一種針對(duì)智能電表DL/T645—2007協(xié)議的中間人攻擊

陳 武, 潘璽廷,2, 向 上, 王 勇, 劉 蔚

(1.上海電力學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院, 上海 200090; 2.上海斗象信息科技有限公司 科技能力中心, 上海 201203; 3.上海云劍信息技術(shù)有限公司 科學(xué)技術(shù)部, 上海 200433)

一種針對(duì)智能電表DL/T645—2007協(xié)議的中間人攻擊

陳 武1, 潘璽廷1,2, 向 上1, 王 勇1, 劉 蔚3

(1.上海電力學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院, 上海 200090; 2.上海斗象信息科技有限公司 科技能力中心, 上海 201203; 3.上海云劍信息技術(shù)有限公司 科學(xué)技術(shù)部, 上海 200433)

利用協(xié)議的攻擊實(shí)驗(yàn)分析和改進(jìn)協(xié)議的安全性,確保智能電表通信安全.首先在熟悉通信協(xié)議的基礎(chǔ)上,挖掘其存在的漏洞;然后實(shí)施arp欺騙,偽造成中間人嗅探電表與采集終端的通信流量,達(dá)到篡改電能數(shù)據(jù)的目的.實(shí)驗(yàn)表明,協(xié)議的脆弱性會(huì)帶來中間人篡改數(shù)據(jù)的風(fēng)險(xiǎn),最終威脅智能電表的信息安全.

智能電表; 中間人攻擊; 協(xié)議; 篡改

繼2015年烏克蘭電力系統(tǒng)遭受黑客攻擊導(dǎo)致大面積停電后,國內(nèi)外針對(duì)電網(wǎng)信息安全的關(guān)注持續(xù)增加.隨著智能電網(wǎng)在我國的實(shí)施,智能電表正逐步取代傳統(tǒng)的電子式電能表.智能電表作為用戶和電網(wǎng)通信的橋梁,承擔(dān)著電網(wǎng)采集終端與用戶數(shù)據(jù)交互的重要任務(wù),而這一任務(wù)的實(shí)現(xiàn)依賴于通信協(xié)議的支持[1].國內(nèi)智能電表大部分采用DL/T 645—2007協(xié)議,該協(xié)議在設(shè)計(jì)之初只考慮了功能的完整性和傳輸?shù)目煽啃?并未考慮其安全性.因此,研究DL/T 645—2007協(xié)議的安全漏洞對(duì)于發(fā)現(xiàn)智能電表存在的安全風(fēng)險(xiǎn)具有重要意義,應(yīng)采取適當(dāng)?shù)陌踩胧?提高通信協(xié)議的安全等級(jí),為我國智能電網(wǎng)的建設(shè)構(gòu)筑一道堅(jiān)強(qiáng)的壁壘.

1 DL/T 645—2007協(xié)議的基本原理

該協(xié)議為主—從結(jié)構(gòu)的半雙工通信方式.手持單元或其他數(shù)據(jù)終端為主站,多功能電能表為從站.每個(gè)多功能電能表均有各自的地址編碼.通信鏈路的建立和解除均由主站發(fā)出的信息幀來控制.每幀由幀起始符、從站地址域、控制碼、數(shù)據(jù)域長度、數(shù)據(jù)域、幀信息縱向校驗(yàn)碼及幀結(jié)束符7個(gè)域組成,每部分由若干字節(jié)組成.

1.1 字節(jié)格式

字節(jié)傳輸序列如圖1所示.

每字節(jié)含8位二進(jìn)制碼,傳輸時(shí)加上一個(gè)起始位(0)、一個(gè)偶校驗(yàn)位和一個(gè)停止位(1),共11位.D0是字節(jié)的最低有效位,D7是字節(jié)的最高有效位.先傳低位,后傳高位.

圖1 字節(jié)傳輸序列

1.2 信息幀

幀是傳送信息的基本單位,DL/T 645—2007協(xié)議定義了一個(gè)數(shù)據(jù)鏈路層的協(xié)議數(shù)據(jù)單元,所有信息幀均工作在數(shù)據(jù)鏈路層上,因此可以實(shí)現(xiàn)同一協(xié)議在不同物理介質(zhì)上的傳輸.其幀格式如表1所示.

表1 數(shù)據(jù)幀格式

常用的控制碼及其功能如圖2所示.一幀信息從幀起始符開始,其值為68H=01101000B.地址域由6個(gè)字節(jié)構(gòu)成,每字節(jié) 2 位 BCD 碼,地址長度可達(dá)12位十進(jìn)制數(shù).每塊表具有惟一的通信地址,且與物理層信道無關(guān).當(dāng)使用的地址碼長度不足6B時(shí),高位用“0”補(bǔ)足6B.通信地址999999999999H為廣播地址,只針對(duì)特殊命令有效,如廣播校時(shí)、廣播凍結(jié)等.廣播命令不要求從站應(yīng)答.數(shù)據(jù)域包括數(shù)據(jù)標(biāo)識(shí)、密碼、操作者代碼、數(shù)據(jù)、幀序號(hào)等,其結(jié)構(gòu)隨控制碼的功能而改變.傳輸時(shí)發(fā)送方按字節(jié)進(jìn)行加33H處理,接收方按字節(jié)進(jìn)行減33H處理.

校驗(yàn)碼為從第一個(gè)幀起始符開始到校驗(yàn)碼之前的所有各字節(jié)的模256的和,即各字節(jié)二進(jìn)制算術(shù)和,不計(jì)超過 256 的溢出值.最后,結(jié)束符16H=00010110B標(biāo)識(shí)一幀信息的結(jié)束.

圖2 控制碼格式

1.3 傳輸方式

每次通信都是由主站向按信息幀地址域選擇的從站發(fā)出請(qǐng)求命令幀開始,被請(qǐng)求的從站接收到命令后作出響應(yīng).在主站發(fā)送數(shù)據(jù)幀之前會(huì)先發(fā)送4個(gè)字節(jié)的FEH,以喚醒接收方.從站收到命令幀后的響應(yīng)延時(shí)Td在20～500 ms之間,字節(jié)之間的停頓時(shí)間Tb不能超過500 ms.

傳輸過程中的差錯(cuò)控制有兩種,一種是字節(jié)的偶校驗(yàn),另一種是數(shù)據(jù)幀的縱向信息累加和校驗(yàn).接收方無論檢測到偶校驗(yàn)出錯(cuò)或縱向信息累加和校驗(yàn)出錯(cuò),均放棄該信息幀,不予響應(yīng).

2 DL/T 645—2007協(xié)議的安全性分析

2.1 缺乏身份認(rèn)證和權(quán)限區(qū)分

當(dāng)智能電表連接網(wǎng)絡(luò)時(shí),通常是使用協(xié)議轉(zhuǎn)換器將DL/T 645—2007協(xié)議轉(zhuǎn)換成TCP/IP協(xié)議,數(shù)據(jù)傳輸?shù)穆窂綇脑瓉淼腞S485通道變成RJ45通道,然后就可以連通到網(wǎng)絡(luò)和終端設(shè)備上.在網(wǎng)絡(luò)連接方面,它是封裝在TCP協(xié)議之下,利用TCP進(jìn)行數(shù)據(jù)傳輸,只要知道目標(biāo)IP地址,就可以通過502端口發(fā)起和建立通信連接[2].如果應(yīng)用層數(shù)據(jù)單元攜帶的控制碼滿足DL/T 645—2007協(xié)議的格式和規(guī)范,就可以建立起一個(gè)合法的DL/T 645會(huì)話,并且這種通信對(duì)任何連接到電表設(shè)備上的用戶都是可行的.因此,攻擊者很容易利用網(wǎng)絡(luò)攻擊手段發(fā)動(dòng)中間人攻擊.例如,攻擊者通過ARP或DNS欺騙技術(shù),將通信雙方的數(shù)據(jù)流量全都引到攻擊者的機(jī)器上,這時(shí)攻擊者就可以監(jiān)聽甚至修改數(shù)據(jù)了,而這種改變對(duì)于會(huì)話雙方來說是完全透明的.

以常見的DNS欺騙為例,目標(biāo)將其DNS請(qǐng)求發(fā)送到攻擊者處,然后攻擊者偽造DNS響應(yīng),將正確的IP地址替換為其他IP地址,之后用戶就登陸了這個(gè)攻擊者指定的IP,而攻擊者早就在這個(gè)IP中安排好了一個(gè)偽造的網(wǎng)站.如果攻擊者想實(shí)施更徹底的破壞,可以在這個(gè)網(wǎng)站中植入惡意代碼來傳播病毒,從而制造更嚴(yán)重的攻擊.

2.2 未采取加密通信

DL/T645—2007協(xié)議在網(wǎng)絡(luò)上采用明文進(jìn)行數(shù)據(jù)傳輸,攻擊者能輕松實(shí)施嗅探,通過抓包軟件就可以截獲并解析出里面的數(shù)據(jù).一旦網(wǎng)絡(luò)上存在中間人攻擊,通信雙方的數(shù)據(jù)都將經(jīng)過攻擊者的機(jī)器進(jìn)行轉(zhuǎn)發(fā),這時(shí)攻擊者可以很輕易地?cái)r截?cái)?shù)據(jù)信息,并對(duì)數(shù)據(jù)內(nèi)容做篡改再傳給對(duì)方,以便達(dá)到其攻擊的目的[3].

在網(wǎng)絡(luò)活動(dòng)中,如果通信數(shù)據(jù)被中間人竊取,會(huì)造成用戶重要隱私的泄露,包括賬戶、密碼等敏感信息.在智能電網(wǎng)中,如果電表與控制中心的數(shù)據(jù)指令被中間人獲取并遭到修改,可能導(dǎo)致竊電事故的發(fā)生,更為嚴(yán)重的可能會(huì)引起電表的誤動(dòng)作和更大的安全風(fēng)險(xiǎn).

如果協(xié)議改進(jìn)后,可以將機(jī)密信息加密后再傳輸,這樣即使被中間人截取也難以破解.例如,采用TLS加密通信,只要會(huì)話初始化完成,想要進(jìn)行中間人攻擊是非常困難的,除非在加密會(huì)話的初始化階段就進(jìn)行攻擊[4].

2.3 校驗(yàn)方式簡單

所謂數(shù)據(jù)校驗(yàn),就是為保證數(shù)據(jù)的完整性,用一種指定算法對(duì)原始數(shù)據(jù)計(jì)算出一個(gè)校驗(yàn)值,接收方用同樣的算法計(jì)算一次校驗(yàn)值,如果兩個(gè)校驗(yàn)值相等,就說明數(shù)據(jù)是完整的.

DL/T 645—2007協(xié)議傳輸數(shù)據(jù)的差錯(cuò)控制只有兩種校驗(yàn)方式:一種是傳輸數(shù)據(jù)的每一個(gè)字節(jié)的偶校驗(yàn)位(P);另一種就是在數(shù)據(jù)鏈路層上傳輸一幀信息的校驗(yàn)碼(CS).這兩種方式都比較簡單,對(duì)于攻擊者來說,只要偽造正確的校驗(yàn)碼就可以制造虛假的數(shù)據(jù)通過協(xié)議進(jìn)行傳輸,從而對(duì)電網(wǎng)實(shí)施攻擊,威脅電網(wǎng)的安全.因此,協(xié)議固有的差錯(cuò)控制方式很容易成為攻擊的弱點(diǎn).

如果想讓攻擊者難以篡改和偽造數(shù)據(jù)校驗(yàn)碼,可以添加其他更復(fù)雜和安全的校驗(yàn)方式,比如數(shù)字水印技術(shù)[5].

3 DL/T 645—2007協(xié)議的攻擊實(shí)驗(yàn)

3.1 實(shí)驗(yàn)環(huán)境

本實(shí)驗(yàn)以單相費(fèi)控智能電表為例,電表下面接有用電負(fù)載,電表可以對(duì)用電數(shù)據(jù)進(jìn)行實(shí)時(shí)采集和監(jiān)控,采集到的數(shù)據(jù)通過RS485接口線傳送至協(xié)議轉(zhuǎn)換器的相應(yīng)端口,轉(zhuǎn)換成TCP/IP后再經(jīng)過RJ45網(wǎng)線傳送到路由器上,路由器將智能電表的數(shù)據(jù)轉(zhuǎn)發(fā)到采集終端(終端計(jì)算機(jī))上.

電表和終端計(jì)算機(jī)(以下簡稱終端)通過串口進(jìn)行通信,電表支持虛擬串口,終端配備虛擬串口和設(shè)備管理工具,一鍵式搜索局域網(wǎng)設(shè)備,手動(dòng)可添加Internet上的設(shè)備,方便配置和修改串口參數(shù).終端上裝有電表通信軟件,可以通過串口與電表進(jìn)行通信,例如,讀取電表的總電能和對(duì)電表數(shù)據(jù)進(jìn)行清零等.

整個(gè)實(shí)驗(yàn)環(huán)境如圖3所示.

另外,本實(shí)驗(yàn)采用Wireshark對(duì)協(xié)議數(shù)據(jù)進(jìn)行抓包和分析.為保證終端與智能電表可以正常通信,需要根據(jù)協(xié)議的要求將虛擬串口的參數(shù)配置為一致.

表2列出了設(shè)備中關(guān)于網(wǎng)絡(luò)和串口的具體配置信息.

圖3 實(shí)驗(yàn)環(huán)境

網(wǎng)絡(luò)設(shè)備IP模式IP地址端 口工作模式子網(wǎng)掩碼網(wǎng) 關(guān)目的IP串口設(shè)置目的端口波特率數(shù)據(jù)位校驗(yàn)位停止位流 控靜態(tài)192．168．0．10513800TCP服務(wù)器255．255．255．0192．168．0．1192．168．0．103419624008偶校驗(yàn)1無

3.2 實(shí)驗(yàn)過程

3.2.1 配置攻擊者Iptables

Iptables可用于設(shè)置、維護(hù)和檢查Linux內(nèi)核的IP包過濾規(guī)則.本實(shí)驗(yàn)根據(jù)數(shù)據(jù)轉(zhuǎn)發(fā)需求配置Iptables的命令如下:

iptables--flush

iptables-t nat--flush

iptables--zero

iptables-A FORWARD--in-interface wlan0-j ACCEPT

Iptables-t nat--append POSTROUTING--out-interface wlan0-j MASQUERADE

iptables-t nat-A PRESROUTING-p tcp--dport 80--jump DNAT--to 192.168.0.114

iptables-t nat-APRESROUTING-p tcp--dport 4196--jump DNAT--to 192.168.0.114

3.2.2 ARP欺騙偽造中間人

所謂中間人攻擊就是指攻擊者與通訊的兩端分別建立獨(dú)立的聯(lián)系,并交換其所收到的數(shù)據(jù),使通訊的兩端認(rèn)為他們正在通過一個(gè)私密的連接與對(duì)方直接對(duì)話,但事實(shí)上整個(gè)會(huì)話都被攻擊者完全控制[6].例如,當(dāng)你在咖啡館上網(wǎng)檢查你的賬戶信息時(shí),也許黑客就攔截了你電腦和WiFi之間的通信,監(jiān)視著你的一舉一動(dòng).這種方法就是中間人攻擊,而這種攻擊還僅僅是黑客用于網(wǎng)絡(luò)攻擊的眾多方法之一.

由于TCP協(xié)議和645協(xié)議都沒有認(rèn)證方法對(duì)通訊雙方的身份進(jìn)行驗(yàn)證,這為攻擊者將自己偽裝成每一個(gè)參與會(huì)話的終端提供了有利條件.實(shí)現(xiàn)中間人攻擊的方式有很多種,比如DNS欺騙、會(huì)話劫持和代理服務(wù)器等.隨著計(jì)算機(jī)通信技術(shù)的不斷發(fā)展,交換機(jī)代替集線器后,簡單的嗅探攻擊已經(jīng)不能成功,必須先進(jìn)行ARP欺騙才能成功.

ARP欺騙也稱為ARP緩存中毒和ARP欺騙攻擊,這是在內(nèi)網(wǎng)的中間人攻擊.ARP欺騙分為兩種:一種是對(duì)路由器arp表的欺騙;另一種是對(duì)內(nèi)網(wǎng)PC網(wǎng)關(guān)的欺騙.無論哪一種欺騙,其原理都是一樣的,都是通過向被欺騙主機(jī)發(fā)送ARP的reply包來實(shí)現(xiàn)的[7].圖4為局域網(wǎng)arp雙向欺騙偽裝成網(wǎng)關(guān)的原理圖.

圖4 ARP雙向欺騙原理

有許多工具能夠用來實(shí)施ARP欺騙,比如Dsniff,ettercap等,但攻擊工具可以實(shí)現(xiàn)的功能固定并且有局限性.本實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境配置如下:攻擊者IP為192.168.0.114,物理地址(MAC)為10-0b-a9-b3-9a-34;被欺騙主機(jī)(目標(biāo)主機(jī))IP為192.168.0.103;路由(網(wǎng)關(guān))IP為192.168.0.2,物理地址(MAC)為8c-a6-df-98-7d-73.

選擇Python語言編寫的部分函數(shù)如下.

def restore_target(gateway_ip,gateway_mac,target_ip,target_mac):

print ′[*] Restoring targets…′

send(ARP(op=2,psrc=gateway_ip,pdst=target_ip,hwdst=′ff:ff:ff:ff:ff:ff′, hwsrc=gateway_mac),count=5)

send(ARP(op=2,psrc=target_ip,pdst=gateway_ip,hwdst="ff:ff:ff:ff:ff:ff", hwsrc=target_mac),count=5)

os.kill(os.getpid(),signal.SIGINT)

運(yùn)行欺騙程序之后,目標(biāo)主機(jī)的arp緩存列表變化情況如圖5所示.

圖5 欺騙前后目標(biāo)主機(jī)arp緩存列表

從目標(biāo)主機(jī)緩存列表的變化可以看出,目標(biāo)主機(jī)arp緩存列表里網(wǎng)關(guān)的MAC地址由攻擊之前本身真實(shí)的物理地址變成了攻擊者所在主機(jī)的MAC地址.也就是說,攻擊者成功地欺騙了目標(biāo)主機(jī)和智能電表,在兩者中間充當(dāng)了第三人,攻擊者在目標(biāo)主機(jī)與電表之間形成偽造的網(wǎng)關(guān),主站與從站之間所有的通信數(shù)據(jù)流量都將被攻擊者所竊聽.

3.2.3 篡改通信協(xié)議數(shù)據(jù)

一旦攻擊者掌握了主從站的通信數(shù)據(jù),就可以利用各種手段對(duì)數(shù)據(jù)包為所欲為,例如修改數(shù)據(jù)內(nèi)容和代理轉(zhuǎn)發(fā).本實(shí)驗(yàn)以篡改從站應(yīng)答主站的電能數(shù)據(jù)包為例,首先,找到要攻擊的目標(biāo)數(shù)據(jù)包,為此應(yīng)對(duì)截獲的協(xié)議報(bào)文進(jìn)行解析和篩選,依據(jù)就是協(xié)議數(shù)據(jù)幀格式的控制碼和數(shù)據(jù)標(biāo)識(shí);然后,替換掉幀格式里的數(shù)據(jù)部分.需要注意的是,修改數(shù)據(jù)后,數(shù)據(jù)幀后面的校驗(yàn)碼也要做相應(yīng)的修改,否則主站收到不正確的校驗(yàn)碼會(huì)直接丟棄掉數(shù)據(jù)幀.

代理主機(jī)通過sock的輸入和輸出功能進(jìn)行數(shù)據(jù)包的接收和轉(zhuǎn)發(fā).在這里我們可以對(duì)接收的數(shù)據(jù)包進(jìn)行加工處理,然后轉(zhuǎn)發(fā)到目的主機(jī).圖6是代理主機(jī)篡改電表的電能(當(dāng)前有功總電能)數(shù)據(jù)包的示意圖.

3.2.4 抓包分析與驗(yàn)證

程序運(yùn)行完成后,最后一步就是對(duì)數(shù)據(jù)進(jìn)行抓包分析.調(diào)用wireshark在攻擊者主機(jī)的Wlan0口上對(duì)轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行截獲,并將抓包結(jié)果保存在results.pcap文件里.實(shí)驗(yàn)開始前,在終端機(jī)上用wireshark捕獲從站發(fā)往主站的原始電能數(shù)據(jù)包,為了更快地找到需要的協(xié)議數(shù)據(jù)包,使用下面的過濾器:ip.srt_host==192.168.0.105 && ip_proto==TCP,結(jié)果如圖7所示.

由圖7可以看出,實(shí)施中間人攻擊后,數(shù)據(jù)流經(jīng)過中間人的篡改,再轉(zhuǎn)發(fā)到數(shù)據(jù)的采集終端.從站應(yīng)答主站的有功總電能數(shù)據(jù)項(xiàng)的值由原來的33333333變?yōu)?4444444,意味著電表發(fā)往終端的有功總電能遭受篡改,所有數(shù)據(jù)項(xiàng)的數(shù)據(jù)包均可在wireshark生成的results.pcap文件中找到.在捕獲結(jié)果里未發(fā)現(xiàn)數(shù)據(jù)包的內(nèi)容被替換,這說明電表返回的有功電能沒有被篡改成功.

圖6 篡改有功電能數(shù)據(jù)幀

圖7 攻擊前捕獲的數(shù)據(jù)報(bào)文

3.3 實(shí)驗(yàn)結(jié)果

從攻擊實(shí)驗(yàn)前后抓取的數(shù)據(jù)包內(nèi)容來看,在數(shù)據(jù)流從電表傳輸?shù)浇K端的過程中,通過arp欺騙將數(shù)據(jù)包引入攻擊者的主機(jī),并利用Python代碼對(duì)數(shù)據(jù)包內(nèi)容實(shí)施修改,雖然最終未能將電能數(shù)據(jù)包按照我們的意圖篡改掉,但這種攻擊行為在電網(wǎng)的用電信息采集終端是很難被發(fā)現(xiàn)的.一旦攻擊者找到突破點(diǎn),這種中間人攻擊成功的可能性很大,其造成的經(jīng)濟(jì)損失也是非常巨大的[8].

645協(xié)議本身具有局限性,如缺乏身份認(rèn)證、明文傳輸數(shù)據(jù)、檢驗(yàn)方式簡單等,本實(shí)驗(yàn)利用了其安全性漏洞才成功地模擬中間人對(duì)協(xié)議數(shù)據(jù)包進(jìn)行攻擊.實(shí)際運(yùn)用中可能存在黑客對(duì)電表進(jìn)行攻擊、篡改數(shù)據(jù)甚至偷電等違法行為,本文旨在將DL/T 645協(xié)議存在的安全威脅暴露出來,為維護(hù)國家電力工業(yè)的信息安全提供借鑒[9-10].

4 結(jié) 語

智能電表作為我國智能電網(wǎng)建設(shè)的基礎(chǔ)元件和核心設(shè)備,其通信協(xié)議的安全性也越來越受到各行各業(yè)以及政府部門的關(guān)注.因此,如何保證智能電表通信數(shù)據(jù)的信息安全以及用戶的隱私顯得十分重要.本文通過分析電力行業(yè)標(biāo)準(zhǔn)DL/T 645協(xié)議存在的安全威脅,探討了一種針對(duì)通信協(xié)議脆弱性進(jìn)行中間人攻擊的方法,實(shí)驗(yàn)雖然尚未成功,但不代表這種通信協(xié)議不能被攻擊.從協(xié)議暴露出的安全漏洞來看,將來的研究工作可以繼續(xù)關(guān)注智能電表DL/T 645通信協(xié)議的安全性,針對(duì)已知的漏洞完成中間人攻擊的篡改實(shí)驗(yàn),甚至可以嘗試中間人的其他類型攻擊.智能電表的協(xié)議種類繁多,攻擊對(duì)象也可以轉(zhuǎn)移到其他電表協(xié)議上,逐步完善智能電表通信協(xié)議的攻擊方法和改進(jìn)措施,使智能電表傳輸數(shù)據(jù)更加安全和可靠,為智能電網(wǎng)的健康穩(wěn)定發(fā)展保駕護(hù)航.

[1] 中國電力科學(xué)研究院.DL/T645—2007 多功能電能表通訊規(guī)約[S].北京:中國電力企業(yè)聯(lián)合會(huì)標(biāo)準(zhǔn)化中心,2007.

[2] 張明遠(yuǎn),徐人恒,張秋月,等.智能電能表數(shù)據(jù)通訊安全性分析[J].電測與儀表,2014(23):24-27.

[3] 趙兵,翟峰,李濤永,等.適用于智能電表雙向互動(dòng)系統(tǒng)的安全通信協(xié)議[J].電力系統(tǒng)自動(dòng)化,2016(17):93-98.

[4] 王媛媛.智能電表通信測試系統(tǒng)分析與研究[J].現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化,2016(9):98-99.

[5] 楊正和.智能電網(wǎng)用戶側(cè)信息安全問題研究[D].南京:東南大學(xué),2016.

[6] 單高林.用電信息采集系統(tǒng)與數(shù)據(jù)采集技術(shù)[D].濟(jì)南:山東大學(xué),2016.

[7] 李敏,王剛,石磊,等.智能電網(wǎng)信息安全風(fēng)險(xiǎn)分析[J].華北電力技術(shù),2017(1):62-65.

[8] 李志強(qiáng),高大兵,蘇盛,等.基于大數(shù)據(jù)的智能電表入侵檢測方法[J].電力科學(xué)與技術(shù)學(xué)報(bào),2016:121-126.

[9] 路保輝.AMI通信系統(tǒng)及其數(shù)據(jù)安全策略研究[D].北京:華北電力大學(xué),2014.

[10] 曹聰聰,蔣亞平,郭浩.SSL協(xié)議安全性能分析及改進(jìn)措施研究[J].湖北民族學(xué)院學(xué)報(bào)(自然科學(xué)版),2016(4):446-450.

(編輯 白林雪)

AnIntermediateAttackAgainstSmartMeterDL/T645—2007Protocol

CHENWu1,PANXiting1,2,XIANGShang1,WANGYong1,LIUWei3

(1.SchoolofComputerScienceandTechnology,ShanghaiUniversityofElectricPower,Shanghai200090,China;2.TechnologyCapabilityCenter,ShanghaiTopphantInformationTechnologyCo.,Ltd.,Shanghai201203,China;3.MinistryofScienceandTechnology,ShanghaiCloudSwordInformationTechnologyCo.,Ltd.,Shanghai200433,China)

Protocol attack experiments are used to analyze and improve the protocol security so as to ensure the communication safety of smart meters.Firstly,on the basis of understanding the communication protocol,its loopholes are tapped,and then ARP spoofing is implemented to induce the communication flow between the sniffer and the acquisition terminal,and to achieve the purpose of tampering with electric energy data.

smart-meter; intermediate; protocol; tamper

10.3969/j.issn.1006-4729.2017.04.014

2017-03-09

陳武(1993-),男,在讀碩士,湖南郴州人.主要研究方向?yàn)橹悄茈姳戆踩?E-mail:1933819849@qq.com.

上?？茖W(xué)技術(shù)委員會(huì)地方能力建設(shè)項(xiàng)目(15110500700);上海市浦江人才計(jì)劃資助項(xiàng)目(16PJ1433100);上海市自然科學(xué)基金(16ZR1436300);上海市科學(xué)技術(shù)委員會(huì)中小企業(yè)創(chuàng)新基金(1501H1B7700,1601H1E2600).

TM933.4;TP309

A

1006-4729(2017)04-0378-07