“星融網(wǎng)”安全體系結(jié)構(gòu)設(shè)計構(gòu)想

◎中國航天系統(tǒng)科學(xué)與工程研究院 閆陳靜 陳漠 張偉 顧升高

“星融網(wǎng)”網(wǎng)絡(luò)規(guī)模龐大、組成結(jié)構(gòu)復(fù)雜、拓?fù)渥兓l繁，涉及衛(wèi)星系統(tǒng)、臨近空間平臺、地面網(wǎng)絡(luò)等不同的層面，因此，必須設(shè)計科學(xué)、合理、可擴展的網(wǎng)絡(luò)體系結(jié)構(gòu)，才能滿足未來網(wǎng)絡(luò)部署和應(yīng)用的需求。本文圍繞“星融網(wǎng)”安全體系結(jié)構(gòu)設(shè)計的問題，從安全保障體系、安全協(xié)議體系、安全機制分析三方面提出未來“星融網(wǎng)”網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計的構(gòu)想。

一、引言

“星融網(wǎng)”在未來的重要地位使得其具有極高的安全性要求，為了保障空間通信和應(yīng)用的安全性，必須在整個網(wǎng)絡(luò)的架構(gòu)中貫穿并融合安全體系結(jié)構(gòu)的設(shè)計。在安全體系結(jié)構(gòu)的研究中，需要根據(jù)“星融網(wǎng)”網(wǎng)絡(luò)的特點和典型應(yīng)用，深入分析來自不同方向和層次的網(wǎng)絡(luò)攻擊行為，總結(jié)“星融網(wǎng)”可能面臨的安全威脅，從不同角度探討“星融網(wǎng)”網(wǎng)絡(luò)的安全需求，結(jié)合網(wǎng)絡(luò)通信協(xié)議，從整體上定義安全服務(wù)、安全機制等元素以及元素之間的關(guān)系，并針對不同的協(xié)議層次建立適當(dāng)?shù)陌踩珯C制和安全策略。安全體系結(jié)構(gòu)的設(shè)計是一個循序漸進的過程，需要和其它的網(wǎng)絡(luò)技術(shù)相互協(xié)調(diào)并進行聯(lián)合設(shè)計，促進整個“星融網(wǎng)”網(wǎng)絡(luò)架構(gòu)的不斷完善。

“星融網(wǎng)”安全保障體系結(jié)構(gòu)

本文從安全保障基礎(chǔ)設(shè)施、安全協(xié)議和安全機制三個方面，對“星融網(wǎng)”安全體系的框架結(jié)構(gòu)進行分析。首先應(yīng)建立層次化的安全保障基礎(chǔ)設(shè)施，為整個“星融網(wǎng)”網(wǎng)絡(luò)中的通信安全和端系統(tǒng)安全提供基本的保障；然后分析“星融網(wǎng)”網(wǎng)絡(luò)通信協(xié)議棧每一層中可能使用的安全協(xié)議和安全機制，為通信協(xié)議的運行安全建立指導(dǎo)原則；最后針對空間組網(wǎng)中可能面臨的安全問題，提出主要的安全機制在具體設(shè)計與實施時需要遵循的原則和基本的安全解決方案。

二、安全保障體系

從技術(shù)層面上講，“星融網(wǎng)”的安全技術(shù)保障結(jié)構(gòu)未來可分為應(yīng)用環(huán)境安全、應(yīng)用區(qū)域邊界安全、網(wǎng)絡(luò)和通信傳輸安全、安全管理中心和密碼管理中心五個環(huán)節(jié)，即在兩個中心支持下的三重保障體系結(jié)構(gòu)。

應(yīng)用環(huán)境安全：應(yīng)用環(huán)境包括空間段設(shè)備、地面段設(shè)備、用戶段設(shè)備、以及其中運行的各種指揮控制系統(tǒng)軟件、管理軟件、應(yīng)用軟件和安全防護軟件等，共同構(gòu)成可信的系統(tǒng)應(yīng)用環(huán)境。“星融網(wǎng)”可能面臨各種安全威脅，因此必須根據(jù)空間任務(wù)的安全需求，合理高效地采取身份認(rèn)證、訪問控制、數(shù)據(jù)加密、安全審計、入侵檢測、容錯、災(zāi)難恢復(fù)等機制，并嚴(yán)格各種安全管理制度以保證應(yīng)用環(huán)境的安全。

應(yīng)用區(qū)域邊界安全：通過部署邊界保護措施控制對衛(wèi)星網(wǎng)絡(luò)、臨近空間網(wǎng)絡(luò)以及地面網(wǎng)絡(luò)等骨干網(wǎng)絡(luò)的訪問，保證“星融網(wǎng)”網(wǎng)絡(luò)系統(tǒng)的安全。由于空間鏈路的特點，“星融網(wǎng)”網(wǎng)絡(luò)中并不存在明顯的網(wǎng)絡(luò)邊界，但這也意味著任何一個骨干網(wǎng)絡(luò)節(jié)點都是網(wǎng)絡(luò)的邊界，需要通過采取安全接入、安全網(wǎng)關(guān)、防火墻等隔離過濾機制，將“星融網(wǎng)”與非法的接入節(jié)點隔離。

網(wǎng)絡(luò)和通信傳輸安全：包括實現(xiàn)衛(wèi)星網(wǎng)絡(luò)、臨近空間網(wǎng)絡(luò)與地面網(wǎng)絡(luò)內(nèi)部以及兩兩之間的互聯(lián)安全，確保通信的機密性、完整性和可用性。采用數(shù)據(jù)加密、完整性校驗和實體鑒別等機制，實現(xiàn)可信的安全連接；根據(jù)“星融網(wǎng)”的安全需求，分別在物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層實施安全機制以達(dá)到安全的信息傳輸。在具體實現(xiàn)時，每一層都可進行身份認(rèn)證和密鑰交換，如在網(wǎng)絡(luò)層采用IPSec協(xié)議，傳輸層使用SSL或TLS協(xié)議，從而保證通信數(shù)據(jù)的保密性和完整性，并能抵抗重放攻擊、鑒別數(shù)據(jù)的來源。

安全管理中心：提供衛(wèi)星網(wǎng)絡(luò)、臨近空間網(wǎng)絡(luò)和地面網(wǎng)絡(luò)中節(jié)點和子網(wǎng)的接入認(rèn)證、授權(quán)、訪問控制策略等服務(wù)；建立授權(quán)管理基礎(chǔ)設(shè)施PMI(Privilege Management Infrastructure)，由PMI負(fù)責(zé)向應(yīng)用系統(tǒng)提供相關(guān)的授權(quán)服務(wù)管理；除此之外，安全管理中心還負(fù)責(zé)對安全策略的建立、配置、實施和變更進行管理。

密碼管理中心：提供互連互通的密鑰配置、公鑰證書和傳統(tǒng)的對稱密碼管理，為“星融網(wǎng)”提供密碼服務(wù)。通過建立層次型的密碼管理中心，為“星融網(wǎng)”的骨干節(jié)點和各級用戶提供安全機制所需的密鑰的全生命周期管理。其中，公鑰基礎(chǔ)設(shè)施PKI提供對用戶證書的頒發(fā)、索引、認(rèn)證等公鑰相關(guān)服務(wù)，密鑰管理基礎(chǔ)設(shè)施KMI(Key Management Infrastructure)包括密鑰生成服務(wù)器、密鑰數(shù)據(jù)庫服務(wù)器和密鑰服務(wù)管理器等組成部分，提供統(tǒng)一的密鑰管理服務(wù)。

三、安全協(xié)議體系

“星融網(wǎng)”安全體系結(jié)構(gòu)具有綜合防護、多層立體設(shè)計的特點，在協(xié)議棧各層都有適當(dāng)?shù)陌踩珯C制，并且各層之間并不一定獨立，可以存在反饋信息，由位于各層的多種安全防護系統(tǒng)共同構(gòu)成安全保障體系結(jié)構(gòu)。

參考OSI安全分層及各層的安全服務(wù)配置，并考慮網(wǎng)絡(luò)的特點，“星融網(wǎng)”安全服務(wù)在各層的分配應(yīng)遵循以下基本原則：實現(xiàn)同種安全服務(wù)的不同方法越少越好；在多個協(xié)議層次上提供安全保護；只要一個實體依賴于低層實體提供的安全機制，那么任何中間層安全機制不能違反低層安全機制的要求；考慮各層的相關(guān)性，不孤立地研究各層的安全性。

根據(jù)空間任務(wù)的實際安全需求，安全服務(wù)可以在“星融網(wǎng)”網(wǎng)絡(luò)協(xié)議中的一個或多個層次上實施。“星融網(wǎng)”的協(xié)議棧分為物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層，按照上面的原則，各層提供的主要安全服務(wù)可以配置如下:

物理層：提供連接機密性、業(yè)務(wù)流機密性服務(wù)，提供完整性和可用性服務(wù)；

數(shù)據(jù)鏈路層：提供連接機密性和無連接機密性服務(wù)，同時提供完整性、可用性和認(rèn)證服務(wù)；

網(wǎng)絡(luò)層：可以在一定程度上提供認(rèn)證、訪問控制、機密性和完整性服務(wù)；

傳輸層：可以提供認(rèn)證、訪問控制、機密性和完整性服務(wù)；

應(yīng)用層：必須提供所有的安全服務(wù)，并且也是唯一能提供不可否認(rèn)性服務(wù)的協(xié)議層次。

根據(jù)“星融網(wǎng)”網(wǎng)絡(luò)的特點和空間應(yīng)用的要求，本文提出了分層立體的安全體系結(jié)構(gòu)模型和安全協(xié)議框架。但是，這種嚴(yán)格分層的體系結(jié)構(gòu)使得網(wǎng)絡(luò)協(xié)議的設(shè)計缺乏足夠的適應(yīng)性，不符合網(wǎng)絡(luò)動態(tài)變化的特點，往往可能使網(wǎng)絡(luò)的性能無法得到有效的保障。為了滿足“星融網(wǎng)”的特殊要求，可以采取跨層設(shè)計的思想，設(shè)計一種能夠在協(xié)議棧的多個層次支持自適應(yīng)和性能優(yōu)化的跨層安全體系結(jié)構(gòu)，綜合利用各層的信息，避免重復(fù)的操作或功能模塊，有可能顯著地提高網(wǎng)絡(luò)的綜合性能。不過，跨層設(shè)計的安全協(xié)議也破壞了傳統(tǒng)協(xié)議層次的抽象、透明的特點，不可避免地存在與現(xiàn)有協(xié)議的兼容性問題，并且增加了網(wǎng)絡(luò)管理的復(fù)雜性。因此，在進行跨層的安全體系結(jié)構(gòu)和安全協(xié)議設(shè)計時，需要在性能、兼容性和可維護性等指標(biāo)之間進行綜合權(quán)衡，并且應(yīng)慎重決策。

四、安全機制分析

為了實現(xiàn)“星融網(wǎng)”網(wǎng)絡(luò)間的各項安全服務(wù)，必須綜合應(yīng)用包括認(rèn)證、加密、數(shù)據(jù)完整性、訪問控制等主要安全機制，形成多層次全方位的安全技術(shù)防護體系，保障“星融網(wǎng)”的通信安全和應(yīng)用安全。

認(rèn)證

在“星融網(wǎng)”的主要應(yīng)用和大部分安全協(xié)議中，認(rèn)證機制是實現(xiàn)真實性安全服務(wù)的基本手段。認(rèn)證機制是通過密碼或其它技術(shù)使得一個實體向另一個實體證明某種聲稱的屬性的過程，其目的是阻止假冒攻擊，防止非授權(quán)節(jié)點接入和訪問網(wǎng)絡(luò)。認(rèn)證機制一般體現(xiàn)為通信雙方交互的認(rèn)證協(xié)議，可進一步分為實體認(rèn)證(身份認(rèn)證)協(xié)議、數(shù)據(jù)源認(rèn)證、認(rèn)證及密鑰交換協(xié)議等。認(rèn)證機制的實現(xiàn)主要涉及加密算法、數(shù)據(jù)完整性算法和數(shù)字簽名算法等密碼學(xué)方案。

“星融網(wǎng)”的軍事應(yīng)用對認(rèn)證機制提出了更高的要求，不僅對認(rèn)證過程本身的安全性要求很高，而且要求認(rèn)證速度快，信息傳輸量盡可能地少；另外“星融網(wǎng)”是一個多層次的異構(gòu)網(wǎng)絡(luò)，需要頻繁地進行跨域認(rèn)證、重認(rèn)證以及異構(gòu)網(wǎng)絡(luò)認(rèn)證，要求認(rèn)證過程具有高效性和可擴展性。因此，在“星融網(wǎng)”應(yīng)用中，應(yīng)根據(jù)不同具體應(yīng)用的場景、安全需求和安全級別，設(shè)計高速接入認(rèn)證，跨域認(rèn)證與異構(gòu)網(wǎng)絡(luò)認(rèn)證等不同的認(rèn)證方案和協(xié)議。

加密

由于“星融網(wǎng)”軍事應(yīng)用的高安全性要求，必須保證敏感信息的機密性，防止非授權(quán)用戶得到傳輸信息的內(nèi)容。信息加密機制是保證信息機密性的唯一方法，是“星融網(wǎng)”中的一項基本安全機制。

一般來說，“星融網(wǎng)”中密碼算法的選擇應(yīng)遵循安全強度高、加解密速度快、算法易于實現(xiàn)等基本原則，只有這樣，才能滿足空間應(yīng)用對密碼算法的安全性和實時性要求。對稱密碼算法和公鑰密碼算法均存在一些優(yōu)勢和局限性，應(yīng)根據(jù)這兩種密碼算法的特點，結(jié)合具體空間應(yīng)用或網(wǎng)絡(luò)協(xié)議的安全需求，選擇最適合的密碼算法。在“星融網(wǎng)”網(wǎng)絡(luò)安全體系結(jié)構(gòu)中，兩種密碼算法是互相補充、互相配合的關(guān)系。在某些需要提供認(rèn)證、簽名或者密鑰加密等功能的場合，宜采用公鑰密碼算法，可以在RSA、ECC(橢圓曲線密碼學(xué))、IBC(基于身份密碼學(xué))等密碼方案中進行選擇；而在需要高速加密運算的場合下，則宜采用對稱密碼算法，可以在DES、AES、RC4等分組密碼算法或流密碼算法中進行選擇。

完整性

在空間網(wǎng)絡(luò)環(huán)境下，實現(xiàn)傳輸數(shù)據(jù)的完整性校驗可以借鑒地面網(wǎng)絡(luò)中的方法，但必須結(jié)合“星融網(wǎng)”通信的特點，特別是減少通信開銷。單個數(shù)據(jù)單元的完整性可以通過完整性校驗字來實現(xiàn)，也可以使用單向雜湊函數(shù)方案；而數(shù)據(jù)流的完整性通常采用包的序列號和時間戳來實現(xiàn)。HMAC、各種數(shù)字簽名方案均為典型的數(shù)據(jù)完整性方案。

在設(shè)計空間網(wǎng)絡(luò)中具體的完整性方案時，還需要對傳輸?shù)臄?shù)據(jù)進行分類，如可簡要地分為控制數(shù)據(jù)(信令、指令)和用戶數(shù)據(jù)(普通用戶數(shù)據(jù)、敏感用戶數(shù)據(jù))等。由于不同類型的數(shù)據(jù)在數(shù)據(jù)長度、完整性需求等方面也不盡相同，必須針對不同的數(shù)據(jù)類型分別設(shè)計相應(yīng)的數(shù)據(jù)完整性保護方案。例如，對于控制數(shù)據(jù)，重放攻擊帶來的危害最為嚴(yán)重，因此必須保證控制數(shù)據(jù)包的序列號、新鮮數(shù)或時間戳的完整性；對于用戶數(shù)據(jù)，最嚴(yán)重的威脅可能來自于對數(shù)據(jù)內(nèi)容的篡改，因此必須保證用戶數(shù)據(jù)包整體的一致性。因此，對于控制數(shù)據(jù)，由于數(shù)據(jù)量小，實時性要求高，可以使用基于對稱密碼算法的完整性機制；對于用戶數(shù)據(jù)，由于數(shù)據(jù)量大，可以采用基于雜湊函數(shù)的數(shù)據(jù)完整性機制；而對于安全性更高的數(shù)據(jù)，則可采用基于公鑰密碼算法的方案。總之，對于“星融網(wǎng)”網(wǎng)絡(luò)中傳輸?shù)母鞣N不同的數(shù)據(jù)類型，需要根據(jù)實際情況進行合理分析，選擇并使用最適合的數(shù)據(jù)完整性機制和算法。

訪問控制

訪問控制是針對非授權(quán)使用者越權(quán)使用資源的防御措施，其目的是限制訪問主體(用戶、進程、服務(wù)等)對訪問客體(文件、系統(tǒng)、資源等)的訪問權(quán)限，使系統(tǒng)在合法范圍內(nèi)使用，保證各類網(wǎng)絡(luò)資源不被非法訪問和使用。訪問控制是“星融網(wǎng)”中最重要的安全機制之一。

一般來說，訪問控制機制和策略沒有優(yōu)劣的區(qū)別，只是在某些方面具有更好的安全性保護，或者說更適合于某種場合。在“星融網(wǎng)”中，不同的系統(tǒng)有不同的安全需求，對一個特定系統(tǒng)的訪問控制策略并不一定適用于其它系統(tǒng)。因此，必須根據(jù)“星融網(wǎng)”具體應(yīng)用的特點和安全需求，選擇最適合的訪問控制機制。另外，由于可能存在幾種訪問控制策略共同實施的情況，還必須考慮不同策略的整合方法，實現(xiàn)策略之間的信息交換。

五、結(jié)束語

本文針對“星融網(wǎng)”未來建設(shè)中網(wǎng)絡(luò)體系結(jié)構(gòu)可能存在的風(fēng)險，提出“星融網(wǎng)”安全體系結(jié)構(gòu)設(shè)計構(gòu)想，從安全保障體系、安全協(xié)議體系、安全機制分析三方面研究“星融網(wǎng)”安全體系結(jié)構(gòu)，找準(zhǔn)網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計的關(guān)鍵環(huán)節(jié)，為下一步開展“星融網(wǎng)”安全防護方案和關(guān)鍵技術(shù)研究奠定了基礎(chǔ)。