MT-T 1202.4-2023 煤礦數(shù)據(jù)采集與傳輸技術要求 第4部分：信息安全

煤礦數(shù)據(jù)采集與傳輸技術要求Specificationsofdataacquisitionandtrans國家礦山安全監(jiān)察局發(fā)布I Ⅱ 1 1 24縮略語 2 3 67安全傳輸 8安全審計 9實施要求 Ⅱ本標準按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》進行1GB/T15843.2—2017信息技術安全技術實體鑒別第2部分：采用對稱加密算法的機制GB/T15843.3—2017信息技術安全技術實體鑒別第3部分：采用數(shù)字簽名技術的機制GB/T15843.4—2017信息技術安全技術實體鑒別第4部分：采用密碼校驗函數(shù)的機制GB/T30976.1—2014工業(yè)控制系統(tǒng)信息安全第1部分：評估規(guī)范GB/T30976.2—2014工業(yè)控制系統(tǒng)信息安全第2部分：驗收規(guī)范RFC9068OAuth2.0訪問令牌的JSONWeb令牌配置文件(JSONWeb2AES:高級加密標準(AdvancedEncryptionStanDHE:臨時迪菲-赫爾曼密鑰交換(Diffie-HellmanEphemeECDHE:臨時橢圓曲線迪菲-赫爾曼密鑰GCM:伽羅華計數(shù)器模式(Galois/CounterMode)HMAC:基于哈希的消息認證碼(Hash-basedMessageAuthenticationHSM:硬件安全模組(HardwareSecurityModules)IdP:企業(yè)身份管理服務(IdentityProvider)IV:初始向量(InitializationVector)M2M:設備間交互(MachinetoMachine)MAC:消息認證碼(MessageAuthentiMITM:中間人攻擊(Man-in-the-MiddleAttack)PBKDF2:基于密碼的密鑰派生算法(Password-BasedKeyDeriPEM:存儲、傳輸密碼學的密鑰、公開密鑰證書和其他數(shù)據(jù)的文件格式的業(yè)界標準(PrivacyPKI:公鑰基礎設施(PublicKeyInfrastructure)PRF:偽隨機函數(shù)(PseudorandomFunction)SHA:安全散列算法(SecureHashA3STRIDE:一種識別信息系統(tǒng)安全威脅的威脅建模方法(Spoofing,Tampering,Repudiation,InformationDisclosure,DenialofService,ElevationofPrivilege)U2M:用戶—設備交互(UsertoMachine)5.1.1應基于如下安全環(huán)境建立b)生產環(huán)境中可能存在不誠實的、惡意的現(xiàn)場工作人員，可能對設備發(fā)送惡意指令和進a)針對煤礦數(shù)據(jù)采集與傳輸?shù)木W(wǎng)絡環(huán)境中存在的欺騙威脅，安全框架應提供包括設備連接認b)針對煤礦數(shù)據(jù)采集與傳輸?shù)木W(wǎng)絡環(huán)境中存在的篡改威脅，安全框架應提供安全傳輸能力，以4整體安全框架如圖1所示。安全框架宜與企業(yè)其他信息化安全基礎設施對接，形成完整的煤礦數(shù)5b)設備認證模式可配置多種設備認證方式，在設備認證時對端設備應選擇合適的認證方式對本c)設備安全策略包含當前設備支持的密碼相關安全策略，在密碼策略中詳1RSA方式進行密鑰協(xié)商；AES_128_GCM方式進行消息加解密；MAC簽名等過程中的哈希算法采用SHA256;AES密鑰長度128位，IV長度96位，MAC密鑰長度22DHE方式進行密鑰協(xié)商；AES_128_GCM方式進行消息加解密；MAC簽名等過程中的哈希算法采用SHA256;AES密鑰長度128位，IV長度96位，MAC密鑰長度23DHE方式進行密鑰協(xié)商；AES_256_GCM方式進行消息加解密；MAC簽名等過程中的哈希算法采用SHA384;AES密鑰長度256位，IV長度96位，MAC密鑰長度34ECDHE方式進行密鑰協(xié)商；AES_128_GCM方式進行消息加解密；MAC簽名等過程中的哈希算法采用SHA256;AES密鑰長度128位，IV長度96位，MAC密鑰長度25ECDHE方式進行密鑰協(xié)商；AES_256_GCM方式進行消息加解密；MAC簽名等過程中的哈希算法采用SHA384;AES密鑰長度256位，IV長度96位，MAC密鑰長度36表1(續(xù))6PSK方式進行密鑰協(xié)商；AES_128_GCM方式進行消息加解密；MAC簽名等過程中的哈希算法采用SHA256;AES密鑰長度128位，IV長度96位，MAC密鑰長度27PSK方式進行密鑰協(xié)商；AES_256_GCM方式進行消息加解密；MAC簽名等過程中的哈希算法采用SHA384;AES密鑰長度256位，IV長度96位，MAC密鑰長度3b)連接認證應為通過身份認證的設備創(chuàng)建后續(xù)設備間安全交互所需的密鑰材料等。經(jīng)過連接6.1.3設備連接認證的基本流程如圖2所示。7a)步驟1:請求獲取對端設備安全策略。b)步驟2:對端設備響應自身設備安全策略。c)步驟3:基于設備安全策略中d)步驟4:對端設備響應設備認證請求。根據(jù)選定數(shù)據(jù)類型1支持該認證：bit3～7:保留2是否驗證對端：3安全能力標識4支持的密碼策略列表(密鑰協(xié)商、加密解密、簽名算法等)5預共享密鑰信息預共享密鑰標識的列表[identity-id]。設備內可能預制了多6算法、憑據(jù)簽名/驗簽算法信息12預共享密鑰標識(PSK)設備認證的共享密鑰標識18表3(續(xù))6.3.1.1獲取指定設備的設備安全策略的請求見表4。參數(shù)名參數(shù)說明1消息體頭消息類型為0,服務集標識為2,服務編碼為12目標設備ID目標設備的設備標識36.3.1.2響應參數(shù)見表5。參數(shù)名數(shù)據(jù)類型參數(shù)說明l消息體頭消息類型為1,服務集標識為2,服務編碼為12結果狀態(tài)結果狀態(tài)，取值定義要求參照MT/T1202.5—20233響應的設備安全策略，僅結果狀態(tài)取值為成功時攜帶。具體數(shù)字證書的認證基于公鑰認證進行雙向認證和密鑰協(xié)商。基于公鑰認證的方法可參考ISO/IEC9參數(shù)名數(shù)據(jù)類型參數(shù)說明1消息體頭消息類型為0,服務集標識為2,服務編碼為22標識認證過程的階段，值為134發(fā)起端身份憑據(jù)發(fā)起端的x509v3證書56使用安全通道時，標識安全通道的有效期。起重認證以更新通道生命周期。不支持更新78參數(shù)名參數(shù)說明1消息體頭23響應端證書響應端的x509v3證書4響應端隨機數(shù)5簽名參數(shù)名參數(shù)說明1消息體頭234簽名參數(shù)名數(shù)據(jù)類型參數(shù)說明1消息體頭消息類型為1,服務集標識為2,服務編碼為223結果狀態(tài)結果狀態(tài)，取值定義要求參照MT/T1202.5—202345安全通道過期時間6簽名對發(fā)送的數(shù)據(jù)進行簽名，用于對端驗證本端身6.3.2.1.2基于ECDHE/DHE密鑰協(xié)商的雙向證書認證ECDHE/DHE雙向證書認證流程(圖4)應實現(xiàn)如下要求：圖4基于ECDHE/DHE密鑰協(xié)商的雙認證過程報文說明見表10、表11、表12和表13。如果響應端設備在任意階段處理過程中出現(xiàn)失參數(shù)名參數(shù)說明消息體頭23選定的設備認證類型，值為1,設備證書認證選定的1:設備證書認證456使用安全通道時，標識安全通道的有效期。過7設備認證過程中的密碼算法策略標識。包括密鑰派生函數(shù)、簽名、8表11雙向連接認證第二階段報文參數(shù)名數(shù)據(jù)類型參數(shù)說明1消息體頭消息類型為1,服務集標識為2,服務編碼為223響應端身份憑據(jù)響應端的x509v3證書4響應端隨機數(shù)5ECDHE/DHE參數(shù)6ECDHE/DHE公鑰私鑰對應的公鑰7簽名表12雙向連接認證第三階段報文參數(shù)名數(shù)據(jù)類型參數(shù)說明1消息體頭消息類型為0,服務集標識為2,服務編碼為223ECDHE/DHE公鑰私鑰對應的公鑰4簽名表13雙向連接認證第四階段報文參數(shù)名數(shù)據(jù)類型參數(shù)說明1消息體頭消息類型為1,服務集標識為2,服務編碼為223結果狀態(tài)結果狀態(tài)，取值定義要求參照MT/T1202.5—202345安全通道過期時間6簽名對發(fā)送的數(shù)據(jù)進行簽名，用于對端驗證本端身基于數(shù)字證書的認證方式下，根據(jù)認證過程協(xié)商的ra、rs和rpMk,應采用RFC5246TLSv1.2中設備預共享密鑰生成方式由廠商自行確定。但共享密鑰長度應不少于32字節(jié)。廠家可以預置多預共享密鑰認證交互流程如圖5所示。6.5.3.1通過PSK完成設備間雙向認證的各階段報文說明見表14、表15、表16和表17。如果響應端參數(shù)名數(shù)據(jù)類型參數(shù)說明1消息體頭消息類型為0,服務集標識為2,服務編碼為22標識認證過程的階段，值為134發(fā)起端的標識發(fā)起端的標識，值為0x00015發(fā)起端密鑰憑據(jù)67使用安全通道時，標識安全通道的有效期。起重認證以更新通道生命周期。不支持更新8參數(shù)名數(shù)據(jù)類型參數(shù)說明1消息體頭消息類型為1,服務集標識為2,服務編碼為223響應端的標識響應端的標識，值為0x00104響應端隨機數(shù)5簽名參數(shù)名數(shù)據(jù)類型參數(shù)說明1消息體頭消息類型為0,服務集標識為2,服務編碼為223簽名參數(shù)名參數(shù)說明消息體頭2345安全通道過期時間6簽名對發(fā)送的數(shù)據(jù)進行簽名，用于對端驗證本端身份6.5.3.2使用基于“預共享密鑰—密碼校驗函數(shù)—采用隨機數(shù)作為時變參數(shù)”的雙向認證方案，即ISO/IEC9798-4標準中的認證模型4,宜通過預共享密鑰和雙方認證時產生的隨機數(shù)派生后續(xù)傳輸使用的加密密鑰和消息完整性保護的密鑰及雙方通信的IV。其中密鑰派生函數(shù)可以為PBKDF2、安全傳輸提供互聯(lián)互通互操作的安全傳輸通道，確保即使在非可7.1.3.4安全傳輸通道能力的提供通過設備安全策略、服務聲明的安全傳輸模式和安全傳輸服務實b)會話建立包括在已初始化的安全傳輸通道上基于服務的安全傳輸策略確定會話數(shù)據(jù)安全傳在簽名加密模式下，提供數(shù)據(jù)的機密性和完整性保護。使用AES-GCM模式進行加密，報文頭和為加密算法的ADDITIONAL_DATA傳入，IV后四位需要與報文頭中的序列號做異或運消息數(shù)據(jù)的安全封裝格式如圖6所示。消息中的安全頭字段說明見表18。表18