趙暾 蔣志翔

【摘要】 由于我國(guó)目前武器系統(tǒng)中應(yīng)用最廣的MIL-STD-1553B總線自身并沒(méi)有任何信息安全保護(hù)機(jī)制，可能為設(shè)備的安全可控留下隱患。故本文的研究方向是采用信息安全的CIA原則對(duì)總線協(xié)議進(jìn)行分析，并針對(duì)總線安全性的脆弱環(huán)節(jié)，搭建總線測(cè)試環(huán)境，采用冒充合法節(jié)點(diǎn)、特權(quán)獲取、干擾、監(jiān)聽(tīng)等攻擊手段，對(duì)總線系統(tǒng)的安全脆弱性進(jìn)行驗(yàn)證。

【關(guān)鍵詞】 1553B總線 CIA 總線安全

一、引言

1553B總線是MIL-STD-1553B的簡(jiǎn)稱，由于其傳輸速率高，通信效率高，可靠性高，噪聲容限高，設(shè)備之間連接簡(jiǎn)單靈活，所以被美軍標(biāo)所采用，將其作為機(jī)載設(shè)備之間相互通信的總線標(biāo)準(zhǔn)。1553B總線協(xié)議在設(shè)計(jì)之初，僅關(guān)注可用性、實(shí)時(shí)性和可靠性，并且是在軍用飛機(jī)的航空電子設(shè)備等專用系統(tǒng)上運(yùn)行。

考慮諸如認(rèn)證、授權(quán)和加密等需要附加額外開銷的安全特征和功能似乎是畫蛇添足的事情，但是隨著近幾年針對(duì)控制系統(tǒng)的攻擊技術(shù)迅速發(fā)展[6-11]，控制系統(tǒng)的信息安全面臨越來(lái)越嚴(yán)峻的威脅，如圖1所示：

由于1553B總線的使用范圍越來(lái)越廣，各種軍用飛機(jī)、導(dǎo)彈等武器的科技含量越來(lái)越高，作為管理底層通信與控制的1553B總線安全性缺失受到了我國(guó)部分科研院所、高校等研究機(jī)構(gòu)的關(guān)注，并陸續(xù)開展了控制系統(tǒng)信息安全方面的研究。

本文通過(guò)信息安全的機(jī)密性、完整性、可用性這三項(xiàng)原則對(duì)1553B總線進(jìn)行分析，并搭建測(cè)試平臺(tái)對(duì)可能的安全漏洞進(jìn)行了測(cè)試與分析。

二、1553B 總線簡(jiǎn)介

1553B總線系統(tǒng)主要分為3個(gè)組成部分[1]：

1、總線控制器（BC，Bus Controller），是總線的控制者、管理者，也是所有通信動(dòng)作的發(fā)起者，負(fù)責(zé)發(fā)送命令、參與數(shù)據(jù)傳輸、接收狀態(tài)響應(yīng)和監(jiān)測(cè)總線系統(tǒng)。

2、遠(yuǎn)程終端（RT，Remote Terminal），是用戶子系統(tǒng)到數(shù)據(jù)總線上的接口，主要功能是接收BC發(fā)送過(guò)來(lái)的命令，并根據(jù)命令做出響應(yīng)，執(zhí)行數(shù)據(jù)傳輸，完成相應(yīng)動(dòng)作，并回送相應(yīng)的狀態(tài)字，一個(gè)1553B總線系統(tǒng)中最多可以有31個(gè)RT。

3、總線監(jiān)控器（BM，Bus Monitor），用于監(jiān)控總線上傳輸?shù)男畔ⅲ羞x擇地接收1553B總線上傳輸?shù)男畔⒉⑶覍?duì)信息加以保存，完成對(duì)總線上的數(shù)據(jù)進(jìn)行記錄和分析，從而被用于總線的測(cè)試或總線上數(shù)據(jù)的監(jiān)視和記錄，但它本身不參與總線的通信。

三、1553B總線安全性分析

總線安全，就是保護(hù)在總線上傳輸?shù)男畔⒌陌踩?，這就不得不說(shuō)到信息安全的基本要素。信息安全通常強(qiáng)調(diào)CIA三元組為目標(biāo)，即機(jī)密性（Confidentiality）、完整性（Integrity）、可用性（Availability）[3]。對(duì)于1553B總線，后文也將會(huì)按照這三條目標(biāo)進(jìn)行分析。

機(jī)密性：是用來(lái)確保信息從產(chǎn)生到銷毀的過(guò)程中不會(huì)被規(guī)定目標(biāo)以外的人或組織獲得。

完整性：保護(hù)信息不會(huì)被未經(jīng)允許的目標(biāo)修改。即保證信息在存儲(chǔ)或傳輸過(guò)程中不被修改、刪除、偽造、重放、插入等手段影響導(dǎo)致信息損壞或丟失。

可用性：保證正常用戶可以訪問(wèn)到所有允許被訪問(wèn)的信息，不會(huì)發(fā)生拒絕訪問(wèn)等情況。

在傳統(tǒng)的信息安全領(lǐng)域，通常認(rèn)為機(jī)密性的優(yōu)先級(jí)最高，完整性次之，可用性最低。但是在考慮控制系統(tǒng)安全時(shí)與考慮傳統(tǒng)IT信息系統(tǒng)安全時(shí)則有較大的不同，控制系統(tǒng)強(qiáng)調(diào)的是控制的自動(dòng)化過(guò)程及相關(guān)設(shè)備的智能控制、監(jiān)測(cè)與管理，而且更為關(guān)注系統(tǒng)的實(shí)時(shí)性與可用性。也就是說(shuō)，控制系統(tǒng)對(duì)系統(tǒng)設(shè)備的可用性、實(shí)時(shí)性、可控性等特性要求很高，因此在考慮控制系統(tǒng)的安全性時(shí)要優(yōu)先保證的是系統(tǒng)的可用性；其次各個(gè)組件之間因?yàn)榇嬖诠逃械年P(guān)聯(lián)，因此完整性的重要性次之；而對(duì)于數(shù)據(jù)保密性來(lái)說(shuō)，由于控制系統(tǒng)中傳輸?shù)臄?shù)據(jù)通常是控制命令或采集到的原始數(shù)據(jù)，需要放在特定背景下進(jìn)行分析才有意義，而且多是實(shí)時(shí)數(shù)據(jù)，因此對(duì)保密性的要求最低[2]。

1553B協(xié)議起初被設(shè)計(jì)用于航空機(jī)載設(shè)備之間通信，是一種與其他網(wǎng)絡(luò)隔離的控制網(wǎng)絡(luò)，也沒(méi)有提供基本的安全防護(hù)機(jī)制。

在1553B總線上，所有結(jié)點(diǎn)連接到公用的通信介質(zhì)上，每個(gè)源結(jié)點(diǎn)可以直接發(fā)送消息到其他目的結(jié)點(diǎn)。由于所有的結(jié)點(diǎn)直接連接到介質(zhì)，因此攻擊者并不能修改或刪除從一個(gè)結(jié)點(diǎn)發(fā)送到另一個(gè)結(jié)點(diǎn)的消息，但能夠非常容易地讀取到總線上傳輸?shù)南?，也可以很?jiǎn)單的冒充其它結(jié)點(diǎn)。1553B協(xié)議的幾個(gè)典型的安全問(wèn)題如下：

缺乏認(rèn)證：僅需要使用一個(gè)合法的地址和合法的消息格式即可以建立一個(gè)RT，參與到總線通信當(dāng)中。

缺乏授權(quán)：沒(méi)有訪問(wèn)控制機(jī)制，攻擊者可以很簡(jiǎn)單偽裝成BC獲取系統(tǒng)特權(quán)，執(zhí)行任意的功能，訪問(wèn)所有設(shè)備。

缺乏加密：地址、命令和數(shù)據(jù)明文傳輸，可以很容易地被捕獲和解析。使攻擊者輕易就能了解系統(tǒng)的當(dāng)前狀態(tài)和控制方式。

通過(guò)以上分析，可以看出1553B總線缺乏機(jī)密性，并沒(méi)有任何確保信息在存儲(chǔ)、傳輸過(guò)程中不會(huì)泄露給非授權(quán)的用戶、其他實(shí)體的措施，連入BM就可輕易得知總線上傳輸?shù)臄?shù)據(jù)。同時(shí)數(shù)據(jù)的完整性方面有重大安全隱患，攻擊者雖然無(wú)法對(duì)總線上傳輸?shù)臄?shù)據(jù)進(jìn)行修改，但可以隔離并冒充某遠(yuǎn)程終端或總線控制器，使其他設(shè)備接收到偽造的數(shù)據(jù)或指令；也可以正常接入總線系統(tǒng)，在并不影響總線正常通信的前提下參與通信。但協(xié)議對(duì)總線的可用性有較好的保障，除非對(duì)雙絞線實(shí)施物理破壞，或者同時(shí)占據(jù)多條冗余總線長(zhǎng)時(shí)間連續(xù)發(fā)送消息占據(jù)總線頻道，否則系統(tǒng)總是能夠順利的訪問(wèn)其他終端。

由于軍用總線一般只是在飛行器或設(shè)備被敵方捕獲的情況下才更容易受到攻擊，而攻擊者也并不是為了破壞總線的可用性，而是希望通過(guò)總線上傳輸?shù)南⒘私庹麄€(gè)系統(tǒng)的運(yùn)行狀態(tài)、操控方式和系統(tǒng)內(nèi)設(shè)備的參數(shù)、狀態(tài)等信息，進(jìn)而知曉設(shè)備的性能與設(shè)計(jì)思路，開展對(duì)設(shè)備的復(fù)制或找出設(shè)備可能存在的漏洞，對(duì)國(guó)家安全造成威脅。

總線上傳輸?shù)氖窍到y(tǒng)的各種內(nèi)部消息與控制指令，甚至可能包括系統(tǒng)對(duì)外通信中使用的密鑰，攻擊總線需要多個(gè)設(shè)備協(xié)同進(jìn)行操作，下面將運(yùn)用BC、RT、BM設(shè)計(jì)一種簡(jiǎn)單的攻擊場(chǎng)景案例。

攻擊者為了對(duì)總線進(jìn)行控制，首先會(huì)使用BM監(jiān)聽(tīng)總線上的數(shù)據(jù)，在得到大量數(shù)據(jù)后就可以分析出系統(tǒng)大概的控制方式，構(gòu)建用于攻擊的測(cè)試用例，同時(shí)在其他設(shè)備實(shí)施攻擊時(shí)，BM也會(huì)保持對(duì)總線的監(jiān)聽(tīng)；由于一般系統(tǒng)運(yùn)行的步驟比較固定，所涉及的數(shù)據(jù)與內(nèi)部狀態(tài)較少，為了進(jìn)一步了解系統(tǒng)完整的控制方式則要使用RT對(duì)BC發(fā)出各種請(qǐng)求，分析BC的響應(yīng)方式，了解系統(tǒng)處理錯(cuò)誤的方式與平常并不使用的消息內(nèi)容；在得到系統(tǒng)整體的控制方式后就可以使用BC接管整個(gè)系統(tǒng)，訪問(wèn)內(nèi)部如發(fā)動(dòng)機(jī)狀態(tài)、雷達(dá)數(shù)據(jù)等敏感消息，控制設(shè)備進(jìn)行各種操作，實(shí)現(xiàn)了對(duì)系統(tǒng)的攻擊。

四、安全漏洞的確定與測(cè)試結(jié)果及分析

根據(jù)上文對(duì)總線協(xié)議的分析，可以看出我國(guó)目前武器系統(tǒng)中應(yīng)用最廣的MIL-STD-1553B總線自身并沒(méi)有任何信息安全保護(hù)機(jī)制，可能為設(shè)備的安全可控留下隱患。為此，作者對(duì)1553B 總線上可能的BC、RT、BM安全機(jī)制漏洞進(jìn)行了測(cè)試。

4.1 BC的安全機(jī)制漏洞

按規(guī)范要求，總線上只能存在一個(gè)BC，攻擊者的終端可以假裝接受總線控制權(quán)并成為BC，控制整個(gè)總線的傳輸，進(jìn)而控制整個(gè)控制系統(tǒng)。

4.2 RT的安全機(jī)制漏洞

按規(guī)范要求，每個(gè)RT都有唯一的地址，當(dāng)另一個(gè)設(shè)備偽裝成某個(gè)RT時(shí)，會(huì)對(duì)總線產(chǎn)生干擾，使BC接收到錯(cuò)誤的數(shù)據(jù)，進(jìn)而對(duì)系統(tǒng)狀態(tài)產(chǎn)生錯(cuò)誤的判斷。當(dāng)BC發(fā)送RT→RT命令時(shí)，惡意數(shù)據(jù)會(huì)在RT之間進(jìn)行傳播，使其他RT接收到被篡改的數(shù)據(jù)，影響RT的正常運(yùn)行。

4.3 BM的安全機(jī)制漏洞

按照規(guī)范定義，BM檢測(cè)、偵聽(tīng)總線上的所有消息，攻擊者能夠利用這一機(jī)制通過(guò)將未授權(quán)的BM接入總線來(lái)探測(cè)總線上的數(shù)據(jù)信息，可以很輕易的得知當(dāng)前系統(tǒng)的運(yùn)行狀態(tài)。

為了對(duì)上述安全機(jī)制進(jìn)行測(cè)試就必須搭建測(cè)試環(huán)境，使數(shù)個(gè)1553B終端之間實(shí)施通信，經(jīng)過(guò)研究本文選擇了由本單位自主設(shè)計(jì)的協(xié)議處理芯片組成的1553B板卡和由國(guó)內(nèi)公司生產(chǎn)的MIL-STD-1553B總線仿真測(cè)試平臺(tái)以及收發(fā)器、耦合變壓器、端接電阻、屏蔽雙絞線等部件組成了1553B通信系統(tǒng)。并對(duì)以下條件下的總線通信情況做出測(cè)試。

1、攻擊者設(shè)備充當(dāng)BC

當(dāng)攻擊者使用設(shè)備冒充BC時(shí)，會(huì)造成系統(tǒng)內(nèi)同時(shí)存在兩個(gè)BC，都可以控制系統(tǒng)運(yùn)行。兩個(gè)BC會(huì)對(duì)總線造成爭(zhēng)搶，雖不能同時(shí)通信，但在總線未被占用時(shí)都可以發(fā)送命令。由于1553B總線屬于控制總線，而控制總線上的數(shù)據(jù)傳輸是突發(fā)的、實(shí)時(shí)的，并不像計(jì)算機(jī)網(wǎng)絡(luò)通信中會(huì)長(zhǎng)時(shí)間占用通信線路，所以攻擊者設(shè)備發(fā)出指令的難度并不大。攻擊者BC向RT發(fā)送數(shù)據(jù)結(jié)果如圖2所示：

攻擊者的BC可以正常的發(fā)送與接收數(shù)據(jù)，也可以發(fā)送控制指令，從測(cè)試結(jié)果中可以看出攻擊者的BC可以向RT發(fā)送偽造的數(shù)據(jù)，也可以讀取RT數(shù)據(jù)。攻擊者的BC能夠控制系統(tǒng)的運(yùn)行，使其他設(shè)備做出錯(cuò)誤的動(dòng)作或?qū)ΜF(xiàn)有狀態(tài)產(chǎn)生錯(cuò)誤的判斷，對(duì)系統(tǒng)的安全穩(wěn)定運(yùn)行產(chǎn)生了極大的威脅。

2、攻擊者設(shè)備充當(dāng)RT

當(dāng)攻擊者充當(dāng)內(nèi)部RT，并與一現(xiàn)有RT同地址時(shí)，可以與該RT一起響應(yīng)BC的命令。當(dāng)BC發(fā)送指令時(shí)兩個(gè)RT都會(huì)接收并回復(fù)狀態(tài)字，就會(huì)發(fā)生總線沖突，而BC接收到何種數(shù)據(jù)則取決于攻擊者RT與原RT發(fā)送速度的快慢，BC會(huì)接收第一個(gè)回復(fù)數(shù)據(jù)的RT的數(shù)據(jù)并丟棄第二個(gè)。由于雙絞線的傳輸延遲對(duì)于1553B總線的傳輸速度來(lái)說(shuō)可以忽略不計(jì)，在1553B系統(tǒng)中響應(yīng)速度的快慢主要取決于RT設(shè)備的處理速度，故攻擊者設(shè)備可以通過(guò)優(yōu)化設(shè)計(jì)甚至通過(guò)簡(jiǎn)單的提高頻率就可以搶在原有RT設(shè)備之前發(fā)出數(shù)據(jù)。攻擊者RT向BC發(fā)送數(shù)據(jù)結(jié)果如圖3所示：

從測(cè)試中可以看出攻擊者的RT如果響應(yīng)時(shí)間短于原有RT設(shè)備則可將偽造的數(shù)據(jù)傳給BC，使BC對(duì)當(dāng)前系統(tǒng)運(yùn)行狀態(tài)產(chǎn)生錯(cuò)誤的判斷，而原有RT所發(fā)送的消息則會(huì)被丟棄。而如果屏蔽掉原有RT則攻擊者的RT則可以正常參與通信與收發(fā)數(shù)據(jù)。

3、攻擊者設(shè)備充當(dāng)BM

當(dāng)攻擊者設(shè)備充當(dāng)BM時(shí)，可以監(jiān)視整個(gè)系統(tǒng)的運(yùn)行，并不與原有BM產(chǎn)生任何沖突也不會(huì)被探知。BM可以對(duì)總線上的數(shù)據(jù)進(jìn)行記錄和分析，從而被用于監(jiān)視和記錄總線上的運(yùn)行狀態(tài)并了解設(shè)備之間的數(shù)據(jù)傳輸方式與設(shè)備的控制方式進(jìn)而掌握整個(gè)系統(tǒng)的運(yùn)作方式。

測(cè)試表明，1553B總線在信息安全機(jī)制上存在安全風(fēng)險(xiǎn)。

五、結(jié)束語(yǔ)

1553B總線作為航空軍用設(shè)備控制系統(tǒng)的神經(jīng)中樞，其協(xié)議的安全性與總線的實(shí)時(shí)性、可靠性、經(jīng)濟(jì)性等因素并重。本文結(jié)合1553B總線協(xié)議特點(diǎn)和通信模式，通過(guò)運(yùn)用信息安全的CIA三原則評(píng)價(jià)標(biāo)準(zhǔn)對(duì)現(xiàn)有的1553B總線安全性做了定性研究，并使用多種攻擊方式對(duì)總線的安全性進(jìn)行了測(cè)試驗(yàn)證，證明了1553B總線安全性方面的不足，為以后提高總線安全性方面的研究打下了基礎(chǔ)。

參 考 文 獻(xiàn)

[1]熊華鋼. 1553B總線通信技術(shù)的應(yīng)用與發(fā)展[J].電子技術(shù)應(yīng)用.1997

[2] NSFOCUS. NSFOCUS_ICS_Security_Report [R]. 2013

[3]范夢(mèng)雪，信息安全風(fēng)險(xiǎn)分析方法及應(yīng)用[D]. 北京郵電大學(xué)碩士學(xué)位論文，中國(guó)知網(wǎng)數(shù)據(jù)庫(kù). 2006

[4]胡來(lái)紅，許化龍， 1553B總線在武器通信中的應(yīng)用探討[J]. 微計(jì)算機(jī)信息.2005