邢 文

(湘潭大學興湘學院，湖南 湘潭 411105)

0 引言

為解決美國電網(wǎng)供電可靠性的問題，美國最早提出了“智能電網(wǎng)”的思路，并將其稱為“第三次電力革命”?！爸悄茈娋W(wǎng)”的概念一經(jīng)提出就受到全世界電力專家、電力企業(yè)的廣泛關注，加之美國奧巴馬政府自2009年推出發(fā)展智能電網(wǎng)的計劃以來，智能電網(wǎng)迅速成為全球關注的焦點，引領著世界電力工業(yè)的發(fā)展方向[1－2]。

當前，智能電網(wǎng)已經(jīng)成為世界各國電網(wǎng)發(fā)展的新趨勢、新潮流?！爸悄茈姳怼蹦軌蚣皶r反映最新的電力市場信息——電價、供應的電量和需求的電量;能夠在用電高峰提供激勵手段，鼓勵人們減少用電;能夠通過價格變化來調整每條輸電線路的輸電量，鼓勵用戶在輸電不足的線路上增加電器使用量，調動輸電過載線路上的電器縮減用電。

1 智能電表相關研究綜述

目前，已有不少學者對智能電網(wǎng)中的智能電表作了各種性能和實施措施的分析和探討。

①王思彤等人綜合國內外學者對智能電表的定義，提出智能電表是以微處理器應用和網(wǎng)絡通信技術為核心的智能化儀表，以智能電表為基礎構建智能計量系統(tǒng)。它能夠滿足智能電網(wǎng)對負荷管理、分布式電源接入、能源效率、電網(wǎng)調度、電力市場交易和減少排放等方面的要求[3]。

②何學民認為智能電網(wǎng)應該更加能夠實現(xiàn)發(fā)電、輸電、配電、用電和節(jié)電的協(xié)調平衡，最大程度地滿足用戶的電力需求，同時實現(xiàn)電力工業(yè)污染物排放最小;并指出要正確認識發(fā)展智能電網(wǎng)沒有現(xiàn)成的模式可以遵循，必須結合我國的實際情況積極進行創(chuàng)新[4]。

③李寶樹、陳萬昆在對我國智能電表發(fā)展前景的研究中指出，必須通過統(tǒng)一規(guī)范智能電表的外形和相同的功能指標，加快智能電表的模塊化發(fā)展;通過建立“用電信息采集系統(tǒng)”，加強智能電表的系統(tǒng)化功能;通過借助三網(wǎng)融合，將建立滿足未來智能電表高級應用的網(wǎng)絡基礎設施，將用戶和供電企業(yè)緊密相連，成為實現(xiàn)智能電網(wǎng)配電自動化的一個基礎性功能模塊[5]。

④郭東亮等人認為通信技術是智能電網(wǎng)的技術基礎，電信企業(yè)可以利用其現(xiàn)有的移動通信網(wǎng)絡為智能電網(wǎng)提供通信服務[6]。

雖然國內學者對智能電表的研究時間并不長，但取得的成績卻是不容置疑的。如王思彤的《智能電表的概念及應用》指出了智能電表的產(chǎn)生緣由及其概念，闡述了其在智能電網(wǎng)中的定位、功能應用和產(chǎn)生的收益等，并簡要介紹了世界范圍內智能電表的應用狀況，形成了基本的研究框架，在基本概念和研究的主要途徑等方面達成了不少共識。這為本研究提供了很好的借鑒。

目前，國內對智能電表的研究也存在不足，主要是欠缺對智能電表安全需求分析和信息安全策略的研究。因此，有必要在現(xiàn)有的研究成果上提出一種安全性強的智能電表信息保護的安全策略。

本文擬通過對智能電表中存在的安全問題進行分析，提出保護用戶和供電企業(yè)的信息及合法權益不受威脅和侵害的設想，以達到公共事業(yè)的最優(yōu)配置和操作的有效性要求，從而有效地建立應對攻擊和自然災害的彈性操作系統(tǒng)。

2 智能電表信息安全分析

2.1 信息的安全威脅

智能電表易受到多種形式的攻擊和破壞，不同的攻擊模式會產(chǎn)生不同的安全威脅，進而破壞智能電表的完整性、機密性、可用性和不可否認性[7]。因此，分析智能電表信息所受到的安全威脅是解決智能電表信息安全的首要任務。

本文從兩個角度來分析智能電表信息所受到的安全威脅：一是用戶端智能電表信息管理受到的安全攻擊;二是用戶端與電力企業(yè)之間的雙向通信網(wǎng)絡所受到的各種安全威脅和攻擊。

2.1.1 用戶端管理的安全攻擊

用戶端智能電表信息管理受到的物理安全攻擊主要是對用戶端智能電表的硬件所進行的攻擊，用戶端智能電表數(shù)據(jù)的機密性至關重要，所以要加強對用戶端的安全防衛(wèi)。

在客戶端，任何未經(jīng)授權的第三方獲得智能電表的信息，都有可能會對該系統(tǒng)中的另外兩方造成損失。因此，對用戶端智能電表數(shù)據(jù)信息的分析，將大大減小供電企業(yè)和用戶的損失。

2.1.2 雙向通信網(wǎng)絡安全攻擊

用戶端與電力企業(yè)之間的雙向通信網(wǎng)絡常常會面臨以下4種威脅和攻擊：①截獲(interception)，攻擊者從網(wǎng)絡上竊聽他人的通信內容;②中斷(interruption)，攻擊者有意中斷他人在網(wǎng)絡上的通信;③篡改(modification)，攻擊者故意篡改網(wǎng)絡上傳送的報文;④偽造(fabrication)，攻擊者偽造信息在網(wǎng)絡上傳送。這4種威脅可分為2大類，即被動攻擊和主動攻擊。截獲信息的攻擊稱為“被動攻擊”，而“主動攻擊”則包含中斷、篡改和偽造信息的攻擊[8]。

①被動攻擊

被動攻擊，即智能電表用戶端與電力企業(yè)之間的保密數(shù)據(jù)信息被未被授權的第三方截獲，雙方的利益都受到了不同程度的損害，嚴重影響了用戶對電力企業(yè)的可信度。在被動攻擊過程中，攻擊者只是觀察和分析某一協(xié)議數(shù)據(jù)單元(protocol data unit，PDU)而對信息流不造成干擾。這種被動攻擊又稱作“流量分析(traffic analysis，TA)”[8]。

②主動攻擊

主動攻擊，即攻擊者對某個連接中通過的PDU進行各種處理，所有主動攻擊都是中斷、篡改、偽造的某種組合。攻擊者可以有選擇地更改、刪除、延遲這些PDU，還可以在稍后的時間將以前錄下的PDU插入這個連接(即重放攻擊)。攻擊者甚至還可以將合成的或偽造的PDU送入到一個連接中去。

如拒絕服務，即攻擊者不停地向目標服務器發(fā)送大量分組，使服務器無法正常工作，從而破壞系統(tǒng)的可用性。此時用戶端的智能電表不能發(fā)揮實時定價等功能，供電企業(yè)也無法將數(shù)據(jù)信息傳送給用戶，兩者的利益受到了嚴重的損害。

又如更改數(shù)據(jù)信息流，包括對通信網(wǎng)絡的完整性、真實性和有序性的攻擊，已達到破壞通信網(wǎng)絡的目的。當用戶端的智能電表數(shù)據(jù)遭到更改，無論更改結果如何，雙方的損失都是不可預計的。

植入系統(tǒng)的攻擊如病毒、蠕蟲、特洛伊木馬等則都是破壞系統(tǒng)的機密性、完整性和不可否認性，將通信全雙工網(wǎng)絡弄得天翻地覆，這都是用戶端和供電企業(yè)最不愿意看到的。

此外，還有抵賴攻擊，即通信雙方在事后否認自己所做的操作或曾經(jīng)所做的承諾。因此，在任何涉及到支付和支付返還的系統(tǒng)中，都需要考慮不可否認性的問題，只有這樣才能有益于雙方。

以上2大類攻擊是智能電表收益保護分析最需要重視的攻擊。智能電網(wǎng)的發(fā)展趨勢是勢在必行的，而智能電表的安全需求與策略分析是應該大力扶持和重視的研究。

2.2 信息安全需求分析

目前，智能電表主要具有以下幾個功能。

①電能計量

對多種時段、多種費率模式的電能分別進行統(tǒng)計，對有功、無功電能使用情況進行計量，測算電能電壓、電流、頻率、功率因數(shù)等豐富信息，從而更好地幫助用戶分析用電情況，制定合理的用電規(guī)劃。

②電能監(jiān)管

與實時費率系統(tǒng)配合，將電能使用量控制在設置的閾值以內。與分布式發(fā)電相配合，將其發(fā)出的電能并網(wǎng)供給用戶直接使用或者由相關機構統(tǒng)一管理。當主電網(wǎng)故障時，與分布式發(fā)電管理系統(tǒng)共同協(xié)作實現(xiàn)孤島系統(tǒng)的平穩(wěn)過渡。與戶內控制系統(tǒng)配合，對各智能電器進行管理，幫助電網(wǎng)的削峰填谷，提高電力供應可靠性，從而更合理、高效地使用電能。

③通信系統(tǒng)

采用雙向通信的網(wǎng)絡模式，在發(fā)送數(shù)據(jù)信息的同時接收指令信息，如實時費率標準、電表程序升級設置等一些其他遠程操作[9]。

全球范圍內大約有65%的網(wǎng)民用戶合法權益遭到過威脅和侵害。智能電網(wǎng)將是一個集電力流、信息流、業(yè)務流于一體的高度融合的現(xiàn)代電網(wǎng)，而智能電表又是智能電網(wǎng)的關鍵部分，有信息流自然就有信息的安全問題。

智能電表里儲存著計量數(shù)據(jù)和用戶數(shù)據(jù)等各類數(shù)據(jù)，在使用智能電表進行數(shù)據(jù)分析和存儲時，可能會被非法入侵，數(shù)據(jù)和雙向通信的信息安全難以得到保證，此時，用戶和供電企業(yè)的合法權益將可能遭到第三方未經(jīng)授權的侵害，如非法偷電和漏電問題。

智能電器與用戶管理中心，分布式可再生能源設備與用戶管理中心以及儲能設備與用戶管理中心，智能電網(wǎng)中的智能電表與電網(wǎng)、量測管理系統(tǒng)等端子之間的端到端的數(shù)據(jù)流通信等形式都是智能電網(wǎng)重要的通信形式。其中，用戶戶內網(wǎng)絡是一定程度上的可控端子，它的數(shù)據(jù)安全可控性強但也不可忽視;而智能電表與雙向通信網(wǎng)絡以及量測數(shù)據(jù)管理系統(tǒng)是不可控端子，在可控端子與不可控端子的數(shù)據(jù)通信安全是系統(tǒng)信息安全的研究重點[10]。

針對智能電表的安全特性及數(shù)據(jù)特點，需要確保用戶內部及用戶和電力企業(yè)之間的信息具有機密性、完整性、可用性和不可否認性。

①機密性是指信息對沒有經(jīng)過授權的個人、實體或進程的不可用性或不公開性，未經(jīng)驗證授權的用戶可能知道數(shù)據(jù)的存在，但是無法理解數(shù)據(jù)的內容。

②完整性是指要傳送的信息在不安全信道中傳輸時，發(fā)送者和接收者可以根據(jù)需要檢測傳輸?shù)男畔⑹欠裨獾酱鄹摹?/p>

③可用性是指信息可被合法用戶訪問并按照要求順序使用的特性，需要時可以使用所需信息。

④不可否認性是指可確保服務請求者承認提交的事務，從而防止服務請求者宣稱事務從未發(fā)生。

3 信息安全策略研究

針對上述幾類攻擊形式，可以使用相應的安全措施和策略。安全需求和安全策略的關系圖如圖1所示，主要從智能電表的信息安全特性的4個方面來闡明，即完整性、機密性、可用性、不可否認性。圖1中：a1表示安全需求和攻擊類型的關系，a2表示保護角度和攻擊類型的關系，a3表示攻擊類型和攻擊形式的關系，a4表示攻擊類型和安全策略的關系。

圖1 安全需求和安全策略的關系圖Fig.1 Connections between security requirement and security strategies

3.1 完整性的安全策略

對于用戶端智能電表信息管理受到的物理安全攻擊，可以采用身份認證方式中的所有和個人生物特征的模式。即電力提供單位提供口令管理系統(tǒng)，在需要登錄和操作用戶端的智能電表時必須由工作人員使用口令和智能卡，以及服務器端允許，并經(jīng)過用戶的指紋識別才能成功登錄和操作。經(jīng)過三方參與和允許，才能登錄和操作智能電表，使得用戶端和供電企業(yè)的利益都得到了維護。

對于被動攻擊可采用各種數(shù)據(jù)加密技術，如利用數(shù)據(jù)加密算法(data encryption standard，DES)、分組機密算法進行加密，或者是采用公鑰加密算法(Rivest-Shamir-Adleman，RSA)進行加密，還可以將兩者混合進行加密。對于主動攻擊，需要將加密技術與適當?shù)蔫b別技術相結合。對于植入系統(tǒng)的主動攻擊如病毒、蠕蟲、特洛伊木馬等，除采用反病毒/間諜等殺毒軟件外，還可以用防火墻把“不可信的網(wǎng)絡”擋在外面，或者使用應用網(wǎng)關或代理服務器來區(qū)分各種應用，使用戶端和供電企業(yè)的利益最優(yōu)化。

3.2 機密性的安全策略

在智能電表數(shù)據(jù)信息的存儲和傳輸過程中，為避免在未經(jīng)授權時被第三方竊聽、截聽等各類攻擊而失去機密性，可以采用加密算法來對智能電表的數(shù)據(jù)信息進行加密。常用的加密算法如三重DES加密算法、RSA算法或兩者的混合算法，可以屏蔽數(shù)據(jù)信息，并對所有進入系統(tǒng)的用戶進行身份鑒別;同時，對用戶端自己發(fā)送給電力企業(yè)的報文數(shù)據(jù)信息進行數(shù)字簽名，以防范偽造連接初始化攻擊。

3.3 可用性的安全策略

可用性的安全策略是在第三方非法訪問智能電表的數(shù)據(jù)時進行的訪問控制策略，訪問控制也叫作存取控制或接入控制。通過訪問控制用戶終端首先可以通過口令等身份識別方式來拒絕非法侵入用戶，然后通過三向鑒別驗證通信雙方用戶的正確性，對原明文采用常用算法進行加密。對于特洛伊木馬這類病毒攻擊，可以通過各種性能較好的殺毒軟件和防火墻來進行智能電表數(shù)據(jù)的保護。

3.4 不可否認性的安全策略

數(shù)字簽名是不可否認性必不可少的安全策略。數(shù)字簽名能與所簽文件實現(xiàn)“綁定”，接收者能驗證簽名，而任何其他人都不能偽造簽名，簽名者事后不能否認自己的簽名，并且簽名必須能被第三方證實以便解決爭端，能夠對簽名的作者、簽名的日期和時間、簽名時刻和消息的內容提供驗證。使用這種數(shù)字簽名的方式不但可以保證信息的完整性，也可以確保不可否認性。這樣，在智能電表客戶端與供電企業(yè)之間已交換的相關數(shù)據(jù)信息就不可否認了。

4 結束語

隨著世界范圍內“智能電網(wǎng)”和高級量測體系(advanced metering infrastructure，AMI)的建設，以及相關技術的推進，作為其基礎元件和核心設備的智能電表吸引了大量表計制造商、IT企業(yè)、能源供應商和國家政府的密切關注。通過對智能電表及其相關智能電網(wǎng)的通信網(wǎng)絡中存在的安全問題進行分析，簡要提出了與其相對的安全策略。相信在不久以后的第三次“電力革命”中，智能電表將會有很好的發(fā)展前景。

[1]The France Cleveland，Xanthus Consulting International.White Paper on Security Standards in IEC TC57[S].2005：8 －11.

[2]陳樹勇，宋書芳，李蘭欣，等.智能電網(wǎng)技術綜述[J].電網(wǎng)技術，2009(8)：1 －7.

[3]王思彤，周暉，袁瑞銘，等.智能電表的概念及應用[J].電網(wǎng)技術，2010(4)：18 －23.

[4]何學民.“智能電網(wǎng)”的最新動向和最新思路[J].電器工業(yè)，2009(7)：12 －15.

[5]李寶樹，陳萬昆.智能電表在智能電網(wǎng)中的作用及應用前景[J].電氣時代，2010(9)：28 －29.

[6]郭東亮，張鐵軍，戴憲華.智能電網(wǎng)：電信服務的新領域[J].中國新通信，2009(12)：50 －53.

[7]The smart grid interoperability panel-cyber security working group.Smart grid cyber security strategy and reqirements[M].USA：National Institute of Standards and Technology，2010：附錄-A：A4 －A9.

[8]謝希仁.計算機網(wǎng)絡[M].5版.北京：電子工業(yè)出版社，2008：284.

[9]牟龍華，朱國鋒，朱吉然.基于智能電網(wǎng)的智能用戶端設計[J].電力系統(tǒng)保護與控制，2010(21)：53－56.

[10]李國競，段斌.AMI系統(tǒng)中收益保護分析與安全策略[J].華東電力，2011(5)：2.