金洁羽

(北京市燃气集团有限责任公司， 北京 100035)

1 概述

物联网技术在各行各业的深入应用是全球信息技术与信息技术产业化快速发展的重大成果。物联网应用发展十分迅速，市场潜力巨大。但物联网技术在为社会生活带来便捷的同时，也带来了应用领域的安全风险，而物联网应用中的信息安全问题是关乎物联网技术产业应用能否健康可持续发展的核心要素之一，必须引起高度重视。与互联网和移动互联网时代的信息技术应用相比，物联网技术应用的多样性和复杂性大大增强，对信息安全的要求也大大增加，这也使得物联网时代的信息安全问题变得更为严峻[1]。

2 物联网信息安全管理面临的挑战

2.1 典型的物联网结构

典型的物联网体系结构，自下而上由感知层、网络层、平台层、应用层共4个逻辑层面组成。

感知层由数量及类型众多、呈现多元异构性特性的物联网智能终端构成，负责信息感知、采集与控制。本文论述的家用窄带物联网智能燃气表(以下简称智能燃气表)就是一种典型的物联网智能终端，它既可以远程采集燃气使用量等业务数据信息，也可以接收后台系统下达的智能燃气表表前阀的启闭控制指令。

网络层利用各种类型的通信网络双向传递感知数据及控制信息，负责为物联网提供数据传输服务，完成相应的信息通信。当前，蜂窝无线移动通信网络、企业自组网等是广泛应用的网络层的实例。在智能燃气表与燃气物联网平台之间，采用基于窄带物联网协议的通信机制，已成为主流技术路线。

平台层作为物联网体系结构中的枢纽层次，通常负责提供数据储存、检索、挖掘、机器学习、数据安全与隐私保护等功能。北京市燃气集团有限责任公司(以下简称北京燃气)的物联网工程(以下简称北燃物联网)实践中所构建的燃气物联网平台对应平台层。

应用层负责向众多行业用户提供各种类型的特定服务，北燃物联网的业务应用目前已涵盖燃气智能计量管理、燃气智能阀门井管理等分支业务领域，且支持进一步扩展。在本文中，业务应用系统将基于燃气计费管理系统展开阐述。

2.2 物联网面临的信息安全挑战

物联网体系结构中的4个逻辑层面都面临着信息安全的挑战。

感知层通常功能简单、携带能量少，往往处于无人值守的环境中，缺少人对智能终端的直接监控，因此，感知层更具有脆弱性，也面临更多的安全威胁。需要采取措施防止智能终端失窃，或防止攻击者从物理上对智能燃气表实施非法复制，需要采用访问控制策略以防止智能终端被逻辑攻破，从而导致业务信息泄露。

网络层面临的安全威胁包括网络层协议漏洞、海量智能终端设备威胁、异构网络融合、无线传输等，需要提供机密性、完整性、隐私性、互认证、密钥协商共享、可用性等信息安全能力支撑。

平台层面临来自海量智能终端的数据汇集、识别和计算处理的需求，并面临自动状态失控的风险及防止非法内部攻击、灾难控制和恢复等安全挑战，需要建立可靠的认证机制和密钥管理方案，以及可靠的密钥管理、入侵检测与病毒检测、密文查询与保密数据挖掘、安全云计算等安全机制。

应用层为包括智能燃气行业在内的众多行业领域提供丰富的服务，隐私信息多，因此，应用层也是风险较高的地带，面临病毒、蠕虫、木马、不受欢迎应用程序、远程攻击、人员威胁等信息安全风险。因此，在身份认证、业务认证、密钥安全性、抗抵赖性、抵御重放攻击、隐私保护、可用性等方面都提出了安全需求。

北京燃气综合利用技术与管理手段，为北燃物联网构建了一个标准化、开放化、具备自主知识产权、能提供二次开发支持的物联网安全管理平台[2]，其构建是燃气物联网平台应对其面临的信息安全挑战的关键性课题。智能燃气表内置的安全芯片与物联网安全管理平台的配合使用，强化了信息安全管理效能，提升了燃气物联网平台的整体安全性。

3 配合安全平台的安全芯片应用

3.1 北燃物联网的结构

本文对北燃物联网的研究范围仅针对由燃气物联网平台、燃气计费管理系统、智能燃气表构成的服务于燃气智能计量管理的体系。

燃气物联网平台作为所有业务数据汇聚、分发的枢纽，由物联网安全管理平台(以下简称安全平台)、设备连接管理平台、用户识别卡管理平台组成。安全平台为燃气物联网平台提供整体的信息安全能力保障；设备连接管理平台针对各种类型的物联网智能终端设备提供接入、数据收集、状态监控和维护服务；用户识别卡管理平台通过接口对接，汇集安装在智能燃气表中的多家电信运营商的用户识别卡信息，并将之集成到燃气计费管理系统的管理界面中。

北京燃气的燃气物联网平台整体部署在“天翼云”公有云上，由中国电信提供平台层面的云端服务。燃气物联网平台与部署在北京燃气的燃气计费管理系统之间通过SDH专线实现安全通信，燃气物联网平台与海量的智能燃气表之间基于电信运营商提供的窄带物联网(NB-IoT)通信网实现安全通信。

本文的具体研究对象为安全平台、与安全平台配合使用的安全芯片、内置安全芯片的智能燃气表。

3.2 安全平台的架构与应用流程

3.2.1 架构分析

安全平台采用微服务架构模式，支持并行扩展，面向管理员提供管理门户，基本架构由安全发行系统、终端安全系统、业务安全接口系统、数据储存服务系统共4个部分组成。安全平台架构及其数据流向见图1。

安全平台提供完整的物联网信息安全解决方案，通过密钥管理、实体认证、安全接入、消息鉴别、数据加密等安全手段，实现身份可识别、智能燃气表可管理、数据可管控，从而有效保障燃气计费管理系统和智能燃气表上的业务数据不被泄密和数据在使用、传输、储存过程中的安全。

安全发行系统实现对智能燃气表的入网发行，支持安全芯片的发行动作，即：从终端安全系统获得关于待发行的安全芯片的写入权限后，发行操作员使用专用设备，向安全芯片首次写入唯一的个性化信息和密钥信息，包括初始密钥、业务基础配置信息、标志等。首次写入芯片的密钥，同时也会记录到终端安全系统(此过程即密钥记录)，并由终端安全系统记录到业务安全接口系统(此过程即密钥分发)。燃气计费管理系统可以调用业务安全接口系统，根据业务数据的流向，选择实施加密与解密，或

图1 安全平台架构及其数据流向

者签名与验签。在重大安全预警、密钥周期性更新等特殊场景下，可以通过终端安全系统，实现远程在线密钥二次发行，将首次写入安全芯片的初始密钥用新密钥覆盖替换。

终端安全系统是安全平台的控制核心，负责对智能燃气表内置安全芯片的远程管理，提供应用管理、密钥分发及加密信息采集服务，即控制智能燃气表的密钥容器、应用权限，为安全芯片提供应用激活、应用加载，支持安全芯片发行信息导入、智能燃气表状态信息的统计分析、备份和恢复。

业务安全接口系统为燃气计费管理系统提供安全服务支撑，提供业务密钥的分发及对业务数据的加密与解密、签名与验签等服务，燃气计费管理系统可以根据实际业务需求对其中一个或者多个服务进行调用。

数据储存服务系统基于云储存资源提供长期的数据托管功能。作为辅助系统，它使用加密数据库对系统数据进行安全中转及长期储存，包括安全发行系统产生的发行记录与日志数据、终端安全系统获取的智能燃气表基本信息数据、业务安全接口系统获取的业务数据。智能燃气表产生的业务数据由燃气计费管理系统储存，燃气计费管理系统再调用业务安全接口系统施行数据加密和解密、签名与验签。

3.2.2 应用流程分析

安全芯片由北京燃气委托安全芯片专业制造商生产并检测合格。密钥及个性化信息需要通过授权计算机、烧录机等专用设备，批量写入空白安全芯片。为此，北京燃气提供特定工作区、特定操作员、授权专用设备与授权U盾等条件保障，设立用于安全芯片首次发行的工作场所，即安全发行节点。此项工作完成后，安全芯片会下发给各智能燃气表制造商，再由其依托基表生产出智能燃气表整机，供北京燃气商用。生产过程中，具有唯一标志的安全芯片连同窄带物联网协议通信模组无线远传单元、智能控制单元都会被内置安装到基表之中，共同组成智能燃气表。

智能燃气表商用化安装后，当需要向燃气计费管理系统上传计量数据时，智能燃气表首先使用安全芯片中的两组SM4国密算法子密钥，对数据进行加密，并生成消息认证码，然后打包发送给燃气物联网平台，由其发送给燃气计费管理系统。燃气计费管理系统在收到数据包后，调用安全平台中的业务安全接口系统，获取相应的SM4国密算法子密钥，进行消息认证和解密。

当燃气计费管理系统需要向智能燃气表下发数据时，分别使用安全平台分散的SM4国密算法子密钥和SM2国密算法私钥，对数据进行加密，并签名；然后将数据打包发送给燃气物联网平台，由其下发给智能燃气表；智能燃气表在收到数据包后，分别调用安全芯片内储存的SM2国密算法公钥以及SM4国密算法子密钥进行消息验签和解密。

在数据上传与下发的过程中，智能燃气表内置的安全芯片会参与每一条上行与下行指令的加密、解密、签名、验签等工作。针对每块智能燃气表，安全平台也提供了激活授权、应用定制、应用远程激活等管理功能，在线管理智能燃气表的安全应用，实现应用远程加载和密钥远程分发。依靠安全芯片的有力支撑，安全平台保证了业务数据及密钥信息在线传输的机密性、完整性和真实性。

3.3 配合安全平台运行的安全芯片

3.3.1 安全芯片的特性与应用场景

安全芯片是实现一种或多种密码算法，直接或间接地使用密码技术来保护密钥和敏感信息的集成电路芯片，它能够抵御功耗侧信道攻击、故障注入攻击、电磁侧信道攻击、物理攻击等信息安全攻击类型。

安全芯片一般拥有独立的微处理器和储存区域，是一种支持多种主流密码算法的系统级芯片。安全芯片所起的作用相当于一个“保险柜”，最重要的密码数据都储存在安全芯片中，安全芯片通过外设接口与智能终端进行通信，然后配合系统应用完成各种安全保护工作。

由于具有独立的处理器、内存及储存单元，安全芯片可以实现与物联网智能终端操作系统、应用软件执行环境的物理隔离，通常具备以下安全特性：安全储存、加密算法、真随机数、唯一的设备识别号、安全密钥储存、安全算法(出于安全考虑，北燃物联网限定使用SM1、SM2、SM3、SM4、SM9等国密算法)、可信的身份认证、可靠的通信加密、防篡改、防抵赖。

目前，安全芯片正越来越多地应用于各种类型的物联网智能终端中，可以为贸易计量、金融支付、在线身份认证等业务应用提供可靠的安全保障，并被安全认证模块、公交支付卡、安全指纹模块等各种物联网设备广泛使用。在北燃物联网的业务场景下，安全芯片已经先行用于智能燃气表的信息安全管理。

3.3.2 安全芯片的基本功能

为了满足智能燃气表集成后的安全需求，北京燃气要求安全芯片必须支持数字签名、数字信封、消息加密，支持ISO 7816接口进行外部通信，支持多应用运行和远程应用加载。北京燃气智能燃气表采用的安全芯片基本功能如下。

读取安全芯片唯一标志：所有合规的安全芯片都必须含有一个全球唯一标志。

首次发行：可以将系统公钥和每个安全芯片特有的私钥以明文的形式导入安全芯片，完成个性化和密钥发行操作。首次发行完成后，若芯片的生命周期状态改变，不能再次执行该功能。

二次发行：可以替换掉安全芯片中的初始密钥，安全芯片需要能够实现对收到的数据进行验签和解密，二次发行的新数据元会覆盖首次发行写入安全芯片的原有数据元。

数据封装：可以将收到的明文数据封装成安全报文发送出去。加密时，需要用对应业务的SM4国密算法密钥加密；如果选择签名，那么需要由智能燃气表进行签名。

数据解封：可以将收到的安全报文进行解封。如果数据被加密，那么需要用对应业务的SM4国密算法密钥进行解密。对于发送失败的数据，需要提供重发机制。

记录读取：如果上报或下发时指定了对应业务，那么读记录时只有该业务能够掌握会话密钥并对数据进行解密。

持久化信息读写：安全芯片预留一块私有区域，可以对明文数据写入和读出。

安全平台对智能燃气表安全芯片的制造商及安全芯片种类不作限制，只要符合智能燃气表设计规范的安全芯片，均可以对其实现安全对接。通过采用基于定制化管控模板的方式，可以实现在不影响燃气物联网平台运行的前提下，对新增种类的安全芯片进行管理，以保证平台良好的可扩展性。

3.3.3 安全芯片的密钥管理机制

安全芯片支持的密钥体系为二级对称密钥和非对称密钥相结合的管理体系。储存在云端加密机中的密钥，系统不能对其以任何明文形式导出。北京燃气单独提供放置于安全环境的密钥管理专用授权计算机，采用专线与虚拟专用网络的方式接入，管理员持U盾登录该机后才可以操作密钥管理。安全芯片上的对称子密钥在发行时写入芯片专有区域中，用于保护业务数据；云端加密机中储存对称根密钥。密钥管理以云端加密机内的密钥管理、U盾内的密钥管理、系统数据库内的密钥信息管理为保障。

安全芯片可以支持密文直接储存、密文分散储存等多种密钥储存机制，可以按需支持构建无证书密钥管理体系，提供统一身份认证服务。密钥全生命周期管理包含生成、分发、储存、使用、备份等环节，安全芯片对密钥分发起到关键作用。当基于SM4国密算法分发密钥时，密钥在安全芯片初始化时由SM4根密钥分散生成子密钥分发写入每个安全芯片；当基于SM9国密算法分发密钥时，智能燃气表安全芯片标志号作为公钥分发。

在安全芯片支撑下，安全平台基于三权(指管理员、操作员、审计员三个平台管理角色)分立的原则实现了用户角色、权限管理，并拥有安全策略配置、安全事件监测、行为安全审计等多种安全监管机制。通过采用符合国家技术与法规要求的SM2、SM3、SM4、SM9等国密算法，安全平台能够根据实际业务场景需求的不同，灵活组合符合国密标准的对称与非对称算法，实现对各类数据的加密与解密、签名与验签处理，保障全程通信安全。

3.3.4 安全芯片的信息安全优势

智能燃气表内置安全芯片作为最底层的安全保障，能够有效地防止黑客攻击与破解，提高智能燃气表的安全性，保护用户个人信息和应用数据安全，尤其适合从智能燃气表到燃气计费管理系统全程业务数据通信加密和实体认证的需要。海量的智能燃气表的商用化也逐步拉低了硬件成本。安全芯片的应用能够带来的安全优势包括以下5个方面。

① 与软件加密形式相比，采用安全芯片硬件加密能够更有效地防止未授权的计算机实施发行或者密钥复制。

② 与软件加密形式相比，采用安全芯片硬件加密能够更有效地防止各类侧信道攻击。

③ 安全芯片适应燃气行业的计费应用场景，所采用的适用于燃气物联网的加密、认证等安全技术，能够为智能化改造后的燃气计费业务提供强大的安全保障，有效地防范智能化改造带来的各类新型信息安全攻击；所采用的窄带物联网技术有利于保障数据安全，完成海量的智能燃气表数据的大范围统一采集和管理，同时保持对已有的业务流程的兼容。

④ 安全芯片适应对智能燃气表的发行与管理。采用新的设备安全管理技术，有利于对智能燃气表实施统一管理；安全芯片发行的规范化管理流程，也有利于加强对智能燃气表的生产组织、供应和管理效能。

⑤ 安全芯片技术可以支持多安全域和多安全应用，适应解决抄表难等传统问题，既能够为提升未来应用的安全性提供接口支持，也能够为扩展跨业务领域的在线智能化数据集成提供支持。

4 安全芯片应用的关键步骤

4.1 安全芯片的设计

安全芯片是燃气物联网启用的基础物质条件之一，北京燃气物联网在建设初期，制定了《北京燃气窄带物联网家用智能燃气表安全芯片技术规范》。该技术规范规定了安全芯片设计、制造、采购等工作环节的技术要求，具体涉及智能燃气表使用的安全芯片的通用技术要求、文件结构、指令集、封装尺寸、封包规则等方面。

关于安全芯片的通用技术要求，北京燃气定义了通信接口、操作系统工艺、安全芯片封装要求、数据储存容量、支持的标准国密算法类型、支持的文件类型要求、支持的安全访问方式和权限要求、支持的安全数据传输方式、数据储存时长与数据储存区擦写次数要求、支持的安全防护机制要求、安全芯片国密资质要求。

此外，该技术规范还约定了安全芯片在不同业务种类下产生的交换数据的数据结构，包括：智能燃气表当日及长期小时用气量信息、智能燃气表按日及按月的累计用气量信息、智能燃气表配置参数信息、购气信息、智能燃气表运行信息、智能燃气表事件记录信息等。

在指令集方面，该技术规范定义了ISO 7816智能卡的通用命令(包括读写文件、取随机数、取响应数据等)、专用命令(获取安全芯片编号、钱包扣款、上传业务打包指令、下传业务解包指令等)、卡商专用命令。此外，也明确了安全芯片的引脚定义、数据封包规则。

4.2 安全芯片的认证检测

在完成安全芯片的结构设计与商业生产之后，安全芯片即面临商用化前的首次发行。在首次发行前，需要对安全芯片实施出厂检测，检测的内容包括功能检测、安全性检测、性能检测、通信协议检测、物理检测、兼容性和一致性检测。

功能检测：需要对安全芯片的基础操作系统、文件系统、指令逻辑、参数检查、原子性、应用功能稳定性、密码功能、发行功能等内容实施检测。

安全性检测：需要实施安全芯片预发行功能检测、敏感信息储存安全性检测、密码运算安全性检测、逻辑异常攻击检测、后门命令检测、唯一性检测、随机数随机性检测、重放攻击检测。

性能检测：需要实施安全芯片关键指令时间检测、疲劳性检测。

通信协议检测：需要实施安全芯片字符帧编码检测、复位时序及逻辑检测、通信协议交互逻辑检测、通信速率检测。

物理检测：需要对安全芯片实施外观、机械特性、芯片电气特性的检测。

兼容性和一致性检测：需要对安全芯片物理稳定性和物理兼容性、上线发行、一致性实施检测。

4.3 安全芯片的安全发行

北京燃气设立的安全发行节点负责对需接入智能燃气表的安全芯片提供个性化及密钥发行服务，以实现对智能燃气表的入网发行。安全平台中的安全发行系统根据定制化的发行策略，结合智能燃气表安全管理的个性化需求，为安全芯片提供个性化发行数据并将其安全地提供给发行节点，以供首次发行使用；同时，提供发行密钥、发行批次、发行节点的管理接口，以方便系统运维人员配置、修改发行策略。安全平台中的安全发行系统既支持集中采购安全芯片进行离线个性化发行，也支持智能燃气表接入燃气物联网平台后的在线远程二次发行。

安全发行节点与其他管理系统隔离，提供单向发行信息导出或离线发行密钥导出功能，增强了发行过程中的机密数据、敏感数据的机密性。针对智能燃气表安全管理的个性化需求，安全发行系统对接入安全平台的智能燃气表提供设备唯一标志、初始安全密钥、基础业务信息等个性化发行服务。同时，对安全芯片的发行策略提供管理功能，以配置化方式实现批次化的发行管理，并对操作员进行管理和权限控制，体现了安全、易维护、扩展性强、操作简便的特性。

安全发行系统记录发行信息并与安全芯片的唯一标志、智能燃气表唯一编号及发行状态绑定，结合智能燃气表内安全芯片的生命周期控制机制，对智能燃气表生命周期进行管控。已完成发行的安全芯片无法再执行二次发行之外的相关发行操作，以确保发行后的安全芯片内的信息无法被获取或篡改，即已发行设备的个性化信息不被篡改。

安全发行系统可以向安全平台数据储存服务系统同步已发行智能燃气表的信息，提供发行信息记录管理功能，记录已发行的每块智能燃气表安全芯片的发行信息，提供发行记录文件查询安全芯片的发行状态。支持在线及离线方式批量化导出与备份发行记录，导出的记录文件编码格式为主流通用型编码，这些都为批量化生产提供了便利条件。

5 应用效果

北燃物联网在燃气智能计量管理领域，为实现远程化、实时化、自动化、精准化管理提供了技术保障。

燃气计费管理系统在日常运行过程中执行的基础流程，包括设备注册、数据上报、指令下发等，都需要智能燃气表安全芯片与安全平台的配合支撑才能执行。设备注册流程的第1步，就是调用安全平台的业务安全接口系统中的设备开户接口，将智能燃气表号、智能燃气表安全芯片标志、用户识别卡号、安全模组标志号等信息注册到安全平台，并存入数据储存服务系统。数据上报流程中，智能燃气表把经过安全芯片加密的业务数据经由燃气物联网平台，送达燃气计费管理系统，燃气计费管理系统调用安全平台的解密与验签算法，进行消息校验、设备鉴权之后，才能获取明文业务数据。指令下发流程中，燃气计费管理系统调用安全平台，把指令加密并通过燃气物联网平台分发到相应的智能燃气表，智能燃气表用安全芯片中的密钥进行解密之后，才可获得明文指令。

在燃气物联网平台这一枢纽性信息系统的有力支撑下，北京燃气的物联网商用化进程已于2018年底启动。过去一年多，安全平台及内置安全芯片的智能燃气表为推进燃气计量智能化发挥了关键性作用。2020年，安全芯片还将支撑更大数量的智能燃气表的持续商用化。后续，相关成功经验也可以复制到燃气厂站、燃气施工现场等各种智能终端设备的应用场景之中。

6 结语

北京燃气构建的燃气物联网平台，整体上参照了国家信息安全等级保护三级的技术要求，对网络和通信安全、设备和计算安全、应用和数据安全、安全运维管理都提出了具体的安全防护设计要求。目前，北燃物联网建设工程已经取得阶段性成功，燃气物联网平台对燃气智能计量管理、燃气智能阀门井管理等业务工作的支撑效果良好。实践证明，以安全芯片设计、认证检测、发行等多个工作环节为基础，通过配合安全平台的运行，智能燃气表安全芯片支撑了从智能燃气表到燃气计费管理系统的全程信息安全解决方案，极大地强化了信息安全多层次防御系统的构建，提升了物联网信息安全效能，为构建城镇燃气物联网安全体系提供了有力保障。