第 3 期 蘇昭陽：面向智能高鐵的低軌衛(wèi)星通信發(fā)展綜述 ·97·

[23] HADANI R, RAKIB S, MOLISCH A F, et al. Orthogonal time

frequency space (OTFS) modulation for millimeter-wave communications systems[C]//Proceedings of 2017 IEEE MTT-S International Microwave Symposium (IMS). Piscataway: IEEE Press,

2017: 681-683.

[24] CHEN S Z, ZHAO J. The requirements, challenges, and technologies for 5G of terrestrial mobile telecommunication[J]. IEEE

Communications Magazine, 2014, 52(5): 36-43.

[25] 孫耀華, 彭木根. 面向手機(jī)直連的低軌衛(wèi)星通信: 關(guān)鍵技術(shù)、發(fā)

展現(xiàn)狀與未來展望[J]. 電信科學(xué), 2023, 39(2): 25-36.

SUN Y H, PENG M G. Low earth orbit satellite communication

supporting direct connection with mobile phones: key technologies,

recent progress and future directions[J]. Telecommunications Science, 2023, 39(2): 25-36.

[26] GHARSELLAOUI A E, GHANEM S A M, TARCHI D, et al. Energy efficient adaptive network coding schemes for satellite communications[C]//International Conference on Wireless and Satellite

Systems. Cham: Springer, 2017: 202-212.

[27] ARAPOGLOU P D, LIOLIS K, BERTINELLI M, et al. MIMO

over satellite: a review[J]. IEEE Communications Surveys & Tutorials, 2011, 13(1): 27-51.

[28] ZOU Q Y, ZHU L D. Dynamic channel allocation strategy of satellite communication systems based on grey prediction[C]//Proceedings of 2019 International Symposium on Networks, Computers and Communications (ISNCC). Piscataway:

IEEE Press, 2019: 1-5.

[29] HONG W, JIANG Z H, YU C, et al. Multibeam antenna technologies for 5G wireless communications[J]. IEEE Transactions on Antennas and Propagation, 2017, 65(12): 6231-6249.

[30] GAO X Q, JIANG B, LI X, et al. Statistical eigenmode transmission over jointly correlated MIMO channels[J]. IEEE Transactions

on Information Theory, 2009, 55(8): 3735-3750.

[31] ZHENG F, PI Z, ZHOU Z, et al. LEO satellite channel allocation

scheme based on reinforcement learning[J]. Mobile Information

Systems, 2020: 1-10.

[32] ZHOU J, YE X G, PAN Y, et al. Dynamic channel reservation

scheme based on priorities in LEO satellite systems[J]. Journal of

Systems Engineering and Electronics, 2015, 26(1): 1-9.

[33] CHO S, AKYILDIZ I F, BENDER M D, et al. A new connection

admission control for spotbeam handover in LEO satellite networks[J]. Wireless Networks, 2002, 8(4): 403-415.

[34] TUYSUZ A, ALAGOZ F. Satellite mobility pattern based handover

management algorithm in LEO satellites[C]//Proceedings of 2006

IEEE International Conference on Communications. Piscataway:

IEEE Press, 2006: 1867-1872.

[35] WU Z F, JIN F L, LUO J X, et al. A graph-based satellite handover

framework for LEO satellite communication networks[J]. IEEE

Communications Letters, 2016, 20(8): 1547-1550.

[36] 底曉強(qiáng), 于力偉, 劉旭, 等. 一種基于演化博弈的低軌衛(wèi)星切換

算法研究[J]. 南京大學(xué)學(xué)報(bào)(自然科學(xué)), 2018, 54(4): 855-862.

DI X Q, YU L W, LIU X, et al. Research on LEO satellite handover

algorithm based on evolutionary game[J]. Journal of Nanjing University (Natural Sciences), 2018, 54(4): 855-862.

[37] LI T X, ZHOU H C, LUO H B, et al. Timeout strategy-based mobility management for software defined satellite networks[C]//

Proceedings of 2017 IEEE Conference on Computer Communications Workshops (INFOCOM WKSHPS). Piscataway: IEEE Press,

2017: 319-324.

[38] WANG Y, CHEN Y, QIAO Y F, et al. Cooperative beam hopping

for accurate positioning in ultra-dense LEO satellite networks[C]//Proceedings of 2021 IEEE International Conference on

Communications Workshops (ICC Workshops). Piscataway: IEEE

Press, 2021: 1-6.

[39] BAO J Z, ZHAO B K, YU W R, et al. OpenSAN[J]. ACM

SIGCOMM Computer Communication Review, 2015, 44(4): 347-348.

[40] 王奎宇, 宋曉勤, 繆娟娟, 等. 基于 SDN 的高性能 QoS 保障低

軌道衛(wèi)星星間路由算法[J]. 計(jì)算機(jī)工程, 2022, 48(5): 185-190.

WANG K Y, SONG X Q, MIAO J J, et al. SDN-based

high-performance and QoS guaranteed inter-satellite routing algorithm for low-earth orbit satellites[J]. Computer Engineering, 2022,

48(5): 185-190.

[41] 魏琳慧, 帥家成, 劉雨, 等. 軟件定義的星地組網(wǎng)體系架構(gòu)研究

[J]. 信息通信技術(shù)與政策, 2021, 47(9): 47-54.

WEI L H, SHUAI J C, LIU Y, et al. Research on integrated satellite

and terrestrial network architecture based on software-defined networking[J]. Telecommunications Network Technology, 2021, 47(9):

47-54.

[42] SHI Y P, CAO Y R, LIU J J, et al. A cross-domain SDN architecture for multi-layered space-terrestrial integrated networks[J]. IEEE

Network, 2019, 33(1): 29-35.

[43] PAPA A, DE COLA T, VIZARRETA P, et al. Dynamic SDN controller placement in a LEO constellation satellite network[C]// Proceedings of 2018 IEEE Global Communications Conference

(GLOBECOM). Piscataway: IEEE Press, 2019: 206-212.

·98· 天地一體化信息網(wǎng)絡(luò) 第 4 卷

蘇昭陽（1998? ），男，北京交通大學(xué)電子信息

工程學(xué)院博士生，主要研究方向?yàn)樾l(wèi)星通信、

無線信道建模等。

劉留（1981? ），男，博士，北京交通大學(xué)電子

信息工程學(xué)院教授、博士生導(dǎo)師，主要研究方

向?yàn)闊o線信道測量與建模、時(shí)變信道信號(hào)處理、

5G 關(guān)鍵技術(shù)、高鐵寬帶接入物理層關(guān)鍵技術(shù)

等。

周濤（1988? ），男，博士，北京交通大學(xué)電子

信息工程學(xué)院教授，主要從事通信信號(hào)處理、

無線信道測量與建模研究工作。

藺偉（1976? ），男，研究員，主要從事鐵路通

信研究等工作。

梁軼群（1982? ），男，研究員，主要從事鐵路

通信基礎(chǔ)理論研究、標(biāo)準(zhǔn)制定、應(yīng)用業(yè)務(wù)、檢

驗(yàn)檢測、工程設(shè)計(jì)等工作。

張嘉馳（1991? ），男，北京交通大學(xué)電子信息

工程學(xué)院博士生，主要研究方向?yàn)閷拵б苿?dòng)通

信技術(shù)。

[作者簡介]

2023 年 9 月 Space-Integrated-Ground Information Networks September 2023

第 4 卷第 3 期 天 地 一 體 化 信 息 網(wǎng) 絡(luò) Vol.4 No.3

衛(wèi)星確定性網(wǎng)絡(luò)關(guān)鍵技術(shù)和挑戰(zhàn)

紀(jì)若愚 1

，張恒升 2

，劉美慧 1

，李鶴 1

，許方敏 1

，趙成林 1

（1. 北京郵電大學(xué)信息與通信工程學(xué)院，北京 100876；

2. 中國信息通信研究院，北京 100191）

摘 要：衛(wèi)星互聯(lián)網(wǎng)是滿足未來無處不在的網(wǎng)絡(luò)接入的重要手段，具有覆蓋范圍廣、通信容量大、全球無縫連接等優(yōu)點(diǎn)，在災(zāi)

害預(yù)防、海洋作業(yè)等方面具有廣泛的應(yīng)用場景。從衛(wèi)星互聯(lián)網(wǎng)如何實(shí)現(xiàn)確定性傳輸?shù)脑妇俺霭l(fā)，結(jié)合現(xiàn)有的確定性網(wǎng)絡(luò)技術(shù)，

提出衛(wèi)星確定性網(wǎng)絡(luò)架構(gòu)，指出衛(wèi)星確定性網(wǎng)絡(luò)中確定性接入、多業(yè)務(wù)差異化保障、動(dòng)態(tài)資源分配和路徑備份方面存在的挑戰(zhàn)

以及未來的發(fā)展方向。

關(guān)鍵詞：衛(wèi)星互聯(lián)網(wǎng)；確定性網(wǎng)絡(luò)；網(wǎng)絡(luò)架構(gòu)；確定性接入；差異化保障

中圖分類號(hào)：TN927

文獻(xiàn)標(biāo)識(shí)碼：A

doi: 10.11959/j.issn.2096?8930.2023035

Key Technologies and Challenges of Satellite

Deterministic Network

JI Ruoyu1

, ZHANG Hengsheng2

, LIU Meihui1

, LI He1

, XU Fangmin1

, ZHAO Chenglin1

1. School of Communication and Information Engineering, Beijing University of Posts and Telecommunications, Beijing 100876, China

2. China Academy of Information and Communications Technology, Beijing 100191, China

Abstract: Satellite internet is an important means to meet the ubiquitous network access in the future. It has a wide range of application

scenarios in disaster prevention, marine operation and scientific research broadband on account of its wide coverage, large communication capacity and global seamless connection. Started from the vision of the deterministic transmission of satellite internet, combined

with the existing deterministic network technology, the satellite deterministic network architecture was put forward, and the existing

challenges and future development in deterministic access, multi-service differentiation guarantee, dynamic resource allocation and path

backup of satellite deterministic network were pointed out.

Keywords: satellite internet, deterministic network, network architecture, deterministic access, differentiated guarantee

0 引言

衛(wèi)星互聯(lián)網(wǎng)將在下一代全球融合通信網(wǎng)絡(luò)中發(fā)揮至

關(guān)重要的作用，是各國研究的技術(shù)熱點(diǎn)。相比于其他通信

網(wǎng)絡(luò)，衛(wèi)星互聯(lián)網(wǎng)具有通信距離遠(yuǎn)、傳輸容量大、覆蓋面

積廣、通信頻帶寬、可擴(kuò)展、靈活性高的優(yōu)勢。

確定性網(wǎng)絡(luò)（Deterministic Networking，DetNet）通

過對網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)行為的控制，將時(shí)延、抖動(dòng)和丟包率等

網(wǎng)絡(luò)服務(wù)質(zhì)量控制在有限范圍內(nèi)，并對不同等級(jí)的業(yè)務(wù)構(gòu)

建差異化的網(wǎng)絡(luò)服務(wù)。由于空間網(wǎng)絡(luò)節(jié)點(diǎn)的高動(dòng)態(tài)性，鏈

路時(shí)延和丟包率等參數(shù)會(huì)動(dòng)態(tài)變化。在對通信服務(wù)質(zhì)量要

求高的應(yīng)用中，如應(yīng)急通信中，有必要在衛(wèi)星互聯(lián)網(wǎng)中引

入確定性網(wǎng)絡(luò)技術(shù)，提升衛(wèi)星互聯(lián)網(wǎng)的通信質(zhì)量。通過在

衛(wèi)星互聯(lián)網(wǎng)中引入確定性網(wǎng)絡(luò)技術(shù)，對衛(wèi)星互聯(lián)網(wǎng)的感

知、傳輸、計(jì)算、存儲(chǔ)、通信協(xié)議、頻率、任務(wù)等網(wǎng)絡(luò)資

源加以協(xié)調(diào)，實(shí)現(xiàn)確定性地控制衛(wèi)星通信服務(wù)的時(shí)延、抖

動(dòng)和丟包率，對未來衛(wèi)星互聯(lián)網(wǎng)的發(fā)展有重大意義。衛(wèi)星

互聯(lián)網(wǎng)中引入確定性網(wǎng)絡(luò)技術(shù)存在著諸多困難，如分段時(shí)

收稿日期：2022–12–15；修回日期：2023–04–10

基金項(xiàng)目：國家自然科學(xué)基金資助項(xiàng)目（No.61971050）；2021 年工業(yè)與信息化部工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展工程項(xiàng)目（No.TC210A02K）

Foundation Items：The National Natural Science Foundation of China(No.61971050)，The Industrial Internet Innovation Development Project of the Ministry of Industry

and Information Technology in 2021(No. TC210A02K)

·100· 天地一體化信息網(wǎng)絡(luò) 第 4 卷

延由于傳輸路徑變化而動(dòng)態(tài)改變，節(jié)點(diǎn)的動(dòng)態(tài)變化使得路

由路徑隨時(shí)間改變，因此，面向相對靜態(tài)網(wǎng)絡(luò)場景設(shè)計(jì)的

傳統(tǒng)確定性技術(shù)方案需要進(jìn)行一定的改進(jìn)以適應(yīng)衛(wèi)星互

聯(lián)網(wǎng)的特點(diǎn)。

1 確定性網(wǎng)絡(luò)技術(shù)概述

1.1 確定性網(wǎng)絡(luò)概念和特征

工業(yè)設(shè)備控制、車聯(lián)網(wǎng)、電力保護(hù)等新型業(yè)務(wù)對網(wǎng)絡(luò)

有著很高的要求，如，端到端時(shí)延保持在微秒級(jí)或毫秒級(jí)，

抖動(dòng)保持在微秒級(jí)，可靠性在 99.999 9%以上等，傳統(tǒng)以

太網(wǎng)“盡力而為”的傳輸方式很難滿足這些要求。因此，

具有低時(shí)延、低抖動(dòng)、高可靠性的確定性網(wǎng)絡(luò)技術(shù)引起了

工業(yè)界和產(chǎn)業(yè)界的關(guān)注。

確定性網(wǎng)絡(luò)是在以太網(wǎng)的基礎(chǔ)上能夠?yàn)槎喾N業(yè)務(wù)提

供端到端確定性服務(wù)質(zhì)量的網(wǎng)絡(luò)，具體來說，對確定性服

務(wù)質(zhì)量制定上下限的限制包括：上限確定的低時(shí)延、上限

確定的低抖動(dòng)、上限確定的低丟包率、上下限確定的高帶

寬、下限確定的高可靠性，如圖 1 所示。

1.2 確定性網(wǎng)絡(luò)技術(shù)

確定性網(wǎng)絡(luò)的技術(shù)關(guān)鍵在于實(shí)現(xiàn)時(shí)延、抖動(dòng)、丟包率、帶

寬和可靠性等的確定性[1]。其中確定性時(shí)延主要通過時(shí)鐘同

步、頻率同步、調(diào)度整形、資源預(yù)留等機(jī)制實(shí)現(xiàn)；確定性抖動(dòng)

和丟包率通過優(yōu)先級(jí)劃分、抖動(dòng)消減、緩沖吸收等機(jī)制實(shí)現(xiàn)；

確定性帶寬通過網(wǎng)絡(luò)切片和帶寬預(yù)留等技術(shù)實(shí)現(xiàn)；確定性可靠

性通過多路復(fù)用、包復(fù)制與消除、冗余備份等技術(shù)實(shí)現(xiàn)。

目前對確定性網(wǎng)絡(luò)技術(shù)的研究主要包括：在介質(zhì)訪問控

制（Media Access Control，MAC）層和物理層（Physical Layer，

PHY）之間 1.5 層工作的靈活以太網(wǎng)（Flexible Ethernet，

FlexE），在數(shù)據(jù)鏈路層工作的時(shí)間敏感網(wǎng)絡(luò)（Time-Sensitive

Networking，TSN）[2]，在傳輸層工作的確定性網(wǎng)絡(luò)[3]、確定

性 IP（Deterministic IP，DIP）網(wǎng)絡(luò)技術(shù)、確定性 Wi-Fi

(Deterministic-Wi-Fi，Det-Wi-Fi)[4]以及 5G 確定性網(wǎng)絡(luò)（5G

Deterministic Networking，5GDN）[5]。下面將針對時(shí)間敏感

網(wǎng)絡(luò)、確定性網(wǎng)絡(luò)、5G 確定性網(wǎng)絡(luò)做主要介紹。

TSN 是國內(nèi)與國際產(chǎn)業(yè)界和學(xué)術(shù)屆積極推動(dòng)和研究

的工業(yè)通信技術(shù)，定義了在以太網(wǎng)進(jìn)行數(shù)據(jù)傳輸?shù)臅r(shí)間敏

感機(jī)制，有效提高了標(biāo)準(zhǔn)以太網(wǎng)端到端數(shù)據(jù)傳輸?shù)膶?shí)時(shí)

性、確定性和可靠性，可用于解決二層網(wǎng)絡(luò)中的確定性保

障問題[6]。TSN 實(shí)時(shí)通信的功能包括精確的時(shí)間同步、流

量調(diào)度與整形、傳輸路徑的選擇和資源預(yù)留，主要應(yīng)用于

汽車控制領(lǐng)域、工廠內(nèi)網(wǎng)、智能電網(wǎng)等場景。在工業(yè)以太

網(wǎng)中部署 TSN，可以滿足業(yè)務(wù)確定性服務(wù)的要求，實(shí)現(xiàn)在

同一網(wǎng)絡(luò)中周期性業(yè)務(wù)和非周期性業(yè)務(wù)混合傳輸，促進(jìn)當(dāng)

前工業(yè)場景中信息技術(shù)（Information Technology，IT）與

運(yùn)營技術(shù)（Operation Technology，OT）的融合，統(tǒng)一網(wǎng)

絡(luò)傳輸，提高經(jīng)濟(jì)性。

DetNet 主要研究在第二層橋接和第三層路由段上實(shí)

現(xiàn)確定性傳輸?shù)穆窂?，?shí)現(xiàn)沿多跳路徑的轉(zhuǎn)發(fā)、確定性時(shí)

延、低丟包率與高可靠性。DetNet 的總體架構(gòu)如圖 2 所示，

DetNet 域由骨干路由與邊緣路由組成，DetNet 域間由不同

的邊緣路由連接。終端應(yīng)用業(yè)務(wù)流通過網(wǎng)絡(luò)用戶接口與確

定性網(wǎng)絡(luò)的邊緣路由相接，由邊緣路由的時(shí)延抖動(dòng)測量，

骨干路由的確定路徑與資源預(yù)留以及端到端顯式路由與

無縫冗余，實(shí)現(xiàn)終端應(yīng)用業(yè)務(wù)流的 3 層確定性傳輸，保障

網(wǎng)絡(luò)低丟包率、有界端到端時(shí)延的數(shù)據(jù)流傳輸，可以承載

實(shí)時(shí)的單播或多播數(shù)據(jù)流。

面向工業(yè)自動(dòng)化等應(yīng)用，Det-Wi-Fi通過對Wi-Fi MAC

協(xié)議的改進(jìn)設(shè)計(jì)來滿足非周期關(guān)鍵性數(shù)據(jù)的信道接入與

傳輸，能有效縮短關(guān)鍵數(shù)據(jù)的端到端時(shí)延；通過設(shè)備間的

相互協(xié)作通信以保障通信低時(shí)延、高可靠的傳輸。

5GDN 是指在現(xiàn)有 5G 網(wǎng)絡(luò)資源的基礎(chǔ)上，實(shí)現(xiàn)可規(guī)

劃、可預(yù)期、可驗(yàn)證的網(wǎng)絡(luò)服務(wù)能力，使 5G 網(wǎng)絡(luò)成為具

有確定性傳輸能力的移動(dòng)專網(wǎng)，能夠?yàn)椴煌瑯I(yè)務(wù)提供差異

化的服務(wù)[5]。借助網(wǎng)絡(luò)切片、邊緣計(jì)算、業(yè)務(wù)的感知與協(xié)

同、跨域協(xié)同調(diào)度保障、實(shí)時(shí)精確度量能力、與行業(yè)網(wǎng)絡(luò)

對接集成能力等先進(jìn)技術(shù)，為行業(yè)客戶提供“差異化+確

圖 1 5 種典型的確定性服務(wù)質(zhì)量

第 3 期 紀(jì)若愚等：衛(wèi)星確定性網(wǎng)絡(luò)關(guān)鍵技術(shù)和挑戰(zhàn) ·101·

定性”的網(wǎng)絡(luò)服務(wù)能力，全面提升傳統(tǒng)垂直行業(yè)的運(yùn)營效

率和智能化決策水平。

圖 2 DetNet 總體架構(gòu)

2 衛(wèi)星確定性網(wǎng)絡(luò)的架構(gòu)和工作流程

2.1 衛(wèi)星互聯(lián)網(wǎng)架構(gòu)

衛(wèi)星互聯(lián)網(wǎng)作為衛(wèi)星系統(tǒng)、空中網(wǎng)絡(luò)和地面通信的集

成，由于其獨(dú)特的特性，如異構(gòu)性、自組織性和時(shí)間可變

性等，面臨著諸多前所未有的挑戰(zhàn)。

如圖 3 所示，衛(wèi)星互聯(lián)網(wǎng)由空間段、地面段、控制和

管理段以及用戶段 4 個(gè)主體部分構(gòu)成[7]。其中，空間段由

一系列位于不同高度的軌道上的衛(wèi)星及其配套的地面基礎(chǔ)

設(shè)施（如地面站，網(wǎng)絡(luò)操作控制中心）組成，提供路由、

訪問控制和波束管理功能[8]；地面段由地面通信系統(tǒng)（如蜂

窩網(wǎng)絡(luò)等）、衛(wèi)星網(wǎng)關(guān)組成，可以為地面終端用戶提供連

接服務(wù)；控制和管理段由網(wǎng)絡(luò)控制中心（Network Control

Center，NCC）和網(wǎng)絡(luò)管理中心（Network manage Center，

NMC）組成[9]，作為整個(gè)衛(wèi)星互聯(lián)網(wǎng)的“大腦”為網(wǎng)絡(luò)提

供實(shí)時(shí)控制和管理功能；用戶段由海量終端用戶設(shè)備組成，

它們直接或間接接入衛(wèi)星互聯(lián)網(wǎng)從而獲取服務(wù)。

圖 3 衛(wèi)星互聯(lián)網(wǎng)體系結(jié)構(gòu)

衛(wèi)星互聯(lián)網(wǎng)的通信主要包括星間通信、星地通信以及

回傳鏈路。衛(wèi)星與衛(wèi)星之間的數(shù)據(jù)交互由星間通信鏈路完

成，衛(wèi)星之間的多點(diǎn)通信必須通過衛(wèi)星之間建立的通信鏈

路完成[10]。星地通信主要指的是衛(wèi)星和地面衛(wèi)星監(jiān)測中心

等的信息交互，地面衛(wèi)星監(jiān)測中心接收到信號(hào)之后需要網(wǎng)

絡(luò)控制中心進(jìn)行一系列決策。衛(wèi)星監(jiān)測中心和網(wǎng)絡(luò)控制中

心通過回傳鏈路為地面用戶提供服務(wù)。

在衛(wèi)星互聯(lián)網(wǎng)中，每個(gè)網(wǎng)段中的網(wǎng)絡(luò)資源常常無法處

于平衡狀態(tài)，因此在傳輸過程中很容易受到瓶頸的限制，

最佳的傳輸性能無法發(fā)揮，容易出現(xiàn)擁塞丟包的情況，很

難保障衛(wèi)星互聯(lián)網(wǎng)的確定性時(shí)延和可靠傳輸。

2.2 衛(wèi)星確定性網(wǎng)絡(luò)保障架構(gòu)

隨著確定性傳輸需求越來越強(qiáng)烈，SDN、網(wǎng)絡(luò)功能虛

擬化（Network Functions Virtualization，NFV）等網(wǎng)絡(luò)技

術(shù)受到廣泛關(guān)注，這些技術(shù)推動(dòng)了網(wǎng)絡(luò)架構(gòu)和網(wǎng)元?jiǎng)討B(tài)部

署的發(fā)展[11-12]。SDN 具有可編程性，使得網(wǎng)絡(luò)部署變得更

加靈活，能夠有效提高網(wǎng)絡(luò)資源利用率，網(wǎng)絡(luò)管理更加輕

松便捷，也降低了運(yùn)營成本。本文從衛(wèi)星互聯(lián)網(wǎng)如何高效、

低時(shí)延地服務(wù)地面應(yīng)用的愿景出發(fā)，結(jié)合 SDN 和 NFV 等

技術(shù)，提出一種基于 SDN 的衛(wèi)星確定性網(wǎng)絡(luò)架構(gòu)，能夠

實(shí)現(xiàn)空間段和地面段的虛擬化和集中管控、數(shù)據(jù)的集中轉(zhuǎn)

發(fā)處理和對異構(gòu)網(wǎng)絡(luò)資源的優(yōu)化利用。

如圖 4 所示，基于 SDN 的衛(wèi)星互聯(lián)網(wǎng)總體結(jié)構(gòu)可以

劃分為控制平面和數(shù)據(jù)平面。數(shù)據(jù)平面包括軟件定義的衛(wèi)

星接入網(wǎng)和衛(wèi)星核心網(wǎng)。接入網(wǎng)包括衛(wèi)星網(wǎng)關(guān)、地面基站、

移動(dòng)終端和在軌衛(wèi)星。控制平面（位于網(wǎng)絡(luò)控制器中）包

括兩個(gè)關(guān)鍵部件：網(wǎng)絡(luò)管理器和定制的衛(wèi)星互聯(lián)網(wǎng)應(yīng)用。

在訪問網(wǎng)絡(luò)的各類資源時(shí)，網(wǎng)絡(luò)控制器可以為網(wǎng)絡(luò)管理器

和衛(wèi)星互聯(lián)網(wǎng)應(yīng)用提供統(tǒng)一的可編程接口，方便訪問和管

理網(wǎng)絡(luò)資源。

在衛(wèi)星互聯(lián)網(wǎng)中，部分廣播控制信道為流控制所保

留，同時(shí)數(shù)據(jù)流和控制流會(huì)共享層內(nèi)控制信道，網(wǎng)絡(luò)控制

器可以利用上述兩種信道來配置和管理軟件定義的衛(wèi)星

互聯(lián)網(wǎng)設(shè)備。廣播控制信道由地球靜止軌道

（Geosynchronous Earth Orbit，GEO）衛(wèi)星廣播實(shí)現(xiàn)，以確

保網(wǎng)絡(luò)控制器與低地球軌道（Low Earth Orbit，LEO）衛(wèi)

星之間的一跳連接。層內(nèi)控制信道由低軌衛(wèi)星之間的點(diǎn)對

點(diǎn)鏈路實(shí)現(xiàn)。

為實(shí)現(xiàn)確定性傳輸，控制器收集網(wǎng)絡(luò)狀態(tài)，計(jì)算路徑，

并下發(fā)指令，在控制層規(guī)劃整個(gè)網(wǎng)絡(luò)拓?fù)涞馁Y源預(yù)留、冗

余路徑和調(diào)度計(jì)劃方案，從而能夠處理跨域中的大規(guī)模確

定性網(wǎng)絡(luò)流。以資源預(yù)留保障端到端確定性傳輸時(shí)延為

·102· 天地一體化信息網(wǎng)絡(luò) 第 4 卷

例，首先將給定的目標(biāo)時(shí)延分解，得出每一跳的時(shí)延要求，

便可以據(jù)此計(jì)算所需的帶寬值；然后確認(rèn)是否預(yù)留成功，

保障目標(biāo)數(shù)據(jù)流的傳輸帶寬，同時(shí)提高帶寬的利用率[13]。

通過控制器下發(fā)更新配置實(shí)現(xiàn)動(dòng)態(tài)預(yù)留，在控制器端配置

終端設(shè)備的流量參數(shù)（包括流量發(fā)送周期大小等流量模型

參數(shù)），數(shù)據(jù)包經(jīng)過怎樣的路徑轉(zhuǎn)發(fā)主要由控制器整體決

策后進(jìn)行調(diào)度和規(guī)劃，同時(shí)結(jié)合高精度時(shí)鐘同步，計(jì)算出

高精度周期性分時(shí)隙預(yù)留帶寬的預(yù)留值，再通過控制器下

發(fā)至交換設(shè)備執(zhí)行。

管理平面為保障確定性網(wǎng)絡(luò)性能，支持對不同網(wǎng)域確

定性網(wǎng)絡(luò)流性能的監(jiān)測，同時(shí)對流的完整性和連接性也有

檢測功能。確定性網(wǎng)絡(luò)數(shù)據(jù)平面由服務(wù)層和轉(zhuǎn)發(fā)層構(gòu)成。

服務(wù)層提供包的復(fù)制、去重和排序功能。轉(zhuǎn)發(fā)層可以提供

諸如顯性路徑、流量工程和擁塞控制的轉(zhuǎn)發(fā)保證。

SDN 的可編程功能可以輕松實(shí)現(xiàn)網(wǎng)絡(luò)中轉(zhuǎn)發(fā)規(guī)則的

更新，減少數(shù)據(jù)傳輸時(shí)延和資源消耗，從而實(shí)現(xiàn)衛(wèi)星互聯(lián)

網(wǎng)中資源分配的優(yōu)化，減少由于網(wǎng)絡(luò)資源匱乏而引發(fā)的擁

塞和丟包問題，提升數(shù)據(jù)傳輸?shù)目煽啃訹14]。此外，SDN 控

制器還可以承擔(dān)網(wǎng)絡(luò)的安全監(jiān)控任務(wù)，保障衛(wèi)星互聯(lián)網(wǎng)的

安全性。

3 潛在問題和可能解決的方案

相比于地面?zhèn)鹘y(tǒng)網(wǎng)絡(luò)，衛(wèi)星互聯(lián)網(wǎng)中的數(shù)據(jù)流呈現(xiàn)

突發(fā)性，具有動(dòng)態(tài)時(shí)變的特點(diǎn)，使得現(xiàn)有的確定性保障

技術(shù)不能很好地適應(yīng)空間信息網(wǎng)絡(luò)和業(yè)務(wù)，表 1 匯總了

相關(guān)的技術(shù)和存在的問題。下面將從時(shí)變網(wǎng)絡(luò)確定性接

入、多業(yè)務(wù)差異化調(diào)度保障、動(dòng)態(tài)資源分配、路徑備份 4

個(gè)主要方面分析衛(wèi)星確定性網(wǎng)絡(luò)存在的問題以及可能的

解決方案。

表 1 相關(guān)的技術(shù)和存在的問題

確定性 具體技術(shù) 空間應(yīng)用存在的問題

確定時(shí)延

網(wǎng)絡(luò)演算 到達(dá)模型和信道服務(wù)模型建模困難

時(shí)變圖理論 資源表征無時(shí)間屬性

確定可靠性

多協(xié)議標(biāo)簽交換技術(shù) 拓?fù)鋾r(shí)變性

路徑備份 資源有限

確定安全性

接入控制 時(shí)延高，失敗率高

網(wǎng)絡(luò)切片安全隔離 計(jì)算復(fù)雜度高

3.1 時(shí)變網(wǎng)絡(luò)確定性接入

在衛(wèi)星互聯(lián)網(wǎng)中接入控制機(jī)制會(huì)對網(wǎng)絡(luò)性能參數(shù)產(chǎn)

生影響，導(dǎo)致業(yè)務(wù)無法確定性傳輸，最終影響到用戶的

接入體驗(yàn)[15]。但是隨著衛(wèi)星互聯(lián)網(wǎng)的逐漸發(fā)展，用戶終

端數(shù)量急劇增加，導(dǎo)致網(wǎng)絡(luò)接入時(shí)延更長，接入失敗率

更高。衛(wèi)星互聯(lián)網(wǎng)中的接入設(shè)備多種多樣并且設(shè)備間對

性能要求差異性很大，對設(shè)備進(jìn)行集中接入控制是很有

必要的[16]。因此，需要針對衛(wèi)星互聯(lián)網(wǎng)設(shè)計(jì)一套高效、

輕量的接入控制機(jī)制，設(shè)計(jì)適當(dāng)?shù)脑L問和切換標(biāo)準(zhǔn)，優(yōu)

化接入時(shí)延和成功率。此外，由于衛(wèi)星互聯(lián)網(wǎng)跨度大，

圖 4 衛(wèi)星確定性網(wǎng)絡(luò)管控架構(gòu)

第 3 期 紀(jì)若愚等：衛(wèi)星確定性網(wǎng)絡(luò)關(guān)鍵技術(shù)和挑戰(zhàn) ·103·

資源分配不均，使得網(wǎng)絡(luò)中部分區(qū)域接入資源過剩而部

分區(qū)域接入資源不足，在進(jìn)行資源分配時(shí)，必須兼顧到

各個(gè)區(qū)域的特點(diǎn)。

在衛(wèi)星互聯(lián)網(wǎng)中，為了更好地描述網(wǎng)絡(luò)中拓?fù)潆S時(shí)間

的演變關(guān)系，可以考慮通過構(gòu)建時(shí)變圖模型來描述衛(wèi)星互

聯(lián)網(wǎng)資源的演變。時(shí)變圖模型是時(shí)變網(wǎng)絡(luò)協(xié)議與算法設(shè)計(jì)

的理論基礎(chǔ)，表征了節(jié)點(diǎn)資源及其連接關(guān)系的時(shí)變性，具

有精準(zhǔn)建模和高效求解的特點(diǎn)[17]?？臻g信息網(wǎng)絡(luò)拓?fù)鋾r(shí)變

圖如圖 5 所示。

圖 5 空間信息網(wǎng)絡(luò)拓?fù)鋾r(shí)變圖

在利用時(shí)變圖理論對衛(wèi)星互聯(lián)網(wǎng)的動(dòng)態(tài)拓?fù)溥M(jìn)行建

模時(shí)，模型的好壞會(huì)對后續(xù)的分析過程產(chǎn)生影響，進(jìn)而影

響到用戶的確定性接入。由此可見，精準(zhǔn)高效的建模顯得

至關(guān)重要。一方面，模型要能精準(zhǔn)表征節(jié)點(diǎn)資源的時(shí)變性

和資源間的聯(lián)系；另一方面，模型不能占據(jù)過多的存儲(chǔ)資

源并且可以實(shí)現(xiàn)快速準(zhǔn)確的分析。通過將衛(wèi)星時(shí)變資源圖

與地面可用資源結(jié)合起來，動(dòng)態(tài)地為接入用戶提供服務(wù)，

以保障接入控制和數(shù)據(jù)傳輸?shù)馁|(zhì)量。

3.2 多業(yè)務(wù)差異化調(diào)度保障

在衛(wèi)星互聯(lián)網(wǎng)中設(shè)備通過單跳或多跳鏈路互聯(lián)互通，

設(shè)備采用共享資源模式進(jìn)行信息傳輸，這種共享模式有效

提升了鏈路資源的利用率，但是多樣化業(yè)務(wù)在同一鏈路中

傳輸也導(dǎo)致了鏈路擁塞概率的提升，使得網(wǎng)絡(luò)的時(shí)間確定

性難以保障。

要解決這一問題，可以根據(jù)業(yè)務(wù)的緊急程度事先劃分

好優(yōu)先級(jí)，網(wǎng)絡(luò)中通過約定好的調(diào)度規(guī)則進(jìn)行傳輸，從而

使得確定性業(yè)務(wù)達(dá)到一個(gè)無沖突的狀態(tài)，減少了業(yè)務(wù)在交

換過程中由于不可控排隊(duì)而產(chǎn)生擁塞的情況，也有效地減

少了設(shè)備的緩存成本以及傳輸時(shí)延，從而使得整個(gè)衛(wèi)星互

聯(lián)網(wǎng)的的業(yè)務(wù)傳輸達(dá)到了確定性的狀態(tài)。

近年來，隨著網(wǎng)絡(luò)演算理論的不斷發(fā)展，利用網(wǎng)絡(luò)

演算求解得出衛(wèi)星互聯(lián)網(wǎng)傳輸時(shí)延與抖動(dòng)的上限，可以

實(shí)現(xiàn)時(shí)延和積壓的可預(yù)測性，更進(jìn)一步保障了時(shí)間確定

性。如圖 6 所示，在衛(wèi)星互聯(lián)網(wǎng)中使用網(wǎng)絡(luò)演算的核心

思想是利用到達(dá)曲線和服務(wù)曲線來描述業(yè)務(wù)和衛(wèi)星節(jié)點(diǎn)

的特性。具體而言，先基于網(wǎng)絡(luò)演算對衛(wèi)星業(yè)務(wù)和節(jié)點(diǎn)

進(jìn)行建模，得到到達(dá)曲線和服務(wù)曲線并利用曲線計(jì)算最

大水平偏差和垂直距離得到該節(jié)點(diǎn)排隊(duì)時(shí)延和隊(duì)列積

壓，最終將各個(gè)節(jié)點(diǎn)的時(shí)延和積壓累加得出整個(gè)衛(wèi)星互

聯(lián)網(wǎng)的性能。

圖 6 衛(wèi)星鏈路性能計(jì)算示例

為了得到精確的性能邊界，對業(yè)務(wù)模型和衛(wèi)星節(jié)點(diǎn)

服務(wù)模型進(jìn)行準(zhǔn)確建模，進(jìn)而得到相應(yīng)的到達(dá)曲線和服

務(wù)曲線顯得尤為重要。但是在實(shí)際的衛(wèi)星互聯(lián)網(wǎng)中，受

區(qū)域和接入?yún)f(xié)議等因素的影響，業(yè)務(wù)流和節(jié)點(diǎn)服務(wù)具有

一定的隨機(jī)性，這些給建模帶來了一定的困難[18]，而且

通過網(wǎng)絡(luò)演算所得到的時(shí)延和積壓上界是在保障衛(wèi)星互

聯(lián)網(wǎng)服務(wù)質(zhì)量（Quality of Service，QoS）條件下的最差

性能邊界，實(shí)際中如果按照最差性能邊界來配置衛(wèi)星互

聯(lián)網(wǎng)的性能參數(shù)，必然會(huì)造成資源浪費(fèi)，針對這一問題

還需要進(jìn)一步研究分析。

此外，網(wǎng)絡(luò)切片隔離技術(shù)可以用于保障衛(wèi)星互聯(lián)網(wǎng)

的安全接入和多業(yè)務(wù)共享。通過網(wǎng)絡(luò)切片中所采用的隔

離機(jī)制可以有效地提升衛(wèi)星互聯(lián)網(wǎng)的安全性，但是，隨

著網(wǎng)絡(luò)切片隔離程度的增加，資源消耗量也隨之增加。

目前一些網(wǎng)絡(luò)切片隔離算法未能在衛(wèi)星節(jié)點(diǎn)資源利用率

與衛(wèi)星互聯(lián)網(wǎng)安全性方面做好權(quán)衡，這在資源受限的衛(wèi)

星互聯(lián)網(wǎng)中是不能忍受的。因此，為了在保障衛(wèi)星互聯(lián)

網(wǎng)服務(wù)質(zhì)量的同時(shí)還能滿足安全方面的要求，需要設(shè)計(jì)

合理的網(wǎng)絡(luò)切片算法。

3.3 動(dòng)態(tài)資源分配

資源分配算法可以為不同優(yōu)先級(jí)的業(yè)務(wù)分配不同的

資源，從而有效解決不同業(yè)務(wù)的 QoS 需求問題，降低鏈路

時(shí)延并且提高資源利用率，可以最大程度利用有限的網(wǎng)絡(luò)

資源[19]。在衛(wèi)星互聯(lián)網(wǎng)中，如何利用資源分配算法確定性

地保障不同用戶的 QoS 是亟待解決的問題。

·104· 天地一體化信息網(wǎng)絡(luò) 第 4 卷

在傳統(tǒng)衛(wèi)星通信系統(tǒng)中，資源分配算法是基于資源請

求進(jìn)行的，資源申請流程煩瑣和資源分配的不穩(wěn)定，使得

資源分配具有接入成功率低和利用率低等問題[20]。隨著衛(wèi)

星互聯(lián)網(wǎng)的不斷發(fā)展，終端用戶和業(yè)務(wù)類型的持續(xù)增加會(huì)

給衛(wèi)星互聯(lián)網(wǎng)負(fù)載帶來更大的挑戰(zhàn)。顯然，這種方法已經(jīng)

不能滿足新的資源需求，也無法適應(yīng)衛(wèi)星互聯(lián)網(wǎng)的網(wǎng)絡(luò)狀

態(tài)和業(yè)務(wù)需求變化。

針對這一問題，本文考慮從簡化衛(wèi)星互聯(lián)網(wǎng)節(jié)點(diǎn)資源

的申請流程和研究針對衛(wèi)星互聯(lián)網(wǎng)的最優(yōu)資源分配算法

兩方面入手解決。前者可以通過基于預(yù)案匹配的資源申請

流程，通過預(yù)案的方式簡化了任務(wù)申請資源的流程，避免

了資源沖突，提升了資源調(diào)度的穩(wěn)定性；后者可以通過機(jī)

器學(xué)習(xí)算法依據(jù)業(yè)務(wù)優(yōu)先級(jí)為不同業(yè)務(wù)劃分不同鏈路并

設(shè)置相應(yīng)資源的動(dòng)態(tài)資源算法，在保障高優(yōu)先級(jí)業(yè)務(wù)在鏈

路資源不足的情況下，可以調(diào)用低優(yōu)先級(jí)業(yè)務(wù)鏈路中的空

閑資源，解決邊緣節(jié)點(diǎn)的資源利用率低而中心節(jié)點(diǎn)資源利

用率過高的問題，但是受到衛(wèi)星算力的影響，輸入多維的

資源信息會(huì)導(dǎo)致算法收斂速度變慢。因此，為了在保證資

源調(diào)度準(zhǔn)確性的同時(shí)提高實(shí)時(shí)性，基于機(jī)器學(xué)習(xí)的動(dòng)態(tài)資

源調(diào)度算法還有待進(jìn)一步研究。

3.4 路徑備份

相比于地面網(wǎng)絡(luò)，衛(wèi)星互聯(lián)網(wǎng)更加需要考慮設(shè)計(jì)路

徑備份和預(yù)留機(jī)制以保障傳輸?shù)目煽啃?，一方面，衛(wèi)星

互聯(lián)網(wǎng)自身具有特殊性，如拓?fù)鋭?dòng)態(tài)性、傳輸時(shí)延大和

星上資源受限等；另一方面，衛(wèi)星互聯(lián)網(wǎng)的傳輸路徑資

源有限，備份和資源預(yù)留勢必會(huì)影響網(wǎng)絡(luò)對服務(wù)的承載

能力。

為了解決這一問題，可以借助地面網(wǎng)絡(luò)中基于多協(xié)議

標(biāo)簽交換技術(shù)和 SRv6 等機(jī)制[21]，逐步引入衛(wèi)星互聯(lián)網(wǎng)研

究相應(yīng)算法。根據(jù)衛(wèi)星互聯(lián)網(wǎng)拓?fù)涮攸c(diǎn)和全球業(yè)務(wù)統(tǒng)計(jì)數(shù)

據(jù)，建立衛(wèi)星拓?fù)浜蜆I(yè)務(wù)結(jié)合的分析模型，使其能為關(guān)鍵

鏈路提供可靠性路由，為衛(wèi)星互聯(lián)網(wǎng)中的重要業(yè)務(wù)提供備

份路徑和動(dòng)態(tài)資源預(yù)留調(diào)整策略。

考慮到衛(wèi)星不同業(yè)務(wù)對時(shí)延、抖動(dòng)和可用帶寬的要求

不同，可以將業(yè)務(wù)劃分成不同的優(yōu)先級(jí)，通過事先為高優(yōu)

先級(jí)的業(yè)務(wù)預(yù)留網(wǎng)絡(luò)資源，降低高優(yōu)先級(jí)業(yè)務(wù)的等待時(shí)

延，從而滿足高優(yōu)先級(jí)業(yè)務(wù)的確定性傳輸。同時(shí)，當(dāng)高優(yōu)

先級(jí)業(yè)務(wù)和較低優(yōu)先級(jí)的業(yè)務(wù)混合傳輸時(shí)，由于事先為高

優(yōu)先級(jí)業(yè)務(wù)預(yù)留了網(wǎng)絡(luò)資源，減小了資源分配的求解空

間，所以可以快速地為低優(yōu)先級(jí)業(yè)務(wù)分配資源。

在衛(wèi)星互聯(lián)網(wǎng)中，鏈路故障是較為普遍的現(xiàn)象，即

便是短暫的故障也會(huì)造成大量數(shù)據(jù)的丟失。為了保障衛(wèi)

星互聯(lián)網(wǎng)的確定性傳輸，需要加快故障的恢復(fù)速度，最

大程度上降低鏈路故障的負(fù)面影響。路徑備份是當(dāng)前鏈

路故障恢復(fù)領(lǐng)域的研究熱點(diǎn)，通過提供端到端的重路由

實(shí)現(xiàn)鏈路的快速恢復(fù)，并且可以基于現(xiàn)有協(xié)議快速實(shí)現(xiàn)，

降低了在衛(wèi)星上的部署難度。

為了驗(yàn)證路徑備份對衛(wèi)星互聯(lián)網(wǎng)確定性傳輸?shù)母纳?/p>

效果，本文進(jìn)行了仿真驗(yàn)證。首先，創(chuàng)建一個(gè)由 GEO 衛(wèi)

星、中地球軌道（Medium Earth Orbit，MEO）衛(wèi)星、LEO

衛(wèi)星組成的衛(wèi)星互聯(lián)網(wǎng)。如圖 7 所示，衛(wèi)星節(jié)點(diǎn)的總數(shù)

為 M×N,其中 N 是衛(wèi)星的軌道數(shù)，M 是每條軌道上的衛(wèi)星

數(shù)量。

圖 7 衛(wèi)星互聯(lián)網(wǎng)示意

衛(wèi)星會(huì)沿著預(yù)定軌道不斷運(yùn)動(dòng)，由于衛(wèi)星互聯(lián)網(wǎng)的相

對位置基本固定，衛(wèi)星能夠直接通信的節(jié)點(diǎn)包含同軌道相

鄰的衛(wèi)星和相鄰軌道同一緯度的衛(wèi)星。基于這種特性，可

以構(gòu)建出衛(wèi)星互聯(lián)網(wǎng)的拓?fù)浣Y(jié)構(gòu)。在創(chuàng)建的網(wǎng)絡(luò)拓?fù)渲校?/p>

衛(wèi)星發(fā)送數(shù)據(jù)包時(shí)會(huì)基于最短路徑（迪杰斯特拉）算法計(jì)

算星間路由。當(dāng)采用路徑備份后，為了避免鏈路故障或數(shù)

據(jù)包丟失引起數(shù)據(jù)傳輸時(shí)延過長，衛(wèi)星會(huì)再計(jì)算一條次最

短路徑并保存在衛(wèi)星節(jié)點(diǎn)中，一旦發(fā)生故障可以快速切換

到這條路徑上，保證了端到端時(shí)延要求。如圖 8 所示，本

文比較了 3 種情況下端到端時(shí)延隨衛(wèi)星節(jié)點(diǎn)運(yùn)動(dòng)的變化情

況，分別是鏈路沒有故障、鏈路發(fā)生故障（有備份）和鏈

路發(fā)生故障（無備份）。可以明顯看出鏈路發(fā)生故障時(shí)，

提前備份路徑可以有效減少端到端傳輸時(shí)延，并且和鏈路

沒有發(fā)生故障時(shí)的傳輸時(shí)延沒有很大變化，保障了確定性

傳輸?shù)囊?。但是，衛(wèi)星互聯(lián)網(wǎng)對節(jié)點(diǎn)間可備份的路徑有

嚴(yán)格的數(shù)量限制，如何在復(fù)雜度與恢復(fù)效果間做權(quán)衡還需

進(jìn)一步研究。

第 3 期 紀(jì)若愚等：衛(wèi)星確定性網(wǎng)絡(luò)關(guān)鍵技術(shù)和挑戰(zhàn) ·105·

圖 8 傳輸時(shí)延比較

參考文獻(xiàn)：

[1] 黃韜, 汪碩, 黃玉棟, 等. 確定性網(wǎng)絡(luò)研究綜述[J]. 通信學(xué)報(bào),

2019, 40(6): 160-176.

HUANG T, WANG S, HUANG Y D, et al. Survey of the deterministic network[J]. Journal on Communications, 2019, 40(6): 160-176.

[2] 曹志鵬, 劉勤讓, 劉冬培, 等. 時(shí)間敏感網(wǎng)絡(luò)研究進(jìn)展[J]. 計(jì)算

機(jī)應(yīng)用研究, 2021, 38(3): 647-655.

CAO Z P, LIU Q R, LIU D P, et al. Survey of time-sensitive networking[J]. Application Research of Computers, 2021, 38(3):

647-655.

[3] GENG X, RYOO Y, FEDYK D, et al. Deterministic networking

(DetNet) YANG model[J]. Internet Engineering Task Force, 2021.

[4] CHENG Y J, YANG D, ZHOU H C. Det-WiFi: a multihop TDMA

MAC implementation for industrial deterministic applications

based on commodity 802.11 hardware[J]. Wireless Communications and Mobile Computing, 2017: 1-10.

[5] 汪碩, 王佳森, 蔡磊, 等. 面向工業(yè)制造的確定性網(wǎng)絡(luò)技術(shù)發(fā)展

研究[J]. 中國工程科學(xué), 2021, 23(2): 22-29.

WANG S, WANG J S, CAI L, et al. Development of deterministic

networking techniques for industrial manufacturing[J]. Strategic

Study of CAE, 2021, 23(2): 22-29.

[6] NASRALLAH A, THYAGATURU A S, ALHARBI Z, et al. Ultra-low latency (ull) networks: the ieee tsn and ietf detnet standards

and related 5g ull research[J]. IEEE Communications Surveys &

Tutorials, 2019, 21(1): 88-145.

[7] ALAGOZ F, GUR G. Energy efficiency and satellite networking: a

holistic overview[J]. Proceedings of the IEEE, 2011, 99(11):

1954-1979.

[8] VASAVADA Y, GOPAL R, RAVISHANKAR C, et al. Architectures

for next generation high throughput satellite systems[J]. International

Journal of satellite communications and networking, 2016, 34(4):

523-546.

[9] HU Y R, LI V O K. Satellite-based Internet: a tutorial[J]. IEEE

Communications Magazine, 2001, 39(3): 154-162.

[10] 張羽, 葉芝慧. 星間通信中帶寬和功率聯(lián)合分配算法[J]. 電子

測量技術(shù), 2016, 39(8): 181-185.

ZHANG Y, YE Z H. Joint bandwidth and power allocation algorithm in inter-satellite communication[J]. Electronic Measurement

Technology, 2016, 39(8): 181-185.

[11] KREUTZ D, RAMOS F M V, VERíSSIMO P E, et al. Software-defined networking: a comprehensive survey[J]. Proceedings

of the IEEE, 2015, 103(1): 14-76.

[12] KIM H, FEAMSTER N. Improving network management with

software defined networking[J]. IEEE Communications Magazine,

2013, 51(2): 114-119.

[13] 蘇建忠, 張華宇, 朱海龍. 結(jié)合 SDN 控制器的 TSN 周期性帶寬

預(yù)留值計(jì)算方法[J]. 通信學(xué)報(bào), 2021, 42(10): 23-31.

SU J Z, ZHANG H Y, ZHU H L. Computing method for periodic

stream reservation in TSN combined with SDN controller[J]. Journal on Communications, 2021, 42(10): 23-31.

[14] 王奎宇, 宋曉勤, 繆娟娟, 等. 基于 SDN 的高性能 QoS 保障低

軌道衛(wèi)星星間路由算法[J]. 計(jì)算機(jī)工程, 2022, 48(5): 185-190.

WANG K Y, SONG X Q, MIAO J J, et al. SDN-based

high-performance and QoS guaranteed inter-satellite routing algorithm for low-earth orbit satellites[J]. Computer Engineering, 2022,

48(5): 185-190.

[15] 張浩然. 異構(gòu)無線網(wǎng)絡(luò)聯(lián)合資源管理中接入控制策略的研究[D].

合肥: 中國科學(xué)技術(shù)大學(xué), 2013.

ZHANG H R. Radio access control in radio resource management

of heterogeneous wireless networks[D]. Hefei: University of Science and Technology of China, 2013.

[16] CHEN Q, MENG W X, LI S X, et al. Civil aircrafts augmented

space–air–ground-integrated vehicular networks: motivation,

breakthrough, and challenges[J]. IEEE Internet of Things Journal,

2022, 9(8): 5670-5683.

[17] ZHANG T, LI J D, LI H Y, et al. Application of time-varying graph

theory over the space information networks[J]. IEEE Network,

2020, 34(2): 179-185.

[18] 劉坤. 低軌衛(wèi)星互聯(lián)網(wǎng)的隨機(jī)網(wǎng)絡(luò)演算分析[D]. 西安: 西安電

子科技大學(xué), 2017.

LIU K. Analysis of LEO satellite network with stochastic network

calculus[D]. Xi'an: Xidian University, 2017.

[19] 羅倩, 魯勇, 劉魁, 等. 面向 SDN 的基于節(jié)點(diǎn)重要性的動(dòng)態(tài)帶

寬預(yù)留算法[J]. 西北師范大學(xué)學(xué)報(bào)(自然科學(xué)版), 2020, 56(6):

·106· 天地一體化信息網(wǎng)絡(luò) 第 4 卷

紀(jì)若愚（1996– ），男，北京郵電大學(xué)信息與通

信工程學(xué)院博士生，主要研究方向?yàn)榇_定性網(wǎng)

絡(luò)、網(wǎng)絡(luò)演算、時(shí)間敏感網(wǎng)絡(luò)。

張恒升（1981– ），男，碩士，中國信息通信研

究院高級(jí)工程師，主要研究方向?yàn)閿?shù)據(jù)通信技

術(shù)、IP 網(wǎng)絡(luò)技術(shù)、工業(yè)互聯(lián)網(wǎng)等。

劉美慧（1999– ），女，北京郵電大學(xué)信息與通

信工程學(xué)院博士生，主要研究方向?yàn)榇_定性網(wǎng)

絡(luò)、時(shí)間敏感網(wǎng)絡(luò)。

李鶴（1999– ），女，北京郵電大學(xué)信息與通信

工程學(xué)院博士生，主要研究方向?yàn)?5G、時(shí)間敏

感網(wǎng)絡(luò)和未來網(wǎng)絡(luò)。

許方敏（1982– ），男，博士，北京郵電大學(xué)副

教授，主要研究方向?yàn)槲锫?lián)網(wǎng)、未來網(wǎng)絡(luò)技術(shù)。

趙成林（1964– ），男，博士，北京郵電大學(xué)教

授、博士生導(dǎo)師，主要研究方向?yàn)槎叹酂o線傳

輸技術(shù)、認(rèn)知無線電技術(shù)、毫米波技術(shù)、工業(yè)

互聯(lián)網(wǎng)。

53-62.

LUO Q, LU Y, LIU K, et al. SDN oriented dynamic bandwidth

reservation algorithm based on node importance[J]. Journal of

Northwest Normal University (Natural Science), 2020, 56(6):

53-62.

[20] CAO J X. Towards tenant demand-aware bandwidth allocation

strategy in cloud datacenter[J]. Future Generation Computer Systems, 2020, 105: 904-915.

[21] 李碩朋, 方娟, 陳肯. 基于 SRv6 的確定性網(wǎng)絡(luò)服務(wù)共享保護(hù)方

案[J]. 通信學(xué)報(bào), 2021, 42(10): 32-42.

LI S P, FANG J, CHEN K. DetNet service share protection scheme

based on SRv6[J]. Journal on Communications, 2021, 42(10):

32-42.

[作者簡介]

2023 年 9 月 Space-Integrated-Ground Information Networks September 2023

第 4 卷第 3 期 天 地 一 體 化 信 息 網(wǎng) 絡(luò) Vol.4 No.3

基于 SDN 的智能安全接入平臺(tái)研究

李鵬，楊躍平，楊揚(yáng)

（國網(wǎng)浙江省電力有限公司寧波供電公司，浙江 寧波 315010）

摘 要：針對傳統(tǒng)的安全服務(wù)設(shè)備安全服務(wù)升級(jí)難、擴(kuò)展難的問題，首先，提出一種智能安全接入平臺(tái)的設(shè)計(jì)方案；然后，闡

述智能安全接入平臺(tái)的研發(fā)思路及其技術(shù)路線，并進(jìn)行硬件設(shè)計(jì)和軟件設(shè)計(jì)；最后，進(jìn)行平臺(tái)成果測試及部署建設(shè)。

關(guān)鍵詞：安全服務(wù)；SDN；智能安全接入平臺(tái)

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)識(shí)碼：A

doi: 10.11959/j.issn.2096?8930.2023036

Research on Intelligent Security Access

Platform Based on SDN

LI Peng, YANG Yueping, YANG Yang

State Grid Zhejiang Electric Power Co., Ltd., Ningbo Power Supply Company, Ningbo 315010, China

Abstract: Firstly, the difficulty of upgrading and expanding the traditional security service equipment were analyzed, and a design of an

intelligent security access platform was proposed. Then, the research and development ideas and technical routes of the intelligent security access platform were explained, and hardware and software were designed. Finally, the platform achievement test and application

deployment construction were carried out to verify the value of the platform.

Keywords: ecurity service, SDN, intelligent security access platform

0 引言

傳統(tǒng)通信網(wǎng)絡(luò)是一個(gè)按需建設(shè)、靜止且封閉的網(wǎng)絡(luò)，

隨著承載業(yè)務(wù)的多樣化，網(wǎng)絡(luò)也越來越復(fù)雜，隨著云計(jì)算、

物聯(lián)網(wǎng)等新興業(yè)務(wù)的出現(xiàn)和發(fā)展，傳統(tǒng)網(wǎng)絡(luò)模式已經(jīng)難以

為繼，并嚴(yán)重阻礙了網(wǎng)絡(luò)技術(shù)的發(fā)展和革新。轉(zhuǎn)發(fā)面開放

協(xié)議（OpenFlow）的出現(xiàn)，打破了傳統(tǒng)網(wǎng)絡(luò)以硬件為主的

發(fā)展模式，軟件開始成為了網(wǎng)絡(luò)發(fā)展的主要驅(qū)動(dòng)力，軟件

定義網(wǎng)絡(luò)（Software Defined Network, SDN）的概念開始在

運(yùn)營商、設(shè)備商、互聯(lián)網(wǎng)廠商之間廣為傳播，并掀起了一

股研究和應(yīng)用熱潮。

隨著對 SDN 研究的不斷深入，SDN 技術(shù)已經(jīng)延伸到

了衛(wèi)星互聯(lián)網(wǎng)領(lǐng)域，有效提高了衛(wèi)星運(yùn)營商的資源利用效

率和業(yè)務(wù)響應(yīng)速度，可以為用戶提供更多更好的服務(wù)，并

進(jìn)一步發(fā)揮衛(wèi)星網(wǎng)絡(luò)在通信領(lǐng)域的優(yōu)勢。在當(dāng)今瞬息萬變

的信息時(shí)代，許多行業(yè)越來越依賴日益互聯(lián)的各種網(wǎng)絡(luò)，

企業(yè)和用戶的重要信息都存儲(chǔ)在數(shù)據(jù)中心，這將帶來網(wǎng)絡(luò)

安全的嚴(yán)峻挑戰(zhàn)。

內(nèi)部攻擊成為了內(nèi)部安全最大的風(fēng)險(xiǎn)。在大數(shù)據(jù)、物

聯(lián)網(wǎng)技術(shù)、人工智能應(yīng)用的推動(dòng)下，邊緣計(jì)算的應(yīng)用場景

越來越多，在靠近數(shù)據(jù)源或用戶的地方提供計(jì)算、存儲(chǔ)等

基礎(chǔ)設(shè)施，并為邊緣應(yīng)用提供云服務(wù)和 IT 環(huán)境服務(wù)。相

比于集中部署的云計(jì)算服務(wù)，邊緣計(jì)算解決了時(shí)延過

高、匯聚流量過大等問題，為實(shí)時(shí)性和帶寬密集型業(yè)務(wù)

提供了更好的支持。隨著 5G 和工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，

新興業(yè)務(wù)對邊緣計(jì)算的需求十分迫切。在眾多垂直行業(yè)

新興業(yè)務(wù)中，對邊緣計(jì)算的需求主要體現(xiàn)在時(shí)延、帶寬

和安全 3 個(gè)方面。在工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、泛在電力物

聯(lián)網(wǎng)、綜合能源站的接入端，都需要更加靈活的網(wǎng)絡(luò)接

入設(shè)備。

安全是邊緣計(jì)算的關(guān)鍵要素。首先，有效的安全機(jī)制

才能避免引入邊緣計(jì)算應(yīng)用對服務(wù)的影響；其次，只有從

收稿日期：2023?07?01；修回日期：2023?09?01

·108· 天地一體化信息網(wǎng)絡(luò) 第 4 卷

技術(shù)和管理上切實(shí)保障邊緣計(jì)算本身的安全，才能掃除第

三方應(yīng)用入駐邊緣計(jì)算平臺(tái)的顧慮；此外，入駐邊緣計(jì)算

平臺(tái)的第三方應(yīng)用通常需要通用的安全能力（如防火墻、

IDS/IPS、WAP 等）。完善的網(wǎng)絡(luò)和信息安全機(jī)制，是邊緣

計(jì)算產(chǎn)業(yè)和生態(tài)健康發(fā)展的前提。

接入網(wǎng)關(guān)需要融合 ICT 技術(shù)、互聯(lián)網(wǎng)技術(shù)，需要對各

接入成分進(jìn)行實(shí)時(shí)監(jiān)測和分析，包括安全防御等。本文定

義了一個(gè)基于 SDN 的工業(yè)級(jí)安全路由網(wǎng)關(guān)平臺(tái)，硬件上

采用“CPU+路由交換芯片”異構(gòu)的網(wǎng)絡(luò)架構(gòu)，硬件全部

采用國產(chǎn)化芯片，實(shí)現(xiàn)了安全及自主可控；功能上實(shí)現(xiàn)了

網(wǎng)絡(luò)安全入侵檢測、防火墻、負(fù)載均衡、數(shù)據(jù)流分析和內(nèi)

容可視化監(jiān)控。針對云時(shí)代的工業(yè)融合和工業(yè) 4.0 時(shí)代

的網(wǎng)絡(luò)需求，實(shí)現(xiàn) SDN 管理和網(wǎng)絡(luò)低時(shí)延，同時(shí)支持

IPv4 和 IPv6 網(wǎng)絡(luò)協(xié)議。本文所提出的硬件成果可以應(yīng)用

于工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、泛在電力物聯(lián)網(wǎng)、綜合能源站

等場景。

1 智能安全接入平臺(tái)研發(fā)思路及技術(shù)路線

1.1 研發(fā)思路

傳統(tǒng)的安全服務(wù)設(shè)備與網(wǎng)絡(luò)拓?fù)渚o密耦合，需串聯(lián)

在網(wǎng)絡(luò)拓?fù)渲?，配置?fù)雜，且存在嚴(yán)重的單點(diǎn)故障，無

法隨業(yè)務(wù)安全需求的變更而變化，安全服務(wù)升級(jí)難、擴(kuò)

展難。本文所提方案采用 SDN 交換架構(gòu)，實(shí)現(xiàn)了安全服

務(wù)鏈，可實(shí)現(xiàn)基于用戶身份、業(yè)務(wù)應(yīng)用類型的網(wǎng)絡(luò)流量

按需防護(hù)，支持硬件安全服務(wù)和虛擬安全服務(wù)，用戶可

根據(jù)不同業(yè)務(wù)需求部署不同的硬件服務(wù)或網(wǎng)絡(luò)功能虛擬

化（Network Function Virtualization，NFV）節(jié)點(diǎn)（如虛

擬防火墻、入侵檢測、虛擬負(fù)載均衡等），按需編排服務(wù)

節(jié)點(diǎn)形成安全服務(wù)鏈，在應(yīng)用生命周期內(nèi)為應(yīng)用提供安

全服務(wù)。

同時(shí)，本文所提方案支持安全服務(wù)彈性擴(kuò)展，安全服

務(wù)鏈支持網(wǎng)絡(luò)功能服務(wù)類型智能感知，允許客戶根據(jù)不同

的業(yè)務(wù)需求，動(dòng)態(tài)增刪服務(wù)節(jié)點(diǎn)，高彈性服務(wù)鏈滿足業(yè)務(wù)

擴(kuò)容、升級(jí)，同時(shí)解耦網(wǎng)絡(luò)設(shè)備之間的關(guān)聯(lián)。

在動(dòng)態(tài)網(wǎng)絡(luò)功能服務(wù)池，SDN 安全服務(wù)鏈支持 NFV

節(jié)點(diǎn)或硬件服務(wù)節(jié)點(diǎn)資源池化，客戶可根據(jù)業(yè)務(wù)需求動(dòng)態(tài)

擴(kuò)展資源池。業(yè)務(wù)流量大時(shí)，增加服務(wù)節(jié)點(diǎn)；業(yè)務(wù)流量小

時(shí)，釋放服務(wù)節(jié)點(diǎn)。這使得服務(wù)資源得到更合理的利用，

極大降低網(wǎng)絡(luò)投入和運(yùn)維成本。

1.2 技術(shù)路線

本文所提方案在技術(shù)上采用了全部國產(chǎn)化硬件，包括

國產(chǎn) CPU 平臺(tái)，CPU 負(fù)責(zé)計(jì)算、安全防范、信息分析和

識(shí)別，網(wǎng)絡(luò)芯片支持路由交換，聚焦于下一代城域網(wǎng)、物

聯(lián)網(wǎng)等以太網(wǎng)的多業(yè)務(wù)融合應(yīng)用，能夠完美支持多種城域

以太網(wǎng)業(yè)務(wù)，同時(shí)可滿足園區(qū)網(wǎng)和企業(yè)網(wǎng)匯聚、數(shù)據(jù)中心

千兆接入。對 IPv4/IPv6、多協(xié)議標(biāo)記交換（Multi-Protocol

Label Switching，MPLS）、多種隧道和多播協(xié)議的支持可

以保證各種業(yè)務(wù)的靈活部署，而特有的低時(shí)延、低抖動(dòng)特

性則能夠全面保證各種業(yè)務(wù)的服務(wù)質(zhì)量。國產(chǎn)交換芯片具

有千兆匯聚和萬兆匯聚交換能力，可以提供多層交換能力

和線速的路由轉(zhuǎn)發(fā)能力。它除具有多層路由器的容量大、

高速轉(zhuǎn)發(fā)性能優(yōu)點(diǎn)外，還進(jìn)一步將 IP 網(wǎng)絡(luò)安全機(jī)制等策

略融合到整個(gè)路由器系統(tǒng)中，設(shè)備具有更多的智能安全特

性，充分滿足構(gòu)建安全可控的 IP 網(wǎng)絡(luò)的需求。

在當(dāng)前的網(wǎng)絡(luò)環(huán)境中分布式拒絕服務(wù)（Distributed

Denial of Service，DDoS）攻擊已經(jīng)非常普遍，攻擊流量

能在幾秒鐘之內(nèi)達(dá)到 Gbit 量級(jí)或者更大，要防御這些攻擊

比較困難。本文設(shè)計(jì)了一種有 SDN 參與的 DDoS 防護(hù)方

案。檢測服務(wù)器檢測到攻擊后，通過邊界網(wǎng)關(guān)協(xié)議（Border

Gateway Protocol，BGP）將報(bào)文牽引到旁掛的 OpenFlow

交換機(jī)，利用 OpenFlow 交換機(jī)修改合法報(bào)文的 IPDA（受

DDoS 攻擊的 IPDA），將報(bào)文原路返回，修改 IPDA 的目

的是防止發(fā)回到核心路由器后形成環(huán)路。

隨著 Web 應(yīng)用的興起，負(fù)載均衡的應(yīng)用需求得到了廣

泛關(guān)注。負(fù)載均衡不僅適用于 Web 需求，也越來越多地應(yīng)

用于其他場景中，成為 SDN 的重要應(yīng)用。本文采用的國

產(chǎn) CPU 主控芯片，將從外部進(jìn)來的報(bào)文負(fù)載均衡到旁路

的安全設(shè)備上進(jìn)行其他應(yīng)用處理。

2 智能安全接入平臺(tái)硬件建設(shè)

智能安全接入平臺(tái)硬件建設(shè)方案如下。

? 硬件平臺(tái)主處理芯片采用國產(chǎn) CPU 龍芯 3A4000

四核處理器，工作頻率 1.5~2.0 GHz，設(shè)計(jì)功耗 60 W。

? 芯片組采用自主龍芯 7A1000 系列，支持雙路

DIMM4-2400 內(nèi)存，最大可支持 32 GB，支持差錯(cuò)校驗(yàn)

（Error Checking and Correction，ECC）功能。

? 系統(tǒng)支持雙路 SATA2.0，并支持 CF 卡讀寫。

? 雙路 PCIeX8， 內(nèi)置擴(kuò)展槽，支持加密卡擴(kuò)展。

? 多種輸入電壓方式：AC 220 V、DC 240 V，DC 48 V

可選。

? 電源支持 AT/ATX 觸發(fā)。

? 平臺(tái)集成 10 個(gè)千兆網(wǎng)口，采用 RJ45 電口+光口

SFP 混合配置。

? 硬件平臺(tái)支持網(wǎng)絡(luò)擴(kuò)展模塊。

第 3 期 李鵬等:基于 SDN 的智能安全接入平臺(tái)研究 ·109·

3 智能安全接入平臺(tái)軟件建設(shè)

智能安全接入平臺(tái)軟件采用可信交換防御技術(shù)路線，

自主建立網(wǎng)絡(luò)訪問流量模型并識(shí)別可信和非可信主客體，

對普通區(qū)域、重點(diǎn)區(qū)域等各種邏輯網(wǎng)絡(luò)進(jìn)行分級(jí)劃分和方

位隔離，識(shí)別訪問類型并對訪問攻擊進(jìn)行攔截。

3.1 識(shí)別可信/非可信主客體

可信交換防御系統(tǒng)自動(dòng)獲取網(wǎng)絡(luò)中的流量信息，判斷

各類網(wǎng)絡(luò)資產(chǎn)之間的業(yè)務(wù)數(shù)據(jù)流量關(guān)系。通過一個(gè)階段的

東西向流量的自學(xué)習(xí)，并將這些信息匯總后，由策略計(jì)算

繪制出一個(gè)完整的業(yè)務(wù)流模型圖，輔助管理者對整個(gè)內(nèi)網(wǎng)

進(jìn)行管理。

在自學(xué)習(xí)過程中，智能安全接入平臺(tái)會(huì)根據(jù)識(shí)別策略

列出相應(yīng)的訪問源 IP/目的 IP、端口號(hào)、數(shù)據(jù)流向；管理

者通過該模型便可快速掌握網(wǎng)絡(luò)中整個(gè)信息資產(chǎn)的邏輯

應(yīng)用關(guān)系圖，該模型會(huì)將可信訪問的主客體全部展現(xiàn)在管

理者面前。

可信交換防御系統(tǒng)采用獨(dú)有的專利技術(shù)——全息誘

捕技術(shù)，可以在 4 層網(wǎng)絡(luò)中虛擬出大量的虛擬 IP 和端口，

從而形成海量高密度的陷阱主機(jī)，當(dāng)攻擊者訪問陷阱主機(jī)

的次數(shù)超過設(shè)定的次數(shù)時(shí)，將該 IP 認(rèn)為非可信客體。

3.2 可信訪問控制

可信交換防御系統(tǒng)通過自主流量建模后，會(huì)根據(jù)可信

訪問列表建立基于白名單的訪問控制策略，把普通區(qū)域、

重點(diǎn)區(qū)域等各種邏輯網(wǎng)絡(luò)進(jìn)行隔離，避免了不安全因素的

擴(kuò)散，只有合理地劃分了網(wǎng)絡(luò)區(qū)域，安全策略才可以更有

效地實(shí)施。具體技術(shù)細(xì)節(jié)包括以下兩點(diǎn)。

（1）訪問控制策略基于五元組的白名單模式，只允許

某 IP 訪問某 IP 的某個(gè)端口，其他皆不允許。

（2）管理員可對策略進(jìn)行自定義調(diào)整：添加，開啟，

關(guān)閉，對五元組進(jìn)行調(diào)整、重構(gòu)。

3.3 非可信主客體攔截

可信交換防御系統(tǒng)通過全息誘捕技術(shù)將非可信 IP 捕

獲后，有以下 3 種可能。

（1）可信交換防御系統(tǒng)會(huì)立即攔截全息捕獲的非可信

IP，阻止其訪問真實(shí)主機(jī)。

（2）可信交換防御系統(tǒng)不會(huì)攔截非可信 IP 繼續(xù)訪問陷

阱主機(jī)，繼續(xù)讓非可信 IP 對陷阱主機(jī)進(jìn)行各種操作，不讓

非可信 IP 有所察覺，留存更多痕跡以便進(jìn)一步觀察和判斷。

（3）可信交換防御系統(tǒng)通過旁路方式部署時(shí)，可以與

第三方主流交換機(jī)進(jìn)行聯(lián)動(dòng)，當(dāng)誘捕到非可信 IP 后，主

動(dòng)推送 ALC 到第三方交換機(jī)進(jìn)行攔截、阻斷。

3.4 攻擊防御

可信交換防御系統(tǒng)內(nèi)置了完善的 2～7 層攻擊防御模

塊，基于攻擊特征的檢測技術(shù)對經(jīng)過系統(tǒng)的流量進(jìn)行過

濾，實(shí)時(shí)發(fā)現(xiàn)并攔截各種已知的攻擊，如系統(tǒng)漏洞利用、

Web 應(yīng)用攻擊、蠕蟲木馬等。

可信交換防御系統(tǒng)為客戶定位各種網(wǎng)絡(luò)威脅，以及違

反安全策略的流量，并提供詳實(shí)、有效的指導(dǎo)措施，進(jìn)而

實(shí)現(xiàn)防護(hù)—檢測—響應(yīng)一體化的解決方案。

3.5 引流功能

通過可信交換防御系統(tǒng)可以將來自內(nèi)網(wǎng)和外網(wǎng)的流

量引流至第三方交互式蜜罐或其他安全檢測設(shè)備，以便進(jìn)

一步分析可疑流量。通過此種方法，無須用戶在網(wǎng)絡(luò)中部

署大量的交互式蜜罐，可以大大降低部署交互式蜜罐的人

力、物力和財(cái)力成本。

4 平臺(tái)成果測試及部署建設(shè)

本文采用 SDN 交換架構(gòu)實(shí)現(xiàn)了安全服務(wù)鏈，可實(shí)

現(xiàn)基于用戶身份、業(yè)務(wù)應(yīng)用類型的網(wǎng)絡(luò)流量進(jìn)行按需防

護(hù)，支持硬件安全服務(wù)和虛擬安全服務(wù)，用戶可根據(jù)不

同業(yè)務(wù)需求部署不同的硬件服務(wù)或 NFV 節(jié)點(diǎn)（如虛擬

防火墻、入侵檢測、虛擬負(fù)載均衡等），按需編排服務(wù)

節(jié)點(diǎn)形成安全服務(wù)鏈，在應(yīng)用生命周期內(nèi)為應(yīng)用提供安

全服務(wù)。

同時(shí)，支持安全服務(wù)彈性擴(kuò)展，安全服務(wù)鏈支持網(wǎng)絡(luò)

功能服務(wù)類型智能感知，允許客戶根據(jù)不同業(yè)務(wù)需求，動(dòng)

態(tài)增刪服務(wù)節(jié)點(diǎn)，高彈性服務(wù)鏈滿足業(yè)務(wù)擴(kuò)容、升級(jí)，同

時(shí)解耦網(wǎng)絡(luò)設(shè)備之間的關(guān)聯(lián)。

在動(dòng)態(tài)網(wǎng)絡(luò)功能服務(wù)池，軟件定義安全服務(wù)鏈支持虛

擬化節(jié)點(diǎn)或硬件服務(wù)節(jié)點(diǎn)資源池化，客戶可根據(jù)業(yè)務(wù)需求

動(dòng)態(tài)擴(kuò)展資源池，業(yè)務(wù)流量大時(shí)，增加服務(wù)節(jié)點(diǎn)；業(yè)務(wù)流

量小時(shí)，釋放服務(wù)節(jié)點(diǎn)，使得服務(wù)資源得到更合理的利用，

極大降低網(wǎng)絡(luò)投入和運(yùn)維成本。本接入平臺(tái)有兩種推薦部

署及建設(shè)方式，分別對應(yīng)不同的網(wǎng)絡(luò)環(huán)境。

（1）接入層分布式部署

對于新建設(shè)網(wǎng)絡(luò)環(huán)境，推薦采用接入層分布式部署，

最大限度地保護(hù)內(nèi)網(wǎng)安全。在此建設(shè)方案下，智能安全接

入系統(tǒng)以接入層交換機(jī)的角色接入網(wǎng)絡(luò)，交換口接入真實(shí)

服務(wù)器或終端，將控制節(jié)點(diǎn)下沉到各服務(wù)器的接入端口，

實(shí)現(xiàn)端到端級(jí)別的微隔離功能、全息誘捕功能，多個(gè)智能

安全接入系統(tǒng)可以通過集群方式進(jìn)行統(tǒng)一管控。

（2）旁路部署

對于原有網(wǎng)絡(luò)環(huán)境，采用旁路部署，大大加強(qiáng)現(xiàn)有網(wǎng)

·110· 天地一體化信息網(wǎng)絡(luò) 第 4 卷

絡(luò)環(huán)境的安全防護(hù)。智能安全接入系統(tǒng)旁路部署方式，可

通過開啟全息誘捕功能，在所有網(wǎng)段部署陷阱主機(jī)進(jìn)行誘

捕，可將內(nèi)網(wǎng)流量鏡像至智能安全接入系統(tǒng)的鏡像口，通

過自學(xué)習(xí)功能可對內(nèi)網(wǎng)的應(yīng)用關(guān)系進(jìn)行可視化展示，用作

維護(hù)依據(jù)。

5 結(jié)束語

本文提出的基于 SDN 的智能安全接入平臺(tái)，解決

了傳統(tǒng)的安全服務(wù)設(shè)備與網(wǎng)絡(luò)拓?fù)渚o密耦合，需串聯(lián)在

網(wǎng)絡(luò)拓?fù)渲?，配置?fù)雜，且存在嚴(yán)重的單點(diǎn)故障，無法

隨業(yè)務(wù)安全需求的變更而變化，安全服務(wù)升級(jí)難、擴(kuò)展

難的問題。經(jīng)過平臺(tái)成果測試及部署建設(shè)，驗(yàn)證了該平

臺(tái)可以為應(yīng)用提供安全服務(wù)，在衛(wèi)星互聯(lián)網(wǎng)、工業(yè)互聯(lián)

網(wǎng)、物聯(lián)網(wǎng)、泛在電力物聯(lián)網(wǎng)、綜合能源站等領(lǐng)域，具

有一定的應(yīng)用價(jià)值。

參考文獻(xiàn)：

[1] 周光濤, 郭愛鵬, 唐雄燕. SDN/NFV 技術(shù)在寬帶 IP 城域網(wǎng)中的

應(yīng)用[J]. 信息通信技術(shù), 2015, 9(2): 12-15.

ZHOU G T, GUO A P, TANG X Y. Application of SDN/NFV technologies in IP metropolitan area network[J]. Information and

Communications Technologies, 2015, 9(2): 12-15.

[2] 刁淵炯. 固網(wǎng)引入 SDN 助力運(yùn)營商構(gòu)建彈性、敏捷的寬帶網(wǎng)絡(luò)

[J]. 通信世界, 2015(23): 37-38.

DIAO Y J. The introduction of SDN into fixed network helps operators to build flexible and agile broadband networks[J]. Communications World, 2015(23): 37-38.

[3] 張朝昆, 崔勇, 唐翯翯, 等. 軟件定義網(wǎng)絡(luò)(SDN)研究進(jìn)展[J].

軟件學(xué)報(bào), 2015, 26(1):62-81.

ZHANG C K, CUI Y, TANG H H, et al. State-of-the-art survey on

software-defined networking (SDN)[J]. Journal of Software, 2015,

26(1):62-81.

[4] LEE S S W, LI K Y, WU M S. Design and implementation of a

GPON-based virtual Open Flow-enabled SDN switch[J]. Journal of

Lightwave Technology, 2016, 34(10): 2552-2561.

[5] LEE S S W, LI K Y, LIU W K, et al. Embedding bandwidth-guaranteed network-based virtual Ethernet switches in SDN

networks[J]. Journal of Lightwave Technology, 2017, 35(23):

5041-5055.

收錄聲明

道德聲明

本刊對發(fā)表的文章，擁有出版電子版、網(wǎng)絡(luò)版版權(quán)，并擁有和其他網(wǎng)站交

換信息的權(quán)利。本刊支付的稿酬中已經(jīng)包含上述費(fèi)用。

Space-Integrated-Gound Information Networks has the copyright to publish

electronic edition, online edition of the published articles, and has the right to

exchange information with other sites. The expenses have been included in the fee

paid by editorial department.

本刊發(fā)表的論文是作者獨(dú)立取得的原創(chuàng)性研究成果，無一稿多投；論文內(nèi)

容不涉及國家機(jī)密；未曾以任何形式用任何文種在國內(nèi)外公開發(fā)表過；論文內(nèi)

容不侵犯他人著作權(quán)和其他權(quán)利。若發(fā)生一稿多投、侵權(quán)、泄密等問題，論文

作者將承擔(dān)全部責(zé)任。

The authors of Space-Integrated-Gound Information Networks guarantee that

their submitted articles are original and contain nothing confidential. The said article

is only submitted to Space-Integrated-Gound Information Networks. The said article

has not been published before and has not been submitted elsewhere for print or

electronic publication consideration. The said article is no way whatever a violation or

an infringement of any existing copyright or license from the third party. Otherwise,

the authors of the said article shall take the blame for the violation or infringement of

the related copyright and the leakage of secrets.

　9