飛思卡爾防篡改特性MCU強勁智能電表解決方案 - 全文

　　竊取能源和篡改電表是一個世界性問題，這個問題會導(dǎo)致收入損失。消費者發(fā)現(xiàn)能夠控制自己的電表，使之暫停計費或不被記錄，改變或停止電表內(nèi)的實時計時器，甚至可以做到跳過電表直接使用電能而不必付費。飛思卡爾最新于電表市場推出的MCF51EM256微控制器將幾大防篡改特性集成于一個芯片，大大減少了客戶的材料賬單（BoM）成本，又能有效地防止篡改現(xiàn)象。

　　簡介—防篡改特性需求

　　著電力成本的提高，竊電行為已經(jīng)成為政府機構(gòu)（公共事業(yè)部門）的主要擔(dān)憂，這是一個全球性的問題，尤其在印度和中國等人口眾多的國家更是嚴(yán)重。在公共設(shè)施計量應(yīng)用中，不法分子會想法設(shè)法竊取信息或是更改內(nèi)部設(shè)置。這些方法中比較常見的就是對時間進行微調(diào)以欺騙系統(tǒng)。

　　配電公司可能會依據(jù)每天的時段、最大需求和負(fù)荷等因素實行錯峰電價，這就需要一個實時計時器（RTC）以提供準(zhǔn)確的時間參考。某些不法分子就會篡改計時器或操縱時間欺騙系統(tǒng)，以便改變計費結(jié)果，如將PM改為AM，這樣一來，因為在更改后的時段內(nèi)采用非高峰負(fù)荷電價，所以電表固件會收取更少的費用。實時計時器（RTC）通常依靠一個32.768 kHz的外部晶體振蕩器，而不法分子則會改變這個RTC晶體以減緩震蕩達(dá)到少計數(shù)的目的，從而會使測量和計費也和實際耗電有所不同。

　　這些收入損失中的大部分都可以通過安裝電子電表來解決，因為它們可以探測到篡改行為從而保證正確的計費，這不同于電子機械電表。另外，這些電表會采用AMR或智能電網(wǎng)等先進的計量技術(shù)連接，公共事業(yè)公司便可以受益于自動獲悉任何遠(yuǎn)程發(fā)生的篡改行為。

　　關(guān)于MCF51EM256

　　MCF51EM256基于ColdFire V1的微控制器，具有256K閃存、四個高精度16位的SAR ADC，可以在所有相位同時測量電流和電壓，以及中性電流。ADC由內(nèi)部可編程延遲模塊自動激發(fā)，以對電流和電壓作出精確、同相的讀數(shù)。微控制器包括一個精確的1.2v輸出電壓基準(zhǔn)，內(nèi)部ADC和如增益放大器等外部組件可以利用它來進行精準(zhǔn)的測量。微控制器包括一個獨立的RTC（iRTC），同時鐘一樣，它有自己的電源域，因此和其它系統(tǒng)組件是分開的。大多數(shù)的防篡改特性都在iRTC中實施。MCF51EM256還包括一個LCD驅(qū)動模塊、一系列如 IIC、SCI、SPI、可編程比較器和AMR SPI/SCI模塊等通信外圍設(shè)備。

　　MCF51EM256的防篡改特性

　　帶有獨立電源域的RTC

　　當(dāng)主供電可用時，iRTC在主供電（VDD）上全時運行，當(dāng)主電源發(fā)生故障時，會自動切換至電池供電（VBAT）。此行為過程如圖1所示。

　　圖1— 獨立RTC

　　iRTC可以檢測出主供電電壓（VDD）在特定閾值的下降，如在此閾值以下，就會自動轉(zhuǎn)至電池供電。在此閾值以下時，只有RTC和振蕩器會保持工作，而其它的微控制器都會關(guān)閉。

　　這就使所有相關(guān)邏輯可以在斷電時與篡改探測（稍后會講到）一起工作，除非電池移除或電能耗盡。

　　電池移除或電力故障下的保護

　　篡改系統(tǒng)的一般方法就是在干線電源不可用時移除電池。這就使得黑客可以有操縱系統(tǒng)的時間，之后再將電池裝回好像什么都沒發(fā)生過一樣。iRTC的獨立性包括其重置、時鐘和電源。獨立的電源在設(shè)備斷電時移除后，如果再連接電池，iRTC就會被重置，然后默認(rèn)被篡改的狀態(tài)。

　　值得注意的事，iRTC相對于SoC POR來說有一個單獨的“上電復(fù)位（POR）”。iRTC POR只有在當(dāng)主供電和電池電源都移除，然后其中一個被重新連接時才發(fā)揮效用。iRTC有檢測移除電池的功能，并能內(nèi)部生成一個篡改干擾CPU。在最初的計量校準(zhǔn)階段，這種篡改可以被忽略，因為此時系統(tǒng)處于分析模式。

　　檢測系統(tǒng)的外部篡改

　　電表也會面對來自真實世界的幾種攻擊。這包括系統(tǒng)箱體的損壞，某種信號的更改等。iRTC會得到片下防篡改開關(guān)的支持，它可通過MCU上的一個專門防篡改引腳進行連接，如圖2所示，因此可監(jiān)視和檢測出這些侵入。這些抗篡改開關(guān)需要全時被監(jiān)控，所以它們需要用電池（RTC）來供電。

　　這些防篡改開關(guān)更易產(chǎn)生噪音，且易引起錯誤的篡改條件。iRTC會過濾掉這些噪音以防錯誤的觸發(fā)行為。

　　篡改事件是影響CPU的原因之一。篡改事件的固件會采取必要的行為，如擦除所有安全信息、生成系統(tǒng)重置、在EEPROM或電池備份寄存器中儲存篡改事件，最后清除中斷標(biāo)志。CPU對一個篡改事件的響應(yīng)通常都是因應(yīng)用而不同的。

　　圖2 –外部篡改探測

　　值得注意的是，一旦篡改中斷產(chǎn)生，除非主供電（VDD）和電池電源（VBAT）都移除，否是它是不會被清除的。當(dāng)電源重新連接，篡改會處于默認(rèn)狀態(tài)，只有在CPU內(nèi)使用密碼才可對其進行重置。而在電表中，這個過程一般都在電表校準(zhǔn)時完成。

　　除此之外，固件可以通過使用ADC內(nèi)部溫度傳感器來實施篡改檢測。例如，當(dāng)溫度超出一個特定運行范圍或是溫度有迅速的變化（當(dāng)被凍住或同焊接裝置接觸時），固件就會在存儲器中記錄這樣一個行為，然后在讀數(shù)時（AMR或手工讀數(shù)）報告該篡改，并且點亮篡改LED燈。

　　篡改事件時間戳

　　iRTC可以檢測到以下篡改事件：

　　?當(dāng)系統(tǒng)運行時移除電池（即VDD開啟）

　　?當(dāng)系統(tǒng)關(guān)閉時移除電池（如，VDD關(guān)閉。POR自動檢測）

　　?如上所述外部篡改事件（如防篡改開關(guān)或標(biāo)志的打開）

　　當(dāng)有篡改事件被檢測出來后，iRTC會在寄存器中記錄日期（年/月/日）和時間（小時/分鐘/秒）。在一個電能表應(yīng)用中，這會讓授權(quán)讀取數(shù)據(jù)的人了解（通過固件）自電表安裝以來，其受攻擊的時間和受攻擊次數(shù)。而配電公司也會就此依據(jù)向消費者開出賬單或執(zhí)行罰款。另外，AMR還可在篡改事件發(fā)生后就能立刻發(fā)出提醒。

　　iRTC補償

　　iRTC包括一個專用的振蕩器，它依靠一個外部晶體作為其運行計時的時鐘源。這個晶體的特性會依壓力、電壓、溫度或一定化學(xué)物質(zhì)而改變，這會改變晶體特性，這也會讓時鐘變快或變慢。iRTC會就時鐘產(chǎn)生的不精準(zhǔn)作出糾正，繼續(xù)在iRTC計數(shù)器中生成精確的時間，以保持時間的精確。如果晶體走的過快，iRTC就會去除一定的脈沖計數(shù)，反之，如果時鐘走得慢，它就會加上一些脈沖，糾正就是這樣完成的。iRT可以糾正時鐘的不精確，從低至0.119 ppm到高至3906ppm1。

　　電表開發(fā)者可以使用ADC內(nèi)部溫度傳感器，并在系統(tǒng)內(nèi)存中保留晶體的溫度概況，以決定所需校準(zhǔn)的尺度。iRTC校準(zhǔn)總是在被稱為“糾正間隔”的特殊間隔完成，而被加或去掉的脈沖數(shù)量被稱為“糾正值”。固件必須決定這兩個值，并將其編程至iRTC寄存器中以執(zhí)行糾正行為。

　　舉個例子，如果溫度的變化導(dǎo)致32.768 kHz晶體頻率減緩，如圖3所示，那么iRTC就會減緩計數(shù)，1Hz時鐘的周期就會增加。為將計秒時鐘（或1Hz時鐘）帶至正確數(shù)值，iRTC則會于特殊糾正間隔內(nèi)減少時鐘脈沖。

　　圖3 – iRTC時鐘補償

　　同樣道理，當(dāng)晶體頻率走高，iRTC就可以編程增加必要的震蕩器時鐘數(shù)量以保持正確的時間。

　　如果糾正需要在可接受范圍外執(zhí)行，那么固件會顯示篡改信號或是晶體失敗。

　　防止惡意代碼更改RTC注冊設(shè)置

　　所有的iRTC注冊以及備份存儲都由一個寫入保護機制來保護，這樣任何來自惡意或失控代碼的寫入都不能更改iRTC寄存器的設(shè)置，除非它通過一個預(yù)先規(guī)定的解鎖序列。

　　圖4顯示了iRTC寄存器上的寫入保護。這一寄存器在POR上前15秒是未上鎖的，然后自動上鎖。在15秒之后如果想對它進行編程，就必須有一個特殊的序列寫入控制寄存器，該程序只能是有效/安全的程序。一旦解鎖，寄存器也會在開鎖2秒后自動上鎖CPU可以在這兩次失敗前選擇鎖定寄存器。

　　圖4 –寫入保護序列

　　這一寫入序列額外的好處就是保護寄存器免受ESD或外部噪音的干擾，而這些干擾可以觸發(fā)行為改變寄存器設(shè)置。由于任何寄存器的寫入都必須經(jīng)歷一個固定的序列，所以ESD或噪音要摧毀寄存器是幾乎不可能的。

　　低電壓時防止寄存器崩潰

　　黑客或許會想要降低電壓以寫入RTC寄存器，從而改變設(shè)置或更改數(shù)值（因為數(shù)字邏輯在低電壓狀態(tài)下也許不會工作），這樣也會帶來時間上的錯誤。iRTC可以檢測出電壓的下降在某一特定閾值以下，所有RTC寄存器寫入入口都會自動關(guān)閉，直到電壓回到正常運行水平。CPU在這一事件中也會中斷。

　　強大單向計數(shù)器的單調(diào)計數(shù)

　　iRTC還整合了一個單向或單調(diào)計數(shù)器，當(dāng)寫入條件為true時，CPU的寫入周期就會增加。這是一個32位計數(shù)器，可以用來保持電能脈沖的數(shù)目，如采用kWh計算，它就是終端客戶的計量單位。

　　單調(diào)計數(shù)器對付篡改的能力非常強大，因為計數(shù)器只在POR上清除，除非電表重置，否則是不可能被重新加載的。在它上面的每一次寫入都會使值增加，因此惡意代碼是不會對其數(shù)值有所減少的。作為RTC寄存器空間的一部分，它還使其免受誤寫入的困擾，正如在前面所介紹的一樣。

　　強大的固件代碼更新

　　MCF512EM256提供高效和遠(yuǎn)程的代碼替換，如需要，還可選擇返回舊代碼。微控制器中有兩塊128kB的閃存，順序排列。每一組陣列都有單獨繪制的閃存寄存器。基于iRTC內(nèi)部的控制位，這兩組陣列的地址可以交換。這就使得用戶可以在第一個閃存陣列中執(zhí)行任務(wù)時又能更新第二個閃存陣列中的固件。所有的更新都可以在微控制器運行期間發(fā)生。這就讓公共事業(yè)公司可以遠(yuǎn)程更新代碼而無需進行電能估算。例如，如果一家電力公司想要更新LCD軟件，更新的軟件在未保護的情況下下載到了未使用的閃存陣列中（Block 1）。而在閃存陣列（Block 0）上保護還是啟用的，即代碼執(zhí)行地。在更新后，被更新陣列（Block 1）的保護重新啟用，而iRTC內(nèi)的控制位會指出閃存陣列（Block 1）擁有更新過的代碼。舊的代碼或被擦除或是作為回退選項。系統(tǒng)重置會致使最新更新過的代碼被執(zhí)行。在這種情況下，重置是不被推薦的，而核心代碼必須出現(xiàn)在兩種陣列中，并獲得塊保護。核心代碼不會被遠(yuǎn)程更改，且需要進入后臺調(diào)試模式。

　　圖5 – 固件在MCF51EM256中升級

　　圖5展示了這一更新過程的高水準(zhǔn)運行（更多詳情請參閱MCF51EM256參考手冊2）

　　自動讀表（AMR）

　　AMR技術(shù)指的是電表使用有線或無線網(wǎng)絡(luò)設(shè)置對數(shù)據(jù)自動收集并與通信中心通信的能力。AMR技術(shù)在世界上得到廣泛應(yīng)用，包括Radio Frequency （RF）， ZigBee? 協(xié)議、數(shù)據(jù)調(diào)制解調(diào)器 （通過標(biāo)準(zhǔn)電話網(wǎng)絡(luò)） 和電力線通信（PLC）。它一些通信可能包括通過一個“電子讀數(shù)器”設(shè)備的光學(xué)端口讀取數(shù)據(jù)。后者可能會基于串行端口（RS-485）或是紅外線路。

　　有了AMR技術(shù)的協(xié)助，任何登錄MCF51EM256存儲器的篡改事件都會通過AMR網(wǎng)絡(luò)提交給變電站。MCF51EM256通過專用SPI/SCI可用引腳來實現(xiàn)AMR的運行。

　　安全運行失敗時的多重時鐘來源

　　MCU可以由三種獨立的時鐘源來計時，如圖6所示的32.768 kHz iRTC晶體， 外部1-16 MHz晶體， 或是內(nèi)部32 kHz振蕩器。在時鐘故障的情況下，計算機正確操作（COP）會同內(nèi)部獨立時鐘協(xié)作，這有可能自動改變時鐘源并自動保持正常運行。振蕩器會有失靈的時候，如焊點失效、篡改短路晶體等，在以上這些情況下，系統(tǒng)有可能就會死機。但是COP則會繼續(xù)以其獨立時鐘運行并就超時做出重置。系統(tǒng)可以選擇改變時鐘源，如在重置后的重啟過程中轉(zhuǎn)至內(nèi)部時鐘源。

　　盡管內(nèi)部振蕩器的精確度會降低，但是精確度降低比無法測量要好。任何時鐘失敗都會在讀表時（AMR或手動）報告出來。同時也會產(chǎn)生篡改日志，并點亮篡改LED提示燈。

　　圖6 –為失敗安全運行準(zhǔn)備的多重時鐘來源圖6 –為失敗安全運行準(zhǔn)備的多重時鐘來源

　　總結(jié)

　　在智能電網(wǎng)中，能源表產(chǎn)品都可與能源公司進行雙向溝通，而且遠(yuǎn)程接入并控制這些設(shè)備也成為了可能。隨著人力監(jiān)測/控制的（電力公司方）減少，這些設(shè)備的抗篡改性也變得最為重要，設(shè)備也應(yīng)能感知消費者的信息。MCF51EM256微控制器是一個有效的解決方案，不管今天還是未來都可以滿足智能電表的需求。

　　MCF51EM256非常適合電表應(yīng)用，尤其是單相和多相電表，對聯(lián)網(wǎng)的和非聯(lián)網(wǎng)的同樣適用。所有以上提到的特色都基于MCF51EM256被應(yīng)用到了多相電表參考設(shè)計中。