键，是保证网络安全的关键步骤。由于卫星的高动态特性，随着接入用户不断增加，基于中心认证的接入存在时延和中断概率大的挑战。为了提高系统的安全性和终端接入的有效性，需要设计轻量化的安全接入机制。当卫星节点的位置变化、局部子网连接不稳定时，终端更难接入网络，接入终端面临着频繁认证和切换接入卫星的问题。可构建基于共识机制的接入认证方式，当终端第一次接入网络，需要网络节点的共识机制，完成终端身份认证，建立公私钥；
再次接入认证时，通过终端在卫星上的使用记录，组建卫星节点对终端信息进行验证，能够降低认证复杂度，保障终端高效接入与切换，实现安全接入认证的轻量化。

4.3 星间安全运行机制

安全路由传输作为网络安全响应的运行基础，特别是在高动态、大时延尺度的网络环境下，系统组网方式不断发生变化，路由拓扑也随之变化，数据传输中断概率增加，网络信息更加容易泄露，节点和链路更容易遭到窃听和主动攻击，给融合系统的安全运行带来了一定的挑战。在路由传输的过程中，通常卫星节点之间不断地交换控制信令报文，进而计算、更新和维护路由路径，攻击者窃听并伪造路由控制报文之后，将虚假报文注入网络中，则会导致路由构建错误或者重要信息泄露。因此，需要保证路由控制报文的完整性和真实性。基于接入过程中卫星节点所存储的节点状态信息，在系统交互控制报文的过程中，基于不同等级的加密方式(哈希运算、椭圆曲线加密、格密码)，设计安全级别不同的路由传输协议，为用户提供安全任务请求响应，同时尽可能地减少网络运行中因过度加密而造成的网络资源浪费，提高网络的运行效率。

4.4 去中心化的密钥管理机制

密码技术可以为网络运行过程的通信内容提供机密性和完整性保护，但是由于承载数据的IP缺少密钥生成和可信的自验证机制，需要第三方协同来完成加密过程中密钥管理。然而，基于第三方的多级中心化PKI机制存在不可信，以及多级证书链在验证时带来大量计算开销等问题。CA中心在分发和撤销证书时，缺乏具体且清晰的边界，假如某个权威CA被攻陷，带来的安全问题将大规模蔓延扩散。因此，针对单点权威CA失效问题，去中心化的密钥管理机制已成为构建安全信任锚的主要研究方向，需要根据网络节点的具体属性特征研究去中心化或者弱中心化的密钥管理机制。

纵观当前互联的发展历程，功能先于安全的网络设计理念会导致网络完全策略始终处于被动地位，且对网络资源的要求较高，不能很好地应用在网络环境特殊的空间信息网络中。而安全即服务的设计理念，将网络的安全看作网络的一种服务能力，遵循功能与安全同步的设计思想，能够很好地将安全防护思想融合到网络体系结构中，可以主动适应用户、网络和业务的快速变化并迅速发展，为STIN的安全防护提供了新思路和技术途径。

猜你喜欢 架构管控节点 基于图连通支配集的子图匹配优化算法计算机应用与软件(2021年10期)2021-10-15施工现场的信息技术与成本管控建材发展导向(2021年7期)2021-07-16功能架构在电子电气架构开发中的应用和实践汽车工程(2021年12期)2021-03-08浅析现代项目管理中的违规行为管控航天工业管理(2020年6期)2020-08-11结合概率路由的机会网络自私节点检测算法小型微型计算机系统(2020年5期)2020-05-14面向复杂网络的节点相似性度量*计算机与生活(2020年5期)2020-05-13采用贪婪启发式的异构WSNs 部分覆盖算法*火力与指挥控制(2020年1期)2020-03-27基于B/S架构的图书管理系统探究科技传播(2019年23期)2020-01-18构建富有活力和效率的社会治理架构当代陕西(2019年16期)2019-09-25信用证洗钱风险识别及管控中国外汇(2019年22期)2019-05-21

推荐访问:架构 融合 内生