基于拟态防御机制的全舰计算环境安全架构设计

朱维军　樊永文　班绍桓

摘要：针对全舰计算环境（Total Ship Computing Environment，TSCE）体系结构的计算安全性问题，提出基于动态异构冗余的TSCE体系结构设计思想。首先，对TSCE的基础设施和应用系统分别进行动态异构冗余（Dynamic Heterogeneous Redundancy，DHR）设计，获得具有更佳抗攻击性的拟态防御系统成份；然后，把上述两大组成部分按照TSCE原有组织架构连接起来，即可获得具有拟态防御能力的全舰计算环境系统架构。内嵌的拟态防御机制可望为新模型带来更强的抗攻击性与主动防御能力。

关键词：动态；异构；冗余；拟态防御；全舰计算环境

中图分类号：TP309.1 文献标识码：A 文章编号：1007-9416（2018）01-0203-03

1 引言

未来海战模式将由“平台中心战”转向“网络中心战”[1]。1998年，美国海军水面战中心首次提出“全舰计算环境”的概念[2]。2012年，“朱姆沃尔特”级驱逐舰DDG-1000交付美海军使用，这是第一艘全面实施TSCE的军舰[3]。2017年，“福特”号航母交付美海军使用，这是第一艘采用TSCE的航空母舰[4]。

全舰计算环境以网络为中心，集成作战系统、预警系统、动力系统、武器系统与指挥系统，对上述系统的计算单元进行了统一和规范，并按照标准化、综合化、一体化、自动化的建设思路，解决各作战子系统集成时的煙囱问题，为全舰电子信息装备提供通用、开放、共享的计算环境，从而形成统一的网络中心战平台，促进跨平台、跨领域协同作战。由于TSCE具有如上所述优势，美军已表示其下一代舰艇的开发均将使用TSCE[1，3，5]。

2013年4月，美海军模拟黑客攻击发现“自由”号濒海战斗舰网络系统存在信息安全弱点[6]。2014年10月，美海军海上系统司令部承认美海军潜艇的控制系统存在网络安全漏洞[6]。TSCE装备是否存在网络安全隐患？文献[6]对此进行分析，认为在网络层面、主机层面、应用层面和数据层面均存在安全问题。并提出总体结构防御模型，通过采取网络准入、访问控制、安全审计、终端防护、服务器加固等措施，保护TSCE安全[6]。然而，上述措施并不能从根本上解决问题。这是本文研究的课题。

2 背景知识

2.1 全舰计算环境

TSCE由上层的作战应用软件包和下层的TSCE基础设施（TSCEi）两部分组成，其组成结构参见图1。TSCE对全舰装备的控制拓扑结构参见图2。更多详情，参见文献[2]和文献[6]。篇幅所限，这里不再详述。

2.2 动态异构冗余结构

拟态防御是近年来最新出现的一种网络安全技术，由邬江兴院士提出[7]。该技术针对未知安全漏洞、软硬件后门等问题的本源，采用动态异构冗余的系统设计思想与网络空间主动防御理念，导致已有的扫描探测、漏洞利用、后门设置、病毒注入、木马植入乃至APT等攻击手段和方法难以发挥预期的作用和效力[7]。

DHR结构是一种典型的拟态防御技术，图3给出了它的结构示意图。对于该结构的详细介绍，参见文献[7]。篇幅所限，这里不再详述。

3 基于DHR结构的TSCE系统架构

本节使用DHR思想设计TSCE系统架构，以图提升TSCE的抗攻击能力。我们的核心思路在于：对底层的TSCEi硬件和上层的应用系统软件包均引入动态、异构、冗余机制。

新模型的关键原理在于：（1）无论是软件执行体还是硬件执行体，均采用多份具有相同功能不同结构的冗余执行体实施计算；（2）使用表决器对不同执行体的计算结果进行表决，对于与多数执行体计算结果不同的执行体，可认为存在攻击在该执行体上发挥效力；（3）对于被有效攻击的执行体实施清除操作，该执行体退出计算，从构件池中随机选取一个构件作为新执行体加入计算。

基于DHR结构的TSCE系统运行原理可由图4表示。

4 计算安全性分析

邬江兴院士指出，DHR构造的抗攻击能力在体系上源自异构、冗余，在不确定机制上受惠于动态、随机、多样性，在攻击难度上得益于去协同化环境造就的非配合条件下的协同化攻击困境，在实现方法上来源于功能等价条件下的多维动态重构机制的应用[7]。我们使用上述机制重建TSCE系统结构，把DHR结构基因层面天然内嵌的抗攻击性注入TSCE系统，变TSCE被动防御措施[2，6]为主动防御，以便提升TSCE计算安全性。

新模型在系统架构层面提升TSCE安全性；与之对照，我们的前期研究则在系统设计的早期使用形式化的途径验证TSCE系统的计算安全性[8]，这样的形式化方法若发现逻辑错误，可帮助工程人员早期修改、避免设计错误。可见，本文方法与文献[8]中方法可配合使用以瞄准提升TSCE安全性。

文献[2]设计了一种TSCE安全结构框架，文献[6]给出TSCE安全防护的一些具体措施。这些工作都是有益的，然而并不能改变被动防御的态势。与之相比，新设计的工程模型内嵌DHR主动防御[9]机制，在抗攻击性方面可望具有比较优势。

5 结语

作为未来海战“网络中心战”的核心平台，TSCE自身的安全与抗攻击性是它能够正常发挥功能的前提，这是研究TSCE安全性问题的意义。本工作提出利用拟态防御技术设计全舰计算环境的思想，初步给出一种基于动态异构冗余机制的TSCE系统架构设计。这是本文的主要贡献。

6 致谢

感谢文后参考文献的作者。本文作者正是在阅读这些公开发表/发布文献的基础上，给出我们的个人思考与个人观点。

参考文献

[1]贾华杰，鲜明，陈永光.网络中心战及其新技术[J].国防科技，2011，32（4）：44-49.

[2]金刚.全舰计算环境安全体系结构研究[J].舰船电子工程，2016，36（11）：5-7，62.

[3]张伟.美国海军全舰计算环境发展及关键技术[J].船舶科学技术，2016，38，（7）：148-152.

[4]石剑.开放体系架构在海军信息系统应用模式研究[J].舰船电子工程，2016，36（9）：5-8.

[5]郭隆华.“朱姆沃尔特”级驱逐舰全舰计算环境研究取得进展[J].船舶科学技术，2008， （5）：164-164.

[6]威努特工控安全，基于全舰计算环境（TSCE）架构的工控安全防护浅析[EB/OL]， http：//mp.weixin.qq.com/s/w9s4ETmXSYJ-WeIWvASbew，2018年1月16日.

[7]邬江兴.网络空间拟态防御研究[J]，信息安全学报，2016，1（4）：1-10.

[8]朱维军，樊永文，聂凯.全舰计算环境形式化验证算法[J].数字技术与应用，2017，2017（6）：140-141，143.

[9]邬江兴.网络空间拟态防御导论[M].北京：科学出版社，2017.