《智能網(wǎng)聯(lián)汽車安全》課件第6章

6.1

汽車無線通信系統(tǒng)概述

汽車無線通信系統(tǒng)是將汽車技術(shù)、電子技術(shù)、計算機技術(shù)、無線通信技術(shù)等緊密結(jié)合,整合不同的應(yīng)用模塊產(chǎn)生的綜合系統(tǒng),主要實現(xiàn)汽車狀況實時監(jiān)測、汽車定位導(dǎo)航、車輛指揮調(diào)度、數(shù)據(jù)采集共享、車內(nèi)信息娛樂等功能。

汽車無線通信技術(shù)主要由車載導(dǎo)航模塊、專用無線通信模塊、安全警報模塊、行車狀態(tài)記錄模塊、多媒體信息模塊、數(shù)據(jù)采集模塊、無線鑰匙模塊、車載收音機模塊等組成,所

有的數(shù)據(jù)和有效信息基本都需要通過汽車IVI進行處理、協(xié)調(diào)并做出正確的響應(yīng)。圖6．1所示為車載無線通信技術(shù)的模塊示意圖。圖6．1車載無線通信技術(shù)的模塊示意圖

目前,汽車內(nèi)往往裝配有多種具備無線通信能力的設(shè)備或模塊,它們有的支持短距離無線通信,有的支持長距離無線通信。由于直接物理接觸的局限性較大,所以攻擊者一般采用更具可行性和隱蔽性的攻擊方式。攻擊者可利用某一設(shè)備或協(xié)議的漏洞成功入侵并控制車載無線設(shè)備,而無線通信設(shè)備往往與其他控制模塊一樣掛載于汽車的內(nèi)部CAN總線

或其他車內(nèi)網(wǎng)絡(luò),這樣攻擊者就可以成功入侵汽車內(nèi)部網(wǎng)絡(luò)并達(dá)到控制整車的目的,原理如圖6．2所示。圖6．2無線入侵基本原理圖

6.2

RKE/PKE系統(tǒng)安

6.2.1遠(yuǎn)程無鑰匙進入系統(tǒng)概述第4章已述及,RKE(遠(yuǎn)程無鑰匙進入系統(tǒng))也稱為射頻鑰匙系統(tǒng)。RKE執(zhí)行一個標(biāo)準(zhǔn)汽車鑰匙的功能,該鑰匙包含一個短程無線電發(fā)射器,并且必須在距車輛一定的范圍內(nèi)(通常為5~20m)工作。RKE系統(tǒng)框圖如圖6．3所示。圖6．3RKE系統(tǒng)框圖

RKE系統(tǒng)鑰匙內(nèi)裝有芯片,每個芯片都有固定的ID,只有鑰匙芯片的ID與發(fā)動機的ID相匹配時,汽車才可以啟動。以啟動引擎為例,當(dāng)車主轉(zhuǎn)動鑰匙發(fā)動車輛時,車內(nèi)基站發(fā)射低頻信號開始認(rèn)證。鑰匙端應(yīng)答器工作能量由車內(nèi)基站低頻信號提供,在認(rèn)證過程中,置于鑰匙中的應(yīng)答器首先發(fā)送自身的ID號,通過基站芯片的驗證,基站會發(fā)出一串隨機數(shù)和MAC地址,同時應(yīng)答器做出回應(yīng)。鑰匙會發(fā)送一串?dāng)?shù)據(jù)流,開始進行發(fā)送器和接收器的會話,該數(shù)據(jù)流包括前引導(dǎo)碼、命令碼和一串加密滾動碼。滾動碼碼型變換豐富,每次發(fā)送

的編碼至少有50%的位數(shù)發(fā)生變化,且同一操作的兩次編碼毫無規(guī)律可循。RKE系統(tǒng)發(fā)射功能框圖如圖6．4所示。圖6．4RKE系統(tǒng)發(fā)射端功能框圖

RKE發(fā)射端的功能主要有以下幾點:

第一,鑰匙按鍵按下后編碼電路負(fù)責(zé)將相應(yīng)的按鍵信息以及需要加密的信息進行加密,形成基帶信號;

第二,發(fā)射電路負(fù)責(zé)將基帶信號進行調(diào)制,一般以ASK居多,以射頻方式發(fā)射出去。

發(fā)射電路常用兩種方案:

一是基于IC的方案,優(yōu)點是電路簡單易于實現(xiàn),缺點是成本高;

二是基于分離器件搭建的方案,優(yōu)點是成本低,缺點是電路易受器件誤差影響,匹配困難。

接收端則對發(fā)送來的數(shù)據(jù)進行濾波、解調(diào)、解密、解碼,還原原始數(shù)據(jù),并驗證數(shù)據(jù)的有效性,如果有效,則輸出對應(yīng)用戶所需要的操作。RKE系統(tǒng)接收端框圖如圖6．5所示。圖6．5RKE系統(tǒng)接收端框圖

RKE接收端的功能主要有以下幾點:

第一,RKE信號解調(diào)電路負(fù)責(zé)將射頻信號解調(diào),還原成基帶信號;

第二,將基帶信號根據(jù)相應(yīng)的解密算法進行解密,得出按鍵信息;

第三,將按鍵信息發(fā)送給主控MCU進行驗證和判斷,決定是否需要執(zhí)行相應(yīng)的開鎖上鎖等工作。

6.2.2被動無鑰匙進入系統(tǒng)概述

PKE(被動無鑰匙進入系統(tǒng))設(shè)計的初衷是使用戶只需隨身攜帶一個電子鑰匙,不需按鍵(遙控開鎖)就可以進入車輛。該系統(tǒng)采用無線射頻識別技術(shù),通過車主隨身攜帶的電子鑰匙(智能卡)里的芯片感應(yīng)自動開關(guān)門鎖,當(dāng)用戶嘗試用手去拉車門上的門把手時,車輛會向“鑰匙”發(fā)出詢問信息,如果授權(quán)的“鑰匙”在車輛可操作范圍內(nèi),并且回答了有效的驗證碼,則車輛可以進行對應(yīng)的解鎖或者啟動的操作,當(dāng)駕駛者離開車輛時,門鎖會自動鎖上并進入防盜狀態(tài)。

PKE系統(tǒng)采用低頻觸發(fā)、高頻認(rèn)證的模式完成雙向通信認(rèn)證。認(rèn)證通過PKE車內(nèi)收發(fā)器和智能卡之間、發(fā)動機ECU和PKE之間高達(dá)64位的加密算法進行,只有通過相應(yīng)的認(rèn)證之后才能夠啟動和操作車輛,如果沒有智能卡,則不能夠啟動汽車的電子系統(tǒng)。

PKE的主要組成部分為車內(nèi)收發(fā)器、電子鑰匙、天線等。車內(nèi)收發(fā)器是系統(tǒng)的關(guān)鍵,負(fù)責(zé)與電子鑰匙的通信及與設(shè)備的互動;電子鑰匙(IDDevice)由用戶隨身攜帶,相當(dāng)于用

戶的身份證,用來驗證用戶的身份,類似于RKE的遙控器;LF天線為接收器與電子鑰匙的通信媒介,用于接收和發(fā)送射頻信號。

PKE技術(shù)其實是從RKE演變而來的,也有人稱PKE是RKE的第二代技術(shù)。簡單地說,從RKE到PKE其實就是從“需按鍵”發(fā)展到“免按鍵”,從“安全”到“更安全”的過程。圖6．6所示為PKE系統(tǒng)的原理圖。圖6．6PKE系統(tǒng)原理圖

PKE系統(tǒng)的工作過程可以分為喚醒和驗證兩個過程。

(1)喚醒。當(dāng)用戶攜帶電子鑰匙出現(xiàn)接收器的檢測范圍時并拉動門把手時,電子鑰匙會收到一個來自車內(nèi)收發(fā)器的低頻信號,如果這個信號與鑰匙內(nèi)存儲的數(shù)據(jù)相匹配,鑰匙就會被喚醒。

(2)驗證。鑰匙被喚醒后,它會分析從車內(nèi)收發(fā)器發(fā)送過來的“口令”,計算出對應(yīng)的數(shù)據(jù)并加密發(fā)送回車內(nèi)收發(fā)器,主機分析從鑰匙收到的數(shù)據(jù),并與自己所計算出的數(shù)據(jù)進行

比較,如果二者匹配成功,就會開啟門鎖。

相比于RKE,PKE存在以下優(yōu)勢:

從功能實現(xiàn)方式和用戶體驗方面來看,PKE比RKE擁有絕對的優(yōu)勢,使用RKE的用戶每次開鎖和上鎖前都需要按一下遙控器,而PKE則完全不需任何操作;

從工作原理來看,在安全性方面,PKE的雙向通信認(rèn)證方式顯然更安全,這種方式大大降低了被截碼、破解的可能性,特別是在抗干擾方面,RKE很容易因為受到同頻干擾而無法正常工作,而PKE在受到同頻干擾時,車門會一直處于上鎖狀態(tài)。當(dāng)然,PKE也存在著不足之處,如PKE系統(tǒng)的制造成本相對于RKE要高一些;由于PKE是被動式的工作原理,系統(tǒng)的功耗相對較大;電子鑰匙的電池壽命比RKE要短。

6.2.3RKE/PKE攻擊技術(shù)分析

1.RKE/PKE系統(tǒng)安全技術(shù)

RKE/PKE系統(tǒng)運用了很多技術(shù)保證通信數(shù)據(jù)的安全,主要有Microship公司的基于Keeloq算法的滾動碼技術(shù)、NXP公司的基于Hitag2加密算法的身份認(rèn)證技術(shù)以及TI公

司的基于AES加密算法的安全技術(shù)。

1)基于Keeloq算法的安全策略

(1)Keeloq算法簡介。

Keeloq算法最初是由南非的WillemSmit設(shè)計的分組密碼算法,1995年由Microchip公司購買并以此推出了系列專用編解碼芯片,目前仍有很多汽車的RKE/PKE系統(tǒng)應(yīng)用了該算法。Keeloq的結(jié)構(gòu)屬于廣義Feistel結(jié)構(gòu),但是只是取其中幾位進行輪函數(shù)操作,其分組長度為32位,其密鑰長度為64位,需要通過528輪的運算,并且每輪運算使用密鑰的其中1位,因而可以等價于一個非線性反饋移位寄存器的重復(fù)迭代操作。

Keeloq算法的核心思想就是用64位密鑰加密32位明文從而得到32位密文,即使明文中只有1位數(shù)據(jù)發(fā)生變

化,用Keeloq算法得到的密文也會有50%以上的數(shù)據(jù)位發(fā)生變化。Keeloq加密算法示意圖如圖6．7所示,其需要1個32位的移位寄存器并附加5個固定的抽頭,另外需要1個64位的移位寄存器并附加1個固定的抽頭,同時再加上一個32位的查表模塊(或者由邏輯運算NLF的代數(shù)關(guān)系式代替)。圖6．7Keeloq加密算法示意圖

(2)RKE系統(tǒng)的Keeloq跳碼結(jié)構(gòu)。

RKE系統(tǒng)大多使用Keeloq跳碼(滾碼或者滾動碼)作為Keeloq加密的輸入變量,發(fā)射端和接收端分別集成了編碼器和解碼器,并且共用一個密鑰以及一組固定的標(biāo)識碼(序列號)10~12位,用以區(qū)別不同的RKE系統(tǒng);同時有一組32位的同步碼(計數(shù)器或者滾碼),其在每次成功發(fā)送信號后(用戶每次按鍵觸發(fā)后)加一位,用以區(qū)別每次發(fā)送的信息;最后是4位的功能按鍵信息。編碼器通過輸入的同步碼32位的信號與事先存儲好的64位密鑰信息來進行Keeloq加密運算,最后得到跳碼信息。圖6．8所示為Keeloq加密RKE信息的示意圖。圖6．8Keeloq加密RKE信息示意圖

跳碼基帶信號經(jīng)過ASK調(diào)制轉(zhuǎn)化成射頻信號發(fā)出,接收端通過同樣事先存儲好的共用密鑰進行解密以獲取同步碼。接著判斷其標(biāo)識碼是否同其事先存儲好的標(biāo)識碼一致,如果一致,再判斷同步碼的范圍是否在規(guī)定的范圍內(nèi)(一般認(rèn)定發(fā)射的同步碼必須大于接收端存儲的同步碼)。圖6．9所示為基于Keeloq的RKE系統(tǒng)滑動窗口結(jié)構(gòu)。圖6．9基于Keeloq的RKE系統(tǒng)滑動窗口結(jié)構(gòu)

這里會用到三個“同步”窗口來進行判斷。一是有效同步窗口,如果收到的同步碼落在規(guī)定范圍內(nèi)(假設(shè)在+16個編碼內(nèi)),則功能信息所對應(yīng)的需要執(zhí)行的操作會被立即執(zhí)行。

二是重新同步窗口,如果收到的信號超出了規(guī)定的同步窗口,但是落在重同步窗口以內(nèi),則接收端會先預(yù)存下發(fā)射端的同步碼,等待判斷下次發(fā)射端發(fā)送的同步碼是否落在同步窗

口,如果是,則執(zhí)行操作,如果不是,則再預(yù)存發(fā)射端的同步碼,等待再下一次的判斷。

也就是說用戶至少需要按兩次才能成功得到對應(yīng)的響應(yīng)操作。三是非法同步窗口,任何接收到同步碼如果落在此窗口則所有的操作都會被忽略,以防止竊聽者利用重復(fù)播放先前的信號進行任何攻擊。圖6．10所示為Keeloq解密RKE信息的示意圖。圖6．10Keeloq解密RKE信息示意圖

(3)PKE系統(tǒng)使用問答形式的KeeloqIFF雙向驗證。

由于PKE系統(tǒng)采用的是雙向通信方式,因而其對應(yīng)的加密算法大多會采用Challenge-Response的驗證方式。問答形式安全驗證技術(shù)被廣泛用于汽車發(fā)動機防盜裝置系統(tǒng),其最

早出現(xiàn)于軍事航空領(lǐng)域,用于雷達(dá),功能是進行敵我識別。問答形式安全驗證技術(shù)使用雙向通信鏈路。圖6．11所示為問答形式的驗證流程,在這種技術(shù)中,車輛和鑰匙共享一個加密密鑰(固定密碼)。圖6．11問答形式的驗證流程

(4)Keeloq算法的弊端。

①Keeloq算法的密鑰長度為64位,分組長度為32位,在當(dāng)今的密碼系統(tǒng)中屬于比較短的密鑰。

②Keeloq算法的安全性全部依賴于出廠密鑰的設(shè)置。

③擴展功能比較弱、升級不方便。

④無按鍵功能碼的檢錯和糾錯功能。

⑤信息傳輸效率較低。

2)基于Hitag2算法的安全技術(shù)

Hitag2加密算法的示意圖如圖6．12所示。Hitag2加密單元主要由一個48位的線性反饋移位寄存器(LSPR)和一個非線性濾波函數(shù)組成。在每個時鐘周期下,線性反饋移位寄器(LFSR)的20位輸出通過非線性濾波函數(shù)的計算,生成一位密碼,然后LFSR中的數(shù)據(jù)左移一位,同時LFSR的第48位由上一步生成的密碼、設(shè)備ID和密鑰經(jīng)過計算得到。圖6．12Hitag2加密算法示意圖

3)基于AES的密碼通信安全技術(shù)

AES是一個迭代的、對稱密鑰分組的密碼,它可以使用128、192和256位長度的密鑰,并且用128位分組長度加密和解密數(shù)據(jù)。該算法輸入分組、輸出分組、狀態(tài)長度均為

128比特。

對于AES算法的運算是在一個稱為狀態(tài)的二維字節(jié)數(shù)組上進行的。密鑰長度分組長度輪數(shù)的關(guān)系如表6－1所示。

AES算法的加密解密過程如圖6．13所示。圖613AES加密解密流程

2.RKE/PKE系統(tǒng)常見攻擊方法總結(jié)

目前針對RKE/PKE系統(tǒng)的主要攻擊手段有暴力掃描攻擊、重回播放代碼攻擊、中繼攻擊、前向預(yù)測代碼攻擊、字典預(yù)測攻擊和密碼分析攻擊等,且分別針對RKE系統(tǒng)和PKE系統(tǒng)的攻擊方法有所不同,下面對主要攻擊方法進行簡要介紹。

1)暴力掃描攻擊

針對RKE系統(tǒng)的滾動代碼技術(shù),暴力掃描攻擊通過不斷對系統(tǒng)發(fā)送不同的攻擊代碼來進行攻擊,攻擊者會不斷嘗試,直到代碼相匹配。

2)重放攻擊

重放攻擊又被稱為信號錄制攻擊。

HackRF是一款全開源的硬件項目,其目的主要是提供廉價的SDR方案,它類似于幾十年前開始流行的基于軟件的數(shù)字音頻技術(shù)。圖6．14所示為HackRFOne。圖6．14HackRFOne

GQRX是MACO上的開源SDR軟件,其下載地址為http://gqrx.dk/download。下載并啟動程序GQRX,第一次使用會彈出設(shè)備選擇對話框,這時只要從列表選中相應(yīng)的

SDR設(shè)備,設(shè)置相應(yīng)波特率即可使用,如圖6．15所示。圖6．15設(shè)置波特率界面

利用KaliLinux可以安裝和使用HackRF和GQRX及相關(guān)軟件,執(zhí)行以下命令:

sudoportinstallgnuradio

sudoportinstallhackrf

sudoportinstallrtl-sdr

sudoportinstallgr-osmosdr

sudoportinstallhackrf

sudoportinstallgqrx

安裝完成以后,插入HackRF,執(zhí)行命令:hackrf_info。

通過終端啟動GQRX,按下汽車鑰匙遙,可以觀察到汽車鑰匙信號的中心頻率在315.000000MHz左右,如圖6．16所示。圖6．16汽車鑰匙信號的中心頻率

關(guān)掉GQRX,啟動HackRF,執(zhí)行如下命令:

hackrf_transfer-r/dev/stdout-f315000000-a1-g16-l32-s8000000

經(jīng)過對比發(fā)現(xiàn),沒有按下汽車鑰匙時和按下汽車鑰匙時,終端輸出雖然都是亂碼(由于hackrf_transfer后面沒帶解碼參數(shù),所以會觀察到一堆亂碼數(shù)據(jù),圖6．17所示是沒按鑰

匙之前,圖6．18所示是按下鑰匙之后),但二者是不同的。圖6．17沒按鑰匙前圖6．18按下鑰匙后

3)中繼攻擊

中繼攻擊需要兩個攻擊者相互配合,并利用合適的電子設(shè)備建立車輛和車輛鑰匙之間的中繼,第一個攻擊者站在車輛旁邊,第二個攻擊者站在車主附近。步驟如下:第一個攻擊

者在車旁拉門接收由車輛發(fā)送的信號,然后將之放大發(fā)送給第二個攻擊者,第二攻擊者接收到信號后將其發(fā)送到車主的鑰匙,之后鑰匙會做出回應(yīng),第二攻擊者接收到該鑰匙的響

應(yīng),同樣將其發(fā)送回給第一攻擊者,最后第一攻擊者將此鑰匙發(fā)送的信號發(fā)送給車輛。只要攻擊者有正確合適的電子設(shè)備,就可以利用這種類型的攻擊打開車門。

(1)有線中繼攻擊。

為了執(zhí)行基于物理連接的有線中繼攻擊,研究人員使用了一個由兩個環(huán)形低頻天線組成的中繼裝置(如圖6．19所示),它們通過一根電纜將兩個天線之間的低頻信號中繼,一

個可選的放大器可以放在中間以提高信號功率。當(dāng)環(huán)形天線靠近門把手時,將捕獲汽車的射頻信號,通過感應(yīng)在天線的輸出端產(chǎn)生交變信號,然后這個電信號通過同軸電纜傳輸,并通過可選的放大器到達(dá)第二個天線。圖6．19有線中繼攻擊

(2)無線中繼攻擊。

通過電纜進行物理連接式的中繼攻擊可能不方便或引起懷疑,如當(dāng)有墻、門或其他障礙物存在的時候,線纜可能會被阻擋,因此,研究人員設(shè)計并實現(xiàn)了無線中繼攻擊,實驗裝置如圖6．20所示。

攻擊通過專用低頻鏈路將車內(nèi)的低頻信號以最小的時間延遲傳遞出去。傳輸鏈路由發(fā)射器和接收器兩部分組成,發(fā)射器捕獲低頻信號并將其上變頻至2.5GHz,所獲得的2.5GHz信號被放大并在空中傳輸。鏈路的接收器部分接收該信號并將其向下變頻以獲得原始低頻信號,然后該低頻信號再次被放大,并被發(fā)送到環(huán)路低頻天線,該天線再現(xiàn)汽車完整發(fā)射的信號。

打開車門和啟動汽車發(fā)動機的程序與有線中繼攻擊的相同。使用模擬向上和向下轉(zhuǎn)換信號頻率的概念允許攻擊者達(dá)到更大的發(fā)送/接收中繼距離,同時它保持攻擊的有效性。圖6．21所示為通過上變頻和下變頻在空中傳播低頻信號(130kHz)的攻擊簡化視圖。圖6．21無線中繼攻擊簡化視圖

圖6．22所示為研究人員正在進行中繼攻擊實驗。圖6．22中繼攻擊實驗

4)前向預(yù)測代碼攻擊

針對PKE系統(tǒng),通過簡單地拉幾次門把手后,攻擊者可以多次獲得隨機詢問的代碼。如果攻擊者可以通過適當(dāng)?shù)姆椒A(yù)測到下一次的隨機詢問代碼,那么就可以去車主鑰匙附近,生成一個預(yù)測的隨機訪問代碼,然后記錄相應(yīng)的鑰匙響應(yīng)。之后,攻擊者返回到車輛旁并拉門把手以觸發(fā)系統(tǒng),將從鑰匙中記錄的消息重新播放給車輛即可完成車輛解鎖解防。因此,只要攻擊者可以成功預(yù)測車輛的隨機詢問代碼,攻擊實驗就能成功。

5)字典預(yù)測攻擊

針對PKE系統(tǒng),攻擊者記錄車輛的詢問回答對,并以此建立一個字典,字典中的每個條目都包含有一個有效的(問題-回答)對。攻擊者可以通過簡單地在車主鑰匙附近發(fā)送入侵者預(yù)先編輯好的隨機代碼,之后捕獲每條隨機代碼所對應(yīng)的鑰匙響應(yīng),并將隨機代碼和鑰匙相應(yīng)存儲在“字典”中。一旦攻擊者成功建立了字典,就可以通過不斷拉車門把手觸發(fā)

統(tǒng),如果車輛正好產(chǎn)生了一個其字典中對應(yīng)的隨機代碼,則可以通過字典查詢到對應(yīng)的鑰匙響應(yīng)并播放,之后車輛就可以成功解鎖解防。

6)擁塞攻擊

針對智能車鑰匙系統(tǒng)的另一個攻擊方式是利用簡單的無線電干擾設(shè)備進行信號擁塞攻擊。當(dāng)用戶離開汽車的時候,會按下鑰匙上的按鍵關(guān)閉汽車門鎖,如果這個信號被阻塞了,汽車就不會收到鎖門信號,車門就會處于打開狀態(tài)。當(dāng)然這種攻擊方式只適用于完全手動控制門鎖的方案,如果門鎖可以自動關(guān)閉,阻塞攻擊就無效了。

7)其他有效攻擊方式

其他有效的攻擊方式包括:利用社會工程學(xué)的方式,通過從整車廠、鑰匙方案提供商、汽車修理廠、零部件供應(yīng)商等獲取內(nèi)部消息或關(guān)鍵信息,進而復(fù)制鑰匙或破解鑰匙等。

6.3胎壓監(jiān)測系統(tǒng)安全

6.3.1胎壓監(jiān)測系統(tǒng)概述前已述及,胎壓監(jiān)測系統(tǒng)即汽車輪胎壓力監(jiān)測系統(tǒng)。胎壓監(jiān)測系統(tǒng)主要由控制器、傳感器以及儀表顯示三個部分組成。胎壓監(jiān)測傳感器集成了壓力傳感器、溫度傳感器、加速度傳感器以及電池電壓傳感器,可以實時檢測輪胎氣壓、溫度、加速度等信息。

當(dāng)加速度傳感器采集到的旋轉(zhuǎn)加速度值超過某一閾值時,將采集到的信息經(jīng)過編碼通過無線射頻方式發(fā)送給胎壓監(jiān)測控制器,控制器對之進行解碼,得出當(dāng)前輪胎的壓力、溫度狀態(tài)。當(dāng)輪胎出現(xiàn)壓力低于/高于預(yù)定閾值、輪胎溫度超過預(yù)定閾值或者漏氣速度大于預(yù)定閾值等異常狀態(tài)時,胎壓監(jiān)測系統(tǒng)會發(fā)出相應(yīng)的報警信息,報警信息通過CAN總線網(wǎng)絡(luò)傳送給儀表盤進行顯示。圖6．23所示為胎壓監(jiān)測系統(tǒng)。

圖6．23胎壓監(jiān)測系統(tǒng)

胎壓監(jiān)測系統(tǒng)目前主要分為三類:直接式胎壓監(jiān)測系統(tǒng)、間接式胎壓監(jiān)測系統(tǒng)和混合式胎壓監(jiān)測系統(tǒng)。

1)直接式胎壓監(jiān)測系統(tǒng)

直接式胎壓監(jiān)測系統(tǒng)在每個輪胎里都安裝有壓力傳感器,用以直接測量輪胎的氣壓,通過無線發(fā)射器將壓力信息傳送到中央接收器,再通過車載顯示屏顯示氣壓數(shù)據(jù),當(dāng)輪胎漏氣或者氣壓低時系統(tǒng)就會自動報警。

2)間接式胎壓監(jiān)測系統(tǒng)

間接式胎壓監(jiān)測系統(tǒng)并不直接測量汽車輪胎壓力,而是利用對比輪胎轉(zhuǎn)速的方法來監(jiān)測車胎壓力的。相對于直接式胎壓監(jiān)測系統(tǒng),間接式胎壓監(jiān)測系統(tǒng)結(jié)構(gòu)簡單、成本低、耐

用。間接式胎壓監(jiān)測系統(tǒng)的工作原理是:先利用非壓力傳感器測得相關(guān)數(shù)據(jù),再利用輪胎的力學(xué)模型間接計算出輪胎氣壓,或者通過輪胎之間的氣壓差別來達(dá)到監(jiān)測胎壓的目的。

目前主要有三種間接式胎壓監(jiān)測方法,分別是轉(zhuǎn)速監(jiān)測法、頻率監(jiān)測法和磁敏監(jiān)測法。

頻率監(jiān)測法的工作原理是:在汽車行駛過程中,輪胎的彈簧指數(shù)常隨輪胎氣壓的變化而發(fā)生變化,利用四個車輪上安裝的ABS車輪傳感器產(chǎn)生的波形,并經(jīng)過處理,求出輪胎的共振頻率,由此可得輪胎的彈簧常數(shù),再根據(jù)輪胎和彈簧常數(shù)成正比關(guān)系,最后可求出輪胎胎壓。

3)混合式胎壓監(jiān)測系統(tǒng)

混合式胎壓監(jiān)測系統(tǒng)兼顧胎壓監(jiān)測成本和監(jiān)測精度,在方向相對的兩個輪上安裝胎壓傳感器和一個射頻收發(fā)器,以增加測量精度。市場上的胎壓監(jiān)測報警器品牌眾多,目前的

胎壓監(jiān)測報警器有導(dǎo)航/DVD升級式、點煙器式、便攜式、獨立式、吸頂式、外接式等。

6.3.2胎壓監(jiān)測系統(tǒng)攻擊技術(shù)分析

1.研究目標(biāo)

如圖6．24所示,研究人員的胎壓監(jiān)測系統(tǒng)包含:安裝在每個輪胎閥桿后部的TPMS傳感器、TPMS電氣控制單元(

ECU)、接收單元(與ECU集成或獨立)、儀表板TPMS警

示燈以及連接到接收器的一個或四個天線單元。TPMS傳感器周期性地將壓力和溫度測量結(jié)果與標(biāo)識符一起廣播。圖6．24典型的四天線TPMS系統(tǒng)

TPMS傳感器周期性地將壓力和溫度測量結(jié)果與標(biāo)識符一起廣播。TPMSECU/接收器接收數(shù)據(jù)包并在將消息發(fā)送到TPMS警示燈之前執(zhí)行以下操作:首先,由于它可以接收相鄰車輛傳感器的數(shù)據(jù)包,因此會過濾掉這些數(shù)據(jù)包;其次,它執(zhí)行溫度補償機制,將壓力讀數(shù)歸一化并評估輪胎壓力變化。系統(tǒng)的確切設(shè)計因供應(yīng)商而異,特別是在天線配置和通信協(xié)議方面。四天線配置通常用于高端車型,即天線安裝在車輪拱殼后面的每個車輪外殼中,并通過高頻天線電纜連接到接收單元。

2.逆向TPMS通信協(xié)議

除了正確解碼或欺騙傳感器之外,還需要了解調(diào)制方案、編碼方案和消息格式,除了內(nèi)部人員或給出的實際規(guī)格外,這些信息還需要攻擊者進行逆向工程。

研究人員選擇了兩種采用不同調(diào)制方案的典型胎壓傳感器,這兩款傳感器都用于美國市場份額較高的汽車。為了防止被黑客利用,研究人員將這些傳感器簡稱為輪胎壓力傳感

器A(TPS-A)和輪胎壓力傳感器B(TPS-B)。

逆向TPMS協(xié)議需要捕獲和分析原始信號數(shù)據(jù),研究人員將GNURadio與通用軟件定義無線電設(shè)備USRP結(jié)合使用。GNURadio是一個開源的免費軟件工具包,提供在主機

處理平臺上運行的信號處理模塊庫。使用GNURadio實現(xiàn)的算法可以直接從USRP接收數(shù)據(jù),USRP是通過各種子板提供射頻訪問的硬件,包括能夠接收在50~870MHz范圍內(nèi)

的RF的TVRX子板和能夠從DC到30MHz接收的LFRX子板。為了方便起見,研究人員最初使用了Agilent89600矢量信號分析儀(VSA)進行數(shù)據(jù)采集。壓力傳感器模塊、觸發(fā)器工具和軟件定義無線電設(shè)備如圖6．25所示。圖6．25壓力傳感器模塊、觸發(fā)器工具和軟件定義無線電設(shè)備

3.逆向工程詳述

研究人員利用每個TPMS傳感器收集一些傳輸信號,利用VSA測試完全捕獲傳輸所需的頻譜帶寬。當(dāng)使用ATEQVT55觸發(fā)傳感器時,傳感器靠近VSA接收天線放置。盡管使用VSA完成了最初的數(shù)據(jù)收集,但研究團隊轉(zhuǎn)而使用USRP來說明研究結(jié)果(以及隨后的攻擊)可以通過低成本硬件來實現(xiàn)。使用USRP進行數(shù)據(jù)收集的另一個優(yōu)點是,它能夠為LF和HF頻段提供同步收集功能,提取激活信號和傳感器響應(yīng)之間的重要定時信息。

1)確定物理層特征

表征傳感器物理層特征的第一階段涉及測量帶寬和其他物理量屬性。

2)確定調(diào)制方案

通過基帶波形分析,研究人員確立了兩種不同的調(diào)制方案。

3)確定編碼方案

盡管調(diào)制方案不同,但兩個傳感器都使用了曼徹斯特編碼。波特率可以在曼徹斯特編碼下被直接觀察到,大約為5kBd。

4)重構(gòu)消息格式

雖然兩款傳感器都使用差分曼徹斯特編碼,但它們的數(shù)據(jù)包格式差別很大,因此還要確定每個傳感器剩余位的消息映射。為了理解每個字段的具體含義,研究人員通過改變單

個參數(shù)(如使用焊槍和冰箱調(diào)整溫度),或調(diào)整壓力來操縱傳感器傳輸,并觀察消息中哪些比特位被改變。通過同時使用ATEQVT55,研究人員還能夠觀察實際傳輸?shù)闹?并將它們

與解碼比特相關(guān)聯(lián),利用這種方法,研究人員確定了TPS-A和TPS-B的大部分消息字段及其含義,包括溫度、壓力和傳感器ID,如圖6．26所示。研究人員還確定了數(shù)據(jù)包使用的CRC校驗和并通過暴力破解確定了CRC多項式。圖6．26數(shù)據(jù)包格式的說明

4.竊聽TPMS信號

雖然輪胎氣壓數(shù)據(jù)不需要很強的保密性,但TPMS協(xié)議包含可用于追蹤設(shè)備位置的標(biāo)識符。實際上,傳輸?shù)男什粌H取決于通信范圍,還取決于觀測車輛的消息的傳送頻率和

速度,這些因素影響傳輸是否發(fā)生在通信范圍內(nèi)。

在逆向工程步驟中,研究人員開發(fā)了兩個Matlab解碼器:一個ASK解碼器調(diào)制TPS-A,另一個FSK解碼器調(diào)制TPS-B。為使用GNURadio和USRP記錄有用的數(shù)據(jù),研究人員

創(chuàng)建了一個實時竊聽系統(tǒng),使用GNURadio的標(biāo)準(zhǔn)Python腳本usrprxcfile.py以250kHz的速率對采樣通道進行采樣,然后將記錄的數(shù)據(jù)傳送到分組檢測器。一旦分組檢測器識別出信道中的高能量信號,就提取完整的數(shù)據(jù)包并將相應(yīng)的數(shù)據(jù)傳遞給解碼器以提取壓力值、溫度值和傳感器ID。

如果解碼成功,傳感器ID將被輸出到屏幕,原始數(shù)據(jù)包信號和時間戳將被存儲以備后續(xù)分析。為了能夠從多個不同的TPMS系統(tǒng)捕獲數(shù)據(jù),竊聽系統(tǒng)還需要一個調(diào)制分類器來識別調(diào)制方案,并選擇相應(yīng)的解碼器。竊聽系統(tǒng)如圖6．27所示。圖6．27竊聽系統(tǒng)框圖

5.欺騙攻擊

遠(yuǎn)程竊聽TPMS通信數(shù)據(jù)包讓研究人員能夠進一步探索將偽造數(shù)據(jù)發(fā)送到與安全相關(guān)的車載系統(tǒng)中的可行性。與竊聽信號相比,發(fā)送偽造數(shù)據(jù)包這種威脅會帶來更大的風(fēng)險。

研究人員進行了偽造數(shù)據(jù)包和欺騙攻擊的實驗,以驗證車內(nèi)接收機是否足夠抵抗來自車外的干擾和欺騙;系統(tǒng)是否使用認(rèn)證、輸入驗證或過濾機制來拒絕偽造的數(shù)據(jù)包。

竊聽者可以實時監(jiān)測TPMS傳輸并解碼ASK調(diào)制的TPS-A消息和FSK調(diào)制的TPS-B消息。研究人員的數(shù)據(jù)包掃描系統(tǒng)建立在竊聽之上,如圖6．28所示。數(shù)據(jù)包發(fā)生器獲取兩組參數(shù):傳感器類型和傳感器ID,溫度、壓力和用戶的狀態(tài)標(biāo)志,進而生成一個正確公式的消息,然后在插入適當(dāng)?shù)那皩?dǎo)碼的同時,在基帶調(diào)制消息,最后利用定制的GNURadioPython腳本,以期望的頻率(315MHz/433MHz)對惡意傳感器數(shù)據(jù)包進行變頻和傳輸(連續(xù)或僅傳輸一次)。研究人員注意到,一旦捕獲了傳感器ID和傳感器類型,就可以在預(yù)先定義的時間段內(nèi)創(chuàng)建并重復(fù)傳輸偽造的消息。圖6．28偽造數(shù)據(jù)包

進行實驗時,由于沒有可用的USRP子板能夠以315MHz/433MHz的頻率傳輸數(shù)據(jù),研究人員采用了一個頻率混合方法:利用兩個XCVR2450子板和一個混頻器(微型電

路ZLW11H),隨后發(fā)送一個音頻信號,通過XCVR2450進入混音器的L0端口。研究人員能夠?qū)碜云渌鸛CVR2450的欺騙數(shù)據(jù)包混合到適當(dāng)?shù)念l率——315MHz,并且利用5.0GHz和5.315GHz的信號偽造數(shù)據(jù)包。為了驗證系統(tǒng)的合理性,使用TPMS觸發(fā)工具對偽造的數(shù)據(jù)包進行解碼。圖6．29所示顯示了ATEQVT55收到偽造數(shù)據(jù)包后的屏幕截

圖,數(shù)據(jù)包的傳感器ID為DEADBEEF,輪胎壓力為0PSI。圖6．29TPMS觸發(fā)工具顯示帶有傳感器ID“DEADBEEF”的偽造數(shù)據(jù)包

6.進一步分析

車輛ECU會忽略傳感器ID與輪胎ID不匹配的情況。例如,傳送帶有左前輪ID和0PSI壓力的偽造包,會發(fā)現(xiàn)0PSI立即反映在儀表板胎壓顯示屏上。通過發(fā)送帶有警報位設(shè)置的信息,研究人員能夠立即點亮低壓警示燈,如圖6．30所示。圖6．30儀表板截圖

研究人員首先分析了車輛靜止時欺騙攻擊的有效性,測量了攻擊系統(tǒng)側(cè)對車頭時的攻擊范圍,有效攻擊范圍達(dá)到了38m。研究人員在實驗中只使用了低成本天線和軟件定義無線電設(shè)備,如果使用放大器、高增益天線或天線陣列,可以進一步擴展欺騙攻擊的范圍。

6.4藍(lán)牙通信系統(tǒng)安全

6.4.1車載藍(lán)牙系統(tǒng)概述作為一種窄帶寬傳輸技術(shù),藍(lán)牙技術(shù)有以下幾個主要的特點:一是開放性,藍(lán)牙無線通信技術(shù)的規(guī)范完全是公開和共享的,因此不同行業(yè)有使用這一技術(shù)需求的廠家可以便捷地了解并應(yīng)用這一技術(shù);二是兼容性,不同公司的藍(lán)牙產(chǎn)品之間可以實現(xiàn)互操作和數(shù)據(jù)共享,為藍(lán)牙技術(shù)的應(yīng)用奠定了基礎(chǔ);三是可移植性,該技術(shù)可應(yīng)用于多種場合。圖6．31所示為車載藍(lán)牙。圖6．31車載藍(lán)牙

如今藍(lán)牙通信在汽車上的應(yīng)用主要有汽車藍(lán)牙鑰匙、藍(lán)牙免提通信、藍(lán)牙后視鏡、車載藍(lán)牙娛樂系統(tǒng)、車載藍(lán)牙自診斷技術(shù)、汽車藍(lán)牙防盜系統(tǒng)、汽車駕駛盤控制系統(tǒng)等幾個

方面。

1)汽車藍(lán)牙鑰匙

藍(lán)牙鑰匙的核心是鑰匙控制軟件,車主們通過藍(lán)牙鑰匙App手機客戶端即可一鍵智能控制汽車藍(lán)牙終端,實現(xiàn)汽車上鎖、解鎖、開啟后備箱等功能。

2)藍(lán)牙免提通信

藍(lán)牙車載電話利用的是藍(lán)牙的無線通信技術(shù),車載電話通過藍(lán)牙訪問用戶的手機SIM卡,識別其中的信息,包括手機號碼、服務(wù)商、用戶ID、聯(lián)系人等,并且能夠自動登錄電話

運營商的網(wǎng)絡(luò),實現(xiàn)用戶手機與車載電話的無線連接。

3)藍(lán)牙后視鏡

汽車藍(lán)牙后視鏡即后視鏡通過藍(lán)牙與手機連接,變成一個新型的車載電話,后視鏡能夠在鏡面中顯示來電電話號碼,并且集成免提通話功能。

4)車載藍(lán)牙娛樂系統(tǒng)

現(xiàn)在市面上流行的車載藍(lán)牙娛樂系統(tǒng)是導(dǎo)航一體機,在車載GPS導(dǎo)航的基礎(chǔ)上增加了藍(lán)牙車載電話功能,不但可以接聽和撥打電話,還可以實現(xiàn)與智能手機的存儲器通信,實

現(xiàn)圖片、音頻、視頻文件在導(dǎo)航一體機中的播放和顯示。

5)車載藍(lán)牙自診斷技術(shù)

通過車載藍(lán)牙自診斷技術(shù),能將汽車自診斷功能通過藍(lán)牙傳輸技術(shù)發(fā)送給帶藍(lán)牙功能的智能設(shè)備,而通過智能設(shè)備,駕駛?cè)藛T能夠快速地收到汽車中的故障代碼及故障代碼所

對應(yīng)的含義,能夠?qū)囕v的性能及狀態(tài)進行評估,確保車輛使用的安全性。

6)汽車藍(lán)牙防盜系統(tǒng)

現(xiàn)有的汽車車門藍(lán)牙防盜系統(tǒng)的工作原理是通過手機藍(lán)牙與車載藍(lán)牙進行匹配,然后通過手機App應(yīng)用軟件來實現(xiàn)車門鎖止和車門解鎖;發(fā)動機防盜的工作原理是通過藍(lán)牙來

控制發(fā)動機的啟動電路的通斷,進而實現(xiàn)發(fā)動機防盜。藍(lán)牙防盜系統(tǒng)的控制原理是當(dāng)車載藍(lán)牙能夠找到合法的手機藍(lán)牙信號時,發(fā)動機可正常啟動,而無法找到手機藍(lán)牙信號或者手機藍(lán)牙信號不合法時,無法啟動發(fā)動機。有些藍(lán)牙防盜系統(tǒng)還可以實現(xiàn)車輛的遙控啟動及空調(diào)的遙控啟動。

7)汽車駕駛盤控制系統(tǒng)

汽車駕駛盤控制系統(tǒng)是一種簡單的汽車智能化方案,利用藍(lán)牙傳輸技術(shù)實現(xiàn)汽車方向盤面板開關(guān)電子化優(yōu)化設(shè)計,克服傳統(tǒng)駕駛過程中需要低頭找開關(guān)的弊端,使得大部分操

作在方向盤上實現(xiàn)。

6.4.2藍(lán)牙通信攻擊技術(shù)分析

1.藍(lán)牙關(guān)鍵技術(shù)介紹

藍(lán)牙技術(shù)的核心是實現(xiàn)無線連接。相較于傳統(tǒng)的有線連接,通過藍(lán)牙技術(shù),可以更好地用無線接口實現(xiàn)設(shè)備互通互聯(lián),移植性非常強。從客觀上來講,藍(lán)牙技術(shù)并不是一味地追求技術(shù)的先進性,它的目標(biāo)是價格低廉、方便實用、全球互通、結(jié)構(gòu)精簡和能耗低,并不強調(diào)技術(shù)的高精尖性。

1)選擇頻段、地址碼、速率

藍(lán)牙頻段是全球通用的2.4GHzISM頻段,這個頻段無需申請許可即可以使用,藍(lán)牙技術(shù)“國界”的障礙就這樣被該頻段消除了。

根據(jù)IEEE802標(biāo)準(zhǔn),任何一個藍(lán)牙設(shè)備都可得到一個公開的地址碼,這是一個唯一的48比特的藍(lán)牙地址碼(BDADDR)。有兩種方式對這個地址碼進行檢查:一種是人工方

式;一種是自動方式。

2)跳頻擴頻與糾錯的方案

因為ISM頻段是一種對外界完全開放的頻段,所以在ISM頻段里運行的各種各樣的移動設(shè)備,相互間都會造成巨大的干擾,這些干擾是難以預(yù)測的,如IPAD、個人移動筆記

本電腦、藍(lán)牙音箱、藍(lán)牙耳機、汽車藍(lán)牙鑰匙等。這些設(shè)備的工作頻段都有可能處在ISM頻段,因此藍(lán)牙系統(tǒng)的傳送錯誤率很高,比一般的應(yīng)用水平高出很多。

藍(lán)牙技術(shù)目前為止比較明確的糾錯方案分為三種,分別是1/3比例前向糾錯編碼(FEC)、2/3比例前向糾錯編碼和自動重發(fā)請求(ARQ)。在藍(lán)牙系統(tǒng)中,為了保障通信的

快速有效,數(shù)據(jù)重發(fā)的次數(shù)是一定要被減少的,而減少數(shù)據(jù)重發(fā)的次數(shù)的有效方法,就是采用前向糾錯。

3)鏈路類型

在藍(lán)牙系統(tǒng)中,主要存在兩種不同的物理鏈路,一種叫做異步無連接鏈路ACL(AsynchronousConnectionless),還有一種叫做同步面向連接鏈路SCO(SynchronousConnectionOriented)。當(dāng)對時間要求不那么緊迫,不是那么敏感的時候,比如在傳輸一些文件數(shù)據(jù)或者控制代碼時,需要確保的是數(shù)據(jù)的完整性和可靠性,而不是要求速度快,

一般使用異步無連接鏈路ACL,用以傳輸一些同步或異步數(shù)據(jù);當(dāng)傳輸?shù)臄?shù)據(jù)對時間要求非常高時,比如使用藍(lán)牙音箱、藍(lán)牙耳機時,由于要傳輸語音信號,這時設(shè)備對時間的要求就非常高,否則會造成卡頓,就必須采用同步面向連接鏈路SCO,主要傳輸一些點對點的、對稱的同步數(shù)據(jù)。這兩條鏈路的特點、性能與收發(fā)規(guī)律都各不相同

4)安全機制

任何一種通信技術(shù),安全技術(shù)都是最關(guān)鍵、最核心的技術(shù),藍(lán)牙系統(tǒng)也是如此。只有安全性得到了可靠的保障,藍(lán)牙技術(shù)才能大范圍地推廣應(yīng)用,如果安全性有問題,藍(lán)牙技術(shù)

就會面臨巨大的風(fēng)險挑戰(zhàn)。藍(lán)牙協(xié)議主要有如下三種安全模式:

(1)安全模式1(非安全)。

(2)安全模式2(業(yè)務(wù)層實施的安全性)。

(3)安全模式3(鏈路層實施的安全性)。

在藍(lán)牙系統(tǒng)中,對信息進行加密,主要是使用流密碼的方式。流密碼的特性是對硬件的兼容性比較好,可以基于硬件實現(xiàn),且處于協(xié)議高層的軟件可以很好地對密鑰進行管理。

兩個設(shè)備之間的鑒權(quán)和認(rèn)證,是藍(lán)牙系統(tǒng)非常重要的一部分,而因為藍(lán)牙設(shè)備都要進行連接,因此“詢問應(yīng)答”機制是藍(lán)牙設(shè)備認(rèn)證的最基本的機制。

2.藍(lán)牙安全機制現(xiàn)狀

部分安全機制在藍(lán)牙技術(shù)標(biāo)準(zhǔn)中一開始就制定出來了,它們的制定主要是為了保證信息的保密性、完整性、可接入性和可用性。在藍(lán)牙系統(tǒng)中,藍(lán)牙安全機制提供了很多應(yīng)用服務(wù),如設(shè)備的認(rèn)證、加密和鑒權(quán)等服務(wù)。

在藍(lán)牙的安全機制中,在鏈路層有四種不同的實體用于維護安全性。一個48位的公共藍(lán)牙地址BD_ADDR,該地址對于每一個設(shè)備來說是唯一的;兩個用戶私鑰,128位用于認(rèn)證,8位用于加密;一個128位的隨機數(shù),用于區(qū)別每一次新的處理。認(rèn)證密鑰用于產(chǎn)生加密密鑰,通常出現(xiàn)在加密被激活或請求產(chǎn)生一個加密密鑰的情況下。為了強調(diào)認(rèn)證密鑰的

重要性,認(rèn)證密鑰又稱為鏈路密鑰,鏈路密鑰是半永久性的或臨時的。半永久性密鑰存儲在非易失性存儲器中,在當(dāng)前會話結(jié)束之后仍能使用,臨時密鑰只是在當(dāng)前的會話期間才能夠獲得,在當(dāng)前會話終止之后就不能再使用了。

藍(lán)牙系統(tǒng)面臨的安全威脅很多,攻擊藍(lán)牙的方法也有很多,表6－2列舉了各版本藍(lán)牙面臨的威脅或存在的漏洞。

3.藍(lán)牙嗅探技術(shù)概述

1)藍(lán)牙嗅探的難點

藍(lán)牙嗅探的第一個障礙就是截獲藍(lán)牙跳頻序列。想要獲得完整的藍(lán)牙數(shù)據(jù)傳輸,需要監(jiān)聽所有的79個藍(lán)牙信道,必須進行攔截和過濾以獲得完整的數(shù)據(jù)包,這就要求必須知道

正確的藍(lán)牙跳頻序列。獲得藍(lán)牙跳頻序列的方法有兩個:一是依靠功能強大的軟硬件設(shè)備;另一是需要等待設(shè)備重新建立連接,并從建立連接的數(shù)據(jù)包中獲得跳頻序列。

1)藍(lán)牙抓包

Wireshark作為一款常用的抓包工具被廣泛使用。而V1.12及以上版本的Wireshark中增添了藍(lán)牙協(xié)議標(biāo)準(zhǔn),意味著可以通過Wireshark對捕獲的藍(lán)牙數(shù)據(jù)包進行分析,為嗅

探工作提供了很大的便利。同時,Wireshark也提供了監(jiān)聽本機藍(lán)牙接口的功能,能夠監(jiān)聽與本機相連的藍(lán)牙設(shè)備。圖6．32所示為用Wireshark抓取的藍(lán)牙數(shù)據(jù)包信息。圖6．32用Wireshark抓取的藍(lán)牙數(shù)據(jù)包信息

2)Ubertoothone

藍(lán)牙無線開發(fā)平臺UbertoothOne是由Ubertooth項目組設(shè)計提供的一款用于藍(lán)牙安全研究的硬件。Ubertooth是一個開放源代碼的2.4GHz無線開發(fā)平臺,適用于藍(lán)牙嗅探。

UbertoothOne同樣通過USB接口與計算機相連。圖6．33所示為Ubertoothone。圖6．33UbertoothOne

Ubertooth配合SpecanUI軟件能夠直觀地觀測到實時的藍(lán)牙頻譜信息,如圖6．34所示。圖6．34藍(lán)牙頻譜分析

UbertoothOne支持選擇要監(jiān)聽的信道,或是捕獲藍(lán)牙數(shù)據(jù)包等功能。捕獲的藍(lán)牙數(shù)據(jù)包可以通過Wireshark等軟件進行分析。通過UbertoothOne發(fā)送藍(lán)牙數(shù)據(jù)包目前為止

還是不可能的,這意味著不能使用UbertoothOne實現(xiàn)藍(lán)牙數(shù)據(jù)包的注入操作。

6.5車載收音機系統(tǒng)安全

6.5.1車載收音機系統(tǒng)概述車載收音機是一種小型的無線電接收機,主要用于接收無線電廣播節(jié)目。由于廣播事業(yè)的蓬勃發(fā)展,空中有很多不同頻率的無線電波,如果把這些電波全都接收下來,音頻信號就會像處于鬧市之中一樣,許多聲音混雜在一起,結(jié)果什么也聽不清。

為了選擇所需要的節(jié)目,在接收天線后,設(shè)置有一個選擇性電路,作用是把所需的信號(電臺)挑選出來,并把噪聲信號“濾掉”,以免產(chǎn)生干擾,這就是收聽廣播時所使用的“選臺”按鈕的功能。選擇性電路的輸出是選出某個電臺的高頻調(diào)幅信號,利用它直接推動耳機(電聲器)是不行的,還必須把它恢復(fù)成原來的音頻信號。這種還原電路稱為解調(diào),把解調(diào)的音頻信號送到耳機,就可以收到廣播信號。圖6．35所示為車載收音機系統(tǒng)。

圖6．35車載收音機系統(tǒng)

收音機一般分為兩類:調(diào)幅(AM)收音機和調(diào)頻(FM)收音機。調(diào)幅收音機由輸入回路、本振回路、混頻電路、檢波電路、電路增益控制電路及音頻功率放大電路等組成。本振

信號經(jīng)內(nèi)部混頻器,與輸入信號相混合?；祛l信號經(jīng)中放和455kHz陶瓷濾波器構(gòu)成的中頻選擇回路后變?yōu)橹蓄l信號。至此,電臺的信號轉(zhuǎn)化成了以中頻465kHz為載波的調(diào)幅波。

圖6．36所示為調(diào)幅收音機工作原理圖。圖6．36調(diào)幅收音機工作原理圖

調(diào)頻收音機由輸入回路、高放回路、本振回路、混頻回路、中放回路、鑒頻回路和音頻功率放大器組成。信號與本地振蕩器產(chǎn)生的本振信號進行FM混頻,之后輸出。FM混頻信號由FM中頻回路進行選擇,提取以中頻10.7MHz為載波的中頻波。該中頻選擇回路由10.7MHz濾波器構(gòu)成。中頻調(diào)制波經(jīng)中放回路進行中頻放大,然后進行鑒頻得到音頻信號,經(jīng)功率放大輸出,耦合到揚聲器,還原為聲音,流程與調(diào)幅收音機相似,如圖6．37所示。圖6．37調(diào)頻收音機工作原理圖

6.5.2FM收音機系統(tǒng)攻擊技術(shù)分析

1.無線電數(shù)據(jù)系統(tǒng)介紹

研究人員研究的FM廣播標(biāo)準(zhǔn)包括無線電數(shù)據(jù)系統(tǒng)協(xié)議,相應(yīng)的美國版本是無線電數(shù)據(jù)廣播標(biāo)準(zhǔn)(RDS)。無線電臺使用這些廣泛采用的協(xié)議向接收機傳輸數(shù)據(jù),包括音頻節(jié)目

名稱、替代頻率和交通堵塞更新情況等。

RDS攜帶57kHz信號的信息,在技術(shù)上被稱為副載波。RDS的基帶編碼如圖6．38所示,可以看到每個數(shù)據(jù)組的長度都是104位,每個組分為4個數(shù)據(jù)塊(數(shù)據(jù)塊A、B、C和D)。根據(jù)組中位的不同,可以分為幾種不同類型,其中組2A/2B類型被稱為RadioText(RT),并攜帶任意的ASCII文本;0A/0B類型被稱為項目服務(wù)(PS)類型,PS名稱是指當(dāng)

前電臺的名稱。所有組別都將包含一個計劃識別值(PI),用于識別傳輸發(fā)生的國家,RDS的數(shù)據(jù)速率是1187.5b/s,傳送一個組大約需要87.6ms。RDS有一個內(nèi)置的糾錯機制可以檢測塊中的單位和雙位錯誤。圖6．38RDS基帶編碼

2.攻擊過程概述

研究人員利用RadioText字段傳輸漏洞利用代碼或攻擊腳本,RadioText可攜帶任意的文本數(shù)據(jù),研究人員能夠通過提權(quán)獲得對目標(biāo)的控制權(quán)。攻擊過程分三個階段進行。

階段一,如圖6．39所示,攻擊者有兩個主要任務(wù),對應(yīng)兩條攻擊鏈。

階段二,用戶下載并安裝木馬應(yīng)用程序,使設(shè)備成為攻擊的目標(biāo),然后,該應(yīng)用程序通過更新服務(wù)器更新設(shè)備(這里我們討論的是車載收音機)的功能。

階段三,組裝有效攻擊載荷,由木馬程序執(zhí)行用來提權(quán)進而控制車載收音機或其他車載系統(tǒng)。圖6．39攻擊流程

3.攻擊實驗

研究人員使用幾個低成本的組件構(gòu)建攻擊系統(tǒng)。具體來說,研究人員使用了PIRA32RDS信號發(fā)生器和一個標(biāo)準(zhǔn)的FM發(fā)射器(2mW)。PIRA32由基于ASCII的指令集控制,

RDS信號發(fā)生器能夠產(chǎn)生符合RDS協(xié)議的信號,還可以通過RS232到USB適配器連接到筆記本電腦。FM收音機的天線可以通過多種方式構(gòu)成,這里研究人員使用了一段同軸電

纜,阻抗約為50Ω。

圖6．40展示了發(fā)射器的相關(guān)設(shè)備,研究人員利用BNC(BayonetNeill-Concelman,一種射頻連接器),以及通過BNC連接到發(fā)射器電路(左側(cè)的電路)的RDS編碼器產(chǎn)生音頻信號。圖6.41所示顯示了ParrotAsteroid牌車載收音機(右側(cè))以及

用來攻擊的信號發(fā)射器(左側(cè))。圖6．

40發(fā)射器的相關(guān)設(shè)備圖6．41攻擊實驗相關(guān)設(shè)置

4.攻擊車載收音機

研究人員選擇了配備恩智浦TEF6624FM接收器芯片的ParrotAsteroid品牌的車載收音機系統(tǒng)進行攻擊實驗。

Android調(diào)試橋(AndroidDebugBridge,ADB)是Android設(shè)備的調(diào)試守護進程,它由兩部分組成,一部分是在設(shè)備上運行的守護進程,另一部分是在調(diào)試器或主機系統(tǒng)上運行的組件。借助ADB工具,可以管理設(shè)備或模擬器的狀態(tài),還可以進行很多調(diào)試操作,如安裝軟件、系統(tǒng)升級、運行shell命令等。

最終,研究人員獲得了ParrotAsteroid牌車載收音機的root權(quán)限,控制了ParrotAsteroid收音機系統(tǒng)。然而當(dāng)時,研究者發(fā)現(xiàn)ParrotAsteroid有一個4線UART(通用異155步收發(fā)器)端口,并不能直接連接汽車的其他ECU。研究人員指出,如果ParrotAsteroid收音機系統(tǒng)支持SWC接口,就會向攻擊者暴露CAN總線,也即可以直接遠(yuǎn)程控制汽車的ECU,執(zhí)行開閉車門、升降車窗、打開空調(diào)等一系列危險操作。

6.6WiFi通信系統(tǒng)安全

6.6.1車載WiFi系統(tǒng)概述車載WiFi是面向公交、客車、私家車等公共交通工具推出的無線上網(wǎng)服務(wù)。WiFi終端通過無線接入互聯(lián)網(wǎng)獲取信息、娛樂或移動辦公的業(yè)務(wù)模式。車載WiFi設(shè)備是指裝載在車輛上的通過3G/4G/5G、無線射頻等技術(shù),提供WiFi熱點的無線設(shè)備。圖6．42為車載WiFi。圖6．42車載WiFi

IVI通過配置WiFi芯片,可以搭載WiFi功能模塊,WiFi模塊可以連接到手機或者WiFiAP基站的無線熱點,從而實現(xiàn)部分的車聯(lián)網(wǎng),完善車內(nèi)的影音娛樂系統(tǒng),增加用戶的上網(wǎng)功能,但這也成了黑客們攻擊汽車的一條路徑。圖6．43所示為WiFi攻擊路徑圖。圖6．43WiFi攻擊路徑圖

6.6.2WiFi通信攻擊技術(shù)分析

由于WiFi在移動設(shè)備和傳輸媒介方面的特殊性,使得一些攻擊很容易實施,由于早期有很多接入點(AP),不能確定用戶在訪問網(wǎng)絡(luò)時是否得到安全認(rèn)證,這時候無線局域網(wǎng)的

安全問題就出現(xiàn)了。面對這種情況,IEEE和其他(如WiFi聯(lián)盟)的組織制定了很多的安全標(biāo)準(zhǔn),以應(yīng)對不同的安全漏洞。此處將介紹幾個主要的無線局域網(wǎng)安全協(xié)議:WEP、WPA、

WPA2,并簡要介紹針對這幾種主要協(xié)議的攻擊方法,最后結(jié)合三菱歐藍(lán)德汽車的攻擊案例進行分析。

1.WEP協(xié)議攻擊方法分析

1)WEP協(xié)議簡介

WEP是無線局域網(wǎng)最早的安全協(xié)議,是基于鏈路層保護的安全協(xié)議,設(shè)計的目標(biāo)是為了能讓無線局域網(wǎng)擁有像傳統(tǒng)有線網(wǎng)絡(luò)一樣的安全性能。WEP采用了RC4加密算法保護

數(shù)據(jù)的保密性,AP端和終端采用相同密鑰的方式來認(rèn)證,同時,采用CRC循環(huán)冗余校驗值來保證數(shù)據(jù)的完整性。但這個協(xié)議出來沒多久,就被發(fā)現(xiàn)存在漏洞。

WEP協(xié)議的加密過程如下:運用CRC-32算法計算出完整性檢驗值ICV,并將該值附加在明文的尾部;用24位的初始化向量IV和40位密鑰K混合成密鑰流種子,再用偽隨

機序列產(chǎn)生器PRNG生成密鑰流;將明文和密鑰流異或相加生成密文。WEP加密過程如圖6．44所示。圖6．

44WEP加密過程

2)WEP協(xié)議面臨的主要安全威脅

WEP協(xié)議面臨的安全威脅主要分為兩大類。其一是與RC4算法有關(guān)的威脅。在WEP加密過程中,共享密鑰和IV構(gòu)成最初的種子密鑰,種子密鑰通過RC4生成加密密鑰,最后

通過加密密鑰和明文異或得到密文。因此,可以在截獲兩段密文,而已知一段明文的情況下推斷出另一密文。其二是與RC4算法無關(guān)的威脅。

一方面,WEP通過CRC循環(huán)冗余校驗值來驗證數(shù)據(jù)傳輸?shù)耐暾?但是由于CRC校驗無法提供完整的安全校驗碼,而是通過加密數(shù)據(jù)包后面的ICV值來判斷傳輸數(shù)據(jù)是否被篡改的,因此,攻擊者完全可以通過構(gòu)建一個具有相同ICV值的數(shù)據(jù)包來欺騙,從而造成數(shù)據(jù)接收者無法驗證數(shù)據(jù)的完整性。

另一方面,WEP協(xié)議沒有完整的密鑰管理體系,只是通過一個簡單的共享密鑰來完成整個網(wǎng)絡(luò)的認(rèn)證,這將導(dǎo)致一旦密鑰泄露,這個網(wǎng)絡(luò)用戶的數(shù)據(jù)都將被泄露。此外,WEP采用的認(rèn)證過程是單向認(rèn)證過程,容易造成中間人攻擊。

3)針對WEP協(xié)議的攻擊方法

針對WEP協(xié)議的攻擊方法也分為與RC4算法無關(guān)的攻擊和與RC4算法有關(guān)的攻擊兩大類,大多數(shù)攻擊方法已經(jīng)被Aircrack-ng等工具實現(xiàn)。與RC4無關(guān)的攻擊主要有以下

四類:

(1)數(shù)據(jù)包注入攻擊。攻擊者捕獲WEP網(wǎng)絡(luò)的數(shù)據(jù)包,一段時間后重放。注入攻擊又分為普通注入和ARP注入。

(2)認(rèn)證攻擊。攻擊者捕獲移動工作站(STA)和控制接入點(AP)之間交換的認(rèn)證數(shù)據(jù)包,構(gòu)造新的合法認(rèn)證。

(3)chopchop攻擊。該攻擊利用WEP對用CRC32進行校驗過程中的弱點進行攻擊。

(4)分段攻擊。該攻擊利用了802.11標(biāo)準(zhǔn)允許對數(shù)據(jù)分段中的弱點進行攻擊。

2.WPA/WPA2協(xié)議攻擊技術(shù)分析

1)WPA協(xié)議簡介

如前所述,無線網(wǎng)絡(luò)最初采用的安全機制是WEP(有線等效私密),后來發(fā)現(xiàn)WEP是很不安全的,802.11組織開始著手制定新的安全標(biāo)準(zhǔn),也就是后來的802.11i協(xié)議。但是標(biāo)

準(zhǔn)的制定到最后的發(fā)布需要較長的時間,而且考慮到消費者不會因為網(wǎng)絡(luò)的安全性差而放棄原來的無線設(shè)備,因此WiFi聯(lián)盟在標(biāo)準(zhǔn)推出之前,在802.11i草案的基礎(chǔ)上,制定了一

種稱為WPA的安全機制。

WPA使用TKIP機制,使用的加密算法還是WEP中使用的加密算法RC4,所以不需要修改原來無線設(shè)備的硬件。WPA針對WEP中存在的問題:密鑰管理過于簡單、對消息完整性沒有有效的保護,通過軟件升級的方法提高網(wǎng)絡(luò)的安全性。

2)WPA2協(xié)議簡介

顧名思義,WPA2是WPA的第二代,它與WPA的主要區(qū)別在于需要高級加密標(biāo)準(zhǔn)AES來加密數(shù)據(jù)。WPA2是IEEE802.11i標(biāo)準(zhǔn)的認(rèn)證形式,實現(xiàn)了802.11i的強制性元素,特別是Michael算法被CCMP所取代,而RC4加密算法也被AES所取代。構(gòu)建WPA2的初衷其實是為了向后兼容支持WPA的產(chǎn)品。早期的WPA使用的是TKIP,在以后的產(chǎn)品中,無論是WPA還是WPA2都已經(jīng)支持了AES。表6－

3列出了WPA和WPA2的異同。

WPA協(xié)議的整個加密過程如圖6．45所示。圖6．45WPA/WPA2加密過程

(1)生成MSDU。WPA協(xié)議在計算消息的完整性校驗碼時,使用了MSDU明文數(shù)據(jù)、源地址、目標(biāo)地址和臨時密鑰等多種信息,并用該校驗碼取代了在WEP協(xié)議中使用的

ICV,同時WPA將計算得到的MIC值附加到MSDU,生成傳輸?shù)男畔?。在MSDU較長時,協(xié)議可以將MSDU分為若干個子段。

(2)生成WEP種子。在上一階段中,由臨時密鑰(TK)、發(fā)送方地址(TA)和TKIP序列號(TSC)生成了臨時混合密鑰(TTAK)。本階段中,再由TTAK、TSC和TK雜湊為

WEP種子密鑰。

(3)封裝WEP。在本階段中,協(xié)議將上階段生成的WEP種子密鑰分成WEPIV和RC4算法密鑰兩部分。其中,使用RC4算法密鑰生成密鑰流,然后將生成的結(jié)果與MSDU相異或生成密文MSDU,并將IV附加尾部形成MPDU。

3)WPA/WPA2四次握手

由于WPA和WPA2均基于802.11i,因此在技術(shù)層面上幾乎是相同的,主要區(qū)別在于WPA2要求支持更安全的CCMP,WPA和WPA2均使用802.11i中定義的四次握手。PTK通過成對主密鑰(PairwiseMasterKey,PMK)、AP隨機數(shù)ANonce、STA隨機數(shù)SNonce和雙方MAC地址等計算生成。其中,PMK由登錄密碼等雙方均已知的信息計算生成。后續(xù)正常數(shù)據(jù)加密所使用的臨時密鑰(TemporalKey,TK)派生自PTK。各密鑰、參數(shù)的關(guān)系如圖6．46所示。圖6．46四次握手中各密鑰、參數(shù)關(guān)系

WPA/WPA2使用四次握手的方式來產(chǎn)生所需要的密鑰。四次握手通過一系列的交互,從PMK生成PTK。PMK來自MSK(MasterSessionKey),是MSK的前256位,32字節(jié)。

如圖6．46所示,PTK包含3個部分,KCK(KeyConfirmationKey)、KEK(KeyEncryptionKey)、TK(TemporalKey)。PTK的總長度根據(jù)加密方式不同而不同。當(dāng)加密方式是TKIP時,PTK長512位,按順序分別為KCK占128位,KEK占128位,TK占128位,MICKey占128位,如圖6．47所示。當(dāng)加密方式是CCMP時,PTK長384位,按順序分別為KCK占128位,KEK占128位,TK占128位。圖6．47PTK結(jié)構(gòu)

四次握手的過程可概括如下:

(1)AP把ANonce發(fā)送給終端。終端收到這條消息報文后,就有了生成PTK的全部元素,因為該報文里同時也包含了AP的MAC地址。

(2)終端計算出PTK,把SNonce和自己的MAC地址送給AP。同時,通過PTK中的KCK計算出MIC一并發(fā)給AP

(3)AP收到消息2,可以計算出PTK,再計算MIC與消息2中的MIC對比,如果相同,則發(fā)送一個認(rèn)證通過的消息,該消息同時也包含了MIC。

(4)終端收到消息3后,計算MIC是否與消息3中的MIC相同,如果相同,說明PTK已經(jīng)裝好,后面的數(shù)據(jù)可以加密了。

圖6．48所示為四次握手流程

。圖6．48四次握手流程

4)針對WPA/WPA2的主要攻擊方式

WPA/WPA2協(xié)議的設(shè)計初衷是為了修復(fù)WEP協(xié)議暴露的一些安全問題,雖然在很大程度上抵御了重放攻擊、弱密鑰攻擊、統(tǒng)計攻擊,但是隨著新的破解手段層出不窮,已經(jīng)

有一些研究者找到了WPA/WPA2協(xié)議的安全弱點,并且開發(fā)了一些破解工具。

(1)密鑰攻擊。

(2)中間人攻擊。

(3)拒絕服務(wù)攻擊。

(4)密鑰重載攻擊。

研究人員采用的攻擊方式被命名為密鑰重載攻擊(KeyReinstallationAttacks),如圖6．49所示。漏洞成因在于802.11標(biāo)準(zhǔn)中沒有定義在四次握手(和其他握手)中何時應(yīng)該安裝協(xié)商密鑰,攻擊者可通過誘使多次安裝相同的密鑰,從而重置由加密協(xié)議使用的隨機數(shù)和重放計數(shù)器。技術(shù)細(xì)節(jié)可參閱奇虎360CERT團隊翻譯的《密鑰重載攻擊:強制WPA2

重用Nonce》一文。圖6．49密鑰重載攻擊

3.案例分析:攻擊三菱歐藍(lán)德

2016年6月,研究機構(gòu)