季新生，梁浩，扈紅超

?

天地一體化信息網(wǎng)絡(luò)安全防護技術(shù)的新思考

季新生，梁浩，扈紅超

（國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，河南 鄭州 450002）

天地一體化信息網(wǎng)絡(luò)是國家面向2030的重大科技工程，安全防護是保障其運行的關(guān)鍵。由于能夠主動適應(yīng)用戶、網(wǎng)絡(luò)和業(yè)務(wù)的快速變化，可以實現(xiàn)網(wǎng)絡(luò)技術(shù)與安全的共生演進，天地一體化信息網(wǎng)絡(luò)成為近年來國內(nèi)外學(xué)術(shù)界和產(chǎn)業(yè)界普遍關(guān)注的重要方向。在分析天地一體化信息網(wǎng)絡(luò)面臨的安全威脅和現(xiàn)有防護技術(shù)思路的基礎(chǔ)上，探討了內(nèi)生式安全防御技術(shù)在天地網(wǎng)絡(luò)架構(gòu)、關(guān)鍵信息系統(tǒng)中的應(yīng)用設(shè)想，相關(guān)技術(shù)思路和設(shè)計可為內(nèi)生安全的天地一體化網(wǎng)絡(luò)安全防護體系建設(shè)提供參考。

天地一體化信息網(wǎng)絡(luò)；安全防護；內(nèi)生安全；擬態(tài)防御

1 引言

天地一體化信息網(wǎng)絡(luò)是國家面向2030的重大科技工程，其核心建設(shè)思路是以地面網(wǎng)絡(luò)為依托、天基網(wǎng)絡(luò)為拓展，采用統(tǒng)一的技術(shù)架構(gòu)、統(tǒng)一的技術(shù)體制、統(tǒng)一的標(biāo)準(zhǔn)規(guī)范，由天基信息網(wǎng)、地面互聯(lián)網(wǎng)和移動通信網(wǎng)互聯(lián)互通而成[1]，對拓展國家利益、維護國土安全、保障國計民生、促進經(jīng)濟發(fā)展具有重大意義，是我國信息網(wǎng)絡(luò)實現(xiàn)信息全球覆蓋、寬帶傳輸、軍民融合、自由互聯(lián)的必由之路[2]。

安全防護保障作為天地一體化信息網(wǎng)絡(luò)可靠運行的關(guān)鍵支撐，其重要性不言而喻。有別于傳統(tǒng)網(wǎng)絡(luò)，天地一體化信息網(wǎng)絡(luò)節(jié)點分布廣泛、體系結(jié)構(gòu)復(fù)雜、信道開放透明、拓撲動態(tài)變化、大尺度傳輸鏈路以及面向全球提供服務(wù)保障的網(wǎng)絡(luò)特征，使其數(shù)據(jù)傳輸、信息服務(wù)等本身就更易受到來自外部的自然干擾和惡意攻擊，這對網(wǎng)絡(luò)的路由、切換、傳輸、接入等方面的安全運行能力提出了更高要求。同時當(dāng)前我國天基信息網(wǎng)、互聯(lián)網(wǎng)、移動通信網(wǎng)的發(fā)展很不平衡，總體上仍呈現(xiàn)“天弱地強”的特征；具有自主知識產(chǎn)權(quán)的空天地一體化全球信息網(wǎng)絡(luò)及關(guān)鍵技術(shù)的標(biāo)準(zhǔn)化提案相對較少，特別是基礎(chǔ)網(wǎng)絡(luò)和信息系統(tǒng)在核心技術(shù)、基礎(chǔ)軟件、關(guān)鍵芯片及設(shè)備等方面對外依存度還比較高，面向天地一體化信息網(wǎng)絡(luò)的安全防護面臨諸多挑戰(zhàn)。

近年來學(xué)術(shù)界在天地一體化信息網(wǎng)絡(luò)安全防護方面的研究[3-11]不斷深入，但技術(shù)途徑大多停留在傳統(tǒng)的基于精確感知的被動式靜態(tài)防御思路上，難以滿足用戶、網(wǎng)絡(luò)和業(yè)務(wù)等的動態(tài)化安全防護需求；尤其是以星載設(shè)備為代表的安全組件，其載荷、處理能力有限，后期設(shè)備更新升級難度大[12,13]，難以適應(yīng)網(wǎng)絡(luò)架構(gòu)和技術(shù)的長期演進和攻擊技術(shù)的快速變化，更無法有效抵御基于未知漏洞和隱蔽后門的未知網(wǎng)絡(luò)攻擊，難以感知信息化戰(zhàn)爭條件下瞬息萬變的安全威脅態(tài)勢。本文針對現(xiàn)有防護思路存在的局限性，在分析天地一體化信息網(wǎng)絡(luò)面臨的安全威脅和現(xiàn)有防護技術(shù)思路的基礎(chǔ)上，探討了擬態(tài)防御技術(shù)在天地網(wǎng)絡(luò)架構(gòu)、關(guān)鍵信息系統(tǒng)中的應(yīng)用設(shè)想，為內(nèi)生安全的天地一體化網(wǎng)絡(luò)安全防護體系建設(shè)提供思路和技術(shù)借鑒。

2 網(wǎng)絡(luò)特征和安全威脅

2.1 網(wǎng)絡(luò)特征

天地一體化信息網(wǎng)絡(luò)聯(lián)網(wǎng)節(jié)點覆蓋范圍廣、數(shù)量龐大、種類豐富、資源能力各不相同，在體系結(jié)構(gòu)、傳輸信道、拓撲連接以及運行服務(wù)等方面具備以下典型特征。

（1）網(wǎng)絡(luò)體系結(jié)構(gòu)復(fù)雜化

天地一體化信息網(wǎng)絡(luò)涉及衛(wèi)星網(wǎng)絡(luò)、近地空間網(wǎng)絡(luò)、地面無線移動網(wǎng)絡(luò)、互聯(lián)網(wǎng)等多層異質(zhì)網(wǎng)絡(luò)融合，網(wǎng)絡(luò)規(guī)模龐大，結(jié)構(gòu)極為復(fù)雜，呈現(xiàn)出立體多維異構(gòu)典型特征。同時，各網(wǎng)絡(luò)采用不同的制式，基于不同形態(tài)的物理資源，工作在不同頻段，在發(fā)射功率、覆蓋范圍、傳輸體制、控制開銷、管理方式、運行維護等方面存在巨大差異。

（2）網(wǎng)絡(luò)通信信道開放化

相比傳統(tǒng)網(wǎng)絡(luò)，信道開放、透明的特征在天地一體化信息網(wǎng)絡(luò)中更加明顯，特別是高低軌衛(wèi)星節(jié)點，長期運行在暴露的空間軌道上，星間、星地等無線通信鏈路很容易遭受來自惡劣自然環(huán)境和惡意用戶的影響。

（3）網(wǎng)絡(luò)拓撲連接動態(tài)化

地球的自轉(zhuǎn)與公轉(zhuǎn)使得天地一體化信息網(wǎng)絡(luò)節(jié)點動態(tài)變化，特別是中低軌衛(wèi)星始終處于高速運轉(zhuǎn)狀態(tài)，存在頻繁地接入或退出組網(wǎng)的情況，網(wǎng)絡(luò)拓撲變化頻繁，網(wǎng)絡(luò)穩(wěn)定連通性遇到較大挑戰(zhàn)，甚至需要數(shù)據(jù)重傳。

（4）網(wǎng)絡(luò)傳輸鏈路跨域化

天地一體化信息網(wǎng)絡(luò)節(jié)點分布稀疏，陸、海、空、天的全維度覆蓋使得通信鏈路具備大時間/空間尺度跨域傳輸與組網(wǎng)的特征，超出傳統(tǒng)地面網(wǎng)絡(luò)傳輸控制協(xié)議適應(yīng)范圍的傳輸距離，使得數(shù)據(jù)傳輸存在往返時延高、信號抖動幅度大以及星地網(wǎng)絡(luò)上下行鏈路傳輸帶寬不對稱等特點，增大了節(jié)點接收機的靈敏度和處理的復(fù)雜度。網(wǎng)絡(luò)拓撲的動態(tài)化進一步減小了通信節(jié)點的信號覆蓋范圍，加劇了通信鏈路的間歇性和持續(xù)保持的難度。

（5）網(wǎng)絡(luò)服務(wù)保障全球化

面向全球提供聯(lián)合作戰(zhàn)、公共安全、應(yīng)急救災(zāi)、搶險救援、交通物流、空中交通管理、海洋維權(quán)、智慧城市等多樣化應(yīng)用服務(wù)，要求天地一體化信息網(wǎng)絡(luò)能夠根據(jù)應(yīng)用場景和服務(wù)需求提供針對性的支撐，隨之而來的海量應(yīng)用數(shù)據(jù)對衛(wèi)星節(jié)點的數(shù)據(jù)處理、有效載荷、安全可靠等能力提出新的要求和挑戰(zhàn)。

2.2 面臨的主要安全威脅

典型的網(wǎng)絡(luò)特征及面向軍、民各類用戶實現(xiàn)海量信息的融合及多樣化應(yīng)用服務(wù)的靈活定制需求，為高效隨遇接入、安全可靠可信的天地一體化信息網(wǎng)絡(luò)建設(shè)帶來諸多威脅與挑戰(zhàn)。

（1）未知“漏洞、后門”帶來的不確定安全威脅

無處不在的“漏洞、后門”威脅造成不確定安全威脅和安全防護困境，主要體現(xiàn)在：一方面，網(wǎng)絡(luò)和信息系統(tǒng)的軟硬件設(shè)計缺陷客觀存在、不可避免，而任何一個缺陷或錯誤都有可能引入安全漏洞并被網(wǎng)絡(luò)攻擊者利用；另一方面，產(chǎn)品設(shè)計、制造等各個環(huán)節(jié)的安全性越發(fā)不可控，存在惡意功能被隱蔽植入、“漏洞”功能被隱匿預(yù)留以及“后門”功能被隱蔽預(yù)埋的危險。天地一體化信息網(wǎng)絡(luò)承載涉及國家戰(zhàn)略安全利益的核心應(yīng)用，擔(dān)負網(wǎng)絡(luò)安全保障由傳統(tǒng)的國土信息網(wǎng)絡(luò)向陸、海、空、天全球覆蓋信息網(wǎng)絡(luò)轉(zhuǎn)變的責(zé)任，急需在核心技術(shù)、關(guān)鍵芯片和設(shè)備方面實現(xiàn)自主可信、可靠和可控，面向不確定威脅實現(xiàn)動態(tài)靈活安全防護。

（2）開放式通信環(huán)境帶來的信道安全威脅

天地一體化信息網(wǎng)絡(luò)開放、透明的特征，使得通信信道面臨極為復(fù)雜嚴峻的安全威脅態(tài)勢。一方面來自太空太陽黑子爆發(fā)、宇宙射線等諸多不可抗的自然因素，會對星載基礎(chǔ)設(shè)備形成嚴重的物理影響和破壞；同時無線鏈路也極易受到高空電離層反射信號、空間電磁輻射等復(fù)雜惡劣自然環(huán)境的干擾，致使正常的通信產(chǎn)生畸變、數(shù)據(jù)傳輸受到影響甚至發(fā)生中斷。另一方面開放式的通信環(huán)境也使得無線信道極易受到來自惡意用戶的非法竊聽和截獲，并有針對地利用衛(wèi)星信號轉(zhuǎn)發(fā)、模擬偽造、噪聲干擾等方式實現(xiàn)對星地/星間通信信道的蓄意欺騙、干擾和壓制，產(chǎn)生用戶身份不可信、網(wǎng)絡(luò)地址易偽造、系統(tǒng)服務(wù)不可控、信息易被篡改、系統(tǒng)保密性差等安全問題。

（3）大尺度跨域防護帶來的接入安全威脅

天地一體化信息網(wǎng)絡(luò)大時間/空間尺度跨域傳輸與組網(wǎng)，任意可能存在的脆弱點、安全漏洞、無效配置等安全缺陷帶來接入安全威脅，面臨惡意用戶非法利用、病毒/木馬等各類惡意代碼或程序被植入的風(fēng)險，致使網(wǎng)絡(luò)系統(tǒng)發(fā)生異常，甚至被遠程操控或癱瘓，如星地大尺度傳輸?shù)拇嗳跣孕纬傻耐ㄐ胖袛嗪蟮臄?shù)據(jù)重傳，使非法用戶劫持、冒充原有合法網(wǎng)絡(luò)節(jié)點，泄露、篡改、偽造正常傳輸數(shù)據(jù)成為可能；傳統(tǒng)網(wǎng)絡(luò)中SYN攻擊、中間人攻擊、DDoS等攻擊方式，也使得一體化網(wǎng)絡(luò)面臨路由轉(zhuǎn)發(fā)節(jié)點數(shù)據(jù)被篡改、傳輸時延大幅增加、通信資源被耗盡等安全威脅風(fēng)險；不同安全等級用戶網(wǎng)絡(luò)的接入以及網(wǎng)絡(luò)拓撲的動態(tài)變化，帶來跨域統(tǒng)一身份管理、可信認證、訪問控制等安全問題。

（4）一體化服務(wù)保障帶來的可靠性安全威脅

天地一體化信息網(wǎng)絡(luò)面向用戶提供可靠的服務(wù)保障，軍民共用的現(xiàn)實需求面臨身份冒用偽裝、非法權(quán)限竊取、越權(quán)操作等安全威脅，亟需開展對服務(wù)請求的軍民身份鑒別、不同粒度安全層級的隔離等研究，防止網(wǎng)絡(luò)數(shù)據(jù)的泄露和控制權(quán)限被竊取。同時，衛(wèi)星自身載荷能力有限，自身數(shù)據(jù)計算、處理能力和硬件可擴展性受限，加之面對天地復(fù)雜物理環(huán)境和全維度空天一體化服務(wù)保障需求，亟需開展抗攻擊的網(wǎng)絡(luò)資源彈性重組、安全服務(wù)快速部署與遷移以及故障組件的診斷、清洗與恢復(fù)等技術(shù)，以提高一體化網(wǎng)絡(luò)在（未知）攻擊、故障或事故（包含自然干擾、人為攻擊等造成）存在的情況下服務(wù)可靠保障能力和服務(wù)中斷時快速有效恢復(fù)的彈性性能。

3 現(xiàn)有主要安全防護技術(shù)思路

安全防護保障作為天地一體化信息網(wǎng)絡(luò)可靠運維的重要支撐，涉及系統(tǒng)的各個層面，需要體系化的安全防護設(shè)計。目前我國現(xiàn)有的衛(wèi)星通信系統(tǒng)尚未實現(xiàn)星間組網(wǎng)，且大多數(shù)衛(wèi)星通信系統(tǒng)依賴加密和接入認證機制保障信息安全，缺乏完善的安全保障體系以及信息安全防護能力。

參考文獻[3]認為天地一體化信息網(wǎng)絡(luò)在設(shè)計及建設(shè)初期就要將網(wǎng)絡(luò)及電磁空間安全問題放在首要位置，解決好網(wǎng)絡(luò)開放性帶來的安全性挑戰(zhàn)，相關(guān)建議可為我國天地一體化信息網(wǎng)絡(luò)的建設(shè)提供參考。參考文獻[4]指出天地一體化信息系統(tǒng)規(guī)模大、覆蓋廣、體系開放，極易被攻擊和入侵，除了考慮傳統(tǒng)網(wǎng)絡(luò)協(xié)議層的安全外，還要考慮物理層和鏈路層節(jié)點間的安全機制，采取抗毀防壓措施，設(shè)計安全協(xié)議，籌備安全方案，完善網(wǎng)絡(luò)系統(tǒng)的生存能力。參考文獻[5]認為必須將安全防護思想融合到天地一體化網(wǎng)絡(luò)的體系結(jié)構(gòu)中，保障天地一體化網(wǎng)絡(luò)的正常運行，通過深入分析天地一體化網(wǎng)絡(luò)面臨的安全威脅，提出一體化網(wǎng)絡(luò)安全防護未來發(fā)展亟待解決的關(guān)鍵技術(shù)。參考文獻[6]分析了目前信息網(wǎng)絡(luò)空間的脆弱性和主動自防御具有的功能，提出了天地一體化信息網(wǎng)絡(luò)空間支持技術(shù)應(yīng)實現(xiàn)從被動反應(yīng)式防御到主動自防御轉(zhuǎn)變的概念，并給出了一種基于DTN（delay/disruption tolerant networking）的組網(wǎng)架構(gòu)和主動自防御建模仿真實現(xiàn)方法。參考文獻[7]分析了當(dāng)前無線網(wǎng)絡(luò)面臨的現(xiàn)實問題，通過構(gòu)建主動積極的無線網(wǎng)絡(luò)安全防御體系，提出了一種適合軍民融合的無線網(wǎng)絡(luò)安全體系模型，其安全設(shè)計思路可為空天地一體化網(wǎng)絡(luò)提供指導(dǎo)。參考文獻[8]針對天地一體化信息網(wǎng)絡(luò)面臨的安全威脅，從通信、網(wǎng)絡(luò)、應(yīng)用3個層面研究天地一體化網(wǎng)絡(luò)安全體系結(jié)構(gòu)和安全策略，涉及網(wǎng)絡(luò)與通信傳輸安全、區(qū)域邊界安全、應(yīng)用環(huán)境安全、統(tǒng)一密碼管理中心和統(tǒng)一安全管理中心等方面。參考文獻[9]基于信息安全模型[14]，結(jié)合天地一體化信息網(wǎng)絡(luò)安全實際，從物理安全、運行安全、數(shù)據(jù)安全3個層面對其安全保障技術(shù)的研究現(xiàn)狀進行了闡述，其中，物理安全主要采用抗毀技術(shù)、抗干擾技術(shù)、人工噪聲、多波束通信等保障技術(shù)對網(wǎng)絡(luò)中物理裝置或設(shè)備進行防護，運行安全主要采用安全接入、安全切換、入侵檢測、訪問控制等保障技術(shù)對網(wǎng)絡(luò)的運行過程、狀態(tài)等進行保護，數(shù)據(jù)安全主要采用安全傳輸、密鑰管理等保障技術(shù)對數(shù)據(jù)的收集、處理、傳輸?shù)冗^程進行保護。參考文獻[10]總結(jié)了目前天地一體化信息網(wǎng)絡(luò)在各個層次中可能受到的攻擊方法和防御手段，見表1，并對其安全防護系統(tǒng)進行建模分析。參考文獻[11]認為天地一體化網(wǎng)絡(luò)系統(tǒng)復(fù)雜、技術(shù)體制多樣，其中安全技術(shù)涉及系統(tǒng)的各個層面，難以通過單項技術(shù)試驗實現(xiàn)系統(tǒng)層面的驗證和評估，基于通用開放、可重構(gòu)的理念提出了一種天地一體化網(wǎng)絡(luò)安全驗證系統(tǒng)方案，支持實現(xiàn)密鑰管理、安全路由、安全切換、安全隔離、安全傳輸?shù)劝踩Ｕ霞夹g(shù)的系統(tǒng)驗證，為天地一體化網(wǎng)絡(luò)安全各方面技術(shù)的集成演示驗證提供一個綜合試驗環(huán)境。

表1 天地一體化信息網(wǎng)絡(luò)所面臨的攻擊

上述研究可為天地網(wǎng)絡(luò)安全防護體系的設(shè)計提供重要參考。然而，隨著空間網(wǎng)絡(luò)形態(tài)的不斷演化，網(wǎng)絡(luò)設(shè)備泛在互聯(lián)、攻擊技術(shù)的不斷進化，網(wǎng)絡(luò)攻擊呈現(xiàn)“隱蔽性、協(xié)同性、精確性”等諸多特點，導(dǎo)致現(xiàn)有安全防護技術(shù)思路面臨巨大挑戰(zhàn)，主要表現(xiàn)在如下幾個方面。

? 現(xiàn)有安全防護技術(shù)思路大都依賴于攻擊先驗知識（如殺毒軟件、防火墻、IPS/IDS等），屬于“威脅特征和攻擊行為感知”的被動式防御思路，首先必須獲取攻擊的先驗知識才能有效防御，這和攻擊先驗知識難以準(zhǔn)確獲取本身是一對矛盾。因此，對已知的網(wǎng)絡(luò)威脅能夠高效、精確識別，但無法有效抵御基于系統(tǒng)軟硬件未知漏洞和后門等的未知威脅（如0day攻擊、APT等）。

? 部署模式嚴重依賴于邊界且靜態(tài)化?，F(xiàn)有安全防護技術(shù)手段大都采用各類專用軟硬件堆疊而成，靜態(tài)、固化地部署在用戶側(cè)或網(wǎng)絡(luò)邊界處。然而，由于各類安全功能彼此間接口封閉，缺乏統(tǒng)一的聯(lián)動機制，因此，安全能力之間難以形成協(xié)同，無法有效應(yīng)對高強度和復(fù)雜網(wǎng)絡(luò)攻擊；同時單一性、靜態(tài)性的防御技術(shù)盡管一定程度上提高了攻擊成功的門檻，但易被攻擊者通過目標(biāo)對象內(nèi)部的安全漏洞以及可能被預(yù)先植入的后門繞過、穿透。

? 網(wǎng)絡(luò)技術(shù)和安全技術(shù)難以實現(xiàn)共生演進。對于防護目標(biāo)而言，傳統(tǒng)安全防護技術(shù)機制一般通過“外掛”或“附加”功能外置方式提供安全防護能力，與防護目標(biāo)自身結(jié)構(gòu)與功能的設(shè)計基本是相互獨立的，在網(wǎng)絡(luò)變化時需要重新設(shè)計和部署安全機制，導(dǎo)致安全技術(shù)始終滯后于網(wǎng)絡(luò)技術(shù)的發(fā)展，無法實現(xiàn)與網(wǎng)絡(luò)技術(shù)的協(xié)同演進；同時由于采用專用軟硬件開發(fā)完成，研制周期長，難以適應(yīng)信息化戰(zhàn)爭條件下瞬息萬變的威脅態(tài)勢，難以滿足用戶、網(wǎng)絡(luò)和業(yè)務(wù)等的動態(tài)化安全防護需求；特別是固定防御能力的安全組件（尤其是星載設(shè)備載荷有限、設(shè)備更新升級難度大[12,13]），隨著環(huán)境的不斷變化以及攻擊者攻擊能力的不斷提升，其防御能力的持續(xù)性和有效性面臨考驗。

作為面向2030的重大科技工程，天地一體化信息網(wǎng)絡(luò)的建設(shè)既要立足現(xiàn)有國家和軍隊網(wǎng)絡(luò)需求，又要兼顧網(wǎng)絡(luò)和安全技術(shù)的長遠發(fā)展。因此，天地網(wǎng)絡(luò)安全防護技術(shù)思路必須能夠應(yīng)對網(wǎng)絡(luò)攻擊技術(shù)的不斷進化以及新網(wǎng)絡(luò)體制和技術(shù)機制下新的安全威脅。從技術(shù)發(fā)展的角度來看，不依賴于先驗知識、非基于邊界的內(nèi)生安全的主動防御技術(shù)由于能夠主動適應(yīng)用戶、網(wǎng)絡(luò)和業(yè)務(wù)的快速變化得到迅速發(fā)展，為天地一體化網(wǎng)絡(luò)的安全防護提供了新思路和技術(shù)途徑。

4 天地一體化信息網(wǎng)絡(luò)內(nèi)生安全機制設(shè)計

從前面的討論可以看出，傳統(tǒng)被動式防御技術(shù)思路難以有效適應(yīng)天地網(wǎng)絡(luò)的長期演進和攻擊技術(shù)的快速發(fā)展變化。為此，本文提出基于擬態(tài)防御的天地一體化信息網(wǎng)絡(luò)內(nèi)生安全機制應(yīng)用設(shè)計思路。首先介紹了擬態(tài)防御的基本思想和技術(shù)特性，在此基礎(chǔ)上進一步探討了擬態(tài)防御在天地一體化信息網(wǎng)絡(luò)架構(gòu)、關(guān)鍵信息系統(tǒng)中的應(yīng)用設(shè)想，并以擬態(tài)地面節(jié)點網(wǎng)絡(luò)路由器和擬態(tài)地面信息港云平臺為典型系統(tǒng)進行應(yīng)用示例。

4.1 擬態(tài)防御

4.1.1 基本思想

“擬態(tài)防御”基本思想[15]是在可靠性領(lǐng)域非相似余度構(gòu)造中導(dǎo)入動態(tài)性和隨機性元素，從而創(chuàng)造出一種功能等價條件下的動態(tài)異構(gòu)冗余架構(gòu)。其基于多模裁決的策略調(diào)度和多維動態(tài)重構(gòu)機制，既能給借助目標(biāo)系統(tǒng)內(nèi)部“漏洞后門”的網(wǎng)絡(luò)攻擊造成“防御迷霧”，也能屏蔽由于服務(wù)裝置設(shè)計缺陷或隨機失效導(dǎo)致的“差模故障”。其高可靠、高可用、高頑健三位一體的“內(nèi)生安全”屬性，允許目標(biāo)對象在擬態(tài)界內(nèi)使用“全球化條件下可信性不能確保供應(yīng)鏈”的軟硬構(gòu)件，且能在缺乏攻擊者信息和行為特征的情況下對“已知的未知”風(fēng)險或“未知的未知”威脅實施可度量的安全防護。

從技術(shù)思路上來說，網(wǎng)絡(luò)空間擬態(tài)防御本質(zhì)上創(chuàng)造了“動態(tài)異構(gòu)冗余—多模裁決—異常清洗”的網(wǎng)絡(luò)防御新模式，如圖1所示，具體為：對于擬態(tài)界內(nèi)被保護的功能過程，動態(tài)異構(gòu)冗余構(gòu)造建立和動態(tài)調(diào)度功能等價的異構(gòu)執(zhí)行體集合，從時間、空間兩個維度上動態(tài)改變系統(tǒng)功能與實現(xiàn)結(jié)構(gòu)之間的對應(yīng)關(guān)系，使攻擊者對目標(biāo)對象的結(jié)構(gòu)、運行環(huán)境等陷入迷茫，探測感知或預(yù)測防御行為的難度呈非線性增加；多模裁決對異構(gòu)冗余執(zhí)行體的輸出矢量進行表決，產(chǎn)生正確的輸出響應(yīng)，并裁決出“與眾不同”的可疑執(zhí)行體，從而將攻擊事件轉(zhuǎn)換為對防御者而言概率可控的可靠性問題，迫使攻擊方必須面對非配合條件下對動態(tài)目標(biāo)實施協(xié)同一致攻擊的挑戰(zhàn)；此外，防御方實時對攻擊效果進行度量和評估，有策略地執(zhí)行清洗和多維動態(tài)重構(gòu)，使得攻擊者視在的防御場景更趨動態(tài)復(fù)雜，攻擊經(jīng)驗無法復(fù)制或繼承，呈現(xiàn)出對目標(biāo)體結(jié)構(gòu)和運行環(huán)境的“測不準(zhǔn)”效應(yīng)，攻擊行動無法產(chǎn)生可規(guī)劃、可預(yù)期的效果。這些機制對傳統(tǒng)攻擊理論和方法將產(chǎn)生顛覆性的影響，大幅增加攻擊難度和成本，從根本上改變“易攻難守”的攻防格局。

圖1 擬態(tài)防御的動態(tài)異構(gòu)冗余構(gòu)造

4.1.2 技術(shù)特性

從技術(shù)體制上來說，擬態(tài)防御是一種內(nèi)生的融合式防御機制，其內(nèi)生性體現(xiàn)為在非相似余度構(gòu)造上導(dǎo)入生物擬態(tài)偽裝策略的“動態(tài)異構(gòu)冗余構(gòu)造”，類似于脊椎動物非特異性和特異性雙重免疫機制的物理構(gòu)造，基于該構(gòu)造的防御機制具有“通殺”能力，使得目標(biāo)對象能夠在不依賴任何先驗知識或者“攻擊行為特征庫”、不需要現(xiàn)有防御技術(shù)手段支撐的條件下，獨立有效地應(yīng)對基于已知和未知漏洞后門的已知和未知威脅。同時，能夠降低基于目標(biāo)對象未知漏洞后門等未知攻擊的確定性，并將不確定攻擊效果轉(zhuǎn)變?yōu)楦怕士煽氐目煽啃允录?。這些防御效果使得防御方只需采用統(tǒng)一的內(nèi)生安全架構(gòu)即可破解基于未知漏洞和后門的安全威脅，而攻擊者必須面對“動態(tài)冗余空間，非配合條件下多元目標(biāo)協(xié)同一致攻擊”的挑戰(zhàn)，大幅提升了其難度和代價。即便攻擊者一次攻擊成功，其攻擊手法和經(jīng)驗也難以復(fù)現(xiàn)或繼承，失去傳播利用價值，實現(xiàn)了防御方獲得對攻擊方的非對稱優(yōu)勢。其次，擬態(tài)防御不再需要防御方預(yù)先掌握攻擊方的先驗知識，消除了攻擊方在行為、時空等方面不確定而帶來的“出其不意、先發(fā)制人”的戰(zhàn)略主動優(yōu)勢。再者，采用擬態(tài)防御的信息系統(tǒng)的安全性由內(nèi)生安全架構(gòu)決定，不依賴于特定異構(gòu)執(zhí)行部件的先進或安全與否，在符合功能等價的條件下均可使用，緩解了技術(shù)先進國家對后進國家的“賣方市場”優(yōu)勢。

4.2 應(yīng)用設(shè)想

4.2.1 具備內(nèi)生安全的防護體系架構(gòu)

智能態(tài)勢感知層面提供威脅情報、數(shù)據(jù)融合、智能分析、決策預(yù)警和全局安全可視等；安全支撐層面提供身份管理、權(quán)限管理、密碼資源管理、密碼服務(wù)、密碼算法、密碼協(xié)議等基礎(chǔ)安全能力；接入層面支持接入認證、動態(tài)授權(quán)、接入控制、無線接入安全、鏈路可信保持和無縫安全切換等能力；利用具有多維動態(tài)重構(gòu)特性的擬態(tài)防御內(nèi)生安全技術(shù)機制，在系統(tǒng)層面提供硬件、軟件和運行環(huán)境等的內(nèi)生安全能力；在網(wǎng)絡(luò)層面提供源地址認證、網(wǎng)絡(luò)實體認證、邊界安全、安全路由交換協(xié)議、信息安全管控和網(wǎng)間互聯(lián)安全等能力；安全防護中心在安全云平臺的支撐下提供安全服務(wù)編排、安全服務(wù)管理和網(wǎng)絡(luò)運行監(jiān)測以及按需安全服務(wù)和協(xié)同聯(lián)動感控能力。

在具體實現(xiàn)上，通過將動態(tài)異構(gòu)冗余基因應(yīng)用到云網(wǎng)架構(gòu)層面，形成動態(tài)路由、動態(tài)IP地址、動態(tài)拓撲結(jié)構(gòu)、動態(tài)異構(gòu)協(xié)議等安全機制；應(yīng)用到天基骨干網(wǎng)、天基接入網(wǎng)、地基節(jié)點網(wǎng)和服務(wù)平臺等節(jié)點層面，形成擬態(tài)化網(wǎng)絡(luò)控制器、擬態(tài)化路由器、擬態(tài)化DNS服務(wù)器、擬態(tài)化威脅感知器和擬態(tài)化云服務(wù)平臺等；應(yīng)用到構(gòu)件層面，形成各類擬態(tài)化構(gòu)件，如圖3所示。

圖2 天地一體化網(wǎng)絡(luò)安全防護體系架構(gòu)

圖3 內(nèi)生安全防護架構(gòu)的應(yīng)用示意

4.2.2 典型系統(tǒng)應(yīng)用示例

（1）擬態(tài)地面節(jié)點網(wǎng)路由器

路由器從功能上可以劃分為3個平面：配置管理平面、路由控制平面和數(shù)據(jù)轉(zhuǎn)發(fā)平面。數(shù)據(jù)轉(zhuǎn)發(fā)平面的功能就是對進入系統(tǒng)的數(shù)據(jù)進行查表，并按照查表結(jié)果將數(shù)據(jù)轉(zhuǎn)發(fā)出去。路由控制平面通過運行各種不同的路由協(xié)議實現(xiàn)路由計算，并將產(chǎn)生的路由表項傳送給轉(zhuǎn)發(fā)平面使用，而各個功能的運行則由配置管理平面通過配置管理規(guī)則（如CLI、SNMP或者Web等）進行配置管理，處理流程可以歸納為：從網(wǎng)絡(luò)中鄰居節(jié)點接收路由通告，進行路由計算后生成路由表項，并向鄰居節(jié)點輸出本地計算的路由結(jié)果。配置管理平面的處理流程可以歸納為：接收網(wǎng)絡(luò)管理者的管理配置請求，執(zhí)行配置管理操作，輸出配置管理結(jié)果。數(shù)據(jù)轉(zhuǎn)發(fā)平面的處理流程可以歸納為：從接口單元獲得接口輸入的數(shù)據(jù)分組，進行輸入操作后查找本地轉(zhuǎn)發(fā)表，對數(shù)據(jù)分組進行匹配操作后，按照轉(zhuǎn)發(fā)指示從對應(yīng)接口將數(shù)據(jù)分組輸出。

基于上述分析，設(shè)計的擬態(tài)路由器系統(tǒng)架構(gòu)[17]如圖4所示，分為硬件層面和軟件層面。硬件層面為標(biāo)準(zhǔn)的OpenFlow交換機（OpenFlow switch，OFS），軟件層面包括OFC、代理插件、擬態(tài)裁決、異構(gòu)執(zhí)行體池、動態(tài)調(diào)度以及感知決策單元（這些單元統(tǒng)稱為擬態(tài)插件）。在該系統(tǒng)架構(gòu)中，OFC基于消息的協(xié)議類型進行消息分發(fā)，由多個代理插件基于各自的協(xié)議機制進行有狀態(tài)或者無狀態(tài)處理后分發(fā)給各個執(zhí)行體；各個執(zhí)行體的協(xié)議軟件對收到的消息進行處理，產(chǎn)生流表信息和對應(yīng)的輸出消息；各個執(zhí)行體產(chǎn)生的路由表信息經(jīng)擬態(tài)裁決產(chǎn)生“可信”的表項下發(fā)給OFS。擬態(tài)裁決結(jié)果觸發(fā)控制機制，實現(xiàn)對執(zhí)行體調(diào)度、清洗修復(fù)或重構(gòu)重組等操作。

圖4 地面節(jié)點網(wǎng)擬態(tài)路由器架構(gòu)

（2）擬態(tài)地面信息港云平臺

但我也要強調(diào)，車輛在賽道上的表現(xiàn)并非本次選題策劃的唯一目的。更重要的一點在于，所有參與車輛能否在賽道以外的環(huán)境中滿足用戶的需求。換言之，哪款車配備了扶手箱？哪款車的行李空間僅能滿足100公里的短途出行？哪款車能夠為駕乘者帶來最為充分的保護？哪款車能夠賦予駕駛者特殊的氣質(zhì)？這些看似細枝末節(jié)的使用問題我們都會予以關(guān)注。

擬態(tài)云虛擬可信平臺的基本思想是將擬態(tài)防御的動態(tài)、異構(gòu)、冗余技術(shù)應(yīng)用到云服務(wù)平臺的計算、存儲和網(wǎng)絡(luò)層面中，構(gòu)建安全可信的擬態(tài)虛擬機、擬態(tài)容器、擬態(tài)存儲和擬態(tài)控制組件，提高云服務(wù)平臺應(yīng)對利用未知漏洞和后門帶來的不確定性威脅的能力。擬態(tài)云虛擬可信平臺主要包括擬態(tài)虛擬機、擬態(tài)容器和擬態(tài)存儲以及擬態(tài)調(diào)度器和控制器、鏡像管理器等，如圖5所示。

圖5 擬態(tài)云虛擬可信平臺實現(xiàn)思路

虛擬資源池提供異構(gòu)的虛擬機、容器和存儲組件，擬態(tài)云虛擬可信平臺對異構(gòu)的虛擬機、容器和存儲組件進行擬態(tài)化，建立多種虛擬資源實體的擬態(tài)結(jié)構(gòu)，包括擬態(tài)云主機、擬態(tài)容器和擬態(tài)存儲等，每個結(jié)構(gòu)內(nèi)部均包括虛擬代理、異構(gòu)冗余執(zhí)行體、虛擬裁決器，由“擬態(tài)代理”負責(zé)擬態(tài)結(jié)構(gòu)對外的單一呈現(xiàn)，控制代理、健康監(jiān)控等負責(zé)將運行、裁決信息反饋至云管理系統(tǒng)中。在云管理系統(tǒng)中，引入擬態(tài)調(diào)度器和控制器，確保擬態(tài)組件的冗余性、異構(gòu)性和擬態(tài)界面的選取等，并根據(jù)擬態(tài)云虛擬機運行狀態(tài)和安全策略進行動態(tài)調(diào)度和清洗。擬態(tài)虛擬機、容器和存儲單元對外呈現(xiàn)為正常的計算、存儲組件，基于擬態(tài)虛擬機、容器和存儲單元構(gòu)建的應(yīng)用，確保虛擬機、存儲存在漏洞和后門的情況下計算環(huán)境的安全可信。

5 結(jié)束語

本文在分析天地一體化信息網(wǎng)絡(luò)面臨的安全威脅和現(xiàn)有防護技術(shù)思路的基礎(chǔ)上，探討了擬態(tài)防御技術(shù)在天地網(wǎng)絡(luò)架構(gòu)、關(guān)鍵信息系統(tǒng)中的應(yīng)用設(shè)想，提出具備內(nèi)生安全的天地一體化網(wǎng)絡(luò)安全防護體系架構(gòu)設(shè)計，并以擬態(tài)地面節(jié)點網(wǎng)絡(luò)路由器和擬態(tài)地面信息港云平臺為典型系統(tǒng)進行應(yīng)用示例，相關(guān)技術(shù)思路和設(shè)計可為內(nèi)生安全的天地一體化網(wǎng)絡(luò)安全防護體系建設(shè)提供借鑒。

[1] 孫晨華. 天基傳輸網(wǎng)絡(luò)和天地一體化信息網(wǎng)絡(luò)發(fā)展現(xiàn)狀與問題思考[J]. 無線電工程, 2017, 47(1): 1-6.

SUN C H. Research status and problems for space-based transmission network and space-ground integrated information network[J]. Radio Engineering, 2017, 47(1): 1-6．

[2] 吳曼青, 周彬. 天地一體化信息網(wǎng)絡(luò)工程立項建議書(初稿)[R]. 中國電子科學(xué)研究院, 2015: 1-10．

WU M Q, ZHOU B. Integrated information network project project proposal (draft)[R]. China Electronics Research Institute, 2015: 1-10.

[3] 陸洲, 秦智超, 張平. 天地一體化信息網(wǎng)絡(luò)系統(tǒng)初步設(shè)想[J]. 國際太空, 2016,7(451): 20-25.

LU Z, QIN Z C, ZHANG P. Initial layout of space-ground integrated information network system[J]. Space International, 2016, 7(451): 20-25.

[4] 周若飛, 王鋼. 論天地一體化網(wǎng)絡(luò)的建設(shè)與軍民融合前景[C]//第三十二屆全國通信與信息技術(shù)學(xué)術(shù)年會集, 2017年9月20-22日, 福州, 中國. [出版地不詳:出版者不詳], 2017: 1-6.

ZHOU R F, WANG G. On the construction of space-ground integrated information network and prospects for the integration of military and civilians[C]// The 32nd National Conference on Communication and Information Technology. September 20-22, 2017, Fuzhou, China.[S.l.:s.n.], 2017: 1-6.

[5] 李華, 范鑫鑫, 秘建寧, 等. 空天地一體化網(wǎng)絡(luò)安全防護技術(shù)分析[J]. 中國電子科學(xué)研究院學(xué)報, 2014, 9(6): 592-597.

LI H, FAN X X, BI J N, et al. Analysis of security technologies in integrated space-air-ground networks[J]. Journal of China Academy of Electronics and Information Technology, 2014, 9(6): 592-597.

[6] 胡圣波, 孟新, 蔣立正. 天地一體化信息網(wǎng)絡(luò)空間戰(zhàn)主動自防御支持技術(shù)[J]. 貴州科學(xué), 2011, 29(1): 59-62.

HU S B, MENG X, JIANG L Z. Supporting techniques of proactive self-defense for cyberspace war with integrated space-ground network system[J]. Guizhou Science, 2011, 29(1): 59-62.

[7] 魯瀚. 軍民融合無線網(wǎng)絡(luò)安全體系建設(shè)思路[C]//第三十二屆全國通信與信息技術(shù)學(xué)術(shù)年會論文集, 2017年9月20-22日, 福州, 中國. [出版地不詳:出版者不詳], 2017: 333-337.

LU H. Construction ideas of military and civilian integration of wireless network security system[C]//The 32nd National Conference on Communication and Information Technology. September 20-22, 2017, Fuzhou, China.[S.l.: s.n.], 2017: 333-337.

[8] 吳曼青, 吳巍, 周彬, 等. 天地一體化信息網(wǎng)絡(luò)總體架構(gòu)設(shè)想[J]. 衛(wèi)星與網(wǎng)絡(luò), 2016(3): 30-36.

WU M Q, WU W, ZHOU B, et al. Overall framework design of space-ground integrated information network[J]. Satellite & Network, 2016(3): 30-36.

[9] 李鳳華, 殷麗華, 吳巍, 等. 天地一體化信息網(wǎng)絡(luò)安全保障技術(shù)研究進展及發(fā)展趨勢[J]. 通信學(xué)報, 2016, 37(11): 156-168.

LI F H, YIN L H, WU W, et al. Research status and development trends of security assurance for space-ground integration information network[J]. Journal on Communications, 2016, 37(11): 156-168.

[10] 閆大鵬, 趙軍, 黃小紅, 等. 基于天地一體化信息網(wǎng)絡(luò)的安全防護系統(tǒng)建模及可靠性分析[C]//天地一體化信息網(wǎng)絡(luò)高峰論壇, 2013年9月24日, 北京, 中國. [出版地不詳:出版者不詳], 2013.

YAN D P, ZHAO J, HUANG X H, et al. Security defense system modeling and reliability analysis based on space-ground integrated information network[C]//Global Integration Of Information Network Summit Forum., September 24, Beijing, China.[S.l.: s.n.], 2013.

[11] 秦智超, 張平, 范鑫鑫, 等. 面向天地一體化信息網(wǎng)絡(luò)的安全驗證平臺設(shè)計[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2016, 2(8): 39-47.

QIN Z C, ZHANG P, FAN X X, et al. Design of security verification platform for the integrated space-ground network[J]. Chinese Journal of Network and Information Security, 2016, 2(8): 39-47.

[12] NASA. NASA space communications and navigation architecture recommendations for 2005-2030[R]. 2006: 1-50．

[13] LOVELLY T M, BRYAN D. A framework to analyze processor architectures for next- generation on-board space computing[C]//IEEE Aerospace Conference, March 1-8, 2014, Big Sky, USA. New Jersey: IEEE Press, 2014: 1-10．

[14] 方濱興, 殷麗華. 關(guān)于信息安全定義的研究[J]. 信息網(wǎng)絡(luò)安全, 2008(1): 8-10.

FANG B X, YIN L H. Research on the definition of information security[J]. Netinfo Security, 2008(1): 8-10.

[15] 鄔江興. 擬態(tài)計算與擬態(tài)安全防御的原意和愿景[J]. 電信科學(xué), 2014, 30(7): 2-7.

WU J X. Meaning and vision of mimic computing and mimic security defense[J]. Telecommunications Science, 2014, 30(7): 2-7.

[16] 鄔江興. 網(wǎng)絡(luò)空間擬態(tài)防御研究[J]. 信息安全學(xué)報, 2016, 1(4): 1-10.

WU J X. Research on cyber mimic defense[J]. Journal of Cyber Security, 2016, 1(4): 1-10.

[17] 國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心. 路由器擬態(tài)防御原理驗證系統(tǒng)[R]. 2015.

National Digital Switching System Engineering & Technological R&D Center. Router mimicry defense principle verification system[R]. 2015.

New thoughts on security technologies for space-ground integration information network

JI Xinsheng, LIANG Hao, HU Hongchao

National Digital Switching System Engineering & Technological R&D Center, Zhengzhou 450002, China

Space-ground integration information network is one of the national science and technology major projects toward 2030, and the key to its running stability is security protection. However, the defense technology which has intrinsic security without depending on priori knowledge and being based on boundary is able to adapt proactively to rapid changes in users, networks and requirements, therefore it has become a significant development direction of academic and industrial circles. Based on the analysis of the security threats and the existing protection technologies and ideas of the integrated information network, the application of endogenous security defense technology in the world network architecture and key information system was discussed. Related technical ideas and design proposed can be used to provide reference for building of security protection system on space-ground integration information network with intrinsic security.

space-ground integration information network, security protection, intrinsic security, mimic defense

TP393

A

10.11959/j.issn.1000?0801.2017335

2017?11?10；

2017?12?11

梁浩，lhmailhappy@163.com

國家自然科學(xué)基金創(chuàng)新研究群體資助項目（No.61521003）；國家重點研發(fā)計劃基金資助項目（No.2016YFB0800100，No.2016YFB0800101）；國家自然科學(xué)基金資助項目（No.61602509）；河南省科技攻關(guān)計劃基金資助項目（No.172102210615）；信息工程大學(xué)新興方向培育基金資助項目（No.2016610708）

: Innovative Research Groups of the National Natural Science Foundation of China (No.61521003), The National Key R&D Program of China (No.2016YFB0800100, No.2016YFB0800101), The National Natural Science Foundation of China (No.61602509), The Science and Technology Research Project of Henan Province (No.172102210615), The Emerging Direction Nurturing Foundation in Information Engineering University (No.2016610708)

季新生（1968?），男，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心教授、博士生導(dǎo)師，主要研究方向為無線移動通信技術(shù)、信息安全、新型網(wǎng)絡(luò)體系結(jié)構(gòu)。

梁浩（1987?），男，博士，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心助理研究員，主要研究方向為網(wǎng)絡(luò)空間安全、主動防御技術(shù)。

扈紅超（1982?），男，博士，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心副研究員，主要研究方向為網(wǎng)絡(luò)空間安全、主動防御技術(shù)。