【能源人都在看，点击右上角加“关注”】

近年来城市燃气发展取得了巨大的进步，尤其是智能燃气表的广泛应用，给企业和用户带来了诸多便利，但与此同时，也对信息安全提出了更高的要求。目前多数的智能燃气表在实际应用中，往往缺少完备的安全防控手段，存在敏感信息泄漏或被篡改的风险，严重威胁个人用户隐私、企业商业信息甚至城市基础设施的安全。本文提出一种基于SE（安全单元）的智能燃气表安全解决方案，保障终端在接入、通信传输、数据存储等各环节的安全，同时对密钥分发、SE生产与集成等相关技术进行了阐述。

作者：北京中电华大电子设计有限责任公司 王睿

智能燃气表应用架构

应用背景

随着我国城镇化建设的发展，智能燃气表市场的规模也不断扩展，根据中国计量协会燃气委员会发布的相关数据，目前我国约有1.5亿台在线运行的居民燃气表，其中智能燃气表3000-4000万台，2018年国内智能燃气表市场规模已经达到了66.77亿元，同比增长18.48%。

图 1 2012-2018年中国智能燃气表市场情况

智能燃气表属于智能化计量仪表的范畴，通过终端集成的GPRS、NB-IoT、LoRa等传输模块接入到通信网络内，同时借助云平台或业务平台的数据分析能力，实现实时采集、远程监控及远程控制，能够对用户的使用数据进行分析，提前预估用户的使用量，实现分时、分地的能源传输，使管理更科学、更高效，同时大大降低了维护所需的人力资源成本。

整体架构

智能燃气表的产生与发展依托物联网、移动互联网、大数据、云计算等诸多新兴技术，因此其应用架构也由物联网“云-管-端” 的架构衍生而来，同时结合燃气行业实际的应用需求，在各层级做了相应的功能细化或系统分级。如图2所示。

图 2 智能燃气表应用架构

终端层

终端层，是指对信息进行感知与采集的用户终端的全体，是物联网信息和数据的感知层。智能燃气表通过内置的各种传感器和通信模块，与网络对接完成中心管理平台之间的数据交互。

网络层

网络层，是物联网信息和数据的传输层或通讯基础，将终端层采集到的数据传输到应用层进行进一步的处理。不同的应用场景和终端使用不同的网络接入技术和连接技术，包括NB-IoT/LoRa无线网络、GRPS/CDMA无线公网、光纤专网等接入网，以及远距离广域网通信服务的核心网。

平台层

平台层，是物联网信息和数据的应用层，以云计算服务为基础，对通过网络层传输过来的数据进行分析处理，并再次通过网络层反馈给终端层，实现燃气需求侧的管理以及管网建设、生产运维等供给侧的管理，并为用户提供丰富、智能、便捷的特定服务。

安全体系建设思路

风险分析

智能燃气表作为一类典型的物联网终端，其网络层的核心载体是互联网、移动网以及其他一些专用网络，因此互联网的诸多安全威胁仍然存在，例如服务阻断、链路监听与劫持、未授权访问、跳板及冒用、APT攻击等等。

同时，由于燃气表散布在日常应用的物理环境中，很容易遭到攻击，加之嵌入式终端的资源受限，其处理器能力、存储空间有限，很难实现强有力的防护机制，更加增大了终端的安全风险。

因此，相对于传统互联网系统而言，智能燃气表的运营环境需要有更好的防范措施和灾难恢复机制，确保在遭受攻击时整体系统仍可持续可靠的运行。针对上述风险背景及对应的安全技术，总结出如下几点基本的建设思路。

安全体系的建设时机

安全体系需要与应用系统同时建设或尽早建设，后期增加额外的安全防护功能，不但会有诸多限制（硬件环境、软件环境、接口等），而且相关的建设或改造费用也会更高。同时，在识别安全风险时，要从整体系统层面来考虑，使用多重防御策略来逐级管控安全威胁、抵御安全风险。

安全防御的聚焦点

网络层安全和平台层安全，更多的是基础设施安全与承载平台的安全，在目前的技术条件下通常已具备成熟的防御机制。因此，智能燃气表安全的最终解决方案，应该聚焦在核心业务数据（包括固件、指令、配置类数据）的安全，因为对用户来说，业务数据是整个运营系统的“生命线”，只有业务数据的安全方案才是可控的。

业务数据的安全，更多的是体现在终端到平台之间“端到端”的安全，即如何核实对方的真实身份、如何保证数据传输的机密性、完整性与可用性，同时终端自身的安全也至关重要，包括如何保证固件程序的合法性、如何保证敏感数据存储的安全性。

安全体系的技术路线

为保证业务数据的安全，应为每台终端提供唯一身份并配合完善的安全认证机制，可基于对称或非对称密钥体系，使终端自身拥有安全连接能力。对不同终端及后端云平台之间的往来流量进行加密，尤其是用户信息、控制指令等敏感数据，且通过签名或者强编码保证完整性。

认证和加密是保证合法身份以及通讯不被篡改的关键，将加密算法固化在一个专用的芯片（SE）内，这种方式可有效避免因为通过软件计算而导致的密钥泄露，同时，芯片厂商在设计芯片时本身的安全性考虑更多，其自带的算法协处理器可保证算法实现质量。目前随着硬件成本越来越低，终端集成SE的方案层出不穷，并且这种趋势后续会愈加明显。

基于SE的安全解决方案

华大电子以智能燃气表的安全需求为契机，将整个系统的安全聚焦在业务数据的安全上，深入挖掘如何能够通过硬件单元保证业务数据的安全，提出了基于SE（安全单元）的整体安全解决方案。

安全体系架构

基于典型的智能燃气表应用架构，增加端到端的硬件级安全单元及服务接口，保障整个系统的运行安全，安全体系架构如下图所示。

图 3 安全体系架构图

在系统的接入层增加安全防御的相关机制，使其成为“安全网关”的角色，基于密钥管理系统及算法体系，实现终端安全、链路安全、安全OTA以及安全的参数管理等功能。后端的运营层及服务层保持不变，仅专注于业务相关的功能。相应的，在终端层的燃气表内，增加硬件SE芯片，并基于SE配套的安全SDK，实现安全启动、安全OTA、身份认证以及安全通信等安全功能。

安全能力

基于上述安全体系架构，终端与平台间可建立起安全通信的可信链路，安全接入层承担了登陆身份认证及用户之间机密数据的传输，从而实现“端到端”的业务数据安全。

将整个安全体系所具备的安全能力抽象出来，主要包含以下四点：

身份认证

终端在连接后台系统之前，需要与其进行双向身份认证，以确认双方的合法身份，并保证后续的安全通信。身份认证流程完成之后，两者之间即建立起一条可信链路。

具体的身份认证流程与其采用的算法体系相关，如对称体系、非对称PKI体系、非对称IBC体系，相关的密钥、证书等数据，应存储在SE内以保证安全。

通信加密

终端与后台系统间完成双向身份认证之后，应使用特定的密码算法及流程，保证数据传输的保密性、完整性和可用性。

在此过程中使用的密钥称之为“会话密钥”，通常为对称密钥，会话密钥需定时更新，以进一步提升通信链路的安全性。会话密钥的生成可使用以下几种方式：

基于非对称体系的密钥协商算法；

使用非对称密钥信封方式，交互对称密钥；

使用预置的对称密钥，通过衍生算法产生。

安全存储

终端用到的敏感信息或关键参数，可安全存储至SE内。SE通过其文件系统来支持数据的安全存储，可针对不同的存储数据，设置相应的安全策略，包括：

读写权限：指外部实体必须通过认证SE内相应的密钥，达到设置的安全级别，才能访问对应的数据。

线路保护机制：指数据的更新、读取等操作，可根据设置使用明文、密文、明文+MAC或密文+MAC等方式来完成。

非法访问次数超限锁死：指外部实体对SE的认证操作，其出错次数如果超过了设置的重试上限，则锁定对应的密钥或应用，防止可能出现的非法攻击。

固件防护

借助SE提供的密钥和算法，通过签名等机制，保护固件程序的合法性和可用性，实现OTA安全升级功能。

在OTA程序包下发之前，先使用安全启动密钥（BootKey）对代码进行加密，然后使用版权保护私钥（PrivateKey）对其进行签名，这样，在对代码进行加密的同时，也可验证程序的合法性和有效性。为适应此机制，终端的Boot Loader需相应的增加校验和解密操作.

密钥体系密码算法体系

密码算法体系包含对称密钥体系和非对称密钥体系，其中非对称密钥体系又包括PKI体系和IBC体系。实际应用中，对称密钥主要用于对敏感数据的加密和校验，非对称密钥主要用于实现各实体间的身份认证及数据签名校验。

目前常用的算法包括：

对称算法——SM1、SM4、AES、3DES；

非对称算法——SM2、SM9、ECC、RSA；

杂凑算法——SM3、SHA256。

不同密码算法体系的对比如下：

因此，对于资源受限的终端，可采用轻量级安全算法和安全协议，如基于对称密钥体系的身份认证和数据加密；对于资源较为丰富的终端，可提升安全等级，使用成熟的PKI或更易部署的IBC等安全防护体系。

密钥管理及分发

密钥体系的核心由密钥管理系统（KMS）实现，是由管理客户端、数据库、加密机等软硬件组成的系统，其密钥管理及分发的机制如下图所示。

图 4 密钥管理及分发机制的示意图

SE安全设计安全管理

SE内预置SEID，固化在芯片中，不可篡改且具备唯一性。后期应用阶段的安全计算与SEID相关联，作为唯一身份识别的标识。

私钥及对称密钥，通过安全环境在芯片内部生成或预置,外界不可以获取。

各项安全计算使用基于硬件的SM1、SM2、SM3、SM4等算法实现。

支持数据安全存储，可设置相应的安全策略。

密钥及数据

SE内核心的密钥及数据主要包括：

SEID

公开数据，存储于不可修改的存储区。

密钥

公私钥对，内部生成

根CA公钥

安全启动密钥

预留对称密钥

数字证书

签名证书，由根CA私钥签发

安全SDK

终端在硬件层面集成SE之后，可在MCU编译环境中集成SE配套的安全SDK库文件，在相应的业务内容中调用安全SDK提供的安全服务接口，即可实现各类安全算法、密钥管理和数据存储等功能，而不用关心如何去组织、派发SE相关的指令集。

安全SDK的应用架构如下图所示。

图 5 安全SDK的应用架构

SE生产与集成

SE的生产过程，是指将特定的密钥、数字证书等数据写入到SE内，以支持应用阶段的各项安全功能，也称为发行过程。目前主流的发行模式包括预置和空发两种方式：

预置模式：密钥下装发生在终端出厂之前，适用于批量生产，由SE制造商集中完成。在SE出厂前，SE制造商通过安全方式（SDK、专线、VPN、加密机等）从管理方的密钥管理系统获取密钥、数据，并通过生产线程序写入SE中。

空发模式：密钥下装发生在终端使用阶段，主要用于证书和密钥更新，由OTA系统实现。当证书到期、密钥或数据需要更新时，由终端发起更新操作，通过OTA系统远程完成SE的升级发行。

SE的生产与集成的示意图如下所示。

图 6 SE生产与集成示意图

总结

在物联网纷繁复杂的应用场景下，智能燃气表作为关乎城市安全、企业利益、国计民生的一类物联网基础设施，针对其应用构建更为安全的防御体系，是推动行业创新、增进民生福祉、提升社会价值的趋势所在。华大电子始终坚守与此，面向各类领域提供完善的安全解决方案，为整个物联网应用系统提供强大的安全支撑。

在物联网渗透到表计圈的时候，安全问题越发受到大家的关注。环球表计11月5-7日即将在天津举办的“2019物联网表计大会”中，特别设有“从安全视角看物联网表计”专题：

物联网表计的安全威胁分析和解决之道

王鑫，国家金融IC 卡安全检测中心（银行卡检测中心）研发创新团队负责人

物联网设备安全风险分析与测试

路晔绵，中国信息通信研究院（泰尔终端实验室信息安全部）工程师

物联网智能表的安全防护探索

刘存，北京似海科技有限公司（360 天御）产品总监

同时，在燃气和水务专题中，来自北京燃气和阿里云的演讲嘉宾都将谈到表计安全的话题，欢迎报名参加！

免责声明：以上内容转载自环球表计，所发内容不代表本平台立场。

全国能源信息平台联系电话：010-65367817，邮箱：hz@people-energy.com.cn，地址：北京市朝阳区金台西路2号人民日报社