王玉龍,曾夢岐

(1.海司信息化部,北京100041;2.中國電子科技集團(tuán)公司第三十研究所,四川成都610041)

美軍GIG基于VPN的作戰(zhàn)網(wǎng)絡(luò)域構(gòu)建技術(shù)

王玉龍1,曾夢岐2

(1.海司信息化部,北京100041;2.中國電子科技集團(tuán)公司第三十研究所,四川成都610041)

全球信息柵格(GIG)是美軍正在建設(shè)的重要基礎(chǔ)設(shè)施,其重要的功能就是實(shí)現(xiàn)各個軍兵種的互聯(lián)互通。GIG3.0中提出了作戰(zhàn)網(wǎng)絡(luò)域的概念,明確采用VPN隔離技術(shù)實(shí)現(xiàn)不同安全等級網(wǎng)絡(luò)的互聯(lián)。首先介紹了GIG不同版本間的演進(jìn)關(guān)系,進(jìn)而給出了GIG3.0的變化,包括網(wǎng)電聯(lián)合作戰(zhàn)區(qū)域和作戰(zhàn)網(wǎng)絡(luò)域的提出,重點(diǎn)闡述了OND與DISN的連接關(guān)系,以及OND的網(wǎng)絡(luò)構(gòu)成,最后列舉了支撐OND的四種關(guān)鍵VPN技術(shù)。

全球信息柵格3.0 作戰(zhàn)網(wǎng)絡(luò)域 虛擬專網(wǎng)

0 引 言

全球信息柵格(GIG,Global Information Grid)是美軍正在建設(shè)的重要基礎(chǔ)設(shè)施,是美軍為了確保信息優(yōu)勢,實(shí)現(xiàn)網(wǎng)絡(luò)中心戰(zhàn)而制定的最優(yōu)先計(jì)劃,是未來美軍實(shí)現(xiàn)信息優(yōu)勢、決策優(yōu)勢和全面主宰的重要基礎(chǔ)。

美軍在2000年將GIG定義為“全球互聯(lián)的、端到端的、能根據(jù)戰(zhàn)斗人員、決策人員和支援人員的要求來收集、處理、存儲、分發(fā)和管理信息的信息能力及相關(guān)過程和人員的集合”。當(dāng)前GIG已完成方案論證、體系結(jié)構(gòu)設(shè)計(jì),進(jìn)入到建設(shè)實(shí)施階段,目前正重點(diǎn)實(shí)施IPv4到IPv6過渡、GIG帶寬擴(kuò)展(GIGBE)、聯(lián)合戰(zhàn)術(shù)無線電系統(tǒng)(JTRS)、轉(zhuǎn)型通信衛(wèi)星(TSAT)等工作。2008年,在海軍副司令Nance Brown的帶領(lǐng)下,美軍開始了“GIG2.0”的理論研究工作。2010年美軍開始提出GIG3.0(全球信息柵格,Global Information Grid)[1]。在GIG3.0中,美軍明確提出了作戰(zhàn)網(wǎng)絡(luò)域(OND,Operational Network Domain)的概念,并提出了四種構(gòu)建作戰(zhàn)網(wǎng)絡(luò)域的VPN技術(shù)。

1 GIG3.0變化

1.1 明確網(wǎng)電空間下運(yùn)行能力的10條要求

美國防部指出,要確保GIG在網(wǎng)電空間的安全可靠運(yùn)行,必須充分認(rèn)識其在網(wǎng)電空間運(yùn)行的任務(wù)需求及面臨的網(wǎng)電威脅。為此,GIG3.0明確了提高GIG在網(wǎng)電空間下運(yùn)行能力的10條要求[2]:

1)必須使聯(lián)合部隊(duì)司令官(JFC)在網(wǎng)電空間具有與陸、海、空、天同樣的指揮控制能力。

2)網(wǎng)電空間的指揮控制是在該域?qū)嵤└黜?xiàng)行動的基礎(chǔ)。

3)運(yùn)行、防御、攻擊和利用是網(wǎng)電空間的四條行動主線,其中網(wǎng)絡(luò)防御起到?jīng)Q定性作用。

4)必須使作戰(zhàn)指揮人員充分理解和掌握網(wǎng)電空間。5)網(wǎng)電空間作戰(zhàn)必須與物理域作戰(zhàn)緊密結(jié)合。6)必須推動網(wǎng)電空間域非動能打擊手段的發(fā)展。7)必須深化作戰(zhàn)需求以推動網(wǎng)電空間體系結(jié)構(gòu)的完善。

8)網(wǎng)電空間作為唯一的一個人工域,JFC能夠而且必須在某種程度上參與其決策制定、行動指導(dǎo)及風(fēng)險(xiǎn)挑戰(zhàn),同時不影響其對GIG其余部分的職責(zé)。

9)相關(guān)信息是對作戰(zhàn)產(chǎn)生影響的關(guān)鍵因素,而非提取的字節(jié)數(shù)。

10)網(wǎng)絡(luò)通常都存在脆弱性,斷開連接并不是一個好方法,必須積極應(yīng)對網(wǎng)電攻擊。

1.2 提出GIG網(wǎng)電聯(lián)合作戰(zhàn)區(qū)域

與1.0版、2.0版相比,3.0版體系結(jié)構(gòu)新增了網(wǎng)電聯(lián)合作戰(zhàn)區(qū)域(Cyber JOA,Cyber Joint Operations Area)[3]。確定了執(zhí)行網(wǎng)電空間作戰(zhàn)與防御任務(wù)的網(wǎng)絡(luò)區(qū)域,設(shè)計(jì)并提供動態(tài)網(wǎng)絡(luò)防御平臺來輔助計(jì)算機(jī)網(wǎng)絡(luò)攻擊與防御,允許指揮官感知環(huán)境、制定決策、指揮作戰(zhàn)并評估風(fēng)險(xiǎn)。同時,明確了GIG的網(wǎng)電空間運(yùn)行和防御能力要求、涉及的關(guān)鍵網(wǎng)絡(luò)和系統(tǒng),以及動態(tài)網(wǎng)絡(luò)防御、網(wǎng)電攻擊和網(wǎng)絡(luò)應(yīng)用等關(guān)鍵能力;明確了網(wǎng)電空間司令部(CYBERCOM)和各軍種相關(guān)機(jī)構(gòu)在GIG范疇內(nèi)的網(wǎng)電空間作戰(zhàn)職責(zé);以及明確了網(wǎng)電聯(lián)合作戰(zhàn)區(qū)域的特征為[2-3]:

1)定義了友軍作戰(zhàn)網(wǎng)絡(luò)域,重點(diǎn)關(guān)注作戰(zhàn)和防御任務(wù)。

2)提供了動態(tài)網(wǎng)絡(luò)防御平臺,并便于實(shí)施計(jì)算機(jī)網(wǎng)絡(luò)攻擊(CAN)和計(jì)算機(jī)網(wǎng)絡(luò)利用(CNE)。

3)對聯(lián)合部隊(duì)指揮和控制非常關(guān)鍵的系統(tǒng)和網(wǎng)絡(luò)來定義網(wǎng)電聯(lián)合作戰(zhàn)區(qū)域。4)由現(xiàn)有條令和政策管理網(wǎng)電聯(lián)合作戰(zhàn)區(qū)域。5)使指揮官可以感知環(huán)境、做出決定、指導(dǎo)作戰(zhàn)和承擔(dān)風(fēng)險(xiǎn)。

6)要求網(wǎng)電空間司令部和各軍種在聯(lián)合作戰(zhàn)區(qū)域中執(zhí)行其廣泛的GIG職責(zé)。

1.3 聯(lián)合作戰(zhàn)需要解決的三大問題

根據(jù)對美軍GIG3.0最新進(jìn)展的理解,聯(lián)合作戰(zhàn)需要解決的三個重要問題(見圖1):

圖1 聯(lián)合作戰(zhàn)需要解決的三大問題Fig.1 Three problems of joint operations

1)不同部門之間的信任傳遞(美軍所謂的域聯(lián)盟,COI,Community Of Interest)。

2)企業(yè)化網(wǎng)絡(luò)中不同安全域之間網(wǎng)絡(luò)融合和信息交換的安全(多級安全,MLS,Multi-Level Security)。

3)聯(lián)合作戰(zhàn)下的安全態(tài)勢感知與融合(計(jì)算機(jī)網(wǎng)絡(luò)防御態(tài)勢感知,CND SA,Computer Network Defense Situation Awareness)。

1.4 提出作戰(zhàn)網(wǎng)絡(luò)域概念

在GIG3.0中,美軍還提出了“作戰(zhàn)網(wǎng)絡(luò)域”的概念[3]。作戰(zhàn)網(wǎng)絡(luò)域由NIPRNET虛擬專用網(wǎng)、SIPRNET虛擬專用網(wǎng)、聯(lián)合C2虛擬專用網(wǎng)和IC虛擬專用網(wǎng)構(gòu)成,如圖2所示。

圖2 作戰(zhàn)網(wǎng)絡(luò)域的構(gòu)成Fig.2 Operational diagram of the network domain

2 作戰(zhàn)網(wǎng)絡(luò)域OND

2.1 虛擬安全飛地(VSE)

作戰(zhàn)網(wǎng)絡(luò)建立在基于IPsec的虛擬安全飛地(VSE,Virtual Security Enclave)上。

IPsec是IP Security的簡稱,是一系列支撐IP層數(shù)據(jù)報(bào)安全交換的協(xié)議族。IPsec已經(jīng)廣泛應(yīng)用于實(shí)現(xiàn)安全可靠的虛擬專網(wǎng)(VPN)。IPsec提供用于保護(hù)秘密數(shù)據(jù)的COTS/GOTS加密能力。每個飛地是一個需要各自基礎(chǔ)設(shè)施的單獨(dú)網(wǎng)絡(luò)。

虛擬安全飛地的組件如圖3所示,包括:

1)網(wǎng)絡(luò)飛地(Network Enclave):包含單獨(dú)安全域的被保護(hù)網(wǎng)絡(luò)環(huán)境(如SECRET//REL USA)。

2)應(yīng)用服務(wù)要點(diǎn)(ASP,Application Service Point):一系列的服務(wù)器用于一個單獨(dú)的飛地以提供應(yīng)用服務(wù)(如Web,E-Mail,COP之類)。

3)客戶服務(wù)要點(diǎn)(CSP,Custom Service Point):飛地的用戶接口。

4)客戶服務(wù)VPN:使用NSA授權(quán)的IPSec加密來保護(hù)用戶的數(shù)據(jù)(第一層封裝)。

5)受保護(hù)的內(nèi)部網(wǎng)絡(luò)VPN:保護(hù)網(wǎng)絡(luò)免受內(nèi)部威脅,如惡意入侵者,高危應(yīng)用,或者是系統(tǒng)漏洞。

ASP防火墻:保護(hù)IPsec加密機(jī)免受DoS攻擊,并且添加附加的魯棒性用于公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施的跨域應(yīng)用服務(wù)使用。

圖3 虛擬安全飛地的組件Fig.3 Assemblies of virtual security enclave

2.2 應(yīng)用連接關(guān)系

OND與DISN的連接關(guān)系如圖4所示,包括物理連接關(guān)系和邏輯連接關(guān)系。各個戰(zhàn)區(qū)劃分各自的OND,每個OND內(nèi)通過不同灰度區(qū)分不同的VSE;每個OND通過DNDG與DISN實(shí)現(xiàn)物理連接;每一個VSE通過VPN方式與NIPRNET和SIPRNET等實(shí)現(xiàn)邏輯連接;一個OND內(nèi)的VSE之間通過Blackcore連接[4]。

圖4 OND與DISN的連接關(guān)系Fig.4 Connection of between OND and DISN

2.3 OND的構(gòu)成

OND的隔離分為3層。

第一層是black core,使用HAIPE對傳輸數(shù)據(jù)進(jìn)行加密。

第二層是brown core,使用IPSEC劃分不同的AVE(使用PIN VPN),由于不同的AVE由不同的密級,例如NIPRENT AVE是非密,SIPRENT AVE是秘密的,秘密AVE內(nèi)部需要加密,因此,對第二層來說,有加密數(shù)據(jù)和非密數(shù)據(jù),所以是brown core。

第三層是SSL/TLS VPN,它實(shí)現(xiàn)不同終端之間的數(shù)據(jù)隔離,尤其是MEC終端,同時運(yùn)行多個不同密級的客戶端,需要不同客戶端之間的隔離。(我們認(rèn)為,這里是client service IPSEC VPN)。

根據(jù)對GIG3.0的理解,形成的OND網(wǎng)絡(luò)拓?fù)鋱D,如圖5所示。

2.4 虛擬專用網(wǎng)飛地的VPN

VSE使用了4種VPN,分別是HAIPE VPN(1型/高安全性網(wǎng)絡(luò)協(xié)議加密)、Transit VPN、PIN VPN和Client Service VPN。

1)HAIPE VPN。HAIPE VPN是第一層VPN,采用IPSEC ESP技術(shù),多個HAIPE VPN組成black core(黑核),保護(hù)數(shù)據(jù)傳輸。不具有分級分域的功能[5]。

圖5 形成的OND網(wǎng)絡(luò)拓?fù)銯ig.5 OND network topology

2)Transit VPN。Transit VPN是MPLS的VPN的一種過渡VPN,用于解決不同MPLS VPN之間的互通。因?yàn)镺ND和DISN各自規(guī)劃自己的MPLS VPN,它們之間的互通時需要transit VPN交換路由,建立新的VPN。

3)PIN VPN。PIN VPN是第二層VPN,對應(yīng)的網(wǎng)絡(luò)層次在brown core層,主要的作用是根據(jù)不同的網(wǎng)絡(luò)隸屬關(guān)系(例如SIPRNET,NIPRNET,C2等),在OND內(nèi)劃分多個AVE,具有分級分域的功能,每個AVE之間通過PIN VPN隔離[6]。由于不同密級的AVE可能加密,可能不加密(SIPRENT的AVE是加密的,NIPRNET的AVE是不加密的),因此,對于PIN VPN來說是“棕色”。PIN VPN不采用加密技術(shù)實(shí)現(xiàn)隔離。

4)Client Service VPN。Client svc VPN(我們理解是SSL/TLS VPN)是第三層VPN,它實(shí)現(xiàn)不同終端之間的數(shù)據(jù)隔離,尤其是MEC終端,同時運(yùn)行多個不同密級的客戶端,需要不同客戶端之間的隔離。當(dāng)終端是屬于秘密的AVE,則Client svc VPN需要對數(shù)據(jù)加密,如果是非密的AVE,則Client svc VPN不對數(shù)據(jù)加密。

2.5 黑核

GIG網(wǎng)絡(luò)建設(shè)中,一般采用HAIPE加密機(jī)(TYPE 1)構(gòu)建虛擬安全飛地(VSE)。HAIPE加密機(jī)基于數(shù)據(jù)的安全屬性將GIG系統(tǒng)的分為兩個部分:

1)明文網(wǎng)絡(luò)(PT)-用戶數(shù)據(jù)沒有經(jīng)過IP加密(紅網(wǎng))。

2)密文網(wǎng)絡(luò)(CT)-用戶數(shù)據(jù)經(jīng)過IP加密(黑網(wǎng))。

在GIG建設(shè)中,HAIPE加密機(jī)是實(shí)現(xiàn)組網(wǎng)的安全網(wǎng)關(guān)設(shè)備,GIG理想的模式時所有的紅網(wǎng)(PT)均匯集到黑網(wǎng)(CT)。

美國政府提出了“高保障lP密碼機(jī)互操作規(guī)范HAIPE IS”標(biāo)準(zhǔn)。

黑核模式借助HAIPE完全隔離了紅黑網(wǎng)絡(luò),各個分離的黑網(wǎng)也將隨網(wǎng)絡(luò)的部署慢慢融合成單一的“黑核”。最終形成黑核和圍繞黑核的若干受HAIPE保護(hù)的紅網(wǎng)組成。隔離原理如圖6所示。

圖6 紅黑隔離的原理Fig.6 Principle of isolation

紅網(wǎng)和黑網(wǎng)均可采用標(biāo)準(zhǔn)的路由協(xié)議,通過HAIPE提供的對端發(fā)現(xiàn)技術(shù)、安全路由技術(shù)實(shí)現(xiàn)紅、黑網(wǎng)絡(luò)的安全互聯(lián)。

3 結(jié) 語

文中研究了美軍GIG3.0的最新理念,給出了網(wǎng)電空間下運(yùn)行能力的10條要求,重點(diǎn)研究了作戰(zhàn)網(wǎng)絡(luò)域(OND)、敏捷虛擬飛地(AVE)、虛擬安全飛地(VSE)等新技術(shù)?？傮w來講,美軍采用邏輯隔離的VPN技術(shù)構(gòu)建基于任務(wù)的作戰(zhàn)網(wǎng)絡(luò),以保護(hù)作戰(zhàn)網(wǎng)絡(luò)域的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,并支撐以作戰(zhàn)司令部為中心的賽博空間作戰(zhàn)。

[1] 曾夢岐,譚平嶂,陳劍鋒.美軍GIG3.0進(jìn)展研究[J].信息安全與通信保密,2011(12):11-15.

ZENG Meng-qi,TAN Ping-zhang,CHEN Jian-feng. Study on Development of US Military GIG 3.0[J].Information Security and Communication Privacy,2011(12): 11-15.

[2] RANDY C.GIG 3.0 Design Factors[EB/OL].(2013-10-10)[2013-12-12].http://info.publicintelligence. net/USPACOM-GIG.pdf.

[3] 謝曉霞,宋海燕.全球信息柵格建設(shè)對我軍的啟示[J].電子科技,2007(01):4-8.

XIE Xiao-xia,SONG Hai-yan.The Enlightenment of Our Army by the Global Information Grid[J].IT Age, 2007(01):4-8.

[4] 王宇弘.全球信息柵格信息保障(上)[J].電子產(chǎn)品世界,2006(19):6-10.

WANG Yu-hong.Information Assurance of Global Information Grid[J].Electronic Products,2006(19):6-10.

[5] 盧山,鞠茂光,晏慶.全球信息柵格及軍事應(yīng)用啟示[J].通信技術(shù),2010,43(12):2-7.

LU Shan,JU Mao-guang,YAN Qing.Study on Global Information Grid and Military Enlightenment[J].Communications Technology,2010,43(12):2-7.

[6] 王強(qiáng),陳劍鋒,王劍鋒.雙云安全計(jì)算架構(gòu)[J].信息安全與通信保密,2012(04):16-20.

WANG Qiang,CHEN Jian-feng,WANG Jian-feng.An Architecture for Secure Cloud Computing[J].Information Security and Communications Privacy,2012(04):16-20.

WANG Yu-long(1973-),male,bachelor, engineer,majoring in information technology.

曾夢岐(1981—),男,碩士,工程師,主要研究方向?yàn)樾畔踩?。ZENG Meng-qi(1981-),male,M.Sci., engineer,mainly engaged in information security.

VPN-based Operational Network Domain of GIG for US Armed Forces

WANG Yu-long1,ZENG Meng-qi2
(1.Information Department of Navy Command,Beijing 100041,China; 2.No.30 Institute of CETC,Chengdu Sichuan 610041,China)

GIG is the key defense infrastructure of US armed forces under construction,which aims to achieve the connection of each US armed force.The concept of Operational Network Domain proposed in GIG 3.0 indicates the adoption of VPN technique in implementing the inter-connection and inter-oporability of networks with different security levels.This paper introduces relationship of the three GIG versions, and gives the highlights of GIG3.0,including Cyber Joint Operations Area and Operational Network Domain.The connection of OND and DISN and the network constitution of OND are emphatically addressed. Finally,the four VPN techniques in support of OND are described.

GIG3.0;OND;VPN

TN918.8

A

1002-0802(2014)02-0167-05

10.3969/j.issn.1002-0802.2014.02.010

王玉龍(1973—),男,學(xué)士,工程師,主要研究方向?yàn)樾畔⒓夹g(shù);