低轨卫星网络星间路由安全机制研究.pdf

2023 年 6 月 Space-Integrated-Ground Information Networks June 2023 第 4 卷第 2 期 天 地 一 体 化 信 息 网 络 Vol.4 No.2低轨卫星网络星间路由安全机制研究 薛文浩1，潘恬1，卢诚承1，杨帆1，黄韬1,2，刘韵洁1,2（1.北京邮电大学网络与交换技术国家重点实验室，北京 100876；2.网络通信与安全紫金山实验室，江苏 南京 211111)摘 要：为了保障路由的安全性和抗毁性，设计面向星间路由的安全机制和故障恢复机制成为维护低轨卫星网络可靠通信的关键。为了应对卫星网络可能面临的安全威胁，分析不同路由攻击行为对典型星间路由协议的影响，并设计差异化的协议包安全认证机制和链路故障恢复机制。此外，搭建基于虚拟化技术的卫星网络仿真平台，通过仿真多种路由攻击场景，验证所设计星间路由安全机制的有效性，并评估引入安全机制前后的 CPU 占用率、协议包处理时间等性能指标。实验结果表明，在有限的认证时间和路由开销下，该星间路由安全机制能够有效防范空间网络环境中的多种安全威胁，并减少由突发链路故障引起的通信时延，从而保障低轨卫星网络的安全可靠通信。关键词：低轨卫星网络；路由协议；路由安全攻击；链路故障恢复；安全攻击仿真 中图分类号：TP393 文献标识码：A doi:10.11959/j.issn.20968930.2023015 Research on LEO Satellite Network Routing Security XUE Wenhao1,PAN Tian1,LU Chengcheng1,YANG Fan1,HUANG Tao1,2,LIU Yunjie1,2 1.State Key Laboratory of Networking and Switching Technology,BUPT,Beijing 100876,China 2.Purple Mountain Laboratories,Nanjing 211111,China Abstract:The design of secure mechanisms and failure recovery mechanisms for inter-satellite routing has become pivotal in maintain-ing dependable communication within the LEO satellite network.To address the potential security threats faced by satellite networks,the impact of different routing attack behaviors on a typical inter-satellite routing protocol was analyzed and differentiated packet secu-rity authentication mechanisms and link failure recovery mechanisms were designed.Additionally,a satellite network emulation plat-form based on virtualization technology was constructed,enabled the verification of the effectiveness of the designed inter-satellite routing security mechanisms through the emulation of various routing attack scenarios.Furthermore,performance metrics such as CPU utilization and packet processing time were also evaluated before and after the introduction of security mechanisms.Experimental re-sults demonstrated that the proposed inter-satellite routing security mechanism effectively mitigated multiple security threats in the space network environment while reduced communication latency caused by sudden link failures,thereby ensured secure and reliable communication within the LEO satellite network.Keywords:LEO satellite network,routing protocol,routing security attack,link failure recovery,security attack simulation 0 引言 近年来，随着 SpaceX 等公司采用大规模低轨卫星星座构建卫星互联网1-2，低轨卫星网络正加速成为建设空间信息网络的重要组成部分。其中，星间路由作为卫星网络通信的核心底层技术，决定着星间组网及星上数据传输的高效性和可靠性。由于低轨卫星网络存在通信场景开放、网络拓扑时变等特点，路由协议在星间链路切换时会产生较多的路由协议包3-4，在复杂的空间网络环境下极易受到恶意卫星的干扰攻击，这将影响星间路由的稳定性，甚至收稿日期：20221230；修回日期：20230510 通信作者：潘恬， 基金项目：国家重点研发计划资助项目（No.2018YFB1800602,No.2019YFB1802600）Foundation Items:National Key Research and Development Program of China（No.2018YFB1800602,No.2019YFB1802600）14 天地一体化信息网络 第 4 卷 威胁卫星网络安全。因此，调研并仿真低轨卫星网络中的多种路由攻击场景，分析不同攻击行为对星上通信造成的影响，并针对攻击行为设计安全防护机制具有重要意义。针对卫星网络的路由攻击主要包括伪造节点身份后实施的干扰、篡改、重放行为以及针对报文数据的窃听攻击，将引发路由中断、路由黑洞、路由信息泄露等一系列问题。参考文献5引入基于信誉度的安全识别机制，将实时路由行为作为量化卫星信誉度的指标，并把信誉度较低的卫星隔离，避免该卫星对星间路由造成影响。参考文献6将转发数据量作为卫星信誉度的量化指标，将数据量转发过低的卫星排除在正常转发路径之外。参考文献7将基于信誉度的安全认证机制引入多层卫星网络，防范信誉度过低卫星节点的潜在威胁。然而，上述工作需要经历多次路由攻击后才能量化卫星信誉度，无法主动预防各种路由攻击行为。同时，将转发数据量作为卫星信誉度的量化标准，忽略了低轨卫星网络拓扑频繁变化对卫星信誉度造成的影响。参考文献8提出一种采用证书的层次式路由认证协议，在路由初始化时卫星节点首先获得合法的证书，在路由建立过程中每个节点对证书进行核验。其不足之处在于该类协议无差别地对所有协议包采用相同的认证机制，从而增加了分布式路由处理的开销。考虑到不同攻击场景下路由安全需求并不一致，需要针对不同安全威胁设计差异化的路由安全认证机制。卫星网络发生软硬件故障或遭受路由攻击时可能导致通信业务中断，因此快速再寻路机制对于减少业务中断时间、确保星上业务的连续性非常重要。根据故障发生位置，卫星网络故障可分为卫星节点故障和星间链路故障两种。卫星节点故障意味着故障卫星与邻居卫星之间所有链路的中断，因此可以将卫星网络故障研究简化为对星间链路故障的研究。目前，星间链路故障的研究主要集中在故障链路预测机制9-10和利用替代路径转发原故障链路流量3-4,11两个方向。传统的星间链路故障再寻路方案借鉴了地面网络的动态路由协议，故障链路信息需要进行洪泛广播3-4。由于未限制洪泛区域，故障信息需要洪泛至全网，造成星上带宽资源的过度占用并进一步增加路由收敛时间，且面对巨型星座时方案不具备可扩展性。因此，如何有效降低故障发生时的路由洪泛开销，同时压缩故障恢复时间以确保业务连续性值得深入研究。针对低轨卫星网络中存在的多种安全威胁，本文基于经典的动静结合低轨卫星路由协议 OPSPF3，提出一种星间路由安全机制，根据路由更新时产生协议包的种类、用途以及面临的安全攻击行为，为不同报文设计差异化的认证防护方法。同时，针对卫星网络的突发故障，设计基于故障信息局部洪泛的快速再寻路机制，通过为协议包选取局部最优洪泛路径减少路由收敛时间，以减少故障链路对星上通信业务的影响，提高星间路由的自愈能力。此外，本文还搭建了网络协议仿真平台对上述协议设计的有效性进行验证。1 背景及相关工作 1.1 星间路由协议 相较于中高轨卫星网络，低轨卫星网络具有通信时延低、信号覆盖面广、路径冗余度高等优点。另外，低轨卫星网络中卫星分布密集，星座拓扑结构复杂，星间链路切换频繁，实现全网路由收敛需要更多且更复杂的协议包交互，这对有限的星上计算/存储资源、星间链路带宽资源提出了挑战，也为星间路由安全带来了潜在威胁。当前学术界提出了多种适用于低轨卫星网络的路由协议。（1）基于卫星位置推算的数据包路由算法12实现了一种静态分布式路由协议。卫星节点在收到数据包后根据当前时刻节点位置对星间网络拓扑状态进行建模，根据推算的卫星位置关系计算数据包下一跳的最优转发路径。其不足之处在于面对突发故障引起的拓扑变更时，卫星节点无法及时感知链路状态。（2）星座快照路由协议13根据低轨卫星网络拓扑规律变化的特点，将星座拓扑变化切分为有限的拓扑状态集合，当时间片足够小时卫星网络拓扑固定不变，从而将卫星拓扑变化建模为有限状态机。在每个时间片内卫星节点根据当前网络拓扑状态，利用最短路径算法更新该状态下的路由表项。该星间路由协议同样不能根据链路状态突发变化动态更新路由，不具备网络抗毁性。（3）链路定向探测星间路由协议14利用星座拓扑变化的规律性，对即将发生通断变化的链路发送报文进行定向探测，并在链路变化后进行链路状态同步及路由表项更新，从而消除快照序列的存储开销，同时降低全网链路探测引起的通信开销。但该协议同样无法快速感知网络突发故障引发的链路状态更新，网络抗毁性能有待提高。（4）基于软件定义网络的星间路由协议15将软件定义网络架构16引入卫星网络，将地面站作为控制器向卫星节点下发流表，保证对路由的集中式控制，从而使卫星网络具备可编程性。然而，考虑到星地拓扑的高动态性，基于频繁切换的星地链路构建稳定的控制通路面临较大的挑战。此外，软件定义的集中式控制通常存在控制器单点故障的可靠性问题。第 2 期 薛文浩等：低轨卫星网络星间路由安全机制研究 15 （5）基于动静结合的星间路由协议3根据星间网络拓扑规律变化、星间链路不稳定的特点，将快照路由协议与链路动态探测相结合：对于规律性星座拓扑变化，采用静态快照路由协议更新路由，减少星上资源损耗及链路探测带来的通信开销；对于可能出现的链路突发故障，采用链路动态探测机制实时感知链路状态变化，并按需进行链路状态变化全网洪泛，从而增强网络抗毁性能。1.2 卫星网络安全攻击行为 网络安全性是确保通信服务安全稳定以及用户隐私数据不被泄露的关键。卫星网络面临各种攻击，这些攻击主要通过影响通信数据的完整性、机密性和通信系统的可用性来威胁网络安全。常见的攻击方式包括以下几种17-18。（1）窃听攻击：在通信网络中，如果数据未经过加密或者加密强度过低，攻击者可以通过监听通信网络中的数据并破解密钥，从而影响信息传