国网单相智能电能表设计概要随着电子技术的迅速发展和不断成熟，电子式电能表在我国得到了广泛的使用，成为主要的电能量贸易结算器具，在电网技术由自动化向智能化方向发展的趋势下，电子式电能表将向智能电能表过渡。

智能电能表在电能量计量的基础上具有信息存储及处理、实时监测、自动控制、信息交互等功能，数据安全传输和存储是实现以上功能的基础，因此如何保证信息传递、信息保存的安全性已经成为智能电能表的关键性因素。

1智能电能表基本架构1.1基本架构（1）硬件架构智能电能表在硬件上主要包括电压/电流采样电路、计量单元、中央控制单元（MCU）、电源模块、存储单元、控制回路、红外通信、IC卡接口、安全论证单元等部分组成，其中数据安全防护重点为数据存储区和通信接口。

在数据存贮方面，采用FLASH芯片和EEPROM两种芯片，FLASH芯片容量大，成本较低，但擦写次数一般为10万次，所以主要存储负荷曲线、事件记录等历史数据；EEPROM芯片单片存贮容量较小，价格相对较高，但一般存储电量、金额以及表计的设置参数等重要数据。

在对外通信接口方面，红外通信接口、485通信接口、CPU 卡接口以及以窄带载波，其它近距离无线和无线公网为主的其他通信接口,暂不考虑。

电压采样电流采样计量芯片MCU单元存储单元控制回路485接口电源模块实时时钟通讯单元功率脉冲输出红外通信Lc卡接口LC D显示操作接口图1 智能电能表硬件框图（2）功能架构智能电能表以电能量计量、信息存储及处理、实时监测、自动控制、信息交互功能为特征，根据国网公司的要求，有以下功能：计量功能：正确计量正反向总有功电量，并单独存储；费率时段：正确计量各费率时段有功电量和总有功电量；数据存储和冻结功能：存储结算日或按照约定的时间或时间间隔的总电能、各费率电能、需量等信息；事件记录：存储失压、失流、断相、开盖、远程控制等事件发生时间、结束时间和相应的电能量数据；停电抄表：可通过按键、红外方式唤醒显示，背光灯点亮，可支持红外抄表；通信功能：具有RS485、红外通讯接口、载波三种通信方式，通信协议采用DL/T645系列及其国网公司颁布的增补通信协议，并且三个通信通道在硬件上、软件上完全独立；预付费功能：按照预售给用户的电费或电量值，在用完以后自动切断用电的功能。

预付费按照预付的内容分为电量控制和电费控制两种；按照预付费的方式分为远程预付费和本地预付费，其中本地预付费以IC卡为固态介质，远程预付费方式通过公网(表计通过RS-485连接到公网)、载波等虚拟介质和远程售电系统实现。

以上功能中需要存储和传输的数据如下表所示：表1 智能电能表数据明细表功能类型主要数据存储区域读权限写权限计量功能总、各费率电能值、需量值EEPROM/FRAM 公开经授权后允许清零费率功能时段参数、费率参数、假日参数、时间、费率切换时间EEPROM 公开经授权后允许设置负荷曲线电能值、电压值、电流值FLASH 公开不允许事件记录失压、失流、断相、开盖、远程控制等事件发生时间、结束时间和相应的电能量数据FLASH 公开经授权后允许清零预付费功能密钥、户号、各费率电价、电压/电流互感器变比、上限电费/量、报警金额/电量、透支金额/电量、购电金额/电量、剩余电量/电费、错误记录ESAM/EEPROM需权限经授权后允许设置计量功能、费率功能，预付费功能的相应参数和记录值是数据安全防护的主要内容，特别是预付费相关数据，在电能表日常运行中需要经常读写，且此类数据关系到供用电双方的经济利益，属于数据安全防护的重点，也是国网费控电能表的设计难点。

1.2电能表数据安全防护的实现方法（1）硬件开关电能表通过在编程开关外置封印，实现权限管理，目前已在电子式电能表上广泛使用，主要用于电量清零、需量清零和与密码验证进行配合使用。

（2）密码验证密码验证是通过在电能表数据传输中，预留固定字段用于密码验证，在密码验证通过后进行数据读写操作。

密码验证的方式比较简单实用，是一种常用的安全防护手段，国内电能表密码验证发展分为两个阶段，第一阶段以DL/T645-1997《多功能电能表通讯规约》为标准，可对数据进行4字节的明文密码验证。

第二阶段以DL/T645-2007《多功能电能表通讯规约》为标准，通过操作者代码对数据进行了4字节明文密码分级管理，这种方式可以根据数据安全等级的要求采用不同密码，并记录了操作者的代码，提高了电能表的数据安全防护能力和操作回溯性。

（3）数据加密加密是将明文信息隐藏起来，使之在缺少特殊信息时不可读，按照实现方式分为软件加密和硬件加密。

软件加密是把加密算法在通用芯片（GSIC）上通过软件的方式实现，硬件加密是通过专用芯片（A-SIC）实现加密算法，其中软加密实现成本较低，但运算速度较慢，安全等级不高；硬件加密运算速度较快，安全防护等级较高，缺点是需要一定的成本，但是随着使用量的增减，硬件加密产品如CPU智能卡、嵌入式安全模块（ESAM）价格迅速降低，已经在公共交通、燃气、供暖、供水、有限电视、物业管理等领域得到了广泛使用，硬件加密是智能电能表安全防护的主要手段之一。

电能表通信信道外部设备2、密码验证，正确则执行，否则返回否认回应1、发出含密码的数据指令3、确认或否认图2 密码验证过程示意图数据加密主要通过安全认证和线路保护两种方式实现。

数据加密是在读写设备与电能表通信进行数据交换时，首先进行必要的认证，用来确认双方身份。

只有确认双方身份后，才能建立互相之间的数据传输通道。

密钥在认证过程中只参与运算，不在通讯中进行传输，使非法跟踪无法在通讯过程中截获到密钥；同时运算过程中加入随机数，加密运算产生的密码也是随机的，即使非法截获到密码也无法在下次认证时使用。

认证操作是智能卡防止数据截获的有效手段，在不知道密钥的前提下，非法设备无法模拟安全认证的过程，无法进行数据的读写。

线路保护是指读写设备和智能卡通过安全认证后进行数据交换传输时，要保证数据在线路上被非法设备截获后不能进行破译、篡改和重放复现。

数据的线路保护分为两个层面：一是数据的机密性保护；二是数据的完整性保护。

数据的机密性保护是指要传输的数据用密钥进行加密处理后再进行传输。

这样在线路中传输的数据为密文数据，非法设备截获后无法进行数据破译和分析，接收方收到密文数据后再用解密密钥进行机密重新得到明文数据。

数据的完整性保护是指再要传输的数据后附加校验码字节，发送方将发送数据与线路保护密钥以及随机数进行运算，生成效验码后进行数据传输，接收方接收到数据后用相同的密钥对接收到的数据重新计算效验码并对效验码进行比较，相同则接收数据有效，否则数据无效。

由于密钥不在线路上传输，这样非法设备获取数据后如果对数据进行篡改，必然会导致效验码不正确，接收方就能够拒绝接收错误数据。

由于效验码再运算过程中也有随机数参与运算，因此即使采用相同的密钥，将相同的数据进行多次传输，每次形成的效验码也是各不相同的，这样非法设备即使截获了某一次的合理数据，也不能再进行二次传输。

电能表通信信道外部设备2、密码验证，正确则执行，否则返回否认回应1、发出含密码的数据指令3、确认或否认图3 安全认证过程示意图2、防护手段的安全性分析在智能电能表中，硬件开关、密码验证和硬件加密三种数据防护方式需要根据数据安全防护需求分类配合使用，其中硬件开关由于即使实现较为简单，主要通过封印分级管理进行，防护的重点是实现封印的规范管理。

密码验证和数据加密的风险主要来自于其通信过程，这对这两种措施的常用攻击方式有：电能表通信信道外部设备/卡/通信注站IC非法设备图4 数据截取示意图2.1截取信道中的数据通过非法设备以及相关技术手段截获传输过程中的数据，这种方式是较为常见的攻击方式，特别是对密码验证方式，在进行验证时，密码在线路上进行了传输，如果非法设备跟踪到密码验证的第一步，就比较容易破译整个验证过程，从而非法设备可以比较容易破译整个验证过程，从而达到获取或篡改数据的目的。

2.2破译IC卡或主站中的信息在通过上述方式截获数据信息后，可以根据数据信息的变化情况，对数据进行分析，从而确认外部设备、IC卡或主站端的数据含义以及数据变化规则，完成对数据信息的破译，达到非法改变数据的目的。

2.3复现数据传输中的信息非法设备在截获信息后，并不对数据进行分析破译，而是在记录在特定操作中数据流的变化情况，在需要时，将记录的数据流直接复制发送到电能表，从而达到非法改变数据信息的目的。

2.4差分能耗分析方法（DPA）随着加/解密技术的发展，1999年Paul首次提出了功耗分析，主要是利用ESAM中密码运算过程中泄露的能量信息，结合密码算法的特点并运用统计分析方法来推测加密系统的关键信息，针对密码芯片的差分功耗分析成为目前对公开算法的最快速最有效的攻击方法。

3、智能电能表安全防护实现从上述分析可以看出，非法设备的攻击重点是修改EEPROM、ESAM中的书籍，因此保护以上数据区域中的数据安全是安全防护的基本要求，是进行智能电能表安全性设计的关键，结合目前的安全防护技术，为了防止合法设备在与电能表之间进行数据交互时不被非法设备跟踪破译，国网智能电能表通过以下方法实现数据的安全防护：3.1密码验证和编码开关配合使用密码验证比较容易被截获和破译，因此此类方式在数据防护时不能独立使用，需要通过编程开关，配合封印的分级管理进行使用，同时，需要在电能表中增加对此类操作的详细事件记录，一旦发生非法更改，可以通过记录信息进行追查。

此类方式安全防护能力较弱，不适用于费率数据等安全等级要求较高的数据保护，如表一所示。

3.2使用保密性能更高的加密算法加密类型按照算法类型分为两种，对称加密与非对称加密，对称加密双方采用共同密钥，非对称加密存在两个密钥，一种是公共密钥，在信息传输时，使用公共密钥加密信息，在信息接收端使用私人密钥加密的信息只能使用公共密钥解密，从而达到确保信息安全的目的。

一般来说对称密钥算法简单，密钥长度一般不超过128bit，对硬件要求较低，但是对密钥体系的管理高，但是密钥长度在192bit以上，认证过程复杂，对硬件平台要求较高。

在电能表中一般采用对称算法的硬件加密方式，目前使用较广的为DES或3DES算法。

但是由于此类算法属于公开算法，容易收到DPA技术的攻击，所以在国网智能电能表采用算法不公开的对称加密算法，即SMI算法，可以提高对ESAM中数据的安全防护能力。

3.3密文和线路保护配合使用由于国网智能电能表需要保护的数据较多，而ESAM中的数据存储空间有限，所以部分数据需要存储在EEPROM中，但密码验证和编程开关的防护能力不高，且需要人工操作，不便于实现远程或自动运行，对于此类情况采用密文和线路保护配合使用的方式。

通过线路保护防止在通信过程中信息被非法篡改，通过报文加密保证电能表必须通过解密操作获得传输的信息，保证数据读写的安全性。