近年來(lái)城市燃?xì)獍l(fā)展取得了巨大的進(jìn)步�,尤其是智能燃?xì)獗淼膹V泛應(yīng)用�,給企業(yè)和用戶帶來(lái)了諸多便利�,但與此同時(shí),也對(duì)信息安全提出了更高的要求。目前多數(shù)的智能燃?xì)獗碓趯?shí)際應(yīng)用中�,往往缺少完備的安全防控手段�,存在敏感信息泄漏或被篡改的風(fēng)險(xiǎn)�,嚴(yán)重威脅個(gè)人用戶隱私、企業(yè)商業(yè)信息甚至城市基礎(chǔ)設(shè)施的安全。本文提出一種基于SE(安全單元)的智能燃?xì)獗戆踩鉀Q方案,保障終端在接入、通信傳輸�、數(shù)據(jù)存儲(chǔ)等各環(huán)節(jié)的安全�,同時(shí)對(duì)密鑰分發(fā)�、SE生產(chǎn)與集成等相關(guān)技術(shù)進(jìn)行了闡述。
作者:北京中電華大電子設(shè)計(jì)有限責(zé)任公司 王睿
智能燃?xì)獗響?yīng)用架構(gòu)
應(yīng)用背景
隨著我國(guó)城鎮(zhèn)化建設(shè)的發(fā)展�,智能燃?xì)獗硎袌?chǎng)的規(guī)模也不斷擴(kuò)展�,根據(jù)中國(guó)計(jì)量協(xié)會(huì)燃?xì)馕瘑T會(huì)發(fā)布的相關(guān)數(shù)據(jù)�,目前我國(guó)約有1.5億臺(tái)在線運(yùn)行的居民燃?xì)獗恚渲兄悄苋細(xì)獗?000-4000萬(wàn)臺(tái)�,2018年國(guó)內(nèi)智能燃?xì)獗硎袌?chǎng)規(guī)模已經(jīng)達(dá)到了66.77億元�,同比增長(zhǎng)18.48%�。
圖 1 2012-2018年中國(guó)智能燃?xì)獗硎袌?chǎng)情況
智能燃?xì)獗韺儆谥悄芑?jì)量?jī)x表的范疇,通過(guò)終端集成的GPRS�、NB-IoT�、LoRa等傳輸模塊接入到通信網(wǎng)絡(luò)內(nèi)�,同時(shí)借助云平臺(tái)或業(yè)務(wù)平臺(tái)的數(shù)據(jù)分析能力,實(shí)現(xiàn)實(shí)時(shí)采集�、遠(yuǎn)程監(jiān)控及遠(yuǎn)程控制�,能夠?qū)τ脩舻氖褂脭?shù)據(jù)進(jìn)行分析�,提前預(yù)估用戶的使用量�,實(shí)現(xiàn)分時(shí)、分地的能源傳輸�,使管理更科學(xué)�、更高效�,同時(shí)大大降低了維護(hù)所需的人力資源成本。
整體架構(gòu)
智能燃?xì)獗淼漠a(chǎn)生與發(fā)展依托物聯(lián)網(wǎng)�、移動(dòng)互聯(lián)網(wǎng)�、大數(shù)據(jù)�、云計(jì)算等諸多新興技術(shù),因此其應(yīng)用架構(gòu)也由物聯(lián)網(wǎng)“云-管-端” 的架構(gòu)衍生而來(lái)�,同時(shí)結(jié)合燃?xì)庑袠I(yè)實(shí)際的應(yīng)用需求�,在各層級(jí)做了相應(yīng)的功能細(xì)化或系統(tǒng)分級(jí)�。如圖2所示。
圖 2 智能燃?xì)獗響?yīng)用架構(gòu)
終端層
終端層�,是指對(duì)信息進(jìn)行感知與采集的用戶終端的全體�,是物聯(lián)網(wǎng)信息和數(shù)據(jù)的感知層�。智能燃?xì)獗硗ㄟ^(guò)內(nèi)置的各種傳感器和通信模塊,與網(wǎng)絡(luò)對(duì)接完成中心管理平臺(tái)之間的數(shù)據(jù)交互�。
網(wǎng)絡(luò)層
網(wǎng)絡(luò)層�,是物聯(lián)網(wǎng)信息和數(shù)據(jù)的傳輸層或通訊基礎(chǔ)�,將終端層采集到的數(shù)據(jù)傳輸?shù)綉?yīng)用層進(jìn)行進(jìn)一步的處理。不同的應(yīng)用場(chǎng)景和終端使用不同的網(wǎng)絡(luò)接入技術(shù)和連接技術(shù)�,包括NB-IoT/LoRa無(wú)線網(wǎng)絡(luò)�、GRPS/CDMA無(wú)線公網(wǎng)�、光纖專網(wǎng)等接入網(wǎng),以及遠(yuǎn)距離廣域網(wǎng)通信服務(wù)的核心網(wǎng)�。
平臺(tái)層
平臺(tái)層�,是物聯(lián)網(wǎng)信息和數(shù)據(jù)的應(yīng)用層,以云計(jì)算服務(wù)為基礎(chǔ)�,對(duì)通過(guò)網(wǎng)絡(luò)層傳輸過(guò)來(lái)的數(shù)據(jù)進(jìn)行分析處理�,并再次通過(guò)網(wǎng)絡(luò)層反饋給終端層�,實(shí)現(xiàn)燃?xì)庑枨髠?cè)的管理以及管網(wǎng)建設(shè)、生產(chǎn)運(yùn)維等供給側(cè)的管理�,并為用戶提供豐富�、智能�、便捷的特定服務(wù)。
安全體系建設(shè)思路
風(fēng)險(xiǎn)分析
智能燃?xì)獗碜鳛橐活惖湫偷奈锫?lián)網(wǎng)終端�,其網(wǎng)絡(luò)層的核心載體是互聯(lián)網(wǎng)�、移動(dòng)網(wǎng)以及其他一些專用網(wǎng)絡(luò)�,因此互聯(lián)網(wǎng)的諸多安全威脅仍然存在,例如服務(wù)阻斷�、鏈路監(jiān)聽(tīng)與劫持�、未授權(quán)訪問(wèn)�、跳板及冒用、APT攻擊等等�。
同時(shí)�,由于燃?xì)獗砩⒉荚谌粘?yīng)用的物理環(huán)境中�,很容易遭到攻擊,加之嵌入式終端的資源受限�,其處理器能力�、存儲(chǔ)空間有限�,很難實(shí)現(xiàn)強(qiáng)有力的防護(hù)機(jī)制�,更加增大了終端的安全風(fēng)險(xiǎn)。
因此�,相對(duì)于傳統(tǒng)互聯(lián)網(wǎng)系統(tǒng)而言�,智能燃?xì)獗淼倪\(yùn)營(yíng)環(huán)境需要有更好的防范措施和災(zāi)難恢復(fù)機(jī)制�,確保在遭受攻擊時(shí)整體系統(tǒng)仍可持續(xù)可靠的運(yùn)行。針對(duì)上述風(fēng)險(xiǎn)背景及對(duì)應(yīng)的安全技術(shù)�,總結(jié)出如下幾點(diǎn)基本的建設(shè)思路�。
安全體系的建設(shè)時(shí)機(jī)
安全體系需要與應(yīng)用系統(tǒng)同時(shí)建設(shè)或盡早建設(shè)�,后期增加額外的安全防護(hù)功能,不但會(huì)有諸多限制(硬件環(huán)境、軟件環(huán)境�、接口等)�,而且相關(guān)的建設(shè)或改造費(fèi)用也會(huì)更高�。同時(shí),在識(shí)別安全風(fēng)險(xiǎn)時(shí)�,要從整體系統(tǒng)層面來(lái)考慮�,使用多重防御策略來(lái)逐級(jí)管控安全威脅�、抵御安全風(fēng)險(xiǎn)。
安全防御的聚焦點(diǎn)
網(wǎng)絡(luò)層安全和平臺(tái)層安全�,更多的是基礎(chǔ)設(shè)施安全與承載平臺(tái)的安全�,在目前的技術(shù)條件下通常已具備成熟的防御機(jī)制�。因此,智能燃?xì)獗戆踩淖罱K解決方案�,應(yīng)該聚焦在核心業(yè)務(wù)數(shù)據(jù)(包括固件�、指令�、配置類數(shù)據(jù))的安全,因?yàn)閷?duì)用戶來(lái)說(shuō)�,業(yè)務(wù)數(shù)據(jù)是整個(gè)運(yùn)營(yíng)系統(tǒng)的“生命線”�,只有業(yè)務(wù)數(shù)據(jù)的安全方案才是可控的�。
業(yè)務(wù)數(shù)據(jù)的安全,更多的是體現(xiàn)在終端到平臺(tái)之間“端到端”的安全�,即如何核實(shí)對(duì)方的真實(shí)身份�、如何保證數(shù)據(jù)傳輸?shù)臋C(jī)密性�、完整性與可用性,同時(shí)終端自身的安全也至關(guān)重要�,包括如何保證固件程序的合法性�、如何保證敏感數(shù)據(jù)存儲(chǔ)的安全性�。
安全體系的技術(shù)路線
為保證業(yè)務(wù)數(shù)據(jù)的安全,應(yīng)為每臺(tái)終端提供唯一身份并配合完善的安全認(rèn)證機(jī)制�,可基于對(duì)稱或非對(duì)稱密鑰體系�,使終端自身?yè)碛邪踩B接能力�。對(duì)不同終端及后端云平臺(tái)之間的往來(lái)流量進(jìn)行加密,尤其是用戶信息�、控制指令等敏感數(shù)據(jù)�,且通過(guò)簽名或者強(qiáng)編碼保證完整性�。
認(rèn)證和加密是保證合法身份以及通訊不被篡改的關(guān)鍵,將加密算法固化在一個(gè)專用的芯片(SE)內(nèi)�,這種方式可有效避免因?yàn)橥ㄟ^(guò)軟件計(jì)算而導(dǎo)致的密鑰泄露�,同時(shí)�,芯片廠商在設(shè)計(jì)芯片時(shí)本身的安全性考慮更多,其自帶的算法協(xié)處理器可保證算法實(shí)現(xiàn)質(zhì)量。目前隨著硬件成本越來(lái)越低�,終端集成SE的方案層出不窮�,并且這種趨勢(shì)后續(xù)會(huì)愈加明顯�。
基于SE的安全解決方案
華大電子以智能燃?xì)獗淼陌踩枨鬄槠鯔C(jī)�,將整個(gè)系統(tǒng)的安全聚焦在業(yè)務(wù)數(shù)據(jù)的安全上,深入挖掘如何能夠通過(guò)硬件單元保證業(yè)務(wù)數(shù)據(jù)的安全�,提出了基于SE(安全單元)的整體安全解決方案�。
安全體系架構(gòu)
基于典型的智能燃?xì)獗響?yīng)用架構(gòu)�,增加端到端的硬件級(jí)安全單元及服務(wù)接口,保障整個(gè)系統(tǒng)的運(yùn)行安全,安全體系架構(gòu)如下圖所示。
圖 3 安全體系架構(gòu)圖
在系統(tǒng)的接入層增加安全防御的相關(guān)機(jī)制,使其成為“安全網(wǎng)關(guān)”的角色�,基于密鑰管理系統(tǒng)及算法體系�,實(shí)現(xiàn)終端安全�、鏈路安全、安全OTA以及安全的參數(shù)管理等功能。后端的運(yùn)營(yíng)層及服務(wù)層保持不變�,僅專注于業(yè)務(wù)相關(guān)的功能�。相應(yīng)的�,在終端層的燃?xì)獗韮?nèi),增加硬件SE芯片,并基于SE配套的安全SDK,實(shí)現(xiàn)安全啟動(dòng)�、安全OTA�、身份認(rèn)證以及安全通信等安全功能�。
安全能力
基于上述安全體系架構(gòu),終端與平臺(tái)間可建立起安全通信的可信鏈路,安全接入層承擔(dān)了登陸身份認(rèn)證及用戶之間機(jī)密數(shù)據(jù)的傳輸�,從而實(shí)現(xiàn)“端到端”的業(yè)務(wù)數(shù)據(jù)安全�。
將整個(gè)安全體系所具備的安全能力抽象出來(lái)�,主要包含以下四點(diǎn):
身份認(rèn)證
終端在連接后臺(tái)系統(tǒng)之前,需要與其進(jìn)行雙向身份認(rèn)證,以確認(rèn)雙方的合法身份,并保證后續(xù)的安全通信�。身份認(rèn)證流程完成之后�,兩者之間即建立起一條可信鏈路�。
具體的身份認(rèn)證流程與其采用的算法體系相關(guān),如對(duì)稱體系、非對(duì)稱PKI體系�、非對(duì)稱IBC體系�,相關(guān)的密鑰�、證書等數(shù)據(jù),應(yīng)存儲(chǔ)在SE內(nèi)以保證安全。
通信加密
終端與后臺(tái)系統(tǒng)間完成雙向身份認(rèn)證之后,應(yīng)使用特定的密碼算法及流程,保證數(shù)據(jù)傳輸?shù)谋C苄?、完整性和可用性?
在此過(guò)程中使用的密鑰稱之為“會(huì)話密鑰”�,通常為對(duì)稱密鑰�,會(huì)話密鑰需定時(shí)更新,以進(jìn)一步提升通信鏈路的安全性�。會(huì)話密鑰的生成可使用以下幾種方式:
基于非對(duì)稱體系的密鑰協(xié)商算法�;
使用非對(duì)稱密鑰信封方式,交互對(duì)稱密鑰;
使用預(yù)置的對(duì)稱密鑰,通過(guò)衍生算法產(chǎn)生。
安全存儲(chǔ)
終端用到的敏感信息或關(guān)鍵參數(shù)�,可安全存儲(chǔ)至SE內(nèi)�。SE通過(guò)其文件系統(tǒng)來(lái)支持?jǐn)?shù)據(jù)的安全存儲(chǔ)�,可針對(duì)不同的存儲(chǔ)數(shù)據(jù),設(shè)置相應(yīng)的安全策略,包括:
讀寫權(quán)限:指外部實(shí)體必須通過(guò)認(rèn)證SE內(nèi)相應(yīng)的密鑰�,達(dá)到設(shè)置的安全級(jí)別�,才能訪問(wèn)對(duì)應(yīng)的數(shù)據(jù)�。
線路保護(hù)機(jī)制:指數(shù)據(jù)的更新、讀取等操作,可根據(jù)設(shè)置使用明文�、密文�、明文+MAC或密文+MAC等方式來(lái)完成�。
非法訪問(wèn)次數(shù)超限鎖死:指外部實(shí)體對(duì)SE的認(rèn)證操作,其出錯(cuò)次數(shù)如果超過(guò)了設(shè)置的重試上限,則鎖定對(duì)應(yīng)的密鑰或應(yīng)用�,防止可能出現(xiàn)的非法攻擊�。
固件防護(hù)
借助SE提供的密鑰和算法�,通過(guò)簽名等機(jī)制�,保護(hù)固件程序的合法性和可用性,實(shí)現(xiàn)OTA安全升級(jí)功能。
在OTA程序包下發(fā)之前�,先使用安全啟動(dòng)密鑰(BootKey)對(duì)代碼進(jìn)行加密�,然后使用版權(quán)保護(hù)私鑰(PrivateKey)對(duì)其進(jìn)行簽名�,這樣,在對(duì)代碼進(jìn)行加密的同時(shí),也可驗(yàn)證程序的合法性和有效性。為適應(yīng)此機(jī)制�,終端的Boot Loader需相應(yīng)的增加校驗(yàn)和解密操作.
密鑰體系
密碼算法體系
密碼算法體系包含對(duì)稱密鑰體系和非對(duì)稱密鑰體系�,其中非對(duì)稱密鑰體系又包括PKI體系和IBC體系�。實(shí)際應(yīng)用中,對(duì)稱密鑰主要用于對(duì)敏感數(shù)據(jù)的加密和校驗(yàn),非對(duì)稱密鑰主要用于實(shí)現(xiàn)各實(shí)體間的身份認(rèn)證及數(shù)據(jù)簽名校驗(yàn)�。
目前常用的算法包括:
對(duì)稱算法——SM1�、SM4�、AES、3DES;
非對(duì)稱算法——SM2、SM9�、ECC�、RSA�;
雜湊算法——SM3、SHA256�。
同密碼算法體系的對(duì)比如下:
因此�,對(duì)于資源受限的終端�,可采用輕量級(jí)安全算法和安全協(xié)議,如基于對(duì)稱密鑰體系的身份認(rèn)證和數(shù)據(jù)加密�;對(duì)于資源較為豐富的終端�,可提升安全等級(jí)�,使用成熟的PKI或更易部署的IBC等安全防護(hù)體系。
密鑰管理及分發(fā)
密鑰體系的核心由密鑰管理系統(tǒng)(KMS)實(shí)現(xiàn)�,是由管理客戶端�、數(shù)據(jù)庫(kù)�、加密機(jī)等軟硬件組成的系統(tǒng),其密鑰管理及分發(fā)的機(jī)制如下圖所示�。
SE安全設(shè)計(jì)
安全管理
SE內(nèi)預(yù)置SEID�,固化在芯片中�,不可篡改且具備唯一性。后期應(yīng)用階段的安全計(jì)算與SEID相關(guān)聯(lián)�,作為唯一身份識(shí)別的標(biāo)識(shí)�。
私鑰及對(duì)稱密鑰�,通過(guò)安全環(huán)境在芯片內(nèi)部生成或預(yù)置,外界不可以獲取。
各項(xiàng)安全計(jì)算使用基于硬件的SM1�、SM2�、SM3�、SM4等算法實(shí)現(xiàn)。
支持?jǐn)?shù)據(jù)安全存儲(chǔ)�,可設(shè)置相應(yīng)的安全策略�。
密鑰及數(shù)據(jù)
SE內(nèi)核心的密鑰及數(shù)據(jù)主要包括:
SEID
公開(kāi)數(shù)據(jù)�,存儲(chǔ)于不可修改的存儲(chǔ)區(qū)。
密鑰
公私鑰對(duì)�,內(nèi)部生成
根CA公鑰
安全啟動(dòng)密鑰
預(yù)留對(duì)稱密鑰
數(shù)字證書
簽名證書�,由根CA私鑰簽發(fā)
安全SDK
終端在硬件層面集成SE之后�,可在MCU編譯環(huán)境中集成SE配套的安全SDK庫(kù)文件,在相應(yīng)的業(yè)務(wù)內(nèi)容中調(diào)用安全SDK提供的安全服務(wù)接口,即可實(shí)現(xiàn)各類安全算法�、密鑰管理和數(shù)據(jù)存儲(chǔ)等功能,而不用關(guān)心如何去組織�、派發(fā)SE相關(guān)的指令集�。
安全SDK的應(yīng)用架構(gòu)如下圖所示�。
圖 5 安全SDK的應(yīng)用架構(gòu)
SE生產(chǎn)與集成
SE的生產(chǎn)過(guò)程,是指將特定的密鑰�、數(shù)字證書等數(shù)據(jù)寫入到SE內(nèi)�,以支持應(yīng)用階段的各項(xiàng)安全功能�,也稱為發(fā)行過(guò)程。目前主流的發(fā)行模式包括預(yù)置和空發(fā)兩種方式:
預(yù)置模式:密鑰下裝發(fā)生在終端出廠之前�,適用于批量生產(chǎn)�,由SE制造商集中完成�。在SE出廠前,SE制造商通過(guò)安全方式(SDK�、專線�、VPN�、加密機(jī)等)從管理方的密鑰管理系統(tǒng)獲取密鑰、數(shù)據(jù)�,并通過(guò)生產(chǎn)線程序?qū)懭隨E中�。
空發(fā)模式:密鑰下裝發(fā)生在終端使用階段�,主要用于證書和密鑰更新,由OTA系統(tǒng)實(shí)現(xiàn)�。當(dāng)證書到期�、密鑰或數(shù)據(jù)需要更新時(shí)�,由終端發(fā)起更新操作,通過(guò)OTA系統(tǒng)遠(yuǎn)程完成SE的升級(jí)發(fā)行�。
SE的生產(chǎn)與集成的示意圖如下所示�。
圖 6 SE生產(chǎn)與集成示意圖
總結(jié)
在物聯(lián)網(wǎng)紛繁復(fù)雜的應(yīng)用場(chǎng)景下�,智能燃?xì)獗碜鳛殛P(guān)乎城市安全、企業(yè)利益�、國(guó)計(jì)民生的一類物聯(lián)網(wǎng)基礎(chǔ)設(shè)施�,針對(duì)其應(yīng)用構(gòu)建更為安全的防御體系�,是推動(dòng)行業(yè)創(chuàng)新、增進(jìn)民生福祉�、提升社會(huì)價(jià)值的趨勢(shì)所在�。華大電子始終堅(jiān)守與此�,面向各類領(lǐng)域提供完善的安全解決方案,為整個(gè)物聯(lián)網(wǎng)應(yīng)用系統(tǒng)提供強(qiáng)大的安全支撐�。
引用自環(huán)球表計(jì)
京公網(wǎng)安備 11011402013818號(hào)
