【仪表网 行业应用】近年来城市燃气发展取得了巨大的进步,尤其是智能燃气表的广泛应用,给企业和用户带来了诸多便利,但与此同时,也对信息安全提出了更高的要求。目前多数的智能燃气表在实际应用中,往往缺少完备的安全防控手段,存在敏感信息泄漏或被篡改的风险,严重威胁个人用户隐私、企业商业信息甚至城市基础设施的安全。本文提出一种基于SE(安全单元)的智能燃气表安全解决方案,保障终端在接入、通信传输、数据存储等各环节的安全,同时对密钥分发、SE生产与集成等相关技术进行了阐述。
智能燃气表应用架构
应用背景
随着我国城镇化建设的发展,智能燃气表市场的规模也不断扩展,根据中国计量协会燃气委员会发布的相关数据,目前我国约有1.5亿台在线运行的居民燃气表,其中智能燃气表3000-4000万台,2018年国内智能燃气表市场规模已经达到了66.77亿元,同比增长18.48%。
图 1 2012-2018年中国智能燃气表市场情况
智能燃气表属于智能化计量仪表的范畴,通过终端集成的GPRS、NB-IoT、LoRa等传输模块接入到通信网络内,同时借助云平台或业务平台的数据分析能力,实现实时采集、远程监控及远程控制,能够对用户的使用数据进行分析,提前预估用户的使用量,实现分时、分地的能源传输,使管理更科学、更,同时大大降低了维护所需的人力资源成本。
整体架构
智能燃气表的产生与发展依托物联网、移动互联网、大数据、云计算等诸多新兴技术,因此其应用架构也由物联网“云-管-端” 的架构衍生而来,同时结合燃气行业实际的应用需求,在各层级做了相应的功能细化或系统分级。如图2所示。
图 2 智能燃气表应用架构
终端层
终端层,是指对信息进行感知与采集的用户终端的全体,是物联网信息和数据的感知层。智能燃气表通过内置的各种传感器和通信模块,与网络对接完成中心管理平台之间的数据交互。
网络层
网络层,是物联网信息和数据的传输层或通讯基础,将终端层采集到的数据传输到应用层进行进一步的处理。不同的应用场景和终端使用不同的网络接入技术和连接技术,包括NB-IoT/LoRa无线网络、GRPS/CDMA无线公网、光纤专网等接入网,以及远距离广域网通信服务的核心网。
平台层
平台层,是物联网信息和数据的应用层,以云计算服务为基础,对通过网络层传输过来的数据进行分析处理,并再次通过网络层反馈给终端层,实现燃气需求侧的管理以及管网建设、生产运维等供给侧的管理,并为用户提供丰富、智能、便捷的特定服务。
安全体系建设思路
风险分析
智能燃气表作为一类典型的物联网终端,其网络层的核心载体是互联网、移动网以及其他一些专用网络,因此互联网的诸多安全威胁仍然存在,例如服务阻断、链路监听与劫持、未授权访问、跳板及冒用、APT攻击等等。
同时,由于燃气表散布在日常应用的物理环境中,很容易遭到攻击,加之嵌入式终端的资源受限,其处理器能力、存储空间有限,很难实现强有力的防护机制,更加增大了终端的安全风险。
因此,相对于传统互联网系统而言,智能燃气表的运营环境需要有更好的防范措施和灾难恢复机制,确保在遭受攻击时整体系统仍可持续可靠的运行。针对上述风险背景及对应的安全技术,总结出如下几点基本的建设思路。
安全体系的建设时机
安全体系需要与应用系统同时建设或尽早建设,后期增加额外的安全防护功能,不但会有诸多限制(硬件环境、软件环境、接口等),而且相关的建设或改造费用也会更高。同时,在识别安全风险时,要从整体系统层面来考虑,使用多重防御策略来逐级管控安全威胁、抵御安全风险。
安全防御的聚焦点
网络层安全和平台层安全,更多的是基础设施安全与承载平台的安全,在目前的技术条件下通常已具备成熟的防御机制。因此,智能燃气表安全的终解决方案,应该聚焦在核心业务数据(包括固件、指令、配置类数据)的安全,因为对用户来说,业务数据是整个运营系统的“生命线”,只有业务数据的安全方案才是可控的。
业务数据的安全,更多的是体现在终端到平台之间“端到端”的安全,即如何核实对方的真实身份、如何保证数据传输的机密性、完整性与可用性,同时终端自身的安全也至关重要,包括如何保证固件程序的合法性、如何保证敏感数据存储的安全性。
安全体系的技术路线
为保证业务数据的安全,应为每台终端提供身份并配合完善的安全认证机制,可基于对称或非对称密钥体系,使终端自身拥有安全连接能力。对不同终端及后端云平台之间的往来流量进行加密,尤其是用户信息、控制指令等敏感数据,且通过签名或者强编码保证完整性。
认证和加密是保证合法身份以及通讯不被篡改的关键,将加密算法固化在一个专用的芯片(SE)内,这种方式可有效避免因为通过软件计算而导致的密钥泄露,同时,芯片厂商在设计芯片时本身的安全性考虑更多,其自带的算法协处理器可保证算法实现质量。目前随着硬件成本越来越低,终端集成SE的方案层出不穷,并且这种趋势后续会愈加明显。
基于SE的安全解决方案
华大电子以智能燃气表的安全需求为契机,将整个系统的安全聚焦在业务数据的安全上,深入挖掘如何能够通过硬件单元保证业务数据的安全,提出了基于SE(安全单元)的整体安全解决方案。
安全体系架构
基于典型的智能燃气表应用架构,增加端到端的硬件级安全单元及服务接口,保障整个系统的运行安全,安全体系架构如下图所示。
图 3 安全体系架构图
在系统的接入层增加安全防御的相关机制,使其成为“安全网关”的角色,基于密钥管理系统及算法体系,实现终端安全、链路安全、安全OTA以及安全的参数管理等功能。后端的运营层及服务层保持不变,仅专注于业务相关的功能。相应的,在终端层的燃气表内,增加硬件SE芯片,并基于SE配套的安全SDK,实现安全启动、安全OTA、身份认证以及安全通信等安全功能。
安力
基于上述安全体系架构,终端与平台间可建立起安全通信的可信链路,安全接入层承担了登陆身份认证及用户之间机密数据的传输,从而实现“端到端”的业务数据安全。
将整个安全体系所具备的安力抽象出来,主要包含以下四点:
身份认证
终端在连接后台系统之前,需要与其进行双向身份认证,以确认双方的合法身份,并保证后续的安全通信。身份认证流程完成之后,两者之间即建立起一条可信链路。
具体的身份认证流程与其采用的算法体系相关,如对称体系、非对称PKI体系、非对称IBC体系,相关的密钥、证书等数据,应存储在SE内以保证安全。
通信加密
终端与后台系统间完成双向身份认证之后,应使用特定的密码算法及流程,保证数据传输的保密性、完整性和可用性。
在此过程中使用的密钥称之为“会话密钥”,通常为对称密钥,会话密钥需定时更新,以进一步提升通信链路的安全性。会话密钥的生成可使用以下几种方式:
基于非对称体系的密钥协商算法;
使用非对称密钥信封方式,交互对称密钥;
使用预置的对称密钥,通过衍生算法产生。
安全存储
终端用到的敏感信息或关键参数,可安全存储至SE内。SE通过其文件系统来支持数据的安全存储,可针对不同的存储数据,设置相应的安全策略,包括:
读写权限:指外部实体必须通过认证SE内相应的密钥,达到设置的安全级别,才能访问对应的数据。
线路保护机制:指数据的更新、读取等操作,可根据设置使用明文、密文、明文+MAC或密文+MAC等方式来完成。
非法访问次数超限锁死:指外部实体对SE的认证操作,其出错次数如果超过了设置的重试上限,则锁定对应的密钥或应用,防止可能出现的非法攻击。
固件防护
借助SE提供的密钥和算法,通过签名等机制,保护固件程序的合法性和可用性,实现OTA安全升级功能。
在OTA程序包下发之前,先使用安全启动密钥(BootKey)对代码进行加密,然后使用版权保护私钥(PrivateKey)对其进行签名,这样,在对代码进行加密的同时,也可验证程序的合法性和有效性。为适应此机制,终端的Boot Loader需相应的增加校验和解密操作.
密钥体系
密码算法体系
密码算法体系包含对称密钥体系和非对称密钥体系,其中非对称密钥体系又包括PKI体系和IBC体系。实际应用中,对称密钥主要用于对敏感数据的加密和校验,非对称密钥主要用于实现各实体间的身份认证及数据签名校验。
目前常用的算法包括:
对称算法——SM1、SM4、AES、3DES;
非对称算法——SM2、SM9、ECC、RSA;
杂凑算法——SM3、SHA256。
不同密码算法体系的对比如下:
因此,对于资源受限的终端,可采用轻量级安全算法和安全协议,如基于对称密钥体系的身份认证和数据加密;对于资源较为丰富的终端,可提升安全等级,使用成熟的PKI或更易部署的IBC等安全防护体系。
密钥管理及分发
密钥体系的核心由密钥管理系统(KMS)实现,是由管理客户端、数据库、加密机等软硬件组成的系统,其密钥管理及分发的机制如下图所示。
图 4 密钥管理及分发机制的示意图
SE安全设计
安全管理
SE内预置SEID,固化在芯片中,不可篡改且具备性。后期应用阶段的安全计算与SEID相关联,作为身份识别的标识。
私钥及对称密钥,通过安全环境在芯片内部生成或预置,外界不可以获取。
各项安全计算使用基于硬件的SM1、SM2、SM3、SM4等算法实现。
支持数据安全存储,可设置相应的安全策略。
密钥及数据
SE内核心的密钥及数据主要包括:
SEID
公开数据,存储于不可修改的存储区。
密钥
公私钥对,内部生成
根CA公钥
安全启动密钥
预留对称密钥
数字证书
签名证书,由根CA私钥签发
安全SDK
终端在硬件层面集成SE之后,可在MCU编译环境中集成SE配套的安全SDK库文件,在相应的业务内容中调用安全SDK提供的安全服务接口,即可实现各类安全算法、密钥管理和数据存储等功能,而不用关心如何去组织、派发SE相关的指令集。
安全SDK的应用架构如下图所示。
图 5 安全SDK的应用架构
SE生产与集成
SE的生产过程,是指将特定的密钥、数字证书等数据写入到SE内,以支持应用阶段的各项安全功能,也称为发行过程。目前主流的发行模式包括预置和空发两种方式:
预置模式:密钥下装发生在终端出厂之前,适用于批量生产,由SE制造商集中完成。在SE出厂前,SE制造商通过安全方式(SDK、专线、VPN、加密机等)从管理方的密钥管理系统获取密钥、数据,并通过生产线程序写入SE中。
空发模式:密钥下装发生在终端使用阶段,主要用于证书和密钥更新,由OTA系统实现。当证书到期、密钥或数据需要更新时,由终端发起更新操作,通过OTA系统远程完成SE的升级发行。
SE的生产与集成的示意图如下所示。
图 6 SE生产与集成示意图
总结
在物联网纷繁复杂的应用场景下,智能燃气表作为关乎城市安全、企业利益、国计民生的一类物联网基础设施,针对其应用构建更为安全的防御体系,是推动行业创新、增进民生福祉、提升社会价值的趋势所在。华大电子始终坚守与此,面向各类领域提供完善的安全解决方案,为整个物联网应用系统提供强大的安全支撑。(作者:北京中电华大电子设计有限责任公司 王睿)
所有评论仅代表网友意见,与本站立场无关。