廣域信息管理SWIM的安全性研究

郭艷穎 劉志剛

1(廣州民航職業技術學院飛機維修工程學院 廣東 廣州 510403) 2(廣州民航職業技術學院航空港管理學院 廣東 廣州 510403)

0 引 言

隨著民航強國戰略的推進，民航業務量迅速增加，信息技術在民航空管和機場的應用越來越廣泛。民航空中交通管理(ATM)等多個部門需要及時獲取數據并分析數據做出決策，需要共享的信息量顯著增加，特別是不同部門系統間的信息交互更加頻繁。但是由于歷史原因，目前民航業不同部門之間的信息數據格式各不相同，網絡數據的安全管理差異較大，信息系統的安全性和可靠性對民航的安全生產非常重要。

目前民航信息管理系統包括各種應用和子系統，各子系統的安全管理使用不同的通信協議、通信接口和數據格式，系統接口缺乏統一標準，各部門的子系統內部依賴性強，兼容性差，靈活性差，難以有效管理和維護，從而導致軟件升級難度增加，系統互操作性和安全性降低。目前系統應用的點對點通信機制不利于信息共享，使部門成為一個個信息孤島。

為了增強系統的可用性和安全性，空中交通管理信息系統采用SWIM架構(如圖1所示)進行信息管理[1]，可以實現服務平臺信息共享的目標，系統采用分布式系統，可生成和處理大量數據[2]。

圖1 SWIM互通性模塊架構

本文通過分析SWIM系統的安全風險，提出增強系統安全性的改進架構方案，并應用基于灰色關聯分析法對SWIM系統進行網絡生存性評價，構建評價指標體系，并通過實驗對特定情景下的SWIM生存性進行了評估。

1 研究現狀

SWIM的概念由歐洲和美國在20世紀90年代提出，并于2002年被國際民航組織(ICAO)采用。隨后歐洲航空安全組織提出有關SWIM網絡安全的提案，美國聯邦航空局提出了基于屬性加密的SWIM授權和訪問控制方式，波音公司提出波音未來空中交通管理概念，將“廣域信息管理SWIM”定義為未來空中交通管制的三大核心特征之一。Qi等[3]對SWIM進行了安全性分析。Bob[4-5]研究了SWIM安全架構框架，在此框架下，利用數據加密技術增強SWIM數據的安全性，采用入侵檢測系統(IDS)、安全信息管理(SIM)和公鑰基礎設施(PKI)來保護SWIM公共基礎傳輸系統的安全性，并通過身份訪問管理(IAM)系統實現基于SWIM的統一身份認證和訪問控制。Simth[6]提出SWIM系統在流量融合高峰期的服務質量，包括SWIM安全訪問技術。Ramakrishnan等[7]研究了下一代大規模高速多協議異構航空網絡的安全性，并提出了相應的控制技術。Bonomo等[8]提出了一種基于區塊鏈的模型，并應用于管理巴西ATM系統進行驗證，該模型能夠為SWIM提供完整、高效、安全的注冊授權服務。

2 SWIM安全性架構

因為SWIM接入互聯網，網絡中存在許多潛在威脅，SWIM安全性不容忽視。如果SWIM遭遇惡意攻擊或自然災害影響，將不可避免地影響到民航多個部門，甚至危及人的生命和財產安全。

2.1 系統安全性風險分析

通過對SWIM系統安全性的分析，其面臨的安全性風險可分為基本安全性風險和潛在安全性威脅[9]。

基本安全性風險包括以下幾個方面：(1) 信息披露導致SWIM系統的一些關鍵信息泄露給未經授權的人；(2) 攻擊者向SWIM服務器發送過載請求，過度消耗SWIM系統資源，導致服務器崩潰，無法為用戶提供服務；(3) SWIM系統的資源被非法用戶使用或以未經授權的方式使用；(4) SWIM系統的部分關鍵數據被惡意或未經授權的刪除或修改，信息完整性被破壞。

潛在的安全性威脅包括以下幾個方面：(1) 未經授權的用戶欺騙另一個授權用戶并獲得授權用戶的權限，惡意攻擊者使用這種偽裝攻擊民航信息系統；(2) 攻擊者通過利用系統缺陷和安全漏洞來突破或繞過空中交通管制系統中現有的安全措施，以獲取未經授權的權利，從而入侵系統并獲得相應的權利；(3) SWIM系統工作人員無意或誤操作引發安全問題；(4) 自然災害導致停電或設備損壞。

2.2 基于授權模式的架構

SWIM管理各類民航數據，其中涉及空域信息和商業秘密，因此必須提升SWIM的安全性，確保共享數據的機密性、完整性、不可否認性和可用性。針對SWIM系統面臨的安全性威脅，基于數據冗余和自適應性原理，提出一種提升SWIM系統安全性的應用架構方案。

Diameter協議包括基礎協議和各種應用協議，能夠完全支持IPsec安全協議，并且可以提供可選的TLS協議來保護數據，實現網絡層、傳輸層和應用層加密。系統的認證功能可以確保ICAO對SWIM的要求，基于改進型Diameter/EAP協議的認證系統和SWIM架構的星形拓撲結構相互兼容[10]。該架構包括用戶、訪問服務器(包括重定向服務器和代理服務器)、認證授權服務器、注冊服務器、注冊信息和認證信息數據庫，具體認證過程如圖2所示。

圖2 基于授權模式的SWIM架構

SWIM作為ATM系統數據共享的關鍵組成部分，確保SWIM數據在交換和共享過程中的機密性尤為重要。在該方案中，可以通過采用多維加密算法來實現數據共享的實時性和機密性[11-12]。數據訪問服務器與認證授權模塊交互可以確定用戶權限，從而通過判斷用戶是否可以操作數據。用戶向數據訪問服務器提交讀取或寫入操作的請求，SWIM的核心服務可以引導用戶找到所需的數據，數據共享模型如圖3所示。

圖3 基于多維加密算法的SWIM數據共享模型

SWIM核心服務的安全性影響信息傳輸的實時性和可靠性，例如網絡中存在的DoS等網絡攻擊可能導致SWIM的核心服務無法響應[13]，因此使用基于程序行為的入侵檢測系統用于檢測和監視進入SWIM的請求，具體過程如圖4所示。

圖4 入侵檢測過程

為了保證SWIM關鍵業務的安全性和可靠性，通過采用動態遷移機制提高SWIM關鍵業務安全性。基于移動目標相對于靜止目標更安全的理論，通過隨機選擇不同的SWIM SPs為SWIM提供服務，由隨機動態選擇的不同數據庫提供SWIM關鍵服務數據源，通過連續隨機動態遷移隱藏服務節點，從而降低攻擊成功率，增加惡意攻擊者的攻擊成本[14]。動態遷移機制如圖5所示。

圖5 SWIM關鍵業務動態遷移機制

如果已經造成不可逆轉的損害，SWIM系統需要基于數據、組件和系統的冗余，采用相應的恢復策略。如果系統和組件仍然可以保持部分服務，則可以重新配置系統以支持核心服務的操作，如果系統嚴重損壞，冗余組件將接管相關的核心服務。

3 安全能力評估

基于所提出的SWIM安全性方案，需要一個指標體系評估SWIM核心服務安全性，通過灰色關聯分析法計算每個服務和指標的權重矩陣Wi，通過實驗評估并驗證方案的可行性。

3.1 評估框架

趙國生等[15]使用灰色關聯分析評估網絡的生存能力，在此基礎上，本文結合格貼近度來評估SWIM系統的安全性。整個評估過程分為三個層次：指標層、服務層和系統層。每個關鍵業務的性能指標的相關性分析用于確定每個關鍵業務的安全性變化，最終可以獲得SWIM系統的生存性值。

(1)

(2)

根據每個指標的權重Wj，計算每個服務指標的最大和最小格貼近度及最優和最小解向量值。

(3)

(4)

整體格貼近度為：

(5)

基于前續計算，可以導出每個服務的生存性，結合每個服務的權重Wi，整個網絡系統的生存性評估表達式為：

(6)

本文建立了五個評估等級(A-E)來定量描述SWIM系統的生存狀態，如表1所示，其中：A表示最優，E表示最差。

表1 SWIM生存狀態

3.2 實驗結果分析

將上述方案部署到現有的SWIM平臺，并通過對三個SWIM服務的七個指標使用灰色關聯分析和格貼近度來量化SWIM的生存性。在發生事故時評估和比較生存性方案(SS)和SWIM的原始系統(OS)。

在實驗中，SWIM系統提供的三種核心服務是信息發布服務、消息訂閱/發布服務和數據庫服務，即S1、S2、S3。對于每項服務，主要考慮可靠性、可用性、機密性和完整性四個方面。這四個方面可以進一步劃分為七個性能指標：可靠性、驗證強度、吞吐量、延遲、信道利用率、訪問拒絕級別和授權訪問級別。其中，拒絕訪問級別和授權訪問級別是從1(最佳)到4(最差)的評分值，并且系統可靠性與設備的平均故障間隔時間(MTBF)有關。每個關鍵設備的可靠性計算如式(7)所示。驗證強度是指可以在單元數據中驗證的最大錯誤數，其他三個指標是測量數據。

(7)

對于自然災害引起的區域節點故障，實驗在SS和OS上進行。實驗時間為60分鐘，采樣間隔1分鐘，提供服務的服務器在第30分鐘斷電以模擬自然災害，導致服務器失敗，在第40分鐘恢復正常，系統生存性值的趨勢如圖6所示。

圖6 自然災害引起的系統生存性趨勢圖

可以看出，在第30分鐘，由于業務節點故障，系統的響應延遲在短時間內迅速上升，OS的生存性降低。對于SS，在運行節點發生故障后，集群中的冗余節點接管服務并繼續為用戶提供服務，確保系統正常運行。

針對SWIM網絡信息系統遭遇網絡攻擊的實驗場景，比較SS和OS的生存性價值趨勢，結果如圖7所示。

圖7 網絡攻擊引起的系統生存性趨勢圖

可以看出，在正常情況下，生存性值趨于穩定并保持在0.5左右，表明SWIM系統的生存能力是正常的。在第40分鐘，由于網絡攻擊，攻擊流量占用大量帶寬，正常用戶吞吐量減少，從而導致數據信息傳輸延遲增加，系統生存能力下降。在檢測到非法用戶后，重新配置系統并阻止非法用戶，過濾掉攻擊流量，以確保用戶請求的正常響應。總之，雖然事故對SWIM系統的生存能力有影響，但其不會影響SWIM服務的正常運行。

4 結 語

目前全球不同地區民航的信息化程度差異較大，基礎設施的完整性不同，導致世界各地的民航發展水平差異較大，然而民航業的安全始終是每個人關注的焦點，必須保證SWIM的穩定性和可靠性。SWIM面臨的風險不局限于本文提到的安全威脅，因此安全性分析與研究是一個長期的項目。本文描述了廣域系統信息管理面臨的威脅和風險，并提出了一些安全性措施，后續將進一步研究SWIM的潛在威脅，通過特定方案對其進行分析，提出解決方案，并找到更全面的評估架構評估SWIM的生存性框架，進一步改善系統的評估指標和架構。