智能電網(wǎng)供應(yīng)鏈潛在的危險及防御措施

政府與電力部門，甚至消費者都越來越關(guān)注智能電網(wǎng)的安全性。繼空氣、水、食品與住宅之后，電力已經(jīng)成為人類最基本的生活必需品之一。毫無疑問，可靠的電力供應(yīng)是現(xiàn)代社會生活的保障，也是促進(jìn)新興國家發(fā)展的重要因素。

在關(guān)于智能電網(wǎng)安全性的討論，大部分內(nèi)容都傾向于網(wǎng)絡(luò)安全，以及在此環(huán)境下嵌入式設(shè)備以安全認(rèn)證方式接入網(wǎng)絡(luò)，并通過網(wǎng)絡(luò)處理數(shù)據(jù)。盡管這是智能電網(wǎng)環(huán)境下保證供電安全的關(guān)鍵步驟，但這種方法過于狹隘，忽略了智能電網(wǎng)在有效運行期限內(nèi)來自智能電網(wǎng)設(shè)備供應(yīng)鏈的威脅。

本文探討智能電網(wǎng)供應(yīng)鏈存在的潛在風(fēng)險以及對智能電網(wǎng)構(gòu)成的威脅。必須重視并防范這些威脅，才能保證電網(wǎng)運行的安全。最后，我們評估用于防止這些威脅的技術(shù)。

電網(wǎng)的潛在風(fēng)險?

為什么有人會試圖攻擊智能電網(wǎng)?答案不盡相同。

最簡單的情況，可能是攻擊者想節(jié)省其電費賬單。攻擊者通過更改其智能電表來保護(hù)個人利益。有些情況下，可能是有組織犯罪活動，以隱藏其真實的耗電數(shù)據(jù)，比如毒品實驗室試圖掩蓋其耗電量。除此之外，還存在更高意識形態(tài)的電網(wǎng)攻擊者。

眾所周知，許多國家必須應(yīng)對恐怖襲擊的威脅，每時每刻都要加以防范。炸彈或飛機(jī)襲擊等武力威脅固然可怕，而針對供電網(wǎng)絡(luò)的攻擊行為則會擾亂大量人群生活質(zhì)量。一旦攻擊者控制幾百萬只電表，則會破壞大批人群的供電，發(fā)起實質(zhì)性的公共攻擊。

智能電表有效運行期限內(nèi)所面臨的物理威脅

圖1所示為智能電表生命周期不同階段的概念圖。為簡單起見，該模型僅限于四個步驟：芯片采購、智能電表生產(chǎn)、智能電表部署，以及運轉(zhuǎn)模式下的智能電表。我們利用這一簡單模型進(jìn)行潛在風(fēng)險分析。對于每一階段(包括各個階段之間的過渡或運輸)，我們都需要考察：攻擊者會采取什么方式來控制智能電表網(wǎng)絡(luò)?

智能電表生命周期所面臨的潛在風(fēng)險模型。如圖所示，只有通信加密并不能提供有效保護(hù)。

利用假冒IC代替合法IC

對于攻擊者來說，芯片制造商和設(shè)備制造商之間的運輸環(huán)節(jié)是入侵智能電表供應(yīng)鏈的最佳時機(jī)。對于攻擊者而言，微控制器是塊“肥肉”。在一般的供應(yīng)鏈模型中，芯片制造商將基于閃存的微控制器運輸?shù)缴a(chǎn)場所，無論是簽約制造商(CM)還是最終用戶。在生產(chǎn)場所，將智能電表固件裝載至微控制器。在完成電表生產(chǎn)及裝箱之前，要進(jìn)行一些系統(tǒng)級配置。這是正常的流程。

現(xiàn)在，假設(shè)技術(shù)高超的攻擊者設(shè)計一款看起來和用起來都非常像正品電表SoC的微控制器，就可能出現(xiàn)諸多情況。IC可能被更改，允許網(wǎng)絡(luò)恐怖分子通過網(wǎng)絡(luò)遠(yuǎn)程控制電表;或者，假冒SoC可能根據(jù)任何請求轉(zhuǎn)存其存儲器內(nèi)容，從而泄露制造期間裝載的通信密鑰;再或者，假冒SoC可能允許任何人查看其軟件，從而威脅到正規(guī)電表廠商的IP。

有些技術(shù)不太高超的攻擊者，“假冒IC”需要進(jìn)行制造，想象一下運輸至CM的真實閃存微控制器。攻擊者攔截運輸過程并在閃存中裝載一段程序，該程序看起來非常像系統(tǒng)內(nèi)置的標(biāo)準(zhǔn)引導(dǎo)裝載程序。IC到達(dá)CM時，可能很難檢測到這種詭計(即假冒引導(dǎo)裝載程序)。然后CM下載標(biāo)準(zhǔn)固件，但“不安全”的引導(dǎo)裝載程序已經(jīng)在電表中駐留病毒。隨后，該病毒會造成電表功能不正常，并與攻擊者共享安全密鑰。

如果沒有正確的保護(hù)措施，利用IC運輸進(jìn)行假冒或篡改的攻擊者就能夠控制智能電表的整個生命周期，在智能電網(wǎng)上隨意引發(fā)不可想象的災(zāi)難。

生產(chǎn)過程中裝載惡意軟件

制造車間同樣存在風(fēng)險，比如，來自負(fù)責(zé)生產(chǎn)的員工隊伍。一般情況下，這些工人的收入遠(yuǎn)低于工程團(tuán)隊或管理者。經(jīng)濟(jì)不景氣時，100美元的賄賂獲取就能收買生產(chǎn)線的工人，在智能電表中裝載特殊固件。即使比較富裕的國家，如果100美元達(dá)不到目的，他們或許支付更高的費用，1,000或10,000美元?

如果攻擊者可接觸到生產(chǎn)流程，就能夠竊取裝載到智能電表的二進(jìn)制碼鏡像。竊取鏡像并更改固件，造成意想不到的后果，這一點并不困難。例如，攻擊者更改中斷向量，在嚴(yán)格定義的情況下引發(fā)破壞行為。中斷向量可被編程為監(jiān)測實時時鐘，在夏天的某個特定時間斷開電表的斷路繼電器，使處理器停頓，導(dǎo)致電表脫離網(wǎng)絡(luò)。在這樣的攻擊下，可能有數(shù)百萬只電表遭到破壞，停止向居民供電。如果供電公司被迫手動更換智能電表，經(jīng)濟(jì)損失將不可估量。考慮到炎熱夏季斷電造成的后果，將會大幅提高人們的生活成本。

偷竊軟件仿制電表

為了從中獲取非法利益，在正常的生產(chǎn)流程中，產(chǎn)線工人可輕而易舉地接觸到裝載到智能電表的二進(jìn)制鏡像。通過賄賂，攻擊者即可接觸到原始PCB，從而進(jìn)行逆向工程。如果攻擊者得到完整的BOM，帶有可識別的IC部件號，以及智能電表工作所需的軟件，就擁有了仿制電表所需的一切。攻擊者不需要任何研發(fā)成本也可銷售電表。

一旦攻擊者能夠仿制電表，如上所述，就存在更改電表軟件的風(fēng)險。

利用假冒電表代替合法電表

與芯片相比，電表外殼和標(biāo)識的仿制要容易得多。這種情況下，攻擊者制造看起來酷似合法電表的產(chǎn)品，但固件包含隱藏的攻擊代碼。對電表進(jìn)行校準(zhǔn)，使其報告錯誤的用電量。如果電表允許攻擊者控制其切斷或控制發(fā)送至電力公司的數(shù)據(jù)，這可能是災(zāi)難性的。對單只電表的攻擊帶來的是麻煩，還算不上災(zāi)難;而針對大量電表的攻擊行為將會帶來不可估量的損失。想象一下，六百萬只電表報告的用電量都不正確會是什么情形。供電公司將根據(jù)錯誤的數(shù)據(jù)做出決策，妨礙其響應(yīng)用電需求變化以及正確發(fā)電的能力，不可避免地發(fā)生大范圍電網(wǎng)不穩(wěn)定，造成巨大的生產(chǎn)力損失。

通過內(nèi)部訪問重新校準(zhǔn)電表

合法電表安裝到現(xiàn)場后，遭受攻擊的風(fēng)險并未結(jié)束。假設(shè)攻擊者是電表制造商內(nèi)部人士，了解如何與電表進(jìn)行通信，開發(fā)出更改電表校準(zhǔn)數(shù)據(jù)的IR裝置。這樣的裝置很容易制造，能夠更改任何電表減少實報用電量數(shù)據(jù)。盡管這一行為不會造成大面積電網(wǎng)故障，但會給電力公司帶來嚴(yán)重的經(jīng)濟(jì)損失。

這里所述的攻擊并不是推理，而是真實發(fā)生的故事。

監(jiān)測和攔截通信環(huán)節(jié)

這是智能社區(qū)普遍擔(dān)心的一種攻擊行為。根本問題在于攻擊者可能綁架智能電網(wǎng)周圍的通信網(wǎng)絡(luò)，通過模擬命令，斷開其斷路繼電器，從而中斷供電;也可能假冒電表通信，報告錯誤的用電數(shù)據(jù)。然后供電公司可能利用這種有缺陷的智能電表顯示數(shù)據(jù)制定決策，比如對所需發(fā)電量或電壓/無功功率優(yōu)化。如果數(shù)據(jù)和命令未進(jìn)行正確加密(隱藏)和安全認(rèn)證(驗證)，就為攻擊者提供了干擾甚至控制智能電網(wǎng)的途徑。

物理攻擊電表，更改代碼、竊取密鑰

電表在完成部署之后，到底有多安全?電表的物理安全是關(guān)鍵考慮。嵌入式智能電網(wǎng)端點設(shè)備(例如智能電表、電網(wǎng)傳感器、分布式自動控制點)必然是分布式的，并且沒有任何物理保護(hù)措施。所以，智能電網(wǎng)的端點非常脆弱，容易被偷盜、帶回實驗室，在攻擊者閑暇時進(jìn)行檢查分析。

這種情況下，攻擊者對電表微控制器的引腳進(jìn)行編程，裝載新固件，使其報告錯誤的用電數(shù)據(jù)。有的攻擊者采用物理方式訪問電表，然后控制電表微控制器的內(nèi)存，最終獲得安全通信密鑰。在這些危險情形下，攻擊者可破譯智能電表的網(wǎng)絡(luò)通信，發(fā)起大范圍的破壞性事件。

生命周期內(nèi)的網(wǎng)絡(luò)安全

我們以上已經(jīng)討論了智能電表生命周期受到的物理威脅，接下來討論電網(wǎng)通信環(huán)節(jié)的風(fēng)險。

智能電網(wǎng)行業(yè)一向致力于確保智能電網(wǎng)通信(即數(shù)據(jù)和命令)的安全性和可靠性。現(xiàn)代化智能電網(wǎng)標(biāo)準(zhǔn)要求采用AES加密，或橢圓曲線加密。即使對于未來幾十年的計算能力，這些算法的復(fù)雜度也可有效保護(hù)數(shù)據(jù)。

那么這種情況下的主要威脅來自哪里?智能電網(wǎng)中的命令和數(shù)據(jù)都具有加密保護(hù)，采用強(qiáng)大處理設(shè)備都不足以破解的加密算法，果真如此的話，我們可能已經(jīng)不需要繼續(xù)從事這個行業(yè)或干脆退休了!現(xiàn)在擔(dān)心的事情不是數(shù)據(jù)和命令的加密保護(hù)，而是潛在的薄弱環(huán)節(jié)，攻擊者容易突破的是關(guān)鍵信息的保護(hù)，加密密鑰。

攻擊者將不擇手段獲得關(guān)鍵信息(密鑰)，選擇風(fēng)險/成本最低的途徑。窺探通信流量和強(qiáng)力破解可能需要數(shù)十年的時間，成本非常高。但如果潛入國外簽約制造廠，在生產(chǎn)期間攔截裝載的密鑰，成本又如何呢?這種行為的成本和風(fēng)險較低嗎?

回顧以上討論的每種威脅情形，攻擊者都是充分利用每種情形，不擇手段得到密鑰;這必定會攻破智能電表網(wǎng)絡(luò)的嚴(yán)謹(jǐn)設(shè)計和部署：

利用假冒IC代替合法IC

這種情況下，攻擊者對假冒或攔截得到的IC進(jìn)行編程，與其它攻擊者共享存儲器內(nèi)容。由于可將假冒(或攔截)IC編程為共享數(shù)據(jù)，所以很容易威脅到生產(chǎn)期間裝載的密鑰。

生產(chǎn)期間裝載惡意軟件

如果在生產(chǎn)期間配置密鑰，那么就可能利用社會渠道(例如，行賄或其它好處)說服生產(chǎn)線工人共享裝載的密鑰。

偷竊軟件仿制電表

如果攻擊者能夠重構(gòu)智能電表裝載的軟件，就可能使軟件共享而不是保護(hù)密鑰。

利用假冒電表代替合法電表

假冒電表可能與任何不法人員共享密鑰。如果假冒電表留有后門，就可能威脅到正品電表在生產(chǎn)過程中裝載密鑰的安全。

通過內(nèi)部訪問重新校準(zhǔn)電表

迄今為止，已知的重新校準(zhǔn)電表攻擊是為了個人私利，也就是降低個人的電費賬單。具有專業(yè)知識的內(nèi)部人士也可能在量產(chǎn)電表中設(shè)置一個后門，從而對電表進(jìn)行批量校準(zhǔn)。如果電網(wǎng)上大量數(shù)據(jù)不準(zhǔn)確，會造成供電公司決策錯誤，以及電網(wǎng)不穩(wěn)定。

監(jiān)測和攔截通信通道

入侵通信通道是傳統(tǒng)攻擊行為，是網(wǎng)絡(luò)安全分析師需要慎重考慮的事項。只要攻擊者沒有機(jī)會獲得密鑰材料，現(xiàn)代化加密技術(shù)足以防御任何攻擊行為。

物理攻擊電表，更改代碼、竊取密鑰

許多微控制器具有在引導(dǎo)裝載程序環(huán)境下轉(zhuǎn)存程序代碼或數(shù)據(jù)存儲器的功能，許多產(chǎn)品也支持測試模式。盡管這些模式非常隱蔽，但對于頑固的攻擊者還是能夠發(fā)現(xiàn)，然后訪問電表微控制器中的任何內(nèi)部存儲器。如果密鑰材料儲存在片上存儲器中，則比較脆弱，物理訪問電表距離物理訪問電表微控制器內(nèi)的存儲器內(nèi)容也僅僅是一步之遙。

防御智能電表生命周期中所面臨的風(fēng)險

至此，我們簡要討論了智能電表及其安全軟件面臨的安全威脅。盡管以上示例并不全面，但都是確實存在的威脅。以上示例證明，部署嵌入式智能電網(wǎng)裝置的任何個人和單位都必須分析和預(yù)測電網(wǎng)本身面臨的威脅隱患。因此，對我們而言，考慮可用來防御這些已知威脅的技術(shù)非常重要。

確保IC合法化

我們必須確保送到生產(chǎn)廠的芯片是合法的、未經(jīng)更改，也沒有用假冒材料代替。過程控制是我們的第一道防線。我們必須加強(qiáng)供應(yīng)鏈合法化，只從原始供應(yīng)商或授權(quán)供應(yīng)鏈直接購買元件。此處的風(fēng)險是從第三方或中間人購買材料，而后者未遵守嚴(yán)格的跟蹤程序來驗證材料的合法化、未經(jīng)篡改。

盡管過程控制非常有效，但并不能阻止不愿善罷甘休、具有一定資源的攻擊者利用假冒材料代替正品材料。這種情況下，可利用安全引導(dǎo)裝載程序防御攻擊。安全引導(dǎo)裝載程序在制造期間裝載至正確的芯片，可利用高級加密技術(shù)鎖定，例如共享AES密鑰或芯片制造商的私鑰。電表制造商接收到芯片時，可使用相同的高級加密工具，以確保芯片被芯片制造商安全鎖定。

生產(chǎn)過程僅裝載真實軟件

同樣，過程控制非常有效。例如，要求兩名或多名隨機(jī)抽調(diào)的生產(chǎn)線工人“驗證”裝載固件，有助于防御攻擊。

過程控制固然有效，但芯片內(nèi)置高級安全技術(shù)可提供更可靠的方案。以上所述的安全引導(dǎo)裝載程序可使電表制造商將加密、經(jīng)過數(shù)字簽名的代碼裝載至電表。實際上，簽約制造商或制造廠只能訪問加密版本的應(yīng)用軟件。表計IC中的安全引導(dǎo)裝載程序在內(nèi)部解密和儲存未加密版本的軟件。這一過程防止攻擊者偷竊固件進(jìn)行克隆或逆工程化，因為電表設(shè)計者和電表本身之間從來不以明文形式使用固件。也可防止攻擊者將新固件引入到制造鏈，因為裝載至表計IC的任何固件都必須經(jīng)過授權(quán)人員的簽名和加密。

安全軟件防止電表克隆

使用相同的安全引導(dǎo)裝載程序，制造廠只需儲存加密版本的應(yīng)用軟件。現(xiàn)在，任何偷竊加密軟件的攻擊者都不能對其進(jìn)行逆向工程。同時，安全引導(dǎo)裝載程序中的密鑰與每個授權(quán)制造商生產(chǎn)的電表相關(guān)聯(lián)。所以，加密后的軟件對于試圖仿制電表的攻擊者的價值很小。為仿制電表，攻擊者需要偷竊針對特定最終用戶設(shè)計的IC，因為其它芯片沒有對應(yīng)的密鑰。

驗證電表合法性、謹(jǐn)防假冒

回想一下試圖通過制造假冒電表并裝載惡意軟件來破壞智能電網(wǎng)的攻擊者。安全引導(dǎo)裝載程序?qū)⒃俅问棺罱K用戶(即供電公司)確保電表裝載正確、有效的固件。此外，引導(dǎo)裝載程序能夠“鎖定”電表，禁止其工作，直到被目標(biāo)供電公司接收。

禁止內(nèi)部人士接觸電表的所有入口

為防止具有專業(yè)知識的內(nèi)部人士重新編程或重新校準(zhǔn)電表，電表設(shè)計者需要“鎖定”(從加密角度)電表的所有可能入口。人們關(guān)注最多的入口是家庭和供電公司網(wǎng)絡(luò)，盡管也有其它關(guān)注較少的訪問點(您需要注意)，包括串口、紅外接口和JTAG或其它調(diào)試端口。

后者必須具有安全防護(hù)措施，保證任何試圖通過這些外設(shè)進(jìn)行控制的人員必須經(jīng)過安全認(rèn)證。例如，大多數(shù)電表具有紅外接入點，所以供電公司能夠讀取本地電表信息。有時候，供電公司的工作人員可通過這些端口發(fā)送命令。如果這種通信未經(jīng)加密和安全認(rèn)證，智能電表就容易受到攻擊。只有保密或未經(jīng)公布的命令集是不夠的。蓄謀已久的攻擊者可發(fā)送隨機(jī)命令，監(jiān)測電表的行為，最終分析得到通過IO端口能夠理解的命令集。技術(shù)水平較低的狡猾攻擊者可能賄賂電力公司員工，以得到命令集，或者獲得用于與IR端口通信的工具。

數(shù)據(jù)加密的安全通信通道

監(jiān)測和入侵通信通道是供電公司、政府和行業(yè)現(xiàn)在最為關(guān)注的攻擊行為，是網(wǎng)絡(luò)安全人員的主要關(guān)注點。這里，我們主要關(guān)心兩點：隱藏數(shù)據(jù)以保護(hù)敏感/隱私信息、對數(shù)據(jù)/命令進(jìn)行安全認(rèn)證以確保有效性。加密工具可用于這兩項任務(wù)。

數(shù)據(jù)和命令安全認(rèn)證通常用簽名實現(xiàn)。注意，對于安全認(rèn)證，我們可能不擔(dān)心數(shù)據(jù)保密。數(shù)據(jù)或命令公開可讀，可能是可接受的。但必須嚴(yán)格保證數(shù)據(jù)或命令的有效性至關(guān)重要。

隱藏數(shù)據(jù)通常采用對稱加密(即共享密鑰)的方法實現(xiàn)，例如AES。使用軟件實現(xiàn)時，該算法相對較快，但如果需要對大數(shù)據(jù)流進(jìn)行加密，往往要求硬件加速。一個例子是固件更新，此時必須接收并加密長數(shù)據(jù)流(或散列)，然后處理器才能繼續(xù)安裝新版本。AES密鑰大小為128至256，密鑰越長，加密越強(qiáng)，從而攻擊者越難以破解。注意，與對稱算法一樣，AES要求數(shù)據(jù)的發(fā)送方和接收方擁有相同的密鑰。

對稱加密方法的使用越來越普遍，其中“簽名方”有兩個密鑰：一個共享密鑰(公鑰)、一個私有密鑰(私鑰)。密鑰本質(zhì)上不干涉另一方的操作。簡而言之，簽名方對一組數(shù)據(jù)應(yīng)用其私鑰，生成簽名;任何人均可驗證確認(rèn)來自于簽名方的簽名，因為知道其公鑰并利用公鑰進(jìn)行反操作。由于密鑰尺寸小(256位，而不是RSA等算法要求的4096位)、安全級別高，智能電網(wǎng)對橢圓曲線技術(shù)越來越感興趣(ECC、ECDSA)。

物理攻擊電表

盡管網(wǎng)絡(luò)安全(智能表計領(lǐng)域的通信通道加密)得到很多關(guān)注，但并不是部署電表時唯一需要考慮的安全事項。智能電表根本上是高風(fēng)險領(lǐng)域，沒有物理防護(hù)和監(jiān)測。對于技術(shù)高超的攻擊者，分析智能電表的最佳途徑是獲得一只電表再加上足夠的時間。由于電表遍布于每個家庭，對于攻擊者而言，獲得一只電表并帶到隱蔽實驗室進(jìn)行分析，非常容易且成本極低。

金融終端行業(yè)防御此類威脅的措施最好，該行業(yè)中用于金融中斷的芯片集成傳感器，主動監(jiān)測物理威脅(例如設(shè)備入侵、具有威脅的溫度和電壓條件，甚至芯片級物理檢查);如果檢測到任何攻擊行為，則擦除NVSRAM中儲存的密鑰。該技術(shù)可確保對電表的任何物理攻擊都會造成電表失效，以及擦除所有關(guān)鍵的敏感信息，包括密鑰。

嵌入式智能電網(wǎng)安全技術(shù)

以上所述的情形概要介紹了大量安全威脅以及防御這些威脅的技術(shù)。

現(xiàn)在，這種技術(shù)已經(jīng)商用。多年以來，Maxim Integrated為金融終端和信用卡行業(yè)提供安全解決方案，案例遍布全球。金融交易的安全級別非常高，而該行業(yè)的健康成長是現(xiàn)代化電子商務(wù)市場增長的基礎(chǔ)。這是這種高級別的安全性推動了我們上文中討論的嵌入式芯片的需求。

相對于金融終端行業(yè)，智能電網(wǎng)威脅的破壞性要大得多。大面積、長時間的斷電，暫時不能處理信用卡業(yè)務(wù)，這兩者誰的破壞性更大呢?Maxim積極推動安全產(chǎn)品的應(yīng)用，例如MAX71637電能測量SoC，集成最高等級的安全技術(shù)。現(xiàn)在，從設(shè)計到制造、再到任務(wù)模式、直到設(shè)備報廢，您能夠保證智能電網(wǎng)整個生命周期的安全。這才是供電公司和我們消費者能夠享受智能電網(wǎng)帶來的巨大利益的唯一途徑。