一种基于软件定义的OSU切片安全天基光互联网络

技术领域

本发明属于光通信技术、光网络技术领域，具体涉及一种基于软件定义的OSU切片安全天基光互联网络架构。

背景技术

目前卫星网络在遥感、军事侦察、射电天文等的应用需求日益增长，卫星网络容量的需求日益增加。基于无线激光通信的自由空间光通信(FSO)与传统的射频通信相比，具有带宽大、功耗低的优点，保证了天基光互联网络的稳定运行，是一种很有前景的通信技术。此外，天基光互联网络主要基于无线激光体制、同步数据系列(SDH)和光传送网(OTN)体制。然而，由于不同的服务可能需要不同的带宽和单个业务请求的带宽由于不能完全占用卫星间链路(ISL)容量，针对未来灵活的业务颗粒度需求，需要将地面最新的光传送网体制-分组增强型光传送网(POTN)引入到天基光互联网中。但迄今为止，还未有在天基光互联网络中研究基于光业务单元(OSU)的分组增强型光传送网的架构和带宽调整方法。

另一方面，随着天基光互联网络技术的发展，由于星间链路的不稳定性、开放性和暴露性。与其他通信网络一样，当前卫星可能受到其它卫星之间的非法入侵接入和检测，它容易受到拒绝服务(DoS)攻击、干扰攻击、欺骗攻击、未经授权的访问、恶意软件等攻击。具体而言，在恶劣的自然环境下，星间链路和星地链路长期受到电磁信号干扰，可能被恶意用户窃听。直接暴露在空间轨道上的卫星节点容易受到非法拦截。轨道卫星网络内部路由也容易受到恶意攻击，并且攻击方法在其复杂程度、破坏性潜力以及检测和对抗它们的难度方面可能有很大的不同，天基光互联网络的安全问题日益严重。目前业界也分别从整个组网架构、物理层、网络层等多个网络层次上关注多种安全天基光互联网络技术。现有的解决方案，如加密技术，都是针对卫星网络的外部攻击。由于对应的密钥无法进入加密的卫星网络。因此，加密技术无法解决卫星网络的内部攻击。而通过物理层测量光信号光谱形状的光谱分析能够检测到引起的各种干扰攻击，但如果攻击信号没有引入显著的频谱变化，则可能无法检测到带内干扰，且这种方法除非分析仪被放置在空间链路上并不实际，在检测窃听攻击方面并不是十分有效。因此，此外，各种异构网络的融合对传统的路由、网络接入和切换策略提出了更高的安全性要求，迫切需要实现互连控制，确保多层次的安全。目前还未有在软件定义的天基光互联网络中同时进行光传送网的光交换和安全性能的分析，需要来实现对天基光网络传送性能与安全性能的认知、自主管理等新的功能。

发明内容

本发明的目的在于提供一种基于软件定义的OSU切片安全天基光互联网络架构，该网络架构根据不同的天基光互联网络交换颗粒度，实施灵活自适应的安全攻击检测。并且，针对天基光互联网络的安全性需求，通过攻击探测、攻击处理和恢复机制，提出基于光业务单元切片的安全防护方法。

为了实现上述目的，本发明所采取的技术方案为：

一种基于软件定义的OSU切片安全天基光互联网络，包括地面中心控制站、高轨卫星、中轨卫星以及低轨卫星；将低轨卫星进行分域，每个域及每个域内的低轨卫星均具有相应的ID识别号；

低轨卫星作为接入节点连接与其相邻的中轨卫星，用于实现端到端的通信，接收来自地面中心控制站的业务并发送业务至骨干网络；

中轨卫星节点作为服务通道汇聚至高轨卫星节点；

高轨卫星作为骨干网络的交换节点为天基光互联网络提供转发服务；

地面中心节点作为软件定义的总控制器用于向高轨卫星发送业务信息；

低轨卫星节点和中轨卫星节点作为带宽可变节点，均采用基于OSU硬切片的POTN技术体制，均包括：自适应带宽可变模块的发射机DSP模块、自适应带宽可变模块的接收机DSP模块、模拟数字转换模块、数字模拟转换模块、上光调制模块和下光探测模块；其中，发射机DSP模块和接收机DSP模块提供可供选择的OSU硬通道模式/配置，通过改变采用调制格式和前向纠错编码进行可编程的OSU硬切片带宽变化调整。

进一步的，在应用平面提供多种天基光互联网络场景可重构、高动态、灵活以及可扩展的服务；

网络控制平面在时变网络的每个网络时间片上保持卫星节点间的连接关系，使卫星节点之间进行相互协作，具体进行动态拓扑控制、动态传播延迟控制、攻击状态通知和定位、物理节点之间切片带宽调整以及天基光互联网络的安全性分析；

传送平面包括无线激光传输、无线激光交换、精确的时间/频率同步以及攻击/窃听检测；无线激光传输采用强度调制直接探测或者场调制相干探测的传输方式；无线激光交换负责将卫星上的数据转换为星载标准化格式，配置网络卫星节点并传输用户的应用程序；中轨卫星部署有缓存模块来处理低轨卫星提前发送的数据，当缓存容量大，中轨卫星节点的负载将会汇聚至高轨卫星节点；低轨卫星在分配的时隙实时发送光信息到相邻的中轨卫星，并在此情况下完成时间/频率同步；

源卫星节点与数据通道业务一起，周期性地发送"Hello"分组包到目的卫星节点；一旦在给定的时间内不能够收到一定数量的连续"Hello"分组包，目的卫星节点报告攻击；目的卫星节点通过控制层向源卫星节点或上游卫星节点发送攻击通知信息；网络控制平面的网络管理系统进行攻击检测通知和攻击定位；对应的卫星节点触发包括业务倒换和复原的业务恢复方案。

本发明的有益效果在于：

本发明针对天基光互联网络的灵活业务需求和不同安全等级需求的应用场景，主要思想为在每单个卫星中设计基于软件定义的OSU-POTN架构，形成OSU切片安全天基光互联网络架构。该光网络架构充分考虑所承载的不同业务的特点，架构采用标准管理接口以及部分开放的接口，根据用户情况进行灵活的天基光互联网络的带宽调整。此外，考虑天基光互联网络的安全性问题，该网络架构考虑光层攻击的反应快速，对攻击的反应是一旦检测到网络中存在攻击，网络管理系统(NMS)将尽快消除攻击，在较慢的上层网络层激活攻击的反应机制之前，就进行恢复并重新建立可靠的通信，从而解决天基光互联网络中信息安全的重要问题。

附图说明

图1为本发明软件定义的OSU切片安全天基光互联网络架构。

图2为软件定义的OSU切片安全天基光互联网络的逻辑结构。

图3为软件定义的OSU切片安全卫星各节点信息交互流程图。

具体实施方式

下面结合附图和实例，对本发明实施例中的技术方案进行清楚、完整地描述，但是本文所描述的实施例仅仅是本发明一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的基本思想是针对弹性安全的天基光互联网络具有频繁的拓扑结构变化、异质性和不可忽视的远距离光传播延迟及高安全需求的特点，设计一个由集中的网络管理器和网络卫星节点组成的安全天基光互联网络架构，该架构根据不同的业务需求，灵活调整信号的带宽，从而得以解决现有天基光互联网络中的安全性问题。

每单个卫星中设计基于光业务单元的分组增强型光传送网架构，形成基于软件定义的OSU切片安全天基光互联网络架构。该光网络架构充分考虑所承载的不同业务的特点，架构采用标准管理接口以及部分开放的接口和用户情况进行灵活的天基光互联网络的带宽调整。此外，考虑天基光互联网络的安全性问题，该网络架构对攻击的反应是一旦检测到网络中存在攻击，网络管理系统(NMS)将尽快消除攻击，并重新建立可靠的通信，包括：

地面中心站进行整体天基光互联网络的相关配置和控制。地面中心站节点通过激光链路或者微波链路与GEO通信；

地面中心站作为网络控制平面，其与传送平面之间采用OpenConfig接口模型，该模型处理不同的白盒网络元素，确保SDN的方法。

地面中心站使各个卫星节点协作，在时变网络的每个网络时间片上保持邻接关系的卫星节点间，进行动态拓扑控制、动态传播延迟控制、攻击状态数通知和定位、物理节点之间切片带宽调整以及天基光互联网络的安全性分析。

在网络中涉及卫星的类型主要为沿着地球边缘的LEO卫星节点和MEO与GEO的核心卫星节点，每个卫星节点视为光交换卫星节点，其可以提供大容量以及低延迟。

GEO作为环形的骨干网络的交换节点为天基光互联网络转发服务，有相对低的带宽。同时，核心网络是基于单向的有高带宽的激光器链路；

将各LEO卫星进行分域，且在每个域中都存在相应的ID识别号，动态的LEO可以作为接入节点至一个相邻的MEO，将发送业务到骨干网络以实现端到端的通信；

MEO节点作为服务汇聚至GEO节点。

MEO/LEO节点作为带宽可变节点，主要包括：自适应带宽可变模块的发射机DSP模块、自适应带宽可变模块的接收机DSP模块、模数转换模块、数模转换模块、上光调制模块、下光探测模块；

各源卫星节点与目的卫星节点之间通过周期性的发送"Hello"包以及数据业务包，进行攻击检测和数据传输；

控制平面的网络管理系统进行攻击检测通知和攻击定位；

对应的卫星节点触发包括业务倒换和复原的业务恢复方案。

下面参照附图1至图3进一步说明，

一种基于软件定义的OSU切片安全天基光互联网络的拓扑结构包括地面中心控制站、高轨卫星(GEO)、中轨卫星(MEO)以及低轨卫星(LEO)。

参考图1，基于软件定义的OSU切片安全天基光互联网络的拓扑结构的地面中心站节点作为总控制器，部署中心控制单元以实现中心转发控制，进行整体天基光互联网络的相关配置。地面中心站节点通过激光链路或者微波链路与GEO通信，在网络中涉及卫星的类型主要为沿着地球边缘的LEO卫星节点以及MEO与GEO的核心卫星节点。将每个卫星节点视为光传送网的交换卫星节点。其中，GEO作为环形的骨干网络的交换节点为天基光互联网络转发服务。同时，核心网络是基于单向的有高带宽的激光器链路。MEO节点将LEO的服务汇聚至GEO节点。动态的LEO作为接入节点至一个相邻的MEO，将发送业务到骨干网络，以实现端到端的通信。相比于高轨卫星和中轨卫星，低轨卫星数目众多，因此，本发明将各LEO卫星进行分域，且在每个域中都存在相应的ID识别号，如LEO(i,j)，其中，i为域号，j为域i中的第j个LEO卫星节点。

参考图2，一种可以提供大容量以及低延迟的基于软件定义的OSU切片安全天基光互联网络的逻辑结构包括三个平面，即应用平面、网络控制平面和传送平面。

具体地，应用平面提供多种天基光互联网络场景可重构、高动态、灵活以及可扩展的服务。应用平面与网络控制平面之间的接口为北向的RESTFUL接口。

网络控制平面在时变网络的每个网络时间片上保持卫星节点间的连接关系，使卫星节点之间进行相互协作，具体进行动态拓扑控制、动态传播延迟控制、攻击状态通知和定位、物理节点之间切片带宽调整以及天基光互联网络的安全性分析。网络控制平面与传送平面之间采用OpenConfig接口模型，该模型采用SDN的方法，处理不同的白盒网络元素。

传送平面主要包括无线激光传输、无线激光交换、精确的时间/频率同步以及攻击/窃听检测。无线激光传输可以采用强度调制直接探测或者场调制相干探测的传输方式。无线激光交换负责将卫星上的数据转换为星载标准化格式，配置网络卫星节点并传输用户的应用程序。MEO部署有缓存模块来处理LEO提前发送的数据，当缓存容量大，MEO节点的负载将会汇聚至GEO节点。LEO在分配的时隙实时发送光信息到相邻的MEO，并在此情况下完成时间/频率同步。具体地，源卫星节点与数据通道业务一起，周期性地发送"Hello"分组包到目的卫星节点；一旦在给定的时间内不能够收到一定数量的连续"Hello"分组包，目的卫星节点报告攻击；目的卫星节点通过控制层向源卫星节点或上游卫星节点发送攻击通知信息；控制平面的网络管理系统进行攻击检测通知和攻击定位；对应的卫星节点触发包括业务倒换和复原的业务恢复方案。由于光通道中的高速数据，攻击恢复是与时间严格有关的。

参考图3，一种基于软件定义的OSU切片安全天基光互联网络的节点交互流程。为了满足各种业务需求和用户需求，卫星系统引入基于OSU的网络硬切片以提高资源效率和灵活性。通过OSU的网络硬切片，共享的物理基础设施被划分为多个端到端网络硬分片实例，每个端到端网络OSU分片实例都是一个硬管道，其独立的可编程网络架构为满足端到端服务等级协议而量身定制。

(1)地面中心节点作为软件定义的总控制器控制GEO节点；

(2)GEO节点作为代理设备；

(3)MEO/LEO节点作为带宽可变节点，主要采用基于OSU硬切片的POTN技术体制，主要包括：自适应带宽可变模块的发射机DSP模块、自适应带宽可变模块的接收机DSP模块、模拟数字转换模块、数字模拟转换模块、上光调制模块、下光探测模块。其中，自适应带宽可变模块的发射机DSP模块和自适应带宽可变模块的接收机DSP模块提供可供选择的不同的OSU硬通道模式/配置，通过改变采用调制格式和前向纠错编码(FEC)进行可编程的OSU硬切片带宽变化调整。

具体的安全协议过程如下：

(1)与数据通道业务一起，源卫星节点周期性地发送"Hello"分组包到目的卫星节点；

(2)在给定的时间内，一旦目的节点不能收到一定数量的连续"Hello"分组包，则目的卫星节点报告攻击；

(3)目的卫星节点通过控制层向源卫星节点或上游卫星节点发送攻击通知信息；

(4)控制平面的网络管理系统进行攻击检测通知和攻击定位；

(5)对应的卫星节点触发包括业务倒换和复原的业务恢复方案。由于光通道中的数据速率，攻击恢复是严格时间有关的。

综上，本发明实现一种基于软件定义的OSU切片安全天基光网络架构，通过简单易实现的方法实现了针对不同的业务颗粒度和不同安全等级的需求，通过OSU硬切片的灵活调整实现安全防护方法。以上所述仅为本发明在实施例中的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应该涵盖在本发明保护范围之内。