空中交通管理信息安全研究

吳志軍 胡濤濤

(中國(guó)民航大學(xué)電子信息工程學(xué)院 天津 300300)

?

空中交通管理信息安全研究

吳志軍 胡濤濤

(中國(guó)民航大學(xué)電子信息工程學(xué)院 天津 300300)

(zjwu@cauc.edu.cn)

空中交通管理(air traffic management, ATM)系統(tǒng)是信息高度集成的以網(wǎng)絡(luò)為核心的智能化信息系統(tǒng)，它是保障航空交通運(yùn)輸安全運(yùn)行和保護(hù)國(guó)家領(lǐng)空安全的重要支撐之一.隨著網(wǎng)絡(luò)化空中交通管理的發(fā)展，其面臨嚴(yán)峻的信息安全威脅.在分析空中交通管理系統(tǒng)體系結(jié)構(gòu)和系統(tǒng)組成的基礎(chǔ)上，揭示了航空通信、導(dǎo)航、監(jiān)視和自動(dòng)化系統(tǒng)及機(jī)載航空通信網(wǎng)絡(luò)中潛在的系統(tǒng)漏洞和安全隱患，并給出了具體事例進(jìn)行說(shuō)明；根據(jù)空中交通管理系統(tǒng)信息安全保障的需求，給出了空中交通管理系統(tǒng)信息安全防護(hù)建議和保護(hù)措施，有助于空中交通管理信息安全保障的建設(shè).

空中交通管理；信息安全；漏洞；隱患；信息保障

空中交通管理(air traffic management, ATM)系統(tǒng)是航空交通運(yùn)輸安全運(yùn)行的重要保障技術(shù)手段之一，其核心內(nèi)涵是航空通信、導(dǎo)航、監(jiān)視與空中交通管理(communication navigation surveillanceair traffic management, CNSATM).空中交通管理系統(tǒng)是一個(gè)由空間衛(wèi)星網(wǎng)絡(luò)、空中機(jī)載網(wǎng)絡(luò)和空地?cái)?shù)據(jù)鏈、地面計(jì)算機(jī)傳輸網(wǎng)絡(luò)和地空數(shù)據(jù)鏈等組成的復(fù)雜的、智能化的信息系統(tǒng)[1].

目前，空中交通管理系統(tǒng)正在向信息綜合集成一體化、網(wǎng)絡(luò)化、自動(dòng)化方向發(fā)展，已經(jīng)形成了大規(guī)模網(wǎng)絡(luò)化的航空綜合信息集成系統(tǒng)[2].其中，主要代表有美國(guó)聯(lián)邦航空局(Federal Aviation Administration, FAA)[3]實(shí)施的下一代航空運(yùn)輸系統(tǒng)NextGen(next generation air transportation system)和歐洲航空安全組織EuroControl(European Organization for the Safety of Air Navigation)的單一天空空中交通管理研究計(jì)劃(single European sky air traffic management research, SESAR)[4].

隨著國(guó)際網(wǎng)絡(luò)安全的日趨嚴(yán)峻，作為支撐國(guó)家安全的重要系統(tǒng)，空中交通管理系統(tǒng)面臨巨大的安全威脅[1].國(guó)際上已經(jīng)針對(duì)NextGen和SESAR的信息安全進(jìn)行了研究，英國(guó)蘭卡斯特大學(xué)(Lancaster University)開(kāi)展了GAMMA(the global ATM security management)計(jì)劃項(xiàng)目[5-6]的研究，該研究計(jì)劃針對(duì)航行(air navigation)服務(wù)中存在的系統(tǒng)漏洞和安全隱患提供相應(yīng)的解決方案和建議措施，有助于提高NextGen和SESAR系統(tǒng)的信息安全保障能力.針對(duì)空中交通管理系統(tǒng)的信息安全問(wèn)題，美國(guó)FAA率先在世界上制定了針對(duì)美國(guó)國(guó)家空中交通管理系統(tǒng)的信息安全保障計(jì)劃——信息系統(tǒng)安全(information system security, ISS)[7-8].ISS通過(guò)研究、開(kāi)發(fā)和實(shí)施可信賴的系統(tǒng)(trusted system)來(lái)保障美國(guó)空中交通管理系統(tǒng)避免或減少設(shè)計(jì)及操作上的差錯(cuò)，確保有足夠的能力來(lái)應(yīng)付潛在的安全威脅和阻止惡意攻擊[9].

航空交通運(yùn)輸?shù)慕K極目標(biāo)是：運(yùn)行安全(safety)、安全高效(efficiency)、安全保障(security)、節(jié)能(energy saving)和環(huán)保(environment protection).由于中文翻譯的問(wèn)題，在我國(guó)通常將這個(gè)目標(biāo)說(shuō)成：安全、高效、節(jié)能、環(huán)保.而將Security的真正含義淡化了[10].因而，長(zhǎng)期以來(lái)，中國(guó)民航全行業(yè)的網(wǎng)絡(luò)和信息安全意識(shí)還比較淡薄，重要網(wǎng)絡(luò)和信息系統(tǒng)還存在安全隱患，空中交通管理信息安全保障缺乏整體、統(tǒng)一、行之有效的信息安全保障體系，存在一些亟待解決的問(wèn)題.目前，空中交通管理系統(tǒng)已經(jīng)被列為國(guó)家重點(diǎn)監(jiān)管的信息系統(tǒng)之一，納入國(guó)家信息安全管理體系.因此，空中交通管理系統(tǒng)面臨的信息安全形勢(shì)不容樂(lè)觀，必須正確認(rèn)識(shí)空中交通管理系統(tǒng)的安全隱患和面臨的安全威脅，加強(qiáng)空中交通管理信息安全保障工作.

1 安全隱患分析

國(guó)際民航組織(International Civil Aviation Organization, ICAO)下屬的航空電信網(wǎng)(aeronautical telecommunication network, ATN)專業(yè)委員會(huì)信息安全工作小組早在1996年就指出[11]：Air traffic control messages (via data link) are at risk from modification, replay and masquerade attacks(經(jīng)過(guò)數(shù)據(jù)鏈傳輸?shù)目罩薪煌ü苤菩畔⒚媾R的潛在威脅包括：篡改、重放和偽造攻擊).并且該工作組還指出[11]：All CNSATM applications are vulnerable to denial of service attacks (所有航行系統(tǒng)的應(yīng)用均容易遭受拒絕服務(wù)攻擊DoS).

第一、數(shù)據(jù)泄漏.空中交通管理系統(tǒng)中的很多通信設(shè)施均是開(kāi)放的、未經(jīng)加密系統(tǒng)，十分容易造成敏感數(shù)據(jù)的外泄和截獲.

第二、數(shù)據(jù)欺騙.由于空中交通管理系統(tǒng)缺乏安全認(rèn)證保護(hù)，有效的信息在傳輸過(guò)程中可能被篡改或重新發(fā)送，也可能被偽造后進(jìn)行傳輸，并且看起來(lái)是合法的.

第三、實(shí)體偽裝.由于空中交通管理系統(tǒng)的接入缺乏有效的認(rèn)證過(guò)程，蓄意的破壞者可以通過(guò)偽裝，假扮成一個(gè)實(shí)體的航空數(shù)據(jù)終端，從而合法地接入空中交通管理系統(tǒng).

第四、拒絕服務(wù)攻擊DoS.DoS攻擊可以造成空中交通管理系統(tǒng)正常通信的中斷，有2種方式：1)攻擊者通過(guò)向地面控制站(ground earth station, GES)發(fā)送大量偽造信息，使地面控制站不能響應(yīng)正常的民航客機(jī)通信，造成地面站拒絕服務(wù)；2)攻擊者偽裝成數(shù)據(jù)終端通過(guò)數(shù)據(jù)鏈路向民航客機(jī)發(fā)送大量無(wú)用的信息，使其信息處理中心服務(wù)器負(fù)載過(guò)重，資源耗盡，不能夠響應(yīng)正常的信息，從而造成服務(wù)器的拒絕服務(wù).

令人震驚的“9·11”事件雖然已經(jīng)過(guò)去了很多年，但針對(duì)該事件采用的攻擊方式的思考還在延續(xù).“9·11”事件中恐怖分子采用暴力手段劫持民航飛機(jī)撞擊世貿(mào)大樓，屬于物理攻擊方式.該方式雖然劫持的飛機(jī)數(shù)量有限，但造成的后果和影響十分巨大.如果恐怖分子利用空中交通管理的系統(tǒng)漏洞和安全隱患，采用“黑客”攻擊手段，攻陷或控制空中交通管理系統(tǒng)，欺騙或劫持民用客機(jī)，而且劫持的飛機(jī)數(shù)量可以隨意控制，則造成的災(zāi)難堪比第2次世界大戰(zhàn).因此，美國(guó)國(guó)家信息安全保障合作部主任Ron Ross說(shuō)：“If there had been a cyber-attack at the same time[September 11] that prevented them[air traffic controllers] from doing that[bringing down the aircraft], the magnitude of the event could have been much greater.”(假如在“9·11”事件發(fā)生的同時(shí)，采用網(wǎng)絡(luò)攻擊的手段致使飛機(jī)墜毀，那么事件的后果則更加慘重)[8]；美國(guó)聯(lián)邦調(diào)查局FBI國(guó)家基礎(chǔ)設(shè)施保護(hù)中心主任Ron Dick說(shuō)：“The event I fear most is a physical attack in conjunction with a successful cyber-attack on the responders’911 system or on the power grid.”[8](令人最為擔(dān)憂的是針對(duì)“9·11”事件的應(yīng)對(duì)措施或電網(wǎng)系統(tǒng)采用物理攻擊與成功的網(wǎng)絡(luò)攻擊聯(lián)合開(kāi)展的攻擊).因此，如果惡意的網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)并利用空中交通管理系統(tǒng)中潛在的安全隱患，造成的后果將不堪設(shè)想.所以，必須清楚地認(rèn)識(shí)了解和掌握空中交通管理系統(tǒng)中可能存在的系統(tǒng)漏洞和安全隱患.

目前，在空中交通管理相關(guān)的系統(tǒng)中已經(jīng)揭示和發(fā)現(xiàn)很多的系統(tǒng)漏洞和安全隱患.下面以空中交通管理中采用的具體技術(shù)手段為例進(jìn)行說(shuō)明.

1.1 航空通信方面的安全隱患

在航空通信中采用的技術(shù)手段很多，這里僅選擇C波段衛(wèi)星通信網(wǎng)絡(luò)和飛機(jī)通信尋址與報(bào)告系統(tǒng)(aircraft communications addressing and reporting system, ACARS)數(shù)據(jù)鏈進(jìn)行說(shuō)明.

1.1.1 C波段衛(wèi)星通信網(wǎng)絡(luò)

在中國(guó)民航空中交通管理系統(tǒng)中部署了近400座C和Ku波段的甚小口徑(very small aperture terminal, VSAT)衛(wèi)星通信地球站系統(tǒng)，主要用于雷達(dá)數(shù)據(jù)傳輸?shù)膫浞菔侄?，以及其他空中交通管理業(yè)務(wù)數(shù)據(jù)的傳輸.在民航空中交通管理系統(tǒng)中使用的VSAT衛(wèi)星通信網(wǎng)絡(luò)中存在的系統(tǒng)漏洞如下[1,12]：

安全漏洞1.透明信道傳輸.

由于VSAT衛(wèi)星通信網(wǎng)絡(luò)的傳輸線路采用透明轉(zhuǎn)發(fā)的方式，其中傳輸?shù)臄?shù)據(jù)很容易被非法接收者(非授權(quán)用戶)接收、截獲，造成空中交通管理業(yè)務(wù)敏感數(shù)據(jù)和信息的泄漏.

安全漏洞2.通信報(bào)文采用明文通信.

在民航使用的VSAT衛(wèi)星通信系統(tǒng)中，沒(méi)有定購(gòu)系統(tǒng)配置的加密單元模塊和采用相應(yīng)的加密技術(shù)措施.因此，通信的信息數(shù)據(jù)全部采用明文傳輸，存在數(shù)據(jù)被截獲和泄漏的危險(xiǎn).即便使用VSAT系統(tǒng)廠家定制的加密單元模塊，并且采用自己的密碼算法，但由于加密模塊的硬件為國(guó)外所造，仍然存在利用窮舉攻擊破解密碼的風(fēng)險(xiǎn).

安全漏洞3.缺乏安全接入認(rèn)證.

由于VSAT衛(wèi)星系統(tǒng)的接入和數(shù)據(jù)傳輸均沒(méi)有設(shè)計(jì)安全認(rèn)證技術(shù)，而完全由系統(tǒng)管理層面進(jìn)行認(rèn)證，容易導(dǎo)致系統(tǒng)假冒和身份偽造，造成接收或傳輸錯(cuò)誤的數(shù)據(jù)信息.

1.1.2 飛機(jī)通信尋址與報(bào)告系統(tǒng)ACARS

雖然國(guó)際上，航空無(wú)線電通信公司ARINC (Aeronautical Radio Inc.) (又稱：美國(guó)愛(ài)瑞克)針對(duì)ACARS數(shù)據(jù)鏈的信息安全問(wèn)題制定了相關(guān)標(biāo)準(zhǔn)[13-14]，但現(xiàn)有ACARS數(shù)據(jù)鏈中的安全保護(hù)措施十分有限，系統(tǒng)存在巨大的安全隱患.而且ACARS數(shù)據(jù)鏈的內(nèi)在特點(diǎn)使得ACARS系統(tǒng)的安全受到巨大的威脅，包括數(shù)據(jù)泄漏、數(shù)據(jù)欺騙、實(shí)體偽裝和拒絕服務(wù)[1,12，15-16].

安全隱患1.ACARS數(shù)據(jù)泄露.

現(xiàn)有ACARS數(shù)據(jù)鏈路安全性較差，任何一個(gè)具有RF收發(fā)裝置的攻擊者都可以截獲ACARS報(bào)文，并讀懂其內(nèi)容，這造成了數(shù)據(jù)的泄漏.民航的ACARS信息中包含了飛機(jī)起飛、著陸數(shù)據(jù)，航油數(shù)據(jù)，機(jī)組數(shù)據(jù)等一系列航空公司敏感的信息，攻擊者對(duì)數(shù)據(jù)的竊聽(tīng)和分析可能會(huì)直接危害到航空公司的利益，造成巨大的經(jīng)濟(jì)損失.軍航飛機(jī)的機(jī)密性較高，數(shù)據(jù)的泄漏更會(huì)造成不可估量的后果.

安全隱患2.數(shù)據(jù)欺騙.

ACARS鏈路中由于缺乏有效的安全保護(hù)，偽造的ACARS信息有可能被傳輸，并且看起來(lái)是合法的.另外即使是有效的ACARS信息，也很有可能在傳輸過(guò)程中被篡改或重新發(fā)送，導(dǎo)致數(shù)據(jù)錯(cuò)誤，造成數(shù)據(jù)欺騙，對(duì)飛機(jī)的安全性產(chǎn)生直接的影響.

安全隱患3.實(shí)體偽裝.

ACARS系統(tǒng)中，一個(gè)實(shí)體很容易偽裝成某個(gè)終端，使得空地通信受到破壞，阻礙系統(tǒng)的正常運(yùn)行，成為實(shí)體偽裝安全隱患.例如一臺(tái)計(jì)算機(jī)經(jīng)過(guò)簡(jiǎn)單裝備便可以模擬管制員，向空中飛機(jī)發(fā)送非法控制消息，這非常容易造成撞機(jī)等重大事故.

安全隱患4.拒絕服務(wù).

在ACARS系統(tǒng)中，分布式拒絕服務(wù)DDoS攻擊有2種方式：1)由于地面站只能對(duì)一個(gè)終端進(jìn)行服務(wù)，攻擊者可以通過(guò)向地面站發(fā)送大量偽信息，使地面站不能響應(yīng)正常的飛機(jī)通信，造成地面站拒絕服務(wù)；2)攻擊者偽裝成終端向數(shù)據(jù)鏈路發(fā)送大量無(wú)用的ACARS信息，使信息處理中心服務(wù)器負(fù)載過(guò)重，資源耗盡，不能夠響應(yīng)正常的信息，從而造成服務(wù)器的拒絕服務(wù).拒絕服務(wù)攻擊會(huì)造成正常通信的中斷，嚴(yán)重威脅到飛行安全.

1.2 航空導(dǎo)航方面的安全隱患

由美國(guó)全球定位系統(tǒng)(global positioning system, GPS)暴露出的航空導(dǎo)航衛(wèi)星的信號(hào)欺騙問(wèn)題已經(jīng)成為全球?qū)Ш叫l(wèi)星系統(tǒng)(global navigation satellite system, GNSS)的抑制致命安全缺陷[17-18].

2012年6月29日，美國(guó)奧斯丁德州大學(xué)無(wú)線電導(dǎo)航實(shí)驗(yàn)室Todd教授領(lǐng)導(dǎo)的團(tuán)隊(duì)使用價(jià)值大約1000美元的設(shè)備，利用GPS欺騙劫持了無(wú)人機(jī)[19].該團(tuán)隊(duì)在美國(guó)白沙導(dǎo)彈基地向美國(guó)國(guó)土安全部和美國(guó)聯(lián)邦航空局(Federal Aviation Administration, FAA)的官員演示了采用GPS欺騙設(shè)備劫持一架使用未加密GPS系統(tǒng)的無(wú)人機(jī)，引導(dǎo)其飛向假冒信號(hào)設(shè)置的坐標(biāo)位置，并可以控制無(wú)人機(jī)作出墜毀的動(dòng)作.其原理是利用GPS信號(hào)沒(méi)有認(rèn)證的缺陷，將假冒的GPS信號(hào)注入無(wú)人機(jī)的接收信道，并設(shè)置假冒的坐標(biāo)數(shù)據(jù).

2011年12月5日，伊朗軍方宣布自己的“電子戰(zhàn)部隊(duì)”用“黑客劫持”的方法劫持了美國(guó)先進(jìn)的RQ-170無(wú)人機(jī)，并于2011年12月9日公布了展示RQ-170無(wú)人機(jī)的視頻.對(duì)于伊朗宣稱采用電子伏擊技術(shù)手段捕獲美國(guó)無(wú)人隱形間諜飛機(jī)的報(bào)道，美國(guó)軍方聲稱無(wú)人機(jī)發(fā)生故障，不得不降落.聯(lián)想美國(guó)奧斯丁德州大學(xué)無(wú)線電導(dǎo)航實(shí)驗(yàn)室Todd Humphreys教授研究團(tuán)隊(duì)成功欺騙無(wú)人機(jī)的事實(shí)，伊朗軍方的報(bào)道也不是沒(méi)有可能.

Todd教授根據(jù)自己的研究經(jīng)驗(yàn)介紹說(shuō)采用GPS信號(hào)偽冒技術(shù)同樣可以劫持民航客機(jī)[19].因此，在未來(lái)航空導(dǎo)航技術(shù)由“陸基”向“星基”發(fā)展中，基于衛(wèi)星的導(dǎo)航在航空飛行中的應(yīng)用越來(lái)越廣泛，則民航客機(jī)面臨的“欺騙”或“誘捕”的威脅就越來(lái)越大.

1.3 航空監(jiān)視方面的安全隱患

在航空監(jiān)視方面，廣播式自動(dòng)相關(guān)(automatic dependent surveillance-broadcasting, ADS-B)的信息偽冒問(wèn)題十分突出.在ADS-B系統(tǒng)應(yīng)用中面臨的安全隱患包括[20]信息泄露、信息篡改和信號(hào)欺騙.

安全隱患1.信息泄露.

ADS-B的信息在傳輸?shù)倪^(guò)程中，一些敏感信息，諸如：ADS-B用戶的身份、位置和飛行意圖等信息很容易被擁有相應(yīng)接收機(jī)的非法用戶截獲， 導(dǎo)致敏感信息的外泄.ADS-B廣播信息中包含飛機(jī)位置、速度矢量和飛機(jī)代號(hào)等.航空飛行器身份的24 b識(shí)別信息碼是唯一的，并且固定不變.因此，惡意的破壞者可以通過(guò)蓄意截獲航空飛行器的ADS-B廣播便可很容易得到航空飛行器的識(shí)別代碼，從而確認(rèn)航空飛行器的身份.對(duì)于執(zhí)行特殊飛行任務(wù)的航空飛行器，例如重要政治人物的專機(jī)和軍用物質(zhì)的包機(jī)，航空飛行器身份信息的泄露是極其危險(xiǎn)的.

安全隱患2.信息篡改.

ADS-B的信息完整性(integrity)很容易遭到破壞.惡意的破壞者通過(guò)截獲ADS-B信息，并對(duì)其位置和飛行意圖信息內(nèi)容進(jìn)行篡改，偽造ADS-B信息，造成監(jiān)視信息的混亂.

安全隱患3.信號(hào)欺騙.

ADS-B數(shù)據(jù)可以被惡意的攻擊者非法利用.目前，監(jiān)視的一個(gè)致命問(wèn)題是ADS-B信息的使用者無(wú)法鑒別用戶接收機(jī)收到的位置信息是否屬于電子欺騙信息.非法用戶截獲ADS-B信息后，可以篡改正常信息的關(guān)鍵內(nèi)容，偽造ADS-B 信息，通過(guò)非法電臺(tái)播送進(jìn)行電子欺騙，達(dá)到干擾正常監(jiān)視系統(tǒng)的目的.更進(jìn)一步，潛在的威脅是惡意攻擊者可以偽造航空飛行器的精確位置和飛行意圖信息，在航空飛行器起飛、降落或巡航階段制造航空“9·11”事件.

ADS-B可以獲得航空飛行器精密位置信息的同時(shí)，也將此信息泄露給非法的接收者.因此，ADS-B面臨巨大的安全威脅.

1.4 航空自動(dòng)化系統(tǒng)的安全隱患

空中交通管理是以網(wǎng)絡(luò)和大型自動(dòng)化軟件系統(tǒng)為核心的航空交通運(yùn)輸安全保障系統(tǒng).其中，航空自動(dòng)化系統(tǒng)主要功能是空中交通管制員利用雷達(dá)等綜合監(jiān)視信息對(duì)航空飛行器進(jìn)行調(diào)度和指揮；地面網(wǎng)絡(luò)主要用于大量航空信息的傳輸和共享.航空自動(dòng)化系統(tǒng)設(shè)備和軟件中存在的安全隱患包括調(diào)制解調(diào)器和端口.

安全隱患1.調(diào)制解調(diào)器.

在航空自動(dòng)化系統(tǒng)設(shè)備中安裝有系統(tǒng)調(diào)試和通信功能的調(diào)制解調(diào)器，當(dāng)這些調(diào)制解調(diào)器處于開(kāi)通階段時(shí)就相當(dāng)于系統(tǒng)打開(kāi)了后門，非法或惡意的入侵者就可以通過(guò)這些后門輕易進(jìn)入航空自動(dòng)化系統(tǒng)的內(nèi)部.

安全隱患2.端口.

航空自動(dòng)化軟件系統(tǒng)具有很多的功能端口，這些端口對(duì)應(yīng)不同的服務(wù).當(dāng)航空自動(dòng)化軟件端口打開(kāi)時(shí)，非法或惡意的入侵者就可以利用這些端口侵入航空自動(dòng)化軟件系統(tǒng).

目前，已經(jīng)出現(xiàn)了“黑客”發(fā)起的針對(duì)航空交通運(yùn)輸系統(tǒng)的攻擊行為：

1) 當(dāng)?shù)貢r(shí)間2015年6月21日下午，在波蘭華沙肖邦國(guó)際機(jī)場(chǎng)運(yùn)營(yíng)的波蘭航空公司的地面操作系統(tǒng)遭遇黑客襲擊，致使系統(tǒng)癱瘓長(zhǎng)達(dá)5 h.這也是全球首次發(fā)生航空公司操作系統(tǒng)被破壞的案例[21].

2) 根據(jù)英國(guó)《鏡報(bào)》2014年6月13日?qǐng)?bào)道，奧地利空中交通管理當(dāng)局的發(fā)言人向媒體發(fā)布消息稱，2014年6月5日和10日，有多架飛機(jī)突然從航管雷達(dá)上消失，每次持續(xù)25 min.無(wú)獨(dú)有偶，與奧地利情況類似，捷克、德國(guó)、斯洛伐克等國(guó)家也發(fā)生了同樣的情況.根據(jù)統(tǒng)計(jì)，這些國(guó)家總共有13架飛機(jī)從雷達(dá)上消失.在飛機(jī)從航管雷達(dá)上消失后，空中交通管制員通過(guò)話音通信系統(tǒng)與當(dāng)事飛機(jī)的飛行員建立通信，指揮這些飛機(jī)錯(cuò)開(kāi)航道，避免相撞.歐洲航空安全局(EuroControl)已經(jīng)就飛機(jī)消失事件展開(kāi)調(diào)查，目前推測(cè)可能是遭到了“黑客”攻擊[22].

雖然上述2個(gè)事件的具體情況現(xiàn)在尚未公布，可以想象“黑客”肯定是利用了波蘭航空公司的地面操作系統(tǒng)和奧地利等國(guó)的航空自動(dòng)化系統(tǒng)的某個(gè)系統(tǒng)漏洞或者安全隱患.

1.5 機(jī)載航空通信網(wǎng)絡(luò)的安全隱患

空中交通管理涉及地面管制中心與空中機(jī)載通信導(dǎo)航和監(jiān)視系統(tǒng).隨著“黑客”技術(shù)的不斷提高，機(jī)載通信網(wǎng)絡(luò)面臨巨大的安全威脅[23-24].

1) 黑帽網(wǎng)站

在機(jī)載系統(tǒng)中，無(wú)論是駕駛艙的飛行控制系統(tǒng)，還是客艙的娛樂(lè)網(wǎng)絡(luò)，均通過(guò)通信衛(wèi)星與地面建立聯(lián)系.由于目前航空主用的國(guó)際海事衛(wèi)星組織(International Maritime Satellite Organization, INMARSAT)的衛(wèi)星通信系統(tǒng)是開(kāi)放的，航空飛行器機(jī)載無(wú)線網(wǎng)絡(luò)與INMARSAT網(wǎng)絡(luò)連接具有很大的安全隱患，威脅主要來(lái)自連接全球衛(wèi)星通信網(wǎng)絡(luò)的地面衛(wèi)星接收站(ground earth station, GES).

2014年8月2日至7日期間，在美國(guó)拉斯維加斯召開(kāi)的2014年黑帽(black hat)大會(huì)上，網(wǎng)絡(luò)安全公司IOActive的安全顧問(wèn)Santamarta介紹了利用飛機(jī)上的無(wú)線網(wǎng)絡(luò)和娛樂(lè)系統(tǒng)劫持飛機(jī)[23].Santamarta自稱他是通過(guò)逆向工程發(fā)現(xiàn)了飛機(jī)通信設(shè)備的固件漏洞.在實(shí)驗(yàn)室的實(shí)驗(yàn)平臺(tái)上，他證明在理論上“黑客”可利用飛機(jī)上的WiFi網(wǎng)絡(luò)或機(jī)載娛樂(lè)信息系統(tǒng)入侵飛機(jī)航空電子設(shè)備，中斷或修改衛(wèi)星通信，干擾飛機(jī)的導(dǎo)航和安全系統(tǒng).他的發(fā)現(xiàn)是在條件受控的環(huán)境下完成的，但暫時(shí)尚未在實(shí)際環(huán)境中驗(yàn)證[24].

Santamarta在2014年4月發(fā)表了一份25頁(yè)的研究報(bào)告，介紹了他發(fā)現(xiàn)的多個(gè)衛(wèi)星通信設(shè)備的硬件漏洞.這些航空硬件設(shè)備由英國(guó)飛機(jī)零部件制造商Cobham以及Harris，Hughes等廠商生產(chǎn).Harris公司的發(fā)言人Jim Burke稱他們的技術(shù)人員已經(jīng)審閱過(guò)Santamarta的報(bào)告，他們認(rèn)為這種攻擊危害非常小，原因是此類攻擊需要接觸衛(wèi)星通信的物理硬件，因此受影響的只有通信系統(tǒng)[24].

2) PlaneSploit

德國(guó)網(wǎng)絡(luò)安全顧問(wèn)雨果·特索2013年4月11日在阿姆斯特丹舉行的“盒子里的黑客會(huì)議”上展示了一套智能手機(jī)應(yīng)用軟件，它具有可能破壞目前大多數(shù)飛機(jī)所使用的飛行管理系統(tǒng)的功能.但他同時(shí)表示，這套航班黑客軟件尚處于“概念證明”階段，不一定能干擾真正的飛行系統(tǒng)[25].雨果·特索的軟件引起了世界航空界的高度關(guān)注.

通過(guò)超過(guò)10年的研究，雨果·特索在信息安全領(lǐng)域積累了豐富的經(jīng)驗(yàn).同時(shí)，他還是一名駕齡超過(guò)15年的受過(guò)專業(yè)訓(xùn)練的商業(yè)飛行員.他在“盒子里的黑客會(huì)議”上介紹說(shuō)：經(jīng)過(guò)4年的努力，他成功研發(fā)出一套應(yīng)用軟件，名為“PlaneSploit”，可以接管飛機(jī)上的電腦系統(tǒng)，隨意控制飛機(jī)，并且不被空中交通管制員發(fā)現(xiàn).他還表示，該軟件通過(guò)侵入飛機(jī)與空中交通管制互相聯(lián)系的無(wú)線電廣播，再用另一套聯(lián)絡(luò)系統(tǒng)向飛機(jī)發(fā)出惡意指令，完全接管并控制飛機(jī)；該軟件已能夠破壞目前大多數(shù)商用飛機(jī)所使用的飛行管理系統(tǒng)(flight management system, FMS)[25].

據(jù)英國(guó)路透社2015年4月15日?qǐng)?bào)道，美國(guó)國(guó)會(huì)審計(jì)署(Government Accountability Office, GAO)警告美國(guó)商業(yè)航班，在機(jī)上使用無(wú)線娛樂(lè)系統(tǒng)可能使航班在飛行過(guò)程中遭到“黑客”攻擊[26].GAO最新發(fā)布的報(bào)告里說(shuō)：隨著下一代網(wǎng)絡(luò)化的空中交通管理系統(tǒng)技術(shù)的應(yīng)用，面臨的安全威脅越來(lái)越大，聯(lián)邦航空局FAA必須盡快著手解決機(jī)載無(wú)線網(wǎng)絡(luò)的安全漏洞和隱患.飛機(jī)駕駛艙與客艙之間的互連，可以導(dǎo)致惡意的破壞者通過(guò)客艙網(wǎng)絡(luò)侵入駕駛艙的飛機(jī)控制系統(tǒng).

聯(lián)邦航空局FAA局長(zhǎng)韋爾塔(Michael Huerta) 對(duì)GAO的報(bào)告表示認(rèn)同.他說(shuō)航空監(jiān)管部門已經(jīng)開(kāi)始與包括國(guó)家安全局在內(nèi)的政府安全專家合作，以確定需要作出的改進(jìn)措施[27].此外，網(wǎng)絡(luò)安全專家認(rèn)為：如果飛行控制系統(tǒng)和娛樂(lè)系統(tǒng)使用的是相同接線和路由器，飛機(jī)上用于保護(hù)航空電子設(shè)備免受黑客攻擊的防火墻則可能被攻破，導(dǎo)致“病毒或惡意軟件”通過(guò)乘客在客艙訪問(wèn)過(guò)的網(wǎng)站植入駕駛艙控制系統(tǒng)，為潛在的惡意攻擊提供了方便[26].

2 安全建議和措施

目前，中國(guó)民航信息安全保障工作的重點(diǎn)集中在采用計(jì)算機(jī)和通信網(wǎng)絡(luò)的重要信息系統(tǒng)，例如：民航電子政務(wù)、電子商務(wù)和機(jī)場(chǎng)無(wú)線網(wǎng)絡(luò)等方面上，而針對(duì)具有民航特色的空中交通管理系統(tǒng)的信息安全保障研究甚少，其主要原因是空中交通管理系統(tǒng)信息安全保障涉及空-天-地通信導(dǎo)航監(jiān)視和自動(dòng)化系統(tǒng)，覆蓋范圍廣闊，實(shí)現(xiàn)技術(shù)難度很大.

針對(duì)空中交通管理的信息安全保障首先是查找其潛在的安全隱患和系統(tǒng)漏洞，然后建立可信任的基于公鑰基礎(chǔ)設(shè)施(public key infrastructure, PKI)的空中交通管理信息安全保障體系.

1) 漏洞查找和隱患分析

空中交通管理系統(tǒng)的安全隱患分析和系統(tǒng)漏洞查找是根據(jù)空中交通管理系統(tǒng)的3層結(jié)構(gòu)體系(新航行系統(tǒng)層、網(wǎng)絡(luò)傳輸層和業(yè)務(wù)應(yīng)用層)，從系統(tǒng)的角度按層次進(jìn)行的.采用的手段有以下3種[1,9]：

第1種是安全掃描，對(duì)空中交通管理系統(tǒng)進(jìn)行安全漏洞和隱患的定期掃描檢查，及時(shí)發(fā)現(xiàn)問(wèn)題，采取措施；

第2種為滲透測(cè)試，模擬黑客攻擊技術(shù)，有助于查找空中交通管理信息系統(tǒng)的脆弱點(diǎn)和檢驗(yàn)空中交通管理系統(tǒng)信息安全保障系統(tǒng)的效果；

第3種為專項(xiàng)測(cè)試，針對(duì)空中交通管理系統(tǒng)的信息安全屬性，采用專業(yè)技術(shù)進(jìn)行單項(xiàng)測(cè)試，檢驗(yàn)空中交通管理系統(tǒng)及其信息安全保障在某個(gè)功能上存在的安全缺陷.

2) 空中交通管理信息安全保障體系

空中交通管理系統(tǒng)的信息安全保障是一個(gè)綜合的系統(tǒng)工程，其內(nèi)容涉及策略(policy)、管理(management)、技術(shù)(technology)和工程(engineering)等方面的問(wèn)題[1,12].

由空中交通管理系統(tǒng)的體系結(jié)構(gòu)可以得出空中交通管理系統(tǒng)是一個(gè)具有復(fù)雜基礎(chǔ)設(shè)施，包含涉及空中交通管理ATM的信息設(shè)備和信息資源的龐大系統(tǒng).因此，空中交通管理系統(tǒng)的信息安全保障范疇不僅包括計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，而且包含空中和空間信息系統(tǒng)環(huán)境.其保障對(duì)象為：空中交通管理信息系統(tǒng)、信息資源和信息傳輸?shù)耐ㄐ沛溌?地-地、空-地和空-空數(shù)據(jù)鏈路)[12].因此，僅從技術(shù)角度研究空中交通管理系統(tǒng)信息安全保障體系，建立可信任的基于公鑰基礎(chǔ)設(shè)施PKI的空中交通管理信息安全保障體系是一個(gè)很好的可選擇方案[28].

從具體的信息安全保障技術(shù)方面，針對(duì)空中交通管理信息安全的建議及措施如下[1,12]：

1) 數(shù)據(jù)加密.針對(duì)重要和敏感的航空飛行信息數(shù)據(jù)采用多維數(shù)據(jù)加密(multi-dimension encryption)的方式，保障不同重要程度的數(shù)據(jù)具有相應(yīng)的等級(jí)保護(hù)措施.

2) 安全認(rèn)證.采用基于OpenSSL的交互認(rèn)證方式，對(duì)航空實(shí)體身份進(jìn)行鑒別.

3) 授權(quán)訪問(wèn).采用基于屬性加密(attribute-based encryption, ABE)的訪問(wèn)控制方式，保證航空實(shí)體與信息資源之間實(shí)現(xiàn)細(xì)粒度的訪問(wèn)授權(quán).

4) 證書(shū)中心.建立以中國(guó)民航局空中交通管理局為依托的空中交通管理系統(tǒng)認(rèn)證中心(certificate of authority, CA)，向空中交通管理管理部門、機(jī)場(chǎng)、航空公司和航空飛行器頒發(fā)靜態(tài)和動(dòng)態(tài)的數(shù)字證書(shū)(digital certificate)，實(shí)現(xiàn)可信任的管理體系.

3 結(jié)束語(yǔ)

目前，中國(guó)民航在通信、導(dǎo)航、監(jiān)視、氣象、情報(bào)等方面建成了一批重要的空中交通管理信息系統(tǒng)，例如：輻射全國(guó)各地區(qū)空中交通管理局、空中交通管理中心(站)的分組數(shù)據(jù)交換網(wǎng)幀中繼網(wǎng)、衛(wèi)星網(wǎng)；VHF甚高頻地空數(shù)據(jù)鏈；覆蓋我國(guó)東部地區(qū)的一、二次雷達(dá)和自動(dòng)化系統(tǒng)；還有自動(dòng)觀測(cè)系統(tǒng)、氣象填圖系統(tǒng)、氣象數(shù)據(jù)庫(kù)系統(tǒng)、航站情報(bào)自動(dòng)服務(wù)系統(tǒng)、航行情報(bào)數(shù)據(jù)庫(kù)系統(tǒng)、航線資料自動(dòng)作圖系統(tǒng)等.這些建設(shè)大大增強(qiáng)了空中交通管理系統(tǒng)信息處理與共享的能力，有效提高了空中交通管理運(yùn)行保障能力.

中國(guó)民航局空中交通管理局陸續(xù)建設(shè)了一批信息安全基礎(chǔ)設(shè)施，加強(qiáng)了互聯(lián)網(wǎng)信息安全管理，為保障和促進(jìn)空中交通管理信息化和諧、健康發(fā)展發(fā)揮了重要作用.但是必須看到，空中交通管理信息安全保障工作仍然存在一些亟待解決的問(wèn)題：網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平不高，應(yīng)急處理能力不強(qiáng)；信息安全管理和技術(shù)人才缺乏；尤其是缺少整體的信息安全技術(shù)體系，空中交通管理系統(tǒng)內(nèi)的信息安全標(biāo)準(zhǔn)、規(guī)范不完善；缺乏整體、統(tǒng)一、行之有效的信息安全保障體系.因此，民航的網(wǎng)絡(luò)和信息安全形勢(shì)不容樂(lè)觀，全行業(yè)的網(wǎng)絡(luò)和信息安全意識(shí)還比較淡薄，重要網(wǎng)絡(luò)和信息系統(tǒng)還存在安全隱患，影響較大的網(wǎng)絡(luò)與信息安全事故時(shí)有發(fā)生.因此，中國(guó)民航局已經(jīng)建設(shè)了民航信息技術(shù)科研基地，組織開(kāi)發(fā)了2個(gè)技術(shù)平臺(tái)：

1) 民航網(wǎng)絡(luò)與信息安全信息通報(bào)技術(shù)平臺(tái)，用于信息通報(bào)和發(fā)布預(yù)警信息；

2) 民航網(wǎng)絡(luò)與信息安全管理技術(shù)平臺(tái)，用于分析、判斷和應(yīng)急協(xié)調(diào).

空中交通管理信息化建設(shè)已進(jìn)入全面推進(jìn)和快速發(fā)展的重要時(shí)期.空中交通管理信息系統(tǒng)規(guī)模龐大、涉及應(yīng)用多、用戶廣、業(yè)務(wù)依賴程度高，對(duì)信息安全保障體系提出了更高的要求.因此，建立空中交通管理信息安全保障體系，對(duì)空中交通管理信息系統(tǒng)實(shí)施有效的安全保障是下一步信息化建設(shè)的重點(diǎn).

[1]馬蘭, 吳志軍. 空中交通管理信息安全評(píng)估[M]. 北京: 科學(xué)出版, 2015

[2]José M C, Juan B P, José M M. Advances in Air Navigation Services[M]. Croatia: Mirna Cvijic Press, 2012

[3]Federal Aviation Administration. Next generation air transportation system programs[EB/OL]. [ 2015-05-18]. http://www.faa.gov /nextgen/programs/data

[4]EuroControl. Single europe sky air traffic management research[EB/OL].[ 2014-09-20]. http://www.sesarju.eu/data

[5]Koelle R, Kolev D. GAMMA—Filling the security management void of SESAR and NextGen[C] //Proc of the 2014 Integrated Communications, Navigation and Surveillance Conf (ICNS). Piscataway, NJ: IEEE, 2014: H3-1-H3-9

[6]Markarian G. Filling the security management void of SESAR and NextGen[C] //Proc of the 2015 Integrated Communication, Navigation and Surveillance Conf (ICNS). Piscataway, NJ: IEEE: 2015: 1-24

[7]Federal Aviation Administration. Information systems security (ISS)[C] //Proc of the 2008 Federal Aviation Administration (FAA), Information Technology (IT), Research and Development (R&D). McLean: FAA, 2008: 1-7

[8]Arthur P. A systems approach to protecting the U.S air traffic control system against cyber-terrorism[EB/OL]. [2014-04-15]. http://www.gao.gov/products/GAO-15-370/data

[9]Marshall D A. FAA system security testing and evaluation[R]. Virginia: Federal Aviation Administration, 2003

[10]吳志軍, 王慧. 信息安全中Safety與Security的比較研究[J]. 網(wǎng)絡(luò)信息安全, 2013, 2013(8): 84-86

[11]Marshall A. Overall security concept[C] //Proc of the ICAO ATNP Security Working Group-ATN Panel Working Group 1. Piscataway, NJ: IEEE, 1996

[12]馬蘭. 基于SSE的空中交通管理ATM信息安全保障方法的研究[D]. 天津: 天津大學(xué), 2011

[13]AEEC. ARINC specification 823P1: Datalink security part 1—ACARS message security[R]. Maryland: Aeronautical Radio, INC. 2007

[14]AEEC. ARINC specification 823P2: Datalink security part 2—Key managent[R]. Maryland: Aeronautical Radio, INC. 2008

[15]王曉琳，張學(xué)軍，何葭. ACARS數(shù)據(jù)鏈中的安全通信[J]. 航空電子技術(shù), 2003, 34(增刊): 95-100[16]武肖峰. 基于端對(duì)端的安全ACARS數(shù)據(jù)鏈系統(tǒng)研究[D]. 天津: 中國(guó)民航大學(xué), 2011

[17]Bonebrake C, O’Neil L R. Attacks on GPS time reliability[J]. IEEE Security & Privacy, 2014, 12(3): 82-84

[18]Psiaki M L, O’Hanlon B W, Bhatti J A. GPS spoofing detection via dual-receiver correlation of military signals[J]. IEEE Trans on Aerospace and Electronic Systems, 2013, 2013(49): 2250-2267

[19]Todd H. The GPS dot and its piscontents-Privacy vs. GNSS integrity[J]. Inside GNSS, 2012, 3(2): 44-48

[20]潘衛(wèi)軍, 陳通, 馮子亮. ADS-B信息安全問(wèn)題及對(duì)策[J]. 國(guó)際航空雜志, 2009, 2009(10): 51-53

[21]環(huán)球網(wǎng). 波蘭民航被“黑”啟示錄：越來(lái)越多黑客指向航空[EB/OL]. [2015-06-22]. http://world.huanqiu.com/article/2015-06/6741616.h tml/ data

[22]光明網(wǎng). 歐洲13架飛機(jī)從雷達(dá)上消失25分鐘疑遭黑客攻擊[EB/OL]. [2014-06-16]. http://world.gmw.cn/2014-06/16/content11623851. html /data

[23]比特網(wǎng). 黑帽大會(huì)將演示如何利用機(jī)載WIFI劫持飛機(jī)[EB/OL]. [2014-03-17]. http://sec.chinabyte.com/284/13041784.html/data

[24]Santamarta R. SATCOM terminals: Hacking by air, sea, and land[C] //Proc of the 2014 Technical White Paper of Security Service. Las Vegas: Ioactive, 2014

[25]Filehippo Web. PlaneSploit app could hijack an airplane[EB/OL]. [2013-04-12]. http://news.filehippo.com/2013/04/planesploitappcoulhijack-an-airplane/data

[26]環(huán)球網(wǎng), 美商業(yè)航班上使用無(wú)線娛樂(lè)系統(tǒng)或致航班遭黑擊[EB/OL]. [2015-04-16]. http://tech.huanqiu.com/original/2015-04/6202028.html/ data

[27]Aradhana N, Kamesh N, Serge C. Enabling next generation airborne communications[J]. IEEE Communications, 2014, 52(4): 102-103

[28]Patel V, Mcparland T. Public key infrastructure for air traffic management systems[C] //Proc of the 20th Digital Avionics Systems Conf. Piscataway, NJ: IEEE, 2011: 7A5/1-7A5/7

吳志軍

教授，博士生導(dǎo)師，主要研究方向?yàn)榭罩薪煌ü芾硇畔踩?

zjwu@cauc.edu.cn

胡濤濤

碩士研究生，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全.

tthul_08@126.com

Brief Introduction to Information Security in Air Traffic Management

Wu Zhijun and Hu Taotao

(DepartmentofElectronics&InformationEngineering,CivilAviationUniversityofChina,Tianjin300300)

Air traffic management (ATM) plays a crucial role in ensuring the operation of air transportation system and national airspace safe. ATM is a network-centralized intelligent system with high information integration, which is vulnerable to threats and attacks. Potential system vulnerabilities and security risks in ATM system, especially, in aeronautical communication, navigation, surveillance, automation, and airborne aeronautical communication network system are explored and analyzed in this paper, and specific examples are given. Finally, security recommendations on ATM information assurance are presented for the purpose of taking protective measures to guarantee the security of ATM operation.

air traffic management (ATM); information security; vulnerability; threat; information assurance

2015-07-26

國(guó)家自然科學(xué)基金面上項(xiàng)目(61170328,U1333116,U1433105);2013年民航科技引導(dǎo)資金項(xiàng)目(MHRD20130217)

TN918