这项工作提出了一种新颖的框架,用于识别和利用商业无线技术中易受攻击的 MAC 层程序以进行隐蔽通信。隐蔽通信的示例包括数据泄露、远程命令与控制 (CnC) 和间谍活动。在这个框架中,隐蔽通信方案SPARROW使用现有无线网络的广播能力在不连接的情况下秘密地长距离进行消息中继。这使得 SPARROW方案能够绕过所有安全拦截系统,并在最大匿名性、每瓦多英里数和更少硬件方面获得比现有隐蔽技术更大的优势。 SPARROW方案还可以作为远程 M2M 应用的有效解决方案。本文详细介绍了LTE和5G标准中随机接入过程中最近公开的一个漏洞(CVD-2021-0045)。这项工作还针对当前和未来标准中的类似接入过程提出了严格的补救措施,以阻止复杂的 SPARROW 方案,同时对其他用户的影响最小。
0x01 Introduction
隐蔽通信是一个指代广泛安全威胁的术语,例如数据泄露、远程命令和控制 (CnC) 和间谍活动。从事秘密通信的各方努力保持匿名,并规避积极检查现有通信方式的安全和合法拦截系统。连接解决方案的快速采用使隐蔽通信方案成为大多数高级安全威胁的组成部分。关于隐蔽通信方案的现有工作在逻辑上可以分为两个主要观点:利用现有软件协议和设计新的无线电接入解决方案。
第一个观点包括数据泄露和 CnC 技术,这些是网络安全社区中众所周知的话题。数据泄露涉及从受感染的系统中秘密提取和传达敏感信息。示例性的 CnC 实现包括恶意软件或硬件代理,它们被配置为通过互联网协议 (IP) 网络进行秘密通信。这些技术通常涉及利用应用程序或网络协议在连接到 Internet 的两个主机之间建立隧道消息。著名的例子包括 ICMP 和 DNS 隧道。为了应对此类威胁,网络安全行业不断监控新兴技术并采取对策来检测和阻止它们。一旦公开,这些技术会迅速失去效力,因为易受攻击的系统和安全设备会安装实施对策的软件更新。
另一方面,设计用于隐蔽通信的无线电长期以来一直是无线社区的研究兴趣。隐蔽通信设备通常无需获得许可即可访问无线电频谱,并且通常采用使用 PHY 层技术(如扩频)的低功率、点对点无线电。 LoRA 和 业余无线电等低功率商业化 ad-hoc 技术可以设计用于隐蔽通信,但与商业无线电不同的是,这些系统通常会牺牲发射功率和数据速率来对抗频谱监测和干扰系统。这些功率和数据速率限制,以及无法使用高架天线或高传输功率,显着降低了这些设备的操作范围,尤其是在室内到室外的通信场景中。
为了应对此类安全威胁,频谱监控和情报系统不断发展,以破坏和定位用于秘密通信的无线电。借鉴这些先前方法的元素,这项工作引入了一种新颖的方法,用于识别和减轻利用无线电基础设施的秘密通信。本文提出了一个综合框架,用于识别和利用无线运营商网络 (WCN) 的 MAC 协议中的易受攻击的程序,例如蜂窝和卫星通信。它展示了如何选择 WCN 用户设备并将其转换为利用 WCN 无线电接入节点的广播功率进行隐蔽通信的 SPARROW 设备。下图说明了 SPARROW 设备和受害蜂窝站之间的隐式通信信道,它充当不知情的消息中继。
0x02 General Exploitation Model
本节概述了无线运营商网络 (WCN) 架构及其相关资源。还提供了一种新颖的方法,可用于识别这些网络中使用的 MAC 层协议中的漏洞,恶意行为者可以利用该方法利用 WCN 的广播资源进行 SPARROW 隐蔽通信。
A. WCN 概述
WCN 是这项工作中采用的通用术语,指代蜂窝 (3G/LTE/5G)、WiMAX 和卫星互联网等技术。 WCN 由服务提供商(运营商)部署,通常通过订阅模式为广泛地理区域的大量用户提供安全的无线数据连接。 WCN 与无线局域网 (WLAN) 等终端用户无线技术的不同之处在于几个关键方面,包括:资源、架构和用户控制。
WCN 通常可以分为两个部分:无线电接入网络 (RAN) 和核心网络 (CN)。 RAN 由无线电接入节点网络(蜂窝术语中的蜂窝站)组成,提供用户设备和 CN 之间的无线连接。 CN 托管服务器,这些服务器管理 RAN 操作并将用户设备连接到其他网络,例如互联网。管理 WCN 的标准通常涉及多个协议层,统称为控制平面,它定义了用户设备与 RAN 和 CN 组件的交互。控制平面程序是从用户应用程序中抽象出来的,用户应用程序只涉及到互联网的数据连接。与这项工作的范围相关的是,媒体访问控制 (MAC) 协议层定义了单个无线电接入节点与其覆盖区域内的用户设备的交互。
为了增强信号辐射,无线电接入节点可以将天线安装在高大的结构上或安装在卫星上。它使他们能够通过射频 (RF) 信号与数英里外的用户设备进行清晰的通信,否则这些信号会被地面杂波(例如树叶和建筑物)阻挡。与在室内或地面杂波下提供有限覆盖的其他技术(例如 WLAN)相比,高发射功率、许可频谱和更高的海拔是 WCN 可用的奢侈品。如今,很难找到没有 WCN 服务覆盖的社区。尽管如此,这些 WCN 运营商必须遵守有关其资源、基础设施和用户活动的众多政府法规。
在大多数 WCN 中,用户设备在访问任何网络服务之前必须通过 CN 实体(例如 AAA 服务器)进行身份验证。除了用户凭证注册之外,还有 CN 服务器不断收集用户活动元数据,例如服务使用情况、位置等。 然后元数据由 WCN 运营商在内部使用或按照合法拦截与政府当局共享(LI) 规定。应该注意的是,WCN 实现的 MAC 层协议禁止用户设备进行无法追踪的对等无线通信,这项工作旨在证明目前仍然是可能的。
B. 开发场景
为了便于说明,为以下利用蜂窝技术的假设场景制定了通用单向隐蔽通信方案。它可以在不失一般性的情况下扩展到其他 WCN 技术:
场景 1. Trudy 侵入一个受到严密监视的网络隔离设施,并希望向她的对手 Ricky 发送一组秘密消息,在外面有一个被动接收器。为了保持掩护,两个代理都不能连接到任何 IP 网络。由于频谱监视和信号范围不足,他们也无法使用任何临时无线电。然而,两者都配备了可以与附近蜂窝站交互的低功率无线电设备。 Trudy 对其设备进行编程以利用其 MAC 层协议中的漏洞,在不通过运营商网络进行身份验证的情况下将消息隐式转发给 Ricky。
MAC 层协议过程可以表示为在每个用户设备和 WCN 无线电接入节点之间交换的消息流。在这种情况下,假设 Trudy 和 Ricky 已经为他们的通信方案构建了一个密码本。该密码本由一组可能的消息(密码字)组成,Trudy 可以将这些消息传输给 Ricky。令 M = {m1, m2, · · · , m2M } 表示包含一组 2M 个不同 MAC 层消息的码本,其中每个 mi 编码 M 位信息。 M 中的消息可以触发来自蜂窝站的一组不同的响应消息 B = {b1, b2, · · · , b2M }。让随机变量 Xt ∈ M 代表 Trudy 在时隙 t 发送的消息。蜂窝站对 Xt 的响应可以用另一个随机变量 Yt+τ ∈ B 建模,其中 τ 是从 Trudy 打算发送 Xt 的那一刻到蜂窝站广播响应消息的时间流逝。
命题 1 :如果 WCN 的 MAC 层协议中的任何一个过程允许形成满足以下所有条件的上行链路和下行链路消息的 M 和 B,则认为 WCN 的 MAC 层协议在场景 1 中容易受到隐蔽通信的影响:
1)被动接收:B中的下行广播消息可以被无线接入节点信号范围内的任何被动扫描设备解码,无需连接建立或PHY信道状态信息的先验知识。
2) 双射性:对于 1 < i ≤ 2M ,在时间 t + τ 接收下行消息 bi 几乎肯定是在时间 t 上行发送 mi 的结果,即
3) 匿名上行链路:在 M 中发送消息不会向 WCN 透露发射机的身份。
4) 无状态上行链路:协议不要求M中连续上行消息之间有任何关联,
被动接收的条件保证了 Ricky 的匿名性,这意味着蜂窝站在 PHY 层使用最基本的调制和编码方案广播消息。第二个条件要求 Trudy 码本中的消息与其产生的下行链路广播消息之间有足够强的双射相关性。在协议标准文档中发现确定性双射性是理想的。虽然,同一个蜂窝站正在为其他用户提供服务,这些用户可能会因意外触发 B 中的广播消息而混淆 Ricky。由于 Ricky 的存在对蜂窝站来说是未知的,因此他不能依赖大多数无线标准中内置的可靠性机制。建议 M 中的码字具有完整性检查功能,以最大限度地减少由于其他用户活动和 PHY 层噪声引起的条件造成的双射性退化。
前图描述了命题 1 中概述的漏洞如何导致场景 1 的执行。 Trudy 和 Ricky 决定他们的最佳代码本和目标蜂窝站。然后 Trudy 在触发来自 Ricky 接收到的蜂窝站的不同广播信号 bi 的时间发送一个码字 mi。这将根据双射条件通知 Ricky 来自 Trudy 的 mi 传输。因此,建立了从 Trudy 到 Ricky 的虚拟低功耗隐蔽通信通道(红色虚线)。该信道利用了蜂窝站相对较高的广播发射功率。它还允许 Trudy 绕过网络安全设备、运营商网络中的 LI 机制和频谱监控系统。在其他一些场景中可以放宽匿名上行链路条件。如果需要,它将 M 的搜索空间限制为设备在身份验证和数据连接之前与蜂窝站交换的早期控制消息。假设 Ricky 能够近乎实时地正确解码消息,无状态上行链路条件允许 Trudy 每 τ 秒发送一条消息。因此,它们可以达到每秒 M/τ 位的数据速率。
0x03 SPARROW Scheme in LTE & 5G
本节展示了 SPARROW 攻击方案的一个简单示例,该方案利用了 LTE 和 5G 协议标准(在 3GPP 规范文档 TS36.321的第 5.1.5 节中定义)中的随机接入 (RA) 过程。它导致使用当前部署的任何 LTE 或 5G 蜂窝站(全球)的资源实现场景 1。沿用 3GPP 标准术语,e/gNB 指的是 LTE 或 5G 目标蜂窝站,特别是覆盖 Ricky 和 Trudy 的蜂窝站的服务扇区。任何与 e/gNB 交互的用户设备都称为 UE(用户设备)。自 LTE 的早期版本(第 8 版)以来,此过程已出现在 3GPP 标准中,并且也可能用于其他非 LTE/5G 无线技术。
A. 正常的 RA 程序
下图说明了第一次尝试连接到 e/gNB 的 UE 之间交换的初始消息。前四个消息(Msg1 到 Msg4)特别令人感兴趣,因为它们不涉及任何身份验证或加密。无论其类型或注册标识如何,任何 UE 都可以向任何 e/gNB 发送 Msg1 和 Msg3,该 e/gNB 在基本传输模式(如广播 SRB)中以 Msg2 和 Msg4 进行响应。因此,Msg2和Msg4在单元覆盖区域中是被动接收的。
下行同步和解码系统信息广播后,访问UE通过发送Msg1启动RA,Msg1包含随机选择的RACH前导序列,由RAPID标识(RACH前导ID)。分配给每个单元的 RACH 前导码集是有限的。 e/gNB收到Msg1后,直接根据Msg1传输时隙计算得到的RA-RNTI(RA无线网络临时标识)分配给UE。然后,它使用 RA RNTI 将 Msg2 用信号通知给正在解码与其预先计算的 RA-RNTI 相关联的 DCI 块(下行链路控制信息)的 UE。 RACH 前导码的伪随机特性使 e/gNB 能够估计 TA(提前定时)。对于任何后续消息,UE 必须根据 TA 同步其上行链路。 e/gNB 释放 RA RNTI 并向 UE 分配 TC-RNTI(临时RANTI)。它包括发送给 UE 的 Msg2 中的 TA、TC-RNTI 和一些其他配置消息。
没有先前网络连接的 UE 必须参与称为竞争解决的过程,该过程涉及 Msg3 和 Msg4。为了确认成功接收 Msg1,UE在 Msg3 中发送随机生成的竞争解决标识 (CRI)。更准确地说,CRI 是包含 40 位随机选择位的 48 位数据。e/gNB ac 通过在 Msg4 中广播接收到的 CRI 值来了解 Msg3,该 CRI 值是通过 Msg2 中发送的 TC-RNTI 用信号通知的。 UE 将 Msg4 中的 CRI 值与其随机选择的值进行比较。如果它们匹配,则假定 RA 成功并继续执行后续步骤以连接到网络。否则,UE 必须退出并重试 RA 过程。UE 可以在随机选择的退避时间后自由地重新尝试 RA。但是,e/gNB 没有实用的方法来强制执行退避值。因此,UE 始终可以在连续 RA 尝试之间选择最小值。
B. 提取RA程序
根据命题 1,Msg3 和 Msg4 满足 SPARROW 方案工作的所有条件。 码本 M 可以是 Msg3 CRI 中 40 位二进制数据的任何集合。 传输 Msg3 不需要网络连接或透露 Trudy 的身份。 在接收到 Msg3 后,受害者 e/gNB 在 Msg4 中广播相同的 CRI,这意味着 B = M。如上图所示,被动扫描设备可以从 Msg4 中恢复 CRI。 更具体地说,Ricky 和 Trudy 事先就 RAPID 和 RA-RNTI 达成协议。 然后 Ricky 使用预期的 RA-RNTI 为 Msg2 被动扫描和解码 DCI 值。 在接收到匹配的 Msg2 后,它提取其 TC-RNTI 内容以检测和解码后续的 Msg4。 Trudy 可以使用全部或部分 40 位 CRI 内容对其数据进行编码。 她还可以使用某种完整性检查机制来帮助 Ricky 过滤掉属于单元中其他 UE 的 Msg4 传输。
C. 实施
Trudy 可以将较长的消息分成 40 位(或更少)的块,并在连续尝试中传输它们。有一些资源提供了 RA 过程持续时间(从 Msg1 到 Msg4)的平均估计,预计它在典型的 LTE 部署中约为 30 毫秒。考虑到这个估计并考虑到多次尝试之间额外的 10ms 回退,Ricky 和 Trudy 可以在这个方案中实现接近 1kbps 的吞吐量。所提供的吞吐量适合目前使用 LoRA 等低功耗技术的 IoT 和 M2M(机器对机器)应用。然而,SPARROW 方案可以在杂乱环境中实现更远的距离,而无需直接访问 RF 频谱。第四节进一步扩展到它的特点和应用。
应当理解,RA过程与PHY层频带无关。然而,LTE 和 5G WCN 中的较低频段更适合场景 1 的目标。就 RA 而言,单元范围取决于 e/gNB 的 PRACH 前导零相关区配置 (Ncs)的第 24.8 节。对于典型的室外 LTE 宏单元,Ncs 设置为 9 或更大的值,使 UE 能够在距离单元 5 英里的范围内执行 RA。 5G-NR(新无线电)标准支持使用 6 GHz 以上的更高频段 (FR2),这些频段依赖于波束成形和多天线传输模式。尽管如此,底层的 RA 程序 PHY 层仍然与 sub-6 Ghz (FR1) 的 LTE 非常相似,因此更有希望。
根据应用,SPARROW UE(Ricky 和 Trudy)可以利用多个单元来增强吞吐量或操作范围。上图显示了如何利用两个单元来实现并行隐蔽通信通道。除了非常偏远的环境外,几英里范围内的 UE 可以被多个重叠的 LTE 或 5G 扇区覆盖,这些扇区可用于增加吞吐量或从 Ricky 到 Trudy 的反向链路。
上图描绘了一个更有趣的案例,涉及中继 UE 将操作范围扩展到单个单元覆盖范围之外。中继 UE 位于相邻单元之间的切换(覆盖重叠)区域。这些中继可以配置为充当 Ricky 的代理,在一个单元中接收消息并在另一个相邻单元中传输它。 SPAR ROW UE 是有效的低功耗蜂窝调制解调器,可以使用可充电电池进行操作。因此,可充电中继UE可以在单元之间的任何不显眼的位置进行操作。可以使用中继 UE 通过 SPARROW 进行通信来创建广域物联网网格。
0x04 SPARROW Impact & Applications
针对容易受到命题 1 攻击的蜂窝站或其他 WCN 访问无线电节点,基于以下关键目标,SPARROW 设备优于已知的隐蔽通信技术:
• 最大匿名性:与网络协议隧道方案不同,它们在运行时不需要任何网络访问。这消除了 SPARRPW 设备暴露于网络安全和合法拦截系统的风险。在伪装其他无线用户设备的同时,它们还可以绕过频谱扫描仪和干扰,这通常对用于隐蔽通信的无线电设备构成挑战。
• 每瓦更多英里数:SPARROW 设备利用蜂窝站或非地面技术的射频覆盖范围。如第 III 部分所示,它们可以在低海拔的射频干扰环境中发送相距几英里的信息。 SPARROW UE 在以商业 UE 功率水平(~0.2W)传输时可以达到 5 英里。它们提供 LoRA 技术范围内的数据速率,这些技术是在受监管的 sub GHz 频段中运行的低功率窄带无线电。
在类似的功率水平 (∼ 0.5W) 下运行时,LoRA 无线电的运行范围在部署在 RF 受阻环境中时会显着降低至 1.5 英里。
• 更少的硬件:SPARROW UE 的硬件占用空间非常小,可以部署在任何地方。它们可以以 USB 调制解调器的形式制造,或者利用安装在低成本 SDR(软件定义无线电)上的经过修改的开源 LTE/5G 代码库。它们可以自主使用电池或从环境中获取能量。
值得一提的是,如果标准中保留相同的易受攻击的争用解决程序,则 SPAR ROW UE 的操作范围有可能随着 5G-NTN等新卫星技术的出现而显着增加。绕过大多数已知的针对秘密通信的措施,SPAR ROW 方案可能仍然是潜在威胁,直到标准修补了受命题 1 约束的 MAC 协议程序。突出的威胁场景包括:
• 数据泄露:如场景 1 中所述,SPAR ROW 攻击方案可以利用现有网络访问协议中的漏洞,成为已知数据泄露技术的有效替代方案。
• 命令与控制:SPARROW 设备可以匿名与远程恶意物联网设备通信,以使用表面上无害的 WCN 无线电信号触发不受欢迎的事件。
• 秘密行动:代理可以匿名与敌对地区的 SPARROW 设备通信,而无需广播明显信号或直接访问现有网络。
经现有网络运营商同意,SPARROW方案也可用于诚信场景,例如:
• 无连接M2M 通信:某些M2M(机器对机器)应用需要极低的延迟和功耗。 SPARROW 方案可以补充现有的解决方案,使设备能够通过 LTE Msg1 和 Msg2 中的编码信息进行通信。
• 灾难恢复:SPARROW 设备可用于利用部分功能的接入无线电节点在灾难情况下交换关键消息,而无需身份验证或回程连接到核心网络。
0x05 SPARROW Remediation Strategies
由 Msg3 和 Msg4 促进的争用解决程序在蜂窝 RA 程序中起着重要作用,并且可能与其他 WCN 协议标准类似。因此,所提出的补救策略侧重于阻止它们的利用,同时保留它们在争用解决程序中的作用。这是一个比前文中的通用方案提供通用修复更具挑战性的问题。在解释了争用解决机制的限制后,很明显补救策略将是有限的。
A. 争用解决机制
每个单元有有限数量的 RACH 前导码(例如 LTE 为 64 个),以供尝试接入网络的 UE 随机选择。根据双工配置模式,与 RA-RNTI 相关联的 PRACH 资源集是有限的。大多数低频 LTE/5G 频段以 FDD 模式(频分双工)运行,其中只有 10 个 PRACH 资源。因此,始终存在多个 UE 以相同的 RA-RNTI 结束并且随机前导码导致资源争用事件的真实可能性。在大多数情况下,蜂窝站只能对单个前导码传输进行解码,而不会注意到任何潜在的争用事件。为了避免 UE 之间的任何后续上行链路干扰,蜂窝站需要一种机制来立即向 UE 发送成功的 Msg1Msg1 信号以继续进行,而所有其他不成功的 UE 需要退出并重试 RA。在 RA 的这个早期阶段,没有分配给 UE 的唯一身份,并且竞争的 UE 孤立地遵循相同的协议过程。回到Msg3 和 Msg4,唯一可行的解决方案是让每个 UE 通过在 Msg3 的 CRI 内发送纯随机 N 位来测试 Msg1 的成功。然后,蜂窝站很可能通过成功的 Msg1 从 UE 接收 Msg3,并通过在 Msg4 中重新广播其 CRI 来确认它。由于蜂窝站不知道所有竞争 UE 的距离或信道条件,因此它发送类似于其他单元广播消息的 Msg4,这些消息在其覆盖区域的任何地方都可以接收。值 N 也必须足够大(在当前 3GPP 标准中 N = 40)以最小化身份冲突的可能性,否则竞争可能会拖到 RA 过程之外。当每个 UE 将 Msg4 中的 CRI 与它们在 Msg3 中传输的内容进行比较时,争用最终会得到解决。
B. 策略路径
在介绍这项工作的建议策略之前,值得列举以下策略,这些策略可能具有显着的性能开销、风险或在争用解决过程中对 SPARROW 提供有限的保护:
• 预设UE 身份:为了防止广播任意UE 分配的身份,应该建议每个UE 具有一个唯一的预定义CRI,类似于WLAN 中的MAC 地址。该值也可以从存储在 SIM 设备中并可由网络验证的安全密钥派生。这样,如果来源被验证,蜂窝站仅在 Msg4 中广播 CRI。该策略通过暴露一个新的攻击面来冒着 UE 隐私的风险,以进行类似于 IMSI 捕获技术的未授权用户跟踪。它也不会阻止或防止使用有效 CRI 值的预先计算的通信码本的 SPARROW UE。
• 检测和阻止:受害蜂窝站可能会通过监视单元中的随机接入活动模式来注意到漏洞利用。然而,单元站没有一种可靠的方式来区分来自 SPARROW UE 的上行链路消息。 SPARROW UE 可以采用各种规避技术,例如减慢其活动、定期更改其 CRI 码本以及使用不同的随机访问初始资源。因此,这种策略可能会给蜂窝站服务可用性带来风险,而不会提供可量化的保护级别。
这项工作的其余部分侧重于利用熵的修复策略。与其他策略相比,它可以以最小的性能影响和没有附带安全风险的方式实际防止漏洞利用。在命题 1 的上下文中,它旨在减轻 Msg3 和 Msg4 之间的确定性双射性条件。易受攻击的 MAC 协议中的争用解决程序应修改如下:
• 熵利用:该策略允许UE 随机选择Msg3 中的CRI 内容。然而,它要求蜂窝站在在 Msg4 中广播它之前用随机模式混淆在 Msg3 中接收到的内容。 Msg4 广播有两个组成部分:混淆消息和一些帮助信息,即提示。每个 UE 应通过标准中定义的决策函数处理接收到的 Msg4 和它们的 Msg3,以确定下一个 RA 步骤。提示在决策函数中起着至关重要的作用。它旨在确保预期的 UE 继续进行,而竞争的其他 UE 则退后。另一方面,Msg4 的混淆内容会阻止 SPARROW UE 形成稳定的码本 M 和 B。
0x06 Analysis of Entropy-Leveraging Strategy
本节致力于分析遵循熵利用策略的潜在修复方案。它首先试图量化其对争用解决性能的影响,并探索修复目标之间的理论权衡:在保持争用解决性能的同时阻止SPARROW 方案。
A. 公式化
扩展场景 1 中的符号,以下步骤详细说明了熵利用方案中的争用解决过程:
1) 上行消息:竞争 UE 选择的随机 N 比特身份形成一组独立同分布 (iid) 随机变量,在支持集 UN = {0, 1, 2, · · · , 2^N -1}上均匀分布。让Xi ~U(2^N ) 是离散随机变量,表示由单元中的第i 个竞争UE 发送的Msg3。分析单个交易所,为简洁起见省略了时间。另一方面,随机变量 X’ 表示 Trudy 从码本 M ⊂ UN 的 Msg3 传输。
2) 混淆广播:蜂窝站仅接收由 X ∈ {X1, X2, X’} 表示的 Msg3 传输之一。蜂窝站无法检测到 X 的来源。然后它推导出由随机变量 Y = [B(X), h] 建模的 Msg4,其中 B 是标准中定义的广播混淆函数以及提示值 h。为了促进竞争解决,蜂窝站在Msg4广播中包含h,其中h是旨在帮助UE做出正确RA决策的参数。根据所需的保护级别,标准中可能有多个预定义的 B 选择,其中蜂窝站在周期性广播信号或 Msg2 中宣布其选择。这将确保 UE 相应地调整其决策函数以处理 Msg4。
3) 下行链路处理:对 B 的任何选择都应该伴随一个明确定义的 UE 决策函数 D = D(Y, Xi) ∈ {0, 1},其中 0 和 1 分别解释为 RA 成功或失败命令第 i 个 UE。给定 Y ,对于不超过一个竞争 UE,D 的理想选择几乎肯定应该评估为 1。决策函数还应具有以下属性,以消除所有 UE 到达失败的 RA 决策时出现活锁的可能性
知道 B 和码本 M 的选择后,Ricky 尝试通过设计估计函数从 Msg4 中恢复 X’。设 X′′ = E(Y ) 是代表 Ricky 估计码字的随机变量。根据命题 1,Ricky 应该设计 E(Y) 以最小化其估计错误概率 P r(X’’ != X’)。它还必须保持码本足够小以区分由 Trudy 和其他 UE 触发的广播。总是有机会让单元中的另一个 UE 随机选择 Xi ∈ M。
如前文所述,竞争解决过程的性能需要低身份冲突概率以确保只有一个竞争 UE 在 RA 中取得成功。实际上,当蜂窝站从维护中断中恢复时,同时尝试使用相同前导码的两个以上的 UE 是一种罕见的事件。因此,向前看,竞争场景被认为只涉及两个 UE 作为最可能的场景,即 i ∈ 1, 2。该场景的身份冲突概率 PC 定义如下:
这里假设两个 UE 都可以无错误地解码 Msg4。考虑到 Xi 的统一 i.i.d 性质,式(2)中的表达式可以进一步扩展为
这意味着当 B(X) 是单射函数时,2^(-N) 是 PC 的最小可实现值。例如,第三节中描述的标准的当前状态在该模型中进行了改进,其中 B(X) = X 和身份检查决策函数 D(Xi , Y ) = δ(X-Xi)。
B. 权衡界限
引入任何混淆功能都应该在保持低 PC 的同时减轻 SPARROW UE 可实现的无差错数据速率。 SPARROW UE 的数据速率取决于他们选择码本 M 的策略和估计函数 E(Y),以克服 B(X) 引入的信道熵。从理论上讲,在信息论的背景下,需要最小化 SPARROW UE 的最大可实现数据速率,称为信道容量。从长远来看,SPARROW UE 可以通过采用复杂的前向纠错 (FEC) 码本来实现信道容量。信道容量在实践中可能无法实现,但肯定突出了保护和性能之间的内在权衡。给定 X = X’ ,SPARROW UE 的信道容量是最大互信息量,定义如下:
其中 H(.) 表示香农熵。因此,修复方案应旨在设计 B(X) 以使 H(X|Y ) 最大化。另一方面,将 Fano 不等式应用于 (3) 中的表达式,可以证明 H(X|Y ) 直接有助于 PC的下界。因此,熵利用策略必然会在争用解决性能(低 H(X|Y ))和阻止 SPARROW UE(高 H(X|Y ))之间进行权衡。
同样的权衡也可以从更直观的角度推导出来。 SPARROW UE 与单元中的其他 UE 类似地发送 Msg3。它们在熵利用策略中处理 Msg4 的方式之间也存在明显的相关性。 Ricky 优化估计函数 E(Y) 以处理 Msg4 以恢复码本 M 中所有候选者之间 Trudy 的消息。 现在考虑最罕见的争用解决情况,其中 2^M 个正常 UE 处于争用中,每个 UE 碰巧选择一个不同的来自 M 的 Msg3 身份。为了解决争用,D(Y, Xi) 应该仅对预期的 UE 评估为 1,对其余的 UE 评估为 0。因此,在这个假设场景中,D(Y, Xi) 的集体结果与 E(Y) 的目的相同,导致设计广播混淆函数 B(X) 以破坏 E( Y ) 同时保留 D(Y, Xi) 的分辨率条件。
实际上,考虑了将放宽权衡的少至两个 UE 之间的争用场景。此外,这种权衡并没有考虑到 M 应该足够小以减少用于其他 UE 的 Msg4 被 Ricky 误解为来自 Trudy 的合法消息的机会的事实。 (4) 中的信道容量推导没有考虑每次尝试同步接收所需的最小可行信息。 Ricky 需要在每次尝试中可靠地识别从 M 发送的消息。在这种情况下,所提出的权衡意味着熵利用方案会影响争用解决的性能,而不是忽略其可行性。
值得注意的是,由于 H(X|Y ) = 0,使用加密散列函数 (CHF) 来混淆 Msg4 不会作为适当的补救措施。即使使用随机加盐,Msg4 也必须将加盐作为对正常 UE 的提示在下行链路处理步骤中用它们的 Msg3 重复相同的计算。对于任何给定的 M,Ricky 可以计算其所有元素(原像表)的散列值,这些元素形成与 M 双射相关的所有可能 Msg4 的 B。使用 CHF 只会对 Ricky 施加一些适度的计算复杂性。
C. 解决方案示例
熵杠杆方案的例子应该包括减少 (4) 中的 H(X|Y)。以下简单方案的灵感来自通信理论中已知的二进制噪声信道模型:
• K-errors:类似于二进制对称信道(BSC),蜂窝站在Msg3 中UE 标识X 的K 个随机位置引起比特错误。每次它生成一个随机的 N 位错误掩码 eK ∈ UN 和汉明权重(设置比特数)K,用于导出 Msg4 广播消息:
其中 ⊕ 表示按位异或运算符。 K 的值应事先通知 UE 或作为提示包括在内,以促进正常 UE 的决策功能:
这意味着每个 UE 计算汉明距离 Msg4,其 Msg3 由 dH(., .) 表示,并将结果与 K 进行比较。
• K-erasures:受二进制擦除信道(BEC) 的启发,蜂窝站在Msg3 中省略UE 身份X 的K 个随机位置的比特。每次它生成一个随机的 N 位擦除掩码 eK ∈ UN 和汉明权重(设置位的数量)K,用于导出 Msg4 广播消息:
其中 ⊘ 表示从 X 产生 NNK 剩余的逐位比特擦除操作符。值得注意的是,Msg4 的大小是 2N + K,这取决于 K,如上图所示。竞争的 UE 将需要 eK 作为提示在他们的决策函数中从他们的 Msg3 中提取相应的位:
两种方案中的 K 值对于每个消息都不必是随机的,可以选择它来平衡修复和争用解决性能之间的权衡。使用式(3),可以直接推导出每个方案的身份冲突概率为:
这些是针对上图中不同 K 值绘制的。对于这两种方案,可以表明 SPARROW 信道容量与 PC 成反比,符合设计权衡。
SPARROW UE 可以使用 FEC 代码,这是这些场景中的一个很好的研究主题。例如,为了规避 K 擦除方案,Trudy 可以多次重新传输消息,以增加 Ricky 恢复其所有随机擦除位的机会。为了在 K 错误方案中幸存下来,Trudy 可以构建一个最小汉明距离大于 K 的码本,尽管有错误,Ricky 仍然可以唯一地区分其码字。如果 K-errors 方案采用 K = N/2,这可能是不切实际的。可以理解,这对于争用解决性能来说不是一个好的选择,因为它会导致大 PC ≈ 0.1,如上图所示。 毕竟,这些方案在阻止 SPARROW UE 方面的效果不佳,而它们对争用解决性能的影响仍然没有使他们很有吸引力。
0x07 Entropy-Leveraged Irreversible Security Hashing Algorithm (ELISHA)
通过阻止 SPARROW UE 使用 FEC 码本,可以显着提高第 VI-C 部分中方案的有效性。本文提出的熵利用方案通过利用随机加盐(nonced)CHF 的不可逆特性来实现这一目标。
A. 设计架构
与之前的方案相比,ELISHA 将随机位擦除(或位错误)应用于 Msg3 的 CHF 摘要。下图说明了基于 K 擦除方案构建的 ELISHA 广播混淆函数的元素。展望未来,这将作为便于分析的参考模型。 Msg3 中接收到的 N 位标识通过 C(X, s) 表示的 CHF 处理,并带有可选的随机生成的加盐随机数 s(S 位大小),以生成 L 位哈希摘要。 CHF 旨在保持双射性(唯一输入的唯一输出)并且在计算上是不可逆的。这里的加盐是指在计算哈希之前将输入与随机 s 混合,因此相同的输入每次都会产生不同的哈希摘要。 C(X, s) 有多种选择,从复杂的 SHA 系列到通常导致 L > N 的简单 MD 系列。C(X, s) 的选择应该在先前的广播消息中传达给 UE。选择正确的 CHF 涉及超出本工作范围的其他实际考虑。
CHF 输出然后经历 K 擦除过程以生成大小为 L-K 的混淆广播消息。蜂窝站每次使用随机生成的 L 比特擦除掩码 eK 的汉明权重 K(K 组比特)。
s 和 eK 都在 Msg4 的提示部分进行编码,导致总大小为 2L+S-K 位的广播消息。广播消息大小的增加可以在实施过程中解决,尽管这对于大多数使用大传输带宽的现代无线技术来说无关紧要。第 i 个竞争 UE 使用提示信息计算 B(Xi),如果它的 PC 10 等于在 Msg4 中接收到的 B(X) 值,则继续:
使用 C(Xi, s) 的哈希冲突概率可忽略不计,该方案对争用解决性能的影响类似于(9)中的 K-erasures 方案。可以证明,身份冲突概率取决于 L 和 K 的选择,如下所示
B. 修复强度
Trudy 和 Ricky 寻求构建具有 FEC 属性的 Msg3 身份消息的码本 M,以通过 K 擦除(或 K 错误)恢复其消息并接近(10)中的最大理论比特率)。然而,对于 ELISHA 方案,他们将失去使用 FEC 编码方案的能力,如以下备注所述。
给定 SPARROW 码本 M = {m1, m2, · · · , m2^M } 的任何选择,加盐加密哈希函数 C(X, s) 将其元素映射到一组随机的 L 位二进制字符串 CM = {c1, c2, · · · , c2^M } 在每次尝试中,其中 ci = C(mi , s)。 C(X, s) 的不可逆特性使得对 CM 中的元素施加任何控制在计算上是不可行的,包括针对比特擦除(或比特错误)的 FEC 特性。利用上图中所示的方案,每次尝试传递 M 位信息需要 CM 中的几乎所有元素通过 K 擦除过程产生 2^M 个唯一的 B(X) 输出符号。
表示由于符号混叠导致的 SPARROW 通信中断率(概率)。无论 Ricky 和 Trudy 如何选择 M,PD 的值都会被强加给他们。他们必须牺牲由 M 决定的比特率,才能勉强达到 PD ≪ 1 才能进行任何可靠的通信。
ELISHA 的另一个优点是能够根据设计参数推导出保护度量 PD。此推导稍后可用于根据单元负载和所需的SPARROW 保护级别来平衡低 PC 和高 PD 之间的权衡。计算 PD 依赖于这样一个事实,即 CM 是一个随机 L 位串的集合,通过 K 次擦除过程在随机选择的位置丢失 K 位。整个 UL 空间(所有可能的 L 位字符串)被随机分成2^(L-K) 个割集,每个割集包含 2^K 个产生相同 K 擦除输出符号的字符串。 PD 的定义表示从 UL 中选择 2^M 个元素的恭维事件,其中每个元素出现在不同的割集中。这可以计算为:
可以进一步减少到:
0x08 Numerical Results
对于较大的 L 和 M 值,计算 (15) 中的 PD 具有挑战性,并且可能需要数值近似。因此,以下所有结果都是针对 L = 40 计算的。这也可以代表 N = 40 的 ELISHA 的实际示例。可以使用随机排列作为随机加盐 CHF 的一种经过验证的无碰撞替代方案。它随机排列其输入字符串产生和输出相同的大小。考虑 N!可能的排列,它需要至少 O(NlogN) 个附加位来将排列参数编码为 Msg4 中的提示。
上图显示了增加 M 如何快速增加 PD,特别是对于大 K。它展示了 ELISHA 如何迫使 SPARROW UE 将其数据速率降低到不切实际的水平以实现可靠性。对于 K ≥ 20,它们显着失去了可靠地传递单个字节的能力,而 Ricky 需要这种能力以某种方式将 Trudy 的消息与其他细胞活动区分开来。
下图展示了预期的关键设计权衡:对 SPARROW UE 施加更高的 PD 将导致更高的 PC。设置所需的 PC 将根据 (13) 确定 K。当前标准为 SPARROW UE 提供 M = N = 40、PD = 0 并保持 PC ≈ 10^(-12),这足以确保即使在大规模单元重启事件中也能成功解决争用问题。对于 PD = 0.1 作为 SPARROW UE 的最大可容忍中断,它们必须以低得多的数据速率运行,M = 16,而代价是 PC ≈ 10^(-10)。可以理解,所有的图都在 P C ≈ 10^(-5) 附近达到了一个平台,其中 PD 接近 1(不可能的通信)。最大可容忍 PC 可根据单元通信量和针对 SPARROW 的所需保护级别而有所不同。
下图展示了 ELISHA 在减弱由 M 定义的 SPARROW UE 吞吐量方面的强度,该图针对固定 PD 值绘制了与 PC 的关系图。 SPARROW UE 考虑了三个中断率级别:PD = 0.01(可管理)、PD = 0.1(几乎无法忍受)、PD = 0.5(无法操作)。
可以看到,在每个中断率级别降低 M 需要增加 PC 。这只是从数据速率的角度证实了设计权衡。查看 PD = 0.5 图,ELISHA 使 SPARROW UE 甚至无法在 PC ≈ 10^(-5) 上发送单个字节 (M = 8)。考虑到任何熵利用方案的内在权衡,人们可能会争论一种更简单的解决方案:只需减少 N,即 Msg3 中标识位的数量。 SPARROW UE 必须使用大小为 M = N 位的较小码字,唯一的成本是直接增加 PC。上图中的紫色虚线显示了此类系统的性能。然而,结果证实了 ELISHA 相对于这种方案的优势,在同样牺牲性能(增加 PC )的情况下,在更多保护(更低 M)方面。
所呈现的结果似乎表明 ELISHA 是一种有效的解决方案,可以保护 LTE/5G 和其他技术中的争用解决过程免受 SPARROW 利用方案的侵害。 ELISHA 的实例可能被 WCN 协议标准采用作为安全争用解决选项,该选项在对隐蔽通信敏感的目标附近的接入无线电节点上启用。
0x09 Conclusion
这项工作提出了一种新颖的框架,用于识别和利用商业无线技术中的易受攻击的 MAC 层程序进行隐蔽通信。在这个框架中,SPARROW 方案使用现有无线网络的广播能力在不连接的情况下秘密地长距离中继消息。这使得 SPARROW 方案能够绕过所有安全拦截系统,并在最大匿名性、更长的范围和更少的硬件方面获得比现有隐蔽技术更大的优势。本文详细介绍了GSMA 协调漏洞披露计划的 CVD-2021-0045。这种漏洞在 LTE 和 5G 标准中常见的随机接入流程中存在已久。因此,这项工作调查了为此程序量身定制的补救策略,包括 ELISHA,这是一种也适用于其他协议的严格补救。它可以以可管理的系统性能开销有效地阻止最复杂的 SPARROW 方案。
此外,该框架还可以扩展到不仅仅是广播信号,以包括可以由一个 SPARROW 设备控制并由另一个设备检测的单元操作状态中的其他可测量的隐式变化。最后,建议将此框架纳入新兴的非地面无线标准(如 5G-NTN)的安全评估中,这些标准可能被用于远距离隐蔽通信。