基于擬態防御機制的全艦計算環境安全架構設計

朱維軍　樊永文　班紹桓

摘要：針對全艦計算環境（Total Ship Computing Environment，TSCE）體系結構的計算安全性問題，提出基于動態異構冗余的TSCE體系結構設計思想。首先，對TSCE的基礎設施和應用系統分別進行動態異構冗余（Dynamic Heterogeneous Redundancy，DHR）設計，獲得具有更佳抗攻擊性的擬態防御系統成份；然后，把上述兩大組成部分按照TSCE原有組織架構連接起來，即可獲得具有擬態防御能力的全艦計算環境系統架構。內嵌的擬態防御機制可望為新模型帶來更強的抗攻擊性與主動防御能力。

關鍵詞：動態；異構；冗余；擬態防御；全艦計算環境

中圖分類號：TP309.1 文獻標識碼：A 文章編號：1007-9416（2018）01-0203-03

1 引言

未來海戰模式將由“平臺中心戰”轉向“網絡中心戰”[1]。1998年，美國海軍水面戰中心首次提出“全艦計算環境”的概念[2]。2012年，“朱姆沃爾特”級驅逐艦DDG-1000交付美海軍使用，這是第一艘全面實施TSCE的軍艦[3]。2017年，“福特”號航母交付美海軍使用，這是第一艘采用TSCE的航空母艦[4]。

全艦計算環境以網絡為中心，集成作戰系統、預警系統、動力系統、武器系統與指揮系統，對上述系統的計算單元進行了統一和規范，并按照標準化、綜合化、一體化、自動化的建設思路，解決各作戰子系統集成時的煙囪問題，為全艦電子信息裝備提供通用、開放、共享的計算環境，從而形成統一的網絡中心戰平臺，促進跨平臺、跨領域協同作戰。由于TSCE具有如上所述優勢，美軍已表示其下一代艦艇的開發均將使用TSCE[1，3，5]。

2013年4月，美海軍模擬黑客攻擊發現“自由”號瀕海戰斗艦網絡系統存在信息安全弱點[6]。2014年10月，美海軍海上系統司令部承認美海軍潛艇的控制系統存在網絡安全漏洞[6]。TSCE裝備是否存在網絡安全隱患？文獻[6]對此進行分析，認為在網絡層面、主機層面、應用層面和數據層面均存在安全問題。并提出總體結構防御模型，通過采取網絡準入、訪問控制、安全審計、終端防護、服務器加固等措施，保護TSCE安全[6]。然而，上述措施并不能從根本上解決問題。這是本文研究的課題。

2 背景知識

2.1 全艦計算環境

TSCE由上層的作戰應用軟件包和下層的TSCE基礎設施（TSCEi）兩部分組成，其組成結構參見圖1。TSCE對全艦裝備的控制拓撲結構參見圖2。更多詳情，參見文獻[2]和文獻[6]。篇幅所限，這里不再詳述。

2.2 動態異構冗余結構

擬態防御是近年來最新出現的一種網絡安全技術，由鄔江興院士提出[7]。該技術針對未知安全漏洞、軟硬件后門等問題的本源，采用動態異構冗余的系統設計思想與網絡空間主動防御理念，導致已有的掃描探測、漏洞利用、后門設置、病毒注入、木馬植入乃至APT等攻擊手段和方法難以發揮預期的作用和效力[7]。

DHR結構是一種典型的擬態防御技術，圖3給出了它的結構示意圖。對于該結構的詳細介紹，參見文獻[7]。篇幅所限，這里不再詳述。

3 基于DHR結構的TSCE系統架構

本節使用DHR思想設計TSCE系統架構，以圖提升TSCE的抗攻擊能力。我們的核心思路在于：對底層的TSCEi硬件和上層的應用系統軟件包均引入動態、異構、冗余機制。

新模型的關鍵原理在于：（1）無論是軟件執行體還是硬件執行體，均采用多份具有相同功能不同結構的冗余執行體實施計算；（2）使用表決器對不同執行體的計算結果進行表決，對于與多數執行體計算結果不同的執行體，可認為存在攻擊在該執行體上發揮效力；（3）對于被有效攻擊的執行體實施清除操作，該執行體退出計算，從構件池中隨機選取一個構件作為新執行體加入計算。

基于DHR結構的TSCE系統運行原理可由圖4表示。

4 計算安全性分析

鄔江興院士指出，DHR構造的抗攻擊能力在體系上源自異構、冗余，在不確定機制上受惠于動態、隨機、多樣性，在攻擊難度上得益于去協同化環境造就的非配合條件下的協同化攻擊困境，在實現方法上來源于功能等價條件下的多維動態重構機制的應用[7]。我們使用上述機制重建TSCE系統結構，把DHR結構基因層面天然內嵌的抗攻擊性注入TSCE系統，變TSCE被動防御措施[2，6]為主動防御，以便提升TSCE計算安全性。

新模型在系統架構層面提升TSCE安全性；與之對照，我們的前期研究則在系統設計的早期使用形式化的途徑驗證TSCE系統的計算安全性[8]，這樣的形式化方法若發現邏輯錯誤，可幫助工程人員早期修改、避免設計錯誤。可見，本文方法與文獻[8]中方法可配合使用以瞄準提升TSCE安全性。

文獻[2]設計了一種TSCE安全結構框架，文獻[6]給出TSCE安全防護的一些具體措施。這些工作都是有益的，然而并不能改變被動防御的態勢。與之相比，新設計的工程模型內嵌DHR主動防御[9]機制，在抗攻擊性方面可望具有比較優勢。

5 結語

作為未來海戰“網絡中心戰”的核心平臺，TSCE自身的安全與抗攻擊性是它能夠正常發揮功能的前提，這是研究TSCE安全性問題的意義。本工作提出利用擬態防御技術設計全艦計算環境的思想，初步給出一種基于動態異構冗余機制的TSCE系統架構設計。這是本文的主要貢獻。

6 致謝

感謝文后參考文獻的作者。本文作者正是在閱讀這些公開發表/發布文獻的基礎上，給出我們的個人思考與個人觀點。

參考文獻

[1]賈華杰，鮮明，陳永光.網絡中心戰及其新技術[J].國防科技，2011，32（4）：44-49.

[2]金剛.全艦計算環境安全體系結構研究[J].艦船電子工程，2016，36（11）：5-7，62.

[3]張偉.美國海軍全艦計算環境發展及關鍵技術[J].船舶科學技術，2016，38，（7）：148-152.

[4]石劍.開放體系架構在海軍信息系統應用模式研究[J].艦船電子工程，2016，36（9）：5-8.

[5]郭隆華.“朱姆沃爾特”級驅逐艦全艦計算環境研究取得進展[J].船舶科學技術，2008， （5）：164-164.

[6]威努特工控安全，基于全艦計算環境（TSCE）架構的工控安全防護淺析[EB/OL]， http：//mp.weixin.qq.com/s/w9s4ETmXSYJ-WeIWvASbew，2018年1月16日.

[7]鄔江興.網絡空間擬態防御研究[J]，信息安全學報，2016，1（4）：1-10.

[8]朱維軍，樊永文，聶凱.全艦計算環境形式化驗證算法[J].數字技術與應用，2017，2017（6）：140-141，143.

[9]鄔江興.網絡空間擬態防御導論[M].北京：科學出版社，2017.