CN113115313B - 一种基于节点信任度的leo卫星网络安全路由方法 - Google Patents

Abstract

本发明公开了一种基于节点信任度的LEO卫星网络安全路由方法。该方法包括构建包括直接信任模型、间接信任模型和聚合信任模型的适应于LEO卫星网络的信任评估模型；将LEO卫星网络OPSPF路由协议作为原料改造路由协议与构建的适应于LEO卫星网络的信任评估模型进行融合，构建包括动态信任评估处理模块、基础路由模块和动态健康诊断处理模块的基于节点信任度的LEO卫星网络安全路由模型；采用构建的基于节点信任度的LEO卫星网络安全路由模型根据每颗卫星节点的信任度进行LEO卫星网络安全路由。本发明采用了信任管理机制对网络内部的恶意节点进行及时有效的检测识别和隔离，降低了恶意卫星节点对于星间数据传输的影响。

Description

一种基于节点信任度的LEO卫星网络安全路由方法

技术领域

本发明涉及一种LEO卫星网络安全路由方法，尤其涉及一种基于节点信任度的LEO卫星网络安全路由方法。

背景技术

LEO卫星通信系统作为未来6G通信时代发展的重要一员，因其兼备通信时延小、覆盖范围广以及发射成本较低等优势，已经受到各国航天研发领域的重点扶持青睐。未来太空中将会有更多的LEO卫星通信系统为实现万物互联提供实时有效的基础网络转发服务。

但是，LEO卫星通信系统又同时具有无线通信媒介开放、高动态拓扑变化、分布式协作以及卫星节点资源受限等特性，这就增加了对路由算法的设计难度。由于暴露在复杂空间环境中的LEO卫星星间链路具有开放性、不稳定性以及通断频繁等特点，所以易遭受来自恶意节点的干扰与攻击。而卫星网络的路由协议则恰恰是诸多攻击行为的首选目标，使得空间中的数据传输面临极大的安全威胁与挑战。具体的攻击分类可按照恶意节点与LEO卫星网络的关系进行划分，分为外部攻击与内部攻击。

(1)外部攻击指的是网络外部的恶意节点对卫星网络内部的节点开展窃听与压制等行为的攻击，对于来自卫星网络外部的各类攻击，通过传统的基于密码学的安全技术方案就能得到有效的解决防护；

(2)内部攻击指的是卫星网络中的正常节点被恶意节点劫持篡改，进而再以合法的身份重新入网，在网络的内部发起诸如黑洞、灰洞等方式的攻击行为。黑洞卫星节点会完全丢弃收到的全部数据分组，灰洞卫星节点则只会丢弃收到的部分数据分组。

然而，对于这种从网络内部发起的攻击行为，传统基于密码学的安全技术方案却无计可施，无法继续保障路由安全性。

目前，针对LEO卫星网络所研究的路由算法，大多数是以服务质量QoS为路由度量进行设计的，仅少数研究在路由决策时考虑了路由转发路径的安全性。而对于从网络内部发起的攻击，信任管理方案具有较优的处理优势。为实现基于信任的安全式路由算法，第一步首先需要提出一种合理可行的信任评估模型，通过信任评估模型，进行恶意卫星节点的及时监测与识别。

但是，因为LEO卫星网络可看成是一种特殊的、具有规律运动特点的移动ad hoc分布式网络，且距离地面较远，难以实现像在地面通信网络中通过第三方可信机构即可实现集中式的网络全部节点的信任度计算。所以需要通过节点间的相互协作认证，来构建分布式的动态信任模型，计算各卫星节点的信任度。可是现有信任模型却不能直接应用于LEO卫星网络，因为卫星网络的频繁拓扑变化以及易产生无线冲突等原因，造成了提供给评估信任的证据抽样空间可能会不完全或不可靠。

发明内容

针对现有技术中的上述不足，本发明提供了一种基于节点信任度的LEO卫星网络安全路由方法。

为了达到上述发明目的，本发明采用的技术方案为：

一种基于节点信任度的LEO卫星网络安全路由方法，包括以下步骤：

S1、构建包括直接信任模型、间接信任模型和聚合信任模型的适应于LEO卫星网络的信任评估模型，对LEO卫星网络中每颗卫星节点的信任度进行动态评估；

S2、将LEO卫星网络OPSPF路由协议作为原料改造路由协议与步骤S1构建的适应于LEO卫星网络的信任评估模型进行融合，构建包括动态信任评估处理模块、基础路由模块和动态健康诊断处理模块的基于节点信任度的LEO卫星网络安全路由模型；

S3、采用步骤S2构建的基于节点信任度的LEO卫星网络安全路由模型根据步骤S1得到的每颗卫星节点的信任度进行LEO卫星网络安全路由。

本发明具有以下有益效果：本发明针对卫星网络内部恶意节点所发起的内部攻击行为，采用信任管理方式对路由算法进行了安全加固，提出了一种基于D-S证据理论的LEO卫星网络信任评估模型，可以用于评估每颗卫星节点的信任度，并及时隔离恶意卫星节点，提高了星间数据转发的安全性和可靠性，同时本发明在信任评估模型的基础上，采用了一种基于轨道预测的低开销路由OPSPF协议为原料协议与信任模型融合进行安全加固改造，实现了低开销的规律性拓扑变化同步收敛，也实现了对不规律拓扑变化的收敛和恶意卫星节点的检测与隔离，最终实现了安全式无失效无故障路由表的更新，并根据安全式无失效无故障路由表完成了LEO卫星网络安全路由。

优选地，步骤S3包括以下分步骤：

S31、通过动态信任评估处理模块对LEO卫星网络中的每颗卫星实施周期性分布式动态信任评估，判断是否有新的恶意卫星节点产生，若是，更新全网端口风险标识后执行步骤S34，否则执行步骤S32；

S32、通过动态健康诊断处理模块对星间通信链路实现周期性检测，判断LEO卫星网络是否产生不规律拓扑变化，若是，更新全网端口健康标识后执行步骤S34，否则执行步骤S33；

S33、判断算法运行时间t是否为预设周期t₁的整数倍，若是，执行步骤S34，否则返回步骤S31；

S34、基于全网端口风险标识、全网端口健康标识和自身位置信息，通过基础路由模块对路由表和本地端口状态标识进行更新，并根据更新后的路由表进行LEO卫星网络路由，返回步骤S31。

该优选方案具有以下有益效果：实现了动态信任评估处理模块和动态健康诊断处理模块对基础路由模块的异步调用和基础路由模块的同步周期性执行，即当动态信任评估处理模块发现恶意节点或动态健康诊断处理模块发现故障端口时，可以立即异步调用基础路由模块实现对恶意节点或故障端口的处理，同时基础路由模块的同步周期性执行实现了因卫星位置变化所产生的规律性拓扑变化的处理。

优选地，步骤S31包括以下分步骤：

S311、采用直接信任模型计算出卫星节点i对邻居转发卫星节点j的直接信任值SD_i,j(t)，计算具体过程如下：

卫星节点i向邻居转发卫星节点j发送数据报文，邻居转发卫星节点j接收到数据报文后向其除i外的邻居节点发送数据报文，其除i外的邻居节点接收到数据报文后发送回复消息至卫星节点i，卫星节点i接收到回复消息后判断邻居转发卫星节点j成功转发数据报文，否则判断邻居转发卫星节点j转发数据报文失败；

当算法运行时间t等于预设周期t₂时，更新直接信任值SD_i,j(t)：

SD_i,j(t)＝(m_i,j({T}),m_i,j({～T}),m_i,j({T,～T}))＝(a_t,b_t,c_t)

其中a_t、b_t和c_t分别为算法运行时间t时数据报文转发成功的比率、转发失败的比率和不确定是否转发成功的比率，其值根据如下公式得到：

其中N_success为邻居转发卫星节点j转发数据报文成功的次数，N_fail为转发失败的次数；

当算法运行时间t等于预设周期t₂的大于1的整数倍时，更新直接信任值SD_i,j(t)：

SD_i,j(t)＝(m_i,j({T}),m_i,j({～T}),m_i,j({T,～T}))＝(1-w)SD_i,j(t-t₂)+w(a_t,b_t,c_t)

其中w为权重系数，其值根据以下公式得到：

其中0≤w₁≤0.5≤w₂≤1；

S312、判断直接信任值SD_i,j(t)中的m_i,j({T}是否大于等于预设阈值τ，若是，执行步骤S32，否则执行步骤S313；

S313、采用间接信任模型计算出卫星节点i对邻居转发卫星节点j的间接信任值SI_i,j(t)，计算具体过程如下：

卫星节点i将其对邻居转发卫星节点j的直接信任值SD_i,j(t)作为推荐信任值发送给邻居转发卫星节点j的所有相邻卫星节点，并接收邻居转发卫星节点j的所有k个相邻卫星节点n₁、n₂、...n_k对邻居转发卫星节点j的k个推荐信任值；

通过证据距离公式计算出k个推荐信任值中任意两个推荐值p，q之间的证据距离z_p,q，再根据r_p,q＝1-z_p,q计算出p，q之间的相似程度r_p,q，并将所有的r_p,q构建成k×k的相似度矩阵R：

计算出对推荐信任值p的支持度δ_p：

进而计算出标准权重λ_p：

采取上述方法计算出所有推荐信任值的标准权重后，计算出每个推荐值的折扣因子discount：

其中λ_max为所有推荐信任值的标准权重中的最大值；

基于每个推荐值的折扣因子discount计算出卫星节点i对邻居转发卫星节点j的间接信任值SI_i,j(t)，计算公式为：

SI_i,j(t)＝(m'_i,j({T}),m'_i,j({～T}),m'_i,j({T,～T})

其中A为{T}、{～T}或{T,～T}，

为处理后的间接信任值；

S314、根据步骤S311计算出的直接信任值SD_i,j(t)和步骤S313计算出的间接信任值SI_i,j(t)，采用聚合信任模型进一步计算聚合信任值SC_i,j(t)，其计算公式为：

其中m*_i，j(A)为聚合信任向量计算，

为直接信任值；

S315、判断聚合信任值SC_i,j(t)是否等于(0,0,1)，若是，执行步骤S32，否则执行步骤S316；

S316、判断聚合信任值SC_i,j(t)中的m_i,j ^*({T}是否大于等于预设阈值τ，若是，执行步骤S32，否则执行步骤S317；

S317、将邻居转发节点卫星j的所有端口在本地全网端口风险标识中的对应项更新为R_malicious，将邻居转发节点卫星j是恶意节点的消息封装成风险通知LSU报文并在通信端口间洪泛，同时接收来自其它卫星的风险通知LSU报文，并将其中标注的与本地全网端口风险标识不一致的端口在本地全网端口风险标识中的对应项更新为与风险通知LSU报文一致并继续洪泛此报文，执行步骤S34。

该优选方案具有以下有益效果：通过卫星节点间的分布式协作，完成节点信任度的计算更新，不需要任何集中式或分布式第三方可信基础措施。实施周期性的动态信任评估，当卫星网络中存在恶意卫星节点时，能够根据恶意节点的行为及时检测隔离出，防止其进一步对于网络的破坏。

优选地，步骤S32包括以下分步骤：

S321、在卫星节点i的每个端口设置1个链路保活计数器Counter，向外发送Hello报文，同时将非0的Counter值减1；

S322、判断端口是否接收到Hello报文，若是，重置该端口的Counter值后执行步骤324，若否，执行步骤S323；

S323、判断各端口的Counter值是否等于零，若是，将该端口的邻居端口在本地全网端口健康标识中的对应项为H_fault后执行步骤327，否则执行步骤S324；

S324、判断本地状态标识为S_fault并且全网端口健康标识为H_fault的端口是否恢复正常，若是，执行步骤S325，否则执行步骤S326；

S325、将恢复正常的端口在全网端口健康标识中的对应项更新为H_ok，重置该端口的Counter值，并向外发送Hello报文，同时将Counter值减1；

S326、判断各端口是否接收到全网端口健康标识为H_fault的邻居端口发来的Hello报文，若是，重置该端口的Counter值，并将该邻居端口在全网端口健康标识中的对应项更新为H_ok，执行步骤S327，否则执行步骤S33；

S327、将更新后的邻居端口的全网端口健康标识封装成健康通知LSU报文在可通信端口间洪泛，同时接收来自其它卫星的健康通知LSU报文，将其中标注的与本地全网端口风险标识不一致的端口在本地全网端口风险标识中的对应项更新为与健康通知LSU报文一致并继续洪泛此报文，执行步骤S34。

该优选方案具有以下有益效果：通过周期性发送接收Hello数据包完成对标记的可通信链路的健康评估，若节点发生故障或故障端口恢复时，通过全网泛洪LSU报文的形式完成各节点LSDB以及路由表的更新。能够及时避让故障卫星链路以及使用已恢复故障链路，补充对不规则拓扑变化的处理，使得路由设计考虑时更为全面。

优选地，步骤S34包括以下分步骤：

S341、卫星节点i获取自身位置信息，并根据自身位置信息推导出LEO卫星网络中的其它卫星节点位置；

S342、基于步骤S341推导出的全局卫星位置信息，根据卫星运动特点初步建立LSDB；

S343、基于全网端口风险标识和全网端口健康标识完成对LSDB的修正；

S344、基于步骤S43修正后的LSDB对路由表和本地端口状态标识进行更新，并根据更新后的路由表进行LEO卫星网络路由，返回步骤S31。

该优选方案具有以下有益效果：一方面将处理规律拓扑变化得到初步LSDB的拓扑同步开下降至为0，通过卫星节点本地全网位置信息推导以及运动方向的考虑。另一方面通过融合处理由动态信任评估处理模块以及动态健康诊断处理模块分别提供的全网端口风险标识信息以及全网端口健康标识信息，对不规律事件恶意卫星节点以及故障链路进行及时隔离与避让。通过对规律事件以及不规律事件的综合处理，最终完成无失效无故障无恶意节点对应链路的LSDB，继而完成安全式路由表的更新。

优选地，步骤S341具体包括：

卫星节点i首先获取自身位置信息，根据LEO卫星网络的特点推导出同轨道上其它全部卫星的位置信息，再根据相邻轨道的相位差为定值的特点推导出相邻轨道同编号卫星的位置信息，再根据相邻轨道卫星的位置信息推导出相邻轨道上的全部卫星位置信息，照此方法依序求得LEO卫星网络中所有轨道卫星的位置。

该优选方案具有以下有益效果：依据LEO卫星网络的运动规律，根据自身位置信息即可逐步推导出卫星网络中所有卫星节点的位置信息，推导过程简单方便。

优选地，步骤S342包括以下分步骤：

S3421、根据步骤S341获得的所有卫星节点位置，将同轨道相邻卫星间的链路标记为连接状态；

S3422、判断卫星节点是否位于极圈内，若是，将异轨道卫星间的侧向链路标记为断开，否则根据运动方向将异轨道卫星间的左前左后链路标记为连接；

S3423、判断卫星节点是否位于反向缝，若是，将反向缝两侧卫星间的侧向链路标记为断开，否则不做操作，完成LSDB的初步建立。

该优选方案具有以下有益效果：根据卫星的位置和运动方向对位置信息推导阶段后得到的假设全网全联通拓扑进行了修正，得到了无失效链路的LSDB。

优选地，步骤S343包括以下分步骤：

S3431、遍历全网端口风险标识，在LSDB中删除端口风险标识为R_malicious端口对应的链路；

S3432、遍历全网端口健康标识，在LSDB中删除端口健康标识为H_fault端口对应的链路，完成对LSDB的修正。

该优选方案具有以下有益效果：考虑到卫星网络中存在的恶意卫星节点和故障的微型端口等非规律时间的发生，将恶意卫星节点所具有的全部链路和故障端口所对应的链路在LSDB中进行了删除，得到了无失效、无故障链路及无恶意节点对应链路的LSDB。

优选地，步骤S344包括以下分步骤：

S3441、在步骤S343得到的修正后的LSDB上运行最短路径Dijkstra算法，计算以卫星节点i自身为源点其它各个卫星为目的节点的最短路径；

S3442、根据步骤S3441计算的各个最短路径完成路由表的更新；

S3443、根据本地端口的状态完成本地端口状态标识更新；

S3444、根据步骤S3442更新后的路由表进行路由，返回步骤S31。

该优选方案具有以下有益效果：根据之前得到的无失效、无故障链路及无恶意节点对应链路的LSDB，采用最短路径Dijkstra算法进行了最短路径计算及路由表更新，确保了其更新的路由转发路径上不包含失效、故障链路及恶意卫星节点的同时，对LEO卫星网络路由协议实现了安全可靠的防护。

优选地，步骤S3443包括以下分步骤：

S34431、判断各个本地端口是否受位于极圈内或反向缝两侧影响造成异轨道间断链路，若是，将对应本地端口状态标识更新为S_ineffective，否则不做操作；

S34432、判断除本地端口状态标识为S_ineffective的本地端口是否为恶意邻居卫星节点的对应端口，若是，将对应本地端口状态标识更新为S_malicious，否则不做操作；

S34433、判断除本地端口状态标识为S_ineffective和S_malicious的本地端口是否为邻居卫星故障端口的对应端口，若是，将对应本地端口状态标识更新为S_fault，否则不做操作；

S34434、将除本地端口状态标识为S_ineffective、S_malicious和S_fault的本地端口对应的本地端口状态标识更新为S_ok。

该优选方案具有以下有益效果：设置了本地端口状态标识用于判断卫星自身的四个端口是否为可通信端口，同时为动态信任评估处理模块和动态健康诊断处理模块提供了运行前提，只有为可通信端口，即本地端口状态标识为S_ok的端口才能发送与接收LSU报文和Hello报文。

附图说明

图1是本发明一种基于节点信任度的LEO卫星网络安全路由方法的流程图；

图2是本发明实施例中动态信任评估处理模块的结构示意图；

图3是本发明实施例中动态信任评估处理模块的处理流程示意图；

图4是本发明实施例中获取直接信任值时数据报文发送判决过程；

图5是本发明实施例中推荐信任值获取过程示意图；

图6是本发明实施例中动态健康诊断处理模块的处理流程示意图；

图7是本发明实施例中基础路由模块的处理流程示意图；

图8是本发明实施例中LEO48星座网络的结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

请参照图1，本发明提供了一种基于节点信任度的LEO(Low Earth Orbit，低轨卫星)卫星网络安全路由方法，包括以下步骤：

S1、构建包括直接信任模型、间接信任模型和聚合信任模型的适应于LEO卫星网络的信任评估模型，对LEO卫星网络中每颗卫星节点的信任度进行动态评估；

本发明实施例中，本发明提出设计了一种不需要任何集中式或者分布式可信基础设施的，基于D-S证据理论的LEO卫星网络的信任评估模型。

下面先对D-S证据理论的基础定义以及Dempster合成法则进行说明。

假定Ω是由N个互斥且穷举的基本命题所组成的有限集合，则将Ω称之为辨识框架。

Ω的幂集P(Ω)是由2^N个关于Ω的所有可能子集所组成的集合，即

其中

为空集。在P(Ω)上定义了一个基本置信度函数(BasicProbability Assignment,BPA)m(A):P(Ω)→[0，1]，它表示对A的信任程度，满足公式(1-1)：

信任函数Bel，它表示对一个集合以及它的全部子集总信任度，可定义为Bel(A):P(Ω)→[0，1],满足公式(1-2)：

似然函数Pl，它表示对命题A的不否定程度，定义为Pl(A):P(Ω)→[0，1],满足公式(4-3)。且与信任函数Bel的关系满足：

其中

是A的否命题。

假定在同一辨识框架Ω下，具有n(n≥2)个互斥且穷举的证据，定义它们的基本置信度函数表示为m₁,m₂,…,m_n。根据Dempster合成法则，将这n个证据合成后得到的基本置信度函数为m(A)，满足如下条件：

其中，K为一个标准化常数，称之为冲突系数。它反映的是不同的两个BPA之间的冲突程度。

且Dempster合成法则，具有满足交换性与结合性的特点，即

以及

假定m₁与m₂为同一辨识框架Ω下的两个不同的BPA，则定义m₁与m₂之间的距离z(m₁,m₂)为：

其中，＜m₁,m₂＞为m₁与m₂之间的数量积，如公式(4-6)所示：

其中，A_i,A_j∈2^Ω，||m||²为m的平方范式，即||m||²＝＜m,m＞。

在LEO卫星通信网络系统中，若一个卫星节点与其他卫星节点正常交互次数越多，则表明该卫星节点的可信程度越高，其发生恶意行为的可能性越低。因此本发明根据一个卫星节点是否能正确转发数据包来评价该节点的可靠性程度。卫星节点可以根据之前在本地监测收集存储的直接交互行为历史来计算对其他卫星节点的直接信任。

由于LEO卫星通信网络特殊的网络环境下，不适宜采用集中式的通过第三方可信机构来完成节点可信度的计算。因此本发明采用了一种通过卫星节点间分布式协作的方式，来计算节点的可信度。一个卫星节点对其邻居转发节点进行信任评估时，需要统计其历史数据包转发行为。因此为统计被评估卫星节点的数据报文转发行为，本发明引入了一种两跳回复消息机制。若信任评估主体卫星节点在设定的等待时间内收到了两跳回复消息，则表明该数据报文已经成功被被评估邻居卫星节点转发。具体的两跳回复消息判别数据报文是否被成功转发流程如图4所示。

回复消息的格式如表1所示，其中，源节点地址表示的是消息发送卫星节点的地址；转发节点的地址则为数据报文转发卫星节点的地址；目的节点地址是数据报文目的节点地址；签名消息是对上述信息哈希值的签名验证消息。

表1

报文头部

源节点地址

转发节点地址

目的节点地址

签名信息

通过上述方法，卫星节点可对邻居转发卫星的数据包转发行为进行统计判断，为直接信任的量化提供基础。设卫星节点成功转发数据包行为的次数为N_success,卫星节点失败转发数据包行为的次数为N_fail。

依据上述分析，接下来本发明首先根据D-S证据理论的基础定义设定了一个辨识框架Ω＝{T,～T},其中T代表信任，～T代表不信任。同时，卫星节点的直接信任采用一个向量SD表示,SD＝(m({T})，m({～T})，m({T，～T}))，其中m({T})，m({～T})，m({T，～T}分别代表的是数据包被成功转发的比率、数据包被明显拒绝转发比率以及对于是否成功转发数据包不确定的比率。其值分别采用a,b,c表示，由公式(1-7)求得。同时，一个卫星节点对其邻居转发卫星节点的直接信任会被存储在本地，以备后续信任安全决策时调用。

在LEO卫星通信系统中，信任是具有动态性变化的特点。通俗来讲就是说信任是一个会随时间和环境而发生变化的关系，不是一成不变的。一个卫星节点对于其某一个邻居转发卫星过去的信任并不意味着现在亦或是将来还会继续信任。邻居转发卫星节点一些行为或者其他的一些相关信息会导致该卫星不再信任其邻居卫星节点，所以需要设计一种动态的信任评估模型，能够准确反映这种动态性变化，也要具备信任会随时间和环境变化而重新计算评估的能力。

考虑到信任的动态性变化特点，因此本发明决定在时域上开展卫星节点信任值的研究。在系统最初运行时，卫星节点i与卫星节点j之间由于无交互历史统计。所以此时刻卫星节点i对卫星节点j的直接信任向量SD_i,j(t₀)＝(0,0,1)。设定卫星节点更新其直接信任向量SD的周期为△t，所以当t＝t_n时，SD_i,j(t_n)＝(a_n,b_n,c_n),a_n,b_n,c_n分别代表的是t_n时数据包被成功转发的比率、数据包被明显拒绝转发比率以及对于是否成功转发数据包不确定的比率。在经过△t时间以后，即t＝t_n+1＝t_n+△t，SD_i,j(t_n+1)＝(a_n+1,b_n+1,c_n+1)。为阻止恶意卫星节点快速提高自己的信任值，卫星节点i按照如公式1-8所示的方式,进行更新自己对节点j的直接信任值。

其中，w为一个权重系数(常量)。在更新信任证据的过程中，卫星节点i将动态的选定w的值，如公式(1-9)所示。

其中，w₁与w₂满足约束：0≤w₁≤0.5≤w₂≤1。通过这种对w值进行动态选取的方法，来实现对不同卫星节点表现“奖赏分明”。且w₁＜w₂说明惩罚力度强于奖励力度。通过此策略，既做到了对优质卫星节点的奖励，亦做到了对恶意卫星节点的严惩，减少卫星节点的恶意行为，也能够有效抑制恶意卫星节点迅速提高自身信任值。

通过以上操作，卫星节点i便可以实现对邻居转发卫星节点j的准确合理直接信任度量，即完成对直接信任值的更新，也对LEO卫星网络的实时变化做出了及时有效地动态响应。为了方便后文叙述，本发明将SD_i,j(t_n)简写为SD_i,j。

在LEO卫星通信系统中，若卫星节点i对于邻居转发卫星节点j的直接信任不够充分时，此时就需将间接信任纳入信任评估的考虑因素中，既而求得卫星节点i对于邻居转发卫星节点j的聚合信任，以此来最终来判定节点j是否可信。

在本发明中，采用将距离卫星节点j一跳的第三方其他卫星节点对于卫星节点j的直接信任作为推荐信任值推荐给卫星节点i。同时考虑到LEO卫星网络拓扑结构的特殊性与确定性，即每颗卫星有且最多只有4颗邻居节点卫星。因此，可利用这种特定、特殊的网络结构来实现对推荐信任值的低开销有效获取。首先，某一距离卫星节点j一跳的第三方其他卫星节点在计算完成对邻居转发卫星节点j的直接信任值后，只将不确定性m({T，～T})小于1的直接信任向量作为推荐信任值采取冗余发送，同时限定最大转发跳数为2跳的方式进行传递。简单来讲，就是说推荐信任值首先会被发送给被评估卫星节点j，然后被评估卫星节点j再经过一跳发送至与其相邻的所有其他卫星节点(包括卫星节点i)，这样卫星节点i就可在较短时间内获取到第三方其他卫星节点的推荐信任值，并对推荐信任值进行相应的存储，以便后续在需要推荐信任值进行聚合信任计算时，直接调用即可。优于像在地面移动adhoc网络中通过广播质询请求包，找到推荐节点后，再回复推荐信任值的形式来实现推荐信任值的获取。地面这种通过全网广播无序获取推荐信任值的方式会造成对星间链路带宽较多的浪费且等待回复时间较长，不适合在LEO卫星网络这种特殊的、星间链路传播时延较长的网络中使用。具体的LEO卫星节点获取其他节点推荐信任值的方式如图5所示。

但在推荐过程中，卫星节点可能会发起诽谤攻击提供虚假信任值。虚假信任值与其他信任值之间的信任冲突会造成信任合成与直觉相悖，产生非正常结果。折扣因子discount＝[d₁,d₂,…,d_k]的提出则能够有效解决该问题。

卫星节点i对于邻居转发卫星节点j的间接信任值记为SI_i,j。假设卫星节点i从k个不同距离卫星节点j一跳的第三方其他卫星节点n₁,n₂,…,n_k处收到了k个关于卫星节点j的推荐信任向量为SI_n1,j＝(m_n1,j({T})，m_n1,j({～T})，m_n1,j({T，～T})),…,SI_nk,j＝(m_nk,j({T})，m_nk,j({～T})，m_nk,j({T，～T}))。接下来通过证据距离公式，卫星节点i就可计算出这k个推荐信任向量中任意2个推荐信任向量p,q之间的证据距离z_p,q。z_p,q代表第p_th与第q_th两不同推荐信任向量间冲突程度。p与q之间相似程度记为r_p,q。所以r_p,q＝1-z_p,q，r_p,q＝r_q,p。至此，全部的r_p,q可构建一个k×k关于推荐信任向量的相似度矩阵R。

根据D-S证据理论定义可知，当证据发生冲突的时候，若一个证据与其他大部分的证据保持一定程度上的一致性时，那么就认为这个证据应该是会对最终的融合结果产生较大的影响；相反，若一证据与其他大部分证据都不一致时，那么就应降低此证据对最终融合结果所产生的破坏。故每一证据权重应与被其他证据综合支持程度成正比。因此在获得证据相似度矩阵R后，采用矩阵分析便可计算出每个卫星节点推荐信任向量权重。

首先，假设对第p_th个推荐信任向量的支持度定义为δ_p,如公式(1-11)所示：

然后，标准权重λ_p就可以被定义为公式(1-12)所示，且满足

接下来，选定标准权重因子中最大的因子λ_max作为关键证据，既而获得每个推荐信任向量的折扣因子系数discount，如下式所示：

最终，卫星节点i就可以根据折扣因子discount对接收到的推荐信任向量做以下修正处理，如公式(1-14)所示：

同时，通过公式(1-14)便可以进一步推导求得修正后的卫星节点i对于邻居转发卫星节点j的间接信任值记为SI′_i,j。同时由上述可知，若一向量与其他向量冲突越剧烈，则其折扣因子就越小，对最终信任的合成计算破坏就越小。故能有效减小恶意卫星节点的恶劣影响，提高增加卫星网络健壮性与安全性。

通过上述卫星网络直接与间接信任模型处理，便可得到修正处理后的直接信任SD′_i,j与间接信任SI′_i,j。然后卫星节点i便可根据Dempster合成法则对直接信任SD′_i,j与间接信任SI′_i,j进行合成，最终求得卫星节点i对邻居转发卫星节点j的聚合信任值SC_i,j,即SC_i,j＝(m_i,j ^*({T})，m_i,j ^*({～T})，m_i,j ^*({T，～T})),满足如下公式(1-15)所示约束：

若节点j与其全部邻居转发卫星节点皆无交互历史，此时是获取不到对卫星节点j的间接信任值。因此，此时就将卫星节点i对于邻居转发卫星节点j的修正直接信任SD′_i,j当成节点i对节点j的聚合信任SC_i,j。

S2、将LEO卫星网络路由协议OPSPF(Orbit Prediction Shortest Path FirstRouting for Resilient LEO Satellite Networks,基于轨道预测的LEO卫星网络最短路由算法)作为原料改造路由协议并融合步骤S1构建的适应于LEO卫星网络的信任评估模型，构建包括动态信任评估处理模块、基础路由模块和动态健康诊断处理模块的SLT(Securerouting algorithm of LEO satellite network based on node trust,基于节点信任度的LEO卫星网络安全路由)模型；

S3、采用步骤S2构建的基于节点信任度的LEO卫星网络安全路由模型根据步骤S1得到的每颗卫星节点的信任度进行LEO卫星网络安全路由。

本发明实施例中，步骤S3包括以下分步骤：

S31、通过动态信任评估处理模块对LEO卫星网络中的每颗卫星实施周期性分布式动态信任评估，动态信任评估处理模块的结构请参照图2，判断是否有新的恶意卫星节点产生，若是，更新全网端口风险标识后执行步骤S34，否则执行步骤S32；

请参照图3，本发明实施例中，步骤S31包括以下分步骤：

S311、采用直接信任模型计算出卫星节点i对邻居转发卫星节点j的直接信任值SD_i,j(t)，具体过程如下：

本发明采用了一种通过卫星节点间分布式协作的方式，来计算节点的可信度。一个卫星节点对其邻居转发节点进行信任评估时，需要统计其历史数据包转发行为。因此为统计被评估卫星节点的数据报文转发行为，本发明引入了一种两跳回复消息机制。若信任评估主体卫星节点在设定的等待时间内收到了两跳回复消息，则表明该数据报文已经成功被被评估邻居卫星节点转发。请参照图4所示，卫星节点i向邻居转发卫星节点j发送数据报文，邻居转发卫星节点j接收到数据报文后向其除i外的邻居节点发送数据报文，其除i外的邻居节点接收到数据报文后发送回复消息至卫星节点i，卫星节点i接收到回复消息后判断邻居转发卫星节点j成功转发数据报文，否则判断邻居转发卫星节点j转发数据报文失败；

当运行时间t等于预设周期t₂时，更新直接信任值SD_i,j(t)：

SD_i,j(t)＝(m_i,j({T}),m_i,j({～T}),m_i,j({T,～T}))＝(a_t,b_t,c_t)

其中a_t、b_t和c_t分别为算法运行时间t时数据报文转发成功的比率、转发失败的比率和不确定是否转发成功的比率，其值根据如下公式得到：

其中N_success为邻居转发卫星节点j转发数据报文成功的次数，N_fail为转发失败的次数；

在LEO卫星通信系统中，信任是具有动态性变化的特点，因此本发明在时域上开展卫星节点信任值的研究。设定卫星节点更新信任值的周期为预设周期t₂，当算法运行时间t等于预设周期t₂的大于1的整数倍时，更新直接信任值SD_i,j(t)：

SD_i,j(t)＝(m_i,j({T}),m_i,j({～T}),m_i,j({T,～T}))＝(1-w)SD_i,j(t-t₂)+w(a_t,b_t,c_t)

其中w为权重系数，其值根据以下公式得到：

其中0≤w₁≤0.5≤w₂≤1；通过这种对w值进行动态选取的方法，来实现对不同卫星节点表现“奖赏分明”。且w₁＜w₂说明惩罚力度强于奖励力度。通过此策略，既做到了对优质卫星节点的奖励，亦做到了对恶意卫星节点的严惩，减少卫星节点的恶意行为，也能够有效抑制恶意卫星节点迅速提高自身信任值。

S312、判断直接信任值SD_i,j(t)中的m_i,j({T}是否大于等于预设阈值τ(0.5≤τ≤1，节点信任度低于阈值τ的卫星节点则认为是恶意节点)，若是，执行步骤S32，否则执行步骤S313；

S313、在直接信任不充分时，需要将间接信任纳入进来，计算聚合信任进行对邻居转发卫星节点的信任判定，采用间接信任模型计算出卫星节点i对邻居转发卫星节点j的间接信任值SI_i,j(t)，具体过程如下：

请参照图5，卫星节点i将其对邻居转发卫星节点j的直接信任值SD_i,j(t)作为推荐信任值(不确定性m({T，～T})小于1的直接信任值)发送给邻居转发卫星节点j的所有相邻卫星节点，并接收邻居转发卫星节点j的所有k个相邻卫星节点n₁、n₂、...n_k对邻居转发卫星节点j的k个推荐信任值；

但在推荐过程中，卫星节点可能会发起诽谤攻击提供虚假信任值。虚假信任值与其他信任值之间的信任冲突会造成信任合成与直觉相悖，产生非正常结果。折扣因子discount的提出则能够有效解决该问题。

通过证据距离公式计算出k个推荐信任值中任意两个推荐值p，q之间的证据距离z_p,q，z_p,q代表两个不同推荐信任值间的冲突程度，再根据r_p,q＝1-z_p,q计算出p，q之间的相似程度r_p,q，并将所有的r_p,q构建成k×k的相似度矩阵R：

计算出对推荐信任值p的支持度δ_p：

进而计算出标准权重λ_p：

采取上述方法计算出所有推荐信任值的标准权重后，计算出每个推荐值的折扣因子discount：

其中λ_max为所有推荐信任值的标准权重中的最大值；

基于每个推荐值的折扣因子discount计算出卫星节点i对邻居转发卫星节点j的间接信任值SI_i,j(t)，计算公式为：

SI_i,j(t)＝(m'_i,j({T}),m'_i,j({～T}),m'_i,j({T,～T})

其中A为{T}、{～T}或{T,～T}，

为处理后的间接信任值；

采用此方法后，若一向量与其他向量冲突越剧烈，则其折扣因子就越小，对最终信任的合成计算破坏就越小。故能有效减小恶意卫星节点的恶劣影响，提高增加卫星网络健壮性与安全性。

S314、根据步骤S311计算出的直接信任值SD_i,j(t)和步骤S313计算出的间接信任值SI_i,j(t)，采用聚合信任模型进一步计算聚合信任值SC_i,j(t)，其计算公式为：

其中m*_i，j(A)为聚合信任向量计算，

为直接信任值；

若节点j与其全部邻居转发卫星节点皆无交互历史，获取不到对卫星节点j的间接信任值。就将卫星节点i对于邻居转发卫星节点j的修正直接信任SD_i,j(t)当成节点i对节点j的聚合信任SC_i,j(t)。

S315、判断聚合信任值SC_i,j(t)是否等于(0,0,1)，若是，执行步骤S32，否则执行步骤S316；

S316、判断聚合信任值SC_i,j(t)中的m_i,j ^*({T}是否大于等于预设阈值τ，若是，执行步骤S32，否则执行步骤S317；

S317、将邻居转发节点卫星j的所有端口在本地全网端口风险标识中的对应项更新为R_malicious，将邻居转发节点卫星j是恶意节点的消息封装成风险通知LSU(Link StateUpdate，链路状态更新报文)报文并在通信端口间洪泛，同时接收来自其它卫星的风险通知LSU报文，并将其中标注的与本地全网端口风险标识不一致的端口在本地全网端口风险标识中的对应项更新为与风险通知LSU报文一致并继续洪泛此报文，执行步骤S34。

S32、通过动态健康诊断处理模块对星间通信链路实现周期性检测，判断LEO卫星网络是否产生不规律拓扑变化，若是，更新全网端口健康标识后执行步骤S34，否则执行步骤S33；

在LEO卫星通信系统实际运行过程中，还可能会存在不规律事件的发生。如卫星设备异常所造成的突发性星间通信链路故障，既而造成传输数据的被迫丢失，降低路由转发传输的可靠性。

因此，在路由算法设计时，不仅要考虑如像在极圈内、反向缝两侧造成异轨道卫星间断开星间链路(极轨道星座内在特点考虑)、实时检测隔离恶意节点(路由安全性考虑)。还应使路由算法具有动态链路故障检测的能力(设备运行可靠性考虑)，使之及时更新路由路径，避开故障链路，减少数据丢包的损失。

请参照图6，本发明实施例中，步骤S32包括以下分步骤：

S321、在卫星节点i的每个端口设置1个链路保活计数器Counter，向外发送Hello报文，同时将非0的Counter值减1；

S322、判断端口是否接收到Hello报文，若是，重置该端口的Counter值后执行步骤324，若否，执行步骤S323；

S323、判断各端口的Counter值是否等于零，若是，将该端口的邻居端口在本地全网端口健康标识中的对应项为H_fault后执行步骤327，否则执行步骤S324；

S324、判断本地状态标识为S_fault并且全网端口健康标识为H_fault的端口是否恢复正常，若是，执行步骤S325，否则执行步骤S326；

S325、将恢复正常的端口在全网端口健康标识中的对应项更新为H_ok，重置该端口的Counter值，并向外发送Hello报文，同时将Counter值减1；

S326、判断各端口是否接收到全网端口健康标识为H_fault的邻居端口发来的Hello报文，若是，重置该端口的Counter值，并将该邻居端口在全网端口健康标识中的对应项更新为H_ok，对于本地故障端口的恢复情况，卫星是不需向全网进行通告的，而是由邻居卫星进行发现并完成通告的。执行步骤S327，否则执行步骤S33；

S327、将更新后的邻居端口的全网端口健康标识封装成健康通知LSU报文在可通信端口间洪泛，同时接收来自其它卫星的健康通知LSU报文，将其中标注的与本地全网端口风险标识不一致的端口在本地全网端口风险标识中的对应项更新为与健康通知LSU报文一致并继续洪泛此报文，执行步骤S34。

S33、判断算法运行时间t是否为预设周期t₁的整数倍，若是，执行步骤S34，否则返回步骤S31；步骤S31和步骤S32实现了动态信任评估处理模块和动态健康诊断处理模块对基础路由模块的异步调用，此步骤实现了基础路由模块的同步周期性执行，进而实现因卫星位置变化所产生的规律性拓扑变化的处理。

S34、基于全网端口风险标识、全网端口健康标识和自身位置信息，通过基础路由模块对路由表和本地端口状态标识进行更新，并根据更新后的路由表进行LEO卫星网络路由，返回步骤S31。

请参照图7，本发明实施例中，步骤S34包括以下分步骤：

S341、卫星节点i获取自身位置信息，并根据自身位置信息推导出LEO卫星网络中的其它卫星节点位置；在位置信息推导阶段，主要目的是为完成全局卫星位置信息推导。推导出全局卫星位置信息后，此阶段认为每颗卫星与其周围所有邻居转发卫星全联通，即全网络可通达。后续阶段再去修正此阶段假设所得的卫星全联通网络拓扑。

本发明实施例中，步骤S341具体包括：

卫星节点i首先获取自身位置信息，根据LEO卫星网络的特点推导出同轨道上其它全部卫星的位置信息，再根据相邻轨道的相位差为定值的特点推导出相邻轨道同编号卫星的位置信息，再根据相邻轨道卫星的位置信息推导出相邻轨道上的全部卫星位置信息，照此方法依序求得LEO卫星网络中所有轨道卫星的位置。

请参照图8，以极轨道星座LEO48为例，该星座具有6个轨道面，且每个轨道面上均匀分布着8颗卫星，如图4-8所示。且定义S(α，β)为每颗卫星的编址形式，α代表轨道编号，β代表此轨道上本颗卫星编号，如S(1，1)表示的是第1轨道面上编号为1的卫星。

星座式卫星网络运动具有以下特点：

(1)位于同轨道上的卫星具有相同的经度坐标，且随地球自转均匀变化，因为同一轨道面上均匀分布着8颗卫星，因此同轨道上相邻卫星的相位差为45。。

(2)对于异轨道的卫星，因为星座的6条轨道是均匀分布的，所以相邻轨道的卫星经度差为60。。由公式(4-16)可知，卫星运动周期仅与卫星轨道高度h相关，而卫星的高度是一样的，所以不同轨道上的卫星运动周期也是一样的，周期为：

根据星座式卫星网络中卫星运动特点，首先根据卫星自身的位置信息推导出同轨道上其他全部卫星的位置信息；又因为相邻轨道的相位差为定值，因此可以推导出相邻轨道相同编号的卫星位置信息，再利用同轨道卫星位置信息的推导方法求得相邻轨道面上的全部卫星位置信息，最终可以逐步求得LEO48星座的全部48颗卫星的位置信息。

S342、基于步骤S341推导出的全局卫星位置信息，根据卫星运动特点初步建立LSDB(Link State Data Base，链路状态数据库)；LSDB是路由表计算前提，因此LEO卫星网络中每颗卫星都会在本地维护LSDB，类同于地面内部网关协议OSPF的LSDB。LSDB初步建立阶段主要处理卫星规律性事件(规律性拓扑变化，如极圈内与反向缝两侧异轨道间链路断开)所造成的失效链路。此阶段考虑卫星所处位置信息以及卫星运动方向，从而对位置信息推导阶段假设所得的全网全联通拓扑进行修正，修正流程如图7右侧所示。删除70°极圈内(卫星位置因素)以及反向缝两侧(运动方向因素)异轨星间链路。而其余像同轨以及异轨卫星间可通信链路则继续保持。经此阶段处理，就可得到无失效链路LSDB。

本发明实施例中，步骤S342包括以下分步骤：

S3421、根据步骤S341获得的所有卫星节点位置，将同轨道相邻卫星间的链路标记为连接状态；

S3422、判断卫星节点是否位于极圈内，若是，将异轨道卫星间的侧向链路标记为断开，否则根据运动方向将异轨道卫星间的左前左后链路标记为连接；

S3423、判断卫星节点是否位于反向缝，若是，将反向缝两侧卫星间的侧向链路标记为断开，否则不做操作，完成LSDB的初步建立。

S343、基于全网端口风险标识和全网端口健康标识完成对LSDB的修正；LEO卫星网络中除了存在规律性事件发生，还可能存在像恶意卫星节点以及卫星端口故障等特殊、非规律事件发生。因此需对LSDB初步建立阶段所得LSDB做进一步修正。非规律事件包括：由动态信任评估处理模块提供恶意卫星节点信息和由动态健康诊断处理模块提供不规律拓扑变化信息(突发性链路故障、故障恢复)。

本发明实施例中，步骤S343包括以下分步骤：

S3431、遍历全网端口风险标识，在LSDB中删除端口风险标识为R_malicious端口对应的链路；

S3432、遍历全网端口健康标识，在LSDB中删除端口健康标识为H_fault端口对应的链路，完成对LSDB的修正。得到一个无失效、无故障链路以及无恶意节点对应链路的LSDB。

S344、基于步骤S43修正后的LSDB对路由表和本地端口状态标识进行更新，并根据更新后的路由表进行LEO卫星网络路由，返回步骤S31。

本发明实施例中，步骤S344包括以下分步骤：

S3441、在步骤S343得到的修正后的LSDB上运行最短路径Dijkstra算法，计算以卫星节点i自身为源点其它各个卫星为目的节点的最短路径；使用最短路径Dijkstra算法需在拓扑表中标注每条链路代价，但因本发明中LSDB的获得是通过推导而来，并没有对链路代价值(如带宽、时延等)进行收集，故在本发明中统一将每条链路的代价值设定为1，即实际上变成了计算最小跳数路由。

S3442、根据步骤S3441计算的各个最短路径完成路由表的更新；

S3443、根据本地端口的状态完成本地端口状态标识更新。设置本地端口状态标识的目的是为了卫星在本地判定自身四个端口是否可通信，是动态信任评估处理模块与动态健康诊断处理模块运行前提。只有为可通信端口时，即本地端口为非失效非恶意非故障状态时，则此本地端口的状态标识定义为Sok，卫星才可以从该正常端口发送与接收Hello报文，转发与接收LSU报文；其余情况皆为不可通信端口。

本发明实施例中，步骤S3443包括以下分步骤：

S34431、判断各个本地端口是否受位于极圈内或反向缝两侧影响造成异轨道间断链路，若是，将对应本地端口状态标识更新为S_ineffective，否则不做操作；

S34432、判断除本地端口状态标识为S_ineffective的本地端口是否为恶意邻居卫星节点的对应端口，若是，将对应本地端口状态标识更新为S_malicious，否则不做操作；

S34433、判断除本地端口状态标识为S_ineffective和S_malicious的本地端口是否为邻居卫星故障端口的对应端口，若是，将对应本地端口状态标识更新为S_fault，否则不做操作；设定不可通信本地端口对应的状态标识应具有优先级，为S_ineffective>S_malicious>S_fault,当卫星的某个本地端口具有2个及以上不可通信事件发生时，取优先级最高的状态标识代表此时本地端口的状态标识。

S34434、将除本地端口状态标识为S_ineffective、S_malicious和S_fault的本地端口对应的本地端口状态标识更新为S_ok。

S3444、根据步骤S3442更新后的路由表进行路由，返回步骤S31。

本领域的普通技术人员将会意识到，这里所描述的实施例是为了帮助读者理解本发明的原理，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。

Claims (8)

1.一种基于节点信任度的LEO卫星网络安全路由方法，其特征在于，包括以下步骤：

S1、构建包括直接信任模型、间接信任模型和聚合信任模型的适应于LEO卫星网络的信任评估模型，对LEO卫星网络中每颗卫星节点的信任度进行动态评估；

S2、将LEO卫星网络OPSPF路由协议作为原料改造路由协议与步骤S1构建的适应于LEO卫星网络的信任评估模型进行融合，构建包括动态信任评估处理模块、基础路由模块和动态健康诊断处理模块的基于节点信任度的LEO卫星网络安全路由模型；

S3、采用步骤S2构建的基于节点信任度的LEO卫星网络安全路由模型根据步骤S1得到的每颗卫星节点的信任度进行LEO卫星网络安全路由，包括以下分步骤：

S31、通过动态信任评估处理模块对LEO卫星网络中的每颗卫星实施周期性分布式动态信任评估，判断是否有新的恶意卫星节点产生，若是，更新全网端口风险标识后执行步骤S34，否则执行步骤S32；包括以下分步骤：

S311、采用直接信任模型计算出卫星节点i对邻居转发卫星节点j的直接信任值SD_i,j(t)，计算具体过程如下：

卫星节点i向邻居转发卫星节点j发送数据报文，邻居转发卫星节点j接收到数据报文后向其除i外的邻居节点发送数据报文，其除i外的邻居节点接收到数据报文后发送回复消息至卫星节点i，卫星节点i接收到回复消息后判断邻居转发卫星节点j成功转发数据报文，否则判断邻居转发卫星节点j转发数据报文失败；

当算法运行时间t等于预设周期t₂时，更新直接信任值SD_i,j(t)：

SD_i,j(t)＝(m_i,j({T}),m_i,j({～T}),m_i,j({T,～T}))＝(a_t,b_t,c_t)

其中a_t、b_t和c_t分别为算法运行时间t时数据报文转发成功的比率、转发失败的比率和不确定是否转发成功的比率，其值根据如下公式得到：

其中N_success为邻居转发卫星节点j转发数据报文成功的次数，N_fail为转发失败的次数；

当算法运行时间t等于预设周期t₂的大于1的整数倍时，更新直接信任值SD_i,j(t)：

SD_i,j(t)＝(m_i,j({T}),m_i,j({～T}),m_i,j({T,～T}))＝(1-w)SD_i,j(t-t₂)+w(a_t,b_t,c_t)

其中w为权重系数，其值根据以下公式得到：

其中0≤w₁≤0.5≤w₂≤1；

S312、判断直接信任值SD_i,j(t)中的m_i,j({T})是否大于等于预设阈值τ，若是，执行步骤S32，否则执行步骤S313；

S313、采用间接信任模型计算出卫星节点i对邻居转发卫星节点j的间接信任值SI_i,j(t)，计算具体过程如下：

卫星节点i将其对邻居转发卫星节点j的直接信任值SD_i,j(t)作为推荐信任值发送给邻居转发卫星节点j的所有相邻卫星节点，并接收邻居转发卫星节点j的所有k个相邻卫星节点n₁、n₂、...n_k对邻居转发卫星节点j的k个推荐信任值；

通过证据距离公式计算出k个推荐信任值中任意两个推荐值p，q之间的证据距离z_p,q，再根据r_p,q＝1-z_p,q计算出p，q之间的相似程度r_p,q，并将所有的r_p,q构建成k×k的相似度矩阵R：

计算对推荐信任值p的支持度δ_p：

进而计算标准权重λ_p：

采取上述方法计算出所有推荐信任值的标准权重后，计算每个推荐值的折扣因子discount：

其中λ_max为所有推荐信任值的标准权重中的最大值；

基于每个推荐值的折扣因子discount计算卫星节点i对邻居转发卫星节点j的间接信任值SI_i,j(t)，计算公式为：

SI_i,j(t)＝(m'_i,j({T}),m'_i,j({～T}),m'_i,j({T,～T}))

其中A为{T}、{～T}或{T,～T}，m'_ni,j(A)为处理后的间接信任值；

S314、根据步骤S311计算出的直接信任值SD_i,j(t)和步骤S313计算出的间接信任值SI_i,j(t)，采用聚合信任模型进一步计算聚合信任值SC_i,j(t)，其计算公式为：

其中m*_i，j(A)为聚合信任向量计算，m_ni,j(A)为直接信任值；

S315、判断聚合信任值SC_i,j(t)是否等于(0,0,1)，若是，执行步骤S32，否则执行步骤S316；

S316、判断聚合信任值SC_i,j(t)中的m_i,j ^*({T})是否大于等于预设阈值τ，若是，执行步骤S32，否则执行步骤S317；

S317、将邻居转发节点卫星j的所有端口在本地全网端口风险标识中的对应项更新为R_malicious，将邻居转发节点卫星j是恶意节点的消息封装成风险通知LSU报文并在通信端口间洪泛，同时接收来自其它卫星的风险通知LSU报文，并将其中标注的与本地全网端口风险标识不一致的端口在本地全网端口风险标识中的对应项更新为与风险通知LSU报文一致并继续洪泛此报文，执行步骤S34；

S32、通过动态健康诊断处理模块对星间通信链路实现周期性检测，判断LEO卫星网络是否产生不规律拓扑变化，若是，更新全网端口健康标识后执行步骤S34，否则执行步骤S33；

S33、判断算法运行时间t是否为预设周期t₁的整数倍，若是，执行步骤S34，否则返回步骤S31；

S34、基于全网端口风险标识、全网端口健康标识和自身位置信息，通过基础路由模块对路由表和本地端口状态标识进行更新，并根据更新后的路由表进行LEO卫星网络安全路由，返回步骤S31。

2.如权利要求1所述的一种基于节点信任度的LEO卫星网络安全路由方法，其特征在于，所述步骤S32包括以下分步骤：

S321、在卫星节点i的每个端口设置1个链路保活计数器Counter，向外发送Hello报文，同时将非0的Counter值减1；

S322、判断端口是否接收到Hello报文，若是，重置该端口的Counter值后执行步骤324，若否，执行步骤S323；

S323、判断各端口的Counter值是否等于零，若是，将该端口的邻居端口在本地全网端口健康标识中的对应项为H_fault后执行步骤327，否则执行步骤S324；

S324、判断本地状态标识为S_fault并且全网端口健康标识为H_fault的端口是否恢复正常，若是，执行步骤S325，否则执行步骤S326；

S325、将恢复正常的端口在全网端口健康标识中的对应项更新为H_ok，重置该端口的Counter值，并向外发送Hello报文，同时将Counter值减1；

S326、判断各端口是否接收到全网端口健康标识为H_fault的邻居端口发来的Hello报文，若是，重置该端口的Counter值，并将该邻居端口在全网端口健康标识中的对应项更新为H_ok，执行步骤S327，否则执行步骤S33；

S327、将更新后的邻居端口的全网端口健康标识封装成健康通知LSU报文在可通信端口间洪泛，同时接收来自其它卫星的健康通知LSU报文，将其中标注的与本地全网端口风险标识不一致的端口在本地全网端口风险标识中的对应项更新为与健康通知LSU报文一致并继续洪泛此报文，执行步骤S34。

3.如权利要求2所述的一种基于节点信任度的LEO卫星网络安全路由方法，其特征在于，所述步骤S34包括以下分步骤：

S341、卫星节点i获取自身位置信息，并根据自身位置信息推导出LEO卫星网络中的其它卫星节点位置；

S342、基于步骤S341推导出的全局卫星位置信息，根据卫星运动特点初步建立LSDB；

S343、基于全网端口风险标识和全网端口健康标识完成对LSDB的修正；

S344、基于步骤S43修正后的LSDB对路由表和本地端口状态标识进行更新，并根据更新后的路由表进行LEO卫星网络路由，返回所述步骤S31。

4.如权利要求3所述的一种基于节点信任度的LEO卫星网络安全路由方法，其特征在于，所述步骤S341具体包括：

卫星节点i首先获取自身位置信息，根据LEO卫星网络的特点推导出同轨道上其它全部卫星的位置信息，再根据相邻轨道的相位差为定值的特点推导出相邻轨道同编号卫星的位置信息，再根据相邻轨道卫星的位置信息推导出相邻轨道上的全部卫星位置信息，照此方法依序求得LEO卫星网络中所有轨道卫星的位置。

5.如权利要求4所述的一种基于节点信任度的LEO卫星网络安全路由方法，其特征在于，所述步骤S342包括以下分步骤：

S3421、根据所述步骤S341获得的所有卫星节点位置，将同轨道相邻卫星间的链路标记为连接状态；

S3422、判断卫星节点是否位于极圈内，若是，将异轨道卫星间的侧向链路标记为断开，否则根据运动方向将异轨道卫星间的左前左后链路标记为连接；

S3423、判断卫星节点是否位于反向缝，若是，将反向缝两侧卫星间的侧向链路标记为断开，否则不做操作，完成LSDB的初步建立。

6.如权利要求5所述的一种基于节点信任度的LEO卫星网络安全路由方法，其特征在于，所述步骤S343包括以下分步骤：

S3431、遍历全网端口风险标识，在LSDB中删除端口风险标识为R_malicious端口对应的链路；

S3432、遍历全网端口健康标识，在LSDB中删除端口健康标识为H_fault端口对应的链路，完成对LSDB的修正。

7.如权利要求6所述的一种基于节点信任度的LEO卫星网络安全路由方法，其特征在于，所述步骤S344包括以下分步骤：

S3441、在步骤S343得到的修正后的LSDB上运行最短路径Dijkstra算法，计算以卫星节点i自身为源点其它各个卫星为目的节点的最短路径；

S3442、根据步骤S3441计算的各个最短路径完成路由表的更新；

S3443、根据本地端口的状态完成本地端口状态标识更新；

S3444、根据步骤S3442更新后的路由表进行路由，返回所述步骤S31。

8.如权利要求7所述的一种基于节点信任度的LEO卫星网络安全路由方法，其特征在于，所述步骤S3443包括以下分步骤：

S34431、判断各个本地端口是否受位于极圈内或反向缝两侧影响造成异轨道间断链路，若是，将对应本地端口状态标识更新为S_ineffective，否则不做操作；

S34432、判断除本地端口状态标识为S_ineffective的本地端口是否为恶意邻居卫星节点的对应端口，若是，将对应本地端口状态标识更新为S_malicious，否则不做操作；

S34433、判断除本地端口状态标识为S_ineffective和S_malicious的本地端口是否为邻居卫星故障端口的对应端口，若是，将对应本地端口状态标识更新为S_fault，否则不做操作；

S34434、将除本地端口状态标识为S_ineffective、S_malicious和S_fault的本地端口对应的本地端口状态标识更新为S_ok。

Images