智能電網(wǎng)供應鏈潛在的危險及防御措施

　　政府與電力部門，甚至消費者都越來越關注智能電網(wǎng)的安全性。繼空氣、水、食品與住宅之后，電力已經(jīng)成為人類最基本的生活必需品之一。毫無疑問，可靠的電力供應是現(xiàn)代社會生活的保障，也是促進新興國家發(fā)展的重要因素。

　　在關于智能電網(wǎng)安全性的討論，大部分內容都傾向于網(wǎng)絡安全，以及在此環(huán)境下嵌入式設備以安全認證方式接入網(wǎng)絡，并通過網(wǎng)絡處理數(shù)據(jù)。盡管這是智能電網(wǎng)環(huán)境下保證供電安全的關鍵步驟，但這種方法過于狹隘，忽略了智能電網(wǎng)在有效運行期限內來自智能電網(wǎng)設備供應鏈的威脅。

　　本文探討智能電網(wǎng)供應鏈存在的潛在風險以及對智能電網(wǎng)構成的威脅。必須重視并防范這些威脅，才能保證電網(wǎng)運行的安全。最后，我們評估用于防止這些威脅的技術。

　　電網(wǎng)的潛在風險？

　　為什么有人會試圖攻擊智能電網(wǎng)？答案不盡相同。

　　最簡單的情況，可能是攻擊者想節(jié)省其電費賬單。攻擊者通過更改其智能電表來保護個人利益。有些情況下，可能是有組織犯罪活動，以隱藏其真實的耗電數(shù)據(jù)，比如毒品實驗室試圖掩蓋其耗電量。除此之外，還存在更高意識形態(tài)的電網(wǎng)攻擊者。

　　眾所周知，許多國家必須應對恐怖襲擊的威脅，每時每刻都要加以防范。炸彈或飛機襲擊等武力威脅固然可怕，而針對供電網(wǎng)絡的攻擊行為則會擾亂大量人群生活質量。一旦攻擊者控制幾百萬只電表，則會破壞大批人群的供電，發(fā)起實質性的公共攻擊。

　　智能電表有效運行期限內所面臨的物理威脅

　　圖1所示為智能電表生命周期不同階段的概念圖。為簡單起見，該模型僅限于四個步驟：芯片采購、智能電表生產、智能電表部署，以及運轉模式下的智能電表。我們利用這一簡單模型進行潛在風險分析。對于每一階段（包括各個階段之間的過渡或運輸），我們都需要考察：攻擊者會采取什么方式來控制智能電表網(wǎng)絡？

　　智能電表生命周期所面臨的潛在風險模型。如圖所示，只有通信加密并不能提供有效保護。

　　利用假冒IC代替合法IC

　　對于攻擊者來說，芯片制造商和設備制造商之間的運輸環(huán)節(jié)是入侵智能電表供應鏈的最佳時機。對于攻擊者而言，微控制器是塊“肥肉”。在一般的供應鏈模型中，芯片制造商將基于閃存的微控制器運輸?shù)缴a場所，無論是簽約制造商（CM）還是最終用戶。在生產場所，將智能電表固件裝載至微控制器。在完成電表生產及裝箱之前，要進行一些系統(tǒng)級配置。這是正常的流程。

　　現(xiàn)在，假設技術高超的攻擊者設計一款看起來和用起來都非常像正品電表SoC的微控制器，就可能出現(xiàn)諸多情況。IC可能被更改，允許網(wǎng)絡恐怖分子通過網(wǎng)絡遠程控制電表；或者，假冒SoC可能根據(jù)任何請求轉存其存儲器內容，從而泄露制造期間裝載的通信密鑰；再或者，假冒SoC可能允許任何人查看其軟件，從而威脅到正規(guī)電表廠商的IP.

　　有些技術不太高超的攻擊者，“假冒IC”需要進行制造，想象一下運輸至CM的真實閃存微控制器。攻擊者攔截運輸過程并在閃存中裝載一段程序，該程序看起來非常像系統(tǒng)內置的標準引導裝載程序。IC到達CM時，可能很難檢測到這種詭計（即假冒引導裝載程序）。然后CM下載標準固件，但“不安全”的引導裝載程序已經(jīng)在電表中駐留病毒。隨后，該病毒會造成電表功能不正常，并與攻擊者共享安全密鑰。

　　如果沒有正確的保護措施，利用IC運輸進行假冒或篡改的攻擊者就能夠控制智能電表的整個生命周期，在智能電網(wǎng)上隨意引發(fā)不可想象的災難。

　　生產過程中裝載惡意軟件

　　制造車間同樣存在風險，比如，來自負責生產的員工隊伍。一般情況下，這些工人的收入遠低于工程團隊或管理者。經(jīng)濟不景氣時，100美元的賄賂獲取就能收買生產線的工人，在智能電表中裝載特殊固件。即使比較富裕的國家，如果100美元達不到目的，他們或許支付更高的費用，1，000或10，000美元？

　　如果攻擊者可接觸到生產流程，就能夠竊取裝載到智能電表的二進制碼鏡像。竊取鏡像并更改固件，造成意想不到的后果，這一點并不困難。例如，攻擊者更改中斷向量，在嚴格定義的情況下引發(fā)破壞行為。中斷向量可被編程為監(jiān)測實時時鐘，在夏天的某個特定時間斷開電表的斷路繼電器，使處理器停頓，導致電表脫離網(wǎng)絡。在這樣的攻擊下，可能有數(shù)百萬只電表遭到破壞，停止向居民供電。如果供電公司被迫手動更換智能電表，經(jīng)濟損失將不可估量?？紤]到炎熱夏季斷電造成的后果，將會大幅提高人們的生活成本。

　　偷竊軟件仿制電表

　　為了從中獲取非法利益，在正常的生產流程中，產線工人可輕而易舉地接觸到裝載到智能電表的二進制鏡像。通過賄賂，攻擊者即可接觸到原始PCB，從而進行逆向工程。如果攻擊者得到完整的BOM，帶有可識別的IC部件號，以及智能電表工作所需的軟件，就擁有了仿制電表所需的一切。攻擊者不需要任何研發(fā)成本也可銷售電表。

　　一旦攻擊者能夠仿制電表，如上所述，就存在更改電表軟件的風險。

　　利用假冒電表代替合法電表

　　與芯片相比，電表外殼和標識的仿制要容易得多。這種情況下，攻擊者制造看起來酷似合法電表的產品，但固件包含隱藏的攻擊代碼。對電表進行校準，使其報告錯誤的用電量。如果電表允許攻擊者控制其切斷或控制發(fā)送至電力公司的數(shù)據(jù)，這可能是災難性的。對單只電表的攻擊帶來的是麻煩，還算不上災難；而針對大量電表的攻擊行為將會帶來不可估量的損失。想象一下，六百萬只電表報告的用電量都不正確會是什么情形。供電公司將根據(jù)錯誤的數(shù)據(jù)做出決策，妨礙其響應用電需求變化以及正確發(fā)電的能力，不可避免地發(fā)生大范圍電網(wǎng)不穩(wěn)定，造成巨大的生產力損失。