摘 要:随着ADS-B系统的逐步推广和建设,它的安全风险分析变得非常必要。本文首先介绍了ADS-B通信的安全现状和主要的安全漏洞,随后通过详细介绍不同攻击方式及实现技术,简单分析了ADS-B系统在相应攻击下的风险等级。
关键词:ADS-B 安全风险 攻击方式
中图分类号:TP311 文献标识码:A 文章編号:1674-098X(2019)11(c)-0008-02
1 ADS-B安全现状
根据ADS-B规范,ADS-B Out的消息中至少要包含航空器标识,气压值,经纬度,高度,速度数据。因为ADS-B数据是非加密的,恶意攻击者使用一些便宜且易获取的现成软硬件设备,就可以窃听这些信息。这些设备使得攻击者可以在ADS-B信道中捕获、修改、删除或者插入消息,也可以使用阻塞和欺骗技术去实施攻击。因此,一旦ADS-B被全面部署和使用,空中交通管制服务将会部分依赖ADS-B技术,它的可信度对于日后的航空安全是至关重要的。
2 ADS-B攻击方式和攻击技术
对于所有攻击来说,没有加密或者验证机制的ADS-B该系统都是比较脆弱的,尤其是物理层攻击。ADS-B的主要安全问题是缺少安全机制阻止恶意轻易实施攻击。ADS-B通信主要漏洞如下。
(1)缺乏认证:不能阻止非认证用户收发消息;
(2)缺少消息签名:不能隔离假消息,不能正确识别消息发送者;
(3)缺少加密:不能阻止无线信道中收发的敏感信息被窃听;
(4)缺少MAC地址或者随机地址:不能阻止延时攻击;
(5)缺少短期身份标识:不能确保数据隐私。
针对以上漏洞,本节依次介绍各类攻击方式和攻击技术。
2.1 被动攻击
加密和认证机制的ADS-B通信数据很容易被攻击者捕获。这种攻击叫做“消息窃听”,或者“航空器侦查”。
文献[2]利用低成本的ADS-B接收机,在一周时间里跟踪了近两万个航班。对照ADS-B的112比特的消息格式,有56比特用来存储ADS-B数据,还有24比特用来存储24位地址码。ADS-B数据信息包括识别号、位置、速度、紧急代码和数据质量等级等。虽然航空器来的24位地址码是唯一的,但是攻击者可以通过消息窃听获取航空器地址码。
2.2 主动攻击
ADS-B的主动攻击是空中交通管制安全的直接威胁。主动攻击都是基于对1090MHz无线信道的干扰。
2.2.1 消息删除
合法的ADS-B消息可以通过两种方法来达到消除的效果[1]。
(1)反向干扰:通过反相信号来衰减或者摧毁原始消息;
(2)正向干扰:发送含有大量错误比特的信号,叠加在原消息上,导致原消息比特错误较多。因为每个消息的CRC校验最多只能纠正5比特错误,多于5比特错误的消息,会被接收方判定为损坏的数据而丢弃。
使用这类技术的攻击方式如下。
(1)航空器失踪:攻击者删除一个航空器的所有消息,使它对其他航空器或者地面站不可见。
(2)航空器伪装:先复制航空器的24位地址码,再使用消息删除和消息插入伪装航空器。航空器机舱内的攻击者,通过修改航空器的24位地址码也可以实施这种攻击。
2.2.2 消息修改
这种攻击往往不易察觉。为此,管制员很可能被误导给出错误的指令。这种攻击也会给航空器的防相撞系统带来负面影响。
实现方法如下[1]:
(1)消息淹没:发送一个信号幅度强到可以淹没原信号的假消息;
(2)比特翻转:翻转任意位数的比特数据。
通过使用以上两种技术,可以实现以下攻击方式:
(1)航迹修改:可以修改航空器发出的原始消息中的位置数据[2],或者删除原始消息并发送一个包含错误位置数据的新消息;
(2)告警代码修改:攻击原理同上,但是它修改了原始数据的告警信息。恶意攻击者用它可以在空管系统中产生很多冲突告警。
2.2.3 消息阻塞
数据通信中,消息阻塞是一个常用的可以造成拒绝服务效果的攻击方式。由于ADS-B数据通信中没有设置访问数据链接的物理障碍,攻击者可以在无线信道中发送数据。对于ADS-B,这个无线信道就是1090MHz。当攻击者在信道中发送海量消息时,会造成该信道通信能力显著下降,甚至无法使用。
攻击者可以使用多种策略实现这种攻击:
(1)长发干扰器:持续发射噪声、单音或者随机信号。这类信号容易被识别,从而被接收机过滤掉。
(2)欺骗干扰器:持续产生有效数据包,使得接收机很难区分数据包到底来自攻击者,还是真实用户。
(3)随机干扰器:交替实现长发干扰器和欺骗干扰器的功能,并间歇性休眠。
(4)被动干扰器:只有当信道中有正在进行的通信时才工作,从而显著降低了被识别的概率。
以下攻击方式使用了上面的攻击技术。
(1)地面站消息洪水:这种针对局部地区地面设备的攻击,会阻碍空中交通管制正常工作。虽然这种攻击实现难度低,繁忙空域实施此类攻击也可以造成重大破坏。如果一群罪犯精心策划一系列针对多个机场的攻击,仍可能极大地增加事故发生的概率,因为备降航班很可能找不到不被攻击的备降机场。
(2)航空器消息洪水:这种攻击方式原理同上,但是航空器变成攻击目标。而且最容易受到此类攻击的目标是正在起飞或者降落的航空器。采用高功率地面装置发射消息可以实现阻塞,阻塞效果持续到航空器脱离发射装置的作用范围。理论上,如果攻击者携带类似设备在航空器上实施攻击的话,也可以攻击空中航空器。
2.2.4 消息插入
由于ADS-B规范中缺少身份认证,任何攻击者产生的ADS-B消息都可能被认为是有效的。这使得很多能降低航空器或者机场空域安全性的攻击方式都可以被实施,例如:
(1)航空器影子插入:攻擊者可以发送一个实际不存在航班的消息数据。这种攻击的目标一般是航空器。由于是从地面设备发送信号,所以作用范围接近地表。但是也可使用特殊技术去组织一个复杂攻击,来迫使空中运行的航空器改变速度和位置。在低能见度情况下的航班受到此类攻击的话,机长很难准确分辨出真消息和假消息,或者说是否真的有飞机在危险距离内。此外,具备TCAS系统的航空器也可能在收到假消息后,产生误导机长的指令。
(2) 地面站影子插入:这种攻击跟上面的攻击很相似,只不过攻击目标变成了地面站。这种攻击方式会在空中交通管制员的ADS-B监视设备上,生成虚假航空器目标,从而影响管制员正常判断,并分散其精力。
3 不同攻击方式下ADS-B的安全风险
从对被攻击系统造成的影响,攻击者成功实施攻击的可能性,两方面分析上节介绍的各种攻击方式。表1考察对比了它们的可实施性、后果严重性和风险。
因为ADS-B中缺少加密和认证机制,并且ADS-B技术很容易获取,航空器侦查攻击成功实施的难度很低。同时它们并不会直接损害空中交通管制系统,所以这类攻击的负面影响是相当低的(低风险)。尽管如此,在军事环境中,航空器侦查却是一个非常严重的问题,因为它是后续更多精确主动攻击的第一步。
跟传统的航空器侦查攻击相比,主动攻击往往会造成更严重的安全问题,因为它们会直接损坏或者误导在用系统或地面站。
利用消息删除技术的航空器失踪攻击和航空器伪装攻击需要通过时间同步技术来确保在准确的时刻破坏或者干扰消息信号。这极大的降低了这两类攻击的可能性。所以这类攻击被归类为中等风险。此外,多址定位技术和传统雷达监视系统仍然可以作为航空器定位的重要手段。
利用消息修改技术的轨迹修改攻击和告警代码修改攻击可能会产生迷惑效应。如果这种攻击持续实施不被发现的话,也可能产生致命的后果。所以它属于对空中交通有重大影响的攻击。尽管如此,这种攻击实现的可能性是最低的,因为掩盖技术和比特翻转技术需要非常高的时间精度和时间同步技术。因此它的风险等级是中等。
消息阻塞攻击的风险可以定性为高。因为,这种攻击造成的地面站监视数据的丢失会对空中管制产生重大影响。在地面站附近,如果攻击者使用便携式的低功率消息阻塞装置,那么瘫痪该地面站的ADS-B信道的数据传输会很容易。而且,可以用作消息阻塞装置的软件无线电设备是很容易获取的,因而显著增加了这种攻击成功实施的可能性。考虑到上节提到的随机干扰器和被动干扰器,消息阻塞攻击可能会变得非常有效,并且很容易被隐藏起来。
消息插入攻击将会是ADS-B最大的安全威胁,因为它不仅可以产生严重后果,而且由于软件无线电设备很容易获取,攻击者成功实施此类攻击的可能性也非常高。尤其是当攻击者对某个地面站实施大量ADS-B消息插入攻击时,管制员可能会被彻底误导而造成交通瘫痪。由于此类攻击需要一定技术去使用ADS-B协议来产生完整格式的ADS-B消息,才能使得虚假航空器出现在交通管制控制系统中,有一定难度,所以这种攻击实施的可能性是中等。对于一个有中等实施可能性,但是能严重后果的攻击方式,它带来的风险是很高的。
4 结语
本文分析的各种攻击技术可以损害空中交通数据通信,可以给信息系统、管制员、飞行员和管理方引入错误数据信息,使得完全依赖ADS-B可靠性的人或者系统做出错误判断,或得出错误结论。因此,非常有必要去分析各类攻击带来的风险。尽管如此,具体的缓解或者阻止各类攻击的方法,还需要更进一步探索。
参考文献
[1] AirNet自动化系统技术手册[Z].2018-8.
[2] 郝育松.AirNet管制中心自动化系统[J].民航科技,2011(2):25.
[3] 李佳.浅谈自动化系统语音同步回放功能的结构演变[J].信息与电脑,2019(10):11.