前言

广域信息管理系统（System Wide Information Management, SWIM）被国际民航组织（International Civil Aviation Organization, ICAO）认定为航空交通运输运行数据的共享机制。美国下一代航空运输系统（Next Generation Air Transportation System, NextGen）和欧洲的单一天空空中交通管理研究计划（Single European Sky Air Traffic Management Research, SESAR）均采用SWIM构筑统一、灵活、高效的信息共享架构，作为实现航班运行数据共享与交换的基础设施。SWIM是信息化整合的下一代空中交通管理（Information-based ATM integration）的核心，它是一个高度集成的大规模网络系统。SWIM采用面向服务的体系结构（Service Oriented Architecture, SOA），将全球航空国的空中交通管理（Air Traffic Management, ATM）系统、航空机场、航空公司进行信息化集成，并连接在一起。通过SWIM，可以实现民航不同应用系统之间数据的无缝交换，确保航空机场、空管单位、航空公司等相关民航运行单位的相关数据安全、有效和及时地共享和交换，实现民航协同决策（Collaborative Decision Making, CDM），保障航空交通运输安全高效地运行。

SWIM在支持民航运行系统之间互联互通的基础上重点关注两个方面。

（1）数据共享。基于面向服务架构的民航航班运行数据交互，达到全国/全球航空交通运输信息的共享，为航空交通运输的一体化运行提供服务。

（2）信息安全。ICAO各个成员的航空运行信息，特别是涉及国家空域规划、航空机场和航空公司商业信息的内容，属于各个国家的机密和企业的隐私，需要提供特别的数据安全和隐私保护措施。

航班运行数据是指航班运行过程中民航监管部门、民航局运行监控中心、航空公司、机场公司、空管系统等服务保障单位生产和获取的航班运行、安全和服务保障等数据，包括航班计划、航空器信息、空域资源、机场资源、航班动态、地面保障、客货信息、机组信息、运行态势、流量管理、告警信息、机场视频、品质分析以及其他为航班运行提供保障和服务的运行数据。

上述数据涉及国家空域的机密信息和航空公司的商业隐私。各国民航用户担忧涉及自己国家航空领域的机密信息在SWIM上共享时被泄露；航空公司顾虑商业隐私在SWIM上共享时被泄露。这些问题成为阻碍航班运行数据在SWIM上共享的最大障碍之一。因此，实现全方位的、深度的航班运行数据共享的最重要的问题是防止数据泄露和做好隐私保护。

本书根据航班运行数据具有多授权管理（航空公司、航空机场和空管单位等）和业务外包的特点，兼顾SWIM信息共享和信息安全，提出采用基于属性加密（Attribute-based Encryption, ABE）等方法实现SWIM共享数据的细粒度访问控制，达到航班运行数据共享的数据安全和隐私保护的目的。

1. 背景和意义

民航信息系统与网络从来就不是完全隔离、封闭的“信息孤岛”，而是一个多源异质、开放的“信息池”。因此，民航信息系统面临巨大的信息安全威胁。早在1996年，ICAO的航空电信网（Aeronautic Telecommunication Network, ATN）信息安全工作组就指出“通过数据链传输的空中交通管理信息数据都存在被修改（Modification）、重放（Replay）和伪造（Masquerade）攻击的风险”，并且指出“所有CNS/ATM（Communication Navigation Surveillance/Air Traffic Management）的应用都容易遭受分布式拒绝服务（Distributed Denial of Service, DDoS）攻击”。

2017年9月6日，国内23家民航运行单位签订数据共享协议，其目的是促进民航运行资源的有效利用和协同决策，提升运行信息监控能力。为了保障中国民航局推行的航班运行数据共享的专项任务，本书研究团队从航班运行数据共享和信息安全的角度出发，研究面向航班运行数据共享的数据安全和隐私保护关键技术，具有重要的研究意义。具体体现在《中国民航航班运行数据开放管理办法》中强调的两个重要问题。

（1）标准统一。坚持“一数一源”确保运行数据权威性，统筹建设航班运行数据开放资源目录体系和数据交换标准。采用细粒度访问控制技术，SWIM提供一种有效的方式来构建一个动态的、灵活的运行环境，从而提高航班运行数据的精确分类（灵敏度），改善运行监控系统的互操作性。针对民航全系统跨域、跨层数据传输和共享，基于属性的加密机制能够灵活地表示访问控制策略，从而很大程度地降低了数据共享细粒度访问控制带来的网络带宽和发送节点的处理开销，增强了用户之间的数据共享能力。并且，利用属性机制建立民航运行数据共享与服务平台的管理与运行模式，为基于网络化的机场协同决策（Airport Collaborative Decision Making, A-CDM）提供数据共享技术解决方案，极大提高了数据的完整性和准确性，能够根据用户需求提供价值更高的数据资源，同时有效降低了因数据资源目录调整而导致用户需要重新修改系统程序的工作量。

（2）依法适用。对开放数据资源进行合法、合理使用，不得滥用，不得泄露国家秘密、商业秘密和个人隐私，切实维护数据资源主体的合法权益。基于属性加密机制以属性为公钥，将密文和用户的私钥与属性相关联。在属性加密系统中，授权机构分配的私钥与属性集合密切相关，而密文则与属性方程密切相关。只有属性与方程匹配时，民航用户才可以成功解密密文。所以，基于属性加密的SWIM共享数据的细粒度访问控制技术可以增强航班运行数据共享的安全性，保障航班运行数据的安全和提供隐私保护，从而打消各民航用户国的顾虑，保证SWIM在安全的基础上实现互联互通，成为一个真正安全的航班运行数据的信息池。

因此，研究基于SWIM面向航班运行数据安全共享和访问控制技术是一项既有研究价值又具有广泛应用前景的课题。

2. 目标

空中交通管理信息化建设已进入全面推进和快速发展的重要时期。空中交通管理信息系统规模庞大，涉及应用多，用户广，业务依赖程度高，对信息安全保障体系提出了更高的要求。因此，建立空中交通管理信息安全保障体系，对空中交通管理信息系统实施有效的安全保障是下一步信息化建设的重点。

空中交通管理信息安全是一个系统性概念，它包括空中交通管理设备安全、自动化管理系统安全、各种航空数据安全、网络通信安全、人员管理安全、环境安全几个方面。安全策略、防护、检测和恢复响应组成了一个完整的动态的安全循环，在安全策略的指导下保证空中交通管理信息系统的安全。因此，本书的目标主要聚焦在以下几个方面。

（1）民航共享型多数据拥有者安全认证和授权

航班运行数据属于典型的多数据拥有者（民航单位和部门）。2017年9月，民航运行监控中心、空管局、航科院及主要航空公司和机场共23家单位签订了《中国民航运行数据共享协议》。随着航班运行数据共享工作的推进，更多的民航单位将会加入共享协议，所以，航班运行数据属于典型的多数据拥有者场景。针对共享型多数据拥有者场景，即一个业务数据或文件被多个数据拥有者拥有，已有的可搜索加密方案不能同时支持密文检索和细粒度访问控制。因此，研究面向SWIM的航班运行数据共享的细粒度访问控制方案，采用多数据拥有者认证的密文检索方法，即数据用户只有得到多个数据拥有者的授权才能获得授权访问数据，从而达到航班运行数据共享安全访问的目的。当签署共享协议的民航单位数量增加或者民航业务数据种类和数量增加时，本书研究的访问控制方法可以灵活适应任意场景，并提供安全认证服务。所以，随着签署共享协议的民航单位增加，本书研究的访问控制方法的应用会越加广泛。

（2）民航大型信息系统的应用

民航是信息化高度集成的行业，有着类似值机系统和机场协同决策（A-CDM）系统这样依赖共享数据的大型信息系统，特别是A-CDM系统，更是中国民航重点推行的工作。民航局空管局2018年12月29日签发民航明传电报《关于在国内27个机场试点开展CDM信息数据链点播服务有关工作的通知》（局发明电〔2018〕3608号），定于2018年12月29日00:00（北京时间）开始提供CDM信息数据链点播试点服务，提供航班计算起飞时间（Calculated Take-Off Time, CTOT）和计算撤轮挡时间（Calculated Off-Block Time, COBT）数据链查询。电报中规定了7个民航地区管理局试点的27个机场。

A-CDM系统非常依赖共享数据，而这些共享数据的来源就是航班运行数据。因此，基于属性加密的航班运行数据共享访问方法可以在全国7个地区管理局的27个A-CDM系统中应用。

另外，从数据安全和隐私保护的角度，基于属性加密的航班运行数据共享的访问控制主要在保证其信息不泄露的情况下，防止非授权的实体对SWIM信息进行非法访问，并保证系统的可用性。具体表现在以下方面。

（1）保护航空交通运输业务数据的机密性：共享数据只向授权用户开放，避免重要数据的外泄和用户隐私的泄露。

（2）保护航空交通运输业务数据的完整性：共享数据只能被授权用户在权限范围内进行修改，避免数据被非法篡改。

（3）保护航空交通运输业务系统可用性：SWIM对合法用户提供连续的业务服务，避免出现对授权用户的拒绝服务。

（4）保证航空交通运输业务系统的不可抵赖性：SWIM的授权用户对自己的行为负责，不能否认自己的行为。

上述特点恰好满足《中国民航航班运行数据开放管理办法》中的要求：①对共享数据“依法使用”——不得泄露国家秘密、商业秘密和个人隐私；②共享数据“标准统一”——坚持“一数一源”，确保运行数据权威性。

SWIM所提供的高效的数据交换机制，能实现各民航相关单位基于信息化技术的协同运行与决策。因此，研究航班运行数据共享访问控制方法有助于通过SWIM与应用系统的连接和信息交互对不同来源的异质数据进行汇聚和派发，实现ATM业务信息的安全共享与交换，具有广泛的应用前景。

3. 内容安排

全书共11章，具体内容如下。

第1章为绪论。该章主要介绍SWIM信息安全保障的背景和意义；分析了国际和国内SWIM信息安全保障方面的研究现状和发展动态；分析了SWIM面临的安全威胁，并阐述了SWIM信息安全保障措施的设计。

第2章主要介绍了SWIM核心服务与业务流程，包括：SWIM的消息服务、安全服务、接口管理、企业服务管理等，以及SWIM订阅/发布服务的工作流程。

第3章主要介绍了SWIM适配器设计与实现，包括：方案设计、数据模型、服务接口、适配器实现流程和实验仿真及结果分析。

第4章为SWIM安全网关中授权服务和访问控制的设计与实现。该章主要介绍SWIM信息共享的授权服务设计和实现，以及SWIM共享信息访问控制方案的设计和功能的实现，并对授权模块和访问控制模块的性能进行了测试和结果分析。

第5章为基于属性加密的SWIM授权服务和访问控制方法的研究。该章主要介绍了SWIM基于属性的授权服务、基于属性的访问控制、SWIM中属性定义和访问结构，以及基于KEK树的属性撤销方法，并对属性访问控制进行了实验仿真及结果分析。

第6章为基于属性密码的SWIM授权方法。该章主要介绍了基于属性的SWIM授权的相关定义、SWIM属性授权体系结构，并进行了属性授权的适应性和安全性实验验证与分析。

第7章为基于Diameter协议的SWIM认证架构。该章主要涉及Diameter协议在SWIM中应用的适用性分析和基于Diameter/EAP协议的SWIM认证架构设计与实现，并对协议进行了实验仿真和分析。

第8章为基于SWIM Web服务应用的统一身份认证。该章主要介绍了SWIM安全认证需求分析、SWIM安全认证总体框架设计和SWIM统一身份认证框架关键技术，并进行了实验测试与分析。

第9章为基于SSL协议的SWIM用户交互认证。该章主要介绍了SSL协议在SWIM中应用的适用性分析，给出了基于SSL协议的认证和基于SSL协议的双证书认证，并对设计的协议进行了实验仿真和分析。

第10章为基于分组过滤的Web防火墙。该章主要介绍了SWIM Web防火墙的总体设计和关键技术，并对设计的防火墙进行了系统测试与结果分析。

第11章为SWIM Web防火墙中DDoS攻击防御技术设计与实现。该章首先分析了SWIM用户行为，在此基础上研究了一种基于隐半马尔可夫模型的DDoS攻击检测方法，设计了防御系统总体框架，并对检测和防御两部分功能进行了实验测试和结果分析。

4. 本书特色

本书研究的是将种类繁多、异质多源的航班运行数据在SWIM中进行细粒度属性划分，形成属性关联方程，在属性加密方案的基础上，实现基于属性加密的航班运行数据细粒度访问控制方法，为SWIM中共享的数据安全和隐私保护提供技术支持，具有控制精度高、信息交换量小和实施性强的特点。因此，本书的最大特色是设计SWIM广域分布、复杂网络环境下跨网访问控制策略和SWIM的跨网、跨域授权管理，实现基于SWIM的航班运行数据共享的细粒度访问控制，保障SWIM共享数据安全和隐私保护。

本书具体的技术特色如下。

（1）属性加密技术

属性加密可以提供数据的私密性和访问控制的灵活性。本书将航班运行数据共享属性细致划分，采用属性关联手段，以航班运行数据共享属性为公钥，将SWIM密文和民航用户的私钥与属性关联, 实现基于属性加密的航班运行数据共享细粒度访问控制，即使对于SWIM中的加密数据也能实现细粒度的访问控制。在属性加密中，可信任的授权中心（Certificate Authority, CA）分配的私钥与航班运行数据共享属性集合相关，而航班运行数据密文则与属性方程相关。基于属性加密的航班运行数据共享访问控制可以减少数据共享细粒度访问造成的网络带宽和计算资源的消耗。

（2）多数据拥有者认证的密文检索技术

基于航班数据属性共享和可搜索加密技术，研究高效的多数据拥有者认证的密文检索技术。航班运行数据用户只有得到多个航班运行数据拥有者的授权才能解密得到返回结果（即可以访问航班运行数据）。该项技术包括以下3个功能。①航班运行数据隐私安全。保护航班运行数据文档集、索引集和对称密钥集的隐私安全，且航班运行数据服务器通过统计分析无法获得密文中的相关明文信息。②航班运行数据拥有者隐私安全。只有经多数据拥有者（民航业务单位）认证的数据用户才能访问航班运行密文数据，并且非法的数据拥有者或合谋的数据拥有者无法伪造合法的授权。③数据用户隐私安全。非法的数据用户无法生成有效的陷门去访问航班运行数据中的敏感信息，且航班运行数据服务器无法获得陷门中的明文关键字信息。

（3）多授权中心访问控制技术

建立基于属性加密的航班运行数据多授权中心访问控制模型，在航班运行数据服务器上以属性名形式存储属性全集信息。当SWIM民航用户访问航班运行数据文件时，根据按需分配的原则分配密钥，增加读写属性，加强航班运行数据发布方对文件的访问控制。该项技术包括：①基于密文策略的属性加密（Ciphertext Policy Attribute Based Encryption, CP-ABE）方法；②航班运行数据多授权中心的属性加密方案；③授权中心环境下的最小化航班运行数据属性分组算法。

5. 阅读建议

在阅读本书时，建议先从信息共享和访问的身份认证、安全授权和访问控制的概念和原理了解，逐步掌握民航信息数据安全共享的思路和流程；然后，熟悉通过SWIM连接的航空机场、航空公司和空中交通管理系统的工作方式和系统组成，掌握航空交通运输系统信息安全保障的具体要素和需求分析，了解SWIM共享信息安全保护的基本方法；最后，通过数据采集、属性定义、授权策略、访问控制策略及模型设计，以及访问控制算法和方法的确定，进行航空交通运输系统的信息数据安全共享的实践。

本书是中国民航大学电子信息与自动化学院航空电信网及信息安全实验室的教师和研究生团队多年研究和开发的成果。本书内容是在国内首个航空安全领域博士点民航信息系统安全保障技术方向带头人吴志军教授领导的航空电信网及信息安全实验室全体教师以及他们指导的博士生、硕士生完成的研究成果（包括博士生和硕士生的学位论文、共同发表的学术论文、撰写的技术报告和申请的发明专利等）基础上整理完成的。参与本书研究工作的人员包括：雷缙讲师、岳猛副教授，刘亮助理实验员，以及潘登、赵婷、牛方超、王彩云、崔子涵、刘中、姜园春、刘轩、陈焕和周胜琰等研究生；特别是2016级硕士生周胜琰及2017级的硕士生崔博花等在本书的整理、编辑和校正等方面做了大量艰苦细致的工作，在此对他们表示衷心的感谢！在本书的研究中，得到了中国民航局空中交通管理局技术中心教授级高级工程师李欣主任和齐鸣总工程师的指正，在此表示衷心的感谢！

本书的出版得到了国家自然科学基金委与中国民航局联合基金（民航联合研究基金）培育项目（No.U1933108）、天津市自然科学基金重点项目（No.17JCZDJC30900）和中央高校基本科研业务费项目（No.3122018D007）的资助，在此表示衷心的感谢！

本书是一本针对航空交通运输系统信息共享的研究著作，对研究民航信息系统和网络的安全保障、管理和评估的技术人员具有一定的借鉴意义和参考价值。本书适合作为民航网络安全研究领域科研人员和网络设计工程人员的参考书。全书内容由浅入深，涵盖了民航重要信息系统安全管理和设计人员需要掌握的知识，也为读者更深入地掌握民航信息共享安全访问和控制技术，进行民航信息系统安全保护研究提供了参考。

由于作者水平有限，书中难免出现纰漏之处，恳请广大读者批评指正。

作者

2019年9月