淺析不同攻擊方式下的ADS-B安全風險

摘? ?要：隨著ADS-B系統的逐步推廣和建設，它的安全風險分析變得非常必要。本文首先介紹了ADS-B通信的安全現狀和主要的安全漏洞，隨后通過詳細介紹不同攻擊方式及實現技術，簡單分析了ADS-B系統在相應攻擊下的風險等級。

關鍵詞：ADS-B? 安全風險? 攻擊方式

中圖分類號：TP311? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2019）11（c）-0008-02

1? ADS-B安全現狀

根據ADS-B規范，ADS-B Out的消息中至少要包含航空器標識，氣壓值，經緯度，高度，速度數據。因為ADS-B數據是非加密的，惡意攻擊者使用一些便宜且易獲取的現成軟硬件設備，就可以竊聽這些信息。這些設備使得攻擊者可以在ADS-B信道中捕獲、修改、刪除或者插入消息，也可以使用阻塞和欺騙技術去實施攻擊。因此，一旦ADS-B被全面部署和使用，空中交通管制服務將會部分依賴ADS-B技術，它的可信度對于日后的航空安全是至關重要的。

2? ADS-B攻擊方式和攻擊技術

對于所有攻擊來說，沒有加密或者驗證機制的ADS-B該系統都是比較脆弱的，尤其是物理層攻擊。ADS-B的主要安全問題是缺少安全機制阻止惡意輕易實施攻擊。ADS-B通信主要漏洞如下。

（1）缺乏認證：不能阻止非認證用戶收發消息;

（2）缺少消息簽名：不能隔離假消息，不能正確識別消息發送者;

（3）缺少加密：不能阻止無線信道中收發的敏感信息被竊聽;

（4）缺少MAC地址或者隨機地址：不能阻止延時攻擊;

（5）缺少短期身份標識：不能確保數據隱私。

針對以上漏洞，本節依次介紹各類攻擊方式和攻擊技術。

2.1 被動攻擊

加密和認證機制的ADS-B通信數據很容易被攻擊者捕獲。這種攻擊叫做“消息竊聽”，或者“航空器偵查”。

文獻[2]利用低成本的ADS-B接收機，在一周時間里跟蹤了近兩萬個航班。對照ADS-B的112比特的消息格式，有56比特用來存儲ADS-B數據，還有24比特用來存儲24位地址碼。ADS-B數據信息包括識別號、位置、速度、緊急代碼和數據質量等級等。雖然航空器來的24位地址碼是唯一的，但是攻擊者可以通過消息竊聽獲取航空器地址碼。

2.2 主動攻擊

ADS-B的主動攻擊是空中交通管制安全的直接威脅。主動攻擊都是基于對1090MHz無線信道的干擾。

2.2.1 消息刪除

合法的ADS-B消息可以通過兩種方法來達到消除的效果[1]。

（1）反向干擾：通過反相信號來衰減或者摧毀原始消息;

（2）正向干擾：發送含有大量錯誤比特的信號，疊加在原消息上，導致原消息比特錯誤較多。因為每個消息的CRC校驗最多只能糾正5比特錯誤，多于5比特錯誤的消息，會被接收方判定為損壞的數據而丟棄。

使用這類技術的攻擊方式如下。

（1）航空器失蹤：攻擊者刪除一個航空器的所有消息，使它對其他航空器或者地面站不可見。

（2）航空器偽裝：先復制航空器的24位地址碼，再使用消息刪除和消息插入偽裝航空器。航空器機艙內的攻擊者，通過修改航空器的24位地址碼也可以實施這種攻擊。

2.2.2 消息修改

這種攻擊往往不易察覺。為此，管制員很可能被誤導給出錯誤的指令。這種攻擊也會給航空器的防相撞系統帶來負面影響。

實現方法如下[1]：

（1）消息淹沒：發送一個信號幅度強到可以淹沒原信號的假消息;

（2）比特翻轉：翻轉任意位數的比特數據。

通過使用以上兩種技術，可以實現以下攻擊方式：

（1）航跡修改：可以修改航空器發出的原始消息中的位置數據[2]，或者刪除原始消息并發送一個包含錯誤位置數據的新消息;

（2）告警代碼修改：攻擊原理同上，但是它修改了原始數據的告警信息。惡意攻擊者用它可以在空管系統中產生很多沖突告警。

2.2.3? 消息阻塞

數據通信中，消息阻塞是一個常用的可以造成拒絕服務效果的攻擊方式。由于ADS-B數據通信中沒有設置訪問數據鏈接的物理障礙，攻擊者可以在無線信道中發送數據。對于ADS-B，這個無線信道就是1090MHz。當攻擊者在信道中發送海量消息時，會造成該信道通信能力顯著下降，甚至無法使用。

攻擊者可以使用多種策略實現這種攻擊：

（1）長發干擾器：持續發射噪聲、單音或者隨機信號。這類信號容易被識別，從而被接收機過濾掉。

（2）欺騙干擾器：持續產生有效數據包，使得接收機很難區分數據包到底來自攻擊者，還是真實用戶。

（3）隨機干擾器：交替實現長發干擾器和欺騙干擾器的功能，并間歇性休眠。

（4）被動干擾器：只有當信道中有正在進行的通信時才工作，從而顯著降低了被識別的概率。

以下攻擊方式使用了上面的攻擊技術。

（1）地面站消息洪水：這種針對局部地區地面設備的攻擊，會阻礙空中交通管制正常工作。雖然這種攻擊實現難度低，繁忙空域實施此類攻擊也可以造成重大破壞。如果一群罪犯精心策劃一系列針對多個機場的攻擊，仍可能極大地增加事故發生的概率，因為備降航班很可能找不到不被攻擊的備降機場。

（2）航空器消息洪水：這種攻擊方式原理同上，但是航空器變成攻擊目標。而且最容易受到此類攻擊的目標是正在起飛或者降落的航空器。采用高功率地面裝置發射消息可以實現阻塞，阻塞效果持續到航空器脫離發射裝置的作用范圍。理論上，如果攻擊者攜帶類似設備在航空器上實施攻擊的話，也可以攻擊空中航空器。

2.2.4 消息插入

由于ADS-B規范中缺少身份認證，任何攻擊者產生的ADS-B消息都可能被認為是有效的。這使得很多能降低航空器或者機場空域安全性的攻擊方式都可以被實施，例如：

（1）航空器影子插入：攻擊者可以發送一個實際不存在航班的消息數據。這種攻擊的目標一般是航空器。由于是從地面設備發送信號，所以作用范圍接近地表。但是也可使用特殊技術去組織一個復雜攻擊，來迫使空中運行的航空器改變速度和位置。在低能見度情況下的航班受到此類攻擊的話，機長很難準確分辨出真消息和假消息，或者說是否真的有飛機在危險距離內。此外，具備TCAS系統的航空器也可能在收到假消息后，產生誤導機長的指令。

（2） 地面站影子插入：這種攻擊跟上面的攻擊很相似，只不過攻擊目標變成了地面站。這種攻擊方式會在空中交通管制員的ADS-B監視設備上，生成虛假航空器目標，從而影響管制員正常判斷，并分散其精力。

3? 不同攻擊方式下ADS-B的安全風險

從對被攻擊系統造成的影響，攻擊者成功實施攻擊的可能性，兩方面分析上節介紹的各種攻擊方式。表1考察對比了它們的可實施性、后果嚴重性和風險。

因為ADS-B中缺少加密和認證機制，并且ADS-B技術很容易獲取，航空器偵查攻擊成功實施的難度很低。同時它們并不會直接損害空中交通管制系統，所以這類攻擊的負面影響是相當低的（低風險）。盡管如此，在軍事環境中，航空器偵查卻是一個非常嚴重的問題，因為它是后續更多精確主動攻擊的第一步。

跟傳統的航空器偵查攻擊相比，主動攻擊往往會造成更嚴重的安全問題，因為它們會直接損壞或者誤導在用系統或地面站。

利用消息刪除技術的航空器失蹤攻擊和航空器偽裝攻擊需要通過時間同步技術來確保在準確的時刻破壞或者干擾消息信號。這極大的降低了這兩類攻擊的可能性。所以這類攻擊被歸類為中等風險。此外，多址定位技術和傳統雷達監視系統仍然可以作為航空器定位的重要手段。

利用消息修改技術的軌跡修改攻擊和告警代碼修改攻擊可能會產生迷惑效應。如果這種攻擊持續實施不被發現的話，也可能產生致命的后果。所以它屬于對空中交通有重大影響的攻擊。盡管如此，這種攻擊實現的可能性是最低的，因為掩蓋技術和比特翻轉技術需要非常高的時間精度和時間同步技術。因此它的風險等級是中等。

消息阻塞攻擊的風險可以定性為高。因為，這種攻擊造成的地面站監視數據的丟失會對空中管制產生重大影響。在地面站附近，如果攻擊者使用便攜式的低功率消息阻塞裝置，那么癱瘓該地面站的ADS-B信道的數據傳輸會很容易。而且，可以用作消息阻塞裝置的軟件無線電設備是很容易獲取的，因而顯著增加了這種攻擊成功實施的可能性。考慮到上節提到的隨機干擾器和被動干擾器，消息阻塞攻擊可能會變得非常有效，并且很容易被隱藏起來。

消息插入攻擊將會是ADS-B最大的安全威脅，因為它不僅可以產生嚴重后果，而且由于軟件無線電設備很容易獲取，攻擊者成功實施此類攻擊的可能性也非常高。尤其是當攻擊者對某個地面站實施大量ADS-B消息插入攻擊時，管制員可能會被徹底誤導而造成交通癱瘓。由于此類攻擊需要一定技術去使用ADS-B協議來產生完整格式的ADS-B消息，才能使得虛假航空器出現在交通管制控制系統中，有一定難度，所以這種攻擊實施的可能性是中等。對于一個有中等實施可能性，但是能嚴重后果的攻擊方式，它帶來的風險是很高的。

4? 結語

本文分析的各種攻擊技術可以損害空中交通數據通信，可以給信息系統、管制員、飛行員和管理方引入錯誤數據信息，使得完全依賴ADS-B可靠性的人或者系統做出錯誤判斷，或得出錯誤結論。因此，非常有必要去分析各類攻擊帶來的風險。盡管如此，具體的緩解或者阻止各類攻擊的方法，還需要更進一步探索。

參考文獻

[1] AirNet自動化系統技術手冊[Z].2018-8.

[2] 郝育松.AirNet管制中心自動化系統[J].民航科技，2011（2）：25.

[3] 李佳.淺談自動化系統語音同步回放功能的結構演變[J].信息與電腦，2019（10）：11.