空中交通管理信息安全研究

吳志軍 胡濤濤

(中國民航大學電子信息工程學院 天津 300300)

?

空中交通管理信息安全研究

吳志軍 胡濤濤

(中國民航大學電子信息工程學院 天津 300300)

(zjwu@cauc.edu.cn)

空中交通管理(air traffic management, ATM)系統是信息高度集成的以網絡為核心的智能化信息系統，它是保障航空交通運輸安全運行和保護國家領空安全的重要支撐之一.隨著網絡化空中交通管理的發展，其面臨嚴峻的信息安全威脅.在分析空中交通管理系統體系結構和系統組成的基礎上，揭示了航空通信、導航、監視和自動化系統及機載航空通信網絡中潛在的系統漏洞和安全隱患，并給出了具體事例進行說明；根據空中交通管理系統信息安全保障的需求，給出了空中交通管理系統信息安全防護建議和保護措施，有助于空中交通管理信息安全保障的建設.

空中交通管理；信息安全；漏洞；隱患；信息保障

空中交通管理(air traffic management, ATM)系統是航空交通運輸安全運行的重要保障技術手段之一，其核心內涵是航空通信、導航、監視與空中交通管理(communication navigation surveillanceair traffic management, CNSATM).空中交通管理系統是一個由空間衛星網絡、空中機載網絡和空地數據鏈、地面計算機傳輸網絡和地空數據鏈等組成的復雜的、智能化的信息系統[1].

目前，空中交通管理系統正在向信息綜合集成一體化、網絡化、自動化方向發展，已經形成了大規模網絡化的航空綜合信息集成系統[2].其中，主要代表有美國聯邦航空局(Federal Aviation Administration, FAA)[3]實施的下一代航空運輸系統NextGen(next generation air transportation system)和歐洲航空安全組織EuroControl(European Organization for the Safety of Air Navigation)的單一天空空中交通管理研究計劃(single European sky air traffic management research, SESAR)[4].

隨著國際網絡安全的日趨嚴峻，作為支撐國家安全的重要系統，空中交通管理系統面臨巨大的安全威脅[1].國際上已經針對NextGen和SESAR的信息安全進行了研究，英國蘭卡斯特大學(Lancaster University)開展了GAMMA(the global ATM security management)計劃項目[5-6]的研究，該研究計劃針對航行(air navigation)服務中存在的系統漏洞和安全隱患提供相應的解決方案和建議措施，有助于提高NextGen和SESAR系統的信息安全保障能力.針對空中交通管理系統的信息安全問題，美國FAA率先在世界上制定了針對美國國家空中交通管理系統的信息安全保障計劃——信息系統安全(information system security, ISS)[7-8].ISS通過研究、開發和實施可信賴的系統(trusted system)來保障美國空中交通管理系統避免或減少設計及操作上的差錯，確保有足夠的能力來應付潛在的安全威脅和阻止惡意攻擊[9].

航空交通運輸的終極目標是：運行安全(safety)、安全高效(efficiency)、安全保障(security)、節能(energy saving)和環保(environment protection).由于中文翻譯的問題，在我國通常將這個目標說成：安全、高效、節能、環保.而將Security的真正含義淡化了[10].因而，長期以來，中國民航全行業的網絡和信息安全意識還比較淡薄，重要網絡和信息系統還存在安全隱患，空中交通管理信息安全保障缺乏整體、統一、行之有效的信息安全保障體系，存在一些亟待解決的問題.目前，空中交通管理系統已經被列為國家重點監管的信息系統之一，納入國家信息安全管理體系.因此，空中交通管理系統面臨的信息安全形勢不容樂觀，必須正確認識空中交通管理系統的安全隱患和面臨的安全威脅，加強空中交通管理信息安全保障工作.

1 安全隱患分析

國際民航組織(International Civil Aviation Organization, ICAO)下屬的航空電信網(aeronautical telecommunication network, ATN)專業委員會信息安全工作小組早在1996年就指出[11]：Air traffic control messages (via data link) are at risk from modification, replay and masquerade attacks(經過數據鏈傳輸的空中交通管制信息面臨的潛在威脅包括：篡改、重放和偽造攻擊).并且該工作組還指出[11]：All CNSATM applications are vulnerable to denial of service attacks (所有航行系統的應用均容易遭受拒絕服務攻擊DoS).

第一、數據泄漏.空中交通管理系統中的很多通信設施均是開放的、未經加密系統，十分容易造成敏感數據的外泄和截獲.

第二、數據欺騙.由于空中交通管理系統缺乏安全認證保護，有效的信息在傳輸過程中可能被篡改或重新發送，也可能被偽造后進行傳輸，并且看起來是合法的.

第三、實體偽裝.由于空中交通管理系統的接入缺乏有效的認證過程，蓄意的破壞者可以通過偽裝，假扮成一個實體的航空數據終端，從而合法地接入空中交通管理系統.

第四、拒絕服務攻擊DoS.DoS攻擊可以造成空中交通管理系統正常通信的中斷，有2種方式：1)攻擊者通過向地面控制站(ground earth station, GES)發送大量偽造信息，使地面控制站不能響應正常的民航客機通信，造成地面站拒絕服務；2)攻擊者偽裝成數據終端通過數據鏈路向民航客機發送大量無用的信息，使其信息處理中心服務器負載過重，資源耗盡，不能夠響應正常的信息，從而造成服務器的拒絕服務.

令人震驚的“9·11”事件雖然已經過去了很多年，但針對該事件采用的攻擊方式的思考還在延續.“9·11”事件中恐怖分子采用暴力手段劫持民航飛機撞擊世貿大樓，屬于物理攻擊方式.該方式雖然劫持的飛機數量有限，但造成的后果和影響十分巨大.如果恐怖分子利用空中交通管理的系統漏洞和安全隱患，采用“黑客”攻擊手段，攻陷或控制空中交通管理系統，欺騙或劫持民用客機，而且劫持的飛機數量可以隨意控制，則造成的災難堪比第2次世界大戰.因此，美國國家信息安全保障合作部主任Ron Ross說：“If there had been a cyber-attack at the same time[September 11] that prevented them[air traffic controllers] from doing that[bringing down the aircraft], the magnitude of the event could have been much greater.”(假如在“9·11”事件發生的同時，采用網絡攻擊的手段致使飛機墜毀，那么事件的后果則更加慘重)[8]；美國聯邦調查局FBI國家基礎設施保護中心主任Ron Dick說：“The event I fear most is a physical attack in conjunction with a successful cyber-attack on the responders’911 system or on the power grid.”[8](令人最為擔憂的是針對“9·11”事件的應對措施或電網系統采用物理攻擊與成功的網絡攻擊聯合開展的攻擊).因此，如果惡意的網絡攻擊者發現并利用空中交通管理系統中潛在的安全隱患，造成的后果將不堪設想.所以，必須清楚地認識了解和掌握空中交通管理系統中可能存在的系統漏洞和安全隱患.

目前，在空中交通管理相關的系統中已經揭示和發現很多的系統漏洞和安全隱患.下面以空中交通管理中采用的具體技術手段為例進行說明.

1.1 航空通信方面的安全隱患

在航空通信中采用的技術手段很多，這里僅選擇C波段衛星通信網絡和飛機通信尋址與報告系統(aircraft communications addressing and reporting system, ACARS)數據鏈進行說明.

1.1.1 C波段衛星通信網絡

在中國民航空中交通管理系統中部署了近400座C和Ku波段的甚小口徑(very small aperture terminal, VSAT)衛星通信地球站系統，主要用于雷達數據傳輸的備份手段，以及其他空中交通管理業務數據的傳輸.在民航空中交通管理系統中使用的VSAT衛星通信網絡中存在的系統漏洞如下[1,12]：

安全漏洞1.透明信道傳輸.

由于VSAT衛星通信網絡的傳輸線路采用透明轉發的方式，其中傳輸的數據很容易被非法接收者(非授權用戶)接收、截獲，造成空中交通管理業務敏感數據和信息的泄漏.

安全漏洞2.通信報文采用明文通信.

在民航使用的VSAT衛星通信系統中，沒有定購系統配置的加密單元模塊和采用相應的加密技術措施.因此，通信的信息數據全部采用明文傳輸，存在數據被截獲和泄漏的危險.即便使用VSAT系統廠家定制的加密單元模塊，并且采用自己的密碼算法，但由于加密模塊的硬件為國外所造，仍然存在利用窮舉攻擊破解密碼的風險.

安全漏洞3.缺乏安全接入認證.

由于VSAT衛星系統的接入和數據傳輸均沒有設計安全認證技術，而完全由系統管理層面進行認證，容易導致系統假冒和身份偽造，造成接收或傳輸錯誤的數據信息.

1.1.2 飛機通信尋址與報告系統ACARS

雖然國際上，航空無線電通信公司ARINC (Aeronautical Radio Inc.) (又稱：美國愛瑞克)針對ACARS數據鏈的信息安全問題制定了相關標準[13-14]，但現有ACARS數據鏈中的安全保護措施十分有限，系統存在巨大的安全隱患.而且ACARS數據鏈的內在特點使得ACARS系統的安全受到巨大的威脅，包括數據泄漏、數據欺騙、實體偽裝和拒絕服務[1,12，15-16].

安全隱患1.ACARS數據泄露.

現有ACARS數據鏈路安全性較差，任何一個具有RF收發裝置的攻擊者都可以截獲ACARS報文，并讀懂其內容，這造成了數據的泄漏.民航的ACARS信息中包含了飛機起飛、著陸數據，航油數據，機組數據等一系列航空公司敏感的信息，攻擊者對數據的竊聽和分析可能會直接危害到航空公司的利益，造成巨大的經濟損失.軍航飛機的機密性較高，數據的泄漏更會造成不可估量的后果.

安全隱患2.數據欺騙.

ACARS鏈路中由于缺乏有效的安全保護，偽造的ACARS信息有可能被傳輸，并且看起來是合法的.另外即使是有效的ACARS信息，也很有可能在傳輸過程中被篡改或重新發送，導致數據錯誤，造成數據欺騙，對飛機的安全性產生直接的影響.

安全隱患3.實體偽裝.

ACARS系統中，一個實體很容易偽裝成某個終端，使得空地通信受到破壞，阻礙系統的正常運行，成為實體偽裝安全隱患.例如一臺計算機經過簡單裝備便可以模擬管制員，向空中飛機發送非法控制消息，這非常容易造成撞機等重大事故.

安全隱患4.拒絕服務.

在ACARS系統中，分布式拒絕服務DDoS攻擊有2種方式：1)由于地面站只能對一個終端進行服務，攻擊者可以通過向地面站發送大量偽信息，使地面站不能響應正常的飛機通信，造成地面站拒絕服務；2)攻擊者偽裝成終端向數據鏈路發送大量無用的ACARS信息，使信息處理中心服務器負載過重，資源耗盡，不能夠響應正常的信息，從而造成服務器的拒絕服務.拒絕服務攻擊會造成正常通信的中斷，嚴重威脅到飛行安全.

1.2 航空導航方面的安全隱患

由美國全球定位系統(global positioning system, GPS)暴露出的航空導航衛星的信號欺騙問題已經成為全球導航衛星系統(global navigation satellite system, GNSS)的抑制致命安全缺陷[17-18].

2012年6月29日，美國奧斯丁德州大學無線電導航實驗室Todd教授領導的團隊使用價值大約1000美元的設備，利用GPS欺騙劫持了無人機[19].該團隊在美國白沙導彈基地向美國國土安全部和美國聯邦航空局(Federal Aviation Administration, FAA)的官員演示了采用GPS欺騙設備劫持一架使用未加密GPS系統的無人機，引導其飛向假冒信號設置的坐標位置，并可以控制無人機作出墜毀的動作.其原理是利用GPS信號沒有認證的缺陷，將假冒的GPS信號注入無人機的接收信道，并設置假冒的坐標數據.

2011年12月5日，伊朗軍方宣布自己的“電子戰部隊”用“黑客劫持”的方法劫持了美國先進的RQ-170無人機，并于2011年12月9日公布了展示RQ-170無人機的視頻.對于伊朗宣稱采用電子伏擊技術手段捕獲美國無人隱形間諜飛機的報道，美國軍方聲稱無人機發生故障，不得不降落.聯想美國奧斯丁德州大學無線電導航實驗室Todd Humphreys教授研究團隊成功欺騙無人機的事實，伊朗軍方的報道也不是沒有可能.

Todd教授根據自己的研究經驗介紹說采用GPS信號偽冒技術同樣可以劫持民航客機[19].因此，在未來航空導航技術由“陸基”向“星基”發展中，基于衛星的導航在航空飛行中的應用越來越廣泛，則民航客機面臨的“欺騙”或“誘捕”的威脅就越來越大.

1.3 航空監視方面的安全隱患

在航空監視方面，廣播式自動相關(automatic dependent surveillance-broadcasting, ADS-B)的信息偽冒問題十分突出.在ADS-B系統應用中面臨的安全隱患包括[20]信息泄露、信息篡改和信號欺騙.

安全隱患1.信息泄露.

ADS-B的信息在傳輸的過程中，一些敏感信息，諸如：ADS-B用戶的身份、位置和飛行意圖等信息很容易被擁有相應接收機的非法用戶截獲， 導致敏感信息的外泄.ADS-B廣播信息中包含飛機位置、速度矢量和飛機代號等.航空飛行器身份的24 b識別信息碼是唯一的，并且固定不變.因此，惡意的破壞者可以通過蓄意截獲航空飛行器的ADS-B廣播便可很容易得到航空飛行器的識別代碼，從而確認航空飛行器的身份.對于執行特殊飛行任務的航空飛行器，例如重要政治人物的專機和軍用物質的包機，航空飛行器身份信息的泄露是極其危險的.

安全隱患2.信息篡改.

ADS-B的信息完整性(integrity)很容易遭到破壞.惡意的破壞者通過截獲ADS-B信息，并對其位置和飛行意圖信息內容進行篡改，偽造ADS-B信息，造成監視信息的混亂.

安全隱患3.信號欺騙.

ADS-B數據可以被惡意的攻擊者非法利用.目前，監視的一個致命問題是ADS-B信息的使用者無法鑒別用戶接收機收到的位置信息是否屬于電子欺騙信息.非法用戶截獲ADS-B信息后，可以篡改正常信息的關鍵內容，偽造ADS-B 信息，通過非法電臺播送進行電子欺騙，達到干擾正常監視系統的目的.更進一步，潛在的威脅是惡意攻擊者可以偽造航空飛行器的精確位置和飛行意圖信息，在航空飛行器起飛、降落或巡航階段制造航空“9·11”事件.

ADS-B可以獲得航空飛行器精密位置信息的同時，也將此信息泄露給非法的接收者.因此，ADS-B面臨巨大的安全威脅.

1.4 航空自動化系統的安全隱患

空中交通管理是以網絡和大型自動化軟件系統為核心的航空交通運輸安全保障系統.其中，航空自動化系統主要功能是空中交通管制員利用雷達等綜合監視信息對航空飛行器進行調度和指揮；地面網絡主要用于大量航空信息的傳輸和共享.航空自動化系統設備和軟件中存在的安全隱患包括調制解調器和端口.

安全隱患1.調制解調器.

在航空自動化系統設備中安裝有系統調試和通信功能的調制解調器，當這些調制解調器處于開通階段時就相當于系統打開了后門，非法或惡意的入侵者就可以通過這些后門輕易進入航空自動化系統的內部.

安全隱患2.端口.

航空自動化軟件系統具有很多的功能端口，這些端口對應不同的服務.當航空自動化軟件端口打開時，非法或惡意的入侵者就可以利用這些端口侵入航空自動化軟件系統.

目前，已經出現了“黑客”發起的針對航空交通運輸系統的攻擊行為：

1) 當地時間2015年6月21日下午，在波蘭華沙肖邦國際機場運營的波蘭航空公司的地面操作系統遭遇黑客襲擊，致使系統癱瘓長達5 h.這也是全球首次發生航空公司操作系統被破壞的案例[21].

2) 根據英國《鏡報》2014年6月13日報道，奧地利空中交通管理當局的發言人向媒體發布消息稱，2014年6月5日和10日，有多架飛機突然從航管雷達上消失，每次持續25 min.無獨有偶，與奧地利情況類似，捷克、德國、斯洛伐克等國家也發生了同樣的情況.根據統計，這些國家總共有13架飛機從雷達上消失.在飛機從航管雷達上消失后，空中交通管制員通過話音通信系統與當事飛機的飛行員建立通信，指揮這些飛機錯開航道，避免相撞.歐洲航空安全局(EuroControl)已經就飛機消失事件展開調查，目前推測可能是遭到了“黑客”攻擊[22].

雖然上述2個事件的具體情況現在尚未公布，可以想象“黑客”肯定是利用了波蘭航空公司的地面操作系統和奧地利等國的航空自動化系統的某個系統漏洞或者安全隱患.

1.5 機載航空通信網絡的安全隱患

空中交通管理涉及地面管制中心與空中機載通信導航和監視系統.隨著“黑客”技術的不斷提高，機載通信網絡面臨巨大的安全威脅[23-24].

1) 黑帽網站

在機載系統中，無論是駕駛艙的飛行控制系統，還是客艙的娛樂網絡，均通過通信衛星與地面建立聯系.由于目前航空主用的國際海事衛星組織(International Maritime Satellite Organization, INMARSAT)的衛星通信系統是開放的，航空飛行器機載無線網絡與INMARSAT網絡連接具有很大的安全隱患，威脅主要來自連接全球衛星通信網絡的地面衛星接收站(ground earth station, GES).

2014年8月2日至7日期間，在美國拉斯維加斯召開的2014年黑帽(black hat)大會上，網絡安全公司IOActive的安全顧問Santamarta介紹了利用飛機上的無線網絡和娛樂系統劫持飛機[23].Santamarta自稱他是通過逆向工程發現了飛機通信設備的固件漏洞.在實驗室的實驗平臺上，他證明在理論上“黑客”可利用飛機上的WiFi網絡或機載娛樂信息系統入侵飛機航空電子設備，中斷或修改衛星通信，干擾飛機的導航和安全系統.他的發現是在條件受控的環境下完成的，但暫時尚未在實際環境中驗證[24].

Santamarta在2014年4月發表了一份25頁的研究報告，介紹了他發現的多個衛星通信設備的硬件漏洞.這些航空硬件設備由英國飛機零部件制造商Cobham以及Harris，Hughes等廠商生產.Harris公司的發言人Jim Burke稱他們的技術人員已經審閱過Santamarta的報告，他們認為這種攻擊危害非常小，原因是此類攻擊需要接觸衛星通信的物理硬件，因此受影響的只有通信系統[24].

2) PlaneSploit

德國網絡安全顧問雨果·特索2013年4月11日在阿姆斯特丹舉行的“盒子里的黑客會議”上展示了一套智能手機應用軟件，它具有可能破壞目前大多數飛機所使用的飛行管理系統的功能.但他同時表示，這套航班黑客軟件尚處于“概念證明”階段，不一定能干擾真正的飛行系統[25].雨果·特索的軟件引起了世界航空界的高度關注.

通過超過10年的研究，雨果·特索在信息安全領域積累了豐富的經驗.同時，他還是一名駕齡超過15年的受過專業訓練的商業飛行員.他在“盒子里的黑客會議”上介紹說：經過4年的努力，他成功研發出一套應用軟件，名為“PlaneSploit”，可以接管飛機上的電腦系統，隨意控制飛機，并且不被空中交通管制員發現.他還表示，該軟件通過侵入飛機與空中交通管制互相聯系的無線電廣播，再用另一套聯絡系統向飛機發出惡意指令，完全接管并控制飛機；該軟件已能夠破壞目前大多數商用飛機所使用的飛行管理系統(flight management system, FMS)[25].

據英國路透社2015年4月15日報道，美國國會審計署(Government Accountability Office, GAO)警告美國商業航班，在機上使用無線娛樂系統可能使航班在飛行過程中遭到“黑客”攻擊[26].GAO最新發布的報告里說：隨著下一代網絡化的空中交通管理系統技術的應用，面臨的安全威脅越來越大，聯邦航空局FAA必須盡快著手解決機載無線網絡的安全漏洞和隱患.飛機駕駛艙與客艙之間的互連，可以導致惡意的破壞者通過客艙網絡侵入駕駛艙的飛機控制系統.

聯邦航空局FAA局長韋爾塔(Michael Huerta) 對GAO的報告表示認同.他說航空監管部門已經開始與包括國家安全局在內的政府安全專家合作，以確定需要作出的改進措施[27].此外，網絡安全專家認為：如果飛行控制系統和娛樂系統使用的是相同接線和路由器，飛機上用于保護航空電子設備免受黑客攻擊的防火墻則可能被攻破，導致“病毒或惡意軟件”通過乘客在客艙訪問過的網站植入駕駛艙控制系統，為潛在的惡意攻擊提供了方便[26].

2 安全建議和措施

目前，中國民航信息安全保障工作的重點集中在采用計算機和通信網絡的重要信息系統，例如：民航電子政務、電子商務和機場無線網絡等方面上，而針對具有民航特色的空中交通管理系統的信息安全保障研究甚少，其主要原因是空中交通管理系統信息安全保障涉及空-天-地通信導航監視和自動化系統，覆蓋范圍廣闊，實現技術難度很大.

針對空中交通管理的信息安全保障首先是查找其潛在的安全隱患和系統漏洞，然后建立可信任的基于公鑰基礎設施(public key infrastructure, PKI)的空中交通管理信息安全保障體系.

1) 漏洞查找和隱患分析

空中交通管理系統的安全隱患分析和系統漏洞查找是根據空中交通管理系統的3層結構體系(新航行系統層、網絡傳輸層和業務應用層)，從系統的角度按層次進行的.采用的手段有以下3種[1,9]：

第1種是安全掃描，對空中交通管理系統進行安全漏洞和隱患的定期掃描檢查，及時發現問題，采取措施；

第2種為滲透測試，模擬黑客攻擊技術，有助于查找空中交通管理信息系統的脆弱點和檢驗空中交通管理系統信息安全保障系統的效果；

第3種為專項測試，針對空中交通管理系統的信息安全屬性，采用專業技術進行單項測試，檢驗空中交通管理系統及其信息安全保障在某個功能上存在的安全缺陷.

2) 空中交通管理信息安全保障體系

空中交通管理系統的信息安全保障是一個綜合的系統工程，其內容涉及策略(policy)、管理(management)、技術(technology)和工程(engineering)等方面的問題[1,12].

由空中交通管理系統的體系結構可以得出空中交通管理系統是一個具有復雜基礎設施，包含涉及空中交通管理ATM的信息設備和信息資源的龐大系統.因此，空中交通管理系統的信息安全保障范疇不僅包括計算機網絡環境，而且包含空中和空間信息系統環境.其保障對象為：空中交通管理信息系統、信息資源和信息傳輸的通信鏈路(地-地、空-地和空-空數據鏈路)[12].因此，僅從技術角度研究空中交通管理系統信息安全保障體系，建立可信任的基于公鑰基礎設施PKI的空中交通管理信息安全保障體系是一個很好的可選擇方案[28].

從具體的信息安全保障技術方面，針對空中交通管理信息安全的建議及措施如下[1,12]：

1) 數據加密.針對重要和敏感的航空飛行信息數據采用多維數據加密(multi-dimension encryption)的方式，保障不同重要程度的數據具有相應的等級保護措施.

2) 安全認證.采用基于OpenSSL的交互認證方式，對航空實體身份進行鑒別.

3) 授權訪問.采用基于屬性加密(attribute-based encryption, ABE)的訪問控制方式，保證航空實體與信息資源之間實現細粒度的訪問授權.

4) 證書中心.建立以中國民航局空中交通管理局為依托的空中交通管理系統認證中心(certificate of authority, CA)，向空中交通管理管理部門、機場、航空公司和航空飛行器頒發靜態和動態的數字證書(digital certificate)，實現可信任的管理體系.

3 結束語

目前，中國民航在通信、導航、監視、氣象、情報等方面建成了一批重要的空中交通管理信息系統，例如：輻射全國各地區空中交通管理局、空中交通管理中心(站)的分組數據交換網幀中繼網、衛星網；VHF甚高頻地空數據鏈；覆蓋我國東部地區的一、二次雷達和自動化系統；還有自動觀測系統、氣象填圖系統、氣象數據庫系統、航站情報自動服務系統、航行情報數據庫系統、航線資料自動作圖系統等.這些建設大大增強了空中交通管理系統信息處理與共享的能力，有效提高了空中交通管理運行保障能力.

中國民航局空中交通管理局陸續建設了一批信息安全基礎設施，加強了互聯網信息安全管理，為保障和促進空中交通管理信息化和諧、健康發展發揮了重要作用.但是必須看到，空中交通管理信息安全保障工作仍然存在一些亟待解決的問題：網絡與信息系統的防護水平不高，應急處理能力不強；信息安全管理和技術人才缺乏；尤其是缺少整體的信息安全技術體系，空中交通管理系統內的信息安全標準、規范不完善；缺乏整體、統一、行之有效的信息安全保障體系.因此，民航的網絡和信息安全形勢不容樂觀，全行業的網絡和信息安全意識還比較淡薄，重要網絡和信息系統還存在安全隱患，影響較大的網絡與信息安全事故時有發生.因此，中國民航局已經建設了民航信息技術科研基地，組織開發了2個技術平臺：

1) 民航網絡與信息安全信息通報技術平臺，用于信息通報和發布預警信息；

2) 民航網絡與信息安全管理技術平臺，用于分析、判斷和應急協調.

空中交通管理信息化建設已進入全面推進和快速發展的重要時期.空中交通管理信息系統規模龐大、涉及應用多、用戶廣、業務依賴程度高，對信息安全保障體系提出了更高的要求.因此，建立空中交通管理信息安全保障體系，對空中交通管理信息系統實施有效的安全保障是下一步信息化建設的重點.

[1]馬蘭, 吳志軍. 空中交通管理信息安全評估[M]. 北京: 科學出版, 2015

[2]José M C, Juan B P, José M M. Advances in Air Navigation Services[M]. Croatia: Mirna Cvijic Press, 2012

[3]Federal Aviation Administration. Next generation air transportation system programs[EB/OL]. [ 2015-05-18]. http://www.faa.gov /nextgen/programs/data

[4]EuroControl. Single europe sky air traffic management research[EB/OL].[ 2014-09-20]. http://www.sesarju.eu/data

[5]Koelle R, Kolev D. GAMMA—Filling the security management void of SESAR and NextGen[C] //Proc of the 2014 Integrated Communications, Navigation and Surveillance Conf (ICNS). Piscataway, NJ: IEEE, 2014: H3-1-H3-9

[6]Markarian G. Filling the security management void of SESAR and NextGen[C] //Proc of the 2015 Integrated Communication, Navigation and Surveillance Conf (ICNS). Piscataway, NJ: IEEE: 2015: 1-24

[7]Federal Aviation Administration. Information systems security (ISS)[C] //Proc of the 2008 Federal Aviation Administration (FAA), Information Technology (IT), Research and Development (R&D). McLean: FAA, 2008: 1-7

[8]Arthur P. A systems approach to protecting the U.S air traffic control system against cyber-terrorism[EB/OL]. [2014-04-15]. http://www.gao.gov/products/GAO-15-370/data

[9]Marshall D A. FAA system security testing and evaluation[R]. Virginia: Federal Aviation Administration, 2003

[10]吳志軍, 王慧. 信息安全中Safety與Security的比較研究[J]. 網絡信息安全, 2013, 2013(8): 84-86

[11]Marshall A. Overall security concept[C] //Proc of the ICAO ATNP Security Working Group-ATN Panel Working Group 1. Piscataway, NJ: IEEE, 1996

[12]馬蘭. 基于SSE的空中交通管理ATM信息安全保障方法的研究[D]. 天津: 天津大學, 2011

[13]AEEC. ARINC specification 823P1: Datalink security part 1—ACARS message security[R]. Maryland: Aeronautical Radio, INC. 2007

[14]AEEC. ARINC specification 823P2: Datalink security part 2—Key managent[R]. Maryland: Aeronautical Radio, INC. 2008

[15]王曉琳，張學軍，何葭. ACARS數據鏈中的安全通信[J]. 航空電子技術, 2003, 34(增刊): 95-100[16]武肖峰. 基于端對端的安全ACARS數據鏈系統研究[D]. 天津: 中國民航大學, 2011

[17]Bonebrake C, O’Neil L R. Attacks on GPS time reliability[J]. IEEE Security & Privacy, 2014, 12(3): 82-84

[18]Psiaki M L, O’Hanlon B W, Bhatti J A. GPS spoofing detection via dual-receiver correlation of military signals[J]. IEEE Trans on Aerospace and Electronic Systems, 2013, 2013(49): 2250-2267

[19]Todd H. The GPS dot and its piscontents-Privacy vs. GNSS integrity[J]. Inside GNSS, 2012, 3(2): 44-48

[20]潘衛軍, 陳通, 馮子亮. ADS-B信息安全問題及對策[J]. 國際航空雜志, 2009, 2009(10): 51-53

[21]環球網. 波蘭民航被“黑”啟示錄：越來越多黑客指向航空[EB/OL]. [2015-06-22]. http://world.huanqiu.com/article/2015-06/6741616.h tml/ data

[22]光明網. 歐洲13架飛機從雷達上消失25分鐘疑遭黑客攻擊[EB/OL]. [2014-06-16]. http://world.gmw.cn/2014-06/16/content11623851. html /data

[23]比特網. 黑帽大會將演示如何利用機載WIFI劫持飛機[EB/OL]. [2014-03-17]. http://sec.chinabyte.com/284/13041784.html/data

[24]Santamarta R. SATCOM terminals: Hacking by air, sea, and land[C] //Proc of the 2014 Technical White Paper of Security Service. Las Vegas: Ioactive, 2014

[25]Filehippo Web. PlaneSploit app could hijack an airplane[EB/OL]. [2013-04-12]. http://news.filehippo.com/2013/04/planesploitappcoulhijack-an-airplane/data

[26]環球網, 美商業航班上使用無線娛樂系統或致航班遭黑擊[EB/OL]. [2015-04-16]. http://tech.huanqiu.com/original/2015-04/6202028.html/ data

[27]Aradhana N, Kamesh N, Serge C. Enabling next generation airborne communications[J]. IEEE Communications, 2014, 52(4): 102-103

[28]Patel V, Mcparland T. Public key infrastructure for air traffic management systems[C] //Proc of the 20th Digital Avionics Systems Conf. Piscataway, NJ: IEEE, 2011: 7A5/1-7A5/7

吳志軍

教授，博士生導師，主要研究方向為空中交通管理信息安全.

zjwu@cauc.edu.cn

胡濤濤

碩士研究生，主要研究方向為網絡與信息安全.

tthul_08@126.com

Brief Introduction to Information Security in Air Traffic Management

Wu Zhijun and Hu Taotao

(DepartmentofElectronics&InformationEngineering,CivilAviationUniversityofChina,Tianjin300300)

Air traffic management (ATM) plays a crucial role in ensuring the operation of air transportation system and national airspace safe. ATM is a network-centralized intelligent system with high information integration, which is vulnerable to threats and attacks. Potential system vulnerabilities and security risks in ATM system, especially, in aeronautical communication, navigation, surveillance, automation, and airborne aeronautical communication network system are explored and analyzed in this paper, and specific examples are given. Finally, security recommendations on ATM information assurance are presented for the purpose of taking protective measures to guarantee the security of ATM operation.

air traffic management (ATM); information security; vulnerability; threat; information assurance

2015-07-26

國家自然科學基金面上項目(61170328,U1333116,U1433105);2013年民航科技引導資金項目(MHRD20130217)

TN918