王勇，王相，賀文婷，周宇昊，蔡雨帆

?

饋線終端單元FTU的101規(guī)約安全性測試

王勇1，王相1，賀文婷2，周宇昊3，蔡雨帆1

（1. 上海電力學院信息安全系，上海 200090； 2. 華能上海石洞口發(fā)電有限責任公司華能上海石洞口第二電廠，上海 200942； 3. 華電電力科學研究院有限公司國家能源分布式能源技術研發(fā)（實驗）中心，浙江 杭州 310030）

IEC60870-5-101規(guī)約主要用于電力SCADA數據監(jiān)控采集系統(tǒng)主站和子站之間傳輸報文，由于該報文主要采用“幀校驗和”的方式，其安全性較低，存在中間人攻擊的安全隱患。為了驗證該101規(guī)約的通信存在問題，構建了饋線終端FTU與主站的通信系統(tǒng)，在云服務器上采集FTU移動物聯卡的遙測信息，利用中間人攻擊方式，采用ARP欺騙截獲通信數據分組，解析數據分組中的遙測信息，嘗試數據篡改并成功使監(jiān)控端數據得不到及時更新，最后提出了一種基于Hash簽名的101規(guī)約安全機制。

饋線終端FTU；101規(guī)約；中間人攻擊；ARP欺騙

1 引言

IEC 60870-5-101規(guī)約是國際電工委員會為適應電力系統(tǒng)和其通信方面的工作制定的基于EPA（enhanced performance architecture）模型的基本遠動任務的標準。它主要在具有電網數據采集和監(jiān)控系統(tǒng)（SCADA，supervisory control and data acquisition）的主站和饋線遠端單元FTU（feeder terminal unit）之間通過問答方式進行數據傳輸，如總召喚、一級數據和二級數據上報、時鐘同步及遠端遙控等[1]。

由于101規(guī)約在制定時僅僅考慮了功能的完整性，并未對其通信的安全性加以考慮，攻擊者很容易利用規(guī)約的漏洞對通信系統(tǒng)造成攻擊，截獲并篡改通信數據，甚至能使通信系統(tǒng)癱瘓而無法正常工作。因此，研究和分析101規(guī)約的安全性對提高主從站之間的通信安全具有重要意義。

本文主要做了以下工作。

1) 搭建了真實的實驗環(huán)境，使用真實的FTU設備與云服務器主站進行硬件連接并實現，能夠遙測到FTU的工作電壓。

2) 針對101規(guī)約本身存在的安全漏洞進行分析，發(fā)現其存在的若干安全性問題，并通過主從站通信的真實實驗結果驗證規(guī)約存在明文傳輸這一安全漏洞。

3) 通過中間人攻擊手段對系統(tǒng)進行攻擊測試，實施ARP欺騙，能夠成功截獲主站與FTU之間的通信報文，加以分析得到主從站之間的通信內容。在中間人攻擊測試成功之后，本文還進行了數據篡改測試實驗，并能夠使監(jiān)控端軟件上的遙測數據得不到及時更新，但還不能真正修改通信數據。

4) 為了加強101規(guī)約通信的安全性，本文以Hash函數和數字簽名為基礎，提出了一種增強101規(guī)約安全性的安全機制。

本文實驗的結論對提高101規(guī)約的安全性有一定的幫助，并為后續(xù)篡改通信數據的研究提供基礎，以期更好地保護101規(guī)約通信的安全。

2 國內外研究現狀

針對IEC60870-5-101規(guī)約的安全性相關問題，國內外研究人員做了諸多研究。閆飛飛[1]設計了一款以32位DSP浮點CPU(TMS320F28335)為基礎的新型FTU，并且在新型FTU的μC/OS-Ⅱ上對101規(guī)約通信進行測試，結果表明，101通信程序能精準快速地上傳通信數據，滿足饋線自動化對FTU通信的要求。劉柳[2]針對101規(guī)約的幀格式和傳輸特性，進行了多方面的安全性分析，得出了101規(guī)約本身的脆弱性問題，同時還分析了可能存在的攻擊手段。劉柳針對101規(guī)約的安全性問題，建立了一種以攻擊樹為基礎的防御圖模型，并利用防御圖對通信的安全等級進行推斷，推斷的依據是預期的攻擊成功率。王昕等[3]以云南電網調度系統(tǒng)中遠動設備的真實運行情況為基礎，利用C++編程語言設計了基于101規(guī)約遠動設備的測試分析系統(tǒng)，能夠互聯不同的基于101規(guī)約的遠動設備，不但實現了對測試報文和測試數據的分析處理，同時還通過Access2003軟件進行數據庫建立，用來存儲程序運行過程中101規(guī)約的報文轉換結果數據。楊艷華[4]提出并設計一種Modbus RTU-IEC60870-5-101數據匯集與規(guī)約轉換裝置，不但解決了2種協(xié)議之間通信的轉換問題，而且克服了主站同時向多個從站采集數據時效率低的問題。目前該裝置已經成功被實際應用到多種配電自動化控制系統(tǒng)中。李克文等[5]根據配電自動化通信的特點，對101規(guī)約的平衡式傳輸方式或非平衡式傳輸方式進行選擇和補充，并加以多次測試和修改，提出了一種基于IEC60870-5-101規(guī)約的數據傳輸協(xié)議，并成功應用到配電自動化的無線公網通信系統(tǒng)。唐明等[6]以101規(guī)約一致性測試要求和測試系統(tǒng)功能需求為基礎設計了一個一致性測試系統(tǒng)，使用UML設計和實現了系統(tǒng)的軟件架構和組成，并針對一致性測試所要求的動態(tài)、靜態(tài)測試給出了相應的測試辦法。該系統(tǒng)已經成功應用到饋線終端FTU的開發(fā)測試和工廠測試。

綜上所述，目前國內外研究很少真正關注101規(guī)約安全性，主要著眼于101規(guī)約的實際應用，多是將101規(guī)約與新型FTU或者新型遠動設備相結合應用，雖然能夠成功在電力系統(tǒng)中使用，但101規(guī)約本身存在的安全性問題仍會影響它們的安全通信；雖然也有研究人員對101規(guī)約的安全性和可能遭受的攻擊進行了分析，但其分析僅僅停留在理論階段，并未通過實驗對101規(guī)約進行實際的安全性測試，無法真實反應101規(guī)約的安全性問題。本文研究的重點是101規(guī)約的安全性，首先在理論上分析101規(guī)約可能存在的安全性問題，并通過真實的實驗環(huán)境驗證101規(guī)約的明文傳輸漏洞，其次是對系統(tǒng)進行安全性測試，成功實現ARP欺騙和造成監(jiān)控端遙測數據得不到及時更新，最后提出相應的防御措施加強101規(guī)約的安全性。

3 IEC 60870-5-101規(guī)約存在的安全問題

IEC60870-5-101規(guī)約主要用于電力SCADA數據監(jiān)控采集系統(tǒng)主站和子站之間傳輸報文，主站和子站之間進行101規(guī)約的傳輸過程如圖1所示。其存在的安全問題主要體現在幾個方面：數據校驗問題；明文傳輸；數據流的控制方式。

圖1 主從站之間的通信流程

1) 數據校驗：為了確保數據傳輸的完整性，傳輸方指定一種算法對原始數據求取一個校驗值，接收方在相同的算法下也計算一個校驗值，如果傳輸和接收雙方的校驗值相同，則證明數據傳輸是完整的。101規(guī)約有2種幀長結構，即可變幀長結構和固定幀長結構。在可變幀長幀中，幀校驗和是控制域、地址域以及用戶數據區(qū)8位位組的算術和（不考慮溢出位，即256模和）；在固定幀長幀中，幀校驗和是控制域與地址域的算術和（不考慮溢出位，即256模和）[2]。這2種幀長結構中的校驗和算法只是進行極為簡單的算術和計算，這樣僅僅能夠保證數據正確傳輸，并不能夠保證其傳輸安全不被攻擊者篡改，所以這種校驗和算法并不具備安全性。

2) 明文傳輸問題：101規(guī)約的傳輸報文采用的是明文傳輸方式，沒有使用加密技術和身份認證技術，報文內容完全沒有安全性保障，攻擊者能輕松地實施嗅探，通過數據抓包可以對報文進行截獲并解析出其中的數據。一旦遭受中間人攻擊，通信雙方的數據將先傳遞到攻擊者的計算機再轉發(fā)，此時攻擊者能夠輕易地獲得通信數據并篡改數據內容再進行傳遞，從而達到攻擊目的。

通過使用gcpdbg工具，可以獲取主從站之間的通信報文，如圖2所示。

圖2 101規(guī)約通信報文

為了驗證能夠抓到FTU通過明文方式向主站發(fā)送的數據報文，筆者在已知圖2中某條報文的基礎上，以方框中選中的報文為例，發(fā)現wireshark獲取的報文中確實存在此條報文，并是以明文傳輸的，圖3方框中的數據就是所采集到的報文。

圖3 驗證結果

3) 數據流的控制方式問題：101規(guī)約傳輸報文的數據流控制方式采用位DFC。當DFC=0時，表示子站可以繼續(xù)接收數據；當DFC=1時，表示子站的數據緩沖區(qū)已滿，無法接收新數據。一旦攻擊者截取主站向子站發(fā)送的報文之后，可以將報文的DFC設置為1，并作為應答報文返回給主站，這樣可以使主站認為子站的數據緩沖區(qū)已滿，無法得到所請求的數據，最終導致無法正常進行調度工作。

除此之外，101規(guī)約中的廣播命令通常用于主站向所有子站發(fā)送用戶的數據報文，其鏈路地址域為255或者65535。一旦攻擊者向所有子站發(fā)送數量龐大的廣播報文，使子站的數據緩沖區(qū)全部被攻擊者的廣播報文所填充，最終會導致子站無法正常接收主站所發(fā)送的數據。

4 安全性測試分析

FTU作為饋線自動化系統(tǒng)的重要組成部分，主要通過GPRS模塊進行數據通信，通過101規(guī)約進行數據傳輸。然而，由于操作需要在云端和監(jiān)控端兩端進行，攻擊者可以通過中間人攻擊，對監(jiān)控端進行ARP欺騙，導致監(jiān)控端與云端無法進行通信，對系統(tǒng)正常運行造成影響。

4.1 實驗環(huán)境

本實驗以阿里云ECS服務器作為主站，FTU作為從站，通過中國移動物聯網卡以GPRS無線通信方式進行通信，101規(guī)約采用平衡傳輸模式，通過配置FTU和主站軟件的參數，以端口映射的方法，實現主站和從站的通信，在本機的監(jiān)控端可以采集到FTU的電壓、電流以及報文信息。FTU饋線終端101規(guī)約的通信環(huán)境如圖4所示。

圖4 FTU饋線終端101規(guī)約的通信環(huán)境

本次實驗環(huán)境的拓撲結構如圖5所示。

圖5 實驗拓撲結構

本次實驗所用的是FTU設備，主要安裝在架空配電線路的責任分界點處，與分界開關等設備配合使用，對分支線路實施保護，能自動切除線路的相間接地、相間短路、過流等故障，確保非故障用戶的用電安全。采用32位ARM高速單片機作為主控芯片，運行速度快、檢測靈敏準確、保護動作及時迅速。產品具有無線遙控分合閘、本地串口參數設置、GSM短信控制、GPRS無線通信、PDA掌機通信等通信方式可供選擇，廣泛適用于城鄉(xiāng)10KV-66KV架空配電線路的控制和保護。

本次實驗使用GCP軟件，有數據庫配置工具（gcpcfg）、gcpcom.exe 運行軟件、實時監(jiān)控與調試工具（gcpdbg）。GCP的作用是連接現場下行設備的物理接口、使用現場設備的通信協(xié)議、采集現場設備的數據，以用戶規(guī)定的物理接口和通信協(xié)議轉發(fā)數據到本地或遠方后臺。GCP平臺適應各種通信環(huán)境，滿足各種數據交換的需求，為數據交換提供靈活的解決方案。通常的用法是一路或者多路通信協(xié)議采集數據，數據匯集到一路或者多路通信協(xié)議轉發(fā)。

本實驗采用的GPRS工具為ZLAN8100。ZLAN8100 是一款GPRS 遠程無線傳輸設備，采用嵌入式設計，內嵌TCP/IP棧。提供標準RS232/485 數據接口，可以方便地連接RTU、PLC、工控機等設備，并與數據中心通過GPRS 無線網絡建立連接，實現數據的全透明傳輸。通過ZLAN8100將目的IP配置為申請的公網IP地址101.132.116.213，選擇相應的目的端口為4196。

4.2 安全性測試

4.2.1 第一步：中間人攻擊測試

本文使用中間人攻擊的方法實現ARP欺騙，欺騙本機實現攔截正常的網絡通信數據，使本機的監(jiān)控端無法接收到云端的數據，從而導致無法正常采集到FTU的電壓、電流以及報文信息。

中間人攻擊是指攻擊者與通信的兩端分別建立獨立的聯系，并交換其所收到的數據，使通信的兩端認為它們正在通過一個私密的連接與對方直接對話，但事實上整個會話被攻擊者完全控制[7]。由于101規(guī)約缺乏身份認證機制，攻擊者能夠利用這一漏洞，將自己偽裝成會話的參與者，最終獲取通信雙方的通信內容。實現中間人攻擊的方式有很多種，但隨著技術的發(fā)展，中間人攻擊已經不能僅靠簡單的嗅探攻擊實現，必須進行ARP欺騙才能使攻擊成功。

ARP欺騙是一種用于內網環(huán)境的中間人攻擊方式，其優(yōu)勢是通過ARP欺騙，能夠欺騙整個網絡。本次實驗采用Kali Linux系統(tǒng)中的ettercap工具對目標進行ARP欺騙攻擊。

本次實驗的網絡環(huán)境配置如下。

攻擊者主機的IP地址：192.168.1.102；MAC地址：3c-a8-2a-b6-cf-b2。

被攻擊目標主機的IP地址：192.168.1.101。

路由網關IP地址：192.168.1.1；MAC地址：50-fa-84-07-fa-f3。

在攻擊之前，通過arp -a命令查看目標主機的ARP表，如圖6所示。

圖6 攻擊前目標主機ARP表

在攻擊前通過gcpdbg工具可以獲取遙測數據報文為68 1D 1D 68 53 01 00 09 86 14 00 01 00 01 40 E8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 21 16。其中，十六進制E8轉換為十進制后的數值為232，正是遙測到的FTU電壓232 kV，證明攻擊前通信功能正常。

配置Linux系統(tǒng)的IP轉發(fā)功能，首先保證硬件連通，然后打開系統(tǒng)的轉發(fā)功能。打開ettercap軟件，選擇eno1網卡，并開始掃描主機Hosts-scan for hosts。

掃描完成之后，Hosts-hosts list將打開主機列表，在主機列表中選擇目標主機IP，單擊Add to Target 1，將其添加到目標1，告訴目標主機“我是網關”。在主機列表中選擇網關地址192.168.1.1，單擊Add to Target 2，將其添加到目標2，欺騙網關“我是目標主機”，如圖7所示。

圖7 主機列表

開啟ARP投毒功能，通過再次查看目標主機的ARP表可以清楚地發(fā)現，網關的MAC地址已經由攻擊之前的50-fa-84-07-fa-f3改為攻擊者主機的MAC地址3c-a8-2a-b6-cf-b2，如圖8所示。也就是說，攻擊者成功地實施了ARP欺騙，充當了目標主機和網關之間通信的中間人，理論上，目標主機與網關的所有通信數據流量都將發(fā)送到攻擊者主機上，被攻擊者竊聽。

圖8 ARP欺騙成功后目標主機ARP表

4.2.2 中間人攻擊測試結果分析

為了驗證攻擊成功，通過使用ip.addr== 192.168.1.101命令對數據分組進行篩選，可以看到目標主機和云端之間傳輸的數據分組全部傳輸到攻擊者的主機上，攻擊者可以獲取它們之間的通信報文和采集到的數據信息等，如圖9所示。

圖9 篩選后的101規(guī)約數據分組

在目標主機的監(jiān)控端打開軟件，可以看到，由于受到ARP欺騙，目標主機與云端的數據無法正常通信，地址為101.132.116.213的云端無法連接，表示攻擊成功，如圖10所示。

4.2.3 第二步：篡改數據測試

經過中間人攻擊后，已經能夠得到主站（云服務器）傳輸給監(jiān)控端的通信數據，由此可以對數據分組進行代理轉發(fā)或者修改數據分組的內容。本實驗目的是依據IEC60870-5-101規(guī)約的安全漏洞（如數據以明文進行傳輸、缺乏消息認證、校驗方式簡單等缺陷）來篡改主站發(fā)送給監(jiān)控端的有關采集電壓電流的數據分組，導致在監(jiān)控端上的數值顯示錯誤。

首先找到包含FTU所采集的電壓電流的數據分組，通過過濾語句ip.addr==101.132.116. 213&&tcp contains 01:00:09（依據地址域和類型標識符）所過濾到的語句如圖11所示；再將此條報文保存為.pcap格式，使用hexedit軟件，修改數據分組字段，替換掉報文中的信息元素集部分，由于篡改了應用服務數據單元的數據，所以需重新計算校驗和，以免校驗和錯誤導致分組丟失。

圖10 中間人攻擊導致通信中斷

圖11 過濾遙測數據分組

篡改數據代碼使用的是Python語言，并應用raw_socket函數構造數據分組發(fā)送數據，相比普通的socket，raw_socket工作在網絡層或數據鏈路層，用來發(fā)送一些自己制定源地址特殊作用的IP分組。

在Python下創(chuàng)建一個raw socket，如下。

s=socket.socket (socket.AF_INET, socket. SOCK_ RAW, socket.IPPROTO_RAW)

根據需要，原數據分組構造IP header和TCP header，如下。

構造data部分，將wireshark中過濾的包含FTU所采集的電壓電流的數據分組保存為.pcap的文件，但pcap文件的格式由文件頭（24 byte）+ packet數據分組頭（16 byte）+packet data組成，由于本文篡改的數據分組的IP頭部和TCP頭部由自己定義，所以只選取pcap文件中的data字段。

checksum的計算方法：先將checksum的值置0，將數據以每2個字節(jié)劃分組成一個16 bit的值，不夠補0，將所有的16 bit相加得到一個32 bit的值，將32 bit中的高16 bit與低16 bit相加得到一個新的值，若新的值大于0xffff，再進行前面的步驟，將最后得出的16 bit值按位取反，得到checksum的值。

IP頭的checksum 使用IP頭數據進行計算，TCP頭的checksum包含偽頭部加TCP頭部加TCP數據進行計算。

4.2.4 篡改數據測試結果分析

本文的實驗目的是修改數據分組中的信息元素集部分，篡改遙測值字段。我們直接使用hexedit軟件，修改數據分組字段，將原始的電壓223 V（0xDF）修改為100 V（0x64），并修改校驗和部分，具體幀變化如圖12所示。

圖12 使用hexedit軟件篡改數據分組值

圖13 監(jiān)控端上抓到的由攻擊者發(fā)送的篡改分組

圖14 TCP虛假重傳

在攻擊者端運行tcpattack.py程序后，可以在監(jiān)控端抓到所發(fā)送的篡改數據分組。但通過實驗對比發(fā)現，即使發(fā)送篡改數據分組的方式相同，也可能出現多個實驗結果。

情況1（如圖13所示）：監(jiān)控端接收了攻擊端發(fā)送的篡改數據分組，圖中方框內的seq和ack的數值都等于1，這不符合邏輯，所以該篡改數據分組并未對主站與監(jiān)控端的通信產生任何影響。

情況2（如圖14所示）：此次攻擊測試所發(fā)送的篡改分組被認定為重傳分組，而且這一重傳分組對主站與監(jiān)控端的通信造成了影響，出現了多條ACK分組，而原本監(jiān)控端軟件設定為5 min遙測一次饋線終端FTU數據，也未及時更新。

通過篡改數據測試實驗可以發(fā)現電力系統(tǒng)所存在的不確定性，而本文所搭建的模擬配電網系統(tǒng)也由于實驗經費和環(huán)境的影響，不是十分完善，所以實驗結果存在不確定性。雖然篡改數據測試實驗只能造成監(jiān)控端軟件上的遙測數據未得到及時更新，并未達到理想效果，即成功篡改監(jiān)控端顯示的數據，但也能夠在一定程度上對電力系統(tǒng)造成影響，因為真實的電力系統(tǒng)安全運行是不允許受到任何因素影響的，即使只是數據未得到及時更新。

4.3 基于Hash簽名的101規(guī)約安全機制

以主站（S）發(fā)送消息給終端設備（D）為例，其過程如圖15所示。

圖15 主站（S）發(fā)送消息給終端設備（D）

具體步驟如下。

5 結束語

本文對FTU中101規(guī)約的通信安全性問題進行了分析，搭建了真實的電力系統(tǒng)饋線終端通道環(huán)境，在云服務器上采集FTU移動物聯卡的遙測信息，對于登錄到阿里云的目標主機進行了ARP斯騙攻擊，可以截獲目標主機和云端之間數據分組，如果饋線終端FTU系統(tǒng)遭到大面積DDoS攻擊，將會對電力控制系統(tǒng)造成嚴重影響。

本文也對通信數據進行了篡改攻擊嘗試，但實驗效果并不理想，只是使數據得不到及時更新，尚無法達到最佳的攻擊實驗效果，最后提出了一種101規(guī)約可增強的安全機制對外在的攻擊進行防御。

[1] 閆飛飛.基于IEC60870-5-101規(guī)約和104規(guī)約的FTU的設計與實現[D]. 西安：西安科技大學, 2012. YAN F F. Design and realization of feeder terminal unit based on IEC60870-5-101 protocol and 104 protocol[D]. Xi'an：Xi'an University of Science and Technology,2012.

[2] 劉柳. 面向SCADA業(yè)務的電力通信傳輸網安全性評[D]. 北京:華北電力大學, 2013. LIU L. SCADA services oriented security evaluation for electric power communication networks[D]. Beijing：North China Electric Power University,2013.

[3] 王昕, 曹敏, 李仕林, 等. 遠動設備IEC60870-5-101非平衡規(guī)約的測試研究[J]. 化工自動化及儀表, 2016 (3): 308-312. WANG X , CAO M, LI S L, et al. Test and research on unbalanced protocol of IEC60870-5-101 remote control equipment[J]. Control and Instruments in Chemical Industry, 2016(3):308-312.

[4] 楊艷華, 周永錄, 蘇紅軍, 等. Modbus RTU-IEC60870-5-101數據匯集與規(guī)約轉換裝置設計[J]. 全國冶金自動化信息網2016年會論文集, 2016：425-429. YANG Y H, ZHOU Y L, SU H J, et al. Modbus RTU- IEC60870- 5-101 data collection and protocol conversion device design[J]. Annual Conference Proceedings of the National Metallurgical Industry Automation Information Network. 2016:425-429.

[5] 李克文, 莫鳳芝, 吳麗芳, 等. IEC60870-5—101在配電自動化無線公網通信中的應用[J]. 電力系統(tǒng)通信, 2012, 33(10): 39-43. LI K W, MO F Z, WU L F, et al. Application of IEC60870-5-101 in distribution automation wireless public network communication[J].Telecommunications for Electric Power System, 2012, 33(10): 39-43.

[6] 唐明, 胡勇, 何霄鵬, 等. 配電自動化設備通信協(xié)議的一致性測試系統(tǒng)設計與實現[J]. 電氣技術, 2014, 15(08): 24-27. TANG M, HU Y, HE X P, et al. Design and implementation of conformance test system for distribution automation equipment communication protocol[J]. Electrical Engineering, 2014,15(8): 24-27.

[7] 張愷. 基于高級量測體系的智能電表雙向通信研究[D]. 太原：太原理工大學, 2011. ZHANG K. Research on two-way communication of smart meter based on advanced measurement system[D]. Taiyuan: Taiyuan University of Technology, 2011.

[8] 沈祥, 張俊偉. 基于電力系統(tǒng)IEC101規(guī)約流程的運維解析[J]. 電氣工程與自動化, 2017, 36:21-22. SHEN X, ZHANG J W. Operation and maintenance analysis based on IEC101 protocol process of power system[J]. Electrical Engineering and Automation, 2017, 36: 21-22.

[9] CHEN B, CHEN M, TIAN H, et al. Advanced application of IEC60870-5-101 protocol on feeder terminal unit[C]// 11th IEEE International Conference on Anti-counterfeiting, Security, and Identification (ASID). 2017:142-145.

[10] 邱凱翔, 金宇. IEC101規(guī)約的結構性認識與案例分析[J]. 電工電氣, 2018 (6): 62-64. QIU K X, JIN Y. Structural understanding and case analysis of IEC101 Statute[J]. Electrotechnics Electric, 2018 (6): 62-64.

Security test of 101 protocol of FTU

WANG Yong1, WANG Xiang1, HE Wenting2, ZHOU Yuhao3, CAI Yufan1

1. Department of Information Security, Shanghai University of Electric Power, Shanghai 200090, China 2. Huaneng Shanghai Shidongkou Second Power Plant, Huaneng Shanghgai Shidongkou Power Genertation CO., LTD., Shanghai 200942, China 3. National Energy Distributed Energy Technology Research and Development (experimental) Center, Huadian Electric Power Research Institute Co., LTD., Hangzhou 310030, China

The IEC60870-5-101 protocol is mainly used for transmitting messages between the primary station and the substation of the power SCADA data monitoring and acquisition system. Since the message mainly adopts “frame check and sum” to ensure communication security, there is a common security risk among the intermediate personnel. In order to verify the communication problems of the 101 protocol, the communication system between the FTU and the main station of the feeder terminal was constructed, which collected the telemetry signal of the FTU mobile IoT card on the cloud server, and used the man-in-the-middle attack mode to use the ARP to intercept the communication data packet. To analyze the telemetry information in the data packet, try data tampering and successfully make the monitoring data not updated in time. Finally, an enhancement mechanism against external attacks was proposed.

FTU, 101 protocol, man-in-the-middle attack, ARP spoofing

TP393

A

10.11959/j.issn.2096-109x.2018080

王勇（1973-），男，河南確山人，博士，上海電力學院教授，主要研究方向為電力信息安全、電力系統(tǒng)病毒分析、工業(yè)控制系統(tǒng)安全。

王相（1994-），男，江蘇無錫人，上海電力學院碩士生，主要研究方向為電力系統(tǒng)通信協(xié)議安全。

賀文婷（1996-），女，浙江鎮(zhèn)海人，主要研究方向為電力系統(tǒng)通信協(xié)議安全。

周宇昊（1983- ），男，浙江義烏人，華電電力科學研究院有限公司國家能源分布式能源技術研發(fā)（實驗）中心高級工程師，主要研究方向為分布式能源政策、產業(yè)發(fā)展戰(zhàn)略、系統(tǒng)集成技術、性能測試評估、檢測技術及標準制定。

蔡雨帆（1997-）,男，四川內江人，上海電力學院本科生，主要研究方向為網絡協(xié)議安全。

2018-08-09；

2018-09-08

王勇，wy616@126.com

國家自然科學基金資助項目（No.61772327) ；上海自然科學基金資助項目（No.16ZR1436300）；浙江大學工業(yè)控制技術國家重點實驗室開放式基金資助項目（No.ICT1800380）；上海電力學院智能電網產學研開發(fā)中心基金資助項目（No.A-0009-17-002-05）；上海市科委地方能力建設基金資助項目（No.15110500700）

The National Natural Science Foundation of China (No.61772327), Shanghai Natural Science Foundation (No.16ZR1436300); Zhejiang University State Key Laboratory of Industrial Control Technology Open Fund (No.ICT1800380), Smart Grid Industry-University Research and Development Center Project of Shanghai University of Electric Power (No.A-0009-17-002-05), Project of Shanghai Science and Technology Committee under Grant (No.15110500700)