Hotdry.

Article

解码 GPS 密码学:十九年信号层加密演进与流量分析

解析 GPS 民用信号中隐藏的军事加密通道,从 C/A 码到 Y 码的密码学演进路径,以及基于 19 年实测数据的流量分析方法与工程实践。

2026-06-06security

GPS 卫星每天在头顶经过两次,向全球数十亿接收器广播导航信号。大多数人知道这是免费的定位服务,却很少有人意识到:在同一组民用信号中,有一个被标准文档轻描淡写地标记为 "特殊消息" 的字段,实际上已经作为军事密码分发的 "数字电台" 运行了近二十年。

伦敦大学学院(UCL)安全研究团队在 2026 年发表的一项研究揭示了这一隐藏通道的完整面貌。通过分析 2007 年至 2026 年间超过 1200 万次观测数据,研究人员发现 GPS L1 C/A 信号的 Subframe 4 Page 17 字段并非如官方规范所述仅用于 "操作指挥部酌情决定的特定内容",而是美国军方 Over-the-Air Distribution(OTAD)网络的核心组成部分 —— 一个向全球广播加密密钥的公开信道。

信号结构中的加密通道

要理解这一发现的技术背景,需要先回顾 GPS 信号的基本架构。GPS 系统使用多种编码方案区分民用与军用服务:

C/A 码(Coarse/Acquisition Code) 是面向民用的公开信号,调制在 L1 频段(1575.42 MHz),码速率为 1.023 MHz。这是任何消费级 GPS 接收器都能解码的基础信号,提供米级定位精度。C/A 码完全公开,没有加密保护,因此容易受到信号欺骗攻击。

P 码(Precise Code) 是军用高精度信号,同样位于 L1 频段但码速率更高(10.23 MHz),提供分米级精度。P 码本身也是公开的,但 GPS 系统通过 Anti-Spoofing(A/S) 机制对其进行保护。

Y 码 是 P 码的加密形式,通过 W 码对 P 码进行加密生成。只有配备 SAASM(Secure Availability Anti-Spoofing Module)的授权军用接收器才能解密 Y 码信号。这是 GPS 系统的核心安全边界。

问题的关键在于:Y 码的解密密钥如何分发到全球部署的军用设备?传统方式需要物理接触 —— 技术人员必须携带密钥加载设备逐台更新接收器。这种后勤负担在战时或紧急情况下几乎不可承受。OTAD 系统正是为解决这一问题而设计,而研究人员发现,OTAD 的密钥分发正是通过民用 C/A 信号中那个 "特殊消息" 字段完成的。

十九年数据的密码学分析

UCL 团队构建了一套基于 Julia 的数据处理流水线,将全球地面站的原始比特流直接提取到 DuckDB 数据库中,实现了对 19 年历史数据的毫秒级查询能力。分析结果揭示了几个关键发现。

首先是熵分析。研究团队使用 8 阶 PPM-D(Prediction by Partial Matching - Deletion)压缩模型计算消息的边缘熵。结果显示,GPS 密文消息的熵值约为 6.0 bits/byte(平均每条消息 131.5 bits),与从 45 符号 GPS 字母表均匀随机生成的合成基线(6.0 bits/byte)几乎完全重合。从统计学角度,这些消息与真随机噪声无法区分 —— 这正是良好密文的特征。

但在高熵的海洋中,研究人员发现了结构性异常。某些消息包含完全相同的 9 字节序列,例如 LY47IRP16 在相隔九个月的两条消息中重复出现。这类重复子串很可能是加密协议头的泄露。虽然加密保护了消息内容,但协议元数据(如密钥标识符、版本号)的固定模式可能暴露在外,使得流量分析成为可能 —— 外部观察者可以通过这些指纹追踪密钥分发事件,而无需解密实际内容。

OTAD 部署的时间线证据

最具说服力的发现来自对消息轮换模式的时序分析。研究识别出三个明显的时代:

2007-2010 年(前 OTAD 时代):消息大约每 3.7 天轮换一次。这一周期与物理密钥分发的后勤节奏相符。

2011 年 5 月 26 日:所有 31 颗活跃卫星在数小时内同步切换到 0xAA 占位符(二进制 10101010,标准硬件测试模式)。随后,消息轮换速率加速至约 1.8 天。这一时间点与美国空军 OTAD 网络的作战部署完全吻合 —— 从每日战术密钥分发取代周期性物理更新。

2022 年 5 月:卫星群再次协调行动,将轮换速率减慢回 3.8 天,此后持续减速至 2026 年初的 6.8 天。这一变化没有官方公开说明,可能反映了密钥管理策略的调整或新加密体系结构的过渡。

2023 年 12 月:PRN 8 卫星开始发送新格式 —— 四字节明文前缀 TEXT 后跟 18 字节密文载荷。截至 2026 年初,这种格式已在多颗卫星上出现,其用途尚不明确。

工程实践与开源工具

对于希望独立验证或扩展这一研究的安全从业者,当前技术栈已足够成熟。软件定义无线电(SDR)接收器如 GNSS-SDR 可以直接捕获原始导航比特流,研究团队已将完整的 Julia 分析代码开源。

从工程角度看,这一案例提供了几个可落地的技术要点:

  1. 信号层威胁建模:即使加密内容无法破解,协议元数据的泄露(如固定头、消息时序、长度模式)仍可能暴露敏感操作信息。

  2. 流量分析防御:对于设计加密广播系统的工程师,应确保协议头、消息长度、发送时序等元数据同样具备不可区分性。

  3. 长期数据归档的价值:19 年的历史数据使得模式识别和异常检测成为可能,这是短期观测无法提供的视角。

局限与后续方向

需要明确的是,这项研究仅涉及流量分析层面 —— 研究人员能够识别何时分发密钥、观察协议结构异常,但无法解密实际密钥内容。Y 码的加密强度本身未被攻破。

另一个局限是军事系统的封闭性。OTAD 的具体加密算法、密钥派生机制、SAASM 模块的内部工作原理均未公开,所有推断都基于信号层的外部观测。

后续研究方向包括:扩展分析至其他 GNSS 系统(如伽利略、北斗)是否存在类似隐藏通道;开发针对协议头指纹的主动混淆技术;以及将流量分析方法应用于检测 GPS 欺骗攻击 —— 异常的密钥分发模式可能预示系统 compromise。

资料来源

  • Bentham's Gaze, "The Quiet Numbers Station: Decoding Nineteen Years of GPS Cryptography", University College London, 2026-06-02
  • Inside GNSS, "The Empty Field That Wasn't: GPS, OTAD and Two Decades of Encrypted Broadcasts", May/June 2026
  • GPS Civil Signal Monitoring Team, "GPS Services", Navipedia, ESA

security

内容声明:本文无广告投放、无付费植入。

如有事实性问题,欢迎发送勘误至 i@hotdrydog.com