Two-layer的智慧型电表系统安全机制架构.doc

低壓智慧型電表系統安全機制解析 台灣電力公司2012年開始要建置低壓智慧型電表系統。在此之前，歐美諸多國家均積極針對建置智慧型電表系統進行評估、示範測試或佈建與設置規劃。智慧型電表系統主要的架構包含智慧型電表、雙向通訊網路、控制中心所組成。提供用戶用電使用情形及各種計價費率；雙向通訊網路提供智慧型電表回傳資料的管道，以取代人工抄表，並可傳送控制訊號至電表以進行管理、偵測及負載控制等功能；控制中心負責收集所有用戶電表資料，監控各區域的用電情形以及管理帳務資料等功能。 雖然智慧型電表系統帶來了很多的益處，但也由於結合了多種的系統與元件，所以相對也衍生出需要解決的問題，其中之一就是智慧型電表系統的安全性。本文主要介紹國際標準IEC 62056-53 (Device Language Message specification, DLMS)的安全機制，來看歐盟如何來解決這個問題。IEC 62056-53應用層通訊協定所提供的安全機制可分兩大類：資料存取控制安全性（Data Access Security）及資料傳輸安全性（Data Transport Security）。 資料存取控制 資料存取控制，主要提供智慧型電表與集中器的認證功能，確認集中器或控制中心(Client)及智慧型電表(Server)雙方的合法身份以進行存取控制（Access Control）。IEC 62056-53中將用戶身份認證功能區分成三個等級。 Lowest Level Security:不進行任何認證動作即可進行資料存取 Low Level Security (LLS):在通訊技術可以提供足夠的通訊通道(Communication Channel)安全性的情況下，利用密碼的方式進行認證集中器或控制中心(Client) High Level Security (HLS):在通訊技術無法提供足夠的通訊通道(Communication Channel)安全性的情況下，利用對稱式金鑰、MD5、SHA1或AES-GMAC等加密方式進行認證。集中器或控制中心(Client)集中器或控制中心集中器或控制中心集中器或控制中心對稱式金鑰、MD5、SHA1或AES-GMAC加密方式 圖一、存取控制流程圖 資料傳送 資料傳送安全性方面，主要提供電表與集中器間，資料傳輸時的保密性及完整性確認。在IEC 62056-53規範中，應用層接收到由使用者程序（Process）所傳送的資料，依據需求或規定對要傳送的資料進行 加簽章: 在要傳送的資料後面加上一個message authentication code (MAC)，而所使用的MAC演算法為AES-GCM-128加密機制而所使用的金鑰是認證金鑰(Authentication Key, AK) 加密: 對要傳送的資料進行AES-GCM-128加密機制但使用的金鑰是加密認證金鑰(Encryption Key, EK) 加密和加簽章: 先對要傳送的資料同時使用AK和EK進行AES-GCM-128資料加密及簽章，同時會產生密文和MAC。 而對方收到之後，再依需求或規定並使用相對應的金鑰，反運算驗簽或解密得到原始資料。 在IEC 62056-53規範中，也有特別說明定期更新金鑰的必要性，以避免太久沒有更新金鑰而造成金鑰被解析的危險。 在台灣電力公司的” 101年低壓智慧型電表讀表器建置採購規範”中的相關存取控制安全性的規定在 5.1.3.1讀表分析單元功能第8項規定: 唯有經過認證與合法授權的設備可加入低壓AMI系統執行授權的作業，並與控制中心進行選擇性作業 而相關的資料傳送安全規定在 第5.3.6.2節通訊模組第2項: 控制中心資料安全控制設備以”安全通道”將”私鑰(須符合能辨識合法性私鑰產生演算法)”傳送致電表，由電表通訊模組對電表進行128位元金鑰之通訊層加密後，方可將電表資料上傳集中器；另對於集中器下傳之所有加密資料，由電表通訊模組以上述之私鑰進行通訊層解密。 上述分別是IEC-62056-53和台灣電力公司對於智慧型電表系統在資訊安全方便具體的安全機制或安全需求。而這些的安全機制或需求最終的目的都是希望可以提供資訊和資源之機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的基本功能與目的。