馮 鑫 胡 勇

(四川大學(xué)電子信息學(xué)院 成都 610065)

近年來隨著移動互聯(lián)網(wǎng)的高速發(fā)展，物聯(lián)網(wǎng)和“互聯(lián)網(wǎng)+”的概念深入人心，相關(guān)產(chǎn)品和服務(wù)層出不窮.根據(jù)思科最新報告，未來10年，物聯(lián)網(wǎng)將形成價值高達(dá)14.4萬億美元的巨大市場[1].其在家庭環(huán)境中的應(yīng)用，即智能家居逐漸受到業(yè)界和用戶的關(guān)注.智能家居產(chǎn)品應(yīng)用于家庭內(nèi)部，能夠連接網(wǎng)絡(luò)、接受外界控制或控制家庭其他設(shè)備，從而提升家居生活的便利性、舒適性.

為了方便，智能家居環(huán)境中終端與終端，終端與網(wǎng)關(guān)之間的通信基本都是通過無線通信.WiFi網(wǎng)絡(luò)具備移動性好、傳輸速率快、配置簡單等優(yōu)點(diǎn)，使其廣泛運(yùn)用于智能家居設(shè)備的通信.

WiFi網(wǎng)絡(luò)給人們帶來便利的同時，其安全問題卻層出不窮.例如：

1) 使用低安全級別的WEP(Wired Equivalent Privacy)加密方式可以讓黑客用工具瞬間破解密碼;

2) 無線網(wǎng)絡(luò)釣魚攻擊可以使用戶的隱私完全暴露在黑客電腦中;

3) 信號干擾攻擊可以使用戶無法正常連接上網(wǎng)絡(luò)，并導(dǎo)致路由器癱瘓;

4) 設(shè)置弱口令可以使黑客在短時間內(nèi)暴力破解;

5) 開啟了WPS(WiFi protected setup)功能的路由器，Pin碼暴力破解可以在短短幾小時內(nèi)破解其口令.

在各種無線攻擊中，無線網(wǎng)絡(luò)釣魚攻擊是危害非常嚴(yán)重的一種攻擊方式.無線網(wǎng)絡(luò)釣魚攻擊[2]是指黑客架設(shè)一個與真實接入點(diǎn)相同的服務(wù)集標(biāo)識(service set identifier, SSID)的偽造接入點(diǎn)，并將其放置在真實接入點(diǎn)周圍環(huán)境中，以此來誘導(dǎo)受害者連接上偽造的接入點(diǎn).在國外的一些文獻(xiàn)中，偽造接入點(diǎn)常被稱為流氓AP(rogue AP)或者邪惡雙胞胎AP(evil twin AP).一旦受害者誤連接上偽造AP，黑客便可以實施一系列的惡意攻擊，例如，監(jiān)聽敏感信息、中間人攻擊、拒絕服務(wù)攻擊等等.

無線網(wǎng)絡(luò)釣魚攻擊的步驟很簡單，首先要獲取到真實AP的SSID、接入口令，再用監(jiān)聽軟件獲取到真實AP的加密方式、無線信道等信息.其次，準(zhǔn)備一個大功率的無線網(wǎng)卡.最后在筆記本電腦上安裝特殊軟件，讓網(wǎng)卡成為AP并與真實AP配置相同.由于802.11協(xié)議規(guī)定，如果附近環(huán)境中存在配置相同的AP，那么終端會選擇信號更強(qiáng)的一個AP接入.即使終端先前已經(jīng)連上真實AP，并且偽造AP與真實AP的信號強(qiáng)度相當(dāng)，那么黑客依然可以主動利用取消身份驗證洪水攻擊(de-authentication flood attack)，來將終端轉(zhuǎn)化為未關(guān)聯(lián)或未認(rèn)證狀態(tài)，以重新誘導(dǎo)終端接入偽造AP.無線網(wǎng)絡(luò)釣魚攻擊原理如圖1所示:

圖1 無線網(wǎng)絡(luò)釣魚攻擊原理

隨著物聯(lián)網(wǎng)的發(fā)展，無線網(wǎng)絡(luò)釣魚攻擊逐漸蔓延至智能家居環(huán)境中.一旦智能終端接入偽AP，那么黑客將完全控制整個物聯(lián)網(wǎng)環(huán)境，掌握所有智能設(shè)備的控制權(quán).例如，控制智能開關(guān)、控制智能門鎖、篡改終端數(shù)據(jù)等等.這將給智能家居環(huán)境帶來災(zāi)難性的破壞.由于會有許多智能設(shè)備與同一AP連接，而且每次修改接入口令后，需對每個終端的重新接入進(jìn)行設(shè)置，比較麻煩，所以在智能家居環(huán)境下的AP很少會修改口令.這讓黑客更容易通過暴力破解或者通過WPS協(xié)議的漏洞暴力破解Pin碼得到口令.其次，現(xiàn)在智能設(shè)備本身沒有統(tǒng)一的安全標(biāo)準(zhǔn)，安全性參差不齊，黑客也極易通過設(shè)備本身的漏洞拿到口令.

在智能家居環(huán)境中，各個終端和AP之間的位置都比較固定，本文利用WiFi定位技術(shù)收集AP的位置信息，并將AP的位置信息存入指紋數(shù)據(jù)庫.利用檢測到當(dāng)前的AP位置信息與指紋庫中的真實AP位置信息作比較，判斷AP的真實性.實驗結(jié)果表明，該方法能有效檢測智能家居環(huán)境中的偽AP.

1 偽AP檢測技術(shù)研究現(xiàn)狀

偽AP檢測技術(shù)是通過一系列技術(shù)手段，檢測當(dāng)前環(huán)境是否存在偽AP，并向用戶警示.現(xiàn)有的檢測技術(shù)主要分為2類:一類是基于AP硬件特征的檢測;另一類是基于終端與AP流量特征的檢測.

Bratus等人[3]提出通過向AP發(fā)送一些特殊格式的數(shù)據(jù)幀，由于不同無線網(wǎng)卡硬件和驅(qū)動不同，AP返回的數(shù)據(jù)幀的特征也各不相同，所以其利用此返回的數(shù)據(jù)幀特征信息作為指紋存儲起來，每次連接前檢測AP的合法性.該方法的局限性屬于主動攻擊的一種，極易被攻擊者發(fā)現(xiàn)，并且也可被偽造.文獻(xiàn)[4]提出利用MAC地址檢測法，MAC地址用來表示互聯(lián)網(wǎng)上每一個網(wǎng)絡(luò)設(shè)備的標(biāo)識符.然而在AP給終端發(fā)送消息的過程之中同樣包含了自身的MAC地址和目的設(shè)備的MAC地址，作為攻擊者只要在真實AP的范圍內(nèi)是同樣可以接收到真實AP的MAC地址的，所以攻擊者完全可以利用工具將自己架設(shè)的偽AP的MAC地址修改為真實AP的MAC地址，以欺騙受害者.Wei等人[5]提出利用TCP協(xié)議中的ACK數(shù)據(jù)幀的到達(dá)時間不同來建立特征庫，但是其非常容易受TCP的流量影響，需要利用大量時間來搜集建立特征庫，這大大降低了效率.Ma等人[6]提出一種偽AP的檢測框架，通過監(jiān)聽目標(biāo)AP的流量來發(fā)現(xiàn)一些異常信息，并提取操作系統(tǒng)和網(wǎng)卡接口的相關(guān)信息作為指紋，以此來找出存在危險的AP.

2 基于CSI的偽AP檢測

以上研究都是基于硬件特征作為指紋信息，或流量特征作為指紋信息，以鑒別偽AP.但是，硬件特征和流量特征都可以被攻擊者偽造，而在智能家居環(huán)境下AP的位置都比較穩(wěn)固，很難被偽造，可以通過識別AP的位置來鑒別偽AP，所以本文提出一種基于CSI的偽AP檢測方法.

2.1 WiFi定位技術(shù)

要獲取到真實AP的位置信息，必須要選取合適的WiFi定位技術(shù)，特別是基于WiFi室內(nèi)的定位.目前現(xiàn)有的WiFi定位技術(shù)有以下5種:

1) 到達(dá)時間法TOA(time of arrival)[7]

該方法通過測量數(shù)據(jù)包從發(fā)送端到接收端的時間，再利用信號的傳播速度來計算它們之間的距離.利用到達(dá)時間法要求硬件之間有嚴(yán)格的時間同步.其次，它不適合于室內(nèi)的定位.由于室內(nèi)環(huán)境的復(fù)雜性，如遇到桌子、墻壁等障礙物，其計算出來的距離要長于實際距離.

2) 到達(dá)時間差法TDOA(time difference of arrival)[8]

該方法和到達(dá)時間法類似，通過定位點(diǎn)向2個不同的站點(diǎn)發(fā)送無線信號，將信號間的時間差利用幾何算法來得到距離.該方法雖然不需要嚴(yán)格的時間同步，但是也不適合于室內(nèi)的定位.

3) 到達(dá)角度法TOA(time of arrival)[9]

其利用信號的傳播方向來定位，通過測量終端到AP的到達(dá)角度值，再利用夾角射線原則通過幾何知識列出方程組，估算出目標(biāo)終端的位置信息.該方法在室內(nèi)環(huán)境中可行，但是要獲取得到角度信息必須依賴復(fù)雜的硬件設(shè)施.

因為信號強(qiáng)度隨距離急劇衰減，其利用接收端獲取到的目標(biāo)AP的信號強(qiáng)度，再通過路徑損耗模型得到RSSI和距離d的函數(shù)關(guān)系，從而估算出d的值.該方法目前應(yīng)用場景很多，但是對于智能家居環(huán)境下的室內(nèi)定位，其存在精度不高和穩(wěn)定性弱的缺陷.

5) 信道狀態(tài)信息法CSI(channel state information)

其借助了正交頻分復(fù)用OFDM(orthogonal frequency division multiplexing)技術(shù)，將數(shù)據(jù)流分為多個子數(shù)據(jù)流，將每個子數(shù)據(jù)流加載到相互獨(dú)立并且正交的子載波上，并行傳輸?shù)浇邮斩?在裝有csitools的Linux系統(tǒng)環(huán)境下，將每個子載波的幅度和相位信息提取出來，經(jīng)過過濾除雜處理后，作為指紋信息構(gòu)建特征庫用于定位.

2.2 基于SCI的定位及數(shù)據(jù)獲取

在室內(nèi)環(huán)境下，CSI相比RSSI更加穩(wěn)定精確，因為其獲取到的是物理層下更加細(xì)微的信息，所以有更高的魯棒性和細(xì)粒度.檢測偽AP大多都是在室內(nèi)環(huán)境復(fù)雜、人員較多的環(huán)境下，所以選擇信道狀態(tài)信息法來定位真實AP的位置.

在OFDM系統(tǒng)中，信道狀態(tài)信息的頻域模型為[11]

Y=HX+N，

(1)

其中，Y為發(fā)射端的信號向量，X為接收端的信號向量，N為高斯白噪聲，因此所有子載波的信道狀態(tài)信息矩陣能夠估算為

(2)

矩陣中每一個CSI值表征單個載波的幅度和相位信息：

CSI=|csi|ej sin∠csi，

(3)

其中，|csi|表示子載波的幅度；∠csi表示子載波的相位.

目前能用于搜集CSI信息的網(wǎng)卡有2款:Atheros 9390[12]和Intel 5300[13].采用Intel 5300網(wǎng)卡，在ubuntu 11.04的Linux系統(tǒng)環(huán)境下安裝特定的內(nèi)核和經(jīng)過修改的網(wǎng)卡驅(qū)動，再準(zhǔn)備1臺支持802.11n的無線AP.

將安裝有實驗環(huán)境的筆記本電腦連接至目標(biāo)AP，并在筆記本上運(yùn)行csitools[13]，如果目標(biāo)AP與筆記本之間有正常的流量交互，csitools就能夠獲取到CSI原始數(shù)據(jù).獲取到的CSI原始的數(shù)據(jù)為復(fù)數(shù)數(shù)據(jù)，以m×n×30的矩陣呈現(xiàn).m表示發(fā)射端的天線個數(shù)，n表示接收端的天線個數(shù)，30是子載波的個數(shù).

2.3 數(shù)據(jù)處理

在室內(nèi)環(huán)境中，由于家具、墻面、行人走動等因素，會使無線信號受到多徑傳播和陰影效應(yīng)的影響.多徑傳播如圖2所示.這2個因素嚴(yán)重影響了CSI信息定位的精確性，所以在獲取到CSI原始數(shù)據(jù)后，需要對CSI原始數(shù)據(jù)進(jìn)行預(yù)處理，以消除它們對定位產(chǎn)生的誤差.

圖2 多徑信道

因為CSI工具采集到的數(shù)據(jù)是頻域下的幅度和相位信息，所以為了排除多徑傳播干擾，應(yīng)將其轉(zhuǎn)化到時域.多徑信道在時域下的描述一般表述為

(4)

其中，Lp表示多徑信道的數(shù)量；αk和τk表示第k個傳輸路徑的幅度和傳播延遲.利用傅里葉反變換(IFFT)處理CSI原始數(shù)據(jù)，就能得到其在時域下的信道響應(yīng)h(t).其表征了時延與信號強(qiáng)度值在時域下的關(guān)系.非視距路徑會比視距路徑傳播更長的路徑，所以所消耗的時間也更長，無線信號會晚于視距路徑到達(dá)接收端.如圖3所示，第4條直方圖表示視距路徑的能量.為了得到視距路徑信息或者接近視距路徑的信息，設(shè)定50%閾值，即取第4條直方圖的一半，這樣就能將多徑過多的路徑排除.

圖3 時域CIR圖

在信號經(jīng)過多徑消除后，需要將信號進(jìn)行傅里葉變換(FFT)重新轉(zhuǎn)換到頻域處理.在802.11n協(xié)議中，由于信號通過OFDM系統(tǒng)調(diào)制，被分為多路不同頻率的子載波進(jìn)行傳輸.雖然每個子載波的衰減程度都各不相同，但是其同時發(fā)生衰減的概率比無線接收信號強(qiáng)度發(fā)生同等衰減概率低很多.所以將多路不同的子載波進(jìn)行結(jié)合，能有效解決陰影效應(yīng)帶來的誤差，將信號的真實狀態(tài)更好地還原出來.FILA系統(tǒng)[14]給出一個既簡單又有效的子載波結(jié)合方式，提出CSI有效值的概念.CSI有效值由30組子載波加權(quán)平均，得到：

(5)

其中，CSIe表示CSI有效值；fk表示第k個子載波的頻率；f0表示中心頻率；|Hk|表示第k個子載波的幅度.

經(jīng)過數(shù)據(jù)去雜處理后，將得到的CSI有效值用于定位，F(xiàn)ILA系統(tǒng)給出CSI有效值與距離d的關(guān)系：

(6)

其中，d表示距離；f0表示中心頻率；c表示光速；CSIe表示CSI有效值；n和σ是環(huán)境因子，在不同的環(huán)境中取值不同.由式(6)可知，只要在相同環(huán)境中，d與CSIe成函數(shù)關(guān)系，即可直接用CSIe的值來替代距離實現(xiàn)定位.因此提出信號空間距離的概念.利用CSIe的絕對值表示信號空間距離.

3 偽AP檢測

偽AP檢測包括2個階段:第1個階段為指紋搜集階段，第2個階段為指紋檢測階段.在指紋搜集階段，需要在安全狀態(tài)下，由安裝有csitools工具的采集器在多個位置采集真實AP和參考AP的CSI原始信息，并通過數(shù)據(jù)處理得到CSI有效值即CSIe，并將CSIe的絕對值構(gòu)建指紋庫.參考AP用于輔助定位，并且參考AP的數(shù)量至少需要3個，因為理論上3個圓才能確定一個點(diǎn)，而2個圓有2個位置重合，一個圓則有無數(shù)個點(diǎn)重合.其原理如圖4所示:

圖4 定位原理

在指紋檢測階段，需要利用參考AP和當(dāng)前所連AP采集到的CSI值與數(shù)據(jù)庫中的指紋值進(jìn)行匹配.全部原理如圖5所示:

圖5 偽AP檢測原理

偽AP的檢測過程包括如下步驟：

1) CSI原始數(shù)據(jù)采集；

2) CSI原始數(shù)據(jù)處理得到有效CSI值；

3) CSI數(shù)據(jù)指紋數(shù)據(jù)庫建立；

4) 檢測目標(biāo)終端位置的CSI信息；

5) 與指紋數(shù)據(jù)庫對比并判斷安全性.

3.1 實驗及評估

在7m×8m的實驗室中，模擬了無線網(wǎng)絡(luò)釣魚攻擊環(huán)境，如圖6所示.

圖6 實驗環(huán)境

圖7 CSI樣本與指紋庫的比較

實驗使用路由器在實驗室不同的位置建立了2個SSID分別為test1和test2的參考AP，一個SSID為test，密碼為“12345678”的真實AP，另一個與真實AP配置信息完全一樣的偽AP.在A點(diǎn)位置，有一臺裝有Intel 5300網(wǎng)卡并安裝csitools軟件的筆記本電腦，用來模擬智能家居的智能終端.為了實驗的簡便性，只保留所有AP和Intel 5300網(wǎng)卡的一根天線，這樣在后期接收到CSI原始數(shù)據(jù)時是一個1×1×30的單列矩陣，使數(shù)據(jù)易于處理.在實驗初始階段，首先打開2個參考AP和真實AP，使筆記本分別連接這3個AP并搜集好CSI數(shù)據(jù)，并作數(shù)據(jù)提純處理，然后存入數(shù)據(jù)庫.接下來，打開偽AP電源，并利用拒絕服務(wù)攻擊使筆記本電腦和真實AP轉(zhuǎn)變?yōu)槲搓P(guān)聯(lián)或未認(rèn)證狀態(tài).當(dāng)筆記本電腦再次請求連接時會自動連上偽AP.此時，獲取筆記本電腦所連偽AP的CSI信息，并與指紋庫中指紋信息作對比，發(fā)現(xiàn)偽AP的CSI信息與真實AP的CSI指紋差異大，從而判定當(dāng)前所連AP的位置與真實AP的位置不符，從而判定為偽AP.圖7為采集的偽AP樣本與指紋庫的對比圖.

4 結(jié) 論

本文提出一種在智能家居環(huán)境中基于CSI的偽AP檢測方法，通過檢測AP的位置確定是否偽造.因為目前現(xiàn)存的偽AP檢測方式都是基于AP自身的硬件信息或者AP與終端的流量信息進(jìn)行的，但硬件信息和流量信息非常容易被偽造，而AP的位置卻非常難以被偽造.所以本文的方法能有效解決現(xiàn)存的偽AP檢測易被繞過的問題.最后通過實驗證明了該方法的可行性.

[1]王艷, 徐淵. 物聯(lián)網(wǎng)或?qū)⒂瓉砀咚僭鲩L[J]. 中國電信業(yè), 2014, 15(2): 30-31

[2]陳偉, 顧楊, 李晨陽, 等. 無線釣魚接入點(diǎn)攻擊與檢測技術(shù)研究綜述[J]. 武漢大學(xué)學(xué)報: 理學(xué)版, 2014, 60(1): 13-23

[3]Bratus S, Cornelius C, Kotz D, et al. Active behavioral fingerprinting of wireless devices[C] //Pro of the 1st ACM Conf on Wireless Network Security. New York: ACM, 2008: 56-61

[4]朱建明,馬建峰. 無線局域網(wǎng)安全: 方法與技術(shù)[M]. 2版. 北京: 機(jī)械工業(yè)出版社, 2009

[5]Wei W, Sun K, Wang B, et al. Passive online rogue access point detection using sequential hypothesis testing with TCP ACK-pairs[C] //Proc of the 7th ACM SIGCOMM Conf on Internet Measurement. New York: ACM, 2007: 365-378

[6]Ma L, Teymorian A, Cheng X. A hybrid rogue access point protection framework for commodity WiFi networks[C] //Proc of the 27th Annual Joint Conf of the IEEE Computer and Communications Societies (INFOCOM 2008). Los Alamitos, CA: IEEE Computer Society, 2008: 1220-1228

[7]萬群, 郭賢生, 陳章鑫. 室內(nèi)定位理論、方法和應(yīng)用[M]. 北京: 電子工業(yè)出版社, 2012

[8]Yang L, Ho K C. An approximately efficient TDOA localization algorithm in closed-form for locating multiple disjoint sources with erroneous sensor positions[J]. IEEE Trans on Signal Processing, 2009, 57(12): 4598-4615

[9]Kulakowski P, Vales-Alonso J, Egea-Lopez E, et al. Angle-of-arrival localization based on antenna arrays for wireless sensor networks[J]. Computers & Electrical Engineering, 2010, 36(6): 1181-1186

[10]壽向晨, 徐宏毅. 無線傳感器網(wǎng)絡(luò)中RSSI定位算法的設(shè)計與實現(xiàn)[J]. 武漢大學(xué)學(xué)報: 工學(xué)版, 2015, 48(2): 284-288

[11]鄧曉華. 基于CSI的被動式室內(nèi)定位與目標(biāo)技術(shù)方法研究[D]. 杭州: 杭州電子科技大學(xué), 2014

[12]Sen S, Lee J, Kim K H, et al. Avoiding multipath to revive inbuilding wifi localization[C] //Proc of the 11th Annual Int Conf on Mobile Systems, Applications, and Services. New York: ACM, 2013: 249-262

[13]Halperin D, Hu W, Sheth A, et al. Predictable 802.11 packet delivery from wireless channel measurements[J]. ACM SIGCOMM Computer Communication Review, 2011, 41(4): 159-170

[14]Wu K S, Xiao J, Yi Y, et al. FILA: Fine-grained indoor localization[C] //Proc of IEEE Int Conf on Computer Communications (INFOCOM). Piscataway, NJ: IEEE, 2012: 2210-2218