频移反向散射系统的窃听与欺骗攻击方法

2022-05-13 03:01王天祎朱丰源田晓华
信号处理 2022年4期
关键词:攻击者探针接收机

王天祎 朱丰源 田晓华

(上海交通大学电子信息与电气工程学院电子工程系,上海 200240)

1 引言

随着物联网技术(Internet of Things,IoT)的飞速发展,构建一个传感器无处不在并且互相连接的世界成为美好的愿景,其关键挑战是设计易于部署并能长时间运行的设备。反向散射通信(Backscatter Communication)是一种新兴的微瓦级低功耗无线通信方式,可以满足万物互联的需求。反向散射通信系统中的反向散射标签通过反射附近射频发射机发送的激励信号,有选择地改变反射信号的幅度、频率或者相位来调制标签上的数据,接收机捕捉反向散射信号后进行处理并提取标签信息。与传统通信设备不同,反向散射标签去除有源射频信号生成部分,仅保留数字基带部分,因此,反向散射通信可以极大地降低通信功耗,从而达到长时间运行的目的。

文献[1]首次提出完全依靠从环境射频(Radio Frequency,RF)信号收集能量运行的反向散射通信系统,反向散射标签通过吸收或者反射RF信号来发送“0”或“1”数据,并通过检测自身周围累积的射频能量强度判别来自其他标签的数据,完成标签到标签的通信。由于需要长时间检测环境射频能量强度来设置标签判别阈值,且环境射频信号能量弱,该系统存在通信距离短,速率慢的缺陷,并且无法使用商用设备接收标签反射信号。为实现商用设备接收,使标签接入互联网,文献[2]提出使用标签调制Wi-Fi 信道的方案,反射信号改变每个Wi-Fi数据包的信道状态信息(Channel State Information,CSI)和接收信号强度指标(Received Signal Strength Indicator,RSSI)测量值,商用移动设备通过检测上述测量值的变化解码标签信息,但仍未解决通信速率慢的问题。文献[3]在标签上设计不同长度射频延迟线为入射信号提供不同的相移,使标签对Wi-Fi信号进行高效的相位调制,从而提升数据率;接收机采用全双工无线电中的技术消除来自发射机泄漏和环境反射的自干扰信号,但这导致无法直接使用商用设备接收标签反向散射信号。

为使商用设备接收标签信号并保证通信速率,标签采用频移(Frequency Shift,FS)方案,将激励信号搬移至商用接收设备空闲信道并调制本地数据,从而避免激励信号产生的自干扰。文献[4]设计了一种低功耗环形振荡器,在标签本地产生20 MHz 信号,将Wi-Fi 信号频移至另一信道调制数据并反射。文献[5]提出“码字转换”符号级调制方案以提升通信速率,商用设备在两个Wi-Fi 信道同时接收来自发射机和标签的信号进行异或运算实现数据解调,文献[6]将该调制方案所支持协议拓展到802.11g。文献[7]在标签上实现LoRa 信号合成以增长标签到接收机上行链路距离,文献[8]通过多标签频移合成OFDM(Orthogonal frequencydivision multiplexing)信号使得反向散射通信系统支持48 个标签并发通信。文献[9]设计了一款可以与Wi-Fi 商用设备通信的反向散射芯片,文献[10]基于此芯片设计标签唤醒方案来进一步降低系统整体功耗。

文献[4-6]采用的标签频移设计,使得反向散射系统具有商用性能并支持商用设备接收,文献[9-10]设计的芯片使得反向散射标签在未来几年内具有广泛使用的可能,然而,现有研究缺乏对基于频移设计反向散射系统安全问题的研究。文献[11]指出,基于无线通信进行数据传输的系统都存在数据安全隐患。文献[12]指出,在RFID(Radio Frequency Identification)系统中,标签和阅读器之间的传输容易受到窃听、欺骗和其他攻击。其中,窃听攻击通过监听标签和阅读器之间信道获取机密信息,欺骗攻击通过伪装成合法标签欺骗阅读器读取错误数据[13]。频移反向散射系统与RFID系统类似,标签和接收机之间通过无线信道传输,同时在低功耗限制下,系统无法部署加密算法保护标签数据。因此,现有频移反向散射系统设计具有安全漏洞,存在数据泄露和数据欺骗的风险。

对频移反向散射系统进行窃听攻击,攻击接收机需要同时监听发射机信道和标签反射后信号所在信道解码标签数据。与RFID 系统不同,反向散射系统采用不同商用接收标准,例如Wi-Fi 和BLE(Bluetooth Low Energy)分别具有14 个和40 个可选信道,系统采用信道未知。由于标签频移量未知,反射信号所在信道未知,难以部署多个设备同步监听所有可能信道。进行欺骗攻击需要同时发送激励信号和携带伪造数据的标签反射信号冒充合法信号以迷惑接收机解码伪造数据。综上所述,获取系统激励信号中心频率和标签频移量是对频移反向散射系统攻击的关键,但仅使用简单的被动窃听无法获取上述两个关键系统特性。

为降低标签触发功耗并支持多频段工作,上述文献中基于频移设计的标签采用无频率选择反射方案,标签不仅响应系统激励信号,也反射外部注入信号。本文针对上述现象,提出一种基于探针信号注入的隐蔽式主动攻击方法,窃听标签上数据并对欺骗接收机接收伪造数据。首先,在标签附近发送探针信号,由于探针信号已知,可仅使用单接收机接收标签反射探针信号以获得标签频移量,同时观察调制方式,可从反射探针信号中解码标签数据。其次,使用单设备遍历频移反向散射系统可能使用的信道,观测是否存在间隔为标签频移量的具有高相关度的时域信号来确定激励信号中心频率。最后,构建携带伪造数据的标签反射信号,同步发送激励信号,欺骗接收机接收。本文提出上述攻击方法,分别完成对频移反向散射系统窃听和欺骗攻击,证明了现有频移反向散射系统设计所存在的安全漏洞与隐患。

2 系统模型与过程描述

2.1 频移反向散射系统模型

频移反向散射系统由三部分组成:射频激励源、频移反射标签和接收机,如图1所示。激励源发送中心频率为fc激励信号sc,标签在本地生成频率为ft的方波stag,使用傅里叶级数表示为:

标签通过stag将激励信号频移生成信号sr_raw:

由于标签进行频率搬移后会产生双边带信号,并存在多次谐波,因此标签采用延长线产生相位偏移的第二路反射信号sr_raw2后与sr_raw相加以消除双边带信号,保留单边带反射信号。同时,标签通过提升反射系数精度消除高次谐波。以保留上边带的反射标签为例,其反射信号sr为:

2.2 威胁模型

本文攻击目标是隐蔽性地对频移反向散射系统进行窃听攻击与欺骗攻击,分别窃听标签上本地数据和伪装成合法标签向接收机发送伪造数据。假设攻击者无法直接访问目标系统设备,并持有可以发送和接收射频信号的设备。

无设备访问权限:攻击者可以攻击任何目标系统,但无法直接访问目标设备,无法物理接触设备,无法更改或破坏设备。假设攻击者完全了解频移反向散射系统特性,这些特性先验可以通过获取系统模型并对其进行分析获得,如标签会对激励信号进行频移等。

隐蔽性:由于攻击目标是对频移反向散射系统进行窃听,并在不被察觉的情况下注入标签伪造数据。因此,攻击不能干扰原有系统正常工作,也不可更改系统所在部署环境。

攻击设备:假设攻击者可以使用现有任何SDR设备或商用设备发送和接收射频信号,设备带宽大于现有标签频移量且小于反射系统可能使用的频率范围,具有足够算力对采集信号进行处理。现有频移标签频移量设计小于40 MHz,攻击者使用带宽为40 MHz 的设备观测频移后的信号,但无法观测激励信号全部可能使用的中心频率范围。

2.3 攻击过程

基于探针信号注入的主动攻击过程如图2所示。攻击者向频移反向散射系统注入探针信号,使用SDR 接收标签所反射的探针信号,可获取反射探针和注入探针之间的频移量,即为频移反射标签的频移量。后续分为两部分对系统进行攻击:(1)窃听标签上数据:观察反射探针信号调制方式,结合探针信号解调,完成窃听。(2)欺骗接收机接收伪造标签数据:首先获取激励信号中心频率,其次根据标签频移量,在对应信道生成伪造标签反射信号,最后发射伪造信号和激励信号,完成欺骗。

3 频移反向散射系统攻击方法

实现对频移反向散射系统的窃听和欺骗,需要获取标签频移量和系统激励信号中心频率两个系统关键特性。探针注入攻击利用频移反射标签对激励信号进行无频率选择反向散射的特性,通过对反射探针信号进行观察和处理,获取上述两个特性,从而完成上述攻击流程。

3.1 注入探针信号获取标签特性

假设注入频率为fp的单音探针信号sp,则标签本地混频后信号sb_raw为:

标签消除下边带信号和高次谐波后,反射探针信号为:

攻击者使用发射机向标签发送探针信号sp,并使用接收机接收标签的反射探针信号sbp与探针信号sp,其攻击链路如图3所示。

理想情况下,攻击方接收机监听到的信号sa则可表示为:

通过快速傅里叶变换(Fast Fourier Transform,FFT)将sa(t)变换为频域信号Sa(f)后,可以观察到Sa(f)中存在两个频率间隔为ft的能量分量Sp与Sbp,因此可以通过计算二者的频率差δf确定标签本地信号频率ft=δf。为保证标签可以对探针信号进行反射,使用探针的中心频率应处于激励信号所在频段,然而这些频段存在很多能量强度高于背景高斯白噪声的干扰信号,如定频信号、跳频信号或突发信号等。攻击方接收机接收信号Sa(f)中会存在除Sp与Sbp以外信号频率分量所产生的峰,因此无法直接确定标签反射探针信号所处的频率,因此本文设计单探针反射信号提取方法来定位反射探针信号,具体步骤如下:

(1)准备频率为fp的单音探针信号sp。

(2)向系统注入sp,攻击者接收机接收信号sa,使用FFT将sa变换为频域信号Sa,信号带宽为BW。

(3)设置窗口window,取窗口内能量最大的频率分量,其他频率置零。使用window遍历BW,步长设置为step,筛选出Sa中能量峰值集合PEAK={p1,p2,…,pn},其中n=BW/step。

(4)测量Sp(fp)能量Ep,设置探针信号与反射探针信号能量差阈值thb,保留低于Ep-thb的频率分量。

(5)选取剩余频率分量中能量最高分量作为反射信号,其频率为fmax。

(6)ft=δf=fc-fmax。

然而,在距离标签较远,或攻击者接收机增益较弱的情况下,上述单探针探测方法提取ft的准确率会下降,为保证获取ft的准确率,本文基于上述单探针方法,提出多探针投票方案,保证攻击者接收机在接收增益较低的情况下仍可准确获取ft,其步骤如下:

(1)准备一组共k个单音探针信号SP={sp,1,sp,2,…,sp,k},频率分别为{fp,1,fp,2,…,fp,k}。

(2)使用单探针提取方法,获取一组可能的标签频移量ΔF={δf1,δf2,…,δfk}。

(3)统计ΔF中出现频次最高的频移量δf,令ft=δf。

3.2 解码反射探针信号

通断键控(On-Off Keying,OOK)调制是标签上常用的调制方式。标签使用本地数据与时钟做“与”运算即可实现OOK 调制,降低了标签在将本地数据调制到激励信号时的功耗。图4 展示了标签使用OOK 调制时,对系统激励信号和攻击探针信号的反射信号。对于系统激励信号,在使用OOK 调制时,若本地数据为“0”,标签不反射激励信号,若本地数据为“1”,标签反射激励信号,接收机根据接收数据包的有无来解码标签数据。若向标签发送单音探针信号,在OOK 调制下,若本地数据为“0”,标签不反射探针信号,若本地数据为“1”,标签会将探针信号频移ft后反射。由此,在已知标签频移量ft后,可以滤波出反射探针信号sbp(t),根据观察到的调制方式,对其解调,获取标签上数据。

3.3 获取激励信号中心频率

仅已知标签频移量ft的情况下,在系统可能使用的频段中直接观测频谱中是否有间隔ft的两个信号峰来确定激励信号中心频率fc是不准确的,因为可能存在恰好间隔ft的两个无关信号所带来的干扰。

基于反射系统特性,由于频移标签反射信号过程中,仅将信号频率进行搬移,反射信号为激励信号复制。因此使用SDR对反向散射系统进行观测,理想情况下接收到的信号s(t)=sc(fct)+sr((fc+ft)t)=sc(fct)+ksc((fc+ft)t),其中k为反射过程中信号强度的衰减比。若对s(t)下变频ft,下变频后信号为sdc(t)=sc((fc-ft)t)+ksr(fct),由于sdc(t)与s(t)都包含sr(fct)分量,因此二者具有强相关性。

基于上述现象,受到攻击者接收机带宽限制,将获取fc问题解耦为两部分:(1)确定激励信号和反射信号所在观测窗口;(2)在该窗口中确定fc。假设系统可能使用的频率范围为F=[fbegin,fend],攻击者接收机带宽为BW,接收窗长为2BW,具体步骤如图5所示。

(1)确定激励信号和反射信号所在观测窗口

a.移动窗口采集信号。设置观测窗口移动步长为fstep,则窗口windowi观测范围为Fi=[fbegin+(i-1) ×fstep,fbegin+(i-1) ×fstep+2BW],观测的信号为si(t)。使用窗口遍历F,采集信号集合为S={s1(t),s2(t),…,sN(t)},其中。

b.对采集信号进行下变频。根据ft,生成下变频信号分量dc(t)=e-j2πftt,对S中信号做下变频,得到下变频信号集合Sdc={sdc,1(t),sdc,2(t),…,sdc,N(t)}。

c.计算互相关序列均值。计算原始信号si(t)和下变频信号sdc,i(t)互相关序列,计算其均值表示二者之间相关度,得到相关度集合C={c1,c2,…,cN}。

d.确定观测窗口。相关度最大值ck=max(C)对应激励信号和反射信号所在观测窗口windowk。

(2)在窗口中确定fc

a.将信号变换到频域:Sk(f)=FFT(sk(t))。

b.获取存在频率分量。Fpeak={f1,f2,…,fn},其中n为存在频率分量的个数。

c.判决fc。从Fpeak选择出fc,需要进行以下两个判断。判断1:是否存在Sk(fi+ft),fi∈Fpeak,若不存在,判断是否存在Sk(fi+1+ft),若存在,则进行判断2。判断2:Sk(fi)与Sk(fi+ft)的幅值差是否大于ΔA,若大于,则记录fc=fi,否则不进行记录。

最终得到激励信号中心频率fc,结合标签频移量ft,可知系统接收机工作频段为fc+ft。

4 实验与结果分析

4.1 系统部署与参数设置

本文使用Wireless Open-Access Research Platform(WARP)SDR和单边带反射标签搭建基于Wi-Fi的频移反向散射系统,WARP发射机发送Wi-Fi信标,经频移反射标签反射后,使用WARP接收机模拟商用Wi-Fi 接收机接收Wi-Fi 信标和标签反射的Wi-Fi 信标。标签使用Nexys4 DDR FPGA作为数字基带,生成本地时钟作为标签本地频移信号,并实现OOK 调制将标签本地数据加载到激励信号上。频移反向散射系统参数设置如表1所示,搭建系统如图6所示。

表1 频移反向散射系统参数设置Tab.1 Parameters setting of frequency shift backscatter system

攻击者使用ADALM-PLUTO SDR 作为射频信号收发设备,设置接收机带宽为40 MHz。本文使用MATLAB R2021a 生成Wi-Fi 信标与单音探针信号,并配置WARP与PLUTO的收发。

上述实验系统与设备部署在安装大量无线接入点的实验室环境中。

4.2 探针探测标签频移量实验与性能分析

本节通过实验分别分析了复杂的实际电磁环境中,单探针探测方法与多探针探测方法探测标签频移量的性能。实验设置攻击发射机中心频率为2412 MHz,接收机中心频率为2420 MHz,并使用单音信号作为探针信号。使用单探针探测方法时,设置单探针基带频率为1 MHz,滑窗窗长为1 MHz,步长为1 MHz,筛选可能的反射探针信号分量所选用阈值thb为20 dB。在多探针实验中,设置10 个探针为一组进行投票,每组探针频率均为1 MHz。实验首先测试在不同距离下单探针探测方法的标签频移量识别率,然后对比单探针探测方法和多探针探测方法的识别性能。

(1)距离对探测性能的影响

分别使用能量为30 dBm,20 dBm,10 dBm 和0 dBm 的探针信号进行实验,测试攻击距离为0 到2 m 时单探针探测的探测性能,展示攻击距离对探测性能的影响,实验结果如图7 所示。实验结果表明,当探针信号能量为30 dBm 时,由于反射探针信号能量强度高于外界干扰信号能量强度,在1到2 m的攻击距离范围内保持较高的识别准确率;当探针信号能量为0 dBm时,若攻击距离较远,且外界干扰信号较强时,反射探针信号无法被检测,从而导致识别准确率下降。

(2)单探针探测与多探针探测性能对比

为测试多探针探测方法在攻击距离较远时的探测性能,实验设置探针信号强度为30 dBm,测试攻击距离为0 到2 m 时两种探测方法的探测性能并进行对比,实验结果如图8所示。实验结果显示,当攻击距离较近时,由于单探针的反射信号能量强度高于外界干扰信号能量强度,二者识别性能相近;当攻击距离较远时,反射探针信号能量强度会衰减,若外界干扰信号能量强度高于反射探针信号,单探针探测便无法识别出反射探针信号,而多探针探测会根据多次探测结果进行判决,从而具有更好的鲁棒性以维持识别准确率。

4.3 窃听攻击验证实验

本节实验验证从反射探针信号中解码标签本地数据的可行性,使用解码数据的误码率(Bit Error Rate,BER)作为性能指标。误码率表示传输过程中错误的码字个数ne与传输总码字个数n的比值:

实验发送能量强度为30 dBm,20 dBm和10 dBm的探针信号并接收相应的反射探针信号,通过解调反射探针信号获取标签数据。为对比不同攻击距离下的解码效果,实验分别测试0.25到2 m攻击距离下解码数据的误码率,实验结果如图9所示。实验结果显示,当探针信号能量强度为30 dBm且攻击距离在1 m的范围内时,可以通过反射探针信号准确解码出标签本地数据。但当探针能量强度较弱或者攻击距离较远时,反射探针信号的信噪比大大降低,导致无法通过反射探针信号解码标签本地数据。从实验结果中也可观察到,解码的有效距离要短于同探针信号强度下标签频移量的识别距离,这是因为解码时所使用的信号为时域信号,其能量强度为信号的瞬时强度,而在探测反射探针信号强度时,所观察的频谱能量为攻击者接收机接收时间段内的累积能量,其相较于信号瞬时能量更强,因此在长距离上探测效果要优于解码效果。

4.4 攻击角度干扰验证实验

在RFID 系统中,标签放置角度的变化会对反射信号产生影响,因此本节实验测试攻击角度变化对标签频移量识别率以及窃听标签数据误码率所带来的影响,并分析其原因。实验设置探针信号能量强度为30 dBm,攻击距离为0.5 m,测试标签天线与PLUTO SDR 天线角度为0°,30°,60°和90°时,单探针探测效果,多探针探测效果和窃听误码率,实验结果如图10所示。实验结果表明,当攻击角度偏差较大时,单探针探测效果有较为明显的下降,而多探针探测对角度变化具有较好的鲁棒性,这是因为两个设备天线极性不一致时,会导致攻击接收机所接收的反射探针信号能量强度下降,从而出现了与增加攻击距离时相同的效果,即识别准确率下降。同样的,上述原因也导致窃听误码率随着角度增大而上升。

4.5 激励信号中心频率探测实验

本节实验验证通过下变频计算互相关性确定激励信号中心频率所在频段的可行性。实验标签频移量ft=20 MHz,由于Wi-Fi信标所在信道频率范围为2412 MHz至2484 MHz,因此设置攻击接收机观测频率范围F=[2380,2520] MHz,接收机带宽为20 MHz,窗长为40 MHz,窗移动步长fstep=20 MHz。各窗口观测信号进行下变频后,计算与原始观测信号相关性如图11 所示。由于所部署频移反向散射系统发射信标所在信道中心频率为2412 MHz,反射信号频率应为2432 MHz,可以观察到中心频率为2420 MHz的窗口相关度最高,并在该窗口内确定激励信号中心频率为2412 MHz,验证了上述方法可行性。

4.6 欺骗攻击验证实验

本节实验验证攻击者在获取标签频移量和系统激励信号中心频率并计算出系统接收机工作中心频率后对其进行欺骗攻击的可行性。由上述实验结果可计算系统接收机工作中心频率为fr=fc+ft=2412+20=2432 MHz,位于Wi-Fi 第5 信道。实验使用PLUTO SDR生成Wi-Fi信标帧,并在Wi-Fi第五信道以“发送”与“不发送”信标帧来模拟标签OOK调制,并部署另一台设备在第一信道持续发送信标帧来模拟系统激励信号,并使用系统接收机接收,接收信号如图12所示,其中图12(a)为接收机于Wi-Fi第一信道接收的激励信号,图12(b)为接收机于Wi-Fi 第五信道接收的伪造标签反射信号,验证了对频移反向散射系统进行数据欺骗攻击的可行性。

5 结论

本文首次分析了频移反向散射系统存在的安全漏洞,研究对其进行无线攻击的可行性。为了获取系统的两个关键特性:频移反射标签频移量与系统所用激励信号中心频率,本文首先提出基于探针注入的主动攻击方法,通过提取标签反射的探针信号所在频率,计算出标签频移量;其次,本文根据获取的标签频移量,利用反射信号与激励信号具有高相关性的性质,提出基于时序信号下变频计算相关性的方法,确定激励信号所在频段范围,进而提取其中心频率。文章最后部署了频移反向散射系统并使用上述攻击方案准确获取系统特性,实验结果表明,现有频移反向散射系统存在安全漏洞,攻击者可以使用上述方案对频移反向散射系统进行窃听和欺骗攻击。因此,设计隐蔽式标签频移方案以填补现有频移反向散射系统存在的安全漏洞为后续研究的重点。

猜你喜欢
攻击者探针接收机
功率放大器技术结构及在雷达接收机中的应用
基于贝叶斯博弈的防御资源调配模型研究
GNSS接收机FLASHADC中比较器的设计
Xpert MTB/RIF对结核菌利福平耐药的诊断价值及rpoB基因突变特点的分析
电磁发射磁探针阵列位置分布及姿态优化
基于频率引导的ESM/ELINT接收机的设计与实现
一种宽带低功耗四合一接收机设计
正面迎接批判
正面迎接批判
通过接触测试来提高探针痕迹的一致性