智能電網供應鏈潛在的危險及防御措施

政府與電力部門，甚至消費者都越來越關注智能電網的安全性。繼空氣、水、食品與住宅之后，電力已經成為人類最基本的生活必需品之一。毫無疑問，可靠的電力供應是現代社會生活的保障，也是促進新興國家發(fā)展的重要因素。

在關于智能電網安全性的討論，大部分內容都傾向于網絡安全，以及在此環(huán)境下嵌入式設備以安全認證方式接入網絡，并通過網絡處理數據。盡管這是智能電網環(huán)境下保證供電安全的關鍵步驟，但這種方法過于狹隘，忽略了智能電網在有效運行期限內來自智能電網設備供應鏈的威脅。

本文探討智能電網供應鏈存在的潛在風險以及對智能電網構成的威脅。必須重視并防范這些威脅，才能保證電網運行的安全。最后，我們評估用于防止這些威脅的技術。

電網的潛在風險?

為什么有人會試圖攻擊智能電網?答案不盡相同。

最簡單的情況，可能是攻擊者想節(jié)省其電費賬單。攻擊者通過更改其智能電表來保護個人利益。有些情況下，可能是有組織犯罪活動，以隱藏其真實的耗電數據，比如毒品實驗室試圖掩蓋其耗電量。除此之外，還存在更高意識形態(tài)的電網攻擊者。

眾所周知，許多國家必須應對恐怖襲擊的威脅，每時每刻都要加以防范。炸彈或飛機襲擊等武力威脅固然可怕，而針對供電網絡的攻擊行為則會擾亂大量人群生活質量。一旦攻擊者控制幾百萬只電表，則會破壞大批人群的供電，發(fā)起實質性的公共攻擊。

智能電表有效運行期限內所面臨的物理威脅

圖1所示為智能電表生命周期不同階段的概念圖。為簡單起見，該模型僅限于四個步驟：芯片采購、智能電表生產、智能電表部署，以及運轉模式下的智能電表。我們利用這一簡單模型進行潛在風險分析。對于每一階段(包括各個階段之間的過渡或運輸)，我們都需要考察：攻擊者會采取什么方式來控制智能電表網絡?

智能電表生命周期所面臨的潛在風險模型。如圖所示，只有通信加密并不能提供有效保護。

利用假冒IC代替合法IC

對于攻擊者來說，芯片制造商和設備制造商之間的運輸環(huán)節(jié)是入侵智能電表供應鏈的最佳時機。對于攻擊者而言，微控制器是塊“肥肉”。在一般的供應鏈模型中，芯片制造商將基于閃存的微控制器運輸到生產場所，無論是簽約制造商(CM)還是最終用戶。在生產場所，將智能電表固件裝載至微控制器。在完成電表生產及裝箱之前，要進行一些系統(tǒng)級配置。這是正常的流程。

現在，假設技術高超的攻擊者設計一款看起來和用起來都非常像正品電表SoC的微控制器，就可能出現諸多情況。IC可能被更改，允許網絡恐怖分子通過網絡遠程控制電表;或者，假冒SoC可能根據任何請求轉存其存儲器內容，從而泄露制造期間裝載的通信密鑰;再或者，假冒SoC可能允許任何人查看其軟件，從而威脅到正規(guī)電表廠商的IP。

有些技術不太高超的攻擊者，“假冒IC”需要進行制造，想象一下運輸至CM的真實閃存微控制器。攻擊者攔截運輸過程并在閃存中裝載一段程序，該程序看起來非常像系統(tǒng)內置的標準引導裝載程序。IC到達CM時，可能很難檢測到這種詭計(即假冒引導裝載程序)。然后CM下載標準固件，但“不安全”的引導裝載程序已經在電表中駐留病毒。隨后，該病毒會造成電表功能不正常，并與攻擊者共享安全密鑰。

如果沒有正確的保護措施，利用IC運輸進行假冒或篡改的攻擊者就能夠控制智能電表的整個生命周期，在智能電網上隨意引發(fā)不可想象的災難。

生產過程中裝載惡意軟件

制造車間同樣存在風險，比如，來自負責生產的員工隊伍。一般情況下，這些工人的收入遠低于工程團隊或管理者。經濟不景氣時，100美元的賄賂獲取就能收買生產線的工人，在智能電表中裝載特殊固件。即使比較富裕的國家，如果100美元達不到目的，他們或許支付更高的費用，1,000或10,000美元?

如果攻擊者可接觸到生產流程，就能夠竊取裝載到智能電表的二進制碼鏡像。竊取鏡像并更改固件，造成意想不到的后果，這一點并不困難。例如，攻擊者更改中斷向量，在嚴格定義的情況下引發(fā)破壞行為。中斷向量可被編程為監(jiān)測實時時鐘，在夏天的某個特定時間斷開電表的斷路繼電器，使處理器停頓，導致電表脫離網絡。在這樣的攻擊下，可能有數百萬只電表遭到破壞，停止向居民供電。如果供電公司被迫手動更換智能電表，經濟損失將不可估量?？紤]到炎熱夏季斷電造成的后果，將會大幅提高人們的生活成本。

偷竊軟件仿制電表

為了從中獲取非法利益，在正常的生產流程中，產線工人可輕而易舉地接觸到裝載到智能電表的二進制鏡像。通過賄賂，攻擊者即可接觸到原始PCB，從而進行逆向工程。如果攻擊者得到完整的BOM，帶有可識別的IC部件號，以及智能電表工作所需的軟件，就擁有了仿制電表所需的一切。攻擊者不需要任何研發(fā)成本也可銷售電表。

一旦攻擊者能夠仿制電表，如上所述，就存在更改電表軟件的風險。

利用假冒電表代替合法電表

與芯片相比，電表外殼和標識的仿制要容易得多。這種情況下，攻擊者制造看起來酷似合法電表的產品，但固件包含隱藏的攻擊代碼。對電表進行校準，使其報告錯誤的用電量。如果電表允許攻擊者控制其切斷或控制發(fā)送至電力公司的數據，這可能是災難性的。對單只電表的攻擊帶來的是麻煩，還算不上災難;而針對大量電表的攻擊行為將會帶來不可估量的損失。想象一下，六百萬只電表報告的用電量都不正確會是什么情形。供電公司將根據錯誤的數據做出決策，妨礙其響應用電需求變化以及正確發(fā)電的能力，不可避免地發(fā)生大范圍電網不穩(wěn)定，造成巨大的生產力損失。

通過內部訪問重新校準電表

合法電表安裝到現場后，遭受攻擊的風險并未結束。假設攻擊者是電表制造商內部人士，了解如何與電表進行通信，開發(fā)出更改電表校準數據的IR裝置。這樣的裝置很容易制造，能夠更改任何電表減少實報用電量數據。盡管這一行為不會造成大面積電網故障，但會給電力公司帶來嚴重的經濟損失。

這里所述的攻擊并不是推理，而是真實發(fā)生的故事。

監(jiān)測和攔截通信環(huán)節(jié)

這是智能社區(qū)普遍擔心的一種攻擊行為。根本問題在于攻擊者可能綁架智能電網周圍的通信網絡，通過模擬命令，斷開其斷路繼電器，從而中斷供電;也可能假冒電表通信，報告錯誤的用電數據。然后供電公司可能利用這種有缺陷的智能電表顯示數據制定決策，比如對所需發(fā)電量或電壓/無功功率優(yōu)化。如果數據和命令未進行正確加密(隱藏)和安全認證(驗證)，就為攻擊者提供了干擾甚至控制智能電網的途徑。

物理攻擊電表，更改代碼、竊取密鑰

電表在完成部署之后，到底有多安全?電表的物理安全是關鍵考慮。嵌入式智能電網端點設備(例如智能電表、電網傳感器、分布式自動控制點)必然是分布式的，并且沒有任何物理保護措施。所以，智能電網的端點非常脆弱，容易被偷盜、帶回實驗室，在攻擊者閑暇時進行檢查分析。

這種情況下，攻擊者對電表微控制器的引腳進行編程，裝載新固件，使其報告錯誤的用電數據。有的攻擊者采用物理方式訪問電表，然后控制電表微控制器的內存，最終獲得安全通信密鑰。在這些危險情形下，攻擊者可破譯智能電表的網絡通信，發(fā)起大范圍的破壞性事件。

生命周期內的網絡安全

我們以上已經討論了智能電表生命周期受到的物理威脅，接下來討論電網通信環(huán)節(jié)的風險。

智能電網行業(yè)一向致力于確保智能電網通信(即數據和命令)的安全性和可靠性?，F代化智能電網標準要求采用AES加密，或橢圓曲線加密。即使對于未來幾十年的計算能力，這些算法的復雜度也可有效保護數據。

那么這種情況下的主要威脅來自哪里?智能電網中的命令和數據都具有加密保護，采用強大處理設備都不足以破解的加密算法，果真如此的話，我們可能已經不需要繼續(xù)從事這個行業(yè)或干脆退休了!現在擔心的事情不是數據和命令的加密保護，而是潛在的薄弱環(huán)節(jié)，攻擊者容易突破的是關鍵信息的保護，加密密鑰。

攻擊者將不擇手段獲得關鍵信息(密鑰)，選擇風險/成本最低的途徑。窺探通信流量和強力破解可能需要數十年的時間，成本非常高。但如果潛入國外簽約制造廠，在生產期間攔截裝載的密鑰，成本又如何呢?這種行為的成本和風險較低嗎?

回顧以上討論的每種威脅情形，攻擊者都是充分利用每種情形，不擇手段得到密鑰;這必定會攻破智能電表網絡的嚴謹設計和部署：

利用假冒IC代替合法IC

這種情況下，攻擊者對假冒或攔截得到的IC進行編程，與其它攻擊者共享存儲器內容。由于可將假冒(或攔截)IC編程為共享數據，所以很容易威脅到生產期間裝載的密鑰。

生產期間裝載惡意軟件

如果在生產期間配置密鑰，那么就可能利用社會渠道(例如，行賄或其它好處)說服生產線工人共享裝載的密鑰。

偷竊軟件仿制電表

如果攻擊者能夠重構智能電表裝載的軟件，就可能使軟件共享而不是保護密鑰。

利用假冒電表代替合法電表

假冒電表可能與任何不法人員共享密鑰。如果假冒電表留有后門，就可能威脅到正品電表在生產過程中裝載密鑰的安全。

通過內部訪問重新校準電表

迄今為止，已知的重新校準電表攻擊是為了個人私利，也就是降低個人的電費賬單。具有專業(yè)知識的內部人士也可能在量產電表中設置一個后門，從而對電表進行批量校準。如果電網上大量數據不準確，會造成供電公司決策錯誤，以及電網不穩(wěn)定。

監(jiān)測和攔截通信通道

入侵通信通道是傳統(tǒng)攻擊行為，是網絡安全分析師需要慎重考慮的事項。只要攻擊者沒有機會獲得密鑰材料，現代化加密技術足以防御任何攻擊行為。

物理攻擊電表，更改代碼、竊取密鑰

許多微控制器具有在引導裝載程序環(huán)境下轉存程序代碼或數據存儲器的功能，許多產品也支持測試模式。盡管這些模式非常隱蔽，但對于頑固的攻擊者還是能夠發(fā)現，然后訪問電表微控制器中的任何內部存儲器。如果密鑰材料儲存在片上存儲器中，則比較脆弱，物理訪問電表距離物理訪問電表微控制器內的存儲器內容也僅僅是一步之遙。

防御智能電表生命周期中所面臨的風險

至此，我們簡要討論了智能電表及其安全軟件面臨的安全威脅。盡管以上示例并不全面，但都是確實存在的威脅。以上示例證明，部署嵌入式智能電網裝置的任何個人和單位都必須分析和預測電網本身面臨的威脅隱患。因此，對我們而言，考慮可用來防御這些已知威脅的技術非常重要。

確保IC合法化

我們必須確保送到生產廠的芯片是合法的、未經更改，也沒有用假冒材料代替。過程控制是我們的第一道防線。我們必須加強供應鏈合法化，只從原始供應商或授權供應鏈直接購買元件。此處的風險是從第三方或中間人購買材料，而后者未遵守嚴格的跟蹤程序來驗證材料的合法化、未經篡改。

盡管過程控制非常有效，但并不能阻止不愿善罷甘休、具有一定資源的攻擊者利用假冒材料代替正品材料。這種情況下，可利用安全引導裝載程序防御攻擊。安全引導裝載程序在制造期間裝載至正確的芯片，可利用高級加密技術鎖定，例如共享AES密鑰或芯片制造商的私鑰。電表制造商接收到芯片時，可使用相同的高級加密工具，以確保芯片被芯片制造商安全鎖定。

生產過程僅裝載真實軟件

同樣，過程控制非常有效。例如，要求兩名或多名隨機抽調的生產線工人“驗證”裝載固件，有助于防御攻擊。

過程控制固然有效，但芯片內置高級安全技術可提供更可靠的方案。以上所述的安全引導裝載程序可使電表制造商將加密、經過數字簽名的代碼裝載至電表。實際上，簽約制造商或制造廠只能訪問加密版本的應用軟件。表計IC中的安全引導裝載程序在內部解密和儲存未加密版本的軟件。這一過程防止攻擊者偷竊固件進行克隆或逆工程化，因為電表設計者和電表本身之間從來不以明文形式使用固件。也可防止攻擊者將新固件引入到制造鏈，因為裝載至表計IC的任何固件都必須經過授權人員的簽名和加密。

安全軟件防止電表克隆

使用相同的安全引導裝載程序，制造廠只需儲存加密版本的應用軟件?，F在，任何偷竊加密軟件的攻擊者都不能對其進行逆向工程。同時，安全引導裝載程序中的密鑰與每個授權制造商生產的電表相關聯。所以，加密后的軟件對于試圖仿制電表的攻擊者的價值很小。為仿制電表，攻擊者需要偷竊針對特定最終用戶設計的IC，因為其它芯片沒有對應的密鑰。

驗證電表合法性、謹防假冒

回想一下試圖通過制造假冒電表并裝載惡意軟件來破壞智能電網的攻擊者。安全引導裝載程序將再次使最終用戶(即供電公司)確保電表裝載正確、有效的固件。此外，引導裝載程序能夠“鎖定”電表，禁止其工作，直到被目標供電公司接收。

禁止內部人士接觸電表的所有入口

為防止具有專業(yè)知識的內部人士重新編程或重新校準電表，電表設計者需要“鎖定”(從加密角度)電表的所有可能入口。人們關注最多的入口是家庭和供電公司網絡，盡管也有其它關注較少的訪問點(您需要注意)，包括串口、紅外接口和JTAG或其它調試端口。

后者必須具有安全防護措施，保證任何試圖通過這些外設進行控制的人員必須經過安全認證。例如，大多數電表具有紅外接入點，所以供電公司能夠讀取本地電表信息。有時候，供電公司的工作人員可通過這些端口發(fā)送命令。如果這種通信未經加密和安全認證，智能電表就容易受到攻擊。只有保密或未經公布的命令集是不夠的。蓄謀已久的攻擊者可發(fā)送隨機命令，監(jiān)測電表的行為，最終分析得到通過IO端口能夠理解的命令集。技術水平較低的狡猾攻擊者可能賄賂電力公司員工，以得到命令集，或者獲得用于與IR端口通信的工具。

數據加密的安全通信通道

監(jiān)測和入侵通信通道是供電公司、政府和行業(yè)現在最為關注的攻擊行為，是網絡安全人員的主要關注點。這里，我們主要關心兩點：隱藏數據以保護敏感/隱私信息、對數據/命令進行安全認證以確保有效性。加密工具可用于這兩項任務。

數據和命令安全認證通常用簽名實現。注意，對于安全認證，我們可能不擔心數據保密。數據或命令公開可讀，可能是可接受的。但必須嚴格保證數據或命令的有效性至關重要。

隱藏數據通常采用對稱加密(即共享密鑰)的方法實現，例如AES。使用軟件實現時，該算法相對較快，但如果需要對大數據流進行加密，往往要求硬件加速。一個例子是固件更新，此時必須接收并加密長數據流(或散列)，然后處理器才能繼續(xù)安裝新版本。AES密鑰大小為128至256，密鑰越長，加密越強，從而攻擊者越難以破解。注意，與對稱算法一樣，AES要求數據的發(fā)送方和接收方擁有相同的密鑰。

對稱加密方法的使用越來越普遍，其中“簽名方”有兩個密鑰：一個共享密鑰(公鑰)、一個私有密鑰(私鑰)。密鑰本質上不干涉另一方的操作。簡而言之，簽名方對一組數據應用其私鑰，生成簽名;任何人均可驗證確認來自于簽名方的簽名，因為知道其公鑰并利用公鑰進行反操作。由于密鑰尺寸小(256位，而不是RSA等算法要求的4096位)、安全級別高，智能電網對橢圓曲線技術越來越感興趣(ECC、ECDSA)。

物理攻擊電表

盡管網絡安全(智能表計領域的通信通道加密)得到很多關注，但并不是部署電表時唯一需要考慮的安全事項。智能電表根本上是高風險領域，沒有物理防護和監(jiān)測。對于技術高超的攻擊者，分析智能電表的最佳途徑是獲得一只電表再加上足夠的時間。由于電表遍布于每個家庭，對于攻擊者而言，獲得一只電表并帶到隱蔽實驗室進行分析，非常容易且成本極低。

金融終端行業(yè)防御此類威脅的措施最好，該行業(yè)中用于金融中斷的芯片集成傳感器，主動監(jiān)測物理威脅(例如設備入侵、具有威脅的溫度和電壓條件，甚至芯片級物理檢查);如果檢測到任何攻擊行為，則擦除NVSRAM中儲存的密鑰。該技術可確保對電表的任何物理攻擊都會造成電表失效，以及擦除所有關鍵的敏感信息，包括密鑰。

嵌入式智能電網安全技術

以上所述的情形概要介紹了大量安全威脅以及防御這些威脅的技術。

現在，這種技術已經商用。多年以來，Maxim Integrated為金融終端和信用卡行業(yè)提供安全解決方案，案例遍布全球。金融交易的安全級別非常高，而該行業(yè)的健康成長是現代化電子商務市場增長的基礎。這是這種高級別的安全性推動了我們上文中討論的嵌入式芯片的需求。

相對于金融終端行業(yè)，智能電網威脅的破壞性要大得多。大面積、長時間的斷電，暫時不能處理信用卡業(yè)務，這兩者誰的破壞性更大呢?Maxim積極推動安全產品的應用，例如MAX71637電能測量SoC，集成最高等級的安全技術?，F在，從設計到制造、再到任務模式、直到設備報廢，您能夠保證智能電網整個生命周期的安全。這才是供電公司和我們消費者能夠享受智能電網帶來的巨大利益的唯一途徑。