針對LTE-Unlicensed與WiFi跨技術(shù)通信的攻擊

劉子威，林 峰,2*，任 奎

(1.浙江大學(xué) 網(wǎng)絡(luò)空間安全研究中心，浙江 杭州 310027;2.浙江省區(qū)塊鏈與網(wǎng)絡(luò)空間治理重點(diǎn)實(shí)驗(yàn)室，浙江 杭州 310027)

0 引言

在物聯(lián)網(wǎng)“萬物互聯(lián)”的情境下，大量不同的設(shè)備由于不同的需求，使用著不同的無線通信技術(shù)(如WiFi、藍(lán)牙及ZigBee等)，這些設(shè)備由于使用了同樣的頻段(如2.4 GHz的ISM頻段)，將會面臨不同技術(shù)間在同頻段下的共存問題，而由于不同技術(shù)的物理層、數(shù)據(jù)鏈路層等協(xié)議的標(biāo)準(zhǔn)不同，異質(zhì)設(shè)備之間無法直接進(jìn)行通信，亦使得這些無線技術(shù)原本使用的信道協(xié)調(diào)協(xié)議(如WiFi的RTS/CTS)在存在多種不同技術(shù)的情景下不適用[1]。

傳統(tǒng)的管理多種異質(zhì)設(shè)備的方式是使用集成了多種無線通信技術(shù)的網(wǎng)關(guān)作為中介。而最近興起的跨技術(shù)通信(Cross-technology Communication，CTC)技術(shù)避免了使用網(wǎng)關(guān)帶來的額外硬件和流量的開銷，在不進(jìn)行硬件修改的情況下讓使用不同無線技術(shù)的設(shè)備能夠直接進(jìn)行通信[1]。CTC能夠更好地協(xié)調(diào)異質(zhì)設(shè)備之間的信道使用，為解決異質(zhì)設(shè)備間的共存問題提供了新的方向[2-3]。此外，CTC實(shí)現(xiàn)的異質(zhì)設(shè)備之間的直接通信在物聯(lián)網(wǎng)情景下有著廣泛的應(yīng)用價(jià)值，例如在智能家居的場景下，CTC能夠幫助多種設(shè)備之間達(dá)成良好協(xié)作；在智慧醫(yī)療場景下，可以利用WiFi實(shí)時(shí)掌握病人的位置并利用CTC將位置信息分享給常見的基于藍(lán)牙的醫(yī)療設(shè)備[4]。

長期演進(jìn)技術(shù)(Long-Term Evolution，LTE)是目前全球范圍內(nèi)最成熟、最穩(wěn)定的移動通信網(wǎng)絡(luò)技術(shù)。目前部署的LTE的頻段主要為已授權(quán)的頻段，LTE-Unlicensed通過將LTE擴(kuò)展到非授權(quán)頻段(主要是5 GHz的ISM頻段)，從而擴(kuò)充網(wǎng)絡(luò)容量。使用非授權(quán)頻段的LTE核心技術(shù)包括LTE-U，LAA(Licensed Assisted Access)，eLAA(enhanced LAA)等，目前為止，已有3個(gè)國家/地區(qū)部署了LTE-U網(wǎng)絡(luò)，21個(gè)國家/地區(qū)的32家運(yùn)營商在LAA上進(jìn)行投資[5]。但由于目前廣泛使用的WiFi技術(shù)使用的也是非授權(quán)頻段(如使用5 GHz 頻段的802.11 a/n/ac)，因此LTE-Unlicensed對非授權(quán)頻段的使用需要解決與WiFi設(shè)備之間的共存問題[6-8]。幸而CTC的出現(xiàn)，使得該共存問題能夠通過LTE-Unlicensed基站與WiFi接入點(diǎn)(Access Point,AP)之間利用CTC進(jìn)行更好的信道協(xié)調(diào)來有效解決[3]。

而另一方面，由于LTE-Unlicensed與WiFi之間的CTC對其信道協(xié)調(diào)起著關(guān)鍵性的作用，因此若該CTC的安全性無法保證，將影響到通信雙方的正常協(xié)調(diào)，進(jìn)而對LTE-Unlicensed或WiFi本身的通信造成影響[9-11]。因此CTC系統(tǒng)的安全性顯得尤為重要，進(jìn)而產(chǎn)生了個(gè)問題：現(xiàn)有的LTE-Unlicensed與WiFi之間的CTC是否安全？

對此，本文深入研究了LTE-Unlicensed到WiFi之間的CTC，探索了實(shí)際干擾攻擊的可行性，并提出相應(yīng)的防御措施。

1 CTC介紹

CTC能夠讓使用不同無線通信技術(shù)的設(shè)備之間實(shí)現(xiàn)直接通信，通過對物理層信號的精心設(shè)計(jì)，它在這些擁有不兼容的物理層的異質(zhì)設(shè)備之間搭建起了溝通的橋梁。目前提出的CTC系統(tǒng)可大致分為三大類。

1.1 數(shù)據(jù)包級的CTC

數(shù)據(jù)包級的CTC通過利用無線數(shù)據(jù)包的能量特征，如長度、能量強(qiáng)度及傳輸時(shí)間等，搭建起正常通信之外的“隱通道”，讓異質(zhì)設(shè)備之間在物理層實(shí)現(xiàn)直接通信。如Esense[12]最早實(shí)現(xiàn)了從WiFi向ZigBee傳輸信息，它把WiFi數(shù)據(jù)包的長度與與字母集進(jìn)行配對，通過使用不同長度的數(shù)據(jù)包來表示不同的符號。相比之下，WiZig[13]用WiFi數(shù)據(jù)包的不同能量級別表示比特‘0’和‘1’，并且通過多次重復(fù)每個(gè)比特來降低傳輸?shù)恼`碼率。通過精巧的設(shè)計(jì)，數(shù)據(jù)包級的CTC對設(shè)備的正常通信影響非常小。但由于它的傳輸速率受數(shù)據(jù)包發(fā)送頻率以及數(shù)據(jù)包長度的限制，最終的傳輸速率非常低(通常低于1 kbit/s)[14-15]。

1.2 基于OFDM的CTC

最新的研究OfdmFi[16]提出了基于OFDM的CTC的概念，并實(shí)現(xiàn)了LTE-Unlicensed與WiFi之間的雙向CTC。基于OFDM的CTC有著類似于數(shù)據(jù)包級CTC搭建“隱通道”的思路，但卻以O(shè)FDM符號的長度為改變能量模式的基本時(shí)間單位，即通過改變?nèi)舾蓚€(gè)OFDM符號內(nèi)部分子載波的功率來完成CTC數(shù)據(jù)的編碼，有著相比數(shù)據(jù)包級CTC更高的波特率以及更高的比特率(可達(dá)84 kbit/s)。之后在DeepCTC[17]中，Zubow等將深度學(xué)習(xí)應(yīng)用于基于OFDM的CTC，以對CTC和正常通信進(jìn)行聯(lián)合優(yōu)化，從而更好地在CTC與正常通信之間進(jìn)行權(quán)衡。據(jù)我們所知，這些是目前僅有的基于OFDM的CTC的相關(guān)工作。基于OFDM的CTC相比其他大部分僅僅針對某一種設(shè)備(如藍(lán)牙、WiFi及ZigBee等)設(shè)計(jì)的CTC而言，適用性更廣，也是僅有的能實(shí)現(xiàn)LTE-Unlicensed與WiFi雙向CTC的方法。

1.3 基于物理層模擬的CTC

此類方法經(jīng)過精巧的設(shè)計(jì)，讓發(fā)送方能夠模擬出接收方所能解調(diào)的信號。如WEBee[18]在WiFi的物理層限制之下，利用精心構(gòu)造的數(shù)據(jù)包，讓該數(shù)據(jù)單元在經(jīng)過物理層之后，產(chǎn)生的WiFi信號中的一部分與ZigBee信號近似，從而可以被ZigBee設(shè)備直接解調(diào)；BlueBee[19]使用藍(lán)牙設(shè)備模擬ZigBee信號，LTE2B[20]使用LTE的用戶設(shè)備(User Equipment,UE)模擬出ZigBee/藍(lán)牙信號。基于物理模擬的CTC在速率有了極大地提升，往往能夠達(dá)到接收方原本所用的協(xié)議速率，但該類方法實(shí)現(xiàn)難度較大，需要占用設(shè)備正常流量，且目前僅能實(shí)現(xiàn)單向的CTC。

對于LTE-Unlicensed與WiFi之間的CTC而言，基于OFDM的CTC是其目前最新以及最佳的解決方案，一方面它能做到雙向通信，這一點(diǎn)對大部分的CTC而言難以完成，因?yàn)楫愘|(zhì)設(shè)備之間物理層差異極大，CTC的實(shí)現(xiàn)往往需要針對特定種類的設(shè)備進(jìn)行設(shè)計(jì)，如WEBee的方法無法反過來用于ZigBee到藍(lán)牙的CTC。另外基于OFDM的CTC有著相對較高的傳輸速率，以及對設(shè)備的正常通信影響較小。這些為LTE-Unlicensed與WiFi之間的同頻干擾問題提供了良好的解決條件。

2 CTC系統(tǒng)的軟硬件實(shí)現(xiàn)

為了驗(yàn)證基于OFDM的CTC系統(tǒng)的可行性，以及幫助分析其安全性，本文搭建了一個(gè)從LTE-Unlicensed到WiFi方向的基于OFDM的CTC系統(tǒng)。下面將詳細(xì)介紹基于OFDM的CTC原理以及具體實(shí)現(xiàn)。

2.1 基于OFDM的CTC的原理

一個(gè)OFDM系統(tǒng)把頻譜資源劃分為多個(gè)時(shí)頻資源塊，不同的OFDM系統(tǒng)劃分的粒度不同，每個(gè)資源塊上的調(diào)制方式也不同，這也是異質(zhì)設(shè)備無法直接進(jìn)行通信的原因。基于OFDM的CTC則是從OFDM系統(tǒng)時(shí)頻資源塊的功率入手[16]，如果OFDM系統(tǒng)具備對時(shí)頻資源塊的功率進(jìn)行修改與感知的功能，那么可以通過讓發(fā)送方修改部分時(shí)頻資源塊的功率，接收方感知改變了功率的視頻資源塊的位置來傳達(dá)不同的信息。

如圖1所示，考慮兩個(gè)OFDM系統(tǒng)A與B，圖中每個(gè)矩形對應(yīng)一個(gè)時(shí)頻資源塊， A與B的OFDM參數(shù)不同(如頻域上B一個(gè)子載波占據(jù)的帶寬是A的3倍)。系統(tǒng)A可以通過同時(shí)改變一個(gè)時(shí)間槽內(nèi)相鄰3個(gè)時(shí)頻資源塊的功率，而使得系統(tǒng)B利用一個(gè)子載波的相鄰3個(gè)時(shí)間槽檢測到這些位置上時(shí)頻資源塊的功率發(fā)生了改變。通過設(shè)置不同改變功率的位置，A與B能傳遞不同信息。此外,顯然A與B能同時(shí)感知到的最小的時(shí)頻資源(稱這些時(shí)頻資源為CTC的時(shí)頻資源單元)在時(shí)域、頻域上占據(jù)的范圍越小，通信速率就越高。

圖1 基于OFDM的跨技術(shù)功率調(diào)制Fig.1 OFDM-based cross-technology power modulation

2.2 CTC系統(tǒng)架構(gòu)

一個(gè)典型的LTE-Unlicensed到WiFi的CTC系統(tǒng)架構(gòu)如圖2所示。對于OFDM的發(fā)送方而言，會利用IFFT對多個(gè)子載波上的信號進(jìn)行頻域到時(shí)域的轉(zhuǎn)換，因此要想改變子載波的功率，需要在IFFT模塊之前完成。對于需要發(fā)送的CTC數(shù)據(jù)，首先利用預(yù)先定好的子載波與數(shù)據(jù)之間的映射關(guān)系把這些數(shù)據(jù)映射到對應(yīng)的子載波；然后當(dāng)高層協(xié)議的數(shù)據(jù)被處理完，再利用對子載波功率進(jìn)行改變的接口(功率控制模塊)，對數(shù)據(jù)進(jìn)行修改(圖2中的紅箭頭)，將對應(yīng)子載波的功率降低；處理完后的數(shù)據(jù)再進(jìn)行正常的IFFT以及一系列處理轉(zhuǎn)換成模擬信號經(jīng)過天線發(fā)出。

圖2 LTE-Unlicensed到WiFi的CTC系統(tǒng)Fig.2 CTC system from LTE-Unlicensed to WiFi

對于OFDM的接收方而言，收到的信號會經(jīng)過FFT模塊的處理，CTC系統(tǒng)通過讀取FFT的結(jié)果，能夠計(jì)算出每個(gè)子載波的功率，并將與其他在功率上的差異達(dá)到一定閾值的子載波作為被改變了功率的子載波(即因?yàn)榫幋aCTC的數(shù)據(jù)而被改變了功率)，最后通過預(yù)先編碼的子載波與數(shù)據(jù)的映射關(guān)系，提取出CTC的數(shù)據(jù)。

接下來詳細(xì)介紹該CTC系統(tǒng)發(fā)送方和接收方在實(shí)際設(shè)備上的具體實(shí)現(xiàn)。

2.3 CTC的發(fā)送端(LTE-Unlicensed節(jié)點(diǎn))

LTE以資源塊為資源調(diào)度的基本單位，一個(gè)資源塊有12個(gè)子載波，占據(jù)的帶寬為180 kHz，由于WiFi一個(gè)子載波帶寬有312.5 kHz，因而至少需要使用兩個(gè)資源塊作為一個(gè)基本的時(shí)頻資源塊，本文使用4個(gè)LTE-Unlicensed資源塊作為一個(gè)基本的時(shí)頻資源塊，以提高CTC的穩(wěn)定性。本工作LTE-Unlicensed的實(shí)現(xiàn)基于開源的LTE協(xié)議棧實(shí)現(xiàn)：srslte[21]。在執(zhí)行IFFT之前，通過將每個(gè)資源塊對應(yīng)的值乘以一個(gè)系數(shù)α(α∈[0,1])，可實(shí)現(xiàn)對該資源塊功率的改變。為了得到更好的CTC效果，將α設(shè)為0，以使被降低了功率的資源塊更明顯。

在頻域上，20 MHz帶寬的LTE有100個(gè)資源塊，從中選取相鄰的32個(gè)資源塊用于CTC，其中每4個(gè)資源塊組成一個(gè)基本的CTC時(shí)頻單元，每次只對一個(gè)時(shí)頻單元的功率進(jìn)行修改。從時(shí)域上來看，CTC發(fā)送端使用的時(shí)頻資源塊最小單位為500 μs，本文將LTE的4個(gè)資源塊以及500 μs的時(shí)頻資源稱為一個(gè)CTC的時(shí)頻資源單元。

圖3展示了采集到的未經(jīng)CTC編碼的20 MHz帶寬LTE-Unlicensed信號的實(shí)時(shí)功率譜，圖4為改變了4個(gè)資源塊功率的20 MHz帶寬的LTE-Unlicensed信號的實(shí)時(shí)功率譜，LTE-Unlicensed信號中心頻率設(shè)置為5 240 MHz，其中橫坐標(biāo)表示與LTE-Unlicensed信號的中心頻率相對值，負(fù)數(shù)頻率表示低于中心頻率的值。

圖3 LTE-Unlicensed信號的功率譜Fig.3 Power spectrum of LTE-Unlicensed signal

由圖4可以看出，在頻域上的-10.5～-5.0 MHz之間有個(gè)明顯的功率低谷，該低谷正是由于降低了4個(gè)LTE-Unlicensed資源塊的功率而產(chǎn)生的，通過改變該低谷的位置，發(fā)送方能夠表示不同的數(shù)據(jù)。為了便于接收方解碼數(shù)據(jù)，本文用特殊的1 ms LTE數(shù)據(jù)幀作為CTC數(shù)據(jù)包的前導(dǎo)碼，不同于CTC數(shù)據(jù)，它們有著多個(gè)功率低谷以便于識別。

圖4 經(jīng)過CTC調(diào)制的LTE-Unlicensed信號功率譜Fig.4 Power spectrum of LTE-Unlicensed signal modulated by CTC

2.4 CTC的接收端(WiFi設(shè)備)

接收端要想解調(diào)CTC數(shù)據(jù)，關(guān)鍵在于借助FFT模塊。Atheros的AR92xx和AR93xx系列芯片能夠在軟件控制的條件下報(bào)告基帶的FFT數(shù)據(jù)。我們使用了兩臺刷入openwrt固件[22]后具備報(bào)告FFT數(shù)據(jù)功能的路由器。在其開始掃描之后，可以利用debugfs文件系統(tǒng)獲取tlv格式的FFT結(jié)果，從而計(jì)算出每個(gè)子載波的功率，進(jìn)而根據(jù)子載波與數(shù)據(jù)的映射解調(diào)出數(shù)據(jù)。

以ath10k獲取到的64-point的FFT為例，圖5(a)顯示了利用WiFi設(shè)備的頻譜掃描功能對沒有經(jīng)過CTC調(diào)制的LTE-Unlicensed信號連續(xù)獲取了255個(gè)FFT樣本后得到的結(jié)果。圖的橫軸代表頻域，縱坐標(biāo)為每個(gè)FFT bin的功率大小，每個(gè)藍(lán)色像素點(diǎn)表示某次FFT樣本中該FFT bin的功率大小。圖5(b)顯示了WiFi的頻譜掃描功能對經(jīng)過了固定子載波的(即只降低了固定的4個(gè)資源塊)CTC功率調(diào)制后的LTE- Unlicensed信號的感知結(jié)果。圈出的明顯缺口即WiFi的兩個(gè)子載波對于降低了功率的4個(gè)LTE-Unlicensed資源塊的感知，可見WiFi設(shè)備利用64-point的FFT，對編碼了CTC數(shù)據(jù)的信號有足夠的接收能力。

(a) 未經(jīng)過CTC調(diào)制

3 威脅模型

針對該LTE-Unlicensed到WiFi的CTC，發(fā)現(xiàn)使用廉價(jià)的商用設(shè)備即可很好地對其產(chǎn)生持續(xù)干擾，而且由于CTC的特殊性，還能夠?qū)ζ湓斐呻[蔽的反應(yīng)型干擾。考慮如圖6所示的威脅模型，一個(gè)LTE-Unlicensed節(jié)點(diǎn)正利用基于OFDM的CTC向一個(gè)WiFi的AP(如路由器)發(fā)送數(shù)據(jù)，一臺惡意路由器通過發(fā)射WiFi信號對該通信進(jìn)行干擾，從而導(dǎo)致CTC通信質(zhì)量大幅下降甚至中斷。攻擊設(shè)備干擾的方式包括持續(xù)性干擾和反應(yīng)型干擾。對于持續(xù)性干擾而言，惡意路由器主動不斷地發(fā)送WiFi信號；對于反應(yīng)型干擾而言，惡意路由器會先檢測是否有CTC信號出現(xiàn)，當(dāng)發(fā)現(xiàn)了CTC信號之后才會注入干擾信號。

圖6 利用WiFi設(shè)備進(jìn)行信號干擾Fig.6 Using WiFi equipment for jamming

本文提出的干擾攻擊基于以下假設(shè)：

① CTC通信雙方在同一非授權(quán)頻段工作，使用20 MHz的帶寬。攻擊者已知CTC所使用的頻段，在實(shí)際情況下，即使攻擊者未能事先知道該信息，也可通過逐頻段掃描的方式來找到。

② LTE-Unlicensed節(jié)點(diǎn)沒有執(zhí)行LBT(Listen Before Talk)機(jī)制(即遵循LTE-U標(biāo)準(zhǔn)，實(shí)際上若有LBT機(jī)制存在，干擾效果會更好，因?yàn)楦蓴_者能夠觸發(fā)LBT的回退機(jī)制，阻礙LTE-Unlicensed信號的發(fā)送)。

4 無線干擾

無線干擾可以分為兩類：主動式干擾和反應(yīng)型干擾。主動式干擾在信道上持續(xù)發(fā)送隨機(jī)比特或電磁信號，達(dá)到干擾正常通信的效果。反應(yīng)型干擾僅僅在檢測到目標(biāo)信號之后才會發(fā)送一段干擾信號，是更低功耗的干擾策略。反應(yīng)型干擾往往很難被檢測，因?yàn)閷τ诠舻哪繕?biāo)而言，它不會產(chǎn)生額外的流量。

目前對于各種常見的無線通信技術(shù)的智能干擾已經(jīng)有許多相關(guān)研究[9-11]，但一方面這些干擾往往以降低數(shù)據(jù)包的接收率為目標(biāo)，例如針對LTE的參考信號進(jìn)行針對性的干擾，以實(shí)現(xiàn)低功耗的高效干擾[9]。而由于基于數(shù)據(jù)包和基于OFDM的CTC利用完全不同的調(diào)制方式，原有技術(shù)的數(shù)據(jù)包誤碼率對其沒有直接影響，因而傳統(tǒng)的智能高效的干擾方式無法對CTC進(jìn)行有效的干擾。另一方面，考慮到CTC建立在原有通信的基礎(chǔ)上及其用途(如用于信道協(xié)調(diào))，CTC的發(fā)生頻率并不會非常高，因而反應(yīng)型干擾(即攻擊設(shè)備只在檢測到CTC信號出現(xiàn)時(shí)才發(fā)射干擾信號)將是對CTC進(jìn)行高效干擾的良好策略。但由于CTC利用了全新的調(diào)制方式，傳統(tǒng)的反應(yīng)型干擾往往無法有效地對CTC信號進(jìn)行識別。針對CTC的干擾而言，目前僅有JamCloak[23]使用昂貴的USRP設(shè)備對當(dāng)時(shí)大部分?jǐn)?shù)據(jù)包級的CTC實(shí)現(xiàn)了反應(yīng)型干擾。相比之下，由于非物理層模擬的CTC波特率較低，使用廉價(jià)的WiFi設(shè)備(一臺路由器)即可完成反應(yīng)型干擾。(對于基于物理層模擬的CTC而言，對它的干擾即可視為針對正常通信信號的干擾，針對這些，現(xiàn)有的干擾方案已經(jīng)足以完成，如文獻(xiàn)[10]中對WiFi的反應(yīng)型干擾)。

使用路由器作為攻擊設(shè)備有以下3個(gè)優(yōu)點(diǎn)：① 該設(shè)備廉價(jià)而常見，攻擊成本低且不易被察覺；② 攻擊設(shè)備發(fā)出的為正常的WiFi信號，具有極佳的偽裝效果，從而增加被檢測到的難度；③ 利用WiFi信號能夠?qū)TE-Unlicensed到WiFi的CTC造成額外的干擾效果。該CTC依賴接收端獲取FFT結(jié)果的能力來完成CTC數(shù)據(jù)的解調(diào)，而WiFi設(shè)備作為接收端時(shí)，其FFT數(shù)據(jù)的匯報(bào)能力取決于本身芯片所處的狀態(tài)：當(dāng)不在發(fā)送(TX)狀態(tài)或接收(RX)狀態(tài)時(shí)芯片才會匯報(bào)FFT數(shù)據(jù)。這一特性本身有其優(yōu)勢所在：它使得CTC的實(shí)現(xiàn)不會影響到接收端WiFi設(shè)備的正常通信，且在進(jìn)行CTC時(shí)，由于其他WiFi設(shè)備使用了帶有沖突避免的載波偵聽多路訪問(Carrier Sense Multiple Access with Collision Avoidance,CSMA/CA)機(jī)制，當(dāng)LTE-Unlicensed信號的強(qiáng)度足夠觸發(fā)其他WiFi設(shè)備的“回退”時(shí)，也不會對該CTC產(chǎn)生影響。但是該FFT數(shù)據(jù)匯報(bào)的特性卻可被攻擊者利用，通過注入WiFi信號，可以促使CTC接收端解調(diào)攻擊者注入的WiFi信號，從而使其無法匯報(bào)FFT數(shù)據(jù)，進(jìn)而阻礙CTC的正常通信。

本文利用路由器實(shí)現(xiàn)了持續(xù)性干擾和反應(yīng)型干擾兩種攻擊方式：

(1) 持續(xù)性干擾

利用路由器，可以通過其監(jiān)視(monitor)接口持續(xù)注入數(shù)據(jù)包，使其不斷產(chǎn)生WiFi信號。一方面，干擾信號的注入能夠降低CTC通信的信號與干擾加噪聲比(Signal to Interference Plus Noise Ratio,SINR)；另一方面，該信號將使得CTC的WiFi接收端處在接收狀態(tài)，以阻止其解調(diào)CTC數(shù)據(jù)，從而干擾正常的CTC通信。為了避免LTE-Unlicensed信號觸發(fā)攻擊者路由器的CSMA/CS機(jī)制，需要將攻擊者路由器的載波監(jiān)聽關(guān)閉。

(2) 反應(yīng)型干擾

持續(xù)性干擾的方式將產(chǎn)生大量WiFi信號，持續(xù)占用信道，消耗的能量大，也更易被發(fā)現(xiàn)異常。相比之下，反應(yīng)型干擾只在檢測到基于OFDM的CTC流量出現(xiàn)時(shí)才進(jìn)行干擾，不會產(chǎn)生額外的流量與信道占用，更為隱蔽和高效。僅僅使用一臺具備FFT數(shù)據(jù)匯報(bào)功能的路由器，便可對該基于OFDM的CTC進(jìn)行有效的反應(yīng)型干擾。反應(yīng)型干擾的實(shí)現(xiàn)如圖7所示，主要由CTC信號檢測以及WiFi數(shù)據(jù)包注入兩部分組成。數(shù)據(jù)包注入部分與持續(xù)性干擾相同，使用系統(tǒng)提供的monitor接口即可。而對于更為關(guān)鍵的CTC信號檢測，可以通過采樣路由器匯報(bào)的FFT數(shù)據(jù)，從而獲取收到的信號功率譜分布。由于正常的LTE-Unlicensed信號功率譜是接近均勻分布的，因而若發(fā)現(xiàn)存在“凹槽”的功率譜，可判斷認(rèn)為有CTC流量出現(xiàn)，則立即通過monitor接口注入WiFi數(shù)據(jù)包，從而實(shí)現(xiàn)干擾。由于LTE-Unlicensed到WiFi的基于OFDM的CTC以500 μs為一個(gè)CTC時(shí)頻資源單元的時(shí)長，因此注入的數(shù)據(jù)包長度至少應(yīng)為1 ms。由于該CTC的波特率較低，對于攻擊者來說，檢測信號和發(fā)送干擾信號所需要的時(shí)延較為充裕，本文提出的反應(yīng)型干擾可以直接在系統(tǒng)的應(yīng)用層進(jìn)行實(shí)現(xiàn)，從而進(jìn)一步降低攻擊門檻。

圖7 反應(yīng)型干擾的實(shí)現(xiàn)Fig.7 Implementation of reactive jamming

5 實(shí)驗(yàn)結(jié)果

5.1 評估指標(biāo)

包傳輸率(Packet Delivery Ratio,PDR)接收方成功解調(diào)CTC數(shù)據(jù)包的數(shù)量與發(fā)送方所發(fā)送的數(shù)據(jù)包的數(shù)量之比。

干擾與信號比干擾信號強(qiáng)度與CTC發(fā)送端(LTE-Unlicensed)發(fā)出的信號強(qiáng)度之比。

載荷長度CTC數(shù)據(jù)包所攜帶的CTC符號數(shù)量(不包括前導(dǎo)碼)。由于一個(gè)CTC時(shí)頻資源單元在時(shí)域上占據(jù)500 μs，因此一個(gè)單位的載荷意味著500 μs時(shí)長的信號。

5.2 LTE-Unlicensed到WiFi的CTC

利用一臺USRP B210作為LTE-Unlicensed節(jié)點(diǎn)，考慮到不同驅(qū)動能夠匯報(bào)的FFT參數(shù)不同，利用兩臺不同驅(qū)動的已刷入固件的路由器(WNDR4300 v1和Mercury MAC1200R v1.0)作為CTC的WiFi節(jié)點(diǎn)，實(shí)現(xiàn)了LTE-Unlicensed到WiFi的CTC系統(tǒng)，其中兩臺路由器所使用的驅(qū)動分別為ath9k和ath10k，ath10k支持匯報(bào)64-point和256-point的FFT數(shù)據(jù)，而ath9k僅支持匯報(bào)56-point的FFT數(shù)據(jù)。

固定CTC數(shù)據(jù)包的長度為4 ms(載荷長度為6)，即共有8個(gè)CTC符號，其中2個(gè)符號為前導(dǎo)碼，并將LTE-Unlicensed節(jié)點(diǎn)和WiFi設(shè)備均配置為在同一20 MHz帶寬的頻段工作。通過改變發(fā)送方的信號增益，能夠改變發(fā)送方的功率，結(jié)果如圖8所示。隨著發(fā)送方功率的增大，CTC的包傳輸率逐漸上升，最高可達(dá)92.6%。其中利用256-point的FFT數(shù)據(jù)能夠得到最佳的CTC通信效果，主要原因在于更細(xì)粒度的FFT結(jié)果意味著頻域上的分辨率更高，這使得CTC的解碼更為精確。

圖8 發(fā)送方的不同增益下CTC解調(diào)成功率Fig.8 PDR of CTC demodulation under different gains of the sender

5.3 干擾攻擊的效果

5.3.1 實(shí)驗(yàn)設(shè)置

本文使用路由器(WNDR4300v1)作為攻擊設(shè)備，CTC的通信建立在USRP B210到路由器(Mercury MAC1200R)之間。實(shí)驗(yàn)場景如圖9所示。

圖9 攻擊場景Fig.9 Attack scenario

5.3.2 持續(xù)性干擾

在禁用WNDR4300v1路由器的載波監(jiān)聽之后，通過mac80211子系統(tǒng)能夠持續(xù)注入數(shù)據(jù)包。為了便于測試不同干擾信號與原始信號之比(Jamming-to-Signal ratio,J/S)下的干擾效果，在實(shí)驗(yàn)中固定了攻擊設(shè)備的發(fā)送功率，通過改變CTC通信時(shí)所用的功率來實(shí)現(xiàn)不同的J/S，測試結(jié)果如圖10所示。可見即使在J/S為-3 dB時(shí)，也可取得較好的干擾效果；但當(dāng)J/S為-15 dB時(shí)，干擾幾乎不起作用。

圖10 持續(xù)性干擾對CTC的影響Fig.10 Effect of constant jamming on CTC

接下來進(jìn)一步分析干擾成功的原因，圖11中呈現(xiàn)出1 s內(nèi)CTC接收方所獲取到的FFT樣本數(shù)，當(dāng)J/S較高時(shí)(3～9 dB)，由于攻擊者使用的干擾信號為WiFi信號，能夠使得CTC接收方進(jìn)入RX狀態(tài)，使其能夠獲取的FFT樣本數(shù)量大幅減少，導(dǎo)致CTC無法進(jìn)行。CTC時(shí)頻資源單元時(shí)域上為500 μs，因此即使在最理想狀態(tài)下，也需要1 s / 500 μs = 2 000個(gè)樣本才有解調(diào)CTC信號的可能性，因此當(dāng)攻擊者使用較強(qiáng)的干擾信號時(shí)，被攻擊的路由器將完全失去解調(diào)CTC信號的能力。當(dāng)J/S較低時(shí)(如-6～3 dB)，攻擊者發(fā)送的WiFi信號強(qiáng)度較弱，無法觸發(fā)CTC接收方的RX狀態(tài)，但其對CTC信號的影響依然足以干擾CTC的正常通信。因此即使該基于OFDM的CTC得到改進(jìn)，能夠在更低的SINR下達(dá)到較好的通信效果，由于WiFi接收端匯報(bào)FFT數(shù)據(jù)的限制，依然能夠利用路由器作為攻擊設(shè)備，在J/S相對高一些時(shí)實(shí)現(xiàn)信號干擾。

圖11 持續(xù)性干擾對FFT樣本獲取的影響Fig.11 Effect of constant jamming on FFT acquisition

5.3.3 反應(yīng)型干擾

在WNDR4300v1路由器上，實(shí)現(xiàn)了反應(yīng)型干擾。以效果更好的基于ath10k驅(qū)動的使用256-point FFT的CTC為例，將其作為干擾目標(biāo)，固定其發(fā)送端的發(fā)送功率，將攻擊設(shè)備(一臺路由器)放置在CTC系統(tǒng)附近，以使攻擊設(shè)備能夠檢測到CTC信號，同時(shí)攻擊設(shè)備發(fā)出的干擾信號強(qiáng)度足夠?qū)TC通信進(jìn)行干擾。對于反應(yīng)型干擾而言，在檢測到需要干擾的信號之后，成功干擾的關(guān)鍵因素在于從檢測信號到發(fā)射干擾信號所需的時(shí)間，因此目標(biāo)信號本身的長度影響著反應(yīng)型干擾的效果。我們測試了在CTC幀長不同的情況下，實(shí)現(xiàn)反應(yīng)型干擾的效果，結(jié)果如圖12所示。其中橫坐標(biāo)為一個(gè)CTC幀的載荷長度，一單位的長度代表500 μs的幀長。當(dāng)載荷長度至少為6，即CTC幀的長度(包括前導(dǎo)碼)為4 ms時(shí)，反應(yīng)型干擾能夠很好地起作用，CTC的PDR下降可達(dá)73.4%。

圖12 反應(yīng)型干擾對CTC的影響Fig.12 Effect of reactive jamming on CTC

圖13展示了反應(yīng)型干擾對CTC速率的影響，固定每個(gè)CTC幀的間隔為100 ms，且使LTE-Unlicensed信號不斷發(fā)送，測試了不同幀長下的傳輸速率。在未受干擾時(shí)，隨著幀長的增加，CTC 的速率不斷上升，但由于越長的幀，越容易受到干擾，因而受到反應(yīng)型干擾時(shí)，CTC的傳輸速率在100 ms的幀間距下將低于100 bit/s。

反應(yīng)型干擾未能完全阻止CTC通信的部分原因在于本文攻擊的實(shí)現(xiàn)是在用戶空間完成的，F(xiàn)FT數(shù)據(jù)需要先從內(nèi)核傳輸?shù)接脩艨臻g，造成額外的時(shí)延，而且FFT數(shù)據(jù)獲取時(shí)本身時(shí)延有較大不確定性，這些給反應(yīng)型干擾帶來了較大挑戰(zhàn)。此外攻擊設(shè)備的驅(qū)動基于ath9k，只能匯報(bào)56-point的FFT數(shù)據(jù)，本身在檢測CTC信號的能力上相比256-point的FFT數(shù)據(jù)更弱。使用更高性能，具備256-point的FFT數(shù)據(jù)匯報(bào)功能的路由器能使反應(yīng)型干擾更為有效。

圖13 反應(yīng)型干擾對傳輸速率的影響Fig.13 Effect of reactive jamming on transmission rate

5.3.4 干擾增益

干擾增益的定義為“在達(dá)到相同的干擾效果時(shí)，持續(xù)性干擾與所考慮的干擾產(chǎn)生信號的時(shí)間之比”[24]，即若Tc為持續(xù)性干擾所發(fā)射信號的總時(shí)間，Tr為反應(yīng)型干擾發(fā)射信號的時(shí)間，則干擾增益為10lg(Tc/Tr)。固定CTC幀間距為100 ms，圖14顯示了不同長度的CTC數(shù)據(jù)幀下的干擾增益，隨著載荷長度的增加，干擾增益逐漸提高。所有載荷長度下的平均增益可達(dá)17.26 dB，由此可見反應(yīng)型干擾相比持續(xù)性干擾的巨大優(yōu)勢。若提高CTC數(shù)據(jù)幀之間的間隔，干擾增益還能得到更大的提升。

圖14 不同載荷長度時(shí)的干擾增益Fig.14 Jamming gain of different payload length

6 防御措施

利用商用WiFi設(shè)備對CTC進(jìn)行干擾，尤其是反應(yīng)型干擾，給CTC帶來了極大的威脅。要應(yīng)對這種攻擊方式，從干擾的檢測和抗干擾措施兩方面進(jìn)行討論。

6.1 干擾檢測

對于干擾的檢測可分為物理層和介質(zhì)訪問控制(Medium Access Control，MAC)層兩類方法[24]。由于針對基于OFDM的CTC的干擾屬于物理層的干擾，因而這里主要討論基于物理層的干擾檢測方法。對于持續(xù)性干擾的檢測可以利用檢測載波監(jiān)聽的時(shí)間來完成[25]，即正常情況下載波監(jiān)聽的時(shí)間分布是已知的，當(dāng)出現(xiàn)干擾時(shí)，該分布會發(fā)生改變，從而實(shí)現(xiàn)對干擾的檢測，但該方式對于反應(yīng)型干擾無效。對于更難檢測的反應(yīng)型干擾，可以利用一致性檢測[24]的方式，如檢測系統(tǒng)同時(shí)測量PDR和接收信號的強(qiáng)度(Received Signal Strength,RSS)，當(dāng)出現(xiàn)低的PDR卻有著高的RSS時(shí)，很可能節(jié)點(diǎn)已經(jīng)被干擾了。

6.2 抗干擾措施

要對抗干擾攻擊，一個(gè)簡單直接的方式便是提高發(fā)送方的功率，從而提高接收方的SINR，該方式對于有CSMA/CA機(jī)制的發(fā)送方而言可能無效，因?yàn)楦蓴_信號有可能直接抑制發(fā)送方信號的發(fā)送，但對于不使用CSMA/CA的LTE-U節(jié)點(diǎn)來說，該方法不失為抗干擾的良策。此外，還可以使用跳頻的方式來避開被干擾的信道，尤其在5 GHz的ISM頻段，有23個(gè)不重疊的信道，跳頻的選擇空間很大，CTC通信雙方還可利用預(yù)共享的密鑰來防止攻擊者預(yù)測到跳頻的模式。

7 結(jié)束語

基于OFDM的CTC其實(shí)能夠?qū)崿F(xiàn)雙向的通信，本文主要針對其從LTE-Unlicensed到WiFi方向的CTC進(jìn)行了干擾。而對于從WiFi到LTE-Unlicensed方向的CTC，其發(fā)出的信號依然是合法的WiFi數(shù)據(jù)包。另外WiFi設(shè)備由于CSMA/CA機(jī)制的存在，在發(fā)送數(shù)據(jù)之前需要判斷信道是否空閑，因此可以通過發(fā)射干擾信號觸發(fā)WiFi設(shè)備的回退(Backoff)，從而阻止其傳輸數(shù)據(jù)包。Vanhoef[10]等人提出的通過修改固件的方法，已經(jīng)可以利用商用USB無線網(wǎng)卡對WiFi設(shè)備實(shí)現(xiàn)信號干擾。類似的，使用路由器作為干擾信號發(fā)射源，同樣可以通過觸發(fā)CTC發(fā)送方的Backoff方式阻礙其進(jìn)行CTC通信。相比之下，LTE-Unlicensed的某些版本(如LTE-U)并沒有使用CSMA/CA的機(jī)制，該方法無法通過觸發(fā)backoff的方式阻礙LTE-U節(jié)點(diǎn)發(fā)送信號。因此本文重點(diǎn)關(guān)注的是LTE-Unlicensed到WiFi這個(gè)方向的CTC。

目前絕大部分CTC的相關(guān)工作集中于CTC實(shí)現(xiàn)，而缺少對其安全性的考慮。對于極具代表性與發(fā)展?jié)摿Φ幕贠FDM的CTC，本文首次針對其安全性進(jìn)行了分析。本文利用軟件無線電設(shè)備和多臺商用WiFi路由器實(shí)現(xiàn)了基于OFDM的CTC，并首次提出可以使用商用WiFi設(shè)備對CTC進(jìn)行干擾。利用廉價(jià)的路由器設(shè)備實(shí)現(xiàn)了對CTC的持續(xù)性和反應(yīng)型干擾兩種干擾方式。在實(shí)際場景中的實(shí)驗(yàn)顯示能夠?qū)贠FDM的CTC進(jìn)行有效的干擾，其中反應(yīng)型干擾能夠顯著降低CTC 73.4%的PDR。