郭艳颖 刘志刚

1(广州民航职业技术学院飞机维修工程学院 广东 广州 510403) 2(广州民航职业技术学院航空港管理学院 广东 广州 510403)

0 引 言

随着民航强国战略的推进，民航业务量迅速增加，信息技术在民航空管和机场的应用越来越广泛。民航空中交通管理(ATM)等多个部门需要及时获取数据并分析数据做出决策，需要共享的信息量显著增加，特别是不同部门系统间的信息交互更加频繁。但是由于历史原因，目前民航业不同部门之间的信息数据格式各不相同，网络数据的安全管理差异较大，信息系统的安全性和可靠性对民航的安全生产非常重要。

目前民航信息管理系统包括各种应用和子系统，各子系统的安全管理使用不同的通信协议、通信接口和数据格式，系统接口缺乏统一标准，各部门的子系统内部依赖性强，兼容性差，灵活性差，难以有效管理和维护，从而导致软件升级难度增加，系统互操作性和安全性降低。目前系统应用的点对点通信机制不利于信息共享，使部门成为一个个信息孤岛。

为了增强系统的可用性和安全性，空中交通管理信息系统采用SWIM架构(如图1所示)进行信息管理[1]，可以实现服务平台信息共享的目标，系统采用分布式系统，可生成和处理大量数据[2]。

图1 SWIM互通性模块架构

本文通过分析SWIM系统的安全风险，提出增强系统安全性的改进架构方案，并应用基于灰色关联分析法对SWIM系统进行网络生存性评价，构建评价指标体系，并通过实验对特定情景下的SWIM生存性进行了评估。

1 研究现状

SWIM的概念由欧洲和美国在20世纪90年代提出，并于2002年被国际民航组织(ICAO)采用。随后欧洲航空安全组织提出有关SWIM网络安全的提案，美国联邦航空局提出了基于属性加密的SWIM授权和访问控制方式，波音公司提出波音未来空中交通管理概念，将“广域信息管理SWIM”定义为未来空中交通管制的三大核心特征之一。Qi等[3]对SWIM进行了安全性分析。Bob[4-5]研究了SWIM安全架构框架，在此框架下，利用数据加密技术增强SWIM数据的安全性，采用入侵检测系统(IDS)、安全信息管理(SIM)和公钥基础设施(PKI)来保护SWIM公共基础传输系统的安全性，并通过身份访问管理(IAM)系统实现基于SWIM的统一身份认证和访问控制。Simth[6]提出SWIM系统在流量融合高峰期的服务质量，包括SWIM安全访问技术。Ramakrishnan等[7]研究了下一代大规模高速多协议异构航空网络的安全性，并提出了相应的控制技术。Bonomo等[8]提出了一种基于区块链的模型，并应用于管理巴西ATM系统进行验证，该模型能够为SWIM提供完整、高效、安全的注册授权服务。

2 SWIM安全性架构

因为SWIM接入互联网，网络中存在许多潜在威胁，SWIM安全性不容忽视。如果SWIM遭遇恶意攻击或自然灾害影响，将不可避免地影响到民航多个部门，甚至危及人的生命和财产安全。

2.1 系统安全性风险分析

通过对SWIM系统安全性的分析，其面临的安全性风险可分为基本安全性风险和潜在安全性威胁[9]。

基本安全性风险包括以下几个方面：(1) 信息披露导致SWIM系统的一些关键信息泄露给未经授权的人；(2) 攻击者向SWIM服务器发送过载请求，过度消耗SWIM系统资源，导致服务器崩溃，无法为用户提供服务；(3) SWIM系统的资源被非法用户使用或以未经授权的方式使用；(4) SWIM系统的部分关键数据被恶意或未经授权的删除或修改，信息完整性被破坏。

潜在的安全性威胁包括以下几个方面：(1) 未经授权的用户欺骗另一个授权用户并获得授权用户的权限，恶意攻击者使用这种伪装攻击民航信息系统；(2) 攻击者通过利用系统缺陷和安全漏洞来突破或绕过空中交通管制系统中现有的安全措施，以获取未经授权的权利，从而入侵系统并获得相应的权利；(3) SWIM系统工作人员无意或误操作引发安全问题；(4) 自然灾害导致停电或设备损坏。

2.2 基于授权模式的架构

SWIM管理各类民航数据，其中涉及空域信息和商业秘密，因此必须提升SWIM的安全性，确保共享数据的机密性、完整性、不可否认性和可用性。针对SWIM系统面临的安全性威胁，基于数据冗余和自适应性原理，提出一种提升SWIM系统安全性的应用架构方案。

Diameter协议包括基础协议和各种应用协议，能够完全支持IPsec安全协议，并且可以提供可选的TLS协议来保护数据，实现网络层、传输层和应用层加密。系统的认证功能可以确保ICAO对SWIM的要求，基于改进型Diameter/EAP协议的认证系统和SWIM架构的星形拓扑结构相互兼容[10]。该架构包括用户、访问服务器(包括重定向服务器和代理服务器)、认证授权服务器、注册服务器、注册信息和认证信息数据库，具体认证过程如图2所示。

图2 基于授权模式的SWIM架构

SWIM作为ATM系统数据共享的关键组成部分，确保SWIM数据在交换和共享过程中的机密性尤为重要。在该方案中，可以通过采用多维加密算法来实现数据共享的实时性和机密性[11-12]。数据访问服务器与认证授权模块交互可以确定用户权限，从而通过判断用户是否可以操作数据。用户向数据访问服务器提交读取或写入操作的请求，SWIM的核心服务可以引导用户找到所需的数据，数据共享模型如图3所示。

图3 基于多维加密算法的SWIM数据共享模型

SWIM核心服务的安全性影响信息传输的实时性和可靠性，例如网络中存在的DoS等网络攻击可能导致SWIM的核心服务无法响应[13]，因此使用基于程序行为的入侵检测系统用于检测和监视进入SWIM的请求，具体过程如图4所示。

图4 入侵检测过程

为了保证SWIM关键业务的安全性和可靠性，通过采用动态迁移机制提高SWIM关键业务安全性。基于移动目标相对于静止目标更安全的理论，通过随机选择不同的SWIM SPs为SWIM提供服务，由随机动态选择的不同数据库提供SWIM关键服务数据源，通过连续随机动态迁移隐藏服务节点，从而降低攻击成功率，增加恶意攻击者的攻击成本[14]。动态迁移机制如图5所示。

图5 SWIM关键业务动态迁移机制

如果已经造成不可逆转的损害，SWIM系统需要基于数据、组件和系统的冗余，采用相应的恢复策略。如果系统和组件仍然可以保持部分服务，则可以重新配置系统以支持核心服务的操作，如果系统严重损坏，冗余组件将接管相关的核心服务。

3 安全能力评估

基于所提出的SWIM安全性方案，需要一个指标体系评估SWIM核心服务安全性，通过灰色关联分析法计算每个服务和指标的权重矩阵Wi，通过实验评估并验证方案的可行性。

3.1 评估框架

赵国生等[15]使用灰色关联分析评估网络的生存能力，在此基础上，本文结合格贴近度来评估SWIM系统的安全性。整个评估过程分为三个层次：指标层、服务层和系统层。每个关键业务的性能指标的相关性分析用于确定每个关键业务的安全性变化，最终可以获得SWIM系统的生存性值。

(1)

(2)

根据每个指标的权重Wj，计算每个服务指标的最大和最小格贴近度及最优和最小解向量值。

(3)

(4)

整体格贴近度为：

(5)

基于前续计算，可以导出每个服务的生存性，结合每个服务的权重Wi，整个网络系统的生存性评估表达式为：

(6)

本文建立了五个评估等级(A-E)来定量描述SWIM系统的生存状态，如表1所示，其中：A表示最优，E表示最差。

表1 SWIM生存状态

3.2 实验结果分析

将上述方案部署到现有的SWIM平台，并通过对三个SWIM服务的七个指标使用灰色关联分析和格贴近度来量化SWIM的生存性。在发生事故时评估和比较生存性方案(SS)和SWIM的原始系统(OS)。

在实验中，SWIM系统提供的三种核心服务是信息发布服务、消息订阅/发布服务和数据库服务，即S1、S2、S3。对于每项服务，主要考虑可靠性、可用性、机密性和完整性四个方面。这四个方面可以进一步划分为七个性能指标：可靠性、验证强度、吞吐量、延迟、信道利用率、访问拒绝级别和授权访问级别。其中，拒绝访问级别和授权访问级别是从1(最佳)到4(最差)的评分值，并且系统可靠性与设备的平均故障间隔时间(MTBF)有关。每个关键设备的可靠性计算如式(7)所示。验证强度是指可以在单元数据中验证的最大错误数，其他三个指标是测量数据。

(7)

对于自然灾害引起的区域节点故障，实验在SS和OS上进行。实验时间为60分钟，采样间隔1分钟，提供服务的服务器在第30分钟断电以模拟自然灾害，导致服务器失败，在第40分钟恢复正常，系统生存性值的趋势如图6所示。

图6 自然灾害引起的系统生存性趋势图

可以看出，在第30分钟，由于业务节点故障，系统的响应延迟在短时间内迅速上升，OS的生存性降低。对于SS，在运行节点发生故障后，集群中的冗余节点接管服务并继续为用户提供服务，确保系统正常运行。

针对SWIM网络信息系统遭遇网络攻击的实验场景，比较SS和OS的生存性价值趋势，结果如图7所示。

图7 网络攻击引起的系统生存性趋势图

可以看出，在正常情况下，生存性值趋于稳定并保持在0.5左右，表明SWIM系统的生存能力是正常的。在第40分钟，由于网络攻击，攻击流量占用大量带宽，正常用户吞吐量减少，从而导致数据信息传输延迟增加，系统生存能力下降。在检测到非法用户后，重新配置系统并阻止非法用户，过滤掉攻击流量，以确保用户请求的正常响应。总之，虽然事故对SWIM系统的生存能力有影响，但其不会影响SWIM服务的正常运行。

4 结 语

目前全球不同地区民航的信息化程度差异较大，基础设施的完整性不同，导致世界各地的民航发展水平差异较大，然而民航业的安全始终是每个人关注的焦点，必须保证SWIM的稳定性和可靠性。SWIM面临的风险不局限于本文提到的安全威胁，因此安全性分析与研究是一个长期的项目。本文描述了广域系统信息管理面临的威胁和风险，并提出了一些安全性措施，后续将进一步研究SWIM的潜在威胁，通过特定方案对其进行分析，提出解决方案，并找到更全面的评估架构评估SWIM的生存性框架，进一步改善系统的评估指标和架构。