网络安全
近年来我国数据安全顶层制度设计加速推进:
2015年施行的《国家安全法》第25条明确提出“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。
自2017年6月1日起施行的《中华人民共和国网络安全法》中,第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;第三十一条:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》中要求:应采用密码技术保证通信过程中数据的完整性;应采用密码技术保证通信过程中数据的保密性;应在通信前基于密码技术对通信的双方进行验证和认证......
目前我国智能燃气表市场处在物联网智能燃气表替代IC卡智能燃气表的阶段。由于物联网具有网络层级多,设备海量化、碎片化的特点,其安全挑战相比传统的互联网更为复杂。大多数物联网燃气表没有采用安全加密技术或者采用安全等级非常低的软件加密方式,不足以满足自身安全需求和满足国家法规要求。
近日,港华集团各相关职能部门制定发布了《港华NB物联网表数据安全标准及安全协议》,并按协议标准搭建了港华物联网安全平台,推出了硬加密体系的安全解决方案。
港华燃气安全平台根密钥
5月11日,港华集团举行了物联网安全平台根密钥生成仪式。该方案具备数据硬加密、密钥管理和密钥发行等能力,相比软加密技术,硬加密技术采用安全芯片或安全模组为硬件载体,使用国产商用密码SM1/2/3/4/9对重要业务数据进行加密,密码安全等级更高;数据传输遵循港华集团专属的标准安全通讯协议;在密钥发行的全流程中,始终不脱离安全环境,也不存在密钥泄露和遗失的风险,从数据生产、存储、传输、发行等环节做到数据全生命周期的安全管控,能够从根源上保障用户数据信息安全。
同时,方案具备安全合规、无缝适配、兼容性好等优势。在满足“国家信息安全等级保护三级认证”标准外,兼顾燃气表市场的需求,实现适配简单、成本更优的硬加密安全升级。
此前北京燃气集团与深圳燃气集团也采用过相关加密技术来保障燃气信息安全。跟随小编,一起来看看他们是如何做的?其技术创新之处又是啥?
北京燃气智能安全芯片
北京燃气综合利用技术与管理手段,为北燃物联网构建了一个标准化、开放化、具备自主知识产权、能提供二次开发支持的物联网安全管理平台,其构建是燃气物联网平台应对其面临的信息安全挑战的关键性课题。智能燃气表内置的安全芯片与物联网安全管理平台的配合使用,强化了信息安全管理效能,提升了燃气物联网平台的整体安全性。
目前,北京燃气集团对于表端的数据传输的安全类别采用的是安全芯片加密;上报和下发的数据采用的是密文+MAC标签;用数据的不可抵赖性(身份认证)来保证数据传输的安全性。
其数据加密方式采用燃气表端到应用系统端的数据安全控制,表端采用安全芯片加密方式,与后台密钥系统配合实现端到端的安全保护。实现数据采集报文密文传输;具有防篡改措施,防止重放攻击的措施;远程设置参数、阀门控制等使用身份认证签名方式。
除了表端和系统端的安全可控外,北京燃气安全芯片工作室实现安全信息可控。
安全芯片SE初始化阶段完成密钥的安装,密文导入对称密钥 ,产生SM2公私钥对作为燃气表认证密钥,公钥在安全平台中注册,私钥在安全芯片保存。安全芯片SE 由北京燃气集团统一进行初始化密钥安装:密钥安装连接集团密钥机进行,密钥安全可控。即使安全芯片SE厂商更换不影响生产。
图片来源于环球表计大会资料
深圳燃气一体化安全模组
2021年4月,深圳燃气推出“基于国密算法的一体化NB-IoT安全通讯模组项目”。
图片来源于环球表计大会资料
其产品技术其创新点在于该安全模组中采用了安全模块前置化串行结构,优化了交互流程,使得上下行报文不走回头路,节省了报文安全处理的时间,有效降低了功耗。
模组中的安全芯片采用了前置化串行架构,上行原始业务数据要先通过安全芯片加密后才能转到通信基带芯片上报,下行加密业务数据在通信基带芯片内无法解析,只能透传给安全芯片,在安全芯片内完成数据解密后交给业务处理MCU;设计了匹配NB-IoT通信低功耗应用场景特点的超轻量级安全加密认证方案和通信协议,协议减去了繁琐的密码算法、协商模式等信息的双向选择以及确认,双方直接利用预置的对端公钥以及预定的密码算法、协商模式进行密钥协商,一个RTT双方即能得出共同的会话密钥;内置了能源物联网安全基线,集成了安全态势感知功能,实现了终端的安全状态管理分析。