浅析智能电表的安全保障

室外，或者安装在远距离传输线上。我们可将诸如数据集中器之类的装置考虑在内，因为此类设备往往也没有保护措施。这些薄弱点为攻击者分析和尝试不同的攻击方法提供了可乘之机。的确，这些端点带电，难以触及（例如在高耸的传输线上），具有潜在危险。但攻击者完全可以利用一些防护措施，避免人员伤害。表面上看，像电表这样的端点最容易使攻击者得逞。但对手如何实施攻击呢？

　　攻击已安装的电表

　　以下讨论适用于智能电网上具有通信功能的任何端点，但为讨论方便，我们以智能电表为例。

　　对于个体攻击，攻击者将穷其所能对电表实施攻击。其目的可能是更改电流检测装置，使其检测耗电量更少；或者对电表软件实施逆向工程，使其报告的耗电数更少。

　　社会攻击可能以类似方式入手：攻击者研究电表，试图了解其工作原理。其目的是希望析取密匙、对软件协议实施逆向工程，以及重新设置电表。一旦得手，攻击者可对大量电表重新配置，降低其实报耗电量，或在指定日期和时间同时断开。

　　面对此类威胁，如何保障智能电网端点的安全呢？市场上可供使用的嵌入式安全技术（例如，广泛用于金融交易和政府机构的安全处理器），能够很好地抵御个体电表的攻击。这类安全技术集成了物理攻击（强行控制）侦测或嵌入式系统、逻辑攻击（分析嵌入式系统存储器、应用程序或协议）侦测的方法。

　　具有物理攻击检测机制的嵌入式系统能够检测系统隐患。这些产品采用物理传感器，例如，检测器件外壳被打开的开关、运动传感器及环境传感器等。一旦侦测到攻击操作，电表可采取相应措施，例如：尝试联系电力中心，甚至删除安全密匙（删除密匙要比泄露给攻击者更好）。

　　有些逻辑侦测技术也可用于抵御电表的攻击，对安全存储器加锁或加密，使攻击者难以读取软件或对其实施逆向工程。安全装载器在生产过程中锁定器件，确保攻击者不能在电表上装载未经授权的软件。

　　安全部署电表也可以在一定程度上防范社会攻击。电表采用唯一密匙，攻击者即使获得一个电表的密匙，也不会影响其它电表的安全。如果窃取单个密匙非常困难（采用上述物理和逻辑保护措施），就增加了社会威胁攻击大量安装电表的难度。

　　攻击供应链

　　一些现有的嵌入式安全技术可以降低电表及智能电网遭受社会攻击的风险。然而，我们必须考虑除此之外的攻击手段，并确保设备在整个使用期限内的安全。

　　无论外包，还是内部制造，生产环节非常容易发生剽窃（即使现场制造！），也是最容易窃取知识产权的环节。这种环境下，开发IP可能被偷窃用于逆向工程分析，甚至在产品中安装新的危险IP。

　　一些顽固的攻击者可对电表软件实施逆向工程，然后安装病毒，在设定日期和时间远程断开、关闭电表通信、擦除内部存储器。攻击者可在制造过程中更换IP。后果将是灾难性的——导致一次部署的数百万支电表在指定时间全部断电。需要数周或数月的时间维修或更换电表，费用庞大。

　　嵌入式安全产品可利用安全引导装载程序、安全存储器及使用期限管理等功能降低风险。安全引导装载程序可以装载加密电表软件，电表设计者或软件设计者将加密程序发送到生产线，系统微控制器中的安全引导装载程序可解密和储存应用程序。安全存储器（内部或外部）也可储存加密应用程序代码，使应用程序内容既不可读，也不可逆向工程或复制。使用期限管理功能可用于验证实际供应链。硅制造商可锁定器件，只允许某个客户解锁和安装代码；电表OEM可锁定其电表，只有指定的电力公司解锁和安装。随着供应链安全措施的增多，通过电表实现社会攻击的机会得到抑制。

　　解决方案？

　　很难找到十全十美的智能电网安全方案，因为这种方案需要耗费的时间和费用也是无限的。但是，利用已普遍用于金融交易和政府机构的安全技术，能够为智能电网的嵌入式端点提供更高水平的物理和逻辑防护。

　　这里所介绍的攻击及应对措施并不仅限于智能电网的安全漏洞，在考虑智能电网所面临的威胁时，需要密切关注电表这样的嵌入式端点。一旦电表及其它端点得到多层安全防护，攻击者将不得不另寻出路。