全舰计算环境安全体系结构研究*

金 刚

(海军计算技术研究所 北京 100841)



全舰计算环境安全体系结构研究*

金 刚

(海军计算技术研究所 北京 100841)

对全舰计算环境中的安全保密需求进行了分析，提出了由硬件、系统、中间件和应用组成的全舰计算环境的安全结构框架；构建了由安全管理、安全适配单元、网络安全单元、系统安全单元和应用安全单元组成的全舰计算环境安全功能结构；给出了全舰计算环境典型安全系统组成结构。

全舰计算环境； 安全结构框架； 安全功能结构

Class Number TP309.1

1 引言

1998 年，美国海军水面战中心(NSWC)第一次提出“全舰计算环境”(TSCE)的概念。全舰计算环境是一个包括C4ISR、作战系统、船机电和岸基保障的全舰系统。通过全舰计算环境对指控情报、平台控制、动力系统、武器系统等系统的软件开发进行了规范和统一，采用大量商用计算机、服务器以及分布式中间件等商用现货产品对系统进行集成，发挥系统整体资源优势[1]。

TSCE突出了“标准化、综合化、一体化、自动化”的建设思路，解决了各作战分系统集成时的“烟囱”问题，提供了高度集成、综合一体、反应快速的高性能全舰电子信息装备的通用、开放、共享的全舰计算环境，为水面舰艇部队提供了一种可升级、可组织、可配置、可高水平完成系统集成和自动化操作的平台，提升了交付新型作战任务的能力。美国海军新型驱逐舰DDG-1000作战系统的核心就是TSCE。

全舰计算环境代表着下一代舰船计算环境的发展方向，本文重点研究全舰计算环境下的安全体系结构。

2 全舰计算环境

TSCE由上层的作战应用软件包和下层的“全舰计算环境基础设施”(Total Ship Computing Environment infrastructure，TSCEi)两部分组成。TSCEi通过将全舰的网络设备、计算设备、存储设备、显示设备、内部通信设备和内部监控设备等硬件设备以及一组核心、通用的基础服务按照成熟的工业标准进行高效合理的组织，为上层的各种作战应用提供一个通用、开放的计算、处理、通信和服务环境，支持舰艇使命所需要的计算任务的执行，并且为其他应用程序和功能领域提供服务[2]。

按照OACE的标准化层次，TSCE分为五层，如图1所示，分别是硬件层、操作系统层、中间件层、接口层和应用系统层。硬件层尽可能采用商用成品设备、通信协议也都是工业标准，操作系统层采用符合POSIX标准的操作系统，中间件层按照OMG标准封装了各种基础服务，舰艇上的应用系统构建在TSCE的接口层之上，通过标准服务接口调用的方式，组织和使用TSCEi的硬件和服务资源，完成各自的任务。

图1 TSCE组成结构

通过高效合理地组织全舰的网络、计算、存储、显示、内部通信和监视等硬件设备和一组通用的基础服务，TSCE形成了一种即插即用的计算框架，支持各种作战应用的快速集成。

TSCE由五个功能单元组成，包括人机接口单元、数据处理单元、网络单元和适配性单元。

人机接口单元提供了操作人员和应用系统之间的交互能力；数据处理单元提供了应用系统安全、高效、便捷的数据访问、处理和共享能力；网络单元提供了全舰计算环境的内部连接、通信和监视能力；适配性单元提供了以嵌入式计算为基础的导弹发射装置、舰炮系统、雷达和声纳探测等系统之间以及嵌入式系统和非嵌入式系统之间的互联互通能力。

3 全舰计算环境安全需求分析

1) 全舰计算环境应用安全需求带来的标准化安全服务组件构建需求

不管是传统方式还是全舰计算环境下，应用安全需求一直存在，例如，全舰计算环境下的身份认证、授权访问、数据存储保护等，跨节点的远程加密、签名验证等。

传统方式下安全服务通常定制于各类应用系统中，实施安全服务的硬件、软件为应用系统专用。随着全舰计算环境标准化、综合化、一体化计算框架的构建，互操作性是全舰计算环境的基础，服务用户与服务提供者之间、服务提供者与安全服务之间的接口必须一致，这就要求安全服务要遵循全舰计算环境服务标准和开发要求，为各类应用系统提供标准化的安全服务。

2) 全舰计算环境基础资源统一分配带来的安全需求

传统方式下情报、指挥、控制等系统基本上独立构建，系统之间定义了一套安全交互方式。全舰计算环境方式下，原有系统独自使用的物理资源演变成全舰共享使用，原有安全机制重点放在物理所有权和控制权上，而现在安全的重点要放在基于全舰计算环境的用户、资源、安全访问等逻辑层面上。

为实施基础资源统一分配，全舰计算环境采用了面向服务架构技术，服务组件为最基本的功能单元。每个服务组件都有认证、授权、机密性、完整性、不可抵赖性等基本安全需求。

认证是指服务提供者要求在提供服务时对用户进行验证，用户也可对服务提供者进行验证。

授权是指用户需要拥有某些权限才能访问服务。权限检查可采用强制访问控制策略或基于角色的访问控制策略。

机密性对用户和服务间传输的基本内容如消息或文件进行保护，防止未授权第三方获取。

完整性对传输中的消息或文件提供保护，防止非授权替换。

不可抵赖性防止用户否认曾参与过某一信息交流，确保发方不可否认已经发送的消息和收方不可否认已经收到的消息。

上述服务安全需求在全舰计算环境资源统一分配的背景下要求全舰具有统一的身份标识、授权和密码管理设施。在管理设施的统一管理下，各安全服务组件与其它服务组件共同配合建立安全的计算环境。

4 全舰计算环境安全体系结构

4.1 全舰计算环境安全结构框架

根据全舰计算环境安全需求，全舰计算环境的安全结构框架如图2所示。

全舰计算环境安全结构框架分为物理层、操作系统层、中间件层和应用层。

其中物理层包括嵌入式安全模块和独立式安全设备两类。其中嵌入式安全模块可嵌入计算、存储、交换设备中。独立式安全设备以单独的物理形态存在。

操作系统层包括操作系统安全插件和网络安全插件。上述插件直接作为操作系统的一部分存在，为中间件和应用层提供透明的安全服务。这类安全服务直接面向应用，为应用安全使用系统级资源服务。

图2 全舰计算环境安全结构框架

中间件层提供标准的安全管理服务和安全服务，包括安全管理中间件和安全服务中间件。其中，安全管理中间件提供安全管理服务。安全服务中间件提供身份验证、授权访问、加密、完整性验证、签名验证等安全服务。

应用层包括通信管理、指挥控制、武器控制等作战应用，使用安全服务完成作战信息存储、传输和控制的安全。

4.2 全舰计算环境安全功能结构

从安全功能的角度，全舰计算环境安全功能结构组成如图3所示。安全功能结构包括安全管理单元、安全适配单元、网络安全单元、系统安全单元和应用安全单元。

安全管理单元分为两部分，一部分作为独立的安全管理基础设施存在，一部分作为计算环境侧的安全管理组件存在。通过安全管理组件各安全服务组件接受安全管理基础设施的管理。

图3 全舰计算环境安全功能单元架

安全管理单元包括密码管理、身份管理、授权管理和审计管理。其中密码管理完成密码资源的产生和分发。身份管理完成用户和平台的身份标识。授权管理完成用户/应用与资源间、网络要素间的访问控制策略设置和维护。审计管理完成系统重要安全事件的记录和管理。

安全适配单元包括嵌入式安全组件和嵌入式安全适配组件。其中嵌入式安全组件是指嵌入作战、通信和武器平台中的安全功能模块，这类安全功能模块形态可为硬件和软件。嵌入式安全适配组件完成嵌入式安全组件与非嵌入式安全组件之间的互联互通。

网络安全单元包括网络层/传输层/服务层传输加密组件，网络访问控制组件和网络安全隔离组件。网络层/传输层/服务层传输加密组件分别针对舰内传输协议的IP层、传输层、分布式交互服务层提供信息加密和完整性验证服务。网络访问控制组件对IP地址、端口等进行授权访问控制。网络安全隔离组件对舰内重要网络实施隔离防护。

系统安全单元包括数据库/网络/磁盘/文件存储加密组件，计算/存储资源访问控制组件，病毒防范/可信计算组件。数据库/网络/磁盘/文件存储加密组件分别针对数据库、网络存储、磁盘存储、文件提供加密服务。计算/存储资源访问控制组件针对不同用户提供虚拟机、计算单元、存储空间授权访问控制。病毒防范/可信计算组件为用户提供系统引导以及操作系统环境建立过程的完整性验证，防止病毒对操作系统环境的完整性破坏。

应用安全单元包括应用传输保护组件、应用存储保护组件、应用资源访问控制组件、身份认证/数字签名组件。应用传输/存储保护组件为应用之间的信息传输以及应用信息的存储提供加密和完整性验证服务。应用资源访问控制组件提供应用用户对应用资源的授权访问机制。身份认证/数字签名组件提供应用用户身份验证以及用户发送信息的签名验证服务功能。

4.3 全舰计算环境安全关键技术

1) 用户身份、重要关键资源全系统统一鉴别和标识技术

全舰计算环境中，原有业务系统分散的终端和服务器计算资源发展为全舰共享计算资源，计算资源集中，面临的安全风险也集中在服务器侧，采用原有的分散安全控制措施将无法彻底解决信息处理环境中的密码保密问题，必须提供集中统一的安全保密控制措施。

对于计算环境内多业务用户对各类资源交叉访问的情况，必须进行严格的多安全级别访问控制策略。对于计算服务器上的主体和客体都需要进行统一的身份验证，进行访问控制，重要关键资源需要有唯一的安全标识。

2) 安全模块/设备标准化适配技术。

标准化隐含着密码模块硬件接口、逻辑接口的标准化。与建立满足各型舰载终端、服务器相配套的标准化安全模块硬件，满足各类作战业务的不同密级和不同种类的安全服务构件，安全服务构件与全舰公共计算环境技术体制保持一致。

3) 虚拟网络隔离技术

全舰计算环境下，虚拟化技术让各自成组相关联的虚拟机运行在独立的物理主机上，虚拟机群之间的连接通过虚拟网卡和真实网卡来实现[3]。在虚拟网络条件下，网络通信节点为虚拟机，虚拟网络和普通网络不同，网络的最小单元不是物理机，而是把所有的物理机看成是一个简单的交换机，交换机下面接着一组虚拟机。虚拟网络隔离技术通过将虚拟网络资源和网络虚拟机按照安全规则划分成不同的逻辑安全区域。

4) 安全服务中间件技术。

安全服务中间件包括安全适配软件和安全服务中间件[4]。安全适配软件用于对安全设备和安全服务中间件进行安装、配置管理等操作，安全设备驱动等。安全服务中间件以透明方式或API调用方式与密码装备配合提供各类安全密码服务构件。

5 结语

随着全舰计算环境标准化、综合化、一体化计算框架的构建，对全舰计算环境的安全保密能力提出了标准化、服务化、一体化的新需求。根据新的安全需求全舰计算环境安全体系结构由传统的分散独立式安全服务转换为由硬件层、系统层、中间件层组成的面向服务架构的标准式安全服务架构。通过新型体系结构的构建，一方面对应用系统屏蔽了不同种类安全功能模块的软硬件结构的差异，另一方面随着全舰计算环境的逐步应用，增强了系统的安全/密码服务的互通能力。

[1] 董晓明,冯浩.全舰计算环境体系结构和系统集成框架[J].中国舰船研究,2014,9(1):8-13.

[2] 董晓明,石朝明.美海军DDG-1000全舰计算环境体系结构探析[J].中国舰船研究,2012,7(6):7-15.

[3] 张玉清,王晓菲,刘雪峰,等.云计算安全综述[J].软件学报,2016,27(6):1328-1348.

[4] 冯登国,张敏,张研,等.云计算安全研究[J].软件学报,2011,22(1):71-83.

[5] 张义勇,黄清海.美国新一代多用途驱逐舰DDG—1000工程控制系统分析[J].中国舰船研究,2013,42(4):89-98.

[6] 张晏,岑荣伟,沈宇超,等.云计算环境下密码资源池系统的应用[J].信息安全研究,2016,2(6):558-561.

[7] Masters M W. Total ship computing risk analysis[C/OL]//DARPA Quorum PI Conference, November, 1998.[2012-02012]. http://citeseerx.ist.psu.edu./viewdoc/download?doi=10.1.1.196.8139 &rep=rep1&type=pdf.

[8] CRISCOM D.AEGIS Open architecture[C/OL]//Asia Pacific Systems Engineering Conference(Adelaide), 2007. [2012-03-01]. http://www.globalsecurity.org/military/systems/aegis_oa.htm.

[9] PEO IWS. Open architecture computing enviroment design guidance, version 1.0[S/OL]. 2004.[2012-02-15]. http://www.everyspec.com/USN/NSWC/download.php?spec=OACE_DSN_GUIDANCE_VER_1.011546.pdf.

[10] 程斌,潘伟文.船舶设计教程[M].上海:上海交通大学出版社,1998.

Security Architecture of Total Ship Computing Environment

JIN Gang

(Computer Technology Institute of Navy, Beijing 100841)

The security requirement of total ship computing environment is analyzed. The security framework composed of hardware, system and medium components are put forward. The security function structure includes security management, security adaption unit, network security unit, system security unit and application security unit. At last the security system construction is put forward.

total ship computing environment, security framework, security function structure

2016年5月1日,

2016年6月24日

金刚,男,硕士,高级工程师,研究方向：信息系统安全。

TP309.1

10.3969/j.issn.1672-9730.2016.11.002