【网安学术】基于攻击树的LoRaWAN安全威胁建模

摘要：针对目前LoRaWAN的安全性能研究没有全面、系统的研究模型这一问题，提出一种基于攻击树的LoRaWAN安全威胁研究方法。根据信息安全威胁研究方法和物联网安全性特点，针对LoRaWAN系统进行威胁建模，然后根据概率风险评估方法对攻击序列进行风险值量化，结合攻击目标实现后的影响，即可得到最终风险值。该方法基于成熟的信息系统安全威胁分析框架，使得分析工作更加系统全面，同时树型结构的优势使得攻击方法的分类更具层次性，易于从深度、广度扩展研究成果，便于后续研究工作的跟进。量化风险系数为LoRaWAN协议的改进和信息系统的安全建设提供了有力参考。

0 引 言
物联网作为新一代信息技术的重要组成部分，正踏上高速发展的快车道，逐步融入人们的生活。目前，已有的移动蜂窝网络、蓝牙、ZigBee、WiFi等无线通信技术，不能很好地满足物联网设备M2M通信模式远距离、低功耗、多节点的需求[1-2]。这种情况下，低功耗广域网（Low-Power Wide-Area Network，LPWAN）技术应运而生。LoRa是发展较为成熟的LPWAN技术之一，采用线性啁啾扩频（Chirp Spread Spectrum，CSS）调制，其不同的扩频因子之间呈正交性[3]。这种调制方式的信道容量接近香农理论极限[4]，在抗阻塞、选择性方面也具有明显优势，突破了传统窄带通信无法同时兼顾距离、抗干扰和功耗的技术瓶颈。此外，LoRa工作在无线电非授权频段，具有组网简单、运行维护成本低的特点。因此，LoRa技术迅猛发展，在世界范围迅速普及。LoRa联盟在2017年公布的数据显示，已有包括中国、美国、法国、荷兰等30多个国家开始建网，150多个城市开始进行试点。


为统一LoRa运行标准和技术规范，LoRa联盟制定了低功耗广域网通信协议——LoRaWAN。LoRaWAN规范了媒体访问控制层（Media Access Control，MAC）中有关网络架构、节点入网机制、通信速率自适应、数据加密机制等标准，为开发者提供了一套可靠易用的LoRa组网部署规范。LoRaWAN协议正处于建设发展阶段，仍存在一些安全漏洞。目前，LoRaWAN协议正式版本更新至1.0.3[5]。LoRaWAN是运行在MAC层的协议[6]，不仅具体定义了数据帧格式、信号带宽、信道选择等底层内容，还对节点通信种类、网关技术标准、服务器交互方式等上层内容作出了相应规范。这其中任何一个环节出现安全问题，都有可能产生连带作用，导致隐私泄露、机密窃取、系统崩溃等一系列严重后果。全面分析LoRaWAN的安全性能，挖掘系统信息安全漏洞，尽可能减小“0 day”攻击出现的可能，对LoRa技术的普及、LPWAN健康生态环境的构建、物联网技术的推进具有重要意义。


目前，LoRa技术在国外市场主要处于技术完善、推广普及阶段。近年来，随着一些国家LoRa技术在全国范围内是我应用推广，LoRaWAN的安全性研究引起了人们的高度重视，涌现出许多优秀的研究成果，旨在加强LoRaWAN协议的安全性，共同营造安全可靠的LoRa运行环境。国内LoRa技术的研究开始于2016年CLAA的成立，目前主要工作停留在试点建设阶段，有关安全性研究还未全面展开。


Emekcan Aras[7]指出，尽管LoRa采用的CSS调制具有很强的抗干扰性，但是如果恶意设备采用相同扩频因子和通信频段发送信号，一样可以达到干扰通信的作用，且这个过程无需专用设备，一般的LoRa通信产品就可以实现。同时，如果终端节点通过UART、SPI等接口传递密钥信息，则利用专用的外围设备如FTDI等，就可以介入相应接口并窃取密钥信息。此外，文献[7]还指出，LoRaWAN的数据包格式中没有基于时间的标签信息，为重放攻击和虫洞攻击留下了隐患，同时文献[7]并没有为理论进行实验验证，导致理论论证不充分、说服力不强。Xueying Yang[8]从入网方式、加密算法、计数器机制、消息认证机制等四个方面分析LoRaWAN协议的安全性特征，针对协议提出了一种攻击树模型，然后利用ABP模式下密钥不能及时更新的漏洞，设计了重放攻击方案。利用信息加密密钥相同的特征，设计了密文破解攻击方案；利用网络服务器和应用之间没有完整性校验；设计了信息欺骗攻击方案，并分别提出了相应的改进建议。文献[8]提出了为LoRaWAN系统进行攻击树建模概念，但是并没有对各攻击方法进行风险量化，且也没有系统全面的分析框架。E. van Es等人[9]总结LoRaWAN可能面临的安全风险，包括信息监听、重放攻击、DoS攻击、中间人攻击、密码攻击等漏洞攻击方法，然后对这些攻击方法提供攻击模型分析和证明，并在附录中列出了5种详细的攻击场景，同时针对每一种场景的工作流程做了详细说明，理论证明攻击实现的可能性，但针对安全漏洞的分析过于片面，考虑角度不周全。


综上所述，很多文献都对LoRaWAN协议作了详细分析和研究，提出了其存在的安全漏洞，并介绍了安全可行的方案，但普遍存在一些局限性。第一，漏洞分析缺乏整体性、系统性的研究过程，使得漏洞研究工作不全面、不严谨。第二，研究重点偏向安全方案设计，对提出的安全漏洞没有应用具体硬件设备进行实验验证，对理论分析的验证不充分、不具体，使得漏洞分析工作不彻底、不深入。本文将重点放在LoRaWAN漏洞攻击方案的设计和验证上，用攻击树模型对LoRaWAN协议存在的漏洞进行整体描述，并采用具体的硬件平台验证攻击方案的可行性，提供了详细的攻击过程和实验数据。


1　LoRaWAN安全性特点


为全面、准确地描述LoRaWAN协议存在的安全威胁，文章采用由Microsoft安全性工程和通信小组的Shawn Herman提出的STRIDE[10]模型。该模型将信息系统安全威胁分为欺骗（Spoofing）、篡改（Tampering）、否认（Repudiation）、信息泄露（Information Disclosure）、拒绝服务（Denial of Service）、权限提升（Elevation of Privilege）等六种类型。这些类型概括性描述了几乎所有常见的安全威胁，同时对应了信息安全属性[11]的六个方面。它的对应关系和攻击结果如图1所示。

根据物联网特点和信息安全的分析方法，下面将从终端硬件安全、密钥管理方式、数据加密方式、消息认证机制、消息应答机制、计数器机制等六个方面对LoRaWAN协议的安全性进行分析，指出设计中存在的安全漏洞并说明可能存在的安全威胁。


1.1　终端硬件安全


LoRaWAN终端具有数量多、分布范围广、地区偏远的特点，为人工维护造成了一定困难，且设备长时间处于无人监管状态，如遇自然灾害和人为破坏，其硬件安全难以得到保障。


同时，由于它的低成本、低功耗的性能需求，LoRaWAN终端节点一般采用低功耗微控制器产品，如常见的STM32L系列微控制器、Nano-100系列微控制器、MSP430系列单片机等。为满足固件升级、软件调试需求，这些设备往往会开放JTAG、SWD等调试下载接口。一方面，使得设备开发具有更强的灵活性，用户只需要特定的仿真器就可以实现软件的下载和调试；另一方面，带来了安全隐患，如果这些接口被攻击者利用，很有可能造成密钥失窃、欺骗攻击等严重后果，影响系统的机密性和真实性。


1.2　密钥管理方式


LoRaWAN的密钥管理机制根据不同的激活入网方式分为两类。


在OTAA模式下，终端节点在激活入网前需要配置好DevEUI、AppEUI、AppKey。激活入网时会动态产生不同的AppSKey和NwkSKey，加上FRMPayload帧结构中的DevAddr，共六个密钥需要存储在终端节点和网络服务器两端。如果在通信过程中密钥被窃取，攻击仅在此次入网会话期间保持有效。若终端节点复位或再次激活入网，则攻击会因为NwkSKey、AppSkey改变而失去作用。因此，OTAA入网方式安全性能较高。


在ABP模式下，终端节点直接配置NwkSKey、AppSkey、DevAddr。通信过程中，密钥保持固定不变，仅此三个密钥需要存储在终端节点和网络服务器两端。此时，LoRaWAN系统的安全性充分依赖于终端节点的硬件安全性能。一旦终端节点遭到攻击，密钥被窃取，通过帧结构分析和加密算法的逆运算即可破解密文信息。如果此时传递的是敏感信息，则可能造成隐私泄露的严重后果。


1.3　数据加密方式


LoRaWAN采用双重AES-128加密算法[12]，分别用在OTAA模式的入网应答和普通消息字段FRMPayload中。在密钥位置情况下，AES-128可以保证很高的安全性能，但除此之外其他数据仍是明文通信。若监听设备截获LoRa通信数据，通过帧结构分析便可以轻松得到DevAddr、FCnt等重要信息。当攻击者辨别目标设备和数据传递的方向性时，系统面临重放攻击的可能，严重威胁系统的可控性。


1.4　消息认证机制


在终端节点激活入网后，LoRaWAN通信中的数据并没有经过严格可靠的认证。在符合LoRaWAN协议标准帧格式的基础上，上下行数据满足DevAddr及MIC正确性即可被网络服务器和终端节点解析，然后可以利用ABP模式下密钥固定不变的特性，向服务器发送恶意信息。


1.5　消息应答机制


在应答消息的设计中，并没有针对会话作标记或说明，使得在终端节点发送认证消息后，其可以收到来自恶意设备发送的伪造应答信息，致使系统的真实性、可用性遭受破坏。


1.6　计数器机制


LoRaWAN利用消息中的计数器判断会话是否重复发生。随着会话增多，计数器递增，网络服务器和终端节点拒绝接收计数器值小于等于当前记录的消息，以此避免重放攻击。然而，计数器机制并没有涉及差值限制或会话标志，恶意节点可以在通信过程中监听并记录会话信息，当系统复位后计数器重新计数，此时恶意节点若重放上次会话周期FCnt最大的通信数据，终端节点和网络服务器将无法分辨这是否是合法数据。因其符合FCnt大于当前记录值并满足信息校验而接收恶意数据，此后将拒绝接收合法数据，因为合法数据的FCnt值将小于恶意信息中的FCnt，导致系统拒绝提供服务，从而严重影响系统的可用性。


2　LoRaWAN攻击树建模


攻击树模型是Schneier[13-14]提出的一种系统攻击分类方法。这种方法采用树形结构描述攻击逻辑，使安全分析人员从系统面临攻击威胁的角度思考安全问题。利用树形结构的优势，可以用简单的结构描述复杂的威胁类型和攻击方式，具有很强的扩展性[15]，便于从深度、广度不同的层次对攻击逻辑做出修正，从而帮助分析者构建系统、全面的安全威胁模型。


一个完整的树形结构包括根节点、分支节点和叶子节点。在攻击树中，根节点表示最终要实现的攻击目标，分支节点表示要完成最终目标所要完成的中间步骤，叶子节点表示具体的攻击方法。兄弟节点间可以反映一定的攻击逻辑，如图2所示。“或（OR）”关系表示任意子节点的方法得到实现，其父节点的攻击目标才会实现；“与（AND）”关系表示只有当所有子节点目标都得到实现，父节点的攻击目标才会实现；“顺序（SAND）”关系表示所有子节点目标按照顺序实现后，父节点的攻击目标才会被实现。攻击树的每一条路径都表示一种攻击方案所要遵循的基本路线，路径的深度也间接反映该攻击方法的难易程度。

结合STRIDE威胁模型和LoRaWAN协议的安全性分析，将LoRaWAN协议可能面临的安全威胁整理成攻击树模型，将攻击树每个叶子节点代表的原子事件标注为Ei ，如图3所示。其中，一级树节点为STRIDE威胁模型。为使模型系统化、全面化，将目前分析中没有涉及到的子树结构由三角替代，除叶子节点和根节点外。将导致攻击树根目标发生的一系列原子事件的组合定义为攻击序列。具体地，攻击树共描述六种攻击序列：S1{E1,E2} ，S2{E3} ，S3{E4,E5} ，S4{E6,E7} ，S5{E8} ，S6{E0,E10} 。

为更加准确地评估LoRaWAN的安全威胁，对攻击树中攻击序列Si 的风险系数进行量化计算。考虑一组攻击序列的风险系数，不仅与攻击发生的概率有关，还应该与该攻击对系统的危害性相关[16]，计算公式为：





其中，RSi 表示攻击序列Si 的风险系数，ISi 表示攻击序列Si 产生的危害性，PSi 为攻击序列Si 发生的概率。因为ISi 需要根据不同的系统功能、要求、条件等因素具体化才有实际意义，而不同系统对应的ISi 差别较大，所以本文暂且规避ISi 的影响，令，重点阐述攻击发生的概率PSi ：





其中，costi 表示实现攻击序列Si 所需的成本；diffi 表示实现攻击序列Si 所需的难度；deti 表示实现攻击序列Si 被发现的可能性；Wcost 指攻击成本所占权值，Wdiff 指攻击难度所占权值，Wdet 指攻击隐蔽性所占权值，三个属性的权值加和为1；Ucosti 表示攻击序列Si 对应攻击成本的效用值；Udiffi 表示攻击序列Si 对应攻击难度的效用值；Udeti 表示攻击序列Si 对应攻击隐蔽性的效用值。



对于三个安全属性的效用值，采用等级评分的方法进行量化，评分标准如表1所示。将三种安全属性分别划分为五个等级，对攻击事件不同的安全属性进行评级，其安全效用值为等级得分的倒数Ux=c/x ，其中c 为常数。为方便计算，令c=1 ，以此求出Ucosti 、Udiffi 、Udeti 。

对于不同安全属性的评分一般可由专家根据系统应用的具体情况给出[16]，评分结果如表2所示。

对于三个安全属性效用值所占权重，在不同的信息系统中有所不同。本文采用层次分析法（Analytic Hieratchy Process，AHP）[17]对单个安全属性的权重作量化比较。AHP使用特定的尺度表，对不同的安全属性作出比较构造模糊矩阵，通过一致性检验后求出各属性对应的权值。AHP比较尺度表如表3所示。

对每个攻击序列的安全属性权重进行比较、评判，得到模糊判断矩阵如下：





由于系统多种因素的复杂性和主观认证的差异性，模糊判断矩阵具有不确定性，但不能出现逻辑混乱。为此，对构造的矩阵作一致性检验，以此确保最终获得的安全属性值合理。一致性检验公式为：





当时，矩阵具有一致性。在实际应用中，矩阵的误差程度可以在一个允许的范围内。为此，引入随机一致性指标RI ，如表4所示。

一致性比率CR为一致性指标CI与随机一致性指标RI的比值。当满足式（5）时，判定矩阵具有一致性。





结合式（4）、式（5）和表4，对模糊判断矩阵C 作一致性检测，经计算得：n=3 ，3.004，CI=0.002 ，RI=0.52 ，CR=0.004 ，满足公式（5）的条件，因此 视为合理判断矩阵。


为求三种安全属性的权值，利用算术平均法计算矩阵C 的特征向量。根据公式：





将矩阵的每一列进行归一化处理，得到：





将其联立表2的评分结果带入式（2），可求得攻击序列发生的概率，如表5所示。

由表5可知，在拟定的LoRaWAN工作环境中，相较而言，攻击序列S2 、S3 、S4 、S5 威胁性较大。攻击者较容易采用的攻击方法如利用监听设备嗅探通信数据、通过终端逆向工程窃取密钥、重放信息欺骗服务器和广播垃圾数据包干扰通信等。为降低系统安全风险，在实际应用中应优先针对这些攻击方法作好预警和安全防护措施。


3　结　语


此物联网系统的信息安全风险评估是保障系统安全的基础性工作，只有全面、系统地了解系统的安全风险后，才能决定如何处理安全风险，从而保障系统稳定、可靠运行。本文在简要分析LoRaWAN技术特点的基础上，提出了一种基于攻击树的物联网系统信息安全风险量化评估方法，使用该方法得到的结果能够指导风险管理者对系统的信息安全状况进行风险评估，同时帮助技术人员分析攻击者最可能采取的攻击途径，从而有针对性、有重点地采取相应的防御措施。本文采用的风险评估方法在量化叶子节点的指标时，不可避免地受主观因素的干预，如采取专家打分的方式对叶子节点属性进行评估。因此，下一步工作的重点是研究如何减少主观因素在工业控制系统信息安全风险评估中的影响。例如，通过采集大量数据样本来判断叶子节点发生的概率，通过实地调研确定风险损失等，从而降低主观因素对评估结果的影响。


参考文献：
[1] 明小满,沈鑫.低功耗广域物联网的关键技术与应用[J].电脑迷,2017(12):62,78.



[2] 胡炜.物联网技术应用及主要特征[J].电子技术与软件工程,2018(08):17.


[3] LoRa Alliance.SX1276/77/78 Datasheet[EB/OL].(2013-09-01)[2018-06-22].http://www.lora-alliance.org.


[4] 陈卓逸.LoRa在物联网中应用浅析[J].山东工业技术,2018(03):128-129.


[5] LoRa Alliance.LoRaWANTM 1.0.3 Specification[EB/OL].(2018-3-20)[2018-06-23].http://www.lora-alliance.org.


[6] 孙曼,张乃谦,金立标等.基于LoRa标准的MAC层协议研究[J].电视技术,2016,40(10):77-81.


[7] Aras E,Ramachandran G S,Lawrence P,et al.Exploring the Security Vulnerabilities of LoRa[C].IEEE International Conference on Cybernetics,2017:1-6.


[8] 顶象技术官方博客.年终盘点 最全面的2017物联网安全事件盘点[EB/OL].(2017-12-01)[2018-06-24].http://www.dingxiang-inc.com/blog.


[9] Es Eef van.LoRaWAN Vulnerability Analysis_ (in)Validation of Possible Vulnerabilities in the LoRaWAN Protocol Specification[D].Open University,2018.


[10]Howard M.Writing Secure Code[M].Microsoft Press,2001.


[11]冯登国,赵险峰.信息安全技术概论[M].北京:电子工业出版社,2009.


[12]LoRa Alliance.A Technical Overview of LoRa and LoRaWAN[EB/OL].(2017-06-01)[2018-06-25].https:/ www.lora-alliance.org.


[13]Schneier B.Attack Trees:Modeling Security Threats[J].Dr Dobbs Journal,1999,24(12):21-29.


[14]Kordy B,Mauw S,Radomirovi S,et al.Foundations of Attack-defense Trees[J].Lecture Notes in Computer Science,2010,65(61):80-95.


[15]甘早斌,吴平,路松峰等.基于扩展攻击树的信息系统安全风险评估[J].计算机应用研究,2007(11):153-156,160.


[16]吕宗平,戚威,顾兆军.基于模糊层次分析法的攻击树模型[J].计算机工程与设计,2018,39(06):1501-1505,1515.


[17]邓雪,李家铭,曾浩健等.层次分析法权重计算方法分析及其应用研究[J].数学的实践与认识,2012,42(07):93-100.






作者简介：
李　彤，陆军装甲兵学院 信息通信系教授，博士，主要研究方向为嵌入式系统安全、计算机网络；

李　博，陆军装甲兵学院 信息通信系硕士，主要研究方向为信息安全、对抗技术；
常　成，陆军装甲兵学院 信息通信系讲师，硕士，主要研究方向为嵌入式系统安全、计算机网络；
陈寒逸，73630部队工程师，学士，主要研究方向为通信技术。

（本文选自《通信技术》2018年第十一期）

原创声明 >>>
本微信公众号刊载的原创文章，欢迎个人转发。未经授权，其他媒体、微信公众号和网站不得转载。

[size=1em]网 络 强 国 建 设 的 思 想 库

[size=1em]—— 安 全 产 业 发 展 的 情 报 站 ——

[size=1em]创 新 企 业 腾 飞 的 动 力 源

[size=1em]

[size=1em]···························································

投稿网址：http://www.txjszz.com

合作热线：010-88203306

[img=295px,164]http://www.embed.cc/bbs/source/plugin/csdn123_news/display_picture.php?url=https%3A%2F%2Fmmbiz.qpic.cn%2Fmmbiz%2FiaGswicCbWm6ibZNRFa5gwkXz2ER9YzWRLppQA0Fz6sz9GRDm42WlB9XaWZnKzKHWACD3z65YNZSvNnIcnlLR7Dbg%2F640%3Fwx_fmt%3Dgif[/img]

[img=125px,125]http://www.embed.cc/bbs/source/plugin/csdn123_news/display_picture.php?url=http%3A%2F%2Fmmbiz.qpic.cn%2Fmmbiz%2FmaicFpJ7zhDIF2eclVNLuic1AtaV0El5fx7tK2KBvghXfSruGd437p5lysBKY5OSzRWxIYGarII5sGVHQObaGvXQ%2F640%3Fwx_fmt%3Djpeg[/img]