轩辕实验室┃利用开源项目实现定位和时间欺骗(一)

来源:上海控安
2020-12-25
1488

以下文章来源于轩辕实验室 ,作者轩辕实验室

轩辕实验室轩辕实验室

车联网信息安全和预期功能安全技术

01.jpg

我们发现了一种利用低成本软件无线电设备进行全球定位系统欺骗的方法, 该方法可用于改变受影响设备的位置状态和时间,这会对基于位置的服务造成安全威胁。我们还研究了智能设备使用的其他定位方法(如WiFi)以及如何欺骗它们并给出了防止此类欺骗的建议。

1 GPS系统简介

我们通常所说的 GPS 全球定位系统是由美国国防部建造完成。目前在太空中共有31颗卫星在同时运作,一般我们需要至少4颗卫星来完成三角定位。GPS卫星同时发送民用L1和军用L2两种无线信号。我们通常使用的是没有加密的L1民用 1575.42MHz 的超高频波段。
1.jpg
每个卫星都配置有原子钟,并时刻向外广播其位置、时间和伪随机噪音码(由1023个正负号组成的签名模式, PRN码)。因为所有GPS卫星都使用相同的频率来广播民用信号,这些PRN码用来标识信号发射源,所以非常重要。PRN码的构成模式也随时重复变换,GPS信号接收器通过其正负号的独特排列方式,来判断和卫星之间的通信传输延迟。GPS信号接收器使用这些延迟,配合卫星方位和时间戳,精确测量出自身位置。

2 GPS定位原理

2.png

首先,让我们明确我们的需求。我们想要知道的是我们的位置坐标(x, y, z),如果从一个已知坐标(x1, y1, z1)的卫星广播一个信号,然后我们试着去测量信号发送至到达的时间差(在gps系统中我们用的是电磁波,我们知道它的速度),我们就能得出下面的等式:
3.png
这个等式有3个未知变量x, y, z,因此单单一个等式解不出来,我们可以再加两个已知位置的点(卫星),我们把它们记作(x2,y2,z2) 和 (x3,y3,z3),就有下面的方程组:

4.jpg

现在我们就能解出我们的位置(x, y, z)了,但在工程应用中这样还不够。为了测量电磁波发送至到达的时间差,需要在电磁波发送的时候写一个时间戳t1,这是卫星上的时钟时间参考值,当信号到达我们这里时,我们提取出时间戳t1,再计算t1和当地时间t2的差值来计算时间差。然而当地时间和卫星时间并不是同步的,会出现一个时间偏移量∆t1,所以这个时间偏移量也要被考虑进去,于是修正后的方程式如下所示:

5.jpg

所以有4个变量,就需要4个卫星来建立4个等式,以下高等数学内容略。以上内容说明我们需要伪造至少4颗卫星的信号才能使gps定位。其中是从接收机天线到卫星天线的距离,包括接收机和卫星时钟偏移(以及其他偏差,如大气延迟),故也称为伪距(PR)。

3 GPS信号帧

6.jpg
GPS信号帧结构如上图所示。GPS信号的比特率是50 bps。GPS卫星以不同的频带和不同的调制方式广播GPS信号,L1信号是民用中最常见的信号,其参数如下表所示。
Parameter                                                        Value


Code
C/A Code
Modulation
BPSK
Frequency
1575.42MHz
Code Rate
1.023 MHz
接收到的全球定位系统信号的强度非常弱,约为-130 dBm,大多数全球定位系统接收器在室内无法工作。这使得GPS信号干扰或欺骗变得非常容易,因为攻击者不需要生成强信号来覆盖真实的GPS信号。

4 BRDC 数据

BRDC(广播星历数据)文件包含每天唯一的全球定位系统卫星星历信息。星历数据提供了每颗卫星的精确位置数据、、,因此接收机可以获得先验信息以计算位置。您可以从https://cddis.nasa.gov/Data_and_Derived_Products/GNSS/broadcast_ephemeris_data.html网站下载RINEX格式的BRDC档案。其文件命名规则如下:

7.png

小结

以上内容只是作为铺垫,具体欺骗攻击实现下期可见。

02.jpg


收藏
点赞
2000