軟件定義星地融合網絡內生安全體系架構

趙國鋒，陸 毅，梁 康，王杉杉，周繼華，韓珍珍2,*

(1.重慶郵電大學 信息與通信工程學院，重慶 400065;2.重慶郵電大學 網絡空間安全與信息法學院，重慶 400065；3.復雜環境通信重慶市重點實驗室，重慶 400030)

0 引言

航空航天技術、移動通信技術以及信息網絡技術的快速發展，帶動未來互聯網向空間維度進行擴展，將地面網絡與空間網絡融合，遵循“網絡一體、安全一體、管控一體”的建設理念[1]，構建“全球覆蓋、隨遇接入、按需服務、安全可信”的STIN[2]已經成為未來網絡的重要發展方向。傳統的網絡安全防護主要以邊界防御思想為主，基于“外掛式”“補丁式”安全技術等進行網絡安全防護。從技術發展趨勢看，網絡安全技術存在明顯地從“外掛式”向“內生式”防御轉變的技術變革。特別是針對STIN，由于天基網絡節點(衛星、航天器等)具有顯著的資源受限特征，難以承受外掛式/補丁式的安全防護手段所需的大量計算、存儲資源要求，例如，在衛星上部署防火墻、入侵檢測、擬態防御系統等的代價太高。因此，亟需從頂層、源頭性設計內生式安全的STIN系統架構。

現有廣泛適用于地面網絡的外掛式防御方案難以在STIN系統中大規模部署，需要內生的安全技術來構建安全可信的未來空間信息網絡，滿足端到端通信的真實性、機密性、完整性、隱私性、可審計性和可用性等多種安全特性。而目前的星地融合系統架構缺乏內生的自驗證機制，外掛的補丁式安全技術難以為網絡通信提供保障。受害主機依然難以識別經過精心構造的虛假身份攻擊者，缺乏內生安全的身份真實性驗證機制，補丁式的安全方案難以解決用戶身份偽造帶來的身份真實性問題，網絡運行各個階段均會面臨各種各樣的安全問題。因此，需要打破當前功能優于安全的設計局限，以網絡頂層架構、協議設計為切入點，使得網絡自身能夠從體系結構、協議功能來內生安全防護功效，為STIN系統提供可審計追蹤的安全保障。

總之，STIN需要具備內生的身份認證、密鑰協商交換等能力，考慮到星地融合的現狀與未來發展，本方案更傾向于通過頂層、源頭性的STIN系統架構設計來實現網絡內生安全，通過軟件定義技術(Software Defined Network,SDN)將安全資源虛擬化，將網絡安全資源內嵌到基礎網絡架構中，支撐系統對安全資源的靈活調度，并提出安全即服務的安全理念，將安全和接入、路由、傳輸、管控等要素一體化考慮，實現安全內生的一體化網絡系統。

1 相關工作

STIN能夠有效緩解地面站部署和覆蓋受限對終端接入范圍受限產生的影響，有效擴展移動通信網絡的覆蓋范圍，為用戶提供更加靈活的接入服務，成為6G移動通信網絡建設的重要發展方向。在這種融合通信網絡中衛星的作用從“透明轉發”向“星上處理”演進，為提升系統的安全性提供了更好的支撐。

1.1 基于軟件定義的星地融合網絡

軟件定義星地融合能夠有效地解耦傳統衛星通信網絡“煙囪”式的體系架構，通過控制與轉發分離的思想，提高衛星硬件設備的通用性及軟件升級的靈活性，從而降低星上組網運行成本。文獻[3]提出一種可重構的軟件定義衛星網絡體系架構，該架構采用分層管控結構，每層設置的控制器受控于單個控制中心，通過軟件定義的方式對網絡資源進行統一管理和配置，提高資源的利用率。面對構建衛星互聯網的需求，文獻[4]提出一種天地融合衛星互聯網柔性體系架構，衛星與地面均部署SDN控制器，協調空地網絡的資源分配，支撐資源調度、星地組網和干擾協調等網絡需求，實現網絡的靈活管控。文獻[5]提出在軌自主控制星地融合智能組網架構。在地球靜止軌道(Geostationary Earth Orbit,GEO)、低地球軌道(Low Earth Orbit,LEO)和地面分別部署管控節點，根據任務需求實現跨域協同管控。同時該文獻指出這種分級組網管控架構能夠在不同的網絡需求和鏈路狀態資源下提供更加靈活的組網管控服務。文獻[6]提出基于SDN的空間網絡架構，利用衛星節點軌道的歷史數據預測未來的網絡事件，通過基于SDN的優化決策來主動減輕網絡事件對于網絡性能產生的影響。文獻[7]利用SDN和網絡功能虛擬化技術(Network Function Virtualization,NFV)的思想構建衛星寬帶網絡，提出軟件定義寬帶衛星通信網絡的基本架構，以提高衛星通信的服務質量，使得地面網絡與空間網絡能夠無縫融合。文獻[8]提出一種軟件定義空地一體化網絡架構，以無縫、高效和經濟的方式支持各種車輛服務，引入虛擬化技術，通過網絡切片對每個網段的資源進行隔離，將可用資源放入對應的資源池，以提高資源的利用率。上述基于軟件定義的STIN架構研究，利用控制與轉發分離的思想能夠為系統提供更加靈活的可編程網絡功能，從而支撐更加高效的網絡安全機制設計。

1.2 星地融合網絡安全機制研究

為了提高STIN的安全性，研究學者以安全作為主要設計目的提出STIN架構，在保障網絡效率的同時提升系統的安全性。文獻[9]提出面向天地一體化信息網絡的安全動態賦能架構，以期提高天地一體化信息網絡的安全服務能力、安全態勢分析和安全威脅處理的能力。文獻[10]指出人工智能在網絡空間安全防御中扮演著越來越重要的作用，并將其引入到網絡空間安全機制的設計中，使得系統能夠有效處理海量多源異構性的數據，制定實時響應策略，最終達到提升網絡空間安全防御能力的目的。文獻[11]采用標識映射機制構建通信與安全一體化的天地異構融合網絡總體架構模型，實現天基信息網與各類地面專網的高效融合、安全可靠以及資源整合。季新生等人[12]將具有異構、冗余及多樣性特點的擬態防御技術應用在一體化網絡中，提出構造安全內生網絡架構的設想，使網絡本身就具有一定安全防御功能，該類安全機制主要通過多重冗余備份的技術方案來實現。

此外，針對STIN的安全運行，如安全接入[13-14]、安全傳輸[15-16]、安全路由[17-18]與安全切換[19-20]?；诂F有的互聯網安全方案、加密機制及協議加強是實現網絡運行安全的有效手段。采用加密方法和協議加強方案能夠在一定程度上提高網絡運行的安全性，但是各類安全機制之間相互分離，而對于整個網絡系統來說，網絡應用響應的各個階段是相互關聯的，針對階段運行設計安全策略能夠有效提升網絡運行的安全指數，但對于整個網絡運行系統來說往往并不是最合適的安全策略。且對于節點資源有限的網絡來說，不同階段安全機制的冗余設計，將會占用大量的有限資源，降低整個網絡的運行效率。

STIN節點資源以及環境的特點使得互聯網的安全設計理念不能完全應用于STIN，主要原因歸納為：① 當前網絡安全設計理念呈現為補丁式?，F有的互聯網絡發展遵循先有架構再有關鍵技術最后網絡安全的發展規律，功能設計先于安全設計，安全機制都是以補丁的方式添加到已經成熟的網絡架構中，由于空間網絡中衛星載荷技術以及星間鏈路的限制，這種設計方案會使得一體化網絡變得臃腫僵化；② 系統運行階段的安全設計相互獨立。針對傳統網絡中的各種安全運行問題，如安全接入、安全路由、安全傳輸、安全切換安全管理等問題，相關的安全及安全加強方案能夠解決對應的安全威脅或安全問題，然而，這種相互獨立的安全運行機制的設計缺少對任務請求的安全響應過程的整體考慮，會帶來存儲和計算資源的過量占用，且影響網絡運行效率。

2 星地融合網絡內生安全體系架構設計需求

考慮到空間信息網絡資源受限的網絡特點，需要設計一種網絡架構靈活、支撐網絡安全服務可編程的新型網絡架構，這是開展未來網絡一體化研究需要解決的基礎性問題。安全即服務的設計思想，能夠有效保障網絡安全與網絡運行的融合。即終端用戶發送任務請求，系統根據用戶提供的狀態信息，提供安全響應服務。安全內生的一體化網絡架構如圖1所示，當終端節點發出應用任務請求時，任務請求通過系統安全服務層接入系統，系統則通過啟動安全控制平面，根據管控策略下發安全管控指令，在由數據平面完成系統的安全響應服務。

圖1 安全內生的一體化網絡架構Fig.1 Architecture of integrated network based on security endogenous

由現有星地融合體系架構的分析可知，構建基于軟件定義的STIN安全體系架構能夠有效擴展衛星網絡功能，與地面網絡互補，提高整個系統的安全管控能力，有效支撐安全內生網絡體系架構的設計。構建安全高效的STIN需要滿足以下幾個基本條件：

(1) 基礎設備可編程

基于地面移動通信技術，將現有移動通信網絡體系向空間維度擴展，構建STIN能夠有效提高網絡的服務能力，但也使得網絡面臨的安全威脅呈現出多樣化的特性。此外，STIN節點種類眾多且動態性強。為支撐終端的隨時隨地的安全接入和任務的高效傳輸，衛星需要通過軟件加載的形式支撐網絡功能的升級，以支撐更加多樣化的安全應用需求，如星載路由器及星載控制器等。基于當前研究進展，可引入SDN和NFV支撐網絡功能可編程的需求。

(2) 星地協同管控

相較于衛星網絡，地面網絡在計算存儲方面具有優勢，但是部署范圍受限。衛星網絡雖然星上處理能力受限，卻能夠有效彌補地面網絡在服務覆蓋上的不足。然而，單一地通過衛星轉發業務，已經無法滿足用戶對網絡多樣化安全的需求。因此，需要擴展衛星網絡的管控功能。根據衛星網絡部署的空間特點，將網絡安全管控功能模塊加載到衛星上，協同地面完成整個系統的安全管控，實現STIN的安全一體化管控。

(3) 系統動態抗毀

衛星網絡環境開放，網絡節點的攻擊和消息篡改的安全問題較突出，一旦網絡節點或者鏈路發生故障，網絡的可靠傳輸將會受影響。因此，在系統運行的過程中，STIN體系架構的設計需要考慮系統抗毀的需求，如安全預判、用戶接入鑒權認證、系統冗余備份及故障恢復機制，從而保障終端的可靠接入和數據的可靠傳輸。

3 安全內嵌的網絡架構設計

3.1 軟件定義星地融合網絡

基于軟件定義STIN架構[21]如圖2所示，該網絡架構主要由衛星骨干網、平流層接入網絡以及地面互連網組成。其中，GEO層衛星具有覆蓋范圍廣、對地靜止及鏈路功能可靠的特點，能夠完成地面網絡的全覆蓋及對地軌衛星的動態監測，該體系架構設計中選擇GEO層衛星群做主控制器協同地面站構建全局網絡拓撲，實現系統的全局管控。LEO層衛星對地傳播時延小，但拓撲變化快，針對時延敏感型應用，則需要根據應用需求及當前網絡狀態動態地選擇合適LEO層中的衛星作為從屬控制器，實現本地網絡的靈活管控。主控制器與從屬控制器之間相互協作共同完成控制平面的功能，呈現為邏輯上集中地理上分散的集中分布式控制架構。地面站是星地網絡的主要連接節點，具有強大的計算存儲功能，受政治及地理因素影響，其相對數量及位置都比較穩定，作為整個網絡的管理中心，聯合控制器平面完成高效靈活的網絡配置?？臻g所有衛星節點構成整個網絡的數據轉發平面，承載整個網絡控制流及數據流的轉發。

圖2 基于軟件定義的STIN體系架構Fig.2 Architecture of STIN based on SDN

基于軟件定義網絡的功能可編程特性，安全內生的STIN系統設計遵循安全即服務的設計理念，整個系統相當于一個具有安全應用服務能力的系統，將網絡安全內嵌到網絡的接入、路由、傳輸、切換等整個運行的過程中，且不同運行階段設計的安全策略能夠相互銜接。針對可能面臨的不同安全威脅或攻擊，能夠根據應用對網絡安全要求的程度給出不同任務安全等級的響應方案，即具有不同強度等級的安全服務能力，提高整個網絡的運行效率，實現網絡安全一體化的理念。如圖2所示，源自不同終端的任務請求，具備安全等級需求的差異性。系統在響應終端任務請求時，需要根據任務的安全等級確定接入認證方案的安全等級。終端接入系統后，衛星節點能夠根據已存儲用戶的接入認證信息，確定路由傳輸或者移動性管理策略的安全性。這種一體化的安全服務機制，能夠減少安全信令在星地間的交互次數，在減少網絡資源占用的同時，提升系統的安全性。

3.2 安全內嵌的網絡架構設計

基于軟件定義一體化信息網的基礎網絡為靈活多樣的網絡應用提供了支撐，安全內嵌的STIN體系結合該網絡特點與虛擬化技術，將安全設計的思想內嵌到整個網絡體系中，主要包括承載安全數據的數據安全傳輸平面及制定安全響應的管控平面，為系統請求提供安全服務。

安全內嵌的STIN的基礎架構如圖3所示。在該架構體系中，當低空網絡節點向可關聯衛星節點發出接入請求時，系統即開始為終端提供安全服務響應。首先系統安全管控平面根據用戶提交的基本身份信息完成接入認證，通過終端關聯衛星節點為用戶提供授權服務，并將其身份信息提交到實體身份管理模塊，以便在為終端制定安全路由傳輸時使用，安全認證機制的設計受終端任務特征的影響，同時也會影響下一階段安全路由傳輸機制的設計，整個網絡系統相互配合，完成對終端任務請求的安全響應。

圖3 安全內生的STIN架構Fig.3 Security endogenous architectureof STIN

安全內嵌的技術機制能在系統層面提供硬件、軟件和運行環境等的安全服務能力。首先要求網絡系統的硬件設備能夠為上層的應用請求提供良好的服務；其次要求整個系統具有靈活的管控系統；最后整個網絡具有完善的運行決策機制，在保證系統響應同時提高系統的安全服務能力。

(1) 基礎設施層

安全內嵌的STIN基礎設施層中多樣化的網絡設備節點，如衛星節點，低空節點、地面網絡節點、海上船艦節點等，承載整個網絡的數據流和控制流。設備節點在支撐整個網絡運行的同時，需要根據網絡需求動態地加載更新安全軟件資源，如防火墻、WAF、IPS等，形成具有安全功能的節點設備。通過NFV及VNF技術設備資源虛擬成不同的網絡資源切片構成設備資源池，根據上層網絡應用的請求對切片化網絡資源進行服務編排，完成網絡資源的靈活調度及安全隔離。

網絡節點安全資源的多樣性直接影響網絡安全服務能力，但受衛星節點存儲能力和星間節點計算有限性的約束，需要將安全資源分布緩存在不同的節點上，使得安全資源存在一定程度的冗余，利用冗余備份的思想來加強網絡安全，根據上層安全應用請求及時給出安全策略的同時使得網絡具有一定的魯棒性，靈活應對個別網絡節點受網絡攻擊而產生的網絡故障問題。

(2) 安全管控平臺

安全管控平面作為整個網絡架構的核心體系，提供安全服務編排、安全服務管理和網絡運行監測，要求系統具有極度靈活的管控能力。在空間特有的環境條件下，控制方案設計直接決定了整個網絡運行的效率和整個網絡的安全性，集中加分布式的多層網絡管控架構能夠增加整個網絡的可擴展性、靈活性及安全性。

安全一體化設計的核心是對于不同的網絡任務接入請求制定不同安全等級的系統響應服務。安全協議加強機制和加密機制是提高系統安全服務能力的主要策略，不同的加密算法具有不同的計算復雜度，需要消耗一定的計算和存儲資源。而基于密碼技術的安全機制，其安全性不僅在于密碼算法本身的保密性，而且在于密鑰的真實性和有效性。即網絡系統的安全服務能力受節點計算存儲等資源的影響，同時也會影響網絡的性能。要求管控平面能夠根據用戶請求以及網絡系統的性能選擇合適的密鑰生成算法，在保證整個響應的安全的同時，降低計算復雜度和存儲空間。

控制平面通過北向API接口與安全應用連接，根據應用的需求及安全策略，調用設備資源池的節點設備，完成整個響應過程的安全防護。

(3) 應用安全

安全一體化的設計理念要求整個系統在響應終端應用請求的時候保障整個響應過程的安全性，涉及到網絡應用的接入、路由組網及傳輸，并非只能為用戶提供單一的Web安全、訪問控制或者DDoS防護等獨立的安全應用。針對應用層安全來說，沒有絕對的安全機制，網絡安全建立在失敗的前提之上，系統無法提供安全保障，只能盡可能提高安全概率，降低整個系統可能被攻擊的概率。類似，在內嵌的網絡架構體系中，針對不同的應用請求具有不同的安全等級需求，給出安全等級劃分的設計理念，在不同的響應運行階段設計不同的安全機制，不同階段的安全機制互為基礎，相互銜接，最大限度地降低安全機制對有限網絡資源的占用。

4 關鍵技術及挑戰

4.1 基于AI的智能防御機制

相比較傳統的被動防御系統架構，將AI技術應用到基于軟件定義的STIN架構中，建立智能化的主動防御體系，更能提升系統的安全性。在終端接入系統前，基于AI的入侵檢測技術作為一種積極主動的安全防護機制，通過對網絡數據包或者信息進行收集，檢測可能的入侵行為，并且能在入侵行為發生之前，或者造成危害之前，調動不同的響應措施保障軟件定義STIN的安全。因此，在系統架構設計中利用AI技術的并行計算分布式存儲以及多層結構的特點，使用分類器將入侵行為數據和正常的數據盡可能正確地分開，保留正常數據并分析網絡異常行為，對可能的網絡攻擊采取不同的防御手段?；贏I技術的入侵檢測系統可以有效保護信息的完整性、可用性和保密性，并提高網絡的安全攻擊檢測的準確性。

4.2 輕量化安全接入機制

接入認證機制是防止非法接入的關鍵，是保證網絡安全的關鍵步驟。由于衛星的高動態特性，隨著接入用戶不斷增加，基于中心認證的接入存在時延和中斷概率大的挑戰。為了提高系統的安全性和終端接入的有效性，需要設計輕量化的安全接入機制。當衛星節點的位置變化、局部子網連接不穩定時，終端更難接入網絡，接入終端面臨著頻繁認證和切換接入衛星的問題。可構建基于共識機制的接入認證方式，當終端第一次接入網絡，需要網絡節點的共識機制，完成終端身份認證，建立公私鑰；再次接入認證時，通過終端在衛星上的使用記錄，組建衛星節點對終端信息進行驗證，能夠降低認證復雜度，保障終端高效接入與切換，實現安全接入認證的輕量化。

4.3 星間安全運行機制

安全路由傳輸作為網絡安全響應的運行基礎，特別是在高動態、大時延尺度的網絡環境下，系統組網方式不斷發生變化，路由拓撲也隨之變化，數據傳輸中斷概率增加，網絡信息更加容易泄露，節點和鏈路更容易遭到竊聽和主動攻擊，給融合系統的安全運行帶來了一定的挑戰。在路由傳輸的過程中，通常衛星節點之間不斷地交換控制信令報文，進而計算、更新和維護路由路徑，攻擊者竊聽并偽造路由控制報文之后，將虛假報文注入網絡中，則會導致路由構建錯誤或者重要信息泄露。因此，需要保證路由控制報文的完整性和真實性。基于接入過程中衛星節點所存儲的節點狀態信息，在系統交互控制報文的過程中，基于不同等級的加密方式(哈希運算、橢圓曲線加密、格密碼)，設計安全級別不同的路由傳輸協議，為用戶提供安全任務請求響應，同時盡可能地減少網絡運行中因過度加密而造成的網絡資源浪費，提高網絡的運行效率。

4.4 去中心化的密鑰管理機制

密碼技術可以為網絡運行過程的通信內容提供機密性和完整性保護，但是由于承載數據的IP缺少密鑰生成和可信的自驗證機制，需要第三方協同來完成加密過程中密鑰管理。然而，基于第三方的多級中心化PKI機制存在不可信，以及多級證書鏈在驗證時帶來大量計算開銷等問題。CA中心在分發和撤銷證書時，缺乏具體且清晰的邊界，假如某個權威CA被攻陷，帶來的安全問題將大規模蔓延擴散。因此，針對單點權威CA失效問題，去中心化的密鑰管理機制已成為構建安全信任錨的主要研究方向，需要根據網絡節點的具體屬性特征研究去中心化或者弱中心化的密鑰管理機制。

5 結束語

縱觀當前互聯的發展歷程，功能先于安全的網絡設計理念會導致網絡完全策略始終處于被動地位，且對網絡資源的要求較高，不能很好地應用在網絡環境特殊的空間信息網絡中。而安全即服務的設計理念，將網絡的安全看作網絡的一種服務能力，遵循功能與安全同步的設計思想，能夠很好地將安全防護思想融合到網絡體系結構中，可以主動適應用戶、網絡和業務的快速變化并迅速發展，為STIN的安全防護提供了新思路和技術途徑。