互动用电的通信问题与对策 互动用电方式下的信息安全风险与安全需求分析 引言: 互动用电是智能电网的基本特征之一。 信息互动是互动用电的先决条件之一,电力运营商与各类用户之间,按一定的时间约束, 通过必要的双向通信网络,实现数据的收集、处理和发布,以及控制指令的执行。 互动用电方式下的信息安全一一为什么存在安全问题 1.威胁产生的客观条件 AMI是互动用电的核心环节,承担着信息互动的主要任务。在功能上,AMI是一个用来 测量、收集、存储、分析和运用用户用电信息,并实现对智能电表、智能家电等设备远程控 制的实时网络处理系统。在组成上,AMI包括智能电表、家域网、用户网关、通信网络和 AM1前端系统(见图一)。其中,前三者属于用户端,往往以较为开放的形式存在。 企业级总线 AMI 前端系统1 (用户信息 计费系统 远程电表 控制 智能电表或 AMI 用户开关 网络 AMI 量测数据 配电网 前端系统2 管理 量测资产 其他 管理 自动化 系 家域网 图1基于AMI的信息基础架构 从信息技术的角度,智能电表属于典型的实时嵌入式系统,家域网是通过局域网技术将 智能电表、用户网关和各类智能家电连接成的一个有机整体,用户网关是外网与家域网的接 口,通常部署在其他设备(如个人电脑、智能电表)中。从通信技术的角度,AM1网络具体 采用何种通信媒质并没有定论,但根据IEC的规划,通信过程必然会建立在TCPP协议的基 础上,采用与IEC61850标准一致的应用层协议。 根据上述分析,智能电表将采用嵌入式系统实现,并且具备较强的网络功能,而用户网 关则部署在个人计算机和智能电表上。理论上,既然可以在任何计算机和软件系统中找到 漏洞,那么同样也可以在智能电表和用户网关中找到。AM网络采用开放的通信协议,也 给网络攻击提供了可探测的空间和可潜入的路径。因此,与现有电力系统相比,互动用电 方式下的信息安全问题,大大增加了可利用的接入点和访问路径,具备了威胁产生的客观 条件。 2.威胁产生的主观动机 电力系统信息安全的威胁通常可分为2类:一是客观威胁,来源于通信和信息系统自身 的故障,以及工作人员的疏忽大意而导致的误操作:二是主观威胁,指有预谋的攻击,来源
互动用电的通信问题与对策 互动用电方式下的信息安全风险与安全需求分析 引言: 互动用电是智能电网的基本特征之一。 信息互动是互动用电的先决条件之一,电力运营商与各类用户之间,按一定的时间约束, 通过必要的双向通信网络,实现数据的收集、处理和发布,以及控制指令的执行。 ——————————————————————————————————————————— 互动用电方式下的信息安全——为什么存在安全问题 1.威胁产生的客观条件 AMI 是互动用电的核心环节,承担着信息互动的主要任务。在功能上,AMI 是一个用来 测量、收集、存储、分析和运用用户用电信息,并实现对智能电表、智能家电等设备远程控 制的实时网络处理系统。在组成上,AMI 包括智能电表、家域网、用户网关、通信网络和 AMI 前端系统(见图一)。其中,前三者属于用户端,往往以较为开放的形式存在。 从信息技术的角度,智能电表属于典型的实时嵌入式系统,家域网是通过局域网技术将 智能电表、用户网关和各类智能家电连接成的一个有机整体,用户网关是外网与家域网的接 口,通常部署在其他设备(如个人电脑、智能电表)中。从通信技术的角度,AMI 网络具体 采用何种通信媒质并没有定论,但根据 IEC 的规划,通信过程必然会建立在 TCP/IP 协议的基 础上,采用与 IEC61850 标准一致的应用层协议。 根据上述分析,智能电表将采用嵌入式系统实现,并且具备较强的网络功能,而用户网 关则部署在个人计算机和智能电表上。理论上,既然可以在任何计算机和软件系统中找到 漏洞,那么同样也可以在智能电表和用户网关中找到。AMI 网络采用开放的通信协议,也 给网络攻击提供了可探测的空间和可潜入的路径。因此,与现有电力系统相比,互动用电 方式下的信息安全问题,大大增加了可利用的接入点和访问路径,具备了威胁产生的客观 条件。 2.威胁产生的主观动机 电力系统信息安全的威胁通常可分为 2 类:一是客观威胁,来源于通信和信息系统自身 的故障,以及工作人员的疏忽大意而导致的误操作;二是主观威胁,指有预谋的攻击,来源
于存在不满情绪的内部工作人员、电力市场环境下的工业间谍、网络黑客、病毒程序的传播、 恐怖组织与敌对国家等。在研究主观威胁时,需要分析威胁产生的动机,动机的强弱往往决 定了网络攻击发生的概率。 在传统的用电方式下:控制系统和重要业务系统以物理隔离的方式封闭运行,提供给威 胁源的可操作机会较小:并且从普通用户的角度,进行网络攻击并不能给自己带来直接的经 济利益。因此,主观动机并不强烈。 在互动用电方式下:一方面,由于终端和部分通信网络采用开放的方式,给威胁源提 供了可操作的机会;另一方面,用电负荷将采用网络化的方式收集统计,一旦能通过某种 手段篡改计量值,达到偷电的目的,将产生直接的经济利益。在两方面因素的作用下,主 观动机将大大增强。 事故后果分析 根据威胁产生的客观条件和主观动机分析,互动用电方式下的信息安全事故应包括经济 性和安全性两方面的后果。 经济性后果是指攻击者通过篡改智能电表的计量值,达到窃电的目的,给运营商带来收 益损失。 安全性后果是指攻击者通过某种手段,影响电力系统的稳定运行。从发生的机理上分析, 目前存在2种可能:一是攻击者向智能电表伪造断开指令使用户停电,极端情况下,能够向 数以百万计的智能电表伪造断开指令,很可能造成大范围的停电事故:二是在互动用电方式 下,计量值是分析用电情况、制定分时电价和需求侧响应项目的基础,如果篡改计量值的用 户达到一定数量,对电网的运行将产生较大的影响,造成安全隐患。 互动用电方式下的信息安全需求 需求分析 通常意义下,信息安全需求包括保密性、完整性和可用性等3个方面的需求。保密性需 求是阻止非授权用户访问信息:完整性需求是阻止非授权用户对信息的篡改或伪造:可用性 需求是保证授权用户对信息的访问结合互动用电的主要功能和AM的特点,分别对3种信息 安全需求进行分析。 1.保密性需求 保密性需求可以从互动用电的双方来分析。用户侧存在个人隐私问题,一些用户不希望 公开他们所使用的负荷数量、类型和其他信息,因此,智能电表的计量数据需要保密,通过 网络传输时也需要有合适的保密机制。运营商侧主要从市场的角度来考虑,一些重要的运行 数据需要保密,同时也有责任来保障用户的用电行为隐私。 2.完整性需求 完整性需求是电力系统中最重要的信息安全需求,互动用电方式下这种需求同样存在。 计量数据和控制指令是AMl系统中传输的2类关键信息,必须防止它们被篡改或伪造。对 于智能电表,首先需要有能力对控制指令进行鉴别,判断指令是否被篡改、伪造:其次,智 能电表的物理保护未必完善,很难阻止对户外电表的物理攻击,其存储芯片有可能被替换或 修改,需要有及时的补救措施,防止该电表在AMI系统中造成不良影响。用户网关需要传 递对智能家电的控制指令,也存在完整性需求,同时,由于用户网关部署的灵活性,有可能
于存在不满情绪的内部工作人员、电力市场环境下的工业间谍、网络黑客、病毒程序的传播、 恐怖组织与敌对国家等。在研究主观威胁时,需要分析威胁产生的动机,动机的强弱往往决 定了网络攻击发生的概率。 在传统的用电方式下:控制系统和重要业务系统以物理隔离的方式封闭运行,提供给威 胁源的可操作机会较小;并且从普通用户的角度,进行网络攻击并不能给自己带来直接的经 济利益。因此,主观动机并不强烈。 在互动用电方式下:一方面,由于终端和部分通信网络采用开放的方式,给威胁源提 供了可操作的机会;另一方面,用电负荷将采用网络化的方式收集统计,一旦能通过某种 手段篡改计量值,达到偷电的目的,将产生直接的经济利益。在两方面因素的作用下,主 观动机将大大增强。 事故后果分析 根据威胁产生的客观条件和主观动机分析,互动用电方式下的信息安全事故应包括经济 性和安全性两方面的后果。 经济性后果是指攻击者通过篡改智能电表的计量值,达到窃电的目的,给运营商带来收 益损失。 安全性后果是指攻击者通过某种手段,影响电力系统的稳定运行。从发生的机理上分析, 目前存在 2 种可能:一是攻击者向智能电表伪造断开指令使用户停电,极端情况下,能够向 数以百万计的智能电表伪造断开指令,很可能造成大范围的停电事故;二是在互动用电方式 下,计量值是分析用电情况、制定分时电价和需求侧响应项目的基础,如果篡改计量值的用 户达到一定数量,对电网的运行将产生较大的影响,造成安全隐患。 ——————————————————————————————————————————— 互动用电方式下的信息安全需求 需求分析 通常意义下,信息安全需求包括保密性、完整性和可用性等 3 个方面的需求。保密性需 求是阻止非授权用户访问信息;完整性需求是阻止非授权用户对信息的篡改或伪造;可用性 需求是保证授权用户对信息的访问结合互动用电的主要功能和 AMI 的特点,分别对 3 种信息 安全需求进行分析。 1.保密性需求 保密性需求可以从互动用电的双方来分析。用户侧存在个人隐私问题,一些用户不希望 公开他们所使用的负荷数量、类型和其他信息,因此,智能电表的计量数据需要保密,通过 网络传输时也需要有合适的保密机制。运营商侧主要从市场的角度来考虑,一些重要的运行 数据需要保密,同时也有责任来保障用户的用电行为隐私。 2.完整性需求 完整性需求是电力系统中最重要的信息安全需求,互动用电方式下这种需求同样存在。 计量数据和控制指令是 AMI 系统中传输的 2 类关键信息,必须防止它们被篡改或伪造。对 于智能电表,首先需要有能力对控制指令进行鉴别,判断指令是否被篡改、伪造;其次,智 能电表的物理保护未必完善,很难阻止对户外电表的物理攻击,其存储芯片有可能被替换或 修改,需要有及时的补救措施,防止该电表在 AMI 系统中造成不良影响。用户网关需要传 递对智能家电的控制指令,也存在完整性需求,同时,由于用户网关部署的灵活性,有可能
安装在连接因特网的计算机上,加大了控制命令被篡改、伪造的风险。通信过程将遵循 IEC61850体系,基于开放的TCPP来构建应用层协议,也需要确保信息的完整性。 3.可用性需求 过去,自动抄表系统的可用性并不是太大的问题,运营商在难以获取计量数据时可以延 迟获取,或通过估算的方法获取。但互动用电方式下,量测值和控制指令需要实时或准实 时地双向传输,对运营商与用户之间信息交换的可用性提出了很高的要求。需要考虑特定信 息不可用时,其对系统究竟有多大影响,具体多大的延时是可以接受的。智能电表和用户网 关的可用性,一方面要考虑客观因素的影响,如软、硬件故障,另一方面要考虑人为因素, 如物理入侵、网络入侵和拒绝服务攻击等的影响。通信系统的可用性不仅要考虑客观存在的 故障因素,还要考虑光纤终瑞、电磁干扰和流量变化等因素。AMI前端系统的可用性除考 虑软、硬件故障的影响外,还需要考虑拒绝服务攻击的影响。 解决方法及难点分析 针对上述信息安全需求,解决方法可分为2类。 (一)一类是属于典型的工程技术问题,根据现有的安全标准和研究成果,结合具体的应用 对象,可设计相应的解决方案。包括: 1.通信过程的保密性需求、完整性需求,可根据1EC61850标准和安全通信机制的设计方法, 结合计量数据和控制指令的传输需求,设计具体的认证与保密协议: 2.对于智能电表和量测数据管理系统的保密性需求和完整性需求,可参照变电站智能电子设 备ED和常规数据库的访问控制方法,设计相应的权限模型和访问安全模型。 (二)另一类是由互动用电特性而引入的难点问题,从现有的研究成果中难以找到可直接应 用的方法。总结起来包括如下3个方面。 1.AM1的可用性评估问题。 从宏观上来说,可用性的定义是指:网络在给定的时间间隔内,处理阈值以上工作参数 的能力。多数情况下可量化为概率指标。AMI的可用性可定义为:在规定的时间间隔内,收 集量测值和执行控制指令的能力。AMI的可用性评估是一个非常复杂的问题,主要原因包括: (1)AM系统中涉及的对象很多,包括软件、硬件和通信系统: (2)传输的报文数量很大,不同的类型有不同的时间要求,而且重要程度也存在差异: (3)报文产生和传输过程表现出并发性、随机性等特点: (4)不同的安全防御措施,对系统的可用性影响很大。 2.大规模实时智能设备的密钥管理问题。 密钥管理是解决保密性需求和完整性需求的基础,通常包括密钥生成、密钥存储和保护、 密钥更新、密钥使用和销毁等。互动用电方式下的密钥管理以用户侧的智能电表或用户网关 为主要对象,存在如下典型特点: (1)规模大,某些城市电网将需要数以千万的数字证书或密钥,以满足用电需求: (2)对象以嵌入式系统为主,计算能力和资源有限: (3)密钥更新和分发机制是密钥管理的核心,从信息安全的角度,密钥的生存期越短, 破译的机会越小,但过多的密钥分发又会占用系统的网络带宽,很可能对信息交换过程的实 时性产生影响: (4)不同类型的用户对用电的可靠性要求存在差异,对密钥管理也提出不同的要求。 3.互动用电过程的异常行为检测问题。 即使采用了严格的访问控制机制和安全通信机制,仍难以保证操作系统自身的安全漏
安装在连接因特网的计算机上,加大了控制命令被篡改、伪造的风 险。通信过程将遵循 IEC61850 体系,基于开放的 TCP/IP 来构建应用层协议,也需要确保信息的完整性。 3.可用性需求 过去,自动抄表系统的可用性并不是太大的问题,运营商在难以获取计量数据时可以延 迟 获取,或通过估算的方法获取。但互动用电方式下,量测值和控制指令需要实时或准实 时地双向传输,对运营商与用户之间信息交换的可用性提出了很高的要求。需要考虑特定信 息不可用时,其对系统究竟有多大影响,具体多大的延时是可以接受的。智能电表和用户网 关的可用性,一方面要考虑客观因素的影响,如软、硬件故障,另一方面要考虑人为 因素, 如物理入侵、网络入侵和拒绝服务攻击等的影响。通信系统的可用性不仅要考虑客观存在的 故障 因素,还要考虑光纤终端、电磁干扰和流量变化等因素。AMI 前端系统的可用性除考 虑软、硬件故障的影响外,还需要考虑拒绝服务攻击的影响。 ——————————————————————————————————————————— 解决方法及难点分析 针对上述信息安全需求,解决方法可分为 2 类。 (一)一类是属于典型的工程技术问题,根据现有的安全标准和研究成果,结合具体的应用 对象,可设计相应的解决方案。包括: 1.通信过程的保密性需求、完整性需求,可根据 IEC61850 标准和安全通信机制的设计方法, 结合计量数据和控制指令的传输需求,设计具体的认证与保密协议; 2.对于智能电表和量测数据管理系统的保密性需求和完整性需求,可参照变电站智能电子设 备 IED 和常规数据库的访问控制方法,设计相应的权限模型和访问安全模型。 (二)另一类是由互动用电特性而引入的难点问题,从现有的研究成果中难以找到可直接应 用的方法。总结起来包括如下 3 个方面。 1.AMI 的可用性评估问题。 从宏观上来说,可用性的定义是指:网络在给定的时间间隔内,处理阈值以上工作参数 的能力。多数情况下可量化为概率指标。AMI 的可用性可定义为:在规定的时间间隔内,收 集量测值和执行控制指令的能力。AMI 的可用性评估是一个非常复杂的问题,主要原因包括: (1)AMI 系统中涉及的对象很多,包括软件、硬件和通信系统; (2)传输的报文数量很大,不同的类型有不同的时间要求,而且重要程度也存在差异; (3)报文产生和传输过程表现出并发性、随机性等特点; (4)不同的安全防御措施,对系统的可用性影响很大。 2.大规模实时智能设备的密钥管理问题。 密钥管理是解决保密性需求和完整性需求的基础,通常包括密钥生成、密钥存储和保护、 密钥更新、密钥使用和销毁等。互动用电方式下的密钥管理以用户侧的智能电表或用户网关 为主要对象,存在如下典型特点: (1)规模大,某些城市电网将需要数以千万的数字证书或密钥,以满足用电需求; (2)对象以嵌入式系统为主,计算能力和资源有限; (3)密钥更新和分发机制是密钥管理的核心,从信息安全的角度,密钥的生存期越短, 破译的机会越小,但过多的密钥分发又会占用系统的网络带宽,很可能对信息交换过程的实 时性产生影响; (4)不同类型的用户对用电的可靠性要求存在差异,对密钥管理也提出不同的要求。 3.互动用电过程的异常行为检测问题。 即使采用了严格的访问控制机制和安全通信机制,仍难以保证操作系统自身的安全漏
洞。在传统计算机网络中,一个普通的蠕虫病毒就可能造成整个网络瘫痪,同样,一个被病 毒感染的智能电表,很可能将病毒迅速传播到AMI系统中的其他智能电表中:通过控制开 关断开,造成城市配电网的停电事故:通过篡改计量值,造成运营商对用电量的错误统计, 并导致直接经济损失和分析决策错误。在计算机网络中,用户可以通过计算机的状态或防病 毒软件来判断计算机是否被感染,但智能电表如果存在长期潜伏的病毒或木马,用户和运营 商都很难直观地判断出来或察觉到。因此,就引出了互动用电过程的异常行为检测问题,这 是一个未知但又充满风险的领域。 结论 综上所述,因互动用电方式而引入的信息安全需求问题,是智能电网建设过程中不得不 面对的关键问题。该问题不仅继承了广域环境下电力系统信息安全的实时性和关键性特点, 还兼顾了常规信息安全中大规模、易接入和动机强等特点,对电力系统信息安全的研究提出 了全新的挑战。通过需求分析可知,研究难点体现在密钥管理、异常行为检测和可用性评估 等3个方面。如何就这3个方面的难点问题展开应用基础研究,是智能电网建设中亟需解决 的问题
洞。在传统计算机网络中,一个普通的蠕虫病毒就可能造成整个网络瘫痪,同样,一个被病 毒感染的智能电表,很可能将病毒迅速传播到AMI系统中的其他智能电表中:通过控制开 关断开,造成城市配电网的停电事故;通过篡改计量值,造成运营商对用电量的错误统计, 并导致直接经济损失和分析决策错误。在计算机网络中,用户可以通过计算机的状态或防病 毒软件来判断计算机是否被感染,但智能电表如果存在长期潜伏的病毒或木马,用户和运营 商都很难直观地判断出来或察觉到。因此,就引出了互动用电过程的异常行为检测问题,这 是一个未知但又充满风险的领域。 ——————————————————————————————————————————— 结论 综上所述,因互动用电方式而引入的信息安全需求问题,是智能电网建设过程中不得不 面对的关键问题。该问题不仅继承了广域环境下电力系统信息安全的实时性和关键性特点, 还兼顾了常规信息安全中大规模、易接入和动机强等特点,对电力系统信息安全的研究提出 了全新的挑战。通过需求分析可知,研究难点体现在密钥管理、异常行为检测和可用性评估 等 3 个方面。如何就这 3 个方面的难点问题展开应用基础研究,是智能电网建设中亟需解决 的问题