بررسی چند پروتکل کانال امن برای شبکه بی‌سیم اویونیک در داخل هواپیما

[1] (ADN) تعداد زیادی از زیرسیستم‌های اویونیک را به هم متصل می‌کند. در این شبکه‌ها بخش مدیریت، مجموعه‌ای از دستورالعمل‌های کنترلی را برای تبادل پیام‌ها در یک فریم زمانی از پیش تعریف شده و قطعی آماده می‌کند. بنابراین این شبکه‌ها بسیار قابل اعتماد، کارآمد و با تحمل‌پذیری بالا بوده که به صورت بلادرنگ عمل می‌کنند.

شبکه‌های ADN باید برای تعدادی از زیرسیستم‌ها با عملکرد بحرانی و غیربحرانی طراحی شوند. اما ساخت یک شبکه که به طور موثر این دو عملکرد را مدیریت کند و در عین حال هنوز یک شبکه کاملا قطعی با پهنای باند و کیفیت سرویس (QoS) تضمین شده ارائه دهد، بسیار چالش برانگیز است.

این ADNها اساسا شبکه‌های سیمی هستند که چند دستگاه را با استفاده از اتصالات فیزیکی متصل می‌کنند. نمونه‌هایی از این شبکه‌ها عبارتند از: ARINC 825، ARINC 664/AFDX و اترنت استاندارد. سیم‌کشی کابل‌ها در اینگونه شبکه‌ها نیاز به زمان زیادی برای طراحی در پیکربندی هواپیما دارد. چالش‌های دیگری همچون انعطاف‌پذیری کمتر در انطباق، عدم تحمل سیم‌های فرسوده و مشکلات اضافه وزن هواپیما نیز وجود دارد. علاوه بر این افزونگی شبکه بر اساس مسیرهای متفاوت است. در واقع این افزونگی در یک پروتکل و سخت‌افزار مشابه، اما مسیر غیر مشابه ایجاد شده است. این در حالی است که استفاده از یک رویکرد متفاوت ارتباطی به عنوان افزونگی می‌تواند انتخاب بهتری باشد.

برای عملکردهای غیر بحرانی یک هواپیما، یک اتصال سیمی بین دو نقطه ارتباطی می‌تواند با یک رسانه ارتباطی بی‌سیم جایگزین شود. چنین شبکه‌ای تحت عنوان شبکه بی‌سیم اویونیک[2] (AWN) شناخته می‌شود. البته برای ارتباطات بی‌سیم در AWN، استراق سمع و تغییر در داده‌ها نسبتا بیشتر از شبکه ADN است. به همین دلیل تمام ارتباطات بین گره‌های بی‌سیم (تجهیزات اویونیک) در شبکه AWN باید رمزگذاری شوند. برای دستیابی به چنین ارتباط امنی (از طریق رمزگذاری)، گره‌های AWN باید کانال‌های امن را با اجرای یک پروتکل کانال امن بین یکدیگر ایجاد کنند. در این گزارش تمرکز اصلی ما روی تحلیل عملکرد و امنیت پروتکل‌های کانال امن مختلف برای AWN است. البته باید یادآور شد در حال حاضر استفاده از چنین شبکه‌هایی تنها برای داده‌ها و برنامه‌های کاربردی غیر بحرانی پیشنهاد می‌شود.

معماری کلی شبکه‌های ADN

ارتباطات در یک هواپیمای مدرن شامل چند شبکه داده از جمله شبکه کنترل پرواز و شبکه تجهیزات سرگرمی مسافر (شکل‌های زیر) است که از چند زیرسیستم متصل به هم از طریق فناوری سیم‌کشی به وجود می‌آید. نوع و ماهیت پیکربندی شبکه وابسته به سناریو توسعه و اهداف آن دارد. در شبکه کنترل پرواز ته‌سیستم‌ها (مانند حسگرها و عملگرها) معمولا از طریق لینک‌های ارتباطی رایج و استاندارد همچون ARINC 429، ARINC 825 و CAN به شبکه اصلی (AFDX) متصل می‌شوند. هر یک از این ارتباطات حداقل نیازمند یک جفت سیم خواهد بود. در شبکه تجهیزات سرگرمی مسافر، به دلیل عدم بحرانی بودن سرویس‌ها، ارتباطات معمولا از طریق اترنت استاندارد ایجاد می‌شود.

شبکه داده کنترل پرواز با اتصال AFDX

معماری کلی شبکه داده کابین مسافران

فواید شبکه‌های بی‌سیم

در توپولوژی و فناوری ارتباطات به کار رفته داخل شبکه‌های هواپیما، یک عنصر مشترک باقی‌می‌ماند و آن سیم‌کشی فیزیکی ‌است که دو یا چند زیرسیستم اویونیکی را به هم متصل می‌کند. سیم‌کشی هواپیما می‌تواند هزینه‌هایی از جمله طراحی سیم‌کشی، ساخت کابل و بهره‌برداری و نگهداری داشته باشد که منجر به افزایش وزن اضافی هواپیما می‌شود.

علاوه بر این برای ارائه افزونگی دوگانه، این سیم‌ها باید به دو دستگاه از طریق دو مسیر مجزای فیزیکی در هواپیما متصل شوند. بنابراین سیم‌ها و اتصال‌دهنده‌های مربوطه 2 تا 5 درصد از وزن هواپیما را شامل می‌شوند. از این‌رو طراحی مسیر سیم‌کشی به شدت وابسته به محل قرارگیری تجهیزات و نحوه ارتباط سیم‌ها است تا بتواند چالش‌های مربوط به مسیریابی مجزا که برای افزونگی سیم‌کشی به وجود می‌آید را برآورده کند.

همانطور که سیم‌کشی هواپیما یک فعالیت زمان‌بر و به شدت سخت است، ارتقاء یا نصب مسیرهای سیم‌کشی جدید یا زیرسیستم‌های اویونیک می‌توانند بسیار هزینه‌بر باشند. بنابراین تبدیل مسیرهای سیم‌کشی به ارتباطات بی‌سیم مقرون به صرفه است. تقریبا 30 درصد از سیم‌ها در اتصالات یک هواپیما کاندید مناسبی برای جایگزینی با اتصالات بی‌سیم هستند. راه‌حل‌های بی‌سیم تا زمانیکه امنیت، ایمنی و سطوح بالایی از اعتماد بتواند حفظ شود، چشم‌اندازی معقول خواهند داشت.

شبکه بی‌سیم اویونیک

شبکه بی‌سیم اویونیک (AWN) شبکه‌ای داخل هواپیماست که بخش‌های مختلف را با استفاده از فناوری بی‌سیم به جای سیم‌کشی فیزیکی به هم متصل می‌کند. بر اساس این تعریف AWNها در چهار معماری توسعه طبقه‌بندی می‌شوند.

• شبکه حسگر بی‌سیم[3] (WSN): یک WSN مجموعه‌ای از سیستم‌های هوشمند و خودکار است که می‌توانند شرایط محیطی یا فیزیکی را احساس کنند و متناسب با آن اعمالی را انجام دهند. این حسگرها توانایی انجام اعمالی چون دریافت اطلاعات مختلف محیطی بر اساس نوع حسگر، پردازش و ارسال آن اطلاعات را دارند. معمولا گره‌های WSN داده‌های تعیین شده را ضبط می‌کنند و آن‌ها را از طریق رسانه بی‌سیم به برخی گره‌های اختصاصی (sinks) انتقال می‌دهند. این گره‌ها به عنوان دروازه‌ای بین WSN و کاربر نهایی عمل می‌کنند. چنین شبکه‌هایی به طور ویژه در طراحی هواپیما مخصوصا برای نظارت بر قطعات محرک و چرخشی مانند ارابه‌های فرود یا موتور مفید هستند. همچنین یک WSN می‌تواند به عنوان یک شبکه مستقل ( بدون اتصال به شبکه هواپیما) به سادگی اطلاعات مربوط به پرواز را جمع‌آوری و ذخیره کند. چنین شبکه‌ای در بهبود کارایی خدمه تعمیر و نگهداری روی زمین مفید است.

 

• شبکه افزونگی ناهمسان[4] (غیرمشابه) (DRN): از آنجا که شبکه‌های هواپیما باید دارای تحمل خطا باشند، می‌توان از شبکه‌های بی‌سیم برای ساخت شبکه‌های افزونگی ناهمسان استفاده کرد. در واقع DRN به معنی استفاده از دو روش ارتباطی غیرمشابه (ارتباط سیمی و بی‌سیم) در افزونگی ارتباطات است. این روش احتمال خرابی یا شکست‌های معمول در شبکه مبتنی بر افزونگی مشابه را کاهش ‌می‌دهد. همچنین این روش مشکلات مسیریابی را تا حد ممکن با استفاده از مسیرهای غیرمجاور فیزیکی کم می‌کند.

 

• شبکه سرگرمی حین پرواز (IFE): از آنجا که این شبکه یکی از شبکه‌های غیر بحرانی در هواپیما است، سوئیچ اترنت IFE می‌تواند با یک نقطه دسترسی بی‌سیم جایگزین شود. این کار موجب ارائه خدمات سفارشی بیشتر بدون کاهش ایمنی کلی هواپیما می‌شود.

 

• شبکه بی‌سیم به عنوان لینک مشترک (Comm-Link): در این نوع از AWN لینک ارتباطی بی‌سیم جایگزین لینک سیم‌کشی بین ماژول‌های محاسباتی اویونیک که در شکل زیر نشان داده شده است، می‌شود. پروتکل‌ها و معماری شبکه که بالاتر از لایه لینک داده هستند، می‌تواند همانطور مانند قبل (AFDX) باقی‌بماند، اما در لایه فیزیکی داده‌ها از طریق یک رسانه بی‌سیم به جای رسانه سیمی ارتباط برقرار می‌کنند. این نوع از شبکه می‌تواند به عنوان یک استراتژی کلی یا جزئی در نظر گرفته شود. در یک استراتژی جزئی، از دو اتصال سیمی بین زیرسیستم‌های هواپیما، تنها یک اتصال توسط لینک‌های بی‌سیم جایگزین می‌شود. اما در یک استراتژی کامل هر دو لینک سیم‌کشی بین زیرسیستم‌های هواپیما با لینک‌های بی‌سیم جایگزین می‌شوند.

نمایش کلی از شبکه بی‌سیم به عنوان لینک مشترک

با در نظر گرفتن چهار مدل توسعه توصیف شده در بالا برای یک فناوری بی‌سیم به عنوان بخشی از شبکه‌های هواپیما، یک مورد مشترک وجود دارد: همه‌ی این گزینه‌ها بر داده‌های منتقل شده از طریق هوا تکیه دارند. این موضوع استراق سمع و تغییر بخش‌هایی از اطلاعات منتقل شده توسط نیروهای دشمن را آسان‌تر می‌کند. برای جلوگیری از چنین مواردی ساختارهای رمزگذاری قوی برای ایجاد یک کانال امن به کار گرفته می‌شوند.

یک کانال ارتباطی امن با یک کلید که تنها توسط اعضای شبکه شناخته شده است، رمزگذاری می‌شود. از دید یک مهاجم (حمله کننده) پیام‌های رمزگذاری شده همچنان قابل مشاهده است اما این پیام‌ها نباید هیچ دانشی در رابطه با محتوای ارتباطات بدهد. با توجه به اصلاح پیام‌ها، مهاجم می‌تواند آن‌ها را تغییر دهد اما نتایج (رمزگشایی از پیام منتقل شده) در کنترل او نیست به این دلیل که او کلید استفاده شده برای رمزگذاری پیام را نمی‌داند. در این صورت اگر یک مکانیزم یکپارچه قوی برای امنیت کانال استفاده شود، هرگونه تغییر در داده‌ها قابل تشخیص است.

داشتن کانال‌های امن برای ارتباطات AWN ضروری است. برای رسیدن به این هدف AWN باید پروتکل کانال امن و کلیدهای رمزگذاری مربوط به آن را ایجاد کند. این کانال امن باید بدون در نظر گرفتن نوع AWN انتخاب شده، تنظیم شود.

سناریو‌های توسعه کانال امن

در این بخش سه سناریو که برای برقراری کانال امن در AWN استفاده می‌شود، تعریف خواهد شد. ارتباطات بی‌سیم می‌توانند در حالت نقطه دسترسی (AP) یا شبکه‌های بی‌سیم موردی (ad-hoc) باشند. در این مطلب ما به نحوه اجرای این دو حالت وارد نمی‌شویم، اما ماهیت‌های اشتراک گذاری کلید، معماری‌های پشتیبانی شونده و مسائل این چنینی در هر یک از این رویکردها متفاوت است.

• کلید‌های به اشتراک گذاشته شده[5]: در این سناریو تمام گره‌های ارتباطی در یک AWN تنها یک کلید متناسب را به اشتراک می‌گذارند. این کلید توسط سازندگان گره یا کاربرانی که آن‌ها را تنظیم می‌کنند، ایجاد می‌شود. سناریوی کلید به اشتراک گذاشته شده (PSK) را می‌توان با دو روش متفاوت به دست آورد. در روش اول همه گره‌ها برای تبادل اطلاعات با یکدیگر، کلید یکسانی برای رمزگذاری تمام پیام‌ها دارند. در روش دوم کلید به اشتراک گذاشته شده به طور مستقیم برای رمزگذاری پیام‌ها نیست، بلکه از آن برای ایجاد یک کلید session استفاده می‌شود. در این سناریو کلید به اشتراک گذاشته شده به «کلید اصلی» اشاره دارد و یک الگوریتم از قبل تعریف شده برای تولید کلید session استفاده می‌شود.

 

• چارچوب‌های توزیع کلید قابل اعتماد[6] (TKDF): در این سناریو همه‌ی گره‌ها در AWN به یک نهاد واحد که مسئول تولید و توزیع کلیدهای session است اعتماد دارند و از آن برای رمزگذاری پیام‌هایشان استفاده می‌کنند. چنین نهادی به عنوان یک سرور توزیع کلید قابل اعتماد شناخته می‌شود و همه‌ی گره‌ها در شبکه باید با آن در ارتباط باشند. ممکن است همه‌ی گره‌های AWN در محدوده ارتباطات بی‌سیم TKDS نباشند، بنابراین باید به گره‌های همسایه یا یک توسعه‌دهنده محدوده بی‌سیم (گره‌های رله) تکیه کنند.

 

• اشتراک‌گذاری کلید روی درخواست[7]: در این سناریو هر گره به طور خاص یک پروتکل کانال امن با همتاهای ارتباطی خود در شبکه اجرا می‌کند. هدف از این پروتکل تایید اعتبار گره‌ها به وسیله یکدیگر و ایجاد کلیدهای session است. در این سناریو اشتراک‌گذاری از قبل کلیدها لازم نیست و کلیدهای session در طول اجرای پروتکل‌ها محاسبه می‌شوند. برای احراز هویت یک سیستم توسط سیستم دیگر، لازم است برخی اطلاعات از قبل برای هر یک از آن‌ها ایجاد شده باشد. این فرایند احراز هویت تاثیری بر فرآیند ایجاد و اشتراک‌گذاری کلید ندارد.

ایجاد ارتباطات امن بی‌سیم

در این قسمت به عنوان نمونه عملکرد هفت پروتکل مختلف برای ایجاد کانال‌های امن در یک بستر تست AWN روی یک comm-Link بی‌سیم بررسی می‌شود (شکل زیر). هر یک از این پروتکل‌ها را می‌توان در دسته‌بندی سناریو‌های کانال امن که در بخش قبل توضیح داده شد، قرار داد.

بستر تست شبکه AWN

برای کانال‌های امن مبتنی بر کلید‌های به اشتراک گذاشته شده پروتکل‌های محرمانگی معادل سیمی[8] (WEP)، دسترسی وای- فای محافظت شده با کلید به اشتراک گذاشته شده (WPA-PSK) و IPSec انتخاب می‌شوند. هنگام استفاده از WEP هر گره دارای یک کلید به اشتراک گذاشته شده ثابت است و برای رمزگذاری فریم‌های داده از الگوریتم RC4 استفاده می‌کند. با WPA-PSK، هر گره دارای یک کلید اصلی از قبل به اشتراک گذاشته شده است که برای ساخت کلیدهای session در طول مرحله اعتبار‌سنجی استفاده می‌شود. در مقایسه با دو پروتکل کانال امن قبلی، رمزگذاری IPSec در سطح لایه 3 (یعنی شبکه) به جای لایه 2 (لینک داده) انجام می‌شود.

برای کانال‌های امن مبتنی بر TKDF، دو پروتکل ad-hoc توسعه پیدا کرده است. در پروتکل اول مراحل توزیع کلید و تایید هویت بر اساس کلیدهای متقارن (یکسان) انجام می‌شود. در حالیکه پروتکل دوم از کلید‌های نامتقارن برای این دو مرحله استفاده می‌کند.

در یک TKDF مبتنی بر کلید متقارن، هر گره یک کلید متقارن را با سرور توزیع کلید قابل اعتماد به اشتراک می‌گذارد. سرور از آن برای ارسال کلیدهای session رمزگذاری شده به هر گره ارتباطی استفاده می‌کند. سپس هر گره کلید متقارن آن را رمزگشایی می‌کند تا از کلید به دست آمده برای نهایی کردن ایجاد کانال امن خود استفاده کند. این در حالی است که در یک TKDF مبتنی بر کلید نامتقارن، هر گره کلیدهای session دریافتی از سرور را با یک کلید خصوصی مختص به خود رمزگشایی می‌کند.

پروتکل‌های SSH و SSL نیز برای سناریوی اشتراک‌گذاری کلید روی درخواست انتخاب شده‌اند.

معیارهای مقایسه

برای اینکه یک پروتکل بتواند از چارچوب AWN پشتیبانی کند، حداقل باید شرایط امنیتی و عملکردی ذکر شده در زیر را داشته باشد:

• تایید هویت متقابل (دوجانبه): همه گره‌ها در شبکه باید قادر به تایید هویت یکدیگر باشند به طوریکه از ظاهرسازی توسط عنصر مخرب جلوگیری شود.
• معماری نامتقارن: کلیدهای عمومی معتبر باید بین عناصر شبکه برای تسهیل تولید کلید و فرآیند تایید هویت مبادله شوند.
• توافقنامه کلید متقابل: بخش‌های ارتباطی باید برای تولید کلید در طول اجرای پروتکل با هم هماهنگ باشند.
• کنترل کلید مشترک: بخش‌های ارتباطی باید کنترل متقابل تولید کلیدهای جدید برای جلوگیری از انتخاب یک کلید ضعیف یا پیش تعیین هر بخش از کلید session را داشته باشند.
• خلاقیت کلید (تازگی کلید): کلید تولید شده باید در هر session برای جلوگیری از حملات بازپخش، به روزرسانی شود.
• تایید کلید متقابل: بخش‌های ارتباطی باید تایید ضمنی یا صریح را مبنی بر اینکه آن‌ها کلیدهای یکسانی را در طول اجرای پروتکل ایجاد کرده‌اند یا خیر ارائه دهند.
• امنیت کلید شناخته شده: اگر یک کاربر مخرب کلید session را با اجرای یک پروتکل خاص بدست آورد، او نباید قادر به بازیابی اسرار بلند مدت (کلیدهای خصوصی) یا کلیدهای session (گذشته و آینده) باشد.
• انعطاف‌پذیری در اشتراک کلید ناشناخته: مثلا سیستم X بر این باور است که یک کلید را با Y به اشتراک گذاشته است، جاییکه سیستم Y به اشتباه بر این باور است که کلید را با موجودیت Z به اشتراک گذاشته است. پروتکل پیشنهادی باید به اندازه کافی در برابر این نوع حمله محافظت کند.
• انعطاف‌پذیری در جعل هویت سازگاری کلید (KCI): اگر یک کاربر مخرب کلید بلند مدت یک سیستم Y را بازیابی کند، قادر خواهد بود هویت Y را جعل کند. با این وجود، سازگاری کلید نباید او را قادر به جعل هویت دیگر سیستم‌ها کند.
• رمزگذاری رو به جلو: خصوصیتی در طرح‌های تبادل کلید که بنا بر آن لو رفتن کلید اصلی که از آن برای تولید کلیدهای session استفاده می‌شود، امنیت کلید sessionهای پیشین را تهدید نکند.
• عدم انکار متقابل: سیستم‌های ارتباطی نباید اجرا و راه‌اندازی پروتکل با یکدیگر را انکار کنند.
• حریم خصوصی: کاربرهای ثانویه (شخص ثالث) نباید قادر به شناخت هویت‌های گره‌های AWN باشند.

الزامات ذکر شده در بالا برای مقایسه پروتکل‌های انتخاب شده در جدول زیر لیست شده است. در این جدول علامت * به این معنی است که پروتکل قابلیت مربوطه را برآورده می‌کند. علامت (*) به معنی برآورده‌سازی قابلیت تحت شرایط خاص است. در صورتی که پروتکل قابلیتی را پشتیبانی نکند از علامت × استفاده شده است. در نهایت علامت *- به این معنی است که پروتکل به طور ضمنی نیازمندی‌های آن قابلیت را دارد، اما نه به دلیل پیام‌های پروتکل، بلکه به دلیل روابط قبلی بین سیستم‌های ارتباطی.

مقایسه پروتکل‌های کانال امن بر اساس معیارهای اعلام شده در این مطلب

جمع‌بندی

در این مطلب به ماهیت و قابلیت شبکه‌های بی‌سیم اویونیک پرداختیم. اشاره شد که در مقایسه با ارتباطات سیمی، در شبکه‌های بی‌سیم امکان شنود یا تغییر اطلاعات توسط سیستم‌های مخرب خارجی بیشتر وجود دارد. برای جلوگیری از این اتفاق می‌توان از فناوری کانال‌های امن بی‌سیم استفاده کرد. پروتکل‌های مختلفی برای ایجاد چنین کانال امنی ایجاد شده است که در این مطلب برخی از آن‌ها معرفی شد.

شکی نیست که زمان استفاده از این فناوری در هواپیماهای تجاری زود است و هنوز چالش‌های زیادی برای بلوغ آن وجود دارد. اما تحقیق و بررسی راهکارهای مناسب برای رفع ایرادات آن، می‌تواند زمینه را برای ورود این فناوری در بخش‌های غیر بحرانی هواپیماها فراهم آورد. نتایج آورده شده در جدول 1 می‌تواند در طراحی یک شبکه اویونیک ساده و مبتنی بر ارتباطات بی‌سیم کمک زیادی کند. در نهایت انتخاب هر یک از این پروتکل‌ها وابسته به شرایط شبکه و نیازمندی‌های آن است.

[1] Aircraft Data Networks

[2] Avionics Wireless Network

[3] Wireless Sensor Networks

[4] Dissimilar Redundancy Network

[5] Pre-Shared Keys

[6] Trusted Key Distribution Frameworks

[7] Key Sharing On Demand

[8] Wired Equivalent Privacy