T-TAF 103-2021 能源物联网设备通信数据安全技术要求和测试方法

communicationdataofenergyne电信终端产业协会发布I 1 1 1 1 2 2 2 3 3 3 3 4 4 4 5 5 5 6 6 6 7 9 本文件按照GB/T1.1-2020《标准化工作导则第1部分请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件起草单位：中国信息通信研究院、北京时代亿德物联网科技有限公司、百度在线网络技术（北京）有限公司、北京奇虎科技有限公司、郑州信大捷安信息技术股份有限公司、中兴通讯股份有本文件主要起草人：国炜、徐晓娜、高媛媛、毛翔、范杰、廖文川、高宏、周易、王敏、张军、近几年，随着国家基础网络的日趋发达，能源物联网入网设备越来越多。然而，能源物联网设备的大量入网也带来了新的问题，入网能源物联网设备通信数据的安全性、有效性如何保障成为了当前能源行业最为关注的问题。能源物联网设备通信数据与国家工业生产及居民日常生活息息相关，如果数据安全得不到有效保障，会对工业生产和日常生活产生重大影响，甚至带来极大本文件旨在提高能源物联网设备通信数据安全性和可用性，便于能源物联网设备管理，合理利用1能源物联网设备通信数据安全技术要求和测试方法本文件规定了能源物联网设备的应用场景，在不同应用场景下的安全可靠性能。同时，规范了设备所采集和传输的数据类型及内容定义，以及对这些数据的安全保护技术要求。另外，本文件还包括对设备内的用户数据保护的指令技术要求，以及与下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适GM/T0008-2012安全芯片密码检测能源物联网设备energynetwork采集水电气热油等能源数据、计量能源过程执行数据、执行数据上传/接受自管理系统，能进行人用于标识能源物联网设备唯一设备编码的UIDI码，总共15位十进制数字，由TAF协会统一下放和管用于在线验证能源物联网设备特征的信息数据，其中包括了UIDI码，温度，位置信息等特征数供能源物联网设备上网的集合通信芯片，元器件于一体的通信设备，通常指NB,4G,5G等能入运营4缩略语2AT：通信模组规定的通讯指令集（Attention）CNVD：国家信息安全漏洞共享平台（ChinaNationalVulnerabilityDatIMEI：国际移动设备识别码（InternationalMobileEqITAC：物联网型号分配码（IoTTypMAC：媒体存取控制位址（MediaAccessControlAddress）NB-IoT：窄带物联网（NarrowBandInternetofThings）NFC：近场通信（NearFieldCommunication）RFID：射频识别（RadioFrequencyIdentificTAF：电信终端产业协会（TelecommunicationTerminalIndustryForumAssociUIDI：物联网设备统一编码（UnifiedIoTDeviceIdentity）5.1能源物联网设备应用场景能源物联网是物联网向水、电、气、暖等能源生产、分配和消费过程的延申，主要是采用传感器技术、嵌入式技术、边缘计算技术、区块链等技术，把能源生产、存储、配送、消费等能源基础设施通过先进信息通信技术、网络技术连接起来，并运行特定的程序，实现智能感知、智能计算、智能处理、智能决策、智能控制的目标。能源物联网主要目标是实现物理互联、信息互通、语义互操作，相能源物联网系统包括硬件部分和相应的软件部分。硬件部分包括电表、水表、气表等对原始数据采集设备，以及数据汇聚设备、服务器等；软件部分可根据实际系统的部署情况及要实现的系统功能5.2能源物联网设备端数据分类能源物联网终端数据通常包括静态因子数据、动态因子数据和过程执行监测数据，具体定义如——静态因子数据：该类数据是与设备属性相关的数据，如设备标识、软硬件名称与版本等；该——动态因子数据：该类数据包括能源设备设施的周边环境数据，如气温、噪声、水浸、湿度、酸碱度、烟雾、粉尘等；设备状态数据，如设备温度、绝缘强度、倾斜状态、沉降、污秽等。具体数据属性可参见附录A。这些数据对能源设施的正常运行、故障产生、设备寿命、巡视检修等产生或多或少的影响，也是有效对事故提前预防、报警和事前处3——过程执行监测数据：这类数据主要和能源用户的消费行为属性相关，是各类、各级用户的精确用能计量数据的基础，具体数据内容可参见附录B-H。过程执行数据是实现人、设备、系统、服务5.3能源物联网终端功能架构能源物联网终端是物联网中连接传感网络层和传输网络层，并实现采集数据、向网络层发送数据如图1所示，能源物联网终端主要由外围传感接口、中央处理模块和外部通讯接口三个部分组成，通过外围传感接口与传感设备连接，如RFID读卡器、红外备所采集的数据进行读取并通过中央处理模块处理后，按照网络协议，通过外部通讯接口，如蜂窝通信模块（NB-IoT/4G/5G等）、以太网接口、Wi-Fi、蓝牙等通信协议将数据发送到指定的数据处理平能源物联网系统在每个环节、每个瞬间都会产生海量的数据，这些数据在极大地促进智能感知、终端在对数据的采集、传输、存储、处理、使用过程中如无法实施有效的控制、或者缺乏一定的安全机制，都会造成数据被篡改或泄露。一旦这些数据被篡改、泄露，将会对整个能源生产、经营管对于能源物联网设备来讲，其面临的终端网络安全漏洞是导致端侧数据被篡改或数据泄露的主要原因，另外由于终端采用的操作系统、嵌入式设备、芯片等各异，通信协议、接口实现方式也不同，出现安全漏洞的几率也大，全面修复漏洞的难度因此，在终端侧实现数据存储、使用、传输的机密性和完整性，以及终端设备自身的完整性就显4a)能源物联网设备端应具有一定的通信加密机制和验证机制，保证通信数据的机密性和完整b)能源物联网设备端应具有一定的安全存储机制，保证设备端数据的存储安全；c)能源物联网设备端应具备一定的安全传输机制，保证数据传输的机密性、完整性和抗重放d)能源物联网设备端在软硬件设计上应具有一定的安全机制，保证系统和固件完整性和可用a)能源物联网设备应对每个设备标识码（UIDI）进行MAC处理后，将处理后的字段连同规范的设备标识码存储在模组的安全区域中，并保证出厂a)能源物联网设备应对动态因子数据进行MAC处理后，将处理后的字段连同加密后的动态因子数据存储在模组的安全区域中，并保证不被外部b)能源物联网设备应支持使用安全的AT指令向模组写a)能源物联网设备应对过程执行监测类数据进行MAC处理后，将加密后的过程数据存储在模组b)能源物联网设备应支持使用安全的AT指令向模a)在通信双方建立会话前，应进行双向d)若涉及密钥管理，密钥管理策略应能够保证周期密钥更新、密钥撤销和密钥分发等环节的安e)对于关乎民生用能的能源物联网终端设备，应具备两种通信方式，可选范围包括蜂窝通信、5如能源物联网设备使用蜂窝通信，除应满足7.2.1小节的要求外，还应满足如能源物联网设备使用蓝牙通信，除应满足7.2.1小节的要求外，还应满足b)使用BLE4.2及以上版本协议的如能源物联网设备使用Wi-Fi通信，除应满足7.2.1小节的要求外，还应满应采用WPA3及以上版本协议，采用其他版本时，应通过固定IP、MAC地址过滤等方式保证设备的接b)能源物联网设备上存储的重要数据（如物联网设备统一编码UIc)数据保护所采用的加密算法应符合相关国家标准和行d)安全存储的密钥应由安全单元进行生成和保护。数据加密应在安全单元内进行。对采用的安a)在传输静态因子、动态因子和过程数据时，应采用数据完整性校验机制保证传输数据的完整b)在传输静态因子、动态因子和过程数据时，应采用密码机制保证传输数据的机密性；f)在传输静态因子、动态因子和过程数据时，应采用一定的机制保证传输数据的b)应具备用于在线验证能源物联网设备特征的信息数据，即动态因子，动态因子一部分由通信c)能源物联网设备在通信模组上电后，应读取动态因子并发送给后台安全系统，进行检测和验6d)对具备调试功能的设备，应限制调试进程在操作系统中的访问权限和操作权限，防止权限设e)应采用可信计算等技术，保证系统安全，内部程序能源物联网设备系统应具备安全更新机制，安全b)系统更新失败时，应保证系统的可用能源物联网设备固件通过网络或本地接口升级，升级后新版本固件代替原固件，其安全更新要求b)固件升级失败应保持升级前的固件a)能源设备应对每个设备标识码（UIDI）进行MAC处理后，将处理后的字段连同规范的设备标识码存储在模组的安全区域中，并保证出厂后c)以非授权认可的第三方角色从操作系统接口中读取UIDI，查看读取是7无a)能源设备应对动态因子数据进行MAC处理后，将处理后的字段连同加无a)能源设备应对过程数据进行MAC处理后，将加密后的过程数据存储在b)能源设备应支持使用安全的AT指令向模组写入或读取加密的过程数无8.1.3能源过程执行监测数据安全a)在通信双方建立会话前，应进行双向8d)若涉及密钥管理，密钥管理策略应能够保证周期密钥更新、密钥撤销e)对于关乎民生用能的能源物联网终端设备，应具备两种通信方式，可a)检查能源物联网设备与其他主体之间在建立会话之前，设备是否对对方进行身份验证，是否为对方提供了验证设备身份的相关c)查看设备所用通信协议配置信息，是否支持数据加密d)检查文档，若涉及密钥管理，查看是否保证密钥更新、密钥撤销和密e)检查关乎民生用能的能源物联网终端设备，是否具a)能源物联网设备与其他主体之间在建立会话之前，进行了身份验证，b)重新建立会话或会话超时，需要重新进行身份验证；d)密钥管理方案能保证密钥更新、密钥撤销和密钥分发等环节的安全无b)蜂窝通信模组所用协议支持双向鉴权。无9a)尝试构建中间人攻击场景，查看蓝牙通信模组是否可以防止中间人攻b)查看协议配置，若使用BLE4.2及以上版本，查看是否使用LEb)BLE4.2及以上版本，开启LESecureConnec无无b)能源物联网设备上存储的重要数据（如c)数据保护所采用的加密算法应符合相关国家标准和行d)安全存储的密钥应由安全单元进行生成和保护。数a)读取能源物联网设备上存储的数据，查看是否使用安全机d)检查安全存储使用的密钥是否由安全单元生成和保在安全单元内进行，采用的安全单元是否满足GM/T0008安全等级2c)使用的加密算法是否符合国家相关法律法规d)安全存储使用的密钥是否由安全单元生成和保护，无a)在传输静态因子、动态因子和过程数据时，应采用数据完整b)在传输静态因子、动态因子和过程数据时，应采用密码机制保证传输c)对重要数据的传输，应采用有一定强度的加密算法对f)在传输静态因子、动态因子和过程数据时，应采用一g)每次传输过程数据时，应先将要求的动态因子信息写b)检查数据传输时是否具有密码机制，抓包查看传输的数据是否进行了e)检查数据传输时是否具备抗重放攻击机制，抓包f)传输过程数据时，将动态因子信息写无b)应具备用于在线验证能源物联网设备特征的信息数据，即动态因子；c)能源物联网设备在通信模组上电后，应读取动态因子d)具有控制台接口的能源物联网设备，应具备认证授a)检查是否具备唯一的物联网设备统一编c)检查设备在通信模组上电后，是否读取动态因子并c)设备在通信模组上电后，读取动态因子并发送给后d)对具有控制台接口的能源物联网设备，具备认证授无d)对具备调试功能的设备，应限制调试进程在操作系统中的访问权限和e)应采用可信计算等技术，保证系统安全，内部程序注：对于6个月以上仍未公布漏洞修复方法的情况，可采取一定的补d)检查具备调试功能的设备，是否限制调试进程在操作系统中的访问权e)检查是否采用可信计算等技术，内部程序测试目的7.6.1系统安全防护d)具备调试功能的设备，限制了调试进程在操作系统中的访问权限和操无b)系统更新失败时，应保证系统可用性，避免更新失败导致系统失效。a)启动系统更新，检查系统更新前是否对系统更新包、更新版本进行完b)尝试使系统更新失败，验证设备是否恢复到更新前可用的版本。b)系统更新失败后，设备保持更新前系统版无a)应对固件升级包的完整性和来源可靠性进行验证，校验通过后a)应对固件升级包的完整性和来源可靠性进行验证，校验通过后才可以b)固件升级失败应保持升级前的固件版本，不允许固件升级到比当前版a)在升级服务器中添加用于测试的新版本固件，启动固件升级，检查固件升级前是否对固件升级包、固件升级版本进行完整性校验并验证来b)尝试写入不正确的固件给设备，使升级失败，验证设备是否恢复到升c)尝试写入比设备当前固件版本更低的固件给设备，验证能否升级成a)设备能安全升级固件，不升级到不安b)固件升级失败后，设备恢复到升级前固件版本；无动态因子动态因子是每个设备必须上传的数据，设备特征属性在过程执行数据中体现。其具体数0是0是每个能源物联网设备从工信部申请的ITAC码+本产品流水号。15位：86+ITAC码（6）+流水通信模组0否模组基站0是模组电信0是0否模组北斗位置，如果模组有此功能上传，无此32否模组温度，如果模组有此功能上传，无此功能填FF。第一位最高位是符号，0代表0度以号0否0否32否如果模组有此功能上传，无此功能填FF。第一42是42是设备的运行电流。单位：第一位最高位0代表第二通道20否号读写方向位上报R上行70是10是20是信噪比SNR：有符号20是22是10是0否60是20是0ASCII否10否2是2是2否42否10否0是32是32是52否2是2是20是40否10否0ASCII-号读写方向位上报R上行70是10是20是20是22是10是上报周期(日周月年)FF(01日；02周；030否60是20是0ASCII否80是1是80否60是42是42是42是42是42是42是42是42是42是42是42是42是34否34否32否44否44否34否34否32否42否42否34否34否32否42否42否34否号读写方向位34否32否42否42否70是70是10否10否10否10否0ASCII-号读写方向位上报R上行70是10是20是20是22是10是上报周期(日周月年)FF(01日；02周；030否60是20是0ASCII否2是2是2是21否22是22是42是20否2否2否4---40否42否4---1---22否10否号读写方向位10否0ASCII-号读写方向位上报R上行70是10是20是20是22是10是上报周期(日周月年)FF(01日；02周；030否60是20是0ASCII否2是2是2否2否2否2否2否30否10否32是32是22是10否0ASCII否-号读写方向长度位设备大备中类R上行70是10是20是20是22是10是0否60是20是0ASCII否60否60是60否60是60是60否60否60否40否40否40否电能表有功常数Double-long-unsigned40否电能表无功常数Double-long-unsigned40是40是21是43是43否电能表零线电流Double-long单位:A换41是电能表有功总功率Double-long单位:W23是21否42是电能表当前组合有功总电能Double-long42是42是42是号读写方向长度位42是42是电能表当前正向有功总电能Double-long-42是42是42是42是42是42是42是42是42是42否电能表累计碳排量Double-long单位:Kg42否电能表累计二氧化碳排量Double-long42是42是20是0否--否号读写方向长度位设备大备中类R上行70是10是20是20是22是10是0否60是20是0ASCII否60否60是60否60是号读写方向长度位60是60否60否60否40是40是40是电能表有功常数Double-long-unsigned40是电能表无功常数Double-long-unsigned40是40是21是21是21是43是43是43是43是电能表零线电流Double-long单位:A换41是电能表有功总功率Double-long单位: