使用罗德与施瓦茨SMW200A的GNSS欺骗测试方案

PART 1

GNSS欺骗背景

全球卫星导航系统（GNSS）能够为近地空间各类用户提供全天候、连续、高精度的位置、速度和时间信息（PVT），具有其他系统不可比拟的性能优势。随着卫星导航定位技术的发展，其应用已逐步从军用扩展到民用，渗透至国民经济各部门，在航空、精确制导武器等军用领域以及民航、电信、金融、城市交通和铁路运输等国民经济领域得到了广泛应用。

由于导航信号到达地面时功率仅为-130dBm，十分微弱，而且民用信号体制公开，使得卫星导航系统极易受到各种干扰和欺骗的影响。随着卫星导航系统重要性的日益凸显，针对卫星导航的安全应用提出了严峻的挑战，GNSS抗干扰技术已成为国内外研究的热点方向。

GNSS干扰和欺骗轻则影响GNSS定位精度或提供错误的路线，降低服务质量，重则导致GNSS中断，提供虚假时间和位置信息，造成经济损失和军事行动失败等严重后果。尤其在未来导航战背景下，面对敌方有针对性施放的欺骗干扰信号，若没有有效的抗欺骗干扰技术，必将极大限制己方对卫星导航系统的应用，并带来战斗力和人员装备的损失。

图1 欺骗干扰示意图

PART 2

GNSS欺骗技术

01GNSS欺骗技术定义

欺骗技术是指：产生和真实卫星信号相似的虚假信号，在目标接收机接收信号的过程中和真实信号一同混入被接收机处理，迫使相关用户接收终端接收解算此类伪导航信号。因为欺骗信号本身的信号特点使得它隐蔽性极高，不易被传统的接收机发现。

卫星导航信号干扰主要有两种体制：压制干扰和欺骗干扰，压制干扰是指在卫星导航工作的频率上发射一定带宽和较高功率的噪声信号，使接收机信噪比下降，不能正常工作，而欺骗干扰是指复制与真实导航卫星信号具有完全相同码相位、载波频率和多普勒频移的假信号实现干扰。欺骗干扰在干扰隐蔽性和干扰效率方面的具有显著优势，欺骗干扰逐渐成为卫星导航干扰技术研究的热点。

图2 GNSS欺骗干扰攻击

02GNSS欺骗干扰分类

从GNSS测量定位原理来看，对GNSS接收机进行欺骗可以从两方面入手：一是增加信号传播时延，使观测到的伪距发生偏差，即转发式欺骗干扰；二是给出虚假的导航信息，使接收机解调的电文信息包含错误的星历信息或钟差信息，即生成式欺骗干扰。

1.转发式欺骗干扰

转发式欺骗干扰原理示意图如下图3所示，干扰源接收卫星导航信号后进行转发，经过延迟、功率放大后，由欺骗干扰设备向空中发射信号，使一定区域内的其他用户接收到干扰设备发送的信号，从而实现任意位置欺骗效果。转发式干扰实现需要从很低的信号中提取、放大信号，以保证信号不畸变或畸变很小，并提高输出信噪比。

图3 转发式欺骗干扰

实现上，实际是用一个延时设备将某一颗或者某几颗GPS卫星的导航信号进行了延时，使得让用户接收机得到错误的伪距（也就是自身位置与每颗卫星的位置距离）信息。卫星导航接收机定位的伪距观测方程如下：

其中，(

)为卫星位置，为接收机钟差，为卫星钟差，为大气延迟。

通过延迟转发后，其定位方程如下：

从上面的方程来看，后面增加的两项（

）即是欺骗设备增加的延时，造成接收机得到错误的伪距，从而导致接收机解算错误的位置信息，从而被欺骗。

2.生成式欺骗干扰

生成式欺骗干扰是在已知民用码前提下，干扰机不依赖GNSS系统，自主发射与真实信号相似的欺骗信号，通过两者相关峰的相对运动，欺骗峰凭借功率优势逐渐将真实相关峰剥离跟踪环路，进而控制跟踪环路。生成式欺骗信号码相位超前真实信号，因而不会当做多径信号，从而其隐蔽性更佳。

生成式欺骗干扰示意图如下图4所示，欺骗干扰机一般放置在目标用户天线的上方，以防欺骗信号被抑制。欺骗干扰机分为接收机模块、欺骗信号生成及发射模块。生成式欺骗通常需要两步完成：

1第一步：相位同步。接收机估计出目标接收机的导航信号参数，包括信号幅度、码相位、多普勒频移及预测导航电文，使生成的欺骗干扰信号到达目标接收机天线相位中心与真实码相位对准，此时，欺骗信号功率应低于真实信号。

2第二步：欺骗策略。当真实信号与欺骗信号码相位对准后，增加欺骗信号功率和码率，利用欺骗信号的功率优势，不断剥离真实信号的相关峰。

图4 生成式欺骗干扰

PART 3

GNSS欺骗测试

欺骗对卫星导航系统构成了严重的安全威胁，成功的欺骗攻击可能会在没有任何保护机制的情况下使接收机产生错误，比如欺骗飞机、银行或电网都可能带来严重的灾难性后果。

当前大多数欺骗检测方法都是基于接收方解析过程中的信息。将欺骗检测算法应用到接收机上需要对原接收机进行重新设计，限制了欺骗检测方法在出厂接收机上的应用。作为第一步，防欺骗接收设备应检测到攻击，第二步，能够恢复真实的GNSS计算结果。然而因为欺骗攻击的复杂性比较高，对GNSS接收设备的保护一直以来都是在得到结果之后才进行。

罗德与施瓦茨公司提供的导航模拟器SMW200A或SMBV100B可以让GNSS接收机设备制造商或集成商在实验室即可进行稳健的防欺骗测试，其测试方案如下：

方案一

利用SMW200A双通道进行欺骗测试

通过SMW200A的双通道功能，一个通道产生仿真的GNSS真实信号，另外一个通道产生欺骗的GNSS信号，可以轻松完成GNSS各种欺骗测试。

图5 使用SMW200A双通道测试GNSS欺骗

方案二

利用两台SMBV100B进行欺骗测试

通过两台SMBV100B完成，一台SMBV100B作为主设备，产生仿真的GNSS信号，另外一台SMBV100B作为从设备，产生欺骗的GNSS信号，保持两台设备的时间同步和频率同步，同样，也可以完成GNSS的各种欺骗测试。

图6 使用两台SMBV100B测试GNSS欺骗

不管是方案一还是方案二，都可以完成GNSS的欺骗测试，包括转发式欺骗和生成式欺骗测试，主要都是在卫星导航信号的功率、伪距、星历数据和时间等纬度做修改，以提供可靠的欺骗方式。下面介绍可能的各种GNSS欺骗方法。

01功率压制式欺骗

欺骗干扰设备产生的欺骗信号较简单，类似于噪声。这种情况，它不需要接收真实信号，也不需要考虑信号同步的问题，只要其功率大于真实信号，就可以影响接收机的捕获性能或导致跟踪环路失锁，在重新捕获阶段捕获到欺骗信号达到欺骗的目的。测试方法非常简单，可以采用双通道SMW200A，两个通道可产生不同位置和时间的GNSS信号，让其欺骗信号功率增加，造成接收机锁定在欺骗信号上。

02星历篡改式欺骗

由于欺骗信号伪码的周期重复特性，如果在一个伪码周期内欺骗不成功，该欺骗信号还可以自动在下一个伪码周期实施牵引，直至成功引导目标接收机。一旦欺骗信号成功牵引目标接收机伪码跟踪环路，干扰方则可以通过调整其发射的欺骗信号伪码相位控制目标接收机的定时定位结果，从而达到欺骗目标接收机的目的。其测试方法如下：

采用双通道SMW200A，一个通道Path A模拟位置A，另外一个通道Path B模拟位置B。首先两个通道都导入相同星历数据文件，一段时间后，将Path A的星历数据进行篡改后，观测接收机是否锁定在Path B模拟的位置坐标下，即可验证GNSS星历数据篡改的欺骗效果。仪表导入星历文件方法如下：

图7 星历文件导入

03伪距欺骗

通过修改导航模拟器的伪距值，从而造成欺骗对象得到错误的伪距测量值，进而解算出错误的位置信息，最终达到欺骗目的。其测试方法如下：

采用双通道SMW200A，一个通道产生GNSS仿真信号，另外一个通道产生GNSS欺骗信号。两个通道仿真的时间和位置都完全一样，然后，对欺骗通道的信号输出功率增加，同时，改变其伪距观测值。为了让欺骗效果更好，建议需要对多颗卫星进行伪距增加，一般来说，卫星数量越多效果越好。伪距设置方法如下图所示：

图8 伪距修改

04轨迹欺骗

轨迹欺骗式一种为对抗坐标跳变和来波方向检测等欺骗手段，该方法综合了转发式欺骗干扰和生成式欺骗干扰的特点。其原理利用GNSS接收机获取目标粗略位置，从中提取伪距、伪距变化率、授时、星历和信号强度等重要观测量，然后，将观测量连同欺骗坐标一同送入新的参数模型，从而获得欺骗信号参数，生成高度逼真的新轨迹。

对于采用导航模拟器测试仿真来说，比较简单，如下图所示，可以采用双通道SMW200A实现，一个通道模拟GPS，轨迹为蓝色线路，一个通道模拟北斗，轨迹为红色线路，其两条轨迹中间路线重叠，让接收机刚开始沿着重叠路线开始运行，到了一定时候，增加欺骗路线的输出功率，即可实现对接收机轨迹的欺骗模拟。

图9 同时播放两条不同轨迹文件

05时钟偏差欺骗

很多基础设施网络系统的授时与校频都依赖于GNSS系统，针对配置的GNSS授时接收机实施欺骗干扰，通过引入时间误差破坏系统时间，从而使其电力、通讯等系统瘫痪，可达到对敌软打击的目的。一种导航时间欺骗干扰方法，以低于10ns的步进，逐渐拉偏导航时间，用于解决由于对欺骗信号时间拉偏步进太大而无法有效进行授时时间欺骗干扰的问题。

采用双通道SMW200A，两通道采用1PPS严格同步，然后增加欺骗通道的信号功率，使得接收机捕获跟踪于欺骗信号。此时，以设定步进逐渐延迟本地1PPS信号，直到设定的时间拉偏值为拉偏目标值，然后以此时间拉偏值为准持续仿真发射欺骗导航射频信号。

图10 1PPS设置

PART 4

欺骗攻击应用实例

下图是对正在接收和处理真实 GNSS 信号的 GNSS 接收器执行欺骗攻击应用，案例使用 SMBV100B 来生成欺骗信号。此欺骗方法的装置包括两个GNSS接收机和一台GNSS模拟器SMBV100B及一个射频合路器，两个天线需要相距很近。

图11 欺骗攻击应用实际案例

GNSS天线1接收外部真实信号，并提供1PPS输出和10MHz参考信号。待欺骗攻击对象基于GNSS天线2接收到的外部真实卫星信号，也成功跟踪定位。同时，GNSS接收机在解码后，得到广播星历RINEX数据和解算出的位置坐标，将广播星历导入SMBV100B，同时基于收到的1PPS信号，通过时间触发方式，产生与真实卫星信号完全相同的卫星信号，此时，待欺骗攻击对象已经同时锁定了真实卫星信号和欺骗信号。然后，缓慢增加欺骗信号的参考功率，直到所有卫星的 C/N0 为 ~50 dBHz，所有信号都被连续稳定地跟踪，此时，逐步更改欺骗位置坐标，可以从欺骗攻击对象输出NMEA数据中看到，接收机已经成功跟踪到欺骗信号上，至此，完成了外场真实GNSS接收机的欺骗攻击。

结 语

总的来说，卫星导航的脆弱性注定为GNSS欺骗技术提供了市场，在应用上呈现出各种各样华丽的欺骗攻击。欺骗与抗欺骗技术是矛与盾的关系，没有一种抗欺骗技术能够检测所有的欺骗攻击，也没有一种欺骗技术能够使所有的抗欺骗技术失效。欺骗技术的进步会促进抗欺骗技术的发展，抗欺骗技术的完善也会使得越来越多更先进的欺骗手段涌现出来，两者之间此消彼长，你追我赶。因此，导航系统的欺骗与抗欺骗技术的研究工作永远在路上。

本文从欺骗攻击的背景出发，介绍了各种卫星导航的欺骗技术原理，同时，针对目前市场上出现的各种欺骗攻击，罗德与施瓦茨提供了基于R&SSMW200A或者R&SSMBV100B通用矢量信号源平台开发的专业导航功能，可以在实验室极其便利的完成欺骗仿真测试和新技术研究。

罗德与施瓦茨业务涵盖测试测量、技术系统、网络与网络安全，致力于打造一个更加安全、互联的世界。成立90 年来，罗德与施瓦茨作为全球科技集团，通过发展尖端技术，不断突破技术界限。公司领先的产品和解决方案赋能众多行业客户，助其获得数字技术领导力。罗德与施瓦茨总部位于德国慕尼黑，作为一家私有企业，公司在全球范围内独立、长期、可持续地开展业务。