飞思卡尔防篡改特性MCU强劲智能电表解决方案

　　窃取能源和篡改电表是一个世界性问题，这个问题会导致收入损失。消费者发现能够控制自己的电表，使之暂停计费或不被记录，改变或停止电表内的实时计时器，甚至可以做到跳过电表直接使用电能而不必付费。飞思卡尔最新于电表市场推出的MCF51EM256(＄5.6810)微控制器将几大防篡改特性集成于一个芯片，大大减少了客户的材料账单（BoM）成本，又能有效地防止篡改现象。

　　简介—防篡改特性需求

　　着电力成本的提高，窃电行为已经成为政府机构（公共事业部门）的主要担忧，这是一个全球性的问题，尤其在印度和中国等人口众多的国家更是严重。在公共设施计量应用中，不法分子会想法设法窃取信息或是更改内部设置。这些方法中比较常见的就是对时间进行微调以欺骗系统。

　　配电公司可能会依据每天的时段、最大需求和负荷等因素实行错峰电价，这就需要一个实时计时器（RTC）以提供准确的时间参考。某些不法分子就会篡改计时器或操纵时间欺骗系统，以便改变计费结果，如将PM改为AM，这样一来，因为在更改后的时段内采用非高峰负荷电价，所以电表固件会收取更少的费用。实时计时器（RTC）通常依靠一个32.768 kHz的外部晶体振荡器，而不法分子则会改变这个RTC晶体以减缓震荡达到少计数的目的，从而会使测量和计费也和实际耗电有所不同。

　　这些收入损失中的大部分都可以通过安装电子电表来解决，因为它们可以探测到篡改行为从而保证正确的计费，这不同于电子机械电表。另外，这些电表会采用AMR或智能电网等先进的计量技术连接，公共事业公司便可以受益于自动获悉任何远程发生的篡改行为。

　　关于MCF51EM256

　　MCF51EM256基于ColdFire V1的微控制器，具有256K闪存、四个高精度16位的SAR ADC，可以在所有相位同时测量电流和电压，以及中性电流。ADC由内部可编程延迟模块自动激发，以对电流和电压作出精确、同相的读数。微控制器包括一个精确的1.2v输出电压基准，内部ADC和如增益放大器等外部组件可以利用它来进行精准的测量。微控制器包括一个独立的RTC（iRTC），同时钟一样，它有自己的电源域，因此和其它系统组件是分开的。大多数的防篡改特性都在iRTC中实施。MCF51EM256还包括一个LCD驱动模块、一系列如 IIC、SCI、SPI、可编程比较器和AMR SPI/SCI模块等通信外围设备。

　　MCF51EM256的防篡改特性

　　带有独立电源域的RTC

　　当主供电可用时，iRTC在主供电（VDD）上全时运行，当主电源发生故障时，会自动切换至电池供电（VBAT）。此行为过程如图1所示。

　　图1— 独立RTC

　　iRTC可以检测出主供电电压（VDD）在特定阈值的下降，如在此阈值以下，就会自动转至电池供电。在此阈值以下时，只有RTC和振荡器会保持工作，而其它的微控制器都会关闭。

　　这就使所有相关逻辑可以在断电时与篡改探测（稍后会讲到）一起工作，除非电池移除或电能耗尽。

　　电池移除或电力故障下的保护

　　篡改系统的一般方法就是在干线电源不可用时移除电池。这就使得黑客可以有操纵系统的时间，之后再将电池装回好像什么都没发生过一样。iRTC的独立性包括其重置、时钟和电源。独立的电源在设备断电时移除后，如果再连接电池，iRTC就会被重置，然后默认被篡改的状态。

　　值得注意的事，iRTC相对于SoC POR来说有一个单独的"上电复位（POR）"。iRTC POR只有在当主供电和电池电源都移除，然后其中一个被重新连接时才发挥效用。iRTC有检测移除电池的功能，并能内部生成一个篡改干扰CPU。在最初的计量校准阶段，这种篡改可以被忽略，因为此时系统处于分析模式。

　　检测系统的外部篡改

　　电表也会面对来自真实世界的几种攻击。这包括系统箱体的损坏，某种信号的更改等。iRTC会得到片下防篡改开关的支持，它可通过MCU上的一个专门防篡改引脚进行连接，如图2所示，因此可监视和检测出这些侵入。这些抗篡改开关需要全时被监控，所以它们需要用电池（RTC）来供电。

　　这些防篡改开关更易产生噪音，且易引起错误的篡改条件。iRTC会过滤掉这些噪音以防错误的触发行为。

　　篡改事件是影响CPU的原因之一。篡改事件的固件会采取必要的行为，如擦除所有安全信息、生成系统重置、在EEPROM或电池备份寄存器中储存篡改事件，最后清除中断标志。CPU对一个篡改事件的响应通常都是因应用而不同的。

　　图2 –外部篡改探测

值得注意的是，一旦篡改中断产生，除非主供电（VDD）和电池电源（VBAT）都移除，否是它是不会被清除的。当电源重新连接，篡改会处于默认状态，只有在CPU内使用密码才可对其进行