摘要散布于电力系统各处的配用电终端及输电系统在线监测物联网终端多采用2G的通信无线分组业务(GPRS),通过电信服务商的无线虚拟专网通信,存在接入非法无线通信链路的安全风险。尽管3G和4G支持双向身份认证,可避免接入非法无线通信链路,但在物联网终端向下兼容特性影响下,相关风险在支持GPRS的通信物联网终端退出运行前将始终存在。针对电力物联网终端可能接入非法无线通信链路的问题,利用电力物联网终端和通信基站均为固定位置部署、物联网终端感知的合法通信基站信号强度具有相同变化趋势的特点,将真、伪通信基站在信号强度变化模式上的差异性特征用作无线通信基站的特征指纹,提出基于基站信号强度历史曲线密度聚类的非法无线通信链路检测方法。数值仿真表明所提方法可在有限计算资源和通信资源的约束下、在设置的时间窗内有效甄别非法无线通信链路,提高电力物联网终端的安全防护水平。
关键词:非法无线通信链路;信号强度;聚类分析;无线虚拟专网
0引言
建立泛在电力物联网,在海量数据的支撑下实现物理、商业和信息的互联与互动,是适应高比例可再生能源接入和电力市场化改革需要、推动能源转型的重要基础[1]。电力系统中广泛部署的物联网终端可有效促进电网生产运行全过程的全景感知、信息融合及智能管理与决策,但也带来了突出的网络安全风险[2]。
电力系统中得到广泛应用的配用电终端和输电系统在线状态监测终端数量庞大、分布广泛,为保障终端可靠接入,一般采用由电信服务商提供的覆盖广阔区域的移动无线网络通信,在无线通信和公用网络通信环节安全风险突出[3-4]。为防范相关风险,配用电终端一般采用嵌入式安全控制模块(EmbeddedSecureAccessModule,ESAM)安全芯片对上报数据和接收的指令进行对称加/解密,经无线通信基站接入后,再利用电信服务商提供的虚拟专网与业务系统后台(配电子站/主站及计量主站)进行双向通信[5-6]。电力物联网终端普遍采用的通信无线分组业务(GeneralPacketRadioService,GPRS)技术仅支持对通信终端的单向认证,可能接入伪基站并建立非法无线通信链路、遭中间人等方式攻击破坏,甚至如文献[7]所述被注入恶意代码。当大量配用电物联网终端遭恶意控制时,敌对组织攻击破坏可能使负荷剧烈变化,造成电网运行状态的大幅波动,威胁电网安全并造成大量用户停电[8-9]。
在物联网终端安全通信领域,目前国内外主要发展了5G和Lora等通信协议。由于要保障分布在辽阔地域上的配用电终端可靠接入,目前采用的主要还是由电信服务商提供的2G/3G/4G通信服务[10-11],未来将逐渐过渡到5G通信。一般认为只要2G通信退网或采用支持双向身份认证的3G/4G通信,即可釜底抽薪、杜绝配用电终端接入非法无线链接的风险。实际上,由于配用电终端按向下兼容设计,往往同时支持2G/3G/4G通信,攻击方只要干扰屏蔽3G/4G通信,仍可迫使物联网终端退回2G通信后遂行攻击。即便2G退网也不足以避免配用电终端接入伪基站,只有终端不再支持2G通信,才能消除接入伪基站的风险。而最新的研究表明,4G通信也同样存在潜在的安全风险[12]。因此,有必要研究适合电力物联网终端的非法无线通信链路识别方法。
本文借鉴体感物联网领域基于人体姿势调整导致终端信号强度周期性变化的规律来实现物联网终端身份认证的方法,利用配用电终端感受到周边合法无线基站的信号强度具有相近变化规律而伪基站信号具有突变性的差异性特征,提出将真、伪通信基站在时间窗内信号强度时间序列用作无线通信基站的特征指纹,通过基于基站信号强度历史曲线密度聚类实现非法无线通信链路检测。
1物联网终端通信认证机制与攻击检测
1.1配用电物联网终端网络通信
除具有遥控功能的配电终端和变电站计量终端采用专用光纤通信外,绝大多数配用电物联网终端都采用电信服务商提供的无线虚拟专网通信,其架构示意如图1所示。由图可见,系统分为无线接入网、数据传输网和电力核心网三层,各层功能如下[5-6]:
(1)无线接入网经2G/3G/4G无线传输模式实现电力终端与运营商网络之间的通信,加密传输上报数据与下发指令。因GPRS通信缺乏双向身份认证,存在接入伪基站非法无线链接的安全风险。
(2)数据传输网实现电信运营商与电力系统接入终端之间的电力业务数据通信传输,采用虚拟专用网络(VirtualPrivateNetwork,VPN)技术保障数据传输网通信安全。电力行业采用第二层隧道协议(Layer2TunnelingProtocol,L2TP)构建虚拟专网,并在L2TP之上采用通道加密、端对端数据加密或应用层数据加密等方案来提高数据安全性[4,6]。
(3)电力核心网为供电企业内部网,实现接入终端与后台服务器的数据传输。利用防火墙进行网络隔离,并部署入侵检测系统提高防护水平。
配用电物联网终端采用ESAM加密上报数据,经无线虚拟专网上报至主站侧;主站侧根据终端编码查询对应密钥解密后存入数据库。主站下发控制指令时,由加密机按终端编码对应密钥加密,下发至配用电终端后再解密执行[13]。
1.2配用电物联网终端的通信认证机制
配用电物联网终端联网通信时,会根据无线基站通信质量(信噪比等)不定期选择接入的基站。终端附着过程中,首先向基站发送附着请求,收到鉴定回应后发送终端身份标识码和国际设备识别码,在基站侧进行鉴权认证和位置更新等,完成终端附着过程后,激活分组数据协议上下文,实现终端与基站间的数据传输[10]。
通用无线分组业务GPRS通信模式仅具备无线基站对终端的单向鉴权,配用电物联网终端可能接入伪基站并遭恶意攻击。利用伪基站进行攻击破坏时,首先可侦测目标小区载波信息;然后采用较高的发射功率在目标小区特定频段范围发射与运营商相同设置的系统广播信息,迫使终端小区重选接入伪基站[10]。
针对无线通信物联网终端的非法无线通信链路检测问题,国内外学者从无线通信基站位置合规性检测和物联网终端身份认证等角度开展了大量研究。文献[14]利用无线通信基站的位置区码(LocationAreaCode,LAC)可标识其地理位置的特点,提出根据位置区码确定基站经纬度信息后估算终端与基站间距离的方式来识别距离明显大于合理数值的伪基站,但智能化的伪基站复制邻近合法基站位置区码时,相关方法将失效。由于设备元件参数的离散分布可造成频谱特征的微小差异,在物联网通信安全领域目前主要收集终端开/关过程瞬态特征或调制信号差异等隐性特征作为设备指纹,来识别终端身份[15-16]。文献[16]利用无线网卡在制造工艺和元件参数上的细微差异,抽取无线网络帧在调制域的相关特征生成设备指纹,借助机器学习算法实现了对设备身份的识别。文献[17]针对超高频传感设备,将无线电信号开/关的振幅和相位变化值、载波信号峰值数、瞬态功率的标准化均值和最大值之间的差值以及离散小波变换系数等瞬态特征用作设备指纹,识别设备身份。文献[18]从GSM-GMSK(globalsystemformobile-Gaussianminimumshiftkeying)突发信号中提取射频指纹,利用最大似然估计和多重判别分析法认证GSM终端设备。
需要指出的是,物联网终端计算资源有限,前述基于瞬态信号的设备指纹来认证身份对终端性能有严苛要求[16],暂不适用于配用电物联网终端。在体感物联网领域,同样存在终端身份认证问题。文献[19]根据人行走时在体感传感器上记录的振动和加速度信号,通过辨识用户步态来隐式地认证用户身份。文献[20]利用体感物联网终端感知到的信号强度随人体姿态变化呈规律性变化的特点,提出将体感终端间感知信号强度的变化规律作为身份指纹,实现计算资源有限物联网终端的身份认证。该类方法采用秒级的稳态信号进行身份识别,已在体感物联网终端中得到实际应用。借鉴相关思路,深入挖掘配用电物联网终端的运行特性,同样有可能为其在接入无线基站时进行身份认证提供技术方法。
2真/伪通信基站行为模式差异性分析
与手机等移动终端相比,配用电物联网终端的突出特点是安装位置固定。因无线通信基站信号覆盖范围有限,且同为固定位置安装,配用电物联网终端一般只能如图2接收周边几个无线基站的网络信号,并选择接入其中信噪比最高的基站。终端接收到的信号强度主要和通信基站的距离、房屋遮挡及天气等环境因素有关[21]。因配用电终端与无线基站间距离及房屋遮挡等因素固定,其收到周边基站的信号强度主要受天气条件影响。由图3中配用电终端在一天内接收到基站信号强度变化趋势可见,各基站无线信号强度随距离远近各有不同;在大雾天气影响下,各基站信号强度从凌晨3:00点起有明显衰减,至早晨8:00大雾消散后逐渐恢复正常,之后在正常区间小幅波动。在此,真实基站的信号强度变化具有相近的趋势性特征。
为逃避电信服务商的追踪和打击,伪基站往往流窜作案,其信号强度变化方式与真实基站存在明显差异。伪基站开机时,信号强度从0跃迁至明显高于真实基站的水平,以强迫周边无线通信终端脱离真实基站转而接入伪基站。由图3可见,真实基站信号强度在气象因素影响下呈相近波动趋势,而伪基站信号强度则具有明显的跳变,两种时间序列的曲线形态存在显著差异。有可能借鉴体感物联网终端的方式,将信号强度历史曲线用作设备指纹,标识终端身份。由于同类型用户的负荷曲线具有相近的曲线形态,智能用电领域常根据用户负荷曲线进行聚类分析,来识别用户类型并提取用电模式特征[22]或进行不同用户群体的负荷预测[23]。参照这一做法,可将过去24h时间窗的各基站无线信号强度历史数据进行聚类分析,识别出无线信号强度曲线有显著差异的伪基站,避免接入非法无线链接。
3基于密度聚类的非法通信链路检测
聚类分析是将样本集合分组成为由类似的样本组成的多个类簇的分析过程。作为一种无监督的模式识别方法,聚类方法需要在没有标记数据指导下对数据集进行分组,使得同一类内的相似性尽可能大,而不同类之间的差异性尽可能大[24]。在无监督条件下如何确定聚类数量,是聚类算法的核心问题。作为一种经典的密度聚类算法(DensityBasedSpatialClusteringofApplicationswithNoise,DBSCAN)可在有噪声的状态空间中根据样本分布密度划分任意形状类簇,并可根据邻域半径和邻域内样本数自动确定聚类数量,能有效解决人为设定聚类数量的难题[25-26]。DBSCAN聚类示意图如图4所示。
DBSCAN算法通过搜寻样本空间中特定对象在邻域半径内的相邻对象,当其邻域半径内样本数大于等于邻域最小样本数时,将这些对象形成一个类簇。以下结合图4说明算法基本概念:
(1)邻域半径R:算法中给定数据集特定对象搜寻其相邻对象的扫描邻域半径。
(2)邻域内最小样本数Min:特定对象及其邻域内对象构成类簇最少包含样本数,图4中设置为4。
(3)核心样本p:样本p周围邻域半径内存在不少于Min个相邻样本;如图4中的样本a、b、c。
(4)边界样本:边界样本是不满足核心样本条件、但处于其他核心样本邻域半径内的样本,边界样本半径邻域内的样本数达不到最小样本数。
(5)噪声样本:数据集中不属于各聚类类簇的样本。
(6)密度可达:核心点a邻域半径内的点与a为直接密度可达;核心点a邻域半径内多点间为密度可达。
(7)密度相连:数据集中样本a、b与样本f均为密度可达,但a和b密度不可达,则称a、b密度相连。
密度聚类算法流程如图5所示。首先确定聚类半径和邻域内最少样本数Min;然后计算所有样本间欧氏距离;再逐个扫描样本点,将邻域内大于Min的样本设为核心点,处于核心点邻域内的设为边界点,剩下未进行归类的为噪声点;最后将密度可达和密度相连的样本归为一类即可完成聚类。
4测试仿真
利用DBSCAN算法进行无线基站信号强度变化曲线聚类分析,需考虑邻域半径R、邻域内样本数Min和无线信号时间窗长度[26]三个参数设置。
(1)因电信服务商会定位和打击伪基站,伪基站一般流窜作案,本文设置一天24h的无线信号强度监测时间窗,保证配用电终端在24h内有效识别伪基站,为电信服务商定和清除伪基站留出必要的时间。
(2)邻域内最小样本数Min主要受状态空间中样本总数影响。人口密集地区,每隔300~500m部署无线通信基站,单个配用电终端周边可感知的无线基站数量在6~20个之间。考虑到农村及野外通信基站分布稀疏,本文设置Min为2。按此设置,识别聚类样本点仅有核心点和噪声点两类,一个核心点邻域内只可有1个样本点,也可看成除噪声点外均为核心点。
(3)邻域半径R用于标识真实无线通信基站。在接收到信号的所有无线基站经检测为真实基站时,可计算所有基站信号强度在时间窗内相互之间的欧氏距离,并根据其确定邻域半径。本文将其设置为所有基站间欧氏距离均值的1.5倍,因时间窗内合法基站信号强度变化趋势相近,对应的欧氏距离较小,可聚为一类,而伪基站时间窗内信号强度曲线形态明显不同,在状态空间中远离合法基站,将被单独聚为一类。
强信号固定真、伪基站信号强度曲线如图6所示。以下结合图6所示持续48h无线基站信号强度变化曲线,说明伪基站甄别过程。通信终端小区重选过程中,若相邻基站无线信道质量参数优于当前停留小区且维持时间在5s以上,则终端进行小区重选。为避免频繁切换接入的基站,小区重选的死区时间间隔在20~620s间随机取值。为方便说明,以下按配用电终端每隔15min进行小区重选设置仿真条件。为规避离终端距离不等带来的基站信号强度差异的影响,按式(1)对基站信号强度做归一化处理。
4.1固定式伪基站的接入识别分析
出现固定式伪基站时,配用电终端感知的基站信号变化曲线如图6所示。终端在伪基站出现的23:30进行小区重选、切换接入信号强度最强、信噪比最高的无线基站,此时需检测待接入无线通信链路合法性。
根据小区重选前信号强度数据,计算各基站24h时间窗信号强度变化曲线之间的欧氏距离,并将其列于表1。由表可见,真实基站信号强度具有相同变化趋势,相互间欧氏距离多在1.0左右;伪基站信号强度有突变,与真实基站有明显差异,在状态空间中远离真实基站,与其他基站的平均欧氏距离为7.889。受伪基站欧氏距离拉升影响,所有基站间的平均欧氏距离在2.0左右。可将所有基站间平均欧氏距离2.916的1.5倍(4.373)设置为邻域半径,表1中各合法基站相互间欧氏距离小于邻域半径被归为一类,而伪基站的欧氏距离大于阈值,被单独归为一类,配用电终端拒绝接入。
因信号强度始终高于正常基站,伪基站出现后将迫使配用电终端持续重选小区,后续时刻可采用前述方法,以此前设置的邻域半径为基准,逐时间点滚动地识别伪基站。由于很难以表格形式列出每个时刻的各基站间欧氏距离,考虑到合法基站信号波动趋势相近、相互间欧氏距离较小而伪基站的欧氏距离明显更大,为完整呈现真、伪基站信号强度平均欧氏距离的时序变化特征,计算后续时刻24h时间窗各基站间欧氏距离后,将各自平均欧氏距离绘制强信号固定式伪基站聚类结果分析如图7所示,并将邻域半径作为伪基站判断阈值一并绘制如图。
由图7可见:
(1)因信号强度变化趋势相近,时间窗内各真实基站信号强度曲线的平均欧氏距离始终聚合在很小的区间内。伪基站信号强度曲线的平均欧氏距离在后续时刻始终明显高于真实基站及邻域半径对应的判断阈值。伪基站出现24h后,真、伪基站信号强度曲线欧氏距离的差异因移出24h时间窗消失,所提方法可在时间窗内有效甄别真、伪基站。
(2)伪基站平均欧氏距离曲线在8:00~9:00间有跳变,对应图6可见,该时段雨雾消散、真实基站信号强度恢复正常,并通过24h时间窗反映在真实基站的平均欧氏距离曲线和伪基站检测过程中。
(3)伪基站平均欧氏距离曲线在4:00左右有可见拐点,应为雨雾天气开始导致真实基站信号强度下降所致。
为检验伪基站出现时信号强度跳变幅度对检测效果的影响,以下设置伪基站出现时信号强度由图6的-38dBm改变为略高于1号基站的-43dBm,对应信号强度变化曲线绘制如图8所示。伪基站出现时刻,采用前文所述方法计算得到24h时间窗内各基站间信号强度欧氏距离见表2,其中真实基站间欧氏距离与表1相同。受信号强度跳变影响,24h时间窗内伪基站信号强度曲线远离真实基站,计算得到的距离所有真实基站的平均欧氏距离为7.578。由于信号强度跳变幅度略小,对应的平均欧氏距离也略小于表1中的7.889,根据表2将阈值设置为所有基站平均欧氏距离2.826的1.5倍(4.239),也足以区分真伪基站,在突变时刻识别伪基站。在随后的24h内,伪基站平均欧氏距离变化曲线和图7基本相似,根据阈值仍能有效识别伪基站。
4.2移动伪基站的接入识别分析
车载移动伪基站经过时,配用电物联网终端检测到的基站信号强度曲线如图9所示。移动伪基站出现于23:15,并在0:30移动到接近配用电终端的位置,此时检测到伪基站信号强度达到顶峰,之后再随距离增大而逐渐消减。按4.1节方法计算随时间变化的真、伪基站平均欧氏距离并将其列于表3。
在0:30时刻,合法基站与其他基站的平均欧氏距离均在2.0左右,将所有基站间平均欧氏距离2.872的1.5倍(4.308)作为当前及以后时刻重选无线基站时识别伪基站的判据。0:30时刻,伪基站与其他基站平均欧氏距离为7.742,大于判据,将不会接入非法无线通信链路。此后,检测到的伪基站信号强度持续下降,不会再重选接入该非法无线通信链接。
4.3正常基站检修移动伪基站的接入识别分析
为检测引入所提方法后是否影响基站间正常切换,以下结合正常基站检修场景分析物联网终端接入过程。图10中1号基站于上午10:00点退出运行进行检修,持续到下午14:00点恢复运行,在此期间无1号基站信号,以-180dBm标识。1号基站退出时检测到各基站信号强度24h时间窗内欧氏距离列于表4。此时1号基站欧氏距离提高到略高于其他基站水平,所有基站的平均欧氏距离为1.013,取其1.5倍(1.519)为检测阈值。其他基站的平均欧氏距离均明显小于设定阈值,所以物联网终端可接入此时信号最强的2号基站。14:00点1号基站恢复后,将需要等待过去24h时间窗后,物联网终端才可接入。综上可见,增设的基站安全性检测不影响真实无线通信基站之间的正常切换。
5结论
针对配用电物联网终端可能经伪基站接入伪基站的问题,提出了基于无线通信基站信号强度历史曲线密度聚类的非法无线通信链路识别方法,以识别信号强度历史曲线具有显著差异的伪基站。为达成以上目标,主要开展了以下研究:
1)分析指出由于配用电终端一般基于向下兼容原则设计,往往同时支持2G/3G/4G通信。除非配用电终端不再支持2G通信,否则即使2G退网,配用电终端仍将存在接入非法无线链接的风险。
2)利用无线通信基站位置固定、配用电终端感知的多个合法基站的信号强度具有相同的变化趋势和曲线形态,而伪基站信号强度有突变的显著差异性特点,将无线基站24h信号强度时间序列用作标识终端身份的特征指纹,提出了基于特征指纹密度聚类的伪基站检测方法,可通过邻域半径的设置使得信号强度曲线形态相近的合法无线基站聚为一类,从而识别出在时间窗内信号强度突变、欧氏距离大于邻域半径的伪基站。
3)应用所提方法进行了固定式伪基站和移动式伪基站的检测仿真测试,仿真表明所提方法可有效识别强信号较强和较弱的伪基站;在合法基站停运检修过程中,也不会干扰配用电终端重选接入其他基站;合法基站完成检修恢复运行后经过24h,配用电终端也将可恢复接入。
4)所提方法可在计算资源有限的配用电终端中以软件模块形式实现,避免电力物联网终端接入非法无线链路,提高配用电系统安全性。
需要指出的是,本文所提方法以非法无线基站在无线通信主管部门的监管下、不能长时间进行欺骗破坏为前提,当非法无线基站在同一位置存续时间超过所设时间窗长度时所提方法将会失效。