空天网络安全切换技术研究综述

韩孟达，曹利峰，雷依翰，杜学绘

1.信息工程大学，郑州 450001

2.河南省信息安全重点实验室，郑州 450001

天地一体化信息网络（space-ground integration network，SGIN）是涵盖了陆、海、空、天以及网络空间的新型未来网络体系，旨在推进天基信息网、未来互联网、移动通信网的全面融合，形成覆盖全球的天地一体化信息网络，能够打破各网络独立运行的现状[1]。科技部已将其纳入到“科技创新2030重大项目”中。我国在此方面开展了“鸿雁星座”“行云工程”和“虹云工程”等建设工作，欧美等国家也在针对以中低轨道为主的天基网络加速布局，主要有SpaceX的Starlink计划、英国的OneWeb计划、欧盟的Sat5G计划等。建设天地一体化信息网络是未来网络基础设施发展的趋势所向，对国家战略支撑具有重大意义[2]。

天地一体化信息网络主要由天基骨干网[3]、天基接入网[4]、地基节点网[5]组成，其覆盖能力可突破海拔、地形等地理条件限制，可满足来自陆、海、空、天等全方位用户的接入需求，实现全球组网。在业务保障能力方面，可面向用户提供话务、数据、多媒体等多种类型的服务，并可提供安全可信的网络环境。在兼容性方面，能够与已有的网络设施进行整合，还可与5G、6G 等新型网络技术实现对接[6-7]。

对于天地一体化信息网络体系结构的设计，已有多位院士专家给出了完善的规划[8-10]。网络的主要结构及空间分布如图1所示，所涵盖的主要组成部分及其功能描述如下。

图1 天地一体化信息网络体系结构Fig.1 Architecture of space-ground integrated information network

天基骨干网：主要由地球同步轨道卫星组成，卫星之间依托激光链路进行通信。同步卫星的信号覆盖范围广，但与相对距离较远的用户直接通信时信道质量不佳，时延较长，通常在网络体系中承担信息交换枢纽及空天节点管理的任务。

天基接入网：主要由低轨卫星以及临近空间中的浮空器等组成，通过数量众多的节点为陆、海、空等多方位的用户提供遍布全球的随遇接入和无缝化切换的网络服务，拥有比地基节点网更广泛的覆盖能力。

地基节点网：主要由布设在地表的各类骨干节点组成，其中既包括能够与卫星通信的地面站，又涵盖了移动通信网、地面互联网等现有网络，可为移动用户提供方便、稳定的网络服务，是实现天地一体化信息网络资源共享的重要一环。相对于空中的节点，地基节点便于布设和维护，可承担信息的管理、存储、处理等业务。

目前天地一体化信息网络发展的总体趋势是天基网络在未来网络体系中的地位愈加凸显，而天基网络和地面网络体系融合创新也在持续加速。但是，天地一体化信息网络中空天网络部分由于其特殊性，为信息安全技术在空天网络中的应用带来了诸多挑战，主要体现在：

（1）空天网络高度暴露[11]。空天网络是天地一体化信息网络的重要组成部分，时空跨度大，完全暴露于空间之中，存在着赤道轨道、极轨道、倾斜轨道等，各国空天节点纵横交错，相互毗邻运转，使得空天节点受到的攻击更加容易、更加多样化，如何在层次化、立体化的网络空间中构建节点之间的信任关系，是防止节点假冒攻击、窃取信息的关键。

（2）空天网络节点高速运动[12]。卫星、高速飞行器等节点运行速度快，网络拓扑动态变化，接入基站难以提供持续性的服务，接入终端切换频繁，如何无需重复认证即可进行安全、自由的切换，以实现节点间的可信保持，是确保空天网络安全性的前提。

（3）计算资源受限[13]。空中节点随着运行高度的不同，受到天气、电磁波、温度等空间环境的影响，使得卫星等节点的计算、存储、通信等受到限制，对功耗控制要求高，节点的后期维护较为困难，这就要求空天网络中应用的密码算法、安全协议、安全接入方案等具有轻量级，以满足空天网络的计算资源受限的需求。

（4）链路间歇连通[14]。空天网络时空跨度大，链路采用微波、激光等媒介，由于空间受到自然条件、传输距离远、节点高速运动等影响，使得数据的传输存在着时延大、误码率高的问题，而且链路存在着间歇性连通，因此空天网络是一个典型延迟容忍网络。如何在链路间歇连通的情况下实现数据的延迟容忍传输，是确保安全接入、安全切换、安全传输的关键。

接入认证是空天网络信息安全的第一道防线，但是由于空天网络节点的高速运动，使得接入节点频繁发生切换，从而引起重复性的安全接入认证，导致安全服务的不连续性，甚至中断。因此，研究空天网络环境下节点的安全切换，确保可信保持，是实现空天网络持续性安全保障的关键[15]。针对空天网络安全切换研究，目前国内外也进行了初步的探索研究，其也是天地一体化网络建设的主要内容，但是目前的研究大多针对单一的切换场景，难以适应未来复杂时空环境下多场景、跨轨道平面、自由的安全切换需求，亟需针对复杂的空天网络，开展更为深入的研究。本文重点对当前的空天网络安全切换技术进行梳理、归类与总结，阐述空天网络安全切换的研究进展，指出空天网络安全切换所需的关键技术，对空天网络安全切换的研究热点以及未来发展趋势进行展望，为天地一体化网络建设中无缝安全切换的深入研究提供参考。

1 空天网络无缝安全切换概念

1.1 切换的基本概念

空天网络节点之间存在着相对高速运动，接入基站的覆盖范围有限且动态移动，从而导致已接入的用户可能离开当前接入点的连接覆盖范围而进入相邻节点的覆盖范围，为了维持通信的持续性，需要断开原有的连接，建立新的连接，这种行为在通信中称为切换。比如，LEO、MEO卫星对地高速运动，接入节点频繁更换接入卫星；飞行器高速运动，导致频繁切换接入基站。从切换发生的层次角度，可将空天网络切换分为数据链路层和网络层切换[16]。链路层切换又可分为点波束切换、卫星间切换；网络层切换则在切换过程中导致IP地址的变化，从而引起网络层次切换。

切换的发生，除了因为节点的高速运动外，在原有信道、网络条件恶化时以及有新的业务需求时，均可通过主动执行切换操作来改善通信网络的质量，或者获取新的服务。在切换过程中，为确保移动用户的业务不受切换的干扰或中断，应尽量减少切换过程的时延，使用户察觉不到切换操作的影响，这种理想效果的切换操作称为无缝切换（seamless handover）。

1.2 切换安全与安全切换

空天网络高度暴露、边界模糊，使得空天网络更容易遭受攻击。相应地，在空天网络切换过程中，也存在着身份假冒、信息篡改以及窃听等安全威胁，因此，在空天网络切换过程中，需要提供安全服务，比如认证、加密、完整性等服务确保切换过程的安全性。上述针对空天网络切换过程所采取的安全防护措施，目的是降低空天网络场景下节点的安全风险，从而保障切换安全。

接入认证是空天网络安全的第一道防线，也是构建空天网络信任体系的主要手段、方法。当空天网络由于节点的高速运动带来频繁切换时，也必然引起接入的频繁认证。由于空天网络间歇连通，计算资源受限，使得重复性的接入认证易造成通信性能的降低，也使得通信业务的连续性受到影响。因此，如何在空天节点高速运动环境下，无需重复接入认证，实现链路间歇连通情况下身份可信保持，确保服务的连续性，是空天网络安全亟待解决的核心问题。避免重复认证，就需要将节点的接入认证状态信息、历史信息、节点状态信息、通信状态信息、切换密钥等随着空天网络节点切换过程安全地转移到下一个待接入的基站，依据安全状态的验证实现节点的切换认证，从而避免重复性的认证。这样的将安全状态切换至下一个待接入基站的过程，称之为安全切换。

钱雁斌等人[17]较早地提出了空天网络中安全切换的概念，将安全切换归类为切换机制的一种，并定义安全切换是在实现物理链路切换的同时保证用户身份、权限和已经建立的安全通道等能够在切换节点间传递，从而在切换过程中实现用户安全状态的保持。因此，安全切换是一种兼顾切换过程安全性和性能的切换机制，诸多学者在研究空天网络的安全保障技术中，也都将其表述为安全切换[15，18]。

综上所述，本文所研究的空天网络“安全切换”，是指用户在接入节点信任关系的切换，即接入认证状态的切换，以避免重复性的接入认证，结合空天网络切换过程的安全，确保空天网络节点信任的无缝传递，从而实现空天网络中用户的快速无缝安全切换。

2 无缝安全切换流程

2.1 空天网络切换场景

空天网络节点种类复杂、网络层级多的特点致使其切换发生的场景和执行过程会存在差异，如图2 所示。空天网络安全切换做到无缝化，应能够适应空天网络的应用场景，并对空天网络切换流程进行一体化设计，以做到平滑安全切换，因此，空天网络切换场景对安全切换的实施是非常重要的。

图2 空天网络接入与切换示意图Fig.2 Schematic diagram of aerospace network access and handover

空天网络是一个复杂、立体空间的网络，在接入网方面，存在着横向轨道卫星平面、纵向轨道卫星平面以及侧向轨道卫星平面，轨道纵横交错，存在着同一轨道平面的切换与跨轨道平面的切换、网络内切换与异构网络域切换、单一场景切换与多场景切换等，切换较为复杂。但从技术层面来说，按照切换前后网络技术异同，切换可分为水平切换、垂直切换；按照链路切换前后实体异同，可分为点波束间切换、卫星间切换；按照接入信任域异同，还可以分为域内切换、域间切换；参与组网的卫星之间形成的链路，也会因卫星间的相对运动建立和断开，称为星间链路切换。

（1）水平切换和垂直切换

水平切换是指在同一网络技术体系下完成的接入基站间的切换。通常情况下是由于接入节点与接入基站的相对高速运动，使得接入基站在其覆盖范围内无法继续为接入节点提供服务，从而发生切换；亦或接入基站由于信道质量下降，处于拥塞状态，导致服务无法继续而发生切换。而垂直切换则通常是由于业务需求发生了变化，或者由于网络服务提供者发生变化，致使接入网络发生变化，从而引起切换。水平切换与垂直切换可依据切换前后的网络类型是否相同进行区分，水平切换前后接入网络技术相同，切换通常为链路层实现，而垂直切换由于前后接入网络存在着异构性，不仅要进行链路切换，而且还需进行网络层切换[19]。在图3中的A、B、C三点处，用户在同种规格的卫星之间发生切换，由于不涉及到接入技术的差异，属于水平切换；而在D点，用户从卫星无线网络切换至浮空器临近空间网络，属于垂直切换。相比之下，垂直切换所涉及的协议设计要比水平切换复杂，需要考虑到不同网络间的技术差异。相应地，切换安全方面需要考虑不同网络技术体制下信任的协商问题[20]。

图3 空天网络切换分类Fig.3 Classification of aerospace network handover

（2）点波束间切换与卫星间切换

在点波束间切换中，每个卫星上通常配备多波束天线，卫星的通信覆盖区域被划分为类似蜂窝网络的多个区域，以实现频率复用。当终端用户跨越卫星点波束间边界时，即发生了星内的点波束切换[21]。在图3中A点处，移动用户在同一卫星下的不同波束间切换，由于切换前后的会话双方没有发生变化，切换过程通常只需核验身份的真实性。由于点波束的覆盖区域相对较小，点波束切换发生较为频繁，通常为每1～2 min 一次。在点波束切换过程中，用户的移动相较卫星的高速运动可以忽略，研究时可将其看作相对于小区直线运动[22]。由于点波束切换发生在同一卫星实体，安全切换发生在卫星系统内部，实施较为容易，本文不讨论点波束切换下的安全切换。

卫星间切换[23]是指当用户从一颗卫星的信号覆盖范围运动到另一颗卫星的覆盖范围下时，为了保持业务的连续性，用户节点需要在卫星之间切换。如图3的B、C、D三点处，由于覆盖范围相对变化，使得用户在卫星之间发生切换，由于切换前后接入卫星不同，用户在卫星间链路切换的同时，安全切换需实现用户接入认证状态的迁移，以及确保切换过程的安全性，这也是确保无缝切换、保持业务连续性的关键。

（3）域内切换与域间切换

域内切换指的是在同一信任域内的切换，域内的空天网络节点属于同一信任域，用户的切换在域内节点上进行。而域间切换则是用户在不同信息域之间发了切换，即用户前后接入的节点分属于不同的信任域。为了保持业务连续性，用户需要阔别家乡网络，切换到另一域内，此时就要发生跨域的安全切换[24]。如图3中的A、B、D三点属于域内切换，而C点处发生了域间切换。在空天网络中，实现跨域的安全切换，可能存在于跨地理位置或者跨层的切换，这些接入网络之间属于不同的信任域，因此在进行安全切换时，需要进行跨域的信任协商[25]，从而实现用户的自由切换。

（4）星间链路切换

星上搭载的数个激光设备会使卫星与范围内的若干个卫星建立链路，由于卫星轨道的错落分布，所属于不同轨道的卫星之间的链路通常会间歇性连通。

如图4 所示，空天网络某区域存在交汇的三条轨道，从ta时刻到tb时刻，卫星B与C的星间链路断开，而A与D建立起一条新的链路。星间链路的建立和断开是频繁的，而建立链路的卫星之间也需要进行相互认证以保证切换的安全性[26]，因此星间链路也存在安全切换的问题。

图4 星间链路切换Fig.4 Intersatellite link handover

2.2 空天网络切换流程

通过对空天网络切换的研究与分析，符合切换流程，相应地，空天网络安全切换主要包括切换感知、接入基站选择、切换认证以及切换密钥更新等四个阶段。阶段间的关系及实施流程如图5所示。

图5 安全切换的实施流程Fig.5 Implementation process of security handover

第一阶段：切换感知。主要是感知切换的发生，包括接入基站信号强弱感知、切换位置与时间的预测等。网络中切换发生的根本原因，是由于用户与接入基站之间的相对高速运动，造成接入基站对用户覆盖区域的减小或信道环境恶化，从而引起切换以保持业务的连续性。倘若仅将当前接入节点的覆盖信号强度作为切换的判定依据，在原信号强度和新切换信号强度趋近时易造成乒乓效应。因此，飞行器的切换时间和位置等关键信息的预测和掌握，对安全切换的控制至关重要。通过预知飞行器将要发生切换的时间及位置，提供接入服务的卫星节点一端也可以提前制定合理的信道预留方案，以保证切换过程的服务质量，同时提高切换的准确性、合理性。

第二阶段：接入基站选择。当预测发生切换后，通常情况下，在切换位置会同时存在多个提供信号覆盖的可接入节点，如何从多个接入基站中选择出最优的，确保业务连续性的质量，是安全切换的亟待解决的关键问题，特别是在轨道纵横交错、跨轨道跨平面切换时，基站的选择涉及用户移动的位置、轨迹，接入点的运动轨迹，服务质量等。因此，研究基站预测、安全切换策略、最优化选择等，将会为空天网络中用户的自由切换奠定技术基础。

第三阶段：切换认证。本阶段解决的问题是当用户发生切换时，如何避免重复性接入认证，快速地进行信任的鉴别。在该阶段包括信任状态传递以及安全切换触发。其中信任状态传递，完成接入用户安全状态的迁移，使得安全切换做到快速、无缝化，以实现平滑切换；安全切换触发，即在发生切换时，通过轻量级的安全切换协议触发用户切换认证的完成。

第四阶段：切换密钥更新。在基于安全上下文等切换认证机制中，为提高切换效率，用户与新的接入基站间的会话密钥通常由旧的接入基站代理产生。由于用户需要在新的基站下驻留一段时间，长期使用代理产生的会话密钥会存在一定风险，因此用户需要更新会话密钥，以保证后续服务的安全性。

3 空天网络安全切换技术研究

依托于空天网络安全切换流程，本文从切换感知技术、基站选择技术、切换认证技术，对空天网络安全切换技术的研究进行了归纳与分析。

3.1 安全切换感知技术研究

切换感知阶段主要是对用户自身所处的信号质量进行评估，确定当前拥有的网络资源是否能够满足业务通信的需求，判别是否需要切换、预测切换的时间与地点，并探知切换基站的相关信息，为接入基站的最优选择提供参数的评估。可见，安全切换感知技术的研究主要包括接入节点信号覆盖下服务持续性评估以及安全切换参数的测量。由于接入基站、接入用户的相对运动，其状态信息是时刻变化的，安全切换的感知也需动态更新，对于参数采样的时间间隔应设置在一个合适的范围，既要保证参数信息的精度，又要避免频繁的参数更新为系统带来的负担。

3.1.1 基于服务持续性评估的切换分析方法

在空天网络中，预测安全切换发生需求，通常依赖于接入卫星基站（浮空器）提供的服务质量来进行衡量，即接入基站的服务覆盖范围性能评估。服务质量（quality of service，QoS）是用来衡量网络状况是否良好的重要指标，为保证网络质量并为可能发生的切换做准备，用户节点会周期性地对各种影响服务质量的关键因素进行感知和评估，如信号强度、往返时延、分组丢失率、网络负载、服务时间、业务需求等。其中信号强度是影响QoS的直接因素，有时信号强度会因为一些干扰造成短暂的衰减，并非用户节点将要离开当前接入点，因此有必要对该项参数的动态获取，避免不必要的切换。

文献[27]通过建立空天网络的信道模型，对信号强度等信道特征变化进行监控，提出了能够自适应信道条件变化的高效率切换算法。文献[28]提出了一种基于当前网络剩余可持续时间的切换管理方案HM-LRT（handover management scheme based on link remaining time），提前为下一次切换的路由表变更做准备，减少切换过程的数据丢失。文献[29]设计了基于SDN 的空天网络切换机制，由控制器定期更新卫星位置、信号强度、可用资源等状态信息，用于预知可能到来的切换，当信号强度低于预认证阈值时，源节点将预认证信息转发给用户，从而实现信任的传递，有效克服了由于安全需求而导致切换延迟大的缺点。

3.1.2 基于运动轨迹的安全切换参数确定方法

用户脱离原卫星节点的信号覆盖是发生切换的主要原因，因此需要掌握卫星和用户节点的运动轨迹，以便预先进行切换准备工作，从而提高系统在切换时的响应速度，尽可能降低切换时延对用户服务质量带来的影响。此外，对于空间节点的真实个体而言，其某一时刻在物理空间中所处的位置具有唯一性，不可以被其他节点所顶替，通过将节点位置等信息引入安全切换参数中，可以有效提高节点间身份认证的安全性。

（1）对用户移动轨迹的预测

对于飞行器等空中移动节点的航迹预测，目前通常采用卡尔曼滤波算法[30]。文献[31]将该方法引入到空天网络的切换研究中，通过建立用户运动方程及计算卡尔曼增益，实现了对移动用户未来时刻的位置和速度的预测，并通过实验证实了卡尔曼滤波法得到的用户预测位置能够较好地接近实际位置。

（2）对卫星移动轨迹的预测

SGP4[32]是一种常用的低轨道外推算法，其充分考虑了地球引力、大气阻力等因素对于LEO 卫星运动轨迹的影响，具有较高的预测精度。文献[33]在空天网络切换研究中，通过结合SGP4提出了一种面向LEO卫星的星下点轨迹预测方法，并由预测的星下点轨迹定期更新星历，用以预测将要发生的切换。

（3）对于切换发生相对位置的预测

在（1）、（2）两类预测算法中，可分别求得用户和卫星的移动轨迹，再通过两者未来运动轨迹时间空间上的重叠求得切换发生位置。然而，有学者提出了基于多普勒频移技术的目标切换位置和时刻的预测算法，该算法是以用户和卫星节点的相对位置为研究对象，因此预测结果可直接用于确定切换位置和时刻。Papapetrou等人在其研究中[34-35]针对LEO卫星网络地面节点切换问题，提出一种基于动态多普勒技术的LEO 切换选择算法DDBHP，通过检测多普勒频移可以测得某一时刻节点卫星的仰角，并且在不同时刻进行测量可进一步推得节点卫星与飞行器之间的方位角。基于该特点，有学者在研究中提出了基于多普勒的切换时间及位置预测方法[36-37]，简要描述如下：

设R为地球半径，H、h分别为卫星和飞行器距地面高度，α为在T时刻通过检测多普勒频移得到的卫星相对于飞行器的仰角。则卫星和飞行器垂直于地面的夹角β可表示为：

以飞行器距离地心距离R+h为半径，地心为球心做球面，卫星的信号覆盖在此球面上进行投影，得到以卫星视角的俯视图和侧视图如图6所示。

图6 不同角度的卫星覆盖视图Fig.6 Satellite coverage view from different angles

设飞行器沿箭头所指方向巡航飞行，并分别于tA和tB时刻先后经过点A和B，其相应的仰角分别为αA和αB,C为将来的切换发生点。则由式（1）可推算出飞行器位于A、B两点时，分别对应的地心夹角βA和βB。

同时，飞行器以巡航速度V运动，在从A到B过程中经过的角度为：

在球面三角形中，由几何关系可以得：

当飞行器与卫星的通信仰角最小时发生切换，设切换点为C，此时仰角为αC，则由式（1）可得此时的地心夹角βC，并且由几何关系可得：

因此由式（3）、（4）可知∠BOC=π-∠OBC-∠OCB,设飞行器从B到C经过的角度为φ′，则由式（2）可得：

从而可知切换时刻为：

但是，孟梦等人[38]指出了文献[35-36]中求解切换位置的方案存在局限性，比如卫星处于极点位置时会存在无法得到飞行器坐标的情况，继而在此基础上提出了一种基于平面扇形角订立的任意点切换定位算法。如图7所示，假设已知A点坐标为(LatA),LongA，l 为弧长，n为扇形圆心角，r为扇形半径，并将飞行器速度分别沿纬线、经线方向进行分解为VLat、VLong，切换发生时间t已由式（6）推得。

图7 切换点位置算法示意图Fig.7 Schematic diagram of handover point location algorithm

因此由几何关系得到：

上式中求得的(LatC),LongC即为发生切换的边界点坐标。

上述常用预测方法的对比如表1所示。

表1 常用预测方法对比Table 1 Comparison of commonly used prediction methods

3.2 接入基站选择技术研究

接入基站选择是执行安全切换前的必要流程，通过制定安全切换策略，为用户设定合理的切换发起时间，并在目标接入基站处执行信道预留和排队策略，以保证切换执行过程的可靠性；另一方面，由于用户所在切换区域的候选基站可能并不唯一，在此情景下，需要将接入基站的各项属性状态及用户的偏好相结合，为用户选择最佳的切换目标基站。因此，在用户发起切换认证前，需要执行安全切换策略控制以及选择最优接入基站，从而确保用户的切换服务质量。

3.2.1 安全切换策略控制研究

安全切换策略控制，目的是在安全切换发生前，为在可切换范围内的接入基站中选择最优接入点提供依据，也为无缝安全切换预留最优的服务质量。安全切换策略包括接入基站运行轨迹、持续提供服务的时间、链路带宽、待接入基站安全状态以及其提供服务的类型等。安全切换策略的实施，则是在切换感知到切换发生之间的时隙执行，这个时隙被称为切换门限[39]，在这个门限期间，实现对接入基站的选择、接入认证状态迁移、通信信道预留等。目前对切换策略的研究，关注点仍然在于空天节点较少情况下信道的预留方面，较少关注空天复杂网络。

文献[38]提出了基于SIM（satellite information manager）的空天网络安全切换架构，如图8所示。该架构建立了切换卫星选择策略，策略从待接入基站覆盖范围、信道资源、运行轨迹、安全等级、切换门限阈值、服务质量等角度进行探讨，为接入基站的选择提供了依据。

图8 基于SIM的空天网络安全切换架构Fig.8 SIM-based aerospace network security handover architecture

由于LEO 卫星绕轨飞行具有周期性，Wu 等[40]提出了一种基于图的低地球轨道卫星通信网络的卫星切换框架，通过预先计算出以卫星覆盖周期为节点的有向图，将用户在卫星间的切换视为一条有向边，并将切换标准转换为边的权重，并可根据不同的标准设置权值从而影响用户的实际切换，将卫星切换过程转化为在代表所有可能切换路径的有向图中寻找一条路径。文献[41]使用时间演进图对覆盖移动用户的移动节点进行建模，并利用高斯-马尔可夫模型估算出用户的星下覆盖时间，用以确定子图的更新周期Δt。图9中的k个子图分别对应k个关于该用户的星下覆盖间隙情况，该时间演进图还允许根据切换准则对有向图的边权重进行设置，从而通过最短路径的求解来求解最优路径。

图9 基于时间演进图的切换预测模型Fig.9 Handover prediction model based on time evolution graph

3.2.2 接入基站的最优选择

接入基站的选择，是在切换感知后，依托用户业务需求、运动轨迹等信息选择合适的接入基站。其选择由多个因素来决定，比如接入基站容忍的最大业务负荷、空天节点距离长短、运动方向的契合度等。通常情况下，依据业务需求权重不一，主要包括最大容量准则、最强信号准则、最小距离准则以及最大服务时间准则等，如表2所示。

表2 通用参考准则Table 2 General reference guidelines

然而，在安全切换时，移动用户节点在下一时刻存在多星冗余覆盖，即待切换基站存在多个候选对象，究竟选择哪个接入基站能确保业务的高可靠性、高可用性、高安全性等，是空天网络无缝安全切换的关键。从多个候选基站中选择最优的进行切换接入的过程，称之为切换判决，即接入基站的最优选择。

对于多接入目标节点的选择，文献[42]分析了仰角对链路电平余量及误码率等系统性能的影响，并发现以往的最长覆盖时间策略会使得用户大概率处于低仰角，从而造成信道恶化。由此提出了以仰角和覆盖时间加权策略作为切换判决的方法，在保证较长覆盖时间的同时有效避免了对信道质量的影响。文献[43]将切换目标选取表述为随机优化问题，为了实现长期的全局优化，采用以信号质量和剩余服务时间相结合的准则，并提出了基于Q 学习的决策方案来训练出一个相对稳定的切换判决策略，在降低用户切换频次方面得到了较好的结果。

除此之外，有学者认为在接入基站最优选择时，可融入多因素进行综合衡量、决策，以满足多种业务需求。分析提取空天网络安全接入属性，为属性赋予权重，权重随着空天网络移动用户的业务需求动态适变，以此从候选接入基站中获得最优解，即将安全切换判决看作参数能够自适应的多属性决策问题。文献[44]在权重值计算方面采用离差最大化的组合赋权法，将信号强度、持续时间和空闲信道数量引入其多属性切换决策算法中，最优解选择过程使用了TOPSIS（technique for order preference by similarity to an ideal solution）法[45-46]，最终实现了减少切换频率，提高通信质量以及均衡信道利用率的效果。文献[47]提出了一种将层次分析法（analytic hierarchy process，AHP）与TOPSIS 法相结合的接入点选择算法。该算法首先确定了信号强度、覆盖时间等效益属性和传输时延等成本属性，只有满足效益属性高于设定阈值并且成本属性低于设定阈值的节点才会被保留，以达到对候选节点集的初步筛选，再通过AHP法确定各属性的权重，最后利用TOPSIS 法对各个节点的综合性能进行排序，从而选出最优接入节点。

文献[48]结合网络为中心和用户为中心两个维度，从抗毁性、负载均衡、节点性能、网络QoS及用户偏好共五方面出发，选取仰角、接收信号强度、网络带宽、数据传输速率、安全等级、节点可信度、接入负载以及用户偏好等判决指标，建立了如图10所示的切换判决指标树。由服务质量权重向量和用户偏好向量生成综合指标权重，并设计了损失函数、增益指标和损失指标的归一化函数，通过演化博弈理论建立了切换判决策略的动态复制方程，从而实现了基于动态平衡策略的切换判决机制。

图10 切换判决指标树Fig.10 Handover decision index tree

从以上研究中可以看出，对于切换节点选择的算法设计中的多属性决策问题的解决思路并不唯一，但都离不开计算开销轻量化、对动态环境变化快速响应、保证用户切换性能等目标。另外，Wang 等人[49]对于异构无线网络中节点选择的模型建立问题调查了各种数学工具，包括模糊逻辑、博弈论、效用理论、成本函数、马尔可夫链、组合优化和多属性决策。

用户节点完成对于候选切换接入节点的选择，得到切换接入预约的下一接入节点根据其策略完成服务预留工作，当用户节点到达预定切换位置时，执行正式切换请求。

3.3 切换认证技术研究

切换认证，是在切换发生时接入基站对切换来的移动用户进行身份的合法性验证，以实现移动用户身份的可信保持。在空天网络中，由于频繁的切换带来的接入认证的开销较大，这就要求切换认证尽量地轻量级，避免重复性的接入认证，实现安全切换的快速性、无缝化以及安全性等。目前针对切换认证的研究，主要集中在预先认证、安全上下文传递以及会话密钥生成等方面。

3.3.1 基于预先认证的切换认证机制

预先认证机制中，移动用户节点通过当前基站卫星，与待接入基站卫星进行预先认证，以减小切换后认证时延。认证过程通常依托密码学机制实现，但由于空天链路间歇、通信时延大，基于公钥基础设施（public key infrastructure，PKI）的身份验证方式由于证书管理机制复杂，需要在线证书支持，不适合空天网络环境，而基于身份密码学（identity-based cryptography，IBC）的空天网络的认证机制受到了研究者的青睐。因为主要思想是任何实体的公钥都可以由一个任意的字符串（如用户名称、邮件地址等）来生成，而不需另行派发公钥，与之对应的私钥则由可信机构（private key generator，PKG）生成，属于无证书公钥密码体制，从而有效解决了基于证书密码体制因公钥存储和管理在空天网络场景中不能很好适用的问题，并且所采用的双线性映射方案的安全性能够得到证明[50]。

彭长艳等[51]利用LEO 卫星网络和临近空间网络拓扑具有可预测性的特点，提出了一种基于预认证机制的快速水平切换算法，通过IBC机制实现网络中的所有用户和卫星公私钥对的配发，在用户预知切换目标并进入其覆盖范围后便提前执行认证过程，由用户的当前接入卫星协助转发消息，实现用户与目的卫星的验证消息签密，以验证消息的合法性来保证双向认证的达成，等到前后卫星的信号强度达到预定的切换条件时再执行链路切换。为了提高IBC机制在切换认证中的适用性，文献[52]提出了基于区块链的安全轻量认证模型，如图11所示。PKG 在区块链中被称为注册机构RA，在用户的注册阶段由中心RA结合用户的多维属性生成网络中的唯一访问标识符AID并将其添加到区块链中，并且分布式的RA可根据ECC算法为用户计算生成部分私钥，最终的私钥由用户根据身份相关的组合策略生成。从而实现了PKG功能在多个RA节点上的分布式布置，从网络结构和密钥派发流程上有效地解决了空天网络场景中传统IBC机制中PKG带来的密钥托管问题。

图11 基于区块链的安全轻量认证模型Fig.11 Safe and lightweight authentication model based on blockchain

基于预先认证的切换认证机制能够从切换流程上进行优化，利用切换执行前的时间去完成用户与节点间的相互认证，但是此类方法需要用户与目的卫星重新执行接入认证流程，交互次数与计算量较大，增加了切换的代价。

3.3.2 基于安全上下文的切换认证机制

安全上下的切换认证，不同于预先认证机制，该机制下要求当前基站节点将移动用户相关的安全状态信息、认证信息、业务会话信息、节点信息、通信状态、切换密钥等，通过当前基站与待接入基站之间的安全隧道进行预先传递，缩减切换认证协议的计算复杂度，从而减小移动用户在切换时的认证开销，实现触发式的切换认证。

Qian等人[53]较早地在将基于安全上下文传输（security context transfer，SCT）的方案应用到空天网络切换认证中，在其设计方案中，由一个空天基站负责在当前卫星和可能成为切换目标的卫星之间建立双向的安全通道，负责上下文信息的安全转发，从而实现用户和目的卫星的双向认证。文献[38]将安全性历史信息引入到安全上下文内容中，安全性历史信息由用户初次接入认证时的主密钥、历史切换认证密钥组、安全上下文寿命信息等构成，通过完善安全上下文内容，进一步提高了切换认证的安全性。文献[54]从可信保持的角度看待切换认证，提出了一种基于信任度和安全上下文传递的安全切换协议，并在其方案中建立了如图12 所示的动态信任演化机制。

图12 动态信任演化机制Fig.12 Dynamic trust evolution mechanism

文献[55]提出了一种基于共识的切换认证方案，该方案的原理如图13所示。首先根据轨道和业务流量对卫星进行动态区域划分，并使用分布式Hash表（distributed Hash table，DHT）的方式对区域内用户的认证Token进行管理，实现区域内卫星对用户认证结果的共享和互信，对于不同区域间的认证，则通过Hash锁定的方式避免了对用户Token和私钥的依赖，并使用群签名的方式实现了卫星节点对于来自其他区域的授权条目的有效性查询。相较于其他几个关于安全上下文传递的方案，文献[55]中基于共识的切换认证方案可以看作将安全上下文的预先传递由单播变为组播。

图13 基于共识机制的切换认证方案Fig.13 Handover authentication scheme based on consensus mechanism

相比预先认证机制，上下文传递的优势在于可以充分依托已有的资源完成可信的保持，从而避免重新执行整个协议交换去建立繁琐的认证接入过程，而利用轻便、快捷的协议设计在低延时的条件下实现了高效的无缝化切换，实现了将“安全”状态的切换，但是它的前提是卫星节点之间需要具有信任关系。

将上述不同的安全认证方案汇总对比如表3所示。

表3 安全认证方案对比Table 3 Comparison of security authentication schemes

3.4 切换密钥更新

切换认证后，旧的会话被撤销，新的会话被创建，为确保用户会话的安全性，防止唯密文攻击，需要重新协商会话密钥，同时空天网络中节点计算资源有限，链路间歇连通也对密钥协商提出了交互次数少、运算效率高的需求。针对空天网络切换认证后会话密钥的协商，诸多学者依据空天网络切换流程给出了相关方案。

文献[56]充分权衡空天节点的特点，提出了一种基于身份的分布式密钥管理方案，系统中的PKG 会在初始化后向成员公开一些用于密钥管理的重要参数，在会话密钥更新过程中，会话双方只需经过一次交互，并结合各自掌握的相关参数进行异或运算得到相同的秘密值，即可实现新的会话密钥协商。为了解决空天网络密钥更新过程计算与通信成本高的问题，文献[57]提出了利用切换认证消息进行密钥更新的方案，用户和卫星分别选取秘密值a和b，而P为系统中公开的参数，双方分别构造出N=aP和M=bP，双方只需在切换认证的交互中捎带完成对N和M进行交换，即可协商出密钥K=abP，从而实现高效的切换认证和密钥更新。

文献[58]提出了一种基于组密钥的空天网络密钥管理方案，由卫星或浮空器担任组管理者，而其下辖的若干个用户作为组员，当有新成员加入时组管理者会对二叉逻辑密钥树进行更新维护，对该成员路径上的密钥更新，并通过签密的方式将更新的密钥发送给关联的成员。文献[59]同样使用了基于组密钥的方案，如图14所示，方案中的组密钥的派发对象为LEO卫星群组，而非成员数量相对较多、变更相对频繁的用户群组；又设计了一个单向密钥推导函数KDF，可由KDF对组密钥GK运算得到临时组密钥TGK，通过TGK 实现原卫星和目的卫星间对用户重要参数的对称加密传输；在用户完成切换认证的同时，新的卫星可利用KDF 对相关参数进行运算产生新的密钥，从而有效实现了依托切换链路捎带的切换密钥更新。

图14 基于共享组密钥的切换认证及密钥更新Fig.14 Handover authentication and key update based on shared group key

4 研究挑战与展望

4.1 关键技术分析

当前针对空天网络安全切换的研究，虽然已取得了一定的研究基础，但是由于空天网络的复杂性，使得现有的研究还存在着普适性、协同性以及安全性等问题。主要体现在以下关键技术需要进一步突破。

（1）面向复杂网络的安全切换技术

空天网络中的节点类型复杂多样，不同节点在认证方式、密钥类型等安全资源配置方面存在差异；空天网络节点运动模式多样，可能存在波束切换、星间切换、垂直切换等不同场景；此外，由于网络域的划分，不同域之间存在着跨域访问的障碍，难以在复杂网络上构建起一套信任体系[60]。上述问题为实现用户跨复杂场景切换带来了一定的障碍，因此需要对空天复杂网络的可信、自由安全切换架构进行研究，屏蔽异构网络的差异，确保为用户提供持续的网络服务即可信身份。

（2）接入卫星最优化选择技术

在切换时多星冗余覆盖场景下的接入卫星选择技术研究中，尽管现有的选择算法大多考虑到了多种网络参数对用户服务质量的影响，并在接入卫星选择算法中引入了较为均衡的多属性判决算法，但是还有较大的改进空间。一方面，现有的切换触发通常是在用户位置到达覆盖边界时被动发起的，若能够依据卫星的轨道根数或星历表等对接入网络拓扑进行预测，在用户到达触发条件前预先实现切换目的卫星候选集的获取，能够提前完成切换认证及预留信道资源；另一方面，为了实现用户对接入卫星的认证以及卫星间链路重构时的认证，针对卫星的安全性或信任度评估是必要的，将信任度参数引入最优化选择算法中，能够为用户与接入节点的互信提供安全可靠的支持。

（3）低开销切换认证技术

区别于现有的无线网络切换认证技术，空天网络的特点对认证方案提出了更为严苛的要求。重复认证势必导致切换时延大、计算复杂度高等问题，严重影响服务的连续性和可用性。如何在满足安全切换双向认证需求的前提下，设计高效的无缝安全切换算法，降低切换时延和计算开销，对保证服务连续性和切换双方安全性意义重大[61]。尽管当前学者提出的通过安全上下文传递的方式能够降低切换认证的开销，但是在链路间歇的环境下，无法完全保证安全上下文的预先传递。通过降低认证的开销，实现基于链路切换捎带的触发认证，是实现无缝自由切换的关键。

（4）安全切换中的隐私保护技术

节点与基站进行切换认证时，需要发送自己的身份标识、所在位置等信息。由于空天链路的开放性，攻击者能够获取接入节点的身份标识和坐标并对其发现和跟踪。因此，为了保护节点隐私以及运行安全，在空天网络安全切换技术研究中，应当研究匿名切换认证的实现方法，并且实现管理者对切换行为的监管和追溯，以实现切换认证的身份保护机制。

4.2 研究展望

通过对空天网络中安全切换技术现有的研究进展进行回顾，并结合目前的实际需求，提出以下研究展望，希望空天网络能够在性能、安全性、适用性等方面带来一定的提升。

（1）区块链与安全切换

区块链具有分布式、去中心化、匿名性、不可篡改性、可追溯性等特点，能够通过分布式节点在共识机制下完成控制、授权、信任建立等工作。利用天地一体化信息网络节点分布式特点，与区块链技术相结合，将有效解决安全切换的可信保持问题，有助于构建天地一体化信息网络中节点的信任链。同时，可以实现对用户接入、跨域切换、退网等行为的追溯，为整个网络的安全管控提供可靠的技术支持。

（2）自由安全切换

随着空天网络卫星节点部署规模和数量的增大，用户切换前后的节点可能所属不同类型轨道，来自不同网络域，或者拥有不同的网络接口，对节点间的安全协商带来了空间屏障、安全屏障、技术屏障。因此需要依托智能、健全的切换支持，为用户提供安全可靠的移动场景下的可信保持策略，实现有接入节点信号覆盖即可与之建立连接的自由安全切换，充分发挥网络中丰富的节点资源优势。

（3）聚合安全切换

现有的安全切换相关研究大多是针对单个用户，但在实际场景中，由于卫星的移动速度远大于用户，且每个卫星通常会为许多用户提供覆盖，卫星的移动可能会迫使其下覆盖的多个用户在同一较短时隙内产生安全切换的需求。较多用户在同一时段内发起安全切换请求，将给系统性能和服务质量带来挑战，为了提高多用户并发切换效率，需要聚合安全切换技术的支持。通过对用户群实施安全高效的聚合分组、批量认证等策略，解决短时内大量切换请求对节点造成的负担，为群组内每一用户提供鉴权服务并拒绝非法用户的切换请求，实现批量用户的无缝安全切换。

（4）切换数据的隔离

为提供良好的区分型业务，在天基骨干节点、天基接入节点等硬件及系统虚拟化的基础上，通过边界识别与隔离控制技术，实现业务容器化，动态构建接入用户虚拟隔离域，从而确保用户切换过程中业务数据的隔离。为确保切换用户的有效监管，拟研究空天接入节点溯源机制，勾勒接入用户数据与行为世系，便于接入用户的审计与追责。通过研究，旨在打破地面移动网切换方法在空天网络应用中存在的基站静态、家乡网络远距离认证带来的局限性，构建空天网络安全切换信任体系，突破接入节点在立体网络空间中信任的自由传递，使得无缝安全切换更加高效、更加可靠，从而确保安全接入可保持性与可监管性，将具有非常重要的现实性意义。

5 结束语

天地一体化信息网络是未来建设和发展的重要项目之一，它将填补现有网络体系在覆盖和协作等方面的短板。安全切换作为其中的一项重要技术，旨在为用户提供安全且无缝的网络服务。切换技术的不断完善，天地一体化信息网络能够在拥有全天候覆盖的业务保障能力同时，兼具传统网络的优异效能，从而适应更加丰富多样的使用需求，使在其上开展的诸多业务都能够得到可靠的网络业务保障。本文系统地梳理了天地一体化信息网络中切换的基本概念和流程，并对其控制策略及安全防护领域研究进行了综述，希望对天地一体化网络的安全防护建设提供参考。