刘子威，林 峰,2*，任 奎

(1.浙江大学 网络空间安全研究中心，浙江 杭州 310027;2.浙江省区块链与网络空间治理重点实验室，浙江 杭州 310027)

0 引言

在物联网“万物互联”的情境下，大量不同的设备由于不同的需求，使用着不同的无线通信技术(如WiFi、蓝牙及ZigBee等)，这些设备由于使用了同样的频段(如2.4 GHz的ISM频段)，将会面临不同技术间在同频段下的共存问题，而由于不同技术的物理层、数据链路层等协议的标准不同，异质设备之间无法直接进行通信，亦使得这些无线技术原本使用的信道协调协议(如WiFi的RTS/CTS)在存在多种不同技术的情景下不适用[1]。

传统的管理多种异质设备的方式是使用集成了多种无线通信技术的网关作为中介。而最近兴起的跨技术通信(Cross-technology Communication，CTC)技术避免了使用网关带来的额外硬件和流量的开销，在不进行硬件修改的情况下让使用不同无线技术的设备能够直接进行通信[1]。CTC能够更好地协调异质设备之间的信道使用，为解决异质设备间的共存问题提供了新的方向[2-3]。此外，CTC实现的异质设备之间的直接通信在物联网情景下有着广泛的应用价值，例如在智能家居的场景下，CTC能够帮助多种设备之间达成良好协作；在智慧医疗场景下，可以利用WiFi实时掌握病人的位置并利用CTC将位置信息分享给常见的基于蓝牙的医疗设备[4]。

长期演进技术(Long-Term Evolution，LTE)是目前全球范围内最成熟、最稳定的移动通信网络技术。目前部署的LTE的频段主要为已授权的频段，LTE-Unlicensed通过将LTE扩展到非授权频段(主要是5 GHz的ISM频段)，从而扩充网络容量。使用非授权频段的LTE核心技术包括LTE-U，LAA(Licensed Assisted Access)，eLAA(enhanced LAA)等，目前为止，已有3个国家/地区部署了LTE-U网络，21个国家/地区的32家运营商在LAA上进行投资[5]。但由于目前广泛使用的WiFi技术使用的也是非授权频段(如使用5 GHz 频段的802.11 a/n/ac)，因此LTE-Unlicensed对非授权频段的使用需要解决与WiFi设备之间的共存问题[6-8]。幸而CTC的出现，使得该共存问题能够通过LTE-Unlicensed基站与WiFi接入点(Access Point,AP)之间利用CTC进行更好的信道协调来有效解决[3]。

而另一方面，由于LTE-Unlicensed与WiFi之间的CTC对其信道协调起着关键性的作用，因此若该CTC的安全性无法保证，将影响到通信双方的正常协调，进而对LTE-Unlicensed或WiFi本身的通信造成影响[9-11]。因此CTC系统的安全性显得尤为重要，进而产生了个问题：现有的LTE-Unlicensed与WiFi之间的CTC是否安全？

对此，本文深入研究了LTE-Unlicensed到WiFi之间的CTC，探索了实际干扰攻击的可行性，并提出相应的防御措施。

1 CTC介绍

CTC能够让使用不同无线通信技术的设备之间实现直接通信，通过对物理层信号的精心设计，它在这些拥有不兼容的物理层的异质设备之间搭建起了沟通的桥梁。目前提出的CTC系统可大致分为三大类。

1.1 数据包级的CTC

数据包级的CTC通过利用无线数据包的能量特征，如长度、能量强度及传输时间等，搭建起正常通信之外的“隐通道”，让异质设备之间在物理层实现直接通信。如Esense[12]最早实现了从WiFi向ZigBee传输信息，它把WiFi数据包的长度与与字母集进行配对，通过使用不同长度的数据包来表示不同的符号。相比之下，WiZig[13]用WiFi数据包的不同能量级别表示比特‘0’和‘1’，并且通过多次重复每个比特来降低传输的误码率。通过精巧的设计，数据包级的CTC对设备的正常通信影响非常小。但由于它的传输速率受数据包发送频率以及数据包长度的限制，最终的传输速率非常低(通常低于1 kbit/s)[14-15]。

1.2 基于OFDM的CTC

最新的研究OfdmFi[16]提出了基于OFDM的CTC的概念，并实现了LTE-Unlicensed与WiFi之间的双向CTC。基于OFDM的CTC有着类似于数据包级CTC搭建“隐通道”的思路，但却以OFDM符号的长度为改变能量模式的基本时间单位，即通过改变若干个OFDM符号内部分子载波的功率来完成CTC数据的编码，有着相比数据包级CTC更高的波特率以及更高的比特率(可达84 kbit/s)。之后在DeepCTC[17]中，Zubow等将深度学习应用于基于OFDM的CTC，以对CTC和正常通信进行联合优化，从而更好地在CTC与正常通信之间进行权衡。据我们所知，这些是目前仅有的基于OFDM的CTC的相关工作。基于OFDM的CTC相比其他大部分仅仅针对某一种设备(如蓝牙、WiFi及ZigBee等)设计的CTC而言，适用性更广，也是仅有的能实现LTE-Unlicensed与WiFi双向CTC的方法。

1.3 基于物理层模拟的CTC

此类方法经过精巧的设计，让发送方能够模拟出接收方所能解调的信号。如WEBee[18]在WiFi的物理层限制之下，利用精心构造的数据包，让该数据单元在经过物理层之后，产生的WiFi信号中的一部分与ZigBee信号近似，从而可以被ZigBee设备直接解调；BlueBee[19]使用蓝牙设备模拟ZigBee信号，LTE2B[20]使用LTE的用户设备(User Equipment,UE)模拟出ZigBee/蓝牙信号。基于物理模拟的CTC在速率有了极大地提升，往往能够达到接收方原本所用的协议速率，但该类方法实现难度较大，需要占用设备正常流量，且目前仅能实现单向的CTC。

对于LTE-Unlicensed与WiFi之间的CTC而言，基于OFDM的CTC是其目前最新以及最佳的解决方案，一方面它能做到双向通信，这一点对大部分的CTC而言难以完成，因为异质设备之间物理层差异极大，CTC的实现往往需要针对特定种类的设备进行设计，如WEBee的方法无法反过来用于ZigBee到蓝牙的CTC。另外基于OFDM的CTC有着相对较高的传输速率，以及对设备的正常通信影响较小。这些为LTE-Unlicensed与WiFi之间的同频干扰问题提供了良好的解决条件。

2 CTC系统的软硬件实现

为了验证基于OFDM的CTC系统的可行性，以及帮助分析其安全性，本文搭建了一个从LTE-Unlicensed到WiFi方向的基于OFDM的CTC系统。下面将详细介绍基于OFDM的CTC原理以及具体实现。

2.1 基于OFDM的CTC的原理

一个OFDM系统把频谱资源划分为多个时频资源块，不同的OFDM系统划分的粒度不同，每个资源块上的调制方式也不同，这也是异质设备无法直接进行通信的原因。基于OFDM的CTC则是从OFDM系统时频资源块的功率入手[16]，如果OFDM系统具备对时频资源块的功率进行修改与感知的功能，那么可以通过让发送方修改部分时频资源块的功率，接收方感知改变了功率的视频资源块的位置来传达不同的信息。

如图1所示，考虑两个OFDM系统A与B，图中每个矩形对应一个时频资源块， A与B的OFDM参数不同(如频域上B一个子载波占据的带宽是A的3倍)。系统A可以通过同时改变一个时间槽内相邻3个时频资源块的功率，而使得系统B利用一个子载波的相邻3个时间槽检测到这些位置上时频资源块的功率发生了改变。通过设置不同改变功率的位置，A与B能传递不同信息。此外,显然A与B能同时感知到的最小的时频资源(称这些时频资源为CTC的时频资源单元)在时域、频域上占据的范围越小，通信速率就越高。

图1 基于OFDM的跨技术功率调制Fig.1 OFDM-based cross-technology power modulation

2.2 CTC系统架构

一个典型的LTE-Unlicensed到WiFi的CTC系统架构如图2所示。对于OFDM的发送方而言，会利用IFFT对多个子载波上的信号进行频域到时域的转换，因此要想改变子载波的功率，需要在IFFT模块之前完成。对于需要发送的CTC数据，首先利用预先定好的子载波与数据之间的映射关系把这些数据映射到对应的子载波；然后当高层协议的数据被处理完，再利用对子载波功率进行改变的接口(功率控制模块)，对数据进行修改(图2中的红箭头)，将对应子载波的功率降低；处理完后的数据再进行正常的IFFT以及一系列处理转换成模拟信号经过天线发出。

图2 LTE-Unlicensed到WiFi的CTC系统Fig.2 CTC system from LTE-Unlicensed to WiFi

对于OFDM的接收方而言，收到的信号会经过FFT模块的处理，CTC系统通过读取FFT的结果，能够计算出每个子载波的功率，并将与其他在功率上的差异达到一定阈值的子载波作为被改变了功率的子载波(即因为编码CTC的数据而被改变了功率)，最后通过预先编码的子载波与数据的映射关系，提取出CTC的数据。

接下来详细介绍该CTC系统发送方和接收方在实际设备上的具体实现。

2.3 CTC的发送端(LTE-Unlicensed节点)

LTE以资源块为资源调度的基本单位，一个资源块有12个子载波，占据的带宽为180 kHz，由于WiFi一个子载波带宽有312.5 kHz，因而至少需要使用两个资源块作为一个基本的时频资源块，本文使用4个LTE-Unlicensed资源块作为一个基本的时频资源块，以提高CTC的稳定性。本工作LTE-Unlicensed的实现基于开源的LTE协议栈实现：srslte[21]。在执行IFFT之前，通过将每个资源块对应的值乘以一个系数α(α∈[0,1])，可实现对该资源块功率的改变。为了得到更好的CTC效果，将α设为0，以使被降低了功率的资源块更明显。

在频域上，20 MHz带宽的LTE有100个资源块，从中选取相邻的32个资源块用于CTC，其中每4个资源块组成一个基本的CTC时频单元，每次只对一个时频单元的功率进行修改。从时域上来看，CTC发送端使用的时频资源块最小单位为500 μs，本文将LTE的4个资源块以及500 μs的时频资源称为一个CTC的时频资源单元。

图3展示了采集到的未经CTC编码的20 MHz带宽LTE-Unlicensed信号的实时功率谱，图4为改变了4个资源块功率的20 MHz带宽的LTE-Unlicensed信号的实时功率谱，LTE-Unlicensed信号中心频率设置为5 240 MHz，其中横坐标表示与LTE-Unlicensed信号的中心频率相对值，负数频率表示低于中心频率的值。

图3 LTE-Unlicensed信号的功率谱Fig.3 Power spectrum of LTE-Unlicensed signal

由图4可以看出，在频域上的-10.5～-5.0 MHz之间有个明显的功率低谷，该低谷正是由于降低了4个LTE-Unlicensed资源块的功率而产生的，通过改变该低谷的位置，发送方能够表示不同的数据。为了便于接收方解码数据，本文用特殊的1 ms LTE数据帧作为CTC数据包的前导码，不同于CTC数据，它们有着多个功率低谷以便于识别。

图4 经过CTC调制的LTE-Unlicensed信号功率谱Fig.4 Power spectrum of LTE-Unlicensed signal modulated by CTC

2.4 CTC的接收端(WiFi设备)

接收端要想解调CTC数据，关键在于借助FFT模块。Atheros的AR92xx和AR93xx系列芯片能够在软件控制的条件下报告基带的FFT数据。我们使用了两台刷入openwrt固件[22]后具备报告FFT数据功能的路由器。在其开始扫描之后，可以利用debugfs文件系统获取tlv格式的FFT结果，从而计算出每个子载波的功率，进而根据子载波与数据的映射解调出数据。

以ath10k获取到的64-point的FFT为例，图5(a)显示了利用WiFi设备的频谱扫描功能对没有经过CTC调制的LTE-Unlicensed信号连续获取了255个FFT样本后得到的结果。图的横轴代表频域，纵坐标为每个FFT bin的功率大小，每个蓝色像素点表示某次FFT样本中该FFT bin的功率大小。图5(b)显示了WiFi的频谱扫描功能对经过了固定子载波的(即只降低了固定的4个资源块)CTC功率调制后的LTE- Unlicensed信号的感知结果。圈出的明显缺口即WiFi的两个子载波对于降低了功率的4个LTE-Unlicensed资源块的感知，可见WiFi设备利用64-point的FFT，对编码了CTC数据的信号有足够的接收能力。

(a) 未经过CTC调制

3 威胁模型

针对该LTE-Unlicensed到WiFi的CTC，发现使用廉价的商用设备即可很好地对其产生持续干扰，而且由于CTC的特殊性，还能够对其造成隐蔽的反应型干扰。考虑如图6所示的威胁模型，一个LTE-Unlicensed节点正利用基于OFDM的CTC向一个WiFi的AP(如路由器)发送数据，一台恶意路由器通过发射WiFi信号对该通信进行干扰，从而导致CTC通信质量大幅下降甚至中断。攻击设备干扰的方式包括持续性干扰和反应型干扰。对于持续性干扰而言，恶意路由器主动不断地发送WiFi信号；对于反应型干扰而言，恶意路由器会先检测是否有CTC信号出现，当发现了CTC信号之后才会注入干扰信号。

图6 利用WiFi设备进行信号干扰Fig.6 Using WiFi equipment for jamming

本文提出的干扰攻击基于以下假设：

① CTC通信双方在同一非授权频段工作，使用20 MHz的带宽。攻击者已知CTC所使用的频段，在实际情况下，即使攻击者未能事先知道该信息，也可通过逐频段扫描的方式来找到。

② LTE-Unlicensed节点没有执行LBT(Listen Before Talk)机制(即遵循LTE-U标准，实际上若有LBT机制存在，干扰效果会更好，因为干扰者能够触发LBT的回退机制，阻碍LTE-Unlicensed信号的发送)。

4 无线干扰

无线干扰可以分为两类：主动式干扰和反应型干扰。主动式干扰在信道上持续发送随机比特或电磁信号，达到干扰正常通信的效果。反应型干扰仅仅在检测到目标信号之后才会发送一段干扰信号，是更低功耗的干扰策略。反应型干扰往往很难被检测，因为对于攻击的目标而言，它不会产生额外的流量。

目前对于各种常见的无线通信技术的智能干扰已经有许多相关研究[9-11]，但一方面这些干扰往往以降低数据包的接收率为目标，例如针对LTE的参考信号进行针对性的干扰，以实现低功耗的高效干扰[9]。而由于基于数据包和基于OFDM的CTC利用完全不同的调制方式，原有技术的数据包误码率对其没有直接影响，因而传统的智能高效的干扰方式无法对CTC进行有效的干扰。另一方面，考虑到CTC建立在原有通信的基础上及其用途(如用于信道协调)，CTC的发生频率并不会非常高，因而反应型干扰(即攻击设备只在检测到CTC信号出现时才发射干扰信号)将是对CTC进行高效干扰的良好策略。但由于CTC利用了全新的调制方式，传统的反应型干扰往往无法有效地对CTC信号进行识别。针对CTC的干扰而言，目前仅有JamCloak[23]使用昂贵的USRP设备对当时大部分数据包级的CTC实现了反应型干扰。相比之下，由于非物理层模拟的CTC波特率较低，使用廉价的WiFi设备(一台路由器)即可完成反应型干扰。(对于基于物理层模拟的CTC而言，对它的干扰即可视为针对正常通信信号的干扰，针对这些，现有的干扰方案已经足以完成，如文献[10]中对WiFi的反应型干扰)。

使用路由器作为攻击设备有以下3个优点：① 该设备廉价而常见，攻击成本低且不易被察觉；② 攻击设备发出的为正常的WiFi信号，具有极佳的伪装效果，从而增加被检测到的难度；③ 利用WiFi信号能够对LTE-Unlicensed到WiFi的CTC造成额外的干扰效果。该CTC依赖接收端获取FFT结果的能力来完成CTC数据的解调，而WiFi设备作为接收端时，其FFT数据的汇报能力取决于本身芯片所处的状态：当不在发送(TX)状态或接收(RX)状态时芯片才会汇报FFT数据。这一特性本身有其优势所在：它使得CTC的实现不会影响到接收端WiFi设备的正常通信，且在进行CTC时，由于其他WiFi设备使用了带有冲突避免的载波侦听多路访问(Carrier Sense Multiple Access with Collision Avoidance,CSMA/CA)机制，当LTE-Unlicensed信号的强度足够触发其他WiFi设备的“回退”时，也不会对该CTC产生影响。但是该FFT数据汇报的特性却可被攻击者利用，通过注入WiFi信号，可以促使CTC接收端解调攻击者注入的WiFi信号，从而使其无法汇报FFT数据，进而阻碍CTC的正常通信。

本文利用路由器实现了持续性干扰和反应型干扰两种攻击方式：

(1) 持续性干扰

利用路由器，可以通过其监视(monitor)接口持续注入数据包，使其不断产生WiFi信号。一方面，干扰信号的注入能够降低CTC通信的信号与干扰加噪声比(Signal to Interference Plus Noise Ratio,SINR)；另一方面，该信号将使得CTC的WiFi接收端处在接收状态，以阻止其解调CTC数据，从而干扰正常的CTC通信。为了避免LTE-Unlicensed信号触发攻击者路由器的CSMA/CS机制，需要将攻击者路由器的载波监听关闭。

(2) 反应型干扰

持续性干扰的方式将产生大量WiFi信号，持续占用信道，消耗的能量大，也更易被发现异常。相比之下，反应型干扰只在检测到基于OFDM的CTC流量出现时才进行干扰，不会产生额外的流量与信道占用，更为隐蔽和高效。仅仅使用一台具备FFT数据汇报功能的路由器，便可对该基于OFDM的CTC进行有效的反应型干扰。反应型干扰的实现如图7所示，主要由CTC信号检测以及WiFi数据包注入两部分组成。数据包注入部分与持续性干扰相同，使用系统提供的monitor接口即可。而对于更为关键的CTC信号检测，可以通过采样路由器汇报的FFT数据，从而获取收到的信号功率谱分布。由于正常的LTE-Unlicensed信号功率谱是接近均匀分布的，因而若发现存在“凹槽”的功率谱，可判断认为有CTC流量出现，则立即通过monitor接口注入WiFi数据包，从而实现干扰。由于LTE-Unlicensed到WiFi的基于OFDM的CTC以500 μs为一个CTC时频资源单元的时长，因此注入的数据包长度至少应为1 ms。由于该CTC的波特率较低，对于攻击者来说，检测信号和发送干扰信号所需要的时延较为充裕，本文提出的反应型干扰可以直接在系统的应用层进行实现，从而进一步降低攻击门槛。

图7 反应型干扰的实现Fig.7 Implementation of reactive jamming

5 实验结果

5.1 评估指标

包传输率(Packet Delivery Ratio,PDR)接收方成功解调CTC数据包的数量与发送方所发送的数据包的数量之比。

干扰与信号比干扰信号强度与CTC发送端(LTE-Unlicensed)发出的信号强度之比。

载荷长度CTC数据包所携带的CTC符号数量(不包括前导码)。由于一个CTC时频资源单元在时域上占据500 μs，因此一个单位的载荷意味着500 μs时长的信号。

5.2 LTE-Unlicensed到WiFi的CTC

利用一台USRP B210作为LTE-Unlicensed节点，考虑到不同驱动能够汇报的FFT参数不同，利用两台不同驱动的已刷入固件的路由器(WNDR4300 v1和Mercury MAC1200R v1.0)作为CTC的WiFi节点，实现了LTE-Unlicensed到WiFi的CTC系统，其中两台路由器所使用的驱动分别为ath9k和ath10k，ath10k支持汇报64-point和256-point的FFT数据，而ath9k仅支持汇报56-point的FFT数据。

固定CTC数据包的长度为4 ms(载荷长度为6)，即共有8个CTC符号，其中2个符号为前导码，并将LTE-Unlicensed节点和WiFi设备均配置为在同一20 MHz带宽的频段工作。通过改变发送方的信号增益，能够改变发送方的功率，结果如图8所示。随着发送方功率的增大，CTC的包传输率逐渐上升，最高可达92.6%。其中利用256-point的FFT数据能够得到最佳的CTC通信效果，主要原因在于更细粒度的FFT结果意味着频域上的分辨率更高，这使得CTC的解码更为精确。

图8 发送方的不同增益下CTC解调成功率Fig.8 PDR of CTC demodulation under different gains of the sender

5.3 干扰攻击的效果

5.3.1 实验设置

本文使用路由器(WNDR4300v1)作为攻击设备，CTC的通信建立在USRP B210到路由器(Mercury MAC1200R)之间。实验场景如图9所示。

图9 攻击场景Fig.9 Attack scenario

5.3.2 持续性干扰

在禁用WNDR4300v1路由器的载波监听之后，通过mac80211子系统能够持续注入数据包。为了便于测试不同干扰信号与原始信号之比(Jamming-to-Signal ratio,J/S)下的干扰效果，在实验中固定了攻击设备的发送功率，通过改变CTC通信时所用的功率来实现不同的J/S，测试结果如图10所示。可见即使在J/S为-3 dB时，也可取得较好的干扰效果；但当J/S为-15 dB时，干扰几乎不起作用。

图10 持续性干扰对CTC的影响Fig.10 Effect of constant jamming on CTC

接下来进一步分析干扰成功的原因，图11中呈现出1 s内CTC接收方所获取到的FFT样本数，当J/S较高时(3～9 dB)，由于攻击者使用的干扰信号为WiFi信号，能够使得CTC接收方进入RX状态，使其能够获取的FFT样本数量大幅减少，导致CTC无法进行。CTC时频资源单元时域上为500 μs，因此即使在最理想状态下，也需要1 s / 500 μs = 2 000个样本才有解调CTC信号的可能性，因此当攻击者使用较强的干扰信号时，被攻击的路由器将完全失去解调CTC信号的能力。当J/S较低时(如-6～3 dB)，攻击者发送的WiFi信号强度较弱，无法触发CTC接收方的RX状态，但其对CTC信号的影响依然足以干扰CTC的正常通信。因此即使该基于OFDM的CTC得到改进，能够在更低的SINR下达到较好的通信效果，由于WiFi接收端汇报FFT数据的限制，依然能够利用路由器作为攻击设备，在J/S相对高一些时实现信号干扰。

图11 持续性干扰对FFT样本获取的影响Fig.11 Effect of constant jamming on FFT acquisition

5.3.3 反应型干扰

在WNDR4300v1路由器上，实现了反应型干扰。以效果更好的基于ath10k驱动的使用256-point FFT的CTC为例，将其作为干扰目标，固定其发送端的发送功率，将攻击设备(一台路由器)放置在CTC系统附近，以使攻击设备能够检测到CTC信号，同时攻击设备发出的干扰信号强度足够对CTC通信进行干扰。对于反应型干扰而言，在检测到需要干扰的信号之后，成功干扰的关键因素在于从检测信号到发射干扰信号所需的时间，因此目标信号本身的长度影响着反应型干扰的效果。我们测试了在CTC帧长不同的情况下，实现反应型干扰的效果，结果如图12所示。其中横坐标为一个CTC帧的载荷长度，一单位的长度代表500 μs的帧长。当载荷长度至少为6，即CTC帧的长度(包括前导码)为4 ms时，反应型干扰能够很好地起作用，CTC的PDR下降可达73.4%。

图12 反应型干扰对CTC的影响Fig.12 Effect of reactive jamming on CTC

图13展示了反应型干扰对CTC速率的影响，固定每个CTC帧的间隔为100 ms，且使LTE-Unlicensed信号不断发送，测试了不同帧长下的传输速率。在未受干扰时，随着帧长的增加，CTC 的速率不断上升，但由于越长的帧，越容易受到干扰，因而受到反应型干扰时，CTC的传输速率在100 ms的帧间距下将低于100 bit/s。

反应型干扰未能完全阻止CTC通信的部分原因在于本文攻击的实现是在用户空间完成的，FFT数据需要先从内核传输到用户空间，造成额外的时延，而且FFT数据获取时本身时延有较大不确定性，这些给反应型干扰带来了较大挑战。此外攻击设备的驱动基于ath9k，只能汇报56-point的FFT数据，本身在检测CTC信号的能力上相比256-point的FFT数据更弱。使用更高性能，具备256-point的FFT数据汇报功能的路由器能使反应型干扰更为有效。

图13 反应型干扰对传输速率的影响Fig.13 Effect of reactive jamming on transmission rate

5.3.4 干扰增益

干扰增益的定义为“在达到相同的干扰效果时，持续性干扰与所考虑的干扰产生信号的时间之比”[24]，即若Tc为持续性干扰所发射信号的总时间，Tr为反应型干扰发射信号的时间，则干扰增益为10lg(Tc/Tr)。固定CTC帧间距为100 ms，图14显示了不同长度的CTC数据帧下的干扰增益，随着载荷长度的增加，干扰增益逐渐提高。所有载荷长度下的平均增益可达17.26 dB，由此可见反应型干扰相比持续性干扰的巨大优势。若提高CTC数据帧之间的间隔，干扰增益还能得到更大的提升。

图14 不同载荷长度时的干扰增益Fig.14 Jamming gain of different payload length

6 防御措施

利用商用WiFi设备对CTC进行干扰，尤其是反应型干扰，给CTC带来了极大的威胁。要应对这种攻击方式，从干扰的检测和抗干扰措施两方面进行讨论。

6.1 干扰检测

对于干扰的检测可分为物理层和介质访问控制(Medium Access Control，MAC)层两类方法[24]。由于针对基于OFDM的CTC的干扰属于物理层的干扰，因而这里主要讨论基于物理层的干扰检测方法。对于持续性干扰的检测可以利用检测载波监听的时间来完成[25]，即正常情况下载波监听的时间分布是已知的，当出现干扰时，该分布会发生改变，从而实现对干扰的检测，但该方式对于反应型干扰无效。对于更难检测的反应型干扰，可以利用一致性检测[24]的方式，如检测系统同时测量PDR和接收信号的强度(Received Signal Strength,RSS)，当出现低的PDR却有着高的RSS时，很可能节点已经被干扰了。

6.2 抗干扰措施

要对抗干扰攻击，一个简单直接的方式便是提高发送方的功率，从而提高接收方的SINR，该方式对于有CSMA/CA机制的发送方而言可能无效，因为干扰信号有可能直接抑制发送方信号的发送，但对于不使用CSMA/CA的LTE-U节点来说，该方法不失为抗干扰的良策。此外，还可以使用跳频的方式来避开被干扰的信道，尤其在5 GHz的ISM频段，有23个不重叠的信道，跳频的选择空间很大，CTC通信双方还可利用预共享的密钥来防止攻击者预测到跳频的模式。

7 结束语

基于OFDM的CTC其实能够实现双向的通信，本文主要针对其从LTE-Unlicensed到WiFi方向的CTC进行了干扰。而对于从WiFi到LTE-Unlicensed方向的CTC，其发出的信号依然是合法的WiFi数据包。另外WiFi设备由于CSMA/CA机制的存在，在发送数据之前需要判断信道是否空闲，因此可以通过发射干扰信号触发WiFi设备的回退(Backoff)，从而阻止其传输数据包。Vanhoef[10]等人提出的通过修改固件的方法，已经可以利用商用USB无线网卡对WiFi设备实现信号干扰。类似的，使用路由器作为干扰信号发射源，同样可以通过触发CTC发送方的Backoff方式阻碍其进行CTC通信。相比之下，LTE-Unlicensed的某些版本(如LTE-U)并没有使用CSMA/CA的机制，该方法无法通过触发backoff的方式阻碍LTE-U节点发送信号。因此本文重点关注的是LTE-Unlicensed到WiFi这个方向的CTC。

目前绝大部分CTC的相关工作集中于CTC实现，而缺少对其安全性的考虑。对于极具代表性与发展潜力的基于OFDM的CTC，本文首次针对其安全性进行了分析。本文利用软件无线电设备和多台商用WiFi路由器实现了基于OFDM的CTC，并首次提出可以使用商用WiFi设备对CTC进行干扰。利用廉价的路由器设备实现了对CTC的持续性和反应型干扰两种干扰方式。在实际场景中的实验显示能够对基于OFDM的CTC进行有效的干扰，其中反应型干扰能够显著降低CTC 73.4%的PDR。