以下文章来源于卫星导航国际期刊 ,作者袁木子
标题:民用卫星导航信号的防伪认证
作者:袁木子,唐小妹*,欧钢
主题词:卫星导航欺骗;信号认证;信号体制设计;认证方案
Authenticating GNSS civilian signals: a survey
Muzi Yuan, Xiaomei Tang* and Gang Ou
Satellite Navigation (2023) 4: 6
引用文章:
Yuan, M. Z., Tang, X. M. & Ou, G. Authenticating GNSS civilian signals: a survey. Satell Navig 4, 6 (2023). https://doi.org/10.1186/s43020-023-00094-6
PDF文件下载[链接:
https://satellite-navigation.springeropen.com/articles/10.1186/s43020-023-00094-6
本文亮点
1.从认证信息产生、认证信号体制元素、认证检测过程三个方面分析了GNSS信号认证的原理,并给出了评估GNSS信号认证方案性能的指标集合。
2.综述介绍了现阶段主流文献报道的GNSS信号认证方法,给出了这些方法的基本思想、发展过程和应用测试情况。
3.根据GNSS信号认证原理和现阶段主流文献报道的GNSS信号认证方法的优缺点,组织了包含主流GNSS信号认证方法的性能矩阵并讨论了GNSS信号认证未来的发展方向。
内容简介
卫星导航欺骗攻击会导致用户终端输出错误的定位结果,但通过系统与终端的共同努力可以检测并抑制这些欺骗信号。导航信号防伪认证在公开的民用导航信号中添加一些攻击者难以生成但用户易于验证的认证信息量,使导航终端可以通过验证这一信息量来确认它所接收和处理的导航信号是否来自真实的导航卫星。导航信号防伪认证是民用导航终端对抗欺骗攻击最有效的方式之一,可以对抗几乎全部生成式欺骗和大多数转发及录制重放欺骗。本文首先讨论了信号和信息认证的基本原理、用户关心的性能指标和设计认证方案可能受到的约束条件,随后详细介绍以导航电文认证、电文-码片的联合认证和电文-相位的联合认证为代表的几类典型的导航信号防伪认证方法并比较它们各自的优势与劣势,最后描述这些认证方法在GPS、Galileo和QZSS等面向用户提供服务的导航系统内各自的应用实践,并对这一研究领域的核心特点和可能发展方向进行总结。
民用卫星导航信号是广播信号,并且具有信号体制细节公开的特点,这种特性赋予了民用卫星导航服务开放接入和用户容量不受限的优势,也带来了潜在的欺骗攻击风险。作为民用卫星导航服务的主要恶意威胁之一,欺骗攻击通过广播伪造的卫星导航信号,令目标接收机误以为该信号来自真实卫星,并最终输出受误导的定位和授时结果。以电网、金融、自动驾驶、民事航海和民用航空为代表,大量民用关键基础设施和生命安全服务依赖卫星导航提供位置和时间信息,欺骗攻击将使这些应用不再安全。学术界已报道了多起针对无人机和游艇等目标的欺骗攻击,这些攻击带来了巨大的安全隐患,因此防护欺骗攻击是提升民用卫星导航服务可靠性和安全性的重要手段。
按照欺骗信号的来源,欺骗攻击可以分为3种类型:转发式、生成式和再生式。转发式欺骗攻击使用延迟可调的透明转发装置直接将导航卫星广播的导航信号进行延迟转发,通过调节卫星导航信号的延迟大小操纵目标接收机的伪距测量结果。生成式欺骗攻击根据信号体制产生伪造的导航信号,通过调节扩频码相位和导航电文操纵目标接收机的位置和时间输出。再生式欺骗攻击首先接收真实卫星导航信号,并对其中的扩频码序列和导航电文符号进行估计,并利用这些信息重新构造扩频码相位和导航电文受到操纵的欺骗信号。
欺骗攻击防护的目标是检测欺骗攻击的存在,向依赖位置和时间的应用告警,并尽可能在欺骗攻击环境下恢复可信的位置和时间解算。观测特征检测和防伪认证是欺骗攻击防护的两大实现方向:观测特征检测是接收机通过信号物理特征(例如信号功率、多普勒频率、来波方向等)和观测解算结果(例如伪距变化、组合导航一致性等)判断导航信号真实性的欺骗防护手段;防伪认证则利用密码学实现导航信号的非对称设计,通过隐藏一部分信号生成的信息,使合法用户能够从这段信息中低成本地验证信号真实性,同时使潜在的攻击者难以进行信号伪造。
观测特征检测不依赖卫星导航信号的某些特定结构,具有通用性强的优势,可以有效检测转发式欺骗攻击,但受到接收机所处电磁环境和自身动态相对复杂、卫星导航信号功率较弱的限制,接收观测特征检测的可靠性略低于信号防伪认证,部分观测特征检测算法还要求接收机配备例如天线阵、惯性器件等额外设备。防伪认证将密码学检测嵌入导航信号处理,可以通过扩频信号体制获取更高的处理增益,具有实现复杂度低、检测可靠性强的优势,可以有效检测生成式欺骗攻击,并大幅度提高再生式欺骗攻击的难度,但由于防伪认证信息改变了导航信号,可能对不具备认证能力的接收机产生影响。实际接收机在进行欺骗攻击防护时通常联合使用接收观测特征检测和信号防伪认证,从而获得最大化的欺骗攻击防护效果。
目前已有若干文献整理了接收观测特征检测的原理和方法,并简要提及了几种信号防伪认证方法,但鲜有文献对导航信号防伪认证的发展和趋势进行全面梳理。本文的主要工作包含以下三个方面:首先是整理综述了导航信号防伪认证的指标体系和目前已经实现或者正在开发的诸多导航信号防伪认证手段;其次是通过指标分析比较了这些导航信号防伪认证手段在各类欺骗攻击下的防护效果,给出了它们的适用场景;最后对导航信号认证未来的发展趋势进行了简要讨论。
图文导读
I 导航信号认证原理:信号结构与认证元素
导航信号认证的基本原理是将易于验证但难以伪造的认证信息附加在导航信号上,接收机通过提取并验证这些认证信息来确认导航信号的真实性。一个典型的导航信号结构如下式所示。
其中,
是信号功率,
是导航电文,
是信号扩频码,
是信号载波,进一步可分为以
表示的载波频率和以
表示的载波相位。这些信号要素都可以通过用户终端的某些信号处理方式提取为信号特征,用于信号认证。
II 导航信号认证原理:认证信息
导航信号的认证信息本质上是一段导航系统可生成、导航用户易验证、欺骗攻击者难伪造的信息,这些特性需要恰好在现代密码学中给出了实现途径。目前绝大多数导航信号认证方法中,信号特征内携带的认证信息都是通过密码学手段实现其生成和防伪验证,可用的密码学算法主要分为对称密码、公钥密码和密码散列三种类型。
III 导航信号认证原理:性能指标
评估一种导航信号认证方法性能的维度主要包括可靠性、安全性、效率和实现开销四类,主要指标如下表所示。
IV 典型信号认证方法:导航电文认证
导航电文认证使用的信号特征是导航电文,其核心思想是通过在导航电文中添加认证信息,使得用户终端完成导航电文解调后可以直接通过密码学信息处理得到导航电文的真实性判决,从而判断导航信号的真实性。导航电文认证信号的导航电文结构如图1所示。
导航电文认证中,认证信息与用于定位授时的导航电文数据共同广播给用户,用户终端根据电文数据与认证信息联合判决导航电文的真实性,从而验证导航信号的真实性。
V 典型信号认证方法:导航信号扩频码认证
为了解决导航电文认证时间分辨率低下、无法检测短延时转发式欺骗的问题,文献提出可以进一步采用扩频码认证实现高时间分辨率的导航信号认证。扩频码码片认证使用的信号特征是扩频码,其核心思想是通过在扩频码中添加认证信息,使得用户终端能够使用一段本地生成或链路传输得到的扩频码对导航信号进行相关,通过相关峰检测判断导航信号的真实性。扩频码码片认证方法的设计核心在于如何产生认证信息、如何将认证信息添加进扩频码中,以及如何使用户终端能够可靠的得到验证认证信息的能力。
VI 未来趋势
迄今为止报道的几乎所有导航信号认证方案都使用导航电文或扩频码作为用于认证的信号元素。此外,导航信号认证通常只对单个卫星广播的信号进行认证,很少考虑不同卫星信号相互认证的可能性。因此,未来的导航信号认证将有以下发展趋势。
多元素信号认证:除了导航电文和扩频码外,导航信号的功率、载波频率和相位,甚至导航信号本身的时钟都是可以携带认证信息的潜在要素。
多卫星信号联合认证:典型导航信号认证方案通常一次认证一个卫星信号。未来将建设由大型卫星组成的低轨道导航星座。当卫星数量较多时,一次对一个卫星信号进行认证的方案将显著限制信号认证的效率。
利用固有不可预测性的认证:上面讨论的大多数导航信号认证方案都需要修改完全可预测的民用导航信号。一些修改通过向导航信号添加不可预测的信息来为导航信号赋予认证能力。其他修改则是在民用导航信号之外增加安全信号分量,或直接使用军用导航信号进行认证。因此,可以通过利用导航信号固有的不可预测性来实现身份验证。
作者简介
唐小妹 研究员
本文通讯作者
国防科技大学电子科学学院
▍作者简介
唐小妹,国防科技大学电子科学学院研究员。主要从事卫星导航、导通融合、信号波形设计与接收等领域研究。发表论文30余篇,专利23篇。
更多介绍,请点击作者主页
转自:“测绘学术资讯”微信公众号
如有侵权,请联系本站删除!
