标准规范下载简介：

内容预览由机器从pdf转换为word，准确率92%以上，供参考

Q／GDW 12179-2021 智能物联电能表安全防护技术规范.pdf

4.3.2.2引导程序安全

Q/GDW12179—2021

电能表引导程序安全应满足如下要求： a) 在开发过程中应对代码进行安全审查； 不可升级，应用前需经过严格检测并备案； 引导操作系统完成启动后应立即结束运行； 应仅具备实现操作系统安装、启动和升级所必需的功能； 引导操作系统异常情况下，应进行必要的操作系统恢复操作。

SN/T 0471-2010 进出口涤纶加工丝染色均匀度检验方法夏3. 2. 3操作系统安全

电能表操作系统安全应满足如下要求： a）在开发过程中应对代码进行安全审查； 在安装前应对操作系统程序进行合法性检查，若操作系统程序非法则禁止安装； 在启动前引导程序应对存储器内的操作系统程序进行合法性检查，若操作系统程序被篡改，则 对操作系统恢复后重新启动； 在运行时应定期对操作系统程序合法性检查，若操作系统被纂改应立即告警并终正所有业务应 用程序运行； e 在升级时应先对升级程序和升级命令的合法性进行检查，若升级程序或升级命令非法应拒绝执 行系统升级操作。应支持广播、组播方式下发操作系统升级包； f 对应用程序访问硬件资源、文件的权限进行控制，应拒绝应用程序访问未授权的硬件资源、文 件并记录日志； 应具备记录应用程序的关键操作日志的功能，便于进行审计： 操作系统应自主安全可控，应仅具备线程管理、进程管理、进程间通信、线程间通信、内存保 护、设备权限管理、文件管理等功能，不应具备网络协议栈及用户管理等功能。

4.3.2.4应用程序安全

电能表应用程序安全应满足如下要求： a）在开发过程中应对代码进行安全审查； b）在停止、卸载时应先对操作指令进行合法性检查，若操作指令非法应拒绝执行； C 在升级时应先对升级程序和升级指令的合法性进行检查，若非法应拒绝程序升级。应支持广播、 组播等方式下发程序升级包； d） 在安装时应对应用程序进行合法性检查，若非法应拒绝安装； e 应对应用程序访问ESAM硬件接口的权限进行控制，应拒绝业务应用程序执行非授权的ESAM 相关操作； 应对外部设备发送的数据顺进行分析，并进行数据项过滤，非法数据应不做处理： 应记录应用程序的关键操作日志，便于进行审计，

4.3.3扩展模组软件安全要求

电能表扩展模组软件安全应满足如下要求： a）扩展模组1型应集成硬件ESAM模块，扩展模组2型应集成安全软算法模块； 6 安全软算法模块应内嵌国密SM4算法； 安全软算法模块应具备数据加解密、数据完整性校验、密钥初始化、密钥衍生运算、密钥安全 存储等功能： d 安全软算法模块中密钥应来源于国家电网有限公司用电信息密码基础设施。

4.4计量模组业务安全

Q/GDW121792021

身份认证功能主要实现计量模组与外部设备及管理模组的认证，具体要求如下： a 身份认证应通过内嵌的安全模块实现，应支持多个不同种类外部设备同时与电能表进行身份认 证； b） 外部设备与电能表计量模组进行数据交换前应先进行身份认证，认证通过后且在认证有效期内 方可进行业务数据交换： 身份认证应具有主动和被动失效机制，在身份认证失效后应拒绝与电能表对应模组进行业务数 据交换； d 身份认证过程中应能识别外部设备的身份类型与权限类型等信息，认证通过后应只能执行与外 部设备的身份和权限相匹配的操作； 身份认证采用对称密码技术进行实现，认证流程应符合附录A中A.2.1的要求

计量模组应具有安全传输功能，具体要求如下： a）当外部设备访问电能表计量模组时，电能表计量模组应支持明文+MAC、密文、密文+MAC、 明文+随机数+MAC的安全传输方式。外部设备应先验证MAC数据的有效性，验证通过方可 进行后续操作，防止数据被纂改、伪造： b 外部设备对电能表计量模组访问时，应按照计量模组的默认安全模式参数执行； C 计量模组安全模式参数不可设置； ESAM故障时，仅支持数据抄读，采用明文+随机数方式抄读时，返回明文+MAC，MAC为4 字节的全FF； ESAM故障时，建立应用连接，应用连接请求认证的结果返回ESAM通信故障

4.4.3数据回抄功能

计量模组数据回抄功能应满足如下要求： a）计量模组回抄数据应带MAC返回： b）计量模组应支持抄读ESAM模块中的所有文件和数据。

4.4.6参数更新功能

Q/GDW12179—2021

计量模组应支持远程参数更新功能。 具体安求如下： a 外部设备通过上行通信模组、扩展模组或蓝牙通信接口对电表远程更新参数时，应满足应用连 接建立并在会话时效剩余时间内： 修改表号时，电能表内所有密钥版本均应为测试密钥状态； C）参数更新应采用安全传输服务。

4. 4. 7文件传输

计量模组应具有软件比对功能，执行文件传输操作应满足的条件： a）加密保护比对数据的密钥应采用比对因子对安全模块内的密钥进行分散； b）比对操作时应采用绝对地址，分多包分别进行； c）计量模组支持采用CPU个数应少于等于8个； 允许计量模组在程序存储器中最多开辟两个区域存储默认参数； 计量模组生产时应将软件备案号固化到电能表中，并能通过通信方式读出： 软件比对时传输文件类型应为二进制文件，应采用DL/T698.45协议进行传输，不应采用FTP 等协议进行传输

4. 4. 8 密钥更新

4.4.8.1操作条件

计量模组应具有密钥更新功能，执行密钥更新操作应满足的条件： a 通过上行通信模组、扩展模组或蓝牙通信接口远程更新时，应满足应用连接建立并在会话时效 剩余时间内； 6 对称密钥版本为16字节00，表示当前在密钥版本为测试密钥版本下，可下装成密钥版本为正 式版本；对称密钥版本为非00，表示当前在密钥版本为正式密钥版本状态下，可恢复成测试 密钥版本： 电能表发给安全芯片应采用一顿命令； d 电能表应保证同时只有一个通道可进行密钥更新，

4.4.8.2操作内容

Q/GDW121792021

4.5管理模组业务安全

应具有控制各个业务程序使用加解密权限的功能，具体要求如下： a 启动业务程序后，应将该程序的数据操作权限信息注册到的信息管理表中； b）应验证报文中数据操作权限信息与信息管理列表是否匹配，如不匹配则返回错误： ）进行数据加解密计算时，应验证业务程序的权限信息，如不通过则返回错误信息

具有通信报文格式和功能检测的功能，具体要求如下： a）对请求报文格式进行合法性验证，若非法则丢弃； b）对请求报文功能按照协议进行检查，根据协议规定进行处理； C）对于转发的报文，应先判断报文内容是否合规，若不合规则不能进行转发，做丢弃处理。

身份认证功能主要实现各模组和外部设备彼此之间的认证，具体要求如下： a）身份认证应通过各模组内嵌的安全模块实现，应支持多个不同种类外部设备与电能表进行身份 认证； b 外部设备与电能表各模组进行数据交换前应先进行身份认证，认证通过后且在认证有效期内方 可进行业务数据交换； 电能表各模组间进行数据交换前应先进行身份认证，认证通过方可进行业务数据交换； d 身份认证应具有主动和被动失效机制，在身份认证失效后电能表对应的模组应拒绝进行业务数 据交换； e 在进行身份认证过程中应能识别外部设备的身份类型与权限类型等信息，认证通过后应只能执 行与外部设备的身份和权限相匹配的操作； 身份认证采用对称密码技术进行实现，认证流程应符合附录A中A.1.1的要求，

4.5.4恶意代码防护

管理模组应实时对电能表硬件 如内存使用率、CPU占用率、网络发送 发现异常可做日志记录、实时上报、 应用程序临时停用等处理

Q/GDW12179—2021

管理模组应具有程序检验功能，具体要求如下： 程序检验应通过管理模组内嵌的安全模块以验证数字签名的方式实现； 启动后应验证引导区中的引导程序，如验证失败应立即报警； C 业务应用程序启动前，应先对业务程序合法性和完整性验证，验证通过后方可进行业务应用程 序启动。

4. 5. 6 启动引导

管理模组应具有引导业务应用程序安全启动的功能，具体要求如下： a）管理模组上电后应按业务程序启动配置文件要求启动应用程序； b）管理模组停电时应按业务程序启动配置文件要求停止应用程序。

4.5.7应用程序安装

管理模组应具有应用程序安装功能，具体要求如下： 应先通过远程身份认证并在身份认证有效期内； b 接收的安装应用程序文件报文MAC验证应通过，且应用程序文件的签名验证通过； C）接收的安装应用程序命令报文MAC验证应通过

4.5.8应用程序卸载

管理模组应具有应用程序卸载功能，具体要求如下： a）应先通过远程身份认证并在身份认证有效期内； b）接收的卸载应用程序命令报文MAC验证应通过

4.5.9应用程序升级

管理模组应具有应用程序升级功能，具体要求如下： a）应先通过远程身份认证并在身份认证有效期内； b）接收的升级应用程序文件报文MAC验证应通过，并验证应用程序文件的签名通过： c）接收的升级应用程序命令报文MAC验证应通过，

4.5.10应用程序停止

管理模组应具有应用程序停止功能，具体要求如下： a）应先通过远程身份认证并在身份认证有效期内； b）接收的停止应用程序命令报文MAC验证应通过

4. 5. 11安全传输

管理模组应具有数据安全传输功能，具体要求如下： a 管理模组应支持明文+MAC、密文、密文+MAC、明文+随机数+MAC的安全传输方式。若安 全传输数据含有MAC时，电能表、采集设备和主站应先验证MAC数据的有效性，验证通过 方可进行后续操作，防止数据被篡改、伪造； 管理模组主动上报采用明文+随机数+MAC的方式； C ESAM故障时，支持数据上报和数据抄读，采用明文+随机数方式抄读时，返回明文+MAC， MAC为4字节的全FF；主动上报时，随机数为全FF，MAC为4字节的全FF； ESAM故障时，建立应用连接，应用连接请求认证的结果返回ESAM通信故障

管理模组应具有数据安全传输功能，具体要求如下： a 管理模组应支持明文+MAC、密文、密文+MAC、明文+随机数+MAC的安全传输方式。若室 全传输数据含有MAC时，电能表、采集设备和主站应先验证MAC数据的有效性，验证通 方可进行后续操作，防止数据被篡改、伪造； b 管理模组主动上报采用明文+随机数+MAC的方式： C ESAM故障时，支持数据上报和数据抄读，采用明文+随机数方式抄读时，返回明文+MAC， MAC为4字节的全FF；主动上报时，随机数为全FF，MAC为4字节的全FF； d ESAM故障时，建立应用连接，应用连接请求认证的结果返回ESAM通信故障，

4.5.12数据回抄功能

管理模组应具有数据回抄功能，具体要求如下： a）抄读管理模组数据时，管理模组返回数据应带MAC； b）管理模组应支持抄读ESAM模块中的所有文件和数据

Q/GDW121792021

4.5. 15主动上报功解

4.5.16参数更新功能

管理模组应支持远程参数更新功能，具体要求如下： 外部设备通过上行通信模组、扩展模组或蓝牙通信接口对电表远程更新参数时，应满足应用连 接建立并在会话时效剩余时间内： b）修改表号时，电能表内所有密钥版本均应为测试密钥版本：

4.5.17远程控制功能

管理模组应具有软件比对功能，具体要求如下： 管理模组程序进行软件比对，包括引导程序、操作系统程序及其他业务应用程序。管理模组支 持采用CPU个数应少于等于8个； b） 允许每个业务应用程序在程序存储器中开辟1个区域存储默认参数（区域空间最大为4KB） c）管理模组生产时应将软件备案号固化到管理模组中，并能通过通信方式读出。

Q/GDW121792021

a）通过上行通信模组、扩展模组或蓝牙通信接口远程 更新时，应满足应用连接建立并在会话时效 剩余时间内； b) 管理模组发给安全芯片应采用一帧命令； C 管理模组应保证同时只有一个通道可进行证书更新。主站先读取管理模组内ESAM信息，获 得管理模组内的证书序列号，判断是否需要更新； d) 证书更新应采用安全传输服务。

4. 6. 1身份认证

身份认证功能主要实现扩展模组与外部设备或管理模组的认证，具体要求如下： a）在扩展模组上电后应先进行身份认证，认证通过后且在认证有效期内方可进行业务数据 b) 身份认证应具有主动和被动失效机制，在身份认证失效后扩展模组应拒绝进行业务数据 c）身份认证采用对称密码技术进行实现，认证流程应符合附录A中A.1.4或A1.5的要求。

电能表扩展模组应具有安全传输功能，具体要求如下： 当外部设备访问扩展模组时，支持明文、明文+MAC、密文、密文+MAC、明文+随机数+MAC 传输方式。扩展模组应答采用MAC的情况下，外部设备应先验证MAC数据的有效性，验证 通过方可进行后续操作，防止数据被篡改、伪造： 外部设备对扩展模组访问时，应按照扩展模组的安全模式参数执行； c）扩展模组安全模式参数应可设置

电能表扩展模组应具有安全传输功能，具体要求如下： 当外部设备访问扩展模组时，支持明文、明文+MAC、密文、密文+MAC、明文+随机数+MAC 传输方式。扩展模组应答采用MAC的情况下，外部设备应先验证MAC数据的有效性，验证 通过方可进行后续操作，防止数据被算改、伪造： 外部设备对扩展模组访问时，应按照扩展模组的安全模式参数执行； 扩展模组安全模式参数应可设置

电能表关键数据存储，具体要求如下：

Q/GDW12179—2021 电能表不计费，不存储和显示与金额、电价、阶梯、购电相关的数据，电能表参数设置和状态 调整，均应采用管理模组ESAM加密保护； b）电能表关键参数应至少双备份，每份数据带有校验，可判断数据的正确性

电能表加解密算法，具体要求如下： 电能表使用的加密算法包括国密SM1、SM2、SM3、SM4、SM9算法； 重要数据用国密SM1算法进行加密存储于智能电表中，核心关键数据存储于ESAM中； 在电能表蓝牙通信传输方面，使用SM4算法以CBC的方式进行加密；在HPLC通信上，使用 SM1算法，支持以明文+MAC、密文、密文+MAC、明文+随机数+MAC的方式进行通讯； d 在认证方面可通过SM1、SM4计算MAC进行认证，也支持基于SM2、SM3算法认证。

电能表密钥管理，具体要求如下： 当模组采用ESAM模块时，所有密钥、证书均存储在ESAM模块中，在任何业务流程和任何 场景下不出现密钥明文，确保密钥不出ESAM模块； 密钥和证书的传递、更新均采用强加密措施，确保密钥和证书的机密性与完整性； 电能表通过ESAM模块实现密钥的协商过程，会话密钥不出ESAM模块； 当扩展模组采用ESAM模块时，密钥保护机制同电能表内部密钥保护机制。当扩展模组采用 软算法时，密钥采用一次一密，使用后密钥及时销毁

电能表应具有安全监测功能，具体要求如下： 电能表侧监测模块，分为硬件模块和软件模块两部分。硬件模块主要包括防拆设计等，通过物 理的方式防止电能表被暴力破坏。当模块被暴力破坏时，可通过巡检人员和系统，迅速发现、 及时处理。软件模块主要包括操作系统安全监测、安全启动的应用程序安全监测。操作系统安 全监测模块应对电能表操作系统进行安全监测，采集电能表运行状态、重大操作、日志信息等， 在出现通信故障、资源异常等状态时，及时上报主站系统。安全启动的应用程序安全监测应具 有对电能表应用程序的安全监测的功能，监测电能表应用程序的相关运行状态，同时应监测访 可请求、数据传输请求等，在出现越权访问、非法数据传输等异常状态时，及时上报主站系统： 6 主站应采集电能表的相关数据进行分析，包括更新日志、重要操作日志、运行状态等，通过大 数据、智能分析等手段，发现异常的电能表设备，及时处理，避免窃电和破坏行为 C 部署于生产控制大区的电能表安全监测信息应接入网络安全监测装置

5.1安全认证功能检测

Q/GDW121792021

电能表均应支持安全认证功能，做好机密性和完整性保护，有效防止重放攻击和非法操作。测试安 全认证功能时，至少应测试如下内容： a 远程身份认证功能： b 身份认证时效和身份认证失效的执行； C 通信接口的蓝牙认证执行； d 蓝牙认证失效的执行情况； e） 电能表解密和MAC校验的执行情况： f 电能表防攻击能力及电能表挂起功能： g）频繁通断电对电能表ESAM的影响

5.2密钥及证书更新功能检测

电能表均应支持该功能，测试密钥及证书更新功能时，至少应测试如下内容： a 密钥及证书更新功能的执行情况： b) 安全标识、MAC验证等信息对该功能的影响； 断电重启对该功能的影响； d密钥版本、密钥显示符号等信息的提示功能

5.3参数更新功能检测

5. 3. 1 参数更新

电能表均应支持该功能，通过数据回抄功能可以读取管理模组ESAM中表号文件、安全标识文件、 参数信息文件等数据：读取计量模组ESAM中表号文件、白名单文件等数据。测试数据回抄功能时，至 少应测试如下内容： a）管理模组支持读取管理模组ESAM中的所有文件； b）计量模组支持读计量理模组ESAM中的所有文件； C）回抄数据MAC校验应正确

5.3.4管理模组清零

Q/GDW121792021

Q/GDW12179—2021

5.3.5计量模组清零

5.4远程控制功能检测

5.5程序升级功能检测

电能表应支持程序升级功能，程序升级功能包括操作系统升级和业务应用程序升级功能。测试程序 升级功能时，至少应测试如下内容： 业务应用程序访问硬件资源权限执行情况； b 业务应用程序访问接口权限执行情况： c 程序升级时业务执行情况： d) 程序升级过程中，掉电重新上电的执行情况； e) 程序升级执行失败后，程序回滚的执行情况； f 无次序卸载后，不同应用程序升级验证； 频繁卸载及升级后，应用程序运行情况

程序兼容性检测包括在不同厂商、不同硬件、不同程序组合下程序运行情况检测。测试程序兼容性 时，至少应测试如下内容： a）在不同厂商、不同硬件、不同程序组合下程序访问硬件资源权限执行情况； b）在不同厂商、不同硬件、不同程序组合下程序访问接口权限执行情况； c）在不同厂商、不同硬件、不同程序组合下业务执行情况； d）在不同厂商、不同硬件、不同程序组合下掉电重新上电的执行情况

A.1管理模组操作流程

A.1.1身份认证流程

Q/GDW121792021

附录A （资料性附录） 智能物联电能表数据交互流程

管理模组身份认证流程包含身份认证1流程、身份认证2流程、身份认证3流程、身份认证4流程、 身份认证5流程和身份认证6流程。 身份认证1流程用于管理模组与外部设备（主站、终端、掌机、流水线、检表台体等客户端 之间； b） 身份认证2流程用于管理模组与计量模组之间，身份认证之前需将管理模组表号信息保存到计 量模组白名单文件中； 身份认证3流程用于管理模组与扩展模组1型之间，身份认证之前需将扩展模组1型序列号信 息保存到管理模组白名单中； d 身份认证4流程用于管理模组与扩展模组2型之间； e） 身份认证5流程用于管理模组与断路器设备之间，身份认证之前需要将断路器序列号信息保存 到管理模组白名单中； f身份认证6流程用于管理模组与手机之间

A.1.2身份认证1流程

身份认证1操作流程主要操作如下： a）客户端下发应用连接请求报文给管理模组： 管理模组收到应用连接请求报文后，组织命令发送到管理模组ESAM模块中； 管理模组ESAM模块执行失败，返回错误码，跳转至步骤f）；执行成功，则返回服务器随机 数密文和服务器签名信息： 管理模组组织应用连接请求响应报文发送给客户端； e）客户端对返回的服务器随机数和服务器签名信息进行校验； f）操作结束。 流程如图A.1所示。

A.1.3身份认证2流程

TB/T 3465-2016 铁路电力低电阻接地系统成套装置图A.1身份认证1流程图

身份认证2操作流程主要操作如下： a）管理模组产生随机数1明文，下发认证请求报文给计量模组； b） 计量模组收到认证请求报文后，组织命令发送到计量模组ESAM模块中： C 计量模组ESAM模块执行失败，返回错误码，跳转至步骤j）；执行成功，则返回随机数1密 文和随机数2明文； d)计量模组组织认证请求响应报文发送给管理模组； 管理模组收到认证请求响应报文后，组织命令发送到管理模组ESAM模块中； 管理模组ESAM执行失败，返回错误码，跳转至步骤j）；执行成功，则返回随机数2密文； 管理模组组织认证报文发送给计量模组； 计量模组收到认证报文后，组织命令发送到计量模组ESAM模块中： i）计量模组ESAM执行失败，返回错误码，跳转至步骤j）；执行成功，则返回确认报文； j）操作结束。 流程如图A.2所示，

Q/GDW121792021

A.1.4身份认证3流程

JR/T 0075-2018 医保数据交换规范图A.2身份认证2流程图

身份认证3操作流程主要操作如下： 管理模组下发应用连接请求报文给扩展模组： 扩展模组收到应用连接请求报文后，组织命令发送到扩展模组ESAM模块中； 扩展模组ESAM模块执行失败，返回错误码，跳转至步骤f）；执行成功，则返回服务器随机 数密文和服务器签名信息： 扩展模组组织应用连接请求响应报文发送给管理模组： 管理模组收到应用连接请求响应报文后，组织命令发送到管理模组ESAM模块进行校验； ）操作结束。 流程如图A.3所示。