智能燃气表数据安全方案探讨

doi:10.3969/j.issn.1671-5152.2019.09.002
智能燃气表数据安全方案探讨
□北京市燃气集团有限责任公司（100035）籍瑞春李洪根苟晓飞
摘要：由于智能燃气表存储和计算资源有限，制约了密码算法的运行效率。

本文比较国际密码算法和国商用密码算法的性能和安全强度，结合燃气行业可能严重危害国计民生和公共利益
的的特殊背景，建议选用国密算法实现数据加解密、完整性验证等。

本文综合对称密钥加密和非对称密钥加密体系，基于SM2算法和SM4算法，根据远程控制
指令必须安全的原则，设计了能够很好适应燃气业务需求的一体化智能燃气表数据安全方
案。

智能燃气表计量数据上传和控制数据下传过程采用对称密钥进行加密和认证，选用
国密算法SM4可以保证通讯的效率最高。

智能燃气表内密钥根据业务需求定期进行密钥更
新，密钥更新基于SM2算法采用非对称密钥进行保护。

数据传输过程中引入MAC和计数
器，保证数据传输的安全性，可以有效重放攻击。

物联网通信技术的快速发展，直接推动燃气表智能计量的升级。

NB-loT技术加速燃气表进入物联网时代，其大连接、广覆盖、低功耗、低成本的特点，更适合智能燃气表的物联应用场景。

物联网信息安全问题较之传统通信网络更为突出，如何解决智能燃气表数据安全成为燃气企业关注的重点。

1背景
物联网智能燃气表是物联网技术变革的产物。

NB-loT物联网智能燃气表相比较GPRS物联网智能燃气表，解决了燃气表数据传输的低功耗和深度覆盖的难题，NB-loT采用PSM节电模式可保持长时间睡眠待机，NB-loT比现有GPRS网络提升了20dB的增益，深度覆盖地下室、地下管道等信号难以到达的位置，可以比现有无线通讯技术提供50倍~100倍的接入数，NB-loT技术的商用加速燃气表进入物联网时代。

物联网智能燃气表采用后台计费模式，实现了计量数据的集中管理和精细化管理。

根据NB-loT大连接、广覆盖、低功耗、低成本的特点，智能燃气表因安装位置固定，区别于其他物联网智能设备经常移动的特点，结合干电池供电等限制条件，NB_IoT的通讯方式更加适合在智能燃气表中应用。

国内天然气一次能源占比持续提升，丰富储备清洁能源的要求，“煤改气”市场的快速打开，同时物联网技术的快速发展，为物联网智能燃气表规模化应用提供了基础条件。

物联网信息安全问题较之传统通信网络更为突出，国家网络安全法明确要求维护网络数据的完整性、保密性和可用性，研究制定智能燃气表数据安全措施成为企业必须面临的问题。

2密钥体系
智能燃气表由安全平台为业务系统端和燃气表端提供基于统一密钥体系的服务保障。

密钥体系主要分为通用密钥体系和公用密钥体系。

通用密钥体系基于对称密钥，加密数据使用相同密钥去加密和解密，优
8I城市燃气2019/09总第535期
籍瑞春等•智能燃气表数据安全方案探讨
点是加解密速度快。

公用密钥体系基于非对称密钥加密，使用一对公钥和私钥分别完成加密和解密操作，公钥负责加密，私钥负责解密，安全等级高，但加密和解密速度却比对称密钥加密慢。

考虑智能燃气表的应用场景及存储和计算资源有限的客观条件，智能燃气表数据传输过程中建议采用对称密钥进行加解密，对于远程控制、密钥更新等重要业务场景采用非对称密钥进行签名认证。

解决数据机密性、数据完整性、终端与服务器双向认证、密码管理等安全问题，同时支持在业务系统扩展升级时能够具备很好的延展性。

3国际密码算法的发展及现状
(1)对称算法
DES是1977年美国联邦信息处理标准中所采用的一种对称算法，既可以用于加密也可以用于解密。

3DES是为了增加DES的强度，将DES重复3次所得到的一种密码算法。

AES是取代其前任标准(DES)而成为新标准的一种对称密码算法，于2000年被选为新一代的标准密码算法，支持可变分组长度，可以对抗差分密码分析和线性密码分析。

(2)非对称算法
椭圆曲线密码ECC是1985年岀现的一种公钥密码算法，与经典的RSA,DSA等公钥密码体制相比具有安全性高，处理速度快和存储空间占用小的特点。

目前已经规模化应用的存量CPU卡智能燃气表主要是为3DES算法为主，考虑到当前复杂多变的外部安全环境，国密算法替换国际算法逐渐成为主要发展方向。

4我国商用密码体系的发展及应用情况
为满足国家商业信息安全需求，国家商用密码管理局制定了一系列密码体系标准，包括SMI、SM2、SM3、SM4、SM9等密码算法。

SM2算法是国家密码管理局于2010年12月发布的基于ECC椭圆曲线公钥密码体制标准。

SM2算法包含了数字签名算法、密钥交换协议和公钥加密算法。

SM2算法优于RSA算法的公钥密码体制，作为公钥密码基础设施(PKI)的核心支撑密码算法。

以SM2公钥密码体制为核心密码技术的PKI已经广泛应用于多个业务领域。

SM4算法在2012年被国家商用密码管理局确定为分组算法标准，SM4算法主要用于消息完整性认证、密钥保护，因加解密效率高，被广泛应用于数据的加密保护，具有极高的应用成熟度。

当前外部环境复杂多变，网络安全已上升为国家战略并付诸行动。

结合燃气行业国计民生和公共利益的特殊背景，建议选用国密算法实现数据加解密、完整性验证和签名认证。

5智能燃气表数据安全方案
对智能燃气表网络来说，若要确保网络可靠性和正常运行时间，采用多层安全方案是必须的，利用多重安全措施来防止网络攻击。

智能燃气表和关键计量数据信息的安全需要依靠软+硬结合的安全方案。

通过引入安全芯片，智能燃气表集成安全芯片实现表内信息交换安全加密和认证，通过安全芯片保证数据传输的完整性、机密性和不可抵赖性。

智能燃气表的密钥、计量数据、事件记录和控制参数保存在安全芯片中，确保数据存储和密钥应用的安全，从而从根源上保护了关键数据的安全。

过去的纯软体安全设计，仅能抵抗基本软件攻击，而且很容易被识破，但如果同时结合硬体安全设计的话，即能对抗硬体攻击，而且，由于安全硬体芯片本身有安全设计，可有效防止程序代码被反编译和解析。

采用燃气表端到应用系统端的数据安全控制方案，见下图1,网络安全与传输安全由通信运营商技术保证；采用燃气表到主站端到端数据通信身份认证，表端采用安全芯片加密方式，与主站安全平台配合实现端到端的安全保护，实现数据应用安全。

实现数据采集、远程设置参数、阀门控制等的安全管理，防止数据篡改，防止重放攻击，报文密文传输，保证数据传输的完整性、安全性，有效性。

智能燃气表集成安全芯片SE实现表内信息交换过程中安全认证和加密，气量、控制参数保存在安全芯片中，保证数据存储和密钥应用的安全；通过对称和非对称算法保证数据存储和数据传输的安全；安
城市燃气2019/09总第535期丨9
丄山炳
J41I
炳感知层
I
通脩层应用层
■智能燃气表NB-IOT
应用服务器业务系统
应用服务器L>
安全芯片
APP
图1智能燃气表端到端安全方案架构
全芯片SE初始化阶段完成密钥的安装，要求一表一密；密钥管理系统负责密钥统一生成、安全芯片初始化、加密机初始化、非对称密钥加密等。

结合智能燃气表6个主要业务场景，通过端到端智能燃气表全生命周期的安全管理，结合不同密码算法的优势特性和应用系统的通信模式，设计了一套基于对称密钥和非对称密钥相结合的组合工作模式。

(1)智能燃气表注册
由燃气公司直接向智能燃气表制造商提供包含发行信息的安全芯片，智能燃气表终端首先需在IoT 平台进行模组注册，保证设备入网认证需求，然后在业务管理系统与安全平台完成设备注册以成为合法设备。

通过安全平台给注册的终端设备分发密钥，设置参数，用以实现数据安全交互。

(2)上传采集数据
智能燃气表内业务数据上传采用对称密钥进行报文加密，保证效率最高，报文增加长度最小。

报文加解密采用对称密钥SM4,保证速度最快。

上传业务数据认证：采用MAC认证方式，实现数据传输中的完整性保护。

(3)下传控制数据
智能燃气表内控制数据下传采用对称密钥进行报文加密，保证效率最高，增加长度最小。

报文加解密采用对称密钥SM4,保证速度最快；基于下传控制数据安全级别高于上传业务数据安全级别的原则，下传控制数据采用签名(SM2或SM9)方式认证，可以保证下传控制数据来源的唯一性。

(4)密钥更新
智能燃气表生产阶段，使用生产版本的密钥，进行生产阶段的通信功能检测，数据上报、参数下发、阀门开关检测等工作。

进入正式运行阶段，第一次开户流程中，强制进行密钥更新，更新为运行版本密钥。

智能燃气表内密钥根据燃气公司业务管理需求，可定期进行密钥更新。

密钥报文加解密，采用对称密钥SM4,保证速度最快，增加长度最小；采用签名(SM2或SM9)方式认证，保证数据来源的唯一性。

(5)安全芯片统一发行
燃气公司制定统一的安全芯片技术规范，各安全芯片厂商根据统一技术规范研发产品，由燃气公司统一进行测试，保证各安全芯片厂商提供的产品可互相替代，即使安全芯片SE厂商更换也不影响智能燃气表的生产。

安全芯片SE初始化阶段完成密钥的安装，密钥的传输必须使用安全报文的方式，产生SM2公私钥对作为智能燃气表认证密钥，SM2公钥在安全平台中注册，SM2私钥在安全芯片SE中保存。

安全芯片SE由燃气公司统一进行初始化密钥安装，密钥安装过程中在独立安全的环境中统一进行，保证密钥安全可控。

要求一表一密，保证即使某个智能燃气表实体被攻击者控制，也不会影响到整个系统的安全。

10I城市燃气2019/09总第535
期
籍瑞春等•智能燃气表数据安全方案探讨
(6)安全生命周期管理
整个智能燃气表的安全生命周期的管理经常被忽视，安全并非一次性的活动，智能燃气表新增、报废停用、维修更换、通讯模组升级等所有这些活动都需要对身份认证、密钥进行全面地管理。

安全平台采用加解密、签名验签保护机制为模组固件升级、阀门控制、校时、数据上报等业务场景提供安全服务保障。

6安全方案选择的原则
(1)远程控制需要更高安全级别
远程控制是在智能燃气表的生命周期内由后台业务系统向其发送控制命令的功能，是一个非常敏感的但又非常重要的功能。

远程控制诸如开关阀门、参数设置等重要功能。

需要确保下传远程控制安全级别高于上传业务数据安全级别。

(2)智能燃气表数据传输需要具备加密、认证和完整性保护的功能
智能燃气表产生的数据在传输时要求安全地加密，即使数据被拦截了也毫无用处。

通过增加安全芯片具备加密、认证等能力。

使用消息认证码MAC或签名认证方式，可以防止数据传输过程中被篡改，实现数据传输的完整性保护功能。

(3)防止重放攻击
智能燃气表需要具备时间戳和计数器缓存能力，保证业务系统下发的远程控制指令，只有一次执行有效，即使报文被截获，采用重放攻击也是无效的。

7结论
智能燃气表安全解决方案通常考虑多种因素，结合应用场景、智能燃气表应用规模以及成本开销等，决定数据是否采用加密传输、是否需要完整性保护、是否需对指令进行认证等。

采用端到端的安全控制方案，采用硬件安全芯片，可以有效保证智能燃气表数据传输的安全性，满足国家法律法规及行业规范对物联网信息化安全要求，提升燃气行业智能化应用安全水平。

(杨丽)
的各种惊喜。

港华公用服务“2+4",打出便民“组合拳”！
“推进窗口服务一体化，实现公用服务一站
通”是提升工作效能，推动“2+4”公用服务体系
不断完善的有力之举。

2019年6月24H,泰安泰山
港华气水热共享客户服务营业厅正式启用，在港华
东岳大街旗舰店内，市民可同时缴纳水费、燃气
费、采暖费，办理与自来水、燃气、供热有关的业
务。

据客户服务营业厅负责人刘晓介绍，自从泰山
城区热力和自来水公司入驻泰山港华便民服务大厅
以来，共享客户服务营业厅实现了“公用服务一站
通”，客户知晓率以及客户量不断上升。

共享客户服务营业厅实现水、气、热服务功能上的聚合，随着“公用服务一站通”工作的开展，服务人员的一站式服务理念也有了很大提升，在办理完相关业务后，服务人员都会主动询问客户是否还需要办理其他业务，不少客户都感受到了公用服务便民举措上
城市燃气2019/09总第535期丨11。