◎中國(guó)航天系統(tǒng)科學(xué)與工程研究院 閆陳靜 陳漠 張偉 顧升高
“星融網(wǎng)”網(wǎng)絡(luò)規(guī)模龐大、組成結(jié)構(gòu)復(fù)雜、拓?fù)渥兓l繁,涉及衛(wèi)星系統(tǒng)、臨近空間平臺(tái)、地面網(wǎng)絡(luò)等不同的層面,因此,必須設(shè)計(jì)科學(xué)、合理、可擴(kuò)展的網(wǎng)絡(luò)體系結(jié)構(gòu),才能滿足未來網(wǎng)絡(luò)部署和應(yīng)用的需求。本文圍繞“星融網(wǎng)”安全體系結(jié)構(gòu)設(shè)計(jì)的問題,從安全保障體系、安全協(xié)議體系、安全機(jī)制分析三方面提出未來“星融網(wǎng)”網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計(jì)的構(gòu)想。
“星融網(wǎng)”在未來的重要地位使得其具有極高的安全性要求,為了保障空間通信和應(yīng)用的安全性,必須在整個(gè)網(wǎng)絡(luò)的架構(gòu)中貫穿并融合安全體系結(jié)構(gòu)的設(shè)計(jì)。在安全體系結(jié)構(gòu)的研究中,需要根據(jù)“星融網(wǎng)”網(wǎng)絡(luò)的特點(diǎn)和典型應(yīng)用,深入分析來自不同方向和層次的網(wǎng)絡(luò)攻擊行為,總結(jié)“星融網(wǎng)”可能面臨的安全威脅,從不同角度探討“星融網(wǎng)”網(wǎng)絡(luò)的安全需求,結(jié)合網(wǎng)絡(luò)通信協(xié)議,從整體上定義安全服務(wù)、安全機(jī)制等元素以及元素之間的關(guān)系,并針對(duì)不同的協(xié)議層次建立適當(dāng)?shù)陌踩珯C(jī)制和安全策略。安全體系結(jié)構(gòu)的設(shè)計(jì)是一個(gè)循序漸進(jìn)的過程,需要和其它的網(wǎng)絡(luò)技術(shù)相互協(xié)調(diào)并進(jìn)行聯(lián)合設(shè)計(jì),促進(jìn)整個(gè)“星融網(wǎng)”網(wǎng)絡(luò)架構(gòu)的不斷完善。
“星融網(wǎng)”安全保障體系結(jié)構(gòu)
本文從安全保障基礎(chǔ)設(shè)施、安全協(xié)議和安全機(jī)制三個(gè)方面,對(duì)“星融網(wǎng)”安全體系的框架結(jié)構(gòu)進(jìn)行分析。首先應(yīng)建立層次化的安全保障基礎(chǔ)設(shè)施,為整個(gè)“星融網(wǎng)”網(wǎng)絡(luò)中的通信安全和端系統(tǒng)安全提供基本的保障;然后分析“星融網(wǎng)”網(wǎng)絡(luò)通信協(xié)議棧每一層中可能使用的安全協(xié)議和安全機(jī)制,為通信協(xié)議的運(yùn)行安全建立指導(dǎo)原則;最后針對(duì)空間組網(wǎng)中可能面臨的安全問題,提出主要的安全機(jī)制在具體設(shè)計(jì)與實(shí)施時(shí)需要遵循的原則和基本的安全解決方案。
從技術(shù)層面上講,“星融網(wǎng)”的安全技術(shù)保障結(jié)構(gòu)未來可分為應(yīng)用環(huán)境安全、應(yīng)用區(qū)域邊界安全、網(wǎng)絡(luò)和通信傳輸安全、安全管理中心和密碼管理中心五個(gè)環(huán)節(jié),即在兩個(gè)中心支持下的三重保障體系結(jié)構(gòu)。
應(yīng)用環(huán)境安全:應(yīng)用環(huán)境包括空間段設(shè)備、地面段設(shè)備、用戶段設(shè)備、以及其中運(yùn)行的各種指揮控制系統(tǒng)軟件、管理軟件、應(yīng)用軟件和安全防護(hù)軟件等,共同構(gòu)成可信的系統(tǒng)應(yīng)用環(huán)境?!靶侨诰W(wǎng)”可能面臨各種安全威脅,因此必須根據(jù)空間任務(wù)的安全需求,合理高效地采取身份認(rèn)證、訪問控制、數(shù)據(jù)加密、安全審計(jì)、入侵檢測(cè)、容錯(cuò)、災(zāi)難恢復(fù)等機(jī)制,并嚴(yán)格各種安全管理制度以保證應(yīng)用環(huán)境的安全。
應(yīng)用區(qū)域邊界安全:通過部署邊界保護(hù)措施控制對(duì)衛(wèi)星網(wǎng)絡(luò)、臨近空間網(wǎng)絡(luò)以及地面網(wǎng)絡(luò)等骨干網(wǎng)絡(luò)的訪問,保證“星融網(wǎng)”網(wǎng)絡(luò)系統(tǒng)的安全。由于空間鏈路的特點(diǎn),“星融網(wǎng)”網(wǎng)絡(luò)中并不存在明顯的網(wǎng)絡(luò)邊界,但這也意味著任何一個(gè)骨干網(wǎng)絡(luò)節(jié)點(diǎn)都是網(wǎng)絡(luò)的邊界,需要通過采取安全接入、安全網(wǎng)關(guān)、防火墻等隔離過濾機(jī)制,將“星融網(wǎng)”與非法的接入節(jié)點(diǎn)隔離。
網(wǎng)絡(luò)和通信傳輸安全:包括實(shí)現(xiàn)衛(wèi)星網(wǎng)絡(luò)、臨近空間網(wǎng)絡(luò)與地面網(wǎng)絡(luò)內(nèi)部以及兩兩之間的互聯(lián)安全,確保通信的機(jī)密性、完整性和可用性。采用數(shù)據(jù)加密、完整性校驗(yàn)和實(shí)體鑒別等機(jī)制,實(shí)現(xiàn)可信的安全連接;根據(jù)“星融網(wǎng)”的安全需求,分別在物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層實(shí)施安全機(jī)制以達(dá)到安全的信息傳輸。在具體實(shí)現(xiàn)時(shí),每一層都可進(jìn)行身份認(rèn)證和密鑰交換,如在網(wǎng)絡(luò)層采用IPSec協(xié)議,傳輸層使用SSL或TLS協(xié)議,從而保證通信數(shù)據(jù)的保密性和完整性,并能抵抗重放攻擊、鑒別數(shù)據(jù)的來源。
安全管理中心:提供衛(wèi)星網(wǎng)絡(luò)、臨近空間網(wǎng)絡(luò)和地面網(wǎng)絡(luò)中節(jié)點(diǎn)和子網(wǎng)的接入認(rèn)證、授權(quán)、訪問控制策略等服務(wù);建立授權(quán)管理基礎(chǔ)設(shè)施PMI(Privilege Management Infrastructure),由PMI負(fù)責(zé)向應(yīng)用系統(tǒng)提供相關(guān)的授權(quán)服務(wù)管理;除此之外,安全管理中心還負(fù)責(zé)對(duì)安全策略的建立、配置、實(shí)施和變更進(jìn)行管理。
密碼管理中心:提供互連互通的密鑰配置、公鑰證書和傳統(tǒng)的對(duì)稱密碼管理,為“星融網(wǎng)”提供密碼服務(wù)。通過建立層次型的密碼管理中心,為“星融網(wǎng)”的骨干節(jié)點(diǎn)和各級(jí)用戶提供安全機(jī)制所需的密鑰的全生命周期管理。其中,公鑰基礎(chǔ)設(shè)施PKI提供對(duì)用戶證書的頒發(fā)、索引、認(rèn)證等公鑰相關(guān)服務(wù),密鑰管理基礎(chǔ)設(shè)施KMI(Key Management Infrastructure)包括密鑰生成服務(wù)器、密鑰數(shù)據(jù)庫(kù)服務(wù)器和密鑰服務(wù)管理器等組成部分,提供統(tǒng)一的密鑰管理服務(wù)。
“星融網(wǎng)”安全體系結(jié)構(gòu)具有綜合防護(hù)、多層立體設(shè)計(jì)的特點(diǎn),在協(xié)議棧各層都有適當(dāng)?shù)陌踩珯C(jī)制,并且各層之間并不一定獨(dú)立,可以存在反饋信息,由位于各層的多種安全防護(hù)系統(tǒng)共同構(gòu)成安全保障體系結(jié)構(gòu)。
參考OSI安全分層及各層的安全服務(wù)配置,并考慮網(wǎng)絡(luò)的特點(diǎn),“星融網(wǎng)”安全服務(wù)在各層的分配應(yīng)遵循以下基本原則:實(shí)現(xiàn)同種安全服務(wù)的不同方法越少越好;在多個(gè)協(xié)議層次上提供安全保護(hù);只要一個(gè)實(shí)體依賴于低層實(shí)體提供的安全機(jī)制,那么任何中間層安全機(jī)制不能違反低層安全機(jī)制的要求;考慮各層的相關(guān)性,不孤立地研究各層的安全性。
根據(jù)空間任務(wù)的實(shí)際安全需求,安全服務(wù)可以在“星融網(wǎng)”網(wǎng)絡(luò)協(xié)議中的一個(gè)或多個(gè)層次上實(shí)施?!靶侨诰W(wǎng)”的協(xié)議棧分為物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層,按照上面的原則,各層提供的主要安全服務(wù)可以配置如下:
物理層:提供連接機(jī)密性、業(yè)務(wù)流機(jī)密性服務(wù),提供完整性和可用性服務(wù);
數(shù)據(jù)鏈路層:提供連接機(jī)密性和無連接機(jī)密性服務(wù),同時(shí)提供完整性、可用性和認(rèn)證服務(wù);
網(wǎng)絡(luò)層:可以在一定程度上提供認(rèn)證、訪問控制、機(jī)密性和完整性服務(wù);
傳輸層:可以提供認(rèn)證、訪問控制、機(jī)密性和完整性服務(wù);
應(yīng)用層:必須提供所有的安全服務(wù),并且也是唯一能提供不可否認(rèn)性服務(wù)的協(xié)議層次。
根據(jù)“星融網(wǎng)”網(wǎng)絡(luò)的特點(diǎn)和空間應(yīng)用的要求,本文提出了分層立體的安全體系結(jié)構(gòu)模型和安全協(xié)議框架。但是,這種嚴(yán)格分層的體系結(jié)構(gòu)使得網(wǎng)絡(luò)協(xié)議的設(shè)計(jì)缺乏足夠的適應(yīng)性,不符合網(wǎng)絡(luò)動(dòng)態(tài)變化的特點(diǎn),往往可能使網(wǎng)絡(luò)的性能無法得到有效的保障。為了滿足“星融網(wǎng)”的特殊要求,可以采取跨層設(shè)計(jì)的思想,設(shè)計(jì)一種能夠在協(xié)議棧的多個(gè)層次支持自適應(yīng)和性能優(yōu)化的跨層安全體系結(jié)構(gòu),綜合利用各層的信息,避免重復(fù)的操作或功能模塊,有可能顯著地提高網(wǎng)絡(luò)的綜合性能。不過,跨層設(shè)計(jì)的安全協(xié)議也破壞了傳統(tǒng)協(xié)議層次的抽象、透明的特點(diǎn),不可避免地存在與現(xiàn)有協(xié)議的兼容性問題,并且增加了網(wǎng)絡(luò)管理的復(fù)雜性。因此,在進(jìn)行跨層的安全體系結(jié)構(gòu)和安全協(xié)議設(shè)計(jì)時(shí),需要在性能、兼容性和可維護(hù)性等指標(biāo)之間進(jìn)行綜合權(quán)衡,并且應(yīng)慎重決策。
為了實(shí)現(xiàn)“星融網(wǎng)”網(wǎng)絡(luò)間的各項(xiàng)安全服務(wù),必須綜合應(yīng)用包括認(rèn)證、加密、數(shù)據(jù)完整性、訪問控制等主要安全機(jī)制,形成多層次全方位的安全技術(shù)防護(hù)體系,保障“星融網(wǎng)”的通信安全和應(yīng)用安全。
在“星融網(wǎng)”的主要應(yīng)用和大部分安全協(xié)議中,認(rèn)證機(jī)制是實(shí)現(xiàn)真實(shí)性安全服務(wù)的基本手段。認(rèn)證機(jī)制是通過密碼或其它技術(shù)使得一個(gè)實(shí)體向另一個(gè)實(shí)體證明某種聲稱的屬性的過程,其目的是阻止假冒攻擊,防止非授權(quán)節(jié)點(diǎn)接入和訪問網(wǎng)絡(luò)。認(rèn)證機(jī)制一般體現(xiàn)為通信雙方交互的認(rèn)證協(xié)議,可進(jìn)一步分為實(shí)體認(rèn)證(身份認(rèn)證)協(xié)議、數(shù)據(jù)源認(rèn)證、認(rèn)證及密鑰交換協(xié)議等。認(rèn)證機(jī)制的實(shí)現(xiàn)主要涉及加密算法、數(shù)據(jù)完整性算法和數(shù)字簽名算法等密碼學(xué)方案。
“星融網(wǎng)”的軍事應(yīng)用對(duì)認(rèn)證機(jī)制提出了更高的要求,不僅對(duì)認(rèn)證過程本身的安全性要求很高,而且要求認(rèn)證速度快,信息傳輸量盡可能地少;另外“星融網(wǎng)”是一個(gè)多層次的異構(gòu)網(wǎng)絡(luò),需要頻繁地進(jìn)行跨域認(rèn)證、重認(rèn)證以及異構(gòu)網(wǎng)絡(luò)認(rèn)證,要求認(rèn)證過程具有高效性和可擴(kuò)展性。因此,在“星融網(wǎng)”應(yīng)用中,應(yīng)根據(jù)不同具體應(yīng)用的場(chǎng)景、安全需求和安全級(jí)別,設(shè)計(jì)高速接入認(rèn)證,跨域認(rèn)證與異構(gòu)網(wǎng)絡(luò)認(rèn)證等不同的認(rèn)證方案和協(xié)議。
由于“星融網(wǎng)”軍事應(yīng)用的高安全性要求,必須保證敏感信息的機(jī)密性,防止非授權(quán)用戶得到傳輸信息的內(nèi)容。信息加密機(jī)制是保證信息機(jī)密性的唯一方法,是“星融網(wǎng)”中的一項(xiàng)基本安全機(jī)制。
一般來說,“星融網(wǎng)”中密碼算法的選擇應(yīng)遵循安全強(qiáng)度高、加解密速度快、算法易于實(shí)現(xiàn)等基本原則,只有這樣,才能滿足空間應(yīng)用對(duì)密碼算法的安全性和實(shí)時(shí)性要求。對(duì)稱密碼算法和公鑰密碼算法均存在一些優(yōu)勢(shì)和局限性,應(yīng)根據(jù)這兩種密碼算法的特點(diǎn),結(jié)合具體空間應(yīng)用或網(wǎng)絡(luò)協(xié)議的安全需求,選擇最適合的密碼算法。在“星融網(wǎng)”網(wǎng)絡(luò)安全體系結(jié)構(gòu)中,兩種密碼算法是互相補(bǔ)充、互相配合的關(guān)系。在某些需要提供認(rèn)證、簽名或者密鑰加密等功能的場(chǎng)合,宜采用公鑰密碼算法,可以在RSA、ECC(橢圓曲線密碼學(xué))、IBC(基于身份密碼學(xué))等密碼方案中進(jìn)行選擇;而在需要高速加密運(yùn)算的場(chǎng)合下,則宜采用對(duì)稱密碼算法,可以在DES、AES、RC4等分組密碼算法或流密碼算法中進(jìn)行選擇。
在空間網(wǎng)絡(luò)環(huán)境下,實(shí)現(xiàn)傳輸數(shù)據(jù)的完整性校驗(yàn)可以借鑒地面網(wǎng)絡(luò)中的方法,但必須結(jié)合“星融網(wǎng)”通信的特點(diǎn),特別是減少通信開銷。單個(gè)數(shù)據(jù)單元的完整性可以通過完整性校驗(yàn)字來實(shí)現(xiàn),也可以使用單向雜湊函數(shù)方案;而數(shù)據(jù)流的完整性通常采用包的序列號(hào)和時(shí)間戳來實(shí)現(xiàn)。HMAC、各種數(shù)字簽名方案均為典型的數(shù)據(jù)完整性方案。
在設(shè)計(jì)空間網(wǎng)絡(luò)中具體的完整性方案時(shí),還需要對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行分類,如可簡(jiǎn)要地分為控制數(shù)據(jù)(信令、指令)和用戶數(shù)據(jù)(普通用戶數(shù)據(jù)、敏感用戶數(shù)據(jù))等。由于不同類型的數(shù)據(jù)在數(shù)據(jù)長(zhǎng)度、完整性需求等方面也不盡相同,必須針對(duì)不同的數(shù)據(jù)類型分別設(shè)計(jì)相應(yīng)的數(shù)據(jù)完整性保護(hù)方案。例如,對(duì)于控制數(shù)據(jù),重放攻擊帶來的危害最為嚴(yán)重,因此必須保證控制數(shù)據(jù)包的序列號(hào)、新鮮數(shù)或時(shí)間戳的完整性;對(duì)于用戶數(shù)據(jù),最嚴(yán)重的威脅可能來自于對(duì)數(shù)據(jù)內(nèi)容的篡改,因此必須保證用戶數(shù)據(jù)包整體的一致性。因此,對(duì)于控制數(shù)據(jù),由于數(shù)據(jù)量小,實(shí)時(shí)性要求高,可以使用基于對(duì)稱密碼算法的完整性機(jī)制;對(duì)于用戶數(shù)據(jù),由于數(shù)據(jù)量大,可以采用基于雜湊函數(shù)的數(shù)據(jù)完整性機(jī)制;而對(duì)于安全性更高的數(shù)據(jù),則可采用基于公鑰密碼算法的方案??傊?,對(duì)于“星融網(wǎng)”網(wǎng)絡(luò)中傳輸?shù)母鞣N不同的數(shù)據(jù)類型,需要根據(jù)實(shí)際情況進(jìn)行合理分析,選擇并使用最適合的數(shù)據(jù)完整性機(jī)制和算法。
訪問控制是針對(duì)非授權(quán)使用者越權(quán)使用資源的防御措施,其目的是限制訪問主體(用戶、進(jìn)程、服務(wù)等)對(duì)訪問客體(文件、系統(tǒng)、資源等)的訪問權(quán)限,使系統(tǒng)在合法范圍內(nèi)使用,保證各類網(wǎng)絡(luò)資源不被非法訪問和使用。訪問控制是“星融網(wǎng)”中最重要的安全機(jī)制之一。
一般來說,訪問控制機(jī)制和策略沒有優(yōu)劣的區(qū)別,只是在某些方面具有更好的安全性保護(hù),或者說更適合于某種場(chǎng)合。在“星融網(wǎng)”中,不同的系統(tǒng)有不同的安全需求,對(duì)一個(gè)特定系統(tǒng)的訪問控制策略并不一定適用于其它系統(tǒng)。因此,必須根據(jù)“星融網(wǎng)”具體應(yīng)用的特點(diǎn)和安全需求,選擇最適合的訪問控制機(jī)制。另外,由于可能存在幾種訪問控制策略共同實(shí)施的情況,還必須考慮不同策略的整合方法,實(shí)現(xiàn)策略之間的信息交換。
本文針對(duì)“星融網(wǎng)”未來建設(shè)中網(wǎng)絡(luò)體系結(jié)構(gòu)可能存在的風(fēng)險(xiǎn),提出“星融網(wǎng)”安全體系結(jié)構(gòu)設(shè)計(jì)構(gòu)想,從安全保障體系、安全協(xié)議體系、安全機(jī)制分析三方面研究“星融網(wǎng)”安全體系結(jié)構(gòu),找準(zhǔn)網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計(jì)的關(guān)鍵環(huán)節(jié),為下一步開展“星融網(wǎng)”安全防護(hù)方案和關(guān)鍵技術(shù)研究奠定了基礎(chǔ)。