HackRF实现无线门铃信号分析重放

文章特点：数据解码方面实在是没什么信心，存在分析错乱的可能性，所幸发出来共同探讨，恳请鞭策。

0x01 概述

这是一款工作在315Mhz频段的无线遥控门铃，根据查阅官方手册以及芯片信息，确定其采用了eV1527 百万组编码芯片。这是一款无线发码专用集成电路，采用 CMOS 工艺制造,拥有 20 位内码,可预烧 100 万组内码组合,发射频率支持315Mhz与433Mhz。本文仅对基于录制的信号波形图进行简单分析，详细发码结构可参考相关文档。

EV1527芯片说明：http://www.sc-tech.cn/ev1527.pdf
EV1527码位波形图：http://wenku.baidu.com/view/1b54c361ddccda38376baf7c.html

编码模块特写：

0x02 信号分析

首先通过gqrx或SDR#对无线门铃的工作频率进行精确定位，我自己这款检测到的频率值为315.1Mhz，而公司的门铃则与说明书标称的一样为315Mhz ；

出现不同是因为EV1527芯片可根据电压和振荡电阻的匹配情况来确定其振荡频率，电压越高，频率越大，电阻越大，频率越小，从组合来看可以构成无数种振荡频率，大大降低了重复几率。

接下来对工作频段数据进行捕获录制，执行以下命令：

hackrf_transfer -r hell.iq -f 315100000 -s 8000000 -n 40000000

解释：记录数据到文件hell.iq、指定工作频率为315.1Mhz，指定采样率8Msps/s，指定采样样本数为40M，采样时间也就是5秒

并在5秒内按下遥控器按钮，此时铃声响起，数据也被记录下来了

重放信号以测试样本可靠性：

hackrf_transfer -t hell.iq -f 315100000 -s 8000000 -a 1 -l 40 -x 47

解释：指定发射信号源文件，指定工作频率315.1Mhz，指定采样率8Msps，开启天线增益控制，指定RX LNA(IF)增益为40，指定TX VGA(IF)增益为47

如果听见铃声响起，那说明这段信号是有效的，如果没有响起，可能是录制指定的频率不对或采样到的信号样本不完整，可多次尝试录制，如果是车钥匙等其他设备，其信号只有一次或几次有效性，俗称滚动码，这点请注意。

如果从单纯分析信号的角度考量，现阶段不一定需要重放信号；

现在我们使用音频处理软件 Audacity 对hell.iq文件进行信号分析，我们可以通过其展现信号波形图来判断信号的调制方式并加以分析

打开程序后点选“文件”—“导入”—“原始数据”— 配置如下

导入成功后显示如下图：

上面有14段完整的信号采样，我们选择一段信号后点击放大镜来进一步观察信号特征

上面是两段相同的脉冲信号，由1和0组成 ,因为我们已经预先知晓了该无线模块的调制模式为ASK/OOK 所以接下来的分析比较简单，这里面的OOK是ASK的一种特殊调制模式，叫做(On-Off-Keying)，简单说它就是摩尔斯电码的工作方式。由于OOK的抗噪声性能不如其他调制方式，所以该调制方式在目前的卫星通信、数字微波通信中没有被采用，但是由于该调制方式的实现简单，在遥控、RFID等领域中仍然有着广泛应用。

我们将第一个最窄宽度的蓝色条状物当作标准宽度 1，空白区域当作0，空白区域的宽度能容纳几个标准宽度蓝条，就代表有几个0，以此类推，较宽的蓝色条状物能容纳几个标准宽度蓝条就代表有几个1。

经过计算和统计后，我们得出如下数据：

1000100011101000111011101000100011101110100011101110100011101000111010001110100010001000100011101

在我们按住遥控按钮的过程中，信号实际上是在持续不断的重复发射的，后面距离第二段脉冲信号经过计算大约有30个0，所以整段数据为

1000100011101000111011101000100011101110100011101110100011101000111010001110100010001000100011101000000000000000000000000000000

根据EV1527芯片说明，当工作电压在12V、振荡阻值80K情况下，其脉冲周期 T≈400μs，即0.4毫秒，脉冲周期是指前后相邻脉冲的间隔时间，这一参数将在后面模拟仿真时使用到。

由上面两组相同的信号样本结合芯片说明可知这是两组相同的帧码，每一帧码有25位，由同步码、内码、数据码组成，一帧码发完马上发下一帧码。

时序图：

数据解码：

接下来对上面捕获的数据进行解码，其他位我们可以这样理解，第一位SYN也就是1000，这段我们不予分析（实在不会，这是一段高低电平比t:31t的脉冲信号 ），后面的部分可以分为“百万组内码”和“数据码”，数据码我们已知是后四组，也就是1000100011101000，根据上诉分析可解出4个数字代表一位，每个数字脉冲周期是4t，这里的1代表高电平，0代表低电平，则1000可解为0，因为4t+12t先高后低表示0码，而1110可解为12t+4t先高后低，代表1码，最后整段解码得出0010这个发码组合，参考芯片说明一共有15种按键组合，当门铃被按下后则发出对应的发码组合给接收器中的EV1527芯片，接收器收到后就会处理响应，播放铃音了。

内码部分按照上述原理解码后得出：01011001101101010100，将二进制转换后得出 十进制：367444 十六进制：0x59B54 也就是这款芯片的百万组编码号了。

公司门铃内码解码后得出：1101001101101100101 十进制：432997 十六进制：0x69B65

0x03 数据汇总

#自己的门铃
产品型号：朗瑞特 LR-1688 直流款
发射模块：eV1527 百万组编码芯片
调制模式：ASK/OOK
工作频率：315.1Mhz
Vector：(1, 0, 0, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0)

#公司门铃
产品型号：朗瑞特 LR-1688 交流款
发射模块：eV1527 百万组编码芯片
调制模式：ASK/OOK
工作频率：315Mhz
Vector：(1, 0, 0, 0, 1, 1, 1, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 1, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0)

0x04 模拟信号源发射

Repate模块用于设置脉冲周期;

由于我们的框图中使用采样率为1MHz，那么想让每个数字所占用的时间t=0.4ms的话，则需要使Vector Source里的每个数字重复 1e6*0.5*10^(-3)=400 次。于是将Repeat模块的Interpolation设置为400即可。

Gnuradio框图：