◆劉文舉

淺談民航飛機無線電電子內(nèi)部通信網(wǎng)絡(luò)的安全風險分析及防范措施

◆劉文舉

（沈陽航空航天大學民用航空學院 遼寧 110136）

機內(nèi)的有線數(shù)據(jù)傳輸經(jīng)過了漫長的發(fā)展，其設(shè)計已經(jīng)相當成熟，但是其慢慢也暴露出一些致命的問題。針對這些問題，人們提出了以無線網(wǎng)絡(luò)代替線纜的無線電電子內(nèi)部通信（WirelessAvionicsIntra-communications）來解決一些有線傳輸帶來的困擾。本文已WAIC網(wǎng)絡(luò)安全問題入手，結(jié)合現(xiàn)有傳感器網(wǎng)絡(luò)的安全及無線網(wǎng)絡(luò)安全的相關(guān)技術(shù)，來分析出WAIC可能會出現(xiàn)的風險，并提出相關(guān)的可行的解決方案。

民航；飛機；無線電通信；安全

電子技術(shù)的發(fā)展大大提高了民航飛機的自動化程度與可靠性，各種機載電子設(shè)備通過機載電子系統(tǒng)的數(shù)據(jù)總線進行數(shù)據(jù)傳輸。目前，航空器線纜及其相關(guān)的接口設(shè)備重量占航空器總重的2%~5%。為了進一步減輕重量，降低成本，提高飛行器的安全性與可靠性，使用無線局域網(wǎng)技術(shù)來替代大部分有線通信，是未來的發(fā)展方向之一。

目前，無線電子通信技術(shù)在應(yīng)用方面也存在一些問題。特別是無線局域網(wǎng)技術(shù)的安全性成為安全的焦點。民航作為將安全高于一切的作為準則的行業(yè)，更加需要解決安全性的問題。

1 WAIC網(wǎng)絡(luò)的概念

無線航空電子內(nèi)部通信（WirelessAvionicsIntra-communications），簡稱WAIC。WAIC網(wǎng)絡(luò)的目的是用來代替飛機上復(fù)雜的線纜系統(tǒng)，通過安裝在飛機各個不同部位的傳感器，將有線通通信轉(zhuǎn)化為無線通信，來實現(xiàn)航空器駕駛艙與發(fā)動機、機翼，客艙和油箱等重要位置的傳感器進行無線的信息交互。其主要應(yīng)用于航空器結(jié)構(gòu)的強度，剛度的監(jiān)測，飛機的姿態(tài)感知，飛機運行情況的實時監(jiān)控等。WAIC網(wǎng)絡(luò)并不提供航空器與地面服務(wù)保障機構(gòu)、多架航空器之間，航空器與衛(wèi)星、以及航空器乘員的無線網(wǎng)絡(luò)服務(wù)。其只是用于航空器飛行的相關(guān)數(shù)據(jù)的進行機內(nèi)傳輸。

2 WAIC的要求

經(jīng)過分析，WAIC需要符合以下幾點基本條件：

2.1 通信網(wǎng)絡(luò)的安全性要高

飛行器飛行時，信息是否能夠安全的傳輸是極其重要的。飛機在飛行過程中，大量關(guān)鍵數(shù)據(jù)的安全傳輸是至關(guān)重要的。只有在保證網(wǎng)絡(luò)安全性的情況下，才能體現(xiàn)出無線網(wǎng)絡(luò)在可拓展性，維護便利性上的諸多優(yōu)勢。

2.2 通信網(wǎng)絡(luò)的穩(wěn)定性要好

如果無線通信想要替代有線通信網(wǎng)絡(luò)，那么穩(wěn)定性就必須要得到保障。飛行器飛行時許多數(shù)據(jù)是需要穩(wěn)定傳輸?shù)?，如果航空器機組成員因為信號太不穩(wěn)定或是根本沒有信號導(dǎo)致無法得到航空器相關(guān)的重要數(shù)據(jù)，很可能導(dǎo)致極其嚴重的事故。

2.3 通信網(wǎng)絡(luò)的時延要小

航空器飛行時，如高度、航向、剩余油量等都需要盡快傳輸給機組成員，讓機組成員能夠在盡量短的時間內(nèi)對現(xiàn)在的飛行狀況做出判斷，這些數(shù)據(jù)都是需要實時傳輸。因此通信網(wǎng)絡(luò)的時延一定要盡可能得小。

2.4 通信網(wǎng)絡(luò)的抗干擾能力要強

在飛行過程中，飛行環(huán)境的復(fù)雜性，多變性與極端性，對通信網(wǎng)絡(luò)來說是極大的考驗。通信網(wǎng)絡(luò)要在遭到各種不同程度破壞或受到極端干擾的情況下仍能可靠地完成任務(wù)。

2.5 通信網(wǎng)絡(luò)的可快速恢復(fù)性

對于通信網(wǎng)絡(luò)的控制系統(tǒng)，必須具有可快速恢復(fù)性，這點對于WAIC也是至關(guān)重要的。

3 WAIC存在的安全風險

3.1 無線偵察與探測

大部分無線通信網(wǎng)絡(luò)相關(guān)設(shè)備，都使用了無線通信協(xié)議。例如ZigBee協(xié)議、UBW協(xié)議、IEEE802.15.4標準等。現(xiàn)在已經(jīng)可以經(jīng)行針對物聯(lián)網(wǎng)設(shè)備的掃描攻擊。這些協(xié)議都是使用短距離的通信，由于協(xié)議簡單、一些信息沒有專門的協(xié)議保護，很容易被竊聽。攻擊者通過篡改信息或協(xié)議漏洞等對無線網(wǎng)絡(luò)通信系統(tǒng)進行攻擊。甚至可以通過此種手段奪取飛機的控制權(quán)。

3.2 信道阻塞

無線電通信大會（WorldRadiocommunicationConference）2014年11月發(fā)布M.2318標準，表明4.2～4.4GHz頻段是滿足WRC－15議程要求的15.7GHz以下唯一的選擇。根據(jù)這個推薦標準，無線通信網(wǎng)絡(luò)的通信頻段過于單一，攻擊者也可以選擇通過長期占用信道，導(dǎo)致信息無法傳輸。

3.3 安全協(xié)議攻擊

在無線網(wǎng)絡(luò)中，無論是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層及傳輸層的協(xié)議設(shè)計時都是遵循著盡量減少能源消耗、利于快速搭建及使用來設(shè)計的。因此在設(shè)計安全協(xié)議時，就會存在漏洞。不僅如此，安全協(xié)議在實現(xiàn)甚至是配置階段，也會產(chǎn)生漏洞。因此攻擊者只需要尋找這些漏洞，并利用這些漏洞，來進行危害航空安全的活動。

3.4 物理安全攻擊

物理安全攻擊時最直接，最可靠的攻擊方式。并且很容易被無線通信設(shè)備的提供商所忽略。物理安全攻擊是指攻擊者通過將無線通信設(shè)備進行物理解刨分析。從而訪問其CPU、內(nèi)存設(shè)備和其他安全組件。在獲得其中某個接口的訪問權(quán)限，攻擊者可以通過該接口輕而易舉地訪問內(nèi)存，獲得密鑰、口令、配置信息、指紋等很多與網(wǎng)絡(luò)安全相關(guān)的參數(shù)。并可通過這些參數(shù)來侵入網(wǎng)絡(luò)系統(tǒng)，來達到攻擊目的。

3.5 社會工程學攻擊

很多的攻擊者不是去直接用非常復(fù)雜的技術(shù)手段來攻擊網(wǎng)絡(luò)系統(tǒng)，而是通過一些虛假鏈接，虛假郵件，虛假網(wǎng)站以及冒用身份等，利用人性的弱點，來套取有用的相關(guān)信息，從而對系統(tǒng)進行爆破。為了規(guī)避安全風險，許多專家精心設(shè)計了安全解決方案，但卻很少重視和解決最大的漏洞-人為因素。每一個能夠訪問系統(tǒng)的人都是潛在的安全風險和威脅因素。因此，重視解決社會工程學攻擊是極其重要且必要的。

3.6 程序安全攻擊

很多的無線網(wǎng)絡(luò)系統(tǒng)和應(yīng)用的開發(fā)者，并沒有安全編碼的經(jīng)驗。并且有大量的無線網(wǎng)絡(luò)程序沒有經(jīng)過正規(guī)的代碼審計，安全設(shè)計等相關(guān)的程序安全檢測措施。嵌入式設(shè)備與PC、其他相關(guān)設(shè)備的程序架構(gòu)不同，當將其組成一個系統(tǒng)，由于要考慮兼容性的問題，所產(chǎn)生的漏洞將更加多。攻擊者將會檢測出這些漏洞，并利用這些漏洞，達到威脅航空安全的目的。

4 攻擊手段的應(yīng)對措施

對上述的攻擊手段，根據(jù)其各自的攻擊特點、方式、手段等，提出如下的解決方案：

4.1 應(yīng)對無線偵察與探測

最好的辦法就是對數(shù)據(jù)進行加密。但是加密與解密過程，密鑰的分發(fā)等都會造成能量的過多消耗與過多的占用資源等問題。而且傳統(tǒng)網(wǎng)絡(luò)的公密鑰機制，需要一個中心節(jié)點來進行統(tǒng)一的密鑰調(diào)配，但在WAIC中，有許多的節(jié)點的地位是相同的，不存在一個真正的中心節(jié)點，因此不可能使用公密鑰的方法。因此應(yīng)使用一些輕量級的加密算法，例如利用使用非確定性的隨機數(shù)生成器，其通過非常隨機的物理事件，比如背景噪聲，操作系統(tǒng)中的隨機中斷來提取，并產(chǎn)生隨機數(shù)據(jù)，并以此來提供密碼素材。

4.2 應(yīng)對信道堵塞

結(jié)合如今的研究成果來看，并沒有特別好的解決方案，只能通過相關(guān)的協(xié)議設(shè)計，通過擁塞控制，來進行盡可能避免。

4.3 應(yīng)對安全協(xié)議攻擊

應(yīng)當認識到，其安全協(xié)議因為需要滿足無線網(wǎng)絡(luò)的特殊需求而存在的局限性，使用者應(yīng)該在使用前充分理解協(xié)議的局限性。而且由于WAIC系統(tǒng)需要滿足內(nèi)部高速應(yīng)用、內(nèi)部低速應(yīng)用、外部高速應(yīng)用和外部低速應(yīng)用四種應(yīng)用類型的不同速率不同信道的數(shù)據(jù)傳輸。因此可能需要采用不同的無線通信協(xié)議，因此在不同的層次，不同的協(xié)議，合理的使用相應(yīng)的安全控制方案，做到這點是極其重要的。

4.4 應(yīng)對物理安全攻擊與社會工程學攻擊

對于物理安全攻擊，當多種無線網(wǎng)絡(luò)設(shè)備結(jié)合在一起時。攻擊者可以從各種可能的渠道獲得相關(guān)的物理設(shè)備，并對此拆解。并且通過社會工程學的手段接近已破解的物理設(shè)備，并對其實施破壞。應(yīng)對社會工程學攻擊，要對相關(guān)工作人員，進行網(wǎng)絡(luò)安全的培訓，讓他們具備較強的網(wǎng)絡(luò)安全意識，懂得相關(guān)的網(wǎng)絡(luò)安全技術(shù)。同時相關(guān)單位也應(yīng)建立完備的安全審核制度，對身份、操作流程、安全列表等進行嚴格的檢查，并且應(yīng)建立完善的安全響應(yīng)應(yīng)對措施。這樣才能盡可能地保持WAIC系統(tǒng)的安全。這兩種攻擊雖然各有側(cè)重，但交集甚多，因此二者應(yīng)結(jié)合起來進行考慮。

4.5 應(yīng)對程序安全攻擊

應(yīng)對這種攻擊，首要的是在程序開發(fā)階段就考慮到可能出現(xiàn)的攻擊手段，并且通過相應(yīng)的設(shè)計來保證程序的安全性。由于現(xiàn)在都需要進行敏捷開發(fā)。這就對構(gòu)建一個完整的安全體系造成了困難。而且敏捷開發(fā)的兩個重要的原則：

（1）能用的軟件時最主要的進度標準

（2）經(jīng)常交付可以工作的軟件，交付時間越短越好。

短暫的開發(fā)時間表讓安全團隊很難面面俱到，因此處理安全需求的時候，不但需要考慮程序的可靠性，更要考慮可拓展性，以便于在下一次迭代的時候，能夠滿足下一個開發(fā)周期的安全需求。并且在整個系統(tǒng)實施安全周期中，應(yīng)對期間的攻擊事件進行記錄，并且分析這些數(shù)據(jù)。如果期間能夠解決這些漏洞，則提供的補丁。否則，應(yīng)在下一個開發(fā)周期時修復(fù)這一漏洞。

5 結(jié)語

WAIC利用無線網(wǎng)絡(luò)系統(tǒng)來代替有線的數(shù)據(jù)傳輸，可以極大地減少線路短路或線路缺陷等導(dǎo)致的事故。也可以降低維護的成本，降低飛機的重量。本文由WAIC的概念入手，分析了WAIC的要求，著重介紹了其可能存在的安全風險，以及相關(guān)可能的應(yīng)對措施。由于現(xiàn)如今并未規(guī)定相關(guān)的標準，只能通過一些現(xiàn)有的物聯(lián)網(wǎng)傳感器網(wǎng)絡(luò)的架構(gòu)進行分析。雖然現(xiàn)在WAIC的研究領(lǐng)域尚在起步階段，但是，隨著技術(shù)的進步，以及對此領(lǐng)域的更加重視。在不久的將來，當解決了安全性以及可靠性的問題，WAIC會替代部分線纜的傳輸，為更舒適、更可靠的、更安全的飛行保駕護航。

[1]范祥輝，陳長勝，史巖，楊建茜.民用飛機無線航空電子內(nèi)部通信網(wǎng)絡(luò)技術(shù)綜述[J/OL].航空工程進展：1-7[2020-10-28].http://kns.cnki.net/kcms/detail/61.1479.V.20200924.0951.006.html.

[2]楊光，耿貴寧，都婧，等.物聯(lián)網(wǎng)安全威脅與措施[J].清華大學學報（自然科學版），2011，51（10）：1335-1340.

[3]（美）布萊恩·羅素.物聯(lián)網(wǎng)安全[M].機械工業(yè)出版社，2020.

[4]新閱文化.黑客揭秘與反黑實戰(zhàn)：人人都要懂社會工程學[M].人民郵電出版社，2018.