作者:安成名
第一作者單位:深圳市燃?xì)饧瘓F(tuán)股份有限公司
摘自《煤氣與熱力》2021年7月刊
智能燃?xì)獗泶罅看嬖谟诰W(wǎng)絡(luò)環(huán)境中,一旦被黑客瞄準(zhǔn),遭遇惡意入侵,定會對用戶、企業(yè)乃至社會、國家造成或多或少的損失。因此,智能燃?xì)獗?/span>不能僅注重傳統(tǒng)功能的發(fā)展,必須構(gòu)建完備的安全防御體系以面對物聯(lián)網(wǎng)時(shí)代潛在巨大的安全威脅。物聯(lián)網(wǎng)安全問題已引起世界范圍內(nèi)的高度重視,各國政府均針對物聯(lián)網(wǎng)安全出臺了相關(guān)規(guī)定。先是美國聯(lián)邦政府通過立法、行政令方式等對物聯(lián)網(wǎng)安全提出了要求,美國各行業(yè)主管部門也出臺了規(guī)范性文件以支持特定應(yīng)用物聯(lián)網(wǎng)安全技術(shù)發(fā)展。隨后,歐盟相關(guān)組織機(jī)構(gòu)也發(fā)布了更為嚴(yán)格的標(biāo)準(zhǔn)文件以應(yīng)對物聯(lián)網(wǎng)安全問題。不僅如此,眾多物聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟紛紛組織制定了物聯(lián)網(wǎng)安全實(shí)踐指南。目前智能燃?xì)獗?/span>系統(tǒng)中,缺乏端到端的加密以及鑒權(quán),無法保證智能燃?xì)獗砼c燃?xì)夤緲I(yè)務(wù)系統(tǒng)之間的安全通信,智能燃?xì)獗戆l(fā)送的上行數(shù)據(jù)容易被偽造,導(dǎo)致消費(fèi)數(shù)據(jù)不真實(shí)。另外目前的燃?xì)馕锫?lián)網(wǎng)系統(tǒng)容易被黑客攻破,存在閥控被遠(yuǎn)程惡意操縱的風(fēng)險(xiǎn),且智能燃?xì)獗碇形匆肟尚虐踩臋C(jī)制,無法保證系統(tǒng)程序的完整性,存在固件被內(nèi)部人員惡意修改或者替換的風(fēng)險(xiǎn)。2 國密技術(shù)在智能燃?xì)獗硐到y(tǒng)的應(yīng)用為了保證燃?xì)馕锫?lián)網(wǎng)系統(tǒng)的安全性,實(shí)現(xiàn)燃?xì)馕锫?lián)網(wǎng)系統(tǒng)中智能燃?xì)獗砼c燃?xì)鈽I(yè)務(wù)系統(tǒng)之間的安全通信,在方案中融入了輕量化CBOR證書以及PKI體系的概念。傳統(tǒng)X.509公鑰證書由于數(shù)據(jù)量龐大、可擴(kuò)展性差等問題,在通信過程中無法滿足燃?xì)馕锫?lián)網(wǎng)系統(tǒng)低功耗、報(bào)文大小存在限制的要求,因此公鑰證書的傳輸通信一直是個(gè)亟待解決的問題。經(jīng)過不斷探索,本文的應(yīng)用方案提出了一種能應(yīng)用于燃?xì)馕锫?lián)網(wǎng)認(rèn)證的CBOR公鑰證書,該證書可以有效地解決上述問題。CBOR是一種提供良好壓縮性、擴(kuò)展性強(qiáng)、不需要進(jìn)行版本協(xié)商的二進(jìn)制數(shù)據(jù)交換形式。這些特性使它有別于早期的ASN.1等二進(jìn)制序列化方式。使用CBOR證書可以很好地進(jìn)行證書輕量化處理,證書文件中的字段可以根據(jù)燃?xì)馕锫?lián)網(wǎng)的需要自定義進(jìn)行增減,而不是像傳統(tǒng)證書文件那樣需要事先定義好每一個(gè)字段及大小,這就大大體現(xiàn)出了其靈活性優(yōu)勢。根據(jù)需求自定義證書的字段,可以使得CBOR證書遠(yuǎn)小于標(biāo)準(zhǔn)的X.509證書,從而能夠滿足燃?xì)馕锫?lián)網(wǎng)NB-IoT通信的約束。因此CBOR證書很好地解決了燃?xì)馕锫?lián)網(wǎng)系統(tǒng)中證書傳輸通信帶來的問題。使用CBOR證書后,可以很好地將公鑰證書體系結(jié)合于燃?xì)馕锫?lián)網(wǎng)系統(tǒng)之中,解決公鑰證書傳輸困難的問題。應(yīng)用方案包含CA認(rèn)證中心用于對智能燃?xì)獗硪约鞍踩W(wǎng)關(guān)簽發(fā)公鑰證書,公鑰證書通過發(fā)行系統(tǒng)進(jìn)行統(tǒng)一發(fā)行操作。所有與數(shù)字證書相關(guān)的各種概念和技術(shù)統(tǒng)稱為PKI體系。通信時(shí)智能燃?xì)獗砼c安全網(wǎng)關(guān)雙方先發(fā)送自身公鑰證書以表明身份,隨后通過使用對方公鑰進(jìn)行密鑰協(xié)商并判斷對方是否真實(shí)擁有該公鑰所對應(yīng)的私鑰,從而進(jìn)一步確認(rèn)對方身份,實(shí)現(xiàn)身份鑒別,最后通過協(xié)商出來的雙方共知的會話密鑰進(jìn)行信息加密傳輸。鑒于NB-IoT智能燃?xì)獗韺?shí)際運(yùn)行過程中的低功耗以及報(bào)文大小傳輸限制的屬性要求,燃?xì)馕锫?lián)網(wǎng)系統(tǒng)無法沿用當(dāng)前成熟的TLS等傳輸層通信協(xié)議。本文應(yīng)用方案的通信協(xié)議,在TLS協(xié)議基礎(chǔ)上根據(jù)行業(yè)屬性進(jìn)行了輕量化定制開發(fā)。由于通信雙方為明確的智能燃?xì)獗硪约鞍踩W(wǎng)關(guān),且雙方已明確所要采用的密鑰協(xié)商方式以及國密算法,因此可以省略標(biāo)準(zhǔn)TLS通信協(xié)議中密碼套件的協(xié)商過程。主體密鑰協(xié)商過程是通過雙方生成的隨機(jī)數(shù)共同參與計(jì)算,最終得出用于通信加密的會話密鑰。具體流程如下。可信的機(jī)制可以保障固件程序的完整性未被惡意人員破壞,尤其是防范內(nèi)部人員的不合法行為。通過可信計(jì)算技術(shù)可實(shí)現(xiàn)的是針對智能燃?xì)饨K端系統(tǒng)的安全啟動。通過事先對固件程序進(jìn)行簽名運(yùn)算生成簽名值,并保存在智能燃?xì)獗戆踩酒?,無法被惡意修改。每次固件程序運(yùn)行前都需進(jìn)行驗(yàn)簽操作,驗(yàn)簽成功則安全啟動,反之發(fā)出警告。3 燃?xì)獗韮?nèi)通信結(jié)構(gòu)傳統(tǒng)智能燃?xì)獗韮?nèi)的通信結(jié)構(gòu)中,安全芯片通常置于MCU(微控制單元)后側(cè),見圖1。圖1 傳統(tǒng)智能燃?xì)獗韮?nèi)的通信結(jié)構(gòu)
在這種結(jié)構(gòu)中,下行報(bào)文為:通信模組將密文發(fā)送給MCU,MCU將密文轉(zhuǎn)發(fā)給安全芯片,安全芯片解密后將明文發(fā)送給MCU,流程為d—c—b;上行報(bào)文為:MCU將明文轉(zhuǎn)發(fā)給安全芯片,安全芯片加密后將密文轉(zhuǎn)發(fā)給MCU,MCU將密文發(fā)送給通信模組,流程為c—b—a。本文應(yīng)用方案提出安全芯片前置化處理的通信結(jié)構(gòu),安全芯片置于MCU的前側(cè),見圖2。圖2 安全芯片前置化處理的通信結(jié)構(gòu)
在這種結(jié)構(gòu)中,下行報(bào)文為:通信模組將密文發(fā)送給安全芯片,安全芯片解密后將明文發(fā)送給MCU,流程為d—c;上行報(bào)文為:MCU將明文發(fā)送給安全芯片,安全芯片加密后將密文發(fā)送給通信模組,流程為b—a。采用安全芯片前置化處理的通信結(jié)構(gòu),能夠起到物聯(lián)網(wǎng)防火墻的作用,御敵于前端,且能簡化交互流程,從而提高數(shù)據(jù)交互的效率。注意安全芯片需取得國家密碼管理局頒發(fā)的資質(zhì)證書,滿足合規(guī)性要求。4.1 網(wǎng)絡(luò)安全等級保護(hù)《中華人民共和國網(wǎng)絡(luò)安全法》明確國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度,任何活躍于網(wǎng)絡(luò)中的信息系統(tǒng)均在要求范疇之內(nèi),其所屬的主體運(yùn)營者應(yīng)該按照GB/T 22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》對其信息系統(tǒng)進(jìn)行安全防范以及保護(hù),且需聯(lián)系網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)對其信息系統(tǒng)進(jìn)行定期測評,測評結(jié)果需達(dá)到相關(guān)標(biāo)準(zhǔn)規(guī)范要求。不符合的問題項(xiàng)應(yīng)及時(shí)進(jìn)行整改,否則將會根據(jù)法律要求處以一定的罰款甚至強(qiáng)制系統(tǒng)下線?!缎畔踩夹g(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》在先前版本的基礎(chǔ)上新增了物聯(lián)網(wǎng)安全等擴(kuò)展要求,燃?xì)馕锫?lián)網(wǎng)系統(tǒng)一般定為第三級信息系統(tǒng),需同時(shí)滿足《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》第三級安全通用要求以及物聯(lián)網(wǎng)安全擴(kuò)展要求。燃?xì)庀到y(tǒng)一旦受到外部網(wǎng)絡(luò)攻擊或內(nèi)部安全事件影響,輕則影響企業(yè)的安全生產(chǎn),重則影響廣大人民的日常生活及國家正常的生產(chǎn)秩序。國家目前已經(jīng)把能源行業(yè)列為關(guān)鍵信息基礎(chǔ)設(shè)施,燃?xì)馕锫?lián)網(wǎng)系統(tǒng)需在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。相關(guān)單位有責(zé)任有義務(wù)有必要把網(wǎng)絡(luò)安全工作做好,確保生產(chǎn)控制系統(tǒng)及核心業(yè)務(wù)系統(tǒng)的安全。參照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》中的第三級信息系統(tǒng)安全通用要求以及物聯(lián)網(wǎng)安全擴(kuò)展要求,對燃?xì)馕锫?lián)網(wǎng)系統(tǒng)進(jìn)行全面規(guī)劃和設(shè)計(jì),保障只有合法燃?xì)饨K端才被允許接入通信網(wǎng)絡(luò),確保信息的傳輸以及存儲達(dá)到保密性、完整性要求。整體規(guī)劃上使用國密技術(shù)實(shí)現(xiàn)以上規(guī)范要求,其中相關(guān)密碼算法、密碼設(shè)備、密碼應(yīng)用的使用規(guī)范可參考GM/T 0054—2018《信息系統(tǒng)密碼應(yīng)用基本要求》以達(dá)到密碼應(yīng)用性評估要求,保證系統(tǒng)在密碼使用中的合規(guī)性,從而助力燃?xì)馕锫?lián)網(wǎng)系統(tǒng)全面達(dá)到國家層面的安全要求。國密技術(shù)應(yīng)用于智能燃?xì)獗硇袠I(yè)能夠很好地滿足其身份鑒別、加密通信、完整性保護(hù)等安全需求,且符合國家標(biāo)準(zhǔn)的要求。因此國密算法作為一項(xiàng)核心技術(shù),規(guī)劃構(gòu)建于燃?xì)馕锫?lián)網(wǎng)系統(tǒng)之中,是很有必要的。