Cyber-Physical Security for Safety-Critical Aviation Operations

Bruk av globale satellittnavigasjonssystemer (GNSS) og bakkebaserte GNSS støttesystemer (GBAS) gir økt kapasitet, effektivitet og sikkerhet i sivil luftfart. Men GNSS mottakere, som er nøkkelkomponenter i både luft- og bakkesegmentet av GBAS, er sårbare for ulike typer cyberangrep. Dette kan være angrep i form av manipulering av bitstrøm, falske signaler (eng. "spoofing"), forsinket signal (eng. "meaconing") og signalblokkering (eng. "jamming"). Selv om GNSS signaler opererer i beskyttede frekvensbånd, er de av flere grunner i økende grad utsatt for angrep. GNSS mottakere benyttes i dag i flere domener der det kan finnes motiver for å utføre slike angrep. Eksempler er bruk av veiprising og flåtestyring innen tungtransport, der det kan gi økonomisk gevinst å jamme GNSS signaler for å hindre sporing. Ettersom GNSS i økende grad innlemmes i den digitale infrastrukturen, kan vi anta at vi vil se et økende antall angrep, og at angrepene blir mer sofistikerte. Målsetningen til dette prosjektet er å øke robustheten til bakke- og luftsegmentet av GBAS, for å motstå cyberangrep rettet mot sårbarheter i sivile GNSS signaler. Robustheten til mottakere i luftsegmentet vil bli vurdert ved å se på ytelsen til en UAV som er den mest utsatte plattformen. De viktigste bidragene fra dette prosjektet faller inn under tre kategorier: Den første er en analyse av trusselbildet for GNSS radiofrekvenser, gjennom langtidsovervåkning av elektromagnetiske forstyrrelser (eng. "Radio Frequency Interference" - RFI) i GNSS signalbånd ved flere posisjoner i Norge og rundt om i Europa. Dette har blitt gjennomført ved å plassere flere flerbånds GNSS RFI overvåkningsstasjoner i nærheten av store trafikkårer eller på flyplasser. Så langt har systemet registrert flere tusen RFI-hendelser. Antallet hendelser varierer stort mellom posisjonene, fra mindre enn ti hendelser per måned til flere hundre. Ved flertallet av posisjonene registreres i gjennomsnitt flere titalls sekunder med RFI per dag. Omtrent halvparten av observasjonene virker å være uønsket tilfeldig stråling, ikke forsettlig jamming, men flertallet av disse hendelsene skjer likevel innenfor ARNS-båndet (Aeronautical Radio Navigation Service) tett opptil GNSS L1. Forsettlig flerbånds GNSS jamming (dvs. jamming som rammer to eller flere frekvensbånd samtidig) observeres jevnlig. Kombinasjonen av hvilke bånd som rammes varierer sterkt fra måned til måned, og fra posisjon til posisjon. I tillegg er det blitt gjennomført testing av et konsept for GNSS RFI deteksjon og lokalisering, med en plattform som sikter seg inn på dynamiske interferenskilder med signalnivå nedenfor støygulvet. Det andre bidraget fra prosjektet er design og testing av en eksperimentell GBAS mottagerplattform. Plattformen utfører direkte mottak og prosessering av VDB-signaler, og består av lavkost-, lettvekts- og kommersiell hyllevare (COTS) komponenter. Målsettingen med designet er at det skal være en forskningsplattform for implementering og testing av ulike arkitekturer for prosessering av målinger og monitoralgoritmer som kan rette seg mot nye potensielle brukerkategorier, slik som ubemannede flyvende farkoster (UAVer). Validering av plattformen ble gjennomført i nærheten av Zürich lufthavn med sin operative stasjon for GBAS Approach Service Type (GAST) C. Det tredje bidraget dekker design, implementasjon og test av et lav-kost supplerende posisjoneringssystem basert på tilgjengelige signaler (eng: "Signals of Opportunity" - SOOP) for UAVer. Systemet fungerer gjennom å måle vinkel på innkommende radiosignaler fra maritime fartøy som en del av det automatiske identifikasjonssystemet (AIS), og triangulere mottagerens posisjon. Frittstående ytelse av systemet ble først testet med virkelige signaler, deretter ble mulig oppnåelig ytelse til en multi-sensor plattform vurdert gjennom en rekke simuleringer. Disse indikerte at det er mulig å oppnå betydelig forbedring av UAVens estimater sammenlignet med dead-reckoning i tilfeller der GNSS faller bort.

The project has made an important contribution to the domain of GNSS Radio Frequency Interference (RFI) monitoring as well as to characterization of the evolving threat space. Results obtained with regard to jamming signal characteristics, frequency bands affected, and relative occurrence rates between the considered frequencies and frequency combinations provided an important insight required by the Ground Based Augmentation System (GBAS) manufacturers and Air Navigation Service Providers (ANSPs) to develop algorithms and reaction strategies necessary to ensure GBAS service continuity and situational awareness of the ground system and users under RFI impacted conditions. Results achieved also served as a useful input to the development of new GBAS concepts relying on multiple frequencies with regard to mode switching. While the focus of the project was on safety-critical aviation operations, the achieved results are also of interest/use for GNSS-based service providers and equipment manufacturers outside of the sector as well as national and international spectrum management authorities. Activities focused on the increased resilience of the drone-borne platforms in the presence of GNSS RFI through on-board fault monitoring and use of auxiliary navigation sensors including Signals of Opportunity helped to build the expertise in this area both at SINTEF Digital and NTNU. Experimental platforms developed in support of this task were detailed in a number of publications and thereby moved the state of domain research knowledge forward. In addition to the contributions made to the research domain, the project team has established strong contacts with multiple national and international stakeholders in the domain important for collaboration on the resilience and robustness of the safety-critical navigation operations. Several new activities have already been established during the project period.

Use of GNSSs and their ground-based augmentation systems (GBAS) has been increasing the airspace capacity, efficiency and safety, and continues to proliferate and support additional performance-based navigation and precision operations. Due to the capability of GBAS to provide the high integrity required for civil aviation precision approach and other phases of flight, the system concept also has very strong potential to be adopted to support future single UAV operations, as well as operations of UAV networks performing missions within 200 km of a centralized controller. GNSS receivers that are key components of both the air and ground segments of a GBAS system, are unfortunately vulnerable to a number of cyber-physical attacks such as bitstream manipulation, spoofing, meaconing and jamming. Although GNSS signals used in aviation are located in a protected frequency band, attacks affecting this band do occur, and with an increasing rate. Over the past several years the combination of ubiquitous, low-cost communications systems and satellite navigation has moved civil GNSS positioning and timing into use domains where there are stronger motivations for an attack. In particular, widespread use in road-tolling or asset-tracking/fleet-management systems, encourages attacks directed at GNSS. As GNSS becomes more deeply embedded into digital infrastructure, we can expect to see more attacks of increased sophistication. Receivers that are certified for GBAS operations do not have any integrated interference rejection or mitigation techniques, therefore additional protection measures are required to ensure continuity and availability of service. The goal of this project is to increase resilience of GBAS ground and airborne segments against cyber-physical attacks aimed at GNSS civil signal vulnerabilities. Airborne segment resilience in this project will be approached by considering the performance of the least robust platform, namely the one of a UAV.