刘畅,丁凡

(1.青岛市第二中学2016级工程技术MT,山东 青岛,266100;2. 中国海洋大学 信息科学与工程学院,山东 青岛,266100)

0 引 言

全球导航卫星系统(GNSS)在国民经济和军事应用中的重要作用促使各航天大国都在开展自主的GNSS系统建设.GNSS性能监测与评估系统是GNSS系统建设中的重要组成部分.进行GNSS性能监测与评估是实现系统故障监测、性能增强、服务提升,以及系统技术未来升级发展的重要基础.同时,GNSS性能监测与评估系统可提供实时的产品和服务,甚至可进一步发展成为可提供商用服务的应用系统.

目前我国已完成北斗卫星导航系统(BDS)的区域组网和应用服务能力,正在开展BDS全球系统的发展建设[1].全球连续检测评估系统(iGMAS)是BDS系统的重要组成部分,iGMAS的主要任务是实现对北斗卫星的全球跟踪,并建设相应的数据采集、存储、分析、管理、发布等信息服务平台,提供BDS的共享数据与产品,支持技术试验、监测评估、科学研究和专业应用等[2-3].

GNSS作为现代社会重要的信息基础设施,其服务性能保证、系统安全性成为GNSS系统建设和应用发展中关注的重要内容,也是国家定位导航授时(PNT)系统建设的主要内容之一.GNSS性能监测与评估系统的安全性实现同样具有重要意义.GNSS性能监测与评估系统的安全防护应包含安全软件的选择管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、数据安全等多个方面的内容,系统安全需要方方面面的防护都要完善才能保障整体的安全性.其中,数据安全是系统安全防护问题最重要的方面之一.进一步的,数据安全存在着多个层次,如制度安全、技术安全、存储安全、传输安全、服务安全等.本文以iGMAS作为GNSS性能监测与评估系统的典型实现,主要从数据安全的角度来分析iGMAS系统的安全性风险,及可采用的防护措施[4].

本文在第二节中介绍和分析了iGMAS系统的一般组成与工作实现流程;第三节中从两个方面分析iGMAS系统的数据安全性,即从技术和管理的角度来解析数据传输的安全性和数据存储的安全性;第四节重点针对数据传输的安全性考虑数据传输安全方案设计,第五节针对数据存储的安全性考虑数据存储安全方案,最后进行了总结.

1 iGMAS系统及其工作流程

1.1 iGMAS系统框架

为了明确数据在系统中的传输,首先需要了解iGMAS系统的组成结构.iGMAS由全球均匀分布的跟踪站、数据中心、分析中心、监测评估中心、综合分析与产品发布中心、运行管理控制中心,以及相应的通信网络组成[2-3].

1)跟踪站网:由分布于全球的跟踪站组成,完成对多个卫星导航系统(包括:BDS、GPS、GLONASS、GALILEO)的信号接收和测量、原始观测数据的采集,并进行数据合理性检验和数据预处理.

2)数据中心:数据中心接收跟踪站发送的数据,开展数据质量分析,按标准格式生成数据文件,实现数据的归档和存储.数据中心是分析中心和监测评估中心所需数据的来源,接收并存贮分析中心、监测评估中心和综合分析与产品发布中心所产生的结果数据.数据中心还可为授权用户提供数据服务;同时,数据中心还具有跟踪站工作状态监视功能.

3)分析中心:通过数据中心获取各种数据,经数据处理后,生成卫星轨道、卫星钟差、地球定向参数、测站坐标和速度、测站钟差、对流层和电离层等核心产品.分析中心形成的产品发送至综合分析与产品发布中心,并在数据中心进行存储.

4)监测评估中心:从数据中心和综合分析与产品发布中心获取数据和产品,同时从其他数据源获取数据,实现星座可用性监测、空间信号质量监测评估、空间信号精度监测评估和导航服务性能监测评估.生成监测评估产品,发送至数据中心和综合分析与产品发布中心.

5)综合分析与产品发布中心:是iGMAS的高精度产品再处理中心,也是对外服务及产品的发布中心,直接面向各类用户.综合分析与产品发布中心对各分析中心产品进行质量分析,根据结果进行动态综合处理,形成最终发布的综合产品,并进行综合产品的精度估计.

6)运行控制管理中心:负责系统的运行状态监视、各组成部分工作的协调与指挥.

1.2 iGMAS系统工作流程分析

为了做好系统的安全防护工作,需要进一步分析数据在系统中是如何产生、处理、运输和存储的,根据iGMAS的工作原理和基本框架,整个系统运行及数据处理的过程如下:

1)数据采集和预处理

跟踪站连续采集导航卫星信号和气象等原始观测数据,并进行适当的预处理.

2)数据传输

跟踪站通过Internet、甚小口径卫星终端(VSAT)等通信方式将数据传送至数据中心.

3)数据整理与存储

数据中心对跟踪站传送的观测数据进行质量检查、格式转换、分类归档、备份等整理工作,存储观测数据.

4)数据分析处理

分析中心从数据中心获取数据,对其进行分析处理,生成卫星星历、钟差、跟踪站坐标、地球自转参数等产品,并将这些产品发送至综合分析与产品发布中心,同时将分析处理结果发送至数据中心存储.

5)系统监测评估

监测评估中心从数据中心获取数据,对其进行分析处理,完成对导航系统的监测评估工作,并通过通信链路将处理结果传送给BDS系统.

6)产品服务与增值服务实现

原始观测数据和产品由综合分析与产品发布中心进行发布,供用户下载使用.同时,结合综合分析与产品发布中心提供的数据与产品,开展运营中心的建设与增值服务,拓展应用.

2 系统安全性评估

iGMAS的安全防护包含安全软件的选择管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、数据安全等多个方面的内容,系统安全需要方方面面的防护都要完善才能保障整体的安全性[4].本文选取从数据安全的角度来分析iGMAS系统的安全性.

安全防护的问题涉及多方面内容,数据安全是最重要的一个方面之一,数据安全存在着多个层次,如制度安全、技术安全、存储安全、传输安全、服务安全等,数据安全层面保障iGMAS的可靠运行,即一方面确保系统稳定有序运行,产生准确的检测信息和数据,另一方面保障系统产生的有价值数据不遭到外接因素的干扰、破坏、窃取,如何做好系统的安全防护工作是一个值得研究的课题.为了保证iGMAS能准确高效地完成任务,将获取的数据安全有效地推广到商用、民用领域,一方面需要保证整个系统各个部分正常运作,整体协调运行,另一方面要保证数据在整个传输链路上的完整性与安全性,还要防止恶意数据的注入干扰数据的可用性以及非法用户恶意窃取系统产生的数据,保障数据存储安全,这就需要布置相应的安全防护方案来保证数据和系统的安全性.本节内容主要分析iGMAS两个方面的安全性,即从技术和管理的角度来解析数据传输的安全性和数据存储的安全性.

2.1 数据在传输过程中的安全性

iGMAS通信链路可采用Internet、VSAT和专网三种形式.其中国外跟踪站与数据中心之间可通过Internet进行数据通信;个别跟踪站(如边远地区)可通过VSAT与数据中心通信;国内跟踪站、数据中心、分析中心、监测评估中心,即其它应用中心之间的通信在有专网的情况下以专网为主,在没有专网的情况下采用Internet.

专网的通信安全级别是最高的,专网相当于“内网”,有自己特殊的传输协议和传输通道,如果不是通过社会工程学的方式从外部入侵和破坏或者从内部进行破坏,专网的安全性是很高的.保障专网的安全性主要通过保密管理制度制定合理有效的规则来确保,涉及到内部管理规范,本文不做讨论.本文主要讨论的是数据通过Internet、VSAT等通信方式在iGMAS各部分系统之间的传递.如果数据在传输过程中如果不进行加密,或者没有通过安全的通信网络进行传递,有价值的数据信息可能被恶意窃取破解,从而导致数据被非法盗用或者破坏.

根据第三节系统工作流程中数据的产生、处理过程,可以做如下分析:

1)数据采集、预处理和传输至数据中心的过程

跟踪站接收来自卫星的数据进行预处理之后,通过Internet或VSAT方式将数据传给数据中心,这个过程的安全性较高,一是因为跟踪站有专门的信号接收设备,恶意用户无法复制这些设备来接收信号，或者复制成本较高;二是未经处理的电磁信号没有实际应用价值,恶意用户窃取到电磁信号不懂得如何处理整理,等同于无用信息.所以跟踪站接收来自太空信息的这个数据传输过程的安全性可以得到很好的保障[5].

2)数据整理、存储和数据分析处理的过程

数据中心对跟踪站传送的观测数据进行质量检查、格式转换、分类归档、备份等整理工作,存储观测数据.并将这些产品发送至综合分析与产品发布中心,同时将分析处理结果发送至数据中心存储.这个过程中,数据中心整理的数据依然没有实际的应用价值,所以虽然传输线路是Internet或者VSAT,但是安全性依旧很高.有价值的数据产生于数据分析中心,分析中心从数据中心获取数据,对其进行分析处理,生成卫星星历、钟差、跟踪站坐标、地球自转参数等产品,并将这些产品发送至综合分析与产品发布中心,同时将分析处理结果发送至数据中心存储.这些数据属于有价值的信息,是安全方案应该关注和保护的对象.

3)实现产品服务与增值服务的过程

原始观测数据和产品由综合分析与产品发布中心进行发布,供用户下载使用.同时,结合综合分析与产品发布中心提供的数据与产品,鼓励开展运营中心的建设与增值服务,以拓展应用.这个过程是攻击者最关注的,最容易遭受攻击者的破坏,因为最有实际应用价值的数据汇聚于此,数据信息的商用拓展和产品的增值服务都体现在这个过程,攻击者最喜欢在这个阶段获取有价值的信息或者对有价值的数据或产品进行破坏,系统安全防护的重点应该放在这个过程.

2.2 数据存储的安全性

由系统的工作流程可知,数据除了要在各部分系统之间流动传递之外,生成的各类数据还要在数据中心、分析中心、监测评估中心、综合分析与产品发布中心等各个中心的硬盘或者服务器进行备份和存储,这就涉及到了数据存储的安全性.

数据存储的目标主要是保护机密的数据,确保数据的完整性,防止数据被破坏或丢失.为了保障数据的存储安全,需要从技术和管理两个层次进行安全方案的部署,通过架设防火墙、制定管理人员系统权限等措施来保障数据的存储安全.

几个数据存储的关键节点主要在数据中心、分析中心、综合分析与产品发布中心、运行控制管理中心,这几个中心存储了iGMAS有价值的数据或者生成有价值的产品信息,数据存储安全防护需要重点关注这几个中心.

3 数据传输安全方案

为了保障数据在传输当中的安全,在通信链路固定的情况下,比较方便且实用的方式就是使用安全传输协议传输经过特定算法加密的数据.数据在各个中心进行传输的过程中,推荐使用安全传输层(TLS)协议进行传输,传输的数据用国产密码算法SM2进行加密.

3.1 TLS协议

TLS协议用于在两个通信应用程序之间提供保密性和数据完整性.该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)[6-7].

TLS 记录协议是一种分层协议.每一层中的信息可能包含长度、描述和内容等字段.TLS 记录协议提供的连接安全性具有私有和可靠两个基本特性.记录协议支持信息传输、将数据分段到可处理块、压缩数据、应用 MAC 、加密及传输结果等.

TLS握手协议处理对等用户的认证,在这一层使用了公共密钥和证书,并协商算法和加密实际数据传输的密钥,该过程在TLS记录协议之上进行.

3.2 国密算法

国产密码算法(国密算法)是指国家密码局认定的国产商用密码算法.密码算法是保障数据加密安全的核心技术,所以我国国家密码局发布了自主可控的国密算法,包含SM1 SM2 SM3 SM4算法.为保障重要行业密码应用安全,我国相关部门要求“在建和拟建公钥密码基础设施电子认证系统和密钥管理系统应使用SM2算法”.对于iGMAS系统而言,可重点考虑使用SM2算法.

SM2算法实现中,SM2椭圆曲线公钥密码算法是我国自主设计的公钥密码算法,包括SM2-1椭圆曲线数字签名算法,SM2-2椭圆曲线密钥交换协议,SM2-3椭圆曲线公钥加密算法,分别用于实现数字签名密钥协商和数据加密等功能.SM2算法是基于椭圆曲线上点群离散对数难题,相对于我们熟悉的RSA算法,256位的SM2密码强度已经比2048位的RSA密码强度要高[8].

3.3 系统应用

具体到iGMAS,设想的具体部署如下:

1)为了保证传输效率,跟踪站接收来自卫星的电磁信号这个过程可以不做加密防护,正常进行传递即可.数据中心收集来自跟踪站的数据,由于数据未经整理,实用价值不高,也不做加密解密处理.

2)分析中心从数据中心获取数据,分析处理生成有价值的卫星星历、钟差、地球自转参数等产品,将产品发送至综合分析与产品发布中心,同时将分析结果返回数据中心，这个阶段开始有价值的产品产生,为了保障数据传输安全,需要在各个子系统之间架构相应硬件设施搭建TLS协议,分析中心将传输的数据用SM2算法加密,加密之后传输至综合分析与产品发布中心和数据中心,两个子系统接收之后用SM2-1验证数字签名,未被改动说明数据未遭到破坏,没有恶意数据注入也没有恶意修改数据.SM2加密算法是安全的,所以也不用担心数据被窃取,接下来用SM2-2、SM2-3进行解密操作,解密之后继续进行下面的数据传输流程.

3)综合分析与产品发布中心发布原始观测数据供合法用户下载使用,为了防止非法用户盗用数据产品,需要给合法用户授权,授权的本质其实就是与用户约定加解密协议,通过TLS协议与SM2算法的结合使用,保证只有合法授权用户可下载有价值的信息使用,非法用户即使恶意下载也无法解密,从而保障数据的安全.

4 数据存储安全方案

iGMAS工作过程中会产生海量的数据,除了要在各个分系统之间传递,还需要在各个分系统中进行存储或者备份.在实践中,建立存储安全需要专业的知识,留意细节,不断检查,确保存储解决方案继续满足业务不断改动的需要,必须减少对存储安全造成的威胁.对本系统来说,从跟踪站收集来自太空的电磁信号一直到产品发布中心向用户提供数据或产品,每个流程都产生了海量的数据,所以本系统对数据的依赖程度是非常高的,对数据存储安全必须要重视[9].

为了保障数据在各个子系统的存储安全,制定以下方案:

1)审计设施、测试环境

对各个子系统中部署的所有安全措施和设备进行审计,包括所有的硬件、软件和其他设备,并审核授予企业内员工的所有特权和文件权限.积极测试存储环境的安全性并检查网络和存储安全控制的日志,如防火墙、IDS和访问日志等,了解所有可能的安全事件.

2)工作人员行为监测

全年全天候对系统内部工作人员的行为进行监测,对于单个管理员,检测事件日志并定期进行审计.日志分析能够帮助管理员更好地了解资源使用的方式并能够更好地管理资源.并可在安全泄漏发生时,用于调查的开展.

3)访问控制

对系统管理员的权限实行分级管理,不同级别的管理员对系统数据有不同的操作权限,对数据的访问权限只能授予那些需要访问数据的人.

4)维护信息

保护所有系统中的数据信息,制定技术政策,根据明确的政策来使用设备.移动设备(如USB棒或者PDA)可以容纳大量数据,检测系统中这些设备的使用是否合乎规范要求是降低数据泄漏或者被破坏风险的关键因素.

5)数据处理政策

实施严格的安全政策,包括数据是如何处理的、如何访问和转移等.强有力的可执行的安全政策,才能够提高整个系统的存储安全水平.

6)工作人员教育

对工作人员加强规范操作教育,通过培训提高对安全问题的认知能力,保障操作的安全性.

5 结束语

本文以iGMAS作为GNSS性能监测与评估系统的典型实现,分析了系统工作流程和存在的数据安全风险.通过对数据传输和数据存储的分析,本文提出了一套保障数据安全性的防护方案.方案的主要内容是在数据的传输过程中,将最容易遭受攻击者攻击的数据传输链路与其他线路区分,传输采用TLS协议,数据用国密算法SM2进行加密解密,以此来保障数据免遭非法攻击者的获取或者破坏;在数据的存储过程中,为了保障数据的存储安全,通过审计所有设备、测试存储环境等技术措施和加强管理教育、制定合理规章制度等工作来最大程度地保障数据在各个分系统中的存储安全.