摘? ?要：隨著ADS-B系統(tǒng)的逐步推廣和建設(shè)，它的安全風(fēng)險(xiǎn)分析變得非常必要。本文首先介紹了ADS-B通信的安全現(xiàn)狀和主要的安全漏洞，隨后通過詳細(xì)介紹不同攻擊方式及實(shí)現(xiàn)技術(shù)，簡(jiǎn)單分析了ADS-B系統(tǒng)在相應(yīng)攻擊下的風(fēng)險(xiǎn)等級(jí)。

關(guān)鍵詞：ADS-B? 安全風(fēng)險(xiǎn)? 攻擊方式

中圖分類號(hào)：TP311? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? ? ? ? ? ? ? 文章編號(hào)：1674-098X（2019）11（c）-0008-02

1? ADS-B安全現(xiàn)狀

根據(jù)ADS-B規(guī)范，ADS-B Out的消息中至少要包含航空器標(biāo)識(shí)，氣壓值，經(jīng)緯度，高度，速度數(shù)據(jù)。因?yàn)锳DS-B數(shù)據(jù)是非加密的，惡意攻擊者使用一些便宜且易獲取的現(xiàn)成軟硬件設(shè)備，就可以竊聽這些信息。這些設(shè)備使得攻擊者可以在ADS-B信道中捕獲、修改、刪除或者插入消息，也可以使用阻塞和欺騙技術(shù)去實(shí)施攻擊。因此，一旦ADS-B被全面部署和使用，空中交通管制服務(wù)將會(huì)部分依賴ADS-B技術(shù)，它的可信度對(duì)于日后的航空安全是至關(guān)重要的。

2? ADS-B攻擊方式和攻擊技術(shù)

對(duì)于所有攻擊來(lái)說(shuō)，沒有加密或者驗(yàn)證機(jī)制的ADS-B該系統(tǒng)都是比較脆弱的，尤其是物理層攻擊。ADS-B的主要安全問題是缺少安全機(jī)制阻止惡意輕易實(shí)施攻擊。ADS-B通信主要漏洞如下。

（1）缺乏認(rèn)證：不能阻止非認(rèn)證用戶收發(fā)消息;

（2）缺少消息簽名：不能隔離假消息，不能正確識(shí)別消息發(fā)送者;

（3）缺少加密：不能阻止無(wú)線信道中收發(fā)的敏感信息被竊聽;

（4）缺少M(fèi)AC地址或者隨機(jī)地址：不能阻止延時(shí)攻擊;

（5）缺少短期身份標(biāo)識(shí)：不能確保數(shù)據(jù)隱私。

針對(duì)以上漏洞，本節(jié)依次介紹各類攻擊方式和攻擊技術(shù)。

2.1 被動(dòng)攻擊

加密和認(rèn)證機(jī)制的ADS-B通信數(shù)據(jù)很容易被攻擊者捕獲。這種攻擊叫做“消息竊聽”，或者“航空器偵查”。

文獻(xiàn)[2]利用低成本的ADS-B接收機(jī)，在一周時(shí)間里跟蹤了近兩萬(wàn)個(gè)航班。對(duì)照ADS-B的112比特的消息格式，有56比特用來(lái)存儲(chǔ)ADS-B數(shù)據(jù)，還有24比特用來(lái)存儲(chǔ)24位地址碼。ADS-B數(shù)據(jù)信息包括識(shí)別號(hào)、位置、速度、緊急代碼和數(shù)據(jù)質(zhì)量等級(jí)等。雖然航空器來(lái)的24位地址碼是唯一的，但是攻擊者可以通過消息竊聽獲取航空器地址碼。

2.2 主動(dòng)攻擊

ADS-B的主動(dòng)攻擊是空中交通管制安全的直接威脅。主動(dòng)攻擊都是基于對(duì)1090MHz無(wú)線信道的干擾。

2.2.1 消息刪除

合法的ADS-B消息可以通過兩種方法來(lái)達(dá)到消除的效果[1]。

（1）反向干擾：通過反相信號(hào)來(lái)衰減或者摧毀原始消息;

（2）正向干擾：發(fā)送含有大量錯(cuò)誤比特的信號(hào)，疊加在原消息上，導(dǎo)致原消息比特錯(cuò)誤較多。因?yàn)槊總€(gè)消息的CRC校驗(yàn)最多只能糾正5比特錯(cuò)誤，多于5比特錯(cuò)誤的消息，會(huì)被接收方判定為損壞的數(shù)據(jù)而丟棄。

使用這類技術(shù)的攻擊方式如下。

（1）航空器失蹤：攻擊者刪除一個(gè)航空器的所有消息，使它對(duì)其他航空器或者地面站不可見。

（2）航空器偽裝：先復(fù)制航空器的24位地址碼，再使用消息刪除和消息插入偽裝航空器。航空器機(jī)艙內(nèi)的攻擊者，通過修改航空器的24位地址碼也可以實(shí)施這種攻擊。

2.2.2 消息修改

這種攻擊往往不易察覺。為此，管制員很可能被誤導(dǎo)給出錯(cuò)誤的指令。這種攻擊也會(huì)給航空器的防相撞系統(tǒng)帶來(lái)負(fù)面影響。

實(shí)現(xiàn)方法如下[1]：

（1）消息淹沒：發(fā)送一個(gè)信號(hào)幅度強(qiáng)到可以淹沒原信號(hào)的假消息;

（2）比特翻轉(zhuǎn)：翻轉(zhuǎn)任意位數(shù)的比特?cái)?shù)據(jù)。

通過使用以上兩種技術(shù)，可以實(shí)現(xiàn)以下攻擊方式：

（1）航跡修改：可以修改航空器發(fā)出的原始消息中的位置數(shù)據(jù)[2]，或者刪除原始消息并發(fā)送一個(gè)包含錯(cuò)誤位置數(shù)據(jù)的新消息;

（2）告警代碼修改：攻擊原理同上，但是它修改了原始數(shù)據(jù)的告警信息。惡意攻擊者用它可以在空管系統(tǒng)中產(chǎn)生很多沖突告警。

2.2.3? 消息阻塞

數(shù)據(jù)通信中，消息阻塞是一個(gè)常用的可以造成拒絕服務(wù)效果的攻擊方式。由于ADS-B數(shù)據(jù)通信中沒有設(shè)置訪問數(shù)據(jù)鏈接的物理障礙，攻擊者可以在無(wú)線信道中發(fā)送數(shù)據(jù)。對(duì)于ADS-B，這個(gè)無(wú)線信道就是1090MHz。當(dāng)攻擊者在信道中發(fā)送海量消息時(shí)，會(huì)造成該信道通信能力顯著下降，甚至無(wú)法使用。

攻擊者可以使用多種策略實(shí)現(xiàn)這種攻擊：

（1）長(zhǎng)發(fā)干擾器：持續(xù)發(fā)射噪聲、單音或者隨機(jī)信號(hào)。這類信號(hào)容易被識(shí)別，從而被接收機(jī)過濾掉。

（2）欺騙干擾器：持續(xù)產(chǎn)生有效數(shù)據(jù)包，使得接收機(jī)很難區(qū)分?jǐn)?shù)據(jù)包到底來(lái)自攻擊者，還是真實(shí)用戶。

（3）隨機(jī)干擾器：交替實(shí)現(xiàn)長(zhǎng)發(fā)干擾器和欺騙干擾器的功能，并間歇性休眠。

（4）被動(dòng)干擾器：只有當(dāng)信道中有正在進(jìn)行的通信時(shí)才工作，從而顯著降低了被識(shí)別的概率。

以下攻擊方式使用了上面的攻擊技術(shù)。

（1）地面站消息洪水：這種針對(duì)局部地區(qū)地面設(shè)備的攻擊，會(huì)阻礙空中交通管制正常工作。雖然這種攻擊實(shí)現(xiàn)難度低，繁忙空域?qū)嵤┐祟惞粢部梢栽斐芍卮笃茐?。如果一群罪犯精心策劃一系列針?duì)多個(gè)機(jī)場(chǎng)的攻擊，仍可能極大地增加事故發(fā)生的概率，因?yàn)閭浣岛桨嗪芸赡苷也坏讲槐还舻膫浣禉C(jī)場(chǎng)。

（2）航空器消息洪水：這種攻擊方式原理同上，但是航空器變成攻擊目標(biāo)。而且最容易受到此類攻擊的目標(biāo)是正在起飛或者降落的航空器。采用高功率地面裝置發(fā)射消息可以實(shí)現(xiàn)阻塞，阻塞效果持續(xù)到航空器脫離發(fā)射裝置的作用范圍。理論上，如果攻擊者攜帶類似設(shè)備在航空器上實(shí)施攻擊的話，也可以攻擊空中航空器。

2.2.4 消息插入

由于ADS-B規(guī)范中缺少身份認(rèn)證，任何攻擊者產(chǎn)生的ADS-B消息都可能被認(rèn)為是有效的。這使得很多能降低航空器或者機(jī)場(chǎng)空域安全性的攻擊方式都可以被實(shí)施，例如：

（1）航空器影子插入：攻擊者可以發(fā)送一個(gè)實(shí)際不存在航班的消息數(shù)據(jù)。這種攻擊的目標(biāo)一般是航空器。由于是從地面設(shè)備發(fā)送信號(hào)，所以作用范圍接近地表。但是也可使用特殊技術(shù)去組織一個(gè)復(fù)雜攻擊，來(lái)迫使空中運(yùn)行的航空器改變速度和位置。在低能見度情況下的航班受到此類攻擊的話，機(jī)長(zhǎng)很難準(zhǔn)確分辨出真消息和假消息，或者說(shuō)是否真的有飛機(jī)在危險(xiǎn)距離內(nèi)。此外，具備TCAS系統(tǒng)的航空器也可能在收到假消息后，產(chǎn)生誤導(dǎo)機(jī)長(zhǎng)的指令。

（2） 地面站影子插入：這種攻擊跟上面的攻擊很相似，只不過攻擊目標(biāo)變成了地面站。這種攻擊方式會(huì)在空中交通管制員的ADS-B監(jiān)視設(shè)備上，生成虛假航空器目標(biāo)，從而影響管制員正常判斷，并分散其精力。

3? 不同攻擊方式下ADS-B的安全風(fēng)險(xiǎn)

從對(duì)被攻擊系統(tǒng)造成的影響，攻擊者成功實(shí)施攻擊的可能性，兩方面分析上節(jié)介紹的各種攻擊方式。表1考察對(duì)比了它們的可實(shí)施性、后果嚴(yán)重性和風(fēng)險(xiǎn)。

因?yàn)锳DS-B中缺少加密和認(rèn)證機(jī)制，并且ADS-B技術(shù)很容易獲取，航空器偵查攻擊成功實(shí)施的難度很低。同時(shí)它們并不會(huì)直接損害空中交通管制系統(tǒng)，所以這類攻擊的負(fù)面影響是相當(dāng)?shù)偷模ǖ惋L(fēng)險(xiǎn)）。盡管如此，在軍事環(huán)境中，航空器偵查卻是一個(gè)非常嚴(yán)重的問題，因?yàn)樗呛罄m(xù)更多精確主動(dòng)攻擊的第一步。

跟傳統(tǒng)的航空器偵查攻擊相比，主動(dòng)攻擊往往會(huì)造成更嚴(yán)重的安全問題，因?yàn)樗鼈儠?huì)直接損壞或者誤導(dǎo)在用系統(tǒng)或地面站。

利用消息刪除技術(shù)的航空器失蹤攻擊和航空器偽裝攻擊需要通過時(shí)間同步技術(shù)來(lái)確保在準(zhǔn)確的時(shí)刻破壞或者干擾消息信號(hào)。這極大的降低了這兩類攻擊的可能性。所以這類攻擊被歸類為中等風(fēng)險(xiǎn)。此外，多址定位技術(shù)和傳統(tǒng)雷達(dá)監(jiān)視系統(tǒng)仍然可以作為航空器定位的重要手段。

利用消息修改技術(shù)的軌跡修改攻擊和告警代碼修改攻擊可能會(huì)產(chǎn)生迷惑效應(yīng)。如果這種攻擊持續(xù)實(shí)施不被發(fā)現(xiàn)的話，也可能產(chǎn)生致命的后果。所以它屬于對(duì)空中交通有重大影響的攻擊。盡管如此，這種攻擊實(shí)現(xiàn)的可能性是最低的，因?yàn)檠谏w技術(shù)和比特翻轉(zhuǎn)技術(shù)需要非常高的時(shí)間精度和時(shí)間同步技術(shù)。因此它的風(fēng)險(xiǎn)等級(jí)是中等。

消息阻塞攻擊的風(fēng)險(xiǎn)可以定性為高。因?yàn)?，這種攻擊造成的地面站監(jiān)視數(shù)據(jù)的丟失會(huì)對(duì)空中管制產(chǎn)生重大影響。在地面站附近，如果攻擊者使用便攜式的低功率消息阻塞裝置，那么癱瘓?jiān)摰孛嬲镜腁DS-B信道的數(shù)據(jù)傳輸會(huì)很容易。而且，可以用作消息阻塞裝置的軟件無(wú)線電設(shè)備是很容易獲取的，因而顯著增加了這種攻擊成功實(shí)施的可能性。考慮到上節(jié)提到的隨機(jī)干擾器和被動(dòng)干擾器，消息阻塞攻擊可能會(huì)變得非常有效，并且很容易被隱藏起來(lái)。

消息插入攻擊將會(huì)是ADS-B最大的安全威脅，因?yàn)樗粌H可以產(chǎn)生嚴(yán)重后果，而且由于軟件無(wú)線電設(shè)備很容易獲取，攻擊者成功實(shí)施此類攻擊的可能性也非常高。尤其是當(dāng)攻擊者對(duì)某個(gè)地面站實(shí)施大量ADS-B消息插入攻擊時(shí)，管制員可能會(huì)被徹底誤導(dǎo)而造成交通癱瘓。由于此類攻擊需要一定技術(shù)去使用ADS-B協(xié)議來(lái)產(chǎn)生完整格式的ADS-B消息，才能使得虛假航空器出現(xiàn)在交通管制控制系統(tǒng)中，有一定難度，所以這種攻擊實(shí)施的可能性是中等。對(duì)于一個(gè)有中等實(shí)施可能性，但是能嚴(yán)重后果的攻擊方式，它帶來(lái)的風(fēng)險(xiǎn)是很高的。

4? 結(jié)語(yǔ)

本文分析的各種攻擊技術(shù)可以損害空中交通數(shù)據(jù)通信，可以給信息系統(tǒng)、管制員、飛行員和管理方引入錯(cuò)誤數(shù)據(jù)信息，使得完全依賴ADS-B可靠性的人或者系統(tǒng)做出錯(cuò)誤判斷，或得出錯(cuò)誤結(jié)論。因此，非常有必要去分析各類攻擊帶來(lái)的風(fēng)險(xiǎn)。盡管如此，具體的緩解或者阻止各類攻擊的方法，還需要更進(jìn)一步探索。

參考文獻(xiàn)

[1] AirNet自動(dòng)化系統(tǒng)技術(shù)手冊(cè)[Z].2018-8.

[2] 郝育松.AirNet管制中心自動(dòng)化系統(tǒng)[J].民航科技，2011（2）：25.

[3] 李佳.淺談自動(dòng)化系統(tǒng)語(yǔ)音同步回放功能的結(jié)構(gòu)演變[J].信息與電腦，2019（10）：11.