EN
近年來城市燃氣發展取得了巨大的進步,尤其是智能燃氣表的廣泛應用,給企業和用戶帶來了諸多便利,但與此同時,也對信息安全提出了更高的要求。目前多數的智能燃氣表在實際應用中,往往缺少完備的安全防控手段,存在敏感信息泄漏或被篡改的風險,嚴重威脅個人用戶隱私、企業商業信息甚至城市基礎設施的安全。本文提出一種基于SE(安全單元)的智能燃氣表安全解決方案,保障終端在接入、通信傳輸、數據存儲等各環節的安全,同時對密鑰分發、SE生產與集成等相關技術進行了闡述。
作者:北京中電華大電子設計有限責任公司 王睿
智能燃氣表應用架構
應用背景
隨著我國城鎮化建設的發展,智能燃氣表市場的規模也不斷擴展,根據中國計量協會燃氣委員會發布的相關數據,目前我國約有1.5億臺在線運行的居民燃氣表,其中智能燃氣表3000-4000萬臺,2018年國內智能燃氣表市場規模已經達到了66.77億元,同比增長18.48%。
圖 1 2012-2018年中國智能燃氣表市場情況
智能燃氣表屬于智能化計量儀表的范疇,通過終端集成的GPRS、NB-IoT、LoRa等傳輸模塊接入到通信網絡內,同時借助云平臺或業務平臺的數據分析能力,實現實時采集、遠程監控及遠程控制,能夠對用戶的使用數據進行分析,提前預估用戶的使用量,實現分時、分地的能源傳輸,使管理更科學、更高效,同時大大降低了維護所需的人力資源成本。
整體架構
智能燃氣表的產生與發展依托物聯網、移動互聯網、大數據、云計算等諸多新興技術,因此其應用架構也由物聯網“云-管-端” 的架構衍生而來,同時結合燃氣行業實際的應用需求,在各層級做了相應的功能細化或系統分級。如圖2所示。
圖 2 智能燃氣表應用架構
終端層
終端層,是指對信息進行感知與采集的用戶終端的全體,是物聯網信息和數據的感知層。智能燃氣表通過內置的各種傳感器和通信模塊,與網絡對接完成中心管理平臺之間的數據交互。
網絡層
網絡層,是物聯網信息和數據的傳輸層或通訊基礎,將終端層采集到的數據傳輸到應用層進行進一步的處理。不同的應用場景和終端使用不同的網絡接入技術和連接技術,包括NB-IoT/LoRa無線網絡、GRPS/CDMA無線公網、光纖專網等接入網,以及遠距離廣域網通信服務的核心網。
平臺層
平臺層,是物聯網信息和數據的應用層,以云計算服務為基礎,對通過網絡層傳輸過來的數據進行分析處理,并再次通過網絡層反饋給終端層,實現燃氣需求側的管理以及管網建設、生產運維等供給側的管理,并為用戶提供豐富、智能、便捷的特定服務。
安全體系建設思路
風險分析
智能燃氣表作為一類典型的物聯網終端,其網絡層的核心載體是互聯網、移動網以及其他一些專用網絡,因此互聯網的諸多安全威脅仍然存在,例如服務阻斷、鏈路監聽與劫持、未授權訪問、跳板及冒用、APT攻擊等等。
同時,由于燃氣表散布在日常應用的物理環境中,很容易遭到攻擊,加之嵌入式終端的資源受限,其處理器能力、存儲空間有限,很難實現強有力的防護機制,更加增大了終端的安全風險。
因此,相對于傳統互聯網系統而言,智能燃氣表的運營環境需要有更好的防范措施和災難恢復機制,確保在遭受攻擊時整體系統仍可持續可靠的運行。針對上述風險背景及對應的安全技術,總結出如下幾點基本的建設思路。
安全體系的建設時機
安全體系需要與應用系統同時建設或盡早建設,后期增加額外的安全防護功能,不但會有諸多限制(硬件環境、軟件環境、接口等),而且相關的建設或改造費用也會更高。同時,在識別安全風險時,要從整體系統層面來考慮,使用多重防御策略來逐級管控安全威脅、抵御安全風險。
安全防御的聚焦點
網絡層安全和平臺層安全,更多的是基礎設施安全與承載平臺的安全,在目前的技術條件下通常已具備成熟的防御機制。因此,智能燃氣表安全的最終解決方案,應該聚焦在核心業務數據(包括固件、指令、配置類數據)的安全,因為對用戶來說,業務數據是整個運營系統的“生命線”,只有業務數據的安全方案才是可控的。
業務數據的安全,更多的是體現在終端到平臺之間“端到端”的安全,即如何核實對方的真實身份、如何保證數據傳輸的機密性、完整性與可用性,同時終端自身的安全也至關重要,包括如何保證固件程序的合法性、如何保證敏感數據存儲的安全性。
安全體系的技術路線
為保證業務數據的安全,應為每臺終端提供唯一身份并配合完善的安全認證機制,可基于對稱或非對稱密鑰體系,使終端自身擁有安全連接能力。對不同終端及后端云平臺之間的往來流量進行加密,尤其是用戶信息、控制指令等敏感數據,且通過簽名或者強編碼保證完整性。
認證和加密是保證合法身份以及通訊不被篡改的關鍵,將加密算法固化在一個專用的芯片(SE)內,這種方式可有效避免因為通過軟件計算而導致的密鑰泄露,同時,芯片廠商在設計芯片時本身的安全性考慮更多,其自帶的算法協處理器可保證算法實現質量。目前隨著硬件成本越來越低,終端集成SE的方案層出不窮,并且這種趨勢后續會愈加明顯。
基于SE的安全解決方案
華大電子以智能燃氣表的安全需求為契機,將整個系統的安全聚焦在業務數據的安全上,深入挖掘如何能夠通過硬件單元保證業務數據的安全,提出了基于SE(安全單元)的整體安全解決方案。
安全體系架構
基于典型的智能燃氣表應用架構,增加端到端的硬件級安全單元及服務接口,保障整個系統的運行安全,安全體系架構如下圖所示。
圖 3 安全體系架構圖
在系統的接入層增加安全防御的相關機制,使其成為“安全網關”的角色,基于密鑰管理系統及算法體系,實現終端安全、鏈路安全、安全OTA以及安全的參數管理等功能。后端的運營層及服務層保持不變,僅專注于業務相關的功能。相應的,在終端層的燃氣表內,增加硬件SE芯片,并基于SE配套的安全SDK,實現安全啟動、安全OTA、身份認證以及安全通信等安全功能。
安全能力
基于上述安全體系架構,終端與平臺間可建立起安全通信的可信鏈路,安全接入層承擔了登陸身份認證及用戶之間機密數據的傳輸,從而實現“端到端”的業務數據安全。
將整個安全體系所具備的安全能力抽象出來,主要包含以下四點:
身份認證
終端在連接后臺系統之前,需要與其進行雙向身份認證,以確認雙方的合法身份,并保證后續的安全通信。身份認證流程完成之后,兩者之間即建立起一條可信鏈路。
具體的身份認證流程與其采用的算法體系相關,如對稱體系、非對稱PKI體系、非對稱IBC體系,相關的密鑰、證書等數據,應存儲在SE內以保證安全。
通信加密
終端與后臺系統間完成雙向身份認證之后,應使用特定的密碼算法及流程,保證數據傳輸的保密性、完整性和可用性。
在此過程中使用的密鑰稱之為“會話密鑰”,通常為對稱密鑰,會話密鑰需定時更新,以進一步提升通信鏈路的安全性。會話密鑰的生成可使用以下幾種方式:
基于非對稱體系的密鑰協商算法;
使用非對稱密鑰信封方式,交互對稱密鑰;
使用預置的對稱密鑰,通過衍生算法產生。
安全存儲
終端用到的敏感信息或關鍵參數,可安全存儲至SE內。SE通過其文件系統來支持數據的安全存儲,可針對不同的存儲數據,設置相應的安全策略,包括:
讀寫權限:指外部實體必須通過認證SE內相應的密鑰,達到設置的安全級別,才能訪問對應的數據。
線路保護機制:指數據的更新、讀取等操作,可根據設置使用明文、密文、明文+MAC或密文+MAC等方式來完成。
非法訪問次數超限鎖死:指外部實體對SE的認證操作,其出錯次數如果超過了設置的重試上限,則鎖定對應的密鑰或應用,防止可能出現的非法攻擊。
固件防護
借助SE提供的密鑰和算法,通過簽名等機制,保護固件程序的合法性和可用性,實現OTA安全升級功能。
在OTA程序包下發之前,先使用安全啟動密鑰(BootKey)對代碼進行加密,然后使用版權保護私鑰(PrivateKey)對其進行簽名,這樣,在對代碼進行加密的同時,也可驗證程序的合法性和有效性。為適應此機制,終端的Boot Loader需相應的增加校驗和解密操作.
密鑰體系
密碼算法體系
密碼算法體系包含對稱密鑰體系和非對稱密鑰體系,其中非對稱密鑰體系又包括PKI體系和IBC體系。實際應用中,對稱密鑰主要用于對敏感數據的加密和校驗,非對稱密鑰主要用于實現各實體間的身份認證及數據簽名校驗。
目前常用的算法包括:
對稱算法——SM1、SM4、AES、3DES;
非對稱算法——SM2、SM9、ECC、RSA;
雜湊算法——SM3、SHA256。
同密碼算法體系的對比如下:
因此,對于資源受限的終端,可采用輕量級安全算法和安全協議,如基于對稱密鑰體系的身份認證和數據加密;對于資源較為豐富的終端,可提升安全等級,使用成熟的PKI或更易部署的IBC等安全防護體系。
密鑰管理及分發
密鑰體系的核心由密鑰管理系統(KMS)實現,是由管理客戶端、數據庫、加密機等軟硬件組成的系統,其密鑰管理及分發的機制如下圖所示。
SE安全設計
安全管理
SE內預置SEID,固化在芯片中,不可篡改且具備唯一性。后期應用階段的安全計算與SEID相關聯,作為唯一身份識別的標識。
私鑰及對稱密鑰,通過安全環境在芯片內部生成或預置,外界不可以獲取。
各項安全計算使用基于硬件的SM1、SM2、SM3、SM4等算法實現。
支持數據安全存儲,可設置相應的安全策略。
密鑰及數據
SE內核心的密鑰及數據主要包括:
SEID
公開數據,存儲于不可修改的存儲區。
密鑰
公私鑰對,內部生成
根CA公鑰
安全啟動密鑰
預留對稱密鑰
數字證書
簽名證書,由根CA私鑰簽發
安全SDK
終端在硬件層面集成SE之后,可在MCU編譯環境中集成SE配套的安全SDK庫文件,在相應的業務內容中調用安全SDK提供的安全服務接口,即可實現各類安全算法、密鑰管理和數據存儲等功能,而不用關心如何去組織、派發SE相關的指令集。
安全SDK的應用架構如下圖所示。
圖 5 安全SDK的應用架構
SE生產與集成
SE的生產過程,是指將特定的密鑰、數字證書等數據寫入到SE內,以支持應用階段的各項安全功能,也稱為發行過程。目前主流的發行模式包括預置和空發兩種方式:
預置模式:密鑰下裝發生在終端出廠之前,適用于批量生產,由SE制造商集中完成。在SE出廠前,SE制造商通過安全方式(SDK、專線、VPN、加密機等)從管理方的密鑰管理系統獲取密鑰、數據,并通過生產線程序寫入SE中。
空發模式:密鑰下裝發生在終端使用階段,主要用于證書和密鑰更新,由OTA系統實現。當證書到期、密鑰或數據需要更新時,由終端發起更新操作,通過OTA系統遠程完成SE的升級發行。
SE的生產與集成的示意圖如下所示。
圖 6 SE生產與集成示意圖
總結
在物聯網紛繁復雜的應用場景下,智能燃氣表作為關乎城市安全、企業利益、國計民生的一類物聯網基礎設施,針對其應用構建更為安全的防御體系,是推動行業創新、增進民生福祉、提升社會價值的趨勢所在。華大電子始終堅守與此,面向各類領域提供完善的安全解決方案,為整個物聯網應用系統提供強大的安全支撐。
引用自環球表計
京公網安備 11011402013818號
