泛在物联背景下智慧电力物联网网络安全技术探索

郑轶，王路路，胡志锋，陈琳

（博智安全科技股份有限公司，江苏南京 210012）

1 引言

随着物联网和通信技术的发展，物联网系统在智慧城市、智慧电网、智慧高速、智慧医疗等关键基础设施或重要行业中应用越来越广泛，截至2019年，物联网连接设备数量达到110亿个，城市物联网系统的安全、可靠运行成为保障国家关键基础设施乃至国家安全的重要因素。但是，物联网设备由于嵌入式设计、计算资源有限等原因，造成安全手段缺失，加上其分布分散、数量庞大、难以管理等原因更使其易被劫持，使重要行业设施面临极大的安全风险。据有关报道显示，2019年超过200万个IP安全摄像头、婴儿监视器和智能门铃具有严重的漏洞，攻击者可以利用这些设备中的对等（P2P）通信技术，劫持设备并监视设备用户。因此，发展物联网系统的劫持与反劫持技术研究对有效应对此类威胁具有重要意义。

2 泛在电力物联网系统简介

目前，泛在电力物联网已广泛使用RFID等传感器、无线网络通信、GPS定位、红外感应等物联网核心技术，这些核心技术将行业生产管理五大要素“人员”“机器”“物料”“法规”“环境”信息与网络连接起来进行数据信息交换和通信，通过服务端计算分析和统计对生产管理五大要素进行智能化识别、定位、跟踪、监控和管理，实现电力系统各环节万物互联、人机交互，具备状态全面感知、信息高效处理、应用便捷灵活的特点。

2.1 体系架构

泛在电力物联网是能源互联网建设中电力物联网的进化发展形态，泛在电力物联网通过广泛布置末端感知节点，将物联网数据来源由电网侧扩展至发电侧与用电侧，并将温度、湿度等外部环境数据与市场报价、结算价格等交易数据纳入所采集的数据类型中，通过获取及共享电力生产、传输与利用全环节、多类型数据，实现对整个智慧电力生态圈内外的全面感知。泛在电力物联网包含感知层、网络层、平台层、应用层四层结构。感知层主要解决数据的采集问题；网络层主要解决数据的传输问题；平台层主要解决数据的管理问题；应用层主要解决数据的价值创造问题。

2.2 工作原理

感知层是泛在电力物联网的基础，由状态感知和执行控制主体终端构成，其利用传感技术、芯片化技术，实现对电力系统运行、用户用能、市场交易及外界环境等基础数据的监测、采集与感知。感知延伸层在向泛在电力物联网云平台上传监测数据的同时，作为设备调度运行指令的末端执行单元，亦可接收云平台及智能网关下发的操作指令信息，实现终端设备的自动响应。

图1 泛在电力物联网体系架构

网络层是感知层与平台及应用层之间的数据传输通道，能够将感知到的信息无障碍、高可靠性、高安全性地进行传送，实现更加广泛的互联功能；网络层由本地通信网和远程通信网组成，其中本地通信网通过局域短距离通信技术，实现海量感知节点与边缘计算节点之间的灵活、高效、低功耗的就地通信；远程通信网是依托移动网络、卫星通信、LTE电力无线专网等广域通信技术，支持边缘计算节点与泛在物联网云平台之间的高可靠、低延时、差异化通信。

平台层及应用层，是泛在电力物联网的算力支撑平台、数据融合平台与应用开发平台，其在采用云计算、大数据、人工智能等先进技术对海量感知数据进行融合、分析与管理的基础上，根据业务需要搭建相关业务应用平台，如系统运行控制云平台、综合能源服务云平台、企业经营管理平台等，支撑智能用电管理、分布式能源交易等能源互联网业务的实现。应用层基于平台层实现各类电力行业的不同业务。

2.3 业务特征

泛在电力物联网将“大云物移智”等信通新技术，与新一代电力系统相互渗透和深度融合，其特征主要有五个方面。

（1）终端泛在接入。泛在电力物联网中，充分兼容的感知装置广泛分布于电力系统各个环节，电力生产、传输等过程产生的各类数据可实时灵活接入，同时覆盖地面、无线等多层次的电力泛在通信网满足各类网络资源交互需求，实现连接的泛在化。

（2）平台开放共享。泛在电力物联网在业务层面与技术层面都具有高度的开放特性，数据模型的标准化将打破各类业务壁垒，促进多种业务数据的融合及其在电网公司、用户等主体间的共享、共用，同时标准化的接入端口能够实现分布式电源、储能等各类终端在平台中的即插即用。

（3）计算云雾协同。泛在电力物联网通过部署智能网关和云平台，以边缘智能与中枢智能两级架构实现数据的处理，雾计算（边缘计算）将云端的计算、网络、存储能力向边缘延伸和扩展，在边缘侧开展实时数据处理与关键数据提取，在减少数据传输量、缓解云中心计算压力的同时，大幅提高设备响应度，有效促进电力系统的分布式区域自治与广域运行。

（4）数据驱动业务。泛在电力物联网通过对电力系统各环节信息的广泛收集和精准匹配，在有力支撑现有业务的同时，一方面将拓展产业链，驱动综合能源服务、电动汽车等市场化业务模式创新；另一方面可应用大数据分析技术从客户资源庞大的数据流中提取价值衍生出可盈利的数据服务业务。

（5）应用随需定制。泛在电力物联网将海量的能源运行、能源使用、能源控制参量等数据汇聚于云平台，通过对能源流、数据流与业务流的实时处理，可根据用户特点与需求，实现用能监测、设备监控、调度优化、远程数据采集、远程诊断等各类业务应用的灵活定制。

3 泛在电力物联网脆弱性分析

3.1感知层脆弱性分析

（1）物理破坏。泛在电力物联网中的设备多数部署在无人监控的区域，攻击者可能通过直接物理接触破坏终端节点。

（2）恶意节点攻击。感知层采集的信息要通过网关节点与外界联系，部分传感器网络还有内部普通节点，这些节点极易受到攻击。感知层网络的控制能力有限，攻击者可能部署恶意节点，从而对高层及核心网发动攻击，或利用某个节点向网络内部传播恶意代码。

（3）资源消耗破坏。泛在电力物联网中大多数节点携带电池容量有限，攻击者可以通过连续发送无用的数据包消耗节点的能量，缩短节点的使用寿命，同时浪费大量的网络带宽。

3.2 网络层脆弱性分析

（1）网络融合问题。泛在电力物联网数据信头多元化，其网络架构与安全协议并不统一，网络的信息交换将成为安全性的脆弱点，导致认证等方面存在极大风险，如中间人攻击。

（2）传输安全问题。泛在电力物联网具有开放性，其通讯环境中设备单体的数据发送量不高，复杂的加密方法会带来延时，因此数据加密保护率不高，对于暴露在公共场所中的无线传感网络易受到拦截、监听、窃取、伪造和干扰，如攻击通过假冒感知节点，向感知网络发布虚拟信息。

（3）隐私窃取。一些设备处于无人值守不安全的状态，攻击者可能从中获取用户身份从而对网络发起攻击，网络层信息体量庞大，攻击者窃取信息后，可能利用这些数据非法牟取利益。

3.3 平台层脆弱性分析

（1）系统漏洞。目前，各种主流的操作系统均为系统漏洞，在操作系统升级过程中，还产生不同程度的新漏洞。非法攻击者可能利用这些系统漏洞窃取用户隐私，破坏软硬件设备资源。

（2）病毒威胁。计算机病毒通过网络传播，可对数据层存储的信息数据资源进行破坏，病毒迅速蔓延后，还可对云平台其他服务器产生安全危害，严重时可能造成系统瘫痪。

（3）黑客攻击。黑客入侵属于恶意攻击网络系统的一种行为，黑客通过发现计算机系统和网络中的缺陷和漏洞实施攻击。缺陷包括软、硬件缺陷、网络协议缺陷和管理缺陷等。大数据与云技术的应用，使数据层存储的数据信息变得更加庞大复杂，系统总体安全性能因此降低。黑客对系统的攻击方式变得多样化和隐蔽性，使得安全识别的难度增加。

3.4 应用层脆弱性分析

（1）恶意攻击。泛在电力物联网应用层信息大部分是自动化处理的，按照设定好规则进行过滤和判断，对恶意指令信息的判断有限，攻击者可以通过技术手段避开这些规则。应用层的安全风险很可能导致信息处理失控。

（2）非法干预。应用层的信息处理有一部分是人为干预的，在智能处理过程无法做出正确判断，在处理过程有关键结果时，人为干预使数据处理更加人性化，但当干预实施的管理权限被窃取，或其自身行为怀有恶意时会对系统安全造成威胁。

（3）隐私泄露。不同于网络层攻击者对设备所在网络隐私的窃取，应用层数据要考虑的是如何保护用户隐私信息的同时又能正确认证。

（4）知识产权窃取。泛在电力物联网的应用服务越来越丰富，势必会产生大量需要保护的知识产权，攻击者可能利用应用层的管理漏洞进行知识产权的窃取。

4 智慧电力物联网网络安全威胁研究

智慧电力物联网是一个多网并存的异构融合网络，既有与互联网、物联网相同的网络安全问题，也有其特殊的网络安全问题。智慧电力物联网的体系结构大致分为四个层次：感知层、网络层、平台层和应用层，如图2所示。

感知层是智慧电力物联网信息的来源，保障感知层的信息安全是泛在电力物联网的基础。感知层主要的安全威胁有：利用安全漏洞，获得感知节点的身份信息；通过伪造或仿冒身份与其他节点通信，监听用户信息，发布虚假消息、发起DoS攻击；对传输的信息进行拦截、篡改、伪造、重放，使得用户业务无法正常开展；同时通过扫描实物ID、定位传感器、追踪GPS设备，使接入智慧电力物联网的用户存在隐私泄露的风险。

网络层传输距离远，通信范围广，传输途径经过各种不同的网络，会面临严重的安全威胁：由于网络协议自身的缺陷，有些物联网的协议在设计之初，可能就只适合在物联网内部或是局域网之间使用；拒绝服务攻击，如电网接入的终端数量巨大，防御能力薄弱，在攻击情况下容易造成网络冲突和拥塞；攻击者在攻破电力物联网网络的通信后，窃取用户隐私及敏感信息造成隐私泄露。

平台层安全主要保障信息在计算、存储、传输过程中的安全，必须采用适当的安全策略来保证泛在电力物联网中信息的机密性、完整性、可用性和不可抵赖性，此外还要保障接入安全及API安全。

应用层通过对平台层传输过来的信息进行分析处理，为最终用户提供丰富的服务，如智能电网、电力交易、企业运营、电商平台等。应用层对平台层传输来的信息进行相应的处理后，可能再次通过平台层反馈给网络层和感知层。

基于泛在电力物联网典型应用场景和典型系统、设备，对泛在电力物联网的攻击有两种方式。

（1）智能抄表应用场景。目前，所采用的无线抄表技术有基于GPRS技术、WLAN技术、CFDA技术、IC卡抄表系统以及ZigBee技术等。GPRS远程自动抄表系统是利用GPRS公众网来实现电表数据的传输，作为一个成熟的传输网络，其具有传输率大、频率利用率高、数据传输可靠性好等优点，可以满足远程自动抄表系统的要求。基于WLAN（无线局域网）技术的无线抄表系统是利用成熟的WLAN技术实现无线数据接入的一种解决方案，系统的网络结构及运行配置较为简单。但因其工作电波的穿透能力弱，信号受周围环境影响严重。基于CFDA微蜂窝固定无线技术的无线抄表系统是一种新型的无线数据接入系统。该系统具有较高的频率利用效率和网络扩展性。ZigBee技术是2004年在国际上提出的新型无线通信技术。其目的是为了解决传感器之间的数据传递和相互之间的数据交换问题。但由于ZigBee为短距离通信网络，单一的ZigBee网络很难实现数据的远程传输。IC卡抄表系统，这种抄表系统使用方便，用户先通过IC卡充钱，然后刷卡使用，其有费用管理便利的优点，解决了收费不到位的问题，也方便了用户的使用。但这种系统不能实现数据的实时传输和检测，无法及时的掌握各个用户的动态情况。

攻击者可对系统数据集中器和智能仪表进行DoS攻击。主要攻击模型:1）攻击者截获智能电表传输的数据包，然后向网络大量重放这些数据包。阻塞网络链路，使集中器无法正常传输数据，从而使终端节点孤立；2）攻击者通过向集中器发送入网认证请求包，使集中器一直处在入网处理状态，系统无法正常工作，严重影响系统性能；3）敌手俘获合法节点，假冒合法节点向网络注入大量虚假、伪造的数据包，致使系统瘫痪；4）攻击者假冒集中器向智能电表发送控制指令等，致使节点一直处于工作状态，从而耗尽节点能量。

（2）配电网系统场景。配电网实时数据采集与控制（SCADA）系统通过终端设备和通信系统将配电网的实时状态传送到主站，在主站对配电网络进行远方监视和控制，与调度自动化类似，包括配电开关的状态、保护动作信息、运行数据等。

馈线自动化是指变电站出线到用户用电设备之间的馈电线路自动化，其内容可以归纳为两大方面：一是正常情况下的用户检测、资料测量和运行优化；二是事故状态下的故障检测、故障隔离、转移和恢复供电控制。馈线自动化是配电网自动化的重要组成部分。要实现馈线自动化，需要合理的配电网结构，具备环网供电的条件；各环网开关、负荷开关和街道配电站内开关的操作机构必须具有远方操作功能；环网开关柜内必须具备可靠的开关操作电源和供FTU、通信设备用的工作电源；具备可靠的、不受外界环境影响的通信系统。

配电主站到配电终端的通信通道，主要包括有线及无线等通信方式所采用的通信介质、主站及终端侧的通信设备等。诸多FTU/RTU等终端设备采用GPRS无线信号与主站通信，因此可采取信号劫持、DoS重放及利用设备存在的漏洞进行攻击，如基于对南瑞某款FTU设备漏洞挖掘，发现其存在大量漏洞。利用漏洞可致使设备进入拒绝服务状态，进而失去对现场运行状态和故障情况监测，更严重的是失去对现场刀闸、开关的控制。

图2 泛在电力物联网网络安全威胁

5 泛在电力物联网攻防测试验证平台

泛在电力物联网攻防测试验证平台是针对电力物联网感知层、网络层、平台层及应用层存在的网络脆弱性实现有效检测而搭建的统一仿真测试验证平台。平台结合泛在电力物联网业务特点，形成一套大规模物联网网络仿真与感知、场景化网格行为逼真模拟、低损耗靶场信息采集和多攻击场景整体设计方案。

5.1 攻防测试验证平台体系架构

泛在电力物联网攻防测试验证平台的架构设计分为四个层次，即支撑模拟层、交互模拟层、业务处理层和可视化层。支撑模拟层负责构建泛在电力物联网攻防测试验证过程中所需要的不同类型网元节点，包括路由节点、交换节点、网关节点，并对节点之间的通信链路进行模拟构建。交互模拟层对模拟泛在电力物联网不同层的消息交互和通信方式，提供模拟环境，包括DTU/RTU/FTU、智能电表实物设备接入、实时数据交换、路由代理转发、路由数据动态更新、训练数据引入和转发等处理。业务处理层负责提供攻防测试验证过程中所需要的应用业务功能，包括通道环境的模拟构建、攻防数据的传输处理和模拟网络流量的统计分析等，为攻防测试验证提供业务场景支撑，攻防测试验证平台体系架构如图3所示。

5.2 攻防环境

泛在电力物联网涉及的应用场合总体上可分为控制和采集两大类。其中控制类包含分布式能源调控、用电符合需求侧响应、智能分布式配电自动化；采集类主要包括智能电网大视频应用、高级计量。选取泛在电力物联网配电及用电环节，搭建高逼真仿真环境，这两个环节综合利用了现代电子技术、通信技术、计算机及网络技术等一系列技术，与电力系统其它业务系统之间存在着复杂的交互行为和大量的异步操作，是电力系统、信息系统和通信系统有效融合的混杂系统，易受网络攻击，对于攻防测试验证具有代表性。

（1）配电自动化系统攻防测试环境。配网自动化系统攻防测试验证环境实现了配电网的运行监视和控制，具备配电SCADA、馈线自动化、实时信息发布和数据交互等功能。主要包括配网自动化主站、配网自动化子站、配网自动化终端及远程工作站，典型系统结构如图4所示。

配网自动化主站系统由服务器、工作站、网络设备、安全防护设备等硬件设备及配套软件构成。

图3 泛在电力物联网攻防测试验证平台体系架构

1）配网自动化子站：实现所辖范围内的配电网信息汇集、处理以及故障处理、通信监视等功能，可根据实际需要选配，简称配网子站，子站设备与主站类似；

2）配网自动化终端：主要包括馈线终端（FTU）、配电变压器终端（TTU）、开关站和公用及用户配电所的监控终端（DTU）等。

（2）用电侧智能抄表攻防测试环境。用电测智能抄表环境由带系统软件的主站、带GPRS模块的采集器、电度表组成如图5所示。

主站：运行集中抄表系统的计算机（服务器或PC机）称为主站，主站通过GPRS网络与采集器相连。主站要配置一个固定的IP地址和互联网出口。

带GPRS模块的采集器：收集电表数据传送到数据中心，它连接主站和电度表。

电度表：计量并显示用户的用电情况，将用电信息传输到GPRS采集器。

（3）攻防测试方案。基于攻防环境，平台针对泛在电力物联网典型环境的脆弱性动态构建攻防网络场景，既包括对电力配电、用电等环节的计量终端、FTU/RTU/DTU等硬件环境的部署，也包括对操作系统、系统漏洞、攻击工具、应用程序等软件环境的动态构建，覆盖全面的目标环境威胁攻击种类。

1）配网自动化主站/子站端攻防场景

违反授权：攻击方利用授权身份或者设备，执行非授权的操作；

指令拦截/篡改：拦截或篡改配网自动化网络传输中的控制命令、参数设置等敏感数据。

数据窃听：攻击方在配网自动化信息系统网络或专线通道上搭线窃听明文传输的敏感信息，为后续攻击准备数据。

拒绝服务：攻击方向配网自动化信息系统发送大量雪崩数据，造成拒绝服务。

2）配网自动化终端攻防场景

非法接入：终端未进行接入认证，攻击方伪造终端、非法接入。

拒绝服务：采取信号劫持、DoS重放及利用设备存在的漏洞进行攻击，使终端设备失去对现场刀闸、开关的控制。

3）网络层（无线网络/5G）攻防场景

伪装：攻击方将伪装成网络单元用户数据、信令数据及控制数据，伪造终端欺骗网络获取服务。

资源篡改：即修改、插入、删除用户数据或信令数据以破坏数据的完整性。

流量分析：攻击方主动或者被动的监测流量，并对其内容进行分析，获取其中的重要信息。

拒绝服务：在物理上或者协议上干扰用户数据、信令数据以及控制数据在无线链路上的正确传输，实现拒绝服务的目的。

4）用电测智能抄表攻防场景

重放攻击：攻击方截获智能电表传输的数据包，然后向网络大量重放这些数据包。阻塞网络链路，使集中器无法正常传输数据，从而使终端节点孤立。

非法拦截：攻击方俘获合法节点，假冒合法节点向网络注入大量虚假、伪造的数据包，致使系统瘫痪。

图4 配电自动化系统攻防测试环境示意图

拒绝服务：攻击方假冒集中器向智能电表发送控制指令等，致使节点一直处于工作状态，从而耗尽节点能量。

图5 用电侧智能抄表攻防测试环境示意图

6 结束语

泛在电力物联网的目标是建设高开放性的智慧电力系统，同时，城市智慧电力行业作为城市运行的关键基础设施部分，其系统网络安全性需要开展持续研究。

（1）规划统领、双向发力。泛在电力物联网的建设是多领域、多学科相互协同融合的综合性工程，是电气、控制、通信和计算机等多学科的综合应用，其规划和建设应考虑统一性。这包括数据标准与模型的统一，实现数据的贯通、共享与融合，消除数据的共享壁垒，提高数据利用率；系统技术架构的统一性，使得系统间可互联互通、级联功能组合；平台入口统一性，实现用户资源聚集，发挥资源规模优势。

此外，泛在电力物联网研究和发展需要从顶层设计与实际落地相结合，双向发力。在统一规划下为新业务和新模式提供实验平台，通过主动迭代完善顶层设计，从应用层面探索创新泛在电力物联网。

（2）创新驱动、开放共赢。泛在电力物联网是互联网向物理世界的延伸，泛在互联和开放共享是其本质特征。因此，在网络研究、建设和部署中广泛吸纳和应用业界先进的技术与经验，主动适应互联网时代下的社会形态、经济模式和管理方式，加强电网与外部的合作，促进跨界融合型业务发展，营造多方共赢生态圈，才能建立真正有效的泛在电力物联网。