氣象數據服務安全傳輸與終端安全設備設計

中圖分類號：P409 文獻標志碼：A 文章編號：2095-2945(2025)14-0138-04

1，‘，2，1，1（1.，；2.，）

Abstract:Meteorologicaldatainvolvesnationalsecurity，people'ssafety，propertysafetyetc.，andspecialatentionispaidto securetransmissionanddataconfidentialityindataaplicationandpromotion.Basedonthemodeof\"securetransmissionand terminalpresentation\"，thisarticledesignsadataencryptedmeteorologicalterminaldisplaydevice，whichestablishesaecure communicationnetwork betweenthedataserverandclient.Encapsulationtechnologyisusedontheuserdeviceside，anddata flesareupdatedandloadedinrealtime，therebycannotbecopiedoroutput.Thedeviceisspeciallyusedforonemachineis dedicated，so as to ensure the safety of meteorological data in transmission and application.

Keywords: data security; communication security; terminal equipment； security system； system application

為發展精細氣象服務系統，研究構建氣象服務大數據、智能化產品制作和融媒體發布平臺，發展智能研判、精準推送的智慧氣象服務，致力于開發基于氣象大數據的智能氣象防災減災融合服務產品研發。“貴州省綜合防災減災氣象智能服務平臺\"項目是氣象大數據、人工智能、物聯網等技術向基層防災減災服務的延伸。

1存在問題

“貴州省綜合防災減災氣象智能服務平臺”針對基層防災減災實際需求，采用“云 + 端”服務體系，以云端專業化數據加工，前端輕量化終端接入，應用端智能化信息顯示的方式，提供從天氣預報到災害預警，從災前防御到救災調度的多維一體化防災減災智能服務。面向多行業提供定制化氣象防災、減災服務，包括防汛、農業、交通、人影、旅游、林業、應急廳等部門。由于設備在某些特定場景下需要互聯網對外提供數據，并展示到終端設備上，這個過程中需要充分考慮通信與設備的數據傳輸安全問題，這也是氣象服務受到發展限制的主要問題。

面對網絡攻擊和數據泄露等安全挑戰[1-2]，通過對2021—2024年國家級信息網絡安全事件進行統計，各類APT(advancedpersistentthreat，高級可持續威脅攻擊）和利用漏洞的滲透事件數量的年增長率均超過 30%^[3-4] 。因為互聯網是一個開放的、無控制機構的網絡。黑客可利用技術手段侵入聯網的計算機，竊取機密數據，盜取特權，破壞重要數據，限制系統功能甚至導致系統癱瘓。其中容易產生的新風險存在于各種類型的信息攻擊中，主要包括竊聽、偽造、篡改、節點捕獲和復制、女巫攻擊等形式。為強化氣象數據資源、信息網絡和應用系統安全保障，本文提出了一種“安全傳輸、終端呈現\"的氣象產品設備模式，通過通信專線和設備封裝技術，設計了氣象防災救災智能服務終端設備，探索氣象服務產品的安全防護方法。

2 安全體系架構

2.2 通信安全設計

2.1 系統安全架構

本文設計的“安全傳輸、終端呈現”系統架構如圖1所示，由于結構化數據不能直接提供給用戶，通過智能算法形成文件或圖片格式，須通過通信加密通道傳輸到用戶終端文件系統，系統會自動刪除歷史文件，然后對新文件進行加密，加密后的文件通過加載程序提供給各用戶使用。

從氣象局的出口路由器添加一條專用線路到運營商的專用運營商網絡，并通過物聯網專用VPN通道（啟用APN服務）和VRF（虛擬路由轉發）以及專用網絡內的隧道方法將內部網絡與物聯網專用網絡的4G網元連接起來，如圖2所示。同時，物聯網專用網將添加一個專用APN（移動APN設置，這是移動互聯網接入的強制性參數）。PGW（輕量級接口代理網關）將通過GRE隧道與客戶平臺互連，最終實現客戶4G終端與中心平臺之間的數據交換。該解決方案將內部網絡與公共網絡隔離開來，并在網絡接入點使用傳輸鏈路加密（VPN/VPDN）技術來實現安全的通信傳輸

2.3終端可信安全機制

基于國產商用智能手機進行可信改造，使用CPU可信執行技術(TEE)和芯片集成密碼模塊，構建fT-PCM為可信根，密碼計算采用海思芯片集成密碼模塊，信任鏈覆蓋全流程，從上電開始，覆蓋引導程序、啟動鏡像、系統內核、應用程序，實現對內核、驅動和應用的完整性度量、保護與審計，架構圖如圖3所示。

用戶終端 聯網服務 移動安全設備 運營商虛擬專網 子平臺 接入子平臺MME HSS AAA-- 服務器6 【雙機主備】 服務M G氣象信息上 中心內網運營商基站 SGW_PGW VPDN/APN 光纖 專線 防火墻 接入 網關 網關隔離 VPN網閘專用通道

2.4內核安全機制，保護內核安全性

終端設備針對內核做了防護策略，主要包括以下方法：采用HKIP保護系統內存關鍵區域，保護內核完整性和安全機制；采用SELinux（新安全子系統）和MAC（強制訪問控制)，在這種訪問控制體系的限制下，進程只能訪問那些在其任務中所需要文件，防止Root濫用及惡意軟件的攻擊；采用地址空間分布隨機化，使進程地址空間(包括堆棧、數據、代碼段等)隨機分布，從而使攻擊者無法獲得需要跳轉的精確地址，防止進程地址空間被攻破；采用內核模塊簽名，在內核簽名中，數字簽名被用于驗證和保證內核模塊的完整性和正確性，內核簽名采用了數字證書來驗證簽名者的身份。如果內核模塊沒有有效的簽名，那么系統將不會加載它們。

2.5 數據文件加密

終端設備采用文件加密機制，所有數據都加密并存儲在片上ROM中。即使攻擊者從終端設備非法獲取信息，移除片上ROM芯片和從芯片讀取數據等物理攻擊也只能獲得加密數據，無法破解。文件加密工作流程：當用戶讀寫文件時，他們首先通過系統調用設置虛擬文件系統（VFS)，然后輸人其相應的閃存友好文件系統(F2FS)。該文件系統在每個目錄中設置一個密鑰，使用該密鑰對數據進行加密和解密，然后加密和解密的數據進入塊設備層。只要用戶在訪問數據之前將密鑰傳遞到設備層的實時操作系統(RTOS)的密鑰環中，就可以實現加密和解密。RTOS的文件系統只實現了加密和解密機制，不關心需要由上層管理的密鑰策略。文件密鑰的生成策略基于CPU可信執行技術，其過程如圖4所示。

2.6 數據產品加密算法

由于傳統的微型加密算法在所有加密輪次中均使用了相同的密鑰，攻擊者更容易通過用戶所使用密鑰之間的關聯來對其進行攻擊。因此，本文使用新型微型對稱加密算法旨在動態地為每一輪中的密鑰提供更多的混淆信息。該算法使用64位明文和128位密鑰，有32個周期，每個周期由2輪組成，共產生64輪，所提算法的加解密模型，如圖5所示。

2.7 數字水印技術

在終端屏幕上顯示可以定制的內容（圖片或者是文字），只要亮屏，該水印圖案就會顯示在終端屏幕的最頂層，不會被其他任何應用遮擋。

3 系統應用

根據前文安全體系，設計了“貴州省綜合防災減災氣象智能服務平臺”。如圖6所示，依托氣象大數據云平臺(“天擎\")提供分布式數據存儲、分布式計算、分布式調度技術、算法與模型、語義分析系統、數據可視化引擎、交互數據挖掘分析和多維分析工具等基礎支撐和工具，將氣象大數據、人工智能、物聯網等技術向基層防災減災服務延伸，并自主研發“終端新產品”，采用“云 + 端”服務體系，以云端專業化數據加工，前端輕量化終端接入，應用端智能化信息顯示的方式，提供從天氣預報到災害預警，從災前防御到救災調度的多維一體化防災減災智能服務。通過上文安全設計，終端僅需將數據線連接到顯示屏，便能同步呈現實況監測、重要信息、天氣預報、雷達回波、雷達拼圖和衛星云圖等多種氣象資料，數據一機一用，歷史數據不留存，全機封裝式結構，保證數據安全性。

通過在貴州省各地州基層單位的試用效果來看，貴州省綜合防災減災氣象智能服務平臺“云 + 端”的建設服務體系，將對信息化基礎資源需求較高的數據環境、計算用力、存儲資源部署在云端，利用寬帶網絡、5G移動網絡的方式進行高速數據傳輸，把數據顯示和服務終端實體放在基層，實現了“云端計算、終端展示\"的服務構想，降低了鄉（鎮）村一級專業化防災減災信息服務接入門檻，讓基層采用較低物資成本就能接入平臺獲取“超性能”專業化的防災減災服務，可有效彌補鄉（鎮）村一級行政單位信息化基礎資源薄弱的不足，是符合當前貴州省信息化工作現狀下防災減災大數據下潛應用的較為經濟的實用方式和較為優化的解決方案。

4結束語

本文針對氣象服務終端數據在傳輸過程中可能面臨的安全挑戰，構建了氣象服務終端設備的安全架構、通信安全體系和數據安全體系及加密算法，設備網絡開機后自動開啟安全防護，安全的氣象服務終端在推廣與應用方面得到了很大進步。終端僅需將連接數據線到顯示屏，便能同步呈現實況監測、重要信息、天氣預報、雷達回波、雷達拼圖和衛星云圖等多種氣象資料，在貴州省得到了廣泛應用。

參考文獻：

[1]胡楚然，李傳衛.網絡工程信息安全管理技術優化研究[J].信息與電腦(理論版），2023，35(17)：199-201.

[2]楊棟.“互聯網 + ”背景下公共無線通信網絡安全問題探討[J]數字通信世界，2023（8）：89-91.

[3]潘濤，王蓓，李勇.基于Kubernetes的智能電網多源數據安全存儲系統設計[J].電子設計工程，2024，32(11)：115-118，123.

[4]王善斌，韓慧.基于信道帶寬自調節的無線通信路徑選擇仿真[J].計算機仿真，2024，41(5):246-250.

[5]鐘磊，何恒宏，韓春陽，等.基于機器學習的氣象網絡數據安全研究[J].計算機技術與發展，2021，31(9)：161-166.

[6] XIE S，WANG X，SHANG H. Security analysis on wire-lesssensor network in the data center for energy InternetofThings[J].International Journal of Safety and Security En-gineering，2020，10(3):397-402.

[7]王立柱，任宏，王瑞祥，等.Docker容器技術在河南氣象云服務中的應用與研究[J].氣象水文海洋儀器，2024，41(2)：129-132.

[8] NKUNA M C，ESENOGHO E，HEYMANN R.Integratingsmartphone network architecture and data security tech-niques to mitigate sharp practices in non-profit organiza-tions[J].Journal ofCommunications，2020，15(10):755-767.