Feasibility of Snapshot-Based Spoofing Detection Using OSNMA Unpredictable Symbols

Abstract

L'autenticació i antispoofing de senyals de Sistemes Globals de Navegació per Satèl·lit (GNSS) està rebent un interès creixent entre la comunitat científica, a causa del paper clau que juguen aquests sistemes en multitud d'aplicacions de geo-localització, incloent-hi aquelles amb implicacions de seguretat i fiabilitat. Galileu, el GNSS europeu, implementa l'Open Service Navigation Message Authentication (OSNMA) al senyal E1-B, a partir d'un conjunt de dades criptogràfics que tenen el propòsit d'autenticar el contingut del missatge de navegació. Algunes d'aquestes dades són impredictibles per als usuaris i, per tant, no es poden conèixer per endavant. Això introdueix un nivell de protecció addicional contra possibles falsificadors o "spoofers". Tot i ser impredictibles, els spoofers podrien intentar estimar aquestes dades sobre la marxa, i fer-les servir per generar un senyal fals que alteri la solució de navegació de l'usuari. En resposta a aquests atacs, aquesta tesi analitza una idea nova basada en detectar spoofing a partir de fragments o snapshots de dades impredictibles transmeses pel protocol OSNMA. La tècnica està dissenyada per ser implementada en receptors GNSS de tipus snapshot, els quals són àmpliament adoptats en telèfons intel·ligents i dispositius d'Internet de les Coses (IoT), on el processament continu de senyals GNSS no és factible a causa de l'alta càrrega computacional i el consum de bateria. Per aquest motiu, la tècnica s'anomena "snapshot OSNMA", i segueix un enfocament client-servidor on l'usuari reuneix un snapshot del senyal de Galileu E1-B, extreu algunes dades impredictibles i les envia a un servidor remot on se n'analitza autenticitat i se n'informa l'usuari. El problema de detecció es modela matemàticament mitjançant un canal simètric binari (BSC) equivalent, caracteritzat per les probabilitats d'error tant de l'spoofer com de l'usuari. La tesi centra el treball en derivar la base teòrica del concepte de "snapshot OSNMA", avaluar-ne la viabilitat i validar-la utilitzant senyals GNSS realistes. L'estudi consta de quatre contribucions principals. La primera tracta sobre les condicions de contorn relacionades amb les fonts d'errors que no provenen pròpiament del spoofer, per exemple, les degudes al soroll tèrmic, propagació multitrajecte, errors de sincronització, shadowing i fading en entorns urbans, incerteses temporals, etc. L'estudi d'aquestes condicions de contorn ajuda a identificar l'impacte dels possibles errors que apareguin a les dades rebudes, i a proporcionar una cota inferior on el detector pot operar de manera satisfactòria. La segona contribució correspon a caracteritzar les propietats estadístiques de la tècnica de "snapshot OSNMA". Això dóna com a resultat una optimització de les prestacions de la tècnica proposada. La tercera contribució se centra en l'impacte de possibles incerteses temporals al senyal rebut. Aquestes podrien aparèixer com a resultat de diversos factors, com ara el desfasament del rellotge del receptor o el desfasament del rellotge del satèl·lit, etc., i tenen un impacte en les prestacions de detecció. La quarta contribució se centra en l'anàlisi experimental que genera el senyal Galileu E1-B mitjançant el simulador de GNSS Skydel GSG 8, amb l'objectiu de validar les prestacions de la tècnica en qüestió. Els resultats indiquen que la tècnica és robusta per detectar atacs sofisticats, fins i tot en condicions favorables al costat de l'spoofer. Per tant, es converteix en una candidata valuosa per a l'explotació d'OSNMA en receptors GNSS on no s'implementa el processat continu del senyal GNSS, ni es disposa tampoc de la capacitat per processar completament totes les dades del protocol OSNMA.

La autenticación y anti-spoofing de señales de Sistemas Globales de Navegación por Satélite (GNSS) está recibiendo un interés creciente entre la comunidad científica, debido al papel clave que juegan estos sistemas en multitud de aplicaciones de geo-localización, incluyendo aquellas con implicaciones de seguridad y fiabilidad. Galileo, el GNSS europeo, implementa el Open Service Navigation Message Authentication (OSNMA) en su señal E1-B, a partir de un conjunto de datos criptográficos que tienen el propósito de autenticar el contenido del mensaje de navegación. Algunos de estos datos son impredecibles para los usuarios y, por lo tanto, no se pueden conocer de antemano. Ello introduce un nivel de protección adicional contra posibles falsificadores o "spoofers". A pesar de ser impredecibles, los spoofers podrían intentar estimar estos datos sobre la marcha, y usarlos para generar una señal falsa que altere la solución de navegación del usuario. En respuesta a estos ataques, esta tesis analiza una idea novedosa basada en detectar spoofing a partir de fragmentos o "snapshots" de datos impredecibles transmitidos por el protocolo OSNMA. La técnica está diseñada para ser implementada en receptores GNSS de tipo snapshot, los cuales son ampliamente adoptados en teléfonos inteligentes y dispositivos de Internet de las Cosas (IoT), donde el procesado continuo de señales GNSS no es factible debido a la alta carga computacional y el consumo de batería. Por este motivo, la técnica se denomina "snapshot OSNMA", y sigue un enfoque cliente-servidor donde el usuario reúne un snapshot de la señal de Galileo E1-B, extrae algunos datos impredecibles y los envía a un servidor remoto donde se analiza su autenticidad y se informa al usuario. El problema de detección se modela matemáticamente mediante un Canal Simétrico Binario (BSC) equivalente, caracterizado por las probabilidades de error tanto del spoofer como del usuario. La tesis centra el trabajo en derivar la base teórica del concepto de "snapshot OSNMA", evaluar su viabilidad y validarla utilizando señales GNSS realistas. El estudio se compone de cuatro contribuciones principales. La primera trata sobre las condiciones de contorno relacionadas con las fuentes de errores que no provienen propiamente del spoofer, por ejemplo, las debidas al ruido térmico, propagación multi-trayecto, errores de sincronización, shadowing y fading en entornos urbanos, incertidumbres temporales, etc. El estudio de estas condiciones de contorno ayuda a identificar el impacto de los posibles errores que aparezcan en los datos recibidos, y a proporcionar una cota inferior en la que el detector puede operar de forma satisfactoria. La segunda contribución corresponde a caracterizar las propiedades estadísticas de la técnica de "snapshot OSNMA". Ello da como resultado una optimización de las prestaciones de la técnica propuesta. La tercera contribución se centra en el impacto de posibles incertidumbres temporales en la señal recibida. Éstas podrían aparecer como resultado de varios factores, como el desfase del reloj del receptor o el desfase del reloj del satélite, etc., y tienen un impacto en las prestaciones de detección. La cuarta contribución se centra en el análisis experimental generando la señal Galileo E1-B mediante el simulador de GNSS Skydel GSG 8, con el objetivo de validar las prestaciones de la técnica en cuestión. Los resultados indican que la técnica es robusta para detectar ataques sofisticados, incluso en condiciones favorables en el lado del spoofer. Por lo tanto, se convierte en una candidata valiosa para la explotación de OSNMA en receptores GNSS donde no se implementa el procesado continuo de la señal GNSS, ni se dispone tampoco de la capacidad para procesar por completo todos los datos del protocolo OSNMA.

Global Navigation Satellite System (GNSS) signal authentication and anti-spoofing are receiving an increasing interest among the GNSS community as key enablers for the deployment of GNSS-based applications and services with safety-critical and liability-critical implications. To this end, Galileo is providing the Galileo Open Service Navigation Message Authentication (OSNMA) in its E1-B signal component, which conveys a set of cryptographic data with the purpose of authenticating the content of the Galileo I/NAV message. Some of these data symbols are unpredictable to the users, and therefore they cannot be known in advance and used to generate a counterfeit signal, thus introducing an additional protection level against potential spoofers. Despite being unpredictable, spoofers could still estimate these symbols on the fly and use them to retransmit a counterfeit signal to forge the user's navigation solution. In response to these attacks, this dissertation sets to present a novel idea of a snapshot-based spoofing detector at symbol level that makes use of only the OSNMA unpredictable symbols. The technique is intended to be implemented in snapshot GNSS receivers widely adopted in smartphones and Internet of Things (IoT) devices, where the continuous processing of GNSS signals is not feasible due to high computational load and battery consumption. Therefore, the proposed technique is referred to as snapshot OSNMA. It is envisaged following a client-server approach whereby the user gathers a snapshot of the Galileo E1-B signal, extracts a few unpredictable symbols and sends them to a remote server where their authenticity is analyzed and reported back to the user. The problem is formulated using an equivalent Binary Symmetric Channel (BSC) interpretation, where the performance is determined by the probabilities of error at the spoofer and the user sides. In particular, this document extends the discussion to derive the theoretical foundation of this client-server based snapshot OSNMA, evaluates the feasibility of this concept and validates the detector employing real-like GNSS E1-B signals. Intricately, the overall study comprises of four main components. The first component is about the boundary conditions that refer to the study of sources of symbol errors other than spoofer for instance, signal impairments such as thermal noise, multi-path, synchronization errors, shadowing and blockage in urban and suburban environments, time uncertainties. The study of these conditions helps identify either the contribution of symbol errors from these impairments or the spoofer and thereby develop a lower bound at which the detector would be able to work efficiently. Second component corresponds to characterize the statistical properties of snapshot OSNMA. This results in further optimizing the detection performance of the proposed detector. Third component comprehensively focuses on the impact of time uncertainties in detecting the spoofing attack at symbol level. These time uncertainties could appear as a result of various factors such as receiver clock offset or satellite clock offset, etc., and have an impact on overall detection performance. While the fourth component explicitly performs the experimental analysis by generating the real-like Galileo E1-B signals using GNSS simulator i.e., Skydel GSG 8 and then employing these signals to validate the performance of snapshot OSNMA. The performance results state that the approach is robust to detect sophisticated attacks even in favorable conditions at the spoofer side. Therefore, it becomes a valuable candidate for the exploitation of OSNMA in GNSS receivers where neither continuous processing of the GNSS signal nor OSNMA-enabled capabilities are implemented.