吴志军 胡涛涛

(中国民航大学电子信息工程学院 天津 300300)



空中交通管理信息安全研究

吴志军 胡涛涛

(中国民航大学电子信息工程学院 天津 300300)

(zjwu@cauc.edu.cn)

空中交通管理(air traffic management, ATM)系统是信息高度集成的以网络为核心的智能化信息系统，它是保障航空交通运输安全运行和保护国家领空安全的重要支撑之一.随着网络化空中交通管理的发展，其面临严峻的信息安全威胁.在分析空中交通管理系统体系结构和系统组成的基础上，揭示了航空通信、导航、监视和自动化系统及机载航空通信网络中潜在的系统漏洞和安全隐患，并给出了具体事例进行说明；根据空中交通管理系统信息安全保障的需求，给出了空中交通管理系统信息安全防护建议和保护措施，有助于空中交通管理信息安全保障的建设.

空中交通管理；信息安全；漏洞；隐患；信息保障

空中交通管理(air traffic management, ATM)系统是航空交通运输安全运行的重要保障技术手段之一，其核心内涵是航空通信、导航、监视与空中交通管理(communication navigation surveillanceair traffic management, CNSATM).空中交通管理系统是一个由空间卫星网络、空中机载网络和空地数据链、地面计算机传输网络和地空数据链等组成的复杂的、智能化的信息系统[1].

目前，空中交通管理系统正在向信息综合集成一体化、网络化、自动化方向发展，已经形成了大规模网络化的航空综合信息集成系统[2].其中，主要代表有美国联邦航空局(Federal Aviation Administration, FAA)[3]实施的下一代航空运输系统NextGen(next generation air transportation system)和欧洲航空安全组织EuroControl(European Organization for the Safety of Air Navigation)的单一天空空中交通管理研究计划(single European sky air traffic management research, SESAR)[4].

随着国际网络安全的日趋严峻，作为支撑国家安全的重要系统，空中交通管理系统面临巨大的安全威胁[1].国际上已经针对NextGen和SESAR的信息安全进行了研究，英国兰卡斯特大学(Lancaster University)开展了GAMMA(the global ATM security management)计划项目[5-6]的研究，该研究计划针对航行(air navigation)服务中存在的系统漏洞和安全隐患提供相应的解决方案和建议措施，有助于提高NextGen和SESAR系统的信息安全保障能力.针对空中交通管理系统的信息安全问题，美国FAA率先在世界上制定了针对美国国家空中交通管理系统的信息安全保障计划——信息系统安全(information system security, ISS)[7-8].ISS通过研究、开发和实施可信赖的系统(trusted system)来保障美国空中交通管理系统避免或减少设计及操作上的差错，确保有足够的能力来应付潜在的安全威胁和阻止恶意攻击[9].

航空交通运输的终极目标是：运行安全(safety)、安全高效(efficiency)、安全保障(security)、节能(energy saving)和环保(environment protection).由于中文翻译的问题，在我国通常将这个目标说成：安全、高效、节能、环保.而将Security的真正含义淡化了[10].因而，长期以来，中国民航全行业的网络和信息安全意识还比较淡薄，重要网络和信息系统还存在安全隐患，空中交通管理信息安全保障缺乏整体、统一、行之有效的信息安全保障体系，存在一些亟待解决的问题.目前，空中交通管理系统已经被列为国家重点监管的信息系统之一，纳入国家信息安全管理体系.因此，空中交通管理系统面临的信息安全形势不容乐观，必须正确认识空中交通管理系统的安全隐患和面临的安全威胁，加强空中交通管理信息安全保障工作.

1 安全隐患分析

国际民航组织(International Civil Aviation Organization, ICAO)下属的航空电信网(aeronautical telecommunication network, ATN)专业委员会信息安全工作小组早在1996年就指出[11]：Air traffic control messages (via data link) are at risk from modification, replay and masquerade attacks(经过数据链传输的空中交通管制信息面临的潜在威胁包括：篡改、重放和伪造攻击).并且该工作组还指出[11]：All CNSATM applications are vulnerable to denial of service attacks (所有航行系统的应用均容易遭受拒绝服务攻击DoS).

第一、数据泄漏.空中交通管理系统中的很多通信设施均是开放的、未经加密系统，十分容易造成敏感数据的外泄和截获.

第二、数据欺骗.由于空中交通管理系统缺乏安全认证保护，有效的信息在传输过程中可能被篡改或重新发送，也可能被伪造后进行传输，并且看起来是合法的.

第三、实体伪装.由于空中交通管理系统的接入缺乏有效的认证过程，蓄意的破坏者可以通过伪装，假扮成一个实体的航空数据终端，从而合法地接入空中交通管理系统.

第四、拒绝服务攻击DoS.DoS攻击可以造成空中交通管理系统正常通信的中断，有2种方式：1)攻击者通过向地面控制站(ground earth station, GES)发送大量伪造信息，使地面控制站不能响应正常的民航客机通信，造成地面站拒绝服务；2)攻击者伪装成数据终端通过数据链路向民航客机发送大量无用的信息，使其信息处理中心服务器负载过重，资源耗尽，不能够响应正常的信息，从而造成服务器的拒绝服务.

令人震惊的“9·11”事件虽然已经过去了很多年，但针对该事件采用的攻击方式的思考还在延续.“9·11”事件中恐怖分子采用暴力手段劫持民航飞机撞击世贸大楼，属于物理攻击方式.该方式虽然劫持的飞机数量有限，但造成的后果和影响十分巨大.如果恐怖分子利用空中交通管理的系统漏洞和安全隐患，采用“黑客”攻击手段，攻陷或控制空中交通管理系统，欺骗或劫持民用客机，而且劫持的飞机数量可以随意控制，则造成的灾难堪比第2次世界大战.因此，美国国家信息安全保障合作部主任Ron Ross说：“If there had been a cyber-attack at the same time[September 11] that prevented them[air traffic controllers] from doing that[bringing down the aircraft], the magnitude of the event could have been much greater.”(假如在“9·11”事件发生的同时，采用网络攻击的手段致使飞机坠毁，那么事件的后果则更加惨重)[8]；美国联邦调查局FBI国家基础设施保护中心主任Ron Dick说：“The event I fear most is a physical attack in conjunction with a successful cyber-attack on the responders’911 system or on the power grid.”[8](令人最为担忧的是针对“9·11”事件的应对措施或电网系统采用物理攻击与成功的网络攻击联合开展的攻击).因此，如果恶意的网络攻击者发现并利用空中交通管理系统中潜在的安全隐患，造成的后果将不堪设想.所以，必须清楚地认识了解和掌握空中交通管理系统中可能存在的系统漏洞和安全隐患.

目前，在空中交通管理相关的系统中已经揭示和发现很多的系统漏洞和安全隐患.下面以空中交通管理中采用的具体技术手段为例进行说明.

1.1 航空通信方面的安全隐患

在航空通信中采用的技术手段很多，这里仅选择C波段卫星通信网络和飞机通信寻址与报告系统(aircraft communications addressing and reporting system, ACARS)数据链进行说明.

1.1.1 C波段卫星通信网络

在中国民航空中交通管理系统中部署了近400座C和Ku波段的甚小口径(very small aperture terminal, VSAT)卫星通信地球站系统，主要用于雷达数据传输的备份手段，以及其他空中交通管理业务数据的传输.在民航空中交通管理系统中使用的VSAT卫星通信网络中存在的系统漏洞如下[1,12]：

安全漏洞1.透明信道传输.

由于VSAT卫星通信网络的传输线路采用透明转发的方式，其中传输的数据很容易被非法接收者(非授权用户)接收、截获，造成空中交通管理业务敏感数据和信息的泄漏.

安全漏洞2.通信报文采用明文通信.

在民航使用的VSAT卫星通信系统中，没有定购系统配置的加密单元模块和采用相应的加密技术措施.因此，通信的信息数据全部采用明文传输，存在数据被截获和泄漏的危险.即便使用VSAT系统厂家定制的加密单元模块，并且采用自己的密码算法，但由于加密模块的硬件为国外所造，仍然存在利用穷举攻击破解密码的风险.

安全漏洞3.缺乏安全接入认证.

由于VSAT卫星系统的接入和数据传输均没有设计安全认证技术，而完全由系统管理层面进行认证，容易导致系统假冒和身份伪造，造成接收或传输错误的数据信息.

1.1.2 飞机通信寻址与报告系统ACARS

虽然国际上，航空无线电通信公司ARINC (Aeronautical Radio Inc.) (又称：美国爱瑞克)针对ACARS数据链的信息安全问题制定了相关标准[13-14]，但现有ACARS数据链中的安全保护措施十分有限，系统存在巨大的安全隐患.而且ACARS数据链的内在特点使得ACARS系统的安全受到巨大的威胁，包括数据泄漏、数据欺骗、实体伪装和拒绝服务[1,12，15-16].

安全隐患1.ACARS数据泄露.

现有ACARS数据链路安全性较差，任何一个具有RF收发装置的攻击者都可以截获ACARS报文，并读懂其内容，这造成了数据的泄漏.民航的ACARS信息中包含了飞机起飞、着陆数据，航油数据，机组数据等一系列航空公司敏感的信息，攻击者对数据的窃听和分析可能会直接危害到航空公司的利益，造成巨大的经济损失.军航飞机的机密性较高，数据的泄漏更会造成不可估量的后果.

安全隐患2.数据欺骗.

ACARS链路中由于缺乏有效的安全保护，伪造的ACARS信息有可能被传输，并且看起来是合法的.另外即使是有效的ACARS信息，也很有可能在传输过程中被篡改或重新发送，导致数据错误，造成数据欺骗，对飞机的安全性产生直接的影响.

安全隐患3.实体伪装.

ACARS系统中，一个实体很容易伪装成某个终端，使得空地通信受到破坏，阻碍系统的正常运行，成为实体伪装安全隐患.例如一台计算机经过简单装备便可以模拟管制员，向空中飞机发送非法控制消息，这非常容易造成撞机等重大事故.

安全隐患4.拒绝服务.

在ACARS系统中，分布式拒绝服务DDoS攻击有2种方式：1)由于地面站只能对一个终端进行服务，攻击者可以通过向地面站发送大量伪信息，使地面站不能响应正常的飞机通信，造成地面站拒绝服务；2)攻击者伪装成终端向数据链路发送大量无用的ACARS信息，使信息处理中心服务器负载过重，资源耗尽，不能够响应正常的信息，从而造成服务器的拒绝服务.拒绝服务攻击会造成正常通信的中断，严重威胁到飞行安全.

1.2 航空导航方面的安全隐患

由美国全球定位系统(global positioning system, GPS)暴露出的航空导航卫星的信号欺骗问题已经成为全球导航卫星系统(global navigation satellite system, GNSS)的抑制致命安全缺陷[17-18].

2012年6月29日，美国奥斯丁德州大学无线电导航实验室Todd教授领导的团队使用价值大约1000美元的设备，利用GPS欺骗劫持了无人机[19].该团队在美国白沙导弹基地向美国国土安全部和美国联邦航空局(Federal Aviation Administration, FAA)的官员演示了采用GPS欺骗设备劫持一架使用未加密GPS系统的无人机，引导其飞向假冒信号设置的坐标位置，并可以控制无人机作出坠毁的动作.其原理是利用GPS信号没有认证的缺陷，将假冒的GPS信号注入无人机的接收信道，并设置假冒的坐标数据.

2011年12月5日，伊朗军方宣布自己的“电子战部队”用“黑客劫持”的方法劫持了美国先进的RQ-170无人机，并于2011年12月9日公布了展示RQ-170无人机的视频.对于伊朗宣称采用电子伏击技术手段捕获美国无人隐形间谍飞机的报道，美国军方声称无人机发生故障，不得不降落.联想美国奥斯丁德州大学无线电导航实验室Todd Humphreys教授研究团队成功欺骗无人机的事实，伊朗军方的报道也不是没有可能.

Todd教授根据自己的研究经验介绍说采用GPS信号伪冒技术同样可以劫持民航客机[19].因此，在未来航空导航技术由“陆基”向“星基”发展中，基于卫星的导航在航空飞行中的应用越来越广泛，则民航客机面临的“欺骗”或“诱捕”的威胁就越来越大.

1.3 航空监视方面的安全隐患

在航空监视方面，广播式自动相关(automatic dependent surveillance-broadcasting, ADS-B)的信息伪冒问题十分突出.在ADS-B系统应用中面临的安全隐患包括[20]信息泄露、信息篡改和信号欺骗.

安全隐患1.信息泄露.

ADS-B的信息在传输的过程中，一些敏感信息，诸如：ADS-B用户的身份、位置和飞行意图等信息很容易被拥有相应接收机的非法用户截获， 导致敏感信息的外泄.ADS-B广播信息中包含飞机位置、速度矢量和飞机代号等.航空飞行器身份的24 b识别信息码是唯一的，并且固定不变.因此，恶意的破坏者可以通过蓄意截获航空飞行器的ADS-B广播便可很容易得到航空飞行器的识别代码，从而确认航空飞行器的身份.对于执行特殊飞行任务的航空飞行器，例如重要政治人物的专机和军用物质的包机，航空飞行器身份信息的泄露是极其危险的.

安全隐患2.信息篡改.

ADS-B的信息完整性(integrity)很容易遭到破坏.恶意的破坏者通过截获ADS-B信息，并对其位置和飞行意图信息内容进行篡改，伪造ADS-B信息，造成监视信息的混乱.

安全隐患3.信号欺骗.

ADS-B数据可以被恶意的攻击者非法利用.目前，监视的一个致命问题是ADS-B信息的使用者无法鉴别用户接收机收到的位置信息是否属于电子欺骗信息.非法用户截获ADS-B信息后，可以篡改正常信息的关键内容，伪造ADS-B 信息，通过非法电台播送进行电子欺骗，达到干扰正常监视系统的目的.更进一步，潜在的威胁是恶意攻击者可以伪造航空飞行器的精确位置和飞行意图信息，在航空飞行器起飞、降落或巡航阶段制造航空“9·11”事件.

ADS-B可以获得航空飞行器精密位置信息的同时，也将此信息泄露给非法的接收者.因此，ADS-B面临巨大的安全威胁.

1.4 航空自动化系统的安全隐患

空中交通管理是以网络和大型自动化软件系统为核心的航空交通运输安全保障系统.其中，航空自动化系统主要功能是空中交通管制员利用雷达等综合监视信息对航空飞行器进行调度和指挥；地面网络主要用于大量航空信息的传输和共享.航空自动化系统设备和软件中存在的安全隐患包括调制解调器和端口.

安全隐患1.调制解调器.

在航空自动化系统设备中安装有系统调试和通信功能的调制解调器，当这些调制解调器处于开通阶段时就相当于系统打开了后门，非法或恶意的入侵者就可以通过这些后门轻易进入航空自动化系统的内部.

安全隐患2.端口.

航空自动化软件系统具有很多的功能端口，这些端口对应不同的服务.当航空自动化软件端口打开时，非法或恶意的入侵者就可以利用这些端口侵入航空自动化软件系统.

目前，已经出现了“黑客”发起的针对航空交通运输系统的攻击行为：

1) 当地时间2015年6月21日下午，在波兰华沙肖邦国际机场运营的波兰航空公司的地面操作系统遭遇黑客袭击，致使系统瘫痪长达5 h.这也是全球首次发生航空公司操作系统被破坏的案例[21].

2) 根据英国《镜报》2014年6月13日报道，奥地利空中交通管理当局的发言人向媒体发布消息称，2014年6月5日和10日，有多架飞机突然从航管雷达上消失，每次持续25 min.无独有偶，与奥地利情况类似，捷克、德国、斯洛伐克等国家也发生了同样的情况.根据统计，这些国家总共有13架飞机从雷达上消失.在飞机从航管雷达上消失后，空中交通管制员通过话音通信系统与当事飞机的飞行员建立通信，指挥这些飞机错开航道，避免相撞.欧洲航空安全局(EuroControl)已经就飞机消失事件展开调查，目前推测可能是遭到了“黑客”攻击[22].

虽然上述2个事件的具体情况现在尚未公布，可以想象“黑客”肯定是利用了波兰航空公司的地面操作系统和奥地利等国的航空自动化系统的某个系统漏洞或者安全隐患.

1.5 机载航空通信网络的安全隐患

空中交通管理涉及地面管制中心与空中机载通信导航和监视系统.随着“黑客”技术的不断提高，机载通信网络面临巨大的安全威胁[23-24].

1) 黑帽网站

在机载系统中，无论是驾驶舱的飞行控制系统，还是客舱的娱乐网络，均通过通信卫星与地面建立联系.由于目前航空主用的国际海事卫星组织(International Maritime Satellite Organization, INMARSAT)的卫星通信系统是开放的，航空飞行器机载无线网络与INMARSAT网络连接具有很大的安全隐患，威胁主要来自连接全球卫星通信网络的地面卫星接收站(ground earth station, GES).

2014年8月2日至7日期间，在美国拉斯维加斯召开的2014年黑帽(black hat)大会上，网络安全公司IOActive的安全顾问Santamarta介绍了利用飞机上的无线网络和娱乐系统劫持飞机[23].Santamarta自称他是通过逆向工程发现了飞机通信设备的固件漏洞.在实验室的实验平台上，他证明在理论上“黑客”可利用飞机上的WiFi网络或机载娱乐信息系统入侵飞机航空电子设备，中断或修改卫星通信，干扰飞机的导航和安全系统.他的发现是在条件受控的环境下完成的，但暂时尚未在实际环境中验证[24].

Santamarta在2014年4月发表了一份25页的研究报告，介绍了他发现的多个卫星通信设备的硬件漏洞.这些航空硬件设备由英国飞机零部件制造商Cobham以及Harris，Hughes等厂商生产.Harris公司的发言人Jim Burke称他们的技术人员已经审阅过Santamarta的报告，他们认为这种攻击危害非常小，原因是此类攻击需要接触卫星通信的物理硬件，因此受影响的只有通信系统[24].

2) PlaneSploit

德国网络安全顾问雨果·特索2013年4月11日在阿姆斯特丹举行的“盒子里的黑客会议”上展示了一套智能手机应用软件，它具有可能破坏目前大多数飞机所使用的飞行管理系统的功能.但他同时表示，这套航班黑客软件尚处于“概念证明”阶段，不一定能干扰真正的飞行系统[25].雨果·特索的软件引起了世界航空界的高度关注.

通过超过10年的研究，雨果·特索在信息安全领域积累了丰富的经验.同时，他还是一名驾龄超过15年的受过专业训练的商业飞行员.他在“盒子里的黑客会议”上介绍说：经过4年的努力，他成功研发出一套应用软件，名为“PlaneSploit”，可以接管飞机上的电脑系统，随意控制飞机，并且不被空中交通管制员发现.他还表示，该软件通过侵入飞机与空中交通管制互相联系的无线电广播，再用另一套联络系统向飞机发出恶意指令，完全接管并控制飞机；该软件已能够破坏目前大多数商用飞机所使用的飞行管理系统(flight management system, FMS)[25].

据英国路透社2015年4月15日报道，美国国会审计署(Government Accountability Office, GAO)警告美国商业航班，在机上使用无线娱乐系统可能使航班在飞行过程中遭到“黑客”攻击[26].GAO最新发布的报告里说：随着下一代网络化的空中交通管理系统技术的应用，面临的安全威胁越来越大，联邦航空局FAA必须尽快着手解决机载无线网络的安全漏洞和隐患.飞机驾驶舱与客舱之间的互连，可以导致恶意的破坏者通过客舱网络侵入驾驶舱的飞机控制系统.

联邦航空局FAA局长韦尔塔(Michael Huerta) 对GAO的报告表示认同.他说航空监管部门已经开始与包括国家安全局在内的政府安全专家合作，以确定需要作出的改进措施[27].此外，网络安全专家认为：如果飞行控制系统和娱乐系统使用的是相同接线和路由器，飞机上用于保护航空电子设备免受黑客攻击的防火墙则可能被攻破，导致“病毒或恶意软件”通过乘客在客舱访问过的网站植入驾驶舱控制系统，为潜在的恶意攻击提供了方便[26].

2 安全建议和措施

目前，中国民航信息安全保障工作的重点集中在采用计算机和通信网络的重要信息系统，例如：民航电子政务、电子商务和机场无线网络等方面上，而针对具有民航特色的空中交通管理系统的信息安全保障研究甚少，其主要原因是空中交通管理系统信息安全保障涉及空-天-地通信导航监视和自动化系统，覆盖范围广阔，实现技术难度很大.

针对空中交通管理的信息安全保障首先是查找其潜在的安全隐患和系统漏洞，然后建立可信任的基于公钥基础设施(public key infrastructure, PKI)的空中交通管理信息安全保障体系.

1) 漏洞查找和隐患分析

空中交通管理系统的安全隐患分析和系统漏洞查找是根据空中交通管理系统的3层结构体系(新航行系统层、网络传输层和业务应用层)，从系统的角度按层次进行的.采用的手段有以下3种[1,9]：

第1种是安全扫描，对空中交通管理系统进行安全漏洞和隐患的定期扫描检查，及时发现问题，采取措施；

第2种为渗透测试，模拟黑客攻击技术，有助于查找空中交通管理信息系统的脆弱点和检验空中交通管理系统信息安全保障系统的效果；

第3种为专项测试，针对空中交通管理系统的信息安全属性，采用专业技术进行单项测试，检验空中交通管理系统及其信息安全保障在某个功能上存在的安全缺陷.

2) 空中交通管理信息安全保障体系

空中交通管理系统的信息安全保障是一个综合的系统工程，其内容涉及策略(policy)、管理(management)、技术(technology)和工程(engineering)等方面的问题[1,12].

由空中交通管理系统的体系结构可以得出空中交通管理系统是一个具有复杂基础设施，包含涉及空中交通管理ATM的信息设备和信息资源的庞大系统.因此，空中交通管理系统的信息安全保障范畴不仅包括计算机网络环境，而且包含空中和空间信息系统环境.其保障对象为：空中交通管理信息系统、信息资源和信息传输的通信链路(地-地、空-地和空-空数据链路)[12].因此，仅从技术角度研究空中交通管理系统信息安全保障体系，建立可信任的基于公钥基础设施PKI的空中交通管理信息安全保障体系是一个很好的可选择方案[28].

从具体的信息安全保障技术方面，针对空中交通管理信息安全的建议及措施如下[1,12]：

1) 数据加密.针对重要和敏感的航空飞行信息数据采用多维数据加密(multi-dimension encryption)的方式，保障不同重要程度的数据具有相应的等级保护措施.

2) 安全认证.采用基于OpenSSL的交互认证方式，对航空实体身份进行鉴别.

3) 授权访问.采用基于属性加密(attribute-based encryption, ABE)的访问控制方式，保证航空实体与信息资源之间实现细粒度的访问授权.

4) 证书中心.建立以中国民航局空中交通管理局为依托的空中交通管理系统认证中心(certificate of authority, CA)，向空中交通管理管理部门、机场、航空公司和航空飞行器颁发静态和动态的数字证书(digital certificate)，实现可信任的管理体系.

3 结束语

目前，中国民航在通信、导航、监视、气象、情报等方面建成了一批重要的空中交通管理信息系统，例如：辐射全国各地区空中交通管理局、空中交通管理中心(站)的分组数据交换网帧中继网、卫星网；VHF甚高频地空数据链；覆盖我国东部地区的一、二次雷达和自动化系统；还有自动观测系统、气象填图系统、气象数据库系统、航站情报自动服务系统、航行情报数据库系统、航线资料自动作图系统等.这些建设大大增强了空中交通管理系统信息处理与共享的能力，有效提高了空中交通管理运行保障能力.

中国民航局空中交通管理局陆续建设了一批信息安全基础设施，加强了互联网信息安全管理，为保障和促进空中交通管理信息化和谐、健康发展发挥了重要作用.但是必须看到，空中交通管理信息安全保障工作仍然存在一些亟待解决的问题：网络与信息系统的防护水平不高，应急处理能力不强；信息安全管理和技术人才缺乏；尤其是缺少整体的信息安全技术体系，空中交通管理系统内的信息安全标准、规范不完善；缺乏整体、统一、行之有效的信息安全保障体系.因此，民航的网络和信息安全形势不容乐观，全行业的网络和信息安全意识还比较淡薄，重要网络和信息系统还存在安全隐患，影响较大的网络与信息安全事故时有发生.因此，中国民航局已经建设了民航信息技术科研基地，组织开发了2个技术平台：

1) 民航网络与信息安全信息通报技术平台，用于信息通报和发布预警信息；

2) 民航网络与信息安全管理技术平台，用于分析、判断和应急协调.

空中交通管理信息化建设已进入全面推进和快速发展的重要时期.空中交通管理信息系统规模庞大、涉及应用多、用户广、业务依赖程度高，对信息安全保障体系提出了更高的要求.因此，建立空中交通管理信息安全保障体系，对空中交通管理信息系统实施有效的安全保障是下一步信息化建设的重点.

[1]马兰, 吴志军. 空中交通管理信息安全评估[M]. 北京: 科学出版, 2015

[2]José M C, Juan B P, José M M. Advances in Air Navigation Services[M]. Croatia: Mirna Cvijic Press, 2012

[3]Federal Aviation Administration. Next generation air transportation system programs[EB/OL]. [ 2015-05-18]. http://www.faa.gov /nextgen/programs/data

[4]EuroControl. Single europe sky air traffic management research[EB/OL].[ 2014-09-20]. http://www.sesarju.eu/data

[5]Koelle R, Kolev D. GAMMA—Filling the security management void of SESAR and NextGen[C] //Proc of the 2014 Integrated Communications, Navigation and Surveillance Conf (ICNS). Piscataway, NJ: IEEE, 2014: H3-1-H3-9

[6]Markarian G. Filling the security management void of SESAR and NextGen[C] //Proc of the 2015 Integrated Communication, Navigation and Surveillance Conf (ICNS). Piscataway, NJ: IEEE: 2015: 1-24

[7]Federal Aviation Administration. Information systems security (ISS)[C] //Proc of the 2008 Federal Aviation Administration (FAA), Information Technology (IT), Research and Development (R&D). McLean: FAA, 2008: 1-7

[8]Arthur P. A systems approach to protecting the U.S air traffic control system against cyber-terrorism[EB/OL]. [2014-04-15]. http://www.gao.gov/products/GAO-15-370/data

[9]Marshall D A. FAA system security testing and evaluation[R]. Virginia: Federal Aviation Administration, 2003

[10]吴志军, 王慧. 信息安全中Safety与Security的比较研究[J]. 网络信息安全, 2013, 2013(8): 84-86

[11]Marshall A. Overall security concept[C] //Proc of the ICAO ATNP Security Working Group-ATN Panel Working Group 1. Piscataway, NJ: IEEE, 1996

[12]马兰. 基于SSE的空中交通管理ATM信息安全保障方法的研究[D]. 天津: 天津大学, 2011

[13]AEEC. ARINC specification 823P1: Datalink security part 1—ACARS message security[R]. Maryland: Aeronautical Radio, INC. 2007

[14]AEEC. ARINC specification 823P2: Datalink security part 2—Key managent[R]. Maryland: Aeronautical Radio, INC. 2008

[15]王晓琳，张学军，何葭. ACARS数据链中的安全通信[J]. 航空电子技术, 2003, 34(增刊): 95-100[16]武肖峰. 基于端对端的安全ACARS数据链系统研究[D]. 天津: 中国民航大学, 2011

[17]Bonebrake C, O’Neil L R. Attacks on GPS time reliability[J]. IEEE Security & Privacy, 2014, 12(3): 82-84

[18]Psiaki M L, O’Hanlon B W, Bhatti J A. GPS spoofing detection via dual-receiver correlation of military signals[J]. IEEE Trans on Aerospace and Electronic Systems, 2013, 2013(49): 2250-2267

[19]Todd H. The GPS dot and its piscontents-Privacy vs. GNSS integrity[J]. Inside GNSS, 2012, 3(2): 44-48

[20]潘卫军, 陈通, 冯子亮. ADS-B信息安全问题及对策[J]. 国际航空杂志, 2009, 2009(10): 51-53

[21]环球网. 波兰民航被“黑”启示录：越来越多黑客指向航空[EB/OL]. [2015-06-22]. http://world.huanqiu.com/article/2015-06/6741616.h tml/ data

[22]光明网. 欧洲13架飞机从雷达上消失25分钟疑遭黑客攻击[EB/OL]. [2014-06-16]. http://world.gmw.cn/2014-06/16/content11623851. html /data

[23]比特网. 黑帽大会将演示如何利用机载WIFI劫持飞机[EB/OL]. [2014-03-17]. http://sec.chinabyte.com/284/13041784.html/data

[24]Santamarta R. SATCOM terminals: Hacking by air, sea, and land[C] //Proc of the 2014 Technical White Paper of Security Service. Las Vegas: Ioactive, 2014

[25]Filehippo Web. PlaneSploit app could hijack an airplane[EB/OL]. [2013-04-12]. http://news.filehippo.com/2013/04/planesploitappcoulhijack-an-airplane/data

[26]环球网, 美商业航班上使用无线娱乐系统或致航班遭黑击[EB/OL]. [2015-04-16]. http://tech.huanqiu.com/original/2015-04/6202028.html/ data

[27]Aradhana N, Kamesh N, Serge C. Enabling next generation airborne communications[J]. IEEE Communications, 2014, 52(4): 102-103

[28]Patel V, Mcparland T. Public key infrastructure for air traffic management systems[C] //Proc of the 20th Digital Avionics Systems Conf. Piscataway, NJ: IEEE, 2011: 7A5/1-7A5/7

吴志军

教授，博士生导师，主要研究方向为空中交通管理信息安全.

zjwu@cauc.edu.cn

胡涛涛

硕士研究生，主要研究方向为网络与信息安全.

tthul_08@126.com

Brief Introduction to Information Security in Air Traffic Management

Wu Zhijun and Hu Taotao

(DepartmentofElectronics&InformationEngineering,CivilAviationUniversityofChina,Tianjin300300)

Air traffic management (ATM) plays a crucial role in ensuring the operation of air transportation system and national airspace safe. ATM is a network-centralized intelligent system with high information integration, which is vulnerable to threats and attacks. Potential system vulnerabilities and security risks in ATM system, especially, in aeronautical communication, navigation, surveillance, automation, and airborne aeronautical communication network system are explored and analyzed in this paper, and specific examples are given. Finally, security recommendations on ATM information assurance are presented for the purpose of taking protective measures to guarantee the security of ATM operation.

air traffic management (ATM); information security; vulnerability; threat; information assurance

2015-07-26

国家自然科学基金面上项目(61170328,U1333116,U1433105);2013年民航科技引导资金项目(MHRD20130217)

TN918