智能电网供应链潜在危险及防御措施.docxVIP

精品文档 精品文档 PAGE 精品文档 精品文档 你我共享 智能电网供给链潜在的危险及防守举措 政府与电力部门，甚至消费者都越来越关注智能电网的安全性。继空气、水、食 品与住宅之后，电力已经成为人类最基本的生活必需品之一。毫无疑问，可靠的电力供给是现代社会生活的保障，也是促使新兴国家发展的重要因素。 在对于智能电网安全性的议论，大部分内容都倾向于网络安全，以及在此环境下嵌入式设施以安全认证方式接入网络，并经过网络办理数据。只管这是智能电网环境下保证供电安全的重点步骤，但这种方法过于狭隘，忽略了智能电网在有效运行期限内来自智能电网设施供给链的威胁。 本文探讨智能电网供给链存在的潜在风险以及对智能电网组成的威胁。必须重视并防范这些威胁，才能保证电网运行的安全。最后，我们评估用于防备这些威胁的技术。 电网的潜在风险？ 为什么有人会试图攻击智能电网？答案不尽相同。 最简单的情况，可能是攻击者想节俭其电费账单。攻击者经过更改其智能电表来保护个人利益。有些情况下，可能是有组织犯法活动，以隐藏其真切的耗电数据，比方毒品实验室试图掩盖其耗电量。除此之外，还存在更高意识形态的电网攻击者。 尽人皆知，很多国家必须应付恐怖袭击的威胁，每时每刻都要加以防范。炸弹或飞机袭击等武力威胁固然可怕，而针对供电网络的攻击行为则会搅乱大量人群生活质量。一旦攻击者控制几百万只电表，则会损坏大批人群的供电，倡始实质性的公共攻击。 智能电表有效运行期限内所面临的物理威胁 图1所示为智能电表生命周期不同阶段的观点图。为简单起见，该模型仅限于四个步骤：芯片采买、智能电表生产、智能电表部署，以及运转模式下的智能电表。 我们利用这一简单模型进行潜在风险解析。对于每一阶段(包括各个阶段之间的过渡或运输)，我们都需要考察：攻击者会采取什么方式来控制智能电表网络？ 智能电表生命周期所面临的潜在风险模型。 如下列图，只有通信加密并不能提供 AAAAAA 精品文档 你我共享 有效保护。 利用冒充IC代替合法IC 对于攻击者来说，芯片制造商和设施制造商之间的运输环节是入侵智能电表供给链的最正确时机。对于攻击者而言，微控制器是块“肥肉”。在一般的供给链模型中，芯片制造商将鉴于闪存的微控制器运输到生产场所，不论是签约制造商(CM)仍是最终用户。在生产场所，将智能电表固件装载至微控制器。在达成电表生产及装箱之前，要进行一些系统级配置。这是正常的流程。 现在，假定技术高明的攻击者设计一款看起来和用起来都特别像正品电表SoC的微控制器，便可能出现诸多情况。IC可能被更改，允许网络恐怖分子经过网络远程控制电表；也许，冒充SoC可能根据任何恳求转存其存储器内容，进而泄露制造期间装载的通信密钥；再也许，冒充SoC可能允许任何人查察其软件，进而威胁到正规电表厂商的IP。 有些技术不太高明的攻击者，“冒充IC”需要进行制造，想象一下运输至CM的真切闪存微控制器。攻击者拦截运输过程并在闪存中装载一段程序，该程序看起来特别像系统内置的标准引导装载程序。IC抵达CM时，可能很难检测到这种诡计(即冒充引导装载程序)。然后CM下载标准固件，但“不安全”的引导装载程序已经在电表中驻留病毒。随后，该病毒会造成电表功能不正常，并与攻击者共享安全密钥。 如果没有正确的保护举措，利用IC运输进行冒充或窜改的攻击者便可以控制智能电表的整个生命周期，在智能电网上任意引发不可想象的灾难。 生产过程中装载恶意软件 制造车间同样存在风险，比方，来自负责生产的职工队伍。一般情况下，这些工人的收入远低于工程团队或管理者。经济不景气时，100美元的贿赂获取就能收 买生产线的工人，在智能电表中装载特殊固件。即使比较富饶的国家，如果100美元达不到目的，他们也许支付更高的费用，1,000或10,000美元？ 如果攻击者可接触到生产流程，便可以窃取装载到智能电表的二进制码镜像。窃取镜像并更改固件，造成意想不到的结果，这一点并不困难。比方，攻击者更改 中止向量，在严格定义的情况下引发损坏行为。中止向量可被编程为监测实时时钟，在夏天的某个特准时中止开电表的断路继电器，使办理器停留，致使电表脱离网络。在这样的攻击下，可能有数百万只电表受到损坏，停止向居民供电。如果供电企业被迫手动改换智能电表，经济损失将不可估量。考虑到酷热夏季断电造成的结果，将会大幅提高人们的生活成本。 盗窃软件仿造电表 AAAAAA 精品文档 你我共享 为了从中获取非法利益，在正常的生产流程中，产线工人可万无一失地接触到装 载到智能电表的二进制镜像。经过贿赂，攻击者即可接触到原始PCB，进而进行逆向工程。如果攻击者得到完整的BOM，带有可识其他IC部件号，以及智能电表工作所需的软件，就拥有了仿造电表所需的一切。攻击者不需要任何研发成本也可销售电表。 一旦攻击者可以仿造电表，如上所述，就