Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

探讨:“星融网”安全体系结构设计构想

0
0

【编者按】“星融网”网络规模庞大、组成结构复杂、拓扑变化频繁,涉及卫星系统、临近空间平台、地面网络等不同的层面,因此,必须设计科学、合理、可扩展的网络体系结构,才能满足未来网络部署和应用的需求。本文围绕“星融网”安全体系结构设计的问题,从安全保障体系、安全协议体系、安全机制分析三方面提出未来“星融网”网络安全体系结构设计的构想。

“星融网”安全体系结构设计构想 中国航天系统科学与工程研究院 闫陈静 陈漠 张伟 顾升高 一、引言

“星融网”在未来的重要地位使得其具有极高的安全性要求,为了保障空间通信和应用的安全性,必须在整个网络的架构中贯穿并融合安全体系结构的设计。在安全体系结构的研究中,需要根据“星融网”网络的特点和典型应用,深入分析来自不同方向和层次的网络攻击行为,总结“星融网”可能面临的安全威胁,从不同角度探讨“星融网”网络的安全需求,结合网络通信协议,从整体上定义安全服务、安全机制等元素以及元素之间的关系,并针对不同的协议层次建立适当的安全机制和安全策略。安全体系结构的设计是一个循序渐进的过程,需要和其它的网络技术相互协调并进行联合设计,促进整个“星融网”网络架构的不断完善。

本文从安全保障基础设施、安全协议和安全机制三个方面,对“星融网”安全体系的框架结构进行分析。首先应建立层次化的安全保障基础设施,为整个“星融网”网络中的通信安全和端系统安全提供基本的保障;然后分析“星融网”网络通信协议栈每一层中可能使用的安全协议和安全机制,为通信协议的运行安全建立指导原则;最后针对空间组网中可能面临的安全问题,提出主要的安全机制在具体设计与实施时需要遵循的原则和基本的安全解决方案。

二、安全保障体系

从技术层面上讲,“星融网”的安全技术保障结构未来可分为应用环境安全、应用区域边界安全、网络和通信传输安全、安全管理中心和密码管理中心五个环节,即在两个中心支持下的三重保障体系结构。


探讨:“星融网”安全体系结构设计构想

“星融网” 安全保障体系结构

应用环境安全:应用环境包括空间段设备、地面段设备、用户段设备、以及其中运行的各种指挥控制系统软件、管理软件、应用软件和安全防护软件等,共同构成可信的系统应用环境。“星融网”可能面临各种安全威胁,因此必须根据空间任务的安全需求,合理高效地采取身份认证、访问控制、数据加密、安全审计、入侵检测、容错、灾难恢复等机制,并严格各种安全管理制度以保证应用环境的安全。

应用区域边界安全:通过部署边界保护措施控制对卫星网络、临近空间网络以及地面网络等骨干网络的访问,保证“星融网”网络系统的安全。由于空间链路的特点,“星融网”网络中并不存在明显的网络边界,但这也意味着任何一个骨干网络节点都是网络的边界,需要通过采取安全接入、安全网关、防火墙等隔离过滤机制,将“星融网”与非法的接入节点隔离。

网络和通信传输安全:包括实现卫星网络、临近空间网络与地面网络内部以及两两之间的互联安全,确保通信的机密性、完整性和可用性。采用数据加密、完整性校验和实体鉴别等机制,实现可信的安全连接;根据“星融网”的安全需求,分别在物理层、链路层、网络层、传输层和应用层实施安全机制以达到安全的信息传输。在具体实现时,每一层都可进行身份认证和密钥交换,如在网络层采用IPSec协议,传输层使用S SL或T L S协议,从而保证通信数据的保密性和完整性,并能抵抗重放攻击、鉴别数据的来源。

安全管理中心:提供卫星网络、临近空间网络和地面网络中节点和子网的接入认证、授权、访问控制策略等服务;建立授权管理基础设施PMI(Privilege Management Infrastructure),由PMI负责向应用系统提供相关的授权服务管理;除此之外,安全管理中心还负责对安全策略的建立、配置、实施和变更进行管理。

密码管理中心:提供互连互通的密钥配置、公钥证书和传统的对称密码管理,为“星融网”提供密码服务。通过建立层次型的密码管理中心,为“星融网”的骨干节点和各级用户提供安全机制所需的密钥的全生命周期管理。其中,公钥基础设施PKI提供对用户证书的颁发、索引、认证等公钥相关服务,密钥管理基础设施KMI(Key Management Infrastructure)包括密钥生成服务器、密钥数据库服务器和密钥服务管理器等组成部分,提供统一的密钥管理服务。

三、安全协议体系

“星融网”安全体系结构具有综合防护、多层立体设计的特点,在协议栈各层都有适当的安全机制,并且各层之间并不一定独立,可以存在反馈信息,由位于各层的多种安全防护系统共同构成安全保障体系结构。

参考OSI安全分层及各层的安全服务配置,并考虑网络的特点,“星融网”安全服务在各层的分配应遵循以下基本原则:实现同种安全服务的不同方法越少越好;在多个协议层次上提供安全保护;只要一个实体依赖于低层实体提供的安全机制,那么任何中间层安全机制不能违反低层安全机制的要求;考虑各层的相关性,不孤立地研究各层的安全性。

根据空间任务的实际安全需求,安全服务可以在“星融网”网络协议中的一个或多个层次上实施。“星融网”的协议栈分为物理层、链路层、网络层、传输层和应用层,按照上面的原则,各层提供的主要安全服务可以配置如下:

物理层:提供连接机密性、业务流机密性服务,提供完整性和可用性服务;

数据链路层:提供连接机密性和无连接机密性服务,同时提供完整性、可用性和认证服务;

网络层:可以在一定程度上提供认证、访问控制、机密性和完整性服务;

传输层:可以提供认证、访问控制、机密性和完整性服务;

应用层:必须提供所有的安全服务,并且也是唯一能提供不可否认性服务的协议层次。

根据“星融网”网络的特点和空间应用的要求,本文提出了分层立体的安全体系结构模型和安全协议框架。但是,这种严格分层的体系结构使得网络协议的设计缺乏足够的适应性,不符合网络动态变化的特点,往往可能使网络的性能无法得到有效的保障。为了满足“星融网”的特殊要求,可以采取跨层设计的思想,设计一种能够在协议栈的多个层次支持自适应和性能优化的跨层安全体系结构,综合利用各层的信息,避免重复的操作或功能模块,有可能显著地提高网络的综合性能。不过,跨层设计的安全协议也破坏了传统协议层次的抽象、透明的特点,不可避免地存在与现有协议的兼容性问题,并且增加了网络管理的复杂性。因此,在进行跨层的安全体系结构和安全协议设计时,需要在性能、兼容性和可维护性等指标之间进行综合权衡,并且应慎重决策。

四、安全机制分析

为了实现“星融网”网络间的各项安全服务,必须综合应用包括认证、加密、数据完整性、访问控制等主要安全机制,形成多层次全方位的安全技术防护体系,保障“星融网”的通信安全和应用安全。

认证

在“星融网”的主要应用和大部分安全协议中,认证机制是实现真实性安全服务的基本手段。认证机制是通过密码或其它技术使得一个实体向另一个实体证明某种声称的属性的过程,其目的是阻止假冒攻击,防止非授权节点接入和访问网络。认证机制一般体现为通信双方交互的认证协议,可进一步分为实体认证(身份认证)协议、数据源认证、认证及密钥交换协议等。认证机制的实现主要涉及加密算法、数据完整性算法和数字签名算法等密码学方案。

“星融网”的军事应用对认证机制提出了更高的要求,不仅对认证过程本身的安全性要求很高,而且要求认证速度快,信息传输量尽可能地少;另外“星融网”是一个多层次的异构网络,需要频繁地进行跨域认证、重认证以及异构网络认证,要求认证过程具有高效性和可扩展性。因此,在“星融网”应用中,应根据不同具体应用的场景、安全需求和安全级别,设计高速接入认证,跨域认证与异构网络认证等不同的认证方案和协议。

加密

由于“星融网”军事应用的高安全性要求,必须保证敏感信息的机密性,防止非授权用户得到传输信息的内容。信息加密机制是保证信息机密性的唯一方法,是“星融网”中的一项基本安全机制。

一般来说,“星融网”中密码算法的选择应遵循安全强度高、加解密速度快、算法易于实现等基本原则,只有这样,才能满足空间应用对密码算法的安全性和实时性要求。对称密码算法和公钥密码算法均存在一些优势和局限性,应根据这两种密码算法的特点,结合具体空间应用或网络协议的安全需求,选择最适合的密码算法。在“星融网”网络安全体系结构中,两种密码算法是互相补充、互相配合的关系。在某些需要提供认证、签名或者密钥加密等功能的场合,宜采用公钥密码算法,可以在RSA、ECC(椭圆曲线密码学)、IBC(基于身份密码学)等密码方案中进行选择;而在需要高速加密运算的场合下,则宜采用对称密码算法,可以在DES、AES、RC4等分组密码算法或流密码算法中进行选择。

完整性

在空间网络环境下,实现传输数据的完整性校验可以借鉴地面网络中的方法,但必须结合“星融网”通信的特点,特别是减少通信开销。单个数据单元的完整性可以通过完整性校验字来实现,也可以使用单向杂凑函数方案;而数据流的完整性通常采用包的序列号和时间戳来实现。HMAC、各种数字签名方案均为典型的数据完整性方案。

在设计空间网络中具体的完整性方案时,还需要对传输的数据进行分类,如可简要地分为控制数据(信令、指令)和用户数据(普通用户数据、敏感用户数据)等。由于不同类型的数据在数据长度、完整性需求等方面也不尽相同,必须针对不同的数据类型分别设计相应的数据完整性保护方案。例如,对于控制数据,重放攻击带来的危害最为严重,因此必须保证控制数据包的序列号、新鲜数或时间戳的完整性;对于用户数据,最严重的威胁可能来自于对数据内容的篡改,因此必须保证用户数据包整体的一致性。因此,对于控制数据,由于数据量小,实时性要求高,可以使用基于对称密码算法的完整性机制;对于用户数据,由于数据量大,可以采用基于杂凑函数的数据完整性机制;而对于安全性更高的数据,则可采用基于公钥密码算法的方案。总之,对于“星融网”网络中传输的各种不同的数据类型,需要根据实际情况进行合理分析,选择并使用最适合的数据完整性机制和算法。

访问控制

访问控制是针对非授权使用者越权使用资源的防御措施,其目的是限制访问主体(用户、进程、服务等)对访问客体(文件、系统、资源等)的访问权限,使系统在合法范围内使用,保证各类网络资源不被非法访问和使用。访问控制是“星融网”中最重要的安全机制之一。

一般来说,访问控制机制和策略没有优劣的区别,只是在某些方面具有更好的安全性保护,或者说更适合于某种场合。在“星融网”中,不同的系统有不同的安全需求,对一个特定系统的访问控制策略并不一定适用于其它系统。因此,必须根据“星融网”具体应用的特点和安全需求,选择最适合的访问控制机制。另外,由于可能存在几种访问控制策略共同实施的情况,还必须考虑不同策略的整合方法,实现策略之间的信息交换。

五、结束语

本文针对“星融网”未来建设中网络体系结构可能存在的风险,提出“星融网”安全体系结构设计构想,从安全保障体系、安全协议体系、安全机制分析三方面研究“星融网”安全体系结构,找准网络体系结构设计的关键环节,为下一步开展“星融网”安全防护方案和关键技术研究奠定了基础。

本文刊登于《网信军民融合》杂志2018年11月刊

声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


Viewing all articles
Browse latest Browse all 12749

Latest Images

Trending Articles





Latest Images