eng
TS_pub
technospheramag
technospheramag
ТЕХНОСФЕРА_РИЦ
Выпуск #5/2021
И.Татарчук, С.Шаврин
ИЗМЕРЕНИЕ ВЗАИМНЫХ РАССТОЯНИЙ МЕЖДУ ЛЕТАТЕЛЬНЫМИ АППАРАТАМИ НА ОСНОВЕ АЗН-В VDL MODE 4
ИЗМЕРЕНИЕ ВЗАИМНЫХ РАССТОЯНИЙ МЕЖДУ ЛЕТАТЕЛЬНЫМИ АППАРАТАМИ НА ОСНОВЕ АЗН-В VDL MODE 4
Просмотры: 1296
DOI: 10.22184/2070-8963.2021.97.5.74.79
Рассмотрены вопросы обеспечения кибербезопасности систем АЗН-В. Показано, что стандарт АЗН-В VDL mode 4 может обеспечить возможность групповой защиты от постановки в эфир сообщений с координатами несуществующих летательных аппаратов (ЛА) или подмены сообщений от реальных. Предложен алгоритм группового определения ЛА-"фантомов", который опирается за заложенную в данный стандарт возможность измерения времени прихода сигналов оборудованием VDL mode 4.
Рассмотрены вопросы обеспечения кибербезопасности систем АЗН-В. Показано, что стандарт АЗН-В VDL mode 4 может обеспечить возможность групповой защиты от постановки в эфир сообщений с координатами несуществующих летательных аппаратов (ЛА) или подмены сообщений от реальных. Предложен алгоритм группового определения ЛА-"фантомов", который опирается за заложенную в данный стандарт возможность измерения времени прихода сигналов оборудованием VDL mode 4.
Теги: broadcast data transmission by radio channel cyber security standard 1090 extended squitter standard ads-b vdl mode 4 вещательная передача данных по радиоканалу кибербезопасность стандарт 1090 extended squitter стандарт азн-в vdl mode 4
ИЗМЕРЕНИЕ ВЗАИМНЫХ РАССТОЯНИЙ между летательными аппаратами на основе АЗН-В VDL mode 4
И.Татарчук, инженер ФГУП "ГосНИИАС" / ivanttmtuci@gmail.com,
С.Шаврин, д.т.н., профессор МТУСИ / sss@mtuci.ru
УДК 656.732.95, DOI: 10.22184/2070-8963.2021.97.5.74.79
Рассмотрены вопросы обеспечения кибербезопасности систем АЗН-В. Показано, что стандарт АЗН-В VDL mode 4 может обеспечить возможность групповой защиты от постановки в эфир сообщений с координатами несуществующих летательных аппаратов (ЛА) или подмены сообщений от реальных. Предложен алгоритм группового определения ЛА-"фантомов", который опирается на заложенную в данный стандарт возможность измерения времени прихода сигналов оборудованием VDL mode 4.
Введение
Системы автоматического зависимого наблюдения вещательного типа (АЗН-В) предназначены для обеспечения наблюдения летательных аппаратов (ЛА) в воздушном пространстве без непременной необходимости использования наземной инфраструктуры.
Такое взаимное наблюдение возможно за счет использования телекоммуникационных технологий, в частности вещательной передачи данных по радиоканалу. Каждый ЛА, оснащенный приемопередатчиком АЗН-В, периодически передает по открытому каналу связи широковещательные сообщения, которые содержат сведения о его идентификаторе и текущих координатах. Эти данные принимаются всеми участниками воздушного движения, что очевидно повышает безопасность воздушного движения за счет улучшения ситуационной осведомленности экипажей. Собственные координаты летательного аппарата оборудование АЗН-В получает от глобальных навигационных спутниковых систем (ГНСС).
Таким образом существенно повышается безопасность полетов воздушных судов и, в первую очередь, за счет лучшей осведомленности их экипажей о состоянии окружающего воздушного пространства.
В последнее время, в связи с ожидаемым повсеместным внедрением средств АЗН-В в гражданской авиации [1], актуализируется проблема обеспечения достоверности и информационной безопасности систем АЗН-В [2, 3, 4, 5, 6, 7]. Использование простых сигналов без структурной и энергетической скрытности, а также зависимость от ГНСС обуславливают высокую степень уязвимости современных систем АЗН-В к деструктивным воздействиям случайного и целенаправленного характера. Имеющее место положение вещей, в частности, позволяет злоумышленникам осуществлять атаки на систему АЗН-В с целью нарушения устойчивости функционирования путем формирования радиосигналов различного наполнения.
Виды атак на устойчивость функционирования АЗН-В
Обобщая результаты ранее проведенных исследований, можно выделить три типа атак на системы АЗН-В:
Помеховая является наиболее примитивным типом атаки. Злоумышленнику достаточно сформировать гармонические или сравнительно узкополосные шумовые сигналы такой мощности, чтобы вероятность правильного приема сообщения в заданной точке пространства снизилась до неприемлемого уровня. Очевидно, что успех такой атаки определяется соотношением мощностей сигнала и помехи в точке приема. Основным слабым местом помеховой атаки являются легкость обнаружения ее факта и, следовательно, возможность быстрых ответных действий.
Атака на сигналы ГНСС требует применения специализированных алгоритмов формирования спутникового сигнала для подавления или, что случается чаще, искажения навигационного поля в конкретной географической области. Подобная атака сегодня редко рассматривается как осуществимая, поскольку принято полагать, что ее могут выполнить только высококвалифицированные специалисты вооруженных сил отдельных стран. В связи с развитием беспилотных ЛА и использованием их как управляемых снарядов в зонах боевых действий искажение навигационного поля для защиты стратегически важных объектов стало применяться преднамеренно и регулярно, в том числе на территории РФ [8], в районе аэропортов и морских портов. Искажение навигационного поля приводит к тому, что участники воздушного движения не могут использовать данные АЗН-В для систем предупреждения столкновений (СПС), что сильно снижает безопасность полетов.
Наконец, информационная атака заключается в том, что злоумышленник формирует радиосигналы, содержащие сообщения АЗН-В, которые несут в себе информацию о несуществующем ЛА или ложные данные о местоположении реального. Такой тип атак наиболее прост в реализации и наиболее трудно определяем [3, 5]. Злоумышленник сможет также подменять сообщения от реального ЛА своими, например, если во время вещания этого ЛА будет передавать сообщение, содержащее ложные сведения, в тот же момент и с мощностью ложного сигнала большей, чем у истинного.
Методы противодействия атакам
Следует отметить, что почти все исследования по разработке методов и систем противодействия вышеперечисленным видам атак посвящены системе АЗН-В стандарта 1090 Extended Squitter (ES) [2, 3, 5]. Такое положение обосновывается распространенностью оборудования этого стандарта в Северной Америке и Европе, что, в свою очередь, определяется тем, что оно включено в обязательный состав авионики судов для перевозки пассажиров и грузов. Стандарт 1090 ES является развитием технологии авиационных ответчиков 60-х годов, поэтому, как отмечается в [3, 5], единственная возможность повысить безопасность этого стандарта – это глубокая модернизация физического и канального уровней. Что означает, по сути, разработку нового стандарта.
В настоящий момент времени единственный способ противодействия атакам на оборудование стандарта 1090 ES − использование многопозиционных систем наблюдения (МПСН), которые определяют положение источника сигнала АЗН-В путем измерения разности времени прихода сигнала, принимаемого в разнесенных приемниках.
Такой способ означает полный отказ от АЗН-В и применение методов пассивной радиолокации для решения задачи наблюдения ЛА. При этом отсутствует осведомленность экипажей, так как в 1090 ES не предусмотрена передача данных от наземной станции к бортовой. В этом случае для предотвращения столкновений используются только СПС, работающие по собственным сигналам. Однако высокая стоимость подобных систем не позволяет оснастить ими все ЛА, например беспилотные.
В то же время в Северной Европе и России используется оборудование АЗН-В стандарта Very High Frequency Data Link mode 4 (VDL-4). Для этого стандарта возможно применение двух методов противодействия:
Если первый метод противодействия считается наиболее эффективным и простым, но в то же время самым трудноосуществимым, так как потребуется согласование процессов распределения криптографических ключей между странами-участниками воздушного движения, то второй признается как наиболее технически сложный [5], или малопригодный для практического применения [13]. Поскольку результаты исследований по этой тематике содержат лишь общие соображения без формализации алгоритмов или исключительно оценки точности измерения времени прихода, то представляется актуальной задача разработки системы измерения взаимных расстояний между ЛА для защиты сетей АЗН-В на основе VDL mode 4. Таким образом, целью настоящей работы является разработка принципов функционирования системы определения ложных ЛА, или ЛА-"фантомов", по информации об измеренных взаимных расстояниях между ЛА в группе.
Постановка задачи
При разработке системы определения ЛА-"фантомов" по измеренным расстояниям между ЛА, оснащенными оборудованием VDL mode 4, будем исходить из следующих соображений:
Оборудование VDL mode 4, установленное на ЛА, имеет возможность измерения времени прихода сигналов относительно внутренней шкалы времени со среднеквадратическим отклонением (СКО) σизм. Внутренняя шкала времени синхронизирована со всемирным координированным временем (UTC) согласно стандарту.
Технические возможности злоумышленника включают в себя управление мощностью излучаемого сигнала Pизл и временем передачи сообщения tизл.
Цель злоумышленника − дестабилизация работы системы путем формирования фантомов, выполняющих опасные сближения с реально действующими ЛА в заданном воздушном пространстве, и компрометация реально участвующих в воздушном движении ЛА путем противодействия системе определения фантомов.
Злоумышленник может иметь распределенную в пространстве сеть станций постановки фантомов из N приемопередатчиков.
В обозримом воздушном пространстве располагается M летательных аппаратов.
Измерение взаимных расстояний в стандарте VDL mode 4
Возможность измерения взаимных расстояний, или расстояний между парой ЛА, изначально не заложена в рассматриваемом стандарте. Известно, что VDL mode 4 представляет собой многоканальную систему связи, в которой начало каждого канального интервала (КИ) привязано к началу секунды UTC. Каждый ЛА в соответствии с алгоритмами распределения канального ресурса осуществляет передачу сообщения в заранее зарезервированном канальном интервале. Согласно стандарту излучение сигнала должно соответствовать началу канального интервала по временной шкале UTC.
Тогда расстояние между ЛА будет определяться как:
S = (tизм – tки) ∙ C, (1)
где tизм − измеренное время прихода по шкале приемника;
tки − время начала очередного КИ по шкале приемника, в котором ожидается прием сообщения;
C − скорость распространения электромагнитной волны.
Очевидно, что для определения tизм оборудование должно обладать функцией измерения времени прихода сигналов VDL mode 4.
Формализация алгоритмов определения ЛА-"фантомов"
Пусть в системе в каналах VDL mode 4 регулярно передается M+N сообщений от настоящих ЛА и от "фантомов" соответственно. Тогда каждый ЛА после приема этих сообщений будет иметь два множества измеренных расстояний. Множество взаимных расстояний, измеренных по данным АЗН-В:
Sазн = {s1, s2…sM+N}. (2)
Аналогично существует множество расстояний, измеренных по времени прихода сообщений:
Sизм = {s'1, s'2…s'M+N}. (3)
Следует отметить, что каждое расстояние соотносится с идентификационным номером (адресом) ИКАО (Международной организации гражданской авиации), поэтому путаницы не возникает.
Тогда у каждого ЛА будет множество разностей между измеренным по АЗН-В и напрямую расстояниями до всех доступных по радиоканалу ЛА:
∆S={s1-s'1, s2-s'2…sM+N-s'M+N}. (4)
Если
sk-s'k>σизм, (5)
то ЛАk предположительно является "фантомом". Накапливая статистику (5) за определенное время, можно обеспечить заданную вероятность верного обнаружения.
Таким образом, оборудование АЗН-В, установленное на борту ЛА, сможет фильтровать "фантомы". При этом не требуется дополнительный обмен информацией между ЛА или ЛА и диспетчером.
Противодействие системе определения "фантомов"
Из постановки задачи известно, что злоумышленник имеет возможность управлять временем прихода так, что для любого выделенного ЛА может быть создан случай, когда sk–s'k<σизм. Например, в случае имитации опасного сближения, когда "фантом" создается только для саботирования работы систем предупреждения столкновений нескольких ЛА.
Тогда необходимо, чтобы каждый ЛА передал идентификационные номера "фантомов" на основе своих измерений. В этом случае каждый ЛА сопоставляет количество положительных и отрицательных результатов проверки гипотезы (5). Очевидно, что в случае отсутствия информационного противодействия со стороны злоумышленника вероятность того, что ЛА-"фантом" определится правильно:
h = Mложн/M, (6)
где Mложн – число сообщений от других ЛА о том, что именно этот ЛА – "фантом".
Информационное противодействие в этом случае будет заключаться в следующем: злоумышленник будет формировать сообщения о наличии фантомов, которые будут содержать идентификационные номера окружающих ЛА и передавать их в момент передачи сообщений от настоящих ЛА. Выбор номеров ЛА злоумышленником будет сделан с целью "размазать" вероятности определения фантомных ЛА, то есть подобрать номера так, чтобы h ~ 0,5, так как выражение (6) будет записываться в виде:
h = Mложн/(M+N). (7)
В случае если N<<M, подобное противодействие будет малоэффективным. Следует отметить, что на эффективность противодействия непосредственно влияет пространственная конфигурация расположения ЛА и радиосредств злоумышленника.
Наиболее удаленные от злоумышленника ЛА будут принимать сигналы только реальных ЛА, так как их мощность в точке приема будет больше.
Определение эффективности предложенного алгоритма является отдельной задачей.
Оценка эффективности для системы предупреждения столкновений по сигналам VDL mode 4 приведена в [15]. Работу [15] можно использовать как задел для дальнейшего исследования вопросов получения оценок эффективности для предложенного метода.
Оценка погрешности метода измерения расстояний
Представленные алгоритмы используют в качестве порога для критерия (5) значение погрешности σизм. Эта погрешность будет определять применимость представленной системы в условиях высокой плотности воздушного движения в контролируемом пространстве, где величина горизонтального эшелонирования будет чуть менее 5 км.
Погрешность σизм определяется следующим выражением:
σизм = σизл+σпри+σмет, (8)
где σизл − среднеквадратичное отклонение (СКО) ошибки привязки шкалы излучающего ЛА к UTC;
σпри − СКО ошибки привязки шкалы принимающего (измеряющего) ЛА к UTC;
σмет − СКО погрешности метода измерения.
Согласно стандарту σизл = σпри = 400 нс = 120 м. В реальных условиях эта погрешность может оказаться значительно меньшей, поскольку точность измерения времени будет определяться взаимной ошибкой привязки к UTC, которая для близко расположенных приемников в значительной степени нивелируется.
В публикациях [13, 14] значение для наихудшего случая (отношение сигнал/шум: 20дБ) σмет = 1,5 км, а для наилучшего (отношение сигнал/шум: 40 дБ) σмет = 30 м. Учитывая, что при расстоянии 5 км отношение сигнал/шум на входе приемника будет не менее 40 дБ, то σизм ~ 270 м.
Как видно, СКО ошибки измерения расстояния в несколько раз меньше ошибки синхронизации шкал времени ЛА. Однако, следует учитывать, что значение СКО ошибки временной синхронизации современных приемников ГНСС составляет 50 нс или 15 м, что существенно меньше заданных в стандарте. Тогда σизм ~ 90 м. С учетом норм на горизонтальное эшелонирование при движении по маршруту этого значения вполне достаточно.
Недостатки предложенного алгоритма
Рассматриваемый алгоритм будет функционировать исключительно при отсутствии искажения поля ГНСС. В любом ином случае критерий (5) неприменим. В этом случае необходимо определять взаимные расстояния путем синхронизации временных шкал по сигналам VDL mode 4 для группы ЛА. Последнее как возможность упоминается в стандарте, однако алгоритмическая реализация его не приводится.
Заключение
Предложен алгоритм определения ЛА-"фантомов", использующий сведения об измерении времени прихода сообщений VDL mode 4 оборудованием ЛА. Наибольший вклад в ошибку измерения времени прихода вносят ошибки привязки шкал ЛА к единой шкале UTC, в то время как ожидаемое значение СКО времени прихода сигналов не превышает 30 м при расстоянии между ЛА при горизонтальном эшелонировании 5 км. Дальнейшим направлением работ предполагается исследование методов измерения времени прихода и эффективности алгоритма определения "фантомов".
ЛИТЕРАТУРА
Пропускная способность и эффективность. Глобальный аэронавигационный план на 2013–2028 гг. Doc 9750-AN/963 / 4-е изд. Монреаль: Международная организация гражданской авиации, 2013.
Костин А. Спуфинг в воздухе // Хакер. 2013. № 1(168). С. 18–24.
Strohmeier Martin. Security in Next Generation Air Traffic Communication Networks. A thesis submitted for the degree of Doctor of Philosophy. PhD dissertation. Trinity, 2016.
Фальков Э.Я., Шаврин С.С. Кибербезопасность авиационных информационно связных систем // Радиоэлектронные технологии. 2017. № 5. С. 56–59.
Косьянчук В.В., Сельвесюк Н.И., Хамматов Р.Р. Обзор основных путей повышения безопасности системы АЗН-В // Научный вестник МГТУ ГА. 2019. № 1.
Фальков Э.Я., Шаврин С.С. АЗН-В и информационная безопасность воздушного движения // ПЕРВАЯ МИЛЯ. 2020. № 5(90). С. 50–56.
Дуплищева Я.В., Шаврин С.С. Исследование возможности реализации автономной защищенной сети на базе режима VDL-4 // Телекоммуникации и информационные технологии. 2016. Т. 3. № 2. С. 56–58.
C4ADS .Above Us Only Stars: Exposing GPS Spoofing in Russia and Syria. Доклад.URL: https://static 1.squarespace.com/static/566ef8b4d8af107232d5358a/t/5c 99488beb39314c 45e782da/1553549492554/Above+Us+Only+Stars.pdf
Дуплищева Я.В., Шаврин С.С. Разработка системы формирования группового сеансового ключа для группы объектов VDL-4 // Телекоммуникации и информационные технологии. 2016. Т. 3. № 1. С. 78–81.
Татарчук И.А. Измерение взаимных расстояний между летательными аппаратами по сигналам УКВ ЛПД режима 4 // Проектирование и технология электронных средств. 2016. № 2. С. 24–28.
Фальков Э.Я., Татарчук И.А., Егоров В.В. Имитационное моделирование системы определения взаимных координат между летательными аппаратами в режиме VDL 4 АЗН-В // Юбилейная Всероссийская научно-техническая конференция "Авиационные системы в XXI веке". Сборник докладов. Т. 3. М.: ГосНИИАС, 2017. C. 330–332.
Мирошниченко А.В., Стеняев А.В., Татарчук И.А. Особенности методов нарушения устойчивости функционирования систем наблюдения и предупреждения столкновений // Четвертая Всероссийская научно-техническая конференция "Навигация, наведение и управление летательными аппаратами". Тезисы докладов. М.: ФГУП "ГосНИИАС", 2019. C. 163–164.
Wide Area Multilateration Report on EATMP TRS 131/04Version 1.1NLR-CR-2004-472 // Eurocontrol. P 14. URL:https://pdfs.semanticscholar.org/6b06/9be56e155b32cec 318a30f49a83150f5e372.pdf
Akos D.M., Karlsson M., Larsson K. Receiver measured time in the VDL mode 4 system // Position Location and Navigation Symposium, IEEE. 2000. P. 2.
Татарчук И.А. Привязка времени прихода сигнала УКВ ЛПД режима 4 к временной шкале транспондера // Перспективные технологии в средствах передачи информации – ПТСПИ’2015: материалы конференции. Суздаль, 2015. С. 142–144.
Буркин В.С. Cинтез оптимальных алгоритмов информационной безопасности по данным сети VDL-4 при преднамеренном искажении сообщений в системе АЗН // Навигация, наведение и управление летательными аппаратами. Тезисы докладов Третьей Всероссийской научно-технической конференции. 2017. С. 15.
И.Татарчук, инженер ФГУП "ГосНИИАС" / ivanttmtuci@gmail.com,
С.Шаврин, д.т.н., профессор МТУСИ / sss@mtuci.ru
УДК 656.732.95, DOI: 10.22184/2070-8963.2021.97.5.74.79
Рассмотрены вопросы обеспечения кибербезопасности систем АЗН-В. Показано, что стандарт АЗН-В VDL mode 4 может обеспечить возможность групповой защиты от постановки в эфир сообщений с координатами несуществующих летательных аппаратов (ЛА) или подмены сообщений от реальных. Предложен алгоритм группового определения ЛА-"фантомов", который опирается на заложенную в данный стандарт возможность измерения времени прихода сигналов оборудованием VDL mode 4.
Введение
Системы автоматического зависимого наблюдения вещательного типа (АЗН-В) предназначены для обеспечения наблюдения летательных аппаратов (ЛА) в воздушном пространстве без непременной необходимости использования наземной инфраструктуры.
Такое взаимное наблюдение возможно за счет использования телекоммуникационных технологий, в частности вещательной передачи данных по радиоканалу. Каждый ЛА, оснащенный приемопередатчиком АЗН-В, периодически передает по открытому каналу связи широковещательные сообщения, которые содержат сведения о его идентификаторе и текущих координатах. Эти данные принимаются всеми участниками воздушного движения, что очевидно повышает безопасность воздушного движения за счет улучшения ситуационной осведомленности экипажей. Собственные координаты летательного аппарата оборудование АЗН-В получает от глобальных навигационных спутниковых систем (ГНСС).
Таким образом существенно повышается безопасность полетов воздушных судов и, в первую очередь, за счет лучшей осведомленности их экипажей о состоянии окружающего воздушного пространства.
В последнее время, в связи с ожидаемым повсеместным внедрением средств АЗН-В в гражданской авиации [1], актуализируется проблема обеспечения достоверности и информационной безопасности систем АЗН-В [2, 3, 4, 5, 6, 7]. Использование простых сигналов без структурной и энергетической скрытности, а также зависимость от ГНСС обуславливают высокую степень уязвимости современных систем АЗН-В к деструктивным воздействиям случайного и целенаправленного характера. Имеющее место положение вещей, в частности, позволяет злоумышленникам осуществлять атаки на систему АЗН-В с целью нарушения устойчивости функционирования путем формирования радиосигналов различного наполнения.
Виды атак на устойчивость функционирования АЗН-В
Обобщая результаты ранее проведенных исследований, можно выделить три типа атак на системы АЗН-В:
- помеховая;
- атака на ГНСС;
- информационная.
Помеховая является наиболее примитивным типом атаки. Злоумышленнику достаточно сформировать гармонические или сравнительно узкополосные шумовые сигналы такой мощности, чтобы вероятность правильного приема сообщения в заданной точке пространства снизилась до неприемлемого уровня. Очевидно, что успех такой атаки определяется соотношением мощностей сигнала и помехи в точке приема. Основным слабым местом помеховой атаки являются легкость обнаружения ее факта и, следовательно, возможность быстрых ответных действий.
Атака на сигналы ГНСС требует применения специализированных алгоритмов формирования спутникового сигнала для подавления или, что случается чаще, искажения навигационного поля в конкретной географической области. Подобная атака сегодня редко рассматривается как осуществимая, поскольку принято полагать, что ее могут выполнить только высококвалифицированные специалисты вооруженных сил отдельных стран. В связи с развитием беспилотных ЛА и использованием их как управляемых снарядов в зонах боевых действий искажение навигационного поля для защиты стратегически важных объектов стало применяться преднамеренно и регулярно, в том числе на территории РФ [8], в районе аэропортов и морских портов. Искажение навигационного поля приводит к тому, что участники воздушного движения не могут использовать данные АЗН-В для систем предупреждения столкновений (СПС), что сильно снижает безопасность полетов.
Наконец, информационная атака заключается в том, что злоумышленник формирует радиосигналы, содержащие сообщения АЗН-В, которые несут в себе информацию о несуществующем ЛА или ложные данные о местоположении реального. Такой тип атак наиболее прост в реализации и наиболее трудно определяем [3, 5]. Злоумышленник сможет также подменять сообщения от реального ЛА своими, например, если во время вещания этого ЛА будет передавать сообщение, содержащее ложные сведения, в тот же момент и с мощностью ложного сигнала большей, чем у истинного.
Методы противодействия атакам
Следует отметить, что почти все исследования по разработке методов и систем противодействия вышеперечисленным видам атак посвящены системе АЗН-В стандарта 1090 Extended Squitter (ES) [2, 3, 5]. Такое положение обосновывается распространенностью оборудования этого стандарта в Северной Америке и Европе, что, в свою очередь, определяется тем, что оно включено в обязательный состав авионики судов для перевозки пассажиров и грузов. Стандарт 1090 ES является развитием технологии авиационных ответчиков 60-х годов, поэтому, как отмечается в [3, 5], единственная возможность повысить безопасность этого стандарта – это глубокая модернизация физического и канального уровней. Что означает, по сути, разработку нового стандарта.
В настоящий момент времени единственный способ противодействия атакам на оборудование стандарта 1090 ES − использование многопозиционных систем наблюдения (МПСН), которые определяют положение источника сигнала АЗН-В путем измерения разности времени прихода сигнала, принимаемого в разнесенных приемниках.
Такой способ означает полный отказ от АЗН-В и применение методов пассивной радиолокации для решения задачи наблюдения ЛА. При этом отсутствует осведомленность экипажей, так как в 1090 ES не предусмотрена передача данных от наземной станции к бортовой. В этом случае для предотвращения столкновений используются только СПС, работающие по собственным сигналам. Однако высокая стоимость подобных систем не позволяет оснастить ими все ЛА, например беспилотные.
В то же время в Северной Европе и России используется оборудование АЗН-В стандарта Very High Frequency Data Link mode 4 (VDL-4). Для этого стандарта возможно применение двух методов противодействия:
- использование методов криптографирования информации и построения доверенных сетей на основе VDL mode 4 [6, 7, 9];
- проверка местоположения ЛА по данным о времени прихода сигналов от него до других участников воздушного движения [5, 10, 11, 12].
Если первый метод противодействия считается наиболее эффективным и простым, но в то же время самым трудноосуществимым, так как потребуется согласование процессов распределения криптографических ключей между странами-участниками воздушного движения, то второй признается как наиболее технически сложный [5], или малопригодный для практического применения [13]. Поскольку результаты исследований по этой тематике содержат лишь общие соображения без формализации алгоритмов или исключительно оценки точности измерения времени прихода, то представляется актуальной задача разработки системы измерения взаимных расстояний между ЛА для защиты сетей АЗН-В на основе VDL mode 4. Таким образом, целью настоящей работы является разработка принципов функционирования системы определения ложных ЛА, или ЛА-"фантомов", по информации об измеренных взаимных расстояниях между ЛА в группе.
Постановка задачи
При разработке системы определения ЛА-"фантомов" по измеренным расстояниям между ЛА, оснащенными оборудованием VDL mode 4, будем исходить из следующих соображений:
Оборудование VDL mode 4, установленное на ЛА, имеет возможность измерения времени прихода сигналов относительно внутренней шкалы времени со среднеквадратическим отклонением (СКО) σизм. Внутренняя шкала времени синхронизирована со всемирным координированным временем (UTC) согласно стандарту.
Технические возможности злоумышленника включают в себя управление мощностью излучаемого сигнала Pизл и временем передачи сообщения tизл.
Цель злоумышленника − дестабилизация работы системы путем формирования фантомов, выполняющих опасные сближения с реально действующими ЛА в заданном воздушном пространстве, и компрометация реально участвующих в воздушном движении ЛА путем противодействия системе определения фантомов.
Злоумышленник может иметь распределенную в пространстве сеть станций постановки фантомов из N приемопередатчиков.
В обозримом воздушном пространстве располагается M летательных аппаратов.
Измерение взаимных расстояний в стандарте VDL mode 4
Возможность измерения взаимных расстояний, или расстояний между парой ЛА, изначально не заложена в рассматриваемом стандарте. Известно, что VDL mode 4 представляет собой многоканальную систему связи, в которой начало каждого канального интервала (КИ) привязано к началу секунды UTC. Каждый ЛА в соответствии с алгоритмами распределения канального ресурса осуществляет передачу сообщения в заранее зарезервированном канальном интервале. Согласно стандарту излучение сигнала должно соответствовать началу канального интервала по временной шкале UTC.
Тогда расстояние между ЛА будет определяться как:
S = (tизм – tки) ∙ C, (1)
где tизм − измеренное время прихода по шкале приемника;
tки − время начала очередного КИ по шкале приемника, в котором ожидается прием сообщения;
C − скорость распространения электромагнитной волны.
Очевидно, что для определения tизм оборудование должно обладать функцией измерения времени прихода сигналов VDL mode 4.
Формализация алгоритмов определения ЛА-"фантомов"
Пусть в системе в каналах VDL mode 4 регулярно передается M+N сообщений от настоящих ЛА и от "фантомов" соответственно. Тогда каждый ЛА после приема этих сообщений будет иметь два множества измеренных расстояний. Множество взаимных расстояний, измеренных по данным АЗН-В:
Sазн = {s1, s2…sM+N}. (2)
Аналогично существует множество расстояний, измеренных по времени прихода сообщений:
Sизм = {s'1, s'2…s'M+N}. (3)
Следует отметить, что каждое расстояние соотносится с идентификационным номером (адресом) ИКАО (Международной организации гражданской авиации), поэтому путаницы не возникает.
Тогда у каждого ЛА будет множество разностей между измеренным по АЗН-В и напрямую расстояниями до всех доступных по радиоканалу ЛА:
∆S={s1-s'1, s2-s'2…sM+N-s'M+N}. (4)
Если
sk-s'k>σизм, (5)
то ЛАk предположительно является "фантомом". Накапливая статистику (5) за определенное время, можно обеспечить заданную вероятность верного обнаружения.
Таким образом, оборудование АЗН-В, установленное на борту ЛА, сможет фильтровать "фантомы". При этом не требуется дополнительный обмен информацией между ЛА или ЛА и диспетчером.
Противодействие системе определения "фантомов"
Из постановки задачи известно, что злоумышленник имеет возможность управлять временем прихода так, что для любого выделенного ЛА может быть создан случай, когда sk–s'k<σизм. Например, в случае имитации опасного сближения, когда "фантом" создается только для саботирования работы систем предупреждения столкновений нескольких ЛА.
Тогда необходимо, чтобы каждый ЛА передал идентификационные номера "фантомов" на основе своих измерений. В этом случае каждый ЛА сопоставляет количество положительных и отрицательных результатов проверки гипотезы (5). Очевидно, что в случае отсутствия информационного противодействия со стороны злоумышленника вероятность того, что ЛА-"фантом" определится правильно:
h = Mложн/M, (6)
где Mложн – число сообщений от других ЛА о том, что именно этот ЛА – "фантом".
Информационное противодействие в этом случае будет заключаться в следующем: злоумышленник будет формировать сообщения о наличии фантомов, которые будут содержать идентификационные номера окружающих ЛА и передавать их в момент передачи сообщений от настоящих ЛА. Выбор номеров ЛА злоумышленником будет сделан с целью "размазать" вероятности определения фантомных ЛА, то есть подобрать номера так, чтобы h ~ 0,5, так как выражение (6) будет записываться в виде:
h = Mложн/(M+N). (7)
В случае если N<<M, подобное противодействие будет малоэффективным. Следует отметить, что на эффективность противодействия непосредственно влияет пространственная конфигурация расположения ЛА и радиосредств злоумышленника.
Наиболее удаленные от злоумышленника ЛА будут принимать сигналы только реальных ЛА, так как их мощность в точке приема будет больше.
Определение эффективности предложенного алгоритма является отдельной задачей.
Оценка эффективности для системы предупреждения столкновений по сигналам VDL mode 4 приведена в [15]. Работу [15] можно использовать как задел для дальнейшего исследования вопросов получения оценок эффективности для предложенного метода.
Оценка погрешности метода измерения расстояний
Представленные алгоритмы используют в качестве порога для критерия (5) значение погрешности σизм. Эта погрешность будет определять применимость представленной системы в условиях высокой плотности воздушного движения в контролируемом пространстве, где величина горизонтального эшелонирования будет чуть менее 5 км.
Погрешность σизм определяется следующим выражением:
σизм = σизл+σпри+σмет, (8)
где σизл − среднеквадратичное отклонение (СКО) ошибки привязки шкалы излучающего ЛА к UTC;
σпри − СКО ошибки привязки шкалы принимающего (измеряющего) ЛА к UTC;
σмет − СКО погрешности метода измерения.
Согласно стандарту σизл = σпри = 400 нс = 120 м. В реальных условиях эта погрешность может оказаться значительно меньшей, поскольку точность измерения времени будет определяться взаимной ошибкой привязки к UTC, которая для близко расположенных приемников в значительной степени нивелируется.
В публикациях [13, 14] значение для наихудшего случая (отношение сигнал/шум: 20дБ) σмет = 1,5 км, а для наилучшего (отношение сигнал/шум: 40 дБ) σмет = 30 м. Учитывая, что при расстоянии 5 км отношение сигнал/шум на входе приемника будет не менее 40 дБ, то σизм ~ 270 м.
Как видно, СКО ошибки измерения расстояния в несколько раз меньше ошибки синхронизации шкал времени ЛА. Однако, следует учитывать, что значение СКО ошибки временной синхронизации современных приемников ГНСС составляет 50 нс или 15 м, что существенно меньше заданных в стандарте. Тогда σизм ~ 90 м. С учетом норм на горизонтальное эшелонирование при движении по маршруту этого значения вполне достаточно.
Недостатки предложенного алгоритма
Рассматриваемый алгоритм будет функционировать исключительно при отсутствии искажения поля ГНСС. В любом ином случае критерий (5) неприменим. В этом случае необходимо определять взаимные расстояния путем синхронизации временных шкал по сигналам VDL mode 4 для группы ЛА. Последнее как возможность упоминается в стандарте, однако алгоритмическая реализация его не приводится.
Заключение
Предложен алгоритм определения ЛА-"фантомов", использующий сведения об измерении времени прихода сообщений VDL mode 4 оборудованием ЛА. Наибольший вклад в ошибку измерения времени прихода вносят ошибки привязки шкал ЛА к единой шкале UTC, в то время как ожидаемое значение СКО времени прихода сигналов не превышает 30 м при расстоянии между ЛА при горизонтальном эшелонировании 5 км. Дальнейшим направлением работ предполагается исследование методов измерения времени прихода и эффективности алгоритма определения "фантомов".
ЛИТЕРАТУРА
Пропускная способность и эффективность. Глобальный аэронавигационный план на 2013–2028 гг. Doc 9750-AN/963 / 4-е изд. Монреаль: Международная организация гражданской авиации, 2013.
Костин А. Спуфинг в воздухе // Хакер. 2013. № 1(168). С. 18–24.
Strohmeier Martin. Security in Next Generation Air Traffic Communication Networks. A thesis submitted for the degree of Doctor of Philosophy. PhD dissertation. Trinity, 2016.
Фальков Э.Я., Шаврин С.С. Кибербезопасность авиационных информационно связных систем // Радиоэлектронные технологии. 2017. № 5. С. 56–59.
Косьянчук В.В., Сельвесюк Н.И., Хамматов Р.Р. Обзор основных путей повышения безопасности системы АЗН-В // Научный вестник МГТУ ГА. 2019. № 1.
Фальков Э.Я., Шаврин С.С. АЗН-В и информационная безопасность воздушного движения // ПЕРВАЯ МИЛЯ. 2020. № 5(90). С. 50–56.
Дуплищева Я.В., Шаврин С.С. Исследование возможности реализации автономной защищенной сети на базе режима VDL-4 // Телекоммуникации и информационные технологии. 2016. Т. 3. № 2. С. 56–58.
C4ADS .Above Us Only Stars: Exposing GPS Spoofing in Russia and Syria. Доклад.URL: https://static 1.squarespace.com/static/566ef8b4d8af107232d5358a/t/5c 99488beb39314c 45e782da/1553549492554/Above+Us+Only+Stars.pdf
Дуплищева Я.В., Шаврин С.С. Разработка системы формирования группового сеансового ключа для группы объектов VDL-4 // Телекоммуникации и информационные технологии. 2016. Т. 3. № 1. С. 78–81.
Татарчук И.А. Измерение взаимных расстояний между летательными аппаратами по сигналам УКВ ЛПД режима 4 // Проектирование и технология электронных средств. 2016. № 2. С. 24–28.
Фальков Э.Я., Татарчук И.А., Егоров В.В. Имитационное моделирование системы определения взаимных координат между летательными аппаратами в режиме VDL 4 АЗН-В // Юбилейная Всероссийская научно-техническая конференция "Авиационные системы в XXI веке". Сборник докладов. Т. 3. М.: ГосНИИАС, 2017. C. 330–332.
Мирошниченко А.В., Стеняев А.В., Татарчук И.А. Особенности методов нарушения устойчивости функционирования систем наблюдения и предупреждения столкновений // Четвертая Всероссийская научно-техническая конференция "Навигация, наведение и управление летательными аппаратами". Тезисы докладов. М.: ФГУП "ГосНИИАС", 2019. C. 163–164.
Wide Area Multilateration Report on EATMP TRS 131/04Version 1.1NLR-CR-2004-472 // Eurocontrol. P 14. URL:https://pdfs.semanticscholar.org/6b06/9be56e155b32cec 318a30f49a83150f5e372.pdf
Akos D.M., Karlsson M., Larsson K. Receiver measured time in the VDL mode 4 system // Position Location and Navigation Symposium, IEEE. 2000. P. 2.
Татарчук И.А. Привязка времени прихода сигнала УКВ ЛПД режима 4 к временной шкале транспондера // Перспективные технологии в средствах передачи информации – ПТСПИ’2015: материалы конференции. Суздаль, 2015. С. 142–144.
Буркин В.С. Cинтез оптимальных алгоритмов информационной безопасности по данным сети VDL-4 при преднамеренном искажении сообщений в системе АЗН // Навигация, наведение и управление летательными аппаратами. Тезисы докладов Третьей Всероссийской научно-технической конференции. 2017. С. 15.
Отзывы читателей
