王伟福,韩力,卢晓雄
(国网浙江省电力有限公司杭州供电公司,浙江杭州310016)
摘 要:随着经济的高速发展,从古老的煤油灯到如今家家户户灯火通明,电这项信息科技产物已经成为人们生活必不可少的一部分。信息技术的进步,衍生了电力的智能终端、智能电表,实现了信息化的远程自动读表,节省了挨家挨户登门抄表的人力和时间成本。文章针对远程自动抄表智能终端将数据传输到电力信息采集系统的无线传输过程中的信息安全问题,开展数据在无线传输的过程中,有没有可能使用中间人攻击的方式,嗅探采集终端、集中器,发送到电力信息采集系统通信流量的研究,取得篡改电能数据的成果,从而威胁智能电表的通信安全。关键词:采集终端;无线;中间人攻击;安全 中图分类号: X913.6文献标识码:B
Research on wireless communication security of power
intelligent terminal data acquisition
Wan g We ifu, Han Li, L u Xiaoxiong
(Hangzhou Power Supply Company of Zhejiang Electric Power Co., Ltd., Zhejiang Hangzhou 310016)
Abstract: With the rapid development of economy, from the ancient kerosene lamp to today's bright lights, electricity, an information technology product, has become an indispensable part of people's life. With the development of information technology, the intelligent terminal and smart meter of electric power are derived. The remote automatic meter reading based on information technology is realized, and the human and time cost of door-to-door meter reading is saved. In this paper, aiming at the information security problem in the wireless transmission process of remote automatic meter reading intelligent terminal transmitting data to power information acquisition system, this paper studies whether it is possible to use man in the middle attack to sniff the communication flow sent by the acquisition terminal and concentrator to the power information acquisition system in the process of wireless transmission, so as to obtain the results of tampering with the power data The communication security of smart meters is threatened.
Key words: acquisition terminal; wireless; man-in-the-middle attack; security
1 引言
国家电网承载着千千万万家庭、各行各业电力输送供应的重任,安全稳定的电网是人们生活、社会生产、国家发展的基础保障。为了积极响应贯彻国家“没有网络安全就没有国家安全”的网络安全号召,国网浙江省电力有限公司杭州供电公司积极开展市区采集终端信道加密传输的安全性专项监测和研究,排除电网运营在信息化方面存在的安全隐患,为电力在信息化建设、运营上保驾护航。
本文针对市区电网终端数据在采集传输过程
2020年第12期
网络空间安全Cyberspace Security 图 1 智能电表终端数据采集网络架构
中的安全性问题,研究能否将智能终端采集的电力数据安全、完整、稳定地传回数据采集系统,在数据的传输过程中能否抵御监听、篡改、破坏等网络攻击行为,并证实远程自动抄表智能终端将数据传输到电力信息采集系统的无线传输过程中存在信息安全风险。
开展相关研究内容并取得的成果:
(1)开展杭州市区电力采集终端数据传输安全性验证并形成报告;
(2)开展杭州市区电力采集终端与用电信息采集系统平台联动安全性验证并形成报告;
(3)开展杭州市区电力采集终端数据无线网络传输的安全性研究和探讨并形成报告。
2 电力数据采集系统
研究电力终端数据采集无线通信安全,了解电力终端数据采集系统的网络架构、数据采集流程、数据采集方式方法是必备条件。
电力数据采集系统主要由智能电表、采集模块、终端采集器、集中器、信息采集系统组成。
智能电表作为电力计量单位主要负责用户用电量的计量。
采集模块作为智能电表的一个终端硬件采集通讯功能模块,集成在智能电表上面,负责采集智能电表的数据,然后通过电力线的载波或者RS-485通讯接口将采集到的数据传输给采集终端。
采集器的位置处于电表和集中器之间,即“电表-采集器-集中器”,承上启下负责双向数据交互,向下通过RS-485或者电力线连接能电表采集电表的数据,向上通过RS-485接口、载波或者短距离无线,将采集到的数据传输给集中器。
集中器作为集中抄表系统中的关键设备,能够通过下行信道自动抄收,存储各种具有载波通信功能的智能仪表、采集终端或采集模块以及各类载波通信终端的电量数据,并能采集外部485表数据,其下行信道可以是低压电力线载波及RS-485串行通信通道。同时,能通过上行信道与主站或手持设备进行数据交换,其上行信道采用公用通讯网,支持GPRS 、CDMA 等通信方式,并且采用模块化设计,可通过更换通信模块直接改变通信方式。
信息采集系统集中化管理由各个集中器采集传输过来的采集信息,对接电力营销系统,为基础的数据提供数据支撑。
3 智能电表终端数据采集网络架构
通常终端信息采集网络架构分为二层架构和三层架构,具体如图1
所示。
由于现实应用场景复杂,无法统一使用一种方式实现信息采集,不同的应用场景需要采用相应的采集方案。但是,无论数据采集实现的哪一种网络架构,最终采集到的数据都需要通过集中器,或者数据采集终端通过GPRS ,或者4G LTE 无线通信模块,将数据发送给电力信息采集系统保存。
二层架构:智能电表上面的采集模块将采集到的数据通过RS-485或者电力线载波传输给集中器,然后直接由集中器通过自带的GPRS 或者4G LTE 模块将数据发送给电力信息采集系统。这是最为常见的架构模式。
三层架构:集中器下发数据采集指令给采集器,采集器通过RS-485或者电力线载波,采集智能电表数据,将采集到的数据通过RS-485、电力
王伟福 等:电力智能终端数据采集无线通信安全研究
图2 中间人攻击图解
智能抄表
图3 原型
4.3 GSM原理
由于全球移动通信系统(Global System for Mobile Communications ,GSM )通信网络设计的缺陷,G S M 网络是单向验证,即验证手机;手机不验证,而且盲目相信广播的信息。
手机(M S )在开机时会优先驻留(Camping )SIM 卡允许的运营商网络里的信号最强的,因此信号强是有意义的,但是用户并不会经常开关机,所以即使信号不是最强也影响不大。
比开关机更经常发生的是位置更新(Location Update ),主要靠Location Update 流程来吸引MS 驻留。
工作时通常伪装成相邻列表里的在当前位置信号最弱的以减少同频干扰,但是LAC (Location Area Code )会设置成 跟正常网络不冲突的数字范围,还会改变C e l l Reselection 参数。
MS 在Location Update 时,会发出身份
认证请求(Identity Request )给MS , 要求MS 提交IMSI ,国际移动用户识别码捕获器(Stingray /I M S I C a t c h e r )还会再次发出 I d e n t i t y Request ,要求MS 提交IMEI 。
为了少惊动目标,目的达到后,记录该IMSI ,然后尽可能快地把该MS 弹回(Reject )原网络。这会在MS 再次提交 Location Updating R e q u e s t 时完成。为了能尽快地让M S 再次提交 Location Updating Request ,有两个办法,一是频繁改变 LAC ,二是广播更短的位置更新周
线载波或者短距离无线传输给集中器,然后由集中器通过自带的GPRS 或者4G LTE 模块,将数据发送给电力信息采集系统。
4 GSM MITM中间人嗅探劫持攻击
4.1 中间人攻击
中间人(Man-in-the-middle attack ,MITM )一般在正常的客户端和服务端通信之间,利用各种手段进入一个具有双重身份的攻击者,这个攻击者的身份就是中间人。对于客户端,攻击者伪装成为正常的服务器;对于服务器,攻击者伪装成正常的客户端,将正常的客户端和服务器通信的流量劫持,然后转发,客户端和服务器整个过程的通信数据都经过中间人,所以中间人可以查看并修改客户端和服务器的通信流量。
G P R S 中间人嗅探劫持攻击只是中间人攻击的一个应用场景,中间人在各个通信领域都有应用。中间人在攻击期间获得的信息,可用于多种目的,例如身份信息盗取、敏感信息获取、信息资料篡改等,如图2
所示。
4.2
就是假,是伪装成运营商合法的非法通信设备。它利用通信网络的一些技术漏洞,劫持正常用户的手机通讯,骗取用户信息,强行发送广告、等信息,嗅探和劫持正常用户的通信流量,以此达到非法目的,原型如图3
所示。
2020年第12期网络空间安全Cyberspace Security
期,比如把T3212设为1分钟。
4.4 GSM MITM攻击原理
即在运营商和目标手机之间插入一台和一部攻击手机,诱导目标手机附着到,然后攻击手机以目标手机身份在运营商网络注册,使得目标手机的所有进出通信都经过和攻击手机中转,以此能够拦截、修改、仿冒各种通信内容。
4.5 GSM MITM攻击流程
(1)取得目标的手机号码(MSISDN);
(2)通过HLR Lookup查得目标的IMSI;
(3)通过Paging/HLR Lookup/社工确定目标所在的蜂窝小区(Cell ID);
(4)肉身到目标附近,50m~300m;
(5)打开,吸引周围手机前来附着,Reject除目标IMSI外的所有手机;
(6)目标手机附着后,启动攻击手机进行身份劫持;
(7)拦截目标手机的短信和流量。
5 GPRS 通信中间人攻击试验
通用分组无线服务技术(G e n e r a l P a c k e t Radio Service,GPRS)是GSM移动电话用户可用的一种移动数据业务,属于第二代移动通信中的数据传输技术,服务由国内的运营商提供。如果攻击者想要进行GPRS中间人攻击,就必须劫持手机终端与运营商之间的通信流量,再将流量进行转发。如何才能在手机终端和运营商之间,伪装成一个具有双重身份的中间人劫持手机终端和运营
商之间的通信流量?攻击者会采用技术手段,自己搭建一套和运营商无线通信网络一样的通信网络,俗称。
5.1 试验需要的硬件和软件
硬件:
(1)BladeRF〔带天线和电缆(USB 3)连接到PC〕;
(2)带SIM卡功能的智能电表或II型集中器;
(3)SIM卡;
(4)笔记本电脑。
软件:
(1)OpenBTS或者(YateBTS);
(2)SipauthServ;
(3)Smqueue (可选—如果你想发短信);
(4)Asterisk (可选—如果你想打电话);
(5)U b u n t u12.04.5L T S(P r e c i s e Pangolin)。
5.2 配置网络环境及设备入网
使用以上的硬件和软件,搭建好运行环境,开启设备,运行软件,设置网络参数,复制和运营商网络一样的参数配置,就能模拟和运营相同的网络环境,设备开机就能自动接入我们搭建的
网络,实现让设备自动联网。
图4 使用BladeRF搭建测试平台
5.2.1 启动OpenBTS和组件
构建安装软硬件之后,就可以启动OpenBTS 了。为此,需要按以下顺序执行以下命令(需要使用root权限在命令行窗口中执行):
● ./OpenBTS(启动OpenBTS)
*******************:~$sudosu
r o o t@s t r c p y.i n f o:/h o m e/o p e n b t s#c d O p e n B T S-N u a n d-b l a d e R F/O p e n B T S-v5.0/ openbts/apps
王伟福 等:电力智能终端数据采集无线通信安全研究
****************:/home/openbts/OpenBTS-Nuand-bladeRF/OpenBTS-v5.0/openbts/apps# ./ OpenBTS
● ./smqueue(执行Smqueue,启用短信服务)
*******************:~$sudosu
r o o t@s t r c p y.i n f o:/h o m e/o p e n b t s#c d O p e n B T S-N u a n d-b l a d e R F/O p e n B T S-v5.0/ smqueue/smqueue
****************:/home/openbts/OpenBTS-N u a n d-b l a d e R F/O p e n B T S-v5.0/s m q u e u e/ smqueue# ./smqueue
ALERT 29938:29938 2018-11-30T16:22:07.0 smqueue.cpp:2798:main:
smqueue (re)starting
smqueue logs to syslogd facility LOCAL7, so there's not much to see here
● ./sipauthserve(执行Sipauthserve,启用鉴权服务)
*******************:~$sudosu
r o o t@s t r c p y.i n f o:/h o m e/o p e n b t s#c d O p e n B T S-N u a n d-b l a d e R F/O p e n B T S-v5.0/ subscriberRegistry/apps
r o o t@s t r c p y.i n f o:/h o m e/o p e n b t s/ O p e n B T S-N u a n d-b l a d e R F/O p e n B T S-v5.0/ subscriberRegistry/apps# ./sipauthserve
ALERT 29948:29948 2018-11-30T16:22:19.5 sipauthserve.cpp:328:main: ./sipauthserve (re) starting
● ./asterisk(配置asterisk)
*******************:~$sudosu
****************:/home/openbts#asterisk -vvv
● ./OpenBTSCLI(启动OpenBTS终端控制台)
*******************:~$sudosu
r o o t@s t r c p y.i n f o:/h o m e/o p e n b t s#c d O p e n B T S-N u a n d-b l a d e R F/O p e n B T S-v5.0/ openbts/apps
****************:/home/openbts/OpenBTS-Nuand-bladeRF/OpenBTS-v5.0/openbts/apps# ./ OpenBTSCLI
OpenBTS Command Line Interface (CLI) utility
Copyright 2012, 2013, 2014 Range Networks, Inc.
Licensed under GPLv2.
Includes libreadline, GPLv2.
Connecting to 127.0.0.
Remote Interface Ready.
Type:
"help" to see commands,
"version" for version information,
"notices" for licensing information,
"quit" to exit console interface.
OpenBTS>。
图5 运行
OpenBTS
5.2.2 查看GSM信息
通过手机查看运营商频点信息,可以将搭建的配置成和运营商网络一致的网络,也可以对当前网络已知的频点进行监听。
当手机连接到GSM时,可以通过某些方法出信息和ARFCN。对于2G中的Android或者iPhone手机,可以在拨号键盘中键入以下命令:Android:*#*#4636#*#* or *#0011#
iPhone(all):*3001#12345#*dial
以iPhone手机为例,查看GSM详情,记录下的网络参数,接下来在配置我们模拟的运营商网络环境的时候会用到。以下是网络配置关键的参数以及名词解释:
MCC:Mobile Country Code,移动国家代码(中国为460);
MNC:Mobile Network Code,移动网络号码(中国移动为0,中国联通为1,中国电信为2);
LAC:Location Area Code,位置区域码;
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议