数字签名的卫星无线电导航信号的制作方法
数字签名的卫星无线电导航信号的制作方法
【技术领域】
[0001] 本发明大体上涉及卫星无线电导航信号(例如全球导航卫星系统(Global Navigation Satellite System, GNSS)信号或卫星基增强系统(Satellite-Based Augmentation System, SBAS)信号)的认证。具体地,本发明涉及一种用于对这类信号进行 数字签名的方法,以及涉及一种使用数字签名的认证方法。
【背景技术】
[0002] 在过去的十年间,民事应用对GNSS(更具体而言:GPS)的日益依赖己引起了对GNSS 安全的关注。所谓的沃尔普报告(Volpe Report)(依靠 GPS的交通基础设施的漏洞评估 (Vulnerability Assessment of the Transport Infrastructure Relying on the GPS)--2001年8月29日--John A.沃尔普国家运输系统中心(Volpe National Transportation Systems Center))中已对交通部门普遍地提出了这一问题。在定位群体 中,对0S(0pen Service,开放服务)信号认证的需求逐渐增加。在过去那些年,全球对用于 民事应用(一些涉及安全问题)的GPS的依赖已被视为对程序的担忧。民事认证尚未实施,但 研究群体已提出了一些提议。欧洲委员会和欧洲GNSS局正在研究将OS认证纳入伽利略服务 路线图。
[0003]在卫星导航领域,"认证"一词一般指由导航卫星信号计算的位置的真实性。为了 对一位置进行认证,需要确保在位置计算中所使用的信号的真实性,除此以外,接收机还必 须确保计算该位置的内部程序不是伪造的。在本文的上下文中,认证主要指信号认证。接收 机从卫星无线电导航信号中提取的信息的两个主要片段为卫星位置和时间信息(包含在导 航电文中)以及信号到达时间(在大部分接收机中通过码相位测量获得)。因而,无线电导航 信号的认证指:
[0004] ?确认从卫星传输的数据的真实性和完整性。
[0005] ?确认由接收机测量的信号到达时间的真实性。
[0006] 认证能保证一定程度的安全,从而抵抗攻击者可实施伪造无线电导航信号导致错 误位置的威胁。通常将这些威胁划分为人为干扰(jamming)、电子假冒(spoofing)和虚造干 扰。
[0007] (除了显著提高传输功率以外)无法通过修改信号特性来容易地转移人为干扰攻 击,因此人为干扰攻击不是本文的重点。人为干扰攻击会导致位置否认,而电子假冒或虚造 干扰攻击会导致错误位置,而且可能造成更危险的后果。
[0008] 过去已经提出了用于卫星无线电导航信号认证的若干方法。
[0009] 由Sherman Lo等人在2009年9月/10月的Inside GNSS上发表的"信号认证一当今 的安全民用GNSS(Signal Authentication-A Secure Civil GNSS for Today)"一文中公 开了一种GNSS信号认证方法,该方法依靠下述事实:GPS LI频率同时携带以相位正交 (phase quadrature)传输的C/A码和(加密)P(Y)码信号。该方法还利用了下述事实:如果将 卫星至接收机的信号时间差考虑在内,在第一定位(其位置有待认证的接收机的定位)处所 接收的P(Y)码序列与在第二定位(监测接收机的定位)处所接收的P(Y)码序列相同。在两个 定位处所记录的P(Y)码序列中的相关峰值的存在证实了信号的真实性(如果假设两个接收 机不是同时处于同一信号假冒攻击者的接收范围内)。此外,在US 2009/0195443和US 2009/0195354中公开了该方法的具体方面。
[0010]在http://www. ion.org/meetings/abstracts·cfm?paperID = 244上可在线查看 英国Astrium的M .Turner、Α· Chambers、E .Mak,英国NSL的E .Aguado、Β· Wales、Μ· Dumvi lie 以 及英国航天局(UKSA)的P. Lindsay所撰写的摘要"PROSPA:开放服务认证(PROSPA: Open Service Authentication)"中提到了所谓的PROSPA系统。最终的PROSPA系统将包括位于安 全中心处的"片断生成器"。该片断生成器本质上是PRS接收机。通过专有算法(proprietary algorithm,专用算法)生成加密PRS信号的片断,专有算法不会泄露加密码。在服务中心使 用片断校验接收机对片断进行检查,如果确认良好,则经由通信信道将片断分配至用户接 收机。然后,用户接收机能通过执行与PRS片断的时间对准相关性对开放服务信号进行认 证。相关性强表明存在PRS信号,因此该信号是真实的,并且适合使用。
[0011]美国专利5,754,657公开了 一种认证或校验方法,其中接收机(该接收机的位置有 待被确认有效或被确认无效)形成包括原始信号数据以及声称的位置和时间的"增强的数 据信号"。增强的数据信号被传输至中心站,该中心站本质上检查原始数据是否与声称的位 置和时间以及卫星播送的信号一致。
[0012] 美国专利申请2013/0060955公开了一种用于定位认证的系统和方法。客户端(接 收机)配置成接收每个导航卫星信号的导航电文。客户端估算导航电文中包含的导航数据 位(bit,比特)并计算取决于导航电文到达时间的签名(例如,签名可以是导航电文位(bit, 比特)的XOR总和)。认证服务器使用客户端声称的定位(或PVT)来估算客户端的签名。根据 客户端签名与服务器计算的客户端签名估算值的对比,确定声称定位的有效性或无效性。
[0013] 美国专利申请2010/0283671涉及一种接收用公共载体调制的多个信号的接收机, 多个信号中的每个信号来自不同来源,并在到达接收机之前经历传输延迟和多普勒频移, 传输延迟和多普勒频移与每个相应来源的位置和移动有关。接收机包括如定向天线的装 置,以确保接收的信号是真实的,或至少不会经受与第二接收机可能经受的相同的一个或 多个伪造信号。
[0014] 美国专利申请2009/0316900公开了一种使用定位相关的导航信号对数据安全地 进行"地理加密(geoencrypt)"的数据加密和解密系统。
[0015] 国际专利申请WO 2011/157554 Al涉及一种使用无线电导航信号接收机提供可认 证时间和定位指示的方法。该方法包括接收从多个无线电导航信号源播送的无线电导航信 号,至少一些无线电导航信号包含通过加密而保护的一个或多个密码令牌,密码令牌时时 更新。接收机通过解密而从包含密码令牌的无线电导航信号中恢复(retrieve,检索)密码 令牌。然后,接收机根据所接收的无线电导航信号确定表示接收机的地理位置和时间的定 位数据。接收机使用至少将定位数据和恢复的密码令牌作为输入的密码函数生成数字认证 码,并产生包括包含定位数据的第一部分和包含数字认证码的第二部分的数据包。
[0016] 由Kyle WessoruMark Rothlisberger和Todd Humphreys在NAVIGATION第59卷第3 期第163-248页上所发表的论文"实用密码民用GPS信号认证(Practical Cryptographic Civil GPS Signal Authentication)"提到了名为导航电文认证(Navigation message authenticati〇n,NMA)的技术的实施,根据该技术,低速率的导航电文被加密或数字签名, 从而允许接收机验证GPS控制分段是否生成了数据。
[0017] 由Guenter W.Hein、Felix Kneiss I、Jose-Ang el Avila-Rodriguez和Stefan Wallner在2007年9月/10月的Inside GNSS上所发表的工作论文"认证GNSS-防电子假冒的 证据一第2部分(Authenticating GNSS-Proofs against Spoofs一Part 2)"提出了用于 伽利略信号认证的标准NMA方法。
[0018] 技术问题
[0019]本发明的目的在于实现安全防护水平良好的卫星无线电导航信号的认证。
【发明内容】
[0020] 本发明的第一方面涉及一种用于对卫星无线电导航信号进行数字签名的方法。该 方法包括:
[0021] ?控制第一无线电导航卫星,使得例如当第一卫星当前未连接到地面任务分段 时,卫星在由第一卫星播送的第一导航电文中插入不可预知位,如随机或伪随机位序列;
[0022] 〇通过将密码杂凑函数(cryptographic hash function,加密散列函数)应用至 导航电文并随后加密而生成包含不可预知位的导航电文段的数字签名;
[0023] ?将数字签名传输至与地面任务分段链接的第二无线电导航卫星;以及
[0024] ?控制第二卫星,使得第二卫星在由第二卫星播送的第二导航电文中插入数字签 名。
[0 025]本领域技术人员可以看出,本发明依靠新的构思,可将该构思视为"交叉"导航电 文认证,因为认证导航电文的数字签名并非作为同一电文的一部分发送,而是作为短时间 (例如,几秒)后由另一卫星播送的导航电文的一部分发送。该方法基于下述原理:
[0026] ?定期从卫星生成并传输随机或伪随机(不可预知)位,所述卫星在播送所述卫星 的导航电文时不需要连接至地面任务分段。
[0027] ?为来自这些卫星的数据生成数字签名,并通过其他卫星传输数字签名。
[0028] 攻击者无法轻易假冒导航电文,因为该导航电文包含不可预知位模式,该不可预 知位模式会同时或在几秒后通过数字签名进行验证。
[0029] 应注意的是,术语"不可预知位"指这样的位,用户接收机无法预知所述位的值。因 此,该术语的使用并不意在排除生成数字签名的(值得信任的)实体对位值的预知性。
[0030] 根据本发明的优选实施方式,在监测接收机上或在监测接收机网络上接收第一卫 星的包含不可预知位的导航电文,所接收到的导航电文用于生成数字签名。根据本发明的 该实施方式,生成数字签名的实体不需要提前知道该不可预知位。该方法的缺点是其固有 的延时,原因在于下述事实:必须首先接收待签名的电文,然后必须将签名上传至签名卫星 (第二卫星)。如果数字签名生成实体提前知道(但接收机不知道)不可预测位,则能够以明 显更短的延迟或甚至同时播送待签名的导航电文(来自第一卫星)和数字签名(来自第二卫 星) 。
[0031] 要理解,所提出的认证解决方案需要对标准卫星无线电导航基础设施做较少的修 改。在系统端(相对于用户端),无线电导航卫星必须能在导航电文中插入不可预知位。通过 在无线电导航卫星上配备(伪)随机序列生成器或通过经由加密通信链路向卫星上传(伪) 随机序列,可实现这一点。此外,必须设置监测接收机或监测接收机网络,以接收由卫星播 送的导航电文,并提供密码杂凑函数的自变量(argument)。最后,必须将数字签名上传至播 送它们的卫星。这需要(地面任务分段与无线电导航卫星之间)的足够的上行链路容量以及 将数字签名插入导航电文中的可行性。
[0032] 一系列无线电导航卫星可包括多个未同时连接至地面任务分段的卫星。相应地, 第二卫星被优选地控制,使得第二卫星在第二导航电文中插入,该标识符将第一导航电文 标识为已被数字签名。换言之,如果存在来自不同卫星的多个第一导航电文,则标识符的作 用是标识卫星,标识符在数字签名底部的导航电文的起始点。
[0033]可对第一无线电导航卫星这样进行控制,使得第一无线电导航卫星在第一导航电 文中插入第一前导码,位于不可预知位之前并因此标识该不可预知位。第一前导码通知接 收机:卫星即将传输不可预知位。类似地,优选地,可对第二无线电导航卫星这样进行控制, 使得第二无线电导航卫星在第二导航电文中插入第二前导码,位于数字签名之前并因此标 识数字签名。第二前导码通知接收机:卫星即将传输数字签名。前导码很有用,因为在方法 实施过程中,一个特定无线电导航卫星的职责可随着时间变化:当卫星连接到地面任务分 段时,该卫星传输数字签名(即,该卫星作为第二卫星运行),但当卫星未连接到地面任务分 段时,该卫星定期传输卫星的不可预知位(即,卫星作为第一卫星运行)。
[0034]优选地,数字签名具有至少112位的等效对称密钥强度,以呈现出抵抗穷举密钥搜 索(exhaustive key search)或其他攻击的足够稳健性。
[0035]包含不可预知位并经过杂凑和签名的导航电文段优选地具有范围从400位(bit, 比特)至500位的长度。在伽利略OS信号中,这对应于不超过4s的传输时间。
[0036] 根据本发明的优选实施方式,包含不可预知位并经过杂凑和签名的导航电文段具 有至少448位的长度,密码杂凑函数为SHA-224,且加密基于E⑶SAK-233。
[0037] 如果在伽利略GNSS上实施根据本发明第一方面所述的方法,则第一导航电文和第 二导航电文优选地为伽利略E11/NAV电文。
[0038] 优选地,使用加密密钥对的私钥给第一导航电文段的杂凑值进行加密,加密密钥 对由遵从非对称加密方法的私钥和公钥构成。还可按照适于数据源认证(如省时流损失容 忍认证(time-efficient stream-loss tolerant authentication,TESLA))的对称方法执 行。
[0039] 本发明的第二方面涉及一种用于以用户接收机水平认证开放卫星无线电导航信 号的方法。该方法包括:
[0040] ?在用户接收机上接收第一无线电导航信号,该第一无线电导航信号携带由当前 可能未连接到地面任务分段的第一无线电导航卫星播送的第一导航电文,第一导航电文包 括包含不可预知位(例如,随机或伪随机位序列)的导航电文段;
[0041] ?在用户接收机上接收第二无线电导航信号,该第二无线电导航信号携带由当前 连接到地面任务分段的第二无线电导航卫星播送的第二导航电文,第二导航电文包含数字 签名,所述数字签名假定通过将密码杂凑函数应用至如由监测接收机或监测接收机网络所 接收的导航电文段并随即加密而获得;
[0042] ?将密码杂凑函数应用至包含不可预知位的第一导航电文段,以生成杂凑值;
[0043] ?解密第二导航电文中包含的数字签名;
[0044] ?比较杂凑值与解密后的数字签名。
[0045] 优选地,接收机配置成:如果杂凑值与解密后的数字签名匹配,如果接收机在接收 第一导航电文的过程中保持锁定第一无线电导航信号,以及如果接收机在接收第二导航电 文的过程中保持锁定第二无线电导航信号,则接收机认为第一无线电导航信号和第二无线 电导航信号是真实的。当接收机分别保持锁定第一无线电导航信号和第二无线电导航信号 时,如果没有检测到接收机钟跳或其他信号更改,接收机可继续认为第一无线电导航信号 和第二无线电导航信号是真实的。
[0046] 优选地,用加密密钥对的公钥进行解密。
[0047] 本发明的又一方面涉及一种卫星无线电导航信号接收机可执行的计算机程序,计 算机程序包括指令,当卫星无线电导航信号接收机执行所述指令时,所述指令使卫星无线 电导航信号接收机实施根据本发明第二方面所述的方法。计算机程序可体现在计算机程序 产品中,该计算机程序产品包括存储有指令的非易失性存储器,当卫星无线电导航信号接 收机执行所述指令时,该指令使卫星无线电导航信号接收机实施根据本发明第二方面所述 的方法。
【附图说明】
[0048] 下文将通过示例的方式并参考附图描述本发明的优选实施方式,附图中:
[0049] 图1为从(用户)接收机的角度看,基于本发明优选实施方式的构思的示意图。
[0050] 图2为从系统/服务提供商的角度看,基于本发明优选实施方式的构思的示意图。
[0051] 图3为伽利略ElB I/NAV电文如何用于传输不可预知位和数字签名的说明。
[0052]图4为示出了未连接至地面任务分段的6个卫星和连接至地面任务分段的2个卫星 的示例情况的示意图。
[0053]图5为启动阶段的接收机中的认证过程的时间图。
[0054]图6为当跟踪到8个卫星时接收机中的认证过程的时间图。
【具体实施方式】
[0055]下面将参考图1和图2讨论所提出OS认证构思的优选实施方式。该构思的目的在于 提供GNSS接收机能转换为认证的伪距并计算认证的位置的多个认证的空间信号。该构思基 于下述主要步骤:
[0056] ?从(暂时)未连接至地面任务分段的卫星定期地星载生成(on-board generation)并传输不可预知(随机或伪随机)数据位。
[0057] ?生成来自这些卫星的数据的数字签名,并通过连接至地面任务分段的卫星传输 数字签名。
[0058]攻击者无法假冒导航数据,因为该导航数据包含几秒后通过数字签名进行验证的 不可预知?目息。
[0059]图1示出了将其自身呈现给用户接收机Rx的所提出构思。Ρ1、Ρ2和Ρ3分别表示卫星 1、2和3的导航电文(或导航电文的一部分)。按照密码学的标准表示法,它们被称为Ρ,Ρ指 "明文",在这种情况下,即加密或签名之前的文本或电文。DS(Pl)、DS(P2)和DS(P3)表示PU P2和P3的数字签名。该数字签名从卫星4发送。
[0060]在所示出的情况中,卫星I、2和3未连接至地面任务分段,意味着没有地面任务上 行链路站在向它们传输任何数据,而卫星4连接至地面任务分段。
[0061 ]从用户接收机的角度,事件的顺序如下:
[0062] ?卫星1、2和3传输卫星的正常导航电文P1、P2和P3。除了卫星的通常内容(星历表 和时钟数据、电离层数据等)以外,这些电文还包括卫星星载生成的一些随机或伪随机位。 这些位没有意义,但对于任何假冒者都是不可预知的。
[0063] ?接收机通过标准杂凑算法杂凑P1、P2和P3,生成Η1\Η22和H33,此处的上标是指 该杂凑分别对应于从卫星1、2和3接收的数据。
[0064] ?接收机 将Hl1、Η22和Η33存储在存储器中。
[0065] ?在随后的几秒内,接收机从卫星4相继接收DSl、DS2和DS3。
[0066] ?接收机会通过数字签名验证过程检查数字签名的数据的真实性:
[0067]-接收机利用事先传输的公钥(Kpb)对DS(P1)、DS(P2)和DS(P3)进行解密,从而获 得杂凑值H14、H24和H34。
[0068]-接收机比较Hl1与H14,H22与H24以及H3 3与H34。如果全部相符(coincide,一致),则 意味着来自卫星1、2、3和4的信号是真实的。
[0069] 〇为了对数据已经过验证的卫星的测量到达时间(time-of-arrival,Τ0Α)进行认 证,接收机可通过人为干扰检测器、接收机钟跳检测器在整体测量一致性上执行本地检查。
[0070] ?为了保护认证过程,接收机优选地以防篡改措施为特色,所述防篡改措施防止 攻击者访问和/或控制存储有认证相关信息的存储区。
[0071] ?如果认证检查成功,则接收机可根据测量结果和来自至少四个认证的卫星的数 据计算认证的三维位置和时间。
[0072] 对于静态接收机,可使用与刚刚经过认证的位(bit,比特)关联的伪距测量结果, 即使它们对应不同的时间点。对于动态接收机,应同步用于位置计算的伪距测量结果。这意 味着信号可能在几秒前就已认证。然而,据推测,如果自最近一次成功的认证后GNSS信号仍 被接收机跟踪回路锁定,则这些信号在被用于位置计算的时刻非常有可能是真实的。这通 过下述事实强化:伪距测量结果之间应保持相干,如果不相干,则能检测到攻击。
[0073] 与标准数字签名算法(其中存在提供明文和数字签名两者的一个信息源)相反,本 发明使用交叉认证,在交叉认证中,经由不同的通信路径提供明文和对应的数字签名。具体 地,(一个或多个)明文发射机和(一个或多个)数字签名发射机是不同的卫星。如果明文对 于攻击者是不可预知的,则通过比较杂凑的明文和解码的数字签名,能同时认证两个来源。
[0074] 卫星必须使用使其导航电文(或导航电文的部分)不可预知的不可预知位。否则, 假冒者可在假冒信号到达时间时复制卫星1、2和3的导航电文,导致可能假冒的位置定位。
[0075] 图2示出了从系统/服务提供商角度的构思。事件的顺序如下:
[0076] ?卫星1、2和3传输卫星的正常导航电文P1、P2和P3。除了卫星的通常的内容(星历 表和时钟、电离层等)以外,这些电文还包括卫星星载生成的一些随机或伪随机位。这些位 没有意义,但对于任何假冒者都是不可预知的。
[0077]〇P1、P2和P3在地面被用于将数据传输至数字签名生成器(Digital Signature Generator,DSG)的接收机(称其为监测接收机,仅为与用户接收机区分)或监测接收机网络 接收。
[0078] ?数字签名生成器DSG将Pl、P2和P3杂凑为Hl、H2和H3并通过私钥(private key, Kpv)对杂凑进行加密而生成数字签名DSl、DS2和DS3。
[0079]〇数字签名定期被传输到相关GNSS的运行地面任务分段(Ground Mission Segment,GMS)。
[0080] 〇电文生成设施(Message Generation Facility,MGF)将DS位并入导航电文中, 并将导航电文传输至上行链路站(Up-Link Station,ULS),上行链路站将导航电文向上传 输至连接的卫星4。
[0081] ?卫星4在随后的几秒内传输数字签名。
[0082] 随后将更详细地解释卫星几何、电文长度、签名延迟和同步问题等方面。
[0083]图2示出的架构考虑了 GNSS地面任务分段周界之外的数字签名生成过程。虽然这 最小化了本发明的实施对地面任务分段的影响,但是也可以将(一个或多个)监测接收机和 数字签名生成器DSG并入地面任务分段。
[0084]下面将参考具体示例进一步说明本发明,在示例中,本发明用于认证伽利略ElOS 信号。
[0085] 如NIST所建议的,2011-2030期间数字签名的等效对称密钥强度达到至少112位 (像例如160位的更长长度要更谨慎,可在未来的实施方式中考虑)。为了实现112位的对称 密钥强度,
[0086] ORSA需要2048位的签名。考虑到系统性能,尤其是首次认证时间(丨11116-七〇- first-authentication,TTFA)和认证之间的时间(time between authentications,TBA) 对签名长度非常敏感,RSA似乎不是最佳选择。
[0087] ODSA需要448位的签名,这对于导航电文的传输更合理。
[0088]〇E⑶SA需要的签名大小与DSA的签名类似,但E⑶SA的计算较不复杂。
[0089] OTESLA方法暗示112位密钥的传输存在一定延迟,以及类似尺寸或尺寸更小的完 整的或截短的电文认证码(Message Authentication Code ,MAC),使该方法可能适用于作 为所提出发明的实施方式。
[0090] 由于ECDSA的成熟性和加密群体对ECDSA的接受度以及ECDSA的技术特征,目前看 来ECDSA是较好的选择。特别地,E⑶SA K-233将用于进一步解释。至于杂凑算法和杂凑长 度,可使用SHA-2 (带224位密钥,或SHA-224),因为SHA-2满足112位安全强度的要求。
[0091] 在该示例中,提出带E⑶SA K-233算法的SHA-224,数字签名长度为466位。然而,应 注意,只要签名的安全等级满足要求且数字签名的长度与导航电文中可用的空间兼容,也 可使用其他杂凑算法和加密算法。
[0092]待杂凑的电文长度必须是杂凑输出的至少2倍。利用SHA-224杂凑算法,应至少对 448位进行签名。对于伽利略ElB信号,这种数量的位能在4秒内传输;该时长对应2标称页的 数据(对于伽利略ElB导航电文中的信息,可参考:http://ec.europa.eu/enterprise/ policies/satnav/galileo/files/galile〇-〇s-sis-icd-issuel-revisionl_en.pdfJinJ 在线查看的2010年9月1.1期的开放服务空间信号接口控制文件(Open Service Signal-In-Space Interface Control Document)[OS SIS ICD])〇
[0093]对于待签名电文段的要求是,前后电文必须存在至少I位的差别,以避免相同签名 的重复。由于部分签名位是随机或伪随机的,因此前后签名将发生不可预知的变化。
[0094]出现的一个问题是,是否所有的导航电文数据都应进行签名,还是仅部分导航电 文数据应进行签名,或者是否通过定期验证一些位的真实性,么剩余的位就能视为是真实 的。该方面需要权衡。如果待签名数据的传输耗时太长,则认证延迟、首次认证时间和所需 的无误数据接收时间将更长。而且,如果检测到导航位错误,对于没有连续良好的可见性和 跟踪条件的用户,可能减少认证。另一方面,如果只认证了导航电文的一些位,则导航解决 方案可能失去部分稳健性,因为假冒者能形成其他类型的攻击,在这种情况下,一些导航位 (未认证的位)或所述导航位相关联的伪距测量结果会被伪造,而其他位(认证的位)则不会 被伪造。目前认为这类威胁较困难,因为需要以能预测用户轨迹的连续相干的方式修改来 自若干卫星的星历参数(轨道和时钟)才能伪造用户位置:
[0095] ?由于采用开普勒参数提供卫星轨道(参见OS SIS I⑶),因此很难(即便并不是 不可能)生成引起数分钟相干假冒位置的若干卫星的星历表数据问题。
[0096] ?至于时钟参数(OS SIS OCD中的af0、afl、af 2),它们是最容易修改的,因为它们 只是被添加到伪距测量结果中的。然而,要在接收机中连续相干地生成错误位置,需要逐渐 改变时钟参数的值。如果是这种情况,通过检查卫星时钟误差的更新速率,用户就能很容易 地意识到情况,因为伽利略导航(轨道和时钟)更新的周期不能低于10分钟,而且通常更新 的周期较长,达100分钟。
[0097] ?如果接收机锁定至开启又关闭的伪造信号以仅替代可预测位,这可通过信号电 平的不连续性来检测(例如,在自动增益控制器中通过J/N检测器检测)。然而,缺少该检测 特征可能导致对来自卫星的主要导航数据(轨道或时钟)进行签名的优选实施方式。
[0098] ?如果假冒者意在通过影响信号的非认证周期的ToA(到达时间)窜改位置,这将 导致容易地被检测为电子假冒攻击的跟踪回路的频繁失锁。
[0099] 对于本发明的示例实施,假设只需要几秒钟的数据定期认证就能确保传输的信号 是真实的。相应地,在下文中,经过签名的导航电文段对应于两导航数据页的伽利略ElB 1/ NAV电文(总共500位,在4s内传输)。
[0100] 在参考图1和图2所述的4个卫星的情况下,连接的卫星4只传输由未连接卫星1、2 和 3所传输的电文段的数字签名,而不对该卫星4自己的电文段之一进行签名。这在示例中 没有明确地实施,但另一实施方式可包括以下情况,即,数字签名不仅基于未连接卫星的导 航电文的杂凑,而且还基于卫星4的某些基础导航参数(像例如时钟和轨道)的杂凑。在上述 实施中,根据图1和图2所示的卫星4将传输DS(P1,P4)、DS(P2,P4)、DS(P3,P4)。
[0101] 根据伽利略OS SIS OCD,I/NAV电文的一个完整帧持续720s。每帧由24个子帧构 成,每个子帧持续30s。每个子帧包含15页所谓的标称页。每页标称页由'偶数'页和'奇数' 页构成,每页持续Is。'奇数'页包含字数据(星历表、年鉴等)和一些其他字段:'预留Γ、 SAR、备用、CRC和'预留2'。'偶数'页主要包含字数据。
[0102] I/NAV的一个特征在于可以预见在ElB和E5b信号中都发射I/NAV。该示例重点只在 ElB13ESb中是否也提供认证服务尚不明确。然而,应该注意的是,如果在E5b和ElB上实施相 同的交叉导航电文认证,随机或伪随机位序列必须彼此独立选择。例如,必须避免ElB中的 随机或伪随机序列不仅仅是E5b中序列的延迟(或提前)的相同副本。
[0103] 在说明示例中,随机或伪随机位序列以及数字签名(假设长度:466位)在I/NAV电 文的'预留Γ字段中传输。'预留Γ字段每标称页(即平均每2秒或20bps)提供40个自由位。 目前,尚未使用'预留Γ字段。而是由系统正发射所有设置为零的位。
[0104] 值得注意的是,'预留Γ数据意在通过实时连接至系统的外部来源引射到地面分 段。该特征允许将认证数据(即,计算的数字签名)提供至地面分段,除了使'预留Γ链路可 用外,无需对地面分段做任何修改。
[0105] '预留Γ字段的使用允许每2秒就从每个卫星传输认证数据(无论是随机或伪随机 序列还是部分数字签名)。由于每个子帧的所有标称页中都存在'预留Γ字段,因此能将数 字签名传输的系统延迟保持得较短。
[0106] 如果导航电文中的相同数据字段被用于随机或伪随机位序列和数字签名的传输, 贝IJ(用户)接收机需要能在随机或伪随机位序列与数字签名之间进行区分。具体地,'预留Γ 字段必须允许接收机区分下列情况:
[0107] 1)卫星未连接至地面任务分段并正发射随机或伪随机位。
[0108] 2)卫星刚连接至地面,等待与数字签名生成器DSG同步及传输新的签名。
[0109] 3)卫星连接并开始传输签名。
[0110] 4)卫星连接并已经在传输签名。
[0111] 为了实现这一点,'预留Γ字段定义如下:
[0112] 1)未连接至地面时,卫星将星载生成并发送下述位:
[0113] a)前导码(对于所有未连接卫星相同),其通知传输卫星未连接至地面任务分段, 因而未传输数字签名只传输随机或伪随机位。
[0114] b)随机或伪随机位。
[0115] 2)刚连接上时,以及在与数字签名生成器DSG同步之前的几秒内,卫星还未从地面 任务分段接收到数字签名数据。因此,卫星将发送不同的前导码,通知接收机即将传输签 名,随后是一些随机或伪随机位。如果另一卫星刚好在对新连接的卫星进行签名,在该阶段 发射随机或伪随机位序列允许有效认证。
[0116] 3)开始传输签名时,卫星将发送:
[0117] a)前导码(对于所有连接卫星相同),其通知接收机即将传输数字签名。
[0118] b)卫星的卫星ID,其I/NAV电文正在被签名。
[0119] c)数字签名的第一位。(每个数字签名横跨I/NAV电文的多页标称页。)
[0120] 4)已经在传输签名时,卫星将40个'预留Γ位专用于数字签名传输。由于缺少任何 上述前导码,接收机将能识别这种情况。
[0121]图3示出了位级的'预留Γ字段的定义,图3中前导码-NC代表"前导码-未连接", 艮P,该卫星前导码说明卫星未连接。前导码-S代表"前导码-同步",即,该前导码说明卫星正 在与数字签名生成器DSG同步,并将在几秒后开始数字签名传输。前导码-C代表"前导码-已 连接",即,该前导码表明卫星开始传输数字签名。下表给出了与所提出实施一起使用的位 的总结。可添加额外的位,以避免冲突的情况(在冲突的情况中数字签名部分与前导码一 致),或通过专用信道编码技术增加位接收误差的稳健性。
[0124] 上表表明完整的数字签名能在24秒内传输。卫星连接时,能连续传输签名。因此, 连接的卫星每96秒能发送4个数字签名。如果接收机正在从两个连接的卫星接收数据,这在 良好能见度情况下是可能的场景,且通过错开从两个卫星传输数字签名的开始时间使数据 传输以最佳方式同步,则接收机每12秒可接收到新的数字签名。还应注意的是,通过使不可 预知位对数字签名生成器来说是可预知的(例如,根据地面分段已知的起源生成伪随机序 列),能显著缩短延迟,因为数字签名生成器能在用户接收到待签名的数据的同时传输数字 签名。
[0125] 为了说明本发明的操作以及在具体的示例中给出初步性能评估,需要对系统延迟 进行一些假设。下表给出了这些假设。
[0127] 系统总延迟为8秒。这是数字签名生成器知道卫星已连接并能开始发送签名所需 的时间。在这段时间中,将发送"前导码-S"。考虑到签名生成和签名传输至地面任务分段可 在远少于2秒的时间内完成,上述延迟是非常保守的估计。利用这些假设,待签名的位流 (bitstream,比特流)的接收与对应签名的接收之间花费的时间为32秒(8s延迟+24s签名传 输时间)。
[0128] 在下文中,在接收机在露天条件下处于单机(即,无辅助)模式运行的情况下,将主 要从时间相关方面分析性能。分析中使用的单机使用情况假设(图4中示出)为:
[0129] 〇8个伽利略卫星(编号1至8)在接收机的可见范围内。
[0130] ?其中,2个卫星连接至地面任务分段(卫星3和6),6个卫星未连接(卫星1、2、4、5、 7 和8)。
[0131] ?卫星3对卫星1、2、4和5进行签名。卫星6对卫星4、5、7和8进行签名。这意味着有2 个卫星(4和5)重叠,并且从卫星3和卫星6中均接收到卫星4和5的签名。可能发生卫星对用 户未看见的其他卫星进行签名。图中未明确考虑这种情况,假设在露天条件下,只使用了某 海拔以上的已连接卫星。
[0132] 这种情况大约相当于,在伽利略系统已达到其完全运行能力后当用户不受阻挡地 看见天空时,用户所能预计的情况。8个卫星中的2个已连接(即,25%或30个中平均有7.5 个)的假设似乎是合理的,因为当前计划部署10个上行天线。上行链路容量越大,卫星的认 证间时间(TBA)越短,性能越好,直到半数的卫星在对另一半进行签名的情况。
[0133] 利用这些假设,得到了下述性能指标:
[0136] 这些性能指标的含义如下:
[0137] 〇"TTFA(卫星级)"指开始从特定卫星接收待签名数据与数据认证的时间之间消 逝的时间(4s数据接收+8s延迟+24s签名传输=36秒)。
[0138] 〇"TBA(卫星级)"指从特定已连接卫星接收到两个签名之间的时间。由于这两个 签名是连续传输的,因此"TBA(卫星级)"为24秒。
[0139] 〇"TBA(Rx级卫星)"指从任何已连接卫星接收到签名之间的时间。由于在所使用 的情况中存在2个已连接卫星,且假设所述2个已连接卫星以最佳方式同步,因此"TBA(Rx级 卫星)"为24/2 = 12秒。
[0140]〇"认证延迟"为待签名电文段最后一位的接收与对应数字签名的接收之间的时 间(8s延迟+24s传输=32秒)。注意,假设已连接卫星的认证延迟为0。
[0141] 〇"TTFLLA"或"完全认证所需时间"指接收机开始处理导航位与接收机能使用4个 或更多个已认证卫星计算位置之间的时间。这不是确定的衡量标准,但考虑到图5和图6,表 中的值变得似乎可?目。
[0142] 图5示出了接收机级的认证所需时间的时间图。暗框100表示来自将由已连接卫星 (图4中的卫星3、6,图5和图6中的SV3和SV6)签名的未连接卫星(图4中的卫星1、2、4、5、7和 8,图5和图6中的SVl、SV2等)的导航电文段。箭头102联系每个导航电文段与对应数字签名 DS的传输的开始,对应数字签名DS随后由另一卫星传输。标有*或#符号的单元格是指卫星 对(C和NC)已被认证。图表右下部分出现的数字表示认证延迟(按秒计),即,从第一卫星接 收导航电文段与从另一卫星接收对应数字签名之间花费的时间。
[0143] 卫星级的TTFA在36秒后发生,在此之后,用户可拥有部分认证的位置定位(即,结 合已认证和未认证卫星)。在示出的情况中,前4个卫星在48秒后认证(=TTFLLA)。
[0144] 图6的时间图示出了在处于静态模式的该示例配置中,用户如何观察认证频率和 延迟。如果用户总是采用4个最新认证的卫星,则'认证延迟',即接收到信号与信号被证实 为真实的之间花费的时间为22秒至34秒之 间。最新认证卫星的'认证延迟'为0秒至12秒之 间。这意味着,如果最后认证时信号未被假冒,则攻击者很难假冒位置。时间图表中间部分 出现的数字表示认证延迟,即,导航电文段接收结束与对应数字签名接收结束之间花费的 时间。图表下部出现的数字表示延迟最短的四个卫星的认证延迟及所述认证延迟的平均 值。平均值意为整体认证延迟的代表值。
[0145] TTFA、TBA、TTFLLA和延迟方面的所得性能对于天空能见度良好的典型情况下的单 机接收机看起来是合理的。
[0146] 在本说明书的最后部分,将讨论攻击者通过伪造导致错误位置定位的信号和/或 公钥而可能对用户造成的威胁。以定性方式描述所述威胁。
[0147] 所使用的术语为:
[0148] 〇Pi:卫星i的明文导航电文段,包括随机或伪随机位序列,
[0149] 〇?丨':卫星丨的假冒明文导航电文,
[0150] 〇Hi:来自Pi的杂凑,
[0151] 〇Hi':来自Pi'的杂凑,
[0152] 〇PRi :卫星i的伪距,
[0153] OPRi':卫星i的假冒伪距,
[0154] OKpvi:用于卫星i的私钥(以生成数字签名),
[0155] OKpvi ' :用于卫星i的错误(False,伪造)私钥,
[0156] OKpbi:用于卫星i的公钥(以解码数字签名),
[0157] OKpbi ' :用于卫星i的错误公钥,
[0158] 〇DSi :来自卫星i的导航电文的数字签名(基于Kpvi和Hi),
[0159] 〇DSi ' :来自卫星i的导航电文的假冒数字签名(基于Kpvi '和Hi或Hi ')。
[0160] 在分析所述威胁之前,先回想数字签名的以下特性:
[0161] ?攻击者不能通过获知Kpbi、Pi和DSi来猜出Kpvi。
[0162] ?给定Hi,攻击者不能生成DSi '以使Hi '(DSi ',Kpbi) =Hi。
[0163] 这些是接收机进行认证过程所遵循的步骤:
[0164] 1)在接收机中接收和存储Kpbi(约一年一次)。
[0165] 2)接收来自卫星i信号的Pi。
[0166] 3)计算来自卫星i信号的PRi。
[0167] 4)根据 Pi 计算 Hi。
[0168] 5)存储 Hi。
[0169] 6)接收来自卫星j的DSi。
[0170] 7)基于(至少四个卫星的)Pi和PRi计算位置。
[0171] 8)用Hi(Pi)验证位置计算中使用的卫星(或所述卫星的子集)的Hi(DSi,Kpbi)。
[0172] 下表给出了上述步骤中每步的可能威胁。
[0173]
[0175] 从(初步)威胁分析中可推断出,相比于其他数字签名过程,提出的"交叉导航电文 认证"(交叉NMA)的构思没有附加弱点。
[0176] 虽然交叉NMA主要意在保证导航数据的真实性,但交叉NMA还引入了防止信号到达 时间的假冒的一定程度的稳健性。为了提高稳健性,交叉NMA可与其他防电子假冒措施(例 如,上述那些措施,如时钟估计和跳变检测器、人为干扰检测器,或其他措施,如航位推算传 感器,使用若干天线,信号电平监测器等)结合。
[0177] 已针对一系列要求验证该构思,该要求涵盖接收机实施限制、在伽利略系统中的 可行性、反向兼容性、稳健性和性能。
[0178]所提出的构思可在现有的大众市场接收机中实施,虽然可能需要一些适应,但看 起来对于当前基础设施是可行的,可反向兼容,并引入被视为符合开放服务信号目标用户 的期望的稳健性。
[0179]虽然已详细描述了【具体实施方式】,但本领域技术人员可以理解根据本公开内容的 整体教导,可以对这些细节进行各种修改和替换。相应地,本文中公开的特定示例、布置和 配置仅意为说明性的,不限制本发明的范围,本发明的范围由所附权利要求及其任何所有 同等物的全部广度给定。
【主权项】
1. 一种用于对卫星无线电导航信号进行数字签名的方法,包括: 控制第一无线电导航卫星,使得当所述第一卫星当前未连接到地面任务分段时,所述 第一卫星在由所述第一卫星播送的第一导航电文中插入不可预知位; 通过将密码杂凑函数应用在监测接收机或监测接收机网络所接收的所述第一导航电 文的包含所述不可预知位的导航电文段上并随后加密,生成所述导航电文段的数字签名; 将所述数字签名传输至与所述地面任务分段连接的第二GNSS卫星,以及 控制所述第二卫星,使得所述第二卫星在由所述第二卫星播送的第二导航电文中插入 所述数字签名。2. 根据权利要求1所述的方法,其中,所述第二卫星被进一步控制,使得所述第二卫星 在所述第二导航电文中插入标识符,所述标识符将所述第一导航电文标识为已进行数字签 名。3. 根据权利要求1或2所述的方法,其中,所述数字签名具有至少112位的等效对称密钥 强度。4. 根据权利要求1至3中任一项所述的方法,其中,包含所述不可预知位并经过杂凑和 签名的所述导航电文段具有范围从400位至500位的长度。5. 根据权利要求1至4中任一项所述的方法,其中,包含所述不可预知位并经过杂凑和 签名的所述导航电文段具有至少448位的长度,其中,所述密码杂凑函数为SHA-224,并且所 述加密基于ECDSAK-233。6. 根据权利要求1至5中任一项所述的方法,其中,所述第一导航电文和第二导航电文 为伽利略E1I/NAV电文。7. 根据权利要求1至6中任一项所述的方法,其中,所述第一GNSS卫星被控制,使得所述 第一GNSS卫星在所述第一导航电文中插入第一前导码,所述第一前导码位于所述不可预知 位之前并因此标识所述不可预知位。8. 根据权利要求1至7中任一项所述的方法,其中,所述第二GNSS卫星被控制,使得所述 第二GNSS卫星在所述第二导航电文中插入第二前导码,所述第二前导码在所述数字签名之 前并因此标识所述数字签名。9. 根据权利要求1至8中任一项所述的方法,其中,使用加密密钥对的私钥进行所述加 I_L| 〇10. 根据权利要求1至9中任一项所述的方法,包括:在监测接收机或监测接收机网络上 接收包含所述不可预知位的所述导航电文并使用所接收的导航电文生成所述数字签名。11. 一种用于以用户接收机级认证卫星无线电导航信号的方法,包括: 在用户接收机上接收第一无线电导航信号,所述第一无线电导航信号携带由当前未链 接到地面任务分段的第一无线电导航卫星播送的第一导航电文,所述第一导航电文包括包 含不可预知位的导航电文段; 在所述用户接收机上接收第二无线电导航信号,所述第二无线电导航信号携带由当前 连接到地面任务分段的第二无线电导航卫星播送的第二导航电文,所述第二导航电文包含 数字签名,所述数字签名假定通过将密码杂凑函数应用至监测接收机或监测接收机网络所 接收的所述导航电文段并随后加密而获得; 将所述密码杂凑函数应用至所述第一导航电文的包含所述不可预知位的所述导航电 文段,以生成杂凑值; 解密所述第二导航电文中包含的所述数字签名; 比较所述杂凑值与解密后的所述数字签名。12. 根据权利要求11所述的方法,其中,如果所述杂凑值与解密后的所述数字签名匹 配,如果所述接收机在接收所述第一导航电文的过程中保持锁定所述第一无线电导航信 号,并且如果所述接收机在接收所述第二导航电文的过程中保持锁定所述第二无线电导航 信号,则认为所述第一无线电导航信号和第二无线电导航信号是真实的。13. 根据权利要求12所述的方法,其中,当所述接收机分别保持锁定所述第一无线电导 航信号和第二无线电导航信号时,继续认为所述第一无线电导航信号和第二无线电导航信 号是真实的。14. 一种由卫星无线电导航接收机执行的计算机程序,所述计算机程序包括指令,当所 述指令由所述卫星无线电导航接收机执行时,所述指令使所述卫星无线电导航接收机实施 权利要求11至13中任一项所述的方法。15. -种计算机程序产品,所述计算机程序产品包括存储有指令的非易失性存储器,当 所述指令由所述卫星无线电导航接收机执行时,所述指令使所述卫星无线电导航接收机实 施权利要求11至13中任一项所述的方法。
【专利摘要】本发明介绍了“交叉”导航电文认证,包括a)从当前未连接到地面任务分段的卫星定期生成和传输不可预知位,以及b)生成来自这些卫星的数据的数字签名,并通过当前连接到地面任务分段的卫星传输所述数字签名。攻击者无法假冒导航电文,因为导航电文包含在几秒后通过数字签名进行验证的不可预知位模式。
【IPC分类】G01S19/03, G01S19/21
【公开号】CN105492926
【申请号】CN201480039294
【发明人】伊格纳西奥·费尔南德斯·埃尔南德斯
【申请人】欧洲联盟,由欧洲委员会代表
【公开日】2016年4月13日
【申请日】2014年7月4日
【公告号】CA2916324A1, EP2824480A1, EP3019891A1, US20160154106, WO2015004011A1
【技术领域】
[0001] 本发明大体上涉及卫星无线电导航信号(例如全球导航卫星系统(Global Navigation Satellite System, GNSS)信号或卫星基增强系统(Satellite-Based Augmentation System, SBAS)信号)的认证。具体地,本发明涉及一种用于对这类信号进行 数字签名的方法,以及涉及一种使用数字签名的认证方法。
【背景技术】
[0002] 在过去的十年间,民事应用对GNSS(更具体而言:GPS)的日益依赖己引起了对GNSS 安全的关注。所谓的沃尔普报告(Volpe Report)(依靠 GPS的交通基础设施的漏洞评估 (Vulnerability Assessment of the Transport Infrastructure Relying on the GPS)--2001年8月29日--John A.沃尔普国家运输系统中心(Volpe National Transportation Systems Center))中已对交通部门普遍地提出了这一问题。在定位群体 中,对0S(0pen Service,开放服务)信号认证的需求逐渐增加。在过去那些年,全球对用于 民事应用(一些涉及安全问题)的GPS的依赖已被视为对程序的担忧。民事认证尚未实施,但 研究群体已提出了一些提议。欧洲委员会和欧洲GNSS局正在研究将OS认证纳入伽利略服务 路线图。
[0003]在卫星导航领域,"认证"一词一般指由导航卫星信号计算的位置的真实性。为了 对一位置进行认证,需要确保在位置计算中所使用的信号的真实性,除此以外,接收机还必 须确保计算该位置的内部程序不是伪造的。在本文的上下文中,认证主要指信号认证。接收 机从卫星无线电导航信号中提取的信息的两个主要片段为卫星位置和时间信息(包含在导 航电文中)以及信号到达时间(在大部分接收机中通过码相位测量获得)。因而,无线电导航 信号的认证指:
[0004] ?确认从卫星传输的数据的真实性和完整性。
[0005] ?确认由接收机测量的信号到达时间的真实性。
[0006] 认证能保证一定程度的安全,从而抵抗攻击者可实施伪造无线电导航信号导致错 误位置的威胁。通常将这些威胁划分为人为干扰(jamming)、电子假冒(spoofing)和虚造干 扰。
[0007] (除了显著提高传输功率以外)无法通过修改信号特性来容易地转移人为干扰攻 击,因此人为干扰攻击不是本文的重点。人为干扰攻击会导致位置否认,而电子假冒或虚造 干扰攻击会导致错误位置,而且可能造成更危险的后果。
[0008] 过去已经提出了用于卫星无线电导航信号认证的若干方法。
[0009] 由Sherman Lo等人在2009年9月/10月的Inside GNSS上发表的"信号认证一当今 的安全民用GNSS(Signal Authentication-A Secure Civil GNSS for Today)"一文中公 开了一种GNSS信号认证方法,该方法依靠下述事实:GPS LI频率同时携带以相位正交 (phase quadrature)传输的C/A码和(加密)P(Y)码信号。该方法还利用了下述事实:如果将 卫星至接收机的信号时间差考虑在内,在第一定位(其位置有待认证的接收机的定位)处所 接收的P(Y)码序列与在第二定位(监测接收机的定位)处所接收的P(Y)码序列相同。在两个 定位处所记录的P(Y)码序列中的相关峰值的存在证实了信号的真实性(如果假设两个接收 机不是同时处于同一信号假冒攻击者的接收范围内)。此外,在US 2009/0195443和US 2009/0195354中公开了该方法的具体方面。
[0010]在http://www. ion.org/meetings/abstracts·cfm?paperID = 244上可在线查看 英国Astrium的M .Turner、Α· Chambers、E .Mak,英国NSL的E .Aguado、Β· Wales、Μ· Dumvi lie 以 及英国航天局(UKSA)的P. Lindsay所撰写的摘要"PROSPA:开放服务认证(PROSPA: Open Service Authentication)"中提到了所谓的PROSPA系统。最终的PROSPA系统将包括位于安 全中心处的"片断生成器"。该片断生成器本质上是PRS接收机。通过专有算法(proprietary algorithm,专用算法)生成加密PRS信号的片断,专有算法不会泄露加密码。在服务中心使 用片断校验接收机对片断进行检查,如果确认良好,则经由通信信道将片断分配至用户接 收机。然后,用户接收机能通过执行与PRS片断的时间对准相关性对开放服务信号进行认 证。相关性强表明存在PRS信号,因此该信号是真实的,并且适合使用。
[0011]美国专利5,754,657公开了 一种认证或校验方法,其中接收机(该接收机的位置有 待被确认有效或被确认无效)形成包括原始信号数据以及声称的位置和时间的"增强的数 据信号"。增强的数据信号被传输至中心站,该中心站本质上检查原始数据是否与声称的位 置和时间以及卫星播送的信号一致。
[0012] 美国专利申请2013/0060955公开了一种用于定位认证的系统和方法。客户端(接 收机)配置成接收每个导航卫星信号的导航电文。客户端估算导航电文中包含的导航数据 位(bit,比特)并计算取决于导航电文到达时间的签名(例如,签名可以是导航电文位(bit, 比特)的XOR总和)。认证服务器使用客户端声称的定位(或PVT)来估算客户端的签名。根据 客户端签名与服务器计算的客户端签名估算值的对比,确定声称定位的有效性或无效性。
[0013] 美国专利申请2010/0283671涉及一种接收用公共载体调制的多个信号的接收机, 多个信号中的每个信号来自不同来源,并在到达接收机之前经历传输延迟和多普勒频移, 传输延迟和多普勒频移与每个相应来源的位置和移动有关。接收机包括如定向天线的装 置,以确保接收的信号是真实的,或至少不会经受与第二接收机可能经受的相同的一个或 多个伪造信号。
[0014] 美国专利申请2009/0316900公开了一种使用定位相关的导航信号对数据安全地 进行"地理加密(geoencrypt)"的数据加密和解密系统。
[0015] 国际专利申请WO 2011/157554 Al涉及一种使用无线电导航信号接收机提供可认 证时间和定位指示的方法。该方法包括接收从多个无线电导航信号源播送的无线电导航信 号,至少一些无线电导航信号包含通过加密而保护的一个或多个密码令牌,密码令牌时时 更新。接收机通过解密而从包含密码令牌的无线电导航信号中恢复(retrieve,检索)密码 令牌。然后,接收机根据所接收的无线电导航信号确定表示接收机的地理位置和时间的定 位数据。接收机使用至少将定位数据和恢复的密码令牌作为输入的密码函数生成数字认证 码,并产生包括包含定位数据的第一部分和包含数字认证码的第二部分的数据包。
[0016] 由Kyle WessoruMark Rothlisberger和Todd Humphreys在NAVIGATION第59卷第3 期第163-248页上所发表的论文"实用密码民用GPS信号认证(Practical Cryptographic Civil GPS Signal Authentication)"提到了名为导航电文认证(Navigation message authenticati〇n,NMA)的技术的实施,根据该技术,低速率的导航电文被加密或数字签名, 从而允许接收机验证GPS控制分段是否生成了数据。
[0017] 由Guenter W.Hein、Felix Kneiss I、Jose-Ang el Avila-Rodriguez和Stefan Wallner在2007年9月/10月的Inside GNSS上所发表的工作论文"认证GNSS-防电子假冒的 证据一第2部分(Authenticating GNSS-Proofs against Spoofs一Part 2)"提出了用于 伽利略信号认证的标准NMA方法。
[0018] 技术问题
[0019]本发明的目的在于实现安全防护水平良好的卫星无线电导航信号的认证。
【发明内容】
[0020] 本发明的第一方面涉及一种用于对卫星无线电导航信号进行数字签名的方法。该 方法包括:
[0021] ?控制第一无线电导航卫星,使得例如当第一卫星当前未连接到地面任务分段 时,卫星在由第一卫星播送的第一导航电文中插入不可预知位,如随机或伪随机位序列;
[0022] 〇通过将密码杂凑函数(cryptographic hash function,加密散列函数)应用至 导航电文并随后加密而生成包含不可预知位的导航电文段的数字签名;
[0023] ?将数字签名传输至与地面任务分段链接的第二无线电导航卫星;以及
[0024] ?控制第二卫星,使得第二卫星在由第二卫星播送的第二导航电文中插入数字签 名。
[0 025]本领域技术人员可以看出,本发明依靠新的构思,可将该构思视为"交叉"导航电 文认证,因为认证导航电文的数字签名并非作为同一电文的一部分发送,而是作为短时间 (例如,几秒)后由另一卫星播送的导航电文的一部分发送。该方法基于下述原理:
[0026] ?定期从卫星生成并传输随机或伪随机(不可预知)位,所述卫星在播送所述卫星 的导航电文时不需要连接至地面任务分段。
[0027] ?为来自这些卫星的数据生成数字签名,并通过其他卫星传输数字签名。
[0028] 攻击者无法轻易假冒导航电文,因为该导航电文包含不可预知位模式,该不可预 知位模式会同时或在几秒后通过数字签名进行验证。
[0029] 应注意的是,术语"不可预知位"指这样的位,用户接收机无法预知所述位的值。因 此,该术语的使用并不意在排除生成数字签名的(值得信任的)实体对位值的预知性。
[0030] 根据本发明的优选实施方式,在监测接收机上或在监测接收机网络上接收第一卫 星的包含不可预知位的导航电文,所接收到的导航电文用于生成数字签名。根据本发明的 该实施方式,生成数字签名的实体不需要提前知道该不可预知位。该方法的缺点是其固有 的延时,原因在于下述事实:必须首先接收待签名的电文,然后必须将签名上传至签名卫星 (第二卫星)。如果数字签名生成实体提前知道(但接收机不知道)不可预测位,则能够以明 显更短的延迟或甚至同时播送待签名的导航电文(来自第一卫星)和数字签名(来自第二卫 星) 。
[0031] 要理解,所提出的认证解决方案需要对标准卫星无线电导航基础设施做较少的修 改。在系统端(相对于用户端),无线电导航卫星必须能在导航电文中插入不可预知位。通过 在无线电导航卫星上配备(伪)随机序列生成器或通过经由加密通信链路向卫星上传(伪) 随机序列,可实现这一点。此外,必须设置监测接收机或监测接收机网络,以接收由卫星播 送的导航电文,并提供密码杂凑函数的自变量(argument)。最后,必须将数字签名上传至播 送它们的卫星。这需要(地面任务分段与无线电导航卫星之间)的足够的上行链路容量以及 将数字签名插入导航电文中的可行性。
[0032] 一系列无线电导航卫星可包括多个未同时连接至地面任务分段的卫星。相应地, 第二卫星被优选地控制,使得第二卫星在第二导航电文中插入,该标识符将第一导航电文 标识为已被数字签名。换言之,如果存在来自不同卫星的多个第一导航电文,则标识符的作 用是标识卫星,标识符在数字签名底部的导航电文的起始点。
[0033]可对第一无线电导航卫星这样进行控制,使得第一无线电导航卫星在第一导航电 文中插入第一前导码,位于不可预知位之前并因此标识该不可预知位。第一前导码通知接 收机:卫星即将传输不可预知位。类似地,优选地,可对第二无线电导航卫星这样进行控制, 使得第二无线电导航卫星在第二导航电文中插入第二前导码,位于数字签名之前并因此标 识数字签名。第二前导码通知接收机:卫星即将传输数字签名。前导码很有用,因为在方法 实施过程中,一个特定无线电导航卫星的职责可随着时间变化:当卫星连接到地面任务分 段时,该卫星传输数字签名(即,该卫星作为第二卫星运行),但当卫星未连接到地面任务分 段时,该卫星定期传输卫星的不可预知位(即,卫星作为第一卫星运行)。
[0034]优选地,数字签名具有至少112位的等效对称密钥强度,以呈现出抵抗穷举密钥搜 索(exhaustive key search)或其他攻击的足够稳健性。
[0035]包含不可预知位并经过杂凑和签名的导航电文段优选地具有范围从400位(bit, 比特)至500位的长度。在伽利略OS信号中,这对应于不超过4s的传输时间。
[0036] 根据本发明的优选实施方式,包含不可预知位并经过杂凑和签名的导航电文段具 有至少448位的长度,密码杂凑函数为SHA-224,且加密基于E⑶SAK-233。
[0037] 如果在伽利略GNSS上实施根据本发明第一方面所述的方法,则第一导航电文和第 二导航电文优选地为伽利略E11/NAV电文。
[0038] 优选地,使用加密密钥对的私钥给第一导航电文段的杂凑值进行加密,加密密钥 对由遵从非对称加密方法的私钥和公钥构成。还可按照适于数据源认证(如省时流损失容 忍认证(time-efficient stream-loss tolerant authentication,TESLA))的对称方法执 行。
[0039] 本发明的第二方面涉及一种用于以用户接收机水平认证开放卫星无线电导航信 号的方法。该方法包括:
[0040] ?在用户接收机上接收第一无线电导航信号,该第一无线电导航信号携带由当前 可能未连接到地面任务分段的第一无线电导航卫星播送的第一导航电文,第一导航电文包 括包含不可预知位(例如,随机或伪随机位序列)的导航电文段;
[0041] ?在用户接收机上接收第二无线电导航信号,该第二无线电导航信号携带由当前 连接到地面任务分段的第二无线电导航卫星播送的第二导航电文,第二导航电文包含数字 签名,所述数字签名假定通过将密码杂凑函数应用至如由监测接收机或监测接收机网络所 接收的导航电文段并随即加密而获得;
[0042] ?将密码杂凑函数应用至包含不可预知位的第一导航电文段,以生成杂凑值;
[0043] ?解密第二导航电文中包含的数字签名;
[0044] ?比较杂凑值与解密后的数字签名。
[0045] 优选地,接收机配置成:如果杂凑值与解密后的数字签名匹配,如果接收机在接收 第一导航电文的过程中保持锁定第一无线电导航信号,以及如果接收机在接收第二导航电 文的过程中保持锁定第二无线电导航信号,则接收机认为第一无线电导航信号和第二无线 电导航信号是真实的。当接收机分别保持锁定第一无线电导航信号和第二无线电导航信号 时,如果没有检测到接收机钟跳或其他信号更改,接收机可继续认为第一无线电导航信号 和第二无线电导航信号是真实的。
[0046] 优选地,用加密密钥对的公钥进行解密。
[0047] 本发明的又一方面涉及一种卫星无线电导航信号接收机可执行的计算机程序,计 算机程序包括指令,当卫星无线电导航信号接收机执行所述指令时,所述指令使卫星无线 电导航信号接收机实施根据本发明第二方面所述的方法。计算机程序可体现在计算机程序 产品中,该计算机程序产品包括存储有指令的非易失性存储器,当卫星无线电导航信号接 收机执行所述指令时,该指令使卫星无线电导航信号接收机实施根据本发明第二方面所述 的方法。
【附图说明】
[0048] 下文将通过示例的方式并参考附图描述本发明的优选实施方式,附图中:
[0049] 图1为从(用户)接收机的角度看,基于本发明优选实施方式的构思的示意图。
[0050] 图2为从系统/服务提供商的角度看,基于本发明优选实施方式的构思的示意图。
[0051] 图3为伽利略ElB I/NAV电文如何用于传输不可预知位和数字签名的说明。
[0052]图4为示出了未连接至地面任务分段的6个卫星和连接至地面任务分段的2个卫星 的示例情况的示意图。
[0053]图5为启动阶段的接收机中的认证过程的时间图。
[0054]图6为当跟踪到8个卫星时接收机中的认证过程的时间图。
【具体实施方式】
[0055]下面将参考图1和图2讨论所提出OS认证构思的优选实施方式。该构思的目的在于 提供GNSS接收机能转换为认证的伪距并计算认证的位置的多个认证的空间信号。该构思基 于下述主要步骤:
[0056] ?从(暂时)未连接至地面任务分段的卫星定期地星载生成(on-board generation)并传输不可预知(随机或伪随机)数据位。
[0057] ?生成来自这些卫星的数据的数字签名,并通过连接至地面任务分段的卫星传输 数字签名。
[0058]攻击者无法假冒导航数据,因为该导航数据包含几秒后通过数字签名进行验证的 不可预知?目息。
[0059]图1示出了将其自身呈现给用户接收机Rx的所提出构思。Ρ1、Ρ2和Ρ3分别表示卫星 1、2和3的导航电文(或导航电文的一部分)。按照密码学的标准表示法,它们被称为Ρ,Ρ指 "明文",在这种情况下,即加密或签名之前的文本或电文。DS(Pl)、DS(P2)和DS(P3)表示PU P2和P3的数字签名。该数字签名从卫星4发送。
[0060]在所示出的情况中,卫星I、2和3未连接至地面任务分段,意味着没有地面任务上 行链路站在向它们传输任何数据,而卫星4连接至地面任务分段。
[0061 ]从用户接收机的角度,事件的顺序如下:
[0062] ?卫星1、2和3传输卫星的正常导航电文P1、P2和P3。除了卫星的通常内容(星历表 和时钟数据、电离层数据等)以外,这些电文还包括卫星星载生成的一些随机或伪随机位。 这些位没有意义,但对于任何假冒者都是不可预知的。
[0063] ?接收机通过标准杂凑算法杂凑P1、P2和P3,生成Η1\Η22和H33,此处的上标是指 该杂凑分别对应于从卫星1、2和3接收的数据。
[0064] ?接收机 将Hl1、Η22和Η33存储在存储器中。
[0065] ?在随后的几秒内,接收机从卫星4相继接收DSl、DS2和DS3。
[0066] ?接收机会通过数字签名验证过程检查数字签名的数据的真实性:
[0067]-接收机利用事先传输的公钥(Kpb)对DS(P1)、DS(P2)和DS(P3)进行解密,从而获 得杂凑值H14、H24和H34。
[0068]-接收机比较Hl1与H14,H22与H24以及H3 3与H34。如果全部相符(coincide,一致),则 意味着来自卫星1、2、3和4的信号是真实的。
[0069] 〇为了对数据已经过验证的卫星的测量到达时间(time-of-arrival,Τ0Α)进行认 证,接收机可通过人为干扰检测器、接收机钟跳检测器在整体测量一致性上执行本地检查。
[0070] ?为了保护认证过程,接收机优选地以防篡改措施为特色,所述防篡改措施防止 攻击者访问和/或控制存储有认证相关信息的存储区。
[0071] ?如果认证检查成功,则接收机可根据测量结果和来自至少四个认证的卫星的数 据计算认证的三维位置和时间。
[0072] 对于静态接收机,可使用与刚刚经过认证的位(bit,比特)关联的伪距测量结果, 即使它们对应不同的时间点。对于动态接收机,应同步用于位置计算的伪距测量结果。这意 味着信号可能在几秒前就已认证。然而,据推测,如果自最近一次成功的认证后GNSS信号仍 被接收机跟踪回路锁定,则这些信号在被用于位置计算的时刻非常有可能是真实的。这通 过下述事实强化:伪距测量结果之间应保持相干,如果不相干,则能检测到攻击。
[0073] 与标准数字签名算法(其中存在提供明文和数字签名两者的一个信息源)相反,本 发明使用交叉认证,在交叉认证中,经由不同的通信路径提供明文和对应的数字签名。具体 地,(一个或多个)明文发射机和(一个或多个)数字签名发射机是不同的卫星。如果明文对 于攻击者是不可预知的,则通过比较杂凑的明文和解码的数字签名,能同时认证两个来源。
[0074] 卫星必须使用使其导航电文(或导航电文的部分)不可预知的不可预知位。否则, 假冒者可在假冒信号到达时间时复制卫星1、2和3的导航电文,导致可能假冒的位置定位。
[0075] 图2示出了从系统/服务提供商角度的构思。事件的顺序如下:
[0076] ?卫星1、2和3传输卫星的正常导航电文P1、P2和P3。除了卫星的通常的内容(星历 表和时钟、电离层等)以外,这些电文还包括卫星星载生成的一些随机或伪随机位。这些位 没有意义,但对于任何假冒者都是不可预知的。
[0077]〇P1、P2和P3在地面被用于将数据传输至数字签名生成器(Digital Signature Generator,DSG)的接收机(称其为监测接收机,仅为与用户接收机区分)或监测接收机网络 接收。
[0078] ?数字签名生成器DSG将Pl、P2和P3杂凑为Hl、H2和H3并通过私钥(private key, Kpv)对杂凑进行加密而生成数字签名DSl、DS2和DS3。
[0079]〇数字签名定期被传输到相关GNSS的运行地面任务分段(Ground Mission Segment,GMS)。
[0080] 〇电文生成设施(Message Generation Facility,MGF)将DS位并入导航电文中, 并将导航电文传输至上行链路站(Up-Link Station,ULS),上行链路站将导航电文向上传 输至连接的卫星4。
[0081] ?卫星4在随后的几秒内传输数字签名。
[0082] 随后将更详细地解释卫星几何、电文长度、签名延迟和同步问题等方面。
[0083]图2示出的架构考虑了 GNSS地面任务分段周界之外的数字签名生成过程。虽然这 最小化了本发明的实施对地面任务分段的影响,但是也可以将(一个或多个)监测接收机和 数字签名生成器DSG并入地面任务分段。
[0084]下面将参考具体示例进一步说明本发明,在示例中,本发明用于认证伽利略ElOS 信号。
[0085] 如NIST所建议的,2011-2030期间数字签名的等效对称密钥强度达到至少112位 (像例如160位的更长长度要更谨慎,可在未来的实施方式中考虑)。为了实现112位的对称 密钥强度,
[0086] ORSA需要2048位的签名。考虑到系统性能,尤其是首次认证时间(丨11116-七〇- first-authentication,TTFA)和认证之间的时间(time between authentications,TBA) 对签名长度非常敏感,RSA似乎不是最佳选择。
[0087] ODSA需要448位的签名,这对于导航电文的传输更合理。
[0088]〇E⑶SA需要的签名大小与DSA的签名类似,但E⑶SA的计算较不复杂。
[0089] OTESLA方法暗示112位密钥的传输存在一定延迟,以及类似尺寸或尺寸更小的完 整的或截短的电文认证码(Message Authentication Code ,MAC),使该方法可能适用于作 为所提出发明的实施方式。
[0090] 由于ECDSA的成熟性和加密群体对ECDSA的接受度以及ECDSA的技术特征,目前看 来ECDSA是较好的选择。特别地,E⑶SA K-233将用于进一步解释。至于杂凑算法和杂凑长 度,可使用SHA-2 (带224位密钥,或SHA-224),因为SHA-2满足112位安全强度的要求。
[0091] 在该示例中,提出带E⑶SA K-233算法的SHA-224,数字签名长度为466位。然而,应 注意,只要签名的安全等级满足要求且数字签名的长度与导航电文中可用的空间兼容,也 可使用其他杂凑算法和加密算法。
[0092]待杂凑的电文长度必须是杂凑输出的至少2倍。利用SHA-224杂凑算法,应至少对 448位进行签名。对于伽利略ElB信号,这种数量的位能在4秒内传输;该时长对应2标称页的 数据(对于伽利略ElB导航电文中的信息,可参考:http://ec.europa.eu/enterprise/ policies/satnav/galileo/files/galile〇-〇s-sis-icd-issuel-revisionl_en.pdfJinJ 在线查看的2010年9月1.1期的开放服务空间信号接口控制文件(Open Service Signal-In-Space Interface Control Document)[OS SIS ICD])〇
[0093]对于待签名电文段的要求是,前后电文必须存在至少I位的差别,以避免相同签名 的重复。由于部分签名位是随机或伪随机的,因此前后签名将发生不可预知的变化。
[0094]出现的一个问题是,是否所有的导航电文数据都应进行签名,还是仅部分导航电 文数据应进行签名,或者是否通过定期验证一些位的真实性,么剩余的位就能视为是真实 的。该方面需要权衡。如果待签名数据的传输耗时太长,则认证延迟、首次认证时间和所需 的无误数据接收时间将更长。而且,如果检测到导航位错误,对于没有连续良好的可见性和 跟踪条件的用户,可能减少认证。另一方面,如果只认证了导航电文的一些位,则导航解决 方案可能失去部分稳健性,因为假冒者能形成其他类型的攻击,在这种情况下,一些导航位 (未认证的位)或所述导航位相关联的伪距测量结果会被伪造,而其他位(认证的位)则不会 被伪造。目前认为这类威胁较困难,因为需要以能预测用户轨迹的连续相干的方式修改来 自若干卫星的星历参数(轨道和时钟)才能伪造用户位置:
[0095] ?由于采用开普勒参数提供卫星轨道(参见OS SIS I⑶),因此很难(即便并不是 不可能)生成引起数分钟相干假冒位置的若干卫星的星历表数据问题。
[0096] ?至于时钟参数(OS SIS OCD中的af0、afl、af 2),它们是最容易修改的,因为它们 只是被添加到伪距测量结果中的。然而,要在接收机中连续相干地生成错误位置,需要逐渐 改变时钟参数的值。如果是这种情况,通过检查卫星时钟误差的更新速率,用户就能很容易 地意识到情况,因为伽利略导航(轨道和时钟)更新的周期不能低于10分钟,而且通常更新 的周期较长,达100分钟。
[0097] ?如果接收机锁定至开启又关闭的伪造信号以仅替代可预测位,这可通过信号电 平的不连续性来检测(例如,在自动增益控制器中通过J/N检测器检测)。然而,缺少该检测 特征可能导致对来自卫星的主要导航数据(轨道或时钟)进行签名的优选实施方式。
[0098] ?如果假冒者意在通过影响信号的非认证周期的ToA(到达时间)窜改位置,这将 导致容易地被检测为电子假冒攻击的跟踪回路的频繁失锁。
[0099] 对于本发明的示例实施,假设只需要几秒钟的数据定期认证就能确保传输的信号 是真实的。相应地,在下文中,经过签名的导航电文段对应于两导航数据页的伽利略ElB 1/ NAV电文(总共500位,在4s内传输)。
[0100] 在参考图1和图2所述的4个卫星的情况下,连接的卫星4只传输由未连接卫星1、2 和 3所传输的电文段的数字签名,而不对该卫星4自己的电文段之一进行签名。这在示例中 没有明确地实施,但另一实施方式可包括以下情况,即,数字签名不仅基于未连接卫星的导 航电文的杂凑,而且还基于卫星4的某些基础导航参数(像例如时钟和轨道)的杂凑。在上述 实施中,根据图1和图2所示的卫星4将传输DS(P1,P4)、DS(P2,P4)、DS(P3,P4)。
[0101] 根据伽利略OS SIS OCD,I/NAV电文的一个完整帧持续720s。每帧由24个子帧构 成,每个子帧持续30s。每个子帧包含15页所谓的标称页。每页标称页由'偶数'页和'奇数' 页构成,每页持续Is。'奇数'页包含字数据(星历表、年鉴等)和一些其他字段:'预留Γ、 SAR、备用、CRC和'预留2'。'偶数'页主要包含字数据。
[0102] I/NAV的一个特征在于可以预见在ElB和E5b信号中都发射I/NAV。该示例重点只在 ElB13ESb中是否也提供认证服务尚不明确。然而,应该注意的是,如果在E5b和ElB上实施相 同的交叉导航电文认证,随机或伪随机位序列必须彼此独立选择。例如,必须避免ElB中的 随机或伪随机序列不仅仅是E5b中序列的延迟(或提前)的相同副本。
[0103] 在说明示例中,随机或伪随机位序列以及数字签名(假设长度:466位)在I/NAV电 文的'预留Γ字段中传输。'预留Γ字段每标称页(即平均每2秒或20bps)提供40个自由位。 目前,尚未使用'预留Γ字段。而是由系统正发射所有设置为零的位。
[0104] 值得注意的是,'预留Γ数据意在通过实时连接至系统的外部来源引射到地面分 段。该特征允许将认证数据(即,计算的数字签名)提供至地面分段,除了使'预留Γ链路可 用外,无需对地面分段做任何修改。
[0105] '预留Γ字段的使用允许每2秒就从每个卫星传输认证数据(无论是随机或伪随机 序列还是部分数字签名)。由于每个子帧的所有标称页中都存在'预留Γ字段,因此能将数 字签名传输的系统延迟保持得较短。
[0106] 如果导航电文中的相同数据字段被用于随机或伪随机位序列和数字签名的传输, 贝IJ(用户)接收机需要能在随机或伪随机位序列与数字签名之间进行区分。具体地,'预留Γ 字段必须允许接收机区分下列情况:
[0107] 1)卫星未连接至地面任务分段并正发射随机或伪随机位。
[0108] 2)卫星刚连接至地面,等待与数字签名生成器DSG同步及传输新的签名。
[0109] 3)卫星连接并开始传输签名。
[0110] 4)卫星连接并已经在传输签名。
[0111] 为了实现这一点,'预留Γ字段定义如下:
[0112] 1)未连接至地面时,卫星将星载生成并发送下述位:
[0113] a)前导码(对于所有未连接卫星相同),其通知传输卫星未连接至地面任务分段, 因而未传输数字签名只传输随机或伪随机位。
[0114] b)随机或伪随机位。
[0115] 2)刚连接上时,以及在与数字签名生成器DSG同步之前的几秒内,卫星还未从地面 任务分段接收到数字签名数据。因此,卫星将发送不同的前导码,通知接收机即将传输签 名,随后是一些随机或伪随机位。如果另一卫星刚好在对新连接的卫星进行签名,在该阶段 发射随机或伪随机位序列允许有效认证。
[0116] 3)开始传输签名时,卫星将发送:
[0117] a)前导码(对于所有连接卫星相同),其通知接收机即将传输数字签名。
[0118] b)卫星的卫星ID,其I/NAV电文正在被签名。
[0119] c)数字签名的第一位。(每个数字签名横跨I/NAV电文的多页标称页。)
[0120] 4)已经在传输签名时,卫星将40个'预留Γ位专用于数字签名传输。由于缺少任何 上述前导码,接收机将能识别这种情况。
[0121]图3示出了位级的'预留Γ字段的定义,图3中前导码-NC代表"前导码-未连接", 艮P,该卫星前导码说明卫星未连接。前导码-S代表"前导码-同步",即,该前导码说明卫星正 在与数字签名生成器DSG同步,并将在几秒后开始数字签名传输。前导码-C代表"前导码-已 连接",即,该前导码表明卫星开始传输数字签名。下表给出了与所提出实施一起使用的位 的总结。可添加额外的位,以避免冲突的情况(在冲突的情况中数字签名部分与前导码一 致),或通过专用信道编码技术增加位接收误差的稳健性。
[0124] 上表表明完整的数字签名能在24秒内传输。卫星连接时,能连续传输签名。因此, 连接的卫星每96秒能发送4个数字签名。如果接收机正在从两个连接的卫星接收数据,这在 良好能见度情况下是可能的场景,且通过错开从两个卫星传输数字签名的开始时间使数据 传输以最佳方式同步,则接收机每12秒可接收到新的数字签名。还应注意的是,通过使不可 预知位对数字签名生成器来说是可预知的(例如,根据地面分段已知的起源生成伪随机序 列),能显著缩短延迟,因为数字签名生成器能在用户接收到待签名的数据的同时传输数字 签名。
[0125] 为了说明本发明的操作以及在具体的示例中给出初步性能评估,需要对系统延迟 进行一些假设。下表给出了这些假设。
[0127] 系统总延迟为8秒。这是数字签名生成器知道卫星已连接并能开始发送签名所需 的时间。在这段时间中,将发送"前导码-S"。考虑到签名生成和签名传输至地面任务分段可 在远少于2秒的时间内完成,上述延迟是非常保守的估计。利用这些假设,待签名的位流 (bitstream,比特流)的接收与对应签名的接收之间花费的时间为32秒(8s延迟+24s签名传 输时间)。
[0128] 在下文中,在接收机在露天条件下处于单机(即,无辅助)模式运行的情况下,将主 要从时间相关方面分析性能。分析中使用的单机使用情况假设(图4中示出)为:
[0129] 〇8个伽利略卫星(编号1至8)在接收机的可见范围内。
[0130] ?其中,2个卫星连接至地面任务分段(卫星3和6),6个卫星未连接(卫星1、2、4、5、 7 和8)。
[0131] ?卫星3对卫星1、2、4和5进行签名。卫星6对卫星4、5、7和8进行签名。这意味着有2 个卫星(4和5)重叠,并且从卫星3和卫星6中均接收到卫星4和5的签名。可能发生卫星对用 户未看见的其他卫星进行签名。图中未明确考虑这种情况,假设在露天条件下,只使用了某 海拔以上的已连接卫星。
[0132] 这种情况大约相当于,在伽利略系统已达到其完全运行能力后当用户不受阻挡地 看见天空时,用户所能预计的情况。8个卫星中的2个已连接(即,25%或30个中平均有7.5 个)的假设似乎是合理的,因为当前计划部署10个上行天线。上行链路容量越大,卫星的认 证间时间(TBA)越短,性能越好,直到半数的卫星在对另一半进行签名的情况。
[0133] 利用这些假设,得到了下述性能指标:
[0136] 这些性能指标的含义如下:
[0137] 〇"TTFA(卫星级)"指开始从特定卫星接收待签名数据与数据认证的时间之间消 逝的时间(4s数据接收+8s延迟+24s签名传输=36秒)。
[0138] 〇"TBA(卫星级)"指从特定已连接卫星接收到两个签名之间的时间。由于这两个 签名是连续传输的,因此"TBA(卫星级)"为24秒。
[0139] 〇"TBA(Rx级卫星)"指从任何已连接卫星接收到签名之间的时间。由于在所使用 的情况中存在2个已连接卫星,且假设所述2个已连接卫星以最佳方式同步,因此"TBA(Rx级 卫星)"为24/2 = 12秒。
[0140]〇"认证延迟"为待签名电文段最后一位的接收与对应数字签名的接收之间的时 间(8s延迟+24s传输=32秒)。注意,假设已连接卫星的认证延迟为0。
[0141] 〇"TTFLLA"或"完全认证所需时间"指接收机开始处理导航位与接收机能使用4个 或更多个已认证卫星计算位置之间的时间。这不是确定的衡量标准,但考虑到图5和图6,表 中的值变得似乎可?目。
[0142] 图5示出了接收机级的认证所需时间的时间图。暗框100表示来自将由已连接卫星 (图4中的卫星3、6,图5和图6中的SV3和SV6)签名的未连接卫星(图4中的卫星1、2、4、5、7和 8,图5和图6中的SVl、SV2等)的导航电文段。箭头102联系每个导航电文段与对应数字签名 DS的传输的开始,对应数字签名DS随后由另一卫星传输。标有*或#符号的单元格是指卫星 对(C和NC)已被认证。图表右下部分出现的数字表示认证延迟(按秒计),即,从第一卫星接 收导航电文段与从另一卫星接收对应数字签名之间花费的时间。
[0143] 卫星级的TTFA在36秒后发生,在此之后,用户可拥有部分认证的位置定位(即,结 合已认证和未认证卫星)。在示出的情况中,前4个卫星在48秒后认证(=TTFLLA)。
[0144] 图6的时间图示出了在处于静态模式的该示例配置中,用户如何观察认证频率和 延迟。如果用户总是采用4个最新认证的卫星,则'认证延迟',即接收到信号与信号被证实 为真实的之间花费的时间为22秒至34秒之 间。最新认证卫星的'认证延迟'为0秒至12秒之 间。这意味着,如果最后认证时信号未被假冒,则攻击者很难假冒位置。时间图表中间部分 出现的数字表示认证延迟,即,导航电文段接收结束与对应数字签名接收结束之间花费的 时间。图表下部出现的数字表示延迟最短的四个卫星的认证延迟及所述认证延迟的平均 值。平均值意为整体认证延迟的代表值。
[0145] TTFA、TBA、TTFLLA和延迟方面的所得性能对于天空能见度良好的典型情况下的单 机接收机看起来是合理的。
[0146] 在本说明书的最后部分,将讨论攻击者通过伪造导致错误位置定位的信号和/或 公钥而可能对用户造成的威胁。以定性方式描述所述威胁。
[0147] 所使用的术语为:
[0148] 〇Pi:卫星i的明文导航电文段,包括随机或伪随机位序列,
[0149] 〇?丨':卫星丨的假冒明文导航电文,
[0150] 〇Hi:来自Pi的杂凑,
[0151] 〇Hi':来自Pi'的杂凑,
[0152] 〇PRi :卫星i的伪距,
[0153] OPRi':卫星i的假冒伪距,
[0154] OKpvi:用于卫星i的私钥(以生成数字签名),
[0155] OKpvi ' :用于卫星i的错误(False,伪造)私钥,
[0156] OKpbi:用于卫星i的公钥(以解码数字签名),
[0157] OKpbi ' :用于卫星i的错误公钥,
[0158] 〇DSi :来自卫星i的导航电文的数字签名(基于Kpvi和Hi),
[0159] 〇DSi ' :来自卫星i的导航电文的假冒数字签名(基于Kpvi '和Hi或Hi ')。
[0160] 在分析所述威胁之前,先回想数字签名的以下特性:
[0161] ?攻击者不能通过获知Kpbi、Pi和DSi来猜出Kpvi。
[0162] ?给定Hi,攻击者不能生成DSi '以使Hi '(DSi ',Kpbi) =Hi。
[0163] 这些是接收机进行认证过程所遵循的步骤:
[0164] 1)在接收机中接收和存储Kpbi(约一年一次)。
[0165] 2)接收来自卫星i信号的Pi。
[0166] 3)计算来自卫星i信号的PRi。
[0167] 4)根据 Pi 计算 Hi。
[0168] 5)存储 Hi。
[0169] 6)接收来自卫星j的DSi。
[0170] 7)基于(至少四个卫星的)Pi和PRi计算位置。
[0171] 8)用Hi(Pi)验证位置计算中使用的卫星(或所述卫星的子集)的Hi(DSi,Kpbi)。
[0172] 下表给出了上述步骤中每步的可能威胁。
[0173]
[0175] 从(初步)威胁分析中可推断出,相比于其他数字签名过程,提出的"交叉导航电文 认证"(交叉NMA)的构思没有附加弱点。
[0176] 虽然交叉NMA主要意在保证导航数据的真实性,但交叉NMA还引入了防止信号到达 时间的假冒的一定程度的稳健性。为了提高稳健性,交叉NMA可与其他防电子假冒措施(例 如,上述那些措施,如时钟估计和跳变检测器、人为干扰检测器,或其他措施,如航位推算传 感器,使用若干天线,信号电平监测器等)结合。
[0177] 已针对一系列要求验证该构思,该要求涵盖接收机实施限制、在伽利略系统中的 可行性、反向兼容性、稳健性和性能。
[0178]所提出的构思可在现有的大众市场接收机中实施,虽然可能需要一些适应,但看 起来对于当前基础设施是可行的,可反向兼容,并引入被视为符合开放服务信号目标用户 的期望的稳健性。
[0179]虽然已详细描述了【具体实施方式】,但本领域技术人员可以理解根据本公开内容的 整体教导,可以对这些细节进行各种修改和替换。相应地,本文中公开的特定示例、布置和 配置仅意为说明性的,不限制本发明的范围,本发明的范围由所附权利要求及其任何所有 同等物的全部广度给定。
【主权项】
1. 一种用于对卫星无线电导航信号进行数字签名的方法,包括: 控制第一无线电导航卫星,使得当所述第一卫星当前未连接到地面任务分段时,所述 第一卫星在由所述第一卫星播送的第一导航电文中插入不可预知位; 通过将密码杂凑函数应用在监测接收机或监测接收机网络所接收的所述第一导航电 文的包含所述不可预知位的导航电文段上并随后加密,生成所述导航电文段的数字签名; 将所述数字签名传输至与所述地面任务分段连接的第二GNSS卫星,以及 控制所述第二卫星,使得所述第二卫星在由所述第二卫星播送的第二导航电文中插入 所述数字签名。2. 根据权利要求1所述的方法,其中,所述第二卫星被进一步控制,使得所述第二卫星 在所述第二导航电文中插入标识符,所述标识符将所述第一导航电文标识为已进行数字签 名。3. 根据权利要求1或2所述的方法,其中,所述数字签名具有至少112位的等效对称密钥 强度。4. 根据权利要求1至3中任一项所述的方法,其中,包含所述不可预知位并经过杂凑和 签名的所述导航电文段具有范围从400位至500位的长度。5. 根据权利要求1至4中任一项所述的方法,其中,包含所述不可预知位并经过杂凑和 签名的所述导航电文段具有至少448位的长度,其中,所述密码杂凑函数为SHA-224,并且所 述加密基于ECDSAK-233。6. 根据权利要求1至5中任一项所述的方法,其中,所述第一导航电文和第二导航电文 为伽利略E1I/NAV电文。7. 根据权利要求1至6中任一项所述的方法,其中,所述第一GNSS卫星被控制,使得所述 第一GNSS卫星在所述第一导航电文中插入第一前导码,所述第一前导码位于所述不可预知 位之前并因此标识所述不可预知位。8. 根据权利要求1至7中任一项所述的方法,其中,所述第二GNSS卫星被控制,使得所述 第二GNSS卫星在所述第二导航电文中插入第二前导码,所述第二前导码在所述数字签名之 前并因此标识所述数字签名。9. 根据权利要求1至8中任一项所述的方法,其中,使用加密密钥对的私钥进行所述加 I_L| 〇10. 根据权利要求1至9中任一项所述的方法,包括:在监测接收机或监测接收机网络上 接收包含所述不可预知位的所述导航电文并使用所接收的导航电文生成所述数字签名。11. 一种用于以用户接收机级认证卫星无线电导航信号的方法,包括: 在用户接收机上接收第一无线电导航信号,所述第一无线电导航信号携带由当前未链 接到地面任务分段的第一无线电导航卫星播送的第一导航电文,所述第一导航电文包括包 含不可预知位的导航电文段; 在所述用户接收机上接收第二无线电导航信号,所述第二无线电导航信号携带由当前 连接到地面任务分段的第二无线电导航卫星播送的第二导航电文,所述第二导航电文包含 数字签名,所述数字签名假定通过将密码杂凑函数应用至监测接收机或监测接收机网络所 接收的所述导航电文段并随后加密而获得; 将所述密码杂凑函数应用至所述第一导航电文的包含所述不可预知位的所述导航电 文段,以生成杂凑值; 解密所述第二导航电文中包含的所述数字签名; 比较所述杂凑值与解密后的所述数字签名。12. 根据权利要求11所述的方法,其中,如果所述杂凑值与解密后的所述数字签名匹 配,如果所述接收机在接收所述第一导航电文的过程中保持锁定所述第一无线电导航信 号,并且如果所述接收机在接收所述第二导航电文的过程中保持锁定所述第二无线电导航 信号,则认为所述第一无线电导航信号和第二无线电导航信号是真实的。13. 根据权利要求12所述的方法,其中,当所述接收机分别保持锁定所述第一无线电导 航信号和第二无线电导航信号时,继续认为所述第一无线电导航信号和第二无线电导航信 号是真实的。14. 一种由卫星无线电导航接收机执行的计算机程序,所述计算机程序包括指令,当所 述指令由所述卫星无线电导航接收机执行时,所述指令使所述卫星无线电导航接收机实施 权利要求11至13中任一项所述的方法。15. -种计算机程序产品,所述计算机程序产品包括存储有指令的非易失性存储器,当 所述指令由所述卫星无线电导航接收机执行时,所述指令使所述卫星无线电导航接收机实 施权利要求11至13中任一项所述的方法。
【专利摘要】本发明介绍了“交叉”导航电文认证,包括a)从当前未连接到地面任务分段的卫星定期生成和传输不可预知位,以及b)生成来自这些卫星的数据的数字签名,并通过当前连接到地面任务分段的卫星传输所述数字签名。攻击者无法假冒导航电文,因为导航电文包含在几秒后通过数字签名进行验证的不可预知位模式。
【IPC分类】G01S19/03, G01S19/21
【公开号】CN105492926
【申请号】CN201480039294
【发明人】伊格纳西奥·费尔南德斯·埃尔南德斯
【申请人】欧洲联盟,由欧洲委员会代表
【公开日】2016年4月13日
【申请日】2014年7月4日
【公告号】CA2916324A1, EP2824480A1, EP3019891A1, US20160154106, WO2015004011A1
最新回复(0)