邢 文

(湘潭大學(xué)興湘學(xué)院，湖南 湘潭 411105)

0 引言

為解決美國(guó)電網(wǎng)供電可靠性的問題，美國(guó)最早提出了“智能電網(wǎng)”的思路，并將其稱為“第三次電力革命”?！爸悄茈娋W(wǎng)”的概念一經(jīng)提出就受到全世界電力專家、電力企業(yè)的廣泛關(guān)注，加之美國(guó)奧巴馬政府自2009年推出發(fā)展智能電網(wǎng)的計(jì)劃以來，智能電網(wǎng)迅速成為全球關(guān)注的焦點(diǎn)，引領(lǐng)著世界電力工業(yè)的發(fā)展方向[1－2]。

當(dāng)前，智能電網(wǎng)已經(jīng)成為世界各國(guó)電網(wǎng)發(fā)展的新趨勢(shì)、新潮流?！爸悄茈姳怼蹦軌蚣皶r(shí)反映最新的電力市場(chǎng)信息——電價(jià)、供應(yīng)的電量和需求的電量;能夠在用電高峰提供激勵(lì)手段，鼓勵(lì)人們減少用電;能夠通過價(jià)格變化來調(diào)整每條輸電線路的輸電量，鼓勵(lì)用戶在輸電不足的線路上增加電器使用量，調(diào)動(dòng)輸電過載線路上的電器縮減用電。

1 智能電表相關(guān)研究綜述

目前，已有不少學(xué)者對(duì)智能電網(wǎng)中的智能電表作了各種性能和實(shí)施措施的分析和探討。

①王思彤等人綜合國(guó)內(nèi)外學(xué)者對(duì)智能電表的定義，提出智能電表是以微處理器應(yīng)用和網(wǎng)絡(luò)通信技術(shù)為核心的智能化儀表，以智能電表為基礎(chǔ)構(gòu)建智能計(jì)量系統(tǒng)。它能夠滿足智能電網(wǎng)對(duì)負(fù)荷管理、分布式電源接入、能源效率、電網(wǎng)調(diào)度、電力市場(chǎng)交易和減少排放等方面的要求[3]。

②何學(xué)民認(rèn)為智能電網(wǎng)應(yīng)該更加能夠?qū)崿F(xiàn)發(fā)電、輸電、配電、用電和節(jié)電的協(xié)調(diào)平衡，最大程度地滿足用戶的電力需求，同時(shí)實(shí)現(xiàn)電力工業(yè)污染物排放最小;并指出要正確認(rèn)識(shí)發(fā)展智能電網(wǎng)沒有現(xiàn)成的模式可以遵循，必須結(jié)合我國(guó)的實(shí)際情況積極進(jìn)行創(chuàng)新[4]。

③李寶樹、陳萬昆在對(duì)我國(guó)智能電表發(fā)展前景的研究中指出，必須通過統(tǒng)一規(guī)范智能電表的外形和相同的功能指標(biāo)，加快智能電表的模塊化發(fā)展;通過建立“用電信息采集系統(tǒng)”，加強(qiáng)智能電表的系統(tǒng)化功能;通過借助三網(wǎng)融合，將建立滿足未來智能電表高級(jí)應(yīng)用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，將用戶和供電企業(yè)緊密相連，成為實(shí)現(xiàn)智能電網(wǎng)配電自動(dòng)化的一個(gè)基礎(chǔ)性功能模塊[5]。

④郭東亮等人認(rèn)為通信技術(shù)是智能電網(wǎng)的技術(shù)基礎(chǔ)，電信企業(yè)可以利用其現(xiàn)有的移動(dòng)通信網(wǎng)絡(luò)為智能電網(wǎng)提供通信服務(wù)[6]。

雖然國(guó)內(nèi)學(xué)者對(duì)智能電表的研究時(shí)間并不長(zhǎng)，但取得的成績(jī)卻是不容置疑的。如王思彤的《智能電表的概念及應(yīng)用》指出了智能電表的產(chǎn)生緣由及其概念，闡述了其在智能電網(wǎng)中的定位、功能應(yīng)用和產(chǎn)生的收益等，并簡(jiǎn)要介紹了世界范圍內(nèi)智能電表的應(yīng)用狀況，形成了基本的研究框架，在基本概念和研究的主要途徑等方面達(dá)成了不少共識(shí)。這為本研究提供了很好的借鑒。

目前，國(guó)內(nèi)對(duì)智能電表的研究也存在不足，主要是欠缺對(duì)智能電表安全需求分析和信息安全策略的研究。因此，有必要在現(xiàn)有的研究成果上提出一種安全性強(qiáng)的智能電表信息保護(hù)的安全策略。

本文擬通過對(duì)智能電表中存在的安全問題進(jìn)行分析，提出保護(hù)用戶和供電企業(yè)的信息及合法權(quán)益不受威脅和侵害的設(shè)想，以達(dá)到公共事業(yè)的最優(yōu)配置和操作的有效性要求，從而有效地建立應(yīng)對(duì)攻擊和自然災(zāi)害的彈性操作系統(tǒng)。

2 智能電表信息安全分析

2.1 信息的安全威脅

智能電表易受到多種形式的攻擊和破壞，不同的攻擊模式會(huì)產(chǎn)生不同的安全威脅，進(jìn)而破壞智能電表的完整性、機(jī)密性、可用性和不可否認(rèn)性[7]。因此，分析智能電表信息所受到的安全威脅是解決智能電表信息安全的首要任務(wù)。

本文從兩個(gè)角度來分析智能電表信息所受到的安全威脅：一是用戶端智能電表信息管理受到的安全攻擊;二是用戶端與電力企業(yè)之間的雙向通信網(wǎng)絡(luò)所受到的各種安全威脅和攻擊。

2.1.1 用戶端管理的安全攻擊

用戶端智能電表信息管理受到的物理安全攻擊主要是對(duì)用戶端智能電表的硬件所進(jìn)行的攻擊，用戶端智能電表數(shù)據(jù)的機(jī)密性至關(guān)重要，所以要加強(qiáng)對(duì)用戶端的安全防衛(wèi)。

在客戶端，任何未經(jīng)授權(quán)的第三方獲得智能電表的信息，都有可能會(huì)對(duì)該系統(tǒng)中的另外兩方造成損失。因此，對(duì)用戶端智能電表數(shù)據(jù)信息的分析，將大大減小供電企業(yè)和用戶的損失。

2.1.2 雙向通信網(wǎng)絡(luò)安全攻擊

用戶端與電力企業(yè)之間的雙向通信網(wǎng)絡(luò)常常會(huì)面臨以下4種威脅和攻擊：①截獲(interception)，攻擊者從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容;②中斷(interruption)，攻擊者有意中斷他人在網(wǎng)絡(luò)上的通信;③篡改(modification)，攻擊者故意篡改網(wǎng)絡(luò)上傳送的報(bào)文;④偽造(fabrication)，攻擊者偽造信息在網(wǎng)絡(luò)上傳送。這4種威脅可分為2大類，即被動(dòng)攻擊和主動(dòng)攻擊。截獲信息的攻擊稱為“被動(dòng)攻擊”，而“主動(dòng)攻擊”則包含中斷、篡改和偽造信息的攻擊[8]。

①被動(dòng)攻擊

被動(dòng)攻擊，即智能電表用戶端與電力企業(yè)之間的保密數(shù)據(jù)信息被未被授權(quán)的第三方截獲，雙方的利益都受到了不同程度的損害，嚴(yán)重影響了用戶對(duì)電力企業(yè)的可信度。在被動(dòng)攻擊過程中，攻擊者只是觀察和分析某一協(xié)議數(shù)據(jù)單元(protocol data unit，PDU)而對(duì)信息流不造成干擾。這種被動(dòng)攻擊又稱作“流量分析(traffic analysis，TA)”[8]。

②主動(dòng)攻擊

主動(dòng)攻擊，即攻擊者對(duì)某個(gè)連接中通過的PDU進(jìn)行各種處理，所有主動(dòng)攻擊都是中斷、篡改、偽造的某種組合。攻擊者可以有選擇地更改、刪除、延遲這些PDU，還可以在稍后的時(shí)間將以前錄下的PDU插入這個(gè)連接(即重放攻擊)。攻擊者甚至還可以將合成的或偽造的PDU送入到一個(gè)連接中去。

如拒絕服務(wù)，即攻擊者不停地向目標(biāo)服務(wù)器發(fā)送大量分組，使服務(wù)器無法正常工作，從而破壞系統(tǒng)的可用性。此時(shí)用戶端的智能電表不能發(fā)揮實(shí)時(shí)定價(jià)等功能，供電企業(yè)也無法將數(shù)據(jù)信息傳送給用戶，兩者的利益受到了嚴(yán)重的損害。

又如更改數(shù)據(jù)信息流，包括對(duì)通信網(wǎng)絡(luò)的完整性、真實(shí)性和有序性的攻擊，已達(dá)到破壞通信網(wǎng)絡(luò)的目的。當(dāng)用戶端的智能電表數(shù)據(jù)遭到更改，無論更改結(jié)果如何，雙方的損失都是不可預(yù)計(jì)的。

植入系統(tǒng)的攻擊如病毒、蠕蟲、特洛伊木馬等則都是破壞系統(tǒng)的機(jī)密性、完整性和不可否認(rèn)性，將通信全雙工網(wǎng)絡(luò)弄得天翻地覆，這都是用戶端和供電企業(yè)最不愿意看到的。

此外，還有抵賴攻擊，即通信雙方在事后否認(rèn)自己所做的操作或曾經(jīng)所做的承諾。因此，在任何涉及到支付和支付返還的系統(tǒng)中，都需要考慮不可否認(rèn)性的問題，只有這樣才能有益于雙方。

以上2大類攻擊是智能電表收益保護(hù)分析最需要重視的攻擊。智能電網(wǎng)的發(fā)展趨勢(shì)是勢(shì)在必行的，而智能電表的安全需求與策略分析是應(yīng)該大力扶持和重視的研究。

2.2 信息安全需求分析

目前，智能電表主要具有以下幾個(gè)功能。

①電能計(jì)量

對(duì)多種時(shí)段、多種費(fèi)率模式的電能分別進(jìn)行統(tǒng)計(jì)，對(duì)有功、無功電能使用情況進(jìn)行計(jì)量，測(cè)算電能電壓、電流、頻率、功率因數(shù)等豐富信息，從而更好地幫助用戶分析用電情況，制定合理的用電規(guī)劃。

②電能監(jiān)管

與實(shí)時(shí)費(fèi)率系統(tǒng)配合，將電能使用量控制在設(shè)置的閾值以內(nèi)。與分布式發(fā)電相配合，將其發(fā)出的電能并網(wǎng)供給用戶直接使用或者由相關(guān)機(jī)構(gòu)統(tǒng)一管理。當(dāng)主電網(wǎng)故障時(shí)，與分布式發(fā)電管理系統(tǒng)共同協(xié)作實(shí)現(xiàn)孤島系統(tǒng)的平穩(wěn)過渡。與戶內(nèi)控制系統(tǒng)配合，對(duì)各智能電器進(jìn)行管理，幫助電網(wǎng)的削峰填谷，提高電力供應(yīng)可靠性，從而更合理、高效地使用電能。

③通信系統(tǒng)

采用雙向通信的網(wǎng)絡(luò)模式，在發(fā)送數(shù)據(jù)信息的同時(shí)接收指令信息，如實(shí)時(shí)費(fèi)率標(biāo)準(zhǔn)、電表程序升級(jí)設(shè)置等一些其他遠(yuǎn)程操作[9]。

全球范圍內(nèi)大約有65%的網(wǎng)民用戶合法權(quán)益遭到過威脅和侵害。智能電網(wǎng)將是一個(gè)集電力流、信息流、業(yè)務(wù)流于一體的高度融合的現(xiàn)代電網(wǎng)，而智能電表又是智能電網(wǎng)的關(guān)鍵部分，有信息流自然就有信息的安全問題。

智能電表里儲(chǔ)存著計(jì)量數(shù)據(jù)和用戶數(shù)據(jù)等各類數(shù)據(jù)，在使用智能電表進(jìn)行數(shù)據(jù)分析和存儲(chǔ)時(shí)，可能會(huì)被非法入侵，數(shù)據(jù)和雙向通信的信息安全難以得到保證，此時(shí)，用戶和供電企業(yè)的合法權(quán)益將可能遭到第三方未經(jīng)授權(quán)的侵害，如非法偷電和漏電問題。

智能電器與用戶管理中心，分布式可再生能源設(shè)備與用戶管理中心以及儲(chǔ)能設(shè)備與用戶管理中心，智能電網(wǎng)中的智能電表與電網(wǎng)、量測(cè)管理系統(tǒng)等端子之間的端到端的數(shù)據(jù)流通信等形式都是智能電網(wǎng)重要的通信形式。其中，用戶戶內(nèi)網(wǎng)絡(luò)是一定程度上的可控端子，它的數(shù)據(jù)安全可控性強(qiáng)但也不可忽視;而智能電表與雙向通信網(wǎng)絡(luò)以及量測(cè)數(shù)據(jù)管理系統(tǒng)是不可控端子，在可控端子與不可控端子的數(shù)據(jù)通信安全是系統(tǒng)信息安全的研究重點(diǎn)[10]。

針對(duì)智能電表的安全特性及數(shù)據(jù)特點(diǎn)，需要確保用戶內(nèi)部及用戶和電力企業(yè)之間的信息具有機(jī)密性、完整性、可用性和不可否認(rèn)性。

①機(jī)密性是指信息對(duì)沒有經(jīng)過授權(quán)的個(gè)人、實(shí)體或進(jìn)程的不可用性或不公開性，未經(jīng)驗(yàn)證授權(quán)的用戶可能知道數(shù)據(jù)的存在，但是無法理解數(shù)據(jù)的內(nèi)容。

②完整性是指要傳送的信息在不安全信道中傳輸時(shí)，發(fā)送者和接收者可以根據(jù)需要檢測(cè)傳輸?shù)男畔⑹欠裨獾酱鄹摹?/p>

③可用性是指信息可被合法用戶訪問并按照要求順序使用的特性，需要時(shí)可以使用所需信息。

④不可否認(rèn)性是指可確保服務(wù)請(qǐng)求者承認(rèn)提交的事務(wù)，從而防止服務(wù)請(qǐng)求者宣稱事務(wù)從未發(fā)生。

3 信息安全策略研究

針對(duì)上述幾類攻擊形式，可以使用相應(yīng)的安全措施和策略。安全需求和安全策略的關(guān)系圖如圖1所示，主要從智能電表的信息安全特性的4個(gè)方面來闡明，即完整性、機(jī)密性、可用性、不可否認(rèn)性。圖1中：a1表示安全需求和攻擊類型的關(guān)系，a2表示保護(hù)角度和攻擊類型的關(guān)系，a3表示攻擊類型和攻擊形式的關(guān)系，a4表示攻擊類型和安全策略的關(guān)系。

圖1 安全需求和安全策略的關(guān)系圖Fig.1 Connections between security requirement and security strategies

3.1 完整性的安全策略

對(duì)于用戶端智能電表信息管理受到的物理安全攻擊，可以采用身份認(rèn)證方式中的所有和個(gè)人生物特征的模式。即電力提供單位提供口令管理系統(tǒng)，在需要登錄和操作用戶端的智能電表時(shí)必須由工作人員使用口令和智能卡，以及服務(wù)器端允許，并經(jīng)過用戶的指紋識(shí)別才能成功登錄和操作。經(jīng)過三方參與和允許，才能登錄和操作智能電表，使得用戶端和供電企業(yè)的利益都得到了維護(hù)。

對(duì)于被動(dòng)攻擊可采用各種數(shù)據(jù)加密技術(shù)，如利用數(shù)據(jù)加密算法(data encryption standard，DES)、分組機(jī)密算法進(jìn)行加密，或者是采用公鑰加密算法(Rivest-Shamir-Adleman，RSA)進(jìn)行加密，還可以將兩者混合進(jìn)行加密。對(duì)于主動(dòng)攻擊，需要將加密技術(shù)與適當(dāng)?shù)蔫b別技術(shù)相結(jié)合。對(duì)于植入系統(tǒng)的主動(dòng)攻擊如病毒、蠕蟲、特洛伊木馬等，除采用反病毒/間諜等殺毒軟件外，還可以用防火墻把“不可信的網(wǎng)絡(luò)”擋在外面，或者使用應(yīng)用網(wǎng)關(guān)或代理服務(wù)器來區(qū)分各種應(yīng)用，使用戶端和供電企業(yè)的利益最優(yōu)化。

3.2 機(jī)密性的安全策略

在智能電表數(shù)據(jù)信息的存儲(chǔ)和傳輸過程中，為避免在未經(jīng)授權(quán)時(shí)被第三方竊聽、截聽等各類攻擊而失去機(jī)密性，可以采用加密算法來對(duì)智能電表的數(shù)據(jù)信息進(jìn)行加密。常用的加密算法如三重DES加密算法、RSA算法或兩者的混合算法，可以屏蔽數(shù)據(jù)信息，并對(duì)所有進(jìn)入系統(tǒng)的用戶進(jìn)行身份鑒別;同時(shí)，對(duì)用戶端自己發(fā)送給電力企業(yè)的報(bào)文數(shù)據(jù)信息進(jìn)行數(shù)字簽名，以防范偽造連接初始化攻擊。

3.3 可用性的安全策略

可用性的安全策略是在第三方非法訪問智能電表的數(shù)據(jù)時(shí)進(jìn)行的訪問控制策略，訪問控制也叫作存取控制或接入控制。通過訪問控制用戶終端首先可以通過口令等身份識(shí)別方式來拒絕非法侵入用戶，然后通過三向鑒別驗(yàn)證通信雙方用戶的正確性，對(duì)原明文采用常用算法進(jìn)行加密。對(duì)于特洛伊木馬這類病毒攻擊，可以通過各種性能較好的殺毒軟件和防火墻來進(jìn)行智能電表數(shù)據(jù)的保護(hù)。

3.4 不可否認(rèn)性的安全策略

數(shù)字簽名是不可否認(rèn)性必不可少的安全策略。數(shù)字簽名能與所簽文件實(shí)現(xiàn)“綁定”，接收者能驗(yàn)證簽名，而任何其他人都不能偽造簽名，簽名者事后不能否認(rèn)自己的簽名，并且簽名必須能被第三方證實(shí)以便解決爭(zhēng)端，能夠?qū)灻淖髡?、簽名的日期和時(shí)間、簽名時(shí)刻和消息的內(nèi)容提供驗(yàn)證。使用這種數(shù)字簽名的方式不但可以保證信息的完整性，也可以確保不可否認(rèn)性。這樣，在智能電表客戶端與供電企業(yè)之間已交換的相關(guān)數(shù)據(jù)信息就不可否認(rèn)了。

4 結(jié)束語

隨著世界范圍內(nèi)“智能電網(wǎng)”和高級(jí)量測(cè)體系(advanced metering infrastructure，AMI)的建設(shè)，以及相關(guān)技術(shù)的推進(jìn)，作為其基礎(chǔ)元件和核心設(shè)備的智能電表吸引了大量表計(jì)制造商、IT企業(yè)、能源供應(yīng)商和國(guó)家政府的密切關(guān)注。通過對(duì)智能電表及其相關(guān)智能電網(wǎng)的通信網(wǎng)絡(luò)中存在的安全問題進(jìn)行分析，簡(jiǎn)要提出了與其相對(duì)的安全策略。相信在不久以后的第三次“電力革命”中，智能電表將會(huì)有很好的發(fā)展前景。

[1]The France Cleveland，Xanthus Consulting International.White Paper on Security Standards in IEC TC57[S].2005：8 －11.

[2]陳樹勇，宋書芳，李蘭欣，等.智能電網(wǎng)技術(shù)綜述[J].電網(wǎng)技術(shù)，2009(8)：1 －7.

[3]王思彤，周暉，袁瑞銘，等.智能電表的概念及應(yīng)用[J].電網(wǎng)技術(shù)，2010(4)：18 －23.

[4]何學(xué)民.“智能電網(wǎng)”的最新動(dòng)向和最新思路[J].電器工業(yè)，2009(7)：12 －15.

[5]李寶樹，陳萬昆.智能電表在智能電網(wǎng)中的作用及應(yīng)用前景[J].電氣時(shí)代，2010(9)：28 －29.

[6]郭東亮，張鐵軍，戴憲華.智能電網(wǎng)：電信服務(wù)的新領(lǐng)域[J].中國(guó)新通信，2009(12)：50 －53.

[7]The smart grid interoperability panel-cyber security working group.Smart grid cyber security strategy and reqirements[M].USA：National Institute of Standards and Technology，2010：附錄-A：A4 －A9.

[8]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].5版.北京：電子工業(yè)出版社，2008：284.

[9]牟龍華，朱國(guó)鋒，朱吉然.基于智能電網(wǎng)的智能用戶端設(shè)計(jì)[J].電力系統(tǒng)保護(hù)與控制，2010(21)：53－56.

[10]李國(guó)競(jìng)，段斌.AMI系統(tǒng)中收益保護(hù)分析與安全策略[J].華東電力，2011(5)：2.