一種不可靠環(huán)境中的智能電表數(shù)據(jù)安全采集方案

周 林

(上海電力學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院, 上海 200090)

一種不可靠環(huán)境中的智能電表數(shù)據(jù)安全采集方案

周 林

(上海電力學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院, 上海 200090)

智能電表已廣泛應(yīng)用于智能電網(wǎng)的用戶側(cè)數(shù)據(jù)采集,但開(kāi)放式的采集和運(yùn)行環(huán)境給數(shù)據(jù)的真實(shí)性、傳輸?shù)目煽啃院驮O(shè)備的安全性都帶來(lái)了挑戰(zhàn),甚至?xí)?duì)智能電網(wǎng)的安全運(yùn)行帶來(lái)不利影響.從身份認(rèn)證、數(shù)據(jù)完整性角度提出了一種適用于智能電表的安全數(shù)據(jù)采集方案,能夠較好地確保用戶側(cè)數(shù)據(jù)采集真實(shí)可靠;同時(shí)針對(duì)特殊指令設(shè)置了二次確認(rèn)機(jī)制,結(jié)合入侵檢測(cè)和深度報(bào)文檢測(cè)手段,避免惡意攻擊的發(fā)生.

智能電表; 用戶側(cè)數(shù)據(jù)采集; 數(shù)據(jù)完整性; 深度報(bào)文檢測(cè)

智能電網(wǎng)是被公認(rèn)為具有自愈、安全、兼容、交互等特點(diǎn)的“互動(dòng)電網(wǎng)”.智能電網(wǎng)互動(dòng)技術(shù)是提高電網(wǎng)承載新能源能力、保證電網(wǎng)電能質(zhì)量的關(guān)鍵技術(shù).互動(dòng)技術(shù)依賴于用戶側(cè)負(fù)荷監(jiān)測(cè)、系統(tǒng)運(yùn)行穩(wěn)態(tài)監(jiān)測(cè)、發(fā)電變電動(dòng)態(tài)監(jiān)測(cè)等多項(xiàng)實(shí)時(shí)數(shù)據(jù).隨著智能電網(wǎng)的建設(shè),智能電表及智能控制設(shè)施部署普及,用戶側(cè)負(fù)荷數(shù)據(jù)、運(yùn)行中監(jiān)測(cè)數(shù)據(jù)采集的真實(shí)性、準(zhǔn)確性和可信性等安全問(wèn)題將對(duì)發(fā)電側(cè)的電力負(fù)荷預(yù)測(cè)、分時(shí)電價(jià)制定、電力調(diào)度、電力生產(chǎn)過(guò)程產(chǎn)生重大影響.2014年10月,研究人員發(fā)現(xiàn)西班牙所使用的智能電表中存在安全漏洞,該漏洞可以導(dǎo)致電費(fèi)欺詐,甚至進(jìn)入電路系統(tǒng)導(dǎo)致大面積停電[1].隨著能源互聯(lián)網(wǎng)概念的提出,在物聯(lián)網(wǎng)基礎(chǔ)上,通過(guò)傳感器、控制設(shè)施和軟件,將能源的生產(chǎn)端、傳輸端、消費(fèi)端數(shù)以億計(jì)的設(shè)備、機(jī)器、系統(tǒng)連接起來(lái),在優(yōu)化能源生產(chǎn)和消費(fèi)端運(yùn)作效率的同時(shí),各種安全風(fēng)險(xiǎn)也隨之而來(lái).

智能電網(wǎng)運(yùn)行環(huán)境注重設(shè)施及通訊的實(shí)時(shí)性,使用繁雜的通訊協(xié)議,電力生產(chǎn)運(yùn)行中使用的工業(yè)控制設(shè)施其運(yùn)算能力、存儲(chǔ)能力等遠(yuǎn)遠(yuǎn)弱于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng),無(wú)法承載復(fù)雜的加密解密運(yùn)算,且電力生產(chǎn)運(yùn)行過(guò)程中講究系統(tǒng)的穩(wěn)定性,監(jiān)測(cè)數(shù)據(jù)的丟失、破壞或篡改都會(huì)導(dǎo)致整個(gè)系統(tǒng)的連鎖反應(yīng),瞬間帶來(lái)嚴(yán)重后果,因此不能使用暫停網(wǎng)絡(luò)通訊來(lái)恢復(fù)系統(tǒng),或是重啟系統(tǒng)來(lái)排除故障這些手段.

以上特征都要求智能電網(wǎng)的安全防護(hù)策略應(yīng)該是預(yù)防為重,將問(wèn)題消除于未然.國(guó)家電網(wǎng)公司于2009年結(jié)合我國(guó)電力工業(yè)的具體國(guó)情,提出了“堅(jiān)強(qiáng)智能電網(wǎng)”的分階段發(fā)展規(guī)劃,迫切需要在用戶之間、用戶和電網(wǎng)之間、電網(wǎng)運(yùn)行區(qū)間形成安全的通信渠道,實(shí)現(xiàn)安全的雙向信息交互,有效可靠地傳遞實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)及控制指令,避免虛假或惡意數(shù)據(jù)給電網(wǎng)的運(yùn)營(yíng)和控制帶來(lái)安全隱患.

根據(jù)國(guó)家電網(wǎng)制定的智能電表技術(shù)規(guī)范要求,所有智能電表必須具有統(tǒng)一的通信方式和模塊化的通訊接口(目前要求支持RS485/PLC低壓電力載波/GPRS和CDMA無(wú)線)[2-3],全部采用DL/T645—2007版通訊規(guī)約,智能電表內(nèi)必須安裝國(guó)家電網(wǎng)公司統(tǒng)一的嵌入式安全存取模塊(Embedded Security Access Module,ESAM)安全模塊芯片用于加密解密及認(rèn)證.ESAM 模塊中內(nèi)嵌安全處理器,能夠進(jìn)行數(shù)據(jù)加密標(biāo)準(zhǔn)(Data Eneryption Standard,DES)和3DES(Triple DES)加密運(yùn)算,同時(shí)運(yùn)算過(guò)程中加入隨機(jī)數(shù).

要實(shí)現(xiàn)電表及采集設(shè)備間的身份驗(yàn)證,基于公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI)獲取簽名的方式在連接成千上萬(wàn)個(gè)智能電表的網(wǎng)絡(luò)中并不合適,其通信及儲(chǔ)存需求都十分巨大.完全依賴數(shù)字簽名及公鑰加密方式密集部署的電表環(huán)境,因計(jì)算和儲(chǔ)存需求會(huì)帶來(lái)處理上的諸多不便.比較理想的方式是不需要PKI的協(xié)助,由電表和采集端共同完成驗(yàn)證[4].文獻(xiàn)[4]提出了基于會(huì)話密鑰的數(shù)據(jù)加密通信方案,會(huì)話密鑰每次通信都不同,以防止中間人攻擊和重放攻擊.在該方案中,數(shù)據(jù)中心被視為是可靠的,且表具在安裝前就已經(jīng)擁有了私鑰公鑰對(duì),不需要與數(shù)據(jù)中心進(jìn)行密鑰交換.表具啟動(dòng)后,定期用對(duì)稱加密密鑰向中心發(fā)送數(shù)據(jù),表具自身與中心互相驗(yàn)證,不需要PKI機(jī)制.不過(guò)該方案考慮到加密開(kāi)銷,僅在設(shè)備啟動(dòng)階段通過(guò)數(shù)字證書(shū)進(jìn)行身份驗(yàn)證,密鑰交換、公鑰對(duì)更新階段使用公鑰加密,且數(shù)據(jù)中心需要派發(fā)一個(gè)生存期在1至2天的通信密鑰,以便形成后續(xù)的會(huì)話密鑰.該方案并未很好地利用電表已具備對(duì)稱密鑰這一特點(diǎn),額外要求電表產(chǎn)生公鑰私鑰對(duì),產(chǎn)生會(huì)話密鑰,使運(yùn)算的任務(wù)繁重.

文獻(xiàn)[1]提出了一種雙向互動(dòng)、多重防護(hù)安全通信協(xié)議(BIMP),電表和主站之間通過(guò)預(yù)置的密鑰解密握手報(bào)文來(lái)驗(yàn)證雙方的身份,但未考慮握手內(nèi)容的完整性,雖然與其他協(xié)議相比,此方案在協(xié)商數(shù)據(jù)通信時(shí),通信雙方交換加密信息的次數(shù)已減少到5次,但對(duì)于處理能力較弱的智能電表一側(cè)而言,需要完成的加密解密運(yùn)算還是過(guò)多.文獻(xiàn)[5]提出了基于可信根的無(wú)線環(huán)境電表通信框架,以可信平臺(tái)模塊(TPM)和可信網(wǎng)絡(luò)連接(TNC)為基礎(chǔ),由于TPM緊密集成于系統(tǒng)內(nèi),具有不可更改性,因此它可以提供系統(tǒng)可信啟動(dòng)的驗(yàn)證手段.為確保整個(gè)系統(tǒng)的完整性,方案要求每個(gè)采集節(jié)點(diǎn)都參與進(jìn)行相互間的連續(xù)監(jiān)測(cè),構(gòu)建一種分布式的認(rèn)證環(huán)境,以驗(yàn)證鄰居的軟硬件完整性.但在實(shí)際的用電側(cè)環(huán)境中,該方案并不現(xiàn)實(shí),電表間互相監(jiān)督不太適合有線數(shù)據(jù)傳輸,在設(shè)有加密數(shù)據(jù)傳輸?shù)逆溌分?相互監(jiān)測(cè)會(huì)帶來(lái)更多的運(yùn)算負(fù)擔(dān).

為防范數(shù)據(jù)采集時(shí)的各種危險(xiǎn),文獻(xiàn)[6]提出了一種基于一次性密鑰的認(rèn)證方法.采集器需首先向數(shù)據(jù)中心驗(yàn)證自己,然后由數(shù)據(jù)中心為其提供對(duì)稱密鑰以便其讀取相應(yīng)的電表.采集器通過(guò)向數(shù)據(jù)中心提供信息,包括表具ID,采集器ID,全球定位系統(tǒng)(Global Positioning System,GPS),時(shí)間等,然后由數(shù)據(jù)中心根據(jù)這些信息返回用于表具和采集器的密鑰,采集器用此密鑰驗(yàn)證自己可以訪問(wèn)表具,然后進(jìn)行數(shù)據(jù)讀取.該方案中,數(shù)據(jù)中心和采集器間使用非對(duì)稱方式加密,兩者間通過(guò)驗(yàn)證雙方的時(shí)間戳來(lái)確定兩者間的會(huì)話的有效性.出于運(yùn)算性能的考慮,電表端使用對(duì)稱密鑰與采集器之間進(jìn)行驗(yàn)證,但為降低對(duì)稱密鑰的不安全因素,該對(duì)稱密鑰是一次性的,因此產(chǎn)生的計(jì)算量不太適合使用有線連接的、定期的數(shù)據(jù)采集環(huán)境.

僅有加密和認(rèn)證對(duì)于智能電表環(huán)境不夠安全,需要借助入侵檢測(cè)系統(tǒng)(Intrusion Detection System,IDS)加以輔助[7].作為數(shù)據(jù)通信安全的補(bǔ)充,深度數(shù)據(jù)包檢測(cè)和入侵檢測(cè)等主動(dòng)防御手段十分關(guān)鍵.文獻(xiàn)[8]討論了針對(duì)電表的主要攻擊手段,比如針對(duì)協(xié)議、設(shè)施、帶寬,結(jié)合NS3模擬器仿真分析了在無(wú)線連接情形下,不同比例電表被利用進(jìn)行拒絕服務(wù)(Denial of Service,DoS)攻擊給整個(gè)系統(tǒng)帶來(lái)的延遲影響.文中給出的預(yù)防策略是采用IDS系統(tǒng),但并未給出針對(duì)電表采集環(huán)境的IDS具體分析.文獻(xiàn)[9]則較為細(xì)致地討論了基于模型為智能電表構(gòu)建IDS系統(tǒng)的方法,討論了智能電表本身存在內(nèi)存限制、運(yùn)算能力限制等因素時(shí),如何增加防范手段,并且維持較小的系統(tǒng)開(kāi)銷.該系統(tǒng)建立在開(kāi)放式的智能電表開(kāi)發(fā)平臺(tái)和網(wǎng)絡(luò)通信接口硬件基礎(chǔ)之上,但主要聚焦在電表中代碼執(zhí)行的分析方面,不涉及隱私方面的攻擊或是DoS攻擊的防范.

在此基礎(chǔ)上,本文提出了一種用戶側(cè)智能電表數(shù)據(jù)采集的可信數(shù)據(jù)通信方案,以期達(dá)到安全通信的目標(biāo).

1 數(shù)據(jù)采集的安全需求

根據(jù)國(guó)家電網(wǎng)公司2015年1月的一份用電信息采集分析報(bào)告統(tǒng)計(jì),多數(shù)本地信道采用的是電力線寬帶載波及 RS-485總線,短時(shí)期內(nèi)并無(wú)基于以太網(wǎng)通信的可能.一方面,采集終端大都處于無(wú)人監(jiān)測(cè)的地理位置,容易遭受物理攻擊和分析應(yīng)用程序、協(xié)議的邏輯攻擊等.另一方面,終端發(fā)往主站的數(shù)據(jù)基于公網(wǎng)傳輸,極有可能被黑客惡意仿造大量上行數(shù)據(jù),造成網(wǎng)絡(luò)擁塞,甚至主站被控制,導(dǎo)致主站系統(tǒng)產(chǎn)生誤判或誤操作,影響一次系統(tǒng)的可靠運(yùn)行.為規(guī)避風(fēng)險(xiǎn),需要對(duì)終端數(shù)據(jù)采取認(rèn)證、加密、完整性保護(hù)等措施.

本文討論的用電信息數(shù)據(jù)采集拓?fù)浣Y(jié)構(gòu)如圖1所示.

圖1 智能電表數(shù)據(jù)采集環(huán)境示意

圖1中的數(shù)據(jù)采集器是用于定期收集電表端數(shù)據(jù)的專用設(shè)備,其與數(shù)據(jù)中心相連的通信網(wǎng)絡(luò)可以是電力專網(wǎng),也可以是普通公共網(wǎng)絡(luò),圖1中只標(biāo)注了一個(gè),實(shí)際中可能有多個(gè)設(shè)備.由于電表端基本采取電力載波通信或485通信,所以采集器端需要有相應(yīng)的通信轉(zhuǎn)接接口,圖1中給出的是一種常用的、使用以太網(wǎng)到485的協(xié)議轉(zhuǎn)換器(與有線還是無(wú)線以太網(wǎng)連接無(wú)關(guān)),以最大程度簡(jiǎn)化了網(wǎng)絡(luò).

數(shù)據(jù)采集環(huán)境的設(shè)計(jì)目標(biāo)是建立“可信終端+可信通信+可信指令”的平臺(tái).本文中假設(shè)硬件終端本身是可信的,但由于各個(gè)終端(電表或采集器)都處于風(fēng)險(xiǎn)環(huán)境中,因此各個(gè)終端通信中需要向通信的對(duì)方證明自己的真實(shí)性.本文從以下3個(gè)方面進(jìn)行了考慮.

(1) 終端并不簡(jiǎn)單執(zhí)行收到的請(qǐng)求,需首先結(jié)合隨機(jī)計(jì)算的序列號(hào)相互驗(yàn)證每次會(huì)話.采集器本身出廠可信,預(yù)存有可信密鑰,無(wú)對(duì)應(yīng)密鑰時(shí),則向第三方(即數(shù)據(jù)中心)申請(qǐng).

(2) 區(qū)分常規(guī)指令和特殊指令,對(duì)于普通讀數(shù)據(jù)指令允許驗(yàn)證后直接執(zhí)行,而特殊指令需再次確認(rèn)非仿冒或非授權(quán)用戶所發(fā).

(3) 整體系統(tǒng)工作于終端硬件可信、數(shù)據(jù)中心自身可信基礎(chǔ)之上,具體操作步驟為:電表等采集終端自啟時(shí)完成自身可信性檢查;收到指令或數(shù)據(jù)反饋后,根據(jù)密鑰、簽名、會(huì)話ID等進(jìn)行身份驗(yàn)證、完整性檢查,會(huì)話ID的產(chǎn)生涉及隨機(jī)數(shù)、時(shí)間戳,對(duì)應(yīng)密鑰,不易偽造;入侵及深度檢測(cè)系統(tǒng)對(duì)收到的數(shù)據(jù)依據(jù)預(yù)設(shè)的安全規(guī)則和模型進(jìn)行檢測(cè),符合規(guī)則的數(shù)據(jù)放行,不符合的分流至分析器進(jìn)一步進(jìn)行審核.

2 基于密鑰和認(rèn)證的數(shù)據(jù)采集方案

本文所提方案的前提如下:數(shù)據(jù)中心是安全的,數(shù)據(jù)中心所處的是封閉環(huán)境,相對(duì)安全性更高;電表采集器是可靠的;通信鏈路是不可靠的(即便是專用線路);電表的密鑰、采集器的密鑰、中心的密鑰都已事先分發(fā),不存在需要分發(fā)密鑰的情況(因?yàn)槎际侵付óa(chǎn)品,統(tǒng)一生產(chǎn)、安裝,但密鑰更新除外).

方案中協(xié)議轉(zhuǎn)換器被看做是透明的,沒(méi)有必要將其升級(jí)為具有安全驗(yàn)證的功能,但這并不會(huì)減輕電表端在安全處理方面的壓力,相反會(huì)要求電表廠商提供協(xié)議轉(zhuǎn)換設(shè)備,針對(duì)本廠電表指令進(jìn)行驗(yàn)證.對(duì)于第三方生產(chǎn)的協(xié)議轉(zhuǎn)換設(shè)備在技術(shù)上不可行,因?yàn)闊o(wú)法要求電表廠商公開(kāi)其安全驗(yàn)證機(jī)制.

2.1 采集器與電表之間的認(rèn)證

由于公鑰等都是出廠時(shí)置于各個(gè)設(shè)備中,所以不需要可信第三方頒發(fā)證書(shū),來(lái)證明各設(shè)備的公鑰的真實(shí)性.采集器定期與電表通信,讀取電表數(shù)據(jù),或向電表發(fā)出特權(quán)指令.電表收到任何指令后,都需要檢查指令的真實(shí)性,即是否來(lái)自特定的采集器.但DL/T645—2007規(guī)約中并無(wú)對(duì)密文等的處理約定[10],實(shí)際操作中需要適當(dāng)修改.

鑒于雙方都預(yù)留了對(duì)方的密鑰(參考前面假設(shè)),采集器直接發(fā)送經(jīng)加密的指令,指令格式為:

(IDSM,{SNSM,T,N,CODE}K-SM1,H(SNSM,T,N,CODE))

其中,IDSM表示智能電表編號(hào);SNSM表示采集數(shù)據(jù)授權(quán)號(hào),一個(gè)事先預(yù)留且惟一的訪問(wèn)編號(hào),針對(duì)特定電表,由中心加密發(fā)出,授權(quán)給采集器預(yù)存,預(yù)防采集器泄密;T表示采集器當(dāng)前時(shí)間戳;N表示采集器本次指令產(chǎn)生的隨機(jī)數(shù);CODE表示指令內(nèi)容;K-SM1表示SM1加密密鑰;H()表示哈希運(yùn)算.

對(duì)應(yīng)的智能電表收到報(bào)文后,對(duì)其進(jìn)行解密,并通過(guò)哈希運(yùn)算驗(yàn)證所收到信息的完整性.之后電表檢查本次指令中的SN是否與自己已預(yù)存的相符,否則忽視該指令.然后比對(duì)已記錄的時(shí)間戳,如果已有相同或早于已記錄的上次指令時(shí)間,則忽視該次請(qǐng)求(目的在于防止重放攻擊).接下來(lái)電表檢查指令內(nèi)容,是讀取類的,則直接返回需要的結(jié)果.回送報(bào)文的格式為:

(IDSM,{SID,DATA}K-SM1,H(SID,DATA))

其中,SID表示本次會(huì)話唯一序號(hào),計(jì)算方式為:SID=H(IDSM,SNSM,T,N,K-SM1).

對(duì)于特殊指令(如斷開(kāi)、重啟、復(fù)位、修改參數(shù)等),電表端則會(huì)發(fā)起認(rèn)證挑戰(zhàn)(要求發(fā)送方證明自己的意圖),即指令二次確認(rèn).電表端發(fā)回的認(rèn)證挑戰(zhàn)格式為:

(IDSM,{SID,CODE,QUES}K-SM1,H(SID,CODE,QUES))

其中,QUES表示特殊指令預(yù)留問(wèn)題.

采集器收到以上回送報(bào)文后,經(jīng)解密并驗(yàn)證數(shù)據(jù)簽名后,檢查SID的與自己計(jì)算的是否一致,驗(yàn)證正確后才保留收到的數(shù)據(jù).如果發(fā)現(xiàn)送回的是指令挑戰(zhàn),采集器收到挑戰(zhàn)后,解密并驗(yàn)證簽名,隨后檢查本次會(huì)話SID,然后發(fā)送挑戰(zhàn)要求給數(shù)據(jù)中心.

數(shù)據(jù)中心收到挑戰(zhàn)要求后,同樣經(jīng)過(guò)解密驗(yàn)證和簽名認(rèn)證,查實(shí)自己之前發(fā)出的命令要求,一致后返回的應(yīng)答格式為:

(IDSM,{SID,CODE,ANS}K-SM1,H(SID,CODE,ANS))

其中,ANS表示特殊指令預(yù)留問(wèn)題回答.

電表端在收到回應(yīng)并解密驗(yàn)證后,檢查會(huì)話ID一致、問(wèn)題答案正確、指令重復(fù)一致后,執(zhí)行特殊指令.

電表端的工作流程見(jiàn)圖2.

圖2 電表端加密/驗(yàn)證流程

采集器與電表之間是區(qū)域化操作,即一個(gè)采集器只在固定區(qū)域使用,區(qū)域范圍在安裝時(shí)確定.區(qū)域之間并不混用,即A區(qū)域的采集器無(wú)法與B區(qū)域的電表相互驗(yàn)證通過(guò).且電表間不能相互訪問(wèn)并彼此驗(yàn)證.如果數(shù)據(jù)中心直接與電表通信,其驗(yàn)證方法與上述的情況類似.

2.2 采集器與中心之間的數(shù)據(jù)訪問(wèn)

中心與采集器之間也是定期進(jìn)行數(shù)據(jù)交換,只是其頻度不像電表與采集器間那么頻繁.數(shù)據(jù)中心向采集器提出數(shù)據(jù)訪問(wèn)請(qǐng)求時(shí),報(bào)文格式為:

(IDDCU,{SNC,TC,NC,CODEC}PUB(D),H(SNC,TC,NC,CODEC))

其中,IDDCU表示采集器ID;SNC表示數(shù)據(jù)中心授權(quán)號(hào);PUB(D)表示采集器公鑰.

考慮到隱秘性,此格式中使用的數(shù)據(jù)中心授權(quán)號(hào)不是直接用數(shù)據(jù)中心地址這類較容易獲取的信息.采集器用自己的私鑰解密后,驗(yàn)證收到的報(bào)文.然后采集器會(huì)驗(yàn)證數(shù)據(jù)中心發(fā)來(lái)的授權(quán)號(hào)與自己預(yù)留的是否一致,符合后才會(huì)解析指令并執(zhí)行.對(duì)于讀數(shù)據(jù)指令,則加密后按以下格式返回需要的內(nèi)容:

(IDDCU,{SIDDCU,DATADCU}PUB(C),H(SIDDCU,DATADCU))

其中,SIDDCU表示本次會(huì)話惟一ID,計(jì)算方式為:SIDDCU=H(IDDCU,SNC,TC,NC,PUB(D),PUB(C));PUB(C)表示數(shù)據(jù)中心公鑰.

如果涉及數(shù)據(jù)庫(kù)修改、刪除記錄等特殊操作,則要對(duì)指令的發(fā)起方進(jìn)行認(rèn)證挑戰(zhàn),挑戰(zhàn)的形式與智能電表端類似.采集器發(fā)回的認(rèn)證挑戰(zhàn)報(bào)文格式如下:

(IDDCU,{SIDDCU,CODEC,QUESC}PUB(C),H(SIDDCU,CODEC,QUESC))

其中,QUESC表示采集器預(yù)留特殊指令驗(yàn)證問(wèn)題.

此報(bào)文使用數(shù)據(jù)中心公鑰加密.數(shù)據(jù)中心收到挑戰(zhàn)報(bào)文后,解密并驗(yàn)證報(bào)文簽名,核對(duì)本次會(huì)話ID后,再次發(fā)送指令格式如下:

(IDDCU,{SIDDCU,CODEC,ANSC}PUB(D),H(SIDDCU,CODEC,ANSC))

挑戰(zhàn)應(yīng)答指令以采集器公鑰加密,采集器收到密鑰并解密后驗(yàn)證簽名,然后在會(huì)話ID一致、指令重復(fù)一致、預(yù)留問(wèn)題答案正確后執(zhí)行指令.

3 方案安全性分析

3.1 防范身份冒用

本方案設(shè)計(jì)中采用密鑰加簽名的身份識(shí)別手段,主要用于在開(kāi)放式通信環(huán)境中明確通信雙方的真實(shí)性.在電表數(shù)據(jù)采集環(huán)境中,這種真實(shí)性分為兩個(gè)方面:一是數(shù)據(jù)來(lái)源,二是指令來(lái)源.

在數(shù)據(jù)來(lái)源方面,考慮到電表和采集器都處于開(kāi)放環(huán)境,易遭受攻擊、被篡改或仿冒,無(wú)論是數(shù)據(jù)中心或采集器,任何一方在收到返回的數(shù)據(jù)報(bào)文后,都需要使用對(duì)應(yīng)密鑰進(jìn)行解密和簽名驗(yàn)證,這是方案中身份識(shí)別的第一步.如果這一步發(fā)現(xiàn)異常,則認(rèn)為數(shù)據(jù)報(bào)文為偽造,并向本系統(tǒng)的監(jiān)測(cè)點(diǎn)發(fā)出警示信息,安全監(jiān)測(cè)點(diǎn)則會(huì)進(jìn)一步關(guān)注該異常節(jié)點(diǎn)和其通信報(bào)文.

如果存在某個(gè)電表或采集器被劫持,那么它提供的數(shù)據(jù)也將是不可靠的.被劫持的電表或采集器可能會(huì)提供正確的加密報(bào)文和簽名,騙過(guò)第一步身份驗(yàn)證,但除非收到來(lái)自正常節(jié)點(diǎn)的數(shù)據(jù)采集要求,否則無(wú)法主動(dòng)提供錯(cuò)誤數(shù)據(jù),因?yàn)楹罄m(xù)的數(shù)據(jù)交換是基于授權(quán)號(hào)、時(shí)間戳、隨機(jī)數(shù)進(jìn)行的,具有一次性的特征,能夠抵御重放攻擊這類風(fēng)險(xiǎn).另外,電表或采集器不會(huì)主動(dòng)要求數(shù)據(jù)中心提供數(shù)據(jù)反饋,凡是無(wú)故向數(shù)據(jù)中心或采集器提出數(shù)據(jù)反饋要求的都可看作異?；蚴枪粜袨?

在指令來(lái)源方面,本方案中除了基于使用加密、簽名等方法進(jìn)行身份識(shí)別以外,還附加以“挑戰(zhàn)-應(yīng)答”的方式要求雙方對(duì)特殊指令進(jìn)行二次確認(rèn),以回答預(yù)留問(wèn)題方法作為輔助的身份認(rèn)證的手段.

萬(wàn)一出現(xiàn)電表被劫持這種極端情況(非硬件被破解、密碼泄露等),攻擊方也僅是利用被劫持電表的加密功能和身份,傳遞錯(cuò)誤的數(shù)據(jù),但這類數(shù)據(jù)可以在數(shù)據(jù)中心通過(guò)分析與挖掘的手段進(jìn)行異常排查.如果是采集器被劫持,攻擊者也無(wú)法通過(guò)采集器操控其對(duì)應(yīng)轄區(qū)內(nèi)的智能電表,進(jìn)行斷電、復(fù)位等特殊操作,因?yàn)楸痉桨敢蟮恼J(rèn)證挑戰(zhàn)必須是經(jīng)由數(shù)據(jù)中心完成的.而且在方案中不允許電表之間、采集器之間直接的相互通信和認(rèn)證,在一定程度上避免了個(gè)別電表、采集器被入侵而可能產(chǎn)生的相同設(shè)備間的交叉感染.

3.2 防范拒絕服務(wù)攻擊

本方案中均使用加密傳輸,因此針對(duì)明文協(xié)議的攻擊手段不再奏效.風(fēng)險(xiǎn)較大的是對(duì)于通信鏈路可用性的攻擊(無(wú)論有線還是無(wú)線),比如采用DoS攻擊.如果在電表和采集器間使用了協(xié)議轉(zhuǎn)換器,那么該轉(zhuǎn)換接口將會(huì)是遭受DoS攻擊的典型位置.就目前廣泛使用的協(xié)議轉(zhuǎn)換器而言,多數(shù)都是為了便于協(xié)議通信和接口連接,將RS485和Modbus等協(xié)議轉(zhuǎn)換為更為方便的TCP協(xié)議進(jìn)行通信,而且目前提供該產(chǎn)品的廠家也較多,已形成較為統(tǒng)一的廠商標(biāo)準(zhǔn).但目前該類產(chǎn)品均無(wú)網(wǎng)絡(luò)安全防范手段,完全屬于透明開(kāi)放式產(chǎn)品,將安全防范交由電力數(shù)據(jù)采集系統(tǒng)的實(shí)施方來(lái)處理.通過(guò)實(shí)驗(yàn)驗(yàn)證,直接暴露在通信網(wǎng)絡(luò)中的協(xié)議轉(zhuǎn)換節(jié)點(diǎn)不僅傳遞的報(bào)文內(nèi)容可以被輕易捕獲,而且在DoS攻擊下,正常的通信也會(huì)嚴(yán)重超時(shí).

DoS攻擊的主要是消耗被攻擊方的資源,導(dǎo)致正常數(shù)據(jù)通信無(wú)法進(jìn)行.針對(duì)電表和采集器,本方案采取周期性通訊窗口的策略進(jìn)行應(yīng)對(duì),以減緩遭受攻擊的風(fēng)險(xiǎn).在周期性通訊窗口中,電表或采集器收到的請(qǐng)求指令內(nèi)容中包含有窗口周期和通信周期,接收方根據(jù)這個(gè)周期決定數(shù)據(jù)通信開(kāi)始的時(shí)間窗口、傳輸持續(xù)的時(shí)間,即傳輸窗口開(kāi)始時(shí)間為指令中的時(shí)間戳T,持續(xù)時(shí)間為通信周期.時(shí)間戳和接收方的本地時(shí)鐘并不需要完全同步,只是作為收發(fā)雙方的參考依據(jù).持續(xù)時(shí)間由發(fā)送方根據(jù)通信延遲、上次數(shù)據(jù)傳遞情況等參數(shù)進(jìn)行動(dòng)態(tài)修正,下次的窗口周期由收發(fā)雙方在本次通信中協(xié)商而定(根據(jù)數(shù)據(jù)采集的頻次等要求),這樣每次指令中使用的窗口周期和通信周期都會(huì)不一樣.電表或采集器對(duì)在通訊窗口外的任何請(qǐng)求均不予響應(yīng),直到下一次通訊周期到來(lái)為止.

當(dāng)然,周期性通訊窗口策略只能在一定程度上減緩DoS攻擊的影響,并不能排除攻擊發(fā)生時(shí)正好處于通訊窗口中的情況,還需要結(jié)合防火墻、入侵檢測(cè)等輔助手段進(jìn)行補(bǔ)充.

3.3 防范中間人攻擊

由于電表或采集器都處于開(kāi)放網(wǎng)絡(luò)環(huán)境,與之通信的另一方不可見(jiàn),本方案中要求通信的雙方必須向?qū)Ψ阶C實(shí)自己,以避免中間人攻擊情況的出現(xiàn).當(dāng)電表收到自稱是采集器(或數(shù)據(jù)中心)的操作請(qǐng)求時(shí),請(qǐng)求方必須證實(shí)自己是所聲稱的那一方.在本方案中,除了要求請(qǐng)求方在發(fā)出的報(bào)文中提供簽名來(lái)證明自己以外,還要求請(qǐng)求方提供訪問(wèn)授權(quán)號(hào)、對(duì)應(yīng)電表的加密密鑰,而這些秘密信息都是設(shè)備出廠前預(yù)置在硬件芯片中,并沒(méi)有后期分發(fā)的環(huán)節(jié).攻擊方使用中間人攻擊手段想要達(dá)到目的,必須知曉用于簽名的哈希函數(shù)、某個(gè)采集器(或數(shù)據(jù)中心)的授權(quán)號(hào)(不同的采集器不一樣)、對(duì)應(yīng)電表的加密密鑰,3個(gè)要素缺一不可.攻擊者通過(guò)暴力破解方式獲取全部3項(xiàng)機(jī)密的可能性微乎其微.此外,這3個(gè)要素的生成是在硬件生產(chǎn)時(shí)完全依靠加密系統(tǒng)自動(dòng)完成的,機(jī)密信息直接封存于內(nèi)部閃存,沒(méi)有人為管理和暫存環(huán)節(jié),也就減少了人為泄密的可能.

考慮到極端情況,如果某個(gè)電表被攻破,攻擊者獲取了該電表的密鑰,進(jìn)而可以得到某個(gè)采集器的授權(quán)號(hào),但攻擊者并不能籍此獲得其他電表的機(jī)密信息(如密鑰),即便電表是相同批次的產(chǎn)品,相互之間也沒(méi)有關(guān)聯(lián)性,攻擊者也無(wú)法利用該電表主動(dòng)從采集器處獲得更多的信息,因?yàn)楸痉桨笇㈦姳戆l(fā)出的所有主動(dòng)數(shù)據(jù)請(qǐng)求均視為異常.如果某個(gè)采集器被破解,攻擊者并不能從該處獲取與電表端相關(guān)的密鑰、授權(quán)號(hào)等信息,這些機(jī)密內(nèi)容均是加密后暫存在采集器中,采集器只有使用的權(quán)限,但無(wú)法知曉具體內(nèi)容.而采集器自己的私鑰泄露也只影響到其與數(shù)據(jù)中心之間的會(huì)話,而不會(huì)影響其所在區(qū)域的各個(gè)電表,并且被破解采集器的異常數(shù)據(jù)訪問(wèn)請(qǐng)求將被入侵檢測(cè)環(huán)節(jié)發(fā)現(xiàn)并被及時(shí)移除.

表1給出了本方案與文獻(xiàn)[4]和文獻(xiàn)[6]所提方案的對(duì)比.

表1 3種方案的特征對(duì)比

4 深度數(shù)據(jù)檢測(cè)與入侵檢測(cè)

身份驗(yàn)證策略只是電力數(shù)據(jù)采集安全防范的一個(gè)環(huán)節(jié),能夠在一定程度上排除假冒節(jié)點(diǎn)的入侵.但對(duì)于遭受木馬類惡意代碼入侵的終端而言,終端的身份是真實(shí)的,但行為可能是惡意的.要排除這類風(fēng)險(xiǎn),必須通過(guò)報(bào)文深度檢測(cè)、入侵檢測(cè)等多重手段來(lái)協(xié)助完成.深度檢測(cè)的含義是指不僅僅查看通信報(bào)文中的地址內(nèi)容,還需要檢查報(bào)文中攜帶的指令內(nèi)容.由于在本方案中傳遞的是加密內(nèi)容,因此無(wú)法在通信鏈路環(huán)節(jié)進(jìn)行深度檢測(cè),即檢測(cè)點(diǎn)設(shè)置在通信網(wǎng)絡(luò)交換節(jié)點(diǎn)的傳統(tǒng)方案不可行.本方案中將深度檢測(cè)的位置設(shè)在終端設(shè)備內(nèi)部,電表端深度檢測(cè)模塊功能結(jié)構(gòu)如圖3所示.考慮到硬件成本因素,在電表中內(nèi)置的深度檢測(cè)模塊可以相對(duì)簡(jiǎn)化,類似白名單方式,預(yù)設(shè)正常指令模型,對(duì)于超出此范圍的指令訪問(wèn)都將視為異常,進(jìn)而觸發(fā)異常報(bào)警.當(dāng)異常累積到一定閾值,電表將停止與外界的通信,周期性向數(shù)據(jù)中心通報(bào)警示信息,直到人為干預(yù)后復(fù)位為止.采集器一側(cè)的檢測(cè)系統(tǒng)結(jié)構(gòu)與圖3相似,而采集器的硬件相對(duì)電表而言功能更強(qiáng),在深度檢測(cè)模型上可以更復(fù)雜豐富,如何設(shè)計(jì)新的檢測(cè)方法也將是后續(xù)的研究課題.

圖3 電表端深度檢測(cè)模塊功能結(jié)構(gòu)

入侵檢測(cè)是用于發(fā)現(xiàn)已知威脅和預(yù)防未知威脅的一種有效手段.可以在電表協(xié)議轉(zhuǎn)換和采集器端安裝分布式入侵探測(cè)器,既有報(bào)文檢測(cè)又具備入侵檢測(cè)觸角,以便及時(shí)發(fā)現(xiàn)可疑末端設(shè)備,采取應(yīng)對(duì)措施.在實(shí)際環(huán)境中,采集器和協(xié)議轉(zhuǎn)換器處于相同的物理位置,因此可以將針對(duì)Modbus RTU/Modbus ASCII這類協(xié)議的報(bào)文檢測(cè)設(shè)置在此處,結(jié)合采集器的運(yùn)算能力和精簡(jiǎn)的Snort入侵檢測(cè)系統(tǒng)[11],完成對(duì)數(shù)據(jù)采集期間通信鏈路上各種報(bào)文的偵測(cè).

5 結(jié) 語(yǔ)

本文提出的方案在電表、采集器和數(shù)據(jù)中心可信的前提下,實(shí)現(xiàn)了通信雙方身份真實(shí)性驗(yàn)證.結(jié)合可信硬件的預(yù)設(shè)密鑰,通信雙方生成一次性會(huì)話密鑰,并利用自身已有密鑰完成通信雙方的身份驗(yàn)證,并將驗(yàn)證過(guò)程中的通信與運(yùn)算次數(shù)降到最低.方案中使用特權(quán)指令二次驗(yàn)證的策略,有效地抵御基于中間人手段的攻擊行為.且數(shù)據(jù)通信過(guò)程中采取了隨機(jī)協(xié)商通信窗口的方案,能夠有效地防止針對(duì)鏈路和服務(wù)的DoS攻擊行為.雖然用于身份驗(yàn)證的信息加密和二次驗(yàn)證環(huán)節(jié)會(huì)帶來(lái)一定的通信延遲,對(duì)于智能電表這類定期采集數(shù)據(jù)的設(shè)備,沒(méi)有實(shí)時(shí)響應(yīng)的時(shí)間限制,因此適用這種多次握手的驗(yàn)證方案.本文中未涉及電表端密鑰、采集器密鑰周期更新等問(wèn)題,這將是后續(xù)進(jìn)一步探討與研究的重點(diǎn).

[1] 趙兵,翟峰,李濤永,等.適用于智能電表雙向互動(dòng)系統(tǒng)的安全通信協(xié)議[J].電力系統(tǒng)自動(dòng)化,2016,40(17):93-98.

[2] 國(guó)家電網(wǎng)公司.Q/GDW 1365—2013 智能電能表信息交換安全認(rèn)證技術(shù)規(guī)范[S].北京:中國(guó)電力出版社,2013.

[3] 張明遠(yuǎn),徐人恒,張秋月,等.智能電能表數(shù)據(jù)通訊安全性分析[J].電測(cè)與儀表,2014(23):24-27.

[4] KUMAR V,HUSSAIN M.Secure communication for advance metering infrastructure in smart grid[C]//India Conference.IEEE,2014:1-6.

[5] DETKEN K O,GENZEL C H,RUDOLPH C,etal.Integrity protection in a smart grid environment for wireless access of smart meters[C]//International Symposium on Wireless Systems Within the Conferences on Intelligent Data Acquisition and Advanced Computing Systems:Technology and Applications.IEEE,2014:79-86.

[6] SHA K,XU C,WANG Z.One-time symmetric key based cloud supported secure smart meter reading[C]//International Conference on Computer Communication and Networks.IEEE,2014:1-6.

[7] BERTHIER R,SANDERS W H.Specification-based intrusion detection for advanced metering infrastructures[C]//IEEE Pacific Rim International Symposium on Dependable Computing.Pasadena,California,USA:DBLP,2011:184-193.

[8] GUO Y,TEN C W,HU S,etal.Modeling distributed denial of service attack in advanced metering infrastructure[C]//Innovative Smart Grid Technologies Conference.IEEE,2015:1-5.

[9] TABRIZI F M,PATTABIRAMAN K.A Model-based intrusion detection system for smart meters[C]//IEEE International Symposium on High-assurance Systems Engineering.IEEE,2014:17-24.

[10] 中華人民共和國(guó)國(guó)家發(fā)展和改革委員會(huì).DL/T 645—2007多功能電能表通訊規(guī)約[S].北京:中國(guó)電力出版社,2007.

[11] MORRIS T,VAUGHN R,DANDASS Y.A retrofit network intrusion detection system for MODBUS RTU and ASCII industrial control systems[C]//Hawaii International Conference on System Science.IEEE,2012:2 338-2 345.

(編輯 桂金星)

AnIdentificationandIDSBasedSchemeforSmartMeterDataAcquisition

ZHOULin

(SchoolofComputerScienceandTechnology,ShanghaiUniversityofElectricPower,Shanghai200090,China)

Since smart meters are widely used in smart grid for user side data acquisition,but the need of data integrity,data reliability,and safe data transmission are so important in an open network environment that any attacks on smart meter or false data collection may cause disaster to the whole smart grid system.A security solution for smart meter data collection based on authentication and integrity mechanism is presented for delivering smart meter data and control message securely.IDS and deep packet inspection technologies are also used to mitigate different types of attacks on smart meters.

smart meter; user side data acquisition; data integrity; deep packets inspection

10.3969/j.issn.1006-4729.2017.04.008

2017-03-09

周林(1968-),男,碩士,副教授,浙江寧波人.主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)與應(yīng)用.E-mail:733488@126.com.

上海市科學(xué)技術(shù)委員會(huì)地方能力建設(shè)項(xiàng)目(15110500700).

TP274.2;TM933.4

A

1006-4729(2017)04-0346-07