鄭輝根，張春磊，李子富，張 慧，王雪琴

（中國電子科技集團(tuán)第三十六研究所，浙江嘉興314001）

0 引言

全球?qū)Ш叫l(wèi)星系統(tǒng)（GNSS）所提供的定位、導(dǎo)航、授時(shí)（PNT）能力已成為軍用、民用領(lǐng)域內(nèi)不可或缺的關(guān)鍵能力。正因如此，GNSS 的安全性（包括物理安全性、電磁安全性、賽博安全性等）也成為各國在發(fā)展GNSS 時(shí)重點(diǎn)關(guān)注的性能之一。而隨著GNSS 干擾（jamming）、欺騙（spoofing）、賽博攻擊等技術(shù)不斷擴(kuò)散且成本不斷降低，GNSS 安全性問題越來越嚴(yán)重。

近年來，GNSS 欺騙技術(shù)、方法不斷涌現(xiàn)，欺騙事件也層出不窮，對(duì)GNSS 安全性造成了很嚴(yán)重的影響。而GNSS 欺騙具備隱蔽性強(qiáng)、破壞力大、技術(shù)成熟等特點(diǎn)，已成為攻擊者最青睞的攻擊方式之一。與GNSS 欺騙相比，干擾、賽博攻擊等方式“劣勢”明顯：干擾容易被檢測到，隱蔽性差，被攻擊者容易找尋替代方案；賽博攻擊對(duì)技術(shù)要求較高，且效能不具備持續(xù)性。

1 GNSS 發(fā)展意義

從1960 年美國發(fā)射世界上第一顆導(dǎo)航衛(wèi)星“子午儀”（transit）算起，GNSS 已經(jīng)發(fā)展了將近60 年，目前已經(jīng)形成了以美國GPS 系統(tǒng)、中國“北斗”系統(tǒng)、俄羅斯“格洛納斯”系統(tǒng)、歐洲“伽利略”系統(tǒng)、日本“準(zhǔn)天頂”衛(wèi)星系統(tǒng)、印度區(qū)域?qū)Ш叫l(wèi)星系統(tǒng)（RNSS）等為代表的體系。

GNSS 的PNT 能力幾乎已經(jīng)滲透到了所有電子信息領(lǐng)域內(nèi)，如果沒有GNSS，很多正常的軍事、商業(yè)活動(dòng)都無法開展。2012 年，美國國土安全部曾經(jīng)開展過一項(xiàng)關(guān)于GPS 依賴性的專項(xiàng)研究，并指出“美國19個(gè)關(guān)鍵基礎(chǔ)設(shè)施、關(guān)鍵資源機(jī)構(gòu)中，有15 個(gè)都不同程度地利用GPS 來提供授時(shí)信息”（如圖1 所示）。除了授時(shí)以外，GNSS 所提供的定位、導(dǎo)航能力的應(yīng)用領(lǐng)域?qū)嶋H上更為廣泛。

圖1 美國關(guān)鍵基礎(chǔ)設(shè)施等對(duì)GPS 的依賴性

另外，從GNSS 相關(guān)產(chǎn)業(yè)規(guī)模的不斷擴(kuò)大也可以看得出GNSS 的重要性。根據(jù)相關(guān)研究，2025 年GNSS 產(chǎn)業(yè)規(guī)模（包括設(shè)備、增強(qiáng)服務(wù)、增值服務(wù)）或?qū)⑦_(dá)到近2800 億美元，如圖2 所示。

圖2 全球GNSS 產(chǎn)業(yè)規(guī)模發(fā)展預(yù)測

2 GNSS 脆弱性分析

作為一種工作于開放式電磁環(huán)境中的用頻系統(tǒng)，GNSS 系統(tǒng)存在多方面脆弱性。除了可能遭受動(dòng)能武器等的“硬殺傷”攻擊以外，GNSS 系統(tǒng)還可能遭受多種“軟殺傷”攻擊，包括電磁干擾、電磁欺騙、賽博攻擊、多徑衰落、大氣活動(dòng)影響等，如圖3 所示。其中，電磁欺騙事件近年來不斷涌現(xiàn)，成為GNSS 系統(tǒng)面臨的主要威脅之一。

圖3 GNSS 典型脆弱性

3 GNSS 對(duì)抗策略研究

GNSS 欺騙屬于GNSS 電子攻擊方式中的一類。關(guān)于GNSS 欺騙與GNSS 干擾之間的關(guān)系，有2 種主流理解方式：其一，GNSS 欺騙屬于GNSS 干擾的一類，稱作欺騙式干擾，與GNSS 拒絕服務(wù)式干擾并列；其二，GNSS 欺騙與GNSS 有意干擾（jamming）、GNSS 無意干擾（interference）并列（本文即按照這一分類方法來介紹）。然而，不管從分類方面如何界定，從技術(shù)層面來講，GNSS 欺騙還是非常明確且清晰的。

目前，GNSS 所面臨的電子攻擊威脅主要包括干擾和欺騙2 類，而干擾則包括有意干擾與無意干擾2類。無意干擾指的是那些事實(shí)上阻止了GNSS 信號(hào)接收的無意信號(hào)輻射，可以是帶內(nèi)干擾，也可以是帶外干擾。有意干擾指的是旨在拒止GNSS 接收機(jī)接收GNSS 信號(hào)的有意信號(hào)輻射。欺騙（干擾）指的是旨在讓GNSS 接收機(jī)報(bào)告錯(cuò)誤位置或時(shí)間信息的欺騙性活動(dòng)。

上述三種攻擊策略針對(duì)的都是GNSS 接收機(jī)（通用框圖如圖4 所示），而GNSS 欺騙的前期環(huán)節(jié)重點(diǎn)針對(duì)GNSS 信號(hào)的捕獲與跟蹤環(huán)節(jié)開展攻擊。在遭受干擾的情況下，GNSS 接收機(jī)主要會(huì)受到如下3 方面影響：其一，由于載噪比（CNR）性能下降，導(dǎo)致跟蹤丟失、可用觀測量減少、出現(xiàn)周跳（Cycle Slips）現(xiàn)象；其二，編碼與相位觀測量中的噪聲增加，導(dǎo)致定位、導(dǎo)航與授時(shí)精度下降；其三，捕獲時(shí)間變長，導(dǎo)致接收機(jī)啟動(dòng)到實(shí)現(xiàn)首次定位的時(shí)間變長。

圖4 GNSS 接收機(jī)通用框圖

3.1 GNSS 欺騙基本原理

GNSS 欺騙尚沒有精準(zhǔn)的定義，其中，“欺騙”（spoofing）借用的是信息安全領(lǐng)域（尤其是網(wǎng)絡(luò)安全領(lǐng)域）中的“欺騙攻擊”（spoofing attack）。在信息安全領(lǐng)域內(nèi)，“欺騙攻擊”指的是一個(gè)人或一個(gè)程序利用數(shù)據(jù)篡改成功偽裝成另一個(gè)人或另一個(gè)程序的過程，其目的是獲取情報(bào)。

GNSS 欺騙攻擊與信息安全領(lǐng)域內(nèi)的欺騙攻擊手段相類似，其最終目標(biāo)是欺騙遭受攻擊的GNSS 接收機(jī)。具體方式包括：向GNSS 接收機(jī)廣播錯(cuò)誤的GNSS 信號(hào)，但這些信號(hào)經(jīng)過了特殊設(shè)計(jì)，與正常的信號(hào)相似；向GNSS 接收機(jī)轉(zhuǎn)發(fā)從其他時(shí)間、其他地點(diǎn)截獲的真實(shí)信號(hào)。遭受欺騙的GNSS 接收機(jī)則會(huì)計(jì)算出一個(gè)錯(cuò)誤的位置或錯(cuò)誤的時(shí)間。典型的GNSS欺騙攻擊設(shè)備如圖5 所示。

導(dǎo)航接收機(jī)的信號(hào)處理過程主要用到2 方面信息，即調(diào)制的測距碼（ranging code）和GNSS 信號(hào)中所傳遞的導(dǎo)航數(shù)據(jù)信息。從這一角度出發(fā)，GNSS 欺騙大致可分為如下3 類。

1）信號(hào)處理級(jí)欺騙攻擊。民用GNSS 信號(hào)的很多參數(shù)都是公開的，如，調(diào)制樣式、偽隨機(jī)碼、發(fā)射頻率、信號(hào)帶寬、多普勒距離、信號(hào)強(qiáng)度等。因此，只要了解了某一GNSS 接收機(jī)的通用結(jié)構(gòu)和操作基礎(chǔ)，欺騙干擾機(jī)就可以產(chǎn)生與真實(shí)GNSS 信號(hào)類似的偽造信號(hào)，并可以通過改動(dòng)目標(biāo)接收機(jī)的各種參數(shù)（信號(hào)幅度、碼延遲、多普勒頻移、載波相位等）來對(duì)其實(shí)施有效的誤導(dǎo)。

2）數(shù)據(jù)比特級(jí)欺騙攻擊。GNSS 信號(hào)的幀結(jié)構(gòu)是公開的，導(dǎo)航信號(hào)幀包含多種信息，如星歷等。這類信息短期內(nèi)不怎么變化，例如，盡管接收機(jī)在1 min之內(nèi)即可捕獲星歷信息，但星歷的持續(xù)時(shí)間卻長達(dá)12.5 min。因此，欺騙干擾機(jī)可擁有足夠的時(shí)間來偽造一個(gè)GNSS 數(shù)據(jù)幀。

3）基于預(yù)測的攻擊。無論是信號(hào)處理級(jí)欺騙還是數(shù)據(jù)比特級(jí)欺騙，都基于這樣一個(gè)前提，即，假定GNSS 衛(wèi)星發(fā)射的測距碼和數(shù)據(jù)比特流已知。若信號(hào)采用了某些認(rèn)證手段，則上述前提就不再具備。在這種情況下，欺騙干擾機(jī)就必須基于其接收到的包含噪聲的信號(hào)來合成“近似的”測距碼和比特流。要實(shí)現(xiàn)這一點(diǎn)，就需要用到基于預(yù)測的攻擊。

圖5 典型的GNSS 欺騙攻擊設(shè)備

3.2 GNSS 欺騙常見類型綜述

實(shí)際操作過程中，攻擊者會(huì)綜合利用上述攻擊手段，以“引導(dǎo)”GNSS 接收機(jī)計(jì)算出預(yù)期的“位置-速度-時(shí)間”（PVT）解。不同的組合會(huì)生成不同的GNSS 欺騙類型。

3.2.1 信號(hào)處理級(jí)與數(shù)據(jù)比特級(jí)欺騙攻擊

信號(hào)處理級(jí)欺騙攻擊和數(shù)據(jù)比特級(jí)欺騙攻擊這2種攻擊手段的綜合應(yīng)用，可產(chǎn)生多種不同的攻擊類型。

1）延遲抬升（Lift-offdelay，LOD）欺騙攻擊

延遲抬升（LOD）欺騙攻擊過程中，欺騙干擾機(jī)通過如下方式偽造欺騙信號(hào)：一開始，欺騙信號(hào)幅度很小，且與實(shí)際信號(hào)之間存在相對(duì)延遲；然后，干擾機(jī)逐漸降低相對(duì)延遲，同時(shí)增加信號(hào)幅度；當(dāng)欺騙信號(hào)與實(shí)際信號(hào)之間沒有延遲（相對(duì)延遲為零）且信號(hào)幅度相接近時(shí)，欺騙信號(hào)功率開始增加并逐漸超過真實(shí)信號(hào)功率，同時(shí)相對(duì)延遲也逐漸增加；最終，接收機(jī)的跟蹤點(diǎn)離實(shí)際信號(hào)的參數(shù)越來越遠(yuǎn)（即，實(shí)現(xiàn)“抬升”）。這種欺騙干擾方式的原理與效果如圖6 所示，圖中，欺騙攻擊從T2 開始發(fā)起。

圖6 LOD 攻擊原理與攻擊效果

2）對(duì)準(zhǔn)抬升（Lift-off-aligned ，LOA）欺騙攻擊

對(duì)準(zhǔn)抬升（LOA）欺騙攻擊攻擊與“延遲抬升”攻擊過程類似，只是在欺騙信號(hào)與真實(shí)信號(hào)幅度接近之前，欺騙信號(hào)與真實(shí)信號(hào)在時(shí)間上一直是對(duì)準(zhǔn)的（相對(duì)延遲為零）。若這類欺騙信號(hào)突然出現(xiàn)，則會(huì)造成真實(shí)信號(hào)跟蹤參數(shù)的劇烈變化。

對(duì)于處于信號(hào)捕獲階段的接收機(jī)而言，更容易遭受這種欺騙攻擊。若這種欺騙攻擊手段與自欺騙設(shè)備（self-spoofing device）搭配使用，則對(duì)于處于信號(hào)跟蹤階段的接收機(jī)也會(huì)造成很大影響。

3）轉(zhuǎn)發(fā)（MEAC）與選擇性延遲（SD）欺騙攻擊

轉(zhuǎn)發(fā)（Meaconing）指的是首先利用接收設(shè)備記錄下真實(shí)的GNSS 信號(hào)，然后將該信號(hào)進(jìn)行適當(dāng)?shù)难舆t并放大以后再發(fā)射出去。這樣，被攻擊的接收機(jī)所定位的位置就是欺騙干擾機(jī)的位置。理論上說，這種欺騙方式對(duì)任何的GNSS 信號(hào)都有效，即便是加密的軍用信號(hào)亦是如此。轉(zhuǎn)發(fā)欺騙攻擊的原理如圖7 所示。

選擇性延遲（selective delay）攻擊可視作一種更加“高端”的轉(zhuǎn)發(fā)攻擊。欺騙干擾機(jī)利用多部接收天線并采用相控陣信號(hào)處理技術(shù)來在單一信道中記錄、轉(zhuǎn)發(fā)每一顆導(dǎo)航衛(wèi)星的信號(hào)。此外，欺騙干擾機(jī)也可以僅利用一部天線來接收，但通過跟蹤不同的偽隨機(jī)碼來分離所接收到的多個(gè)信號(hào)。這種攻擊方式可以獨(dú)立操縱每一顆衛(wèi)星的相對(duì)延遲，因此，理論上說可以產(chǎn)生任意的虛假位置。

實(shí)施選擇性延遲攻擊時(shí)，如果欺騙信號(hào)的幅度小于實(shí)際信號(hào)，則可產(chǎn)生“多徑攻擊”效果，因?yàn)榇藭r(shí)欺騙信號(hào)看似是一個(gè)多徑反射信號(hào)。這種情況下，盡管跟蹤點(diǎn)仍在真實(shí)信號(hào)附近，但GNSS 接收機(jī)的測距精確度會(huì)降低。

4）干擾與欺騙（JAS）攻擊

首先，欺騙干擾機(jī)通過大功率干擾迫使接收機(jī)進(jìn)入信號(hào)捕獲模式，并導(dǎo)致真實(shí)信號(hào)失鎖，同時(shí)，干擾機(jī)還發(fā)射欺騙信號(hào)。然后，大功率干擾停止，以便目標(biāo)接收機(jī)捕獲到欺騙信號(hào)。

5）非視距欺騙（NLOSS）攻擊

在諸如城市等復(fù)雜環(huán)境下，接收機(jī)通常既無法跟蹤到頭頂所有衛(wèi)星，也無法精確感知周邊的障礙物情況，此時(shí)即有望對(duì)其發(fā)起非視距欺騙。此時(shí)欺騙干擾機(jī)發(fā)射的信號(hào)僅僅是那些可能被遮擋的衛(wèi)星的信號(hào)，因此接收機(jī)很難發(fā)現(xiàn)欺騙信號(hào)的存在。非視距欺騙攻擊原理如圖8 所示。

圖7 轉(zhuǎn)發(fā)欺騙攻擊原理圖

圖8 非視距欺騙攻擊原理圖

6）軌跡欺騙攻擊

除了轉(zhuǎn)發(fā)欺騙以外，其它欺騙方式都可以獨(dú)立生成多個(gè)欺騙信號(hào)，或者目標(biāo)接收機(jī)利用這些信號(hào)還可以計(jì)算出同一個(gè)位置，后一種情況即稱為軌跡欺騙。攻擊者利用一套GNSS 信號(hào)模擬器來沿著目標(biāo)接收機(jī)的既定運(yùn)行軌跡捕獲其所有信道的跟蹤點(diǎn)，這樣，接收機(jī)用戶就會(huì)沿著欺騙的軌跡移動(dòng)。這種情況下，欺騙干擾機(jī)必須連貫產(chǎn)生特定軌跡所需的所有欺騙信號(hào)，以使得衛(wèi)星距離連貫性技術(shù)失效。

7）調(diào)零欺騙攻擊

欺騙干擾機(jī)發(fā)射的每個(gè)欺騙信號(hào)中都包含2 個(gè)信號(hào)：一個(gè)信號(hào)用來欺騙目標(biāo)接收機(jī)，以使其計(jì)算出錯(cuò)誤的位置、時(shí)間；另一個(gè)信號(hào)用來抵消真實(shí)的信號(hào)。這樣，就可以從目標(biāo)接收機(jī)所接收的信號(hào)中徹底消除真實(shí)信號(hào)的所有痕跡。

8）多天線欺騙攻擊

這種欺騙方式主要針對(duì)的是那些具備多天線接收能力的GNSS 接收機(jī)，而這類接收機(jī)通常會(huì)具備很強(qiáng)的抗欺騙能力，如，基于信號(hào)到達(dá)方向的抗欺騙能力。實(shí)施欺騙時(shí)，每一部欺騙干擾機(jī)天線都對(duì)準(zhǔn)接收機(jī)的某一部特定的天線，而且欺騙天線的定向性必須非常強(qiáng)以確保欺騙信號(hào)之間的方向隔離度。此外，欺騙天線與目標(biāo)接收機(jī)天線之間的位置也必須精心計(jì)算，以確保欺騙信號(hào)的到達(dá)方向從物理上來看比較合理。

綜合來看，多天線欺騙必須具備如下幾方面前提：欺騙天線與接收機(jī)天線之間的相對(duì)位置需精心設(shè)計(jì)；欺騙干擾機(jī)距離目標(biāo)接收機(jī)必須足夠近；欺騙天線波束必須足夠窄（定向性足夠高）?？傊?，這種欺騙實(shí)施起來非常困難，需結(jié)合諜報(bào)人員才具備可行性。

3.2.2 基于預(yù)測的欺騙攻擊

基于預(yù)測的欺騙攻擊主要包括驗(yàn)證碼估計(jì)與重放（SCER）攻擊、前向估計(jì)攻擊（FMA）、狀態(tài)建模攻擊（SMA）等。

1）驗(yàn)證碼估計(jì)與重放（SCER）欺騙攻擊

這種攻擊方式通過觀察所接收到的自由空間信號(hào)來估計(jì)驗(yàn)證碼或加密數(shù)據(jù)比特。一旦攻擊者得到了可靠的估計(jì)值，就立刻將其注入欺騙信號(hào)發(fā)生器中，并生成欺騙信號(hào)。

2）前向估計(jì)攻擊（FMA）欺騙攻擊

驗(yàn)證碼估計(jì)與重放攻擊關(guān)注的是從接收信號(hào)的一個(gè)個(gè)“片段”（如，一個(gè)個(gè)符號(hào)），并未充分利用這些片段之間的相關(guān)性。而前向估計(jì)攻擊則主要利用某些GNSS 信號(hào)中所采用的前線糾錯(cuò)編碼（FEC）所帶來的冗余度，以實(shí)現(xiàn)碼字中后續(xù)符號(hào)的預(yù)測。

3）狀態(tài)建模攻擊（SMA）欺騙攻擊

盡管攻擊者可能預(yù)測出足夠的導(dǎo)航信號(hào)符號(hào)來發(fā)起欺騙攻擊，但無法預(yù)測所有的符號(hào)。因此，目標(biāo)接收機(jī)可以利用這一點(diǎn)來實(shí)現(xiàn)抗欺騙，即，實(shí)施基于相關(guān)的信號(hào)驗(yàn)證。這種驗(yàn)證方法將接收到的符號(hào)與接收機(jī)中真實(shí)的安全相關(guān)符號(hào)進(jìn)行相關(guān)運(yùn)算，若收到的信號(hào)是真實(shí)信號(hào)，則相關(guān)運(yùn)算會(huì)得出一個(gè)特定均值的高斯分布。

狀態(tài)建模攻擊則利用了這樣一個(gè)事實(shí)：接收機(jī)無法區(qū)分是哪個(gè)符號(hào)內(nèi)累計(jì)的能量。攻擊者基于從此前接收到的符號(hào)中計(jì)算出的相關(guān)值先驗(yàn)知識(shí)，對(duì)每個(gè)欺騙符號(hào)的幅度進(jìn)行調(diào)節(jié)，即可以產(chǎn)生欺騙效果顯著的欺騙信號(hào)。

4 結(jié)束語

隨著GNSS 抗干擾技術(shù)的不斷發(fā)展，GNSS 的抗干擾性能得到了極大提高，同時(shí)，這也對(duì)GNSS 干擾技術(shù)的發(fā)展提出了新的挑戰(zhàn)。但不管GNSS 系統(tǒng)如何發(fā)展，鑒于其運(yùn)作環(huán)境復(fù)雜、信號(hào)不完善，總是存在脆弱性，存在著被欺騙干擾的風(fēng)險(xiǎn)。如何發(fā)展低成本、高效能的GNSS 干擾技術(shù)，如何利用各種欺騙干擾技術(shù)，進(jìn)行精確攻擊，將是未來導(dǎo)航對(duì)抗的一項(xiàng)發(fā)展重點(diǎn)?！?/p>