申远军，张驰

(中国科学院电磁空间信息重点实验室，中国科学技术大学电子工程与信息科学系，安徽合肥230027)

基于P(Y)码互相关的GPS信号欺骗检测技术研究∗

申远军，张驰

(中国科学院电磁空间信息重点实验室，中国科学技术大学电子工程与信息科学系，安徽合肥230027)

随着迈入高度信息化的时代，人类对能够提供全球性、全天候、连续性和实时性的高精度三维位置信息的GPS系统的依赖性越来越强。然而，由于GPS信号固有的脆弱性，用户端很容易遭受的欺骗攻击，跟踪捕获到欺骗信号，使得欺骗目标产生错误定位同时还不会引起欺骗目标的察觉。因此，本文提出一种基于P(Y)码互相关的欺骗检测技术，并对其原理进行详细的分析，还列举了基于该技术的应用方案，希望该项技术能对GPS欺骗检测领域发挥重要的作用。

GPS；P(Y)码；欺骗检测

0 引言

全球卫星定位系统(Global Positioning System，简称GPS)是美国国防部在20世纪70年代研制的新型卫星导航系统，是以人造卫星为导航台的无线电导航定位系统。该系统能为全球的海、陆、空的各类载体提供全天候、连续性和实时性的高精度三维位置、速度以及时间信息。随着GPS接收器的集成微小化，能够方便地嵌入到其他的通信、安全以及消费类电子产品中，GPS系统的应用领域得到极大扩展。GPS系统不仅仅应用于各种精确打击武器的制导、高速武器的跟踪和精确轨道测量等军事领域；而在空中交通管制、卫星定轨、海上导航、精密时间同步、位置服务等民用领域也扮演者重要的角色。

然而，由于GPS卫星一般距离地球非常遥远，约20200Km，当卫星发射的导航信号传播到地球表面的用户端时，导航信号已经十分微弱，最小信号电平甚至低到-166dBW，再加上无线信道环境复杂多变，GPS系统的用户端很容易被欺骗信号欺骗，计算出错误的位置信息。同时，由于GPS系统是一个广播系统，采取的是被动接收定位的模式，该模式能够满足多个用户自主导航定位的要求，使得用户数量可以不受限制，但导致了GPS系统失去了自我校正的功能，用户端接收到的信息的真伪也就无法通过系统来判别。

由以上分析，我们可以发现GPS系统是一个非常脆弱的系统，用户端很容易遭受的欺骗攻击，跟踪捕获到欺骗信号，使得欺骗目标产生错误定位同时还不会引起欺骗目标的察觉。GPS系统的信号频点、电文格式等信号结构都是公开的，攻击方就有可能利用自身的设备，产生伪造的导航信号，然后通过天线广播发射与真实信号相同或相似的虚假信号，引导用户端接收器对虚假信号进行捕获跟踪，使得接收器输出错误的位置信息，达到欺骗的目的。此外，美国的一个研究小组已经开发并公开一种具有多个不同攻击机制的便携式民用GPS欺骗器[1]，使得实施欺骗式攻击的威胁范围从具有高端设备的组织团体扩展到普通民众。

1 相关研究

国外很早就对GPS欺骗攻击展开了研究，早在1995年文献[2]就提出通过监测GPS接收信号的信号功率、信号到达角以及信号极化方式等特点，检测出GPS信号是否遭受到欺骗攻击。在后续的研究文献中又提出了接收器自动完好性监测(RAIM)技术[3]、基于多径估计的欺骗检测方法[4]、信号功率变化监测[5]、信号相对功率监测[5]、信号绝对功率监测[5]、残留信号分析[5]、和多普勒频移检测[5]等GPS信号欺骗检测技术。

对GPS欺骗检测技术研究已经有了比较多的文献，但是绝大部分的文献研究的技术只是在某种特定的欺骗攻击模式下提出来的，而且需要借助于一些硬件辅助设备，或者是对现有的GPS接收器硬件或软件进行部分的修改，不具有通用性和实际应用性。而本文研究的基于P(Y)码互相关的GPS信号欺骗检测技术不需要对现有的GPS系统及GPS信号做任何修改，而且也不需要借助任何辅助设备，就能实现对欺骗信号检测的目的。而且，该互相关检测技术可以保证第三方，比如交通监管者和位置服务提供商[6]，确保用户申请服务的位置信息是真实可靠的。

2 GPS信号欺骗检测基本原理

2.1 GPS信号的基本结构

每一颗GPS卫星都同时广播两个不同载波频率的信号:链路1上L1信号和链路2上L2信号。L1的中心频率是1575.42 MHz，而L2的中心频率是1227.6 MHz，这两个频率是卫星时钟频率10.23 MHz倍频而成的:

目前，L1的频率上有民用未加密的C/A码信号和军用加密P(Y)码信号，而L2的频率上只有军用加密P(Y)码信号。虽然，民用GPS信号并不是为一些重要性或安全性较高的应用场景设计，但是，民用GPS信号却被广泛应用于各种场景。而美国国防部保留军用加密信号，只允许一些授权用户使用，主要应用于军事等高安全性背景。下图2.1展示了完整的GPS信号结构。

图1 GPS信号结构

2.2 基本原理

每一颗GPS卫星都同时广播两种不同载波频率的信号:链路1上L1信号和链路2上L2信号，其中L1上调制了一个民用C/A信号和一个加密的军用P(Y)信号。

因此，在用户端接收器接收到的信号SL1(t)是由天线在可见视野范围内的N颗GPS卫星广播的射频信号Si(t)组成，再加上热噪声η(t):

其中L1是高频正弦载波的中心频率，i是天线可见视野范围内的第i颗GPS卫星；

值得留意的是，接收到的GPS卫星的广播信号的功率远低于热噪声基底，即广播信号被噪声信号所掩盖，只有通过与接收器产生的伪随机码复制信号进行相关处理或者通过高增益可控天线才能检测到广播的GPS信号。

那么在用户端＃1处接收到的来自具体的GPS卫星i的信号就可以表达成:

其中，下标C和P分别表示民用C/A码和加密P(Y)码；A和B是接收信号的功率参数；D是导航数据比特序列，取值为±1；xC和xP分别表示民用伪随机信号和加密伪随机信号；τC和τP分别表示两伪随机信号的时间延迟；fD表示GPS卫星i到接收器的多普勒频移(可能包括卫星和接收器时钟的频率偏移)；θ是接收到的GPS信号与接收器本地振荡器信号的相位差。

接收器将对接收到的信号进行一系列的处理:放大幅值、混频、下变频、低通滤波，然后在跟踪回路中对多普勒频移和载波相位进行估计，最后通过积分器处理得到基带信号，跟踪回路中信号表达式如下:

民用伪随机序列的检测和跟踪是通过在本地接收器复制一个随机序列，然后再与接收到的民用随机序列相乘。由于民用伪随机序列xC和加密伪随机序列xP正交，那么对于任意的延迟时间xC和xP，两个随机序列的互相关值为0。由此，可以得到正交通道和同相通道的信号表达式:

对大部分商用的GPS接收器而言，上述信号处理过程基本是相同的，只有微小的差异。而我们工作的创新点在于，利用地理位置上分隔开的两个接收器分别接收到的伪随机序列信号进行相关处理实现GPS欺骗信号的检测。该方案是基于以下事实:位置＃1处接收到的加密伪随机序列信号xP(t-τP，1)与位置＃2处接收到的加密伪随机序列信号xP(t＋Δt-τP，2)是一样的，其中Δt是GPS卫星到两个接收器广播信号传输时间的差值。

根据以上事实，将两接收器的正交基带信号做累加(相当于互相关操作)得到:

就会出现一个互相关峰值，意味着在位置＃1处和位置＃2处接收到的信号均含有加密伪随机信号分量，并且两信号互相关移动窗口时间 Δt＝τP，2-τP，1时才能出现相关峰。 而Δt由两部分组成:一部分是接收器时钟偏差，一部分是GPS卫星到两个接收器信号广播时间的差值。因此，通过测量P(Y)码互相关峰值的存在，就可以判定处接收到的GPS信号是真实可靠的；如果没有互相关峰值存在，即可判定接收到的是GPS欺骗信号。

2.3 基于P(Y)码的欺骗检测

当视野可见范围内有四颗GPS卫星存在的情况不仅可以求出请求端Rs真实位置所在的范围，还可以将该范围缩小到一定程度，计算出请求端Rs的真实位置。如图2.2所示，四颗GPS卫星共同存在的情形。

图2 四颗GPS卫星

假设请求端Rs和认证端Ra有四颗共同的GPS卫星:Tx1、Tx2、Tx3、Tx4。那么t时刻，从四颗GPS卫星广播的信号就是S1(t)，S2(t)，S3(t)，S4(t)。 假设Tx1在时刻t0广播 GPS 信号，在时刻到达请求端Rs，其中是信号传播时间。同一时刻t0＋请求端 Rs会接收到来自 GPS 卫星:Tx2、Tx3、Tx4的信号，分别用来表示信号传播的时间。在认证端Ra也会接收到相同的信号，分别用来表示信号从卫星Tx1，Tx2，Tx3，Tx4传播到认证端Ra的时间。

图3 峰值的相对时间延迟

用t21来表示在认证端测量出来卫星:Tx1、Tx2峰值时间差值，同理可以得到t31，t41，由此可以得到t21，t31，t41的表达式:

将未知量放在等式的左端得到:

又由于时间关系对应着距离关系得到:

每一个等式对应着一个双曲面，而两个双曲面的相交得到一条线段，线段与第三个双曲面相交得到点，即为请求端Rs的真实位置。

将计算出来的真实位置与Rs报告位置作比较，如果两者之间的差值在一定范围内，即可以认为请求端Rs报告的位置即为其真实位置，才可以判断请求端Rs接收到的GPS也就是真实的GPS信号，否则即可视为接收到的是GPS欺骗信号。

3 GPS信号欺骗检测的应用方案

3.1 实时化的GPS信号欺骗检测

此处文献[7]借助于英特网(Internet)实现了GPS信号欺骗检测的实时化处理。请求端Rs和认证端Ra的天线接收到广播的GPS信号之后进行了相同的数据处理过程，包括:放大幅值、混频、下变频、低通滤波、采样、量化，量化之后的数字信号被外围数字采集器收集，将数字信号存储在请求端或认证端的服务器处，然后通过Internet互相传递，实现实时化的GPS信号欺骗检测。该系统是一个对对称化的系统，因为借助于Internet之后P(Y)码的互相关处理以及欺骗检测的判断既可以在请求端处的服务器进行，也可以在认证端处的服务器实现。但是，在实际的应用场景中，请求端往往只是常用的商用GPS接收器，不具备强大的计算处理能力，而且请求端用户并不在意欺骗检测的过程，只需要判定接收的GPS信号是真实的还是欺骗信号。

3.2 分布式的GPS信号欺骗检测

文献[8]借助于3G/4G蜂窝移动网络实现了GPS信号欺骗检测的分布式处理。从第二章节的分析中，我们可以发现，利用现有GPS系统的广播信号的特点也是可以实现GPS信号欺骗检测过程的，但是在实际应用场景下，遭遇了新的挑战:1)认证端Ra接收GPS卫星的广播信号，有一定的概率遭受欺骗式攻击，即认证端接收器接收到欺骗信号，欺骗检测过程就会失效；2)认证端Ra接收的欺骗信号和请求的Rs接收的欺骗信号来自同一攻击者，在该情景下，在认证端Ra仍然会检测到相关峰的存在，欺骗信号欺骗成功。

为解决上述的两个问题，在文献[8]中采用分布式的处理方式，利用多个认证端，即使认证端接收器是移动状态、低质量、不可靠的甚至是被欺骗的，也能取得很好的欺骗检测效果。分布式的欺骗检测处理方式在应用的时候，根据实施P(Y)码互相关计算对象的不同有三种模式:请求端处理模式、认证端处理模式和第三方处理模式。

4 结语

GPS信号非常脆弱，用户端很容易遭受的欺骗攻击，跟踪捕获到欺骗信号，使得欺骗目标产生错误定位同时还不会引起欺骗目标的察觉。因此需要加强GPS信号欺骗检测技术的研究，本文提出的基于P(Y)码互相关的GPS信号欺骗检测技术方案是基于自身设备的方法主要通过相应算法实现，不需添加外设，成本较低，能够以较低的代价实现接收设备的升级换代，应用情景非常广泛。

[1]Humphreys T E，Ledvina B M，Psiaki M L，et al.Assessing the Spoofing Threat:Development of a Portable GPS Civilian Spoofer[C]//21st International Technical Meeting of the Satellite Division of The Institute of Navigation(ION GNSS 2008).2008:2314-2325.

[2]Key E L.Techniques to Counter GPS Spoofing[R]Internal memorandum:MITRE Corporation，1995.

[3]Ledvina B M，Bencze W J，Galusha B，et al.An In-Line Anti-Spoofing Device for Legacy Civil GPS Receivers[C]//ION NTM，San Diego，CA，2010:698-712.

[4]Ali K，Chen X，Dovis F.On the use of multipath estimating architecture for spoofer detection[C]//Localization and GNSS(ICL-GNSS)，2012 International Conference on.IEEE，2012:1-6.

[5]Wen H，Yih-Ru P，Huang J，et al.Countermeasures for GPS signal spoofing[J].Ion GNSS，2005.

[6]Harpes C，Jager B，Gent B.Secure localisation with location assurance provider[C]//ENC GNSS，Savannah GA，USA，2009.

[7]Hanlon B O，Bhatti J，Humphreys T E，et al.Real-time spoo fi ng detection using correlation between two civil GPS receiver[C]//ION GNSS，Nashville，Tennessee，2012:3584–3590.

[8]Heng L，Work D B，Gao G X.GPS Signal Authentication From Cooperative Peers[J].Intelligent Transportation Systems IEEE Transactions on，2015，16:1794-1805.

[9]Lo S，Lorenzo D D，Enge P，et al.Signal authentication:A secure civil GNSS for today[J].Inside GNSS，2009，4(5):30-39.

[10]Kaufman C，Perlman R，Speciner M.Network Security:Private Communication in a Public World[M]Prentice-Hall，USA，2002.

[11]Psiaki M L，O’Hanlon B W，Bhatti J A，et al.GPS spoo fi ng detection via dual-receiver correlation of military signals[J]IEEE Trans Aerosp Electron Syst，2013，49:2250–2267.

GPS Signal－Spoofing Detection based on P(Y)Code

SHEN Yuan-jun，ZHANG Chi
(Key Laboratory of Electromagnetic Space Information，Chinese Academy of Science，Department of Electronic Engineering and Information Science，University of Science and Technology of China，Hefei Anhui 230027，China)

Abstract:In the era of high informatization，people increasingly rely on GPS system，which could provide global，allweather，continuous and real-time 3D positioning information.However，due to the inherent vulnerability of GPS signals，the clients are prone to spoofing attacks，tracking spoofing signals and acquiring false positioning information，without any notice.Thus a novel spoofing detection technique based on P(Y)code cross-correlation is proposed，its principles exhaustively analyzed，and some involved application schemes also cited，all this may serve as a reference for the research in GPS spoofing detection field.

GPS； P(Y)code； spoofing detection

V448.2 [文献标志码]A [文章编号]1009-8054(2016)04-0109-04

2016-01-16

申远军(1990—)，男，硕士研究生，主要研究方向网络安全；

张驰(1977—)，男，博士，副教授，主要研究方向网络安全。