鄒文通 顧穎彥 程培星

摘 要： 戰(zhàn)術(shù)網(wǎng)絡(luò)中構(gòu)建面向服務(wù)的通信網(wǎng)絡(luò)，將戰(zhàn)術(shù)網(wǎng)絡(luò)中的計(jì)算資源、存儲(chǔ)資源和網(wǎng)絡(luò)資源等以服務(wù)的形式呈現(xiàn)，實(shí)現(xiàn)信息服務(wù)在用戶、系統(tǒng)之間的廣泛共享。戰(zhàn)術(shù)環(huán)境的動(dòng)態(tài)特性和去中心化服務(wù)特性為戰(zhàn)術(shù)SOA的安全機(jī)制提出了新的要求。針對(duì)戰(zhàn)術(shù)環(huán)境的動(dòng)態(tài)特性和去中心化服務(wù)的安全需求，提出一種基于本體的戰(zhàn)術(shù)SOA動(dòng)態(tài)安全策略，詳細(xì)描述了該策略的框架、概念和形式化表達(dá)。并針對(duì)具體的動(dòng)態(tài)語(yǔ)境分析了戰(zhàn)術(shù)SOA動(dòng)態(tài)安全策略如何應(yīng)對(duì)戰(zhàn)術(shù)環(huán)境的動(dòng)態(tài)特性，同時(shí)體現(xiàn)了去中心化操作的能力。

關(guān)鍵詞： 戰(zhàn)術(shù)網(wǎng)； 安全策略； SOA； 本體結(jié)構(gòu)； 描述邏輯； 動(dòng)態(tài)特性

中圖分類號(hào)： TN915.08?34； TP393 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2018）08?0155?05

Abstract： Service oriented communication network is constructed in tatical networks to present the computing， storage and network resources in tatical networks in the form of service so that information service can be widely shared between users and system. The dynamic feature and decentralized service feature of the tactical environment put forward new requirements for security mechanism of tactical service oriented architecture （SOA）. Aiming at the dynamic feature of tactical environment and security demand of decentralized service， an ontology?based tactical SOA dynamic security strategy is proposed to descirbe the framework， concept and formalized expression of the strategy in detail. Aiming at the specific dynamic context， how the tactical SOA dynamic security strategy handles the dynamic feature of tactical environment and meanwhile reflects the decentralized operation capability is analyzed.

Keywords： tactical network； security strategy； SOA； ontology structure； description logic； dynamic feature

0 引 言

戰(zhàn)術(shù)網(wǎng)絡(luò)通常由Ad hoc網(wǎng)和無(wú)線mesh網(wǎng)組成，連接形式多樣，且容易遭到分割。戰(zhàn)術(shù)網(wǎng)絡(luò)在復(fù)雜、惡劣環(huán)境下要求網(wǎng)絡(luò)具有動(dòng)態(tài)拓?fù)渥兓蛣?dòng)態(tài)路由功能，以便支持移動(dòng)用戶進(jìn)行多跳可靠的通信[1]。網(wǎng)絡(luò)中心戰(zhàn)（Network Centric Warfare，NCF）和網(wǎng)絡(luò)化作戰(zhàn)能力（Network Enabled Capability，NEC）對(duì)戰(zhàn)術(shù)網(wǎng)絡(luò)提出了更高的要求，要求戰(zhàn)術(shù)網(wǎng)絡(luò)必須具有高動(dòng)態(tài)戰(zhàn)場(chǎng)環(huán)境下任意作戰(zhàn)單元之間提供安全可靠的服務(wù)分發(fā)、廣泛的資源共享以及協(xié)同作戰(zhàn)能力，并具有與其他異構(gòu)網(wǎng)絡(luò)資源互操作的能力。面向服務(wù)的體系結(jié)構(gòu)（Service Oriented Architecture，SOA）具有松散耦合、粗粒度服務(wù)、服務(wù)動(dòng)態(tài)組合、標(biāo)準(zhǔn)化接口、跨平臺(tái)和重用性等優(yōu)勢(shì)。因此，戰(zhàn)術(shù)網(wǎng)絡(luò)必須構(gòu)建面向服務(wù)的通信網(wǎng)絡(luò)，從而將戰(zhàn)術(shù)網(wǎng)絡(luò)中的計(jì)算資源、存儲(chǔ)資源和網(wǎng)絡(luò)資源等以服務(wù)的形式呈現(xiàn)，以實(shí)現(xiàn)信息服務(wù)在用戶、系統(tǒng)之間的廣泛共享[2]。

此外，描述邏輯和本體結(jié)構(gòu)為捕獲復(fù)雜環(huán)境下的語(yǔ)義形成高度豐富的安全策略提供了所需的描述能力及語(yǔ)法。因此，為適應(yīng)戰(zhàn)術(shù)環(huán)境的特點(diǎn)和約束，滿足戰(zhàn)術(shù)SOA的安全性功能需求，將描述邏輯與本體結(jié)構(gòu)引入到戰(zhàn)術(shù)SOA安全策略是一個(gè)有價(jià)值的研究方向。

1 戰(zhàn)術(shù)環(huán)境的特點(diǎn)和約束分析

戰(zhàn)術(shù)環(huán)境具有較強(qiáng)的動(dòng)態(tài)性和多樣性，取決于每一個(gè)具體的戰(zhàn)術(shù)行動(dòng)的本質(zhì)。戰(zhàn)術(shù)環(huán)境具有如下特點(diǎn)：

1） 戰(zhàn)術(shù)網(wǎng)絡(luò)需要為部署于戰(zhàn)術(shù)環(huán)境中的高度異構(gòu)的戰(zhàn)術(shù)系統(tǒng)提供服務(wù)，系統(tǒng)具有不同的運(yùn)算能力、存儲(chǔ)能力、通信能力、設(shè)備安全性和移動(dòng)性；

2） 戰(zhàn)術(shù)網(wǎng)絡(luò)中部署的單位在操作和功能上均具有多樣性，作戰(zhàn)區(qū)域中的節(jié)點(diǎn)組成離散而又相互操作的作戰(zhàn)群組，群組有不同的作戰(zhàn)需求和作戰(zhàn)目標(biāo)，構(gòu)成群組的元素也有著不同的戰(zhàn)術(shù)角色和作戰(zhàn)能力；

3） 用戶、服務(wù)和設(shè)備等部署單位產(chǎn)生的信息形式多樣，包括本質(zhì)（預(yù)警、命令、其他戰(zhàn)術(shù)信息）、類型（數(shù)據(jù)、音頻、信號(hào)）、格式、頻率、可靠性和安全特征；

4） 戰(zhàn)術(shù)環(huán)境的結(jié)構(gòu)高度動(dòng)態(tài)，網(wǎng)絡(luò)拓?fù)渥兓杆伲?jié)點(diǎn)隨時(shí)加入或退出網(wǎng)絡(luò)，作戰(zhàn)區(qū)域中的節(jié)點(diǎn)自由移動(dòng)；

5） 部署的單位可能在去中心的服務(wù)機(jī)制、無(wú)線電靜默、低偵查、電磁干擾等聯(lián)合環(huán)境下作戰(zhàn)，加劇了戰(zhàn)術(shù)環(huán)境的動(dòng)態(tài)本質(zhì)[3]。

戰(zhàn)術(shù)網(wǎng)絡(luò)的約束可分為終端約束和網(wǎng)絡(luò)約束，終端約束影響網(wǎng)絡(luò)性能與服務(wù)質(zhì)量。終端約束包括：傳輸/接收范圍、輸入/輸出限制、功耗限制、物理限制、互聯(lián)能力及計(jì)算能力。戰(zhàn)術(shù)級(jí)的終端包括便攜式終端和傳感器，兩種終端在服務(wù)平臺(tái)和技術(shù)功能上有較大不同。

戰(zhàn)術(shù)網(wǎng)絡(luò)約束可分為：

1） 傳輸中斷：節(jié)點(diǎn)超出無(wú)線接收范圍，數(shù)據(jù)包沖突、多路傳輸帶來(lái)的干擾，障礙物遮擋，服務(wù)拒絕等；

2） 移動(dòng)性約束：動(dòng)態(tài)網(wǎng)絡(luò)配置、服務(wù)發(fā)送轉(zhuǎn)交、多網(wǎng)歸屬等；

3） 通信約束：無(wú)線網(wǎng)絡(luò)的帶寬、頻率等資源受限，無(wú)線網(wǎng)絡(luò)傳輸?shù)膩G包、延遲、抖動(dòng)，傳輸協(xié)議的制約等。

2 戰(zhàn)術(shù)SOA安全需求分析

上述戰(zhàn)術(shù)環(huán)境的特點(diǎn)和戰(zhàn)術(shù)網(wǎng)絡(luò)的約束相結(jié)合，可以說(shuō)明戰(zhàn)術(shù)SOA安全機(jī)制需要具備的特征：

1） 同時(shí)包含各種SOA平臺(tái)服務(wù)層次以及QoS、通信和基礎(chǔ)設(shè)施層；

2） 安全機(jī)制的定義、更新、評(píng)估、實(shí)施以及發(fā)送必須基于可用資源和跨層信息的可擴(kuò)展的、動(dòng)態(tài)的組合；

3） 必須支持安全策略與控制條件的動(dòng)態(tài)分配；

4） 安全機(jī)制和服務(wù)必須分布在戰(zhàn)術(shù)網(wǎng)絡(luò)中的各個(gè)節(jié)點(diǎn)；

5） 必須實(shí)現(xiàn)對(duì)于服務(wù)訪問(wèn)和服務(wù)所涉及的對(duì)象的保護(hù)機(jī)制。這些機(jī)制包含了簡(jiǎn)化的策略表達(dá)式和預(yù)計(jì)算的策略決定。需要保護(hù)的服務(wù)訪問(wèn)與所涉及的對(duì)象包括：信息、通信、數(shù)據(jù)和處理過(guò)程。

戰(zhàn)術(shù)環(huán)境的特點(diǎn)和約束為戰(zhàn)術(shù)SOA的安全機(jī)制提出了新的要求，戰(zhàn)術(shù)SOA需要應(yīng)對(duì)戰(zhàn)術(shù)環(huán)境的動(dòng)態(tài)性并提供無(wú)中心化服務(wù)的能力。目前的安全機(jī)制如WS?Security，SAMLs[4]，XACML[5]等缺乏去中心化操作的能力，不適應(yīng)于動(dòng)態(tài)開(kāi)放的環(huán)境。因此，有必要提出一種新的適應(yīng)戰(zhàn)術(shù)環(huán)境特點(diǎn)和約束，且滿足戰(zhàn)術(shù)SOA安全性功能需求的安全機(jī)制。

3 戰(zhàn)術(shù)SOA動(dòng)態(tài)安全策略

結(jié)合上述戰(zhàn)術(shù)SOA安全需求，提出一種基于本體的戰(zhàn)術(shù)SOA動(dòng)態(tài)安全策略。詳細(xì)描述了安全策略的框架、概念模型和形式化。

3.1 本 體

本體是概念化的明確規(guī)范說(shuō)明，是領(lǐng)域內(nèi)重要實(shí)體、屬性、過(guò)程及其相互關(guān)系形式化描述的基礎(chǔ)。這種形式化的描述可成為系統(tǒng)中可重用與共享的組件[6]。本體支持知識(shí)交流，明確了領(lǐng)域知識(shí)的結(jié)構(gòu)，便于進(jìn)行知識(shí)表示。本體可以重用，避免了重復(fù)的領(lǐng)域知識(shí)分析。此外，本體還可以在不同的建模方法、語(yǔ)言和軟件工具之間進(jìn)行映射，以實(shí)現(xiàn)不同系統(tǒng)之間的相互操作和集成[7]。利用本體對(duì)問(wèn)題和任務(wù)進(jìn)行規(guī)范化描述，可提高需求分析與知識(shí)獲取的效率；另一方面，利用本體的概念表達(dá)還可以對(duì)知識(shí)的一致性進(jìn)行自動(dòng)檢查，提高了系統(tǒng)的可靠性。

本文采用OWL?DL描述所提出的戰(zhàn)術(shù)SOA動(dòng)態(tài)安全策略的本體。OWL即Web本體語(yǔ)言，是W3C推薦的語(yǔ)義網(wǎng)中本體描述語(yǔ)言的標(biāo)準(zhǔn)。OWL?DL是OWL的子語(yǔ)言，能夠在推理系統(tǒng)上進(jìn)行最大程度的表達(dá)。推理系統(tǒng)保證所有結(jié)論均能夠在有限時(shí)間內(nèi)計(jì)算出來(lái)[8]。

采用描述邏輯進(jìn)行安全策略的形式化表示，已經(jīng)在諸多領(lǐng)域取得成功實(shí)踐，并得到廣泛推薦[9]。但描述邏輯在戰(zhàn)術(shù)網(wǎng)絡(luò)的細(xì)節(jié)中，沒(méi)有得到恰當(dāng)?shù)氖褂?。本文采用OWL?DL來(lái)定義安全策略框架的基線，描述戰(zhàn)術(shù)環(huán)境的細(xì)節(jié)。其他描述邏輯相較于OWL?DL在捕獲需要的語(yǔ)義時(shí)存在著不足，不適應(yīng)于高度動(dòng)態(tài)和分布式的環(huán)境，且不便于戰(zhàn)術(shù)SOA的部署及未來(lái)發(fā)展[10]。

3.2 戰(zhàn)術(shù)SOA安全策略框架

提出的戰(zhàn)術(shù)SOA安全策略架構(gòu)如圖1所示。一個(gè)基于本體定義的描述戰(zhàn)術(shù)SOA細(xì)節(jié)的安全策略，必須能夠?yàn)樾畔?、通信、?shù)據(jù)和處理過(guò)程提供保護(hù)。這一機(jī)制需要對(duì)各種語(yǔ)義屬性概念化，涉及的元素之間需要有健壯而又靈敏的映射。這些元素定義為OWL類，安全核心是安全策略框架的錨點(diǎn)，類似于owl：Thing，包含其他所有子類元素，其是通過(guò)TSI連接服務(wù)基礎(chǔ)設(shè)施本體的網(wǎng)關(guān)。子類元素即作戰(zhàn)領(lǐng)域、作戰(zhàn)能力、作戰(zhàn)行動(dòng)和控制規(guī)則，每一個(gè)控制規(guī)則均包含了一系列狀態(tài)信息。安全策略通過(guò)安全核心管理每一個(gè)戰(zhàn)術(shù)領(lǐng)域中，作戰(zhàn)能力的功能。這可以通過(guò)對(duì)于環(huán)境條件的在線評(píng)估、為每一個(gè)作戰(zhàn)行動(dòng)發(fā)布的控制規(guī)則集來(lái)實(shí)現(xiàn)。本文的架構(gòu)盡量減少了安全核心本體的復(fù)雜度，降低整體的復(fù)雜性。同時(shí)，也降低了策略分布與協(xié)調(diào)過(guò)程的復(fù)雜性。

安全策略的構(gòu)建需要一個(gè)包含控制規(guī)則的分布式數(shù)據(jù)庫(kù)。基于每一個(gè)操作的需求，定義控制規(guī)則，其分布于戰(zhàn)術(shù)網(wǎng)中各個(gè)節(jié)點(diǎn)的本地知識(shí)庫(kù)中，各個(gè)節(jié)點(diǎn)的行動(dòng)受分布控制規(guī)則的控制，而無(wú)需一個(gè)中央控制器進(jìn)行控制?？刂埔?guī)則的一致性由本地知識(shí)庫(kù)自動(dòng)檢查并提供保證，其包含戰(zhàn)術(shù)網(wǎng)絡(luò)中的各種靜態(tài)和動(dòng)態(tài)信息。這些信息包括描述戰(zhàn)術(shù)服務(wù)參與者需求和本質(zhì)的各種屬性、網(wǎng)絡(luò)實(shí)時(shí)的和過(guò)去的運(yùn)行狀態(tài)以及作戰(zhàn)單位的行動(dòng)、交互。

為了保持安全本體的純度，狀態(tài)信息必須分層為服務(wù)描述、消息描述、網(wǎng)絡(luò)拓?fù)?、無(wú)線網(wǎng)絡(luò)、節(jié)點(diǎn)狀態(tài)、從屬關(guān)系。其中：服務(wù)描述和消息描述屬于資源狀態(tài)；網(wǎng)絡(luò)拓?fù)渑c無(wú)線網(wǎng)絡(luò)屬于通信狀態(tài)；節(jié)點(diǎn)狀態(tài)和從屬關(guān)系屬于用戶狀態(tài)。

1） 服務(wù)描述。戰(zhàn)術(shù)網(wǎng)絡(luò)需要提供服務(wù)的描述和信息。服務(wù)描述的靜態(tài)信息包括服務(wù)類型、QoS等，動(dòng)態(tài)信息包括服務(wù)當(dāng)前狀態(tài)、可用的服務(wù)提供者及服務(wù)替代等。

2） 消息描述。用戶、服務(wù)和基礎(chǔ)結(jié)構(gòu)等產(chǎn)生了各種不同類型的信息。這些消息特點(diǎn)各異，包括消息的本質(zhì)（警告、命令）、消息來(lái)源和消息目的地、消息類型（音頻、視頻、信號(hào)）、消息大小、產(chǎn)生的頻率等。

3） 網(wǎng)絡(luò)拓?fù)洹＞W(wǎng)絡(luò)拓?fù)涑鲇诓粩嘧兓?，理解?zhàn)術(shù)環(huán)境的網(wǎng)絡(luò)拓?fù)湫枰鞣N拓?fù)涞?、交互的和移?dòng)性的參數(shù)。網(wǎng)絡(luò)拓?fù)涞撵o態(tài)信息包括節(jié)點(diǎn)從屬的作戰(zhàn)小組，動(dòng)態(tài)信息包括相鄰節(jié)點(diǎn)列表、當(dāng)前位置等。

4） 無(wú)線網(wǎng)絡(luò)。戰(zhàn)術(shù)環(huán)境中的無(wú)線網(wǎng)絡(luò)有多種，包括高頻、超高頻、WLAN和衛(wèi)星通信等。無(wú)線網(wǎng)絡(luò)的靜態(tài)信息包括使用的波段、發(fā)射功率和發(fā)射范圍。動(dòng)態(tài)信息包括可用帶寬、丟包、延遲等。

5） 節(jié)點(diǎn)狀態(tài)。戰(zhàn)術(shù)行動(dòng)涉及的節(jié)點(diǎn)高度異構(gòu)，節(jié)點(diǎn)有著不同的功能與特性。節(jié)點(diǎn)狀態(tài)的靜態(tài)信息包括節(jié)點(diǎn)ID、采用的通信協(xié)議和安全機(jī)制；動(dòng)態(tài)信息包括節(jié)點(diǎn)資源的可用性、移動(dòng)性及可信級(jí)別。

6） 從屬關(guān)系。包括節(jié)點(diǎn)當(dāng)前所處的作戰(zhàn)小組，作戰(zhàn)小組中的全部成員以及節(jié)點(diǎn)在小組中的級(jí)別、身份證明等。

本文提出的架構(gòu)考慮了動(dòng)態(tài)特性關(guān)于安全策略操作兩層含義。第一層含義是，當(dāng)定義和行動(dòng)有關(guān)的規(guī)則時(shí)，每一個(gè)規(guī)則集可以是預(yù)先計(jì)算的簡(jiǎn)單表達(dá)式，也可以是包含一組靜態(tài)和動(dòng)態(tài)信息的復(fù)雜的表達(dá)式。由此，可以在作戰(zhàn)任務(wù)進(jìn)行時(shí)保持對(duì)安全服務(wù)的支持。第二層含義是，在描述特定的作戰(zhàn)領(lǐng)域、作戰(zhàn)能力和作戰(zhàn)行動(dòng)子結(jié)構(gòu)的定義與復(fù)雜關(guān)系時(shí)，節(jié)點(diǎn)充分利用了描述邏輯的表達(dá)能力。在每一個(gè)服務(wù)調(diào)用之后，節(jié)點(diǎn)對(duì)當(dāng)前網(wǎng)絡(luò)狀況進(jìn)行在線評(píng)估。根據(jù)評(píng)估的情況，節(jié)點(diǎn)可選擇合適的控制規(guī)則或?qū)で筇娲姆?wù)提供者。

3.3 安全策略框架的概念模型

可以采用一元和二元謂語(yǔ)，來(lái)實(shí)現(xiàn)上述框架的概念化。一元謂語(yǔ)表示數(shù)據(jù)、服務(wù)、用戶、終端；二元謂語(yǔ)表示其之間的相互關(guān)系。通過(guò)定義元素和元素之間的關(guān)系、結(jié)構(gòu)化對(duì)整個(gè)系統(tǒng)當(dāng)前與過(guò)去狀態(tài)的解釋，可廣義界定一個(gè)網(wǎng)絡(luò)。

如圖2所示，采用T?Box定義戰(zhàn)術(shù)術(shù)語(yǔ)。T?Box允許以充分必要條件的形式，定義非循環(huán)的概念。因此，可通過(guò)聲明原子概念的復(fù)雜組合來(lái)構(gòu)造整個(gè)戰(zhàn)術(shù)環(huán)境所需的概念。采用A?Box來(lái)進(jìn)行判斷，A?Box中的二元關(guān)系可以用來(lái)進(jìn)行實(shí)例標(biāo)識(shí)，說(shuō)明一個(gè)特定的個(gè)體是否為T(mén)?Box中概念的實(shí)例。需要指出的是，概念的可表達(dá)性會(huì)影響計(jì)算復(fù)雜性和推理復(fù)雜性。在操作的初始化階段，靜態(tài)元素的斷言知識(shí)定義在A?Box中，而動(dòng)態(tài)元素則在戰(zhàn)術(shù)行動(dòng)過(guò)程中生成。模型具有一定的靈敏性，以便利用動(dòng)態(tài)語(yǔ)義信息進(jìn)行策略決定。因此，知識(shí)庫(kù)可定義為一對(duì)結(jié)構(gòu)化的T?Box和A?Box。該過(guò)程如圖2所示，構(gòu)造了全部戰(zhàn)術(shù)術(shù)語(yǔ)后，便可在線構(gòu)造和修改斷言知識(shí)。

3.4 安全策略框架的形式化描述

本文采用描述邏輯，對(duì)安全策略框架進(jìn)行形式化描述。描述邏輯具有較強(qiáng)的表達(dá)能力，能夠定義各種靜態(tài)和動(dòng)態(tài)元素及其之間的復(fù)雜關(guān)系。基本描述邏輯ALC具有較強(qiáng)的表達(dá)能力和較低的推理復(fù)雜度，但ALC不足以描述各種應(yīng)用的領(lǐng)域知識(shí)。因此，又提出了表達(dá)能力更強(qiáng)的描述邏輯，其均為ALC的擴(kuò)展。SHOIN（D）在ALC的基礎(chǔ)上，引入了數(shù)值域、時(shí)間域等以描述現(xiàn)實(shí)世界實(shí)體的度量特性。OWL?DL便是以SHOIN（D）為基礎(chǔ)，包含ALC中的所有元素以及其他關(guān)于屬性和值的補(bǔ)充數(shù)據(jù)。

網(wǎng)絡(luò)實(shí)體之間的關(guān)系可用形如式（4）所示的確定性的或概率的斷言來(lái)定義。類似地，可以定義節(jié)點(diǎn)當(dāng)前用戶、終端的可用資源、服務(wù)的運(yùn)行狀態(tài)等。

采用與特定的安全層次相對(duì)應(yīng)的離散需求集，來(lái)構(gòu)造策略表達(dá)式樹(shù)枝。當(dāng)請(qǐng)求服務(wù)的節(jié)點(diǎn)滿足節(jié)點(diǎn)[Node_1]的離散需求集時(shí)，即可獲取節(jié)點(diǎn)

4 應(yīng)用場(chǎng)景示例

為了說(shuō)明本文提出的戰(zhàn)術(shù)SOA動(dòng)態(tài)安全策略如何應(yīng)對(duì)戰(zhàn)術(shù)環(huán)境的動(dòng)態(tài)特性，假定如下應(yīng)用場(chǎng)景：實(shí)體A請(qǐng)求服務(wù)B，節(jié)點(diǎn)C和節(jié)點(diǎn)D均提供服務(wù)B；實(shí)體A與節(jié)點(diǎn)C位于同一作戰(zhàn)小組。

實(shí)體A可以是基于T?Box中的戰(zhàn)術(shù)網(wǎng)絡(luò)術(shù)語(yǔ)定義的用戶或服務(wù)，定義形式如式（7）服務(wù)B、節(jié)點(diǎn)C和節(jié)點(diǎn)D的定義類似。實(shí)體A請(qǐng)求本地知識(shí)庫(kù)識(shí)別服務(wù)B是否滿足屬性集K，服務(wù)提供者C，D是否滿足屬性集X。屬性集是圖1中規(guī)則的集合。

節(jié)點(diǎn)C和節(jié)點(diǎn)D返回關(guān)于屬性集X的響應(yīng)，實(shí)體A根據(jù)響應(yīng)、資源可用性和傳輸便利性，選擇服務(wù)提供者。本場(chǎng)景中，實(shí)體A和節(jié)點(diǎn)C位于同一作戰(zhàn)小組。因此，節(jié)點(diǎn)C被選作服務(wù)提供者。

當(dāng)收到服務(wù)調(diào)用請(qǐng)求時(shí)，節(jié)點(diǎn)C利用策略表達(dá)式樹(shù)枝評(píng)估實(shí)體A需要滿足的屬性集，確定實(shí)體A是一個(gè)合法的用戶。節(jié)點(diǎn)C在傳輸服務(wù)之前，需要評(píng)估網(wǎng)絡(luò)拓?fù)洹⒐?jié)點(diǎn)狀態(tài)、無(wú)線網(wǎng)絡(luò)等狀態(tài)信息，以確定請(qǐng)求的可行性和最適合的服務(wù)方法。此外，節(jié)點(diǎn)C還需評(píng)估節(jié)點(diǎn)D是否滿足服務(wù)替代的策略表達(dá)式樹(shù)枝。

當(dāng)評(píng)估完成后，節(jié)點(diǎn)C開(kāi)始向?qū)嶓wA提供服務(wù)。服務(wù)提供過(guò)程中，節(jié)點(diǎn)C在線為評(píng)估和服務(wù)提供相關(guān)的動(dòng)態(tài)、靜態(tài)信息。其中，包括網(wǎng)絡(luò)拓?fù)洹⒐?jié)點(diǎn)狀態(tài)、參數(shù)變更等。當(dāng)節(jié)點(diǎn)C不可用時(shí)，會(huì)將服務(wù)提供的過(guò)程轉(zhuǎn)移到節(jié)點(diǎn)D繼續(xù)完成，并告知節(jié)點(diǎn)A。本場(chǎng)景描述了實(shí)體請(qǐng)求位于網(wǎng)絡(luò)中節(jié)點(diǎn)上的服務(wù)動(dòng)態(tài)過(guò)程。實(shí)體和提供服務(wù)的節(jié)點(diǎn)相互評(píng)估對(duì)方是否滿足相應(yīng)的策略規(guī)則集合，并根據(jù)狀態(tài)信息確定最合適的服務(wù)提供方法。當(dāng)提供服務(wù)的節(jié)點(diǎn)不可用時(shí)，節(jié)點(diǎn)根據(jù)預(yù)先計(jì)算的服務(wù)替代表達(dá)式樹(shù)枝的結(jié)果選擇服務(wù)替代的節(jié)點(diǎn)，并轉(zhuǎn)交服務(wù)提供的過(guò)程。本文提出的戰(zhàn)術(shù)SOA動(dòng)態(tài)安全策略，具有較強(qiáng)的表達(dá)能力和邏輯推演能力，能較好地描述以上動(dòng)態(tài)語(yǔ)境。服務(wù)提供的過(guò)程依靠本地知識(shí)庫(kù)中的控制規(guī)則集合進(jìn)行控制，無(wú)需中央控制器。從而，體現(xiàn)了戰(zhàn)術(shù)SOA動(dòng)態(tài)安全策略的去中心化操作能力。

5 結(jié) 語(yǔ)

本文描述了戰(zhàn)術(shù)環(huán)境的特點(diǎn)和相關(guān)約束，并結(jié)合這些約束說(shuō)明戰(zhàn)術(shù)SOA安全機(jī)制的功能需求。針對(duì)這些需求，提出基于本體的安全策略框架，并充分利用描述邏輯的表達(dá)能力和邏輯推演能力，來(lái)描述戰(zhàn)術(shù)環(huán)境的動(dòng)態(tài)語(yǔ)境。將控制規(guī)則分布于戰(zhàn)術(shù)網(wǎng)中的各個(gè)節(jié)點(diǎn)，利用本地知識(shí)庫(kù)對(duì)控制規(guī)則進(jìn)行自動(dòng)檢查并保證一致性，滿足了去中心化服務(wù)的安全需求。進(jìn)一步的研究包括對(duì)所提出的框架進(jìn)行深入分析、評(píng)估和細(xì)化。本體的構(gòu)造方法極其關(guān)鍵，應(yīng)當(dāng)充分利用描述邏輯所提供的表達(dá)能力，盡量減少資源的利用，采用簡(jiǎn)潔的策略定義、表達(dá)和推理。同時(shí)采用先驗(yàn)分布的機(jī)制，即可實(shí)現(xiàn)節(jié)點(diǎn)之間的協(xié)作，降低安全策略的計(jì)算成本。

參考文獻(xiàn)

[1] 唐龍，王峰.基于UCDS的戰(zhàn)術(shù)網(wǎng)絡(luò)拓?fù)錁?gòu)建研究[J].通信技術(shù)，2015，48（9）：1037?1043.

TANG Long， WANG Feng. Tactical network topology construction based on UCDS [J]. Communication technology， 2015， 48（9）： 1037?1043.

[2] 陳強(qiáng)，孫超山.基于SOA技術(shù)的戰(zhàn)術(shù)通信服務(wù)控制技術(shù)研究[J].通信技術(shù)，2014，47（6）：642?646.

CHEN Qiang， SUN Chaoshan. Application of SOA technology in the tactical communication service control [J]. Communication technology， 2014（6）： 642?646.

[3] 曾夢(mèng)岐，蒲文彬，穆陽(yáng)，等.戰(zhàn)術(shù)自組網(wǎng)分層安全框架研究[J].信息安全與通信保密，2012（4）：51?55.

ZENG Mengqi， PU Wenbin， MU Yang， et al. Cross?layer security framework for tactical mobile Ad hoc network [J]. Information security and communications privacy， 2012（4）： 51?55.

[4] CAMPBELL B， PING I C， LOCKHART H， et al. OASIS security services （SAML） TC [J]. IEEE transactions on communications， 2009（7）： 1518?1529.

[5] CARROLINE D P K R， HANNE R N， FLEMMING N. The logic of XACML [J]. Science of computer programming， 2014， 83（2）： 80?105.

[6] 段采宇，冉承新，張維明，等.C^4ISR需求開(kāi)發(fā)新途徑：基于本體的方法[J].火力與指揮控制，2008，33（8）：86?90.

DUAN Caiyu， RAN Chengxin， ZHANG Weiming， et al. Study of developing C^4ISR requirements based on ontology [J]. Fire control and command control， 2008， 33（8）： 86?90.

[7] 張玉連，李帥，周興林.基于本體的Deep Web自動(dòng)標(biāo)注方法研究[J].現(xiàn)代圖書(shū)情報(bào)技術(shù)，2009（9）：45?50.

ZHANG Yulian， LI Shuai， ZHOU Xinglin. Research on ontology?based automatic annotation for Deep Web [J]. New technology of library and information service， 2009（9）： 45?50.

[8] 朱雪峰.基于語(yǔ)義的動(dòng)態(tài)服務(wù)組合技術(shù)研究[D].開(kāi)封：河南大學(xué)，2014.

ZHU Xuefeng. The research of automatic dynamic service composition based on semantic technology [D]. Kaifeng： Henan University， 2014.

[9] KARANDE H A， GUPTA S S. Ontology based intrusion detection system for web application security [C]// Proceedings of International Conference on Communication Networks. Gwalior： IEEE， 2016： 228?232.

[10] BAADER F， CALVANESE D， MCGUINNESS D L， et al. The description logic handbook： theory， implementation， and applications [J]. Kybernetes， 2010， 32（9/10）： 43?95.