车载GNSS接收器的欺骗检测的制作方法

车载gnss接收器的欺骗检测
技术领域
1.本发明涉及全球导航卫星系统。更具体地，其涉及在全球导航卫星系统(gnss)环境中的欺骗检测。


背景技术：

2.使用诸如全球定位系统(gps)的全球导航卫星系统(gnss)来计算车辆的位置和速度的方法是已知的。传统上，位置计算依赖于基于信号从至少四颗不同的卫星到达接收器所花费的时间的多点定位。从卫星接收的信息使得接收器能够计算若干卫星的位置，从而经由多点定位计算其自己相对于卫星的位置。
3.计算车辆在多个历元(即，gnss接收器的多个测量间隔)内的位置/速度允许跟踪车辆。这种跟踪的准确性的商业相关性越来越高，因为自驾驶车辆依赖于由gnss接收器和其它传感器收集的表征周围环境的信息，以允许车辆在没有任何人输入的情况下对运输网络进行导航。开发越来越准确的定位不仅有益于导航系统。例如，收费标签需要精确的车辆位置/速度数据，以使得车上有收费标签的车辆在收费公路上行驶时可被正确地收费。
4.具体地，对于gnss接收器而言将可取的是避免使用不正确的信号来计算车辆位置。导致不准确的位置估计的欺骗攻击是已知问题。在这些攻击中，攻击者广播“虚假”gnss信号，以故意误导gnss接收器。虚假信号具有gnss信号所期望的结构和信息内容；因此，gnss接收器易于接受它们作为有效gnss信号。然而，信号的内容被有意地构造以使得其导致不同的(错误的)定位。如果gnss接收器将虚假信号视为合法并且使用它们来计算其位置/速度，则攻击成功。
5.能够成功瞄准车载gnss接收器的欺骗攻击可显著影响需要准确位置/速度测量的系统的可靠性。例如，使用导航系统的自主车辆可处于以错误的速度行驶或(对于基于道路的车辆)离开行车道的风险之中，这将对车辆的乘客以及周围区域中的人造成严重的安全风险。在错误的定位数据导致车辆看起来好像已绕过收费的情况下，会使得收费标签无效，或者反过来当不在收费公路上时被错误收费。
6.一些欺骗检测系统已经到位以防止这些攻击影响车载gnss接收器所提供的定位准确性。通常，诸如车轮滴答(wheel-tick)信号和方向盘角度的额外输入提供参考数据(可能使用控制器局域网(can)车辆总线接口)。这些附加输入与从gnss信号推导的测量进行比较。如果从参考数据重构的车辆移动显著偏离于所计算的gnss测量，则检测到欺骗攻击。
7.然而，添加附加传感器可能增加成本和复杂度，并且管理车辆传感器和gnss接收器之间的通信可能需要gnss接收器与其它车载系统的更大集成。


技术实现要素：

8.将可取的是提供一种欺骗检测方法，其不必依赖于在gnss接收器模块外部的车辆传感器，例如转向传感器或车轮滴答传感器。这对于不与其它车辆系统集成的独立gnss接收器(例如，独立收费标签)可能特别有益。
9.本发明由权利要求限定。根据第一方面，提供了一种用于车辆中的gnss接收器的检测gnss欺骗的方法，该方法包括以下步骤：
10.获得车辆的姿态估计；
11.基于gnss接收器所提供的测量来计算速度估计；
12.使用姿态估计将速度估计投影到车辆的车身系；
13.从投影速度估计推导检测参数；以及
14.比较检测参数与检测阈值，以便检测欺骗。
15.发明人已认识到，如果车辆的姿态估计可用，则可基于gnss接收器所提供的速度估计来检测欺骗。(“姿态”是指车辆相对于gnss测量的参照系的3d取向。)该方法使用姿态估计将速度估计投影到车辆的本地参照系(“车身系”)。发明人已发现，这可允许检测欺骗而较少依赖于车辆集成传感器(例如，监测转向输入和车轮滴答的那些)。可使用来自各种可能来源的信息来获得姿态，包括(但不限于)可容易地集成到gnss接收器模块中的传感器。在一些实施方式中，可基于集成在gnss接收器模块中的传感器来获得姿态。在一些实施方式中，可基于gnss接收器模块外部的传感器(例如，车辆集成传感器)来获得姿态。
16.从投影速度估计推导检测参数。一个或更多个非完整约束可提供检测参数的预期值。即，检测参数可被设计为参考在正常使用期间对车辆运动的约束来分析。例如，对于路上车辆(例如，轮式车辆)，检测参数可考虑在正常行驶期间在车辆的车身系中车辆不会横向(侧向)移动的预期和/或在车辆的车身系中车辆不会竖直移动的预期。
17.gnss接收器所提供的测量可包括位置和速度测量。
18.速度估计可使用最小二乘估计器来计算。
19.如果检测参数超过检测阈值，则可检测到欺骗。
20.检测参数可基于以下之一或二者：投影速度估计的横向分量；和投影速度估计的竖直分量。
21.具体地，检测参数可包括这两个分量的加权和。横向分量将指示侧向移动(打滑/漂移)。竖直分量将指示车辆离开地面(跳跃/飞行)。
22.该方法还可包括：计算速度不确定性估计；使用姿态估计将速度不确定性估计投影到车辆的车身系；以及从投影速度不确定性估计推导检测阈值。
23.可使用最小二乘估计器来计算速度不确定性估计。具体地，其可使用与速度估计相同的最小二乘估计器来计算(然而，其可使用单独的滤波器来计算)。这可方便生成适应当时条件和可用信息的动态检测阈值。可与投影速度不确定性估计直接相关来设定检测阈值。即，当不确定性高时，阈值可高；当不确定性低时，阈值可低。当速度存在较大不确定性时，这可有助于使欺骗的误报检测最小化，当速度存在较小不确定性时可有助于使漏报(欺骗的漏检)最小化。
24.可基于gnss接收器所提供的测量来计算速度不确定性估计。
25.检测阈值可基于以下之一或二者：投影速度不确定性估计的横向分量；和投影速度不确定性估计的竖直分量。
26.具体地，检测阈值可包括这两个分量的加权和。可通过按可配置的灵敏度因子缩放加权和来选择检测阈值。该方法还可包括：当将速度估计和/或速度不确定性估计投影到车辆的车身系时，补偿车辆上的gnss接收器的天线的位置。
27.以这种方式校正“杠杆臂”是有益的，特别是对于诸如公共汽车、长途汽车或铰接式卡车的大型车辆。如果姿态估计基于惯性测量，并且惯性测量单元位于车辆的与gnss接收器的天线不同的部分中，则这可能特别重要。
28.姿态估计可至少部分地基于惯性测量。
29.惯性测量可例如由加速度计和/或陀螺仪提供。
30.姿态估计可由导航滤波器提供。
31.导航滤波器可至少部分地基于(i)gnss接收器所提供的测量和(ii)惯性测量来生成位置估计、速度估计和姿态估计。
32.导航滤波器可包括扩展卡尔曼滤波器。gnss接收器所提供的测量可包括原始测量(例如，伪距和/或多普勒估计)或者从原始测量推导的导航数据(例如，位置和/或速度估计)。
33.该方法还可包括：在各个历元中执行一个或更多个检查；以及如果任何检查失败，则跳过该历元的欺骗检测，其中，一个或更多个检查可包括以下中的一个或更多个：检查在gnss接收器处接收的gnss信号的质量和数量；检查发送gnss信号的gnss航天器的分布；检查姿态估计的有效性；以及检查速度估计高于最小阈值。
34.这里，历元被定义为gnss接收器的位置/速度更新之间的间隔。
35.例如，速度估计的最小阈值可为1m/s。
36.如果姿态估计由导航滤波器提供，则检查姿态估计的有效性可包括检查导航滤波器已将导航解的所有参数估计至特定质量。对于导航滤波器所估计的各个状态，导航滤波器还可生成关联的不确定性值。可通过应用阈值不确定性值来评估导航解的参数的“质量”。如果不确定性值低于阈值不确定性值，则导航解的状态合理地确定。例如，如果由ekf生成的姿态不确定性值低于阈值姿态不确定性值，则姿态估计被认为有效。
37.可在各个历元中执行其它检查。例如，一个进一步的检查可确定gnss信号是否源自特定星座(例如，仅选择gps信号，或者仅选择galileo信号)，而另一检查可确定是否已接收到校正数据以补偿gnss信号的电离层和对流层传播延迟。
38.如果在预定时间段内检测参数连续地或不断地超过检测阈值，则可检测到欺骗。
39.这可有助于减少误警。
40.如果检测参数超过检测阈值达预定数量的连续历元，则可检测到欺骗。
41.历元是gnss接收器的位置/速度更新之间的间隔。
42.根据另一方面，提供了一种用于车辆的gnss接收器模块，包括：
43.gnss接收器；以及
44.处理器，其被配置为：
45.获得车辆的姿态估计；
46.基于gnss接收器所提供的测量来计算速度估计；
47.使用姿态估计将速度估计投影到车辆的车身系；
48.从投影速度估计推导检测参数；并且
49.比较检测参数与检测阈值，以便检测欺骗。
50.在一些情况下，处理器可以是gnss接收器的一部分。
51.gnss接收器模块还可包括惯性测量单元，该惯性测量单元包括被配置为生成惯性
测量的传感器，其中，处理器可被配置为实现导航滤波器，并且其中，可由导航滤波器至少部分地基于(i)gnss接收器所提供的测量和(ii)惯性测量来生成姿态估计。
52.传感器可包括以下中的一个或更多个：
53.至少一个加速度计；
54.至少一个陀螺仪；
55.磁力计；以及
56.气压计。
57.导航滤波器可至少部分地基于(i)gnss接收器所提供的测量和(ii)惯性测量来生成位置估计、速度估计和姿态估计。
58.gnss接收器所提供的测量可包括原始测量(例如，伪距和/或多普勒估计)或者从原始测量推导的导航数据(例如，位置和/或速度估计)。
59.处理器可被配置为实现最小二乘估计器，其中，可使用最小二乘估计器来计算速度估计。
60.处理器还可被配置为：计算速度不确定性估计；使用姿态估计将速度不确定性估计投影到车辆的车身系；以及从投影速度不确定性估计推导检测阈值。
61.可使用最小二乘估计器来计算速度不确定性估计。具体地，其可使用与速度估计相同的最小二乘估计器来计算(然而，其可使用单独的估计器来计算)。
62.处理器还可被配置为实现上面要求保护或总结的方法的任何或所有步骤。
63.还提供了一种包括计算机程序代码的计算机程序，所述计算机程序代码被配置为如果所述计算机程序由所述至少一个物理计算装置执行，则使得至少一个物理计算装置执行上面总结的方法的所有步骤。
64.计算机程序可被具体实现在计算机可读介质(可选地，非暂时性计算机可读介质)上。至少一个物理计算装置可包括或可以是gnss接收器的处理器。
65.本发明的这些和其它方面将从以下描述的示例显而易见并参考其来阐明。
附图说明
66.现在将参照附图通过示例描述本发明，附图中：
67.图1是根据示例的用于车辆的gnss接收器模块的框图；
68.图2是示出用于车辆中的gnss接收器的检测gnss欺骗的方法的流程图；
69.图3是示出根据示例的历元中的欺骗检测标准的流程图；
70.图4a和图4b是示出车辆在两种情况下的向量图：图4a示出车辆在没有干扰的情况下行驶的情况，图4b示出车辆经受欺骗攻击的情况；
71.图5是示出用于推导检测参数的方法的流程图；
72.图6是示出用于推导检测阈值的方法的流程图；
73.图7是示出用于生成欺骗警报的方法的流程图；
74.图8a和图8b示出两种情况下的检测参数和检测阈值的图表：在图8a中不存在欺骗，在图8b中存在欺骗；
75.图9是示出用于确定是否应该由gnss接收器模块生成欺骗警报的替代方法的流程图。
76.应该注意的是，这些图是图解，并非按比例绘制。在图中为了清晰和方便起见，这些图的部分的相对尺寸和比例已被夸大或缩小尺寸显示。
具体实施方式
77.现在将详细参考本发明的实施方式，其示例示出于附图中。所描述的实施方式不应被解释为限于本节中给出的描述；实施方式可具有不同的形式。在下面的实施方式中，将描述用于为车辆中的gnss接收器检测gnss欺骗的方法以及被配置为执行该方法的车辆的gnss接收器模块。
78.图1示出根据示例的gnss接收器模块100的框图。gnss接收器模块可用在各种车辆装置中，例如作为导航系统的一部分、车辆跟踪器或收费标签。
79.如图1所示，gnss接收器模块包括gnss接收器110以及被配置为执行用于检测gnss欺骗的方法的处理器120。在一些实施方式中，处理器可以是gnss接收器的一部分，但在图1所示的示例中，其被示出为gnss接收器模块100的单独组件。gnss接收器模块连接到安装在车辆上或中的天线105。图1所示的gnss接收器模块还包括惯性测量单元(imu)130，其包括被配置为生成惯性测量的传感器。imu可包括传感器的各种可能配置，以便生成惯性测量。这些传感器可包括(但不限于)：加速度计、陀螺仪、气压计和磁力计。在本示例中，对于车辆的车身参照系(例如，前右下参照系)的每一轴存在一个加速度计，对于车辆的每一旋转轴(横滚、俯仰和偏航)存在一个陀螺仪。然而，gnss接收器模块不限于这种配置。处理器使用由imu生成的惯性测量和由gnss接收器提供的测量来确定车辆是否正在经受欺骗攻击。
80.图1中的处理器120被配置为实现导航滤波器(在此示例中，扩展卡尔曼滤波器(ekf)170)和最小二乘(ls)估计器180。ekf被设计为使用gnss接收器所提供的测量和惯性测量来估计诸如姿态、速度和位置估计的变量值。ls估计器180与导航滤波器分开并且被设计为使用gnss接收器所提供的测量来计算速度估计。ls估计器180没有测量历史或速度估计的“记忆”(即，不将任何信息从一个历元保留到下一历元)。仅使用在当前历元中由gnss接收器提供的测量来计算速度估计。这些变量可用于确定欺骗实例。处理器120还被配置为实现欺骗检测例程190，其输出是欺骗标志195。欺骗标志195指示是否发生了欺骗实例。
81.图2示出使用图1的gnss接收器模块100来检测gnss欺骗200的方法。在各个历元开始时，在步骤205中，gnss欺骗检测方法开始新的迭代。在这种情况下，历元被定义为gnss接收器的更新之间的间隔，这些更新包括车辆的更新位置和速度数据。
82.从gnss航天器(sv)发送的gnss信号被gnss接收器通过天线105接收。可在l频带中的两个或更多个频率下接收gnss信号。gnss接收器110从gnss信号解码各种信息。gnss接收器110从包含在gnss信号中的星历数据计算当前历元中的sv坐标。然后计算各个可见sv和天线105之间的伪距以及各个观测到的sv信号的多普勒频移。
83.在步骤210中，处理器120从gnss接收器110获得测量。在本示例中，如上所述，这些测量包括“原始”gnss测量(具体地，伪距和多普勒频移)。这有时被称为“紧密耦合”布置。在其它示例中，可使用“松散耦合”布置，由此gnss接收器计算位置和速度解并将其提供给处理器。换言之，在“松散耦合”布置中，由处理器从gnss接收器接收的测量包括位置和速度估计。
84.在步骤215中，处理器120从imu 130获得惯性测量。由imu生成的惯性测量允许
gnss接收器模块推导关于车辆状态的额外信息，例如其姿态(即，车辆相对于在步骤210中获得的gnss测量的参照系的3d取向)。车辆的本地参照系应被称为“车身系”，在步骤210中获得的gnss测量的参照系应被称为“导航系”。导航系被认为是在多点定位位置与地球表面相切的平面，其轴分别指向北东下(ned)方向。车身系的轴分别指向前右下(frd)方向。应该理解，这些方向约定是任意的；可使用本地平面坐标系的其它适当变体。
85.在步骤220中，处理器120获得车辆姿态的估计。具体地，处理器基于从imu 130获得的惯性测量和gnss测量来计算姿态估计。由处理器使用ekf 170来生成姿态估计。ekf被设计为通过将当前惯性测量和gnss测量与先前姿态估计组合来输出姿态估计。能够获得准确的姿态估计是可取的，以便将变量从导航系准确地投影到车身系。
86.在步骤230中，处理器120基于gnss接收器所提供的测量来计算速度估计。gnss接收器所提供的测量用于在导航系中计算车辆的位置和速度估计。可分析车辆的速度估计以检测欺骗实例，而无需gnss接收器模块外部的传感器。使用ls估计器180来计算速度估计，ls估计器180被设计为通过使来自当前历元的gnss测量的平方误差和最小化来估计当前历元的速度。使用最小二乘估计，因为测量(对sv)比未知量(位置和速度)多。处理器120独立于导航滤波器实现ls估计器。ls估计器180的输入仅仅是gnss接收器110所提供的测量，以使得由ls估计器生成的导航系中的速度估计独立于由ekf生成的估计。
87.在步骤240中，处理器120针对当前历元执行若干检查，以确保在前面的步骤中获得或计算的测量能够准确地表征车辆的当前动态特性。如果在当前历元中不满足任何标准，则对于该历元跳过欺骗检测，以使得当检测欺骗实例时仅使用有效数据。因此，如果检查失败，则处理器等待新历元开始，更新惯性和gnss测量，然后再次尝试检测欺骗。这一系列检查可由欺骗检测块190或图1中的其它块执行。图3中详细示出这些检查。
88.在步骤241对gnss信号执行健全检查。如果在gnss接收器处接收到太少gnss信号(例如，少于四个信号)，或者如果信号的质量差(例如，信号的信噪比(c/n)低)，则当前历元被跳过(步骤245)。
89.在步骤242监测发送gnss信号的sv的分布。如果向gnss接收器发送gnss信号的一组可见sv没有很好地几何分布，则定位准确性可能较弱。这是因为当sv在空中靠在一起时，它们的几何精度衰减因子(gdop)较差，意味着所计算的位置的准确性存在较大的不确定性。当可见sv在空中间隔开更远时，gdop减小，导致所计算的位置的置信度更大。因此，如果在步骤242中确定sv的分布太窄，则该方法前进至步骤245并且当前历元被跳过。步骤241和步骤242的检查可由ls估计器180执行。
90.有利的是，检查在步骤220中获得的姿态估计是否有效。当姿态估计由导航滤波器(ekf 170)提供时，可通过检查导航滤波器是否已估计导航解的所有参数到特定准确度来确定估计的有效性。例如，如果由ekf提供的估计准确性(例如，姿态估计的不确定性)低于阈值，则在步骤220中获得的姿态估计被认为有效。这在步骤243中完成。如果导航解的任一个参数不满足准确性要求，则导航解没有正确地定义，因此当前历元被跳过(步骤245)。
91.在步骤244进行进一步检查，以通过监测在步骤230中计算的速度估计来避免欺骗攻击的误检。可能难以准确地确定车辆低速行驶的方向。如果车辆以低绝对速度行驶，则来自gnss测量的不确定性可能掩盖车辆的实际移动。为了避免错误表征车辆的动态特性，对速度估计应用最小阈值；高于该阈值，假设可准确地检测车辆的移动。如果速度估计低于最
小阈值(在当前示例中，1m/s)，则当前历元被跳过(步骤245)。
92.如果图3中的所有检查241、242、243、244(图2的步骤240)均已通过，则系统可相对确信所获得和计算的测量可用于检测欺骗实例，误报的欺骗警报的风险低。系统然后移动到步骤250。另一方面，如果任何检查失败，则当前历元被跳过(图3中的步骤245)并且该方法从步骤240前进至步骤205，准备好进行下一历元。
93.在步骤230中获得的速度估计是在导航系中描述车辆的速度的测量。在步骤250中，将在步骤230中获得的速度估计从导航系投影到车辆的车身系。向车身系中的这种投影发生在欺骗检测块190中。速度估计在两个参照系之间的投影依赖于在步骤220中从ekf 170获得的姿态估计。姿态描述车辆相对于导航系的3d取向。姿态可由描述从导航系到车辆的车身系的旋转的旋转矩阵表示。两个参照系之间的投影使用下式来描述：
[0094][0095]
其中vb是车身系中的速度估计(本文中也称为“投影速度估计”)，是从导航系到车身系的旋转矩阵，vn是导航系中的速度估计(在步骤230中计算)。导航系中的速度估计vn具有三个正交方向(在本示例中，北东下)上的分量。通常，车身系中的速度估计vb也可具有三个正交方向上的分量：
[0096][0097]
其中v
long
、v
lat
和v
vert
分别是投影速度估计的纵向(前向)、横向(侧向)和竖直分量(在本示例中，约定为前右下)。
[0098]
通过将速度估计投影到车身系，可对系统应用非完整约束，以充当确定gnss接收器模块是否正在经受欺骗攻击的参考。图4a和图4b示出系统在车身系中受到何种约束，着重于遵守非完整约束的车辆(参见图4a)与偏离非完整约束的车辆(表明车辆可能经受欺骗攻击(参见图4b))之间的差异。
[0099]
假设车辆没有漂移(即，在车身系中侧向移动)或飞行(即，在车身系中竖直移动)。在这些(理想)假设下，vb的唯一预期非零分量是沿着“前”轴的分量(v
long
)。换言之，当假设车辆没有漂移或飞行时，vb沿着“右”轴和“下”轴的分量(分别为v
lat
和v
vert
)的理想预期值为零。实际上，车身系中的速度的竖直和横向分量并不精确为零(例如，由于汽车悬架或轮胎的柔软性所导致的移动)。然而，这些分量仍可被预期为接近于零。当车辆遵守非完整约束时，如图4a所示，车辆的纵向方向与投影速度估计非常接近地对准。
[0100]
另一方面，图4b示出偏离预期值的车辆。在这种情况下，车辆分别具有非零横向和竖直投影速度估计分量v
lat
和v
vert
以及非零纵向投影速度估计分量v
long
。车辆因此具有指向与车辆的纵向方向不同的方向的投影速度估计vb。假设非完整约束成立(即，假设车辆确实没有跳跃或侧滑)，该结果表明车辆正在经受欺骗攻击。这样，可以看出，投影速度估计的非零横向和/或竖直分量充当欺骗攻击的指标。因此，可分析投影速度估计的横向和竖直分量，以评估它们是否偏离图4a所示的预期情况。在本示例中，这可使用仅由gnss接收器模块100上的组件生成的测量来实现，意味着不太依赖车辆集成传感器(例如，监测转向输入和车轮旋转的那些)来确定欺骗攻击。
[0101]
在图2中的步骤250中，在将速度估计投影到车身系中时，处理器120可考虑车辆上
的gnss天线105的位置。gnss天线的位置对于诸如汽车的小型车辆的影响很小。然而，对于较长的车辆(例如，公共汽车或卡车)，gnss天线位置可能具有很大的影响。例如，在超过10m长的长车辆中，gnss天线可位于车辆的前部，而imu130可位于车辆的后部(反之亦然)。当姿态估计基于惯性测量并且imu位于与gnss天线显著不同的位置时，根据车辆的方向和速度，在天线处的速度和imu处的速度之间可能存在系统性的速度估计差异。因此，为了校正这样的速度估计不一致，在步骤255中补偿天线和imu之间的距离“杠杆臂”。在将速度估计投影250到车身系时执行杠杆臂补偿。
[0102]
在步骤260中，处理器120从步骤250中计算的投影速度估计推导检测参数。(该步骤260也被实现为欺骗检测块190的一部分。)检测参数是推导以指示gnss接收器模块100何时经受欺骗攻击的变量。图5示出如何推导检测参数。在步骤262中，从投影速度估计vb提取投影速度估计的横向和竖直分量v
lat
和v
vert
。然后，在步骤264中，使用提取的投影速度估计分量来构造人工非完整约束(nhc)速度。在此示例中，使用加权和中投影速度估计的两个提取分量的绝对值来构造人工nhc速度，
[0103]vnhc
＝r
·
|v
lat
|+(1-r)
·
|v
vert
|，
ꢀꢀꢀꢀꢀꢀ
(3)
[0104]
其中v
nhc
是人工nhc速度，r是可配置加权参数，其中r∈[0,1]。例如，可配置加权参数可被设定为r＝2/3，因为与大水平分量相比投影速度向量的大竖直分量可能更有可能是欺骗标志。在此示例中，应用于投影速度估计的各个预期分量的权重彼此依赖。权重之间的这种依赖性适合于构造人工nhc速度，因为投影速度估计的两个预期分量源自相同的gnss测量。由于对可配置加权参数的限制以及取投影速度估计的预期分量的绝对值，v
nhc
始终为非负。正是这种可配置人工nhc速度封装了车辆平台的物理约束，用作伪传感器以检测车辆是否正在经受欺骗攻击。代替比较gnss测量与车辆集成传感器值，除非存在欺骗信号，否则车辆的物理约束导致伪传感器的输出为零(在一定误差范围内)。因此，在此示例中v
nhc
被定义为检测参数。
[0105]
检测参数值的偏离可由于欺骗以外的原因而发生(例如，由于惯性测量、gnss接收器所提供的测量、所获得的姿态估计或所计算的速度估计中的噪声)。发明人已认识到，在不同情况下检测参数中的这些无害变化的大小可能变化。因此，可取的是使用动态地适应当时条件的检测阈值。因此，在图2的步骤360中，处理器120推导检测阈值，其被设计为考虑检测参数值中的无害变化，同时仍允许参数中由要检测的欺骗导致的变化。(此步骤也被实现为图1的欺骗检测块190的一部分。)
[0106]
图6示出动态检测阈值(即，适应条件和可用信息的检测阈值)的推导，基于可计算的不确定性改变其值。在步骤330中，使用gnss接收器所提供的测量来计算在导航系中车辆的速度不确定性估计。使用ls估计器180来计算速度不确定性估计。速度估计和速度不确定性估计可由ls估计器180同时计算。
[0107]
在步骤330中计算的速度不确定性估计描述在导航系中车辆速度的不确定性。为了描述检测参数中的不确定性，在步骤350中将速度不确定性估计投影到车身系中。两个参照系之间的速度不确定性估计的投影依赖于在步骤220中从ekf 170获得的姿态估计。用于将速度不确定性估计投影到车身系中的方法类似于在步骤250中投影速度估计的方法。速度不确定性估计从导航系向车身系的投影可使用下式来描述：
[0108]
[0109]
其中∑b是车身系中的速度不确定性估计矩阵，∑n是导航系中的速度不确定性估计矩阵，是从车身系到导航系的旋转矩阵(换言之，的逆)。类似投影速度估计，投影速度不确定性估计也具有三个正交方向上的分量：
[0110][0111]
其中和分别是投影速度不确定性估计的纵向、横向和竖直分量。这里不考虑源于姿态估计的不确定性，因为在步骤243中姿态估计被认为有效。
[0112]
在必要时(例如，对于长车辆)，推导检测阈值的方法还在步骤355中补偿车辆上的天线105的位置。该杠杆臂补偿可按照与上述步骤255中相同的方式执行。在本示例中，忽略杠杆臂补偿中的错误/不确定性。
[0113]
推导检测阈值的剩余步骤与步骤260中推导检测参数的过程成镜像。遵循式(5)，在步骤362中从矩阵∑b提取投影速度不确定性估计的横向和竖直分量和
[0114]
由于本示例中的检测参数基于横向和竖直投影速度估计分量，所以构造基于这些投影速度估计分量的不确定性的检测阈值。选择检测阈值以匹配检测参数允许以一致、有原则的方式分析检测参数的不确定性。类似于步骤264中人工nhc速度的构造，在步骤364中，构造nhc速度不确定性。该公式以加权和使用投影速度不确定性估计的两个预期分量：
[0115][0116]
其中是nhc速度不确定性，r是式(3)中使用的相同可配置加权参数。尽管可配置人工nhc速度封装了车辆平台的物理约束被违反的程度，但可配置nhc速度不确定性验证这种违反是欺骗的结果，还是更有可能由无害的可计算不确定性导致。
[0117]
在步骤366中，检测阈值被定义为构造的nhc速度不确定性的函数。检测阈值ε被定义为采取以下形式
[0118][0119]
其中f是可配置灵敏度因子。因此，当构造的nhc速度不确定性增加时，检测阈值增大，当构造的nhc速度不确定性减小时，检测阈值减小，以考虑预期不确定性。因此，检测阈值根据检测参数的不确定性而变化。这减少了当投影速度测量中的不确定性较高时发生误报欺骗检测(误警)的机会，以及当投影速度测量中的不确定性较低时漏报欺骗检测(漏检)的机会。在本示例中，找到了灵敏度因子f＝3(对应于保守3σ阈值)以产生良好结果。
[0120]
返回图2的流程图，在步骤280中，处理器比较推导的检测参数和推导的检测阈值。该步骤280由作为欺骗检测块190的一部分的处理器实现。如果检测参数超过检测阈值，则检测到可能欺骗实例。如果检测参数低于检测阈值，则在当前历元中未检测到可能欺骗实例。
[0121]
在一些实施方式中，历元中超过检测阈值的单个检测参数实例可触发欺骗警报。然而，在此示例中，对于要检测的gnss欺骗实例，检测参数和检测阈值必须通过一组标准290，然后在步骤295由处理器120生成欺骗警报。图7示出可发送欺骗警报之前必须满足的
一组标准。在第一历元开始时，定时器从δt＝0开始以秒为单位计时。一旦定时器启动，gnss欺骗检测方法200就运行，以便计算历元的检测参数和检测阈值。在步骤291，确定检测参数是否高于检测阈值。如果检测参数(v
nhc
)低于检测阈值(ε)，则定时器在步骤292重置为δt＝0，并且新历元开始。如果检测参数确实超过检测阈值，则在历元中检测到可能欺骗实例。在步骤294，评估时间以检查是否满足发送欺骗警报的标准。该标准要求在多个连续历元内检测参数超过检测阈值达预定时间长度，n秒。作为非限制性示例，n被设定为等于10。如果满足步骤294中的标准(换言之，如果δt》10)，则检测到gnss欺骗实例。如果检测参数未超过检测阈值超过10s，则为下一历元计算检测参数和检测阈值，定时器继续计时而不重置为δt＝0。
[0122]
在图2的步骤295中，如果满足步骤290的标准，则检测到欺骗并由处理器120生成欺骗警报。欺骗警报可根据应用以各种不同的方式使用。例如，如果gnss接收器模块100是导航系统的一部分，则导航系统可警告汽车驾驶员gnss定位信息不可靠。例如，导航系统可暂停在电子地图上显示车辆的位置。如果gnss接收器模块100是自主驾驶控制系统的一部分，则由于gnss定位信息的不可能性，系统可迫使驾驶员手动控制车辆。如果gnss接收器模块被并入跟踪装置或收费标签中，则装置或收费标签可记录检测到欺骗实例的事实和/或可向服务提供商发送警告消息，通知服务提供商跟踪/收费信息不可靠。
[0123]
图8a和图8b显示示出操作中的gnss欺骗检测方法的测试结果。图8a中的图形示出未经受欺骗攻击的车辆的检测参数。在长时间段内，检测参数(由实线表示)始终低于检测阈值(由虚线表示)。尽管检测参数值中存在尖峰(特别是53000s左右)，但检测阈值中存在对应尖峰，指示关于检测参数值的不确定性较高。因此，动态阈值的实现成功避免了欺骗的误报检测。此外，检测参数中偶尔存在导致其超过检测阈值的尖峰(例如，53800s左右的尖峰)，指示可能欺骗实例。然而，检测参数中的这些尖峰是短暂的。检测参数返回更接近0m/s的值，低于检测阈值。因此，图7所示的步骤290中的一组标准成功避免了欺骗的误报检测。具体地，检测参数超过检测阈值比预定时间间隔更长的要求避免了误报检测。图形顶部以虚线标记的历元表示没有检测到欺骗实例的时间，因为检测参数始终低于检测阈值(v
nhc
《ε)。图形上空白(而不存在检测参数或检测阈值)的历元表示作为在欺骗检测方法的步骤240实现的检查集合的结果，gnss接收器模块没有足够的信息来形成检测参数和检测阈值的时间。
[0124]
图8b中的图形示出经受欺骗攻击的车辆的检测参数。图形初始看起来与先前图形相同，在前3000s内检测参数保持低于检测阈值。如图8a中，没有检测到可能欺骗实例的这些历元在图形顶部由虚线标记。在3020s左右，欺骗攻击开始(如图形上黑色竖直实线所指示)。在3085s左右，检测参数第一次超过检测阈值。此时，检测到可能欺骗实例。在接下来的10秒内，检测参数明显偏离相对恒定的检测阈值。由于已满足步骤290的标准(这里，n＝10)，所以生成欺骗警报。图形顶部空白的历元(存在检测参数和检测阈值)表示gnss接收器模块检测到可能欺骗实例的时间。换言之，在这些历元中检测参数已超过检测阈值，但是未满足步骤294中概述的标准。图形顶部以斜条纹线标记的历元表明检测到欺骗实例的历元，因为已满足步骤294中概述的最终标准，使得gnss接收器模块生成欺骗警报。在各个历元中继续生成该欺骗警报，直至检测参数返回到低于检测阈值的值，或者直至作为检查集合240的一部分，由于测量不足或无效估计而导致计数重置。
[0125]
应该注意的是，上述实施方式示出而非限制本发明，在不脱离所附权利要求的范围的情况下，本领域技术人员将能够设计许多替代实施方式。
[0126]
在替代示例中，imu 130可包括不同配置的惯性传感器。例如，imu可由多轴加速度计和多轴陀螺仪组成，而非多个单轴加速度计和多个单轴陀螺仪。具体地，imu可包括单个加速度计三元组和单个陀螺仪三元组。imu还可包括另外的传感器，包括(但不限于)一个或更多个磁力计和/或一个或更多个气压计。
[0127]
另选地，传感器可在gnss接收器模块外部。这些传感器可包括配置与描述为集成到gnss接收器模块中的传感器相似的一个或更多个传感器。另选地，在一些实施方式中，imu的惯性传感器可由可从其获得姿态估计的另一惯性测量源代替。例如，可使用车辆上分开较远的位置处的gnss天线阵列，通过比较在不同天线处接收的gnss信号来推导关于车辆姿态的信息。
[0128]
对于图1所示的示例，导航滤波器(在这种情况下，ekf 170)使用从gnss接收器获得(在步骤210中)的原始gnss测量和惯性测量(在步骤215中获得)来生成位置、速度和姿态估计。这种方法对应于紧密耦合卡尔曼滤波器。然而，本公开的范围不限于这种方法。gnss接收器模块可使用松散耦合卡尔曼滤波器，其中，处理gnss测量以生成位置和速度解，然后将该解输入到导航滤波器。例如，导航滤波器可使用来自附加gnss滤波器的导航解，而非使用从gnss接收器获得的原始gnss测量。
[0129]
欺骗检测方法不限于图3的示例中描述的检查集合。例如，可进行数量较少的检查。这些检查可包括图3所示的检查的所选子集。类似地，检查的数量可能超过图3所示的检查的数量，以进一步确保对于当前历元仅在条件适当的情况下继续进行欺骗检测方法。例如，进一步的检查可包括仅选择源自特定gnss星座的gnss信号，或者检查接收到校正数据以补偿gnss信号的电离层和对流层传播延迟。
[0130]
在替代示例中，可使用单独的ls估计器，一个用于计算速度估计，另一个用于计算速度不确定性估计。另选地，单独的卡尔曼滤波器可用于估计速度和速度不确定性二者。在其它示例中，其它类型的滤波器可代替ekf或ls估计器。作为非限制性示例，其它类型的滤波器可包括粒子滤波器。
[0131]
在步骤260中检测参数的推导不限于图5中概述的一组步骤。例如，人工nhc速度可仅使用投影速度估计的分量之一来构造，而非两个分量的加权和。具体地，人工nhc速度可与横向速度估计分量成比例或相等。类似地，人工nhc速度可与竖直速度估计分量成比例或相等。在使用加权和的其它示例中，权重可彼此独立。例如，人工nhc速度可使用投影速度估计的两个预期分量的绝对值以加权和来构造。
[0132]vnhc
＝r
·
|v
lat
|+s
·
|v
vert
|，
ꢀꢀꢀꢀꢀꢀ
(8)
[0133]
其中v
nhc
是人工nhc速度，r和s是两个独立的可配置加权参数，其中r∈[0,1]并且s∈[0,1]。独立可配置加权参数的范围可比[0,1]更宽。例如，如果r,s》0，则检测参数v
nhc
将为非负的，并且仍将是用于检测欺骗实例的合适指标。
[0134]
在这些其它示例中，用于构造人工nhc速度的独立可配置加权参数用于构造nhc速度不确定性。对于由式(8)描述的示例，该公式以加权和使用投影速度不确定性估计的两个预期分量：
[0135]
[0136]
其中是nhc速度不确定性，r和s是式(8)中使用的相同可配置加权参数。
[0137]
检测阈值可固定，以使得检测阈值在多个历元内不改变值。这种检测阈值可能不基于gnss接收器所提供的测量。例如，检测阈值可基于任意恒定值。然而，在其它情况下，固定的检测阈值可基于gnss接收器所提供的测量。例如，检测阈值可基于来自第一历元的初始投影速度不确定性估计来设定，或者可被设定为来自第一历元的构造的nhc速度不确定性的常量函数。在替代示例中，检测阈值可为动态的，但可能不依赖于构造的nhc速度不确定性的函数。例如，检测阈值可被直接设定为构造的nhc速度不确定性。对于图6中描述的检测阈值，可配置灵敏度因子f可被设定为任何合适的值(f不必等于3)。
[0138]
作为图7所示的标准的变体，可按其它方式或以其它单位测量用于触发欺骗检测的最小时间间隔。例如，如果阈值被超过达预定数量的连续历元，则可检测欺骗并且可触发欺骗警报。基于这种要求的欺骗警报的一组标准490示出于图9中。
[0139]
在第一历元开始时，计数器被初始化以从i＝1开始。对于在由i＝1指定的第一历元中获得的测量和计算，运行gnss欺骗检测方法200，最终在步骤491中比较检测参数与该第一历元的检测阈值。如果检测参数低于检测阈值，则确定车辆当前未经受欺骗攻击。如果检测参数超过检测阈值，则在历元中检测到可能欺骗实例。在检测参数低于检测阈值的情况下，在步骤492将计数i重置回其初始值i＝1。
[0140]
在替代示例中，代替在步骤492将计数重置回初始值，计数可递减。例如，如果计数为i＝4，并且在该当前历元中检测参数低于检测阈值，则计数可递减为i＝3，然后开始新历元。类似地，代替在图7中的步骤292将时间重置为零，时间可递减固定时间量。计数或时间可被强制为大于或等于零。即，一旦计数或时间达到零，递减就可停止。
[0141]
在检测参数超过检测阈值的情况下，在步骤493中计数增加值1。每次计数递增，就评估计数以检查是否满足发送欺骗警报的标准。如果在步骤494中检测参数已超过检测阈值达n个连续历元(i》n)，则检测到欺骗并且生成欺骗警报。如果检测参数还未超过检测阈值达n个连续历元，则在下一历元中进行相同的测量和计算。
[0142]
对于定期接收gnss信号的gnss接收器模块，用于检测欺骗的两组标准(步骤290和490)是类似的。例如，如果以1hz的频率接收gnss信号，并且仅在检测欺骗的10s的连续历元之后发送欺骗警报，则10个连续历元必须检测欺骗，使得在图7中n＝10。应该注意的是，更新测量的频率不应被设定为太高(换言之，历元长度不应太小)。否则，惯性/gnss测量的改变可能不足以检测欺骗。通常，历元长度越短，为了检测欺骗而应该考虑的连续历元的数量越大(即，n的适当值越大)。
[0143]
在图1的示例中，gnss接收器模块100上的处理器120执行欺骗检测方法200的所有步骤。然而，在其它实现方式中，该处理可在别处执行，或者可分布于多个处理器上相同或不同的位置。例如，gnss测量引擎可用于生成gnss测量，其中导航引擎被单独地集成到车辆主机中。欺骗检测可由gnss测量引擎或导航引擎执行，或者该处理可在这两个组件之间共享。在另一示例中，所有gnss测量可被发送至能够计算导航解的云计算机，然后解被发送回车辆，而非使用ekf或ls估计器。在这种示例中，欺骗检测方法可由云计算机实现。
[0144]
在权利要求中，放在括号内的任何标号不应被解释为限制权利要求。词语“包括”不排除权利要求中所列那些以外的元件或步骤的存在。元件之前的冠词不排除多个这样的元件的存在。实施方式可通过包括若干不同元件的硬件来实现。在列举若干装置的设备权
利要求中，这些装置中的若干可由硬件的同一项具体实现。在互不相同的从属权利要求中陈述某些措施的单纯事实并非指示无法有利地使用这些措施的组合。此外，在所附权利要求中，包括“下列中的至少一个：a；b；和c”的列表应该被解释为(a和/或b)和/或c。
[0145]
在与方法有关的流程图、摘要、权利要求和说明书中，列出步骤的顺序通常并非旨在限制执行它们的次序。步骤可按与所指示的次序不同的次序执行(除非具体地指示，或者后续步骤依赖于前一步骤的产物)。然而，在一些情况下，描述步骤的次序可反映操作的优选顺序。
[0146]
此外，通常，各种实施方式可在硬件或专用电路、软件、逻辑或其任何组合中实现。例如，一些方面可在硬件中实现，而其它方面可在可由控制器、微处理器或其它计算装置执行的固件或软件中实现，但这些不是限制性示例。尽管本文所描述的各种方面可作为框图、流程图或使用一些其它图示表示来示出和描述，但很好理解，本文所描述的这些框、设备、系统、技术或方法可作为非限制性示例实现于硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其它计算装置或其一些组合中。本文所描述的实施方式可由可由设备的数据处理器执行的计算机软件(例如，处理器实体中)，或由硬件，或由软件和硬件的组合实现。此外在这方面，应该注意的是，如附图中的逻辑流程的任何框可表示程序步骤，或互连的逻辑电路、块和功能，或程序步骤与逻辑电路、块和功能的组合。软件可被存储在诸如存储器芯片或实现于处理器内的存储块的物理介质、诸如硬盘或软盘的磁介质、以及诸如dvd及其数据变体、cd的光学介质上。数据处理器可为适合于本地技术环境的任何类型，并且作为非限制性示例，可包括通用计算机、专用计算机、微处理器、数字信号处理器(dsp)、专用集成电路(asic)、门级电路和基于多核处理器架构的处理器中的一个或更多个。如本文讨论的实施方式可在诸如集成电路模块的各种组件中实践。集成电路的设计总体上是高度自动化的过程。复杂且强大的软件工具可用于将逻辑级设计转换为准备好在半导体基板上蚀刻和形成的半导体电路设计。