劉子威，林 峰,2*，任 奎

(1.浙江大學 網(wǎng)絡空間安全研究中心，浙江 杭州 310027;2.浙江省區(qū)塊鏈與網(wǎng)絡空間治理重點實驗室，浙江 杭州 310027)

0 引言

在物聯(lián)網(wǎng)“萬物互聯(lián)”的情境下，大量不同的設備由于不同的需求，使用著不同的無線通信技術(shù)(如WiFi、藍牙及ZigBee等)，這些設備由于使用了同樣的頻段(如2.4 GHz的ISM頻段)，將會面臨不同技術(shù)間在同頻段下的共存問題，而由于不同技術(shù)的物理層、數(shù)據(jù)鏈路層等協(xié)議的標準不同，異質(zhì)設備之間無法直接進行通信，亦使得這些無線技術(shù)原本使用的信道協(xié)調(diào)協(xié)議(如WiFi的RTS/CTS)在存在多種不同技術(shù)的情景下不適用[1]。

傳統(tǒng)的管理多種異質(zhì)設備的方式是使用集成了多種無線通信技術(shù)的網(wǎng)關作為中介。而最近興起的跨技術(shù)通信(Cross-technology Communication，CTC)技術(shù)避免了使用網(wǎng)關帶來的額外硬件和流量的開銷，在不進行硬件修改的情況下讓使用不同無線技術(shù)的設備能夠直接進行通信[1]。CTC能夠更好地協(xié)調(diào)異質(zhì)設備之間的信道使用，為解決異質(zhì)設備間的共存問題提供了新的方向[2-3]。此外，CTC實現(xiàn)的異質(zhì)設備之間的直接通信在物聯(lián)網(wǎng)情景下有著廣泛的應用價值，例如在智能家居的場景下，CTC能夠幫助多種設備之間達成良好協(xié)作；在智慧醫(yī)療場景下，可以利用WiFi實時掌握病人的位置并利用CTC將位置信息分享給常見的基于藍牙的醫(yī)療設備[4]。

長期演進技術(shù)(Long-Term Evolution，LTE)是目前全球范圍內(nèi)最成熟、最穩(wěn)定的移動通信網(wǎng)絡技術(shù)。目前部署的LTE的頻段主要為已授權(quán)的頻段，LTE-Unlicensed通過將LTE擴展到非授權(quán)頻段(主要是5 GHz的ISM頻段)，從而擴充網(wǎng)絡容量。使用非授權(quán)頻段的LTE核心技術(shù)包括LTE-U，LAA(Licensed Assisted Access)，eLAA(enhanced LAA)等，目前為止，已有3個國家/地區(qū)部署了LTE-U網(wǎng)絡，21個國家/地區(qū)的32家運營商在LAA上進行投資[5]。但由于目前廣泛使用的WiFi技術(shù)使用的也是非授權(quán)頻段(如使用5 GHz 頻段的802.11 a/n/ac)，因此LTE-Unlicensed對非授權(quán)頻段的使用需要解決與WiFi設備之間的共存問題[6-8]。幸而CTC的出現(xiàn)，使得該共存問題能夠通過LTE-Unlicensed基站與WiFi接入點(Access Point,AP)之間利用CTC進行更好的信道協(xié)調(diào)來有效解決[3]。

而另一方面，由于LTE-Unlicensed與WiFi之間的CTC對其信道協(xié)調(diào)起著關鍵性的作用，因此若該CTC的安全性無法保證，將影響到通信雙方的正常協(xié)調(diào)，進而對LTE-Unlicensed或WiFi本身的通信造成影響[9-11]。因此CTC系統(tǒng)的安全性顯得尤為重要，進而產(chǎn)生了個問題：現(xiàn)有的LTE-Unlicensed與WiFi之間的CTC是否安全？

對此，本文深入研究了LTE-Unlicensed到WiFi之間的CTC，探索了實際干擾攻擊的可行性，并提出相應的防御措施。

1 CTC介紹

CTC能夠讓使用不同無線通信技術(shù)的設備之間實現(xiàn)直接通信，通過對物理層信號的精心設計，它在這些擁有不兼容的物理層的異質(zhì)設備之間搭建起了溝通的橋梁。目前提出的CTC系統(tǒng)可大致分為三大類。

1.1 數(shù)據(jù)包級的CTC

數(shù)據(jù)包級的CTC通過利用無線數(shù)據(jù)包的能量特征，如長度、能量強度及傳輸時間等，搭建起正常通信之外的“隱通道”，讓異質(zhì)設備之間在物理層實現(xiàn)直接通信。如Esense[12]最早實現(xiàn)了從WiFi向ZigBee傳輸信息，它把WiFi數(shù)據(jù)包的長度與與字母集進行配對，通過使用不同長度的數(shù)據(jù)包來表示不同的符號。相比之下，WiZig[13]用WiFi數(shù)據(jù)包的不同能量級別表示比特‘0’和‘1’，并且通過多次重復每個比特來降低傳輸?shù)恼`碼率。通過精巧的設計，數(shù)據(jù)包級的CTC對設備的正常通信影響非常小。但由于它的傳輸速率受數(shù)據(jù)包發(fā)送頻率以及數(shù)據(jù)包長度的限制，最終的傳輸速率非常低(通常低于1 kbit/s)[14-15]。

1.2 基于OFDM的CTC

最新的研究OfdmFi[16]提出了基于OFDM的CTC的概念，并實現(xiàn)了LTE-Unlicensed與WiFi之間的雙向CTC。基于OFDM的CTC有著類似于數(shù)據(jù)包級CTC搭建“隱通道”的思路，但卻以OFDM符號的長度為改變能量模式的基本時間單位，即通過改變?nèi)舾蓚€OFDM符號內(nèi)部分子載波的功率來完成CTC數(shù)據(jù)的編碼，有著相比數(shù)據(jù)包級CTC更高的波特率以及更高的比特率(可達84 kbit/s)。之后在DeepCTC[17]中，Zubow等將深度學習應用于基于OFDM的CTC，以對CTC和正常通信進行聯(lián)合優(yōu)化，從而更好地在CTC與正常通信之間進行權(quán)衡。據(jù)我們所知，這些是目前僅有的基于OFDM的CTC的相關工作?；贠FDM的CTC相比其他大部分僅僅針對某一種設備(如藍牙、WiFi及ZigBee等)設計的CTC而言，適用性更廣，也是僅有的能實現(xiàn)LTE-Unlicensed與WiFi雙向CTC的方法。

1.3 基于物理層模擬的CTC

此類方法經(jīng)過精巧的設計，讓發(fā)送方能夠模擬出接收方所能解調(diào)的信號。如WEBee[18]在WiFi的物理層限制之下，利用精心構(gòu)造的數(shù)據(jù)包，讓該數(shù)據(jù)單元在經(jīng)過物理層之后，產(chǎn)生的WiFi信號中的一部分與ZigBee信號近似，從而可以被ZigBee設備直接解調(diào)；BlueBee[19]使用藍牙設備模擬ZigBee信號，LTE2B[20]使用LTE的用戶設備(User Equipment,UE)模擬出ZigBee/藍牙信號?；谖锢砟M的CTC在速率有了極大地提升，往往能夠達到接收方原本所用的協(xié)議速率，但該類方法實現(xiàn)難度較大，需要占用設備正常流量，且目前僅能實現(xiàn)單向的CTC。

對于LTE-Unlicensed與WiFi之間的CTC而言，基于OFDM的CTC是其目前最新以及最佳的解決方案，一方面它能做到雙向通信，這一點對大部分的CTC而言難以完成，因為異質(zhì)設備之間物理層差異極大，CTC的實現(xiàn)往往需要針對特定種類的設備進行設計，如WEBee的方法無法反過來用于ZigBee到藍牙的CTC。另外基于OFDM的CTC有著相對較高的傳輸速率，以及對設備的正常通信影響較小。這些為LTE-Unlicensed與WiFi之間的同頻干擾問題提供了良好的解決條件。

2 CTC系統(tǒng)的軟硬件實現(xiàn)

為了驗證基于OFDM的CTC系統(tǒng)的可行性，以及幫助分析其安全性，本文搭建了一個從LTE-Unlicensed到WiFi方向的基于OFDM的CTC系統(tǒng)。下面將詳細介紹基于OFDM的CTC原理以及具體實現(xiàn)。

2.1 基于OFDM的CTC的原理

一個OFDM系統(tǒng)把頻譜資源劃分為多個時頻資源塊，不同的OFDM系統(tǒng)劃分的粒度不同，每個資源塊上的調(diào)制方式也不同，這也是異質(zhì)設備無法直接進行通信的原因?；贠FDM的CTC則是從OFDM系統(tǒng)時頻資源塊的功率入手[16]，如果OFDM系統(tǒng)具備對時頻資源塊的功率進行修改與感知的功能，那么可以通過讓發(fā)送方修改部分時頻資源塊的功率，接收方感知改變了功率的視頻資源塊的位置來傳達不同的信息。

如圖1所示，考慮兩個OFDM系統(tǒng)A與B，圖中每個矩形對應一個時頻資源塊， A與B的OFDM參數(shù)不同(如頻域上B一個子載波占據(jù)的帶寬是A的3倍)。系統(tǒng)A可以通過同時改變一個時間槽內(nèi)相鄰3個時頻資源塊的功率，而使得系統(tǒng)B利用一個子載波的相鄰3個時間槽檢測到這些位置上時頻資源塊的功率發(fā)生了改變。通過設置不同改變功率的位置，A與B能傳遞不同信息。此外,顯然A與B能同時感知到的最小的時頻資源(稱這些時頻資源為CTC的時頻資源單元)在時域、頻域上占據(jù)的范圍越小，通信速率就越高。

圖1 基于OFDM的跨技術(shù)功率調(diào)制Fig.1 OFDM-based cross-technology power modulation

2.2 CTC系統(tǒng)架構(gòu)

一個典型的LTE-Unlicensed到WiFi的CTC系統(tǒng)架構(gòu)如圖2所示。對于OFDM的發(fā)送方而言，會利用IFFT對多個子載波上的信號進行頻域到時域的轉(zhuǎn)換，因此要想改變子載波的功率，需要在IFFT模塊之前完成。對于需要發(fā)送的CTC數(shù)據(jù)，首先利用預先定好的子載波與數(shù)據(jù)之間的映射關系把這些數(shù)據(jù)映射到對應的子載波；然后當高層協(xié)議的數(shù)據(jù)被處理完，再利用對子載波功率進行改變的接口(功率控制模塊)，對數(shù)據(jù)進行修改(圖2中的紅箭頭)，將對應子載波的功率降低；處理完后的數(shù)據(jù)再進行正常的IFFT以及一系列處理轉(zhuǎn)換成模擬信號經(jīng)過天線發(fā)出。

圖2 LTE-Unlicensed到WiFi的CTC系統(tǒng)Fig.2 CTC system from LTE-Unlicensed to WiFi

對于OFDM的接收方而言，收到的信號會經(jīng)過FFT模塊的處理，CTC系統(tǒng)通過讀取FFT的結(jié)果，能夠計算出每個子載波的功率，并將與其他在功率上的差異達到一定閾值的子載波作為被改變了功率的子載波(即因為編碼CTC的數(shù)據(jù)而被改變了功率)，最后通過預先編碼的子載波與數(shù)據(jù)的映射關系，提取出CTC的數(shù)據(jù)。

接下來詳細介紹該CTC系統(tǒng)發(fā)送方和接收方在實際設備上的具體實現(xiàn)。

2.3 CTC的發(fā)送端(LTE-Unlicensed節(jié)點)

LTE以資源塊為資源調(diào)度的基本單位，一個資源塊有12個子載波，占據(jù)的帶寬為180 kHz，由于WiFi一個子載波帶寬有312.5 kHz，因而至少需要使用兩個資源塊作為一個基本的時頻資源塊，本文使用4個LTE-Unlicensed資源塊作為一個基本的時頻資源塊，以提高CTC的穩(wěn)定性。本工作LTE-Unlicensed的實現(xiàn)基于開源的LTE協(xié)議棧實現(xiàn)：srslte[21]。在執(zhí)行IFFT之前，通過將每個資源塊對應的值乘以一個系數(shù)α(α∈[0,1])，可實現(xiàn)對該資源塊功率的改變。為了得到更好的CTC效果，將α設為0，以使被降低了功率的資源塊更明顯。

在頻域上，20 MHz帶寬的LTE有100個資源塊，從中選取相鄰的32個資源塊用于CTC，其中每4個資源塊組成一個基本的CTC時頻單元，每次只對一個時頻單元的功率進行修改。從時域上來看，CTC發(fā)送端使用的時頻資源塊最小單位為500 μs，本文將LTE的4個資源塊以及500 μs的時頻資源稱為一個CTC的時頻資源單元。

圖3展示了采集到的未經(jīng)CTC編碼的20 MHz帶寬LTE-Unlicensed信號的實時功率譜，圖4為改變了4個資源塊功率的20 MHz帶寬的LTE-Unlicensed信號的實時功率譜，LTE-Unlicensed信號中心頻率設置為5 240 MHz，其中橫坐標表示與LTE-Unlicensed信號的中心頻率相對值，負數(shù)頻率表示低于中心頻率的值。

圖3 LTE-Unlicensed信號的功率譜Fig.3 Power spectrum of LTE-Unlicensed signal

由圖4可以看出，在頻域上的-10.5～-5.0 MHz之間有個明顯的功率低谷，該低谷正是由于降低了4個LTE-Unlicensed資源塊的功率而產(chǎn)生的，通過改變該低谷的位置，發(fā)送方能夠表示不同的數(shù)據(jù)。為了便于接收方解碼數(shù)據(jù)，本文用特殊的1 ms LTE數(shù)據(jù)幀作為CTC數(shù)據(jù)包的前導碼，不同于CTC數(shù)據(jù)，它們有著多個功率低谷以便于識別。

圖4 經(jīng)過CTC調(diào)制的LTE-Unlicensed信號功率譜Fig.4 Power spectrum of LTE-Unlicensed signal modulated by CTC

2.4 CTC的接收端(WiFi設備)

接收端要想解調(diào)CTC數(shù)據(jù)，關鍵在于借助FFT模塊。Atheros的AR92xx和AR93xx系列芯片能夠在軟件控制的條件下報告基帶的FFT數(shù)據(jù)。我們使用了兩臺刷入openwrt固件[22]后具備報告FFT數(shù)據(jù)功能的路由器。在其開始掃描之后，可以利用debugfs文件系統(tǒng)獲取tlv格式的FFT結(jié)果，從而計算出每個子載波的功率，進而根據(jù)子載波與數(shù)據(jù)的映射解調(diào)出數(shù)據(jù)。

以ath10k獲取到的64-point的FFT為例，圖5(a)顯示了利用WiFi設備的頻譜掃描功能對沒有經(jīng)過CTC調(diào)制的LTE-Unlicensed信號連續(xù)獲取了255個FFT樣本后得到的結(jié)果。圖的橫軸代表頻域，縱坐標為每個FFT bin的功率大小，每個藍色像素點表示某次FFT樣本中該FFT bin的功率大小。圖5(b)顯示了WiFi的頻譜掃描功能對經(jīng)過了固定子載波的(即只降低了固定的4個資源塊)CTC功率調(diào)制后的LTE- Unlicensed信號的感知結(jié)果。圈出的明顯缺口即WiFi的兩個子載波對于降低了功率的4個LTE-Unlicensed資源塊的感知，可見WiFi設備利用64-point的FFT，對編碼了CTC數(shù)據(jù)的信號有足夠的接收能力。

(a) 未經(jīng)過CTC調(diào)制

3 威脅模型

針對該LTE-Unlicensed到WiFi的CTC，發(fā)現(xiàn)使用廉價的商用設備即可很好地對其產(chǎn)生持續(xù)干擾，而且由于CTC的特殊性，還能夠?qū)ζ湓斐呻[蔽的反應型干擾?？紤]如圖6所示的威脅模型，一個LTE-Unlicensed節(jié)點正利用基于OFDM的CTC向一個WiFi的AP(如路由器)發(fā)送數(shù)據(jù)，一臺惡意路由器通過發(fā)射WiFi信號對該通信進行干擾，從而導致CTC通信質(zhì)量大幅下降甚至中斷。攻擊設備干擾的方式包括持續(xù)性干擾和反應型干擾。對于持續(xù)性干擾而言，惡意路由器主動不斷地發(fā)送WiFi信號；對于反應型干擾而言，惡意路由器會先檢測是否有CTC信號出現(xiàn)，當發(fā)現(xiàn)了CTC信號之后才會注入干擾信號。

圖6 利用WiFi設備進行信號干擾Fig.6 Using WiFi equipment for jamming

本文提出的干擾攻擊基于以下假設：

① CTC通信雙方在同一非授權(quán)頻段工作，使用20 MHz的帶寬。攻擊者已知CTC所使用的頻段，在實際情況下，即使攻擊者未能事先知道該信息，也可通過逐頻段掃描的方式來找到。

② LTE-Unlicensed節(jié)點沒有執(zhí)行LBT(Listen Before Talk)機制(即遵循LTE-U標準，實際上若有LBT機制存在，干擾效果會更好，因為干擾者能夠觸發(fā)LBT的回退機制，阻礙LTE-Unlicensed信號的發(fā)送)。

4 無線干擾

無線干擾可以分為兩類：主動式干擾和反應型干擾。主動式干擾在信道上持續(xù)發(fā)送隨機比特或電磁信號，達到干擾正常通信的效果。反應型干擾僅僅在檢測到目標信號之后才會發(fā)送一段干擾信號，是更低功耗的干擾策略。反應型干擾往往很難被檢測，因為對于攻擊的目標而言，它不會產(chǎn)生額外的流量。

目前對于各種常見的無線通信技術(shù)的智能干擾已經(jīng)有許多相關研究[9-11]，但一方面這些干擾往往以降低數(shù)據(jù)包的接收率為目標，例如針對LTE的參考信號進行針對性的干擾，以實現(xiàn)低功耗的高效干擾[9]。而由于基于數(shù)據(jù)包和基于OFDM的CTC利用完全不同的調(diào)制方式，原有技術(shù)的數(shù)據(jù)包誤碼率對其沒有直接影響，因而傳統(tǒng)的智能高效的干擾方式無法對CTC進行有效的干擾。另一方面，考慮到CTC建立在原有通信的基礎上及其用途(如用于信道協(xié)調(diào))，CTC的發(fā)生頻率并不會非常高，因而反應型干擾(即攻擊設備只在檢測到CTC信號出現(xiàn)時才發(fā)射干擾信號)將是對CTC進行高效干擾的良好策略。但由于CTC利用了全新的調(diào)制方式，傳統(tǒng)的反應型干擾往往無法有效地對CTC信號進行識別。針對CTC的干擾而言，目前僅有JamCloak[23]使用昂貴的USRP設備對當時大部分數(shù)據(jù)包級的CTC實現(xiàn)了反應型干擾。相比之下，由于非物理層模擬的CTC波特率較低，使用廉價的WiFi設備(一臺路由器)即可完成反應型干擾。(對于基于物理層模擬的CTC而言，對它的干擾即可視為針對正常通信信號的干擾，針對這些，現(xiàn)有的干擾方案已經(jīng)足以完成，如文獻[10]中對WiFi的反應型干擾)。

使用路由器作為攻擊設備有以下3個優(yōu)點：① 該設備廉價而常見，攻擊成本低且不易被察覺；② 攻擊設備發(fā)出的為正常的WiFi信號，具有極佳的偽裝效果，從而增加被檢測到的難度；③ 利用WiFi信號能夠?qū)TE-Unlicensed到WiFi的CTC造成額外的干擾效果。該CTC依賴接收端獲取FFT結(jié)果的能力來完成CTC數(shù)據(jù)的解調(diào)，而WiFi設備作為接收端時，其FFT數(shù)據(jù)的匯報能力取決于本身芯片所處的狀態(tài)：當不在發(fā)送(TX)狀態(tài)或接收(RX)狀態(tài)時芯片才會匯報FFT數(shù)據(jù)。這一特性本身有其優(yōu)勢所在：它使得CTC的實現(xiàn)不會影響到接收端WiFi設備的正常通信，且在進行CTC時，由于其他WiFi設備使用了帶有沖突避免的載波偵聽多路訪問(Carrier Sense Multiple Access with Collision Avoidance,CSMA/CA)機制，當LTE-Unlicensed信號的強度足夠觸發(fā)其他WiFi設備的“回退”時，也不會對該CTC產(chǎn)生影響。但是該FFT數(shù)據(jù)匯報的特性卻可被攻擊者利用，通過注入WiFi信號，可以促使CTC接收端解調(diào)攻擊者注入的WiFi信號，從而使其無法匯報FFT數(shù)據(jù)，進而阻礙CTC的正常通信。

本文利用路由器實現(xiàn)了持續(xù)性干擾和反應型干擾兩種攻擊方式：

(1) 持續(xù)性干擾

利用路由器，可以通過其監(jiān)視(monitor)接口持續(xù)注入數(shù)據(jù)包，使其不斷產(chǎn)生WiFi信號。一方面，干擾信號的注入能夠降低CTC通信的信號與干擾加噪聲比(Signal to Interference Plus Noise Ratio,SINR)；另一方面，該信號將使得CTC的WiFi接收端處在接收狀態(tài)，以阻止其解調(diào)CTC數(shù)據(jù)，從而干擾正常的CTC通信。為了避免LTE-Unlicensed信號觸發(fā)攻擊者路由器的CSMA/CS機制，需要將攻擊者路由器的載波監(jiān)聽關閉。

(2) 反應型干擾

持續(xù)性干擾的方式將產(chǎn)生大量WiFi信號，持續(xù)占用信道，消耗的能量大，也更易被發(fā)現(xiàn)異常。相比之下，反應型干擾只在檢測到基于OFDM的CTC流量出現(xiàn)時才進行干擾，不會產(chǎn)生額外的流量與信道占用，更為隱蔽和高效。僅僅使用一臺具備FFT數(shù)據(jù)匯報功能的路由器，便可對該基于OFDM的CTC進行有效的反應型干擾。反應型干擾的實現(xiàn)如圖7所示，主要由CTC信號檢測以及WiFi數(shù)據(jù)包注入兩部分組成。數(shù)據(jù)包注入部分與持續(xù)性干擾相同，使用系統(tǒng)提供的monitor接口即可。而對于更為關鍵的CTC信號檢測，可以通過采樣路由器匯報的FFT數(shù)據(jù)，從而獲取收到的信號功率譜分布。由于正常的LTE-Unlicensed信號功率譜是接近均勻分布的，因而若發(fā)現(xiàn)存在“凹槽”的功率譜，可判斷認為有CTC流量出現(xiàn)，則立即通過monitor接口注入WiFi數(shù)據(jù)包，從而實現(xiàn)干擾。由于LTE-Unlicensed到WiFi的基于OFDM的CTC以500 μs為一個CTC時頻資源單元的時長，因此注入的數(shù)據(jù)包長度至少應為1 ms。由于該CTC的波特率較低，對于攻擊者來說，檢測信號和發(fā)送干擾信號所需要的時延較為充裕，本文提出的反應型干擾可以直接在系統(tǒng)的應用層進行實現(xiàn)，從而進一步降低攻擊門檻。

圖7 反應型干擾的實現(xiàn)Fig.7 Implementation of reactive jamming

5 實驗結(jié)果

5.1 評估指標

包傳輸率(Packet Delivery Ratio,PDR)接收方成功解調(diào)CTC數(shù)據(jù)包的數(shù)量與發(fā)送方所發(fā)送的數(shù)據(jù)包的數(shù)量之比。

干擾與信號比干擾信號強度與CTC發(fā)送端(LTE-Unlicensed)發(fā)出的信號強度之比。

載荷長度CTC數(shù)據(jù)包所攜帶的CTC符號數(shù)量(不包括前導碼)。由于一個CTC時頻資源單元在時域上占據(jù)500 μs，因此一個單位的載荷意味著500 μs時長的信號。

5.2 LTE-Unlicensed到WiFi的CTC

利用一臺USRP B210作為LTE-Unlicensed節(jié)點，考慮到不同驅(qū)動能夠匯報的FFT參數(shù)不同，利用兩臺不同驅(qū)動的已刷入固件的路由器(WNDR4300 v1和Mercury MAC1200R v1.0)作為CTC的WiFi節(jié)點，實現(xiàn)了LTE-Unlicensed到WiFi的CTC系統(tǒng)，其中兩臺路由器所使用的驅(qū)動分別為ath9k和ath10k，ath10k支持匯報64-point和256-point的FFT數(shù)據(jù)，而ath9k僅支持匯報56-point的FFT數(shù)據(jù)。

固定CTC數(shù)據(jù)包的長度為4 ms(載荷長度為6)，即共有8個CTC符號，其中2個符號為前導碼，并將LTE-Unlicensed節(jié)點和WiFi設備均配置為在同一20 MHz帶寬的頻段工作。通過改變發(fā)送方的信號增益，能夠改變發(fā)送方的功率，結(jié)果如圖8所示。隨著發(fā)送方功率的增大，CTC的包傳輸率逐漸上升，最高可達92.6%。其中利用256-point的FFT數(shù)據(jù)能夠得到最佳的CTC通信效果，主要原因在于更細粒度的FFT結(jié)果意味著頻域上的分辨率更高，這使得CTC的解碼更為精確。

圖8 發(fā)送方的不同增益下CTC解調(diào)成功率Fig.8 PDR of CTC demodulation under different gains of the sender

5.3 干擾攻擊的效果

5.3.1 實驗設置

本文使用路由器(WNDR4300v1)作為攻擊設備，CTC的通信建立在USRP B210到路由器(Mercury MAC1200R)之間。實驗場景如圖9所示。

圖9 攻擊場景Fig.9 Attack scenario

5.3.2 持續(xù)性干擾

在禁用WNDR4300v1路由器的載波監(jiān)聽之后，通過mac80211子系統(tǒng)能夠持續(xù)注入數(shù)據(jù)包。為了便于測試不同干擾信號與原始信號之比(Jamming-to-Signal ratio,J/S)下的干擾效果，在實驗中固定了攻擊設備的發(fā)送功率，通過改變CTC通信時所用的功率來實現(xiàn)不同的J/S，測試結(jié)果如圖10所示?？梢娂词乖贘/S為-3 dB時，也可取得較好的干擾效果；但當J/S為-15 dB時，干擾幾乎不起作用。

圖10 持續(xù)性干擾對CTC的影響Fig.10 Effect of constant jamming on CTC

接下來進一步分析干擾成功的原因，圖11中呈現(xiàn)出1 s內(nèi)CTC接收方所獲取到的FFT樣本數(shù)，當J/S較高時(3～9 dB)，由于攻擊者使用的干擾信號為WiFi信號，能夠使得CTC接收方進入RX狀態(tài)，使其能夠獲取的FFT樣本數(shù)量大幅減少，導致CTC無法進行。CTC時頻資源單元時域上為500 μs，因此即使在最理想狀態(tài)下，也需要1 s / 500 μs = 2 000個樣本才有解調(diào)CTC信號的可能性，因此當攻擊者使用較強的干擾信號時，被攻擊的路由器將完全失去解調(diào)CTC信號的能力。當J/S較低時(如-6～3 dB)，攻擊者發(fā)送的WiFi信號強度較弱，無法觸發(fā)CTC接收方的RX狀態(tài)，但其對CTC信號的影響依然足以干擾CTC的正常通信。因此即使該基于OFDM的CTC得到改進，能夠在更低的SINR下達到較好的通信效果，由于WiFi接收端匯報FFT數(shù)據(jù)的限制，依然能夠利用路由器作為攻擊設備，在J/S相對高一些時實現(xiàn)信號干擾。

圖11 持續(xù)性干擾對FFT樣本獲取的影響Fig.11 Effect of constant jamming on FFT acquisition

5.3.3 反應型干擾

在WNDR4300v1路由器上，實現(xiàn)了反應型干擾。以效果更好的基于ath10k驅(qū)動的使用256-point FFT的CTC為例，將其作為干擾目標，固定其發(fā)送端的發(fā)送功率，將攻擊設備(一臺路由器)放置在CTC系統(tǒng)附近，以使攻擊設備能夠檢測到CTC信號，同時攻擊設備發(fā)出的干擾信號強度足夠?qū)TC通信進行干擾。對于反應型干擾而言，在檢測到需要干擾的信號之后，成功干擾的關鍵因素在于從檢測信號到發(fā)射干擾信號所需的時間，因此目標信號本身的長度影響著反應型干擾的效果。我們測試了在CTC幀長不同的情況下，實現(xiàn)反應型干擾的效果，結(jié)果如圖12所示。其中橫坐標為一個CTC幀的載荷長度，一單位的長度代表500 μs的幀長。當載荷長度至少為6，即CTC幀的長度(包括前導碼)為4 ms時，反應型干擾能夠很好地起作用，CTC的PDR下降可達73.4%。

圖12 反應型干擾對CTC的影響Fig.12 Effect of reactive jamming on CTC

圖13展示了反應型干擾對CTC速率的影響，固定每個CTC幀的間隔為100 ms，且使LTE-Unlicensed信號不斷發(fā)送，測試了不同幀長下的傳輸速率。在未受干擾時，隨著幀長的增加，CTC 的速率不斷上升，但由于越長的幀，越容易受到干擾，因而受到反應型干擾時，CTC的傳輸速率在100 ms的幀間距下將低于100 bit/s。

反應型干擾未能完全阻止CTC通信的部分原因在于本文攻擊的實現(xiàn)是在用戶空間完成的，F(xiàn)FT數(shù)據(jù)需要先從內(nèi)核傳輸?shù)接脩艨臻g，造成額外的時延，而且FFT數(shù)據(jù)獲取時本身時延有較大不確定性，這些給反應型干擾帶來了較大挑戰(zhàn)。此外攻擊設備的驅(qū)動基于ath9k，只能匯報56-point的FFT數(shù)據(jù)，本身在檢測CTC信號的能力上相比256-point的FFT數(shù)據(jù)更弱。使用更高性能，具備256-point的FFT數(shù)據(jù)匯報功能的路由器能使反應型干擾更為有效。

圖13 反應型干擾對傳輸速率的影響Fig.13 Effect of reactive jamming on transmission rate

5.3.4 干擾增益

干擾增益的定義為“在達到相同的干擾效果時，持續(xù)性干擾與所考慮的干擾產(chǎn)生信號的時間之比”[24]，即若Tc為持續(xù)性干擾所發(fā)射信號的總時間，Tr為反應型干擾發(fā)射信號的時間，則干擾增益為10lg(Tc/Tr)。固定CTC幀間距為100 ms，圖14顯示了不同長度的CTC數(shù)據(jù)幀下的干擾增益，隨著載荷長度的增加，干擾增益逐漸提高。所有載荷長度下的平均增益可達17.26 dB，由此可見反應型干擾相比持續(xù)性干擾的巨大優(yōu)勢。若提高CTC數(shù)據(jù)幀之間的間隔，干擾增益還能得到更大的提升。

圖14 不同載荷長度時的干擾增益Fig.14 Jamming gain of different payload length

6 防御措施

利用商用WiFi設備對CTC進行干擾，尤其是反應型干擾，給CTC帶來了極大的威脅。要應對這種攻擊方式，從干擾的檢測和抗干擾措施兩方面進行討論。

6.1 干擾檢測

對于干擾的檢測可分為物理層和介質(zhì)訪問控制(Medium Access Control，MAC)層兩類方法[24]。由于針對基于OFDM的CTC的干擾屬于物理層的干擾，因而這里主要討論基于物理層的干擾檢測方法。對于持續(xù)性干擾的檢測可以利用檢測載波監(jiān)聽的時間來完成[25]，即正常情況下載波監(jiān)聽的時間分布是已知的，當出現(xiàn)干擾時，該分布會發(fā)生改變，從而實現(xiàn)對干擾的檢測，但該方式對于反應型干擾無效。對于更難檢測的反應型干擾，可以利用一致性檢測[24]的方式，如檢測系統(tǒng)同時測量PDR和接收信號的強度(Received Signal Strength,RSS)，當出現(xiàn)低的PDR卻有著高的RSS時，很可能節(jié)點已經(jīng)被干擾了。

6.2 抗干擾措施

要對抗干擾攻擊，一個簡單直接的方式便是提高發(fā)送方的功率，從而提高接收方的SINR，該方式對于有CSMA/CA機制的發(fā)送方而言可能無效，因為干擾信號有可能直接抑制發(fā)送方信號的發(fā)送，但對于不使用CSMA/CA的LTE-U節(jié)點來說，該方法不失為抗干擾的良策。此外，還可以使用跳頻的方式來避開被干擾的信道，尤其在5 GHz的ISM頻段，有23個不重疊的信道，跳頻的選擇空間很大，CTC通信雙方還可利用預共享的密鑰來防止攻擊者預測到跳頻的模式。

7 結(jié)束語

基于OFDM的CTC其實能夠?qū)崿F(xiàn)雙向的通信，本文主要針對其從LTE-Unlicensed到WiFi方向的CTC進行了干擾。而對于從WiFi到LTE-Unlicensed方向的CTC，其發(fā)出的信號依然是合法的WiFi數(shù)據(jù)包。另外WiFi設備由于CSMA/CA機制的存在，在發(fā)送數(shù)據(jù)之前需要判斷信道是否空閑，因此可以通過發(fā)射干擾信號觸發(fā)WiFi設備的回退(Backoff)，從而阻止其傳輸數(shù)據(jù)包。Vanhoef[10]等人提出的通過修改固件的方法，已經(jīng)可以利用商用USB無線網(wǎng)卡對WiFi設備實現(xiàn)信號干擾。類似的，使用路由器作為干擾信號發(fā)射源，同樣可以通過觸發(fā)CTC發(fā)送方的Backoff方式阻礙其進行CTC通信。相比之下，LTE-Unlicensed的某些版本(如LTE-U)并沒有使用CSMA/CA的機制，該方法無法通過觸發(fā)backoff的方式阻礙LTE-U節(jié)點發(fā)送信號。因此本文重點關注的是LTE-Unlicensed到WiFi這個方向的CTC。

目前絕大部分CTC的相關工作集中于CTC實現(xiàn)，而缺少對其安全性的考慮。對于極具代表性與發(fā)展?jié)摿Φ幕贠FDM的CTC，本文首次針對其安全性進行了分析。本文利用軟件無線電設備和多臺商用WiFi路由器實現(xiàn)了基于OFDM的CTC，并首次提出可以使用商用WiFi設備對CTC進行干擾。利用廉價的路由器設備實現(xiàn)了對CTC的持續(xù)性和反應型干擾兩種干擾方式。在實際場景中的實驗顯示能夠?qū)贠FDM的CTC進行有效的干擾，其中反應型干擾能夠顯著降低CTC 73.4%的PDR。