郭艷穎 劉志剛

1(廣州民航職業(yè)技術(shù)學(xué)院飛機維修工程學(xué)院 廣東 廣州 510403) 2(廣州民航職業(yè)技術(shù)學(xué)院航空港管理學(xué)院 廣東 廣州 510403)

0 引 言

隨著民航強國戰(zhàn)略的推進，民航業(yè)務(wù)量迅速增加，信息技術(shù)在民航空管和機場的應(yīng)用越來越廣泛。民航空中交通管理(ATM)等多個部門需要及時獲取數(shù)據(jù)并分析數(shù)據(jù)做出決策，需要共享的信息量顯著增加，特別是不同部門系統(tǒng)間的信息交互更加頻繁。但是由于歷史原因，目前民航業(yè)不同部門之間的信息數(shù)據(jù)格式各不相同，網(wǎng)絡(luò)數(shù)據(jù)的安全管理差異較大，信息系統(tǒng)的安全性和可靠性對民航的安全生產(chǎn)非常重要。

目前民航信息管理系統(tǒng)包括各種應(yīng)用和子系統(tǒng)，各子系統(tǒng)的安全管理使用不同的通信協(xié)議、通信接口和數(shù)據(jù)格式，系統(tǒng)接口缺乏統(tǒng)一標準，各部門的子系統(tǒng)內(nèi)部依賴性強，兼容性差，靈活性差，難以有效管理和維護，從而導(dǎo)致軟件升級難度增加，系統(tǒng)互操作性和安全性降低。目前系統(tǒng)應(yīng)用的點對點通信機制不利于信息共享，使部門成為一個個信息孤島。

為了增強系統(tǒng)的可用性和安全性，空中交通管理信息系統(tǒng)采用SWIM架構(gòu)(如圖1所示)進行信息管理[1]，可以實現(xiàn)服務(wù)平臺信息共享的目標，系統(tǒng)采用分布式系統(tǒng)，可生成和處理大量數(shù)據(jù)[2]。

圖1 SWIM互通性模塊架構(gòu)

本文通過分析SWIM系統(tǒng)的安全風(fēng)險，提出增強系統(tǒng)安全性的改進架構(gòu)方案，并應(yīng)用基于灰色關(guān)聯(lián)分析法對SWIM系統(tǒng)進行網(wǎng)絡(luò)生存性評價，構(gòu)建評價指標體系，并通過實驗對特定情景下的SWIM生存性進行了評估。

1 研究現(xiàn)狀

SWIM的概念由歐洲和美國在20世紀90年代提出，并于2002年被國際民航組織(ICAO)采用。隨后歐洲航空安全組織提出有關(guān)SWIM網(wǎng)絡(luò)安全的提案，美國聯(lián)邦航空局提出了基于屬性加密的SWIM授權(quán)和訪問控制方式，波音公司提出波音未來空中交通管理概念，將“廣域信息管理SWIM”定義為未來空中交通管制的三大核心特征之一。Qi等[3]對SWIM進行了安全性分析。Bob[4-5]研究了SWIM安全架構(gòu)框架，在此框架下，利用數(shù)據(jù)加密技術(shù)增強SWIM數(shù)據(jù)的安全性，采用入侵檢測系統(tǒng)(IDS)、安全信息管理(SIM)和公鑰基礎(chǔ)設(shè)施(PKI)來保護SWIM公共基礎(chǔ)傳輸系統(tǒng)的安全性，并通過身份訪問管理(IAM)系統(tǒng)實現(xiàn)基于SWIM的統(tǒng)一身份認證和訪問控制。Simth[6]提出SWIM系統(tǒng)在流量融合高峰期的服務(wù)質(zhì)量，包括SWIM安全訪問技術(shù)。Ramakrishnan等[7]研究了下一代大規(guī)模高速多協(xié)議異構(gòu)航空網(wǎng)絡(luò)的安全性，并提出了相應(yīng)的控制技術(shù)。Bonomo等[8]提出了一種基于區(qū)塊鏈的模型，并應(yīng)用于管理巴西ATM系統(tǒng)進行驗證，該模型能夠為SWIM提供完整、高效、安全的注冊授權(quán)服務(wù)。

2 SWIM安全性架構(gòu)

因為SWIM接入互聯(lián)網(wǎng)，網(wǎng)絡(luò)中存在許多潛在威脅，SWIM安全性不容忽視。如果SWIM遭遇惡意攻擊或自然災(zāi)害影響，將不可避免地影響到民航多個部門，甚至危及人的生命和財產(chǎn)安全。

2.1 系統(tǒng)安全性風(fēng)險分析

通過對SWIM系統(tǒng)安全性的分析，其面臨的安全性風(fēng)險可分為基本安全性風(fēng)險和潛在安全性威脅[9]。

基本安全性風(fēng)險包括以下幾個方面：(1) 信息披露導(dǎo)致SWIM系統(tǒng)的一些關(guān)鍵信息泄露給未經(jīng)授權(quán)的人；(2) 攻擊者向SWIM服務(wù)器發(fā)送過載請求，過度消耗SWIM系統(tǒng)資源，導(dǎo)致服務(wù)器崩潰，無法為用戶提供服務(wù)；(3) SWIM系統(tǒng)的資源被非法用戶使用或以未經(jīng)授權(quán)的方式使用；(4) SWIM系統(tǒng)的部分關(guān)鍵數(shù)據(jù)被惡意或未經(jīng)授權(quán)的刪除或修改，信息完整性被破壞。

潛在的安全性威脅包括以下幾個方面：(1) 未經(jīng)授權(quán)的用戶欺騙另一個授權(quán)用戶并獲得授權(quán)用戶的權(quán)限，惡意攻擊者使用這種偽裝攻擊民航信息系統(tǒng)；(2) 攻擊者通過利用系統(tǒng)缺陷和安全漏洞來突破或繞過空中交通管制系統(tǒng)中現(xiàn)有的安全措施，以獲取未經(jīng)授權(quán)的權(quán)利，從而入侵系統(tǒng)并獲得相應(yīng)的權(quán)利；(3) SWIM系統(tǒng)工作人員無意或誤操作引發(fā)安全問題；(4) 自然災(zāi)害導(dǎo)致停電或設(shè)備損壞。

2.2 基于授權(quán)模式的架構(gòu)

SWIM管理各類民航數(shù)據(jù)，其中涉及空域信息和商業(yè)秘密，因此必須提升SWIM的安全性，確保共享數(shù)據(jù)的機密性、完整性、不可否認性和可用性。針對SWIM系統(tǒng)面臨的安全性威脅，基于數(shù)據(jù)冗余和自適應(yīng)性原理，提出一種提升SWIM系統(tǒng)安全性的應(yīng)用架構(gòu)方案。

Diameter協(xié)議包括基礎(chǔ)協(xié)議和各種應(yīng)用協(xié)議，能夠完全支持IPsec安全協(xié)議，并且可以提供可選的TLS協(xié)議來保護數(shù)據(jù)，實現(xiàn)網(wǎng)絡(luò)層、傳輸層和應(yīng)用層加密。系統(tǒng)的認證功能可以確保ICAO對SWIM的要求，基于改進型Diameter/EAP協(xié)議的認證系統(tǒng)和SWIM架構(gòu)的星形拓撲結(jié)構(gòu)相互兼容[10]。該架構(gòu)包括用戶、訪問服務(wù)器(包括重定向服務(wù)器和代理服務(wù)器)、認證授權(quán)服務(wù)器、注冊服務(wù)器、注冊信息和認證信息數(shù)據(jù)庫，具體認證過程如圖2所示。

圖2 基于授權(quán)模式的SWIM架構(gòu)

SWIM作為ATM系統(tǒng)數(shù)據(jù)共享的關(guān)鍵組成部分，確保SWIM數(shù)據(jù)在交換和共享過程中的機密性尤為重要。在該方案中，可以通過采用多維加密算法來實現(xiàn)數(shù)據(jù)共享的實時性和機密性[11-12]。數(shù)據(jù)訪問服務(wù)器與認證授權(quán)模塊交互可以確定用戶權(quán)限，從而通過判斷用戶是否可以操作數(shù)據(jù)。用戶向數(shù)據(jù)訪問服務(wù)器提交讀取或?qū)懭氩僮鞯恼埱?，SWIM的核心服務(wù)可以引導(dǎo)用戶找到所需的數(shù)據(jù)，數(shù)據(jù)共享模型如圖3所示。

圖3 基于多維加密算法的SWIM數(shù)據(jù)共享模型

SWIM核心服務(wù)的安全性影響信息傳輸?shù)膶崟r性和可靠性，例如網(wǎng)絡(luò)中存在的DoS等網(wǎng)絡(luò)攻擊可能導(dǎo)致SWIM的核心服務(wù)無法響應(yīng)[13]，因此使用基于程序行為的入侵檢測系統(tǒng)用于檢測和監(jiān)視進入SWIM的請求，具體過程如圖4所示。

圖4 入侵檢測過程

為了保證SWIM關(guān)鍵業(yè)務(wù)的安全性和可靠性，通過采用動態(tài)遷移機制提高SWIM關(guān)鍵業(yè)務(wù)安全性。基于移動目標相對于靜止目標更安全的理論，通過隨機選擇不同的SWIM SPs為SWIM提供服務(wù)，由隨機動態(tài)選擇的不同數(shù)據(jù)庫提供SWIM關(guān)鍵服務(wù)數(shù)據(jù)源，通過連續(xù)隨機動態(tài)遷移隱藏服務(wù)節(jié)點，從而降低攻擊成功率，增加惡意攻擊者的攻擊成本[14]。動態(tài)遷移機制如圖5所示。

圖5 SWIM關(guān)鍵業(yè)務(wù)動態(tài)遷移機制

如果已經(jīng)造成不可逆轉(zhuǎn)的損害，SWIM系統(tǒng)需要基于數(shù)據(jù)、組件和系統(tǒng)的冗余，采用相應(yīng)的恢復(fù)策略。如果系統(tǒng)和組件仍然可以保持部分服務(wù)，則可以重新配置系統(tǒng)以支持核心服務(wù)的操作，如果系統(tǒng)嚴重損壞，冗余組件將接管相關(guān)的核心服務(wù)。

3 安全能力評估

基于所提出的SWIM安全性方案，需要一個指標體系評估SWIM核心服務(wù)安全性，通過灰色關(guān)聯(lián)分析法計算每個服務(wù)和指標的權(quán)重矩陣Wi，通過實驗評估并驗證方案的可行性。

3.1 評估框架

趙國生等[15]使用灰色關(guān)聯(lián)分析評估網(wǎng)絡(luò)的生存能力，在此基礎(chǔ)上，本文結(jié)合格貼近度來評估SWIM系統(tǒng)的安全性。整個評估過程分為三個層次：指標層、服務(wù)層和系統(tǒng)層。每個關(guān)鍵業(yè)務(wù)的性能指標的相關(guān)性分析用于確定每個關(guān)鍵業(yè)務(wù)的安全性變化，最終可以獲得SWIM系統(tǒng)的生存性值。

(1)

(2)

根據(jù)每個指標的權(quán)重Wj，計算每個服務(wù)指標的最大和最小格貼近度及最優(yōu)和最小解向量值。

(3)

(4)

整體格貼近度為：

(5)

基于前續(xù)計算，可以導(dǎo)出每個服務(wù)的生存性，結(jié)合每個服務(wù)的權(quán)重Wi，整個網(wǎng)絡(luò)系統(tǒng)的生存性評估表達式為：

(6)

本文建立了五個評估等級(A-E)來定量描述SWIM系統(tǒng)的生存狀態(tài)，如表1所示，其中：A表示最優(yōu)，E表示最差。

表1 SWIM生存狀態(tài)

3.2 實驗結(jié)果分析

將上述方案部署到現(xiàn)有的SWIM平臺，并通過對三個SWIM服務(wù)的七個指標使用灰色關(guān)聯(lián)分析和格貼近度來量化SWIM的生存性。在發(fā)生事故時評估和比較生存性方案(SS)和SWIM的原始系統(tǒng)(OS)。

在實驗中，SWIM系統(tǒng)提供的三種核心服務(wù)是信息發(fā)布服務(wù)、消息訂閱/發(fā)布服務(wù)和數(shù)據(jù)庫服務(wù)，即S1、S2、S3。對于每項服務(wù)，主要考慮可靠性、可用性、機密性和完整性四個方面。這四個方面可以進一步劃分為七個性能指標：可靠性、驗證強度、吞吐量、延遲、信道利用率、訪問拒絕級別和授權(quán)訪問級別。其中，拒絕訪問級別和授權(quán)訪問級別是從1(最佳)到4(最差)的評分值，并且系統(tǒng)可靠性與設(shè)備的平均故障間隔時間(MTBF)有關(guān)。每個關(guān)鍵設(shè)備的可靠性計算如式(7)所示。驗證強度是指可以在單元數(shù)據(jù)中驗證的最大錯誤數(shù)，其他三個指標是測量數(shù)據(jù)。

(7)

對于自然災(zāi)害引起的區(qū)域節(jié)點故障，實驗在SS和OS上進行。實驗時間為60分鐘，采樣間隔1分鐘，提供服務(wù)的服務(wù)器在第30分鐘斷電以模擬自然災(zāi)害，導(dǎo)致服務(wù)器失敗，在第40分鐘恢復(fù)正常，系統(tǒng)生存性值的趨勢如圖6所示。

圖6 自然災(zāi)害引起的系統(tǒng)生存性趨勢圖

可以看出，在第30分鐘，由于業(yè)務(wù)節(jié)點故障，系統(tǒng)的響應(yīng)延遲在短時間內(nèi)迅速上升，OS的生存性降低。對于SS，在運行節(jié)點發(fā)生故障后，集群中的冗余節(jié)點接管服務(wù)并繼續(xù)為用戶提供服務(wù)，確保系統(tǒng)正常運行。

針對SWIM網(wǎng)絡(luò)信息系統(tǒng)遭遇網(wǎng)絡(luò)攻擊的實驗場景，比較SS和OS的生存性價值趨勢，結(jié)果如圖7所示。

圖7 網(wǎng)絡(luò)攻擊引起的系統(tǒng)生存性趨勢圖

可以看出，在正常情況下，生存性值趨于穩(wěn)定并保持在0.5左右，表明SWIM系統(tǒng)的生存能力是正常的。在第40分鐘，由于網(wǎng)絡(luò)攻擊，攻擊流量占用大量帶寬，正常用戶吞吐量減少，從而導(dǎo)致數(shù)據(jù)信息傳輸延遲增加，系統(tǒng)生存能力下降。在檢測到非法用戶后，重新配置系統(tǒng)并阻止非法用戶，過濾掉攻擊流量，以確保用戶請求的正常響應(yīng)?？傊?，雖然事故對SWIM系統(tǒng)的生存能力有影響，但其不會影響SWIM服務(wù)的正常運行。

4 結(jié) 語

目前全球不同地區(qū)民航的信息化程度差異較大，基礎(chǔ)設(shè)施的完整性不同，導(dǎo)致世界各地的民航發(fā)展水平差異較大，然而民航業(yè)的安全始終是每個人關(guān)注的焦點，必須保證SWIM的穩(wěn)定性和可靠性。SWIM面臨的風(fēng)險不局限于本文提到的安全威脅，因此安全性分析與研究是一個長期的項目。本文描述了廣域系統(tǒng)信息管理面臨的威脅和風(fēng)險，并提出了一些安全性措施，后續(xù)將進一步研究SWIM的潛在威脅，通過特定方案對其進行分析，提出解決方案，并找到更全面的評估架構(gòu)評估SWIM的生存性框架，進一步改善系統(tǒng)的評估指標和架構(gòu)。