政府与电力部门,乃至顾客都越来越注重智能电网的安全性。继空气、水、食物与住所之后,电力现已成为人类最基本的日子必需品之一。毫无疑问,牢靠的电力供应是现代社会日子的确保,也是促进新兴国家开展的重要因素。
在关于智能电网安全性的评论,大部分内容都倾向于网络安全,以及在此环境下嵌入式设备以安全认证办法接入网络,并经过网络处理数据。虽然这是智能电网环境下确保供电安全的要害进程,但这种办法过于狭窄,疏忽了智能电网在有用作业期限内来自智能电网设备供应链的要挟。
本文评论智能电网供应链存在的潜在危险以及对智能电网构成的要挟。有必要注重并防备这些要挟,才干确保电网作业的安全。终究,咱们评价用于避免这些要挟的技能。
电网的潜在危险?
为什么有人会企图进犯智能电网?答案不尽相同。
最简略的状况,或许是进犯者想节约其电费账单。进犯者经过更改其智能电表来维护个人利益。有些状况下,或许是有组织犯罪活动,以躲藏其实在的耗电数据,比方毒品实验室企图掩盖其耗电量。除此之外,还存在更高意识形态的电网进犯者。
众所周知,许多国家有必要应对恐怖突击的要挟,每时每刻都要加以防备。炸弹或飞机突击等武力要挟当然可怕,而针对供电网络的进犯行为则会打乱许多人群日子质量。一旦进犯者操控几百万只电表,则会损坏大批人群的供电,建议实质性的公共进犯。
智能电表有用作业期限内所面对的物理要挟
图1所示为智能电表生命周期不同阶段的概念图。为简略起见,该模型仅限于四个进程:芯片收购、智能电表出产、智能电表布置,以及作业方式下的智能电表。咱们运用这一简略模型进行潜在危险剖析。关于每一阶段(包含各个阶段之间的过渡或运送),咱们都需求调查:进犯者会采纳什么办法来操控智能电表网络?
智能电表生命周期所面对的潜在危险模型。如图所示,只需通讯加密并不能供给有用维护。
关于进犯者来说,芯片制作商和设备制作商之间的运送环节是侵略智能电表供应链的最佳时机。关于进犯者而言,微操控器是块“肥肉”。在一般的供应链模型中,芯片制作商将依据闪存的微操控器运送到出产场所,无论是签约制作商(CM)仍是终究用户。在出产场所,将智能电表固件装载至微操控器。在完结电表出产及装箱之前,要进行一些体系级装备。这是正常的流程。
现在,假定技能高明的进犯者规划一款看起来和用起来都十分像正品电表SoC的微操控器,就或许呈现许多状况。IC或许被更改,答应网络恐怖分子经过网络长途操控电表;或许,冒充SoC或许依据任何恳求转存其存储器内容,然后走漏制作期间装载的通讯密钥;再或许,冒充SoC或许答应任何人检查其软件,然后要挟到正规电表厂商的IP。
有些技能不太高明的进犯者,“冒充IC”需求进行制作,幻想一下运送至CM的实在闪存微操控器。进犯者阻拦运送进程并在闪存中装载一段程序,该程序看起来十分像体系内置的规范引导装载程序。IC抵达CM时,或许很难检测到这种狡计(即冒充引导装载程序)。然后CM下载规范固件,但“不安全”的引导装载程序现已在电表中驻留病毒。随后,该病毒会形成电表功用不正常,并与进犯者同享安全密钥。
假如没有正确的维护办法,运用IC运送进行冒充或篡改的进犯者就可以操控智能电表的整个生命周期,在智能电网上随意引发不行幻想的灾祸。
出产进程中装载歹意软件
制作车间相同存在危险,比方,来自担任出产的职工部队。一般状况下,这些工人的收入远低于工程团队或管理者。经济不景气时,100美元的贿赂获取就能收购出产线的工人,在智能电表中装载特别固件。即便比较殷实的国家,假如100美元达不到意图,他们或许付出更高的费用,1,000或10,000美元?
假如进犯者可触摸到出产流程,就可以盗取装载到智能电表的二进制码镜像。盗取镜像并更改固件,形成意想不到的结果,这一点并不困难。例如,进犯者更改中止向量,在严厉界说的状况下引发损坏行为。中止向量可被编程为监测实时时钟,在夏天的某个特定时刻断开电表的断路继电器,使处理器中止,导致电表脱离网络。在这样的进犯下,或许有数百万只电表遭到损坏,中止向居民供电。假如供电公司被逼手动替换智能电表,经济丢失将不行估量。考虑到酷热夏日断电形成的结果,将会大幅进步人们的日子本钱。
盗窃软件拷贝电表
为了从中获取不合法利益,在正常的出产流程中,产线工人可垂手可得地触摸到装载到智能电表的二进制镜像。经过贿赂,进犯者即可触摸到原始PCB,然后进行逆向工程。假如进犯者得到完好的BOM,带有可辨认的IC部件号,以及智能电表作业所需的软件,就具有了拷贝电表所需的全部。进犯者不需求任何研制本钱也可出售电表。
一旦进犯者可以拷贝电表,如上所述,就存在更改电表软件的危险。
运用冒充电表替代合法电表
与芯片比较,电表外壳和标识的拷贝要简单得多。这种状况下,进犯者制作看起来酷似合法电表的产品,但固件包含躲藏的进犯代码。对电表进行校准,使其陈述过错的用电量。假如电表答应进犯者操控其堵截或操控发送至电力公司的数据,这或许是灾祸性的。对单只电表的进犯带来的是费事,还算不上灾祸;而针对许多电表的进犯行为将会带来不行估量的丢失。幻想一下,六百万只电表陈述的用电量都不正确会是什么景象。供电公司将依据过错的数据做出决议计划,阻碍其呼使用电需求改变以及正确发电的才干,不行避免地产生大范围电网不稳定,形成巨大的出产力丢失。
经过内部拜访从头校准电表
合法电表装置到现场后,遭受进犯的危险并未完毕。假定进犯者是电表制作商内部人士,了解怎么与电表进行通讯,开宣布更改电表校准数据的IR设备。这样的设备很简单制作,可以更改任何电表削减实报用电量数据。虽然这一行为不会形成大面积电网毛病,但会给电力公司带来严峻的经济丢失。
这儿所述的进犯并不是推理,而是实在产生的故事。
监测和阻拦通讯环节
这是智能社区遍及忧虑的一种进犯行为。底子问题在于进犯者或许劫持智能电网周围的通讯网络,经过模仿指令,断开其断路继电器,然后中止供电;也或许冒充电表通讯,陈述过错的用电数据。然后供电公司或许运用这种有缺点的智能电表显现数据拟定决议计划,比方对所需发电量或电压/无功功率优化。假如数据和指令未进行正确加密(躲藏)和安全认证(验证),就为进犯者供给了搅扰乃至操控智能电网的途径。
物理进犯电表,更改代码、盗取密钥
电表在完结布置之后,到底有多安全?电表的物理安满是要害考虑。嵌入式智能电网端点设备(例如智能电表、电网传感器、分布式自动操控点)必定是分布式的,而且没有任何物理维护办法。所以,智能电网的端点十分软弱,简单被盗窃、带回实验室,在进犯者闲暇时进行检查剖析。
这种状况下,进犯者对电表微操控器的引脚进行编程,装载新固件,使其陈述过错的用电数据。有的进犯者选用物理办法拜访电表,然后操控电表微操控器的内存,终究取得安全通讯密钥。在这些危险景象下,进犯者可破译智能电表的网络通讯,建议大范围的损坏性作业。
生命周期内的网络安全
咱们以上现已评论了智能电表生命周期遭到的物理要挟,接下来评论电网通讯环节的危险。
智能电网职业一贯致力于确保智能电网通讯(即数据和指令)的安全性和牢靠性。现代化智能电网规范要求选用AES加密,或椭圆曲线加密。即便关于未来几十年的核算才干,这些算法的复杂度也可有用维护数据。
那么这种状况下的首要要挟来自哪里?智能电网中的指令和数据都具有加密维护,选用强壮处理设备都不足以破解的加密算法,果真如此的话,咱们或许现已不需求持续从事这个职业或爽性退休了!现在忧虑的作业不是数据和指令的加密维护,而是潜在的薄弱环节,进犯者简单打破的是要害信息的维护,加密密钥。
进犯者将不择手段取得要害信息(密钥),挑选危险/本钱最低的途径。窥视通讯流量和强力破解或许需求数十年的时刻,本钱十分高。但假如潜入国外签约制作厂,在出产期间阻拦装载的密钥,本钱又怎么呢?这种行为的本钱和危险较低吗?
回忆以上评论的每种要挟景象,进犯者都是充分运用每种景象,不择手段得到密钥;这必定会攻破智能电表网络的谨慎规划和布置:
这种状况下,进犯者对冒充或阻拦得到的IC进行编程,与其它进犯者同享存储器内容。因为可将冒充(或阻拦)IC编程为同享数据,所以很简单要挟到出产期间装载的密钥。
出产期间装载歹意软件
假如在出产期间装备密钥,那么就或许运用社会途径(例如,受贿或其它优点)压服出产线工人同享装载的密钥。
盗窃软件拷贝电表
假如进犯者可以重构智能电表装载的软件,就或许使软件同享而不是维护密钥。
运用冒充电表替代合法电表
冒充电表或许与任何不法人员同享密钥。假如冒充电表留有后门,就或许要挟到正品电表在出产进程中装载密钥的安全。
经过内部拜访从头校准电表
迄今为止,已知的从头校准电表进犯是为了个人私益,也便是下降个人的电费账单。具有专业知识的内部人士也或许在量产电表中设置一个后门,然后对电表进行批量校准。假如电网上许多数据不精确,会形成供电公司决议计划过错,以及电网不稳定。
监测和阻拦通讯通道
侵略通讯通道是传统进犯行为,是网络安全剖析师需求慎重考虑的事项。只需进犯者没有机会取得密钥资料,现代化加密技能足以防护任何进犯行为。
物理进犯电表,更改代码、盗取密钥
许多微操控器具有在引导装载程序环境下转存程序代码或数据存储器的功用,许多产品也支撑测验方式。虽然这些方式十分荫蔽,但关于固执的进犯者仍是可以发现,然后拜访电表微操控器中的任何内部存储器。假如密钥资料贮存在片上存储器中,则比较软弱,物理拜访电表间隔物理拜访电表微操控器内的存储器内容也仅仅是一步之遥。
防护智能电表生命周期中所面对的危险
至此,咱们扼要评论了智能电表及其安全软件面对的安全要挟。虽然以上示例并不全面,但都是的确存在的要挟。以上示例证明,布置嵌入式智能电网设备的任何个人和单位都有必要剖析和猜测电网自身面对的要挟危险。因而,对咱们而言,考虑可用来防护这些已知要挟的技能十分重要。
确保IC合法化
咱们有必要确保送到出产厂的芯片是合法的、未经更改,也没有用冒充资料替代。进程操控是咱们的第一道防地。咱们有必要加强供应链合法化,只从原始供货商或授权供应链直接购买元件。此处的危险是从第三方或中间人购买资料,而后者未恪守严厉的盯梢程序来验证资料的合法化、未经篡改。
虽然进程操控十分有用,但并不能阻挠不肯善罢甘休、具有必定资源的进犯者运用冒充资料替代正品资料。这种状况下,可运用安全引导装载程序防护进犯。安全引导装载程序在制作期间装载至正确的芯片,可运用高档加密技能确定,例如同享AES密钥或芯片制作商的私钥。电表制作商接纳到芯片时,可运用相同的高档加密东西,以确保芯片被芯片制作商安全确定。
出产进程仅装载实在软件
相同,进程操控十分有用。例如,要求两名或多名随机抽调的出产线工人“验证”装载固件,有助于防护进犯。
进程操控当然有用,但芯片内置高档安全技能可供给更牢靠的计划。以上所述的安全引导装载程序可使电表制作商将加密、经过数字签名的代码装载至电表。实际上,签约制作商或制作厂只能拜访加密版其他使用软件。表计IC中的安全引导装载程序在内部解密和贮存未加密版其他软件。这一进程避免进犯者盗窃固件进行克隆或逆工程化,因为电表规划者和电表自身之间历来不以明文方式运用固件。也可避免进犯者将新固件引进到制作链,因为装载至表计IC的任何固件都有必要经过授权人员的签名和加密。
安全软件避免电表克隆
运用相同的安全引导装载程序,制作厂只需贮存加密版其他使用软件。现在,任何盗窃加密软件的进犯者都不能对其进行逆向工程。一起,安全引导装载程序中的密钥与每个授权制作商出产的电表相关联。所以,加密后的软件关于企图拷贝电表的进犯者的价值很小。为拷贝电表,进犯者需求盗窃针对特定终究用户规划的%&&&&&%,因为其它芯片没有对应的密钥。
验证电表合法性、谨防冒充
回想一下企图经过制作冒充电表并装载歹意软件来损坏智能电网的进犯者。安全引导装载程序将再次使终究用户(即供电公司)确保电表装载正确、有用的固件。此外,引导装载程序可以“确定”电表,制止其作业,直到被方针供电公司接纳。
制止内部人士触摸电表的一切进口
为避免具有专业知识的内部人士从头编程或从头校准电表,电表规划者需求“确定”(从加密视点)电表的一切或许进口。人们注重最多的进口是家庭和供电公司网络,虽然也有其它注重较少的拜访点(您需求留意),包含串口、红外接口和JTAG或其它调试端口。
后者有必要具有安全防护办法,确保任何企图经过这些外设进行操控的人员有必要经过安全认证。例如,大多数电表具有红外接入点,所以供电公司可以读取本地电表信息。有时候,供电公司的作业人员可经过这些端口发送指令。假如这种通讯未经加密和安全认证,智能电表就简单遭到进犯。只需保密或未经发布的指令集是不行的。蓄谋已久的进犯者可发送随机指令,监测电表的行为,终究剖析得到经过IO端口可以了解的指令集。技能水平较低的奸刁进犯者或许贿赂电力公司职工,以得到指令集,或许取得用于与IR端口通讯的东西。
数据加密的安全通讯通道
监测和侵略通讯通道是供电公司、政府和职业现在最为注重的进犯行为,是网络安全人员的首要注重点。这儿,咱们首要关怀两点:躲藏数据以维护灵敏/隐私信息、对数据/指令进行安全认证以确保有用性。加密东西可用于这两项使命。
数据和指令安全认证一般用签名完成。留意,关于安全认证,咱们或许不忧虑数据保密。数据或指令揭露可读,或许是可接受的。但有必要严厉确保数据或指令的有用性至关重要。
躲藏数据一般选用对称加密(即同享密钥)的办法完成,例如AES。运用软件完成时,该算法相对较快,但假如需求对大数据流进行加密,往往要求硬件加速。一个比如是固件更新,此刻有必要接纳并加密长数据流(或散列),然后处理器才干持续装置新版别。AES密钥巨细为128至256,密钥越长,加密越强,然后进犯者越难以破解。留意,与对称算法相同,AES要求数据的发送方和接纳方具有相同的密钥。
对称加密办法的运用越来越遍及,其间“签名方”有两个密钥:一个同享密钥(公钥)、一个私有密钥(私钥)。密钥本质上不干涉另一方的操作。简而言之,签名方对一组数据使用其私钥,生成签名;任何人均可验证承认来自于签名方的签名,因为知道其公钥并运用公钥进行反操作。因为密钥尺度小(256位,而不是RSA等算法要求的4096位)、安全级别高,智能电网对椭圆曲线技能越来越感兴趣(ECC、ECDSA)。
物理进犯电表
虽然网络安全(智能表计范畴的通讯通道加密)得到许多注重,但并不是布置电表时仅有需求考虑的安全事项。智能电表底子上是高危险范畴,没有物理防护和监测。关于技能高明的进犯者,剖析智能电表的最佳途径是取得一只电表再加上满足的时刻。因为电表遍及于每个家庭,关于进犯者而言,取得一只电表并带到荫蔽实验室进行剖析,十分简单且本钱极低。
金融终端职业防护此类要挟的办法最好,该职业中用于金融中止的芯片集成传感器,自动监测物理要挟(例如设备侵略、具有要挟的温度和电压条件,乃至芯片级物理检查);假如检测到任何进犯行为,则擦除NVSRAM中贮存的密钥。该技能可确保对电表的任何物理进犯都会形成电表失效,以及擦除一切要害的灵敏信息,包含密钥。
嵌入式智能电网安全技能
以上所述的景象概要介绍了许多安全要挟以及防护这些要挟的技能。
现在,这种技能现已商用。多年以来,Maxim Integrated为金融终端和信用卡职业供给安全解决计划,事例遍及全球。金融交易的安全级别十分高,而该职业的健康成长是现代化电子商务商场增加的根底。这是这种高档其他安全性推进了咱们上文中评论的嵌入式芯片的需求。
相关于金融终端职业,智能电网要挟的损坏性要大得多。大面积、长时刻的断电,暂时不能处理信用卡事务,这两者谁的损坏性更大呢?Maxim活跃推进安全产品的使用,例如MAX71637电能丈量SoC,集成最高等级的安全技能。现在,从规划到制作、再到使命方式、直到设备作废,您可以确保智能电网整个生命周期的安全。这才是供电公司和咱们顾客可以享用智能电网带来的巨大利益的仅有途径。