饋線終端單元FTU的101規(guī)約安全性測試

王勇，王相，賀文婷，周宇昊，蔡雨帆

?

饋線終端單元FTU的101規(guī)約安全性測試

王勇1，王相1，賀文婷2，周宇昊3，蔡雨帆1

（1. 上海電力學(xué)院信息安全系，上海 200090； 2. 華能上海石洞口發(fā)電有限責(zé)任公司華能上海石洞口第二電廠，上海 200942； 3. 華電電力科學(xué)研究院有限公司國家能源分布式能源技術(shù)研發(fā)（實驗）中心，浙江 杭州 310030）

IEC60870-5-101規(guī)約主要用于電力SCADA數(shù)據(jù)監(jiān)控采集系統(tǒng)主站和子站之間傳輸報文，由于該報文主要采用“幀校驗和”的方式，其安全性較低，存在中間人攻擊的安全隱患。為了驗證該101規(guī)約的通信存在問題，構(gòu)建了饋線終端FTU與主站的通信系統(tǒng)，在云服務(wù)器上采集FTU移動物聯(lián)卡的遙測信息，利用中間人攻擊方式，采用ARP欺騙截獲通信數(shù)據(jù)分組，解析數(shù)據(jù)分組中的遙測信息，嘗試數(shù)據(jù)篡改并成功使監(jiān)控端數(shù)據(jù)得不到及時更新，最后提出了一種基于Hash簽名的101規(guī)約安全機制。

饋線終端FTU；101規(guī)約；中間人攻擊；ARP欺騙

1 引言

IEC 60870-5-101規(guī)約是國際電工委員會為適應(yīng)電力系統(tǒng)和其通信方面的工作制定的基于EPA（enhanced performance architecture）模型的基本遠動任務(wù)的標準。它主要在具有電網(wǎng)數(shù)據(jù)采集和監(jiān)控系統(tǒng)（SCADA，supervisory control and data acquisition）的主站和饋線遠端單元FTU（feeder terminal unit）之間通過問答方式進行數(shù)據(jù)傳輸，如總召喚、一級數(shù)據(jù)和二級數(shù)據(jù)上報、時鐘同步及遠端遙控等[1]。

由于101規(guī)約在制定時僅僅考慮了功能的完整性，并未對其通信的安全性加以考慮，攻擊者很容易利用規(guī)約的漏洞對通信系統(tǒng)造成攻擊，截獲并篡改通信數(shù)據(jù)，甚至能使通信系統(tǒng)癱瘓而無法正常工作。因此，研究和分析101規(guī)約的安全性對提高主從站之間的通信安全具有重要意義。

本文主要做了以下工作。

1) 搭建了真實的實驗環(huán)境，使用真實的FTU設(shè)備與云服務(wù)器主站進行硬件連接并實現(xiàn)，能夠遙測到FTU的工作電壓。

2) 針對101規(guī)約本身存在的安全漏洞進行分析，發(fā)現(xiàn)其存在的若干安全性問題，并通過主從站通信的真實實驗結(jié)果驗證規(guī)約存在明文傳輸這一安全漏洞。

3) 通過中間人攻擊手段對系統(tǒng)進行攻擊測試，實施ARP欺騙，能夠成功截獲主站與FTU之間的通信報文，加以分析得到主從站之間的通信內(nèi)容。在中間人攻擊測試成功之后，本文還進行了數(shù)據(jù)篡改測試實驗，并能夠使監(jiān)控端軟件上的遙測數(shù)據(jù)得不到及時更新，但還不能真正修改通信數(shù)據(jù)。

4) 為了加強101規(guī)約通信的安全性，本文以Hash函數(shù)和數(shù)字簽名為基礎(chǔ)，提出了一種增強101規(guī)約安全性的安全機制。

本文實驗的結(jié)論對提高101規(guī)約的安全性有一定的幫助，并為后續(xù)篡改通信數(shù)據(jù)的研究提供基礎(chǔ)，以期更好地保護101規(guī)約通信的安全。

2 國內(nèi)外研究現(xiàn)狀

針對IEC60870-5-101規(guī)約的安全性相關(guān)問題，國內(nèi)外研究人員做了諸多研究。閆飛飛[1]設(shè)計了一款以32位DSP浮點CPU(TMS320F28335)為基礎(chǔ)的新型FTU，并且在新型FTU的μC/OS-Ⅱ上對101規(guī)約通信進行測試，結(jié)果表明，101通信程序能精準快速地上傳通信數(shù)據(jù)，滿足饋線自動化對FTU通信的要求。劉柳[2]針對101規(guī)約的幀格式和傳輸特性，進行了多方面的安全性分析，得出了101規(guī)約本身的脆弱性問題，同時還分析了可能存在的攻擊手段。劉柳針對101規(guī)約的安全性問題，建立了一種以攻擊樹為基礎(chǔ)的防御圖模型，并利用防御圖對通信的安全等級進行推斷，推斷的依據(jù)是預(yù)期的攻擊成功率。王昕等[3]以云南電網(wǎng)調(diào)度系統(tǒng)中遠動設(shè)備的真實運行情況為基礎(chǔ)，利用C++編程語言設(shè)計了基于101規(guī)約遠動設(shè)備的測試分析系統(tǒng)，能夠互聯(lián)不同的基于101規(guī)約的遠動設(shè)備，不但實現(xiàn)了對測試報文和測試數(shù)據(jù)的分析處理，同時還通過Access2003軟件進行數(shù)據(jù)庫建立，用來存儲程序運行過程中101規(guī)約的報文轉(zhuǎn)換結(jié)果數(shù)據(jù)。楊艷華[4]提出并設(shè)計一種Modbus RTU-IEC60870-5-101數(shù)據(jù)匯集與規(guī)約轉(zhuǎn)換裝置，不但解決了2種協(xié)議之間通信的轉(zhuǎn)換問題，而且克服了主站同時向多個從站采集數(shù)據(jù)時效率低的問題。目前該裝置已經(jīng)成功被實際應(yīng)用到多種配電自動化控制系統(tǒng)中。李克文等[5]根據(jù)配電自動化通信的特點，對101規(guī)約的平衡式傳輸方式或非平衡式傳輸方式進行選擇和補充，并加以多次測試和修改，提出了一種基于IEC60870-5-101規(guī)約的數(shù)據(jù)傳輸協(xié)議，并成功應(yīng)用到配電自動化的無線公網(wǎng)通信系統(tǒng)。唐明等[6]以101規(guī)約一致性測試要求和測試系統(tǒng)功能需求為基礎(chǔ)設(shè)計了一個一致性測試系統(tǒng)，使用UML設(shè)計和實現(xiàn)了系統(tǒng)的軟件架構(gòu)和組成，并針對一致性測試所要求的動態(tài)、靜態(tài)測試給出了相應(yīng)的測試辦法。該系統(tǒng)已經(jīng)成功應(yīng)用到饋線終端FTU的開發(fā)測試和工廠測試。

綜上所述，目前國內(nèi)外研究很少真正關(guān)注101規(guī)約安全性，主要著眼于101規(guī)約的實際應(yīng)用，多是將101規(guī)約與新型FTU或者新型遠動設(shè)備相結(jié)合應(yīng)用，雖然能夠成功在電力系統(tǒng)中使用，但101規(guī)約本身存在的安全性問題仍會影響它們的安全通信；雖然也有研究人員對101規(guī)約的安全性和可能遭受的攻擊進行了分析，但其分析僅僅停留在理論階段，并未通過實驗對101規(guī)約進行實際的安全性測試，無法真實反應(yīng)101規(guī)約的安全性問題。本文研究的重點是101規(guī)約的安全性，首先在理論上分析101規(guī)約可能存在的安全性問題，并通過真實的實驗環(huán)境驗證101規(guī)約的明文傳輸漏洞，其次是對系統(tǒng)進行安全性測試，成功實現(xiàn)ARP欺騙和造成監(jiān)控端遙測數(shù)據(jù)得不到及時更新，最后提出相應(yīng)的防御措施加強101規(guī)約的安全性。

3 IEC 60870-5-101規(guī)約存在的安全問題

IEC60870-5-101規(guī)約主要用于電力SCADA數(shù)據(jù)監(jiān)控采集系統(tǒng)主站和子站之間傳輸報文，主站和子站之間進行101規(guī)約的傳輸過程如圖1所示。其存在的安全問題主要體現(xiàn)在幾個方面：數(shù)據(jù)校驗問題；明文傳輸；數(shù)據(jù)流的控制方式。

圖1 主從站之間的通信流程

1) 數(shù)據(jù)校驗：為了確保數(shù)據(jù)傳輸?shù)耐暾?，傳輸方指定一種算法對原始數(shù)據(jù)求取一個校驗值，接收方在相同的算法下也計算一個校驗值，如果傳輸和接收雙方的校驗值相同，則證明數(shù)據(jù)傳輸是完整的。101規(guī)約有2種幀長結(jié)構(gòu)，即可變幀長結(jié)構(gòu)和固定幀長結(jié)構(gòu)。在可變幀長幀中，幀校驗和是控制域、地址域以及用戶數(shù)據(jù)區(qū)8位位組的算術(shù)和（不考慮溢出位，即256模和）；在固定幀長幀中，幀校驗和是控制域與地址域的算術(shù)和（不考慮溢出位，即256模和）[2]。這2種幀長結(jié)構(gòu)中的校驗和算法只是進行極為簡單的算術(shù)和計算，這樣僅僅能夠保證數(shù)據(jù)正確傳輸，并不能夠保證其傳輸安全不被攻擊者篡改，所以這種校驗和算法并不具備安全性。

2) 明文傳輸問題：101規(guī)約的傳輸報文采用的是明文傳輸方式，沒有使用加密技術(shù)和身份認證技術(shù)，報文內(nèi)容完全沒有安全性保障，攻擊者能輕松地實施嗅探，通過數(shù)據(jù)抓包可以對報文進行截獲并解析出其中的數(shù)據(jù)。一旦遭受中間人攻擊，通信雙方的數(shù)據(jù)將先傳遞到攻擊者的計算機再轉(zhuǎn)發(fā)，此時攻擊者能夠輕易地獲得通信數(shù)據(jù)并篡改數(shù)據(jù)內(nèi)容再進行傳遞，從而達到攻擊目的。

通過使用gcpdbg工具，可以獲取主從站之間的通信報文，如圖2所示。

圖2 101規(guī)約通信報文

為了驗證能夠抓到FTU通過明文方式向主站發(fā)送的數(shù)據(jù)報文，筆者在已知圖2中某條報文的基礎(chǔ)上，以方框中選中的報文為例，發(fā)現(xiàn)wireshark獲取的報文中確實存在此條報文，并是以明文傳輸?shù)模瑘D3方框中的數(shù)據(jù)就是所采集到的報文。

圖3 驗證結(jié)果

3) 數(shù)據(jù)流的控制方式問題：101規(guī)約傳輸報文的數(shù)據(jù)流控制方式采用位DFC。當DFC=0時，表示子站可以繼續(xù)接收數(shù)據(jù)；當DFC=1時，表示子站的數(shù)據(jù)緩沖區(qū)已滿，無法接收新數(shù)據(jù)。一旦攻擊者截取主站向子站發(fā)送的報文之后，可以將報文的DFC設(shè)置為1，并作為應(yīng)答報文返回給主站，這樣可以使主站認為子站的數(shù)據(jù)緩沖區(qū)已滿，無法得到所請求的數(shù)據(jù)，最終導(dǎo)致無法正常進行調(diào)度工作。

除此之外，101規(guī)約中的廣播命令通常用于主站向所有子站發(fā)送用戶的數(shù)據(jù)報文，其鏈路地址域為255或者65535。一旦攻擊者向所有子站發(fā)送數(shù)量龐大的廣播報文，使子站的數(shù)據(jù)緩沖區(qū)全部被攻擊者的廣播報文所填充，最終會導(dǎo)致子站無法正常接收主站所發(fā)送的數(shù)據(jù)。

4 安全性測試分析

FTU作為饋線自動化系統(tǒng)的重要組成部分，主要通過GPRS模塊進行數(shù)據(jù)通信，通過101規(guī)約進行數(shù)據(jù)傳輸。然而，由于操作需要在云端和監(jiān)控端兩端進行，攻擊者可以通過中間人攻擊，對監(jiān)控端進行ARP欺騙，導(dǎo)致監(jiān)控端與云端無法進行通信，對系統(tǒng)正常運行造成影響。

4.1 實驗環(huán)境

本實驗以阿里云ECS服務(wù)器作為主站，F(xiàn)TU作為從站，通過中國移動物聯(lián)網(wǎng)卡以GPRS無線通信方式進行通信，101規(guī)約采用平衡傳輸模式，通過配置FTU和主站軟件的參數(shù)，以端口映射的方法，實現(xiàn)主站和從站的通信，在本機的監(jiān)控端可以采集到FTU的電壓、電流以及報文信息。FTU饋線終端101規(guī)約的通信環(huán)境如圖4所示。

圖4 FTU饋線終端101規(guī)約的通信環(huán)境

本次實驗環(huán)境的拓撲結(jié)構(gòu)如圖5所示。

圖5 實驗拓撲結(jié)構(gòu)

本次實驗所用的是FTU設(shè)備，主要安裝在架空配電線路的責(zé)任分界點處，與分界開關(guān)等設(shè)備配合使用，對分支線路實施保護，能自動切除線路的相間接地、相間短路、過流等故障，確保非故障用戶的用電安全。采用32位ARM高速單片機作為主控芯片，運行速度快、檢測靈敏準確、保護動作及時迅速。產(chǎn)品具有無線遙控分合閘、本地串口參數(shù)設(shè)置、GSM短信控制、GPRS無線通信、PDA掌機通信等通信方式可供選擇，廣泛適用于城鄉(xiāng)10KV-66KV架空配電線路的控制和保護。

本次實驗使用GCP軟件，有數(shù)據(jù)庫配置工具（gcpcfg）、gcpcom.exe 運行軟件、實時監(jiān)控與調(diào)試工具（gcpdbg）。GCP的作用是連接現(xiàn)場下行設(shè)備的物理接口、使用現(xiàn)場設(shè)備的通信協(xié)議、采集現(xiàn)場設(shè)備的數(shù)據(jù)，以用戶規(guī)定的物理接口和通信協(xié)議轉(zhuǎn)發(fā)數(shù)據(jù)到本地或遠方后臺。GCP平臺適應(yīng)各種通信環(huán)境，滿足各種數(shù)據(jù)交換的需求，為數(shù)據(jù)交換提供靈活的解決方案。通常的用法是一路或者多路通信協(xié)議采集數(shù)據(jù)，數(shù)據(jù)匯集到一路或者多路通信協(xié)議轉(zhuǎn)發(fā)。

本實驗采用的GPRS工具為ZLAN8100。ZLAN8100 是一款GPRS 遠程無線傳輸設(shè)備，采用嵌入式設(shè)計，內(nèi)嵌TCP/IP棧。提供標準RS232/485 數(shù)據(jù)接口，可以方便地連接RTU、PLC、工控機等設(shè)備，并與數(shù)據(jù)中心通過GPRS 無線網(wǎng)絡(luò)建立連接，實現(xiàn)數(shù)據(jù)的全透明傳輸。通過ZLAN8100將目的IP配置為申請的公網(wǎng)IP地址101.132.116.213，選擇相應(yīng)的目的端口為4196。

4.2 安全性測試

4.2.1 第一步：中間人攻擊測試

本文使用中間人攻擊的方法實現(xiàn)ARP欺騙，欺騙本機實現(xiàn)攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù)，使本機的監(jiān)控端無法接收到云端的數(shù)據(jù)，從而導(dǎo)致無法正常采集到FTU的電壓、電流以及報文信息。

中間人攻擊是指攻擊者與通信的兩端分別建立獨立的聯(lián)系，并交換其所收到的數(shù)據(jù)，使通信的兩端認為它們正在通過一個私密的連接與對方直接對話，但事實上整個會話被攻擊者完全控制[7]。由于101規(guī)約缺乏身份認證機制，攻擊者能夠利用這一漏洞，將自己偽裝成會話的參與者，最終獲取通信雙方的通信內(nèi)容。實現(xiàn)中間人攻擊的方式有很多種，但隨著技術(shù)的發(fā)展，中間人攻擊已經(jīng)不能僅靠簡單的嗅探攻擊實現(xiàn)，必須進行ARP欺騙才能使攻擊成功。

ARP欺騙是一種用于內(nèi)網(wǎng)環(huán)境的中間人攻擊方式，其優(yōu)勢是通過ARP欺騙，能夠欺騙整個網(wǎng)絡(luò)。本次實驗采用Kali Linux系統(tǒng)中的ettercap工具對目標進行ARP欺騙攻擊。

本次實驗的網(wǎng)絡(luò)環(huán)境配置如下。

攻擊者主機的IP地址：192.168.1.102；MAC地址：3c-a8-2a-b6-cf-b2。

被攻擊目標主機的IP地址：192.168.1.101。

路由網(wǎng)關(guān)IP地址：192.168.1.1；MAC地址：50-fa-84-07-fa-f3。

在攻擊之前，通過arp -a命令查看目標主機的ARP表，如圖6所示。

圖6 攻擊前目標主機ARP表

在攻擊前通過gcpdbg工具可以獲取遙測數(shù)據(jù)報文為68 1D 1D 68 53 01 00 09 86 14 00 01 00 01 40 E8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 21 16。其中，十六進制E8轉(zhuǎn)換為十進制后的數(shù)值為232，正是遙測到的FTU電壓232 kV，證明攻擊前通信功能正常。

配置Linux系統(tǒng)的IP轉(zhuǎn)發(fā)功能，首先保證硬件連通，然后打開系統(tǒng)的轉(zhuǎn)發(fā)功能。打開ettercap軟件，選擇eno1網(wǎng)卡，并開始掃描主機Hosts-scan for hosts。

掃描完成之后，Hosts-hosts list將打開主機列表，在主機列表中選擇目標主機IP，單擊Add to Target 1，將其添加到目標1，告訴目標主機“我是網(wǎng)關(guān)”。在主機列表中選擇網(wǎng)關(guān)地址192.168.1.1，單擊Add to Target 2，將其添加到目標2，欺騙網(wǎng)關(guān)“我是目標主機”，如圖7所示。

圖7 主機列表

開啟ARP投毒功能，通過再次查看目標主機的ARP表可以清楚地發(fā)現(xiàn)，網(wǎng)關(guān)的MAC地址已經(jīng)由攻擊之前的50-fa-84-07-fa-f3改為攻擊者主機的MAC地址3c-a8-2a-b6-cf-b2，如圖8所示。也就是說，攻擊者成功地實施了ARP欺騙，充當了目標主機和網(wǎng)關(guān)之間通信的中間人，理論上，目標主機與網(wǎng)關(guān)的所有通信數(shù)據(jù)流量都將發(fā)送到攻擊者主機上，被攻擊者竊聽。

圖8 ARP欺騙成功后目標主機ARP表

4.2.2 中間人攻擊測試結(jié)果分析

為了驗證攻擊成功，通過使用ip.addr== 192.168.1.101命令對數(shù)據(jù)分組進行篩選，可以看到目標主機和云端之間傳輸?shù)臄?shù)據(jù)分組全部傳輸?shù)焦粽叩闹鳈C上，攻擊者可以獲取它們之間的通信報文和采集到的數(shù)據(jù)信息等，如圖9所示。

圖9 篩選后的101規(guī)約數(shù)據(jù)分組

在目標主機的監(jiān)控端打開軟件，可以看到，由于受到ARP欺騙，目標主機與云端的數(shù)據(jù)無法正常通信，地址為101.132.116.213的云端無法連接，表示攻擊成功，如圖10所示。

4.2.3 第二步：篡改數(shù)據(jù)測試

經(jīng)過中間人攻擊后，已經(jīng)能夠得到主站（云服務(wù)器）傳輸給監(jiān)控端的通信數(shù)據(jù)，由此可以對數(shù)據(jù)分組進行代理轉(zhuǎn)發(fā)或者修改數(shù)據(jù)分組的內(nèi)容。本實驗?zāi)康氖且罁?jù)IEC60870-5-101規(guī)約的安全漏洞（如數(shù)據(jù)以明文進行傳輸、缺乏消息認證、校驗方式簡單等缺陷）來篡改主站發(fā)送給監(jiān)控端的有關(guān)采集電壓電流的數(shù)據(jù)分組，導(dǎo)致在監(jiān)控端上的數(shù)值顯示錯誤。

首先找到包含F(xiàn)TU所采集的電壓電流的數(shù)據(jù)分組，通過過濾語句ip.addr==101.132.116. 213&&tcp contains 01:00:09（依據(jù)地址域和類型標識符）所過濾到的語句如圖11所示；再將此條報文保存為.pcap格式，使用hexedit軟件，修改數(shù)據(jù)分組字段，替換掉報文中的信息元素集部分，由于篡改了應(yīng)用服務(wù)數(shù)據(jù)單元的數(shù)據(jù)，所以需重新計算校驗和，以免校驗和錯誤導(dǎo)致分組丟失。

圖10 中間人攻擊導(dǎo)致通信中斷

圖11 過濾遙測數(shù)據(jù)分組

篡改數(shù)據(jù)代碼使用的是Python語言，并應(yīng)用raw_socket函數(shù)構(gòu)造數(shù)據(jù)分組發(fā)送數(shù)據(jù)，相比普通的socket，raw_socket工作在網(wǎng)絡(luò)層或數(shù)據(jù)鏈路層，用來發(fā)送一些自己制定源地址特殊作用的IP分組。

在Python下創(chuàng)建一個raw socket，如下。

s=socket.socket (socket.AF_INET, socket. SOCK_ RAW, socket.IPPROTO_RAW)

根據(jù)需要，原數(shù)據(jù)分組構(gòu)造IP header和TCP header，如下。

構(gòu)造data部分，將wireshark中過濾的包含F(xiàn)TU所采集的電壓電流的數(shù)據(jù)分組保存為.pcap的文件，但pcap文件的格式由文件頭（24 byte）+ packet數(shù)據(jù)分組頭（16 byte）+packet data組成，由于本文篡改的數(shù)據(jù)分組的IP頭部和TCP頭部由自己定義，所以只選取pcap文件中的data字段。

checksum的計算方法：先將checksum的值置0，將數(shù)據(jù)以每2個字節(jié)劃分組成一個16 bit的值，不夠補0，將所有的16 bit相加得到一個32 bit的值，將32 bit中的高16 bit與低16 bit相加得到一個新的值，若新的值大于0xffff，再進行前面的步驟，將最后得出的16 bit值按位取反，得到checksum的值。

IP頭的checksum 使用IP頭數(shù)據(jù)進行計算，TCP頭的checksum包含偽頭部加TCP頭部加TCP數(shù)據(jù)進行計算。

4.2.4 篡改數(shù)據(jù)測試結(jié)果分析

本文的實驗?zāi)康氖切薷臄?shù)據(jù)分組中的信息元素集部分，篡改遙測值字段。我們直接使用hexedit軟件，修改數(shù)據(jù)分組字段，將原始的電壓223 V（0xDF）修改為100 V（0x64），并修改校驗和部分，具體幀變化如圖12所示。

圖12 使用hexedit軟件篡改數(shù)據(jù)分組值

圖13 監(jiān)控端上抓到的由攻擊者發(fā)送的篡改分組

圖14 TCP虛假重傳

在攻擊者端運行tcpattack.py程序后，可以在監(jiān)控端抓到所發(fā)送的篡改數(shù)據(jù)分組。但通過實驗對比發(fā)現(xiàn)，即使發(fā)送篡改數(shù)據(jù)分組的方式相同，也可能出現(xiàn)多個實驗結(jié)果。

情況1（如圖13所示）：監(jiān)控端接收了攻擊端發(fā)送的篡改數(shù)據(jù)分組，圖中方框內(nèi)的seq和ack的數(shù)值都等于1，這不符合邏輯，所以該篡改數(shù)據(jù)分組并未對主站與監(jiān)控端的通信產(chǎn)生任何影響。

情況2（如圖14所示）：此次攻擊測試所發(fā)送的篡改分組被認定為重傳分組，而且這一重傳分組對主站與監(jiān)控端的通信造成了影響，出現(xiàn)了多條ACK分組，而原本監(jiān)控端軟件設(shè)定為5 min遙測一次饋線終端FTU數(shù)據(jù)，也未及時更新。

通過篡改數(shù)據(jù)測試實驗可以發(fā)現(xiàn)電力系統(tǒng)所存在的不確定性，而本文所搭建的模擬配電網(wǎng)系統(tǒng)也由于實驗經(jīng)費和環(huán)境的影響，不是十分完善，所以實驗結(jié)果存在不確定性。雖然篡改數(shù)據(jù)測試實驗只能造成監(jiān)控端軟件上的遙測數(shù)據(jù)未得到及時更新，并未達到理想效果，即成功篡改監(jiān)控端顯示的數(shù)據(jù)，但也能夠在一定程度上對電力系統(tǒng)造成影響，因為真實的電力系統(tǒng)安全運行是不允許受到任何因素影響的，即使只是數(shù)據(jù)未得到及時更新。

4.3 基于Hash簽名的101規(guī)約安全機制

以主站（S）發(fā)送消息給終端設(shè)備（D）為例，其過程如圖15所示。

圖15 主站（S）發(fā)送消息給終端設(shè)備（D）

具體步驟如下。

5 結(jié)束語

本文對FTU中101規(guī)約的通信安全性問題進行了分析，搭建了真實的電力系統(tǒng)饋線終端通道環(huán)境，在云服務(wù)器上采集FTU移動物聯(lián)卡的遙測信息，對于登錄到阿里云的目標主機進行了ARP斯騙攻擊，可以截獲目標主機和云端之間數(shù)據(jù)分組，如果饋線終端FTU系統(tǒng)遭到大面積DDoS攻擊，將會對電力控制系統(tǒng)造成嚴重影響。

本文也對通信數(shù)據(jù)進行了篡改攻擊嘗試，但實驗效果并不理想，只是使數(shù)據(jù)得不到及時更新，尚無法達到最佳的攻擊實驗效果，最后提出了一種101規(guī)約可增強的安全機制對外在的攻擊進行防御。

[1] 閆飛飛.基于IEC60870-5-101規(guī)約和104規(guī)約的FTU的設(shè)計與實現(xiàn)[D]. 西安：西安科技大學(xué), 2012. YAN F F. Design and realization of feeder terminal unit based on IEC60870-5-101 protocol and 104 protocol[D]. Xi'an：Xi'an University of Science and Technology,2012.

[2] 劉柳. 面向SCADA業(yè)務(wù)的電力通信傳輸網(wǎng)安全性評[D]. 北京:華北電力大學(xué), 2013. LIU L. SCADA services oriented security evaluation for electric power communication networks[D]. Beijing：North China Electric Power University,2013.

[3] 王昕, 曹敏, 李仕林, 等. 遠動設(shè)備IEC60870-5-101非平衡規(guī)約的測試研究[J]. 化工自動化及儀表, 2016 (3): 308-312. WANG X , CAO M, LI S L, et al. Test and research on unbalanced protocol of IEC60870-5-101 remote control equipment[J]. Control and Instruments in Chemical Industry, 2016(3):308-312.

[4] 楊艷華, 周永錄, 蘇紅軍, 等. Modbus RTU-IEC60870-5-101數(shù)據(jù)匯集與規(guī)約轉(zhuǎn)換裝置設(shè)計[J]. 全國冶金自動化信息網(wǎng)2016年會論文集, 2016：425-429. YANG Y H, ZHOU Y L, SU H J, et al. Modbus RTU- IEC60870- 5-101 data collection and protocol conversion device design[J]. Annual Conference Proceedings of the National Metallurgical Industry Automation Information Network. 2016:425-429.

[5] 李克文, 莫鳳芝, 吳麗芳, 等. IEC60870-5—101在配電自動化無線公網(wǎng)通信中的應(yīng)用[J]. 電力系統(tǒng)通信, 2012, 33(10): 39-43. LI K W, MO F Z, WU L F, et al. Application of IEC60870-5-101 in distribution automation wireless public network communication[J].Telecommunications for Electric Power System, 2012, 33(10): 39-43.

[6] 唐明, 胡勇, 何霄鵬, 等. 配電自動化設(shè)備通信協(xié)議的一致性測試系統(tǒng)設(shè)計與實現(xiàn)[J]. 電氣技術(shù), 2014, 15(08): 24-27. TANG M, HU Y, HE X P, et al. Design and implementation of conformance test system for distribution automation equipment communication protocol[J]. Electrical Engineering, 2014,15(8): 24-27.

[7] 張愷. 基于高級量測體系的智能電表雙向通信研究[D]. 太原：太原理工大學(xué), 2011. ZHANG K. Research on two-way communication of smart meter based on advanced measurement system[D]. Taiyuan: Taiyuan University of Technology, 2011.

[8] 沈祥, 張俊偉. 基于電力系統(tǒng)IEC101規(guī)約流程的運維解析[J]. 電氣工程與自動化, 2017, 36:21-22. SHEN X, ZHANG J W. Operation and maintenance analysis based on IEC101 protocol process of power system[J]. Electrical Engineering and Automation, 2017, 36: 21-22.

[9] CHEN B, CHEN M, TIAN H, et al. Advanced application of IEC60870-5-101 protocol on feeder terminal unit[C]// 11th IEEE International Conference on Anti-counterfeiting, Security, and Identification (ASID). 2017:142-145.

[10] 邱凱翔, 金宇. IEC101規(guī)約的結(jié)構(gòu)性認識與案例分析[J]. 電工電氣, 2018 (6): 62-64. QIU K X, JIN Y. Structural understanding and case analysis of IEC101 Statute[J]. Electrotechnics Electric, 2018 (6): 62-64.

Security test of 101 protocol of FTU

WANG Yong1, WANG Xiang1, HE Wenting2, ZHOU Yuhao3, CAI Yufan1

1. Department of Information Security, Shanghai University of Electric Power, Shanghai 200090, China 2. Huaneng Shanghai Shidongkou Second Power Plant, Huaneng Shanghgai Shidongkou Power Genertation CO., LTD., Shanghai 200942, China 3. National Energy Distributed Energy Technology Research and Development (experimental) Center, Huadian Electric Power Research Institute Co., LTD., Hangzhou 310030, China

The IEC60870-5-101 protocol is mainly used for transmitting messages between the primary station and the substation of the power SCADA data monitoring and acquisition system. Since the message mainly adopts “frame check and sum” to ensure communication security, there is a common security risk among the intermediate personnel. In order to verify the communication problems of the 101 protocol, the communication system between the FTU and the main station of the feeder terminal was constructed, which collected the telemetry signal of the FTU mobile IoT card on the cloud server, and used the man-in-the-middle attack mode to use the ARP to intercept the communication data packet. To analyze the telemetry information in the data packet, try data tampering and successfully make the monitoring data not updated in time. Finally, an enhancement mechanism against external attacks was proposed.

FTU, 101 protocol, man-in-the-middle attack, ARP spoofing

TP393

A

10.11959/j.issn.2096-109x.2018080

王勇（1973-），男，河南確山人，博士，上海電力學(xué)院教授，主要研究方向為電力信息安全、電力系統(tǒng)病毒分析、工業(yè)控制系統(tǒng)安全。

王相（1994-），男，江蘇無錫人，上海電力學(xué)院碩士生，主要研究方向為電力系統(tǒng)通信協(xié)議安全。

賀文婷（1996-），女，浙江鎮(zhèn)海人，主要研究方向為電力系統(tǒng)通信協(xié)議安全。

周宇昊（1983- ），男，浙江義烏人，華電電力科學(xué)研究院有限公司國家能源分布式能源技術(shù)研發(fā)（實驗）中心高級工程師，主要研究方向為分布式能源政策、產(chǎn)業(yè)發(fā)展戰(zhàn)略、系統(tǒng)集成技術(shù)、性能測試評估、檢測技術(shù)及標準制定。

蔡雨帆（1997-）,男，四川內(nèi)江人，上海電力學(xué)院本科生，主要研究方向為網(wǎng)絡(luò)協(xié)議安全。

2018-08-09；

2018-09-08

王勇，wy616@126.com

國家自然科學(xué)基金資助項目（No.61772327) ；上海自然科學(xué)基金資助項目（No.16ZR1436300）；浙江大學(xué)工業(yè)控制技術(shù)國家重點實驗室開放式基金資助項目（No.ICT1800380）；上海電力學(xué)院智能電網(wǎng)產(chǎn)學(xué)研開發(fā)中心基金資助項目（No.A-0009-17-002-05）；上海市科委地方能力建設(shè)基金資助項目（No.15110500700）

The National Natural Science Foundation of China (No.61772327), Shanghai Natural Science Foundation (No.16ZR1436300); Zhejiang University State Key Laboratory of Industrial Control Technology Open Fund (No.ICT1800380), Smart Grid Industry-University Research and Development Center Project of Shanghai University of Electric Power (No.A-0009-17-002-05), Project of Shanghai Science and Technology Committee under Grant (No.15110500700)