陳 武, 潘璽廷,2, 向 上, 王 勇, 劉 蔚

(1.上海電力學(xué)院 計算機科學(xué)與技術(shù)學(xué)院, 上海 200090; 2.上海斗象信息科技有限公司 科技能力中心, 上海 201203; 3.上海云劍信息技術(shù)有限公司 科學(xué)技術(shù)部, 上海 200433)

一種針對智能電表DL/T645—2007協(xié)議的中間人攻擊

陳 武1, 潘璽廷1,2, 向 上1, 王 勇1, 劉 蔚3

(1.上海電力學(xué)院 計算機科學(xué)與技術(shù)學(xué)院, 上海 200090; 2.上海斗象信息科技有限公司 科技能力中心, 上海 201203; 3.上海云劍信息技術(shù)有限公司 科學(xué)技術(shù)部, 上海 200433)

利用協(xié)議的攻擊實驗分析和改進協(xié)議的安全性,確保智能電表通信安全.首先在熟悉通信協(xié)議的基礎(chǔ)上,挖掘其存在的漏洞;然后實施arp欺騙,偽造成中間人嗅探電表與采集終端的通信流量,達到篡改電能數(shù)據(jù)的目的.實驗表明,協(xié)議的脆弱性會帶來中間人篡改數(shù)據(jù)的風(fēng)險,最終威脅智能電表的信息安全.

智能電表; 中間人攻擊; 協(xié)議; 篡改

繼2015年烏克蘭電力系統(tǒng)遭受黑客攻擊導(dǎo)致大面積停電后,國內(nèi)外針對電網(wǎng)信息安全的關(guān)注持續(xù)增加.隨著智能電網(wǎng)在我國的實施,智能電表正逐步取代傳統(tǒng)的電子式電能表.智能電表作為用戶和電網(wǎng)通信的橋梁,承擔(dān)著電網(wǎng)采集終端與用戶數(shù)據(jù)交互的重要任務(wù),而這一任務(wù)的實現(xiàn)依賴于通信協(xié)議的支持[1].國內(nèi)智能電表大部分采用DL/T 645—2007協(xié)議,該協(xié)議在設(shè)計之初只考慮了功能的完整性和傳輸?shù)目煽啃?并未考慮其安全性.因此,研究DL/T 645—2007協(xié)議的安全漏洞對于發(fā)現(xiàn)智能電表存在的安全風(fēng)險具有重要意義,應(yīng)采取適當(dāng)?shù)陌踩胧?提高通信協(xié)議的安全等級,為我國智能電網(wǎng)的建設(shè)構(gòu)筑一道堅強的壁壘.

1 DL/T 645—2007協(xié)議的基本原理

該協(xié)議為主—從結(jié)構(gòu)的半雙工通信方式.手持單元或其他數(shù)據(jù)終端為主站,多功能電能表為從站.每個多功能電能表均有各自的地址編碼.通信鏈路的建立和解除均由主站發(fā)出的信息幀來控制.每幀由幀起始符、從站地址域、控制碼、數(shù)據(jù)域長度、數(shù)據(jù)域、幀信息縱向校驗碼及幀結(jié)束符7個域組成,每部分由若干字節(jié)組成.

1.1 字節(jié)格式

字節(jié)傳輸序列如圖1所示.

每字節(jié)含8位二進制碼,傳輸時加上一個起始位(0)、一個偶校驗位和一個停止位(1),共11位.D0是字節(jié)的最低有效位,D7是字節(jié)的最高有效位.先傳低位,后傳高位.

圖1 字節(jié)傳輸序列

1.2 信息幀

幀是傳送信息的基本單位,DL/T 645—2007協(xié)議定義了一個數(shù)據(jù)鏈路層的協(xié)議數(shù)據(jù)單元,所有信息幀均工作在數(shù)據(jù)鏈路層上,因此可以實現(xiàn)同一協(xié)議在不同物理介質(zhì)上的傳輸.其幀格式如表1所示.

表1 數(shù)據(jù)幀格式

常用的控制碼及其功能如圖2所示.一幀信息從幀起始符開始,其值為68H=01101000B.地址域由6個字節(jié)構(gòu)成,每字節(jié) 2 位 BCD 碼,地址長度可達12位十進制數(shù).每塊表具有惟一的通信地址,且與物理層信道無關(guān).當(dāng)使用的地址碼長度不足6B時,高位用“0”補足6B.通信地址999999999999H為廣播地址,只針對特殊命令有效,如廣播校時、廣播凍結(jié)等.廣播命令不要求從站應(yīng)答.數(shù)據(jù)域包括數(shù)據(jù)標識、密碼、操作者代碼、數(shù)據(jù)、幀序號等,其結(jié)構(gòu)隨控制碼的功能而改變.傳輸時發(fā)送方按字節(jié)進行加33H處理,接收方按字節(jié)進行減33H處理.

校驗碼為從第一個幀起始符開始到校驗碼之前的所有各字節(jié)的模256的和,即各字節(jié)二進制算術(shù)和,不計超過 256 的溢出值.最后,結(jié)束符16H=00010110B標識一幀信息的結(jié)束.

圖2 控制碼格式

1.3 傳輸方式

每次通信都是由主站向按信息幀地址域選擇的從站發(fā)出請求命令幀開始,被請求的從站接收到命令后作出響應(yīng).在主站發(fā)送數(shù)據(jù)幀之前會先發(fā)送4個字節(jié)的FEH,以喚醒接收方.從站收到命令幀后的響應(yīng)延時Td在20～500 ms之間,字節(jié)之間的停頓時間Tb不能超過500 ms.

傳輸過程中的差錯控制有兩種,一種是字節(jié)的偶校驗,另一種是數(shù)據(jù)幀的縱向信息累加和校驗.接收方無論檢測到偶校驗出錯或縱向信息累加和校驗出錯,均放棄該信息幀,不予響應(yīng).

2 DL/T 645—2007協(xié)議的安全性分析

2.1 缺乏身份認證和權(quán)限區(qū)分

當(dāng)智能電表連接網(wǎng)絡(luò)時,通常是使用協(xié)議轉(zhuǎn)換器將DL/T 645—2007協(xié)議轉(zhuǎn)換成TCP/IP協(xié)議,數(shù)據(jù)傳輸?shù)穆窂綇脑瓉淼腞S485通道變成RJ45通道,然后就可以連通到網(wǎng)絡(luò)和終端設(shè)備上.在網(wǎng)絡(luò)連接方面,它是封裝在TCP協(xié)議之下,利用TCP進行數(shù)據(jù)傳輸,只要知道目標IP地址,就可以通過502端口發(fā)起和建立通信連接[2].如果應(yīng)用層數(shù)據(jù)單元攜帶的控制碼滿足DL/T 645—2007協(xié)議的格式和規(guī)范,就可以建立起一個合法的DL/T 645會話,并且這種通信對任何連接到電表設(shè)備上的用戶都是可行的.因此,攻擊者很容易利用網(wǎng)絡(luò)攻擊手段發(fā)動中間人攻擊.例如,攻擊者通過ARP或DNS欺騙技術(shù),將通信雙方的數(shù)據(jù)流量全都引到攻擊者的機器上,這時攻擊者就可以監(jiān)聽甚至修改數(shù)據(jù)了,而這種改變對于會話雙方來說是完全透明的.

以常見的DNS欺騙為例,目標將其DNS請求發(fā)送到攻擊者處,然后攻擊者偽造DNS響應(yīng),將正確的IP地址替換為其他IP地址,之后用戶就登陸了這個攻擊者指定的IP,而攻擊者早就在這個IP中安排好了一個偽造的網(wǎng)站.如果攻擊者想實施更徹底的破壞,可以在這個網(wǎng)站中植入惡意代碼來傳播病毒,從而制造更嚴重的攻擊.

2.2 未采取加密通信

DL/T645—2007協(xié)議在網(wǎng)絡(luò)上采用明文進行數(shù)據(jù)傳輸,攻擊者能輕松實施嗅探,通過抓包軟件就可以截獲并解析出里面的數(shù)據(jù).一旦網(wǎng)絡(luò)上存在中間人攻擊,通信雙方的數(shù)據(jù)都將經(jīng)過攻擊者的機器進行轉(zhuǎn)發(fā),這時攻擊者可以很輕易地攔截數(shù)據(jù)信息,并對數(shù)據(jù)內(nèi)容做篡改再傳給對方,以便達到其攻擊的目的[3].

在網(wǎng)絡(luò)活動中,如果通信數(shù)據(jù)被中間人竊取,會造成用戶重要隱私的泄露,包括賬戶、密碼等敏感信息.在智能電網(wǎng)中,如果電表與控制中心的數(shù)據(jù)指令被中間人獲取并遭到修改,可能導(dǎo)致竊電事故的發(fā)生,更為嚴重的可能會引起電表的誤動作和更大的安全風(fēng)險.

如果協(xié)議改進后,可以將機密信息加密后再傳輸,這樣即使被中間人截取也難以破解.例如,采用TLS加密通信,只要會話初始化完成,想要進行中間人攻擊是非常困難的,除非在加密會話的初始化階段就進行攻擊[4].

2.3 校驗方式簡單

所謂數(shù)據(jù)校驗,就是為保證數(shù)據(jù)的完整性,用一種指定算法對原始數(shù)據(jù)計算出一個校驗值,接收方用同樣的算法計算一次校驗值,如果兩個校驗值相等,就說明數(shù)據(jù)是完整的.

DL/T 645—2007協(xié)議傳輸數(shù)據(jù)的差錯控制只有兩種校驗方式:一種是傳輸數(shù)據(jù)的每一個字節(jié)的偶校驗位(P);另一種就是在數(shù)據(jù)鏈路層上傳輸一幀信息的校驗碼(CS).這兩種方式都比較簡單,對于攻擊者來說,只要偽造正確的校驗碼就可以制造虛假的數(shù)據(jù)通過協(xié)議進行傳輸,從而對電網(wǎng)實施攻擊,威脅電網(wǎng)的安全.因此,協(xié)議固有的差錯控制方式很容易成為攻擊的弱點.

如果想讓攻擊者難以篡改和偽造數(shù)據(jù)校驗碼,可以添加其他更復(fù)雜和安全的校驗方式,比如數(shù)字水印技術(shù)[5].

3 DL/T 645—2007協(xié)議的攻擊實驗

3.1 實驗環(huán)境

本實驗以單相費控智能電表為例,電表下面接有用電負載,電表可以對用電數(shù)據(jù)進行實時采集和監(jiān)控,采集到的數(shù)據(jù)通過RS485接口線傳送至協(xié)議轉(zhuǎn)換器的相應(yīng)端口,轉(zhuǎn)換成TCP/IP后再經(jīng)過RJ45網(wǎng)線傳送到路由器上,路由器將智能電表的數(shù)據(jù)轉(zhuǎn)發(fā)到采集終端(終端計算機)上.

電表和終端計算機(以下簡稱終端)通過串口進行通信,電表支持虛擬串口,終端配備虛擬串口和設(shè)備管理工具,一鍵式搜索局域網(wǎng)設(shè)備,手動可添加Internet上的設(shè)備,方便配置和修改串口參數(shù).終端上裝有電表通信軟件,可以通過串口與電表進行通信,例如,讀取電表的總電能和對電表數(shù)據(jù)進行清零等.

整個實驗環(huán)境如圖3所示.

另外,本實驗采用Wireshark對協(xié)議數(shù)據(jù)進行抓包和分析.為保證終端與智能電表可以正常通信,需要根據(jù)協(xié)議的要求將虛擬串口的參數(shù)配置為一致.

表2列出了設(shè)備中關(guān)于網(wǎng)絡(luò)和串口的具體配置信息.

圖3 實驗環(huán)境

網(wǎng)絡(luò)設(shè)備IP模式IP地址端 口工作模式子網(wǎng)掩碼網(wǎng) 關(guān)目的IP串口設(shè)置目的端口波特率數(shù)據(jù)位校驗位停止位流 控靜態(tài)192．168．0．10513800TCP服務(wù)器255．255．255．0192．168．0．1192．168．0．103419624008偶校驗1無

3.2 實驗過程

3.2.1 配置攻擊者Iptables

Iptables可用于設(shè)置、維護和檢查Linux內(nèi)核的IP包過濾規(guī)則.本實驗根據(jù)數(shù)據(jù)轉(zhuǎn)發(fā)需求配置Iptables的命令如下:

iptables--flush

iptables-t nat--flush

iptables--zero

iptables-A FORWARD--in-interface wlan0-j ACCEPT

Iptables-t nat--append POSTROUTING--out-interface wlan0-j MASQUERADE

iptables-t nat-A PRESROUTING-p tcp--dport 80--jump DNAT--to 192.168.0.114

iptables-t nat-APRESROUTING-p tcp--dport 4196--jump DNAT--to 192.168.0.114

3.2.2 ARP欺騙偽造中間人

所謂中間人攻擊就是指攻擊者與通訊的兩端分別建立獨立的聯(lián)系,并交換其所收到的數(shù)據(jù),使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話,但事實上整個會話都被攻擊者完全控制[6].例如,當(dāng)你在咖啡館上網(wǎng)檢查你的賬戶信息時,也許黑客就攔截了你電腦和WiFi之間的通信,監(jiān)視著你的一舉一動.這種方法就是中間人攻擊,而這種攻擊還僅僅是黑客用于網(wǎng)絡(luò)攻擊的眾多方法之一.

由于TCP協(xié)議和645協(xié)議都沒有認證方法對通訊雙方的身份進行驗證,這為攻擊者將自己偽裝成每一個參與會話的終端提供了有利條件.實現(xiàn)中間人攻擊的方式有很多種,比如DNS欺騙、會話劫持和代理服務(wù)器等.隨著計算機通信技術(shù)的不斷發(fā)展,交換機代替集線器后,簡單的嗅探攻擊已經(jīng)不能成功,必須先進行ARP欺騙才能成功.

ARP欺騙也稱為ARP緩存中毒和ARP欺騙攻擊,這是在內(nèi)網(wǎng)的中間人攻擊.ARP欺騙分為兩種:一種是對路由器arp表的欺騙;另一種是對內(nèi)網(wǎng)PC網(wǎng)關(guān)的欺騙.無論哪一種欺騙,其原理都是一樣的,都是通過向被欺騙主機發(fā)送ARP的reply包來實現(xiàn)的[7].圖4為局域網(wǎng)arp雙向欺騙偽裝成網(wǎng)關(guān)的原理圖.

圖4 ARP雙向欺騙原理

有許多工具能夠用來實施ARP欺騙,比如Dsniff,ettercap等,但攻擊工具可以實現(xiàn)的功能固定并且有局限性.本實驗網(wǎng)絡(luò)環(huán)境配置如下:攻擊者IP為192.168.0.114,物理地址(MAC)為10-0b-a9-b3-9a-34;被欺騙主機(目標主機)IP為192.168.0.103;路由(網(wǎng)關(guān))IP為192.168.0.2,物理地址(MAC)為8c-a6-df-98-7d-73.

選擇Python語言編寫的部分函數(shù)如下.

def restore_target(gateway_ip,gateway_mac,target_ip,target_mac):

print ′[*] Restoring targets…′

send(ARP(op=2,psrc=gateway_ip,pdst=target_ip,hwdst=′ff:ff:ff:ff:ff:ff′, hwsrc=gateway_mac),count=5)

send(ARP(op=2,psrc=target_ip,pdst=gateway_ip,hwdst="ff:ff:ff:ff:ff:ff", hwsrc=target_mac),count=5)

os.kill(os.getpid(),signal.SIGINT)

運行欺騙程序之后,目標主機的arp緩存列表變化情況如圖5所示.

圖5 欺騙前后目標主機arp緩存列表

從目標主機緩存列表的變化可以看出,目標主機arp緩存列表里網(wǎng)關(guān)的MAC地址由攻擊之前本身真實的物理地址變成了攻擊者所在主機的MAC地址.也就是說,攻擊者成功地欺騙了目標主機和智能電表,在兩者中間充當(dāng)了第三人,攻擊者在目標主機與電表之間形成偽造的網(wǎng)關(guān),主站與從站之間所有的通信數(shù)據(jù)流量都將被攻擊者所竊聽.

3.2.3 篡改通信協(xié)議數(shù)據(jù)

一旦攻擊者掌握了主從站的通信數(shù)據(jù),就可以利用各種手段對數(shù)據(jù)包為所欲為,例如修改數(shù)據(jù)內(nèi)容和代理轉(zhuǎn)發(fā).本實驗以篡改從站應(yīng)答主站的電能數(shù)據(jù)包為例,首先,找到要攻擊的目標數(shù)據(jù)包,為此應(yīng)對截獲的協(xié)議報文進行解析和篩選,依據(jù)就是協(xié)議數(shù)據(jù)幀格式的控制碼和數(shù)據(jù)標識;然后,替換掉幀格式里的數(shù)據(jù)部分.需要注意的是,修改數(shù)據(jù)后,數(shù)據(jù)幀后面的校驗碼也要做相應(yīng)的修改,否則主站收到不正確的校驗碼會直接丟棄掉數(shù)據(jù)幀.

代理主機通過sock的輸入和輸出功能進行數(shù)據(jù)包的接收和轉(zhuǎn)發(fā).在這里我們可以對接收的數(shù)據(jù)包進行加工處理,然后轉(zhuǎn)發(fā)到目的主機.圖6是代理主機篡改電表的電能(當(dāng)前有功總電能)數(shù)據(jù)包的示意圖.

3.2.4 抓包分析與驗證

程序運行完成后,最后一步就是對數(shù)據(jù)進行抓包分析.調(diào)用wireshark在攻擊者主機的Wlan0口上對轉(zhuǎn)發(fā)的數(shù)據(jù)包進行截獲,并將抓包結(jié)果保存在results.pcap文件里.實驗開始前,在終端機上用wireshark捕獲從站發(fā)往主站的原始電能數(shù)據(jù)包,為了更快地找到需要的協(xié)議數(shù)據(jù)包,使用下面的過濾器:ip.srt_host==192.168.0.105 && ip_proto==TCP,結(jié)果如圖7所示.

由圖7可以看出,實施中間人攻擊后,數(shù)據(jù)流經(jīng)過中間人的篡改,再轉(zhuǎn)發(fā)到數(shù)據(jù)的采集終端.從站應(yīng)答主站的有功總電能數(shù)據(jù)項的值由原來的33333333變?yōu)?4444444,意味著電表發(fā)往終端的有功總電能遭受篡改,所有數(shù)據(jù)項的數(shù)據(jù)包均可在wireshark生成的results.pcap文件中找到.在捕獲結(jié)果里未發(fā)現(xiàn)數(shù)據(jù)包的內(nèi)容被替換,這說明電表返回的有功電能沒有被篡改成功.

圖6 篡改有功電能數(shù)據(jù)幀

圖7 攻擊前捕獲的數(shù)據(jù)報文

3.3 實驗結(jié)果

從攻擊實驗前后抓取的數(shù)據(jù)包內(nèi)容來看,在數(shù)據(jù)流從電表傳輸?shù)浇K端的過程中,通過arp欺騙將數(shù)據(jù)包引入攻擊者的主機,并利用Python代碼對數(shù)據(jù)包內(nèi)容實施修改,雖然最終未能將電能數(shù)據(jù)包按照我們的意圖篡改掉,但這種攻擊行為在電網(wǎng)的用電信息采集終端是很難被發(fā)現(xiàn)的.一旦攻擊者找到突破點,這種中間人攻擊成功的可能性很大,其造成的經(jīng)濟損失也是非常巨大的[8].

645協(xié)議本身具有局限性,如缺乏身份認證、明文傳輸數(shù)據(jù)、檢驗方式簡單等,本實驗利用了其安全性漏洞才成功地模擬中間人對協(xié)議數(shù)據(jù)包進行攻擊.實際運用中可能存在黑客對電表進行攻擊、篡改數(shù)據(jù)甚至偷電等違法行為,本文旨在將DL/T 645協(xié)議存在的安全威脅暴露出來,為維護國家電力工業(yè)的信息安全提供借鑒[9-10].

4 結(jié) 語

智能電表作為我國智能電網(wǎng)建設(shè)的基礎(chǔ)元件和核心設(shè)備,其通信協(xié)議的安全性也越來越受到各行各業(yè)以及政府部門的關(guān)注.因此,如何保證智能電表通信數(shù)據(jù)的信息安全以及用戶的隱私顯得十分重要.本文通過分析電力行業(yè)標準DL/T 645協(xié)議存在的安全威脅,探討了一種針對通信協(xié)議脆弱性進行中間人攻擊的方法,實驗雖然尚未成功,但不代表這種通信協(xié)議不能被攻擊.從協(xié)議暴露出的安全漏洞來看,將來的研究工作可以繼續(xù)關(guān)注智能電表DL/T 645通信協(xié)議的安全性,針對已知的漏洞完成中間人攻擊的篡改實驗,甚至可以嘗試中間人的其他類型攻擊.智能電表的協(xié)議種類繁多,攻擊對象也可以轉(zhuǎn)移到其他電表協(xié)議上,逐步完善智能電表通信協(xié)議的攻擊方法和改進措施,使智能電表傳輸數(shù)據(jù)更加安全和可靠,為智能電網(wǎng)的健康穩(wěn)定發(fā)展保駕護航.

[1] 中國電力科學(xué)研究院.DL/T645—2007 多功能電能表通訊規(guī)約[S].北京:中國電力企業(yè)聯(lián)合會標準化中心,2007.

[2] 張明遠,徐人恒,張秋月,等.智能電能表數(shù)據(jù)通訊安全性分析[J].電測與儀表,2014(23):24-27.

[3] 趙兵,翟峰,李濤永,等.適用于智能電表雙向互動系統(tǒng)的安全通信協(xié)議[J].電力系統(tǒng)自動化,2016(17):93-98.

[4] 王媛媛.智能電表通信測試系統(tǒng)分析與研究[J].現(xiàn)代工業(yè)經(jīng)濟和信息化,2016(9):98-99.

[5] 楊正和.智能電網(wǎng)用戶側(cè)信息安全問題研究[D].南京:東南大學(xué),2016.

[6] 單高林.用電信息采集系統(tǒng)與數(shù)據(jù)采集技術(shù)[D].濟南:山東大學(xué),2016.

[7] 李敏,王剛,石磊,等.智能電網(wǎng)信息安全風(fēng)險分析[J].華北電力技術(shù),2017(1):62-65.

[8] 李志強,高大兵,蘇盛,等.基于大數(shù)據(jù)的智能電表入侵檢測方法[J].電力科學(xué)與技術(shù)學(xué)報,2016:121-126.

[9] 路保輝.AMI通信系統(tǒng)及其數(shù)據(jù)安全策略研究[D].北京:華北電力大學(xué),2014.

[10] 曹聰聰,蔣亞平,郭浩.SSL協(xié)議安全性能分析及改進措施研究[J].湖北民族學(xué)院學(xué)報(自然科學(xué)版),2016(4):446-450.

(編輯 白林雪)

AnIntermediateAttackAgainstSmartMeterDL/T645—2007Protocol

CHENWu1,PANXiting1,2,XIANGShang1,WANGYong1,LIUWei3

(1.SchoolofComputerScienceandTechnology,ShanghaiUniversityofElectricPower,Shanghai200090,China;2.TechnologyCapabilityCenter,ShanghaiTopphantInformationTechnologyCo.,Ltd.,Shanghai201203,China;3.MinistryofScienceandTechnology,ShanghaiCloudSwordInformationTechnologyCo.,Ltd.,Shanghai200433,China)

Protocol attack experiments are used to analyze and improve the protocol security so as to ensure the communication safety of smart meters.Firstly,on the basis of understanding the communication protocol,its loopholes are tapped,and then ARP spoofing is implemented to induce the communication flow between the sniffer and the acquisition terminal,and to achieve the purpose of tampering with electric energy data.

smart-meter; intermediate; protocol; tamper

10.3969/j.issn.1006-4729.2017.04.014

2017-03-09

陳武(1993-),男,在讀碩士,湖南郴州人.主要研究方向為智能電表安全.E-mail:1933819849@qq.com.

上?？茖W(xué)技術(shù)委員會地方能力建設(shè)項目(15110500700);上海市浦江人才計劃資助項目(16PJ1433100);上海市自然科學(xué)基金(16ZR1436300);上海市科學(xué)技術(shù)委員會中小企業(yè)創(chuàng)新基金(1501H1B7700,1601H1E2600).

TM933.4;TP309

A

1006-4729(2017)04-0378-07