智能电表的安全需求与策略分析
2012-09-19邢文
邢 文
(湘潭大学兴湘学院,湖南 湘潭 411105)
0 引言
为解决美国电网供电可靠性的问题,美国最早提出了“智能电网”的思路,并将其称为“第三次电力革命”。“智能电网”的概念一经提出就受到全世界电力专家、电力企业的广泛关注,加之美国奥巴马政府自2009年推出发展智能电网的计划以来,智能电网迅速成为全球关注的焦点,引领着世界电力工业的发展方向[1-2]。
当前,智能电网已经成为世界各国电网发展的新趋势、新潮流。“智能电表”能够及时反映最新的电力市场信息——电价、供应的电量和需求的电量;能够在用电高峰提供激励手段,鼓励人们减少用电;能够通过价格变化来调整每条输电线路的输电量,鼓励用户在输电不足的线路上增加电器使用量,调动输电过载线路上的电器缩减用电。
1 智能电表相关研究综述
目前,已有不少学者对智能电网中的智能电表作了各种性能和实施措施的分析和探讨。
①王思彤等人综合国内外学者对智能电表的定义,提出智能电表是以微处理器应用和网络通信技术为核心的智能化仪表,以智能电表为基础构建智能计量系统。它能够满足智能电网对负荷管理、分布式电源接入、能源效率、电网调度、电力市场交易和减少排放等方面的要求[3]。
②何学民认为智能电网应该更加能够实现发电、输电、配电、用电和节电的协调平衡,最大程度地满足用户的电力需求,同时实现电力工业污染物排放最小;并指出要正确认识发展智能电网没有现成的模式可以遵循,必须结合我国的实际情况积极进行创新[4]。
③李宝树、陈万昆在对我国智能电表发展前景的研究中指出,必须通过统一规范智能电表的外形和相同的功能指标,加快智能电表的模块化发展;通过建立“用电信息采集系统”,加强智能电表的系统化功能;通过借助三网融合,将建立满足未来智能电表高级应用的网络基础设施,将用户和供电企业紧密相连,成为实现智能电网配电自动化的一个基础性功能模块[5]。
④郭东亮等人认为通信技术是智能电网的技术基础,电信企业可以利用其现有的移动通信网络为智能电网提供通信服务[6]。
虽然国内学者对智能电表的研究时间并不长,但取得的成绩却是不容置疑的。如王思彤的《智能电表的概念及应用》指出了智能电表的产生缘由及其概念,阐述了其在智能电网中的定位、功能应用和产生的收益等,并简要介绍了世界范围内智能电表的应用状况,形成了基本的研究框架,在基本概念和研究的主要途径等方面达成了不少共识。这为本研究提供了很好的借鉴。
目前,国内对智能电表的研究也存在不足,主要是欠缺对智能电表安全需求分析和信息安全策略的研究。因此,有必要在现有的研究成果上提出一种安全性强的智能电表信息保护的安全策略。
本文拟通过对智能电表中存在的安全问题进行分析,提出保护用户和供电企业的信息及合法权益不受威胁和侵害的设想,以达到公共事业的最优配置和操作的有效性要求,从而有效地建立应对攻击和自然灾害的弹性操作系统。
2 智能电表信息安全分析
2.1 信息的安全威胁
智能电表易受到多种形式的攻击和破坏,不同的攻击模式会产生不同的安全威胁,进而破坏智能电表的完整性、机密性、可用性和不可否认性[7]。因此,分析智能电表信息所受到的安全威胁是解决智能电表信息安全的首要任务。
本文从两个角度来分析智能电表信息所受到的安全威胁:一是用户端智能电表信息管理受到的安全攻击;二是用户端与电力企业之间的双向通信网络所受到的各种安全威胁和攻击。
2.1.1 用户端管理的安全攻击
用户端智能电表信息管理受到的物理安全攻击主要是对用户端智能电表的硬件所进行的攻击,用户端智能电表数据的机密性至关重要,所以要加强对用户端的安全防卫。
在客户端,任何未经授权的第三方获得智能电表的信息,都有可能会对该系统中的另外两方造成损失。因此,对用户端智能电表数据信息的分析,将大大减小供电企业和用户的损失。
2.1.2 双向通信网络安全攻击
用户端与电力企业之间的双向通信网络常常会面临以下4种威胁和攻击:①截获(interception),攻击者从网络上窃听他人的通信内容;②中断(interruption),攻击者有意中断他人在网络上的通信;③篡改(modification),攻击者故意篡改网络上传送的报文;④伪造(fabrication),攻击者伪造信息在网络上传送。这4种威胁可分为2大类,即被动攻击和主动攻击。截获信息的攻击称为“被动攻击”,而“主动攻击”则包含中断、篡改和伪造信息的攻击[8]。
①被动攻击
被动攻击,即智能电表用户端与电力企业之间的保密数据信息被未被授权的第三方截获,双方的利益都受到了不同程度的损害,严重影响了用户对电力企业的可信度。在被动攻击过程中,攻击者只是观察和分析某一协议数据单元(protocol data unit,PDU)而对信息流不造成干扰。这种被动攻击又称作“流量分析(traffic analysis,TA)”[8]。
②主动攻击
主动攻击,即攻击者对某个连接中通过的PDU进行各种处理,所有主动攻击都是中断、篡改、伪造的某种组合。攻击者可以有选择地更改、删除、延迟这些PDU,还可以在稍后的时间将以前录下的PDU插入这个连接(即重放攻击)。攻击者甚至还可以将合成的或伪造的PDU送入到一个连接中去。
如拒绝服务,即攻击者不停地向目标服务器发送大量分组,使服务器无法正常工作,从而破坏系统的可用性。此时用户端的智能电表不能发挥实时定价等功能,供电企业也无法将数据信息传送给用户,两者的利益受到了严重的损害。
又如更改数据信息流,包括对通信网络的完整性、真实性和有序性的攻击,已达到破坏通信网络的目的。当用户端的智能电表数据遭到更改,无论更改结果如何,双方的损失都是不可预计的。
植入系统的攻击如病毒、蠕虫、特洛伊木马等则都是破坏系统的机密性、完整性和不可否认性,将通信全双工网络弄得天翻地覆,这都是用户端和供电企业最不愿意看到的。
此外,还有抵赖攻击,即通信双方在事后否认自己所做的操作或曾经所做的承诺。因此,在任何涉及到支付和支付返还的系统中,都需要考虑不可否认性的问题,只有这样才能有益于双方。
以上2大类攻击是智能电表收益保护分析最需要重视的攻击。智能电网的发展趋势是势在必行的,而智能电表的安全需求与策略分析是应该大力扶持和重视的研究。
2.2 信息安全需求分析
目前,智能电表主要具有以下几个功能。
①电能计量
对多种时段、多种费率模式的电能分别进行统计,对有功、无功电能使用情况进行计量,测算电能电压、电流、频率、功率因数等丰富信息,从而更好地帮助用户分析用电情况,制定合理的用电规划。
②电能监管
与实时费率系统配合,将电能使用量控制在设置的阈值以内。与分布式发电相配合,将其发出的电能并网供给用户直接使用或者由相关机构统一管理。当主电网故障时,与分布式发电管理系统共同协作实现孤岛系统的平稳过渡。与户内控制系统配合,对各智能电器进行管理,帮助电网的削峰填谷,提高电力供应可靠性,从而更合理、高效地使用电能。
③通信系统
采用双向通信的网络模式,在发送数据信息的同时接收指令信息,如实时费率标准、电表程序升级设置等一些其他远程操作[9]。
全球范围内大约有65%的网民用户合法权益遭到过威胁和侵害。智能电网将是一个集电力流、信息流、业务流于一体的高度融合的现代电网,而智能电表又是智能电网的关键部分,有信息流自然就有信息的安全问题。
智能电表里储存着计量数据和用户数据等各类数据,在使用智能电表进行数据分析和存储时,可能会被非法入侵,数据和双向通信的信息安全难以得到保证,此时,用户和供电企业的合法权益将可能遭到第三方未经授权的侵害,如非法偷电和漏电问题。
智能电器与用户管理中心,分布式可再生能源设备与用户管理中心以及储能设备与用户管理中心,智能电网中的智能电表与电网、量测管理系统等端子之间的端到端的数据流通信等形式都是智能电网重要的通信形式。其中,用户户内网络是一定程度上的可控端子,它的数据安全可控性强但也不可忽视;而智能电表与双向通信网络以及量测数据管理系统是不可控端子,在可控端子与不可控端子的数据通信安全是系统信息安全的研究重点[10]。
针对智能电表的安全特性及数据特点,需要确保用户内部及用户和电力企业之间的信息具有机密性、完整性、可用性和不可否认性。
①机密性是指信息对没有经过授权的个人、实体或进程的不可用性或不公开性,未经验证授权的用户可能知道数据的存在,但是无法理解数据的内容。
②完整性是指要传送的信息在不安全信道中传输时,发送者和接收者可以根据需要检测传输的信息是否遭到篡改。
③可用性是指信息可被合法用户访问并按照要求顺序使用的特性,需要时可以使用所需信息。
④不可否认性是指可确保服务请求者承认提交的事务,从而防止服务请求者宣称事务从未发生。
3 信息安全策略研究
针对上述几类攻击形式,可以使用相应的安全措施和策略。安全需求和安全策略的关系图如图1所示,主要从智能电表的信息安全特性的4个方面来阐明,即完整性、机密性、可用性、不可否认性。图1中:a1表示安全需求和攻击类型的关系,a2表示保护角度和攻击类型的关系,a3表示攻击类型和攻击形式的关系,a4表示攻击类型和安全策略的关系。
图1 安全需求和安全策略的关系图Fig.1 Connections between security requirement and security strategies
3.1 完整性的安全策略
对于用户端智能电表信息管理受到的物理安全攻击,可以采用身份认证方式中的所有和个人生物特征的模式。即电力提供单位提供口令管理系统,在需要登录和操作用户端的智能电表时必须由工作人员使用口令和智能卡,以及服务器端允许,并经过用户的指纹识别才能成功登录和操作。经过三方参与和允许,才能登录和操作智能电表,使得用户端和供电企业的利益都得到了维护。
对于被动攻击可采用各种数据加密技术,如利用数据加密算法(data encryption standard,DES)、分组机密算法进行加密,或者是采用公钥加密算法(Rivest-Shamir-Adleman,RSA)进行加密,还可以将两者混合进行加密。对于主动攻击,需要将加密技术与适当的鉴别技术相结合。对于植入系统的主动攻击如病毒、蠕虫、特洛伊木马等,除采用反病毒/间谍等杀毒软件外,还可以用防火墙把“不可信的网络”挡在外面,或者使用应用网关或代理服务器来区分各种应用,使用户端和供电企业的利益最优化。
3.2 机密性的安全策略
在智能电表数据信息的存储和传输过程中,为避免在未经授权时被第三方窃听、截听等各类攻击而失去机密性,可以采用加密算法来对智能电表的数据信息进行加密。常用的加密算法如三重DES加密算法、RSA算法或两者的混合算法,可以屏蔽数据信息,并对所有进入系统的用户进行身份鉴别;同时,对用户端自己发送给电力企业的报文数据信息进行数字签名,以防范伪造连接初始化攻击。
3.3 可用性的安全策略
可用性的安全策略是在第三方非法访问智能电表的数据时进行的访问控制策略,访问控制也叫作存取控制或接入控制。通过访问控制用户终端首先可以通过口令等身份识别方式来拒绝非法侵入用户,然后通过三向鉴别验证通信双方用户的正确性,对原明文采用常用算法进行加密。对于特洛伊木马这类病毒攻击,可以通过各种性能较好的杀毒软件和防火墙来进行智能电表数据的保护。
3.4 不可否认性的安全策略
数字签名是不可否认性必不可少的安全策略。数字签名能与所签文件实现“绑定”,接收者能验证签名,而任何其他人都不能伪造签名,签名者事后不能否认自己的签名,并且签名必须能被第三方证实以便解决争端,能够对签名的作者、签名的日期和时间、签名时刻和消息的内容提供验证。使用这种数字签名的方式不但可以保证信息的完整性,也可以确保不可否认性。这样,在智能电表客户端与供电企业之间已交换的相关数据信息就不可否认了。
4 结束语
随着世界范围内“智能电网”和高级量测体系(advanced metering infrastructure,AMI)的建设,以及相关技术的推进,作为其基础元件和核心设备的智能电表吸引了大量表计制造商、IT企业、能源供应商和国家政府的密切关注。通过对智能电表及其相关智能电网的通信网络中存在的安全问题进行分析,简要提出了与其相对的安全策略。相信在不久以后的第三次“电力革命”中,智能电表将会有很好的发展前景。
[1]The France Cleveland,Xanthus Consulting International.White Paper on Security Standards in IEC TC57[S].2005:8 -11.
[2]陈树勇,宋书芳,李兰欣,等.智能电网技术综述[J].电网技术,2009(8):1 -7.
[3]王思彤,周晖,袁瑞铭,等.智能电表的概念及应用[J].电网技术,2010(4):18 -23.
[4]何学民.“智能电网”的最新动向和最新思路[J].电器工业,2009(7):12 -15.
[5]李宝树,陈万昆.智能电表在智能电网中的作用及应用前景[J].电气时代,2010(9):28 -29.
[6]郭东亮,张铁军,戴宪华.智能电网:电信服务的新领域[J].中国新通信,2009(12):50 -53.
[7]The smart grid interoperability panel-cyber security working group.Smart grid cyber security strategy and reqirements[M].USA:National Institute of Standards and Technology,2010:附录-A:A4 -A9.
[8]谢希仁.计算机网络[M].5版.北京:电子工业出版社,2008:284.
[9]牟龙华,朱国锋,朱吉然.基于智能电网的智能用户端设计[J].电力系统保护与控制,2010(21):53-56.
[10]李国竞,段斌.AMI系统中收益保护分析与安全策略[J].华东电力,2011(5):2.