政府與電力部門，甚至消費(fèi)者都越來越關(guān)注智能電網(wǎng)的安全性。繼空氣、水、食品與住宅之后，電力已經(jīng)成為人類最基本的生活必需品之一。毫無疑問，可靠的電力供應(yīng)是現(xiàn)代社會(huì)生活的保障，也是促進(jìn)新興國家發(fā)展的重要因素。

　　在關(guān)于智能電網(wǎng)安全性的討論，大部分內(nèi)容都傾向于網(wǎng)絡(luò)安全，以及在此環(huán)境下嵌入式設(shè)備以安全認(rèn)證方式接入網(wǎng)絡(luò)，并通過網(wǎng)絡(luò)處理數(shù)據(jù)。盡管這是智能電網(wǎng)環(huán)境下保證供電安全的關(guān)鍵步驟，但這種方法過于狹隘，忽略了智能電網(wǎng)在有效運(yùn)行期限內(nèi)來自智能電網(wǎng)設(shè)備供應(yīng)鏈的威脅。

　　本文探討智能電網(wǎng)供應(yīng)鏈存在的潛在風(fēng)險(xiǎn)以及對(duì)智能電網(wǎng)構(gòu)成的威脅。必須重視并防范這些威脅，才能保證電網(wǎng)運(yùn)行的安全。最后，我們?cè)u(píng)估用于防止這些威脅的技術(shù)。

　　電網(wǎng)的潛在風(fēng)險(xiǎn)？

　　為什么有人會(huì)試圖攻擊智能電網(wǎng)？答案不盡相同。

　　最簡單的情況，可能是攻擊者想節(jié)省其電費(fèi)賬單。攻擊者通過更改其智能電表來保護(hù)個(gè)人利益。有些情況下，可能是有組織犯罪活動(dòng)，以隱藏其真實(shí)的耗電數(shù)據(jù)，比如毒品實(shí)驗(yàn)室試圖掩蓋其耗電量。除此之外，還存在更高意識(shí)形態(tài)的電網(wǎng)攻擊者。

　　眾所周知，許多國家必須應(yīng)對(duì)恐怖襲擊的威脅，每時(shí)每刻都要加以防范。炸彈或飛機(jī)襲擊等武力威脅固然可怕，而針對(duì)供電網(wǎng)絡(luò)的攻擊行為則會(huì)擾亂大量人群生活質(zhì)量。一旦攻擊者控制幾百萬只電表，則會(huì)破壞大批人群的供電，發(fā)起實(shí)質(zhì)性的公共攻擊。

　　智能電表有效運(yùn)行期限內(nèi)所面臨的物理威脅

　　圖1所示為智能電表生命周期不同階段的概念圖。為簡單起見，該模型僅限于四個(gè)步驟：芯片采購、智能電表生產(chǎn)、智能電表部署，以及運(yùn)轉(zhuǎn)模式下的智能電表。我們利用這一簡單模型進(jìn)行潛在風(fēng)險(xiǎn)分析。對(duì)于每一階段（包括各個(gè)階段之間的過渡或運(yùn)輸），我們都需要考察：攻擊者會(huì)采取什么方式來控制智能電表網(wǎng)絡(luò)？

　　智能電表生命周期所面臨的潛在風(fēng)險(xiǎn)模型。如圖所示，只有通信加密并不能提供有效保護(hù)。

　　利用假冒IC代替合法IC

　　對(duì)于攻擊者來說，芯片制造商和設(shè)備制造商之間的運(yùn)輸環(huán)節(jié)是入侵智能電表供應(yīng)鏈的最佳時(shí)機(jī)。對(duì)于攻擊者而言，微控制器是塊“肥肉”。在一般的供應(yīng)鏈模型中，芯片制造商將基于閃存的微控制器運(yùn)輸?shù)缴a(chǎn)場所，無論是簽約制造商（CM）還是最終用戶。在生產(chǎn)場所，將智能電表固件裝載至微控制器。在完成電表生產(chǎn)及裝箱之前，要進(jìn)行一些系統(tǒng)級(jí)配置。這是正常的流程。

　　現(xiàn)在，假設(shè)技術(shù)高超的攻擊者設(shè)計(jì)一款看起來和用起來都非常像正品電表SoC的微控制器，就可能出現(xiàn)諸多情況。IC可能被更改，允許網(wǎng)絡(luò)恐怖分子通過網(wǎng)絡(luò)遠(yuǎn)程控制電表；或者，假冒SoC可能根據(jù)任何請(qǐng)求轉(zhuǎn)存其存儲(chǔ)器內(nèi)容，從而泄露制造期間裝載的通信密鑰；再或者，假冒SoC可能允許任何人查看其軟件，從而威脅到正規(guī)電表廠商的IP.

　　有些技術(shù)不太高超的攻擊者，“假冒IC”需要進(jìn)行制造，想象一下運(yùn)輸至CM的真實(shí)閃存微控制器。攻擊者攔截運(yùn)輸過程并在閃存中裝載一段程序，該程序看起來非常像系統(tǒng)內(nèi)置的標(biāo)準(zhǔn)引導(dǎo)裝載程序。IC到達(dá)CM時(shí)，可能很難檢測到這種詭計(jì)（即假冒引導(dǎo)裝載程序）。然后CM下載標(biāo)準(zhǔn)固件，但“不安全”的引導(dǎo)裝載程序已經(jīng)在電表中駐留病毒。隨后，該病毒會(huì)造成電表功能不正常，并與攻擊者共享安全密鑰。

　　如果沒有正確的保護(hù)措施，利用IC運(yùn)輸進(jìn)行假冒或篡改的攻擊者就能夠控制智能電表的整個(gè)生命周期，在智能電網(wǎng)上隨意引發(fā)不可想象的災(zāi)難。

　　生產(chǎn)過程中裝載惡意軟件

　　制造車間同樣存在風(fēng)險(xiǎn)，比如，來自負(fù)責(zé)生產(chǎn)的員工隊(duì)伍。一般情況下，這些工人的收入遠(yuǎn)低于工程團(tuán)隊(duì)或管理者。經(jīng)濟(jì)不景氣時(shí)，100美元的賄賂獲取就能收買生產(chǎn)線的工人，在智能電表中裝載特殊固件。即使比較富裕的國家，如果100美元達(dá)不到目的，他們或許支付更高的費(fèi)用，1，000或10，000美元？

　　如果攻擊者可接觸到生產(chǎn)流程，就能夠竊取裝載到智能電表的二進(jìn)制碼鏡像。竊取鏡像并更改固件，造成意想不到的后果，這一點(diǎn)并不困難。例如，攻擊者更改中斷向量，在嚴(yán)格定義的情況下引發(fā)破壞行為。中斷向量可被編程為監(jiān)測實(shí)時(shí)時(shí)鐘，在夏天的某個(gè)特定時(shí)間斷開電表的斷路繼電器，使處理器停頓，導(dǎo)致電表脫離網(wǎng)絡(luò)。在這樣的攻擊下，可能有數(shù)百萬只電表遭到破壞，停止向居民供電。如果供電公司被迫手動(dòng)更換智能電表，經(jīng)濟(jì)損失將不可估量?？紤]到炎熱夏季斷電造成的后果，將會(huì)大幅提高人們的生活成本。

　　偷竊軟件仿制電表

　　為了從中獲取非法利益，在正常的生產(chǎn)流程中，產(chǎn)線工人可輕而易舉地接觸到裝載到智能電表的二進(jìn)制鏡像。通過賄賂，攻擊者即可接觸到原始PCB，從而進(jìn)行逆向工程。如果攻擊者得到完整的BOM，帶有可識(shí)別的IC部件號(hào)，以及智能電表工作所需的軟件，就擁有了仿制電表所需的一切。攻擊者不需要任何研發(fā)成本也可銷售電表。

　　一旦攻擊者能夠仿制電表，如上所述，就存在更改電表軟件的風(fēng)險(xiǎn)。

　　利用假冒電表代替合法電表

　　與芯片相比，電表外殼和標(biāo)識(shí)的仿制要容易得多。這種情況下，攻擊者制造看起來酷似合法電表的產(chǎn)品，但固件包含隱藏的攻擊代碼。對(duì)電表進(jìn)行校準(zhǔn)，使其報(bào)告錯(cuò)誤的用電量。如果電表允許攻擊者控制其切斷或控制發(fā)送至電力公司的數(shù)據(jù)，這可能是災(zāi)難性的。對(duì)單只電表的攻擊帶來的是麻煩，還算不上災(zāi)難；而針對(duì)大量電表的攻擊行為將會(huì)帶來不可估量的損失。想象一下，六百萬只電表報(bào)告的用電量都不正確會(huì)是什么情形。供電公司將根據(jù)錯(cuò)誤的數(shù)據(jù)做出決策，妨礙其響應(yīng)用電需求變化以及正確發(fā)電的能力，不可避免地發(fā)生大范圍電網(wǎng)不穩(wěn)定，造成巨大的生產(chǎn)力損失。