用于移动网络平台的网络安全结构.pdf

用于移动网络平台的网络安全结构
    根据35U.S.C.§119(e)，本申请要求以在2001年8月3日提交的、美国临时申请序号为60/309,844、名称为“用于移动网络平台的网络安全结构”的申请为优先权，因此，该申请的的说明书和附图作为参考完全包括在本申请中。

    【技术领域】

    本发明一般地涉及一种用于监视在移动网络平台上安全活动的网络安全结构，特别是涉及一种用于把安全响应活动指向具有强制网络地址的特定用户访问点的移动平台安全结构。

    背景技术

    我们社会和经济发展所依赖的宽带数据和视频服务，至今还不能广泛地为搭乘诸如飞机、轮船、火车、汽车等移动网络平台的用户所利用。现有技术为大多数形式的移动网络平台提供此类服务时，过去的解决方案一般非常昂贵且数据率低，和/或只有很有限地政府/军队用户以及一些高端的海事(如巡航船只等)的市场。

    以前开发的、尝试为移动网络平台提供数据和视频服务的系统只取得了有限的成功。一个主要的障碍就是对这种宽带数据和视频服务访问的昂贵成本。另一个问题就是以前开发的系统的容量有限，该容量对移动网络平台搭载的数十或数百的乘客而言是不够的，每个乘客可能同时请求不同的节目频道或者不同的数据服务。此外，现有系统一般不易升级到满足旅行公众的需求。

    特别有意义的是，目前存在的系统也没有全面提出的、相对于移动网络平台的安全论点。因此，希望提供一种网络安全结构用于对机上在移动网络平台上的安全活动进行监视、报告和响应。可以想象这样的一种网络安全结构应该设计成：(a)乘客可以在移动平台上访问的安全的计算机资源；(b)通过一条不可靠的通讯链与陆基系统部件可靠地通讯；(c)提供一种对发生在移动平台上的检测到的安全入侵事件的响应进行调解的策略；和(d)调节系统的管理以适应数百或数千的移动平台。

    【发明内容】

    根据本发明，提供了一种用于监视与驻留在飞机上的网络有关的安全活动的移动平台安全结构。该安全结构包括多个乘客与网络的连接，使得每个乘客连接有一个强制的网络地址并被布置在离乘客座位区最近的位置；一个连接到网络并用于检测起源与该网络有关的安全入侵事件的入侵检测系统；以及一个连接到网络并适于从该入侵检测系统接收安全入侵事件的机上安全管理器。该安全结构可进一步用于根据一种安全策略指挥一个安全响应，从而把该安全响应指向一个至少能够禁止乘客连接之一的安全响应执行器。

    【附图说明】

    本发明的各种优点，通过阅读随后的说明书、权利要求书以及参考附图，对本领域的技术人员是显而易见的，图中：

    图1表示根据本发明的用于移动网络平台的一种网络安全结构的方框图；

    图2A和2B表示本发明的用于移动网络平台上一个指定用户访问点的一种安全策略的状态机示意图；

    图3表示实现本发明的安全策略的一种典型数据结构图；

    图4表示本发明的全部网络安全结构的主要软件部件图；

    图5表示根据本发明的在移动安全平台上用于把安全响应指向一个特定用户访问点的功能软件模块图。

    【具体实施方式】

    图1表示用于监视在一个无人管理的移动网络平台12上的安全活动的网络安全结构10。网络安全结构10的主要用途是监视、记录、报告并响应与移动网络平台12有关的涉及安全的事件。在一个优选的实施方式中，网络安全结构10支持一个驻留在一架飞机上的移动网络平台。移动网络平台12依次通过一条或更多的无线通讯链14与一个陆基通讯系统16互联，包括一个陆基网络安全管理系统18。虽然下列描述是参照飞机上的应用给出的，容易理解该网络安全结构的广阔的方面能够应用于驻留在如公共汽车、巡航船等上面的移动网络平台。

    可以想象移动网络平台12为飞机乘客提供了一组宽带双向数据和视频通讯服务。为了支持多种服务，该基本设施允许信息以足够高的速率发送至飞机和从飞机发出。为此，移动网络平台12主要由四个子系统组成：一个天线子系统22、一个接收和发射子系统(RTS)24、一个控制子系统26和一个座舱布线子系统28。下面对这四个子系统中的每一个做进一步描述。

    天线子系统22为飞机提供双向宽带数据联络和直接广播电视接收能力。尽管本发明没有其它限制，天线子系统22通常设计用来为处于巡航条件(有限的倾斜和俯仰角)下的飞机提供这种联络。与飞机的联络一般通过K波段固定卫星服务(FSS)卫星、广播卫星服务(BSS)卫星和/或直接广播电视服务(DBS)卫星实现。

    为了说明，提供与Ku波段卫星广播有关的信号处理的补充描述。天线子系统22可以接收和/或发射Ku波段卫星广播信号。天线系统22向下变换输入的Ku波段信号、放大并输出L波段信号到RTS24。该天线系统还可以提供宽带下行链路能力。在这种情况下，天线系统22从机上的调制解调器接收L波段数据信号，向上变换该信号，放大它，然后作为Ku波段信号广播到选定的卫星异频雷达接收机。

    接收和发射子系统(RTS)24工作在接收和发射模式。在接收模式时，RTS24可以接收转播的视频信号、转播的音频信号和/或嵌在L波段载波中的IP数据。RTS 24依次对接收到的信号进行解调、解扩、解码并发送到座舱布线子系统28。在发射模式时，RTS 24发送调制成L波段信号的IP数据。RTS 24对从座舱布线子系统接收的IP数据信号进行编码、扩展和调制。

    控制子系统26控制移动安全平台12及其四个子系统中的每一个的运行。特别有意义地，控制子系统26负责监视安全入侵活动并根据下面进一步叙述的安全策略对检测到的安全入侵做出响应。

    座舱布线子系统(CDS)28通过多个用户访问点为飞机上的乘客提供网络连接。在一个优选实施方式中，座舱布线系统可以由一组802.3以太网交换机或802.11X无线访问点组成。必须注意现在的802.11B标准只允许一组无线访问的所有用户之间共享秘密，因而不适于在乘客座舱中提供期望级别的通讯隐私。相反，下一代无线标准，例如象802.11X(这里X表示“B”之后的802.11修订版)，将支持“信道化”或个别用户级加密。可以想象这样的无线标准在本发明的范围内。

    每个用户访问点最好具有可控制层3交换的特性。第一，每个用户访问点必须强加一个与特定端口结合的IP地址和MAC地址。该要求适用于有线及无线座舱环境。对每个用户访问点的第二个要求是接收一条指令去切断其访问端口。在无线访问设备的情况下，一条信道由用于该物理访问端口的一个特定频率、时分或副帧替换组成。对每个用户访问点的第三个要求是使乘客不能窃听或接收非直接寻址到他们的以太网信息分组。在有线座舱布线系统里，这可以通过使用交换式以太网结构实现。在无线座舱布线系统里，这可以通过使用对特定用户的“信道级加密”实现。

    安全策略机制的设计是网络安全结构10的最基本的要素。可以想象该安全策略将在下述约束下进行设计。第一，安全策略装置应将不同的安全入侵事件映象到不同的响应。应该懂得该响应的严重性基于所检测到的活动的威胁。第二，自动响应策略必须总是强制的(在撤销的条件下)，不管空对地通讯是否有效。如果在连接周期内禁止自动响应，在安全管理员有机会采取行动之前，连接可能失败，此时系统在撤销之前恢复到自动策略有效状态。如果管理员愿意，他们能够撤销该响应。第三，该策略机制必须在来自机上的安全管理器的自动响应和接收自地面安全管理员的手动指令之间进行仲裁。如果自动系统错误地阻塞了一个乘客的网络访问，而地面管理员撤销该阻塞，安全策略机制必须理解该行为并不再尝试强制阻塞。

    状态机是一种灵活、直观、吸引人的用于复杂行为建模的机制。因此，选用状态机来表示本发明的安全策略。图2A和图2B说明基本的UML状态机作为在移动网络平台上与一个用户访问点有关的安全策略模型。

    图2A中，每一个用户访问点可能处于三种限定的状态之一。在缺省值之下所有用户访问点开始都处于正常状态42。一个任意类型的安全入侵事件将导致适用的用户访问点跃迁到不是可疑状态44就是断开状态46。每次跃迁是以“事件/响应”的形式，这里的事件是导致状态跃迁的外部触发，而响应是产生跃迁时系统发起的外部行为。例如，在正常状态下发生的一个低等或中等优先级事件48将导致系统记录该事件和/或尝试向连接到该用户访问点的乘客发出警告。该用户访问点随后跃迁到可疑状态，如图2A所示。

    状态机模型可能被强制插入手动控制。特定的手动控制指令使陆基安全管理员可以从地面明确地对用户访问点进行禁止或者激活。通过增加一个表示用户访问点处于手动控制下的状态，可以保证自动响应不会优先于所接受的来自安全管理员的手动控制指令。因此，可以想象每一状态机可能提供一个自动响应禁止状态50，如图2B所示。进入及离开自动响应禁止状态的跃迁由陆基安全管理员控制。当处于自动响应禁止状态时，该管理员可以启动任意一种预定的安全响应。如果管理员与飞机两者之间失去联络，则状态机模型根据配置设定恢复到正常状态或先前的状态。

    状态机模型还用于表示移动安全平台上的每一台主机服务器或其它类型的计算设备。以这种方式，一台处于攻击下的服务器可能有不同于一个用户访问点的响应。同样可以想象，通过综合事件的发生可以将每个状态机连接起来，使得当一台服务器受到攻击时，该用户访问点可以采用一种不同的对可疑行为容忍度较低的安全策略。

    每一状态机可以用图3中所示的一种数据结构51表示。该数据结构包括当前状态52、可能的安全事件54、结果状态56和可能的响应58。这样，针对可能的事件，每个状态能够交叉参照以产生结果状态以及可能的操作清单。可能的事件可以包括(但不限于)一个高优先级的安全入侵事件、一个中优先级的安全入侵事件、一个低优先级的安全入侵事件、一个复位事件、一个定时器终了事件、一个通讯链上行事件、一个通讯链下行事件以及一个或更多个用于支持来自安全管理员的手动控制指令的常规事件。可能的响应可以包括(但不限于)设定一个定时器、安装一个过滤器、复位一个滤波器、向控制面板发出警报、向陆基安全管理员发出警报、切断用户访问点、发布一个乘客警告以及一个或更多的预定的常规响应。本领域的技术人员容易从这样的讨论中认识到怎样根据本发明实现一种安全策略装置。

    如图4所示，整个网络安全机构10逻辑上可以分成5个主要部件。这5个主要部件是机上策略执行部件62、空—地通讯部件64、地面控制和数据存储部件66、地面监视和手动控制部件68以及地面策略编辑和分配部件70。这些逻辑部件每个也都映象到它们在该网络安全结构10中的物理位置，如图4所示。

    机上策略执行部件62由机上安全管理器34提供。机上安全管理器的主要任务包括(但不限于)管理和监视入侵检测传感器、监视其它机上的事件来源、根据适用的安全策略对安全事件做出响应、监视机上入侵检测传感器、在用户访问点上配置静态网络传输滤波器、执行任何一种来自地面网络安全管理系统的手动撤销指令、安装从地面网络安全管理系统接收的新的安全策略以及向地面网络安全管理系统报告关注的事件和状态。对本技术领域的人员显而易见的是，每架飞机上的安全管理器34包含驻留在一台或更多台服务器上的一个或更多的软件应用。如果出现软件或硬件故障，机上安全管理器的冗余配置用于克服故障。

    地面控制和数据存储部件66由地面网络安全管理系统16提供。该控制和数据存储控制功能包括(但不限于)在永久性存储器中存储所有的事件数据、对每架飞机跟踪期望的和最近确认的配置、支持多个具有多窗口的安全管理控制台、通报任何一种影响窗口内容的数据变化的开放控制台窗口、在安全策略中为实现手动撤销提供接口、为检查存储的数据提供报告界面并控制对全部存储数据的访问。该部件可以用驻留在构成网络安全管理系统16的一台或多台地面服务器中的基于Java的应用实现。

    空—地通讯部件64负责飞机上安全管理器和地面服务器之间的通讯。因此，该部件分布在上述两个物理位置。该空—地通讯功能包括(但不限于)提供无阻塞通讯、重试传送直到实现可靠传输、在非联络期间排队等候消息、处理通讯对话鉴别、利用密码完整性检查防止篡改和重播、可能时最优化去除冗余的或废弃的信息、根据信息优先级利用可用的带宽、将带宽消耗最小化并向飞机发送更新的安全策略。该通讯部件逻辑上的隔离有助于机上安全管理器和地面服务器的设计避免由于零星联络出现不必要的复杂性。

    地面监视和手动控制部件68以及地面策略编辑和分配部件70也驻留在地面网络安全管理系统12中。该监视和手动控制部件的功能包括(但不限于)监视一组飞机的状态与活动并选择一架单独的飞机进行密切的检查、监视单架飞机的状态与活动并选择一台单独的服务器或一个乘客连接进行密切的检查、监视单台机上服务器的状态与活动、手动控制一台机上的服务器、监视单个机上乘客连接的状态与活动并手动控制一个机上乘客连接。

    除了监视与手动控制外，编辑安全策略文件以及发送安全策略更新的服务同样驻留在地面网络安全管理系统16中。策略编辑与应用功能包括(但不限于)：编辑传感器配置文件，从适当的供应商网页上检索入侵检测署名文件更新，编辑响应策略状态机与参数，编辑静态安全配置，将传感器文件、署名文件、响应策略和静态配置组合为特定的安全策略，提供安全策略更新的版本控制，根据最后确认的策略与期望的策略浏览在系统中的飞机，以及向选定的一组飞机发送新的安全策略。安全策略的编辑不会成为每天的日常行为。因为这一原因，策略编辑和应用功能被处理成一个与其它功能管理分离的、独特的逻辑部件，通过用户界面运行在地面服务器中。

    上述每一个部件可以利用一个运行在一台或多台地面服务器上的基于Java的用户界面实现。该用户界面进一步包括一系列可由人类网络安全管理员监视的窗口。

    参照图5，本发明的网络安全结构可用于把一个安全响应指向移动网络平台上一个特定的用户访问点。为此，控制系统26与驻留在每个座舱访问设备74上的一个安全响应执行器72相结合。安全响应执行器72依次与一个或多个连接在座舱访问设备74上的用户访问点76连接。安全响应执行器72可以是任何一种简单的机制，用于从机上安全管理器34接收用户端口切断请求，该请求反过来使该端口拒绝有关用户的访问。这些指令可以通过使用简单网络管理协议(the Simple Network Management Protocol)实现。可以想象座舱布线系统由一个或更多的座舱访问设备74组成，如图5所示。一个座舱访问设备可以用随处可得的RJ45连接器作为一个切换的以太网端口或一个无线访问点实现。

    更明确地，安全响应执行器72是一个将乘客的访问传达到系统的、软件实现的模块。当乘客将一台计算设备78连接到座舱布线系统28提供的用户访问点76中的一个时，安全响应执行器72启动一个与控制系统26的对话期。在启动对话期时，地址管理器80分配一个IP地址给该乘客连接。地址管理器80是一个分配唯一IP地址的软件或固件功能。可以想象，该IP地址可能是只适合在飞机上使用或者可能是一个脱离飞机访问的可以路由的IP地址。

    安全响应执行器72记录分配给乘客连接的IP地址和在座舱布线系统28中该乘客的计算设备所连接的物理端口之间的联系。数据分组通过安全响应执行器往来于一个用户访问点76。安全响应执行器72可进一步用于将一个分配了IP地址的数据分组传送到有相应源地址的用户访问点，以及将没有分配IP地址的数据分组送到预定的用户访问点。当乘客从座舱布线系统28上断开他们的计算设备时安全响应执行器72终止一个对话期。

    控制子系统26还包括一个入侵检测子系统82。入侵检测子系统82可用于检测可能在移动网络平台上发生或涉及移动网络平台的安全入侵活动。为此，入侵检测子系统82检查所有进入其宿主计算设备的数据分组，并且在检查到一个安全入侵活动时，发送一个安全入侵事件到机上安全管理器34。可以想象该安全入侵事件将封装一个或更多的IP地址，其中，每个IP地址与一个和安全入侵事件有关的网络连接相关。对本领域技术人员显而易见的是，可以用许多商品化的现有软件产品中的一种实现入侵检测子系统82。

    机上安全管理器34负责在移动网络平台上强制执行安全策略。因为与飞机的通讯可能是偶发的，对安全入侵事件做出响应时机上安全管理器34必须提供自动运行的能力。当检测到一个安全入侵事件时，机上安全管理器34根据一个可定制的安全策略适当地做出响应。因此，机上安全管理器34可用于从任何入侵检测子系统接收安全入侵事件并用于实现安全响应。典型的响应可能包括警告飞机上的一名或更多名乘客、向地面安全管理员报警和/或切断一个乘客的网络访问。

    特别有意义的是，该机上安全管理器与安全响应执行器联合在一起，能够把安全响应指向特定的用户访问点。例如，机上安全管理器可能发出一个禁止端口指令到安全响应执行器。该禁止端口指令包括一个预期用户访问点的IP地址。一旦收到该禁止端口指令命令，安全响应执行器就不再从与该IP地址有关的物理端口接收数据分组。一种类似的机制可以用来激活一个原先被禁止的用户访问点。本领域的技术人员易于认可其它的安全响应指令可以通过安全响应执行器类似地指向一个特定的用户访问点。

    上述讨论公开并描述了本发明的优选实施方式。从上述讨论、附图及权利要求书中，本领域的技术人员易于认可，在不脱离由所附权利要求限定的本发明的实质和范围的情况下，可以对其进行变化和修改。