用于认证从卫星星座接收的信号的方法与流程

本发明应用于来源主要来自于导航系统的卫星的信号。更加具体地，本发明的目的是检测伪信号和/或纠正伪信号。

背景技术：

越来越多的关键应用使用由导航卫星星座(全球导航卫星系统或GNSS)提供的信息，或者是位置信号本身或者是其时间参考、或者两者。军事应用就是这种情况，但受制于由控制这个星座的政府认可的主管部门使用，军事应用可以使用受保护的频率，对于该频率，信号受益于真实性的保证。民用领域的应用一般不能获得这种认可，即使它们是非常关键的，如空中导航、海上导航或民用安全的情形。因此，它们必须使用开放信号，该开放信号的频率、波形和代码是已知的。因此，这些信号可以没有过多难度地被恶意伪造。因此，验证导航信号的真实性本身就是关键的问题。已经开发了“欺骗”技术(“欺骗”是最常用的术语)，因此同样具有“防欺骗”技术。

第一类常规防欺骗方法包括将从GNSS信号获得的接收机位置信息与源自被认为是非伪造的外部源的信息(地形映射、高度、惯性传感器、相对于经认证的参考行进的路径等)相关联的那些方法。然而，孤立地来看，这些方法对于对嵌入在航空器上的某些应用(比如地形防撞系统)所施加的认证级别是不够的，其预先假设系统的每个组件的诚实性。

因此已经开发了第二类防欺骗方法，以基于由接收机感知的GNSS信号的固有特性，特别是其天线的辐射方向图，来认证GNSS信号。这些方法的目的是能够消除所有接收的信号都源自单个方向(即，伪信号的源)的假设，这是通过利用移位辐射方向图的相位中心而机械地生成辐射方向图的变化来完成的。这个现有技术将在后面详细描述，尤其包括以编号WO2014/047378公开的国际专利申请。机械天线分集生成装置对于驱动和处理而言是庞大和复杂的，这要求高计算能力。因此，它们不可能包含到大量销售的接收机(例如智能手机)中。

现在，如果这种类型的终端在比如运输或电子支付的半关键性应用上的使用扩展(似乎情况属实)，则诚实性约束将快速地扩展到这种类型的终端。

在陆上运输领域，GNSS系统的地理定位和导航正在迅速向公众推广：个人车辆导航辅助、租借自行车或机动车辆的预订、城市交通的实时跟踪等。用户可以使用特定的GNSS信号处理模块(例如安装在他或她的个人车辆中)或者他或她的智能电话，该智能电话包含了基于GNSS信号和/或基于对无线通信网络的服务小区或Wifi终端的识别的地理定位功能，以及映射功能。

在电子支付领域中，QRCode类型标记或NFC(近场通信)类型芯片的使用已经允许使用智能电话进行视觉但非接触式支付。时间戳以及交易地点认证是在能够保证这个时间戳和这个地点的诚实性的条件下用于认证这些支付的自然手段，这在当前是不可能的。

技术实现要素：

本发明的目的是克服现有技术的这种限制。为此，本发明提供了一种GNSS信号防欺骗系统，包括用于远程且安全地检查接收机的天线的辐射方向图的紧凑型装置。

为此，本发明公开了一种用于认证由接收机接收的GNSS信号的方法，所述方法包括：生成控制序列，所述控制序列模拟由至少一个GNSS信号接收天线进行的接收锥体(cone)的扫描和移位中的一个或多个；发送到认证电路逻辑，所述认证电路逻辑被配置为认证所述至少一个GNSS信号接收天线的输出处的原始RF信号；获取表示所述GNSS信号的原始数据，所述原始数据包括表示相位角、相位中心、振幅或载波功率的一个或多个数据；向所述认证电路逻辑发送消息，所述消息包含表示所述GNSS信号的所述原始数据；由所述认证电路逻辑通过处理作为输入接收的所述至少一个接收天线的输出处的至少所述原始RF信号和表示所述GNSS信号的所述原始数据来产生GNSS信号认证证书。

有利地，所述控制序列是通过由加密密钥产生的伪随机码生成的。

有利地，发送到所述认证电路逻辑的所述消息还包括用于定位所述接收机的PVT数据。

有利地，接收锥体的所述扫描包括在所述锥体的至少一个方向上生成衰减信号。

有利地，所述信号的接收锥体的移位包括在至少两个天线之间的切换。

有利地，在发送到所述认证电路逻辑之前，所述至少一个GNSS信号接收天线的输出处的原始RF信号被数字化。

有利地，在发送到所述认证电路逻辑之前，数字化步骤的输出处的数字化RF信号通过至少所述加密密钥的第一部分来进行加密。

有利地，在发送到所述认证电路逻辑之前，表示所述GNSS信号的所述原始数据通过至少所述加密密钥的第二部分来进行加密。

有利地，仅当所述GNSS信号认证证书满足不同卫星轴的信号之间的相位测量和/或相位测量差与根据模拟接收锥体的扫描和/或移位的控制序列推导出的模型的一致性测试TC1时，所述GNSS信号认证证书的产生才被执行。

有利地，仅当所述GNSS信号认证证书满足由所述接收机测量的到达方向与利用根据模拟接收锥体的扫描和/或移位的控制序列推导出的模型确定的预期方向的一致性测试TC2时，所述GNSS信号认证证书的产生才被执行。

有利地，仅当所述GNSS信号认证证书满足在由所述接收机测量的到达方向上测量的功率、振幅和/或信噪比与预期方向上的预期功率、振幅和/或信噪比的一致性测试TC3时，所述GNSS信号认证证书的产生才被执行，这些参数是通过根据模拟接收锥体的扫描和/或移位的控制序列推导出的模型来确定的。

有利地，仅当一致性测试TC被满足时所述GNSS信号认证证书的产生才被执行，所述一致性测试TC是由一致性测试TC1、TC2和TC3的线性组合来进行定义的，所述一致性测试TC1、TC2和TC3的权重被定义为是GNSS信号接收质量指标或通过不使用GNSS信号的定位过程估计的接收机位置中的一个或多个的函数。

有利地，所述不使用所述GNSS信号的定位过程是地形映射、惯性单元测量、对无线通信网络小区的识别或对Wifi终端的识别中的一个或多个。

有利地，当存在非真实GNSS信号的存在的索引时，分析在所述至少一个接收天线的输出处的原始信号上的信道间相关性峰值。

本发明还公开了一种用于认证GNSS信号的系统，包括：一个或多个天线装置，每个天线装置包括至少一个接收天线；一个或多个GNSS信号接收机，每个接收机被配置为提供表示所述GNSS信号的原始数据作为输出，所述原始数据包括表示相位角、相位中心、振幅或载波功率的一个或多个数据；一个或多个处理电路逻辑，所述一个或多个处理电路逻辑被配置为生成控制序列，所述控制序列模拟由所述天线装置进行的所述信号的接收锥体的扫描或移位中的一个或多个；认证电路逻辑，所述认证电路逻辑被配置为通过处理作为输入接收的所述至少一个接收天线的输出处的至少原始RF信号和表示所述GNSS信号的所述原始数据来产生GNSS信号认证证书。

有利地，本发明的系统包括服务器，所述服务器管理加密密钥和至少一个所述认证电路逻辑的功能中的至少一些功能。

有利地，所述天线装置或所述接收机中的至少一个或多个位于陆上机动车辆中。

有利地，本发明的系统包括多个处理电路逻辑，至少一些所述接收机安装在电子支付终端附近。

本发明还公开了一种GNSS信号接收天线单元，包括：天线，被配置为接收GNSS信号；一组电子组件，被配置为在由作为所述单元的数字输入的伪随机码生成的序列的控制下模拟所述天线的接收锥体的扫描或移位中的一个或多个；模拟/数字转换器，被配置为向至少一个模拟或数字输出提供所述原始RF信号的采样。

本发明还公开了一种GNSS信号认证设备，包括：A)数字端口，被配置为接收加密密钥；B)信号处理逻辑，被配置为以预定采样频率获取：i)在至少一个GNSS信号接收天线的输出处的原始RF信号，ii)表示所述GNSS信号的原始数据，所述原始数据包括表示相位角、相位中心、振幅或载波功率的一个或多个数据；C)处理电路，被配置为：i)根据加密密钥生成伪随机码，所述伪随机码自身被配置为生成控制序列，所述控制序列模拟由所述至少一个GNSS信号接收天线进行的接收锥体的扫描或移位中的一个或多个；ii)获取或产生在所述信号处理逻辑的输出处的变量状态模型，所述状态模型适于所述控制序列；iii)执行在所述信号处理逻辑的输出处测量的数据的至少一部分与其状态模型之间的至少一个一致性测试。

本发明的另一个优点是使得可以在不同处理器上分布用于验证不存在欺骗的算法处理操作，这使得可以将所述方法应用于仅仅具有标准智能电话的能力的终端。

本发明的另一个优点是能够在多个物理体系结构类型中实施，这便利于在大量使用场景中的使用。

在本发明的一些实施例中，本发明的另一个优点是使用利用一个或多个加密密钥生成的相同伪随机序列的全部或部分来控制所述天线的辐射方向图，以及保护所述系统的不同元件之间的数据交换。

本发明的另一个优点是使得可以组合不同的分析技术来使得所述认证过程适应使用场景和欺骗技术的趋势。

本发明的另一个优点是有利于集中关于所述欺骗的数据，使得可以改进检测算法。

附图说明

根据本发明的各种实施例的描述以及附于本申请的下述附图，将更好地理解本发明，以及显现本发明的不同特征和优点：

-图1a和1b分别表示在现有技术的实施例中的未经历欺骗的具有天线分集的GNSS接收机和经历欺骗的相同类型的接收机；

-图2表示根据现有技术的包括欺骗检测功能的GNSS接收机的架构图；

-图3表示本发明的多个实施例中的用于实施本发明的功能架构图；

-图4a、4b、4c、4d、4e和4f表示根据本发明的多个实施例的不同变型物理架构；

-图5表示根据本发明的多个实施例的主要处理操作的理论框图；

-图6a和6b示出了根据本发明的多个实施例的被实施来产生本发明的天线处理模式；

-图7示出了根据本发明的多个实施例的处理模块和认证模块的计算的时序；

-图8示出了本发明在陆上车辆中的示例性实施方式；

-图9表示用于在图8的示例中实施本发明的处理操作的流程图；

-图10示出了用于认证支付交易的本发明的示例性实施方式；

-图11表示用于在图10的示例中实施本发明的处理操作的流程图。

具体实施方式

图1a和1b分别表示在现有技术的实施例中的未经历欺骗的具有天线分集的GNSS接收机和经历欺骗的相同类型的接收机。

为了确保对GNSS信号的认证，假设从空间中的单个方向发送伪GNSS信号，该方向可以对应于真实的卫星轴，而真实信号源自多个卫星。实际上，模拟源自多个卫星轴的信号的攻击显然是非常复杂的，因为需要精确地对准卫星轴的信号的相位。为了检测这种传输方向的唯一性，分析被假设为源自多个卫星轴的载波的相位的时间上的趋势，如下面对图2的评述中所说明的。这种现有技术系统在由Psiaki等人的出版物“GNSS Spoofing Detection Using High-Frequency Antenna Motion and Carrier-Phase Data”，Institute of Navigation，GNSS，2013以及已经引用的专利申请WO2014/047378中具体描述。

在图1a的非欺骗信号的情况下，三个卫星j-1、j和j+1(111a、112a、113a)将它们的信号发送到具有特殊配置的天线121a：例如，该天线可以借助铰链123a安装在建筑物或车辆124a的表面上。这种特殊配置的目的是引起天线的相位中心的移动。天线必须由天线罩保护以防止其检测。参考系(xa，ya，za)具有原点123a，将相对于该原点123a来执行测量和计算。天线121a所接收的信号由处理模块131a处理。

在图1b中，欺骗方111b发射伪信号，伪信号被假定为再现视野中的多个卫星的那些信号。然而，所有信号源自单个方向141b，即使该欺骗方将卫星111a、112a和113a的轴的方向的假值引入到接收机131a的PVT计算中。

在图1b的情况下，叠加被假定为源自j个卫星的j个信号，而在图1a的情况下，源自j个卫星轴的j个信号被识别为是不同的。

图2表示根据现有技术的包括欺骗检测功能的GNSS接收机的架构图。

处理设备将在GNSS接收机中进行的相位测量与它们的考虑了由其铰链引起的天线移动的建模相比较。

根据现有技术，GNSS信号的接收机被修改来处理由铰接式天线121a接收的信号。附加相位环220提取载波相位的变换，该变换的目的是消除对由在标准天线中执行的信号处理导致的天线移动的影响的衰减。然后，利用例如中值滤波器类型的采样器230对信号进行采样，并且将信号提供给假设测试函数240，假设测试函数240还将接收机导航解算和由传感器210测量的天线姿态参数作为输入接收。姿态参数使得可以计算由天线的移动与卫星轴的预期移动的组合导致的相位模型，并将根据该模型计算的值与接收机的测量值进行比较。

信号真实性的假设的测试240可以使用各种数据分析方法，例如蒙特卡罗模拟。

因此，根据现有技术，必须具有特定铰接式天线，该铰接式天线执行相对高频的移动，优选地具备天线罩和以特定方式修改的接收机。这会产生与消费者规模使用不兼容的约束。本发明使得可以克服这些限制。

图3表示在本发明的多个实施例中用于实施本发明的功能架构图。

在本发明的某些实施例中，GNSS信号认证系统使用四个单独的功能构建块，然而它们中的一些能够被一起分组在同一物理元件中：

-天线模块310；

-GNSS信号接收模块320；

-处理模块330；

-认证模块340。

模块的概念在描述中使用来意指同一功能实体中的基本子功能的组成部分。根据应用，系统的物理架构的优化将能够涉及对模块之间的某些子功能的分布的修改。

天线模块310可以包括一个或多个天线，如果适当，该一个或多个天线以阵列的方式组织来创建辐射分集，使得随后可以执行认证处理操作。它还将优选地包括用于驱动天线阵列并且生成电子扫描的电子组件，该电子扫描引起天线或天线阵列的相位中心的移位或辐射锥体的空间扫描，或者两个移动，同时或相继地。作为变型，扫描生成组件可以位于处理模块中。微波领域的技术人员知道如何选择和配置使得可以执行给定天线阵列的电子扫描功能的组件。针对GNSS信号的接收，已经产生了这种类型的天线。作为示例，例如可以通过计算形成由辐射元件组成的天线阵列的辐射方向图，所述辐射元件的数量的范围可以是从以正方形布置的四个到以例如具有中心对称的结构布置的几十个。使用计算代码来将可变权重分配给不同的辐射元件，这使得可以将方向图的波瓣的方向定向在期望的轴上。参见例如Rao等人的“GPS/GNSS Antennas(GNSS Technology and Applications)”，2012年11月，ISBN-13：978-1596931503，第2.7章，第147-152页。还可以使用贴片天线，其辐射元件被寄生环结构包围，寄生环结构对表面波的影响通过分布在环形架构上的开关组件来修改。参见例如，Rojas的“Multilayer Reconfigurable GPS Antennas and Platform Effects”Ohio State University，2007年9月。

作为变型，可以满足根据适当的几何形状分布的两个或多个天线(例如贴片天线)之间的切换，以便移位辐射方向图的相位中心。

10Hz左右量级的扫描允许准实时的认证，而较慢的扫描例如将允许每分钟的验证。鲁棒的解决方案可以基于随机确定的范围为一分钟到一小时的较慢时刻的扫描，特别是作为诸如位置的外部参数的函数。

GNSS信号接收模块320可以是单频或多频接收机。它可以具备精确计算功能(精确点定位或PPP)、增强信号接收功能(EGNOS-欧洲地球静止导航覆盖服务类型或WAAS-广域增强系统类型的)。然而，它也可以是包含在智能电话中的简单接收机。然而，必须能够从接收机采样原始数据，特别是表示载波的相位或振幅的数据，甚至是原始射频(RF)信号，并且如果适当的话，从辅助外部天线向它发送信号，并且因此其GNSS芯片的输入/输出对于嵌入在智能电话上的应用是可访问的。

作为变型，接收模块320可以是位于要对其接收的信号进行认证的接收机外部的模块。基本上在相同点处接收相同信号的并行接收模块将像目标接收机一样工作。

处理模块330执行对由天线310进行的电子扫描的驱动。在本发明的优选实施例中，该驱动通过利用加密密钥生成的伪随机码来执行。处理模块包括至少一个处理器和存储器。处理模块还可以执行为GNSS信号的认证做准备的信号分析算法中的全部或一些。它具备通信能力，一方面与天线通信，另一方面与处理模块通信，最后与认证模块340通信。处理模块可以通过有线链路或通过蓝牙或Wifi链路链接到天线模块和接收模块。当认证模块是远程时，它可以通过蜂窝链路链接到该认证模块。如果不同的对象310、320和330位于相同的位置，特别是车辆内部或商业中心，如稍后在本发明的示例性使用场景中所详细描述的，则处理模块330还可以通过通信总线链接到局域网，使用以太网、RS432或CAN类型的标准协议，或者天线310和接收模块320专用的协议。

认证模块340特别地执行向处理模块提供加密密钥以及用于根据从处理模块330接收的数据来验证GNSS信号的认证的过程。它还可以执行为GNSS信号的认证做准备的信号分析算法中的全部或一些。它还可以将验证的历史存储在存储器中，以便识别在先前的验证过程中已经识别的欺骗。认证模块可以全部或部分地安装在远程服务器上。然后它由可信第三方操作，该第三方将加密密钥分发给订阅用户。用户可以由运营商利用可以预订将加密密钥仅分发给具有在注册过程中被验证的可信属性的用户的过程来注册。运营商通常管理对已经在不符合确定的使用规则的条件下使用的密钥或者取消了确定持续时间的订阅的密钥的拒绝。根据在稍后描述中描述的使用场景，运营商还可以是定位服务的提供商，或GNSS网络的运营商，或补充定位服务的增值服务运营商，特别是特定应用的运营商，比如运输服务或支付服务。

在本发明的实施方式的某些配置中，天线模块310、接收模块320和处理模块330可以包括在同一单元中。在其他配置中，天线模块310和处理模块可以放置在同一单元中，如下所述。

图4a、4b、4c、4d、4e和4f表示根据本发明的多个实施例的不同变型物理架构。

图4a示出了GNSS信号接收模块410a的外部附件420a，其可以包括天线模块310和处理模块330的元件。GNSS信号接收模块GNSS 410a例如可以是智能电话，其将被特别地配置为实施本发明。GNSS信号接收模块可以使用其他手段耦合到定位模块，例如对蜂窝无线通信网络的天线的识别或者对该装置位于其附近的WiFi网络中的终端的识别。与制图位置和/或惯性传感器的混合使得可以在屏蔽的情况下接替GNSS信号。这些混合定位设备以首字母缩写LBS(基于位置的系统)为人所知。

在图4b的变型中，附件420a包括用于驱动GNSS信号接收机410a的天线的功能420b。驱动天线的移位和定向所必需的硬件元件(电子组件)和软件元件(用于生成加密密钥以产生旨在改变天线AN0 430b的辐射方向图的伪随机码的软件)随后安装在附件的ECD(图案配置元件)功能420b中。

在图4c的变型中，功能的分布与图4b中所示的相同，但是附件被形成为能够用作智能电话410a的外壳410c，这有利于其使用。

在图4d的变型中，功能的分布与图4b和4c的相同，但是外壳410c由连接在智能电话410a下方的加密狗410d替换。

在图4e的变型中，附件420a包括天线AN1 420e，以及系统被配置为执行对天线430b和420e的辐射方向图的驱动。

在图4f的变型中，附件420a包括多个天线AN1 420e、AN2 421f、ANk422f，以及系统被配置为执行对天线430b、420e、421f、422f的辐射方向图的驱动。

在图4e和4f的变型中，附件420a和GNSS信号接收机410a可以被放置为相距一定距离，并且通过局域网或远程网络链接，如图8和10的变型所示，其在后面的描述中详细描述。因此，根据使用场景，用于实施本发明的各种配置是可能的。

图5表示根据本发明的多个实施例的主要处理操作的框图。

处理模块330包括用于根据加密密钥生成伪随机码PRN₁₊₂的功能510。可以根据预定的周期从服务器获取加密密钥。加密密钥本身可以由对称和不对称的一对密钥生成，从而使得根据现有技术的规则确保其安全传输到处理模块。伪随机码被使用来生成(511、512)天线AN0、AN1、AN2、ANk的辐射方向图，该辐射方向图是可变的。根据上述模式，天线的辐射方向图的变化可以与接收波瓣的相位中心或取向相关，或者与两者同时相关。

接收模块320包括用于以采样频率k提取从视野中的卫星轴j获取的载波的相位Φ_k和/或振幅A_k的功能520，以及可选地包括用于计算PVT(位置，速度，时间)点的功能。处理模块从加密密钥中提取530加密密钥的子集PRN₁，所述子集用于加密数据Φ_k/A_k以传输到认证模块340。接收模块可以同时或顺序地发送其他元素，比如接收机的标识符、PVT、来自比如加速度计、磁力计、红外传感器、距离传感器或入侵式或诚实性(篡改)检测器的传感器的数据。

处理模块330还包括用于提取天线的输出处的(原始)GNSS RF信号的功能540。可选地，RF信号通过中继器。(原始)RF信号由以下通式表示：

RF原始(j，辐射方向图p)＝RF原始(j，天线0)+贡献(DoAj，辐射方向图p变型)

其中，

-j是卫星轴的索引；

-辐射方向图p是利用伪随机码生成的辐射方向图；

-天线0是固定的参考天线；

-DoAj是来自卫星轴j的信号的到达方向。

可以在模拟/数字转换器CAN 540中将(原始)RF信号数字化。可选地，然后利用从主加密密钥提取550的加密密钥的另一部分对它们进行加密。

然后将加密后的(原始)RF信号发送到认证模块，以与数据Φ_k/A_k组合地进行处理来在步骤570中认证GNSS信号。可以通过如稍后将作为对图6a和6b的评述的详细描述的方式的组合来进行比较。

在步骤570的输出处，因此认证该信号或将该信号断言为伪信号。可以将验证信号发送到处理模块或使用该信号的应用。它还可以广播到位于已检测到欺骗的第一终端附近的其他订阅用户终端。基于时间和/或地理学习方案的不同学习方案也可以与验证算法组合。

图6a和6b示出了根据本发明的多个实施例的被实施来产生本发明的天线处理模式。

两个图示出了本发明的实施方式的情况，其中使用单个天线，例如AN0。在图6a中，天线的辐射方向图的主瓣630a上的信号的最大振幅在时刻t1位于卫星610的轴640a上。在图6b中，天线的辐射方向图的主瓣630b上的信号的最大振幅在时刻t2位于卫星620的轴640b上。

如上所述，天线的主瓣的轴的旋转由二极管和/或铁氧体类型的电子电路驱动。按照先前引用的Basrur Rama Rao的工作和文献参考，根据本领域技术人员已知的规则，根据待模拟的主瓣和次瓣的取向来选择组件的特征值。这些组件由微控制器和数字/模拟转换器驱动，微控制器自身由利用加密密钥生成的伪随机码序列PRN₁₊₂驱动。加密密钥自身可以由对称密钥和不对称密钥组成。

该原理可以扩展到具有两个或多个天线的阵列，比如由图4e和4f所示的天线阵列。在这种情况下，阵列中的每个天线具有在给定时刻具有主瓣的辐射方向图。如果存在根据预定频率或根据由伪随机码的一部分驱动的序列的从一个天线到另一天线的切换，则接收信号的相位中心同时被移位，这使得可以分析相位跳跃与在给定时刻与卫星轴的配置一致的接收模型之间的一致性。

还可以使用伪随机码来控制接收振幅零点的生成。

主瓣取向、相位中心的移位以及零点的变化的组合使得可以提供多种类型的检查，该检查本身可以组合，例如：

-检查天线之间的相位和相位差的测量与其根据可能是先验的其他信息生成的“预期”估计之间的一致性；

-检查所测量的到达方向与其根据可能是先验的其他信息生成的“预期”估计之间的一致性；

-检查信号振幅的跳跃和差异或信噪比的值与其根据可能是先验的其他信息生成的“预期”估计之间的一致性；

-检查信号的振幅或信噪比的值与其根据可能是先验的其他信息生成的“预期”估计之间的一致性。

作为例示，对通过修改一个或多个接收天线的参数(例如相位中心)而引起的从不同卫星所获得的相位测量的变化的相似性的分析考虑了两个假设，即伪信号的假设和非伪信号的假设，比较它们并选择最可能的假设(一致性测试TC1)。

由处理模块测量的到达方向与根据源自由GNSS信号接收模块接收的信号的信息生成的预期到达方向之间的一致性的分析可以通过与外部信息进行比较来执行(一致性测试TC2)，该外部信息从运动或姿态传感器获得、根据环境的3D模型获得、或根据源自除GNSS以外的手段的位置的粗略估计获得、或者在GNSS模型的上下文中，根据使用力模型(轨道模型)外推的卫星的位置等获得。

还可以在将强衰减(或零点)插入到一个或多个接收天线的辐射方向图中之后，执行对信号的接收功率之间的相似性的分析。对于不同的到达方向，有规律地重复该衰减，直到覆盖所有感兴趣的覆盖范围(例如4π球面度)。按照这种方式，进行一种形式的接收环境探测(一致性测试TC3)：直接或间接测量在到达方向上接收的信号的功率。这个分析考虑了两个假设，伪信号的假设和非伪信号的假设，比较它们并选择最可能的假设。在示例性实施例中，如果所有信号被同时衰减，则它们可能源自相同的到达方向，因此怀疑可能存在欺骗。如果只有有限且变化的信号子集被衰减，则信号可能源自不同方向，并且在所接收的信号中可以具有更好的信任级。在另一个示例性实施例中：源自存在于感兴趣的“衰减”方向上的卫星的一个或多个信号的质量将相对来自其它卫星的信号的质量而受到影响，接收质量将能够根据接收机中提供的指标推导出或者根据这些信号或测量结果(测量噪声、信噪比等)生成。如果信号在预期时刻受到质量降级的影响，则推理出其源自正确的到达方向且难以伪造。另一方面，如果与感兴趣的方向关联的信号在预期的时刻没有表现出任何质量降级，则可以怀疑它们是伪造的。

还可以执行特定方向上的信号的接收功率与根据源自由GNSS信号处理模块接收的信号的信息以及根据外部信息生成的预期功率之间的一致性的分析，所述外部信息例如是运动或姿态传感器、环境的3D模型、除GNSS以外(电话网络小区、Wifi小区)的粗略位置、使用力模型(轨道模型)外推的卫星的位置、用户接收机的天线方向图等。

可以将这些分析的全部或部分与例如权重系数相组合，所选择的分析取决于接收环境，所述权重系数例如是由接收质量指标(例如，信号噪声比、基于相关器的输出的估计等)来定义的或者是根据用户的估计位置和3D映射生成的，所述接收质量指标是根据用户接收的GNSS信号生成的，所述3D映射使得可以获知这种或这个卫星是否被屏蔽，所述权重系数受到多个路径的影响。

根据其实施方式的细节，可以将上面定义的不同分析应用于：

-由GNSS信号处理模块生成的原始RF数据，其呈现出简单的优点(使用设备的GNSS接收机的现有功能)，但是具有限制算法的缺点，因为它们必须适应于现有接收机的操作。

-或者对从模拟/数字转换输出的数字化原始RF信号的给定持续时间的捕获(来自天线模块的RF信号的“快照”)。这个解决方案使得可以实施信号处理和欺骗检测算法，该算法针对目标应用而被完全优化，但是需要ad hoc接口来恢复信号的捕获以及需要相当大的计算能力来执行处理操作。

根据基于捕获数字化RF信号的变型，以在时间上间隔开的间隔执行信号的捕获或至少信号的传输来降低通信带宽。此外，如果认证主要用作后验检查元素，则处理操作可以被全部或部分推迟。

根据变型，在怀疑欺骗的情况下，可以估计真实位置和欺骗位置并识别真实位置。该算法直接在捕获模拟/数字转换的输出处的信号时执行。该算法分析在天线的方向图和/或其相位中心的不同连续实例中产生的相关函数，特别是其差异，以识别与真实信号对应的相关峰值，并且不理会与欺骗信号对应的相关峰值。

根据使用的情况，它们或者应用于从用户接收机获得的原始测量结果，或者应用于欺骗检测专用的且应用于数字化信号的捕获的算法，上述算法(其归入认证模块的功能)可以应用于嵌入在用户设备上或远程服务器上的处理器。

通过使用GNSS接收级外部的信息，比如例如外部运动或姿态传感器，从网络或服务器发出的映射和辅助信息等，有利地辅助了上述分析。

鉴于本发明的实施方式，可以一方面借助大量卫星(来自所有卫星的信号不会同时受到欺骗的影响)，另一方面借助与驱动对一个或多个天线的属性的修改的伪随机序列之间的相关性，来区分从多个路径的自然效应中找到的现象。

图7示出了根据本发明的多个实施例的处理模块和认证模块的计算的时序。

还示出了与上述评论的现有技术之间的差别，这使得可以将本发明应用于其硬件配置没有被显著修改的接收机。

参考标记710示出了处理模块执行处理操作530至560及认证模块执行认证处理操作570的频率，也就是说，对原始RF数据进行采样、将数据Φ_k/A_k发送到服务器及执行认证过程的频率。该频率可以由运营商或服务的用户选择。运营商可以根据提供服务的时间带和地理区域来改变该频率。出于保密性和/节能的原因，用户也可以希望仅在他或她执行某些交易时而不是连续地认证他或她的位置和/或他或她的速度和/或他或她的时间(PVT)。对于大多数应用来说，分钟量级的频率似乎是足够的。他或她的PVT将能够被共同地确定，或者被独立地确定，如同在未认证的大量销售的接收机上通常做的那样。

数字参考标记720示出了PVT计算的采样频率。该频率通常为几秒的量级。

数字参考标记730示出了两个计算(认证计算710和位置计算720)的频率的差异。在两个认证计算之间，由处理模块接收的GNSS信号被认为是真实的。因此，根据本发明，与已经引用的现有技术的实施例相反，认证处理操作和PVT处理操作因此是分离的。实际上，在现有技术中，GNSS信号接收机的低级组件必须被修改，并且它们将以接收机的时钟频率操作。

图8示出了本发明在陆上车辆中的示例性实施方式。

车辆800配备有GNSS信号处理模块820。它还配备有一个或多个天线线缆/单元811、812、813、814。驾驶员或乘客可以具有智能电话830，该智能电话能够执行根据本发明的系统的处理模块330的功能中的一些功能。在本发明的这个实施例中，外部单元840被添加到接收机，以在智能电话830的控制下执行对天线的驱动以及对原始RF信号Φ_k/A_k的采样的功能。优选地，单元840执行原始RF信号的中继器的功能。代码PRN₁₊₂、PRN₁、PRN₂在智能电话中生成。代码PRN₁₊₂被发送到单元840来驱动天线。由单元840从处理模块820提取的数据利用智能电话来加密，然后被发送到智能电话。数据分析功能可以分布在单元840、电话820和服务器之间。电话通常管理与服务器之间的交换。根据简化变型，使用单个公共PRN码：PRN₁₊₂＝PRN₁＝PRN₂。PVT也可以在电话上确定。对于与旧设备的兼容性的问题，单元840可以执行一些处理操作，并且提供原始RF信号或者采用例如RINEX(接收机独立交换格式)格式的原始RF数据，以及PVT。因此，旧设备将能够接收例如采用NMEA(国家海洋电子协会)格式的PVT。

图9表示用于在图8的示例中实施本发明的处理操作的流程图。

在初始化步骤910期间，一个或多个天线811、812、813、814的配置参数(位置、姿态、电磁特性)以及接收单元820和外部单元840的配置参数被提供给系统。

当车辆不动时由此产生辐射方向图，以及当车辆移动时，可以在步骤920期间估计车辆的轨迹(6个轴)。本领域技术人员已知的传递函数使得可以根据静止的辐射方向图和根据所估计的轨迹，推导出运动中的辐射方向图。在步骤940期间，该传递函数与由智能电话830发送到单元840的伪随机码PRN₁₊₂组合，使得可以获得修改后的辐射方向图。并行地，如图5的注释所述，在步骤950、970期间提取原始数据和Φ_k/A_k。原始RF数据可以被数字化。在步骤960、980期间，特别是如果认证模块的大多数功能安装在远程服务器上，则可以利用密钥PRN₁和PRN₂对原始RF数据和Φ_k/A_k数据、传感器和/或PVT进行加密。将这些加密数据发送到认证模块(步骤990)，认证模块执行认证过程(9A0)，该认证过程包括通过与由原始数据、所测量的相位数据以及传感器数据和/或PVT数据的建模提供的值进行比较来检查这些数据之间的一致性，如上所示。如前所述，RINEX格式优先用于原始RF数据。其他传感器也使用这种格式，如在GNSS与加速度计、磁力计、步数器、陀螺仪或甚至高度计和气压计混合的情况下的实践一样。根据简化的变型，使用单个公共PRN码：PRN₁₊₂＝PRN₁＝PRN₂。对于兼容性问题，利用某些设备，来自传感器或PVT的数据可以在无需利用PRN₂加密的情况下发送。

图10示出了用于认证支付交易的本发明的示例性实施方式。

GNSS信号包括精确时间参考，该精确时间参考越来越多地被使用来对交易加时间戳。因此，支付交易构成了本发明的使用场景。

在图中所示的商业中心的商店1010中，电子支付终端(TPE)1020链接到单元1030，单元1030包括GNSS信号接收机320，GNSS信号接收机320还被配置为实施处理模块330的功能中的一些功能，特别是天线控制以及(可能的)对所述数据中的一些数据的分析。一个或多个天线1040通过连接1050链接到单元1030，该一个或多个天线1040可以例如位于商业中心的屋顶上，连接1050可以是商业中心的局域网的元件。商店的客户端进行他或她的购买，随后进行他或她的付款，该客户端是认证服务的订户，该订户具备智能电话1060，其报告执行他或她想要利用电子装置进行结算的购买。支付可以利用银行卡、利用使用他或她的移动电话(经由近场通信-NFC-或经由利用他或她的智能电话的应用发送的QRCode)进行的交易来进行。然后，利用TPE所生成的信号来认证交易，TPE伴随地从GPS系统获取位置和时间戳数据。通过使用在包括单元1030、天线1040、智能电话1060的组件和GNSS信号认证服务的运营商的服务器(图中未示出)之间分布的功能，利用本发明的方法来认证GPS信号。作为变型，认证可以基于先前利用客户端的电话确定的认证数据，以便确保电话确实已经逐渐靠近支付终端，并且确保它不是刚好出现在终端旁边，哪怕它在几分钟或几小时之前在几十或几百公里外。作为变型，来自防入侵式传感器或甚至来自天线1040和/或单元1030上的加速度计和/或磁力计的数据用于代替PVT或补充PVT，以确定对系统的该部分的诚实性的任何侵害(篡改)。

图11表示用于在图10的示例中实施本发明的处理操作的流程图。

在初始化步骤1110期间，一个或多个天线1140的配置参数(位置、姿态、电磁特性)以及包含在外部单元1130中的接收模块以及处理模块的配置参数被提供给系统。

当天线设备1140未被单元1130激励时，从其推导出辐射方向图。如在结合图9所评论的使用场景中一样，在没有激励的情况下的该辐射方向图与在步骤1120期间由智能电话1160发送到单元1130的伪随机码PRN₁₊₂的组合，使得可以获得修改后的辐射方向图。并行地，如在图5的评述中所述的，在步骤1140、1160期间提取原始RF信号和Φ_k/A_k。原始RF信号可以被数字化。在步骤1150、1170期间，原始RF信号和Φ_k/A_k、传感器和/或PVT可以利用密钥PRN₁和PRN₂加密。这些加密数据被发送到认证模块(步骤1180)，认证模块执行认证过程1190，该认证过程包括通过与由原始数据、测量的相位数据和来自传感器和/或PVT的数据的建模提供的值进行比较，检查在这些数据之间的一致性。

因此，可以确定地认证支付交易。

上述实施例纯粹是例示本发明的一些实施例。它们绝对不会限制由所附权利要求限定的本发明的范围。

权利要求书(按照条约第19条的修改)

1.一种用于认证由接收机(320)接收的GNSS信号的方法，所述方法包括：

生成(510、512、513)控制序列，所述控制序列模拟由至少一个GNSS信号接收天线进行的接收锥体的扫描和移位中的一个或多个；

将所述至少一个GNSS信号接收天线的输出处的原始RF信号发送(550)到认证电路逻辑，所述认证电路逻辑被配置为认证所述原始RF信号；

与所述控制序列同相地获取(520)表示所述GNSS信号的原始数据，所述原始数据包括表示相位角、相位中心、振幅或载波功率的一个或多个数据；

向所述认证电路逻辑发送消息，所述消息包含表示所述GNSS信号的所述原始数据；

由所述认证电路逻辑通过处理作为输入接收的所述至少一个接收天线的输出处的至少所述原始RF信号和表示所述GNSS信号的所述原始数据，来产生(570)GNSS信号认证证书。

2.根据权利要求1所述的方法，其中，所述控制序列是通过由加密密钥产生的伪随机码生成的。

3.根据权利要求1至2中之一所述的方法，其中，发送到所述认证电路逻辑的所述消息还包括用于定位所述接收机的PVT数据。

4.根据权利要求1至3中之一所述的方法，其中，所述接收锥体的扫描包括在所述锥体的至少一个方向上生成衰减信号。

5.根据权利要求1至4中之一所述的方法，其中，所述信号的接收锥体的移位包括在至少两个天线之间的切换。

6.根据权利要求1至5中之一所述的方法，其中，在发送到所述认证电路逻辑之前，所述至少一个GNSS信号接收天线的输出处的原始RF信号被数字化。

7.根据权利要求6所述的方法，其中，在发送到所述认证电路逻辑之前，数字化步骤的输出处的数字化RF信号通过至少所述加密密钥的第一部分来进行加密。

8.根据权利要求1至7中之一所述的方法，其中，在发送到所述认证电路逻辑之前，表示所述GNSS信号的所述原始数据通过至少所述加密密钥的第二部分来进行加密。

9.根据权利要求1至8中之一所述的方法，其中，仅当所述GNSS信号认证证书满足不同卫星轴的信号之间的相位测量和/或相位测量差与根据模拟所述接收锥体的扫描和/或移位的控制序列推导出的模型之间的一致性测试TC1时，所述GNSS信号认证证书的产生才被执行。

10.根据权利要求1至8中之一所述的方法，其中，仅当所述GNSS信号认证证书满足由所述接收机测量的到达方向与由根据模拟所述接收锥体的扫描和/或移位的控制序列推导出的模型确定的预期方向之间的一致性测试TC2时，所述GNSS信号认证证书的产生才被执行。

11.根据权利要求1至8中之一所述的方法，其中，仅当所述GNSS信号认证证书满足在由所述接收机测量的到达方向上测量的功率、振幅和/或信噪比与预期方向上的预期功率、振幅和/或信噪比之间的一致性测试TC3时，所述GNSS信号认证证书的产生才被执行，这些参数是由根据模拟所述接收锥体的扫描和/或移位的控制序列推导出的模型来确定的。

12.根据权利要求1至8中之一所述的方法，其中，仅当一致性测试TC被满足时，所述GNSS信号认证证书的产生才被执行，所述一致性测试TC是由所述一致性测试TC1、TC2和TC3的线性组合来进行定义的，所述一致性测试TC1、TC2和TC3的权重被定义为是GNSS信号接收质量指标或通过不使用所述GNSS信号的定位过程估计的所述接收机模块的位置中的一个或多个的函数。

13.根据权利要求12所述的方法，其中，不使用所述GNSS信号的所述定位过程是地形映射、惯性单元测量、对无线通信网络小区的识别或对Wifi终端的识别中的一个或多个。

14.根据权利要求1至13中之一所述的方法，进一步包括，当存在非真实GNSS信号的存在的索引时，分析所述至少一个接收天线的输出处的原始信号上的信道间相关性峰值。

15.一种用于认证GNSS信号的系统，包括：

一个或多个天线装置，每个天线装置包括至少一个接收天线；

一个或多个GNSS信号接收机，每个接收机被配置为提供表示所述GNSS信号的原始数据作为输出，所述原始数据包括表示相位角、相位中心、振幅或载波功率的一个或多个数据；

一个或多个处理电路逻辑，所述一个或多个处理电路逻辑被配置为生成控制序列，所述控制序列模拟由所述天线装置进行的所述信号的接收锥体的扫描或移位中的一个或多个，所述控制序列与表示所述GNSS信号的所述原始数据的提供同相；

认证电路逻辑，所述认证电路逻辑被配置为通过处理作为输入接收的所述至少一个接收天线的输出处的至少原始RF信号和表示所述GNSS信号的所述原始数据来产生GNSS信号认证证书。

16.根据权利要求15所述的系统，包括服务器，所述服务器管理加密密钥以及至少一个所述认证电路逻辑的功能中的至少一些功能。

17.根据权利要求15至16中之一所述的系统，其中，所述天线装置或所述接收机中的至少一个或多个位于陆上机动车辆中。

18.根据权利要求15和16中之一所述的系统，包括多个处理逻辑电路，至少一些所述接收机安装在电子支付终端附近。

19.一种GNSS信号接收天线单元，包括：

天线，被配置为接收GNSS信号；

一组电子组件，被配置为在不同时间点，在由作为所述单元的数字输入的伪随机码生成的序列的控制下，模拟所述天线的接收锥体的扫描或移位中的一个或多个；

模拟/数字转换器，被配置为向至少一个模拟或数字输出提供所述原始RF信号的采样。

20.一种GNSS信号认证设备，包括：

数字端口，被配置为接收加密密钥；

信号处理逻辑，被配置为以预定采样频率获取：

°至少一个GNSS信号接收天线的输出处的原始RF信号，

°表示所述GNSS信号的原始数据，所述原始数据包括表示相位角、相位中心、振幅或载波功率的一个或多个数据；

处理电路，被配置为：

°根据加密密钥生成伪随机码，所述伪随机码自身被配置为生成控制序列，所述控制序列模拟由所述至少一个GNSS信号接收天线进行的接收锥体的扫描或移位中的一个或多个，所述控制序列与表示所述GNSS信号的所述原始数据的获取同相；

°获取或产生所述信号处理逻辑的输出处的变量状态模型，所述状态模型适于所述控制序列；

°执行在所述信号处理逻辑的所述输出处测量的所述数据的至少一部分与它们的状态模型之间的至少一个一致性测试。