《塑造陆军网络2025—2040》(七)：陆军网络的5种架构

Original 2017-02-08 ☞ 信息与电子前沿

网络空间安全和弹性

上文讨论的所有革命性技术都提出了同样一个问题：如何将这些技术整合入陆军网络、系统和作战行动，同时又能够成功避免先进的敌人破坏造成的潜在风险、新型和现行技术交互产生的不可预期结果、抑或系统崩溃和不稳定造成的连锁反应？

“网络主导权和防御能力是国家安全的固有组成元素……随着网络环境的发展演变，陆军始终都在通过改变程序、组织结构和作战实践，以积极主动的方式适应应对网络威胁及薄弱环节。”

陆军态势声明 2015

“陆军网络—2040”包含在不同位置之间传输数据的手段，而无须考虑哪个实体掌握或者控制具体的传输方法或组件。这种手段需要得到以下五种架构的支持（每一种都会在下文进行讨论）：数据质量保障；指导自组织架构的设计原则；智能网络——物理系统；自适应身份和接入管理；新型加密技术。

1. 数据质量保障

尽管先进的敌人可能已经潜入网络之中，或者入侵数据获取或消费的终端，弹性网络依然能够确保数据在支持任务决策的时间范围内提供给适当的决策制定者，而且数据质量能够达到决策使用要求。所需的数据质量与其正确性和可靠性或保障性相关，前者表现为数据的精准性、准确性和时限性，后者则通过数据出处、设定的用途和限制、已知的传播和篡改证据等进行反映。对于人类认知以及此前章节中描述的自主或者半自主环境，数据质量的存在具有极其重要的作用。敌人总是试图通过修改、伪造、延误和破坏手段操纵决策者使用的数据，从而达到影响决策的目的，陆军必须设法确保这些数据质量。

在从数据到决策活动的循环中，决策制定者应该有能力了解其所得到或者考虑使用的数据质量。尽管数据标签和元数据绑定可能具有相关性，其他用于确保这些数据质量的机制可能还包括与数据共同存在或者为数据使用提供准备条件的自主代理应用，尤其是通过防止数据遭到操控的方式。防御数据操控的可能方式包括，改变感知事实情况的顺序、基于数据出处和先前使用用户对数据进行相互印证和实体化的集体智能机制，以及通过遗留在网络或者终端的痕迹重建受损数据的代理程序等。

2. 指导自组织架构的设计原则

通过应用一整套从研究项目或包括生物系统在内的其他弹性系统经验得来的设计原则，陆军能够实现网络弹性及其所支持的任务弹性要求。基于任务所有者及其代表的指导，自主或者半自主代理将实现网络服务自组织。这些指导将通过直觉感知的方式反映任务和组织的安全和弹性目标重点。网络服务自组织架构将考虑单个源限制因素（例如，设备的规模大小、重量和电源限制；特定节点或者特定装备受损或者破坏的情况），指导集体行为提供所需的作战能力。

陆军控制资源的安全设计原则将继续包含分隔、隔离、封闭，确保关键安全检查不会被绕过、分层、模块化、层级信任和层级防护等。弹性设计能力则包括在不干扰当前行动的情况下进行架构调整或者更新信息；确定信息、网络组件或者终端属性使用的具体可信指标；根据任务、安全属性或者危急程度来分隔信息、定义子网络以及隔离终端；从安全事件中总结规律从而更好地预测未来可能出现的破坏行动。此外，弹性设计原则的实验性或者概念性应用，以及社会技术系统的持续深入研究将产生新型或者改进型的设计策略，从而确保陆军控制的资源能够以可以接受的风险水平接入范围更广的网络。

3. 智能网络空间—物理系统（ICPS）

“陆军网络—2040”将装备智能网络空间—物理系统。诸如地面机器人和无人驾驶车辆等网络空间——物理系统（CPS）群组在智能能力的支持下，自动演示集体决策制定并自主协调他们的行动（例如，在操作员不进行干预的情况下），确保任务取得成功。基于硬件可信根源机制，智能架构包含加密和根套件检测硬件数字权限管理，允许对系统和作战行动状态可信性进行持续评估。为消除内部知情人威胁和操作员阴谋破坏因素，网络空间——物理系统还会对操作员指令的可信性进行持续评估，其中包括根据任务背景对指令进行验证，要求其提供安全限制和当前运行数据，以及在操作员行为遭到怀疑时寻求得到可信方的确认权限等。网络空间——物理系统具备弹性的网络空间安全分析机制以预测正袭来的网络威胁，并能够进行自我重新配置并采取机动从而避免遭到打击或者将破坏程度降至最低。它们还有能力将从网络攻击行动中总结的经验教训传送给同类系统，从而迅速改进群组的整体安全态势。

4. 自适应身份和接入管理

“陆军网络—2040”支持多种风险感知和背景感知的身份验证和接入控制机制，这些机制可以根据相关风险评估适应环境并调整接入策略。自适应方式包括使用事务处理取代身份成为决策重点的基于风险身份验证（RBA）技术，例如，用“我们是否应该完成这项事务？”代替“我们是否已经验证此人身份？”等。基于风险身份验证系统会评估背景环境，其中包括但不限于相关活动、实体的历史活动、当天的时间、数据背景、信息请求者和提供者的IP地址、代理类型等。要求用户处于特定地理位置及附近，例如，对其进行地理定位，在某些情况下也具有适用性。随着技术的进一步改进，这种系统还能够评估用户行为——并非像敲击键盘调速等简单活动，而是带有强烈个人性格和心理特征成分的行为，其中包括观察行为者在压力下的活动或者预测用户下一步行动等。

加密、解密和签署数据都需要接入密码密钥。这些密钥的安全程度如何，及其与正确合作方共享时的可信程度如何，都具有极其关键的影响。密钥共享应该保存在特定装备或者个人所有物之中，存放于指定的地理位置并通过安全通信信道传输给密码装置。

5. 新型加密技术

加密技术的多项根本性变革将广泛影响网络防御能力。

完全同态加密技术将允许对加密数据执行任意计算。反过来，这将使敏感数据的计算可以外包给诸如云服务提供商等非完全可信平台，而无须承担敏感数据外泄风险。

安全多方计算（SMC）协议可以允许各方根据其联合输入数据共同计算一个函数，而各自的输入数据则不会透露给其他各方。例如，联军伙伴可能会各自提供部分信息从而共同确定打击目标，而各方提供的图像或者手段都不会被泄露给联军其他成员。安全多方计算现有的实现手段效率正在不断提高，例如“SPeedZ协议”等。

量子计算是“陆军网络——2040”需要重点关注的问题，因为其对当前的公共密钥算法构成了威胁，例如身份验证协议中使用的数字签名算法、网络事务中使用的公共密钥加密算法等。具有良好前景的后量子方式正处于发展成熟阶段，其中包括基于哈希算法的数字签名方案以及公共密钥加密方案等。

与量子计算挑战相反的是，量子密钥协议为密钥交换提供了一种物理保证方式。共享视距连接的两方可以对先进加密标准密钥达成共识，同时确保敌人对该密钥内容毫无所知。对于“陆军网络——2040”，这能够确保密钥交换的高度安全性。

上述关于网络空间安全和弹性架构的五种实现手段将共同减轻当前和未来网络面临的威胁，并提高依靠这些系统和网络的任务实现其预期结果的确定性。

结论

未来战场环境中包含的复杂性必须被提及并得到克服。例如，未来世界上大多数人口都居住在超大型城市。尽管不确定性可能得到一定程序的理解，但是未来武器系统、破坏性技术以及爆发于这些复杂作战环境中的冲突都将给美国陆军制造难以预料的战斗场景。陆军当前的网络系统承担着支持作战行动的沉重负担，无法提供足够的任务灵活性和弹性应对2025年及2025年以后新出现的威胁。

2040年，陆军指挥官在作战地区将能够像运用组织内能力一样，使用其他作战单位的资产甚至商业通信系统和网络。能够提供数据分析反馈信息的网络传感器将增强人员和装备的战备能力。这些能力解决方案将得到数据——决策行动软件的支持，后者可以实现态势感知、后勤重新补给、无线广播的固定设备以及生物医学解毒剂管理等功能。

机器学习技术将使诸如战斗简报更新等重复性工作实现自动编辑并传送给指挥官，使参谋人员可以有更多时间实施战斗评估、计划、适应措施并最终战胜敌人。在联网传感器的支持下，机器人能够紧密结合指挥官下达的任务自主实现作战行动，无须像今天那样使用一对一的操纵杆进行指挥控制。

随着武装力量架构进一步缩减规模，以及网络管理功能不断进行整合会聚并实现自动化，重要的技术人员将越来越高效地支持攻击和防御网络空间作战行动，以及在作战地区找到的商业网络与传感器。其中许多网络组件正处于开发阶段，陆军必须发展这个领域的研究，并指导其满足未来指挥官的任务需求。

本文件集中关注未来颠覆性技术并试图对网络投资提供指导。不仅由于2040年的任务需求，而且陆军必须与科技发展保持同步。