Titel

Verfahren zum Erkennen eines manipulierten oder gefälschten GNSS-Signals

Die Erfindung betrifft ein Verfahren zum Erkennen eines manipulierten oder gefälschten GNSS-Signals, ein Computerprogramm zur Durchführung des Verfahrens, ein maschinenlesbares Speichermedium, auf dem das Computerprogramm gespeichert ist sowie ein System für ein Fahrzeug, wobei das System zur Durchführung des Verfahrens eingerichtet ist. Die Erfindung kann insbesondere bei GNSS-basierten Lokalisierungssystemen für das autonome oder teilautonome Fahren zur Anwendung kommen.

Stand der Technik

Die Erzeugung und Übertragung manipulierter und/oder gefälschter GNSS- Signale wird allgemein auch als sogenanntes „Spoofing“ bezeichnet. Spoofing erfolgt insbesondere mit dem Ziel, einen GNSS-Empfänger in die Irre zu führen, möglicherweise ohne dass der GNSS-Empfänger den Angriff bemerkt. Spoofing ist technisch anspruchsvoll, da die komplexen GNSS-Signalstrukturen nachgebildet werden müssen, in der Regel für mehrere GNSS-Signale parallel. Das sogenannte „Meaconing“ ist dabei eine Unterkategorie des Spoofings und betrifft die erneute Übertragung empfangener GNSS-Signale. Dies vermeidet den Aufwand für die Implementierung der Erzeugung der komplexen GNSS- Signalstrukturen und führt außerdem dazu, dass der GNSS-Empfänger fehlerhafte PNT-Informationen (Position, Navigation, Zeit) liefert, da sich durch den Empfangs- und Wiederausstrahlungsprozess die relativen Verzögerungen der GNSS-Signale, wie sie vom Empfänger gesehen werden, im Vergleich zu den relativen Verzögerungen der authentischen GNSS-Signale am Standort des Empfängers ändern. Es gibt einige Standardansätze, die als Nebeneffekt dazu beitragen, Spoofing zu überwinden, z.B. durch die Verarbeitung einer Sensorfusion mit IMU oder die Implementierung von auf Residuen basierenden Überwachungen. Insbesondere im Automobilbereich sind jedoch keine entsprechenden Techniken bekannt. Je nach Aufwand, krimineller Energie und finanziellen Möglichkeiten eines Angreifers besteht grundsätzlich immer die Gefahr, dass ein Navigationssystem durch Spoofing geschädigt werden kann. Es besteht jedoch das Bestreben, die Gefahr möglichst gering zu halten.

Offenbarung der Erfindung

Hier vorgeschlagen wird gemäß Anspruch 1 ein Verfahren zum Erkennen eines manipulierten oder gefälschten GNSS-Signals, umfassend zumindest folgende Schritte: a) Empfangen eines GNSS-Signals, b) Analysieren des GNSS-Signals, um mindestens eine Signaleigenschaft und mindestens eine Satelliteneigenschaft aus dem GNSS-Signal zu ermitteln, c) Vergleichen der ermittelten mindestens einen Signaleigenschaft mit mindestens einer bekannten Signaleigenschaft, die in Abhängigkeit der erkannten mindestens einen Satelliteneigenschaft bestimmt wird, d) Erkennen eines manipulierten oder gefälschten GNSS-Signals, wenn sich eine Diskrepanz zwischen ermittelter Signaleigenschaft und bekannter Signaleigenschaft ergibt.

Die Schritte a), b), c) und d) können zur Durchführung des Verfahrens beispielsweise zumindest einmal und/oder wiederholt in der angegebenen Reihenfolge durchgeführt werden. Weiterhin können die Schritte a), b), c) und d), insbesondere die Schritte c) und d) zumindest teilweise parallel oder gleichzeitig durchgeführt werden. Insbesondere kann Schritt a) fahrzeugseitig bzw. mittels eines GNSS-Empfängers und/oder GNSS-Sensors eines Fahrzeugs durchgeführt werden. Die Schritte b), c) und/oder d) können ebenfalls fahrzeugseitig und/oder zumindest teilweise fahrzeugextern, wie beispielsweise von einer übergeordneten Verwaltungseinrichtung, die Daten von mehreren Fahrzeugen empfangen kann, durchgeführt werden.

Das Verfahren dient insbesondere zur (maschinellen) Detektion von GNSS Spoofing und/oder Meaconing. In diesem Zusammenhang kann es sich bei dem manipulierten oder gefälschten GNSS-Signal beispielsweise um ein solches Signal handeln, welches künstlich von einem (satellitenexternen) GNSS- Signalgenerator erzeugt und insbesondere alternativ oder zusätzlich zu (Original- )Satellitensignalen an GNSS-Empfänger ausgesendet wird. Dabei kann der GNSS-Signalgenerator zum Beispiel verwendet werden, um GNSS-Signale vollständig zu simulieren und/oder mindestens ein Signal empfangenen GNSS- Signalen in einem Meaconing-Szenario hinzuzufügen. Das Verfahren kann beispielhaft dazu beitragen Meaconing-Angriffe zu erkennen, bei denen empfangene GNSS-Signale weitergesendet werden. Das Verfahren ist jedoch nicht hierauf beschränkt. Vielmehr kann das Verfahren in vorteilhafter Weise dazu beitragen zu erkennen, ob derzeit (allgemein) ein Spoofing von GNSS- Signalen stattfindet.

Das Verfahren dient insbesondere zum Erkennen eines manipulierten oder gefälschten GNSS-Signals im Rahmen einer (zumindest auch) auf GNSS-Daten basierenden (Eigen-)Lokalisierung eines (Kraft-) Fahrzeugs. In diesem Zusammenhang trägt das Verfahren insbesondere zur Verbesserung der Genauigkeit und/oder Verlässlichkeit des Positionsergebnisses der Fahrzeugposition bei. Insbesondere kann eine ggf. vorliegende Manipulation der Fahrzeugposition aus der Eigenlokalisierung erkannt bzw.t entdeckt werden. Bei dem Fahrzeug kann es sich beispielsweise um ein Automobil handeln, welches vorzugsweise für einen zumindest teilweise automatisierten und/oder autonomen Fährbetrieb eingerichtet ist.

In Schritt a) erfolgt ein Empfangen eines GNSS-Signals. Dabei können grundsätzlich ein oder mehrere (Original-)GNSS-Signale von einem oder mehreren GNSS-Satelliten (zum Beispiel von Satelliten der Dienste GPS, GLONASS, Galileo, Beidou, etc.) empfangen werden. Weiterhin können dabei manipulierte oder gefälschte GNSS-Signale empfangen werden, beispielsweise solche, die von einer Spoofing- Einrichtung ausgesendet werden.

In Schritt b) erfolgt ein Analysieren des GNSS-Signals, um mindestens eine Signaleigenschaft und mindestens eine Satelliteneigenschaft aus dem GNSS- Signal zu ermitteln. Bei der Signaleigenschaft kann es sich beispielsweise um die (empfangene(n)) Trägerwellenfrequenz(en) handeln. Bei der Satelliteneigenschaft kann es sich beispielsweise um die Baureihe des betreffenden Satelliten und/oder die Verfügbarkeit von Trägerwellenfrequenzen (LI, L2C, etc.) bei dem betreffenden Satelliten handeln.

GNSS Satelliten übertragen in Ihren Navigationsdaten (GNSS-Daten bzw. GNSS-Satellitendaten) üblicherweise Informationen über die Baureihe des betreffenden (aussendenden) Satelliten und/oder darüber, welche GNSS-Signale (zum Beispiel welche Frequenzen) vorhanden sind bzw. sein sollten. So senden beispielsweise ältere GPS-Satelliten kein ziviles Signal auf der zweiten Frequenz (L2C). Diese Information wird üblicherweise über die Navigationsdaten mitgeteilt. Die Baureihe bzw. das Alter des Satelliten kann somit beispielhaft eine vorteilhafte Satelliteneigenschaft darstellen.

Beispielsweise kann ein Navigationsdatenhandler bzw. GNSS-Signalhandler eines hier auch beschriebenen Systems die Navigationsdaten der Satelliten bzw. der empfangenen Signale dekodieren und daraus die mindestens eine Signaleigenschaft und/oder mindestens eine Satelliteneigenschaft (zum Beispiel Baureihe des Satelliten bzw. des gegebenenfalls vermeintlichen Satelliten) ableiten. Weiterhin kann mindestens eine bekannte Signaleigenschaft in Abhängigkeit der erkannten mindestens einen Satelliteneigenschaft bestimmt werden. Die bekannte Signaleigenschaft kann zum Beispiel eine Signalcharakteristik betreffen, wie beispielsweise, dass eine bestimmte Baureihe kein ziviles Signal auf der zweiten Frequenz (L2C) sendet. Entsprechende bekannte Signaleigenschaften bzw. Signalcharakteristiken, die bei bestimmten Satelliteneigenschaften auftreten, können beispielsweise (fest oder aktualisierbar) in dem hier auch beschriebenen System hinterlegt (kodiert) sein und/oder über eine vorzugsweise drahtlose Verbindung (zum Beispiel funkbasierte Internetverbindung) bezogen werden.

In Schritt c) erfolgt ein Vergleichen der ermittelten mindestens einen Signaleigenschaft mit mindestens einer bekannten Signaleigenschaft, die in Abhängigkeit der erkannten mindestens einen Satelliteneigenschaft bestimmt wird. Beispielsweise kann hierbei ein Vergleich zwischen Trägerwellenfrequenzen erfolgen, insbesondere zwischen mindestens einer Trägerwellenfrequenz, die (bzw. auf der) empfangen wird und mindestens einer Trägerwellenfrequenz, die (bzw. auf der) beispielhaft bei der betreffenden Satellitenbaureihe (normalerweise) empfangen bzw. nicht empfangen werden sollte. Anhand des obigen Beispiels kann eine in Abhängigkeit der Baureihe bestimmte bekannte Signaleigenschaft beispielsweise sein, dass kein ziviles Signal auf der zweiten Frequenz (L2C) gesendet wird.

Ein Spoofing-Monitor des hier auch beschriebenen System kann dazu eingerichtet sein, die bekannten Signaleigenschaft(en) bzw.

Signalcharakteristik(en) mit den empfangenen Signalen zu vergleichen. Der Spoofing-Monitor kann eine Spoofing-Warnung ausgeben, wenn beispielsweise eine Diskrepanz zwischen ermittelter Signaleigenschaft und bekannter Signaleigenschaft erkannt wurde, insbesondere wenn ein unmögliches Signal empfangen wurde. Diese Information kann anschließend in der Positionsberechnung und/oder für Statusinformationen verwendet werden.

In Schritt d) erfolgt ein Erkennen eines manipulierten oder gefälschten GNSS- Signals, wenn sich eine Diskrepanz zwischen ermittelter Signaleigenschaft und bekannter Signaleigenschaft ergibt. Die Diskrepanz betrifft mit anderen Worten insbesondere eine Abweichung zwischen ermittelter Signaleigenschaft und bekannter Signaleigenschaft. Wenn ein manipuliertes oder gefälschtes GNSS- Signal erkannt wurden, kann dies beispielsweise aussortiert, insbesondere für die Verwendung bei einer Lokalisierung einer Fahrzeugposition ausgeschlossen werden.

Ein Spoofing kann beispielsweise dann detektiert werden, wenn der Spoofer nicht alle Signale und dazugehörigen Navigationsdaten dahingehen konsistent erzeugt hat, dass (anhand des obigen Beispiels) zum Beispiel von einem (vermeintlichen) Satelliten, der nicht auf einer bestimmten Frequenz senden kann, ein solches Signal empfangen wird.

Nach einer vorteilhaften Ausgestaltung wird vorgeschlagen, dass in Schritt a) das GNSS-Signal von einem GNSS-Sensor eines Fahrzeugs empfangen wird. Der GNSS-Sensor kann dabei beispielswiese in und/oder an dem Fahrzeug angeordnet sein.

Nach einer weiteren vorteilhaften Ausgestaltung wird vorgeschlagen, dass die mindestens eine Satelliteneigenschaft zumindest eine der folgenden Eigenschaften umfasst: Satellitentyp, Satellitenmodell, Satellitenbaureihe. Bevorzugt betrifft die Satelliteneigenschaft die Satellitenbaureihe.

Nach einer weiteren vorteilhaften Ausgestaltung wird vorgeschlagen, dass die mindestens eine bekannte Signaleigenschaft mindestens eine bzw. die mindestens eine Frequenz des Signals betrifft. Die Frequenz betrifft insbesondere mindestens eine Trägerwellenfrequenz des Signals, die (bzw. auf der) beispielhaft bei der betreffenden Satellitenbaureihe (normalerweise) empfangen bzw. nicht empfangen werden sollte.

Nach einer weiteren vorteilhaften Ausgestaltung wird vorgeschlagen, dass ein manipuliertes oder gefälschtes GNSS-Signal erkannt wird, wenn ein GNSS- Signal auf einer Frequenz empfangen wird, auf welcher der vermeintlich aussendende GNSS-Satellit nicht sendet. Insbesondere kann ein manipuliertes oder gefälschtes GNSS-Signal erkannt wird, wenn ein GNSS-Signal auf bzw. mit einer Trägerwellenfrequenz empfangen wird, auf welcher der vermeintlich aussendende GNSS-Satellit nicht sendet.

Nach einem weiteren Aspekt wird ein Computerprogramm zur Durchführung eines hier vorgestellten Verfahrens vorgeschlagen. Dies betrifft mit anderen Worten insbesondere ein Computerprogramm(-produkt), umfassend Befehle, die bei der Ausführung des Programms durch einen Computer diesen veranlassen, ein hier beschriebenes Verfahren auszuführen.

Nach einem weiteren Aspekt wird ein Maschinenlesbares Speichermedium vorgeschlagen, auf dem das hier vorgeschlagene Computerprogramm hinterlegt bzw. gespeichert ist. Regelmäßig handelt es sich bei dem maschinenlesbaren Speichermedium um einen computerlesbaren Datenträger.

System für ein (Kraft-) Fahrzeug, wobei das System zur Durchführung eines hier beschriebenen Verfahrens eingerichtet ist. Das System kann beispielsweise einen Rechner und/oder ein Steuergerät (Controller) umfassen, der Befehle ausführen kann, um das Verfahren auszuführen. Hierzu kann der Rechner bzw. das Steuergerät beispielsweise das angegebene Computerprogramm ausführen. Beispielsweise kann der Rechner bzw. das Steuergerät auf das angegebene Speichermedium zugreifen, um das Computerprogramm ausführen zu können. Das System kann beispielsweise einen GNSS-Sensor zum Empfangen von GNSS-Signalen umfassen. Das System kann (weiterhin) beispielswiese einen Navigationsdatenhandler bzw. GNSS-Signalhandler und/oder einen Spoofing- Monitor umfassen. Das System kann (zudem) eine Lokalisierungseinrichtung umfassen, die zumindest auch unter Verwendung empfangener (und nicht als manipuliert oder gefälscht erkannter) GNSS-Signale eine Eigenposition eines Fahrzeugs ermitteln kann. Hierbei kann die Lokalisierungseinrichtung beispielsweise eine Fusion von GNSS-Daten mit weiteren Daten von Sensoren des Fahrzeugs, wie beispielsweise mit Umfeldsensordaten von Umfeldsensoren des Fahrzeugs durchführen.

Das System kann beispielsweise ein Bestandteil eines Bewegungs- und Positionssensors sein, der insbesondere in oder an einem Fahrzeug anordenbar bzw. angeordnet ist, oder mit einem solchen Sensor zum Informationsaustausch verbunden sein. In diesem Zusammenhang kann vorgesehen sein, dass beispielsweise der GNSS-Sensor und/oder die Lokalisierungseinrichtung Bestandteile des Bewegungs- und Positionssensors sind. Weiterhin kann (alternativ) vorgesehen sein, dass das System einen Bewegungs- und Positionssensors umfasst, der in diesem Fall beispielsweise den GNSS-Sensor und/oder die Lokalisierungseinrichtung umfassen kann.

Die im Zusammenhang mit dem Verfahren erörterten Details, Merkmale und vorteilhaften Ausgestaltungen können entsprechend auch bei dem hier vorgestellten Computerprogram und/oder dem Speichermedium und/oder dem System auftreten und umgekehrt. Insoweit wird auf die dortigen Ausführungen zur näheren Charakterisierung der Merkmale vollumfänglich Bezug genommen.

Die hier vorgestellte Lösung sowie deren technisches Umfeld werden nachfolgend anhand der Figuren näher erläutert. Es ist darauf hinzuweisen, dass die Erfindung durch die gezeigten Ausführungsbeispiele nicht beschränkt werden soll. Insbesondere ist es, soweit nicht explizit anders dargestellt, auch möglich, Teilaspekte der in den Figuren erläuterten Sachverhalte zu extrahieren und mit anderen Bestandteilen und/oder Erkenntnissen aus anderen Figuren und/oder der vorliegenden Beschreibung zu kombinieren. Es zeigt schematisch:

Fig. 1: einen beispielhaften Ablauf des hier vorgestellten Verfahrens, und Fig. 2: ein Beispiel für ein hier beschriebenes System für ein Fahrzeug.

Fig. 1 zeigt schematisch einen beispielhaften Ablauf des hier vorgestellten Verfahrens zum Erkennen eines manipulierten oder gefälschten GNSS-Signals. Die mit den Blöcken 110, 120, 130 und 140 dargestellte Reihenfolge der Schritte a), b), c) und d) ist beispielhaft und kann zur Durchführung des Verfahrens beispielsweise zumindest einmal in der dargestellten Reihenfolge durchlaufen werden.

In Block 110 erfolgt gemäß Schritt a) ein Empfangen eines GNSS-Signals. Dabei kann das GNSS-Signal beispielhaft von einem GNSS-Sensor 1 eines Fahrzeugs 2 (vgl. Fig. 2) empfangen werden.

In Block 120 erfolgt gemäß Schritt b) ein Analysieren des GNSS-Signals, um mindestens eine Signaleigenschaft und mindestens eine Satelliteneigenschaft aus dem GNSS-Signal zu ermitteln. Beispielsweise kann die mindestens eine Satelliteneigenschaft zumindest eine der folgenden Eigenschaften umfassen: Satellitentyp, Satellitenmodell, Satellitenbaureihe.

In Block 130 erfolgt gemäß Schritt c) ein Vergleichen der ermittelten mindestens einen Signaleigenschaft mit mindestens einer bekannten Signaleigenschaft, die in Abhängigkeit der erkannten mindestens einen Satelliteneigenschaft bestimmt wird. Beispielsweise kann die mindestens eine bekannte Signaleigenschaft die Frequenz des Signals betreffen.

In Block 140 erfolgt gemäß Schritt d) ein Erkennen eines manipulierten oder gefälschten GNSS-Signals, wenn sich eine Diskrepanz zwischen ermittelter Signaleigenschaft und bekannter Signaleigenschaft ergibt. Zum Beispiel kann dabei ein manipuliertes oder gefälschtes GNSS-Signal erkannt werden, wenn ein GNSS-Signal auf einer Frequenz empfangen wird, auf welcher der vermeintlich aussendende GNSS-Satellit 3 nicht sendet.

Fig. 2 zeigt schematisch ein Beispiel für ein hier beschriebenes System 4 für ein Fahrzeug 2. Das System 4 ist zur Durchführung des im Zusammenhang mit Fig. 1 beschriebenen Verfahrens eingerichtet. In dem in Fig. 2 veranschaulichten, beispielhaften Szenario ist eine Spoofing- Einrichtung 5 vorhanden, die über einen Signal-Generator 6 verfügt. Weiterhin umfasst die Spoofing- Einrichtung 5 beispielsweise ein Modul 7, welches ein von einem GNSS-Satelliten 3 (zum Beispiel GPS, GLONASS, Galileo oder Beidou) ausgesendetes GNSS-Signal empfangen und diesem gefälschte Signale bzw. Signalbestandteile hinzufügen und/oder den Signalinhalt des GNSS-Signals manipulieren kann. Zudem umfasst die Spoofing- Einrichtung 5 hier beispielhaft ein Modul 8, welches ein eigenes, gefälschtes GNSS-Signal erzeugen kann. Hierzu könne die Module 7, 8 jeweils auf den Signal-Generator 6 zugreigen.

Das System 4 ist beispielsweise in bzw. an einem Fahrzeugs 2 angeordnet. Ein GNSS-Sensor 1 des Systems 4 kann sowohl original GNSS-Signale von GNSS- Satelliten 3 als auch manipulierte und/oder gefälschte GNSS-Signale der Spoofing- Einrichtung 5 empfangen. Das System 4 kann eine GNSS-basierte Lokalisierung des Fahrzeugs durchführen, wobei unter Einsatz des beschriebenen Verfahrens die von der Spoofing- Einrichtung 5 kommenden Signale erkannt und vorteilhaft für die Lokalisierung ausgeschlossen werden können.

Das Verfahren trägt somit in vorteilhafter Weise dazu bei, dass die Gefahr, dass ein Navigationssystem durch Spoofing geschädigt werden kann, möglichst gering gehalten bzw. zumindest reduziert werden kann.