空天網絡安全切換技術研究綜述

韓孟達，曹利峰，雷依翰，杜學繪

1.信息工程大學，鄭州 450001

2.河南省信息安全重點實驗室，鄭州 450001

天地一體化信息網絡（space-ground integration network，SGIN）是涵蓋了陸、海、空、天以及網絡空間的新型未來網絡體系，旨在推進天基信息網、未來互聯網、移動通信網的全面融合，形成覆蓋全球的天地一體化信息網絡，能夠打破各網絡獨立運行的現狀[1]。科技部已將其納入到“科技創新2030重大項目”中。我國在此方面開展了“鴻雁星座”“行云工程”和“虹云工程”等建設工作，歐美等國家也在針對以中低軌道為主的天基網絡加速布局，主要有SpaceX的Starlink計劃、英國的OneWeb計劃、歐盟的Sat5G計劃等。建設天地一體化信息網絡是未來網絡基礎設施發展的趨勢所向，對國家戰略支撐具有重大意義[2]。

天地一體化信息網絡主要由天基骨干網[3]、天基接入網[4]、地基節點網[5]組成，其覆蓋能力可突破海拔、地形等地理條件限制，可滿足來自陸、海、空、天等全方位用戶的接入需求，實現全球組網。在業務保障能力方面，可面向用戶提供話務、數據、多媒體等多種類型的服務，并可提供安全可信的網絡環境。在兼容性方面，能夠與已有的網絡設施進行整合，還可與5G、6G 等新型網絡技術實現對接[6-7]。

對于天地一體化信息網絡體系結構的設計，已有多位院士專家給出了完善的規劃[8-10]。網絡的主要結構及空間分布如圖1所示，所涵蓋的主要組成部分及其功能描述如下。

圖1 天地一體化信息網絡體系結構Fig.1 Architecture of space-ground integrated information network

天基骨干網：主要由地球同步軌道衛星組成，衛星之間依托激光鏈路進行通信。同步衛星的信號覆蓋范圍廣，但與相對距離較遠的用戶直接通信時信道質量不佳，時延較長，通常在網絡體系中承擔信息交換樞紐及空天節點管理的任務。

天基接入網：主要由低軌衛星以及臨近空間中的浮空器等組成，通過數量眾多的節點為陸、海、空等多方位的用戶提供遍布全球的隨遇接入和無縫化切換的網絡服務，擁有比地基節點網更廣泛的覆蓋能力。

地基節點網：主要由布設在地表的各類骨干節點組成，其中既包括能夠與衛星通信的地面站，又涵蓋了移動通信網、地面互聯網等現有網絡，可為移動用戶提供方便、穩定的網絡服務，是實現天地一體化信息網絡資源共享的重要一環。相對于空中的節點，地基節點便于布設和維護，可承擔信息的管理、存儲、處理等業務。

目前天地一體化信息網絡發展的總體趨勢是天基網絡在未來網絡體系中的地位愈加凸顯，而天基網絡和地面網絡體系融合創新也在持續加速。但是，天地一體化信息網絡中空天網絡部分由于其特殊性，為信息安全技術在空天網絡中的應用帶來了諸多挑戰，主要體現在：

（1）空天網絡高度暴露[11]。空天網絡是天地一體化信息網絡的重要組成部分，時空跨度大，完全暴露于空間之中，存在著赤道軌道、極軌道、傾斜軌道等，各國空天節點縱橫交錯，相互毗鄰運轉，使得空天節點受到的攻擊更加容易、更加多樣化，如何在層次化、立體化的網絡空間中構建節點之間的信任關系，是防止節點假冒攻擊、竊取信息的關鍵。

（2）空天網絡節點高速運動[12]。衛星、高速飛行器等節點運行速度快，網絡拓撲動態變化，接入基站難以提供持續性的服務，接入終端切換頻繁，如何無需重復認證即可進行安全、自由的切換，以實現節點間的可信保持，是確保空天網絡安全性的前提。

（3）計算資源受限[13]。空中節點隨著運行高度的不同，受到天氣、電磁波、溫度等空間環境的影響，使得衛星等節點的計算、存儲、通信等受到限制，對功耗控制要求高，節點的后期維護較為困難，這就要求空天網絡中應用的密碼算法、安全協議、安全接入方案等具有輕量級，以滿足空天網絡的計算資源受限的需求。

（4）鏈路間歇連通[14]。空天網絡時空跨度大，鏈路采用微波、激光等媒介，由于空間受到自然條件、傳輸距離遠、節點高速運動等影響，使得數據的傳輸存在著時延大、誤碼率高的問題，而且鏈路存在著間歇性連通，因此空天網絡是一個典型延遲容忍網絡。如何在鏈路間歇連通的情況下實現數據的延遲容忍傳輸，是確保安全接入、安全切換、安全傳輸的關鍵。

接入認證是空天網絡信息安全的第一道防線，但是由于空天網絡節點的高速運動，使得接入節點頻繁發生切換，從而引起重復性的安全接入認證，導致安全服務的不連續性，甚至中斷。因此，研究空天網絡環境下節點的安全切換，確保可信保持，是實現空天網絡持續性安全保障的關鍵[15]。針對空天網絡安全切換研究，目前國內外也進行了初步的探索研究，其也是天地一體化網絡建設的主要內容，但是目前的研究大多針對單一的切換場景，難以適應未來復雜時空環境下多場景、跨軌道平面、自由的安全切換需求，亟需針對復雜的空天網絡，開展更為深入的研究。本文重點對當前的空天網絡安全切換技術進行梳理、歸類與總結，闡述空天網絡安全切換的研究進展，指出空天網絡安全切換所需的關鍵技術，對空天網絡安全切換的研究熱點以及未來發展趨勢進行展望，為天地一體化網絡建設中無縫安全切換的深入研究提供參考。

1 空天網絡無縫安全切換概念

1.1 切換的基本概念

空天網絡節點之間存在著相對高速運動，接入基站的覆蓋范圍有限且動態移動，從而導致已接入的用戶可能離開當前接入點的連接覆蓋范圍而進入相鄰節點的覆蓋范圍，為了維持通信的持續性，需要斷開原有的連接，建立新的連接，這種行為在通信中稱為切換。比如，LEO、MEO衛星對地高速運動，接入節點頻繁更換接入衛星；飛行器高速運動，導致頻繁切換接入基站。從切換發生的層次角度，可將空天網絡切換分為數據鏈路層和網絡層切換[16]。鏈路層切換又可分為點波束切換、衛星間切換；網絡層切換則在切換過程中導致IP地址的變化，從而引起網絡層次切換。

切換的發生，除了因為節點的高速運動外，在原有信道、網絡條件惡化時以及有新的業務需求時，均可通過主動執行切換操作來改善通信網絡的質量，或者獲取新的服務。在切換過程中，為確保移動用戶的業務不受切換的干擾或中斷，應盡量減少切換過程的時延，使用戶察覺不到切換操作的影響，這種理想效果的切換操作稱為無縫切換（seamless handover）。

1.2 切換安全與安全切換

空天網絡高度暴露、邊界模糊，使得空天網絡更容易遭受攻擊。相應地，在空天網絡切換過程中，也存在著身份假冒、信息篡改以及竊聽等安全威脅，因此，在空天網絡切換過程中，需要提供安全服務，比如認證、加密、完整性等服務確保切換過程的安全性。上述針對空天網絡切換過程所采取的安全防護措施，目的是降低空天網絡場景下節點的安全風險，從而保障切換安全。

接入認證是空天網絡安全的第一道防線，也是構建空天網絡信任體系的主要手段、方法。當空天網絡由于節點的高速運動帶來頻繁切換時，也必然引起接入的頻繁認證。由于空天網絡間歇連通，計算資源受限，使得重復性的接入認證易造成通信性能的降低，也使得通信業務的連續性受到影響。因此，如何在空天節點高速運動環境下，無需重復接入認證，實現鏈路間歇連通情況下身份可信保持，確保服務的連續性，是空天網絡安全亟待解決的核心問題。避免重復認證，就需要將節點的接入認證狀態信息、歷史信息、節點狀態信息、通信狀態信息、切換密鑰等隨著空天網絡節點切換過程安全地轉移到下一個待接入的基站，依據安全狀態的驗證實現節點的切換認證，從而避免重復性的認證。這樣的將安全狀態切換至下一個待接入基站的過程，稱之為安全切換。

錢雁斌等人[17]較早地提出了空天網絡中安全切換的概念，將安全切換歸類為切換機制的一種，并定義安全切換是在實現物理鏈路切換的同時保證用戶身份、權限和已經建立的安全通道等能夠在切換節點間傳遞，從而在切換過程中實現用戶安全狀態的保持。因此，安全切換是一種兼顧切換過程安全性和性能的切換機制，諸多學者在研究空天網絡的安全保障技術中，也都將其表述為安全切換[15，18]。

綜上所述，本文所研究的空天網絡“安全切換”，是指用戶在接入節點信任關系的切換，即接入認證狀態的切換，以避免重復性的接入認證，結合空天網絡切換過程的安全，確保空天網絡節點信任的無縫傳遞，從而實現空天網絡中用戶的快速無縫安全切換。

2 無縫安全切換流程

2.1 空天網絡切換場景

空天網絡節點種類復雜、網絡層級多的特點致使其切換發生的場景和執行過程會存在差異，如圖2 所示。空天網絡安全切換做到無縫化，應能夠適應空天網絡的應用場景，并對空天網絡切換流程進行一體化設計，以做到平滑安全切換，因此，空天網絡切換場景對安全切換的實施是非常重要的。

圖2 空天網絡接入與切換示意圖Fig.2 Schematic diagram of aerospace network access and handover

空天網絡是一個復雜、立體空間的網絡，在接入網方面，存在著橫向軌道衛星平面、縱向軌道衛星平面以及側向軌道衛星平面，軌道縱橫交錯，存在著同一軌道平面的切換與跨軌道平面的切換、網絡內切換與異構網絡域切換、單一場景切換與多場景切換等，切換較為復雜。但從技術層面來說，按照切換前后網絡技術異同，切換可分為水平切換、垂直切換；按照鏈路切換前后實體異同，可分為點波束間切換、衛星間切換；按照接入信任域異同，還可以分為域內切換、域間切換；參與組網的衛星之間形成的鏈路，也會因衛星間的相對運動建立和斷開，稱為星間鏈路切換。

（1）水平切換和垂直切換

水平切換是指在同一網絡技術體系下完成的接入基站間的切換。通常情況下是由于接入節點與接入基站的相對高速運動，使得接入基站在其覆蓋范圍內無法繼續為接入節點提供服務，從而發生切換；亦或接入基站由于信道質量下降，處于擁塞狀態，導致服務無法繼續而發生切換。而垂直切換則通常是由于業務需求發生了變化，或者由于網絡服務提供者發生變化，致使接入網絡發生變化，從而引起切換。水平切換與垂直切換可依據切換前后的網絡類型是否相同進行區分，水平切換前后接入網絡技術相同，切換通常為鏈路層實現，而垂直切換由于前后接入網絡存在著異構性，不僅要進行鏈路切換，而且還需進行網絡層切換[19]。在圖3中的A、B、C三點處，用戶在同種規格的衛星之間發生切換，由于不涉及到接入技術的差異，屬于水平切換；而在D點，用戶從衛星無線網絡切換至浮空器臨近空間網絡，屬于垂直切換。相比之下，垂直切換所涉及的協議設計要比水平切換復雜，需要考慮到不同網絡間的技術差異。相應地，切換安全方面需要考慮不同網絡技術體制下信任的協商問題[20]。

圖3 空天網絡切換分類Fig.3 Classification of aerospace network handover

（2）點波束間切換與衛星間切換

在點波束間切換中，每個衛星上通常配備多波束天線，衛星的通信覆蓋區域被劃分為類似蜂窩網絡的多個區域，以實現頻率復用。當終端用戶跨越衛星點波束間邊界時，即發生了星內的點波束切換[21]。在圖3中A點處，移動用戶在同一衛星下的不同波束間切換，由于切換前后的會話雙方沒有發生變化，切換過程通常只需核驗身份的真實性。由于點波束的覆蓋區域相對較小，點波束切換發生較為頻繁，通常為每1～2 min 一次。在點波束切換過程中，用戶的移動相較衛星的高速運動可以忽略，研究時可將其看作相對于小區直線運動[22]。由于點波束切換發生在同一衛星實體，安全切換發生在衛星系統內部，實施較為容易，本文不討論點波束切換下的安全切換。

衛星間切換[23]是指當用戶從一顆衛星的信號覆蓋范圍運動到另一顆衛星的覆蓋范圍下時，為了保持業務的連續性，用戶節點需要在衛星之間切換。如圖3的B、C、D三點處，由于覆蓋范圍相對變化，使得用戶在衛星之間發生切換，由于切換前后接入衛星不同，用戶在衛星間鏈路切換的同時，安全切換需實現用戶接入認證狀態的遷移，以及確保切換過程的安全性，這也是確保無縫切換、保持業務連續性的關鍵。

（3）域內切換與域間切換

域內切換指的是在同一信任域內的切換，域內的空天網絡節點屬于同一信任域，用戶的切換在域內節點上進行。而域間切換則是用戶在不同信息域之間發了切換，即用戶前后接入的節點分屬于不同的信任域。為了保持業務連續性，用戶需要闊別家鄉網絡，切換到另一域內，此時就要發生跨域的安全切換[24]。如圖3中的A、B、D三點屬于域內切換，而C點處發生了域間切換。在空天網絡中，實現跨域的安全切換，可能存在于跨地理位置或者跨層的切換，這些接入網絡之間屬于不同的信任域，因此在進行安全切換時，需要進行跨域的信任協商[25]，從而實現用戶的自由切換。

（4）星間鏈路切換

星上搭載的數個激光設備會使衛星與范圍內的若干個衛星建立鏈路，由于衛星軌道的錯落分布，所屬于不同軌道的衛星之間的鏈路通常會間歇性連通。

如圖4 所示，空天網絡某區域存在交匯的三條軌道，從ta時刻到tb時刻，衛星B與C的星間鏈路斷開，而A與D建立起一條新的鏈路。星間鏈路的建立和斷開是頻繁的，而建立鏈路的衛星之間也需要進行相互認證以保證切換的安全性[26]，因此星間鏈路也存在安全切換的問題。

圖4 星間鏈路切換Fig.4 Intersatellite link handover

2.2 空天網絡切換流程

通過對空天網絡切換的研究與分析，符合切換流程，相應地，空天網絡安全切換主要包括切換感知、接入基站選擇、切換認證以及切換密鑰更新等四個階段。階段間的關系及實施流程如圖5所示。

圖5 安全切換的實施流程Fig.5 Implementation process of security handover

第一階段：切換感知。主要是感知切換的發生，包括接入基站信號強弱感知、切換位置與時間的預測等。網絡中切換發生的根本原因，是由于用戶與接入基站之間的相對高速運動，造成接入基站對用戶覆蓋區域的減小或信道環境惡化，從而引起切換以保持業務的連續性。倘若僅將當前接入節點的覆蓋信號強度作為切換的判定依據，在原信號強度和新切換信號強度趨近時易造成乒乓效應。因此，飛行器的切換時間和位置等關鍵信息的預測和掌握，對安全切換的控制至關重要。通過預知飛行器將要發生切換的時間及位置，提供接入服務的衛星節點一端也可以提前制定合理的信道預留方案，以保證切換過程的服務質量，同時提高切換的準確性、合理性。

第二階段：接入基站選擇。當預測發生切換后，通常情況下，在切換位置會同時存在多個提供信號覆蓋的可接入節點，如何從多個接入基站中選擇出最優的，確保業務連續性的質量，是安全切換的亟待解決的關鍵問題，特別是在軌道縱橫交錯、跨軌道跨平面切換時，基站的選擇涉及用戶移動的位置、軌跡，接入點的運動軌跡，服務質量等。因此，研究基站預測、安全切換策略、最優化選擇等，將會為空天網絡中用戶的自由切換奠定技術基礎。

第三階段：切換認證。本階段解決的問題是當用戶發生切換時，如何避免重復性接入認證，快速地進行信任的鑒別。在該階段包括信任狀態傳遞以及安全切換觸發。其中信任狀態傳遞，完成接入用戶安全狀態的遷移，使得安全切換做到快速、無縫化，以實現平滑切換；安全切換觸發，即在發生切換時，通過輕量級的安全切換協議觸發用戶切換認證的完成。

第四階段：切換密鑰更新。在基于安全上下文等切換認證機制中，為提高切換效率，用戶與新的接入基站間的會話密鑰通常由舊的接入基站代理產生。由于用戶需要在新的基站下駐留一段時間，長期使用代理產生的會話密鑰會存在一定風險，因此用戶需要更新會話密鑰，以保證后續服務的安全性。

3 空天網絡安全切換技術研究

依托于空天網絡安全切換流程，本文從切換感知技術、基站選擇技術、切換認證技術，對空天網絡安全切換技術的研究進行了歸納與分析。

3.1 安全切換感知技術研究

切換感知階段主要是對用戶自身所處的信號質量進行評估，確定當前擁有的網絡資源是否能夠滿足業務通信的需求，判別是否需要切換、預測切換的時間與地點，并探知切換基站的相關信息，為接入基站的最優選擇提供參數的評估。可見，安全切換感知技術的研究主要包括接入節點信號覆蓋下服務持續性評估以及安全切換參數的測量。由于接入基站、接入用戶的相對運動，其狀態信息是時刻變化的，安全切換的感知也需動態更新，對于參數采樣的時間間隔應設置在一個合適的范圍，既要保證參數信息的精度，又要避免頻繁的參數更新為系統帶來的負擔。

3.1.1 基于服務持續性評估的切換分析方法

在空天網絡中，預測安全切換發生需求，通常依賴于接入衛星基站（浮空器）提供的服務質量來進行衡量，即接入基站的服務覆蓋范圍性能評估。服務質量（quality of service，QoS）是用來衡量網絡狀況是否良好的重要指標，為保證網絡質量并為可能發生的切換做準備，用戶節點會周期性地對各種影響服務質量的關鍵因素進行感知和評估，如信號強度、往返時延、分組丟失率、網絡負載、服務時間、業務需求等。其中信號強度是影響QoS的直接因素，有時信號強度會因為一些干擾造成短暫的衰減，并非用戶節點將要離開當前接入點，因此有必要對該項參數的動態獲取，避免不必要的切換。

文獻[27]通過建立空天網絡的信道模型，對信號強度等信道特征變化進行監控，提出了能夠自適應信道條件變化的高效率切換算法。文獻[28]提出了一種基于當前網絡剩余可持續時間的切換管理方案HM-LRT（handover management scheme based on link remaining time），提前為下一次切換的路由表變更做準備，減少切換過程的數據丟失。文獻[29]設計了基于SDN 的空天網絡切換機制，由控制器定期更新衛星位置、信號強度、可用資源等狀態信息，用于預知可能到來的切換，當信號強度低于預認證閾值時，源節點將預認證信息轉發給用戶，從而實現信任的傳遞，有效克服了由于安全需求而導致切換延遲大的缺點。

3.1.2 基于運動軌跡的安全切換參數確定方法

用戶脫離原衛星節點的信號覆蓋是發生切換的主要原因，因此需要掌握衛星和用戶節點的運動軌跡，以便預先進行切換準備工作，從而提高系統在切換時的響應速度，盡可能降低切換時延對用戶服務質量帶來的影響。此外，對于空間節點的真實個體而言，其某一時刻在物理空間中所處的位置具有唯一性，不可以被其他節點所頂替，通過將節點位置等信息引入安全切換參數中，可以有效提高節點間身份認證的安全性。

（1）對用戶移動軌跡的預測

對于飛行器等空中移動節點的航跡預測，目前通常采用卡爾曼濾波算法[30]。文獻[31]將該方法引入到空天網絡的切換研究中，通過建立用戶運動方程及計算卡爾曼增益，實現了對移動用戶未來時刻的位置和速度的預測，并通過實驗證實了卡爾曼濾波法得到的用戶預測位置能夠較好地接近實際位置。

（2）對衛星移動軌跡的預測

SGP4[32]是一種常用的低軌道外推算法，其充分考慮了地球引力、大氣阻力等因素對于LEO 衛星運動軌跡的影響，具有較高的預測精度。文獻[33]在空天網絡切換研究中，通過結合SGP4提出了一種面向LEO衛星的星下點軌跡預測方法，并由預測的星下點軌跡定期更新星歷，用以預測將要發生的切換。

（3）對于切換發生相對位置的預測

在（1）、（2）兩類預測算法中，可分別求得用戶和衛星的移動軌跡，再通過兩者未來運動軌跡時間空間上的重疊求得切換發生位置。然而，有學者提出了基于多普勒頻移技術的目標切換位置和時刻的預測算法，該算法是以用戶和衛星節點的相對位置為研究對象，因此預測結果可直接用于確定切換位置和時刻。Papapetrou等人在其研究中[34-35]針對LEO衛星網絡地面節點切換問題，提出一種基于動態多普勒技術的LEO 切換選擇算法DDBHP，通過檢測多普勒頻移可以測得某一時刻節點衛星的仰角，并且在不同時刻進行測量可進一步推得節點衛星與飛行器之間的方位角。基于該特點，有學者在研究中提出了基于多普勒的切換時間及位置預測方法[36-37]，簡要描述如下：

設R為地球半徑，H、h分別為衛星和飛行器距地面高度，α為在T時刻通過檢測多普勒頻移得到的衛星相對于飛行器的仰角。則衛星和飛行器垂直于地面的夾角β可表示為：

以飛行器距離地心距離R+h為半徑，地心為球心做球面，衛星的信號覆蓋在此球面上進行投影，得到以衛星視角的俯視圖和側視圖如圖6所示。

圖6 不同角度的衛星覆蓋視圖Fig.6 Satellite coverage view from different angles

設飛行器沿箭頭所指方向巡航飛行，并分別于tA和tB時刻先后經過點A和B，其相應的仰角分別為αA和αB,C為將來的切換發生點。則由式（1）可推算出飛行器位于A、B兩點時，分別對應的地心夾角βA和βB。

同時，飛行器以巡航速度V運動，在從A到B過程中經過的角度為：

在球面三角形中，由幾何關系可以得：

當飛行器與衛星的通信仰角最小時發生切換，設切換點為C，此時仰角為αC，則由式（1）可得此時的地心夾角βC，并且由幾何關系可得：

因此由式（3）、（4）可知∠BOC=π-∠OBC-∠OCB,設飛行器從B到C經過的角度為φ′，則由式（2）可得：

從而可知切換時刻為：

但是，孟夢等人[38]指出了文獻[35-36]中求解切換位置的方案存在局限性，比如衛星處于極點位置時會存在無法得到飛行器坐標的情況，繼而在此基礎上提出了一種基于平面扇形角訂立的任意點切換定位算法。如圖7所示，假設已知A點坐標為(LatA),LongA，l 為弧長，n為扇形圓心角，r為扇形半徑，并將飛行器速度分別沿緯線、經線方向進行分解為VLat、VLong，切換發生時間t已由式（6）推得。

圖7 切換點位置算法示意圖Fig.7 Schematic diagram of handover point location algorithm

因此由幾何關系得到：

上式中求得的(LatC),LongC即為發生切換的邊界點坐標。

上述常用預測方法的對比如表1所示。

表1 常用預測方法對比Table 1 Comparison of commonly used prediction methods

3.2 接入基站選擇技術研究

接入基站選擇是執行安全切換前的必要流程，通過制定安全切換策略，為用戶設定合理的切換發起時間，并在目標接入基站處執行信道預留和排隊策略，以保證切換執行過程的可靠性；另一方面，由于用戶所在切換區域的候選基站可能并不唯一，在此情景下，需要將接入基站的各項屬性狀態及用戶的偏好相結合，為用戶選擇最佳的切換目標基站。因此，在用戶發起切換認證前，需要執行安全切換策略控制以及選擇最優接入基站，從而確保用戶的切換服務質量。

3.2.1 安全切換策略控制研究

安全切換策略控制，目的是在安全切換發生前，為在可切換范圍內的接入基站中選擇最優接入點提供依據，也為無縫安全切換預留最優的服務質量。安全切換策略包括接入基站運行軌跡、持續提供服務的時間、鏈路帶寬、待接入基站安全狀態以及其提供服務的類型等。安全切換策略的實施，則是在切換感知到切換發生之間的時隙執行，這個時隙被稱為切換門限[39]，在這個門限期間，實現對接入基站的選擇、接入認證狀態遷移、通信信道預留等。目前對切換策略的研究，關注點仍然在于空天節點較少情況下信道的預留方面，較少關注空天復雜網絡。

文獻[38]提出了基于SIM（satellite information manager）的空天網絡安全切換架構，如圖8所示。該架構建立了切換衛星選擇策略，策略從待接入基站覆蓋范圍、信道資源、運行軌跡、安全等級、切換門限閾值、服務質量等角度進行探討，為接入基站的選擇提供了依據。

圖8 基于SIM的空天網絡安全切換架構Fig.8 SIM-based aerospace network security handover architecture

由于LEO 衛星繞軌飛行具有周期性，Wu 等[40]提出了一種基于圖的低地球軌道衛星通信網絡的衛星切換框架，通過預先計算出以衛星覆蓋周期為節點的有向圖，將用戶在衛星間的切換視為一條有向邊，并將切換標準轉換為邊的權重，并可根據不同的標準設置權值從而影響用戶的實際切換，將衛星切換過程轉化為在代表所有可能切換路徑的有向圖中尋找一條路徑。文獻[41]使用時間演進圖對覆蓋移動用戶的移動節點進行建模，并利用高斯-馬爾可夫模型估算出用戶的星下覆蓋時間，用以確定子圖的更新周期Δt。圖9中的k個子圖分別對應k個關于該用戶的星下覆蓋間隙情況，該時間演進圖還允許根據切換準則對有向圖的邊權重進行設置，從而通過最短路徑的求解來求解最優路徑。

圖9 基于時間演進圖的切換預測模型Fig.9 Handover prediction model based on time evolution graph

3.2.2 接入基站的最優選擇

接入基站的選擇，是在切換感知后，依托用戶業務需求、運動軌跡等信息選擇合適的接入基站。其選擇由多個因素來決定，比如接入基站容忍的最大業務負荷、空天節點距離長短、運動方向的契合度等。通常情況下，依據業務需求權重不一，主要包括最大容量準則、最強信號準則、最小距離準則以及最大服務時間準則等，如表2所示。

表2 通用參考準則Table 2 General reference guidelines

然而，在安全切換時，移動用戶節點在下一時刻存在多星冗余覆蓋，即待切換基站存在多個候選對象，究竟選擇哪個接入基站能確保業務的高可靠性、高可用性、高安全性等，是空天網絡無縫安全切換的關鍵。從多個候選基站中選擇最優的進行切換接入的過程，稱之為切換判決，即接入基站的最優選擇。

對于多接入目標節點的選擇，文獻[42]分析了仰角對鏈路電平余量及誤碼率等系統性能的影響，并發現以往的最長覆蓋時間策略會使得用戶大概率處于低仰角，從而造成信道惡化。由此提出了以仰角和覆蓋時間加權策略作為切換判決的方法，在保證較長覆蓋時間的同時有效避免了對信道質量的影響。文獻[43]將切換目標選取表述為隨機優化問題，為了實現長期的全局優化，采用以信號質量和剩余服務時間相結合的準則，并提出了基于Q 學習的決策方案來訓練出一個相對穩定的切換判決策略，在降低用戶切換頻次方面得到了較好的結果。

除此之外，有學者認為在接入基站最優選擇時，可融入多因素進行綜合衡量、決策，以滿足多種業務需求。分析提取空天網絡安全接入屬性，為屬性賦予權重，權重隨著空天網絡移動用戶的業務需求動態適變，以此從候選接入基站中獲得最優解，即將安全切換判決看作參數能夠自適應的多屬性決策問題。文獻[44]在權重值計算方面采用離差最大化的組合賦權法，將信號強度、持續時間和空閑信道數量引入其多屬性切換決策算法中，最優解選擇過程使用了TOPSIS（technique for order preference by similarity to an ideal solution）法[45-46]，最終實現了減少切換頻率，提高通信質量以及均衡信道利用率的效果。文獻[47]提出了一種將層次分析法（analytic hierarchy process，AHP）與TOPSIS 法相結合的接入點選擇算法。該算法首先確定了信號強度、覆蓋時間等效益屬性和傳輸時延等成本屬性，只有滿足效益屬性高于設定閾值并且成本屬性低于設定閾值的節點才會被保留，以達到對候選節點集的初步篩選，再通過AHP法確定各屬性的權重，最后利用TOPSIS 法對各個節點的綜合性能進行排序，從而選出最優接入節點。

文獻[48]結合網絡為中心和用戶為中心兩個維度，從抗毀性、負載均衡、節點性能、網絡QoS及用戶偏好共五方面出發，選取仰角、接收信號強度、網絡帶寬、數據傳輸速率、安全等級、節點可信度、接入負載以及用戶偏好等判決指標，建立了如圖10所示的切換判決指標樹。由服務質量權重向量和用戶偏好向量生成綜合指標權重，并設計了損失函數、增益指標和損失指標的歸一化函數，通過演化博弈理論建立了切換判決策略的動態復制方程，從而實現了基于動態平衡策略的切換判決機制。

圖10 切換判決指標樹Fig.10 Handover decision index tree

從以上研究中可以看出，對于切換節點選擇的算法設計中的多屬性決策問題的解決思路并不唯一，但都離不開計算開銷輕量化、對動態環境變化快速響應、保證用戶切換性能等目標。另外，Wang 等人[49]對于異構無線網絡中節點選擇的模型建立問題調查了各種數學工具，包括模糊邏輯、博弈論、效用理論、成本函數、馬爾可夫鏈、組合優化和多屬性決策。

用戶節點完成對于候選切換接入節點的選擇，得到切換接入預約的下一接入節點根據其策略完成服務預留工作，當用戶節點到達預定切換位置時，執行正式切換請求。

3.3 切換認證技術研究

切換認證，是在切換發生時接入基站對切換來的移動用戶進行身份的合法性驗證，以實現移動用戶身份的可信保持。在空天網絡中，由于頻繁的切換帶來的接入認證的開銷較大，這就要求切換認證盡量地輕量級，避免重復性的接入認證，實現安全切換的快速性、無縫化以及安全性等。目前針對切換認證的研究，主要集中在預先認證、安全上下文傳遞以及會話密鑰生成等方面。

3.3.1 基于預先認證的切換認證機制

預先認證機制中，移動用戶節點通過當前基站衛星，與待接入基站衛星進行預先認證，以減小切換后認證時延。認證過程通常依托密碼學機制實現，但由于空天鏈路間歇、通信時延大，基于公鑰基礎設施（public key infrastructure，PKI）的身份驗證方式由于證書管理機制復雜，需要在線證書支持，不適合空天網絡環境，而基于身份密碼學（identity-based cryptography，IBC）的空天網絡的認證機制受到了研究者的青睞。因為主要思想是任何實體的公鑰都可以由一個任意的字符串（如用戶名稱、郵件地址等）來生成，而不需另行派發公鑰，與之對應的私鑰則由可信機構（private key generator，PKG）生成，屬于無證書公鑰密碼體制，從而有效解決了基于證書密碼體制因公鑰存儲和管理在空天網絡場景中不能很好適用的問題，并且所采用的雙線性映射方案的安全性能夠得到證明[50]。

彭長艷等[51]利用LEO 衛星網絡和臨近空間網絡拓撲具有可預測性的特點，提出了一種基于預認證機制的快速水平切換算法，通過IBC機制實現網絡中的所有用戶和衛星公私鑰對的配發，在用戶預知切換目標并進入其覆蓋范圍后便提前執行認證過程，由用戶的當前接入衛星協助轉發消息，實現用戶與目的衛星的驗證消息簽密，以驗證消息的合法性來保證雙向認證的達成，等到前后衛星的信號強度達到預定的切換條件時再執行鏈路切換。為了提高IBC機制在切換認證中的適用性，文獻[52]提出了基于區塊鏈的安全輕量認證模型，如圖11所示。PKG 在區塊鏈中被稱為注冊機構RA，在用戶的注冊階段由中心RA結合用戶的多維屬性生成網絡中的唯一訪問標識符AID并將其添加到區塊鏈中，并且分布式的RA可根據ECC算法為用戶計算生成部分私鑰，最終的私鑰由用戶根據身份相關的組合策略生成。從而實現了PKG功能在多個RA節點上的分布式布置，從網絡結構和密鑰派發流程上有效地解決了空天網絡場景中傳統IBC機制中PKG帶來的密鑰托管問題。

圖11 基于區塊鏈的安全輕量認證模型Fig.11 Safe and lightweight authentication model based on blockchain

基于預先認證的切換認證機制能夠從切換流程上進行優化，利用切換執行前的時間去完成用戶與節點間的相互認證，但是此類方法需要用戶與目的衛星重新執行接入認證流程，交互次數與計算量較大，增加了切換的代價。

3.3.2 基于安全上下文的切換認證機制

安全上下的切換認證，不同于預先認證機制，該機制下要求當前基站節點將移動用戶相關的安全狀態信息、認證信息、業務會話信息、節點信息、通信狀態、切換密鑰等，通過當前基站與待接入基站之間的安全隧道進行預先傳遞，縮減切換認證協議的計算復雜度，從而減小移動用戶在切換時的認證開銷，實現觸發式的切換認證。

Qian等人[53]較早地在將基于安全上下文傳輸（security context transfer，SCT）的方案應用到空天網絡切換認證中，在其設計方案中，由一個空天基站負責在當前衛星和可能成為切換目標的衛星之間建立雙向的安全通道，負責上下文信息的安全轉發，從而實現用戶和目的衛星的雙向認證。文獻[38]將安全性歷史信息引入到安全上下文內容中，安全性歷史信息由用戶初次接入認證時的主密鑰、歷史切換認證密鑰組、安全上下文壽命信息等構成，通過完善安全上下文內容，進一步提高了切換認證的安全性。文獻[54]從可信保持的角度看待切換認證，提出了一種基于信任度和安全上下文傳遞的安全切換協議，并在其方案中建立了如圖12 所示的動態信任演化機制。

圖12 動態信任演化機制Fig.12 Dynamic trust evolution mechanism

文獻[55]提出了一種基于共識的切換認證方案，該方案的原理如圖13所示。首先根據軌道和業務流量對衛星進行動態區域劃分，并使用分布式Hash表（distributed Hash table，DHT）的方式對區域內用戶的認證Token進行管理，實現區域內衛星對用戶認證結果的共享和互信，對于不同區域間的認證，則通過Hash鎖定的方式避免了對用戶Token和私鑰的依賴，并使用群簽名的方式實現了衛星節點對于來自其他區域的授權條目的有效性查詢。相較于其他幾個關于安全上下文傳遞的方案，文獻[55]中基于共識的切換認證方案可以看作將安全上下文的預先傳遞由單播變為組播。

圖13 基于共識機制的切換認證方案Fig.13 Handover authentication scheme based on consensus mechanism

相比預先認證機制，上下文傳遞的優勢在于可以充分依托已有的資源完成可信的保持，從而避免重新執行整個協議交換去建立繁瑣的認證接入過程，而利用輕便、快捷的協議設計在低延時的條件下實現了高效的無縫化切換，實現了將“安全”狀態的切換，但是它的前提是衛星節點之間需要具有信任關系。

將上述不同的安全認證方案匯總對比如表3所示。

表3 安全認證方案對比Table 3 Comparison of security authentication schemes

3.4 切換密鑰更新

切換認證后，舊的會話被撤銷，新的會話被創建，為確保用戶會話的安全性，防止唯密文攻擊，需要重新協商會話密鑰，同時空天網絡中節點計算資源有限，鏈路間歇連通也對密鑰協商提出了交互次數少、運算效率高的需求。針對空天網絡切換認證后會話密鑰的協商，諸多學者依據空天網絡切換流程給出了相關方案。

文獻[56]充分權衡空天節點的特點，提出了一種基于身份的分布式密鑰管理方案，系統中的PKG 會在初始化后向成員公開一些用于密鑰管理的重要參數，在會話密鑰更新過程中，會話雙方只需經過一次交互，并結合各自掌握的相關參數進行異或運算得到相同的秘密值，即可實現新的會話密鑰協商。為了解決空天網絡密鑰更新過程計算與通信成本高的問題，文獻[57]提出了利用切換認證消息進行密鑰更新的方案，用戶和衛星分別選取秘密值a和b，而P為系統中公開的參數，雙方分別構造出N=aP和M=bP，雙方只需在切換認證的交互中捎帶完成對N和M進行交換，即可協商出密鑰K=abP，從而實現高效的切換認證和密鑰更新。

文獻[58]提出了一種基于組密鑰的空天網絡密鑰管理方案，由衛星或浮空器擔任組管理者，而其下轄的若干個用戶作為組員，當有新成員加入時組管理者會對二叉邏輯密鑰樹進行更新維護，對該成員路徑上的密鑰更新，并通過簽密的方式將更新的密鑰發送給關聯的成員。文獻[59]同樣使用了基于組密鑰的方案，如圖14所示，方案中的組密鑰的派發對象為LEO衛星群組，而非成員數量相對較多、變更相對頻繁的用戶群組；又設計了一個單向密鑰推導函數KDF，可由KDF對組密鑰GK運算得到臨時組密鑰TGK，通過TGK 實現原衛星和目的衛星間對用戶重要參數的對稱加密傳輸；在用戶完成切換認證的同時，新的衛星可利用KDF 對相關參數進行運算產生新的密鑰，從而有效實現了依托切換鏈路捎帶的切換密鑰更新。

圖14 基于共享組密鑰的切換認證及密鑰更新Fig.14 Handover authentication and key update based on shared group key

4 研究挑戰與展望

4.1 關鍵技術分析

當前針對空天網絡安全切換的研究，雖然已取得了一定的研究基礎，但是由于空天網絡的復雜性，使得現有的研究還存在著普適性、協同性以及安全性等問題。主要體現在以下關鍵技術需要進一步突破。

（1）面向復雜網絡的安全切換技術

空天網絡中的節點類型復雜多樣，不同節點在認證方式、密鑰類型等安全資源配置方面存在差異；空天網絡節點運動模式多樣，可能存在波束切換、星間切換、垂直切換等不同場景；此外，由于網絡域的劃分，不同域之間存在著跨域訪問的障礙，難以在復雜網絡上構建起一套信任體系[60]。上述問題為實現用戶跨復雜場景切換帶來了一定的障礙，因此需要對空天復雜網絡的可信、自由安全切換架構進行研究，屏蔽異構網絡的差異，確保為用戶提供持續的網絡服務即可信身份。

（2）接入衛星最優化選擇技術

在切換時多星冗余覆蓋場景下的接入衛星選擇技術研究中，盡管現有的選擇算法大多考慮到了多種網絡參數對用戶服務質量的影響，并在接入衛星選擇算法中引入了較為均衡的多屬性判決算法，但是還有較大的改進空間。一方面，現有的切換觸發通常是在用戶位置到達覆蓋邊界時被動發起的，若能夠依據衛星的軌道根數或星歷表等對接入網絡拓撲進行預測，在用戶到達觸發條件前預先實現切換目的衛星候選集的獲取，能夠提前完成切換認證及預留信道資源；另一方面，為了實現用戶對接入衛星的認證以及衛星間鏈路重構時的認證，針對衛星的安全性或信任度評估是必要的，將信任度參數引入最優化選擇算法中，能夠為用戶與接入節點的互信提供安全可靠的支持。

（3）低開銷切換認證技術

區別于現有的無線網絡切換認證技術，空天網絡的特點對認證方案提出了更為嚴苛的要求。重復認證勢必導致切換時延大、計算復雜度高等問題，嚴重影響服務的連續性和可用性。如何在滿足安全切換雙向認證需求的前提下，設計高效的無縫安全切換算法，降低切換時延和計算開銷，對保證服務連續性和切換雙方安全性意義重大[61]。盡管當前學者提出的通過安全上下文傳遞的方式能夠降低切換認證的開銷，但是在鏈路間歇的環境下，無法完全保證安全上下文的預先傳遞。通過降低認證的開銷，實現基于鏈路切換捎帶的觸發認證，是實現無縫自由切換的關鍵。

（4）安全切換中的隱私保護技術

節點與基站進行切換認證時，需要發送自己的身份標識、所在位置等信息。由于空天鏈路的開放性，攻擊者能夠獲取接入節點的身份標識和坐標并對其發現和跟蹤。因此，為了保護節點隱私以及運行安全，在空天網絡安全切換技術研究中，應當研究匿名切換認證的實現方法，并且實現管理者對切換行為的監管和追溯，以實現切換認證的身份保護機制。

4.2 研究展望

通過對空天網絡中安全切換技術現有的研究進展進行回顧，并結合目前的實際需求，提出以下研究展望，希望空天網絡能夠在性能、安全性、適用性等方面帶來一定的提升。

（1）區塊鏈與安全切換

區塊鏈具有分布式、去中心化、匿名性、不可篡改性、可追溯性等特點，能夠通過分布式節點在共識機制下完成控制、授權、信任建立等工作。利用天地一體化信息網絡節點分布式特點，與區塊鏈技術相結合，將有效解決安全切換的可信保持問題，有助于構建天地一體化信息網絡中節點的信任鏈。同時，可以實現對用戶接入、跨域切換、退網等行為的追溯，為整個網絡的安全管控提供可靠的技術支持。

（2）自由安全切換

隨著空天網絡衛星節點部署規模和數量的增大，用戶切換前后的節點可能所屬不同類型軌道，來自不同網絡域，或者擁有不同的網絡接口，對節點間的安全協商帶來了空間屏障、安全屏障、技術屏障。因此需要依托智能、健全的切換支持，為用戶提供安全可靠的移動場景下的可信保持策略，實現有接入節點信號覆蓋即可與之建立連接的自由安全切換，充分發揮網絡中豐富的節點資源優勢。

（3）聚合安全切換

現有的安全切換相關研究大多是針對單個用戶，但在實際場景中，由于衛星的移動速度遠大于用戶，且每個衛星通常會為許多用戶提供覆蓋，衛星的移動可能會迫使其下覆蓋的多個用戶在同一較短時隙內產生安全切換的需求。較多用戶在同一時段內發起安全切換請求，將給系統性能和服務質量帶來挑戰，為了提高多用戶并發切換效率，需要聚合安全切換技術的支持。通過對用戶群實施安全高效的聚合分組、批量認證等策略，解決短時內大量切換請求對節點造成的負擔，為群組內每一用戶提供鑒權服務并拒絕非法用戶的切換請求，實現批量用戶的無縫安全切換。

（4）切換數據的隔離

為提供良好的區分型業務，在天基骨干節點、天基接入節點等硬件及系統虛擬化的基礎上，通過邊界識別與隔離控制技術，實現業務容器化，動態構建接入用戶虛擬隔離域，從而確保用戶切換過程中業務數據的隔離。為確保切換用戶的有效監管，擬研究空天接入節點溯源機制，勾勒接入用戶數據與行為世系，便于接入用戶的審計與追責。通過研究，旨在打破地面移動網切換方法在空天網絡應用中存在的基站靜態、家鄉網絡遠距離認證帶來的局限性，構建空天網絡安全切換信任體系，突破接入節點在立體網絡空間中信任的自由傳遞，使得無縫安全切換更加高效、更加可靠，從而確保安全接入可保持性與可監管性，將具有非常重要的現實性意義。

5 結束語

天地一體化信息網絡是未來建設和發展的重要項目之一，它將填補現有網絡體系在覆蓋和協作等方面的短板。安全切換作為其中的一項重要技術，旨在為用戶提供安全且無縫的網絡服務。切換技術的不斷完善，天地一體化信息網絡能夠在擁有全天候覆蓋的業務保障能力同時，兼具傳統網絡的優異效能，從而適應更加豐富多樣的使用需求，使在其上開展的諸多業務都能夠得到可靠的網絡業務保障。本文系統地梳理了天地一體化信息網絡中切換的基本概念和流程，并對其控制策略及安全防護領域研究進行了綜述，希望對天地一體化網絡的安全防護建設提供參考。