淺析智能電表的安全保障

　　電表和傳感器通常分散在遠(yuǎn)離電力公司視線范圍地方，本文討論提高這些智能電網(wǎng)端點(diǎn)安全性的各種技術(shù)。既考慮了傳統(tǒng)的物理和邏輯攻擊，也考慮了可能滲入供應(yīng)鏈的聯(lián)合攻擊手段，這些攻擊會對電力公司的電表部署構(gòu)成嚴(yán)重威脅。防范這些攻擊的安全技術(shù)已經(jīng)在金融支付行業(yè)得到成功應(yīng)用，能夠可靠用于智能電網(wǎng)保護(hù)。

　　隨著世界各國競相部署智能化的輸電系統(tǒng)，如何保障這些系統(tǒng)的安全成為重要課題。盡管專門針對智能電網(wǎng)安全保護(hù)的標(biāo)準(zhǔn)寥寥無幾，但電力公司已經(jīng)開始在系統(tǒng)部署初期大做文章——配備IT系統(tǒng)進(jìn)行數(shù)據(jù)收集和分析，采用先進(jìn)的通信技術(shù)傳輸數(shù)據(jù)，利用端點(diǎn)（如智能電表）和電網(wǎng)健康狀況監(jiān)測系統(tǒng)生成原始數(shù)據(jù)。雖然安全問題在最近幾年已經(jīng)成為廣泛關(guān)注的問題，但仍然存在許多工作有待完成，尤其是“端點(diǎn)”保護(hù)，例如：電表和電網(wǎng)傳感器的安全保護(hù)。本文概要介紹這些端點(diǎn)所面臨的威脅，以及應(yīng)對這些威脅的安全技術(shù)。

　　圖1. 智能電網(wǎng)模型——電力公司通過通信網(wǎng)絡(luò)從端點(diǎn)收集數(shù)據(jù)

　　安全威脅

　　毫無疑問，智能電網(wǎng)面臨的安全隱患有很多種，但大致可分為兩大類。第一類為個體攻擊，指攻擊者的目標(biāo)是智能電網(wǎng)數(shù)據(jù)，以獲得自身利益——例如：竊取電費(fèi)，或隱瞞違禁藥物的生產(chǎn)等。個體攻擊的目的并非擾亂電網(wǎng)管理，僅僅是為了獲得某一個體或團(tuán)體的利益。

　　第二類攻擊指的是對社會構(gòu)成威脅的活動，包括試圖破壞電網(wǎng)運(yùn)行的活動。這可能是對電網(wǎng)本身的攻擊（大區(qū)域誤報(bào)能耗，造成整個電網(wǎng)的資金鏈緊張）；也可能是對社會的攻擊（例如：恐怖分子襲擊），造成電網(wǎng)癱瘓，用戶斷電。發(fā)生斷電時，生產(chǎn)和金融損失將無可估量，特別是在極熱、極冷氣候下，還會對人類的生命安全構(gòu)成威脅。

　　薄弱環(huán)節(jié)

　　攻擊者通常會縱觀整個電網(wǎng)，并設(shè)法確定實(shí)施攻擊的最佳位置，以便以最少投資和最低風(fēng)險(xiǎn)達(dá)到預(yù)期結(jié)果。我們可以簡單考察一個“電力中心—端點(diǎn)”的模型，考慮兩種情況下的攻擊者如何達(dá)到目的。

　　個體威脅：以希望減免電費(fèi)的黑客為例，攻擊者可能混進(jìn)電力公司控制室，更改其電表記錄，從而達(dá)到目的；他也可能攔截?cái)?shù)據(jù)，截取發(fā)送給電力公司的能耗信息；或者直接篡改電表固件，使其降低耗電量的記錄。

　　社會威脅：以希望破壞絕大多數(shù)用戶供電鏈的恐怖分子為例，攻擊者可能混進(jìn)電力控制室，遠(yuǎn)程斷開大量電表，或關(guān)閉某個變電站的供電。攻擊者也可能向通信總線注入指令執(zhí)行類似動作；或者控制電表，使其直接從遠(yuǎn)端斷開繼電器；也可能控制傳感器向電力公司反饋錯誤數(shù)據(jù)，造成電力控制中心的誤判和錯誤操作。

　　從簡單模型可以看出所存在攻擊通路，整個電網(wǎng)的絕大部分環(huán)節(jié)（電力公司控制室、通信網(wǎng)絡(luò)、端點(diǎn)）都可實(shí)施上述攻擊行為。提高系統(tǒng)的整體安全性會對三個環(huán)節(jié)提供安全防護(hù)，但實(shí)際操作時要求我們識別并定位最薄弱的環(huán)節(jié)。這也正是攻擊者所采取的措施——找到最容易的入侵點(diǎn)（智能電網(wǎng)的薄弱環(huán)節(jié)）實(shí)施攻擊。

　　試想攻擊者可能如何看待當(dāng)前的三個主要環(huán)節(jié)。成功入侵電力公司控制室能夠最大程度地控制電網(wǎng)，但所承受的風(fēng)險(xiǎn)也最高?？刂剖冶囟ǚ雷o(hù)嚴(yán)密，具有良好的訪問權(quán)限控制，同時還具有安全認(rèn)證流程。此外，入侵者在控制室也很難藏身——即使保安人員沒有抓住闖入者，監(jiān)控?cái)z像頭也會記錄下來。當(dāng)然，內(nèi)部人員能夠最有效地從電力控制中心攻擊整個電網(wǎng)，但由于電力部門規(guī)程嚴(yán)格限制了個人權(quán)限，任何個人都不可能運(yùn)行威脅電網(wǎng)運(yùn)轉(zhuǎn)的操作，此類操作通常需要多人同時到場實(shí)施，從而簡單了內(nèi)部人員作案的風(fēng)險(xiǎn)。

　　這樣，攻擊者的第二個選擇必然是通信鏈路，迄今為止，關(guān)于智能電網(wǎng)安全性的多數(shù)話題都集中在通信鏈路，大多數(shù)系統(tǒng)部署也都采用了嚴(yán)格的加密技術(shù)，以保護(hù)智能電網(wǎng)端點(diǎn)與電力中心之間數(shù)據(jù)和命令傳輸。為了成功攻擊通信通道，必須獲取安全密匙或認(rèn)證密匙。而可靠的通信協(xié)議都不會共用密匙，意味著攻擊者只能（1） 從電力公司或端點(diǎn)獲取密匙；或者（2）對通道的加密/認(rèn)證機(jī)制實(shí)施暴力攻擊。注意，選項(xiàng)1實(shí)際上并非攻擊通道本身，而是攻擊電網(wǎng)的其它部件。暴力攻擊（選項(xiàng)2）也不大可能得到結(jié)果。常見的加密算法，例如AES-128，以暴力方式攻擊，計(jì)算方面是不可行的，這意味著超高速計(jì)算機(jī)需要運(yùn)行若干年，甚至幾十年的時間才能獲取密鑰，遠(yuǎn)遠(yuǎn)長于數(shù)據(jù)本身有效期限。

　　于是攻擊者將轉(zhuǎn)向智能電網(wǎng)端點(diǎn)本身：諸如智能電表或電網(wǎng)健康狀況監(jiān)測傳感器等裝置。此類裝置的吸引力更大，因?yàn)槎它c(diǎn)保護(hù)措施相對薄弱，大范圍分散在室外，或者安裝在遠(yuǎn)距離傳輸線上。我們可將諸如數(shù)據(jù)集中器之類的裝置考慮在內(nèi)，因?yàn)榇祟愒O(shè)備往往也沒有保護(hù)措施。這些薄弱點(diǎn)為攻擊者分析和嘗試不同的攻擊方法提供了可乘之機(jī)。的確，這些端點(diǎn)帶電，難以觸及（例如在高聳的傳輸線上），具有潛在危險(xiǎn)。但攻擊者完全可以利用一些防護(hù)措施，避免人員傷害。表面上看，像電表這樣的端點(diǎn)最容易使攻擊者得逞。但對手如何實(shí)施攻擊呢？