國(guó)密算法安全芯片與電子標(biāo)簽在資產(chǎn)巡檢系統(tǒng)中的應(yīng)用

張 峰

（北京智芯微電子科技有限公司，北京 102299）

0 前言

電力企業(yè)資產(chǎn)具有存放分散、使用人員廣泛的特點(diǎn)，同時(shí)分類復(fù)雜、數(shù)量大、更新快，在管理上就要求及時(shí)準(zhǔn)確反映這些信息及其變化，這對(duì)電網(wǎng)企業(yè)的資產(chǎn)管理工作提出了挑戰(zhàn)。 電力設(shè)備如安全工器具等，作為電力企業(yè)重要的物資資產(chǎn)，對(duì)企業(yè)的安全運(yùn)作和發(fā)展起著重要的作用。 安全工器具的正確選擇、使用與維護(hù)，是保證員工在生產(chǎn)活動(dòng)中的人身安全，防止人身傷亡事故發(fā)生的重要手段。 隨著《電業(yè)安全工作規(guī)程》的頒布實(shí)施，對(duì)于安全工器具的規(guī)格、型號(hào)、生產(chǎn)廠家以及工器具發(fā)放過程和定檢周期越來越重視，而這些屬性通過傳統(tǒng)的手段難以記錄和保存，有必要通過信息化手段將各個(gè)環(huán)節(jié)安全有效地管理起來。因此建立資產(chǎn)巡檢系統(tǒng)就尤為必要，也是實(shí)現(xiàn)智能電網(wǎng)系統(tǒng)建設(shè)的重要基礎(chǔ)，其中高安全RFID 技術(shù)和安全芯片是資產(chǎn)巡檢以及資產(chǎn)安全防偽管理上的關(guān)鍵技術(shù)，通過將密碼技術(shù)與身份識(shí)別技術(shù)相結(jié)合，對(duì)于在用電、配電、變電等領(lǐng)域?qū)崿F(xiàn)資產(chǎn)的壽命周期管理，尤其是在安全工器具管理方面具有重要意義，系統(tǒng)的應(yīng)用推廣可以有效保證智能電網(wǎng)與物聯(lián)網(wǎng)的資產(chǎn)安全，有利于電網(wǎng)的“安全、可靠、優(yōu)質(zhì)、高效、經(jīng)濟(jì)”運(yùn)行。將RFID 技術(shù)與電力資產(chǎn)管理系統(tǒng)真正地結(jié)合， 實(shí)現(xiàn)智能電網(wǎng)與物聯(lián)網(wǎng)的結(jié)合。

1 安全芯片與RF ID 標(biāo)簽

1.1 安全芯片

本文所使用的國(guó)產(chǎn)安全芯片和基于安全芯片的COS 是資產(chǎn)巡檢系統(tǒng)的核心組件之一，分別從硬件層和軟件層面確保了數(shù)據(jù)的安全。 由于它體積小、數(shù)據(jù)傳輸速度快以及高安全性等優(yōu)良特性，被廣泛地應(yīng)用在移動(dòng)終端上。安全芯片內(nèi)部集成了多種具備高安全性的加密算法；COS 作為安全芯片的操作系統(tǒng)， 實(shí)現(xiàn)數(shù)據(jù)的安全保護(hù)和讀寫控制。

本文使用的安全芯片和COS，在安全性方面有如下優(yōu)點(diǎn)。

（1）安全可靠。安全芯片帶有安全存儲(chǔ)區(qū)，可以對(duì)私鑰和關(guān)鍵數(shù)據(jù)等隔離保存，且私鑰保存在安全芯片內(nèi)無法被導(dǎo)出；加解密過程在安全芯片內(nèi)實(shí)現(xiàn)，數(shù)據(jù)無法被竊取、破解；芯片安全性高，具有一定的抗物理攻擊能力。

（2）支持多種國(guó)產(chǎn)加密算法，內(nèi)置基于硬件實(shí)現(xiàn)的SM2、SM3、SM4 等多種國(guó)產(chǎn)密碼算法，可以實(shí)現(xiàn)數(shù)據(jù)加解密、簽名驗(yàn)簽等功能，滿足多種需求的應(yīng)用安全性。

1.2 RFID 標(biāo)簽

RFI 電子標(biāo)簽技術(shù)，即非接觸式無線射頻身份識(shí)別技術(shù)，使用射頻方式進(jìn)行非接觸通信，具有較好的精度和較強(qiáng)的安全性。 使用RFID 標(biāo)簽可以完成以下功能：

（1）存儲(chǔ)資產(chǎn)信息數(shù)據(jù)。 將資產(chǎn)信息數(shù)據(jù)按照既定規(guī)則編碼，將編碼后的數(shù)據(jù)寫入RFID 電子標(biāo)簽，實(shí)現(xiàn)對(duì)設(shè)備關(guān)鍵數(shù)據(jù)的存儲(chǔ)，可以供巡檢時(shí)讀取。

（2）進(jìn)行非接觸識(shí)別讀取。RFID 標(biāo)簽使用超高頻技術(shù)，可以進(jìn)行單個(gè)識(shí)別或批量識(shí)別，在終端設(shè)備和相應(yīng)軟件工具支持的前提下，可以讀取1m～10m 的范圍內(nèi)的標(biāo)簽信息，完成批量掃描巡檢。

2 應(yīng)用場(chǎng)景與技術(shù)架構(gòu)

2.1 應(yīng)用場(chǎng)景

電力資產(chǎn)巡檢系統(tǒng)通過移動(dòng)終端采集資產(chǎn)數(shù)據(jù)，對(duì)數(shù)據(jù)進(jìn)行分析和過濾，并將相關(guān)數(shù)據(jù)信息通過專用網(wǎng)絡(luò)通道上傳到業(yè)務(wù)應(yīng)用平臺(tái)，支持整個(gè)電力資產(chǎn)巡檢系統(tǒng)的運(yùn)作。 實(shí)現(xiàn)對(duì)用戶操作安全工器具入庫(kù)、檢驗(yàn)、借用歸還、報(bào)廢的全過程實(shí)時(shí)監(jiān)控和記錄，為安全工器具管理工作帶來便捷，促進(jìn)安全工器具監(jiān)管的常態(tài)化、制度化，提高安全工器具管理的工作效率，降低安全事故發(fā)生的概率， 提升安全工器具管理的準(zhǔn)確性、實(shí)時(shí)性、安全性。通過對(duì)接收到的相關(guān)業(yè)務(wù)數(shù)據(jù)進(jìn)行前端的可視化展示和業(yè)務(wù)應(yīng)用，達(dá)到對(duì)整個(gè)電力資產(chǎn)的全生命周期的管理。 應(yīng)用場(chǎng)景如圖1 所示。

圖1 應(yīng)用場(chǎng)景

2.2 技術(shù)架構(gòu)

2.2.1 安全接入平臺(tái)

移動(dòng)終端操作記錄由外網(wǎng)傳入內(nèi)網(wǎng)服務(wù)器，以及通過移動(dòng)終端從內(nèi)網(wǎng)獲取數(shù)據(jù)，均需要使用安全接入平臺(tái)和安全芯片。接入流程為——將加密處理過的應(yīng)用數(shù)據(jù)通過專用網(wǎng)絡(luò)發(fā)送到安全接入平臺(tái)，安全接入平臺(tái)對(duì)收到的數(shù)據(jù)做安全檢測(cè)處理后發(fā)送至電力內(nèi)網(wǎng)服務(wù)器，完成安全接入過程；從內(nèi)網(wǎng)獲取數(shù)據(jù)時(shí)以同樣的操作方式將數(shù)據(jù)傳輸?shù)桨l(fā)送請(qǐng)求的終端。

2.2.2 雙向認(rèn)證

（1）服務(wù)器與移動(dòng)應(yīng)用客戶端實(shí)現(xiàn)雙向認(rèn)證

移動(dòng)終端應(yīng)用獲取服務(wù)器時(shí)間作為初始變量，使用協(xié)商的密鑰和算法對(duì)服務(wù)器時(shí)間進(jìn)行加密，將加密結(jié)果連同時(shí)間參數(shù)通過接口上傳至服務(wù)器端；服務(wù)器端接收后，首先解析數(shù)據(jù)并判斷時(shí)間參數(shù)，使用相同的密鑰和算法加密，并對(duì)比加密后的數(shù)據(jù)，如果比較成功，則對(duì)客戶端驗(yàn)證成功；服務(wù)器比對(duì)后，使用相同的機(jī)制向移動(dòng)客戶端發(fā)送響應(yīng)數(shù)據(jù)，包含服務(wù)器本地時(shí)間參數(shù)和加密后的數(shù)據(jù)，移動(dòng)客戶端使用相同的機(jī)制對(duì)比，對(duì)比成功，則雙向認(rèn)證結(jié)束，完成服務(wù)器端與客戶端的雙向合法性認(rèn)證。

（2）電子標(biāo)簽與移動(dòng)應(yīng)用客戶端實(shí)現(xiàn)雙向認(rèn)證

對(duì)編碼后的電子標(biāo)簽加密寫入標(biāo)簽特定區(qū)域；使用移動(dòng)終端掃描電子標(biāo)簽或者二維碼，將密文數(shù)據(jù)傳給移動(dòng)客戶端，移動(dòng)客戶端使用約定密鑰解密，生成明文；在保證密鑰安全的前提下，可以保證標(biāo)簽和移動(dòng)客戶端的雙向可信性。

安全接入平臺(tái)以及系統(tǒng)前后端架構(gòu)如圖2 所示。

圖2 基于安全接入平臺(tái)的架構(gòu)

3 業(yè)務(wù)流程

3.1 業(yè)務(wù)參與方

該方案通過移動(dòng)終端自帶的硬件模塊采集數(shù)據(jù)后提交后端系統(tǒng)處理， 利用信息化手段輔助記錄管理，達(dá)到提升管理信息化水平的目的。 與安全工器具管理和使用有關(guān)的部門可以通過該管理系統(tǒng)實(shí)現(xiàn)相應(yīng)的操作。

（1）市公司管理員通過PC 端連接內(nèi)網(wǎng)實(shí)現(xiàn)生成條碼、入庫(kù)、下?lián)芎头颠€等操作。

（2）安全檢測(cè)實(shí)驗(yàn)室對(duì)采購(gòu)的工器具做檢驗(yàn)，同時(shí)對(duì)使用過程中損壞的工器具進(jìn)行報(bào)廢操作，工器具檢測(cè)、報(bào)廢、借出、續(xù)借和歸還通過移動(dòng)終端連接外網(wǎng)實(shí)現(xiàn)。

（3）供電所使用移動(dòng)終端記錄借出、續(xù)借和歸還操作，并將記錄結(jié)果保存。

（4）安全質(zhì)量部、供電所、安全檢測(cè)實(shí)驗(yàn)室等可以實(shí)現(xiàn)隨時(shí)隨地查詢各個(gè)工器具狀態(tài)。

3.2 使用流程

（1）對(duì)采購(gòu)來的安全工器具檢測(cè)無異常后生成條碼號(hào)，做到一物一碼、物碼對(duì)應(yīng)。

（2）通過掃描條碼號(hào)，將工器具基本信息和條碼號(hào)對(duì)應(yīng)記錄入庫(kù)。

（3）通過掃描超高頻電子標(biāo)簽獲得對(duì)應(yīng)的條碼號(hào)，獲知工器具的基本信息，根據(jù)實(shí)際操作流程實(shí)現(xiàn)安全工器具的入庫(kù)、出庫(kù)、借出、歸還、檢測(cè)、報(bào)廢、查詢等流轉(zhuǎn)操作。

（4）通過對(duì)工器具庫(kù)管和外借等壽命周期的每個(gè)狀態(tài)進(jìn)行記錄，做到隨時(shí)跟蹤查詢，隨時(shí)監(jiān)控狀態(tài)。

借出后的工器具可以隨時(shí)查詢和監(jiān)控其狀態(tài)，隨時(shí)查詢物品的庫(kù)存狀況、借出數(shù)量、報(bào)廢情況等，從而達(dá)到簡(jiǎn)化業(yè)務(wù)運(yùn)作流程、提高效率的目的，此方案既可減少對(duì)資源的浪費(fèi)又可避免工器具丟失，同時(shí)對(duì)安全工器具的采購(gòu)計(jì)劃提供數(shù)據(jù)支持。 業(yè)務(wù)流程如圖3所示。

圖3 業(yè)務(wù)流程

4 實(shí)施部署

對(duì)于應(yīng)用服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行雙機(jī)熱備、一主一備、定期導(dǎo)出數(shù)據(jù)。 其中一臺(tái)服務(wù)器作為負(fù)載均衡服務(wù)器負(fù)責(zé)流量均衡。 對(duì)于突發(fā)宕機(jī)的情況，分配至另外一臺(tái)服務(wù)器進(jìn)行響應(yīng)。部署的節(jié)點(diǎn)資源配置如表1 所示。

表1 部署配置

5 安全防護(hù)設(shè)計(jì)

5.1 數(shù)據(jù)安全性保護(hù)

移動(dòng)端與服務(wù)器之間通過數(shù)字信封保證數(shù)據(jù)安全性。 數(shù)據(jù)采用安全芯片支持的國(guó)密SM4 算法加密，加密密鑰由安全芯片支持的國(guó)密SM2 算法加密。 通過對(duì)稱密碼算法保證了數(shù)據(jù)加密的高效，通過非對(duì)稱密碼算法保證密鑰的安全傳遞。

5.2 操作安全監(jiān)控

操作安全監(jiān)控管理主要內(nèi)容有：監(jiān)控網(wǎng)絡(luò)運(yùn)行狀態(tài)，記錄網(wǎng)絡(luò)設(shè)備的配置及相關(guān)信息的變更；監(jiān)控用戶的登錄信息，及時(shí)排除非法IP 網(wǎng)段的攻擊并記錄；跟蹤登錄用戶的操作并記錄，記錄用戶及終端的通信過程相關(guān)信息，結(jié)合警告日志等提示工具，定期提交或者導(dǎo)出網(wǎng)絡(luò)系統(tǒng)運(yùn)行狀況分析報(bào)告。

5.3 防護(hù)策略

（1）身份認(rèn)證。設(shè)置密碼的存儲(chǔ)和傳輸安全；保護(hù)身份驗(yàn)證Cookie；同一用戶同時(shí)只允許登錄一個(gè)。

（2）授權(quán)。設(shè)計(jì)資源訪問控制方案，驗(yàn)證用戶訪問權(quán)限；限制用戶對(duì)系統(tǒng)級(jí)資源的訪問；設(shè)計(jì)統(tǒng)一的訪問控制機(jī)制。

（3）輸入輸出驗(yàn)證。 設(shè)計(jì)驗(yàn)證所有來源不在可信范圍之內(nèi)的輸入數(shù)據(jù)；在服務(wù)器端和客戶端都應(yīng)進(jìn)行輸入驗(yàn)證； 對(duì)輸入內(nèi)容進(jìn)行規(guī)范化處理后再進(jìn)行驗(yàn)證，如文件路徑、URL 地址等，需要規(guī)范化為標(biāo)準(zhǔn)的格式后再進(jìn)行驗(yàn)證； 應(yīng)當(dāng)從服務(wù)器端提取關(guān)鍵參數(shù)，禁止從客戶端輸入。

（4）配置管理。確保配置存儲(chǔ)的安全；使用最少特權(quán)帳戶；避免應(yīng)用程序調(diào)用支撐系統(tǒng)資源；單獨(dú)分配管理特權(quán)。

（5）參數(shù)操作。 不信任HTTP 頭信息；確保用戶沒有繞過檢查；驗(yàn)證從客戶端發(fā)送的所有數(shù)據(jù)。

（6）異常管理。使用結(jié)構(gòu)化異常處理機(jī)制；使用通用錯(cuò)誤信息；程序發(fā)生異常時(shí)，在日志中記錄詳細(xì)的錯(cuò)誤消息。

（7）審核和日志。 日志記錄事件應(yīng)至少包含訪問控制信息，用戶對(duì)數(shù)據(jù)的異常操作事件，并監(jiān)控異常操作事件。

6 結(jié)語

目前，各行業(yè)、各使用場(chǎng)景投入了越來越多的移動(dòng)設(shè)備，鑒于計(jì)算機(jī)計(jì)算能力不斷增強(qiáng)，密鑰破解手段更多樣化，安全性問題逐漸成為了一個(gè)亟待加強(qiáng)防范的問題。 結(jié)合本文中的使用場(chǎng)景，可以發(fā)現(xiàn)國(guó)產(chǎn)密碼算法安全芯片在身份認(rèn)證、通信安全性可靠性以及數(shù)字簽名三個(gè)方面有較好的使用體驗(yàn)和優(yōu)勢(shì)。

系統(tǒng)接入安全平臺(tái)后，上行數(shù)據(jù)和下行數(shù)據(jù)均需要經(jīng)過額外的網(wǎng)關(guān)和服務(wù)器處理，因此，延遲需要重點(diǎn)關(guān)注， 在實(shí)際場(chǎng)景中測(cè)試顯示，90%的響應(yīng)時(shí)間控制在5 s 以內(nèi)，在符合用戶需求的前提下，不影響使用體驗(yàn)。

對(duì)安全芯片支持的國(guó)密算法進(jìn)行了驗(yàn)證，其功能性能處于較為理想的水平。 對(duì)1024 字節(jié)分組數(shù)據(jù)測(cè)試結(jié)果顯示，SM4 算法加解密處理速度達(dá)到3 Mb/s，SM2 算法加解密速度達(dá)到約300 kb/s，均高于標(biāo)準(zhǔn)參考值，加解密速度滿足類似場(chǎng)景中的數(shù)據(jù)處理需求。

對(duì)數(shù)據(jù)安全方案進(jìn)行了驗(yàn)證，該安全方案使用的SM2、SM4 算法，組合運(yùn)用可以很好地完成身份認(rèn)證、完整性驗(yàn)證以及傳輸數(shù)據(jù)的安全。數(shù)據(jù)采用安全芯片支持的國(guó)密SM4 算法加密， 加密密鑰由安全芯片支持的國(guó)密SM2 算法加密。 通過對(duì)稱密碼算法保證了數(shù)據(jù)加密的高效，通過非對(duì)稱密碼算法保證密鑰的安全傳遞。

研究的重點(diǎn)是安全芯片及密碼算法在數(shù)據(jù)安全方面所起到的作用，而對(duì)于數(shù)據(jù)流特別大、接入移動(dòng)終端數(shù)量太多時(shí)的性能則只做了有限的驗(yàn)證，在未來的研究中需要進(jìn)一步深入探索。