电力物联网感知层设备安全认证技术要求

ICS点击此处添加ICS号

点击此处添加中国标准文献分类号

T/CEC

中国电力企业联合会标准

T/CECXXXXX—XXXX

电力物联网感知层设备安全认证技术要求

eIoTsensinglayerdevicesecuritycertificationtechnicalrequirements

点击此处添加与国际标准一致性程度的标识

文稿版次选择

XXXX-XX-XX发布XXXX-XX-XX实施

中国电力企业联合会发布

T/CECXXXXX—XXXX

前言

本文件按照GB/T1.1—2010《标准化工作导则第1部分：标准的结构和编写》给出的规则编制。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由中国电力企业联合会提出并解释。

本文件由电力行业信息标准化技术委员会（DL/TC27）归口。

本文件起草单位：全球能源互联网研究院有限公司。

本文件主要起草人：

本文件首次发布。

本文件在执行过程中的意见或建议反馈至中国电力企业联合会标准化管理中心（北京市白广路二条

一号，100761）。

II

T/CECXXXXX—XXXX

电力物联网感知层设备安全认证技术要求

1规范性引用文件

本标准规定了电力物联网中感知层设备的安全认证技术要求，包括非智能业务终端、智能业务终端、

智能涉控涉敏业务终端的身份标记、安全认证、访问控制和安全审计技术要求。

本标准适用于电力物联网建设运维单位对感知层设备进行安全选型、部署、运行和维护。本标准也

适用于指导感知层设备设计和生产。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T4208外壳防护等级(IP代码)

GB/T17799.1电磁兼容通用标准居住、商业和轻工业环境中的抗扰度试验

GB/T17799.2电磁兼容通用标准工业环境中的抗扰度试验

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T25069信息安全技术术语

GB/T36951信息安全技术物联网感知终端应用安全技术要求

GB/T37024信息安全技术物联网感知层网关安全技术要求

GB/T37025信息安全技术物联网数据传输安全技术要求

GB/T37044信息安全技术物联网安全参考模型及通用要求

GB/T37093信息安全技术物联网感知层接入通信网的安全要求

3术语和定义

GB/T4208、GB/T17799.1、GB/T17799.2、GB/T22239、GB/T25069、GB/T36951、GB/T37024、

GB/T37025、GB/T37044、GB/T37093界定的以及下列术语和定义适用于本文件。

3.1

电力物联网electricinternetofthings（eIoT）

围绕电力系统各环节，充分应用移动互联、人工智能等现代信息技术、先进通信技术，实现电力系

统各个环节万物互联、人机交互，具有状态全面感知、信息高效处理、应用便捷灵活特征的智能化服务

系统。

3.2

感知层设备sensingdevice

1

T/CECXXXXX—XXXX

能对物或环境进行信息采集和/或执行操作，并能联网进行通信的装置。电力物联网环境中，包括

非智能业务终端、智能业务终端、智能涉控涉敏业务终端。

3.3

非智能业务终端nonintelligentserviceterminal

能对物或环境进行信息采集和/或执行操作，根据需要具有简单的数据处理、控制和通信功能，但

不具备自管理功能的专用装置，如部署在采集监控对象本体内部或附近，对设备或客户的状态量、电气

量和环境量等进行采集量测的终端装置。

3.4

智能业务终端intelligentserviceterminal

具备信息交互和智能处理能力的专用装置，可连接采集控制终端，实现对感知对象的属性信息汇集，

可以将经定制化业务应用处理后的数据上送网关节点，并接收上层的安全策略，可实现局部的业务自治

功能。

3.5

智能涉控涉敏业务终端semiintelligentserviceterminal

在电力系统中处理涉及敏感数据或涉及控制指令的智能业务终端，敏感数据包括但不限于地理坐标

等空间数据、设备名称及线路参数等台账数据、用户账号等隐私数据等。

3.6

硬件安全模块hardwaresecuritymodule

一种内部拥有独立的处理器和存储单元的硬件模块，可独立进行密钥申请、密钥更新、签名验签、

加密解密等处理，一般由安全芯片、密码卡、外置式硬件等组成。

3.7

软件安全模块softwaresecuritymodule

一种可提供密钥申请、密钥更新、签名验签、加密解密等功能的软件模块，可支持各类不适用硬件

安全模块的感知层设备。

3.8

设备指纹devicefingerprinting

一种可以用于唯一标识出该设备的设备特征或者独特的设备标识。设备标识是固有的、较难篡改的、

唯一的，包括但不限于设备的硬件ID、MAC地址等。

3.9

统一身份编码unifiedidentitycode

为了实现资产管理过程中项目编码、物资编码、设备编码和资产卡片等多码联动和信息贯通，而引

入的资产实物标识编码，是感知层设备的终身唯一的身份编号。

2

T/CECXXXXX—XXXX

4缩略语

下列缩略语适用于本文件。

ACL：访问控制列表（AccessControlLists）

AES：高级加密标准（AdvancedEncryptionStandard）

CAN：控制器域网（ControllerAreaNetwork）

CPK：基于标识的组合公钥认证方式（CombinedPublicKey）

DES：数据加密标准（DataEncryptionStandard）

eIoT：电力物联网（ElectricInternetofThings）

IP：网际互连协议（InternetProtocol）

MAC：消息验证码（MessageAuthenticationCode）

PKI：公钥基础设施（PublicKeyInfrastructure）

RFID：射频识别（RadioFrequencyIdentification）

SPI：SDH物理接口（SDHPhysicalInterface）

USB：通用串行总线（UniversalSerialBus）

UART：通用异步收发传输器（UniversalAsynchronousReceiver/Transmitter）

5总则

5.1根据电力物联网感知层设备功能的不同，列举部分典型设备终端，见表1所示。

表1典型电力物联网感知层设备终端及分类

序号设备终端名称典型设备终端

非智能业务终

1温湿度传感器、烟雾传感器等

端

充电桩、营销现场作业终端、边缘物联代理、智能巡检机器人、基建现

2智能业务终端

场视频监控终端、变电站视频监控终端等

智能涉控涉敏

3负控终端/专变采集终端、智能电表、生产移动作业终端等

业务终端

5.2本标准在遵循GB/T22239的安全防护要求的基础上，根据接入业务系统及处理数据的重要程度，

将电力物联网感知层设备分为不具备认证和加密能力的非智能业务终端、具有应用扩展功能的智能业务

终端以及在电力系统中承载敏感数据或涉及控制指令的智能涉控涉敏业务终端，并采用不同的身份标

记、安全认证、访问控制和安全审计技术进行防护。

3

T/CECXXXXX—XXXX

电力物联网感知层设备安全认证方向

非智能业

务终端边缘物联

代理

非智能业

安全

务终端

接入

智能业务网关

终端

物联

管理业务

智能涉控平台

涉敏业务

终端

非智能业边缘物联

务终端代理

物联网感知层

注：表示无线连接方式表示有线连接方式

图1电力物联网感知层设备终端安全认证

6非智能业务终端

6.1身份标记

应具有可用于电力物联网系统中通信识别的唯一标识，包括但不限于RFID标签、统一身份编码、

MAC地址等。

6.2安全认证

非智能业务终端的安全认证要求包括：

a)应满足基于MAC地址的鉴别，通过MAC地址白名单的方式，由管理员在物联管理平台进行

设置；

b)可满足基于通信端口的鉴别认证技术，识别不同业务场景的非智能业务终端常用端口占用情

况，通过区分常用端口进行鉴别；

c)可满足基于通信协议的鉴别，识别不同业务场景的非智能业务终端使用的通信协议，通过区分

常用通信协议进行鉴别；

d)可采用基于标识的认证技术，感知层设备应在接入网络中具有唯一网络身份标识，采用的密码

算法包括但不限于SM9、CPK等。

6.3访问控制

非智能业务终端的网络访问控制要求包括：

a)应禁用闲置的通信接口，包括但不限于USB口、UART串口、SPI、RS-485、以太网口、光纤

口、CAN、ModBus等；

b)可通过ACL方式控制终端对业务系统的访问；

4

T/CECXXXXX—XXXX

c)可支持制定和执行访问控制策略的功能，访问控制策略可以是基于IP地址、用户/用户组、角

色、物理/逻辑位置、读/写等操作的一种或多种的组合；

d)可支持黑名单制，阻断终端对网络的访问。

7智能业务终端

7.1身份标记

智能业务终端的身份标记要求包括：

a)应具有可用于电力物联网系统中通信识别的唯一标识，包括但不限于统一身份编码、MAC地

址等；

b)应采用软件安全模块、宜采用硬件安全模块的方式进行身份标记。

7.2安全认证

智能业务终端的安全认证要求包括：

a)应满足基于MAC地址的鉴别，通过MAC地址白名单的方式，由管理员在物联管理平台进行

设置；

b)应满足基于通信端口的鉴别认证技术，识别不同业务场景的智能业务终端常用端口占用情况，

通过区分常用端口进行鉴别；

c)应满足基于通信协议的鉴别，识别不同业务场景的智能业务终端使用的通信协议，通过区分常

用通信协议进行鉴别；

d)应满足基于口令的认证要求，具体要求包括：

1)应采用口令或其他具有相应安全强度的机制进行用户身份鉴别；

2)应对口令最小长度和复杂度进行限制。口令设置满足长度下限不得少于8位，复杂度应

为大写字母、小写字母、数字、特殊字符中两种或两种以上的组合，用户名与口令禁止

相同；

3)应在用户登录失败达到指定失败次数后，对用户帐号进行锁定，锁定时间可自行配置或

由授权的管理员解锁，锁定前的剩余次数应显示给用户。

e)可采用基于PKI的认证技术，采用的密码算法包括但不限于RSA、SM2、SM3等，适用于通

信双方具有密钥管理中心下发统一数字证书的场景；

f)可采用基于对称密码的认证技术，采用的密码算法包括但不限于DES，AES，SM1、SM4等，

适用于通信双方享有预共享密钥的场景。

7.3访问控制

智能业务终端的网络访问控制要求包括：

a)应禁用闲置的通信接口，包括但不限于：USB口、UART串口、SPI、RS-485、以太网口、光

纤口、CAN、ModBus等；

b)应通过ACL方式控制终端对业务系统的访问；

c)应支持制定和执行访问控制策略的功能，访问控制策略可以是基于IP地址及端口、用户/用户

组、角色、物理/逻辑位置、读/写、有效时间周期、敏感标记等的两种及以上构成的组合；

d)可支持白名单制，限制终端对网络的访问；

e)可提供安全措施控制对其远程配置。

7.4安全审计

5

T/CECXXXXX—XXXX

智能业务终端的安全审计要求包括：

a)应具有安全审计功能，能对用户的关键操作等进行审计；

b)审计记录应包括日期和时间、用户、事件类型、事件描述等信息；

c)应对日志记录进行保护，并可设置日志留存时间。

8智能涉控涉敏业务终端

8.1身份标记

智能涉控涉敏业务终端的身份标记要求包括：

a)应具有可用于电力物联网系统中通信识别的唯一标识，包括但不限于统一身份编码、MAC地

址等；

b)应采用硬件安全模块的方式进行身份标记。

8.2安全认证

智能涉控涉敏业务终端的安全认证要求包括：

a)应满足基于MAC地址的鉴别，通过MAC地址白名单的方式，由管理员在物联管理平台进行

设置；

b)应满足基于通信端口的鉴别认证技术，识别不同业务场景的智能涉控涉敏业务终端常用端口占

用情况，通过区分常用端口进行鉴别；

c)应满足基于通信协议的鉴别，识别不同业务场景的智能涉控涉敏业务终端使用的通信协议，通

过区分常用通信协议进行鉴别；

d)应满足基于口令的认证要求，具体要求包括：

1)应采用口令或其他具有相应安全强度的机制进行用户身份鉴别；

2)应对口令最小长度和复杂度进行限制。口令设置满足长度下限不得少于8位，复杂度应为

大写字母、小写字母、数字、特殊字符中两种或两种以上的组合，用户名与口令禁止相

同；

3)应在用户登录失败达到指定失败次数后，对用户帐号进行锁定，锁定时间可自行配置或由

授权的管理员解锁，锁定前的剩余次数应显示给用户。

e)应采用基于PKI的认证技术，采用的密码算法包括但不限于RSA、SM2、SM3等；

f)应基于硬件安全模块实现安全认证；

g)宜基于运行环境和状态可信性的进行认证；

h)可结合设备指纹、设备画像采用基于特征的认证技术。

8.3访问控制

智能业务终端的网络访问控制要求包括：

a)应禁用闲置的通信接口，包括但不限于：USB口、UART串口、SPI、RS-485、以太网口、光

纤口、CAN、ModBus等；

b)应通过ACL方式控制终端对业务系统的访问；

c)应支持制定和执行访问控制策略的功能，访问控制策略可以是基于IP地址及端口、用户/用户

组、角色、物理/逻辑位置、读/写、有效时间周期、敏感标记等的两种及以上构成的组合；

d)应支持白名单制，限制终端对网络的访问；

e)应提供监测手段，根据终端安全状态进行访问控制策略实时调整；

6

T/CECXXXXX—XXXX

f)应提供安全措施控制对其远程配置。

8.4安全审计

a)应具有安全审计功能，能对用户的关键操作、重要行为等进行审计；

b)审计记录应包括日期和时间、用户、事件类型、事件描述、事件结果及其他与审计相关的信

息，能够对安全事件进行精准溯源；

c)应对日志记录进行保护，并可设置日志留存时间；

d)日志中不应保存敏感数据，如确实需要记录，应进行模糊化处理。

_________________________________

7

T/CECXXXXX—XXXX

目次

前言...............................................................................III

1规范性引用文件....................................................................1

2规范性引用文件....................................................................1

3术语和定义........................................................................1

4缩略语............................................................................3

5总则..............................................................................3

6非智能业务终端....................................................................4

6.1身份标记......................................................................4

6.2安全认证......................................................................4

6.3访问控制......................................................................4

7智能业务终端......................................................................5

7.1身份标记......................................................................5

7.2安全认证......................................................................5

7.3访问控制......................................................................5

7.4安全审计......................................................................5

8智能涉控涉敏业务终端..............................................................6

8.1身份标记......................................................................6

8.2安全认证......................................................................6

8.3访问控制......................................................................6

8.4安全审计......................................................................7

I

T/CECXXXXX—XXXX

电力物联网感知层设备安全认证技术要求

1规范性引用文件

本标准规定了电力物联网中感知层设备的安全认证技术要求，包括非智能业务终端、智能业务终端、

智能涉控涉敏业务终端的身份标记、安全认证、访问控制和安全审计技术要求。

本标准适用于电力物联网建设运维单位对感知层设备进行安全选型、部署、运行和维护。本标准也

适用于指导感知层设备设计和生产。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T4208外壳防护等级(IP代码)

GB/T17799.1电磁兼容通用标准居住、商业和轻工业环境中的抗扰度试验

GB/T17799.2电磁兼容通用标准工业环境中的抗扰度试验

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T25069信息安全技术术语

GB/T36951信息安全技术物联网感知终端应用安全技术要求

GB/T37024信息安全技术物联网感知层网关安全技术要求

GB/T37025信息安全技术物联网数据传输安全技术要求

GB/T37044信息安全技术物联网安全参考模型及通用要求

GB/T37093信息安全技术物联网感知层接入通信网的安全要求

3术语和定义

GB/T4208、GB/T17799.1、GB/T17799.2、GB/T22239、GB/T25069、GB/T36951、GB/T37024、

GB/T37025、GB/T37044、GB/T37093界定的以及下列术语和定义适用于本文件。

3.1

电力物联网electricinternetofthings（eIoT）

围绕电力系统各环节，充分应用移动互联、人工智能等现代信息技术、先进通信技术，实现电力系

统各个环节万物互联、人机交互，具有状态全面感知、信息高效处理、应用便捷灵活特征的智能化服务

系统。

3.2

感知层设备sensingdevice

1

T/CECXXXXX—XXXX

能对物或环境进行信息采集和/或执行操作，并能联网进行通信的装置。电力物联网环境中，包括

非智能业务终端、智能业务终端、智能涉控涉敏业务终端。

3.3

非智能业务终端nonintelligentserviceterminal

能对物或环境进行信息采集和/或执行操作，根据需要具有简单的数据处理、控制和通信功能，但

不具备自管理功能的专用装置，如部署在采集监控对象本体内部或附近，对设备或客户的状态量、电气

量和环境量等进行采集量测的终端装置。

3.4

智能业务终端intelligentserviceterminal

具备信息交互和智能处理能力的专用装置，可连接采集控制终端，实现对感知对象的属性信息汇集，

可以将经定制化业务应用处理后的数据上送网关节点，并接收上层的安全策略，可实现局部的业务自治

功能。

3.5

智能涉控涉敏业务终端semiintelligentserviceterminal

在电力系统中处理涉及敏感数据或涉及控制指令的智能业务终端，敏感数据包括但不限于地理坐标

等空间数据、设备名称及线路参数等台账数据、用户账号等隐私数据等。

3.6

硬件安全模块hardwaresecuritymodule

一种内部拥有独立的处理器和存储单元的硬件模块，可独立进行密钥申请、密钥更新、签名验签、

加密解密等处理，一般由安全芯片、密码卡、外置式硬件等组成。

3.7

软件安全模块softwaresecuritymodule

一种可提供密钥申请、密钥更新、签名验签、加密解密等功能的软件模块，可支持各类不适用硬件

安全模块的感知层设备。

3.8

设备指纹devicefingerprinting

一种可以用于唯一标识出该设备的设备特征或者独特的设备标识。设备标识是固有的、较难篡改的、

唯一的，包括但不限于设备的硬件ID、MAC地址等。

3.9

统一身份编码unifiedidentitycode

为了实现资产管理过程中项目编码、物资编码、设备编码和资产卡片等多码联动和信息贯通，而引

入的资产实物标识编码，是感知层设备的终身唯一的身份编号。

2

T/CECXXXXX—XXXX

4缩略语

下列缩略语适用于本文件。

ACL：访问控制列表（AccessControlLists）

AES：高级加密标准（AdvancedEncryptionStandard）

CAN：控制器域网（ControllerAreaNetwork）

CPK：基于标识的组合公钥认证方式（CombinedPublicKey）

DES：数据加密标准（DataEncryptionStandard）

eIoT：电力物联网（ElectricInternetofThings）

IP：网际互连协议（InternetProtocol）

MAC：消息验证码（MessageAuthenticationCode）

PKI：公钥基础设施（PublicKeyInfrastructure）

RFID：射频识别（RadioFrequencyIdentification）

SPI：SDH物理接口（SDHPhysicalInterface）

USB：通用串行总线（UniversalSerialBus）

UART：通用异步收发传输器（UniversalAsynchronousReceiver/Transmitter）

5总则

5.1根据电力物联网感知层设备功能的不同，列举部分典型设备终端，见表1所示。

表1典型电力物联网感知层设备终端及分类

序号设备终端名称典型设备终端

非智能业务终

1温湿度传感器、烟雾传感器等

端

充电桩、营销现场作业终端、边缘物联代理、智能巡检机器人、基建现

2智能业务终端

场视频监控终端、变电站视频监控终端等

智能涉控涉敏

3负控终端/专变采集终端、智能电表、生产移动作业终端等

业务终端

5.2本标准在遵循GB/T22239的安全防护要求的基础上，根据接入业务系统及处理数据的重要程度，

将电力物联网感知层设备分为不具备认证和加密能力的非智能业务终端、具有应用扩展功能的智能业务

终端以及在电力系统中承载敏感数据或涉及控制指令的智能涉控涉敏业务终端，并采用不同的身份标

记、安全认证、访问控制和安全审计技术进行防护。

3

T/CECXXXXX—XXXX

电力物联网感知层设备安全认证方向

非智能业

务终端边缘物联

代理

非智能业

安全

务终端

接入

智能业务网关

终端

物联

管理业务

智能涉控平台

涉敏业务

终端

非智能业边缘物联

务终端代理

物联网感知层

注：表示无线连接方式表示有线连接方式

图1电力物联网感知层设备终端安全认证

6非智能业务终端

6.1身份标记

应具有可用于电力物联网系统中通信识别的唯一标识，包括但不限于RFID标签、统一身份编码、

MAC地址等。

6.2安全认证

非智能业务终端的安全认证要求包括：

a)应满足基于MAC地址的鉴别，通过MAC地址白名单的方式，由管理员在物联管理平台进行

设置；

b)可满足基于通信端口的鉴别认证技术，识别不同业务场景的非智能业务终端常用端口占用情

况，通过区分常用端口进行鉴别；

c)可满足基于通信协议的鉴别，识别不同业务场景的非智能业务终端使用的通信协议，通过区分

常用通信协议进行鉴别；

d)可采用基于标识的认证技术，感知层设备应在接入网络中具有唯一网络身份标识，采用的密码

算法包括但不限于SM9、CPK等。

6.3访问控制

非智能业务终端的网络访问控制要求包括：

a)应禁用闲置的通信接口，包括但不限于USB口、UART串口、SPI、RS-485、以太网口、光纤

口、CAN、ModBus等；

b)可通过ACL方式控制终端对业务系统的访问；

4

T/CECXXXXX—XXXX

c)可支持制定和执行访问控制策略的功能，访问控制策略可以是基于IP地址、用户/用户组、角

色、物理/逻辑位置、读/写等操作的一种或多种的组合；

d)可支持黑名单制，阻断终端对网络的访问。

7智能业务终端

7.1身份标记

智能业务终端的身份标记要求包括：

a)应具有可用于电力物联网系统中通信识别的唯一标识，包括但不限于统一身份编码、MAC地

址等；

b)应采用软件安全模块、宜采用硬件安全模块的方式进行身份标记。

7.2安全认证

智能业务终端的安全认证要求包括：

a)应满足基于MAC地址的鉴别，通过MAC地址白名单的方式，由管理员在物联管理平台进行

设置；

b)应满足基于通信端口的鉴别认证技术，识别不同业务场景的智能业务终端常用端口占用情况，

通过区分常用端口进行鉴别；

c)应满足基于通信协议的鉴别，识别不同业务场景的智能业务终端使用的通信协议，通过区分常

用通信协议进行鉴别；

d)应满足基于口令的认证要求，具体要求包括：

1)应采用口令或其他具有相应安全强度的机制进行用户身份鉴别；

2)应对口令最小长度和复杂度进行限制。口令设置满足长度下限不得少于8位，复杂度应

为大写字母、小写字母、数字、特殊字符中两种或两种以上的组合，用户名与口令禁止

相同；

3)应在用户登录失败达到指定失败次数后，对用户帐号进行锁定，锁定时间可自行配置或

由授权的管理员解锁，锁定前的剩余次数应显示给用户。

e)可采用基于PKI的认证技术，采用的密码算法包括但不限于RSA、SM2、SM3等，适用于通

信双方具有密钥管理中心下发统一数字证书的场景；

f)可采用基于对称密码的认证技术，