如何應(yīng)對(duì)GNSS/GPS欺騙？GPS/GNSS防欺騙測(cè)試

背景

全球?qū)Ш叫l(wèi)星系統(tǒng)的信號(hào)欺騙包括在真實(shí)的GNSS信號(hào)上廣播虛假信號(hào)，來對(duì)繼續(xù)跟蹤錯(cuò)誤信號(hào)的GNSS接收器進(jìn)行控制。GNSS對(duì)這種類型的攻擊非常敏感，地球表面的衛(wèi)星信號(hào)很弱，而且這些信號(hào)是公開且不受保護(hù)的。成功的欺騙攻擊包括在不讓接收方注意到攻擊的情況下來對(duì)其進(jìn)行控制，攻擊的目的是引入錯(cuò)誤的位置和/或時(shí)間結(jié)果。

欺騙與干擾的不同之處在于，成功的攻擊不會(huì)被接收者發(fā)現(xiàn)，而成功被干擾的接收機(jī)通常會(huì)丟失其計(jì)算的位置/速度/時(shí)間（PVT）結(jié)果，這很容易被設(shè)備本身或主系統(tǒng)檢測(cè)到。

對(duì)于關(guān)鍵系統(tǒng)，有對(duì)應(yīng)的解決方案可以解決缺少GNSS結(jié)果的情況，通過實(shí)踐，干擾得到了比較好的解釋，且不會(huì)帶來嚴(yán)重影響。然而，成功的欺騙攻擊可能會(huì)在沒有任何保護(hù)機(jī)制的情況下使接收器產(chǎn)生錯(cuò)誤，比如欺騙飛機(jī)、銀行系統(tǒng)或電網(wǎng)都可能帶來嚴(yán)重的災(zāi)難性后果。

作為第一步，防欺騙接收器應(yīng)檢測(cè)到攻擊，第二步，能夠恢復(fù)真實(shí)的GNSS計(jì)算結(jié)果。然而因?yàn)槠垓_攻擊的復(fù)雜性比干擾更高，對(duì)GNSS接收器的保護(hù)一直以來都是在得到結(jié)果之后才進(jìn)行。如今，低價(jià)且功能強(qiáng)大的軟件無(wú)線電（SDR）設(shè)備越來越流行，這不需要再像往常一樣花費(fèi)高價(jià)購(gòu)買GNSS星座模擬器，或者自己開發(fā)復(fù)雜的設(shè)備來進(jìn)行有效的欺騙攻擊。

因此，GNSS接收器的每個(gè)制造商或集成商都應(yīng)在其認(rèn)證過程中進(jìn)行穩(wěn)健的防欺騙測(cè)試，這些測(cè)試需要在GNSS模擬器的幫助下進(jìn)行，虹科Skydel GNSS模擬器旨在實(shí)現(xiàn)不同類型的場(chǎng)景模擬。

本文介紹了在受控環(huán)境中對(duì)車輛執(zhí)行欺騙攻擊的過程，以便在這種情況下測(cè)試接收器的魯棒性。還可以同時(shí)進(jìn)行其他測(cè)試，例如，測(cè)試基于時(shí)間的欺騙攻擊的魯棒性。

注意：本文僅限于解釋如何評(píng)估接收器通過模擬GNSS信號(hào)抵抗和克服欺騙的能力，但并未提供欺騙實(shí)際GNSS信號(hào)的方法。

解決方案

下文中演示了如何對(duì)從A點(diǎn)行駛到C點(diǎn)的車輛執(zhí)行欺騙攻擊。在軌跡期間，欺騙者將嘗試控制車輛的GNSS接收器，以將車輛帶到D點(diǎn)。軌跡分裂發(fā)生在B點(diǎn)——接近場(chǎng)景中點(diǎn)——并且攻擊發(fā)生在分離之前。獲取對(duì)接收器的控制包括發(fā)送相同的GNSS信號(hào)，因?yàn)樵诜蛛x之前，軌跡是相同的，但初始延遲很小。

在模擬過程中，這種延遲會(huì)減小，直到真實(shí)和偽造的GNSS信號(hào)重疊。在這一刻，欺騙攻擊成功，欺騙者控制了接收機(jī)，并與真實(shí)的GNSS信號(hào)分離。

由于跟蹤多個(gè)星座通常被認(rèn)為是一種有效防止欺騙的保護(hù)措施，在以下模式下評(píng)估這種情況：

1. GPS模式下的GNSS接收機(jī)和GPS模式下傳輸?shù)钠垓_器；
2. GPS/Galileo模式下的GNSS接收器和僅在GPS模式下傳輸?shù)钠垓_器；
3. GPS/Galileo模式下的GNSS接收機(jī)和GPS/Galileo模式下傳輸?shù)钠垓_器；
4. 如果接收器不偏離其軌跡并繼續(xù)指向C點(diǎn)，則被認(rèn)為是能夠完全抵抗攻擊的。

當(dāng)受到攻擊時(shí)，GNSS接收器極有可能計(jì)算出幾米的臨時(shí)PVT誤差，如果接收器繼續(xù)跟蹤真實(shí)信號(hào)，這種幅度的誤差是可以接受的。然而，如果接收器的軌跡繼續(xù)朝向D點(diǎn)，且未發(fā)出警報(bào)，則認(rèn)為接收器易受攻擊。（注：在這種情況下測(cè)試的GNSS接收器沒有欺騙警報(bào)）

測(cè)試設(shè)置

下圖顯示了用于此欺騙測(cè)試的配置：

具有虹科Skydel模擬器的PC連接到兩臺(tái)無(wú)線電設(shè)備上，其中一個(gè)主設(shè)備代表真實(shí)的GNSS信號(hào)，而另一個(gè)從設(shè)備代表欺騙器。在這里使用的是虹科Skydel模擬器最強(qiáng)大的功能之一，它能夠同步任意多個(gè)無(wú)線電設(shè)備（一個(gè)主設(shè)備和任意多個(gè)從設(shè)備），足以將公共1PPS和10MHz信號(hào)分配到每個(gè)設(shè)備上，在這種情況下，信號(hào)由一個(gè)八時(shí)鐘精度時(shí)鐘提供。每個(gè)無(wú)線電設(shè)備由一臺(tái)單獨(dú)的PC上運(yùn)行虹科Skydel進(jìn)行控制，如果PC的功能不足以并行運(yùn)行兩個(gè)多星座模擬，則可以在兩臺(tái)遠(yuǎn)程PC之間進(jìn)行同步。

然后，來自兩個(gè)設(shè)備的GNSS信號(hào)被合并發(fā)送到GNSS接收機(jī)，接收機(jī)通過USB連接到PC，以便在虹科Skydel模擬器中查看其位置。

測(cè)試結(jié)果

下圖表示接收機(jī)位置和真實(shí)模擬位置（藍(lán)色）之間的位置誤差，接收機(jī)位置和欺騙位置（紅色）之間的位置誤差。對(duì)結(jié)果的分析表明，使用GPS欺騙器欺騙GPS成功的位置為：

1. 在t=0s和t=300s之間，信號(hào)之間的誤差最小，這表明接收器正確跟蹤真實(shí)信號(hào)；
2. t=300s左右，即欺騙器能夠控制接收機(jī)的時(shí)刻，接管是成功的，因?yàn)楫?dāng)真實(shí)信號(hào)的錯(cuò)誤增加時(shí)，欺騙的錯(cuò)誤減少。值得注意的是，在過渡時(shí)，實(shí)際信號(hào)誤差在穩(wěn)定前達(dá)到50m。從接收者的角度來看，接管不是完全透明的，可以通過特定的算法進(jìn)行檢測(cè)；
3. 從t=660s開始，兩條軌跡發(fā)生分歧，毫無(wú)疑問，欺騙器已經(jīng)實(shí)現(xiàn)了控制目標(biāo)。

在第二次測(cè)試中，接收機(jī)跟蹤GPS和Galileo信號(hào)，而欺騙器僅在GPS模式下工作。可以在這里看到，相對(duì)于實(shí)際位置，誤差保持最小，而相對(duì)于偽造位置，誤差要高得多。詳細(xì)分析表明，在Galileo信號(hào)保持真實(shí)和穩(wěn)定的情況下，GPS的有效性變化顯著?？傊?，雙星座方法提供了相對(duì)有效的保護(hù)，防止了簡(jiǎn)單的欺騙。

在最后的測(cè)試中，接收機(jī)同樣跟蹤真實(shí)的和偽造的GPS/Galileo信號(hào)。結(jié)果與第一次測(cè)試的結(jié)果相似，在第一次測(cè)試中，雙星座配置沒有實(shí)現(xiàn)保護(hù)接收機(jī)。

結(jié)論

本文說明了如何進(jìn)行虹科Skydel模擬器配置，以驗(yàn)證接收機(jī)響應(yīng)欺騙攻擊的能力，并簡(jiǎn)要介紹了虹科Skydel模擬器提供的多個(gè)會(huì)話和設(shè)備同步的可能性。

此外，測(cè)試結(jié)果證明了欺騙接收機(jī)的容易程度，包括在多星座模式下配置接收機(jī)。這說明了在設(shè)計(jì)接收機(jī)并驗(yàn)證其在面對(duì)欺騙攻擊時(shí)的魯棒性時(shí)，需要考慮此類威脅的重要性。