金 剛

(海軍計算技術研究所 北京 100841)

?

全艦計算環(huán)境安全體系結構研究*

金 剛

(海軍計算技術研究所 北京 100841)

對全艦計算環(huán)境中的安全保密需求進行了分析，提出了由硬件、系統(tǒng)、中間件和應用組成的全艦計算環(huán)境的安全結構框架；構建了由安全管理、安全適配單元、網(wǎng)絡安全單元、系統(tǒng)安全單元和應用安全單元組成的全艦計算環(huán)境安全功能結構；給出了全艦計算環(huán)境典型安全系統(tǒng)組成結構。

全艦計算環(huán)境； 安全結構框架； 安全功能結構

Class Number TP309.1

1 引言

1998 年，美國海軍水面戰(zhàn)中心(NSWC)第一次提出“全艦計算環(huán)境”(TSCE)的概念。全艦計算環(huán)境是一個包括C4ISR、作戰(zhàn)系統(tǒng)、船機電和岸基保障的全艦系統(tǒng)。通過全艦計算環(huán)境對指控情報、平臺控制、動力系統(tǒng)、武器系統(tǒng)等系統(tǒng)的軟件開發(fā)進行了規(guī)范和統(tǒng)一，采用大量商用計算機、服務器以及分布式中間件等商用現(xiàn)貨產(chǎn)品對系統(tǒng)進行集成，發(fā)揮系統(tǒng)整體資源優(yōu)勢[1]。

TSCE突出了“標準化、綜合化、一體化、自動化”的建設思路，解決了各作戰(zhàn)分系統(tǒng)集成時的“煙囪”問題，提供了高度集成、綜合一體、反應快速的高性能全艦電子信息裝備的通用、開放、共享的全艦計算環(huán)境，為水面艦艇部隊提供了一種可升級、可組織、可配置、可高水平完成系統(tǒng)集成和自動化操作的平臺，提升了交付新型作戰(zhàn)任務的能力。美國海軍新型驅(qū)逐艦DDG-1000作戰(zhàn)系統(tǒng)的核心就是TSCE。

全艦計算環(huán)境代表著下一代艦船計算環(huán)境的發(fā)展方向，本文重點研究全艦計算環(huán)境下的安全體系結構。

2 全艦計算環(huán)境

TSCE由上層的作戰(zhàn)應用軟件包和下層的“全艦計算環(huán)境基礎設施”(Total Ship Computing Environment infrastructure，TSCEi)兩部分組成。TSCEi通過將全艦的網(wǎng)絡設備、計算設備、存儲設備、顯示設備、內(nèi)部通信設備和內(nèi)部監(jiān)控設備等硬件設備以及一組核心、通用的基礎服務按照成熟的工業(yè)標準進行高效合理的組織，為上層的各種作戰(zhàn)應用提供一個通用、開放的計算、處理、通信和服務環(huán)境，支持艦艇使命所需要的計算任務的執(zhí)行，并且為其他應用程序和功能領域提供服務[2]。

按照OACE的標準化層次，TSCE分為五層，如圖1所示，分別是硬件層、操作系統(tǒng)層、中間件層、接口層和應用系統(tǒng)層。硬件層盡可能采用商用成品設備、通信協(xié)議也都是工業(yè)標準，操作系統(tǒng)層采用符合POSIX標準的操作系統(tǒng)，中間件層按照OMG標準封裝了各種基礎服務，艦艇上的應用系統(tǒng)構建在TSCE的接口層之上，通過標準服務接口調(diào)用的方式，組織和使用TSCEi的硬件和服務資源，完成各自的任務。

圖1 TSCE組成結構

通過高效合理地組織全艦的網(wǎng)絡、計算、存儲、顯示、內(nèi)部通信和監(jiān)視等硬件設備和一組通用的基礎服務，TSCE形成了一種即插即用的計算框架，支持各種作戰(zhàn)應用的快速集成。

TSCE由五個功能單元組成，包括人機接口單元、數(shù)據(jù)處理單元、網(wǎng)絡單元和適配性單元。

人機接口單元提供了操作人員和應用系統(tǒng)之間的交互能力；數(shù)據(jù)處理單元提供了應用系統(tǒng)安全、高效、便捷的數(shù)據(jù)訪問、處理和共享能力；網(wǎng)絡單元提供了全艦計算環(huán)境的內(nèi)部連接、通信和監(jiān)視能力；適配性單元提供了以嵌入式計算為基礎的導彈發(fā)射裝置、艦炮系統(tǒng)、雷達和聲納探測等系統(tǒng)之間以及嵌入式系統(tǒng)和非嵌入式系統(tǒng)之間的互聯(lián)互通能力。

3 全艦計算環(huán)境安全需求分析

1) 全艦計算環(huán)境應用安全需求帶來的標準化安全服務組件構建需求

不管是傳統(tǒng)方式還是全艦計算環(huán)境下，應用安全需求一直存在，例如，全艦計算環(huán)境下的身份認證、授權訪問、數(shù)據(jù)存儲保護等，跨節(jié)點的遠程加密、簽名驗證等。

傳統(tǒng)方式下安全服務通常定制于各類應用系統(tǒng)中，實施安全服務的硬件、軟件為應用系統(tǒng)專用。隨著全艦計算環(huán)境標準化、綜合化、一體化計算框架的構建，互操作性是全艦計算環(huán)境的基礎，服務用戶與服務提供者之間、服務提供者與安全服務之間的接口必須一致，這就要求安全服務要遵循全艦計算環(huán)境服務標準和開發(fā)要求，為各類應用系統(tǒng)提供標準化的安全服務。

2) 全艦計算環(huán)境基礎資源統(tǒng)一分配帶來的安全需求

傳統(tǒng)方式下情報、指揮、控制等系統(tǒng)基本上獨立構建，系統(tǒng)之間定義了一套安全交互方式。全艦計算環(huán)境方式下，原有系統(tǒng)獨自使用的物理資源演變成全艦共享使用，原有安全機制重點放在物理所有權和控制權上，而現(xiàn)在安全的重點要放在基于全艦計算環(huán)境的用戶、資源、安全訪問等邏輯層面上。

為實施基礎資源統(tǒng)一分配，全艦計算環(huán)境采用了面向服務架構技術，服務組件為最基本的功能單元。每個服務組件都有認證、授權、機密性、完整性、不可抵賴性等基本安全需求。

認證是指服務提供者要求在提供服務時對用戶進行驗證，用戶也可對服務提供者進行驗證。

授權是指用戶需要擁有某些權限才能訪問服務。權限檢查可采用強制訪問控制策略或基于角色的訪問控制策略。

機密性對用戶和服務間傳輸?shù)幕緝?nèi)容如消息或文件進行保護，防止未授權第三方獲取。

完整性對傳輸中的消息或文件提供保護，防止非授權替換。

不可抵賴性防止用戶否認曾參與過某一信息交流，確保發(fā)方不可否認已經(jīng)發(fā)送的消息和收方不可否認已經(jīng)收到的消息。

上述服務安全需求在全艦計算環(huán)境資源統(tǒng)一分配的背景下要求全艦具有統(tǒng)一的身份標識、授權和密碼管理設施。在管理設施的統(tǒng)一管理下，各安全服務組件與其它服務組件共同配合建立安全的計算環(huán)境。

4 全艦計算環(huán)境安全體系結構

4.1 全艦計算環(huán)境安全結構框架

根據(jù)全艦計算環(huán)境安全需求，全艦計算環(huán)境的安全結構框架如圖2所示。

全艦計算環(huán)境安全結構框架分為物理層、操作系統(tǒng)層、中間件層和應用層。

其中物理層包括嵌入式安全模塊和獨立式安全設備兩類。其中嵌入式安全模塊可嵌入計算、存儲、交換設備中。獨立式安全設備以單獨的物理形態(tài)存在。

操作系統(tǒng)層包括操作系統(tǒng)安全插件和網(wǎng)絡安全插件。上述插件直接作為操作系統(tǒng)的一部分存在，為中間件和應用層提供透明的安全服務。這類安全服務直接面向應用，為應用安全使用系統(tǒng)級資源服務。

圖2 全艦計算環(huán)境安全結構框架

中間件層提供標準的安全管理服務和安全服務，包括安全管理中間件和安全服務中間件。其中，安全管理中間件提供安全管理服務。安全服務中間件提供身份驗證、授權訪問、加密、完整性驗證、簽名驗證等安全服務。

應用層包括通信管理、指揮控制、武器控制等作戰(zhàn)應用，使用安全服務完成作戰(zhàn)信息存儲、傳輸和控制的安全。

4.2 全艦計算環(huán)境安全功能結構

從安全功能的角度，全艦計算環(huán)境安全功能結構組成如圖3所示。安全功能結構包括安全管理單元、安全適配單元、網(wǎng)絡安全單元、系統(tǒng)安全單元和應用安全單元。

安全管理單元分為兩部分，一部分作為獨立的安全管理基礎設施存在，一部分作為計算環(huán)境側的安全管理組件存在。通過安全管理組件各安全服務組件接受安全管理基礎設施的管理。

圖3 全艦計算環(huán)境安全功能單元架

安全管理單元包括密碼管理、身份管理、授權管理和審計管理。其中密碼管理完成密碼資源的產(chǎn)生和分發(fā)。身份管理完成用戶和平臺的身份標識。授權管理完成用戶/應用與資源間、網(wǎng)絡要素間的訪問控制策略設置和維護。審計管理完成系統(tǒng)重要安全事件的記錄和管理。

安全適配單元包括嵌入式安全組件和嵌入式安全適配組件。其中嵌入式安全組件是指嵌入作戰(zhàn)、通信和武器平臺中的安全功能模塊，這類安全功能模塊形態(tài)可為硬件和軟件。嵌入式安全適配組件完成嵌入式安全組件與非嵌入式安全組件之間的互聯(lián)互通。

網(wǎng)絡安全單元包括網(wǎng)絡層/傳輸層/服務層傳輸加密組件，網(wǎng)絡訪問控制組件和網(wǎng)絡安全隔離組件。網(wǎng)絡層/傳輸層/服務層傳輸加密組件分別針對艦內(nèi)傳輸協(xié)議的IP層、傳輸層、分布式交互服務層提供信息加密和完整性驗證服務。網(wǎng)絡訪問控制組件對IP地址、端口等進行授權訪問控制。網(wǎng)絡安全隔離組件對艦內(nèi)重要網(wǎng)絡實施隔離防護。

系統(tǒng)安全單元包括數(shù)據(jù)庫/網(wǎng)絡/磁盤/文件存儲加密組件，計算/存儲資源訪問控制組件，病毒防范/可信計算組件。數(shù)據(jù)庫/網(wǎng)絡/磁盤/文件存儲加密組件分別針對數(shù)據(jù)庫、網(wǎng)絡存儲、磁盤存儲、文件提供加密服務。計算/存儲資源訪問控制組件針對不同用戶提供虛擬機、計算單元、存儲空間授權訪問控制。病毒防范/可信計算組件為用戶提供系統(tǒng)引導以及操作系統(tǒng)環(huán)境建立過程的完整性驗證，防止病毒對操作系統(tǒng)環(huán)境的完整性破壞。

應用安全單元包括應用傳輸保護組件、應用存儲保護組件、應用資源訪問控制組件、身份認證/數(shù)字簽名組件。應用傳輸/存儲保護組件為應用之間的信息傳輸以及應用信息的存儲提供加密和完整性驗證服務。應用資源訪問控制組件提供應用用戶對應用資源的授權訪問機制。身份認證/數(shù)字簽名組件提供應用用戶身份驗證以及用戶發(fā)送信息的簽名驗證服務功能。

4.3 全艦計算環(huán)境安全關鍵技術

1) 用戶身份、重要關鍵資源全系統(tǒng)統(tǒng)一鑒別和標識技術

全艦計算環(huán)境中，原有業(yè)務系統(tǒng)分散的終端和服務器計算資源發(fā)展為全艦共享計算資源，計算資源集中，面臨的安全風險也集中在服務器側，采用原有的分散安全控制措施將無法徹底解決信息處理環(huán)境中的密碼保密問題，必須提供集中統(tǒng)一的安全保密控制措施。

對于計算環(huán)境內(nèi)多業(yè)務用戶對各類資源交叉訪問的情況，必須進行嚴格的多安全級別訪問控制策略。對于計算服務器上的主體和客體都需要進行統(tǒng)一的身份驗證，進行訪問控制，重要關鍵資源需要有唯一的安全標識。

2) 安全模塊/設備標準化適配技術。

標準化隱含著密碼模塊硬件接口、邏輯接口的標準化。與建立滿足各型艦載終端、服務器相配套的標準化安全模塊硬件，滿足各類作戰(zhàn)業(yè)務的不同密級和不同種類的安全服務構件，安全服務構件與全艦公共計算環(huán)境技術體制保持一致。

3) 虛擬網(wǎng)絡隔離技術

全艦計算環(huán)境下，虛擬化技術讓各自成組相關聯(lián)的虛擬機運行在獨立的物理主機上，虛擬機群之間的連接通過虛擬網(wǎng)卡和真實網(wǎng)卡來實現(xiàn)[3]。在虛擬網(wǎng)絡條件下，網(wǎng)絡通信節(jié)點為虛擬機，虛擬網(wǎng)絡和普通網(wǎng)絡不同，網(wǎng)絡的最小單元不是物理機，而是把所有的物理機看成是一個簡單的交換機，交換機下面接著一組虛擬機。虛擬網(wǎng)絡隔離技術通過將虛擬網(wǎng)絡資源和網(wǎng)絡虛擬機按照安全規(guī)則劃分成不同的邏輯安全區(qū)域。

4) 安全服務中間件技術。

安全服務中間件包括安全適配軟件和安全服務中間件[4]。安全適配軟件用于對安全設備和安全服務中間件進行安裝、配置管理等操作，安全設備驅(qū)動等。安全服務中間件以透明方式或API調(diào)用方式與密碼裝備配合提供各類安全密碼服務構件。

5 結語

隨著全艦計算環(huán)境標準化、綜合化、一體化計算框架的構建，對全艦計算環(huán)境的安全保密能力提出了標準化、服務化、一體化的新需求。根據(jù)新的安全需求全艦計算環(huán)境安全體系結構由傳統(tǒng)的分散獨立式安全服務轉(zhuǎn)換為由硬件層、系統(tǒng)層、中間件層組成的面向服務架構的標準式安全服務架構。通過新型體系結構的構建，一方面對應用系統(tǒng)屏蔽了不同種類安全功能模塊的軟硬件結構的差異，另一方面隨著全艦計算環(huán)境的逐步應用，增強了系統(tǒng)的安全/密碼服務的互通能力。

[1] 董曉明,馮浩.全艦計算環(huán)境體系結構和系統(tǒng)集成框架[J].中國艦船研究,2014,9(1):8-13.

[2] 董曉明,石朝明.美海軍DDG-1000全艦計算環(huán)境體系結構探析[J].中國艦船研究,2012,7(6):7-15.

[3] 張玉清,王曉菲,劉雪峰,等.云計算安全綜述[J].軟件學報,2016,27(6):1328-1348.

[4] 馮登國,張敏,張研,等.云計算安全研究[J].軟件學報,2011,22(1):71-83.

[5] 張義勇,黃清海.美國新一代多用途驅(qū)逐艦DDG—1000工程控制系統(tǒng)分析[J].中國艦船研究,2013,42(4):89-98.

[6] 張晏,岑榮偉,沈宇超,等.云計算環(huán)境下密碼資源池系統(tǒng)的應用[J].信息安全研究,2016,2(6):558-561.

[7] Masters M W. Total ship computing risk analysis[C/OL]//DARPA Quorum PI Conference, November, 1998.[2012-02012]. http://citeseerx.ist.psu.edu./viewdoc/download?doi=10.1.1.196.8139 &rep=rep1&type=pdf.

[8] CRISCOM D.AEGIS Open architecture[C/OL]//Asia Pacific Systems Engineering Conference(Adelaide), 2007. [2012-03-01]. http://www.globalsecurity.org/military/systems/aegis_oa.htm.

[9] PEO IWS. Open architecture computing enviroment design guidance, version 1.0[S/OL]. 2004.[2012-02-15]. http://www.everyspec.com/USN/NSWC/download.php?spec=OACE_DSN_GUIDANCE_VER_1.011546.pdf.

[10] 程斌,潘偉文.船舶設計教程[M].上海:上海交通大學出版社,1998.

Security Architecture of Total Ship Computing Environment

JIN Gang

(Computer Technology Institute of Navy, Beijing 100841)

The security requirement of total ship computing environment is analyzed. The security framework composed of hardware, system and medium components are put forward. The security function structure includes security management, security adaption unit, network security unit, system security unit and application security unit. At last the security system construction is put forward.

total ship computing environment, security framework, security function structure

2016年5月1日,

2016年6月24日

金剛,男,碩士,高級工程師,研究方向：信息系統(tǒng)安全。

TP309.1

10.3969/j.issn.1672-9730.2016.11.002