AMI-智能電表應用

先進智能型電表系統(Advanced Metering Infrastructure，AMI)為發展智慧電網的核心基礎建設，具備連網能力的智能電表系統能實時呈現信息，讓用戶跟電力公司都能掌握該地區的用電狀態并配合使用情境做出優化管理。用戶可隨時透過手機APP或計算機觀看電表所記錄的數據調整電器使用，降低不必要的花費，上班或外出期間也能對居家用電做到安全監控。電力公司人員則可透過遠程查看使用狀態是否正常，所累積的數據也能應用在大數據，分析各地區用電找出合適的節電、電力調度方案，對于推行需量反應與能源管理都是不可或缺的重要基礎建設。

AMI的組成可看作幾部分:1.智慧電表2.通訊系統3.電表管理系統，智能電表所量測的用電數據透過有線或無線的方式傳送至通訊系統，通訊系統則整合該地區電表所回報的數據進一步的交由電表管理系統做分析及管理。進一步探討智慧電表，世界各國參考主流的美規(ANSI C12)及歐規(IEC 62056)標準并依據當地的使用情境做出修改，在新一代的電表設計上大多采用Metrology(計量模塊)以及management(管理模塊)并行運作的方式進行，計量模塊負責計量、信息顯示(LCD)、數據儲存及狀態回報。管理模塊又稱做通訊模塊，透過可程序化邏輯控制器(PLC)、以太網及各種無線傳輸方式，扮演溝通橋梁負責將計量模塊的信息傳送至區域的通訊系統及接收訊息，可降低以往的人力抄表需求，而計量模塊及管理模塊之間則可透過SPI、UART等標準通訊界面進行溝通。而如文章開始所提，具備連網能力的智慧電表雖然能帶來許多效益，但在開始推行之后其安全機制的完備性以及用戶的隱私性也一直是各家電表廠商及電力公司在努力的方向。

NuMicro? M2351的智能電表參考設計方案

我們跟位于韓國的Security Platform Inc.(SPI)合作推出了新一代智能電表方案(AMI2.0)，在通訊模塊上采用了新唐M2351系列微控制器并結合Arm Mbed? OS，功能上除了符合DLMS1*的安全通訊要求，更進一步實現了完整的安全功能方案，我們將在以下做說明：

Secure communication

SPI Smart-meter基于(D)TLS1.2的安全聯機機制，在發起聯機時會先說明所支持的聯機版本和加密算法，之后再進一步進行憑證交換，確認要傳遞訊息的對象是否為可信任方，最后在完成密鑰交換后便開始以加密的方式進行通訊。新唐提供完整的硬件加解密引擎(AES,3DES,HAMC,ECC,SHA,TRNG)作為輔助，降低CPU使用資源讓電表能專注在資料的傳遞及處理，相關的硬件資源被設定在MCU內的安全區域，防止非安全區的不合法詢問。

Secure boot

建立在TrustZone技術下，SPI及新唐提供一套安全的開機檢驗機制/程序代碼(Trust boot code)，其存放于不可修改的安全區域內，系統在每次啟動時都會先確認所要運行韌體的合法性，透過驗證該韌體的哈希值(HASH)及數字簽名(ECDSA)確保其真實性及合法性，完成檢驗后才會跳至該區域執行程序。此作法可確保電表沒有遭受惡意的篡改植入第三方程式藉此竊取機密信息、竊電等非法行為，而以下流程則說明了SPI提供Secure boot所需安全憑證的產生方式。

Secure update

智慧電表的優勢就是能藉由OTA的方式完成韌體更新，SPI提供多種無線傳輸接口(LTE、CAT.M1、NB-IoT、Wi-Fi)，而新唐M2351內部Flash支持Dual-Bank功能，電表在驗證新韌體的真實性及合法性后可在不影響運行的情形下完成更新，SPI同時導入Anti-rollback protection機制確保韌體不會被回寫成舊版本，避免產生安全漏洞。

在智慧電表的運作生命周期中，安全威脅可能以不同的形式出現。SPI推出的新一代智慧電表方案在2019年10月完成PSA Certified? Level 1的OEM認證，藉由Arm Pelion IoT平臺，對于數字證書的部署、可信任的更新來源以及安全的通訊協議(TLS)，電表生命周期內所需的支持已經與Arm Pelion IoT平臺的設備管理與訪問控制能力完成整合。目前新唐也積極開發下一代產品提供更為完善的軟硬件能力，協助智能電表制造商達到更高層級的安全防護。

基于NuMicro M2354的WiSUN Smart Meter 參考設計方案

近來，基于IEEE 802.15.4為基礎相關協議的應用預期仍是成長的，特別是Wi-SUN在一些公共事業項目上的利用。而在應用方面，根據市調資料的整理，是以Smart Home、Medical Devices、Auto Metering、Smart Building和Industrial為主要的應用領域。

新唐作為安全微控制器的開發商，我們將基于既有M2351的基礎下發展出NuMicro?M2354，預定于2020年底正式面市，最主要是增加了高容量的內存與增強了芯片本體(chip-level) 的防駭能力，包含了密碼硬件的防側信道攻擊(Side-Channel Attacks)，各種故障注入(Fault Injection, e.g. voltage glitch, clock glitch)的攻擊防護，以及安全儲存(Secure Storage with Active Shield Countermeasures in chip die level) …..等等。加上基于既有可以提供的TrustZone?與XOM功能，所以通訊協議層可以依據程序開發的規劃放在安全區或XOM(eXecute-Only Memory)內部，若選擇的射頻前端Transceiver IC有內含MAC層的先期處理(ROM-based MAC firmware與MAC Co-processor)，那M2354這一端負責MAC層后期處理與其上IP層以上包含應用層的處理則游刃有余，可以實現基于Wi-SUN在無線傳輸數據做法上的創新，達成約比其他一般的解決方案增加一倍的收發距離又能同時兼顧超低功耗的表現，換言之對于一些以電池供電的裝置有更長的電池使用時間。更甚者，不需要加另一顆專注處理無線通信協議的MCU，整個參考設計模塊內含的兩顆主要芯片就可以完全應付通訊與終端產品的設計需求，例如無線抄表、遠距監控、智慧家庭、智能工廠與智能大樓等物聯網應用。

以下，我們對于可執行在M2351/M2354這端Wi-SUN的通訊協議(Wi-SUN Stack)與符合Arm PSA Level 2 (Plan to be certified in 2020, Q2)認證的軟件架構用以下的簡圖說明：

由上圖可看到智能電表開發商可以將Wi-SUN通訊協議移植到M2354上，由于有充足的資源，M2354還可以再跑上層應用，甚或RTOS，這些上層應用或RTOS可以放到TrustZone?的非安全區來以充分利用Armv8-M的特性做到網絡連網應用的軟件安全保障。

最后，我們再次說明與強調新唐目前持續在推廣的NuSMP (NuMicro? Secure Microcontroller Platform)帶給市場上應用開發人員的好處。目前我們整合了軟硬件機制提供系統開發商一系列的完整使用工具，這涵蓋了以下幾點:

系統開發商的重要資產能安全的存放于微控制器內不被竊取

對于潛在的安全威脅能提供對應的防護機制

避免系統開發商在軟硬件設計上可能產生的潛在安全風險

大大地減低采用Armv8-M TrustZone?微控制器的進入障礙

審核編輯：湯梓紅