一种用于卫星互联网的路径验证方法和装置制造方法及图纸

本发明专利技术提供一种用于卫星互联网的路径验证方法和装置，构建反映地面站之间的数据传输时延与地理距离之间的隐式映射关系的全局时延梯度矩阵，通过聚类分析全局时延梯度矩阵中的异常值以检测潜在风险路径；根据卫星互联网中路径劫持攻击的物理特征构建风险判据，根据风险判据对潜在风险路径进行风险验证。本发明专利技术替代了逐跳验证机制所使用的加密标记匹配校验方法，避免了由于卫星互联网动态拓扑条件下路径频繁改变导致的大量开销，且提升了卫星互联网场景中路径验证的性能。联网场景中路径验证的性能。联网场景中路径验证的性能。

【技术实现步骤摘要】
一种用于卫星互联网的路径验证方法和装置


[0001]本专利技术涉及卫星通信
，尤其涉及一种用于卫星互联网的路径验证方法和装置。

技术介绍

[0002]近年来，低轨巨型卫星星座的应用为接入卫星互联网的用户终端提供了全球覆盖的低时延网络服务，提升了用户终端的用网体验。然而，低轨巨型卫星星座中部署有大量的星间链路，使得低轨巨型卫星星座与采用弯管模式的卫星通信系统相比，真正具备网络化特征，这意味着低轨巨型卫星星座面临前所未有的网络攻击威胁。路由劫持攻击是目前互联网最常见的网络攻击之一，攻击者通过各种手段修改数据包原本的转发路径，使其陷入路由黑洞或经过窃听节点等不安全区域，损害用户数据安全。低轨巨型卫星星座不仅同样面临该问题，并且相比于数据中心这样安保严密的地面节点，卫星节点的全球暴露特性导致其处于巨量的潜在攻击者视野中。此外，由于卫星节点长期处于非受控区域，缺少地面测控支持设施，难以在攻击早期及时地感知和防御。因此，检测路由劫持是尤为必要的。
[0003]路径验证是检测路由劫持的主要手段之一，其目的在于使节点或终端能够验证上游转发路径是否与期望转发路径一致，以检测该类涉及路径篡改的攻击。现有路径验证方法大多采用逐跳验证机制来实现，即以网络拓扑结构稳定为隐形假设为源端指定一条期望转发路径，生成期望转发路径节点间的共享密钥，以上一节点对数据包进行密码学操作生成加密标记，并将其嵌入包头跟随数据转发，下一节点通过核验加密标记证明该数据包确实经过了上一节点的逐跳验证方式，验证实际转发路径与期望转发路径的一致性。
[0004]然而在卫星互联网中，由于星地链路以分钟级频繁切换，网络拓扑一直处于快速变化状态，路由需要根据新的拓扑重新收敛，端到端不再具有稳定的转发路径，因此当网络拓扑结构改变时，以之前网络拓扑结构稳定为隐形假设为源端指定的期望转发路径，将无法再反映当下情况，导致路径验证失去稳定的判别标准。每当星地链路发生切换时，需要重新生成节点间的共享密钥以及重新利用逐跳验证方式验证实际转发路径与期望转发路径的一致性；上述系列操作涉及多次信令交互和加解密计算，导致大量的信令开销和计算开销。另外，对网络拓扑改变的感知具有一定的滞后性，这种情形下期望转发路径的改变并不能及时被反映在加密标记中，将导致路径节点对数据包误判而丢包。因此，如何提供一种卫星互联网场景下低开销、高性能的路径验证方案成为亟待解决的难题。

技术实现思路

[0005]本专利技术提供一种用于卫星互联网的路径验证方法和装置，通过对地面站之间的时延与地理距离之间的隐式映射关系进行聚类分析得到异常值以检测风险路径，代替逐跳验证机制所使用的加密标记匹配校验方法，将采用聚类以及物理特征分析方式搜索到的时延与地理距离之间的隐式映射关系异常的路径作为发生路由劫持的路径，避免了现有路径验证技术中在卫星互联网动态拓扑条件下路径频繁改变导致的大量信令开销和计算开销。
[0006]第一方面，本专利技术提供一种用于卫星互联网的路径验证方法，所述方法包括：
[0007]根据地面站之间的地理位置信息生成站间距离矩阵；
[0008]汇总每一个地面站的站间时延表，得到全局时延矩阵；
[0009]将所述全局时延矩阵和所述站间距离矩阵的对应元素做微分，得到全局时延梯度矩阵；
[0010]对所述全局时延梯度矩阵进行统计学异常值分析，并将具有异常值的地面站对的数据传输路径作为潜在风险路径；
[0011]在所述潜在风险路径满足第一条件时，认定所述潜在风险路径为风险路径；
[0012]其中，每一个所述地面站的站间时延表中存储每一个目标地面站到所述地面站的数据传输时延；所述目标地面站为除所述地面站之外的地面站；
[0013]所述第一条件为数据传输时延的实测值与理论估计值的差值大于往返一次星地链路的最短数据传输时延。
[0014]根据本专利技术提供的用于卫星互联网的路径验证方法，所述地面站的站间时延表的生成过程，包括：
[0015]令所述地面站在本地创建以源端地面站编号和数据传输时延为字段的4个站间时延子表；其中，所述4个站间时延子表与4种接入卫星轨道方向分别对应，所述4种接入卫星轨道方向分别为上星北向且下星南向、上星北向且下星北向、上星南向且下星北向以及上星南向且下星南向；
[0016]在一个测量周期内，控制每一个所述目标地面站以预设时长为间隔向所述地面站发送时延测量包；其中，所述时延测量包是对IP数据包进行源端地面站编号、源端地面站接入卫星编号与发送时间戳的包头嵌入得到的；
[0017]令所述地面站根据每一个所述目标地面站发送的时延测量包，推定每一个所述目标地面站到所述地面站的数据传输时延和接入卫星轨道方向；
[0018]以每一个所述目标地面站的编号为索引，将每一个所述目标地面站到所述地面站的数据传输时延插入每一个所述目标地面站到所述地面站的接入卫星轨道方向对应的站间时延子表中，得到填充数据的4个站间时延子表；
[0019]组合所述填充数据的4个站间时延子表，得到所述地面站的站间时延表。
[0020]根据本专利技术提供的用于卫星互联网的路径验证方法，根据所述目标地面站发送的测量包，推定所述目标地面站到所述地面站的数据传输时延，包括：
[0021]将所述目标地面站发送的每一个测量包的发送时间戳与接收时间之间的时长列入第一列表中；
[0022]对所述第一列表中的多个时长进行滤波后取最小值，得到所述目标地面站到所述地面站的数据传输时延。
[0023]根据本专利技术提供的用于卫星互联网的路径验证方法，根据所述目标地面站发送的测量包，推定所述目标地面站到所述地面站的接入卫星轨道方向，包括：
[0024]根据所述目标地面站发送的任一测量包中的源端地面站接入卫星编号以及预存的星座所有卫星的两行轨道根数信息，推定所述目标地面站到所述地面站的接入卫星轨道方向。
[0025]根据本专利技术提供的用于卫星互联网的路径验证方法，所述对所述全局时延梯度矩
阵进行统计学异常值分析，包括：
[0026]利用预设异常值检测算法分析所述全局时延梯度矩阵，以从所述全局时延梯度矩阵中选出大于所述预设异常值检测算法安全阈值的异常值；
[0027]所述预设异常值检测算法包括但不限于：IQR检验法和Grubbs检验法。
[0028]根据本专利技术提供的用于卫星互联网的路径验证方法，所述往返一次星地链路的最短数据传输时延是根据卫星的轨道高度确定的，所述潜在风险路径的数据传输时延的实测值为所述全局时延矩阵中与所述潜在风险路径的地面站对相对应的元素值；
[0029]所述潜在风险路径的数据传输时延的理论估计值的确定过程，包括：
[0030]确定所述潜在风险路径的邻近路径；
[0031]从所述全局时延矩阵中抽取与所述邻近路径的地面站对相对应的元素，构成参考时延矩阵；
[0032]针对所述参考时延矩阵范围内的地面站对，通过回归分析方法确定数据传输时延与地理距离之间映射关系；
[本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于卫星互联网的路径验证方法，其特征在于，所述方法包括：根据地面站之间的地理位置信息生成站间距离矩阵；汇总每一个地面站的站间时延表，得到全局时延矩阵；将所述全局时延矩阵和所述站间距离矩阵的对应元素做微分，得到全局时延梯度矩阵；对所述全局时延梯度矩阵进行统计学异常值分析，并将具有异常值的地面站对的数据传输路径作为潜在风险路径；在所述潜在风险路径满足第一条件时，认定所述潜在风险路径为风险路径；其中，每一个所述地面站的站间时延表中存储每一个目标地面站到所述地面站的数据传输时延；所述目标地面站为除所述地面站之外的地面站；所述第一条件为数据传输时延的实测值与理论估计值的差值大于往返一次星地链路的最短数据传输时延。2.根据权利要求1所述的用于卫星互联网的路径验证方法，其特征在于，所述地面站的站间时延表的生成过程，包括：令所述地面站在本地创建以源端地面站编号和数据传输时延为字段的4个站间时延子表；其中，所述4个站间时延子表与4种接入卫星轨道方向分别对应，所述4种接入卫星轨道方向分别为上星北向且下星南向、上星北向且下星北向、上星南向且下星北向以及上星南向且下星南向；在一个测量周期内，控制每一个所述目标地面站以预设时长为间隔向所述地面站发送时延测量包；其中，所述时延测量包是对IP数据包进行源端地面站编号、源端地面站接入卫星编号与发送时间戳的包头嵌入得到的；令所述地面站根据每一个所述目标地面站发送的时延测量包，推定每一个所述目标地面站到所述地面站的数据传输时延和接入卫星轨道方向；以每一个所述目标地面站的编号为索引，将每一个所述目标地面站到所述地面站的数据传输时延插入每一个所述目标地面站到所述地面站的接入卫星轨道方向对应的站间时延子表中，得到填充数据的4个站间时延子表；组合所述填充数据的4个站间时延子表，得到所述地面站的站间时延表。3.根据权利要求2所述的用于卫星互联网的路径验证方法，其特征在于，根据所述目标地面站发送的测量包，推定所述目标地面站到所述地面站的数据传输时延，包括：将所述目标地面站发送的每一个测量包的发送时间戳与接收时间之间的时长列入第一列表中；对所述第一列表中的多个时长进行滤波后取最小值，得到所述目标地面站到所述地面站的数据传输时延。4.根据权利要求3所述的用于卫星互联网的路径验证方法，其特征在于，根据所述目标地面站发送的测量包，推定所述目标地面站到所述地面站的接入卫星轨道方向，包括：根据所述目标地面站发送的任一测量包中的源端地面站接入卫星编号以及预存的星座所有卫星的两行轨道根数信息，推定所述目标地面站到所述地面站的接入卫星轨道方向。5.根据权利要求1～4任一项所述的用于卫星互联网的路径验证方法，其特征在于，所
述对...

【专利技术属性】
技术研发人员：刘君，李贺武，张天宇，吴茜，
申请(专利权)人：清华大学，
类型：发明
国别省市：