復雜環境下移動通信平臺安全防護技術研究*

蒲文彬，聶大成

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

在復雜多變的野外環境中，移動通信平臺（如可移動通信車、野外通信基站）并存著多種無線、有線通信鏈路，各平臺之間敏感性信息需要進行交互，同時由于野外環境安全的不確定性，使得敏感信息在傳輸、存儲、使用各個環節非常脆弱，面臨的來自外部的信息安全攻擊和安全威脅形勢非常嚴峻。因此，通過對移動通信平臺信息網絡安全防護的研究，設計一套適合移動通信的安全防護解決方案，形成多維度信息安全防御體系，可以提高移動通信平臺在復雜外部環境下的信息對抗能力，對促進移動通信發展具有一定的技術價值和市場價值。

1 安全威脅分析

移動通信平臺信息系統面臨的安全威脅主要包括：

（1）機動性帶來的設備被俘獲的風險

由于移動通信平臺一般暴露于外場環境中，在復雜外場環境下裝備容易被捕獲、裝備容易丟失，從而導致系統內敏感信息被獲取，甚至通過捕獲設備偽裝成合法網絡實體或合法用戶身份，非法訪問網絡或對網絡進行攻擊。

（2）針對無線通信鏈路的無線攻擊威脅

移動通信平臺的通信主要采用衛星、4G/5G、電臺等無線通信手段，由于無線信道的開放性，針對無線通信鏈路的數據竊取、流量分析、數據篡改、攻擊注入等無線攻擊威脅越來越大。

（3）軟硬件平臺脆弱性帶來的安全威脅

移動通信平臺中裝備計算機的軟硬件普遍采用國外Intel、Windows、Linux或Vxworks嵌入式系統等軟硬件平臺，這些系統都存在著后門漏洞、供應鏈安全、安全漏洞等安全威脅。計算環境存在非法登錄、病毒感染、非法外聯、存儲介質隨意拷貝、設備局域網非法接入等主機安全威脅風險。

（4）基于CAN總線的車輛通訊系統的安全威脅

移動通信平臺中包含的通信單元、控制單元等基本都是通過CAN總線進行通信和協調。雖然CAN總線系統相對封閉，但隨著移動通信平臺內計算機系統的配置、網絡互連、無線通信的接入等，CAN 總線已從封閉系統變為開放平臺，同樣會面對來自外部攻擊者的身份偽裝、信息偵聽、惡意代碼注入、DoS攻擊，導致移動通信平臺內控制單元、通信單元等關鍵組件失控。

（5）內部人員非法操作威脅

移動通信平臺中具有一定權限的內部人員，其非法操作和越權訪問資源，會導致敏感數據被篡改、插入、重放或者刪除。同時內部人員可能將帶有病毒的文件拷入移動通信平臺的系統中會造成病毒泛濫。對平臺的訪問操作缺少技術監控手段，系統無法定人定位定責。

（6）數據、數據庫安全威脅

移動通信平臺中存在的各類重要文件、數據（如數字地圖）在通信過程中存在著被格式篡改、信息欺騙、信息泄露等安全威脅。系統中存儲的數據存在著通過身份假冒、越權訪問對重要數據進行非法竊取、非法保存等安全風險。

2 安全防護系統體系架構

移動通信平臺的性能能否得到正常發揮，在很大程度上取決于復雜環境中的信息安全綜合對抗能力，這就要求移動通信平臺從通信鏈路到控制系統都具備應對各類網絡威脅的防護能力，具備全面安全防護能力，構建一體化信息安全防御系統，通過運用多重安全防護機制及安全技術，構建集基礎設施自主可控、通信安全、網絡安全、計算應用安全于一體的信息安全防御體系，能夠從物理層、鏈路層、網絡層、應用層等各方面對移動通信平臺各層面信息系統進行全面、深入、動態的安全防護，實現縱深防御、主動防御的目的。

移動通信平臺的信息安全防護體系架構如圖1所示。

（1）實現移動通信平臺基礎設施自主可控，提供安全、可信、可控的軟硬件運行環境。針對移動通信平臺無線和有線傳輸的信息提供傳輸加密和安全保障機制，實現通信信道的安全防護。

（2）通過對移動通信平臺網絡邊界安全控制和內部網絡的安全監控，實現移動通信平臺信息網絡穩定運行。

（3）針對計算機應用系統漏洞、脆弱性攻擊造成的系統癱瘓、服務中斷等問題，身份認證、可信計算、主機監控、準入控制、數字簽名、病毒防護、應用監控及審計、數據備份與恢復、數據銷毀、優化系統安全策略配置、軟件安全性設計和開發等技術手段為計算機提供可信安全運行環境。

（4）建立安全運維管理手段，實現對移動通信平臺安全運行狀態監控和安全態勢的全面掌握，及對系統中各類安全設備、網絡設備的集中管理以及安全策略配置和分發。

3 安全防護技術研究

通過對以下關鍵安全防護技術的研究，來解決移動通信平臺在復雜環境下暴露出來的一系列安全問題。

（1）無線安全檢測技術

無線安全檢測技術通過對無線信號攻擊監測技術研究，實現無線信號層面的攻擊監測、安全監察和漏洞掃描能力，及時、準確識別攻擊行為、確定攻擊者地理位置；針對跳擴頻無線通信系統物理層、鏈路層的安全防護手段，抵御信息欺騙、篡改和重放等攻擊方式；通過無線組網鑒權技術研究，建立更為安全，且能夠覆蓋各類無線信道的無線認證鑒權體制；通過無線網絡路由安全增強技術研究，具備對關鍵路由協議和呼叫控制信令的安全加固能力，確保組網安全；通過研究無線網絡安全態勢感知技術，實現無線信號層面的安全態勢展現，為無線安全管理提供支撐。

圖1 安全防護系統總體架構

（2）網絡安全態勢感知技術

網絡安全態勢是指在獲取海量網絡安全數據信息的基礎上，通過解析信息之間的關聯性，對其進行信息融合，獲取有效的網絡安全態勢，并對網絡安全態勢的發展趨勢進行預測，為網絡安全管理員的決策分析提供依據。本方案中研究包括安全事件信息、無線通信安全信息等多源信息融合是網絡安全態勢感知的核心。目前應用于網絡安全態勢評估的信息融合算法，大致分為以下幾類：基于邏輯關系的融合方法、基于數學模型的融合方法、基于概率統計的融合方法以及基于規則推理的融合方法。

（3）信息安全集中管理技術

信息安全集中管理技術通過對網絡中各類安全設備運行狀態的集中監控，及網絡安全策略的統一制定和發布，能夠有效提高系統的管理效率和故障快速反應能力。通過對分散且海量的單一安全事件進行匯總、過濾、收集和關聯分析，及時發現全局性、整體性安全威脅行為，使得整個安全體系的檢測能力更加準確。還可以利用知識庫的管理和發布系統，充分共享各種安全運行信息資源。

（4）嵌入式系統安全防護技術研究

嵌入式操作系統（如Vxworks）具有良好可靠性、實時性高、操作簡便、資源占用少等優點，被用于需要執行簡單任務的移動通信平臺的操作終端上。嵌入式操作系統在強調其方便靈活性的前提下并沒有過多考慮其安全性，但隨著嵌入式設備與網絡的結合，嵌入式系統安全問題也愈發凸顯，同樣面臨著來自網絡的非法監聽、惡意入侵、信息失竊的安全威脅，需要建立高可信賴的嵌入式操作系統平臺。通過對研究強制訪問控制機制來增強嵌入式系統安全性，使得對系統資源的所有訪問都受控。依據實時嵌入式系統及其安全需求的特殊性，建立適用于實時嵌入式系統的多安全策略集成模型，實現多策略的集成表述；將集成的多策略模型運用到強制訪問控制中，實現強制訪問控制時的多策略加載與判定；為保證增加安全機制后移動通信平臺的實時性不受影響，通過采用策略緩存的機制，最大限度降低安全機制對系統性能的影響。[1-2]

（5）工業總線安全防護技術研究

通常移動通信平臺內部信息聯網技術不同于一般的商用計算機網絡，一般計算機網絡主要是基于IP協議實現對網絡資源的共享，而在體積、空間有限的移動通信平臺上控制系統部分基本都是采用CAN工業總線，CAN工業總線是一種廣播式、架構開放的網絡通信協議，因此需要研究其可能受到的網絡入侵和攻擊，采用相應的安全技術進行防范。[3]

4 系統安全防護方案

根據安全防護體系架構，移動通信系統安全防護從以下方面進行設計。

（1）基礎設施自主可控

通過采用國產化自主可控的信息設備，包括元器件、計算機、網絡設備（交換機、路由器、網關等）和軟件系統（操作系統、數據庫、應用軟件、軟件開發工具等），確保基礎設施自主可控，消除漏洞隱患。同時，采用安全芯片、可信計算產品、對VxWorks嵌入式操作系統安全增強、CAN總線安全防護等具備安全機制的產品，從根源上解決軟硬件基礎設施的安全性問題，為移動通信平臺提供可信、可控、安全的軟硬件運行環境。

（2）通信信道安全防護

通信信道安全防護主要是為移動通信平臺通過無線和有線通信手段進行網絡信息傳輸安全保護。針對采用電臺、4G/5G等無線通信手段，可采用先進的擴頻技術（直接序列擴頻、跳時、跳頻或混合應用）、自適應及智能抗干擾技術，及更易于隱蔽通信的通信體制（如流星余跡通信、量子通信），提高無線通信的抗干擾、抗截獲能力。同時采用無線入侵檢測技術、無線通信鑒權技術、應急協同處理技術、無線綜合安全接入控制技術等，實現無線網絡成系統成體系的無線攻擊防護能力。對于移動通信平臺在靜止狀態情況下的有線通信（如被覆線）通信中，可采用IP加密技術手段實現有線網絡傳輸信息的加密保護。

（3）網絡安全防護

移動通信平臺的網絡安全防護主要是指平臺與外部網絡邊界以及平臺內部網絡的安全控制，可采用雙重安全防護手段。第一道安全防護是移動通信平臺與外部網絡邊界安全，在網絡邊界采用無線安全接入控制、綜合網絡安全技術、網絡隔離技術等，實現網絡隔離交換、網絡接入控制、攻擊實時檢測、應用協議格式檢查、網絡訪問行為審計、流量監測和漏洞掃描等，防范來自外部的網絡攻擊，實現內外網隔離及邊界安全防護；第二道安全防護是內網安全，通過采用可信安全接入、訪問控制、安全審計、網絡監控等安全技術，保障移動通信平臺內部網絡的安全可控，防止來自網絡內部有意或無意的攻擊，包括非授權訪問、信息偽造攻擊、惡意代碼攻擊、敏感信息竊取和泄露等。

（4）計算環境安全防護

針對移動通信平臺內部計算機終端的安全性，采用可信計算、計算機綜合管控、病毒防護、網絡接入控制等安全防護技術，保證平臺中主機軟硬件的運行可信、TCP/UDP端口資源訪問控制和外設使用控制、防止病毒感染、計算機終端的安全接入，防止身份非法終端隨意接入移動通信平臺網絡而進行非法操作、惡意攻擊和傳播病毒，確保終端和應用系統的安全。

（5）身份認證

身份認證體系為移動通信平臺的操控指令及應用軟件操作構建信任管理。身份認證體系提供身份認證、授權管理、安全審計等服務，確保操作用戶身份的真實性和合法性，并以此作為用戶操作審計的依據，杜絕非法用戶對操控指令及應用軟件的操作訪問，保證用戶接入安全。身份認證體系可基于數字證書+USBKey用戶安全令牌雙因子認證模式，采用證書管理、證書認證、用戶安全令牌等系統構建統一身份認證體系。其中，證書管理為用戶、設備提供證書管理功能，證書認證為用戶和應用系統提供認證服務，用戶安全令牌提供用戶證書信息和身份信息存儲、用戶端的數字簽名與身份認證。

（6）數據安全防護

在機動環境中，為保證移動通信平臺上存儲的數據的安全性，還需要提供在緊急情況下數據快速銷毀能力，如具有自銷毀能力的安全硬盤。[4]

（7）安全運維管理

移動通信平臺上的各安全裝備都需要分別進行管理并產生安全事件，所以在平臺上采用安全管理手段，對各安全設備實施統一的安全管理和策略制定，對安全設備上報的日志信息和安全事件信息進行統一收集和集中分析，綜合評估網絡安全態勢和風險，對安全態勢圖形化展示并對安全事件進行應急響應處理。

（8）嵌入式Vxworks操作系統安全增強

針對移動通信平臺中采用Vxworks嵌入式操作系統的終端的安全性，首先要研究Vxworks嵌入系統的安全機制模型，考慮嵌入系統信息發送、接收、處理等各環節的保護機制，避免不安全應用程序的加載，過濾和限制來自外界的存取，創建一個可信任的安全操作系統環境，通過研究Vxworks操作系統安全增強軟件，在現有的Vxworks操作系統基礎上，對其內核和應用程序進行面向安全策略的分析，然后加入安全機制（安全內核），解決用戶標識與身份鑒別、強制訪問控制、權限管理、可信路徑、安全審計等安全性問題。[1-2]

（9）工業CAN總線安全防護

為解決移動通信平臺中采用工業CAN總線的安全防護問題，在CAN總線與計算機網絡連接的邊界采用安全防護網關技術，實現與計算機網絡的隔離、協議轉換、通信管控、傳輸加密、工控協議檢測與控制、實時報警等功能。安全防護網關能對訪問CAN總線網絡進行訪問權限限定，保護工控協議完整性，針對協議格式、功能碼進行深度過濾，識別通過計算機網絡進入移動通信平臺針對CAN總線的惡意入侵以及人員誤操作所引起的異常控制行為和非法數據包，只允許移動通信平臺特定專有工控協議數據通過，及時阻斷病毒、非法訪問等，實現CAN區域邊界獨立保護。[3]

5 安全防護效能分析

移動通信平臺信息安全防護效能分析如下：

（1）通過針對移動通信平臺的信息安全防護技術的研究，能夠構筑覆蓋不同網絡層次、不同網絡區域的信息安全防護體系，保證移動通信平臺信息互聯互通時的安全、可控，實現從粗放保護到精確控制的轉變，顯著提高網絡空間信任保障能力。

（2）通過機動靈活的身份認證系統，為成建制的移動通信平臺建立無線通信系統以及有線網絡的身份鑒別體系。通過唯一的網絡身份憑證，為移動通信平臺在跨域通信時，為通信、網絡和應用系統提供統一、權威的網絡用戶身份鑒別服務。

（3）通過采用無線通信綜合接入用戶鑒別技術，可以有效提升移動通信平臺4G/5G等無線通信網絡的無線接入安全能力；通過對有線下的網絡傳輸加密保護，可以實現移動通信平臺數據的安全受控傳送。

（4）通過建立覆蓋各級移動通信平臺的全網、靈活高效的安全管理運維機制，可以實現對安全防護裝備的集中統一管理，實現安全態勢展現和評估，實現從被動防范到主動防御的轉變，顯著提高信息網絡監控預警能力。

（5）通過提供自主可控、安全可信的基礎平臺安全環境，實現從外圍加固到整體安全的轉變，確保移動通信平臺內部信息系統自主可控安全發展。

（6）通過針對移動通信平臺內部計算環境的安全防護系統，能夠為信息系統的各種終端和服務器提供完善的主機監控手段和有效的病毒、攻擊防護能力，解決后門攻擊、病毒攻擊、木馬攻擊等安全問題，以保證各種終端和服務器隨時處于安全、可控的運行狀態，有效提升移動通信平臺計算環境的安全水平。

6 結 語

本文通過對移動通信平臺在復雜環境下的安全威脅的分析，研究了多級縱深的安全防御技術，構建了涵蓋基礎設施、通信鏈路、承載網絡、計算環境、業務應用的安全防護體系，提出了一套抵御外部入侵、防范內部攻擊、防止信息泄露、用戶身份鑒別以及信息安全管理的解決方案，為保證移動通信平臺在復雜環境下的信息安全防護能力提供了一種解決思路。