硬件安全加密在智能燃氣表的應用

王濱濱，陸從杭，狄 鵬，胡 莽，朱偉泳

(上海飛奧燃氣設備有限公司，上海 201201)

1 概述

近年來，我國城市建設迅猛發(fā)展，許多城市正在向智慧城市邁進。戶用燃氣表是天然氣配送過程中必不可少的計量儀表，涉及每一戶城鎮(zhèn)居民。保證智能燃氣表免遭信息泄露、惡意攻擊，確保通信安全，成為無法回避的問題。

當前，智能燃氣表普遍采用軟件加密方式，不論密碼認證還是密鑰認證，都是儲存在內部微控制器或外部儲存介質上。這種設計的問題在于，微控制器的程序設計不由燃氣公司控制，而是由燃氣表生產企業(yè)或委托的第三方設計單位完成，當智能燃氣表投入使用后，由于除燃氣公司外還有其他人員掌握涉及安全的核心內容，數(shù)據一旦泄露，后果嚴重。

為了解決上述問題，在加密方式的設計上應采用硬件安全控制模塊(即嵌入式安全控制模塊，ESAM)。硬件安全控制模塊負責加密、解密、驗證及分析處理，可以由燃氣公司設置完畢后，提供給燃氣表生產企業(yè)安裝在智能燃氣表中。既實現(xiàn)了智能燃氣表的安全性，又不妨礙燃氣表生產企業(yè)繼續(xù)發(fā)展和完善智能燃氣表的功能。本文對硬件安全加密在智能燃氣表的應用進行探討。

2 智能燃氣表應用體系架構

智能燃氣表應用體系架構(見圖1)主要包括設備層、網絡層、應用層。設備層是對信息進行感知、采集以及加密、解密的設備全體，主要包括智能燃氣表、硬件安全控制模塊，是信息和數(shù)據的感知層和安全加解密處理單元。網絡層是信息和數(shù)據的傳輸層及通信基礎，負責將設備層采集到的數(shù)據傳輸?shù)綉脤舆M行進一步的處理?？蛇m應不同的應用場景和不同網絡的接入和連接，網絡形式主要包括NB-IoT/LoRa無線網絡、GPRS/CDMA無線公網、光纖專網等。應用層配置服務器(本地服務器、云服務器)、加密機，并以服務器為載體構建燃氣業(yè)務應用平臺、密鑰管理系統(tǒng)，負責對智能燃氣表的密鑰進行管理以及對傳輸數(shù)據的加密、解密、驗證及分析處理。

圖1 智能燃氣表應用體系架構

3 數(shù)據收發(fā)流程

智能燃氣表應用體系數(shù)據收發(fā)流程見圖2。數(shù)據上行：業(yè)務流程由智能燃氣表發(fā)起，先組織上行數(shù)據，并發(fā)送給智能燃氣表內的ESAM進行數(shù)據加密、計算MAC(Message Authentication Code，消息鑒別碼)和數(shù)字簽名，然后將數(shù)據通過通信網絡上傳至燃氣業(yè)務應用平臺。燃氣業(yè)務應用平臺接收數(shù)據后，將數(shù)據發(fā)送給密鑰管理系統(tǒng)、加密機進行數(shù)據解密、驗證MAC和數(shù)字簽名，最終開展業(yè)務處理。數(shù)據下發(fā)：業(yè)務流程由燃氣業(yè)務應用平臺發(fā)起，先組織下行數(shù)據，并發(fā)送給密鑰管理系統(tǒng)、加密機進行數(shù)據加密、計算MAC和數(shù)據簽名，然后將數(shù)據通過通信網絡下發(fā)至智能燃氣表，表端接收后，將數(shù)據發(fā)送給ESAM進行數(shù)據解密、驗證MAC和數(shù)字簽名，最終由智能燃氣表執(zhí)行業(yè)務處理。

圖2 智能燃氣表應用體系數(shù)據收發(fā)流程

4 核心模塊及系統(tǒng)

① 硬件安全控制模塊

ESAM是將一張具有COS操作系統(tǒng)(China Operating System，中國自主系統(tǒng))的CPU卡，通過DIP8(直插8腳封裝)或SOP8(貼片8腳封裝)的封裝形式，將其嵌入智能燃氣表中。負責完成數(shù)據的加密、解密、雙向身份認證、訪問權限控制、通信線路保護、臨時密鑰導出、數(shù)據文件儲存等多種功能。

支持國密算法SM1/SM7，可選支持三重數(shù)據加密算法3DES。具備可抵抗SPA(Simple Power Analysis，簡單能量分析攻擊)、DPA(Differential Power Analysis，差分能量分析攻擊)攻擊的硬件DES(Data Encryption Standard，數(shù)據加密標準)協(xié)處理器及符合FIPS140-2標準的真隨機數(shù)發(fā)生器。芯片內部時鐘振蕩器為系統(tǒng)提供時鐘，確保CPU運行不受外部環(huán)境干擾。具備外部電壓檢測機制、外部頻率檢測機制、內部電壓檢測以及Power-On保護機制、儲存器保護機制、地址加擾數(shù)據加密。支持3種通信接口：ISO7816接口、SPI接口、IIC接口。

② 加密機

加密機外形酷似PC機箱，主要用于儲存密鑰、加密與解密通信中的關鍵業(yè)務數(shù)據和參數(shù)、計算業(yè)務流程的MAC，保證交互中敏感數(shù)據的安全等。

加密機與ESAM可以在燃氣業(yè)務應用平臺與智能燃氣表之間建立端對端的數(shù)據安全通道，并通過有線、無線網絡進行數(shù)據的加密傳遞，密鑰和算法在加密機與ESAM內部進行，可抵御一定程度上的安全攻擊。

③ 密鑰管理系統(tǒng)

密鑰管理系統(tǒng)可以為燃氣業(yè)務應用平臺提供統(tǒng)一的密鑰生產和管理平臺。對于敏感操作執(zhí)行雙人鑒權，保證敏感操作的雙向控制，提高系統(tǒng)的安全性。主要由密鑰服務子系統(tǒng)、密鑰管理子系統(tǒng)、系統(tǒng)管理子系統(tǒng)組成。

a.密鑰服務子系統(tǒng)

密鑰服務子系統(tǒng)是一個獨立的套接字(Socket)服務，可以提供身份認證服務、數(shù)字簽名、驗證服務、密鑰服務。燃氣業(yè)務應用平臺運行過程中所需的各類密鑰都需要調用密鑰服務子系統(tǒng)的密鑰服務生成，并存放在加密機中。密鑰服務包括對稱密鑰的加密與解密、MAC計算、密鑰分散，非對稱密鑰的數(shù)字簽名、驗證簽名、摘要算法等也是通過密鑰服務完成的。

b.密鑰管理子系統(tǒng)

負責密鑰的生成、使用、導出、備份、恢復等整個生命周期的管理。

c.系統(tǒng)管理子系統(tǒng)

主要負責密鑰管理系統(tǒng)中用戶權限和操作日志的管理。

5 結語

采用硬件安全控制模塊的智能燃氣表，可以很好地兼顧系統(tǒng)安全性、技術先進性、標準兼容性、應用可擴展性和經濟實用性，具有較高的性價比，值得大力推廣。