無線網絡竊聽威脅及檢測技術進展*

王振東，任晨輝，安 潔，張騫允，劉建偉

(北京航空航天大學 網絡空間安全學院，北京 100191)

0 引言

近年來隨著5G 通信和物聯網等技術的發展，無線設備和無線網絡的規模急劇增加。在為大眾的日常生活提供極大便利的同時，無線通信也面臨著嚴峻的安全問題[1]。由于無線信號的開放性和無界性，針對無線網絡的攻擊越來越頻繁，防御難度也越來越大。在眾多無線網絡攻擊中，竊聽攻擊較為隱蔽，其危害不容小覷。竊聽攻擊不僅對國家秘密和國家安全造成極大威脅，而且關系到商業機密和個人隱私。防范竊聽威脅、開展針對竊聽攻擊的防御和檢測技術研究具有十分重要的現實意義與迫切的工程應用需求。

現階段對竊聽攻擊的防御手段大部分依賴密碼學方案，通過加密等密碼學技術保護消息的機密性[2]。然而密碼學方案增加了消息的大小和通信鏈路的負擔，造成了較大的傳輸延時。為了保證較低的傳輸延時和計算開銷，實際的無線設備往往采用安全強度較低的密碼學方案，無法有效防御竊聽攻擊。另外，一些算力受限的無線終端設備由于無法進行復雜運算而沒有部署密碼學方案，容易受到竊聽攻擊的威脅。與基于密碼學方案的被動防御手段相比，竊聽檢測方法研究針對無線竊聽器的主動防御技術，近年來受到更為廣泛的關注。

本文介紹了無線網絡的竊聽威脅分類，依據具體的基于原理，分類討論了主動竊聽攻擊和被動竊聽攻擊兩類威脅模型，其中被動竊聽攻擊方式僅從無線網絡中接收無線信號，而不發射任何電磁信號，因此具有更強的隱蔽性。針對這兩類竊聽攻擊手段，本文詳細討論了具體竊聽檢測方法及其優缺點，并重點綜述目前研究相對較少、檢測難度更大的被動竊聽攻擊的檢測技術。在此基礎上，深入討論了一種基于本振泄露檢測原理的隱藏式無線竊聽檢測系統設計與軟件無線電設計，以實現正常無線網絡環境中的隱藏式竊聽裝置檢測。

1 無線網絡的主要竊聽威脅

無線竊聽攻擊主要利用了電磁波在自由空間中的傳輸的無界性與無線網絡的開放性，只要竊聽攻擊方將竊聽設備調至合適的頻率，竊聽設備就可以接收無線網絡中合法用戶傳輸的信號[3]。根據竊聽設備在竊聽過程中是否會發射無線信號，可以將竊聽攻擊分為主動竊聽和被動竊聽。表1 列出了多種竊聽攻擊方法的無線攻擊信號及攻擊特點。

表1 竊聽攻擊方法對比

1.1 主動竊聽攻擊

如圖1 所示，主動竊聽者除了接收合法通信信號，還會向外傳輸攻擊信號。主動竊聽攻擊方式一般可依據竊聽者傳輸的攻擊信號種類及其攻擊目的進行分類：一是噪聲干擾，竊聽者將人為的干擾信號注入通信網絡，干擾信號可降低合法通信信道質量，使得合法發送方降低通信傳輸速率，從而縮減其與接收方之間的信道容量，此種方式沒有犧牲合法發送方與竊聽者之間的信道容量，有利于實現竊聽攻擊[4]；二是建設性欺騙中繼，當竊聽信道狀態較合法通信信道好時，竊聽者將建設性信號發送給合法接收方[5]，以增大通信速率，利于竊聽者竊取更多信息；三是導頻欺騙，竊聽者截獲合法接收方的導頻序列并重放給合法發送方，這種方式讓合法發送方不僅在估計合法信道狀態時產生失誤，還在根據估計出的合法信道而設計預編碼矩陣時偏向竊聽者，使竊聽者更易竊取信息[6]。

圖1 主動竊聽威脅模型示意圖

1.2 被動竊聽攻擊

如圖2 所示，在無線網絡中，被動竊聽者僅接收信號，而不發射任何攻擊無線信號。由于無線傳播介質的開放性和共享性，被動竊聽者可以監測正常合法通信過程，截獲合法傳輸信號，從中獲取信息，以達到其惡意攻擊的目的。由于被動竊聽者不會主動向外發送信號，以致環境中不會存在區別于合法信號的異常信號，增加了檢測竊聽器的難度。相應地，這也會使竊聽攻擊處于被動狀態。一些主動竊聽可通過注入合適的信號來達到改善信道狀態、提高成功實施竊聽攻擊機率的目的，而被動竊聽只能依賴于初始的信道質量，一旦竊聽信道狀態劣于合法信道，被動竊聽者就難以成功實施攻擊[4]。因此，被動竊聽攻擊設計通常會隱蔽地部署在距離合法節點較近的位置來提高信道質量，從而提高竊聽攻擊的成功率。

圖2 被動竊聽威脅模型示意圖

2 竊聽檢測技術研究現狀

2.1 針對主動竊聽的檢測方法

由于主動竊聽者主動發射無線電磁信號，除了竊聽網絡中傳播的信息外還可能惡意地干擾正常通信。對于主動竊聽器的檢測，其目的主要是識別并防范竊聽攻擊，因此這類無線竊聽攻擊的檢測可以通過檢測無線信道中的異常信號來判決。

目前，主動竊聽的方式主要有導頻欺騙式竊聽和噪聲干擾式竊聽，對于主動竊聽器的檢測技術研究也大多集中在這兩個方向。針對導頻欺騙式竊聽，有學者提出利用已知的相移鍵控符號來代替導頻符號并進一步通過相位檢測來防范主動攻擊[7]；另外，Xiong 等人設計了一種接收信號能量比(Energy Ratio Detection，ERD)探測器，通過探測發射器和合法接收器之間信號功率水平不對稱性來識別導頻欺騙攻擊[8]；Tugnait 等人在合法接收器的導頻序列上又疊加了一個隨機序列，結合一種最小描述長度(Minimum Description Length，MDL)算法來檢測主動竊聽器的存在[9]。伴隨著無線通信系統的進步，大規模多輸入多輸出(Massive Multiple-Input Multiple-Output，massive MIMO)技術的普及，在此基礎上苑坤鵬等人提出了一種通過添加隨機導頻并運用高維信源計數算法的主動竊聽器檢測技術[10]；類似地，徐麗采用基于大維隨機矩陣理論的方法實現了在大規模MIMO 系統中檢測主動竊聽器的存在[11]。針對噪聲干擾式竊聽，由于干擾器的存在會影響信號強度的分布，Xu 等人提出可以通過檢測信號強度并進一步識別主動竊聽器[12]；另外，通過頻域-時域轉換，Lv 等人設計了一種基于時頻分布的時變干擾檢測方法[13]。整體來說，隨著無線信道估計與信號檢測技術的長足進步，主動竊聽攻擊檢測手段日益豐富，檢測能力已經獲得了長足進步。

2.2 針對被動竊聽的檢測方法

相比于主動竊聽器，被動竊聽器只是被動接收無線環境中的信號而不會主動發射信號，這就導致難以運用檢測主動竊聽攻擊的手段來檢測被動竊聽攻擊。目前檢測被動竊聽裝置的研究發表較少，從已發表文獻來看，被動竊聽裝置的檢測原理主要有近場感應耦合、特征電磁輻射檢測以及本振泄露檢測三大類。

2.2.1 基于近場感應耦合效應的檢測方法

當接收天線和發射天線之間的距離小于所發射的電磁波波長時就會產生感應耦合現象，此時竊聽裝置天線的存在會使合法用戶之間的傳遞函數失諧，基于該特性，Varshney 等人[14]提出了一種在近場感應耦合通信的環境下(例如射頻識別)檢測竊聽器的方法。他們認為，感應耦合信道及傳遞函數可以利用相關幾何構造和發射器、接收器的特性來計算，而除了合法通信方外，環境中的竊聽設備也會參與耦合從而改變原本的傳遞函數，導致系統失諧。利用這一原理，就可以通過對比有無竊聽器時解碼的錯誤率來判斷是否存在竊聽設備。

但是這種方案是建立在合法通信方之間可獲得不存在竊聽器時的信道參數的基礎上，在現實環境中，這是很難做到的。并且，在實際的無線通信應用中，通信往往是在遠場條件下進行。常見的短距離無線通信傳輸距離如表2 所示，表中的Bluetooth、ZigBee 和WiFi 為遠場通信技術。由于竊聽器的存在并不會明顯地改變發射器和接收器之間的無線信道以及傳遞函數，遠場通信場景下無法使用基于近場感應耦合效應的檢測方法。

表2 常見的短距離無線通信傳輸距離

2.2.2 基于特征電磁輻射的檢測方法

通信設備中普遍存在的集成電路或芯片都會隨著其傳輸或者處理的信號內容變化，產生微弱的電磁輻射。若無線環境中存在著竊聽設備，當其接收特定的信息并對其進行處理時就會產生具有獨特時頻特征的電磁輻射，因此可以通過檢測具備已知特征的電磁輻射來判斷被動竊聽裝置的存在。

目前已有學者基于這一原理進行被動竊聽裝置的檢測技術研究，包括對刺激信號觸發電磁輻射的討論并驗證通過電磁輻射特性檢測被動竊聽器存在的可能[15]；對不同的檢測方法進行對比、結合濾波器運用數字信號處理的方法將電磁輻射的檢測數據轉換為聲信號來暴露竊聽器的存在等嘗試[16]。

除了上述工作之外，被動竊聽器必須將接收到的數據進行寫入操作，此時內存芯片會產生相應的電磁輻射，Shen 等人基于此設計了EarFisher 檢測系統[17]。他們通過廣播特定的數據包來刺激隱藏的竊聽裝置并檢測竊聽設備將接收到的數據寫入時所產生的電磁輻射來探測竊聽器的存在。測試結果表明，EarFisher 可以在復雜的信號條件下排除一定的干擾并準確地檢測出竊聽設備，同時還具有良好的自適應性。

然而電子設備在受到刺激時所產生的電磁輻射信號通常十分微弱，且局限于特定的芯片或者電路結構，導致對竊聽設備的檢測難以獲得廣泛應用，并且在大部分的研究中難以高效區分出合法接收設備和隱藏的竊聽設備，在檢測成本和系統復雜度上仍存在諸多提升空間。

2.2.3 基于本振泄露的檢測方法

隱藏式竊聽器作為一個無線接收機，在技術原理與硬件實現上通常具有與合法接收機相同的電路組成。如圖3 所示，以超外差接收機為例，每個發射器和接收機都有本地振蕩器，本地振蕩器將直流電轉換成具有一定頻率、振幅等的交流信號，這些信號在發射器內可作為載波信號將基帶信號調制成適合射頻無線傳輸的信號，而在接收機中則通常與接收信號經過混頻器解調出基帶信號。依據電磁輻射特性，本地振蕩器工作時生成的本振信號除了會通過預期傳導路徑，比如混頻器中本振信號的輸入口，還會經其他路徑到達天線向空間輻射。本振信號通過非預期傳導路徑的產生輻射效應的行為稱作本振泄露。本振泄露是難以避免的，具有本地振蕩器的設備在工作時一般都會產生本振泄露，因此可以通過檢測環境中的本振泄露信號來檢測附近的發射機或接收機。另外，由于硬件層面的制造工藝存在一定的誤差，不同設備間的本地振蕩器頻率一般不同，因此它們的本振泄露信號也存在微小的頻率差異，可以通過頻域分析方法同時對多個接收機進行檢測和識別。

圖3 含本地振蕩器的超外差接收機原理示意圖

Wild 和Ramchandran 首先探究了如何利用本振泄露來檢測無線接收機，他們利用已有的組件設計了一個檢測器，然后將一個電視接收機作為被檢測設備并最終驗證了通過本振泄露來判斷無線接收機存在的可能[18]。此外，Park 等人提出了一種通過檢測接收機本振泄露來識別超寬帶(Ultra Wide Band，UWB)全球微波接入互操作性移動終端(WiMAX MT)設備的技術[19]。他們指出，當UWB 設備在傳輸之前掃描UWB 通信范圍內占用的WiMAX 頻段時，該項技術是十分有效的。隨后，他們還利用傅里葉變換對該項技術進行了后續的探索與優化，進一步提高了對接收機本振泄露檢測的精度。Mukherjee 等人討論了如何在MIMO 系統中利用本振泄露來檢測被動竊聽器[20]。并且，他們還分析了非相干能量檢測以及最佳相干檢測的性能，展示了如何利用所提出的方案來提高信道的保密效果。但是作者只對這項技術進行了理論上的演示，他們假設在對竊聽器進行檢測的過程中需要環境中的其他合法通信方暫停通信，這在現實中是難以實現的。Chaman 等人進一步研究了合法通信信號存在的情況下本振泄露的檢測問題，通過消除子載波旁瓣偽影、空域消除合法通信信號等手段實現對竊聽器的檢測[21]。

雖然本振泄露普遍存在且可以將其作為檢測竊聽器的一個手段，但在實際環境中，本振泄露的信號強度一般都比較低，從而限制了竊聽器的可檢測距離。如果本振泄露的功率過小，環境噪聲會將本振泄露信號淹沒，使得基于本振泄露的檢測方法失效。另外，在正常的通信環境中，傳輸信號和其他合法通信設備的本振泄露也會對竊聽器的本振檢測帶來困難。

3 基于軟件無線電的本振泄露竊聽檢測系統

如前文所述，在被動竊聽器的檢測方法中，基于近場感應耦合效應檢測和基于電磁輻射檢測的方法都存在比較大的限制條件。基于近場感應耦合效應的檢測距離受限于竊聽器的工作頻率和天線結構。以2.4 GHz 頻段為例，工作頻率為2.4 GHz 的小型化天線的近場區距離往往小于1 cm，因此這類方法檢測難度較大。而現有基于電磁輻射的檢測方法要求竊聽器中具有特定的芯片和電路，因此這類方法適用范圍存在限制。另一方面，天線和本地振蕩器作為現階段無線接收裝置的必備組成部分，通過檢測本振泄露來判斷竊聽裝置的存在性是一種通用的方案。本文從本振泄露出發，以WiFi 頻段無線竊聽裝置檢測為例，介紹了一種基于軟件無線電裝置的無線竊聽器檢測系統，能夠在成本可控的同時以比較高的準確率檢測出微弱的本振信號，從而實現了對隱藏式無線竊聽裝置的無損檢測。

3.1 系統架構與處理流程

該系統的架構如圖4 所示，硬件層使用USRP 軟件無線電設備接收環境信號；數據采集層采集數據并對數據進行預處理；信號處理層對數據采集層的信號進行頻域偽影消除、空間對消和環境噪聲消除；應用服務層為前端GUI，與用戶進行交互,根據用戶需要顯示竊聽者數量、信號源數量和處理后的時域頻域波形圖。

圖4 竊聽檢測系統架構

其中，信號處理層為該系統的主要模塊，該模塊的功能是消除接收信號中的合法通信信號。首先，該模塊通過加權最小二乘法最小化誤差函數計算信號子載波的頻率與復振幅，并進一步重構出通信信號，再利用重構信號與接收信號在頻域維度消除由信號不連續性引起的偽影和雜散頻率。除此之外，在空域維度，該模塊使用基于先驗信道的載頻對消技術消除直流窗口中剩余合法發射機的信號。最后再將所有消除后的樣本組合進行大時間窗快速傅里葉變換，通過長時相參積累削弱環境噪聲的影響。經過上述處理，該模塊暴露了竊聽器的本振信號并將分析結果傳遞給應用服務層。

該系統的工作流程如下：首先使用USRP 軟件無線電接收環境中的WiFi 信號，然后用GNU Radio 3.9對信號進行預處理，處理后的數據傳入MATLAB 中進行頻域偽影消除、空間對消、環境噪聲消除，經過上述處理，發射機的合法信號被消除，噪聲影響也被降低，竊聽者的本振泄漏信號被暴露出來，系統就可以在應用服務層輸出結果，用戶就可以獲得目標環境的無線竊聽器檢測報告。

3.2 系統實現

使用USRP X310 軟件無線電實現了該系統并配置A、B 兩根天線接收環境中的信號，然后用電腦對接收到的信號進行處理，系統配置如表3 所示。

表3 系統配置表

首先為了驗證檢測網卡本振泄露的可行性，對實驗使用的電腦網卡進行了測試。表4 顯示了將網卡中心頻率設置為5.7 GHz 時，網卡的本振泄露的泄露頻率和信噪比。

表4 網卡本振泄露頻率及信噪比

除了使用網卡外，攻擊者也可以使用USRP 軟件無線電進行竊聽。使用USRP 作為竊聽器的優勢在于攻擊者可以自主調節監聽頻段，并在軟件中解碼接收到的信號。為了在不同的頻率下工作，USRP軟件無線電需要使用支持工作頻率范圍的RF 子板，其本振泄漏位于中心頻率處。

基于此，使用一臺USRP B210作為發射機，傳輸標準的WiFi 數據包，同時使用兩臺USRP B210 分別作為接收機和竊聽器進行實驗。為了減小干擾，在5.08 GHz 下進行實驗，并在這個條件下收集到了該系統性能的基準結果，然后進一步在不同信噪比下進行了性能測試來繼續探究該系統工作的信噪比范圍。

3.3 功能測試及分析

功能測試的目的為確定該系統能否正確檢測出通信環境中竊聽器的本振信號。

在進行正式無線通信環境下對竊聽器檢測的實驗前，首先進行了有線通信環境下的預檢測，其實驗測試環境如圖5 所示，通過同軸線連接信號發射機以及竊聽裝置，并布置該竊聽器檢測系統進行檢測。有線通信相較于正常的無線通信環境噪聲更小，可以有效驗證該系統功能的正確性。經過測試，成功實現了在有線環境下對于竊聽器泄露的本振信號的檢測從而證明竊聽器存在，系統處理過后的圖像如圖6 所示，能夠明顯看到竊聽器的本振泄露信號所形成的尖峰，初步驗證了該系統能夠檢測本振信號。

圖5 有線環境測試實驗圖

圖6 有線環境下竊聽器本振信號

無線通信環境下的測試實驗如圖7 所示，其中發射機正常發射信號，竊聽器進行竊聽，合法接收機正常接收信號，該檢測系統接收環境中的信號并進行頻域消除、空間對消等處理，處理后的結果如圖8 所示，可以明顯看到兩個峰值，這代表著成功消除了通信信號，暴露出了環境中的竊聽器本振信號和合法接收機本振信號，證明了竊聽者的存在。

圖7 無線環境測試實驗圖

圖8 無線環境下竊聽器和合法接收機本振信號

通過在無線環境中進行實驗，證明該系統可以在合法發射機和合法接收機進行正常通信的條件下實現對竊聽器的檢測，驗證了本方案在實際應用中功能的正確性。

3.4 性能測試及分析

考慮到竊聽器工作的復雜通信環境，需要對該系統在不同信噪比下的性能進行檢測，并確定本方案的工作環境的信噪比。測試了有線通信環境中48 dB、43 dB、38 dB、26 dB、25 dB、20 dB 信噪比下本方案的工作效果，以及無線環境下48 dB 和45 dB信噪比下本方案的工作效果，結果如表5 所示。

表5 不同信噪比下檢測性能表

經過測試，在有線信道中信噪比大于25 dB 時該系統有很好的檢測成功率，當信噪比小于25 dB 時，空間對消處理后的結果難以判斷竊聽器的本振信號，對于竊聽器的檢測難度較大，因此可以認為有線通信環境中25 dB 信噪比為本方案的邊界環境。

無線通信環境下該系統的性能表現更加值得關注。為了簡化實驗，在進行無線環境下的性能測試時并不部署合法接收機，實驗結果表明，在環境中存在竊聽器和該檢測系統，且合法發射機正常發射信號(信噪比為48 dB)的條件下，對收集到的數據進行處理后的圖像可以非常清晰地分辨出竊聽器的本振信號。在信噪比為45 dB、竊聽器距離1 m的條件下，對數據進行處理后的圖像如圖9 所示，可以清晰地看到此時竊聽器的本振信號。

圖9 信噪比45 dB 下竊聽器本振信號

但在低于45 dB 的信噪比下，空間對消處理后的結果難以判斷竊聽器的本振信號，對于竊聽器本振泄露的檢測難度大。通過上述實驗結果，該系統可以在實際的無線通信環境中在高于45 dB 的條件下較好地提取無線竊聽器的本振泄露，并以95%的正確率檢測到1 m 范圍的竊聽器，且允許環境中有其他合法通信者可以進行正常通信。

需要指出的是，由于本振泄露功率微弱，可以預見隨著檢測距離的不斷增加，基于檢測本振泄露原理的這類竊聽裝置檢測手段在檢測距離上仍存在本質上的困難。面向真正意義上的遠距離無損檢測，仍需在原理上提出更為新穎的方案。

4 結論

隨著無線通信規模的快速發展，無線網絡的安全問題越來越突出。針對無線網絡的竊聽威脅嚴重危害到國家安全、商業機密和個人隱私，研究針對無線竊聽器的檢測技術具有重大的意義。無線竊聽威脅主要包括主動竊聽攻擊和被動竊聽攻擊。針對被動竊聽攻擊的檢測方法主要有三類，分別是基于電磁泄露的檢測方法、基于近場感應耦合效應的檢測方法和基于本振泄露的檢測方法。目前，基于本振泄露的檢測方法相比而言具有更好的通用性和較高的檢測性能。本文以WiFi 頻段的隱藏式竊聽裝置為例，介紹了一種基于本振泄露原理的竊聽檢測軟件無線電實現方案，驗證了隱藏式被動竊聽裝置檢測方法的可行性。通過對硬件系統設計和信號處理算法的進一步優化，有望進一步提高該方法的檢測性能，實現更具工程實用性的隱藏式被動無線竊聽裝置的無損檢測。面向未來更遠距離條件下的被動竊聽裝置無損檢測，仍需在檢測原理上有所突破，利用無線接收機的獨有特點，提出新型檢測方案，實現這類隱蔽程度高、危害程度大的被動竊聽攻擊的有效應對。