關(guān)于GNSS欺騙技術(shù)，哪些防御技術(shù)對哪些攻擊技術(shù)有效

眾所周知，全球?qū)Ш叫l(wèi)星信號可能被虛假信號所欺騙，但是一些接收器可以提供針對此類攻擊的防御措施。隨著欺騙技術(shù)的發(fā)展，我們需要了解欺騙可能的攻擊方式以及相對應(yīng)防御的方式的特性。本文主要介紹了當(dāng)下主流的攻擊方法和防御方法，并記錄了哪些防御技術(shù)對哪些攻擊技術(shù)有效。最后，本文給出了一個(gè)攻擊/防御技術(shù)的表格，其描述了從完全沒有反欺騙功能到擁有各種反欺騙技術(shù)的不同情況，其中一部分以很少的成本增加了重要的安全性，而另一部分則增加了更多的安全性，但成本較高。

GNSS欺騙概述

對全球?qū)Ш叫l(wèi)星系統(tǒng)（GNSS）信號的欺騙實(shí)質(zhì)上是將虛假的欺騙信號進(jìn)行廣播，目的是使受害接收器將其誤解為真實(shí)信號。受害者可能計(jì)算出錯(cuò)誤的位置、錯(cuò)誤的時(shí)鐘偏移或兩者都有。錯(cuò)誤位置或錯(cuò)誤時(shí)間的計(jì)算結(jié)果，可能會(huì)誘發(fā)危險(xiǎn)行為。例如，2011年伊朗通過全球定位系統(tǒng)（GPS）欺騙劫持美國CIA的一架無人機(jī)，而該無人機(jī)本將預(yù)定在阿富汗降落。2015年一個(gè)功能齊全的GPS信號模擬器軟件在github上開源，人們可以通過下載該軟件，并部署在許多商用級別的射頻前端上，低成本的實(shí)現(xiàn)GNSS信號欺騙。

?

GNSS反欺騙技術(shù)則是試圖檢測攻擊，以警告受害者其導(dǎo)航和時(shí)鐘不可靠。而防御的第二個(gè)目標(biāo)是恢復(fù)可靠的導(dǎo)航和計(jì)時(shí)解決方案。具有接收機(jī)自主完整性監(jiān)測技術(shù)（RAIM）的接收器會(huì)采用冗余信號產(chǎn)生多個(gè)GPS定位并對其進(jìn)行比較，根據(jù)統(tǒng)計(jì)方法確定故障是否與某個(gè)信號有關(guān)。但是在2001年，美國的volpe center就已經(jīng)發(fā)出警告，有一些欺騙方式可能會(huì)超越其防御能力。

GNSS欺騙類型

01 欺騙攻擊概述 ?

欺騙者必須復(fù)制將要欺騙的GNSS信號的RF載波，PRN /擴(kuò)頻碼和數(shù)據(jù)位。

以下是一個(gè)GNSS信號的公式：

其中N是組成擴(kuò)展碼的信號的數(shù)量，Ai是第i個(gè)信號的載波幅度，Di(t)是第i個(gè)信號的數(shù)據(jù)比特流，Ci(t)是其擴(kuò)展碼,通常為a BPSK PRN碼或BOC / PRN碼，τi(t)是第i個(gè)信號的編碼相位，ωc是標(biāo)稱載波頻率，而Φi(t)是第i個(gè)拍頻載波相位。

以下是欺騙信號的公式：

一般來說Ns=N，即，欺騙信號的數(shù)量等于真實(shí)信號的數(shù)量。為了欺騙接收器，每個(gè)欺騙信號必須具有與相應(yīng)的真實(shí)信號相同的擴(kuò)展碼Ci(t)，并且通常會(huì)廣播其對相同數(shù)據(jù)比特流Di(t)的最佳估計(jì)。對于i=1,...,Ns,欺騙幅度，編碼相位和載波相位分別為Asi，τsi(t)和Φsi(t)。這些數(shù)量可能與實(shí)際數(shù)量有所不同，原因是與所發(fā)起的攻擊類型有關(guān)。

而在欺騙攻擊期間，接收器收到的總信號量是：

02 自洽式欺騙 ?

自洽式的欺騙一般用于欺騙考慮偽距殘差的傳統(tǒng)RAIM策略。其通過合成虛假的代碼相位，為潛在受騙接收器提供所期望的位置/時(shí)序，并保持較小的偽距殘差，合成錯(cuò)誤代碼相位階段所需的計(jì)算很簡單，虛假的拍頻載波相位通常被設(shè)計(jì)為與虛假欺騙代碼相位一致地變化。否則，潛在受騙接收器可能會(huì)因不尋常的代碼/載波差異而發(fā)出警告，或者可能失去對欺騙信號的鎖定。

自洽式欺騙的主要難點(diǎn)是如何誘使?jié)撛谑茯_的接收器鎖定其提供的虛假信號。主要有兩種方法可以實(shí)現(xiàn)此目標(biāo)。

第一種是先干擾受害者，破壞他們原先正常的信號獲取并誘使他們嘗試重新獲得新的信號。如果欺騙信號功率明顯強(qiáng)于真實(shí)信號功率，則接收器將在信號重新獲取期間極有可能將其鎖定在欺騙信號上。

另一種方法是從低功率開始發(fā)送虛假信號，以使它們在受害接收器天線的位置與真信號進(jìn)行碼相匹配和多普勒匹配。欺騙的功率開始時(shí)較低，然后一直增加，直到足以捕獲跟蹤環(huán)路為止。最后，欺騙者以自洽的方式對受騙接收器完成了編碼相位和載波相位的欺騙。

03 信號干擾攻擊和估計(jì)并重放欺騙 ?

自洽式欺騙中描述的欺騙方式必須重新創(chuàng)建所要發(fā)送的擴(kuò)頻碼Ci(t)和發(fā)送的數(shù)據(jù)比特流Di(t)，如果它們是完全可預(yù)測的，則易于合成。但是往往增強(qiáng)的民用GNSS信號會(huì)采取正交調(diào)制的方式，利用擴(kuò)頻碼Ci(t)中短段不可預(yù)測的部分進(jìn)行保護(hù)。

在這種情況下，欺騙者的選擇之一是進(jìn)行信號干擾。信號干擾器像常規(guī)接收器一樣記錄真實(shí)的GNSS信號，并通過具有足夠增益的發(fā)射機(jī)重播信號，以淹沒受害接收器天線上的真實(shí)信號。欺騙者有可能欺騙任何GNSS信號，甚至是加密的軍事信號。

如果信號的不可預(yù)測部分僅在低速率Di(t)位中，則有可能在不進(jìn)行干擾的情況下完成欺騙。取而代之的是，欺騙者可以使用安全代碼估計(jì)和重播(SCER)攻擊：欺騙者通過估計(jì)不可預(yù)測的Di(t)位，并在獲得可靠估計(jì)后立即廣播它們。在廣播它們之前，它可以廣播這些位的隨機(jī)猜測或它自己的最佳估計(jì)。

04 高級形式欺騙 ?

這些高級的欺騙方法用于針對已開發(fā)出來的用于應(yīng)對自洽性欺騙的各種防御策略。

一種高級技術(shù)稱為清零。欺騙器針對每個(gè)欺騙信號發(fā)送兩個(gè)信號。一個(gè)是欺騙信號，它與所有其他欺騙信號協(xié)同作用，以引起錯(cuò)誤的位置/時(shí)序定位。另一個(gè)是真實(shí)信號的負(fù)值。用于在接收器處抵消真實(shí)信號。清零攻擊會(huì)刪除真實(shí)信號的所有跡線。然而當(dāng)下很多防御措施的原理都是通過尋找跡象，表明收到兩個(gè)來自同一顆衛(wèi)星的信號。他們可能會(huì)尋找在其編碼相位之間或載波多普勒頻移之間有足夠擴(kuò)展的不同信號?；蛘撸麄兛赡軙?huì)尋找具有相似代碼相位和載波多普勒頻移的干擾信號。無論哪種情況，清零都會(huì)消除重復(fù)信號的所有跡象，依靠這些跡象的防御措施將會(huì)無法檢測此類攻擊。

另一種是用于對抗擁有多天線受害接收器的高級欺騙。其可能會(huì)使用多個(gè)獨(dú)立的欺騙發(fā)射天線，并將每個(gè)天線匹配到相應(yīng)的接收器天線。而且，欺騙者必須足夠靠近受害者，并且要獲得以及充分縮小各個(gè)天線的增益方向圖，以便每個(gè)受害者天線僅接收來自欺騙者天線的信號。這種技術(shù)將使欺騙者能夠控制在受害者接收器不同天線處接收到的每個(gè)欺騙信號的拍頻載波相位在時(shí)間歷史之間的差異。

上述兩類以及其他高級形式的欺騙通常不會(huì)太快地改變受害者的位置或時(shí)間。否則，受害者可以通過物理性質(zhì)來識別攻擊。如慣性測量單位（IMU）可以作為一種物理上的反欺騙檢測，其進(jìn)一步限制欺騙者欺騙導(dǎo)航的可能增長率。如果增長率高得令人懷疑，則無法用常規(guī)的IMU漂移水平來解釋這種異常。受害接收器時(shí)鐘偏移量的增長也是如此。

05 同謀受害者欺騙 ? 潛在的受害者可能有理由幫助欺騙者。比如當(dāng)使用GNSS定位來強(qiáng)制執(zhí)行法律，法院命令或公司政策時(shí)，就是這種情況。例如，一名捕撈漁船的船長可能在進(jìn)入受限的捕撈場地偷獵時(shí)，希望他的GNSS接收器錯(cuò)誤地報(bào)告他的位置。犯罪分子通過使用GNSS腳踝監(jiān)視器進(jìn)行軟禁時(shí)，可能希望該GNSS監(jiān)視器不要報(bào)告他的真實(shí)位置。對于同謀受害者，欺騙者更容易使用上面列出的某些類型的欺騙攻擊方案。

GNSS防御類型

01 防御技術(shù)概述 ?

欺騙防御是先檢測攻擊，然后再恢復(fù)經(jīng)過驗(yàn)證的真實(shí)位置/時(shí)序。當(dāng)前大部分反欺騙檢測都專注于檢測攻擊的部分，因此本節(jié)也主要介紹針對檢測攻擊的防御策略。所有基于接收器的欺騙檢測策略都依賴于以下兩種方法中的其中一種，或者兩者都依賴。

一種方法是檢測欺騙信號和真實(shí)信號間的差異。這些差異可以由潛在受害者的接收器檢測到。盡管公開了民用GNSS信號公式，但除非有復(fù)雜且昂貴的工具，否則通常會(huì)有明顯的合成信號差異。

另一種方法是尋找真實(shí)信號和欺騙信號之間的相互作用。除了下述兩種情況，否則對于欺騙者來說，交互是不可避免的。一種是無效攻擊。另一種情況是嚴(yán)重壓倒性攻擊。但是，一次過強(qiáng)的攻擊與真實(shí)信號的預(yù)期功率有明顯的不同。

02 基于高級信號處理技術(shù)的欺騙檢測 ?

這類技術(shù)是尋找在信號欺騙期間發(fā)生的失真或干擾，在載波幅度，編碼相位和載波相位中檢測不合理的跳躍，尤其是攻擊開始時(shí)。

一種方法是使用接收功率監(jiān)視（RPM）。其以絕對比例查看總接收功率。這需要查看所有接收到的載波幅度值以及接收器RF前端的自動(dòng)增益控制（AGC）設(shè)定點(diǎn)。由于欺騙者需要實(shí)質(zhì)性的功率優(yōu)勢，因此，突然的功率躍變可能表示存在攻擊，尤其是當(dāng)增加幅度超過1或2dB時(shí)。

但其有方法適用的短暫性，因?yàn)榇祟愂д鎯H在初始拖拽欺騙期間。還有一種方法是基于信號處理的檢測技術(shù)，其可以在初始拖拽欺騙后很長時(shí)間起作用。此技術(shù)不斷嘗試重新獲取其所有跟蹤信號。它在可能的代碼相位和載波多普勒頻移的整個(gè)范圍內(nèi)對每個(gè)信號執(zhí)行強(qiáng)力搜索。但是由于蠻力采集搜索，其給接收機(jī)帶來了沉重的信號處理負(fù)擔(dān)。

03 基于加密的欺騙檢測 ?

這類技術(shù)使用加密的方法來創(chuàng)建傳輸信號的不可預(yù)測部分，這些部分使欺騙者很難進(jìn)行上述估計(jì)并重放的欺騙。最強(qiáng)的防御措施是對整個(gè)擴(kuò)展碼Ci(t)進(jìn)行對稱密鑰加密。

一種方法是使用對稱加密。對稱密鑰加密的GNSS信號可用于檢測民用GNSS接收器中的欺騙，而無需訪問私鑰。不必將密鑰分發(fā)給民用接收器，而是利用開放的民用擴(kuò)展碼與加密的軍事碼的已知關(guān)系。在GPS中，它們在同一載波上正交調(diào)制。該方法下，接收器使用其民用代碼跟蹤系統(tǒng)記錄加密編碼的嘈雜基帶版本。這是在潛在的受害人接收器和另一個(gè)可以防止欺騙的接收器上完成的。然后將加密代碼的兩個(gè)嘈雜版本相互作用，以尋找如果潛在受害者中的信號是真實(shí)的將存在的相關(guān)峰值。如果相關(guān)峰值很高，則表明信號是真實(shí)的；否則會(huì)發(fā)出警報(bào)。

但是它需要一個(gè)安全的接收器網(wǎng)絡(luò)來生成加密代碼的嘈雜“真實(shí)”版本。它還需要一個(gè)安全的通信網(wǎng)絡(luò)，以將加密代碼的真實(shí)和未經(jīng)驗(yàn)證的版本帶到可以執(zhí)行所需相關(guān)性以檢查信號真實(shí)性的公共信號處理單元。

另一種是使用延遲對稱密鑰加密方法。它在擴(kuò)展碼中將對稱加密的擴(kuò)頻安全碼（SSSC）的短段與可預(yù)測的擴(kuò)展碼的長段交織在一起。接收器使用已知部分來追蹤信號，并記錄未知部分。廣播了不可預(yù)測的SSSC之后不久，一個(gè)包含密鑰的比特流數(shù)據(jù)到達(dá)，該數(shù)據(jù)可用于生成SSSC。密鑰是經(jīng)過數(shù)字簽名的，因此可以可靠地追溯到相關(guān)的GNSS控制段。驗(yàn)證后，將密鑰用于合成未知的擴(kuò)展碼，并且接收器將此代碼與其記錄的信號部分相關(guān)聯(lián)，以驗(yàn)證信號的真實(shí)性。

但是該系統(tǒng)在等待完整的數(shù)字簽名時(shí)會(huì)涉及大量的檢測延遲，可能需要幾秒鐘到幾分鐘的等待時(shí)間。

還有一種是非對稱私鑰/公鑰方法——導(dǎo)航消息身份驗(yàn)證（NMA）。廣播數(shù)據(jù)流Di(t)的子集包含使用控制段的私鑰生成的不可預(yù)測的數(shù)字簽名。此簽名在Di(t)中簽署其余數(shù)據(jù)。接收器知道解調(diào)數(shù)據(jù)流中這些位的位置。它收集檢查簽名所需的全部數(shù)字，并使用已知的公鑰對其進(jìn)行驗(yàn)證。延遲對稱密鑰SSSC方法和非對稱私鑰/公鑰NMA方法的實(shí)現(xiàn)都需要對衛(wèi)星信號進(jìn)行修改。對于現(xiàn)有的GNSS衛(wèi)星而言，這是困難的或不可能的，對于未來的衛(wèi)星而言，這是昂貴的。

NMA方法可能需要其他技術(shù)來應(yīng)對基于security code estimation and replay（SCER）的攻擊。在這種攻擊中，欺騙者迅速估計(jì)比特?cái)?shù)據(jù)流的不可預(yù)測的比特。

04 基于漂移的欺騙檢測 ?

此類防御措施旨在尋找接收機(jī)位置或時(shí)鐘的異常變化。如果欺騙導(dǎo)致接收器時(shí)鐘誤差變化過快，則受害接收器可以檢測到時(shí)鐘漂移率大于其振蕩器類別的合理值。IMU或其他運(yùn)動(dòng)傳感器可對位置的合理漂移率施加類似的約束。同樣車輛的滾動(dòng)約束，以及其已知的速度，加速度和轉(zhuǎn)彎率最大值都可以用來檢查是否存在過度漂移。與時(shí)鐘漂移一樣，如果檢測到不真實(shí)的運(yùn)動(dòng)軌跡，接收器將發(fā)出欺騙警報(bào)。

但是欺騙者可以通過緩慢建立錯(cuò)誤時(shí)鐘偏移和錯(cuò)誤位置，避免被漂移檢測方法檢測到。

05 基于信號/地理位置的欺騙檢測 ?

此類技術(shù)通過考慮接收到的拍頻載波相位來監(jiān)視信號的到達(dá)方向。如圖所示，接收器可以使用干涉測量法，通過使用3個(gè)或更多具有不同Δd偏移量的天線或通過使用已知Δd(t)運(yùn)動(dòng)曲線的單個(gè)天線來測量到達(dá)矢量的方向。設(shè)計(jì)良好的接收器通?？梢詫ⅵ礽測量到約1/40周期的精度。這樣，接收器可以僅使用Δd=0.1m的短基線來將ρi測量到約3°的精度。在常規(guī)的情況下，ρi方向向量在天空周圍分布。然而簡單低成本的欺騙者將從同一方向廣播其所有信號。一個(gè)典型的基于幾何的欺騙檢測系統(tǒng)，測試在多個(gè)天線上接收到的Φi相是否與真實(shí)信號所期望的ρi方向的多樣性更一致，還是與來自同一方向的單發(fā)射器欺騙更一致。

06 多重欺騙檢測互補(bǔ)策略 ?

欺騙者可以選擇使用較高的載波幅度，以避免在drag-off過程中復(fù)雜相關(guān)函數(shù)的明顯失真。如果防御對象在實(shí)施RPM時(shí)，在許多階段檢查了復(fù)雜相關(guān)，那么它就可以檢測到攻擊的開始，而不管欺騙者使用了多少功率。如果還監(jiān)視了時(shí)鐘偏移漂移率和位置漂移率，則將迫使欺騙者執(zhí)行緩慢的drag-off操作，從而使接收器有更多的時(shí)間來檢測復(fù)雜相關(guān)函數(shù)的失真或接收功率電平過高。

另一種組合策略是使用NMA的不可預(yù)測的數(shù)據(jù)位，監(jiān)視那些位的失真，IMU和時(shí)鐘漂移監(jiān)視。IMU和時(shí)鐘漂移監(jiān)控將迫使欺騙者緩慢發(fā)起攻擊，這種限制將防止在基于NMA的欺騙檢測的潛伏期中形成危險(xiǎn)的位置或定時(shí)錯(cuò)誤。如果欺騙者實(shí)施SCER攻擊以估計(jì)和重放不可預(yù)測的NMA位，則受害者將能夠檢測到這些位的初始不確定性，因?yàn)闀r(shí)鐘漂移監(jiān)控將限制欺騙者使用延遲的初始能力，該延遲將允許在開始廣播之前對比特進(jìn)行可靠的估計(jì)。

攻擊/防御方式總結(jié)與比較

并非所有防御都對所有攻擊方式都同樣有效，反之亦然。并非所有防御措施或攻擊方式的實(shí)施成本都相同。在威脅的角度上看，一種低成本的攻擊模式（就所需的設(shè)備和專業(yè)知識而言）會(huì)是主流的攻擊方式。因此，接收器設(shè)計(jì)者希望使用最便宜的技術(shù)來抵御最多數(shù)量的低成本攻擊模式。此外，根據(jù)應(yīng)用程序所需的安全性和接收器成本預(yù)算，設(shè)計(jì)人員可以選擇防御其他攻擊模式的技術(shù)。

下圖根據(jù)相對成本對本文討論的各種攻擊模式和防御技術(shù)進(jìn)行排名，其中攻擊和檢測技術(shù)按從左到右（攻擊）和從上到下（檢測）的增加成本排序。表格內(nèi)容中，“√”指相應(yīng)攻擊/檢測對的檢測概率高，“～”指依賴于具體情況，“X”指檢測概率低。

fqj