一種適用於電力無線專網終端的安全防護性能測評方法與流程
2023-10-24 03:25:52 7
本發明涉及一種適用於電力無線專網終端的安全防護性能測評方法,屬於電力通信網信息安全防護測評技術領域。
背景技術:
終端通信接入網(以下簡稱「接入網」)是電力系統骨幹通信網絡的延伸,提供配電與用電業務終端同電力骨幹通信網絡的連接。接入網採用多種通信技術,由10千伏接入網和0.4千伏接入網兩部分組成。10千伏接入網承載配電自動化接入通信、用電信息採集遠程通信、電動汽車充電站(樁)通信、分布式電源接入通信等業務,0.4千伏接入網承載用電信息採集本地通信、光纖到戶等業務。接入網承載的業務具有點多面廣、接入情況複雜的特點。
隨著業務終端規模迅速增長,隨著分布式電源、電動汽車充電站(樁)等新興業務快速發展,對終端的接入方式、接入網的組網方式和運行方式都產生了新的需求;隨著信息化與工業化的融合,智能電網一次、二次設備智能化程度提升,無線通信等新技術迅猛發展,接入網面臨的安全風險增加,信息安全形勢日益嚴峻。
首先,電力無線通信終端通常部署戶外配電箱或居民樓道,容易遺失或被違法分子惡意竊取。通過模擬電力規約數據等手段,導致無線專網承載的業務數據可以被第三方假冒或修改,或造成敏感業務數據洩漏。
其次,如果lte電力終端物理防護措施較弱,存在通過破解usim卡進而仿冒無線通信終端接入無線通信系統的風險。現有研究工作已證明多數usim卡可通過側信道攻擊方法進行複製,從而可偽造相同的終端連入到epcevolvedpacketcore,演進的分組核心網)中,進一步威脅主站的安全性,當epc設備配置不當時,終端設備間可互相訪問,進一步威脅其它終端設備的安全性。
此外,電力無線通信終端還存在一些風險點,如通過社工手段獲取無線通道的接入點,入侵公司通信網絡設備以及業務系統;非法終端通過接入含有合法usim卡的合法通信模組,入侵公司通信網絡設備以及業務系統;非法終端通過接入合法業務終端,入侵公司通信網絡設備以及業務系統等等。
技術實現要素:
本發明所要解決的技術問題是克服現有技術的缺陷,提供一種適用於電力無線專網終端的安全防護性能測評方法,通過對任何接入網的電力無線終端開展安全防護性能測試,杜絕可能存在的安全威脅,提高電力無線終端的安全健壯性,有力管控電力工控業務安全。
為解決上述技術問題,本發明提供一種適用於電力無線專網終端的安全防護性能測評方法,包括以下步驟:
1)構建終端安全防護性能測評系統,包括終端、若干個基站、交換機、一臺安全加密網關、核心網、網管伺服器、網管客戶端和安全接入平臺;其中,終端與基站相連,基站與交換機相連,交換機與安全加密網關相連,安全加密網關與核心網相連,網管伺服器和網管客戶端都與交換機連接,交換機與安全接入平臺相連,安全接入平臺接入信息內網;
所述終端安全防護性能測評系統的各設備間的通信過程為:
1-1)終端將uu口數據通過空口發送給與之相連的基站;uu口控制面已具備加密和完整性保護,uu口用戶面具備加密保護,而uu口用戶面的完整性保護由應用層協議實現;
1-2)基站將從uu口收到的數據通過s1接口經s5700交換機上傳至安全加密網關;採用證書認證的ipsec保護該段鏈路上的s1接口數據;
1-3)安全加密網關將從s1接口接收到的數據終結ipsec保護後發送至主核心網;
1-4)主核心網將來自s1接口的數據通過sgi接口,經s5700交換機發送至安全接入平臺;
1-5)安全接入平臺將業務數據流終結安全保護後,送往信息內網直至業務主站;
2)執行惡意竊取usim卡接入測試,測試在usim卡失竊後,是否可通過4g終端設備接入基站,訪問和嗅探主站上的業務數據;
3)執行非法複製usim卡接入測試,測試多個擁有相同usim卡的終端能否連入到同一基站中,以及終端之間可否互相訪問;
4)執行採取社工手段通過非法usim卡接入測試,測試終端接入公司無線通信網絡後,是否能夠正常通信,無線通道是否設置用戶身份認證;
5)執行非法終端通過合法usim卡及通信模組接入測試;
6)執行非法終端通過合法業務終端接入測試。
前述的核心網包括主核心網和備核心網,在主核心網故障時,才啟用備核心網。
前述的步驟1)構建終端安全防護性能測評系統,還在業務層增加了終端安全加密晶片與安全接入平臺之間的端到端安全認證、加密保護機制。
前述的步驟2)執行惡意竊取usim卡接入測試,採用步驟1)所構建的終端安全防護性能測評系統,同時還需要準備usim卡1張,支持td-lte電力無線專網1.8ghz和230mhz頻段的4g無線路由器1臺;測試方法為:在網管上配置基站允許usim卡接入訪問,將usim卡插入到4g無線路由器中,啟動4g無線路由器連接基站,將筆記本連接到4g無線路由器上,在筆記本上訪問主站系統,測試與主站系統的連通性,用埠掃描、安全性測試工具捕獲主站的指紋特徵、服務開啟、業務數據。
前述的步驟3)執行非法複製usim卡接入測試,採用步驟1)所構建的終端安全防護性能測評系統,同時還需要準備usim讀寫卡器1個,可多次寫入的usim空卡2張,支持td-lte電力無線專網1.8ghz和230mhz頻段的4g路由器1臺;
測試方法為:生成多張密鑰值均相同的usim卡,將生成的usim卡插入到多個終端中,同時配置基站允許該usim卡終端連入網絡,並連接多個正常終端,使得每個終端的usim與其餘終端的不同,在任一終端上,嘗試連接主站和終端,測試其連通性。
前述的步驟4)執行採取社工手段通過非法usim卡接入測試,採用步驟1)所構建的終端安全防護性能測評系統,同時還需要準備usim卡1個;
測試方法為:詢問被測試網絡的接入點ip地址或域名,任取usim卡一張並放置在終端中;在不輸入用戶名和密碼的情況下,將終端的無線接入點設置為被測網絡的接入點,查看是否能夠正常通信;如果能夠正常獲取地址,利用nmap工具探測同c段或b段網絡中是否存在存活的設備;如果成功發現存活設備,查看是否存在開放的服務,並嘗試進行登錄訪問;查看無線接入點是否設置認證用戶名和密碼。
前述的步驟5)執行非法終端通過合法usim卡及通信模組接入測試,採用步驟1)所構建的終端安全防護性能測評系統,同時還需要準備usim卡1個;
測試方法為,將終端接入合法通信模組,查看是否能夠正常通信;如果能夠正常獲取地址,利用nmap工具探測同c段或b段網絡中是否存在存活的設備;如果成功發現存活設備,查看是否存在開放的服務,並嘗試進行登錄訪問。
前述的步驟6)執行非法終端通過合法業務終端接入測試,採用步驟1)所構建的終端安全防護性能測評系統,同時還需要準備usim卡1個;
測試方法為,將終端接入配電終端或集中器,查看是否能夠正常通信,或是否可採取手段配置配電終端或集中器進而正常通信;如果能夠正常獲取地址,利用nmap工具探測同c段或b段網絡中是否存在存活的設備;如果成功發現存活設備,查看是否存在開放的服務,並嘗試進行登錄訪問。
本發明的有益效果為:
1)本發明方法可以針對電力無線專網終端存在的安全風險進行全面評測,增強電力無線專網終端安全防護的管控能力,有力保護了大電網工控業務的信息安全;
2)本發明方法簡單實用,易於實施。
附圖說明
圖1為本發明搭建的無線專網測試環境架構。
具體實施方式
下面對本發明作進一步描述。以下實施例僅用於更加清楚地說明本發明的技術方案,而不能以此來限制本發明的保護範圍。
在進行電力無線專網終端安全防護性能的測評之前,首先按照圖1搭建無線專網測試環境,包括終端、若干個基站(圖中的enb530-1—enb530-n),交換機(本發明採用s5700),一臺安全加密網關(本發明採用ar2220),核心網(本發明採用escn230),網管伺服器eomc910server,網管客戶端eomc910client,安全接入平臺(本發明採用nariusap3000-ag),其中,終端與基站相連,基站與交換機相連,交換機與安全加密網關相連,安全加密網關與核心網相連,網管伺服器和網管客戶端都與交換機連接,交換機與安全接入平臺nariusap3000-ag相連,安全接入平臺接入信息內網。其中,核心網包括主核心網escn230主和備核心網escn230備,在主核心網故障時,才啟用備核心網。網管伺服器是為網管客戶端提供服務,存儲了許多設備狀態信息、網管登錄用戶信息等。
值得注意的是,本發明中各設備採用上述型號,但是所有的設備型號並不唯一限定,不同廠家的設備雖然型號不同,但是只要滿足該網絡拓撲結構就可以完成類似的測試,因為,不同廠家基站、核心網、終端、交換機等功能是一致的,都是遵循相同的國際技術標準。
所有設備間互聯及數據流加密處理流程如下所述,其中,箭頭指向的①—⑦表示數據流向:
①:終端將uu口(universalusertonetworkinterface,實現用戶終端到基站的網絡接口)數據通過空口發送給基站;uu口控制面已具備加密和完整性保護,uu口用戶面具備加密保護,而uu口用戶面的完整性保護由應用層協議實現;
②和③:基站將從uu口收到的數據通過s1接口(基站與核心網之間的通信接口)經s5700交換機上傳至安全加密網關ar2220;採用證書認證的ipsec保護該段鏈路上的s1接口數據;
④:安全加密網關ar2220將從s1接口接收到的數據終結ipsec保護後發送至主核心網;由於在無線專網機房內,安全加密網關ar2220與核心網部署於同一機櫃內(即屬於同一信任區域內),不跨越信任邊界,因此不額外增加更多的安全措施;
⑤和⑥:主核心網將來自s1接口的數據通過sgi接口(服務網關與外部網際網路之間的通信接口),經s5700交換機發送至安全接入平臺nariusap3000-ag;主核心網、s5700交換機與安全接入平臺nariusap3000-ag部署於同一機櫃內(即屬於同一信任區域內),不跨越信任邊界,因此不額外增加更多的安全措施;
⑦:安全接入平臺nariusap3000-ag將業務數據流終結安全保護後,送往信息內網直至業務主站。
除以上①-⑦電力業務流管道層面安全配置策略以外,在業務層還增加了終端安全加密晶片與安全接入平臺nariusap3000-ag之間的端到端安全認證、加密保護機制,實現了電力業務的安全縱深防禦。
具體測評方法按照如下步驟操作:
1)執行惡意竊取usim卡接入測試,測試在usim卡失竊後,是否可通過4g終端設備接入基站,訪問和嗅探主站上的業務數據。本測試按圖1所示架構進行連接並通信,同時還需要準備usim卡1張,4g無線路由器1臺,支持td-lte電力無線專網1.8ghz和230mhz頻段。測試方法為:在網管上配置基站允許usim卡接入訪問,將usim卡插入到4g無線路由器中,啟動4g無線路由器連接基站,將筆記本連接到4g無線路由器上,在筆記本上訪問主站系統,測試與主站系統的連通性,用埠掃描、安全性測試工具捕獲主站的指紋特徵、服務開啟、業務數據等。
如果終端是安全的,則測試結果為:原cpe終端,可正常接入網絡,註冊燈閃爍,登錄cpe可ping通核心網交換機。嘗試將兩臺cpe的usim卡交換,發現註冊燈長亮,設備無法註冊入網,登錄cep後無法ping通核心網交換機。
2)執行非法複製usim卡接入測試,測試多個擁有相同usim卡的終端能否連入到同一基站中,以及終端之間可否互相訪問。本測試按圖1所示架構進行連接並通信,同時還需要準備usim讀寫卡器1個,可多次寫入的usim空卡2張,4g路由器1臺,支持td-lte電力無線專網1.8ghz和230mhz頻段。
測試方法為:生成多張密鑰值均相同的usim卡,將生成的usim卡插入到多個測試終端中,同時配置基站允許該usim卡終端連入網絡,並連接多個正常終端,使得每個終端的usim與其餘終端的不同。在任一測試終端上,嘗試連接主站和終端,測試其連通性。
如果終端是安全的,則測試結果為:複製的usim卡插入其他cpe終端之後,無法接入核心網。
3)執行採取社工手段通過非法usim卡接入測試,測試無線終端接入公司無線通信網絡後,是否能夠正常通信,無線通道是否設置用戶身份認證。本測試按圖1所示架構進行連接並通信,同時還需要準備usim卡1個。
測試方法為:詢問被測試網絡的接入點ip地址或域名,任取usim卡一張並放置在終端中。在不輸入用戶名和密碼的情況下,將終端的無線接入點設置為被測網絡的接入點,查看是否能夠正常通信。如果能夠正常獲取地址,利用nmap工具探測同c段或b段網絡中是否存在存活的設備。如果成功發現存活設備,查看是否存在開放的服務,並嘗試進行登錄訪問。查看無線接入點是否設置認證用戶名和密碼。
如果終端是安全的,則測試結果為:任取usim卡插入終端後,不做配置無法註冊入網,無法獲取地址。
4)執行非法終端通過合法usim卡及通信模組接入測試,本測試按圖1所示架構進行連接並通信,同時還需要準備usim卡1個。
測試方法為,將終端接入合法通信模組,查看是否能夠正常通信。如果能夠正常獲取地址,利用nmap工具探測同c段或b段網絡中是否存在存活的設備。如果成功發現存活設備,查看是否存在開放的服務,並嘗試進行登錄訪問。
如果終端是安全的,則測試結果為終端提供網口模塊接入,使用筆記本測試終端連接網口後,無法直接自動獲取ip地址,需配置ip才可以與cpe進行通信,但是無法訪問核心網交換機,無法對其b段進行探測。
5)執行非法終端通過合法業務終端接入測試,本測試按圖1所示架構進行連接並通信,同時還需要準備usim卡1個。測試非法終端接入配電終端或集中器後,是否能夠正常通信,能否進一步攻擊業務系統。
測試方法為,將終端接入配電終端或集中器,查看是否能夠正常通信,或是否可採取手段配置配電終端或集中器進而正常通信。如果能夠正常獲取地址,利用nmap工具探測同c段或b段網絡中是否存在存活的設備。如果成功發現存活設備,查看是否存在開放的服務,並嘗試進行登錄訪問。
如果終端是安全的,則測試結果為:將接入集中器的網線接入到筆記本測試終端上,並按照集中器上顯示的ip和mac地址配置筆記本,則筆記本可以與主站進行通信,無法探測其他cpe,但可以掃描主站附近設備。
以上所述僅是本發明的優選實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本發明技術原理的前提下,還可以做出若干改進和變形,這些改進和變形也應視為本發明的保護範圍。