王天祎 朱豐源 田曉華

（上海交通大學(xué)電子信息與電氣工程學(xué)院電子工程系，上海 200240）

1 引言

隨著物聯(lián)網(wǎng)技術(shù)（Internet of Things，IoT）的飛速發(fā)展，構(gòu)建一個(gè)傳感器無處不在并且互相連接的世界成為美好的愿景，其關(guān)鍵挑戰(zhàn)是設(shè)計(jì)易于部署并能長時(shí)間運(yùn)行的設(shè)備。反向散射通信（Backscatter Communication）是一種新興的微瓦級(jí)低功耗無線通信方式，可以滿足萬物互聯(lián)的需求。反向散射通信系統(tǒng)中的反向散射標(biāo)簽通過反射附近射頻發(fā)射機(jī)發(fā)送的激勵(lì)信號(hào)，有選擇地改變反射信號(hào)的幅度、頻率或者相位來調(diào)制標(biāo)簽上的數(shù)據(jù)，接收機(jī)捕捉反向散射信號(hào)后進(jìn)行處理并提取標(biāo)簽信息。與傳統(tǒng)通信設(shè)備不同，反向散射標(biāo)簽去除有源射頻信號(hào)生成部分，僅保留數(shù)字基帶部分，因此，反向散射通信可以極大地降低通信功耗，從而達(dá)到長時(shí)間運(yùn)行的目的。

文獻(xiàn)［1］首次提出完全依靠從環(huán)境射頻（Radio Frequency，RF）信號(hào)收集能量運(yùn)行的反向散射通信系統(tǒng)，反向散射標(biāo)簽通過吸收或者反射RF信號(hào)來發(fā)送“0”或“1”數(shù)據(jù)，并通過檢測(cè)自身周圍累積的射頻能量強(qiáng)度判別來自其他標(biāo)簽的數(shù)據(jù)，完成標(biāo)簽到標(biāo)簽的通信。由于需要長時(shí)間檢測(cè)環(huán)境射頻能量強(qiáng)度來設(shè)置標(biāo)簽判別閾值，且環(huán)境射頻信號(hào)能量弱，該系統(tǒng)存在通信距離短，速率慢的缺陷，并且無法使用商用設(shè)備接收標(biāo)簽反射信號(hào)。為實(shí)現(xiàn)商用設(shè)備接收，使標(biāo)簽接入互聯(lián)網(wǎng)，文獻(xiàn)［2］提出使用標(biāo)簽調(diào)制Wi-Fi 信道的方案，反射信號(hào)改變每個(gè)Wi-Fi數(shù)據(jù)包的信道狀態(tài)信息（Channel State Information，CSI）和接收信號(hào)強(qiáng)度指標(biāo)（Received Signal Strength Indicator，RSSI）測(cè)量值，商用移動(dòng)設(shè)備通過檢測(cè)上述測(cè)量值的變化解碼標(biāo)簽信息，但仍未解決通信速率慢的問題。文獻(xiàn)［3］在標(biāo)簽上設(shè)計(jì)不同長度射頻延遲線為入射信號(hào)提供不同的相移，使標(biāo)簽對(duì)Wi-Fi信號(hào)進(jìn)行高效的相位調(diào)制，從而提升數(shù)據(jù)率；接收機(jī)采用全雙工無線電中的技術(shù)消除來自發(fā)射機(jī)泄漏和環(huán)境反射的自干擾信號(hào)，但這導(dǎo)致無法直接使用商用設(shè)備接收標(biāo)簽反向散射信號(hào)。

為使商用設(shè)備接收標(biāo)簽信號(hào)并保證通信速率，標(biāo)簽采用頻移（Frequency Shift，F(xiàn)S）方案，將激勵(lì)信號(hào)搬移至商用接收設(shè)備空閑信道并調(diào)制本地?cái)?shù)據(jù)，從而避免激勵(lì)信號(hào)產(chǎn)生的自干擾。文獻(xiàn)［4］設(shè)計(jì)了一種低功耗環(huán)形振蕩器，在標(biāo)簽本地產(chǎn)生20 MHz 信號(hào)，將Wi-Fi 信號(hào)頻移至另一信道調(diào)制數(shù)據(jù)并反射。文獻(xiàn)［5］提出“碼字轉(zhuǎn)換”符號(hào)級(jí)調(diào)制方案以提升通信速率，商用設(shè)備在兩個(gè)Wi-Fi 信道同時(shí)接收來自發(fā)射機(jī)和標(biāo)簽的信號(hào)進(jìn)行異或運(yùn)算實(shí)現(xiàn)數(shù)據(jù)解調(diào)，文獻(xiàn)［6］將該調(diào)制方案所支持協(xié)議拓展到802.11g。文獻(xiàn)［7］在標(biāo)簽上實(shí)現(xiàn)LoRa 信號(hào)合成以增長標(biāo)簽到接收機(jī)上行鏈路距離，文獻(xiàn)［8］通過多標(biāo)簽頻移合成OFDM（Orthogonal frequencydivision multiplexing）信號(hào)使得反向散射通信系統(tǒng)支持48 個(gè)標(biāo)簽并發(fā)通信。文獻(xiàn)［9］設(shè)計(jì)了一款可以與Wi-Fi 商用設(shè)備通信的反向散射芯片，文獻(xiàn)［10］基于此芯片設(shè)計(jì)標(biāo)簽喚醒方案來進(jìn)一步降低系統(tǒng)整體功耗。

文獻(xiàn)［4-6］采用的標(biāo)簽頻移設(shè)計(jì)，使得反向散射系統(tǒng)具有商用性能并支持商用設(shè)備接收，文獻(xiàn)［9-10］設(shè)計(jì)的芯片使得反向散射標(biāo)簽在未來幾年內(nèi)具有廣泛使用的可能，然而，現(xiàn)有研究缺乏對(duì)基于頻移設(shè)計(jì)反向散射系統(tǒng)安全問題的研究。文獻(xiàn)［11］指出，基于無線通信進(jìn)行數(shù)據(jù)傳輸?shù)南到y(tǒng)都存在數(shù)據(jù)安全隱患。文獻(xiàn)［12］指出，在RFID（Radio Frequency Identification）系統(tǒng)中，標(biāo)簽和閱讀器之間的傳輸容易受到竊聽、欺騙和其他攻擊。其中，竊聽攻擊通過監(jiān)聽標(biāo)簽和閱讀器之間信道獲取機(jī)密信息，欺騙攻擊通過偽裝成合法標(biāo)簽欺騙閱讀器讀取錯(cuò)誤數(shù)據(jù)［13］。頻移反向散射系統(tǒng)與RFID系統(tǒng)類似，標(biāo)簽和接收機(jī)之間通過無線信道傳輸，同時(shí)在低功耗限制下，系統(tǒng)無法部署加密算法保護(hù)標(biāo)簽數(shù)據(jù)。因此，現(xiàn)有頻移反向散射系統(tǒng)設(shè)計(jì)具有安全漏洞，存在數(shù)據(jù)泄露和數(shù)據(jù)欺騙的風(fēng)險(xiǎn)。

對(duì)頻移反向散射系統(tǒng)進(jìn)行竊聽攻擊，攻擊接收機(jī)需要同時(shí)監(jiān)聽發(fā)射機(jī)信道和標(biāo)簽反射后信號(hào)所在信道解碼標(biāo)簽數(shù)據(jù)。與RFID 系統(tǒng)不同，反向散射系統(tǒng)采用不同商用接收標(biāo)準(zhǔn)，例如Wi-Fi 和BLE（Bluetooth Low Energy）分別具有14 個(gè)和40 個(gè)可選信道，系統(tǒng)采用信道未知。由于標(biāo)簽頻移量未知，反射信號(hào)所在信道未知，難以部署多個(gè)設(shè)備同步監(jiān)聽所有可能信道。進(jìn)行欺騙攻擊需要同時(shí)發(fā)送激勵(lì)信號(hào)和攜帶偽造數(shù)據(jù)的標(biāo)簽反射信號(hào)冒充合法信號(hào)以迷惑接收機(jī)解碼偽造數(shù)據(jù)。綜上所述，獲取系統(tǒng)激勵(lì)信號(hào)中心頻率和標(biāo)簽頻移量是對(duì)頻移反向散射系統(tǒng)攻擊的關(guān)鍵，但僅使用簡(jiǎn)單的被動(dòng)竊聽無法獲取上述兩個(gè)關(guān)鍵系統(tǒng)特性。

為降低標(biāo)簽觸發(fā)功耗并支持多頻段工作，上述文獻(xiàn)中基于頻移設(shè)計(jì)的標(biāo)簽采用無頻率選擇反射方案，標(biāo)簽不僅響應(yīng)系統(tǒng)激勵(lì)信號(hào)，也反射外部注入信號(hào)。本文針對(duì)上述現(xiàn)象，提出一種基于探針信號(hào)注入的隱蔽式主動(dòng)攻擊方法，竊聽標(biāo)簽上數(shù)據(jù)并對(duì)欺騙接收機(jī)接收偽造數(shù)據(jù)。首先，在標(biāo)簽附近發(fā)送探針信號(hào)，由于探針信號(hào)已知，可僅使用單接收機(jī)接收標(biāo)簽反射探針信號(hào)以獲得標(biāo)簽頻移量，同時(shí)觀察調(diào)制方式，可從反射探針信號(hào)中解碼標(biāo)簽數(shù)據(jù)。其次，使用單設(shè)備遍歷頻移反向散射系統(tǒng)可能使用的信道，觀測(cè)是否存在間隔為標(biāo)簽頻移量的具有高相關(guān)度的時(shí)域信號(hào)來確定激勵(lì)信號(hào)中心頻率。最后，構(gòu)建攜帶偽造數(shù)據(jù)的標(biāo)簽反射信號(hào)，同步發(fā)送激勵(lì)信號(hào)，欺騙接收機(jī)接收。本文提出上述攻擊方法，分別完成對(duì)頻移反向散射系統(tǒng)竊聽和欺騙攻擊，證明了現(xiàn)有頻移反向散射系統(tǒng)設(shè)計(jì)所存在的安全漏洞與隱患。

2 系統(tǒng)模型與過程描述

2.1 頻移反向散射系統(tǒng)模型

頻移反向散射系統(tǒng)由三部分組成：射頻激勵(lì)源、頻移反射標(biāo)簽和接收機(jī)，如圖1所示。激勵(lì)源發(fā)送中心頻率為fc激勵(lì)信號(hào)sc，標(biāo)簽在本地生成頻率為ft的方波stag，使用傅里葉級(jí)數(shù)表示為：

標(biāo)簽通過stag將激勵(lì)信號(hào)頻移生成信號(hào)sr_raw：

由于標(biāo)簽進(jìn)行頻率搬移后會(huì)產(chǎn)生雙邊帶信號(hào)，并存在多次諧波，因此標(biāo)簽采用延長線產(chǎn)生相位偏移的第二路反射信號(hào)sr_raw2后與sr_raw相加以消除雙邊帶信號(hào)，保留單邊帶反射信號(hào)。同時(shí)，標(biāo)簽通過提升反射系數(shù)精度消除高次諧波。以保留上邊帶的反射標(biāo)簽為例，其反射信號(hào)sr為：

2.2 威脅模型

本文攻擊目標(biāo)是隱蔽性地對(duì)頻移反向散射系統(tǒng)進(jìn)行竊聽攻擊與欺騙攻擊，分別竊聽標(biāo)簽上本地?cái)?shù)據(jù)和偽裝成合法標(biāo)簽向接收機(jī)發(fā)送偽造數(shù)據(jù)。假設(shè)攻擊者無法直接訪問目標(biāo)系統(tǒng)設(shè)備，并持有可以發(fā)送和接收射頻信號(hào)的設(shè)備。

無設(shè)備訪問權(quán)限：攻擊者可以攻擊任何目標(biāo)系統(tǒng)，但無法直接訪問目標(biāo)設(shè)備，無法物理接觸設(shè)備，無法更改或破壞設(shè)備。假設(shè)攻擊者完全了解頻移反向散射系統(tǒng)特性，這些特性先驗(yàn)可以通過獲取系統(tǒng)模型并對(duì)其進(jìn)行分析獲得，如標(biāo)簽會(huì)對(duì)激勵(lì)信號(hào)進(jìn)行頻移等。

隱蔽性：由于攻擊目標(biāo)是對(duì)頻移反向散射系統(tǒng)進(jìn)行竊聽，并在不被察覺的情況下注入標(biāo)簽偽造數(shù)據(jù)。因此，攻擊不能干擾原有系統(tǒng)正常工作，也不可更改系統(tǒng)所在部署環(huán)境。

攻擊設(shè)備：假設(shè)攻擊者可以使用現(xiàn)有任何SDR設(shè)備或商用設(shè)備發(fā)送和接收射頻信號(hào)，設(shè)備帶寬大于現(xiàn)有標(biāo)簽頻移量且小于反射系統(tǒng)可能使用的頻率范圍，具有足夠算力對(duì)采集信號(hào)進(jìn)行處理。現(xiàn)有頻移標(biāo)簽頻移量設(shè)計(jì)小于40 MHz，攻擊者使用帶寬為40 MHz 的設(shè)備觀測(cè)頻移后的信號(hào)，但無法觀測(cè)激勵(lì)信號(hào)全部可能使用的中心頻率范圍。

2.3 攻擊過程

基于探針信號(hào)注入的主動(dòng)攻擊過程如圖2所示。攻擊者向頻移反向散射系統(tǒng)注入探針信號(hào)，使用SDR 接收標(biāo)簽所反射的探針信號(hào)，可獲取反射探針和注入探針之間的頻移量，即為頻移反射標(biāo)簽的頻移量。后續(xù)分為兩部分對(duì)系統(tǒng)進(jìn)行攻擊：（1）竊聽標(biāo)簽上數(shù)據(jù)：觀察反射探針信號(hào)調(diào)制方式，結(jié)合探針信號(hào)解調(diào)，完成竊聽。（2）欺騙接收機(jī)接收偽造標(biāo)簽數(shù)據(jù)：首先獲取激勵(lì)信號(hào)中心頻率，其次根據(jù)標(biāo)簽頻移量，在對(duì)應(yīng)信道生成偽造標(biāo)簽反射信號(hào)，最后發(fā)射偽造信號(hào)和激勵(lì)信號(hào)，完成欺騙。

3 頻移反向散射系統(tǒng)攻擊方法

實(shí)現(xiàn)對(duì)頻移反向散射系統(tǒng)的竊聽和欺騙，需要獲取標(biāo)簽頻移量和系統(tǒng)激勵(lì)信號(hào)中心頻率兩個(gè)系統(tǒng)關(guān)鍵特性。探針注入攻擊利用頻移反射標(biāo)簽對(duì)激勵(lì)信號(hào)進(jìn)行無頻率選擇反向散射的特性，通過對(duì)反射探針信號(hào)進(jìn)行觀察和處理，獲取上述兩個(gè)特性，從而完成上述攻擊流程。

3.1 注入探針信號(hào)獲取標(biāo)簽特性

假設(shè)注入頻率為fp的單音探針信號(hào)sp，則標(biāo)簽本地混頻后信號(hào)sb_raw為：

標(biāo)簽消除下邊帶信號(hào)和高次諧波后，反射探針信號(hào)為：

攻擊者使用發(fā)射機(jī)向標(biāo)簽發(fā)送探針信號(hào)sp，并使用接收機(jī)接收標(biāo)簽的反射探針信號(hào)sbp與探針信號(hào)sp，其攻擊鏈路如圖3所示。

理想情況下，攻擊方接收機(jī)監(jiān)聽到的信號(hào)sa則可表示為：

通過快速傅里葉變換（Fast Fourier Transform，F(xiàn)FT）將sa(t)變換為頻域信號(hào)Sa(f)后，可以觀察到Sa(f)中存在兩個(gè)頻率間隔為ft的能量分量Sp與Sbp，因此可以通過計(jì)算二者的頻率差δf確定標(biāo)簽本地信號(hào)頻率ft=δf。為保證標(biāo)簽可以對(duì)探針信號(hào)進(jìn)行反射，使用探針的中心頻率應(yīng)處于激勵(lì)信號(hào)所在頻段，然而這些頻段存在很多能量強(qiáng)度高于背景高斯白噪聲的干擾信號(hào)，如定頻信號(hào)、跳頻信號(hào)或突發(fā)信號(hào)等。攻擊方接收機(jī)接收信號(hào)Sa(f)中會(huì)存在除Sp與Sbp以外信號(hào)頻率分量所產(chǎn)生的峰，因此無法直接確定標(biāo)簽反射探針信號(hào)所處的頻率，因此本文設(shè)計(jì)單探針反射信號(hào)提取方法來定位反射探針信號(hào)，具體步驟如下：

（1）準(zhǔn)備頻率為fp的單音探針信號(hào)sp。

（2）向系統(tǒng)注入sp，攻擊者接收機(jī)接收信號(hào)sa，使用FFT將sa變換為頻域信號(hào)Sa，信號(hào)帶寬為BW。

（3）設(shè)置窗口window，取窗口內(nèi)能量最大的頻率分量，其他頻率置零。使用window遍歷BW，步長設(shè)置為step，篩選出Sa中能量峰值集合PEAK={p1，p2，…，pn}，其中n=BW/step。

（4）測(cè)量Sp(fp)能量Ep，設(shè)置探針信號(hào)與反射探針信號(hào)能量差閾值thb，保留低于Ep-thb的頻率分量。

（5）選取剩余頻率分量中能量最高分量作為反射信號(hào)，其頻率為fmax。

（6）ft=δf=fc-fmax。

然而，在距離標(biāo)簽較遠(yuǎn)，或攻擊者接收機(jī)增益較弱的情況下，上述單探針探測(cè)方法提取ft的準(zhǔn)確率會(huì)下降，為保證獲取ft的準(zhǔn)確率，本文基于上述單探針方法，提出多探針投票方案，保證攻擊者接收機(jī)在接收增益較低的情況下仍可準(zhǔn)確獲取ft，其步驟如下：

（1）準(zhǔn)備一組共k個(gè)單音探針信號(hào)SP={sp，1，sp，2，…，sp，k}，頻率分別為{fp，1，fp，2，…，fp，k}。

（2）使用單探針提取方法，獲取一組可能的標(biāo)簽頻移量ΔF={δf1，δf2，…，δfk}。

（3）統(tǒng)計(jì)ΔF中出現(xiàn)頻次最高的頻移量δf，令ft=δf。

3.2 解碼反射探針信號(hào)

通斷鍵控（On-Off Keying，OOK）調(diào)制是標(biāo)簽上常用的調(diào)制方式。標(biāo)簽使用本地?cái)?shù)據(jù)與時(shí)鐘做“與”運(yùn)算即可實(shí)現(xiàn)OOK 調(diào)制，降低了標(biāo)簽在將本地?cái)?shù)據(jù)調(diào)制到激勵(lì)信號(hào)時(shí)的功耗。圖4 展示了標(biāo)簽使用OOK 調(diào)制時(shí)，對(duì)系統(tǒng)激勵(lì)信號(hào)和攻擊探針信號(hào)的反射信號(hào)。對(duì)于系統(tǒng)激勵(lì)信號(hào)，在使用OOK 調(diào)制時(shí)，若本地?cái)?shù)據(jù)為“0”，標(biāo)簽不反射激勵(lì)信號(hào)，若本地?cái)?shù)據(jù)為“1”，標(biāo)簽反射激勵(lì)信號(hào)，接收機(jī)根據(jù)接收數(shù)據(jù)包的有無來解碼標(biāo)簽數(shù)據(jù)。若向標(biāo)簽發(fā)送單音探針信號(hào)，在OOK 調(diào)制下，若本地?cái)?shù)據(jù)為“0”，標(biāo)簽不反射探針信號(hào)，若本地?cái)?shù)據(jù)為“1”，標(biāo)簽會(huì)將探針信號(hào)頻移ft后反射。由此，在已知標(biāo)簽頻移量ft后，可以濾波出反射探針信號(hào)sbp(t)，根據(jù)觀察到的調(diào)制方式，對(duì)其解調(diào)，獲取標(biāo)簽上數(shù)據(jù)。

3.3 獲取激勵(lì)信號(hào)中心頻率

僅已知標(biāo)簽頻移量ft的情況下，在系統(tǒng)可能使用的頻段中直接觀測(cè)頻譜中是否有間隔ft的兩個(gè)信號(hào)峰來確定激勵(lì)信號(hào)中心頻率fc是不準(zhǔn)確的，因?yàn)榭赡艽嬖谇『瞄g隔ft的兩個(gè)無關(guān)信號(hào)所帶來的干擾。

基于反射系統(tǒng)特性，由于頻移標(biāo)簽反射信號(hào)過程中，僅將信號(hào)頻率進(jìn)行搬移，反射信號(hào)為激勵(lì)信號(hào)復(fù)制。因此使用SDR對(duì)反向散射系統(tǒng)進(jìn)行觀測(cè)，理想情況下接收到的信號(hào)s(t)=sc(fct)+sr((fc+ft)t)=sc(fct)+ksc((fc+ft)t)，其中k為反射過程中信號(hào)強(qiáng)度的衰減比。若對(duì)s(t)下變頻ft，下變頻后信號(hào)為sdc(t)=sc((fc-ft)t)+ksr(fct)，由于sdc(t)與s(t)都包含sr(fct)分量，因此二者具有強(qiáng)相關(guān)性。

基于上述現(xiàn)象，受到攻擊者接收機(jī)帶寬限制，將獲取fc問題解耦為兩部分：（1）確定激勵(lì)信號(hào)和反射信號(hào)所在觀測(cè)窗口；（2）在該窗口中確定fc。假設(shè)系統(tǒng)可能使用的頻率范圍為F=[fbegin，fend]，攻擊者接收機(jī)帶寬為BW，接收窗長為2BW，具體步驟如圖5所示。

（1）確定激勵(lì)信號(hào)和反射信號(hào)所在觀測(cè)窗口

a.移動(dòng)窗口采集信號(hào)。設(shè)置觀測(cè)窗口移動(dòng)步長為fstep，則窗口windowi觀測(cè)范圍為Fi=[fbegin+(i-1) ×fstep，fbegin+(i-1) ×fstep+2BW]，觀測(cè)的信號(hào)為si(t)。使用窗口遍歷F，采集信號(hào)集合為S={s1(t)，s2(t)，…，sN(t)}，其中。

b.對(duì)采集信號(hào)進(jìn)行下變頻。根據(jù)ft，生成下變頻信號(hào)分量dc(t)=e-j2πftt，對(duì)S中信號(hào)做下變頻，得到下變頻信號(hào)集合Sdc={sdc，1(t)，sdc，2(t)，…，sdc，N(t)}。

c.計(jì)算互相關(guān)序列均值。計(jì)算原始信號(hào)si(t)和下變頻信號(hào)sdc，i(t)互相關(guān)序列，計(jì)算其均值表示二者之間相關(guān)度，得到相關(guān)度集合C={c1，c2，…，cN}。

d.確定觀測(cè)窗口。相關(guān)度最大值ck=max(C)對(duì)應(yīng)激勵(lì)信號(hào)和反射信號(hào)所在觀測(cè)窗口windowk。

（2）在窗口中確定fc

a.將信號(hào)變換到頻域：Sk(f)=FFT(sk(t))。

b.獲取存在頻率分量。Fpeak={f1，f2，…，fn}，其中n為存在頻率分量的個(gè)數(shù)。

c.判決fc。從Fpeak選擇出fc，需要進(jìn)行以下兩個(gè)判斷。判斷1：是否存在Sk(fi+ft)，fi∈Fpeak，若不存在，判斷是否存在Sk(fi+1+ft)，若存在，則進(jìn)行判斷2。判斷2：Sk(fi)與Sk(fi+ft)的幅值差是否大于ΔA，若大于，則記錄fc=fi，否則不進(jìn)行記錄。

最終得到激勵(lì)信號(hào)中心頻率fc，結(jié)合標(biāo)簽頻移量ft，可知系統(tǒng)接收機(jī)工作頻段為fc+ft。

4 實(shí)驗(yàn)與結(jié)果分析

4.1 系統(tǒng)部署與參數(shù)設(shè)置

本文使用Wireless Open-Access Research Platform（WARP）SDR和單邊帶反射標(biāo)簽搭建基于Wi-Fi的頻移反向散射系統(tǒng)，WARP發(fā)射機(jī)發(fā)送Wi-Fi信標(biāo)，經(jīng)頻移反射標(biāo)簽反射后，使用WARP接收機(jī)模擬商用Wi-Fi 接收機(jī)接收Wi-Fi 信標(biāo)和標(biāo)簽反射的Wi-Fi 信標(biāo)。標(biāo)簽使用Nexys4 DDR FPGA作為數(shù)字基帶，生成本地時(shí)鐘作為標(biāo)簽本地頻移信號(hào)，并實(shí)現(xiàn)OOK 調(diào)制將標(biāo)簽本地?cái)?shù)據(jù)加載到激勵(lì)信號(hào)上。頻移反向散射系統(tǒng)參數(shù)設(shè)置如表1所示，搭建系統(tǒng)如圖6所示。

表1 頻移反向散射系統(tǒng)參數(shù)設(shè)置Tab.1 Parameters setting of frequency shift backscatter system

攻擊者使用ADALM-PLUTO SDR 作為射頻信號(hào)收發(fā)設(shè)備，設(shè)置接收機(jī)帶寬為40 MHz。本文使用MATLAB R2021a 生成Wi-Fi 信標(biāo)與單音探針信號(hào)，并配置WARP與PLUTO的收發(fā)。

上述實(shí)驗(yàn)系統(tǒng)與設(shè)備部署在安裝大量無線接入點(diǎn)的實(shí)驗(yàn)室環(huán)境中。

4.2 探針探測(cè)標(biāo)簽頻移量實(shí)驗(yàn)與性能分析

本節(jié)通過實(shí)驗(yàn)分別分析了復(fù)雜的實(shí)際電磁環(huán)境中，單探針探測(cè)方法與多探針探測(cè)方法探測(cè)標(biāo)簽頻移量的性能。實(shí)驗(yàn)設(shè)置攻擊發(fā)射機(jī)中心頻率為2412 MHz，接收機(jī)中心頻率為2420 MHz，并使用單音信號(hào)作為探針信號(hào)。使用單探針探測(cè)方法時(shí)，設(shè)置單探針基帶頻率為1 MHz，滑窗窗長為1 MHz，步長為1 MHz，篩選可能的反射探針信號(hào)分量所選用閾值thb為20 dB。在多探針實(shí)驗(yàn)中，設(shè)置10 個(gè)探針為一組進(jìn)行投票，每組探針頻率均為1 MHz。實(shí)驗(yàn)首先測(cè)試在不同距離下單探針探測(cè)方法的標(biāo)簽頻移量識(shí)別率，然后對(duì)比單探針探測(cè)方法和多探針探測(cè)方法的識(shí)別性能。

（1）距離對(duì)探測(cè)性能的影響

分別使用能量為30 dBm，20 dBm，10 dBm 和0 dBm 的探針信號(hào)進(jìn)行實(shí)驗(yàn)，測(cè)試攻擊距離為0 到2 m 時(shí)單探針探測(cè)的探測(cè)性能，展示攻擊距離對(duì)探測(cè)性能的影響，實(shí)驗(yàn)結(jié)果如圖7 所示。實(shí)驗(yàn)結(jié)果表明，當(dāng)探針信號(hào)能量為30 dBm 時(shí)，由于反射探針信號(hào)能量強(qiáng)度高于外界干擾信號(hào)能量強(qiáng)度，在1到2 m的攻擊距離范圍內(nèi)保持較高的識(shí)別準(zhǔn)確率；當(dāng)探針信號(hào)能量為0 dBm時(shí)，若攻擊距離較遠(yuǎn)，且外界干擾信號(hào)較強(qiáng)時(shí)，反射探針信號(hào)無法被檢測(cè)，從而導(dǎo)致識(shí)別準(zhǔn)確率下降。

（2）單探針探測(cè)與多探針探測(cè)性能對(duì)比

為測(cè)試多探針探測(cè)方法在攻擊距離較遠(yuǎn)時(shí)的探測(cè)性能，實(shí)驗(yàn)設(shè)置探針信號(hào)強(qiáng)度為30 dBm，測(cè)試攻擊距離為0 到2 m 時(shí)兩種探測(cè)方法的探測(cè)性能并進(jìn)行對(duì)比，實(shí)驗(yàn)結(jié)果如圖8所示。實(shí)驗(yàn)結(jié)果顯示，當(dāng)攻擊距離較近時(shí)，由于單探針的反射信號(hào)能量強(qiáng)度高于外界干擾信號(hào)能量強(qiáng)度，二者識(shí)別性能相近；當(dāng)攻擊距離較遠(yuǎn)時(shí)，反射探針信號(hào)能量強(qiáng)度會(huì)衰減，若外界干擾信號(hào)能量強(qiáng)度高于反射探針信號(hào)，單探針探測(cè)便無法識(shí)別出反射探針信號(hào)，而多探針探測(cè)會(huì)根據(jù)多次探測(cè)結(jié)果進(jìn)行判決，從而具有更好的魯棒性以維持識(shí)別準(zhǔn)確率。

4.3 竊聽攻擊驗(yàn)證實(shí)驗(yàn)

本節(jié)實(shí)驗(yàn)驗(yàn)證從反射探針信號(hào)中解碼標(biāo)簽本地?cái)?shù)據(jù)的可行性，使用解碼數(shù)據(jù)的誤碼率（Bit Error Rate，BER）作為性能指標(biāo)。誤碼率表示傳輸過程中錯(cuò)誤的碼字個(gè)數(shù)ne與傳輸總碼字個(gè)數(shù)n的比值：

實(shí)驗(yàn)發(fā)送能量強(qiáng)度為30 dBm，20 dBm和10 dBm的探針信號(hào)并接收相應(yīng)的反射探針信號(hào)，通過解調(diào)反射探針信號(hào)獲取標(biāo)簽數(shù)據(jù)。為對(duì)比不同攻擊距離下的解碼效果，實(shí)驗(yàn)分別測(cè)試0.25到2 m攻擊距離下解碼數(shù)據(jù)的誤碼率，實(shí)驗(yàn)結(jié)果如圖9所示。實(shí)驗(yàn)結(jié)果顯示，當(dāng)探針信號(hào)能量強(qiáng)度為30 dBm且攻擊距離在1 m的范圍內(nèi)時(shí)，可以通過反射探針信號(hào)準(zhǔn)確解碼出標(biāo)簽本地?cái)?shù)據(jù)。但當(dāng)探針能量強(qiáng)度較弱或者攻擊距離較遠(yuǎn)時(shí)，反射探針信號(hào)的信噪比大大降低，導(dǎo)致無法通過反射探針信號(hào)解碼標(biāo)簽本地?cái)?shù)據(jù)。從實(shí)驗(yàn)結(jié)果中也可觀察到，解碼的有效距離要短于同探針信號(hào)強(qiáng)度下標(biāo)簽頻移量的識(shí)別距離，這是因?yàn)榻獯a時(shí)所使用的信號(hào)為時(shí)域信號(hào)，其能量強(qiáng)度為信號(hào)的瞬時(shí)強(qiáng)度，而在探測(cè)反射探針信號(hào)強(qiáng)度時(shí)，所觀察的頻譜能量為攻擊者接收機(jī)接收時(shí)間段內(nèi)的累積能量，其相較于信號(hào)瞬時(shí)能量更強(qiáng)，因此在長距離上探測(cè)效果要優(yōu)于解碼效果。

4.4 攻擊角度干擾驗(yàn)證實(shí)驗(yàn)

在RFID 系統(tǒng)中，標(biāo)簽放置角度的變化會(huì)對(duì)反射信號(hào)產(chǎn)生影響，因此本節(jié)實(shí)驗(yàn)測(cè)試攻擊角度變化對(duì)標(biāo)簽頻移量識(shí)別率以及竊聽標(biāo)簽數(shù)據(jù)誤碼率所帶來的影響，并分析其原因。實(shí)驗(yàn)設(shè)置探針信號(hào)能量強(qiáng)度為30 dBm，攻擊距離為0.5 m，測(cè)試標(biāo)簽天線與PLUTO SDR 天線角度為0°，30°，60°和90°時(shí)，單探針探測(cè)效果，多探針探測(cè)效果和竊聽誤碼率，實(shí)驗(yàn)結(jié)果如圖10所示。實(shí)驗(yàn)結(jié)果表明，當(dāng)攻擊角度偏差較大時(shí)，單探針探測(cè)效果有較為明顯的下降，而多探針探測(cè)對(duì)角度變化具有較好的魯棒性，這是因?yàn)閮蓚€(gè)設(shè)備天線極性不一致時(shí)，會(huì)導(dǎo)致攻擊接收機(jī)所接收的反射探針信號(hào)能量強(qiáng)度下降，從而出現(xiàn)了與增加攻擊距離時(shí)相同的效果，即識(shí)別準(zhǔn)確率下降。同樣的，上述原因也導(dǎo)致竊聽誤碼率隨著角度增大而上升。

4.5 激勵(lì)信號(hào)中心頻率探測(cè)實(shí)驗(yàn)

本節(jié)實(shí)驗(yàn)驗(yàn)證通過下變頻計(jì)算互相關(guān)性確定激勵(lì)信號(hào)中心頻率所在頻段的可行性。實(shí)驗(yàn)標(biāo)簽頻移量ft=20 MHz，由于Wi-Fi信標(biāo)所在信道頻率范圍為2412 MHz至2484 MHz，因此設(shè)置攻擊接收機(jī)觀測(cè)頻率范圍F=[2380，2520] MHz，接收機(jī)帶寬為20 MHz，窗長為40 MHz，窗移動(dòng)步長fstep=20 MHz。各窗口觀測(cè)信號(hào)進(jìn)行下變頻后，計(jì)算與原始觀測(cè)信號(hào)相關(guān)性如圖11 所示。由于所部署頻移反向散射系統(tǒng)發(fā)射信標(biāo)所在信道中心頻率為2412 MHz，反射信號(hào)頻率應(yīng)為2432 MHz，可以觀察到中心頻率為2420 MHz的窗口相關(guān)度最高，并在該窗口內(nèi)確定激勵(lì)信號(hào)中心頻率為2412 MHz，驗(yàn)證了上述方法可行性。

4.6 欺騙攻擊驗(yàn)證實(shí)驗(yàn)

本節(jié)實(shí)驗(yàn)驗(yàn)證攻擊者在獲取標(biāo)簽頻移量和系統(tǒng)激勵(lì)信號(hào)中心頻率并計(jì)算出系統(tǒng)接收機(jī)工作中心頻率后對(duì)其進(jìn)行欺騙攻擊的可行性。由上述實(shí)驗(yàn)結(jié)果可計(jì)算系統(tǒng)接收機(jī)工作中心頻率為fr=fc+ft=2412+20=2432 MHz，位于Wi-Fi 第5 信道。實(shí)驗(yàn)使用PLUTO SDR生成Wi-Fi信標(biāo)幀，并在Wi-Fi第五信道以“發(fā)送”與“不發(fā)送”信標(biāo)幀來模擬標(biāo)簽OOK調(diào)制，并部署另一臺(tái)設(shè)備在第一信道持續(xù)發(fā)送信標(biāo)幀來模擬系統(tǒng)激勵(lì)信號(hào)，并使用系統(tǒng)接收機(jī)接收，接收信號(hào)如圖12所示，其中圖12（a）為接收機(jī)于Wi-Fi第一信道接收的激勵(lì)信號(hào)，圖12（b）為接收機(jī)于Wi-Fi 第五信道接收的偽造標(biāo)簽反射信號(hào)，驗(yàn)證了對(duì)頻移反向散射系統(tǒng)進(jìn)行數(shù)據(jù)欺騙攻擊的可行性。

5 結(jié)論

本文首次分析了頻移反向散射系統(tǒng)存在的安全漏洞，研究對(duì)其進(jìn)行無線攻擊的可行性。為了獲取系統(tǒng)的兩個(gè)關(guān)鍵特性：頻移反射標(biāo)簽頻移量與系統(tǒng)所用激勵(lì)信號(hào)中心頻率，本文首先提出基于探針注入的主動(dòng)攻擊方法，通過提取標(biāo)簽反射的探針信號(hào)所在頻率，計(jì)算出標(biāo)簽頻移量；其次，本文根據(jù)獲取的標(biāo)簽頻移量，利用反射信號(hào)與激勵(lì)信號(hào)具有高相關(guān)性的性質(zhì)，提出基于時(shí)序信號(hào)下變頻計(jì)算相關(guān)性的方法，確定激勵(lì)信號(hào)所在頻段范圍，進(jìn)而提取其中心頻率。文章最后部署了頻移反向散射系統(tǒng)并使用上述攻擊方案準(zhǔn)確獲取系統(tǒng)特性，實(shí)驗(yàn)結(jié)果表明，現(xiàn)有頻移反向散射系統(tǒng)存在安全漏洞，攻擊者可以使用上述方案對(duì)頻移反向散射系統(tǒng)進(jìn)行竊聽和欺騙攻擊。因此，設(shè)計(jì)隱蔽式標(biāo)簽頻移方案以填補(bǔ)現(xiàn)有頻移反向散射系統(tǒng)存在的安全漏洞為后續(xù)研究的重點(diǎn)。