标准规范下载简介
Q/GDW 12112-2021 电力物联网密码应用规范.pdf简介:
Q/GDW 12112-2021 《电力物联网密码应用规范》是由中国电力企业联合会发布的一项技术规范。这项规范主要针对电力物联网(Power Internet of Things, PIoT)的密码应用进行了详细的规定,密码在这里指的是用于保护电力系统信息安全的技术手段,包括加密、解密、身份认证、访问控制等。
该规范的目标是确保电力物联网中的数据安全和通信安全,防止数据泄露、篡改和非法访问。它涵盖了密码系统的选型、密码策略、密码管理、密码技术和实施等方面,提供了一套完整的密码应用指南,以适应电力物联网复杂多样的应用场景和安全需求。
通过实施该规范,电力物联网系统可以更好地保障数据的完整性、机密性和可用性,提升整体安全防护能力,保障电力系统的稳定运行和信息的准确传输。
Q/GDW 12112-2021 电力物联网密码应用规范.pdf部分内容预览:
GB/T25069、GM/Z0001和Q/GDW 3.1 机密性confidentiality 保证信息不被泄露给非授权的个人、进程等实体的性质。 3.2 数损空数性dainataaeitw
数据完整性data integrity
[QZGDW 12112202]
基于密钥管理系统和数字证书管理系统GB∕T 15064.6-1994 显象管石墨乳试验方法 耐湿性试验方法,对外提供身份鉴别、数据加密、数字签名、 电子签章、时间戳等密码服务。
密码基础设施cryptographicinfrastructure 一个由硬件、软件、人员、策略和规程组成,能够实现密码运算、密码协议和密钥管理等功能的集 合。包含密钥管理系统、数字证书管理系统和统一密码服务平台。 3.11 可信根rootoftrust 电力物联网中的设备及其系统环境中实现可信计算的信任基点,由硬件、固件和软件组成的安全单 元。一个可信计算体系须包括三个可信根,即可信度量根(RootofTrustforMeasurement,RTM)、 可信存储根(RootofTrustofStorage,RTS)、可信报告根(RootofTrustforReporting,RTR)。 3.12 密钥恢复keyrecovery
基础设施cryptographicinfrastructure 由硬件、软件、人员、策略和规程组成,能够实现密码运算、密码协议和密钥管理等功能的集 密钥管理系统、数字证书管理系统和统一密码服务平台。
Q/GDW 12112202
将归档或备份的密钥恢复到可用状态的过程,通常包括用户密钥恢复和司法密钥恢复。
下列缩略语适用于本文件。 CA:证书颁发机构(CertificateAuthority) VPN:虚拟专用网络(VirtualPrivateNetwork)
电力物联网包括感知层、网络层、平台层、 密码应用贯穿各层,通过对密钥和数字计 统一管理,对各层提出分类分级的密码防护策略,形成覆盖电力物联网全场景的密码应用体系, 体身份真实性、重要数据的机密性和完整性、操作行为的不可否认性
电力物联网密码应用应至少满足基本要求;对安全性要求较高,或一且遭受破坏可能导致严重 系统,应满足增强要求。本标准中的数据安全分级保护要求参照Q/GDW12111
6. 2. 1 算法配用
密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,其中包括: a) 采用对称加密保障机密性,应采用SM1算法、SM4或SM7算法,SM4算法应遵循GB/T32907; b 采用非对称加密保障机密性,应采用SM2算法或SM9算法,SM2算法应遵循GB/T32918和GB/T 35276,SM9算法应遵循GM/T0044; 采用对称算法保障完整性,应采用SM1算法、SM4或SM7算法; d 采用非对称算法保障完整性,应采用SM2算法实现数字签名; ? 采用密码杂凑算法保障完整性,应采用SM3算法,SM3算法应遵循GB/T32905; 采用对称算法实现身份认证,应采用SM1算法、SM4算法或SM7算法; 多 采用数字签名机制实现身份认证,应采用SM2算法或SM9算法; 采用密码校验函数的机制实现身份认证,应采用SM3算法; 1 抗抵赖保护,应采用数字签名或标识密码实现,数字签名应采用SM2算法; 电子标签宜采用SM7算法实现轻量级加密。
密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,其中包括: 采用对称加密保障机密性,应采用SM1算法、SM4或SM7算法,SM4算法应遵循GB/T32907; 采用非对称加密保障机密性,应采用SM2算法或SM9算法,SM2算法应遵循GB/T32918和GB/T 35276,SM9算法应遵循GM/T0044; 采用对称算法保障完整性,应采用SM1算法、SM4或SM7算法; 1 采用非对称算法保障完整性,应采用SM2算法实现数字签名; 采用密码杂算法保障完整性,应采用SM3算法,SM3算法应遵循GB/T32905 采用对称算法实现身份认证,应采用SM1算法、SM4算法或SM7算法; 采用数字签名机制实现身份认证,应采用SM2算法或SM9算法; 采用密码校验函数的机制实现身份认证,应采用SM3算法; 抗抵赖保护,应采用数字签名或标识密码实现,数字签名应采用SM2算法; 电子标签宜采用SM7算法实现轻量级加密。
6. 2. 2 密码协议
密码产品应满足如下要求: a)应通过商用密码认证机构认证; b)在功能上应满足相关产品标准,自身安全性符合GB/T37092相应安全等级的要求
Q/GDW121122021
密码服务应通过商用密码主管部门所要求的认证
密钥管理应满足如下要求: a)应由符合GB/T37092二级及以上安全要求的密码模块产生,或由公司统一的密码基础设施产 生; 应采用安全通道、离线方式或其它密钥分发机制进行分发; C 应根据业务需求对密钥进行分类分级管理; d 密钥生命周期管理参见附录A。
6.2.6数字证书管理
数字证书使用应满足如下要求: a 各实体的数字证书应由公司统一的密码基础设施中的数字证书管理系统签发,证书格式应符合 GB/T20518; b 证书签发系统应遵循GB/T25056,具备数字证书签发、证书全生命周期管理和证书状态发布 功能; C 使用数字证书的系统、边缘物联代理、物联网终端等,应对系统中数字证书进行启动阶段检查, 检查内容包括自身证书和信任的CA证书的有效性,检查过程应遵循GB/T16264.8; d 使用数字证书的系统、边缘物联代理、物联网终端等,应对系统中数字证书进行周期性检查, 检查内容包括自身数字证书、信任的CA证书的有效性,检查过程应遵循GB/T16264.8 e) 系统和终端使用数字证书来进行身份鉴别、通信完整性保护、抗抵赖时,应对数字证书的有效 性进行验证,验证内容包括证书链、证书有效期等,验证过程应遵循GB/T16264.8; 验证方宜通过CA发布的证书状态检查该证书是否被吊销:
数字证书使用应满足如下要求: a 各实体的数字证书应由公司统一的密码基础设施中的数字证书管理系统签发,证书格式应符合 GB/T20518; b 证书签发系统应遵循GB/T25056,具备数字证书签发、证书全生命周期管理和证书状态发布 功能; C 使用数字证书的系统、边缘物联代理、物联网终端等,应对系统中数字证书进行启动阶段检查, 检查内容包括自身证书和信任的CA证书的有效性,检查过程应遵循GB/T16264.8; d 使用数字证书的系统、边缘物联代理、物联网终端等,应对系统中数字证书进行周期性检查, 检查内容包括自身数字证书、信任的CA证书的有效性,检查过程应遵循GB/T16264.8 e) 系统和终端使用数字证书来进行身份鉴别、通信完整性保护、抗抵赖时,应对数字证书的有效 性进行验证,验证内容包括证书链、证书有效期等,验证过程应遵循GB/T16264.8; 验证方宜通过CA发布的证书状态检查该证书是否被吊销: 验证方应支持多个根证书,在系统包含多个根证书时,应支持建立止确的验证路径
6. 2. 7 身份鉴别
实体间身份鉴别应遵循GB/T15843
实体间身份鉴别应遵循GB/T15843
NB/T 25072-2017标准下载7.1. 1 基本要求
边缘物联代理密码应用应满足如下要求: 应通过密码技术对标识数据、配置数据、鉴别数据等进行完整性保护,可采用的技术包括密码 杂凑、数字签名和数据加密等; b 宜支持在加载时对其引导程序、系统程序、重要配置的完整性进行校验; c)宜采用基于密码的鉴别机制对所接入的物联网终端的身份进行识别和验证; d)宜采用基于密码的鉴别机制向物联网终端证明自身身份: e)应采用基于密码的鉴别机制与平台进行双向身份认证; f)应采用基于密码的鉴别机制对操作员和访问者进行身份鉴别:
Q/GDW 12112202
名 在与物联网终端通信时,应采用与对端一致的方式,保证与物联网终端通信过程中所传输的数 据完整性、可用性和机密性; 应采用密码技术,保证与平台通信过程中所传输的数据的完整性、可用性和机密性: 应采用密码技术,保证与平台通信过程中所传输的数据的机密性,应支持原发数据机密性保护 和安全通道两种方式; 应采用密码技术,对所保存的业务数据进行完整性、可用性和机密性保护; 应采用密码技术,对本地不同应用的业务数据进行安全隔离; 应采用密码技术,对所接收到的控制和运维指令进行完整性验证和来源确认; 宜支持对系统、程序或重要配置参数的远程更新,更新时应采用密码技术,例如数据加密、数 字签名等方式对更新数据的来源进行确认,支持对数据包的完整性进行校验,边缘物联代理可 根据来源确认和完整性验证结果采取必要的处置措施; 应在下线或报废时对密钥进行必要的处理,如销毁密钥、在相关系统中标记密钥已失效; 应采用符合GB/T37092二级及以上安全要求的密码模块或通过国家密码管理部门核准的密码 产品实现密码运算和密钥管理
DB32∕T 4068-2021 城镇道路开挖、回填、恢复快速施工及验收规程7.1. 2 增强要求
应在满足基本要求的基础上,满足如下要求: a)采用密码技术支持在加载时对其引导程序、系统程序、重要配置的完整性进行校验; b)支持对系统、程序或重要配置参数的远程更新,更新时应采用密码技术例如数据加密、数字签 名等方式对更新数据的来源进行确认,支持对数据包的完整性进行校验,边缘物联代理可根据 来源确认和完整性验证结果采取必要的处置措施
感知层物联网终端中的智能终端应遵循与边缘物联代理一致的密码应用基本要求;非智能终端中除 分无密码能力、所保护资产价值低且面对的安全威胁较小的终端外,其余应满足如下要求: a 宜采用基于密码的身份鉴别机制,向通信对端证明自身身份,可采用的方式包括: 1)基于轻量级密码算法的鉴别: 2) 基于密码杂凑的鉴别; 3 基于对称密码的鉴别; 4 基于非对称密码的鉴别。 b) 应对所传输的数据进行完整性、可用性保护,可采用的技术包括密码杂凑、轻量级密码算法 数字签名、消息认证码等: C 电子标签应支持基于密码的身份鉴别机制,应至少支持SM7密码算法; 如终端涉及密码机制和密钥,应在终端下线或报废时对终端相关密钥进行必要的处理,如销毁 密钥、在相关系统中标记密钥已失效。