“星融網(wǎng)”安全體系結(jié)構(gòu)設(shè)計(jì)構(gòu)想

◎中國(guó)航天系統(tǒng)科學(xué)與工程研究院 閆陳靜 陳漠 張偉 顧升高

“星融網(wǎng)”網(wǎng)絡(luò)規(guī)模龐大、組成結(jié)構(gòu)復(fù)雜、拓?fù)渥兓l繁，涉及衛(wèi)星系統(tǒng)、臨近空間平臺(tái)、地面網(wǎng)絡(luò)等不同的層面，因此，必須設(shè)計(jì)科學(xué)、合理、可擴(kuò)展的網(wǎng)絡(luò)體系結(jié)構(gòu)，才能滿足未來網(wǎng)絡(luò)部署和應(yīng)用的需求。本文圍繞“星融網(wǎng)”安全體系結(jié)構(gòu)設(shè)計(jì)的問題，從安全保障體系、安全協(xié)議體系、安全機(jī)制分析三方面提出未來“星融網(wǎng)”網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計(jì)的構(gòu)想。

一、引言

“星融網(wǎng)”在未來的重要地位使得其具有極高的安全性要求，為了保障空間通信和應(yīng)用的安全性，必須在整個(gè)網(wǎng)絡(luò)的架構(gòu)中貫穿并融合安全體系結(jié)構(gòu)的設(shè)計(jì)。在安全體系結(jié)構(gòu)的研究中，需要根據(jù)“星融網(wǎng)”網(wǎng)絡(luò)的特點(diǎn)和典型應(yīng)用，深入分析來自不同方向和層次的網(wǎng)絡(luò)攻擊行為，總結(jié)“星融網(wǎng)”可能面臨的安全威脅，從不同角度探討“星融網(wǎng)”網(wǎng)絡(luò)的安全需求，結(jié)合網(wǎng)絡(luò)通信協(xié)議，從整體上定義安全服務(wù)、安全機(jī)制等元素以及元素之間的關(guān)系，并針對(duì)不同的協(xié)議層次建立適當(dāng)?shù)陌踩珯C(jī)制和安全策略。安全體系結(jié)構(gòu)的設(shè)計(jì)是一個(gè)循序漸進(jìn)的過程，需要和其它的網(wǎng)絡(luò)技術(shù)相互協(xié)調(diào)并進(jìn)行聯(lián)合設(shè)計(jì)，促進(jìn)整個(gè)“星融網(wǎng)”網(wǎng)絡(luò)架構(gòu)的不斷完善。

“星融網(wǎng)”安全保障體系結(jié)構(gòu)

本文從安全保障基礎(chǔ)設(shè)施、安全協(xié)議和安全機(jī)制三個(gè)方面，對(duì)“星融網(wǎng)”安全體系的框架結(jié)構(gòu)進(jìn)行分析。首先應(yīng)建立層次化的安全保障基礎(chǔ)設(shè)施，為整個(gè)“星融網(wǎng)”網(wǎng)絡(luò)中的通信安全和端系統(tǒng)安全提供基本的保障；然后分析“星融網(wǎng)”網(wǎng)絡(luò)通信協(xié)議棧每一層中可能使用的安全協(xié)議和安全機(jī)制，為通信協(xié)議的運(yùn)行安全建立指導(dǎo)原則；最后針對(duì)空間組網(wǎng)中可能面臨的安全問題，提出主要的安全機(jī)制在具體設(shè)計(jì)與實(shí)施時(shí)需要遵循的原則和基本的安全解決方案。

二、安全保障體系

從技術(shù)層面上講，“星融網(wǎng)”的安全技術(shù)保障結(jié)構(gòu)未來可分為應(yīng)用環(huán)境安全、應(yīng)用區(qū)域邊界安全、網(wǎng)絡(luò)和通信傳輸安全、安全管理中心和密碼管理中心五個(gè)環(huán)節(jié)，即在兩個(gè)中心支持下的三重保障體系結(jié)構(gòu)。

應(yīng)用環(huán)境安全：應(yīng)用環(huán)境包括空間段設(shè)備、地面段設(shè)備、用戶段設(shè)備、以及其中運(yùn)行的各種指揮控制系統(tǒng)軟件、管理軟件、應(yīng)用軟件和安全防護(hù)軟件等，共同構(gòu)成可信的系統(tǒng)應(yīng)用環(huán)境?！靶侨诰W(wǎng)”可能面臨各種安全威脅，因此必須根據(jù)空間任務(wù)的安全需求，合理高效地采取身份認(rèn)證、訪問控制、數(shù)據(jù)加密、安全審計(jì)、入侵檢測(cè)、容錯(cuò)、災(zāi)難恢復(fù)等機(jī)制，并嚴(yán)格各種安全管理制度以保證應(yīng)用環(huán)境的安全。

應(yīng)用區(qū)域邊界安全：通過部署邊界保護(hù)措施控制對(duì)衛(wèi)星網(wǎng)絡(luò)、臨近空間網(wǎng)絡(luò)以及地面網(wǎng)絡(luò)等骨干網(wǎng)絡(luò)的訪問，保證“星融網(wǎng)”網(wǎng)絡(luò)系統(tǒng)的安全。由于空間鏈路的特點(diǎn)，“星融網(wǎng)”網(wǎng)絡(luò)中并不存在明顯的網(wǎng)絡(luò)邊界，但這也意味著任何一個(gè)骨干網(wǎng)絡(luò)節(jié)點(diǎn)都是網(wǎng)絡(luò)的邊界，需要通過采取安全接入、安全網(wǎng)關(guān)、防火墻等隔離過濾機(jī)制，將“星融網(wǎng)”與非法的接入節(jié)點(diǎn)隔離。

網(wǎng)絡(luò)和通信傳輸安全：包括實(shí)現(xiàn)衛(wèi)星網(wǎng)絡(luò)、臨近空間網(wǎng)絡(luò)與地面網(wǎng)絡(luò)內(nèi)部以及兩兩之間的互聯(lián)安全，確保通信的機(jī)密性、完整性和可用性。采用數(shù)據(jù)加密、完整性校驗(yàn)和實(shí)體鑒別等機(jī)制，實(shí)現(xiàn)可信的安全連接；根據(jù)“星融網(wǎng)”的安全需求，分別在物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層實(shí)施安全機(jī)制以達(dá)到安全的信息傳輸。在具體實(shí)現(xiàn)時(shí)，每一層都可進(jìn)行身份認(rèn)證和密鑰交換，如在網(wǎng)絡(luò)層采用IPSec協(xié)議，傳輸層使用SSL或TLS協(xié)議，從而保證通信數(shù)據(jù)的保密性和完整性，并能抵抗重放攻擊、鑒別數(shù)據(jù)的來源。

安全管理中心：提供衛(wèi)星網(wǎng)絡(luò)、臨近空間網(wǎng)絡(luò)和地面網(wǎng)絡(luò)中節(jié)點(diǎn)和子網(wǎng)的接入認(rèn)證、授權(quán)、訪問控制策略等服務(wù)；建立授權(quán)管理基礎(chǔ)設(shè)施PMI(Privilege Management Infrastructure)，由PMI負(fù)責(zé)向應(yīng)用系統(tǒng)提供相關(guān)的授權(quán)服務(wù)管理；除此之外，安全管理中心還負(fù)責(zé)對(duì)安全策略的建立、配置、實(shí)施和變更進(jìn)行管理。

密碼管理中心：提供互連互通的密鑰配置、公鑰證書和傳統(tǒng)的對(duì)稱密碼管理，為“星融網(wǎng)”提供密碼服務(wù)。通過建立層次型的密碼管理中心，為“星融網(wǎng)”的骨干節(jié)點(diǎn)和各級(jí)用戶提供安全機(jī)制所需的密鑰的全生命周期管理。其中，公鑰基礎(chǔ)設(shè)施PKI提供對(duì)用戶證書的頒發(fā)、索引、認(rèn)證等公鑰相關(guān)服務(wù)，密鑰管理基礎(chǔ)設(shè)施KMI(Key Management Infrastructure)包括密鑰生成服務(wù)器、密鑰數(shù)據(jù)庫(kù)服務(wù)器和密鑰服務(wù)管理器等組成部分，提供統(tǒng)一的密鑰管理服務(wù)。

三、安全協(xié)議體系

“星融網(wǎng)”安全體系結(jié)構(gòu)具有綜合防護(hù)、多層立體設(shè)計(jì)的特點(diǎn)，在協(xié)議棧各層都有適當(dāng)?shù)陌踩珯C(jī)制，并且各層之間并不一定獨(dú)立，可以存在反饋信息，由位于各層的多種安全防護(hù)系統(tǒng)共同構(gòu)成安全保障體系結(jié)構(gòu)。

參考OSI安全分層及各層的安全服務(wù)配置，并考慮網(wǎng)絡(luò)的特點(diǎn)，“星融網(wǎng)”安全服務(wù)在各層的分配應(yīng)遵循以下基本原則：實(shí)現(xiàn)同種安全服務(wù)的不同方法越少越好；在多個(gè)協(xié)議層次上提供安全保護(hù)；只要一個(gè)實(shí)體依賴于低層實(shí)體提供的安全機(jī)制，那么任何中間層安全機(jī)制不能違反低層安全機(jī)制的要求；考慮各層的相關(guān)性，不孤立地研究各層的安全性。

根據(jù)空間任務(wù)的實(shí)際安全需求，安全服務(wù)可以在“星融網(wǎng)”網(wǎng)絡(luò)協(xié)議中的一個(gè)或多個(gè)層次上實(shí)施?！靶侨诰W(wǎng)”的協(xié)議棧分為物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層，按照上面的原則，各層提供的主要安全服務(wù)可以配置如下:

物理層：提供連接機(jī)密性、業(yè)務(wù)流機(jī)密性服務(wù)，提供完整性和可用性服務(wù)；

數(shù)據(jù)鏈路層：提供連接機(jī)密性和無連接機(jī)密性服務(wù)，同時(shí)提供完整性、可用性和認(rèn)證服務(wù)；

網(wǎng)絡(luò)層：可以在一定程度上提供認(rèn)證、訪問控制、機(jī)密性和完整性服務(wù)；

傳輸層：可以提供認(rèn)證、訪問控制、機(jī)密性和完整性服務(wù)；

應(yīng)用層：必須提供所有的安全服務(wù)，并且也是唯一能提供不可否認(rèn)性服務(wù)的協(xié)議層次。

根據(jù)“星融網(wǎng)”網(wǎng)絡(luò)的特點(diǎn)和空間應(yīng)用的要求，本文提出了分層立體的安全體系結(jié)構(gòu)模型和安全協(xié)議框架。但是，這種嚴(yán)格分層的體系結(jié)構(gòu)使得網(wǎng)絡(luò)協(xié)議的設(shè)計(jì)缺乏足夠的適應(yīng)性，不符合網(wǎng)絡(luò)動(dòng)態(tài)變化的特點(diǎn)，往往可能使網(wǎng)絡(luò)的性能無法得到有效的保障。為了滿足“星融網(wǎng)”的特殊要求，可以采取跨層設(shè)計(jì)的思想，設(shè)計(jì)一種能夠在協(xié)議棧的多個(gè)層次支持自適應(yīng)和性能優(yōu)化的跨層安全體系結(jié)構(gòu)，綜合利用各層的信息，避免重復(fù)的操作或功能模塊，有可能顯著地提高網(wǎng)絡(luò)的綜合性能。不過，跨層設(shè)計(jì)的安全協(xié)議也破壞了傳統(tǒng)協(xié)議層次的抽象、透明的特點(diǎn)，不可避免地存在與現(xiàn)有協(xié)議的兼容性問題，并且增加了網(wǎng)絡(luò)管理的復(fù)雜性。因此，在進(jìn)行跨層的安全體系結(jié)構(gòu)和安全協(xié)議設(shè)計(jì)時(shí)，需要在性能、兼容性和可維護(hù)性等指標(biāo)之間進(jìn)行綜合權(quán)衡，并且應(yīng)慎重決策。

四、安全機(jī)制分析

為了實(shí)現(xiàn)“星融網(wǎng)”網(wǎng)絡(luò)間的各項(xiàng)安全服務(wù)，必須綜合應(yīng)用包括認(rèn)證、加密、數(shù)據(jù)完整性、訪問控制等主要安全機(jī)制，形成多層次全方位的安全技術(shù)防護(hù)體系，保障“星融網(wǎng)”的通信安全和應(yīng)用安全。

認(rèn)證

在“星融網(wǎng)”的主要應(yīng)用和大部分安全協(xié)議中，認(rèn)證機(jī)制是實(shí)現(xiàn)真實(shí)性安全服務(wù)的基本手段。認(rèn)證機(jī)制是通過密碼或其它技術(shù)使得一個(gè)實(shí)體向另一個(gè)實(shí)體證明某種聲稱的屬性的過程，其目的是阻止假冒攻擊，防止非授權(quán)節(jié)點(diǎn)接入和訪問網(wǎng)絡(luò)。認(rèn)證機(jī)制一般體現(xiàn)為通信雙方交互的認(rèn)證協(xié)議，可進(jìn)一步分為實(shí)體認(rèn)證(身份認(rèn)證)協(xié)議、數(shù)據(jù)源認(rèn)證、認(rèn)證及密鑰交換協(xié)議等。認(rèn)證機(jī)制的實(shí)現(xiàn)主要涉及加密算法、數(shù)據(jù)完整性算法和數(shù)字簽名算法等密碼學(xué)方案。

“星融網(wǎng)”的軍事應(yīng)用對(duì)認(rèn)證機(jī)制提出了更高的要求，不僅對(duì)認(rèn)證過程本身的安全性要求很高，而且要求認(rèn)證速度快，信息傳輸量盡可能地少；另外“星融網(wǎng)”是一個(gè)多層次的異構(gòu)網(wǎng)絡(luò)，需要頻繁地進(jìn)行跨域認(rèn)證、重認(rèn)證以及異構(gòu)網(wǎng)絡(luò)認(rèn)證，要求認(rèn)證過程具有高效性和可擴(kuò)展性。因此，在“星融網(wǎng)”應(yīng)用中，應(yīng)根據(jù)不同具體應(yīng)用的場(chǎng)景、安全需求和安全級(jí)別，設(shè)計(jì)高速接入認(rèn)證，跨域認(rèn)證與異構(gòu)網(wǎng)絡(luò)認(rèn)證等不同的認(rèn)證方案和協(xié)議。

加密

由于“星融網(wǎng)”軍事應(yīng)用的高安全性要求，必須保證敏感信息的機(jī)密性，防止非授權(quán)用戶得到傳輸信息的內(nèi)容。信息加密機(jī)制是保證信息機(jī)密性的唯一方法，是“星融網(wǎng)”中的一項(xiàng)基本安全機(jī)制。

一般來說，“星融網(wǎng)”中密碼算法的選擇應(yīng)遵循安全強(qiáng)度高、加解密速度快、算法易于實(shí)現(xiàn)等基本原則，只有這樣，才能滿足空間應(yīng)用對(duì)密碼算法的安全性和實(shí)時(shí)性要求。對(duì)稱密碼算法和公鑰密碼算法均存在一些優(yōu)勢(shì)和局限性，應(yīng)根據(jù)這兩種密碼算法的特點(diǎn)，結(jié)合具體空間應(yīng)用或網(wǎng)絡(luò)協(xié)議的安全需求，選擇最適合的密碼算法。在“星融網(wǎng)”網(wǎng)絡(luò)安全體系結(jié)構(gòu)中，兩種密碼算法是互相補(bǔ)充、互相配合的關(guān)系。在某些需要提供認(rèn)證、簽名或者密鑰加密等功能的場(chǎng)合，宜采用公鑰密碼算法，可以在RSA、ECC(橢圓曲線密碼學(xué))、IBC(基于身份密碼學(xué))等密碼方案中進(jìn)行選擇；而在需要高速加密運(yùn)算的場(chǎng)合下，則宜采用對(duì)稱密碼算法，可以在DES、AES、RC4等分組密碼算法或流密碼算法中進(jìn)行選擇。

完整性

在空間網(wǎng)絡(luò)環(huán)境下，實(shí)現(xiàn)傳輸數(shù)據(jù)的完整性校驗(yàn)可以借鑒地面網(wǎng)絡(luò)中的方法，但必須結(jié)合“星融網(wǎng)”通信的特點(diǎn)，特別是減少通信開銷。單個(gè)數(shù)據(jù)單元的完整性可以通過完整性校驗(yàn)字來實(shí)現(xiàn)，也可以使用單向雜湊函數(shù)方案；而數(shù)據(jù)流的完整性通常采用包的序列號(hào)和時(shí)間戳來實(shí)現(xiàn)。HMAC、各種數(shù)字簽名方案均為典型的數(shù)據(jù)完整性方案。

在設(shè)計(jì)空間網(wǎng)絡(luò)中具體的完整性方案時(shí)，還需要對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行分類，如可簡(jiǎn)要地分為控制數(shù)據(jù)(信令、指令)和用戶數(shù)據(jù)(普通用戶數(shù)據(jù)、敏感用戶數(shù)據(jù))等。由于不同類型的數(shù)據(jù)在數(shù)據(jù)長(zhǎng)度、完整性需求等方面也不盡相同，必須針對(duì)不同的數(shù)據(jù)類型分別設(shè)計(jì)相應(yīng)的數(shù)據(jù)完整性保護(hù)方案。例如，對(duì)于控制數(shù)據(jù)，重放攻擊帶來的危害最為嚴(yán)重，因此必須保證控制數(shù)據(jù)包的序列號(hào)、新鮮數(shù)或時(shí)間戳的完整性；對(duì)于用戶數(shù)據(jù)，最嚴(yán)重的威脅可能來自于對(duì)數(shù)據(jù)內(nèi)容的篡改，因此必須保證用戶數(shù)據(jù)包整體的一致性。因此，對(duì)于控制數(shù)據(jù)，由于數(shù)據(jù)量小，實(shí)時(shí)性要求高，可以使用基于對(duì)稱密碼算法的完整性機(jī)制；對(duì)于用戶數(shù)據(jù)，由于數(shù)據(jù)量大，可以采用基于雜湊函數(shù)的數(shù)據(jù)完整性機(jī)制；而對(duì)于安全性更高的數(shù)據(jù)，則可采用基于公鑰密碼算法的方案?？傊?，對(duì)于“星融網(wǎng)”網(wǎng)絡(luò)中傳輸?shù)母鞣N不同的數(shù)據(jù)類型，需要根據(jù)實(shí)際情況進(jìn)行合理分析，選擇并使用最適合的數(shù)據(jù)完整性機(jī)制和算法。

訪問控制

訪問控制是針對(duì)非授權(quán)使用者越權(quán)使用資源的防御措施，其目的是限制訪問主體(用戶、進(jìn)程、服務(wù)等)對(duì)訪問客體(文件、系統(tǒng)、資源等)的訪問權(quán)限，使系統(tǒng)在合法范圍內(nèi)使用，保證各類網(wǎng)絡(luò)資源不被非法訪問和使用。訪問控制是“星融網(wǎng)”中最重要的安全機(jī)制之一。

一般來說，訪問控制機(jī)制和策略沒有優(yōu)劣的區(qū)別，只是在某些方面具有更好的安全性保護(hù)，或者說更適合于某種場(chǎng)合。在“星融網(wǎng)”中，不同的系統(tǒng)有不同的安全需求，對(duì)一個(gè)特定系統(tǒng)的訪問控制策略并不一定適用于其它系統(tǒng)。因此，必須根據(jù)“星融網(wǎng)”具體應(yīng)用的特點(diǎn)和安全需求，選擇最適合的訪問控制機(jī)制。另外，由于可能存在幾種訪問控制策略共同實(shí)施的情況，還必須考慮不同策略的整合方法，實(shí)現(xiàn)策略之間的信息交換。

五、結(jié)束語

本文針對(duì)“星融網(wǎng)”未來建設(shè)中網(wǎng)絡(luò)體系結(jié)構(gòu)可能存在的風(fēng)險(xiǎn)，提出“星融網(wǎng)”安全體系結(jié)構(gòu)設(shè)計(jì)構(gòu)想，從安全保障體系、安全協(xié)議體系、安全機(jī)制分析三方面研究“星融網(wǎng)”安全體系結(jié)構(gòu)，找準(zhǔn)網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計(jì)的關(guān)鍵環(huán)節(jié)，為下一步開展“星融網(wǎng)”安全防護(hù)方案和關(guān)鍵技術(shù)研究奠定了基礎(chǔ)。