智能電表的安全保障

       摘要：電表和傳(chuan) 感器通常分散在遠離電力公司視線範圍地方，本文討論提高這些智能電網端點安全性的各種技術。既考慮了傳(chuan) 統的物理和邏輯攻擊，也考慮了可能滲入供應鏈的聯合攻擊手段，這些攻擊會(hui) 對電力公司的電表部署構成嚴(yan) 重威脅。防範這些攻擊的安全技術已經在金融支付行業(ye) 得到成功應用，能夠可靠用於(yu) 智能電網保護。

       隨著世界各國競相部署智能化的輸電係統，如何保障這些係統的安全成為(wei) 重要課題。盡管專(zhuan) 門針對智能電網安全保護的標準很少，但電力公司已經開始在係統部署初期大做文章——配備IT係統進行數據收集和分析，采用*的通信技術傳(chuan) 輸數據，利用端點(如智能電表)和電網健康狀況監測係統生成原始數據。雖然安全問題在最近幾年已經成為(wei) 廣泛關(guan) 注的問題，但仍然存在許多工作有待完成，尤其是“端點”保護，例如：電表和電網傳(chuan) 感器的安全保護。本文概要介紹這些端點所麵臨(lin) 的威脅，以及應對這些威脅的安全技術。

       安全威脅

       毫無疑問，智能電網麵臨(lin) 的安全隱患有很多種，但大致可分為(wei) 兩(liang) 大類。第一類為(wei) 個(ge) 體(ti) 攻擊，指攻擊者的目標是智能電網數據，以獲得自身利益——例如：竊取電費，或隱瞞違禁藥物的生產(chan) 等。個(ge) 體(ti) 攻擊的目的並非擾亂(luan) 電網管理，僅(jin) 僅(jin) 是為(wei) 了獲得某一個(ge) 體(ti) 或團體(ti) 的利益。

       第二類攻擊指的是對社會(hui) 構成威脅的活動，包括試圖破壞電網運行的活動。這可能是對電網本身的攻擊(大區域誤報能耗，造成整個(ge) 電網的資金鏈緊張)；也可能是對社會(hui) 的攻擊，造成電網癱瘓，用戶斷電。發生斷電時，生產(chan) 和金融損失將無可估量，特別是在極熱、極冷氣候下，還會(hui) 對人類的生命安全構成威脅。

       薄弱環節

       攻擊者通常會(hui) 縱觀整個(ge) 電網，並設法確定實施攻擊的最佳位置，以便以最少投資和低風險達到預期結果。我們(men) 可以簡單考察一個(ge) “電力中心—端點”的模型，考慮兩(liang) 種情況下的攻擊者如何達到目的。

       個(ge) 體(ti) 威脅：以希望減免電費的人為(wei) 例，攻擊者可能混進電力公司控製室，更改其電表記錄，從(cong) 而達到目的；他也可能攔截數據，截取發送給電力公司的能耗信息；或者直接篡改電表固件，使其降低耗電量的記錄。

       社會(hui) 威脅：以希望破壞絕大多數用戶供電鏈的人為(wei) 例，攻擊者可能混進電力控製室，遠程斷開大量電表，或關(guan) 閉某個(ge) 變電站的供電。攻擊者也可能向通信總線注入指令執行類似動作；或者控製電表，使其直接從(cong) 遠端斷開繼電器；也可能控製傳(chuan) 感器向電力公司反饋錯誤數據，造成電力控製中心的誤判和錯誤操作。

        從(cong) 簡單模型可以看出所存在攻擊通路，整個(ge) 電網的絕大部分環節(電力公司控製室、通信網絡、端點)都可實施上述攻擊行為(wei) 。提高係統的整體(ti) 安全性會(hui) 對三個(ge) 環節提供安全防護，但實際操作時要求我們(men) 識別並定位最薄弱的環節。這也正是攻擊者所采取的措施——找到最容易的入侵點(智能電網的薄弱環節)實施攻擊。

       試想攻擊者可能如何看待當前的三個(ge) 主要環節。成功入侵電力公司控製室能夠大程度地控製電網，但所承受的風險也最高。控製室必定防護嚴(yan) 密，具有良好的訪問權限控製，同時還具有安全認證流程。此外，入侵者在控製室也很難藏身——即使保安人員沒有抓住闖入者，監控攝像頭也會(hui) 記錄下來。當然，內(nei) 部人員能夠*地從(cong) 電力控製中心攻擊整個(ge) 電網，但由於(yu) 電力部門規程嚴(yan) 格限製了個(ge) 人權限，任何個(ge) 人都不可能運行威脅電網運轉的操作，此類操作通常需要多人同時到場實施，從(cong) 而簡單了內(nei) 部人員作案的風險。

       這樣，攻擊者的第二個(ge) 選擇必然是通信鏈路，迄今為(wei) 止，關(guan) 於(yu) 智能電網安全性的多數話題都集中在通信鏈路，大多數係統部署也都采用了嚴(yan) 格的加密技術，以保護智能電網端點與(yu) 電力中心之間數據和命令傳(chuan) 輸。為(wei) 了成功攻擊通信通道，必須獲取安全密匙或認證密匙。而可靠的通信協議都不會(hui) 共用密匙，意味著攻擊者隻能(1)從(cong) 電力公司或端點獲取密匙；或者(2)對通道的加密/認證機製實施暴力攻擊。注意，選項1實際上並非攻擊通道本身，而是攻擊電網的其它部件。暴力攻擊(選項2)也不大可能得到結果。常見的加密算法，例如AES-128，以暴力方式攻擊，計算方麵是不可行的，這意味著超高速計算機需要運行若幹年，甚至幾十年的時間才能獲取密鑰，遠遠長於(yu) 數據本身有效期限。

       於(yu) 是攻擊者將轉向智能電網端點本身：諸如智能電表或電網健康狀況監測傳(chuan) 感器等裝置。此類裝置的吸引力更大，因為(wei) 端點保護措施相對薄弱，大範圍分散在室外，或者安裝在遠距離傳(chuan) 輸線上。我們(men) 可將諸如數據集中器之類的裝置考慮在內(nei) ，因為(wei) 此類設備往往也沒有保護措施。這些薄弱點為(wei) 攻擊者分析和嚐試不同的攻擊方法提供了可乘之機。的確，這些端點帶電，難以觸及(例如在高聳的傳(chuan) 輸線上)，具有潛在危險。但攻擊者*可以利用一些防護措施，避免人員傷(shang) 害。表麵上看，像電表這樣的端點最容易使攻擊者得逞。但對手如何實施攻擊呢？

       攻擊已安裝的電表

       以下討論適用於(yu) 智能電網上具有通信功能的任何端點，但為(wei) 討論方便，我們(men) 以智能電表為(wei) 例。

       對於(yu) 個(ge) 體(ti) 攻擊，攻擊者將窮其所能對電表實施攻擊。其目的可能是更改電流檢測裝置，使其檢測耗電量更少；或者對電表軟件實施逆向工程，使其報告的耗電數更少。

       社會(hui) 攻擊可能以類似方式入手：攻擊者研究電表，試圖了解其工作原理。其目的是希望析取密匙、對軟件協議實施逆向工程，以及重新設置電表。一旦得手，攻擊者可對大量電表重新配置，降低其實報耗電量，或在規定日期和時間同時斷開。

       麵對此類威脅，如何保障智能電網端點的安全呢？市場上可供使用的嵌入式安全技術(例如，廣泛用於(yu) 金融交易和政府機構的安全處理器)，能夠很好地抵禦個(ge) 體(ti) 電表的攻擊。這類安全技術集成了物理攻擊(強行控製)偵(zhen) 測或嵌入式係統、邏輯攻擊(分析嵌入式係統存儲(chu) 器、應用程序或協議)偵(zhen) 測的方法。

       具有物理攻擊檢測機製的嵌入式係統能夠檢測係統隱患。這些產(chan) 品采用物理傳(chuan) 感器，例如，檢測器件外殼被打開的開關(guan) 、運動傳(chuan) 感器及環境傳(chuan) 感器等。一旦偵(zhen) 測到攻擊操作，電表可采取相應措施，例如：嚐試聯係電力中心，甚至刪除安全密匙(刪除密匙要比泄露給攻擊者更好)。

       有些邏輯偵(zhen) 測技術也可用於(yu) 抵禦電表的攻擊，對安全存儲(chu) 器加鎖或加密，使攻擊者難以讀取軟件或對其實施逆向工程。安全裝載器在生產(chan) 過程中鎖定器件，確保攻擊者不能在電表上裝載未經授權的軟件。

       安全部署電表也可以在一定程度上防範社會(hui) 攻擊。電表采用的密匙，攻擊者即使獲得一個(ge) 電表的密匙，也不會(hui) 影響其它電表的安全。如果竊取單個(ge) 密匙非常困難(采用上述物理和邏輯保護措施)，就增加了社會(hui) 威脅攻擊大量安裝電表的難度。

       攻擊供應鏈

       一些現有的嵌入式安全技術可以降低電表及智能電網遭受社會(hui) 攻擊的風險。然而，我們(men) 必須考慮除此之外的攻擊手段，並確保設備在整個(ge) 使用期限內(nei) 的安全。

       無論外包，還是內(nei) 部製造，生產(chan) 環節非常容易發生剽竊(即使現場製造!)，也是最容易竊取知識產(chan) 權的環節。這種環境下，開發IP可能被偷竊用於(yu) 逆向工程分析，甚至在產(chan) 品中安裝新的危險IP。

       一些頑固的攻擊者可對電表軟件實施逆向工程，然後安裝病毒，在設定日期和時間遠程斷開、關(guan) 閉電表通信、擦除內(nei) 部存儲(chu) 器。攻擊者可在製造過程中更換IP。後果將是災難性的——導致一次部署的數百萬(wan) 支電表在規定時間全部斷電。需要數周或數月的時間維修或更換電表，費用龐大。

       嵌入式安全產(chan) 品可利用安全引導裝載程序、安全存儲(chu) 器及使用期限管理等功能降低風險。安全引導裝載程序可以裝載加密電表軟件，電表設計者或軟件設計者將加密程序發送到生產(chan) 線，係統微控製器中的安全引導裝載程序可解密和儲(chu) 存應用程序。安全存儲(chu) 器(內(nei) 部或外部)也可儲(chu) 存加密應用程序代碼，使應用程序內(nei) 容既不可讀，也不可逆向工程或複製。使用期限管理功能可用於(yu) 驗證實際供應鏈。矽製造商可鎖定器件，隻允許某個(ge) 客戶解鎖和安裝代碼；電表OEM可鎖定其電表，隻有電力公司解鎖和安裝。隨著供應鏈安全措施的增多，通過電表實現社會(hui) 攻擊的機會(hui) 得到抑製。

       解決(jue) 方案？

       很難找到十全十美的智能電網安全方案，因為(wei) 這種方案需要耗費的時間和費用也是無限的。但是，利用已普遍用於(yu) 金融交易和政府機構的安全技術，能夠為(wei) 智能電網的嵌入式端點提供更高水平的物理和邏輯防護。

       這裏所介紹的攻擊及應對措施並不僅(jin) 限於(yu) 智能電網的安全漏洞，在考慮智能電網所麵臨(lin) 的威脅時，需要密切關(guan) 注電表這樣的嵌入式端點。一旦電表及其它端點得到多層安全防護，攻擊者將不得不另尋出路。