摘要：高低溫箱/恒溫恒濕箱電表和傳感器通常分散在遠(yuǎn)離電力公司視線范圍地方,，本文討論提高這些智能電網(wǎng)端點(diǎn)安全性的各種技術(shù)。既考慮了傳統(tǒng)的物理和邏輯攻擊,，也考慮了可能滲入供應(yīng)鏈的聯(lián)合攻擊手段,，這些攻擊會(huì)對(duì)電力公司的電表部署構(gòu)成嚴(yán)重威脅。防范這些攻擊的安全技術(shù)已經(jīng)在金融支付行業(yè)得到成功應(yīng)用,，能夠可靠用于智能電網(wǎng)保護(hù),。

隨著世界各國(guó)競(jìng)相部署智能化的輸電系統(tǒng)，如何保障這些系統(tǒng)的安全成為重要課題,。盡管專門針對(duì)智能電網(wǎng)安全保護(hù)的標(biāo)準(zhǔn),，但電力公司已經(jīng)開始在系統(tǒng)部署初期大做文章——配備IT系統(tǒng)進(jìn)行數(shù)據(jù)收集和分析，采用*通信技術(shù)傳輸數(shù)據(jù),，利用端點(diǎn)（如智能電表）和電網(wǎng)健康狀況監(jiān)測(cè)系統(tǒng)生成原始數(shù)據(jù),。雖然安全問(wèn)題在zui近幾年已經(jīng)成為廣泛關(guān)注的問(wèn)題，但仍然存在許多工作有待完成,，尤其是“端點(diǎn)”保護(hù),，例如：電表和電網(wǎng)傳感器的安全保護(hù)。本文概要介紹這些端點(diǎn)所面臨的威脅,，以及應(yīng)對(duì)這些威脅的安全技術(shù),。

 

安全威脅

毫無(wú)疑問(wèn)，智能電網(wǎng)面臨的安全隱患有很多種,，但大致可分為兩大類,。*類為個(gè)體攻擊，指攻擊者的目標(biāo)是智能電網(wǎng)數(shù)據(jù),，以獲得自身利益——例如：竊取電費(fèi),，或隱瞞違禁藥物的生產(chǎn)等。個(gè)體攻擊的目的并非擾亂電網(wǎng)管理,，僅僅是為了獲得某一個(gè)體或團(tuán)體的利益,。

第二類攻擊指的是對(duì)社會(huì)構(gòu)成威脅的活動(dòng)，包括試圖破壞電網(wǎng)運(yùn)行的活動(dòng),。這可能是對(duì)電網(wǎng)本身的攻擊（大區(qū)域誤報(bào)能耗,，造成整個(gè)電網(wǎng)的資金鏈緊張）,；也可能是對(duì)社會(huì)的攻擊（例如：恐怖分子襲擊），造成電網(wǎng)癱瘓,，用戶斷電,。發(fā)生斷電時(shí)，生產(chǎn)和金融損失將無(wú)可估量,，特別是在極熱,、極冷氣候下，還會(huì)對(duì)人類的生命安全構(gòu)成威脅,。

薄弱環(huán)節(jié)

攻擊者通常會(huì)縱觀整個(gè)電網(wǎng),，并設(shè)法確定實(shí)施攻擊的*位置，以便以zui少投資和zui低風(fēng)險(xiǎn)達(dá)到預(yù)期結(jié)果,。我們可以簡(jiǎn)單考察一個(gè)“電力中心—端點(diǎn)”的模型,，考慮兩種情況下的攻擊者如何達(dá)到目的。

個(gè)體威脅：以希望減免電費(fèi)的黑客為例,，攻擊者可能混進(jìn)電力公司控制室,，更改其電表記錄，從而達(dá)到目的,；他也可能攔截?cái)?shù)據(jù),，截取發(fā)送給電力公司的能耗信息；或者直接篡改電表固件,，使其降低耗電量的記錄,。

社會(huì)威脅：以希望破壞絕大多數(shù)用戶供電鏈的恐怖分子為例，攻擊者可能混進(jìn)電力控制室,，遠(yuǎn)程斷開大量電表,，或關(guān)閉某個(gè)變電站的供電。攻擊者也可能向通信總線注入指令執(zhí)行類似動(dòng)作,；或者控制電表,，使其直接從遠(yuǎn)端斷開繼電器；也可能控制傳感器向電力公司反饋錯(cuò)誤數(shù)據(jù),，造成電力控制中心的誤判和錯(cuò)誤操作,。

從簡(jiǎn)單模型可以看出所存在攻擊通路，整個(gè)電網(wǎng)的絕大部分環(huán)節(jié)（電力公司控制室,、通信網(wǎng)絡(luò),、端點(diǎn)）都可實(shí)施上述攻擊行為。提高系統(tǒng)的整體安全性會(huì)對(duì)三個(gè)環(huán)節(jié)提供安全防護(hù),，但實(shí)際操作時(shí)要求我們識(shí)別并定位zui薄弱的環(huán)節(jié),。這也正是攻擊者所采取的措施——找到zui容易的入侵點(diǎn)（智能電網(wǎng)的薄弱環(huán)節(jié)）實(shí)施攻擊。

試想攻擊者可能如何看待當(dāng)前的三個(gè)主要環(huán)節(jié),。成功入侵電力公司控制室能夠zui大程度地控制電網(wǎng),，但所承受的風(fēng)險(xiǎn)也zui高,。控制室必定防護(hù)嚴(yán)密,，具有良好的訪問(wèn)權(quán)限控制,，同時(shí)還具有安全認(rèn)證流程。此外,，入侵者在控制室也很難藏身——即使保安人員沒有抓住闖入者,，監(jiān)控?cái)z像頭也會(huì)記錄下來(lái)。當(dāng)然,，內(nèi)部人員能夠zui有效地從電力控制中心攻擊整個(gè)電網(wǎng)，但由于電力部門規(guī)程嚴(yán)格限制了個(gè)人權(quán)限,，任何個(gè)人都不可能運(yùn)行威脅電網(wǎng)運(yùn)轉(zhuǎn)的操作,，此類操作通常需要多人同時(shí)到場(chǎng)實(shí)施，從而簡(jiǎn)單了內(nèi)部人員作案的風(fēng)險(xiǎn),。

這樣,，攻擊者的第二個(gè)選擇必然是通信鏈路，迄今為止,，關(guān)于智能電網(wǎng)安全性的多數(shù)話題都集中在通信鏈路,，大多數(shù)系統(tǒng)部署也都采用了嚴(yán)格的加密技術(shù)，以保護(hù)智能電網(wǎng)端點(diǎn)與電力中心之間數(shù)據(jù)和命令傳輸,。為了成功攻擊通信通道,，必須獲取安全密匙或認(rèn)證密匙。而可靠的通信協(xié)議都不會(huì)共用密匙,，意味著攻擊者只能（1）從電力公司或端點(diǎn)獲取密匙,；或者（2）對(duì)通道的加密/認(rèn)證機(jī)制實(shí)施暴力攻擊。注意,，選項(xiàng)1實(shí)際上并非攻擊通道本身,，而是攻擊電網(wǎng)的其它部件。暴力攻擊（選項(xiàng)2）也不大可能得到結(jié)果,。常見的加密算法,，例如AES-128，以暴力方式攻擊,，計(jì)算方面是不可行的,，這意味著超高速計(jì)算機(jī)需要運(yùn)行若干年，甚至幾十年的時(shí)間才能獲取密鑰,，遠(yuǎn)遠(yuǎn)長(zhǎng)于數(shù)據(jù)本身有效期限,。

于是攻擊者將轉(zhuǎn)向智能電網(wǎng)端點(diǎn)本身：諸如智能電表或電網(wǎng)健康狀況監(jiān)測(cè)傳感器等裝置。此類裝置的吸引力更大,，因?yàn)槎它c(diǎn)保護(hù)措施相對(duì)薄弱,，大范圍分散在室外,，或者安裝在遠(yuǎn)距離傳輸線上。我們可將諸如數(shù)據(jù)集中器之類的裝置考慮在內(nèi),，因?yàn)榇祟愒O(shè)備往往也沒有保護(hù)措施,。這些薄弱點(diǎn)為攻擊者分析和嘗試不同的攻擊方法提供了可乘之機(jī)。的確,，這些端點(diǎn)帶電,，難以觸及（例如在高聳的傳輸線上），具有潛在危險(xiǎn),。但攻擊者*可以利用一些防護(hù)措施,，避免人員傷害。表面上看,，像電表這樣的端點(diǎn)zui容易使攻擊者得逞,。但對(duì)手如何實(shí)施攻擊呢？

攻擊已安裝的電表

以下討論適用于智能電網(wǎng)上具有通信功能的任何端點(diǎn),，但為討論方便,，我們以智能電表為例。

對(duì)于個(gè)體攻擊,，攻擊者將窮其所能對(duì)電表實(shí)施攻擊,。其目的可能是更改電流檢測(cè)裝置，使其檢測(cè)耗電量更少,；或者對(duì)電表軟件實(shí)施逆向工程,，使其報(bào)告的耗電數(shù)更少。

社會(huì)攻擊可能以類似方式入手：攻擊者研究電表,，試圖了解其工作原理,。其目的是希望析取密匙、對(duì)軟件協(xié)議實(shí)施逆向工程,，以及重新設(shè)置電表,。一旦得手，攻擊者可對(duì)大量電表重新配置,，降低其實(shí)報(bào)耗電量,，或在日期和時(shí)間同時(shí)斷開。

面對(duì)此類威脅,，如何保障智能電網(wǎng)端點(diǎn)的安全呢,？市場(chǎng)上可供使用的嵌入式安全技術(shù)（例如，廣泛用于金融交易和政府機(jī)構(gòu)的安全處理器）,，能夠很好地抵御個(gè)體電表的攻擊,。這類安全技術(shù)集成了物理攻擊（強(qiáng)行控制）偵測(cè)或嵌入式系統(tǒng)、邏輯攻擊（分析嵌入式系統(tǒng)存儲(chǔ)器、應(yīng)用程序或協(xié)議）偵測(cè)的方法,。

具有物理攻擊檢測(cè)機(jī)制的嵌入式系統(tǒng)能夠檢測(cè)系統(tǒng)隱患,。這些產(chǎn)品采用物理傳感器，例如,，檢測(cè)器件外殼被打開的開關(guān),、運(yùn)動(dòng)傳感器及環(huán)境傳感器等。一旦偵測(cè)到攻擊操作,，電表可采取相應(yīng)措施,，例如：嘗試電力中心，甚至刪除安全密匙（刪除密匙要比泄露給攻擊者更好）,。

有些邏輯偵測(cè)技術(shù)也可用于抵御電表的攻擊,，對(duì)安全存儲(chǔ)器加鎖或加密，使攻擊者難以讀取軟件或?qū)ζ鋵?shí)施逆向工程,。安全裝載器在生產(chǎn)過(guò)程中鎖定器件,，確保攻擊者不能在電表上裝載未經(jīng)授權(quán)的軟件。

安全部署電表也可以在一定程度上防范社會(huì)攻擊,。電表采用*密匙，攻擊者即使獲得一個(gè)電表的密匙,，也不會(huì)影響其它電表的安全,。如果竊取單個(gè)密匙非常困難（采用上述物理和邏輯保護(hù)措施），就增加了社會(huì)威脅攻擊大量安裝電表的難度,。

攻擊供應(yīng)鏈

一些現(xiàn)有的嵌入式安全技術(shù)可以降低電表及智能電網(wǎng)遭受社會(huì)攻擊的風(fēng)險(xiǎn),。然而，我們必須考慮除此之外的攻擊手段,，并確保設(shè)備在整個(gè)使用期限內(nèi)的安全,。

無(wú)論外包，還是內(nèi)部制造,，生產(chǎn)環(huán)節(jié)非常容易發(fā)生剽竊（即使現(xiàn)場(chǎng)制造!）,，也是zui容易竊取知識(shí)產(chǎn)權(quán)的環(huán)節(jié)。這種環(huán)境下,，開發(fā)IP可能被偷竊用于逆向工程分析,，甚至在產(chǎn)品中安裝新的危險(xiǎn)IP。

一些頑固的攻擊者可對(duì)電表軟件實(shí)施逆向工程,，然后安裝病毒,，在設(shè)定日期和時(shí)間遠(yuǎn)程斷開、關(guān)閉電表通信,、擦除內(nèi)部存儲(chǔ)器,。攻擊者可在制造過(guò)程中更換IP。后果將是災(zāi)難性的——導(dǎo)致一次部署的數(shù)百萬(wàn)支電表在時(shí)間全部斷電,。需要數(shù)周或數(shù)月的時(shí)間維修或更換電表,，費(fèi)用龐大,。

嵌入式安全產(chǎn)品可利用安全引導(dǎo)裝載程序、安全存儲(chǔ)器及使用期限管理等功能降低風(fēng)險(xiǎn),。安全引導(dǎo)裝載程序可以裝載加密電表軟件,，電表設(shè)計(jì)者或軟件設(shè)計(jì)者將加密程序發(fā)送到生產(chǎn)線，系統(tǒng)微控制器中的安全引導(dǎo)裝載程序可解密和儲(chǔ)存應(yīng)用程序,。安全存儲(chǔ)器（內(nèi)部或外部）也可儲(chǔ)存加密應(yīng)用程序代碼,，使應(yīng)用程序內(nèi)容既不可讀，也不可逆向工程或復(fù)制,。使用期限管理功能可用于驗(yàn)證實(shí)際供應(yīng)鏈,。硅制造商可鎖定器件，只允許某個(gè)客戶解鎖和安裝代碼,；電表OEM可鎖定其電表,，只有的電力公司解鎖和安裝。隨著供應(yīng)鏈安全措施的增多,，通過(guò)電表實(shí)現(xiàn)社會(huì)攻擊的機(jī)會(huì)得到抑制,。

解決方案？

很難找到十全十美的智能電網(wǎng)安全方案,，因?yàn)檫@種方案需要耗費(fèi)的時(shí)間和費(fèi)用也是無(wú)限的,。但是，利用已普遍用于金融交易和政府機(jī)構(gòu)的安全技術(shù),，能夠?yàn)橹悄茈娋W(wǎng)的嵌入式端點(diǎn)提供更高水平的物理和邏輯防護(hù),。

這里所介紹的攻擊及應(yīng)對(duì)措施并不于智能電網(wǎng)的安全漏洞，在考慮智能電網(wǎng)所面臨的威脅時(shí),，需要密切關(guān)注電表這樣的嵌入式端點(diǎn),。一旦電表及其它端點(diǎn)得到多層安全防護(hù)，攻擊者將不得不另尋出路,。