王濱濱，陸從杭，狄 鵬，胡 莽，朱偉泳

(上海飛奧燃?xì)庠O(shè)備有限公司，上海 201201)

1 概述

近年來，我國城市建設(shè)迅猛發(fā)展，許多城市正在向智慧城市邁進(jìn)。戶用燃?xì)獗硎翘烊粴馀渌瓦^程中必不可少的計(jì)量儀表，涉及每一戶城鎮(zhèn)居民。保證智能燃?xì)獗砻庠庑畔⑿孤?、惡意攻擊，確保通信安全，成為無法回避的問題。

當(dāng)前，智能燃?xì)獗砥毡椴捎密浖用芊绞?，不論密碼認(rèn)證還是密鑰認(rèn)證，都是儲(chǔ)存在內(nèi)部微控制器或外部儲(chǔ)存介質(zhì)上。這種設(shè)計(jì)的問題在于，微控制器的程序設(shè)計(jì)不由燃?xì)夤究刂?，而是由燃?xì)獗砩a(chǎn)企業(yè)或委托的第三方設(shè)計(jì)單位完成，當(dāng)智能燃?xì)獗硗度胧褂煤?，由于除燃?xì)夤就膺€有其他人員掌握涉及安全的核心內(nèi)容，數(shù)據(jù)一旦泄露，后果嚴(yán)重。

為了解決上述問題，在加密方式的設(shè)計(jì)上應(yīng)采用硬件安全控制模塊(即嵌入式安全控制模塊，ESAM)。硬件安全控制模塊負(fù)責(zé)加密、解密、驗(yàn)證及分析處理，可以由燃?xì)夤驹O(shè)置完畢后，提供給燃?xì)獗砩a(chǎn)企業(yè)安裝在智能燃?xì)獗碇小＜葘?shí)現(xiàn)了智能燃?xì)獗淼陌踩?，又不妨礙燃?xì)獗砩a(chǎn)企業(yè)繼續(xù)發(fā)展和完善智能燃?xì)獗淼墓δ堋１疚膶τ布踩用茉谥悄苋細(xì)獗淼膽?yīng)用進(jìn)行探討。

2 智能燃?xì)獗響?yīng)用體系架構(gòu)

智能燃?xì)獗響?yīng)用體系架構(gòu)(見圖1)主要包括設(shè)備層、網(wǎng)絡(luò)層、應(yīng)用層。設(shè)備層是對信息進(jìn)行感知、采集以及加密、解密的設(shè)備全體，主要包括智能燃?xì)獗?、硬件安全控制模塊，是信息和數(shù)據(jù)的感知層和安全加解密處理單元。網(wǎng)絡(luò)層是信息和數(shù)據(jù)的傳輸層及通信基礎(chǔ)，負(fù)責(zé)將設(shè)備層采集到的數(shù)據(jù)傳輸?shù)綉?yīng)用層進(jìn)行進(jìn)一步的處理?？蛇m應(yīng)不同的應(yīng)用場景和不同網(wǎng)絡(luò)的接入和連接，網(wǎng)絡(luò)形式主要包括NB-IoT/LoRa無線網(wǎng)絡(luò)、GPRS/CDMA無線公網(wǎng)、光纖專網(wǎng)等。應(yīng)用層配置服務(wù)器(本地服務(wù)器、云服務(wù)器)、加密機(jī)，并以服務(wù)器為載體構(gòu)建燃?xì)鈽I(yè)務(wù)應(yīng)用平臺(tái)、密鑰管理系統(tǒng)，負(fù)責(zé)對智能燃?xì)獗淼拿荑€進(jìn)行管理以及對傳輸數(shù)據(jù)的加密、解密、驗(yàn)證及分析處理。

圖1 智能燃?xì)獗響?yīng)用體系架構(gòu)

3 數(shù)據(jù)收發(fā)流程

智能燃?xì)獗響?yīng)用體系數(shù)據(jù)收發(fā)流程見圖2。數(shù)據(jù)上行：業(yè)務(wù)流程由智能燃?xì)獗戆l(fā)起，先組織上行數(shù)據(jù)，并發(fā)送給智能燃?xì)獗韮?nèi)的ESAM進(jìn)行數(shù)據(jù)加密、計(jì)算MAC(Message Authentication Code，消息鑒別碼)和數(shù)字簽名，然后將數(shù)據(jù)通過通信網(wǎng)絡(luò)上傳至燃?xì)鈽I(yè)務(wù)應(yīng)用平臺(tái)。燃?xì)鈽I(yè)務(wù)應(yīng)用平臺(tái)接收數(shù)據(jù)后，將數(shù)據(jù)發(fā)送給密鑰管理系統(tǒng)、加密機(jī)進(jìn)行數(shù)據(jù)解密、驗(yàn)證MAC和數(shù)字簽名，最終開展業(yè)務(wù)處理。數(shù)據(jù)下發(fā)：業(yè)務(wù)流程由燃?xì)鈽I(yè)務(wù)應(yīng)用平臺(tái)發(fā)起，先組織下行數(shù)據(jù)，并發(fā)送給密鑰管理系統(tǒng)、加密機(jī)進(jìn)行數(shù)據(jù)加密、計(jì)算MAC和數(shù)據(jù)簽名，然后將數(shù)據(jù)通過通信網(wǎng)絡(luò)下發(fā)至智能燃?xì)獗?，表端接收后，將?shù)據(jù)發(fā)送給ESAM進(jìn)行數(shù)據(jù)解密、驗(yàn)證MAC和數(shù)字簽名，最終由智能燃?xì)獗韴?zhí)行業(yè)務(wù)處理。

圖2 智能燃?xì)獗響?yīng)用體系數(shù)據(jù)收發(fā)流程

4 核心模塊及系統(tǒng)

① 硬件安全控制模塊

ESAM是將一張具有COS操作系統(tǒng)(China Operating System，中國自主系統(tǒng))的CPU卡，通過DIP8(直插8腳封裝)或SOP8(貼片8腳封裝)的封裝形式，將其嵌入智能燃?xì)獗碇?。?fù)責(zé)完成數(shù)據(jù)的加密、解密、雙向身份認(rèn)證、訪問權(quán)限控制、通信線路保護(hù)、臨時(shí)密鑰導(dǎo)出、數(shù)據(jù)文件儲(chǔ)存等多種功能。

支持國密算法SM1/SM7，可選支持三重?cái)?shù)據(jù)加密算法3DES。具備可抵抗SPA(Simple Power Analysis，簡單能量分析攻擊)、DPA(Differential Power Analysis，差分能量分析攻擊)攻擊的硬件DES(Data Encryption Standard，數(shù)據(jù)加密標(biāo)準(zhǔn))協(xié)處理器及符合FIPS140-2標(biāo)準(zhǔn)的真隨機(jī)數(shù)發(fā)生器。芯片內(nèi)部時(shí)鐘振蕩器為系統(tǒng)提供時(shí)鐘，確保CPU運(yùn)行不受外部環(huán)境干擾。具備外部電壓檢測機(jī)制、外部頻率檢測機(jī)制、內(nèi)部電壓檢測以及Power-On保護(hù)機(jī)制、儲(chǔ)存器保護(hù)機(jī)制、地址加擾數(shù)據(jù)加密。支持3種通信接口：ISO7816接口、SPI接口、IIC接口。

② 加密機(jī)

加密機(jī)外形酷似PC機(jī)箱，主要用于儲(chǔ)存密鑰、加密與解密通信中的關(guān)鍵業(yè)務(wù)數(shù)據(jù)和參數(shù)、計(jì)算業(yè)務(wù)流程的MAC，保證交互中敏感數(shù)據(jù)的安全等。

加密機(jī)與ESAM可以在燃?xì)鈽I(yè)務(wù)應(yīng)用平臺(tái)與智能燃?xì)獗碇g建立端對端的數(shù)據(jù)安全通道，并通過有線、無線網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的加密傳遞，密鑰和算法在加密機(jī)與ESAM內(nèi)部進(jìn)行，可抵御一定程度上的安全攻擊。

③ 密鑰管理系統(tǒng)

密鑰管理系統(tǒng)可以為燃?xì)鈽I(yè)務(wù)應(yīng)用平臺(tái)提供統(tǒng)一的密鑰生產(chǎn)和管理平臺(tái)。對于敏感操作執(zhí)行雙人鑒權(quán)，保證敏感操作的雙向控制，提高系統(tǒng)的安全性。主要由密鑰服務(wù)子系統(tǒng)、密鑰管理子系統(tǒng)、系統(tǒng)管理子系統(tǒng)組成。

a.密鑰服務(wù)子系統(tǒng)

密鑰服務(wù)子系統(tǒng)是一個(gè)獨(dú)立的套接字(Socket)服務(wù)，可以提供身份認(rèn)證服務(wù)、數(shù)字簽名、驗(yàn)證服務(wù)、密鑰服務(wù)。燃?xì)鈽I(yè)務(wù)應(yīng)用平臺(tái)運(yùn)行過程中所需的各類密鑰都需要調(diào)用密鑰服務(wù)子系統(tǒng)的密鑰服務(wù)生成，并存放在加密機(jī)中。密鑰服務(wù)包括對稱密鑰的加密與解密、MAC計(jì)算、密鑰分散，非對稱密鑰的數(shù)字簽名、驗(yàn)證簽名、摘要算法等也是通過密鑰服務(wù)完成的。

b.密鑰管理子系統(tǒng)

負(fù)責(zé)密鑰的生成、使用、導(dǎo)出、備份、恢復(fù)等整個(gè)生命周期的管理。

c.系統(tǒng)管理子系統(tǒng)

主要負(fù)責(zé)密鑰管理系統(tǒng)中用戶權(quán)限和操作日志的管理。

5 結(jié)語

采用硬件安全控制模塊的智能燃?xì)獗?，可以很好地兼顧系統(tǒng)安全性、技術(shù)先進(jìn)性、標(biāo)準(zhǔn)兼容性、應(yīng)用可擴(kuò)展性和經(jīng)濟(jì)實(shí)用性，具有較高的性價(jià)比，值得大力推廣。