车路协同系统装调与测试 课件 任务 5.6：无线电渗透测试-

主讲老师：李茂沛项目五：车内与车外网络通信安全任务5.6《车联网技术与应用》无线电渗透测试目录CONTENTS任务导入Assignment

INTRO学习目标Learning

Objectives0102知识准备Background

knowledge03任务实施Assignment

implement04课堂总结Summary05PART01任务导入Assignment

INTRO任务导入渗透测试是一种模拟攻击行为的安全评估方法，通过TPMS重放攻击、GPS欺骗、NFC中继攻击等手段可以识别和修复汽车胎压监测系统（TPMS）、GPS定位、射频钥匙（RFKey）等汽车无线电应用领域的安全漏洞。假设你是某家车外无线电产品公司的测试工程师，现在需要你验证TPMS系统是否能通过渗透测试，保证网络安全。网络安全PART02学习目标Learning

Objectives学习目标素质目标能力目标能应用HackRFOne对TPMS系统进行重放攻击[A52]；能应用HackRFOne对GPS系统进行欺骗[A53]；能应用Proxmark3进行NFC中继攻击[A54]。知识目标能阐述TPMS重放攻击的原理[K77]；能阐述GPS欺骗的原理[K78]；能阐述NFC中继攻击的原理[K79]；激励学生在面对困境时保持信念，不断追求真理；培养学生尊重科学和严谨态度的精神；鼓励学生敢于挑战现有理论，勇于尝试新方法和新技术。PART03知识准备Background

knowledge思政专栏1894年，伽利尔摩·马可尼在电气杂志上读到了赫兹的实验和洛奇的报告。从小就喜欢摆弄线圈、电铃的他，便一头钻进了电磁波的研究中。他想既然赫兹能在几米外测出电磁波，那么只要有足够灵敏的检波器，也一定能在更远的地方测出电磁波。经过多次的失败，他终于迈出了可喜的第一步。他在家中的楼上安装了发射电波的装置，楼下放置了检波器，检波器与电铃相接。他在楼上一接通电源，楼下的电铃就响了起来。马可尼初次告捷后，信心增强了。他大量收集资料和文章，不管这些文章的作者是有名气的还是无名气的，只要对他有用，有所启发的文章，他都耐心阅读，仔细分析。他把各家的缺点分析清楚，把各人的长处集合起来，改进自己的机器。马可尼和他的无线电设备马可尼——电子科技史上的巨人思政专栏第二年秋天，他把一只煤油桶展开，变成一块大铁板，作为发射的天线。把接收机的天线高挂在一棵大树上，用以增加接收的灵敏度。他还改进了洛奇的金属粉末检波器，在玻璃管中加入少量的银粉，与镍粉混合，再把玻璃管中的空气排除掉。这样一来，发射方增大了功率，接收方也增加了灵敏度。他把发射机放在一座山岗的一侧，接收机安放在山岗另一侧的家中。当给他当助手的同伴发送信号时，他守候着的接收机接收到了信号，带动电铃发出了清脆的响声。这响声对他来说比动人的交响乐更悦耳动听。这次实验的距离达到2.7公里。马可尼在意大利海军部做无线电实验马可尼——电子科技史上的巨人思政专栏被称作“无线电之父”的马可尼是意大利著名的无线电工程师、企业家、实用无线电报通信的创始人。马可尼在无线电通信领域的探索并非一帆风顺，他面对了无数的困难和挑战，包括技术上的难题、科学界的质疑以及资金短缺等。然而，他始终坚忍不拔，勇于探索未知领域。这种精神和品质是非常值得我们学习的。马可尼的第一个无线电发射器马可尼——电子科技史上的巨人一、渗透测试概述渗透测试（PenetrationTesting）是一种模拟攻击行为的安全评估方法目的是识别和修复计算机系统、网络或应用程序中的安全漏洞。过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析从一个攻击者可能存在的位置来进行分析，并且从这个位置有条件主动利用安全漏洞。注：并不是所有渗透测试都能渗透成功！！！1.渗透测试的定义一、渗透测试概述重放攻击（ReplayAttack）是一种常见的网络攻击方式，攻击者通过截获并重放合法的通信数据包来实现未经授权的操作。这种攻击利用了数据包在网络中传输时可能未被加密或未包含时间戳等防重放机制的漏洞。

2.

TPMS重放攻击一、渗透测试概述信号捕获：攻击者使用无线电频率（RF）接收设备，如软件定义无线电（SDR），捕获TPMS传感器发送的无线信号。这些信号通常包括传感器的唯一ID和轮胎压力数据。信号重放：攻击者使用RF发射设备，将先前捕获的信号重新发送到车辆的TPMS接收器。由于TPMS接收器通常不会对接收到的信号进行验证，因此会将重放的信号视为合法信号。

2.

TPMS重放攻击重放攻击原理一、渗透测试概述时间戳和序列号：在数据包中加入时间戳或序列号，以确保每个数据包都是唯一的，并且只能在特定时间窗口内有效。系统可以通过检查时间戳或序列号来拒绝重复的或过期的数据包。加密通信：使用安全协议（如TLS/SSL）对通信数据进行加密，使攻击者无法轻易截获和重放数据包。双向认证：实施双向认证机制，确保通信双方都经过验证，并且只有经过认证的数据包才能被接受。

2.

TPMS重放攻击防御重放攻击的措施一、渗透测试概述随机数和挑战响应：使用随机数（Nonce）和挑战响应协议，在每次通信中生成唯一的挑战，要求对方进行正确的响应，确保数据包的唯一性和合法性。签名和哈希：使用数字签名和哈希函数对数据包进行签名，确保数据包在传输过程中未被篡改，并且每个数据包都是唯一的。

2.

TPMS重放攻击防御重放攻击的措施二、渗透测试工具介绍HackRFOne是一个开源硬件项目，旨在实现低成本的、通用的软件定义无线电（SDR）平台。它由GreatScottGadgets开发，是无线电爱好者、研究人员和安全专业人员的强大工具1.

HackRF

One介绍HackRF

One具有如下优点：广泛的频率范围开源和可编程适合多种应用相对低廉的价格二、渗透测试工具介绍1.

HackRF

One介绍HackRFOne的技术规格频率范围：1MHz-6GHz取样率：最高20MSPSADC分辨率：8-bit接口：USB2.0尺寸：60mmx90mm重量：约200克电源：USB供电（5V，500mA）二、渗透测试工具介绍1.

HackRF

One介绍HackRFOne的特点频率范围广：HackRFOne能够在1MHz到6GHz的频率范围内工作，覆盖了大部分常见的无线电频段，包括AM/FM广播、电视、蜂窝通信、WiFi、蓝牙等。全双工模式：可以快速切换接收和发送状态。宽带接收和发送：支持

20MHz带宽，这使得它能够同时接收和发送宽带信号。开源和可编程：HackRFOne的硬件设计和固件都是开源的，用户可以根据需要修改和扩展其功能。USB接口：HackRFOne通过USB2.0接口连接到计算机，用户可以利用各种SDR软件（如GNURadio、GQRX、SDR#等）对信号进行处理和分析。PART04任务实施Assignmentimplement1.设备工具准备设备清单一、实施准备分类名称数量图例规格要求实训设备HackRFOne1套含USB连接线、信号天线TPMS胎压监测系统2辆含TPMS显示器、4个TPMS传感器Proxmark31套含USB连接线1.设备工具准备设备清单一、实施准备分类名称数量图例规格要求实训设备UID卡1张

CUID卡1张

智能手机1台GooglePixel一代（已匹配系统）笔记本电脑（含鼠标和充电线）1套Windows7以上系统2.线束连接一、实施准备检查线束外观结构完整，表面不应有破损、变形、裂痕等问题。连接针脚无损坏、变形或生锈。安装HackRFOne天线。使用USB连接线将HackRFOne连接电脑。安装HackRF

One天线线束连接3.驱动安装一、实施准备打开车联网安全实训平台在左侧菜单中选择“6.无线电渗透测试工具介绍”选择“实训手册”选项卡单击“HACKRF驱动下载”按钮开始下载名为“Zadig”的USB驱动安装软件Zadig是一款Windows应用程序，可安装或升级通用的USB驱动程序（例如WinUSB、libusb-win32/libusb0.sys或libusbK），以帮助您访问USB设备。安装HackRF

One天线下载USB驱动安装软件3.驱动安装一、实施准备当弹出右侧对话框，询问是否允许Zadig应用程序在线检查程序更新时，单击“Yes”按钮在线检查程序更新在线检查程序更新当弹出右侧检查更新对话框时，可根据需求选择是否下载并安装最新版本的Zadig应用程序下载应用程序更新3.驱动安装一、实施准备在“Zadig”窗口菜单栏单击“Options”选项，选择“ListAllDevices”列出所有设备列出所有设备在线检查程序更新在主界面下拉菜单中选择“HackRFOne”选择HackRF

One3.驱动安装一、实施准备此时“Driver”驱动器一栏将显示当前的设备驱动器类型及版本号（箭头左侧）及即将安装的设备驱动器类型及版本号（箭头右侧），驱动器类型应为“WINUSB”。若“Driver”驱动器一栏显示为“（NONE）”，表示当前设备未安装驱动，则单击“InstallDriver”安装驱动器。若当前的设备驱动版本号低于即将安装的设备驱动版本号，则单击“UpgradeWCIDDriver”升级驱动器。若当前的设备驱动版本号高于即将安装的设备驱动版本号，则无需安装驱动，否则反而会降级设备驱动当前设备驱动版本号高于安装版本号安装USB驱动器1.

TPMS系统安装二、TPMS重放攻击长按TPMS系统显示器左侧的“

”开机按钮，启动设备此时显示器将显示已配对TPMS传感器的轮胎气压数据；未显示数据则表示TPMS传感器未配对胎压数据显示为“0.0bar”则表示TPMS传感器未安装到轮胎上。启动TPMS系统启动设备1.

TPMS系统安装二、TPMS重放攻击连按8下显示器右侧的“▷”键，进入配对模式默认首先配对的为左前轮胎，此时左前轮胎压数据将闪烁显示为“--”。在配对模式下，按“◁”键或“▷”键可以切换配对的轮胎。进入配对模式进入配对模式1.

TPMS系统安装二、TPMS重放攻击将对应TPMS传感器拧入对应位置轮胎的气门嘴，显示器将显示对应位置轮胎的胎压，同时语音提示“XX轮配对成功”（XX为对应位置）若显示器仍然不显示胎压数据，则请重新将TPMS传感器拆下，然后再次拧入气门嘴。将传感器拧入气门嘴安装传感器1.

TPMS系统安装二、TPMS重放攻击重复操作完成四条轮胎TPMS传感器的配对。配对成功后按中间“M”键保存配对数据，再长按“M”键可退出配对模式。保存配对数据配对全部传感器1.

TPMS系统安装二、TPMS重放攻击显示器显示所有轮胎数据即为TPMS系统安装成功。显示胎压数据检查所有轮胎胎压数据2.

TPMS信号捕获二、TPMS重放攻击回到车联网安全实训平台，在左侧菜单中选择“6.无线电渗透测试工具介绍”选择“实训手册”选项卡，单击“HACKRF演示”按钮系统将自动弹出一个终端窗口弹出终端窗口打开终端窗口2.

TPMS信号捕获二、TPMS重放攻击保持TPMS胎压监测系统处于打开状态。在终端中输入以下命令，可以通过“hackrf_transfer.exe”程序捕获频率为433.92MHz、采样率为20MHz的无线电信号（TPMS系统胎压数据），并将接收的数据存入名为“data.dat”的数据文件中。捕获TPMS信号“-r<filename>”为接收信号数据命令；“-ffreq_hz”为设定信号频率命令，单位为Hz；“-ssample_rate_hz”为设定采样率命令，单位也为Hz。hackrf_transfer.exe–rdata.dat–f433920000-s200000002.

TPMS信号捕获二、TPMS重放攻击保持TPMS胎压监测系统处于打开状态。在终端中输入以下命令，可以通过“hackrf_transfer.exe”程序捕获频率为433.92MHz、采样率为20MHz的无线电信号（TPMS系统胎压数据），并将接收的数据存入名为“data.dat”的数据文件中。按“Ctrl+C”键可停止捕获。捕获TPMS信号捕获TPMS信号3.

TPMS信号重放攻击二、TPMS重放攻击取下轮胎上的TPMS传感器，此时TPMS显示器将显示胎压为“0.0bar”，同时语音报警“XX胎漏气，XX胎气压低”取下TPMS传感器取下TPMS传感器3.

TPMS信号重放攻击二、TPMS重放攻击在终端中输入以下命令，可以通过“hackrf_transfer.exe”程序从名为“data.dat”的数据文件中将刚才接收的TPMS系统胎压数据以频率为433.92MHz、采样率为20MHz的无线电信发射（重放）“-t<filename>”为发射数据命令。重放TPMS信号hackrf_transfer.exe–tdata.dat–f433920000-s200000003.

TPMS信号重放攻击二、TPMS重放攻击此时，HackRFOne会将先前捕获的信号重新发送到车辆的TPMS接收器，对TPMS接收器进行重放攻击。若重放攻击成功，TPMS显示器将显示先前捕获的信号数据，即正常的胎压数据，但该数据并非当前传感器的实时数据，表明渗透测试不通过。若TPMS系统能够成功防御重放攻击，那么TPMS显示器将显示传感器的实时数据（即0.0bar），表明渗透测试通过，TPMS系统具备防御重放攻击的能力。重放TPMS信号重放TPMS信号PART03知识准备Background

knowledge一、渗透测试概述GPS欺骗（GPSSpoofing）是一种通过发送虚假GPS信号来欺骗接收设备，使其误认为自己处于错误位置的攻击方式。此类攻击利用了GPS信号的弱点，可能导致导航设备、车辆、无人机等依赖GPS定位的系统产生错误的位置信息。

3.

GPS欺骗一、渗透测试概述信号生成：攻击者使用特定的设备（如软件定义无线电，SDR）生成伪造的GPS信号。这些信号模仿真实的GPS卫星信号，但包含虚假的位置信息。信号广播：伪造的GPS信号被广播到目标接收设备。由于GPS信号在地面上非常微弱，伪造信号只需比真实信号稍强，就能让接收设备接收到假信号。接收和解码：目标接收设备接收到伪造的GPS信号，并将其解码为位置信息。由于信号看似来自真实的GPS卫星，设备将信任并使用这些虚假数据。

3.

GPS欺骗GPS欺骗原理一、渗透测试概述误导导航：导航设备（如智能手机、汽车导航系统）会显示错误的位置信息，可能导致用户迷路或到达错误的目的地。干扰交通：对于依赖GPS的交通工具（如汽车、船舶、无人机），GPS欺骗可能导致严重的交通事故或交通管理混乱。军事和安全风险：GPS欺骗可能用于干扰军事行动，误导无人机或导弹，甚至让军队陷入错误的地理位置。

3.

GPS欺骗GPS欺骗的影响一、渗透测试概述多频信号接收：使用多频段GPS接收器，能够同时接收多个频段的GPS信号，有助于区分真实信号和伪造信号。信号强度检测：监测接收到的GPS信号强度。如果信号强度突然增加，可能表明存在伪造信号。天线设计：使用高增益定向天线或抗干扰天线，减少从地面方向接收到的伪造信号。

3.

GPS欺骗防御GPS欺骗的措施一、渗透测试概述多源导航：结合其他导航系统（如GLONASS、Galileo、北斗）或惯性导航系统，减少对单一GPS信号的依赖。时间和位置验证：定期验证设备的时间和位置数据，发现异常时发出警报或采取纠正措施。加密和认证：在GPS信号中引入加密和认证机制，确保只有合法的信号被接受。

3.

GPS欺骗防御GPS欺骗的措施PART04任务实施Assignmentimplement1.读取GPS真实数据三、GPS欺骗在室外无遮挡环境中打开手机，启动“指南针”应用程序，查看当前位置的经纬度信息。若无法读取到经纬度信息，可在下方菜单栏点击“罗盘”，选择“GPS日志器”选项，应用程序将主动寻找GPS卫星信号。查看当前经纬度信息GPS真实数据回到车联网安全实训平台，在左侧菜单中选择“6.无线电渗透测试工具介绍”选择“实训手册”选项卡，单击“HACKRF演示”按钮系统将自动弹出一个终端窗口弹出终端窗口打开终端窗口三、GPS欺骗2.

GPS欺骗2.

GPS欺骗三、GPS欺骗在终端中输入以下命令，可以通过“hackrf_transfer.exe”程序基于名为“gpssim.bin”的数据文件发射频率为1575.42MHz、采样率为2.6MHz的无线电信号（GPS信号），对GPS系统进行欺骗查看当前经纬度信息“-aamp_enable”为接收/发射射频放大器（RX/TXRFamplifier）使能命令，1为使能，0为禁用；“-xgain_db”为设定发射可变增益放大器（TXVGA）（中频）增益分贝的命令，增益分贝设定范围为0~47dB，步长为1dB；“-R”为设定重复发射模式，默认为关闭状态。hackrf_transfer.exe-tgpssim.bin-f1575420000-s2600000-a1-x20-R2.

GPS欺骗三、GPS欺骗在终端中输入以下命令，可以通过“hackrf_transfer.exe”程序基于名为“gpssim.bin”的数据文件发射频率为1575.42MHz、采样率为2.6MHz的无线电信号（GPS信号），对GPS系统进行欺骗查看当前经纬度信息发射GPS欺骗信号2.

GPS欺骗三、GPS欺骗将测试手机打开“指南针”应用，放置在HackRFOne设备旁边发现当前指南针中的经纬度与之前读取到的GPS真实数据不一致，GPS被欺骗，测试手机的渗透测试不通过GPS被欺骗GPS被欺骗PART03知识准备Background

knowledge一、渗透测试概述射频钥匙重放攻击（RFIDkeyreplayattack）是一种针对无线钥匙系统的攻击方式。攻击者通过截获并重放无线钥匙发出的射频信号，模拟合法用户解锁车辆或其他受保护的设备。

4.射频钥匙重放攻击一、渗透测试概述信号截获：攻击者使用无线电频率（RF）接收设备（如软件定义无线电，SDR）来捕获无线钥匙发出的射频信号。信号存储：捕获到的射频信号被存储在攻击者的设备中。这些信号包含了无线钥匙发送的解锁或启动指令。信号重放：攻击者在需要时重新发送捕获到的射频信号到车辆接收器。车辆会认为这是合法操作，从而解锁车门或启动发动机。

4.射频钥匙重放攻击射频钥匙重放攻击原理一、渗透测试概述车辆盗窃：攻击者可以通过重放无线钥匙信号，未经授权地解锁和启动车辆，进行车辆盗窃。财产损失：这种攻击方式不仅限于车辆，还可以用于攻击其他使用无线射频识别技术的系统，如门禁系统、智能家居设备等，导致财产损失。

4.射频钥匙重放攻击射频钥匙重放攻击的影响一、渗透测试概述滚动码技术：无线钥匙和接收器之间使用滚动码（RollingCode）技术，每次通信时生成唯一的代码，防止信号被重放。双向认证：实施双向认证机制，确保无线钥匙和车辆接收器相互验证对方的身份，防止伪造信号。信号加密：对无线钥匙信号进行加密传输，使攻击者难以截获和重放有效信号。

4.射频钥匙重放攻击防御射频钥匙重放攻击的措施一、渗透测试概述检测重复信号：车辆接收器可以实现重复信号检测机制，如果接收到的信号与之前的信号相同，则拒绝执行命令。距离限制：采用近场通信（NFC）等技术，限制无线钥匙的有效距离，防止远距离的信号截获和重放。

4.射频钥匙重放攻击防御射频钥匙重放攻击的措施一、渗透测试概述汽车NFC中继攻击（NFCRelayAttack）是一种通过中继近场通信（NFC）信号来欺骗汽车的攻击方式。这种攻击利用了NFC信号的短距离传输特点，攻击者可以通过延长信号传输距离，实现未经授权的汽车解锁和启动。5.

NFC中继攻击一、渗透测试概述捕获信号：攻击者A携带一个NFC设备靠近车主的NFC钥匙卡或智能手机。这个设备可以捕获车主NFC设备发送的信号。中继信号：攻击者A将捕获到的NFC信号实时传输给攻击者B。攻击者B通常站在目标车辆附近，携带一个能与汽车通信的NFC设备。发送信号：攻击者B将接收到的NFC信号发送给汽车，使汽车误以为合法的车主正在靠近，从而解锁车门或启动发动机。NFC中继攻击原理5.

NFC中继攻击一、渗透测试概述信号范围限制：用户可以通过将NFC设备放在屏蔽卡套中，防止信号被捕获。双因素认证：在NFC解锁或启动过程中，引入第二种认证方式，如输入PIN码或指纹识别，以增加安全性。时间限制：设定NFC信号的有效时间窗口，确保信号在短时间内被使用，防止被中继。防御NFC中继攻击的措施5.

NFC中继攻击一、渗透测试概述信号加密：对NFC信号进行加密传输，使攻击者难以截获和重放有效信号。检测异常：车辆系统可以检测NFC信号的异常行为，如信号延迟或多次尝试解锁，发出警报或拒绝执行命令。防御NFC中继攻击的措施5.

NFC中继攻击二、渗透测试工具介绍2.

Proxmark3介绍Proxmark3是一种功能强大且多用途的开源RFID（射频识别）和NFC（近场通信）研究工具，广泛应用于无线安全研究、RFID卡分析与破解、NFC协议研究以及教育培训等领域。具有如下优点：支持多频段RFID/NFC信号开源硬件和软件，社区支持活跃功能强大，适用于各种研究和测试场景实时信号处理和协议分析能力二、渗透测试工具介绍2.

Proxmark3介绍Proxmark3的技术规格处理器：ARMCortex-M3和FPGA频率范围：125kHz、134kHz、13.56MHz接口：USB2.0内存：256KBFlash，64KBRAM尺寸：85mmx54mm供电：USB供电（5V，500mA）二、渗透测试工具介绍2.

Proxmark3介绍Proxmark3的特点多频段支持：支持多个频段的RFID和NFC信号，包括125kHz、134kHz（低频），以及13.56MHz（高频）。实时信号处理：能够实时捕获和分析RFID/NFC信号，支持各种操作，如读取、写入、克隆和模拟RFID/NFC标签。开源硬件和软件：Proxmark3的硬件设计和固件都是开源的，用户可以根据需要修改和扩展其功能。高性能处理器：配备强大的FPGA和ARM处理器，能够高效处理复杂的信号分析和协议解码任务。二、渗透测试工具介绍3.

RFID卡片介绍UID（UniqueIdentifier）卡是一种标准的RFID卡，其唯一标识符（UID）是不可更改的。UID卡通常用于访问控制、身份验证和其他需要唯一标识符的应用场景。特点：唯一性：每张UID卡都有一个全球唯一的标识符，通常为4字节或7字节。不可修改：一旦制造，UID不可更改。这确保了每张卡的唯一性和安全性。广泛应用：广泛应用于门禁系统、考勤系统和其他需要唯一身份标识的场景。UID卡二、渗透测试工具介绍3.

RFID卡片介绍CUID（ChangeableUniqueIdentifier）卡是一种特殊类型的RFID卡，其UID是可更改的。CUID卡通常用于测试、开发和某些特定的应用场景。特点：可更改UID：与标准UID卡不同，CUID卡的UID可以通过特定的编程设备进行更改。灵活性高：可以根据需要更改UID，适用于需要动态调整UID的场景。CUID卡PART04任务实施Assignmentimplement1.

Proxmark3软件配置四、NFC中继攻击使用USB连接线将Proxmark3连接电脑，设备亮白灯表示连接成功。右键单击“开始”菜单，打开“设备管理器”在“端口（COM和LPT）”中找到“USB串行设备”并记录编号（COMX）查看设备端口号查看设备端口号1.

Proxmark3软件配置四、NFC中继攻击打开车联网安全实训平台，在左侧菜单中选择“6.无线电渗透测试工具介绍”选择“实训手册”选项卡，单击“PROXMARK演示”按钮打开Proxmark3软件，选择同样的端口号（COMX）配置Proxmark3软件手动设置端口号2.

UID卡片数据读取四、NFC中继攻击将UID卡片放置在Proxmark3上在软件界面单击“读卡类型”，读取到卡片的UID为“47529f4f”

读取UID卡片的UID放置UID卡片