電力智能終端數(shù)據(jù)采集無線通信安全研究

王偉福，韓力，盧曉雄

（國網(wǎng)浙江省電力有限公司杭州供電公司，浙江杭州310016）

1 引言

國家電網(wǎng)承載著千千萬萬家庭、各行各業(yè)電力輸送供應的重任，安全穩(wěn)定的電網(wǎng)是人們生活、社會生產、國家發(fā)展的基礎保障。為了積極響應貫徹國家“沒有網(wǎng)絡安全就沒有國家安全”的網(wǎng)絡安全號召，國網(wǎng)浙江省電力有限公司杭州供電公司積極開展市區(qū)采集終端信道加密傳輸?shù)陌踩詫ｍ棻O(jiān)測和研究，排除電網(wǎng)運營在信息化方面存在的安全隱患，為電力在信息化建設、運營上保駕護航。

本文針對市區(qū)電網(wǎng)終端數(shù)據(jù)在采集傳輸過程中的安全性問題，研究能否將智能終端采集的電力數(shù)據(jù)安全、完整、穩(wěn)定地傳回數(shù)據(jù)采集系統(tǒng)，在數(shù)據(jù)的傳輸過程中能否抵御監(jiān)聽、篡改、破壞等網(wǎng)絡攻擊行為，并證實遠程自動抄表智能終端將數(shù)據(jù)傳輸?shù)诫娏π畔⒉杉到y(tǒng)的無線傳輸過程中存在信息安全風險。

開展相關研究內容并取得的成果：

（1）開展杭州市區(qū)電力采集終端數(shù)據(jù)傳輸安全性驗證并形成報告；

（2）開展杭州市區(qū)電力采集終端與用電信息采集系統(tǒng)平臺聯(lián)動安全性驗證并形成報告；

（3）開展杭州市區(qū)電力采集終端數(shù)據(jù)無線網(wǎng)絡傳輸?shù)陌踩匝芯亢吞接懖⑿纬蓤蟾妗?/p>

2 電力數(shù)據(jù)采集系統(tǒng)

研究電力終端數(shù)據(jù)采集無線通信安全，了解電力終端數(shù)據(jù)采集系統(tǒng)的網(wǎng)絡架構、數(shù)據(jù)采集流程、數(shù)據(jù)采集方式方法是必備條件。

電力數(shù)據(jù)采集系統(tǒng)主要由智能電表、采集模塊、終端采集器、集中器、信息采集系統(tǒng)組成。

智能電表作為電力計量單位主要負責用戶用電量的計量。

采集模塊作為智能電表的一個終端硬件采集通訊功能模塊，集成在智能電表上面，負責采集智能電表的數(shù)據(jù)，然后通過電力線的載波或者RS-485通訊接口將采集到的數(shù)據(jù)傳輸給采集終端。

采集器的位置處于電表和集中器之間，即“電表-采集器-集中器”，承上啟下負責雙向數(shù)據(jù)交互，向下通過RS-485或者電力線連接能電表采集電表的數(shù)據(jù)，向上通過RS-485接口、載波或者短距離無線，將采集到的數(shù)據(jù)傳輸給集中器。

集中器作為集中抄表系統(tǒng)中的關鍵設備，能夠通過下行信道自動抄收，存儲各種具有載波通信功能的智能儀表、采集終端或采集模塊以及各類載波通信終端的電量數(shù)據(jù)，并能采集外部485表數(shù)據(jù)，其下行信道可以是低壓電力線載波及RS-485串行通信通道。同時，能通過上行信道與主站或手持設備進行數(shù)據(jù)交換，其上行信道采用公用通訊網(wǎng)，支持GPRS、CDMA 等通信方式，并且采用模塊化設計，可通過更換通信模塊直接改變通信方式。

信息采集系統(tǒng)集中化管理由各個集中器采集傳輸過來的采集信息，對接電力營銷系統(tǒng)，為基礎的數(shù)據(jù)提供數(shù)據(jù)支撐。

3 智能電表終端數(shù)據(jù)采集網(wǎng)絡架構

通常終端信息采集網(wǎng)絡架構分為二層架構和三層架構，具體如圖1所示。

圖 1 智能電表終端數(shù)據(jù)采集網(wǎng)絡架構

由于現(xiàn)實應用場景復雜，無法統(tǒng)一使用一種方式實現(xiàn)信息采集，不同的應用場景需要采用相應的采集方案。但是，無論數(shù)據(jù)采集實現(xiàn)的哪一種網(wǎng)絡架構，最終采集到的數(shù)據(jù)都需要通過集中器，或者數(shù)據(jù)采集終端通過GPRS，或者4G LTE無線通信模塊，將數(shù)據(jù)發(fā)送給電力信息采集系統(tǒng)保存。

二層架構：智能電表上面的采集模塊將采集到的數(shù)據(jù)通過RS-485或者電力線載波傳輸給集中器，然后直接由集中器通過自帶的GPRS或者4G LTE模塊將數(shù)據(jù)發(fā)送給電力信息采集系統(tǒng)。這是最為常見的架構模式。

三層架構：集中器下發(fā)數(shù)據(jù)采集指令給采集器，采集器通過RS-485或者電力線載波，采集智能電表數(shù)據(jù)，將采集到的數(shù)據(jù)通過RS-485、電力線載波或者短距離無線傳輸給集中器，然后由集中器通過自帶的GPRS或者4G LTE模塊，將數(shù)據(jù)發(fā)送給電力信息采集系統(tǒng)。

4 GSM MITM中間人嗅探劫持攻擊

4.1 中間人攻擊

中間人（Man-in-the-middle attack，MITM）一般在正常的客戶端和服務端通信之間，利用各種手段進入一個具有雙重身份的攻擊者，這個攻擊者的身份就是中間人。對于客戶端，攻擊者偽裝成為正常的服務器；對于服務器，攻擊者偽裝成正常的客戶端，將正常的客戶端和服務器通信的流量劫持，然后轉發(fā)，客戶端和服務器整個過程的通信數(shù)據(jù)都經(jīng)過中間人，所以中間人可以查看并修改客戶端和服務器的通信流量。

GPRS中間人嗅探劫持攻擊只是中間人攻擊的一個應用場景，中間人在各個通信領域都有應用。中間人在攻擊期間獲得的信息，可用于多種目的，例如身份信息盜取、敏感信息獲取、信息資料篡改等，如圖2所示。

圖2 中間人攻擊圖解

4.2 偽基站

偽基站就是假基站，是偽裝成運營商合法基站的非法通信設備。它利用通信網(wǎng)絡的一些技術漏洞，劫持正常用戶的手機通訊，騙取用戶信息，強行發(fā)送廣告、詐騙等信息，嗅探和劫持正常用戶的通信流量，以此達到非法目的，偽基站原型如圖3所示。

圖3 偽基站原型

4.3 GSM偽基站原理

由于全球移動通信系統(tǒng)（Global System for Mobile Communications，GSM）通信網(wǎng)絡設計的缺陷，GSM網(wǎng)絡是單向驗證，即基站驗證手機；手機不驗證基站，而且盲目相信基站廣播的信息。

手機（MS）在開機時會優(yōu)先駐留（Camping）SIM卡允許的運營商網(wǎng)絡里的信號最強的基站，因此偽基站信號強是有意義的，但是用戶并不會經(jīng)常開關機，所以即使信號不是最強也影響不大。

比開關機更經(jīng)常發(fā)生的是位置更新（Location Update），偽基站主要靠Location Update流程來吸引MS駐留。

偽基站工作時通常偽裝成相鄰基站列表里的在當前位置信號最弱的基站以減少同頻干擾，但是LAC（Location Area Code）會設置成 跟正常網(wǎng)絡不沖突的數(shù)字范圍，還會改變Cell Reselection參數(shù)。

MS在Location Update時，偽基站會發(fā)出身份認證請求（Identity Request）給MS， 要求MS提交IMSI，國際移動用戶識別碼捕獲器（Stingray／IMSI Catcher）還會再次發(fā)出 Identity Request，要求MS提交IMEI。

為了少驚動目標，目的達到后，偽基站記錄該IMSI，然后盡可能快地把該MS彈回（Reject）原網(wǎng)絡。這會在MS再次提交 Location Updating Request時完成。為了能盡快地讓MS再次提交Location Updating Request，偽基站有兩個辦法，一是頻繁改變 LAC，二是廣播更短的位置更新周期，比如把T3212設為1分鐘。

4.4 GSM MITM攻擊原理

即在運營商基站和目標手機之間插入一臺偽基站和一部攻擊手機，誘導目標手機附著到偽基站，然后攻擊手機以目標手機身份在運營商網(wǎng)絡注冊，使得目標手機的所有進出通信都經(jīng)過偽基站和攻擊手機中轉，以此能夠攔截、修改、仿冒各種通信內容。

4.5 GSM MITM攻擊流程

（1）取得目標的手機號碼（MSISDN）；

（2）通過HLR Lookup查得目標的IMSI；

（3）通過Paging/HLR Lookup/社工確定目標所在的蜂窩小區(qū)（Cell ID）；

（4）肉身到目標附近，50m~300m；

（5）打開偽基站，吸引周圍手機前來附著，Reject除目標IMSI外的所有手機；

（6）目標手機附著后，啟動攻擊手機進行身份劫持；

（7）攔截目標手機的短信和流量。

5 GPRS 通信中間人攻擊試驗

通用分組無線服務技術（General Packet Radio Service，GPRS）是GSM移動電話用戶可用的一種移動數(shù)據(jù)業(yè)務，屬于第二代移動通信中的數(shù)據(jù)傳輸技術，服務由國內的運營商提供。如果攻擊者想要進行GPRS中間人攻擊，就必須劫持手機終端與運營商基站之間的通信流量，再將流量進行轉發(fā)。如何才能在手機終端和運營商基站之間，偽裝成一個具有雙重身份的中間人劫持手機終端和運營商基站之間的通信流量？攻擊者會采用技術手段，自己搭建一套和運營商無線通信網(wǎng)絡一樣的通信網(wǎng)絡，俗稱偽基站。

5.1 試驗需要的硬件和軟件

硬件:

（1）BladeRF〔帶天線和電纜（USB 3）連接到PC〕；

（2）帶SIM卡功能的智能電表或II型集中器；

（3）SIM卡；

（4）筆記本電腦。

軟件：

（1）OpenBTS或者（YateBTS）；

（2）SipauthServ；

（3）Smqueue (可選—如果你想發(fā)短信)；

（4）Asterisk (可選—如果你想打電話)；

（5）Ubuntu 12.04.5 LTS (Precise Pangolin)。

5.2 配置網(wǎng)絡環(huán)境及設備入網(wǎng)

使用以上的硬件和軟件，搭建好運行環(huán)境，開啟設備，運行軟件，設置網(wǎng)絡參數(shù)，復制和運營商網(wǎng)絡一樣的參數(shù)配置，就能模擬和運營相同的網(wǎng)絡環(huán)境，設備開機就能自動接入我們搭建的網(wǎng)絡，實現(xiàn)讓設備自動聯(lián)網(wǎng)。

圖4 使用BladeRF搭建測試平臺

5.2.1 啟動OpenBTS和組件

構建安裝軟硬件之后，就可以啟動OpenBTS了。為此，需要按以下順序執(zhí)行以下命令（需要使用root權限在命令行窗口中執(zhí)行）：

● ./OpenBTS（啟動OpenBTS）

openbts@strcpy.info:~$ sudo su

root@strcpy.info:/home/openbts# cd OpenBTS-Nuand-bladeRF/OpenBTS-v5.0/openbts/apps

root@strcpy.info:/home/openbts/OpenBTSNuand-bladeRF/OpenBTS-v5.0/openbts/apps# ./OpenBTS

● ./smqueue（執(zhí)行Smqueue，啟用短信服務)

openbts@strcpy.info:~$ sudo su

root@strcpy.info:/home/openbts# cd OpenBTS-Nuand-bladeRF/OpenBTS-v5.0/smqueue/smqueue

root@strcpy.info:/home/openbts/OpenBTSNuand-bladeRF/OpenBTS-v5.0/smqueue/smqueue# ./smqueue

ALERT 29938:29938 2018-11-30T16:22:07.0 smqueue.cpp:2798:main:

smqueue (re)starting

smqueue logs to syslogd facility LOCAL7， so there's not much to see here

● ./sipauthserve(執(zhí)行Sipauthserve，啟用鑒權服務)

openbts@strcpy.info:~$ sudo su

root@strcpy.info:/home/openbts# cd OpenBTS-Nuand-bladeRF/OpenBTS-v5.0/subscriberRegistry/apps

root@strcpy.info:/home/openbts/OpenBTS-Nuand-bladeRF/OpenBTS-v5.0/subscriberRegistry/apps# ./sipauthserve

ALERT 29948:29948 2018-11-30T16:22:19.5 sipauthserve.cpp:328:main: ./sipauthserve (re)starting

● ./asterisk(配置asterisk)

openbts@strcpy.info:~$ sudo su

root@strcpy.info:/home/openbts# asterisk-vvv

● ./OpenBTSCLI(啟動OpenBTS終端控制臺)

openbts@strcpy.info:~$ sudo su

root@strcpy.info:/home/openbts# cd OpenBTS-Nuand-bladeRF/OpenBTS-v5.0/openbts/apps

root@strcpy.info:/home/openbts/OpenBTSNuand-bladeRF/OpenBTS-v5.0/openbts/apps# ./OpenBTSCLI

OpenBTS Command Line Interface (CLI)utility

Copyright 2012， 2013， 2014 Range Networks，Inc.

Licensed under GPLv2.

Includes libreadline， GPLv2.

Connecting to 127.0.0.1:49300...

Remote Interface Ready.

Type:

"help" to see commands，

"version" for version information，

"notices" for licensing information，

"quit" to exit console interface.

OpenBTS>。

圖5 運行OpenBTS

5.2.2 查看GSM基站信息

通過手機查看運營商基站頻點信息，可以將搭建的偽基站配置成和運營商網(wǎng)絡一致的網(wǎng)絡，也可以對當前網(wǎng)絡已知的頻點進行監(jiān)聽。

當手機連接到GSM基站時，可以通過某些方法找出基站信息和ARFCN。對于2G中的Android或者iPhone手機，可以在撥號鍵盤中鍵入以下命令：

Android：*#*#4636#*#* or *#0011#

iPhone(all):*3001#12345#*dial

以iPhone手機為例，查看GSM基站詳情，記錄下基站的網(wǎng)絡參數(shù)，接下來在配置我們模擬的運營商網(wǎng)絡環(huán)境的時候會用到。以下是網(wǎng)絡配置關鍵的參數(shù)以及名詞解釋：

MCC：Mobile Country Code，移動國家代碼（中國為460）；

MNC：Mobile Network Code，移動網(wǎng)絡號碼（中國移動為0，中國聯(lián)通為1，中國電信為2）；

LAC：Location Area Code，位置區(qū)域碼；

CID：Cell Identity，基站編號。

圖6 查看基站編號及信道信息

圖7 查看基站區(qū)域位置信息

5.2.3 配置OpenBTS參數(shù)

使用OpenBTS命令行界面（CLI）實用程序開始配置BTS。設置GSM網(wǎng)絡的參數(shù)和運營商基站網(wǎng)絡配置相同（//后面的注釋是解釋說明參數(shù)的含義）。

（1）設置GSM網(wǎng)絡參數(shù)

OpenBTS> config GSM.Radio.Band 900 //設置移動網(wǎng)絡頻率

OpenBTS> config GSM.Radio.C0 51 //設置基站編號

OpenBTS> config GSM.Radio.ARFCNs 1//設置基站信道

OpenBTS> config GSM.Identity.MCC 001//設置移動網(wǎng)絡國家編碼

OpenBTS> config GSM.Identity.MNC 01 //設置移動網(wǎng)絡運營商編碼

OpenBTS> config GSM.Identity.CI 10

//設置基站編號

OpenBTS> config GSM.Identity.LAC 1000//設置基站區(qū)域位置編碼

OpenBTS> config GSM.Radio.PowerManager.MaxAttenDB 35 //發(fā)射的最大功率

OpenBTS>config GSM.Radio.PowerManager.MinAttenDB 35 //發(fā)射的最小功率

（2）配置允許所有設備注冊到該網(wǎng)絡

OpenBTS> config Control.LUR.OpenRegistration。*

//允許所有設備注冊到該網(wǎng)絡

（3）設置網(wǎng)絡監(jiān)聽

啟用GSM和GPRS網(wǎng)絡之后，啟用以下選項，可以通過GSMTAP捕獲 L1 / L2接口中的GSM（信令）和GPRS（信令和流量）。

OpenBTS> config Control.GSMTAP.GSM 1

OpenBTS> config Control.GSMTAP.GPRS 1

（4）設置GPRS上網(wǎng)功能

首先，配置IPTABLES，開啟數(shù)據(jù)轉發(fā)和網(wǎng)絡地址轉換。

注意：將eth0網(wǎng)絡接口替換為連接到Internet的環(huán)境網(wǎng)絡接口。

openbts@strcpy.info:~ $ sudo su

root@strcpy.info:/home/ openbts #sysctl -w net.ipv4.ip_forward = 1

root@strcpy.info:/home/openbt

#iptables -t nat -A POSTROUTING -o eth0-j MASQUERADE

（5）設置GPRS參數(shù)

OpenBTS> config GPRS.Enable 1

//開啟GPRS上網(wǎng)功能

OpenBTS> config GGSN.Firewall.Enable 0//關閉防火墻

OpenBTS> config GGSN.MS.IP.Base 192.168.1.20 //設置GGSN網(wǎng)關

OpenBTS> config GGSN.MS.IP.MaxCount 5//設置最大連接數(shù)（用戶數(shù)）

5.2.4 設備入網(wǎng)

配置好以上GSM的參數(shù)設置之后，搭建的測試網(wǎng)絡就完全是模擬了運營商真實網(wǎng)絡。插入SIM卡的設備開機即可自動注冊接入搭建的GSM網(wǎng)絡。

使用如下命令在OpenBTSCLI命令窗口中查看注冊到網(wǎng)絡上的設備：

OpenBTS> tmsis //查看注冊到該網(wǎng)絡的設備。

圖8 設備成功連接到測試平臺

5.3 篡改通信協(xié)議數(shù)據(jù)

一旦設備成功接入搭建的中間人測試平臺，就可以對經(jīng)過的流量進行任意操作，例如修改數(shù)據(jù)內容和代理轉發(fā)。實驗以篡改終端發(fā)送到服務端的電能數(shù)據(jù)包為例：首先，找到要攻擊的目標數(shù)據(jù)包，為此應對截獲的協(xié)議報文進行解析和篩選，依據(jù)就是協(xié)議數(shù)據(jù)幀格式的控制碼和數(shù)據(jù)標識；然后，替換掉幀格式里的數(shù)據(jù)部分，需要注意的是，修改數(shù)據(jù)后，數(shù)據(jù)幀后面的校驗碼也要做相應的修改，否則服務端收到不正確的校驗碼會直接丟棄掉數(shù)據(jù)幀。這里可以對接收的數(shù)據(jù)包進行加工處理，最后轉發(fā)到服務端，篡改電表電能數(shù)據(jù)包示意圖，如圖9所示。

5.4 流量嗅探與分析

篡改完數(shù)據(jù)以后，使用Wireshark抓包分析。實施中間人攻擊后，數(shù)據(jù)流經(jīng)過中間人的篡改，再轉發(fā)到數(shù)據(jù)的采集終端。終端發(fā)送的有功總電能數(shù)據(jù)項的值由原來的33333333變成44444444，意味著電表發(fā)往服務端的有功總電能遭受篡改。但是，從返回的數(shù)據(jù)包結果來看返回的有功電能沒有被篡改成功，意味著隨意篡改數(shù)據(jù)幀并沒有實際效果，如圖10所示。

圖9 篡改有功電能數(shù)據(jù)幀

圖10 Wireshark捕獲通信數(shù)據(jù)

5.5 采集終端數(shù)據(jù)報文解析

通過解讀Q/GDW 376.1主站與采集終端通信協(xié)議規(guī)約，了解了規(guī)約的數(shù)據(jù)格式和編碼方式，再通過編寫工具對通信數(shù)據(jù)報文進行解析，得到還原后的明文數(shù)據(jù)格式，既方便閱讀，也可以對數(shù)據(jù)進行修改，并且成功發(fā)送數(shù)據(jù)包，如圖11和圖12所示。

圖11 數(shù)據(jù)報文修改

圖12 數(shù)據(jù)報文修改后發(fā)送

6 結束語

通過終端數(shù)據(jù)采集通信中間人攻擊試驗，總結了終端數(shù)據(jù)采集通信存在的安全風險。

（1）數(shù)據(jù)在網(wǎng)絡傳輸層面是不安全的，網(wǎng)絡可以被劫持、干擾，接入非法的偽基站網(wǎng)絡，數(shù)據(jù)通信流量存在被嗅探、監(jiān)聽，修改的風險。

（2）數(shù)據(jù)在終端采集發(fā)送到主站的過程中是明文傳輸?shù)模环ǚ肿尤绻麄卧旖K端向主站發(fā)送偽造的數(shù)據(jù)，主站無法鑒別數(shù)據(jù)的真?zhèn)危瑥亩ㄟ^此方法修改采集的電能數(shù)據(jù)，達到逃費、竊電的目的。

（3）只有數(shù)據(jù)在主站到數(shù)據(jù)采集系統(tǒng)的傳輸過程中，采用的是對稱加密算法進行加密傳輸。隨著攻擊技術的提升，如果日后對稱加密的密鑰一旦泄露，就可以通過數(shù)據(jù)的加密算法和密鑰還原加密的數(shù)據(jù)，安全措施將不復存在。

通過搭建測試網(wǎng)絡環(huán)境測試試驗，在數(shù)據(jù)流從電表傳輸?shù)椒斩说倪^程中，通過中間人攻擊的方式攔截流量，對數(shù)據(jù)包內容進行修改再轉發(fā)，然后模擬終端向主站直接發(fā)送數(shù)據(jù)，證明智能電表數(shù)據(jù)在終端采集發(fā)送到服務端的網(wǎng)絡通信過程中，數(shù)據(jù)傳輸是不夠安全的。但是，不能依賴網(wǎng)絡層面的安全防護，也不能完全將安全寄托于運營商，運營商只提供了一個網(wǎng)絡傳輸通道，管道里面?zhèn)鬏數(shù)臄?shù)據(jù)還需要靠自身提高安全防護能力。

綜上所述，雖然國網(wǎng)在網(wǎng)絡安全方面現(xiàn)已經(jīng)有安全防護技術方案，但仍然還有很大的改進空間。在網(wǎng)絡安全防護能力提升方面，從細節(jié)入手，防微杜漸，堵住每一個細小的安全缺陷，為電網(wǎng)系統(tǒng)高效、穩(wěn)定、安全的運行提供堅實的安全保障。