趙國(guó)鋒，陸 毅，梁 康，王杉杉，周繼華，韓珍珍2,*

(1.重慶郵電大學(xué) 信息與通信工程學(xué)院，重慶 400065;2.重慶郵電大學(xué) 網(wǎng)絡(luò)空間安全與信息法學(xué)院，重慶 400065；3.復(fù)雜環(huán)境通信重慶市重點(diǎn)實(shí)驗(yàn)室，重慶 400030)

0 引言

航空航天技術(shù)、移動(dòng)通信技術(shù)以及信息網(wǎng)絡(luò)技術(shù)的快速發(fā)展，帶動(dòng)未來(lái)互聯(lián)網(wǎng)向空間維度進(jìn)行擴(kuò)展，將地面網(wǎng)絡(luò)與空間網(wǎng)絡(luò)融合，遵循“網(wǎng)絡(luò)一體、安全一體、管控一體”的建設(shè)理念[1]，構(gòu)建“全球覆蓋、隨遇接入、按需服務(wù)、安全可信”的STIN[2]已經(jīng)成為未來(lái)網(wǎng)絡(luò)的重要發(fā)展方向。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)主要以邊界防御思想為主，基于“外掛式”“補(bǔ)丁式”安全技術(shù)等進(jìn)行網(wǎng)絡(luò)安全防護(hù)。從技術(shù)發(fā)展趨勢(shì)看，網(wǎng)絡(luò)安全技術(shù)存在明顯地從“外掛式”向“內(nèi)生式”防御轉(zhuǎn)變的技術(shù)變革。特別是針對(duì)STIN，由于天基網(wǎng)絡(luò)節(jié)點(diǎn)(衛(wèi)星、航天器等)具有顯著的資源受限特征，難以承受外掛式/補(bǔ)丁式的安全防護(hù)手段所需的大量計(jì)算、存儲(chǔ)資源要求，例如，在衛(wèi)星上部署防火墻、入侵檢測(cè)、擬態(tài)防御系統(tǒng)等的代價(jià)太高。因此，亟需從頂層、源頭性設(shè)計(jì)內(nèi)生式安全的STIN系統(tǒng)架構(gòu)。

現(xiàn)有廣泛適用于地面網(wǎng)絡(luò)的外掛式防御方案難以在STIN系統(tǒng)中大規(guī)模部署，需要內(nèi)生的安全技術(shù)來(lái)構(gòu)建安全可信的未來(lái)空間信息網(wǎng)絡(luò)，滿(mǎn)足端到端通信的真實(shí)性、機(jī)密性、完整性、隱私性、可審計(jì)性和可用性等多種安全特性。而目前的星地融合系統(tǒng)架構(gòu)缺乏內(nèi)生的自驗(yàn)證機(jī)制，外掛的補(bǔ)丁式安全技術(shù)難以為網(wǎng)絡(luò)通信提供保障。受害主機(jī)依然難以識(shí)別經(jīng)過(guò)精心構(gòu)造的虛假身份攻擊者，缺乏內(nèi)生安全的身份真實(shí)性驗(yàn)證機(jī)制，補(bǔ)丁式的安全方案難以解決用戶(hù)身份偽造帶來(lái)的身份真實(shí)性問(wèn)題，網(wǎng)絡(luò)運(yùn)行各個(gè)階段均會(huì)面臨各種各樣的安全問(wèn)題。因此，需要打破當(dāng)前功能優(yōu)于安全的設(shè)計(jì)局限，以網(wǎng)絡(luò)頂層架構(gòu)、協(xié)議設(shè)計(jì)為切入點(diǎn)，使得網(wǎng)絡(luò)自身能夠從體系結(jié)構(gòu)、協(xié)議功能來(lái)內(nèi)生安全防護(hù)功效，為STIN系統(tǒng)提供可審計(jì)追蹤的安全保障。

總之，STIN需要具備內(nèi)生的身份認(rèn)證、密鑰協(xié)商交換等能力，考慮到星地融合的現(xiàn)狀與未來(lái)發(fā)展，本方案更傾向于通過(guò)頂層、源頭性的STIN系統(tǒng)架構(gòu)設(shè)計(jì)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)生安全，通過(guò)軟件定義技術(shù)(Software Defined Network,SDN)將安全資源虛擬化，將網(wǎng)絡(luò)安全資源內(nèi)嵌到基礎(chǔ)網(wǎng)絡(luò)架構(gòu)中，支撐系統(tǒng)對(duì)安全資源的靈活調(diào)度，并提出安全即服務(wù)的安全理念，將安全和接入、路由、傳輸、管控等要素一體化考慮，實(shí)現(xiàn)安全內(nèi)生的一體化網(wǎng)絡(luò)系統(tǒng)。

1 相關(guān)工作

STIN能夠有效緩解地面站部署和覆蓋受限對(duì)終端接入范圍受限產(chǎn)生的影響，有效擴(kuò)展移動(dòng)通信網(wǎng)絡(luò)的覆蓋范圍，為用戶(hù)提供更加靈活的接入服務(wù)，成為6G移動(dòng)通信網(wǎng)絡(luò)建設(shè)的重要發(fā)展方向。在這種融合通信網(wǎng)絡(luò)中衛(wèi)星的作用從“透明轉(zhuǎn)發(fā)”向“星上處理”演進(jìn)，為提升系統(tǒng)的安全性提供了更好的支撐。

1.1 基于軟件定義的星地融合網(wǎng)絡(luò)

軟件定義星地融合能夠有效地解耦傳統(tǒng)衛(wèi)星通信網(wǎng)絡(luò)“煙囪”式的體系架構(gòu)，通過(guò)控制與轉(zhuǎn)發(fā)分離的思想，提高衛(wèi)星硬件設(shè)備的通用性及軟件升級(jí)的靈活性，從而降低星上組網(wǎng)運(yùn)行成本。文獻(xiàn)[3]提出一種可重構(gòu)的軟件定義衛(wèi)星網(wǎng)絡(luò)體系架構(gòu)，該架構(gòu)采用分層管控結(jié)構(gòu)，每層設(shè)置的控制器受控于單個(gè)控制中心，通過(guò)軟件定義的方式對(duì)網(wǎng)絡(luò)資源進(jìn)行統(tǒng)一管理和配置，提高資源的利用率。面對(duì)構(gòu)建衛(wèi)星互聯(lián)網(wǎng)的需求，文獻(xiàn)[4]提出一種天地融合衛(wèi)星互聯(lián)網(wǎng)柔性體系架構(gòu)，衛(wèi)星與地面均部署SDN控制器，協(xié)調(diào)空地網(wǎng)絡(luò)的資源分配，支撐資源調(diào)度、星地組網(wǎng)和干擾協(xié)調(diào)等網(wǎng)絡(luò)需求，實(shí)現(xiàn)網(wǎng)絡(luò)的靈活管控。文獻(xiàn)[5]提出在軌自主控制星地融合智能組網(wǎng)架構(gòu)。在地球靜止軌道(Geostationary Earth Orbit,GEO)、低地球軌道(Low Earth Orbit,LEO)和地面分別部署管控節(jié)點(diǎn)，根據(jù)任務(wù)需求實(shí)現(xiàn)跨域協(xié)同管控。同時(shí)該文獻(xiàn)指出這種分級(jí)組網(wǎng)管控架構(gòu)能夠在不同的網(wǎng)絡(luò)需求和鏈路狀態(tài)資源下提供更加靈活的組網(wǎng)管控服務(wù)。文獻(xiàn)[6]提出基于SDN的空間網(wǎng)絡(luò)架構(gòu)，利用衛(wèi)星節(jié)點(diǎn)軌道的歷史數(shù)據(jù)預(yù)測(cè)未來(lái)的網(wǎng)絡(luò)事件，通過(guò)基于SDN的優(yōu)化決策來(lái)主動(dòng)減輕網(wǎng)絡(luò)事件對(duì)于網(wǎng)絡(luò)性能產(chǎn)生的影響。文獻(xiàn)[7]利用SDN和網(wǎng)絡(luò)功能虛擬化技術(shù)(Network Function Virtualization,NFV)的思想構(gòu)建衛(wèi)星寬帶網(wǎng)絡(luò)，提出軟件定義寬帶衛(wèi)星通信網(wǎng)絡(luò)的基本架構(gòu)，以提高衛(wèi)星通信的服務(wù)質(zhì)量，使得地面網(wǎng)絡(luò)與空間網(wǎng)絡(luò)能夠無(wú)縫融合。文獻(xiàn)[8]提出一種軟件定義空地一體化網(wǎng)絡(luò)架構(gòu)，以無(wú)縫、高效和經(jīng)濟(jì)的方式支持各種車(chē)輛服務(wù)，引入虛擬化技術(shù)，通過(guò)網(wǎng)絡(luò)切片對(duì)每個(gè)網(wǎng)段的資源進(jìn)行隔離，將可用資源放入對(duì)應(yīng)的資源池，以提高資源的利用率。上述基于軟件定義的STIN架構(gòu)研究，利用控制與轉(zhuǎn)發(fā)分離的思想能夠?yàn)橄到y(tǒng)提供更加靈活的可編程網(wǎng)絡(luò)功能，從而支撐更加高效的網(wǎng)絡(luò)安全機(jī)制設(shè)計(jì)。

1.2 星地融合網(wǎng)絡(luò)安全機(jī)制研究

為了提高STIN的安全性，研究學(xué)者以安全作為主要設(shè)計(jì)目的提出STIN架構(gòu)，在保障網(wǎng)絡(luò)效率的同時(shí)提升系統(tǒng)的安全性。文獻(xiàn)[9]提出面向天地一體化信息網(wǎng)絡(luò)的安全動(dòng)態(tài)賦能架構(gòu)，以期提高天地一體化信息網(wǎng)絡(luò)的安全服務(wù)能力、安全態(tài)勢(shì)分析和安全威脅處理的能力。文獻(xiàn)[10]指出人工智能在網(wǎng)絡(luò)空間安全防御中扮演著越來(lái)越重要的作用，并將其引入到網(wǎng)絡(luò)空間安全機(jī)制的設(shè)計(jì)中，使得系統(tǒng)能夠有效處理海量多源異構(gòu)性的數(shù)據(jù)，制定實(shí)時(shí)響應(yīng)策略，最終達(dá)到提升網(wǎng)絡(luò)空間安全防御能力的目的。文獻(xiàn)[11]采用標(biāo)識(shí)映射機(jī)制構(gòu)建通信與安全一體化的天地異構(gòu)融合網(wǎng)絡(luò)總體架構(gòu)模型，實(shí)現(xiàn)天基信息網(wǎng)與各類(lèi)地面專(zhuān)網(wǎng)的高效融合、安全可靠以及資源整合。季新生等人[12]將具有異構(gòu)、冗余及多樣性特點(diǎn)的擬態(tài)防御技術(shù)應(yīng)用在一體化網(wǎng)絡(luò)中，提出構(gòu)造安全內(nèi)生網(wǎng)絡(luò)架構(gòu)的設(shè)想，使網(wǎng)絡(luò)本身就具有一定安全防御功能，該類(lèi)安全機(jī)制主要通過(guò)多重冗余備份的技術(shù)方案來(lái)實(shí)現(xiàn)。

此外，針對(duì)STIN的安全運(yùn)行，如安全接入[13-14]、安全傳輸[15-16]、安全路由[17-18]與安全切換[19-20]?；诂F(xiàn)有的互聯(lián)網(wǎng)安全方案、加密機(jī)制及協(xié)議加強(qiáng)是實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)行安全的有效手段。采用加密方法和協(xié)議加強(qiáng)方案能夠在一定程度上提高網(wǎng)絡(luò)運(yùn)行的安全性，但是各類(lèi)安全機(jī)制之間相互分離，而對(duì)于整個(gè)網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)，網(wǎng)絡(luò)應(yīng)用響應(yīng)的各個(gè)階段是相互關(guān)聯(lián)的，針對(duì)階段運(yùn)行設(shè)計(jì)安全策略能夠有效提升網(wǎng)絡(luò)運(yùn)行的安全指數(shù)，但對(duì)于整個(gè)網(wǎng)絡(luò)運(yùn)行系統(tǒng)來(lái)說(shuō)往往并不是最合適的安全策略。且對(duì)于節(jié)點(diǎn)資源有限的網(wǎng)絡(luò)來(lái)說(shuō)，不同階段安全機(jī)制的冗余設(shè)計(jì)，將會(huì)占用大量的有限資源，降低整個(gè)網(wǎng)絡(luò)的運(yùn)行效率。

STIN節(jié)點(diǎn)資源以及環(huán)境的特點(diǎn)使得互聯(lián)網(wǎng)的安全設(shè)計(jì)理念不能完全應(yīng)用于STIN，主要原因歸納為：① 當(dāng)前網(wǎng)絡(luò)安全設(shè)計(jì)理念呈現(xiàn)為補(bǔ)丁式?，F(xiàn)有的互聯(lián)網(wǎng)絡(luò)發(fā)展遵循先有架構(gòu)再有關(guān)鍵技術(shù)最后網(wǎng)絡(luò)安全的發(fā)展規(guī)律，功能設(shè)計(jì)先于安全設(shè)計(jì)，安全機(jī)制都是以補(bǔ)丁的方式添加到已經(jīng)成熟的網(wǎng)絡(luò)架構(gòu)中，由于空間網(wǎng)絡(luò)中衛(wèi)星載荷技術(shù)以及星間鏈路的限制，這種設(shè)計(jì)方案會(huì)使得一體化網(wǎng)絡(luò)變得臃腫僵化；② 系統(tǒng)運(yùn)行階段的安全設(shè)計(jì)相互獨(dú)立。針對(duì)傳統(tǒng)網(wǎng)絡(luò)中的各種安全運(yùn)行問(wèn)題，如安全接入、安全路由、安全傳輸、安全切換安全管理等問(wèn)題，相關(guān)的安全及安全加強(qiáng)方案能夠解決對(duì)應(yīng)的安全威脅或安全問(wèn)題，然而，這種相互獨(dú)立的安全運(yùn)行機(jī)制的設(shè)計(jì)缺少對(duì)任務(wù)請(qǐng)求的安全響應(yīng)過(guò)程的整體考慮，會(huì)帶來(lái)存儲(chǔ)和計(jì)算資源的過(guò)量占用，且影響網(wǎng)絡(luò)運(yùn)行效率。

2 星地融合網(wǎng)絡(luò)內(nèi)生安全體系架構(gòu)設(shè)計(jì)需求

考慮到空間信息網(wǎng)絡(luò)資源受限的網(wǎng)絡(luò)特點(diǎn)，需要設(shè)計(jì)一種網(wǎng)絡(luò)架構(gòu)靈活、支撐網(wǎng)絡(luò)安全服務(wù)可編程的新型網(wǎng)絡(luò)架構(gòu)，這是開(kāi)展未來(lái)網(wǎng)絡(luò)一體化研究需要解決的基礎(chǔ)性問(wèn)題。安全即服務(wù)的設(shè)計(jì)思想，能夠有效保障網(wǎng)絡(luò)安全與網(wǎng)絡(luò)運(yùn)行的融合。即終端用戶(hù)發(fā)送任務(wù)請(qǐng)求，系統(tǒng)根據(jù)用戶(hù)提供的狀態(tài)信息，提供安全響應(yīng)服務(wù)。安全內(nèi)生的一體化網(wǎng)絡(luò)架構(gòu)如圖1所示，當(dāng)終端節(jié)點(diǎn)發(fā)出應(yīng)用任務(wù)請(qǐng)求時(shí)，任務(wù)請(qǐng)求通過(guò)系統(tǒng)安全服務(wù)層接入系統(tǒng)，系統(tǒng)則通過(guò)啟動(dòng)安全控制平面，根據(jù)管控策略下發(fā)安全管控指令，在由數(shù)據(jù)平面完成系統(tǒng)的安全響應(yīng)服務(wù)。

圖1 安全內(nèi)生的一體化網(wǎng)絡(luò)架構(gòu)Fig.1 Architecture of integrated network based on security endogenous

由現(xiàn)有星地融合體系架構(gòu)的分析可知，構(gòu)建基于軟件定義的STIN安全體系架構(gòu)能夠有效擴(kuò)展衛(wèi)星網(wǎng)絡(luò)功能，與地面網(wǎng)絡(luò)互補(bǔ)，提高整個(gè)系統(tǒng)的安全管控能力，有效支撐安全內(nèi)生網(wǎng)絡(luò)體系架構(gòu)的設(shè)計(jì)。構(gòu)建安全高效的STIN需要滿(mǎn)足以下幾個(gè)基本條件：

(1) 基礎(chǔ)設(shè)備可編程

基于地面移動(dòng)通信技術(shù)，將現(xiàn)有移動(dòng)通信網(wǎng)絡(luò)體系向空間維度擴(kuò)展，構(gòu)建STIN能夠有效提高網(wǎng)絡(luò)的服務(wù)能力，但也使得網(wǎng)絡(luò)面臨的安全威脅呈現(xiàn)出多樣化的特性。此外，STIN節(jié)點(diǎn)種類(lèi)眾多且動(dòng)態(tài)性強(qiáng)。為支撐終端的隨時(shí)隨地的安全接入和任務(wù)的高效傳輸，衛(wèi)星需要通過(guò)軟件加載的形式支撐網(wǎng)絡(luò)功能的升級(jí)，以支撐更加多樣化的安全應(yīng)用需求，如星載路由器及星載控制器等?；诋?dāng)前研究進(jìn)展，可引入SDN和NFV支撐網(wǎng)絡(luò)功能可編程的需求。

(2) 星地協(xié)同管控

相較于衛(wèi)星網(wǎng)絡(luò)，地面網(wǎng)絡(luò)在計(jì)算存儲(chǔ)方面具有優(yōu)勢(shì)，但是部署范圍受限。衛(wèi)星網(wǎng)絡(luò)雖然星上處理能力受限，卻能夠有效彌補(bǔ)地面網(wǎng)絡(luò)在服務(wù)覆蓋上的不足。然而，單一地通過(guò)衛(wèi)星轉(zhuǎn)發(fā)業(yè)務(wù)，已經(jīng)無(wú)法滿(mǎn)足用戶(hù)對(duì)網(wǎng)絡(luò)多樣化安全的需求。因此，需要擴(kuò)展衛(wèi)星網(wǎng)絡(luò)的管控功能。根據(jù)衛(wèi)星網(wǎng)絡(luò)部署的空間特點(diǎn)，將網(wǎng)絡(luò)安全管控功能模塊加載到衛(wèi)星上，協(xié)同地面完成整個(gè)系統(tǒng)的安全管控，實(shí)現(xiàn)STIN的安全一體化管控。

(3) 系統(tǒng)動(dòng)態(tài)抗毀

衛(wèi)星網(wǎng)絡(luò)環(huán)境開(kāi)放，網(wǎng)絡(luò)節(jié)點(diǎn)的攻擊和消息篡改的安全問(wèn)題較突出，一旦網(wǎng)絡(luò)節(jié)點(diǎn)或者鏈路發(fā)生故障，網(wǎng)絡(luò)的可靠傳輸將會(huì)受影響。因此，在系統(tǒng)運(yùn)行的過(guò)程中，STIN體系架構(gòu)的設(shè)計(jì)需要考慮系統(tǒng)抗毀的需求，如安全預(yù)判、用戶(hù)接入鑒權(quán)認(rèn)證、系統(tǒng)冗余備份及故障恢復(fù)機(jī)制，從而保障終端的可靠接入和數(shù)據(jù)的可靠傳輸。

3 安全內(nèi)嵌的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

3.1 軟件定義星地融合網(wǎng)絡(luò)

基于軟件定義STIN架構(gòu)[21]如圖2所示，該網(wǎng)絡(luò)架構(gòu)主要由衛(wèi)星骨干網(wǎng)、平流層接入網(wǎng)絡(luò)以及地面互連網(wǎng)組成。其中，GEO層衛(wèi)星具有覆蓋范圍廣、對(duì)地靜止及鏈路功能可靠的特點(diǎn)，能夠完成地面網(wǎng)絡(luò)的全覆蓋及對(duì)地軌衛(wèi)星的動(dòng)態(tài)監(jiān)測(cè)，該體系架構(gòu)設(shè)計(jì)中選擇GEO層衛(wèi)星群做主控制器協(xié)同地面站構(gòu)建全局網(wǎng)絡(luò)拓?fù)?，?shí)現(xiàn)系統(tǒng)的全局管控。LEO層衛(wèi)星對(duì)地傳播時(shí)延小，但拓?fù)渥兓?，針?duì)時(shí)延敏感型應(yīng)用，則需要根據(jù)應(yīng)用需求及當(dāng)前網(wǎng)絡(luò)狀態(tài)動(dòng)態(tài)地選擇合適LEO層中的衛(wèi)星作為從屬控制器，實(shí)現(xiàn)本地網(wǎng)絡(luò)的靈活管控。主控制器與從屬控制器之間相互協(xié)作共同完成控制平面的功能，呈現(xiàn)為邏輯上集中地理上分散的集中分布式控制架構(gòu)。地面站是星地網(wǎng)絡(luò)的主要連接節(jié)點(diǎn)，具有強(qiáng)大的計(jì)算存儲(chǔ)功能，受政治及地理因素影響，其相對(duì)數(shù)量及位置都比較穩(wěn)定，作為整個(gè)網(wǎng)絡(luò)的管理中心，聯(lián)合控制器平面完成高效靈活的網(wǎng)絡(luò)配置。空間所有衛(wèi)星節(jié)點(diǎn)構(gòu)成整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)平面，承載整個(gè)網(wǎng)絡(luò)控制流及數(shù)據(jù)流的轉(zhuǎn)發(fā)。

圖2 基于軟件定義的STIN體系架構(gòu)Fig.2 Architecture of STIN based on SDN

基于軟件定義網(wǎng)絡(luò)的功能可編程特性，安全內(nèi)生的STIN系統(tǒng)設(shè)計(jì)遵循安全即服務(wù)的設(shè)計(jì)理念，整個(gè)系統(tǒng)相當(dāng)于一個(gè)具有安全應(yīng)用服務(wù)能力的系統(tǒng)，將網(wǎng)絡(luò)安全內(nèi)嵌到網(wǎng)絡(luò)的接入、路由、傳輸、切換等整個(gè)運(yùn)行的過(guò)程中，且不同運(yùn)行階段設(shè)計(jì)的安全策略能夠相互銜接。針對(duì)可能面臨的不同安全威脅或攻擊，能夠根據(jù)應(yīng)用對(duì)網(wǎng)絡(luò)安全要求的程度給出不同任務(wù)安全等級(jí)的響應(yīng)方案，即具有不同強(qiáng)度等級(jí)的安全服務(wù)能力，提高整個(gè)網(wǎng)絡(luò)的運(yùn)行效率，實(shí)現(xiàn)網(wǎng)絡(luò)安全一體化的理念。如圖2所示，源自不同終端的任務(wù)請(qǐng)求，具備安全等級(jí)需求的差異性。系統(tǒng)在響應(yīng)終端任務(wù)請(qǐng)求時(shí)，需要根據(jù)任務(wù)的安全等級(jí)確定接入認(rèn)證方案的安全等級(jí)。終端接入系統(tǒng)后，衛(wèi)星節(jié)點(diǎn)能夠根據(jù)已存儲(chǔ)用戶(hù)的接入認(rèn)證信息，確定路由傳輸或者移動(dòng)性管理策略的安全性。這種一體化的安全服務(wù)機(jī)制，能夠減少安全信令在星地間的交互次數(shù)，在減少網(wǎng)絡(luò)資源占用的同時(shí)，提升系統(tǒng)的安全性。

3.2 安全內(nèi)嵌的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

基于軟件定義一體化信息網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)為靈活多樣的網(wǎng)絡(luò)應(yīng)用提供了支撐，安全內(nèi)嵌的STIN體系結(jié)合該網(wǎng)絡(luò)特點(diǎn)與虛擬化技術(shù)，將安全設(shè)計(jì)的思想內(nèi)嵌到整個(gè)網(wǎng)絡(luò)體系中，主要包括承載安全數(shù)據(jù)的數(shù)據(jù)安全傳輸平面及制定安全響應(yīng)的管控平面，為系統(tǒng)請(qǐng)求提供安全服務(wù)。

安全內(nèi)嵌的STIN的基礎(chǔ)架構(gòu)如圖3所示。在該架構(gòu)體系中，當(dāng)?shù)涂站W(wǎng)絡(luò)節(jié)點(diǎn)向可關(guān)聯(lián)衛(wèi)星節(jié)點(diǎn)發(fā)出接入請(qǐng)求時(shí)，系統(tǒng)即開(kāi)始為終端提供安全服務(wù)響應(yīng)。首先系統(tǒng)安全管控平面根據(jù)用戶(hù)提交的基本身份信息完成接入認(rèn)證，通過(guò)終端關(guān)聯(lián)衛(wèi)星節(jié)點(diǎn)為用戶(hù)提供授權(quán)服務(wù)，并將其身份信息提交到實(shí)體身份管理模塊，以便在為終端制定安全路由傳輸時(shí)使用，安全認(rèn)證機(jī)制的設(shè)計(jì)受終端任務(wù)特征的影響，同時(shí)也會(huì)影響下一階段安全路由傳輸機(jī)制的設(shè)計(jì)，整個(gè)網(wǎng)絡(luò)系統(tǒng)相互配合，完成對(duì)終端任務(wù)請(qǐng)求的安全響應(yīng)。

圖3 安全內(nèi)生的STIN架構(gòu)Fig.3 Security endogenous architectureof STIN

安全內(nèi)嵌的技術(shù)機(jī)制能在系統(tǒng)層面提供硬件、軟件和運(yùn)行環(huán)境等的安全服務(wù)能力。首先要求網(wǎng)絡(luò)系統(tǒng)的硬件設(shè)備能夠?yàn)樯蠈拥膽?yīng)用請(qǐng)求提供良好的服務(wù)；其次要求整個(gè)系統(tǒng)具有靈活的管控系統(tǒng)；最后整個(gè)網(wǎng)絡(luò)具有完善的運(yùn)行決策機(jī)制，在保證系統(tǒng)響應(yīng)同時(shí)提高系統(tǒng)的安全服務(wù)能力。

(1) 基礎(chǔ)設(shè)施層

安全內(nèi)嵌的STIN基礎(chǔ)設(shè)施層中多樣化的網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)，如衛(wèi)星節(jié)點(diǎn)，低空節(jié)點(diǎn)、地面網(wǎng)絡(luò)節(jié)點(diǎn)、海上船艦節(jié)點(diǎn)等，承載整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流和控制流。設(shè)備節(jié)點(diǎn)在支撐整個(gè)網(wǎng)絡(luò)運(yùn)行的同時(shí)，需要根據(jù)網(wǎng)絡(luò)需求動(dòng)態(tài)地加載更新安全軟件資源，如防火墻、WAF、IPS等，形成具有安全功能的節(jié)點(diǎn)設(shè)備。通過(guò)NFV及VNF技術(shù)設(shè)備資源虛擬成不同的網(wǎng)絡(luò)資源切片構(gòu)成設(shè)備資源池，根據(jù)上層網(wǎng)絡(luò)應(yīng)用的請(qǐng)求對(duì)切片化網(wǎng)絡(luò)資源進(jìn)行服務(wù)編排，完成網(wǎng)絡(luò)資源的靈活調(diào)度及安全隔離。

網(wǎng)絡(luò)節(jié)點(diǎn)安全資源的多樣性直接影響網(wǎng)絡(luò)安全服務(wù)能力，但受衛(wèi)星節(jié)點(diǎn)存儲(chǔ)能力和星間節(jié)點(diǎn)計(jì)算有限性的約束，需要將安全資源分布緩存在不同的節(jié)點(diǎn)上，使得安全資源存在一定程度的冗余，利用冗余備份的思想來(lái)加強(qiáng)網(wǎng)絡(luò)安全，根據(jù)上層安全應(yīng)用請(qǐng)求及時(shí)給出安全策略的同時(shí)使得網(wǎng)絡(luò)具有一定的魯棒性，靈活應(yīng)對(duì)個(gè)別網(wǎng)絡(luò)節(jié)點(diǎn)受網(wǎng)絡(luò)攻擊而產(chǎn)生的網(wǎng)絡(luò)故障問(wèn)題。

(2) 安全管控平臺(tái)

安全管控平面作為整個(gè)網(wǎng)絡(luò)架構(gòu)的核心體系，提供安全服務(wù)編排、安全服務(wù)管理和網(wǎng)絡(luò)運(yùn)行監(jiān)測(cè)，要求系統(tǒng)具有極度靈活的管控能力。在空間特有的環(huán)境條件下，控制方案設(shè)計(jì)直接決定了整個(gè)網(wǎng)絡(luò)運(yùn)行的效率和整個(gè)網(wǎng)絡(luò)的安全性，集中加分布式的多層網(wǎng)絡(luò)管控架構(gòu)能夠增加整個(gè)網(wǎng)絡(luò)的可擴(kuò)展性、靈活性及安全性。

安全一體化設(shè)計(jì)的核心是對(duì)于不同的網(wǎng)絡(luò)任務(wù)接入請(qǐng)求制定不同安全等級(jí)的系統(tǒng)響應(yīng)服務(wù)。安全協(xié)議加強(qiáng)機(jī)制和加密機(jī)制是提高系統(tǒng)安全服務(wù)能力的主要策略，不同的加密算法具有不同的計(jì)算復(fù)雜度，需要消耗一定的計(jì)算和存儲(chǔ)資源。而基于密碼技術(shù)的安全機(jī)制，其安全性不僅在于密碼算法本身的保密性，而且在于密鑰的真實(shí)性和有效性。即網(wǎng)絡(luò)系統(tǒng)的安全服務(wù)能力受節(jié)點(diǎn)計(jì)算存儲(chǔ)等資源的影響，同時(shí)也會(huì)影響網(wǎng)絡(luò)的性能。要求管控平面能夠根據(jù)用戶(hù)請(qǐng)求以及網(wǎng)絡(luò)系統(tǒng)的性能選擇合適的密鑰生成算法，在保證整個(gè)響應(yīng)的安全的同時(shí)，降低計(jì)算復(fù)雜度和存儲(chǔ)空間。

控制平面通過(guò)北向API接口與安全應(yīng)用連接，根據(jù)應(yīng)用的需求及安全策略，調(diào)用設(shè)備資源池的節(jié)點(diǎn)設(shè)備，完成整個(gè)響應(yīng)過(guò)程的安全防護(hù)。

(3) 應(yīng)用安全

安全一體化的設(shè)計(jì)理念要求整個(gè)系統(tǒng)在響應(yīng)終端應(yīng)用請(qǐng)求的時(shí)候保障整個(gè)響應(yīng)過(guò)程的安全性，涉及到網(wǎng)絡(luò)應(yīng)用的接入、路由組網(wǎng)及傳輸，并非只能為用戶(hù)提供單一的Web安全、訪(fǎng)問(wèn)控制或者DDoS防護(hù)等獨(dú)立的安全應(yīng)用。針對(duì)應(yīng)用層安全來(lái)說(shuō)，沒(méi)有絕對(duì)的安全機(jī)制，網(wǎng)絡(luò)安全建立在失敗的前提之上，系統(tǒng)無(wú)法提供安全保障，只能盡可能提高安全概率，降低整個(gè)系統(tǒng)可能被攻擊的概率。類(lèi)似，在內(nèi)嵌的網(wǎng)絡(luò)架構(gòu)體系中，針對(duì)不同的應(yīng)用請(qǐng)求具有不同的安全等級(jí)需求，給出安全等級(jí)劃分的設(shè)計(jì)理念，在不同的響應(yīng)運(yùn)行階段設(shè)計(jì)不同的安全機(jī)制，不同階段的安全機(jī)制互為基礎(chǔ)，相互銜接，最大限度地降低安全機(jī)制對(duì)有限網(wǎng)絡(luò)資源的占用。

4 關(guān)鍵技術(shù)及挑戰(zhàn)

4.1 基于AI的智能防御機(jī)制

相比較傳統(tǒng)的被動(dòng)防御系統(tǒng)架構(gòu)，將AI技術(shù)應(yīng)用到基于軟件定義的STIN架構(gòu)中，建立智能化的主動(dòng)防御體系，更能提升系統(tǒng)的安全性。在終端接入系統(tǒng)前，基于AI的入侵檢測(cè)技術(shù)作為一種積極主動(dòng)的安全防護(hù)機(jī)制，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包或者信息進(jìn)行收集，檢測(cè)可能的入侵行為，并且能在入侵行為發(fā)生之前，或者造成危害之前，調(diào)動(dòng)不同的響應(yīng)措施保障軟件定義STIN的安全。因此，在系統(tǒng)架構(gòu)設(shè)計(jì)中利用AI技術(shù)的并行計(jì)算分布式存儲(chǔ)以及多層結(jié)構(gòu)的特點(diǎn)，使用分類(lèi)器將入侵行為數(shù)據(jù)和正常的數(shù)據(jù)盡可能正確地分開(kāi)，保留正常數(shù)據(jù)并分析網(wǎng)絡(luò)異常行為，對(duì)可能的網(wǎng)絡(luò)攻擊采取不同的防御手段?；贏I技術(shù)的入侵檢測(cè)系統(tǒng)可以有效保護(hù)信息的完整性、可用性和保密性，并提高網(wǎng)絡(luò)的安全攻擊檢測(cè)的準(zhǔn)確性。

4.2 輕量化安全接入機(jī)制

接入認(rèn)證機(jī)制是防止非法接入的關(guān)鍵，是保證網(wǎng)絡(luò)安全的關(guān)鍵步驟。由于衛(wèi)星的高動(dòng)態(tài)特性，隨著接入用戶(hù)不斷增加，基于中心認(rèn)證的接入存在時(shí)延和中斷概率大的挑戰(zhàn)。為了提高系統(tǒng)的安全性和終端接入的有效性，需要設(shè)計(jì)輕量化的安全接入機(jī)制。當(dāng)衛(wèi)星節(jié)點(diǎn)的位置變化、局部子網(wǎng)連接不穩(wěn)定時(shí)，終端更難接入網(wǎng)絡(luò)，接入終端面臨著頻繁認(rèn)證和切換接入衛(wèi)星的問(wèn)題?？蓸?gòu)建基于共識(shí)機(jī)制的接入認(rèn)證方式，當(dāng)終端第一次接入網(wǎng)絡(luò)，需要網(wǎng)絡(luò)節(jié)點(diǎn)的共識(shí)機(jī)制，完成終端身份認(rèn)證，建立公私鑰；再次接入認(rèn)證時(shí)，通過(guò)終端在衛(wèi)星上的使用記錄，組建衛(wèi)星節(jié)點(diǎn)對(duì)終端信息進(jìn)行驗(yàn)證，能夠降低認(rèn)證復(fù)雜度，保障終端高效接入與切換，實(shí)現(xiàn)安全接入認(rèn)證的輕量化。

4.3 星間安全運(yùn)行機(jī)制

安全路由傳輸作為網(wǎng)絡(luò)安全響應(yīng)的運(yùn)行基礎(chǔ)，特別是在高動(dòng)態(tài)、大時(shí)延尺度的網(wǎng)絡(luò)環(huán)境下，系統(tǒng)組網(wǎng)方式不斷發(fā)生變化，路由拓?fù)湟搽S之變化，數(shù)據(jù)傳輸中斷概率增加，網(wǎng)絡(luò)信息更加容易泄露，節(jié)點(diǎn)和鏈路更容易遭到竊聽(tīng)和主動(dòng)攻擊，給融合系統(tǒng)的安全運(yùn)行帶來(lái)了一定的挑戰(zhàn)。在路由傳輸?shù)倪^(guò)程中，通常衛(wèi)星節(jié)點(diǎn)之間不斷地交換控制信令報(bào)文，進(jìn)而計(jì)算、更新和維護(hù)路由路徑，攻擊者竊聽(tīng)并偽造路由控制報(bào)文之后，將虛假報(bào)文注入網(wǎng)絡(luò)中，則會(huì)導(dǎo)致路由構(gòu)建錯(cuò)誤或者重要信息泄露。因此，需要保證路由控制報(bào)文的完整性和真實(shí)性?；诮尤脒^(guò)程中衛(wèi)星節(jié)點(diǎn)所存儲(chǔ)的節(jié)點(diǎn)狀態(tài)信息，在系統(tǒng)交互控制報(bào)文的過(guò)程中，基于不同等級(jí)的加密方式(哈希運(yùn)算、橢圓曲線(xiàn)加密、格密碼)，設(shè)計(jì)安全級(jí)別不同的路由傳輸協(xié)議，為用戶(hù)提供安全任務(wù)請(qǐng)求響應(yīng)，同時(shí)盡可能地減少網(wǎng)絡(luò)運(yùn)行中因過(guò)度加密而造成的網(wǎng)絡(luò)資源浪費(fèi)，提高網(wǎng)絡(luò)的運(yùn)行效率。

4.4 去中心化的密鑰管理機(jī)制

密碼技術(shù)可以為網(wǎng)絡(luò)運(yùn)行過(guò)程的通信內(nèi)容提供機(jī)密性和完整性保護(hù)，但是由于承載數(shù)據(jù)的IP缺少密鑰生成和可信的自驗(yàn)證機(jī)制，需要第三方協(xié)同來(lái)完成加密過(guò)程中密鑰管理。然而，基于第三方的多級(jí)中心化PKI機(jī)制存在不可信，以及多級(jí)證書(shū)鏈在驗(yàn)證時(shí)帶來(lái)大量計(jì)算開(kāi)銷(xiāo)等問(wèn)題。CA中心在分發(fā)和撤銷(xiāo)證書(shū)時(shí)，缺乏具體且清晰的邊界，假如某個(gè)權(quán)威CA被攻陷，帶來(lái)的安全問(wèn)題將大規(guī)模蔓延擴(kuò)散。因此，針對(duì)單點(diǎn)權(quán)威CA失效問(wèn)題，去中心化的密鑰管理機(jī)制已成為構(gòu)建安全信任錨的主要研究方向，需要根據(jù)網(wǎng)絡(luò)節(jié)點(diǎn)的具體屬性特征研究去中心化或者弱中心化的密鑰管理機(jī)制。

5 結(jié)束語(yǔ)

縱觀當(dāng)前互聯(lián)的發(fā)展歷程，功能先于安全的網(wǎng)絡(luò)設(shè)計(jì)理念會(huì)導(dǎo)致網(wǎng)絡(luò)完全策略始終處于被動(dòng)地位，且對(duì)網(wǎng)絡(luò)資源的要求較高，不能很好地應(yīng)用在網(wǎng)絡(luò)環(huán)境特殊的空間信息網(wǎng)絡(luò)中。而安全即服務(wù)的設(shè)計(jì)理念，將網(wǎng)絡(luò)的安全看作網(wǎng)絡(luò)的一種服務(wù)能力，遵循功能與安全同步的設(shè)計(jì)思想，能夠很好地將安全防護(hù)思想融合到網(wǎng)絡(luò)體系結(jié)構(gòu)中，可以主動(dòng)適應(yīng)用戶(hù)、網(wǎng)絡(luò)和業(yè)務(wù)的快速變化并迅速發(fā)展，為STIN的安全防護(hù)提供了新思路和技術(shù)途徑。