船舶自动识别系统信息安全问题及对策

刘志磊，彭树林

（上海埃威航空电子有限公司，上海 200233）

船舶自动识别系统信息安全问题及对策

刘志磊，彭树林

（上海埃威航空电子有限公司，上海 200233）

船舶自动识别系统（AIS）是现代船舶助航系统以及船舶交通管理服务系统的重要组成部分，其信息安全关乎船舶航行的安全。本文对AIS系统存在的安全漏洞进行了分析，指出了几种典型的攻击AIS系统的方法，并对其危害性进行了分析，探讨了检测AIS攻击的方法，最后提出了几种减轻AIS攻击危害的技术手段。

船舶自动识别系统；信息安全；安全漏洞；信息对抗；入侵检测

1 引言

船舶自动识别系统，简称AIS，是自20世纪90年代开始兴起的一种整合了卫星定位、网络、通信等技术的新型助航系统。用于船舶间的避碰、船舶交通管理系统、船舶报告。AIS船岸网络的在船舶导航、船舶避碰、船船通信、船岸通信、航运信息化建设等方面发挥了重要作用[1]。

然而，AIS系统可能遭受攻击，使现有的系统遭到破坏。2002年国际海事组织（IMO）通过MSC.140(76)决议（关于AIS VHF数据链路保护）[2]，要求主管机关应确保AIS信道的完好性。

AIS终端不仅在商船上使用，也在客船、渔船、私人游艇等船舶上使用。一些国家还开发了卫星和机载AIS设备[3][4]，用于快速收集海面航行态势信息。

正是因为AIS在民用领域以及军用领域的扩展，才导致了更加严重的安全问题：攻击AIS系统可以获得某种“利益”。

在AIS终端、AIS基站以及AIS应用系统的设计开发中，本文的作者研究了AIS信息安全以及信息对抗的相关问题。本文的目的在于提醒用户在设计AIS应用系统时应当注意到AIS的安全问题。

2 AIS系统的安全漏洞

2.1 AIS系统简介

根据ITU的标准规范ITU-R M.1371-4[5]，AIS系统的有4种不同的时分多址（TDMA）接入方案应用于控制终端接入到数据传输媒体中。这4种接入方案分别是自组织时分多址技术（SOTDMA）、增量时分多址技术（ITDMA）、随机接入时分多址技术（RATDMA）、固定接入时分多址技术（FATDMA）。SOTDMA是基本的方案，用于安排来自一个自主台站的重复传送。只有AIS基站才使用FATDMA。

AIS系统中，每帧的时间长度为1分钟，被划分为2250个时隙，以0～2249的编号来识别，在时隙开始处默认接入数据链路。数据传输采用面向比特的协议，该协议基于ISO/IEC 3309分组结构定义——高级数据链路控制（HDLC）。

SOTDMA中，分组格式包括6个部分：训练序列（24比特，0x555555）、起始标志（8比特，0x7E）、数据（在默认传输分组中，数据为168比特，在DLS中，数据长度不确定）、FCS（16比特CRC校验码）、结束标志（8比特，0x7E）、缓冲区（通常为24比特）。

在SOTDMA的默认传输分组，还考虑了发射机功率上升的时间，占用8比特。因此，默认传输分组的长度是256比特。

B类AIS终端，可以采用载波检测时分多址技术（CSTDMA）接入系统，其特征是其分组斜坡上升只有3比特（SOTMDA为8比特），缓冲区只有9比特（SOTDMA为24比特）。这样，可用20比特的载波侦听（CS）延迟，连同前述的3比特斜坡上升，就构成CSTDMA的23比特起始缓冲区。载波侦听在23比特的起始缓冲区中执行。

2.2 AIS系统的安全漏洞

AIS系统的安全漏洞分为AIS无线网络安全漏洞和AIS信息安全漏洞。

3 攻击AIS系统的方法

3.1 信息篡改

信息篡改，攻击AIS无线网络的通信链路，破环AIS无线网络的数据完整性。

攻击原理：发送篡改数据覆盖原报文的部分数据，在接收端收到的报文中，后半部分数据是被篡改过的数据，从而达到攻击目的。

攻击方法：同步被攻击的AIS终端的发射，在数据传输的后半部分，用大功率发射屏蔽被攻击AIS终端发射的信号。即在被攻击AIS终端传输报文的中间，利用大功率发射将其定位数据篡改本船或其他船的定位数据，同时发送篡改的CRC校验数据及缓冲区。对于近端，接收到其同步的AIS终端将得到一个正确的解码，并且其定位数据已被改为本船或其他船的数据。对于远端，由于没有接收到同步，后续信号只能看成干扰。因此，在被攻击AIS终端的覆盖范围内，被篡改后的报文可被其他AIS船舶终端以及AIS基站正确接收处理。

该攻击的特点：用大功率信息掩盖小功率信号。

要求：攻击站同步其他任何发射台的发射，其中必须考虑电磁波的传播延迟。

应注意的问题：信息篡改这种手段也存在明显的局限性，即攻击距离较近。攻击站需要与其他任何发射台的发射保持同步，这就必须考虑电磁波的传播延迟。只有当攻击站与被攻击AIS终端的距离较近时，才容易处理延迟、同步以及发射功率的问题。

3.2 伪造信息

伪造信息，攻击AIS应用系统中信息，主要出于欺骗的目的。

攻击原理：直接发送不真实的信息给AIS通信系统的用户，使其被欺骗，达到攻击目的。

AIS通信网络，对AIS终端的接入没有认证的机制，AIS终端发送到应用系统的数据默认为“可信”。因此，攻击台可以发送伪造的信息欺骗基于AIS的管理系统，伪造的信息包括船舶静态信息——名称、MMSI（Maritime Mobile Service Identity）、呼号、性质、货物等、船舶动态信息——位置、航速、航向等。

该攻击的特点：用伪造的信息掩盖真实的信息，可冒充其他船舶的AIS终端或报告伪造的动态数据。

应注意的问题：这种攻击方法也存在一定局限性，即，若用于冒充其他船舶，还需要配合定向干扰攻击（见3.4节）被冒充的对象，使其真实的行踪被屏蔽。若出于隐藏自身行踪目的，必要时需要协同的船舶以欺骗雷达的检测。

3.3 信道占用

信道占用，攻击AIS通信网络的通信链路，破环AIS通信网络的可用性。

攻击原理：以多个船舶的身份宣布占用信道，使系统容量下降直到全部时隙被占用，劫持整个AIS通信网络。

若为了将CSTDMA的船舶也排除在外，还可在CSTDMA的CS延迟缓冲区内发射位同步信息，使所有的CSTDMA船舶终端都“听”到一个正在发射的报文而放弃本次发射。

该攻击的特点：逐步占用TDMA的所有时隙。

应注意的问题：除非攻击的目的是破坏网络通信，不应采用此攻击手段占用过多时隙。时隙的占用情况能够被轻易检测出来，因此，该攻击方法的隐秘性不太好，应慎用。

3.4 干扰通信

干扰通信分为定向干扰和不定向干扰两类，攻击AIS通信网络的通信链路，破环AIS通信网络的可用性及完整性。

定向干扰，以干扰手段干扰选定的一个或一批AIS终端，破环AIS通信网络的完整性。定向干扰使被干扰AIS终端的真实信息在系统中不可见，目的是为了掩盖真相，或掩盖真相的同时冒充这些船舶展开行动。

不定向干扰，以干扰手段攻击覆盖范围内的所有通信，破环AIS通信网络的可用性。可以屏蔽部分区域的AIS通信，也可破环整个AIS网络的通信。

攻击原理：用电磁波干扰AIS终端的通信，破坏传输的数据或CRC校验数据，接收端因校验错误而丢弃所接收到的AIS报文。

该攻击的特点：短时间、大功率的电磁波干扰，破环TDMA时隙中的结构，使接收端数据解调得到的是被破环的数据，解码时不能通过数据完整性校验。

应注意的问题：只在特别情况下才使用不定向干扰，特别是干扰整个AIS网络应谨慎。由于不定向干扰能够被监测到，因此隐秘性不太好，应慎用。推荐采用定向干扰的攻击手段实施干扰攻击。

定向干扰特定AIS终端的目的可能是出于身份伪造的需要，即有一艘舰船冒充了该船。因此这艘被冒充的船舶应当被干扰屏蔽，使系统不能侦测到被冒充的事实。

3.5 多站联合攻击与多站协同攻击

出于攻击站自身安全的需要，既要达到攻击目的，又要具有隐蔽性，就必须采用多站联合攻击甚至多站协同攻击。多站攻击使用的主要方法在3.1节～3.4节已详细描述。不同于单站实施攻击，多站攻击是为达到攻击目的，以一定的流程执行最优化的组合攻击方法。

多站联合攻击指的是多个攻击站点同时发起攻击，但不相互交换攻击的策略和进程，目的是相互掩护，以防被侦测定位。

多站协同攻击与多站联合攻击相似，但多个攻击站点相互协调攻击策略和进程。多站协同攻击，是一个动态规划的过程，可根据攻击效果的反馈数据实时调整攻击策略，进而动态调整攻击方法和攻击流程。

攻击原理：在给定攻击目的（目标）下，设计攻击策略，最优化组合攻击方法及攻击流程。然后按此攻击策略实施攻击，达到攻击目的。

此攻击的特点：存在多个攻击站，攻击具有非常强的隐蔽性，攻击效果非常好。

要求：多个站之间存在通信链路，以便交换数据。

应用时应注意的问题：避免大功率长时间的发射，以防被侦测定位。

4 检测AIS攻击的方法

4.1 时隙占用分析

时隙占用分析用统计学的方法，发现可能存在的AIS攻击。在给定的接收地点，统计时间窗口为6分钟，检测AIS通信网络的时隙占用率，则该数据具有局部平稳性。若发现局部平稳性受到较大的破环，突然很高或突然很低，都可能意味着AIS攻击已经发生。

4.2 无线电信号强度分析

无线电信号强度分析用统计学的方法，发现可能存在的AIS攻击。在给定的接收地点，在一个时隙时间内，同步接收时隙内的无线电信号，检测信号强度，在同一船台的多次传输时隙上，检测的信号强度数据应具有一定的平稳性。若发现传输过程中，存在某种固定模式的信号强度加大的情形，可能意味着AIS攻击已经发生。

4.3 无线电信号信噪比分析

无线电信号信噪比分析用统计学的方法，发现可能存在的AIS攻击。在给定的接收地点，在一个时隙时间内，同步接收时隙内的无线电信号，检测信号的信噪比，在同一区域的AIS终端的多次传输时隙上，检测的信号信噪比数据应具有一定的平稳性。若发现某区域在传输过程中，存在某种固定模式的信号信噪比下降，可能意味着AIS攻击已经发生。

4.4 AIS报文误报率分析

误报率分析用统计学的方法，发现可能存在的AIS攻击。在给定的接收地点，接收给定区域AIS终端的报文，按报文的信息号分类，分析特定的一个或一批AIS终端的报文误报率数据。同一区域特定的一个或一批AIS终端的报文误报率数据应具有一定的平稳性。若发现误报率在不同类型的消息之间存在较大差异，可能意味着AIS攻击已经发生。

4.5 AIS历史数据挖掘与分析

通过从历史的AIS数据中，挖掘出对应船舶的相关性质：最后报告的位置、船舶的大小、动力特征（最大速度、最大加速度）、运行模式（航线及运行模式）等。若发现某个声称为该船舶的AIS，在与上述数据进行匹配的时候存在明显的错误，并且这种错误没有合理的解释，则可能发生了AIS攻击。比如一条内河运输船到了公海，就是明显的错误，并且这个错误不能得到合理解释。用历史数据挖据与分析的方法，分析出伪造船舶的可能性较高。但要求有足够的历史数据，并且其最新数据是真实的。当系统利用欺骗手段，使数据收集得到的数据本身就是伪造的信息，本方法失效。

4.6 雷达目标与AIS目标的航迹关联分析

采取AIS目标和雷达目标进行数据融合的方法，可检测和分析出伪造的目标。在AIS目标和雷达目标的信息融合中，需要进行AIS的航迹和雷达的航迹进行关联，若雷达跟踪的航迹和AIS报告的航迹关联度不够，融合算法不会将其进行融合。这样，就能够发现某些AIS目标在雷达视野内长期（1分钟以上）不能融合的现象。若发现不能融合的AIS目标，可能发生了AIS攻击，应配合其他检测方法进行确认。该方法由于雷达的角度分辨力较差，很难区分两个远处的目标，这给伪造船舶信息的检测带来困难。

4.7 无线电测向定位与AIS目标定位关联分析

对于岸基的AIS攻击检测，可使用无线电测向定位。当其他检测方法发现了可能存在的AIS攻击某特定AIS终端时，可以使用甚高频（VHF）电台呼叫该船舶。若原船舶响应VHF电台呼叫，则系统可能暴露出两个不同的船位。若冒充的传播也响应呼叫，仍然可通过无线电测向定位发现两个不同的船位，从而检测到可能的AIS攻击。该检测方法，对于跟随在被攻击船的附近的攻击站，缺乏检测精度，不能进行有效识别。

5 减轻AIS攻击的危害

5.1 AIS终端的接入认证

在特定的AIS应用系统中，比如用于安保、反恐等，系统内部管理的任何AIS终端默认是不可信的，应当通过某种认证机制，使终端响应系统的加密查询短消息，并将查询结果加密以短消息形式返回。加密的方法不限定，但必须以ASCII明文的方式进行交互。系统内管理的终端只有通过认证后才被信任，否则，应和系统管理外的终端处于相同的地位——不可信任的潜在风险者。

5.2 AIS目标与雷达目标的信息融合

采取数据融合方法检测伪造的目标，在4.6节已有详细描述。在雷达视野内，若存在不能融合的AIS目标，应当降低对这些AIS终端数据的可信等级。

5.3 避碰操作

系统检测到AIS攻击现象或发现周边船舶报告的航迹与雷达的航迹不相关时，应立即降低对AIS信息的信任。在与信任等级降低的AIS终端所报告的船舶进行避碰操作时，应当以雷达数据为参考，并主要靠人工进行态势判断，作出避碰的行动决策。

5.4 自动操舵

系统检测到AIS攻击事件后，处于自动操舵航行状态的舰船，应当立即切换到人工操作，避免错误的执行指令发送给自动舵。若与某船舶有交汇的操作，应当对其AIS报告的数据进行风险评估。只要其AIS报告的航迹和雷达报告的航迹之间的相关性小于给定的值，应当将其列为不可信任船舶。

故此，用电子海图系统ECS或电子海图信息系统ECDIS控制自动舵的系统，应将不受信任的AIS信息以某种方式被屏蔽，不能将其用于自动舵控制控制的依据之一。

6 结束语

AIS网络的存在安全性问题，在设计AIS应用系统时，应当适当考虑安全措施。特别是在基于信任AIS信息的应用系统中，应当有检测AIS攻击的机制，并有预防措施减轻AIS攻击。若应用于专用场所，应当采用必要的技术手段检测多站协同攻击，或完全不信任AIS系统提供的情报。

[1] 赵丽宁，赵德鹏，谷伟．AIS与现代航海技术的关系及对未来航海的影响[J]．大连：大连海事大学学报，2002.11:46～49.

[2] IMO. Resolution MSC.140(76) RECOMMENDAION FOR THE PROTECTION OF THE AIS VHF DATA LINK[S]. 2002.12.

[3] 梁银川，宋海丰，刘悦．卫星AIS探测技术发展现状及应用前景分析[J]．上海：卫星应用．2103.6：22～27.

[4] 霍立平，陈必然，贾绍文．发展机载AIS的设想[J]．山东：科技信息．2010.23：119～120.

[5] ITU-R M.1371-4, Technical characteristics for an automatic identification system using time-division multiple access in the VHF maritime mobile band.

星网卫通亮相Communic Asia 2014展会

近日，北京星网卫通科技开发有限公司携旗下动中通、便携站和动中看三大类共七款移动卫星通信产品惊艳亮相CommunicAsia2014展会，展示了近乎完美的移动卫星通信产品。星网卫通展会现场充满国际范的展台布置、精湛完美的产品细节设计、参展人员细致耐心的现场解说让参观者对星网卫通这一中国品牌赞不绝口。星网卫通与其他中国卫星通信行业厂家一道向世界卫星界展示了不断崛起的中国力量，本次展会也展示了星网卫通致力于成为世界一流移动卫星通信设备供应商和国际领先天线稳控解决方案提供商的信心和决心。

6月18日，SANETEL星网卫通还在展会现场举行了简短的英文发布仪式，正式向全球发布英文品牌理念“Connecting the Infinity”。来自全球各地的客户代表、供应商代表、媒体代表参加了发布仪式。In fin ity在英文中含有无限的时间和空间之意，也可引申为无限的机遇、光明的前景和永无止境的追求，这恰好与星网卫通的品牌理念完美契合。“Connecting the Infinity”意指星网卫通SANETEL全系列产品既含车载、船载、机载，也有便携式天线；天线面形式既有抛物面、切割抛物面，也有平板阵列天线，产品优异的品质能完全满足海陆空全领域、全时域的无缝互联使用需求。意指星网卫通SANETEL不断创新，追求卓越，将利用自身技术的不断进步为卫星通信技术的进步和发展创造无限可能。意指全体星网卫通人将以客户的最大满意作为自身永无止境的追求，将以“开放、包容、共享”的态度与上下游企业携手创造共赢局面。

北京星网卫通科技开发有限公司拥有全自主研发的高精度惯性/卫星组合导航测姿技术、卫星信标峰值识别跟踪技术、多级反馈伺服稳定跟踪技术等多项核心技术，凭借技术、人才、管理、自主创新及优质服务等优势，星网卫通精心打造了高品质、高性价比车载中轮廓动中通天线、车载低轮廓平板动中通天线、船载动中通天线、全自动便携式卫星通信天线等产品，产品技术先进，性能卓越，质量稳定，达到国内外领先水平。公司拥有完善的产品研发、生产、测试、检验、服务体系以及质量保证体系，公司通过了ISO9001:2008质量管理体系认证，并严格按照国军标质量管理体系的要求组织产品研发、生产、检验工作。近两年来，公司的车船载动中通、全自动便携站产品实现大批量交付，产品遍布包括海南永兴岛、新疆和田、西藏阿里等在内的全国所有省份，公司产品在我国应急救灾、武警反恐、海军重大任务等方面发挥了非常重要的作用。

Automatic Identification System Information Safety and Security

Liu Zhilei, Peng Shulin
（ShangHai Advanced Avionics Co., Ltd., ShangHai, 200233, China）

Automatic Identification System (AIS) is an important part of modern aids to navigation systems and ship vessel traffi c management service system, the information security concerns for the safety of navigation. In this paper, AIS system security vulnerabilities are analyzed, pointing out several typical attack AIS system approach and its harm fulness analyzed, discussed the AIS attack detection method, and finally presents several hazards to reduce AIS attack technical means.

Automatic Identification System; In formation Security; Secu rity vulnerabilities; Information Warfare; Intrusion Detection

10.3969/j.issn.1672-7274.2014.07.002

TN 92，TN 96文献标示码：A

1672-7274（2014）07-0005-05

陈 灏，男，1974年4月生，广东湛江人，中国电信广东无线网络运营中心网络运营部总经理，主要负责工作是全省移动网络资源管理和设备运行管理等工作。

曾凡涛，男，1981年11月生，安徽六安人，网络维护管理工程师，主要负责工作网络维护管理、IT系统建设等工作。

刘伟渊，男，1972年11月生，广东兴宁人，网络维护管理工程师，主要负责网格运营等工作。