在人工智能技术大潮的推动下，交通系统作为一种典型的信息-物理系统(cyber physical system，CPS)，也正在朝智能化和数字化方向快速迈进．智能交通在道路和车辆领域的进展几乎是人所共知的，其中无人驾驶技术无疑是集各类智能技术于一身的焦点应用．无人驾驶概念最初由特斯拉公司提出，时至今日，车辆的无人驾驶技术已经愈加接近于实用，如创始于Google的Waymo公司研制的无人出租车已积累了数百万公里的实际道路驾驶经验[1]．与此同时，在水上交通运输领域，自主或无人驾驶的技术变革同样也在唤起最初的萌动[2]．2012年，欧盟第七框架研究计划的MUNIN(maritime unmanned navigation through intelligence in networks)项目启动，该项目首次以无人散货船为对象开展了大型自主货物运输船舶的研究[3]．2016年，Rolls-Royce公司发起AAWA(advanced autonomous waterborne applications)项目，旨在研究如何基于现有技术，解决自主或者遥控航行船舶在推进、甲板机械、自动控制方面中的关键问题，促进自主航行船舶的商业化运行[4]．在AAWA项目之后，无人渡船SVAN、无人集装箱船Yara Birkeland等项目相继开展实施验证[5]．自主船舶技术的持续发展受到国际海事组织(International Maritime Organization，IMO)的关注．2018年，IMO的海事安全委员会签署了对海上水面自主船舶(maritime autonomous surface ship，MASS)的监管范围界定[6]．IMO将智能驾控水平超过传统常规船舶且具有一定自主航行能力的船舶划分为四个级别，包括从初阶的有限自主航行直至高阶的纯自主航行[7]，统一称为AL0-AL4．同时，世界海事大学的研究表明，2040年全球自主航行船舶的比例将达到15%左右[8]．然而，信息安全方面的挑战将成为交通领域内自主技术走向成熟化的过程中必须面对的问题．当自主系统逐步从单体演化为群体，它们之间形成的信息空间也日渐明显．信息空间一般指信息环境中各类要素构成的一个整体域，由独立或互相依存的信息基础设施和网络实体组成．大量网络实体的存在，使得信息空间表现出社会特性，而其中的安全和治理问题已初露端倪．以网联汽车为例，腾讯公司的实验室在2016年宣称，利用安全漏洞对特斯拉汽车进行无物理接触远程攻击，实现了对特斯拉驻车状态和行驶状态下的远程控制．又如在2018年12月—2019年1月期间，英国伦敦盖特威克和希斯罗机场分别遭受有组织的无人机攻击．由于无人机恶意飞行，两家机场共计取消1 000余次航班，14万余名乘客的行程受到影响，机场运营方不得不在机场周边搭建针对无人机的电子攻击系统[9]．上述案例虽然没有发生在水上交通领域，但仍然给未来自主船舶的运营安全提出了警示．不仅如此，这些案例还反映了信息空间中攻击形式的递进性，即当一个实体若不幸成为某次攻击的被攻陷者，这个实体更可能进一步被用作工具向其他正常实体发起攻击，这种攻击既可以是信息空间中的，也可以是实际物理空间中的．此种条件下，将信息空间中的攻击转化为实物空间中的攻击，只取决于攻击者的意愿．1 问题背景1.1　服务于常规船舶航行的基础通信技术VHF/AIS和Inmarsat卫星通信一直是受IMO支持的水上近程和远程通信方式．而在一些特定的航行场景中，船载/岸基通信单元可以约定IMO认可之外的通信机制，譬如在内河水域，4G/5G公众网络也常被用于船-船、船-岸数据传输．VHF通常指工作于30～300 MHz频段的无线电广播系统．从20世纪初期开始，VHF几乎成为海事通信的首要手段．为了能将船舶航行的态势告知给临近船舶或岸站，仅用语音通信显然无法胜任，为此ITU(国际电信联盟)/IMO在VHF频道中选取87 B和88 B用于船舶自动识别系统(automatic identification system，AIS)报文的广播，其中AIS报文携带了船舶的实时运动参数和若干静态信息[10]．相较于语音通信，AIS是一种在VHF之上的数字通信业务．AIS较低的传输速率无法承担大块数据在两个通信实体之间的实时交换．尽管如此，AIS仍然是海上语音通信极为重要的补充，因此2004年以来IMO强制要求大多数船舶安装使用[11]．2006年以来，国际航标协会(IALA)和IMO共同提出了E-navigation概念并着手在各个成员国试点实施．E-navigation中的一个重要举措是促进利用VHF传输更高速的数字信号，由此推出了VDES技术[12]．VDES旨在部分整合ITU《无线电规则-附录18》为水上移动业务分配的频带，除了保留和向下兼容目前已经被广泛使用的AIS频道外，聚合了一系列传统频道用于几类专门应用，包括远程(星基)AIS、特定应用的消息(ASM)、地基VHF链路(VDE-TER)和星基VHF链路(VDE-SAT)等．在理想测试条件下使用合适的带宽和调制方法，可以让两点在近100 km的开阔水域达到200～300 kbps的传输速率[13]．目前，VDES的技术方案尚在ITU/IALA的引导下开展密集的讨论，距离大规模商用还需要时间．Inmarsat是远海航行中进行远距离通信的高质量解决方案．依靠十余颗地球同步轨道卫星，Inmarsat船载设备可以作为船舶与外界语音和数据通信的接入点．与前述VDES不同，Inmarsat支持基于网际互连协议(IP)的通信，使得远洋船舶可以透明地接入全球因特网，成为因特网上的移动终端节点．除Inmarsat外，全球范围内多个卫星通信运营商也能通过甚小口径卫星终端(very small aperture terminal，VSAT)为海事/船舶提供远程数据连接．1.2　现有海事通信的安全顾虑由于Inmarsat通信使用成本较高，当前常规船舶的通信量构成中，AIS和VHF语音仍然占比最大，从信息安全的角度出发，通信方式存在如下不足．a．在基于VHF实时语音的呼叫和应答中，通信双方均不怀疑对方身份的真实性，通信的参与者用自然语言来报告自己所代表的实体，如船舶、机构等，对彼此身份的确认及通话内容的真实性也基本建立在自律的假定之上．b．AIS报文播发遵循ITU/IEC(国际电工委员会)规定的格式和通信规程，但是AIS内容本身并没有严格的审核和鉴真机制，一般情况下通信各方都假定AIS报文的内容是真实可信的．纵然发现了错误(或部分错误)的AIS报文，报文上所标称的发送方也可以不承认AIS报文是其播发，即AIS报文不具有不可否认性．c．VHF语音和AIS报文都是在数据层面上不可溯源的广播．现行的VHF广播信号，包括语音和AIS数据，均不携带播发设备的硬件标识；同时，播发的信号能在一定范围内被任何通信参与者收听，而接收方无法辨别其接收信息的来源．d．VHF语音和AIS报文内容为明文传输，在电波覆盖区域内公开播发．从该项技术演进历程来看，内容的明文播发也许就是其初衷，即这些信息被认为确须公开，从而并不构成大的安全质疑．但应该看到，若自主航行的船舶间须要设计某种专门应用用到非公开的信息传输，现有的VHF/AIS技术就从根本上难以适应此种假设．1.3　自主船舶航行对通信技术需求的变化MASS作为一种方兴未艾的交通形态，将引导船舶的通信方式产生深刻的变革(图1为MASS系统的架构和典型通信场景)．现有常规船舶所采用的通信技术，将在MASS系统的应用中呈现显著的分化．究其原因，仍然是由MASS的运行架构和通信需求决定的，具体表现在如下几个方面．10.13245/j.hust.230205.F001图1MASS系统的架构和典型通信场景a．岸基操控作为自主船舶驾驶的一个重要方式[14]，对船-岸的远程通信质量提出了较高的要求．一方面，船-岸通信会包括船舶航行和动力系统运行的各类密集数据流；另一方面，船岸通信会涉及对船舶的控制，从而需要良好的实时性．这种需求意味着船-岸通信要达到因特网数字专线的服务水平，包括带宽、时延和抖动等．b．非语音信息将成为船-船或船-岸之间通信的主要流量[15]．在自主船舶中，船上自然人须承担的驾控任务将随着自主程度的上升而降低，借助人类自然语言的船-船、船-岸信息互通将逐步让位于数字化的信息和指令交换，因此传统的语音通信需求将在MASS系统中日益减弱．c．自主船舶系统的信息空间中，各个通信实体要有确定的身份标识和网络编址，并且须要维持两者的对应关系．此外，两个主体之间的通信或者通过物理上的信号直连，或者要经过多跳路由进行连接，以便支持自主船舶航行中监管、查询、协商等运行期业务可能引起的多主体间贯序式信息交换规程．d．航行于一定水域内的自主船舶为了就避碰、路径规划等事宜与周边船舶进行信息交换，须要建立临时专用(Ad hoc)网络．这种专用网络呈现明显的机会性，这种机会性不仅表现在网络连接关系上，还表现在成员间的空间位置上．为此，自主船舶须要制定介质访问控制(MAC)和网络层上的通信协议来支持组网．图1中船舶远程驾控中心(shore control center，SCC)是IMO定义的L2和L3级自主船舶航行系统中特有的岸基设施．较多研究表明，SCC支持下的自主航行将是未来智能船舶发展的一个必经阶段[16]．2 自主船舶通信中信息安全基本要素2.1　经典信息安全的方法与实践狭义的信息安全理论是一套根植于密码学的方法体系，其中最基础的问题包括数据的私密性、完整性和抗抵赖性/鉴权[17]．随着计算系统广泛应用于生产和生活中，广义的信息安全涵盖了设备安全、数据安全、内容安全和行为安全等诸多方面，针对信息系统中任何恶意行为的防范措施，也都被纳入广义的信息安全．对称加密、非对称加密和散列函数是现代密码学的几个支柱性理论．其中对称加密用于保障大数据量分发的私密性；非对称加密用于解决数据的抗抵赖性和用户身份识别，包括鉴权和授权等操作层面的活动；散列函数主要用于解决数据的完整性检验．这些方面的研究成果有效地回答了前述信息安全的几个基本问题，其中一些成熟的方法已经被固化为网络协议，如IPSec和SSL/TLS等，得到大规模商业应用．非对称加密是信息安全领域内尤为引起研究者兴趣的问题．RSA[18]，ElGamal[19]及椭圆曲线[20]等非对称加密体制先后被提出并迅速转入工程应用，由此促进了各类签名机制的设计，包括盲签名、群签名/门限签名等．在签名机制的基础上，研究者继而探索多方加密协议的设计方法，零知识证明[21]、数字承诺[22]等方案不断涌现，这些研究有力地支撑了近十余年来快速兴起的区块链技术[23]．2.2　MASS系统中通信的脆弱性自主船舶及支持其运行的基础设施无疑构成了一个综合而复杂的计算系统．就一般意义而言，由于系统足够复杂，且包含大量行为不受控的用户，因此系统内的信息安全问题必然存在．而自主航行场景下特有的信息安全问题更引起研究者的兴趣，尤其是船舶会遇、海事监管等涉及多方通信的场景．为此，聚焦自主航行过程中关键场景的信息交互，认识其中信息安全隐患更具体的表现形式，为建立相应的防范措施提供启发．a．实体身份求证在非语音的通信环境中，一个硬性的需求就是在任意场景下，船-船、船-岸实体间的通信中双方能确信对方是自己想要通信的对象，并且他的身份是真实的．这实际也反映了自主船舶系统信息空间中最基本的问题，即实体的标识、地址及寻址．在因特网中，有足够的协议能让用户通过域名找到某个计算单元并与其发生通信，而身份的保证则是通过证书和公钥基础设施等信息安全架构来完成的，但这些机制在自主船舶的信息空间中尚未形成．从已有的网络安全案例来看，基于身份的攻击是一类最容易施展的恶意行为[24]．b．点对点的可信通信如前所述，基于VHF技术的通信本质上是广播且不支持路由．VDES尝试支持一定的单播通信，但现有关于单播的讨论仍然局限在VDES的卫星链路上．即便在有效射频范围内，海面上实现任意两点的单播通信也是复杂而困难的，而节点间网络层路由技术目前还未在VDES内获得支持[25]．在船舶自主航行背景下，船-船、船-岸的通信中将携带大量的私有信息，如控制指令、航线计划等，现有常规船舶航行的通信中这种全公开、全广播的通信模式与自主航行的通信需求不符，因而支持点对点的编址通信将成为自主航行必须引入的技术．此种条件下，通信的加密、签名和内容校验也将成为海上可信通信的必备选项．c．水上Ad hoc组网安全自主船舶航行过程中形成的船-船、船-岸互联网络是一种移动自组织(mobile Ad hoc)网络．Ad Hoc网络最初旨在小范围内建立一个协作、自治的无线网络用于承担某一特定任务，因此早期的研究工作中假定每个节点都是“诚实”的．然而，一旦恶意节点混入Ad hoc网络，安全问题就变得不可忽视．在车联网领域，车载自组网(VANET)或智能网联汽车(CAV)中的信息安全问题已引起了研究者的关注，其中典型的攻击行为包括信息欺骗、伪造和拒绝服务等[26]．VANET/CAV中的信息安全问题可能会出现在船联网中；同时，由于自主船舶航行的Ad hoc网络环境具有移动性、开放性和稀疏性等特征，具有对抗或自私行为的实体可能在Ad hoc网络的转发/路由方面采取攻击行为，阻碍网络的顺利工作．2.3　自主船舶航行系统的信息空间安全框架结合前述分析并参考网络分层观点[27]，图2描述了自主船舶航行系统中信息空间安全的实现框架．总体而言，自主船舶航行系统的信息空间安全须要在数据层、网络层和表现层三个层面实施．数据层的安全主要涉及传统信息安全方法对数据的保护；网络层的安全问题主要涉及船舶Ad hoc组网中潜在的攻击和恶意行为；表现层安全主要涉及借助船舶间的社群特征来建立某种机制以遏制或防范不规范行为．10.13245/j.hust.230205.F002图2自主船舶航行系统中信息空间安全的实现框架在开放式通信系统互联参考模型(OSI)的7层模型中，数据层(包含会话层、表示层和应用层)和网络层是两个熟知的概念．这两层的信息安全主要通过数据加密、安全路由协议等硬技术来实现．相对于数据层和网络层，表现层可以看作是一种借助软技术实现的安全．它的涵义在于对信息空间中实体的行为表现进行监督，因此更倾向于一种秩序上的约束和治理．图2所示的框架旨在让自主船舶航行系统的信息空间安全既涵盖传统信息安全意义下的信息保护，也包括对个体/群体行为规范性的管控．3 MASS系统中的信息安全风险3.1　可预见的网络攻击风险及其防控措施若不对现有的海事通信技术在信息安全方面采取有针对性的防范措施，当MASS系统达到一定规模时，将难以抵御来自恶意用户的攻击和骚扰，几种易于施展的攻击情形如下．a．如姬盗符．若岸基以明文、广播方式对船舶进行远程驾驶，攻击者将会侦听到船-岸之间对话．通过分析这些明文对话，攻击者可以播发伪造报文来操控劫持受骗的自主船舶．b．瞒天过海．恶意船舶截取到合法船舶的身份信息，并与自身的动态信息拼接在一起对周边进行通告，利用虚假身份通过特定管制的水域，该行为类似道路交通中的套牌车辆．c．嫁祸于人．恶意船舶对周边船舶分别实施位置欺骗，通过构造不实信息诱导其他船舶产生错误决策，由此导致他船之间发生碰撞事故或者紧迫局面，此种攻击行为目的是在特定水域制造混乱．d．烽火戏诸侯．恶意船舶无中生有地播发异常情况的通知消息，造成岸基或周边船舶对特定海域内交通或安全态势产生错误评估，从而为施展其他攻击行为创造机会．面对正在快速发展的自主船舶系统，一些有较大技术影响力的机构及研究人员已开始着手为自主船舶的信息安全构建体系化的需求框架．DNV-GL发布的研究报告中系统地描述了自主船舶控制系统组件的安全需求[28]．Inmarsat在2020年发布的信息安全研究白皮书中认为，信息使能的船舶中，信息安全问题实际上是一种特殊的人为因素[29]．2017年6月，IMO安全委员会通过了428(98)号决议《安全管理系统中的海事信息风险管理》[30]，决议支持的《国际船舶安全营运和防止污染管理规则》(ISM规则)要求船东和管理人员评估网络风险，并自2021年1月起在安全管理系统的所有功能中实施相关措施．这个决议提供了有关海上网络风险管理的高级建议，以保护航运免受当前及新出现的网络威胁和漏洞，包括支持有效网络风险管理的功能要素．上述建议可以纳入现有的风险管理流程，并补充IMO已经建立的安全和安保管理实践．作为技术上的配套，《海事网络风险管理指南》(MSC-FAL.1/Circ.3)也同步由IMO发布[31]．3.2　与车联网关于信息安全的类比和对比在自动驾驶/无人驾驶的技术牵引下，智能车辆的研发工作在过去十余年取得了突飞猛进地增长，也吸引了来自学术界的巨大研究热情．随着对车联网研究的深入，车联网的信息安全受到高度关注，并涌现了大量的研究成果[32]．相对于汽车在智能化方面的发展，智能/自主船舶的发展一直处于跟随状态．在现阶段，MASS系统的信息安全问题虽受到海事领域中头部厂商的关注，但是限于智能船舶自身的技术成熟度和普及度，相关的研究工作仍须参考智能车辆领域的研究与实践．就原理而言，智能网联车辆在信息空间所面临的风险和挑战无疑可以对照地适用于自主船舶，但由于自主船舶系统在技术架构与智能网联车辆仍有较大差别，它们各自在信息空间中须要应对的安全威胁也呈现不同的特征．a．车辆/船舶驾驶的后台支持程度．自主船舶航行较多地依靠岸基的控制和决策，而智能网联车的决策主要由车辆自身及时计算完成．这意味着，自主船舶须要对来自岸基的操控信息进行严格鉴别．b．机会性相遇的车辆/船舶身份归属差异．由于自主船舶的跨域移动性远高于智能网联车，因此自主船舶更易于与域外身份的船舶相遇并发生信息交互．绝大多数智能网联车在移动范围内，其在管理机构集中注册的身份通常可以互认；而对于自主船舶而言，它们航行途中相遇的其他船舶，其注册身份往往难以被识别．这意味着自主船舶之间的身份认证需要有较健全的数字保障．c．车辆/船舶自组网的架构．智能网联车系统中，路侧单元(road side units，RSU)是重要的基础设施，但在自主船舶系统中缺乏这一要素，取而代之的是距离船舶较远的SCC．这意味着船-船之间的数据交换不能借助周边的静态数据锚点来完成，只能通过建立动态自组网来进行．d．车辆/船舶自组网拓扑的变化速度．对于CAV而言，由于车辆移动速度通常较快，且V2V通信的范围较小(一般不超过1 km)，这使得VANET的结构一直处于高速变化过程中．而在MASS系统中，由于船舶移动速度相对于组网的水域范围并不算快，因此就MASS船舶之间形成的Ad Hoc网络而言，其结构变化的速度远低于VANET．这种条件表明，船-船之间的信息交换能够有更充裕的时间．注意到，从自组网的角度看，上述特征中的c和d呈现因素间的互相消长作用．c说明智能车辆间互联可以获得路侧基础设施的支持，而d说明由于车辆间较快的相对速度和较短的通信范围，车-车互联的时间窗口会较为短暂．相应地，对于这两个因素，船舶联网的情形与车辆则是相反的．表1为自主船舶信息空间易遭受的典型威胁或攻击及其施加方式，其中，代表文献中含车联网领域的相应工作．事实上，由于目前自主船舶尚处于发展初期，较多的威胁种类并未发生实际的案例，因此表中列出的各种威胁和攻击形态主要类比地来自网联智能车领域中的研究工作．但文献[33]开展了一项很有启发性的工作，让一艘小型无人水面艇(USV)做靶船，并对其实施网络攻击，包括劫持和重放等．该项工作的预示意义大于具体的技术实现，因为它告诉海事领域的研究者，如果忽视智能船舶的信息空间安全，那么未来很有可能出现数字海盗作乱的现象．10.13245/j.hust.230205.T001表1自主船舶信息空间易遭受的典型威胁或攻击及其施加方式安全层级可能遭受的安全威胁/攻击类型攻击原理抵抗措施代表文献数据层安全船舶劫持攻击者通过分析控制指令获得对船舶的远程控制权船岸通信加密身份认证[28]，[33]网络窃听攻击者分析船-船、船-岸通信中的内容，获得私密的信息加以利用船岸通信加密、密钥更新[34]身份伪造/角色扮演MASS系统中恶意实体通过变换身份来向其他发布诱导或虚假信息，使受害者无法依照身份查验或追诉身份认证公钥基础设施[35]毒性信息注入构造虚假有害的信息投送到海事或船载系统的传感器，使其做出错误决策从而导致不可预知后果探测/传感设备的数据保护使用可信的加密传感信号[36]重放攻击截取有效的网络通信报文并重复向目标实体发送，导致目标实体处理信息的状态紊乱或者无法接收最新信息加强信息传输协议的健壮性[37]中间人攻击恶意实体插入两个试图建立通信的实体中间，作为代理人双向联系身份认证公钥基础设施、通信加密[38]女巫攻击恶意实体创建多个替身，在MASS系统中制造虚假势力身份认证公钥基础设施[39]网络层安全拒绝服务/洪泛产生大量的网络流量导致目标无暇响应或者通信链路超负荷异常检测、入侵检测[40]路由攻击(黑洞攻击、虫洞攻击)采用构造虚假路由，引导正常的船舶间数据传输到攻击者或被其控制的节点，切断正常船舶在自组织网中的数据传输途径自组网可信路由算法[41]表现层安全双面人攻击MASS系统中的实体穿插地表现不良(良性)行为，扰乱其他实体对其产生准确评价建立健全的信任机制[42]坏嘴巴/好嘴巴攻击系统内恶意实体虚构其他实体的不良(良性)行为并广为推送建立健全的信任机制[43]虚假信息散播恶意实体在系统内散播伪造信息建立健全的信任机制[44]3.3　自主船舶内部网络及其安全问题如前所述，MASS系统须要面临大量来自外部的信息安全挑战．但信息安全因素同样会来自船舶内部，自主船舶的内部信息网络也称为船载网络．对各级自主船舶而言，船载网络须要对船舶内的各个组件进行互联，让船舶成为集感知、决策和控制能力于一体的信息物理融合系统[45-46]．另一方面，L1/L2级别的MASS系统将有一段较长的发展和普及过程，因此有人值守的船舶会是人们考虑自主船舶信息安全问题时无法忽略的场景．这也意味着在更接近现实的技术条件下，自主船舶尚无法做到无人．如文献[29]所论述，由于这种场景的存在，船舶信息安全须要克服人为因素的影响．图3为船载网络的一种典型架构，反映了现有船载网络的主流设计模式，即船载网络分为控制网络和信息网络，并通过一个出口与岸基或他船发生大块的数据交换，图中椭圆形表示连接不同功能区域的链路．图3中区域1～6均属于控制网络．由于控制网络对于响应时间和同步时间有较高的要求，一般采用CAN(控制器域网)总线技术．而对于信息网络，由于通用信息设备需要IP网络，多采用常见的以太网来互联[47]．须要指出的是，图3显示的船载网络中，与外界发生数据交换的触点并不止卫星网关(区域7)，例如AIS和电台也能与外界发生低速数据交换．10.13245/j.hust.230205.F003图3船载网络的一种典型架构对于自主船舶的船载网络，其信息安全方面的威胁主要来自两个方面．a．敌视者对船载网络系统的蓄意入侵．这种入侵可以来自船舶外部，也可以是来自内部恶意用户(如心存不满的船员)．来自外部的入侵常试图穿过网络边界的网关(如区域7)建立非法网络连接进入网络内侧，而内部入侵则可有多种渠道使用户接触到网络内部的敏感数据．b．病毒等恶意软件在船载网络内的传播和攻击．当船员的移动设备没有受到有效监管时，移动设备可能从外部不安全的环境中被植入恶意软件并随用户带进船载网络．一旦被带入网络内侧，入侵检测系统对来自内网恶意行为的警惕程度往往不及防范外部入侵那样严格，从而更容易让恶意软件得逞．3.4　MASS信息物理系统中的可信问题随着船舶(或车辆)的智能化水平由单体智能走向多体智能乃至群体智能，交通系统所面临信息安全方面的挑战逐步超出了传统的信息安全定义．传统信息安全准则包含私密性、完整性和可鉴真性等，但这些准则无法保障系统的表现层安全．具体而言，在MASS系统中，实体之间的数据交互即使满足了这些安全要求，也无法保证某个实体是安全或者良性的．对于MASS这类复杂的信息-物理系统，从可信的角度来认识系统内实体的身份和行为，是深入研究信息空间安全问题必须迈出的一步．3.4.1　MASS系统中的网络信息空间自主船舶作为一类具有较高移动性的智能体，和岸基监管单元、驾控单元之间将形成一个网络信息空间．在这个信息空间中，上述物理空间的实体将投射成为信息空间的一个或多个身份符号，并借助通信协议及它们自身拥有的判断和决策能力成为独立的行为主体，如图4所示．10.13245/j.hust.230205.F004图4MASS系统信息空间可信性的原理信息空间中主体的行为与物理空间中主体的行为有较大差异．信息空间中没有传统的距离和位置概念，因而其中的主体并不存在位置意义上的移动性[48]．因此，自主船舶在传统物理空间内涉及安全的行为或事件，如船舶碰撞、搁浅、火灾等，在信息空间中并没有与之对应的情形．信息空间主体的行为主要表现在主体之间的交往，也就是基于某种既有协议的数据交换，这种数据交换可以是点对点的，也可以是多点之间的．尽管自主船舶系统中各类主体在信息空间和物理空间中的行为表现出截然不同的形态，但实质上两者都是其主体行为与意识反映．信息空间的行为通常是物理空间行为的延伸，并且服务于物理空间行为．譬如，两艘自主船舶在一片水域会遇，彼此交换自己的位置或航行意图，它们须要在信息空间中发生一系列交互，从而为船舶的航行或避碰决策提供依据．在此类情形中，信息空间中两个主体直接为一个具体的航行事件发生点对点的交往(数据交互)．3.4.2　机会网络与自主船舶航行中的信任问题MASS系统中各类实体由于在地理位置上的靠近和远离，使得邻近的实体之间组建的自组织网络构成了典型的机会网络[49]．机会网络的开放性和无中心特点，使得参与节点的可信问题一直受到研究者关注．传统的研究中，对节点信任主要是在机会网络的路由层面展开的[50]．在MASS系统中，实体间的信任问题除了涉及网络路由安全，还与表现层的行为息息相关．如考虑自主船舶在会遇期间实施避碰，两艘船舶彼此间信任度将显著影响避碰决策．较低的信任度常会让当事船舶留出更大的边际空间(譬如动界)来施行更稳妥的避碰对策[51]，因此MASS系统中可信性须要解决的基础问题在于，倘若两个实体A和B之间已经核实了身份，那么根据彼此发生在信息空间中的数据交换和物理空间中的行为交互，两者应该在何种程度上相信对方的所言所行[52]．围绕可信系统的构建，研究者进一步提出了信任机制和信誉机制，分别表征特定个体和整体视角下的信任模型[53-54]．如前所述，可信性是信息物理系统中广义信息安全的重要组成．表1中列举的表现层安全威胁，如好嘴巴/坏嘴巴攻击，是MASS系统中信息空间安全须要具体解决的一类实体信任问题．MASS不仅是信息使能的系统[55]，也是一个人工智能使能系统．美国国家安全委员会人工智能分委会2021年的报告显示，可信性是下一代人工智能系统发展的一个支撑性战略方向[56]．然而，对于MASS这样分布式、无中心的系统，在其上建立信任机制是一个富有挑战性的问题，而这为区块链技术的应用带来了新的机遇．3.5　海事系统信息安全的风险模型MASS系统集成了船舶驾控、船舶动力运维、通信导航和海事监管等众多航海技术，也是下一代海事系统运行形态的一种集中展现[57]．近年来，研究者更充分地意识到信息空间安全在未来海事系统整体安全中的关键作用[58]．在海事或船舶常规安全问题的研究中，风险和事故理论一直是焦点性话题，并取得了一定的研究成果[59-60]．面对MASS系统，上述研究思路得到了很好延续，研究人员在研究智能/自主船舶时也整体上开始应用这些最熟悉的方法[61，62]．从风险的角度认识海事信息空间安全是对海事系统中常规安全问题研究思路的延续．Bolbot等人[63]提出了一种网络空间预先危险性分析(cyber preliminary hazard analysis，CPHA)的改进方法CYRA-MS．CYRA-MS是一个信息空间安全的风险评估方法，按照4个步骤来识别船舶的网络空间风险并给出改进方案．Kavallieratos等人[58]应用Secure Tropos方法系统化地描述了面向信息使能船舶(CES)的信息安全需求，其中Secure Tropos是针对信息系统安全概念建模工具，而更早的Tropos方法则是一种面向智能体的软件工程建模方法[64]．文献[65]中用STRIDE模型来测算船舶受到攻击的风险，其中STRIDE指代6种最易施展的网络攻击形态．Aslam[49]从船联网的角度阐述了信息安全的作用和应该具备的能力．Enoch等人[66]提出了双层结构的船舶信息安全模型MV-HARM．在这个基于图形表示的模型中，上层反映船舶网络的实际拓扑，而下层则用故障树(目标树)来表示攻陷某个节点的各种方式步骤及其依赖性．模型可以为各类想定的网络攻击场景分别计算其风险．Tam等人[67]提出了针对海事信息空间安全的MaCRA模型，并特别施用于自主船舶系统的信息空间安全评估．对比海事与智能车辆两个领域在信息空间安全的研究工作，不难发现海事领域的研究人员更多地围绕信息空间安全的风险模型开展工作，而智能车辆领域的研究者则广泛地对具体的算法设计[68]、系统架构[69]、机器学习[70]等技术进行研究．两个领域在研究深度和广度上已形成了明显差距．4 区块链在自主航行信息安全中的应用4.1　区块链的技术特征及在海事领域的适用性近年来，以比特币为代表的加密货币让区块链迅速成为一个热点技术，受到各方关注．本质上，区块链是一种适用于P2P (peer-to-peer)网络的数据管理技术．但是早期的P2P网络不具备精确的记账功能，特别是无法维护具有全局一致性的数据，因此无法适用于对数据一致性非常敏感的场景，如在金融业的应用．为了打破该局限性，2008年，中本聪发表了比特币的原理的技术说明[71]，并在2009年发行了第一枚比特币，比特币的创始区块也随之生成．比特币的诞生，说明人们有能力在P2P网络上构建一种保障全局一致性的记账机制．用于支持比特币的去中心化记账方法也在不断衍化发展，成为当前人们熟知的区块链技术[72]．区块链技术的显著特点是分布式和去中心化的体系结构．它适用于有大量分布式用户、用户间有数据交互、用户间不存在显式阶层结构和中心管理节点的网络．MASS系统实体的互联关系较符合上述网络特征，即实体数量多、数据交互行为频繁、缺乏全局性中心；同时，由于船舶运动速度较低，使得MASS系统各个实体之间联网的网络拓扑变化相对平缓，能给实体之间较充裕的时间来建立数据交换关系．上述特点为MASS系统上运行区块链提供了良好的条件．4.2　区块链技术在MASS系统中的作用提高MASS系统的可信性是增强信息空间安全的一项基础性工作，而区块链技术能够在其中发挥重要作用．如3.4节所述，表现层的可信性一般通过在系统中建立信誉或信任机制来实现，前者可以看成是较长时间积累得到的群体性信任评价，而后者可以看成是个体之间点对点的信任评价．为此，技术上要求有一个全局数据库来记录各个实体的行为，尤其是群体间的交互行为．典型地，用于记录成员之间对某个行为的评价．在一个有中心数据库的系统中，实现成员之间的交互行为记录是一个常规操作，没有特别的技术难度，就像购物网站上对某次交易的评价．然而，MASS是一个无中心或弱中心的系统，在这样的系统中建立一个全局数据库来记录各个成员的交互行为，则需要专门的技术实现方式．例如，构建一个公共的虚拟基础设施，使之能对证书、信用积分等数据在虚拟意义下进行集中式管理，并能满足无篡改和高共识的要求．为搭建这个基础设施，区块链成为一个最有前景的候选技术．从社群行为的角度出发，MASS系统中物理实体被映射成为信息空间中的实体，而各个实体的信用视为一种所持有的通货，从而对实体的行为和表现产生制约，促进实体对良好信誉的追求，在MASS中引导和构建规范航行秩序的群治效应．利用区块链的分布式记账功能，文献[73]提出了实体之间动态评估信任解决方案．在区块链的共识层，系统中各个充当见证人的节点，通常都是MASS系统中信誉较高的实体，它们轮流拥有生产区块的权力，并将其增添到公共信任记录账本上．区块链将自主船舶系统中各个实体的信誉或信任关系以资产的形式来管理，为信息空间安全提供了一种结构稳定的治理方式．5 结语载运工具的自主化甚至无人化是当前交通领域正在萌芽的变革性技术，在这个浪潮的推动下，MASS成为常规船舶向信息物理融合系统转型的技术蓝图．作为人工智能使能的系统，MASS系统的安全问题除了继续包含常规船舶语境下的传统安全，还包括信息空间安全．本文综述了MASS系统及海事信息系统中信息空间安全问题的表现形式、技术挑战和可行的解决思路，并在载运工具智能化的背景下，比较了MASS系统与车联网系统两者在信息空间安全方面的差异．指出了在MASS系统技术发展的整体趋势下，为了提升信息空间安全而须要进一步探索和开展工作的方向．