全艦計(jì)算環(huán)境安全體系結(jié)構(gòu)研究*

金 剛

(海軍計(jì)算技術(shù)研究所 北京 100841)

?

全艦計(jì)算環(huán)境安全體系結(jié)構(gòu)研究*

金 剛

(海軍計(jì)算技術(shù)研究所 北京 100841)

對(duì)全艦計(jì)算環(huán)境中的安全保密需求進(jìn)行了分析，提出了由硬件、系統(tǒng)、中間件和應(yīng)用組成的全艦計(jì)算環(huán)境的安全結(jié)構(gòu)框架；構(gòu)建了由安全管理、安全適配單元、網(wǎng)絡(luò)安全單元、系統(tǒng)安全單元和應(yīng)用安全單元組成的全艦計(jì)算環(huán)境安全功能結(jié)構(gòu)；給出了全艦計(jì)算環(huán)境典型安全系統(tǒng)組成結(jié)構(gòu)。

全艦計(jì)算環(huán)境； 安全結(jié)構(gòu)框架； 安全功能結(jié)構(gòu)

Class Number TP309.1

1 引言

1998 年，美國(guó)海軍水面戰(zhàn)中心(NSWC)第一次提出“全艦計(jì)算環(huán)境”(TSCE)的概念。全艦計(jì)算環(huán)境是一個(gè)包括C4ISR、作戰(zhàn)系統(tǒng)、船機(jī)電和岸基保障的全艦系統(tǒng)。通過(guò)全艦計(jì)算環(huán)境對(duì)指控情報(bào)、平臺(tái)控制、動(dòng)力系統(tǒng)、武器系統(tǒng)等系統(tǒng)的軟件開發(fā)進(jìn)行了規(guī)范和統(tǒng)一，采用大量商用計(jì)算機(jī)、服務(wù)器以及分布式中間件等商用現(xiàn)貨產(chǎn)品對(duì)系統(tǒng)進(jìn)行集成，發(fā)揮系統(tǒng)整體資源優(yōu)勢(shì)[1]。

TSCE突出了“標(biāo)準(zhǔn)化、綜合化、一體化、自動(dòng)化”的建設(shè)思路，解決了各作戰(zhàn)分系統(tǒng)集成時(shí)的“煙囪”問(wèn)題，提供了高度集成、綜合一體、反應(yīng)快速的高性能全艦電子信息裝備的通用、開放、共享的全艦計(jì)算環(huán)境，為水面艦艇部隊(duì)提供了一種可升級(jí)、可組織、可配置、可高水平完成系統(tǒng)集成和自動(dòng)化操作的平臺(tái)，提升了交付新型作戰(zhàn)任務(wù)的能力。美國(guó)海軍新型驅(qū)逐艦DDG-1000作戰(zhàn)系統(tǒng)的核心就是TSCE。

全艦計(jì)算環(huán)境代表著下一代艦船計(jì)算環(huán)境的發(fā)展方向，本文重點(diǎn)研究全艦計(jì)算環(huán)境下的安全體系結(jié)構(gòu)。

2 全艦計(jì)算環(huán)境

TSCE由上層的作戰(zhàn)應(yīng)用軟件包和下層的“全艦計(jì)算環(huán)境基礎(chǔ)設(shè)施”(Total Ship Computing Environment infrastructure，TSCEi)兩部分組成。TSCEi通過(guò)將全艦的網(wǎng)絡(luò)設(shè)備、計(jì)算設(shè)備、存儲(chǔ)設(shè)備、顯示設(shè)備、內(nèi)部通信設(shè)備和內(nèi)部監(jiān)控設(shè)備等硬件設(shè)備以及一組核心、通用的基礎(chǔ)服務(wù)按照成熟的工業(yè)標(biāo)準(zhǔn)進(jìn)行高效合理的組織，為上層的各種作戰(zhàn)應(yīng)用提供一個(gè)通用、開放的計(jì)算、處理、通信和服務(wù)環(huán)境，支持艦艇使命所需要的計(jì)算任務(wù)的執(zhí)行，并且為其他應(yīng)用程序和功能領(lǐng)域提供服務(wù)[2]。

按照OACE的標(biāo)準(zhǔn)化層次，TSCE分為五層，如圖1所示，分別是硬件層、操作系統(tǒng)層、中間件層、接口層和應(yīng)用系統(tǒng)層。硬件層盡可能采用商用成品設(shè)備、通信協(xié)議也都是工業(yè)標(biāo)準(zhǔn)，操作系統(tǒng)層采用符合POSIX標(biāo)準(zhǔn)的操作系統(tǒng)，中間件層按照OMG標(biāo)準(zhǔn)封裝了各種基礎(chǔ)服務(wù)，艦艇上的應(yīng)用系統(tǒng)構(gòu)建在TSCE的接口層之上，通過(guò)標(biāo)準(zhǔn)服務(wù)接口調(diào)用的方式，組織和使用TSCEi的硬件和服務(wù)資源，完成各自的任務(wù)。

圖1 TSCE組成結(jié)構(gòu)

通過(guò)高效合理地組織全艦的網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)、顯示、內(nèi)部通信和監(jiān)視等硬件設(shè)備和一組通用的基礎(chǔ)服務(wù)，TSCE形成了一種即插即用的計(jì)算框架，支持各種作戰(zhàn)應(yīng)用的快速集成。

TSCE由五個(gè)功能單元組成，包括人機(jī)接口單元、數(shù)據(jù)處理單元、網(wǎng)絡(luò)單元和適配性單元。

人機(jī)接口單元提供了操作人員和應(yīng)用系統(tǒng)之間的交互能力；數(shù)據(jù)處理單元提供了應(yīng)用系統(tǒng)安全、高效、便捷的數(shù)據(jù)訪問(wèn)、處理和共享能力；網(wǎng)絡(luò)單元提供了全艦計(jì)算環(huán)境的內(nèi)部連接、通信和監(jiān)視能力；適配性單元提供了以嵌入式計(jì)算為基礎(chǔ)的導(dǎo)彈發(fā)射裝置、艦炮系統(tǒng)、雷達(dá)和聲納探測(cè)等系統(tǒng)之間以及嵌入式系統(tǒng)和非嵌入式系統(tǒng)之間的互聯(lián)互通能力。

3 全艦計(jì)算環(huán)境安全需求分析

1) 全艦計(jì)算環(huán)境應(yīng)用安全需求帶來(lái)的標(biāo)準(zhǔn)化安全服務(wù)組件構(gòu)建需求

不管是傳統(tǒng)方式還是全艦計(jì)算環(huán)境下，應(yīng)用安全需求一直存在，例如，全艦計(jì)算環(huán)境下的身份認(rèn)證、授權(quán)訪問(wèn)、數(shù)據(jù)存儲(chǔ)保護(hù)等，跨節(jié)點(diǎn)的遠(yuǎn)程加密、簽名驗(yàn)證等。

傳統(tǒng)方式下安全服務(wù)通常定制于各類應(yīng)用系統(tǒng)中，實(shí)施安全服務(wù)的硬件、軟件為應(yīng)用系統(tǒng)專用。隨著全艦計(jì)算環(huán)境標(biāo)準(zhǔn)化、綜合化、一體化計(jì)算框架的構(gòu)建，互操作性是全艦計(jì)算環(huán)境的基礎(chǔ)，服務(wù)用戶與服務(wù)提供者之間、服務(wù)提供者與安全服務(wù)之間的接口必須一致，這就要求安全服務(wù)要遵循全艦計(jì)算環(huán)境服務(wù)標(biāo)準(zhǔn)和開發(fā)要求，為各類應(yīng)用系統(tǒng)提供標(biāo)準(zhǔn)化的安全服務(wù)。

2) 全艦計(jì)算環(huán)境基礎(chǔ)資源統(tǒng)一分配帶來(lái)的安全需求

傳統(tǒng)方式下情報(bào)、指揮、控制等系統(tǒng)基本上獨(dú)立構(gòu)建，系統(tǒng)之間定義了一套安全交互方式。全艦計(jì)算環(huán)境方式下，原有系統(tǒng)獨(dú)自使用的物理資源演變成全艦共享使用，原有安全機(jī)制重點(diǎn)放在物理所有權(quán)和控制權(quán)上，而現(xiàn)在安全的重點(diǎn)要放在基于全艦計(jì)算環(huán)境的用戶、資源、安全訪問(wèn)等邏輯層面上。

為實(shí)施基礎(chǔ)資源統(tǒng)一分配，全艦計(jì)算環(huán)境采用了面向服務(wù)架構(gòu)技術(shù)，服務(wù)組件為最基本的功能單元。每個(gè)服務(wù)組件都有認(rèn)證、授權(quán)、機(jī)密性、完整性、不可抵賴性等基本安全需求。

認(rèn)證是指服務(wù)提供者要求在提供服務(wù)時(shí)對(duì)用戶進(jìn)行驗(yàn)證，用戶也可對(duì)服務(wù)提供者進(jìn)行驗(yàn)證。

授權(quán)是指用戶需要擁有某些權(quán)限才能訪問(wèn)服務(wù)。權(quán)限檢查可采用強(qiáng)制訪問(wèn)控制策略或基于角色的訪問(wèn)控制策略。

機(jī)密性對(duì)用戶和服務(wù)間傳輸?shù)幕緝?nèi)容如消息或文件進(jìn)行保護(hù)，防止未授權(quán)第三方獲取。

完整性對(duì)傳輸中的消息或文件提供保護(hù)，防止非授權(quán)替換。

不可抵賴性防止用戶否認(rèn)曾參與過(guò)某一信息交流，確保發(fā)方不可否認(rèn)已經(jīng)發(fā)送的消息和收方不可否認(rèn)已經(jīng)收到的消息。

上述服務(wù)安全需求在全艦計(jì)算環(huán)境資源統(tǒng)一分配的背景下要求全艦具有統(tǒng)一的身份標(biāo)識(shí)、授權(quán)和密碼管理設(shè)施。在管理設(shè)施的統(tǒng)一管理下，各安全服務(wù)組件與其它服務(wù)組件共同配合建立安全的計(jì)算環(huán)境。

4 全艦計(jì)算環(huán)境安全體系結(jié)構(gòu)

4.1 全艦計(jì)算環(huán)境安全結(jié)構(gòu)框架

根據(jù)全艦計(jì)算環(huán)境安全需求，全艦計(jì)算環(huán)境的安全結(jié)構(gòu)框架如圖2所示。

全艦計(jì)算環(huán)境安全結(jié)構(gòu)框架分為物理層、操作系統(tǒng)層、中間件層和應(yīng)用層。

其中物理層包括嵌入式安全模塊和獨(dú)立式安全設(shè)備兩類。其中嵌入式安全模塊可嵌入計(jì)算、存儲(chǔ)、交換設(shè)備中。獨(dú)立式安全設(shè)備以單獨(dú)的物理形態(tài)存在。

操作系統(tǒng)層包括操作系統(tǒng)安全插件和網(wǎng)絡(luò)安全插件。上述插件直接作為操作系統(tǒng)的一部分存在，為中間件和應(yīng)用層提供透明的安全服務(wù)。這類安全服務(wù)直接面向應(yīng)用，為應(yīng)用安全使用系統(tǒng)級(jí)資源服務(wù)。

圖2 全艦計(jì)算環(huán)境安全結(jié)構(gòu)框架

中間件層提供標(biāo)準(zhǔn)的安全管理服務(wù)和安全服務(wù)，包括安全管理中間件和安全服務(wù)中間件。其中，安全管理中間件提供安全管理服務(wù)。安全服務(wù)中間件提供身份驗(yàn)證、授權(quán)訪問(wèn)、加密、完整性驗(yàn)證、簽名驗(yàn)證等安全服務(wù)。

應(yīng)用層包括通信管理、指揮控制、武器控制等作戰(zhàn)應(yīng)用，使用安全服務(wù)完成作戰(zhàn)信息存儲(chǔ)、傳輸和控制的安全。

4.2 全艦計(jì)算環(huán)境安全功能結(jié)構(gòu)

從安全功能的角度，全艦計(jì)算環(huán)境安全功能結(jié)構(gòu)組成如圖3所示。安全功能結(jié)構(gòu)包括安全管理單元、安全適配單元、網(wǎng)絡(luò)安全單元、系統(tǒng)安全單元和應(yīng)用安全單元。

安全管理單元分為兩部分，一部分作為獨(dú)立的安全管理基礎(chǔ)設(shè)施存在，一部分作為計(jì)算環(huán)境側(cè)的安全管理組件存在。通過(guò)安全管理組件各安全服務(wù)組件接受安全管理基礎(chǔ)設(shè)施的管理。

圖3 全艦計(jì)算環(huán)境安全功能單元架

安全管理單元包括密碼管理、身份管理、授權(quán)管理和審計(jì)管理。其中密碼管理完成密碼資源的產(chǎn)生和分發(fā)。身份管理完成用戶和平臺(tái)的身份標(biāo)識(shí)。授權(quán)管理完成用戶/應(yīng)用與資源間、網(wǎng)絡(luò)要素間的訪問(wèn)控制策略設(shè)置和維護(hù)。審計(jì)管理完成系統(tǒng)重要安全事件的記錄和管理。

安全適配單元包括嵌入式安全組件和嵌入式安全適配組件。其中嵌入式安全組件是指嵌入作戰(zhàn)、通信和武器平臺(tái)中的安全功能模塊，這類安全功能模塊形態(tài)可為硬件和軟件。嵌入式安全適配組件完成嵌入式安全組件與非嵌入式安全組件之間的互聯(lián)互通。

網(wǎng)絡(luò)安全單元包括網(wǎng)絡(luò)層/傳輸層/服務(wù)層傳輸加密組件，網(wǎng)絡(luò)訪問(wèn)控制組件和網(wǎng)絡(luò)安全隔離組件。網(wǎng)絡(luò)層/傳輸層/服務(wù)層傳輸加密組件分別針對(duì)艦內(nèi)傳輸協(xié)議的IP層、傳輸層、分布式交互服務(wù)層提供信息加密和完整性驗(yàn)證服務(wù)。網(wǎng)絡(luò)訪問(wèn)控制組件對(duì)IP地址、端口等進(jìn)行授權(quán)訪問(wèn)控制。網(wǎng)絡(luò)安全隔離組件對(duì)艦內(nèi)重要網(wǎng)絡(luò)實(shí)施隔離防護(hù)。

系統(tǒng)安全單元包括數(shù)據(jù)庫(kù)/網(wǎng)絡(luò)/磁盤/文件存儲(chǔ)加密組件，計(jì)算/存儲(chǔ)資源訪問(wèn)控制組件，病毒防范/可信計(jì)算組件。數(shù)據(jù)庫(kù)/網(wǎng)絡(luò)/磁盤/文件存儲(chǔ)加密組件分別針對(duì)數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)存儲(chǔ)、磁盤存儲(chǔ)、文件提供加密服務(wù)。計(jì)算/存儲(chǔ)資源訪問(wèn)控制組件針對(duì)不同用戶提供虛擬機(jī)、計(jì)算單元、存儲(chǔ)空間授權(quán)訪問(wèn)控制。病毒防范/可信計(jì)算組件為用戶提供系統(tǒng)引導(dǎo)以及操作系統(tǒng)環(huán)境建立過(guò)程的完整性驗(yàn)證，防止病毒對(duì)操作系統(tǒng)環(huán)境的完整性破壞。

應(yīng)用安全單元包括應(yīng)用傳輸保護(hù)組件、應(yīng)用存儲(chǔ)保護(hù)組件、應(yīng)用資源訪問(wèn)控制組件、身份認(rèn)證/數(shù)字簽名組件。應(yīng)用傳輸/存儲(chǔ)保護(hù)組件為應(yīng)用之間的信息傳輸以及應(yīng)用信息的存儲(chǔ)提供加密和完整性驗(yàn)證服務(wù)。應(yīng)用資源訪問(wèn)控制組件提供應(yīng)用用戶對(duì)應(yīng)用資源的授權(quán)訪問(wèn)機(jī)制。身份認(rèn)證/數(shù)字簽名組件提供應(yīng)用用戶身份驗(yàn)證以及用戶發(fā)送信息的簽名驗(yàn)證服務(wù)功能。

4.3 全艦計(jì)算環(huán)境安全關(guān)鍵技術(shù)

1) 用戶身份、重要關(guān)鍵資源全系統(tǒng)統(tǒng)一鑒別和標(biāo)識(shí)技術(shù)

全艦計(jì)算環(huán)境中，原有業(yè)務(wù)系統(tǒng)分散的終端和服務(wù)器計(jì)算資源發(fā)展為全艦共享計(jì)算資源，計(jì)算資源集中，面臨的安全風(fēng)險(xiǎn)也集中在服務(wù)器側(cè)，采用原有的分散安全控制措施將無(wú)法徹底解決信息處理環(huán)境中的密碼保密問(wèn)題，必須提供集中統(tǒng)一的安全保密控制措施。

對(duì)于計(jì)算環(huán)境內(nèi)多業(yè)務(wù)用戶對(duì)各類資源交叉訪問(wèn)的情況，必須進(jìn)行嚴(yán)格的多安全級(jí)別訪問(wèn)控制策略。對(duì)于計(jì)算服務(wù)器上的主體和客體都需要進(jìn)行統(tǒng)一的身份驗(yàn)證，進(jìn)行訪問(wèn)控制，重要關(guān)鍵資源需要有唯一的安全標(biāo)識(shí)。

2) 安全模塊/設(shè)備標(biāo)準(zhǔn)化適配技術(shù)。

標(biāo)準(zhǔn)化隱含著密碼模塊硬件接口、邏輯接口的標(biāo)準(zhǔn)化。與建立滿足各型艦載終端、服務(wù)器相配套的標(biāo)準(zhǔn)化安全模塊硬件，滿足各類作戰(zhàn)業(yè)務(wù)的不同密級(jí)和不同種類的安全服務(wù)構(gòu)件，安全服務(wù)構(gòu)件與全艦公共計(jì)算環(huán)境技術(shù)體制保持一致。

3) 虛擬網(wǎng)絡(luò)隔離技術(shù)

全艦計(jì)算環(huán)境下，虛擬化技術(shù)讓各自成組相關(guān)聯(lián)的虛擬機(jī)運(yùn)行在獨(dú)立的物理主機(jī)上，虛擬機(jī)群之間的連接通過(guò)虛擬網(wǎng)卡和真實(shí)網(wǎng)卡來(lái)實(shí)現(xiàn)[3]。在虛擬網(wǎng)絡(luò)條件下，網(wǎng)絡(luò)通信節(jié)點(diǎn)為虛擬機(jī)，虛擬網(wǎng)絡(luò)和普通網(wǎng)絡(luò)不同，網(wǎng)絡(luò)的最小單元不是物理機(jī)，而是把所有的物理機(jī)看成是一個(gè)簡(jiǎn)單的交換機(jī)，交換機(jī)下面接著一組虛擬機(jī)。虛擬網(wǎng)絡(luò)隔離技術(shù)通過(guò)將虛擬網(wǎng)絡(luò)資源和網(wǎng)絡(luò)虛擬機(jī)按照安全規(guī)則劃分成不同的邏輯安全區(qū)域。

4) 安全服務(wù)中間件技術(shù)。

安全服務(wù)中間件包括安全適配軟件和安全服務(wù)中間件[4]。安全適配軟件用于對(duì)安全設(shè)備和安全服務(wù)中間件進(jìn)行安裝、配置管理等操作，安全設(shè)備驅(qū)動(dòng)等。安全服務(wù)中間件以透明方式或API調(diào)用方式與密碼裝備配合提供各類安全密碼服務(wù)構(gòu)件。

5 結(jié)語(yǔ)

隨著全艦計(jì)算環(huán)境標(biāo)準(zhǔn)化、綜合化、一體化計(jì)算框架的構(gòu)建，對(duì)全艦計(jì)算環(huán)境的安全保密能力提出了標(biāo)準(zhǔn)化、服務(wù)化、一體化的新需求。根據(jù)新的安全需求全艦計(jì)算環(huán)境安全體系結(jié)構(gòu)由傳統(tǒng)的分散獨(dú)立式安全服務(wù)轉(zhuǎn)換為由硬件層、系統(tǒng)層、中間件層組成的面向服務(wù)架構(gòu)的標(biāo)準(zhǔn)式安全服務(wù)架構(gòu)。通過(guò)新型體系結(jié)構(gòu)的構(gòu)建，一方面對(duì)應(yīng)用系統(tǒng)屏蔽了不同種類安全功能模塊的軟硬件結(jié)構(gòu)的差異，另一方面隨著全艦計(jì)算環(huán)境的逐步應(yīng)用，增強(qiáng)了系統(tǒng)的安全/密碼服務(wù)的互通能力。

[1] 董曉明,馮浩.全艦計(jì)算環(huán)境體系結(jié)構(gòu)和系統(tǒng)集成框架[J].中國(guó)艦船研究,2014,9(1):8-13.

[2] 董曉明,石朝明.美海軍DDG-1000全艦計(jì)算環(huán)境體系結(jié)構(gòu)探析[J].中國(guó)艦船研究,2012,7(6):7-15.

[3] 張玉清,王曉菲,劉雪峰,等.云計(jì)算安全綜述[J].軟件學(xué)報(bào),2016,27(6):1328-1348.

[4] 馮登國(guó),張敏,張研,等.云計(jì)算安全研究[J].軟件學(xué)報(bào),2011,22(1):71-83.

[5] 張義勇,黃清海.美國(guó)新一代多用途驅(qū)逐艦DDG—1000工程控制系統(tǒng)分析[J].中國(guó)艦船研究,2013,42(4):89-98.

[6] 張晏,岑榮偉,沈宇超,等.云計(jì)算環(huán)境下密碼資源池系統(tǒng)的應(yīng)用[J].信息安全研究,2016,2(6):558-561.

[7] Masters M W. Total ship computing risk analysis[C/OL]//DARPA Quorum PI Conference, November, 1998.[2012-02012]. http://citeseerx.ist.psu.edu./viewdoc/download?doi=10.1.1.196.8139 &rep=rep1&type=pdf.

[8] CRISCOM D.AEGIS Open architecture[C/OL]//Asia Pacific Systems Engineering Conference(Adelaide), 2007. [2012-03-01]. http://www.globalsecurity.org/military/systems/aegis_oa.htm.

[9] PEO IWS. Open architecture computing enviroment design guidance, version 1.0[S/OL]. 2004.[2012-02-15]. http://www.everyspec.com/USN/NSWC/download.php?spec=OACE_DSN_GUIDANCE_VER_1.011546.pdf.

[10] 程斌,潘偉文.船舶設(shè)計(jì)教程[M].上海:上海交通大學(xué)出版社,1998.

Security Architecture of Total Ship Computing Environment

JIN Gang

(Computer Technology Institute of Navy, Beijing 100841)

The security requirement of total ship computing environment is analyzed. The security framework composed of hardware, system and medium components are put forward. The security function structure includes security management, security adaption unit, network security unit, system security unit and application security unit. At last the security system construction is put forward.

total ship computing environment, security framework, security function structure

2016年5月1日,

2016年6月24日

金剛,男,碩士,高級(jí)工程師,研究方向：信息系統(tǒng)安全。

TP309.1

10.3969/j.issn.1672-9730.2016.11.002