使用羅德與施瓦茨SMW200A的GNSS欺騙測試方案

PART 1

GNSS欺騙背景

全球衛(wèi)星導(dǎo)航系統(tǒng)（GNSS）能夠?yàn)榻乜臻g各類用戶提供全天候、連續(xù)、高精度的位置、速度和時(shí)間信息（PVT），具有其他系統(tǒng)不可比擬的性能優(yōu)勢。隨著衛(wèi)星導(dǎo)航定位技術(shù)的發(fā)展，其應(yīng)用已逐步從軍用擴(kuò)展到民用，滲透至國民經(jīng)濟(jì)各部門，在航空、精確制導(dǎo)武器等軍用領(lǐng)域以及民航、電信、金融、城市交通和鐵路運(yùn)輸?shù)葒窠?jīng)濟(jì)領(lǐng)域得到了廣泛應(yīng)用。

由于導(dǎo)航信號(hào)到達(dá)地面時(shí)功率僅為-130dBm，十分微弱，而且民用信號(hào)體制公開，使得衛(wèi)星導(dǎo)航系統(tǒng)極易受到各種干擾和欺騙的影響。隨著衛(wèi)星導(dǎo)航系統(tǒng)重要性的日益凸顯，針對(duì)衛(wèi)星導(dǎo)航的安全應(yīng)用提出了嚴(yán)峻的挑戰(zhàn)，GNSS抗干擾技術(shù)已成為國內(nèi)外研究的熱點(diǎn)方向。

GNSS干擾和欺騙輕則影響GNSS定位精度或提供錯(cuò)誤的路線，降低服務(wù)質(zhì)量，重則導(dǎo)致GNSS中斷，提供虛假時(shí)間和位置信息，造成經(jīng)濟(jì)損失和軍事行動(dòng)失敗等嚴(yán)重后果。尤其在未來導(dǎo)航戰(zhàn)背景下，面對(duì)敵方有針對(duì)性施放的欺騙干擾信號(hào)，若沒有有效的抗欺騙干擾技術(shù)，必將極大限制己方對(duì)衛(wèi)星導(dǎo)航系統(tǒng)的應(yīng)用，并帶來戰(zhàn)斗力和人員裝備的損失。

圖1 欺騙干擾示意圖

PART 2

GNSS欺騙技術(shù)

01GNSS欺騙技術(shù)定義

欺騙技術(shù)是指：產(chǎn)生和真實(shí)衛(wèi)星信號(hào)相似的虛假信號(hào)，在目標(biāo)接收機(jī)接收信號(hào)的過程中和真實(shí)信號(hào)一同混入被接收機(jī)處理，迫使相關(guān)用戶接收終端接收解算此類偽導(dǎo)航信號(hào)。因?yàn)槠垓_信號(hào)本身的信號(hào)特點(diǎn)使得它隱蔽性極高，不易被傳統(tǒng)的接收機(jī)發(fā)現(xiàn)。

衛(wèi)星導(dǎo)航信號(hào)干擾主要有兩種體制：壓制干擾和欺騙干擾，壓制干擾是指在衛(wèi)星導(dǎo)航工作的頻率上發(fā)射一定帶寬和較高功率的噪聲信號(hào)，使接收機(jī)信噪比下降，不能正常工作，而欺騙干擾是指復(fù)制與真實(shí)導(dǎo)航衛(wèi)星信號(hào)具有完全相同碼相位、載波頻率和多普勒頻移的假信號(hào)實(shí)現(xiàn)干擾。欺騙干擾在干擾隱蔽性和干擾效率方面的具有顯著優(yōu)勢，欺騙干擾逐漸成為衛(wèi)星導(dǎo)航干擾技術(shù)研究的熱點(diǎn)。

圖2 GNSS欺騙干擾攻擊

02GNSS欺騙干擾分類

從GNSS測量定位原理來看，對(duì)GNSS接收機(jī)進(jìn)行欺騙可以從兩方面入手：一是增加信號(hào)傳播時(shí)延，使觀測到的偽距發(fā)生偏差，即轉(zhuǎn)發(fā)式欺騙干擾；二是給出虛假的導(dǎo)航信息，使接收機(jī)解調(diào)的電文信息包含錯(cuò)誤的星歷信息或鐘差信息，即生成式欺騙干擾。

1.轉(zhuǎn)發(fā)式欺騙干擾

轉(zhuǎn)發(fā)式欺騙干擾原理示意圖如下圖3所示，干擾源接收衛(wèi)星導(dǎo)航信號(hào)后進(jìn)行轉(zhuǎn)發(fā)，經(jīng)過延遲、功率放大后，由欺騙干擾設(shè)備向空中發(fā)射信號(hào)，使一定區(qū)域內(nèi)的其他用戶接收到干擾設(shè)備發(fā)送的信號(hào)，從而實(shí)現(xiàn)任意位置欺騙效果。轉(zhuǎn)發(fā)式干擾實(shí)現(xiàn)需要從很低的信號(hào)中提取、放大信號(hào)，以保證信號(hào)不畸變或畸變很小，并提高輸出信噪比。

圖3 轉(zhuǎn)發(fā)式欺騙干擾

實(shí)現(xiàn)上，實(shí)際是用一個(gè)延時(shí)設(shè)備將某一顆或者某幾顆GPS衛(wèi)星的導(dǎo)航信號(hào)進(jìn)行了延時(shí)，使得讓用戶接收機(jī)得到錯(cuò)誤的偽距（也就是自身位置與每顆衛(wèi)星的位置距離）信息。衛(wèi)星導(dǎo)航接收機(jī)定位的偽距觀測方程如下：

其中，(

)為衛(wèi)星位置，為接收機(jī)鐘差，為衛(wèi)星鐘差，為大氣延遲。

通過延遲轉(zhuǎn)發(fā)后，其定位方程如下：

從上面的方程來看，后面增加的兩項(xiàng)（

）即是欺騙設(shè)備增加的延時(shí)，造成接收機(jī)得到錯(cuò)誤的偽距，從而導(dǎo)致接收機(jī)解算錯(cuò)誤的位置信息，從而被欺騙。

2.生成式欺騙干擾

生成式欺騙干擾是在已知民用碼前提下，干擾機(jī)不依賴GNSS系統(tǒng)，自主發(fā)射與真實(shí)信號(hào)相似的欺騙信號(hào)，通過兩者相關(guān)峰的相對(duì)運(yùn)動(dòng)，欺騙峰憑借功率優(yōu)勢逐漸將真實(shí)相關(guān)峰剝離跟蹤環(huán)路，進(jìn)而控制跟蹤環(huán)路。生成式欺騙信號(hào)碼相位超前真實(shí)信號(hào)，因而不會(huì)當(dāng)做多徑信號(hào)，從而其隱蔽性更佳。

生成式欺騙干擾示意圖如下圖4所示，欺騙干擾機(jī)一般放置在目標(biāo)用戶天線的上方，以防欺騙信號(hào)被抑制。欺騙干擾機(jī)分為接收機(jī)模塊、欺騙信號(hào)生成及發(fā)射模塊。生成式欺騙通常需要兩步完成：

1第一步：相位同步。接收機(jī)估計(jì)出目標(biāo)接收機(jī)的導(dǎo)航信號(hào)參數(shù)，包括信號(hào)幅度、碼相位、多普勒頻移及預(yù)測導(dǎo)航電文，使生成的欺騙干擾信號(hào)到達(dá)目標(biāo)接收機(jī)天線相位中心與真實(shí)碼相位對(duì)準(zhǔn)，此時(shí)，欺騙信號(hào)功率應(yīng)低于真實(shí)信號(hào)。

2第二步：欺騙策略。當(dāng)真實(shí)信號(hào)與欺騙信號(hào)碼相位對(duì)準(zhǔn)后，增加欺騙信號(hào)功率和碼率，利用欺騙信號(hào)的功率優(yōu)勢，不斷剝離真實(shí)信號(hào)的相關(guān)峰。

圖4 生成式欺騙干擾

PART 3

GNSS欺騙測試

欺騙對(duì)衛(wèi)星導(dǎo)航系統(tǒng)構(gòu)成了嚴(yán)重的安全威脅，成功的欺騙攻擊可能會(huì)在沒有任何保護(hù)機(jī)制的情況下使接收機(jī)產(chǎn)生錯(cuò)誤，比如欺騙飛機(jī)、銀行或電網(wǎng)都可能帶來嚴(yán)重的災(zāi)難性后果。

當(dāng)前大多數(shù)欺騙檢測方法都是基于接收方解析過程中的信息。將欺騙檢測算法應(yīng)用到接收機(jī)上需要對(duì)原接收機(jī)進(jìn)行重新設(shè)計(jì)，限制了欺騙檢測方法在出廠接收機(jī)上的應(yīng)用。作為第一步，防欺騙接收設(shè)備應(yīng)檢測到攻擊，第二步，能夠恢復(fù)真實(shí)的GNSS計(jì)算結(jié)果。然而因?yàn)槠垓_攻擊的復(fù)雜性比較高，對(duì)GNSS接收設(shè)備的保護(hù)一直以來都是在得到結(jié)果之后才進(jìn)行。

羅德與施瓦茨公司提供的導(dǎo)航模擬器SMW200A或SMBV100B可以讓GNSS接收機(jī)設(shè)備制造商或集成商在實(shí)驗(yàn)室即可進(jìn)行穩(wěn)健的防欺騙測試，其測試方案如下：

方案一

利用SMW200A雙通道進(jìn)行欺騙測試

通過SMW200A的雙通道功能，一個(gè)通道產(chǎn)生仿真的GNSS真實(shí)信號(hào)，另外一個(gè)通道產(chǎn)生欺騙的GNSS信號(hào)，可以輕松完成GNSS各種欺騙測試。

圖5 使用SMW200A雙通道測試GNSS欺騙

方案二

利用兩臺(tái)SMBV100B進(jìn)行欺騙測試

通過兩臺(tái)SMBV100B完成，一臺(tái)SMBV100B作為主設(shè)備，產(chǎn)生仿真的GNSS信號(hào)，另外一臺(tái)SMBV100B作為從設(shè)備，產(chǎn)生欺騙的GNSS信號(hào)，保持兩臺(tái)設(shè)備的時(shí)間同步和頻率同步，同樣，也可以完成GNSS的各種欺騙測試。

圖6 使用兩臺(tái)SMBV100B測試GNSS欺騙

不管是方案一還是方案二，都可以完成GNSS的欺騙測試，包括轉(zhuǎn)發(fā)式欺騙和生成式欺騙測試，主要都是在衛(wèi)星導(dǎo)航信號(hào)的功率、偽距、星歷數(shù)據(jù)和時(shí)間等緯度做修改，以提供可靠的欺騙方式。下面介紹可能的各種GNSS欺騙方法。

01功率壓制式欺騙

欺騙干擾設(shè)備產(chǎn)生的欺騙信號(hào)較簡單，類似于噪聲。這種情況，它不需要接收真實(shí)信號(hào)，也不需要考慮信號(hào)同步的問題，只要其功率大于真實(shí)信號(hào)，就可以影響接收機(jī)的捕獲性能或?qū)е赂櫗h(huán)路失鎖，在重新捕獲階段捕獲到欺騙信號(hào)達(dá)到欺騙的目的。測試方法非常簡單，可以采用雙通道SMW200A，兩個(gè)通道可產(chǎn)生不同位置和時(shí)間的GNSS信號(hào)，讓其欺騙信號(hào)功率增加，造成接收機(jī)鎖定在欺騙信號(hào)上。

02星歷篡改式欺騙

由于欺騙信號(hào)偽碼的周期重復(fù)特性，如果在一個(gè)偽碼周期內(nèi)欺騙不成功，該欺騙信號(hào)還可以自動(dòng)在下一個(gè)偽碼周期實(shí)施牽引，直至成功引導(dǎo)目標(biāo)接收機(jī)。一旦欺騙信號(hào)成功牽引目標(biāo)接收機(jī)偽碼跟蹤環(huán)路，干擾方則可以通過調(diào)整其發(fā)射的欺騙信號(hào)偽碼相位控制目標(biāo)接收機(jī)的定時(shí)定位結(jié)果，從而達(dá)到欺騙目標(biāo)接收機(jī)的目的。其測試方法如下：

采用雙通道SMW200A，一個(gè)通道Path A模擬位置A，另外一個(gè)通道Path B模擬位置B。首先兩個(gè)通道都導(dǎo)入相同星歷數(shù)據(jù)文件，一段時(shí)間后，將Path A的星歷數(shù)據(jù)進(jìn)行篡改后，觀測接收機(jī)是否鎖定在Path B模擬的位置坐標(biāo)下，即可驗(yàn)證GNSS星歷數(shù)據(jù)篡改的欺騙效果。儀表導(dǎo)入星歷文件方法如下：

圖7 星歷文件導(dǎo)入

03偽距欺騙

通過修改導(dǎo)航模擬器的偽距值，從而造成欺騙對(duì)象得到錯(cuò)誤的偽距測量值，進(jìn)而解算出錯(cuò)誤的位置信息，最終達(dá)到欺騙目的。其測試方法如下：

采用雙通道SMW200A，一個(gè)通道產(chǎn)生GNSS仿真信號(hào)，另外一個(gè)通道產(chǎn)生GNSS欺騙信號(hào)。兩個(gè)通道仿真的時(shí)間和位置都完全一樣，然后，對(duì)欺騙通道的信號(hào)輸出功率增加，同時(shí)，改變其偽距觀測值。為了讓欺騙效果更好，建議需要對(duì)多顆衛(wèi)星進(jìn)行偽距增加，一般來說，衛(wèi)星數(shù)量越多效果越好。偽距設(shè)置方法如下圖所示：

圖8 偽距修改

04軌跡欺騙

軌跡欺騙式一種為對(duì)抗坐標(biāo)跳變和來波方向檢測等欺騙手段，該方法綜合了轉(zhuǎn)發(fā)式欺騙干擾和生成式欺騙干擾的特點(diǎn)。其原理利用GNSS接收機(jī)獲取目標(biāo)粗略位置，從中提取偽距、偽距變化率、授時(shí)、星歷和信號(hào)強(qiáng)度等重要觀測量，然后，將觀測量連同欺騙坐標(biāo)一同送入新的參數(shù)模型，從而獲得欺騙信號(hào)參數(shù)，生成高度逼真的新軌跡。

對(duì)于采用導(dǎo)航模擬器測試仿真來說，比較簡單，如下圖所示，可以采用雙通道SMW200A實(shí)現(xiàn)，一個(gè)通道模擬GPS，軌跡為藍(lán)色線路，一個(gè)通道模擬北斗，軌跡為紅色線路，其兩條軌跡中間路線重疊，讓接收機(jī)剛開始沿著重疊路線開始運(yùn)行，到了一定時(shí)候，增加欺騙路線的輸出功率，即可實(shí)現(xiàn)對(duì)接收機(jī)軌跡的欺騙模擬。

圖9 同時(shí)播放兩條不同軌跡文件

05時(shí)鐘偏差欺騙

很多基礎(chǔ)設(shè)施網(wǎng)絡(luò)系統(tǒng)的授時(shí)與校頻都依賴于GNSS系統(tǒng)，針對(duì)配置的GNSS授時(shí)接收機(jī)實(shí)施欺騙干擾，通過引入時(shí)間誤差破壞系統(tǒng)時(shí)間，從而使其電力、通訊等系統(tǒng)癱瘓，可達(dá)到對(duì)敵軟打擊的目的。一種導(dǎo)航時(shí)間欺騙干擾方法，以低于10ns的步進(jìn)，逐漸拉偏導(dǎo)航時(shí)間，用于解決由于對(duì)欺騙信號(hào)時(shí)間拉偏步進(jìn)太大而無法有效進(jìn)行授時(shí)時(shí)間欺騙干擾的問題。

采用雙通道SMW200A，兩通道采用1PPS嚴(yán)格同步，然后增加欺騙通道的信號(hào)功率，使得接收機(jī)捕獲跟蹤于欺騙信號(hào)。此時(shí)，以設(shè)定步進(jìn)逐漸延遲本地1PPS信號(hào)，直到設(shè)定的時(shí)間拉偏值為拉偏目標(biāo)值，然后以此時(shí)間拉偏值為準(zhǔn)持續(xù)仿真發(fā)射欺騙導(dǎo)航射頻信號(hào)。

圖10 1PPS設(shè)置

PART 4

欺騙攻擊應(yīng)用實(shí)例

下圖是對(duì)正在接收和處理真實(shí) GNSS 信號(hào)的 GNSS 接收器執(zhí)行欺騙攻擊應(yīng)用，案例使用 SMBV100B 來生成欺騙信號(hào)。此欺騙方法的裝置包括兩個(gè)GNSS接收機(jī)和一臺(tái)GNSS模擬器SMBV100B及一個(gè)射頻合路器，兩個(gè)天線需要相距很近。

圖11 欺騙攻擊應(yīng)用實(shí)際案例

GNSS天線1接收外部真實(shí)信號(hào)，并提供1PPS輸出和10MHz參考信號(hào)。待欺騙攻擊對(duì)象基于GNSS天線2接收到的外部真實(shí)衛(wèi)星信號(hào)，也成功跟蹤定位。同時(shí)，GNSS接收機(jī)在解碼后，得到廣播星歷RINEX數(shù)據(jù)和解算出的位置坐標(biāo)，將廣播星歷導(dǎo)入SMBV100B，同時(shí)基于收到的1PPS信號(hào)，通過時(shí)間觸發(fā)方式，產(chǎn)生與真實(shí)衛(wèi)星信號(hào)完全相同的衛(wèi)星信號(hào)，此時(shí)，待欺騙攻擊對(duì)象已經(jīng)同時(shí)鎖定了真實(shí)衛(wèi)星信號(hào)和欺騙信號(hào)。然后，緩慢增加欺騙信號(hào)的參考功率，直到所有衛(wèi)星的 C/N0 為 ~50 dBHz，所有信號(hào)都被連續(xù)穩(wěn)定地跟蹤，此時(shí)，逐步更改欺騙位置坐標(biāo)，可以從欺騙攻擊對(duì)象輸出NMEA數(shù)據(jù)中看到，接收機(jī)已經(jīng)成功跟蹤到欺騙信號(hào)上，至此，完成了外場真實(shí)GNSS接收機(jī)的欺騙攻擊。

結(jié) 語

總的來說，衛(wèi)星導(dǎo)航的脆弱性注定為GNSS欺騙技術(shù)提供了市場，在應(yīng)用上呈現(xiàn)出各種各樣華麗的欺騙攻擊。欺騙與抗欺騙技術(shù)是矛與盾的關(guān)系，沒有一種抗欺騙技術(shù)能夠檢測所有的欺騙攻擊，也沒有一種欺騙技術(shù)能夠使所有的抗欺騙技術(shù)失效。欺騙技術(shù)的進(jìn)步會(huì)促進(jìn)抗欺騙技術(shù)的發(fā)展，抗欺騙技術(shù)的完善也會(huì)使得越來越多更先進(jìn)的欺騙手段涌現(xiàn)出來，兩者之間此消彼長，你追我趕。因此，導(dǎo)航系統(tǒng)的欺騙與抗欺騙技術(shù)的研究工作永遠(yuǎn)在路上。

本文從欺騙攻擊的背景出發(fā)，介紹了各種衛(wèi)星導(dǎo)航的欺騙技術(shù)原理，同時(shí)，針對(duì)目前市場上出現(xiàn)的各種欺騙攻擊，羅德與施瓦茨提供了基于R&SSMW200A或者R&SSMBV100B通用矢量信號(hào)源平臺(tái)開發(fā)的專業(yè)導(dǎo)航功能，可以在實(shí)驗(yàn)室極其便利的完成欺騙仿真測試和新技術(shù)研究。

羅德與施瓦茨業(yè)務(wù)涵蓋測試測量、技術(shù)系統(tǒng)、網(wǎng)絡(luò)與網(wǎng)絡(luò)安全，致力于打造一個(gè)更加安全、互聯(lián)的世界。成立90 年來，羅德與施瓦茨作為全球科技集團(tuán)，通過發(fā)展尖端技術(shù)，不斷突破技術(shù)界限。公司領(lǐng)先的產(chǎn)品和解決方案賦能眾多行業(yè)客戶，助其獲得數(shù)字技術(shù)領(lǐng)導(dǎo)力。羅德與施瓦茨總部位于德國慕尼黑，作為一家私有企業(yè)，公司在全球范圍內(nèi)獨(dú)立、長期、可持續(xù)地開展業(yè)務(wù)。