軍隊無線網絡安全體系構建思考

周波++熬洪++高原

摘要：棱鏡門事件詮釋了網絡信息安全形勢表現出的支撐體系化、產業化和多樣化的特點，以美國為首的信息技術強國正在構建海陸空天電全方位的信息攻防體系架構。相比之下，我國軍隊等重要領域的信息系統安全防御基礎相對薄弱，尤其是手機、Wi-Fi等無線網絡日益普及帶來的網絡安全問題對軍隊網絡安全帶來的隱患。本文從我軍面臨的無線網絡安全的現狀入手，分析了當前面臨的嚴峻的安全形勢，并提出了解決我軍平時無線網絡安全問題的解決方案。

關鍵詞：無線網絡；軍隊；安全；物理層安全；可見光通信

中圖分類號：TN 929.3

文獻標識碼：A

DOI： 10.3969/j.issn.1003-6970.2015.08.004

0 引言

進入二十一世紀的第二個十年以來，信息已經成為人類社會文明進步的要素資源，成為現代社會持續發展的基本條件。信息網絡空間已經成為繼陸、海、空、天之后的第五大國家主權疆域，成為世界各國戰略競爭的重要領域。信息安全已成為與國防安全、能源安全、糧食安全并列的四大國家安全領域之一。

近些年來，以美國為代表的信息技術強國利用自身所壟斷的全球信息技術優勢，加緊構建信息安全保障和攻擊體系，以進一步鞏固其在網絡空間的統治地位。在美國現有的國家信息安全體系中，政府、IT企業和社會團體分工協作，相互配合，共同推進美國國家和軍隊的信息安全體系建設。當前，美國政府部門作為信息安全戰略制定、網絡和信息安全項目策劃、網絡情報偵查、網絡防御以及網絡進攻的主導者，引領了整個美國信息安全領域的發展和規劃。其主要部門包括國土安全部、國防部、美軍網電司令部、商務部、聯邦調查局以及中央情報局；美國的IT企業則是網絡攻防的具體實施機構和重要支撐單位，是美國政府和軍隊海量情報數據的來源，同時也是實施網絡作戰的實施主體；而美國及其盟國中一些非營利性團體和學術組織則為美國政府和軍隊提供了輿論和技術層面的支持，同時進行了人才的輸出，以支撐日益強大的美國信息作戰部隊。

隨著無線與移動通信技術的高速發展，拋開有線束縛的無線通信技術為國家和軍隊的指揮和作戰帶來了極大的便利性，然而也埋下了極大的安全隱患。截至2014年年底，美國情報和軍隊相關部門在無線網絡中偵收和攻擊獲得的情報已經占到美國情報總量的約57.6%，凸顯了當前國家和軍隊無線網絡安全的嚴峻態勢。美軍網電司令部2015年戰略規劃指南顯示，未來美軍網電部隊將把無線領域作為網絡攻防作戰的重點，這對我國國防和軍隊網絡安全體系和技術提出了新的考驗。本論文從歷史出發，對交換技術進行了簡要的回顧，指出了當前交換網絡發展的瓶頸以及問題，并基于前沿的下一代智能網絡以及大數據交換網絡提出了展望和設想。

1 軍隊無線網絡安全現狀

我國的互聯網、電信網、廣電網和各類專網（包含軍網）組成的國家基礎網絡是國家和軍隊信息安全防護的重要對象，但是這些基礎社會建設過程中普遍存在著重建輕防，甚至只建不防的問題，造成網絡信息安全體系構建的極大障礙。

當前，我軍無線網絡通信手段主要包含戰場衛星通信、短波電臺通信、水下潛艇長波通信等戰時通信手段，以及軍隊日常辦公所使用的蜂窩網移動手機通信、單位無線局域網（Wi-Fi）以及家庭使用的寬帶及家庭無線局域網等非戰時通信手段。由于戰時通信技術具有較強的應用層加密以及物理層跳頻和擴頻保障，傳統的竊密和攻擊手段并不能很快奏效，反而是和平時期工作用無線局域網、個人手機、家庭Wi-Fi等上網和通話極易被偵聽和竊密，導致無意識泄密。據不完全統計，2014年以來軍隊、軍工企業等軍事相關單位因手機、家庭寬帶/Wi-Fi等被攻擊及竊聽的事件約470起，造成不可估量的軍事、經濟以及國家核心技術損失。

美國憑借其在信息領域的絕對優勢，不斷將其技術和設備輸出到中國，而國產化設備的低性能、高價格等不足進一步導致了黨政軍系統中日常無線網絡通信設備國產化程度極低，使得日常無線網絡的安全防線處于近乎失靈的狀態。在美國IT跨國公司和美國網絡部隊等諸如“棱鏡”項目面前，我軍的基礎網絡和重要信息系統幾乎完全處于不設防狀態。諸如思科、微軟、英特爾、IBM等IT企業幾乎完全控制了我國高端IT產品的生產及應用。據Gartner數據顯示，Windows系列操作系統在我國市場占有率超過9成，英特爾在微處理器市場上占有率也超過8成，谷歌的安卓操作系統在我國市場占有率達到8成。即使是國產的聯想、酷派等手機，其核心芯片和操作系統也多是國外生產，使得我國無法從技術層面根除安全隱患。

2 解決方案：物理層安全技術和可見光通信技術

針對目前日常軍隊無線網絡安全性的問題，本文提出了兩種可行的改進方案，能夠在現有技術的基礎上，從防止無線信號被偵收和泄漏的角度實現日常狀態下部隊營區無線通信的安全保密。

在現有的通信系統中，通信的保密性主要依賴于基于計算密碼學的加密體制，早在20世紀初就已有人提出將傳輸的信息與密鑰取異或的方法來增強信息傳遞的安全性。這種基于密鑰的加密方法首次由Shannon于1949年給出了數學的理論分析。假設發送者希望把信息M秘密地發送給接收者，稱M為明文信息。則加密的過程為，在發送端，發送者通過密鑰K以及加密算法f對所要傳輸的明文M進行加密，得到密文S。在接收端，接收者通過密鑰K以及與加密算法相應的解密算法，我們用f^-1標記，來進行解密，從而得到明文M。通過對加解密過程的觀察，可以得知，有兩個方法防止竊聽者從竊聽到的S中獲取明文M： 一個是竊聽者不知道密鑰K，另外一個是解密算法非常困難，竊聽者難以在有限的時間用有限的資源進行解密?；谶@兩個方法，延伸出了現代通信系統中非常常見的兩種加密形式，一個是對稱密鑰加密，一個是非對稱密鑰加密。

現代密碼學的加密體制主要是在物理層之上的幾層來實現的，譬如MAC層、網絡層、應用層等等，故有時也稱基于現代密碼學的安全為上層安全。物理層對于現代密碼學加密體制來說是透明的，即物理層安全與上層安全是獨立的。下面分別介紹物理層安全的兩個基礎知識，分別是：竊聽信道模型和安全傳輸速率。竊聽信道模型是物理層安全所研究的基本信道模型，安全傳輸速率是衡量物理層安全系統性能的重要指標。

物理層安全主要是利用特殊的信道編碼和無線信道的隨機特性使得秘密通信得以進行，它與現代密碼學不同之處在于，其安全程度并不依賴于Eve的計算強度，而是依賴無線信道環境的隨機特性。但是，從保密環節上來說，物理層安全與傳統的計算密碼學的安全卻有著本質的相似之處。如圖1所示。物理層安全中的編碼調制環節和信道的隨機性是安全通信的必要條件，正如現代密碼學體制中的加密算法和密鑰。編碼調制環節是指Alice根據Alice-Bob和Alice-Eve信道的信道條件，通過獨特的信道編碼來保證Alice與Bob之間安全又可靠的通信。從安全的角度來說，編碼調制環境可以被看作現代密碼學中的加密過程，信息加密后生成的密文記為Xn。密文經過無線信道和解調譯碼可以等同為現代密碼學中的解密環節，其中信道信息{h，g}可以看作公共密鑰，而Bob接收端的噪聲可以看作Bob的私鑰，Eve是沒有辦法獲得的。因此密文通過Bob的無線信道和解調譯碼，可以被Bob正確地譯碼解密；而此密文通過Eve的無線信道和解調譯碼，Eve是不能獲得任何信息的。由此可見，雖然物理層安全與傳統的基于現代密碼學的加密原理是完全不同的，但是它們在實現框架上卻也能夠找到共同點。物理層安全可以看作是以調制編碼等發送端的技術為“加密算法”，充分利用Alice-Bob和Alice-Eve之間無線信道的差異性，把無線信道看作“加密密鑰”，從而使得Alice與Bob之間形成了安全可靠的通信。

物理層安全技術由于可以獨立于上層而單獨實現秘密通信，因此在無線通信系統中，可以在保證現有上層安全措施不變的情況下，補充物理層傳輸的安全。這使得通信系統的安全性能得到額外一層的保護。另一方面，將物理層安全用來傳輸現代密碼學中的密鑰，也是增強系統的安全性的一種方法。

從實現的角度講，當前傳統的無線路由器等均使用了全向天線進行傳輸，有可能導致無線信號泄漏至營區外部造成泄密。由于物理層安全技術方案的存在，除了進行傳統的上層密碼和傳輸加密以外，考慮利用物理層定向天線和波束賦形技術使得無線信號定向的向營區內部輻射，使得竊聽者獲取的信息量近乎為0，從而進一步降低失泄密的風險，這是物理層安全技術在現有無線網絡中的應用改進。

根據香農公式，假設發射端信號表示為：y=hx+z，那么正常接收者bob收到的信號可以表示為：

此時人造噪聲設計對Bob沒有產生干擾的方向上均勻分布，從而實現了對目標用戶的正常信號發送，但是使得竊聽用戶獲得的干擾最大化，可用信息最小。

可見光通信（Visible Light Communications）是指利用可見光波段的光作為信息載體，不使用光纖等有線信道的傳輸介質，而在空氣中直接傳輸光信號的通信方式，簡稱“VLC”。

普通的燈具如白熾燈、熒光燈（節能燈）不適合當作光通信的光源，而LED燈非常適合做可見光通信的光源?？梢姽馔ㄐ偶夹g可以通過LED燈在完成照明功能的同時，實現數據網絡的覆蓋，用戶可以方便地使用自己的手機、平板電腦等移動智能終端接收這些燈光發送的信息。該技術可廣泛用于導航定位、安全通信與支付、智能交通管控、智能家居、超市導購、燈箱廣告等領域，特別是在不希望或不可能使用無線電傳輸網絡的場合比如飛機上、醫院里更能發揮它的作用?？梢姽馔ㄐ偶骖櫿彰髋c通信，具有傳輸數據率高、安全性強、無電磁干擾、節能、無需頻譜認證等優點，帶寬是Wi-Fi的1萬倍、第四代移動通信技術的100倍，是理想的室內高速無線接人方案之一。

據美國DAPRA報道，美軍已經生產出軍用可見光網絡及相關設備，用于國防部等軍事機關和設施的高速無線網絡通信。由于可見光室內傳輸光源直接指向用戶且傳輸距離遠小于傳統的微波無線通信，在不考慮人為主動泄密的情況下，可見光通信信號是無法截獲的，從技術上為通信的有效性和可靠性提供了強有力的支撐。

圖2給出了微波無線通信和可見光通信之間的比較。對于手機、Wi-Fi等微波無線通信手段，除了目標用戶能夠接收到無線信號以外，由于無線電波是全向發射的，竊聽者完全可以收到相同的信號，從而進行破譯或者攻擊，帶來安全隱患；而可見光通信依賴于室內的LED燈具，通常燈具會直接部署在工位上方，而照明具有定向發射的特點，因此位于營區外部的竊聽者無法收到任何信號，不能進行竊聽。從實現上講，可見光通信可以方便的利用LED臺燈、屋頂燈等照明燈具，通過加裝調制解調模塊即可使得燈具具有高速數據傳輸功能，可供營區內臺式機、筆記本電腦、平板電腦等高速無線上網，滿足高清視頻會議等高帶寬需求。

目前，關于可見光通信在室內外各種復雜環境下的信道測量與建模的工作還很欠缺，只有少量的研究結果。尤其是在有強光干擾、煙霧和灰塵遮擋的環境下的信道干擾模型，更是需要亟待解決的問題。

3 結論

軍隊作為國家的武裝力量，其信息安全問題尤為重要。在和平時期，如何從技術手段保證軍隊手機、Wi-Fi等無線通信安全，防止和平時期敵對勢力進行的無線網絡信號偵收和網絡攻擊，是當前要重點關注的問題。

從可持續發展的角度講，基于當前網絡中的蜂窩網基站、營區Wi-Fi、家庭寬帶等網絡連接設施，通過配置物理層安全技術，可以有效地防止無線信號泄漏至營區外部，配合上層加密和辦公場所靜電屏蔽設施，可以從技術手段根除無意識的無線網絡泄密問題，且實施成本相對較低，具有極好的發展前景。

從面向未來發展的角度看，軍隊辦公場所可以通過更新可見光通信網絡，進一步保證網絡通信的安全。利用辦公場所的LED燈具，加裝可見光調制解調設備和個人身份鑒權機制，可以方便的將臺燈等變為無線路由器，提供遠超過Wi-Fi的通信帶寬和速率，滿足多種終端的接人需求。同時由于可見光通信的方向性極強，該技術完全不存在無意識泄密問題，可以極大的保證軍隊無線網絡應用安全。