浅析智能电表的安全保障

　　电表和传感器通常分散在远离电力公司视线范围地方，本文讨论提高这些智能电网端点安全性的各种技术。既考虑了传统的物理和逻辑攻击，也考虑了可能渗入供应链的联合攻击手段，这些攻击会对电力公司的电表部署构成严重威胁。防范这些攻击的安全技术已经在金融支付行业得到成功应用，能够可靠用于智能电网保护。

　　随着世界各国竞相部署智能化的输电系统，如何保障这些系统的安全成为重要课题。尽管专门针对智能电网安全保护的标准寥寥无几，但电力公司已经开始在系统部署初期大做文章——配备IT系统进行数据收集和分析，采用先进的通信技术传输数据，利用端点（如智能电表）和电网健康状况监测系统生成原始数据。虽然安全问题在最近几年已经成为广泛关注的问题，但仍然存在许多工作有待完成，尤其是"端点"保护，例如：电表和电网传感器的安全保护。本文概要介绍这些端点所面临的威胁，以及应对这些威胁的安全技术。

　　图1. 智能电网模型——电力公司通过通信网络从端点收集数据

　　安全威胁

　　毫无疑问，智能电网面临的安全隐患有很多种，但大致可分为两大类。第一类为个体攻击，指攻击者的目标是智能电网数据，以获得自身利益——例如：窃取电费，或隐瞒违禁药物的生产等。个体攻击的目的并非扰乱电网管理，仅仅是为了获得某一个体或团体的利益。

　　第二类攻击指的是对社会构成威胁的活动，包括试图破坏电网运行的活动。这可能是对电网本身的攻击（大区域误报能耗，造成整个电网的资金链紧张）；也可能是对社会的攻击（例如：恐怖分子袭击），造成电网瘫痪，用户断电。发生断电时，生产和金融损失将无可估量，特别是在极热、极冷气候下，还会对人类的生命安全构成威胁。

　　薄弱环节

　　攻击者通常会纵观整个电网，并设法确定实施攻击的最佳位置，以便以最少投资和最低风险达到预期结果。我们可以简单考察一个"电力中心—端点"的模型，考虑两种情况下的攻击者如何达到目的。

　　个体威胁：以希望减免电费的黑客为例，攻击者可能混进电力公司控制室，更改其电表记录，从而达到目的；他也可能拦截数据，截取发送给电力公司的能耗信息；或者直接篡改电表固件，使其降低耗电量的记录。

　　社会威胁：以希望破坏绝大多数用户供电链的恐怖分子为例，攻击者可能混进电力控制室，远程断开大量电表，或关闭某个变电站的供电。攻击者也可能向通信总线注入指令执行类似动作；或者控制电表，使其直接从远端断开继电器；也可能控制传感器向电力公司反馈错误数据，造成电力控制中心的误判和错误操作。

　　从简单模型可以看出所存在攻击通路，整个电网的绝大部分环节（电力公司控制室、通信网络、端点）都可实施上述攻击行为。提高系统的整体安全性会对三个环节提供安全防护，但实际操作时要求我们识别并定位最薄弱的环节。这也正是攻击者所采取的措施——找到最容易的入侵点（智能电网的薄弱环节）实施攻击。

　　试想攻击者可能如何看待当前的三个主要环节。成功入侵电力公司控制室能够最大程度地控制电网，但所承受的风险也最高。控制室必定防护严密，具有良好的访问权限控制，同时还具有安全认证流程。此外，入侵者在控制室也很难藏身——即使保安人员没有抓住闯入者，监控摄像头也会记录下来。当然，内部人员能够最有效地从电力控制中心攻击整个电网，但由于电力部门规程严格限制了个人权限，任何个人都不可能运行威胁电网运转的操作，此类操作通常需要多人同时到场实施，从而简单了内部人员作案的风险。

　　这样，攻击者的第二个选择必然是通信链路，迄今为止，关于智能电网安全性的多数话题都集中在通信链路，大多数系统部署也都采用了严格的加密技术，以保护智能电网端点与电力中心之间数据和命令传输。为了成功攻击通信通道，必须获取安全密匙或认证密匙。而可靠的通信协议都不会共用密匙，意味着攻击者只能（1） 从电力公司或端点获取密匙；或者（2）对通道的加密/认证机制实施暴力攻击。注意，选项1实际上并非攻击通道本身，而是攻击电网的其它部件。暴力攻击（选项2）也不大可能得到结果。常见的加密算法，例如AES-128，以暴力方式攻击，计算方面是不可行的，这意味着超高速计算机需要运行若干年，甚至几十年的时间才能获取密钥，远远长于数据本身有效期限。

于是攻击者将转向智能电网端点本身：诸如智能电表或电网健康状况监测传感器等装置。此类装置的吸引力更大，因为端点保护措施相对薄弱，大范围分散在