2017-2018-2 20179215《密码与安全新技术》第七周作业

2017-2018-2 20179215 《密码与安全新技术》 第七周作业

课程：《密码与安全新技术》

班级： 201792

姓名： 袁琳

学号：20179215

上课教师：谢四江

上课日期：2018年6月21日

必修/选修： 必修

学习内容总结

我们组的题目是《对MEMS加速度计的声学注入攻击》

1.简介

微机电系统（MEMS, Micro-Electro-Mechanical System），也叫做微电子机械系统、微系统、微机械等，指尺寸在几毫米乃至更小的高科技装置。
微机电系统其内部结构一般在微米甚至纳米量级，是一个独立的智能系统。
微机电系统是在微电子技术（半导体制造技术）基础上发展起来的，融合了光刻、腐蚀、薄膜、LIGA、硅微加工、非硅微加工和精密机械加工等技术制作的高科技电子机械器件。

微机电系统是集微传感器、微执行器、微机械结构、微电源微能源、信号处理和控制电路、高性能电子集成器件、接口、通信等于一体的微型器件或系统。MEMS是一项革命性的新技术，广泛应用于高新技术产业，是一项关系到国家的科技发展、经济繁荣和国防安全的关键技术。

MEMS侧重于超精密机械加工，涉及微电子、材料、力学、化学、机械学诸多学科领域。它的学科面涵盖微尺度下的力、电、光、磁、声、表面等物理、化学、机械学的各分支。

常见的产品包括MEMS加速度计、MEMS麦克风、微马达、微泵、微振子、MEMS光学传感器、MEMS压力传感器、MEMS陀螺仪、MEMS湿度传感器、MEMS气体传感器等等以及它们的集成产品。。在汽车里作为加速规来控制碰撞时安全气囊防护系统的施用；在汽车里作为陀螺来测定汽车倾斜，控制动态稳定控制系统；在轮胎里作为压力传感器，在医学上测量血压。

2.论文背景

（1）浙江大学徐文渊团队发表了一篇WALNUT的MEMS加速度计的声学攻击的论文。

（2）2017.7月，阿里安全团队在黑帽子大会上提出了对智能设备的声波攻击。

（3）使用声波和超声波信号物理破坏你的硬盘驱动器。

3.本论文研究的贡献

为了系统地分析MEMS加速度计的脆弱性，我们模拟了声学干扰对传感器整个结构的影响，包括传感质量和信号调理元件。我们在典型的MEMS加速度计（即不安全的低通滤波器和不安全的放大器）的信号调节路径中发现两个有问题的组件，导致两种类型的掺杂输出：波动测量值和恒定测量值。这两个组件不仅解释了注入攻击的根本原因，而且还使我们能够设计两个额外的攻击类别：传感器输出偏置和输出控制，从而允许对MEMS加速度计输出的敌对控制水平不断提高。

4.实验原理

MEMS加速度计有一个连接到弹簧的质量块，当传感器加速时，质量块被移位。声波通过空气传播，并在其路径上展示物理物体的力量。如果声频正确调谐，它可以振动加速度计的质量块，以可预测的方式改变传感器的输出。

（1）电容式MEMS加速度计

电容式加速度传感器是基于电容原理的极距变化型的电容传感器，其中一个电极是固定的，另一变化电极是弹性膜片。弹性膜片在外力(气压、液压等)作用下发生位移，使电容量发生变化。这种传感器可以测量气流(或液流)的振动速度(或加速度)，还可以进一步测出压力。

（2）基于MEMS加速度计的信号调节路径的典型结构

5.建立模型

假设：假设攻击者既不能直接访问数字化的传感器读数，也不能直接触摸传感器。假设攻击者通过发射附近的声波来干扰传感器数据的完整性，即把之前信号调节路径上的模拟信号数字化，从而利用漏洞。
假设攻击者能够在受害设备附近诱发声音，其频率在人类可达到超声波范围（2-30kHz）内。

（1）实验模型

（2）结果

图a描述了输入振动平台的70Hz正弦物理振动信号。
图b显示输入扬声器的正弦，开关调制，声学干扰信号。
图c描述了当声音噪声与70Hz振动一起播放时测量的加速度信号。 测得的加速度是真实加速度和人造声加速度的线性组合，支持我们的模型。

6.实验过程

（1）挑战：

• 过程变化：攻击者可以获得加速度计精确模型的不同实例，以确定其共振频率。 MEMS加速度计的谐振频率如何随工艺变化而变化？ 或者每个模型的谐振频率特性相似？
• 控制人为加速度：正如我们的模型所示，声音干扰产生的加速度信号与创建它们的声波具有相同的频率。 人造加速度信号如何被下游信号调理元件扭曲或去除？ 攻击者如何利用声学加速度的可预测性来实现对加速度计输出的精细控制？
• 通过加速度计改变软件的行为：攻击者如何影响从加速度计获取输入的软件的行为？
• 假定加速度信号生成的线性模型，本节预测下游信号调理硬件对这些信号数字的影响。 我们的实验表明，由于加速度计的信号调理硬件中的安全缺陷，数字化声波加速度测量可能以两种方式表现出来：加速度波动，就好像芯片处于高振动状态，加速度不变，就像芯片在发射火箭上一样。 这两种类型的伪造输出将作为全面攻击的基础。

（2）硬件缺陷

通常包含在MEMS加速度计信号调节路径中的两个关键硬件组件分别是图中的放大器和低通滤波器（LPF），组件C和D。在理想的情况下，当放大器和LPF工作正常时，任何注入的声加速度信号在数字化之前都会被信号调理硬件去除，并且不会传递到终端系统。 但是，实际上这些组件具有物理限制。具体而言，每个加速度计都可以测量的加速度的最大幅度和频率有一个限制。超过这些限制会影响它们的加速度测量。

防止高频噪声污染ADC采样，设计人员通常在ADC之前包含一个模拟LPF。 理想的模拟LPF滤除高于指定截止频率的所有频率，同时通过以下所有频率。 为了实施奈奎斯特要求，LPF被设计成只传递频率是ADC采样率Fs的一半， 然而，实际上，不可能制造通过所有频率是到Fcutoff的LPF（例如恰好是采样频率的一半）并且完全阻止高于采样频率。相反，Fcutoff周围存在一定范围的频率，这些频率会衰减但不会完全消除。声学加速度信号可以通过以下两种方式之一受到LPF的影响：

1）不安全的低通滤波器：加速度计的低通滤波器设计的截止频率高于或接近传感器的谐振频率。
2）安全放大器：当未放大的加速度信号在放大器的动态范围内时，不发生削波。加速度信号保持不失真。
3）不安全的放大器：以前的研究表明，MEMS加速度计在信号限幅超过其放大器的动态范围时报告错误测量。如图c所示，主要原因是将直流分量引入饱和放大器的输出信号，该DC分量就不会被LPF去除，然而，尖锐的削波边缘，即高频分量被衰减。另外，当加速度计的LPF被可靠地设计时，即截止频率远低于谐振频率时，声加速度信号的非截断部分也被衰减。考虑到放大器的结构，削波可以是不对称的，并且滑入ADC的波形类似于具有非零DC偏移的低振幅正弦波。而数字输出测量大多是恒定的和非零的。
4）安全的低通滤波器：声音加速度信号的频率远高于LPF的截止频率并被完全衰减。

总之，在共振声学干扰下，传感器可能会报告三种类型的测量值：真实测量值和两种类型的虚假测量值。 错误的传感器测量是由于硬件组件的不安全性。

• 真实测量：加速度计的放大率是在共振声学干扰下产生的高宽度加速度信号，即不发生信号限幅。 加速度计的共振频率远大于LPF的截止频率。LPF衰减高频声加速度信号。
• 波动的错误测量：在放大器上没有观察到信号削波。LPF不会完全衰减高频声加速度信号。 声学加速度信号由ADC进行欠采样。
• 恒定移动的错误测量：在放大器中发生信号削波，将非零直流分量引入放大信号。安全设计的LPF传递直流信号并阻止高频信号。 一个非常稳定的非零信号由ADC采样。

（3）输出偏置攻击

在本节中，我们将展示如何利用这两种错误测量（波动或常量）的可预测性来控制传感器的时间序列输出。 我们的主要贡献是识别两种不同类别的声音注入攻击，分别基于控制波动或恒定错误测量的输出偏置和输出控制攻击。 表1总结了我们对传感器容易受到什么攻击的程度的结果。

• 原理：

输出偏置攻击利用ADC处的采样缺陷，并使加速度计的输出等于对手的控制权。由于不安全的LPF，它们会在其共振频率处发生错误测量。 要执行输出偏移攻击，攻击者必须完成两个目标。

• 目标：

（1）通过改变声学谐振频率以在ADC处引发直流混叠，稳定将错误测量波动到恒定测量中。

（2）通过在共振频率之上调制它来重塑所需的输出信号。

       第一步可以通过信号混叠来完成。 
       第二步可以通过信号调制来实现。

• 步骤：

1）改变声学谐振频率以在ADC处引发直流混叠。

2）在声共振频率上调制期望的加速度计输出信号。

   我们通过抓取MEMS加速度计输出信号拼写“WALNUT”来演示输出偏置攻击。

• 评估：

我们评估了在所有传感器上产生的输出偏置攻击结果，这些传感器在其谐振频率下产生波动的输出测量值，使用之前的实验装置，没有振动平台。声学干扰频率在谐振频率附近进行调整，特定于每个传感器，直到波动测量稳定。使用发生器，在声学共振频率上对调制“WALNUT”的分段线性信号进行调制。

• 结果：

（1）具有不准确ADC的传感器

图中显示了使用ADCL350和ADXL345不正确的ADC的两个数字加速度计的输出偏置攻击结果。

（2）具有准确ADC的传感器

图中显示了两个模拟加速度计与精确ADC（ADXL337和LIS344ALH）接口的输出偏置攻击结果。

（4）输出控制攻击

输出控制攻击使敌手无限地完全控制加速度计的输出。 这种攻击适用于由于不安全的放大器而在其共振频率处显示恒定的错误测量的加速度计。

• 控制输出

（1）实现对传感器输出的细粒度控制需要使用幅度调制。

（2）幅度调制放大器的限幅幅度，LPF有效解调幅度。

（3）无论ADC的采样方式如何，攻击者都可以完全控制传感器的输出

7.总结

为了降低对MEMS加速度计完整性的攻击风险，我们硬件设计建议提高放大器和滤波器的安全性，并减轻对下一代传感器的声学攻击。对于已经部署在该领域的传感器，我们提供双重成本软件防御机制，以防止输出偏置攻击：随机采样和180°异步采样。我们的软件防御机制可以保护所有易受输出偏置攻击影响的加速度计，但不会保证输出控制攻击。

学习中的问题和解决过程

首先英文文献的阅读是花费很长时间的，百度查单词到理解专业用语对于还没开始英文文献的我来说还是有一定困难的，加上这篇文献是偏向于硬件的内容，所以理解上有一定吃力，好在我们找到了相关实验的相关视频，加上另一组员对这个研究方面有一定的接触，最后还是理解了这篇论文的研究内容。

参考资料

WALNUT:Waging Doub ton the Integrity of MEMS Accelerometers with Acoustic Injection Attacks