智慧電網-AMI與HEMS之資訊安全機制設計

工研院資通所 陳宣同

智慧電網逐漸普及,未來獲利潛力無窮,台灣應盡早卡位。

智慧電表和智慧電網不僅是發展中的國際潮流,目前政府也以政策引導積極推動中,其最大的特色就是能源公司與用戶均可即時監控用電資訊。但即時用電資訊的外洩也將會侵犯用戶的隱私,甚至危害到用戶的生命財產,本文將介紹一套相容於台電AMI系統的HEMS資訊安全機制。

1.智慧電網系統興起

隨著全球各地溫室效應日益嚴重,以及能源短缺、價格高漲,傳統發電設備又因為種種原因而陷入瓶頸,世界各國除了努力開發新型態的綠色能源外,也在能源控管方面投入大量的心力,致力於發展更全面、更深入的方式來管理能源。因此結合了電力、資訊與通訊的智慧電網系統就此大行其道,成為近來所有國家及產業重要的政策及目標。然而,智慧電網的推廣並不能單靠政府支持,重點是要讓民眾有參與感,能夠確切的從智慧電網中獲得好處,如此才能夠讓智慧電網的觸角伸入家家戶戶,這也是家庭能源管理系統(Home Energy Management System,HEMS)的主要目標之一。

而在智慧電網中的最重要成員,即是智慧電表基礎設施(Advance Metering Infrastructure,AMI),其主要是由智慧電表(Smart Meter)、通訊網路及控制中心所組成,用來連結發電端、配電端以及用電端,利用通訊網路進行多方間的資料傳遞,達成電網資訊的即時傳達與溝通,藉由數據監控分析結果達到能源最適使用效率,並且可以省去傳統人工抄表的成本,此外,智慧電表中還可儲存各種電力監控資料,如電流值、電壓值,甚至可以從遠端對用戶進行斷復電。同時,將AMI搭配上HEMS之後,如圖1,則可以讓每個家庭監控分析自身的用電狀況,並進行用電效率、成本分析等加值應用。比如說可以參與台電的時間電價方案以獲取較優惠的電費計價方式,未來甚至可加入低壓用戶的需量競價,一方面減低電廠負擔,另一方面也增加額外收入。更進一步來說,電業端也可即時性的大範圍收集區域性用戶的用電總量,來衡量電廠的發電功率以及電網傳輸效率,分析負載變化趨勢,進行即時電力負載預測。整體來看,智慧電網的發展具有無限的可能,全球各國也都在緊鑼密鼓進入大規模建置階段。

而這一切的前提都是基於智慧電表可即時性的監控用戶的用電總量並呈現出來,但是如此方便的用電資訊也引發了一些安全性的議題,比如說,有心人士可透過用電資訊分析用戶的生活作息或個人隱私,甚至竊賊可藉此判斷出用戶是否在家裡,因此在智慧電表中普遍都會具有存取金鑰驗證機制,以避免資訊外洩的風險,HEMS若是要存取智慧電表內的資訊,必須先獲得正確的金鑰,因此,如何安全的傳遞金鑰到HEMS就成為一個關鍵的環節,本文為此設計出一套安全的身分驗證機制來輔助金鑰的佈署。

2.智慧電表攻擊情境

在前章節中,我們粗淺介紹了智慧電表可能遭遇的攻擊,在此,我們將舉出更多可能的攻擊情境。最明顯的攻擊情境是,用電度數被竄改,這邊還可細分為兩種情境,一是用戶段為了避免高額電費,故意將智慧電表的用電度數改低;另一個情境是外部惡意人員將智慧電表的用電度數拉高,致使用戶蒙受不必要的支出。

由於智慧電表均會使用電力公司提供的網路來和電力公司建立連線,這部分算是電力公司內部的營業成本,一般並不會向使用者收取網路費用,所以這個免費網路連線也就可能成為有心人士濫用的對象。

再來就是智慧電表基本上都會提供兩種網路連線,一是俗稱的route A,是透過外部網路來連接電力公司;另一個則是route B,是透過家用內部網路來連接HEMS,所以這也產生了兩種威脅,一是外部攻擊者先透過route A線路入侵智慧電表,再經由智慧電表上的route B線路攻擊HEMS或家用內部網路;另一個威脅則是反過來,有心人士先透過其他途徑入侵用戶家的內部網路,或是用戶本身就是攻擊者,先透過route B線路入侵智慧電表,再經由智慧電表上的route A線路往電力公司傳遞攻擊訊息。

由於智慧電網算是近年才開始蓬勃發展,目前尚未傳出較為顯著的攻擊案例,但在2017年,美國國土安全部以及聯邦調查局的報告指出 [1],自從2017年5月開始,美國發現駭客不斷試圖滲透營運核電以及其他能源設施的公司,也嘗試攻擊美國與其他國家的工廠,雖然報告中並未說明駭客是否成功入侵,也未說明被攻擊的公司數量,但攻擊的次數/頻率有明確的提升。由此可知,智慧電表可說是目前網路攻擊假想受害者中的當紅炸子雞,所有有心人士都正對它虎視眈眈。

3.即時資訊整合之資安機制設計

在本節中,我們將先介紹台電現有之智慧電表所採用的存取金鑰驗證流程,接著會提出我們基於前述驗證流程所設計的電表閘道器驗證流程,最後則是完整的金鑰佈署機制。

3.1.台電智慧電表安全AA驗證流程

在台電智慧電表的設計中,若是有外部裝置以及需要與智慧電表建立安全連線(Application Association),並存取智慧電表內的機敏資訊,則會需要進行存取金鑰驗證,驗證流程是遵從DLMS Green Book [2]所制定的HLS-GMAC,如表1,驗證流程主要是採用詢問握手認證協議(Challenge-Handshake Authentication Protocol,CHAP),用以確保連線雙方均有相同之存取金鑰。

圖1 AMI與HEMS之結合

3.2.電表閘道器驗證流程

當HEMS需要讀取智慧電表內的資料時,將會藉由系統中的電表閘道器(Meter Gateway)來與智慧電表建立安全連線,不過一開始HEMS與Meter Gateway都沒有連線所需的金鑰,相關金鑰是由電力公司的金鑰管理系統(Key Management System,KMS)來管理,必須由用戶向電力公司進行申請。而為了確保申請人是用戶本人,我們設計了一套身分驗證流程,用以確保申請人的確擁有該顆智慧電表,如圖2。此流程主要是利用智慧電表內建的HLS-GMAC來輔助認證申請人的電表閘道器的確是有連接到用戶智慧電表,圖2的右半部3、4、7、9四個步驟其實就是標準的HLS-GMAC流程,不過原先需要由電表閘道器使用金要來做加解密的部分,則轉遞給電力公司的KMS來計算,電表閘道器在此只擔任中間人的角色,負責轉遞二者之間的通訊內容。當KMS在圖2步驟11所進行的驗證通過以後,即可確認擔任中間人的電表閘道器確實是用戶的設備,完成了申請人的身分認證,接著即可將相關金鑰傳送給電表閘道器,以供HEMS利用此金鑰自行存取智慧電表的資訊。

圖2 利用DLMS AA建立流程來驗證Meter Gateway

3.3.金鑰佈署機制

有了電表閘道器驗證流程後,我們接著提出完整的金鑰佈署機制(for HEMS),相關步驟可參閱圖3,此處比較特別的是,我們在電表閘道器(Meter Gateway)與KMS間插入一個角色,能源技術服務公司(Energy Service Company,ESCO),其主要的用意是協助電力公司處理HEMS的相關設備安裝或身分驗證流程,以便讓電力公司能夠專注於相關電網系統,並且避免電力公司的KMS直接面對網際網路上的大量的用戶,增加資安的風險。

圖3 HEMS金鑰佈署機制

4.安全的智慧電網系統-相容於台電AMI系統的HEMS資訊安全機制

隨著智慧電網在台灣逐漸普及,2018年底預計佈署20萬顆電表,未來還將陸續佈建至三百萬顆電表,各界均十分看好相關AMI的加值應用,一旦發現可行之獲利模式,將會產生十分驚人的產值,因此有必要打鐵趁熱,盡早卡位,盡快提出HEMS與AMI的相關技術,以免錯失良機。

同時,網路攻擊者也摩拳擦掌,畢竟如此普及且單一的基礎設施佈建,一旦被攻擊者找到漏洞之後,相關攻擊能量將可立即放大無數倍,所以在系統建置時,必須一開始就納入相關的安全機制,以備不時之需。

本文所規劃的金鑰佈署機制,與台電AMI相關設備如智慧電表或台電的金鑰管理系統,均有實際對接驗證過各項功能,具有100%相容性,一旦ESCO與相關HEMS設備規畫完畢之後,即可直接納入台電AMI系統使用。此外,本系統在開發時亦遵照國際電網標準IEC 62056-53[3],所以除了相容於台灣的電網系統外,未來亦有機會推廣至國外電網系統使用。

參考文獻

[1] US accuses Russia of cyberattacks on power grid [online]. Available: https://edition.cnn.com/2018/03/15/politics/dhs-fbi-russia-power-grid/index.html.
[2] dlms/cosem architecture and protocols green book 7th edition, 2009.
[3] Electricity Metering – Electricity Metering – Data Exchange for Meter Reading, Tariff and Load Control, Part 53: Cosem Application Layer, IEC 62056-53, IEC, 2006.

文章轉載自工業技術研究院電腦與通訊月刊