張 堯，鄭志明，張 筱

(北京航空航天大學 數(shù)學、信息與行為教育部重點實驗室 數(shù)學與系統(tǒng)科學學院，北京 100191)

基于可延展帶寬分配的衛(wèi)星網(wǎng)絡高可用性方案

張 堯，鄭志明，張 筱

(北京航空航天大學 數(shù)學、信息與行為教育部重點實驗室 數(shù)學與系統(tǒng)科學學院，北京 100191)

隨著IPTV等網(wǎng)絡服務的蓬勃發(fā)展，以及地面互聯(lián)網(wǎng)的接入與融合，針對空間信息網(wǎng)絡的資源規(guī)劃勢在必行。同時，為了有效抵抗分布式拒絕服務(DDoS)攻擊，可用性設計成為衛(wèi)星正常運轉的重要前提。提出了基于網(wǎng)絡帶寬資源分配的DDoS攻擊防御體系，建立了有效的衛(wèi)星網(wǎng)絡拓撲結構模型，并引入了路由狀態(tài)數(shù)據(jù)包的概念，設計了相應的衛(wèi)星網(wǎng)絡路由協(xié)議。在此基礎上，闡述了具有延展性的網(wǎng)絡帶寬分配機理及其實現(xiàn)方式。根據(jù)安全性分析與實驗評估結果，提出方案可在有效防范敵手攻擊的同時，保障帶寬資源的可延展分配，同時方案具備良好的實現(xiàn)性能。

IPTV；衛(wèi)星網(wǎng)絡；帶寬分配；分布式拒絕服務攻擊；高可用性方案

隨著互聯(lián)網(wǎng)的繁榮，IPTV、視頻會議、內容分發(fā)等網(wǎng)絡應用蓬勃發(fā)展。與此同時，作為多網(wǎng)融合的重要組成部分，空間信息網(wǎng)絡已成為大型互聯(lián)網(wǎng)公司的研究熱點[1-2]。利用多顆衛(wèi)星進行全球覆蓋，可以保證實時接入互聯(lián)網(wǎng)，可靠地使用高清IPTV圖像傳輸、高速內容分發(fā)等多種網(wǎng)絡功能[3-4]。美國太空探索技術公司(SpaceX)已于2015年6月正式提出建設太空互聯(lián)網(wǎng)的申請，擬通過近4 000顆小型衛(wèi)星組網(wǎng)從太空向全球傳送高速互聯(lián)網(wǎng)信號；韓國三星公司也在2015年8月提出了太空互聯(lián)網(wǎng)計劃，欲打造由4 600顆衛(wèi)星構成的民用太空互聯(lián)網(wǎng)?；ヂ?lián)網(wǎng)向空間的延伸以及空間信息的實時應用將成為航天與信息產(chǎn)業(yè)融合發(fā)展的主要趨勢，而衛(wèi)星網(wǎng)絡的高可用性運營是該系統(tǒng)能否成功的關鍵因素。

保障網(wǎng)絡可用性的一項重要技術途徑是對帶寬進行合理化分配，如傳統(tǒng)TCP/IP網(wǎng)絡中的帶寬預留協(xié)議RSVP[5]與QoS協(xié)議IntServ[6]。但是上述帶寬分配協(xié)議并非針對衛(wèi)星網(wǎng)絡設計，網(wǎng)絡環(huán)境的差異性導致了原有協(xié)議的不兼容性；另一方面，支撐帶寬分配功能的底層路由協(xié)議應考慮衛(wèi)星網(wǎng)絡拓撲結構本身的動態(tài)特性，已有的路由方案往往僅考慮了衛(wèi)星網(wǎng)絡的路由建立過程[7]，而設計面向帶寬分配功能的一體化衛(wèi)星網(wǎng)絡路由方案，仍是一項亟待解決的研究課題。

在網(wǎng)絡安全層面，分布式拒絕服務(DDoS)攻擊，如洪泛攻擊[8]，對網(wǎng)絡的可用性構成了巨大威脅——衛(wèi)星網(wǎng)絡接入的遠程化，也有利于分布在互聯(lián)網(wǎng)各地的僵尸主機策動大規(guī)模DDoS攻擊。已有的網(wǎng)絡帶寬分配協(xié)議RSVP與IntServ本質上運用了基于網(wǎng)絡數(shù)據(jù)流的均分策略，意味著在有O(n)個收發(fā)方的通信場景下，每個人的帶寬分配量僅為O(1/n2)，這說明正常用戶的帶寬分配并不具有延展性。特別地，在考慮存在百萬量級受控僵尸主機的攻擊場景時，用戶的有效接入帶寬將進一步遭受嚴重的制約。因此，帶寬分配方案的設計應滿足對DDoS攻擊的穩(wěn)固性。

本文提出一種基于可延展帶寬分配的衛(wèi)星網(wǎng)絡高可用性方案。方案首先對衛(wèi)星通信和衛(wèi)星鏈路的機理進行總結，從而建立適用于衛(wèi)星網(wǎng)絡的拓撲結構模型。在此基礎上，引入了路由狀態(tài)數(shù)據(jù)包的概念，并設計了面向帶寬分配功能的衛(wèi)星網(wǎng)絡路由協(xié)議。隨后，給出了用戶帶寬接入申請的過程及其實現(xiàn)方式。最后對方案在安全性上進行了分析，并對方案的DDoS防御效果進行了評估。

1 衛(wèi)星通信與鏈路

首先對衛(wèi)星通信與衛(wèi)星鏈路的概念進行描述。衛(wèi)星通信，即通過人造衛(wèi)星進行中轉的、涉及兩個及多個地球站之間的無線信號通信。地球站設置在地表面，也是地面互聯(lián)網(wǎng)接入的常規(guī)入口。根據(jù)通信衛(wèi)星距離地面的高度，通常將通信衛(wèi)星分為以下3類[9]：1)低地球軌道(LEO)衛(wèi)星；2)中地球軌道(MEO)衛(wèi)星；3)地球靜止軌道(GEO)衛(wèi)星。

衛(wèi)星鏈路由星間鏈路與星地鏈路構成。其中：1)星間鏈路(ISL)可進一步分為軌道內星間鏈路(Intra-ISL)和軌道間星間鏈路(Inter-ISL)[10]。軌道內星間鏈路即為同一衛(wèi)星軌道平面上，鄰近衛(wèi)星之間建立的通信鏈路。由于軌道內衛(wèi)星之間的位置保持相對不變，因而該類鏈路中衛(wèi)星的天線方向是恒定的；軌道間星間鏈路是在屬于鄰近軌道的衛(wèi)星之間建立的通信鏈路。此時衛(wèi)星之間相對位置、方位角是時變的，這使得在衛(wèi)星之間臨時建立軌道間星間鏈路，并會在網(wǎng)絡拓撲結構變化時進行重構。2)星地鏈路即為上/下行鏈路(UDL)，通常包括地球站-衛(wèi)星鏈路(又稱上行鏈路)和衛(wèi)星-地球站鏈路(又稱下行鏈路)兩個部分。一個典型衛(wèi)星通信網(wǎng)絡的示意圖如圖1所示。

圖1 衛(wèi)星通信網(wǎng)絡示意圖

2 拓撲結構和網(wǎng)絡路由

根據(jù)上節(jié)中關于衛(wèi)星通信及鏈路的刻畫，對空間網(wǎng)絡的拓撲結構進行如圖2的抽象。由圖2所示，網(wǎng)絡由3個軌道平面構成(不失一般性地，在圖2中將MEO層和LEO層進行了合并簡化)，地面IP用戶群通過地面站E2接入空間網(wǎng)絡，通過一系列衛(wèi)星網(wǎng)絡的數(shù)據(jù)傳輸，到達目標地面站E3，進而與目標用戶所在的IP群進行會話。圖2中給出的通信示例均經(jīng)過了GEO軌道，即包含了一次或多次Inter-ISL鏈路。此外，地面用戶的通信也可以直接通過同軌道的衛(wèi)星進行Intra-ISL鏈路連接，如地面站E1和E2中的用戶可以通過MEO/LEO層衛(wèi)星的軌內星間鏈路進行連接，從而省去通過上層軌道GEO的連接過程。

圖2 空間信息網(wǎng)絡拓撲圖

衛(wèi)星網(wǎng)絡拓撲結構不斷變化導致了網(wǎng)絡路由的動態(tài)性。為了實現(xiàn)有效的路徑建立機制，借鑒下一代互聯(lián)網(wǎng)絡架構SCION的思想[11-12]，引入半路徑路由狀態(tài)的概念。將GEO層到地面站之間的每個鏈路路由記作一條半路徑(Half Path)，所有的半路徑通過頂層GEO衛(wèi)星統(tǒng)一管理并周期性更新。具體來說，從GEO層到達地面站之間可存在經(jīng)過MEO-LEO到達地面站、經(jīng)過LEO層到達地面站、直達地面站3種情形。這樣，GEO層衛(wèi)星可以初始化從自身到達地面站的一條或多條路由(實際情況中，路由線路是固定的，從而路由的初始化過程具有確定性)。在路由建立的過程中，GEO傳遞一個包含自身路由信息的Beacon數(shù)據(jù)包給路徑上的下一跳成員(如MEO衛(wèi)星為例)，然后MEO衛(wèi)星進行Beacon數(shù)據(jù)包的更新，更新后的路由數(shù)據(jù)包將繼續(xù)傳遞給后續(xù)的路徑成員。具體來講，在Beacon數(shù)據(jù)包更新的時候，第i個路徑節(jié)點在數(shù)據(jù)包中添加數(shù)據(jù)接收接口信息Ingressi與發(fā)送接口信息Egressi、軌道間鏈路的存活時限Ti，并添加一個由短消息驗證碼(MAC)生成的路由令牌Ri

R0=?

(1)

(2)

式中：ki為路徑上第i個節(jié)點的私鑰。此外，途經(jīng)每個衛(wèi)星在Beacon包中添加用于自身連接的Intra-ISL信息及其存活時限，需要說明的是，在Beacon數(shù)據(jù)包未到達地面站之前，途經(jīng)每個衛(wèi)星對數(shù)據(jù)包的更新均需附帶該顆衛(wèi)星的數(shù)字簽名，從而地面站可以通過衛(wèi)星的公鑰認證所接收路由的真實性。

通過周期性地利用Beacon包對星際路由進行更新，地面站可以獲取多個到達GEO衛(wèi)星的半路徑，即一系列生成的路由令牌。在接收到路由信息后，地面站存儲該路由，并實時返回一個帶有該半路徑的通信信號，完成在GEO衛(wèi)星的路徑注冊操作。GEO軌道衛(wèi)星將在鏈路存活期限內，存儲已注冊的半路徑。盡管各星間鏈路生存時間不同——如LEO衛(wèi)星可見時間通常僅為十幾分鐘，MEO衛(wèi)星可見時間為幾個小時，但根據(jù)路由數(shù)據(jù)包中的路由存活時間，地面站以及下屬的用戶群便可以有效地使用更為可靠的半路徑，如使用最新更新得到的路由。

在后續(xù)發(fā)送通信數(shù)據(jù)包時，地面站用戶將在數(shù)據(jù)包中嵌入選定的(除去衛(wèi)星簽名后的)半路徑，以及該半路徑中各個Ri的輸入信息。接收到數(shù)據(jù)包的各個衛(wèi)星將對攜帶路由信息的數(shù)據(jù)包進行驗證(即通過輕量級的MAC計算，驗證相應路由令牌Ri的正確性)。對于驗證成功的數(shù)據(jù)包，衛(wèi)星將直接傳遞給下一跳衛(wèi)星，而驗證失敗的數(shù)據(jù)包將被丟棄。因此，衛(wèi)星之間的路由轉發(fā)將基于攜帶動態(tài)路由狀態(tài)的數(shù)據(jù)包完成，而無需本地存儲大量路由表，同時避免了由網(wǎng)絡拓撲變化引起的路由表失效問題。

本方案中用戶的端到端通信采用合并兩條半路徑的方式實現(xiàn)。在圖2中，如果來自E2的用戶希望和處于E3的另一用戶進行通信，這時候，地面站E2向對應的GEO衛(wèi)星G1發(fā)送請求，詢問一條連接高軌衛(wèi)星與E3的半路徑。在本方案中，GEO軌道衛(wèi)星之間將實時同步半路徑信息，此時G1從G3處獲取一條可連接至E3的有效半路徑，并將該路徑返回給E2。E2中用戶通過合并自身到高軌衛(wèi)星G1以及高軌衛(wèi)星G3到E3的兩條半路徑，實現(xiàn)了與E3中用戶的通信會話，該會話經(jīng)過2跳上行的Inter-ISL鏈路和2跳下行的Inter-ISL鏈路，以及連接G1與G3的Intra-ISL高軌鏈路的全路徑(Full Path)完成。需要強調的是，由于半路徑路由信息中包含了可選軌道內星間鏈路信息，從而在合并全路徑的時候，如果目的地對應的半路徑只存在與高軌衛(wèi)星的連接方式，則直接采用高軌衛(wèi)星鏈路；若存在高軌衛(wèi)星以下的軌道內星間鏈路，數(shù)據(jù)發(fā)送方可優(yōu)先采用中/低軌路由的交互模式進行連接(如圖2中地面站E1與E2之間的連接情形)。當然路徑選擇可進一步考慮通信質量、連接時延等因素，對全路徑的路由決策進行優(yōu)化。

3 用戶帶寬接入申請

根據(jù)上文提及的路由建立過程，空間信息系統(tǒng)中的地面站掌握了自身與另一地面站之間的全路徑路由信息。此時，地面站的每一個IP用戶均可以實現(xiàn)與目標地面站對應IP用戶的訪問。然而，當存在惡意搶占帶寬，或大規(guī)模僵尸網(wǎng)絡對鏈路進行洪泛時，上述設計無法有效地保護空間網(wǎng)絡資源的可用性。因此提出具有延展性的用戶帶寬申請方法，以保證衛(wèi)星資源的合理利用。

DDoS統(tǒng)一管理平臺需要與總部骨干網(wǎng)流量流向分析系統(tǒng)、總部骨干網(wǎng)流量清洗系統(tǒng)、集總部骨干運維系統(tǒng)、總部業(yè)務支撐系統(tǒng)、省分 DDoS 監(jiān)測系統(tǒng)、批發(fā)轉零售客戶自有系統(tǒng)配合，共同完成設定的各類防護策略。

具體來講，每個從地面站接入的用戶需要在原本的全路徑路由(對應于路由令牌Ri)上進行帶寬的申請。帶寬申請數(shù)據(jù)包包含用戶所需帶寬量bwreq，帶寬分配的有效時間treq，發(fā)送者所在地面站標識符EID，以及用戶數(shù)據(jù)流標識符FlowID。其中，treq不超過申請時原全路徑中各路由的最低存活時間。在申請的過程中，衛(wèi)星根據(jù)接收到的帶寬申請包中的地面站標識符，通過下述兩個步驟，對帶寬申請實施準入控制：

1)粗粒度檢測：途經(jīng)各衛(wèi)星在本地實時更新一個帶寬狀態(tài)表。如圖3所示，帶寬狀態(tài)表的陰影部分為各時間間隔內的已用帶寬。由于本方案中所有分配的帶寬都是即時生效，因此下一時間段t+1的可用帶寬不少于當前時段t，通過核對當前時段的本地帶寬狀態(tài)，各衛(wèi)星確定實時可用帶寬總量。通過快速比較可用帶寬總量與用戶所需帶寬量bwreq，途經(jīng)衛(wèi)星可以確定bwreq是否合法，若bwreq超過目前的可使用量，該申請包將被丟棄。

圖3 多時間(N個)窗口下衛(wèi)星本地帶寬狀態(tài)表

2)細粒度檢測：途經(jīng)衛(wèi)星對于每個接入用戶所在地面站，根據(jù)其申請能力計算該地面站帶寬分配的上界。這一上界可通過對星上的總分配帶寬進行基于地面站的均分得到。當然，可以考慮進一步利用各地面站的歷史帶寬接入量以及地面站用戶的活躍程度，對總帶寬進行基于地面站申請能力的加權分配。每個途經(jīng)衛(wèi)星將同時更新一個分配流量表，存儲已分配成功的有效數(shù)據(jù)流。這樣，通過核對分配流量表，衛(wèi)星可獲取某一地面站的已使用帶寬總量。此時，如果用戶新的接入帶寬請求使得該地面站的已使用帶寬超過其分配上限，用戶的帶寬請求將被拒絕；否則，帶寬申請通過衛(wèi)星的準入控制。

對于通過準入控制的帶寬申請，途經(jīng)衛(wèi)星將暫時性地為該用戶分配帶寬bwreq。與此同時，發(fā)送者所在地面站與每個途經(jīng)衛(wèi)星將生成新的全路徑路由，并依次嵌入帶寬申請包中，在第i個路徑節(jié)點處，新的帶寬路由令牌BRi的計算方式如下

(2)

其中：ki是路徑上第i個節(jié)點的私鑰。當帶寬請求數(shù)據(jù)包到達目標地面站后，如果發(fā)送者IP地址沒有因為惡意流量被列入通信黑名單中，則目標地面站沿原路徑返回一個數(shù)據(jù)指令，該指令包含新生成的、具有帶寬使用權限的全路徑，在該數(shù)據(jù)指令的引導下，所有途經(jīng)衛(wèi)星正式分配帶寬給申請用戶；否則超過一個往返傳輸時間(RTT)的時間間隔后，所有途經(jīng)衛(wèi)星將因沒有收到數(shù)據(jù)指令，收回被暫時分配的帶寬。這樣，可以最大程度地減少分配過程中帶寬的無效占用[12-13]。

隨后，利用新生成的帶寬路由令牌，發(fā)送者便可以使用受保護的分配帶寬。由于星際路由的時限較短，用戶申請得到的帶寬也只會在短期內有效。但這有利于衛(wèi)星上資源的靈活管理，帶寬申請與使用也具備了良好的彈性：一方面，帶寬申請只在需要的時候才進行，不會出現(xiàn)空閑情形，其他用戶的后續(xù)申請可得到被釋放的帶寬；另一方面，對于需要維持帶寬使用的用戶，也能通過繼續(xù)申請以實現(xiàn)帶寬的續(xù)延操作。此外，地面站可采用IP地址統(tǒng)計復用的方式，保證用戶帶寬申請的公平性。

4 安全性分析

不難發(fā)現(xiàn)，原始全路徑路由的數(shù)據(jù)傳輸?shù)刃в趥鹘y(tǒng)IP網(wǎng)絡中的“盡力服務”數(shù)傳模式。區(qū)別于“盡力服務”模式，為每個用戶分配的帶寬構成了優(yōu)先通過衛(wèi)星鏈路的受保護連接，保障了數(shù)據(jù)的可達性和整個鏈路的可用性。在考慮多個IP源的分布式拒絕服務攻擊時，無論攻擊是通過“盡力服務”或被分配的帶寬進行，洪泛均無法淹沒衛(wèi)星/地面站的全部帶寬。對于DDoS攻擊，本方案的最重要優(yōu)勢在于使用地面站層面的均分策略，將合法用戶的帶寬接入能力與僵尸網(wǎng)絡的規(guī)模獨立開來，在本質上實現(xiàn)了帶寬分配的可延展性。假設在圖2中E1與E3之間用戶的通信為正常會話，而E2存在大規(guī)模的DDoS攻擊源。根據(jù)帶寬分配方案，E2中無論存在多少惡意IP源，它們所能獲取的鏈路帶寬是存在上限的(不超過E2的帶寬獲取上限)。這樣，盡管面臨大規(guī)模攻擊時，E1的通信會受到一定干擾，但在E1申請并獲取連接E3的全路徑帶寬后，DDoS攻擊的影響會大大緩解，從而保障了網(wǎng)絡通信的高可用性。

此外，考慮IP地址欺騙攻擊。由于方案中的路徑采用短消息驗證碼的方式進行逐跳驗證，攻擊者即使對IP地址進行篡改，但卻無法偽造用于星際傳輸?shù)?全/半)路徑，即一系列通過密碼函數(shù)生成的路由令牌。這樣，欺騙攻擊的數(shù)據(jù)包會在經(jīng)過第一個Inter-ISL鏈路的衛(wèi)星時被丟棄，從而確保了方案對欺騙攻擊的免疫性。

5 方案評估

表1 各項操作的具體運行時間

協(xié)議步驟平均用時/μs最短用時/μs最長用時/μs帶寬分配6838158路由令牌驗證7242半路徑注冊27668發(fā)送端處理6141105接收端處理8059116

表1說明即便在沒有進行優(yōu)化的實現(xiàn)情況下，途經(jīng)衛(wèi)星(運行條件等同于低配置PC)平均每秒仍可以完成15 000次帶寬分配操作。對于正常的數(shù)據(jù)包轉發(fā)，每個衛(wèi)星平均每秒鐘可驗證約143 000個數(shù)據(jù)包。半路徑路由的注冊也非常高效，GEO衛(wèi)星平均每秒可完成37 000個半路徑的注冊。同時，對于需要進行帶寬分配的數(shù)據(jù)包發(fā)送/接收端，運行本方案也沒有帶來明顯的時間成本。

進一步通過仿真實驗驗證帶寬分配方案對于DDoS攻擊的防御效果。這里假設在沒有帶寬分配的情況下，整條鏈路帶寬均為“盡力服務”模式帶寬，且可供分配的帶寬總量不超過鏈路容量的60%。在實驗中，來自某一地面站的IP用戶群在沒有申請帶寬的情況下，在經(jīng)過既定GEO衛(wèi)星的全路徑上進行數(shù)據(jù)傳送。數(shù)傳進行1 s后，來自其他50個地面站的僵尸網(wǎng)絡發(fā)起DDoS攻擊，向同一目標地面站發(fā)送大量數(shù)據(jù)流(這里假設攻擊者占據(jù)受感染地面站的絕大部分上行帶寬)。在發(fā)現(xiàn)攻擊后，發(fā)送者啟動帶寬分配模式，并使用新的帶寬路由令牌傳輸數(shù)據(jù)。

圖4給出了上述攻擊情形下，發(fā)送者地面站的實際帶寬相之于初始傳輸速率的比重隨時間變化的情況。如圖4所示，發(fā)送者在第4 s啟動帶寬分配模式，隨后2 s內受攻擊地面站連接擁堵的狀況得到了緩解，傳輸狀態(tài)恢復至初始狀態(tài)的60%。在后續(xù)通信過程中，攻擊對發(fā)送者數(shù)據(jù)傳輸?shù)挠绊懣梢院雎圆挥嫛?/p>

圖4 單顆GEO衛(wèi)星中轉情形下受攻擊地面站的連接恢復時間

為了排除網(wǎng)絡拓撲結構對實驗結果的影響，進一步考慮包含5顆GEO衛(wèi)星的數(shù)傳情形(攻擊者設置相同)，即數(shù)據(jù)包在GEO平面經(jīng)過多至4次軌道內星間鏈路時，受攻擊地面站連接的恢復時長。如圖5所示，在不同GEO衛(wèi)星跳數(shù)的情況下，連接恢復曲線非常相近。整體而言，隨著跳數(shù)的增加，恢復時間并沒有出現(xiàn)明顯的變化。上述仿真實驗結果說明本文方案對于DDoS攻擊具有良好的穩(wěn)固性。

圖5 多顆GEO衛(wèi)星中轉情形下受攻擊地面站的連接恢復時間

6 結論

本文研究如何通過可延展的帶寬分配保證衛(wèi)星網(wǎng)絡的高可用性。提出了由GEO衛(wèi)星引導的、通過路由狀態(tài)數(shù)據(jù)包進行的新型衛(wèi)星網(wǎng)絡路由機制，并設計了面向帶寬分配功能的路由協(xié)議。進而，提出了基于地面站層面的用戶帶寬申請與分配方案，將合法用戶的帶寬申請能力與僵尸網(wǎng)絡的規(guī)模相獨立，實現(xiàn)了可延展的帶寬分配。實驗結果表明本方案具有良好的實現(xiàn)性能，并可以有效地防御DDoS洪泛攻擊。這一工作將為衛(wèi)星網(wǎng)絡的可用性設計提供具有實踐意義的參考，同時為實施高質量衛(wèi)星網(wǎng)絡服務(如IPTV)提供了解決方案。

[1] 張乃通，張中兆，李英濤.衛(wèi)星移動通信原理及應用[M].北京：國防工業(yè)出版社，2000.

[2] 谷深遠，黃國策. IP/ATM移動衛(wèi)星網(wǎng)絡[M].北京：電子工業(yè)出版社，2003.

[3] 廖晶晶.影響IPTV圖像傳輸質量的關鍵技術分析及應用[J].電視技術，2011，35(24)：48-50.

[4] 張超，李錦文，高鵬，等.基于衛(wèi)星分發(fā)鏈路的地面數(shù)字電視單頻網(wǎng)關鍵技術及其應用[J].電視技術，2015，39(16)：87-91.

[5] ZHANG L，BERSON S，HERZOG S，et al. Resource reservation protocol (rsvp)-version 1 functional specification[R].[S.l.]：RFC 2205，1997.

[6] WROCLAWSKI J. The use of rsvp with ietf integrated services[R].[S.l.]：RFC 2210，1997.

[7] 袁天，梁俊.基于遺傳算法的衛(wèi)星MPLS網(wǎng)絡路由協(xié)議研究[J].信息工程大學學報，2013，14(5)：548-551.

[8] 陳虎，彭艷兵.基于用戶瀏覽行為相似度的HTTP-Get Flood檢測[J].電視技術，2013，37(7)：104-106.

[9] 陳樹新，王鋒，周義建，等.空天信息工程概論[M].北京：國防工業(yè)出版社，2010.

[10] 盧昱，王宇，吳忠望，等.空間信息對抗[M].北京：國防工業(yè)出版社，2009.

[11] ZHANG X，HSIAO H C，HASKER G，et al. SCION：scalability，control，and isolation on next-generation networks[C]//Proc. Symposium on Security and Privacy. Oakland，CA：IEEE，2011：212-227.

[12] HSIAO H C，KIM T H J，YOO S，et al. STRIDE：sanctuary trail-refuge from internet ddos entrapment[C]//Proc. Symposium on Information，Computer and Communications Security. Hangzhou，China：ACM SIGSAC，2013：415-426.

[13] ZHANG Y，WANG X Y，PERRIG A，et al. Tumbler：adaptable link access in the bots-infested internet [J].Computer networks，2016(105)：180-193.

張 堯(1988— )，博士生，主研網(wǎng)絡與信息安全；

鄭志明(1953— )，博士，博士生導師，教授，從事信息科學領域中海量信息系統(tǒng)協(xié)同性與計算復雜性理論、軟件可信性與信息安全等方向的研究工作；

張 筱(1984— )，女，博士，副教授，主要研究方向為復雜系統(tǒng)信息安全、動力學密碼等方向。

責任編輯：許 盈

Scalable bandwidth allocation mechanism for high available satellite networks

ZHANG Yao, ZHENG Zhiming, ZHANG Xiao

(LMIBandSchoolofMathematicsandSystemsScience,BeihangUniversity,Beijing100191,China)

With the development of Internet services such as IPTV, and more utilization originated from the legacy Internet on the ground, resource management becomes a necessity for spatial networks. In the meantime, in order to effectively prevent the Distributed Denial of Service (DDoS) attacks, the satellite networking mechanism needs to be designed properly towards high availability. In this paper, a DDoS-resilient satellite-networking mechanism based on scalable bandwidth allocation is presented. A dedicated topology for the satellite networks is built and the concept of routing state packet is introduced. Then, the corresponding routing protocol for the satellite networks is designed. Furthermore, how to perform scalable bandwidth allocation and the implementation approaches are illustrated. Based on the security analysis and the experimental results, the proposal can guarantee scalable bandwidth allocation and effectively defend attacks. Also, the scheme provides considerable performance.

IPTV; satellite networks; bandwidth allocation; DDoS attacks; high availability mechanism

張堯，鄭志明，張筱. 基于可延展帶寬分配的衛(wèi)星網(wǎng)絡高可用性方案[J].電視技術，2017，41(1)：47-52. ZHANG Y，ZHENG Z M,ZHANG X. Scalable bandwidth allocation mechanism for high available satellite networks [J].Video engineering，2017，41(1)：47-52.

TP393.0

A

10.16280/j.videoe.2017.01.010

基金支持：國家自然科學基金項目(11290141；61402030)

2016-05-06