全球导航卫星系统诱导式欺骗检测*

周 甍，李 洪，王楚涵，马天翊，陆明泉

(清华大学 电子工程系， 北京 100084)

全球导航卫星系统(Global Navigation Satellite System, GNSS)的安全性研究已经成为导航系统发展的重点研究问题。在社会经济领域，GNSS的应用涉及交通、电力、通信、金融等各方各面。GNSS的安全性和可用性关系着巨大的产业价值。如果GNSS 信号被干扰，轻则导致GNSS 用户体验下降，重则造成无法弥补的经济损失。而GNSS欺骗，不同于其他类型的干扰，它是一种恶意的破坏，有可能带来灾难性的后果，甚至威胁到人们的人身安全。

为了证明GNSS脆弱性[1-3]，越来越多的研究机构开始利用GNSS欺骗设备对依赖GNSS进行授时或导航的终端进行欺骗实验。其中，公开发表文献资料较多的有Humphreys及其研究小组，他们成功利用研制的全球定位系统(Global Position System,GPS)欺骗设备[4-5]对电网相位测量单元(Phasor Measurement Unit, PMU)进行欺骗，在开始发送欺骗信号的1700 ms后将PMU的相位解算结果拉偏70°。并且，该团队在意大利附近的国际水域上同样通过伪造的GPS 信号将一艘价值达8000 万美元的私人游艇引导上偏离计划航线的方向，且航线的偏离并没有触发船舶导航设备的告警。

GNSS欺骗技术通常有自主生成式、转发式和诱导式三种。自主生成式欺骗[6]利用公开的导航信号接口文件，自主生成导航信号，类似信号模拟源，并用较大的功率夺取接收机的控制权，这种欺骗方式成本低，实现简单，但是生成的欺骗信号与真实信号相差甚远，因此很容易被检测出来。转发式欺骗[7]将接收到的真实信号复制加上延迟后作为欺骗信号转发出来，这种欺骗主要针对接口文件不公开的导航信号，但为了夺取控制权，依然需要提高欺骗信号的功率，并打断接收机的跟踪状态，使其重新进入捕获状态，可以采用功率检测法对其进行检测。诱导式欺骗技术是现有的欺骗技术里唯一可以不改变接收机跟踪状态夺取控制权的一种欺骗方式，所以极具隐蔽性，很难用功率检测法等常规方法检测出来，目前对它的检测方法主要有Delta Metric、Ratio Metric等[8-9]，其基本思想是检测其在欺骗过程中引起的码环信号畸变，但是这种检测手段很难将多径信号与欺骗信号区分开来，因此虚警概率较高。

本文提出一种对两路GNSS信号同时进行处理的combo-signal模型，这种模型把两路信号等价成一个二进制偏移载波(Binary Offset Carrier,BOC)信号，对新的BOC信号进行处理，这使得接收机能够获得比单独处理一路信号更多的观测量，并据此对诱导式欺骗信号固有的载波频率变化进行检测。

1 combo-signal处理模型

现代GNSS的每颗卫星通常都能利用频率复用技术发射多个中心频率不一样的导航信号，接收机可以通过同时处理这些信号来获得更为精准的定位授时结果，例如：利用载波通过电离层的延时与频率平方成反比的特性来设计多频接收机，准确地消除电离层延迟[6-7]；或者是对多个频点的测量值进行组合，进行双差或三差定位，消除接收机钟差和载波测量的整周模糊度，提高定位解算和授时精度[10-12]。然而这些处理方式都是对每个频点的信号单独进行处理，无法利用信号之间的相互关系来检测欺骗信号。

如果一对导航信号的时钟源同步，则其载波频率和相位之间的相对关系是已知的，充分利用两者之间的频率和相位关系可以检测到诱导式欺骗信号引起的载波环变化。设这样一组同步的导航信号为(s1，s2)，且s1，s2可以用式(1)表示：

(1)

其中：t-τ代表信号传输时间；f1、f2分别代表两个信号到达接收机时载波的中心频率；A1、A2分别代表两个信号的幅度；φ1、φ2分别代表两个信号到达接收机时的载波相位；c1、c2分别代表两路信号上面加载的伪码。

如果令f′1=(f1+f2)/2，φ′1=(φ1+φ2)/2，f′2=(f1-f2)/2，φ′2=(φ1-φ2)/2，则式(1)与式(2)等价。

(2)

所以接收机接收到的信号可以表示成式(3)。

s(t)=A1c1(t-τ)cos[2π(f′1+f′2)(t-τ)+φ′1+φ′2]+A2c2(t-τ)cos[2π(f′1-f′2)(t-τ)+φ′1-φ′2]

(3)

如果将式(3)中前后两项的系数进行归一处理，就可以构造出一个新的BOC信号，如式(4)所示，其主载波的中心频率为f′1，副载波的中心频率为f′2。

s(t)=cos(2πf′1t-2πf′1τ+φ′1)+

cos(2πf′2t-2πf′2τ+φ′2)

(4)

将可以这样处理的一组导航信号称为一组combo-signal，这种处理技巧使得接收机只要能同时获取两路同步信号，就可以当成BOC信号来处理，从而利用BOC调制和解调的优势，对欺骗信号进行检测。实际上，GNSS中，这样的同步信号有很多，而最适合当成BOC信号来处理的有：GPS的L1C与L1I，Galileo的E5A与E5B，BD的B1C与B1I等。这些信号由同一颗卫星的相同时钟源产生，并经过同样的传播路径到达接收机，因此信号的传播延迟也相同。

对比传统的双路二进制相移键控跟踪 (Dual Binary phase shift keying Tracking，DBT)算法，combo-signal信号的上下两个边带有明显的非对称性，其功率和伪随机码都不相同，因此需要增加归一化处理。对式(3)做相关后，可以得到上下边带的相关值如式(5)：

(5)

(6)

由式(6)可以看出，通过上下边带的功率倒数对相关值加权，实现了载波和副载波相位差的解耦，然后使用四象限反正弦鉴相器实现独立鉴相和跟踪，表达式如下所示：

Δθ=arctan2(Im(Rc),Re(Rc))

(7)

Δφ=arctan2(Im(Rs),Re(Rs))

(8)

综上，通过单独的载波环和副载波环分别驱动载波相位和副载波相位的估计值，使之与同相支路对齐，此时上下两个边带的相位也分别对齐，从而实现双边带的载波相位的锁定与跟踪，而且可以得到两路信号的载波相位值和频率值。在这种处理模式下，如果检测到欺骗信号，可以切换到单边带模式，达到反欺骗的效果；而不存在欺骗信号时，可以同时处理双边带信号，从而提高定位精度。

2 基于combo-signal模型的诱导式欺骗检测技术

2.1 诱导式欺骗过程分析

典型的诱导式欺骗方法过程如图1所示。欺骗信号首先会以极低的功率进入接收机处理环路，使其隐藏在噪声和多径信号中，如图1(a)所示。然后缓慢地接近真实信号，直到载波相位和码相位跟真实信号对齐。在对齐之后，增加欺骗信号功率，使其略高于真实信号，占据接收机处理环路的主导权，如图1(b)所示。最后，缓慢地偏离真实信号，使得接收机的载波环路和码环产生的本地码相位逐渐偏离真实信号的相位，如图1(c)所示，当真实信号与本地码的相位偏差超过环路鉴相器的牵引范围后，接收机的控制权就会完全转移到欺骗信号上，此时，欺骗信号可以随意篡改伪距和导航电文，使得接收机得到错误的定位解算结果。

通过对诱导式欺骗过程的分析可以发现，典型的诱导型欺骗信号在欺骗过程中，为了使本地码的相位发生偏移，它的相位会发生规律性的改变。对于同时接收一对combo-signal的接收机来说，如果欺骗信号仅对其中一路信号进行攻击，那么这种规律性的改变可以通过两路信号之间固有的频率和相位相关性检测出来，这就为欺骗信号的检测提供了思路和方法。下面将对此进行详细分析。

(a) 假信号低功率接近真实信号(a) Spoofing signal closes real signal with low power

(b) 假信号与真信号对齐并提高功率(b) Spoofing signal aligns with real signal and increases power

(c) 假信号远离真实信号(c) Spoofing signal aways from real signal图1 诱导式欺骗过程示意Fig.1 Process of induced spoofing

2.2 检测模型

假设：攻击方可以准确获得目标机的速度信息，这对于大多数欺骗场景是可以实现的，例如静态接收机、匀速行进的轮船车辆等；欺骗发生时，接收机是处于对真实信号的稳定跟踪状态下。因此，在欺骗初始阶段，真实信号的载波频率、欺骗信号的载波频率与接收机产生的本地载波频率，三者一致。但是，通常情况下，欺骗信号的载波相位很难做到跟真实信号的载波相位对齐，两者之间的相位存在差异，将真实信号到达接收机时的载波相位记为θr，欺骗信号到达接收机时的载波相位记为θs，接收机复制的本地载波相位记为θ0。锁相环的鉴相结果如式(9)所示：

ud(t)=[ur(t)+us(t)]u0(t)

=U0cos(ω0t+θ0)[Ursin(ωrt+θr)+

Ussin(ωst+θs)]

sin[(ωr-ω0)t+θr-θ0]}+

sin[(ωs-ω0)t+θs-θ0]}

(9)

其中，ur(t)、us(t)和u0(t)分别代表真实信号、欺骗信号和本地复现信号，U0、Ur和Us分别代表本地复现信号、真信号和假信号的振幅，ω0、ωr和ωs分别代表三个信号的频率。

信号ud(t)经过环路滤波器后，高频信号被滤除，此时输出信号为：

(10)

数控振荡器(Numerically Controlled Oscillator,NCO)将根据uf(t)调整本地复制载波u0(t)的频率，最终使得uf(t)趋近于0，此时接收机进入锁定状态。当载波环里只有真实信号存在时，根据式(10)，uf(t)=0时，θr=θ0，本地载波对齐，完成锁相。而在真实信号与欺骗信号同时存在时，根据式(10)，uf(t)=0时会有：

Ursin[(ωr-ω0)t+θr-θ0]+
Ussin[(ωs-ω0)t+θs-θ0]=0

(11)

根据前面的假设，欺骗信号、真实信号的载波频率都与本地信号的载波频率一致，即ωr=ωs=ω0，式(11)可以进一步简化为：

Ursin(θr-θ0)+Ussin(θs-θ0)=0

(12)

此时，本地载波将不再与真实信号对齐，其相位将是θr与θs之间的一个值。如果θr-θ0，θs-θ0足够小，则sin(θr-θ0)≈θr-θ0，sin(θs-θ0)≈θs-θ0，可以得到：

(13)

其中，η=Us/Ur为欺信比。

由于一组combo-signal产生的时钟源一致，而且两路导航信号到接收机的传输路径基本相同，因此，这两路信号的相位可以表述如下：

θ2(t)=g(θ1(t))=(f2-f1)t+θ2(0)-θ1(0)-2πN

(14)

其中：f1，f2分别表示组成combo-signal的两路信号的中心频率；θ1(0)，θ2(0)分别表示两路信号的初始相位，因为两路信号同源，所以可以认为θ2(0)-θ1(0)约等于0；N代表整周模糊度。

在接收机同时处理这两路信号的情况下，假设欺骗信号对中心频率为f1的信号进行了攻击，将这两路信号的锁相结果做差将得到：

(15)

可以发现，当欺骗信号进入载波环后，这个差值将发生跳变。另外，诱导式欺骗信号的特征是，为了夺取接收机的控制权，其信号会慢慢迁移，表现在载波信号上就是载波相位会以一定速率发生变化，如式(16)所示。

(16)

对式(16)中最后一个等式求导得到

(17)

图2 欺骗攻击过程中两路载波相位差变化Fig.2 Phase difference change of two carriers in spoofing attack

f2-f1对于一对combo-signal来说是已知，因此可以采用NP(Neyman-Pearson)检测[13]来检测诱导式欺骗攻击是否存在。检测模型如式(18)所示。

(18)

其中，H0代表欺骗攻击不存在，H1代表欺骗攻击存在。

2.3 检测门限

(19)

其中：C/N0代表载噪比；F在C/N0高时取值为1，否则取值为2；BL代表锁频环的噪声带宽；Tcoh代表预检相干积分时间。

(20)

式(20)等效为：

(21)

因此，判决最终等价于：

(22)

等式两边取对数得到：

(23)

即

(24)

令

当f2-f1的观测量大于γ′时，判定欺骗信号存在。此时虚警概率和检测概率如式(25)、式(26)所示。

(25)

(26)

在实际应用中，通常用给定的虚警概率来确定检测门限。利用式(25)即可反解出检测门限γ′，再由式(26)计算检测概率。

从式(26)可以看出，在虚警概率固定情况下，检测概率成为欺信比η和欺骗信号牵引速度fe及环路噪声均方差σFLL的函数。检测概率会随着η和fe的增加而增加。而且，载噪比C/N0越大，锁频环的噪声带宽BL越小，预检相干积分时间Tcoh越大，将导致均方差σFLL越小，同样会使得检测概率增大。

3 实验设计与结果

为了验证combo-signal模型的欺骗检测性能，采用北斗的B1I 和B1C信号对其进行了仿真验证。北斗系统的B1I 和B1C信号正是一组中心频点相近的combo-signal，B1C信号的中心频点为1575.42 MHz，B1I信号的中心频点为1561.098 MHz，两者同时处理时，等价于一个BOC(m,n)信号。其中，m=7为B1C和B1I信号中心频点之差的二分之一；n=2为扩频码速率。由于B1I 和B1C信号还在实验验证阶段，无法使用真实的卫星信号进行试验，所以采用MATRIX GNSS-8440多标准信号发生器作为GNSS信号模拟源对B1I 和B1C信号进行仿真。

实验在清华大学软件接收机平台上进行，该平台实现了对combo-signal模型的处理。接收器设备配置包括：Intel(R)Core(TM)i7-6700K CPU，主频4.00 GHz，内存16.0 GB，NVIDIA GeForce GTX TITAN X GPU。另外，使用定制的信号采集器来实现下变频、采样和滤波，信号采样率为120 MHz，前端带宽为50 MHz；预检测积分时间为100 ms；载波环路的等效噪声带宽设置为1 Hz，载噪比为30 dB。

3.1 检测概率验证与分析

通过一组实验对前面分析得到的检测概率进行验证。在实验开始阶段，模拟源只产生一路信号，将其视为真实信号。当接收机收到这路信号并进入稳定跟踪状态后，模拟源开始发射欺骗信号。真假信号的载波相位之间有一个差值，而且此时欺骗信号的功率远低于真实信号。慢慢调整欺骗信号的载波相位使其与真实信号对齐；在对齐后，增加欺骗信号的功率，使其大于真实信号；再次调整欺骗信号的载波相位使其慢慢远离真实信号。这样就模拟了诱导式欺骗信号夺取接收机处理环路的整个过程。

设定虚警概率为1×10-6，根据式(25)计算得到的检测门限为γ′=18.83 Hz。固定欺信比为1.5，欺骗信号牵引速度即真假信号相对频率差fe设置为8～12.5 Hz，间隔0.5 Hz。绘制与检测门限γ′对应的检测概率曲线，如图3(a)中的实线所示。在相同设置下用模拟信号重复100次得到检测概率的统计结果，如图3(a)中的带方框的折线所示。再将fe固定为10 Hz，欺信比设置为1.1～2，间隔0.1。绘制与检测门限γ′对应的检测概率曲线，如图3(b)中的实线所示，在相同设置下用模拟信号重复100次得到检测概率的统计结果，如带方框的折线所示。

比较实验统计结果和理论曲线发现实验结果与理论曲线基本吻合。从图中可以看到，欺骗信号的牵引速度对检测概率的影响很大，欺信比取值为1.5、fe等于8 Hz时，检测概率只有62%；一旦fe达到10 Hz以上，检测概率明显提高，可以达到90%以上。如果牵引速度取值为10 Hz，欺信比只要大于1.4，就可以有90%以上的检测概率。综上所述，该方法可以对欺信比大于1.4或牵引速度大于10 Hz的诱导式欺骗信号进行有效检测。

(a) 牵引速度对检测概率的影响(a) Influences of traction speed on detection probability

(b) 欺信比对检测概率的影响(b) Influences of spoof-signal ratio on detection probability图3 仿真结果与理论值比对Fig.3 Comparison of simulation results with theoretical values

3.2 多径信号虚警概率改进验证

通过实验验证该检测算法在特定环境下可以将多径与欺骗信号区分开来，降低虚警概率。模拟源产生两路信号，一路作为真实信号，另一路为多径信号。多径信号与真实信号的载波相位之间存在一个固定差值，且功率低于真实信号，但频率与真实信号一致。分别采用基于combo-signal模型的检测算法、Delta Metric和Ratio Metric算法对信号进行检测，三种算法对欺骗信号的检测概率设定为95%，在此条件下统计三种算法将多径信号误判为欺骗信号的概率。实验结果如图4所示，横坐标代表多径信号与真实信号的振幅比，纵坐标代表将多径信号误判为欺骗信号的概率。

图4 多径虚警概率对比Fig.4 Comparison of false alarm probability caused by multipath

分析实验结果得到结论：本文提出的检测算法将多径信号误判为欺骗信号的概率远低于Delta Metric算法和Ratio Metric算法。这是由于多径信号与真实信号的载波相位差一直维持不变(在接收机和多径信号源之间的相对距离不发生改变的情况下成立)，因此两路信号之间的频率差不会出现变化，检测算法不会发出预警。因此本文的算法对于改善该环境下的检测虚警概率显然是有效的。但在接收机和多径信号源之间的相对距离发生改变时，多径信号与真实信号之间也会出现频率差，本文所提出的检测算法就很难进行有效的区分了。在今后的工作中，可以进一步研究该情况下算法的改进。

4 结论

本文提出的基于combo-signal处理模型的检测方法，有效利用了两路同源GNSS信号载波频率和相位的相对关系来检测诱导式欺骗攻击。实验结果表明该检测方法可以对大部分诱导式欺骗攻击进行有效检测，而且当接收机和多径信号源之间的相对距离不发生改变时，可以有效地将多径信号与欺骗信号区分开来，降低虚警概率。