智能电网供应链潜在的危险及防御措施

　　政府与电力部门，甚至消费者都越来越关注智能电网的安全性。继空气、水、食品与住宅之后，电力已经成为人类最基本的生活必需品之一。毫无疑问，可靠的电力供应是现代社会生活的保障，也是促进新兴国家发展的重要因素。

　　在关于智能电网安全性的讨论，大部分内容都倾向于网络安全，以及在此环境下嵌入式设备以安全认证方式接入网络，并通过网络处理数据。尽管这是智能电网环境下保证供电安全的关键步骤，但这种方法过于狭隘，忽略了智能电网在有效运行期限内来自智能电网设备供应链的威胁。

　　本文探讨智能电网供应链存在的潜在风险以及对智能电网构成的威胁。必须重视并防范这些威胁，才能保证电网运行的安全。最后，我们评估用于防止这些威胁的技术。

　　电网的潜在风险？

　　为什么有人会试图攻击智能电网？答案不尽相同。

　　最简单的情况，可能是攻击者想节省其电费账单。攻击者通过更改其智能电表来保护个人利益。有些情况下，可能是有组织犯罪活动，以隐藏其真实的耗电数据，比如毒品实验室试图掩盖其耗电量。除此之外，还存在更高意识形态的电网攻击者。

　　众所周知，许多国家必须应对恐怖袭击的威胁，每时每刻都要加以防范。炸弹或飞机袭击等武力威胁固然可怕，而针对供电网络的攻击行为则会扰乱大量人群生活质量。一旦攻击者控制几百万只电表，则会破坏大批人群的供电，发起实质性的公共攻击。

　　智能电表有效运行期限内所面临的物理威胁

　　图1所示为智能电表生命周期不同阶段的概念图。为简单起见，该模型仅限于四个步骤：芯片采购、智能电表生产、智能电表部署，以及运转模式下的智能电表。我们利用这一简单模型进行潜在风险分析。对于每一阶段（包括各个阶段之间的过渡或运输），我们都需要考察：攻击者会采取什么方式来控制智能电表网络？

　　智能电表生命周期所面临的潜在风险模型。如图所示，只有通信加密并不能提供有效保护。

　　利用假冒IC代替合法IC

　　对于攻击者来说，芯片制造商和设备制造商之间的运输环节是入侵智能电表供应链的最佳时机。对于攻击者而言，微控制器是块“肥肉”。在一般的供应链模型中，芯片制造商将基于闪存的微控制器运输到生产场所，无论是签约制造商（CM）还是最终用户。在生产场所，将智能电表固件装载至微控制器。在完成电表生产及装箱之前，要进行一些系统级配置。这是正常的流程。

　　现在，假设技术高超的攻击者设计一款看起来和用起来都非常像正品电表SoC的微控制器，就可能出现诸多情况。IC可能被更改，允许网络恐怖分子通过网络远程控制电表；或者，假冒SoC可能根据任何请求转存其存储器内容，从而泄露制造期间装载的通信密钥；再或者，假冒SoC可能允许任何人查看其软件，从而威胁到正规电表厂商的IP.

　　有些技术不太高超的攻击者，“假冒IC”需要进行制造，想象一下运输至CM的真实闪存微控制器。攻击者拦截运输过程并在闪存中装载一段程序，该程序看起来非常像系统内置的标准引导装载程序。IC到达CM时，可能很难检测到这种诡计（即假冒引导装载程序）。然后CM下载标准固件，但“不安全”的引导装载程序已经在电表中驻留病毒。随后，该病毒会造成电表功能不正常，并与攻击者共享安全密钥。

　　如果没有正确的保护措施，利用IC运输进行假冒或篡改的攻击者就能够控制智能电表的整个生命周期，在智能电网上随意引发不可想象的灾难。

　　生产过程中装载恶意软件

　　制造车间同样存在风险，比如，来自负责生产的员工队伍。一般情况下，这些工人的收入远低于工程团队或管理者。经济不景气时，100美元的贿赂获取就能收买生产线的工人，在智能电表中装载特殊固件。即使比较富裕的国家，如果100美元达不到目的，他们或许支付更高的费用，1，000或10，000美元？

　　如果攻击者可接触到生产流程，就能够窃取装载到智能电表的二进制码镜像。窃取镜像并更改固件，造成意想不到的后果，这一点并不困难。例如，攻击者更改中断向量，在严格定义的情况下引发破坏行为。中断向量可被编程为监测实时时钟，在夏天的某个特定时间断开电表的断路继电器，使处理器停顿，导致电表脱离网络。在这样的攻击下，可能有数百万只电表遭到破坏，停止向居民供电。如果供电公司被迫手动更换智能电表，经济损失将不可估量。考虑到炎热夏季断电造成的后果，将会大幅提高人们的生活成本。

　　偷窃软件仿制电表

　　为了从中获取非法利益，在正常的生产流程中，产线工人可轻而易举地接触到装载到智能电表的二进制镜像。通过贿赂，攻击者即可接触到原始PCB，从而进行逆向工程。如果攻击者得到完整的BOM，带有可识别的IC部件号，以及智能电表工作所需的软件，就拥有了仿制电表所需的一切。攻击者不需要任何研发成本也可销售电表。

　　一旦攻击者能够仿制电表，如上所述，就存在更改电表软件的风险。

　　利用假冒电表代替合法电表

　　与芯片相比，电表外壳和标识的仿制要容易得多。这种情况下，攻击者制造看起来酷似合法电表的产品，但固件包含隐藏的攻击代码。对电表进行校准，使其报告错误的用电量。如果电表允许攻击者控制其切断或控制发送至电力公司的数据，这可能是灾难性的。对单只电表的攻击带来的是麻烦，还算不上灾难；而针对大量电表的攻击行为将会带来不可估量的损失。想象一下，六百万只电表报告的用电量都不正确会是什么情形。供电公司将根据错误的数据做出决策，妨碍其响应用电需求变化以及正确发电的能力，不可避免地发生大范围电网不稳定，造成巨大的生产力损失。