趙暾 蔣志翔

【摘要】 由于我國目前武器系統(tǒng)中應(yīng)用最廣的MIL-STD-1553B總線自身并沒有任何信息安全保護機制，可能為設(shè)備的安全可控留下隱患。故本文的研究方向是采用信息安全的CIA原則對總線協(xié)議進行分析，并針對總線安全性的脆弱環(huán)節(jié)，搭建總線測試環(huán)境，采用冒充合法節(jié)點、特權(quán)獲取、干擾、監(jiān)聽等攻擊手段，對總線系統(tǒng)的安全脆弱性進行驗證。

【關(guān)鍵詞】 1553B總線 CIA 總線安全

一、引言

1553B總線是MIL-STD-1553B的簡稱，由于其傳輸速率高，通信效率高，可靠性高，噪聲容限高，設(shè)備之間連接簡單靈活，所以被美軍標(biāo)所采用，將其作為機載設(shè)備之間相互通信的總線標(biāo)準(zhǔn)。1553B總線協(xié)議在設(shè)計之初，僅關(guān)注可用性、實時性和可靠性，并且是在軍用飛機的航空電子設(shè)備等專用系統(tǒng)上運行。

考慮諸如認證、授權(quán)和加密等需要附加額外開銷的安全特征和功能似乎是畫蛇添足的事情，但是隨著近幾年針對控制系統(tǒng)的攻擊技術(shù)迅速發(fā)展[6-11]，控制系統(tǒng)的信息安全面臨越來越嚴(yán)峻的威脅，如圖1所示：

由于1553B總線的使用范圍越來越廣，各種軍用飛機、導(dǎo)彈等武器的科技含量越來越高，作為管理底層通信與控制的1553B總線安全性缺失受到了我國部分科研院所、高校等研究機構(gòu)的關(guān)注，并陸續(xù)開展了控制系統(tǒng)信息安全方面的研究。

本文通過信息安全的機密性、完整性、可用性這三項原則對1553B總線進行分析，并搭建測試平臺對可能的安全漏洞進行了測試與分析。

二、1553B 總線簡介

1553B總線系統(tǒng)主要分為3個組成部分[1]：

1、總線控制器（BC，Bus Controller），是總線的控制者、管理者，也是所有通信動作的發(fā)起者，負責(zé)發(fā)送命令、參與數(shù)據(jù)傳輸、接收狀態(tài)響應(yīng)和監(jiān)測總線系統(tǒng)。

2、遠程終端（RT，Remote Terminal），是用戶子系統(tǒng)到數(shù)據(jù)總線上的接口，主要功能是接收BC發(fā)送過來的命令，并根據(jù)命令做出響應(yīng)，執(zhí)行數(shù)據(jù)傳輸，完成相應(yīng)動作，并回送相應(yīng)的狀態(tài)字，一個1553B總線系統(tǒng)中最多可以有31個RT。

3、總線監(jiān)控器（BM，Bus Monitor），用于監(jiān)控總線上傳輸?shù)男畔ⅲ羞x擇地接收1553B總線上傳輸?shù)男畔⒉⑶覍π畔⒓右员４?，完成對總線上的數(shù)據(jù)進行記錄和分析，從而被用于總線的測試或總線上數(shù)據(jù)的監(jiān)視和記錄，但它本身不參與總線的通信。

三、1553B總線安全性分析

總線安全，就是保護在總線上傳輸?shù)男畔⒌陌踩?，這就不得不說到信息安全的基本要素。信息安全通常強調(diào)CIA三元組為目標(biāo)，即機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）[3]。對于1553B總線，后文也將會按照這三條目標(biāo)進行分析。

機密性：是用來確保信息從產(chǎn)生到銷毀的過程中不會被規(guī)定目標(biāo)以外的人或組織獲得。

完整性：保護信息不會被未經(jīng)允許的目標(biāo)修改。即保證信息在存儲或傳輸過程中不被修改、刪除、偽造、重放、插入等手段影響導(dǎo)致信息損壞或丟失。

可用性：保證正常用戶可以訪問到所有允許被訪問的信息，不會發(fā)生拒絕訪問等情況。

在傳統(tǒng)的信息安全領(lǐng)域，通常認為機密性的優(yōu)先級最高，完整性次之，可用性最低。但是在考慮控制系統(tǒng)安全時與考慮傳統(tǒng)IT信息系統(tǒng)安全時則有較大的不同，控制系統(tǒng)強調(diào)的是控制的自動化過程及相關(guān)設(shè)備的智能控制、監(jiān)測與管理，而且更為關(guān)注系統(tǒng)的實時性與可用性。也就是說，控制系統(tǒng)對系統(tǒng)設(shè)備的可用性、實時性、可控性等特性要求很高，因此在考慮控制系統(tǒng)的安全性時要優(yōu)先保證的是系統(tǒng)的可用性；其次各個組件之間因為存在固有的關(guān)聯(lián)，因此完整性的重要性次之；而對于數(shù)據(jù)保密性來說，由于控制系統(tǒng)中傳輸?shù)臄?shù)據(jù)通常是控制命令或采集到的原始數(shù)據(jù)，需要放在特定背景下進行分析才有意義，而且多是實時數(shù)據(jù)，因此對保密性的要求最低[2]。

1553B協(xié)議起初被設(shè)計用于航空機載設(shè)備之間通信，是一種與其他網(wǎng)絡(luò)隔離的控制網(wǎng)絡(luò)，也沒有提供基本的安全防護機制。

在1553B總線上，所有結(jié)點連接到公用的通信介質(zhì)上，每個源結(jié)點可以直接發(fā)送消息到其他目的結(jié)點。由于所有的結(jié)點直接連接到介質(zhì)，因此攻擊者并不能修改或刪除從一個結(jié)點發(fā)送到另一個結(jié)點的消息，但能夠非常容易地讀取到總線上傳輸?shù)南ⅲ部梢院芎唵蔚拿俺淦渌Y(jié)點。1553B協(xié)議的幾個典型的安全問題如下：

缺乏認證：僅需要使用一個合法的地址和合法的消息格式即可以建立一個RT，參與到總線通信當(dāng)中。

缺乏授權(quán)：沒有訪問控制機制，攻擊者可以很簡單偽裝成BC獲取系統(tǒng)特權(quán)，執(zhí)行任意的功能，訪問所有設(shè)備。

缺乏加密：地址、命令和數(shù)據(jù)明文傳輸，可以很容易地被捕獲和解析。使攻擊者輕易就能了解系統(tǒng)的當(dāng)前狀態(tài)和控制方式。

通過以上分析，可以看出1553B總線缺乏機密性，并沒有任何確保信息在存儲、傳輸過程中不會泄露給非授權(quán)的用戶、其他實體的措施，連入BM就可輕易得知總線上傳輸?shù)臄?shù)據(jù)。同時數(shù)據(jù)的完整性方面有重大安全隱患，攻擊者雖然無法對總線上傳輸?shù)臄?shù)據(jù)進行修改，但可以隔離并冒充某遠程終端或總線控制器，使其他設(shè)備接收到偽造的數(shù)據(jù)或指令；也可以正常接入總線系統(tǒng)，在并不影響總線正常通信的前提下參與通信。但協(xié)議對總線的可用性有較好的保障，除非對雙絞線實施物理破壞，或者同時占據(jù)多條冗余總線長時間連續(xù)發(fā)送消息占據(jù)總線頻道，否則系統(tǒng)總是能夠順利的訪問其他終端。

由于軍用總線一般只是在飛行器或設(shè)備被敵方捕獲的情況下才更容易受到攻擊，而攻擊者也并不是為了破壞總線的可用性，而是希望通過總線上傳輸?shù)南⒘私庹麄€系統(tǒng)的運行狀態(tài)、操控方式和系統(tǒng)內(nèi)設(shè)備的參數(shù)、狀態(tài)等信息，進而知曉設(shè)備的性能與設(shè)計思路，開展對設(shè)備的復(fù)制或找出設(shè)備可能存在的漏洞，對國家安全造成威脅。

總線上傳輸?shù)氖窍到y(tǒng)的各種內(nèi)部消息與控制指令，甚至可能包括系統(tǒng)對外通信中使用的密鑰，攻擊總線需要多個設(shè)備協(xié)同進行操作，下面將運用BC、RT、BM設(shè)計一種簡單的攻擊場景案例。

攻擊者為了對總線進行控制，首先會使用BM監(jiān)聽總線上的數(shù)據(jù)，在得到大量數(shù)據(jù)后就可以分析出系統(tǒng)大概的控制方式，構(gòu)建用于攻擊的測試用例，同時在其他設(shè)備實施攻擊時，BM也會保持對總線的監(jiān)聽；由于一般系統(tǒng)運行的步驟比較固定，所涉及的數(shù)據(jù)與內(nèi)部狀態(tài)較少，為了進一步了解系統(tǒng)完整的控制方式則要使用RT對BC發(fā)出各種請求，分析BC的響應(yīng)方式，了解系統(tǒng)處理錯誤的方式與平常并不使用的消息內(nèi)容；在得到系統(tǒng)整體的控制方式后就可以使用BC接管整個系統(tǒng)，訪問內(nèi)部如發(fā)動機狀態(tài)、雷達數(shù)據(jù)等敏感消息，控制設(shè)備進行各種操作，實現(xiàn)了對系統(tǒng)的攻擊。

四、安全漏洞的確定與測試結(jié)果及分析

根據(jù)上文對總線協(xié)議的分析，可以看出我國目前武器系統(tǒng)中應(yīng)用最廣的MIL-STD-1553B總線自身并沒有任何信息安全保護機制，可能為設(shè)備的安全可控留下隱患。為此，作者對1553B 總線上可能的BC、RT、BM安全機制漏洞進行了測試。

4.1 BC的安全機制漏洞

按規(guī)范要求，總線上只能存在一個BC，攻擊者的終端可以假裝接受總線控制權(quán)并成為BC，控制整個總線的傳輸，進而控制整個控制系統(tǒng)。

4.2 RT的安全機制漏洞

按規(guī)范要求，每個RT都有唯一的地址，當(dāng)另一個設(shè)備偽裝成某個RT時，會對總線產(chǎn)生干擾，使BC接收到錯誤的數(shù)據(jù)，進而對系統(tǒng)狀態(tài)產(chǎn)生錯誤的判斷。當(dāng)BC發(fā)送RT→RT命令時，惡意數(shù)據(jù)會在RT之間進行傳播，使其他RT接收到被篡改的數(shù)據(jù)，影響RT的正常運行。

4.3 BM的安全機制漏洞

按照規(guī)范定義，BM檢測、偵聽總線上的所有消息，攻擊者能夠利用這一機制通過將未授權(quán)的BM接入總線來探測總線上的數(shù)據(jù)信息，可以很輕易的得知當(dāng)前系統(tǒng)的運行狀態(tài)。

為了對上述安全機制進行測試就必須搭建測試環(huán)境，使數(shù)個1553B終端之間實施通信，經(jīng)過研究本文選擇了由本單位自主設(shè)計的協(xié)議處理芯片組成的1553B板卡和由國內(nèi)公司生產(chǎn)的MIL-STD-1553B總線仿真測試平臺以及收發(fā)器、耦合變壓器、端接電阻、屏蔽雙絞線等部件組成了1553B通信系統(tǒng)。并對以下條件下的總線通信情況做出測試。

1、攻擊者設(shè)備充當(dāng)BC

當(dāng)攻擊者使用設(shè)備冒充BC時，會造成系統(tǒng)內(nèi)同時存在兩個BC，都可以控制系統(tǒng)運行。兩個BC會對總線造成爭搶，雖不能同時通信，但在總線未被占用時都可以發(fā)送命令。由于1553B總線屬于控制總線，而控制總線上的數(shù)據(jù)傳輸是突發(fā)的、實時的，并不像計算機網(wǎng)絡(luò)通信中會長時間占用通信線路，所以攻擊者設(shè)備發(fā)出指令的難度并不大。攻擊者BC向RT發(fā)送數(shù)據(jù)結(jié)果如圖2所示：

攻擊者的BC可以正常的發(fā)送與接收數(shù)據(jù)，也可以發(fā)送控制指令，從測試結(jié)果中可以看出攻擊者的BC可以向RT發(fā)送偽造的數(shù)據(jù)，也可以讀取RT數(shù)據(jù)。攻擊者的BC能夠控制系統(tǒng)的運行，使其他設(shè)備做出錯誤的動作或?qū)ΜF(xiàn)有狀態(tài)產(chǎn)生錯誤的判斷，對系統(tǒng)的安全穩(wěn)定運行產(chǎn)生了極大的威脅。

2、攻擊者設(shè)備充當(dāng)RT

當(dāng)攻擊者充當(dāng)內(nèi)部RT，并與一現(xiàn)有RT同地址時，可以與該RT一起響應(yīng)BC的命令。當(dāng)BC發(fā)送指令時兩個RT都會接收并回復(fù)狀態(tài)字，就會發(fā)生總線沖突，而BC接收到何種數(shù)據(jù)則取決于攻擊者RT與原RT發(fā)送速度的快慢，BC會接收第一個回復(fù)數(shù)據(jù)的RT的數(shù)據(jù)并丟棄第二個。由于雙絞線的傳輸延遲對于1553B總線的傳輸速度來說可以忽略不計，在1553B系統(tǒng)中響應(yīng)速度的快慢主要取決于RT設(shè)備的處理速度，故攻擊者設(shè)備可以通過優(yōu)化設(shè)計甚至通過簡單的提高頻率就可以搶在原有RT設(shè)備之前發(fā)出數(shù)據(jù)。攻擊者RT向BC發(fā)送數(shù)據(jù)結(jié)果如圖3所示：

從測試中可以看出攻擊者的RT如果響應(yīng)時間短于原有RT設(shè)備則可將偽造的數(shù)據(jù)傳給BC，使BC對當(dāng)前系統(tǒng)運行狀態(tài)產(chǎn)生錯誤的判斷，而原有RT所發(fā)送的消息則會被丟棄。而如果屏蔽掉原有RT則攻擊者的RT則可以正常參與通信與收發(fā)數(shù)據(jù)。

3、攻擊者設(shè)備充當(dāng)BM

當(dāng)攻擊者設(shè)備充當(dāng)BM時，可以監(jiān)視整個系統(tǒng)的運行，并不與原有BM產(chǎn)生任何沖突也不會被探知。BM可以對總線上的數(shù)據(jù)進行記錄和分析，從而被用于監(jiān)視和記錄總線上的運行狀態(tài)并了解設(shè)備之間的數(shù)據(jù)傳輸方式與設(shè)備的控制方式進而掌握整個系統(tǒng)的運作方式。

測試表明，1553B總線在信息安全機制上存在安全風(fēng)險。

五、結(jié)束語

1553B總線作為航空軍用設(shè)備控制系統(tǒng)的神經(jīng)中樞，其協(xié)議的安全性與總線的實時性、可靠性、經(jīng)濟性等因素并重。本文結(jié)合1553B總線協(xié)議特點和通信模式，通過運用信息安全的CIA三原則評價標(biāo)準(zhǔn)對現(xiàn)有的1553B總線安全性做了定性研究，并使用多種攻擊方式對總線的安全性進行了測試驗證，證明了1553B總線安全性方面的不足，為以后提高總線安全性方面的研究打下了基礎(chǔ)。

參 考 文 獻

[1]熊華鋼. 1553B總線通信技術(shù)的應(yīng)用與發(fā)展[J].電子技術(shù)應(yīng)用.1997

[2] NSFOCUS. NSFOCUS_ICS_Security_Report [R]. 2013

[3]范夢雪，信息安全風(fēng)險分析方法及應(yīng)用[D]. 北京郵電大學(xué)碩士學(xué)位論文，中國知網(wǎng)數(shù)據(jù)庫. 2006

[4]胡來紅，許化龍， 1553B總線在武器通信中的應(yīng)用探討[J]. 微計算機信息.2005