機間自組織網絡安全保障模型研究*1

?

機間自組織網絡安全保障模型研究*1

黃松華1，王睿2，梁維泰1，徐欣1

(1. 中國電科第28研究所 信息系統工程重點實驗室，江蘇 南京210007;

2. 解放軍理工大學 指揮信息系統學院，江蘇 南京210007)

摘要：節點高速移動、拓撲動態變化、傳輸質量不穩定是機間自組織網絡的基本特征，空中環境的特殊性使得安全保障成為機間自組織網絡面臨的最基本挑戰之一。分析了機間自組織網絡的環境特殊性和可能存在的安全威脅，提出了機間自組織網絡的安全保障架構和基于可信計算平臺的安全可信模型，并提煉相關關鍵技術，最后給出未來的技術發展方向，為該領域的下一步研究提供參考。

關鍵詞：機間自組織網絡；安全威脅；安全保障架構；分層防御；可信模型；認證授權；安全管理

0引言

機間自組織網絡是移動網絡技術在航空平臺通信領域的應用，主要通過多跳路由轉發機制構建高效、抗毀、靈活的空基網絡，支撐航空平臺間的自動連接與通信、管控指令信息與環境感知信息分發、飛行狀態信息交換等軍民航空通信亟待實現的能力[1]。機間自組織網絡由于其高動態適應能力、使用靈活方便、不受地域限制等特性，成為未來航空通信乃至整個空域的樞紐。與點到點通信和傳統網絡通信不同：①機間自組織網絡從鏈路體制和路由傳輸2方面都提供了網絡化運作、高移動性管理和基于網關的異構互聯能力；②機間自組織網絡節點位置與網絡拓撲具有時變特性，節點間沒有固定的路由交換設施和網絡服務設施[2]；③機間自組織網絡節點的機動速度遠遠超過傳統的移動自組織網絡，而且無線射頻通信易于暴露目標。基于上述特性，固有的網絡協議缺陷，使機間自組織網絡面臨越來越多的安全威脅，同時當前的安全保障機制很少考慮底層的電磁威脅和物理打擊，因此帶來了一系列特殊威脅和潛在攻擊，需要提供與傳統安全不一樣的防御理念與措施[3-5]。本文在分析機間自組織網絡安全威脅和安全保障技術能力需求的基礎上，提出了機間自組織網絡的安全保障架構和基于可信計算平臺的安全可信模型，并提煉相關關鍵技術，預測未來的技術發展方向，為該領域的下一步研究提供參考。

1安全威脅

機間自組織網絡基于射頻信號，相對有線網絡存在一些特有的威脅，包括基于射頻捕獲和目標跟蹤實施的火力打擊，信號干擾，信息竊聽、截獲、篡改等。另一方面，機間自組織網絡不存在可信的認證中心，或者通過可靠認證的時延過大。拓撲結構與節點間信任關系的時變性使得在受限時空條件下，很難保障系統平臺、用戶信息的可信。下面根據機間自組織網絡的協議棧層次，從物理層、鏈路層、網絡層等各個協議層分析機間自組織網絡脆弱性和面臨的安全威脅。

1.1物理層威脅

物理層常見的威脅方式包括大功率阻塞式干擾和基于射頻捕獲的欺騙式干擾。前者導致通信信噪比下降，當超過調制解調和差錯控制的容忍門限，系統傳輸過程就會出現大量誤碼導致網絡系統失效或癱瘓；后者發射與捕獲信號的特征相吻合的欺騙信號，破壞系統的同步信號，從而達到同樣的攻擊效果，或使接收方誤認干擾為信號，從而達到欺騙效果。相較于阻塞式干擾，欺騙式干擾隱蔽性強，平均干擾功率小。

1.2鏈路層威脅

鏈路層常見的威脅包括CSMA(carrier sense multiple access)信道的惡意搶占、應急指令偽造和TDMA(time division multiple address)信道的幀干擾、幀偽造。前者通過不斷發送報文，迫使其他節點都進行沖突退避，或偽造合法的斷鏈、復位等應急指令，引起鏈路中斷和網絡癱瘓；后者通過干擾主站數據幀關鍵字段，造成接收節點丟棄該報文，同時可以偽造主站呼叫指定節點從而餓死其他節點，或插入特殊數據幀空報文，造成正常通信假象。

1.3網絡層威脅

網絡層常見的威脅包括路由信息欺騙、路由震蕩與拒絕服務。路由信息欺騙通過發送虛假路由信息或延時重放過時路由信息，導致目的不可達，或按便于竊聽虛假路徑傳遞數據[6]；路由震蕩通過路徑攻擊等手段不斷變更鏈路狀態和路由更新信息，導致路由無法收斂；拒絕服務則通過對關鍵鏈路和關鍵節點進行飽和攻擊，使其失去對合法用戶的服務能力。

此外，由于操作系統、應用業務協議以及格式化報文中存在漏洞，應用層也同樣面臨假冒、欺騙以及節點癱瘓等威脅。

2安全保障需求

機間自組織網絡的運行安全依賴于網絡自身的安全防護，但其安全保障機制受到低帶寬、高時延連接、單向鏈路、只收不發的低截獲概率/低探測概率運行模式、沒有固定的認證授權中心等諸多限制，而且標準協議不能提供機間網絡所需的輕量級安全保障能力，導致不可承受的開銷。另一方面，自組織網絡當前主要是保障節點自身的安全，還缺乏有效的網絡安全解決方案，平臺間可信關系無法快速建立，單點的內部攻擊可導致整個網絡癱瘓。隨著機間自組織網絡安全問題的增加，防御機制愈加重要[7]。

當前，美空軍正在開發機間自組織網絡，其安全保障技術包括身份識別、身份驗證、完整性驗證、機密性驗證、可用性驗證、不可抵賴性等部分，提供安全管理、數據保護和攻擊探測、預警及響應等能力[8]。

2.1安全管理

機間自組織網絡易于受到各種復雜的安全攻擊，任務需求多變，因此需要在安全域間和任務組內快速構建信任關系的同時，提供基于策略的安全管理，即根據任務需求和安全風險，在可變條件中進行權衡，以一種可控、靈活的方式提供接入認證、監視、安全質量評估與審計、安全設備配置等方面的策略和規范，并通過策略的快速調整，以及時分發與強制執行滿足任務場景的多變需求。

2.2數據保護

機間自組織網絡需要確保用戶數據和系統數據在存儲、使用和傳輸過程中的安全，包括軍用作戰環境、軍民互操作環境的數據安全，以避免被探測、識別、流量分析或利用。

此外，機間自組織網絡的數據保護還需要支持獨立多級別安全，提供同時在多個獨立的安全域內操作的能力。

2.3攻擊探測、預警及響應

機間自組織網絡需要提供基于主機和網絡的入侵檢測、入侵防御、以及病毒檢測功能。其中，入侵檢測通過對不當、錯誤、異常網絡活動進行檢測并響應，防止系統組件受到網絡數據流承載的惡意行為威脅；入侵防御探測和阻止已知攻擊；病毒檢測檢查惡意的可執行代碼并清除或修復可疑文件。

3安全保障模型

3.1安全保障架構

當前安全保障架構用于機間自組織網絡的適應性問題主要體現在以下幾個方面：①現有架構以保護節點自身安全為主，沒有完整的安全保障體系，無法準確及時掌握網絡的安全狀態，缺乏必要的預警與應急響應機制；②無法及時接入固定的集中式認證授權中心，而信任傳遞和分布式認證方式存在可信度與效率問題[9]；③沒有考慮節點的物理打擊和捕獲控制對安全保障的影響。機間自組織網絡安全保障架構針對這些適應性問題，綜合考慮平臺移動性、拓撲時變性、環境不可靠性和業務的實時性，從物理層射頻隱匿、鏈路層硬件加密與流控、網絡層路由增強與應用層輕量級身份認證等方面，建立多層次、覆蓋縱深的安全態勢感知、行為監管與攻擊防御體系。機間自組織網絡安全保障架構包括安全保障支撐設施、安全保障運維管控設施與安全保障威脅防御體系3個部分，如圖1所示。其中，安全保障支撐設施提供針對協議棧各層的加解密和數字證書服務；安全保障運維管控設施基于安全事件分級分類、標簽管理、權限管理、態勢監視感知、威脅預警應急響應、拓撲管控等實現安全保障動態決策管控；而安全保障威脅防御體系則針對機間網絡特征，通過物理層的低截獲波形、功率控制與敏感特征隱匿，鏈路層的接入鑒權、幀檢測糾錯與接入異常處理等無線鏈路防護機制，以及協議棧上3層常用的可信傳輸、快速認證授權，路由協議增強、訪問控制等機制，在保障機間自組織網絡傳輸可靠、信息來源可信、信息傳輸安全的同時，降低安全保障機制的開銷，降低安全機制對自組織網絡數據傳輸的影響。

圖1　機間自組織網絡安全保障架構Fig.1　Security architecture for intra-flight Ad Hoc networks

機間自組織網絡安全保障架構通過對系統資源及其使用者進行統一標識、認證和授權，引入保護、監測、安全態勢感知及響應等能力，其核心功能包括數據傳輸、處理等過程中的加密處理與數據完整性校驗，用戶與平臺接入過程中的身份認證、完整性證明與訪問授權，安全保障機制運行過程中的平臺系統主動探測與訪問控制、網絡檢測與邊界接入控制、應急響應與可用性保障、安全態勢感知等，最終通過加強安全管控，防止攻擊，保護信息和信息系統機密性、完整性、可用性、鑒別性、實時性、可控性與不可抵賴性，使機間自組織網絡具有確定和受控的安全邊界以及自適應的保障手段，成為一個可信、可用、可靠的系統。

3.2安全可信模型

在上述架構下，基于TCG(trusted computing group)的可信計算平臺提供的DAA(direct anonymous attestations)認證和遠程平臺證明[10]，提出了融合地址身份安全、用戶身份安全、平臺身份安全以及平臺完整性評估和用戶行為可信評估的機間自組織網絡安全可信模型。其中，用戶身份認證和異域平臺身份認證需要可信第三方支持，用戶的網絡行為評估、平臺身份認證和隨后的平臺完整性信息傳輸與評估在用戶身份認證后進行，這些認證和評估在主機空閑時周期性運行，以進一步確保平臺的可信度。

如圖2所示，安全可信模型分為用戶和平臺身份認證、平臺可信評估、用戶行為評估以及綜合評估授權策略幾部分。

圖2　機間自組織網絡安全可信模型Fig.2　Trust model for intra-flight Ad Hoc networks

其中，IP地址用于代表一個接口的身份，在一定程度上也代表了終端平臺或用戶的身份。當一個航空平臺接入另一個，且不能找到可信第三方移動實體實現基于安全關聯轉移的身份認證時，IP地址可以標識移動實體身份，而通過CGA(cryptographically generated addresses)方案可以防止地址盜用和欺騙，確定用戶身份、平臺身份和IP地址的綁定關系，在一定程度上實現身份認證[11-12]。在移動網絡可以接入骨干網或存在可提供證明的可信第三方實體后，可以再通過身份認證基礎設施或鄰居等可信第三方實現用戶身份的認證。在確定用戶身份和授權的基礎上，接入雙方通過直接身份認證方案實現可信計算平臺身份的認證。在可信計算平臺身份認證之后，其核心模塊TPM(trusted platform module)生成一對非對稱身份密鑰AIK (asymmetric identity key)，并通過AIK簽名建立的安全通道進行平臺完整性信息的傳輸和相應的平臺完整性評估。身份認證、平臺完整性評估和用戶行為評估周期性運行，進一步發揮審計作用，影響當前連接和下一次的路由選擇與接入過程。

4安全保障關鍵技術

為滿足平臺高速機動、拓撲動態變化等網絡環境特征，以及業務對鏈路接入、網絡傳輸的高時效性要求，機間自組織網絡需要設計輕量級的認證算法和協議，對路由協議進行高效的安全增強和訪問權限分級管理，突破無中心快速認證、低時延、低帶寬占用等關鍵點，滿足機間自組網動態安全接入、切換和退出的需求，為航空平臺動態組網和數據傳輸保護提供支撐。針對上述需求和技術現狀，機間自組織網絡安全保障主要解決以下關鍵技術。

4.1輕量級分布式認證授權技術

認證授權主要為機間自組織網絡提供用戶或設備的身份認證、真實性鑒別等服務，為接入控制、通信安全提供支撐。為滿足航空業務數據的傳輸需求，需要設計輕量級的認證協議和算法，在原有3次握手的認證協議的基礎上，基于IBE(identity based encryption)公鑰認證技術對認證流程進行優化，以減少認證的交互次數，降低時間復雜度[13-14]；同時優化認證算法，根據保障等級要求動態調整報文簽名等安全字段的大小，降低空間復雜度，最大程度減小對網絡可用帶寬的影響。

4.2基于策略的動態安全管理技術

機間自組織網絡安全管理需要對整個安全防護系統進行統一調度、管理和威脅預警，并進行管理決策和應急響應。機間自組織網絡安全管理必須解決2個問題：①適應拓撲的動態變化；②適應受限帶寬和不穩定鏈路質量。基于策略的動態安全管理可以針對任務的不同安全需求，設計基于動態分簇的管理架構、管理策略和無線安全管理協議，把傳統的集中式進程轉化為半分布式進程，以解決動態拓撲和高效管理帶來的挑戰，同時以任務為驅動靈活調整安全策略，滿足不同環境下對安全保密強度的需求[15]。考慮到管理的穩定性和時效性，必要時還需要結合靜態安全管理技術。

5結束語

機間自組織網絡安全保障模型需要適應機間自組織網絡協議棧，滿足隨遇接入、動態調整、輕量高效的要求。本文針對機間自組織網絡的特殊性，從物理層、鏈路層、網絡層等協議棧層次結構分析面臨的安全威脅，提出安全保障模型的能力需求，以及機間自組織網絡安全保障架構和基于可信計算平臺的安全可信模型，并提煉相關關鍵技術與解決思路。未來，考慮到機間自組織網絡性能的整體優化，安全保障模型將基于協議棧共享，對多個協議層的共同檢測、多層融合和協同響應，實現低開銷的協議棧整體安全防御。

參考文獻：

[1]鄭博, 張衡陽, 黃國策，等. 航空自組網的現狀與發展[J]. 電信科學, 2011, 30(5): 38-47.

ZHENG Bo, ZHANG Heng-yang, HUANG Guo-ce, et al. Status and Development of Aeronautical Ad Hoc Networks [J]. Telecommunications Science, 2011, 30(5): 38-47.

[2]焦婉妮. 自組織網絡中跨協議層安全體系結構[J]. 計算機與數字工程, 2011, 39(11): 110-113.

JIAO Wan-ni. A Secure Architecture of Cross Protocol Layers in an Ad Hoc Network Environment [J]. Computer & Digital Engineering, 2011, 39(11): 110-113.

[3]黃松華, 易侃, 丁峰，等. 軍事柵格安全設施研究[J]. 現代防御技術, 2013, 41(4): 49-53.

HUANG Song-hua, YI Kan, DING Feng, et al. Research on Security Infrastructure for Military Grid [J]. Modern Defence Technology, 2013, 41(4): 49-53.

[4]Hill, Doug Morrow, Jeff Cody, et al. Information Assurance for Airborne Networks [C]∥Proceedings of IEEE Military Communications Conference (MILCOM’07), Oct. 2007: 1-6.

[5]趙敏. 網絡中心戰的網絡攻擊—Suter計劃[J]. 現代防御技術, 2011, 39(6): 139-143.

ZHAO Min. Network Attack of Network Centric Warfare: Project Suter[J]. Modern Defence Technology, 2011, 39(6): 139-143.

[6]張吉峰, 王敏, 楊華兵. 戰場Ad Hoc網絡對抗[J]. 指揮信息系統與技術, 2011, 2(5): 69-73.

ZHANG Ji-feng, WANG Min, YANG Hua-bing. Countermeasures Against Battlefield Ad Hoc Network [J]. Command Information System and Technology, 2011, 2(5): 69-73.

[7]Douglas W Hill, David M Climek. Security Services for Airborne Networking[C]∥Proceedings of IEEE Military Communications Conference (MILCOM 2009), Oct. 2009: 1-5.

[8]USAF Airborne Network Special Interest Group. Airborne Network Architecture System Communications Description & technical architecture profile[R]. Version 1.1, Oct. 2004.

[9]王林. 軍事MANET自組織認證按需信任模型[J]. 指揮信息系統與技術, 2012, 3(6): 7-10.

WANG Lin. Self-Organized Certification and On-Demand Trust Model for Military MANET [J]. Command Information System and Technology, 2012, 3(6): 7-10.

[10]TCG. Trusted Computing Group Architecture Overview [S].TCG Specification Revision 1.4,2007.

[11]Aura Tuomas. Cryptographically Generated Addresses (CGA) [S]. RFC 3972, IETF, 2005.

[12]Bagnulo Marcelo, Arkko Jari. Cryptographically Generated Addresses (CGA) Extension Field Format [S].RFC 4581, IETF,2006.

[13]Yussoff Yusnani Mohd, HASHIM Habibah, BABA MohdDani. Analysis of Trusted Identity Based Encryption (IBE-Trust) Protocol for Wireless Sensor Networks [C]∥Proceedings of IEEE Control and System Graduate Research Colloquium (ICSGRC’12), Jul. 2012: 313-317.

[14]Jalel Ben-othman, Benitez Yesica Imelda Saavedra. A New Method to Secure RA-OLSR Using IBE [C]∥Proceedings of IEEE Global Communication Conference (Globecom’12), Dec. 2012:354-358.

[15]Wolberg Michelle, Chadha Ritu, Chiang C Jason. Using an Adaptive Management Plane for Policy-based Network Management Traffic in Manets [C]∥Proceedings of IEEE Military Communications Conference (MILCOM’11), Nov. 2011: 1133-1138.

Security Model for Intra-Flight Ad Hoc Networks

HUANG Song-hua1, WANG Rui2, LIANG Wei-tai1，XU Xin1

(1. The 28th Research Institute of CETC, Key Lab of Information Systems Engineering,Jiangsu Nanjing 210007,China;2. PLA University of Science & Technology,College of Command Information System, Jiangsu Nanjing 210007,China)

Abstract:With high-speed nodes, dynamic topology, and fluctuant transmission quality, intra-flight ad hoc networks are always challenged by the lack of security assurance under aerial environment. After analyzing the particularities of aerial environment and potential security threats, a novel security architecture and its trust model based on the trusted computing platform for intra-flight ad hoc networks are proposed, and the key technologies related and development directions are indicated, providing references for security assurance of intra-flight ad hoc networks.

Key words:intra-flight Ad Hoc networks; security threats; security architecture; layered defense; trust model; authentication & authorization; security management

中圖分類號：TN915.08；TP393.08；E96

文獻標志碼：A

文章編號：1009-086X(2015)-05-0099-05

doi:10.3969/j.issn.1009-086x.2015.05.017

通信地址：210007江蘇省南京1406信箱69分箱E-mail：kloise@126.com

作者簡介：黃松華(1979-)，男，江蘇海門人。高工，博士，研究方向為機間網絡、移動計算和信息安全。

基金項目：國家自然科學基金(61402426)

*收稿日期：2014-11-11；修回日期：2015-02-06