張維嘉

（中國民用航空華東地區(qū)空中交通管理局，上海 200335）

氣象網(wǎng)絡(luò)數(shù)據(jù)與通信安全關(guān)系著氣象預(yù)報的準(zhǔn)確性，直接影響著相關(guān)的行業(yè)。近年來，隨著網(wǎng)絡(luò)攻擊手段的升級以及終端用戶側(cè)安全事件頻發(fā)的現(xiàn)象，氣象網(wǎng)絡(luò)數(shù)據(jù)與通信安全正面臨嚴(yán)峻的安全挑戰(zhàn)[1]。通過整理分析近三年的氣象系統(tǒng)安全事件，發(fā)現(xiàn)我國目前氣象終端所發(fā)生的安全事件增長率高達(dá)30%。通過反編譯并解析歷史風(fēng)險事件中的惡意文件可以看出，木馬植入是針對網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊取的主要途徑，且近年來具有較高的增幅[2-3]。隨著計算機、通信及傳感器等方面設(shè)備的不斷更迭，氣象設(shè)備現(xiàn)代化正逐步完善。用于氣象勘察、監(jiān)測、通信以及分析處理的終端設(shè)備也越來越多，操作系統(tǒng)也不盡相同。針對不同業(yè)務(wù)區(qū)域內(nèi)不同終端的安全防護范圍，需進行整體部署和分級管理，并實現(xiàn)綜合監(jiān)控，從而實現(xiàn)在緊急情況下能夠多平臺、多層次整體響應(yīng)，且能靈活應(yīng)對。因此，對終端系統(tǒng)以及整個通信鏈路的安全管理策略均提出了更高的要求[4-5]。

與傳統(tǒng)物聯(lián)網(wǎng)相比可以發(fā)現(xiàn)，當(dāng)前網(wǎng)絡(luò)所連接的設(shè)備多樣化、所需求服務(wù)功能多元化、網(wǎng)絡(luò)環(huán)境復(fù)雜化是氣象網(wǎng)絡(luò)的主要發(fā)展趨勢。其中容易產(chǎn)生的新風(fēng)險存在于各種類型的信息攻擊中，主要包括保羅竊聽、偽造、篡改、節(jié)點捕獲和復(fù)制、女巫攻擊等形式[6]。因此，對于氣象網(wǎng)絡(luò)終端設(shè)備的安全機制，迫切需要得到解決，以更優(yōu)地保障氣象服務(wù)的正常穩(wěn)定運行。該研究基于氣象網(wǎng)絡(luò)未來規(guī)劃和終端安全需求，針對各區(qū)域內(nèi)的氣象終端設(shè)備進行多級管理與統(tǒng)一防護。

1 設(shè)備安全管理系統(tǒng)設(shè)計

分析近年來氣象網(wǎng)絡(luò)的安全事件與典型攻擊案例可以看出，現(xiàn)有終端設(shè)備的安全管理水平仍有待提升。同時，不同機構(gòu)間相互獨立的管理系統(tǒng)使得數(shù)據(jù)交互無法正常進行，對氣象網(wǎng)絡(luò)中誤報的安全風(fēng)險以及攻擊事件無法批量處理，嚴(yán)重影響了系統(tǒng)的運行效率[7]。此外，業(yè)務(wù)區(qū)終端在系統(tǒng)中沒有安全防護，較易受到外界攻擊或入侵[8]。由于氣象網(wǎng)絡(luò)中數(shù)據(jù)流的特殊性，需要構(gòu)建一個終端設(shè)備數(shù)據(jù)和通信安全系統(tǒng)，實現(xiàn)統(tǒng)一運維、多級管理的終端安全管理。終端安全管理系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如圖1 所示。

在所提氣象網(wǎng)絡(luò)終端設(shè)備安全管理系統(tǒng)中，設(shè)置終端管理一級服務(wù)器，以完成對二級服務(wù)器的智能巡檢及統(tǒng)一管理，保證了集群的高可靠性。當(dāng)二級服務(wù)器發(fā)生異常，備用服務(wù)器無法正常切換投入使用時，接管響應(yīng)服務(wù)的作用將得以體現(xiàn)；因此，需要設(shè)置業(yè)務(wù)區(qū)域二級管理服務(wù)器以及對應(yīng)的終端安全策略。氣象網(wǎng)絡(luò)全網(wǎng)終端以及二級管理服務(wù)器的直接命令通常由一級管理服務(wù)器直接下達(dá)，二級服務(wù)器也可以在考慮自身需求的情況下，對各終端下發(fā)獨立的管理策略。

1.1 通信安全技術(shù)

目前，在數(shù)據(jù)管理與通信安全領(lǐng)域，常用的協(xié)議包括SRP、SAODV和Ariadne。其中，SRP 協(xié)議通常利用共享密鑰和安全鏈接來實現(xiàn)預(yù)期功能，包括消息識別、數(shù)據(jù)驗證、節(jié)點地址信息識別、節(jié)點身份認(rèn)證、轉(zhuǎn)發(fā)優(yōu)先級確認(rèn)以及安全級別確認(rèn)等，從而有效阻止重播攻擊、服務(wù)攻擊等類型的風(fēng)險[9]。SAODV協(xié)議能夠有效地防止鏈路被修改或攻擊，同時對拒絕服務(wù)攻擊也有較好的防護效果，其主要通過數(shù)字簽名的安全驗證來實現(xiàn)。Ariadne 協(xié)議基于單向散列消息鑒別碼，能夠?qū)︽溌沸畔⒌耐暾院驼鎸嵭赃M行準(zhǔn)確檢驗，在保證節(jié)點身份可信度的同時，實現(xiàn)發(fā)送與接收雙端身份驗證，有效防止黑洞攻擊[10]。

加密手段是信息安全保障過程中最為常見且最基本的方式之一，加密技術(shù)不僅能夠保障數(shù)據(jù)的安全性，還能在身份認(rèn)證的基礎(chǔ)上保證數(shù)據(jù)的完整性和私密性[11]。對于已加密數(shù)據(jù)，則需要對其進行合理的密鑰管理，即對密鑰分發(fā)和證書認(rèn)證的管理。目前，密鑰管理方式通常包括局部分布式認(rèn)證、完全分布式認(rèn)證以及自發(fā)式證書認(rèn)證3 種方式[12]。完全分布式認(rèn)證基于Shamir 密鑰共享機制，所有節(jié)點密鑰均統(tǒng)一分配，有利于提高離線情況下節(jié)點的反應(yīng)能力。但在密鑰初始化和更新過程中較為復(fù)雜，服務(wù)可用性較低[13]。

1.2 網(wǎng)絡(luò)攻擊類型

氣象網(wǎng)絡(luò)中存在大量的網(wǎng)絡(luò)攻擊，該研究主要考慮了3 種類型的攻擊，即女巫攻擊、丟包獲利攻擊和消息篡改攻擊[14]，如圖2 所示。

1）女巫攻擊：在數(shù)據(jù)傳輸路徑上，惡意節(jié)點可以偽造虛擬節(jié)點以獲取額外的利潤。如圖2（a）所示，偽造節(jié)點A′并放置于A、B之間，則原本歸屬節(jié)點A所獲得的獎勵將全部由A′獲得。

圖2 3種攻擊模型

2）丟包獲利攻擊：攻擊者通過偽裝，假裝為其他節(jié)點傳遞數(shù)據(jù)，實則在獲得數(shù)據(jù)轉(zhuǎn)發(fā)獎勵后將數(shù)據(jù)丟棄。如圖2（b）所示，若攻擊者為A，則其將在傳遞消息至節(jié)點B之前將數(shù)據(jù)丟棄。

3）消息篡改攻擊：攻擊者篡改消息內(nèi)容并轉(zhuǎn)發(fā)，以誤導(dǎo)其他節(jié)點。如圖2（c）所示，節(jié)點A將消息M篡改成消息M′并發(fā)送至其他節(jié)點，完成攻擊。

2 數(shù)據(jù)與通信安全技術(shù)實現(xiàn)

數(shù)據(jù)與通信安全技術(shù)的實現(xiàn)，按照時間流程順序主要包含系統(tǒng)初始化、任務(wù)派發(fā)、數(shù)據(jù)整合、結(jié)果解密以及聚合結(jié)果更新5 個階段。其中，聚合結(jié)果更新需要根據(jù)任務(wù)要求進行選擇[15]。

2.1 系統(tǒng)初始化

首先，在Setup 過程中設(shè)定系統(tǒng)參數(shù)，然后由二級管理服務(wù)器負(fù)責(zé)完成實體注冊和密鑰分配。

在各實體注冊時，AC 執(zhí)行KeyGen(sp) 算法并生成密鑰對。此外，AC隨機選擇作為霧節(jié)點fi的私鑰，計算公鑰gpi，選擇隨機數(shù)并計算，AC 將α發(fā)送給所有霧節(jié)點，而將A′發(fā)送給Server。

2.2 任務(wù)產(chǎn)生和分配

假設(shè)系統(tǒng)中有m個單元，記為。在oi∈O執(zhí)行數(shù)據(jù)聚合過程中，為了保護任務(wù)隱私，oi選擇兩個隨機數(shù)，并按照以下方式加密任務(wù)：

式中，為任務(wù)內(nèi)容，為聚合統(tǒng)計操作，為任務(wù)過期時間，Gr2為乘法循環(huán)群，G=e(g,h)。為了不泄露任務(wù)υi的準(zhǔn)確性，將消息發(fā)送給Server。

接著，fj把數(shù)據(jù)任務(wù)進行解密后，廣播至氣象網(wǎng)絡(luò)中所有的終端設(shè)備，并授予終端設(shè)備相應(yīng)的權(quán)限。

2.3 數(shù)據(jù)提交和聚合

為了保證數(shù)據(jù)安全以及抵御網(wǎng)絡(luò)的攻擊，終端設(shè)備將數(shù)據(jù)進行加密后傳送至相關(guān)的管理服務(wù)器(Server)，并且附加特定的驗證信息，以此證明其身份權(quán)限和數(shù)據(jù)的完整性。Server 驗證成功后，按照數(shù)據(jù)聚合的操作標(biāo)準(zhǔn)實施信息匯聚[16]。整個聚合環(huán)節(jié)中，Server 與核心交換機對各個終端設(shè)備的氣象數(shù)據(jù)信息均為未知。

首先，參與者Pi選擇一個隨機數(shù)ri，并用其公鑰pki加密數(shù)據(jù)di得到，然后Pi以任務(wù)秘密Xj作為密鑰，生成哈希消息驗證碼，并用假名H(pki) 將消息M=發(fā)送給相應(yīng)的fj。fj收到參與者發(fā)送的消息后，驗證消息的完整性，即根據(jù)第j個任務(wù)秘密Xj，計算，若h′=hi，則消息真實未被篡改。

然后，將fj和Server 之間傳輸?shù)臄?shù)據(jù)通過求和統(tǒng)計聚合操作以保證數(shù)據(jù)的完整性。其中，安全的加法聚合(Secure Sum Aggregation，SSA)協(xié)議執(zhí)行流程如圖3 所示。

圖3 安全的加法聚合協(xié)議流程

2.4 數(shù)據(jù)解密

得到數(shù)據(jù)聚合的密文后，各個Server 把密文的結(jié)果傳至核心交換機。若多個Server 被分配了任務(wù)υj，核心交換機需要進一步聚合多個Server的密文結(jié)果。收到加密的聚合結(jié)果，oi使用私鑰θoi和隨機數(shù)ξi，解密得到最終聚合結(jié)果明文。

3 實驗結(jié)果與分析

基于Matlab 仿真平臺和氣象網(wǎng)絡(luò)系統(tǒng)，目前積累超過90 萬條日志信息對所提安全技術(shù)進行實驗研究。

3.1 安全技術(shù)應(yīng)用結(jié)果

通過調(diào)整氣象網(wǎng)絡(luò)安全體系的結(jié)構(gòu)以及相關(guān)技術(shù)的實現(xiàn)，把最近6 個月的安全事件數(shù)目和去年同一時間的數(shù)據(jù)作比較。安全事件數(shù)據(jù)的對比結(jié)果如圖4 所示。

圖4 技術(shù)實施前后安全事件數(shù)量的對比

從圖4 中可以看出，安全技術(shù)實施后，同期安全事件數(shù)量出現(xiàn)較為明顯的下降。由此可論證氣象網(wǎng)絡(luò)終端設(shè)備的安全性得到大幅提高，以12 月份為例，安全事件減少了67.5%。

3.2 安全性分析

在所提氣象網(wǎng)絡(luò)的安全系統(tǒng)中，每個服務(wù)器均通過數(shù)據(jù)加密技術(shù)和通信協(xié)議抵御網(wǎng)絡(luò)攻擊，以提高終端設(shè)備的安全防護性能。其中隨著數(shù)據(jù)量的增大，安全防護的時間和精度會有較大的影響，并且將所提技術(shù)與文獻(xiàn)[5]、文獻(xiàn)[6]和文獻(xiàn)[14]的性能變化進行了對比分析，結(jié)果如圖5 所示。

從圖5 中可以看出，隨著數(shù)據(jù)量的增加，4 種安全技術(shù)的檢測時間均在不斷增加，并且相比于其他對比技術(shù)，所提技術(shù)的檢測時間最短。當(dāng)數(shù)據(jù)量達(dá)到25 000 kB 時，檢測時間大約為10 ms。因為在所提系統(tǒng)中，采用兩級管理服務(wù)器，通過各服務(wù)器的分工協(xié)作，縮短了檢測時間。

圖5 數(shù)據(jù)量變化對不同技術(shù)性能的影響

同樣，數(shù)據(jù)量的不斷增加為攻擊檢測提供了更多的數(shù)據(jù)，從而使4 種技術(shù)的攻擊檢測更加準(zhǔn)確。且所提技術(shù)的安全防護準(zhǔn)確率高于其他對比技術(shù)，因為其采用了數(shù)據(jù)加密以及通信協(xié)議，安全性能得到了增強。綜合來看，所提的數(shù)據(jù)和通信安全技術(shù)在氣象網(wǎng)絡(luò)終端設(shè)備的應(yīng)用是有效的。

4 結(jié)束語

受網(wǎng)絡(luò)整體安全防控風(fēng)險加劇的影響，終端設(shè)備安全作為氣象網(wǎng)絡(luò)數(shù)據(jù)信息安全系統(tǒng)的關(guān)鍵因素，迫切需要適用的數(shù)據(jù)和通信安全技術(shù)支撐網(wǎng)絡(luò)安全系統(tǒng)的升級。為此，展開了氣象網(wǎng)絡(luò)終端設(shè)備數(shù)據(jù)與通信安全技術(shù)的研究。文中構(gòu)建的氣象網(wǎng)絡(luò)終端設(shè)備的安全管理系統(tǒng)，其中設(shè)置了兩級管理服務(wù)器，并利用安全的加法聚合協(xié)議以及加密通信技術(shù)確保數(shù)據(jù)與通信的安全。最終，基于Matlab 仿真平臺，對所提技術(shù)進行實驗論證。結(jié)果表明，所提技術(shù)能夠提高網(wǎng)絡(luò)的安全性能和檢測效率，安全事件減少了67.5%。以數(shù)據(jù)量25 000 kB 為例，檢測時間大約為10 ms，準(zhǔn)確率為96%，均優(yōu)于其他對比技術(shù)，且具有一定的應(yīng)用價值。

由于所提方法研究的是通用數(shù)據(jù)和通信安全，而部分氣象網(wǎng)絡(luò)子系統(tǒng)對安全管理有著特殊的需求，因此未來的研究重點將是提高方法的普適性，便于推廣應(yīng)用。