当前的军事行动需要灵活且适应性强的部队,他们必须能够在开阔的战场和城市场景中与平民机构和组织开展合作。为应对这些挑战,作战部队需要能够在指挥部和战场边缘作出明智决策的能力,同时还需要具备网络化能力和敏捷指挥控制(C2)系统。C2系统应确保从互联设备所获信息的及时安全分发,如雷达、无人机(UAV)、传感器、装甲战车以及可穿戴设备。这些网络化传感器和效应器共同构成了战场物联网(IoBT)。本文提出了一种安全网络策略,通过在硬件、网络和应用程序级将应用程序和网络与多层深度防御网络安全机制相耦合,在IoBT异构环境中实现C2敏捷性。本文规划的架构将使用软件定义网络(SDN)范式,并借助来自信息中心网络(ICN)和容迟网络(DTN)等技术的面向语义的数据编排网络服务。
1 引言
当前战场网络(BN)必须具有灵活性才能适应战场环境的不断变化,而战场环境通常表现为缺乏基础设施、充斥着异构设备、拓扑动态以及作战场景固有的混乱状态。由于必须确保实现作战态势感知以支持决策,以网络为中心的指挥控制系统必须在士兵和指挥官之间共享实时战术信息,这对于未来涉及陆、海、空、天以及网络域的多域战至关重要。战场网络必须在路由和QoS级解决这些挑战,这样它才能为应用层提供鲁棒的数据组网业务,以适应战场环境的特点、要求和限制。此外,网络业务必须能够针对位于网络边缘的资源丰富节点(如C2中心)和资源受限节点进行定制。
这些边缘节点包括部署战场上的无线传感器、可穿戴设备、装甲车、小型无人机以及其他军事设备,所有这些军事设备通过彼此互联构成了战场物联网(IoBT)。在此网络中,人与“物”彼此交互,实现军事目标。
IoBT是一种旨在获取和/或处理可以在网络中共享数据的物理设备网络。其所生成信息本质上具有多域性,这使得指挥官能够充分利用多域战优势,快速找到各种解决方案应对相关挑战。IoBT是一种复杂的“系统之系统”,它可以利用无处不在的机器学习、处理和感知能力来增加多域战的敏捷性。快速作出决策在多域战中是一个关键要素,尤其是当对手正在争夺一个特定目标时,此时就突显了C2敏捷性概念的价值。
北约下属的一个工作组已经完成了一份有关C2敏捷性概念模型的详细报告。在该报告中,C2敏捷性定义为在军事作战行动中选择程序和调整C2方法的能力。该报告对C2策略进行了如下分类:决策权如何分配,不同参与者如何互动,以及信息如何分发。因此,C2方法的范围包括从高度集中的层级结构到松散耦合的网络。
在IoBT环境中实现C2敏捷性是一项挑战,因为当前的C2系统存在许多技术缺陷。有必要能够对三个变量(决策权分配、交互模式和信息分发)进行动态调整,以应对执行作战行动时出现的变化。IoBT的应用场景与上个世纪常规战争应用场景完全不同。在IoBT的应用场景中,武装部队与民事执法机构在城市地区共同行动,打击有组织犯罪或恐怖组织。这种情况需要C2系统作出快速反应,从而让传统(分级)C2系统可赋予松散耦合的(边缘)C2系统更多空间。
此项研究旨在通过经过编排的网络服务将应用程序与网络绑定,从而在IoBT实现安全的C2敏捷性。SDN使用不同的范式对数据流进行编排:
● 容迟网络(DTN)用于支持间歇性连接,例如,只有当无人机在无线传感器网络(WSN)通信范围内飞行时,无人机和WSN之间才会进行通信;
● 信息中心网络(ICN)用于内容分发,将有价值的战术信息(例如关于威胁的信息)向所有授权节点分发,而不管信息来源;
● 当信息源-信息目的地相关时,使用IP通信,如士兵之间的语音通信,以及支持现有系统。
此项研究的主要成果包括:
● 通过将战术应用与受有效网络安全机制保护的网络服务相结合,建立支持网络中心军事行动的体系框架;
● 开发综合利用DTN、ICN和SDN技术的网络服务,提供合适的服务质量,调整业务流量并提高有效带宽;
● 为此框架定义多层网络安全机制。
2 相关工作
IoBT网络不同于传统物联网网络,它们必须面对战场的特定挑战,例如敌对环境、缺乏固定通信基础设施、设备异构性以及容易受到信息物理攻击。
有研究建议未来与IoBT交互的C2系统必须能够在多个网络上导航,包括蓝军(友军)网络和灰色(非战斗人员)网络。该研究还提出了从多个外部信息源(如盟国或有机会合作实体)集成重要的多任务传感和信息相关能力的方法。还有研究对安全可重构IoBT网络进行了理论分析,并建立了一个用于量化IoBT的数据分发和网络参数优化框架。该研究提出了在C2网络边缘的IoBT进行高效数据分发的方案,并利用其能力实现C2敏捷性。借助DTN和ICN网络范式以及SDN的编排能力实现了通信系统应对断连和延迟的韧性能力,从而实现了态势感知能力。
DTN范式解决了IoBT面临的一些挑战,如往返时间(RTT)长、带宽有限、长时间间隔内可能出现的链路中断以及间歇性连接。DTN节点采用存储-携带-转发路由解决这些问题。有研究提出将DTN与SDN结合起来为IoBT提供韧性。
虽然DTN有能力应对链路中断相关挑战,但还需要一种更为高效的信息分发机制,而此时ICN可以发挥关键作用。ICN将采用“发布-订阅”互联网路由范式、以内容为中心组网(CCN)、“移动性优先”以及命名数据组网(NDN)等设计概念来实现。这些设计还将支持间歇性连接,可以透明方式实现存储组网(storage networking)。
此外还有研究使用ICN和SDN来提高IoBT中的C2敏捷性。该研究使用Ryu控制器(作为SDN控制器)和Openflow建立节点优先级,并将ICN“孤岛”连接到IP基础设施。IoBT的三个关键性能指标是送达率、延迟和带宽利用——所有这些指标都是用于衡量三种不同类型信息的分发效能,即蓝军数据、传感器数据和文档数据。ICN为每一类数据提供路由、缓存、移动性和安全机制。
SDN能够促进DTN和ICN能力的发挥,其所具有的灵活性非常适合战场网络,并推动节点交互和协助利用边缘计算资源处理邻近的数据。一项关于SDN军事应用的研究对SDN应用领域(联盟、军事、关键任务、战术等)、作用(架构、评估、服务、控制系统等)、范围以及安全性进行了研究。
安全性也是IoBT实现必须要应对的一个问题。由于计算系统功率、数据存储和电池资源受限,战场网络很容易受到攻击。此外,由于战场网络通常靠近敌人,这就为敌人破坏、滥用缴获的资产或信息窃取创造了机会,并阻碍了情报收集工作。有研究采用了一种认证方法,它利用基于区块链的物理不可克隆函数(PUF)解决上述一些问题,并避免了单点故障(SPoF)。研究人员提出了通过可信执行环境(TEE)实现硬件安全,使PUF更加安全。此外,该项研究还展示了仲裁器PUF架构的优势。与多个备选方案相比,该架构具有更高稳定性和应对机器学习攻击的韧性。
本文旨在通过在IoBT中采用分层安全方法来强化上述研究中建立的安全机制,并利用SDN、ICN和DTN,以解决应用面、北向通信、控制面、南向通信以及数据面中的安全漏洞。
3 安全指挥控制系统
本文提出了一种旨在优化IoBT通信指标(如延迟和信道带宽)的C2系统架构,并将解决通信间歇和故障节点问题,以及应对拓扑结构变化。此外,该系统还为网络提供了网络安全机制。
该框架使用SDN进行网络编排。其可编程性用于为给定作战环境定义最佳网络解决方案并利用其灵活根据特定情况对其进行修改。此概念基于三个域:应用、网络(编排)和安全性,如图1所示。
图1 高层架构
应用域由支持SDN感知应用或传统应用组成,这些应用具有不同的QoS和安全性要求。SDN感知应用与SDN控制器进行通信,更改节点层级并建立对数据流优先级的控制,而传统应用只是通过网络发送数据。在图1中,传统应用使用IP协议栈提供的服务,而SDN感知应用则通过控制器利用差异化SDN服务。
编排域由每辆车上安装的开放网络操作系统(ONOS)控制器组成。每个SDN控制器都能够以对等模式与其他控制器通信,但指挥车是具有全局、多网络视图的网络编排器,而其他车辆上的控制器则是守护进程(daemon)。对ONOS进行编程,优化数据流,并为同时传输的IP、NDN和DTN数据包创建不同的网络切片。NDN和DTN服务采用由SDN控制器定义并以P4语言实施的路由策略。在与控制器连接断开的情况下,节点将继续向具有最新配置的交换机发送数据。
安全域将深度防御概念贯穿其他域。深度防御概念能够防止一个域内的漏洞影响另一个域。如图1所示,用户通过Kerberos进行认证实现对系统的访问,以便与网络中的远程对等节点同步,同时ONOS和应用程序之间的通信被加密,作为保护应用域的一种手段。在编排域中,所有对网络的访问都是通过物理不可克隆函数(PUF)生成的密钥实现,而交换机处的流控制(由控制器管理)防止非授权请求被发送到接收者,这是保护编排域的一种方式。最后一种技术使用以太坊区块链保护网络中的组间通信,并通过预测恶意活动破坏或威胁风险避免单点故障(SPoF)。
3.1 应用域
C2应用程序的主要作用是帮助指挥官管理其人员和可用资源,以便能够执行上级分派的任务,包括组织、协调和指挥部队。本文中使用的C2应用程序的用户接口包括两个关键模块:作战规划和作战监控。这两个模块都使用地理信息系统(GIS)引擎和兴趣视图模块(数据驱动服务),在网络架构顶层运行。
3.2 编排域
C2应用程序和SDN控制器在车辆上工作。ONOS用作SDN控制器,并通过REST API连接到C2应用程序,如图2所示。它为在其他节点中使用Stratum操作系统的交换机部署用P4语言编写的“流水线”(pipeline,一条流水线表示一组完整的数据处理流程)。与使用固定功能的Openflow不同,P4程序只激活资源受限节点中真正需要的功能。
图2 网络编排服务
ONOS为DTN、NDN和IP协议栈建立了数据流规则和优先级。即使在节点失去与其控制器连接的情况下,由P4实现的pipeline仍然继续工作,使用最后接收的规则,维持数据面工作。一旦重新连接,如果控制器更改了规则,它将被更新。例如,超出其控制器范围的节点继续以当前优先级转发NDN数据包,直到它们进入控制器通信范围以接收更新优先级。
无人机和车辆之间的通信依赖NDN进行内容传输,即分发有关威胁目标的战术信息,而无人值守地面传感器在无人机在附近飞行时使用DTN进行通信。徒步士兵和车辆之间的语音通信利用IP协议栈,因为这种情况不适合NDN或DTN,并且需要端到端节点实时连接。
1) 网络抽象服务:应用程序数据可以通过ONOS REST API使用JSON格式进行交换。JSON是一种对于人类和机器都易于读取的语言。API具有网络设备信息和管理能力。
2) 网络切片和流优化:在此项研究中,ONOS将被编程,根据每个数据源的不同规则对数据流进行分类。NDN、DTN和IP信息流将拥有一种由P4语言定义的特殊pipeline。这种pipeline安装在ONOS中,并通过P4Runtime部署到交换机或接入点(AP)。这一机制允许建立具有不同优先级的“孤岛”网络。
数据流通过以JSON格式编写的流规则进行优先级排序,JSON格式是ONOS中可用的REST API之一。当结合使用时,这些规则集实现了不同的转发策略,而策略的选择则是基于对每个数据流施加的具体动作。这可以确保数据流可以根据网络情况进行优化,并满足操作需求,从而相应确定优先级。
3) 多控制器管理:每辆车都配备有一个嵌入式SDN控制器,与附近车辆共享数据,形成一个集群。网络设备管理使用一种最优化的复制技术,辅以后台Gossip协议,以确保ONOS提供的一致性,在不可用的情况下,ONOS还负责领导者选举算法。当车辆彼此接近时,孤立节点可以形成新的集群或者加入现有集群。
4) 数据转发:此项工作使用P4语言对数据面进行编程,并定义了一个pipeline处理。NDN、IP或DTN适用于每种数据类型。这样就可以实现三种不同范式在同一个基础设施上协同工作。
● IP数据流:当需要实时端到端节点通信时使用,如士兵之间以及车辆和士兵之间的VoIP通信,具有最高优先级。
● DTN数据流:用于预期节点断开的情况,如车辆间同步(即其他控制器),以及当无人机接近分布在战场上的无线传感器节点时。
● NDN数据流:用于IoBT的数据分发。来自监视设备的无人机数据,以及士兵产生的数据,如文本、照片和视频。
3.3 安全域
如图1和图3所示,在三个级别上实现安全性,并且以如下顺序方式建立安全屏障:
图3 安全机制(网络软件级)
1) 硬件级:如果设备被敌方缴获,要防止信息被窃取或篡改。安全切片将最重要数据存储在由可信软件处理的地方。创建了两种不同环境:可信执行环境(TEE),由硬件组件处理敏感资产并且仅可由可信软件访问(私钥存储在此环境,如图1左中/底部表示);以及通用执行环境(REE),这是一个不可靠区域,其余的硬件组件只能被不可信软件访问。对该区域的任何访问都可能危及可信软件安全。
2) 网络软件级:保护控制面、南向通信和数据面,以及防止对IoBT的未授权访问。由于其攻击面较大,所以采用了三种技术:Euclid、物理不可克隆函数(PUF)和以太坊区块链。
Euclid使用定制“计数草图”(count sketch)算法来进行计算机密集型数学计算,以防止来自交换机的直接分布式拒绝服务攻击(DDoS)和泛洪攻击,防止它们破坏数据面和控制面,如图1(中间右侧)所示。
利用两种PUF架构进行节点认证,并防止对南向通信的攻击或对网络的未授权访问:a)使用仲裁器PUF的双向验证,适用于高端节点;b)使用环形振荡器PUF对低端设备(如无人值守地面传感器)进行单向验证。
最后一种技术(如图3所示)与前一种技术密切相关,它使用以太坊区块链来保护组间通信。选择区块链(尤其是以太坊)的原因包括:a)网络认证方案可以通过智能合约完成;b)权益证明(Proof-of-Stake,PoS)支持以更少资源实现每秒更高数量交易;c)区块链所具有的不可篡改性能够防止数据被篡改;d)区块链本身所固有的去中心化有利于提高系统可用性,同时避免了单点故障问题。由于以太坊区块链是私有区块链,只有具有更大计算能力和能量资源的节点才是是验证者,所以针对PoS的攻击并不十分奏效。
研究人员在一项研究中创建了多个网络组,并通过建立可信ID(组ID)来解决此问题,注册信息(enrolment information)通过智能合约存储在区块链中。在出现攻击或长时间通信的情况下,一个组中的节点可以加入其他组,只要它们在区块链数据库中注册,这样就可以建立组间通信。
3) 应用软件级:访问应用程序需要进行本地认证,而应用程序将通过Kerberos访问控制器/网络(图1-左上角)。在控制器中,流规则在交换机中实现(图1中间偏右)。该安全层避免了针对应用和北向通信(应用和控制器之间)的攻击。这种攻击旨在检测访问控制和应用程序隔离中的漏洞,要么允许非授权个人访问信息,要么将不一致的流规则发送给控制器。通过Kerberos网络认证协议进行的认证将生成票证(ticket),允许本地应用程序访问网络中的其他节点并与之同步。即使与服务器断开连接,与范围内其他节点的同步也会保持,前提是票证生效。如果票证过期,而服务器仍在范围之外,则用户仍以离线模式使用本地应用程序。
北向通信攻击的目标是控制器和应用程序之间的弱认证或不存在认证,会导致欺骗攻击。为了缓解此问题,ONOS REST API(图1中间位置)使用HTTPS协议保护应用程序和控制器之间的身份验证。此外,在交换机中实现的流规则防止非授权应用向ONOS发送指令。
4 结语
本文提出了一种基于SDN、ICN和DTN的网络系统,以应对当前C2敏捷性所面临的挑战。具体而言,开放网络操作系统(ONOS)/Stratum操作系统的灵活性及其通过P4语言实现的可编程性提供了一种适用于IoBT的新型军事网络设计。此外,将先进网络安全机制嵌入系统的所有层中,从而保护网络免受最常见的攻击。该方案支持差异化服务(由基于SDN的C2应用使用)。此项目是为计算和能量资源有限设备设计的,而这也是IoBT的一个特点。仿真结果比较令人满意,但未来工作应更详细研究更重要的因素,以获得SDN感知C2应用并改进对网络编排服务的使用,包括每种部署的IoBT节点的移动性模型,以及所有规划的安全机制及其网络指标成本之间的权衡。
(本文根据互联网资料编译整理,仅供参考使用,文中观点不代表本公众号立场)
声明:本文来自电科小氙,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
