5G上行链路遮蔽攻击原理与防御实践

1. 5G上行链路遮蔽攻击概述

在5G独立组网(SA)架构中，上行链路遮蔽攻击(Uplink Overshadowing Attack)是一种新型物理层安全威胁。与传统的下行干扰或伪基站攻击不同，这种攻击通过精确控制发射时机和信号特征，在合法用户设备(UE)的上行传输过程中注入恶意信号。由于5G基站(gNB)会优先处理最先到达且信号质量较好的上行信号，攻击者可以通过时间同步和功率控制实现对合法信号的"遮蔽"。

1.1 攻击的基本原理

攻击的核心在于利用5G NR的以下技术特性：

• OFDM符号级调度：5G采用更灵活的时频资源分配，每个调度单元可精确到单个OFDM符号
• 低延迟要求：UE在收到上行授权(DCI format 0_1)后，最短可在1个时隙(k2=1)内响应
• 功率优先原则：当多个信号同时到达时，基站会优先解码信号质量较好的传输

攻击者需要实时完成以下操作链：

1. 监听并解码PDCCH中的DCI消息
2. 提取受害UE的上行调度授权(UL grant)
3. 在极短时间内(通常<500μs)生成恶意PUSCH信号
4. 确保恶意信号与合法信号在时频资源上完全重叠
5. 控制发射功率使恶意信号略强于合法信号

1.2 攻击的技术挑战

实现有效的上行遮蔽面临三大工程挑战：

时间同步精度：

• 需要与gNB的帧结构保持μs级同步
• 必须补偿射频前端固有的处理延迟
• 要适应不同UE的Timing Advance(TA)调整

实时处理能力：

• 从DCI解码到PUSCH发射的全流程延迟需<1个OFDM符号(约70μs)
• 在100MHz带宽下，每个时隙需处理6144点FFT/IFFT
• 支持多UE并行处理(如同时攻击64个UE)

信号质量控制：

• 恶意信号的EVM需优于受害UE
• 精确控制发射功率(通常比合法信号高3-10dB)
• 维持相位连续性避免基站接收机失锁

2. 攻击系统架构设计

2.1 整体处理流水线

一个典型的攻击系统包含以下核心组件：

Radio Adapter → Cell Sync → PDCCH Decoder → Attack Logic → PUSCH Encoder → Radio Adapter ↑ ↑ IQ Samples DCI/UCI Info

关键设计决策：

1. 符号级处理：打破传统slot-based架构，以OFDM符号为最小处理单元
2. 零拷贝设计：避免内存复制，IQ样本通过环形缓冲区传递
3. 热路径优化：将PDCCH解码、PUSCH编码等关键路径硬件加速

2.2 时间同步实现

2.2.1 初始同步

通过SSB(同步信号块)实现粗同步：

1. 对接收信号进行PSS/SSS相关运算
2. 检测相关峰并解码MIB消息
3. 计算当前符号索引和帧号

def sync_pss_sss(iq_samples): pss_corr = circular_correlate(iq_samples, pss_seq) peak_idx = argmax(abs(pss_corr)) if peak_power > threshold: decode_mib(iq_samples[peak_idx:]) return frame_timing

2.2.2 持续跟踪

采用双重纠错机制：

• 符号级调整：通过PSS/SSS的周期性出现检测时序漂移
• 采样级微调：根据CP(循环前缀)的自相关特性调整采样点

注意：实际部署中需要根据SDR的晶振稳定性选择跟踪算法。使用普通USRP设备时，建议每100ms进行一次全同步。

2.3 实时PDCCH解码

2.3.1 搜索空间处理

针对不同DCI类型采用差异化处理策略：

优化技巧：

• 对CORESET0采用硬判决提前终止
• 对UE-specific搜索空间启用并行解码
• 基于DCI历史记录预测可能位置

2.3.2 DCI处理流水线

1. RE提取：根据CORESET配置收集资源粒子
2. 信道估计：使用DMRS导频进行MMSE估计
3. 均衡解调：采用ZF或MMSE均衡器
4. 极性解码：使用Fast-SSC算法加速

struct DCIGrant { uint16_t rnti; uint8_t k2; uint32_t time_resource; uint32_t freq_resource; // ...其他字段 }; DCIGrant decode_dci(const SymbolBuffer& sym, const CoresetConfig& cfg) { auto re = extract_resources(sym, cfg); auto ce = estimate_channel(re); auto llr = demodulate(re, ce); return polar_decode(llr); }

3. 核心攻击技术实现

3.1 PUSCH编码与发射

3.1.1 多层协议封装

攻击载荷需要经过完整的协议栈处理：

NAS层(RRC Setup Complete) ↓ RRC层(添加transaction ID) ↓ PDCP层(添加SN和MAC-I) ↓ RLC层(分段/级联) ↓ MAC层(添加subheader) ↓ PHY层(PUSCH编码)

关键参数：

• PDCP SN初始为0
• MAC-I填充全零(安全未激活时)
• RLC采用UM模式，禁止分段

3.1.2 资源网格管理

采用"先频域后时域"的编码策略：

1. 将所有UL grant按slot聚合
2. 在频域完成所有PUSCH编码
3. 统一执行IFFT和CP插入
4. 按符号提交给射频前端

def encode_pusch(grants): resource_grid = np.zeros((14, 3276), dtype=complex) # 假设30kHz SCS for grant in grants: symbols = srsran_pusch_encode(grant) resource_grid[grant.symbols, grant.subcarriers] = symbols return ifft(resource_grid)

3.2 攻击场景实现

3.2.1 服务拒绝(DoS)攻击

攻击流程：

1. 监听PRACH前导码
2. 解码RAR消息中的TC-RNTI
3. 生成虚假的RRC Reject
4. 在Msg3阶段实施遮蔽

效果验证：

• 测试设备：三星S23、iPhone 16等
• 攻击成功率：100%(实验室环境)
• UE行为：持续重发PRACH或切换至4G

3.2.2 SUCI提取攻击

关键步骤：

1. 嗅探Identity Request消息
2. 预测Identity Response的发送时机
3. 在PUSCH上实施部分遮蔽
4. 同时接收未被完全遮蔽的信号

技术难点：

• 需要精确控制遮蔽比例(约30%-70%)
• 必须维持CRC校验正确
• 处理HARQ重传场景

4. 防御措施与工程实践

4.1 运营商侧防护

增强型异常检测：

• 监测同一TMSI的重复注册请求
• 分析UL信号的EVM突变
• 统计异常k2值分布

协议层改进：

graph TD A[UE] -->|Msg1| B(gNB) B -->|Msg2| A A -->|Msg3| B B -->|存储Msg3指纹| C(安全模块) C -->|比对后续消息| B

4.2 UE侧加固

物理层防护：

• 检测信号时域特征(如CP异常)
• 监测接收信号的峰均比(PAPR)
• 启用上行波形加密(DFT-s-OFDM)

协议栈优化：

• 缩短关键消息的k2值
• 实现快速小区重选
• 增加NAS消息完整性保护

5. 实测性能数据

5.1 处理延迟统计

在Intel Xeon 8358P处理器上的实测结果：

5.2 大规模测试

测试条件：

• 64个UE同时接入
• 每2秒发起一次连接
• 持续10分钟

结果：

• 攻击成功率：99.99%
• CPU负载：单核约75%
• 内存占用：<2GB

6. 工程经验与优化技巧

6.1 延迟优化实践

关键路径分析：

Radio RX → FFT → PDCCH解码 → DCI处理 → PUSCH生成 → IFFT → Radio TX

优化手段：

1. 采用内存池管理IQ样本
2. 使用AVX-512加速矩阵运算
3. 预计算PUSCH DMRS序列
4. 实现无锁环形缓冲区

6.2 常见问题排查

同步失锁：

• 现象：解码成功率突然下降
• 排查：检查SDR的REF IN时钟
• 解决：增加PSS/SSS检测频次

功率异常：

• 现象：基站未响应攻击信号
• 排查：测量天线端口的实际EIRP
• 解决：调整PA偏置电压

内存泄漏：

• 现象：长时间运行后崩溃
• 工具：使用Valgrind检测
• 解决：规范资源生命周期管理

在实际部署中，我们发现有三个因素对攻击成功率影响最大：SDR的时钟稳定性、发射通道的线性度以及环境多径效应。通过采用恒温晶振、增加DPD模块以及优化天线布置，可将室外场景的攻击成功率提升至90%以上。