Q/SY
中国石油天然气集团有限公司企业标准
Q/SY 10009.5—2019
天然气零售系统建设与运维规范
第5部分：燃气表信息安全
Specifications for gas retail system implementation,operation & maintenance - Part 5: Information security of gas meter
2019－11－26发布
2020－03-01实施
发布
中国石油天然气集团有限公司 Q/SY 10009.5—2019
目 次
前言范围 2 规范性引用文件 3 术语和定义缩略语
4.
安全组成安全机制 6.1 安全芯片 6.2 密钥管理 6.3 报文安全 6.4 安全芯片文件系统 6.5 密码算法数据处理
5
中
6
门
7
7.1 数据保护 7.2 认证 7.3 存储附录A（规范性附录） 安全芯片管脚分配附录B（规范性附录） 封装形式附录C（规范性附录） 安全芯片文件格式附录D（规范性附录） 安全芯片信息交换附录E（规范性附录） 安全芯片命令集附录F（规范性附录） 报文字段定义附录G（规范性附录） 报文接口协议附录H（规范性附录） 对称加密机制附录I（规范性附录） 安全芯片文件系统
K
中
16
-18 46 ...49
51
- 53 Q/SY10009.5—2019
前言
Q/SY10009《天然气零售系统建设与运维规范》分为6个部分：
第1部分：运维管理：第2部分：燃气表IC卡接口：一第3部分：银行代收系统接口：第4部分：远传表数据采集：第5部分：燃气表信息安全：第6部分：燃气自助服务终端。
本部分为Q/SY10009的第5部分。 本部分按照GB/T1.1一2009《标准化工作导则第1部分：标准的结构和编写》给出的规则
起草。
本部分由中国石油天然气集团有限公司信息管理部提出。 本部分由中国石油天然气集团有限公司标准化委员会信息技术专业标准化技术委员会归口。 本部分起草单位：规划总院、天然气销售分公司（昆仑能源）。 本部分主要起草人：刘世章、闻硕、杨金珠。金强、刘晓、王爱玲。刘晨、柳东，柴宏恩。高
峰。孙齐，江鹰。
1I Q/SY 10009.5—2019
天然气零售系统建设与运维规范
第5部分：燃气表信息安全
1范围
Q/SY10009的本部分规定了天然气零售系统（以下简称“系统"）燃气表中的信息安全组成、安全机制、数据处理等。
本部分适用于系统建设中具有远传功能的燃气表信息安全的设计、开发、测试和应用工作的需要。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件。仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T16649.3识别卡带触点的集成电路卡第3部分：电信号和传输协议 GB/T16649.4识别卡集成电路卡第4部分：用于交换的结构，安全和命令 GM/T0002—2012SM4分组密码算法 GM/T00032012SM2椭圆曲线公钥密码算法 GM/T0004—2012S SM3密码杂摆算法 Q/SY10009.4天然气零售系统建设与运维规范 第4部分：远传数据表采集 ISO 7816 5通信接口规范
3术语和定义
下列术语和定义适用于本文件。
3.1
远传表 remote transmission gas meter 具有信号采集和数据处理、存储、通信功能的计量表。本标准中远传表指民用物联网表和无线远
传表。 3.2
消息认证码 message authentication code 通信实体双方使用的一种验证机制，保证消息数据完整性的一种工具。其结果是一组固定长度的
数据，计算过程可能还包含杂凑算法。也称为报文鉴别码。 3.3
安全芯片 embedded secure access module 嵌人式安全控制模块，用于实现安全运算的硬件单元，放置在表端用于密码运算。密码生成，密
码存储和数据验证。
1 Q/SY10009.5—2019
4缩略语
下列缩略语适用于本文件。 COS：芯片操作系统（chipoperationsystem）： DIP：双列直插式封装（dualin-linepackage）： ECB：电码本模式（electroniccodebook） ESD：静电阻抗器（electro-staticdischarge） SOP：小外形封装（smallout-linepackage）
5安全组成
为保证燃气表信息安全，表端应安装安全芯片，后台使用配套的加密机及密钥管理系统，数据及信息的传输应采用密钥加解密的方式进行保护。
6安全机制
6.1安全芯片 6.1.1概述
用于数据及信息交互的安全认证。应遵循国家集成电路卡标准，电气信号传输协议符合GB/T 16649.3，COS命令符合ISO7816的规定。 6.1.2 安全芯片硬件要求
所采用的安全芯片应取得国家密码管理机构颁发的《商用密码产品品种与型号证书》 a）通信接口，支持ISO7816T=0通信协议。 b）支持SM2、SM3、SM4等商用密码算法。 c）重复擦写次数应不小于10万次。数据保持时间不小于10年。 d）应支持电压监测，频率监测，高低温检测，光照检测等安全防护机制。 e）数据存储容量，应不小于32kB。 f）安全芯片管脚分配应符合附录A的规定。 g）安全芯片应采用SOP8/DIP8标准的封装形式，封装形式应符合附录B的规定。 h）安全芯片文件格式应符合附录C的规定。 i）安全芯片应具有在暴力破解的情况下自动销毁已存储数据的功能。 j）安全芯片应满足ISO7816接口要求，接口要求见表1。
表1接口要求
序号 1 2 3 4
接口规范
兼容ISO/IEC7816T=0协议
支持8～2048分频比支持正反向约定可配置奇偶校验方式可配置
2 Q/SY 10009.5—2019
6.1.3安全芯片电气特性
安全芯片电气特性见表2。
表2安全芯片电气特性
指标工作温度工作电压外部时钟工作场强 ESD
参数 25 ℃~85 ℃ 1.62V--5.5V 1MHz ~- 10MHz 1.5A/m -- 7.5A/m 6kV（接触） 24kV（非接触）
6.1.4COS芯片操作系统
应具有复位处理功能、掉电数据保护功能、7816通信功能、文件管理功能、安全控制和安全运算功能。
应支持透明二进制文件、记录文件的文件类型，并提供相应操作命令和认证权限的处理应支持数据报文的封包和解包功能，为报文提供明文MAC、密文MAC、明文签名、密文
签名等数据报文处理能力。 6.1.5 安全芯片报文交换
安全芯片与表芯片及后台系统之间的信息交换图应符合附录D的规定。 6.1.6报文结构
燃气表与后台系统报文传输应满足安全策略，报文结构见3表。
表3报文结构
功能
安全策略明文MAC或者密文MAC 密文MAC 密文MAC 密文签名密文签名密文签名
项目普通交互
采集系统与远传表的普通协商的非敏感信息，如远传表的全貌信息等远程查询采集远传表运行状态。日用气明细记录。日汇总记录和月汇总记录上报远传燃气表的表内发生的事件和处理结果远程设置远传表运行参数，如透支气量。抄表间隔，计费方式。阶梯计价远程对远传表控制功能，如对远传表远程开阀，关阀等远程更新某条指定的密钥信息
查询采集实时上报参数设置远程控制密钥更新
6.1.7 安全芯片命令集
安全芯片命令集应符合附录的规定。 Q/SY10009.5—2019
报文字段定义
6.1.8
报文字段定义应符合附录F的规定。 6.1.9 报文接口协议
报文接口协议应符合附录G的规定。 6.2 密钥管理
对密钥的全生命周期管理应涵盖密钥生成、密钥应用、密钥策略及密钥销毁。 6.3报文安全 6.3.1 1交互方式
数据及信息应以报文的方式进行交互。 6.3.2 对称加密机制
6.3.2.1加密
加密过程应先指定密钥紧引，结合分散因子，产生过程密钥作为一次性数据运算的密钥。加密计
算应采用ECB模式。加密运算示意见H.1。 6.3.2.2 2解密
解密过程应先指定密钥索引，集合分散因子，产生过程密钥作为一次性数据运算的密钥，解密计算可采用ECB模式解密。
数据解密与数据加密应采用相反的过程。 解密运算示意见H.2
6.3.2.3 消息认证码
报文中的消息认证码（MAC）应使用数据顿的数据项来产生：应保证同数据能够正确完整地传送，并对发送方进行认证。产生MAC方式见H.3。 6.3.2.4子密钥分散
子密钥的分散应用于根密钥生成报文传输的应用密钥。 分散算法应用于8字节的安全芯片ID生成工作密钥的过程。子密钥过程如图1所示，
分散因子/安全芯片ID
SM4运算
根密钥
工作密销图1子密钥过程
4