國際GNSS監測評估系統的數據安全與防護

劉暢,丁凡

(1.青島市第二中學2016級工程技術MT,山東 青島,266100;2. 中國海洋大學 信息科學與工程學院,山東 青島,266100)

0 引 言

全球導航衛星系統(GNSS)在國民經濟和軍事應用中的重要作用促使各航天大國都在開展自主的GNSS系統建設.GNSS性能監測與評估系統是GNSS系統建設中的重要組成部分.進行GNSS性能監測與評估是實現系統故障監測、性能增強、服務提升,以及系統技術未來升級發展的重要基礎.同時,GNSS性能監測與評估系統可提供實時的產品和服務,甚至可進一步發展成為可提供商用服務的應用系統.

目前我國已完成北斗衛星導航系統(BDS)的區域組網和應用服務能力,正在開展BDS全球系統的發展建設[1].全球連續檢測評估系統(iGMAS)是BDS系統的重要組成部分,iGMAS的主要任務是實現對北斗衛星的全球跟蹤,并建設相應的數據采集、存儲、分析、管理、發布等信息服務平臺,提供BDS的共享數據與產品,支持技術試驗、監測評估、科學研究和專業應用等[2-3].

GNSS作為現代社會重要的信息基礎設施,其服務性能保證、系統安全性成為GNSS系統建設和應用發展中關注的重要內容,也是國家定位導航授時(PNT)系統建設的主要內容之一.GNSS性能監測與評估系統的安全性實現同樣具有重要意義.GNSS性能監測與評估系統的安全防護應包含安全軟件的選擇管理、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全、數據安全等多個方面的內容,系統安全需要方方面面的防護都要完善才能保障整體的安全性.其中,數據安全是系統安全防護問題最重要的方面之一.進一步的,數據安全存在著多個層次,如制度安全、技術安全、存儲安全、傳輸安全、服務安全等.本文以iGMAS作為GNSS性能監測與評估系統的典型實現,主要從數據安全的角度來分析iGMAS系統的安全性風險,及可采用的防護措施[4].

本文在第二節中介紹和分析了iGMAS系統的一般組成與工作實現流程;第三節中從兩個方面分析iGMAS系統的數據安全性,即從技術和管理的角度來解析數據傳輸的安全性和數據存儲的安全性;第四節重點針對數據傳輸的安全性考慮數據傳輸安全方案設計,第五節針對數據存儲的安全性考慮數據存儲安全方案,最后進行了總結.

1 iGMAS系統及其工作流程

1.1 iGMAS系統框架

為了明確數據在系統中的傳輸,首先需要了解iGMAS系統的組成結構.iGMAS由全球均勻分布的跟蹤站、數據中心、分析中心、監測評估中心、綜合分析與產品發布中心、運行管理控制中心,以及相應的通信網絡組成[2-3].

1)跟蹤站網:由分布于全球的跟蹤站組成,完成對多個衛星導航系統(包括:BDS、GPS、GLONASS、GALILEO)的信號接收和測量、原始觀測數據的采集,并進行數據合理性檢驗和數據預處理.

2)數據中心:數據中心接收跟蹤站發送的數據,開展數據質量分析,按標準格式生成數據文件,實現數據的歸檔和存儲.數據中心是分析中心和監測評估中心所需數據的來源,接收并存貯分析中心、監測評估中心和綜合分析與產品發布中心所產生的結果數據.數據中心還可為授權用戶提供數據服務;同時,數據中心還具有跟蹤站工作狀態監視功能.

3)分析中心:通過數據中心獲取各種數據,經數據處理后,生成衛星軌道、衛星鐘差、地球定向參數、測站坐標和速度、測站鐘差、對流層和電離層等核心產品.分析中心形成的產品發送至綜合分析與產品發布中心,并在數據中心進行存儲.

4)監測評估中心:從數據中心和綜合分析與產品發布中心獲取數據和產品,同時從其他數據源獲取數據,實現星座可用性監測、空間信號質量監測評估、空間信號精度監測評估和導航服務性能監測評估.生成監測評估產品,發送至數據中心和綜合分析與產品發布中心.

5)綜合分析與產品發布中心:是iGMAS的高精度產品再處理中心,也是對外服務及產品的發布中心,直接面向各類用戶.綜合分析與產品發布中心對各分析中心產品進行質量分析,根據結果進行動態綜合處理,形成最終發布的綜合產品,并進行綜合產品的精度估計.

6)運行控制管理中心:負責系統的運行狀態監視、各組成部分工作的協調與指揮.

1.2 iGMAS系統工作流程分析

為了做好系統的安全防護工作,需要進一步分析數據在系統中是如何產生、處理、運輸和存儲的,根據iGMAS的工作原理和基本框架,整個系統運行及數據處理的過程如下:

1)數據采集和預處理

跟蹤站連續采集導航衛星信號和氣象等原始觀測數據,并進行適當的預處理.

2)數據傳輸

跟蹤站通過Internet、甚小口徑衛星終端(VSAT)等通信方式將數據傳送至數據中心.

3)數據整理與存儲

數據中心對跟蹤站傳送的觀測數據進行質量檢查、格式轉換、分類歸檔、備份等整理工作,存儲觀測數據.

4)數據分析處理

分析中心從數據中心獲取數據,對其進行分析處理,生成衛星星歷、鐘差、跟蹤站坐標、地球自轉參數等產品,并將這些產品發送至綜合分析與產品發布中心,同時將分析處理結果發送至數據中心存儲.

5)系統監測評估

監測評估中心從數據中心獲取數據,對其進行分析處理,完成對導航系統的監測評估工作,并通過通信鏈路將處理結果傳送給BDS系統.

6)產品服務與增值服務實現

原始觀測數據和產品由綜合分析與產品發布中心進行發布,供用戶下載使用.同時,結合綜合分析與產品發布中心提供的數據與產品,開展運營中心的建設與增值服務,拓展應用.

2 系統安全性評估

iGMAS的安全防護包含安全軟件的選擇管理、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全、數據安全等多個方面的內容,系統安全需要方方面面的防護都要完善才能保障整體的安全性[4].本文選取從數據安全的角度來分析iGMAS系統的安全性.

安全防護的問題涉及多方面內容,數據安全是最重要的一個方面之一,數據安全存在著多個層次,如制度安全、技術安全、存儲安全、傳輸安全、服務安全等,數據安全層面保障iGMAS的可靠運行,即一方面確保系統穩定有序運行,產生準確的檢測信息和數據,另一方面保障系統產生的有價值數據不遭到外接因素的干擾、破壞、竊取,如何做好系統的安全防護工作是一個值得研究的課題.為了保證iGMAS能準確高效地完成任務,將獲取的數據安全有效地推廣到商用、民用領域,一方面需要保證整個系統各個部分正常運作,整體協調運行,另一方面要保證數據在整個傳輸鏈路上的完整性與安全性,還要防止惡意數據的注入干擾數據的可用性以及非法用戶惡意竊取系統產生的數據,保障數據存儲安全,這就需要布置相應的安全防護方案來保證數據和系統的安全性.本節內容主要分析iGMAS兩個方面的安全性,即從技術和管理的角度來解析數據傳輸的安全性和數據存儲的安全性.

2.1 數據在傳輸過程中的安全性

iGMAS通信鏈路可采用Internet、VSAT和專網三種形式.其中國外跟蹤站與數據中心之間可通過Internet進行數據通信;個別跟蹤站(如邊遠地區)可通過VSAT與數據中心通信;國內跟蹤站、數據中心、分析中心、監測評估中心,即其它應用中心之間的通信在有專網的情況下以專網為主,在沒有專網的情況下采用Internet.

專網的通信安全級別是最高的,專網相當于“內網”,有自己特殊的傳輸協議和傳輸通道,如果不是通過社會工程學的方式從外部入侵和破壞或者從內部進行破壞,專網的安全性是很高的.保障專網的安全性主要通過保密管理制度制定合理有效的規則來確保,涉及到內部管理規范,本文不做討論.本文主要討論的是數據通過Internet、VSAT等通信方式在iGMAS各部分系統之間的傳遞.如果數據在傳輸過程中如果不進行加密,或者沒有通過安全的通信網絡進行傳遞,有價值的數據信息可能被惡意竊取破解,從而導致數據被非法盜用或者破壞.

根據第三節系統工作流程中數據的產生、處理過程,可以做如下分析:

1)數據采集、預處理和傳輸至數據中心的過程

跟蹤站接收來自衛星的數據進行預處理之后,通過Internet或VSAT方式將數據傳給數據中心,這個過程的安全性較高,一是因為跟蹤站有專門的信號接收設備,惡意用戶無法復制這些設備來接收信號，或者復制成本較高;二是未經處理的電磁信號沒有實際應用價值,惡意用戶竊取到電磁信號不懂得如何處理整理,等同于無用信息.所以跟蹤站接收來自太空信息的這個數據傳輸過程的安全性可以得到很好的保障[5].

2)數據整理、存儲和數據分析處理的過程

數據中心對跟蹤站傳送的觀測數據進行質量檢查、格式轉換、分類歸檔、備份等整理工作,存儲觀測數據.并將這些產品發送至綜合分析與產品發布中心,同時將分析處理結果發送至數據中心存儲.這個過程中,數據中心整理的數據依然沒有實際的應用價值,所以雖然傳輸線路是Internet或者VSAT,但是安全性依舊很高.有價值的數據產生于數據分析中心,分析中心從數據中心獲取數據,對其進行分析處理,生成衛星星歷、鐘差、跟蹤站坐標、地球自轉參數等產品,并將這些產品發送至綜合分析與產品發布中心,同時將分析處理結果發送至數據中心存儲.這些數據屬于有價值的信息,是安全方案應該關注和保護的對象.

3)實現產品服務與增值服務的過程

原始觀測數據和產品由綜合分析與產品發布中心進行發布,供用戶下載使用.同時,結合綜合分析與產品發布中心提供的數據與產品,鼓勵開展運營中心的建設與增值服務,以拓展應用.這個過程是攻擊者最關注的,最容易遭受攻擊者的破壞,因為最有實際應用價值的數據匯聚于此,數據信息的商用拓展和產品的增值服務都體現在這個過程,攻擊者最喜歡在這個階段獲取有價值的信息或者對有價值的數據或產品進行破壞,系統安全防護的重點應該放在這個過程.

2.2 數據存儲的安全性

由系統的工作流程可知,數據除了要在各部分系統之間流動傳遞之外,生成的各類數據還要在數據中心、分析中心、監測評估中心、綜合分析與產品發布中心等各個中心的硬盤或者服務器進行備份和存儲,這就涉及到了數據存儲的安全性.

數據存儲的目標主要是保護機密的數據,確保數據的完整性,防止數據被破壞或丟失.為了保障數據的存儲安全,需要從技術和管理兩個層次進行安全方案的部署,通過架設防火墻、制定管理人員系統權限等措施來保障數據的存儲安全.

幾個數據存儲的關鍵節點主要在數據中心、分析中心、綜合分析與產品發布中心、運行控制管理中心,這幾個中心存儲了iGMAS有價值的數據或者生成有價值的產品信息,數據存儲安全防護需要重點關注這幾個中心.

3 數據傳輸安全方案

為了保障數據在傳輸當中的安全,在通信鏈路固定的情況下,比較方便且實用的方式就是使用安全傳輸協議傳輸經過特定算法加密的數據.數據在各個中心進行傳輸的過程中,推薦使用安全傳輸層(TLS)協議進行傳輸,傳輸的數據用國產密碼算法SM2進行加密.

3.1 TLS協議

TLS協議用于在兩個通信應用程序之間提供保密性和數據完整性.該協議由兩層組成: TLS 記錄協議(TLS Record)和 TLS 握手協議(TLS Handshake)[6-7].

TLS 記錄協議是一種分層協議.每一層中的信息可能包含長度、描述和內容等字段.TLS 記錄協議提供的連接安全性具有私有和可靠兩個基本特性.記錄協議支持信息傳輸、將數據分段到可處理塊、壓縮數據、應用 MAC 、加密及傳輸結果等.

TLS握手協議處理對等用戶的認證,在這一層使用了公共密鑰和證書,并協商算法和加密實際數據傳輸的密鑰,該過程在TLS記錄協議之上進行.

3.2 國密算法

國產密碼算法(國密算法)是指國家密碼局認定的國產商用密碼算法.密碼算法是保障數據加密安全的核心技術,所以我國國家密碼局發布了自主可控的國密算法,包含SM1 SM2 SM3 SM4算法.為保障重要行業密碼應用安全,我國相關部門要求“在建和擬建公鑰密碼基礎設施電子認證系統和密鑰管理系統應使用SM2算法”.對于iGMAS系統而言,可重點考慮使用SM2算法.

SM2算法實現中,SM2橢圓曲線公鑰密碼算法是我國自主設計的公鑰密碼算法,包括SM2-1橢圓曲線數字簽名算法,SM2-2橢圓曲線密鑰交換協議,SM2-3橢圓曲線公鑰加密算法,分別用于實現數字簽名密鑰協商和數據加密等功能.SM2算法是基于橢圓曲線上點群離散對數難題,相對于我們熟悉的RSA算法,256位的SM2密碼強度已經比2048位的RSA密碼強度要高[8].

3.3 系統應用

具體到iGMAS,設想的具體部署如下:

1)為了保證傳輸效率,跟蹤站接收來自衛星的電磁信號這個過程可以不做加密防護,正常進行傳遞即可.數據中心收集來自跟蹤站的數據,由于數據未經整理,實用價值不高,也不做加密解密處理.

2)分析中心從數據中心獲取數據,分析處理生成有價值的衛星星歷、鐘差、地球自轉參數等產品,將產品發送至綜合分析與產品發布中心,同時將分析結果返回數據中心，這個階段開始有價值的產品產生,為了保障數據傳輸安全,需要在各個子系統之間架構相應硬件設施搭建TLS協議,分析中心將傳輸的數據用SM2算法加密,加密之后傳輸至綜合分析與產品發布中心和數據中心,兩個子系統接收之后用SM2-1驗證數字簽名,未被改動說明數據未遭到破壞,沒有惡意數據注入也沒有惡意修改數據.SM2加密算法是安全的,所以也不用擔心數據被竊取,接下來用SM2-2、SM2-3進行解密操作,解密之后繼續進行下面的數據傳輸流程.

3)綜合分析與產品發布中心發布原始觀測數據供合法用戶下載使用,為了防止非法用戶盜用數據產品,需要給合法用戶授權,授權的本質其實就是與用戶約定加解密協議,通過TLS協議與SM2算法的結合使用,保證只有合法授權用戶可下載有價值的信息使用,非法用戶即使惡意下載也無法解密,從而保障數據的安全.

4 數據存儲安全方案

iGMAS工作過程中會產生海量的數據,除了要在各個分系統之間傳遞,還需要在各個分系統中進行存儲或者備份.在實踐中,建立存儲安全需要專業的知識,留意細節,不斷檢查,確保存儲解決方案繼續滿足業務不斷改動的需要,必須減少對存儲安全造成的威脅.對本系統來說,從跟蹤站收集來自太空的電磁信號一直到產品發布中心向用戶提供數據或產品,每個流程都產生了海量的數據,所以本系統對數據的依賴程度是非常高的,對數據存儲安全必須要重視[9].

為了保障數據在各個子系統的存儲安全,制定以下方案:

1)審計設施、測試環境

對各個子系統中部署的所有安全措施和設備進行審計,包括所有的硬件、軟件和其他設備,并審核授予企業內員工的所有特權和文件權限.積極測試存儲環境的安全性并檢查網絡和存儲安全控制的日志,如防火墻、IDS和訪問日志等,了解所有可能的安全事件.

2)工作人員行為監測

全年全天候對系統內部工作人員的行為進行監測,對于單個管理員,檢測事件日志并定期進行審計.日志分析能夠幫助管理員更好地了解資源使用的方式并能夠更好地管理資源.并可在安全泄漏發生時,用于調查的開展.

3)訪問控制

對系統管理員的權限實行分級管理,不同級別的管理員對系統數據有不同的操作權限,對數據的訪問權限只能授予那些需要訪問數據的人.

4)維護信息

保護所有系統中的數據信息,制定技術政策,根據明確的政策來使用設備.移動設備(如USB棒或者PDA)可以容納大量數據,檢測系統中這些設備的使用是否合乎規范要求是降低數據泄漏或者被破壞風險的關鍵因素.

5)數據處理政策

實施嚴格的安全政策,包括數據是如何處理的、如何訪問和轉移等.強有力的可執行的安全政策,才能夠提高整個系統的存儲安全水平.

6)工作人員教育

對工作人員加強規范操作教育,通過培訓提高對安全問題的認知能力,保障操作的安全性.

5 結束語

本文以iGMAS作為GNSS性能監測與評估系統的典型實現,分析了系統工作流程和存在的數據安全風險.通過對數據傳輸和數據存儲的分析,本文提出了一套保障數據安全性的防護方案.方案的主要內容是在數據的傳輸過程中,將最容易遭受攻擊者攻擊的數據傳輸鏈路與其他線路區分,傳輸采用TLS協議,數據用國密算法SM2進行加密解密,以此來保障數據免遭非法攻擊者的獲取或者破壞;在數據的存儲過程中,為了保障數據的存儲安全,通過審計所有設備、測試存儲環境等技術措施和加強管理教育、制定合理規章制度等工作來最大程度地保障數據在各個分系統中的存儲安全.