天地一體化網絡認證機制性能定量分析方法

徐國愚，徐 剛，姜 濤，胡海濤

河南財經政法大學 計算機與信息工程學院，鄭州 450002

1 引言

天地一體化網絡是中國“科技創新2030—重大項目”之一。該網絡由空基、天基、地基組成，節點包括衛星、浮空器、飛行器、地面終端等。網絡能夠提供移動通信、應急保障、天基中繼等服務，因此具有重要的戰略意義與應用價值[1-2]。

在天地一體化網絡中，為保證網絡安全性，需要對節點進行接入認證。當節點被認證后才能接入網絡。另外，由于節點的高速運動，還存在頻繁切換基站的情況，需要通過輕量級的切換認證機制保證認證的高效性與服務的持續性，避免重復進行接入認證。因此，在天地一體化網絡中的節點接入包括接入認證、通信、切換認證、退網等多個階段。

眾多學者對面向天地一體化網絡的接入與切換認證機制進行了深入研究[3-9]。但是，現有文獻都是對接入認證或者切換認證機制單獨進行性能分析，還缺乏對二者綜合應用時認證方案的整體性能分析與驗證。由于接入與切換認證相互影響，并且跟節點的移動與通信過程緊密相關，因此，需要針對天地一體化網絡的特點，綜合考慮認證與通信模式，對整體認證方案進行分析。

針對上述問題，本文通過建立天地一體化網絡認證與節點通信模型，定義性能評價指標并給出相關參數計算方法，對各種認證組合方案的整體性能進行量化分析，能夠為天地一體化網絡中認證機制的設計與改進提供依據。

2 研究現狀

在現有的網絡協議性能分析方面，文獻[10-16]等通過數學建模方法進行定量分析，能夠對影響網絡性能的復雜因素進行分析。其中，針對節點移動接入認證問題，文獻[12]采用開環排隊網絡來分析存儲、計算資源對認證性能的影響，但是該文獻僅考慮了接入認證過程，沒有考慮切換認證。文獻[13]針對WiMAS 網絡提出了一種混合式接入認證方案，利用排隊論對方案的認證時延進行了分析，但是該文獻未考慮節點的移動模式及切換概率。

針對無線IP網絡中移動漫游節點的接入認證問題，學者Liang 等人提出了一種認證與QOS 的定量分析模型——LW模型[14]。該模型對現有無線IP網絡中的跨域漫游認證協議進行了分類，給出了節點的移動與通信模式，之后針對機密性、完整性及可用性三個維度，定義了4種不同安全級別的認證機制，分別是無安全機制、MAC地址認證、預共享密鑰認證及公鑰認證機制。最后分析了上述機制對認證延遲及開銷等QOS參數的影響。基于LW模型，文獻[15-16]分別對移動IPv6及LTE技術中的認證效率進行了量化分析。

但是將LW 模型直接應用在天地一體化網絡接入與切換場景中還存在以下問題：一是LW模型解決的是移動節點漫游網絡中的單一跨域認證問題，而本文則是對接入認證與切換認證的綜合性能分析；二是LW模型的4種安全機制針對的是無線IP網絡，而本文則關注天地一體化網絡中的認證性能問題。

因此，本文針對天地一體化網絡接入與切換認證的特殊性，對LW模型中的網絡認證與節點通信模型及性能指標計算方法進行了相應修改，通過建立整體方案的性能指標與計算方法，對認證方案整體性能進行定量評估。

3 天地一體化網絡認證與通信模型定義

本章對天地一體化網絡認證模型進行定義，并給出6 種認證協議及4 種組合方案，最后給出節點的通信模型定義。

3.1 天地一體化網絡認證模型

當移動節點（Mobile Node，MN）接入天地一體化網絡時，首先需要與基站（Base Station，BS）進行接入認證，如圖1 所示，僅當認證通過后才允許節點接入網絡。另外，由于節點以及基站的高速運動性，還存在切換認證問題，當節點移動至當前衛星基站（cBS）通信覆蓋區域邊緣時，需要將通信鏈路切換到下一跳浮空器或者衛星基站（nBS）。為保證切換過程中的安全性與高效性，可以采用高效安全切換機制。例如，可以使用安全上下文切換機制，由當前基站預先將包含有節點認證信息的安全上下文信息發送給下一跳基站，避免重復執行接入認證所帶來的大時延與高中斷性，提高切換效率。

圖1 天地一體化網絡認證模型

3.2 認證方案的定義

認證方案包含兩種類型：接入認證與切換認證。

（1）接入認證。其包括三種協議，如圖2所示。①None：無認證。該協議主要用于跟其他協議進行性能比較，協議通過請求消息（MN_Req）和應答消息（BS_Res）完成接入。②Mutual Auth：雙向接入認證協議。本文根據文獻[3-6]協議中的共性部分，給出一種通用的基于時間戳的雙向接入認證協議，利用時間戳防止重放攻擊。在協議中，Auth 為相關認證參數，t表示時間戳，σ表示簽名，Verify表示驗簽操作（包含證書及消息驗簽）。需要強調的是，為增加模型的通用性，本節中的協議均為抽象的協議框架，并不涉及具體實現細節，在模型的實際應用中需要使用具體協議參數進行替換。 ③Anon Auth：匿名接入認證協議。文獻[3-4]針對天地一體化網絡中的節點隱私問題，給出了匿名接入認證協議。該協議在接入認證的基礎上額外提供匿名接入功能，可以為重要節點提供隱私保護，防止節點被攻擊者識別及攻擊。本文給出了一種抽象通用協議，即在Mutual Auth協議的基礎上增加Anon字段表示對信息進行匿名保護，具體實現方法可以是公鑰加密或者假名集等。

圖2 接入認證協議

（2）切換認證，包含三種協議，如圖3所示。①None：無切換認證，如圖3（a）所示。節點在切換中無任何安全切換機制，與接入認證的協議①相同。②Handoff：切換認證協議。本文綜合文獻[3-5，7-9]，采用基于預先認證的切換認證協議，如圖3（b）所示。在協議中，當前基站cBS預先將MN的相關認證信息（SCTD）傳遞給下一跳基站nBS，nBS 收到后返回確認回執消息（SCTDR），cBS發送切換通告給MN，最后，當MN進入nBS信號覆蓋范圍時，僅需發送1條切換接入消息（SCTAR）即可完成切換。上述消息均采用對稱會話密鑰進行加密保護。③Mutual Auth：雙向接入認證協議，如圖3（c）所示。此方案與接入認證的協議②相同，節點在切換過程中重復進行接入認證，不使用任何切換認證機制。該方案主要用于與Handoff機制進行比較。

圖3 切換認證協議

本文將對上述各種接入與切換認證協議相結合時的整體性能進行分析，具體包括四種組合方案：（1）None+None，無任何認證機制，用于方案性能分析基線；（2）Mutual Auth+Handoff，節點第一次接入網絡時使用雙向接入認證協議，后續切換過程中使用切換認證協議。（3）Anon Auth+Handoff，節點首次使用匿名接入認證協議，后續切換使用切換認證協議。（4）Mutual Auth+Mutual Auth，節點在接入與切換過程中僅使用單一的雙向接入認證協議，不使用切換認證機制，用于與方案（2）和（3）進行比較。

3.3 節點通信模型的定義

下面對移動節點的接入請求到達率、接入持續時間及節點在基站的駐留時間進行定義。

本文假設移動節點的接入到達TA為Poisson過程，到達率為λu，對應的接入到達時間的概率密度函數（pdf）為fTA(t)，表示為：

定義移動節點的接入持續時間為TD，符合Gamma分布，均值為1/ηD，方差為U。則TD概率密度函數的Laplace變換函數可以表示為[14]：

對應TD的pdf則可以表示為：

移動節點的基站駐留時間定義為節點停留在一個基站覆蓋區域的時間，表示為TR。本文假設TR是一個隨機變量，并且TR的概率密度函數fTR(t)符合Gamma分布，其均值為1/uR，方差為V，則fTR(t)的Laplace變換函數FTR(s)為：

對應有：

4 性能評價指標定義

在本文中，通過定義兩種性能評價指標對認證方案的整體性能進行評估。

4.1 平均認證時延

認證時延定義為移動節點發起認證請求到獲得認證回復所需花費的時間，主要用于評估認證協議的運行速度。平均認證時延D(i,j)指第i種接入認證方案與第j種切換認證方案在單位時間內認證時延的總和。即：

其中，D1(i)表示第i種接入認證方案的認證時延，D2(j)表示第j種切換認證方案的認證時延，λ1、λ2分別表示認證方案及切換方案所發生的概率，其取值與節點的運動模式及通信模式有關。

4.2 平均認證開銷

認證開銷定義為認證及切換所需要的通信與計算開銷之和，主要用于評估認證協議的資源消耗。平均認證開銷C(i,j)指第i種接入認證方案與第j種切換認證方案在單位時間內認證開銷的總和。即：

5 性能指標的計算

5.1 單次認證時延

在式（6）中Dα(β)表示單次認證時延，其中α表示認證類型，α=1 時為接入認證，α=2 時為切換認證，β表示協議序號，1 ≤β≤3。

令Dα(β)=dα,β?xt，其中：xt為認證時延參數向量，定義xtT=[Ttr,Tσ,Tv,Ted,TAnon,TAU,THO]，相關元素定義如表1所示。

表1 性能指標參數定義

dα,β表示認證類型α的第β協議所對應的xt元素的系數向量，根據3.2 節中各協議的定義令dα,β的取值如下：

舉例來說，d1,1表示第1 種認證類型的第1 種協議（即None 協議）所對應的系數向量，由于該協議包含2次單向消息傳輸及1 次接入服務排隊處理，所以d1,1=[2,0,0,0,0,1,0] 。

5.2 單次認證開銷

a1,1=2,a1,2=2,a1,3=2

a2,1=2,a2,2=4,a2,3=2

其中，xc表示計算開銷參數向量，根據表1的定義可得xcT=[cσ,cv,ced,cAnon]，bα,β表示認證類型α的第β協議中各密碼運算的次數，其賦值與dα,β類似，根據3.2節中各協議的定義，令bα,β的取值如下所示：

5.3 認證與切換的到達概率計算

根據性能指標的定義，還需要計算接入認證與切換認證在單位時間內所發生的概率。

（1）接入認證到達概率λ1

當MN 的接入請求到達時，即發生接入認證。因此，一個MN的接入認證到達率與MN的接入請求到達率一致，即λ1可以表示為：λ1=λu。

（2）切換認證到達概率λ2

當節點MN 在通信過程中經過兩個或者兩個以上的基站覆蓋范圍時，將會發起切換認證。為了能夠計算出切換認證的概率λ2，本文將切換認證分解為三類事件的集合，如圖4所示。

圖4 切換認證事件集合

事件Y1：MN 在進入基站覆蓋范圍前發起接入，并在接入保持過程中進入當前基站覆蓋范圍，在離開當前基站覆蓋范圍前結束接入。

事件Y2：表示MN 在進入基站覆蓋區域前發起接入，并且保持接入直至離開當前基站。

事件Y3：MN 進入當前基站后發起接入，同時保持接入直至離開當前基站。

因此發生切換認證的概率λ2可以表示為：

λ2=λu?[P1+P2+P3]?(Nˉ-1)，P1、P2、P3分別為事件Y1、Y2、Y3所發生的概率，Nˉ為節點MN 經過的基站數目。下面分別計算各事件發生的概率。

事件Y1發生的概率能夠表示為：

事件Y2發生的概率可表示為：

根據公式（1）以及文獻[14]中的相關推導可得：

其中，P(TDr≤TR)+P(TDr＞TR)=1 。

事件Y3發生的概率能夠表示為：

其中，P(TD＞TR)表示節點接入持續時間大于在基站駐留時間的概率。表示節點進入基站后才發起接入的概率，fTD(y)、fTR(t)分別是TD和TR的概率密度函數，具體取值見式（3）及式（5）。

6 認證方案整體性能分析

本章根據上述計算公式，利用MATLAB 軟件對不同認證方案的整體平均認證時延C(i,j)、平均認證開銷D(i,j)進行分析。

6.1 參數賦值

本文假定MN在一個基站中駐留的時間符合Gamma分布，均值為1/uR。MN 的接入請求到達為Poisson 過程，到達率為λu。MN 的接入持續時間符合Gamma 分布，均值為1/ηD。令基站服務排隊模型為M/M/1，則TAU、THO服從指數分布，均值為 1/τ。MN 經過基站的平均數量為，ε和γ分別為公式（2）、（3）的參數。綜合考慮文獻[3-9]的相關設置，本文給出了上述參數的初始賦值，如表2 所示。另外，由于現實應用場景的復雜性和多樣性，可根據實際情況對參數賦值進行調整。

表2 相關參數賦值

在表2 中還對表1 的相關指標參數進行賦值。由于相關文獻中的密碼算法均不同，為了簡單起見，本文統一采用現有標準算法進行分析，選取對稱密碼算法AES、橢圓曲線公鑰簽名算法ECDSA 以及加密算法ECIES。根據文獻[17]的測試數據，令AES加密1 KB消息的時間Ted=0.01 ms，ECDSA 的每次簽名時間Tσ=2.88 ms、驗簽時間Tv=8.53 ms。假設匿名機制采用公鑰加解密算法實現，每條匿名信息需要一次ECIES加解密操作，因此TAnon=7.75+4.95=12.7 ms。

根據文獻[18]可得地面到GEO 衛星的傳輸時延為250～280 ms，到MEO 衛星的時延為 80～100 ms，到LEO的時延為20～25 ms，到臨近空間的時延小于10 ms。綜合天地一體化網絡鏈路與節點接入的特點，本文假設網絡單向鏈路平均傳輸時延Ttr=25 ms。在認證開銷方面，為方便比較，令簽名算法的運算開銷為基本單位，即令cσ=1，對應的ced、ctr、cAnon及cv則為相關操作耗時與簽名耗時的比值。

6.2 性能分析與比較

通過上述模型定義及參數賦值，能夠計算出各方案的平均認證時延及認證開銷。

圖5為各方案平均認證時延的比較。可以看出：當節點MN的接入持續時間增加時，方案（2）和（3）的平均認證時延下降明顯，原因是切換認證時延低于接入認證時延，當節點的接入持續時間增加時，切換認證的次數相對增加，導致平均認證時延減少。

而方案（4）由于采用單一接入認證機制，所以其平均時延基本保持不變。但是，當接入持續時間到達20 min后，方案（2）和（3）的認證時延變換趨于穩定。因此，切換認證能夠降低整體認證時延，但是存在極限。

圖5 不同接入持續時間條件下，方案平均認證時延的分析比較

方案（1）無認證機制，但是存在2 次單向消息傳輸時延及排隊處理時延，因此具有一定的處理時延。另外，方案（1）的時延受節點通信模型的影響較小，主要是因為其接入與切換過程一致，下文將不再對其特別分析，僅作為性能分析基線。

從圖中還可看出，不同方案具有不同的認證時延，方案（2）的認證時延較低，方案（3）由于匿名認證的計算開銷較大，所以其認證時延也較高，比方案（2）最大增加30.6%左右。但是由于匿名認證協議能夠為重要節點提供匿名服務，所以在安全性方面具有優勢。并且，當接入持續時間超過10 min 后，方案（3）的平均認證時延低于方案（4），證明了切換認證的優勢。

圖6為不同節點接入持續時間條件下，各方案的認證開銷比較。可以看出：各方案的認證開銷隨著節點接入持續時間的增加而減少，其原因與認證時延相同。同時，相對于方案（1）而言，認證方案至少增加了約73%的計算開銷。另外，由于Handoff 協議需要預先傳遞上下文信息給下一跳基站，增加了認證開銷，所以方案的認證開銷與認證時延曲線并不完全一致。

圖6 不同接入持續時間條件下，方案平均認證開銷的分析比較

圖7為不同節點接入到達率條件下，各方案的平均認證時延的比較。可以看出：當節點接入平均到達率λu增加時，各方案的平均認證時延均有所增加，其主要原因是，各方案中的接入認證到達概率λ1及切換認證到達率λ2均與λu成正比。另外，可以看出方案（2）的認證時延小于方案（3），最大可減少約21%，而方案（3）在λu＞0.16 時，其平均認證時延要小于方案（4），這同樣也是因為切換認證的影響。

圖7 不同接入到達率條件下，方案平均認證時延的分析比較

圖8為不同節點接入到達率條件下，各方案平均認證開銷的比較。可以看出：當節點接入平均到達率λu增加時，各方案的平均認證開銷均有所增加，其原因與平均認證時延相同。

圖8 不同接入到達率條件下，方案平均認證開銷的分析比較

通過上述分析可以看出：（1）不同節點通信模式（節點接入持續時間、接入到達率）對認證時延與認證開銷均會產生較大影響；（2）通過接入認證與切換認證的配合使用，可以使整體方案兼顧安全性與高效性。

需要補充說明的是，由于安全機制的實施必然會影響協議執行效率，因此需要根據空天任務及節點資源的特點，選擇合適的方案。例如在深空探測等低風險任務可以采用None+None方案提高通信效率，而在軍事偵察等高風險任務中可以使用Mutual Auth+Handoff 或者Anon Auth+Handoff 方案保證安全性。另外，在高軌衛星通信等無切換場景中則可以使用單一Mutual Auth方案。

7 結束語

本文針對天地一體化網絡接入與切換認證問題，對整體認證方案進行了定量分析，建立了網絡認證及節點通信模型，給出了性能指標與計算方法，對四種典型認證方案組合進行了量化分析，并提出了相關建議。下一步將繼續完善相關模型參數的選擇與賦值，分析及對比模型性能，強化考量衛星數量及速度等因素對認證開銷的影響。