0 引言
在物联网技术大规模应用的今天,纵观应用领域涉及到的信息安全、网络安全、系统安全等方面的问题非常普遍。物联通信之间的开放性给物联网黑客们带到了一个前所未有的天堂。
物联网黑客通过空中技术侦察手段截取通信信息流,破解物联网络的通信接口协议,采取信息伪装、顶替、复制种种方式进入网络,在消费者不知情的情况下获得非法利益。对其应用系统安全造成巨大威胁。
物联网中的通信技术、编解码技术、嵌入式系统应用技术对信息安全提出了更高的要求。我们在推进物联网广泛应用的同时,需要在信息安全保障上做到防患未然。在设计、生产过程中不仅仅达到基本功能的实现,更多的是要关注系统的各项指标是否满足信息安全的要求,系统是否处在在安全的应用应用状态。
本文通过某高速路桥RFID收费系统信息被破解的过程,深入分析其物联网黑客所用的技术手段、方法和实现。从中增强对物联网产品信息安全防护的设计理念,在频谱管理、信源编码、通信协议、安全认证、系统抗毁等方面整体提高信息安全的门栏,保障物联网健康安全的发展。
1对读写设备的无线电频谱侦察
在使用射频电子识别的众多应用场合,为了充分、合理、有效地利用无线电频谱资源国家对其工作频段做了规定。目前市场应用较多的射频电子识别(RFID) 产品的工作频率有:125kHz,133kHz,13.56MHz,433MHz,862~928MHz,2.45GHz,5.8GHz等,其频谱分布、应用范围及所遵循的协议有着具体的划分。通常情况下物联网黑客根据用户的应用情况可轻易获取如下信息:
⑴从用户电子标签应用的场合得到频谱侦察范围;
⑵从用户所持有的电子标签得到可重复进行实验的样本;
⑶从电子标签读写器安装位置确定电磁测试方位、区域;
⑷从产品的宣传信息得到目标功能的技术指标;
物联网黑客针对上述情况实施情报收集与技术侦察,其行为具有隐蔽性。在对目标实施攻击前,目前尚未明确的法律条文对其行为进行约束、禁止。需要引起我们有关部门的重视。
下面我们通过路桥RFID收费系统案例来分析物联网黑客的技术手段,从中审视我们的信息安全。
物联网黑客以正常过往车辆的身份,进入某高速路桥车辆电子识别收费通道。
该通道的读写器位于车辆的前上方,车行通道长度20米,车辆限行速度不超过20公里/小时。这意味着进入通道的车辆至少有3.6秒钟的时间。此时,车辆前方可无遮挡的接收来自读写器天线发射的电磁波。沿通道路径使用频谱分析仪可迅速接收到读写设备的天线所辐射的能量,得到读写器工作的频谱范围和载波的中心频率如见图1
图1 通过频谱分析仪测试得到载波中心频率在915.9MHz
车辆上载有一台频谱分析仪和通用数字存储示波器,完成对读写器射频频谱信号的采样流、存储。通过分析得到如下信息:
这是一个中心频率为915.9MHz的载波发射装置,频谱在以中心频率两边15MHz的频域内没有发生其他活动的频率,读写器天线功率辐射(e.r.p)大于33dBm, 且旁辦很小;
载波频率在车辆进入通道中移动的前后5秒的时间段内没发生中断,载波是持续单频的,表明读写装置并没采用跳频通信方式;
这给物联网黑客进入系统提供了信息跟踪的条件,在一个频点上可得到完整的信息交换,而多个完整的信息的交换势必体现其调制方式和编码特征。物联网黑客用模拟载波来激励电子标签,探测电子标签的应答信息,进而得到其调制方式,打开了系统安全的第一道门锁。
2 实现对接收信号的相关解调
在完成读写设备的频谱侦察后,解调出物联间的通信的基带信号是物联网黑客追逐的高等级目标。得到基带信号就给信源编码分析奠定了基础,继而实现完整的信息内容的破解。
为达到上述目的物联网黑客采取如下手段:
⑴剖析电子标签
该系统使用的车载电子标签,具有防水、密封、使用期限十年以上的特性,它的外部没有任何与内部电路相关联的接线、接口。这说明它是一款无源的与读写器相配套的UHF频段的电子标签。
无源电子标签最显著的特征是它工作的能源是靠外部提供,也就是依靠读写器发出的载波能量,经过电子标签内部的整流电路转换,为电子标签提供内部的工作电源。
无源电子标签利用了读写器的载波电磁辐射所提供的能源,同时把自己的信息反向辐射出去。电子标签向读写器传递信息并没有没有改变载波频率,其微弱的辐射能量在频谱上很难观察,需要把电子标签的反射信号通过天线接收,低噪声放大进入信息解调通道。
无源电子标签由于受存储空间的限定大多没有加密体系,即便有些信息变换也是简密,其重复周期很短。
以上无源电子标签的特性决定了无源电子标签就是一个低密级别的信息反馈体,同种类的标签遵循相同的信息反馈规则,只要给标签提供能量,标签就发送自己的应答信息帧,并可重复进行相同的操作。
上述分析认定:这是一个读写器主动问询标签,标签得到读写器载波提供的能量后,被动向上应答的系统。对于物联网黑客来说其破译的基础条件充分具备。
在现实经济活动中,电子标签、读写器产品是商品,而使用这些商品搭建起来的应用平台绑定着用户各种信息,这意味着风险的普遍性。
⑵根据侦察结果确立解调算法:
要得到基带信号首先是去掉载波信号。使用希尔伯特变换对接收的信号进行正交相关的乘法操,得到I,Q两路信号。通过低通滤波器滤掉关于载波的二次谐波成份,然后隔离直流分量,并对其I,Q两路信号进行平方和的运算。此后得到的是基带信号的平方和,再对其进行平方根运算,形成的数据流即为基带信息。
这里注意到读写器发出的载波信号与电子标签返回的信号间的相互关系,做如下设定:
结合以上算法使用EDA工具组合单元电路,并对其功能进行仿真。如图3 。
图2 正交相关解调的电路模块功能仿真
载波信号与电子标签ID的射频信号通过天线、经LNA低噪声放大进入下变频器;在下变频信号与LO进行正交相关运算,将高次谐波滤掉。其接收端硬件解调器框图见图3。
图3 正交相关解调器框图
经过对反射信号的信息解调,电子标签射频信号的载波被滤除,流中的基带信息被还原,见图4。
图4 下变频-低通滤波后的基带信号
此后,对基带信号做进一步的滤波、整形、码元识别处理,形成干净的数据流。这部分工作由DSP/FPGA,或单片机来完成。处理后的数据流见图5.
图5 处理后的数据流信息(CH2)
至此完成了电子标签信息发射信息的解调。接下来物联网黑客将着手进行信号规格的分析。
3 完成通信信号规格的分析
电子标签的应用在我国已经有十多年的历史了,随着RFID在金融、交通、物流、医疗等领域的应用, 个人的隐私和财产信息与电子识别系统相互绑定、关联。解读电子标签信息无疑会给物联网黑客带来不菲的利益,成了物联网黑客追逐的目标。
读写器、标签执行标准的公开化,产品生产的社会化给了物联网黑客太多的机会。通过技术手段得到电子标签的信息,从容地占用你的私有资源,千里之外如囊中取物一样的打开你的电子钱包来消费,如今已不是神话与魔法。
无论采用哪种方式来解读电子标签,其目的是解析出电子标签的数据帧格式。包括起始标识,同步标识,数据段长度,校验方式、握手规则。也就是我们常说的接口协议。物联网黑客采用的方法主要有:
⑴手工作业
利用电子标签反射信息的不变性,使用数据存储示波器积累捕捉数据波形,把波形打印或照相拼接,组成完整周期的数据波形。使用分规测量出波形序列中最小的脉宽单位,从首码开始,测量波形,识别、标注波形代码,直至波形序列结束。
观察同类型、同批次的电子标签波形信息,对比信息出现的位置与变化,利用已知的、常用的信道编码,信源编码体系去判读,旁证,找出规律。
通过波形图分析,得到数据帧长度,码元宽度,起始标志,结束标志。
⑵程序作业
①首先是数据流特征识别。判断当前数据帧与已知的数据帧格式是否一致。读取多个标签的数据流信息,找出数据帧的基本格式。
②运用已知编码,判读电子标签信息。得到程序识读的信息。给现实验证提供素材。
③遍历数据帧的起始位,判读CRC的数值,验证某CRC生成多项式是否成立,解析出数据帧信道编码格式。
我们看一下通过空中侦察接收解调后的电子标签基带信号流。见图5
图5 解调处理后的基带信号流
显而易见,这种编码在一个码元的时间片里,通过一个时钟脉冲上升沿所出现的位置来表达信息。按此规律可读取电子标签所反射的的信息流。见图6
图6 电子标签反射的信息流
多个同批次的标签读出的数据表明:每个电子标签反射的其前11位(44bit}是不变的,
表明电子标签在信道中按统一格式封装了信息,这11位信息标识着信息帧的开始。如果这组信息在传输中发生错误或信息不完整,不具有这传输种格式,那么这组数据不会被读写器识别,也即读写器认定一个数据帧的开始,必须具有前11个数据做为信息帧标识。可以推出,对后面对数据进行校验时不包括前导识别码。将上述信息流特征归纳如下:
⑴ 通信信道编码 :
使用位置编码,每位信息位占用4个时间片,每片时间为1us。
其中:
脉冲序列 1000 h 为信息1;
脉冲序列 0010 h 为信息0;
信息帧首部的固定信息为:0000 0000 XX1,
XX 为低电平。
根据上述的分析,对两个电子标签进行识别,翻译成信息码如下:
信息码: 0580 0006 a5aa 7950 h (16进制) ;
信息码: 0580 0006 3aaa 3b5a h (16进制);
⑵ 数据帧格式:
去除相同的标识码,对比两个电子标签数据data1,data2,有:
Data1: 0580 0006 a5aa 7950 (16进制);
Data2 :0580 0006 3aaa 3b5a (16进制);
数据长度共64位,数据具有唯一性。进一步分析发现,不同批号的电子标签其数据变化的字节发生在数据帧的前16位。也就是说每个数据帧至少包含46位数据,其中包括校验码CRC。校验码监视这64位数据在传输过程中的差错。至此可以通过程序验证的方法,推算CRC的位置和可能的多项式。最终得到如下结果。见图7
图7 数据帧格式
其中:
EXT: 2bit 扩展位;
MAN: 4bit 制造商代码
CUST 10bit 用户代码;
UID: 32bit 序列号;
CRC: 16bit 校验码;
⑶ 完整的ID信息帧描述
ID:由8个起始信息码,3个同步码,64个数据信息码组成,将其记为 :
ST XX1 DATA ,其帧含有75个信息码元。每个信息码元位占4个时钟单位;
ST:为前导码,由8个连续的编码为“0”的信息组成 ,共占32个时钟单位时间,为程序进行帧同步提供起始标识 ;
XX1:为同步码,其中X为一个信息bit的低电平,“XX1”共占12个时钟单位时间;
DATA:数据字段,由64个信息码元构成。占256个时钟单位;
CRC 16 包含在DATA中,使用数据字段的最后的两个字节(16位),占64个时钟单位时间;
整个数据帧共75个信息码元,占用300us时间。
⑷程序验证数据帧CRC校验多项式
对CRC生成多项式G(X)=X^16+X^15+X^2+1进行使用甄别 ,验证在数据帧的CRC校验中是否遵循这个多项式,用程序方法遍历可能的多项式。结果表明,数据帧采用了CRC16校验。
至此,物联网黑客已完成了对这种类型读写器的空中接口协议的解析。可对标签信息接收、拷贝、加工、并冒名应答读写器取得其信任。
4 硬件实现要点分析
⑴微带收/发天线
电子标签反射的信号非常微弱,在传播过程中随路径的增加和传播介质的变化而衰落。这就需要在前端对信号进行相应的处理,首先是UHF频段高增益的天线。
在对RFID实施频谱侦察中黑客采用全向天线,而在针对读写器和标签进行信号发射/接收时则更多使用微带天线。这是由于在UHF频段的读写器天线大多受制造成本和应用场地的尺寸限制。
微带天线由导体薄片和介质基片背面的导体接地板构成天线,在UHF频带上有大量的应用。虽然微带天线频带窄,增益一般小于20dB,但在微带天线后端使用低噪声放大器LNA对接收信号进行放大,可以满足下变频对信号的需求。下面是一款接收中心频率为915MHz的微带天线,使用了两块FR4双面覆铜板制作,反射系数达28dB。见图9
图9 一款中心频率在915.3MHz的微带天线反射图
在实际信号侦察中将发送与接收天线分立,这样可以独立进行发送信道的功率控制和接收信号的增益调整。 采用双天线形式的信号解调框图见图10
图10 双天线形式信号解调框图
⑵使用频率合成器实现LO
LMX2531是一款低供电,高性能频率合成器。单芯片内完整的集成了△∑PLL和VCO及低噪声、低压差稳压器LDO,使其具有更高的噪声抑制性能和稳定性。在与高精度晶振配合使用时可产生非常稳定、低噪声的本地振荡信号(LO)。
LMX2531采用三线Microwire 接口方式,使用单片机就可对LMX2531内部的11个24位寄存器操作,装载LO的控制字。按要求改变LMX2531内部寄存器的状态,可在输出端得到预定规格的频率。这对于数据发送/接收中的上、下变频带来极大的方便,可针精确产生固定频率,也可伪随机改变频率实现跳频通信。 输出频率为915.3MHz时其内部寄存器的设置参数见图11。
图11 输出频率设置为915.3MHz时其内部寄存器的设置参数
LMX2531为36个引脚,采用LLP 封装,(6*6*0.8mm),外部连接非常简单。在做PCB时注意芯片的底面接地。运用LMX2531构成的LO见图12
图12 运用LMX2531构成的LO原理图
⑶射频功率放大器(RFPA)
HPMX-3002是一款低成本的集成电路功率放大器,既可以用来做射频发射电路的末级功率放大器,也可以做末级前端的驱动放大器。其工作范围在150~960MHz。
这款芯片的控制采用SO8的封装,使用起来很方便,广泛应用在GSM移动电话,ISM频段的射频小功率放大(1W)和低功率RFID读写器的功率驱动器上。该芯片的输出阻抗ZO = 50 欧姆,通过微带线匹配,芯片文档提供了较完整的S参数数据表。
HPMX-3002通过引脚5的直流电压实现对输出功率的控制,调整后两级的增益,范围达50dB。控制端的输入电压0至2.5V,频率在800至1000MHz时,控制电压对输出功率有较强的对应性。低于300MHz时控制作用减弱见图13。在900MHz输入频率下的基本测试电路见图14.
图 13 控制电压与功率输出的关系
图14 HPMX-3002基本测试电路图
HPMX-3002实际应用中性能稳定,输出端的阻抗匹配可通过微带线来调整。
图15为一款工作频率在915.3MHz的PA功率放大器,设计最大功率输出2W,通过特性阻抗50欧姆的传输线与微带天线相连,电路发出射频功率信号,激励无源电子标签反射信息。配合输入系统对其识读,识读距离达12米。
图15 工作频率在915.3MHz的PA功率放大器
提高读写器的射频发送功率无疑会增加读写电子标签的距离。但辐射功率超过4W后无源电子标签的反射能力并非显著提高,而读写器射频发射的载波能量会辐射至到几十米或更远的距离,这对于一个应用系统来说信息泄露的可能性大幅提高,很可能是灾难性的,因此,对应用系统的功率控制与管理需要严格执行有关标准。
5射频识别领域中的安全警示
在物联网应用快速发展的今天,网络安全、数据安全、信息安全问题涉及到研发、生产、管理的各个层面。没有永远的安全港,需要我们不断提高防范意识,审视我们的产品和服务中是否存在安全隐患。现实应用中的许多案例再一次警示我们:
⑴在研发、生产过程中要遵守国家关于UHF 频段读写器发射功率等技术指标,严格控制读写器的输出功率。对发射天线的旁瓣指标也要加以限制。高功率信号输出会提高读写成功的几率,同时也降低了信号侦听的难度。
⑵应用中严格要求采用跳频技术来进行读写器与电子标签之间的通信。单一频率的载波通信方式信息被跟踪破解的风险极高。
⑶在涉及个人隐私、财产、安全的电子识别领域,必须采用可进行信息交互处理的电子标签、卡,并具有电子电子加密认证体系。仅以标签做ID使用而放弃信息相互认证的将直接被物联网黑客利用。
⑷加强电子标签、读写器硬件设备的管理,防止逆向工程的实现。重要身份、财产认证的电子读写机具,应设立应急状态数据接口,具有系统信息锁定、更新、自毁的功能。
⑸高端无线分析仪器、协议分析仪器、高速数据存错设备建议实名采购。建立信息安全测试产品的可追溯管理。
⑹强化物联网安全协议标准的制定与嵌入式设备中的加/解密算法的深入研究。提高普及性应用的安全指数。
