1.
Link: http://www.ednchina.com/ART_8800523460_27_20030_TA_2eb7ee4b.HTM
利用近场通信和安全认证实现居民电表预付费系统
作者：Hamed Sanogo，嵌入式安全系统执行经理，Maxim Integrated
现代童话——比小说真实
有位客户采用预付电费方案，回家后却发现照明灯没有亮。于是，她拿出手机并打开一个应用
程序(app)，向其电费账户中又额外增加了 50 美元额度。然后她将手机靠近电能监测显示单元
(HDU)，不到 5 分钟，家里的照明灯又亮了。
我们的女主角并未意识到，但她确实利用了近场通信(NFC)以及 HDU 中的安全认证标签预付了
电费。这种预付费系统就是本文讨论的内容，是基于 NFC/RFID 安全认证器 IC 的电能预付系
统。我们将讨论如何部署基于 NFC 智能手机的双向预付费系统，其中以供电公司和用户之间
的高级表计基础架构(AMI)以及安全 NFC/RIFD 标签认证器作为基本的安全电路。DeepCover®
MAX66242 就是其中一款安全标签认证器。
电表预付费系统的背景
在美国，传统上是由提供水、电及天然气服务的事业单位以预付邮资的形式将账单寄给用户。
他们只需以月或季度为周期跟踪用户在上月/季度的用量，然后根据用量开具账单。要求用户
在预定时间内进行支付，否则可能存在断电的风险。
我们都是电力用户，其中有些人平时并不关心公共能源用量(及气、热、水等)，直到下次收到
账单。当然,我们的观念也在转变，更加关心和在意天然资源的消耗量，变得更加节俭。许多
用户也希望能够更好地控制其公共能源的财务状况。下面，我们就讨论上述故事中虚拟用户使
用的新型高效预付费系统。
预付费服务已经普及了几十年，尤其是在英国、澳大利亚、新西兰、比利时、南非等国家。而
美国用户一般只习惯使用手机、电话卡以及过桥和过路费的预付费服务。对于偏远地区的用户
(投资者对其投资支出并不总是有投资回报(ROI))，以及类似高校学生等流动人口，预付费服务
也是一种很好形式。
上文中我们的女主角完全不必直接与供电公司打交道，而是通过家中的 HDU 控制 AMI 系统供
电。为了进行支付并恢复电力服务，系统利用 NFC 标签安全认证器来确保交易安全。
预付费系统的优势
用户首先具有一定的账户余额，供电公司实时跟踪用电量并从预付费额度中扣减对应的电费。
如果未及时支付或未向账户中增加额度，服务将中断。
全球范围的供电公司正越来越多地采用预付费业务模式。无数新兴经济体依赖这种模式作为吸
引众多投资渠道的一种方式。尤其是预付电费已经成为全球性发展趋势。法维翰咨询公司
(Navigant Consulting，原 Pike Research)的一项研究报告表明，全球范围内预付费表计用户的安
装数量将从 2014 年的 3170 万户增加到 2024 年的 8520 万户，年均复合增长率(CAGR)为
10.4%。该报告预测北美的预付费表计安装数量在相同周期内将从 650,000 户增加至 310 万
户，CAGR 为 17.0%。[1]
如图 1 所示，预测预付费用户增长最快的地区是亚太地区。

2.
图 1. 法维翰咨询公司(Navigant Research)研究报告中的图表，“2014 至 2024 全球预付费电表安
装数量的地区分布”[1]
。图表由 Navigant Consulting Inc 提供。
预付费模式在双方都具有良好的基础，供电公司和客户都容易接受。该模式已经被广泛应用并
从多方面形成多赢局面。
预付费允许供电公司降低收款费用；无需收取大量保证金或断电费用，降低冲销开支；避免与
欠费用户之间的纠葛，减少不良债务。电力公司可以轻松达到 100%的收缴率。预付费在消费
之前获得收入，允许供电公司进行投资并实现可预测的 ROI。该模式也无需派遣员工在物理上
断开或恢复用户的电力服务。采用预付费后，无需每月准备电费账单。所以，供电公司就减少
了成本较高的文案工作以及邮资、纸张、打印和处理等相关费用。
用户为什么愿意预付费呢？简短回答就是预付费提供了方便监测用电量的最佳途径。不再需要
保证金、信用调查、截止日期或滞纳金！再也不会发生断电或恢复费用，不再受到账单“恐
吓”，利用智能手机可通过互联网 24/7 随时支付。预付费为那些希望明智用电的用户提供了途
径；为用户提供了管理其账单以及用电量的机会，对其使用情况具有更清晰的认识。有助于用
户更好地理解能源/燃料节约的好处。
我们已经目睹人类的行为方式在随着新技术趋势的发展而发生变化。有理由相信，如果用户能
够在家庭能源监测装置上看到其日常的能源消耗，就有积极性改变消费模式和习惯。
电能预付费系统的基础设施
高级表计基础架构(AMI)
任何预付费计划的底层技术都是智能表计技术，也称为高级表计基础架构(AMI)，该技术支持
用户和公共事业单位之间的实时连接；其核心是数字表(通常称为智能电表)，具备远程断开和
重新连接功能。
凭借供电公司后台与已部署智能电表之间的这种双向通信网络，能够实时传输用电数据和远程
断电/恢复供电命令。利用 AMI，供电公司现在能够以预定义间隔从智能电表收集电表读数，
最短只需几分钟甚至更短。电力公司也借此进行收费或部署电表软件的升级。
AMI 另一项关键配套组件是分离式可插拔电能监测显示单元(HDU)，该装置位于用户家中。
家庭显示单元(HDU)
用户的 HDU(图 2)实际上是一种电力状态监测装置，是用户和供电公司之间的双向通信入口。
HDU 支持 NFC。用户可利用其智能手机或平板电脑平台通过 Wi‐Fi®或蜂窝网络买电，然后利用
智能手机的 NFC 接口将这些购买金额从智能手机传输到 HDU。

3.
图 2. 基于 NFC 的预付费家庭显示单元(HDU)演示板。HDU 与供电公司的后台通信，更新剩余的
电量额度。通过家庭中现有电力线利用电力线通信(PLC)完成交易。
该 HDU 演示平台的目的是为了演示系统工作原理。HDU 的核心是 MAX66242 安全 NFC 标签认
证器。图 3 所示为演示单元的所有组件。LCD 显示消耗的电力以及剩余的电费总量。有一个开
关可使能或禁止能源消耗。需要支持 NFC 功能的智能手机才能操作该 HDU。连接至笔记本电
脑的本地 Wi‐Fi 网络可模拟供电公司的服务器。使用的是 ZyXEL 的 MWR102 旅行路由器。服务
器运行 TCP/IP client‐server 应用，负责处理购电交易。
图 3. 此处所示的预付费供电公司演示平台采用 MAX66242 安全认证器标签和 MAXQ610 微控制
器(图中未显示)。
HDU 显示用户的能耗和支出信息。利用供电公司提供的软件应用程序，用户可访问其日、月或
即时用电情况，从而为其提供分析以及可能改变其用电习惯，减少预算的机会。智能电表和
HDU 之间的通信也可以是硬件连接，从电源插座处通过电力线传输数据(即电力载波通信，
PLC)。
当用户账户余额达到预设下限时，供电公司可利用 HDU 向用户发送声音报警。用户也可选择
通过电子邮件、短消息、电话或全部三种方式接受这种提醒。用户在任何时间均可利用支持
NFC 的智能手机/平板电脑买电。然后将购买的电装载至 HDU。如果用户的预付费额度已经全
部用完，HDU 的显示屏可设计为变为红色，并在之后很快断电。在发生再次预付费后，远程恢
复供电。
HDU 架构及其工作原理

4.
图 4 所示为实际的演示 HDU，分别是正面和背面，基于 MAX66242 评估板(EV)。该架构采用符
合 ISO/IEC 15693 标准的 DeepCover®安全标签认证器 IC (MAX66242)实现电能预付费系统。在评
估板上增加了显示屏，便于双向通信。
安全是该电能预付费系统的重要特点。该 HDU 利用 MAX66242 安全标签集成的 SHA‐256 加密
技术及其存储器保护特性，确保电能预付费的扣减和充值不会将整个通信暴露给造假者以及/
或者试图窃取隐私信息的任何人。
图 4. HDU 正面 PCB(上)，包括集成 NFC 天线和显示屏；HDU 背面 PCB(下)，可看出 NFC 天线线
圈连接至 MAX66242 安全标签认证器。
实际系统操作非常简单。首先，用户利用供电公司提供的智能手机软件为用电账户充值(图 5
中的第 1 步和第 2 步)。第二，用户将智能手机的 NFC 天线对准 HDU 的八边形天线。手机和
HDU 之间进行握手，将用户购买的用电额度从智能手机安全地传输至 HDU(第 3 步)。第三，更
新用户账户的预付费电费额度总量，并瞬时在 HDU 的显示屏上更新总额度。对于断电后增加
了用电额度的用户，在第 4 步中触发远程断电和恢复开关。在利用第 5 步链路从智能表向
HDU 更新的同时，在第 6 步中将数据同步至供电公司的服务器。注意，目前的演示平台中，
必须将已购买的用电额度从手机传递至 HDU 装置，才能用同一个智能手机再次购买新的用电
额度。

5.
图 5. 高级预付费表计基础架构，包括买电流程。第 1 步中，用户利用定制的 app 买电，并将
财务数据传输至电力公司的后台服务器。在第 2 步中将预付费额度(数据包，包括最大电表值
或 MMV)传输至智能手机。然后用户在第 3 步中将这些用电额度传输至其 HDU。
通过标准无线网络操作
利用我们周围无所不在的无线网络，无需完全部署 AMI，即可快速建立该预付费系统(图 6)。
用户首先需要填写简要信息，在电力公司的预付费系统上注册账号。然后利用输入到简要信息
中的凭证配置账户并激活预付费系统。供电公司在 HDU 中储存一个密钥(即 S 密钥)，然后将
HDU 发送给用户。如果用户申请，供电公司可派遣技术人员到用户现场完成硬件安装。

6.
图 6. 预付费系统利用标准无线 PLC 实现 HDU 和电力公司后台的通信。
图 6 所示为通过公共无线数据或蜂窝网络将电表读数发送回收集点或云端的方式。在智能电表
和 HDU 之间传递全部的报警、用电数据、断电/恢复供电、电表欺诈行为检查命令等。像 HDU
一样，预付费手机 app 允许用户实时访问其预付费余额、用电历史，以及其他账户信息。从供
电公司后台发送至 HDU 的信息包括通知用户余额较低的报警、断电以及其它账户信息。
该方法为供电公司提供了利用广泛可用的无线网络部署预付费服务计划的方法，具有平稳、可
扩展等特点。最后，该配置可迁移至完整的 AMI 部署架构。
确保电能预付费交易的安全性
为确保这些财务交易的安全，选用 MAX66242，这是 HDU 内部的关键电子器件。该标签认证器
IC 集成无线 NFC/RFID 接口和 I2
C 接口。32 字节 SRAM 缓冲器有利于通过 I2
C 接口进行高速数据
传输。IC 具有加密引擎和带有保护模式的用户存储器，是保护 HDU 中隐私信息的最佳和最安
全方案。MAX66242 也内置硬件保护功能，包括专有的管芯级物理技术、电路以及加密方法，
隔离和保护 HDU，防止被黑客或恶意攻击者篡改或损坏。
MAX66242 本质上是 HDU 内部的安全元件。集成的 SHA‐256 加密引擎提供对称质询‐应答安全
认证(图 7)，基于供电公司后台服务器(作为主机，M 密钥)和 HDU(作为从机，S 密钥)之间的共
公密钥。位于供电公司的后台密钥服务器实现该系统的 M 密钥，S 密钥安全地保存在用户家中
HDU 的 MAX66242 中。此外，每个用户的 HDU 采用唯一的 S 密钥行工作。当需要将购买的用
电额度传输至 HDU 时，安全服务器必须在本地建立与目标 HDU 中储存的相同的 S 密钥。根据
储存在安全服务器上的 M 密钥用户的 HDU 配置数据，利用直接和加密的过程，可实现这一目
的。这一过程不会被外部的不法人员所复制，在完成之后，安全服务器即临时持有 MAX66242
中的储存的 S 密钥副本。用于电能额度交换的后台 SHA‐256 加密算法基于美国国家标准与技术
研究院(NIST)颁布的安全散列标准 FIPS PUB 180。除确保数据交换安全外，SHA‐256 也是一款强
大的防伪工具。

7.
HDU 平台如图 7 所示。HDU 的(MAX66242)用户存储器中有四个数据字节，储存电能表的最大
千瓦时(kWh)值，我们称之为最大电表值(MMV)。与加载额度然后在用电时扣减的方法不同，
这种情况下采用的方法是累加。当用户买电时(预付费)，在总额度上加上新额度。所以，MMV
是预付费额度允许的最大千瓦时读数，达到该读数时将断电。这里使用的方法利用 MAX66242
中的存储页执行 SHA‐256 运算，此时器件已经被设置为认证保护模式(IC 支持的众多存储器保
护模式之一)。该方法也允许每个 HDU 具有自身唯一的 S 密钥，在数学上与服务器上的 M 密钥
关。同样，在该方法中，智能手机仅提供一个途径，一种信息渠道。
图 7. HDU 框图。服务器利用主机密钥(M 密钥)和包括 HUD ROM ID 在内的用户相关数据计算从
机密钥(S 密钥)。
由于客户配置文件是客户首次在供电公司注册帐户时创建的，所以系统知道客户信息。现在，
后台服务器拥有客户的个人信息(例如姓名、住址等)、MMV(对于新用户，初始值为 0)、HDU
的唯一序列号(即 ROM ID)，以及从其配置中选择的存储页数据信息。用户按照图 7 所示的交易
流程进行买电。
1. 用户利用支持 NFC 的智能手机或平板电脑，通过定制的 app 进行预付费(比如
1000kWh)。这种情况下，app 通过用户的蜂窝数据网络或家庭 Wi‐Fi 直接从供电公司买
电。供电公司的 app 指导用户完成交易。在服务器执行交易并验证成功完成预付费
后，服务器将用户预付费总额增加到 MMV。
2. 然后服务器生成一个数据包，其中包括新存储页数据(即新 MMV)和计算的对应信息验
证代码(MAC)，用于对 HDU 的 MAX66242 执行认证写操作。服务器通过建立的蜂窝数
据网络或 Wi‐Fi 连接将数据包发送至智能手机。
3. 现在，用户即可通过 NFC 接口将购买的电从智能手机传输至 HDU。正如文章开头虚构
故事中描写的那样，用户只需将智能手机靠近 HDU 的天线即可。当智能手机的 NFC 天
线与 HDU 的八边形天线对准时，可实现最佳、最可靠的连接。然后智能手机使用服务
器提供的认证写操作以及信息验证代码(MAC)，将新 MMV(比如 1000kWh)写到 HDU(具
体讲，是 MAX66242 存储页)。(注意，NFC 智能手机仅仅是执行认证的渠道，既没有 M
密钥，也对其一无所知。)完成存储器安全认证后，智能手机发送一条短消息，向 HDU
报告传输完成。该消息使 MAX66242 向 HDU 的微控制器(MAXQ610)发送一个信号，触
发中断，表示有新额度可用。然后微控制器读取 MAX66242 存储页并更新自身的 MMV
副本。只有具有 M 密钥的服务器才能进行更新，并且此时将显示在 HDU 的屏幕上，
供用户参考。将重新计算并显示剩余的电量。
现场抄表：防止欺诈和窃电
有时候，为了确保智能电表和/或 HDU 不遭受攻击，供电公司需要进行现场抄表。(参见图 5 中
的第 7 步)。现场抄表将发现供电公司服务器储存的 MMV 值与 HDU 中储存的 MMV 值之间的

8.
不一致。HDU 的 MMV 读数不应超过服务器上储存的 MMV 值，所以两个数字之间的任何不一
致现象都说明发生了篡改甚至窃电。
现场抄表收集 HDU 中目前储存的总千瓦时值，并将其传输至供电公司的服务器。收集现场数
据的方法有两种：利用 PLC 通信，通过家庭电力线将智能电表连接至 HDU；或者服务人员到现
场，利用智能手机抄表。图 8 所示为在 HDU 演示平台上实现的现场抄表步骤。
1. 现场技术人员通过智能手机 app 从供电公司服务器请求随机质询，对电表进行安全认
证。
2. 智能手机命令 HDU 中的 MAX66242 计算随机质询、包含 MMV 的存储页，以及其他各
种数据值的 SHA‐256 MAC 值。
3. 智能手机将计算得到的 MAC 值发送到供电公司的服务器，验证电表的真实性。该方法
无需智能手机知道 M 密钥。
4. 供电公司的服务器计算自身的 MAC 值，并将其与从 HDU 接收的 MAC 值进行比较。
5. 如果两个 MAC 值一致，服务器向智能手机响应“良好 HDU”消息。这意味着 HDU 处于
良好工作状态，未被篡改。然而，如果未成功完成安全认证过程，就意味着 HDU 已经
被篡改。
图 8. 服务人员检查是否存在欺诈。被判断存在欺诈的任何 HDU 都将从现场拆除。
总结
本文介绍的电能预付费系统允许用户选择何时支付、如何支付以及购买多少电。预付费使用户
能够更好地控制其账单及用电，用户必然对其各个时间段的用电量具有更清晰的认识。
有一点可以肯定——具有双向通信能力的高级表计基础架构(AMI)、远程断电开关、带有
DeepCover 安全 MAX66242 NFC 标签认证器 HDU 能够提供有效的预付费系统。在英国、澳大利
亚和新西兰等目前已经存在电能预付费系统的地区，用户了解特定电气所需的成本，能够将其
与每天的具体用电量联系起来。这就促进了节能措施的普及，包括关闭电器、调低热水器温
度、购买绿色之星电气、安装节能灯等。
这种框架将有助于供电公司简化业务运营工作、削减成本、降低坏账风险、提高现金流、提供
及时的客户服务，并鼓励节能。简而言之，这是一种能够为供电公司、用户以及全球资源创建
多赢的预付费系统。