军队无线网络安全体系构建思考

周波++熬洪++高原

摘要：棱镜门事件诠释了网络信息安全形势表现出的支撑体系化、产业化和多样化的特点，以美国为首的信息技术强国正在构建海陆空天电全方位的信息攻防体系架构。相比之下，我国军队等重要领域的信息系统安全防御基础相对薄弱，尤其是手机、Wi-Fi等无线网络日益普及带来的网络安全问题对军队网络安全带来的隐患。本文从我军面临的无线网络安全的现状入手，分析了当前面临的严峻的安全形势，并提出了解决我军平时无线网络安全问题的解决方案。

关键词：无线网络；军队；安全；物理层安全；可见光通信

中图分类号：TN 929.3

文献标识码：A

DOI： 10.3969/j.issn.1003-6970.2015.08.004

0 引言

进入二十一世纪的第二个十年以来，信息已经成为人类社会文明进步的要素资源，成为现代社会持续发展的基本条件。信息网络空间已经成为继陆、海、空、天之后的第五大国家主权疆域，成为世界各国战略竞争的重要领域。信息安全已成为与国防安全、能源安全、粮食安全并列的四大国家安全领域之一。

近些年来，以美国为代表的信息技术强国利用自身所垄断的全球信息技术优势，加紧构建信息安全保障和攻击体系，以进一步巩固其在网络空间的统治地位。在美国现有的国家信息安全体系中，政府、IT企业和社会团体分工协作，相互配合，共同推进美国国家和军队的信息安全体系建设。当前，美国政府部门作为信息安全战略制定、网络和信息安全项目策划、网络情报侦查、网络防御以及网络进攻的主导者，引领了整个美国信息安全领域的发展和规划。其主要部门包括国土安全部、国防部、美军网电司令部、商务部、联邦调查局以及中央情报局；美国的IT企业则是网络攻防的具体实施机构和重要支撑单位，是美国政府和军队海量情报数据的来源，同时也是实施网络作战的实施主体；而美国及其盟国中一些非营利性团体和学术组织则为美国政府和军队提供了舆论和技术层面的支持，同时进行了人才的输出，以支撑日益强大的美国信息作战部队。

随着无线与移动通信技术的高速发展，抛开有线束缚的无线通信技术为国家和军队的指挥和作战带来了极大的便利性，然而也埋下了极大的安全隐患。截至2014年年底，美国情报和军队相关部门在无线网络中侦收和攻击获得的情报已经占到美国情报总量的约57.6%，凸显了当前国家和军队无线网络安全的严峻态势。美军网电司令部2015年战略规划指南显示，未来美军网电部队将把无线领域作为网络攻防作战的重点，这对我国国防和军队网络安全体系和技术提出了新的考验。本论文从历史出发，对交换技术进行了简要的回顾，指出了当前交换网络发展的瓶颈以及问题，并基于前沿的下一代智能网络以及大数据交换网络提出了展望和设想。

1 军队无线网络安全现状

我国的互联网、电信网、广电网和各类专网（包含军网）组成的国家基础网络是国家和军队信息安全防护的重要对象，但是这些基础社会建设过程中普遍存在着重建轻防，甚至只建不防的问题，造成网络信息安全体系构建的极大障碍。

当前，我军无线网络通信手段主要包含战场卫星通信、短波电台通信、水下潜艇长波通信等战时通信手段，以及军队日常办公所使用的蜂窝网移动手机通信、单位无线局域网（Wi-Fi）以及家庭使用的宽带及家庭无线局域网等非战时通信手段。由于战时通信技术具有较强的应用层加密以及物理层跳频和扩频保障，传统的窃密和攻击手段并不能很快奏效，反而是和平时期工作用无线局域网、个人手机、家庭Wi-Fi等上网和通话极易被侦听和窃密，导致无意识泄密。据不完全统计，2014年以来军队、军工企业等军事相关单位因手机、家庭宽带/Wi-Fi等被攻击及窃听的事件约470起，造成不可估量的军事、经济以及国家核心技术损失。

美国凭借其在信息领域的绝对优势，不断将其技术和设备输出到中国，而国产化设备的低性能、高价格等不足进一步导致了党政军系统中日常无线网络通信设备国产化程度极低，使得日常无线网络的安全防线处于近乎失灵的状态。在美国IT跨国公司和美国网络部队等诸如“棱镜”项目面前，我军的基础网络和重要信息系统几乎完全处于不设防状态。诸如思科、微软、英特尔、IBM等IT企业几乎完全控制了我国高端IT产品的生产及应用。据Gartner数据显示，Windows系列操作系统在我国市场占有率超过9成，英特尔在微处理器市场上占有率也超过8成，谷歌的安卓操作系统在我国市场占有率达到8成。即使是国产的联想、酷派等手机，其核心芯片和操作系统也多是国外生产，使得我国无法从技术层面根除安全隐患。

2 解决方案：物理层安全技术和可见光通信技术

针对目前日常军队无线网络安全性的问题，本文提出了两种可行的改进方案，能够在现有技术的基础上，从防止无线信号被侦收和泄漏的角度实现日常状态下部队营区无线通信的安全保密。

在现有的通信系统中，通信的保密性主要依赖于基于计算密码学的加密体制，早在20世纪初就已有人提出将传输的信息与密钥取异或的方法来增强信息传递的安全性。这种基于密钥的加密方法首次由Shannon于1949年给出了数学的理论分析。假设发送者希望把信息M秘密地发送给接收者，称M为明文信息。则加密的过程为，在发送端，发送者通过密钥K以及加密算法f对所要传输的明文M进行加密，得到密文S。在接收端，接收者通过密钥K以及与加密算法相应的解密算法，我们用f^-1标记，来进行解密，从而得到明文M。通过对加解密过程的观察，可以得知，有两个方法防止窃听者从窃听到的S中获取明文M： 一个是窃听者不知道密钥K，另外一个是解密算法非常困难，窃听者难以在有限的时间用有限的资源进行解密。基于这两个方法，延伸出了现代通信系统中非常常见的两种加密形式，一个是对称密钥加密，一个是非对称密钥加密。

现代密码学的加密体制主要是在物理层之上的几层来实现的，譬如MAC层、网络层、应用层等等，故有时也称基于现代密码学的安全为上层安全。物理层对于现代密码学加密体制来说是透明的，即物理层安全与上层安全是独立的。下面分别介绍物理层安全的两个基础知识，分别是：窃听信道模型和安全传输速率。窃听信道模型是物理层安全所研究的基本信道模型，安全传输速率是衡量物理层安全系统性能的重要指标。

物理层安全主要是利用特殊的信道编码和无线信道的随机特性使得秘密通信得以进行，它与现代密码学不同之处在于，其安全程度并不依赖于Eve的计算强度，而是依赖无线信道环境的随机特性。但是，从保密环节上来说，物理层安全与传统的计算密码学的安全却有着本质的相似之处。如图1所示。物理层安全中的编码调制环节和信道的随机性是安全通信的必要条件，正如现代密码学体制中的加密算法和密钥。编码调制环节是指Alice根据Alice-Bob和Alice-Eve信道的信道条件，通过独特的信道编码来保证Alice与Bob之间安全又可靠的通信。从安全的角度来说，编码调制环境可以被看作现代密码学中的加密过程，信息加密后生成的密文记为Xn。密文经过无线信道和解调译码可以等同为现代密码学中的解密环节，其中信道信息{h，g}可以看作公共密钥，而Bob接收端的噪声可以看作Bob的私钥，Eve是没有办法获得的。因此密文通过Bob的无线信道和解调译码，可以被Bob正确地译码解密；而此密文通过Eve的无线信道和解调译码，Eve是不能获得任何信息的。由此可见，虽然物理层安全与传统的基于现代密码学的加密原理是完全不同的，但是它们在实现框架上却也能够找到共同点。物理层安全可以看作是以调制编码等发送端的技术为“加密算法”，充分利用Alice-Bob和Alice-Eve之间无线信道的差异性，把无线信道看作“加密密钥”，从而使得Alice与Bob之间形成了安全可靠的通信。

物理层安全技术由于可以独立于上层而单独实现秘密通信，因此在无线通信系统中，可以在保证现有上层安全措施不变的情况下，补充物理层传输的安全。这使得通信系统的安全性能得到额外一层的保护。另一方面，将物理层安全用来传输现代密码学中的密钥，也是增强系统的安全性的一种方法。

从实现的角度讲，当前传统的无线路由器等均使用了全向天线进行传输，有可能导致无线信号泄漏至营区外部造成泄密。由于物理层安全技术方案的存在，除了进行传统的上层密码和传输加密以外，考虑利用物理层定向天线和波束赋形技术使得无线信号定向的向营区内部辐射，使得窃听者获取的信息量近乎为0，从而进一步降低失泄密的风险，这是物理层安全技术在现有无线网络中的应用改进。

根据香农公式，假设发射端信号表示为：y=hx+z，那么正常接收者bob收到的信号可以表示为：

此时人造噪声设计对Bob没有产生干扰的方向上均匀分布，从而实现了对目标用户的正常信号发送，但是使得窃听用户获得的干扰最大化，可用信息最小。

可见光通信（Visible Light Communications）是指利用可见光波段的光作为信息载体，不使用光纤等有线信道的传输介质，而在空气中直接传输光信号的通信方式，简称“VLC”。

普通的灯具如白炽灯、荧光灯（节能灯）不适合当作光通信的光源，而LED灯非常适合做可见光通信的光源。可见光通信技术可以通过LED灯在完成照明功能的同时，实现数据网络的覆盖，用户可以方便地使用自己的手机、平板电脑等移动智能终端接收这些灯光发送的信息。该技术可广泛用于导航定位、安全通信与支付、智能交通管控、智能家居、超市导购、灯箱广告等领域，特别是在不希望或不可能使用无线电传输网络的场合比如飞机上、医院里更能发挥它的作用。可见光通信兼顾照明与通信，具有传输数据率高、安全性强、无电磁干扰、节能、无需频谱认证等优点，带宽是Wi-Fi的1万倍、第四代移动通信技术的100倍，是理想的室内高速无线接人方案之一。

据美国DAPRA报道，美军已经生产出军用可见光网络及相关设备，用于国防部等军事机关和设施的高速无线网络通信。由于可见光室内传输光源直接指向用户且传输距离远小于传统的微波无线通信，在不考虑人为主动泄密的情况下，可见光通信信号是无法截获的，从技术上为通信的有效性和可靠性提供了强有力的支撑。

图2给出了微波无线通信和可见光通信之间的比较。对于手机、Wi-Fi等微波无线通信手段，除了目标用户能够接收到无线信号以外，由于无线电波是全向发射的，窃听者完全可以收到相同的信号，从而进行破译或者攻击，带来安全隐患；而可见光通信依赖于室内的LED灯具，通常灯具会直接部署在工位上方，而照明具有定向发射的特点，因此位于营区外部的窃听者无法收到任何信号，不能进行窃听。从实现上讲，可见光通信可以方便的利用LED台灯、屋顶灯等照明灯具，通过加装调制解调模块即可使得灯具具有高速数据传输功能，可供营区内台式机、笔记本电脑、平板电脑等高速无线上网，满足高清视频会议等高带宽需求。

目前，关于可见光通信在室内外各种复杂环境下的信道测量与建模的工作还很欠缺，只有少量的研究结果。尤其是在有强光干扰、烟雾和灰尘遮挡的环境下的信道干扰模型，更是需要亟待解决的问题。

3 结论

军队作为国家的武装力量，其信息安全问题尤为重要。在和平时期，如何从技术手段保证军队手机、Wi-Fi等无线通信安全，防止和平时期敌对势力进行的无线网络信号侦收和网络攻击，是当前要重点关注的问题。

从可持续发展的角度讲，基于当前网络中的蜂窝网基站、营区Wi-Fi、家庭宽带等网络连接设施，通过配置物理层安全技术，可以有效地防止无线信号泄漏至营区外部，配合上层加密和办公场所静电屏蔽设施，可以从技术手段根除无意识的无线网络泄密问题，且实施成本相对较低，具有极好的发展前景。

从面向未来发展的角度看，军队办公场所可以通过更新可见光通信网络，进一步保证网络通信的安全。利用办公场所的LED灯具，加装可见光调制解调设备和个人身份鉴权机制，可以方便的将台灯等变为无线路由器，提供远超过Wi-Fi的通信带宽和速率，满足多种终端的接人需求。同时由于可见光通信的方向性极强，该技术完全不存在无意识泄密问题，可以极大的保证军队无线网络应用安全。