林永明 侯慧健 段 斌 吳健偉

（威凱檢測(cè)技術(shù)有限公司 廣州 510663）

前言

隨著電動(dòng)自行車和新能源汽車保有量的持續(xù)增長(zhǎng)，相應(yīng)配套的智能充電樁的建設(shè)也不斷加快，吸引了大批廠家投入到智能充電樁市場(chǎng)。智能充電樁主要是通過(guò)投放設(shè)備，賺取用戶充電費(fèi)的差價(jià)來(lái)賺錢的，盡管廠家已為智能充電樁設(shè)置了各種防竊電功能，但還是有不法分子利用充電樁漏洞成功竊電。2017年，北京一網(wǎng)約車司機(jī)董某在半年的時(shí)間內(nèi)竊電382次，其利用企業(yè)充電軟件的漏洞，使用了“卡秒法”和“捏槍法”來(lái)實(shí)現(xiàn)免費(fèi)或低價(jià)充電；同樣在北京，2018年蔡某通過(guò)改裝充電樁線路，偷電100余次，涉案金額上萬(wàn)元。

不法分子的竊電手段層出不窮，給企業(yè)的經(jīng)營(yíng)帶來(lái)?yè)p失。鑒于此，本文以電動(dòng)自行車智能充電樁為例，從抗電磁干擾和感應(yīng)卡兩個(gè)方向，找出智能充電樁的竊電風(fēng)險(xiǎn)漏洞，并對(duì)其進(jìn)行實(shí)驗(yàn)探究，同時(shí)提出對(duì)應(yīng)的改進(jìn)方案，給智能充電樁企業(yè)提供參考。

1 竊電風(fēng)險(xiǎn)點(diǎn)分析

1.1 電磁脈沖干擾

以電動(dòng)自行車智能充電樁為例，目前市面上的電動(dòng)自行車智能充電樁廠商都宣稱具有防過(guò)充、防過(guò)載、防浪涌和超溫保護(hù)等功能，功能的復(fù)雜化導(dǎo)致了產(chǎn)品電子電路的復(fù)雜程度增大，產(chǎn)品抗電磁干擾的能力也受到限制?！靶『诤小笔且环N高頻電磁脈沖干擾器，它是通過(guò)特斯拉線圈原理制作，通過(guò)變壓器升壓產(chǎn)生高頻率、高強(qiáng)度的電磁脈沖攻擊電子產(chǎn)品的電子電路和芯片。

不法分子使用“小黑盒”攻擊智能充電樁（如圖1），受到高頻電磁脈沖干擾后智能充電樁的時(shí)鐘控制功能可能會(huì)失效，其輸出電路會(huì)長(zhǎng)時(shí)間輸出電壓，從而達(dá)到竊電目的。更嚴(yán)重者，智能充電樁內(nèi)部電路元件在受到電磁脈沖的干擾時(shí)就會(huì)出現(xiàn)功能異常甚至是徹底失效，很容易發(fā)生短路火災(zāi)，造成人員和財(cái)產(chǎn)損失。

1.2 感應(yīng)卡的復(fù)制

智能充電樁的感應(yīng)卡一般是非接觸式RF射頻卡，通常是將一段唯一的身份識(shí)別碼事先寫入卡中，然后數(shù)據(jù)庫(kù)再同步儲(chǔ)存這段ID碼，刷感應(yīng)卡就是讀取ID，再調(diào)用數(shù)據(jù)庫(kù)的ID，與所讀取的ID認(rèn)證比對(duì)，驗(yàn)證身份后再進(jìn)行下一步動(dòng)作。如果感應(yīng)卡沒有在卡內(nèi)進(jìn)行加密處理，感應(yīng)卡就可能通過(guò)特殊的讀卡器將感應(yīng)卡的信息讀取復(fù)制到空卡之中，復(fù)制卡中存儲(chǔ)有相同的剩余金額。每復(fù)制一張感應(yīng)卡，剩余余額都會(huì)相應(yīng)的增加，從而達(dá)到竊電目的。

2 竊電風(fēng)險(xiǎn)點(diǎn)實(shí)驗(yàn)驗(yàn)證

2.1 電磁脈沖干擾試驗(yàn)

為了研究智能充電樁對(duì)電磁脈沖干擾的防護(hù)能力，使用了“小黑盒”對(duì)幾款不同型號(hào)的電動(dòng)自行車智能充電樁進(jìn)行攻擊實(shí)驗(yàn)，驗(yàn)證智能充電樁防竊電風(fēng)險(xiǎn)能力。

選取市面上幾種不同價(jià)位的電動(dòng)自行車智能充電樁，價(jià)格分別為270元、1 088元和1 590元的三款產(chǎn)品，分別標(biāo)記為樣品A、樣品B、樣品C（如圖2所示）；用“小黑盒”對(duì)幾款樣品進(jìn)行攻擊，以強(qiáng)電磁脈沖干擾來(lái)驗(yàn)證不同的電動(dòng)自行車智能充電樁產(chǎn)品對(duì)電磁干擾的防護(hù)能力。

圖1 利用特斯拉線圈原理制作的“小黑盒”

圖2 三種不同類型樣品

使用“小黑盒”對(duì)三款樣品進(jìn)行干擾測(cè)試：

1）樣品A的電磁脈沖干擾試驗(yàn)

測(cè)試中，發(fā)現(xiàn)線圈在對(duì)樣品A開始攻擊時(shí)，樣品A的內(nèi)部隨即產(chǎn)生異響，計(jì)數(shù)電表開始閃爍，在持續(xù)一段時(shí)間的攻擊后，計(jì)數(shù)電表黑屏，整臺(tái)設(shè)備損壞，斷開電源后嘗試對(duì)樣品進(jìn)行重啟，發(fā)現(xiàn)重啟失敗，對(duì)樣品A內(nèi)部的集成電路使用示波器和萬(wàn)用表進(jìn)行檢驗(yàn)電路，發(fā)現(xiàn)內(nèi)部控制器芯片已經(jīng)損壞，設(shè)備報(bào)廢。

2）樣品B的電磁脈沖干擾試驗(yàn)

測(cè)試中，樣品B在經(jīng)受線圈干擾的過(guò)程中，剛開始干擾時(shí)，內(nèi)部產(chǎn)生輕微異響，計(jì)數(shù)電表正常顯示；在持續(xù)一段時(shí)間的攻擊后，樣品顯示界面亂碼（見圖3），計(jì)數(shù)電表依然正常計(jì)數(shù)；停止攻擊后，等待計(jì)數(shù)電表時(shí)鐘倒計(jì)時(shí)；發(fā)現(xiàn)當(dāng)計(jì)數(shù)電表時(shí)鐘倒計(jì)為0時(shí)，樣品的外接端口仍然在通電，并沒有斷開電源；將樣品進(jìn)行重啟，發(fā)現(xiàn)外接端口仍然處于通電狀態(tài)；對(duì)其內(nèi)部電路進(jìn)行檢測(cè)，發(fā)現(xiàn)內(nèi)部電路元件正常。

3）樣品C的電磁脈沖干擾試驗(yàn)

測(cè)試中樣品C經(jīng)受干擾過(guò)程中，樣品C內(nèi)部沒有異響，顯示屏正常顯示，持續(xù)攻擊一段時(shí)間后，顯示屏顯示正常，計(jì)數(shù)電表正常；停止攻擊后，等待計(jì)數(shù)電表時(shí)鐘倒計(jì)時(shí)，發(fā)現(xiàn)當(dāng)計(jì)數(shù)電表時(shí)鐘倒計(jì)為0時(shí)，樣品的外接端口仍然在通電，并沒有斷開電源控制；斷開電源后嘗試對(duì)樣品進(jìn)行重啟，外接端口為斷開狀態(tài)，樣品恢復(fù)正常，對(duì)其內(nèi)部電路進(jìn)行檢測(cè)，發(fā)現(xiàn)內(nèi)部電路元件正常。

通過(guò)上述的幾個(gè)試驗(yàn)，發(fā)現(xiàn)“小黑盒”的磁場(chǎng)干擾會(huì)對(duì)電動(dòng)自行車智能充電樁的結(jié)構(gòu)和功能產(chǎn)生影響，結(jié)果對(duì)比如表1所示。

通過(guò)這幾個(gè)實(shí)驗(yàn)現(xiàn)象，我們可以發(fā)現(xiàn)：

1）“小黑盒”產(chǎn)生的電磁脈沖干擾對(duì)智能充電樁電氣結(jié)構(gòu)、使用性能均存在一定程度的影響。

2）價(jià)格較高、做工較為優(yōu)良的電動(dòng)自行車智能充電樁對(duì)磁場(chǎng)干擾的防護(hù)能力較高，但是其電路防護(hù)等級(jí)仍然存在不足，需要改進(jìn)。

3）三款樣品受到“小黑盒”攻擊，除了樣品A損壞無(wú)法通電外，其余兩款樣品均在計(jì)數(shù)電表時(shí)鐘倒計(jì)為0后，外接端口仍然可以通電，不法分子可以利用該漏洞進(jìn)行竊電等違法行為。

2.2 感應(yīng)卡的復(fù)制試驗(yàn)

選取了上述樣品A的感應(yīng)卡，該感應(yīng)卡為M1卡，對(duì)其嘗試使用特殊的讀卡器進(jìn)行空卡復(fù)制，觀察空卡是否可以成功復(fù)制數(shù)據(jù)，并且在智能充電樁上刷卡，觀察是否可以成功充電。

圖3 受到攻擊時(shí)樣品顯示界面亂碼

表1 “小黑盒”對(duì)智能充電樁影響

先對(duì)智能充電樁M1卡進(jìn)行配置，確保M1卡寫入正常的開門ID，再使用可以保存DUMP格式文件的ID卡讀寫器，對(duì)M1卡樣品進(jìn)行數(shù)據(jù)讀寫（見圖4），并且將讀取到的數(shù)據(jù)寫入空卡之中，感應(yīng)卡數(shù)據(jù)被成功讀寫入空卡。用復(fù)制數(shù)據(jù)后的M1卡在智能充電樁上刷卡，發(fā)現(xiàn)智能充電樁可以通電。

3 竊電風(fēng)險(xiǎn)改善方案

面對(duì)以上各種竊電風(fēng)險(xiǎn)，可以利用一些技術(shù)或者管理的方法改善和避免，從而增加產(chǎn)品防竊電風(fēng)險(xiǎn)。

3.1 電磁脈沖干擾改善方案

智能充電樁在進(jìn)行完電磁脈沖干擾實(shí)驗(yàn)后出現(xiàn)電子電路損壞以及計(jì)時(shí)時(shí)鐘失效。經(jīng)過(guò)試驗(yàn)后分析，發(fā)現(xiàn)主要原因是智能充電樁的電路和結(jié)構(gòu)設(shè)計(jì)存在缺陷、軟件程序設(shè)置不合理以及選取了抗干擾能力較差的元器件等。

針對(duì)電磁脈沖干擾問(wèn)題，企業(yè)可以在智能充電樁中設(shè)置濾波電路，濾波電路能有效的過(guò)濾智能充電樁電控系統(tǒng)以外的干擾信號(hào)。另外在設(shè)置濾波電路的同時(shí)，可以對(duì)濾波電路設(shè)置識(shí)別電子信號(hào)的多點(diǎn)判斷。比如智能充電樁在接收到充電信息時(shí)，接收到有5個(gè)外來(lái)信號(hào)，只有全部外來(lái)信號(hào)都判斷真，才能進(jìn)行充電，如此一來(lái)，將有效地消除電磁脈沖干擾帶來(lái)的影響。

另外針對(duì)“小黑盒”攻擊，企業(yè)可以選擇高頻電磁屏蔽材料，將需要防護(hù)的電路包圍在其中。高頻電磁屏蔽以屏蔽電磁波為主要目的，屏蔽所依據(jù)的原理是楞次定律，利用屏蔽罩內(nèi)的感生電磁場(chǎng)來(lái)抵消外來(lái)電磁干擾。企業(yè)可以選擇用良導(dǎo)體制作屏蔽罩，如鋁、銅或鐵材質(zhì)等。選取了一款鐵材質(zhì)外殼的智能充電樁，利用“小黑盒”攻擊時(shí)，除樣品有輕微異響外，其余顯示屏無(wú)亂碼、樣品時(shí)鐘電路無(wú)故障（見圖5）。

3.2 感應(yīng)卡復(fù)制改善方案

感應(yīng)卡復(fù)制實(shí)驗(yàn)顯示M1卡的交易安全性極差。M1卡沒有驗(yàn)證裝置合法性的能力，其利用口令保護(hù)錢包，口令變更時(shí)明文容易被截取，也不會(huì)校驗(yàn)口令出錯(cuò)的次數(shù)。同時(shí)，M1卡采取固定密鑰，沒有硬件加密的模塊，一旦計(jì)算密鑰和原來(lái)寫入的固定密碼相同，即可讀寫被保護(hù)的數(shù)據(jù)。故此無(wú)論是統(tǒng)一密碼的系統(tǒng)還是一卡一密的系統(tǒng)，只要破解后就能夠?qū)崿F(xiàn)對(duì)M1卡的復(fù)制以及解密。針對(duì)M1卡容易被復(fù)制的情況，在這里提出兩點(diǎn)改善的思路。

圖4 復(fù)制感應(yīng)卡數(shù)據(jù)

圖5 鐵材質(zhì)外殼的智能充電樁

3.2.1 方案1

既然M1卡無(wú)法避免被復(fù)制，那么可以從禁用復(fù)制后的克隆卡入手，只要克隆卡不可用，那么也能認(rèn)為可以規(guī)避了竊電風(fēng)險(xiǎn)。方法如下：

1）M1卡首次在讀卡裝置讀卡時(shí)，讀卡裝置會(huì)在M1卡上分配一個(gè)計(jì)數(shù)區(qū)，并寫入一個(gè)刷卡次數(shù)初始數(shù)，同時(shí)在讀卡裝置的儲(chǔ)存器上記錄該M1卡的ID和刷卡次數(shù)初始數(shù)；

2）M1卡每次刷卡后，M1卡上的寄存器和讀卡裝置上對(duì)應(yīng)ID號(hào)的寄存器刷卡次數(shù)都會(huì)自動(dòng)加1；

3）判斷M1卡上的寄存器和讀卡裝置上的寄存器刷卡次數(shù)是否相等，當(dāng)有兩張以上相同ID號(hào)的M1卡在讀卡裝置上刷卡時(shí)，使讀卡裝置上寄存器讀數(shù)大于M1卡的寄存器讀數(shù)，從而判斷存在克隆卡的情況。此時(shí)讀卡裝置禁用該ID號(hào)的卡，無(wú)論是原始的M1卡還是克隆卡。如此一來(lái)，可以避免不法分子利用克隆卡達(dá)到竊電目的。

3.2.2 方案2

企業(yè)可以改為使用非接觸CPU卡。非接觸CPU卡的系統(tǒng)比M1卡系統(tǒng)相對(duì)更加安全，交易流程和密鑰管理有著更加復(fù)雜的流程，使其不容易被不法分子破解。讀卡裝置里的身份認(rèn)證密鑰（SAM卡）發(fā)送隨機(jī)數(shù)與非接觸CPU卡的隨機(jī)數(shù)發(fā)生器以及加密算法相互認(rèn)證。通過(guò)對(duì)非接觸CPU卡發(fā)送給SAM卡的MAC1，SAM卡發(fā)送給CPU的MAC2和由CPU卡返回的TAC，可以實(shí)現(xiàn)數(shù)據(jù)傳輸驗(yàn)證的計(jì)算，而和TAC和MAC1、MAC2是同一張非接觸CPU卡每次傳輸?shù)倪^(guò)程中都是不同的[1]。因此無(wú)法使用空中接收的辦法來(lái)破解非接觸CPU卡的密鑰。

由于非接觸CUP卡密鑰伴隨著隨機(jī)數(shù)發(fā)生，密鑰不容易破解，比起M1卡固定密鑰更加安全可靠。有見及此，非接觸CPU卡的安全系數(shù)比M1卡要高，然而由于非接觸CPU卡系統(tǒng)成本較高，目前大部分智能充電樁企業(yè)更傾向于使用M1卡。

4 結(jié)論

本文從電磁脈沖干擾和感應(yīng)卡支付兩方面出發(fā)，對(duì)智能充電樁進(jìn)行竊電風(fēng)險(xiǎn)研究分析。在實(shí)際測(cè)試中，發(fā)現(xiàn)這兩方面都存在一定的竊電風(fēng)險(xiǎn)隱患，不法分子很容易就能利用智能充電樁電磁脈沖干擾和感應(yīng)卡支付的漏洞實(shí)現(xiàn)竊電行為。然而由于電動(dòng)自行車智能充電樁一直沒有行業(yè)標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)，電動(dòng)汽車智能充電樁國(guó)家標(biāo)準(zhǔn)GB/T 18487.1-2015《電動(dòng)汽車傳導(dǎo)充電系統(tǒng) 第1部分：通用要求》也沒有針對(duì)感應(yīng)卡的測(cè)試條款，企業(yè)沒有有效的法律法規(guī)來(lái)指導(dǎo)和規(guī)范其產(chǎn)品的生產(chǎn)。

有鑒于此，本文針對(duì)企業(yè)在竊電風(fēng)險(xiǎn)防控的漏洞，提出上述幾點(diǎn)改善方案，希望可以為企業(yè)的產(chǎn)品設(shè)計(jì)提供參考。也希望智能充電樁行業(yè)以及相關(guān)檢測(cè)認(rèn)證機(jī)構(gòu)能針對(duì)這些產(chǎn)品漏洞，提出更完善的檢測(cè)標(biāo)準(zhǔn)，為企業(yè)提供測(cè)試方法上的理論指導(dǎo)。