針對LTE-Unlicensed與WiFi跨技術通信的攻擊

劉子威，林 峰,2*，任 奎

(1.浙江大學 網絡空間安全研究中心，浙江 杭州 310027;2.浙江省區塊鏈與網絡空間治理重點實驗室，浙江 杭州 310027)

0 引言

在物聯網“萬物互聯”的情境下，大量不同的設備由于不同的需求，使用著不同的無線通信技術(如WiFi、藍牙及ZigBee等)，這些設備由于使用了同樣的頻段(如2.4 GHz的ISM頻段)，將會面臨不同技術間在同頻段下的共存問題，而由于不同技術的物理層、數據鏈路層等協議的標準不同，異質設備之間無法直接進行通信，亦使得這些無線技術原本使用的信道協調協議(如WiFi的RTS/CTS)在存在多種不同技術的情景下不適用[1]。

傳統的管理多種異質設備的方式是使用集成了多種無線通信技術的網關作為中介。而最近興起的跨技術通信(Cross-technology Communication，CTC)技術避免了使用網關帶來的額外硬件和流量的開銷，在不進行硬件修改的情況下讓使用不同無線技術的設備能夠直接進行通信[1]。CTC能夠更好地協調異質設備之間的信道使用，為解決異質設備間的共存問題提供了新的方向[2-3]。此外，CTC實現的異質設備之間的直接通信在物聯網情景下有著廣泛的應用價值，例如在智能家居的場景下，CTC能夠幫助多種設備之間達成良好協作；在智慧醫療場景下，可以利用WiFi實時掌握病人的位置并利用CTC將位置信息分享給常見的基于藍牙的醫療設備[4]。

長期演進技術(Long-Term Evolution，LTE)是目前全球范圍內最成熟、最穩定的移動通信網絡技術。目前部署的LTE的頻段主要為已授權的頻段，LTE-Unlicensed通過將LTE擴展到非授權頻段(主要是5 GHz的ISM頻段)，從而擴充網絡容量。使用非授權頻段的LTE核心技術包括LTE-U，LAA(Licensed Assisted Access)，eLAA(enhanced LAA)等，目前為止，已有3個國家/地區部署了LTE-U網絡，21個國家/地區的32家運營商在LAA上進行投資[5]。但由于目前廣泛使用的WiFi技術使用的也是非授權頻段(如使用5 GHz 頻段的802.11 a/n/ac)，因此LTE-Unlicensed對非授權頻段的使用需要解決與WiFi設備之間的共存問題[6-8]。幸而CTC的出現，使得該共存問題能夠通過LTE-Unlicensed基站與WiFi接入點(Access Point,AP)之間利用CTC進行更好的信道協調來有效解決[3]。

而另一方面，由于LTE-Unlicensed與WiFi之間的CTC對其信道協調起著關鍵性的作用，因此若該CTC的安全性無法保證，將影響到通信雙方的正常協調，進而對LTE-Unlicensed或WiFi本身的通信造成影響[9-11]。因此CTC系統的安全性顯得尤為重要，進而產生了個問題：現有的LTE-Unlicensed與WiFi之間的CTC是否安全？

對此，本文深入研究了LTE-Unlicensed到WiFi之間的CTC，探索了實際干擾攻擊的可行性，并提出相應的防御措施。

1 CTC介紹

CTC能夠讓使用不同無線通信技術的設備之間實現直接通信，通過對物理層信號的精心設計，它在這些擁有不兼容的物理層的異質設備之間搭建起了溝通的橋梁。目前提出的CTC系統可大致分為三大類。

1.1 數據包級的CTC

數據包級的CTC通過利用無線數據包的能量特征，如長度、能量強度及傳輸時間等，搭建起正常通信之外的“隱通道”，讓異質設備之間在物理層實現直接通信。如Esense[12]最早實現了從WiFi向ZigBee傳輸信息，它把WiFi數據包的長度與與字母集進行配對，通過使用不同長度的數據包來表示不同的符號。相比之下，WiZig[13]用WiFi數據包的不同能量級別表示比特‘0’和‘1’，并且通過多次重復每個比特來降低傳輸的誤碼率。通過精巧的設計，數據包級的CTC對設備的正常通信影響非常小。但由于它的傳輸速率受數據包發送頻率以及數據包長度的限制，最終的傳輸速率非常低(通常低于1 kbit/s)[14-15]。

1.2 基于OFDM的CTC

最新的研究OfdmFi[16]提出了基于OFDM的CTC的概念，并實現了LTE-Unlicensed與WiFi之間的雙向CTC。基于OFDM的CTC有著類似于數據包級CTC搭建“隱通道”的思路，但卻以OFDM符號的長度為改變能量模式的基本時間單位，即通過改變若干個OFDM符號內部分子載波的功率來完成CTC數據的編碼，有著相比數據包級CTC更高的波特率以及更高的比特率(可達84 kbit/s)。之后在DeepCTC[17]中，Zubow等將深度學習應用于基于OFDM的CTC，以對CTC和正常通信進行聯合優化，從而更好地在CTC與正常通信之間進行權衡。據我們所知，這些是目前僅有的基于OFDM的CTC的相關工作。基于OFDM的CTC相比其他大部分僅僅針對某一種設備(如藍牙、WiFi及ZigBee等)設計的CTC而言，適用性更廣，也是僅有的能實現LTE-Unlicensed與WiFi雙向CTC的方法。

1.3 基于物理層模擬的CTC

此類方法經過精巧的設計，讓發送方能夠模擬出接收方所能解調的信號。如WEBee[18]在WiFi的物理層限制之下，利用精心構造的數據包，讓該數據單元在經過物理層之后，產生的WiFi信號中的一部分與ZigBee信號近似，從而可以被ZigBee設備直接解調；BlueBee[19]使用藍牙設備模擬ZigBee信號，LTE2B[20]使用LTE的用戶設備(User Equipment,UE)模擬出ZigBee/藍牙信號。基于物理模擬的CTC在速率有了極大地提升，往往能夠達到接收方原本所用的協議速率，但該類方法實現難度較大，需要占用設備正常流量，且目前僅能實現單向的CTC。

對于LTE-Unlicensed與WiFi之間的CTC而言，基于OFDM的CTC是其目前最新以及最佳的解決方案，一方面它能做到雙向通信，這一點對大部分的CTC而言難以完成，因為異質設備之間物理層差異極大，CTC的實現往往需要針對特定種類的設備進行設計，如WEBee的方法無法反過來用于ZigBee到藍牙的CTC。另外基于OFDM的CTC有著相對較高的傳輸速率，以及對設備的正常通信影響較小。這些為LTE-Unlicensed與WiFi之間的同頻干擾問題提供了良好的解決條件。

2 CTC系統的軟硬件實現

為了驗證基于OFDM的CTC系統的可行性，以及幫助分析其安全性，本文搭建了一個從LTE-Unlicensed到WiFi方向的基于OFDM的CTC系統。下面將詳細介紹基于OFDM的CTC原理以及具體實現。

2.1 基于OFDM的CTC的原理

一個OFDM系統把頻譜資源劃分為多個時頻資源塊，不同的OFDM系統劃分的粒度不同，每個資源塊上的調制方式也不同，這也是異質設備無法直接進行通信的原因。基于OFDM的CTC則是從OFDM系統時頻資源塊的功率入手[16]，如果OFDM系統具備對時頻資源塊的功率進行修改與感知的功能，那么可以通過讓發送方修改部分時頻資源塊的功率，接收方感知改變了功率的視頻資源塊的位置來傳達不同的信息。

如圖1所示，考慮兩個OFDM系統A與B，圖中每個矩形對應一個時頻資源塊， A與B的OFDM參數不同(如頻域上B一個子載波占據的帶寬是A的3倍)。系統A可以通過同時改變一個時間槽內相鄰3個時頻資源塊的功率，而使得系統B利用一個子載波的相鄰3個時間槽檢測到這些位置上時頻資源塊的功率發生了改變。通過設置不同改變功率的位置，A與B能傳遞不同信息。此外,顯然A與B能同時感知到的最小的時頻資源(稱這些時頻資源為CTC的時頻資源單元)在時域、頻域上占據的范圍越小，通信速率就越高。

圖1 基于OFDM的跨技術功率調制Fig.1 OFDM-based cross-technology power modulation

2.2 CTC系統架構

一個典型的LTE-Unlicensed到WiFi的CTC系統架構如圖2所示。對于OFDM的發送方而言，會利用IFFT對多個子載波上的信號進行頻域到時域的轉換，因此要想改變子載波的功率，需要在IFFT模塊之前完成。對于需要發送的CTC數據，首先利用預先定好的子載波與數據之間的映射關系把這些數據映射到對應的子載波；然后當高層協議的數據被處理完，再利用對子載波功率進行改變的接口(功率控制模塊)，對數據進行修改(圖2中的紅箭頭)，將對應子載波的功率降低；處理完后的數據再進行正常的IFFT以及一系列處理轉換成模擬信號經過天線發出。

圖2 LTE-Unlicensed到WiFi的CTC系統Fig.2 CTC system from LTE-Unlicensed to WiFi

對于OFDM的接收方而言，收到的信號會經過FFT模塊的處理，CTC系統通過讀取FFT的結果，能夠計算出每個子載波的功率，并將與其他在功率上的差異達到一定閾值的子載波作為被改變了功率的子載波(即因為編碼CTC的數據而被改變了功率)，最后通過預先編碼的子載波與數據的映射關系，提取出CTC的數據。

接下來詳細介紹該CTC系統發送方和接收方在實際設備上的具體實現。

2.3 CTC的發送端(LTE-Unlicensed節點)

LTE以資源塊為資源調度的基本單位，一個資源塊有12個子載波，占據的帶寬為180 kHz，由于WiFi一個子載波帶寬有312.5 kHz，因而至少需要使用兩個資源塊作為一個基本的時頻資源塊，本文使用4個LTE-Unlicensed資源塊作為一個基本的時頻資源塊，以提高CTC的穩定性。本工作LTE-Unlicensed的實現基于開源的LTE協議棧實現：srslte[21]。在執行IFFT之前，通過將每個資源塊對應的值乘以一個系數α(α∈[0,1])，可實現對該資源塊功率的改變。為了得到更好的CTC效果，將α設為0，以使被降低了功率的資源塊更明顯。

在頻域上，20 MHz帶寬的LTE有100個資源塊，從中選取相鄰的32個資源塊用于CTC，其中每4個資源塊組成一個基本的CTC時頻單元，每次只對一個時頻單元的功率進行修改。從時域上來看，CTC發送端使用的時頻資源塊最小單位為500 μs，本文將LTE的4個資源塊以及500 μs的時頻資源稱為一個CTC的時頻資源單元。

圖3展示了采集到的未經CTC編碼的20 MHz帶寬LTE-Unlicensed信號的實時功率譜，圖4為改變了4個資源塊功率的20 MHz帶寬的LTE-Unlicensed信號的實時功率譜，LTE-Unlicensed信號中心頻率設置為5 240 MHz，其中橫坐標表示與LTE-Unlicensed信號的中心頻率相對值，負數頻率表示低于中心頻率的值。

圖3 LTE-Unlicensed信號的功率譜Fig.3 Power spectrum of LTE-Unlicensed signal

由圖4可以看出，在頻域上的-10.5～-5.0 MHz之間有個明顯的功率低谷，該低谷正是由于降低了4個LTE-Unlicensed資源塊的功率而產生的，通過改變該低谷的位置，發送方能夠表示不同的數據。為了便于接收方解碼數據，本文用特殊的1 ms LTE數據幀作為CTC數據包的前導碼，不同于CTC數據，它們有著多個功率低谷以便于識別。

圖4 經過CTC調制的LTE-Unlicensed信號功率譜Fig.4 Power spectrum of LTE-Unlicensed signal modulated by CTC

2.4 CTC的接收端(WiFi設備)

接收端要想解調CTC數據，關鍵在于借助FFT模塊。Atheros的AR92xx和AR93xx系列芯片能夠在軟件控制的條件下報告基帶的FFT數據。我們使用了兩臺刷入openwrt固件[22]后具備報告FFT數據功能的路由器。在其開始掃描之后，可以利用debugfs文件系統獲取tlv格式的FFT結果，從而計算出每個子載波的功率，進而根據子載波與數據的映射解調出數據。

以ath10k獲取到的64-point的FFT為例，圖5(a)顯示了利用WiFi設備的頻譜掃描功能對沒有經過CTC調制的LTE-Unlicensed信號連續獲取了255個FFT樣本后得到的結果。圖的橫軸代表頻域，縱坐標為每個FFT bin的功率大小，每個藍色像素點表示某次FFT樣本中該FFT bin的功率大小。圖5(b)顯示了WiFi的頻譜掃描功能對經過了固定子載波的(即只降低了固定的4個資源塊)CTC功率調制后的LTE- Unlicensed信號的感知結果。圈出的明顯缺口即WiFi的兩個子載波對于降低了功率的4個LTE-Unlicensed資源塊的感知，可見WiFi設備利用64-point的FFT，對編碼了CTC數據的信號有足夠的接收能力。

(a) 未經過CTC調制

3 威脅模型

針對該LTE-Unlicensed到WiFi的CTC，發現使用廉價的商用設備即可很好地對其產生持續干擾，而且由于CTC的特殊性，還能夠對其造成隱蔽的反應型干擾。考慮如圖6所示的威脅模型，一個LTE-Unlicensed節點正利用基于OFDM的CTC向一個WiFi的AP(如路由器)發送數據，一臺惡意路由器通過發射WiFi信號對該通信進行干擾，從而導致CTC通信質量大幅下降甚至中斷。攻擊設備干擾的方式包括持續性干擾和反應型干擾。對于持續性干擾而言，惡意路由器主動不斷地發送WiFi信號；對于反應型干擾而言，惡意路由器會先檢測是否有CTC信號出現，當發現了CTC信號之后才會注入干擾信號。

圖6 利用WiFi設備進行信號干擾Fig.6 Using WiFi equipment for jamming

本文提出的干擾攻擊基于以下假設：

① CTC通信雙方在同一非授權頻段工作，使用20 MHz的帶寬。攻擊者已知CTC所使用的頻段，在實際情況下，即使攻擊者未能事先知道該信息，也可通過逐頻段掃描的方式來找到。

② LTE-Unlicensed節點沒有執行LBT(Listen Before Talk)機制(即遵循LTE-U標準，實際上若有LBT機制存在，干擾效果會更好，因為干擾者能夠觸發LBT的回退機制，阻礙LTE-Unlicensed信號的發送)。

4 無線干擾

無線干擾可以分為兩類：主動式干擾和反應型干擾。主動式干擾在信道上持續發送隨機比特或電磁信號，達到干擾正常通信的效果。反應型干擾僅僅在檢測到目標信號之后才會發送一段干擾信號，是更低功耗的干擾策略。反應型干擾往往很難被檢測，因為對于攻擊的目標而言，它不會產生額外的流量。

目前對于各種常見的無線通信技術的智能干擾已經有許多相關研究[9-11]，但一方面這些干擾往往以降低數據包的接收率為目標，例如針對LTE的參考信號進行針對性的干擾，以實現低功耗的高效干擾[9]。而由于基于數據包和基于OFDM的CTC利用完全不同的調制方式，原有技術的數據包誤碼率對其沒有直接影響，因而傳統的智能高效的干擾方式無法對CTC進行有效的干擾。另一方面，考慮到CTC建立在原有通信的基礎上及其用途(如用于信道協調)，CTC的發生頻率并不會非常高，因而反應型干擾(即攻擊設備只在檢測到CTC信號出現時才發射干擾信號)將是對CTC進行高效干擾的良好策略。但由于CTC利用了全新的調制方式，傳統的反應型干擾往往無法有效地對CTC信號進行識別。針對CTC的干擾而言，目前僅有JamCloak[23]使用昂貴的USRP設備對當時大部分數據包級的CTC實現了反應型干擾。相比之下，由于非物理層模擬的CTC波特率較低，使用廉價的WiFi設備(一臺路由器)即可完成反應型干擾。(對于基于物理層模擬的CTC而言，對它的干擾即可視為針對正常通信信號的干擾，針對這些，現有的干擾方案已經足以完成，如文獻[10]中對WiFi的反應型干擾)。

使用路由器作為攻擊設備有以下3個優點：① 該設備廉價而常見，攻擊成本低且不易被察覺；② 攻擊設備發出的為正常的WiFi信號，具有極佳的偽裝效果，從而增加被檢測到的難度；③ 利用WiFi信號能夠對LTE-Unlicensed到WiFi的CTC造成額外的干擾效果。該CTC依賴接收端獲取FFT結果的能力來完成CTC數據的解調，而WiFi設備作為接收端時，其FFT數據的匯報能力取決于本身芯片所處的狀態：當不在發送(TX)狀態或接收(RX)狀態時芯片才會匯報FFT數據。這一特性本身有其優勢所在：它使得CTC的實現不會影響到接收端WiFi設備的正常通信，且在進行CTC時，由于其他WiFi設備使用了帶有沖突避免的載波偵聽多路訪問(Carrier Sense Multiple Access with Collision Avoidance,CSMA/CA)機制，當LTE-Unlicensed信號的強度足夠觸發其他WiFi設備的“回退”時，也不會對該CTC產生影響。但是該FFT數據匯報的特性卻可被攻擊者利用，通過注入WiFi信號，可以促使CTC接收端解調攻擊者注入的WiFi信號，從而使其無法匯報FFT數據，進而阻礙CTC的正常通信。

本文利用路由器實現了持續性干擾和反應型干擾兩種攻擊方式：

(1) 持續性干擾

利用路由器，可以通過其監視(monitor)接口持續注入數據包，使其不斷產生WiFi信號。一方面，干擾信號的注入能夠降低CTC通信的信號與干擾加噪聲比(Signal to Interference Plus Noise Ratio,SINR)；另一方面，該信號將使得CTC的WiFi接收端處在接收狀態，以阻止其解調CTC數據，從而干擾正常的CTC通信。為了避免LTE-Unlicensed信號觸發攻擊者路由器的CSMA/CS機制，需要將攻擊者路由器的載波監聽關閉。

(2) 反應型干擾

持續性干擾的方式將產生大量WiFi信號，持續占用信道，消耗的能量大，也更易被發現異常。相比之下，反應型干擾只在檢測到基于OFDM的CTC流量出現時才進行干擾，不會產生額外的流量與信道占用，更為隱蔽和高效。僅僅使用一臺具備FFT數據匯報功能的路由器，便可對該基于OFDM的CTC進行有效的反應型干擾。反應型干擾的實現如圖7所示，主要由CTC信號檢測以及WiFi數據包注入兩部分組成。數據包注入部分與持續性干擾相同，使用系統提供的monitor接口即可。而對于更為關鍵的CTC信號檢測，可以通過采樣路由器匯報的FFT數據，從而獲取收到的信號功率譜分布。由于正常的LTE-Unlicensed信號功率譜是接近均勻分布的，因而若發現存在“凹槽”的功率譜，可判斷認為有CTC流量出現，則立即通過monitor接口注入WiFi數據包，從而實現干擾。由于LTE-Unlicensed到WiFi的基于OFDM的CTC以500 μs為一個CTC時頻資源單元的時長，因此注入的數據包長度至少應為1 ms。由于該CTC的波特率較低，對于攻擊者來說，檢測信號和發送干擾信號所需要的時延較為充裕，本文提出的反應型干擾可以直接在系統的應用層進行實現，從而進一步降低攻擊門檻。

圖7 反應型干擾的實現Fig.7 Implementation of reactive jamming

5 實驗結果

5.1 評估指標

包傳輸率(Packet Delivery Ratio,PDR)接收方成功解調CTC數據包的數量與發送方所發送的數據包的數量之比。

干擾與信號比干擾信號強度與CTC發送端(LTE-Unlicensed)發出的信號強度之比。

載荷長度CTC數據包所攜帶的CTC符號數量(不包括前導碼)。由于一個CTC時頻資源單元在時域上占據500 μs，因此一個單位的載荷意味著500 μs時長的信號。

5.2 LTE-Unlicensed到WiFi的CTC

利用一臺USRP B210作為LTE-Unlicensed節點，考慮到不同驅動能夠匯報的FFT參數不同，利用兩臺不同驅動的已刷入固件的路由器(WNDR4300 v1和Mercury MAC1200R v1.0)作為CTC的WiFi節點，實現了LTE-Unlicensed到WiFi的CTC系統，其中兩臺路由器所使用的驅動分別為ath9k和ath10k，ath10k支持匯報64-point和256-point的FFT數據，而ath9k僅支持匯報56-point的FFT數據。

固定CTC數據包的長度為4 ms(載荷長度為6)，即共有8個CTC符號，其中2個符號為前導碼，并將LTE-Unlicensed節點和WiFi設備均配置為在同一20 MHz帶寬的頻段工作。通過改變發送方的信號增益，能夠改變發送方的功率，結果如圖8所示。隨著發送方功率的增大，CTC的包傳輸率逐漸上升，最高可達92.6%。其中利用256-point的FFT數據能夠得到最佳的CTC通信效果，主要原因在于更細粒度的FFT結果意味著頻域上的分辨率更高，這使得CTC的解碼更為精確。

圖8 發送方的不同增益下CTC解調成功率Fig.8 PDR of CTC demodulation under different gains of the sender

5.3 干擾攻擊的效果

5.3.1 實驗設置

本文使用路由器(WNDR4300v1)作為攻擊設備，CTC的通信建立在USRP B210到路由器(Mercury MAC1200R)之間。實驗場景如圖9所示。

圖9 攻擊場景Fig.9 Attack scenario

5.3.2 持續性干擾

在禁用WNDR4300v1路由器的載波監聽之后，通過mac80211子系統能夠持續注入數據包。為了便于測試不同干擾信號與原始信號之比(Jamming-to-Signal ratio,J/S)下的干擾效果，在實驗中固定了攻擊設備的發送功率，通過改變CTC通信時所用的功率來實現不同的J/S，測試結果如圖10所示。可見即使在J/S為-3 dB時，也可取得較好的干擾效果；但當J/S為-15 dB時，干擾幾乎不起作用。

圖10 持續性干擾對CTC的影響Fig.10 Effect of constant jamming on CTC

接下來進一步分析干擾成功的原因，圖11中呈現出1 s內CTC接收方所獲取到的FFT樣本數，當J/S較高時(3～9 dB)，由于攻擊者使用的干擾信號為WiFi信號，能夠使得CTC接收方進入RX狀態，使其能夠獲取的FFT樣本數量大幅減少，導致CTC無法進行。CTC時頻資源單元時域上為500 μs，因此即使在最理想狀態下，也需要1 s / 500 μs = 2 000個樣本才有解調CTC信號的可能性，因此當攻擊者使用較強的干擾信號時，被攻擊的路由器將完全失去解調CTC信號的能力。當J/S較低時(如-6～3 dB)，攻擊者發送的WiFi信號強度較弱，無法觸發CTC接收方的RX狀態，但其對CTC信號的影響依然足以干擾CTC的正常通信。因此即使該基于OFDM的CTC得到改進，能夠在更低的SINR下達到較好的通信效果，由于WiFi接收端匯報FFT數據的限制，依然能夠利用路由器作為攻擊設備，在J/S相對高一些時實現信號干擾。

圖11 持續性干擾對FFT樣本獲取的影響Fig.11 Effect of constant jamming on FFT acquisition

5.3.3 反應型干擾

在WNDR4300v1路由器上，實現了反應型干擾。以效果更好的基于ath10k驅動的使用256-point FFT的CTC為例，將其作為干擾目標，固定其發送端的發送功率，將攻擊設備(一臺路由器)放置在CTC系統附近，以使攻擊設備能夠檢測到CTC信號，同時攻擊設備發出的干擾信號強度足夠對CTC通信進行干擾。對于反應型干擾而言，在檢測到需要干擾的信號之后，成功干擾的關鍵因素在于從檢測信號到發射干擾信號所需的時間，因此目標信號本身的長度影響著反應型干擾的效果。我們測試了在CTC幀長不同的情況下，實現反應型干擾的效果，結果如圖12所示。其中橫坐標為一個CTC幀的載荷長度，一單位的長度代表500 μs的幀長。當載荷長度至少為6，即CTC幀的長度(包括前導碼)為4 ms時，反應型干擾能夠很好地起作用，CTC的PDR下降可達73.4%。

圖12 反應型干擾對CTC的影響Fig.12 Effect of reactive jamming on CTC

圖13展示了反應型干擾對CTC速率的影響，固定每個CTC幀的間隔為100 ms，且使LTE-Unlicensed信號不斷發送，測試了不同幀長下的傳輸速率。在未受干擾時，隨著幀長的增加，CTC 的速率不斷上升，但由于越長的幀，越容易受到干擾，因而受到反應型干擾時，CTC的傳輸速率在100 ms的幀間距下將低于100 bit/s。

反應型干擾未能完全阻止CTC通信的部分原因在于本文攻擊的實現是在用戶空間完成的，FFT數據需要先從內核傳輸到用戶空間，造成額外的時延，而且FFT數據獲取時本身時延有較大不確定性，這些給反應型干擾帶來了較大挑戰。此外攻擊設備的驅動基于ath9k，只能匯報56-point的FFT數據，本身在檢測CTC信號的能力上相比256-point的FFT數據更弱。使用更高性能，具備256-point的FFT數據匯報功能的路由器能使反應型干擾更為有效。

圖13 反應型干擾對傳輸速率的影響Fig.13 Effect of reactive jamming on transmission rate

5.3.4 干擾增益

干擾增益的定義為“在達到相同的干擾效果時，持續性干擾與所考慮的干擾產生信號的時間之比”[24]，即若Tc為持續性干擾所發射信號的總時間，Tr為反應型干擾發射信號的時間，則干擾增益為10lg(Tc/Tr)。固定CTC幀間距為100 ms，圖14顯示了不同長度的CTC數據幀下的干擾增益，隨著載荷長度的增加，干擾增益逐漸提高。所有載荷長度下的平均增益可達17.26 dB，由此可見反應型干擾相比持續性干擾的巨大優勢。若提高CTC數據幀之間的間隔，干擾增益還能得到更大的提升。

圖14 不同載荷長度時的干擾增益Fig.14 Jamming gain of different payload length

6 防御措施

利用商用WiFi設備對CTC進行干擾，尤其是反應型干擾，給CTC帶來了極大的威脅。要應對這種攻擊方式，從干擾的檢測和抗干擾措施兩方面進行討論。

6.1 干擾檢測

對于干擾的檢測可分為物理層和介質訪問控制(Medium Access Control，MAC)層兩類方法[24]。由于針對基于OFDM的CTC的干擾屬于物理層的干擾，因而這里主要討論基于物理層的干擾檢測方法。對于持續性干擾的檢測可以利用檢測載波監聽的時間來完成[25]，即正常情況下載波監聽的時間分布是已知的，當出現干擾時，該分布會發生改變，從而實現對干擾的檢測，但該方式對于反應型干擾無效。對于更難檢測的反應型干擾，可以利用一致性檢測[24]的方式，如檢測系統同時測量PDR和接收信號的強度(Received Signal Strength,RSS)，當出現低的PDR卻有著高的RSS時，很可能節點已經被干擾了。

6.2 抗干擾措施

要對抗干擾攻擊，一個簡單直接的方式便是提高發送方的功率，從而提高接收方的SINR，該方式對于有CSMA/CA機制的發送方而言可能無效，因為干擾信號有可能直接抑制發送方信號的發送，但對于不使用CSMA/CA的LTE-U節點來說，該方法不失為抗干擾的良策。此外，還可以使用跳頻的方式來避開被干擾的信道，尤其在5 GHz的ISM頻段，有23個不重疊的信道，跳頻的選擇空間很大，CTC通信雙方還可利用預共享的密鑰來防止攻擊者預測到跳頻的模式。

7 結束語

基于OFDM的CTC其實能夠實現雙向的通信，本文主要針對其從LTE-Unlicensed到WiFi方向的CTC進行了干擾。而對于從WiFi到LTE-Unlicensed方向的CTC，其發出的信號依然是合法的WiFi數據包。另外WiFi設備由于CSMA/CA機制的存在，在發送數據之前需要判斷信道是否空閑，因此可以通過發射干擾信號觸發WiFi設備的回退(Backoff)，從而阻止其傳輸數據包。Vanhoef[10]等人提出的通過修改固件的方法，已經可以利用商用USB無線網卡對WiFi設備實現信號干擾。類似的，使用路由器作為干擾信號發射源，同樣可以通過觸發CTC發送方的Backoff方式阻礙其進行CTC通信。相比之下，LTE-Unlicensed的某些版本(如LTE-U)并沒有使用CSMA/CA的機制，該方法無法通過觸發backoff的方式阻礙LTE-U節點發送信號。因此本文重點關注的是LTE-Unlicensed到WiFi這個方向的CTC。

目前絕大部分CTC的相關工作集中于CTC實現，而缺少對其安全性的考慮。對于極具代表性與發展潛力的基于OFDM的CTC，本文首次針對其安全性進行了分析。本文利用軟件無線電設備和多臺商用WiFi路由器實現了基于OFDM的CTC，并首次提出可以使用商用WiFi設備對CTC進行干擾。利用廉價的路由器設備實現了對CTC的持續性和反應型干擾兩種干擾方式。在實際場景中的實驗顯示能夠對基于OFDM的CTC進行有效的干擾，其中反應型干擾能夠顯著降低CTC 73.4%的PDR。