全艦計算環(huán)境安全體系結(jié)構(gòu)研究*

金 剛

(海軍計算技術(shù)研究所 北京 100841)

?

全艦計算環(huán)境安全體系結(jié)構(gòu)研究*

金 剛

(海軍計算技術(shù)研究所 北京 100841)

對全艦計算環(huán)境中的安全保密需求進行了分析，提出了由硬件、系統(tǒng)、中間件和應(yīng)用組成的全艦計算環(huán)境的安全結(jié)構(gòu)框架；構(gòu)建了由安全管理、安全適配單元、網(wǎng)絡(luò)安全單元、系統(tǒng)安全單元和應(yīng)用安全單元組成的全艦計算環(huán)境安全功能結(jié)構(gòu)；給出了全艦計算環(huán)境典型安全系統(tǒng)組成結(jié)構(gòu)。

全艦計算環(huán)境； 安全結(jié)構(gòu)框架； 安全功能結(jié)構(gòu)

Class Number TP309.1

1 引言

1998 年，美國海軍水面戰(zhàn)中心(NSWC)第一次提出“全艦計算環(huán)境”(TSCE)的概念。全艦計算環(huán)境是一個包括C4ISR、作戰(zhàn)系統(tǒng)、船機電和岸基保障的全艦系統(tǒng)。通過全艦計算環(huán)境對指控情報、平臺控制、動力系統(tǒng)、武器系統(tǒng)等系統(tǒng)的軟件開發(fā)進行了規(guī)范和統(tǒng)一，采用大量商用計算機、服務(wù)器以及分布式中間件等商用現(xiàn)貨產(chǎn)品對系統(tǒng)進行集成，發(fā)揮系統(tǒng)整體資源優(yōu)勢[1]。

TSCE突出了“標準化、綜合化、一體化、自動化”的建設(shè)思路，解決了各作戰(zhàn)分系統(tǒng)集成時的“煙囪”問題，提供了高度集成、綜合一體、反應(yīng)快速的高性能全艦電子信息裝備的通用、開放、共享的全艦計算環(huán)境，為水面艦艇部隊提供了一種可升級、可組織、可配置、可高水平完成系統(tǒng)集成和自動化操作的平臺，提升了交付新型作戰(zhàn)任務(wù)的能力。美國海軍新型驅(qū)逐艦DDG-1000作戰(zhàn)系統(tǒng)的核心就是TSCE。

全艦計算環(huán)境代表著下一代艦船計算環(huán)境的發(fā)展方向，本文重點研究全艦計算環(huán)境下的安全體系結(jié)構(gòu)。

2 全艦計算環(huán)境

TSCE由上層的作戰(zhàn)應(yīng)用軟件包和下層的“全艦計算環(huán)境基礎(chǔ)設(shè)施”(Total Ship Computing Environment infrastructure，TSCEi)兩部分組成。TSCEi通過將全艦的網(wǎng)絡(luò)設(shè)備、計算設(shè)備、存儲設(shè)備、顯示設(shè)備、內(nèi)部通信設(shè)備和內(nèi)部監(jiān)控設(shè)備等硬件設(shè)備以及一組核心、通用的基礎(chǔ)服務(wù)按照成熟的工業(yè)標準進行高效合理的組織，為上層的各種作戰(zhàn)應(yīng)用提供一個通用、開放的計算、處理、通信和服務(wù)環(huán)境，支持艦艇使命所需要的計算任務(wù)的執(zhí)行，并且為其他應(yīng)用程序和功能領(lǐng)域提供服務(wù)[2]。

按照OACE的標準化層次，TSCE分為五層，如圖1所示，分別是硬件層、操作系統(tǒng)層、中間件層、接口層和應(yīng)用系統(tǒng)層。硬件層盡可能采用商用成品設(shè)備、通信協(xié)議也都是工業(yè)標準，操作系統(tǒng)層采用符合POSIX標準的操作系統(tǒng)，中間件層按照OMG標準封裝了各種基礎(chǔ)服務(wù)，艦艇上的應(yīng)用系統(tǒng)構(gòu)建在TSCE的接口層之上，通過標準服務(wù)接口調(diào)用的方式，組織和使用TSCEi的硬件和服務(wù)資源，完成各自的任務(wù)。

圖1 TSCE組成結(jié)構(gòu)

通過高效合理地組織全艦的網(wǎng)絡(luò)、計算、存儲、顯示、內(nèi)部通信和監(jiān)視等硬件設(shè)備和一組通用的基礎(chǔ)服務(wù)，TSCE形成了一種即插即用的計算框架，支持各種作戰(zhàn)應(yīng)用的快速集成。

TSCE由五個功能單元組成，包括人機接口單元、數(shù)據(jù)處理單元、網(wǎng)絡(luò)單元和適配性單元。

人機接口單元提供了操作人員和應(yīng)用系統(tǒng)之間的交互能力；數(shù)據(jù)處理單元提供了應(yīng)用系統(tǒng)安全、高效、便捷的數(shù)據(jù)訪問、處理和共享能力；網(wǎng)絡(luò)單元提供了全艦計算環(huán)境的內(nèi)部連接、通信和監(jiān)視能力；適配性單元提供了以嵌入式計算為基礎(chǔ)的導(dǎo)彈發(fā)射裝置、艦炮系統(tǒng)、雷達和聲納探測等系統(tǒng)之間以及嵌入式系統(tǒng)和非嵌入式系統(tǒng)之間的互聯(lián)互通能力。

3 全艦計算環(huán)境安全需求分析

1) 全艦計算環(huán)境應(yīng)用安全需求帶來的標準化安全服務(wù)組件構(gòu)建需求

不管是傳統(tǒng)方式還是全艦計算環(huán)境下，應(yīng)用安全需求一直存在，例如，全艦計算環(huán)境下的身份認證、授權(quán)訪問、數(shù)據(jù)存儲保護等，跨節(jié)點的遠程加密、簽名驗證等。

傳統(tǒng)方式下安全服務(wù)通常定制于各類應(yīng)用系統(tǒng)中，實施安全服務(wù)的硬件、軟件為應(yīng)用系統(tǒng)專用。隨著全艦計算環(huán)境標準化、綜合化、一體化計算框架的構(gòu)建，互操作性是全艦計算環(huán)境的基礎(chǔ)，服務(wù)用戶與服務(wù)提供者之間、服務(wù)提供者與安全服務(wù)之間的接口必須一致，這就要求安全服務(wù)要遵循全艦計算環(huán)境服務(wù)標準和開發(fā)要求，為各類應(yīng)用系統(tǒng)提供標準化的安全服務(wù)。

2) 全艦計算環(huán)境基礎(chǔ)資源統(tǒng)一分配帶來的安全需求

傳統(tǒng)方式下情報、指揮、控制等系統(tǒng)基本上獨立構(gòu)建，系統(tǒng)之間定義了一套安全交互方式。全艦計算環(huán)境方式下，原有系統(tǒng)獨自使用的物理資源演變成全艦共享使用，原有安全機制重點放在物理所有權(quán)和控制權(quán)上，而現(xiàn)在安全的重點要放在基于全艦計算環(huán)境的用戶、資源、安全訪問等邏輯層面上。

為實施基礎(chǔ)資源統(tǒng)一分配，全艦計算環(huán)境采用了面向服務(wù)架構(gòu)技術(shù)，服務(wù)組件為最基本的功能單元。每個服務(wù)組件都有認證、授權(quán)、機密性、完整性、不可抵賴性等基本安全需求。

認證是指服務(wù)提供者要求在提供服務(wù)時對用戶進行驗證，用戶也可對服務(wù)提供者進行驗證。

授權(quán)是指用戶需要擁有某些權(quán)限才能訪問服務(wù)。權(quán)限檢查可采用強制訪問控制策略或基于角色的訪問控制策略。

機密性對用戶和服務(wù)間傳輸?shù)幕緝?nèi)容如消息或文件進行保護，防止未授權(quán)第三方獲取。

完整性對傳輸中的消息或文件提供保護，防止非授權(quán)替換。

不可抵賴性防止用戶否認曾參與過某一信息交流，確保發(fā)方不可否認已經(jīng)發(fā)送的消息和收方不可否認已經(jīng)收到的消息。

上述服務(wù)安全需求在全艦計算環(huán)境資源統(tǒng)一分配的背景下要求全艦具有統(tǒng)一的身份標識、授權(quán)和密碼管理設(shè)施。在管理設(shè)施的統(tǒng)一管理下，各安全服務(wù)組件與其它服務(wù)組件共同配合建立安全的計算環(huán)境。

4 全艦計算環(huán)境安全體系結(jié)構(gòu)

4.1 全艦計算環(huán)境安全結(jié)構(gòu)框架

根據(jù)全艦計算環(huán)境安全需求，全艦計算環(huán)境的安全結(jié)構(gòu)框架如圖2所示。

全艦計算環(huán)境安全結(jié)構(gòu)框架分為物理層、操作系統(tǒng)層、中間件層和應(yīng)用層。

其中物理層包括嵌入式安全模塊和獨立式安全設(shè)備兩類。其中嵌入式安全模塊可嵌入計算、存儲、交換設(shè)備中。獨立式安全設(shè)備以單獨的物理形態(tài)存在。

操作系統(tǒng)層包括操作系統(tǒng)安全插件和網(wǎng)絡(luò)安全插件。上述插件直接作為操作系統(tǒng)的一部分存在，為中間件和應(yīng)用層提供透明的安全服務(wù)。這類安全服務(wù)直接面向應(yīng)用，為應(yīng)用安全使用系統(tǒng)級資源服務(wù)。

圖2 全艦計算環(huán)境安全結(jié)構(gòu)框架

中間件層提供標準的安全管理服務(wù)和安全服務(wù)，包括安全管理中間件和安全服務(wù)中間件。其中，安全管理中間件提供安全管理服務(wù)。安全服務(wù)中間件提供身份驗證、授權(quán)訪問、加密、完整性驗證、簽名驗證等安全服務(wù)。

應(yīng)用層包括通信管理、指揮控制、武器控制等作戰(zhàn)應(yīng)用，使用安全服務(wù)完成作戰(zhàn)信息存儲、傳輸和控制的安全。

4.2 全艦計算環(huán)境安全功能結(jié)構(gòu)

從安全功能的角度，全艦計算環(huán)境安全功能結(jié)構(gòu)組成如圖3所示。安全功能結(jié)構(gòu)包括安全管理單元、安全適配單元、網(wǎng)絡(luò)安全單元、系統(tǒng)安全單元和應(yīng)用安全單元。

安全管理單元分為兩部分，一部分作為獨立的安全管理基礎(chǔ)設(shè)施存在，一部分作為計算環(huán)境側(cè)的安全管理組件存在。通過安全管理組件各安全服務(wù)組件接受安全管理基礎(chǔ)設(shè)施的管理。

圖3 全艦計算環(huán)境安全功能單元架

安全管理單元包括密碼管理、身份管理、授權(quán)管理和審計管理。其中密碼管理完成密碼資源的產(chǎn)生和分發(fā)。身份管理完成用戶和平臺的身份標識。授權(quán)管理完成用戶/應(yīng)用與資源間、網(wǎng)絡(luò)要素間的訪問控制策略設(shè)置和維護。審計管理完成系統(tǒng)重要安全事件的記錄和管理。

安全適配單元包括嵌入式安全組件和嵌入式安全適配組件。其中嵌入式安全組件是指嵌入作戰(zhàn)、通信和武器平臺中的安全功能模塊，這類安全功能模塊形態(tài)可為硬件和軟件。嵌入式安全適配組件完成嵌入式安全組件與非嵌入式安全組件之間的互聯(lián)互通。

網(wǎng)絡(luò)安全單元包括網(wǎng)絡(luò)層/傳輸層/服務(wù)層傳輸加密組件，網(wǎng)絡(luò)訪問控制組件和網(wǎng)絡(luò)安全隔離組件。網(wǎng)絡(luò)層/傳輸層/服務(wù)層傳輸加密組件分別針對艦內(nèi)傳輸協(xié)議的IP層、傳輸層、分布式交互服務(wù)層提供信息加密和完整性驗證服務(wù)。網(wǎng)絡(luò)訪問控制組件對IP地址、端口等進行授權(quán)訪問控制。網(wǎng)絡(luò)安全隔離組件對艦內(nèi)重要網(wǎng)絡(luò)實施隔離防護。

系統(tǒng)安全單元包括數(shù)據(jù)庫/網(wǎng)絡(luò)/磁盤/文件存儲加密組件，計算/存儲資源訪問控制組件，病毒防范/可信計算組件。數(shù)據(jù)庫/網(wǎng)絡(luò)/磁盤/文件存儲加密組件分別針對數(shù)據(jù)庫、網(wǎng)絡(luò)存儲、磁盤存儲、文件提供加密服務(wù)。計算/存儲資源訪問控制組件針對不同用戶提供虛擬機、計算單元、存儲空間授權(quán)訪問控制。病毒防范/可信計算組件為用戶提供系統(tǒng)引導(dǎo)以及操作系統(tǒng)環(huán)境建立過程的完整性驗證，防止病毒對操作系統(tǒng)環(huán)境的完整性破壞。

應(yīng)用安全單元包括應(yīng)用傳輸保護組件、應(yīng)用存儲保護組件、應(yīng)用資源訪問控制組件、身份認證/數(shù)字簽名組件。應(yīng)用傳輸/存儲保護組件為應(yīng)用之間的信息傳輸以及應(yīng)用信息的存儲提供加密和完整性驗證服務(wù)。應(yīng)用資源訪問控制組件提供應(yīng)用用戶對應(yīng)用資源的授權(quán)訪問機制。身份認證/數(shù)字簽名組件提供應(yīng)用用戶身份驗證以及用戶發(fā)送信息的簽名驗證服務(wù)功能。

4.3 全艦計算環(huán)境安全關(guān)鍵技術(shù)

1) 用戶身份、重要關(guān)鍵資源全系統(tǒng)統(tǒng)一鑒別和標識技術(shù)

全艦計算環(huán)境中，原有業(yè)務(wù)系統(tǒng)分散的終端和服務(wù)器計算資源發(fā)展為全艦共享計算資源，計算資源集中，面臨的安全風(fēng)險也集中在服務(wù)器側(cè)，采用原有的分散安全控制措施將無法徹底解決信息處理環(huán)境中的密碼保密問題，必須提供集中統(tǒng)一的安全保密控制措施。

對于計算環(huán)境內(nèi)多業(yè)務(wù)用戶對各類資源交叉訪問的情況，必須進行嚴格的多安全級別訪問控制策略。對于計算服務(wù)器上的主體和客體都需要進行統(tǒng)一的身份驗證，進行訪問控制，重要關(guān)鍵資源需要有唯一的安全標識。

2) 安全模塊/設(shè)備標準化適配技術(shù)。

標準化隱含著密碼模塊硬件接口、邏輯接口的標準化。與建立滿足各型艦載終端、服務(wù)器相配套的標準化安全模塊硬件，滿足各類作戰(zhàn)業(yè)務(wù)的不同密級和不同種類的安全服務(wù)構(gòu)件，安全服務(wù)構(gòu)件與全艦公共計算環(huán)境技術(shù)體制保持一致。

3) 虛擬網(wǎng)絡(luò)隔離技術(shù)

全艦計算環(huán)境下，虛擬化技術(shù)讓各自成組相關(guān)聯(lián)的虛擬機運行在獨立的物理主機上，虛擬機群之間的連接通過虛擬網(wǎng)卡和真實網(wǎng)卡來實現(xiàn)[3]。在虛擬網(wǎng)絡(luò)條件下，網(wǎng)絡(luò)通信節(jié)點為虛擬機，虛擬網(wǎng)絡(luò)和普通網(wǎng)絡(luò)不同，網(wǎng)絡(luò)的最小單元不是物理機，而是把所有的物理機看成是一個簡單的交換機，交換機下面接著一組虛擬機。虛擬網(wǎng)絡(luò)隔離技術(shù)通過將虛擬網(wǎng)絡(luò)資源和網(wǎng)絡(luò)虛擬機按照安全規(guī)則劃分成不同的邏輯安全區(qū)域。

4) 安全服務(wù)中間件技術(shù)。

安全服務(wù)中間件包括安全適配軟件和安全服務(wù)中間件[4]。安全適配軟件用于對安全設(shè)備和安全服務(wù)中間件進行安裝、配置管理等操作，安全設(shè)備驅(qū)動等。安全服務(wù)中間件以透明方式或API調(diào)用方式與密碼裝備配合提供各類安全密碼服務(wù)構(gòu)件。

5 結(jié)語

隨著全艦計算環(huán)境標準化、綜合化、一體化計算框架的構(gòu)建，對全艦計算環(huán)境的安全保密能力提出了標準化、服務(wù)化、一體化的新需求。根據(jù)新的安全需求全艦計算環(huán)境安全體系結(jié)構(gòu)由傳統(tǒng)的分散獨立式安全服務(wù)轉(zhuǎn)換為由硬件層、系統(tǒng)層、中間件層組成的面向服務(wù)架構(gòu)的標準式安全服務(wù)架構(gòu)。通過新型體系結(jié)構(gòu)的構(gòu)建，一方面對應(yīng)用系統(tǒng)屏蔽了不同種類安全功能模塊的軟硬件結(jié)構(gòu)的差異，另一方面隨著全艦計算環(huán)境的逐步應(yīng)用，增強了系統(tǒng)的安全/密碼服務(wù)的互通能力。

[1] 董曉明,馮浩.全艦計算環(huán)境體系結(jié)構(gòu)和系統(tǒng)集成框架[J].中國艦船研究,2014,9(1):8-13.

[2] 董曉明,石朝明.美海軍DDG-1000全艦計算環(huán)境體系結(jié)構(gòu)探析[J].中國艦船研究,2012,7(6):7-15.

[3] 張玉清,王曉菲,劉雪峰,等.云計算安全綜述[J].軟件學(xué)報,2016,27(6):1328-1348.

[4] 馮登國,張敏,張研,等.云計算安全研究[J].軟件學(xué)報,2011,22(1):71-83.

[5] 張義勇,黃清海.美國新一代多用途驅(qū)逐艦DDG—1000工程控制系統(tǒng)分析[J].中國艦船研究,2013,42(4):89-98.

[6] 張晏,岑榮偉,沈宇超,等.云計算環(huán)境下密碼資源池系統(tǒng)的應(yīng)用[J].信息安全研究,2016,2(6):558-561.

[7] Masters M W. Total ship computing risk analysis[C/OL]//DARPA Quorum PI Conference, November, 1998.[2012-02012]. http://citeseerx.ist.psu.edu./viewdoc/download?doi=10.1.1.196.8139 &rep=rep1&type=pdf.

[8] CRISCOM D.AEGIS Open architecture[C/OL]//Asia Pacific Systems Engineering Conference(Adelaide), 2007. [2012-03-01]. http://www.globalsecurity.org/military/systems/aegis_oa.htm.

[9] PEO IWS. Open architecture computing enviroment design guidance, version 1.0[S/OL]. 2004.[2012-02-15]. http://www.everyspec.com/USN/NSWC/download.php?spec=OACE_DSN_GUIDANCE_VER_1.011546.pdf.

[10] 程斌,潘偉文.船舶設(shè)計教程[M].上海:上海交通大學(xué)出版社,1998.

Security Architecture of Total Ship Computing Environment

JIN Gang

(Computer Technology Institute of Navy, Beijing 100841)

The security requirement of total ship computing environment is analyzed. The security framework composed of hardware, system and medium components are put forward. The security function structure includes security management, security adaption unit, network security unit, system security unit and application security unit. At last the security system construction is put forward.

total ship computing environment, security framework, security function structure

2016年5月1日,

2016年6月24日

金剛,男,碩士,高級工程師,研究方向：信息系統(tǒng)安全。

TP309.1

10.3969/j.issn.1672-9730.2016.11.002