張維嘉

（中國(guó)民用航空華東地區(qū)空中交通管理局，上海 200335）

氣象網(wǎng)絡(luò)數(shù)據(jù)與通信安全關(guān)系著氣象預(yù)報(bào)的準(zhǔn)確性，直接影響著相關(guān)的行業(yè)。近年來(lái)，隨著網(wǎng)絡(luò)攻擊手段的升級(jí)以及終端用戶側(cè)安全事件頻發(fā)的現(xiàn)象，氣象網(wǎng)絡(luò)數(shù)據(jù)與通信安全正面臨嚴(yán)峻的安全挑戰(zhàn)[1]。通過(guò)整理分析近三年的氣象系統(tǒng)安全事件，發(fā)現(xiàn)我國(guó)目前氣象終端所發(fā)生的安全事件增長(zhǎng)率高達(dá)30%。通過(guò)反編譯并解析歷史風(fēng)險(xiǎn)事件中的惡意文件可以看出，木馬植入是針對(duì)網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊取的主要途徑，且近年來(lái)具有較高的增幅[2-3]。隨著計(jì)算機(jī)、通信及傳感器等方面設(shè)備的不斷更迭，氣象設(shè)備現(xiàn)代化正逐步完善。用于氣象勘察、監(jiān)測(cè)、通信以及分析處理的終端設(shè)備也越來(lái)越多，操作系統(tǒng)也不盡相同。針對(duì)不同業(yè)務(wù)區(qū)域內(nèi)不同終端的安全防護(hù)范圍，需進(jìn)行整體部署和分級(jí)管理，并實(shí)現(xiàn)綜合監(jiān)控，從而實(shí)現(xiàn)在緊急情況下能夠多平臺(tái)、多層次整體響應(yīng)，且能靈活應(yīng)對(duì)。因此，對(duì)終端系統(tǒng)以及整個(gè)通信鏈路的安全管理策略均提出了更高的要求[4-5]。

與傳統(tǒng)物聯(lián)網(wǎng)相比可以發(fā)現(xiàn)，當(dāng)前網(wǎng)絡(luò)所連接的設(shè)備多樣化、所需求服務(wù)功能多元化、網(wǎng)絡(luò)環(huán)境復(fù)雜化是氣象網(wǎng)絡(luò)的主要發(fā)展趨勢(shì)。其中容易產(chǎn)生的新風(fēng)險(xiǎn)存在于各種類型的信息攻擊中，主要包括保羅竊聽(tīng)、偽造、篡改、節(jié)點(diǎn)捕獲和復(fù)制、女巫攻擊等形式[6]。因此，對(duì)于氣象網(wǎng)絡(luò)終端設(shè)備的安全機(jī)制，迫切需要得到解決，以更優(yōu)地保障氣象服務(wù)的正常穩(wěn)定運(yùn)行。該研究基于氣象網(wǎng)絡(luò)未來(lái)規(guī)劃和終端安全需求，針對(duì)各區(qū)域內(nèi)的氣象終端設(shè)備進(jìn)行多級(jí)管理與統(tǒng)一防護(hù)。

1 設(shè)備安全管理系統(tǒng)設(shè)計(jì)

分析近年來(lái)氣象網(wǎng)絡(luò)的安全事件與典型攻擊案例可以看出，現(xiàn)有終端設(shè)備的安全管理水平仍有待提升。同時(shí)，不同機(jī)構(gòu)間相互獨(dú)立的管理系統(tǒng)使得數(shù)據(jù)交互無(wú)法正常進(jìn)行，對(duì)氣象網(wǎng)絡(luò)中誤報(bào)的安全風(fēng)險(xiǎn)以及攻擊事件無(wú)法批量處理，嚴(yán)重影響了系統(tǒng)的運(yùn)行效率[7]。此外，業(yè)務(wù)區(qū)終端在系統(tǒng)中沒(méi)有安全防護(hù)，較易受到外界攻擊或入侵[8]。由于氣象網(wǎng)絡(luò)中數(shù)據(jù)流的特殊性，需要構(gòu)建一個(gè)終端設(shè)備數(shù)據(jù)和通信安全系統(tǒng)，實(shí)現(xiàn)統(tǒng)一運(yùn)維、多級(jí)管理的終端安全管理。終端安全管理系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如圖1 所示。

在所提氣象網(wǎng)絡(luò)終端設(shè)備安全管理系統(tǒng)中，設(shè)置終端管理一級(jí)服務(wù)器，以完成對(duì)二級(jí)服務(wù)器的智能巡檢及統(tǒng)一管理，保證了集群的高可靠性。當(dāng)二級(jí)服務(wù)器發(fā)生異常，備用服務(wù)器無(wú)法正常切換投入使用時(shí)，接管響應(yīng)服務(wù)的作用將得以體現(xiàn)；因此，需要設(shè)置業(yè)務(wù)區(qū)域二級(jí)管理服務(wù)器以及對(duì)應(yīng)的終端安全策略。氣象網(wǎng)絡(luò)全網(wǎng)終端以及二級(jí)管理服務(wù)器的直接命令通常由一級(jí)管理服務(wù)器直接下達(dá)，二級(jí)服務(wù)器也可以在考慮自身需求的情況下，對(duì)各終端下發(fā)獨(dú)立的管理策略。

1.1 通信安全技術(shù)

目前，在數(shù)據(jù)管理與通信安全領(lǐng)域，常用的協(xié)議包括SRP、SAODV和Ariadne。其中，SRP 協(xié)議通常利用共享密鑰和安全鏈接來(lái)實(shí)現(xiàn)預(yù)期功能，包括消息識(shí)別、數(shù)據(jù)驗(yàn)證、節(jié)點(diǎn)地址信息識(shí)別、節(jié)點(diǎn)身份認(rèn)證、轉(zhuǎn)發(fā)優(yōu)先級(jí)確認(rèn)以及安全級(jí)別確認(rèn)等，從而有效阻止重播攻擊、服務(wù)攻擊等類型的風(fēng)險(xiǎn)[9]。SAODV協(xié)議能夠有效地防止鏈路被修改或攻擊，同時(shí)對(duì)拒絕服務(wù)攻擊也有較好的防護(hù)效果，其主要通過(guò)數(shù)字簽名的安全驗(yàn)證來(lái)實(shí)現(xiàn)。Ariadne 協(xié)議基于單向散列消息鑒別碼，能夠?qū)︽溌沸畔⒌耐暾院驼鎸?shí)性進(jìn)行準(zhǔn)確檢驗(yàn)，在保證節(jié)點(diǎn)身份可信度的同時(shí)，實(shí)現(xiàn)發(fā)送與接收雙端身份驗(yàn)證，有效防止黑洞攻擊[10]。

加密手段是信息安全保障過(guò)程中最為常見(jiàn)且最基本的方式之一，加密技術(shù)不僅能夠保障數(shù)據(jù)的安全性，還能在身份認(rèn)證的基礎(chǔ)上保證數(shù)據(jù)的完整性和私密性[11]。對(duì)于已加密數(shù)據(jù)，則需要對(duì)其進(jìn)行合理的密鑰管理，即對(duì)密鑰分發(fā)和證書認(rèn)證的管理。目前，密鑰管理方式通常包括局部分布式認(rèn)證、完全分布式認(rèn)證以及自發(fā)式證書認(rèn)證3 種方式[12]。完全分布式認(rèn)證基于Shamir 密鑰共享機(jī)制，所有節(jié)點(diǎn)密鑰均統(tǒng)一分配，有利于提高離線情況下節(jié)點(diǎn)的反應(yīng)能力。但在密鑰初始化和更新過(guò)程中較為復(fù)雜，服務(wù)可用性較低[13]。

1.2 網(wǎng)絡(luò)攻擊類型

氣象網(wǎng)絡(luò)中存在大量的網(wǎng)絡(luò)攻擊，該研究主要考慮了3 種類型的攻擊，即女巫攻擊、丟包獲利攻擊和消息篡改攻擊[14]，如圖2 所示。

1）女巫攻擊：在數(shù)據(jù)傳輸路徑上，惡意節(jié)點(diǎn)可以偽造虛擬節(jié)點(diǎn)以獲取額外的利潤(rùn)。如圖2（a）所示，偽造節(jié)點(diǎn)A′并放置于A、B之間，則原本歸屬節(jié)點(diǎn)A所獲得的獎(jiǎng)勵(lì)將全部由A′獲得。

圖2 3種攻擊模型

2）丟包獲利攻擊：攻擊者通過(guò)偽裝，假裝為其他節(jié)點(diǎn)傳遞數(shù)據(jù)，實(shí)則在獲得數(shù)據(jù)轉(zhuǎn)發(fā)獎(jiǎng)勵(lì)后將數(shù)據(jù)丟棄。如圖2（b）所示，若攻擊者為A，則其將在傳遞消息至節(jié)點(diǎn)B之前將數(shù)據(jù)丟棄。

3）消息篡改攻擊：攻擊者篡改消息內(nèi)容并轉(zhuǎn)發(fā)，以誤導(dǎo)其他節(jié)點(diǎn)。如圖2（c）所示，節(jié)點(diǎn)A將消息M篡改成消息M′并發(fā)送至其他節(jié)點(diǎn)，完成攻擊。

2 數(shù)據(jù)與通信安全技術(shù)實(shí)現(xiàn)

數(shù)據(jù)與通信安全技術(shù)的實(shí)現(xiàn)，按照時(shí)間流程順序主要包含系統(tǒng)初始化、任務(wù)派發(fā)、數(shù)據(jù)整合、結(jié)果解密以及聚合結(jié)果更新5 個(gè)階段。其中，聚合結(jié)果更新需要根據(jù)任務(wù)要求進(jìn)行選擇[15]。

2.1 系統(tǒng)初始化

首先，在Setup 過(guò)程中設(shè)定系統(tǒng)參數(shù)，然后由二級(jí)管理服務(wù)器負(fù)責(zé)完成實(shí)體注冊(cè)和密鑰分配。

在各實(shí)體注冊(cè)時(shí)，AC 執(zhí)行KeyGen(sp) 算法并生成密鑰對(duì)。此外，AC隨機(jī)選擇作為霧節(jié)點(diǎn)fi的私鑰，計(jì)算公鑰gpi，選擇隨機(jī)數(shù)并計(jì)算，AC 將α發(fā)送給所有霧節(jié)點(diǎn)，而將A′發(fā)送給Server。

2.2 任務(wù)產(chǎn)生和分配

假設(shè)系統(tǒng)中有m個(gè)單元，記為。在oi∈O執(zhí)行數(shù)據(jù)聚合過(guò)程中，為了保護(hù)任務(wù)隱私，oi選擇兩個(gè)隨機(jī)數(shù)，并按照以下方式加密任務(wù)：

式中，為任務(wù)內(nèi)容，為聚合統(tǒng)計(jì)操作，為任務(wù)過(guò)期時(shí)間，Gr2為乘法循環(huán)群，G=e(g,h)。為了不泄露任務(wù)υi的準(zhǔn)確性，將消息發(fā)送給Server。

接著，fj把數(shù)據(jù)任務(wù)進(jìn)行解密后，廣播至氣象網(wǎng)絡(luò)中所有的終端設(shè)備，并授予終端設(shè)備相應(yīng)的權(quán)限。

2.3 數(shù)據(jù)提交和聚合

為了保證數(shù)據(jù)安全以及抵御網(wǎng)絡(luò)的攻擊，終端設(shè)備將數(shù)據(jù)進(jìn)行加密后傳送至相關(guān)的管理服務(wù)器(Server)，并且附加特定的驗(yàn)證信息，以此證明其身份權(quán)限和數(shù)據(jù)的完整性。Server 驗(yàn)證成功后，按照數(shù)據(jù)聚合的操作標(biāo)準(zhǔn)實(shí)施信息匯聚[16]。整個(gè)聚合環(huán)節(jié)中，Server 與核心交換機(jī)對(duì)各個(gè)終端設(shè)備的氣象數(shù)據(jù)信息均為未知。

首先，參與者Pi選擇一個(gè)隨機(jī)數(shù)ri，并用其公鑰pki加密數(shù)據(jù)di得到，然后Pi以任務(wù)秘密Xj作為密鑰，生成哈希消息驗(yàn)證碼，并用假名H(pki) 將消息M=發(fā)送給相應(yīng)的fj。fj收到參與者發(fā)送的消息后，驗(yàn)證消息的完整性，即根據(jù)第j個(gè)任務(wù)秘密Xj，計(jì)算，若h′=hi，則消息真實(shí)未被篡改。

然后，將fj和Server 之間傳輸?shù)臄?shù)據(jù)通過(guò)求和統(tǒng)計(jì)聚合操作以保證數(shù)據(jù)的完整性。其中，安全的加法聚合(Secure Sum Aggregation，SSA)協(xié)議執(zhí)行流程如圖3 所示。

圖3 安全的加法聚合協(xié)議流程

2.4 數(shù)據(jù)解密

得到數(shù)據(jù)聚合的密文后，各個(gè)Server 把密文的結(jié)果傳至核心交換機(jī)。若多個(gè)Server 被分配了任務(wù)υj，核心交換機(jī)需要進(jìn)一步聚合多個(gè)Server的密文結(jié)果。收到加密的聚合結(jié)果，oi使用私鑰θoi和隨機(jī)數(shù)ξi，解密得到最終聚合結(jié)果明文。

3 實(shí)驗(yàn)結(jié)果與分析

基于Matlab 仿真平臺(tái)和氣象網(wǎng)絡(luò)系統(tǒng)，目前積累超過(guò)90 萬(wàn)條日志信息對(duì)所提安全技術(shù)進(jìn)行實(shí)驗(yàn)研究。

3.1 安全技術(shù)應(yīng)用結(jié)果

通過(guò)調(diào)整氣象網(wǎng)絡(luò)安全體系的結(jié)構(gòu)以及相關(guān)技術(shù)的實(shí)現(xiàn)，把最近6 個(gè)月的安全事件數(shù)目和去年同一時(shí)間的數(shù)據(jù)作比較。安全事件數(shù)據(jù)的對(duì)比結(jié)果如圖4 所示。

圖4 技術(shù)實(shí)施前后安全事件數(shù)量的對(duì)比

從圖4 中可以看出，安全技術(shù)實(shí)施后，同期安全事件數(shù)量出現(xiàn)較為明顯的下降。由此可論證氣象網(wǎng)絡(luò)終端設(shè)備的安全性得到大幅提高，以12 月份為例，安全事件減少了67.5%。

3.2 安全性分析

在所提氣象網(wǎng)絡(luò)的安全系統(tǒng)中，每個(gè)服務(wù)器均通過(guò)數(shù)據(jù)加密技術(shù)和通信協(xié)議抵御網(wǎng)絡(luò)攻擊，以提高終端設(shè)備的安全防護(hù)性能。其中隨著數(shù)據(jù)量的增大，安全防護(hù)的時(shí)間和精度會(huì)有較大的影響，并且將所提技術(shù)與文獻(xiàn)[5]、文獻(xiàn)[6]和文獻(xiàn)[14]的性能變化進(jìn)行了對(duì)比分析，結(jié)果如圖5 所示。

從圖5 中可以看出，隨著數(shù)據(jù)量的增加，4 種安全技術(shù)的檢測(cè)時(shí)間均在不斷增加，并且相比于其他對(duì)比技術(shù)，所提技術(shù)的檢測(cè)時(shí)間最短。當(dāng)數(shù)據(jù)量達(dá)到25 000 kB 時(shí)，檢測(cè)時(shí)間大約為10 ms。因?yàn)樵谒嵯到y(tǒng)中，采用兩級(jí)管理服務(wù)器，通過(guò)各服務(wù)器的分工協(xié)作，縮短了檢測(cè)時(shí)間。

圖5 數(shù)據(jù)量變化對(duì)不同技術(shù)性能的影響

同樣，數(shù)據(jù)量的不斷增加為攻擊檢測(cè)提供了更多的數(shù)據(jù)，從而使4 種技術(shù)的攻擊檢測(cè)更加準(zhǔn)確。且所提技術(shù)的安全防護(hù)準(zhǔn)確率高于其他對(duì)比技術(shù)，因?yàn)槠洳捎昧藬?shù)據(jù)加密以及通信協(xié)議，安全性能得到了增強(qiáng)。綜合來(lái)看，所提的數(shù)據(jù)和通信安全技術(shù)在氣象網(wǎng)絡(luò)終端設(shè)備的應(yīng)用是有效的。

4 結(jié)束語(yǔ)

受網(wǎng)絡(luò)整體安全防控風(fēng)險(xiǎn)加劇的影響，終端設(shè)備安全作為氣象網(wǎng)絡(luò)數(shù)據(jù)信息安全系統(tǒng)的關(guān)鍵因素，迫切需要適用的數(shù)據(jù)和通信安全技術(shù)支撐網(wǎng)絡(luò)安全系統(tǒng)的升級(jí)。為此，展開了氣象網(wǎng)絡(luò)終端設(shè)備數(shù)據(jù)與通信安全技術(shù)的研究。文中構(gòu)建的氣象網(wǎng)絡(luò)終端設(shè)備的安全管理系統(tǒng)，其中設(shè)置了兩級(jí)管理服務(wù)器，并利用安全的加法聚合協(xié)議以及加密通信技術(shù)確保數(shù)據(jù)與通信的安全。最終，基于Matlab 仿真平臺(tái)，對(duì)所提技術(shù)進(jìn)行實(shí)驗(yàn)論證。結(jié)果表明，所提技術(shù)能夠提高網(wǎng)絡(luò)的安全性能和檢測(cè)效率，安全事件減少了67.5%。以數(shù)據(jù)量25 000 kB 為例，檢測(cè)時(shí)間大約為10 ms，準(zhǔn)確率為96%，均優(yōu)于其他對(duì)比技術(shù)，且具有一定的應(yīng)用價(jià)值。

由于所提方法研究的是通用數(shù)據(jù)和通信安全，而部分氣象網(wǎng)絡(luò)子系統(tǒng)對(duì)安全管理有著特殊的需求，因此未來(lái)的研究重點(diǎn)將是提高方法的普適性，便于推廣應(yīng)用。