強化信息安全的燃氣物聯(lián)網(wǎng)安全芯片的應用

金潔羽

(北京市燃氣集團有限責任公司， 北京 100035)

1 概述

物聯(lián)網(wǎng)技術在各行各業(yè)的深入應用是全球信息技術與信息技術產業(yè)化快速發(fā)展的重大成果。物聯(lián)網(wǎng)應用發(fā)展十分迅速，市場潛力巨大。但物聯(lián)網(wǎng)技術在為社會生活帶來便捷的同時，也帶來了應用領域的安全風險，而物聯(lián)網(wǎng)應用中的信息安全問題是關乎物聯(lián)網(wǎng)技術產業(yè)應用能否健康可持續(xù)發(fā)展的核心要素之一，必須引起高度重視。與互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)時代的信息技術應用相比，物聯(lián)網(wǎng)技術應用的多樣性和復雜性大大增強，對信息安全的要求也大大增加，這也使得物聯(lián)網(wǎng)時代的信息安全問題變得更為嚴峻[1]。

2 物聯(lián)網(wǎng)信息安全管理面臨的挑戰(zhàn)

2.1 典型的物聯(lián)網(wǎng)結構

典型的物聯(lián)網(wǎng)體系結構，自下而上由感知層、網(wǎng)絡層、平臺層、應用層共4個邏輯層面組成。

感知層由數(shù)量及類型眾多、呈現(xiàn)多元異構性特性的物聯(lián)網(wǎng)智能終端構成，負責信息感知、采集與控制。本文論述的家用窄帶物聯(lián)網(wǎng)智能燃氣表(以下簡稱智能燃氣表)就是一種典型的物聯(lián)網(wǎng)智能終端，它既可以遠程采集燃氣使用量等業(yè)務數(shù)據(jù)信息，也可以接收后臺系統(tǒng)下達的智能燃氣表表前閥的啟閉控制指令。

網(wǎng)絡層利用各種類型的通信網(wǎng)絡雙向傳遞感知數(shù)據(jù)及控制信息，負責為物聯(lián)網(wǎng)提供數(shù)據(jù)傳輸服務，完成相應的信息通信。當前，蜂窩無線移動通信網(wǎng)絡、企業(yè)自組網(wǎng)等是廣泛應用的網(wǎng)絡層的實例。在智能燃氣表與燃氣物聯(lián)網(wǎng)平臺之間，采用基于窄帶物聯(lián)網(wǎng)協(xié)議的通信機制，已成為主流技術路線。

平臺層作為物聯(lián)網(wǎng)體系結構中的樞紐層次，通常負責提供數(shù)據(jù)儲存、檢索、挖掘、機器學習、數(shù)據(jù)安全與隱私保護等功能。北京市燃氣集團有限責任公司(以下簡稱北京燃氣)的物聯(lián)網(wǎng)工程(以下簡稱北燃物聯(lián)網(wǎng))實踐中所構建的燃氣物聯(lián)網(wǎng)平臺對應平臺層。

應用層負責向眾多行業(yè)用戶提供各種類型的特定服務，北燃物聯(lián)網(wǎng)的業(yè)務應用目前已涵蓋燃氣智能計量管理、燃氣智能閥門井管理等分支業(yè)務領域，且支持進一步擴展。在本文中，業(yè)務應用系統(tǒng)將基于燃氣計費管理系統(tǒng)展開闡述。

2.2 物聯(lián)網(wǎng)面臨的信息安全挑戰(zhàn)

物聯(lián)網(wǎng)體系結構中的4個邏輯層面都面臨著信息安全的挑戰(zhàn)。

感知層通常功能簡單、攜帶能量少，往往處于無人值守的環(huán)境中，缺少人對智能終端的直接監(jiān)控，因此，感知層更具有脆弱性，也面臨更多的安全威脅。需要采取措施防止智能終端失竊，或防止攻擊者從物理上對智能燃氣表實施非法復制，需要采用訪問控制策略以防止智能終端被邏輯攻破，從而導致業(yè)務信息泄露。

網(wǎng)絡層面臨的安全威脅包括網(wǎng)絡層協(xié)議漏洞、海量智能終端設備威脅、異構網(wǎng)絡融合、無線傳輸?shù)?，需要提供機密性、完整性、隱私性、互認證、密鑰協(xié)商共享、可用性等信息安全能力支撐。

平臺層面臨來自海量智能終端的數(shù)據(jù)匯集、識別和計算處理的需求，并面臨自動狀態(tài)失控的風險及防止非法內部攻擊、災難控制和恢復等安全挑戰(zhàn)，需要建立可靠的認證機制和密鑰管理方案，以及可靠的密鑰管理、入侵檢測與病毒檢測、密文查詢與保密數(shù)據(jù)挖掘、安全云計算等安全機制。

應用層為包括智能燃氣行業(yè)在內的眾多行業(yè)領域提供豐富的服務，隱私信息多，因此，應用層也是風險較高的地帶，面臨病毒、蠕蟲、木馬、不受歡迎應用程序、遠程攻擊、人員威脅等信息安全風險。因此，在身份認證、業(yè)務認證、密鑰安全性、抗抵賴性、抵御重放攻擊、隱私保護、可用性等方面都提出了安全需求。

北京燃氣綜合利用技術與管理手段，為北燃物聯(lián)網(wǎng)構建了一個標準化、開放化、具備自主知識產權、能提供二次開發(fā)支持的物聯(lián)網(wǎng)安全管理平臺[2]，其構建是燃氣物聯(lián)網(wǎng)平臺應對其面臨的信息安全挑戰(zhàn)的關鍵性課題。智能燃氣表內置的安全芯片與物聯(lián)網(wǎng)安全管理平臺的配合使用，強化了信息安全管理效能，提升了燃氣物聯(lián)網(wǎng)平臺的整體安全性。

3 配合安全平臺的安全芯片應用

3.1 北燃物聯(lián)網(wǎng)的結構

本文對北燃物聯(lián)網(wǎng)的研究范圍僅針對由燃氣物聯(lián)網(wǎng)平臺、燃氣計費管理系統(tǒng)、智能燃氣表構成的服務于燃氣智能計量管理的體系。

燃氣物聯(lián)網(wǎng)平臺作為所有業(yè)務數(shù)據(jù)匯聚、分發(fā)的樞紐，由物聯(lián)網(wǎng)安全管理平臺(以下簡稱安全平臺)、設備連接管理平臺、用戶識別卡管理平臺組成。安全平臺為燃氣物聯(lián)網(wǎng)平臺提供整體的信息安全能力保障；設備連接管理平臺針對各種類型的物聯(lián)網(wǎng)智能終端設備提供接入、數(shù)據(jù)收集、狀態(tài)監(jiān)控和維護服務；用戶識別卡管理平臺通過接口對接，匯集安裝在智能燃氣表中的多家電信運營商的用戶識別卡信息，并將之集成到燃氣計費管理系統(tǒng)的管理界面中。

北京燃氣的燃氣物聯(lián)網(wǎng)平臺整體部署在“天翼云”公有云上，由中國電信提供平臺層面的云端服務。燃氣物聯(lián)網(wǎng)平臺與部署在北京燃氣的燃氣計費管理系統(tǒng)之間通過SDH專線實現(xiàn)安全通信，燃氣物聯(lián)網(wǎng)平臺與海量的智能燃氣表之間基于電信運營商提供的窄帶物聯(lián)網(wǎng)(NB-IoT)通信網(wǎng)實現(xiàn)安全通信。

本文的具體研究對象為安全平臺、與安全平臺配合使用的安全芯片、內置安全芯片的智能燃氣表。

3.2 安全平臺的架構與應用流程

3.2.1 架構分析

安全平臺采用微服務架構模式，支持并行擴展，面向管理員提供管理門戶，基本架構由安全發(fā)行系統(tǒng)、終端安全系統(tǒng)、業(yè)務安全接口系統(tǒng)、數(shù)據(jù)儲存服務系統(tǒng)共4個部分組成。安全平臺架構及其數(shù)據(jù)流向見圖1。

安全平臺提供完整的物聯(lián)網(wǎng)信息安全解決方案，通過密鑰管理、實體認證、安全接入、消息鑒別、數(shù)據(jù)加密等安全手段，實現(xiàn)身份可識別、智能燃氣表可管理、數(shù)據(jù)可管控，從而有效保障燃氣計費管理系統(tǒng)和智能燃氣表上的業(yè)務數(shù)據(jù)不被泄密和數(shù)據(jù)在使用、傳輸、儲存過程中的安全。

安全發(fā)行系統(tǒng)實現(xiàn)對智能燃氣表的入網(wǎng)發(fā)行，支持安全芯片的發(fā)行動作，即：從終端安全系統(tǒng)獲得關于待發(fā)行的安全芯片的寫入權限后，發(fā)行操作員使用專用設備，向安全芯片首次寫入唯一的個性化信息和密鑰信息，包括初始密鑰、業(yè)務基礎配置信息、標志等。首次寫入芯片的密鑰，同時也會記錄到終端安全系統(tǒng)(此過程即密鑰記錄)，并由終端安全系統(tǒng)記錄到業(yè)務安全接口系統(tǒng)(此過程即密鑰分發(fā))。燃氣計費管理系統(tǒng)可以調用業(yè)務安全接口系統(tǒng)，根據(jù)業(yè)務數(shù)據(jù)的流向，選擇實施加密與解密，或

圖1 安全平臺架構及其數(shù)據(jù)流向

者簽名與驗簽。在重大安全預警、密鑰周期性更新等特殊場景下，可以通過終端安全系統(tǒng)，實現(xiàn)遠程在線密鑰二次發(fā)行，將首次寫入安全芯片的初始密鑰用新密鑰覆蓋替換。

終端安全系統(tǒng)是安全平臺的控制核心，負責對智能燃氣表內置安全芯片的遠程管理，提供應用管理、密鑰分發(fā)及加密信息采集服務，即控制智能燃氣表的密鑰容器、應用權限，為安全芯片提供應用激活、應用加載，支持安全芯片發(fā)行信息導入、智能燃氣表狀態(tài)信息的統(tǒng)計分析、備份和恢復。

業(yè)務安全接口系統(tǒng)為燃氣計費管理系統(tǒng)提供安全服務支撐，提供業(yè)務密鑰的分發(fā)及對業(yè)務數(shù)據(jù)的加密與解密、簽名與驗簽等服務，燃氣計費管理系統(tǒng)可以根據(jù)實際業(yè)務需求對其中一個或者多個服務進行調用。

數(shù)據(jù)儲存服務系統(tǒng)基于云儲存資源提供長期的數(shù)據(jù)托管功能。作為輔助系統(tǒng)，它使用加密數(shù)據(jù)庫對系統(tǒng)數(shù)據(jù)進行安全中轉及長期儲存，包括安全發(fā)行系統(tǒng)產生的發(fā)行記錄與日志數(shù)據(jù)、終端安全系統(tǒng)獲取的智能燃氣表基本信息數(shù)據(jù)、業(yè)務安全接口系統(tǒng)獲取的業(yè)務數(shù)據(jù)。智能燃氣表產生的業(yè)務數(shù)據(jù)由燃氣計費管理系統(tǒng)儲存，燃氣計費管理系統(tǒng)再調用業(yè)務安全接口系統(tǒng)施行數(shù)據(jù)加密和解密、簽名與驗簽。

3.2.2 應用流程分析

安全芯片由北京燃氣委托安全芯片專業(yè)制造商生產并檢測合格。密鑰及個性化信息需要通過授權計算機、燒錄機等專用設備，批量寫入空白安全芯片。為此，北京燃氣提供特定工作區(qū)、特定操作員、授權專用設備與授權U盾等條件保障，設立用于安全芯片首次發(fā)行的工作場所，即安全發(fā)行節(jié)點。此項工作完成后，安全芯片會下發(fā)給各智能燃氣表制造商，再由其依托基表生產出智能燃氣表整機，供北京燃氣商用。生產過程中，具有唯一標志的安全芯片連同窄帶物聯(lián)網(wǎng)協(xié)議通信模組無線遠傳單元、智能控制單元都會被內置安裝到基表之中，共同組成智能燃氣表。

智能燃氣表商用化安裝后，當需要向燃氣計費管理系統(tǒng)上傳計量數(shù)據(jù)時，智能燃氣表首先使用安全芯片中的兩組SM4國密算法子密鑰，對數(shù)據(jù)進行加密，并生成消息認證碼，然后打包發(fā)送給燃氣物聯(lián)網(wǎng)平臺，由其發(fā)送給燃氣計費管理系統(tǒng)。燃氣計費管理系統(tǒng)在收到數(shù)據(jù)包后，調用安全平臺中的業(yè)務安全接口系統(tǒng)，獲取相應的SM4國密算法子密鑰，進行消息認證和解密。

當燃氣計費管理系統(tǒng)需要向智能燃氣表下發(fā)數(shù)據(jù)時，分別使用安全平臺分散的SM4國密算法子密鑰和SM2國密算法私鑰，對數(shù)據(jù)進行加密，并簽名；然后將數(shù)據(jù)打包發(fā)送給燃氣物聯(lián)網(wǎng)平臺，由其下發(fā)給智能燃氣表；智能燃氣表在收到數(shù)據(jù)包后，分別調用安全芯片內儲存的SM2國密算法公鑰以及SM4國密算法子密鑰進行消息驗簽和解密。

在數(shù)據(jù)上傳與下發(fā)的過程中，智能燃氣表內置的安全芯片會參與每一條上行與下行指令的加密、解密、簽名、驗簽等工作。針對每塊智能燃氣表，安全平臺也提供了激活授權、應用定制、應用遠程激活等管理功能，在線管理智能燃氣表的安全應用，實現(xiàn)應用遠程加載和密鑰遠程分發(fā)。依靠安全芯片的有力支撐，安全平臺保證了業(yè)務數(shù)據(jù)及密鑰信息在線傳輸?shù)臋C密性、完整性和真實性。

3.3 配合安全平臺運行的安全芯片

3.3.1 安全芯片的特性與應用場景

安全芯片是實現(xiàn)一種或多種密碼算法，直接或間接地使用密碼技術來保護密鑰和敏感信息的集成電路芯片，它能夠抵御功耗側信道攻擊、故障注入攻擊、電磁側信道攻擊、物理攻擊等信息安全攻擊類型。

安全芯片一般擁有獨立的微處理器和儲存區(qū)域，是一種支持多種主流密碼算法的系統(tǒng)級芯片。安全芯片所起的作用相當于一個“保險柜”，最重要的密碼數(shù)據(jù)都儲存在安全芯片中，安全芯片通過外設接口與智能終端進行通信，然后配合系統(tǒng)應用完成各種安全保護工作。

由于具有獨立的處理器、內存及儲存單元，安全芯片可以實現(xiàn)與物聯(lián)網(wǎng)智能終端操作系統(tǒng)、應用軟件執(zhí)行環(huán)境的物理隔離，通常具備以下安全特性：安全儲存、加密算法、真隨機數(shù)、唯一的設備識別號、安全密鑰儲存、安全算法(出于安全考慮，北燃物聯(lián)網(wǎng)限定使用SM1、SM2、SM3、SM4、SM9等國密算法)、可信的身份認證、可靠的通信加密、防篡改、防抵賴。

目前，安全芯片正越來越多地應用于各種類型的物聯(lián)網(wǎng)智能終端中，可以為貿易計量、金融支付、在線身份認證等業(yè)務應用提供可靠的安全保障，并被安全認證模塊、公交支付卡、安全指紋模塊等各種物聯(lián)網(wǎng)設備廣泛使用。在北燃物聯(lián)網(wǎng)的業(yè)務場景下，安全芯片已經(jīng)先行用于智能燃氣表的信息安全管理。

3.3.2 安全芯片的基本功能

為了滿足智能燃氣表集成后的安全需求，北京燃氣要求安全芯片必須支持數(shù)字簽名、數(shù)字信封、消息加密，支持ISO 7816接口進行外部通信，支持多應用運行和遠程應用加載。北京燃氣智能燃氣表采用的安全芯片基本功能如下。

讀取安全芯片唯一標志：所有合規(guī)的安全芯片都必須含有一個全球唯一標志。

首次發(fā)行：可以將系統(tǒng)公鑰和每個安全芯片特有的私鑰以明文的形式導入安全芯片，完成個性化和密鑰發(fā)行操作。首次發(fā)行完成后，若芯片的生命周期狀態(tài)改變，不能再次執(zhí)行該功能。

二次發(fā)行：可以替換掉安全芯片中的初始密鑰，安全芯片需要能夠實現(xiàn)對收到的數(shù)據(jù)進行驗簽和解密，二次發(fā)行的新數(shù)據(jù)元會覆蓋首次發(fā)行寫入安全芯片的原有數(shù)據(jù)元。

數(shù)據(jù)封裝：可以將收到的明文數(shù)據(jù)封裝成安全報文發(fā)送出去。加密時，需要用對應業(yè)務的SM4國密算法密鑰加密；如果選擇簽名，那么需要由智能燃氣表進行簽名。

數(shù)據(jù)解封：可以將收到的安全報文進行解封。如果數(shù)據(jù)被加密，那么需要用對應業(yè)務的SM4國密算法密鑰進行解密。對于發(fā)送失敗的數(shù)據(jù)，需要提供重發(fā)機制。

記錄讀?。喝绻蠄蠡蛳掳l(fā)時指定了對應業(yè)務，那么讀記錄時只有該業(yè)務能夠掌握會話密鑰并對數(shù)據(jù)進行解密。

持久化信息讀寫：安全芯片預留一塊私有區(qū)域，可以對明文數(shù)據(jù)寫入和讀出。

安全平臺對智能燃氣表安全芯片的制造商及安全芯片種類不作限制，只要符合智能燃氣表設計規(guī)范的安全芯片，均可以對其實現(xiàn)安全對接。通過采用基于定制化管控模板的方式，可以實現(xiàn)在不影響燃氣物聯(lián)網(wǎng)平臺運行的前提下，對新增種類的安全芯片進行管理，以保證平臺良好的可擴展性。

3.3.3 安全芯片的密鑰管理機制

安全芯片支持的密鑰體系為二級對稱密鑰和非對稱密鑰相結合的管理體系。儲存在云端加密機中的密鑰，系統(tǒng)不能對其以任何明文形式導出。北京燃氣單獨提供放置于安全環(huán)境的密鑰管理專用授權計算機，采用專線與虛擬專用網(wǎng)絡的方式接入，管理員持U盾登錄該機后才可以操作密鑰管理。安全芯片上的對稱子密鑰在發(fā)行時寫入芯片專有區(qū)域中，用于保護業(yè)務數(shù)據(jù)；云端加密機中儲存對稱根密鑰。密鑰管理以云端加密機內的密鑰管理、U盾內的密鑰管理、系統(tǒng)數(shù)據(jù)庫內的密鑰信息管理為保障。

安全芯片可以支持密文直接儲存、密文分散儲存等多種密鑰儲存機制，可以按需支持構建無證書密鑰管理體系，提供統(tǒng)一身份認證服務。密鑰全生命周期管理包含生成、分發(fā)、儲存、使用、備份等環(huán)節(jié)，安全芯片對密鑰分發(fā)起到關鍵作用。當基于SM4國密算法分發(fā)密鑰時，密鑰在安全芯片初始化時由SM4根密鑰分散生成子密鑰分發(fā)寫入每個安全芯片；當基于SM9國密算法分發(fā)密鑰時，智能燃氣表安全芯片標志號作為公鑰分發(fā)。

在安全芯片支撐下，安全平臺基于三權(指管理員、操作員、審計員三個平臺管理角色)分立的原則實現(xiàn)了用戶角色、權限管理，并擁有安全策略配置、安全事件監(jiān)測、行為安全審計等多種安全監(jiān)管機制。通過采用符合國家技術與法規(guī)要求的SM2、SM3、SM4、SM9等國密算法，安全平臺能夠根據(jù)實際業(yè)務場景需求的不同，靈活組合符合國密標準的對稱與非對稱算法，實現(xiàn)對各類數(shù)據(jù)的加密與解密、簽名與驗簽處理，保障全程通信安全。

3.3.4 安全芯片的信息安全優(yōu)勢

智能燃氣表內置安全芯片作為最底層的安全保障，能夠有效地防止黑客攻擊與破解，提高智能燃氣表的安全性，保護用戶個人信息和應用數(shù)據(jù)安全，尤其適合從智能燃氣表到燃氣計費管理系統(tǒng)全程業(yè)務數(shù)據(jù)通信加密和實體認證的需要。海量的智能燃氣表的商用化也逐步拉低了硬件成本。安全芯片的應用能夠帶來的安全優(yōu)勢包括以下5個方面。

① 與軟件加密形式相比，采用安全芯片硬件加密能夠更有效地防止未授權的計算機實施發(fā)行或者密鑰復制。

② 與軟件加密形式相比，采用安全芯片硬件加密能夠更有效地防止各類側信道攻擊。

③ 安全芯片適應燃氣行業(yè)的計費應用場景，所采用的適用于燃氣物聯(lián)網(wǎng)的加密、認證等安全技術，能夠為智能化改造后的燃氣計費業(yè)務提供強大的安全保障，有效地防范智能化改造帶來的各類新型信息安全攻擊；所采用的窄帶物聯(lián)網(wǎng)技術有利于保障數(shù)據(jù)安全，完成海量的智能燃氣表數(shù)據(jù)的大范圍統(tǒng)一采集和管理，同時保持對已有的業(yè)務流程的兼容。

④ 安全芯片適應對智能燃氣表的發(fā)行與管理。采用新的設備安全管理技術，有利于對智能燃氣表實施統(tǒng)一管理；安全芯片發(fā)行的規(guī)范化管理流程，也有利于加強對智能燃氣表的生產組織、供應和管理效能。

⑤ 安全芯片技術可以支持多安全域和多安全應用，適應解決抄表難等傳統(tǒng)問題，既能夠為提升未來應用的安全性提供接口支持，也能夠為擴展跨業(yè)務領域的在線智能化數(shù)據(jù)集成提供支持。

4 安全芯片應用的關鍵步驟

4.1 安全芯片的設計

安全芯片是燃氣物聯(lián)網(wǎng)啟用的基礎物質條件之一，北京燃氣物聯(lián)網(wǎng)在建設初期，制定了《北京燃氣窄帶物聯(lián)網(wǎng)家用智能燃氣表安全芯片技術規(guī)范》。該技術規(guī)范規(guī)定了安全芯片設計、制造、采購等工作環(huán)節(jié)的技術要求，具體涉及智能燃氣表使用的安全芯片的通用技術要求、文件結構、指令集、封裝尺寸、封包規(guī)則等方面。

關于安全芯片的通用技術要求，北京燃氣定義了通信接口、操作系統(tǒng)工藝、安全芯片封裝要求、數(shù)據(jù)儲存容量、支持的標準國密算法類型、支持的文件類型要求、支持的安全訪問方式和權限要求、支持的安全數(shù)據(jù)傳輸方式、數(shù)據(jù)儲存時長與數(shù)據(jù)儲存區(qū)擦寫次數(shù)要求、支持的安全防護機制要求、安全芯片國密資質要求。

此外，該技術規(guī)范還約定了安全芯片在不同業(yè)務種類下產生的交換數(shù)據(jù)的數(shù)據(jù)結構，包括：智能燃氣表當日及長期小時用氣量信息、智能燃氣表按日及按月的累計用氣量信息、智能燃氣表配置參數(shù)信息、購氣信息、智能燃氣表運行信息、智能燃氣表事件記錄信息等。

在指令集方面，該技術規(guī)范定義了ISO 7816智能卡的通用命令(包括讀寫文件、取隨機數(shù)、取響應數(shù)據(jù)等)、專用命令(獲取安全芯片編號、錢包扣款、上傳業(yè)務打包指令、下傳業(yè)務解包指令等)、卡商專用命令。此外，也明確了安全芯片的引腳定義、數(shù)據(jù)封包規(guī)則。

4.2 安全芯片的認證檢測

在完成安全芯片的結構設計與商業(yè)生產之后，安全芯片即面臨商用化前的首次發(fā)行。在首次發(fā)行前，需要對安全芯片實施出廠檢測，檢測的內容包括功能檢測、安全性檢測、性能檢測、通信協(xié)議檢測、物理檢測、兼容性和一致性檢測。

功能檢測：需要對安全芯片的基礎操作系統(tǒng)、文件系統(tǒng)、指令邏輯、參數(shù)檢查、原子性、應用功能穩(wěn)定性、密碼功能、發(fā)行功能等內容實施檢測。

安全性檢測：需要實施安全芯片預發(fā)行功能檢測、敏感信息儲存安全性檢測、密碼運算安全性檢測、邏輯異常攻擊檢測、后門命令檢測、唯一性檢測、隨機數(shù)隨機性檢測、重放攻擊檢測。

性能檢測：需要實施安全芯片關鍵指令時間檢測、疲勞性檢測。

通信協(xié)議檢測：需要實施安全芯片字符幀編碼檢測、復位時序及邏輯檢測、通信協(xié)議交互邏輯檢測、通信速率檢測。

物理檢測：需要對安全芯片實施外觀、機械特性、芯片電氣特性的檢測。

兼容性和一致性檢測：需要對安全芯片物理穩(wěn)定性和物理兼容性、上線發(fā)行、一致性實施檢測。

4.3 安全芯片的安全發(fā)行

北京燃氣設立的安全發(fā)行節(jié)點負責對需接入智能燃氣表的安全芯片提供個性化及密鑰發(fā)行服務，以實現(xiàn)對智能燃氣表的入網(wǎng)發(fā)行。安全平臺中的安全發(fā)行系統(tǒng)根據(jù)定制化的發(fā)行策略，結合智能燃氣表安全管理的個性化需求，為安全芯片提供個性化發(fā)行數(shù)據(jù)并將其安全地提供給發(fā)行節(jié)點，以供首次發(fā)行使用；同時，提供發(fā)行密鑰、發(fā)行批次、發(fā)行節(jié)點的管理接口，以方便系統(tǒng)運維人員配置、修改發(fā)行策略。安全平臺中的安全發(fā)行系統(tǒng)既支持集中采購安全芯片進行離線個性化發(fā)行，也支持智能燃氣表接入燃氣物聯(lián)網(wǎng)平臺后的在線遠程二次發(fā)行。

安全發(fā)行節(jié)點與其他管理系統(tǒng)隔離，提供單向發(fā)行信息導出或離線發(fā)行密鑰導出功能，增強了發(fā)行過程中的機密數(shù)據(jù)、敏感數(shù)據(jù)的機密性。針對智能燃氣表安全管理的個性化需求，安全發(fā)行系統(tǒng)對接入安全平臺的智能燃氣表提供設備唯一標志、初始安全密鑰、基礎業(yè)務信息等個性化發(fā)行服務。同時，對安全芯片的發(fā)行策略提供管理功能，以配置化方式實現(xiàn)批次化的發(fā)行管理，并對操作員進行管理和權限控制，體現(xiàn)了安全、易維護、擴展性強、操作簡便的特性。

安全發(fā)行系統(tǒng)記錄發(fā)行信息并與安全芯片的唯一標志、智能燃氣表唯一編號及發(fā)行狀態(tài)綁定，結合智能燃氣表內安全芯片的生命周期控制機制，對智能燃氣表生命周期進行管控。已完成發(fā)行的安全芯片無法再執(zhí)行二次發(fā)行之外的相關發(fā)行操作，以確保發(fā)行后的安全芯片內的信息無法被獲取或篡改，即已發(fā)行設備的個性化信息不被篡改。

安全發(fā)行系統(tǒng)可以向安全平臺數(shù)據(jù)儲存服務系統(tǒng)同步已發(fā)行智能燃氣表的信息，提供發(fā)行信息記錄管理功能，記錄已發(fā)行的每塊智能燃氣表安全芯片的發(fā)行信息，提供發(fā)行記錄文件查詢安全芯片的發(fā)行狀態(tài)。支持在線及離線方式批量化導出與備份發(fā)行記錄，導出的記錄文件編碼格式為主流通用型編碼，這些都為批量化生產提供了便利條件。

5 應用效果

北燃物聯(lián)網(wǎng)在燃氣智能計量管理領域，為實現(xiàn)遠程化、實時化、自動化、精準化管理提供了技術保障。

燃氣計費管理系統(tǒng)在日常運行過程中執(zhí)行的基礎流程，包括設備注冊、數(shù)據(jù)上報、指令下發(fā)等，都需要智能燃氣表安全芯片與安全平臺的配合支撐才能執(zhí)行。設備注冊流程的第1步，就是調用安全平臺的業(yè)務安全接口系統(tǒng)中的設備開戶接口，將智能燃氣表號、智能燃氣表安全芯片標志、用戶識別卡號、安全模組標志號等信息注冊到安全平臺，并存入數(shù)據(jù)儲存服務系統(tǒng)。數(shù)據(jù)上報流程中，智能燃氣表把經(jīng)過安全芯片加密的業(yè)務數(shù)據(jù)經(jīng)由燃氣物聯(lián)網(wǎng)平臺，送達燃氣計費管理系統(tǒng)，燃氣計費管理系統(tǒng)調用安全平臺的解密與驗簽算法，進行消息校驗、設備鑒權之后，才能獲取明文業(yè)務數(shù)據(jù)。指令下發(fā)流程中，燃氣計費管理系統(tǒng)調用安全平臺，把指令加密并通過燃氣物聯(lián)網(wǎng)平臺分發(fā)到相應的智能燃氣表，智能燃氣表用安全芯片中的密鑰進行解密之后，才可獲得明文指令。

在燃氣物聯(lián)網(wǎng)平臺這一樞紐性信息系統(tǒng)的有力支撐下，北京燃氣的物聯(lián)網(wǎng)商用化進程已于2018年底啟動。過去一年多，安全平臺及內置安全芯片的智能燃氣表為推進燃氣計量智能化發(fā)揮了關鍵性作用。2020年，安全芯片還將支撐更大數(shù)量的智能燃氣表的持續(xù)商用化。后續(xù)，相關成功經(jīng)驗也可以復制到燃氣廠站、燃氣施工現(xiàn)場等各種智能終端設備的應用場景之中。

6 結語

北京燃氣構建的燃氣物聯(lián)網(wǎng)平臺，整體上參照了國家信息安全等級保護三級的技術要求，對網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全、安全運維管理都提出了具體的安全防護設計要求。目前，北燃物聯(lián)網(wǎng)建設工程已經(jīng)取得階段性成功，燃氣物聯(lián)網(wǎng)平臺對燃氣智能計量管理、燃氣智能閥門井管理等業(yè)務工作的支撐效果良好。實踐證明，以安全芯片設計、認證檢測、發(fā)行等多個工作環(huán)節(jié)為基礎，通過配合安全平臺的運行，智能燃氣表安全芯片支撐了從智能燃氣表到燃氣計費管理系統(tǒng)的全程信息安全解決方案，極大地強化了信息安全多層次防御系統(tǒng)的構建，提升了物聯(lián)網(wǎng)信息安全效能，為構建城鎮(zhèn)燃氣物聯(lián)網(wǎng)安全體系提供了有力保障。