全球導航衛星系統誘導式欺騙檢測*

周 甍，李 洪，王楚涵，馬天翊，陸明泉

(清華大學 電子工程系， 北京 100084)

全球導航衛星系統(Global Navigation Satellite System, GNSS)的安全性研究已經成為導航系統發展的重點研究問題。在社會經濟領域，GNSS的應用涉及交通、電力、通信、金融等各方各面。GNSS的安全性和可用性關系著巨大的產業價值。如果GNSS 信號被干擾，輕則導致GNSS 用戶體驗下降，重則造成無法彌補的經濟損失。而GNSS欺騙，不同于其他類型的干擾，它是一種惡意的破壞，有可能帶來災難性的后果，甚至威脅到人們的人身安全。

為了證明GNSS脆弱性[1-3]，越來越多的研究機構開始利用GNSS欺騙設備對依賴GNSS進行授時或導航的終端進行欺騙實驗。其中，公開發表文獻資料較多的有Humphreys及其研究小組，他們成功利用研制的全球定位系統(Global Position System,GPS)欺騙設備[4-5]對電網相位測量單元(Phasor Measurement Unit, PMU)進行欺騙，在開始發送欺騙信號的1700 ms后將PMU的相位解算結果拉偏70°。并且，該團隊在意大利附近的國際水域上同樣通過偽造的GPS 信號將一艘價值達8000 萬美元的私人游艇引導上偏離計劃航線的方向，且航線的偏離并沒有觸發船舶導航設備的告警。

GNSS欺騙技術通常有自主生成式、轉發式和誘導式三種。自主生成式欺騙[6]利用公開的導航信號接口文件，自主生成導航信號，類似信號模擬源，并用較大的功率奪取接收機的控制權，這種欺騙方式成本低，實現簡單，但是生成的欺騙信號與真實信號相差甚遠，因此很容易被檢測出來。轉發式欺騙[7]將接收到的真實信號復制加上延遲后作為欺騙信號轉發出來，這種欺騙主要針對接口文件不公開的導航信號，但為了奪取控制權，依然需要提高欺騙信號的功率，并打斷接收機的跟蹤狀態，使其重新進入捕獲狀態，可以采用功率檢測法對其進行檢測。誘導式欺騙技術是現有的欺騙技術里唯一可以不改變接收機跟蹤狀態奪取控制權的一種欺騙方式，所以極具隱蔽性，很難用功率檢測法等常規方法檢測出來，目前對它的檢測方法主要有Delta Metric、Ratio Metric等[8-9]，其基本思想是檢測其在欺騙過程中引起的碼環信號畸變，但是這種檢測手段很難將多徑信號與欺騙信號區分開來，因此虛警概率較高。

本文提出一種對兩路GNSS信號同時進行處理的combo-signal模型，這種模型把兩路信號等價成一個二進制偏移載波(Binary Offset Carrier,BOC)信號，對新的BOC信號進行處理，這使得接收機能夠獲得比單獨處理一路信號更多的觀測量，并據此對誘導式欺騙信號固有的載波頻率變化進行檢測。

1 combo-signal處理模型

現代GNSS的每顆衛星通常都能利用頻率復用技術發射多個中心頻率不一樣的導航信號，接收機可以通過同時處理這些信號來獲得更為精準的定位授時結果，例如：利用載波通過電離層的延時與頻率平方成反比的特性來設計多頻接收機，準確地消除電離層延遲[6-7]；或者是對多個頻點的測量值進行組合，進行雙差或三差定位，消除接收機鐘差和載波測量的整周模糊度，提高定位解算和授時精度[10-12]。然而這些處理方式都是對每個頻點的信號單獨進行處理，無法利用信號之間的相互關系來檢測欺騙信號。

如果一對導航信號的時鐘源同步，則其載波頻率和相位之間的相對關系是已知的，充分利用兩者之間的頻率和相位關系可以檢測到誘導式欺騙信號引起的載波環變化。設這樣一組同步的導航信號為(s1，s2)，且s1，s2可以用式(1)表示：

(1)

其中：t-τ代表信號傳輸時間；f1、f2分別代表兩個信號到達接收機時載波的中心頻率；A1、A2分別代表兩個信號的幅度；φ1、φ2分別代表兩個信號到達接收機時的載波相位；c1、c2分別代表兩路信號上面加載的偽碼。

如果令f′1=(f1+f2)/2，φ′1=(φ1+φ2)/2，f′2=(f1-f2)/2，φ′2=(φ1-φ2)/2，則式(1)與式(2)等價。

(2)

所以接收機接收到的信號可以表示成式(3)。

s(t)=A1c1(t-τ)cos[2π(f′1+f′2)(t-τ)+φ′1+φ′2]+A2c2(t-τ)cos[2π(f′1-f′2)(t-τ)+φ′1-φ′2]

(3)

如果將式(3)中前后兩項的系數進行歸一處理，就可以構造出一個新的BOC信號，如式(4)所示，其主載波的中心頻率為f′1，副載波的中心頻率為f′2。

s(t)=cos(2πf′1t-2πf′1τ+φ′1)+

cos(2πf′2t-2πf′2τ+φ′2)

(4)

將可以這樣處理的一組導航信號稱為一組combo-signal，這種處理技巧使得接收機只要能同時獲取兩路同步信號，就可以當成BOC信號來處理，從而利用BOC調制和解調的優勢，對欺騙信號進行檢測。實際上，GNSS中，這樣的同步信號有很多，而最適合當成BOC信號來處理的有：GPS的L1C與L1I，Galileo的E5A與E5B，BD的B1C與B1I等。這些信號由同一顆衛星的相同時鐘源產生，并經過同樣的傳播路徑到達接收機，因此信號的傳播延遲也相同。

對比傳統的雙路二進制相移鍵控跟蹤 (Dual Binary phase shift keying Tracking，DBT)算法，combo-signal信號的上下兩個邊帶有明顯的非對稱性，其功率和偽隨機碼都不相同，因此需要增加歸一化處理。對式(3)做相關后，可以得到上下邊帶的相關值如式(5)：

(5)

(6)

由式(6)可以看出，通過上下邊帶的功率倒數對相關值加權，實現了載波和副載波相位差的解耦，然后使用四象限反正弦鑒相器實現獨立鑒相和跟蹤，表達式如下所示：

Δθ=arctan2(Im(Rc),Re(Rc))

(7)

Δφ=arctan2(Im(Rs),Re(Rs))

(8)

綜上，通過單獨的載波環和副載波環分別驅動載波相位和副載波相位的估計值，使之與同相支路對齊，此時上下兩個邊帶的相位也分別對齊，從而實現雙邊帶的載波相位的鎖定與跟蹤，而且可以得到兩路信號的載波相位值和頻率值。在這種處理模式下，如果檢測到欺騙信號，可以切換到單邊帶模式，達到反欺騙的效果；而不存在欺騙信號時，可以同時處理雙邊帶信號，從而提高定位精度。

2 基于combo-signal模型的誘導式欺騙檢測技術

2.1 誘導式欺騙過程分析

典型的誘導式欺騙方法過程如圖1所示。欺騙信號首先會以極低的功率進入接收機處理環路，使其隱藏在噪聲和多徑信號中，如圖1(a)所示。然后緩慢地接近真實信號，直到載波相位和碼相位跟真實信號對齊。在對齊之后，增加欺騙信號功率，使其略高于真實信號，占據接收機處理環路的主導權，如圖1(b)所示。最后，緩慢地偏離真實信號，使得接收機的載波環路和碼環產生的本地碼相位逐漸偏離真實信號的相位，如圖1(c)所示，當真實信號與本地碼的相位偏差超過環路鑒相器的牽引范圍后，接收機的控制權就會完全轉移到欺騙信號上，此時，欺騙信號可以隨意篡改偽距和導航電文，使得接收機得到錯誤的定位解算結果。

通過對誘導式欺騙過程的分析可以發現，典型的誘導型欺騙信號在欺騙過程中，為了使本地碼的相位發生偏移，它的相位會發生規律性的改變。對于同時接收一對combo-signal的接收機來說，如果欺騙信號僅對其中一路信號進行攻擊，那么這種規律性的改變可以通過兩路信號之間固有的頻率和相位相關性檢測出來，這就為欺騙信號的檢測提供了思路和方法。下面將對此進行詳細分析。

(a) 假信號低功率接近真實信號(a) Spoofing signal closes real signal with low power

(b) 假信號與真信號對齊并提高功率(b) Spoofing signal aligns with real signal and increases power

(c) 假信號遠離真實信號(c) Spoofing signal aways from real signal圖1 誘導式欺騙過程示意Fig.1 Process of induced spoofing

2.2 檢測模型

假設：攻擊方可以準確獲得目標機的速度信息，這對于大多數欺騙場景是可以實現的，例如靜態接收機、勻速行進的輪船車輛等；欺騙發生時，接收機是處于對真實信號的穩定跟蹤狀態下。因此，在欺騙初始階段，真實信號的載波頻率、欺騙信號的載波頻率與接收機產生的本地載波頻率，三者一致。但是，通常情況下，欺騙信號的載波相位很難做到跟真實信號的載波相位對齊，兩者之間的相位存在差異，將真實信號到達接收機時的載波相位記為θr，欺騙信號到達接收機時的載波相位記為θs，接收機復制的本地載波相位記為θ0。鎖相環的鑒相結果如式(9)所示：

ud(t)=[ur(t)+us(t)]u0(t)

=U0cos(ω0t+θ0)[Ursin(ωrt+θr)+

Ussin(ωst+θs)]

sin[(ωr-ω0)t+θr-θ0]}+

sin[(ωs-ω0)t+θs-θ0]}

(9)

其中，ur(t)、us(t)和u0(t)分別代表真實信號、欺騙信號和本地復現信號，U0、Ur和Us分別代表本地復現信號、真信號和假信號的振幅，ω0、ωr和ωs分別代表三個信號的頻率。

信號ud(t)經過環路濾波器后，高頻信號被濾除，此時輸出信號為：

(10)

數控振蕩器(Numerically Controlled Oscillator,NCO)將根據uf(t)調整本地復制載波u0(t)的頻率，最終使得uf(t)趨近于0，此時接收機進入鎖定狀態。當載波環里只有真實信號存在時，根據式(10)，uf(t)=0時，θr=θ0，本地載波對齊，完成鎖相。而在真實信號與欺騙信號同時存在時，根據式(10)，uf(t)=0時會有：

Ursin[(ωr-ω0)t+θr-θ0]+
Ussin[(ωs-ω0)t+θs-θ0]=0

(11)

根據前面的假設，欺騙信號、真實信號的載波頻率都與本地信號的載波頻率一致，即ωr=ωs=ω0，式(11)可以進一步簡化為：

Ursin(θr-θ0)+Ussin(θs-θ0)=0

(12)

此時，本地載波將不再與真實信號對齊，其相位將是θr與θs之間的一個值。如果θr-θ0，θs-θ0足夠小，則sin(θr-θ0)≈θr-θ0，sin(θs-θ0)≈θs-θ0，可以得到：

(13)

其中，η=Us/Ur為欺信比。

由于一組combo-signal產生的時鐘源一致，而且兩路導航信號到接收機的傳輸路徑基本相同，因此，這兩路信號的相位可以表述如下：

θ2(t)=g(θ1(t))=(f2-f1)t+θ2(0)-θ1(0)-2πN

(14)

其中：f1，f2分別表示組成combo-signal的兩路信號的中心頻率；θ1(0)，θ2(0)分別表示兩路信號的初始相位，因為兩路信號同源，所以可以認為θ2(0)-θ1(0)約等于0；N代表整周模糊度。

在接收機同時處理這兩路信號的情況下，假設欺騙信號對中心頻率為f1的信號進行了攻擊，將這兩路信號的鎖相結果做差將得到：

(15)

可以發現，當欺騙信號進入載波環后，這個差值將發生跳變。另外，誘導式欺騙信號的特征是，為了奪取接收機的控制權，其信號會慢慢遷移，表現在載波信號上就是載波相位會以一定速率發生變化，如式(16)所示。

(16)

對式(16)中最后一個等式求導得到

(17)

圖2 欺騙攻擊過程中兩路載波相位差變化Fig.2 Phase difference change of two carriers in spoofing attack

f2-f1對于一對combo-signal來說是已知，因此可以采用NP(Neyman-Pearson)檢測[13]來檢測誘導式欺騙攻擊是否存在。檢測模型如式(18)所示。

(18)

其中，H0代表欺騙攻擊不存在，H1代表欺騙攻擊存在。

2.3 檢測門限

(19)

其中：C/N0代表載噪比；F在C/N0高時取值為1，否則取值為2；BL代表鎖頻環的噪聲帶寬；Tcoh代表預檢相干積分時間。

(20)

式(20)等效為：

(21)

因此，判決最終等價于：

(22)

等式兩邊取對數得到：

(23)

即

(24)

令

當f2-f1的觀測量大于γ′時，判定欺騙信號存在。此時虛警概率和檢測概率如式(25)、式(26)所示。

(25)

(26)

在實際應用中，通常用給定的虛警概率來確定檢測門限。利用式(25)即可反解出檢測門限γ′，再由式(26)計算檢測概率。

從式(26)可以看出，在虛警概率固定情況下，檢測概率成為欺信比η和欺騙信號牽引速度fe及環路噪聲均方差σFLL的函數。檢測概率會隨著η和fe的增加而增加。而且，載噪比C/N0越大，鎖頻環的噪聲帶寬BL越小，預檢相干積分時間Tcoh越大，將導致均方差σFLL越小，同樣會使得檢測概率增大。

3 實驗設計與結果

為了驗證combo-signal模型的欺騙檢測性能，采用北斗的B1I 和B1C信號對其進行了仿真驗證。北斗系統的B1I 和B1C信號正是一組中心頻點相近的combo-signal，B1C信號的中心頻點為1575.42 MHz，B1I信號的中心頻點為1561.098 MHz，兩者同時處理時，等價于一個BOC(m,n)信號。其中，m=7為B1C和B1I信號中心頻點之差的二分之一；n=2為擴頻碼速率。由于B1I 和B1C信號還在實驗驗證階段，無法使用真實的衛星信號進行試驗，所以采用MATRIX GNSS-8440多標準信號發生器作為GNSS信號模擬源對B1I 和B1C信號進行仿真。

實驗在清華大學軟件接收機平臺上進行，該平臺實現了對combo-signal模型的處理。接收器設備配置包括：Intel(R)Core(TM)i7-6700K CPU，主頻4.00 GHz，內存16.0 GB，NVIDIA GeForce GTX TITAN X GPU。另外，使用定制的信號采集器來實現下變頻、采樣和濾波，信號采樣率為120 MHz，前端帶寬為50 MHz；預檢測積分時間為100 ms；載波環路的等效噪聲帶寬設置為1 Hz，載噪比為30 dB。

3.1 檢測概率驗證與分析

通過一組實驗對前面分析得到的檢測概率進行驗證。在實驗開始階段，模擬源只產生一路信號，將其視為真實信號。當接收機收到這路信號并進入穩定跟蹤狀態后，模擬源開始發射欺騙信號。真假信號的載波相位之間有一個差值，而且此時欺騙信號的功率遠低于真實信號。慢慢調整欺騙信號的載波相位使其與真實信號對齊；在對齊后，增加欺騙信號的功率，使其大于真實信號；再次調整欺騙信號的載波相位使其慢慢遠離真實信號。這樣就模擬了誘導式欺騙信號奪取接收機處理環路的整個過程。

設定虛警概率為1×10-6，根據式(25)計算得到的檢測門限為γ′=18.83 Hz。固定欺信比為1.5，欺騙信號牽引速度即真假信號相對頻率差fe設置為8～12.5 Hz，間隔0.5 Hz。繪制與檢測門限γ′對應的檢測概率曲線，如圖3(a)中的實線所示。在相同設置下用模擬信號重復100次得到檢測概率的統計結果，如圖3(a)中的帶方框的折線所示。再將fe固定為10 Hz，欺信比設置為1.1～2，間隔0.1。繪制與檢測門限γ′對應的檢測概率曲線，如圖3(b)中的實線所示，在相同設置下用模擬信號重復100次得到檢測概率的統計結果，如帶方框的折線所示。

比較實驗統計結果和理論曲線發現實驗結果與理論曲線基本吻合。從圖中可以看到，欺騙信號的牽引速度對檢測概率的影響很大，欺信比取值為1.5、fe等于8 Hz時，檢測概率只有62%；一旦fe達到10 Hz以上，檢測概率明顯提高，可以達到90%以上。如果牽引速度取值為10 Hz，欺信比只要大于1.4，就可以有90%以上的檢測概率。綜上所述，該方法可以對欺信比大于1.4或牽引速度大于10 Hz的誘導式欺騙信號進行有效檢測。

(a) 牽引速度對檢測概率的影響(a) Influences of traction speed on detection probability

(b) 欺信比對檢測概率的影響(b) Influences of spoof-signal ratio on detection probability圖3 仿真結果與理論值比對Fig.3 Comparison of simulation results with theoretical values

3.2 多徑信號虛警概率改進驗證

通過實驗驗證該檢測算法在特定環境下可以將多徑與欺騙信號區分開來，降低虛警概率。模擬源產生兩路信號，一路作為真實信號，另一路為多徑信號。多徑信號與真實信號的載波相位之間存在一個固定差值，且功率低于真實信號，但頻率與真實信號一致。分別采用基于combo-signal模型的檢測算法、Delta Metric和Ratio Metric算法對信號進行檢測，三種算法對欺騙信號的檢測概率設定為95%，在此條件下統計三種算法將多徑信號誤判為欺騙信號的概率。實驗結果如圖4所示，橫坐標代表多徑信號與真實信號的振幅比，縱坐標代表將多徑信號誤判為欺騙信號的概率。

圖4 多徑虛警概率對比Fig.4 Comparison of false alarm probability caused by multipath

分析實驗結果得到結論：本文提出的檢測算法將多徑信號誤判為欺騙信號的概率遠低于Delta Metric算法和Ratio Metric算法。這是由于多徑信號與真實信號的載波相位差一直維持不變(在接收機和多徑信號源之間的相對距離不發生改變的情況下成立)，因此兩路信號之間的頻率差不會出現變化，檢測算法不會發出預警。因此本文的算法對于改善該環境下的檢測虛警概率顯然是有效的。但在接收機和多徑信號源之間的相對距離發生改變時，多徑信號與真實信號之間也會出現頻率差，本文所提出的檢測算法就很難進行有效的區分了。在今后的工作中，可以進一步研究該情況下算法的改進。

4 結論

本文提出的基于combo-signal處理模型的檢測方法，有效利用了兩路同源GNSS信號載波頻率和相位的相對關系來檢測誘導式欺騙攻擊。實驗結果表明該檢測方法可以對大部分誘導式欺騙攻擊進行有效檢測，而且當接收機和多徑信號源之間的相對距離不發生改變時，可以有效地將多徑信號與欺騙信號區分開來，降低虛警概率。