一种基于移动代理的双层卫星信任模型的实现方法

摘要

一种基于移动代理的双层卫星信任模型的实现方法涉及一种模拟极地星座和地球同步卫星通信的系统，通过引入地球同步卫星来增加链路失效时路由查找的效率，同时地球同步卫星的引入还能增强人为因素对卫星安全的威胁。由铱星系统和3颗地球同步卫星组成的双层卫星模型中，所有的卫星节点在互相通信的过程中都互不信任，并且卫星在通信过程中的数据都进行了加密，从而避免恶意节点截获、篡改通信数据，实现可靠、安全通信，在此模型基础上，将信任机制和移动Agent相结合，不仅可以实现了卫星路由的智能性，还提高了卫星通信中长久以来存在的数据安全问题。通过本发明可以解决链路失效时路由查找问题和卫星通信中数据的安全问题。

说明书

技术领域

本发明是一种在Agent(代理)环境下，实现卫星通信的一种模型，主要解决卫星通信中卫星之间的链路失效和数据安全问题。

背景技术

移动代理技术是随着Internet(因特网)的发展而出现的一种新兴技术，它较好的适应了Internet的特点，有效简化分布式系统的设计、实现和维护。一般来讲，移动代理是指一段独立的计算机程序，它按照一定的规程，能够自主的在异构的网络上移动，代表用户完成特定的任务。移动代理的优势主要有两点：一方面，它实现了计算向所需资源的靠拢，这可以节省网络的带宽并具有异步功能；另一方面，允许程序动态发布到主机。

由于移动代理的诸多优点，它在电子商务、移动计算、Internet信息的智能发现等方面都有较好的应用前景，对移动代理技术的研究正成为学术界和工业界的热点之一。移动代理的关键技术包括移动机制、通讯机制以及安全机制。安全性是制约移动代理技术广泛使用的重要因素之一，因此研究移动代理的安全问题具有重要意义。

当今世界，地面移动通信的发展给人们的生活带来了极大的方便，但是相对全球化这样一个趋势，仍然有些地方不能和外界正常的通信，这就要求扩展已有的通信系统来满足人们的要求。Iridium系统是美国摩托罗拉公司(Motorola)于1987年提出的低轨全球个人卫星移动通信系统，它与现有通信网结合，可实现全球数字化个人通信。该系统原设计为77颗小型卫星，分别围绕7个极地圆轨道运行，因卫星数与铱原子的电子数相同而得名。后来改为66颗卫星围绕6个极地圆轨道运行，但仍用原名称。极地圆轨道高度约780km，每个轨道平面分布11颗在轨运行卫星及1颗备用卫星，每颗卫星约重700kg。铱系统市场主要定位于商务旅行者、海事用户、航空用户、紧急援助、边远地区。铱系统设计的漫游方案除了解决卫星网与地面蜂窝网的漫游外，还解决地面蜂窝网间的跨协议漫游，这是铱系统有别于其它卫星移动通信系统的又一特点。铱系统除了提供话音业务外，还提供传真、数据、定位、寻呼等业务。

发明内容

技术问题：本发明的目的是提供一种基于移动代理的双层卫星信任模型的实现方法，将Agent的优点应用到卫星网络中，并结合卫星网自身的特点，使得卫星在拓扑发生变化时能有效的查找到最嘉路由，同时还提出了一种互不信任的机制来保证卫星通信中数据的安全。

技术方案：本发明的方法是一种策略性的方法，通过引入代理(Agent)而提出，其目标是在原有的卫星模型中引入地球同步卫星，能更好解决链路失效问题，同时还引入了一种信任机制来提高系统的安全性。本发明的一种基于移动代理的双层卫星信任模型的实现方法是在由铱星系统和3颗地球同步卫星组成的双层卫星模型中，所有的卫星节点在互相通信的过程中都互不信任，并且卫星在通信过程中的数据都进行了加密，从而避免恶意节点截获、篡改通信数据，实现可靠、安全通信，具体如下：

1a)首先在铱星系统中引入地球同步卫星，形成了新的中低轨卫星混合模型，源卫星SSat根据这种新的卫星模型计算路由，并根据此路由发送一个请求通信代理给目的卫星DSat，同时用相应的私钥加密代理中的数据，并设置一个应答超时T；

1b)目的卫星DSat接收到源卫星发送的通信请求后，如果源卫星和目的卫星被同一颗地球同步卫星DSC覆盖，则目的卫星派遣一个验证代理给DSC验证源卫星的合法性，否则发送验证代理给源卫星的覆盖卫星SSC验证源卫星节点的合法性；

1c)地球同步卫星DSC或者覆盖卫星SSC根据数据库的信息首先验证目的卫星节点的合法性，如果合法则验证目的卫星请求验证的卫星节点SSat的合法性，如果卫星节点SSat合法则发送一个验证代理给目的卫星DSat；覆盖卫星不仅能验证卫星节点的合法性，还能解决卫星链路失效或者节点失效带来的孤立卫星节点问题；

1d)目的卫星DSat根据验证代理返回的信息决定是否可以和源卫星SSat通信，如果源卫星SSat是合法的卫星节点则用相应的公钥解密代理数据，同时返还一个应答代理开始通信，否则丢弃源卫星SSat发送的请求通信代理；

1e)源卫星SSat在T时间内收到目的卫星DSat的应答代理，则开始通信，通信过程中的数据也都进行加密，到达目的节点后用相应的密钥解密；若在T时间内没有收到应答则转1a)。

在步骤1a)中，在铱星系统中引入地球同步卫星，当卫星节点周围的星间链路都发生断路时，卫星节点就成为孤立节点，对于整个通信系统来说不仅浪费了资源，而且影响了卫星通信的效率，具体描述如下：

2a)源卫星SSat根据拓扑计算路由并发送一个探测代理；

2b)源卫星SSat得到探测代理返回的最短路径的链路情况，如果链路正常则开始通信，否则将链路断开或者节点失效的信息发送给管理代理；

2c)管理代理更新拓扑关系数据库并将最新的拓扑关系发送给源节点；

2d)源卫星根据最新的拓扑重新计算路由，如果源卫星或者目的卫星周围的链路都断开了，那源卫星就将代理发送给覆盖它的地球同步卫星SSC；如果源卫星SSat和目的卫星DSat被同一颗地球同步卫星SSC覆盖则通过路由SSat->SSC->DSat通信，否则就通过路由SSat->SSC->DSC->DSat通信。

所述通信过程中的数据都进行了加密，以此来保证卫星通信的安全，具体步骤如下：

3a)源卫星节点用相应的密钥加密代理中的数据，将加密后的代理根据不同的要求发送给目的卫星或者地球同步卫星，如果是和目的卫星通信则将代理发送给目的卫星，如果是发送拓扑更新代理给地球同步卫星则将代理发送给地球同步卫星；

3b)目的卫星接收到代理后，用相应的密钥解密代理中的数据，通信完成；

3c)覆盖卫星接收到卫星发送的更新网络拓扑的代理后用相应的密钥解密代理中的数据，解密成功则按照要求更新，否则不更新。

有益效果：本系统在原有的Iridium系统的基础上增加了地球同步卫星，减少了人为因素对卫星通信的影响，同时还通过移动Agent这个智能实体，模仿了卫星通信的整个过程，信任机制的提出更是大大加强了卫星通信的安全性。下面给出具体的说明：

1、可拓展性

本系统中用移动Agent这个软件实体来模拟实际中的卫星节点，因此对与现实中的卫星模型都可以通过增加节点和更改数据库操作来实现。例如要在此系统中验证Teledic星座的通信情况，只需要将Agency的数目修改一下，然后将拓扑关系的数据库中修改相应的数据即可。

2、路由智能性

智能Agent的引入使得Agent在不同Agency之间通信时可以智能的选择最嘉的路由，即使链路情况发生变化一样能顺利到达目的节点。例如Agency A和Agency B通信时，A首先根据计算出的路由发送一个Agent，当Agent遇到节点失效或者链路异常时，其会自动选择正常工作的节点和链路，并不会因为节点和链路的异常而影响Agent的顺利到达。

3、安全性

安全Agent和信任机制的应用使得用户在通信时所有的内容对其它通信方都是不透明的，除了它自身外没有一个Agent可以获取通信的相关信息，即使被截获也不能威胁系统的安全，只有拥有密钥方才能知道Agent中的信息。同时物理安全也得到了一定的保障，因为人类技术的发展，对地球同步卫星的打击能力还很薄弱，因此系统可以增强卫星通信的安全性。

4、高效性

Iridium系统和地球同步卫星构成的系统可以提高通信的可行性，举例说明如果某个卫星节点周围的其他卫星节点由于认为因素都不能工作，那么这颗卫星也就失去了本该有的功能，增加地球同步卫星后，当包到达此卫星节点不能转发时，可以通过地球同步卫星来转发，虽然通信的时延比较大，但是有效的利用了资源，使孤立卫星节点在通信中得到了广泛应用。

附图说明

图1铱星系统中极地卫星和地球同步卫星位置分布图，

图2移动Agent平台中的卫星模型结构图，

图3Agency A和Agency B通信的流程，

图4Agency A检验数据库查询信息正确性的流程，

图5源节点和其它卫星节点的信任关系图。

图6是本发明的基于移动代理的双层卫星信任模型的实现方法的流程示意图。

具体实施方式

本发明的基于移动代理的双层卫星信任模型的实现方法，在由铱星系统和3颗地球同步卫星组成的双层卫星模型中，所有的卫星节点在互相通信的过程中都互不信任，并且卫星在通信过程中的数据都要进行加密，从而避免了恶意节点截获、篡改通信数据，实现了可靠、安全通信，具体如下：

1)首先源卫星SSat(Source Satellite)根据拓扑模型(极地卫星和地球同步卫星模型)计算路由，并根据此路由发送一个请求通信代理给目的卫星DSat(Destination Satellite)，同时对代理中的信息加密，并设置一个应答超时T；

2)当源卫星SSat和目的卫星DSat被同一个卫星覆盖则DSat发送一个验证代理给其覆盖卫星DSC验证源卫星SSat的合法性，否则目的卫星DSat发送一个验证代理给源卫星SSat的覆盖卫星SSC验证源卫星SSat的合法性；

3)卫星DSC(Destination Satellite Cover)或者SSC(Source Satellite Cover)根据数据库的信息验证目的卫星节点的合法性，如果合法则验证目的卫星请求验证的卫星节点SSat的合法性，如果节点SSat合法则发送一个验证代理给目的卫星DSat

4)目的卫星DSat根据验证代理返回的信息决定是否可以和SSat通信，如果SSat是合法的卫星节点则返还一个应答代理开始通信，否则丢弃SSat发送的请求通信代理；

5)源卫星SSat在T时间内收到目的卫星DSat的应答代理，则开始通信，否则转1)。

在由极地卫星组成的单层卫星通信系统中加入了3颗地球同步卫星，解决了单一路径(即源卫星和目的卫星之间最短路径只有一条)发生链路断路或者卫星周围的链路都失效时实现卫星可靠通信的问题。具体描述如下：

(1)源卫星SSat根据拓扑计算路由并发送一个探测代理；

(2)源卫星SSat得到探测代理返回的最短路径的链路情况，如果链路正常则开始通信，否则将链路断开或者节点失效的信息发送给管理代理；

(3)管理代理更新拓扑关系数据库并将最新的拓扑关系发送给源节点；

(4)源节点重复(2)(3)步骤，重新计算拓扑。如果源卫星SSat和目的卫星DSat被同一颗地球同步卫星SSC覆盖则通过路由SSat->SSC->DSat通信，否则就通过路由SSat->SSC->DSC->DSat通信。

通过RSA加密算法加密卫星通信过程中代理中的信息，进而保护通信过程中数据的安全，具体如下：

(1)源卫星节点用私钥加密代理中的数据，恶意代理即使截获到了代理也不能获取相关信息；

(2)代理到达目的卫星后，目的卫星用公钥解密代理中的数据；

(3)数据库接收到卫星发送的更新网络拓扑的代理后用公钥解密代理中的数据，解密成功则按照要求更新，否则不更新。

一、体系结构

基于安全Agent的双层卫星网络通信系统主要由两部分组成，一部分是新的扑模型的建立，另一部分就是信任模型的建立。

拓扑模型的搭建：

在本模型中，我们用Agency代表一个卫星节点，用Agency之间包的转发来模拟卫星之间的通信。原有的铱星系统模型包含66颗卫星，当铱星模型中有链路发生状况时，如果源卫星和目的卫星只有一条最短路径，那么就无法正常通信，因此在本模型中增加了3颗地球同步卫星。

在此卫星网模型中，所有的卫星节点都用Agency来表示，Agency具有卫星节点所具有的一切功能。具体的安排如下：

地球同步卫星Agency：我们设定一个特殊的卫星节点，它具有星上处理能力和路由转发功能。在本系统中，地球同步卫星Agency可以与极地卫星Agency通信。

极地卫星节点Agency：这是本系统中最基本的Agency，它能知道周围3跳范围内的卫星节点的信息。在本系统中极地卫星节点可以与地面终端和地球同步卫星Agency通信。

地面终端节点Agency：它表示在地球上进行通信的实体，比说地面的机站或者直接进行通信的人等，当然在此系统中不管是机站还是人，他们都具有相同的功能，都代表通信的一方。地面终端Agency可以与极地卫星节点通信，但不是所有的极地卫星都能与其通信，它们之间的仰角必须满足一定的关系。

定义：假设有极地卫星A和地球同步卫星B，如果A和B之间满足某种关系，比如两卫星的经度差在60度以内，则称B为A的覆盖卫星。

每个Agency都可以发送多个Agent，Agent的功能也因为不同的要求而互不相同，在本系统中主要有查询Agent、检测Agent还有验证Agent，路由Agent。

路由是通信的核心，高效的路由将会提高通信的效率。路由查找是整个系统的核心，由于卫星网自身的复杂性，这就要求有一个简单高效的算法与之相适应。本系统中，Agency执行的是一个最短跳数的路由算法。我们定义在地理位置上相邻的两颗卫星跳数为1，地球同步卫星和其覆盖的极地卫星之间的跳数也为1，地球同步卫星间的跳数也为1，因此在这个模型中，任何两个极地卫星间的跳数都不会超过3。它具有一定的健壮性，在链路发生失效时，其会自动寻找有效的路径来进行通信。

假设有两个卫星Agency A和Agency B，下面是它们要通信的流程

(1)首先Agency A发送一个查询Agent给卫星拓扑数据库，查询Agent将查询的结果返回AgencyA；

(2)Agency A获得当前的拓扑信息，根据拓扑计算A和B之间的最短路由；

(3)Agency A根据最短路由发送一个探测Agent，探测当前链路的通断情况；

(4)探测Agent报告给Agency A链路信息，如果不存在链路异常则直接根据Agency A计算的路由通信；

(5)如果探测Agent检测到链路存在断路，则Agency A将断路信息发送给数据库并通知数据库更新拓扑数据，同时将最新的链路信息通知给Agency A。

(6)Agency A在接收到最新的拓扑信息后重新计算最短路由，然后重复3-5的步骤直至链路信息和实际的路由信息一致时Agency A才和Agency B通信。

模块说明：在此系统中，主要有以下几个模块：数据库模块、查询Agent模块、探测Agent模块和管理Agent模块。数据库存储了卫星之间的拓扑关系，以及链路通断情况，每个卫星节点都可以访问数据库中的信息，极地卫星可以通过它来查找路由，还可以发现最短路径上是否存在断路。而地球同步卫星则可以通过数据库的信息判断某个卫星节点是否能与其通信。

查询Agent模块：因为卫星网络的特殊关系，任何一个卫星节点都不可能完全信任来自其它卫星的信息，因此卫星节点在系统中是相互独立的，当某个卫星节点要与其他节点通信时，除了要通过数据库中的拓扑信息计算路由外，其还要发送一个探测Agent给相关卫星，调查最短路径上面所有的卫星节点的信息和它们之间的链路信息。如果有卫星节点发生失效或者在最短路径上面有断路发生，则探测Agent将所收集到的信息返还给源卫星节点，源卫星节点根据返回的信息重新计算路由。地球同步卫星也可以生成查询Agent，因为当极地卫星要与其通信时，必须要先判断极地卫星是否是其覆盖卫星，查询Agent将极地卫星和地球同步卫星的信息一起发给数据库，如果满足覆盖关系则查询Agency将向极地卫星和地球同步卫星传递可以通信的信息，否则返回地球同步卫星并告诉它极地卫星不能与它通信。

探测Agent模块：探测Agent是这个机制中的一个重要组成部分，因为所有的卫星之间都是不信任关系，所以在获得数据库提供的信息时，我们必须要去验证信息的正确性，探测Agent就是根据给定的路由去探索链路信息的正确性。每个Agency都将定时的发送探测Agent所探测到的的信息给数据库，以提供数据库的完整性和时效性。因为链路状况的改变数据库不能及时的获得相关信息，所以探索Agency将探索的链路信息提交给数据库，这样数据库就能提供最新的拓扑信息，只有这样才能建立高效的路由，提高通信的效率。

管理Agent模块：由于此系统中Agent会出现被篡改、失效等情况，因此就需要有一个统一的Agent来管理，在此系统中，我们有一个特殊的Agent被任命为管理Agent，因为当网络中的一个节点被恶意Agent修改时，其它Agency在不知道实情的情况下一旦和它有信息交互，那么就会发生信息泄露。增加了管理Agent后，当某个Agent被恶意修改后，管理Agent将向数据库发送一个节点失效的信息，数据库根据所得到的信息更新信息。数据库和管理Agent在分布在同一台主机上，并且管理Agent和数据库之间建立了一种完全信任机制，即数据库对管理Agent所传递的信息不会发生怀疑。

数据库模块：它是整个系统的核心，每个Agent都可以和它通信，但是在它和Agent之间也存在一种信任关系，即数据库并不是一定相信查询Agent，因为每个查询Agent都可能伪装成极地卫星中的一个节点来获取其它卫星节点的相关信息。因此，对于查询Agent，我们设定了一定的加密算法来保证其来源的可靠性。举例说明：节点A发送一个查询Agent给数据库，数据库并不能确定这个Agent是否真的来自于节点A，因此在接收到查询Agency后它将对查询Agent的信息用公钥进行加密，加密后的信息即使被其它恶意Agent截获也不能获取相关信息，同时设定一个定时器。如果节点A收到查询Agent，则用私钥解密此Agent即可获得所要的信息。如果节点A没有收到此Agent则发送一个应答Agent要求数据库重发查询Agent。在定时器时间内，如果数据库收到节点A发送的应答Agent，则重发数据，否则则不发。节点A与数据库一样也设定一个应答定时器，如果在定时器时间没有收到查询Agent返回的结果，则重发查询Agent。同时地球同步卫星也和数据库进行信息交互，具体实现的过程和极地卫星相似。当极地卫星向地球同步卫星发送信息时，地球同步卫星确认能都通信的依据就是其自身发送的查询Agent从数据库查询的结果。

信任机制：

因为卫星间的特殊关系，每个卫星都是自私的一个独立个体，对于其它所查询到的信息不是完全信任，只有经过实践检验检验的才会被卫星所接受。事实中因为卫星的不同位置，卫星很有可能受到人为的攻击或破坏，那么其它卫星查询到的信息就可能是错误的信息因此信任机制的建立可以大大提高系统的效率和安全。例如数据库会经常收到卫星节点返回的拓扑信息，对于正确的信息，数据库接受后对安全没有影响，万一接受了错误的信息那么整个系统的拓扑都会改变，路由的效率等都会降低，卫星节点的资源浪费等等，所有的这些恶果都是由于恶意Agent导致，因此数据库所在的管理Agency在接收到卫星节点的返回信息后也要发送一个检测Agent去确认接收的信息是否正确。也就是说任何节点都只相信自己发送出去的Agent返回的信息，对于其它节点发送来的则都要报怀疑的态度，等确信无误后才能接受。

举例说明，如果两个卫星节点A和B，A的查询Agent将查询的信息返还给A，B的查询Agent将查询的信息返还给B，同时它们还要查询卫星拓扑关系数据库进而来验证自身的查询Agent所获得的信息是否属实，如果是则A和B可以通信，否则不可以。这种机制主要是为了防止恶意Agent截获卫星所发出的查询Agent，通过篡改信息来破坏卫星间通信。

二、系统工作流程

从图形界面输入相关参数，系统捕获相关参数确定通信双方(发送方和接收方)，然后通知发送方开始通信。假设发送方为Agency A，接收方为Agency B，下面是发送方的详细的工作流程。

Agency A工作流程：

(1)Agency A发送查询Agent到数据库，根据拓扑查找Agency A和Agency B之间最嘉的路径；

(2)数据库返回一个结果Agent，告诉Agency A该如何通信；

(3)Agency A根据数据库返回的结果，发送一个探测Agent；

(4)如果链路存在问题则将返回的结果提交给数据库更新；

(5)数据库将新的路由信息提交给Agency A，循环进行，直到Agency A按照数据库提交的信息确信链路没有问题后才开始通信。

Agency B工作流程：

(1)B在接收到A发送的通信请求后检测A的来源的可靠性，发送一个确认Agent给管理Agency；

(2)管理Agency检验了发送方信息的可靠性后，给B一个结果Agent；

(3)如果A存在安全隐患则拒绝其通信请求，否则发送一个可以通信Agent给A；

为了方便描述，我们假设有这样一个应用实例：

在中国北京和华盛顿分别有两个人A和B，他们要通过卫星网络来通讯。首先要确定A和B最近的极地卫星。下面是甲要通信的工作流程：

(1)首先A根据地理关系找出其最近的极地卫星Agency A，B和A一样也要找出其最近的极地卫星Agency B；

(2)极地卫星Agency A查询数据库得出当前卫星网络的拓扑关系

(3)根据最短跳数算法计算源卫星节点Agency A到Agency B的最短路径

(4)根据计算出的最短路径发送探测Agent来验证将要发包路径中链路和节点的有效性；

(5)如果路径上存在链路或者节点异常，则将此异常的详细信息报告给数据库，数据库进行更新，同时将最新的拓扑信息发送给Agency A

(6)Agency A接收到最新的拓扑信息后，循环(3)->(5)的步骤，直至拓扑不存在异常Agency A才开始发送包，同时在Agency A内部设定一个发送超时定时器；

Agency B是卫星通信中的接收方，对于发送的包，它也要经过一定的确认过程来保证通信的安全，下面是Agency B的工作流程；

(1)Agency B在接收到Agency A发送的包后，将Agency A的相关信息发送给数据库确认；

(2)数据库确认节点Agency A是否是注册的节点，并将确认结果返还给Agency B；

(3)如果Agency A是合法的节点则Agency B接收包，开始通信，否则则拒绝其通信请求；

对于Agency A来说，发送包后则开始等待，如果在发送超时时间内没有接收到Agency B返回的信息则认为已经开始正常通信，当然对于恶意的Agency，Agency B确认其合法性后直接丢弃其发送的包。