洞见RSA2022 | 关于飞机域及衍生的安全设计思考

早在2002年,电影《座舱压力》讲述了一架依靠卫星导航自动飞行的无人驾驶客机,被一名前航空公司雇员入侵,控制了飞机的导航系统,使飞机飞行过程中偏离了预定的路线。影片虽是虚构,但如今随着互联网技术的飞速发展,飞机的控制系统越发智能化,为了更好地向人们提供服务,商用飞机也开始承载旅客在万米高空上的线上办公、娱乐需求,这也为商用飞机网络安全增加了更多不确定因素。2022年6月7日,来自波音公司产品安全首席工程师Sean Sullivan,在RSAC大会上分享了“关于飞机域及衍生的安全设计思考(Introduction to Aircraft Domainsand Derived Security Design Considerations)”议题。主要介绍了商用飞机的航空电子网络设计,飞机架构与航空电子网络集成,以及航空系统环境的复杂性、飞机设计的安全要求、设计保证级别。

Part 1 商用飞机航空电子网络设计

来自波音的主讲嘉宾Sean Sullivan从人们对飞机安全存在的误区引入话题。误区一是,飞机的关键安全保障系统是基于以太网和IP协议连接的。他介绍了COTS的应用和航空电子网络设计,实际上以太网的核心技术是载波侦听访问协议(CSMA/CD)这种协议调度方式无优先级,不能满足实时性要求,所以飞机上至关重要的系统并不会使用以太网和IP协议通信。在商用飞机中可使用COTS(Commercial-Off-The-Shelf)以太网硬件和软件方法。COTS集成通信技术是能够解决以太网,无线局域网等商用领域的COTS通信技术应用现场设备间通信时的实时性,确定性,可靠性,互可操作性,总线供电,本质安全等关键技术,可在制定适用于航空电子系统关键设备间实时通信的应用层协议。COTS能满足未来系统的带宽需求,提高航空电子设计和采购的灵活性,减少飞机线缆,从而降低飞机重量和运营成本。为了监控燃料水平、导航天空、以及做与有效飞行相关的所有其他事情,与安全相关的重要的系统通信主要遵循ARINC标准的协议,保障各种电子设备能够协同工作。

在航空电子网络设计上Sean Sullivan分别对比了IT网络和航空网络结构,如图1所示,可看出航空网络分为三个安全域,从左到右的可靠性、实时性、安全性都是越来越高的。

图1  IT网络和航空网络结构

根据Ethernet和ARINC两种协议的特点,如表1所示,应用在不同的域。

表1 Ethernet和ARINC数据通信的特点

Part 2安全要求

许多航空电子系统正在将Ethernet与ARINC集成在一起,以满足飞机上不断增长和变化的数据需求。两者集成势必会产生新的安全问题,Sean Sullivan强调了以下几点:

  • 评估系统功能对安全的潜在影响,并指定设计保证等级(DALs)
  • DALs决定需要怎样的严密性和安全性来确保安全飞行;
  • 安全关键功能受到高度保护
  • 域卫士负责维护网段
  • 无直接路径
  • 对所有飞机结构进行广泛的测试和分析

根据故障条件和相关风险,将不同的设计保证级别分配给不同的软件功能或硬件系统。DALs可用于确定应用于航空电子系统不同组件的严格程度。并非所有软件都必须满足相同级别的安全要求,某个组件故障的潜在影响越大,就应该越安全。Sean Sullivan讲述了COTS OS非安全关键软件与RTOS关键安全软件标准,如表2所示。

表2  飞机软件标准

商用现成操作系统

非安全关键软件

实时操作系统

关键安全软件

公共或开源软件 专有软件
测试仅限于非安全标准 测试所有可能的输入

Part 3 飞机机构与航空电子网络集成

人们认为机上娱乐系统可以接入导航航线,Sean Sullivan纠正这也是一个误区,由此展开介绍了娱乐系统与导航总线的数据交互,和飞机架构的安全域。娱乐系统与客舱服务系统(CSS)之间通过以太网接口连接,客舱服务系统会接收NAV数据。Sean Sullivan说明了娱乐系统虽然会接收NAV数据,但存在多种安全保障措施。

  • 客舱服务系统(CSS)订阅NAV数据。
  • CSS使用ARINC协议接收NAV数据。
  • 导航数据只是单向通信。
  • CSS使用防火墙和IP过滤来阻止与ARINC网络的数据交换。
  • 从较低关键程度系统到较高关键程度系统的通信被自动丢弃(从CSS到NAV)

随着互联飞机的未来发展,背后技术也在不断变化。性能需求的增加,让无缝连接更加重要。在客舱内乘客需要Wi-Fi接入,而且对于驾驶舱、塔楼和飞机到机场网络,也需要实时和安全的信息传递。飞机的通信连接是一项复杂的任务,每架飞机都有三个不同的数据域,如图2所示,每个域的重要性和连接性要求都不同。

图2  飞机联通域

从驾驶舱开始,飞机控制域(Aircraft Control Domain)是最为关键的域,确保持续通信的连通性对于航空旅行的安全和效率至关重要。从地面到飞机,以及飞行中的实时安全通信,这些是保障安全的关键,需要在任何时间、任何状态、任何地点、任何天气条件或异常情况下随时随地地访问和交换数据。飞机信息域(Aircraft Information Domain)包括飞机的运行数据,但与飞机的控制无关,因此尽管它在运行上很重要,但它不是关键任务。通过AID可以将飞行运行数据加以利用,改变航空公司的运营方式,提高飞机和机组人员的效率。该域可实现高级跟踪,例如飞机健康监测和预测性维护,从而能够更快、更有效地进行协调。

乘客信息和娱乐系统域(Passenger Information & Entertainment Systems Domain)可以包括多个互连的系统,例如乘客设备连接系统和宽带电视或连接系统。

Part 4绿盟科技解读

航空网络安全是安全航空旅行的关键要素,网络安全没有绝对安全,即使已投入大量的时间金钱在航空网络安全。在航空领域,存在一个关键的生命安全问题,网络攻击如果成功,最终可能导致无数人丧失生命。来自波音公司产品安全首席工程师Sean Sullivan从人们对飞机安全的两个误区,介绍了飞机航空网络设计和要求,与我们分享了飞机安全域和通信等知识。航空网络涉及工业控制、物联网等技术,绿盟科技将会专注于此类安全研究,未来会加大航空网络场景的安全研究,致力于解决物理与数字技术相结合对现实世界产生的安全问题,为生命财产安全保驾护航。

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

 

Spread the word. Share this post!

Meet The Author