趙 欣，郭建偉

(北京市科學(xué)技術(shù)研究院 北京 100044)

0 引 言

我國水路運(yùn)輸包括內(nèi)河航運(yùn)和海上航運(yùn)，其中內(nèi)河航運(yùn)具有得天獨(dú)厚的優(yōu)勢，黃河和長江流域自古以來就是重要的水路運(yùn)輸和商品貿(mào)易通道，推動(dòng)了國內(nèi)經(jīng)濟(jì)的發(fā)展。改革開發(fā)以來，我國經(jīng)濟(jì)發(fā)展模式由內(nèi)向型經(jīng)濟(jì)向外向型經(jīng)濟(jì)轉(zhuǎn)變，與世界各國的貿(mào)易往來逐漸增加，成為世界進(jìn)出口貿(mào)易大國。水路運(yùn)輸是我國交通運(yùn)輸體系的重要環(huán)節(jié)，也是經(jīng)濟(jì)發(fā)展的支柱，提高水路運(yùn)輸?shù)木C合管理水平具有深遠(yuǎn)意義。

船聯(lián)網(wǎng)是指將物聯(lián)網(wǎng)技術(shù)應(yīng)用于船舶航運(yùn)場景中，結(jié)合射頻識(shí)別、傳感器等技術(shù)，對水路運(yùn)輸過程中船舶、集裝箱、港口、航線信標(biāo)等對象的屬性進(jìn)行設(shè)置，構(gòu)建智能化的水上運(yùn)輸交通網(wǎng)絡(luò)。船用物聯(lián)網(wǎng)有助于提高航道的通信效率，保障船舶的航運(yùn)安全，具有重要的經(jīng)濟(jì)價(jià)值。

1 業(yè)務(wù)實(shí)現(xiàn)

1.1 業(yè)務(wù)需求

目前用戶船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)管理的船只近3000艘，管理船只信息有2組，一組信息是船只企業(yè)負(fù)責(zé)輸入到船只終端里，該組信息設(shè)為數(shù)據(jù)1，其中包括起運(yùn)地點(diǎn)及碼頭、船只的噸位和運(yùn)力、運(yùn)貨物品內(nèi)容、起航時(shí)間、到港地點(diǎn)及碼頭等；另一組信息是船只從GPS或北斗全球定位系統(tǒng)接收的信息并發(fā)送給船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)[2]，該組信息設(shè)為數(shù)據(jù)2，其中包括(采集數(shù)據(jù)的)時(shí)間，(船只航行)的速度、航向、經(jīng)度和緯度等。

1.2 設(shè)備及用途

在每艘船上安裝船只衛(wèi)星定位系統(tǒng)和船只終端設(shè)備，衛(wèi)星定位系統(tǒng)負(fù)責(zé)實(shí)施采集本船只的定位數(shù)據(jù)，如(采集數(shù)據(jù)的)時(shí)間，(船只航行)速度、航向、經(jīng)度和緯度等[3]。船只終端將衛(wèi)星定位系統(tǒng)采集的船只定位數(shù)據(jù)實(shí)時(shí)發(fā)送給船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)。船只起航時(shí)，船長指示船員將已經(jīng)輸入終端的船只信息，即起運(yùn)地點(diǎn)及碼頭、船只的噸位和運(yùn)力、承運(yùn)貨物品內(nèi)容、起航時(shí)間、到港地點(diǎn)及碼頭等，通過人工按鈕發(fā)送給船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)。

1.3 數(shù)據(jù)格式及現(xiàn)狀

船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)接收的2組數(shù)據(jù)的格式都是固定的，一組由人工輸入終端并在船只起航時(shí)，發(fā)送到船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)；另一組由船只的衛(wèi)星定位系統(tǒng)在航行途中[4]實(shí)時(shí)采集并發(fā)送給船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)。

這2組數(shù)據(jù)現(xiàn)在都是以明文的形式傳輸給船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)，其中數(shù)據(jù)1僅發(fā)送1次，數(shù)據(jù)2每分鐘發(fā)送2.5次，即船只每航行200m接收 1次衛(wèi)星定位系統(tǒng)的數(shù)據(jù)，并發(fā)送1次定位數(shù)據(jù)給船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)(船只航行的速度是30km/h)。

1.4 安全需求

將2組數(shù)據(jù)加密成密文傳輸，并進(jìn)行數(shù)據(jù)簽名和完整性驗(yàn)證，保證傳輸?shù)臄?shù)據(jù)可信和不可抵賴，保證數(shù)據(jù)傳輸?shù)臋C(jī)密性，對船只進(jìn)行認(rèn)證識(shí)別，確保船只設(shè)備完好[5]。

2 解決方案

2.1 安全解決方案原則

每艘船每分鐘需要完成5次數(shù)據(jù)完整性驗(yàn)證和數(shù)據(jù)解密“任務(wù)”，3000艘船每分鐘就需要完成15000次數(shù)據(jù)完整性驗(yàn)證和數(shù)據(jù)解密“任務(wù)”；另外，若每10min對一艘船進(jìn)行認(rèn)證識(shí)別，則每分鐘就需要300次認(rèn)證識(shí)別“任務(wù)”。總之，在船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)端，每分鐘需要并發(fā)布處理300次認(rèn)證識(shí)別任務(wù)，同時(shí)，需要完成15000次數(shù)據(jù)完整性驗(yàn)證和數(shù)據(jù)解密“任務(wù)”[6]。

2.2 技術(shù)方案

船只物聯(lián)網(wǎng)安全系統(tǒng)由船只終端安全系統(tǒng)和認(rèn)證中心端安全系統(tǒng)2部分組成，架構(gòu)如圖1所示。

圖1 船只物聯(lián)網(wǎng)安全系統(tǒng)架構(gòu)圖 Fig.1 Architecture diagram of ship IoT security system

在船只的終端嵌入一塊安全芯片，在安全芯片 存儲(chǔ)對稱密碼算法、船只認(rèn)證識(shí)別協(xié)議、數(shù)據(jù)簽名協(xié)議、數(shù)據(jù)加密協(xié)議、對稱密鑰生成算法、密鑰種子(生成密鑰的“基”)數(shù)據(jù)和船只的標(biāo)識(shí)及企業(yè)信息等。船只終端設(shè)備通過連接安全芯片調(diào)用安全協(xié)議來實(shí)現(xiàn)船只終端的設(shè)備認(rèn)證、上傳數(shù)據(jù)的數(shù)字簽名/數(shù)據(jù) 加密[7]。

在船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)端建立認(rèn)證中心，認(rèn)證中心由密鑰管理一體機(jī)、日志管理一體機(jī)和認(rèn) 證/簽名一體機(jī)組成。在認(rèn)證中心，存儲(chǔ)全體船只用戶的標(biāo)識(shí)及企業(yè)信息，并以密文形式存儲(chǔ)每艘船用戶標(biāo)識(shí)對應(yīng)的“密鑰種子”等，并在認(rèn)證中心的幾百塊安全芯片里存儲(chǔ)對稱密碼算法、船只認(rèn)證識(shí)別協(xié)議、數(shù)據(jù)簽名協(xié)議、數(shù)據(jù)解密協(xié)議和組合密鑰生成算法等。認(rèn)證中心端實(shí)現(xiàn)對船只終端的設(shè)備認(rèn)證識(shí)別、數(shù)據(jù)的簽名驗(yàn)證/數(shù)據(jù)解密功能，以及密鑰管理和日志管理功能。

在船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)上部署有數(shù)據(jù)轉(zhuǎn)發(fā)模塊，該模塊是船只終端數(shù)據(jù)收發(fā)系統(tǒng)和認(rèn)證中心之間溝通的橋梁，負(fù)責(zé)將船只終端上傳的需要進(jìn)行安全操作的數(shù)據(jù)轉(zhuǎn)發(fā)到認(rèn)證中心，認(rèn)證中心再將對3個(gè)安全協(xié)議的處理結(jié)果返回給船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)，其流程見圖2。

圖2 船只物聯(lián)網(wǎng)安全功能流程圖 Fig.2 Flowchart of ship IoT security functions

認(rèn)證中心為監(jiān)測船只是否正常工作，在船只終端設(shè)備里需要預(yù)先設(shè)置向認(rèn)證中心提交認(rèn)證識(shí)別信息的時(shí)間，即終端多長時(shí)間提交一次認(rèn)證識(shí)別信息，以證明該船只在正常運(yùn)行。進(jìn)行認(rèn)證識(shí)別時(shí)，船只終端設(shè)備通過部署在終端上的安全芯片產(chǎn)生一次一變的認(rèn)證碼，并通過傳輸芯片將認(rèn)證碼提交到船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)，再由船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)轉(zhuǎn)發(fā)給認(rèn)證中心。認(rèn)證中心執(zhí)行對船只終端的認(rèn)證識(shí)別操作，并記錄日志，返回認(rèn)證識(shí)別的結(jié)果到船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)。

船只終端設(shè)備發(fā)送數(shù)據(jù)給船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)前，首先將數(shù)據(jù)輸入與終端連接的安全芯片，安全芯片中的數(shù)字簽名協(xié)議和加密協(xié)議對數(shù)據(jù)進(jìn)行數(shù)字簽名和加密，并通過船只終端的傳輸芯片將數(shù)字簽名、數(shù)據(jù)密文提交到船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)，船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)再轉(zhuǎn)發(fā)給認(rèn)證中心，最終由認(rèn)證中心執(zhí)行數(shù)字簽名驗(yàn)證/數(shù)據(jù)解密操作，并記錄日志返回結(jié)果到船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)。

在船只運(yùn)行期間，認(rèn)證中心會(huì)對該船只的認(rèn)證識(shí)別情況記錄并定時(shí)審計(jì)。如果船只超過規(guī)定時(shí)間沒有發(fā)送認(rèn)證識(shí)別信息，或者發(fā)送的數(shù)據(jù)不合法，認(rèn)證中心會(huì)發(fā)出報(bào)警信息，提醒用戶有船只發(fā)生異常情況，并顯示出異常船只的列表。用戶可以根據(jù)顯示的異常船只列表，來查詢異常船只的運(yùn)行軌跡和發(fā)生異常的地點(diǎn)，從而采取應(yīng)急措施。

3 船只物聯(lián)網(wǎng)管理安全系統(tǒng)的必要性

在世界各地的船只起航時(shí)，需要將重要的信息(起運(yùn)地點(diǎn)及碼頭、船只的噸位和運(yùn)力、運(yùn)貨物品內(nèi)容、起航時(shí)間、到港地點(diǎn)及碼頭等)傳輸給船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)，同時(shí)，當(dāng)船只起航后，每航行200m，也需要將船只的重要衛(wèi)星定位數(shù)據(jù)(衛(wèi)星定位的時(shí)間、航行速度、航向、經(jīng)度和緯度等)傳輸給船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)。但是，這些重要數(shù)據(jù)一旦被非法團(tuán)伙截獲，其就能提前獲取船只的情報(bào)，如船只所運(yùn)貨物內(nèi)容和噸位、船只所在地點(diǎn)和碼頭、船只起運(yùn)具體時(shí)間和到港地點(diǎn)及碼頭，并實(shí)時(shí)了解到船只的航線和速度，根據(jù)情報(bào)有針對性地進(jìn)行準(zhǔn)備，對船只實(shí)施有效攻擊。因此，船只物聯(lián)網(wǎng)信息的安全十分重要，必須保證發(fā)送到船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)的數(shù)據(jù)可靠、完整和保密，杜絕如此重要的物聯(lián)網(wǎng)數(shù)據(jù)在無線傳輸過程中“裸奔”[8]。

4 結(jié) 語

本文研究的安全解決方案能保證每艘船發(fā)送到船只運(yùn)營管理中心數(shù)據(jù)平臺(tái)的數(shù)據(jù)可靠、完整和保密，同時(shí)，一旦有船只的終端設(shè)備出問題，船只運(yùn)營管理中心可以在第一時(shí)間收到警告信息?！?/p>