ITVI20100345A1 - Metodo ed apparato per l'autenticazione e rilevazione dello spoofing del segnale gps c/a e galileo e1-b safety of life. - Google Patents

Metodo ed apparato per l'autenticazione e rilevazione dello spoofing del segnale gps c/a e galileo e1-b safety of life. Download PDF

Info

Publication number
ITVI20100345A1
ITVI20100345A1 IT000345A ITVI20100345A ITVI20100345A1 IT VI20100345 A1 ITVI20100345 A1 IT VI20100345A1 IT 000345 A IT000345 A IT 000345A IT VI20100345 A ITVI20100345 A IT VI20100345A IT VI20100345 A1 ITVI20100345 A1 IT VI20100345A1
Authority
IT
Italy
Prior art keywords
time
receiver
authentication
independent
difference
Prior art date
Application number
IT000345A
Other languages
English (en)
Inventor
Oscar Pozzobon
Christian John Wullems
Original Assignee
Qascom S R L
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qascom S R L filed Critical Qascom S R L
Priority to IT000345A priority Critical patent/ITVI20100345A1/it
Publication of ITVI20100345A1 publication Critical patent/ITVI20100345A1/it

Links

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S19/00Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
    • G01S19/01Satellite radio beacon positioning systems transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
    • G01S19/13Receivers
    • G01S19/21Interference related issues ; Issues related to cross-correlation, spoofing or other methods of denial of service
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S19/00Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
    • G01S19/01Satellite radio beacon positioning systems transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
    • G01S19/03Cooperating elements; Interaction or communication between different cooperating elements or between cooperating elements and receivers
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S19/00Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
    • G01S19/01Satellite radio beacon positioning systems transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
    • G01S19/13Receivers
    • G01S19/21Interference related issues ; Issues related to cross-correlation, spoofing or other methods of denial of service
    • G01S19/215Interference related issues ; Issues related to cross-correlation, spoofing or other methods of denial of service issues related to spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Position Fixing By Use Of Radio Waves (AREA)

Description

DESCRIZIONE DELL INVENZIONE INDUSTRIALE AVENTE PER TITOLO:
Metodo ed Apparato per l'autenticazione e rilevazione dello spoofing del segnale GPS C/ A e Galileo El-B
Campo della Tecnica
[0001] La presente invenzione presente riguarda un apparato e metodi per la navigazione satellitare sicura
(GPS e Galileo), ed in modo particolare tecniche di autenticazione del segnale e relativa verifica dì
falsificazione. L’invenzione usa una combinazione di tecniche per rilevare attacchi di simulazione
del segnale (spoofing) effettuati da ma le intenzionati per falsificare la posizione.
Stato della Tecnica Preesistente
[0001] Negli ultimi anni vi è stata una crescita esponenziale di applicazioni nel settore della navigazione satellitare (Global Navìgation Satellite Systems, GNSS) come sistema di posizionamento e tempo precisi. L’uso di tali tecnologie in molti settori è stato adottato senza valutare di quanto un attacco dì simulazione (spoofing) del segnale possa creare potenziali rìschi o problematiche sulla sicurezza e sulla salvaguardia delle vile umane. Posizionamento e tempo sicuri sono un requisito non solo per applicazioni critiche, ma anche per servìzi di sicurezza informatica, come la cifratura legata alla posizione (location based access control) c la ceri iti caz ione della posizione, utilizzate per limitare l<’>accesso ad informazioni o risorse iti base ad una particolare posizione o tempo. Un attacco di spoofing ha I "obiettivo di compromettere il tempo e posizione calcolate da un ricevitore generando un segnale GNSS simulato che sembra reale al ricevitore. Il furto e il terrorismo sono scenari tìpici per attacchi di spoofing verso applicazioni come il monitoraggio di trasporto pericoloso o materiali preziosi e sincronizzazione del tempo tramite il GNSS, Il costo per realizzare un attacco di spoofing non è più un deterrente in quanto simulatori GNSS sono affittabili ad un basso costo, e possono essere sviluppati con hardware a basso costo come le piattaforme di software defin ed radio. Su tali piattaforme è stato dimostrato il concetto dì receiver-spoofer. un ricevitore GNSS connesso ad un trasmettitore GNSS,
[0002] Si riferisce ora a figura l. Tale figura rappresenta un diagramma a blocchi di aito livello delle funzioni di un ricevitore GNSS pertinenti ad un attacco di spoofing. Il front end RF è responsabile per la conversione del segnale ad una frequenza intermedia o frequenza base e la digitalizzazione del segnale usando un convertitore analogico digisale (ADC). Il processore che opera in banda base acquisisce e traccia i satelliti usando il segnale digitalizzato.
[0003] La figura 2 illustra i blocchi funzionali nel processore, La funzione di acquisizione comprende la ricerca del canale, frequenza di dopplen, e fase del codice per ogni satellite. Tale informazione è passata alla funzione di tracking (inseguimento), che è responsabile per il tracking del ritardo e fase del codice per ogni satellite. La funzione di tracking genera tre codici: uno anticipato, uno corrente ed uno in ritardo. Tali codici sono allineati anche in fase da una funzione di tracking della fase che alinea il codice. La funzione allinea il codice corrente cercando il picco di correlazione ed estrae i messaggi di navigazione. La funzione di estrazione dei messaggi di navigazione effettua la sincronizzazione dei bit e dei fraine usando le informazioni di fase ottenute dal modulo dì tracking, al fine di identificare Γ inizio di un pacchetto di dati, conosciuto in GPS come subframe (jO bit). Una volta ottenuto il messaggio di navigazione e l'inizio di un subframe è possibile calcolare te misure di distanza (pseudoranges). I messaggi di navigazione forniscono i dati necessari per le correzioni del clock, per il calcolo delia posizione dei satelliti, è per la correzione dei ritardi introdotti dalla troposfera e ionosfera. La posizione dell’utente è calcolata risolvendo un equazione non lineare che determina la posizióne dell<'>utente e l'errore del clock dalla posizione di almeno 4 satelliti ed i pseudoranges correrti. Il metodo di calcolo dei pseudoranges è particolarmente pertinente al metodo di spoofing detection oggetto del brevetò,
[0004] Càlcolo dei pseudorange
[0005] Le misurazioni dei pseudorange sono calcolate come tempo di propagazione (r,‘ > dal satellite k al
ricevitore i . La relazione tra il tempo di propagazione ed i pseudorange p‘ è definita dalLequazione
[0006]:
[0006]
[0007] Dove uè la velocità della luce. Una volta ottenuto il dato digitale, non vi è nessun riferimento de! tempo poiché runico riferimento è la frequenza di campionamento. Per tale motivo i pseudorange possono essere misurati solo in modo relativo come differenza di tempo d’arrivo di una subframe rispetto ad un satellite di riferimento (tìpicamente con il tempo minore di propagazione). L’inizio di una subframe è identificato da un preambolo. Per calcolare uno pseudorange con sufficiente precisione, è necessario determinare l’inizio del codice di spreading per un determinato fraine. La precisione di misura delio pseudorange è data dalla frequenza di campionamento, li numero di campioni contenuti in un Frame è un multiplo di 1023 per GPS e 4092 per Galileo El-B, dove un frame rappresenta un epoca del codice (1 ms per GPS e 4ms per Galileo El-B). Il tempo relativo di propagazione Ar] in millisecondi tra ogni satellite
k e ricevitore i è calcolato come:
[000SJ
[0009] dove, j4CC(6cw) e il contéggio assoluto del dock (numero totale dd dock usato per campionare il
segnale) dairinizio del subframe; /3⁄4.è la frequenza di campionamento (campioni per codice); e
min (Ar* } è il minor tempo dì propagazione tra i tempi di propagazione disponibili. L’ equazione [0010]
mostra il calcolo dei pseudorange, dove 68.802 é un margine costante di propagazione da un satellite alla terra (ó5-83ms) e c è la velocità della luce nel vuoto.
[0010]
[001 1] Scenari di Spoofing: si presentano ora degli scenari di spoofing al fine di spiegare come lì metodo proposto possa bloccare ogni attacco di spoofing. Attacchi non sofisticati comprendono la simulazione del segnale GNSS semplicemente coilegando un simulatore al ricevitore. Tali attacchi possono essere facilmente identificati con dei semplici controlli sul tempo e sul segnale. Ci si focalizza invece su attacchi più sofisticati dove è necessaria là sincronizzazione del simulatore con un ricevitore GNSS (tramite hardware chiamato recai ver-spoofer. figura 3).
[0012] L’attacco in questo caso può essere sincronizzato solo per replicare la costellazione (frequenza di Doppler. pseudorange. dati di navigazione, C/Νϋ) oppure sincronizzato al fine di replicare i dati entro mezzo chip per non perdere il lock del segnale. In questo modo il ricevitore effettuerebbe la correlazione su due canali allineati. Per replicare i dati di navigazione è sufficiente decodificare i subframes del GPS o fe words di Galileo e ripeterli nel canale, aggiornando ì campi di interesse (Time of Week (TQW), parità, etc.}. in alternativa i dati da replicare possono essere predetti da misurazioni precedenti (informazioni relative alla costellazione, segnale, etc.) per eliminare il ritardo dell<'>acquisizione.
[0CU3J Identifichiamo ( come il ricevitore, ir, come lì simulatore e φ il ritardo dell<'>hardware che effettua un’attacco di spoofing (spoofer). che comprende bufferizzazione simulatore, ri-trasmissione, etc.). 11 tempo del ricevitore per la condizione non-spoofing (rr) e spoofing {/,) può essere rappresentato dalle equazioni [0014] e [0015] rispettivamente.
[0014)
[0015]
[0016] Il ritardo dovuto allo spoofing è mostrato in figura 4, dove viene misurato un ritardo di almeno un periodo dì codice ritardo di elaborazione e bufferizzazione (Galileo Et 1 -B ha un periodo di codice di 4ms e GPS/CA ha un periodo di codice di l ms). Per decodificare 11 segnale é necessaria la correlazione con lutto il codice. Questo ritardo (^ ) corrisponde ad almeno lms (tempo minimo di correlazione per codice GPS C/A), nonostante un sìmbolo sìa ripetuto 20 volte (e quindi 20 ms). Una volta individuata una transizione di fase, le fasi successive possono essere predette, Per effettuare un attacco di spoofing è necessario calcolare la fase del codice quanto prima. Nel caso di un ricevitore GPS, le informazioni della fase si possono tipicamente ottenere dalla componente in-phase del segnale per ogni canale. Molti processori GPS in banda base generano un interni pt sincronizzalo con il timer die genera il codice. Poiché Galileo E 1-B ha un codice primario di 4tns, il ritardo minimo introdotto dallo spoofing è normalmente 4ms (ipoteticamente anche lms in caso di iracking del sub-codice ma con maggiori probabilità di errore). 1 ritardi di elaborazione e bu fieri ng sono la parte rimanente dei ritardo di spoofing (<3⁄4 )
[0017] Se uno spoofer tenta di sincronizzare la simulazione entro 1⁄2 chip del segnale autentico (per prevenire la perdita di lock del segnale) sarebbe comunque necessario un periodo dì codice ulteriore (e.g. lms per GPS C7À e 4ms per Galileo El-B). In alternativa, si può replicare il segnale nel minimo tempo possibile (es: pochi chips), provocando una perdita di code lock in caso il ricevitore sia in fase di tràcking. Ci si riferisce alla figura 5 e figura 6 che mostrano la relazione tra il numero di codici per simbolo sia su Galileo El-B che GPS C/A. Nel caso in cui i! ricevitore acquisisca solo segnali spoofatù l’attacco avverrà con successo poiché il ritardo di tempo sarà mìnimo (millisecondi).
Esposi zi one del "Invenzione
[0018] Il metodo di rilevazione dello spoofing proposto richiede l’autenticazione dei dati di navigazione e dei bit non prevedibili dei subframes al fine di obbligare lo spoofer a reinviare i bit di navigazione in tempo reale.
[0019] E’ necessario effettuare i seguenti controlli di integrità prima di iniziare la stima del ritardo in tempo reale:
» Verifica che il Time of Weck (TOW) dei subframes tra i vari canali sia consìstente;
* Verifica che il massimo ritardo differenziale tra coppie di satelliti sia inferiore o uguale a 19ms: * Verìfica die l<'>altezza della soluzione di navigazione sia all' intemo dì una soglia definita (e.g, 0-40G0m, definita in base ai requisiti dell'applicazione). Un barometro digitale può essere usato per va fidare l’altezza in riferimento alla soglia predefinita.
[0020] 1 controlli di integrità sopra indicati sono utilizzati per identificare sia se vi sono satèlliti simulati che satelliti autentici nella soluzione di navigazione. Se viene superato tale controllo, tutti 1 satelliti sono autentici o simulati. In tal caso il ricevitore può procedere con la verifica del tempo che si basa assumendo che il calcolo delTerrore del dock sia affidabile. Se il controllo fallisce, si conferma la presenza di spoofing. Come dimostrato precedentemente in [0015] un 'attacco di spoofing introduce un ritardo di almeno Ims per GPS LI C/A e 4ms per Galileo E l -B nd messaggi di navigazione simulati. Mentre normalmente i bit di navigazione possono essere previsti, si assume per questo metodo che alcuni GPS subframes / Galileo words non possono essere previste, e devono quindi essere ritrasmessi. L’equazione [0021 ] mostra come il ritardo dei tempo introdotto a causa dello spoofing può essere misurato usando un dock indipendente, non controllato dal GNSS.
10021]
[0022] dove. fu..è il tempo GNSS derivato da clock non controllato: i.è il tempo GNSS del ricevitore; r*è il tempo di propagazione tra lo spoofere e il ricevitore (e.g. se la distanza è !m la propagazione saia di ci rea 3,3356* 10<'B>ms); è il ritardo che si riscontra ricevendo il bit di dati; φιII ritardo dovuto ad
elaborazione e bufferizz azione necessari per la ritrasmissione da parte del simulatore; e è Terrore del
clock locale non controllato, che deve essere inferiore a3⁄4#v affinché il segnale sia autenticato. La relazione tra il tempo GNSS in trasmissione e il tempo GNSS nel ricevitore è indicata nell'equazione [0023]
[0023]
[0024] Dove /, è il tempo GNSS del ricevitore e P* è il pseudo rango misurato, del quale la relazione tra range geometrico p‘<:>, errore de! dock del ricevitore di, , offset del clock del satellite di*tritardo troposferico T* , ritardo ionosferico e errore di misurazione del pseudorange e* è illustrata in [0025],
[0025]
[0026] 11 tempo di sfasamento tra il clock indipendente e il tempo GNSS ai fini dell' autenticazione può essere ottenuto dal calcolo assoluto dei cicli di clock dei campioni di segnale GNSS {inizio del codice) corrispondente al T inizio di una subframe (o Galileo word) autenticata contenente bit di dati non prevedibili. La soluzione delT errore del clock dei ricevitore (di,) e della posizione devono esserecalcolate usando messaggi TOW (tinte of week). offset del clock del satellite, effemeridi e ritardi troposferici e ionosferici autenticati. Una volta conosciuto dtt ,è possibile calcolare il tempo di differenza tra il tempo GNSS in cui è ricevuto un subframe autenticato ed il tempo GNSS calcolato dal clock indipendente. lì tempo GNSS indicato nd subframe indica il tempo in cui è trasmesso il gradino del primo chip del primo codice del primo bit di dati.
[0027] Ci si riferisce alla figura 7 che illustra i blocchi di due Timer usali per calcolare la differenza di tempo tra il clock del ricevitore GNSS (clock usato per campioni re il segnale) c il clock locale indipendente. Entrambi I timer sono configurati con un comparatore che azzera il proprio counter una volta raggiunta l'epoca di un fraine, L’ interra pt sull<5>epoca del contatore del clock GNSS di riferimento è usato dal motore dì acquisizione, dai correlatori e dal generatore del segnale I PPs. Per tenere traccia dell'epoca corrente,un registro che conta le epoche viene incrementato quando il comparatone genera un interrupl, I timer multicanale sono tipicamente disponibili su microcontro]] ori e processori GPS in banda base,
(0028] La differenza di tempo At(Uc) in cicli di clock può essere calcolata per un certo tempo f usando Γ equazione [00291 ,
[00291
Dove £Cr(;() è il conteggio dell’epoca del clock di riferimento del GNSS al tempo f: CC,.(Q è il conteggio dei cicli del clock di riferimento GNSS al tempo t\ EC^.U) è il conteggio dell'epoca dei clock indipendente al tempo i; CC^Q) è il conteggio dei cicli de! clock indipendente al tempo /; e n è il numero dei cicli dì clock per epoca (Tepoca di una fraine è tipicamente un multiplo di 1023 per GPS Li C/A o 4096 per Galileo EI-B). Al fine di ottenere un tempo costante t tra i canali del timer, viene configurato un registro che cattura il conteggio dei cicli per il clock indipendente per scattare quando un trigger software viene attivato e il contatore del clock di riferimento GNSS raggiunge l’epoca della frame.
[0031] Quando la differenza tra i due clock è conosciuta, il conteggio assoluto dei cicli del clock indipendente per l’inizio del subframe (./ÌCC^Ìòew)) può essere calcolato usando l’equazione [0032] (Dove bos sta per “begging of subframe"),
[0032]
[0033] Dove ECJJhosè) è il conteggio dell’epoca del clock GNSS di riferimento all’inizio del subframe;
CC,. ((wwc) è il conteggio dei cidi del dock di riferimento di campionamento all<'>inizio del .subframe; ài (re, ite) è la differenza tra i due clock; e n è il numero di cicli per epoca. I valori deirinizio del ciclo della subframe e conteggio dell’ epoca sono ottenuti dalla funzione di sincronizzazione de! bit e del frame, che ottiene tali valori dal correlatore prompl,
[0034] il tempo GNSS per l’inizio del subframe basato sul clock non dipendente è calcolato come segue:
[0035]
[0036] Dove GTOM. è la differenza di tempo tra il tempo GNSS ed il clock indipendente locale in cicli, ottenuta durante un trasferimento sicuro dei tempo o processo di risincronizzazione. La presenza di spoofìng dovuta al ritardo del flusso dei messaggi di navigazione per mi dato satellite A<'>può essere determinata usando l’equazione [0037],
[0038] Dove r* è il tempo di trasmissione dal satellite k ottenuto dal campo Time of Wcek (TOW) del subframe e le informazioni di correzione del clock ottenute dai navigation messages; e la soglia 3⁄43⁄4 3⁄4,~ ims per
GPS C/A o 4ms per Galileo El-B. Un satellite è autenticato quando t ;{A) è vera per la ricezione di dati non prevedibili. Una volta autenticato un satellite, lo stato del canale rimane autenticato finché non viene persa la sincronizzazione di un fraine o bit o se il clock ideale eccede la soglia di accettazione. In caso di autenticazione con successo, la differenza di dock GTOa .può essere aggiornata usando l'equazione [0039].
[0039]
[0040] Dove credei è il tempo del ricevitore all'inizio della subframe in cicli e Λ(ΧΙΛ.(Λ<Κ) è il conteggio dei cicli assoluto del clock indipendente all' inizio dd subframe, La soluzione di navigazione può essere determinata autentica quando viene calcolata dall'osservazione di satelliti che sono stati verificati per lo sfasamento del tempo, Entrambi le sincronizzazioni di bit e frante per ogni canale devono essere monitorate. Se viene persa la sincronizzazione per un determinato canale che era stato autenticato, lo stato di sicurezza del canale deve essere resettato in modalità “autenticazione sconosciuta". La possibilità di effettuare un’attacco di spoofing è limitata all<'>accuratezza del clock. La tabella I mostra il tempo approssimativo entro il quale un oscillatore supera un margine di Ims.
[0041J La tabella 2 Confronta la massima deviazione in frequenza di un oscillatore affinché non driti più di φ,3⁄43⁄4 per vari periodi e la fattibilità delle carie tipologie di oscillatori descritti in tabella 1. Le
subframes GPS LI che contengono bit di dati non prevedibili possono èssere osservati ogni 2 ore durante le operazioni normali, mentre le Galileo words che contengono bit di dati non prevedibili possono essere osservate ogni 30 secondi,
[0042] Come dimostrato tale metodo richiede sincronizzazione dd tempo sicura ed autenticazione dei messaggi non prevedibili. La sincronizzazione del tempo sicura può essere ottenuta tramite protocolli di sincronizzazione sicuri in modo che il dock Indipendente si sincronizzato entro ^ 3⁄4 del tempo
GNSS ( Ims per GPS LI e Galileo El-B). Una volta effettuata la sincronizzazione del tempo sicura il ricevitore è in grado di sincronizzare il clock indipendente tramite le subframes autenticate con bit non prevedibili. Tale autosincumizza/ionc può funzionare solo se la deviazione tra il clock GNSS ed il dock indipendente è inferiore al ritardo di spoofing .
[0043] Per mantenere Fautosincnanizzazione il ricevitore può essere impostato per svegliarsi automaticamente (wake up) ogni x secondi per acquisire le subframe autenticate e ri -sincronizzare il clock indipendente. li tempo di wake-up sarà proporzionale all’accuratezza del l'oscillatore, L’ autenticazione dei dati di navigazione ha l<'>obiettivo di autenticare le GPS LI subirames e le Galileo El-B words per constringere lo spoofer a acquisire e ritrasmettere i dati di navigazione.
j 0044] Figura 8 illustra un servizio broadcast di autenticazione GNSS basato su uno o più punti dì acquisizione (trusted observer), la rete dove vengono trasmessi i messagi di autenticazione e ricevitore in grado di ricevere tali messaggi. L’approccio dello schema è ad infrastruttura a chiave pubblica, dove il ricevitore GNSS ha un root certificate authority (CA) installato e i certificati vengono caricati e/o revocati via canale di broadcast, 11 ricevitore GNSS verifica Sa firma digitale immessa dal trusted observer, Nel canale broadcast vengono Inoltre trsmesst dei messaggi di stato di revoca del certificato al fine di prevenire uno spoter dal bloccare il canale di comunicazione e tentare un attacco, [ messaggi sono sgruppati utilizzando il Time of Week (TOW) come referenza. La tabella 3 indica una tipologia di tale messaggio. La firma digitale dei messaggio di gruppo è calcolata come segue:
0046] Dove H è una funzione di hash onc-way; ì messaggi Msg„ sono concatenati nell’ordine specificato in
MsgGrpSpec, e il campo MsgGrpSig del messaggio MsgGrp noti è compreso nella firma. Il certificato della chiave pubblica del trusied observer è trasmesso periodicamente al fine di verificare la firma. Il messaggio di trasmissione è illustrato in tabella 4, Sono previsti due sistemi di autenticazione: autenticazione dei subframes e autenticazione dei messaggi non prevedibili.
[0047] L’ autenticazione dei subffame GPS è calcolata concatenando le prime 3 subframes senza la TLM (rdernetry) e HOW (handover) words. In Galileo El-B, le effemeridi sono comprese nei words I/NAV di tipo I fino a 4. L' hash per Γ autenticazione delle effemeridi è calcolato concatenando le words da 1 a 4, come evidenziato nella tabella 5. Per Γ autenticazione di messaggi GPS non prevedibili si utilizzano i Navigatìon Message Correction Table (NMCT), trasmessi nella subframe 4, Tali messaggi contengono informazioni non prevedibili che costringono lo spoofer ad attendere 6.5 minuti se io spoofer non vuole introdurre un ritardo nello stream di dati simulato. La tabella 6 contiene le subframes e words che contengono i bit non prevedibili che sono usati per l<'>autenticazione.
L0Ò4S] Per Γ autenticazione di messaggi Galileo non prevedibili si usano i messaggi 1/NAV del Galileo Safety of Life (SOL) Service. Nd segnale E I -B del Galileo Safety of Life (SoL) Service, le integrity tables sono inviate nd messaggi l/NAV ogni 30 secondi. Tali tabelle indicano lo stato di integrità di ogni satellite ed includono un meccanismo dì autenticazione, Le informazioni di autenticazione variano ogni 30 secondi e sono usate come bit non prevedibili,
[0049] Tali messaggi sono registrati dal trusted observer»e viene generato un messaggio contente le informazioni necessarie ad identificale la subframe o word ed il relativo hash (compreso TLM e HOW per GPS). Le Tabelle 7 e S mostrano tale messaggio per GPS e Galileo.
[0050] Il metodo proposto è una combinazione di diverse tecniche che combinate risultano in una soluzione affidabile e sicura per ricevitori mass market, La figura 9 illustra i blocchi logici ed il (lusso di dati del ricevitore GNSS sicuro.
[0051] Il ricevitore parte in uno stato sconosciuto (unknown), In uno scenario di eold start, il clock indipendente {GTOul.) non è stato sincronizzato e deve essere sincronizzato con una sorgente sicura. In tal caso il
ricevitore passa allo stato “sincronizzazione richiesta”. Una volta sincronizzato il clock, il ricevitore rimane nello stato “sconosciuto” fino a quando non è in grado di passare allo stato “autenticato” (almeno 4 canali autenticati ricevuti) o “spoofmg rilevato”. Se viene persa la sittcomizzazione dei bit (bit synch) lo stato di sicurezza ritorna a “sconosciuto” Se la differenza dì tempo tra il clock indipendente ed il clock GNSS supera la soglia del ritardo di spoofing» ed il tempo di deriva del clock indipendente è inferiore alla soglia prevista, viene rilevato un attacco di spoofing. Se il tempo di deriva del dock indipendente è uguale o superiore alia soglia prevista (il che indica che la autosmcroriizzaziooe non è andata a buon fine) il ricevitore va nell o stato “sincronizzazione ricjji^t^j I tempo di deriva previsto è stimato in base alle caratteristiche deli<1>oscillatore, e è utlizzato perjidcrrre iisKpositivi. Gli stati ad alto livello del ricevitore sono indicati in fig

Claims (1)

  1. RIVENDICAZIONI DELL'INVENZIONE INDUSTRIALE AVENTE PER TITOLO: Metodo ed Apparato per L' autenticazione e rilevazione dello spoofing del segnale GPS C/A RIVENDICAZIONI 1. Un metodo per rilevare segnali di un sistema di navigazione globale satellitare non autentici che comprende: a. L'autenticazione dei dati modulati nel segnale di navigazione globale satellitare; b. 11 controllo di sanità di tali dati acquisiti dui ricevitore dì navigazione satellitare; e. Il calcolo del tempo di arrivo dei dati non prevedibili modulati nel sistema di navigazione satellitare rispeto ad una sorgente indipendente di tempo; d. La verìfica che la differenza di tempo fra il tempo calcolato dal sistema dì navigazione satellitare e la sorgente indipendente di tempo non ecceda una soglia di ritardo da falsificazione 2 Π metodo come da rivendicazione dove l'autenticazione dei dati modulati nel sistema dì navigazione satellitare comprende: a. La trasmissione di messaggi autenticati da parte di una terza parte certificata al ricevitore che fornisce autenticazione delle effemeridi e dei pacchetti quali subframe per GPS e word per Galileo che contengono dati non prevedibili osi servati dalla terza parte certificata b. La verifica dei messaggi di autenticazione da parte del ricevitore al fine di validare l 'origine ed integrità, e c. La verìfica delle effemeridi e dei pacchetti non prevedibili ottenuti dai ricevitore con i messaggi di autenticazione ottenuti dalla terza parte certificata 3. II metodo come da rivendicazione 1, dove il controllo di sanità comprende: a. La verifica che il campo Time of Week de! pacchetto ricevuto dal ricevitore per tutti i canali entro un dato tempo di misurazione dai dati modulati nel segnale di navigazione sìa uguale b. La verifica che il tempo massimo di differenza tra coppie di satelliti come osservato dal ricevitore sìa inferiore od uguale a 19 millisecondi; e c. La verifica che l'altezza calcolata dal ricevitore sia alfiintemo di una soglia definita daifutente. 4. Il metodo come da rivendicazione 1, dove il calcolo del tempo di arrivo di dati non prevedibili modulati sul segnale di navigazione rispetto ad un tempo indipendente comprende: a. Il calcolo della differenza fra il contatore di cicli deiroscillatore usato per il campionamento dei segnali e il contatore di cicli di un oscillatore indipendente. b. Il calcolo del tempo di arrivo di tuia pacchetto rispetto ad un clock indipendente, aggiungendo la differenza dei contatore di cicli deiroscillatore indipendente ai cicli assoluti ottenuti dal correlatore e dalla funzione dì sincronizzazione del bit del ricevitore, identificando l<'>inizio del pacchetto che contiene dati non prevedibili, e c. La correzione del tempo di arrivo di un pacchetto rispeto al clock indipendente per la differenza tra il contatore di cicli dell'oscillatore indipendente ed il numero di cicli derivati dal tempo del sistema di navigazione satellitare, impostati tramite una funzione di trasferimento del tempo sicura ed aggiornati dopo una autenticazione, , lì metodo secondo rivendicazione 1, dove la verifica che la differenza tra il tempo ottenuto dal sistema di navigazione satellitare e la sorgente di tempo indipendente non ecceda una sogl ia di ritardo dì falsificazione comprende; a. La verifica che le effemeridi siano state autenticate b. La verifica che per un pacchetto autenticato contenente dati non prevedibili, la differenza di tempo tra il tempo di sistema del sistema di navigazione satellitare e la sorgente indipendente del tempo per il tempo di arrivo del pacchetto non ecceda la soglia di ritardo da falsificazione, e c. La generazione di un allarme se la differenza di tempo supera il ritardo da falsificazione
IT000345A 2010-12-23 2010-12-23 Metodo ed apparato per l'autenticazione e rilevazione dello spoofing del segnale gps c/a e galileo e1-b safety of life. ITVI20100345A1 (it)

Priority Applications (1)

Application Number Priority Date Filing Date Title
IT000345A ITVI20100345A1 (it) 2010-12-23 2010-12-23 Metodo ed apparato per l'autenticazione e rilevazione dello spoofing del segnale gps c/a e galileo e1-b safety of life.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT000345A ITVI20100345A1 (it) 2010-12-23 2010-12-23 Metodo ed apparato per l'autenticazione e rilevazione dello spoofing del segnale gps c/a e galileo e1-b safety of life.

Publications (1)

Publication Number Publication Date
ITVI20100345A1 true ITVI20100345A1 (it) 2012-06-24

Family

ID=43737553

Family Applications (1)

Application Number Title Priority Date Filing Date
IT000345A ITVI20100345A1 (it) 2010-12-23 2010-12-23 Metodo ed apparato per l'autenticazione e rilevazione dello spoofing del segnale gps c/a e galileo e1-b safety of life.

Country Status (1)

Country Link
IT (1) ITVI20100345A1 (it)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050146459A1 (en) * 2003-12-24 2005-07-07 Dentinger Michael P. System for standard positioning service and precise positioning service cooperative operation

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050146459A1 (en) * 2003-12-24 2005-07-07 Dentinger Michael P. System for standard positioning service and precise positioning service cooperative operation

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
GUENTER W HEIN ET AL: "Authenticating GNSS Proofs against Spoofs/ Part2", INTERNET CITATION, 1 September 2007 (2007-09-01), pages 71 - 78, XP007919498 *
HENGQING WEN ET AL: "Countermeasures for GPS Signal Spoofing", PROCEEDINGS OF ION GPS/GNSS, XX, XX, no. 18th, 13 September 2005 (2005-09-13), pages 1285 - 1390, XP007903714 *
SCOTT L: "Anti-Spoofing & Authenticated Signal Architectures for Civil Navigation Systems", PROCEEDINGS OF ION GPS/GNSS, XX, XX, vol. 2003, 1 January 2003 (2003-01-01), pages 1543 - 1552, XP002436415 *
TODD E HUMPHREYS ET AL: "Assessing the Spoofing Threat: Development of a Portable GPS Civilian Spoofer", ION GNSS 21ST. INTERNATIONAL TECHNICAL MEETING OF THE SATELLITE DIVISION,, 16 September 2008 (2008-09-16), pages 2314 - 2325, XP007919458 *

Similar Documents

Publication Publication Date Title
RU2635368C2 (ru) Спутниковые радионавигационные сигналы с цифровой подписью
Günther A survey of spoofing and counter‐measures
KR102307770B1 (ko) 무선항법 인증을 위한 방법 및 시스템
US10908294B2 (en) Detection and elimination of GNSS spoofing signals with PVT solution estimation
Wullems et al. Signal authentication and integrity schemes for next generation global navigation satellite systems
US20130176168A1 (en) Controlled access satellite navigation receiver
Marnach et al. Detecting meaconing attacks by analysing the clock bias of GNSS receivers
Fernández-Hernández GNSS authentication: design parameters and service concepts
ITVI20130169A1 (it) Metodo ed apparato per l¿autenticazione di un segnale di navigazione satellitare usando il segnale del galileo commercial service
Stenberg et al. Results on GNSS spoofing mitigation using multiple receivers
GB2482113A (en) Processing a satellite navigation signal whilst reducing the prospect of erroneous position readings being determined
Fernandez-Hernandez et al. Galileo authentication and high accuracy: getting to the truth
ES2749180T3 (es) Método y sistema de certificación de georreferenciación para dispositivos móviles
ITVI20100345A1 (it) Metodo ed apparato per l&#39;autenticazione e rilevazione dello spoofing del segnale gps c/a e galileo e1-b safety of life.
US20220244341A1 (en) Reception of signals for ranging, timing, and data transfer
US20220244337A1 (en) Transmission of signals for ranging, timing, and data transfer
Kor et al. A proposal for securing terrestrial radio-navigation systems
JP2010096672A (ja) 衛星時刻同期方法及び衛星時刻同期システム
Carbonell et al. Galileo Commercial Service Demonstrator–Signal In Space Proof-Of-Concept
US20220244347A1 (en) Reception of signals for ranging, timing, and data transfer
WO2023039302A1 (en) Transmission of signals for ranging, timing, and data transfer
WO2020098646A1 (zh) 检测伪gnss干扰的方法、装置和系统
Rügamer et al. Validation of a Combined GNSS Correction and NMA L-Band Service Against Spoofing
Wullems Engineering Trusted Location Services and Context-aware Augmentations for Network Authorization Models
O'Driscoll Observations on Signal-Level GNSS-Based PVT Assurance