淺析烏魯木齊空管中心ADS—B接入自動化系統(tǒng)優(yōu)化與研究

余闐

摘 要：空管自動化系統(tǒng)需要多種監(jiān)視手段，文章闡述目前烏魯木齊區(qū)管中心引接ADS-B（廣播式自動相關(guān)監(jiān)視）信號情況和接入自動化系統(tǒng)后存在的問題及潛在的風(fēng)險，通過故障現(xiàn)象檢測和分析，采取相關(guān)安全防控策略管理ADS-B數(shù)據(jù)流量及走向，并提出地面站地址規(guī)劃及傳輸方式優(yōu)化方法，盡可能降低故障風(fēng)險，保護自動化系統(tǒng)安全。

關(guān)鍵詞：自動化系統(tǒng)；ADS-B；訪問控制；地址規(guī)劃

中圖分類號：V355 文獻標(biāo)志碼：A 文章編號：2095-2945（2017）31-0193-02

引言

隨著衛(wèi)星通信和空地數(shù)據(jù)鏈技術(shù)的發(fā)展，雷達已經(jīng)不是空管監(jiān)視的唯一手段，自動相關(guān)技術(shù)在空管系統(tǒng)中的作用表現(xiàn)的越來越重要。自烏魯木齊區(qū)管中心成立以來，自動化系統(tǒng)引接了南疆若干個ADS-B地面站數(shù)據(jù)，但監(jiān)視信號接入子網(wǎng)交換機并未采取相關(guān)安全防護策略，各地面站ADS-B數(shù)據(jù)相互串?dāng)_，造成主用自動化系統(tǒng)出現(xiàn)航班大面積掉標(biāo)牌現(xiàn)象，因此ADS-B數(shù)據(jù)接入自動化系統(tǒng)的優(yōu)化與研究就顯得尤為重要。

1 典型故障案例現(xiàn)象及分析

11：08（UTC），管制部門反映主用自動化系統(tǒng)出現(xiàn)航班大面積掉標(biāo)牌的現(xiàn)象并要求立即切換至備用自動化系統(tǒng)保障運行，11：09（UTC）主用自動化系統(tǒng)航跡恢復(fù)。

通過在系統(tǒng)管理席位（SMP）進行數(shù)據(jù)回放，技術(shù)維護人員發(fā)現(xiàn)11：08：18雷達管制屏幕大面積航班掉標(biāo)牌，雷達航跡和ADS-B航跡變?yōu)橥茰y航跡并逐步消失，但計劃航跡仍然存在，11：11：20主用自動化航跡陸續(xù)恢復(fù)正常，然而該時間段內(nèi)備用自動化航跡一切正常。

遠程登錄主用監(jiān)視數(shù)據(jù)處理服務(wù)器（SDP）和主用監(jiān)視源前置處理服務(wù)器（SFP），查看home/atc/log/zl_log目錄下的zlsem日志中的num_sem數(shù)值過高，正常情況下該項數(shù)據(jù)應(yīng)自動釋放且歸零；查看home/atc/log/zl_log目錄下的top日志中的CETC_NET和CETC_NETRAD兩個進程中的CPU占用率高達3%，正常情況下該數(shù)值不超過1%；查看home/atc/log/tk_log日志，發(fā)現(xiàn)該時間段內(nèi)某地面站ADSB數(shù)據(jù)量激增，遠高于其他時間段內(nèi)的ADSB數(shù)據(jù)量。

通過查看上述日志可知，ADSB地面站數(shù)據(jù)接入自動化系統(tǒng)存在潛在風(fēng)險。ADSB交換機內(nèi)的各地面站的數(shù)據(jù)會相互串?dāng)_，導(dǎo)致某一時間段內(nèi)交換機端口數(shù)據(jù)量增大，從而引發(fā)系統(tǒng)故障。

2 交換機訪問控制列表配置

根據(jù)CISCO交換機訪問控制列表規(guī)則：

#access-list access-list-number {permit|deny} protocol source source-wildcard destination destination-wildcard

“access-list-number”是擴展ACL編號，范圍從100-199。

{permit|deny} 是這條ACL條目執(zhí)行的操作，允許/拒絕地址通過。

“protocol”代表協(xié)議，可以用具體的協(xié)議名稱代替，比如TCP、UDP、ICMP、IP等。

“source source-wildcard”，表示源地址以及通配符掩碼，通配符可以用host表示。

“destination destination-wildcard”，表示目的地址以及通配符掩碼。

“訪問控制列表指令組”是逐條執(zhí)行的，在逐條執(zhí)行的過程中，只要發(fā)現(xiàn)有一條匹配，則使用那一條規(guī)定動作確定允許或拒絕（比如執(zhí)行第一條的時候就匹配了，那么就使用第一條規(guī)定的動作允許或拒絕，后面的語句就不會被執(zhí)行了），如果所有指令都不匹配，默認(rèn)的動作是拒絕。

在此，我們使用擴展訪問控制列表，將指令組應(yīng)用于交換機對應(yīng)端口，可以根據(jù)源和目的地址進行包過濾，其余數(shù)據(jù)包無法通過。

南疆ADS-B地面站點以A-G為例：

ADS-B地面站數(shù)據(jù)從三層交換機引出，分別接入主用自動化SFP服務(wù)器，主用自動化測試平臺SFP服務(wù)器，備用自動化防火墻，備用自動化測試平臺防火墻，區(qū)管監(jiān)控主機。

以A地面站為例交換機配置如下：

實現(xiàn)功能：配置拓展訪問控制列表指令組101，允許A地面站A機、B機將數(shù)據(jù)包通過ADS-B交換機送入監(jiān)控終端，此端口不接收其他數(shù)據(jù)包。

access-list 101 permit ip host X.Y.Z.A1/A2 host 監(jiān)控IP

access-list 101 permit ip host X.Y.Z.A1/A2 host 主備用自動化IP

access-list 101 permit ip host X.Y.Z.A1/A2 host 主備用測試平臺IP

access-list 101 deny ip any any

interface GigabitEthernet0/0/1

ip access-group 101 in

以A和B兩個ADS-B地面站點為例，在三層交換機可以接收到兩站點數(shù)據(jù)，但在其中一個站點ping不通另一站點IP，因此實現(xiàn)了數(shù)據(jù)隔離，排除了地面站間的數(shù)據(jù)串?dāng)_。

3 數(shù)據(jù)傳輸方式及地址規(guī)劃

根據(jù)民用航空ADS-B數(shù)據(jù)處理中心系統(tǒng)技術(shù)要求，ADS-B二級數(shù)據(jù)處理中心應(yīng)能夠根據(jù)需求引接本區(qū)域內(nèi)及相鄰區(qū)域的 ADS-B 數(shù)據(jù)（包括ADS-B地面站和數(shù)據(jù)站融合后輸出的數(shù)據(jù)），經(jīng)過處理后為區(qū)域管制中心自動化系統(tǒng)、大型終端區(qū)管制中心自動化系統(tǒng)等提供 ADS-B 實時綜合監(jiān)視信息，為本區(qū)域內(nèi)的中低空管制中心、終端（進近）管制中心、塔臺自動化系統(tǒng)提供備份 ADS-B 實時綜合監(jiān)視信息，同時向兩個一級數(shù)據(jù)處理中心上傳 ADS-B 實時綜合監(jiān)視信息。

輸出接口可由用戶指定為組播、單播或廣播；采用UDP組播時，可以配置組播路由。架設(shè)兩臺三層交換機并配合防火墻作為ADS-B二級數(shù)據(jù)處理中心的邊界審計設(shè)備，在三層交換機上配置相應(yīng)輸出的綜合監(jiān)視信息的組播地址，并寫入相應(yīng)的安全防控策略。

ADS-B二級數(shù)據(jù)處理中心輸出的綜合監(jiān)視信息組播地址規(guī)劃需同時滿足以下兩個條件：

（1）規(guī)劃的組播地址必須在規(guī)定的預(yù)留組播地址范圍內(nèi)，且未被占用。

根據(jù)IP組播的定義：IPMulticast地址為D類地址，地址范圍224.0.0.0-239.255.255.255，并將D類地址劃分為本地鏈接組播地址、預(yù)留組播地址、管理權(quán)限組播地址。其中 224.0.1.0～238.255.255.255 為預(yù)留組播地址，用于全球范圍或網(wǎng)絡(luò)協(xié)議，多播地址應(yīng)從此范圍內(nèi)選擇。

（2）規(guī)劃的組播地址不能與主備用自動化輸出的綜合航跡和飛行數(shù)據(jù)組播地址沖突。

4 結(jié)束語

烏魯木齊空管中心ADS-B接入自動化系統(tǒng)的優(yōu)化與研究還需進一步實踐與考證，由于數(shù)據(jù)在傳輸和交互的過程中體現(xiàn)出較強的開放性，所以做好數(shù)據(jù)引接的信息安全管理工作就顯得尤為重要，應(yīng)當(dāng)引進收集，檢測和分析的技術(shù)來進行監(jiān)控，促進空管自動化發(fā)展，提升民航的運行保障能力，建設(shè)民航強國做出積極有力的貢獻。

參考文獻：

[1]胡飛.ADS-B系統(tǒng)的原理分析與風(fēng)險研究[J].科技傳播，2011（03）.

[2]黃丹 .ADS-B技術(shù)在INDRA空管自動化系統(tǒng)中的設(shè)計與應(yīng)用[J].中國高新技術(shù)企業(yè)，2017（01）.

[3]駱敏.基于訪問控制列表實現(xiàn)網(wǎng)絡(luò)安全及實例[J].科技信息：學(xué)術(shù)版，2006（09）.

[4]D Mccallie ，J Butts ， R Mills.Security analysis of the ADS-B implementation in the next generation air transportation system[J].International Journal of Critical Infrastructure Protection，2011，4（02）：78-87.endprint