广播式自动相关监视(ADS-B)技术是现代空中交通管理(ATM)的基石,它允许飞机近乎实时地广播其身份、精确位置、速度和航向等关键信息,极大地提升了空域的透明度和飞行安全。然而,这项深刻改变航空业的技术,其核心协议却存在一个与生俱来的、堪称“开放式”的严重安全漏洞:ADS-B 的标准版本(1090 ES)在设计上完全缺乏消息认证、完整性校验和加密机制。所有信息均以明文形式向全世界广播,这为恶意攻击者打开了方便之门,对全球航空安全构成了潜在的重大威胁。
核心漏洞:无信任的广播
ADS-B 的工作模式类似于一个公共广播系统,任何拥有相应频率(1090 MHz)接收设备的人都可以收听,而更进一步,任何拥有适当发射设备的人都可以“拿起麦克风”发言。协议本身无法验证消息的来源是否合法,也无法确认内容在传输过程中是否被篡改。这种设计源于其发展初期,当时更注重功能的实现和互操作性,而未充分考虑来自恶意行为者的网络攻击威胁。
这种固有的脆弱性意味着,攻击者无需高昂的成本,仅需使用价值几十美元的软件定义无线电(SDR)设备和开源软件,就能轻易地实施多种攻击。
主要攻击向量:从“幽灵飞机”到轨迹劫持
由于协议的开放性,攻击者可以轻易地伪造或操纵 ADS-B 数据,主要攻击方式包括:
-
“幽灵飞机”注入 (Spoofing/Injection):这是最直接也最常见的攻击。攻击者可以凭空制造虚假的 ADS-B 信号,向空管系统注入一架或多架根本不存在的“幽灵飞机”。这些虚假目标会真实地显示在空中交通管制员的雷达屏幕和附近飞机的驾驶舱显示器上,造成混乱,分散管制员的注意力,甚至可能诱使飞行员为规避不存在的碰撞风险而做出危险的机动。
-
位置与轨迹欺骗 (Position Spoofing):相比于注入全新的飞机,更为隐蔽和危险的攻击是劫持一架真实飞机的位置报告。攻击者可以广播使用真实飞机唯一 ICAO 地址的 ADS-B 消息,但将其中的位置、高度或速度数据替换为恶意编造的值。这会导致地面控制系统和其它飞机对该飞机的真实位置产生误判,可能使其偏离安全航路,或者在雷达屏幕上“消失”,从而进入危险的监视盲区。
-
窃听与信息泄露 (Eavesdropping):由于 ADS-B 信号是明文广播,任何人都能够被动接收并解码,从而追踪几乎全球所有航班的实时动态。虽然这催生了许多合法的航班追踪应用,但也为恶意分析提供了便利,可能暴露敏感的飞行任务或个人行踪。
缓解策略:走向纵深防御
解决 ADS-B 的安全问题并非一蹴而就,需要采取“纵深防御”的综合策略,结合短期可行的检测手段和长期的协议加固。
方案一:非密码学检测(即时部署)
这类方法不改变现有 ADS-B 协议,而是通过外部数据交叉验证来发现异常,是当前最切实际的防御手段。
-
多点定位 (Multilateration, MLAT):这是目前最有效的检测欺骗的手段之一。通过部署多个地理位置分散的地面接收站,系统可以利用信号到达不同接收站的时间差(TDOA)来精确计算信号的物理发射源位置。如果一条 ADS-B 消息声称飞机位于A点,但 MLAT 计算出的信号来源却是百里之外的B点(例如一个地面设备),那么这条消息几乎可以肯定是伪造的。一个健壮的 MLAT 网络(通常需要至少4个以上接收站的良好覆盖)是识别和过滤欺骗信号的坚实防线。
-
行为异常检测:利用机器学习(ML)模型或卡尔曼滤波器等算法,对飞机的飞行轨迹和状态参数进行连续性与合理性分析。模型可以学习正常的飞行模式,并识别出物理上不可能的行为,例如:
- 瞬时位置跳变:飞机位置在两次更新之间出现超远距离移动。
- 物理极限突破:报告的速度、爬升率或转弯率超过了该型号飞机的性能极限。
- 异常出现/消失:飞机在非机场区域的低空突然出现或在高空瞬间消失。
方案二:密码学认证(长期根治)
从根本上解决问题,需要在 ADS-B 消息中加入密码学元素以确保其真实性和完整性。
-
数字签名:为每条 ADS-B 消息附加一个数字签名,接收方可以用公钥验证签名,从而确认消息确实来自合法的飞机且未被篡改。然而,这面临着巨大挑战:1090 MHz 数据链的带宽极为有限,难以承载额外的签名数据;机载设备的计算能力受限;全球性的密钥基础设施(PKI)管理和部署将是一个极其漫长且昂贵的过程。
-
轻量级认证方案:学术界和工业界正在研究更高效的方案,如基于身份的签名(IBS)或分层无证书签名(HCLS),这些方案旨在减少证书管理开销和签名长度,使其更适应航空电子设备的资源限制。但这同样需要对现有全球数十万架飞机的硬件和软件进行升级,是一个长达十数年的演进过程。
结论与建议
ADS-B 协议的安全漏洞是系统性而非偶然性的,它警示我们在设计关键基础设施时必须将安全性作为核心考量。当前,完全依赖飞行器自身的报告已不再安全。对于空中交通服务提供商、机场以及依赖 ADS-B 数据的第三方应用而言,构建一个由多地面站组成的、支持 MLAT 的可信监测网络是 immediate and actionable 的第一步。通过交叉验证和智能化的异常检测,我们可以在不改变现有协议的情况下,大大提高对欺骗攻击的防御能力,为“天空之眼”加上一层至关重要的“真实性滤镜”,在通往下一代安全航空体系的漫长道路上,构筑起第一道坚固的防线。