韓孟達，曹利峰，雷依翰，杜學(xué)繪

1.信息工程大學(xué)，鄭州 450001

2.河南省信息安全重點實驗室，鄭州 450001

天地一體化信息網(wǎng)絡(luò)（space-ground integration network，SGIN）是涵蓋了陸、海、空、天以及網(wǎng)絡(luò)空間的新型未來網(wǎng)絡(luò)體系，旨在推進天基信息網(wǎng)、未來互聯(lián)網(wǎng)、移動通信網(wǎng)的全面融合，形成覆蓋全球的天地一體化信息網(wǎng)絡(luò)，能夠打破各網(wǎng)絡(luò)獨立運行的現(xiàn)狀[1]?？萍疾恳褜⑵浼{入到“科技創(chuàng)新2030重大項目”中。我國在此方面開展了“鴻雁星座”“行云工程”和“虹云工程”等建設(shè)工作，歐美等國家也在針對以中低軌道為主的天基網(wǎng)絡(luò)加速布局，主要有SpaceX的Starlink計劃、英國的OneWeb計劃、歐盟的Sat5G計劃等。建設(shè)天地一體化信息網(wǎng)絡(luò)是未來網(wǎng)絡(luò)基礎(chǔ)設(shè)施發(fā)展的趨勢所向，對國家戰(zhàn)略支撐具有重大意義[2]。

天地一體化信息網(wǎng)絡(luò)主要由天基骨干網(wǎng)[3]、天基接入網(wǎng)[4]、地基節(jié)點網(wǎng)[5]組成，其覆蓋能力可突破海拔、地形等地理條件限制，可滿足來自陸、海、空、天等全方位用戶的接入需求，實現(xiàn)全球組網(wǎng)。在業(yè)務(wù)保障能力方面，可面向用戶提供話務(wù)、數(shù)據(jù)、多媒體等多種類型的服務(wù)，并可提供安全可信的網(wǎng)絡(luò)環(huán)境。在兼容性方面，能夠與已有的網(wǎng)絡(luò)設(shè)施進行整合，還可與5G、6G 等新型網(wǎng)絡(luò)技術(shù)實現(xiàn)對接[6-7]。

對于天地一體化信息網(wǎng)絡(luò)體系結(jié)構(gòu)的設(shè)計，已有多位院士專家給出了完善的規(guī)劃[8-10]。網(wǎng)絡(luò)的主要結(jié)構(gòu)及空間分布如圖1所示，所涵蓋的主要組成部分及其功能描述如下。

圖1 天地一體化信息網(wǎng)絡(luò)體系結(jié)構(gòu)Fig.1 Architecture of space-ground integrated information network

天基骨干網(wǎng)：主要由地球同步軌道衛(wèi)星組成，衛(wèi)星之間依托激光鏈路進行通信。同步衛(wèi)星的信號覆蓋范圍廣，但與相對距離較遠(yuǎn)的用戶直接通信時信道質(zhì)量不佳，時延較長，通常在網(wǎng)絡(luò)體系中承擔(dān)信息交換樞紐及空天節(jié)點管理的任務(wù)。

天基接入網(wǎng)：主要由低軌衛(wèi)星以及臨近空間中的浮空器等組成，通過數(shù)量眾多的節(jié)點為陸、海、空等多方位的用戶提供遍布全球的隨遇接入和無縫化切換的網(wǎng)絡(luò)服務(wù)，擁有比地基節(jié)點網(wǎng)更廣泛的覆蓋能力。

地基節(jié)點網(wǎng)：主要由布設(shè)在地表的各類骨干節(jié)點組成，其中既包括能夠與衛(wèi)星通信的地面站，又涵蓋了移動通信網(wǎng)、地面互聯(lián)網(wǎng)等現(xiàn)有網(wǎng)絡(luò)，可為移動用戶提供方便、穩(wěn)定的網(wǎng)絡(luò)服務(wù)，是實現(xiàn)天地一體化信息網(wǎng)絡(luò)資源共享的重要一環(huán)。相對于空中的節(jié)點，地基節(jié)點便于布設(shè)和維護，可承擔(dān)信息的管理、存儲、處理等業(yè)務(wù)。

目前天地一體化信息網(wǎng)絡(luò)發(fā)展的總體趨勢是天基網(wǎng)絡(luò)在未來網(wǎng)絡(luò)體系中的地位愈加凸顯，而天基網(wǎng)絡(luò)和地面網(wǎng)絡(luò)體系融合創(chuàng)新也在持續(xù)加速。但是，天地一體化信息網(wǎng)絡(luò)中空天網(wǎng)絡(luò)部分由于其特殊性，為信息安全技術(shù)在空天網(wǎng)絡(luò)中的應(yīng)用帶來了諸多挑戰(zhàn)，主要體現(xiàn)在：

（1）空天網(wǎng)絡(luò)高度暴露[11]?？仗炀W(wǎng)絡(luò)是天地一體化信息網(wǎng)絡(luò)的重要組成部分，時空跨度大，完全暴露于空間之中，存在著赤道軌道、極軌道、傾斜軌道等，各國空天節(jié)點縱橫交錯，相互毗鄰運轉(zhuǎn)，使得空天節(jié)點受到的攻擊更加容易、更加多樣化，如何在層次化、立體化的網(wǎng)絡(luò)空間中構(gòu)建節(jié)點之間的信任關(guān)系，是防止節(jié)點假冒攻擊、竊取信息的關(guān)鍵。

（2）空天網(wǎng)絡(luò)節(jié)點高速運動[12]。衛(wèi)星、高速飛行器等節(jié)點運行速度快，網(wǎng)絡(luò)拓?fù)鋭討B(tài)變化，接入基站難以提供持續(xù)性的服務(wù)，接入終端切換頻繁，如何無需重復(fù)認(rèn)證即可進行安全、自由的切換，以實現(xiàn)節(jié)點間的可信保持，是確保空天網(wǎng)絡(luò)安全性的前提。

（3）計算資源受限[13]?？罩泄?jié)點隨著運行高度的不同，受到天氣、電磁波、溫度等空間環(huán)境的影響，使得衛(wèi)星等節(jié)點的計算、存儲、通信等受到限制，對功耗控制要求高，節(jié)點的后期維護較為困難，這就要求空天網(wǎng)絡(luò)中應(yīng)用的密碼算法、安全協(xié)議、安全接入方案等具有輕量級，以滿足空天網(wǎng)絡(luò)的計算資源受限的需求。

（4）鏈路間歇連通[14]。空天網(wǎng)絡(luò)時空跨度大，鏈路采用微波、激光等媒介，由于空間受到自然條件、傳輸距離遠(yuǎn)、節(jié)點高速運動等影響，使得數(shù)據(jù)的傳輸存在著時延大、誤碼率高的問題，而且鏈路存在著間歇性連通，因此空天網(wǎng)絡(luò)是一個典型延遲容忍網(wǎng)絡(luò)。如何在鏈路間歇連通的情況下實現(xiàn)數(shù)據(jù)的延遲容忍傳輸，是確保安全接入、安全切換、安全傳輸?shù)年P(guān)鍵。

接入認(rèn)證是空天網(wǎng)絡(luò)信息安全的第一道防線，但是由于空天網(wǎng)絡(luò)節(jié)點的高速運動，使得接入節(jié)點頻繁發(fā)生切換，從而引起重復(fù)性的安全接入認(rèn)證，導(dǎo)致安全服務(wù)的不連續(xù)性，甚至中斷。因此，研究空天網(wǎng)絡(luò)環(huán)境下節(jié)點的安全切換，確?？尚疟３?，是實現(xiàn)空天網(wǎng)絡(luò)持續(xù)性安全保障的關(guān)鍵[15]。針對空天網(wǎng)絡(luò)安全切換研究，目前國內(nèi)外也進行了初步的探索研究，其也是天地一體化網(wǎng)絡(luò)建設(shè)的主要內(nèi)容，但是目前的研究大多針對單一的切換場景，難以適應(yīng)未來復(fù)雜時空環(huán)境下多場景、跨軌道平面、自由的安全切換需求，亟需針對復(fù)雜的空天網(wǎng)絡(luò)，開展更為深入的研究。本文重點對當(dāng)前的空天網(wǎng)絡(luò)安全切換技術(shù)進行梳理、歸類與總結(jié)，闡述空天網(wǎng)絡(luò)安全切換的研究進展，指出空天網(wǎng)絡(luò)安全切換所需的關(guān)鍵技術(shù)，對空天網(wǎng)絡(luò)安全切換的研究熱點以及未來發(fā)展趨勢進行展望，為天地一體化網(wǎng)絡(luò)建設(shè)中無縫安全切換的深入研究提供參考。

1 空天網(wǎng)絡(luò)無縫安全切換概念

1.1 切換的基本概念

空天網(wǎng)絡(luò)節(jié)點之間存在著相對高速運動，接入基站的覆蓋范圍有限且動態(tài)移動，從而導(dǎo)致已接入的用戶可能離開當(dāng)前接入點的連接覆蓋范圍而進入相鄰節(jié)點的覆蓋范圍，為了維持通信的持續(xù)性，需要斷開原有的連接，建立新的連接，這種行為在通信中稱為切換。比如，LEO、MEO衛(wèi)星對地高速運動，接入節(jié)點頻繁更換接入衛(wèi)星；飛行器高速運動，導(dǎo)致頻繁切換接入基站。從切換發(fā)生的層次角度，可將空天網(wǎng)絡(luò)切換分為數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層切換[16]。鏈路層切換又可分為點波束切換、衛(wèi)星間切換；網(wǎng)絡(luò)層切換則在切換過程中導(dǎo)致IP地址的變化，從而引起網(wǎng)絡(luò)層次切換。

切換的發(fā)生，除了因為節(jié)點的高速運動外，在原有信道、網(wǎng)絡(luò)條件惡化時以及有新的業(yè)務(wù)需求時，均可通過主動執(zhí)行切換操作來改善通信網(wǎng)絡(luò)的質(zhì)量，或者獲取新的服務(wù)。在切換過程中，為確保移動用戶的業(yè)務(wù)不受切換的干擾或中斷，應(yīng)盡量減少切換過程的時延，使用戶察覺不到切換操作的影響，這種理想效果的切換操作稱為無縫切換（seamless handover）。

1.2 切換安全與安全切換

空天網(wǎng)絡(luò)高度暴露、邊界模糊，使得空天網(wǎng)絡(luò)更容易遭受攻擊。相應(yīng)地，在空天網(wǎng)絡(luò)切換過程中，也存在著身份假冒、信息篡改以及竊聽等安全威脅，因此，在空天網(wǎng)絡(luò)切換過程中，需要提供安全服務(wù)，比如認(rèn)證、加密、完整性等服務(wù)確保切換過程的安全性。上述針對空天網(wǎng)絡(luò)切換過程所采取的安全防護措施，目的是降低空天網(wǎng)絡(luò)場景下節(jié)點的安全風(fēng)險，從而保障切換安全。

接入認(rèn)證是空天網(wǎng)絡(luò)安全的第一道防線，也是構(gòu)建空天網(wǎng)絡(luò)信任體系的主要手段、方法。當(dāng)空天網(wǎng)絡(luò)由于節(jié)點的高速運動帶來頻繁切換時，也必然引起接入的頻繁認(rèn)證。由于空天網(wǎng)絡(luò)間歇連通，計算資源受限，使得重復(fù)性的接入認(rèn)證易造成通信性能的降低，也使得通信業(yè)務(wù)的連續(xù)性受到影響。因此，如何在空天節(jié)點高速運動環(huán)境下，無需重復(fù)接入認(rèn)證，實現(xiàn)鏈路間歇連通情況下身份可信保持，確保服務(wù)的連續(xù)性，是空天網(wǎng)絡(luò)安全亟待解決的核心問題。避免重復(fù)認(rèn)證，就需要將節(jié)點的接入認(rèn)證狀態(tài)信息、歷史信息、節(jié)點狀態(tài)信息、通信狀態(tài)信息、切換密鑰等隨著空天網(wǎng)絡(luò)節(jié)點切換過程安全地轉(zhuǎn)移到下一個待接入的基站，依據(jù)安全狀態(tài)的驗證實現(xiàn)節(jié)點的切換認(rèn)證，從而避免重復(fù)性的認(rèn)證。這樣的將安全狀態(tài)切換至下一個待接入基站的過程，稱之為安全切換。

錢雁斌等人[17]較早地提出了空天網(wǎng)絡(luò)中安全切換的概念，將安全切換歸類為切換機制的一種，并定義安全切換是在實現(xiàn)物理鏈路切換的同時保證用戶身份、權(quán)限和已經(jīng)建立的安全通道等能夠在切換節(jié)點間傳遞，從而在切換過程中實現(xiàn)用戶安全狀態(tài)的保持。因此，安全切換是一種兼顧切換過程安全性和性能的切換機制，諸多學(xué)者在研究空天網(wǎng)絡(luò)的安全保障技術(shù)中，也都將其表述為安全切換[15，18]。

綜上所述，本文所研究的空天網(wǎng)絡(luò)“安全切換”，是指用戶在接入節(jié)點信任關(guān)系的切換，即接入認(rèn)證狀態(tài)的切換，以避免重復(fù)性的接入認(rèn)證，結(jié)合空天網(wǎng)絡(luò)切換過程的安全，確保空天網(wǎng)絡(luò)節(jié)點信任的無縫傳遞，從而實現(xiàn)空天網(wǎng)絡(luò)中用戶的快速無縫安全切換。

2 無縫安全切換流程

2.1 空天網(wǎng)絡(luò)切換場景

空天網(wǎng)絡(luò)節(jié)點種類復(fù)雜、網(wǎng)絡(luò)層級多的特點致使其切換發(fā)生的場景和執(zhí)行過程會存在差異，如圖2 所示。空天網(wǎng)絡(luò)安全切換做到無縫化，應(yīng)能夠適應(yīng)空天網(wǎng)絡(luò)的應(yīng)用場景，并對空天網(wǎng)絡(luò)切換流程進行一體化設(shè)計，以做到平滑安全切換，因此，空天網(wǎng)絡(luò)切換場景對安全切換的實施是非常重要的。

圖2 空天網(wǎng)絡(luò)接入與切換示意圖Fig.2 Schematic diagram of aerospace network access and handover

空天網(wǎng)絡(luò)是一個復(fù)雜、立體空間的網(wǎng)絡(luò)，在接入網(wǎng)方面，存在著橫向軌道衛(wèi)星平面、縱向軌道衛(wèi)星平面以及側(cè)向軌道衛(wèi)星平面，軌道縱橫交錯，存在著同一軌道平面的切換與跨軌道平面的切換、網(wǎng)絡(luò)內(nèi)切換與異構(gòu)網(wǎng)絡(luò)域切換、單一場景切換與多場景切換等，切換較為復(fù)雜。但從技術(shù)層面來說，按照切換前后網(wǎng)絡(luò)技術(shù)異同，切換可分為水平切換、垂直切換；按照鏈路切換前后實體異同，可分為點波束間切換、衛(wèi)星間切換；按照接入信任域異同，還可以分為域內(nèi)切換、域間切換；參與組網(wǎng)的衛(wèi)星之間形成的鏈路，也會因衛(wèi)星間的相對運動建立和斷開，稱為星間鏈路切換。

（1）水平切換和垂直切換

水平切換是指在同一網(wǎng)絡(luò)技術(shù)體系下完成的接入基站間的切換。通常情況下是由于接入節(jié)點與接入基站的相對高速運動，使得接入基站在其覆蓋范圍內(nèi)無法繼續(xù)為接入節(jié)點提供服務(wù)，從而發(fā)生切換；亦或接入基站由于信道質(zhì)量下降，處于擁塞狀態(tài)，導(dǎo)致服務(wù)無法繼續(xù)而發(fā)生切換。而垂直切換則通常是由于業(yè)務(wù)需求發(fā)生了變化，或者由于網(wǎng)絡(luò)服務(wù)提供者發(fā)生變化，致使接入網(wǎng)絡(luò)發(fā)生變化，從而引起切換。水平切換與垂直切換可依據(jù)切換前后的網(wǎng)絡(luò)類型是否相同進行區(qū)分，水平切換前后接入網(wǎng)絡(luò)技術(shù)相同，切換通常為鏈路層實現(xiàn)，而垂直切換由于前后接入網(wǎng)絡(luò)存在著異構(gòu)性，不僅要進行鏈路切換，而且還需進行網(wǎng)絡(luò)層切換[19]。在圖3中的A、B、C三點處，用戶在同種規(guī)格的衛(wèi)星之間發(fā)生切換，由于不涉及到接入技術(shù)的差異，屬于水平切換；而在D點，用戶從衛(wèi)星無線網(wǎng)絡(luò)切換至浮空器臨近空間網(wǎng)絡(luò)，屬于垂直切換。相比之下，垂直切換所涉及的協(xié)議設(shè)計要比水平切換復(fù)雜，需要考慮到不同網(wǎng)絡(luò)間的技術(shù)差異。相應(yīng)地，切換安全方面需要考慮不同網(wǎng)絡(luò)技術(shù)體制下信任的協(xié)商問題[20]。

圖3 空天網(wǎng)絡(luò)切換分類Fig.3 Classification of aerospace network handover

（2）點波束間切換與衛(wèi)星間切換

在點波束間切換中，每個衛(wèi)星上通常配備多波束天線，衛(wèi)星的通信覆蓋區(qū)域被劃分為類似蜂窩網(wǎng)絡(luò)的多個區(qū)域，以實現(xiàn)頻率復(fù)用。當(dāng)終端用戶跨越衛(wèi)星點波束間邊界時，即發(fā)生了星內(nèi)的點波束切換[21]。在圖3中A點處，移動用戶在同一衛(wèi)星下的不同波束間切換，由于切換前后的會話雙方?jīng)]有發(fā)生變化，切換過程通常只需核驗身份的真實性。由于點波束的覆蓋區(qū)域相對較小，點波束切換發(fā)生較為頻繁，通常為每1～2 min 一次。在點波束切換過程中，用戶的移動相較衛(wèi)星的高速運動可以忽略，研究時可將其看作相對于小區(qū)直線運動[22]。由于點波束切換發(fā)生在同一衛(wèi)星實體，安全切換發(fā)生在衛(wèi)星系統(tǒng)內(nèi)部，實施較為容易，本文不討論點波束切換下的安全切換。

衛(wèi)星間切換[23]是指當(dāng)用戶從一顆衛(wèi)星的信號覆蓋范圍運動到另一顆衛(wèi)星的覆蓋范圍下時，為了保持業(yè)務(wù)的連續(xù)性，用戶節(jié)點需要在衛(wèi)星之間切換。如圖3的B、C、D三點處，由于覆蓋范圍相對變化，使得用戶在衛(wèi)星之間發(fā)生切換，由于切換前后接入衛(wèi)星不同，用戶在衛(wèi)星間鏈路切換的同時，安全切換需實現(xiàn)用戶接入認(rèn)證狀態(tài)的遷移，以及確保切換過程的安全性，這也是確保無縫切換、保持業(yè)務(wù)連續(xù)性的關(guān)鍵。

（3）域內(nèi)切換與域間切換

域內(nèi)切換指的是在同一信任域內(nèi)的切換，域內(nèi)的空天網(wǎng)絡(luò)節(jié)點屬于同一信任域，用戶的切換在域內(nèi)節(jié)點上進行。而域間切換則是用戶在不同信息域之間發(fā)了切換，即用戶前后接入的節(jié)點分屬于不同的信任域。為了保持業(yè)務(wù)連續(xù)性，用戶需要闊別家鄉(xiāng)網(wǎng)絡(luò)，切換到另一域內(nèi)，此時就要發(fā)生跨域的安全切換[24]。如圖3中的A、B、D三點屬于域內(nèi)切換，而C點處發(fā)生了域間切換。在空天網(wǎng)絡(luò)中，實現(xiàn)跨域的安全切換，可能存在于跨地理位置或者跨層的切換，這些接入網(wǎng)絡(luò)之間屬于不同的信任域，因此在進行安全切換時，需要進行跨域的信任協(xié)商[25]，從而實現(xiàn)用戶的自由切換。

（4）星間鏈路切換

星上搭載的數(shù)個激光設(shè)備會使衛(wèi)星與范圍內(nèi)的若干個衛(wèi)星建立鏈路，由于衛(wèi)星軌道的錯落分布，所屬于不同軌道的衛(wèi)星之間的鏈路通常會間歇性連通。

如圖4 所示，空天網(wǎng)絡(luò)某區(qū)域存在交匯的三條軌道，從ta時刻到tb時刻，衛(wèi)星B與C的星間鏈路斷開，而A與D建立起一條新的鏈路。星間鏈路的建立和斷開是頻繁的，而建立鏈路的衛(wèi)星之間也需要進行相互認(rèn)證以保證切換的安全性[26]，因此星間鏈路也存在安全切換的問題。

圖4 星間鏈路切換Fig.4 Intersatellite link handover

2.2 空天網(wǎng)絡(luò)切換流程

通過對空天網(wǎng)絡(luò)切換的研究與分析，符合切換流程，相應(yīng)地，空天網(wǎng)絡(luò)安全切換主要包括切換感知、接入基站選擇、切換認(rèn)證以及切換密鑰更新等四個階段。階段間的關(guān)系及實施流程如圖5所示。

圖5 安全切換的實施流程Fig.5 Implementation process of security handover

第一階段：切換感知。主要是感知切換的發(fā)生，包括接入基站信號強弱感知、切換位置與時間的預(yù)測等。網(wǎng)絡(luò)中切換發(fā)生的根本原因，是由于用戶與接入基站之間的相對高速運動，造成接入基站對用戶覆蓋區(qū)域的減小或信道環(huán)境惡化，從而引起切換以保持業(yè)務(wù)的連續(xù)性。倘若僅將當(dāng)前接入節(jié)點的覆蓋信號強度作為切換的判定依據(jù)，在原信號強度和新切換信號強度趨近時易造成乒乓效應(yīng)。因此，飛行器的切換時間和位置等關(guān)鍵信息的預(yù)測和掌握，對安全切換的控制至關(guān)重要。通過預(yù)知飛行器將要發(fā)生切換的時間及位置，提供接入服務(wù)的衛(wèi)星節(jié)點一端也可以提前制定合理的信道預(yù)留方案，以保證切換過程的服務(wù)質(zhì)量，同時提高切換的準(zhǔn)確性、合理性。

第二階段：接入基站選擇。當(dāng)預(yù)測發(fā)生切換后，通常情況下，在切換位置會同時存在多個提供信號覆蓋的可接入節(jié)點，如何從多個接入基站中選擇出最優(yōu)的，確保業(yè)務(wù)連續(xù)性的質(zhì)量，是安全切換的亟待解決的關(guān)鍵問題，特別是在軌道縱橫交錯、跨軌道跨平面切換時，基站的選擇涉及用戶移動的位置、軌跡，接入點的運動軌跡，服務(wù)質(zhì)量等。因此，研究基站預(yù)測、安全切換策略、最優(yōu)化選擇等，將會為空天網(wǎng)絡(luò)中用戶的自由切換奠定技術(shù)基礎(chǔ)。

第三階段：切換認(rèn)證。本階段解決的問題是當(dāng)用戶發(fā)生切換時，如何避免重復(fù)性接入認(rèn)證，快速地進行信任的鑒別。在該階段包括信任狀態(tài)傳遞以及安全切換觸發(fā)。其中信任狀態(tài)傳遞，完成接入用戶安全狀態(tài)的遷移，使得安全切換做到快速、無縫化，以實現(xiàn)平滑切換；安全切換觸發(fā)，即在發(fā)生切換時，通過輕量級的安全切換協(xié)議觸發(fā)用戶切換認(rèn)證的完成。

第四階段：切換密鑰更新。在基于安全上下文等切換認(rèn)證機制中，為提高切換效率，用戶與新的接入基站間的會話密鑰通常由舊的接入基站代理產(chǎn)生。由于用戶需要在新的基站下駐留一段時間，長期使用代理產(chǎn)生的會話密鑰會存在一定風(fēng)險，因此用戶需要更新會話密鑰，以保證后續(xù)服務(wù)的安全性。

3 空天網(wǎng)絡(luò)安全切換技術(shù)研究

依托于空天網(wǎng)絡(luò)安全切換流程，本文從切換感知技術(shù)、基站選擇技術(shù)、切換認(rèn)證技術(shù)，對空天網(wǎng)絡(luò)安全切換技術(shù)的研究進行了歸納與分析。

3.1 安全切換感知技術(shù)研究

切換感知階段主要是對用戶自身所處的信號質(zhì)量進行評估，確定當(dāng)前擁有的網(wǎng)絡(luò)資源是否能夠滿足業(yè)務(wù)通信的需求，判別是否需要切換、預(yù)測切換的時間與地點，并探知切換基站的相關(guān)信息，為接入基站的最優(yōu)選擇提供參數(shù)的評估?？梢姡踩袚Q感知技術(shù)的研究主要包括接入節(jié)點信號覆蓋下服務(wù)持續(xù)性評估以及安全切換參數(shù)的測量。由于接入基站、接入用戶的相對運動，其狀態(tài)信息是時刻變化的，安全切換的感知也需動態(tài)更新，對于參數(shù)采樣的時間間隔應(yīng)設(shè)置在一個合適的范圍，既要保證參數(shù)信息的精度，又要避免頻繁的參數(shù)更新為系統(tǒng)帶來的負(fù)擔(dān)。

3.1.1 基于服務(wù)持續(xù)性評估的切換分析方法

在空天網(wǎng)絡(luò)中，預(yù)測安全切換發(fā)生需求，通常依賴于接入衛(wèi)星基站（浮空器）提供的服務(wù)質(zhì)量來進行衡量，即接入基站的服務(wù)覆蓋范圍性能評估。服務(wù)質(zhì)量（quality of service，QoS）是用來衡量網(wǎng)絡(luò)狀況是否良好的重要指標(biāo)，為保證網(wǎng)絡(luò)質(zhì)量并為可能發(fā)生的切換做準(zhǔn)備，用戶節(jié)點會周期性地對各種影響服務(wù)質(zhì)量的關(guān)鍵因素進行感知和評估，如信號強度、往返時延、分組丟失率、網(wǎng)絡(luò)負(fù)載、服務(wù)時間、業(yè)務(wù)需求等。其中信號強度是影響QoS的直接因素，有時信號強度會因為一些干擾造成短暫的衰減，并非用戶節(jié)點將要離開當(dāng)前接入點，因此有必要對該項參數(shù)的動態(tài)獲取，避免不必要的切換。

文獻[27]通過建立空天網(wǎng)絡(luò)的信道模型，對信號強度等信道特征變化進行監(jiān)控，提出了能夠自適應(yīng)信道條件變化的高效率切換算法。文獻[28]提出了一種基于當(dāng)前網(wǎng)絡(luò)剩余可持續(xù)時間的切換管理方案HM-LRT（handover management scheme based on link remaining time），提前為下一次切換的路由表變更做準(zhǔn)備，減少切換過程的數(shù)據(jù)丟失。文獻[29]設(shè)計了基于SDN 的空天網(wǎng)絡(luò)切換機制，由控制器定期更新衛(wèi)星位置、信號強度、可用資源等狀態(tài)信息，用于預(yù)知可能到來的切換，當(dāng)信號強度低于預(yù)認(rèn)證閾值時，源節(jié)點將預(yù)認(rèn)證信息轉(zhuǎn)發(fā)給用戶，從而實現(xiàn)信任的傳遞，有效克服了由于安全需求而導(dǎo)致切換延遲大的缺點。

3.1.2 基于運動軌跡的安全切換參數(shù)確定方法

用戶脫離原衛(wèi)星節(jié)點的信號覆蓋是發(fā)生切換的主要原因，因此需要掌握衛(wèi)星和用戶節(jié)點的運動軌跡，以便預(yù)先進行切換準(zhǔn)備工作，從而提高系統(tǒng)在切換時的響應(yīng)速度，盡可能降低切換時延對用戶服務(wù)質(zhì)量帶來的影響。此外，對于空間節(jié)點的真實個體而言，其某一時刻在物理空間中所處的位置具有唯一性，不可以被其他節(jié)點所頂替，通過將節(jié)點位置等信息引入安全切換參數(shù)中，可以有效提高節(jié)點間身份認(rèn)證的安全性。

（1）對用戶移動軌跡的預(yù)測

對于飛行器等空中移動節(jié)點的航跡預(yù)測，目前通常采用卡爾曼濾波算法[30]。文獻[31]將該方法引入到空天網(wǎng)絡(luò)的切換研究中，通過建立用戶運動方程及計算卡爾曼增益，實現(xiàn)了對移動用戶未來時刻的位置和速度的預(yù)測，并通過實驗證實了卡爾曼濾波法得到的用戶預(yù)測位置能夠較好地接近實際位置。

（2）對衛(wèi)星移動軌跡的預(yù)測

SGP4[32]是一種常用的低軌道外推算法，其充分考慮了地球引力、大氣阻力等因素對于LEO 衛(wèi)星運動軌跡的影響，具有較高的預(yù)測精度。文獻[33]在空天網(wǎng)絡(luò)切換研究中，通過結(jié)合SGP4提出了一種面向LEO衛(wèi)星的星下點軌跡預(yù)測方法，并由預(yù)測的星下點軌跡定期更新星歷，用以預(yù)測將要發(fā)生的切換。

（3）對于切換發(fā)生相對位置的預(yù)測

在（1）、（2）兩類預(yù)測算法中，可分別求得用戶和衛(wèi)星的移動軌跡，再通過兩者未來運動軌跡時間空間上的重疊求得切換發(fā)生位置。然而，有學(xué)者提出了基于多普勒頻移技術(shù)的目標(biāo)切換位置和時刻的預(yù)測算法，該算法是以用戶和衛(wèi)星節(jié)點的相對位置為研究對象，因此預(yù)測結(jié)果可直接用于確定切換位置和時刻。Papapetrou等人在其研究中[34-35]針對LEO衛(wèi)星網(wǎng)絡(luò)地面節(jié)點切換問題，提出一種基于動態(tài)多普勒技術(shù)的LEO 切換選擇算法DDBHP，通過檢測多普勒頻移可以測得某一時刻節(jié)點衛(wèi)星的仰角，并且在不同時刻進行測量可進一步推得節(jié)點衛(wèi)星與飛行器之間的方位角?；谠撎攸c，有學(xué)者在研究中提出了基于多普勒的切換時間及位置預(yù)測方法[36-37]，簡要描述如下：

設(shè)R為地球半徑，H、h分別為衛(wèi)星和飛行器距地面高度，α為在T時刻通過檢測多普勒頻移得到的衛(wèi)星相對于飛行器的仰角。則衛(wèi)星和飛行器垂直于地面的夾角β可表示為：

以飛行器距離地心距離R+h為半徑，地心為球心做球面，衛(wèi)星的信號覆蓋在此球面上進行投影，得到以衛(wèi)星視角的俯視圖和側(cè)視圖如圖6所示。

圖6 不同角度的衛(wèi)星覆蓋視圖Fig.6 Satellite coverage view from different angles

設(shè)飛行器沿箭頭所指方向巡航飛行，并分別于tA和tB時刻先后經(jīng)過點A和B，其相應(yīng)的仰角分別為αA和αB,C為將來的切換發(fā)生點。則由式（1）可推算出飛行器位于A、B兩點時，分別對應(yīng)的地心夾角βA和βB。

同時，飛行器以巡航速度V運動，在從A到B過程中經(jīng)過的角度為：

在球面三角形中，由幾何關(guān)系可以得：

當(dāng)飛行器與衛(wèi)星的通信仰角最小時發(fā)生切換，設(shè)切換點為C，此時仰角為αC，則由式（1）可得此時的地心夾角βC，并且由幾何關(guān)系可得：

因此由式（3）、（4）可知∠BOC=π-∠OBC-∠OCB,設(shè)飛行器從B到C經(jīng)過的角度為φ′，則由式（2）可得：

從而可知切換時刻為：

但是，孟夢等人[38]指出了文獻[35-36]中求解切換位置的方案存在局限性，比如衛(wèi)星處于極點位置時會存在無法得到飛行器坐標(biāo)的情況，繼而在此基礎(chǔ)上提出了一種基于平面扇形角訂立的任意點切換定位算法。如圖7所示，假設(shè)已知A點坐標(biāo)為(LatA),LongA，l 為弧長，n為扇形圓心角，r為扇形半徑，并將飛行器速度分別沿緯線、經(jīng)線方向進行分解為VLat、VLong，切換發(fā)生時間t已由式（6）推得。

圖7 切換點位置算法示意圖Fig.7 Schematic diagram of handover point location algorithm

因此由幾何關(guān)系得到：

上式中求得的(LatC),LongC即為發(fā)生切換的邊界點坐標(biāo)。

上述常用預(yù)測方法的對比如表1所示。

表1 常用預(yù)測方法對比Table 1 Comparison of commonly used prediction methods

3.2 接入基站選擇技術(shù)研究

接入基站選擇是執(zhí)行安全切換前的必要流程，通過制定安全切換策略，為用戶設(shè)定合理的切換發(fā)起時間，并在目標(biāo)接入基站處執(zhí)行信道預(yù)留和排隊策略，以保證切換執(zhí)行過程的可靠性；另一方面，由于用戶所在切換區(qū)域的候選基站可能并不唯一，在此情景下，需要將接入基站的各項屬性狀態(tài)及用戶的偏好相結(jié)合，為用戶選擇最佳的切換目標(biāo)基站。因此，在用戶發(fā)起切換認(rèn)證前，需要執(zhí)行安全切換策略控制以及選擇最優(yōu)接入基站，從而確保用戶的切換服務(wù)質(zhì)量。

3.2.1 安全切換策略控制研究

安全切換策略控制，目的是在安全切換發(fā)生前，為在可切換范圍內(nèi)的接入基站中選擇最優(yōu)接入點提供依據(jù)，也為無縫安全切換預(yù)留最優(yōu)的服務(wù)質(zhì)量。安全切換策略包括接入基站運行軌跡、持續(xù)提供服務(wù)的時間、鏈路帶寬、待接入基站安全狀態(tài)以及其提供服務(wù)的類型等。安全切換策略的實施，則是在切換感知到切換發(fā)生之間的時隙執(zhí)行，這個時隙被稱為切換門限[39]，在這個門限期間，實現(xiàn)對接入基站的選擇、接入認(rèn)證狀態(tài)遷移、通信信道預(yù)留等。目前對切換策略的研究，關(guān)注點仍然在于空天節(jié)點較少情況下信道的預(yù)留方面，較少關(guān)注空天復(fù)雜網(wǎng)絡(luò)。

文獻[38]提出了基于SIM（satellite information manager）的空天網(wǎng)絡(luò)安全切換架構(gòu)，如圖8所示。該架構(gòu)建立了切換衛(wèi)星選擇策略，策略從待接入基站覆蓋范圍、信道資源、運行軌跡、安全等級、切換門限閾值、服務(wù)質(zhì)量等角度進行探討，為接入基站的選擇提供了依據(jù)。

圖8 基于SIM的空天網(wǎng)絡(luò)安全切換架構(gòu)Fig.8 SIM-based aerospace network security handover architecture

由于LEO 衛(wèi)星繞軌飛行具有周期性，Wu 等[40]提出了一種基于圖的低地球軌道衛(wèi)星通信網(wǎng)絡(luò)的衛(wèi)星切換框架，通過預(yù)先計算出以衛(wèi)星覆蓋周期為節(jié)點的有向圖，將用戶在衛(wèi)星間的切換視為一條有向邊，并將切換標(biāo)準(zhǔn)轉(zhuǎn)換為邊的權(quán)重，并可根據(jù)不同的標(biāo)準(zhǔn)設(shè)置權(quán)值從而影響用戶的實際切換，將衛(wèi)星切換過程轉(zhuǎn)化為在代表所有可能切換路徑的有向圖中尋找一條路徑。文獻[41]使用時間演進圖對覆蓋移動用戶的移動節(jié)點進行建模，并利用高斯-馬爾可夫模型估算出用戶的星下覆蓋時間，用以確定子圖的更新周期Δt。圖9中的k個子圖分別對應(yīng)k個關(guān)于該用戶的星下覆蓋間隙情況，該時間演進圖還允許根據(jù)切換準(zhǔn)則對有向圖的邊權(quán)重進行設(shè)置，從而通過最短路徑的求解來求解最優(yōu)路徑。

圖9 基于時間演進圖的切換預(yù)測模型Fig.9 Handover prediction model based on time evolution graph

3.2.2 接入基站的最優(yōu)選擇

接入基站的選擇，是在切換感知后，依托用戶業(yè)務(wù)需求、運動軌跡等信息選擇合適的接入基站。其選擇由多個因素來決定，比如接入基站容忍的最大業(yè)務(wù)負(fù)荷、空天節(jié)點距離長短、運動方向的契合度等。通常情況下，依據(jù)業(yè)務(wù)需求權(quán)重不一，主要包括最大容量準(zhǔn)則、最強信號準(zhǔn)則、最小距離準(zhǔn)則以及最大服務(wù)時間準(zhǔn)則等，如表2所示。

表2 通用參考準(zhǔn)則Table 2 General reference guidelines

然而，在安全切換時，移動用戶節(jié)點在下一時刻存在多星冗余覆蓋，即待切換基站存在多個候選對象，究竟選擇哪個接入基站能確保業(yè)務(wù)的高可靠性、高可用性、高安全性等，是空天網(wǎng)絡(luò)無縫安全切換的關(guān)鍵。從多個候選基站中選擇最優(yōu)的進行切換接入的過程，稱之為切換判決，即接入基站的最優(yōu)選擇。

對于多接入目標(biāo)節(jié)點的選擇，文獻[42]分析了仰角對鏈路電平余量及誤碼率等系統(tǒng)性能的影響，并發(fā)現(xiàn)以往的最長覆蓋時間策略會使得用戶大概率處于低仰角，從而造成信道惡化。由此提出了以仰角和覆蓋時間加權(quán)策略作為切換判決的方法，在保證較長覆蓋時間的同時有效避免了對信道質(zhì)量的影響。文獻[43]將切換目標(biāo)選取表述為隨機優(yōu)化問題，為了實現(xiàn)長期的全局優(yōu)化，采用以信號質(zhì)量和剩余服務(wù)時間相結(jié)合的準(zhǔn)則，并提出了基于Q 學(xué)習(xí)的決策方案來訓(xùn)練出一個相對穩(wěn)定的切換判決策略，在降低用戶切換頻次方面得到了較好的結(jié)果。

除此之外，有學(xué)者認(rèn)為在接入基站最優(yōu)選擇時，可融入多因素進行綜合衡量、決策，以滿足多種業(yè)務(wù)需求。分析提取空天網(wǎng)絡(luò)安全接入屬性，為屬性賦予權(quán)重，權(quán)重隨著空天網(wǎng)絡(luò)移動用戶的業(yè)務(wù)需求動態(tài)適變，以此從候選接入基站中獲得最優(yōu)解，即將安全切換判決看作參數(shù)能夠自適應(yīng)的多屬性決策問題。文獻[44]在權(quán)重值計算方面采用離差最大化的組合賦權(quán)法，將信號強度、持續(xù)時間和空閑信道數(shù)量引入其多屬性切換決策算法中，最優(yōu)解選擇過程使用了TOPSIS（technique for order preference by similarity to an ideal solution）法[45-46]，最終實現(xiàn)了減少切換頻率，提高通信質(zhì)量以及均衡信道利用率的效果。文獻[47]提出了一種將層次分析法（analytic hierarchy process，AHP）與TOPSIS 法相結(jié)合的接入點選擇算法。該算法首先確定了信號強度、覆蓋時間等效益屬性和傳輸時延等成本屬性，只有滿足效益屬性高于設(shè)定閾值并且成本屬性低于設(shè)定閾值的節(jié)點才會被保留，以達到對候選節(jié)點集的初步篩選，再通過AHP法確定各屬性的權(quán)重，最后利用TOPSIS 法對各個節(jié)點的綜合性能進行排序，從而選出最優(yōu)接入節(jié)點。

文獻[48]結(jié)合網(wǎng)絡(luò)為中心和用戶為中心兩個維度，從抗毀性、負(fù)載均衡、節(jié)點性能、網(wǎng)絡(luò)QoS及用戶偏好共五方面出發(fā)，選取仰角、接收信號強度、網(wǎng)絡(luò)帶寬、數(shù)據(jù)傳輸速率、安全等級、節(jié)點可信度、接入負(fù)載以及用戶偏好等判決指標(biāo)，建立了如圖10所示的切換判決指標(biāo)樹。由服務(wù)質(zhì)量權(quán)重向量和用戶偏好向量生成綜合指標(biāo)權(quán)重，并設(shè)計了損失函數(shù)、增益指標(biāo)和損失指標(biāo)的歸一化函數(shù)，通過演化博弈理論建立了切換判決策略的動態(tài)復(fù)制方程，從而實現(xiàn)了基于動態(tài)平衡策略的切換判決機制。

圖10 切換判決指標(biāo)樹Fig.10 Handover decision index tree

從以上研究中可以看出，對于切換節(jié)點選擇的算法設(shè)計中的多屬性決策問題的解決思路并不唯一，但都離不開計算開銷輕量化、對動態(tài)環(huán)境變化快速響應(yīng)、保證用戶切換性能等目標(biāo)。另外，Wang 等人[49]對于異構(gòu)無線網(wǎng)絡(luò)中節(jié)點選擇的模型建立問題調(diào)查了各種數(shù)學(xué)工具，包括模糊邏輯、博弈論、效用理論、成本函數(shù)、馬爾可夫鏈、組合優(yōu)化和多屬性決策。

用戶節(jié)點完成對于候選切換接入節(jié)點的選擇，得到切換接入預(yù)約的下一接入節(jié)點根據(jù)其策略完成服務(wù)預(yù)留工作，當(dāng)用戶節(jié)點到達預(yù)定切換位置時，執(zhí)行正式切換請求。

3.3 切換認(rèn)證技術(shù)研究

切換認(rèn)證，是在切換發(fā)生時接入基站對切換來的移動用戶進行身份的合法性驗證，以實現(xiàn)移動用戶身份的可信保持。在空天網(wǎng)絡(luò)中，由于頻繁的切換帶來的接入認(rèn)證的開銷較大，這就要求切換認(rèn)證盡量地輕量級，避免重復(fù)性的接入認(rèn)證，實現(xiàn)安全切換的快速性、無縫化以及安全性等。目前針對切換認(rèn)證的研究，主要集中在預(yù)先認(rèn)證、安全上下文傳遞以及會話密鑰生成等方面。

3.3.1 基于預(yù)先認(rèn)證的切換認(rèn)證機制

預(yù)先認(rèn)證機制中，移動用戶節(jié)點通過當(dāng)前基站衛(wèi)星，與待接入基站衛(wèi)星進行預(yù)先認(rèn)證，以減小切換后認(rèn)證時延。認(rèn)證過程通常依托密碼學(xué)機制實現(xiàn)，但由于空天鏈路間歇、通信時延大，基于公鑰基礎(chǔ)設(shè)施（public key infrastructure，PKI）的身份驗證方式由于證書管理機制復(fù)雜，需要在線證書支持，不適合空天網(wǎng)絡(luò)環(huán)境，而基于身份密碼學(xué)（identity-based cryptography，IBC）的空天網(wǎng)絡(luò)的認(rèn)證機制受到了研究者的青睞。因為主要思想是任何實體的公鑰都可以由一個任意的字符串（如用戶名稱、郵件地址等）來生成，而不需另行派發(fā)公鑰，與之對應(yīng)的私鑰則由可信機構(gòu)（private key generator，PKG）生成，屬于無證書公鑰密碼體制，從而有效解決了基于證書密碼體制因公鑰存儲和管理在空天網(wǎng)絡(luò)場景中不能很好適用的問題，并且所采用的雙線性映射方案的安全性能夠得到證明[50]。

彭長艷等[51]利用LEO 衛(wèi)星網(wǎng)絡(luò)和臨近空間網(wǎng)絡(luò)拓?fù)渚哂锌深A(yù)測性的特點，提出了一種基于預(yù)認(rèn)證機制的快速水平切換算法，通過IBC機制實現(xiàn)網(wǎng)絡(luò)中的所有用戶和衛(wèi)星公私鑰對的配發(fā)，在用戶預(yù)知切換目標(biāo)并進入其覆蓋范圍后便提前執(zhí)行認(rèn)證過程，由用戶的當(dāng)前接入衛(wèi)星協(xié)助轉(zhuǎn)發(fā)消息，實現(xiàn)用戶與目的衛(wèi)星的驗證消息簽密，以驗證消息的合法性來保證雙向認(rèn)證的達成，等到前后衛(wèi)星的信號強度達到預(yù)定的切換條件時再執(zhí)行鏈路切換。為了提高IBC機制在切換認(rèn)證中的適用性，文獻[52]提出了基于區(qū)塊鏈的安全輕量認(rèn)證模型，如圖11所示。PKG 在區(qū)塊鏈中被稱為注冊機構(gòu)RA，在用戶的注冊階段由中心RA結(jié)合用戶的多維屬性生成網(wǎng)絡(luò)中的唯一訪問標(biāo)識符AID并將其添加到區(qū)塊鏈中，并且分布式的RA可根據(jù)ECC算法為用戶計算生成部分私鑰，最終的私鑰由用戶根據(jù)身份相關(guān)的組合策略生成。從而實現(xiàn)了PKG功能在多個RA節(jié)點上的分布式布置，從網(wǎng)絡(luò)結(jié)構(gòu)和密鑰派發(fā)流程上有效地解決了空天網(wǎng)絡(luò)場景中傳統(tǒng)IBC機制中PKG帶來的密鑰托管問題。

圖11 基于區(qū)塊鏈的安全輕量認(rèn)證模型Fig.11 Safe and lightweight authentication model based on blockchain

基于預(yù)先認(rèn)證的切換認(rèn)證機制能夠從切換流程上進行優(yōu)化，利用切換執(zhí)行前的時間去完成用戶與節(jié)點間的相互認(rèn)證，但是此類方法需要用戶與目的衛(wèi)星重新執(zhí)行接入認(rèn)證流程，交互次數(shù)與計算量較大，增加了切換的代價。

3.3.2 基于安全上下文的切換認(rèn)證機制

安全上下的切換認(rèn)證，不同于預(yù)先認(rèn)證機制，該機制下要求當(dāng)前基站節(jié)點將移動用戶相關(guān)的安全狀態(tài)信息、認(rèn)證信息、業(yè)務(wù)會話信息、節(jié)點信息、通信狀態(tài)、切換密鑰等，通過當(dāng)前基站與待接入基站之間的安全隧道進行預(yù)先傳遞，縮減切換認(rèn)證協(xié)議的計算復(fù)雜度，從而減小移動用戶在切換時的認(rèn)證開銷，實現(xiàn)觸發(fā)式的切換認(rèn)證。

Qian等人[53]較早地在將基于安全上下文傳輸（security context transfer，SCT）的方案應(yīng)用到空天網(wǎng)絡(luò)切換認(rèn)證中，在其設(shè)計方案中，由一個空天基站負(fù)責(zé)在當(dāng)前衛(wèi)星和可能成為切換目標(biāo)的衛(wèi)星之間建立雙向的安全通道，負(fù)責(zé)上下文信息的安全轉(zhuǎn)發(fā)，從而實現(xiàn)用戶和目的衛(wèi)星的雙向認(rèn)證。文獻[38]將安全性歷史信息引入到安全上下文內(nèi)容中，安全性歷史信息由用戶初次接入認(rèn)證時的主密鑰、歷史切換認(rèn)證密鑰組、安全上下文壽命信息等構(gòu)成，通過完善安全上下文內(nèi)容，進一步提高了切換認(rèn)證的安全性。文獻[54]從可信保持的角度看待切換認(rèn)證，提出了一種基于信任度和安全上下文傳遞的安全切換協(xié)議，并在其方案中建立了如圖12 所示的動態(tài)信任演化機制。

圖12 動態(tài)信任演化機制Fig.12 Dynamic trust evolution mechanism

文獻[55]提出了一種基于共識的切換認(rèn)證方案，該方案的原理如圖13所示。首先根據(jù)軌道和業(yè)務(wù)流量對衛(wèi)星進行動態(tài)區(qū)域劃分，并使用分布式Hash表（distributed Hash table，DHT）的方式對區(qū)域內(nèi)用戶的認(rèn)證Token進行管理，實現(xiàn)區(qū)域內(nèi)衛(wèi)星對用戶認(rèn)證結(jié)果的共享和互信，對于不同區(qū)域間的認(rèn)證，則通過Hash鎖定的方式避免了對用戶Token和私鑰的依賴，并使用群簽名的方式實現(xiàn)了衛(wèi)星節(jié)點對于來自其他區(qū)域的授權(quán)條目的有效性查詢。相較于其他幾個關(guān)于安全上下文傳遞的方案，文獻[55]中基于共識的切換認(rèn)證方案可以看作將安全上下文的預(yù)先傳遞由單播變?yōu)榻M播。

圖13 基于共識機制的切換認(rèn)證方案Fig.13 Handover authentication scheme based on consensus mechanism

相比預(yù)先認(rèn)證機制，上下文傳遞的優(yōu)勢在于可以充分依托已有的資源完成可信的保持，從而避免重新執(zhí)行整個協(xié)議交換去建立繁瑣的認(rèn)證接入過程，而利用輕便、快捷的協(xié)議設(shè)計在低延時的條件下實現(xiàn)了高效的無縫化切換，實現(xiàn)了將“安全”狀態(tài)的切換，但是它的前提是衛(wèi)星節(jié)點之間需要具有信任關(guān)系。

將上述不同的安全認(rèn)證方案匯總對比如表3所示。

表3 安全認(rèn)證方案對比Table 3 Comparison of security authentication schemes

3.4 切換密鑰更新

切換認(rèn)證后，舊的會話被撤銷，新的會話被創(chuàng)建，為確保用戶會話的安全性，防止唯密文攻擊，需要重新協(xié)商會話密鑰，同時空天網(wǎng)絡(luò)中節(jié)點計算資源有限，鏈路間歇連通也對密鑰協(xié)商提出了交互次數(shù)少、運算效率高的需求。針對空天網(wǎng)絡(luò)切換認(rèn)證后會話密鑰的協(xié)商，諸多學(xué)者依據(jù)空天網(wǎng)絡(luò)切換流程給出了相關(guān)方案。

文獻[56]充分權(quán)衡空天節(jié)點的特點，提出了一種基于身份的分布式密鑰管理方案，系統(tǒng)中的PKG 會在初始化后向成員公開一些用于密鑰管理的重要參數(shù)，在會話密鑰更新過程中，會話雙方只需經(jīng)過一次交互，并結(jié)合各自掌握的相關(guān)參數(shù)進行異或運算得到相同的秘密值，即可實現(xiàn)新的會話密鑰協(xié)商。為了解決空天網(wǎng)絡(luò)密鑰更新過程計算與通信成本高的問題，文獻[57]提出了利用切換認(rèn)證消息進行密鑰更新的方案，用戶和衛(wèi)星分別選取秘密值a和b，而P為系統(tǒng)中公開的參數(shù)，雙方分別構(gòu)造出N=aP和M=bP，雙方只需在切換認(rèn)證的交互中捎帶完成對N和M進行交換，即可協(xié)商出密鑰K=abP，從而實現(xiàn)高效的切換認(rèn)證和密鑰更新。

文獻[58]提出了一種基于組密鑰的空天網(wǎng)絡(luò)密鑰管理方案，由衛(wèi)星或浮空器擔(dān)任組管理者，而其下轄的若干個用戶作為組員，當(dāng)有新成員加入時組管理者會對二叉邏輯密鑰樹進行更新維護，對該成員路徑上的密鑰更新，并通過簽密的方式將更新的密鑰發(fā)送給關(guān)聯(lián)的成員。文獻[59]同樣使用了基于組密鑰的方案，如圖14所示，方案中的組密鑰的派發(fā)對象為LEO衛(wèi)星群組，而非成員數(shù)量相對較多、變更相對頻繁的用戶群組；又設(shè)計了一個單向密鑰推導(dǎo)函數(shù)KDF，可由KDF對組密鑰GK運算得到臨時組密鑰TGK，通過TGK 實現(xiàn)原衛(wèi)星和目的衛(wèi)星間對用戶重要參數(shù)的對稱加密傳輸；在用戶完成切換認(rèn)證的同時，新的衛(wèi)星可利用KDF 對相關(guān)參數(shù)進行運算產(chǎn)生新的密鑰，從而有效實現(xiàn)了依托切換鏈路捎帶的切換密鑰更新。

圖14 基于共享組密鑰的切換認(rèn)證及密鑰更新Fig.14 Handover authentication and key update based on shared group key

4 研究挑戰(zhàn)與展望

4.1 關(guān)鍵技術(shù)分析

當(dāng)前針對空天網(wǎng)絡(luò)安全切換的研究，雖然已取得了一定的研究基礎(chǔ)，但是由于空天網(wǎng)絡(luò)的復(fù)雜性，使得現(xiàn)有的研究還存在著普適性、協(xié)同性以及安全性等問題。主要體現(xiàn)在以下關(guān)鍵技術(shù)需要進一步突破。

（1）面向復(fù)雜網(wǎng)絡(luò)的安全切換技術(shù)

空天網(wǎng)絡(luò)中的節(jié)點類型復(fù)雜多樣，不同節(jié)點在認(rèn)證方式、密鑰類型等安全資源配置方面存在差異；空天網(wǎng)絡(luò)節(jié)點運動模式多樣，可能存在波束切換、星間切換、垂直切換等不同場景；此外，由于網(wǎng)絡(luò)域的劃分，不同域之間存在著跨域訪問的障礙，難以在復(fù)雜網(wǎng)絡(luò)上構(gòu)建起一套信任體系[60]。上述問題為實現(xiàn)用戶跨復(fù)雜場景切換帶來了一定的障礙，因此需要對空天復(fù)雜網(wǎng)絡(luò)的可信、自由安全切換架構(gòu)進行研究，屏蔽異構(gòu)網(wǎng)絡(luò)的差異，確保為用戶提供持續(xù)的網(wǎng)絡(luò)服務(wù)即可信身份。

（2）接入衛(wèi)星最優(yōu)化選擇技術(shù)

在切換時多星冗余覆蓋場景下的接入衛(wèi)星選擇技術(shù)研究中，盡管現(xiàn)有的選擇算法大多考慮到了多種網(wǎng)絡(luò)參數(shù)對用戶服務(wù)質(zhì)量的影響，并在接入衛(wèi)星選擇算法中引入了較為均衡的多屬性判決算法，但是還有較大的改進空間。一方面，現(xiàn)有的切換觸發(fā)通常是在用戶位置到達覆蓋邊界時被動發(fā)起的，若能夠依據(jù)衛(wèi)星的軌道根數(shù)或星歷表等對接入網(wǎng)絡(luò)拓?fù)溥M行預(yù)測，在用戶到達觸發(fā)條件前預(yù)先實現(xiàn)切換目的衛(wèi)星候選集的獲取，能夠提前完成切換認(rèn)證及預(yù)留信道資源；另一方面，為了實現(xiàn)用戶對接入衛(wèi)星的認(rèn)證以及衛(wèi)星間鏈路重構(gòu)時的認(rèn)證，針對衛(wèi)星的安全性或信任度評估是必要的，將信任度參數(shù)引入最優(yōu)化選擇算法中，能夠為用戶與接入節(jié)點的互信提供安全可靠的支持。

（3）低開銷切換認(rèn)證技術(shù)

區(qū)別于現(xiàn)有的無線網(wǎng)絡(luò)切換認(rèn)證技術(shù)，空天網(wǎng)絡(luò)的特點對認(rèn)證方案提出了更為嚴(yán)苛的要求。重復(fù)認(rèn)證勢必導(dǎo)致切換時延大、計算復(fù)雜度高等問題，嚴(yán)重影響服務(wù)的連續(xù)性和可用性。如何在滿足安全切換雙向認(rèn)證需求的前提下，設(shè)計高效的無縫安全切換算法，降低切換時延和計算開銷，對保證服務(wù)連續(xù)性和切換雙方安全性意義重大[61]。盡管當(dāng)前學(xué)者提出的通過安全上下文傳遞的方式能夠降低切換認(rèn)證的開銷，但是在鏈路間歇的環(huán)境下，無法完全保證安全上下文的預(yù)先傳遞。通過降低認(rèn)證的開銷，實現(xiàn)基于鏈路切換捎帶的觸發(fā)認(rèn)證，是實現(xiàn)無縫自由切換的關(guān)鍵。

（4）安全切換中的隱私保護技術(shù)

節(jié)點與基站進行切換認(rèn)證時，需要發(fā)送自己的身份標(biāo)識、所在位置等信息。由于空天鏈路的開放性，攻擊者能夠獲取接入節(jié)點的身份標(biāo)識和坐標(biāo)并對其發(fā)現(xiàn)和跟蹤。因此，為了保護節(jié)點隱私以及運行安全，在空天網(wǎng)絡(luò)安全切換技術(shù)研究中，應(yīng)當(dāng)研究匿名切換認(rèn)證的實現(xiàn)方法，并且實現(xiàn)管理者對切換行為的監(jiān)管和追溯，以實現(xiàn)切換認(rèn)證的身份保護機制。

4.2 研究展望

通過對空天網(wǎng)絡(luò)中安全切換技術(shù)現(xiàn)有的研究進展進行回顧，并結(jié)合目前的實際需求，提出以下研究展望，希望空天網(wǎng)絡(luò)能夠在性能、安全性、適用性等方面帶來一定的提升。

（1）區(qū)塊鏈與安全切換

區(qū)塊鏈具有分布式、去中心化、匿名性、不可篡改性、可追溯性等特點，能夠通過分布式節(jié)點在共識機制下完成控制、授權(quán)、信任建立等工作。利用天地一體化信息網(wǎng)絡(luò)節(jié)點分布式特點，與區(qū)塊鏈技術(shù)相結(jié)合，將有效解決安全切換的可信保持問題，有助于構(gòu)建天地一體化信息網(wǎng)絡(luò)中節(jié)點的信任鏈。同時，可以實現(xiàn)對用戶接入、跨域切換、退網(wǎng)等行為的追溯，為整個網(wǎng)絡(luò)的安全管控提供可靠的技術(shù)支持。

（2）自由安全切換

隨著空天網(wǎng)絡(luò)衛(wèi)星節(jié)點部署規(guī)模和數(shù)量的增大，用戶切換前后的節(jié)點可能所屬不同類型軌道，來自不同網(wǎng)絡(luò)域，或者擁有不同的網(wǎng)絡(luò)接口，對節(jié)點間的安全協(xié)商帶來了空間屏障、安全屏障、技術(shù)屏障。因此需要依托智能、健全的切換支持，為用戶提供安全可靠的移動場景下的可信保持策略，實現(xiàn)有接入節(jié)點信號覆蓋即可與之建立連接的自由安全切換，充分發(fā)揮網(wǎng)絡(luò)中豐富的節(jié)點資源優(yōu)勢。

（3）聚合安全切換

現(xiàn)有的安全切換相關(guān)研究大多是針對單個用戶，但在實際場景中，由于衛(wèi)星的移動速度遠(yuǎn)大于用戶，且每個衛(wèi)星通常會為許多用戶提供覆蓋，衛(wèi)星的移動可能會迫使其下覆蓋的多個用戶在同一較短時隙內(nèi)產(chǎn)生安全切換的需求。較多用戶在同一時段內(nèi)發(fā)起安全切換請求，將給系統(tǒng)性能和服務(wù)質(zhì)量帶來挑戰(zhàn)，為了提高多用戶并發(fā)切換效率，需要聚合安全切換技術(shù)的支持。通過對用戶群實施安全高效的聚合分組、批量認(rèn)證等策略，解決短時內(nèi)大量切換請求對節(jié)點造成的負(fù)擔(dān)，為群組內(nèi)每一用戶提供鑒權(quán)服務(wù)并拒絕非法用戶的切換請求，實現(xiàn)批量用戶的無縫安全切換。

（4）切換數(shù)據(jù)的隔離

為提供良好的區(qū)分型業(yè)務(wù)，在天基骨干節(jié)點、天基接入節(jié)點等硬件及系統(tǒng)虛擬化的基礎(chǔ)上，通過邊界識別與隔離控制技術(shù)，實現(xiàn)業(yè)務(wù)容器化，動態(tài)構(gòu)建接入用戶虛擬隔離域，從而確保用戶切換過程中業(yè)務(wù)數(shù)據(jù)的隔離。為確保切換用戶的有效監(jiān)管，擬研究空天接入節(jié)點溯源機制，勾勒接入用戶數(shù)據(jù)與行為世系，便于接入用戶的審計與追責(zé)。通過研究，旨在打破地面移動網(wǎng)切換方法在空天網(wǎng)絡(luò)應(yīng)用中存在的基站靜態(tài)、家鄉(xiāng)網(wǎng)絡(luò)遠(yuǎn)距離認(rèn)證帶來的局限性，構(gòu)建空天網(wǎng)絡(luò)安全切換信任體系，突破接入節(jié)點在立體網(wǎng)絡(luò)空間中信任的自由傳遞，使得無縫安全切換更加高效、更加可靠，從而確保安全接入可保持性與可監(jiān)管性，將具有非常重要的現(xiàn)實性意義。

5 結(jié)束語

天地一體化信息網(wǎng)絡(luò)是未來建設(shè)和發(fā)展的重要項目之一，它將填補現(xiàn)有網(wǎng)絡(luò)體系在覆蓋和協(xié)作等方面的短板。安全切換作為其中的一項重要技術(shù)，旨在為用戶提供安全且無縫的網(wǎng)絡(luò)服務(wù)。切換技術(shù)的不斷完善，天地一體化信息網(wǎng)絡(luò)能夠在擁有全天候覆蓋的業(yè)務(wù)保障能力同時，兼具傳統(tǒng)網(wǎng)絡(luò)的優(yōu)異效能，從而適應(yīng)更加豐富多樣的使用需求，使在其上開展的諸多業(yè)務(wù)都能夠得到可靠的網(wǎng)絡(luò)業(yè)務(wù)保障。本文系統(tǒng)地梳理了天地一體化信息網(wǎng)絡(luò)中切換的基本概念和流程，并對其控制策略及安全防護領(lǐng)域研究進行了綜述，希望對天地一體化網(wǎng)絡(luò)的安全防護建設(shè)提供參考。