下一代智能仪表会将网关引入家庭,允许公用事业公司和消费者管理能耗。公用事业公司可以建立动态定价以便鼓励消费者避开高峰负荷时间,而消费者也可以更好地跟踪使用情况,并决定何时不使用大功率电器以缩减能源帐单。有关使用情况的数据最初可以使用连接公用事业公司的PC或智能手机通过互联网进行查询,这样消费者就可以访问到离线使用数据,但未来消费者能够直接登录智能仪表获得实时能耗数据。保护这些数据的安全性是公用事业公司和电子仪表供应商面临的主要挑战之一。
本地攻击者能够通过物理方式访问仪表、网关或这些设备之间的连接。他们会试图透露或改变存储在仪表或网关中的使用数据,或者在城域网中的仪表和网关之间传送的数据。这种威胁模型假设本地攻击者的动机没有WAN攻击者强烈,因为本地攻击者的一次成功攻击只会影响一个网关。本地攻击者也有可能是试图不想付费使用服务的消费者。
位于WAN中的攻击者(WAN攻击者)可能试图破坏通过WAN传送的仪表数据和/或配置数据的机密性和/或完整性。WAN攻击者也可能试图通过WAN操控基础设施中的一个设备(如仪表、网关或可控制的本地系统),对该设备进行破坏,或对相应的电网进行破坏(例如通过向外部实体发送伪造的仪表数据)。即使在共同标准(Common Criteria)概念中具有最大攻击可能性的攻击者(即具有大攻击可能性的WAN攻击者)决定了漏洞分析水平,但以下威胁定义承认本地攻击者的攻击可能性要比远程攻击者小。(也请参考德国联邦信息安全办公室发布的智能测量系统v1.01.1草案保护规范部分中的6.11.2章节描述)。
在设计电子仪表时需要考虑几个关键因素--仪表功耗、成本和可靠性。功耗和成本都必须尽可能小,以确保数百万台仪表不会给电网增加任何显着的功率泄漏,与此同时,仪表成本必须要低,因为公用事业公司必须能够以适当的成本替代老的仪表。基于长工作寿命和自然特性/服务质量的原因,可靠性要求是显而易见的。另外,如前所述,这些仪表必须是安全的--数据加密必须是仪表设计的有机组成部分,要确保黑客无法收集到个人数据或访问公用事业网络。
设计智能仪表的公司必须要满足全球各个地区的不同法规要求以及每个市场要求的不同服务和功能。举例来说,美国的自动化仪表读取法规规定了读表频率、数据传输机制以及在任何点的仪表中必须及时存储的本地数据量。为防止数据丢失系统必须存储的数据量将影响智能仪表中需要的本地内存容量,而这又会影响到元件的选择和成本。
在德国,BSI为与广域网连接的通信网关定义了安全保护规范,并且强制使用安全模块。这种网关要达到共同标准(Common Criteria)EAL4+安全等级。VaultIC4xxx安全模块是业内多种安全解决方案之一,已经能够提供这种安全等级,因而能最大限度地减少网关制造商的认证工作量。
智能仪表基础
虽然定义多少有些变化,但智能仪表无外乎是监视能量、煤气或水的消耗,然后一般是在LCD显示器上实时显示消耗数据。这些仪表一般都有一个通信接口--在美国,许多公司将ZigBee无线射频作为标准接口链接到公用事业公司,而在欧洲,许多公用事业组织一致同意使用电力线通信将仪表链接到公用事业公司。这些通信接口也必须具有低功耗特性,即使它们大部分时间处于"睡眠"或待机模式。
电力公司从固定费率帐单向计时帐单的转换催生了第二代电子仪表,它们具有足够的智能处理计时帐单,并支持自动抄表(AMR)。这种改变需要功能更强大的微处理器、无线射频、信息丰富的LCD和实时时钟(RTC)来配合模拟前端(AFE)。在这一代中的第一批仪表将使用多个芯片来实现所有功能。然而,随着公用事业公司努力降低成本,元件/仪表供应商将进一步提高元件集成度。
智能仪表的核心是低功耗微控制器加上模拟前端(AFE)。例如在电表中,先由AFE检测电流和电压,将检测得到的值转换成数字格式,然后将数字值发送到微控制器,再由微控制器处理这些数据、在本地内存中存储读数、并在小型LCD屏幕上显示相关信息。最后通过通信接口定期地向公用事业公司上传数据(图1)。对于气表或水表来说,特别低的功耗是附加要求,因为这些仪表必须采用电池供电,而且电池必须持续工作几年时间。或者也可能使用某种类型的能量收集能源取代电池。
图1:一款典型的安全智能电表,利用了INSIDE Secure公司的VaultIC460模块提供数据安全和防篡改保护。
这种仪表还包含了用于检测电能使用情况的模拟前端、用于处理和显示收集到的数据的安全微控制器以及用于向公用事业公司回传数据的通信接口。
智能仪表设计的另外一个重要方面是防止仪表被篡改--全球有许多地方公用事业偷窃量占总使用量的比例十分显着。通过采用各种检测机制来检测仪表外壳是否被打开、是否有探头插入、附近是否有强大的磁场、或其它一些篡改方式,仪表可以向公用事业公司回传消息甚至锁住消费者,直到服务技术人员到现场判断触发篡改告警的真实事件。这种方法有助于公用事业公司实现更好的控制,同时减少没有测量到的损失。
为了设计一台仪表,最佳的启动方式是定义一个公共平台,这个平台只需很少量修改就能跨平台和跨地区使用。然后判断内部微控制器(MCU)执行所有任务所需的计算能力。市场上有许多现成的高集成度MCU可以完成这些任务,但当加入低功耗约束条件和数据加密要求后,可选余地就相当窄了。当然,也可以为电子仪表应用专门设计一种专用系统级芯片(SoC),但成本和开发时间可能是个问题。不过最终解决方案可能因消除了许多分立元件而降低总体系统成本。
虽然许多微控制器供应商都能提供包含片上模数转换器(ADC)的MCU,但信号捕获和转换要求经常导致选用独立的模拟前端芯片。这种芯片设计用于检测使用情况(电流、气流、水流),并将传感器输出转换成数字形式以便分析消耗数据。例如在电表中,单相或多相前端可以提供许多先进的电能监视特性,如功率因数、矢量和及谐波分量。测量精度和电子快速瞬态(EFT)响应是电表设计的关键要求。
攻击:发展水平
在实现系统硬件时,设计师必须考虑各种系统入侵方式。一般有4种系统入侵方式,包括:
窃听--黑客可以监视所有电源和接口连接以及处理器在正常工作期间产生的任何其它电磁辐射的模拟特征。
软件攻击--普通处理器的通信接口可以被用来尝试利用在数据通信协议、加密算法和系统其它方面发现的安全漏洞。
故障产生--黑客可以通过改变时序和电压值形成异常工作状态,进而导致处理器产生故障,并进入允许访问系统安全部分的状态。另外,将芯片表面暴露在激光下也可以借助电路天生的光电效应产生故障。一旦芯片表面被暴露,激光是最难对付的一种技术。然而,激光的使用可能更适合归到下一个覆盖入侵技术的种类,因为这种入侵方式下芯片表面必须要暴露。
微探测--这种方法要求直接访问芯片表面,以便物理探针能够注入信号、捕获数据、操作寄存器并干扰系统操作,从而窃取安全信息。
微探测是一种入侵攻击方式,需要复杂的设备来访问片上电路,而且一般要求很长时间才能获得访问权,同时会破坏电路封装甚至电路本身。这也是一个相当昂贵的挑战,因此只有当回报值得前期反向工程芯片一部分或整个芯片的费用时才会用这种方式。
其它三种攻击方法都是非入侵式攻击,通常在最初解决方案之后可以很快再现,因为不要求对电路进行物理入侵。被攻击电路不会有物理损坏,攻击中使用的设备相对比较简单,成本也较低。
差分功耗分析(DPA)是一种流行的黑客方法,通过同时监视正常操作和故障期间操作情况,能让黑客判断软件的执行,因此电路设计应包括应对这类分析的各种对策。
上一篇:单回路反馈调节系统的设计原则
