Upload
ngongoc
View
219
Download
0
Embed Size (px)
Citation preview
Projet Européen SECRET i d é f i iProtection du réseau ferroviaire contre
les attaques électromagnétiquesVirginie Deniau (Institut Français des Sciences et Technologies des Transports, de l’Aménagement et des Réseaux) p g )
XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
jProjet SECRET
Projet CollaboratifSECurity of Railways against Electromagnetic aTtacksy y g g
Du 01/08/2012 au 30/11/2015Du 01/08/2012 au 30/11/2015 Durée: 40 months
website: http://www.secret‐project.eu
2XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
Le déploiement d'ERTMSSECRET: les motivations
Le déploiement d ERTMS Autorisation de mouvement via GSM‐R/Eurobalise
So iété n mériq eSociété numérique: Nouveaux modes d'attaques (cyber attaques) l d è f f Evolution du système ferroviaire pour rester attractif
(internet à bord, on parle parfois de LTE‐R + wifi…)
L é f i i d iblLes réseaux ferroviaires restent des cibles privilégiées pour les attaques Système de transport de masse Facile d'accès, un réseau très étendu… Impacts sécuritaire et économique importants
XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015 3
Contexte: ERTMS Levels 1 2 3Contexte: ERTMS Levels 1‐2‐3
ERTMS niveau 1http://www.ertms.net
ERTMS niveau 1 Le train reçoit ses autorisations de mouvement par les balises au sol. L’autorisation de mouvement est calculée par le centre de contrôle en pfonction de l'occupation des autres cantons.
ERTMS niveau 2Le train se repère à l'aide des balises au sol et transmet sa position auLe train se repère à l aide des balises au sol et transmet sa position au centre de contrôle par le GSM-R. Ce dernier lui communique par le GSM-R, ses autorisations de mouvement en fonction de l'occupation des autres cantonsdes autres cantons.
ERTMS niveau 3 Le train se repère à l'aide des balises au sol, échange ses données p , gavec le centre de contrôle par GSM-R et détermine lui-même ses autorisations de mouvement en fonction de la position des autres trains.
XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
trains.
Contexte: ERTMS Levels 3Contexte: ERTMS Levels 3
Les autorisations de mouvement sont transmises via le http://www.ertms.netGSM‐R, l’intégrité du train est gérée à bord, cantons
mobiles
D l l l é bl i t fé EM
XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
De plus en plus vulnérable aux interférences EM
ContexteContexte
6XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
A EM D fi i iAttaques EM …Definition
Cas 1: la cible est un équipement/composant électroniqueDéfaut permanent ou temporaire au sein d’un dispositif électronique= endommager ou perturber Équipement
Signal EM Antenne
Équipement
Cas 2: la cible est la donnée échangée
qu pe e t
gBrouiller le transmission de données entre équipements ou composants= perturber ou embrouiller Équipement
Signal EM Antenne
Équipement
Data
SECRET scope
7XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
Quel dispositif d’attaques EM?Quel dispositif d attaques EM?
SECRET ne traite pas le cas des sources EM fortes puissancesMais des dispositifs d'émissions autorisés ou non, facilement accessibles dans le domaine public
Scope of the SECRET project
XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
GSM R Up-link876 880 MHz
Impact du brouillage 876-880 MHzGSM R down-link921-925 MHz
BTS BTS
GSM-R mode connecté
Train
brouilleur
9XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
Exemple de signaux de brouillageExemple de signaux de brouillage
GSM-R up link GSM-R down link
-30
-20Jammer 2Jammer 1
50
-40
Communication
dBm
)
-60
-50
p.s.d
(d
-80
-70
p
850 900 950 1000-90
Frequency (MHz)
10
q y ( )
XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
Signaux de brouillage mesurés avec un atténuateur
Exemple de signaux de brouillageExemple de signaux de brouillagedBV
GSM-R down link
GSM-R up link
-30
-20Jammer 2Jammer 1Communication z)
976 MHzGS
-70
-60
-50
-40
Communication
p.s.d
(dB
m)
quen
cy (H
z
840 MHz GSM-R up linkGSM-R down link
850 900 950 1000-90
-80
70
Frequency (MHz)
Time (s)
Freq 8.20 µs
Time (s)
11XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
b f dObjectifs du projet
Protéger les communications et la signalisation ferroviaires contre les attaques EM par des solutions compatibles avec l’ERTMS
Evaluer les risques réels en cas d’attaques EM pour le réseau ferroviaire Identifier des pistes de renforcement de l’immunité du réseau Identifier des pistes de renforcement de l immunité du réseau
ferroviaire face aux attaques EM Développer des solutions de détection d’attaques EM Concevoir une solution de gestion des attaques EM intégrée à
l’architecture de communication ferroviaire, afin de la rendre résiliente
12XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
Structure du projet
WP1 Threat analysis and risks assessment of EM attack scenarios for Railway Leader : SNCF
l l h h lWP2 Static protection: Topologic solutions to strengthen the railway infrastructure leader: Polito
WP3 Monitoring the EM environment and detection of EM attacks 3 o to g t e e o e t a d detect o o attac sleader: IFSTTAR
WP4 Dynamic protection: detection system for resilient architecturel d T i lleader: Trialog
WP5 Recommendations for a resilient railway infrastructure to EM attacks leader: Alstom
13XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
WP1 Threat analysis and risks assessmentWP1 Threat analysis and risks assessment of EM attack scenarios for Railway
Liste de dispositifs d’attaques considérés et leursé i icaractéristiques
Evaluation du risque (Failure mode and effects analysis‐FMEA)
Analyse de la menace (General Threat Matrix‐GTM) y ( )Scenarios d’attaque et méthodologies pour l’expérimentation d’attaques EMl expérimentation d attaques EM
Expérimentations sur GSM‐R et TETRA
14XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
WP1 Threat analysis and risks assessmentWP1 Threat analysis and risks assessment of EM attack scenarios for Railway
INTENTION INTERFERENCE
RisqueMenace Risquetechnique
Evaluation du risque
Probabilité Séverité
Risquetechnique
Probabilité Séverité
15XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
technique
WP2 Static protection: Topologic solutionsWP2: Static protection: Topologic solutions to strengthen the railway infrastructure
Croisement entre les caractéristiques des systèmeseurobalise/GSM‐R/TETRA et des dispositifseurobalise/GSM R/TETRA et des dispositifsd’attaques
Identification des formes d’ondes les plus critiquesIdentification des formes d ondes les plus critiquesMise en œuvre de méthodologies de tests adaptées a cas des interférences EM intentionnellesaux cas des interférences EM intentionnelles
Evaluation de la susceptibilité des systèmes GSM‐R, TETRA et Eurobalise en laboratoire en fonction des caractéristiques des signaux d’attaques
16XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
Bancs de test d’immunité pour GSM‐RBancs de test d immunité pour GSM R, TETRA et Eurobalise
MauvaiseÉmulateur de BTS
Mauvaise Communication
Jamming Signal
Communication Com OK
RXQual et BER= impact sur le GSM R
perdueCom OK
RXQual et BER= impact sur le GSM-RParametres: 1) Forme d’onde
2) Taux de répétition3) Puissance du signal GSM-R
17XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
3) Puissance du signal GSM-R
WP3 Monitoring the EM en ironment andWP3: Monitoring the EM environment and detection of EM attacks
Impact des attaques sur les indicateurs de Qualité de Service
Caractérisation statistique de l’environment EM en condition opérationnelle “normale” p
Definition des "grandeurs" à surveiller pour reconnaitre la présence d'une attaque EM p q
Algorithmes de détection appliqués aux différents paramètres surveillésp
Solutions d'implémentation
18XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
Simulation: impact sur les indicateursSimulation: impact sur les indicateurs de qualité de service
6 km102 km
End-to-end delay
Ref: Christian Pinedo Marina Aguado Igor Lopez and Jasone Astorga “Modelling and simulation of ERTMS for current
19XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
Ref: Christian Pinedo, Marina Aguado, Igor Lopez, and Jasone Astorga. Modelling and simulation of ERTMS for current and future mobile technologies". In: International Journal of Vehicular Technology (accepted in press).
Approches pour la détection deApproches pour la détection de brouillage intentionnel
Stratégie 1 : Domaine IQStratégie 2 : Analyse fréquentielle
Antenne GSM-R
Data GSM‐R
Stratégie 1 : Domaine IQ
Data Emission
++
terminal
Stratégie 2 : Domaine fréquentiel
IEMI Strategy 2Analyseur de spectre
Stratégie 2 : Domaine fréquentiel
Antenne spécifique dédiée
à la détection
20XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
Ex: Détection dans le domaine IQAnalyse de l’EVM: Error Vector Magnitude
Normal situation
100
110
o a s tuat oJammer close to The MSJammer at 3 mJammer at 6mJammer at 10m
110EVM
Symbole idéalQ
70
80
90
Threshold
Mrm
s
90
60
Symbole mesuré
1101
I
30
40
50
60E
VM 60
3000 10
0 50 100 150 200 250 30010
20
30
EVM Ob ti (270 )
100 50 100 150 200 250 300
EVM Observation (270 sec)
)()( EVMstdEVMmeanEVMTh Ref: MILI, S., Sodoyer, D. , Deniau, V., Heddebaut, Detection of electromagnetic jamming signals interfering with a
21Joint IEEE International Symposium on Electromagnetic Compatibility and EMC Europe, Dresden , 2015 August 16‐22
e , S , Sodoye , , e au, , eddebau , e ec o o e ec o ag e c ja g s g a s e e g arailway track-to-train radio communication, Journal of telecommunications Volume 27, Issue 2, October 2014.
Surveillance et détectionSurveillance et détection
Algo 1: Nombre de canaux qui excèdent une référenceDetection
efficace pourAlgo 1: Nombre de canaux qui excèdent une référence
SJR≈ 3 dB
efficace pourSeuil sur le nombre de
1
Algo 2 : Error Vector Magnitude
canaux1mn
g g
SJR ≈ 20 dBSeuil sur la valeur d’EVM
Algo 3 : Modèles Multi Gaussienneg
SJR ≈ 7 dBPas
nécessairement de seuil
22XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
SJR=Signal Jamming Ratio
WP4 Dynamic protection: detectionWP4 Dynamic protection: detection system for resilient architecture
Architecture résiliente offrant une protection dynamique Spécification, design of a “health/attak manager”
IncluantIncluant A health/attack management module Afin de gérer les information provenant des détecteursAfin de gérer les information provenant des détecteurs
A Central health/attack management Module Pour informer le centre de contrôle Pour informer le centre de contrôle
A multipath‐Transmission Control Protocol Pour réagir et se protéger dynamiquement Pour réagir et se protéger dynamiquement
23XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
WP4 Dynamic protection: detectionWP4 Dynamic protection: detection system for resilient architecture
2 démonstrateurs ont été réalisés Vidéo Vidéo
Ref: Marc Heddebaut, Souheir Mili, David Sodoyer, Eduardo Jacob, Marina Aguado, Christian Pinedo Zamalloa Igor Lopez and Virginie Deniau Towards a resilient railway communication network against
24XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
Zamalloa, Igor Lopez and Virginie Deniau, Towards a resilient railway communication network against electromagnetic attacks, Transport Research Arena 2014, 2014 April, Paris.
WP5 Recommendations for a resilientWP5 Recommendations for a resilient railway infrastructure to EM attacks
Environ 30 recommandations ont été identifiées: opérationnelles, industrielles, méthodesopérationnelles, industrielles, méthodes Prévention contre les attaques EM: Relever le niveau
d’immunité du systèmey
Detection : Déploiement, fonctions et techniquesp , q
Mitigation: Protection à activer en cas de détection Mitigation: Protection à activer en cas de détection
25XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015
Conclusions
Le projet a mis en lumière la susceptibilité du rail à certaines attaques EMcertaines attaques EMMéthodes de tests de susceptibilité aux IEM intentionnellesintentionnellesDémonstrations de la détection et de son intérêt dans ne architect re résilienteune architecture résiliente
Recommandations: un White Paper à destination des opérateurs et industriels est en cours de rédaction
26XXIème forum NTIC , Sûreté et Sécurité dans les transports, Paris, 9 décembre 2015