物聯(lián)網(wǎng) (IoT) 正在以驚人的速度增長(zhǎng)。遠(yuǎn)程控制設(shè)備和獲得有價(jià)值的數(shù)據(jù)洞察力的能力正在推動(dòng)我們朝著預(yù)計(jì)到 2035 年將達(dá)到一萬(wàn)億臺(tái)連接設(shè)備的目標(biāo)邁進(jìn)，提供比我們今天看到的更多數(shù)量級(jí)的數(shù)據(jù)。我們看到連接設(shè)備數(shù)量大幅增長(zhǎng)的一個(gè)領(lǐng)域是智能電表。根據(jù)iHS Markit的數(shù)據(jù)，到2023 年，高級(jí)計(jì)量基礎(chǔ)設(shè)施 (AMI) 的支出預(yù)計(jì)將增至 130 億美元，而 2018 年為 90 億美元。為我們提供熱、光和水的公司正受益于自動(dòng)抄表、精確計(jì)費(fèi)、加上遠(yuǎn)程連接和斷開(kāi)連接功能——所有這些都比以前使用更少的資源。

但這種前所未有的增長(zhǎng)為網(wǎng)絡(luò)犯罪分子創(chuàng)造了一個(gè)不斷擴(kuò)大的攻擊面，使他們可以掠奪重要的基礎(chǔ)設(shè)施，或者滲透并竊取個(gè)人和企業(yè)的信息。例如，惡意軟件黑客利用“Crash Override”惡意軟件在 2016 年 12 月控制了烏克蘭的電網(wǎng)，并關(guān)閉了 30 個(gè)變電站，使基輔市停電，將該市的電力容量減少到五分之一。

在智能電表的整個(gè)使用壽命期間，安全威脅可以采取多種不同的形式。公用事業(yè)公司必須考慮各種因素，并為不同的攻擊媒介做好準(zhǔn)備，以確保其客戶受到保護(hù)。例如，側(cè)信道攻擊涉及通過(guò)相關(guān)功率分析 (CPA) 窺探和分析數(shù)據(jù)消耗，以獲取憑據(jù)和訪問(wèn)基礎(chǔ)設(shè)施。能源供應(yīng)商和原始設(shè)備制造商 (OEM) 需要加強(qiáng)從設(shè)備到云的安全性。他們還需要能夠通過(guò)無(wú)線 (OTA) 更新其固件，以確保設(shè)備生命周期的彈性。那么公用事業(yè)公司如何確保其智能計(jì)量部署為所有利益相關(guān)者維護(hù)安全和隱私呢？

重要的客戶使用數(shù)據(jù)，其中一些可能是個(gè)人身份信息 (PII)，駐留在電表內(nèi)部，這意味著智能電表的安全性對(duì)隱私有直接影響。公用事業(yè)公司可以使用這些數(shù)據(jù)來(lái)預(yù)測(cè)能源需求、配置需求響應(yīng)并提供有關(guān)能源消耗的建議。需要以負(fù)責(zé)任的方式訪問(wèn)這些數(shù)據(jù)，并根據(jù)歐盟的通用數(shù)據(jù)保護(hù)條例 (GDPR) 等一系列法規(guī)進(jìn)行管理。這種策略實(shí)施需要為可信數(shù)據(jù)奠定基礎(chǔ)，并將安全性融入數(shù)據(jù)收集、數(shù)據(jù)分析和設(shè)備本身。這需要設(shè)備中的信任根、基于身份驗(yàn)證的訪問(wèn)，以及靜態(tài)和傳輸中的數(shù)據(jù)加密。

物聯(lián)網(wǎng)平臺(tái)實(shí)現(xiàn)安全和私有智能電表的六種方式

確保智能電表的安全性和數(shù)據(jù)隱私需要一種生命周期方法，從制造延伸到入職和常規(guī)使用。借助 Arm Pelion 物聯(lián)網(wǎng)平臺(tái)等物聯(lián)網(wǎng)平臺(tái)，必要的生命周期支持集成在平臺(tái)的設(shè)備管理和訪問(wèn)控制功能中。以下部分描述了物聯(lián)網(wǎng)平臺(tái)滿足對(duì)確保隱私至關(guān)重要的生命周期安全要求的六種方式。

1. 確保工廠配置期間大規(guī)模智能電表部署的信任根

負(fù)責(zé)制造智能電表的生產(chǎn)設(shè)施需要在可擴(kuò)展性和彈性之間取得平衡，以確保設(shè)備值得信賴，為電表在現(xiàn)場(chǎng)的使用壽命奠定安全基礎(chǔ)。信任根 (ROT) 在受智能電表操作系統(tǒng)信任的安全區(qū)域內(nèi)構(gòu)成一系列功能。將憑證注入單個(gè)設(shè)備可以降低這種風(fēng)險(xiǎn)，但是將這個(gè)過(guò)程擴(kuò)展到數(shù)百萬(wàn)臺(tái)設(shè)備的能力是保持效率和安全性之間平衡的關(guān)鍵。當(dāng)您考慮到公用事業(yè)公司本身不是制造商并且經(jīng)常將生產(chǎn)和信任外包給原始設(shè)備制造商時(shí)，信任工廠的問(wèn)題就變得更加令人擔(dān)憂。那么我們?nèi)绾巫尩谌焦S“受信任”呢？

通過(guò)管理交叉引用物聯(lián)網(wǎng)平臺(tái)、引導(dǎo)程序和輕量級(jí) M2M (LwM2M) 服務(wù)器的認(rèn)證機(jī)構(gòu)來(lái)灌輸信任。物聯(lián)網(wǎng)平臺(tái)提供商提供的一系列工具為證書(shū)頒發(fā)機(jī)構(gòu) (CA) 的配置提供了線性流程，確保只有擁有 CA 簽署的證書(shū)和公鑰的儀表才能在設(shè)備與其設(shè)備之間建立連接經(jīng)理。

一旦 CA 被配置并鏈接到制造商的個(gè)人帳戶，工廠生產(chǎn)線就可以批量供應(yīng)設(shè)備。這個(gè)五個(gè)階段的過(guò)程包括：

注入軟件鏡像

為設(shè)備生成設(shè)備密鑰、證書(shū)和配置參數(shù)

使用工廠工具將生成的密鑰、證書(shū)和配置參數(shù)注入到生產(chǎn)線上的設(shè)備中

在設(shè)備中使用密鑰配置管理器和工廠配置器客戶端 (FCC) API 來(lái)驗(yàn)證信息

完成配置過(guò)程并阻止生產(chǎn)映像中的 FCC 代碼，以確保在配置后無(wú)法訪問(wèn)它

2. 入職期間與網(wǎng)格的可信連接

如前所述，生產(chǎn)智能電表的 OEM 通常離最終用戶只有一步之遙，這意味著通常需要配置過(guò)程中的靈活性來(lái)滿足他們現(xiàn)有的流程。例如，有些人選擇在內(nèi)部創(chuàng)建他們的密鑰和證書(shū)，然后將它們捆綁到工廠配置實(shí)用程序 (FCU) 中。FCU 位于工廠生產(chǎn)線內(nèi)，與制造商的工廠工具一起使用憑證配置和注入設(shè)備，進(jìn)而驗(yàn)證智能電表的操作參數(shù)。或者，有些人選擇直接注入設(shè)備。雖然前者是一種更有效的方法，但兩者同樣安全。

由于 OEM 在制造時(shí)不知道智能電表將部署在哪里或與之關(guān)聯(lián)的帳戶，因此與電網(wǎng)的最終連接必須是可信的操作。因此，制造商和公用事業(yè)公司使用涉及注冊(cè)列表的預(yù)共享密鑰 (PSK)。此過(guò)程驗(yàn)證唯一 ID 以將憑據(jù)與特定設(shè)備管理帳戶中的注冊(cè)信息相匹配，然后將設(shè)備分配給該帳戶。僅當(dāng)設(shè)備 ID 與公用事業(yè)提供商的 IoT 門戶中上傳的 ID 匹配時(shí)才會(huì)發(fā)生這種情況。

PSK 為設(shè)備和物聯(lián)網(wǎng)平臺(tái)提供了一個(gè)公共密鑰，該密鑰已安全地配置到設(shè)備中并構(gòu)成最基本的安全級(jí)別。它被認(rèn)為是基本的，因?yàn)榇嬖谠谥圃爝^(guò)程中傳遞給智能電表的憑證以及存儲(chǔ)在服務(wù)器上的憑證的機(jī)密列表可能會(huì)被泄露的風(fēng)險(xiǎn)，從而使數(shù)百萬(wàn)個(gè)電表和用戶的數(shù)據(jù)暴露在外。但是，公鑰基礎(chǔ)設(shè)施 (PKI) 是一種更安全的方法。

PKI 在設(shè)備和物聯(lián)網(wǎng)平臺(tái)之間進(jìn)行了介紹，并添加了一層非對(duì)稱加密，將加密簽名與對(duì)電表進(jìn)行身份驗(yàn)證的第三方聯(lián)系在一起。使用此第三方是一種更安全的身份驗(yàn)證方式，因?yàn)閼{據(jù)僅在設(shè)備本身上生成，并且不存在于其他任何地方。

在為 OEM 提供這種級(jí)別的靈活性的同時(shí)，任何物有所值的物聯(lián)網(wǎng)合作伙伴都將在引導(dǎo)階段保持安全并確保唯一的身份。交互作為通過(guò)加密傳輸層安全 (TLS) 通信與 Bootstrap 服務(wù)器進(jìn)行數(shù)據(jù)傳輸?shù)囊徊糠诌M(jìn)行，該通信旨在防止竊聽(tīng)、篡改或消息偽造。

3. 安全通信

TLS 是一種加密協(xié)議，可在可能不受信任的網(wǎng)絡(luò)上提供端到端通信安全，并廣泛用于物聯(lián)網(wǎng)設(shè)備與云的通信。使用 TLS 通過(guò)安全通信通道進(jìn)行通信的基本步驟包括初始化 SSL/TLS 上下文、執(zhí)行 SSL/TLS 握手并在智能電表和云之間建立安全連接、在智能電表和云之間發(fā)送/接收數(shù)據(jù)以及通知peer 連接正在關(guān)閉。

這種行業(yè)標(biāo)準(zhǔn)方法不僅充當(dāng)加密協(xié)議，而且還消除了對(duì)繁瑣和不安全密碼的需求。這是因?yàn)樘峁┖灻C書(shū)的行為為公用事業(yè)提供商的帳戶提供了經(jīng)過(guò)驗(yàn)證的唯一設(shè)備 ID，從而無(wú)需其他形式的標(biāo)識(shí)。通過(guò)使用設(shè)備語(yǔ)言消息規(guī)范 (DLMS)，與儀表的通信通過(guò) DLMS 使用基于 PKI 的安全套件 1 進(jìn)行身份驗(yàn)證和密鑰協(xié)商，并使用 AES-GCM-128 進(jìn)行身份驗(yàn)證加密。

4. 信任更新源

現(xiàn)場(chǎng)更新設(shè)備是成功部署智能電表的關(guān)鍵，其中一些可能持續(xù) 20 多年。在此期間，OTA 更新可以在部署后為最終用戶和公用事業(yè)提供商提供額外的功能，包括修復(fù)錯(cuò)誤、延長(zhǎng)使用壽命，從而降低單元的整體生命周期成本。遠(yuǎn)程更新也是防止最新威脅或新發(fā)現(xiàn)漏洞的有效手段，無(wú)需在現(xiàn)場(chǎng)手動(dòng)更新的繁瑣和成本。

然而，相反，如果更新本身未經(jīng)驗(yàn)證，更新設(shè)備以管理對(duì)最新威脅的保護(hù)的行為本身可能會(huì)帶來(lái)風(fēng)險(xiǎn)。

設(shè)備需要在建議的更新中做出有關(guān)固件的重要決定。例如，更新是否可信且適用于設(shè)備？驗(yàn)證固件更新映像是否受信任的一種方法是使用元數(shù)據(jù)（稱為清單）。清單經(jīng)過(guò)數(shù)字簽名以在采取任何操作之前驗(yàn)證更新本身的完整性。固件的作者擁有提供更新端到端驗(yàn)證的密鑰。固件清單的創(chuàng)作和簽名可確保僅將受信任的更新（具有可驗(yàn)證信任鏈的更新）應(yīng)用于正確的設(shè)備。

創(chuàng)建清單的最簡(jiǎn)單方法是使用清單工具，該工具在您的 PC 上運(yùn)行以創(chuàng)建、簽署和上傳清單并測(cè)試整個(gè)端到端更新流程。

5. 安全、機(jī)密的更新活動(dòng)

正如 OTA 是安全設(shè)備生命周期的關(guān)鍵一樣，安全性本身也是成功 OTA 更新的關(guān)鍵。物聯(lián)網(wǎng)平臺(tái)部署的固件安全更新與傳輸協(xié)議隔離，這意味著交付網(wǎng)絡(luò)被視為不可信。這通過(guò)打包更新、創(chuàng)建活動(dòng)然后將該活動(dòng)安全地部署到連接的設(shè)備來(lái)促進(jìn)大規(guī)模的安全更新。

設(shè)備管理客戶端等待更新通知，然后驗(yàn)證包，應(yīng)用更新并在更新失敗時(shí)恢復(fù)到設(shè)備的原始狀態(tài)，然后再報(bào)告任何問(wèn)題。更重要的是，可以監(jiān)控單個(gè)設(shè)備在活動(dòng)期間的可疑行為。

回滾保護(hù)可防止儀表被惡意回滾到較舊、更易受攻擊的固件版本，并且只有在關(guān)聯(lián)的固件清單是較新版本時(shí)才能繼續(xù)更新?？梢越导?jí)到以前的儀表版本，但它們需要經(jīng)過(guò)身份驗(yàn)證的服務(wù)操作員授權(quán)。

6. 現(xiàn)場(chǎng)證書(shū)管理

在多種情況下，公用事業(yè)公司可能希望阻止已部署的智能電表連接到云。例如，如果現(xiàn)場(chǎng)智能電表的完整性被破壞并且證書(shū)被泄露，那么公用事業(yè)公司暫停受損設(shè)備是確保更廣泛的 AMI 生態(tài)系統(tǒng)整體安全的關(guān)鍵。公用事業(yè)提供商還希望確保他們可以更新現(xiàn)場(chǎng)部署的智能電表的證書(shū)。如果智能電表的現(xiàn)有證書(shū)即將到期，則需要更新證書(shū)，一旦到期，智能電表將無(wú)法在線連接服務(wù)。

更新設(shè)備證書(shū)的過(guò)程涉及物聯(lián)網(wǎng)設(shè)備管理平臺(tái)，例如 Pelion 設(shè)備管理平臺(tái)及其設(shè)備管理客戶端。這個(gè)五個(gè)階段的過(guò)程通常包括：

從設(shè)備管理門戶或智能電表調(diào)用設(shè)備管理 API。

智能電表生成新密鑰，基于現(xiàn)有證書(shū)創(chuàng)建證書(shū)簽名請(qǐng)求 (CSR)，并將 CSR 發(fā)送到設(shè)備管理。

設(shè)備管理平臺(tái)將 CSR 發(fā)送給第三方證書(shū)頒發(fā)機(jī)構(gòu) (CA) 進(jìn)行證書(shū)簽名。

內(nèi)部設(shè)備管理 CA 簽署 LwM2M 證書(shū)并將其發(fā)送回設(shè)備管理平臺(tái)。

然后設(shè)備管理平臺(tái)將簽署的證書(shū)發(fā)送回現(xiàn)場(chǎng)的智能電表。

結(jié)論

公用事業(yè)公司正在利用物聯(lián)網(wǎng)帶來(lái)的智能電表帶來(lái)的效率和額外收入機(jī)會(huì)。然而，這種增長(zhǎng)的速度和規(guī)模為網(wǎng)絡(luò)犯罪分子帶來(lái)了巨大的機(jī)會(huì)，因?yàn)楣裘骐S著每個(gè)設(shè)備的部署和每次更新的管理而增加。有效的物聯(lián)網(wǎng)設(shè)備管理平臺(tái)可以幫助建立貫穿電表使用壽命的安全基礎(chǔ)，以促進(jìn)簡(jiǎn)化、可擴(kuò)展的部署，并確保公用事業(yè)公司及其客戶受到保護(hù)。

Mohit Kedia是 Arm 物聯(lián)網(wǎng)服務(wù)組的產(chǎn)品經(jīng)理。Mohit 總部位于奧斯汀，專注于使用 Pelion Device Management（行業(yè)領(lǐng)先的物聯(lián)網(wǎng) SaaS 產(chǎn)品）和 Mbed OS（世界上最先進(jìn)的開(kāi)源物聯(lián)網(wǎng)操作系統(tǒng)平臺(tái)）使物聯(lián)網(wǎng)產(chǎn)品成為現(xiàn)實(shí)。Mohit 之前在 AMD 和 NXP 的產(chǎn)品管理和解決方案架構(gòu)方面擔(dān)任過(guò)各種職務(wù)，負(fù)責(zé)物聯(lián)網(wǎng)和新興嵌入式市場(chǎng)的領(lǐng)先硬件、軟件和硅產(chǎn)品。Mohit 擁有德克薩斯大學(xué)奧斯汀分校的 MBA 學(xué)位和德克薩斯 A&M 大學(xué)的電氣和電子工程研究生學(xué)位。

審核編輯：湯梓紅