如何提高智能電網(wǎng)端點(diǎn)安全性

摘要：電表和傳感器通常分散在遠離電力公司視線(xiàn)范圍地方，本文討論提高這些智能電網(wǎng)端點(diǎn)安全性的各種技術(shù)。既考慮了傳統的物理和邏輯攻擊，也考慮了可能滲入供應鏈的聯(lián)合攻擊手段，這些攻擊會(huì )對電力公司的電表部署構成嚴重威脅。防范這些攻擊的安全技術(shù)已經(jīng)在金融支付行業(yè)得到成功應用，能夠可靠用于智能電網(wǎng)保護。

隨著(zhù)世界各國競相部署智能化的輸電系統，如何保障這些系統的安全成為重要課題。盡管專(zhuān)門(mén)針對智能電網(wǎng)安全保護的標準寥寥無(wú)幾，但電力公司已經(jīng)開(kāi)始在系統部署初期大做文章——配備IT系統進(jìn)行數據收集和分析，采用先進(jìn)的通信技術(shù)傳輸數據，利用端點(diǎn)（如智能電表）和電網(wǎng)健康狀況監測系統生成原始數據。雖然安全問(wèn)題在最近幾年已經(jīng)成為廣泛關(guān)注的問(wèn)題，但仍然存在許多工作有待完成，尤其是“端點(diǎn)”保護，例如：電表和電網(wǎng)傳感器的安全保護。本文概要介紹這些端點(diǎn)所面臨的威脅，以及應對這些威脅的安全技術(shù)。

圖1. 智能電網(wǎng)模型——電力公司通過(guò)通信網(wǎng)絡(luò )從端點(diǎn)收集數據

安全威脅

毫無(wú)疑問(wèn)，智能電網(wǎng)面臨的安全隱患有很多種，但大致可分為兩大類(lèi)。第一類(lèi)為個(gè)體攻擊，指攻擊者的目標是智能電網(wǎng)數據，以獲得自身利益——例如：竊取電費，或隱瞞違禁藥物的生產(chǎn)等。個(gè)體攻擊的目的并非擾亂電網(wǎng)管理，僅僅是為了獲得某一個(gè)體或團體的利益。

第二類(lèi)攻擊指的是對社會(huì )構成威脅的活動(dòng)，包括試圖破壞電網(wǎng)運行的活動(dòng)。這可能是對電網(wǎng)本身的攻擊（大區域誤報能耗，造成整個(gè)電網(wǎng)的資金鏈緊張）；也可能是對社會(huì )的攻擊（例如：恐怖分子襲擊），造成電網(wǎng)癱瘓，用戶(hù)斷電。發(fā)生斷電時(shí)，生產(chǎn)和金融損失將無(wú)可估量，特別是在極熱、極冷氣候下，還會(huì )對人類(lèi)的生命安全構成威脅。

薄弱環(huán)節

攻擊者通常會(huì )縱觀(guān)整個(gè)電網(wǎng)，并設法確定實(shí)施攻擊的最佳位置，以便以最少投資和最低風(fēng)險達到預期結果。我們可以簡(jiǎn)單考察一個(gè)“電力中心—端點(diǎn)”的模型，考慮兩種情況下的攻擊者如何達到目的。

個(gè)體威脅：以希望減免電費的黑客為例，攻擊者可能混進(jìn)電力公司控制室，更改其電表記錄，從而達到目的；他也可能攔截數據，截取發(fā)送給電力公司的能耗信息；或者直接篡改電表固件，使其降低耗電量的記錄。

社會(huì )威脅：以希望破壞絕大多數用戶(hù)供電鏈的恐怖分子為例，攻擊者可能混進(jìn)電力控制室，遠程斷開(kāi)大量電表，或關(guān)閉某個(gè)變電站的供電。攻擊者也可能向通信總線(xiàn)注入指令執行類(lèi)似動(dòng)作；或者控制電表，使其直接從遠端斷開(kāi)繼電器；也可能控制傳感器向電力公司反饋錯誤數據，造成電力控制中心的誤判和錯誤操作。

從簡(jiǎn)單模型可以看出所存在攻擊通路，整個(gè)電網(wǎng)的絕大部分環(huán)節（電力公司控制室、通信網(wǎng)絡(luò )、端點(diǎn)）都可實(shí)施上述攻擊行為。提高系統的整體安全性會(huì )對三個(gè)環(huán)節提供安全防護，但實(shí)際操作時(shí)要求我們識別并定位最薄弱的環(huán)節。這也正是攻擊者所采取的措施——找到最容易的入侵點(diǎn)（智能電網(wǎng)的薄弱環(huán)節）實(shí)施攻擊。

試想攻擊者可能如何看待當前的三個(gè)主要環(huán)節。成功入侵電力公司控制室能夠最大程度地控制電網(wǎng)，但所承受的風(fēng)險也最高?？刂剖冶囟ǚ雷o嚴密，具有良好的訪(fǎng)問(wèn)權限控制，同時(shí)還具有安全認證流程。此外，入侵者在控制室也很難藏身——即使保安人員沒(méi)有抓住闖入者，監控攝像頭也會(huì )記錄下來(lái)。當然，內部人員能夠最有效地從電力控制中心攻擊整個(gè)電網(wǎng)，但由于電力部門(mén)規程嚴格限制了個(gè)人權限，任何個(gè)人都不可能運行威脅電網(wǎng)運轉的操作，此類(lèi)操作通常需要多人同時(shí)到場(chǎng)實(shí)施，從而簡(jiǎn)單了內部人員作案的風(fēng)險。

這樣，攻擊者的第二個(gè)選擇必然是通信鏈路，迄今為止，關(guān)于智能電網(wǎng)安全性的多數話(huà)題都集中在通信鏈路，大多數系統部署也都采用了嚴格的加密技術(shù)，以保護智能電網(wǎng)端點(diǎn)與電力中心之間數據和命令傳輸。為了成功攻擊通信通道，必須獲取安全密匙或認證密匙。而可靠的通信協(xié)議都不會(huì )共用密匙，意味著(zhù)攻擊者只能（1）從電力公司或端點(diǎn)獲取密匙；或者（2）對通道的加密/認證機制實(shí)施暴力攻擊。注意，選項1實(shí)際上并非攻擊通道本身，而是攻擊電網(wǎng)的其它部件。暴力攻擊（選項2）也不大可能得到結果。常見(jiàn)的加密算法，例如AES-128，以暴力方式攻擊，計算方面是不可行的，這意味著(zhù)超高速計算機需要運行若干年，甚至幾十年的時(shí)間才能獲取密鑰，遠遠長(cháng)于數據本身有效期限。

于是攻擊者將轉向智能電網(wǎng)端點(diǎn)本身：諸如智能電表或電網(wǎng)健康狀況監測傳感器等裝置。此類(lèi)裝置的吸引力更大，因為端點(diǎn)保護措施相對薄弱，大范圍分散在室外，或者安裝在遠距離傳輸線(xiàn)上。我們可將諸如數據集中器之類(lèi)的裝置考慮在內，因為此類(lèi)設備往往也沒(méi)有保護措施。這些薄弱點(diǎn)為攻擊者分析和嘗試不同的攻擊方法提供了可乘之機。的確，這些端點(diǎn)帶電，難以觸及（例如在高聳的傳輸線(xiàn)上），具有潛在危險。但攻擊者完全可以利用一些防護措施，避免人員傷害。表面上看，像電表這樣的端點(diǎn)最容易使攻擊者得逞。但對手如何實(shí)施攻擊呢？

攻擊已安裝的電表

以下討論適用于智能電網(wǎng)上具有通信功能的任何端點(diǎn)，但為討論方便，我們以智能電表為例。

對于個(gè)體攻擊，攻擊者將窮其所能對電表實(shí)施攻擊。其目的可能是更改電流檢測裝置，使其檢測耗電量更少；或者對電表軟件實(shí)施逆向工程，使其報告的耗電數更少。

社會(huì )攻擊可能以類(lèi)似方式入手：攻擊者研究電表，試圖了解其工作原理。其目的是希望析取密匙、對軟件協(xié)議實(shí)施逆向工程，以及重新設置電表。一旦得手，攻擊者可對大量電表重新配置，降低其實(shí)報耗電量，或在指定日期和時(shí)間同時(shí)斷開(kāi)。

面對此類(lèi)威脅，如何保障智能電網(wǎng)端點(diǎn)的安全呢？市場(chǎng)上可供使用的嵌入式安全技術(shù)（例如，廣泛用于金融交易和政府機構的安全處理器），能夠很好地抵御個(gè)體電表的攻擊。這類(lèi)安全技術(shù)集成了物理攻擊（強行控制）偵測或嵌入式系統、邏輯攻擊（分析嵌入式系統存儲器、應用程序或協(xié)議）偵測的方法。

具有物理攻擊檢測機制的嵌入式系統能夠檢測系統隱患。這些產(chǎn)品采用物理傳感器，例如，檢測器件外殼被打開(kāi)的開(kāi)關(guān)、運動(dòng)傳感器及環(huán)境傳感器等。一旦偵測到攻擊操作，電表可采取相應措施，例如：嘗試聯(lián)系電力中心，甚至刪除安全密匙（刪除密匙要比泄露給攻擊者更好）。

有些邏輯偵測技術(shù)也可用于抵御電表的攻擊，對安全存儲器加鎖或加密，使攻擊者難以讀取軟件或對其實(shí)施逆向工程。安全裝載器在生產(chǎn)過(guò)程中鎖定器件，確保攻擊者不能在電表上裝載未經(jīng)授權的軟件。

安全部署電表也可以在一定程度上防范社會(huì )攻擊。電表采用唯一密匙，攻擊者即使獲得一個(gè)電表的密匙，也不會(huì )影響其它電表的安全。如果竊取單個(gè)密匙非常困難（采用上述物理和邏輯保護措施），就增加了社會(huì )威脅攻擊大量安裝電表的難度。

攻擊供應鏈

一些現有的嵌入式安全技術(shù)可以降低電表及智能電網(wǎng)遭受社會(huì )攻擊的風(fēng)險。然而，我們必須考慮除此之外的攻擊手段，并確保設備在整個(gè)使用期限內的安全。

無(wú)論外包，還是內部制造，生產(chǎn)環(huán)節非常容易發(fā)生剽竊（即使現場(chǎng)制造?。?，也是最容易竊取知識產(chǎn)權的環(huán)節。這種環(huán)境下，開(kāi)發(fā)IP可能被偷竊用于逆向工程分析，甚至在產(chǎn)品中安裝新的危險IP。

一些頑固的攻擊者可對電表軟件實(shí)施逆向工程，然后安裝病毒，在設定日期和時(shí)間遠程斷開(kāi)、關(guān)閉電表通信、擦除內部存儲器。攻擊者可在制造過(guò)程中更換IP。后果將是災難性的——導致一次部署的數百萬(wàn)支電表在指定時(shí)間全部斷電。需要數周或數月的時(shí)間維修或更換電表，費用龐大。

嵌入式安全產(chǎn)品可利用安全引導裝載程序、安全存儲器及使用期限管理等功能降低風(fēng)險。安全引導裝載程序可以裝載加密電表軟件，電表設計者或軟件設計者將加密程序發(fā)送到生產(chǎn)線(xiàn)，系統微控制器中的安全引導裝載程序可解密和儲存應用程序。安全存儲器（內部或外部）也可儲存加密應用程序代碼，使應用程序內容既不可讀，也不可逆向工程或復制。使用期限管理功能可用于驗證實(shí)際供應鏈。硅制造商可鎖定器件，只允許某個(gè)客戶(hù)解鎖和安裝代碼；電表OEM可鎖定其電表，只有指定的電力