美国韧性PNT参考架构简介

1、引言

全球定位系统（GPS）和其他全球导航卫星系统（GNSS）使得定位、导航和授时（PNT）服务在现代社会的许多应用中得以广泛采用。PNT服务对于许多部门关键基础设施（包括电网、通信基础设施、交通、农业、金融服务和应急服务等）运行必不可少。因此，对PNT系统的破坏或干扰有可能对个人、企业以及国家的经济和军事安全造成不利影响。PNT服务威胁的存在众所周知，美国政府和工业部门认识到需要拥有能够经受住这些威胁并从威胁中恢复的韧性PNT设备。

2022年6月，美国国土安全部发布了《韧性PNT参考架构》，该文档基于其5月发布的《韧性PNT一致性框架》，通过描述韧性概念在下一代韧性PNT整体方法中的具体应用，补充了一致性框架的不足，它提供了与韧性PNT一致性框架内的韧性级别一致的架构示例参考设计。该参考架构的目标是为下一代韧性PNT系统的整体方法创建一个具体愿景，应用所提出的概念和技术生成对当前和未来PNT威胁具有高度韧性的PNT用户设备，增强美国国家关键基础设施的韧性。

以下对报告中给出的PNT韧性概念、分类和韧性架构示例等主要部分进行了编译。

2、PNT韧性概念与技术分类

《韧性PNT一致性框架》中定义了韧性的核心功能为：预防、响应和恢复，此参考架构中定义的PNT韧性概念受网络安全和网络韧性实践的启发，与核心功能相联系。

2.1、七个PNT韧性概念

PNT韧性概念解释了如何预防威胁和破坏对PNT用户设备的影响、对之进行响应并从中恢复恢复。这些概念可以用整体方法进行集成，以开发韧性PNT用户设备系统设计。

（1）假设外部输入受到攻击和破坏

系统设计人员应该假设提供外部输入的所有类型的PNT服务都可能并且将会受到攻击和破坏，一些攻击的影响将会在系统内部显现，并且这些攻击将会随着时间的推移变得更加复杂。攻击和破坏可能会对整个系统造成各种不同的影响。系统设计师应评估可能的威胁、漏洞和故障，并结合多种技术设计PNT用户设备（UE）系统，以便通过整体PNT韧性方法来预防这些问题并进行响应和恢复。

（2）实施深度防御

深度防御的韧性概念包括将不同类型的韧性技术分层，以降低攻击或破坏突破系统防御的可能性。韧性技术有不同优缺点，在整个系统中把它们放在一起会产生累积效应，消除单种技术缺点。如果某个特定的防御层被攻破，还会有额外的防御层来阻挡攻击。这不仅大大增加了攻击者破坏系统的难度，而且这些不同的分层防御还提供了比单层防御更广泛的攻击防护。

（3）最大限度减少攻击机会

系统设计者应该使系统变得很难访问。他们应该确定PNT UE系统的可攻击面，并尽可能使其最小化，以防止威胁影响。除了最小化攻击面以保护PNT UE系统之外，系统架构还可包括减少暴露于外部输入的方法。限制外部输入的影响可以使外部威胁更难欺骗PNT用户设备系统。

（4）从边缘到核心以及PNT源之间的可控信任

如果PNT UE系统被攻击，并且一些攻击将穿透防御，那么用户设备应使用可控信任机制来控制系统内的信息分发。可控信任是一个多方面的概念，它利用几种不同类型的韧性技术来限制外部输入，将组件相互隔离以防止威胁影响纵向或横向传播，并在外部输入影响系统PNT解之前对其进行验证。

（5）保护内部PNT源

这一概念与可控信任有关，但只适用于可以从物理测量中生成PNT信息的内部PNT源。内部物理PNT源包括提供相对时间的本地时钟（如铷或铯原子钟）以及提供相对位置信息的不同类型的惯性传感器。来自物理PNT源的PNT解是在没有外部影响的情况下生成的，本质上更值得信赖。应保持内部PNT源的隔离，以保护它们免受攻击并保持可信。

（6）使用广泛适用的威胁缓解措施

广泛适用的威胁缓解措施限制或阻止各种威胁对系统造成影响。当攻击影响韧性PNT UE系统的不可信边缘时，这种影响可能根据被攻击PNT源类型的不同而不同，系统设计者可以应用特定技术来减轻系统中的威胁。PNT UE系统设计可隔离组件以遏制攻击和破坏的负面影响，从而使影响不会在系统组件之间传播。当检测到错误操作信号时，PNT UE系统可以使用不同方法，通过识别它们的独特特征来恢复真实PNT信号。这些方法可能不是在所有情况下都有效，因此应该与其他缓解措施结合使用。

（7）需要时恢复

防御可能会失败，或者可能会出现新的威胁、问题或故障。在攻击期间继续使用某些方法可能会导致性能下降、无法完成预期功能，或者不适于特定威胁。威胁和破坏在任何时候都可能影响PNT UE系统的运行，可靠的恢复能力将作为系统返回到正确工作状态和典型性能的最后一道防线。

除了恢复之外，PNT UE可能需要其他韧性功能来识别何时需要恢复，监视何时恢复是安全的，以及确认恢复已经成功。可能需要实施可控信任和部署深度防御方法予以支持。

总的来说，这些概念代表了PNT韧性的整体方法，整个系统的韧性取决于单个组件和子系统以及整个综合系统的韧性。当一起使用时，PNT韧性概念完全涵盖了预防、响应和恢复核心功能。

2.2、PNT韧性技术分类

PNT韧性技术根据实施PNT韧性的方式分为七类：混淆特征、限制不可信外部输入、验证外部输入、隔离组件、减轻威胁影响、技术多样化以及在安全情况下恢复性能。大多数韧性技术类别可用于实现多种PNT韧性概念。

（1）混淆特征以迷惑攻击者

此类别包含最大限度减少攻击机会的隐藏或伪装等不同方法。一些混淆技术针对潜在攻击隐藏或伪装系统输入组件，如天线或其他输入硬件。此外，一些攻击者可以使用位置信息来定制针对特定目标的攻击，此类技术还可隐藏目标位置，降低攻击的有效性。PNT UE系统还可以利用完全或部分加密的PNT信号来隐藏内容并启用认证方法。

（2）限制外部输入，最大限度减少攻击机会

可以通过限制进入系统的外部输入和限制外部输入在PNT UE系统内的使用降低攻击机会。此类韧性技术可以使用滤波器来限制频率进入，使用波束成形方法来限制接收到的输入信号的方向。虽然不可能消除PNT UE系统对外部输入的依赖，但限制暴露是减少攻击影响的一种方式。

（3）验证可控信任的外部输入

PNT UE系统可以采用不同的验证方法来评估完整性，并确定哪个PNT信息可接受。验证方法包括监控由故意攻击或意外事件引起的操作或干扰影响。抗干扰和反欺骗算法属于这一类。为了得到韧性结果，验证技术应与其他类别的韧性技术一起实施，以便在检测到威胁和破坏时提供适当响应。

（4）隔离组件以防止受外部影响

将组件相互隔离，实现可控信任。这种广泛适用的威胁缓解方法限制了影响在PNT UE系统中的传播。当PNT源相互隔离时，针对一个PNT源的威胁不会影响其他源。当一个PNT源受损时，UE系统可以使用其它PNT源形成系统PNT解，从而使得系统可在威胁下运行。隔离内部PNT源的技术可以有效抑制各种威胁，并在威胁穿透系统防御时限制其影响。

（5）减轻威胁影响

此类技术包括在攻击持续的情况下减少或纠正威胁影响的技术。一种抑制方法是试图通过搜索预期信号的特定特征来恢复丢失的真实信号。

为了成功实现这种广泛适用的威胁抑制方式，PNT UE系统需要使用验证类技术来检测威胁对目标PNT源的影响。PNT UE系统还必须具有多个不同的PNT源，以避免共模故障。最后，PNT UE系统需要一种将PNT源彼此隔离的架构，以遏制威胁造成的影响，并防止当一个PNT源受到攻击时多个PNT源之间交叉影响。这种方法可以建立抵御现有威胁以及新出现威胁的能力。

（6）技术多样化以减少共模故障

不同类型的PNT源会受不同类型威胁和漏洞的影响。包括不同类型PNT源和不同类别的韧性技术将使得韧性PNT UE系统能够承受各种威胁并避免共模故障。

在整个PNT UE系统设计中结合多样化方式是广泛适用的威胁抑制方法，它能够避免共模故障。多样化还可以包括一种PNT服务或PNT源的信号多样化，例如来自多个民用波段、多个GNSS接收机或多个GNSS天线位置的多种信号。

（7）在安全的情况下恢复性能

PNT UE系统性能恢复技术确保了在受到威胁或破坏影响之后，系统可以返回到具有典型性能的正常工作状态。由于存在不同类型的攻击和破坏，并且有些攻击和破坏可能会渗透到不同防御层，因此恢复可以采取多种形式，包括根据需要重置、重新加载、回退、重新获取或重新启动不同部分的技术。恢复技术可以在攻击或破坏期间或之后采用。

不同的恢复技术适用于恢复PNT UE系统的不同方面，可以恢复单个组件，而无需恢复整个系统。如果韧性PNT UE系统能够确定何时开始恢复是安全的，则可以实现自动组件恢复。所有韧性PNT UE应该能够在威胁或破坏结束后进行完全系统恢复。

3、韧性PNT等级及相应架构示例

美国国土安全部在之前发布的《韧性PNT一致性框架》中规定了四个韧性级别：

1级：最低PNT韧性级别，规定了最低恢复要求，是其他高级别韧性的基础。此级别侧重恢复，确保威胁消除后的可恢复性；

2级：在此级别，韧性PNT UE系统通过临时隔离受损PNT源，防止它们对系统产生影响。2级系统必须在受到威胁时能继续提供PNT解，但此期间对性能下降没有限制；

3级：涉及将PNT源相互隔离，以防止一个PNT源受损时发生交叉影响。这个级别也是第一个明确要求在不同PNT源的PNT解之间进行交叉验证的级别。处于3级的PNT UE系统在存在威胁的情况下可能出现性能降级，但必须保持在规定界限内；

4级：是最高韧性级别，在威胁环境中韧性PNT UE系统可以通过使用不同类型的PNT源来做出响应，并且当威胁被清除或者破坏结束时，受影响的PNT源可以恢复。威胁存在期间系统性能不会降低。

后面给出了每个韧性级别的PNT UE系统架构示例，在此侧重授时架构。每一级别的韧性都是建立在前一级别的要求之上，并且提高了存在威胁情况下的整体性能要求。

3.1、1级韧性架构示例

1级韧性侧重于威胁或破坏结束后的PNT UE系统恢复，为所有其他韧性级别奠定基础。它还包括基本的验证步骤，以确认外部输入符合既定标准。图1描述了一个1级韧性架构示例，为实现1级韧性，在非韧性架构添加的系统组件以紫色突出显示。

1级示例架构在PNT解从GPS接收机传递给用户的过程中添加了中间验证步骤。从GPS接收机传递到验证步骤的PNT状态信息包括PNT解和存储到存储器的任何信息。PNT状态信息也可以使用位置、速度和其他内部可观测值作为验证资源。其他内部可观测值可能包括不同类型的信号测量值，如功率、载波幅度或码相位。PNT UE系统可能必须结合使用这些额外的可观测值或相关输出的验证算法，以满足在更高级别韧性下识别和响应PNT源和数据受损的要求。

当存在威胁时，1级PNT UE系统不需要继续提供系统PNT解。但在威胁或破坏结束之后，1级PNT UE系统至少应该能够恢复到适当的工作状态或典型性能。恢复包括重置或回退内存中所存储信息的能力，以及重新加载或更新固件的能力。在1级系统中，用户可以手动启动系统恢复。当系统设计者在授时UE系统中建立了更多能力时，他们可以添加其他类型的恢复措施。

3.2、2级韧性架构示例

2级韧性要求PNT UE系统通过继续以降级的性能运行来最低限度地承受威胁或破坏。在2级，在存在威胁或破坏的情况下，性能可以无限下降。2级韧性要求意味着至少需要两个PNT源，以便在一个源受损时系统可以继续运行。除了1级韧性的所有能力之外，2级韧性系统通过暂时将受损PNT源与系统PNT解隔离并启动自动恢复来响应威胁检测。图2给出了一个2级韧性架构示例，图中为实现2级韧性添加的模块以绿色显示。

GPS接收机固有地依赖于外部GPS信号来生成PNT信息，而当GPS接收机受到损害时，可以使用不依赖于外部输入的PNT源。例如，在图2中的授时UE系统中，本地时钟提供可信的内部PNT源，其提供完整的PNT状态信息。当验证过程检测到来自GPS接收机的PNT状态信息中的错误时，图2中的开关可以断开，以保护本地时钟免受外部输入的损害。当设备处于保持模式时，本地时钟可以自由运行。验证过程继续监控来自GPS接收机的PNT信息，并且当监控显示攻击或破坏结束时，内部逻辑可以自动启动GPS接收机恢复措施。这确保了系统尽快恢复GPS，而不需要用户关注。当威胁或破坏结束时，开关可以闭合，本地时钟可以恢复到由GPS接收机控制。

PNT UE系统也可以将本地时钟视为主要授时源，并将GPS接收机视为次要源。通过这种方法，本地时钟提供了具有良好短期稳定性的可信内部状态。

对于2级系统，在存在威胁的情况下，允许性能无限下降。更高水平的恢复能力（有限降级或无降级）需要改善本地时钟的隔离，并需要额外的PNT替代源，以便在GPS不可用时进行验证和使用。

3.3、3级和4级韧性架构示例

更高级别的韧性（3级和4级）必须包括额外的硬件或严格的保证软件，以充分隔离PNT源。利用三个或更多PNT源来实施3级韧性所需的交叉验证，并防止本地PNT源在PNT服务受到攻击和被破坏期间丢失已验证的外部输入。4级韧性明确要求不同类型的PNT源没有共同的故障模式。图3中显示了一个包含所有这些需求的架构示例，其中满足3级需求的增加部分为红色，满足4级需求的增加部分为蓝色。这些级别之间的差异来自于总体性能要求：4级在存在威胁或破坏的情况下性能不会下降，而3级可能会有有限性能下降。

图3相比2级示例增加了一个频率综合器，它负责形成提供给用户的系统时间解，从而实现外部输入和内部时钟的隔离。防止来自受威胁PNT源的PNT信息提供给系统PNT解是减轻威胁影响并继续向用户提供系统PNT解的一种方式。

增加PNT源数量以包括不同的技术类型可以减少共模故障。这样可使系统更加鲁棒并使其能够承受一个PNT源的中断，而对系统的性能影响很小或没有影响。此外，利用至少三个时间源，PNT UE系统可以在独立验证来自每个源的PNT状态信息之后，使用交叉验证作为额外检查。

为了防止虚假信号进入PNT UE系统，此架构设计可以在GPS接收机前端纳入抗干扰天线，如图3中黄色部分所示。该天线限制了系统能接收输入信号的频率和方向。通过使用PNT信号中对潜在攻击者来说模糊的消息，接收机可以进一步得到保护免受针对性欺骗。

总之韧性授时UE系统的架构示例结合了七类韧性技术，这些韧性技术一起工作，以提供持久的分层PNT韧性。

3.4、 韧性PNT UE子系统

以上部分的系统架构实例主要总结了三种类型组件的能力：PNT源、韧性功能和PNT解合成。图4给出了如何将图3中的各部分分配给以上三类。对于每个不同韧性级别的示例，每类中包含的组件可能有所不同。

PNT UE系统架构的组件依据上述三个类型分为三个主要子系统：

● PNT源控制器——组织来自多个不同PNT源的输入和输出，包括控制外部输入接口和处理来自PNT源的PNT状态信息（包括PNT解和其他收集的可观测值和测量值）。

●  韧性管理器——实施韧性功能，包括PNT源恢复。通过使用不同的补充韧性技术，韧性管理器确定应该允许哪些PNT源向系统PNT解提供PNT状态信息，以及何时适合实现抑制或自动恢复。

● PNT解合成代理——向用户提供最终的系统PNT解。利用来自韧性管理器的输入，PNT解合成代理组合来自不同PNT源的可信PNT状态信息，以形成系统PNT解。

这些通用的PNT UE子系统可以以不同的物理架构实现。图5展示了三个子系统的高级功能以及以这种方式隔离的韧性PNT UE系统组件。每个子系统执行其目标功能，并尽可能在组件之间提供屏障，以防止受损或不可信数据在系统中传播。

4、下一代PNT目标

随着越来越多的关键基础设施产品和仪器采用PNT UE，用户空间的不断增长将为集成、数据收集和可扩展性带来新的挑战和机遇。下一代PNT UE系统设计应实现韧性，以防止相关系统的大范围故障。除了PNT韧性，系统设计者还应该考虑PNT态势感知和PNT保证作为两个相关目标融入到下一代PNT UE中。

PNT UE系统可以使用态势感知技术来收集威胁和异常信息，这些信息可以用于抑制或消除对系统的负面影响。态势感知信息可以源自PNT UE系统的内部测量，或者从系统外的其他仪器接收。态势感知信息也可以与PNT解一起传递给用户。PNT保证量化了对PNT信息完整性的信任程度，可用于建立可信度。PNT保证还可以协助管理PNT源自动集成算法。

图6给出了态势感知和PNT保证与PNT UE子系统的关系。PNT保证量化了PNT信息和PNT UE系统内部组件完整性的可信度。在可控信任架构中，PNT UE子系统通过跨边界对PNT信息的受控访问来连接，这可以通过使用PNT保证评估可信度来实现。态势感知涉及外部威胁和危险。无论态势感知源自PNT UE系统外部还是由内部功能生成，都要报告给外部用户知晓。

PNT态势感知包括对可能危及向用户准确或不间断交付PNT解的威胁进行检测、表征和定位。就全球导航卫星系统接收机而言，PNT态势感知包括探测对卫星信号的不同类型干扰，确定干扰类型和可能意图，以及确定其来源位置。在PNT UE系统内，PNT态势感知可用于确定何时用韧性功能来响应，包括何时停止使用来自受损PNT源的PNT信息以及何时开始恢复是安全的。PNT态势感知信息可以在PNT UE系统内生成并报告给用户。PNT UE系统也能够接收来自外部设备的补充PNT态势感知信息。

PNT保证是一种量化PNT信息完整性和建立可信度的方法。评估PNT保证需要了解PNT UE系统模型、使用案例、威胁模型、实施的防御技术和准确性模型。

韧性PNT UE系统将利用一些内部或外部生成的信息，通知自动功能或用户决定在何时间采取哪些韧性操作。例如，PNT UE系统应当仅在它们有证据表明威胁或破坏不再活跃时才发起恢复功能。该系统可以定期进行PNT保证评估，以识别完整性的任何变化，并选择合适的韧性实现操作。

5、结语

美国土安全部将用于实施网络安全和网络韧性的韧性和可信概念的核心功能应用于PNT UE系统，将韧性核心功能分为：防止、响应和恢复，以开发一套适应PNT UE系统独特特征的PNT韧性概念，并提出了韧性PNT参考架构。此参考架构中列出了七个具体韧性概念：假设外部输入受到攻击和破坏；实施深度防御；最大限度减少攻击机会；从边缘到核心以及PNT源之间的可控信任；保护内部PNT源；使用广泛适用的威胁缓解措施；需要时恢复。这些概念与韧性核心功能相联系。实现PNT韧性概念可以采用不同的韧性技术，这些PNT弹性技术分为七类：混淆、限制、验证、隔离、抑制、多样化和恢复。此参考架构中列出了这些技术包含的具体内容。

为了实现韧性，PNT UE系统必须具备承受威胁和破坏并从中恢复的能力。PNT UE韧性包括四个韧性级别，从1级的基本恢复开始，随着承受和恢复能力的增加，逐渐增加到4级。在4级中，系统在面临威胁时不会出现性能下降。本文给出了可用于开发满足不同韧性级别要求的4个级别的架构示例。这些架构示例说明韧性PNT UE系统有三个主要目标，它们包含在PNT UE子系统的三类架构组件下：PNT源控制器（用于收集PNT信息）、韧性管理器（用于实现韧性功能）、PNT解合成代理（用于产生交付给用户的系统PNT解）。

通常，单项PNT韧性技术不会为PNT UE系统产生整体韧性。系统设计师可以使用整体方法来开发技术组合，这些技术组合可以集成到架构中，以实现PNT UE子系统目标，并产生总体韧性结果。选择韧性技术组合时，需要了解用户的PNT性能需求、预期威胁和破坏类型，以及PNT UE系统的整体PNT环境。此参考架构为实现韧性PNT系统设计目标提供了总体概念、具体示例和考虑事项。

（本文根据互联网资料编译整理，仅供参考使用，文中观点不代表本公众号立场）

充满激情的新时代，

充满挑战的新疆域，

与踔厉奋发的引领者，

卓尔不群的企业家，

一起开拓，

一起体验，

一起感悟，

共同打造更真品质，

共同实现更高价值，

共同见证商业航天更大的跨越！

——《卫星与网络》，观察，记录，传播，引领。