基于AFDX机载网络的安保测试方法研究

杨 佳，刘 绚，王辰娇，康 乔

（航空工业西安航空计算技术研究所，陕西 西安 710068）

0 引 言

民用飞机航空电子系统是一种典型的安全关键系统，一旦失效将对人们的生命财产安全和国家安全造成严重危害[1]。机载网络则是航空电子系统的中枢神经，为航空电子系统提供数据通信服务，其安全等级为航空电子系统的最高安全性等级[2]。ARINC664网络在航电系统中应用比较广泛，其中航空电子全双工交换式以太网（Avionics Full Duplex Switched Ethernet，AFDX）为ARINC664网络的核心。由于AFDX网络主要包括端系统和交换机，因此针对AFDX网络的安保测试主要基于端系统和交换机[3]。通过对机载航电AFDX网络进行安保测试验证技术研究，首先介绍AFDX网络协议，其次概述机载网络安保测试技术，最后基于AFDX网络协议进行了脆弱性和健壮性测试方法研究。

1 AFDX网络协议概述

航电系统是非常重要的航空系统，包括多个系统的通信、导航、显示以及管理等，这些航电子系统通过航空网络相连接。常见的机载网络与总线协议包括ARINC429、AFDX、ARINC664以及私有协议等。为了满足高带宽和实时性的要求，AFDX已广泛应用于A330、A380、B787以及C919等大型客机。目前常见的综合化航电系统采用层次型结构，按功能将系统分成不同的区。采用整个航空电子系统的统一互联网络，提高了系统的综合化程度。

AFDX是一种以交换机为中心的星型结构网络，包括端系统和交换机2个部分。双余度的交换机提供端系统之间的数据交换，而端系统则主要接收和发送数据[4]。AFDX端系统的网络协议栈如图1所示。

图1 AFDX网络端系统协议栈

端系统的主要功能是为主机应用提供安全可靠的数据互换服务，每个网络传输请求必须得到服务，而不考虑数据类型，最大的网络传输延迟必须得到保证。交换机包括5个模块，分别是过滤和管制、交换、通信配置、内置端系统以及监控[5]。

2 机载网络安保测试方法

安保测试需要在系统代码、任何中间件（如网络代码）以及应用程序本身中寻找特定的漏洞。该测试涵盖了安全漏洞的许多方面，例如数据完整性、可用性、用户授权以及不可否认性等[6,7]。

机载网络安保测试主要分为安保需求测试、安保健壮性测试以及安保脆弱性测试[8]。安保健壮性测试包括源代码分析、漏洞研究，通过对产品和应用程序进行逆向工程生成变异的数据包、错误的消息等，并将这些消息发送给目标主机，查看目标主机是否可以成功处理这些数据包，验证协议的缺陷。安保脆弱性测试是使用现有的已知漏洞或病毒库等对目标设备进行脆弱性扫描等测试手段，尝试去破坏、旁路或篡改安保措施的入侵测试[9]。机载网络安保测试主要是基于机载航电系统网络环境搭建仿真、测试系统，根据DO326A和DO356中的方法分别对机载航电网络的脆弱性及健壮性进行测试[10]。

3 AFDX网络的安保测试方法

3.1 测试框架

AFDX网络安保测试框架如图2所示。

图2 AFDX网络安保测试框架

（1）针对端系统的功能进行模拟攻击测试验证。根据ARINC664，端系统的功能有网络流量的控制、子VL管理/IP寻址、VL FIFO队列操作等，可以提供安全、可靠的数据交换。针对这些功能设计安保测试用例，对其进行攻击测试。

（2）针对交换机的功能进行模拟攻击测试验证。根据ARINC664，交换机主要实现的功能包括过滤和监管、交换、监控、构型管理以及数据加载等。针对上述各项功能设计安保测试用例，对其进行攻击测试。

监控设备在交互过程中的状态和输出信息、设备的响应时间等，对AFDX网络的安保功能进行分析和评估。对交互的网络数据包进行抓取，包括数据发送与接收的全部过程。通过对采集的网络数据进行提取分析，从而验证AFDX网络协议的安全。提取AFDX流量特征信息，分析网络协议不同字段的含义。除此之外，对AFDX网络的2种工作模式进行安保功能测试，包括模糊测试、脆弱性扫描测试、漏洞检测以及攻击测试等。

3.2 基于AFDX网络健壮性测试方法

根据私有协议的交互报文进行分析，自动产生测试用例。基于AFDX网络健壮性测试的流程如图3所示。

图3 AFDX协议健壮性测试流程

对于AFDX网络协议规范，主要是对协议的介质访问控制层（Media Access Control，MAC）、网际互联协议（Internet Portocd，IP）、用户数据报协议（User Datagram Protocol，UDP）协议以及应用层进行健壮性测试。首先捕获AFDX网络的通信数据，构造正常的AFDX网络协议数据包；其次分析数据包中每个字段的信息，根据这些信息进行字段变异形成测试用例，构造大量畸形的测试数据包；最后将这些数据发送到AFDX端系统和交换机中，监测目标机是否可以正常运行并捕获异常。

3.3 基于AFDX网络渗透测试

渗透测试主要依据公开的安全漏洞信息，采用攻击者的思维方式通过工具或手动对目标的安全性进行深入探测，发现网络中的脆弱环节。基于AFDX协议渗透测试架构各功能相对独立，针对端系统和交换机进行不同的测试。其中，对交换机主要进行攻击测试，包括DOS测试等；对端系统主要进行漏洞检测和攻击测试。

漏洞检测主要是根据目前已经公开的安全漏洞，检查被测设备对已知漏洞的防范能力。通过脆弱性扫描等方式，验证AFDX网络是否存在安全漏洞。

攻击测试主要是对AFDX网络进行大量的攻击仿真，检测设备的抗攻击能力。基于AFDX网络的攻击测试主要包括恶意代码攻击测试、漏洞利用攻击测试、应用场景攻击测试以及拒绝服务攻击测试。恶意代码攻击测试主要是通过选择已知的流行的病毒代码，对端系统和交换机进行恶意代码攻击测试，来验证设备对病毒代码的识别和防御能力。漏洞利用攻击测试主要是选择已知的通用漏洞向设备输入利用这些漏洞进行攻击的代码，测试被测设备对已知漏洞的识别和防御能力。应用场景攻击测试是在网络中创建特定的场景进行多协议信息交互，使用这些场景测试网络设备能否处理特定的应用以及在该网络中执行的策略。拒绝服务攻击测试主要是对设备发起分布式拒绝服务攻击，同时通过控制报文协议命令监控被测设备的运行情况，评估其对这些攻击的识别和防御能力。

4 结 论

综上所述，参考现有的网络安全测试技术和方法，研究AFDX网络安保测试验证技术。首先对ARINC664的AFDX网络协议进行介绍；其次介绍机载网络安保测试方法，包括健壮性测试方法和脆弱性测试方法；最后研究了基于AFDX网络的安保测试方法，提出了AFDX网络安保测试框架。基于机载航电系统网络环境搭建仿真、测试系统，研究基于AFDX网络的模糊测试和渗透测试方法，可以作为民用飞机机载网络实施信息安保验证与测试的依据。