GNSS 欺騙攻擊綜述

鄭輝根，張春磊，李子富，張 慧，王雪琴

（中國電子科技集團第三十六研究所，浙江嘉興314001）

0 引言

全球?qū)Ш叫l(wèi)星系統(tǒng)（GNSS）所提供的定位、導(dǎo)航、授時（PNT）能力已成為軍用、民用領(lǐng)域內(nèi)不可或缺的關(guān)鍵能力。正因如此，GNSS 的安全性（包括物理安全性、電磁安全性、賽博安全性等）也成為各國在發(fā)展GNSS 時重點關(guān)注的性能之一。而隨著GNSS 干擾（jamming）、欺騙（spoofing）、賽博攻擊等技術(shù)不斷擴散且成本不斷降低，GNSS 安全性問題越來越嚴(yán)重。

近年來，GNSS 欺騙技術(shù)、方法不斷涌現(xiàn)，欺騙事件也層出不窮，對GNSS 安全性造成了很嚴(yán)重的影響。而GNSS 欺騙具備隱蔽性強、破壞力大、技術(shù)成熟等特點，已成為攻擊者最青睞的攻擊方式之一。與GNSS 欺騙相比，干擾、賽博攻擊等方式“劣勢”明顯：干擾容易被檢測到，隱蔽性差，被攻擊者容易找尋替代方案；賽博攻擊對技術(shù)要求較高，且效能不具備持續(xù)性。

1 GNSS 發(fā)展意義

從1960 年美國發(fā)射世界上第一顆導(dǎo)航衛(wèi)星“子午儀”（transit）算起，GNSS 已經(jīng)發(fā)展了將近60 年，目前已經(jīng)形成了以美國GPS 系統(tǒng)、中國“北斗”系統(tǒng)、俄羅斯“格洛納斯”系統(tǒng)、歐洲“伽利略”系統(tǒng)、日本“準(zhǔn)天頂”衛(wèi)星系統(tǒng)、印度區(qū)域?qū)Ш叫l(wèi)星系統(tǒng)（RNSS）等為代表的體系。

GNSS 的PNT 能力幾乎已經(jīng)滲透到了所有電子信息領(lǐng)域內(nèi)，如果沒有GNSS，很多正常的軍事、商業(yè)活動都無法開展。2012 年，美國國土安全部曾經(jīng)開展過一項關(guān)于GPS 依賴性的專項研究，并指出“美國19個關(guān)鍵基礎(chǔ)設(shè)施、關(guān)鍵資源機構(gòu)中，有15 個都不同程度地利用GPS 來提供授時信息”（如圖1 所示）。除了授時以外，GNSS 所提供的定位、導(dǎo)航能力的應(yīng)用領(lǐng)域?qū)嶋H上更為廣泛。

圖1 美國關(guān)鍵基礎(chǔ)設(shè)施等對GPS 的依賴性

另外，從GNSS 相關(guān)產(chǎn)業(yè)規(guī)模的不斷擴大也可以看得出GNSS 的重要性。根據(jù)相關(guān)研究，2025 年GNSS 產(chǎn)業(yè)規(guī)模（包括設(shè)備、增強服務(wù)、增值服務(wù)）或?qū)⑦_到近2800 億美元，如圖2 所示。

圖2 全球GNSS 產(chǎn)業(yè)規(guī)模發(fā)展預(yù)測

2 GNSS 脆弱性分析

作為一種工作于開放式電磁環(huán)境中的用頻系統(tǒng)，GNSS 系統(tǒng)存在多方面脆弱性。除了可能遭受動能武器等的“硬殺傷”攻擊以外，GNSS 系統(tǒng)還可能遭受多種“軟殺傷”攻擊，包括電磁干擾、電磁欺騙、賽博攻擊、多徑衰落、大氣活動影響等，如圖3 所示。其中，電磁欺騙事件近年來不斷涌現(xiàn)，成為GNSS 系統(tǒng)面臨的主要威脅之一。

圖3 GNSS 典型脆弱性

3 GNSS 對抗策略研究

GNSS 欺騙屬于GNSS 電子攻擊方式中的一類。關(guān)于GNSS 欺騙與GNSS 干擾之間的關(guān)系，有2 種主流理解方式：其一，GNSS 欺騙屬于GNSS 干擾的一類，稱作欺騙式干擾，與GNSS 拒絕服務(wù)式干擾并列；其二，GNSS 欺騙與GNSS 有意干擾（jamming）、GNSS 無意干擾（interference）并列（本文即按照這一分類方法來介紹）。然而，不管從分類方面如何界定，從技術(shù)層面來講，GNSS 欺騙還是非常明確且清晰的。

目前，GNSS 所面臨的電子攻擊威脅主要包括干擾和欺騙2 類，而干擾則包括有意干擾與無意干擾2類。無意干擾指的是那些事實上阻止了GNSS 信號接收的無意信號輻射，可以是帶內(nèi)干擾，也可以是帶外干擾。有意干擾指的是旨在拒止GNSS 接收機接收GNSS 信號的有意信號輻射。欺騙（干擾）指的是旨在讓GNSS 接收機報告錯誤位置或時間信息的欺騙性活動。

上述三種攻擊策略針對的都是GNSS 接收機（通用框圖如圖4 所示），而GNSS 欺騙的前期環(huán)節(jié)重點針對GNSS 信號的捕獲與跟蹤環(huán)節(jié)開展攻擊。在遭受干擾的情況下，GNSS 接收機主要會受到如下3 方面影響：其一，由于載噪比（CNR）性能下降，導(dǎo)致跟蹤丟失、可用觀測量減少、出現(xiàn)周跳（Cycle Slips）現(xiàn)象；其二，編碼與相位觀測量中的噪聲增加，導(dǎo)致定位、導(dǎo)航與授時精度下降；其三，捕獲時間變長，導(dǎo)致接收機啟動到實現(xiàn)首次定位的時間變長。

圖4 GNSS 接收機通用框圖

3.1 GNSS 欺騙基本原理

GNSS 欺騙尚沒有精準(zhǔn)的定義，其中，“欺騙”（spoofing）借用的是信息安全領(lǐng)域（尤其是網(wǎng)絡(luò)安全領(lǐng)域）中的“欺騙攻擊”（spoofing attack）。在信息安全領(lǐng)域內(nèi)，“欺騙攻擊”指的是一個人或一個程序利用數(shù)據(jù)篡改成功偽裝成另一個人或另一個程序的過程，其目的是獲取情報。

GNSS 欺騙攻擊與信息安全領(lǐng)域內(nèi)的欺騙攻擊手段相類似，其最終目標(biāo)是欺騙遭受攻擊的GNSS 接收機。具體方式包括：向GNSS 接收機廣播錯誤的GNSS 信號，但這些信號經(jīng)過了特殊設(shè)計，與正常的信號相似；向GNSS 接收機轉(zhuǎn)發(fā)從其他時間、其他地點截獲的真實信號。遭受欺騙的GNSS 接收機則會計算出一個錯誤的位置或錯誤的時間。典型的GNSS欺騙攻擊設(shè)備如圖5 所示。

導(dǎo)航接收機的信號處理過程主要用到2 方面信息，即調(diào)制的測距碼（ranging code）和GNSS 信號中所傳遞的導(dǎo)航數(shù)據(jù)信息。從這一角度出發(fā)，GNSS 欺騙大致可分為如下3 類。

1）信號處理級欺騙攻擊。民用GNSS 信號的很多參數(shù)都是公開的，如，調(diào)制樣式、偽隨機碼、發(fā)射頻率、信號帶寬、多普勒距離、信號強度等。因此，只要了解了某一GNSS 接收機的通用結(jié)構(gòu)和操作基礎(chǔ)，欺騙干擾機就可以產(chǎn)生與真實GNSS 信號類似的偽造信號，并可以通過改動目標(biāo)接收機的各種參數(shù)（信號幅度、碼延遲、多普勒頻移、載波相位等）來對其實施有效的誤導(dǎo)。

2）數(shù)據(jù)比特級欺騙攻擊。GNSS 信號的幀結(jié)構(gòu)是公開的，導(dǎo)航信號幀包含多種信息，如星歷等。這類信息短期內(nèi)不怎么變化，例如，盡管接收機在1 min之內(nèi)即可捕獲星歷信息，但星歷的持續(xù)時間卻長達12.5 min。因此，欺騙干擾機可擁有足夠的時間來偽造一個GNSS 數(shù)據(jù)幀。

3）基于預(yù)測的攻擊。無論是信號處理級欺騙還是數(shù)據(jù)比特級欺騙，都基于這樣一個前提，即，假定GNSS 衛(wèi)星發(fā)射的測距碼和數(shù)據(jù)比特流已知。若信號采用了某些認(rèn)證手段，則上述前提就不再具備。在這種情況下，欺騙干擾機就必須基于其接收到的包含噪聲的信號來合成“近似的”測距碼和比特流。要實現(xiàn)這一點，就需要用到基于預(yù)測的攻擊。

圖5 典型的GNSS 欺騙攻擊設(shè)備

3.2 GNSS 欺騙常見類型綜述

實際操作過程中，攻擊者會綜合利用上述攻擊手段，以“引導(dǎo)”GNSS 接收機計算出預(yù)期的“位置-速度-時間”（PVT）解。不同的組合會生成不同的GNSS 欺騙類型。

3.2.1 信號處理級與數(shù)據(jù)比特級欺騙攻擊

信號處理級欺騙攻擊和數(shù)據(jù)比特級欺騙攻擊這2種攻擊手段的綜合應(yīng)用，可產(chǎn)生多種不同的攻擊類型。

1）延遲抬升（Lift-offdelay，LOD）欺騙攻擊

延遲抬升（LOD）欺騙攻擊過程中，欺騙干擾機通過如下方式偽造欺騙信號：一開始，欺騙信號幅度很小，且與實際信號之間存在相對延遲；然后，干擾機逐漸降低相對延遲，同時增加信號幅度；當(dāng)欺騙信號與實際信號之間沒有延遲（相對延遲為零）且信號幅度相接近時，欺騙信號功率開始增加并逐漸超過真實信號功率，同時相對延遲也逐漸增加；最終，接收機的跟蹤點離實際信號的參數(shù)越來越遠(yuǎn)（即，實現(xiàn)“抬升”）。這種欺騙干擾方式的原理與效果如圖6 所示，圖中，欺騙攻擊從T2 開始發(fā)起。

圖6 LOD 攻擊原理與攻擊效果

2）對準(zhǔn)抬升（Lift-off-aligned ，LOA）欺騙攻擊

對準(zhǔn)抬升（LOA）欺騙攻擊攻擊與“延遲抬升”攻擊過程類似，只是在欺騙信號與真實信號幅度接近之前，欺騙信號與真實信號在時間上一直是對準(zhǔn)的（相對延遲為零）。若這類欺騙信號突然出現(xiàn)，則會造成真實信號跟蹤參數(shù)的劇烈變化。

對于處于信號捕獲階段的接收機而言，更容易遭受這種欺騙攻擊。若這種欺騙攻擊手段與自欺騙設(shè)備（self-spoofing device）搭配使用，則對于處于信號跟蹤階段的接收機也會造成很大影響。

3）轉(zhuǎn)發(fā)（MEAC）與選擇性延遲（SD）欺騙攻擊

轉(zhuǎn)發(fā)（Meaconing）指的是首先利用接收設(shè)備記錄下真實的GNSS 信號，然后將該信號進行適當(dāng)?shù)难舆t并放大以后再發(fā)射出去。這樣，被攻擊的接收機所定位的位置就是欺騙干擾機的位置。理論上說，這種欺騙方式對任何的GNSS 信號都有效，即便是加密的軍用信號亦是如此。轉(zhuǎn)發(fā)欺騙攻擊的原理如圖7 所示。

選擇性延遲（selective delay）攻擊可視作一種更加“高端”的轉(zhuǎn)發(fā)攻擊。欺騙干擾機利用多部接收天線并采用相控陣信號處理技術(shù)來在單一信道中記錄、轉(zhuǎn)發(fā)每一顆導(dǎo)航衛(wèi)星的信號。此外，欺騙干擾機也可以僅利用一部天線來接收，但通過跟蹤不同的偽隨機碼來分離所接收到的多個信號。這種攻擊方式可以獨立操縱每一顆衛(wèi)星的相對延遲，因此，理論上說可以產(chǎn)生任意的虛假位置。

實施選擇性延遲攻擊時，如果欺騙信號的幅度小于實際信號，則可產(chǎn)生“多徑攻擊”效果，因為此時欺騙信號看似是一個多徑反射信號。這種情況下，盡管跟蹤點仍在真實信號附近，但GNSS 接收機的測距精確度會降低。

4）干擾與欺騙（JAS）攻擊

首先，欺騙干擾機通過大功率干擾迫使接收機進入信號捕獲模式，并導(dǎo)致真實信號失鎖，同時，干擾機還發(fā)射欺騙信號。然后，大功率干擾停止，以便目標(biāo)接收機捕獲到欺騙信號。

5）非視距欺騙（NLOSS）攻擊

在諸如城市等復(fù)雜環(huán)境下，接收機通常既無法跟蹤到頭頂所有衛(wèi)星，也無法精確感知周邊的障礙物情況，此時即有望對其發(fā)起非視距欺騙。此時欺騙干擾機發(fā)射的信號僅僅是那些可能被遮擋的衛(wèi)星的信號，因此接收機很難發(fā)現(xiàn)欺騙信號的存在。非視距欺騙攻擊原理如圖8 所示。

圖7 轉(zhuǎn)發(fā)欺騙攻擊原理圖

圖8 非視距欺騙攻擊原理圖

6）軌跡欺騙攻擊

除了轉(zhuǎn)發(fā)欺騙以外，其它欺騙方式都可以獨立生成多個欺騙信號，或者目標(biāo)接收機利用這些信號還可以計算出同一個位置，后一種情況即稱為軌跡欺騙。攻擊者利用一套GNSS 信號模擬器來沿著目標(biāo)接收機的既定運行軌跡捕獲其所有信道的跟蹤點，這樣，接收機用戶就會沿著欺騙的軌跡移動。這種情況下，欺騙干擾機必須連貫產(chǎn)生特定軌跡所需的所有欺騙信號，以使得衛(wèi)星距離連貫性技術(shù)失效。

7）調(diào)零欺騙攻擊

欺騙干擾機發(fā)射的每個欺騙信號中都包含2 個信號：一個信號用來欺騙目標(biāo)接收機，以使其計算出錯誤的位置、時間；另一個信號用來抵消真實的信號。這樣，就可以從目標(biāo)接收機所接收的信號中徹底消除真實信號的所有痕跡。

8）多天線欺騙攻擊

這種欺騙方式主要針對的是那些具備多天線接收能力的GNSS 接收機，而這類接收機通常會具備很強的抗欺騙能力，如，基于信號到達方向的抗欺騙能力。實施欺騙時，每一部欺騙干擾機天線都對準(zhǔn)接收機的某一部特定的天線，而且欺騙天線的定向性必須非常強以確保欺騙信號之間的方向隔離度。此外，欺騙天線與目標(biāo)接收機天線之間的位置也必須精心計算，以確保欺騙信號的到達方向從物理上來看比較合理。

綜合來看，多天線欺騙必須具備如下幾方面前提：欺騙天線與接收機天線之間的相對位置需精心設(shè)計；欺騙干擾機距離目標(biāo)接收機必須足夠近；欺騙天線波束必須足夠窄（定向性足夠高）?？傊?，這種欺騙實施起來非常困難，需結(jié)合諜報人員才具備可行性。

3.2.2 基于預(yù)測的欺騙攻擊

基于預(yù)測的欺騙攻擊主要包括驗證碼估計與重放（SCER）攻擊、前向估計攻擊（FMA）、狀態(tài)建模攻擊（SMA）等。

1）驗證碼估計與重放（SCER）欺騙攻擊

這種攻擊方式通過觀察所接收到的自由空間信號來估計驗證碼或加密數(shù)據(jù)比特。一旦攻擊者得到了可靠的估計值，就立刻將其注入欺騙信號發(fā)生器中，并生成欺騙信號。

2）前向估計攻擊（FMA）欺騙攻擊

驗證碼估計與重放攻擊關(guān)注的是從接收信號的一個個“片段”（如，一個個符號），并未充分利用這些片段之間的相關(guān)性。而前向估計攻擊則主要利用某些GNSS 信號中所采用的前線糾錯編碼（FEC）所帶來的冗余度，以實現(xiàn)碼字中后續(xù)符號的預(yù)測。

3）狀態(tài)建模攻擊（SMA）欺騙攻擊

盡管攻擊者可能預(yù)測出足夠的導(dǎo)航信號符號來發(fā)起欺騙攻擊，但無法預(yù)測所有的符號。因此，目標(biāo)接收機可以利用這一點來實現(xiàn)抗欺騙，即，實施基于相關(guān)的信號驗證。這種驗證方法將接收到的符號與接收機中真實的安全相關(guān)符號進行相關(guān)運算，若收到的信號是真實信號，則相關(guān)運算會得出一個特定均值的高斯分布。

狀態(tài)建模攻擊則利用了這樣一個事實：接收機無法區(qū)分是哪個符號內(nèi)累計的能量。攻擊者基于從此前接收到的符號中計算出的相關(guān)值先驗知識，對每個欺騙符號的幅度進行調(diào)節(jié)，即可以產(chǎn)生欺騙效果顯著的欺騙信號。

4 結(jié)束語

隨著GNSS 抗干擾技術(shù)的不斷發(fā)展，GNSS 的抗干擾性能得到了極大提高，同時，這也對GNSS 干擾技術(shù)的發(fā)展提出了新的挑戰(zhàn)。但不管GNSS 系統(tǒng)如何發(fā)展，鑒于其運作環(huán)境復(fù)雜、信號不完善，總是存在脆弱性，存在著被欺騙干擾的風(fēng)險。如何發(fā)展低成本、高效能的GNSS 干擾技術(shù)，如何利用各種欺騙干擾技術(shù)，進行精確攻擊，將是未來導(dǎo)航對抗的一項發(fā)展重點。■