基于大數(shù)據(jù)交互的安全策略——以船用物聯(lián)網(wǎng)為例

趙 欣，郭建偉

(北京市科學(xué)技術(shù)研究院 北京 100044)

0 引 言

我國水路運輸包括內(nèi)河航運和海上航運，其中內(nèi)河航運具有得天獨厚的優(yōu)勢，黃河和長江流域自古以來就是重要的水路運輸和商品貿(mào)易通道，推動了國內(nèi)經(jīng)濟的發(fā)展。改革開發(fā)以來，我國經(jīng)濟發(fā)展模式由內(nèi)向型經(jīng)濟向外向型經(jīng)濟轉(zhuǎn)變，與世界各國的貿(mào)易往來逐漸增加，成為世界進出口貿(mào)易大國。水路運輸是我國交通運輸體系的重要環(huán)節(jié)，也是經(jīng)濟發(fā)展的支柱，提高水路運輸?shù)木C合管理水平具有深遠(yuǎn)意義。

船聯(lián)網(wǎng)是指將物聯(lián)網(wǎng)技術(shù)應(yīng)用于船舶航運場景中，結(jié)合射頻識別、傳感器等技術(shù)，對水路運輸過程中船舶、集裝箱、港口、航線信標(biāo)等對象的屬性進行設(shè)置，構(gòu)建智能化的水上運輸交通網(wǎng)絡(luò)。船用物聯(lián)網(wǎng)有助于提高航道的通信效率，保障船舶的航運安全，具有重要的經(jīng)濟價值。

1 業(yè)務(wù)實現(xiàn)

1.1 業(yè)務(wù)需求

目前用戶船只運營管理中心數(shù)據(jù)平臺管理的船只近3000艘，管理船只信息有2組，一組信息是船只企業(yè)負(fù)責(zé)輸入到船只終端里，該組信息設(shè)為數(shù)據(jù)1，其中包括起運地點及碼頭、船只的噸位和運力、運貨物品內(nèi)容、起航時間、到港地點及碼頭等；另一組信息是船只從GPS或北斗全球定位系統(tǒng)接收的信息并發(fā)送給船只運營管理中心數(shù)據(jù)平臺[2]，該組信息設(shè)為數(shù)據(jù)2，其中包括(采集數(shù)據(jù)的)時間，(船只航行)的速度、航向、經(jīng)度和緯度等。

1.2 設(shè)備及用途

在每艘船上安裝船只衛(wèi)星定位系統(tǒng)和船只終端設(shè)備，衛(wèi)星定位系統(tǒng)負(fù)責(zé)實施采集本船只的定位數(shù)據(jù)，如(采集數(shù)據(jù)的)時間，(船只航行)速度、航向、經(jīng)度和緯度等[3]。船只終端將衛(wèi)星定位系統(tǒng)采集的船只定位數(shù)據(jù)實時發(fā)送給船只運營管理中心數(shù)據(jù)平臺。船只起航時，船長指示船員將已經(jīng)輸入終端的船只信息，即起運地點及碼頭、船只的噸位和運力、承運貨物品內(nèi)容、起航時間、到港地點及碼頭等，通過人工按鈕發(fā)送給船只運營管理中心數(shù)據(jù)平臺。

1.3 數(shù)據(jù)格式及現(xiàn)狀

船只運營管理中心數(shù)據(jù)平臺接收的2組數(shù)據(jù)的格式都是固定的，一組由人工輸入終端并在船只起航時，發(fā)送到船只運營管理中心數(shù)據(jù)平臺；另一組由船只的衛(wèi)星定位系統(tǒng)在航行途中[4]實時采集并發(fā)送給船只運營管理中心數(shù)據(jù)平臺。

這2組數(shù)據(jù)現(xiàn)在都是以明文的形式傳輸給船只運營管理中心數(shù)據(jù)平臺，其中數(shù)據(jù)1僅發(fā)送1次，數(shù)據(jù)2每分鐘發(fā)送2.5次，即船只每航行200m接收 1次衛(wèi)星定位系統(tǒng)的數(shù)據(jù)，并發(fā)送1次定位數(shù)據(jù)給船只運營管理中心數(shù)據(jù)平臺(船只航行的速度是30km/h)。

1.4 安全需求

將2組數(shù)據(jù)加密成密文傳輸，并進行數(shù)據(jù)簽名和完整性驗證，保證傳輸?shù)臄?shù)據(jù)可信和不可抵賴，保證數(shù)據(jù)傳輸?shù)臋C密性，對船只進行認(rèn)證識別，確保船只設(shè)備完好[5]。

2 解決方案

2.1 安全解決方案原則

每艘船每分鐘需要完成5次數(shù)據(jù)完整性驗證和數(shù)據(jù)解密“任務(wù)”，3000艘船每分鐘就需要完成15000次數(shù)據(jù)完整性驗證和數(shù)據(jù)解密“任務(wù)”；另外，若每10min對一艘船進行認(rèn)證識別，則每分鐘就需要300次認(rèn)證識別“任務(wù)”?？傊诖贿\營管理中心數(shù)據(jù)平臺端，每分鐘需要并發(fā)布處理300次認(rèn)證識別任務(wù)，同時，需要完成15000次數(shù)據(jù)完整性驗證和數(shù)據(jù)解密“任務(wù)”[6]。

2.2 技術(shù)方案

船只物聯(lián)網(wǎng)安全系統(tǒng)由船只終端安全系統(tǒng)和認(rèn)證中心端安全系統(tǒng)2部分組成，架構(gòu)如圖1所示。

圖1 船只物聯(lián)網(wǎng)安全系統(tǒng)架構(gòu)圖 Fig.1 Architecture diagram of ship IoT security system

在船只的終端嵌入一塊安全芯片，在安全芯片 存儲對稱密碼算法、船只認(rèn)證識別協(xié)議、數(shù)據(jù)簽名協(xié)議、數(shù)據(jù)加密協(xié)議、對稱密鑰生成算法、密鑰種子(生成密鑰的“基”)數(shù)據(jù)和船只的標(biāo)識及企業(yè)信息等。船只終端設(shè)備通過連接安全芯片調(diào)用安全協(xié)議來實現(xiàn)船只終端的設(shè)備認(rèn)證、上傳數(shù)據(jù)的數(shù)字簽名/數(shù)據(jù) 加密[7]。

在船只運營管理中心數(shù)據(jù)平臺端建立認(rèn)證中心，認(rèn)證中心由密鑰管理一體機、日志管理一體機和認(rèn) 證/簽名一體機組成。在認(rèn)證中心，存儲全體船只用戶的標(biāo)識及企業(yè)信息，并以密文形式存儲每艘船用戶標(biāo)識對應(yīng)的“密鑰種子”等，并在認(rèn)證中心的幾百塊安全芯片里存儲對稱密碼算法、船只認(rèn)證識別協(xié)議、數(shù)據(jù)簽名協(xié)議、數(shù)據(jù)解密協(xié)議和組合密鑰生成算法等。認(rèn)證中心端實現(xiàn)對船只終端的設(shè)備認(rèn)證識別、數(shù)據(jù)的簽名驗證/數(shù)據(jù)解密功能，以及密鑰管理和日志管理功能。

在船只運營管理中心數(shù)據(jù)平臺上部署有數(shù)據(jù)轉(zhuǎn)發(fā)模塊，該模塊是船只終端數(shù)據(jù)收發(fā)系統(tǒng)和認(rèn)證中心之間溝通的橋梁，負(fù)責(zé)將船只終端上傳的需要進行安全操作的數(shù)據(jù)轉(zhuǎn)發(fā)到認(rèn)證中心，認(rèn)證中心再將對3個安全協(xié)議的處理結(jié)果返回給船只運營管理中心數(shù)據(jù)平臺，其流程見圖2。

圖2 船只物聯(lián)網(wǎng)安全功能流程圖 Fig.2 Flowchart of ship IoT security functions

認(rèn)證中心為監(jiān)測船只是否正常工作，在船只終端設(shè)備里需要預(yù)先設(shè)置向認(rèn)證中心提交認(rèn)證識別信息的時間，即終端多長時間提交一次認(rèn)證識別信息，以證明該船只在正常運行。進行認(rèn)證識別時，船只終端設(shè)備通過部署在終端上的安全芯片產(chǎn)生一次一變的認(rèn)證碼，并通過傳輸芯片將認(rèn)證碼提交到船只運營管理中心數(shù)據(jù)平臺，再由船只運營管理中心數(shù)據(jù)平臺轉(zhuǎn)發(fā)給認(rèn)證中心。認(rèn)證中心執(zhí)行對船只終端的認(rèn)證識別操作，并記錄日志，返回認(rèn)證識別的結(jié)果到船只運營管理中心數(shù)據(jù)平臺。

船只終端設(shè)備發(fā)送數(shù)據(jù)給船只運營管理中心數(shù)據(jù)平臺前，首先將數(shù)據(jù)輸入與終端連接的安全芯片，安全芯片中的數(shù)字簽名協(xié)議和加密協(xié)議對數(shù)據(jù)進行數(shù)字簽名和加密，并通過船只終端的傳輸芯片將數(shù)字簽名、數(shù)據(jù)密文提交到船只運營管理中心數(shù)據(jù)平臺，船只運營管理中心數(shù)據(jù)平臺再轉(zhuǎn)發(fā)給認(rèn)證中心，最終由認(rèn)證中心執(zhí)行數(shù)字簽名驗證/數(shù)據(jù)解密操作，并記錄日志返回結(jié)果到船只運營管理中心數(shù)據(jù)平臺。

在船只運行期間，認(rèn)證中心會對該船只的認(rèn)證識別情況記錄并定時審計。如果船只超過規(guī)定時間沒有發(fā)送認(rèn)證識別信息，或者發(fā)送的數(shù)據(jù)不合法，認(rèn)證中心會發(fā)出報警信息，提醒用戶有船只發(fā)生異常情況，并顯示出異常船只的列表。用戶可以根據(jù)顯示的異常船只列表，來查詢異常船只的運行軌跡和發(fā)生異常的地點，從而采取應(yīng)急措施。

3 船只物聯(lián)網(wǎng)管理安全系統(tǒng)的必要性

在世界各地的船只起航時，需要將重要的信息(起運地點及碼頭、船只的噸位和運力、運貨物品內(nèi)容、起航時間、到港地點及碼頭等)傳輸給船只運營管理中心數(shù)據(jù)平臺，同時，當(dāng)船只起航后，每航行200m，也需要將船只的重要衛(wèi)星定位數(shù)據(jù)(衛(wèi)星定位的時間、航行速度、航向、經(jīng)度和緯度等)傳輸給船只運營管理中心數(shù)據(jù)平臺。但是，這些重要數(shù)據(jù)一旦被非法團伙截獲，其就能提前獲取船只的情報，如船只所運貨物內(nèi)容和噸位、船只所在地點和碼頭、船只起運具體時間和到港地點及碼頭，并實時了解到船只的航線和速度，根據(jù)情報有針對性地進行準(zhǔn)備，對船只實施有效攻擊。因此，船只物聯(lián)網(wǎng)信息的安全十分重要，必須保證發(fā)送到船只運營管理中心數(shù)據(jù)平臺的數(shù)據(jù)可靠、完整和保密，杜絕如此重要的物聯(lián)網(wǎng)數(shù)據(jù)在無線傳輸過程中“裸奔”[8]。

4 結(jié) 語

本文研究的安全解決方案能保證每艘船發(fā)送到船只運營管理中心數(shù)據(jù)平臺的數(shù)據(jù)可靠、完整和保密，同時，一旦有船只的終端設(shè)備出問題，船只運營管理中心可以在第一時間收到警告信息?！?/p>