林永明 侯慧健 段 斌 吳健偉

（威凱檢測技術(shù)有限公司 廣州 510663）

前言

隨著電動自行車和新能源汽車保有量的持續(xù)增長，相應(yīng)配套的智能充電樁的建設(shè)也不斷加快，吸引了大批廠家投入到智能充電樁市場。智能充電樁主要是通過投放設(shè)備，賺取用戶充電費的差價來賺錢的，盡管廠家已為智能充電樁設(shè)置了各種防竊電功能，但還是有不法分子利用充電樁漏洞成功竊電。2017年，北京一網(wǎng)約車司機(jī)董某在半年的時間內(nèi)竊電382次，其利用企業(yè)充電軟件的漏洞，使用了“卡秒法”和“捏槍法”來實現(xiàn)免費或低價充電；同樣在北京，2018年蔡某通過改裝充電樁線路，偷電100余次，涉案金額上萬元。

不法分子的竊電手段層出不窮，給企業(yè)的經(jīng)營帶來損失。鑒于此，本文以電動自行車智能充電樁為例，從抗電磁干擾和感應(yīng)卡兩個方向，找出智能充電樁的竊電風(fēng)險漏洞，并對其進(jìn)行實驗探究，同時提出對應(yīng)的改進(jìn)方案，給智能充電樁企業(yè)提供參考。

1 竊電風(fēng)險點分析

1.1 電磁脈沖干擾

以電動自行車智能充電樁為例，目前市面上的電動自行車智能充電樁廠商都宣稱具有防過充、防過載、防浪涌和超溫保護(hù)等功能，功能的復(fù)雜化導(dǎo)致了產(chǎn)品電子電路的復(fù)雜程度增大，產(chǎn)品抗電磁干擾的能力也受到限制?！靶『诤小笔且环N高頻電磁脈沖干擾器，它是通過特斯拉線圈原理制作，通過變壓器升壓產(chǎn)生高頻率、高強(qiáng)度的電磁脈沖攻擊電子產(chǎn)品的電子電路和芯片。

不法分子使用“小黑盒”攻擊智能充電樁（如圖1），受到高頻電磁脈沖干擾后智能充電樁的時鐘控制功能可能會失效，其輸出電路會長時間輸出電壓，從而達(dá)到竊電目的。更嚴(yán)重者，智能充電樁內(nèi)部電路元件在受到電磁脈沖的干擾時就會出現(xiàn)功能異常甚至是徹底失效，很容易發(fā)生短路火災(zāi)，造成人員和財產(chǎn)損失。

1.2 感應(yīng)卡的復(fù)制

智能充電樁的感應(yīng)卡一般是非接觸式RF射頻卡，通常是將一段唯一的身份識別碼事先寫入卡中，然后數(shù)據(jù)庫再同步儲存這段ID碼，刷感應(yīng)卡就是讀取ID，再調(diào)用數(shù)據(jù)庫的ID，與所讀取的ID認(rèn)證比對，驗證身份后再進(jìn)行下一步動作。如果感應(yīng)卡沒有在卡內(nèi)進(jìn)行加密處理，感應(yīng)卡就可能通過特殊的讀卡器將感應(yīng)卡的信息讀取復(fù)制到空卡之中，復(fù)制卡中存儲有相同的剩余金額。每復(fù)制一張感應(yīng)卡，剩余余額都會相應(yīng)的增加，從而達(dá)到竊電目的。

2 竊電風(fēng)險點實驗驗證

2.1 電磁脈沖干擾試驗

為了研究智能充電樁對電磁脈沖干擾的防護(hù)能力，使用了“小黑盒”對幾款不同型號的電動自行車智能充電樁進(jìn)行攻擊實驗，驗證智能充電樁防竊電風(fēng)險能力。

選取市面上幾種不同價位的電動自行車智能充電樁，價格分別為270元、1 088元和1 590元的三款產(chǎn)品，分別標(biāo)記為樣品A、樣品B、樣品C（如圖2所示）；用“小黑盒”對幾款樣品進(jìn)行攻擊，以強(qiáng)電磁脈沖干擾來驗證不同的電動自行車智能充電樁產(chǎn)品對電磁干擾的防護(hù)能力。

圖1 利用特斯拉線圈原理制作的“小黑盒”

圖2 三種不同類型樣品

使用“小黑盒”對三款樣品進(jìn)行干擾測試：

1）樣品A的電磁脈沖干擾試驗

測試中，發(fā)現(xiàn)線圈在對樣品A開始攻擊時，樣品A的內(nèi)部隨即產(chǎn)生異響，計數(shù)電表開始閃爍，在持續(xù)一段時間的攻擊后，計數(shù)電表黑屏，整臺設(shè)備損壞，斷開電源后嘗試對樣品進(jìn)行重啟，發(fā)現(xiàn)重啟失敗，對樣品A內(nèi)部的集成電路使用示波器和萬用表進(jìn)行檢驗電路，發(fā)現(xiàn)內(nèi)部控制器芯片已經(jīng)損壞，設(shè)備報廢。

2）樣品B的電磁脈沖干擾試驗

測試中，樣品B在經(jīng)受線圈干擾的過程中，剛開始干擾時，內(nèi)部產(chǎn)生輕微異響，計數(shù)電表正常顯示；在持續(xù)一段時間的攻擊后，樣品顯示界面亂碼（見圖3），計數(shù)電表依然正常計數(shù)；停止攻擊后，等待計數(shù)電表時鐘倒計時；發(fā)現(xiàn)當(dāng)計數(shù)電表時鐘倒計為0時，樣品的外接端口仍然在通電，并沒有斷開電源；將樣品進(jìn)行重啟，發(fā)現(xiàn)外接端口仍然處于通電狀態(tài)；對其內(nèi)部電路進(jìn)行檢測，發(fā)現(xiàn)內(nèi)部電路元件正常。

3）樣品C的電磁脈沖干擾試驗

測試中樣品C經(jīng)受干擾過程中，樣品C內(nèi)部沒有異響，顯示屏正常顯示，持續(xù)攻擊一段時間后，顯示屏顯示正常，計數(shù)電表正常；停止攻擊后，等待計數(shù)電表時鐘倒計時，發(fā)現(xiàn)當(dāng)計數(shù)電表時鐘倒計為0時，樣品的外接端口仍然在通電，并沒有斷開電源控制；斷開電源后嘗試對樣品進(jìn)行重啟，外接端口為斷開狀態(tài)，樣品恢復(fù)正常，對其內(nèi)部電路進(jìn)行檢測，發(fā)現(xiàn)內(nèi)部電路元件正常。

通過上述的幾個試驗，發(fā)現(xiàn)“小黑盒”的磁場干擾會對電動自行車智能充電樁的結(jié)構(gòu)和功能產(chǎn)生影響，結(jié)果對比如表1所示。

通過這幾個實驗現(xiàn)象，我們可以發(fā)現(xiàn)：

1）“小黑盒”產(chǎn)生的電磁脈沖干擾對智能充電樁電氣結(jié)構(gòu)、使用性能均存在一定程度的影響。

2）價格較高、做工較為優(yōu)良的電動自行車智能充電樁對磁場干擾的防護(hù)能力較高，但是其電路防護(hù)等級仍然存在不足，需要改進(jìn)。

3）三款樣品受到“小黑盒”攻擊，除了樣品A損壞無法通電外，其余兩款樣品均在計數(shù)電表時鐘倒計為0后，外接端口仍然可以通電，不法分子可以利用該漏洞進(jìn)行竊電等違法行為。

2.2 感應(yīng)卡的復(fù)制試驗

選取了上述樣品A的感應(yīng)卡，該感應(yīng)卡為M1卡，對其嘗試使用特殊的讀卡器進(jìn)行空卡復(fù)制，觀察空卡是否可以成功復(fù)制數(shù)據(jù)，并且在智能充電樁上刷卡，觀察是否可以成功充電。

圖3 受到攻擊時樣品顯示界面亂碼

表1 “小黑盒”對智能充電樁影響

先對智能充電樁M1卡進(jìn)行配置，確保M1卡寫入正常的開門ID，再使用可以保存DUMP格式文件的ID卡讀寫器，對M1卡樣品進(jìn)行數(shù)據(jù)讀寫（見圖4），并且將讀取到的數(shù)據(jù)寫入空卡之中，感應(yīng)卡數(shù)據(jù)被成功讀寫入空卡。用復(fù)制數(shù)據(jù)后的M1卡在智能充電樁上刷卡，發(fā)現(xiàn)智能充電樁可以通電。

3 竊電風(fēng)險改善方案

面對以上各種竊電風(fēng)險，可以利用一些技術(shù)或者管理的方法改善和避免，從而增加產(chǎn)品防竊電風(fēng)險。

3.1 電磁脈沖干擾改善方案

智能充電樁在進(jìn)行完電磁脈沖干擾實驗后出現(xiàn)電子電路損壞以及計時時鐘失效。經(jīng)過試驗后分析，發(fā)現(xiàn)主要原因是智能充電樁的電路和結(jié)構(gòu)設(shè)計存在缺陷、軟件程序設(shè)置不合理以及選取了抗干擾能力較差的元器件等。

針對電磁脈沖干擾問題，企業(yè)可以在智能充電樁中設(shè)置濾波電路，濾波電路能有效的過濾智能充電樁電控系統(tǒng)以外的干擾信號。另外在設(shè)置濾波電路的同時，可以對濾波電路設(shè)置識別電子信號的多點判斷。比如智能充電樁在接收到充電信息時，接收到有5個外來信號，只有全部外來信號都判斷真，才能進(jìn)行充電，如此一來，將有效地消除電磁脈沖干擾帶來的影響。

另外針對“小黑盒”攻擊，企業(yè)可以選擇高頻電磁屏蔽材料，將需要防護(hù)的電路包圍在其中。高頻電磁屏蔽以屏蔽電磁波為主要目的，屏蔽所依據(jù)的原理是楞次定律，利用屏蔽罩內(nèi)的感生電磁場來抵消外來電磁干擾。企業(yè)可以選擇用良導(dǎo)體制作屏蔽罩，如鋁、銅或鐵材質(zhì)等。選取了一款鐵材質(zhì)外殼的智能充電樁，利用“小黑盒”攻擊時，除樣品有輕微異響外，其余顯示屏無亂碼、樣品時鐘電路無故障（見圖5）。

3.2 感應(yīng)卡復(fù)制改善方案

感應(yīng)卡復(fù)制實驗顯示M1卡的交易安全性極差。M1卡沒有驗證裝置合法性的能力，其利用口令保護(hù)錢包，口令變更時明文容易被截取，也不會校驗口令出錯的次數(shù)。同時，M1卡采取固定密鑰，沒有硬件加密的模塊，一旦計算密鑰和原來寫入的固定密碼相同，即可讀寫被保護(hù)的數(shù)據(jù)。故此無論是統(tǒng)一密碼的系統(tǒng)還是一卡一密的系統(tǒng)，只要破解后就能夠?qū)崿F(xiàn)對M1卡的復(fù)制以及解密。針對M1卡容易被復(fù)制的情況，在這里提出兩點改善的思路。

圖4 復(fù)制感應(yīng)卡數(shù)據(jù)

圖5 鐵材質(zhì)外殼的智能充電樁

3.2.1 方案1

既然M1卡無法避免被復(fù)制，那么可以從禁用復(fù)制后的克隆卡入手，只要克隆卡不可用，那么也能認(rèn)為可以規(guī)避了竊電風(fēng)險。方法如下：

1）M1卡首次在讀卡裝置讀卡時，讀卡裝置會在M1卡上分配一個計數(shù)區(qū)，并寫入一個刷卡次數(shù)初始數(shù)，同時在讀卡裝置的儲存器上記錄該M1卡的ID和刷卡次數(shù)初始數(shù)；

2）M1卡每次刷卡后，M1卡上的寄存器和讀卡裝置上對應(yīng)ID號的寄存器刷卡次數(shù)都會自動加1；

3）判斷M1卡上的寄存器和讀卡裝置上的寄存器刷卡次數(shù)是否相等，當(dāng)有兩張以上相同ID號的M1卡在讀卡裝置上刷卡時，使讀卡裝置上寄存器讀數(shù)大于M1卡的寄存器讀數(shù)，從而判斷存在克隆卡的情況。此時讀卡裝置禁用該ID號的卡，無論是原始的M1卡還是克隆卡。如此一來，可以避免不法分子利用克隆卡達(dá)到竊電目的。

3.2.2 方案2

企業(yè)可以改為使用非接觸CPU卡。非接觸CPU卡的系統(tǒng)比M1卡系統(tǒng)相對更加安全，交易流程和密鑰管理有著更加復(fù)雜的流程，使其不容易被不法分子破解。讀卡裝置里的身份認(rèn)證密鑰（SAM卡）發(fā)送隨機(jī)數(shù)與非接觸CPU卡的隨機(jī)數(shù)發(fā)生器以及加密算法相互認(rèn)證。通過對非接觸CPU卡發(fā)送給SAM卡的MAC1，SAM卡發(fā)送給CPU的MAC2和由CPU卡返回的TAC，可以實現(xiàn)數(shù)據(jù)傳輸驗證的計算，而和TAC和MAC1、MAC2是同一張非接觸CPU卡每次傳輸?shù)倪^程中都是不同的[1]。因此無法使用空中接收的辦法來破解非接觸CPU卡的密鑰。

由于非接觸CUP卡密鑰伴隨著隨機(jī)數(shù)發(fā)生，密鑰不容易破解，比起M1卡固定密鑰更加安全可靠。有見及此，非接觸CPU卡的安全系數(shù)比M1卡要高，然而由于非接觸CPU卡系統(tǒng)成本較高，目前大部分智能充電樁企業(yè)更傾向于使用M1卡。

4 結(jié)論

本文從電磁脈沖干擾和感應(yīng)卡支付兩方面出發(fā)，對智能充電樁進(jìn)行竊電風(fēng)險研究分析。在實際測試中，發(fā)現(xiàn)這兩方面都存在一定的竊電風(fēng)險隱患，不法分子很容易就能利用智能充電樁電磁脈沖干擾和感應(yīng)卡支付的漏洞實現(xiàn)竊電行為。然而由于電動自行車智能充電樁一直沒有行業(yè)標(biāo)準(zhǔn)或國家標(biāo)準(zhǔn)，電動汽車智能充電樁國家標(biāo)準(zhǔn)GB/T 18487.1-2015《電動汽車傳導(dǎo)充電系統(tǒng) 第1部分：通用要求》也沒有針對感應(yīng)卡的測試條款，企業(yè)沒有有效的法律法規(guī)來指導(dǎo)和規(guī)范其產(chǎn)品的生產(chǎn)。

有鑒于此，本文針對企業(yè)在竊電風(fēng)險防控的漏洞，提出上述幾點改善方案，希望可以為企業(yè)的產(chǎn)品設(shè)計提供參考。也希望智能充電樁行業(yè)以及相關(guān)檢測認(rèn)證機(jī)構(gòu)能針對這些產(chǎn)品漏洞，提出更完善的檢測標(biāo)準(zhǔn)，為企業(yè)提供測試方法上的理論指導(dǎo)。