KR20210077616A - Lte 방송 메시지에 대한 물리적 신호 오버쉐도잉 공격 방법 및 시스템 - Google Patents

Lte 방송 메시지에 대한 물리적 신호 오버쉐도잉 공격 방법 및 시스템 Download PDF

Info

Publication number
KR20210077616A
KR20210077616A KR1020200175251A KR20200175251A KR20210077616A KR 20210077616 A KR20210077616 A KR 20210077616A KR 1020200175251 A KR1020200175251 A KR 1020200175251A KR 20200175251 A KR20200175251 A KR 20200175251A KR 20210077616 A KR20210077616 A KR 20210077616A
Authority
KR
South Korea
Prior art keywords
attack
subframe
target device
physical
overshadowing
Prior art date
Application number
KR1020200175251A
Other languages
English (en)
Other versions
KR102515232B1 (ko
Inventor
김용대
양호준
배상욱
손민철
김홍일
김성민
Original Assignee
한국과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술원 filed Critical 한국과학기술원
Priority to US17/124,634 priority Critical patent/US11405787B2/en
Publication of KR20210077616A publication Critical patent/KR20210077616A/ko
Application granted granted Critical
Publication of KR102515232B1 publication Critical patent/KR102515232B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/323Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the physical layer [OSI layer 1]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 LTE 방송 메시지에 대한 물리적 신호 오버쉐도잉 공격 방법 및 시스템에 관한 것으로, 공격 대상인 대상 기기의 물리적 구성 정보를 식별하며, 상기 대상 기기로 전송되는 LTE 방송 메시지의 서브프레임에 대한 물리적 다운링크 공유 채널(Physical Downlink Shared CHannel, PDSCH), 물리적 다운링크 제어 채널(Physical Downlink Control CHannel; PDCCH) 및 물리적 제어 포맷 지표 채널(Physical Control Format Indicator CHannel, PCFICH)을 조작하여 공격용 서브프레임을 형성하는 단계, 상기 LTE 방송 메시지에 따라 상기 공격용 서브프레임의 시간 영역 및 주파수 영역을 동기화하는 단계 및 상기 대상 기기로 전송되는 상기 LTE 방송 메시지의 합법적인 서브프레임에 상기 동기화된 공격용 서브프레임을 주입하여 전송하는 단계를 포함한다.

Description

LTE 방송 메시지에 대한 물리적 신호 오버쉐도잉 공격 방법 및 시스템{PHYSICAL SIGNAL OVERSHADOWING ATTACK METHOD FOR LTE BROADCAST MESSAGE AND THE SYSTEM THEREOF}
본 발명은 LTE 방송 메시지에 대한 물리적 신호 오버쉐도잉 공격 방법 및 시스템에 관한 것으로, 보다 상세하게는 공격 대상인 대상 기기에 조작된 방송 신호를 주입하는 오버쉐도잉 공격에 관한 것이다.
LTE(Long Term Evolution) 기술은 방송 신호를 활용해 셀룰러 네트워크에서 사용자 장치로 필수 정보를 전송한다. LTE 기지국에서 방송되는 정보, 즉 진화 노드B(eNB)라고 하는 정보는 사용자 장치(대상 기기, 이하에서는 ‘대상 기기’라 칭함)가 셀룰러 네트워크에 접속하는 데 필요한 동기화 정보와 무선 리소스 구성을 포함한다. 수신된 방송 신호에 기초하여, 대상 기기는 인증 및 키 합의(Authentication and Key Agreement; AKA) 절차를 수행하여 네트워크에 등록하며, 등록 후 다양한 목적을 위해 방송 신호를 감시한다. 예를 들어, 대상 기기가 비활성으로 인해 이동 통신 기지국(eNB)과 연결되지 않는 경우, 정기적으로 페이징 메시지를 확인해야 한다. 대상 기기가 이동 통신 기지국과 능동적으로 연결되었을 때에도, 대상 기기는 계속하여 방송 신호를 청취하여 업데이트하여 시스템 전체 구성의 변화를 결정하고, 복수의 대상 기기에 의도된 메시지의 도착을 식별한다.
대부분의 LTE 신호 메시지는 암호화 프리미티브(primitive)를 이용한 수정으로부터 보호되지만, LTE의 방송 메시지는 무결성 보호가 되지 않는다. 이에 따라서, 다양한 실용적 애플리케이션에도 불구하고, 방송 신호는 보안이 되지 않는다. LTE에서, 대상 기기와 네트워크 사이의 통신은 유니캐스트 메시지 보호를 위한 Non-Access Stratum(NAS)과 Access Stratum(AS) 보안 모드 절차인 인증과 보안 핸드쉐이크 절차를 성공적으로 수행한 후에만 확보된다. 이때, 보호되지 않은 방송 신호는 다양한 취약성에 시스템과 대상 기기를 노출시킨다.
기존 기술에서는 보호되지 않은 방송 신호를 이용하는 공격에 대해 공지되었다. 일반적으로, 이러한 공격은 합법적인 기지국보다 더 강한 신호를 전송하여 대상 기기를 자체로 연결하도록 유인하는 가짜 기지국(Fake Base Station; FBS)을 사용한다. 공격은 주로 페이징 메시지를 이용하여 대상 기기에 바람직하지 않은 영향을 미치게 하며, 가짜 기지국의 존재를 식별할 수 있는 눈에 띄는 특성 예를 들면, 높은 신호 전력과 서비스 거부와 같은 결과를 수반한다.
Syed Rafiul Hussain, Omar Chowdhury, Shagufta Mehnaz, and Elisa Bertino. LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE. In Proceedings of the Network and Distributed Systems Security (NDSS), 2018.
본 발명의 목적은 가짜 기지국을 사용하지 않고, LTE에서 방송 메시지의 근본적인 약점을 이용하여 공중에서 전송되는 신호를 조작하는 신호주입 공격인 오버쉐도잉 공격을 제안하고자 한다.
본 발명의 일 실시예에 따른 LTE 방송 메시지에 대한 물리적 신호 오버쉐도잉 공격 방법에 있어서, 공격 대상인 대상 기기의 물리적 구성 정보를 식별하며, 상기 대상 기기로 전송되는 LTE 방송 메시지의 서브프레임에 대한 물리적 다운링크 공유 채널(Physical Downlink Shared CHannel, PDSCH), 물리적 다운링크 제어 채널(Physical Downlink Control CHannel; PDCCH) 및 물리적 제어 포맷 지표 채널(Physical Control Format Indicator CHannel, PCFICH)을 조작하여 공격용 서브프레임을 형성하는 단계, 상기 LTE 방송 메시지에 따라 상기 공격용 서브프레임의 시간 영역 및 주파수 영역을 동기화하는 단계 및 상기 대상 기기로 전송되는 상기 LTE 방송 메시지의 합법적인 서브프레임에 상기 동기화된 공격용 서브프레임을 주입하여 전송하는 단계를 포함한다.
본 발명의 일 실시예에 따른 LTE 방송 메시지에 대한 물리적 신호 오버쉐도잉 공격 시스템에 있어서, 공격 대상인 대상 기기의 물리적 구성 정보를 식별하며, 상기 대상 기기로 전송되는 LTE 방송 메시지의 서브프레임에 대한 물리적 다운링크 공유 채널(Physical Downlink Shared CHannel, PDSCH), 물리적 다운링크 제어 채널(Physical Downlink Control CHannel; PDCCH) 및 물리적 제어 포맷 지표 채널(Physical Control Format Indicator CHannel, PCFICH)을 조작하여 공격용 서브프레임을 형성하는 서브프레임 처리부, 상기 LTE 방송 메시지에 따라 상기 공격용 서브프레임의 시간 영역 및 주파수 영역을 동기화하는 동기화부 및 상기 대상 기기로 전송되는 상기 LTE 방송 메시지의 합법적인 서브프레임에 상기 동기화된 공격용 서브프레임을 주입하여 전송하는 전송부를 포함한다.
본 발명의 다른 실시예에 따른 LTE 방송 메시지에 대한 물리적 신호 오버쉐도잉 공격 방법에 있어서, 공격 대상인 대상 기기의 물리적 구성 정보를 식별하여 공격용 서브프레임의 구조를 결정하는 단계, 상기 대상 기기로 전송되는 LTE 방송 메시지의 서브프레임에 대한 물리적 다운링크 공유 채널(Physical Downlink Shared CHannel, PDSCH), 물리적 다운링크 제어 채널(Physical Downlink Control CHannel; PDCCH) 및 물리적 제어 포맷 지표 채널(Physical Control Format Indicator CHannel, PCFICH)을 조작하여 상기 공격용 서브프레임을 형성하는 단계, 상기 LTE 방송 메시지에 따라 상기 공격용 서브프레임의 시간 영역 및 주파수 영역을 동기화하는 단계 및 상기 대상 기기로 전송되는 상기 LTE 방송 메시지의 합법적인 서브프레임에 상기 동기화된 공격용 서브프레임을 주입하여 전송하는 단계를 포함한다.
본 발명의 일 실시예에 따르면, 공격 대상인 대상 기기에 조작된 방송 신호를 주입하여 기존의 가짜 기지국을 이용한 공격에 비해 35dB의 전력 차이에도 불구하고 98%의 높은 성공률을 제공할 수 있다.
도 1은 LTE 네트워크의 구성을 도시한 것이다.
도 2는 LTE 프레임 구조를 도시한 것이다.
도 3은 본 발명의 일 실시예에 따른 오버쉐도잉 공격 방법의 동작 흐름도를 도시한 것이다.
도 4는 본 발명의 일 실시예에 따른 오버쉐도잉 공격을 설명하기 위해 도시한 것이다.
도 5는 본 발명의 일 실시예에 따른 시간 동기화에 대한 결과 그래프를 도시한 것이다.
도 6은 본 발명의 일 실시예에 따른 대상 기기와 공격자의 위치에 따른 전파 지연의 예를 설명하기 위해 도시한 것이다.
도 7a 및 도 7b는 본 발명의 일 실시예에 따른 오버쉐도잉 공격과 가짜 기지국 공격의 신호 메시지를 도시한 것이다.
도 8a 및 도 8b는 본 발명의 일 실시예에 따른 추적 영역 업데이트 절차에 대한 일반 및 공격 사례를 도시한 것이다.
도 9는 본 발명의 일 실시예에 따른 SIB1 스푸핑에 의해 생성된 추적 영역 업데이트(TAU) 요청 메시지의 예를 도시한 것이다.
도 10a 및 도 10b는 본 발명의 일 실시예에 따른 SIB2 메시지의 액세스 제어 기능의 예를 도시한 것이다.
도 11은 본 발명의 일 실시예에 따른 오버쉐도잉 공격 후 채널 추정 크기의 변동에 대한 실험 결과를 도시한 것이다.
도 12는 본 발명의 일 실시예에 따른 오버쉐도잉 공격 시스템의 세부 구성을 블록도로 도시한 것이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며, 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예들을 보다 상세하게 설명하고자 한다. 도면 상의 동일한 구성요소에 대해서는 동일한 참조 부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
본 발명의 일 실시예들은, 가짜 기지국을 채택하지 않고, 대상 기기에 조작된 방송 신호를 주입하는 SigOver(overshadowing) 공격을 제안한다.
SigOver 공격은 조작된 공격 신호를 사용하여 합법적인 신호의 일부를 덮어쓰는 것으로, 대상 기기가 여러 개의 겹치는 신호를 동시에 수신할 때 더 강한 신호를 해독한다는 사실에 기초한 것이며, 이를 캡쳐 효과라고 한다. 공격의 주요 기술적 구성요소는 대상 기기가 공격 신호만 해독하도록 공격 신호의 타이밍을 타겟팅된 합법 신호의 타이밍과 동기화하는 것이다. 상당히 낮은 전력 수준에서 전송되는 공격 신호는 목표 신호를 무색하게 할 뿐이며, 대상 기기와 네트워크 사이의 다른 신호/메시지들은 그대로 남아 있기 때문에 은밀한 공격이 가능하다. 이에 따라서, 본 발명은 공격 신호가 낮은 신호와 낮은 계산 비용으로 다수의 근처 대상 기기에 동시에 영향을 미칠 수 있기 때문에 지대한 영향을 미칠 수 있다. SigOver 공격은 대상 기기와 어떠한 능동적 통신을 필요로 하지 않으며, 대상 기기와 이동 통신 기지국 사이의 메시지를 중계하지 않는다는 점에 유의한다.
SigOver 공격은 저비용 Software Defined Radio(SDR) 플랫폼과 오픈 소스 LTE 라이브러리를 이용하여 LTE 방송 신호에 대한 신호 오버쉐도잉(overshadowing) 공격을 최초로 실용화한 것이다. SigOver 공격은 시간 및 주파수 동기화라는 과제를 해결하여 실용화될 수 있다. 악의적인 신호를 사용하여 합법적인 신호를 무색하게 하려면, SigOver 공격은 공격 대상인 대상 기기가 수신하는 이동 통신 기지국(eNB)의 다운링크 물리적 채널과 시간 동기화를 수행할 필요가 있다. 이에, 본 발명은 시간 동기화를 달성하기 위해 일정한 시간 간격을 두고 주기적으로 전송되는 이동 통신 기지국(eNB)의 동기화 신호를 활용하며, 주파수 동기화를 위해서는 GPS 훈련된 오실레이터를 사용한다.
이하에서는 도 1 내지 도 12를 참조하여 본 발명에 대해 상세히 설명한다.
도 1은 LTE 네트워크의 구성을 도시한 것이다.
도 1에 도시된 바와 같이, LTE 네트워크는 대상 기기(User Equipment; 대상 기기), LTE 이동 통신 기지국(Evolved Node B; eNB) 및 진화된 패킷 코어(Evolved Packet Core, EPC)로 구성된다.
대상 기기는 가입된 사용자에게 음성 및 데이터 서비스의 LTE 서비스를 제공하는 최종 장치이다. 대상 기기는 사용자 식별을 위한 영구 ID(국제 모바일 가입자 ID 및 IMSI(International Mobile Subscriber Identity)) 또는 임시 ID(Globally Unique Temporary Identity, GUTI)를 저장하는 Universal Subscriber Identity Module (USIM)이라고 하는 스마트 카드와 암호화 및 무결성 보호를 위한 암호키를 포함한다.
LTE 이동 통신 기지국은 LTE 기지국으로서, LTE 네트워크에서 활성화된 서비스를 받기 위해 대상 기기를 위한 무선 연결을 제공한다. 이때, 단일의 이동 통신 기지국은 물리계층 Cell ID(Physical layer Cell Identity ID; PCI)로 식별되는 여러 사이트(LTE에서 셀이라고 함)를 포괄한다.
EPC 네트워크는 인증, 이동성 및 세션 관리, 사용자 플레인(plane) 서비스와 같은 제어 기능을 담당한다. 이동성 관리를 위해 EPC 네트워크의 이동성 관리 장비(Mobility Management Entity; MME)는 추적 영역(Tracking Area; TA) 집합을 관리하며, 각 영역에는 여러 개의 LTE 이동 통신 기지국이 포함되어 있다.
도 2는 LTE 프레임 구조를 도시한 것이다.
도 2를 참조하면, 대상 기기(대상 기기, 110)와 LTE 이동 통신 기지국(eNB, 120)은 동일한 무선 프레임 구조에 기초하여 서로 통신한다. 각 프레임은 10ms의 지속시간을 가지며 10개의 서브프레임으로 구성되며, 각각 1ms의 지속시간을 가진다. 단일 서브프레임은 동일한 지속시간의 두 개의 슬롯으로 추가로 분할되며, 각 슬롯은 7개의 직교 주파수 분할 멀티플렉싱(Orthogonal Frequency Division Multiplexing; OFDM) 기호로 구성된다.
LTE에서, 무선 리소스는 12개의 서브캐리어(각각 15KHz 대역폭)를 포함하고 있는 물리적 리소스 블록(Physical Resource Block; PRB) 단위로 할당되며, 1개의 슬롯을 시간 (0.5ms)에 소비한다. 주파수 대역에서 사용 가능한 PRB의 수는 시스템 대역폭에 의해 결정되며, 데이터 크기에 따라 LTE 이동 통신 기지국(120)은 최소 예약 시간 간격인 서브프레임(1ms) 내에서 PRB를 할당한다.
신호가 무선 채널을 통해 이동하면 감쇠, 위상 편이, 노이즈 등 몇 가지 요인으로 인해 신호가 왜곡된다. 그러한 요인을 수용하기 위해 무선 장치는 Y(k) = H(k)X(k)를 사용하여 채널을 추정한다. 여기서 Y(k), H(k) 및 X(k)는 각각 대상 기기(110)가 수신한 신호, 채널 계수 및 LTE 이동 통신 기지국(120)이 전송한 신호를 나타낸다. LTE에서, 대상 기기(110)는 LTE 이동 통신 기지국(120)에 의해 전송되는 기준 신호(Reference Signal; RS)에 기초하여 채널 추정을 수행한다. 대상 기기(110)는 이미 기준 신호의 X(k)와 Y(k) 값을 알고 있기 때문에 H(k) =
Figure pat00001
에서 H(k)를 계산한다. 나아가, 채널 추정에서 노이즈의 영향을 최소화하기 위해 평균화 윈도우를 사용하여 기준 신호의 H(k)를 평균화한다.
대상 기기(110)가 켜져 있는 경우, 무선 연결을 설정하기 위한 적절한 셀을 찾아야 한다. 이를 위해 대상 기기(110)는 우선 후보 주파수 채널의 수신 신호 강도 표시(Received Signal Strength Indication; RSSI) 측정을 시도한다. 대상 기기(110)는 측정을 바탕으로 RSSI가 가장 높은 채널을 선택한 후에 1차 동기화 신호(Primary Synchronization Signal; PSS)와 2차 동기화 신호(Secondary Synchronization Signal; SSS)를 청취하여 서브프레임 기반과 셀의 물리계층 Cell ID(Physical-layer Cell ID; PCI)에 대한 시간 동기화를 얻는다. 그런 다음 대상 기기(110)는 마스터 정보 블록(Master Information Block; MIB)을 해독하여 시스템 프레임 번호(System Frame Number; SFN) 및 기타 물리적 채널을 획득한다.
셀 검색 절차를 완료한 후, 대상 기기(110)는 물리적 제어 포맷 지표 채널(Physical Control Format Indicator CHannel, PCFICH)과 물리적 다운링크 제어 채널(Physical Downlink Control CHannel; PDCCH)을 해독하여 다운링크 데이터를 디코딩한다. 이때, 대상 기기(110)는 PCFICH를 통해 각 서브프레임에서 PDCCH를 운반하는 데 사용되는 OFDM 기호 수를 알고 있다. 그런 다음 대상 기기(110)는 대상 기기(110)에 의해 요구되는 데이터와 디모듈레이션(demodulation) 체계에 대하여 리소스 블록에 대한 정보를 포함하는 PDCCH를 해독한다. 두 채널을 디코딩한 후, 대상 기기(110)는 물리적 다운링크 공유 채널(Physical Downlink Shared CHannel, PDSCH)을 통해 방송되는 다른 시스템 정보를 해독한다. 여기서, 22개의 시스템 정보 블록(System Information Block; SIB)이 있으며, 각 블록에는 서로 다른 셀 관련 시스템 정보가 포함되어 있다. 그 중에서, SIB1과 SIB2는 대상 기기(110)가 셀에 연결하기 위해 필수적이며, 다른 SIB의 가용성은 SIB1에 명시되어 있다.
나아가, 대상 기기(110)는 LTE 이동 통신 기지국(120)과의 무선 연결을 설정하기 위해 랜덤 액세스 채널(Random Access CHannel; RACH) 절차를 수행한다. 이를 위해 대상 기기(110)는 랜덤으로 랜덤 액세스(Random Access; RA) 프리앰블 시퀀스를 선택하여 이를 LTE 이동 통신 기지국(120)에 전송한다. 동일한 프리앰블[preamble] 시퀀스가 다른 대상 기기에서 동시에 전송되지 않는 한, 대상 기기(110)는 성공적으로 RA 절차를 완료한다.
도 3은 본 발명의 일 실시예에 따른 오버쉐도잉 공격 방법의 동작 흐름도를 도시한 것이다. 또한, 도 4는 본 발명의 일 실시예에 따른 오버쉐도잉 공격을 설명하기 위해 도시한 것이고, 도 5는 본 발명의 일 실시예에 따른 시간 동기화에 대한 결과 그래프를 도시한 것이며, 도 6은 본 발명의 일 실시예에 따른 대상 기기와 공격자의 위치에 따른 전파 지연의 예를 설명하기 위해 도시한 것이다.
도 3의 방법은 도 12의 오버쉐도잉 공격 시스템에 의해 수행된다.
최소한의 권한을 가진 능동형 공격자(130)는 본 발명의 일 실시예에 따른 오버쉐도잉 공격 방법을 이용하여 대상 기기(110)를 공격할 수 있다. 이때, 공격자(130)는 공격 대상인 대상 기기(110)의 LTE 키를 알지 못한다. 또한, 공격자(130)는 합법적인 LTE 셀에서 대상 기기로 전송되는 다운링크 방송 메시지를 도청할 수 있으나, 공격 대상 키를 사용할 수 없기 때문에 암호화된 메시지의 암호를 해독할 수 없다. 이에 따라서, 본 발명의 일 실시예에 따른 오버쉐도잉 공격 방법을 이용한 능동적 공격자(130)는 합법적인 메시지를 덮어 쓰면서 공격 대상인 대상 기기에 악의적인 메시지를 주입할 수 있다.
도 3을 참조하여 본 발명의 일 실시예에 따른 오버쉐도잉 공격 방법에 대해 상세히 설명하자면, 단계 S310에서, 공격 대상인 대상 기기의 물리적 구성 정보를 식별하며, 대상 기기로 전송되는 LTE 방송 메시지의 서브프레임에 대한 물리적 다운링크 공유 채널(Physical Downlink Shared CHannel, PDSCH), 물리적 다운링크 제어 채널(Physical Downlink Control CHannel; PDCCH) 및 물리적 제어 포맷 지표 채널(Physical Control Format Indicator CHannel, PCFICH)을 조작하여 공격용 서브프레임을 형성한다.
본 발명의 일 실시예에 따르면, 공격 대상인 대상 기기에서 성공적으로 해독될 수 있는 서브프레임을 제작하며, 단계 S310은 공격용 서브프레임의 구조를 결정하기 위해 먼저 공격 대상인 대상 기기가 캠핑(camping)하고 있는 합법적인 셀의 물리적 구성을 식별해야 한다. 유효한 서브프레임 구성에 필요한 물리적 구성 정보는 물리계층 Cell ID(Physical-layer Cell ID; PCI), 채널 대역폭, PHICH(Physical HybridARQ Indicator CHannel) 및 전송 방식(또는 안테나 포트 수) 중 적어도 어느 하나 이상을 포함할 수 있다. 상기 물리적 구성 정보는 공격자가 동일한 합법적인 셀에 수용한 후에 공격자가 이용할 수 있다. 특히, 물리계층 Cell ID는 PSS/SSS로부터 계산되며, 채널 대역폭, PHICH 및 전송 방식은 마스터 정보 블록(Master Information Block; MIB)으로부터 획득될 수 있다. 더욱이, 공격자는 공격용 서브프레임의 주입 시간을 결정하기 위해 MIB에서도 이용할 수 있는 합법적인 셀의 시스템 프레임 번호(System Frame Number; SFN)와 동기화해야 한다.
LTE에서 대상 기기는 LTE 방송 메시지를 읽을 때, 서브프레임으로부터 제어 채널 구조를 포함하는 제어 형식 표시기(Control Format Indicator; CFI), 메시지에 할당된 리소스(즉, 리소스 블록)을 포함하는 다운링크 제어 정보(Downlink Control Information; DCI), 및 메시지 자체를 포함하는 리소스 블록(Resource Block; RB)을 해독한다. 이에 따라서, 단계 S310은 대상 기기에서 디코딩되는 제어 형식 표시기(Control Format Indicator; CFI), 다운링크 제어 정보(Downlink Control Information; DCI) 및 리소스 블록(Resource Block; RB)의 각 정보를 포함하는 물리적 다운링크 공유 채널(PDSCH), 물리적 다운링크 제어 채널(PDCCH) 및 물리적 제어 포맷 지표 채널(PCFICH)의 서브프레임을 조작하여 공격용 서브프레임을 제작할 수 있다. 이때, 제어 형식 표시기(CFI) 및 다운링크 제어 정보(DCI)는 각각 물리적 제어 포맷 지표 채널(PCFICH)와 물리적 다운링크 제어 채널(PDCCH)를 통해 전송되며, 메시지는 물리적 다운링크 공유 채널(PDSCH)을 통해 전송된다.
전술한 값을 포함하는 서브프레임은 채널 추정 오류로 인해 대상 기기에서 올바르게 해독되지 않을 수 있다. 대상 기기는 합법적인 LTE 이동 통신 기지국(eNB)에 의해 전송된 기준 신호(RS)로부터 채널을 추정하지만, 추정 결과는 주입된 서브프레임을 정확하게 해독하기에 부적절할 수 있다. 이에 따라서, 본 발명의 일 실시예에 따른 단계 S310은 공격용 서브프레임에 기준 신호(Reference Signal)를 포함시켜 오버쉐도잉 공격의 견고성을 향상시킬 수 있다.
조작된 공격용 서브프레임의 디코딩과 관련된 마지막 기술적 과제는 무선 채널 추정 및 균등화와 관련하여 채널로 인한 신호 왜곡으로부터 복구하기 위한 것이다. 본 발명의 일 실시예에 따른 오버쉐도잉(SigOver) 공격에서 채널은 조작된 공격용 서브프레임에서 우세하게(페이징 상황에 따라서만) 추정되거나, 여러 개의 합법적인 서브프레임과 함께 연속 서브프레임(RRC Connected)에서 평균을 얻는다. 전자에서는 공격(즉, 조작된 공격용 서브프레임의 해독)에 한 번의 주입만으로도 충분하다. 후자에서는 공격자와 대상 기기 사이의 무선 채널을 효과적으로 반영하기 위해 반복적인 주입이 필요하다. 이에, 모든 SFN에 서브프레임을 1개씩 주입한 측정 결과에 따르면, 본 발명의 일 실시예에 따른 합법적인 서브프레임에 대해 신뢰성 있는 커뮤니케이션을 유지하는 오버쉐도잉(SigOver) 공격은 1초도 안 되는 시간에 98% 이상의 성공률을 달성할 수 있다.
단계 S320에서, LTE 방송 메시지에 따라 공격용 서브프레임의 시간 영역 및 주파수 영역을 동기화한다.
본 발명의 일 실시예에 따른 오버쉐도잉 공격은 조작된 서브프레임이 시간과 주파수 영역 모두에서 합법적인 신호와 정확히 겹치도록 해야 하므로, 공격용 서브프레임의 시간 영역 및 주파수 영역의 동기화가 필요하다. 이에 따라서, 단계 S320은 일정한 시간 간격에 따라 주기적으로 전송되는 이동 통신 기지국의 동기화 신호를 이용하여 시간 동기화를 수행하며, GPS 훈련된 오실레이터를 이용하여 주파수 동기화를 수행할 수 있다.
시간 동기화를 위해, 단계 S320은 동기화 신호로부터 서브프레임 타이밍을 획득하고, 대상 기기의 합법적인 셀의 MIB(Master Information Block)에서 이용 가능한 SFN(System Frame Number)을 동기화하여 공격용 서브프레임의 주입 시간을 결정할 수 있다. 공격자는 합법적인 서브프레임을 정밀하게 오버쉐도잉하기 위해 합법적인 셀로부터 서브프레임 시작 시점을 결정하기 위한 서브프레임 타이밍과 프레임 번호와 관련하여 서브프레임을 주입할 시기를 결정하기 위한 SFN을 알아야 한다.
이에, 본 발명의 일 실시예에 따른 단계 S320은 동기화 신호(예를 들면, PSS/SSS)로부터 서브프레임 타이밍을 회득하며, 합법적인 셀의 MIB로부터 SFN을 획득할 수 있다. 이때, 채널 상태에 의한 시간이 지남에 따라 값이 달라지기 때문에 단계 S320은 서브프레임 타이밍과 업데이트된 SFN을 지속적으로 획득할 수 있다.
따라서, 도 5에 도시된 바와 같이, 본 발명의 일 실시예에 따른 오버쉐도잉 공격 방법은 서브프레임 타이밍과 SFN을 획득함으로써, 공격용 서브프레임의 전송 시간을 LTE 방송 메시지의 전송 시간과 정밀하게 동기화할 수 있게 된다.
다만 도 6에 도시된 바와 같이, 획득한 서브프레임 타이밍에서 전송된 공격용 서브프레임은 전파 지연으로 인해(합리적인 서브프레임과 관련하여) 약간의 타이밍 오프셋을 가지고 대상 기기(110)에 도착할 수 있다. 지연(d)은 피할 수 없지만(전파 지연은 공격자(130)가 헤아릴 수 없기 때문에) 그 영향은 미미하며, 이는 대상 기기(110)의 베이스밴드 프로세서가 이동성과 환경 영향으로 인한 지연을 보상하도록 설계되었기 때문이다. 보정할 수 있는 최대 지연은 대상 기기(110)의 베이스밴드 프로세서에 의존하기 때문에, 본 발명은 지연을 측정하기 위해 다음과 같은 실험을 실시하였다. 본 발명은 셀의 전송 각도가 120˚인 전형적인 3 섹터 셀 구성을 가정하며, 지연(d)은 공격자(130)와 대상 기기(110)가 호 양쪽 끝에 위치할 때 최대화되는 것을 확인하였다. 도시 환경에서 약 1.5km의 일반적인 셀 반지름에서 d = 8.66μs로 해석된다. 이에, 베이스밴드(Qualcomm 및 Exynos)가 서로 다른 두 장치에서 오프셋 허용오차를 측정했으며 허용오차는 최대 지연(즉, 8.66μs)보다 큰 것을 확인하였다.
다시 도 3을 참조하면, 본 발명의 일 실시예에 따른 오버쉐도잉 공격 방법은 주파수 동기화를 위해, 단계 S320은 캐리어 주파수 오프셋을 대상 기기에 해당 수준 이하로 유지하여 GPS 훈련된 오실레이터(GPS Disciplined Oscillator; GPSDO)를 이용하여 공격용 서브프레임의 작동 주파수를 결정할 수 있다.
무선 기기의 작동 주파수는 오실레이터에 의해 결정되는데, 오실레이터는 환경 영향(예를 들어, 온도)으로 인해 작동 중 발생하는 장치별 오프셋에 의해 불가피하게 어려움을 겪는다. 그러한 오실레이터의 불완전성은 무선 신호에 캐리어 주파수 오프셋으로 반영된다. 이에 따라서, 본 발명은 오버쉐도잉 공격의 신뢰성 있는 구현을 위해, 오프셋은 항상 대상 기기에서 해당 수준 이하로 유지시킨다.
LTE 표준은 매크로 기지국 용으로 ±50 ppb의 기지국 최소 주파수 정확도를 정의한다. 요건을 충족시키기 위해, LTE 이동 통신 기지국은 매우 정확한 오실레이터 및 정밀 시간 프로토콜, GPS와 같은 추가 증강 기술을 갖추고 있다. 이에 따라서, 본 발명의 일 실시예에 따른 오버쉐도잉 공격 방법은 주파수 오프셋을 적절한 수준으로 줄이기 위해 GPS 훈련된 오실레이터(GPSDO) 즉, oven-controlled 크리스탈 오실레이터(OCXO)를 사용한다. GPSDO는 ±25ppb의 충분한 정확도를 제공하며, 매우 안정적이다(GPS가 잠겼을 때 ±1ppb). 이는 최대 ±270Hz(오프셋이 75ppb인 3.6GHz에서)의 주파수 오프셋을 나타낸다.
단계 S330에서, 대상 기기로 전송되는 LTE 방송 메시지의 합법적인 서브프레임에 동기화된 공격용 서브프레임을 주입하여 전송한다.
LTE 다운링크는 1ms의 기간 동안 서브프레임 세분화로 예정되어 있다. 각 서브프레임은 기지국에 의해 별도로 인코딩되며, 대상 기기에 의해 디코딩된다. 도 4를 참조하면, 프레임 구조에서 공격자(130)는 LTE 이동 통신 기지국(120)에서 발송되는 합법적인 서브프레임(파란색)을 정확하게 오버쉐도우(overshadow)하는, 조작된 공격용 서브프레임(갈색)을 주입하여 대상 기기(110)에 전송하는 공격을 수행한다. 이와 같이, 본 발명의 일 실시예에 따른 오버쉐도우 공격 방법은 단계 S330에서 파란색의 합법적인 서브프레임에 시간 및 주파수 동기화된 주황색의 공격용 서브프레임을 주입하여 대상 기기로 전송한다.
서브프레임은 서로 독립적으로 해독되기 때문에 합법적인 서브프레임은 일반적으로 영향을 받지 않는다. 반면에, 주입된 공격용 서브프레임은 포함된 정보에 기초하여 서브프레임을 수신하고 디코딩한 대상 기기가 동작하도록 설계되며, 일반적으로 비정상적이거나 악의적인 동작, 즉 공격자가 의도한 행동을 발생시킨다. LTE 방송 메시지의 내재적 취약성은 공격자가 합법적으로 보이는 메시지(즉, 교활하게)를 이용하여 다양한 종류의 공격을 개시할 수 있게 한다.
도 7a 및 도 7b는 본 발명의 일 실시예에 따른 오버쉐도잉 공격과 가짜 기지국 공격의 신호 메시지를 도시한 것이다.
보다 상세하게는, 도 7a는 가짜 기지국 공격의 신호 메시지를 도시한 것이며, 도 7b는 본 발명의 일 실시예에 따른 오버쉐도잉 공격의 신호 메시지를 도시한 것이다.
가짜 기지국 공격은 셀룰러 네트워크에 대해 가장 흔히 사용되는 공격 중 하나이다. 가짜 기지국 공격에서 공격자(즉, 가짜 기지국(FBS))는 합법적인 셀보다 더 강한 신호를 전송함으로써 공격 대상인 대상 기기를 캠프 온(camp on)한다. 그런 다음 공격자는 보호되지 않지만 합법적으로 보이는 메시지를 대상 기기에 주입한다. 이러한 가짜 기지국 공격은 오버쉐도잉 공격과 비교할 때 다음과 같은 제한이 있다.
일반적으로 대상 기기는 가장 높은 전력으로 신호를 전송하는 셀을 선택하므로, 가짜 기지국은 높은 전력으로 신호를 대상 기기에 전송해야 한다. 또한, 공격 대상인 대상 기기가 가짜 기지국에 수용되는 경우, 가짜 기지국을 통해 서비스를 받을 수 없다.
또한, 일반적으로 가짜기지국은 합법적인 기지국으로 위장하도록 구성될 수 있다. 예를 들어 가짜 기지국은 합법적인 셀의 메시지와 동일한 MIB 및 SIB1/2 메시지를 방송하며, 합법적인 것과 구별할 수 없도록 하기 위해 동일한 PCI를 사용할 수 있다. 그럼에도 불구하고, 가짜 기지국은 몇 개의 감지용 서명을 가지고 있다. 첫째, 앞에서 논의한 바와 같이 가짜 기지국 공격은 가짜 기지국의 명확한 지표인 합법적인 셀보다 1,000배의 더 강한 전력을 사용한다(오버쉐도잉 공격의 약 두배). 둘째, 가짜 기지국이 합법적인 셀에서 캠프 온(camp on)하는 대상 기기를 유인할 때, 희생자는 반드시 셀 재선정 과정을 거쳐야 하며, 여기서 공격 대상인 대상 기기는 도 7a에 도시된 바와 같이 가짜 기지국으로부터 MIB와 SIB1/2 메시지를 읽는다. 셋째, 가짜 기지국의 운용은 실제 기지국에 비해 물리적 능력이 제한되어 있어 합법적인 운용과는 크게 다를 수 있다. 이러한 운용 특성은 저비용 하드웨어로 인해 큰 주파수 오프셋과 같은 서로 다른 무선 주파수(Radio Frequency; RF) 속성에 더하여 상대적으로 낮은 페이징 속도를 포함한다. 마지막으로, 가짜 기지국은 대상 기기와의 보안 연결을 설정하거나 대상 기기와 네트워크(즉, MME) 사이의 전송 보호 NAS(Non Access Stratum) 메시지를 전송할 수 없으며, 이는 대상 기기에 대한 서비스 거부를 초래한다. 따라서, 대상 기기가 가짜 기지국을 감지할 수 있을 가능성이 매우 높다. 한편, 오버쉐도잉 공격의 메커니즘은 공격 대상인 대상 기기와 현재 셀 사이의 동기화를 방해하지 않고 특정 방송 메시지를 정밀하게 오버쉐도우(overshadow)하는 것이다. 따라서, 도 7b에 도시된 바와 같이, 대상 기기는 셀 재선택을 수행하거나 셀 고유 파라미터를 재구성하지 않는다. 이에, 오버쉐도잉 공격을 받는 대상 기기는 합법적인 LTE 이동 통신 기지국(eNB) 및 이동성 관리 장비(Mobility Management Entity; MME)와 보안 신호 연결을 유지한다.
도 8a 및 도 8b는 본 발명의 일 실시예에 따른 추적 영역 업데이트 절차에 대한 일반 및 공격 사례를 도시한 것이며, 도 9는 본 발명의 일 실시예에 따른 SIB1 스푸핑(spoofing)에 의해 생성된 추적 영역 업데이트(TAU) 요청 메시지의 예를 도시한 것이다.
보다 상세하게는, 도 8a는 일반적인 추적 영역 업데이트(Tracking Area Update, TAU) 절차를 도시한 것이며, 도 8b는 본 발명의 일 실시예에 따른 오버쉐도잉(SigOver) 공격 시, 추적 영역 업데이트(Tracking Area Update, TAU) 절차를 도시한 것이다.
대상 기기가 새로운 셀로 이동할 때, 대상 기기는 새로운 셀로부터 SIB1에 포함된 추적 지역 코드(Tracking Area Code; TAC)를 검색하고 대상 기기의 TAI(TA identity) 목록을 사용하여 검증한다. TAC가 대상 기기의 TAC 목록에 포함되지 않은 경우, 대상 기기는 업데이트된 TAC를 LTE 네트워크에 알리기 위한 TAU(Tracking Area Update) 절차를 개시한다. 이에, 오버쉐도잉(SigOver) 공격은 유효하지 않은 TAU를 반복적으로 트리거하여 신호 스톰(storm)을 유발한다.
도 8a 및 도 8b를 참조하면, 일반적인 동작과 비교했을 때의 공격 과정을 나타낸다. 공격자(Attacker)는 먼저 system_Info_Modification 필드 집합이 참으로 설정된 페이징 메시지를 오버쉐도우(overshadow)하여 대상 기기(US)가 SIB1을 읽도록 한다. 그 후 SIB1은 스푸핑된 TAC를 사용하여 오버쉐도우(overshadow)되며, TAU로 이어진다. TAU 요청 메시지는 오버쉐도잉(SigOver) 공격이 대상 기기(UE)와 합법적인 이동 통신 기지국(eNB) 사이의 무선 연결을 보존하기 때문에 합법적인 이동 통신 기지국(eNB)으로 향한다는 점에 유의해야 한다. 이 절차를 반복하면 LTE 네트워크에 신호 스톰이 발생하나 반대로, 정상적인 상황에서, TAU는 대상 기기가 TAI 목록에 포함되지 않은 다른 TA로 이동할 때마다 한 번만 수행된다.
도 9를 참조하면, 단일 대상 기기가 초당 평균 7개의 TAU 절차를 수행한다는 것을 보여주는데, 이 절차는 공격이 없으면 정상적인 조건에서 수행될 가능성이 없다. 더욱이, 대상 기기 측 신호 메시지는 공격에 의한 네트워크의 행동을 더 잘 이해하기 위해 분석되었다. 공격대상 대상 기기가 스푸핑된 TAC로 TAU를 수행할 때(TAC 값의 타당성과 무관하게), 네트워크는 합법적인 등록 동안에 이전에 제공된 TAC의 동일한 목록을 반환한다. 즉, TAC의 목록은 여전히 공격대상 대상 기기의 스푸핑된 TAC를 포함하지 않는다. 따라서 공격자로부터 SIB1 메시지를 수신한 후 공격대상 대상 기기는 반복적으로 TAU를 수행한다.
도 10a 및 도 10b는 본 발명의 일 실시예에 따른 SIB2 메시지의 액세스 제어 기능의 예를 도시한 것이다.
보다 상세하게는, 도 10a는 기본 SIB2 메시지를 도시한 것이며, 도 10b는 악성 SIB2 메시지를 도시한 것이다.
셀룰러 네트워크는 네트워크에 접속할 수 있는 대상 기기의 수를 제어한다. 이는 트래픽의 양을 관리하고, 재해와 같은 특정 조건에서 네트워크의 안정성을 유지하기 위한 것이다. 제어는 SIB2의 BarringFactor 파라미터를 사용하여 실현되며, 오버쉐도잉(SigOver) 공격에 의해 이용되어 대상 기기를 차단한다. BarringFactor를 오버쉐도잉 공격에 의해 0으로 설정하면, 공격자는 모든 데이터 트래픽과 대상 기기(즉, 모바일 유래)로부터의 신호를 제한할 수 있으며, 이는 DoS로 이어진다.
도 10a 및 도 10b는 합법적인 서브프레임의 기본 SIB2와 비교하여 조작된 공격용 서브프레임에서 악의적인 SIB2의 구성을 나타낸다.
오버쉐도잉(SigOver) 공격은 공격의 영향을 극대화하기 위해 BarringTime을 표준에 따른 최대값인 512초로 설정한다. 이에, 공격자가 나머지 BarringTime 내에서 공격을 반복할 경우 BarringTime을 새로 고칠 수 있으므로 지속적인 DoS를 달성할 수 있다는 점에 유의한다. 조작된 공격용 서브프레임을 적절히 주입하려면(신호 스톰과 유사하게), 공격자는 먼저 system_Info_Modification을 사용하여 페이징 메시지를 오버쉐도우(overshadow)한다. 그 후, SFN을 추출하기 위해 합법적인 SIB1을 엿듣고, 그로부터 공격자는 오버쉐도잉(overshadowing)을 위해 다음 SIB2의 스케줄을 얻을 수 있다. 이 공격의 잠재적 확장은 대상 서비스(예: 음성통화, 화상회의, SMS)만을 선택적으로 차단하는 서비스별 DoS이다.
도 11은 본 발명의 일 실시예에 따른 오버쉐도잉 공격 후 채널 추정 크기의 변동에 대한 실험 결과를 도시한 것이다.
통신 이론에 따르면, 무선 채널은 파장의 4분의 1만 이동할 경우 크게 달라지는데, 2.1GHz LTE의 경우 3.57cm이다. 이를 채널 다양성이라고 하며, 다른 위치에 있을 것으로 예상되는 공격자 및 공격 대상인 대상 기기에 적용 가능성이 크다. 즉, 공격자와 대상 기기 사이의 무선 채널이 LTE 이동 통신 기지국(eNB)과 대상 기기 사이의 무선 채널과 상이할 가능성이 높다. 따라서 공격자와 대상 기기 사이의 채널을 반영하는 공격 신호의 주입은 (공격 없이) 합법적인 서브프레임만 존재할 때 대상 기기에서 복구된 채널 정보를 자연스럽게 이탈하게 한다. 즉, 채널에서 그러한 변화를 감지하는 것이 방어 기법으로 작용할 수 있다는 것이다.
무선 채널은 전통적으로 복잡한 표현 H으로 나타낼 수 있다. 규모 |H|는 신호전력이 얼마나 효율적으로 전달되는가에 따라 각기 다른 무선 채널을 고유하게 규정한다. 따라서, |H|의 갑작스러운 변화는 오버쉐도잉(SigOver) 공격을 감지하는 효과적인 측정지표가 될 수 있다.
도 11a를 참조하면, 공격자가 대상 기기로부터 2m 떨어진 곳에 위치한 LOS(Line of sight) 설정에서 실험 중 측정한 주입된 서브프레임 9의 |H|와 합법적인 신호를 나타낸다. 이는 공격이 발생할 때 |H|의 심한 변동이 나타나는 것을 알 수 있다.
도 11b를 참조하면, 주입된 신호의 전원이 낮았을 때 NLOS(Non-line of sight) 설정에서 감지 실패의 예를 보여준다. 즉, H에 대한 공격 신호의 영향은 에너지가 감소함에 따라 점차 소멸되어 감지가 어려운 지점까지 내려간다.
도 11c를 참조하면, LOS 설정(강력한 주입 신호)에서와 달리 NLOS 설정에서 상관관계의 하락이 모호했던 이 과제를 명확히 보여준다. 이에 따라서, 채널을 활용하는 것은 향후 작업으로서 견고한 기법의 설계를 남기는 잠재적인 해결책이 될 수 있다.
도 12는 본 발명의 일 실시예에 따른 오버쉐도잉 공격 시스템의 세부 구성을 블록도로 도시한 것이다.
도 12를 참조하면, 본 발명의 일 실시예에 따른 오버쉐도잉 공격 시스템(1200)은 공격 대상인 대상 기기에 조작된 방송 신호를 주입하는 오버쉐도잉 공격을 수행한다.
이를 위해, 본 발명의 일 실시예에 따른 오버쉐도잉 공격 시스템(1200)은 서브프레임 처리부(1210), 동기화부(1220) 및 전송부(1230)를 포함한다.
서브프레임 처리부(1210)는 공격 대상인 대상 기기의 물리적 구성 정보를 식별하며, 대상 기기로 전송되는 LTE 방송 메시지의 서브프레임에 대한 물리적 다운링크 공유 채널(Physical Downlink Shared CHannel, PDSCH), 물리적 다운링크 제어 채널(Physical Downlink Control CHannel; PDCCH) 및 물리적 제어 포맷 지표 채널(Physical Control Format Indicator CHannel, PCFICH)을 조작하여 공격용 서브프레임을 형성한다.
본 발명의 일 실시예에 따르면, 공격 대상인 대상 기기에서 성공적으로 해독될 수 있는 서브프레임을 제작하며, 서브프레임 처리부(1210)는 공격용 서브프레임의 구조를 결정하기 위해 먼저 공격 대상인 대상 기기가 캠핑(camping)하고 있는 합법적인 셀의 물리적 구성을 식별해야 한다. 유효한 서브프레임 구성에 필요한 물리적 구성 정보는 물리계층 Cell ID(Physical-layer Cell ID; PCI), 채널 대역폭, PHICH(Physical HybridARQ Indicator CHannel) 및 전송 방식(또는 안테나 포트 수) 중 적어도 어느 하나 이상을 포함할 수 있다. 상기 물리적 구성 정보는 공격자가 동일한 합법적인 셀에 수용한 후에 공격자가 이용할 수 있다. 특히, 물리계층 Cell ID는 PSS/SSS로부터 계산되며, 채널 대역폭, PHICH 및 전송 방식은 마스터 정보 블록(Master Information Block; MIB)으로부터 획득될 수 있다. 더욱이, 공격자는 공격용 서브프레임의 주입 시간을 결정하기 위해 MIB에서도 이용할 수 있는 합법적인 셀의 시스템 프레임 번호(System Frame Number; SFN)와 동기화해야 한다.
LTE에서 대상 기기는 LTE 방송 메시지를 읽을 때, 서브프레임으로부터 제어 채널 구조를 포함하는 제어 형식 표시기(Control Format Indicator; CFI), 메시지에 할당된 리소스(즉, 리소스 블록)을 포함하는 다운링크 제어 정보(Downlink Control Information; DCI), 및 메시지 자체를 포함하는 리소스 블록(Resource Block; RB)을 해독한다. 이에 따라서, 서브프레임 처리부(1210)는 대상 기기에서 디코딩되는 제어 형식 표시기(Control Format Indicator; CFI), 다운링크 제어 정보(Downlink Control Information; DCI) 및 리소스 블록(Resource Block; RB)의 각 정보를 포함하는 물리적 다운링크 공유 채널(PDSCH), 물리적 다운링크 제어 채널(PDCCH) 및 물리적 제어 포맷 지표 채널(PCFICH)의 서브프레임을 조작하여 공격용 서브프레임을 제작할 수 있다. 이때, 제어 형식 표시기(CFI) 및 다운링크 제어 정보(DCI)는 각각 물리적 제어 포맷 지표 채널(PCFICH)와 물리적 다운링크 제어 채널(PDCCH)를 통해 전송되며, 메시지는 물리적 다운링크 공유 채널(PDSCH)을 통해 전송된다.
전술한 값을 포함하는 서브프레임은 채널 추정 오류로 인해 대상 기기에서 올바르게 해독되지 않을 수 있다. 대상 기기는 합법적인 LTE 이동 통신 기지국(eNB)에 의해 전송된 기준 신호(RS)로부터 채널을 추정하지만, 추정 결과는 주입된 서브프레임을 정확하게 해독하기에 부적절할 수 있다. 이에 따라서, 본 발명의 일 실시예에 따른 서브프레임 처리부(1210)는 공격용 서브프레임에 기준 신호(Reference Signal)를 포함시켜 오버쉐도잉 공격의 견고성을 향상시킬 수 있다.
동기화부(1220)는 LTE 방송 메시지에 따라 공격용 서브프레임의 시간 영역 및 주파수 영역을 동기화한다.
본 발명의 일 실시예에 따른 오버쉐도잉 공격은 조작된 서브프레임이 시간과 주파수 영역 모두에서 합법적인 신호와 정확히 겹치도록 해야 하므로, 공격용 서브프레임의 시간 영역 및 주파수 영역의 동기화가 필요하다. 이에 따라서, 동기화부(1220)는 일정한 시간 간격에 따라 주기적으로 전송되는 이동 통신 기지국의 동기화 신호를 이용하여 시간 동기화를 수행하며, GPS 훈련된 오실레이터를 이용하여 주파수 동기화를 수행할 수 있다.
시간 동기화를 위해, 동기화부(1220)는 동기화 신호로부터 서브프레임 타이밍을 획득하고, 대상 기기의 합법적인 셀의 MIB(Master Information Block)에서 이용 가능한 SFN(System Frame Number)을 동기화하여 공격용 서브프레임의 주입 시간을 결정할 수 있다. 공격자는 합법적인 서브프레임을 정밀하게 오버쉐도잉하기 위해 합법적인 셀로부터 서브프레임 시작 시점을 결정하기 위한 서브프레임 타이밍과 프레임 번호와 관련하여 서브프레임을 주입할 시기를 결정하기 위한 SFN을 알아야 한다.
이에, 본 발명의 일 실시예에 따른 동기화부(1220)는 동기화 신호(예를 들면, PSS/SSS)로부터 서브프레임 타이밍을 회득하며, 합법적인 셀의 MIB로부터 SFN을 획득할 수 있다. 이때, 채널 상태에 의한 시간이 지남에 따라 값이 달라지기 때문에 동기화부(1220)는 서브프레임 타이밍과 업데이트된 SFN을 지속적으로 획득할 수 있다.
주파수 동기화를 위해, 동기화부(1220)는 캐리어 주파수 오프셋을 대상 기기에 해당 수준 이하로 유지하여 GPS 훈련된 오실레이터(GPS Disciplined Oscillator; GPSDO)를 이용하여 공격용 서브프레임의 작동 주파수를 결정할 수 있다.
전송부(1230)는 대상 기기로 전송되는 LTE 방송 메시지의 합법적인 서브프레임에 시간 및 주파수가 동기화된 공격용 서브프레임을 주입하여 대상 기기로 전송한다.
비록, 도 12 시스템에서 그 설명이 생략되었더라도, 본 발명에 따른 시스템은 상기 도 1 내지 도 11에서 설명한 모든 내용을 포함할 수 있다는 것은 이 기술 분야에 종사하는 당업자에게 있어서 자명하다.
이상에서 설명된 시스템 또는 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(Field Programmable Gate Array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (15)

  1. LTE 방송 메시지에 대한 물리적 신호 오버쉐도잉 공격 방법에 있어서,
    공격 대상인 대상 기기의 물리적 구성 정보를 식별하며, 상기 대상 기기로 전송되는 LTE 방송 메시지의 서브프레임에 대한 물리적 다운링크 공유 채널(Physical Downlink Shared CHannel, PDSCH), 물리적 다운링크 제어 채널(Physical Downlink Control CHannel; PDCCH) 및 물리적 제어 포맷 지표 채널(Physical Control Format Indicator CHannel, PCFICH)을 조작하여 공격용 서브프레임을 형성하는 단계;
    상기 LTE 방송 메시지에 따라 상기 공격용 서브프레임의 시간 영역 및 주파수 영역을 동기화하는 단계; 및
    상기 대상 기기로 전송되는 상기 LTE 방송 메시지의 합법적인 서브프레임에 상기 동기화된 공격용 서브프레임을 주입하여 전송하는 단계
    를 포함하는 오버쉐도잉 공격 방법.
  2. 제1항에 있어서,
    상기 공격용 서브프레임을 형성하는 단계는
    상기 대상 기기의 합법적인 셀의 상기 물리적 구성 정보를 식별하여 상기 공격용 서브프레임의 구조를 결정하며,
    상기 물리적 구성 정보는
    물리계층 Cell ID(Physical-layer Cell ID; PCI), 채널 대역폭, PHICH(Physical HybridARQ Indicator CHannel) 및 전송 방식 중 적어도 어느 하나 이상을 포함하는, 오버쉐도잉 공격 방법.
  3. 제1항에 있어서,
    상기 공격용 서브프레임을 형성하는 단계는
    상기 대상 기기에서 디코딩되는 제어 형식 표시기(Control Format Indicator; CFI), 다운링크 제어 정보(Downlink Control Information; DCI) 및 리소스 블록(Resource Block; RB)의 각 정보를 포함하는 물리적 다운링크 공유 채널(PDSCH), 물리적 다운링크 제어 채널(PDCCH) 및 물리적 제어 포맷 지표 채널(PCFICH)의 서브프레임을 조작하여 상기 공격용 서브프레임을 제작하는, 오버쉐도잉 공격 방법.
  4. 제3항에 있어서,
    상기 공격용 서브프레임을 형성하는 단계는
    상기 공격용 서브프레임에 기준 신호(Reference Signal)를 포함하는 것을 특징으로 하는, 오버쉐도잉 공격 방법.
  5. 제1항에 있어서,
    상기 동기화하는 단계는
    일정한 시간 간격에 따라 주기적으로 전송되는 이동통신 기지국의 동기화 신호를 이용하여 시간 동기화를 수행하며, GPS 훈련된 오실레이터를 이용하여 주파수 동기화를 수행하는, 오버쉐도잉 공격 방법.
  6. 제5항에 있어서,
    상기 동기화하는 단계는
    상기 동기화 신호로부터 서브프레임 타이밍을 획득하고, 상기 대상 기기의 합법적인 셀의 MIB(Master Information Block)에서 이용 가능한 SFN(System Frame Number)을 동기화하여 상기 공격용 서브프레임의 주입 시간을 결정하는 것을 특징으로 하는, 오버쉐도잉 공격 방법.
  7. 제5항에 있어서,
    상기 동기화하는 단계는
    캐리어 주파수 오프셋을 상기 대상 기기에 해당 수준 이하로 유지하여 상기 GPS 훈련된 오실레이터를 이용하여 상기 공격용 서브프레임의 작동 주파수를 결정하는 것을 특징으로 하는, 오버쉐도잉 공격 방법.
  8. LTE 방송 메시지에 대한 물리적 신호 오버쉐도잉 공격 방법에 있어서,
    공격 대상인 대상 기기의 물리적 구성 정보를 식별하여 공격용 서브프레임의 구조를 결정하는 단계;
    상기 대상 기기로 전송되는 LTE 방송 메시지의 서브프레임에 대한 물리적 다운링크 공유 채널(Physical Downlink Shared CHannel, PDSCH), 물리적 다운링크 제어 채널(Physical Downlink Control CHannel; PDCCH) 및 물리적 제어 포맷 지표 채널(Physical Control Format Indicator CHannel, PCFICH)을 조작하여 상기 공격용 서브프레임을 형성하는 단계;
    상기 LTE 방송 메시지에 따라 상기 공격용 서브프레임의 시간 영역 및 주파수 영역을 동기화하는 단계; 및
    상기 대상 기기로 전송되는 상기 LTE 방송 메시지의 합법적인 서브프레임에 상기 동기화된 공격용 서브프레임을 주입하여 전송하는 단계
    를 포함하는 오버쉐도잉 공격 방법.
  9. LTE 방송 메시지에 대한 물리적 신호 오버쉐도잉 공격 시스템에 있어서,
    공격 대상인 대상 기기의 물리적 구성 정보를 식별하며, 상기 대상 기기로 전송되는 LTE 방송 메시지의 서브프레임에 대한 물리적 다운링크 공유 채널(Physical Downlink Shared CHannel, PDSCH), 물리적 다운링크 제어 채널(Physical Downlink Control CHannel; PDCCH) 및 물리적 제어 포맷 지표 채널(Physical Control Format Indicator CHannel, PCFICH)을 조작하여 공격용 서브프레임을 형성하는 서브프레임 처리부;
    상기 LTE 방송 메시지에 따라 상기 공격용 서브프레임의 시간 영역 및 주파수 영역을 동기화하는 동기화부; 및
    상기 대상 기기로 전송되는 상기 LTE 방송 메시지의 합법적인 서브프레임에 상기 동기화된 공격용 서브프레임을 주입하여 전송하는 전송부
    를 포함하는 오버쉐도잉 공격 시스템.
  10. 제9항에 있어서,
    상기 서브프레임 처리부는
    상기 대상 기기의 합법적인 셀의 상기 물리적 구성 정보를 식별하여 상기 공격용 서브프레임의 구조를 결정하며,
    상기 물리적 구성 정보는
    물리계층 Cell ID(Physical-layer Cell ID; PCI), 채널 대역폭, PHICH(Physical HybridARQ Indicator CHannel) 및 전송 방식 중 적어도 어느 하나 이상을 포함하는, 오버쉐도잉 공격 시스템.
  11. 제9항에 있어서,
    상기 서브프레임 처리부는
    상기 대상 기기에서 디코딩되는 제어 형식 표시기(Control Format Indicator; CFI), 다운링크 제어 정보(Downlink Control Information; DCI) 및 리소스 블록(Resource Block; RB)의 각 정보를 포함하는 물리적 다운링크 공유 채널(PDSCH), 물리적 다운링크 제어 채널(PDCCH) 및 물리적 제어 포맷 지표 채널(PCFICH)의 서브프레임을 조작하여 상기 공격용 서브프레임을 제작하는, 오버쉐도잉 공격 시스템.
  12. 제11항에 있어서,
    상기 서브프레임 처리부는
    상기 공격용 서브프레임에 기준 신호(Reference Signal)를 포함하는 것을 특징으로 하는, 오버쉐도잉 공격 시스템.
  13. 제9항에 있어서,
    상기 동기화부는
    일정한 시간 간격에 따라 주기적으로 전송되는 이동통신 기지국의 동기화 신호를 이용하여 시간 동기화를 수행하며, GPS 훈련된 오실레이터를 이용하여 주파수 동기화를 수행하는, 오버쉐도잉 공격 시스템.
  14. 제13항에 있어서,
    상기 동기화부는
    상기 동기화 신호로부터 서브프레임 타이밍을 획득하고, 상기 대상 기기의 합법적인 셀의 MIB(Master Information Block)에서 이용 가능한 SFN(System Frame Number)을 동기화하여 상기 공격용 서브프레임의 주입 시간을 결정하는 것을 특징으로 하는, 오버쉐도잉 공격 시스템.
  15. 제13항에 있어서,
    상기 동기화부는
    캐리어 주파수 오프셋을 상기 대상 기기에 해당 수준 이하로 유지하여 상기 GPS 훈련된 오실레이터를 이용하여 상기 공격용 서브프레임의 작동 주파수를 결정하는 것을 특징으로 하는, 오버쉐도잉 공격 시스템.
KR1020200175251A 2019-12-17 2020-12-15 Lte 방송 메시지에 대한 물리적 신호 오버쉐도잉 공격 방법 및 시스템 KR102515232B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US17/124,634 US11405787B2 (en) 2019-12-17 2020-12-17 Physical signal overshadowing attack method for LTE broadcast message and the system thereof

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020190168502 2019-12-17
KR20190168502 2019-12-17

Publications (2)

Publication Number Publication Date
KR20210077616A true KR20210077616A (ko) 2021-06-25
KR102515232B1 KR102515232B1 (ko) 2023-03-30

Family

ID=76629199

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200175251A KR102515232B1 (ko) 2019-12-17 2020-12-15 Lte 방송 메시지에 대한 물리적 신호 오버쉐도잉 공격 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR102515232B1 (ko)

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Syed Rafiul Hussain, Omar Chowdhury, Shagufta Mehnaz, and Elisa Bertino. LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE. In Proceedings of the Network and Distributed Systems Security (NDSS), 2018.
양호준 석사학위논문 ‘LTE 물리계층 보안에 관한 연구’(2019.02.28.)* *

Also Published As

Publication number Publication date
KR102515232B1 (ko) 2023-03-30

Similar Documents

Publication Publication Date Title
Yang et al. Hiding in plain signal: Physical signal overshadowing attack on {LTE}
US10674360B2 (en) Enhanced non-access stratum security
EP2345277B1 (en) Verifying neighbor cell
Jover LTE security, protocol exploits and location tracking experimentation with low-cost software radio
US9813910B2 (en) Prevention of replay attack in long term evolution device-to-device discovery
US11070981B2 (en) Information protection to detect fake base stations
US20100304748A1 (en) Apparatus and Method for Handover in a Communication System
WO2020092751A1 (en) Data-aided sidelink synchronization for nr v2x communication
US20210111902A1 (en) System information protection at a network function in the core network
Palamà et al. IMSI Catchers in the wild: A real world 4G/5G assessment
US20220086636A1 (en) Access point authentication based on a digital certificate
KR20220082836A (ko) 무선 네트워크에서 기지국이 제뉴인인지 루즈인지 결정하기 위한 방법 및 사용자 단말
WO2008153284A2 (en) Method for providing confidentiality protection of control signaling using certificate
Ludant et al. SigUnder: A stealthy 5G low power attack and defenses
CN116325847A (zh) 用于认证主站的方法和设备
US11405787B2 (en) Physical signal overshadowing attack method for LTE broadcast message and the system thereof
KR102515232B1 (ko) Lte 방송 메시지에 대한 물리적 신호 오버쉐도잉 공격 방법 및 시스템
Palamà et al. The diverse and variegated reactions of different cellular devices to IMSI catching attacks
Mjølsnes et al. Experimental Assessment of Private Information Disclosure in LTE Mobile Networks.
Olimid et al. On LowCost Privacy Exposure Attacks in LTE Mobile Communication
CN112805956B (zh) 用于侧行链路同步的方法、装置以及计算机可读存储介质
Ross et al. Towards Simultaneous Attacks on Multiple Cellular Networks
Li et al. The Dark Side of Scale: Insecurity of Direct-to-Cell Satellite Mega-Constellations
Shaik Towards secure 4G and 5G access network protocols
Ludant et al. Unprotected 4G/5G Control Procedures at Low Layers Considered Dangerous

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right