物理層認證的中間人導頻攻擊分析

王少禹 黃開枝 許曉明 馬克明 陳亞軍

(戰略支援部隊信息工程大學 鄭州 450001)

1 引言

隨著5G和移動互聯時代的到來以及泄密事件的層出不窮，無線通信的安全問題得到越來越多的重視。而認證是無線節點之間安全通信的第1道屏障，用于確認節點身份或消息來源的合法性，是無線通信安全體系的“門衛”。除基于高層密碼體制的認證方法外，近年來逐漸興起基于物理層的認證方法研究。物理層認證利用無線信道的時變性、空間不相關性和唯一性實現無線節點的身份或消息認證[1]，具有開銷低、輕量級、安全內生等特點，因而得到越來越多的研究。物理層認證包含基于射頻指紋的認證和基于信道狀態信息(Channel State Information, CSI)的認證，本文所涉及的物理層認證僅指代基于CSI的認證。物理層認證可大致分為兩種基本機制，一種是基于信道狀態信息的比較認證機制(CSI-based Comparative Authentication mechanisms)，基本原理是將CSI作為認證可信根，通過比較當前消息的CSI和上一消息的CSI，確認當前消息來源的合法性。另一種是基于CSI的加密認證機制(CSI-based Encryption Authentication mechanisms)，基本原理是發送端通過CSI對信號進行加密，對端通過具有互易性的CSI對信號進行解密，從而完成認證過程。文獻[2-4]首先從移動環境、時變環境、MIMO系統等多個場景對比較認證機制進行了豐富的研究，并進行了實驗驗證。文獻[5]中提出的挑戰-響應機制和文獻[6-8]中提出的物理層-高層融合認證機制是加密認證機制中的代表，在比較認證的思路之外，創新了物理層認證的應用方式。

然而，物理層認證依賴于CSI的私有性，即攻擊者無法得知當前合法通信雙方的CSI。一旦攻擊者通過某種手段控制合法通信雙方的信道測量，物理層認證就面臨被攻破的風險。人們熟知的導頻污染攻擊就可以看作一種信道測量控制手段，文獻[9]在合法通信雙方的信道估計過程中發送相同的導頻信號，使得合法方估計的信道部分來源于攻擊信道，從而使攻擊者獲取合法鏈路CSI的部分信息。文獻[10]研究了中間人主動攻擊下的物理層密鑰生成，并定量分析了對物理層密鑰生成帶來的負面影響。目前，還沒有人研究過針對物理層認證的主動攻擊，事實上，假如攻擊者獲得了合法信道的部分或全部信息，就可以對物理層認證發起攻擊，這是由物理層安全的內在屬性決定的，即依賴于無線信道的私有性。

針對物理層認證中的安全缺陷，本文提出了一種中間人導頻攻擊方法(MITM)，并基于該攻擊方法進行了攻擊分析和仿真驗證。本文首先總結了物理層認證的兩種基本機制，闡述了物理層認證的基本原理；然后對中間人導頻攻擊進行建模，揭示了中間人導頻攻擊的內在機理；進一步地，提出一種漸進無感的接入策略，使得攻擊者能夠順利接入合法通信過程；最后，在攻擊者順利接入合法通信過程后，針對兩種基本物理層認證機制進行攻擊分析和仿真驗證。

2 物理層認證的兩種基本機制

2.1 基于CSI的比較認證機制

基于CSI的比較認證機制基本原理可總結為圖1流程，Bob對來自Alice的信號進行認證。在通信初始時刻，Bob通過高層認證確保HAB,0來自于合法Alice，建立認證起點并存儲HAB,0。在后續時刻，Bob比較當前幀的CSI和上一時刻存儲的CSI，檢驗是否滿足 diff(HAB,t?HAB,t?1)<Γ。若滿足，則Bob認為當前幀來自于合法Alice并更新當前存儲的CSI；否則，拒絕當前消息。由于無線信道的空間去相關性和時變性，Eve很難復制當前合法CSI。

圖1 基于CSI的比較認證機制基本流程

2.2 基于CSI的加密認證機制

基于CSI的加密認證機制基本原理可總結為圖2流程，簡單來說，通信一方利用HAB對認證向量進行某種形式的加密運算，通信另一方利用與HAB互易的HBA對信號進行相應的解密，從而完成認證過程。基于CSI的加密認證有多種應用方式，文獻[5-8]中物理層-高層融合認證機制本質上都是CSI加密認證機制基本原理的應用。

圖2 基于CSI的加密認證機制基本流程

3 中間人導頻攻擊系統模型

無論是基于CSI的比較認證機制還是基于CSI的加密認證機制，其安全性都依賴于通信雙方無線信道的私有性和唯一性。本節將介紹一種中間人導頻攻擊模型，通過操控Alice和Bob之間的信道估計過程，竊取Alice和Bob之間的信道狀態信息。

中間人導頻攻擊模型如圖3所示，考慮時分雙工系統(TDD)。假設有一個中間人導頻攻擊者(Man-in-the Middle (MITM) attacker)Eve，能夠跟蹤Alice和Bob的傳輸過程并進行同步。Eve為了隱蔽自己的身份和活動，采用透明轉發模式，不對接收到的信息進行篡改和偽造，Eve接收來自Alice(Bob)的公開導頻并透明放大轉發至Bob(Alice)。假設信道為準靜態塊衰落信道，Alice,Bob, Eve處分別配備NA，NB，NE根天線，各節點采用最小二乘(Least Squares, LS)信道估計算法。

圖3 中間人導頻攻擊模型

采用和Alice, Bob相同的信道估計過程，Eve能夠估計其與Alice和Bob之間的信道

4 中間人導頻攻擊的漸進無感接入策略

由式(12)和式(13)可知，當存在Eve時，Alice或Bob所估計的信道中“混入”了Alice-Eve-Bob攻擊鏈路的CSI，若Eve直接接入Alice和Bob之間，會導致Alice或Bob所估計的CSI發生較大變化，從而導致認證失敗和通信過程中斷。因此，在考慮利用中間人導頻攻擊者實施攻擊時，應首先考慮攻擊者Eve的接入問題。

另外，為了對抗信道估計誤差和信道的時變性，物理層認證機制一般為CSI的變化留有一定的容忍度，即具有一定的魯棒性。這種“魯棒性”一方面增強了物理層機制的健壯性，另一方面為中間人導頻攻擊的接入留下了空間和漏洞。中間人導頻攻擊者Eve能夠逐步增大轉發時的導頻功率，利用物理層認證機制為CSI變化留下的“裕度”，使得中間人接入過程中的信道波動在物理層認證機制的“容忍”范圍內，從而漸進接入Alice和Bob之間。本文將這種方式稱為漸進無感的接入策略。下面主要基于CSI的比較認證機制，給出Eve的漸進無感接入策略。其他物理層認證機制的接入過程需要針對性分析，本節重在闡述漸進無感接入策略的基本思想。

Bob利用二元假設檢驗判斷發送者是否合法，零假設H0代表前后兩幀的信道狀態信息很相近，當前幀的發送者仍然是Alice；備擇假設H1代表前后兩幀的信道狀態發生了較大變化，當前幀的發送者不是Alice。

采用基于廣義似然比檢測(Generalized Likelihood Ratio Test, GLRT)的假設檢驗統計量[4]。

在基于CSI的比較認證機制中，虛警率(I類錯誤，將Alice誤判為攻擊者Eve)和漏檢率(II類錯誤，將攻擊者Eve誤判為Alice)定義為

圖4給出了Eve從0開始首次增大導頻轉發功率時，Alice和Bob之間認證成功率(1-虛警率)的變化。由圖4可知，隨著放大轉發系數的增大，斜率k不斷增加，認證成功率逐漸變小，特別是當k>10時，認證成功率急劇下降，說明當k>10時，由于Eve導頻功率的增大而帶來的信道變化已經超過了認證門限Γ的“容忍度”，極易引起Eve接入過程的失敗。對比Γ=9,10,11 3條曲線可以發現，門限值Γ越大，對Eve導頻功率的變化容忍度越高，即允許Eve導頻功率以一個較大的速率增長。

攻擊者的放大轉發系數在漸進增大過程中所設定的目標值，稱為放大轉發系數的目標值。由圖5可知，放大轉發系數的目標值越大，Eve成功接入的概率越小，其原因是對相同的增大斜率k來說，放大轉發系數的目標值越大，Eve經歷的導頻功率增加過程越長，而每一次導頻增大都帶來一定的失敗風險，因而造成最終接入概率越小。當k=18時，Eve成功接入概率變得很小，這和圖4中當k>10時信道變化超過門限值Γ的“容忍度”的分析是吻合的。

圖4 Eve首次增大轉發功率時認證成功率隨斜率 k的變化

圖5 Eve成功接入概率隨放大轉發系數目標值的變化

由圖6可知，當斜率k<8時，即使對于較大的放大轉發系數目標值，Eve仍然能夠以一個較高的概率成功接入；當以k>8的斜率接入時，信道的快速變化逐漸引起物理層比較認證機制的察覺，因而造成成功接入概率較低。因此，Eve若要實現“無感”接入，需要以較小的斜率“漸進”增大導頻功率，這正是漸進無感接入策略的含義。

圖6 不同目標值下Eve成功接入概率與增大斜率k 的關系

5 針對物理層認證的攻擊分析

當中間人導頻攻擊者Eve按照第4節所述的漸進無感策略接入Alice和Bob之間后，可對兩種物理層認證機制發起多種形式的攻擊。本節主要對兩種物理層認證機制進行攻擊分析并仿真驗證。

5.1 針對基于CSI的比較認證機制的攻擊

5.1.1 拒絕服務攻擊

當中間人導頻攻擊者Eve成功接入后，Eve可以通過突然大幅改變導頻轉發功率使得當前認證失敗，但這種方式容易暴露竊聽者的目的和位置[11-13]。本小節提出了一種綠色環保隱蔽的Eve隨機相位加擾的方法操控Bob處的信道快變，從而使Alice無法通過認證，達到拒絕服務攻擊的效果。

圖7給出了Eve采用隨機相位加擾方法時，Bob拒絕服務的概率與放大轉發系數大小的關系。放大轉發系數越大意味著攻擊信道在合法信道中的比重越大，因此采用隨機相位加擾方法時的拒絕服務攻擊效果越好。由圖7可以看出，當放大轉發系數大于20時，拒絕服務的概率達到0.9。這意味著拒絕服務攻擊對Eve導頻功率的大小要求很低，只需要很小的導頻功率就可以成功實施拒絕服務攻擊。拒絕服務攻擊達到了阻斷當前Alice和Bob之間通信的效果。

圖7 拒絕服務概率與放大轉發系數的關系

5.1.2 仿冒接入攻擊

當Eve轉發的導頻功率相對Alice到Bob的導頻功率足夠大時，Bob在信道估計時甚至會把攻擊信道當做合法信道，此時攻擊者Eve極有可能取代Alice接入Bob，實施仿冒Alice身份進行接入。下面通過仿真說明仿冒接入攻擊效果，仿真參數在表1中列出。

表1 仿真參數列表

圖8給出了仿冒接入成功率隨放大轉發系數的變化，由圖可知，隨著放大轉發系數的增大，仿冒接入攻擊成功率在很大的區間內保持為0；直到放大轉發系數超過120，仿冒接入成功率才開始逐漸增大。其原因是仿冒接入攻擊是用攻擊信道替換原來的混合信道，在仿冒接入攻擊時Bob處估計的信道中不再包含Alice到Bob間的信道，因而使得信道發生變化并超出了門限值Γ的“容忍度”。只有當攻擊信道在混合信道中占據絕對優勢時，仿冒接入攻擊才有成功的可能性。這意味著仿冒接入攻擊實施難度較高，一方面這種攻擊對Eve導頻的功率要求很高；另一方面過高的Eve導頻功率不僅導致接入過程漫長，成功率低(由圖5可以得出該結論)，而且容易被Alice或Bob檢測發現Eve的導頻攻擊行為。但需要指出，Eve仍然有一定機會實施仿冒接入攻擊，即使是較小的攻擊成功率，對于Alice和Bob來說也是不可接受的。

圖8 仿冒接入成功率隨放大轉發系數的變化

5.2 針對基于CSI的加密認證機制的攻擊

基于CSI的加密認證機制基本思想是利用物理信道所蘊含的豐富信息對信號進行加密，接收端利用信號互易性進行解密，從而完成認證過程。在中間人導頻攻擊下，由式(12)和式(13)可知，發送端和接收端加密認證所使用的物理信道信息面臨污染和泄露。由于基于CSI的加密認證機制多種多樣，本節僅從信息論角度給出中間人導頻攻擊效果的理論值，并仿真說明中間人導頻攻擊的效果。

該比值的大小更加直觀地反映了Eve的攻擊效果。本節利用Szabo[15]開發的ITE(Information Theoretical Estimators, ITE)MATLAB工具箱計算Shannon互信息，利用蒙特卡洛仿真求互信息平均值。

圖9仿真了Alice和Bob間信道的互信息、條件互信息以及信息泄漏量隨放大轉發系數的變化。每個信道矩陣包含64個復數元素，本文中互信息計算的是64個復數矩陣元素的互信息量。由圖9可知，隨著放大轉發系數的增大，條件互信息不斷減少，信息泄漏量持續增加，中間人導頻攻擊所能獲得的私密認證信息越來越多，攻擊效果越來越好，這和本文的理論和邏輯分析是一致的。圖10通過信息泄漏率隨放大轉發系數的變化曲線，更加直觀地說明了中間人導頻攻擊的效果。隨著放大轉發系數的增大，信息泄漏率越來越高，在放大轉發系數為40時，信息泄漏率就已經接近50%。隨著Eve攻擊次數的增加，Eve持續累積關于認證向量的密文和對應明文，就有可能實現對認證向量的完全破解。

圖9 互信息、條件互信息、信息泄漏量隨放大轉發系數的變化

圖10 信息泄漏率隨放大轉發系數的變化

5.3 關于中間人導頻攻擊的防護

對于基于CSI的比較認證機制來說，中間人導頻攻擊很難防護，一種可行的辦法是加大對中間人導頻攻擊的檢測力度，可參考一般導頻攻擊的檢測方法，從源頭上杜絕攻擊者的存在。

對于基于CSI的加密認證機制來說，可以采取文獻[16]中的私密導頻方法，即通過Alice和Bob共享私密導頻序列，從而杜絕Eve獲得任何信道狀態信息。該私密導頻方法可簡要敘述如下：

(1) Alice和Bob利用高層秘密信息對私密導頻的種子信息進行初始化；

(2) Alice和Bob根據初始私密導頻進行信道估計，根據信道估計值生成私密導頻新的種子信息；

(3) 根據新的種子信息對私密導頻進行更新。

中間人導頻攻擊檢測和私密導頻方法均對中間人導頻攻擊有良好的防護作用，但也付出了一定防護代價，增加了計算開銷，對系統延遲也有一定影響。因此，系統安全性的提高往往伴隨著復雜度等多方面開銷的增加。無論是高層密碼技術還是物理層安全技術，安全性的提高均要付出一定代價，安全與防護呈現交替螺旋式上升關系。

6 結束語

本文針對現有物理層認證機制依賴信道狀態信息私有性的特點，對物理層認證的中間人導頻攻擊進行了分析。中間人導頻攻擊通過控制合法通信雙方的信道測量，破壞合法信道的私有性，可采用漸進無感接入策略接入合法通信過程，進而發起拒絕服務攻擊、仿冒接入攻擊、破解認證向量等多種攻擊方式。對中間人導頻攻擊的防護需要加大對中間人導頻攻擊者的檢測力度或采用某種手段保護信道探測過程的私密性，可留作后續研究。