?
機間自組織網絡安全保障模型研究*1
黃松華1,王睿2,梁維泰1,徐欣1
(1. 中國電科第28研究所 信息系統(tǒng)工程重點實驗室,江蘇 南京210007;
2. 解放軍理工大學 指揮信息系統(tǒng)學院,江蘇 南京210007)
摘要:節(jié)點高速移動、拓撲動態(tài)變化、傳輸質量不穩(wěn)定是機間自組織網絡的基本特征,空中環(huán)境的特殊性使得安全保障成為機間自組織網絡面臨的最基本挑戰(zhàn)之一。分析了機間自組織網絡的環(huán)境特殊性和可能存在的安全威脅,提出了機間自組織網絡的安全保障架構和基于可信計算平臺的安全可信模型,并提煉相關關鍵技術,最后給出未來的技術發(fā)展方向,為該領域的下一步研究提供參考。
關鍵詞:機間自組織網絡;安全威脅;安全保障架構;分層防御;可信模型;認證授權;安全管理
0引言
機間自組織網絡是移動網絡技術在航空平臺通信領域的應用,主要通過多跳路由轉發(fā)機制構建高效、抗毀、靈活的空基網絡,支撐航空平臺間的自動連接與通信、管控指令信息與環(huán)境感知信息分發(fā)、飛行狀態(tài)信息交換等軍民航空通信亟待實現(xiàn)的能力[1]。機間自組織網絡由于其高動態(tài)適應能力、使用靈活方便、不受地域限制等特性,成為未來航空通信乃至整個空域的樞紐。與點到點通信和傳統(tǒng)網絡通信不同:①機間自組織網絡從鏈路體制和路由傳輸2方面都提供了網絡化運作、高移動性管理和基于網關的異構互聯(lián)能力;②機間自組織網絡節(jié)點位置與網絡拓撲具有時變特性,節(jié)點間沒有固定的路由交換設施和網絡服務設施[2];③機間自組織網絡節(jié)點的機動速度遠遠超過傳統(tǒng)的移動自組織網絡,而且無線射頻通信易于暴露目標?;谏鲜鎏匦?,固有的網絡協(xié)議缺陷,使機間自組織網絡面臨越來越多的安全威脅,同時當前的安全保障機制很少考慮底層的電磁威脅和物理打擊,因此帶來了一系列特殊威脅和潛在攻擊,需要提供與傳統(tǒng)安全不一樣的防御理念與措施[3-5]。本文在分析機間自組織網絡安全威脅和安全保障技術能力需求的基礎上,提出了機間自組織網絡的安全保障架構和基于可信計算平臺的安全可信模型,并提煉相關關鍵技術,預測未來的技術發(fā)展方向,為該領域的下一步研究提供參考。
1安全威脅
機間自組織網絡基于射頻信號,相對有線網絡存在一些特有的威脅,包括基于射頻捕獲和目標跟蹤實施的火力打擊,信號干擾,信息竊聽、截獲、篡改等。另一方面,機間自組織網絡不存在可信的認證中心,或者通過可靠認證的時延過大。拓撲結構與節(jié)點間信任關系的時變性使得在受限時空條件下,很難保障系統(tǒng)平臺、用戶信息的可信。下面根據機間自組織網絡的協(xié)議棧層次,從物理層、鏈路層、網絡層等各個協(xié)議層分析機間自組織網絡脆弱性和面臨的安全威脅。
1.1物理層威脅
物理層常見的威脅方式包括大功率阻塞式干擾和基于射頻捕獲的欺騙式干擾。前者導致通信信噪比下降,當超過調制解調和差錯控制的容忍門限,系統(tǒng)傳輸過程就會出現(xiàn)大量誤碼導致網絡系統(tǒng)失效或癱瘓;后者發(fā)射與捕獲信號的特征相吻合的欺騙信號,破壞系統(tǒng)的同步信號,從而達到同樣的攻擊效果,或使接收方誤認干擾為信號,從而達到欺騙效果。相較于阻塞式干擾,欺騙式干擾隱蔽性強,平均干擾功率小。
1.2鏈路層威脅
鏈路層常見的威脅包括CSMA(carrier sense multiple access)信道的惡意搶占、應急指令偽造和TDMA(time division multiple address)信道的幀干擾、幀偽造。前者通過不斷發(fā)送報文,迫使其他節(jié)點都進行沖突退避,或偽造合法的斷鏈、復位等應急指令,引起鏈路中斷和網絡癱瘓;后者通過干擾主站數據幀關鍵字段,造成接收節(jié)點丟棄該報文,同時可以偽造主站呼叫指定節(jié)點從而餓死其他節(jié)點,或插入特殊數據幀空報文,造成正常通信假象。
1.3網絡層威脅
網絡層常見的威脅包括路由信息欺騙、路由震蕩與拒絕服務。路由信息欺騙通過發(fā)送虛假路由信息或延時重放過時路由信息,導致目的不可達,或按便于竊聽虛假路徑傳遞數據[6];路由震蕩通過路徑攻擊等手段不斷變更鏈路狀態(tài)和路由更新信息,導致路由無法收斂;拒絕服務則通過對關鍵鏈路和關鍵節(jié)點進行飽和攻擊,使其失去對合法用戶的服務能力。
此外,由于操作系統(tǒng)、應用業(yè)務協(xié)議以及格式化報文中存在漏洞,應用層也同樣面臨假冒、欺騙以及節(jié)點癱瘓等威脅。
2安全保障需求
機間自組織網絡的運行安全依賴于網絡自身的安全防護,但其安全保障機制受到低帶寬、高時延連接、單向鏈路、只收不發(fā)的低截獲概率/低探測概率運行模式、沒有固定的認證授權中心等諸多限制,而且標準協(xié)議不能提供機間網絡所需的輕量級安全保障能力,導致不可承受的開銷。另一方面,自組織網絡當前主要是保障節(jié)點自身的安全,還缺乏有效的網絡安全解決方案,平臺間可信關系無法快速建立,單點的內部攻擊可導致整個網絡癱瘓。隨著機間自組織網絡安全問題的增加,防御機制愈加重要[7]。
當前,美空軍正在開發(fā)機間自組織網絡,其安全保障技術包括身份識別、身份驗證、完整性驗證、機密性驗證、可用性驗證、不可抵賴性等部分,提供安全管理、數據保護和攻擊探測、預警及響應等能力[8]。
2.1安全管理
機間自組織網絡易于受到各種復雜的安全攻擊,任務需求多變,因此需要在安全域間和任務組內快速構建信任關系的同時,提供基于策略的安全管理,即根據任務需求和安全風險,在可變條件中進行權衡,以一種可控、靈活的方式提供接入認證、監(jiān)視、安全質量評估與審計、安全設備配置等方面的策略和規(guī)范,并通過策略的快速調整,以及時分發(fā)與強制執(zhí)行滿足任務場景的多變需求。
2.2數據保護
機間自組織網絡需要確保用戶數據和系統(tǒng)數據在存儲、使用和傳輸過程中的安全,包括軍用作戰(zhàn)環(huán)境、軍民互操作環(huán)境的數據安全,以避免被探測、識別、流量分析或利用。
此外,機間自組織網絡的數據保護還需要支持獨立多級別安全,提供同時在多個獨立的安全域內操作的能力。
2.3攻擊探測、預警及響應
機間自組織網絡需要提供基于主機和網絡的入侵檢測、入侵防御、以及病毒檢測功能。其中,入侵檢測通過對不當、錯誤、異常網絡活動進行檢測并響應,防止系統(tǒng)組件受到網絡數據流承載的惡意行為威脅;入侵防御探測和阻止已知攻擊;病毒檢測檢查惡意的可執(zhí)行代碼并清除或修復可疑文件。
3安全保障模型
3.1安全保障架構
當前安全保障架構用于機間自組織網絡的適應性問題主要體現(xiàn)在以下幾個方面:①現(xiàn)有架構以保護節(jié)點自身安全為主,沒有完整的安全保障體系,無法準確及時掌握網絡的安全狀態(tài),缺乏必要的預警與應急響應機制;②無法及時接入固定的集中式認證授權中心,而信任傳遞和分布式認證方式存在可信度與效率問題[9];③沒有考慮節(jié)點的物理打擊和捕獲控制對安全保障的影響。機間自組織網絡安全保障架構針對這些適應性問題,綜合考慮平臺移動性、拓撲時變性、環(huán)境不可靠性和業(yè)務的實時性,從物理層射頻隱匿、鏈路層硬件加密與流控、網絡層路由增強與應用層輕量級身份認證等方面,建立多層次、覆蓋縱深的安全態(tài)勢感知、行為監(jiān)管與攻擊防御體系。機間自組織網絡安全保障架構包括安全保障支撐設施、安全保障運維管控設施與安全保障威脅防御體系3個部分,如圖1所示。其中,安全保障支撐設施提供針對協(xié)議棧各層的加解密和數字證書服務;安全保障運維管控設施基于安全事件分級分類、標簽管理、權限管理、態(tài)勢監(jiān)視感知、威脅預警應急響應、拓撲管控等實現(xiàn)安全保障動態(tài)決策管控;而安全保障威脅防御體系則針對機間網絡特征,通過物理層的低截獲波形、功率控制與敏感特征隱匿,鏈路層的接入鑒權、幀檢測糾錯與接入異常處理等無線鏈路防護機制,以及協(xié)議棧上3層常用的可信傳輸、快速認證授權,路由協(xié)議增強、訪問控制等機制,在保障機間自組織網絡傳輸可靠、信息來源可信、信息傳輸安全的同時,降低安全保障機制的開銷,降低安全機制對自組織網絡數據傳輸的影響。
圖1 機間自組織網絡安全保障架構Fig.1 Security architecture for intra-flight Ad Hoc networks
機間自組織網絡安全保障架構通過對系統(tǒng)資源及其使用者進行統(tǒng)一標識、認證和授權,引入保護、監(jiān)測、安全態(tài)勢感知及響應等能力,其核心功能包括數據傳輸、處理等過程中的加密處理與數據完整性校驗,用戶與平臺接入過程中的身份認證、完整性證明與訪問授權,安全保障機制運行過程中的平臺系統(tǒng)主動探測與訪問控制、網絡檢測與邊界接入控制、應急響應與可用性保障、安全態(tài)勢感知等,最終通過加強安全管控,防止攻擊,保護信息和信息系統(tǒng)機密性、完整性、可用性、鑒別性、實時性、可控性與不可抵賴性,使機間自組織網絡具有確定和受控的安全邊界以及自適應的保障手段,成為一個可信、可用、可靠的系統(tǒng)。
3.2安全可信模型
在上述架構下,基于TCG(trusted computing group)的可信計算平臺提供的DAA(direct anonymous attestations)認證和遠程平臺證明[10],提出了融合地址身份安全、用戶身份安全、平臺身份安全以及平臺完整性評估和用戶行為可信評估的機間自組織網絡安全可信模型。其中,用戶身份認證和異域平臺身份認證需要可信第三方支持,用戶的網絡行為評估、平臺身份認證和隨后的平臺完整性信息傳輸與評估在用戶身份認證后進行,這些認證和評估在主機空閑時周期性運行,以進一步確保平臺的可信度。
如圖2所示,安全可信模型分為用戶和平臺身份認證、平臺可信評估、用戶行為評估以及綜合評估授權策略幾部分。
圖2 機間自組織網絡安全可信模型Fig.2 Trust model for intra-flight Ad Hoc networks
其中,IP地址用于代表一個接口的身份,在一定程度上也代表了終端平臺或用戶的身份。當一個航空平臺接入另一個,且不能找到可信第三方移動實體實現(xiàn)基于安全關聯(lián)轉移的身份認證時,IP地址可以標識移動實體身份,而通過CGA(cryptographically generated addresses)方案可以防止地址盜用和欺騙,確定用戶身份、平臺身份和IP地址的綁定關系,在一定程度上實現(xiàn)身份認證[11-12]。在移動網絡可以接入骨干網或存在可提供證明的可信第三方實體后,可以再通過身份認證基礎設施或鄰居等可信第三方實現(xiàn)用戶身份的認證。在確定用戶身份和授權的基礎上,接入雙方通過直接身份認證方案實現(xiàn)可信計算平臺身份的認證。在可信計算平臺身份認證之后,其核心模塊TPM(trusted platform module)生成一對非對稱身份密鑰AIK (asymmetric identity key),并通過AIK簽名建立的安全通道進行平臺完整性信息的傳輸和相應的平臺完整性評估。身份認證、平臺完整性評估和用戶行為評估周期性運行,進一步發(fā)揮審計作用,影響當前連接和下一次的路由選擇與接入過程。
4安全保障關鍵技術
為滿足平臺高速機動、拓撲動態(tài)變化等網絡環(huán)境特征,以及業(yè)務對鏈路接入、網絡傳輸的高時效性要求,機間自組織網絡需要設計輕量級的認證算法和協(xié)議,對路由協(xié)議進行高效的安全增強和訪問權限分級管理,突破無中心快速認證、低時延、低帶寬占用等關鍵點,滿足機間自組網動態(tài)安全接入、切換和退出的需求,為航空平臺動態(tài)組網和數據傳輸保護提供支撐。針對上述需求和技術現(xiàn)狀,機間自組織網絡安全保障主要解決以下關鍵技術。
4.1輕量級分布式認證授權技術
認證授權主要為機間自組織網絡提供用戶或設備的身份認證、真實性鑒別等服務,為接入控制、通信安全提供支撐。為滿足航空業(yè)務數據的傳輸需求,需要設計輕量級的認證協(xié)議和算法,在原有3次握手的認證協(xié)議的基礎上,基于IBE(identity based encryption)公鑰認證技術對認證流程進行優(yōu)化,以減少認證的交互次數,降低時間復雜度[13-14];同時優(yōu)化認證算法,根據保障等級要求動態(tài)調整報文簽名等安全字段的大小,降低空間復雜度,最大程度減小對網絡可用帶寬的影響。
4.2基于策略的動態(tài)安全管理技術
機間自組織網絡安全管理需要對整個安全防護系統(tǒng)進行統(tǒng)一調度、管理和威脅預警,并進行管理決策和應急響應。機間自組織網絡安全管理必須解決2個問題:①適應拓撲的動態(tài)變化;②適應受限帶寬和不穩(wěn)定鏈路質量。基于策略的動態(tài)安全管理可以針對任務的不同安全需求,設計基于動態(tài)分簇的管理架構、管理策略和無線安全管理協(xié)議,把傳統(tǒng)的集中式進程轉化為半分布式進程,以解決動態(tài)拓撲和高效管理帶來的挑戰(zhàn),同時以任務為驅動靈活調整安全策略,滿足不同環(huán)境下對安全保密強度的需求[15]??紤]到管理的穩(wěn)定性和時效性,必要時還需要結合靜態(tài)安全管理技術。
5結束語
機間自組織網絡安全保障模型需要適應機間自組織網絡協(xié)議棧,滿足隨遇接入、動態(tài)調整、輕量高效的要求。本文針對機間自組織網絡的特殊性,從物理層、鏈路層、網絡層等協(xié)議棧層次結構分析面臨的安全威脅,提出安全保障模型的能力需求,以及機間自組織網絡安全保障架構和基于可信計算平臺的安全可信模型,并提煉相關關鍵技術與解決思路。未來,考慮到機間自組織網絡性能的整體優(yōu)化,安全保障模型將基于協(xié)議棧共享,對多個協(xié)議層的共同檢測、多層融合和協(xié)同響應,實現(xiàn)低開銷的協(xié)議棧整體安全防御。
參考文獻:
[1]鄭博, 張衡陽, 黃國策,等. 航空自組網的現(xiàn)狀與發(fā)展[J]. 電信科學, 2011, 30(5): 38-47.
ZHENG Bo, ZHANG Heng-yang, HUANG Guo-ce, et al. Status and Development of Aeronautical Ad Hoc Networks [J]. Telecommunications Science, 2011, 30(5): 38-47.
[2]焦婉妮. 自組織網絡中跨協(xié)議層安全體系結構[J]. 計算機與數字工程, 2011, 39(11): 110-113.
JIAO Wan-ni. A Secure Architecture of Cross Protocol Layers in an Ad Hoc Network Environment [J]. Computer & Digital Engineering, 2011, 39(11): 110-113.
[3]黃松華, 易侃, 丁峰,等. 軍事柵格安全設施研究[J]. 現(xiàn)代防御技術, 2013, 41(4): 49-53.
HUANG Song-hua, YI Kan, DING Feng, et al. Research on Security Infrastructure for Military Grid [J]. Modern Defence Technology, 2013, 41(4): 49-53.
[4]Hill, Doug Morrow, Jeff Cody, et al. Information Assurance for Airborne Networks [C]∥Proceedings of IEEE Military Communications Conference (MILCOM’07), Oct. 2007: 1-6.
[5]趙敏. 網絡中心戰(zhàn)的網絡攻擊—Suter計劃[J]. 現(xiàn)代防御技術, 2011, 39(6): 139-143.
ZHAO Min. Network Attack of Network Centric Warfare: Project Suter[J]. Modern Defence Technology, 2011, 39(6): 139-143.
[6]張吉峰, 王敏, 楊華兵. 戰(zhàn)場Ad Hoc網絡對抗[J]. 指揮信息系統(tǒng)與技術, 2011, 2(5): 69-73.
ZHANG Ji-feng, WANG Min, YANG Hua-bing. Countermeasures Against Battlefield Ad Hoc Network [J]. Command Information System and Technology, 2011, 2(5): 69-73.
[7]Douglas W Hill, David M Climek. Security Services for Airborne Networking[C]∥Proceedings of IEEE Military Communications Conference (MILCOM 2009), Oct. 2009: 1-5.
[8]USAF Airborne Network Special Interest Group. Airborne Network Architecture System Communications Description & technical architecture profile[R]. Version 1.1, Oct. 2004.
[9]王林. 軍事MANET自組織認證按需信任模型[J]. 指揮信息系統(tǒng)與技術, 2012, 3(6): 7-10.
WANG Lin. Self-Organized Certification and On-Demand Trust Model for Military MANET [J]. Command Information System and Technology, 2012, 3(6): 7-10.
[10]TCG. Trusted Computing Group Architecture Overview [S].TCG Specification Revision 1.4,2007.
[11]Aura Tuomas. Cryptographically Generated Addresses (CGA) [S]. RFC 3972, IETF, 2005.
[12]Bagnulo Marcelo, Arkko Jari. Cryptographically Generated Addresses (CGA) Extension Field Format [S].RFC 4581, IETF,2006.
[13]Yussoff Yusnani Mohd, HASHIM Habibah, BABA MohdDani. Analysis of Trusted Identity Based Encryption (IBE-Trust) Protocol for Wireless Sensor Networks [C]∥Proceedings of IEEE Control and System Graduate Research Colloquium (ICSGRC’12), Jul. 2012: 313-317.
[14]Jalel Ben-othman, Benitez Yesica Imelda Saavedra. A New Method to Secure RA-OLSR Using IBE [C]∥Proceedings of IEEE Global Communication Conference (Globecom’12), Dec. 2012:354-358.
[15]Wolberg Michelle, Chadha Ritu, Chiang C Jason. Using an Adaptive Management Plane for Policy-based Network Management Traffic in Manets [C]∥Proceedings of IEEE Military Communications Conference (MILCOM’11), Nov. 2011: 1133-1138.
Security Model for Intra-Flight Ad Hoc Networks
HUANG Song-hua1, WANG Rui2, LIANG Wei-tai1,XU Xin1
(1. The 28th Research Institute of CETC, Key Lab of Information Systems Engineering,Jiangsu Nanjing 210007,China;2. PLA University of Science & Technology,College of Command Information System, Jiangsu Nanjing 210007,China)
Abstract:With high-speed nodes, dynamic topology, and fluctuant transmission quality, intra-flight ad hoc networks are always challenged by the lack of security assurance under aerial environment. After analyzing the particularities of aerial environment and potential security threats, a novel security architecture and its trust model based on the trusted computing platform for intra-flight ad hoc networks are proposed, and the key technologies related and development directions are indicated, providing references for security assurance of intra-flight ad hoc networks.
Key words:intra-flight Ad Hoc networks; security threats; security architecture; layered defense; trust model; authentication & authorization; security management
中圖分類號:TN915.08;TP393.08;E96
文獻標志碼:A
文章編號:1009-086X(2015)-05-0099-05
doi:10.3969/j.issn.1009-086x.2015.05.017
通信地址:210007江蘇省南京1406信箱69分箱E-mail:kloise@126.com
作者簡介:黃松華(1979-),男,江蘇海門人。高工,博士,研究方向為機間網絡、移動計算和信息安全。
基金項目:國家自然科學基金(61402426)
*收稿日期:2014-11-11;修回日期:2015-02-06