提问人:曹泽宇
近年来,GPS欺骗已经成为多个国际区域多发的航空事件因素。2024年3月,土耳其航空飞往贝鲁特的航班由于GPS欺骗无法在贝鲁特机场降落,只能在机场上空盘旋40分钟后返回土耳其。自2023年8月下旬起,多架飞机在飞越伊拉克-伊朗边境空域时,导航系统被虚假GPS信号欺骗,导致飞机偏离航线,其中一架商务机差点误入伊朗领空。
民航局《关于GPS信号受干扰的风险警示》(2025年第1期)中提到,蓄意干扰GPS信号的方式包括阻断(Jamming)和欺骗(Spoofing)两种情况。信号阻断通常是指发射与导航系统信号相同或相近频率的射频信号,对正常的GPS信号进行压制阻断干扰,导致GPS接收机无法正常工作。信号欺骗通常是指发射伪造的卫星导航系统信号或者延时转发真实卫星导航系统信号以误导飞机GPS接收机,使其计算出错误的定位、导航和授时数据,进而影响与之交联的其他机载系统或功能。GPS信号阻断对飞行的影响与机载GPS设备故障或丢失GPS信号对飞行造成的效果类似,即GPS提供的定位、导航和授时信息出现暂时或不可恢复的失效或性能下降。与GPS信号阻断相比,GPS信号欺骗造成的影响更加隐蔽,部分情况可能无告警信息,飞行机组难以觉察和识别,风险高,应当给予充分重视。
本文的讨论基于波音737系列飞机。
一、GPS简介及接收机工作原理
(一)GPS简介
NAVSTAR GPS最初由美国政府研制,用作军用导航系统。GPS由GPS指挥部控制,在国防部(department of defense, DoD)资助下进行运作。第一颗可运行的原型卫星于1978年发射,1993年末宣称具备初步运行能力(initial operational capability, IOC),1994年末具备了完全运行能力(full operational capability, FOC)。
GPS为导航用户提供两类服务:一种称为标准定位服务(standard positioning service, SPS)的公开或民用服务,和一种称为精密定位服务(precise positioning service, PPS)的受限或军用服务。SPS的定位精度为在95%概率上达到15~25米。由于美国的安全问题,美国国防部故意对民间用户降低定位精度,使其为100米。SPS对所有具有合适设备的用户提供定位服务,而PPS仅仅对美国政府授权的用户提供定位服务,包括美国和NATO军队及他们的供货商,PPS信号为加密信号。PPS的定位精度在95%概率上为小于18米。
GPS导航信号包含10种不同的信号,通过三个频段广播,这三个频段分别为L1 (link 1)、L2(link 2)和L5(link 5)。由于C/A码和精密(加密的精密)(precise (encrypted precise), P (Y))码信号在GPS现代化项目之前已经存在,因此将它们称为传统的GPS信号。其他的信号作为GPS现代化的一部分并没有被所有的卫星广播。
加密的精密码(Y码)由公开精密码(P码)乘以一加密码而构成,只有授权的PPS用户才能够使用。对于敌方来说,通过广播复制信号来欺骗GPS用户设备是很困难的,因此该加密技术称为抗欺骗(Anti-Spoofing, AS)措施。由表8.5可知,被所有卫星广播、提供SPS服务的,仅限于C/A码。而C/A码是公开码,无法对抗欺骗。目前我公司机队使用的GPS接收机为Collins公司的GLU系列和Honeywell公司的RMA系列,均为使用C/A码的民用产品。
(二)GPS接收机工作原理
GPS接收机的工作基于测距原理,即通过测量接收机与卫星之间的距离来确定位置。接收机内部通常存储有卫星在轨道上的位置数据,并利用无线电信号实现距离测量。
无线电信号以光速传播,接收机通过测量信号从卫星发送到接收机的时间,结合已知的卫星位置,可以计算出接收机与卫星之间的距离。具体实现中,接收机会生成与卫星发送的信号一致的本地信号,通过比较两者的时间差(△t),得出卫星信号到达接收机所花费的时间。
为了保证测量的准确性,每颗卫星上都配备了高精度的原子钟,用以保持一致的时间精度。而接收机内部的时钟则并非原子钟,因而存在一定的时间误差。这种误差被定义为接收机时间与GPS时间之间的差值,记为△tBIAS。
由于△tBIAS是未知的,接收机需要通过计算来确定这一偏差值。为了同时确定飞机的位置(包括纬度、经度和高度)以及时间偏差△tBIAS,接收机必须满足以下条件:
1.需要至少4颗卫星的位置数据;
2.同时测量接收机与这4颗卫星之间的距离;
3.利用4个距离方程计算4个未知数,即:
(1)纬度
(2)经度
(3)高度
(4)时间偏差△tBIAS
通过这种方式,接收机能够精确计算飞机的三维位置和时间偏差,从而实现定位功能。
二、GPS接收机关于水平性能的监控指标以及RAIM功能
(一)水平性能监控指标
GPS接收机中有三个水平指标:水平精度扩散因子(HDOP)、水平品质指标(HFOM)和水平完好性限度(HIL)。
1.水平精度扩散因子(HDOP)
定义:HDOP(Horizontal Dilution of Precision)是描述GPS定位精度的一个指标,用于量化由卫星几何分布引起的水平定位误差。它反映了接收机计算水平位置(经度和纬度)时因卫星位置分布而导致的误差放大程度。
计算方法:HDOP是通过卫星几何分布的数学模型计算出来的,具体由卫星与接收机之间的几何关系决定。其计算基于GPS导航方程的协方差矩阵,公式如下:
首先,根据GPS导航方程,建立几何矩阵 G(由卫星位置和接收机位置组成)。
计算协方差矩阵:
其中,Q 是协方差矩阵。
从协方差矩阵中提取水平精度扩散因子:
其中,和 分别是协方差矩阵中对应水平位置(x 和 y 坐标)的分量。
影响因素:
卫星的几何分布:卫星分布越均匀,HDOP 越小,定位精度越高;分布越集中,HDOP 越大,定位精度越差。
一般情况下,HDOP 值越小表示定位水平精度越高。
- 水平品质指标(HFOM)
定义:
HFOM(Horizontal Figure of Merit)是计算出的水平定位误差的定量指标,用于反映接收机在水平位置上的定位精度,通常以米(m)为单位。它考虑了接收机的测量误差以及卫星的几何分布。
计算方法:
HFOM 的计算公式为:
HFOM=HDOP×UERE
其中:
HDOP 是水平精度扩散因子;
UERE(User Equivalent Range Error)是用户等效测距误差,表示由卫星信号传播误差(如多路径效应、大气延迟、接收机噪声等)引起的测距误差,通常以米为单位。
影响因素:
卫星几何分布:HDOP 越小,HFOM 越小;
测距误差:UERE 越小,HFOM 也越小。
HFOM 直接反映了接收机的水平定位精度,值越小表明定位越精确。 - 水平完好性限度(HIL)
定义:
HIL(Horizontal Integrity Limit)是水平完好性监测的限值,表示在给定的概率和警告时间内,接收机能够保证的最大水平误差。它是导航系统用来判断是否满足运行要求的重要参数。
计算方法:
HIL 的计算涉及到完好性监测算法,主要基于以下公式:
HIL=K×HFOM
其中:
K 是一个与完好性要求相关的扩展因子,具体值由系统完好性要求决定;
HFOM 是水平品质指标。
影响因素:
完好性要求:系统要求的完好性概率(如 10^-7 的误差概率)会影响 K 的选择;
接收机的定位精度:HFOM 越小,HIL 越小。
HIL 通常用于飞行导航系统中,以确保接收机在水平定位上的最大误差不会超过运行需求。
总结与关系
HDOP 是基础指标,反映卫星几何分布对定位精度的影响;HFOM 在 HDOP 的基础上进一步结合测距误差,得出实际的定位精度;HIL 则基于 HFOM,加入完好性要求,提供系统可接受的最大误差范围。
(三)RAIM功能
GPS接收机具有接收机自治式完好性监测(RAIM)功能。RAIM对卫星的工作状态进近监测,即监测GPS接收机用以计算数据的那些卫星状态。为了实现RAIM功能,GPS接收机需要从至少5颗卫星接收到有效的伪距测量值(理想情况下更多)。这是因为要计算出一个三维位置和时间校正,至少需要4颗卫星的数据;而额外的一颗卫星提供的数据则用于冗余检查,以便进行错误检测。RAIM功能的输出是对GPS位置误差的估值。自治完好性监测值送给FMC,FMC利用此自治完好性监测数据决定GPS数据是否能用于导航。
三、GPS欺骗的两种方式
(一)伪造信号
攻击者可以伪造GPS信号,即在与合法GPS信号相同频率下并以高于合法GPS信号功率的强度传输信号。卫星模拟器能够同时广播来自十颗卫星的携带伪造导航数据的信号。伪造信号也可以通过操控和重新广播实际信号(即诱射)生成。只要受害接收器对伪造信号保持锁定,受害接收器的位置信息就会受到攻击者的控制或影响。
(二)转发信号
攻击者在一处接收合法的GNSS信号,然后将这些信号中继到另一处,在不进行任何修改的情况下重新传输它们。这样,如果使用了加密技术,对手就可以避免被检测到,同时它可以“呈现”给受害者在受害者位置通常不可见的GNSS信号。
四、GPS接收机的水平指标以及RAIM功能是否能有效检测GPS欺骗
三个水平指标(HDOP、HFOM和HIL)在一定程度上可以间接反映GPS信号的某些异常,但它们本质上是基于已接收到的信号计算得出的,无法直接检测或防御GPS信号欺骗。因此,它们无法单独应对GPS信号欺骗,但可以作为辅助工具,结合其他防御机制来提高检测和应对能力。
(一)HDOP(水平精度扩散因子)
作用:反映卫星几何分布对定位精度的影响。如果卫星的几何分布突然变得异常(如集中在一侧),HDOP值可能会显著增大。
局限:在GPS信号欺骗场景中,攻击者可能伪造多个“虚假卫星”,这些伪造信号可能模拟出良好的几何分布,从而维持较低的HDOP值。即使HDOP值看似正常,也无法说明接收到的信号是否真实。
(二)HFOM(水平品质指标)
作用:结合HDOP和测距误差(UERE)来量化水平定位误差。如果信号质量下降(如噪声增大),HFOM值会升高。
局限:GPS欺骗攻击通常伪造高质量的信号,使得HFOM值看起来正常甚至较低。因此,HFOM对伪造信号的检测能力有限。
(三)HIL(水平完好性限度)
作用:反映在完好性监测中接收机可接受的最大水平误差。在欺骗攻击中,如果攻击信号设计得当,HIL值可能不会触发警告。
局限:HIL的计算依赖于HFOM和完好性要求。如果伪造信号模拟了高精度的导航环境,HIL值可能不会超出预期范围,从而无法识别伪造信号。
(四)RAIM功能
波音737的GPS接收机支持基础的RAIM功能,RAIM功能通过一系列步骤确保信号的完整性,首先利用冗余校验依赖至少五颗卫星的几何分布并通过残差分析检测信号异常,同时进行一致性检验以检查卫星信号间的伪距、多普勒频移等参数是否自洽,在检测到异常时,RAIM可能排除故障卫星。
然而,高精度欺骗依然可以绕过RAIM,方法包括:
1.同步多卫星欺骗策略,即生成多个虚假卫星信号并模拟合理的卫星几何分布来避免触发告警;
2.动态渐进偏移方法,如缓慢调整位置参数和与惯性导航系统数据同步来实现欺骗而不被发现;
3.针对RAIM算法阈值的优化,通过控制残差范围以及利用接收机时钟偏差掩盖欺骗信号的不一致性;
4.混合真实与欺骗信号的方式,比如部分信号替换和逐步增强欺骗信号功率来降低被检测的风险。
这些策略,可以有效地规避基于RAIM的信号完整性检测机制。
五、FMC的位置更新机制
如果GPS数据有效,FMCS可以在地面上使用GPS数据来更新FMC位置。在空中,FMC使用从GPS数据和ADIRU的输入计算的位置来修正其基于ADIRU的惯性水平位置。这是FMC位置并且是以经纬度来计算的。如果数据是有效的,FMC将使用其本侧的来自多模式接收机的GPS输入。如果本侧的数据无效,则使用对侧的GPS数据。
如果欺骗信号绕过GPS接收机的水平指标检测以及RAIM功能,则数据被认为有效。根据FMC的位置更新机制,FMC位置将被欺骗信号诱骗。
六、结论
GPS欺骗对飞机导航系统构成了严重威胁,其隐蔽性强,难以被飞行机组觉察和识别。尽管GPS接收机的水平性能监控指标和RAIM功能在一定程度上可以间接反映GPS信号的异常,但它们无法单独应对GPS信号欺骗。因此,需要结合其他防御机制来提高检测和应对能力,以保障飞行安全。
培训部飞行培训中心 刘刚
评论 (0)