智能電網(wǎng)供應鏈潛在的危險及防御措施

政府與電力部門(mén)，甚至消費者都越來(lái)越關(guān)注智能電網(wǎng)的安全性。繼空氣、水、食品與住宅之后，電力已經(jīng)成為人類(lèi)最基本的生活必需品之一。毫無(wú)疑問(wèn)，可靠的電力供應是現代社會(huì )生活的保障，也是促進(jìn)新興國家發(fā)展的重要因素。

在關(guān)于智能電網(wǎng)安全性的討論，大部分內容都傾向于網(wǎng)絡(luò )安全，以及在此環(huán)境下嵌入式設備以安全認證方式接入網(wǎng)絡(luò )，并通過(guò)網(wǎng)絡(luò )處理數據。盡管這是智能電網(wǎng)環(huán)境下保證供電安全的關(guān)鍵步驟，但這種方法過(guò)于狹隘，忽略了智能電網(wǎng)在有效運行期限內來(lái)自智能電網(wǎng)設備供應鏈的威脅。

本文探討智能電網(wǎng)供應鏈存在的潛在風(fēng)險以及對智能電網(wǎng)構成的威脅。必須重視并防范這些威脅，才能保證電網(wǎng)運行的安全。最后，我們評估用于防止這些威脅的技術(shù)。

電網(wǎng)的潛在風(fēng)險?

為什么有人會(huì )試圖攻擊智能電網(wǎng)?答案不盡相同。

最簡(jiǎn)單的情況，可能是攻擊者想節省其電費賬單。攻擊者通過(guò)更改其智能電表來(lái)保護個(gè)人利益。有些情況下，可能是有組織犯罪活動(dòng)，以隱藏其真實(shí)的耗電數據，比如毒品實(shí)驗室試圖掩蓋其耗電量。除此之外，還存在更高意識形態(tài)的電網(wǎng)攻擊者。

眾所周知，許多國家必須應對恐怖襲擊的威脅，每時(shí)每刻都要加以防范。炸彈或飛機襲擊等武力威脅固然可怕，而針對供電網(wǎng)絡(luò )的攻擊行為則會(huì )擾亂大量人群生活質(zhì)量。一旦攻擊者控制幾百萬(wàn)只電表，則會(huì )破壞大批人群的供電，發(fā)起實(shí)質(zhì)性的公共攻擊。

智能電表有效運行期限內所面臨的物理威脅

圖1所示為智能電表生命周期不同階段的概念圖。為簡(jiǎn)單起見(jiàn)，該模型僅限于四個(gè)步驟：芯片采購、智能電表生產(chǎn)、智能電表部署，以及運轉模式下的智能電表。我們利用這一簡(jiǎn)單模型進(jìn)行潛在風(fēng)險分析。對于每一階段(包括各個(gè)階段之間的過(guò)渡或運輸)，我們都需要考察：攻擊者會(huì )采取什么方式來(lái)控制智能電表網(wǎng)絡(luò )?

智能電表生命周期所面臨的潛在風(fēng)險模型。如圖所示，只有通信加密并不能提供有效保護。

利用假冒IC代替合法IC

對于攻擊者來(lái)說(shuō)，芯片制造商和設備制造商之間的運輸環(huán)節是入侵智能電表供應鏈的最佳時(shí)機。對于攻擊者而言，微控制器是塊“肥肉”。在一般的供應鏈模型中，芯片制造商將基于閃存的微控制器運輸到生產(chǎn)場(chǎng)所，無(wú)論是簽約制造商(CM)還是最終用戶(hù)。在生產(chǎn)場(chǎng)所，將智能電表固件裝載至微控制器。在完成電表生產(chǎn)及裝箱之前，要進(jìn)行一些系統級配置。這是正常的流程。

現在，假設技術(shù)高超的攻擊者設計一款看起來(lái)和用起來(lái)都非常像正品電表SoC的微控制器，就可能出現諸多情況。IC可能被更改，允許網(wǎng)絡(luò )恐怖分子通過(guò)網(wǎng)絡(luò )遠程控制電表;或者，假冒SoC可能根據任何請求轉存其存儲器內容，從而泄露制造期間裝載的通信密鑰;再或者，假冒SoC可能允許任何人查看其軟件，從而威脅到正規電表廠(chǎng)商的IP。

有些技術(shù)不太高超的攻擊者，“假冒IC”需要進(jìn)行制造，想象一下運輸至CM的真實(shí)閃存微控制器。攻擊者攔截運輸過(guò)程并在閃存中裝載一段程序，該程序看起來(lái)非常像系統內置的標準引導裝載程序。IC到達CM時(shí)，可能很難檢測到這種詭計(即假冒引導裝載程序)。然后CM下載標準固件，但“不安全”的引導裝載程序已經(jīng)在電表中駐留病毒。隨后，該病毒會(huì )造成電表功能不正常，并與攻擊者共享安全密鑰。

如果沒(méi)有正確的保護措施，利用IC運輸進(jìn)行假冒或篡改的攻擊者就能夠控制智能電表的整個(gè)生命周期，在智能電網(wǎng)上隨意引發(fā)不可想象的災難。

生產(chǎn)過(guò)程中裝載惡意軟件

制造車(chē)間同樣存在風(fēng)險，比如，來(lái)自負責生產(chǎn)的員工隊伍。一般情況下，這些工人的收入遠低于工程團隊或管理者。經(jīng)濟不景氣時(shí)，100美元的賄賂獲取就能收買(mǎi)生產(chǎn)線(xiàn)的工人，在智能電表中裝載特殊固件。即使比較富裕的國家，如果100美元達不到目的，他們或許支付更高的費用，1,000或10,000美元?

如果攻擊者可接觸到生產(chǎn)流程，就能夠竊取裝載到智能電表的二進(jìn)制碼鏡像。竊取鏡像并更改固件，造成意想不到的后果，這一點(diǎn)并不困難。例如，攻擊者更改中斷向量，在嚴格定義的情況下引發(fā)破壞行為。中斷向量可被編程為監測實(shí)時(shí)時(shí)鐘，在夏天的某個(gè)特定時(shí)間斷開(kāi)電表的斷路繼電器，使處理器停頓，導致電表脫離網(wǎng)絡(luò )。在這樣的攻擊下，可能有數百萬(wàn)只電表遭到破壞，停止向居民供電。如果供電公司被迫手動(dòng)更換智能電表，經(jīng)濟損失將不可估量?？紤]到炎熱夏季斷電造成的后果，將會(huì )大幅提高人們的生活成本。

偷竊軟件仿制電表

為了從中獲取非法利益，在正常的生產(chǎn)流程中，產(chǎn)線(xiàn)工人可輕而易舉地接觸到裝載到智能電表的二進(jìn)制鏡像。通過(guò)賄賂，攻擊者即可接觸到原始PCB，從而進(jìn)行逆向工程。如果攻擊者得到完整的BOM，帶有可識別的IC部件號，以及智能電表工作所需的軟件，就擁有了仿制電表所需的一切。攻擊者不需要任何研發(fā)成本也可銷(xiāo)售電表。

一旦攻擊者能夠仿制電表，如上所述，就存在更改電表軟件的風(fēng)險。

利用假冒電表代替合法電表

與芯片相比，電表外殼和標識的仿制要容易得多。這種情況下，攻擊者制造看起來(lái)酷似合法電表的產(chǎn)品，但固件包含隱藏的攻擊代碼。對電表進(jìn)行校準，使其報告錯誤的用電量。如果電表允許攻擊者控制其切斷或控制發(fā)送至電力公司的數據，這可能是災難性的。對單只電表的攻擊帶來(lái)的是麻煩，還算不上災難;而針對大量電表的攻擊行為將會(huì )帶來(lái)不可估量的損失。想象一下，六百萬(wàn)只電表報告的用電量都不正確會(huì )是什么情形。供電公司將根據錯誤的數據做出決策，妨礙其響應用電需求變化以及正確發(fā)電的能力，不可避免地發(fā)生大范圍電網(wǎng)不穩定，造成巨大的生產(chǎn)力損失。

通過(guò)內部訪(fǎng)問(wèn)重新校準電表

合法電表安裝到現場(chǎng)后，遭受攻擊的風(fēng)險并未結束。假設攻擊者是電表制造商內部人士，了解如何與電表進(jìn)行通信，開(kāi)發(fā)出更改電表校準數據的IR裝置。這樣的裝置很容易制造，能夠更改任何電表減少實(shí)報用電量數據。盡管這一行為不會(huì )造成大面積電網(wǎng)故障，但會(huì )給電力公司帶來(lái)嚴重的經(jīng)濟損失。

這里所述的攻擊并不是推理，而是真實(shí)發(fā)生的故事。

監測和攔截通信環(huán)節

這是智能社區普遍擔心的一種攻擊行為。根本問(wèn)題在于攻擊者可能綁架智能電網(wǎng)周?chē)耐ㄐ啪W(wǎng)絡(luò )，通過(guò)模擬命令，斷開(kāi)其斷路繼電器，從而中斷供電;也可能假冒電表通信，報告錯誤的用電數據。然后供電公司可能利用這種有缺陷的智能電表顯示數據制定決策，比如對所需發(fā)電量或電壓/無(wú)功功率優(yōu)化。如果數據和命令未進(jìn)行正確加密(隱藏)和安全認證(驗證)，就為攻擊者提供了干擾甚至控制智能電網(wǎng)的途徑。

物理攻擊電表，更改代碼、竊取密鑰

電表在完成部署之后，到底有多安全?電表的物理安全是關(guān)鍵考慮。嵌入式智能電網(wǎng)端點(diǎn)設備(例如智能電表、電網(wǎng)傳感器、分布式自動(dòng)控制點(diǎn))必然是分布式的，并且沒(méi)有任何物理保護措施。所以，智能電網(wǎng)的端點(diǎn)非常脆弱，容易被偷盜、帶回實(shí)驗室，在攻擊者閑暇時(shí)進(jìn)行檢查分析。

這種情況下，攻擊者對電表微控制器的引腳進(jìn)行編程，裝載新固件，使其報告錯誤的用電數據。有的攻擊者采用物理方式訪(fǎng)問(wèn)電表，然后控制電表微控制器的內存，最終獲得安全通信密鑰。在這些危險情形下，攻擊者可破譯智能電表的網(wǎng)絡(luò )通信，發(fā)起大范圍的破壞性事件。

生命周期內的網(wǎng)絡(luò )安全

我們以上已經(jīng)討論了智能電表生命周期受到的物理威脅，接下來(lái)討論電網(wǎng)通信環(huán)節的風(fēng)險。

智能電網(wǎng)行業(yè)一向致力于確保智能電網(wǎng)通信(即數據和命令)的安全性和可靠性?，F代化智能電網(wǎng)標準要求采用AES加密，或橢圓曲線(xiàn)加密。即使對于未來(lái)幾十年的計算能力，這些算法的復雜度也可有效保護數據。

那么這種情況下的主要威脅來(lái)自哪里?智能電網(wǎng)中的命令和數據都具有加密保護，采用強大處理設備都不足以破解的加密算法，果真如此的話(huà)，我們可能已經(jīng)不需要繼續從事這個(gè)行業(yè)或干脆退休了!現在擔心的事情不是數據和命令的加密保護，而是潛在的薄弱環(huán)節，攻擊者容易突破的是關(guān)鍵信息的保護，加密密鑰。

攻擊者將不擇手段獲得關(guān)鍵信息(密鑰)，選擇風(fēng)險/成本最低的途徑。窺探通信流量和強力破解可能需要數十年的時(shí)間，成本非常高。但如果潛入國外簽約制造廠(chǎng)，在生產(chǎn)期間攔截裝載的密鑰，成本又如何呢?這種行為的成本和風(fēng)險較低嗎?

回顧以上討論的每種威脅情形，攻擊者都是充分利用每種情形，不擇手段得到密鑰;這必定會(huì )攻破智能電表網(wǎng)絡(luò )的嚴謹設計和部署：

利用假冒IC代替合法IC

這種情況下，攻擊者對假冒或攔截得到的IC進(jìn)行編程，與其它攻擊者共享存儲器內容。由于可將假冒(或攔截)IC編程為共享數據，所以很容易威脅到生產(chǎn)期間裝載的密鑰。

生產(chǎn)期間裝載惡意軟件

如果在生產(chǎn)期間配置密鑰，那么就可能利用社會(huì )渠道(例如，行賄或其它好處)說(shuō)服生產(chǎn)線(xiàn)工人共享裝載的密鑰。

偷竊軟件仿制電表

如果攻擊者能夠重構智能電表裝載的軟件，就可能使軟件共享而不是保護密鑰。

利用假冒電表代替合法電表

假冒電表可能與任何不法人員共享密鑰。如果假冒電表留有后門(mén)，就可能威脅到正品電表在生產(chǎn)過(guò)程中裝載密鑰的安全。

通過(guò)內部訪(fǎng)問(wèn)重新校準電表

迄今為止，已知的重新校準電表攻擊是為了個(gè)人私利，也就是降低個(gè)人的電費賬單。具有專(zhuān)業(yè)知識的內部人士也可能在量產(chǎn)電表中設置一個(gè)后門(mén)，從而對電表進(jìn)行批量校準。如果電網(wǎng)上大量數據不準確，會(huì )造成供電公司決策錯誤，以及電網(wǎng)不穩定。

監測和攔截通信通道

入侵通信通道是傳統攻擊行為，是網(wǎng)絡(luò )安全分析師需要慎重考慮的事項。只要攻擊者沒(méi)有機會(huì )獲得密鑰材料，現代化加密技術(shù)足以防御任何攻擊行為。

物理攻擊電表，更改代碼、竊取密鑰

許多微控制器具有在引導裝載程序環(huán)境下轉存程序代碼或數據存儲器的功能，許多產(chǎn)品也支持測試模式。盡管這些模式非常隱蔽，但對于頑固的攻擊者還是能夠發(fā)現，然后訪(fǎng)問(wèn)電表微控制器中的任何內部存儲器。如果密鑰材料儲存在片上存儲器中，則比較脆弱，物理訪(fǎng)問(wèn)電表距離物理訪(fǎng)問(wèn)電表微控制器內的存儲器內容也僅僅是一步之遙。

防御智能電表生命周期中所面臨的風(fēng)險

至此，我們簡(jiǎn)要討論了智能電表及其安全軟件面臨的安全威脅。盡管以上示例并不全面，但都是確實(shí)存在的威脅。以上示例證明，部署嵌入式智能電網(wǎng)裝置的任何個(gè)人和單位都必須分析和預測電網(wǎng)本身面臨的威脅隱患。因此，對我們而言，考慮可用來(lái)防御這些已知威脅的技術(shù)非常重要。

確保IC合法化

我們必須確保送到生產(chǎn)廠(chǎng)的芯片是合法的、未經(jīng)更改，也沒(méi)有用假冒材料代替。過(guò)程控制是我們的第一道防線(xiàn)。我們必須加強供應鏈合法化，只從原始供應商或授權供應鏈直接購買(mǎi)元件。此處的風(fēng)險是從第三方或中間人購買(mǎi)材料，而后者未遵守嚴格的跟蹤程序來(lái)驗證材料的合法化、未經(jīng)篡改。

盡管過(guò)程控制非常有效，但并不能阻止不愿善罷甘休、具有一定資源的攻擊者利用假冒材料代替正品材料。這種情況下，可利用安全引導裝載程序防御攻擊。安全引導裝載程序在制造期間裝載至正確的芯片，可利用高級加密技術(shù)鎖定，例如共享AES密鑰或芯片制造商的私鑰。電表制造商接收到芯片時(shí)，可使用相同的高級加密工具，以確保芯片被芯片制造商安全鎖定。

生產(chǎn)過(guò)程僅裝載真實(shí)軟件

同樣，過(guò)程控制非常有效。例如，要求兩名或多名隨機抽調的生產(chǎn)線(xiàn)工人“驗證”裝載固件，有助于防御攻擊。

過(guò)程控制固然有效，但芯片內置高級安全技術(shù)可提供更可靠的方案。以上所述的安全引導裝載程序可使電表制造商將加密、經(jīng)過(guò)數字簽名的代碼裝載至電表。實(shí)際上，簽約制造商或制造廠(chǎng)只能訪(fǎng)問(wèn)加密版本的應用軟件。表計IC中的安全引導裝載程序在內部解密和儲存未加密版本的軟件。這一過(guò)程防止攻擊者偷竊固件進(jìn)行克隆或逆工程化，因為電表設計者和電表本身之間從來(lái)不以明文形式使用固件。也可防止攻擊者將新固件引入到制造鏈，因為裝載至表計IC的任何固件都必須經(jīng)過(guò)授權人員的簽名和加密。

安全軟件防止電表克隆

使用相同的安全引導裝載程序，制造廠(chǎng)只需儲存加密版本的應用軟件?，F在，任何偷竊加密軟件的攻擊者都不能對其進(jìn)行逆向工程。同時(shí)，安全引導裝載程序中的密鑰與每個(gè)授權制造商生產(chǎn)的電表相關(guān)聯(lián)。所以，加密后的軟件對于試圖仿制電表的攻擊者的價(jià)值很小。為仿制電表，攻擊者需要偷竊針對特定最終用戶(hù)設計的IC，因為其它芯片沒(méi)有對應的密鑰。

驗證電表合法性、謹防假冒

回想一下試圖通過(guò)制造假冒電表并裝載惡意軟件來(lái)破壞智能電網(wǎng)的攻擊者。安全引導裝載程序將再次使最終用戶(hù)(即供電公司)確保電表裝載正確、有效的固件。此外，引導裝載程序能夠“鎖定”電表，禁止其工作，直到被目標供電公司接收。

禁止內部人士接觸電表的所有入口

為防止具有專(zhuān)業(yè)知識的內部人士重新編程或重新校準電表，電表設計者需要“鎖定”(從加密角度)電表的所有可能入口。人們關(guān)注最多的入口是家庭和供電公司網(wǎng)絡(luò )，盡管也有其它關(guān)注較少的訪(fǎng)問(wèn)點(diǎn)(您需要注意)，包括串口、紅外接口和JTAG或其它調試端口。

后者必須具有安全防護措施，保證任何試圖通過(guò)這些外設進(jìn)行控制的人員必須經(jīng)過(guò)安全認證。例如，大多數電表具有紅外接入點(diǎn)，所以供電公司能夠讀取本地電表信息。有時(shí)候，供電公司的工作人員可通過(guò)這些端口發(fā)送命令。如果這種通信未經(jīng)加密和安全認證，智能電表就容易受到攻擊。只有保密或未經(jīng)公布的命令集是不夠的。蓄謀已久的攻擊者可發(fā)送隨機命令，監測電表的行為，最終分析得到通過(guò)IO端口能夠理解的命令集。技術(shù)水平較低的狡猾攻擊者可能賄賂電力公司員工，以得到命令集，或者獲得用于與IR端口通信的工具。

數據加密的安全通信通道

監測和入侵通信通道是供電公司、政府和行業(yè)現在最為關(guān)注的攻擊行為，是網(wǎng)絡(luò )安全人員的主要關(guān)注點(diǎn)。這里，我們主要關(guān)心兩點(diǎn)：隱藏數據以保護敏感/隱私信息、對數據/命令進(jìn)行安全認證以確保有效性。加密工具可用于這兩項任務(wù)。

數據和命令安全認證通常用簽名實(shí)現。注意，對于安全認證，我們可能不擔心數據保密。數據或命令公開(kāi)可讀，可能是可接受的。但必須嚴格保證數據或命令的有效性至關(guān)重要。

隱藏數據通常采用對稱(chēng)加密(即共享密鑰)的方法實(shí)現，例如AES。使用軟件實(shí)現時(shí)，該算法相對較快，但如果需要對大數據流進(jìn)行加密，往往要求硬件加速。一個(gè)例子是固件更新，此時(shí)必須接收并加密長(cháng)數據流(或散列)，然后處理器才能繼續安裝新版本。AES密鑰大小為128至256，密鑰越長(cháng)，加密越強，從而攻擊者越難以破解。注意，與對稱(chēng)算法一樣，AES要求數據的發(fā)送方和接收方擁有相同的密鑰。

對稱(chēng)加密方法的使用越來(lái)越普遍，其中“簽名方”有兩個(gè)密鑰：一個(gè)共享密鑰(公鑰)、一個(gè)私有密鑰(私鑰)。密鑰本質(zhì)上不干涉另一方的操作。簡(jiǎn)而言之，簽名方對一組數據應用其私鑰，生成簽名;任何人均可驗證確認來(lái)自于簽名方的簽名，因為知道其公鑰并利用公鑰進(jìn)行反操作。由于密鑰尺寸小(256位，而不是RSA等算法要求的4096位)、安全級別高，智能電網(wǎng)對橢圓曲線(xiàn)技術(shù)越來(lái)越感興趣(ECC、ECDSA)。

物理攻擊電表

盡管網(wǎng)絡(luò )安全(智能表計領(lǐng)域的通信通道加密)得到很多關(guān)注，但并不是部署電表時(shí)唯一需要考慮的安全事項。智能電表根本上是高風(fēng)險領(lǐng)域，沒(méi)有物理防護和監測。對于技術(shù)高超的攻擊者，分析智能電表的最佳途徑是獲得一只電表再加上足夠的時(shí)間。由于電表遍布于每個(gè)家庭，對于攻擊者而言，獲得一只電表并帶到隱蔽實(shí)驗室進(jìn)行分析，非常容易且成本極低。

金融終端行業(yè)防御此類(lèi)威脅的措施最好，該行業(yè)中用于金融中斷的芯片集成傳感器，主動(dòng)監測物理威脅(例如設備入侵、具有威脅的溫度和電壓條件，甚至芯片級物理檢查);如果檢測到任何攻擊行為，則擦除NVSRAM中儲存的密鑰。該技術(shù)可確保對電表的任何物理攻擊都會(huì )造成電表失效，以及擦除所有關(guān)鍵的敏感信息，包括密鑰。

嵌入式智能電網(wǎng)安全技術(shù)

以上所述的情形概要介紹了大量安全威脅以及防御這些威脅的技術(shù)。

現在，這種技術(shù)已經(jīng)商用。多年以來(lái)，Maxim Integrated為金融終端和信用卡行業(yè)提供安全解決方案，案例遍布全球。金融交易的安全級別非常高，而該行業(yè)的健康成長(cháng)是現代化電子商務(wù)市場(chǎng)增長(cháng)的基礎。這是這種高級別的安全性推動(dòng)了我們上文中討論的嵌入式芯片的需求。

相對于金融終端行業(yè)，智能電網(wǎng)威脅的破壞性要大得多。大面積、長(cháng)時(shí)間的斷電，暫時(shí)不能處理信用卡業(yè)務(wù)，這兩者誰(shuí)的破壞性更大呢?Maxim積極推動(dòng)安全產(chǎn)品的應用，例如MAX71637電能測量SoC，集成最高等級的安全技術(shù)?，F在，從設計到制造、再到任務(wù)模式、直到設備報廢，您能夠保證智能電網(wǎng)整個(gè)生命周期的安全。這才是供電公司和我們消費者能夠享受智能電網(wǎng)帶來(lái)的巨大利益的唯一途徑。