刘 洋,李四海,付强文,周 琪
(1.西北工业大学 自动化学院,西安 710129;2.西安飞行自动控制研究所,西安 710065)
随着包括我国北斗卫星导航系统在内的全球导航卫星系统(GNSS,Global Navigation Satellite System)的不断发展,卫星导航在军事和民用领域都获得了极为广泛的应用。可以说,几乎所有基于位置和时间服务的领域,包括军事应用在内,运输、测绘、精准农业、通信、金融、电力等,卫星导航都在发挥着越来越重要的作用。
卫星导航在获得广泛应用的同时,也埋下了一个巨大的安全隐患。由于卫星信号功率微弱且民码结构完全公开,这使得民用卫星信号极易受到干扰和欺骗,军用卫星信号虽然经过加密处理,也无法避免转发式欺骗干扰的威胁。欺骗干扰极大降低了GNSS的可靠性[1]。卫星导航欺骗干扰指的是通过播发虚假卫星信号,诱导接收机捕获、跟踪欺骗信号,进而输出错误位置/时间信息的技术[2]。由于欺骗信号和真实信号高度相似,欺骗攻击的隐蔽性极强,如果没有特定的欺骗检测手段,用户几乎无法发现接收机输出的定位信息是错误的(甚至是攻击者特意设定的)。相对于传统的压制式干扰,欺骗干扰的危害更大,因为使用错误的定位信息往往比无定位信息具有更大威胁。在军事领域,各种武器平台如果受到卫星导航欺骗干扰且未能及时告警,错误的位置/时间信息的使用将极大削弱其作战效能。在民用领域,特别是对于近年来发展迅速的无人机和无人驾驶汽车,如果没有对卫星导航欺骗干扰的检测手段,一旦遭到恶意欺骗,将直接影响无人机、无人车的自动驾驶系统,对人们的生命财产安全造成威胁。
随着软件无线电技术和开源卫星导航模拟软件的不断成熟,卫星导航欺骗的实施成本和技术门槛逐步降低,包括无人机、汽车、手机、船只在内的欺骗事件越来越引起人们的重视[3]。针对卫星导航欺骗问题,众多学者提出了多种层次的检测方法,从信号层面、数据层面到系统层面[4],包括基于卫星信号加密,基于欺骗信号特征的完好性监控,基于信号空间几何关系差异的检测技术等[5]。目前,对于卫星导航欺骗检测技术的研究,在数据和系统层面仍主要集中在三维位置维度,与其密切关联的时间维度则相对较少。卫星导航欺骗在对接收机位置进行欺骗的同时,不可避免地会对接收机时间,或者说钟差估计产生影响,这也给欺骗检测带来了契机。利用接收机自身时钟的时间保持能力,可以进行欺骗检测,但由于接收机通常使用温补晶振(TCXO)或压控温补晶振(VCTCXO),频率稳定性较差,使其欺骗检测能力受到很大制约。芯片级原子钟(CSAC)以其较高的频率准确度和稳定性,可以进行长时间的高精度时间保持,将其应用于惯性/卫星组合导航系统可以大幅提高接收机的欺骗检测能力,同时增加了欺骗攻击的难度,为组合导航系统的可靠性提供了有利保障。
国内对CSAC的研究仍集中在器件性能的提升层面,目前仍无大规模量产的商业化产品。受产品化制约,CSAC在惯性/卫星组合导航领域的应用研究也刚刚起步。文献[6][7]指出了 CSAC在导航定位与授时(PNT)架构中的作用,文献[8]研究了CSAC在环路辅助跟踪上的作用。在欺骗检测领域,西安飞行自动控制研究所和国防科大都对时钟辅助的欺骗检测进行了一定研究[9-10],但是以单纯的理论分析为主,缺乏实际CSAC数据的支持。国外CSAC的研究处于领先地位,在器件上已经大规模量产,Microsemi公司的SA.45s芯片级原子钟产品从2011年发布以来,截止2018年已经累计交付近10万套,获得了较为广泛的应用[11];在导航领域的应用研究也更为深入,文献[12][13]对 CSAC与接收机内部时钟对定位性能的影响进行了详细对比,并提出可以将CSAC应用于卫星欺骗信号检测,但缺少详细的检测模型和性能分析。
本文利用 CSAC的高精度时间保持能力,对CSAC辅助的组合导航系统欺骗检测技术进行了详细介绍。利用商业化CSAC产品,对其时间保持能力进行了实验验证,通过与接收机内部时钟钟差预测误差的对比分析,从检测概率的角度,证明了CSAC在卫星导航欺骗检测上的优异性能。
时间,作为七个基本物理量之一,通常是基于某种稳定的周期性运动来进行计量的。一个用于产生周期运动的振荡器加一个用于计量周期运动次数的计数器,就构成了时钟。地球自转、钟摆摆动、石英晶体和原子的振动都可以认为是振荡器产生的稳定振荡,结合日晷、齿轮、电子和微波等计数手段,也就得到了相应的时钟。时间的计量可以用公式表示为:
其中,t表示时间,t0表示时间起点,T表示振荡的周期。时间计量的精度主要取决于振荡器产生的周期性运动的稳定性。目前,应用最为广泛的振荡器当属石英晶振(XO),为提高石英晶振的性能,温补晶振(TCXO)、压控晶振(VCXO)、恒温晶振(OCXO)等相继出现。随着对时间计量精度要求的不断提高,铷和铯原子振荡器也获得了广泛应用。伴随着精度的提升,传统原子钟在功耗、体积和成本上也相应提高,限制了其在导航领域的应用。芯片级原子钟(CSAC)研制的初衷就是在保证频率精度的同时,在功耗、体积和成本上面向低功耗便携式应用。
图1给出了芯片级原子钟CSAC与石英晶振和原子振荡器在频率准确度和功耗上的对比,在体积和成本上与功耗类似[14],图1清楚地展示了CSAC的定位,其在导航领域具有非常广阔的应用前景。
Microsemi公司的SA.45s是目前世界上唯一大规模量产的商业化芯片级原子钟产品,它的主要性能参数如表1所示。SA.45s芯片级原子钟整体性能与最高精度的恒温晶振相当,在温度特性上要优于恒温晶振。
表1 SA.45s芯片级原子钟主要性能参数Tab.1 Main specifications of SA.45s chip-scale atomic clock
假设t0时刻进行时间对准后,CSAC进行时间保持,则t时刻CSAC的时间保持误差E(t)的理论计算公式如下[15]:
其中各物理量含义如下:
E0:t0时刻初始时间偏差;
y0:t0时刻初始频率偏差;
a:频率漂移(老化率);
Ei:环境影响造成的频率偏差;
ε:频率噪声引起的时间误差。
以SA.45s为例,对上述误差源进行说明。初始时间偏差E0为初始时间对准造成的误差,CSAC本身外部PPS进行一次时间对准可以保证初始偏差在±100 ns以内,通过驯服,与外部秒脉冲的对准精度可以达到<5 ns;初始频率偏差y0造成的守时误差与时间成线性关系,在短期内对CSAC的时间保持起主要作用;频率漂移率a,也就是老化率(aging),典型值在 0.6e-9/月至0.9e-9/月,主要影响CSAC的长期时间保持能力,24 h内由老化率引起的时间保持误差在0.5~1 μs;环境影响Ei主要包括温度、磁场、振动等对频率偏差的影响,对于其中最重要的温度特性,CSAC本身采用全密封的铯原子气室,其物理系统(包括激光器、气室、光电探测器)经过真空处理,漏气率<1e-11 atm·cc/s,热阻高达 7000℃/W,所以 CSAC频率的热稳定性很高,受外界温度变化的影响较小。对于磁场和振动,CSAC采用磁屏蔽和减震器等措施进行抑制,这使得磁场和振动对CSAC频率稳定性的影响也较小。
针对典型欺骗干扰场景,本文重点关注短期内(即数分钟到数十分钟)CSAC的时间保持能力。由于CSAC短期频率稳定性较好,时间保持主要受初始频率偏差决定。CSAC的初始频率偏差,也就是频率准确度,可以类比为惯性器件的启动零偏。频率准确度会随着时间发生变化,长期看受老化率影响,尽管出厂时对频率准确度进行了标校,但在实际使用时,通常需要进行重新标校(时钟驯服),以消除由于老化等引起的频率偏差,提高其频率准确度。经过驯服的CSAC,在连续运行中,其初始频率偏差不变,但在每次上电后会发生变化,这同惯性器件的零偏重复性类似。对于CSAC的驯服方法和结果,将在实验部分进行详细介绍。
图2给出了卫星导航欺骗的基本原理示意图,欺骗源接收真实卫星信号,进行处理后转发(或者直接转发),通过增大欺骗信号功率达到欺骗接收机的目的。
图2 卫星导航欺骗的基本原理图Fig.2 Basic principle of GNSS spoofing
利用欺骗信号和真实信号对接收机伪距的影响分析,可以说明欺骗信号对接收机时间的影响。根据文献[3],接收机欺骗伪距和真实伪距满足如下关系:
图1 芯片级原子钟与常见振荡器对比Fig.1 Chip-scale atomic clock vs.common oscillators
其中,上标(i)代表卫星编号,下标s代表欺骗源,a代表真实信号,u代表目标接收机。式中各物理量含义如下:
c:光速。
不同类型欺骗对接收机的影响有所不同,下面分为同步式和非同步式欺骗进行详细分析。
同步式欺骗可以准确知道目标接收机位置(米级),对于处于跟踪状态的接收机,首先要使欺骗信号和真实信号在接收机端定位基本相同,即要保证延迟和多普勒频移与真实信号保持一致。对于民码信号,采用转发式欺骗,除非转发器天线与接收机天线非常接近且信号处理延迟可忽略否则很难保证欺骗信号和真实信号延迟的一致,这样即使能保持欺骗位置与目标接收机定位相同,欺骗对接收机时间的影响也不可避免(使得接收机时间比真实时间早)。采用文献[16]中设计的receiver/spoofer进行欺骗,可以利用民码结构公开的特点对民码信号进行提前预测,这样可以在接收机端保证延迟一致,即利用抵消信号处理时间∇τproc和传播延时rs→u的影响,利用抵消的影响,这样可以在初始阶段保证时间和位置均与真实信号一致。对于军码信号,无法进行信号的预测,只能采取转发的方式,也就是至多可以保证位置相同,目标接收机时间一定会产生误差。
非同步式欺骗通常不能准确知道目标接收机位置,对于处于跟踪状态的接收机,必须采用先压制式干扰后欺骗的方式进行。通过一般的转发器、信号模拟器都可以实现非同步式欺骗。一般的转发器只能使接收机定位到转发器天线位置(时间会比真实时间早),模拟器则可以设定位置和时间。非同步式欺骗容易引起位置和时间的跳变,通过压制式干扰,卫星导航系统自身的位置(组合系统依靠惯性导航提供)和时间保持能力受到影响,如果在欺骗起始时刻,可以将欺骗位置和时间范围保持在导航系统位置和时间不确定度范围之内,那么就可以大幅提高欺骗的成功率。相对应地,从欺骗检测的角度,利用高精度的位置和时间保持,可以最大程度上减小压制式干扰后的位置和时间不确定度,从而提高欺骗检测能力。
根据第3节的分析,欺骗信号对卫星接收机时间的影响几乎是不可避免的,利用高精度的时间保持信息可以进行欺骗信号检测。这里我们考虑最为典型的欺骗方式,即先进行一段时间的压制干扰,然后进行欺骗信号播发。为构造欺骗检测模型,假设如下:
1)欺骗攻击方利用雷达等探测设备对目标接收机进行定位和跟踪,实时测距误差δPs满足正态分布即认为欺骗源对接收机实时距离的掌握存在常值偏差∇Ps、测距噪声σP,s。目标接收机天线相对载体安装位置的不确定性,会造成常值偏差;测距噪声主要由探测设备性能决定,对于雷达系统一般在数十米到数百米量级[17-18]。
通过对接收机钟差数据的建模分析,可以确定正常情况下钟差预测误差的标准差σδtu。在压制干扰结束,重新捕获卫星信号时,可以利用钟差测量值(接收机估计)和预测值(模型预测)构造假设检验如下:假设Ho(正常,无欺骗信号)和H1(故障,存在欺骗信号),则:
图3 时钟辅助的GNSS欺骗检测概率分析Fig.3 Clock aided GNSS spoofing detection probability
以上是基于时间的检测模型。在压制干扰结束时,利用纯惯性位置同接收机定位结果进行对比,可以在位置维度构造类似的欺骗检验模型,这里不再赘述。
以Microsemi公司的SA.45s芯片级原子钟为测试对象,对CSAC的时钟驯服、钟差预测和欺骗检测能力进行验证。
时钟的驯服,是指采用更高的时间频率基准,对时钟振荡器进行调整,消除由于老化等因素引起的频率偏差,可以类比于惯性器件常值零偏的标定过程。针对SA.45s芯片级原子钟,使用Ettus Research公司的OctoClock-G CDA-2990高精度时钟进行驯服,驯服过程如图4所示。
这里设定驯服时间常数τ=1000s,CSAC 内部自带相位测量器,可以检测外部PPS输入和自身PPS输出的相位差(时间差),通过内部调整电路对自身时钟相位和频率进行调整。如图4所示,相位差即CSAC测量的外部参考PPS和自身PPS的时间差,驯服标志从0变为1(为突出显示,图中进行了放大)表明驯服成功。CSAC设定连续两个驯服周期(2τ)相位差小于门限值(设为20 ns),则驯服成功。
图4 CSAC原子钟的驯服过程Fig.4 CSAC discipline process
选取不同驯服时间常数,在驯服后连续运行或者断电重启,对CSAC的时间保持能力进行验证。图5给出了驯服成功(驯服时间常数τ=1000 s)后3次重启试验CSAC的时间保持性能。
表2对未驯服状态、驯服时间常数τ=300s和τ=1000s,以及连续运行和重启状态的CSAC时间保持能力进行了对比。可以发现:通过驯服可以大幅提高CSAC的时间保持能力;驯服时间越长,对CSAC频率精度的提升越明显;无论是连续运行还是断电重启,经过驯服后的CSAC均有良好的时间保持能力,钟差预测精度高出接收机内部时钟一个数量级以上。CSAC良好的时间保持能力说明其具备较高的频率稳定性,这为 CSAC的精确建模和高精度钟差预测提供了保证。
图5 三次重启试验CSAC时间保持Fig.5 CSAC time retention performance for three power cycles
表2 CSAC时间保持能力(1 h)Tab.2 CSAC hold over performance (1 hour)
为对比CSAC与接收机自身晶振的欺骗检测能力,首先对接收机自带晶振和 CSAC钟差预测误差的统计特性进行分析。试验选择具备使用外部参考时钟能力的Novatel OEM638平台,分别使用接收机内部晶振(OEM638使用的是VCTCXO)和外部CSAC进行定位。各采集10 h数据,使用得到的钟差参数,对接收机VCTCXO和CSAC时钟进行建模和钟差预测。钟差预测误差与建模模型、建模使用的采样点数以及预测时长有关。对于频率稳定度较高的 CSAC,短时间内主要考虑初始频率偏差影响,可仅使用一次多项式建模。对于频率稳定度较差的VCTCXO,对频率漂移也进行建模,即使用二次多项式建模。理论上建模(拟合)使用的采样点越多,预测的时间越短,相对应的预测精度越高。为对钟差预测误差的统计特性进行分析,取200~1200 s数据用于拟合(周期1 s,对应200~1200个采样点),利用拟合的参数对之后的1200 s数据进行钟差预测,通过与真实钟差对比,得到钟差预测误差。在整个数据集内随机选取1000个采样点,分别使用采样点之前的N秒数据建模,对采样点之后的M秒钟差进行预测,得到钟差预测误差的均方根误差。
图6和图7分别给出了接收机内部时钟和外部时钟 CSAC钟差预测误差曲线(均方根误差)。为方便对比,将钟差转换为以米为单位。对比图6和图7,接收机内部晶振在1200 s的预测误差在数百米量级,而CSAC的钟差预测误差在数米量级。这是由于接收机内部 VCTCXO晶振的稳定性较差,即使采用二次多项式建模,在预测时间较长时,也存在较大的预测误差。CSAC的频率稳定性较好,通过简单的线性建模,即可得到高精度钟差预测结果。
图6 接收机晶振钟差预测误差(RMS)Fig.6 Estimation error of receiver crystal oscillator clock bias
图7 CSAC钟差预测误差(RMS)Fig.7 Estimation error of CSAC clock bias
根据图6和图7的结果,假设欺骗攻击方进行1200 s(20 min)压制式干扰,然后开始播发欺骗信号。接收机自身 VCTCXO晶振的钟差预测误差均方根取600 m,CSAC的钟差预测误差均方根取4 m。认为欺骗源对目标接收机定位不存在常值偏差,只考虑噪声影响。图8给出了欺骗源对目标接收机定位噪声与欺骗检测概率的关系。在欺骗检测性能上,CSAC明显优于接收机本身的VCTCXO晶振。
图8同时给出了利用纯惯性位置保持进行欺骗检测的检测性能。典型高精度航空惯性/卫星组合导航系统在压制干扰过程中利用纯惯性定位(误差120m/20min),可以通过对比压制式干扰结束时纯惯性位置与接收机定位结果进行欺骗检测。从图8中可以看出,在时间维度利用CSAC进行欺骗检测,较位置维度利用纯惯性进行欺骗检测,仍具备较大的优势。
图8 CSAC、VCTCXO、纯惯性欺骗检测能力对比Fig.8 Comparison of CSAC,VCTCXO and pure INS spoofing detection probability
利用高精度芯片级原子钟提供的精确时间参考,可以完成对卫星欺骗信号的有效检测,相比于接收机自身晶振的优势明显。本文对芯片级原子钟的基本特点和时间保持进行了介绍,通过实验验证,对芯片级原子钟与接收机内部时钟的钟差预测能力进行了对比,从检测概率上证明了芯片级原子钟在卫星导航欺骗检测上的优异性能。
本文提出的芯片级原子钟辅助的惯性/卫星组合导航欺骗检测技术具有较强的工程实用价值,对芯片级原子钟特性的进一步测试验证与在实际欺骗环境下的检测效果还有待展开进一步的研究。