美国联邦战术边缘网络架构与安全研究

本文详细阐述了移动战术异构网络的安全性和路由架构，探讨了机遇与挑战，并强调了这些类型网络的特点以及其与静态和可部署网络的区别。这些架构对于国家军事网络设计，尤其是在移动战术边缘实现基于IP的联盟网络有一定价值。本文基于北约IST-124研究小组的成果，可为未来联邦战术网络标准化提供适当参考。

1 简介

军事行动的成功需要相关各方间实现高效信息共享，而实现信息共享的必要先决条件是拥有能够实现联盟伙伴网络间从战略层面到战术边缘的互操作性的标准、方针及政策。

处于较低战术级的网络通常是无线电网络，使用多种特点各异（带宽、频段、调制方案、延迟和距离等）的传输技术。这意味着战术网络带宽从低到高都有、连接和延迟多变、误码率高，并且包含在敌人后方处于无线电静默状态的节点。重要业务类型包括话音群组通信和位置数据。

图1 战术异构网络节点

图1展示了异构战术网络中的一个节点。用户和应用连接到局域网。该节点通过多个无线电网络与其他节点相连。这些节点通常会混合使用远程窄带无线电和距离较短但带宽较高的无线电。一些无线电还嵌入了密码保护措施（Z），而其他无线电则依赖外部加密设备。这些战术异构网络中的节点可能截然不同，跨度很广，从携带单部无线电的徒步士兵节点，到有多个用户和无线电的车载节点，再到静态指挥部。此外，无线电既可是用作路由器的三层设备，也可是用作调制解调器的二层设备。

图2 无线电模型

无线电模型如图2所示。假定有线侧采用传统IP协议栈，无线侧可采用专用无线电协议栈或IP协议栈。图1显示了多个具有及不具有嵌入式加密的三层和二层无线电。

实现多国异构战术网络互操作性是一项挑战。目前，较低战术级网络互连标准还不够完善，而本文可一定程度填补这一空白，探索了异构战术网络的不同路由架构和安全概念，重点关注传输中数据的连通性和安全性。

2 相关研究

传统IP架构之外的数据分发方案和组网方式逐渐兴起，如软件定义组网（SDN）和信息中心组网（ICN）概念。SDN可实现转发平面与控制平面的解耦。

数据通常在二层转发。数据可能基于或不基于IP。ICN根据具体的对象的内容或名称请求转发数据。连接可以是间歇性的。它从根本上不同于以主机为中心的IP范式。有研究描述了ICN的不同部署，包括ICN和IP的组合，例如边缘网络采用ICN，核心网中采用IP；另有研究探讨了军事网络中的ICN。

虽然未来研究可能涉及这些新兴概念，但军事联军行动中正在进行的互操作性标准化，如联邦任务组网（FMN）倡议，仍依赖于传统IP网络。因此本文仍关注IP组网研究。要想在战术层面实现高效安全的IP通信，需要解决许多挑战。

FMN采用受保护核心网（PCN）概念。协作国家共享其传输网络资源，形成一个受保护核心。用户位于“彩色云”（Colored Cloud，CC）中，通过加密机与受保护核心分离。这些加密机保护用户有效载荷在彩色云之间的传输。由于PCN概念是针对固定网络设计的，故将其扩展到战术边缘仍需进一步研究。

PCN概念可通过SDN实现。北约IST 142小组对此进行了研究。SDN如何最好地应用于战术边缘组网仍是热门研究课题。随着该领域SDN架构的成熟，它可能成为实现本文所描述概念的一种方式。

此外，有研究探讨了TCP/IP模型不同层的基于内容的安全策略。在这种策略下，数据根据属性和标签进行分发。一个相关课题是实现数据中心安全性（Data Centric Security，DCS），分别对每个数据对象进行加密。实现云计算安全需要DCS。然而，如何以可审计和批准的方式实现DCS以保护加密信息还不明确。

3 路由架构

图3 不同路由架构

图3显示了网状网拓扑采用的不同路由架构，即扁平架构、互连-扁平架构以及互连-覆盖架构。每种架构都依赖于不同的信息交换接口（EI）。

3.1 扁平架构

平架构只有一个路由域。每个网段运行相同的路由协议。它可能包含不同的传输技术，但不使用为特定传输技术定制的专有路由协议。典型地，该架构部署有连接到运行通用路由协议的战术路由器的二层无线电。它需要在路由功能和调制解调器之间建立一个标准化EI，称为EI-M。

扁平架构只有一个路由域。每个网段运行相同的路由协议。它可能包含不同的传输技术，但不使用为特定传输技术定制的专有路由协议。典型地，该架构部署有连接到运行通用路由协议的战术路由器的二层无线电。它需要在路由功能和调制解调器之间建立一个标准化EI，称为EI-M。

该架构还可能部署在无线和有线接口中运行通用路由协议的三层无线电，这样，EI-M接口就位于无线电内部。

扁平路由架构的主要优势在于带宽高且异构网络规模较小，路由信息量不至于填满无线电信道。当大部分流量非本地且跨多个无线电网络时，该架构也有优势。架构中通常使用主动路由协议，所有节点共享同一网络视图。

然而，与为传输技术定制专用路由协议相比，到处都使用同一种路由协议可能导致吞吐量降低。

链路中断检测和重路由在同一路由协议中完成，这点从可用性角度来看是有益的。然而，这种一致性虽然降低了配置错误的可能性，但由于所有信息都与网络中所有节点共享，因此配置错误可能产生更严重的后果。

在敌人后方处于无线电静默状态的节点应能继续接收信息，但关闭发射机。无线电系统通常可处理这种情况，但是标准路由协议并不与此兼容。这就限制了路由协议的选择，即可能需要扩展备用路由协议。

3.2 互连-扁平架构

互连-扁平架构由隶属不同路由域的互连网段组成。各网段使用标准化或专用路由协议，运行于战术路由器上或作为三层无线电设备的一部分。

一些网段处于不同频段或不同管理域下，但可能使用同一路由协议。各路由域通过路由域到路由域的信息交换接口（称为EI-R）互连。隶属多个路由域的各个位置（即运行来自多个路由域的路由协议的实体）称为互连平台。每个互连平台在每两个路由域之间都有一个EI-R。通过EI-R，各路由域相互提供可通过路由域到达的目的地信息。

这种解决方案是众所周知的内部网架构。要实现EI-R接口，需要特定厂商协议。在仅有少数连接点的少数网络连接中，这种架构很适合。但是，内部网架构存在很高的路由环路风险，因此需要仔细配置，例如仅单向共享路径；而这通常导致其只支持有限的一组移动场景（不支持穿越多个国家的网络传输）。由于通常不是所有信息都可共享，且路由共享频率较低，故互连-扁平架构的可扩展性要优于扁平架构，但端到端连通能力会减弱。此外，互连-扁平架构允许使用针对不同传输技术进行优化的路由协议，因此该架构可具有良好的本地连通能力和可用性。端到端可用性的不确定性更高。无线电静默可能已经或还没有被不同网段的专用路由协议处理。就三层无线电而言，对无线电静默的支持通常是无线电网上使用的专用路由协议的一部分。由于二层无线电和路由是由对无线电信道感知能力更弱的外部路由器来处理的，无线电静默支持可能更具挑战性。

3.3 互连-覆盖架构

互连-覆盖架构包含许多处于不同路由协议域的网段，在这一点上它与互连-扁平架构类似。此外，互连-覆盖架构在跨越整个异构网络并连接不同路由协议域的覆盖层中引入了额外的路由层。异构网络中只有部分路由器参与覆盖网。这些路由器位于互连平台上。该方案类似于使用域间协议（例如边界网关协议（BGP））连接不同域的架构。覆盖网中的路由协议和不同网段中的路由协议域间需要路由协议信息交换接口（称为EI-RO）。EI-RO位于互连平台的路由器中。与互连-扁平架构不同，不同路由协议域之间没有EI-R。也可使用混合方法，例如利用扁平架构和一些单一传输技术路由域来连接多个异构网络的互连-覆盖架构。这可能是最有可能为多种不同场景量身定制的解决方案。

本地业务由本地路由域处理。跨路由域的端到端路由由覆盖协议完成。

支持互连-覆盖架构的路由协议仍处于实验阶段，需要进一步探索。本地不同路由域和覆盖路由协议都必须纳入无线电静默支持。

二层架构方法可实现灵活设计。由于不要求所有平台运行相同的路由协议，它比扁平架构更易部署。然而，它要求各方就覆盖层的通用协议达成一致，因此其可用性可能低于所有节点都保持完整拓扑视图的扁平设计，但高于无单一协议能够实现整个网络全局到达的互连-扁平架构。

4 战术网络中的安全性

对战术异构网络（以及一般网络）的适当保护取决于威胁、要保护的资产以及可用保护方案。

4.1 要保护的资产

用户有效载荷——终端用户和/或终端系统生成或消耗的数据，包括来自各种数据应用的数据及话音。数据的机密性和完整性至关重要；用户有效载荷需要有针对非授权访问和修改的保护措施。

用户元数据——关于用户或系统是谁、其在哪里、通信对等实体以及通信模式的信息。应可对非授权方隐藏用户元数据。

网络管理数据——为监控和配置网络而交换的信息。数据的完整性和真实性对于防止网络服务干扰和中断至关重要，可能还需要机密性保护。

网络控制业务和网络元数据——网络控制业务是指为维护网络服务运行所需交换的信息，也称为网络信令，如路由协议消息。网络元数据是关于网络本身的信息，例如有关网元、地址、移动性和通信模式的信息。数据完整性和真实性对于防止网络服务干扰和中断至关重要。为对非授权方隐藏网络控制业务和元数据，可能还需要机密性保护。

可用性——包括保护其他资产的可用性以及保持网络服务运行所需网络组件的可用性。在面对网络攻击时，可用性需要具有韧性；还需要协议考虑战术异构网络在开销、所需响应和延迟方面的特有特征。

4.2 信任、威胁和攻击向量

大型异构网络将包括各种实体。本文假设的模型具有以下信任级别：

可信内部实体——包括拥有适当安全许可和必要授权的内部人员，还包括在授权人员适当物理保护和/或控制下的经认证和批准的网件、软硬件，以及联盟伙伴。

合作实体——包括诸如据信可正确转发数据，但不一定被授权可读取所承载用户有效载荷的网元及行动者，包括商用网络提供商、非政府组织以及来自同一或另一联盟、亦或不同利益群体的联盟伙伴。合作实体行为应遵循共同商定的协议。

不可信实体——包括既不可信也未经授权的其他行动者。此类行动者可能是恶意的，也可能是非恶意的。由于很难确定行动者属于哪种情况，因此在此对恶意和非恶意不可信实体不作区分。任何不可信实体都可能采取恶意行动。

可能的攻击向量包括但不限于终端设备、用户应用、网元、网关、软件、协议和无线通信信道。

4.3 加密工具箱

要想实现资产的特定保护，只能通过加密机制。这些加密机制可位于OSI栈的不同层，也可处于网络中的不同位置：终端主机、中间路由器和无线电设备。本文定义了一种具有三级保护的加密工具箱：应用、网络和链路级保护，以及三者的混合应用。所有方案各有利弊。

（1）应用级保护

应用级保护是指真正的端到端保护，包括位于终端主机网络层或更高层的加密保护。以图1所示为例，它包括DCS和任何类型的应用层加密，以及诸如在主机上实现的TLS/SSH和IPsec等传输层和网络层方案。协议中嵌入了加密保护的路由协议及其他协议也属于此类。

开销取决于所使用的实现和解决方案，可从对称加密方案的几个字节到涉及证书和数字签名的几千字节不等。应用级保护提供了细粒度保护方案。它甚至能按单个主机和应用分割利益群体。它的另一优势是同一公共传输网络可用于多个安全域。

应用级保护对用户有效载荷提供保护，但对用户元数据的保护有限，而对网络管理数据、网络控制业务和网络元数据不提供任何保护。这样一来，应用级保护的一个缺陷就是它使终端系统易受攻击。因此需要采取额外措施防止攻击者访问终端主机。

应用级保护的主要缺点是密钥管理复杂性的增加以及对可信终端主机的需求。与单个加密设备保护多台主机的情况相比，应用级保护的密钥管理要复杂得多。应用级保护需要为每台主机安全提供有效密钥，并且它们与其他主机的每个安全关联都需要不同密钥。虽然图1中各节点仅显示了一台主机，但实际主机数量可能很大。此外，终端主机需要经过认证和审计。用于保护加密数据的加密解决方案必须经过评估、认证并获得安全性认可。评估大量不同的主机既耗时又昂贵。即使主机数量被限制在少数几个已批准的范围内，每次通过补丁、更新或新应用而修改系统配置时，都需要进行审查、重认证和重审计。再者，由于成本效益和灵活性原因，加密设备之后经常采用现货计算机，但它们通常未针对对机密信息实施加密保护的需求设计。也就是说，终端主机可能不是经认证的可信平台，且并不是所有终端主机设备都能够支持加密。

（2）网络级保护

网络级保护包括用于周界保护的传统IPsec方法，这种方法基于网络层加密机，将网络分成红色（明文）侧和黑色（密文）侧。加密机通常位于局域网和传输网主机之间，如图1所示。

传统IPsec方法的一个优势是，一个加密单元可保护局域网侧的许多主机和应用，且加密数据可通过任意不安全网络传输。一个公共转接网络可用于多个安全域。用户有效载荷、红侧路由信息以及一定程度的用户元数据都会受到保护。另一个优势是，与应用级保护相比，密钥管理更加容易，因为使用了相同加密功能保护多个主机。

IPsec隧道模式添加了一个额外的IP包头和IPsec包头。IPsec传输模式只添加了一个IPsec包头，但通常与GRE隧道或类似协议一起使用。因此，以上两种操作模式都会产生大量开销。黑侧网络管理数据、网络控制业务和网络元数据不受保护。另一个问题是，它不能为用户有效载荷提供真正的端到端保护，而只是保护对等网络层加密机之间的数据。网络级保护代表了一种中等粒度的保护方案，它假设其红侧的所有实体都属于同一安全域。

（3）链路级保护

链路级保护包括传统的逐跳无线电链路保护方法。它不仅保护用户有效载荷，还保护网络管理数据和网络控制业务。此外，它通常几乎不增加开销，因此带宽效率高于网络级和应用级保护方案。逐跳保护的缺点是业务在每一跳都会被解密并重新加密。这隐含假定了所有对业务都属于同一安全域。那么，如果存在可转发数据但无权访问其内容的可信合作实体，则需额外保护措施。

（4）混合解决方案

混合解决方案指连续使用多个保护机制。例如，应用级保护可与链路级保护相结合。其优点是对用户有效载荷实施从主机到主机的端到端加密保护，同时对元数据和网络控制业务在无线电网络上实施逐跳保护。其缺点与应用级保护基本相同。但是，对认证终端主机的要求可能不再像仅使用应用级保护时那样严格。

将链路级保护与网络级保护相结合的混合解决方案可能比包含应用级保护的解决方案更常见。作为“纵深防御”策略的一部分，还需要多层保护，确保攻击者必须通过多个屏障才有可能危害系统。

混合解决方案相关具体挑战是两级加密增加了密钥管理的复杂性和额外开销。

4.4 秘钥管理

无论在什么级别实施加密保护，都需要正确的密钥才能进行通信。对通信伙伴的信任是基于其持有的密钥。根据所持有的密钥，通信对等实体（peer）被识别为可信内部或合作实体。那些未显示拥有正确密钥的实体被视为不可信实体。恰当的密钥管理是先决条件。带宽受限、高误码率、连接变化和无线电静默会限制需要多轮在线访问中央可信实体和协议的密钥管理解决方案的适用性。公钥方案的证书大小是另一限制因素。此外，大多数战术边缘通信是群组通信。战术网络中没有普遍采用的、运行良好的群密钥建立方法。因此，假定采用任务准备期间分发的预共享密钥。预共享密钥也有望在未来发挥重要作用。任务期间的密钥更新会威胁到网络可用性，应予以避免。

5 安全性对路由的影响

5.1 主要问题

一个主要问题是，为某一路由架构选择的安全概念是否需要信令绕过加密屏障。这要么危及安全性，要么无法实现所选的路由架构。受控旁路信道可解决这一问题，但会增加复杂性和成本，并且可能不是对所有密级都适合。

另一问题是安全概念是否跨多条低容量链路引入并行信令、多隧道和更多路由域。面对网络攻击时的韧性则是另一问题。

5.2 不同级别保护的一般性影响

从组网角度看，应用级保护有优势，因为所有加密分离都发生在终端主机的网络层或以上层。网络服务无需考虑加密边界。它不影响路由架构，也不对底层通信基础设施做出假定。

网络级保护会引入更多路由域——一个在加密功能的黑侧，一个在红侧。网络控制业务无法在不影响安全性的情况下，在加密设备的红侧和黑侧间自由传输。因此，只有当所有路由都发生在红侧或黑侧时，网络级保护才能与扁平路由架构相结合。

由于加密是在网络层以下逐跳进行的，因此链路级保护对路由架构没有影响。

从组网角度来看，具有应用级和链路级保护的混合保护也很好，因为加密发生在网络层以上和以下。网络级保护与链路级保护相结合为扁平路由架构带来了与单独应用网络级保护相同的挑战。

所有加密层都会增加额外开销，但链路层加密带来的开销通常较低，通常明显低于IPsec类型保护。

5.3 保护异构战术网络的安全性——挑战与机遇

在未来很长一段时间内，军事部署中加密或不加密的二层和三层无线电可能都有，如图1所示。从安全和组网角度看，这都会带来挑战。

（1）加密和不加密无线电混合使用

图1中，二层无线电A和三层无线电B没有嵌入加密保护。无线电C有二层加密，无线电D采用三层加密。无线电C提供链路级保护。无线电D提供链路级或网络级保护，具体取决于实现方法以及数据是否在无线电网络中的每一跳被解密并重新加密。

尽管来自局域网主机的数据和来自头戴设备的话音通信通过无线电网C和D得到保护，但从安全角度来看，图1中的配置并不可靠。数据会在无线网A和B上以明文形式暴露，因此需要额外保护，而使用头戴设备使之更加复杂。放置服务（包括话音）的逻辑架构位置在局域网中路由器1的左侧。向这种模式转变有挑战性，因为当前实际部署通常有用户连接，如直接连接到无线电的话音通信头戴设备，如图1所示。安全可靠的话音通信被许多用户视为最关键服务，尤其在士兵级，如果不将头戴设备直接连接到无线电，至今仍很难满足用户需求。虽然车辆和士兵系统正在进行现代化升级，但是这些连接预计将继续加深安全和网络设计的复杂性，至少在中短期是这样。采用头戴设备直接连接无线电的安全话音通信可通过无线电内部加密实现。

（2）具有网络级保护的战术节点

图4 安全战术通信节点

图4展示了保护图1配置的一种安全保护方法；头戴设备已从无线电A和B移除，且在路由器1和路由器2之间插入了网络加密机，以保护通过无线电网A和B传输的全部数据。从安全性角度来看，该解决方案是可靠的，但会在几个方面影响路由架构。如果在红侧执行路由，调制解调器-路由器接口（IE-M）会跨越安全边界。如果同时存在黑色和红色路由，那么路由信息不能以明文形式在路由器1和路由器2之间的EI-R上流动，否则会导致安全漏洞。路由器1和路由器2将属于不同路由域。如果所有路由都在黑侧，那么与应用的交互就很复杂，需要链路级加密来保护路由信息。因此，网络级保护的位置非常重要。这既适用于单独使用网络级保护的情况，也适用于混合保护方案中组合链路级保护的情况。还需要注意的是，网络级保护方案产生的开销可能会阻碍其在低容量无线电信道上的使用。

（3）应用和链路级保护

与网络层保护相比，链路级保护解决方案对路由架构的影响较小，因为EI-R和EI-RO不太可能跨越安全边界。逐跳链路级保护可与端到端应用级保护相结合用作混合解决方案，以适当保护所有资产。

所有描述的路由架构都可以很容易地与上述混合解决方案共存，而代价则是更加复杂的安全解决方案。战术网络中，链路级保护是常用的保护类型，而加入应用级保护则不太常见。只要信任模型中只有可信实体和不可信实体，链路级保护也许足够了。但是，引入合作实体则需要加入额外保护。

（4）抵御网络攻击的韧性

有多种因素决定对网络攻击的韧性。自始至终使用单一协议将导致扁平路由架构更易受网络攻击，因为在没有额外内部分区的情况下，一次成功的攻击对单一综合系统的影响可能更大；但使用通用扁平路由域可能更容易监控、检测及应对网络威胁。

采用互连解决方案，很难瞄准整个网络进行攻击，但可能很容易找到一个易受攻击的脆弱网段。与大路由域相比，采用路由域分割可降低网络脆弱性。一方面，对一个域的成功网络攻击不一定会影响整个网络；另一方面，它又使连贯监控和检测更加困难。

6 结语

战术边缘网络中不存在放之四海而皆准的路由架构，但在选择路由架构时，可考虑以下几点：

● 网络规模：小型网络可支持共享网络拓扑细节，扁平路由架构可能是一个不错选择。

● 业务性质：如果大部分业务是针对一种传输技术的本地业务，则针对本地业务进行优化。否则，针对跨不同技术的业务进行优化。

● 数据容量：如果网络采用无多余容量分发详细拓扑和状态信息的窄带传输技术，则选择相应架构。

● 传输技术多样性：对于采用多种无线电和路由器类型的战术边缘网络而言，互连架构最合适。如果网络参与者同意使用相似系统，扁平架构也是一种选择。

在安全性方面，链路级保护在带宽和保护所有资产方面似乎最为高效。但是，当存在更多利益群体时，它必须与应用级或网络级保护相结合，以实现端到端保护。采用分层安全的另一个理由是实现纵深防御。虽然使用应用级和链路级保护相结合的混合保护方法看起来最灵活，但其当前可行性存在严重挑战。因此，其他方案是重要备选项。

网络设计者不应孤立考虑安全性和路由，还应认识到标准化是实现互操作性的必要前提。实现战术边缘互操作性需要一个标准化方案工具箱。

本文通过引入合作实体，扩展了只分内部和外部实体的信任模型。当网络规模和内部实体数量增长时，模型中应包含恶意内部实体。防范恶意内部实体需要额外保护措施，如系统加固和入侵防御措施。DCS也可同时抵御内部和外部实体。而DCS如何以一种可审计和可批准的方式实现，以用于保护保密信息，有待进一步研究。

本文考虑使用传统IP路由来整合战术无线电网络。使用中间件进行数据分发、ICN以及通过SDN改进网络设计等备选方案是进一步研究的主题。其他有待研究的问题包括战术边缘路由协议中的无线电静默感知和覆盖域间协议。

声明：本文来自电科小氙，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。