【儀表網(wǎng) 行業(yè)應(yīng)用】近年來城市燃氣發(fā)展取得了巨大的進步，尤其是智能燃氣表的廣泛應(yīng)用，給企業(yè)和用戶帶來了諸多便利，但與此同時，也對信息安全提出了更高的要求。目前多數(shù)的智能燃氣表在實際應(yīng)用中，往往缺少完備的安全防控手段，存在敏感信息泄漏或被篡改的風險，嚴重威脅個人用戶隱私、企業(yè)商業(yè)信息甚至城市基礎(chǔ)設(shè)施的安全。本文提出一種基于SE(安全單元)的智能燃氣表安全解決方案，保障終端在接入、通信傳輸、數(shù)據(jù)存儲等各環(huán)節(jié)的安全，同時對密鑰分發(fā)、SE生產(chǎn)與集成等相關(guān)技術(shù)進行了闡述。
 

　　智能燃氣表應(yīng)用架構(gòu)
 

　　隨著我國城鎮(zhèn)化建設(shè)的發(fā)展，智能燃氣表市場的規(guī)模也不斷擴展，根據(jù)中國計量協(xié)會燃氣委員會發(fā)布的相關(guān)數(shù)據(jù)，目前我國約有1.5億臺在線運行的居民燃氣表，其中智能燃氣表3000-4000萬臺，2018年國內(nèi)智能燃氣表市場規(guī)模已經(jīng)達到了66.77億元，同比增長18.48%。
 

圖 1 2012-2018年中國智能燃氣表市場情況
 

　　智能燃氣表屬于智能化計量儀表的范疇，通過終端集成的GPRS、NB-IoT、LoRa等傳輸模塊接入到通信網(wǎng)絡(luò)內(nèi)，同時借助云平臺或業(yè)務(wù)平臺的數(shù)據(jù)分析能力，實現(xiàn)實時采集、遠程監(jiān)控及遠程控制，能夠?qū)τ脩舻氖褂脭?shù)據(jù)進行分析，提前預估用戶的使用量，實現(xiàn)分時、分地的能源傳輸，使管理更科學、更，同時大大降低了維護所需的人力資源成本。
 

　　整體架構(gòu)
 

　　智能燃氣表的產(chǎn)生與發(fā)展依托物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算等諸多新興技術(shù)，因此其應(yīng)用架構(gòu)也由物聯(lián)網(wǎng)“云-管-端” 的架構(gòu)衍生而來，同時結(jié)合燃氣行業(yè)實際的應(yīng)用需求，在各層級做了相應(yīng)的功能細化或系統(tǒng)分級。如圖2所示。
 

圖 2 智能燃氣表應(yīng)用架構(gòu)
 

　　終端層
 

　　終端層，是指對信息進行感知與采集的用戶終端的全體，是物聯(lián)網(wǎng)信息和數(shù)據(jù)的感知層。智能燃氣表通過內(nèi)置的各種傳感器和通信模塊，與網(wǎng)絡(luò)對接完成中心管理平臺之間的數(shù)據(jù)交互。
 

　　網(wǎng)絡(luò)層
 

　　網(wǎng)絡(luò)層，是物聯(lián)網(wǎng)信息和數(shù)據(jù)的傳輸層或通訊基礎(chǔ)，將終端層采集到的數(shù)據(jù)傳輸?shù)綉?yīng)用層進行進一步的處理。不同的應(yīng)用場景和終端使用不同的網(wǎng)絡(luò)接入技術(shù)和連接技術(shù)，包括NB-IoT/LoRa無線網(wǎng)絡(luò)、GRPS/CDMA無線公網(wǎng)、光纖專網(wǎng)等接入網(wǎng)，以及遠距離廣域網(wǎng)通信服務(wù)的核心網(wǎng)。
 

　　平臺層
 

　　平臺層，是物聯(lián)網(wǎng)信息和數(shù)據(jù)的應(yīng)用層，以云計算服務(wù)為基礎(chǔ)，對通過網(wǎng)絡(luò)層傳輸過來的數(shù)據(jù)進行分析處理，并再次通過網(wǎng)絡(luò)層反饋給終端層，實現(xiàn)燃氣需求側(cè)的管理以及管網(wǎng)建設(shè)、生產(chǎn)運維等供給側(cè)的管理，并為用戶提供豐富、智能、便捷的特定服務(wù)。
 

　　安全體系建設(shè)思路
 

　　智能燃氣表作為一類典型的物聯(lián)網(wǎng)終端，其網(wǎng)絡(luò)層的核心載體是互聯(lián)網(wǎng)、移動網(wǎng)以及其他一些專用網(wǎng)絡(luò)，因此互聯(lián)網(wǎng)的諸多安全威脅仍然存在，例如服務(wù)阻斷、鏈路監(jiān)聽與劫持、未授權(quán)訪問、跳板及冒用、APT攻擊等等。
 

　　同時，由于燃氣表散布在日常應(yīng)用的物理環(huán)境中，很容易遭到攻擊，加之嵌入式終端的資源受限，其處理器能力、存儲空間有限，很難實現(xiàn)強有力的防護機制，更加增大了終端的安全風險。
 

　　因此，相對于傳統(tǒng)互聯(lián)網(wǎng)系統(tǒng)而言，智能燃氣表的運營環(huán)境需要有更好的防范措施和災(zāi)難恢復機制，確保在遭受攻擊時整體系統(tǒng)仍可持續(xù)可靠的運行。針對上述風險背景及對應(yīng)的安全技術(shù)，總結(jié)出如下幾點基本的建設(shè)思路。
 

　　安全體系的建設(shè)時機
 

　　安全體系需要與應(yīng)用系統(tǒng)同時建設(shè)或盡早建設(shè)，后期增加額外的安全防護功能，不但會有諸多限制(硬件環(huán)境、軟件環(huán)境、接口等)，而且相關(guān)的建設(shè)或改造費用也會更高。同時，在識別安全風險時，要從整體系統(tǒng)層面來考慮，使用多重防御策略來逐級管控安全威脅、抵御安全風險。
 

　　網(wǎng)絡(luò)層安全和平臺層安全，更多的是基礎(chǔ)設(shè)施安全與承載平臺的安全，在目前的技術(shù)條件下通常已具備成熟的防御機制。因此，智能燃氣表安全的終解決方案，應(yīng)該聚焦在核心業(yè)務(wù)數(shù)據(jù)(包括固件、指令、配置類數(shù)據(jù))的安全，因為對用戶來說，業(yè)務(wù)數(shù)據(jù)是整個運營系統(tǒng)的“生命線”，只有業(yè)務(wù)數(shù)據(jù)的安全方案才是可控的。
 

　　業(yè)務(wù)數(shù)據(jù)的安全，更多的是體現(xiàn)在終端到平臺之間“端到端”的安全，即如何核實對方的真實身份、如何保證數(shù)據(jù)傳輸?shù)臋C密性、完整性與可用性，同時終端自身的安全也至關(guān)重要，包括如何保證固件程序的合法性、如何保證敏感數(shù)據(jù)存儲的安全性。
 

　　安全體系的技術(shù)路線
 

　　為保證業(yè)務(wù)數(shù)據(jù)的安全，應(yīng)為每臺終端提供身份并配合完善的安全認證機制，可基于對稱或非對稱密鑰體系，使終端自身擁有安全連接能力。對不同終端及后端云平臺之間的往來流量進行加密，尤其是用戶信息、控制指令等敏感數(shù)據(jù)，且通過簽名或者強編碼保證完整性。
 

　　認證和加密是保證合法身份以及通訊不被篡改的關(guān)鍵，將加密算法固化在一個專用的芯片(SE)內(nèi)，這種方式可有效避免因為通過軟件計算而導致的密鑰泄露，同時，芯片廠商在設(shè)計芯片時本身的安全性考慮更多，其自帶的算法協(xié)處理器可保證算法實現(xiàn)質(zhì)量。目前隨著硬件成本越來越低，終端集成SE的方案層出不窮，并且這種趨勢后續(xù)會愈加明顯。
 

　　基于SE的安全解決方案
 

　　華大電子以智能燃氣表的安全需求為契機，將整個系統(tǒng)的安全聚焦在業(yè)務(wù)數(shù)據(jù)的安全上，深入挖掘如何能夠通過硬件單元保證業(yè)務(wù)數(shù)據(jù)的安全，提出了基于SE(安全單元)的整體安全解決方案。
 

　　安全體系架構(gòu)
 

　　基于典型的智能燃氣表應(yīng)用架構(gòu)，增加端到端的硬件級安全單元及服務(wù)接口，保障整個系統(tǒng)的運行安全，安全體系架構(gòu)如下圖所示。
 

圖 3 安全體系架構(gòu)圖
 

　　在系統(tǒng)的接入層增加安全防御的相關(guān)機制，使其成為“安全網(wǎng)關(guān)”的角色，基于密鑰管理系統(tǒng)及算法體系，實現(xiàn)終端安全、鏈路安全、安全OTA以及安全的參數(shù)管理等功能。后端的運營層及服務(wù)層保持不變，僅專注于業(yè)務(wù)相關(guān)的功能。相應(yīng)的，在終端層的燃氣表內(nèi)，增加硬件SE芯片，并基于SE配套的安全SDK，實現(xiàn)安全啟動、安全OTA、身份認證以及安全通信等安全功能。
 

　　安力
 

　　基于上述安全體系架構(gòu)，終端與平臺間可建立起安全通信的可信鏈路，安全接入層承擔了登陸身份認證及用戶之間機密數(shù)據(jù)的傳輸，從而實現(xiàn)“端到端”的業(yè)務(wù)數(shù)據(jù)安全。
 

　　將整個安全體系所具備的安力抽象出來，主要包含以下四點：
 

　　身份認證
 

　　終端在連接后臺系統(tǒng)之前，需要與其進行雙向身份認證，以確認雙方的合法身份，并保證后續(xù)的安全通信。身份認證流程完成之后，兩者之間即建立起一條可信鏈路。
 

　　具體的身份認證流程與其采用的算法體系相關(guān)，如對稱體系、非對稱PKI體系、非對稱IBC體系，相關(guān)的密鑰、證書等數(shù)據(jù)，應(yīng)存儲在SE內(nèi)以保證安全。
 

　　通信加密
 

　　終端與后臺系統(tǒng)間完成雙向身份認證之后，應(yīng)使用特定的密碼算法及流程，保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性和可用性?br /> 

　　在此過程中使用的密鑰稱之為“會話密鑰”，通常為對稱密鑰，會話密鑰需定時更新，以進一步提升通信鏈路的安全性。會話密鑰的生成可使用以下幾種方式：
 

　　基于非對稱體系的密鑰協(xié)商算法；
 

　　使用非對稱密鑰信封方式，交互對稱密鑰；
 

　　使用預置的對稱密鑰，通過衍生算法產(chǎn)生。
 

　　安全存儲
 

　　終端用到的敏感信息或關(guān)鍵參數(shù)，可安全存儲至SE內(nèi)。SE通過其文件系統(tǒng)來支持數(shù)據(jù)的安全存儲，可針對不同的存儲數(shù)據(jù)，設(shè)置相應(yīng)的安全策略，包括：
 

　　讀寫權(quán)限：指外部實體必須通過認證SE內(nèi)相應(yīng)的密鑰，達到設(shè)置的安全級別，才能訪問對應(yīng)的數(shù)據(jù)。
 

　　線路保護機制：指數(shù)據(jù)的更新、讀取等操作，可根據(jù)設(shè)置使用明文、密文、明文+MAC或密文+MAC等方式來完成。
 

　　非法訪問次數(shù)超限鎖死：指外部實體對SE的認證操作，其出錯次數(shù)如果超過了設(shè)置的重試上限，則鎖定對應(yīng)的密鑰或應(yīng)用，防止可能出現(xiàn)的非法攻擊。
 

　　固件防護
 

　　借助SE提供的密鑰和算法，通過簽名等機制，保護固件程序的合法性和可用性，實現(xiàn)OTA安全升級功能。
 

　　在OTA程序包下發(fā)之前，先使用安全啟動密鑰(BootKey)對代碼進行加密，然后使用版權(quán)保護私鑰(PrivateKey)對其進行簽名，這樣，在對代碼進行加密的同時，也可驗證程序的合法性和有效性。為適應(yīng)此機制，終端的Boot Loader需相應(yīng)的增加校驗和解密操作.
 

　　密鑰體系
 

　　密碼算法體系
 

　　密碼算法體系包含對稱密鑰體系和非對稱密鑰體系，其中非對稱密鑰體系又包括PKI體系和IBC體系。實際應(yīng)用中，對稱密鑰主要用于對敏感數(shù)據(jù)的加密和校驗，非對稱密鑰主要用于實現(xiàn)各實體間的身份認證及數(shù)據(jù)簽名校驗。
 

　　目前常用的算法包括：
 

　　對稱算法——SM1、SM4、AES、3DES；
 

　　非對稱算法——SM2、SM9、ECC、RSA；
 

　　雜湊算法——SM3、SHA256。
 

　　不同密碼算法體系的對比如下：
 

　　因此，對于資源受限的終端，可采用輕量級安全算法和安全協(xié)議，如基于對稱密鑰體系的身份認證和數(shù)據(jù)加密；對于資源較為豐富的終端，可提升安全等級，使用成熟的PKI或更易部署的IBC等安全防護體系。
 

　　密鑰管理及分發(fā)
 

　　密鑰體系的核心由密鑰管理系統(tǒng)(KMS)實現(xiàn)，是由管理客戶端、數(shù)據(jù)庫、加密機等軟硬件組成的系統(tǒng)，其密鑰管理及分發(fā)的機制如下圖所示。
 

圖 4 密鑰管理及分發(fā)機制的示意圖
 

　　SE安全設(shè)計
 

　　SE內(nèi)預置SEID，固化在芯片中，不可篡改且具備性。后期應(yīng)用階段的安全計算與SEID相關(guān)聯(lián)，作為身份識別的標識。
 

　　私鑰及對稱密鑰，通過安全環(huán)境在芯片內(nèi)部生成或預置,外界不可以獲取。
 

　　各項安全計算使用基于硬件的SM1、SM2、SM3、SM4等算法實現(xiàn)。
 

　　支持數(shù)據(jù)安全存儲，可設(shè)置相應(yīng)的安全策略。
 

　　密鑰及數(shù)據(jù)
 

　　SE內(nèi)核心的密鑰及數(shù)據(jù)主要包括：
 

　　SEID
 

　　公開數(shù)據(jù)，存儲于不可修改的存儲區(qū)。
 

　　密鑰
 

　　公私鑰對，內(nèi)部生成
 

　　根CA公鑰
 

　　安全啟動密鑰
 

　　預留對稱密鑰
 

　　數(shù)字證書
 

　　簽名證書，由根CA私鑰簽發(fā)
 

　　安全SDK
 

　　終端在硬件層面集成SE之后，可在MCU編譯環(huán)境中集成SE配套的安全SDK庫文件，在相應(yīng)的業(yè)務(wù)內(nèi)容中調(diào)用安全SDK提供的安全服務(wù)接口，即可實現(xiàn)各類安全算法、密鑰管理和數(shù)據(jù)存儲等功能，而不用關(guān)心如何去組織、派發(fā)SE相關(guān)的指令集。
 

　　安全SDK的應(yīng)用架構(gòu)如下圖所示。
 

圖 5 安全SDK的應(yīng)用架構(gòu)
 

　　SE生產(chǎn)與集成
 

　　SE的生產(chǎn)過程，是指將特定的密鑰、數(shù)字證書等數(shù)據(jù)寫入到SE內(nèi)，以支持應(yīng)用階段的各項安全功能，也稱為發(fā)行過程。目前主流的發(fā)行模式包括預置和空發(fā)兩種方式：
 

　　預置模式：密鑰下裝發(fā)生在終端出廠之前，適用于批量生產(chǎn)，由SE制造商集中完成。在SE出廠前，SE制造商通過安全方式(SDK、專線、VPN、加密機等)從管理方的密鑰管理系統(tǒng)獲取密鑰、數(shù)據(jù)，并通過生產(chǎn)線程序?qū)懭隨E中。
 

　　空發(fā)模式：密鑰下裝發(fā)生在終端使用階段，主要用于證書和密鑰更新，由OTA系統(tǒng)實現(xiàn)。當證書到期、密鑰或數(shù)據(jù)需要更新時，由終端發(fā)起更新操作，通過OTA系統(tǒng)遠程完成SE的升級發(fā)行。
 

　　SE的生產(chǎn)與集成的示意圖如下所示。
 

圖 6 SE生產(chǎn)與集成示意圖
 

　　總結(jié)
 

　　在物聯(lián)網(wǎng)紛繁復雜的應(yīng)用場景下，智能燃氣表作為關(guān)乎城市安全、企業(yè)利益、國計民生的一類物聯(lián)網(wǎng)基礎(chǔ)設(shè)施，針對其應(yīng)用構(gòu)建更為安全的防御體系，是推動行業(yè)創(chuàng)新、增進民生福祉、提升社會價值的趨勢所在。華大電子始終堅守與此，面向各類領(lǐng)域提供完善的安全解決方案，為整個物聯(lián)網(wǎng)應(yīng)用系統(tǒng)提供強大的安全支撐。(作者：北京中電華大電子設(shè)計有限責任公司 王睿)