天天热头条丨无线通信网络信息安全分析

摘要：文章对民航自动气象观测系统常用的无线通信传输方式进行了对比分析，并着重分析了使用４Ｇ蜂窝网络技术实现自动气象观测系统无线传输的技术特点，同时就该方案的网络信息安全策略进行深入分析。分析结果对民航自动气象观测系统无线传输方案设计、系统建设和运维有一定借鉴意义。

【资料图】

自动气象观测系统（以下简称ＡＷＯＳ）是民航机场的重要助航设施，也是空管重要保障设施，是由布置在跑道附近的多组气象传感器、通信传输设备和中央数据处理服务器构成，能够实时测量机场跑道的各类气象要素，为机场气象部门、空中交通管制部门及航空公司提供实时天气数据服务。由于ＡＷＯＳ对于机场、航空公司和空管运行的重要性，为提升ＡＷＯＳ可靠性，很多民航气象保障部门加大了投入，包括电源冗余、双主机服务器热备、关键传感器备份等。然而分布在外场多点的传感器数据的通信传输对系统的正常运转起着决定性作用，特别是通信设备故障和光纤被施工挖断造成ＡＷＯＳ瘫痪的案例屡有发生，对系统正常率的影响也日趋严重。２０１８年修订实施的《民用航空自动气象观测系统技术规范》要求ＡＷＯＳ应当具有通过有线和无线的通信方式远程传输实时数据的功能。因此，为了提高ＡＷＯＳ的通信可靠性，很多机场在主用光纤传输的基础上建设了无线传输路由，作为备份通信手段。无线通信传输具有施工难度小、成本低的优点，重要的是解决信号的覆盖和干扰问题。ＡＷＯＳ各个传感器与中央处理器之间的通信数据量小、频次高，对信号稳定性等的要求高，常用的通信手段包括微波站、无线网桥、手机蜂窝网络ＧＰＲＳ和４Ｇ等。基于４Ｇ蜂窝网络技术发展迅速，技术成熟、带宽高、信号覆盖好，逐渐成为主流解决方案。４Ｇ技术是在３Ｇ技术的基础上发展的，相比于３Ｇ，４Ｇ技术所覆盖的领域更大，传播的方式虽然更灵活，但也更加复杂多变，造成了诸多的信息安全问题，且安全隐患随着４Ｇ技术的发展而增加。４Ｇ时代最大的问题是数据保护面临更大挑战［１－２］。在民航特殊领域对网络信息安全的重视程度较高，因此，无论有线或无线通信手段，在实现数据互通的同时，网络信息安全问题都是必须面对的，找到解决ＡＷＯＳ无线通信传输中网络信息安全问题的方法具有重要意义。

１应用４Ｇ网络实现无线传输的技术优势

微波站、无线网桥等技术手段需要通过架设天线、增加无线电发射功率解决信号覆盖、通信质量等问题［３－４］。在民用机场区域内，微波站和无线网桥将面临诸多问题：一是微波站、无线网桥无线电信号的覆盖问题在机场区域内因机场净空的严格限制而难以解决；二是机场区域内复杂的电磁环境对设置的各类无线电台站的频率、功率有严格的管控，一旦发生频率干扰影响空管、导航、监视等机场保障设备后果相对严重；三是专门架设的天线在飞行区内会形成新的障碍物，在飞行区内设置任何设施都需经过严格评估和审批，这增大了施工难度。相比之下，４Ｇ蜂窝网络具有明显的优势，所用频率专门为移动通信布设并受到保护，不会与其他用户发生冲突，运营商的信号覆盖已经满足通信需求，无需增设户外天线。４Ｇ通信技术是第四代移动信息系统，是在３Ｇ技术上的一次更好的改良，将ＷＬＡＮ技术和３Ｇ通信技术进行了很好的结合，使数据传输速度更快，能够满足ＡＷＯＳ传感器与中央处理器之间的数据通信需求［５－７］。即使是信号质量差、信道拥挤时，４Ｇ网络自动降级为３Ｇ，数据传输速度仍有２Ｍｂｐｓ，远大于ＡＷＯＳ传感器数据串口Ｉ／Ｏ的输出速度。因此在ＡＷＯＳ上应用４Ｇ网络实现无线传输能够满足系统运行需求，具有施工难度小、工程造价低、不受距离限制、抗干扰且不干扰其他用户的技术优势。

２４Ｇ网络无线数据传输的实现方法

与微波站、无线网桥不同的是，应用４Ｇ无线数据通信的２个站点不能独立构成网络，需要依托移动业务运营商的网络实现连通。自动气象观测系统布置在外场的传感器设备与安装在机房的中央数据处理设备之间的４Ｇ无线通信需经由运营商网络建立连接，４Ｇ无线通信的核心部件是４Ｇ模块，集成了无线接收、发射、基带信号处理功能，支持ＴＤ－ＬＴＥ和ＦＤＤ－ＬＴＥ等标准ＬＴＥ网络制式。４Ｇ模块设备通过专用频率无线信号与距离最近的运营商基站建立连接，基站与基站之间仍然通过有线通信形成完整的运营商网络，由于每个基站覆盖范围小，使得４Ｇ模块设备可降低发射功率，实现集成化、小型化。一般来说，每个４Ｇ模块与运营商基站建立连接后获得的地址是不固定的，只能与运营商网络进行数据通信，而２个模块之间无法直接通信，但经由运营商的云服务器进行业务承载就能够实现点对点或者一点对多点的数据通信，从而实现自动气象观测系统的外场传感器设备与数据处理设备的互通。为提高网络安全防护能力，业务承载服务选择ＶＰＮ，即虚拟专用网络服务，传感器设备端及中央数据处理服务器端，数据接口协议使用串口界面，从而在自动气象观测系统私有网络内完全屏蔽了４Ｇ无线传输的任何网络协议，相当于无线传输网络与ＡＷＯＳ网络实现了物理隔离。

３网络信息安全分析

网络信息安全主要指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然或者恶意的原因而遭到破坏、更改和泄露。网络面临的威胁主要有僵尸网络、ＤＤｏＳ攻击、远程控制、垃圾邮件、高级持续性威胁、勒索病毒、数据窃取和入侵控制等。入侵途径包括通过公网入侵业务平台，通过无线网络入侵同属局域网内的不同设备，通过入侵个人终端，入侵同属局域网内的不同设备等。这些网络信息安全风险对于使用４Ｇ实现无线传输的自动气象观测系统而言，主要是解决公网上的裸露问题和传输的私密问题，对于终端防护、弱口令等共性问题，不属于４Ｇ无线传输的安全隐患。使用４Ｇ进行数据通信需要经由运营商网络，一般认为这种方式与公网存在连接，可能使网络信息安全存在较大的问题。因此在设计用于自动气象观测系统的４Ｇ无线传输系统时，使用虚拟专用网络技术，在接收和发送２个无线数据终端设备与运营商网络之间创建虚拟加密通道，能够实现私有的安全传输。通过该虚拟加密通道，４Ｇ模块获得的ＩＰ地址是虚拟的ＶＰＮ地址，从而解决地址暴露问题，达到信息安全的目的。虚拟专用网络（ＶＰＮ）传输的是私有信息，主要采用４项技术来保证安全，分别是隧道技术（Ｔｕｎｎｅｌｉｎｇ）、加解密技术（Ｅｎｃｒｙｐｔｉｏｎ＆Ｄｅｃｒｙｐｔｉｏｎ）、密钥管理技术（ＫｅｙＭａｎａｇｅｍｅｎｔ）、使用者与设备身份认证技术（Ａｕｔｈｅｎｔｉｃａｔｉｏｎ）［８－９］。１）隧道技术隧道技术是在公用网建立一条数据通道（隧道），让数据包通过该隧道以专属的通信协议进行传输。隧道协议把各种公开的网络协议封装到私有的点对点协议当中，使得通信两端在公网上的其他网络协议完全屏蔽。此外隧道协议通过安全协议选择、安全算法、密钥技术等，在ＩＰ层提供安全保障。２）加解密技术隧道技术解决了协议的封装，使得非认证的数据包无法在通信两端之间传输，认证的数据包采用加解密技术传输，增强数据通信的私密性。加解密技术是数据通信中较成熟的技术，网络传输的过程中，数据包需要经过多个中间节点进行转发，因此存在数据包被截获、篡改的风险，为了保证数据的私密性，发送端对数据进行加密，使用密文传输数据包，接收端对数据进行解密，还原成原文（图１）。图１虚拟专用网络（ＶＰＮ）安全技术加密和解密过程很好地解决了数据传输过程中被窃取的问题，但仍需解决数据完整性问题：即使数据被加密传输，窃取者无法知道传输的内容，但是存在将数据截断再发送给接收者的风险。ＶＰＮ的加解密技术使用ｈａｓｈ算法，通过对原文计算ｈａｓｈ，对接收到的数据验证ｈａｓｈ，进行完整性校验，保证传送数据的完整性。３）密钥管理及身份认证技术密钥管理技术保证在公用数据网上安全地传递密钥而不被窃取。双方使用数字证书来交换公开密钥，数字证书通常包含唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。

４通信系统设计及界面防护

基于虚拟专用网络技术建立点对点的安全传输通道，解决了４Ｇ传输设备公网暴露和数据传输私密性问题，弥补了网络安全漏洞。在设计基于４Ｇ的自动气象观测无线传输系统时，应使用ＳＳＬ协议建立与运营商网络的安全链接，ＳＳＬ协议利用ＰＫＩ的证书体系完成秘密传输，能基于Ｉｎｔｅｒｎｅｔ实现数据安全通信。ＳＳＬ安全功能包括认证、加密和完整性校验。通信的两端在连接服务器时进行验证，数据通信加密，只有经过加密的双方才能交换信息并相互识别，从而进行完整性检验，防止数据被篡改。尽管ＶＰＮ技术解决了网络传输的信息安全问题，但使用４Ｇ无线通信构建外场传感器设备和中央数据处理设备的数据传输结构，在自动气象观测系统拓扑中，仍然存在与公网的物理连接问题，还存在未知的、不确定的网络攻击防范隐患。文章在设计４Ｇ通信系统时，对４Ｇ模块做了进一步隔离，在集成４Ｇ模块的终端设备与自动气象观测系统设备之间通过串口进行界面连接，屏蔽所有的网络协议。外场传感器设备通过串口输出数据至４Ｇ传输终端设备，中央数据处理设备通过串口接收来自４Ｇ传输设备的数据。通过此种方式，自动气象观测系统的各个设备与４Ｇ无线通信系统之间没有任何网络连接，符合物理隔离的要求。即使４Ｇ传输终端设备遭遇网络攻击，也不会波及自动气象观测系统网络。

５结束语

网络信息安全不仅是网络安全，即网络系统的硬件、软件不受到攻击损坏，更重要的是信息安全，防止信息遭遇未经授权的破坏、改动、非法利用。随着信息技术的快速发展，信息安全的内涵也不断延伸，在互联网与物联网发展的大背景下，可以将信息安全理解为：在既定安全密级的条件下，信息系统抵御意外事件或恶意行为的能力，这些事件和行为将危及所存储、处理或传输的数据，以及经由这些系统所提供的服务的可用性、机密性、完整性、不可否认性与可控性。民航ＡＷＯＳ通过应用ＳＳＬ技术和ＶＰＮ技术强化４Ｇ无线通信设备的网络安全，保证用户得到的信息是准确、完备的。此外，将４Ｇ无线通信设备通过串口界面接入ＡＷＯＳ局域网络中，屏蔽网络协议，将４Ｇ无线通信网络隔离在独立的区域，应用层软件对来自串口的数据进行进一步校验、连续性分析、合理性评估，从而最大限度保障系统的安全。

作者：高宇 李岩 单位：中国民用航空华北地区空中交通管理局天津空管分局 中国民用航空局空中交通管理局航空气象中心