先進智慧型電錶系統(Advanced Metering Infrastructure,AMI)為發展智慧電網的核心基礎建設,具備連網能力的智慧電錶系統能即時呈現資訊,讓使用者跟電力公司都能掌握該地區的用電狀態並配合使用情境做出優化管理。使用者可隨時透過手機APP或電腦觀看電錶所記錄的資料調整電器使用,降低不必要的花費,上班或外出期間也能對居家用電做到安全監控。電力公司人員則可透過遠端查看使用狀態是否正常,所累積的資料也能應用在大資料,分析各地區用電找出合適的節電、電力調度方案,對於推行需量反應與能源管理都是不可或缺的重要基礎建設。
AMI的組成可看作幾部分:1.智慧電錶2.通訊系統3.電錶管理系統,智慧電錶所量測的用電資料透過有線或無線的方式傳送至通訊系統,通訊系統則整合該地區電錶所回報的資料進一步的交由電錶管理系統做分析及管理。進一步探討智慧電錶,世界各國參考主流的美規(ANSI C12)及歐規(IEC 62056)標準並依據當地的使用情境做出修改,在新一代的電錶設計上大多採用Metrology(計量模組)以及management(管理模組)並行運作的方式進行,計量模組負責計量、資訊顯示(LCD)、資料儲存及狀態回報。管理模組又稱做通訊模組,透過可程式化邏輯控制器(PLC)、乙太網及各種無線傳輸方式,扮演溝通橋樑負責將計量模組的資訊傳送至區域的通訊系統及接收訊息,可降低以往的人力抄表需求,而計量模組及管理模組之間則可透過SPI、UART等標準通訊介面進行溝通。而如文章開始所提,具備連網能力的智慧電錶雖然能帶來許多效益,但在開始推行之後其安全機制的完備性以及用戶的隱私性也一直是各家電錶廠商及電力公司在努力的方向。
NuMicro® M2351的智慧電錶參考設計方案
我們跟位於韓國的Security Platform Inc.(SPI)合作推出了新一代智慧電錶方案(AMI2.0),在通訊模組上採用了新唐M2351系列微控制器並結合Arm® Mbed™ OS,功能上除了符合DLMS1*的安全通訊要求,更進一步實現了完整的安全功能方案,我們將在以下做說明:
1. Secure communication
SPI Smart-meter基於(D)TLS1.2的安全連線機制,在發起連線時會先說明所支援的連線版本和加密演算法,之後再進一步進行憑證交換,確認要傳遞訊息的物件是否為可信任方,最後在完成金鑰交換後便開始以加密的方式進行通訊。新唐提供完整的硬體加解密引擎(AES,3DES,HAMC,ECC,SHA,TRNG)作為輔助,降低CPU使用資源讓電錶能專注在資料的傳遞及處理,相關的硬體資源被設定在MCU內的安全區域,防止非安全區的不合法詢問。
- secure communication.png (49.35 KiB) Viewed 1602 times
建立在TrustZone技術下,SPI及新唐提供一套安全的開機檢驗機制/程式碼(Trust boot code),其存放於不可修改的安全區域內,系統在每次啟動時都會先確認所要運行韌體的合法性,透過驗證該韌體的雜湊值(HASH)及數位簽章(ECDSA)確保其真實性及合法性,完成檢驗後才會跳至該區域執行程式。此作法可確保電錶沒有遭受惡意的篡改植入第三方程式藉此竊取機密資訊、竊電等非法行為,而以下流程則說明了SPI提供Secure boot所需安全憑證的產生方式。
- secure boot.png (47.44 KiB) Viewed 1602 times
3. Secure update
智慧電錶的優勢就是能藉由OTA的方式完成韌體更新,SPI提供多種無線傳輸介面(LTE、CAT.M1、NB-IoT、Wi-Fi),而新唐M2351內部Flash支援Dual-Bank功能,電錶在驗證新韌體的真實性及合法性後可在不影響運行的情形下完成更新,SPI同時導入Anti-rollback protection機制確保韌體不會被回寫成舊版本,避免產生安全性漏洞。
- secure update.png (46.86 KiB) Viewed 1602 times
- secure features table.png (21.71 KiB) Viewed 1602 times
近來,基於IEEE 802.15.4為基礎相關協議的應用預期仍是成長的,特別是Wi-SUN在一些公共事業專案上的利用。而在應用方面,根據市調資料的整理,是以Smart Home、Medical Devices、Auto Metering、Smart Building和Industrial為主要的應用領域。
新唐作為安全微控制器的開發商,我們將基於既有M2351的基礎下發展出NuMicro®M2354,預定於2020年底正式上市,最主要是增加了高容量的記憶體與增強了晶片本體(chip-level) 的防駭能力,包含了密碼硬體的防側通道攻擊(Side-Channel Attacks),各種故障注入(Fault Injection, e.g. voltage glitch, clock glitch)的攻擊防護,以及安全儲存(Secure Storage with Active Shield Countermeasures in chip die level) …..等等。加上基於既有可以提供的TrustZone®與XOM功能,所以通訊協定層可以依據程式開發的規劃放在安全區或XOM(eXecute-Only Memory)內部,若選擇的射頻前端Transceiver IC有內含MAC層的先期處理(ROM-based MAC firmware與MAC Co-processor),那M2354這一端負責MAC層後期處理與其上IP層以上包含應用層的處理則遊刃有餘,可以實現基於Wi-SUN在無線傳輸資料做法上的創新,達成約比其他一般的解決方案增加一倍的收發距離又能同時兼顧超低功耗的表現,換言之對於一些以電池供電的裝置有更長的電池使用時間。更甚者,不需要加另一顆專注處理無線通訊協定的MCU,整個參考設計模組內含的兩顆主要晶片就可以完全應付通訊與終端產品的設計需求,例如無線抄表、遠距監控、智慧家庭、智慧工廠與智慧大樓等物聯網應用。
以下,我們對於可執行在M2351/M2354這端Wi-SUN的通訊協定(Wi-SUN Stack)與符合Arm PSA Level 2 (Plan to be certified in 2020, Q2)認證的軟體架構用以下的簡圖說明:
- smart meter diagram.png (148.49 KiB) Viewed 1602 times
最後,我們再次說明與強調新唐目前持續在推廣的NuSMP (NuMicro® Secure Microcontroller Platform)帶給市場上應用開發人員的好處。目前我們整合了軟硬體機制提供系統開發商一系列的完整使用工具,這涵蓋了以下幾點:
◆ 系統開發商的重要資產能安全的存放於微控制器內不被竊取
◆ 對於潛在的安全威脅能提供對應的防護機制
◆ 避免系統開發商在軟硬體設計上可能產生的潛在安全風險
◆ 大大地減低採用Arm®v8-M TrustZone®微控制器的進入障礙