朱維軍　樊永文　班紹桓

摘要：針對全艦計算環(huán)境（Total Ship Computing Environment，TSCE）體系結(jié)構(gòu)的計算安全性問題，提出基于動態(tài)異構(gòu)冗余的TSCE體系結(jié)構(gòu)設(shè)計思想。首先，對TSCE的基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)分別進行動態(tài)異構(gòu)冗余（Dynamic Heterogeneous Redundancy，DHR）設(shè)計，獲得具有更佳抗攻擊性的擬態(tài)防御系統(tǒng)成份；然后，把上述兩大組成部分按照TSCE原有組織架構(gòu)連接起來，即可獲得具有擬態(tài)防御能力的全艦計算環(huán)境系統(tǒng)架構(gòu)。內(nèi)嵌的擬態(tài)防御機制可望為新模型帶來更強的抗攻擊性與主動防御能力。

關(guān)鍵詞：動態(tài)；異構(gòu)；冗余；擬態(tài)防御；全艦計算環(huán)境

中圖分類號：TP309.1 文獻標識碼：A 文章編號：1007-9416（2018）01-0203-03

1 引言

未來海戰(zhàn)模式將由“平臺中心戰(zhàn)”轉(zhuǎn)向“網(wǎng)絡(luò)中心戰(zhàn)”[1]。1998年，美國海軍水面戰(zhàn)中心首次提出“全艦計算環(huán)境”的概念[2]。2012年，“朱姆沃爾特”級驅(qū)逐艦DDG-1000交付美海軍使用，這是第一艘全面實施TSCE的軍艦[3]。2017年，“福特”號航母交付美海軍使用，這是第一艘采用TSCE的航空母艦[4]。

全艦計算環(huán)境以網(wǎng)絡(luò)為中心，集成作戰(zhàn)系統(tǒng)、預(yù)警系統(tǒng)、動力系統(tǒng)、武器系統(tǒng)與指揮系統(tǒng)，對上述系統(tǒng)的計算單元進行了統(tǒng)一和規(guī)范，并按照標準化、綜合化、一體化、自動化的建設(shè)思路，解決各作戰(zhàn)子系統(tǒng)集成時的煙囪問題，為全艦電子信息裝備提供通用、開放、共享的計算環(huán)境，從而形成統(tǒng)一的網(wǎng)絡(luò)中心戰(zhàn)平臺，促進跨平臺、跨領(lǐng)域協(xié)同作戰(zhàn)。由于TSCE具有如上所述優(yōu)勢，美軍已表示其下一代艦艇的開發(fā)均將使用TSCE[1，3，5]。

2013年4月，美海軍模擬黑客攻擊發(fā)現(xiàn)“自由”號瀕海戰(zhàn)斗艦網(wǎng)絡(luò)系統(tǒng)存在信息安全弱點[6]。2014年10月，美海軍海上系統(tǒng)司令部承認美海軍潛艇的控制系統(tǒng)存在網(wǎng)絡(luò)安全漏洞[6]。TSCE裝備是否存在網(wǎng)絡(luò)安全隱患？文獻[6]對此進行分析，認為在網(wǎng)絡(luò)層面、主機層面、應(yīng)用層面和數(shù)據(jù)層面均存在安全問題。并提出總體結(jié)構(gòu)防御模型，通過采取網(wǎng)絡(luò)準入、訪問控制、安全審計、終端防護、服務(wù)器加固等措施，保護TSCE安全[6]。然而，上述措施并不能從根本上解決問題。這是本文研究的課題。

2 背景知識

2.1 全艦計算環(huán)境

TSCE由上層的作戰(zhàn)應(yīng)用軟件包和下層的TSCE基礎(chǔ)設(shè)施（TSCEi）兩部分組成，其組成結(jié)構(gòu)參見圖1。TSCE對全艦裝備的控制拓撲結(jié)構(gòu)參見圖2。更多詳情，參見文獻[2]和文獻[6]。篇幅所限，這里不再詳述。

2.2 動態(tài)異構(gòu)冗余結(jié)構(gòu)

擬態(tài)防御是近年來最新出現(xiàn)的一種網(wǎng)絡(luò)安全技術(shù)，由鄔江興院士提出[7]。該技術(shù)針對未知安全漏洞、軟硬件后門等問題的本源，采用動態(tài)異構(gòu)冗余的系統(tǒng)設(shè)計思想與網(wǎng)絡(luò)空間主動防御理念，導(dǎo)致已有的掃描探測、漏洞利用、后門設(shè)置、病毒注入、木馬植入乃至APT等攻擊手段和方法難以發(fā)揮預(yù)期的作用和效力[7]。

DHR結(jié)構(gòu)是一種典型的擬態(tài)防御技術(shù)，圖3給出了它的結(jié)構(gòu)示意圖。對于該結(jié)構(gòu)的詳細介紹，參見文獻[7]。篇幅所限，這里不再詳述。

3 基于DHR結(jié)構(gòu)的TSCE系統(tǒng)架構(gòu)

本節(jié)使用DHR思想設(shè)計TSCE系統(tǒng)架構(gòu)，以圖提升TSCE的抗攻擊能力。我們的核心思路在于：對底層的TSCEi硬件和上層的應(yīng)用系統(tǒng)軟件包均引入動態(tài)、異構(gòu)、冗余機制。

新模型的關(guān)鍵原理在于：（1）無論是軟件執(zhí)行體還是硬件執(zhí)行體，均采用多份具有相同功能不同結(jié)構(gòu)的冗余執(zhí)行體實施計算；（2）使用表決器對不同執(zhí)行體的計算結(jié)果進行表決，對于與多數(shù)執(zhí)行體計算結(jié)果不同的執(zhí)行體，可認為存在攻擊在該執(zhí)行體上發(fā)揮效力；（3）對于被有效攻擊的執(zhí)行體實施清除操作，該執(zhí)行體退出計算，從構(gòu)件池中隨機選取一個構(gòu)件作為新執(zhí)行體加入計算。

基于DHR結(jié)構(gòu)的TSCE系統(tǒng)運行原理可由圖4表示。

4 計算安全性分析

鄔江興院士指出，DHR構(gòu)造的抗攻擊能力在體系上源自異構(gòu)、冗余，在不確定機制上受惠于動態(tài)、隨機、多樣性，在攻擊難度上得益于去協(xié)同化環(huán)境造就的非配合條件下的協(xié)同化攻擊困境，在實現(xiàn)方法上來源于功能等價條件下的多維動態(tài)重構(gòu)機制的應(yīng)用[7]。我們使用上述機制重建TSCE系統(tǒng)結(jié)構(gòu)，把DHR結(jié)構(gòu)基因?qū)用嫣烊粌?nèi)嵌的抗攻擊性注入TSCE系統(tǒng)，變TSCE被動防御措施[2，6]為主動防御，以便提升TSCE計算安全性。

新模型在系統(tǒng)架構(gòu)層面提升TSCE安全性；與之對照，我們的前期研究則在系統(tǒng)設(shè)計的早期使用形式化的途徑驗證TSCE系統(tǒng)的計算安全性[8]，這樣的形式化方法若發(fā)現(xiàn)邏輯錯誤，可幫助工程人員早期修改、避免設(shè)計錯誤?？梢?，本文方法與文獻[8]中方法可配合使用以瞄準提升TSCE安全性。

文獻[2]設(shè)計了一種TSCE安全結(jié)構(gòu)框架，文獻[6]給出TSCE安全防護的一些具體措施。這些工作都是有益的，然而并不能改變被動防御的態(tài)勢。與之相比，新設(shè)計的工程模型內(nèi)嵌DHR主動防御[9]機制，在抗攻擊性方面可望具有比較優(yōu)勢。

5 結(jié)語

作為未來海戰(zhàn)“網(wǎng)絡(luò)中心戰(zhàn)”的核心平臺，TSCE自身的安全與抗攻擊性是它能夠正常發(fā)揮功能的前提，這是研究TSCE安全性問題的意義。本工作提出利用擬態(tài)防御技術(shù)設(shè)計全艦計算環(huán)境的思想，初步給出一種基于動態(tài)異構(gòu)冗余機制的TSCE系統(tǒng)架構(gòu)設(shè)計。這是本文的主要貢獻。

6 致謝

感謝文后參考文獻的作者。本文作者正是在閱讀這些公開發(fā)表/發(fā)布文獻的基礎(chǔ)上，給出我們的個人思考與個人觀點。

參考文獻

[1]賈華杰，鮮明，陳永光.網(wǎng)絡(luò)中心戰(zhàn)及其新技術(shù)[J].國防科技，2011，32（4）：44-49.

[2]金剛.全艦計算環(huán)境安全體系結(jié)構(gòu)研究[J].艦船電子工程，2016，36（11）：5-7，62.

[3]張偉.美國海軍全艦計算環(huán)境發(fā)展及關(guān)鍵技術(shù)[J].船舶科學(xué)技術(shù)，2016，38，（7）：148-152.

[4]石劍.開放體系架構(gòu)在海軍信息系統(tǒng)應(yīng)用模式研究[J].艦船電子工程，2016，36（9）：5-8.

[5]郭隆華.“朱姆沃爾特”級驅(qū)逐艦全艦計算環(huán)境研究取得進展[J].船舶科學(xué)技術(shù)，2008， （5）：164-164.

[6]威努特工控安全，基于全艦計算環(huán)境（TSCE）架構(gòu)的工控安全防護淺析[EB/OL]， http：//mp.weixin.qq.com/s/w9s4ETmXSYJ-WeIWvASbew，2018年1月16日.

[7]鄔江興.網(wǎng)絡(luò)空間擬態(tài)防御研究[J]，信息安全學(xué)報，2016，1（4）：1-10.

[8]朱維軍，樊永文，聶凱.全艦計算環(huán)境形式化驗證算法[J].數(shù)字技術(shù)與應(yīng)用，2017，2017（6）：140-141，143.

[9]鄔江興.網(wǎng)絡(luò)空間擬態(tài)防御導(dǎo)論[M].北京：科學(xué)出版社，2017.