基于ARINC822的机载无线网络安全架构设计

史岩+朱佳+范祥辉+王红春

摘要无线网络在民机上的应用是一个全新的应用模式，在提高飞机维护效率，降低飞机维护成本的同时，也对机载网络安全性设计提出了更严格的要求。通过对机载无线网络架构的研究，本文分析了可能由地面网络技术引入的网络安全威胁，并针对这些威胁探讨了相对应的安全防护策略。

关键词ARINC822；Gatelink；机载无线网络；机载网络安全；安全架构

中图分类号：TN918 文献标识码：A 文章编号：1671-7597（2014）12-0044-02

机载无线网络提供一种无线通信连接，此连接通过使用网际协议（IP）来提供泊机和地面IP网络基础设施之间的服务。这种无线通信连接（通常被称为Gatelink）为机场和机上网络提供了网络连接（如图1）。Gatelink使航空公司能够以一种安全的方式与飞机网络及其他设备进行通信。当飞机停泊以后可以自动建立起Gatelink连接，泊机通过无线链路上传下载数据。本文以机载无线网络安全为出发点，通过描述机载无线网络系统，对机载无线网络安全所面临的威胁进行了分析，研究机载无线网络的安全架构。

图1Gatelink连接

1机载无线网络系统

1.1 网络要素

图2机载无线网络系统架构

机载无线网络系统包括机场有线网络和Gatelink无线网络。图2阐述了针对机场到飞机的访问所需要的基本网络架构。终端无线局域网网络功能（TWLF）与路由功能、DHCP或一些网络安全功能结合在一起，称之为终端无线局域网单元（TWLU）。

地面网络包括了无线网络部件和形成机场无线局域网（WLAN）的路由器。此外，诸如DNS服务器、DHCP、AAA服务器等的设备也被包括在机场和（或）航空公司负责的地面网络中。机场和航空公司信息系统之间的网络基础构架同样在其中。

1.2 机场无线连接

当飞机处在机场AP范围之内时，TWLF客户端将根据为Gatelink功能设定的SSID来扫描可用的AP。如果有相同SSID存在且信号足够强，TWLF将自动与机场无线网络设备射频关联。如果没有扫描到，那么TWLF将不会关联。一旦射频关联完成，TWLF将会发起一个与机场AP基于已注册的TWLF AAA服务器设置的认证过程。服务器可放置在机场或航空公司。一旦认证过程完成，进行密钥交换，创建机场和飞机之间的无线网络会话。

2机载无线网络安全威胁

机载无线通信系统主要面临来自无线局域网技术及传统有线网络技术的安全威胁，要分析和设计一个通信系统的安全性，必须从攻防两个对立面入手。

2.1 被动攻击

被动攻击是指未经授权的实体简单地访问网络，但不修改其中内容的攻击方式，被动攻击一般是简单的窃听或流量分析。

2.2 主动攻击

主动攻击是指未经授权的实体接入网络，并修改信息、数据流或文件内容的一种攻击方式。可以利用完整性检验检测到这类攻击，但无法阻止这类攻击。

1）伪装攻击：攻击者可以通过伪装成合法的服务器或通信的一方来获取敏感数据。

2）篡改攻击：攻击者通过添加、删除、更改或重新组织来改变合法消息。

3）重放攻击：攻击者通过被动攻击检测传输的信息流，重传合法用户曾经发布过的信息。

4）拒绝服务：一方面，恶意用户可以通过AP接入网络后，向AP持续发送垃圾数据或利用协议漏洞造成接入设备工作变缓甚至因资源耗尽而崩溃，从而占用带宽影响正常通信数据流，最终导致拒绝服务。

5）另一方面，接入至外部网络后，接入设备的IP地址直接暴露在外部网络中，针对该IP的Dos/DDoS就会使接入设备不能正常工作，导致网络瘫痪。

针对机载无线通信系统存在的潜在危险，如何保证网络的安全成为无线网络应用于航空业首先要解决的问题。

2.3 无线技术是不可靠的

IEEE802.11b/g和IEEE802.11a是目前部署最广泛的无线技术。传统上，IEEE802.11安全保护包括使用开放式认证或共享密钥认证和使用静态的等效有线加密密钥（WEP）。这种结合提供了访问控制和加密的基本标准，但实际中是不可靠的。

1）认证。IEEE802.11支持三种认证方式：开放式认证，允许所有接入；共享密钥认证，明文的挑战文本以及被WEP密钥加密的相同挑战能够轻易的被破解；公钥认证：公共密钥认证使用一个与共享密钥类似的挑战系统，但是仅拥有挑战文本和WEP加密过的响应不足以解密出所使用的潜在的密钥。所以公钥（PKI）认证是首选的方法。

2）密钥管理。静态的WEP密钥由40或128位组成，这种密钥由AP的网络管理员和所有与AP通信的客户端静态定义。静态WEP密钥的设备丢失或者被盗，将会对网络带来极大的危险而且几乎无法被管理员察觉。在此之后网络管理员必须更改与被盗设备静态WEP密钥相同的所有设备上的WEP密钥。如果静态WEP密钥被类似于AirSnort的工具所破解，网管将无从得知密钥已被黑客危害。

3安全架构及关键技术

通过对机载无线通信系统安全威胁的分析并结合OSI模型，安全威胁主要源自于链路层MAC接入控制子层以上应用层之下的各层协议。针对这些威胁涉及到的协议，通过层次化的安全技术如接入控制验证技术、数据传输加密技术和防火墙技术等来解决，各安全技术在OSI模型中所处的位置见图3所示。以分层方式采取多种不同的安全策略来构建一个安全、保密的异构网络端到端数据传输通道。即应针对不同层次的安全需求采取相应措施来最大限度的保证机载无线网络通信的安全性。

图3安全技术与OSI模型对照关系

3.1 无线链路层安全技术

GateLink连接是实现机载网络与机场网络互通的桥梁，其开放性的特点是整个网路中安全性最薄弱的环节，机载网络端以TWLF作为无线通信的实体，机场网络端以AP作为无线接入设备，两者基于IEEE802.11协议实现无线连接。IEEE802.11i实现了增强的双向身份认证机制、层次密钥机制与密钥管理方法以及增强的加密算法等措施以增强无线网络的安全防护能力。

IEEE802.11i使用802.1X作为接入控制协议，IEEE802.1X是基于端口的身份认证与访问控制协议，是一种典型的C/S体系结构，整个系统分为客户端、认证者和认证服务器三个重要部分。IEEE802.1x在LAN设备的物理接入级对接入设备进行验证和控制，为点到点连接的LAN交换设备端口提供认证和授权服务。连接在该类端口上的用户设备如果能通过验证，就可以访问LAN内的资源；如果不能通过验证，端口接入将被阻塞，相当于物理上断开连接。

通过采用EAP-TLS提供动态会话密钥分发的双向认证机制。无线客户端和服务器需要标准的X.509证书并安装。对重放攻击免疫，在拓展为EAP-TLS后可以有效的防止拒绝服务式攻击。EAP-TLS认证在安全性方面有特有的优势，需要在客户机和认证服务器上使用证书，进行两次认证，尽管需要客户机、服务器之间繁琐的证书管理，但EAP-TLS实现方法比其他EAP更安全。本设计基于EAP-TLS的双向认证机制，保证TWLU和AP两端都是合法用户，避免重放攻击、DoS攻击。

3.2 网络层安全技术IPSec VPN

当在无线环境中部署IPSec时，IPSec客户端被置于机场网络出口的网关中，继而建立一个IPSec隧道发送所有相关的数据流到目标网络，并利用黑洞方法剔除到达VPN网关和DHCP/DNS服务器之外的任何目的地的数据包。这样IPSec VPN不但为IP数据包提供了机密性，并且具有认证和防止重放的功能。

endprint

IPSec协议工作在网络层，这使IPsec更加灵活，因为它可以用来保护基于TCP和UDP的应用层协议数据，但这增加了它的复杂度以及总的开销处理，因为它不能依靠TCP管理可靠度。当前IPSec多是被用于域（site）到域的安全可靠的连接协议，它并不用来保护特定应用或业务。因此可以使用SSL/TLS等传输层及其以上的（OSI模型的第4层至第7层）安全协议来完成针对特定应用安全的端到端数据传输通道。

3.3 端到端安全技术SSL VPN

SSL VPN是新兴的远程访问技术，通过Web浏览器或专用客户端提供与企业内部资源的安全连接。该技术位于OSI模型的传输层和应用层之间。SSL VPN可以根据不同的用户和安全属性授予用户不同的访问权限，这是SSL VPN与传统远程访问解决方案（如基于IPSec的远程访问VPN）的主要区别。这种方式优于传统的IPsec VPN方式的主要特点是不需要安装任何用户终端软件，用户终端只需要拥有一个支持SSL的浏览器即可。

本研究方案对IPSec VPN和SSL VPN两种安全技术都做了研究，根据航空应用场景和航空应用对安全性的要求，将两种VPN结合起来，充分发挥它们的优势，为飞机和航空公司之间的通信提供高信息安全保障。

4结论

机载网络与地面网络通过机场无线网络进行无缝连接的功能，改变了机载信息与地面网络信息相互交互的传输过程和方式，可以大幅度提升数据上传下载的效率，提升维护效率，降低维护成本，并及时预测故障的发生。本文参考ARINC822规范，基于OSI参考模型，提出一套解决航空无线网络应用安全性的方案，该方案在数据链路层采用EAP-TLS双向认证机制，用于解决机载无线设备与机场无线接入点之间的安全认证；在网络层使用IPSec VPN技术在机载网络、机场网络、公共网络及航空公司网络之间提供IPSec VPN通道，用于保证数据在不同网络中传输的安全性；在传输层与应用层之间采用SSL VPN技术，在机载应用与航空公司应用之间提供SSL VPN通道，用于保证不同安全等级的应用数据传输的安全性。通过以上策略确保机载设备与航空公司服务器之间端到端应用的安全性。

参考文献

[1]陈剑，李晓东.机载信息系统无线网络的安全设计[J].航空计算技术，2012，3（42）：130-134.

[2]AIRLINES ELECTRONIC ENGINEERING COMMITTEE.AIRCRAFT/GROUND IP COMMUNICATION[S].ARINC，2008.

[3]王曼珠，周亮.基于RADIUS／EAP的WLAN认证及其安全性分析[J].电子科技大学学报，2005，2（34）：168-171.

[4]曹利，黄海斌.基于802.11i的四次握手协议的攻击分析[j].计算机工程，2009，10（35）：145-146.

[5]池亚平，杨磊，李兆斌，方勇.基于EAPTLS的可信网络连接认证方案设计与实现[J].计算机工程与科学，2011，4（33）：8-12.

[6]熊蜀峰，周本东.基于角色的访问控制在SSL VPN中的应用[J].计算机与数字工程，2011，8（39）：105-108.

[7]吴丽华，史烈基.于VPN技术的安全无线局域网的构建[J].计算机工程，2005，4（31）：169-171.

endprint

IPSec协议工作在网络层，这使IPsec更加灵活，因为它可以用来保护基于TCP和UDP的应用层协议数据，但这增加了它的复杂度以及总的开销处理，因为它不能依靠TCP管理可靠度。当前IPSec多是被用于域（site）到域的安全可靠的连接协议，它并不用来保护特定应用或业务。因此可以使用SSL/TLS等传输层及其以上的（OSI模型的第4层至第7层）安全协议来完成针对特定应用安全的端到端数据传输通道。

3.3 端到端安全技术SSL VPN

SSL VPN是新兴的远程访问技术，通过Web浏览器或专用客户端提供与企业内部资源的安全连接。该技术位于OSI模型的传输层和应用层之间。SSL VPN可以根据不同的用户和安全属性授予用户不同的访问权限，这是SSL VPN与传统远程访问解决方案（如基于IPSec的远程访问VPN）的主要区别。这种方式优于传统的IPsec VPN方式的主要特点是不需要安装任何用户终端软件，用户终端只需要拥有一个支持SSL的浏览器即可。

本研究方案对IPSec VPN和SSL VPN两种安全技术都做了研究，根据航空应用场景和航空应用对安全性的要求，将两种VPN结合起来，充分发挥它们的优势，为飞机和航空公司之间的通信提供高信息安全保障。

4结论

机载网络与地面网络通过机场无线网络进行无缝连接的功能，改变了机载信息与地面网络信息相互交互的传输过程和方式，可以大幅度提升数据上传下载的效率，提升维护效率，降低维护成本，并及时预测故障的发生。本文参考ARINC822规范，基于OSI参考模型，提出一套解决航空无线网络应用安全性的方案，该方案在数据链路层采用EAP-TLS双向认证机制，用于解决机载无线设备与机场无线接入点之间的安全认证；在网络层使用IPSec VPN技术在机载网络、机场网络、公共网络及航空公司网络之间提供IPSec VPN通道，用于保证数据在不同网络中传输的安全性；在传输层与应用层之间采用SSL VPN技术，在机载应用与航空公司应用之间提供SSL VPN通道，用于保证不同安全等级的应用数据传输的安全性。通过以上策略确保机载设备与航空公司服务器之间端到端应用的安全性。

参考文献

[1]陈剑，李晓东.机载信息系统无线网络的安全设计[J].航空计算技术，2012，3（42）：130-134.

[2]AIRLINES ELECTRONIC ENGINEERING COMMITTEE.AIRCRAFT/GROUND IP COMMUNICATION[S].ARINC，2008.

[3]王曼珠，周亮.基于RADIUS／EAP的WLAN认证及其安全性分析[J].电子科技大学学报，2005，2（34）：168-171.

[4]曹利，黄海斌.基于802.11i的四次握手协议的攻击分析[j].计算机工程，2009，10（35）：145-146.

[5]池亚平，杨磊，李兆斌，方勇.基于EAPTLS的可信网络连接认证方案设计与实现[J].计算机工程与科学，2011，4（33）：8-12.

[6]熊蜀峰，周本东.基于角色的访问控制在SSL VPN中的应用[J].计算机与数字工程，2011，8（39）：105-108.

[7]吴丽华，史烈基.于VPN技术的安全无线局域网的构建[J].计算机工程，2005，4（31）：169-171.

endprint

IPSec协议工作在网络层，这使IPsec更加灵活，因为它可以用来保护基于TCP和UDP的应用层协议数据，但这增加了它的复杂度以及总的开销处理，因为它不能依靠TCP管理可靠度。当前IPSec多是被用于域（site）到域的安全可靠的连接协议，它并不用来保护特定应用或业务。因此可以使用SSL/TLS等传输层及其以上的（OSI模型的第4层至第7层）安全协议来完成针对特定应用安全的端到端数据传输通道。

3.3 端到端安全技术SSL VPN

SSL VPN是新兴的远程访问技术，通过Web浏览器或专用客户端提供与企业内部资源的安全连接。该技术位于OSI模型的传输层和应用层之间。SSL VPN可以根据不同的用户和安全属性授予用户不同的访问权限，这是SSL VPN与传统远程访问解决方案（如基于IPSec的远程访问VPN）的主要区别。这种方式优于传统的IPsec VPN方式的主要特点是不需要安装任何用户终端软件，用户终端只需要拥有一个支持SSL的浏览器即可。

本研究方案对IPSec VPN和SSL VPN两种安全技术都做了研究，根据航空应用场景和航空应用对安全性的要求，将两种VPN结合起来，充分发挥它们的优势，为飞机和航空公司之间的通信提供高信息安全保障。

4结论

机载网络与地面网络通过机场无线网络进行无缝连接的功能，改变了机载信息与地面网络信息相互交互的传输过程和方式，可以大幅度提升数据上传下载的效率，提升维护效率，降低维护成本，并及时预测故障的发生。本文参考ARINC822规范，基于OSI参考模型，提出一套解决航空无线网络应用安全性的方案，该方案在数据链路层采用EAP-TLS双向认证机制，用于解决机载无线设备与机场无线接入点之间的安全认证；在网络层使用IPSec VPN技术在机载网络、机场网络、公共网络及航空公司网络之间提供IPSec VPN通道，用于保证数据在不同网络中传输的安全性；在传输层与应用层之间采用SSL VPN技术，在机载应用与航空公司应用之间提供SSL VPN通道，用于保证不同安全等级的应用数据传输的安全性。通过以上策略确保机载设备与航空公司服务器之间端到端应用的安全性。

参考文献

[1]陈剑，李晓东.机载信息系统无线网络的安全设计[J].航空计算技术，2012，3（42）：130-134.

[2]AIRLINES ELECTRONIC ENGINEERING COMMITTEE.AIRCRAFT/GROUND IP COMMUNICATION[S].ARINC，2008.

[3]王曼珠，周亮.基于RADIUS／EAP的WLAN认证及其安全性分析[J].电子科技大学学报，2005，2（34）：168-171.

[4]曹利，黄海斌.基于802.11i的四次握手协议的攻击分析[j].计算机工程，2009，10（35）：145-146.

[5]池亚平，杨磊，李兆斌，方勇.基于EAPTLS的可信网络连接认证方案设计与实现[J].计算机工程与科学，2011，4（33）：8-12.

[6]熊蜀峰，周本东.基于角色的访问控制在SSL VPN中的应用[J].计算机与数字工程，2011，8（39）：105-108.

[7]吴丽华，史烈基.于VPN技术的安全无线局域网的构建[J].计算机工程，2005，4（31）：169-171.

endprint