物联网黑客在RFID中的技术手段与信息安全警示

打开文本图片集

摘 要：在物联网射频识别应用中，物联网黑客会对RFID读写设备、电子标签所发射/反射的射频信号实施技术侦察，通过对信号的调制与解调分析得到其基带信息；并运用高速采样设备接收信息码流，分析验证信息帧的标识、信道编码的格式及协议流程，实现对侦察目标的信息破解。继而进行电子标签信息的冒充以及非法标签的制作，从中获取利益。文中对物联网黑客的空中技术侦察手段进行了针对性的分析，并给射频识别领域的信息安全做了普遍性的警示。

关键词：物联网黑客；RFID；信息安全；射频信号

中图分类号：TN925.91 文献标识码：A 文章编号：2095-1302（2015）11-00-06

0 引 言

在物联网技术大规模应用的今天，应用领域所面临的信息安全、网络安全、系统安全方面的问题非常普遍。物联通信之间的开放性将物联网黑客们带到了一个前所未有的天堂。

物联网黑客通过空中技术侦察手段截取通信信息流，破解物联网络的通信接口协议，采取信息伪装、顶替、复制等种种方式欺骗系统，在消费者不知情的情况下获得非法利益。对其应用系统的安全造成巨大威胁。

物联网中的通信技术、编解码技术、嵌入式系统应用技术对信息安全提出了更高的要求。我们在推进物联网广泛应用的同时，需要在信息安全保障上做到防患于未然。在设计、生产过程中不仅仅达到基本功能的实现，更多的是要关注系统的各项指标是否满足信息安全的要求，系统是否处在安全的应用状态。

本文通过某高速路桥RFID收费系统信息被破解的过程，深入分析物联网黑客所用的技术手段、方法和实现过程，从而增强物联网产品信息安全防护的设计理念，在频谱管理、信源编码、通信协议、安全认证、系统抗毁等方面整体提高信息安全的门栏，保障物联网健康安全的发展。

1 对读写设备的无线电频谱进行侦察

在使用射频电子识别的众多应用场合，为了充分、合理、有效地利用无线电频谱资源，国家对其工作频段做了规定。目前市场应用较多的射频电子识别（RFID） 产品的工作频率有：125 kHz，133 kHz，13.56 MHz，433 MHz，862～928 MHz，2.45 GHz，5.8 GHz等，其频谱分布、应用范围及所遵循的协议有着具体的划分。通常情况下，物联网黑客根据用户的应用情况可轻易获取如下信息：

（1）在电子标签所应用的场所获取工作频谱；

（2）获取用户所持有的电子标签，得到可重复进行电磁测试的样本数据；

（3）根据电子标签读写器的安装方式和与电子标签的通信距离，确定电子侦测的区域、方位和所需的技术装备；

（4）从产品的宣传信息中得到其功能与技术指标。

物联网黑客针对上述情况实施情报收集与技术侦察，其行为具有隐蔽性。在对目标实施攻击前，法律条文目前尚未明确对其行为进行约束、禁止。需要引起有关部门的重视。

下面通过路桥RFID收费系统案例来分析物联网黑客的技术手段，从中审视我们的信息安全。

物联网黑客以正常过往车辆的身份进入某高速路桥车辆电子识别收费通道。

该通道的读写器位于车辆的前上方，车行通道长度20米，车辆限行速度不超过20公里/小时。这意味着进入通道的车辆至少有3.6秒钟的时间。此时，车辆前方可无遮挡的接收来自读写器天线发射的电磁波。沿通道路径使用频谱分析仪可迅速接收到读写设备的天线所辐射的能量，得到读写器工作的频谱范围和载波的中心频率，如图1所示。

图1 通过频谱分析仪测试得到载波中心频率在915.9 MHz

车辆上载有一台频谱分析仪和通用具有FFT变换的数字存储示波器，就能完成对读写器射频频谱信号的采样流、存储。通过分析得到如下信息：

这是一个中心频率为915.9 MHz的载波发射装置，频谱在以中心频率两边15 MHz的频域内没有发生其他活动的频率，载波频率在车辆进入通道中移动的前后5秒的时间段内没发生中断，载波是持续单频的，表明读写装置并没有采用跳频通信方式。

这给物联网黑客进入系统提供了信息跟踪的条件，在一个频点上可得到完整的信息交换过程，而多个完整的信息交换势必体现其调制方式和编码特征。物联网黑客用模拟载波来激励电子标签，探测电子标签的应答信息，进而得到其调制方式，打开了系统安全的第一道门锁。

2 实现对接收信号的相关解调

在完成读写设备的频谱侦察后，完成物联通信的基带信号解调是物联网黑客追逐的高等级目标。得到基带信号就为信源编码分析奠定了基础，继而实现完整的信息内容的破解。

为达到上述目的，物联网黑客一般采取如下手段。

2.1 剖析电子标签

该系统使用的车载电子标签具有防水、密封、使用期限十年以上的特性。它的外部没有任何与内部电路相关联的接线、接口。这说明它是一款无源的与读写器相配套的UHF频段的电子标签。

无源电子标签最显著的特征是它工作的能源是靠外部提供，也就是依靠读写器发出的载波能量，经过电子标签内部的整流电路转换，为电子标签提供内部的工作电源。

无源电子标签利用了读写器的载波电磁辐射所提供的能源，同时把自己的信息反向辐射出去。电子标签向读写器传递信息并没有改变载波频率，其微弱的辐射能量在频谱上很难观察，需要把电子标签的反射信号通过天线接收，低噪声放大进入信息解调通道。

无源电子标签由于受存储空间的限定大多没有加密体系，即便有些信息变换也是简密，其重复周期很短。

以上无源电子标签的特性决定了无源电子标签就是一个低密级别的信息反馈体，同种类的标签遵循相同的信息反馈规则，只要给标签提供能量，标签就发送自己的应答信息帧，并可重复进行相同的操作。

上述分析认定：这是一个读写器主动问询标签，标签得到读写器载波提供的能量后，被动向上应答的系统。对于物联网黑客来说其破译的基础条件充分具备。

在现实经济活动中，电子标签、读写器产品是商品，而使用这些商品搭建起来的应用平台绑定着用户各种信息，这意味着风险的普遍性。

2.2 根据侦察结果确立解调算法

要得到基带信号首先是去掉载波信号。使用希尔伯特变换对接收的信号进行正交相关的乘法操作，得到I，Q两路信号。通过低通滤波器滤掉关于载波的二次谐波成份，然后隔离直流分量，并对其I，Q两路信号进行平方和的运算。此后得到的是基带信号的平方和，再对其进行平方根运算，形成的数据流即为基带信息。

读写器发出的载波信号与电子标签返回的信号间的相互关系做如下设定：

（1）设读写器的输入信号为天线发出的信号和电子标签反射回来的信号之和。

（2）设电子标签接收连续的正弦周期信号，并将其转化为能量。以标签内部定义的ID为信源，对接收波调制后通过天线发射。

根据关系设定（1），有：

s（n）=A（n）cosωt+B（n）cos（ωt+φ） （1）

A（n）为载波振幅，ω为载波角频率；B（n）为标签反射的电磁波，φ为相差。对（1）式进行正交相关运算有：

I = s（n）cosωt

= A（n）cos2ωt+ B（n）cos（ωt+φ）cosωt （2）

-Q= s（n）sinωt

=A（n）sinωtcosωt+B（n）cos（ωt+φ）sinωt （3）

将（2）式整理后，有：

将I"，Q"两路信号平方后相加，再求其平方根，得到电子标签发射的信息流：

（10）

上述算法实现了电子标签反射信号的解调。在此基础上测定信息流的码元速率，信息带宽等参数，为编码分析奠定了基础。

结合以上算法并使用EDA工具组合单元电路对其功能进行仿真验证。其仿真结果如图2所示。

图2 正交相关解调的电路模块功能仿真

载波信号与电子标签ID的射频信号通过天线，经LNA低噪声放大进入下变频器；在下变频信号与LO进行正交相关运算，将高次谐波滤掉。其接收端硬件解调器框图如图3所示。

经过对反射信号的信息解调，电子标签射频信号的载波被滤除，流中的基带信息被还原，其结果如图4所示。

此后，对基带信号做进一步的滤波、整形、码元识别处理，形成干净的数据流。这部分工作由DSP/FPGA或单片机来完成。处理后的数据流如图5所示。

图4 下变频-低通滤波后的基带信号

图5 处理后的数据流信息（CH2）

至此完成了电子标签信息发射信息的解调。接下来物联网黑客将着手进行信号规格的分析。

3 完成通信信号规格的分析

电子标签的应用在我国已经有十多年的历史了，随着RFID在金融、交通、物流、医疗等领域的应用， 个人的隐私和财产信息与电子识别系统相互绑定、关联。解读电子标签信息无疑会给物联网黑客带来不菲的利益，成了物联网黑客追逐的目标。

读写器、标签执行标准的公开化，产品生产的社会化给了物联网黑客太多的机会。通过技术手段得到电子标签的信息，从容地占用你的私有资源，千里之外如囊中取物般打开你的电子钱包来消费，如今已不是神话与魔法。

无论采用哪种方式来解读电子标签，其目的是解析出电子标签的数据帧格式。包括起始标识、同步标识、数据段长度、校验方式、握手规则。也就是我们常说的接口协议。物联网黑客采用的方法主要有以下几种：

（1）手工作业

利用电子标签反射信息的不变性，使用数据存储示波器积累捕捉数据波形，把波形打印或照相拼接，组成完整周期的数据波形。使用分规测量出波形序列中最小的脉宽单位，从首码开始测量波形，识别、标注波形代码，直至波形序列结束。

观察同类型、同批次的电子标签波形信息，对比信息出现的位置与变化，利用已知的、常用的信道编码，信源编码体系去判读、旁证，找出规律。

通过波形图分析，得到数据帧长度、码元宽度、起始标志、结束标志。

（2）程序作业

①首先是数据流特征识别。判断当前数据帧与已知数据帧格式是否一致。读取多个标签的数据流信息，找出数据帧的基本格式。

②运用已知编码，判读电子标签信息。得到程序识读的信息。给现实验证提供素材。

③遍历数据帧的起始位，判读CRC的数值，验证某CRC生成多项式是否成立，解析出数据帧信道编码格式。

通过空中侦察接收解调后的电子标签基带信号流如图6所示。

显而易见，这种编码在一个码元的时间片里，通过时钟脉冲上升沿所出现的位置来表达信息。按此规律可读取电子标签所反射的信息流如图7所示。

图6 解调处理后的基带信号流

0010 0010 0010 0010 0010 0010 0010 0010 0000 0000 1000 数据帧开始标示：00000000XX1

0010 0010 0010 0010 0010 1000 0010 1000 1000 0010 0010 0010 0010 0010 0010 0010 数据0580h

0010 0010 0010 0010 0010 0010 0010 0010 0010 0010 0010 0010 0010 1000 1000 0010 数据0006h

1000 0010 1000 0010 0010 1000 0010 1000 1000 0010 1000 0010 1000 0010 1000 0010 数据a5aah

0010 1000 1000 1000 1000 0010 0010 1000 0010 1000 0010 1000 0010 0010 0010 0010 数据7950h

图7 电子标签反射的信息流

多个同批次的标签读出的数据表明：每个电子标签反射的其前11位（44 b）是不变的，表明电子标签在信道中按统一格式封装了信息，这11位信息标识信息帧的开始。

如果这组信息在传输中发生错误或信息不完整，不具有这种传输格式，那么这组数据不会被读写器识别，即读写器认定一个数据帧的开始，必须具有前11个数据做为信息帧的标识。可以推出，后面对数据进行校验时不包括前导识别码。

3.1 通信信道编码

使用位置编码，每位信息位占用4个时间片，每片时间为1 μs。

其中，脉冲序列1000 h为信息1；脉冲序列0010 h为信息0；信息帧首部的固定信息为：0000 0000 XX1，XX 为低电平。

根据上述分析，对两个电子标签进行识别，翻译成信息码如下：

信息码：0580 0006 a5aa 7950 h（16进制）；

信息码：0580 0006 3aaa 3b5a h（16进制）。

3.2 数据帧格式

去除相同的标识码，对比两个电子标签数据data1，data2，有：

Data1： 0580 0006 a5aa 7950 （16进制）；

Data2：0580 0006 3aaa 3b5a （16进制）。

该数据长度共64位，数据具有唯一性。进一步分析发现，同批次、同用户的电子标签，其数据不变化的字节在数据帧中的前16位。也就是说每个数据帧至少包含48位数据，其中包括校验码CRC。校验码监视这64位数据在传输过程中的差错。

至此可以通过程序验证的方法，推算CRC的位置和可能的多项式。最终得到的结果如图8所示。

bit63

～bit62bit61 ～bit58bit57 ～bit48bit47 ～bit16bit15

～bit0

EXTMANCUSTUIDCRC

图8 数据帧构成

其中： EXT：2 b扩展位；

MAN：4 b制造商代码

CUST 10 b用户代码；

UID：32 b序列号；

CRC：16 b校验码。

3.3 完整的ID信息帧描述

ID：由8个起始信息码、3个同步码、64个数据信息码组成，将其记为 ： ST XX1 DATA ，其帧含有75个信息码元。每个信息码元位占4个时钟单位；

ST：为前导码，由8个连续的编码为“0”的信息组成 ，共占32个时钟单位时间，为程序进行帧同步提供起始标识；

XX1：为同步码，其中X为一个信息bit的低电平，“XX1”共占12个时钟单位时间；

DATA：数据帧，由64个信息码元构成。占256个时钟单位；

CRC 16：包含在DATA中，使用数据字段的最后两个字节（16位），占64个时钟单位时间。

整个数据帧共75个信息码元，占用300 us时间。

3.4 程序验证数据帧CRC校验多项式

对CRC生成多项式进行使用甄别，验证在数据帧的CRC校验中是否遵循某种多项式，用程序方法遍历可能的多项式。结果表明，数据帧采用了CRC16校验，生成的多项式为：

G（x）=x16+x15+x2+1

至此，物联网黑客已完成了对这种类型读写器的空中接口协议的解析。可对标签信息接收、拷贝、加工并冒名应答读写器取得其信任。

4 读写设备的硬件实现

物联网黑客在破解通信协议后便进行读写器的研制，其目的是截获电子标签的信息。这些信息通过无线方式获取，不易被电子标签的持有者所发现。这种读写设备由高效的收/发天线、高性能可编程频率合成器、功率放大器、DSP、FPGA等器件构成，它并非采用专用的RFID读写器芯片。

4.1 微带收/发天线

电子标签反射的信号非常微弱，在传播过程中随路径的增加和传播介质的变化而衰落。这就需要在前端对信号进行相应的处理，首先是UHF频段高增益的天线。

在对RFID实施频谱侦察中黑客采用全向天线，而在针对读写器和标签进行信号发射/接收时则更多使用微带天线。这是由于在UHF频段的读写器天线大多受制造成本和应用场地的尺寸限制。

微带天线由导体薄片和介质基片背面的导体接地板构成天线，在UHF频带上有大量的应用。虽然微带天线频带窄，增益一般小于20 dB，但在微带天线后端使用低噪声放大器LNA对接收信号进行放大，可以满足下变频对信号的需求。下面是一款接收中心频率为915 MHz的微带天线，使用了两块FR4双面覆铜板制作，反射系数达28 dB，如图9所示。

图9 一款中心频率在915.3 MHz的微带天线反射图

在实际信号侦察中将发送与接收天线分立，这样可以独立进行发送信道的功率控制和接收信号的增益调整。采用双天线形式的信号解调框图如图10所示。

图10 双天线形式信号解调框图

4.2 使用频率合成器实现LO

LMX2531是一款低供电，高性能频率合成器。单芯片内完整的集成了△∑PLL和VCO及低噪声、低压差稳压器LDO，使其具有更高的噪声抑制性能和稳定性。在与高精度晶振配合使用时可产生非常稳定、低噪声的本地振荡信号（LO）。

LMX2531采用三线Microwire 接口方式，使用单片机就可对LMX2531内部的11个24位寄存器操作，装载LO的控制字。按要求改变LMX2531内部寄存器的状态，可在输出端得到预定规格的频率。这对于数据发送/接收中的上、下变频带来极大的方便，可精确产生固定频率，做下变频中的LO，也可伪随机改变频率实现跳频通信，防范载波频率的跟踪。

输出频率为915.3 MHz时，其内部寄存器的设置参数如图11所示。

图11 输出频率设置为915.3 MHz时其内部寄存器的设置参数

LMX2531有36个引脚，采用LLP 封装，（6 mm×6 mm ×0.8 mm），外部连接非常简单。在做PCB时注意芯片的底面接地。运用LMX2531构成的LO如图12所示。

4.3 射频功率放大器（RFPA）

HPMX-3002是一款低成本的集成电路功率放大器，既可以用来做射频发射电路的末级功率放大器，也可以做末级前端的驱动放大器。其工作范围在150～960 MHz。

这款芯片的控制采用SO8的封装，使用起来很方便，广泛应用在GSM移动电话，ISM频段的射频小功率放大（1 W）和低功率RFID读写器的功率驱动器上。该芯片的输出阻抗ZO = 50 Ω，通过微带线匹配，芯片文档提供了较完整的S参数数据表。

HPMX-3002通过引脚5的直流电压实现对输出功率的控制，调整后两级的增益范围达50 dB。控制端的输入电压0～2.5V，频率在800～1 000 MHz时，控制电压对输出功率有较强的对应性。低于300 MHz则控制作用减弱，如图13所示。在900 MHz输入频率下的基本测试电路如图14所示。

HPMX-3002实际应用中性能稳定，输出端的阻抗匹配可通过微带线来调整。

图15为一款工作频率在915.3 MHz的PA功率放大器，设计最大功率输出2 W，通过特性阻抗50 Ω的传输线与微带天线相连，电路发出射频功率信号，激励无源电子标签反射信息。配合输入系统对其识读，识读距离达12米。

提高读写器的射频发送功率无疑会增加读写电子标签的距离。但辐射功率超过4 W后，无源电子标签的反射能力并非显著提高，而读写器射频发射的载波能量会辐射到几十米或更远的距离，这对于一个应用系统来说信息泄露的可能性大幅提高，很可能是灾难性的，因此，对应用系统的功率控制与管理需要严格执行有关标准。

图 13 控制电压与功率输出的关系

图14 HPMX-3002基本测试电路图

5 射频识别领域中的安全警示

在物联网应用快速发展的今天，网络安全、数据安全、信息安全问题涉及到研发、生产、管理的各个层面。没有永远的安全港，需要我们不断提高防范意识，审视我们的产品和服务中是否存在安全隐患。现实应用中的许多案例再一次警示了我们：

（1）在研发、生产过程中，要遵守国家关于UHF 频段读写器发射功率等技术指标，严格控制读写器的输出功率。对发射天线的旁瓣指标也要加以限制。高功率信号输出会提高读写成功的几率，同时也降低信号侦听的难度。

图15 工作频率在915.3 MHz的PA

（2）应用中严格要求采用跳频技术来进行读写器与电子标签之间的通信。单一频率的载波通信方式信息被跟踪破解的风险极高。

（3）在涉及个人隐私、财产、安全的电子识别领域，必须采用可进行信息交互处理的电子标签、卡，并具有电子加密认证体系。仅以标签做ID使用而放弃信息相互认证的将直接被物联网黑客利用。

（4）加强电子标签、读写器硬件设备的管理，防止逆向工程的实现。重要身份、财产认证的电子读写机具应设立应急状态数据接口，具有系统信息锁定、更新、自毁的功能。

（5）高端无线分析仪器、协议分析仪器、高速数据存储设备建议实名采购。建立信息安全测试产品的可追溯管理。

（6）强化物联网安全协议标准的制定与嵌入式设备中的加/解密算法的深入研究。提高普及性应用的安全指数。

6 结 语

本文以黑客入侵高速路桥为例对其入侵方式做了分析，并根本对未来形式发展的预测对射频识别领域的信息安全做了普遍性警示，希望可以为诸多同仁提供参考。

参考文献

[1] LMX2531 High Performance Frequency Synthesizer System with Integrated VCO Literature Number： SNAS252P[R] .Texas Instruments Incorporated.

[2] Silicon Bipolar RFIC900 MHz Driver Amplifier[R].Technical DataHewlett-Packard"s HPMX-3002.

[3]张睿，周峰，郭隆庆.无线通信仪表与测试应用[M].北京：人民邮电出版社，2010.

推荐访问： 信息安全 联网 警示 黑客 手段

---