融合网络中民航通信安全探索

【 摘 要 】 ATN民航通信网是一个融合网络，在协议、报文格式、通信模式上异于互联网，可能遭受的攻击路径和方法也不同。研究甚高频数据链通信安全问题，有助于提高民航交通通信安全应急响应能力。

【 关键词 】 民航通信；信息安全；ATN

The Exploration of Safety on Aviation Communications in Converged Networks

Zhang Ru Zhao Jing You Ning

（Beijing University of Posts and Telecommunications，School of Computer Science Beijing 100876）

【 Abstract 】 ATN aviation communications network is a converged network，which is different from the internet in agreement， message format，communication mode ， methods and paths of attacks. Researching VHF data link communications security issues can help to improve the emergency response capabilities of civil aviation communications security.

【 Keywords 】 aviation communications； information security；atn

1 引言

为解决日益繁忙的空中交通管理问题，民航系统在自动化管理的道路上大步迈进。2012年，据《悉尼早报》报道，澳大利亚运输安全局（ATSB）调查报告显示，墨尔本机场10个月内发生了两起飞机起飞后没有保持最小安全间隔，导致危险接近的险情。调查显示，墨尔本机场的起飞程序存在隐患。这一事件让我们看到了，在民航自动化管理进程中，由民航通信系统的安全隐患所招致的巨大风险。

正在运行的ACARS等民航通信系统的安全缺陷已经引起广泛重视，ATN标准中专门规范了身份鉴别、完整性和访问控制等安全要素。ATN被认为能提供更可靠、更高效、更安全的服务。ATN并非一种全新的底层通信网络，而是一个通过集成多种数子网来实现统一数据传输服务的互联网络。因而，我们将ATN看作是一种融合的网络，从访问控制、保密性、完整性和身份鉴别四个安全要素来分析它独特的安全特点和需求。

2 无线电通信入网

ATN移动子网包括VHF移动子网、卫星移动子网、二次雷达s模式子网和HF移动子网。

民航领域的地空通信系统使用甚高频无线电（Very High Frequency，简称VHF）传递飞机飞行状态、机场控制指令等重要信息。这些信息采用无线电传输，物理上很容易被截获甚至篡改，这不仅导致重要数据泄露，还可能会导致非法控制和劫持。德国网络安全公司的网络安全顾问胡戈・特索在2013年黑客大会上展示了利用安卓手机应用程序劫持飞机的过程。

当前的地空通信仍然由话音通信主导，飞机也是人工控制为主，数据链只是起到辅助作用。因此，胡戈・特索攻击并不具备实际操作的条件。但是，我们可以从这两个事件中看到，VHF数据链是大多数攻击的入口。

通过ATN网络，机载系统和地面管制系统之间、地面管制系统和地面管制系统之间实现了无缝的数据连接。通常情况下，安全等级高的系统与外部环境是物理隔离的。将高安全等级的系统与VHF通信进行无缝数据连接，相当于给秘密系统开放一个接口，如图1所示。接口安全防护是一个技术挑战。

3 移动站身份鉴别

地空通信系统中身份鉴别应是双向的，可分为基于ID的身份鉴别和基于证书的身份鉴别。第一种方式更简单高效，第二种方式更安全。

当前运行的民航地空通信系统就采用基于ID的身份鉴别方式，将飞机编号、公钥等个性化信息作为ID。这种方法无法抵抗中间人攻击，攻击模型如图2所示。

假设MS为移动站、GS为地面站，由MS发起通信。此时MS想接入与GS建立保密通信 ，MS会将ID信息以明文形式传输给GS， 但与此同时攻击者AT可在无线信道监听到ID。如果AT想取代GS与MS通信，则AT可以冒充MS与GS通信，通过第二步从GS处获得合法响应信息，进而伪装成GS与MS建立通信。

对基于PKI（Public Key Infrastructure，公钥基础设施）的身份鉴别是互联网最安全的身份鉴别方案，可以有效避免中间人攻击。但是无论是ACARS系统还是ATN系统，移动站入网连接都是采用注册ID方式而不是数字证书，设计一个国际民航行业统一的数字证书体系，实现全球范围内的移动跨域身份鉴别是一个技术难题。

在互联网领域，基于IBC（Identity-Based Crytography）体系构建的数字内容加密及认证系统 ，由于省去了公钥证书的管理环节，其性能高于PKI安全系统，正在取代PKI。在民航地空通信中使用IBC体系，如何构建PKG（Private Key Generator）仍然有待研究。

4 复杂报文业务

在繁忙的国际机场，PDC（PDC：Pre-Departure Clearance）的数据链传输使得空中交通管制员的工作量得以大大减轻。在ARINC623协议中起飞放行许可（PDC）定义了四种电报完成整个业务流程，它们分别是起飞许可请求报（RCD）、起飞许可报（CLD）、重读起飞许可报（CDA）以及系统服务信息报（FSM）。

PDC报文远比互联网报文复杂的多，发现其中的安全漏洞非常困难。例如，墨尔本机场采用“自动放行”的起飞程序参照悉尼机场的起飞程序制订，并由澳大利亚航空服务机构修订审核，但却没有将飞机的速度差异作为一个潜在的可能造成危险的因素来考虑。而悉尼机场的起飞程序则考虑到了飞机速度的差异。

5 数据加密

地空通信数据加密算法可以采用常规密码算法，但是受数据链特性的影响，其抗攻击能力较低。

在假设密码分析者已知所用加密算法全部知识的情况下，根据密码分析者对明文、密文等数据资源的掌握程度，可以将针对加密系统的密码分析攻击类型分为四种：惟密文攻击（Cinphtext-Only Attack）、已知明文攻击（Plaintext-Known Attack）、选择明文攻击（Chosen-Plaintext Attack）、选择密文攻击（Chosen-Ciphenext Attack），其中已知明文攻击和选择明文攻击对数据链加密影响最大。

ATN和ACARS协议都定义了每种业务的报文，每种报文所传输的通信内容是相对固定的。例如起飞放行许可PDC。飞机在预计推出开车前20分钟可以通过DCL/PDC服务提出起飞前放行申请。机组发送离场许可下行报文Departure Clearance Downlink（RCD），包含航班号（使用航空公司ICAO三字代码）、机尾号等信息的放行许可请求报文通过数据链发至机场起飞前放行系统。地面起飞前放行（PDC）系统接到请求后，判断是否满足管制放行条件；塔台管制员将返回一个离场许可上行报文Departure Clearance Uplink（CLD），内容包含飞机标志、机型等飞机放行许可信息的报文上传至飞行员。飞行员接受到管制员的放行许可报文后，机组再回复确认报文Clearance Readback Downlink（CDA）。如果飞行员发送DCL/PDC申请报文或发送DCL/PDC确认回复报文后，2分钟内未能收到表示DCL/PDC申请或确认恢复成功的上行报飞行系统信息FSM，视为服务失败，需要通过管制频率联系管制员获得语音放行许可。

攻击者很容易通过其他渠道得知这些信息明文，从而对系统展开已知明密文攻击。通过分析获得密文信息的时间和飞机状态，攻击者甚至可以得到一些明文-密文对，展开选择明文攻击。

6 结束语

我国民航领域采用国外的通信标准如ACARS（Aircraft Communication Addressing And Reporting System，飞机通信寻址与报告系统）和ATN（Aeronautical Telecommunication Network，航空电信网），其中可能存在安全隐患。这些隐患一旦被国外黑客、敌对势力掌握和利用，将会对我国国家安全带来严重威胁。因此研究甚高频数据链通信安全问题，并提出行之有效的对策建议，对改进我国民航通信系统安全、及时排除隐患和漏洞有重要理论指导意义。

参考文献

[1] .

作者简介：

张茹（1976-），女，博士，北京邮电大学计算机学院，硕士生导师；主要研究方向和关注领域：工业控制网络与信息安全相关领域。

赵静（1990-），女，北京邮电大学计算机学院在读硕士研究生。

尤宁（1989-），女，北京邮电大学计算机学院在读硕士研究生。