來源：中國電力

編者按

電力智能傳感器用于采集電力生產各環節的電氣量、物理量、環境量、狀態量和行為量等信息，搭建了物理電力系統到信息物理融合系統間的橋梁，是實現電力數字化和能源轉型的關鍵技術之一。隨著新型電力系統建設的持續推進，電力智能傳感器及傳感網已成為能源互聯網的重要基礎設施，廣泛分布在電源側、電網側和用戶側。國家電網有限公司2019年至今啟動了輸變電設備物聯網、配電物聯網和數字站物聯網的規模建設，感知層設備均以無線傳感器為主。輸變電設備物聯網感知層通過符合國家電網有限公司企業標準的微功率無線傳感器和低功耗無線傳感器采集物理量、環境量和狀態量等信息；數字站物聯網在輸變電設備物聯網基礎上，新增視頻監控、移動巡檢等寬帶無線傳感器實現行為量信息采集；配電物聯網除通過窄帶無線傳感器采集環境量、狀態量信息外，還考慮了基于高速載波和高速無線雙模通信模塊采集電氣量信息。

《中國電力》2023年第11期刊發了安春燕等人撰寫的《電力智能傳感器及傳感網安全防護技術》一文。文章首先分析電力智能傳感器及傳感網安全需求、建立安全技術體系，接著歸納總結物理環境、通信網絡和計算環境安全關鍵技術，最后提出技術發展建議，為構建安全、可靠的能源電力數據基座提供支撐。

摘要

電力智能傳感器及傳感網安全研究處于起步階段，資源受限及應用現場缺乏低壓供電導致對安全開銷極其敏感，用戶側廣泛部署更易遭受側信道等物理攻擊，利用感知機理或數據處理算法發起的新型攻擊日漸增多。針對上述問題，結合現場特點、業務特征、設備能力及行業現狀，分析電力智能傳感器及傳感網安全需求，構建安全技術體系，歸納總結電力智能傳感器具備特殊需求的感知安全、存儲安全、輕量級加密、身份認證、代碼安全和固件安全等技術研究現狀，提出發展建議，為構建安全、可靠的能源電力數據基座提供支撐。

01安全需求

電力智能傳感器及傳感網結合設備分布及業務特征，安全需求歸納如下。

1）物理獲取難度低，亟須傳感器及傳感網自身具備安全防范能力。電力智能傳感器通常隨電力線/設備部署，遍布發/輸/配/變/用電區域。尤其是位于低壓配用電側的傳感器及傳感網，攻擊者極易物理靠近或獲取。這將導致傳統通過隔離、邊界防護或管理手段實現安全防護的收效甚微。

2）資源受限較嚴重，亟需輕量級安全防護技術。電力智能傳感器現場部署環境復雜，多采用電池或自取能供電，對功耗要求極其嚴格。環境量和狀態量傳感器處理器主頻通常小于100 MHz、隨機存取存儲器（RAM）資源多為64 KB或128 KB、通信速率通常小于100 kbps，大部分現有安全防護技術無法直接應用。

3）誤警核驗成本高，亟須防止虛假數據注入。電力智能傳感器通常用于提前發現故障并預警，變被動檢修為主動運維。預警通常需要人工現場核驗和巡檢，誤警會極大增加電網運維成本。與此同時，惡意注入的“對抗樣本”會導致電力智能化系統做出錯誤的決策。須要保障入網電力智能傳感器固件和軟件代碼安全，無惡意代碼、漏洞及病毒潛伏，且對入網傳感器進行身份認證并支持數據溯源。

4）單點數據價值低，但須防止數據規模泄露。電力智能傳感器通常用于監測電網運行狀態、電力設備運行狀態、運行環境，獲取單個傳感器數據可產生的價值較低。然而，若獲取某個區域內隨線/設備全部傳感器的數據，則可能基于大數據技術推算出電網運行的薄弱環節或挖掘出新的價值體系，進而帶來不可控的安全風險。

5）短數據包占比高，對安全開銷更敏感。環境量和狀態量傳感器業務數據長度多為4~6字節，若采用密鑰長度為128位的高級加密標準（advanced encryption standard，AES），電子密碼本模式下輸出為16字節，加密開銷為160%~300%。

02安全體系

電力智能傳感器作為物聯網信息通信終端時應參考文獻[6-12]等國家及電力公司安全防護規定。然而，電力智能傳感器同時也是感知終端，目前缺乏對其感知部分的安全防護要求。此外，電力智能傳感器具備一定的計算能力，但不具備邊緣計算能力，若參照文獻[9]中不具備邊緣計算能力物聯網終端防護要求，仍面臨安全風險。

本文基于電力智能傳感器及傳感網安全需求，重點考慮其作為感知終端及資源受限導致的安全問題，構建了安全技術體系，如圖2所示。紅色背景框表示電力智能傳感器及傳感網區別于傳統網絡的特殊需求，是本文重點關注內容。

2.1 安全技術

安全技術包含提升電力智能傳感器及傳感網安全性的技術手段。本文參考文獻[6]對不同級別系統安全要求的分類方法，沿用通用要求，但重點研究電力智能傳感器因特殊部署環境、資源受限特性及感知設備所需的安全技術。

2.1.1 物理環境安全

與傳統部署于機房的通信網絡設備不同，電力智能傳感器部署位置受限于待監測的一次設備或環境，無法應用文獻[6]中的物理訪問控制、溫濕度控制、防火、電力供應等安全措施保障物理環境安全，但應實現防盜竊和防破壞、防雷擊、防火和防潮等環境安全；關閉多余接口和調試接口等，實現接口安全。其次，電力智能傳感器兼具感知和通信功能，其作為感知設備的物理安全性（感知安全）也亟須關注。文獻[13-16]表明：外部激光、電磁、超聲等信號，均可能影響感知數據，進而對智能傳感器及傳感網所承載業務系統的安全性帶來威脅。最后，電力智能傳感器物理易獲取，其內暫存的采集數據、密鑰等關鍵信息的存儲安全也亟須關注。

2.1.2 通信網絡安全

傳統電力信息通信設備通常配置硬件安全芯片，支持身份認證、數據加密和校驗等功能，實現網絡傳輸數據的機密性、完整性和真實性。然而，電力智能傳感器對功耗要求極其嚴格，通常僅包含1顆低功耗通信芯片，或者1顆低功耗主控芯片和1顆低功耗射頻芯片，集成硬件安全芯片易導致功耗加倍、壽命減半。尤其是環境量和狀態量傳感器主頻較低且存儲空間較小，對軟件實現安全技術的開銷極其敏感，能運行在傳感器上的輕量級安全技術亟須關注。

此外，部分電力智能傳感器承載采集、控制等業務，采集時間與采集數據同等重要。文獻[3]總結了針對電力物聯網終端的時間攻擊及檢測方法。時間同步安全也是電力智能傳感器及傳感網區別于傳統網絡的通信安全之一。

2.1.3 區域邊界安全

電力智能傳感器及傳感網涉及的區域邊界包括3項：1）電力智能傳感器及傳感網與骨干網絡之間的邊界，即縱向邊界；2）接入不同安全大區電力智能傳感器之間的邊界；3）不直接接入安全大區的傳感器與直接接入安全大區傳感器之間的邊界。

參照文獻[9]，縱向邊界處根據實際需求單獨配置安全接入網關或網絡隔離裝置，實現傳統的邊界防護、訪問控制、入侵防范和安全審計功能?？紤]成本和部署要求，不鼓勵接入不同安全大區電力智能傳感器在感知層互通。不直接接入安全大區的傳感器與直接接入安全大區傳感器間互通時，應參照接入安全大區傳感器的安全需求，進行身份認證和數據加密，即2.1.2節所述的輕量級安全技術。

2.1.4 計算環境安全

電力智能傳感器及傳感網設備作為傳統信息設備，需要對訪問其數據的用戶或設備進行身份鑒別，實現數據完整性、備份恢復等數據保護。與此同時，受傳感器產業鏈、成本及開發周期限制，相較傳統信息設備，電力智能傳感器代碼安全和固件安全問題更突出。

2.2 評測技術

評測技術通過測試手段發現電力智能傳感器隱藏的安全問題，進而保證入網傳感器的安全。評測技術包括入網評測和運行評測2種。鑒于電力智能傳感器數量大且分布廣泛，運行評測實施相對困難，建議做好入網評測。

入網安全評測用于驗證電力智能傳感器是否具備相關規定要求的安全功能以及設備本身是否存在漏洞、后門等安全缺陷。國內外針對傳統互聯網設備漏洞和后門檢測開展了大量研究，安全評測方法相對成熟。然而，無論是靜態分析方法還是動態分析方法，大多通過快速查找并匹配漏洞數據庫來實現漏洞檢測。電力智能傳感器大多基于高級精簡指令集（ARM）架構及嵌入式開發系統，且部分設備不支持TCP/IP協議，其漏洞庫與傳統互聯網通信設備有較大不同。電力智能傳感器入網安全評測處于研發的初始階段，尚無專用漏洞數據庫，沒有豐富的測試樣本用于分析，應重點關注測試樣本積累和漏洞數據庫構建。

03物理環境安全

3.1 感知安全

感知安全是保障電力智能傳感器測量中的“聲-電”“光-電”“磁-電”和“熱-電”轉換過程不受外界惡意激光、磁場和超聲等信號影響的技術和手段。

目前針對感知安全的研究側重于重現攻擊過程。文獻[13]通過對超聲傳感器進行欺騙攻擊和擁塞攻擊，致使特斯拉Model S自動駕駛在正常行駛過程中剎車或者在有障礙物時仍正常行駛。文獻[14]設計了一種針對語音助手的聲音傳感器攻擊工具，利用麥克風電路的非線性特性，將經過調制的低頻語音命令通過超聲波注入語音助手中，實現無聲控制。文獻[15]通過調幅激光信號實現了2款商用基于壓阻效應的MEMS壓力傳感器輸出數據的篡改，且0.5 mW的激光功率將帶來±100 kPa的輸出誤差。鑒于智能設備所有操作均會影響中央處理器（CPU）的功耗，并伴隨一定程度的電磁輻射，文獻[16]利用CPU電磁輻射實現智能設備行為分析，如啟動的應用或執行的操作等。

3.2 存儲安全

傳感器數據采集頻率通常大于數據上傳頻率，部分采集數據須在傳感器端暫存。隨著電力智能傳感器數據加密需求的不斷提升，端側密鑰存儲安全性也亟須關注。側信道攻擊利用芯片正常工作時伴隨的功耗、電磁、熱、聲等非預期信號泄露，竊取關鍵隱私信息，是當前硬件安全的重要威脅來源之一。文獻[17]詳細分析了不同側信道攻擊方法，梳理了典型抗泄漏密碼方案。

在檢測技術方面，文獻[18]對20余種x86架構緩存側信道攻擊檢測技術進行了詳細的對比分析，并將其總結為3類：基于異常的檢測、基于特征的檢測、基于異常+特征的檢測。電力智能傳感器通常采用ARM處理器，文獻[19]針對34種ARM設備進行了緩存側信道攻擊測試，發現了88種脆弱性。

在技術提升方面，文獻[20]研發了一種能夠抵抗密鑰存儲物理攻擊的64 KB阻變式存儲器（RRAM），不僅能夠對抗芯片逆向處理和顯微鏡觀察等侵入式物理攻擊，還通過提供對稱電源和時間讀信號對抗側信道攻擊，通過引入帶有反饋的簡化寫保護策略對抗惡意寫入，通過片上集成邏輯平臺對抗針對芯片引腳邊界處的數據攔截攻擊。文獻[21]提出了一種適用于非易失性存儲器（NVM）的功耗側信道攻擊消除技術，利用片內電容器和電壓管理器實現NVM讀/寫操作的供電，消除了傳統存儲陣列和外部電源在讀/寫操作中通過功耗泄露數據漢明權重的問題。文獻[22]基于55 nm的CMOS eFlash實現了物理不可克隆函數（PUF）和真隨機數的輕量化集成設計，可以作為安全原語用于保證存儲安全。

04通信網絡安全

4.1 感知層通信安全相關標準

中國對物聯網終端及感知層網絡均提出了安全要求，如文獻[7-8]。國家電網有限公司感知層通信安全相關標準包括文獻[9-10]。上述標準的關鍵和核心是接入鑒別和數據傳輸安全，其支撐技術是身份認證和數據加密。

國際電工委員會（IEC）第57技術委員會針對應用于變電站場景的IEC系列電力通信協議制定了數據和通信安全系列標準IEC 62351，重點考慮設備計算能力，提出傳輸層和應用層安全機制，安全核心技術為身份認證和數據加密。

4.2 輕量級加密

美國國家標準與技術研究院（NIST）、美國國家安全局（NSA）、國際標準化組織（ISO）以及IEC均積極推動適用于資源受限物聯網設備的輕量級加密認證技術。NIST于2018年開始征集輕量級加密認證算法，經過3輪激烈角逐，于2023年2月宣布ASCON系列算法獲勝且將進行標準化。NSA于2013年推出的Simon與Speck加密算法均是專為短數據設計的分組加密算法，密鑰長度可低于64 bit，兩者區別在于Simon著重進行了硬件實現優化，而Speck著重進行了軟件實現優化。文獻[23]對比了39種輕量級加密算法，結果表明：Speck和Simon在軟件效率、存儲效率和時延3方面的性能均居第1名和第2名。ISO/IEC 29192標準組發布了輕量級密碼系列標準，其中文獻[24]規定了3種輕量級塊加密算法：PRESENT、CLEFIA和LEA。

4.3 輕量級身份認證技術

文獻[25]指出，物聯網認證協議應能抵抗重放攻擊、中間人攻擊、仿冒攻擊、丟失/竊取攻擊、在線/離線口令猜測攻擊、內部特權攻擊、物理獲取等安全攻擊。身份認證的安全性很大程度上依賴于認證因子以及認證交互流程的安全性。

身份認證因子應具有唯一性、不可復制性、隨機性（不可預測性）和穩定性。適用于電力智能傳感器的身份認證因子及其安全性如表1所示。設備ID和數字證書以數字形式存儲在認證兩端，其穩定性極佳。以48位MAC地址為例，受限于實際應用中的地址分配規則，其唯一性和隨機性會大打折扣。此外，為了提高應用靈活性，大多設備支持MAC地址更改，其不可復制性極差。數字證書通常由認證機構基于設備自身的一些參數生成，且單個認證中心的容量通常受限，其唯一性、不可復制性、隨機性均一般。硬件指紋是近年來最受關注的身份認證因子，包括但不限于PUF、射頻指紋等，其物理特性決定了具有非常好的唯一性、不可復制性和隨機性。文獻[26]針對STM32F系列芯片，基于靜態隨機存取存儲器（SRAM）上電初始值提取設備指紋，測試表明，片內漢明距離約為6%+0.5%，片間漢明距離為46%+3%，設備指紋的唯一性和隨機性均很好。但受限于提取條件及外界因素，其穩定性通常會受到一定程度的影響。文獻[27]提出了2種基于Wyner–Ziv的線性編碼重構技術，仿真驗證其能夠更好地保護PUF密鑰協商過程中的隱私數據、提高存儲速率。

認證交互流程的安全性主要指在認證交互過程中是否會泄露身份認證因子、用于重構密鑰的敏感信息等。公鑰基礎設施（PKI）是實現認證交互安全性的主要技術之一，廣泛應用于各類身份認證和數字簽名系統中。PKI依賴于公鑰密碼算法和由第三方權威機構發放的數字證書。在該認證過程中，認證信息通過公鑰加密后進行傳輸，減少了認證過程中敏感信息泄露的安全風險。然而，該認證方法應用于電力智能傳感器，則可能存在2方面問題：1）存儲安全風險大，電力智能傳感器因計算和存儲資源限制，難以采用防護等級高的硬件安全措施，且廣泛分布在居民區、低壓線路等易物理獲取的區域，其內存儲數據宜被竊取；2）證書管理難度高，隨著電網智能化程度的不斷提高，電力智能傳感器數量將呈現指數級增長，這對權威機構設置、證書管理、證書下載和驗證均提出了很大的挑戰。

基于白名單的身份認證技術實現簡單且幾乎不給終端設備帶來通信、計算和存儲開銷。然而，白名單中存儲的終端設備ID通常是終端設備的MAC地址。隨著技術的發展，終端設備MAC地址極易重新配置，且幾乎所有網絡將MAC地址以明文方式嵌入數據包在網絡中進行傳輸。惡意攻擊者極易通過監聽等方式獲取合法終端設備的MAC地址并進行仿冒攻擊。與此同時，基于白名單的身份認證技術通常為單向認證，惡意攻擊者通過偽裝成網關等設備獲取合法終端設備的相關信息。

近年來，學術界對基于PUF技術的認證方案及其安全性開展了大量研究。文獻[28]提出了一種基于PUF的雙向認證方法。文獻[29]提出了一種基于PUF的多跳個域網輕量級身份認證方法。為了進一步提高認證協議的安全性，文獻[30]將PUF與基于瞬時ID和密鑰的認證方法相結合，提出一種雙因子的身份認證方法。隨著Maxim等半導體公司、清華大學PUF芯片的推出，基于PUF技術的身份認證方法具備了大規模應用的可能。

05計算環境安全技術

5.1 代碼安全

已有調查顯示，96.8%的開發人員使用開源軟件、99%的組織在其系統中應用了開源軟件。然而開源軟件的廣泛應用在提高開發效率的同時也引入一些安全風險。

1）安全漏洞。文獻[33]于2022年4月對539個開源軟件項目的調查結果顯示：平級每個.Net、Go、Java、JavaScript和Python項目漏洞個數分別是23、34、92、47和46。奇安信代碼安全實驗室于2019年針對聯網設備固件中引用的開源軟件的檢測和漏洞分析結果顯示：86.4%的固件存在至少1個以上的開源漏洞，88%的項目漏洞是因為使用開源軟件引起的。

2）API誤用。文獻[35]對GitHub從2011到2018年間發布的528546個歷史缺陷修復文件進行了分析，提取了超過100萬個缺陷修復編輯操作，其中51.7%為API誤用。文獻[36]針對6個不同領域的主流開源C程序中的830個API誤用問題進行了分析。文獻[37]發現83%的密碼學漏洞是因為誤用加密庫引起的。文獻[38]指出，在Java和Android社區線上討論密碼學編程中分別有90%和71%是關于密碼學誤用的。

現有技術主要通過檢測方式發現代碼漏洞和API誤用，檢測依據是已知漏洞和API誤用庫?，F有檢測工具較多，規模較大的安全公司幾乎均推出了商用檢測工具，開源工具包括開放Web應用程序安全項目（open web application security project，OWASP）依賴性檢查、Eclipse Steady和GitHub安全告警等。文獻[39]測試了修改開源軟件依賴關系對上述3種開源工具以及3種商用漏洞檢測工具性能的影響，結果表明6種檢測工具均無法應對上述修改。文獻[40]對JADET、GROUMINER、TIKANGA和DMMC等靜態API誤用檢測器性能進行了系統測試和評價，測試結果表明，現有檢測工具的準確度和召回率均有待提升，且需要更豐富的測試例來訓練檢測模型。為此，文獻[41]基于雙向長短時記憶（Bi-directional long short-term memory，Bi-LSTM）神經網絡，同時考慮正向和反向上下文，提高密碼學誤用檢測性能。文獻[42]在對384種API誤用檢測誤警情況分析基礎上，提出了一系列人工輔助實例，與當前最先進的基于實例的API誤用檢測工具相結合，針對50個開源Java項目進行了測試，成功阻止了55個API誤用檢測誤警。在檢測自動化方面，文獻[43]通過靜態分析構造API使用規約訓練樣本，基于深度學習中的循環神經網絡進行訓練和學習，通過對比語句預測結果與實際代碼來實現API誤用問題的自動發現。

5.2 固件安全

文獻[44]通過網絡爬蟲搜集了9716個固件映像和347685個安全報告，其中6898個安全報告含有12321個嵌入式設備固件漏洞，且超過10%的固件漏洞沒有發布升級補丁。國家互聯網應急中心2021年2季度共收錄聯網智能設備漏洞2365個，其中通用型漏洞1421個（智能監控平臺占比13.57%）、事件型漏洞944個（智能監控平臺占比32.52%）；3季度共收錄聯網智能設備漏洞2792個，其中通用型漏洞1413個（智能監控平臺占比13.94%）、事件型漏洞1379個（智能監控平臺占比51.99%）。固件控制設備驅動程序及其與外界的交互，已被公認為是物聯網中一個龐大且不斷擴大的攻擊面。

與代碼安全相似，現有技術主要通過檢測發現漏洞。根據文獻[47]，固件檢測技術主要分為四大類：基于仿真器的測試、自動代碼分析、基于模糊的網絡測試和人工逆向分析。基于仿真器的測試能夠避開破壞性測試對昂貴設備帶來的不可逆損傷，但其需要獲取設備固件，模擬出固件與外部硬件的交互，測試環境建設工作量大、很多環節需要人工干預，且可擴展性較差。自動代碼分析源自軟件工程安全，自動挖掘代碼屬性，并通過模式匹配技術實現漏洞檢測，可用于大規模測試，但其需要獲取設備固件，且其檢測準確度有待提升?；谀：木W絡測試不需要獲取設備固件及相關信息，僅需要產生符合待測試設備通信標準的數據包即可，然而現有電力智能傳感器通常不支持IP協議，通信層面采用國家電網有限公司相關標準協議或者私有協議，需要開發支持上述協議的模糊測試器。人工逆向分析對測試工程師和人工投入要求高，通常僅用于分析特殊的設備或者特定場景。

在實際應用中，為了提高檢測準確度通常同時采用多種檢測方法。如文獻[50]通過多種開源工具對固件二進制文件代碼進行提取和分析，通過基于模糊的網絡測試完成在線分析，用于盡可能地發現未知漏洞；最后輔以人工檢查來消除由設備自身引起的端口沖突，用于減少固件漏洞誤警率。針對可用于大規模檢測的自動代碼分析技術，學者們就檢測準確性、檢測效率以及比對依據等方面開展了深入研究。文獻[54]提出了一種基于代碼相似性的分步固件漏洞檢測方法：1）通過基于神經網絡的嵌入式函數來分析不同函數之間的相似性，用來提高大規模檢測時的效率；2）通過細粒度固件安全分析來獲得函數本地調用流圖的相似性，用來提高固件漏洞檢測的準確度。文獻[55]通過分析和提取代表性固件函數特征，構建了基于SimHash的固件函數數據庫，用于實現大量固件函數的相似性檢測，并快速定位出本地可疑脆弱函數。文獻[56]摒棄了傳統代碼特征，關注于固件代碼基因的信息性（重要性、穩定性、抗變異性和遺傳性），通過計算代碼之間的基因距離來實現相似性檢測和同源檢測的定量分析。

06結論與建議

本文基于當前研究現狀，分析了電力智能傳感器及傳感網安全需求，構建了安全技術體系，總結了安全問題及技術現狀，歸納電力智能傳感器及傳感網安全趨勢和發展建議如下。

1）作為感知設備，電力智能傳感器感知安全亟須關注，須綜合考慮傳感器工作原理、結構特征、工作環境、硬件選型和軟件算法等多種因素，提出綜合性解決方案。

2）易于物理接近，存儲安全亟須關注。建議引導廠商選擇相對安全的存儲芯片或者技術，一是采用PUF等新型技術提取密鑰，抵抗侵入式攻擊和側信道攻擊；二是引入存儲數據加密和完整性校驗，及時發現通過電磁攻擊等物理手段實施的數據篡改。

3）資源受限嚴重，亟需標準化的輕量級安全連接技術。電力智能傳感器以小數據量業務為主且通常采用電池或微源取能供電，對開銷和功耗要求極其嚴格。同時，國內尚無適用于電力智能傳感器的輕量級安全標準。

4）受產業現狀、設備能力、規模和成本限制，亟須做好電力智能傳感器入網檢測。相關建議包括：一是收集專有代碼、固件漏洞，建立電力智能傳感器專用漏洞和缺陷庫，提高檢測效率、降低檢測時間；二是應用人工智能等新技術，改善檢測準確度和誤警率等性能；三是備份并及時發現已入網設備固件漏洞，督促廠家發布固件安全升級包并在線升級存量設備固件，助力存量設備安全性保障。

電力智能傳感器及傳感網安全是一個開放問題。在新型電力系統建設大背景下，電力智能傳感器及傳感網應用領域將不斷擴張，數量將急劇增長，勢必暴露越來越多的安全問題，防護技術也亟須與時俱進。

注：本文內容呈現略有調整，如需要請查看原文。

*免責聲明：本文版權歸原作者所有，本文所用圖片、文字如涉及作品版權，請第一時間聯系我們刪除。本平臺旨在提供行業資訊，僅代表作者觀點，不代表感知芯視界立場。

今日內容就到這里啦，如果有任何問題，或者想要獲取更多行業干貨研報，可以私信我或者留言

審核編輯 黃宇