關(guān)于GNSS欺騙技術(shù)，哪些防御技術(shù)對(duì)哪些攻擊技術(shù)有效

眾所周知，全球?qū)Ш叫l(wèi)星信號(hào)可能被虛假信號(hào)所欺騙，但是一些接收器可以提供針對(duì)此類(lèi)攻擊的防御措施。隨著欺騙技術(shù)的發(fā)展，我們需要了解欺騙可能的攻擊方式以及相對(duì)應(yīng)防御的方式的特性。本文主要介紹了當(dāng)下主流的攻擊方法和防御方法，并記錄了哪些防御技術(shù)對(duì)哪些攻擊技術(shù)有效。最后，本文給出了一個(gè)攻擊/防御技術(shù)的表格，其描述了從完全沒(méi)有反欺騙功能到擁有各種反欺騙技術(shù)的不同情況，其中一部分以很少的成本增加了重要的安全性，而另一部分則增加了更多的安全性，但成本較高。

GNSS欺騙概述

對(duì)全球?qū)Ш叫l(wèi)星系統(tǒng)（GNSS）信號(hào)的欺騙實(shí)質(zhì)上是將虛假的欺騙信號(hào)進(jìn)行廣播，目的是使受害接收器將其誤解為真實(shí)信號(hào)。受害者可能計(jì)算出錯(cuò)誤的位置、錯(cuò)誤的時(shí)鐘偏移或兩者都有。錯(cuò)誤位置或錯(cuò)誤時(shí)間的計(jì)算結(jié)果，可能會(huì)誘發(fā)危險(xiǎn)行為。例如，2011年伊朗通過(guò)全球定位系統(tǒng)（GPS）欺騙劫持美國(guó)CIA的一架無(wú)人機(jī)，而該無(wú)人機(jī)本將預(yù)定在阿富汗降落。2015年一個(gè)功能齊全的GPS信號(hào)模擬器軟件在github上開(kāi)源，人們可以通過(guò)下載該軟件，并部署在許多商用級(jí)別的射頻前端上，低成本的實(shí)現(xiàn)GNSS信號(hào)欺騙。

GNSS反欺騙技術(shù)則是試圖檢測(cè)攻擊，以警告受害者其導(dǎo)航和時(shí)鐘不可靠。而防御的第二個(gè)目標(biāo)是恢復(fù)可靠的導(dǎo)航和計(jì)時(shí)解決方案。具有接收機(jī)自主完整性監(jiān)測(cè)技術(shù)（RAIM）的接收器會(huì)采用冗余信號(hào)產(chǎn)生多個(gè)GPS定位并對(duì)其進(jìn)行比較，根據(jù)統(tǒng)計(jì)方法確定故障是否與某個(gè)信號(hào)有關(guān)。但是在2001年，美國(guó)的volpe center就已經(jīng)發(fā)出警告，有一些欺騙方式可能會(huì)超越其防御能力。

GNSS欺騙類(lèi)型

01 欺騙攻擊概述 ?

欺騙者必須復(fù)制將要欺騙的GNSS信號(hào)的RF載波，PRN /擴(kuò)頻碼和數(shù)據(jù)位。

以下是一個(gè)GNSS信號(hào)的公式：

其中N是組成擴(kuò)展碼的信號(hào)的數(shù)量，Ai是第i個(gè)信號(hào)的載波幅度，Di(t)是第i個(gè)信號(hào)的數(shù)據(jù)比特流，Ci(t)是其擴(kuò)展碼,通常為a BPSK PRN碼或BOC / PRN碼，τi(t)是第i個(gè)信號(hào)的編碼相位，ωc是標(biāo)稱(chēng)載波頻率，而Φi(t)是第i個(gè)拍頻載波相位。

以下是欺騙信號(hào)的公式：

一般來(lái)說(shuō)Ns=N，即，欺騙信號(hào)的數(shù)量等于真實(shí)信號(hào)的數(shù)量。為了欺騙接收器，每個(gè)欺騙信號(hào)必須具有與相應(yīng)的真實(shí)信號(hào)相同的擴(kuò)展碼Ci(t)，并且通常會(huì)廣播其對(duì)相同數(shù)據(jù)比特流Di(t)的最佳估計(jì)。對(duì)于i=1,...,Ns,欺騙幅度，編碼相位和載波相位分別為Asi，τsi(t)和Φsi(t)。這些數(shù)量可能與實(shí)際數(shù)量有所不同，原因是與所發(fā)起的攻擊類(lèi)型有關(guān)。

而在欺騙攻擊期間，接收器收到的總信號(hào)量是：

02 自洽式欺騙 ?

自洽式的欺騙一般用于欺騙考慮偽距殘差的傳統(tǒng)RAIM策略。其通過(guò)合成虛假的代碼相位，為潛在受騙接收器提供所期望的位置/時(shí)序，并保持較小的偽距殘差，合成錯(cuò)誤代碼相位階段所需的計(jì)算很簡(jiǎn)單，虛假的拍頻載波相位通常被設(shè)計(jì)為與虛假欺騙代碼相位一致地變化。否則，潛在受騙接收器可能會(huì)因不尋常的代碼/載波差異而發(fā)出警告，或者可能失去對(duì)欺騙信號(hào)的鎖定。

自洽式欺騙的主要難點(diǎn)是如何誘使?jié)撛谑茯_的接收器鎖定其提供的虛假信號(hào)。主要有兩種方法可以實(shí)現(xiàn)此目標(biāo)。

第一種是先干擾受害者，破壞他們?cè)日５男盘?hào)獲取并誘使他們嘗試重新獲得新的信號(hào)。如果欺騙信號(hào)功率明顯強(qiáng)于真實(shí)信號(hào)功率，則接收器將在信號(hào)重新獲取期間極有可能將其鎖定在欺騙信號(hào)上。

另一種方法是從低功率開(kāi)始發(fā)送虛假信號(hào)，以使它們?cè)谑芎邮掌?a target="_blank">天線的位置與真信號(hào)進(jìn)行碼相匹配和多普勒匹配。欺騙的功率開(kāi)始時(shí)較低，然后一直增加，直到足以捕獲跟蹤環(huán)路為止。最后，欺騙者以自洽的方式對(duì)受騙接收器完成了編碼相位和載波相位的欺騙。

03 信號(hào)干擾攻擊和估計(jì)并重放欺騙 ?

自洽式欺騙中描述的欺騙方式必須重新創(chuàng)建所要發(fā)送的擴(kuò)頻碼Ci(t)和發(fā)送的數(shù)據(jù)比特流Di(t)，如果它們是完全可預(yù)測(cè)的，則易于合成。但是往往增強(qiáng)的民用GNSS信號(hào)會(huì)采取正交調(diào)制的方式，利用擴(kuò)頻碼Ci(t)中短段不可預(yù)測(cè)的部分進(jìn)行保護(hù)。

在這種情況下，欺騙者的選擇之一是進(jìn)行信號(hào)干擾。信號(hào)干擾器像常規(guī)接收器一樣記錄真實(shí)的GNSS信號(hào)，并通過(guò)具有足夠增益的發(fā)射機(jī)重播信號(hào)，以淹沒(méi)受害接收器天線上的真實(shí)信號(hào)。欺騙者有可能欺騙任何GNSS信號(hào)，甚至是加密的軍事信號(hào)。

如果信號(hào)的不可預(yù)測(cè)部分僅在低速率Di(t)位中，則有可能在不進(jìn)行干擾的情況下完成欺騙。取而代之的是，欺騙者可以使用安全代碼估計(jì)和重播(SCER)攻擊：欺騙者通過(guò)估計(jì)不可預(yù)測(cè)的Di(t)位，并在獲得可靠估計(jì)后立即廣播它們。在廣播它們之前，它可以廣播這些位的隨機(jī)猜測(cè)或它自己的最佳估計(jì)。

04 高級(jí)形式欺騙 ?

這些高級(jí)的欺騙方法用于針對(duì)已開(kāi)發(fā)出來(lái)的用于應(yīng)對(duì)自洽性欺騙的各種防御策略。

一種高級(jí)技術(shù)稱(chēng)為清零。欺騙器針對(duì)每個(gè)欺騙信號(hào)發(fā)送兩個(gè)信號(hào)。一個(gè)是欺騙信號(hào)，它與所有其他欺騙信號(hào)協(xié)同作用，以引起錯(cuò)誤的位置/時(shí)序定位。另一個(gè)是真實(shí)信號(hào)的負(fù)值。用于在接收器處抵消真實(shí)信號(hào)。清零攻擊會(huì)刪除真實(shí)信號(hào)的所有跡線。然而當(dāng)下很多防御措施的原理都是通過(guò)尋找跡象，表明收到兩個(gè)來(lái)自同一顆衛(wèi)星的信號(hào)。他們可能會(huì)尋找在其編碼相位之間或載波多普勒頻移之間有足夠擴(kuò)展的不同信號(hào)?；蛘?，他們可能會(huì)尋找具有相似代碼相位和載波多普勒頻移的干擾信號(hào)。無(wú)論哪種情況，清零都會(huì)消除重復(fù)信號(hào)的所有跡象，依靠這些跡象的防御措施將會(huì)無(wú)法檢測(cè)此類(lèi)攻擊。

另一種是用于對(duì)抗擁有多天線受害接收器的高級(jí)欺騙。其可能會(huì)使用多個(gè)獨(dú)立的欺騙發(fā)射天線，并將每個(gè)天線匹配到相應(yīng)的接收器天線。而且，欺騙者必須足夠靠近受害者，并且要獲得以及充分縮小各個(gè)天線的增益方向圖，以便每個(gè)受害者天線僅接收來(lái)自欺騙者天線的信號(hào)。這種技術(shù)將使欺騙者能夠控制在受害者接收器不同天線處接收到的每個(gè)欺騙信號(hào)的拍頻載波相位在時(shí)間歷史之間的差異。

上述兩類(lèi)以及其他高級(jí)形式的欺騙通常不會(huì)太快地改變受害者的位置或時(shí)間。否則，受害者可以通過(guò)物理性質(zhì)來(lái)識(shí)別攻擊。如慣性測(cè)量單位（IMU）可以作為一種物理上的反欺騙檢測(cè)，其進(jìn)一步限制欺騙者欺騙導(dǎo)航的可能增長(zhǎng)率。如果增長(zhǎng)率高得令人懷疑，則無(wú)法用常規(guī)的IMU漂移水平來(lái)解釋這種異常。受害接收器時(shí)鐘偏移量的增長(zhǎng)也是如此。

05 同謀受害者欺騙 ? 潛在的受害者可能有理由幫助欺騙者。比如當(dāng)使用GNSS定位來(lái)強(qiáng)制執(zhí)行法律，法院命令或公司政策時(shí)，就是這種情況。例如，一名捕撈漁船的船長(zhǎng)可能在進(jìn)入受限的捕撈場(chǎng)地偷獵時(shí)，希望他的GNSS接收器錯(cuò)誤地報(bào)告他的位置。犯罪分子通過(guò)使用GNSS腳踝監(jiān)視器進(jìn)行軟禁時(shí)，可能希望該GNSS監(jiān)視器不要報(bào)告他的真實(shí)位置。對(duì)于同謀受害者，欺騙者更容易使用上面列出的某些類(lèi)型的欺騙攻擊方案。

GNSS防御類(lèi)型

01 防御技術(shù)概述 ?

欺騙防御是先檢測(cè)攻擊，然后再恢復(fù)經(jīng)過(guò)驗(yàn)證的真實(shí)位置/時(shí)序。當(dāng)前大部分反欺騙檢測(cè)都專(zhuān)注于檢測(cè)攻擊的部分，因此本節(jié)也主要介紹針對(duì)檢測(cè)攻擊的防御策略。所有基于接收器的欺騙檢測(cè)策略都依賴(lài)于以下兩種方法中的其中一種，或者兩者都依賴(lài)。

一種方法是檢測(cè)欺騙信號(hào)和真實(shí)信號(hào)間的差異。這些差異可以由潛在受害者的接收器檢測(cè)到。盡管公開(kāi)了民用GNSS信號(hào)公式，但除非有復(fù)雜且昂貴的工具，否則通常會(huì)有明顯的合成信號(hào)差異。

另一種方法是尋找真實(shí)信號(hào)和欺騙信號(hào)之間的相互作用。除了下述兩種情況，否則對(duì)于欺騙者來(lái)說(shuō)，交互是不可避免的。一種是無(wú)效攻擊。另一種情況是嚴(yán)重壓倒性攻擊。但是，一次過(guò)強(qiáng)的攻擊與真實(shí)信號(hào)的預(yù)期功率有明顯的不同。

02 基于高級(jí)信號(hào)處理技術(shù)的欺騙檢測(cè) ?

這類(lèi)技術(shù)是尋找在信號(hào)欺騙期間發(fā)生的失真或干擾，在載波幅度，編碼相位和載波相位中檢測(cè)不合理的跳躍，尤其是攻擊開(kāi)始時(shí)。

一種方法是使用接收功率監(jiān)視（RPM）。其以絕對(duì)比例查看總接收功率。這需要查看所有接收到的載波幅度值以及接收器RF前端的自動(dòng)增益控制（AGC）設(shè)定點(diǎn)。由于欺騙者需要實(shí)質(zhì)性的功率優(yōu)勢(shì)，因此，突然的功率躍變可能表示存在攻擊，尤其是當(dāng)增加幅度超過(guò)1或2dB時(shí)。

但其有方法適用的短暫性，因?yàn)榇祟?lèi)失真僅在初始拖拽欺騙期間。還有一種方法是基于信號(hào)處理的檢測(cè)技術(shù)，其可以在初始拖拽欺騙后很長(zhǎng)時(shí)間起作用。此技術(shù)不斷嘗試重新獲取其所有跟蹤信號(hào)。它在可能的代碼相位和載波多普勒頻移的整個(gè)范圍內(nèi)對(duì)每個(gè)信號(hào)執(zhí)行強(qiáng)力搜索。但是由于蠻力采集搜索，其給接收機(jī)帶來(lái)了沉重的信號(hào)處理負(fù)擔(dān)。

03 基于加密的欺騙檢測(cè) ?

這類(lèi)技術(shù)使用加密的方法來(lái)創(chuàng)建傳輸信號(hào)的不可預(yù)測(cè)部分，這些部分使欺騙者很難進(jìn)行上述估計(jì)并重放的欺騙。最強(qiáng)的防御措施是對(duì)整個(gè)擴(kuò)展碼Ci(t)進(jìn)行對(duì)稱(chēng)密鑰加密。

一種方法是使用對(duì)稱(chēng)加密。對(duì)稱(chēng)密鑰加密的GNSS信號(hào)可用于檢測(cè)民用GNSS接收器中的欺騙，而無(wú)需訪問(wèn)私鑰。不必將密鑰分發(fā)給民用接收器，而是利用開(kāi)放的民用擴(kuò)展碼與加密的軍事碼的已知關(guān)系。在GPS中，它們?cè)谕惠d波上正交調(diào)制。該方法下，接收器使用其民用代碼跟蹤系統(tǒng)記錄加密編碼的嘈雜基帶版本。這是在潛在的受害人接收器和另一個(gè)可以防止欺騙的接收器上完成的。然后將加密代碼的兩個(gè)嘈雜版本相互作用，以尋找如果潛在受害者中的信號(hào)是真實(shí)的將存在的相關(guān)峰值。如果相關(guān)峰值很高，則表明信號(hào)是真實(shí)的；否則會(huì)發(fā)出警報(bào)。

但是它需要一個(gè)安全的接收器網(wǎng)絡(luò)來(lái)生成加密代碼的嘈雜“真實(shí)”版本。它還需要一個(gè)安全的通信網(wǎng)絡(luò)，以將加密代碼的真實(shí)和未經(jīng)驗(yàn)證的版本帶到可以執(zhí)行所需相關(guān)性以檢查信號(hào)真實(shí)性的公共信號(hào)處理單元。

另一種是使用延遲對(duì)稱(chēng)密鑰加密方法。它在擴(kuò)展碼中將對(duì)稱(chēng)加密的擴(kuò)頻安全碼（SSSC）的短段與可預(yù)測(cè)的擴(kuò)展碼的長(zhǎng)段交織在一起。接收器使用已知部分來(lái)追蹤信號(hào)，并記錄未知部分。廣播了不可預(yù)測(cè)的SSSC之后不久，一個(gè)包含密鑰的比特流數(shù)據(jù)到達(dá)，該數(shù)據(jù)可用于生成SSSC。密鑰是經(jīng)過(guò)數(shù)字簽名的，因此可以可靠地追溯到相關(guān)的GNSS控制段。驗(yàn)證后，將密鑰用于合成未知的擴(kuò)展碼，并且接收器將此代碼與其記錄的信號(hào)部分相關(guān)聯(lián)，以驗(yàn)證信號(hào)的真實(shí)性。

但是該系統(tǒng)在等待完整的數(shù)字簽名時(shí)會(huì)涉及大量的檢測(cè)延遲，可能需要幾秒鐘到幾分鐘的等待時(shí)間。

還有一種是非對(duì)稱(chēng)私鑰/公鑰方法——導(dǎo)航消息身份驗(yàn)證（NMA）。廣播數(shù)據(jù)流Di(t)的子集包含使用控制段的私鑰生成的不可預(yù)測(cè)的數(shù)字簽名。此簽名在Di(t)中簽署其余數(shù)據(jù)。接收器知道解調(diào)數(shù)據(jù)流中這些位的位置。它收集檢查簽名所需的全部數(shù)字，并使用已知的公鑰對(duì)其進(jìn)行驗(yàn)證。延遲對(duì)稱(chēng)密鑰SSSC方法和非對(duì)稱(chēng)私鑰/公鑰NMA方法的實(shí)現(xiàn)都需要對(duì)衛(wèi)星信號(hào)進(jìn)行修改。對(duì)于現(xiàn)有的GNSS衛(wèi)星而言，這是困難的或不可能的，對(duì)于未來(lái)的衛(wèi)星而言，這是昂貴的。

NMA方法可能需要其他技術(shù)來(lái)應(yīng)對(duì)基于security code estimation and replay（SCER）的攻擊。在這種攻擊中，欺騙者迅速估計(jì)比特?cái)?shù)據(jù)流的不可預(yù)測(cè)的比特。

04 基于漂移的欺騙檢測(cè) ?

此類(lèi)防御措施旨在尋找接收機(jī)位置或時(shí)鐘的異常變化。如果欺騙導(dǎo)致接收器時(shí)鐘誤差變化過(guò)快，則受害接收器可以檢測(cè)到時(shí)鐘漂移率大于其振蕩器類(lèi)別的合理值。IMU或其他運(yùn)動(dòng)傳感器可對(duì)位置的合理漂移率施加類(lèi)似的約束。同樣車(chē)輛的滾動(dòng)約束，以及其已知的速度，加速度和轉(zhuǎn)彎率最大值都可以用來(lái)檢查是否存在過(guò)度漂移。與時(shí)鐘漂移一樣，如果檢測(cè)到不真實(shí)的運(yùn)動(dòng)軌跡，接收器將發(fā)出欺騙警報(bào)。

但是欺騙者可以通過(guò)緩慢建立錯(cuò)誤時(shí)鐘偏移和錯(cuò)誤位置，避免被漂移檢測(cè)方法檢測(cè)到。

05 基于信號(hào)/地理位置的欺騙檢測(cè) ?

此類(lèi)技術(shù)通過(guò)考慮接收到的拍頻載波相位來(lái)監(jiān)視信號(hào)的到達(dá)方向。如圖所示，接收器可以使用干涉測(cè)量法，通過(guò)使用3個(gè)或更多具有不同Δd偏移量的天線或通過(guò)使用已知Δd(t)運(yùn)動(dòng)曲線的單個(gè)天線來(lái)測(cè)量到達(dá)矢量的方向。設(shè)計(jì)良好的接收器通常可以將Φi測(cè)量到約1/40周期的精度。這樣，接收器可以?xún)H使用Δd=0.1m的短基線來(lái)將ρi測(cè)量到約3°的精度。在常規(guī)的情況下，ρi方向向量在天空周?chē)植肌Ｈ欢?jiǎn)單低成本的欺騙者將從同一方向廣播其所有信號(hào)。一個(gè)典型的基于幾何的欺騙檢測(cè)系統(tǒng)，測(cè)試在多個(gè)天線上接收到的Φi相是否與真實(shí)信號(hào)所期望的ρi方向的多樣性更一致，還是與來(lái)自同一方向的單發(fā)射器欺騙更一致。

06 多重欺騙檢測(cè)互補(bǔ)策略 ?

欺騙者可以選擇使用較高的載波幅度，以避免在drag-off過(guò)程中復(fù)雜相關(guān)函數(shù)的明顯失真。如果防御對(duì)象在實(shí)施RPM時(shí)，在許多階段檢查了復(fù)雜相關(guān)，那么它就可以檢測(cè)到攻擊的開(kāi)始，而不管欺騙者使用了多少功率。如果還監(jiān)視了時(shí)鐘偏移漂移率和位置漂移率，則將迫使欺騙者執(zhí)行緩慢的drag-off操作，從而使接收器有更多的時(shí)間來(lái)檢測(cè)復(fù)雜相關(guān)函數(shù)的失真或接收功率電平過(guò)高。

另一種組合策略是使用NMA的不可預(yù)測(cè)的數(shù)據(jù)位，監(jiān)視那些位的失真，IMU和時(shí)鐘漂移監(jiān)視。IMU和時(shí)鐘漂移監(jiān)控將迫使欺騙者緩慢發(fā)起攻擊，這種限制將防止在基于NMA的欺騙檢測(cè)的潛伏期中形成危險(xiǎn)的位置或定時(shí)錯(cuò)誤。如果欺騙者實(shí)施SCER攻擊以估計(jì)和重放不可預(yù)測(cè)的NMA位，則受害者將能夠檢測(cè)到這些位的初始不確定性，因?yàn)闀r(shí)鐘漂移監(jiān)控將限制欺騙者使用延遲的初始能力，該延遲將允許在開(kāi)始廣播之前對(duì)比特進(jìn)行可靠的估計(jì)。

攻擊/防御方式總結(jié)與比較

并非所有防御都對(duì)所有攻擊方式都同樣有效，反之亦然。并非所有防御措施或攻擊方式的實(shí)施成本都相同。在威脅的角度上看，一種低成本的攻擊模式（就所需的設(shè)備和專(zhuān)業(yè)知識(shí)而言）會(huì)是主流的攻擊方式。因此，接收器設(shè)計(jì)者希望使用最便宜的技術(shù)來(lái)抵御最多數(shù)量的低成本攻擊模式。此外，根據(jù)應(yīng)用程序所需的安全性和接收器成本預(yù)算，設(shè)計(jì)人員可以選擇防御其他攻擊模式的技術(shù)。

下圖根據(jù)相對(duì)成本對(duì)本文討論的各種攻擊模式和防御技術(shù)進(jìn)行排名，其中攻擊和檢測(cè)技術(shù)按從左到右（攻擊）和從上到下（檢測(cè)）的增加成本排序。表格內(nèi)容中，“√”指相應(yīng)攻擊/檢測(cè)對(duì)的檢測(cè)概率高，“～”指依賴(lài)于具體情況，“X”指檢測(cè)概率低。