【
仪表网 行业标准】根据中国城市燃气协会《关于下达2020年中国城市燃气协会团体标准编制计划的通知》(中燃协标〔2020〕37号)的要求,中国城市燃气协会团体标准《物联网
智能燃气表数据安全规范》已完成征求意见稿,现进行上网公开征求意见。
本文件按照GB/T 1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》给出的规则起草。本文件的内容包括范围、规范性引用文件、术语和定义、安全技术框架、主站安全技术、智能燃气表安全技术、数据格式、检测要求及附录。
本文件规定了物联网智能燃气表系统中安全技术框架、主站安全技术、智能燃气表安全技术、数据格式及检测要求。本文件适用于采用物联网技术的智能燃气表。
数据分级原则:
物联网智能燃气表数据安全分为基本级和增强级两类。处理一般性数据时应满足基本级安全要求,处理重要数据、敏感信息以及涉及重要安全问题的数据时应该满足增强级安全要求。具体可根据身份、行为和能力三个属性进行评估,如下:
a)身份属性明确数据主体身份,依据为身份完整性,具体包括智能燃气表硬件设备、引导程序、配置文件、操作系统等不被篡改。
b)行为属性明确数据行为特性,依据为安全性(密钥信息、加密强度),可用性(燃气表状态、计量准确度、时间延迟),可靠性(丢包率、误码率、故障率)等。
c)能力属性明确数据能力等级,依据为安全能力,包括数据完整性保护能力、数据保密性能力,数据容错能力,数据泄露补救能力等。
基本级数据安全:
基本级数据主要为智能燃气表状态数据,包括但不限于状态监测与统计、燃气表提示信息、报警信息。基本级数据传输时主站应对燃气表进行身份认证,并保证数据的可用性和完整性。
增强级数据安全:
a)增强级数据主要为智能燃气表配置数据和控制对象数据,包括但不限于阀门控制、充值、计费、调价、参数配置、密钥更新。
b)增强级数据应存储在安全单元内且满足一定权限后才能对数据进行修改、删除等操作,数据传输时应采用非对称算法实现燃气表端与主站的双向身份认证,并采用具有一定强度的加密算法保证数据的保密性和抗抵赖性。
安全机制:
密钥及证书需存储于加密设备和KMS系统中,待加密、待签名的数据通过加密设备加密、签名后,下传到智能燃气表;待解密、待验签的数据通过加密设备解密、验签后发送到主站业务管理平台。
证书发行:
可通过符合国密要求的CA系统发行燃气表或者主站证书。CA系统应对证书生命周期进行管理。证书发行支持在线和离线两种方式。
a)在线发行:发行系统与发行节点通过双向身份认证,建立发行系统、发行节点、安全单元的安全通道。发行系统将安全单元证书和主站证书下发到发行节点,发行节点把证书发行到燃气表安全单元。
b)离线发行:安全单元证书、主站证书存储在智能卡等安全载体中,终端私钥在初始化阶段通过安全方式从智能卡中导入到安全单元中,同时导入安全单元证书和主站证书。
接入认证:
a)主站与燃气表正式数据传输前,需要通过双向身份认证。
b)燃气表用自身私钥签名上行数据,主站收到数据后使用燃气表的公钥验签。主站使用主站私钥签名下行数据,燃气表收到数据后使用主站的公钥验签。若失败,则接入认证不通过。
c)若主站内的安全管理平台与业务平台部署在不同的网络域,应通过证书或者账号密码实现接入认证。
数据传输:
a)主站与智能燃气表在通过双向身份认证后,可协商出会话密钥。会话密钥为对称密钥,具备有限的生命周期。在会话密钥的生命周期结束后,主站与智能燃气表需再次双向身份认证并重新协商会话密钥。一般上下文交互报文可采用会话密钥进行加密传输。
b)关键数据的上行报文,燃气表可使用自身安全单元私钥进行签名后上传,主站使用智能燃气表的安全单元证书进行验签。
c)关键数据的下行报文,主站可使用私钥进行签名后下传,智能燃气表使用主站安全单元证书进行验签。
d)数据的传输报文添加序号、随机数、时间戳等新鲜性标识,防止数据重放攻击。
e)由于物联网终端资源的限制,每个终端设备可利用一对公私钥实现加密、解密、签名及验签操作。
f)燃气表注册、燃气数据上传以及燃气表数据指令下传安全流程中的数据传输内容详见附录A。
密钥管理:
a)密钥采用根密钥、工作密钥、业务密钥三级密钥体制,工作密钥由根密钥进行加密保护,业务密钥由随机数生成并直接对业务数据进行加密保护,生成业务密钥的随机数由工作密钥进行加密传输。在典型的燃气物联网系统中,根密钥为加密设备中最高级别的密钥,工作密钥为主站私钥,业务密钥为会话密钥。
b)主站使用加密设备及KMS系统进行密钥的全生命周期管理,包括密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档、销毁等环节。加密设备宜采用双机部署,保障密钥管理系统的热冗余以及高可用性。
更多详情请见附件。