全艦計算環境安全體系結構研究*

金 剛

(海軍計算技術研究所 北京 100841)

?

全艦計算環境安全體系結構研究*

金 剛

(海軍計算技術研究所 北京 100841)

對全艦計算環境中的安全保密需求進行了分析，提出了由硬件、系統、中間件和應用組成的全艦計算環境的安全結構框架；構建了由安全管理、安全適配單元、網絡安全單元、系統安全單元和應用安全單元組成的全艦計算環境安全功能結構；給出了全艦計算環境典型安全系統組成結構。

全艦計算環境； 安全結構框架； 安全功能結構

Class Number TP309.1

1 引言

1998 年，美國海軍水面戰中心(NSWC)第一次提出“全艦計算環境”(TSCE)的概念。全艦計算環境是一個包括C4ISR、作戰系統、船機電和岸基保障的全艦系統。通過全艦計算環境對指控情報、平臺控制、動力系統、武器系統等系統的軟件開發進行了規范和統一，采用大量商用計算機、服務器以及分布式中間件等商用現貨產品對系統進行集成，發揮系統整體資源優勢[1]。

TSCE突出了“標準化、綜合化、一體化、自動化”的建設思路，解決了各作戰分系統集成時的“煙囪”問題，提供了高度集成、綜合一體、反應快速的高性能全艦電子信息裝備的通用、開放、共享的全艦計算環境，為水面艦艇部隊提供了一種可升級、可組織、可配置、可高水平完成系統集成和自動化操作的平臺，提升了交付新型作戰任務的能力。美國海軍新型驅逐艦DDG-1000作戰系統的核心就是TSCE。

全艦計算環境代表著下一代艦船計算環境的發展方向，本文重點研究全艦計算環境下的安全體系結構。

2 全艦計算環境

TSCE由上層的作戰應用軟件包和下層的“全艦計算環境基礎設施”(Total Ship Computing Environment infrastructure，TSCEi)兩部分組成。TSCEi通過將全艦的網絡設備、計算設備、存儲設備、顯示設備、內部通信設備和內部監控設備等硬件設備以及一組核心、通用的基礎服務按照成熟的工業標準進行高效合理的組織，為上層的各種作戰應用提供一個通用、開放的計算、處理、通信和服務環境，支持艦艇使命所需要的計算任務的執行，并且為其他應用程序和功能領域提供服務[2]。

按照OACE的標準化層次，TSCE分為五層，如圖1所示，分別是硬件層、操作系統層、中間件層、接口層和應用系統層。硬件層盡可能采用商用成品設備、通信協議也都是工業標準，操作系統層采用符合POSIX標準的操作系統，中間件層按照OMG標準封裝了各種基礎服務，艦艇上的應用系統構建在TSCE的接口層之上，通過標準服務接口調用的方式，組織和使用TSCEi的硬件和服務資源，完成各自的任務。

圖1 TSCE組成結構

通過高效合理地組織全艦的網絡、計算、存儲、顯示、內部通信和監視等硬件設備和一組通用的基礎服務，TSCE形成了一種即插即用的計算框架，支持各種作戰應用的快速集成。

TSCE由五個功能單元組成，包括人機接口單元、數據處理單元、網絡單元和適配性單元。

人機接口單元提供了操作人員和應用系統之間的交互能力；數據處理單元提供了應用系統安全、高效、便捷的數據訪問、處理和共享能力；網絡單元提供了全艦計算環境的內部連接、通信和監視能力；適配性單元提供了以嵌入式計算為基礎的導彈發射裝置、艦炮系統、雷達和聲納探測等系統之間以及嵌入式系統和非嵌入式系統之間的互聯互通能力。

3 全艦計算環境安全需求分析

1) 全艦計算環境應用安全需求帶來的標準化安全服務組件構建需求

不管是傳統方式還是全艦計算環境下，應用安全需求一直存在，例如，全艦計算環境下的身份認證、授權訪問、數據存儲保護等，跨節點的遠程加密、簽名驗證等。

傳統方式下安全服務通常定制于各類應用系統中，實施安全服務的硬件、軟件為應用系統專用。隨著全艦計算環境標準化、綜合化、一體化計算框架的構建，互操作性是全艦計算環境的基礎，服務用戶與服務提供者之間、服務提供者與安全服務之間的接口必須一致，這就要求安全服務要遵循全艦計算環境服務標準和開發要求，為各類應用系統提供標準化的安全服務。

2) 全艦計算環境基礎資源統一分配帶來的安全需求

傳統方式下情報、指揮、控制等系統基本上獨立構建，系統之間定義了一套安全交互方式。全艦計算環境方式下，原有系統獨自使用的物理資源演變成全艦共享使用，原有安全機制重點放在物理所有權和控制權上，而現在安全的重點要放在基于全艦計算環境的用戶、資源、安全訪問等邏輯層面上。

為實施基礎資源統一分配，全艦計算環境采用了面向服務架構技術，服務組件為最基本的功能單元。每個服務組件都有認證、授權、機密性、完整性、不可抵賴性等基本安全需求。

認證是指服務提供者要求在提供服務時對用戶進行驗證，用戶也可對服務提供者進行驗證。

授權是指用戶需要擁有某些權限才能訪問服務。權限檢查可采用強制訪問控制策略或基于角色的訪問控制策略。

機密性對用戶和服務間傳輸的基本內容如消息或文件進行保護，防止未授權第三方獲取。

完整性對傳輸中的消息或文件提供保護，防止非授權替換。

不可抵賴性防止用戶否認曾參與過某一信息交流，確保發方不可否認已經發送的消息和收方不可否認已經收到的消息。

上述服務安全需求在全艦計算環境資源統一分配的背景下要求全艦具有統一的身份標識、授權和密碼管理設施。在管理設施的統一管理下，各安全服務組件與其它服務組件共同配合建立安全的計算環境。

4 全艦計算環境安全體系結構

4.1 全艦計算環境安全結構框架

根據全艦計算環境安全需求，全艦計算環境的安全結構框架如圖2所示。

全艦計算環境安全結構框架分為物理層、操作系統層、中間件層和應用層。

其中物理層包括嵌入式安全模塊和獨立式安全設備兩類。其中嵌入式安全模塊可嵌入計算、存儲、交換設備中。獨立式安全設備以單獨的物理形態存在。

操作系統層包括操作系統安全插件和網絡安全插件。上述插件直接作為操作系統的一部分存在，為中間件和應用層提供透明的安全服務。這類安全服務直接面向應用，為應用安全使用系統級資源服務。

圖2 全艦計算環境安全結構框架

中間件層提供標準的安全管理服務和安全服務，包括安全管理中間件和安全服務中間件。其中，安全管理中間件提供安全管理服務。安全服務中間件提供身份驗證、授權訪問、加密、完整性驗證、簽名驗證等安全服務。

應用層包括通信管理、指揮控制、武器控制等作戰應用，使用安全服務完成作戰信息存儲、傳輸和控制的安全。

4.2 全艦計算環境安全功能結構

從安全功能的角度，全艦計算環境安全功能結構組成如圖3所示。安全功能結構包括安全管理單元、安全適配單元、網絡安全單元、系統安全單元和應用安全單元。

安全管理單元分為兩部分，一部分作為獨立的安全管理基礎設施存在，一部分作為計算環境側的安全管理組件存在。通過安全管理組件各安全服務組件接受安全管理基礎設施的管理。

圖3 全艦計算環境安全功能單元架

安全管理單元包括密碼管理、身份管理、授權管理和審計管理。其中密碼管理完成密碼資源的產生和分發。身份管理完成用戶和平臺的身份標識。授權管理完成用戶/應用與資源間、網絡要素間的訪問控制策略設置和維護。審計管理完成系統重要安全事件的記錄和管理。

安全適配單元包括嵌入式安全組件和嵌入式安全適配組件。其中嵌入式安全組件是指嵌入作戰、通信和武器平臺中的安全功能模塊，這類安全功能模塊形態可為硬件和軟件。嵌入式安全適配組件完成嵌入式安全組件與非嵌入式安全組件之間的互聯互通。

網絡安全單元包括網絡層/傳輸層/服務層傳輸加密組件，網絡訪問控制組件和網絡安全隔離組件。網絡層/傳輸層/服務層傳輸加密組件分別針對艦內傳輸協議的IP層、傳輸層、分布式交互服務層提供信息加密和完整性驗證服務。網絡訪問控制組件對IP地址、端口等進行授權訪問控制。網絡安全隔離組件對艦內重要網絡實施隔離防護。

系統安全單元包括數據庫/網絡/磁盤/文件存儲加密組件，計算/存儲資源訪問控制組件，病毒防范/可信計算組件。數據庫/網絡/磁盤/文件存儲加密組件分別針對數據庫、網絡存儲、磁盤存儲、文件提供加密服務。計算/存儲資源訪問控制組件針對不同用戶提供虛擬機、計算單元、存儲空間授權訪問控制。病毒防范/可信計算組件為用戶提供系統引導以及操作系統環境建立過程的完整性驗證，防止病毒對操作系統環境的完整性破壞。

應用安全單元包括應用傳輸保護組件、應用存儲保護組件、應用資源訪問控制組件、身份認證/數字簽名組件。應用傳輸/存儲保護組件為應用之間的信息傳輸以及應用信息的存儲提供加密和完整性驗證服務。應用資源訪問控制組件提供應用用戶對應用資源的授權訪問機制。身份認證/數字簽名組件提供應用用戶身份驗證以及用戶發送信息的簽名驗證服務功能。

4.3 全艦計算環境安全關鍵技術

1) 用戶身份、重要關鍵資源全系統統一鑒別和標識技術

全艦計算環境中，原有業務系統分散的終端和服務器計算資源發展為全艦共享計算資源，計算資源集中，面臨的安全風險也集中在服務器側，采用原有的分散安全控制措施將無法徹底解決信息處理環境中的密碼保密問題，必須提供集中統一的安全保密控制措施。

對于計算環境內多業務用戶對各類資源交叉訪問的情況，必須進行嚴格的多安全級別訪問控制策略。對于計算服務器上的主體和客體都需要進行統一的身份驗證，進行訪問控制，重要關鍵資源需要有唯一的安全標識。

2) 安全模塊/設備標準化適配技術。

標準化隱含著密碼模塊硬件接口、邏輯接口的標準化。與建立滿足各型艦載終端、服務器相配套的標準化安全模塊硬件，滿足各類作戰業務的不同密級和不同種類的安全服務構件，安全服務構件與全艦公共計算環境技術體制保持一致。

3) 虛擬網絡隔離技術

全艦計算環境下，虛擬化技術讓各自成組相關聯的虛擬機運行在獨立的物理主機上，虛擬機群之間的連接通過虛擬網卡和真實網卡來實現[3]。在虛擬網絡條件下，網絡通信節點為虛擬機，虛擬網絡和普通網絡不同，網絡的最小單元不是物理機，而是把所有的物理機看成是一個簡單的交換機，交換機下面接著一組虛擬機。虛擬網絡隔離技術通過將虛擬網絡資源和網絡虛擬機按照安全規則劃分成不同的邏輯安全區域。

4) 安全服務中間件技術。

安全服務中間件包括安全適配軟件和安全服務中間件[4]。安全適配軟件用于對安全設備和安全服務中間件進行安裝、配置管理等操作，安全設備驅動等。安全服務中間件以透明方式或API調用方式與密碼裝備配合提供各類安全密碼服務構件。

5 結語

隨著全艦計算環境標準化、綜合化、一體化計算框架的構建，對全艦計算環境的安全保密能力提出了標準化、服務化、一體化的新需求。根據新的安全需求全艦計算環境安全體系結構由傳統的分散獨立式安全服務轉換為由硬件層、系統層、中間件層組成的面向服務架構的標準式安全服務架構。通過新型體系結構的構建，一方面對應用系統屏蔽了不同種類安全功能模塊的軟硬件結構的差異，另一方面隨著全艦計算環境的逐步應用，增強了系統的安全/密碼服務的互通能力。

[1] 董曉明,馮浩.全艦計算環境體系結構和系統集成框架[J].中國艦船研究,2014,9(1):8-13.

[2] 董曉明,石朝明.美海軍DDG-1000全艦計算環境體系結構探析[J].中國艦船研究,2012,7(6):7-15.

[3] 張玉清,王曉菲,劉雪峰,等.云計算安全綜述[J].軟件學報,2016,27(6):1328-1348.

[4] 馮登國,張敏,張研,等.云計算安全研究[J].軟件學報,2011,22(1):71-83.

[5] 張義勇,黃清海.美國新一代多用途驅逐艦DDG—1000工程控制系統分析[J].中國艦船研究,2013,42(4):89-98.

[6] 張晏,岑榮偉,沈宇超,等.云計算環境下密碼資源池系統的應用[J].信息安全研究,2016,2(6):558-561.

[7] Masters M W. Total ship computing risk analysis[C/OL]//DARPA Quorum PI Conference, November, 1998.[2012-02012]. http://citeseerx.ist.psu.edu./viewdoc/download?doi=10.1.1.196.8139 &rep=rep1&type=pdf.

[8] CRISCOM D.AEGIS Open architecture[C/OL]//Asia Pacific Systems Engineering Conference(Adelaide), 2007. [2012-03-01]. http://www.globalsecurity.org/military/systems/aegis_oa.htm.

[9] PEO IWS. Open architecture computing enviroment design guidance, version 1.0[S/OL]. 2004.[2012-02-15]. http://www.everyspec.com/USN/NSWC/download.php?spec=OACE_DSN_GUIDANCE_VER_1.011546.pdf.

[10] 程斌,潘偉文.船舶設計教程[M].上海:上海交通大學出版社,1998.

Security Architecture of Total Ship Computing Environment

JIN Gang

(Computer Technology Institute of Navy, Beijing 100841)

The security requirement of total ship computing environment is analyzed. The security framework composed of hardware, system and medium components are put forward. The security function structure includes security management, security adaption unit, network security unit, system security unit and application security unit. At last the security system construction is put forward.

total ship computing environment, security framework, security function structure

2016年5月1日,

2016年6月24日

金剛,男,碩士,高級工程師,研究方向：信息系統安全。

TP309.1

10.3969/j.issn.1672-9730.2016.11.002