林 彬,许 菲,窦欣宇,徐世鹏,宋婉仪,李铁山
(1.大连海事大学 信息科学技术学院,辽宁 大连 116026;2.鹏城实验室网络通信研究中心,广东 深圳 518052;3.电子科技大学 自动化工程学院,成都 611731)
目前,航运业正在从信息化时代走向智能化时代,无人船舶及相关技术应运而生。2018年5月,作为国际航运的主要监管机构,国际海事组织将无人船正式命名为海上水面自主船舶。自此,无人船成为国际海事界研发和关注的新热点。我国也高度重视无人船的相关研究,2015年5月发布了《中国制造2025》,将无人航运作为十大重点发展领域之一,并加快推进海洋工程装备和高技术船舶制造。2018年12月,工信部、交通部、国防科工局联合印发《智能船舶发展行动计划(2019—2021年)》,旨在形成我国智能船舶发展的顶层规划,初步建立智能船舶规范标准体系,突破核心技术,保持我国智能船舶发展与世界先进水平同步。
无人船由于其安全、高效、经济等特点正受到世界各国的广泛重视。与传统有人驾驶船舶相比,其优势体现在不仅能够全天候作业,而且能代替人类在复杂、恶劣、多变的海域中执行重复、繁琐、危险的任务。同时,无人船极大地降低了人工成本和投入费用。因此,无人船在未来海洋经济发展中有着广泛的应用,特别是在海上搜救、海事管理、水文环境监测、远洋运输等方面极具发展前景[1]。
然而,迄今为止无人船在网络信息安全方面仍缺乏全面有效的保护措施和防范策略。2018年,美海事管理局发出航行警告,指出在黑海海域大约20艘船舶的GPS遭遇了一起奇怪的恶作剧式的“干扰”,导致船位显示不准、船位丢失等情况。未来无人船一旦被干扰,若偏离航线丢失将造成巨大经济损失。因此,无人船网络信息安全迫在眉睫。然而,由于近几年才受到国际各类海事组织的重视,海上信息安全发展极为缓慢,已公开发表的关于海上信息安全的研究比较少。
针对无人船存在的信息安全问题,本文介绍了无人船网络组成,详述了目前无人船面临的网络安全威胁,总结了常见的攻击方法与解决方案,结合现有的研究展望了未来可能改变无人船网络信息安全的技术,以期为解决无人船网络信息安全问题提供参考。
如图1所示,无人船网络[2]基本可划分为两层。底层是由各系统的监控单元构成的控制网络(OT网络)。这些网络通常采用如CAN、Modbus等现场总线技术实现,接入网络的系统包括分布于机舱的主推进监控系统、辅机监控系统、电站监控系统、消防系统、综合船桥系统以及场景感知系统等,负责采集和监视全船设备的运行状态数据,通过网络传送给顶层的管理系统,同时接收和执行项层管理系统的控制命令,实现设备控制。船舶的顶层网络(IT 网络)主要由标准化操作站(显控台)、服务器以及智能巡检等构成。这些网络通常采用以太网络等实现,各分系统网络通过网关与项层网络相连,从而实现各系统间的数据传输与数据共享。
图1 无人船网络组成
近年来,无人船网络安全问题日益严重。尽管攻击手段不断更新,但从信息安全的属性来划分,攻击主要破坏了信息的机密性、完整性、可用性、可认证性,以及无人船最为重要的位置敏感信息。表1对各类无人船网络信息安全威胁进行了具体举例说明。
表1 无人船信息安全威胁
1.2.1 机密性攻击
机密性,指禁止将有用信息泄露给非授权用户,防止未经授权的访问。在无人船网络中,无人船、地面站和通信链路极有可能遭受到机密性攻击。常见的攻击有软件漏洞、病毒、木马、键盘记录程序、窃听攻击等。
(1)软件漏洞、病毒、木马、键盘记录程序[3]多数是针对无人船远程控制站发起的攻击。攻击者破坏控制站接收船舶的状态信息、环境信息,以及海图、气象、港口等重要信息[2]。
(2)窃听攻击,试图通过监听无人船通信网络或内部网络来窃取信息。例如,攻击者获取无人船控制设备信息进而分析出船舶运行状态,实现不轨的企图。
1.2.2 完整性攻击
完整性,指在传输、存储信息或数据的过程中,确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现。在无人船网络中,攻击者可以通过删除、修改和插入破坏关键数据,或通过生成虚假信息误导船舶。常见的攻击有数据篡改攻击、虫洞攻击等。
(1)数据篡改攻击,可以通过捏造和广播虚假消息来进行此攻击。例如,篡改远海无人船的货物跟踪记录,设法隐匿违规货物等;或是删除货物管理系统的记录,使货物管理和跟踪陷入混乱[4]。
(2)虫洞攻击,网络中的两个虫洞节点传输能力较强,吸引了这两个节点链路之间的通信量。对于用于特定场景采用移动自组织网络通信的无人船,此攻击可以在传递消息包的过程中窃听消息包的内容。
1.2.3 可用性攻击
可用性,指信息资源被授权实体访问并正常使用或在非正常情况下能恢复使用的特性。常见的攻击有恶意软件攻击、DoS或DDoS攻击、黑洞攻击、消息延迟攻击等。
(1)DoS或DDoS攻击,通过向目标船舶发送大量“看似”合法的流量包,从而造成无人船网络网络阻塞或服务器资源耗尽,进而阻塞无人船-无人船、无人船-岸基、无人船-卫星之间的数据交换,破坏可用性。
(2)恶意软件攻击,利用各种欺骗手段向攻击目标注射计算机病毒或木马程序。比起有人船,无人船减少了人工USB传播的风险。但在无人船系统的接入无法得到有效控制的情况下,例如进坞、搁置、 新船交付、现有船交接等,无人船难以发现是否有恶意软件被植入系统中破坏网络。
(3)黑洞攻击,指欺骗合法节点将路由导向黑洞节点,将接收到的数据包丢弃。黑洞攻击能够阻断船舶之间的信息,使无人船陷入孤立状态。
1.2.4 可认证性攻击
可认证性,即进行数据交换的用户身份需要确认。可认证性要求辨识用户的合法性,建立网络间的信任关系[5]。攻击者通过欺骗伪造进行入侵,常见攻击有Sybil攻击、假冒攻击、密钥复制攻击等。
(1)假冒攻击,通过有效的网络标识符将信息传递给合法节点[6],严重威胁无人船网络安全。例如攻击者冒充海事官方发出虚假AIS指令进行诱导,使无人船脱离监测或发生碰撞,造成船舶毁坏[4]。
(2)Sybil攻击,恶意用户具有多个身份标识,向其他用户发送虚假消息。例如,恶意船舶创建或者盗用大量的假身份,向无人船发送虚假消息,造成交通“拥塞”,影响无人船航行路线。
(3)密钥复制攻击,指一个或多用户使用重复密钥或证书声明合法身份。
(4)重放攻击,是指攻击者拷贝身份验证后的数据包。在海上带宽稀缺的情况下,攻击者通过重放大量消息,使无人船不能正常使用带宽资源。
1.2.5 位置敏感信息攻击
位置敏感信息,指无人船航线、定位等隐私信息,攻击者通过获取位置信息对无人船进行定位追踪,对无人船进行抢夺;或是干扰无人船获取位置信息,使无人船偏离航线。常见攻击有针对GNSS以及AIS的攻击。
(1)GNSS攻击,主要分为信号欺骗干扰与信号压制干扰。压制干扰的原理是发射压制信号,使目标接收机环路失锁。欺骗干扰分为生成式欺骗干扰与转发式欺骗干扰,主要原理为发送虚假信号使其强度超过真实信号,从而控制接收机的跟踪环,使GNSS终端锁定到错误的信号,达成欺骗目的。
(2)AIS攻击,通过伪造AIS数据来创造一艘虚拟船舶,触发目标船舶的碰撞预警或发布虚假的风暴预报,迫使目标船舶改变航线。例如,冒充海事官方发出 AIS 指令诱导无人船基站控制中心发出错误指令;或诱使附近的船舶提高AIS数据交换频率,制造AIS数据风暴,使无人船AIS无法运作[4-5]。
无人船网络信息具有巨大价值,在保证无人船功能安全的基础上,信息安全及隐私保障技术成为当前关注的重点问题。本文针对无人船面临攻击的常见类型,从身份认证技术、入侵检测技术、信息加密技术、位置隐私信息保护技术四个方面归纳了与无人船网络信息安全相关的网络攻击及相应的对策。
2.1.1 身份认证技术
身份认证利用特定的加密体系对通信方的身份有效性、合法性进行验证,实现系统权限的管理和资源的合理分配,并建立各实体之间的相互信任关系。身份认证是证实用户真实身份与自己所声称的身份是否一致的过程[6],是无人船网络信息安全的第一道关卡。
2.1.2 无人船网络可认证攻击应对策略
身份认证技术是保障无人船网络安全的必要手段,常用于解决针对无人船网络的可认证性攻击。主要攻击包括Sybil攻击、假冒攻击、密钥/证书复制攻击、重放攻击等,下面详细介绍解决策略。
(1)针对Sybil攻击,可信认证是被认为防御Sybil攻击的最佳方案之一[7]。文献[8]提出了一种基于PKI(Public Key Infrastructure)的无人船网络身份认证技术,其中船舶公钥可以根据船舶的海上移动通信业务标识编号计算得到。文献[9]提出了ScatterID系统,附加反向散射标签用于缓解Sybil攻击。散射体主动“操纵”多径传播,获得的丰富的多径信号来构建相似性向量,以挫败高级Sybil攻击者。
(2)针对假冒攻击,目前解决此类攻击常用方法是通过使用更完善的身份验证方案。文献[10]设计了一种能够抵抗攻击者假冒攻击的移动RFID双向认证协议,抵抗攻击者发起的假冒攻击。文献[11]实现了一种跨区域船舶电子身份认证系统,基于SSL(Secure Socket Layer)协议并采取混合认证方式,各个子系统之间实现通过单点登录机制访问,有效抵抗攻击。
(3)针对密钥复制攻击,文献[12]对传统密钥管理方案进行修改,确保密钥在节点间更安全地分配,避免密钥被复制;文献[13]提出了一种密钥管理方案应对此类攻击。
(4)针对重放攻击,目前解决此类攻击基本方法为确定“抗重放因子”,根据已确定“抗重放因子”判断消息的新鲜性,例如时间戳、随机数等。文献[14]提出了一种基于双序列函数的防御方案,利用序列函数和周期函数生成身份校验阶段和会话阶段的加密校验参数进行双向认证,以序列值递进的方式进行参数更新,从而过滤重放攻击报文。文献[15]提出了一种基于时间戳比较的请求过滤方案,当消息时间戳超出服务端预定的范围时即拒绝消息请求。
2.2.1 入侵检测技术
入侵检测技术主要对数据包传输进行实时监控,在发现异常数据包时立即发出警报或采取积极的响应措施[16]。入侵检测技术根据检测方法的不同分为两类:异常入侵检测和误用入侵检测[17]。
(1)异常检测首先根据对象的正常行为创立行为轮廓,当检测到相差程度较大的行为时视为入侵。异常检测具有检测系统中未知攻击的能力,但困难之处在于如何描述正常行为的轮廓模型和异常的基准值,所以误报率较高。现有的异常数据检测基于研究方法分类可分为基于模型的方法、基于邻近度的方法、基于聚类的方法、基于分类的方法。
(2)误用入侵检测主要在于如何表示入侵的特征,并建立相关的特征库。该方法的优点是能够明确地标出入侵的类型,且拥有较低的误报率和较高的正确率。不足之处是该方法的漏报率高,对未知攻击束手无策,实时更新与维护特征库比较困难。
实际应用中通常采用多种方法联合实现对入侵行为的检测。
2.2.2 无人船网络可用性攻击应对策略
入侵检测技术是无人船网络安全的第一道防线,常用于解决针对无人船网络可用性的攻击。主要攻击包括恶意软件攻击、DoS或 DDoS攻击、黑洞攻击攻击等,下面详细介绍解决策略。
(1)针对恶意软件攻击,文献[18]提出采用稀疏自编码器,对采集的船舶网络信息进行编码,通过神经网络算法对入侵病毒进行检测。采用聚类方法对特征进行提取,构建入侵病毒防御模型,有效防御率平均值比传统方法高出31.5%。
(2)针对DoS或DDoS攻击,文献[19]引入自组织映射(Self-organizing Map,SOM)神经网络,利用网络流量的包数、速率、生存周期等特征建立网络的输入特征向量,对SOM中的输入层和竞争层进行合理优化。该方法对于恶意流量的识别准确率可达98%以上,误判率可降低至0.5%以下。文献[20]使用基于签名的入侵检测系统检测减轻DoS攻击,通过在攻击节点上实施阻塞,阻塞所有来自攻击者的数据包,直到攻击者耗尽能量。
(3)针对黑洞攻击,文献[21]提出了一种基于K-means聚类的高效数据入侵检测算法,从网络延时、数据流量等方面对数据集进行聚类分析,提取数据特征。文献[22]提出了一种基于位置信息的诱捕检测算法,以实际不存在的目的节点为诱饵,找到黑洞节点,对节点进行身份验证以及位置检测,从而剔除该恶意节点。
2.3.1 信息加密技术
信息加密是指对数据进行数学加密与解密的运算,实现明文、密文的转换,达到保护存储数据机密性的目的。通过信息加密技术可以有效阻止密钥窃取、数据篡改、隐私数据被盗等安全隐患的发生。
目前常用的加密算法包括对称加密算法和非对称加密算法,对称加密算法包括DES、三重DES、AES等。非对称加密算法包括椭圆曲线加密算法、RSA算法等。
除上述传统加密技术,近几年物理层安全技术作为补充技术被广泛关注。利用无线信道的特性以及物理层技术,实现无线通信的保密传输,形成从物理层到应用层全方位的信息安全保护。即使攻击者有较强的计算能力也无法损害无线传输的安全性,并且不依赖中央控制系统对密钥进行分发和管理,适用于未来的无线通信系统。现有的几种主要物理层安全技术包括窃听编码、波束成形与人工噪声、中继协作干扰和物理层密钥加密技术等。
上述信息加密技术的合理使用将使无人船实现更加可靠的信息传输,为海上工作的安全性提供保障。
2.3.2 无人船网络完整性、机密性攻击应对策略
信息加密技术是保障无人船网络安全的重要手段,常用于解决针对无人船网络的完整性、机密性的攻击。常见攻击主要包括软件漏洞、病毒、恶意软件、木马、键盘记录程序、窃听攻击、重放攻击、数据篡改攻击、虫洞攻击等,下面详细介绍解决策略。
(1)针对数据篡改攻击,通常通过对无人船数据进行更复杂、更快速的加密方法应对此类攻击。文献[23]提出混合加密,采用对称密钥迭代型分组密码算法加密舰船通信网络数据,ECC算法加密分组密码的公钥,改善单独加密的缺点。文献[24]提出多重加密,使用DES算法实现初级加密计算,AES算法二次加密传输数据,通过算法的重叠使用,达到网络数据加密的效果。文献[25]提出基于Logistic模型的混沌TEA算法,参数的微小差异导致每次迭代结果毫无规矩可言,因此该算法能够经得起攻击。
(2)针对窃听攻击,文献[26]在应对窃听攻击时使用扩展码和人为干扰,提出了一种轻量级的非加密代码生成方案,仿真结果证实该方案具有良好的防窃听性能;文献[27]提出了基于GHZ三粒子最大纠缠态,利用量子的不可克隆定理及隐形传态技术来防止信息被窃听的量子网络编码方案,实验数据表明该方案有效地解决了信息传输的窃听问题。
(3)针对虫洞攻击,文献[28]提出了一种轻量级的技术,可以通过源节点计算应答数据包的平均序列号检测网络中的虫洞攻击;文献[29]提出了一种虫洞攻击检测方法,检测到虫洞攻击路径后,源节点通过使用粒子群优化算法选择最佳或安全的路由路径将数据转发到目标。
无人船的位置信息通常由综合船桥系统完成存储和发送、接收等操作。综合船桥系统包括电子海图系统、全球导航卫星系统、自动识别系统、动力定位系统、全球海上遇险和安全系统、通用报警系统航行数据记录仪、惯性导航系统、雷达以及其他监测和数据采集系统等。随着科学技术的不断发展,综合船桥系统越来越多地使用数字、网络导航系统,使系统容易受到网络攻击。无人船的GNSS以及AIS作为综合船桥系统的重要组成部分,对无人船安全至关重要。近年来,对两者的攻击所占比重较大且逐渐增加,因此本文主要分析针对GNSS和AIS攻击的防范策略。
GNSS主要包括美国GPS(Global Positioning System)、俄罗斯GLONASS(Global Navigation Satellite System)、欧洲GALILEO(Galileo Positioning System)以及我国“北斗”(Beidou Navigation Satellite System,BDS)四大导航卫星系统。此类卫星导航系统主要受到的干扰分为欺骗干扰与压制干扰。应对上述攻击,主要方法包括信号特征检测、欺骗检测与导航信息加密认证技术。
由于AIS是开放性的系统,在设计过程中未考虑数据安全性相关问题,因此在信息传输过程中极易受到网络攻击,包括信息篡改、信息伪造、信道占用、干扰通信等[30]。应对上述攻击,主要采取对AIS进行数据分析检测、加密通信、接入认证等方法实现信息保护。
2.4.1 基于GNSS的无人船位置信息保护策略
随着导航系统的的广泛应用与软件无线电技术的发展,GNSS受到的安全威胁越来越多,常见的安全威胁有信号欺骗干扰与信号压制干扰两类。压制干扰对其影响区域范围内的全部导航设备都会造成一定的影响,因而易于识别[31]。欺骗干扰是攻击者通过干扰机发射欺骗信号,进而将真实信号剥离跟踪路径,完成对跟踪路径的控制,或通过改变真实的信号到达接收船舶的时延,产生伪距信息,将处理后的导航信号发送到接收机,产生欺骗干扰,干扰无人船获取位置信息与时间信息。针对不同的GNSS欺骗,存在特定的抗欺骗方法,主要分为以下三类技术。
(1)信号加密认证技术,实现对卫星播发的电文进行加密,有效地对抗生成式欺骗。其主要技术包括导航信息加密、扩频码加密、扩频码认证、无码互相关等技术。
(2)欺骗干扰检测技术,可以通过对信号自身特征的检测辨别欺骗信号,如对信号绝对功率的检测、对信号质量的检测、对接收信号的码相位和载频的检测、信号传输延迟检测等。文献[31]根据BDS导航信号的功率特征,提出捕获阶段的多峰与功率协同检测算法,并根据BDS接收信号模型,在跟踪阶段对载噪比和多普勒频移量进行实时监测,检测欺骗干扰,提高BDS导航接收机抗欺骗干扰的能力。
(3)辅助信息检测技术,主要指利用惯性单元、加速度计、时钟等其他模块的测量信息与GNSS信息进行比较、检测欺骗干扰的技术。文献[32]提出针对运动载体,利用惯导辅助测量运动前后接收天线阵的绕Z轴旋转角度,进一步测量运动前后信号的载波相位差。
2.4.2 基于AIS的无人船位置信息保护策略
AIS[33]是一种辅助航行系统,利用卫星定位系统测定的卫星船位推算航迹船位,通常用于岸-岸、船-岸、船-船之间的信息交流。AIS能够实时交互船舶动态信息,例如航速、GPS坐标数据、航向、国际标准时等动态信息,同时也能够将静态信息,如船舶名称、IMO固有船舶编号、识别码、目的地等信息发送到AIS基站、海岸电台、其他船舶及航空器,进行数据交换。对于常见的AIS攻击,保护措施主要包括以下两种方法。
(1)利用时隙占用分析、AIS报文误报率分析、AIS数据挖掘与分析、AIS与雷达目标进行信息融合等方式对攻击进行检测并发送预警信息[34]。文献[35]提出当连续几次比对当前信息与历史信息,参数值发生异常跳变且持续时间较长时,采用更换发送时隙、停止使用AIS并使用雷达识别信息的手段阻断攻击。
(2)使用加密通信,只允许特定部门和船舶访问AIS数据。文献[36]提出在不安全的海域中,对合法广播的AIS数据进行按需加密。执法机构将合法的船只与可疑的船只区分开,对合法船只发送密钥,可疑船只无法获得此特定“不安全”海域的任何AIS信息,从而实现合法船只与可疑船只的AIS信号“隔离”,有效保护合法船只信息安全。
目前,多种抗欺骗技术的联合使用正逐渐成为抵御欺骗干扰的重要手段。
综上,无人船建设初期,应进行船舶网络安全规划,明确船舶网络安全工作的总体方针和安全策略,采用身份认证技术、入侵检测技术、信息加密技术以及位置隐私信息保护技术措施共同构成完整的网络安全体系。
2008年,随着比特币的诞生出现了区块链技术[37]。区块链技术利用加密链式区块结构来验证和存储数据,利用分布式节点共识算法来生成和更新数据,利用自动化脚本代码(智能合约)来编程和操作数据,是一种全新的去中心化基础架构和分布式计算范式[38]。
区块链不可篡改、分布式、公开透明、去中心化的特点,为未来无人船数据的安全共享以及无人船访问控制提供了解决方案。文献[39]提出了一种基于区块链的数据隐私保护共享方案,设计了一种链上链外的存储模型,在发生非法行为时跟踪恶意用户,并结合属性加密来实现数据的隐私保护。文献[40]提出了一种属性基加密和区块链技术结合的可信数据访问控制方案,满足访问控制策略的用户才能成功访问数据,实现数据的细粒度访问控制。
如今,区块链技术正被应用到航运领域,它运用分布式存储、数据加密、哈希函数、共识机制、智能合约等手段,在无需互相信任的节点中实现去中心化的交易,以链条的方式存储数据区块,因哈希函数的机制,保证数据不可篡改。区块链具有的独特性质在无人船网络信息安全方面具有巨大的应用前景。
人工智能(Artifical Intelligence,AI)的底层模型是神经网络。神经网络具有学习性,面对复杂的无人船网络环境,能够快速适应并从中学习,对无人船网络进行监测和管理。目前人工智能已经在商业海运领域获得了可观的投资和关注,通过将AI应用程序安装在无人船上,检测识别各类网络安全威胁。AI基于机器学习的分析引擎,能够更好地处理模糊、非线性、海量数据,通过对不同数据类型的大量数据进行聚合、分类、序列化,大大提升船舶安全检测效率、准确度和自动化程度[41]。
在无人船网络信息安全领域,通过收集到的大量数据训练出合适的AI模型,实现入侵的快速感知和响应。文献[42]提出了一种优化改进的Elman神经网络算法实现网络安全的态势预测。文献[43]提出了一种改进概率神经网络的安全态势评估方法,建立了基于改进概率神经网络的安全态势感知模型计算态势值,对系统的状态进行评估。
近几年,人工智能迅猛发展。随着互联网、大数据及云计算等更新进程不断加快,产生的数据呈指数级增长。人工智能的最大优点之一是能够快速地处理大量数据,在应对无人船网络信息安全方面潜力十足。人工智能未来有可能在防御和进攻方面彻底改变无人船网络的安全性。