确保智能电表的全生命周期安全

本应用说明探讨了智能电表生命周期中的各种潜在攻击点：在制造、安装、操作和安装后。然后，应用说明讨论了这些安全漏洞的实际解决方案，例如在制造过程中使用安全引导加载程序，在安装过程中使用计量板，在操作期间在硬件而不是软件中使用非对称加密，以及可能的累积证明内核（CAK）以实现前瞻性安全性。马克西姆的宙斯™片上系统 （SoC） 是智能电表安全的强大设计解决方案。

介绍

最新一代智能电表在电网中的表现远远超过几年前这些设备在原始通信角色中的表现。当今的智能电表是大规模机器对机器网络中的端点，这些端点既可以扩展到智能电网基础设施，也可以扩展到连接到智能电网的大量未来机器和设备。除了保护电网上的业务和消费者数据外，智能电表及其相关基础设施还监视、控制甚至保护关键电力基础设施。鉴于这种扩大的作用，智能电表为网络管理带来了新的和前所未有的安全挑战。毫不奇怪，基本的加密和密码无法再确保最高级别的保护。相反，智能电表现在需要从摇篮到坟墓的完整生命周期安全性。

本应用笔记探讨了智能电表在其整个生命周期中面临的安全威胁。它跟踪智能电表从制造到安装和初始运行，以及整个使用寿命。在此过程中，我们会确定安全风险以及这些威胁的解决方案。

迫切需要安全的智能电表

拉响警报！智能电网安全终于成为一个关键的社会问题。

就在几年前，关于智能电网安全的讨论集中在制定隐私标准和防止数据盗窃上。今天，对话集中在对社会权力系统的真正威胁上。网络安全问题，Stuxnet等基础设施威胁，以及波多黎各等有组织的电表黑客攻击1, 2经常出现在新闻通讯社和主流电视新闻媒体上。3为了提供必要的系统安全性，许多受人尊敬的国际组织正在努力制定准则和标准，特别是自动计量基础设施（AMI）。在欧洲，德国信息技术安全组织 BSI 发布了智能计量系统中网关的保护配置文件。4同样，在北美，美国国家标准与技术研究院（NIST）发布了NISTIR 7268规范，该规范提供了保护AMI的指南。5

迄今为止，媒体的关注强调了涉及智能电表的问题，并反映了广泛的担忧。然而，媒体并没有提供解决办法。BSI和NISTIR提供了关于安全实施应该或如何架构的描述和指南，但存在最少的实现。事实上，当今的工业缺乏许多关键的保护机制，而这些机制对于安全的全系统智能电表实施至关重要。

保护智能电表的威胁多种多样且不断发展。因此，对于涉及电力网络的安全问题，没有单一的最终解决方案。任何强大的智能电表安全策略都必须能够应对不断发展的威胁。潜在问题始于仪表硬件的制造、组装和校准，并持续到仪表的使用寿命，大多数公用事业公司预计使用寿命为 10 到 20 年。硬件和软件在每一步都提供了可能的解决方案。硬件在计算上更快，物理上更安全，而软件更灵活。最佳平衡融合了硬件和软件安全措施，以保护系统的基础设施。一个这样的优化智能电表解决方案已经存在。马克西姆的宙斯™智能电表片上系统 （SoC） 代表了智能电表基础设施的硬件和软件安全性的最新组合。ZEUS SoC 是本文中的主要设计示例。

确保制造安全

智能电网安全讨论通常集中在运行过程中的加密算法上。诚然，加密是一种非常有价值的工具，但它只是解决方案的一部分。6加密在操作过程中保护数据，但不能解决制造和安装过程中面临的挑战。事实上，制造业供应链是潜在攻击的第一个点。

与大多数电子公司一样，智能电表供应商主要通过合同合作伙伴进行生产，通常在与设计发生地不同的国家/地区进行制造。虽然对大多数制造商来说既安全又高效，但此过程确实使安全设备制造商面临明显的外部威胁。合同第三方可以深入了解系统架构、硬件和软件。因此，安全制造的第一个原则是安全的供应链也就不足为奇了。半导体等安全产品必须通过受信任的供应渠道购买，在受信任的供应商和受信任的OEM之间进行身份验证。安全哈希质询和响应算法形式的身份验证是验证供应链的最有效手段。7

制造过程必须仅允许受信任方访问和控制系统。这就是数字签名和加密算法发挥作用的地方。波多黎各报告的仪表安全漏洞是由于篡改而发生的，可能是在制造过程中。8在制造过程中保护系统的一种非常有效的方法是安全引导加载程序。让我们仔细看看这个。

使用安全引导加载程序，OEM 在制造过程中控制对智能电表控制器的访问。在启动期间检查在制造期间加载的代码。此外，除非通过非对称加密算法与安全哈希函数相结合来识别该代码，否则不会执行该代码。此过程验证代码是否来自受信任的源。9一个工业类比是授予对公司计算机网络的访问权限 - 只允许授权人员进入系统（即，在身份验证后），并且只有这些人员才能在系统内执行特定命令（即，执行经过加密验证的代码）。

安全引导加载程序的好处是无价的。如上所述，安全引导加载程序集成了多层安全性。如果硬件中没有安全的引导加载程序，黑客可能会发现单个弱点，例如暴露的密钥，然后渗透系统。这就是为什么使用 ZEUS SoC 及其安全引导加载程序操作智能电表在今天如此重要的原因。对智能电表使用此配置，只有拥有正确私钥和适当信任链的授权方才能发送消息，ZEUS以及智能电表实际加载和执行这些消息。

保护安装

根据电表的数量，大多数公用事业公司没有雇用足够的人员在足够的时间内快速安装电表。因此，AMI安装通常需要第三方承包商，这意味着第三方再次处理关键的电表基础设施。在安装过程中，可能会发生光端口的物理黑客攻击，或者只是重新布线仪表。这是安全计量可以验证安装的地方。

当今的许多仪表都采用双板架构：计量板和通信板（图 1）。

图1.具有不安全计量的双板仪表的数据通过裸露的连接器线。

除非计量功能提供安全性，否则此体系结构可能会在加密通信之前通过开放线路运行计量数据。另一种方法是在计量芯片本身上使用具有安全功能的单板仪表，例如安全外壳。通过在单独的计量区域中进行片上加密，可以在测量后立即对仪表数据进行加密。这一步弥补了从计量到通信的任何潜在安全漏洞。安装过程后收到的数据可以信任为有效数据。然后，公用事业公司可以将安装后的数据与旧仪表的仪表读数进行比较，以确保正确性。通过在计量芯片上放置加密，ZEUS SoC 缩小了计量和通信之间的差距（图 2）;它没有为黑客进入网络提供窗口。除了安装之外，安全外壳还可以确保仪表数据在仪表的整个使用寿命期间的完整性。

图2.单板仪表在计量芯片本身嵌入安全功能。

确保操作安全

电表，很快还有智能电表，驻留在每个企业和住宅之外，并且经常位于物理不安全的地方，黑客有足够的时间研究和探索它们。鉴于网络的广阔性和电表的长使用寿命，AMI智能电表容易受到空间和时间的威胁。

大攻击面

AMI 安装具有较大的攻击面，这意味着智能电表上有多个潜在攻击点。图3显示了这种网络的图形表示，该网络通常由数百到数千米通过电力线通信（PLC）或RF与集中器通信组成。集中器通过某种形式的回程（通过蜂窝或光纤基础设施）与公用事业公司通信。在从仪表到集中器的链路中，网格划分和/或转发与仪表之间的消息使仪表本身能够扩展网络。这种架构通过减少相对于米数的集中器数量来降低基础设施成本。然而，网状网络通过为拦截和改变智能电表之间的通信创造了机会，从而增加了网络的脆弱性。这种中断被称为“中间人”攻击。

图3.AMI 架构具有通过 PLC 或 RF 与集中器通信的仪表。来自集中器的回程通常通过蜂窝网络进行。请注意，在此图中，仪表与集中器的比率大大降低。

智能电表本身没有集成集中器和其他大型网络设备的安全功能或计算能力。这使得理论上攻击电表比集中器或网络回程更容易。此外，根据网状网络的大小，可以在大范围内利用对网状网络的攻击。鉴于多个通信发生在米与米之间，并且在任何其他网络基础设施的监督之外，每个电表都需要强大的个人安全级别。

为单个仪表配备安全功能意味着定义唯一保护每个仪表的规范。AES 和其他对称加密算法提供了出色的安全性，但它们的缺点是所有仪表共享相同的密钥。因此，任何发现私钥的攻击者都能够攻击所有这些仪表。相反，非对称加密提供了唯一加密数据的最佳方法，因为每个仪表都使用一组唯一的安全密钥来加密和解密数据。用于多个安全事件（如身份验证）的密钥应在芯片上生成，存储在安全存储器中，并嵌入到安全产品本身中，从而保护私钥，永远不需要它离开仪表。通过要求每个计量的唯一密钥组合，发现私钥仅允许访问单个计量。因此，非对称加密大大减少了 AMI 安装的“攻击面”，并显着降低了攻击者的潜在投资回报。简而言之，它可能不再值得攻击者花费时间和精力。

但是计算需要时间，没有人愿意减慢时间敏感的系统。因此，非对称加密的关键挑战是每个单独的仪表所需的计算。在这种情况下，硬件提供了显着的好处。与软件中的类似功能相比，使用硬件加速器在硬件中执行加密和解密功能可减少必要的计算时间。现在，可以最大限度地减少用于加密和解密消息的系统软件资源，从而释放系统以执行其他功能。

ZEUS SoC 集成了多层硬件非对称加密以及安全密钥生成和存储。为了进一步加强非对称加密，真随机数生成器创建安全密钥，以防止密钥生成免受重放攻击。AES等多种对称加密算法也使用上述非对称方法提供加密分层，并符合需要此类加密的任何安全标准。

应对未来威胁的灵活性

安全的智能电表必须足够灵活，以应对 AMI 安装后几年中出现的任何安全威胁。因此，在长期运行期间检测和处置威胁是确保电表和电网的可行性和安全性的下一个困难步骤。

公用事业公司认为，成本和缺乏成熟的解决方案是当前许多AMI安装没有入侵检测系统的主要原因。10智能电表制造商面临的问题归结为一个简单但一点也不简单的问题：电表必须嵌入多少计算能力才能进行威胁检测？各种学术论文提出了集成基于仪表和基于网络的威胁检测解决方案的解决方案。11, 12一个有前途的解决方案包括累积证明内核 （CAK），13一种基于计量的算法，用于审核固件修订，以便在威胁违反加密和身份验证过程时提供另一层检测。CAK 可以在 8 位或 32 位微控制器上运行，并且需要最少的内存。电力研究所等专家，14同意智能电表应包含一些高级功能，以提供安全性并适应未来的解决方案。

如今，安全漏洞需要代价高昂的干预。因此，安全智能电表网络的持续运行涉及的不仅仅是威胁检测和处置。问题是响应。仪表对当前和未来威胁的反应会影响 AMI 安装的稳健性、有效性以及可能的财务成功。

考虑安全系统。许多安全系统（如金融终端）在被黑客入侵时会立即关闭，从而防止攻击者进一步访问网络。虽然不方便，但关闭的好处超过了丢失安全财务信息的威胁。相比之下，智能电表将唯一的电力供应提供给各自的客户，必须权衡任何威胁响应的利弊。立即关闭感知到的威胁并不是最佳响应。相反，这些网络必须在发布任何响应之前立即评估潜在威胁。事实上，整个AMI必须继续在威胁环境中运行，同时有效地衡量每个威胁的严重性。大多数人会同意，对单个客户的服务中断被认为不如大规模中断或普遍滥用整个通信基础设施那么严重。鉴于大规模网络攻击对AMI构成的最大威胁，智能电表需要能够在任何运行时间内优先考虑防御响应。

智能电表还必须提供这种强大的硬件安全性，化解威胁，并适应未来的软件解决方案，而无需进行广泛的系统升级。ZEUS SoC 架构包括一个 32 位 ARM 内核。任何未正确解密或验证的通信都可以由仪表和网络架构师自行决定忽略、记录或报告。计量与 ARM 内核分离可确保仪表功能在各种软件例程中不间断地运行。该操作完全符合WELMEC®15以及要求将计量和/或计量软件与非计量软件和应用程序分开的其他标准。此外，前面描述的硬件安全性可确保以最快的速度处理通信，同时释放 ARM 内核来执行系统任务。ARM内核还可能配备未来的解决方案，例如CAK，它将在已经安全的系统之上分层。计算能力和硬件安全性，结合适当的软件升级以提高系统安全性以应对不断变化的威胁，提供高效的系统安全解决方案，保持硬件和软件功能的适当平衡。

充满机遇的未来

智能电网代表了二十世纪电网的惊人转变。但是，当我们为如此庞大的系统添加网络和控制功能时，我们大大增加了其对安全攻击的暴露和脆弱性，最重要的是，网络威胁。国际组织正在制定性能标准，新闻媒体正在报道电网进步和安全漏洞。但智能电表制造商有责任防御安全攻击。智能电表的主动方法是分离硬件和软件功能;它确保了智能电表的整个生命周期，从购买第三方组件到制造、安装和长期运行。基于对智能电表和不断发展的电力行业的了解，Maxim Integrated将ZEUS SoC设计为当今和未来智能电表的先进、优雅的解决方案。

审核编辑：郭婷