電力智能傳感器及傳感網(wǎng)安全防護(hù)技術(shù)

來源：中國電力

編者按

電力智能傳感器用于采集電力生產(chǎn)各環(huán)節(jié)的電氣量、物理量、環(huán)境量、狀態(tài)量和行為量等信息，搭建了物理電力系統(tǒng)到信息物理融合系統(tǒng)間的橋梁，是實(shí)現(xiàn)電力數(shù)字化和能源轉(zhuǎn)型的關(guān)鍵技術(shù)之一。隨著新型電力系統(tǒng)建設(shè)的持續(xù)推進(jìn)，電力智能傳感器及傳感網(wǎng)已成為能源互聯(lián)網(wǎng)的重要基礎(chǔ)設(shè)施，廣泛分布在電源側(cè)、電網(wǎng)側(cè)和用戶側(cè)。國家電網(wǎng)有限公司2019年至今啟動了輸變電設(shè)備物聯(lián)網(wǎng)、配電物聯(lián)網(wǎng)和數(shù)字站物聯(lián)網(wǎng)的規(guī)模建設(shè)，感知層設(shè)備均以無線傳感器為主。輸變電設(shè)備物聯(lián)網(wǎng)感知層通過符合國家電網(wǎng)有限公司企業(yè)標(biāo)準(zhǔn)的微功率無線傳感器和低功耗無線傳感器采集物理量、環(huán)境量和狀態(tài)量等信息；數(shù)字站物聯(lián)網(wǎng)在輸變電設(shè)備物聯(lián)網(wǎng)基礎(chǔ)上，新增視頻監(jiān)控、移動巡檢等寬帶無線傳感器實(shí)現(xiàn)行為量信息采集；配電物聯(lián)網(wǎng)除通過窄帶無線傳感器采集環(huán)境量、狀態(tài)量信息外，還考慮了基于高速載波和高速無線雙模通信模塊采集電氣量信息。

《中國電力》2023年第11期刊發(fā)了安春燕等人撰寫的《電力智能傳感器及傳感網(wǎng)安全防護(hù)技術(shù)》一文。文章首先分析電力智能傳感器及傳感網(wǎng)安全需求、建立安全技術(shù)體系，接著歸納總結(jié)物理環(huán)境、通信網(wǎng)絡(luò)和計算環(huán)境安全關(guān)鍵技術(shù)，最后提出技術(shù)發(fā)展建議，為構(gòu)建安全、可靠的能源電力數(shù)據(jù)基座提供支撐。

摘要

電力智能傳感器及傳感網(wǎng)安全研究處于起步階段，資源受限及應(yīng)用現(xiàn)場缺乏低壓供電導(dǎo)致對安全開銷極其敏感，用戶側(cè)廣泛部署更易遭受側(cè)信道等物理攻擊，利用感知機(jī)理或數(shù)據(jù)處理算法發(fā)起的新型攻擊日漸增多。針對上述問題，結(jié)合現(xiàn)場特點(diǎn)、業(yè)務(wù)特征、設(shè)備能力及行業(yè)現(xiàn)狀，分析電力智能傳感器及傳感網(wǎng)安全需求，構(gòu)建安全技術(shù)體系，歸納總結(jié)電力智能傳感器具備特殊需求的感知安全、存儲安全、輕量級加密、身份認(rèn)證、代碼安全和固件安全等技術(shù)研究現(xiàn)狀，提出發(fā)展建議，為構(gòu)建安全、可靠的能源電力數(shù)據(jù)基座提供支撐。

01安全需求

電力智能傳感器及傳感網(wǎng)結(jié)合設(shè)備分布及業(yè)務(wù)特征，安全需求歸納如下。

1）物理獲取難度低，亟須傳感器及傳感網(wǎng)自身具備安全防范能力。電力智能傳感器通常隨電力線/設(shè)備部署，遍布發(fā)/輸/配/變/用電區(qū)域。尤其是位于低壓配用電側(cè)的傳感器及傳感網(wǎng)，攻擊者極易物理靠近或獲取。這將導(dǎo)致傳統(tǒng)通過隔離、邊界防護(hù)或管理手段實(shí)現(xiàn)安全防護(hù)的收效甚微。

2）資源受限較嚴(yán)重，亟需輕量級安全防護(hù)技術(shù)。電力智能傳感器現(xiàn)場部署環(huán)境復(fù)雜，多采用電池或自取能供電，對功耗要求極其嚴(yán)格。環(huán)境量和狀態(tài)量傳感器處理器主頻通常小于100 MHz、隨機(jī)存取存儲器（RAM）資源多為64 KB或128 KB、通信速率通常小于100 kbps，大部分現(xiàn)有安全防護(hù)技術(shù)無法直接應(yīng)用。

3）誤警核驗(yàn)成本高，亟須防止虛假數(shù)據(jù)注入。電力智能傳感器通常用于提前發(fā)現(xiàn)故障并預(yù)警，變被動檢修為主動運(yùn)維。預(yù)警通常需要人工現(xiàn)場核驗(yàn)和巡檢，誤警會極大增加電網(wǎng)運(yùn)維成本。與此同時，惡意注入的“對抗樣本”會導(dǎo)致電力智能化系統(tǒng)做出錯誤的決策。須要保障入網(wǎng)電力智能傳感器固件和軟件代碼安全，無惡意代碼、漏洞及病毒潛伏，且對入網(wǎng)傳感器進(jìn)行身份認(rèn)證并支持?jǐn)?shù)據(jù)溯源。

4）單點(diǎn)數(shù)據(jù)價值低，但須防止數(shù)據(jù)規(guī)模泄露。電力智能傳感器通常用于監(jiān)測電網(wǎng)運(yùn)行狀態(tài)、電力設(shè)備運(yùn)行狀態(tài)、運(yùn)行環(huán)境，獲取單個傳感器數(shù)據(jù)可產(chǎn)生的價值較低。然而，若獲取某個區(qū)域內(nèi)隨線/設(shè)備全部傳感器的數(shù)據(jù)，則可能基于大數(shù)據(jù)技術(shù)推算出電網(wǎng)運(yùn)行的薄弱環(huán)節(jié)或挖掘出新的價值體系，進(jìn)而帶來不可控的安全風(fēng)險。

5）短數(shù)據(jù)包占比高，對安全開銷更敏感。環(huán)境量和狀態(tài)量傳感器業(yè)務(wù)數(shù)據(jù)長度多為4~6字節(jié)，若采用密鑰長度為128位的高級加密標(biāo)準(zhǔn)（advanced encryption standard，AES），電子密碼本模式下輸出為16字節(jié)，加密開銷為160%~300%。

02安全體系

電力智能傳感器作為物聯(lián)網(wǎng)信息通信終端時應(yīng)參考文獻(xiàn)[6-12]等國家及電力公司安全防護(hù)規(guī)定。然而，電力智能傳感器同時也是感知終端，目前缺乏對其感知部分的安全防護(hù)要求。此外，電力智能傳感器具備一定的計算能力，但不具備邊緣計算能力，若參照文獻(xiàn)[9]中不具備邊緣計算能力物聯(lián)網(wǎng)終端防護(hù)要求，仍面臨安全風(fēng)險。

本文基于電力智能傳感器及傳感網(wǎng)安全需求，重點(diǎn)考慮其作為感知終端及資源受限導(dǎo)致的安全問題，構(gòu)建了安全技術(shù)體系，如圖2所示。紅色背景框表示電力智能傳感器及傳感網(wǎng)區(qū)別于傳統(tǒng)網(wǎng)絡(luò)的特殊需求，是本文重點(diǎn)關(guān)注內(nèi)容。

2.1 安全技術(shù)

安全技術(shù)包含提升電力智能傳感器及傳感網(wǎng)安全性的技術(shù)手段。本文參考文獻(xiàn)[6]對不同級別系統(tǒng)安全要求的分類方法，沿用通用要求，但重點(diǎn)研究電力智能傳感器因特殊部署環(huán)境、資源受限特性及感知設(shè)備所需的安全技術(shù)。

2.1.1 物理環(huán)境安全

與傳統(tǒng)部署于機(jī)房的通信網(wǎng)絡(luò)設(shè)備不同，電力智能傳感器部署位置受限于待監(jiān)測的一次設(shè)備或環(huán)境，無法應(yīng)用文獻(xiàn)[6]中的物理訪問控制、溫濕度控制、防火、電力供應(yīng)等安全措施保障物理環(huán)境安全，但應(yīng)實(shí)現(xiàn)防盜竊和防破壞、防雷擊、防火和防潮等環(huán)境安全；關(guān)閉多余接口和調(diào)試接口等，實(shí)現(xiàn)接口安全。其次，電力智能傳感器兼具感知和通信功能，其作為感知設(shè)備的物理安全性（感知安全）也亟須關(guān)注。文獻(xiàn)[13-16]表明：外部激光、電磁、超聲等信號，均可能影響感知數(shù)據(jù)，進(jìn)而對智能傳感器及傳感網(wǎng)所承載業(yè)務(wù)系統(tǒng)的安全性帶來威脅。最后，電力智能傳感器物理易獲取，其內(nèi)暫存的采集數(shù)據(jù)、密鑰等關(guān)鍵信息的存儲安全也亟須關(guān)注。

2.1.2 通信網(wǎng)絡(luò)安全

傳統(tǒng)電力信息通信設(shè)備通常配置硬件安全芯片，支持身份認(rèn)證、數(shù)據(jù)加密和校驗(yàn)等功能，實(shí)現(xiàn)網(wǎng)絡(luò)傳輸數(shù)據(jù)的機(jī)密性、完整性和真實(shí)性。然而，電力智能傳感器對功耗要求極其嚴(yán)格，通常僅包含1顆低功耗通信芯片，或者1顆低功耗主控芯片和1顆低功耗射頻芯片，集成硬件安全芯片易導(dǎo)致功耗加倍、壽命減半。尤其是環(huán)境量和狀態(tài)量傳感器主頻較低且存儲空間較小，對軟件實(shí)現(xiàn)安全技術(shù)的開銷極其敏感，能運(yùn)行在傳感器上的輕量級安全技術(shù)亟須關(guān)注。

此外，部分電力智能傳感器承載采集、控制等業(yè)務(wù)，采集時間與采集數(shù)據(jù)同等重要。文獻(xiàn)[3]總結(jié)了針對電力物聯(lián)網(wǎng)終端的時間攻擊及檢測方法。時間同步安全也是電力智能傳感器及傳感網(wǎng)區(qū)別于傳統(tǒng)網(wǎng)絡(luò)的通信安全之一。

2.1.3 區(qū)域邊界安全

電力智能傳感器及傳感網(wǎng)涉及的區(qū)域邊界包括3項(xiàng)：1）電力智能傳感器及傳感網(wǎng)與骨干網(wǎng)絡(luò)之間的邊界，即縱向邊界；2）接入不同安全大區(qū)電力智能傳感器之間的邊界；3）不直接接入安全大區(qū)的傳感器與直接接入安全大區(qū)傳感器之間的邊界。

參照文獻(xiàn)[9]，縱向邊界處根據(jù)實(shí)際需求單獨(dú)配置安全接入網(wǎng)關(guān)或網(wǎng)絡(luò)隔離裝置，實(shí)現(xiàn)傳統(tǒng)的邊界防護(hù)、訪問控制、入侵防范和安全審計功能?？紤]成本和部署要求，不鼓勵接入不同安全大區(qū)電力智能傳感器在感知層互通。不直接接入安全大區(qū)的傳感器與直接接入安全大區(qū)傳感器間互通時，應(yīng)參照接入安全大區(qū)傳感器的安全需求，進(jìn)行身份認(rèn)證和數(shù)據(jù)加密，即2.1.2節(jié)所述的輕量級安全技術(shù)。

2.1.4 計算環(huán)境安全

電力智能傳感器及傳感網(wǎng)設(shè)備作為傳統(tǒng)信息設(shè)備，需要對訪問其數(shù)據(jù)的用戶或設(shè)備進(jìn)行身份鑒別，實(shí)現(xiàn)數(shù)據(jù)完整性、備份恢復(fù)等數(shù)據(jù)保護(hù)。與此同時，受傳感器產(chǎn)業(yè)鏈、成本及開發(fā)周期限制，相較傳統(tǒng)信息設(shè)備，電力智能傳感器代碼安全和固件安全問題更突出。

2.2 評測技術(shù)

評測技術(shù)通過測試手段發(fā)現(xiàn)電力智能傳感器隱藏的安全問題，進(jìn)而保證入網(wǎng)傳感器的安全。評測技術(shù)包括入網(wǎng)評測和運(yùn)行評測2種。鑒于電力智能傳感器數(shù)量大且分布廣泛，運(yùn)行評測實(shí)施相對困難，建議做好入網(wǎng)評測。

入網(wǎng)安全評測用于驗(yàn)證電力智能傳感器是否具備相關(guān)規(guī)定要求的安全功能以及設(shè)備本身是否存在漏洞、后門等安全缺陷。國內(nèi)外針對傳統(tǒng)互聯(lián)網(wǎng)設(shè)備漏洞和后門檢測開展了大量研究，安全評測方法相對成熟。然而，無論是靜態(tài)分析方法還是動態(tài)分析方法，大多通過快速查找并匹配漏洞數(shù)據(jù)庫來實(shí)現(xiàn)漏洞檢測。電力智能傳感器大多基于高級精簡指令集（ARM）架構(gòu)及嵌入式開發(fā)系統(tǒng)，且部分設(shè)備不支持TCP/IP協(xié)議，其漏洞庫與傳統(tǒng)互聯(lián)網(wǎng)通信設(shè)備有較大不同。電力智能傳感器入網(wǎng)安全評測處于研發(fā)的初始階段，尚無專用漏洞數(shù)據(jù)庫，沒有豐富的測試樣本用于分析，應(yīng)重點(diǎn)關(guān)注測試樣本積累和漏洞數(shù)據(jù)庫構(gòu)建。

03物理環(huán)境安全

3.1 感知安全

感知安全是保障電力智能傳感器測量中的“聲-電”“光-電”“磁-電”和“熱-電”轉(zhuǎn)換過程不受外界惡意激光、磁場和超聲等信號影響的技術(shù)和手段。

目前針對感知安全的研究側(cè)重于重現(xiàn)攻擊過程。文獻(xiàn)[13]通過對超聲傳感器進(jìn)行欺騙攻擊和擁塞攻擊，致使特斯拉Model S自動駕駛在正常行駛過程中剎車或者在有障礙物時仍正常行駛。文獻(xiàn)[14]設(shè)計了一種針對語音助手的聲音傳感器攻擊工具，利用麥克風(fēng)電路的非線性特性，將經(jīng)過調(diào)制的低頻語音命令通過超聲波注入語音助手中，實(shí)現(xiàn)無聲控制。文獻(xiàn)[15]通過調(diào)幅激光信號實(shí)現(xiàn)了2款商用基于壓阻效應(yīng)的MEMS壓力傳感器輸出數(shù)據(jù)的篡改，且0.5 mW的激光功率將帶來±100 kPa的輸出誤差。鑒于智能設(shè)備所有操作均會影響中央處理器（CPU）的功耗，并伴隨一定程度的電磁輻射，文獻(xiàn)[16]利用CPU電磁輻射實(shí)現(xiàn)智能設(shè)備行為分析，如啟動的應(yīng)用或執(zhí)行的操作等。

3.2 存儲安全

傳感器數(shù)據(jù)采集頻率通常大于數(shù)據(jù)上傳頻率，部分采集數(shù)據(jù)須在傳感器端暫存。隨著電力智能傳感器數(shù)據(jù)加密需求的不斷提升，端側(cè)密鑰存儲安全性也亟須關(guān)注。側(cè)信道攻擊利用芯片正常工作時伴隨的功耗、電磁、熱、聲等非預(yù)期信號泄露，竊取關(guān)鍵隱私信息，是當(dāng)前硬件安全的重要威脅來源之一。文獻(xiàn)[17]詳細(xì)分析了不同側(cè)信道攻擊方法，梳理了典型抗泄漏密碼方案。

在檢測技術(shù)方面，文獻(xiàn)[18]對20余種x86架構(gòu)緩存?zhèn)刃诺拦魴z測技術(shù)進(jìn)行了詳細(xì)的對比分析，并將其總結(jié)為3類：基于異常的檢測、基于特征的檢測、基于異常+特征的檢測。電力智能傳感器通常采用ARM處理器，文獻(xiàn)[19]針對34種ARM設(shè)備進(jìn)行了緩存?zhèn)刃诺拦魷y試，發(fā)現(xiàn)了88種脆弱性。

在技術(shù)提升方面，文獻(xiàn)[20]研發(fā)了一種能夠抵抗密鑰存儲物理攻擊的64 KB阻變式存儲器（RRAM），不僅能夠?qū)剐酒嫦蛱幚砗惋@微鏡觀察等侵入式物理攻擊，還通過提供對稱電源和時間讀信號對抗側(cè)信道攻擊，通過引入帶有反饋的簡化寫保護(hù)策略對抗惡意寫入，通過片上集成邏輯平臺對抗針對芯片引腳邊界處的數(shù)據(jù)攔截攻擊。文獻(xiàn)[21]提出了一種適用于非易失性存儲器（NVM）的功耗側(cè)信道攻擊消除技術(shù)，利用片內(nèi)電容器和電壓管理器實(shí)現(xiàn)NVM讀/寫操作的供電，消除了傳統(tǒng)存儲陣列和外部電源在讀/寫操作中通過功耗泄露數(shù)據(jù)漢明權(quán)重的問題。文獻(xiàn)[22]基于55 nm的CMOS eFlash實(shí)現(xiàn)了物理不可克隆函數(shù)（PUF）和真隨機(jī)數(shù)的輕量化集成設(shè)計，可以作為安全原語用于保證存儲安全。

04通信網(wǎng)絡(luò)安全

4.1 感知層通信安全相關(guān)標(biāo)準(zhǔn)

中國對物聯(lián)網(wǎng)終端及感知層網(wǎng)絡(luò)均提出了安全要求，如文獻(xiàn)[7-8]。國家電網(wǎng)有限公司感知層通信安全相關(guān)標(biāo)準(zhǔn)包括文獻(xiàn)[9-10]。上述標(biāo)準(zhǔn)的關(guān)鍵和核心是接入鑒別和數(shù)據(jù)傳輸安全，其支撐技術(shù)是身份認(rèn)證和數(shù)據(jù)加密。

國際電工委員會（IEC）第57技術(shù)委員會針對應(yīng)用于變電站場景的IEC系列電力通信協(xié)議制定了數(shù)據(jù)和通信安全系列標(biāo)準(zhǔn)IEC 62351，重點(diǎn)考慮設(shè)備計算能力，提出傳輸層和應(yīng)用層安全機(jī)制，安全核心技術(shù)為身份認(rèn)證和數(shù)據(jù)加密。

4.2 輕量級加密

美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）、美國國家安全局（NSA）、國際標(biāo)準(zhǔn)化組織（ISO）以及IEC均積極推動適用于資源受限物聯(lián)網(wǎng)設(shè)備的輕量級加密認(rèn)證技術(shù)。NIST于2018年開始征集輕量級加密認(rèn)證算法，經(jīng)過3輪激烈角逐，于2023年2月宣布ASCON系列算法獲勝且將進(jìn)行標(biāo)準(zhǔn)化。NSA于2013年推出的Simon與Speck加密算法均是專為短數(shù)據(jù)設(shè)計的分組加密算法，密鑰長度可低于64 bit，兩者區(qū)別在于Simon著重進(jìn)行了硬件實(shí)現(xiàn)優(yōu)化，而Speck著重進(jìn)行了軟件實(shí)現(xiàn)優(yōu)化。文獻(xiàn)[23]對比了39種輕量級加密算法，結(jié)果表明：Speck和Simon在軟件效率、存儲效率和時延3方面的性能均居第1名和第2名。ISO/IEC 29192標(biāo)準(zhǔn)組發(fā)布了輕量級密碼系列標(biāo)準(zhǔn)，其中文獻(xiàn)[24]規(guī)定了3種輕量級塊加密算法：PRESENT、CLEFIA和LEA。

4.3 輕量級身份認(rèn)證技術(shù)

文獻(xiàn)[25]指出，物聯(lián)網(wǎng)認(rèn)證協(xié)議應(yīng)能抵抗重放攻擊、中間人攻擊、仿冒攻擊、丟失/竊取攻擊、在線/離線口令猜測攻擊、內(nèi)部特權(quán)攻擊、物理獲取等安全攻擊。身份認(rèn)證的安全性很大程度上依賴于認(rèn)證因子以及認(rèn)證交互流程的安全性。

身份認(rèn)證因子應(yīng)具有唯一性、不可復(fù)制性、隨機(jī)性（不可預(yù)測性）和穩(wěn)定性。適用于電力智能傳感器的身份認(rèn)證因子及其安全性如表1所示。設(shè)備ID和數(shù)字證書以數(shù)字形式存儲在認(rèn)證兩端，其穩(wěn)定性極佳。以48位MAC地址為例，受限于實(shí)際應(yīng)用中的地址分配規(guī)則，其唯一性和隨機(jī)性會大打折扣。此外，為了提高應(yīng)用靈活性，大多設(shè)備支持MAC地址更改，其不可復(fù)制性極差。數(shù)字證書通常由認(rèn)證機(jī)構(gòu)基于設(shè)備自身的一些參數(shù)生成，且單個認(rèn)證中心的容量通常受限，其唯一性、不可復(fù)制性、隨機(jī)性均一般。硬件指紋是近年來最受關(guān)注的身份認(rèn)證因子，包括但不限于PUF、射頻指紋等，其物理特性決定了具有非常好的唯一性、不可復(fù)制性和隨機(jī)性。文獻(xiàn)[26]針對STM32F系列芯片，基于靜態(tài)隨機(jī)存取存儲器（SRAM）上電初始值提取設(shè)備指紋，測試表明，片內(nèi)漢明距離約為6%+0.5%，片間漢明距離為46%+3%，設(shè)備指紋的唯一性和隨機(jī)性均很好。但受限于提取條件及外界因素，其穩(wěn)定性通常會受到一定程度的影響。文獻(xiàn)[27]提出了2種基于Wyner–Ziv的線性編碼重構(gòu)技術(shù)，仿真驗(yàn)證其能夠更好地保護(hù)PUF密鑰協(xié)商過程中的隱私數(shù)據(jù)、提高存儲速率。

認(rèn)證交互流程的安全性主要指在認(rèn)證交互過程中是否會泄露身份認(rèn)證因子、用于重構(gòu)密鑰的敏感信息等。公鑰基礎(chǔ)設(shè)施（PKI）是實(shí)現(xiàn)認(rèn)證交互安全性的主要技術(shù)之一，廣泛應(yīng)用于各類身份認(rèn)證和數(shù)字簽名系統(tǒng)中。PKI依賴于公鑰密碼算法和由第三方權(quán)威機(jī)構(gòu)發(fā)放的數(shù)字證書。在該認(rèn)證過程中，認(rèn)證信息通過公鑰加密后進(jìn)行傳輸，減少了認(rèn)證過程中敏感信息泄露的安全風(fēng)險。然而，該認(rèn)證方法應(yīng)用于電力智能傳感器，則可能存在2方面問題：1）存儲安全風(fēng)險大，電力智能傳感器因計算和存儲資源限制，難以采用防護(hù)等級高的硬件安全措施，且廣泛分布在居民區(qū)、低壓線路等易物理獲取的區(qū)域，其內(nèi)存儲數(shù)據(jù)宜被竊??；2）證書管理難度高，隨著電網(wǎng)智能化程度的不斷提高，電力智能傳感器數(shù)量將呈現(xiàn)指數(shù)級增長，這對權(quán)威機(jī)構(gòu)設(shè)置、證書管理、證書下載和驗(yàn)證均提出了很大的挑戰(zhàn)。

基于白名單的身份認(rèn)證技術(shù)實(shí)現(xiàn)簡單且?guī)缀醪唤o終端設(shè)備帶來通信、計算和存儲開銷。然而，白名單中存儲的終端設(shè)備ID通常是終端設(shè)備的MAC地址。隨著技術(shù)的發(fā)展，終端設(shè)備MAC地址極易重新配置，且?guī)缀跛芯W(wǎng)絡(luò)將MAC地址以明文方式嵌入數(shù)據(jù)包在網(wǎng)絡(luò)中進(jìn)行傳輸。惡意攻擊者極易通過監(jiān)聽等方式獲取合法終端設(shè)備的MAC地址并進(jìn)行仿冒攻擊。與此同時，基于白名單的身份認(rèn)證技術(shù)通常為單向認(rèn)證，惡意攻擊者通過偽裝成網(wǎng)關(guān)等設(shè)備獲取合法終端設(shè)備的相關(guān)信息。

近年來，學(xué)術(shù)界對基于PUF技術(shù)的認(rèn)證方案及其安全性開展了大量研究。文獻(xiàn)[28]提出了一種基于PUF的雙向認(rèn)證方法。文獻(xiàn)[29]提出了一種基于PUF的多跳個域網(wǎng)輕量級身份認(rèn)證方法。為了進(jìn)一步提高認(rèn)證協(xié)議的安全性，文獻(xiàn)[30]將PUF與基于瞬時ID和密鑰的認(rèn)證方法相結(jié)合，提出一種雙因子的身份認(rèn)證方法。隨著Maxim等半導(dǎo)體公司、清華大學(xué)PUF芯片的推出，基于PUF技術(shù)的身份認(rèn)證方法具備了大規(guī)模應(yīng)用的可能。

05計算環(huán)境安全技術(shù)

5.1 代碼安全

已有調(diào)查顯示，96.8%的開發(fā)人員使用開源軟件、99%的組織在其系統(tǒng)中應(yīng)用了開源軟件。然而開源軟件的廣泛應(yīng)用在提高開發(fā)效率的同時也引入一些安全風(fēng)險。

1）安全漏洞。文獻(xiàn)[33]于2022年4月對539個開源軟件項(xiàng)目的調(diào)查結(jié)果顯示：平級每個.Net、Go、Java、JavaScript和Python項(xiàng)目漏洞個數(shù)分別是23、34、92、47和46。奇安信代碼安全實(shí)驗(yàn)室于2019年針對聯(lián)網(wǎng)設(shè)備固件中引用的開源軟件的檢測和漏洞分析結(jié)果顯示：86.4%的固件存在至少1個以上的開源漏洞，88%的項(xiàng)目漏洞是因?yàn)槭褂瞄_源軟件引起的。

2）API誤用。文獻(xiàn)[35]對GitHub從2011到2018年間發(fā)布的528546個歷史缺陷修復(fù)文件進(jìn)行了分析，提取了超過100萬個缺陷修復(fù)編輯操作，其中51.7%為API誤用。文獻(xiàn)[36]針對6個不同領(lǐng)域的主流開源C程序中的830個API誤用問題進(jìn)行了分析。文獻(xiàn)[37]發(fā)現(xiàn)83%的密碼學(xué)漏洞是因?yàn)檎`用加密庫引起的。文獻(xiàn)[38]指出，在Java和Android社區(qū)線上討論密碼學(xué)編程中分別有90%和71%是關(guān)于密碼學(xué)誤用的。

現(xiàn)有技術(shù)主要通過檢測方式發(fā)現(xiàn)代碼漏洞和API誤用，檢測依據(jù)是已知漏洞和API誤用庫?，F(xiàn)有檢測工具較多，規(guī)模較大的安全公司幾乎均推出了商用檢測工具，開源工具包括開放Web應(yīng)用程序安全項(xiàng)目（open web application security project，OWASP）依賴性檢查、Eclipse Steady和GitHub安全告警等。文獻(xiàn)[39]測試了修改開源軟件依賴關(guān)系對上述3種開源工具以及3種商用漏洞檢測工具性能的影響，結(jié)果表明6種檢測工具均無法應(yīng)對上述修改。文獻(xiàn)[40]對JADET、GROUMINER、TIKANGA和DMMC等靜態(tài)API誤用檢測器性能進(jìn)行了系統(tǒng)測試和評價，測試結(jié)果表明，現(xiàn)有檢測工具的準(zhǔn)確度和召回率均有待提升，且需要更豐富的測試?yán)齺碛?xùn)練檢測模型。為此，文獻(xiàn)[41]基于雙向長短時記憶（Bi-directional long short-term memory，Bi-LSTM）神經(jīng)網(wǎng)絡(luò)，同時考慮正向和反向上下文，提高密碼學(xué)誤用檢測性能。文獻(xiàn)[42]在對384種API誤用檢測誤警情況分析基礎(chǔ)上，提出了一系列人工輔助實(shí)例，與當(dāng)前最先進(jìn)的基于實(shí)例的API誤用檢測工具相結(jié)合，針對50個開源Java項(xiàng)目進(jìn)行了測試，成功阻止了55個API誤用檢測誤警。在檢測自動化方面，文獻(xiàn)[43]通過靜態(tài)分析構(gòu)造API使用規(guī)約訓(xùn)練樣本，基于深度學(xué)習(xí)中的循環(huán)神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練和學(xué)習(xí)，通過對比語句預(yù)測結(jié)果與實(shí)際代碼來實(shí)現(xiàn)API誤用問題的自動發(fā)現(xiàn)。

5.2 固件安全

文獻(xiàn)[44]通過網(wǎng)絡(luò)爬蟲搜集了9716個固件映像和347685個安全報告，其中6898個安全報告含有12321個嵌入式設(shè)備固件漏洞，且超過10%的固件漏洞沒有發(fā)布升級補(bǔ)丁。國家互聯(lián)網(wǎng)應(yīng)急中心2021年2季度共收錄聯(lián)網(wǎng)智能設(shè)備漏洞2365個，其中通用型漏洞1421個（智能監(jiān)控平臺占比13.57%）、事件型漏洞944個（智能監(jiān)控平臺占比32.52%）；3季度共收錄聯(lián)網(wǎng)智能設(shè)備漏洞2792個，其中通用型漏洞1413個（智能監(jiān)控平臺占比13.94%）、事件型漏洞1379個（智能監(jiān)控平臺占比51.99%）。固件控制設(shè)備驅(qū)動程序及其與外界的交互，已被公認(rèn)為是物聯(lián)網(wǎng)中一個龐大且不斷擴(kuò)大的攻擊面。

與代碼安全相似，現(xiàn)有技術(shù)主要通過檢測發(fā)現(xiàn)漏洞。根據(jù)文獻(xiàn)[47]，固件檢測技術(shù)主要分為四大類：基于仿真器的測試、自動代碼分析、基于模糊的網(wǎng)絡(luò)測試和人工逆向分析。基于仿真器的測試能夠避開破壞性測試對昂貴設(shè)備帶來的不可逆損傷，但其需要獲取設(shè)備固件，模擬出固件與外部硬件的交互，測試環(huán)境建設(shè)工作量大、很多環(huán)節(jié)需要人工干預(yù)，且可擴(kuò)展性較差。自動代碼分析源自軟件工程安全，自動挖掘代碼屬性，并通過模式匹配技術(shù)實(shí)現(xiàn)漏洞檢測，可用于大規(guī)模測試，但其需要獲取設(shè)備固件，且其檢測準(zhǔn)確度有待提升?；谀：木W(wǎng)絡(luò)測試不需要獲取設(shè)備固件及相關(guān)信息，僅需要產(chǎn)生符合待測試設(shè)備通信標(biāo)準(zhǔn)的數(shù)據(jù)包即可，然而現(xiàn)有電力智能傳感器通常不支持IP協(xié)議，通信層面采用國家電網(wǎng)有限公司相關(guān)標(biāo)準(zhǔn)協(xié)議或者私有協(xié)議，需要開發(fā)支持上述協(xié)議的模糊測試器。人工逆向分析對測試工程師和人工投入要求高，通常僅用于分析特殊的設(shè)備或者特定場景。

在實(shí)際應(yīng)用中，為了提高檢測準(zhǔn)確度通常同時采用多種檢測方法。如文獻(xiàn)[50]通過多種開源工具對固件二進(jìn)制文件代碼進(jìn)行提取和分析，通過基于模糊的網(wǎng)絡(luò)測試完成在線分析，用于盡可能地發(fā)現(xiàn)未知漏洞；最后輔以人工檢查來消除由設(shè)備自身引起的端口沖突，用于減少固件漏洞誤警率。針對可用于大規(guī)模檢測的自動代碼分析技術(shù)，學(xué)者們就檢測準(zhǔn)確性、檢測效率以及比對依據(jù)等方面開展了深入研究。文獻(xiàn)[54]提出了一種基于代碼相似性的分步固件漏洞檢測方法：1）通過基于神經(jīng)網(wǎng)絡(luò)的嵌入式函數(shù)來分析不同函數(shù)之間的相似性，用來提高大規(guī)模檢測時的效率；2）通過細(xì)粒度固件安全分析來獲得函數(shù)本地調(diào)用流圖的相似性，用來提高固件漏洞檢測的準(zhǔn)確度。文獻(xiàn)[55]通過分析和提取代表性固件函數(shù)特征，構(gòu)建了基于SimHash的固件函數(shù)數(shù)據(jù)庫，用于實(shí)現(xiàn)大量固件函數(shù)的相似性檢測，并快速定位出本地可疑脆弱函數(shù)。文獻(xiàn)[56]摒棄了傳統(tǒng)代碼特征，關(guān)注于固件代碼基因的信息性（重要性、穩(wěn)定性、抗變異性和遺傳性），通過計算代碼之間的基因距離來實(shí)現(xiàn)相似性檢測和同源檢測的定量分析。

06結(jié)論與建議

本文基于當(dāng)前研究現(xiàn)狀，分析了電力智能傳感器及傳感網(wǎng)安全需求，構(gòu)建了安全技術(shù)體系，總結(jié)了安全問題及技術(shù)現(xiàn)狀，歸納電力智能傳感器及傳感網(wǎng)安全趨勢和發(fā)展建議如下。

1）作為感知設(shè)備，電力智能傳感器感知安全亟須關(guān)注，須綜合考慮傳感器工作原理、結(jié)構(gòu)特征、工作環(huán)境、硬件選型和軟件算法等多種因素，提出綜合性解決方案。

2）易于物理接近，存儲安全亟須關(guān)注。建議引導(dǎo)廠商選擇相對安全的存儲芯片或者技術(shù)，一是采用PUF等新型技術(shù)提取密鑰，抵抗侵入式攻擊和側(cè)信道攻擊；二是引入存儲數(shù)據(jù)加密和完整性校驗(yàn)，及時發(fā)現(xiàn)通過電磁攻擊等物理手段實(shí)施的數(shù)據(jù)篡改。

3）資源受限嚴(yán)重，亟需標(biāo)準(zhǔn)化的輕量級安全連接技術(shù)。電力智能傳感器以小數(shù)據(jù)量業(yè)務(wù)為主且通常采用電池或微源取能供電，對開銷和功耗要求極其嚴(yán)格。同時，國內(nèi)尚無適用于電力智能傳感器的輕量級安全標(biāo)準(zhǔn)。

4）受產(chǎn)業(yè)現(xiàn)狀、設(shè)備能力、規(guī)模和成本限制，亟須做好電力智能傳感器入網(wǎng)檢測。相關(guān)建議包括：一是收集專有代碼、固件漏洞，建立電力智能傳感器專用漏洞和缺陷庫，提高檢測效率、降低檢測時間；二是應(yīng)用人工智能等新技術(shù)，改善檢測準(zhǔn)確度和誤警率等性能；三是備份并及時發(fā)現(xiàn)已入網(wǎng)設(shè)備固件漏洞，督促廠家發(fā)布固件安全升級包并在線升級存量設(shè)備固件，助力存量設(shè)備安全性保障。

電力智能傳感器及傳感網(wǎng)安全是一個開放問題。在新型電力系統(tǒng)建設(shè)大背景下，電力智能傳感器及傳感網(wǎng)應(yīng)用領(lǐng)域?qū)⒉粩鄶U(kuò)張，數(shù)量將急劇增長，勢必暴露越來越多的安全問題，防護(hù)技術(shù)也亟須與時俱進(jìn)。

注：本文內(nèi)容呈現(xiàn)略有調(diào)整，如需要請查看原文。

*免責(zé)聲明：本文版權(quán)歸原作者所有，本文所用圖片、文字如涉及作品版權(quán)，請第一時間聯(lián)系我們刪除。本平臺旨在提供行業(yè)資訊，僅代表作者觀點(diǎn)，不代表感知芯視界立場。

今日內(nèi)容就到這里啦，如果有任何問題，或者想要獲取更多行業(yè)干貨研報，可以私信我或者留言

審核編輯 黃宇