标准规范下载简介
T/FJAS 020.1-2023 城乡供水一体化数字水务 第1部分:数据传输安全要求.pdf简介:
T/FJAS 020.1-2023 城乡供水一体化数字水务 第1部分:数据传输安全要求.pdf部分内容预览:
福建省标准化协会发布
福建省标准化协会发布
T/FJAS 020.1—2023
言 围 范性引用文件 语和定义 号和缩略语 全技术框架 全认证流程 能终端设备安全要求 7.1安全单元要求 7.1.1一般要求 7.1.2唯一标识, 7.1.3安全存储要求 7.1.4算法性能要求 7.2唯一身份标识 7.3生命周期管理, 7.4敏感数据保密 . 7.5时间同步要求..... 7.6关键操作权限认证, 7.7物理接口安全 7.8安全通信要求 7.8.1AT指令识别 7.8.2指令防重放, 7.8.3通信要求 7.8.4证书发行 台安全要求. 8.1证书存储.. 8.2安全通信要求 8.3日志审计, 8.4性能指标, 一证书管理系统安全要求 9.1功能要求, 9.2管理员要求 9.3性能指标 考文献
JIS A8510-2010 路面清理机械用安全性要求T/FJAS 020.1—2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 定起草。 本文件是T/FJAS020《城乡供水一体化数字水务》的第1部分。T/FJAS020已经发布了以下部分: 一一第1部分:数据传输安全要求。 一一第2部分:评价规范。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由福建省水投数字科技有限公司提出。 本文件由福建省标准化协会归口。 本文件起草单位:福建省水投数字科技有限公司、福建省水利投资开发集团有限公司、福建省水务 发展集团有限公司、福建中闽水务投资集团有限公司、福州物联网开放实验室有限公司、福建省洪水预 警报中心、福建省计量科学研究院、福建省水利水电科学研究院。 本文件主要起草人:郑文勇、吴永亮、陈斌、刘非男、张旭斌、涂志基、张天辰、戴枫勇、曾力、 王博、唐龙、韩胜、蔡丽枝、赖桂春、阮伟芳、张旭、林玮泽、蔡贵城、蔡文静、周陈芬。
T/FJAS 020.1—2023
为引导科学、合理、高效地开展城乡供水一体化数字水务建设,提高城乡供水一体化的数字化建设 与运行水平,制定T/FJAS020《城乡供水一体化数字水务》,旨在为城乡供水一体化规范数字水务建 设,目前拟由2个部分构成: 一一第1部分:数据传输安全要求。目的在于为数字水务数据传输安全的技术框架的组成部分规定 安全要求。 一一第2部分:评价规范。目的在于为数字水务评价提供基本规定、评价指标与评分、评价规则。 城乡供水一体化数字水务建设及应用水平的综合评价除应符合本系列文件外,还应符合国家和行业 现行有关标准的规定。
T/FJAS 020.1—2023
本文件规定了城乡供水一体化水务数据传输的安全技术框架、安全认证流程、智能终端设备安全要 求、平台安全要求及统一证书管理系统安全要求。其中,智能终端设备限定于低数据量业务的终端。 本文件适用于数字水务系统水务数据传输安全的规划、建设及管理等,
GB/T25069界定的以及下列术语和定义适用于本文件
AT指令ATCommang
AT指令ATCommanc
应用于终端设备与计算机应用之间的连接与通信的指令。AT即Attention
下列符号和缩略语适用于本文件。 MCU:微控制单元(MicrocontrollerUnit) X.509V3:RFC5280定义的一种公钥证书的格式标准 OCSP:在线证书状态协议(Online Certificate Status Protocol)
下列符号和缩略语适用于本文件。 MCU:微控制单元(MicrocontrollerUnit) X.509V3:RFC5280定义的一种公钥证书的格式标准 OCSP:在线证书状态协议(OnlineCertificateStatusProtocol)
PKI:公钥基础设施(Public KeyInfrastructure) RA:注册机构(RegistrationAuthority)
T/FJAS 020.1—2023
数字水务数据传输安全认证流程示意图如图2所示。
图1数字水务数据传输安全技术框架示意图
流程说明如下: 1) 1E 统一证书管理系统向平台进行证书发行操作; 2) 统一证书管理系统向智能终端设备进行证书发行操作; 3) 智能终端设备接入平台时,由平台负责对终端的接入进行身份认证; 4) 1 平台接收到终端的身份信息后,向统一证书管理系统发起证书在线验证; 5) 1 连接认证流程结束后,终端与平台间进行密文传输。
1) 统一证书管理系统向平台进行证书发行操作; = 统一证书管理系统向智能终端设备进行证书发行操作; B) 智能终端设备接入平台时,由平台负责对终端的接入进行身份认证; 一 平台接收到终端的身份信息后,向统一证书管理系统发起证书在线验证; 5) 连接认证流程结束后,终端与平台间进行密文传输。
T/FJAS 020.1—2023
T/FJAS 020.1—2023
图2数字水务数据传输安全认证流程示意图
初始化时应设置唯一设备可信标识,标识一旦写
7.1.3安全存储要求
安全单元应具备存储证书、密钥、关键参数、数据及文件的能力,具体要求如下: a)存储空间大于200KB; b)在25℃的工作温度下,最小擦写次数不小于10万次; c)在25℃的工作温度下,最短数据保持时间不小于10年; d)支持多种文件类型:透明二进制文件、记录文件、密钥文件; e)读写性能: ·双字读/字节读时间<35ns:
安全单元应具备存储证书、密钥、关键参数、数据及文件的能力,具体要求如下: a)存储空间大于200KB; b)在25℃的工作温度下,最小擦写次数不小于10万次; c)在25℃的工作温度下,最短数据保持时间不小于10年; d)支持多种文件类型:透明二进制文件、记录文件、密钥文件; e)读写性能: ·双字读/字节读时间<35ns:
T/FJAS 020.1—2023
双字写/字节写时间<30uS; 页写时间<2ms(1次写加校验); 页擦除时间<4ms(1次擦除加校验); 自毁时间<20ms。
双字写/字节写时间<30ⅡS; 页写时间<2ms(1次写加校验); 页擦除时间<4ms(1次擦除加校验); 自毁时间<20mS。
7.1.4算法性能要求
安全单元应支持国家密码管理部门核准的密码算法,支持真随机数产生,支持算法性能要求如下: a)SM1/SM4加解密,速率不低于10Mb/秒; b)SM2加密,速率不低于50次/秒; c)SM2解密,速率不低于50次/秒; d)SM2签名,速率不低于50次/秒; e)SM2验签,速率不低于50次/秒。
智能终端设备宜具有“广内模式”和“出厂模式”两种生命周期状态。生命周期状态应存储在安全 单元中,由安全单元提供专用指令进行修改。 在“厂内模式”下,设备生产厂商具有权限明文修改设备内的关键参数、标识信息等数据,并有权 限将设备生命周期状态修改为“出厂模式”。 在“出厂模式”下,需要有水务企业管理系统签名的指令才能将设备的生命周期状态修改回“厂内 模式”
并更新智能终端设备内部存储时间参数的能
7.6关键操作权限认证
智能终端设备的关键参数应存储在安全单元的内部安全存储区中,经安全单元认证修改指令后,由 安全单元执行修改操作。当认证失败时,安全单元应拒绝对关键参数的修改动作。 关键参数只接受指定机构认证或签名的操作指令。 用于智能终端设备现场维护的手持终端在没有权限认证的情况下,仅能读取设备内的数据。
7.8.1AT指令识别
安全单元采用前置化部署方式,支持识别智能终端设备内与通信模组交互的AT指令。对上下行报
文AT指令,进行安全处理传输;对其余配置类AT指令,进行透传。
T/FJAS 020.1—2023
通过在协议中设计报文计数,以及使用周期更新的会话密钥的机制,智能终端设备能够识别并过滤 重放的报文,有效避免重放攻击。 报文计数(防重因子)应由安全单元进行检查
安全单元在智能终端设备与平台进行通信前,应做好证书发行工作,具体如下: a)安全单元自生成公私钥,统一证书管理系统对其进行证书发行操作后将智能终端设备与平台的 公钥证书一并发送给安全单元进行存储。安全单元具备对公钥证书进行识别和解析的能力,确保能与平 台进行安全通信。 2 b)未发行过证书的安全单元,可由人工操作系统平台对安全单元进行证书发行。证书发行成功后, 系统平台显示证书发行成功提示,安全单元应关闭证书接收功能,
具备自生成公私钥的能力,公钥证书可采用手动申请、线下导入的方式,也可支持与统一证书管理 系统在线自动同步功能。 具备用于安全存储所有智能终端设备的公钥证书信息的数据库Q/SY 06515.2-2016 炼油化工工程电气技术规范 第2部分:变电站微机自动化系统.pdf,智能终端设备的公钥证书信息从统 证书管理系统下载后通过线下的方式导入到平台中,用于通信过程中的智能终端设备身份验证。 断电重启后应能继续使用之前协商好的会话密钥。
对平台的性能要求具体如下: a)支持最大安全终端连接数量不小于100万,具备扩容能力; b)支持最大安全并发连接数量不低于3000次连接/秒; c)支持临时会话密钥生成速度不低于1000次/秒; d)支持智能终端设备双向鉴权/认证速度不低于2000次/秒,
统一证书管理系统安全要求
T/FJAS 020.1—2023
需实现证书申请、证书审核、证书管理、人员权限管理、业务与日志的安全审计、策略配置等一系 列功能。证书格式符合X.509V3证书标准,证书模板采用签名证书。 具备对智能终端设备以及平台签发公钥证书的能力。 发行操作应具备日志记录,
对统一证书管理系统的性能要求具体如下: a)支持远程证书安全发行; b)发证能力,支持500万级数字证书; c)并行处理能力GB/T 50445-2019 村庄整治技术标准(完整正版、清晰无水印),支持最大配置300个并发线程; d)0CSP响应时间应小于0.2秒; e)签发时间应小于4秒。
T/FJAS 020.1—2023