摘? ?要：隨著ADS-B系統(tǒng)的逐步推廣和建設(shè)，它的安全風(fēng)險分析變得非常必要。本文首先介紹了ADS-B通信的安全現(xiàn)狀和主要的安全漏洞，隨后通過詳細(xì)介紹不同攻擊方式及實現(xiàn)技術(shù)，簡單分析了ADS-B系統(tǒng)在相應(yīng)攻擊下的風(fēng)險等級。

關(guān)鍵詞：ADS-B? 安全風(fēng)險? 攻擊方式

中圖分類號：TP311? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2019）11（c）-0008-02

1? ADS-B安全現(xiàn)狀

根據(jù)ADS-B規(guī)范，ADS-B Out的消息中至少要包含航空器標(biāo)識，氣壓值，經(jīng)緯度，高度，速度數(shù)據(jù)。因為ADS-B數(shù)據(jù)是非加密的，惡意攻擊者使用一些便宜且易獲取的現(xiàn)成軟硬件設(shè)備，就可以竊聽這些信息。這些設(shè)備使得攻擊者可以在ADS-B信道中捕獲、修改、刪除或者插入消息，也可以使用阻塞和欺騙技術(shù)去實施攻擊。因此，一旦ADS-B被全面部署和使用，空中交通管制服務(wù)將會部分依賴ADS-B技術(shù)，它的可信度對于日后的航空安全是至關(guān)重要的。

2? ADS-B攻擊方式和攻擊技術(shù)

對于所有攻擊來說，沒有加密或者驗證機(jī)制的ADS-B該系統(tǒng)都是比較脆弱的，尤其是物理層攻擊。ADS-B的主要安全問題是缺少安全機(jī)制阻止惡意輕易實施攻擊。ADS-B通信主要漏洞如下。

（1）缺乏認(rèn)證：不能阻止非認(rèn)證用戶收發(fā)消息;

（2）缺少消息簽名：不能隔離假消息，不能正確識別消息發(fā)送者;

（3）缺少加密：不能阻止無線信道中收發(fā)的敏感信息被竊聽;

（4）缺少MAC地址或者隨機(jī)地址：不能阻止延時攻擊;

（5）缺少短期身份標(biāo)識：不能確保數(shù)據(jù)隱私。

針對以上漏洞，本節(jié)依次介紹各類攻擊方式和攻擊技術(shù)。

2.1 被動攻擊

加密和認(rèn)證機(jī)制的ADS-B通信數(shù)據(jù)很容易被攻擊者捕獲。這種攻擊叫做“消息竊聽”，或者“航空器偵查”。

文獻(xiàn)[2]利用低成本的ADS-B接收機(jī)，在一周時間里跟蹤了近兩萬個航班。對照ADS-B的112比特的消息格式，有56比特用來存儲ADS-B數(shù)據(jù)，還有24比特用來存儲24位地址碼。ADS-B數(shù)據(jù)信息包括識別號、位置、速度、緊急代碼和數(shù)據(jù)質(zhì)量等級等。雖然航空器來的24位地址碼是唯一的，但是攻擊者可以通過消息竊聽獲取航空器地址碼。

2.2 主動攻擊

ADS-B的主動攻擊是空中交通管制安全的直接威脅。主動攻擊都是基于對1090MHz無線信道的干擾。

2.2.1 消息刪除

合法的ADS-B消息可以通過兩種方法來達(dá)到消除的效果[1]。

（1）反向干擾：通過反相信號來衰減或者摧毀原始消息;

（2）正向干擾：發(fā)送含有大量錯誤比特的信號，疊加在原消息上，導(dǎo)致原消息比特錯誤較多。因為每個消息的CRC校驗最多只能糾正5比特錯誤，多于5比特錯誤的消息，會被接收方判定為損壞的數(shù)據(jù)而丟棄。

使用這類技術(shù)的攻擊方式如下。

（1）航空器失蹤：攻擊者刪除一個航空器的所有消息，使它對其他航空器或者地面站不可見。

（2）航空器偽裝：先復(fù)制航空器的24位地址碼，再使用消息刪除和消息插入偽裝航空器。航空器機(jī)艙內(nèi)的攻擊者，通過修改航空器的24位地址碼也可以實施這種攻擊。

2.2.2 消息修改

這種攻擊往往不易察覺。為此，管制員很可能被誤導(dǎo)給出錯誤的指令。這種攻擊也會給航空器的防相撞系統(tǒng)帶來負(fù)面影響。

實現(xiàn)方法如下[1]：

（1）消息淹沒：發(fā)送一個信號幅度強(qiáng)到可以淹沒原信號的假消息;

（2）比特翻轉(zhuǎn)：翻轉(zhuǎn)任意位數(shù)的比特數(shù)據(jù)。

通過使用以上兩種技術(shù)，可以實現(xiàn)以下攻擊方式：

（1）航跡修改：可以修改航空器發(fā)出的原始消息中的位置數(shù)據(jù)[2]，或者刪除原始消息并發(fā)送一個包含錯誤位置數(shù)據(jù)的新消息;

（2）告警代碼修改：攻擊原理同上，但是它修改了原始數(shù)據(jù)的告警信息。惡意攻擊者用它可以在空管系統(tǒng)中產(chǎn)生很多沖突告警。

2.2.3? 消息阻塞

數(shù)據(jù)通信中，消息阻塞是一個常用的可以造成拒絕服務(wù)效果的攻擊方式。由于ADS-B數(shù)據(jù)通信中沒有設(shè)置訪問數(shù)據(jù)鏈接的物理障礙，攻擊者可以在無線信道中發(fā)送數(shù)據(jù)。對于ADS-B，這個無線信道就是1090MHz。當(dāng)攻擊者在信道中發(fā)送海量消息時，會造成該信道通信能力顯著下降，甚至無法使用。

攻擊者可以使用多種策略實現(xiàn)這種攻擊：

（1）長發(fā)干擾器：持續(xù)發(fā)射噪聲、單音或者隨機(jī)信號。這類信號容易被識別，從而被接收機(jī)過濾掉。

（2）欺騙干擾器：持續(xù)產(chǎn)生有效數(shù)據(jù)包，使得接收機(jī)很難區(qū)分?jǐn)?shù)據(jù)包到底來自攻擊者，還是真實用戶。

（3）隨機(jī)干擾器：交替實現(xiàn)長發(fā)干擾器和欺騙干擾器的功能，并間歇性休眠。

（4）被動干擾器：只有當(dāng)信道中有正在進(jìn)行的通信時才工作，從而顯著降低了被識別的概率。

以下攻擊方式使用了上面的攻擊技術(shù)。

（1）地面站消息洪水：這種針對局部地區(qū)地面設(shè)備的攻擊，會阻礙空中交通管制正常工作。雖然這種攻擊實現(xiàn)難度低，繁忙空域?qū)嵤┐祟惞粢部梢栽斐芍卮笃茐?。如果一群罪犯精心策劃一系列針對多個機(jī)場的攻擊，仍可能極大地增加事故發(fā)生的概率，因為備降航班很可能找不到不被攻擊的備降機(jī)場。

（2）航空器消息洪水：這種攻擊方式原理同上，但是航空器變成攻擊目標(biāo)。而且最容易受到此類攻擊的目標(biāo)是正在起飛或者降落的航空器。采用高功率地面裝置發(fā)射消息可以實現(xiàn)阻塞，阻塞效果持續(xù)到航空器脫離發(fā)射裝置的作用范圍。理論上，如果攻擊者攜帶類似設(shè)備在航空器上實施攻擊的話，也可以攻擊空中航空器。

2.2.4 消息插入

由于ADS-B規(guī)范中缺少身份認(rèn)證，任何攻擊者產(chǎn)生的ADS-B消息都可能被認(rèn)為是有效的。這使得很多能降低航空器或者機(jī)場空域安全性的攻擊方式都可以被實施，例如：

（1）航空器影子插入：攻擊者可以發(fā)送一個實際不存在航班的消息數(shù)據(jù)。這種攻擊的目標(biāo)一般是航空器。由于是從地面設(shè)備發(fā)送信號，所以作用范圍接近地表。但是也可使用特殊技術(shù)去組織一個復(fù)雜攻擊，來迫使空中運行的航空器改變速度和位置。在低能見度情況下的航班受到此類攻擊的話，機(jī)長很難準(zhǔn)確分辨出真消息和假消息，或者說是否真的有飛機(jī)在危險距離內(nèi)。此外，具備TCAS系統(tǒng)的航空器也可能在收到假消息后，產(chǎn)生誤導(dǎo)機(jī)長的指令。

（2） 地面站影子插入：這種攻擊跟上面的攻擊很相似，只不過攻擊目標(biāo)變成了地面站。這種攻擊方式會在空中交通管制員的ADS-B監(jiān)視設(shè)備上，生成虛假航空器目標(biāo)，從而影響管制員正常判斷，并分散其精力。

3? 不同攻擊方式下ADS-B的安全風(fēng)險

從對被攻擊系統(tǒng)造成的影響，攻擊者成功實施攻擊的可能性，兩方面分析上節(jié)介紹的各種攻擊方式。表1考察對比了它們的可實施性、后果嚴(yán)重性和風(fēng)險。

因為ADS-B中缺少加密和認(rèn)證機(jī)制，并且ADS-B技術(shù)很容易獲取，航空器偵查攻擊成功實施的難度很低。同時它們并不會直接損害空中交通管制系統(tǒng)，所以這類攻擊的負(fù)面影響是相當(dāng)?shù)偷模ǖ惋L(fēng)險）。盡管如此，在軍事環(huán)境中，航空器偵查卻是一個非常嚴(yán)重的問題，因為它是后續(xù)更多精確主動攻擊的第一步。

跟傳統(tǒng)的航空器偵查攻擊相比，主動攻擊往往會造成更嚴(yán)重的安全問題，因為它們會直接損壞或者誤導(dǎo)在用系統(tǒng)或地面站。

利用消息刪除技術(shù)的航空器失蹤攻擊和航空器偽裝攻擊需要通過時間同步技術(shù)來確保在準(zhǔn)確的時刻破壞或者干擾消息信號。這極大的降低了這兩類攻擊的可能性。所以這類攻擊被歸類為中等風(fēng)險。此外，多址定位技術(shù)和傳統(tǒng)雷達(dá)監(jiān)視系統(tǒng)仍然可以作為航空器定位的重要手段。

利用消息修改技術(shù)的軌跡修改攻擊和告警代碼修改攻擊可能會產(chǎn)生迷惑效應(yīng)。如果這種攻擊持續(xù)實施不被發(fā)現(xiàn)的話，也可能產(chǎn)生致命的后果。所以它屬于對空中交通有重大影響的攻擊。盡管如此，這種攻擊實現(xiàn)的可能性是最低的，因為掩蓋技術(shù)和比特翻轉(zhuǎn)技術(shù)需要非常高的時間精度和時間同步技術(shù)。因此它的風(fēng)險等級是中等。

消息阻塞攻擊的風(fēng)險可以定性為高。因為，這種攻擊造成的地面站監(jiān)視數(shù)據(jù)的丟失會對空中管制產(chǎn)生重大影響。在地面站附近，如果攻擊者使用便攜式的低功率消息阻塞裝置，那么癱瘓該地面站的ADS-B信道的數(shù)據(jù)傳輸會很容易。而且，可以用作消息阻塞裝置的軟件無線電設(shè)備是很容易獲取的，因而顯著增加了這種攻擊成功實施的可能性?？紤]到上節(jié)提到的隨機(jī)干擾器和被動干擾器，消息阻塞攻擊可能會變得非常有效，并且很容易被隱藏起來。

消息插入攻擊將會是ADS-B最大的安全威脅，因為它不僅可以產(chǎn)生嚴(yán)重后果，而且由于軟件無線電設(shè)備很容易獲取，攻擊者成功實施此類攻擊的可能性也非常高。尤其是當(dāng)攻擊者對某個地面站實施大量ADS-B消息插入攻擊時，管制員可能會被徹底誤導(dǎo)而造成交通癱瘓。由于此類攻擊需要一定技術(shù)去使用ADS-B協(xié)議來產(chǎn)生完整格式的ADS-B消息，才能使得虛假航空器出現(xiàn)在交通管制控制系統(tǒng)中，有一定難度，所以這種攻擊實施的可能性是中等。對于一個有中等實施可能性，但是能嚴(yán)重后果的攻擊方式，它帶來的風(fēng)險是很高的。

4? 結(jié)語

本文分析的各種攻擊技術(shù)可以損害空中交通數(shù)據(jù)通信，可以給信息系統(tǒng)、管制員、飛行員和管理方引入錯誤數(shù)據(jù)信息，使得完全依賴ADS-B可靠性的人或者系統(tǒng)做出錯誤判斷，或得出錯誤結(jié)論。因此，非常有必要去分析各類攻擊帶來的風(fēng)險。盡管如此，具體的緩解或者阻止各類攻擊的方法，還需要更進(jìn)一步探索。

參考文獻(xiàn)

[1] AirNet自動化系統(tǒng)技術(shù)手冊[Z].2018-8.

[2] 郝育松.AirNet管制中心自動化系統(tǒng)[J].民航科技，2011（2）：25.

[3] 李佳.淺談自動化系統(tǒng)語音同步回放功能的結(jié)構(gòu)演變[J].信息與電腦，2019（10）：11.