智能电网供应链潜在的危险及防御措施
时间:10-31
来源:互联网
点击:
利用假冒电表代替合法电表
与芯片相比,电表外壳和标识的仿制要容易得多。这种情况下,攻击者制造看起来酷似合法电表的产品,但固件包含隐藏的攻击代码。对电表进行校准,使其报告错误的用电量。如果电表允许攻击者控制其切断或控制发送至电力公司的数据,这可能是灾难性的。对单只电表的攻击带来的是麻烦,还算不上灾难;而针对大量电表的攻击行为将会带来不可估量的损失。想象一下,六百万只电表报告的用电量都不正确会是什么情形。供电公司将根据错误的数据做出决策,妨碍其响应用电需求变化以及正确发电的能力,不可避免地发生大范围电网不稳定,造成巨大的生产力损失。
通过内部访问重新校准电表
合法电表安装到现场后,遭受攻击的风险并未结束。假设攻击者是电表制造商内部人士,了解如何与电表进行通信,开发出更改电表校准数据的IR装置。这样的装置很容易制造,能够更改任何电表减少实报用电量数据。尽管这一行为不会造成大面积电网故障,但会给电力公司带来严重的经济损失。
这里所述的攻击并不是推理,而是真实发生的故事。
监测和拦截通信环节
这是智能社区普遍担心的一种攻击行为。根本问题在于攻击者可能绑架智能电网周围的通信网络,通过模拟命令,断开其断路继电器,从而中断供电;也可能假冒电表通信,报告错误的用电数据。然后供电公司可能利用这种有缺陷的智能电表显示数据制定决策,比如对所需发电量或电压/无功功率优化。如果数据和命令未进行正确加密(隐藏)和安全认证(验证),就为攻击者提供了干扰甚至控制智能电网的途径。
物理攻击电表,更改代码、窃取密钥
电表在完成部署之后,到底有多安全?电表的物理安全是关键考虑。嵌入式智能电网端点设备(例如智能电表、电网传感器、分布式自动控制点)必然是分布式的,并且没有任何物理保护措施。所以,智能电网的端点非常脆弱,容易被偷盗、带回实验室,在攻击者闲暇时进行检查分析。
这种情况下,攻击者对电表微控制器的引脚进行编程,装载新固件,使其报告错误的用电数据。有的攻击者采用物理方式访问电表,然后控制电表微控制器的内存,最终获得安全通信密钥。在这些危险情形下,攻击者可破译智能电表的网络通信,发起大范围的破坏性事件。
生命周期内的网络安全
我们以上已经讨论了智能电表生命周期受到的物理威胁,接下来讨论电网通信环节的风险。
智能电网行业一向致力于确保智能电网通信(即数据和命令)的安全性和可靠性。现代化智能电网标准要求采用AES加密,或椭圆曲线加密。即使对于未来几十年的计算能力,这些算法的复杂度也可有效保护数据。
那么这种情况下的主要威胁来自哪里?智能电网中的命令和数据都具有加密保护,采用强大处理设备都不足以破解的加密算法,果真如此的话,我们可能已经不需要继续从事这个行业或干脆退休了!现在担心的事情不是数据和命令的加密保护,而是潜在的薄弱环节,攻击者容易突破的是关键信息的保护,加密密钥。
攻击者将不择手段获得关键信息(密钥),选择风险/成本最低的途径。窥探通信流量和强力破解可能需要数十年的时间,成本非常高。但如果潜入国外签约制造厂,在生产期间拦截装载的密钥,成本又如何呢?这种行为的成本和风险较低吗?
回顾以上讨论的每种威胁情形,攻击者都是充分利用每种情形,不择手段得到密钥;这必定会攻破智能电表网络的严谨设计和部署:
利用假冒IC代替合法IC
这种情况下,攻击者对假冒或拦截得到的IC进行编程,与其它攻击者共享存储器内容。由于可将假冒(或拦截)IC编程为共享数据,所以很容易威胁到生产期间装载的密钥。
生产期间装载恶意软件
如果在生产期间配置密钥,那么就可能利用社会渠道(例如,行贿或其它好处)说服生产线工人共享装载的密钥。
偷窃软件仿制电表
如果攻击者能够重构智能电表装载的软件,就可能使软件共享而不是保护密钥。
利用假冒电表代替合法电表
假冒电表可能与任何不法人员共享密钥。如果假冒电表留有后门,就可能威胁到正品电表在生产过程中装载密钥的安全。
通过内部访问重新校准电表
迄今为止,已知的重新校准电表攻击是为了个人私利,也就是降低个人的电费账单。具有专业知识的内部人士也可能在量产电表中设置一个后门,从而对电表进行批量校准。如果电网上大量数据不准确,会造成供电公司决策错误,以及电网不稳定。
监测和拦截通信通道
入侵通信通道是传统攻击行为,是网络安全分析师需要慎重考虑的事项。只要攻击者没有机会获得密钥材料,现代化加密技术足以防御任何攻击行为。
与芯片相比,电表外壳和标识的仿制要容易得多。这种情况下,攻击者制造看起来酷似合法电表的产品,但固件包含隐藏的攻击代码。对电表进行校准,使其报告错误的用电量。如果电表允许攻击者控制其切断或控制发送至电力公司的数据,这可能是灾难性的。对单只电表的攻击带来的是麻烦,还算不上灾难;而针对大量电表的攻击行为将会带来不可估量的损失。想象一下,六百万只电表报告的用电量都不正确会是什么情形。供电公司将根据错误的数据做出决策,妨碍其响应用电需求变化以及正确发电的能力,不可避免地发生大范围电网不稳定,造成巨大的生产力损失。
通过内部访问重新校准电表
合法电表安装到现场后,遭受攻击的风险并未结束。假设攻击者是电表制造商内部人士,了解如何与电表进行通信,开发出更改电表校准数据的IR装置。这样的装置很容易制造,能够更改任何电表减少实报用电量数据。尽管这一行为不会造成大面积电网故障,但会给电力公司带来严重的经济损失。
这里所述的攻击并不是推理,而是真实发生的故事。
监测和拦截通信环节
这是智能社区普遍担心的一种攻击行为。根本问题在于攻击者可能绑架智能电网周围的通信网络,通过模拟命令,断开其断路继电器,从而中断供电;也可能假冒电表通信,报告错误的用电数据。然后供电公司可能利用这种有缺陷的智能电表显示数据制定决策,比如对所需发电量或电压/无功功率优化。如果数据和命令未进行正确加密(隐藏)和安全认证(验证),就为攻击者提供了干扰甚至控制智能电网的途径。
物理攻击电表,更改代码、窃取密钥
电表在完成部署之后,到底有多安全?电表的物理安全是关键考虑。嵌入式智能电网端点设备(例如智能电表、电网传感器、分布式自动控制点)必然是分布式的,并且没有任何物理保护措施。所以,智能电网的端点非常脆弱,容易被偷盗、带回实验室,在攻击者闲暇时进行检查分析。
这种情况下,攻击者对电表微控制器的引脚进行编程,装载新固件,使其报告错误的用电数据。有的攻击者采用物理方式访问电表,然后控制电表微控制器的内存,最终获得安全通信密钥。在这些危险情形下,攻击者可破译智能电表的网络通信,发起大范围的破坏性事件。
生命周期内的网络安全
我们以上已经讨论了智能电表生命周期受到的物理威胁,接下来讨论电网通信环节的风险。
智能电网行业一向致力于确保智能电网通信(即数据和命令)的安全性和可靠性。现代化智能电网标准要求采用AES加密,或椭圆曲线加密。即使对于未来几十年的计算能力,这些算法的复杂度也可有效保护数据。
那么这种情况下的主要威胁来自哪里?智能电网中的命令和数据都具有加密保护,采用强大处理设备都不足以破解的加密算法,果真如此的话,我们可能已经不需要继续从事这个行业或干脆退休了!现在担心的事情不是数据和命令的加密保护,而是潜在的薄弱环节,攻击者容易突破的是关键信息的保护,加密密钥。
攻击者将不择手段获得关键信息(密钥),选择风险/成本最低的途径。窥探通信流量和强力破解可能需要数十年的时间,成本非常高。但如果潜入国外签约制造厂,在生产期间拦截装载的密钥,成本又如何呢?这种行为的成本和风险较低吗?
回顾以上讨论的每种威胁情形,攻击者都是充分利用每种情形,不择手段得到密钥;这必定会攻破智能电表网络的严谨设计和部署:
利用假冒IC代替合法IC
这种情况下,攻击者对假冒或拦截得到的IC进行编程,与其它攻击者共享存储器内容。由于可将假冒(或拦截)IC编程为共享数据,所以很容易威胁到生产期间装载的密钥。
生产期间装载恶意软件
如果在生产期间配置密钥,那么就可能利用社会渠道(例如,行贿或其它好处)说服生产线工人共享装载的密钥。
偷窃软件仿制电表
如果攻击者能够重构智能电表装载的软件,就可能使软件共享而不是保护密钥。
利用假冒电表代替合法电表
假冒电表可能与任何不法人员共享密钥。如果假冒电表留有后门,就可能威胁到正品电表在生产过程中装载密钥的安全。
通过内部访问重新校准电表
迄今为止,已知的重新校准电表攻击是为了个人私利,也就是降低个人的电费账单。具有专业知识的内部人士也可能在量产电表中设置一个后门,从而对电表进行批量校准。如果电网上大量数据不准确,会造成供电公司决策错误,以及电网不稳定。
监测和拦截通信通道
入侵通信通道是传统攻击行为,是网络安全分析师需要慎重考虑的事项。只要攻击者没有机会获得密钥材料,现代化加密技术足以防御任何攻击行为。
Maxim 智能电网 嵌入式 智能电表 SoC 继电器 PCB 电压 传感器 红外 电子 相关文章:
- 基于MSP430的新型自报式水文遥测终端机设计(06-20)
- 驱动单线圈保持继电器的电路(07-27)
- 可精确测距的低成本超声子系统(10-15)
- 基于FPGA和USB2.0的高速数据采集系统(01-13)
- 基于USB2.0技术的高速双路数据采集系统(03-07)
- UM3758-108编/解码器在串行通信中的应用(03-10)