为什么安全的 GPS 接收器对于 GNSS/INS 系统至关重要?
弹性 GPS/GNSS 接收器可保护 INS 系统免受干扰和欺骗
随着从农业、送货无人机到自动驾驶汽车等许多行业自动化和机器人化的发展,对准确且经济实惠的导航的需求不断增长。选择 GPS/GNSS* 定位接收器时,了解这些传感器的漏洞及其对导航系统可能产生的影响至关重要。对于机器人和自主设备来说,可用性是确保持续可靠服务的关键。靠近人类操作的机器人和无人机还需要考虑安全性。需要立即检测并标记 GNSS 干扰或欺骗,以便其他传感器可以接管。
大多数自主导航技术包括惯性导航系统 (INS),它由 GNSS 接收器和 IMU 传感器组成。GNSS 接收器提供全球地理坐标方面的绝对定位,而 IMU(惯性测量单元)则测量航向角、俯仰角和横滚角,从而提供移动系统的方向信息。
欺骗是对基于 GNSS 的 INS 系统的真正威胁,通过将安全机制纳入所有系统子组件可以最有效地缓解这种威胁。然而,由于欺骗发生在 GNSS 信号级别,因此可以在接收器内采用多种复杂的方法来检测和减轻欺骗。接收器的设计考虑到了安全性和稳健性,能够抵御干扰和欺骗等 GNSS 漏洞。利用这种强大的 GNSS 技术也具有成本效益,使公司能够将开发重点放在传感器融合和导航上。
干扰和欺骗是真实存在的
干扰是一种无线电干扰,它会压倒微弱的 GNSS 信号,导致精度下降,甚至可能丢失定位。无意干扰源包括业余无线电爱好者、海事和航空无线电定位系统以及靠近 GNSS 接收器的电子设备。还有一种被称为“干扰器”的故意干扰装置,有时会出现在试图避开道路收费的车辆上。
欺骗是一种智能干扰形式,它使接收器相信自己处于错误位置。欺骗行为曾出现在新闻中的一项引人注目的实验中,其中一辆特斯拉汽车被“误导”从高速公路出口驶出,而不是按照预期沿着高速公路行驶[1]。因此,干扰和欺骗都会对利用 GNSS 定位的 INS 系统产生不利影响。有关欺骗的更多信息,请参阅OSNMA:最新的 GNSS 反欺骗安全。
INS 如何会被堵塞和欺骗?
虽然 GNSS 提供绝对定位,但 IMU 测量相对运动,这会受到称为漂移的累积误差的影响,需要定期“重新校准”。在 GNSS/INS 系统中,两个传感器以这样的方式融合:GNSS 提供常规 IMU“校准”,IMU 提供 GNSS 的角度和外推或“平滑”。
干扰会导致定位丢失,这意味着 GNSS 接收器无法再用作 INS 解决方案的一部分。这可能会导致 INS 初始化时间更长或切换到航位推算模式(仅限 IMU 解决方案),此时位置将开始漂移。干扰还可能导致测量异常值,从而影响 GNSS/INS 算法(即深度或紧密耦合)。然而,欺骗给 GNSS/INS 系统带来了最高的安全风险。在欺骗攻击期间,如果欺骗者使用较小的定位增量,则 INS 解决方案可能会被“劫持”,而常见的反欺骗方法可能无法检测到这种情况。
常用INS反欺骗方法的漏洞
使用 GNSS 以外的传感器(例如 IMU 或里程计)可以通过检测 GNSS 与其他传感器之间的不一致来帮助标记欺骗行为。虽然此类传感器有助于降低欺骗风险,但它们不足以提供全面的保护,因为它们仅输出容易漂移的相对定位。例如,当 GNSS 卫星的可见性长时间丧失时,GNSS/INS 系统可能会出现一米或更多的漂移。欺骗者可以利用这种漂移现象逐渐劫持定位,增量与预期漂移相当。
下图演示了 GNSS/INS 系统用于检测欺骗的常见机制。系统初始化并开始接收新的 GNSS、IMU 和/或里程计数据,并不断检查其一致性。
图 1 GNSS/INS 系统通常会检查定位是否存在异常值以检测欺骗行为。然而,如果欺骗者使用较小的定位增量(在允许漂移的阈值内),则该机制不会检测到它。
如果欺骗攻击将定位增量保持在允许的阈值(设置为允许漂移)内,则这种机制将无法检测到。这就是为什么,为了获得最佳的系统保护和反欺骗弹性,应该在 GNSS 和 INS 级别的多个系统组件中内置。
在 GNSS 内可以最好地检测到欺骗行为
下面的道路测试显示了这种常见 INS 欺骗检查的漏洞,其中欺骗攻击是逐渐执行的,以垂直于运动方向的小增量进行。这些欺骗增量的幅度足够小,低于 IMU 的漂移阈值,这使得红线所示的 INS 系统可以接受。
图 2 红线是具有常见欺骗检查的 GNSS/INS 系统,该系统被使用小定位增量的欺骗者“劫持”。橙色线是 GNSS/INS 系统,由于 GNSS 接收器检测到欺骗而保持正常运行
橙色线所示的系统在 GNSS 接收器中内置了反欺骗功能,可以拒绝欺骗信号并切换到航位推算,从而使其保持在正确的轨道上。如果欺骗攻击仅限于少数信号,那么 GNSS 接收器甚至可以通过从其定位解决方案中丢弃这些欺骗信号来避免攻击。
安全 GNSS 接收器保护 INS 系统
如上面的道路测试所示,如果 GNSS 接收器可以指示欺骗,或者如果它可以自行减轻欺骗,则 INS 系统将更具弹性。因此,在集成 GNSS/INS 解决方案时,了解 GNSS 中保护机制的作用并选择具有强大内部反欺骗防御系统或警告系统的 GNSS 接收器仍然至关重要。Septentrio 接收器还提供大量有关 GNSS 信号的信息,使用户能够深入了解欺骗信号,例如时间戳和功率级别。
在设计中实施安全措施的 GNSS 接收器将包括各个级别的欺骗弹性。例如,Septentrio AIM+高级干扰抑制技术是内置于接收器硬件和软件中的各种抗干扰和反欺骗组件的拼图:
信号处理(HW):信号认证(OSNMA)、信号比对和异常检测、跟踪中卫星一致性检查
测量引擎 (SW):原始测量的质量检查
定位引擎 (SW):接收器自主完整性监控(RAIM+) 和专有算法
图 3 最佳的 GNSS/INS 欺骗保护来自于多个系统组件内置的弹性。在 GNSS 接收器端,可以将反欺骗安全性纳入硬件和软件级别,例如 Septentrio AIM+ 技术。
GNSS 接收器和 INS 都有自己的欺骗保护机制,但是最佳的弹性来自于在组件级别上协同工作的检测和缓解机制的组合。
维护接收器核心的安全
与任何与安全相关的领域一样,需要不断改进以维持有效的反欺骗和抗干扰机制。鉴于当今 GNSS 用户面临的威胁日益增加,GNSS 制造商有责任寻求最有效的安全方法。通过投资具有内置弹性的 GNSS 接收器,集成商可以将安全维护工作留给 GNSS 制造商,而将精力集中在核心业务和传感器融合上。事实上,本文讨论的概念不仅适用于 GNSS/INS 系统,而且适用于任何传感器融合系统(包括 GNSS 接收器)。智能GNSS技术从核心层面保护接收器免受干扰和欺骗,确保系统运行安全可靠。
* GNSS:全球导航卫星系统,包括美国GPS、欧洲伽利略、俄罗斯格洛纳斯、中国北斗、日本QZSS和印度NavIC。这些卫星星座向接收器广播定位信息,接收器使用该信息来计算其绝对位置。
脚注 [1] 特斯拉 Model 3 在高速公路上被欺骗 – Regulus 导航系统被黑客攻击导致汽车自行启动。
相关客户案例
相关网络研讨会
相关宣传册
https://www.septentrio.com/en/learn-more/insights/insights/why-secure-gps-receivers-are-crucial-gnss/ins-systems