提高智能电表全生命周期的隐私性与安全性

物联网(IoT)市场正以惊人的速度增长。预计到2035年全球将会有1万亿台物联网设备，远程控制设备和获取有价值的数据见解的能力，正在推动我们朝着这个目标前进，这将带来比我们今天多几个数量级的数据。智能电表行业是目前联网设备数大幅成长的行业之一。IHS Market预测，相比于2018年只有90亿美元的支出，智能电表基础建设(AMI)到2023年将增加至130亿美元。相应地，取暖、照明与自来水等供应公司都可以从中获益，如自动读取电表、更精准的计费、远程联机与断线等，所花费的资源都比之前要少很多。

但这种空前的增长为网络犯罪创造了一个持续扩大的攻击面，他们攻击这些联网基础设施、入侵并从中窃取个人或企业信息。例如，黑客在2016年12月利用Crash Override恶意软件攻击了乌克兰的发电网，使30个变电站停机，造成基辅市大范围停电，让这座城市的供电量降至原本的五分之一。

在智能电表的运行生命周期中，安全威胁可能以多种形式出现。公共事业单位必须考虑许多因素，并针对不同的攻击类型预先准备，以确保客户受到充分保护。例如，侧信道攻击（side-channel attack）通过相关功效分析(CPA)来探测与分析数据的消耗，确定取得进入基础设施的证书。能源供应商与OEM需要采取措施确保从设备到云端的安全性，他们也必须能对固件进行无线OTA更新，以确保设备在生命周期中具有可靠性。那么，公共事业单位如何确保他们的智能电表保障各方数据安全与隐私？

一种重要客户数据是个人身份识别信息(PII)，它存于电表内；这表明智能电表的安全性与个人隐私有直接关联。公共事业单位可以利用这些数据预测能源的需求、配置需求响应，并针对能源消耗提供建议。这些数据必须依据一定的规范，如欧盟的GDPR，通过可靠的方式进行存取与管理。此类政策的实施需要一个可信任数据的基础，并将安全性注入数据搜集、数据分析与设备本身中。这需要设备里具备信任根(ROT)、以鉴别为基础的接入，以及静态存储与数据中转的加密。

IoT平台确保智能电表兼具安全性和隐私性的六种方式

对智能电表安全性与数据隐私的保护需要贯穿设备的整个生命周期，从制造、开始启用到日常使用(图表一)。得益于Arm Pelion IoT平台，设备生命周期内的必要支持已经与平台的设备管理与访问控制能力完成整合。以下段落阐述了IoT平台应对设备的生命周期内安全性需求的六种方式，这对保护用户隐私权来说至关重要。

图1：安全的设备生命周期范例(图片来源：Arm Pelion IoT平台)

1. 在工厂生产预配置阶段，为大规模智能电表部署保证信任根。

负责制造智能电表的生产设施需要在可扩展性和弹性之间取得平衡，以确保设备值得信赖，从而为电表的现场使用提供安全的基础。信任根构成了安全域内一系列的功能，且受到智能电表操作系统的信任。把证书输入单一的设备可以降低此类风险，但如何把这个流程扩大到数百万设备的规模，这是在效率与安全之间取得平衡的关键。考虑到公共事业单位本身并非制造商，他们常把生产外包给OEM后，如何将信任转交给工厂本身更值得关切。因此，我们要如何让第三方的工厂变得可以信任？

通过管理与IoT平台，引导程序和LwM2M服务器进行交叉引用的证书颁发机构来注入安全证书。物联网平台提供商提供的工具为证书颁发机构(CA)的配置提供线性过程，可确保只有拥有CA签署的证书与公钥的电表设备，才能在设备与设备管理平台间建立连接。

一旦证书颁发机构(CA)完成组态配置并将其连接到制造商的账户，工厂生产线就可以批量配置设备了。这一程序包括五个阶段：

●注入软件映像；

●产生设备密钥(图2)、证书与配置参数；

●在生产线上利用工厂工具在把生成的密钥、证书与相关配置参数注入设备；

●利用设备内的密钥配置管理器与工厂配置器客户端(FCC) 的API进行信息验证；

●完成首次配置程序并禁止生产影像中的FCC代码，以确保供应后无法再度存取。

图2：安全工厂首次配置案例(图片来源：Arm Pelion IoT平台)

2. 启用时与供电网的可靠连接

如前所述，生产智能电表的OEM厂商离终端使用者的需求往往只差一步，这意味着首次配置的过程常需要足够的灵活性以满足现有的过程。例如，有些用户选择在将其密钥和证书捆绑到工厂配置器实用程序（FCU）之前在内部创建它们。FCU位于工厂生产线内，与制造商的工厂工具一起使用，以配置设备参数并为其注入证书，而这些证书会验证智能电表的运维参数。或者，有些厂家会选择直接注入设备。尽管前者是比较有效率的方式，但两种方法同样安全。

由于OEM厂家在制造时并不知道智能电表会部署于何处，也不知道与电表相关联的账户，因此确保最后设备与电网的安全联机是极为必要的。因此，制造商与公共事业单位会利用包含设备注册名单的预先共享密钥(PSKs)。此过程将验证唯一ID，以将证书与特定设备管理帐户中的注册信息进行匹配，然后将设备分配给该帐户。仅当设备ID与公用事业提供商的IoT门户中上载的ID匹配时，才会确认完成。

PSK为设备和IoT平台提供了一个公共密钥，该密钥已安全地配置到设备中，构成了最基本的安全级别。它之所以被认为是最基本的，是因为制造过程中，是因为存在制造过程中传递给智能电表的凭据以及存储在服务器上的凭据的机密列表可能受到破坏的风险，从而使数百万个电表和用户的数据暴露无遗。

公钥基础架构(PKI)是种更安全的方法。PKI被用作在设备与IoT平台间，并添加了一层非对称密码，它将加密过的签名拴绑定到对电表进行身份验证的第三方。使用此第三方是一种更安全的身份验证方式，因为凭据仅在设备本身上生成。

任何优秀的IoT合作伙伴在为OEM提供这一水平的灵活性的同时，维持安全性是重点需要考虑的，并在启动程序阶段确保唯一的身份。交互是通过加密传输层安全性（TLS）通信与引导服务器进行的数据传输的一部分，这是一种防止窃听，篡改或伪造消息的方法。

3. 安全的通讯

AMI的推出可协助公共事业企业实现监控、计费、连接与断线的自动化。它是智能电表、通信网络与数据管理系统的结晶，可实现提供商与客户之间的双向通信。由低带宽连接的低功率、远程功能促进了附加的通信层，让公共事业服务提供商产生额外的风险。因此，设备与IoT平台之间的通信，然后再到公用事业提供商的Web应用程序，都透过使用标准的TLS获得保全。

TLS是一种加密协议，可在可能不受信任的网络上提供端到端的通信安全性，并广泛用于IoT设备与云的通信(图表3)。使用TLS通过安全通讯通道进行通信的基本步骤，包括初始化SSL/TLS上下文、执行SSL/TLS握手，并在智能电表与云端之间建立安全连接、在智能电表与云端间传送/接收数据，以及通知对端联机即将关闭。

图表3：芯片到云端的TLS加密案例(图片来源：Arm Pelion IoT平台)

这个业界标准的方法不但充当加密协议，而且消除了对繁琐和不安全密码的需求。出示签名证书的行为为公用事业提供商的账户提供了经过验证的唯一设备ID，从而无需其它形式的身份验证。通过使用设备语言消息规范（DLMS），仪表的通信通过使用安全套件1的DLMS进行，该套件基于PKI进行身份验证和密钥协商，并使用AES-GCM-128进行身份验证加密。

4.信任更新源

在现场更新设备，是成功部署智能电表的关键，而其中某些设备可能会运作超过20年。在此期间，OTA更新可以为最终用户和公共事业服务提供商的后期部署提供额外的功能，包括修复漏洞以及延长设备的使用年限。远程更新也是防止最新威胁或新发现漏洞的有效手段，而无需在现场手动进行繁琐的操作和付出高昂的代价。

相反，如果未验证更新本身，那么更新设备以管理免受最新威胁的保护行为可能会带来自身的风险。

在建议更新时，设备必须针对固件作出重大的判断。例如，更新是否值得信赖，同时是否可适用于设备？要验证固件升级影像是否受到信任，其中的一种方式就是使用元数据 (一般被称为manifest清单文件)。对清单进行数字签名，以在执行任何操作之前验证更新本身的完整性。 固件的作者拥有用于提供更新的端到端验证的密钥。固件清单的创作和签名可确保仅将受信任的更新（具有可验证的信任链的更新）应用于正确的设备。

创造清单文件最简单的方式，是使用清单工具；该工具可以在PC以创建，签名和上载清单，并测试整个端到端更新流程。

5. 安全、机密的更新

正如OTA是保障设备生命周期安全性的关键，安全性本身则是成功的OTA更新的关键。IoT平台部署的固件安全更新会与传输协议分离，这意味着传输网络被视为不可信任。通过获取更新文件包，创建更新请求，然后将该更新安全地部署到连接的设备上，可以促进大规模的安全更新。

设备管理终端等待更新的通知，然后验证安装包、应用更新，并在更新失败时，将设备回复到原始的状态。此外，个别的设备在活动过程中，也可针对可疑的行为进行监控。

回滚保护可防止仪表被恶意回滚到较旧的，更易受攻击的固件版本，并且仅当关联的固件清单是更高版本时，更新才能继续进行。 可以降级到以前的电表版本，但需要经过身份验证的服务运营商授权.

6. 现场证书管理

在某些场景下，公用事业单位可能希望阻止已部署的智能电表连接到云。例如，当智能电表的完整性遭到破坏、并且证书受到破坏，则公用事业单位暂停受破坏的设备对于确保更广泛的AMI生态系统的整体安全至关重要。公用事业提供商还希望确保可以为现场部署的智能电表续订证书。 如果智能电表的现有证书即将过期，则需要续订证书，并且一旦过期，智能电表将无法在线连接服务。

设备证书的更新过程涉及IoT设备管理平台，例如Pelion设备管理平台及其设备管理客户端。 此五阶段过程通常涉及以下内容：

●从设备管理门户或智能电表调用设备管理API。

●智能电表产生新的密钥，依据既有凭证生成凭证请求指令(CSR)，并把CSR传送至Device Management平台。

●Device Management平台将凭证请求指令(CSR)发送至第三方证书授权机构(CA)进行凭证签署。

●内部的设备管理CA签署LwM2M凭证，然后把它们送回至Device Management平台。

●然后Device Management平台将签名的证书发送回现场的智能电表。

公用事业单位正在利用智能电表所带来的效率和额外的收入机会，并通过物联网使之成为可能。但需要注意的是，这种增长的速度和规模为网络罪犯带来了巨大的机会，随着每个设备的部署与每次更新，设备的攻击面都会变大。一个有效的IoT设备管理平台可以协助建立安全的基础，稳固电表的运作生命，以便促进更简便且易于扩展的部署，并且确保公共事业单位及其客户都能受到保护。

Mohit Kedia，Arm物联网服务事业群产品经理。

（参考原文：Enhancing Privacy and Security in the Smart-Meter Life Cycle, by Mohit Kedia）

责编：Amy Guan

本文为《电子工程专辑》2020年1月刊杂志文章，版权所有，禁止转载。点击申请免费杂志订阅