本應(yīng)用說明探討了智能電表生命周期中的各種潛在攻擊點(diǎn)：在制造、安裝、操作和安裝后。然后，應(yīng)用說明討論了這些安全漏洞的實(shí)際解決方案，例如在制造過程中使用安全引導(dǎo)加載程序，在安裝過程中使用計(jì)量板，在操作期間在硬件而不是軟件中使用非對(duì)稱加密，以及可能的累積證明內(nèi)核（CAK）以實(shí)現(xiàn)前瞻性安全性。馬克西姆的宙斯?片上系統(tǒng) （SoC） 是智能電表安全的強(qiáng)大設(shè)計(jì)解決方案。

介紹

最新一代智能電表在電網(wǎng)中的表現(xiàn)遠(yuǎn)遠(yuǎn)超過幾年前這些設(shè)備在原始通信角色中的表現(xiàn)。當(dāng)今的智能電表是大規(guī)模機(jī)器對(duì)機(jī)器網(wǎng)絡(luò)中的端點(diǎn)，這些端點(diǎn)既可以擴(kuò)展到智能電網(wǎng)基礎(chǔ)設(shè)施，也可以擴(kuò)展到連接到智能電網(wǎng)的大量未來機(jī)器和設(shè)備。除了保護(hù)電網(wǎng)上的業(yè)務(wù)和消費(fèi)者數(shù)據(jù)外，智能電表及其相關(guān)基礎(chǔ)設(shè)施還監(jiān)視、控制甚至保護(hù)關(guān)鍵電力基礎(chǔ)設(shè)施。鑒于這種擴(kuò)大的作用，智能電表為網(wǎng)絡(luò)管理帶來了新的和前所未有的安全挑戰(zhàn)。毫不奇怪，基本的加密和密碼無法再確保最高級(jí)別的保護(hù)。相反，智能電表現(xiàn)在需要從搖籃到墳?zāi)沟耐暾芷诎踩浴?/p>

本應(yīng)用筆記探討了智能電表在其整個(gè)生命周期中面臨的安全威脅。它跟蹤智能電表從制造到安裝和初始運(yùn)行，以及整個(gè)使用壽命。在此過程中，我們會(huì)確定安全風(fēng)險(xiǎn)以及這些威脅的解決方案。

迫切需要安全的智能電表

拉響警報(bào)！智能電網(wǎng)安全終于成為一個(gè)關(guān)鍵的社會(huì)問題。

就在幾年前，關(guān)于智能電網(wǎng)安全的討論集中在制定隱私標(biāo)準(zhǔn)和防止數(shù)據(jù)盜竊上。今天，對(duì)話集中在對(duì)社會(huì)權(quán)力系統(tǒng)的真正威脅上。網(wǎng)絡(luò)安全問題，Stuxnet等基礎(chǔ)設(shè)施威脅，以及波多黎各等有組織的電表黑客攻擊1, 2經(jīng)常出現(xiàn)在新聞通訊社和主流電視新聞媒體上。3為了提供必要的系統(tǒng)安全性，許多受人尊敬的國際組織正在努力制定準(zhǔn)則和標(biāo)準(zhǔn)，特別是自動(dòng)計(jì)量基礎(chǔ)設(shè)施（AMI）。在歐洲，德國信息技術(shù)安全組織 BSI 發(fā)布了智能計(jì)量系統(tǒng)中網(wǎng)關(guān)的保護(hù)配置文件。4同樣，在北美，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布了NISTIR 7268規(guī)范，該規(guī)范提供了保護(hù)AMI的指南。5

迄今為止，媒體的關(guān)注強(qiáng)調(diào)了涉及智能電表的問題，并反映了廣泛的擔(dān)憂。然而，媒體并沒有提供解決辦法。BSI和NISTIR提供了關(guān)于安全實(shí)施應(yīng)該或如何架構(gòu)的描述和指南，但存在最少的實(shí)現(xiàn)。事實(shí)上，當(dāng)今的工業(yè)缺乏許多關(guān)鍵的保護(hù)機(jī)制，而這些機(jī)制對(duì)于安全的全系統(tǒng)智能電表實(shí)施至關(guān)重要。

保護(hù)智能電表的威脅多種多樣且不斷發(fā)展。因此，對(duì)于涉及電力網(wǎng)絡(luò)的安全問題，沒有單一的最終解決方案。任何強(qiáng)大的智能電表安全策略都必須能夠應(yīng)對(duì)不斷發(fā)展的威脅。潛在問題始于儀表硬件的制造、組裝和校準(zhǔn)，并持續(xù)到儀表的使用壽命，大多數(shù)公用事業(yè)公司預(yù)計(jì)使用壽命為 10 到 20 年。硬件和軟件在每一步都提供了可能的解決方案。硬件在計(jì)算上更快，物理上更安全，而軟件更靈活。最佳平衡融合了硬件和軟件安全措施，以保護(hù)系統(tǒng)的基礎(chǔ)設(shè)施。一個(gè)這樣的優(yōu)化智能電表解決方案已經(jīng)存在。馬克西姆的宙斯?智能電表片上系統(tǒng) （SoC） 代表了智能電表基礎(chǔ)設(shè)施的硬件和軟件安全性的最新組合。ZEUS SoC 是本文中的主要設(shè)計(jì)示例。

確保制造安全

智能電網(wǎng)安全討論通常集中在運(yùn)行過程中的加密算法上。誠然，加密是一種非常有價(jià)值的工具，但它只是解決方案的一部分。6加密在操作過程中保護(hù)數(shù)據(jù)，但不能解決制造和安裝過程中面臨的挑戰(zhàn)。事實(shí)上，制造業(yè)供應(yīng)鏈?zhǔn)菨撛诠舻牡谝粋€(gè)點(diǎn)。

與大多數(shù)電子公司一樣，智能電表供應(yīng)商主要通過合同合作伙伴進(jìn)行生產(chǎn)，通常在與設(shè)計(jì)發(fā)生地不同的國家/地區(qū)進(jìn)行制造。雖然對(duì)大多數(shù)制造商來說既安全又高效，但此過程確實(shí)使安全設(shè)備制造商面臨明顯的外部威脅。合同第三方可以深入了解系統(tǒng)架構(gòu)、硬件和軟件。因此，安全制造的第一個(gè)原則是安全的供應(yīng)鏈也就不足為奇了。半導(dǎo)體等安全產(chǎn)品必須通過受信任的供應(yīng)渠道購買，在受信任的供應(yīng)商和受信任的OEM之間進(jìn)行身份驗(yàn)證。安全哈希質(zhì)詢和響應(yīng)算法形式的身份驗(yàn)證是驗(yàn)證供應(yīng)鏈的最有效手段。7

制造過程必須僅允許受信任方訪問和控制系統(tǒng)。這就是數(shù)字簽名和加密算法發(fā)揮作用的地方。波多黎各報(bào)告的儀表安全漏洞是由于篡改而發(fā)生的，可能是在制造過程中。8在制造過程中保護(hù)系統(tǒng)的一種非常有效的方法是安全引導(dǎo)加載程序。讓我們仔細(xì)看看這個(gè)。

使用安全引導(dǎo)加載程序，OEM 在制造過程中控制對(duì)智能電表控制器的訪問。在啟動(dòng)期間檢查在制造期間加載的代碼。此外，除非通過非對(duì)稱加密算法與安全哈希函數(shù)相結(jié)合來識(shí)別該代碼，否則不會(huì)執(zhí)行該代碼。此過程驗(yàn)證代碼是否來自受信任的源。9一個(gè)工業(yè)類比是授予對(duì)公司計(jì)算機(jī)網(wǎng)絡(luò)的訪問權(quán)限 - 只允許授權(quán)人員進(jìn)入系統(tǒng)（即，在身份驗(yàn)證后），并且只有這些人員才能在系統(tǒng)內(nèi)執(zhí)行特定命令（即，執(zhí)行經(jīng)過加密驗(yàn)證的代碼）。

安全引導(dǎo)加載程序的好處是無價(jià)的。如上所述，安全引導(dǎo)加載程序集成了多層安全性。如果硬件中沒有安全的引導(dǎo)加載程序，黑客可能會(huì)發(fā)現(xiàn)單個(gè)弱點(diǎn)，例如暴露的密鑰，然后滲透系統(tǒng)。這就是為什么使用 ZEUS SoC 及其安全引導(dǎo)加載程序操作智能電表在今天如此重要的原因。對(duì)智能電表使用此配置，只有擁有正確私鑰和適當(dāng)信任鏈的授權(quán)方才能發(fā)送消息，ZEUS以及智能電表實(shí)際加載和執(zhí)行這些消息。

保護(hù)安裝

根據(jù)電表的數(shù)量，大多數(shù)公用事業(yè)公司沒有雇用足夠的人員在足夠的時(shí)間內(nèi)快速安裝電表。因此，AMI安裝通常需要第三方承包商，這意味著第三方再次處理關(guān)鍵的電表基礎(chǔ)設(shè)施。在安裝過程中，可能會(huì)發(fā)生光端口的物理黑客攻擊，或者只是重新布線儀表。這是安全計(jì)量可以驗(yàn)證安裝的地方。

當(dāng)今的許多儀表都采用雙板架構(gòu)：計(jì)量板和通信板（圖 1）。

圖1.具有不安全計(jì)量的雙板儀表的數(shù)據(jù)通過裸露的連接器線。

除非計(jì)量功能提供安全性，否則此體系結(jié)構(gòu)可能會(huì)在加密通信之前通過開放線路運(yùn)行計(jì)量數(shù)據(jù)。另一種方法是在計(jì)量芯片本身上使用具有安全功能的單板儀表，例如安全外殼。通過在單獨(dú)的計(jì)量區(qū)域中進(jìn)行片上加密，可以在測(cè)量后立即對(duì)儀表數(shù)據(jù)進(jìn)行加密。這一步彌補(bǔ)了從計(jì)量到通信的任何潛在安全漏洞。安裝過程后收到的數(shù)據(jù)可以信任為有效數(shù)據(jù)。然后，公用事業(yè)公司可以將安裝后的數(shù)據(jù)與舊儀表的儀表讀數(shù)進(jìn)行比較，以確保正確性。通過在計(jì)量芯片上放置加密，ZEUS SoC 縮小了計(jì)量和通信之間的差距（圖 2）;它沒有為黑客進(jìn)入網(wǎng)絡(luò)提供窗口。除了安裝之外，安全外殼還可以確保儀表數(shù)據(jù)在儀表的整個(gè)使用壽命期間的完整性。

圖2.單板儀表在計(jì)量芯片本身嵌入安全功能。

確保操作安全

電表，很快還有智能電表，駐留在每個(gè)企業(yè)和住宅之外，并且經(jīng)常位于物理不安全的地方，黑客有足夠的時(shí)間研究和探索它們。鑒于網(wǎng)絡(luò)的廣闊性和電表的長(zhǎng)使用壽命，AMI智能電表容易受到空間和時(shí)間的威脅。

大攻擊面

AMI 安裝具有較大的攻擊面，這意味著智能電表上有多個(gè)潛在攻擊點(diǎn)。圖3顯示了這種網(wǎng)絡(luò)的圖形表示，該網(wǎng)絡(luò)通常由數(shù)百到數(shù)千米通過電力線通信（PLC）或RF與集中器通信組成。集中器通過某種形式的回程（通過蜂窩或光纖基礎(chǔ)設(shè)施）與公用事業(yè)公司通信。在從儀表到集中器的鏈路中，網(wǎng)格劃分和/或轉(zhuǎn)發(fā)與儀表之間的消息使儀表本身能夠擴(kuò)展網(wǎng)絡(luò)。這種架構(gòu)通過減少相對(duì)于米數(shù)的集中器數(shù)量來降低基礎(chǔ)設(shè)施成本。然而，網(wǎng)狀網(wǎng)絡(luò)通過為攔截和改變智能電表之間的通信創(chuàng)造了機(jī)會(huì)，從而增加了網(wǎng)絡(luò)的脆弱性。這種中斷被稱為“中間人”攻擊。

圖3.AMI 架構(gòu)具有通過 PLC 或 RF 與集中器通信的儀表。來自集中器的回程通常通過蜂窩網(wǎng)絡(luò)進(jìn)行。請(qǐng)注意，在此圖中，儀表與集中器的比率大大降低。

智能電表本身沒有集成集中器和其他大型網(wǎng)絡(luò)設(shè)備的安全功能或計(jì)算能力。這使得理論上攻擊電表比集中器或網(wǎng)絡(luò)回程更容易。此外，根據(jù)網(wǎng)狀網(wǎng)絡(luò)的大小，可以在大范圍內(nèi)利用對(duì)網(wǎng)狀網(wǎng)絡(luò)的攻擊。鑒于多個(gè)通信發(fā)生在米與米之間，并且在任何其他網(wǎng)絡(luò)基礎(chǔ)設(shè)施的監(jiān)督之外，每個(gè)電表都需要強(qiáng)大的個(gè)人安全級(jí)別。

為單個(gè)儀表配備安全功能意味著定義唯一保護(hù)每個(gè)儀表的規(guī)范。AES 和其他對(duì)稱加密算法提供了出色的安全性，但它們的缺點(diǎn)是所有儀表共享相同的密鑰。因此，任何發(fā)現(xiàn)私鑰的攻擊者都能夠攻擊所有這些儀表。相反，非對(duì)稱加密提供了唯一加密數(shù)據(jù)的最佳方法，因?yàn)槊總€(gè)儀表都使用一組唯一的安全密鑰來加密和解密數(shù)據(jù)。用于多個(gè)安全事件（如身份驗(yàn)證）的密鑰應(yīng)在芯片上生成，存儲(chǔ)在安全存儲(chǔ)器中，并嵌入到安全產(chǎn)品本身中，從而保護(hù)私鑰，永遠(yuǎn)不需要它離開儀表。通過要求每個(gè)計(jì)量的唯一密鑰組合，發(fā)現(xiàn)私鑰僅允許訪問單個(gè)計(jì)量。因此，非對(duì)稱加密大大減少了 AMI 安裝的“攻擊面”，并顯著降低了攻擊者的潛在投資回報(bào)。簡(jiǎn)而言之，它可能不再值得攻擊者花費(fèi)時(shí)間和精力。

但是計(jì)算需要時(shí)間，沒有人愿意減慢時(shí)間敏感的系統(tǒng)。因此，非對(duì)稱加密的關(guān)鍵挑戰(zhàn)是每個(gè)單獨(dú)的儀表所需的計(jì)算。在這種情況下，硬件提供了顯著的好處。與軟件中的類似功能相比，使用硬件加速器在硬件中執(zhí)行加密和解密功能可減少必要的計(jì)算時(shí)間。現(xiàn)在，可以最大限度地減少用于加密和解密消息的系統(tǒng)軟件資源，從而釋放系統(tǒng)以執(zhí)行其他功能。

ZEUS SoC 集成了多層硬件非對(duì)稱加密以及安全密鑰生成和存儲(chǔ)。為了進(jìn)一步加強(qiáng)非對(duì)稱加密，真隨機(jī)數(shù)生成器創(chuàng)建安全密鑰，以防止密鑰生成免受重放攻擊。AES等多種對(duì)稱加密算法也使用上述非對(duì)稱方法提供加密分層，并符合需要此類加密的任何安全標(biāo)準(zhǔn)。

應(yīng)對(duì)未來威脅的靈活性

安全的智能電表必須足夠靈活，以應(yīng)對(duì) AMI 安裝后幾年中出現(xiàn)的任何安全威脅。因此，在長(zhǎng)期運(yùn)行期間檢測(cè)和處置威脅是確保電表和電網(wǎng)的可行性和安全性的下一個(gè)困難步驟。

公用事業(yè)公司認(rèn)為，成本和缺乏成熟的解決方案是當(dāng)前許多AMI安裝沒有入侵檢測(cè)系統(tǒng)的主要原因。10智能電表制造商面臨的問題歸結(jié)為一個(gè)簡(jiǎn)單但一點(diǎn)也不簡(jiǎn)單的問題：電表必須嵌入多少計(jì)算能力才能進(jìn)行威脅檢測(cè)？各種學(xué)術(shù)論文提出了集成基于儀表和基于網(wǎng)絡(luò)的威脅檢測(cè)解決方案的解決方案。11, 12一個(gè)有前途的解決方案包括累積證明內(nèi)核 （CAK），13一種基于計(jì)量的算法，用于審核固件修訂，以便在威脅違反加密和身份驗(yàn)證過程時(shí)提供另一層檢測(cè)。CAK 可以在 8 位或 32 位微控制器上運(yùn)行，并且需要最少的內(nèi)存。電力研究所等專家，14同意智能電表應(yīng)包含一些高級(jí)功能，以提供安全性并適應(yīng)未來的解決方案。

如今，安全漏洞需要代價(jià)高昂的干預(yù)。因此，安全智能電表網(wǎng)絡(luò)的持續(xù)運(yùn)行涉及的不僅僅是威脅檢測(cè)和處置。問題是響應(yīng)。儀表對(duì)當(dāng)前和未來威脅的反應(yīng)會(huì)影響 AMI 安裝的穩(wěn)健性、有效性以及可能的財(cái)務(wù)成功。

考慮安全系統(tǒng)。許多安全系統(tǒng)（如金融終端）在被黑客入侵時(shí)會(huì)立即關(guān)閉，從而防止攻擊者進(jìn)一步訪問網(wǎng)絡(luò)。雖然不方便，但關(guān)閉的好處超過了丟失安全財(cái)務(wù)信息的威脅。相比之下，智能電表將唯一的電力供應(yīng)提供給各自的客戶，必須權(quán)衡任何威脅響應(yīng)的利弊。立即關(guān)閉感知到的威脅并不是最佳響應(yīng)。相反，這些網(wǎng)絡(luò)必須在發(fā)布任何響應(yīng)之前立即評(píng)估潛在威脅。事實(shí)上，整個(gè)AMI必須繼續(xù)在威脅環(huán)境中運(yùn)行，同時(shí)有效地衡量每個(gè)威脅的嚴(yán)重性。大多數(shù)人會(huì)同意，對(duì)單個(gè)客戶的服務(wù)中斷被認(rèn)為不如大規(guī)模中斷或普遍濫用整個(gè)通信基礎(chǔ)設(shè)施那么嚴(yán)重。鑒于大規(guī)模網(wǎng)絡(luò)攻擊對(duì)AMI構(gòu)成的最大威脅，智能電表需要能夠在任何運(yùn)行時(shí)間內(nèi)優(yōu)先考慮防御響應(yīng)。

智能電表還必須提供這種強(qiáng)大的硬件安全性，化解威脅，并適應(yīng)未來的軟件解決方案，而無需進(jìn)行廣泛的系統(tǒng)升級(jí)。ZEUS SoC 架構(gòu)包括一個(gè) 32 位 ARM 內(nèi)核。任何未正確解密或驗(yàn)證的通信都可以由儀表和網(wǎng)絡(luò)架構(gòu)師自行決定忽略、記錄或報(bào)告。計(jì)量與 ARM 內(nèi)核分離可確保儀表功能在各種軟件例程中不間斷地運(yùn)行。該操作完全符合WELMEC?15以及要求將計(jì)量和/或計(jì)量軟件與非計(jì)量軟件和應(yīng)用程序分開的其他標(biāo)準(zhǔn)。此外，前面描述的硬件安全性可確保以最快的速度處理通信，同時(shí)釋放 ARM 內(nèi)核來執(zhí)行系統(tǒng)任務(wù)。ARM內(nèi)核還可能配備未來的解決方案，例如CAK，它將在已經(jīng)安全的系統(tǒng)之上分層。計(jì)算能力和硬件安全性，結(jié)合適當(dāng)?shù)能浖?jí)以提高系統(tǒng)安全性以應(yīng)對(duì)不斷變化的威脅，提供高效的系統(tǒng)安全解決方案，保持硬件和軟件功能的適當(dāng)平衡。

充滿機(jī)遇的未來

智能電網(wǎng)代表了二十世紀(jì)電網(wǎng)的驚人轉(zhuǎn)變。但是，當(dāng)我們?yōu)槿绱她嫶蟮南到y(tǒng)添加網(wǎng)絡(luò)和控制功能時(shí)，我們大大增加了其對(duì)安全攻擊的暴露和脆弱性，最重要的是，網(wǎng)絡(luò)威脅。國際組織正在制定性能標(biāo)準(zhǔn)，新聞媒體正在報(bào)道電網(wǎng)進(jìn)步和安全漏洞。但智能電表制造商有責(zé)任防御安全攻擊。智能電表的主動(dòng)方法是分離硬件和軟件功能;它確保了智能電表的整個(gè)生命周期，從購買第三方組件到制造、安裝和長(zhǎng)期運(yùn)行。基于對(duì)智能電表和不斷發(fā)展的電力行業(yè)的了解，Maxim Integrated將ZEUS SoC設(shè)計(jì)為當(dāng)今和未來智能電表的先進(jìn)、優(yōu)雅的解決方案。

審核編輯：郭婷