梁捷

（广西电网有限责任公司计量中心，广西 南宁 530023）

智能电网和计量自动化的发展使得电网数据在用户和电网公司可实现双向传递。然而由于成本原因，电力信息网往往不具备专有的通信网络，而是由第三方运营商提供，存在潜在的网络攻击风险。若不能有效检测和抵御这些攻击，将影响电网的数据安全和运行稳定[1]。

南方电网规范的计量自动化终端（以下简称计量终端）用于电力用户的用电数据采集，并通过上行通道将所采集的数据传输到主站，其类型包括负荷管理终端、集中器等[2]。然而，由于其安装位置分散在各处，难以集中管理，尤其是安装在各低压配网的集中器，缺乏有效的非授权操作防御措施，用户可直接接触，故成为最容易受到安全攻击的电网设备之一。

1 计量终端网络安全风险点

电能表和计量终端是计量自动化系统的重要硬件组成部分。在费控电能表推广以前，用电数据在电能表和计量终端之间的信息传输是按照特定的、公开的协议明文传输，故相比于作为处理中枢的计量主站，这些硬件设备更易处在攻击者可以接触的范围内。针对智能终端可能遭受到的安全攻击，其网络安全风险点主要包括以下方面：

1.1 系统安全

很多计量终端都存在默认的弱口令，如果用户没有修改这些默认口令或者将这些口令设置为弱口令，攻击者就可以利用弱口令漏洞获取系统数据。

1.2 设备内核数据安全

计量终端通常是基于linux 操作系统的设备，存在安全访问协议SSH（secure shell 安全外壳协议）漏洞[3]，该漏洞可使攻击者通过服务缺省配置的不安全算法进行网络攻击。由于当通过ssh 弱口令登录到终端之后，终端里的数据是非加密的，且计量终端数据通常采用十六进制，小端模式存储，即数据字节的最低位存放于内存地址的最低位。基于这些信息，攻击者可利用SSH 漏洞登录到目标计量终端，然后可任意修改终端数据，例如可对终端里存储的主站地址，电量数据等进行任意修改。

1.3 通信连接安全

根据南方电网终端技术规范，计量终端具备本地维护用的RS-232 端口，可用于上行通信规约调试。但是这个调试端口由于不具备口令防护，故存在安全漏洞。攻击者可以利用该端口按照上行信道的通信规约对计量终端发起攻击，包括可修改计量终端中的关键配置数据。例如攻击者可通过操作系统的SSH 漏洞，登录终端后改变计量终端的主站地址，将该终端采集的电力数据传输到修改后的伪装主站，则原主站将无法接收该数据。同时该部分的电力数据也会被伪装主站窃取。此外，通信连接攻击还可通过GPRS/CDMA、以太网等上行通道实现。

1.4 窃听安全

由于计量终端和传统电子式电能表之间通过RS-485 端口传输的数据是非加密的，即数据通过明文传输，攻击者可通过使用USB～RS-485 转接器窃听电能表和计量终端之间的本地通信数据。

1.5 数据篡改安全

攻击者首先获取电能表上行的数据，然后切断电能表和计量终端之间的联系，接着将电能表上传的数据经过修改传输给计量终端，以达到修改用户用电数据的目的。

2 电力用户数据采集网络攻击行为分析

由于电能表及计量终端中的通信漏洞和固有设计缺陷，攻击者可构建具有比合法信号更强信号的恶意GSM 基站，然后使用上述安全漏洞通过IP地址欺骗等方式访问目标电能表，并篡改电能表中的历史或当前数据，最终实现电量窃取等目的。

IP 地址欺骗是一种使用网络攻击获得访问权限的黑客攻击方式，黑客使用一台主机上网，然后通过伪造数据冒用另外一台客户端的IP 地址，实现冒充另外一用户的身份与服务器交互的目的。其中一种常见的IP 地址欺骗原理如图1 所示。

图1 所示的IP 地址欺骗过程为：1）攻击者X打开到主站服务器Z 的TCP 连接以观察响应报文中使用的初始序列号。2）对终端Y 发送拒绝服务攻击，使得Y 不能响应任何报文。3）使用Y 的IP地址与主站z 建立联接。4）如此以来，Z 的任务命令被发送到X。5）X 使用伪造的信息和序列号回复Z，达到欺骗Z 的目的。

无线传输技术的应用为低压集抄系统的快速组网带来了便利。但由于缺乏有效的网络安全防护，导致组网单元配对过程存在漏洞，攻击者将有机会从外部探测出网络的交互密钥，从而影响无线传输网络的安全。例如，攻击者可以通过使用无线传输的漏洞访问电能表。然后，由于电能表的处理能力和缓存有限，攻击者可进行SYN 泛洪攻击使得通信因拥堵而中断。

此外，利用该漏洞可以访问同一无线传输网络中的其他电能表并获得控制权，然后攻击者可以使用这些受控电能表向计量终端发送大量无效信息，即DDOS 攻击(distributed denial of service 分布式拒绝服务)[4]。该攻击能大量占据数据计量终端的有限处理能力，使其无法执行正常工作。

3 网络安全攻击测试

图1 一种IP 地址欺骗原理

图2 测试平台架构

以某厂家2018 年出厂的kali linux 64 位系统的南方电网规约负荷管理终端为例，计量终端通过以太网方式和笔记本电脑相连，并配置笔记本电脑的网络和计量终端的IP 地址在同一个局域网段内，同时，计量终端与单相电子式电能表通过RS-485方式连接，测试平台的架构如图2。图2 中的串口COM 用于3.4 节所述RS-485 篡改数据攻击测试的数据监听。

3.1 计量终端DDOS 攻击

在kali linux 系统中使用命令：hping3-S-flood -V 192.168.1.154 对计量终端发起DDOS 攻击，情况见图3。

图3 图D3D DDOOSS 攻 击攻前后击 前后

由图3 可见，攻击前计量主站能够正常召读电表数据，DDOS 攻击之后计量主站从计量终端召读电表数据出现异常，召读命令等待超时。可见，若能用电脑ping 通目标计量终端，就能对其发动类似的DDOS 攻击。这将造成计量主站无法采集被攻击的计量终端的数据、且不能有效的传达指令。

3.2 计量终端ssh 协议存在的漏洞

通过nessus 工具扫描该计量终端协议漏洞，结果见表1。

3.3 RS-485 窃听攻击

负荷管理终端与总表之间通常通过RS-485 方式进行连接，由于RS-485 方式通信的数据是非加密的，数据通过明文传输。针对该信道漏洞，攻击装可通过使用USB-RS485 转接器，从电脑窃听它们之间的通信数据。

3.4 RS-485 篡改数据攻击

首先将电脑的一个COM 口与电能表相连，另一个COM 口连接计量终端。此时，电脑串联接入负荷管理终端和电能表的通讯通道，电能表采集数据时将数据经过电脑发送到计量终端，使得电脑能够读取电能表上传的数据。此时电脑充当中间人的角色，可对数据进行篡改攻击，再将更改后的数据传到计量终端。

图4 中，左边是负荷管理终端正常采集的数据，右边是经过中间人攻击后采集到的数据，我们发现总有功功率、A 相有功功率和B 相有功功率数值异常，可见终端数据被中间人成功修改。

3.5 RS-232 篡改数据攻击

RS-232 是计量终端的调试端口，但由于南方电网上行通信协议的公开性，且该端口无口令防护。与RS-485 篡改数据攻击只能修改终端接收到的数据不同，攻击者可利用这个端口对终端发起DDOS 攻击，在不需要密码的情况下可对终端内的数据进行任意设置。例如，可将计量终端中的主站地址修改为伪造的主站地址，这样伪造的主站将不断地收到来自计量终端的信息。

表1 扫描结果

图4 篡改数据攻击示例

4 网络安全防御策略

对SSH 漏洞，应升级终端操作系统的Dropbear SSH 到2016.74 或者以后的版本，同时提高登录密码的复杂度，避免攻击者扫描弱口令。

对于窃听和篡改数据型的网络攻击，可以采用内置加密解密算法的方法来防御，报文数据不应采取明文传输，数据发送端在发送数据前将数据加密，接收端对接收到的数据进行解密和验证。同时在系统软件中增加对应的加密解密算法，南方电网费控电能表信息交换安全认证技术要求[5]里采用对称密钥加密和非对称密钥结合的方式对数据进行加密。为了增加系统的可靠性，密钥采用网级、省级和地市级三级部署模式，各级业务系统所用的密码机需要经过上一级密钥管理系统的清洗，而后经过该级密钥管理系统的发行，方可在该级业务系统中使用。数据传输根据数据安全级别的不同，分别采用明文、明文+MAC、密文、密文+MAC 等方式进行传输。如此，即使攻击者能够构造出正确的报文，由于不知道对应的数据加密密钥，发送到计量终端中的数据也会由于不能正确解析而拒绝执行。

对于数据篡改的防御方法除了在数据传输时采用加密传输外，还可以增加相应的校验帧，采用更安全的数据完整性校验算法，如传输数据的同时增加md5 校验位等。

此外，加密传输方法还要考虑数据重放攻击的可能，即攻击者截获加密的数据后，间隔一段时间后通过信道反复发送给终端，也能达到欺骗服务器的目的。例如，攻击者截获了对电能表的点对点校时报文，虽然无法直接篡改，但可反复发送给电表扰乱其时钟，从而影响冻结数据。对于数据重放攻击的防御可以在发送的每条信息里加上时间戳，接收端收到数据后验证数据的时间是否在允许的时间范围内，由于时间戳是和数据一起加密的，所以攻击者无法更改对应的时间戳，这样能够有效的抵抗数据重放攻击。

5 结语

本文在分析目前计量终端的安全配置现状和网络攻击隐患的基础上，研究了常见网络攻击行为的原理及可能造成的影响，并以某负荷管理终端为例进行测试，测试表明，DDOS 攻击之后，计量主站从计量终端召读电表数据出现异常，召读命令等待超时，对其SSH 协议进行漏洞扫描，发现8 个漏洞，现有终端安全配置可被RS-485 窃听和RS-232 篡改数据攻击攻破。最后对试验中网络攻击生效的原因进行分析，并给出了相应的防御策略。