电子说
来源:中国电力
编者按
电力智能传感器用于采集电力生产各环节的电气量、物理量、环境量、状态量和行为量等信息,搭建了物理电力系统到信息物理融合系统间的桥梁,是实现电力数字化和能源转型的关键技术之一。随着新型电力系统建设的持续推进,电力智能传感器及传感网已成为能源互联网的重要基础设施,广泛分布在电源侧、电网侧和用户侧。国家电网有限公司2019年至今启动了输变电设备物联网、配电物联网和数字站物联网的规模建设,感知层设备均以无线传感器为主。输变电设备物联网感知层通过符合国家电网有限公司企业标准的微功率无线传感器和低功耗无线传感器采集物理量、环境量和状态量等信息;数字站物联网在输变电设备物联网基础上,新增视频监控、移动巡检等宽带无线传感器实现行为量信息采集;配电物联网除通过窄带无线传感器采集环境量、状态量信息外,还考虑了基于高速载波和高速无线双模通信模块采集电气量信息。
《中国电力》2023年第11期刊发了安春燕等人撰写的《电力智能传感器及传感网安全防护技术》一文。文章首先分析电力智能传感器及传感网安全需求、建立安全技术体系,接着归纳总结物理环境、通信网络和计算环境安全关键技术,最后提出技术发展建议,为构建安全、可靠的能源电力数据基座提供支撑。
摘要
电力智能传感器及传感网安全研究处于起步阶段,资源受限及应用现场缺乏低压供电导致对安全开销极其敏感,用户侧广泛部署更易遭受侧信道等物理攻击,利用感知机理或数据处理算法发起的新型攻击日渐增多。针对上述问题,结合现场特点、业务特征、设备能力及行业现状,分析电力智能传感器及传感网安全需求,构建安全技术体系,归纳总结电力智能传感器具备特殊需求的感知安全、存储安全、轻量级加密、身份认证、代码安全和固件安全等技术研究现状,提出发展建议,为构建安全、可靠的能源电力数据基座提供支撑。
01安全需求
电力智能传感器及传感网结合设备分布及业务特征,安全需求归纳如下。
1)物理获取难度低,亟须传感器及传感网自身具备安全防范能力。电力智能传感器通常随电力线/设备部署,遍布发/输/配/变/用电区域。尤其是位于低压配用电侧的传感器及传感网,攻击者极易物理靠近或获取。这将导致传统通过隔离、边界防护或管理手段实现安全防护的收效甚微。
2)资源受限较严重,亟需轻量级安全防护技术。电力智能传感器现场部署环境复杂,多采用电池或自取能供电,对功耗要求极其严格。环境量和状态量传感器处理器主频通常小于100 MHz、随机存取存储器(RAM)资源多为64 KB或128 KB、通信速率通常小于100 kbps,大部分现有安全防护技术无法直接应用。
3)误警核验成本高,亟须防止虚假数据注入。电力智能传感器通常用于提前发现故障并预警,变被动检修为主动运维。预警通常需要人工现场核验和巡检,误警会极大增加电网运维成本。与此同时,恶意注入的“对抗样本”会导致电力智能化系统做出错误的决策。须要保障入网电力智能传感器固件和软件代码安全,无恶意代码、漏洞及病毒潜伏,且对入网传感器进行身份认证并支持数据溯源。
4)单点数据价值低,但须防止数据规模泄露。电力智能传感器通常用于监测电网运行状态、电力设备运行状态、运行环境,获取单个传感器数据可产生的价值较低。然而,若获取某个区域内随线/设备全部传感器的数据,则可能基于大数据技术推算出电网运行的薄弱环节或挖掘出新的价值体系,进而带来不可控的安全风险。
5)短数据包占比高,对安全开销更敏感。环境量和状态量传感器业务数据长度多为4~6字节,若采用密钥长度为128位的高级加密标准(advanced encryption standard,AES),电子密码本模式下输出为16字节,加密开销为160%~300%。
02安全体系
电力智能传感器作为物联网信息通信终端时应参考文献[6-12]等国家及电力公司安全防护规定。然而,电力智能传感器同时也是感知终端,目前缺乏对其感知部分的安全防护要求。此外,电力智能传感器具备一定的计算能力,但不具备边缘计算能力,若参照文献[9]中不具备边缘计算能力物联网终端防护要求,仍面临安全风险。
本文基于电力智能传感器及传感网安全需求,重点考虑其作为感知终端及资源受限导致的安全问题,构建了安全技术体系,如图2所示。红色背景框表示电力智能传感器及传感网区别于传统网络的特殊需求,是本文重点关注内容。
2.1 安全技术
安全技术包含提升电力智能传感器及传感网安全性的技术手段。本文参考文献[6]对不同级别系统安全要求的分类方法,沿用通用要求,但重点研究电力智能传感器因特殊部署环境、资源受限特性及感知设备所需的安全技术。
2.1.1 物理环境安全
与传统部署于机房的通信网络设备不同,电力智能传感器部署位置受限于待监测的一次设备或环境,无法应用文献[6]中的物理访问控制、温湿度控制、防火、电力供应等安全措施保障物理环境安全,但应实现防盗窃和防破坏、防雷击、防火和防潮等环境安全;关闭多余接口和调试接口等,实现接口安全。其次,电力智能传感器兼具感知和通信功能,其作为感知设备的物理安全性(感知安全)也亟须关注。文献[13-16]表明:外部激光、电磁、超声等信号,均可能影响感知数据,进而对智能传感器及传感网所承载业务系统的安全性带来威胁。最后,电力智能传感器物理易获取,其内暂存的采集数据、密钥等关键信息的存储安全也亟须关注。
2.1.2 通信网络安全
传统电力信息通信设备通常配置硬件安全芯片,支持身份认证、数据加密和校验等功能,实现网络传输数据的机密性、完整性和真实性。然而,电力智能传感器对功耗要求极其严格,通常仅包含1颗低功耗通信芯片,或者1颗低功耗主控芯片和1颗低功耗射频芯片,集成硬件安全芯片易导致功耗加倍、寿命减半。尤其是环境量和状态量传感器主频较低且存储空间较小,对软件实现安全技术的开销极其敏感,能运行在传感器上的轻量级安全技术亟须关注。
此外,部分电力智能传感器承载采集、控制等业务,采集时间与采集数据同等重要。文献[3]总结了针对电力物联网终端的时间攻击及检测方法。时间同步安全也是电力智能传感器及传感网区别于传统网络的通信安全之一。
2.1.3 区域边界安全
电力智能传感器及传感网涉及的区域边界包括3项:1)电力智能传感器及传感网与骨干网络之间的边界,即纵向边界;2)接入不同安全大区电力智能传感器之间的边界;3)不直接接入安全大区的传感器与直接接入安全大区传感器之间的边界。
参照文献[9],纵向边界处根据实际需求单独配置安全接入网关或网络隔离装置,实现传统的边界防护、访问控制、入侵防范和安全审计功能。考虑成本和部署要求,不鼓励接入不同安全大区电力智能传感器在感知层互通。不直接接入安全大区的传感器与直接接入安全大区传感器间互通时,应参照接入安全大区传感器的安全需求,进行身份认证和数据加密,即2.1.2节所述的轻量级安全技术。
2.1.4 计算环境安全
电力智能传感器及传感网设备作为传统信息设备,需要对访问其数据的用户或设备进行身份鉴别,实现数据完整性、备份恢复等数据保护。与此同时,受传感器产业链、成本及开发周期限制,相较传统信息设备,电力智能传感器代码安全和固件安全问题更突出。
2.2 评测技术
评测技术通过测试手段发现电力智能传感器隐藏的安全问题,进而保证入网传感器的安全。评测技术包括入网评测和运行评测2种。鉴于电力智能传感器数量大且分布广泛,运行评测实施相对困难,建议做好入网评测。
入网安全评测用于验证电力智能传感器是否具备相关规定要求的安全功能以及设备本身是否存在漏洞、后门等安全缺陷。国内外针对传统互联网设备漏洞和后门检测开展了大量研究,安全评测方法相对成熟。然而,无论是静态分析方法还是动态分析方法,大多通过快速查找并匹配漏洞数据库来实现漏洞检测。电力智能传感器大多基于高级精简指令集(ARM)架构及嵌入式开发系统,且部分设备不支持TCP/IP协议,其漏洞库与传统互联网通信设备有较大不同。电力智能传感器入网安全评测处于研发的初始阶段,尚无专用漏洞数据库,没有丰富的测试样本用于分析,应重点关注测试样本积累和漏洞数据库构建。
03物理环境安全
3.1 感知安全
感知安全是保障电力智能传感器测量中的“声-电”“光-电”“磁-电”和“热-电”转换过程不受外界恶意激光、磁场和超声等信号影响的技术和手段。
目前针对感知安全的研究侧重于重现攻击过程。文献[13]通过对超声传感器进行欺骗攻击和拥塞攻击,致使特斯拉Model S自动驾驶在正常行驶过程中刹车或者在有障碍物时仍正常行驶。文献[14]设计了一种针对语音助手的声音传感器攻击工具,利用麦克风电路的非线性特性,将经过调制的低频语音命令通过超声波注入语音助手中,实现无声控制。文献[15]通过调幅激光信号实现了2款商用基于压阻效应的MEMS压力传感器输出数据的篡改,且0.5 mW的激光功率将带来±100 kPa的输出误差。鉴于智能设备所有操作均会影响中央处理器(CPU)的功耗,并伴随一定程度的电磁辐射,文献[16]利用CPU电磁辐射实现智能设备行为分析,如启动的应用或执行的操作等。
3.2 存储安全
传感器数据采集频率通常大于数据上传频率,部分采集数据须在传感器端暂存。随着电力智能传感器数据加密需求的不断提升,端侧密钥存储安全性也亟须关注。侧信道攻击利用芯片正常工作时伴随的功耗、电磁、热、声等非预期信号泄露,窃取关键隐私信息,是当前硬件安全的重要威胁来源之一。文献[17]详细分析了不同侧信道攻击方法,梳理了典型抗泄漏密码方案。
在检测技术方面,文献[18]对20余种x86架构缓存侧信道攻击检测技术进行了详细的对比分析,并将其总结为3类:基于异常的检测、基于特征的检测、基于异常+特征的检测。电力智能传感器通常采用ARM处理器,文献[19]针对34种ARM设备进行了缓存侧信道攻击测试,发现了88种脆弱性。
在技术提升方面,文献[20]研发了一种能够抵抗密钥存储物理攻击的64 KB阻变式存储器(RRAM),不仅能够对抗芯片逆向处理和显微镜观察等侵入式物理攻击,还通过提供对称电源和时间读信号对抗侧信道攻击,通过引入带有反馈的简化写保护策略对抗恶意写入,通过片上集成逻辑平台对抗针对芯片引脚边界处的数据拦截攻击。文献[21]提出了一种适用于非易失性存储器(NVM)的功耗侧信道攻击消除技术,利用片内电容器和电压管理器实现NVM读/写操作的供电,消除了传统存储阵列和外部电源在读/写操作中通过功耗泄露数据汉明权重的问题。文献[22]基于55 nm的CMOS eFlash实现了物理不可克隆函数(PUF)和真随机数的轻量化集成设计,可以作为安全原语用于保证存储安全。
04通信网络安全
4.1 感知层通信安全相关标准
中国对物联网终端及感知层网络均提出了安全要求,如文献[7-8]。国家电网有限公司感知层通信安全相关标准包括文献[9-10]。上述标准的关键和核心是接入鉴别和数据传输安全,其支撑技术是身份认证和数据加密。
国际电工委员会(IEC)第57技术委员会针对应用于变电站场景的IEC系列电力通信协议制定了数据和通信安全系列标准IEC 62351,重点考虑设备计算能力,提出传输层和应用层安全机制,安全核心技术为身份认证和数据加密。
4.2 轻量级加密
美国国家标准与技术研究院(NIST)、美国国家安全局(NSA)、国际标准化组织(ISO)以及IEC均积极推动适用于资源受限物联网设备的轻量级加密认证技术。NIST于2018年开始征集轻量级加密认证算法,经过3轮激烈角逐,于2023年2月宣布ASCON系列算法获胜且将进行标准化。NSA于2013年推出的Simon与Speck加密算法均是专为短数据设计的分组加密算法,密钥长度可低于64 bit,两者区别在于Simon着重进行了硬件实现优化,而Speck着重进行了软件实现优化。文献[23]对比了39种轻量级加密算法,结果表明:Speck和Simon在软件效率、存储效率和时延3方面的性能均居第1名和第2名。ISO/IEC 29192标准组发布了轻量级密码系列标准,其中文献[24]规定了3种轻量级块加密算法:PRESENT、CLEFIA和LEA。
4.3 轻量级身份认证技术
文献[25]指出,物联网认证协议应能抵抗重放攻击、中间人攻击、仿冒攻击、丢失/窃取攻击、在线/离线口令猜测攻击、内部特权攻击、物理获取等安全攻击。身份认证的安全性很大程度上依赖于认证因子以及认证交互流程的安全性。
身份认证因子应具有唯一性、不可复制性、随机性(不可预测性)和稳定性。适用于电力智能传感器的身份认证因子及其安全性如表1所示。设备ID和数字证书以数字形式存储在认证两端,其稳定性极佳。以48位MAC地址为例,受限于实际应用中的地址分配规则,其唯一性和随机性会大打折扣。此外,为了提高应用灵活性,大多设备支持MAC地址更改,其不可复制性极差。数字证书通常由认证机构基于设备自身的一些参数生成,且单个认证中心的容量通常受限,其唯一性、不可复制性、随机性均一般。硬件指纹是近年来最受关注的身份认证因子,包括但不限于PUF、射频指纹等,其物理特性决定了具有非常好的唯一性、不可复制性和随机性。文献[26]针对STM32F系列芯片,基于静态随机存取存储器(SRAM)上电初始值提取设备指纹,测试表明,片内汉明距离约为6%+0.5%,片间汉明距离为46%+3%,设备指纹的唯一性和随机性均很好。但受限于提取条件及外界因素,其稳定性通常会受到一定程度的影响。文献[27]提出了2种基于Wyner–Ziv的线性编码重构技术,仿真验证其能够更好地保护PUF密钥协商过程中的隐私数据、提高存储速率。
认证交互流程的安全性主要指在认证交互过程中是否会泄露身份认证因子、用于重构密钥的敏感信息等。公钥基础设施(PKI)是实现认证交互安全性的主要技术之一,广泛应用于各类身份认证和数字签名系统中。PKI依赖于公钥密码算法和由第三方权威机构发放的数字证书。在该认证过程中,认证信息通过公钥加密后进行传输,减少了认证过程中敏感信息泄露的安全风险。然而,该认证方法应用于电力智能传感器,则可能存在2方面问题:1)存储安全风险大,电力智能传感器因计算和存储资源限制,难以采用防护等级高的硬件安全措施,且广泛分布在居民区、低压线路等易物理获取的区域,其内存储数据宜被窃取;2)证书管理难度高,随着电网智能化程度的不断提高,电力智能传感器数量将呈现指数级增长,这对权威机构设置、证书管理、证书下载和验证均提出了很大的挑战。
基于白名单的身份认证技术实现简单且几乎不给终端设备带来通信、计算和存储开销。然而,白名单中存储的终端设备ID通常是终端设备的MAC地址。随着技术的发展,终端设备MAC地址极易重新配置,且几乎所有网络将MAC地址以明文方式嵌入数据包在网络中进行传输。恶意攻击者极易通过监听等方式获取合法终端设备的MAC地址并进行仿冒攻击。与此同时,基于白名单的身份认证技术通常为单向认证,恶意攻击者通过伪装成网关等设备获取合法终端设备的相关信息。
近年来,学术界对基于PUF技术的认证方案及其安全性开展了大量研究。文献[28]提出了一种基于PUF的双向认证方法。文献[29]提出了一种基于PUF的多跳个域网轻量级身份认证方法。为了进一步提高认证协议的安全性,文献[30]将PUF与基于瞬时ID和密钥的认证方法相结合,提出一种双因子的身份认证方法。随着Maxim等半导体公司、清华大学PUF芯片的推出,基于PUF技术的身份认证方法具备了大规模应用的可能。
05计算环境安全技术
5.1 代码安全
已有调查显示,96.8%的开发人员使用开源软件、99%的组织在其系统中应用了开源软件。然而开源软件的广泛应用在提高开发效率的同时也引入一些安全风险。
1)安全漏洞。文献[33]于2022年4月对539个开源软件项目的调查结果显示:平级每个.Net、Go、Java、JavaScript和Python项目漏洞个数分别是23、34、92、47和46。奇安信代码安全实验室于2019年针对联网设备固件中引用的开源软件的检测和漏洞分析结果显示:86.4%的固件存在至少1个以上的开源漏洞,88%的项目漏洞是因为使用开源软件引起的。
2)API误用。文献[35]对GitHub从2011到2018年间发布的528546个历史缺陷修复文件进行了分析,提取了超过100万个缺陷修复编辑操作,其中51.7%为API误用。文献[36]针对6个不同领域的主流开源C程序中的830个API误用问题进行了分析。文献[37]发现83%的密码学漏洞是因为误用加密库引起的。文献[38]指出,在Java和Android社区线上讨论密码学编程中分别有90%和71%是关于密码学误用的。
现有技术主要通过检测方式发现代码漏洞和API误用,检测依据是已知漏洞和API误用库。现有检测工具较多,规模较大的安全公司几乎均推出了商用检测工具,开源工具包括开放Web应用程序安全项目(open web application security project,OWASP)依赖性检查、Eclipse Steady和GitHub安全告警等。文献[39]测试了修改开源软件依赖关系对上述3种开源工具以及3种商用漏洞检测工具性能的影响,结果表明6种检测工具均无法应对上述修改。文献[40]对JADET、GROUMINER、TIKANGA和DMMC等静态API误用检测器性能进行了系统测试和评价,测试结果表明,现有检测工具的准确度和召回率均有待提升,且需要更丰富的测试例来训练检测模型。为此,文献[41]基于双向长短时记忆(Bi-directional long short-term memory,Bi-LSTM)神经网络,同时考虑正向和反向上下文,提高密码学误用检测性能。文献[42]在对384种API误用检测误警情况分析基础上,提出了一系列人工辅助实例,与当前最先进的基于实例的API误用检测工具相结合,针对50个开源Java项目进行了测试,成功阻止了55个API误用检测误警。在检测自动化方面,文献[43]通过静态分析构造API使用规约训练样本,基于深度学习中的循环神经网络进行训练和学习,通过对比语句预测结果与实际代码来实现API误用问题的自动发现。
5.2 固件安全
文献[44]通过网络爬虫搜集了9716个固件映像和347685个安全报告,其中6898个安全报告含有12321个嵌入式设备固件漏洞,且超过10%的固件漏洞没有发布升级补丁。国家互联网应急中心2021年2季度共收录联网智能设备漏洞2365个,其中通用型漏洞1421个(智能监控平台占比13.57%)、事件型漏洞944个(智能监控平台占比32.52%);3季度共收录联网智能设备漏洞2792个,其中通用型漏洞1413个(智能监控平台占比13.94%)、事件型漏洞1379个(智能监控平台占比51.99%)。固件控制设备驱动程序及其与外界的交互,已被公认为是物联网中一个庞大且不断扩大的攻击面。
与代码安全相似,现有技术主要通过检测发现漏洞。根据文献[47],固件检测技术主要分为四大类:基于仿真器的测试、自动代码分析、基于模糊的网络测试和人工逆向分析。基于仿真器的测试能够避开破坏性测试对昂贵设备带来的不可逆损伤,但其需要获取设备固件,模拟出固件与外部硬件的交互,测试环境建设工作量大、很多环节需要人工干预,且可扩展性较差。自动代码分析源自软件工程安全,自动挖掘代码属性,并通过模式匹配技术实现漏洞检测,可用于大规模测试,但其需要获取设备固件,且其检测准确度有待提升。基于模糊的网络测试不需要获取设备固件及相关信息,仅需要产生符合待测试设备通信标准的数据包即可,然而现有电力智能传感器通常不支持IP协议,通信层面采用国家电网有限公司相关标准协议或者私有协议,需要开发支持上述协议的模糊测试器。人工逆向分析对测试工程师和人工投入要求高,通常仅用于分析特殊的设备或者特定场景。
在实际应用中,为了提高检测准确度通常同时采用多种检测方法。如文献[50]通过多种开源工具对固件二进制文件代码进行提取和分析,通过基于模糊的网络测试完成在线分析,用于尽可能地发现未知漏洞;最后辅以人工检查来消除由设备自身引起的端口冲突,用于减少固件漏洞误警率。针对可用于大规模检测的自动代码分析技术,学者们就检测准确性、检测效率以及比对依据等方面开展了深入研究。文献[54]提出了一种基于代码相似性的分步固件漏洞检测方法:1)通过基于神经网络的嵌入式函数来分析不同函数之间的相似性,用来提高大规模检测时的效率;2)通过细粒度固件安全分析来获得函数本地调用流图的相似性,用来提高固件漏洞检测的准确度。文献[55]通过分析和提取代表性固件函数特征,构建了基于SimHash的固件函数数据库,用于实现大量固件函数的相似性检测,并快速定位出本地可疑脆弱函数。文献[56]摒弃了传统代码特征,关注于固件代码基因的信息性(重要性、稳定性、抗变异性和遗传性),通过计算代码之间的基因距离来实现相似性检测和同源检测的定量分析。
06结论与建议
本文基于当前研究现状,分析了电力智能传感器及传感网安全需求,构建了安全技术体系,总结了安全问题及技术现状,归纳电力智能传感器及传感网安全趋势和发展建议如下。
1)作为感知设备,电力智能传感器感知安全亟须关注,须综合考虑传感器工作原理、结构特征、工作环境、硬件选型和软件算法等多种因素,提出综合性解决方案。
2)易于物理接近,存储安全亟须关注。建议引导厂商选择相对安全的存储芯片或者技术,一是采用PUF等新型技术提取密钥,抵抗侵入式攻击和侧信道攻击;二是引入存储数据加密和完整性校验,及时发现通过电磁攻击等物理手段实施的数据篡改。
3)资源受限严重,亟需标准化的轻量级安全连接技术。电力智能传感器以小数据量业务为主且通常采用电池或微源取能供电,对开销和功耗要求极其严格。同时,国内尚无适用于电力智能传感器的轻量级安全标准。
4)受产业现状、设备能力、规模和成本限制,亟须做好电力智能传感器入网检测。相关建议包括:一是收集专有代码、固件漏洞,建立电力智能传感器专用漏洞和缺陷库,提高检测效率、降低检测时间;二是应用人工智能等新技术,改善检测准确度和误警率等性能;三是备份并及时发现已入网设备固件漏洞,督促厂家发布固件安全升级包并在线升级存量设备固件,助力存量设备安全性保障。
电力智能传感器及传感网安全是一个开放问题。在新型电力系统建设大背景下,电力智能传感器及传感网应用领域将不断扩张,数量将急剧增长,势必暴露越来越多的安全问题,防护技术也亟须与时俱进。
注:本文内容呈现略有调整,如需要请查看原文。
*免责声明:本文版权归原作者所有,本文所用图片、文字如涉及作品版权,请第一时间联系我们删除。本平台旨在提供行业资讯,仅代表作者观点,不代表感知芯视界立场。
今日内容就到这里啦,如果有任何问题,或者想要获取更多行业干货研报,可以私信我或者留言
审核编辑 黄宇
全部0条评论
快来发表一下你的评论吧 !