MT-T 1202.4-2023 煤礦數(shù)據(jù)采集與傳輸技術(shù)要求 第4部分：信息安全

煤礦數(shù)據(jù)采集與傳輸技術(shù)要求Specificationsofdataacquisitionandtrans國(guó)家礦山安全監(jiān)察局發(fā)布I Ⅱ 1 1 24縮略語(yǔ) 2 3 67安全傳輸 8安全審計(jì) 9實(shí)施要求 Ⅱ本標(biāo)準(zhǔn)按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》進(jìn)行1GB/T15843.2—2017信息技術(shù)安全技術(shù)實(shí)體鑒別第2部分：采用對(duì)稱(chēng)加密算法的機(jī)制GB/T15843.3—2017信息技術(shù)安全技術(shù)實(shí)體鑒別第3部分：采用數(shù)字簽名技術(shù)的機(jī)制GB/T15843.4—2017信息技術(shù)安全技術(shù)實(shí)體鑒別第4部分：采用密碼校驗(yàn)函數(shù)的機(jī)制GB/T30976.1—2014工業(yè)控制系統(tǒng)信息安全第1部分：評(píng)估規(guī)范GB/T30976.2—2014工業(yè)控制系統(tǒng)信息安全第2部分：驗(yàn)收規(guī)范RFC9068OAuth2.0訪問(wèn)令牌的JSONWeb令牌配置文件(JSONWeb2AES:高級(jí)加密標(biāo)準(zhǔn)(AdvancedEncryptionStanDHE:臨時(shí)迪菲-赫爾曼密鑰交換(Diffie-HellmanEphemeECDHE:臨時(shí)橢圓曲線迪菲-赫爾曼密鑰GCM:伽羅華計(jì)數(shù)器模式(Galois/CounterMode)HMAC:基于哈希的消息認(rèn)證碼(Hash-basedMessageAuthenticationHSM:硬件安全模組(HardwareSecurityModules)IdP:企業(yè)身份管理服務(wù)(IdentityProvider)IV:初始向量(InitializationVector)M2M:設(shè)備間交互(MachinetoMachine)MAC:消息認(rèn)證碼(MessageAuthentiMITM:中間人攻擊(Man-in-the-MiddleAttack)PBKDF2:基于密碼的密鑰派生算法(Password-BasedKeyDeriPEM:存儲(chǔ)、傳輸密碼學(xué)的密鑰、公開(kāi)密鑰證書(shū)和其他數(shù)據(jù)的文件格式的業(yè)界標(biāo)準(zhǔn)(PrivacyPKI:公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure)PRF:偽隨機(jī)函數(shù)(PseudorandomFunction)SHA:安全散列算法(SecureHashA3STRIDE:一種識(shí)別信息系統(tǒng)安全威脅的威脅建模方法(Spoofing,Tampering,Repudiation,InformationDisclosure,DenialofService,ElevationofPrivilege)U2M:用戶(hù)—設(shè)備交互(UsertoMachine)5.1.1應(yīng)基于如下安全環(huán)境建立b)生產(chǎn)環(huán)境中可能存在不誠(chéng)實(shí)的、惡意的現(xiàn)場(chǎng)工作人員，可能對(duì)設(shè)備發(fā)送惡意指令和進(jìn)a)針對(duì)煤礦數(shù)據(jù)采集與傳輸?shù)木W(wǎng)絡(luò)環(huán)境中存在的欺騙威脅，安全框架應(yīng)提供包括設(shè)備連接認(rèn)b)針對(duì)煤礦數(shù)據(jù)采集與傳輸?shù)木W(wǎng)絡(luò)環(huán)境中存在的篡改威脅，安全框架應(yīng)提供安全傳輸能力，以4整體安全框架如圖1所示。安全框架宜與企業(yè)其他信息化安全基礎(chǔ)設(shè)施對(duì)接，形成完整的煤礦數(shù)5b)設(shè)備認(rèn)證模式可配置多種設(shè)備認(rèn)證方式，在設(shè)備認(rèn)證時(shí)對(duì)端設(shè)備應(yīng)選擇合適的認(rèn)證方式對(duì)本c)設(shè)備安全策略包含當(dāng)前設(shè)備支持的密碼相關(guān)安全策略，在密碼策略中詳1RSA方式進(jìn)行密鑰協(xié)商；AES_128_GCM方式進(jìn)行消息加解密；MAC簽名等過(guò)程中的哈希算法采用SHA256;AES密鑰長(zhǎng)度128位，IV長(zhǎng)度96位，MAC密鑰長(zhǎng)度22DHE方式進(jìn)行密鑰協(xié)商；AES_128_GCM方式進(jìn)行消息加解密；MAC簽名等過(guò)程中的哈希算法采用SHA256;AES密鑰長(zhǎng)度128位，IV長(zhǎng)度96位，MAC密鑰長(zhǎng)度23DHE方式進(jìn)行密鑰協(xié)商；AES_256_GCM方式進(jìn)行消息加解密；MAC簽名等過(guò)程中的哈希算法采用SHA384;AES密鑰長(zhǎng)度256位，IV長(zhǎng)度96位，MAC密鑰長(zhǎng)度34ECDHE方式進(jìn)行密鑰協(xié)商；AES_128_GCM方式進(jìn)行消息加解密；MAC簽名等過(guò)程中的哈希算法采用SHA256;AES密鑰長(zhǎng)度128位，IV長(zhǎng)度96位，MAC密鑰長(zhǎng)度25ECDHE方式進(jìn)行密鑰協(xié)商；AES_256_GCM方式進(jìn)行消息加解密；MAC簽名等過(guò)程中的哈希算法采用SHA384;AES密鑰長(zhǎng)度256位，IV長(zhǎng)度96位，MAC密鑰長(zhǎng)度36表1(續(xù))6PSK方式進(jìn)行密鑰協(xié)商；AES_128_GCM方式進(jìn)行消息加解密；MAC簽名等過(guò)程中的哈希算法采用SHA256;AES密鑰長(zhǎng)度128位，IV長(zhǎng)度96位，MAC密鑰長(zhǎng)度27PSK方式進(jìn)行密鑰協(xié)商；AES_256_GCM方式進(jìn)行消息加解密；MAC簽名等過(guò)程中的哈希算法采用SHA384;AES密鑰長(zhǎng)度256位，IV長(zhǎng)度96位，MAC密鑰長(zhǎng)度3b)連接認(rèn)證應(yīng)為通過(guò)身份認(rèn)證的設(shè)備創(chuàng)建后續(xù)設(shè)備間安全交互所需的密鑰材料等。經(jīng)過(guò)連接6.1.3設(shè)備連接認(rèn)證的基本流程如圖2所示。7a)步驟1:請(qǐng)求獲取對(duì)端設(shè)備安全策略。b)步驟2:對(duì)端設(shè)備響應(yīng)自身設(shè)備安全策略。c)步驟3:基于設(shè)備安全策略中d)步驟4:對(duì)端設(shè)備響應(yīng)設(shè)備認(rèn)證請(qǐng)求。根據(jù)選定數(shù)據(jù)類(lèi)型1支持該認(rèn)證：bit3～7:保留2是否驗(yàn)證對(duì)端：3安全能力標(biāo)識(shí)4支持的密碼策略列表(密鑰協(xié)商、加密解密、簽名算法等)5預(yù)共享密鑰信息預(yù)共享密鑰標(biāo)識(shí)的列表[identity-id]。設(shè)備內(nèi)可能預(yù)制了多6算法、憑據(jù)簽名/驗(yàn)簽算法信息12預(yù)共享密鑰標(biāo)識(shí)(PSK)設(shè)備認(rèn)證的共享密鑰標(biāo)識(shí)18表3(續(xù))6.3.1.1獲取指定設(shè)備的設(shè)備安全策略的請(qǐng)求見(jiàn)表4。參數(shù)名參數(shù)說(shuō)明1消息體頭消息類(lèi)型為0,服務(wù)集標(biāo)識(shí)為2,服務(wù)編碼為12目標(biāo)設(shè)備ID目標(biāo)設(shè)備的設(shè)備標(biāo)識(shí)36.3.1.2響應(yīng)參數(shù)見(jiàn)表5。參數(shù)名數(shù)據(jù)類(lèi)型參數(shù)說(shuō)明l消息體頭消息類(lèi)型為1,服務(wù)集標(biāo)識(shí)為2,服務(wù)編碼為12結(jié)果狀態(tài)結(jié)果狀態(tài)，取值定義要求參照MT/T1202.5—20233響應(yīng)的設(shè)備安全策略，僅結(jié)果狀態(tài)取值為成功時(shí)攜帶。具體數(shù)字證書(shū)的認(rèn)證基于公鑰認(rèn)證進(jìn)行雙向認(rèn)證和密鑰協(xié)商?；诠€認(rèn)證的方法可參考ISO/IEC9參數(shù)名數(shù)據(jù)類(lèi)型參數(shù)說(shuō)明1消息體頭消息類(lèi)型為0,服務(wù)集標(biāo)識(shí)為2,服務(wù)編碼為22標(biāo)識(shí)認(rèn)證過(guò)程的階段，值為134發(fā)起端身份憑據(jù)發(fā)起端的x509v3證書(shū)56使用安全通道時(shí)，標(biāo)識(shí)安全通道的有效期。起重認(rèn)證以更新通道生命周期。不支持更新78參數(shù)名參數(shù)說(shuō)明1消息體頭23響應(yīng)端證書(shū)響應(yīng)端的x509v3證書(shū)4響應(yīng)端隨機(jī)數(shù)5簽名參數(shù)名參數(shù)說(shuō)明1消息體頭234簽名參數(shù)名數(shù)據(jù)類(lèi)型參數(shù)說(shuō)明1消息體頭消息類(lèi)型為1,服務(wù)集標(biāo)識(shí)為2,服務(wù)編碼為223結(jié)果狀態(tài)結(jié)果狀態(tài)，取值定義要求參照MT/T1202.5—202345安全通道過(guò)期時(shí)間6簽名對(duì)發(fā)送的數(shù)據(jù)進(jìn)行簽名，用于對(duì)端驗(yàn)證本端身6.3.2.1.2基于ECDHE/DHE密鑰協(xié)商的雙向證書(shū)認(rèn)證ECDHE/DHE雙向證書(shū)認(rèn)證流程(圖4)應(yīng)實(shí)現(xiàn)如下要求：圖4基于ECDHE/DHE密鑰協(xié)商的雙認(rèn)證過(guò)程報(bào)文說(shuō)明見(jiàn)表10、表11、表12和表13。如果響應(yīng)端設(shè)備在任意階段處理過(guò)程中出現(xiàn)失參數(shù)名參數(shù)說(shuō)明消息體頭23選定的設(shè)備認(rèn)證類(lèi)型，值為1,設(shè)備證書(shū)認(rèn)證選定的1:設(shè)備證書(shū)認(rèn)證456使用安全通道時(shí)，標(biāo)識(shí)安全通道的有效期。過(guò)7設(shè)備認(rèn)證過(guò)程中的密碼算法策略標(biāo)識(shí)。包括密鑰派生函數(shù)、簽名、8表11雙向連接認(rèn)證第二階段報(bào)文參數(shù)名數(shù)據(jù)類(lèi)型參數(shù)說(shuō)明1消息體頭消息類(lèi)型為1,服務(wù)集標(biāo)識(shí)為2,服務(wù)編碼為223響應(yīng)端身份憑據(jù)響應(yīng)端的x509v3證書(shū)4響應(yīng)端隨機(jī)數(shù)5ECDHE/DHE參數(shù)6ECDHE/DHE公鑰私鑰對(duì)應(yīng)的公鑰7簽名表12雙向連接認(rèn)證第三階段報(bào)文參數(shù)名數(shù)據(jù)類(lèi)型參數(shù)說(shuō)明1消息體頭消息類(lèi)型為0,服務(wù)集標(biāo)識(shí)為2,服務(wù)編碼為223ECDHE/DHE公鑰私鑰對(duì)應(yīng)的公鑰4簽名表13雙向連接認(rèn)證第四階段報(bào)文參數(shù)名數(shù)據(jù)類(lèi)型參數(shù)說(shuō)明1消息體頭消息類(lèi)型為1,服務(wù)集標(biāo)識(shí)為2,服務(wù)編碼為223結(jié)果狀態(tài)結(jié)果狀態(tài)，取值定義要求參照MT/T1202.5—202345安全通道過(guò)期時(shí)間6簽名對(duì)發(fā)送的數(shù)據(jù)進(jìn)行簽名，用于對(duì)端驗(yàn)證本端身基于數(shù)字證書(shū)的認(rèn)證方式下，根據(jù)認(rèn)證過(guò)程協(xié)商的ra、rs和rpMk,應(yīng)采用RFC5246TLSv1.2中設(shè)備預(yù)共享密鑰生成方式由廠商自行確定。但共享密鑰長(zhǎng)度應(yīng)不少于32字節(jié)。廠家可以預(yù)置多預(yù)共享密鑰認(rèn)證交互流程如圖5所示。6.5.3.1通過(guò)PSK完成設(shè)備間雙向認(rèn)證的各階段報(bào)文說(shuō)明見(jiàn)表14、表15、表16和表17。如果響應(yīng)端參數(shù)名數(shù)據(jù)類(lèi)型參數(shù)說(shuō)明1消息體頭消息類(lèi)型為0,服務(wù)集標(biāo)識(shí)為2,服務(wù)編碼為22標(biāo)識(shí)認(rèn)證過(guò)程的階段，值為134發(fā)起端的標(biāo)識(shí)發(fā)起端的標(biāo)識(shí)，值為0x00015發(fā)起端密鑰憑據(jù)67使用安全通道時(shí)，標(biāo)識(shí)安全通道的有效期。起重認(rèn)證以更新通道生命周期。不支持更新8參數(shù)名數(shù)據(jù)類(lèi)型參數(shù)說(shuō)明1消息體頭消息類(lèi)型為1,服務(wù)集標(biāo)識(shí)為2,服務(wù)編碼為223響應(yīng)端的標(biāo)識(shí)響應(yīng)端的標(biāo)識(shí)，值為0x00104響應(yīng)端隨機(jī)數(shù)5簽名參數(shù)名數(shù)據(jù)類(lèi)型參數(shù)說(shuō)明1消息體頭消息類(lèi)型為0,服務(wù)集標(biāo)識(shí)為2,服務(wù)編碼為223簽名參數(shù)名參數(shù)說(shuō)明消息體頭2345安全通道過(guò)期時(shí)間6簽名對(duì)發(fā)送的數(shù)據(jù)進(jìn)行簽名，用于對(duì)端驗(yàn)證本端身份6.5.3.2使用基于“預(yù)共享密鑰—密碼校驗(yàn)函數(shù)—采用隨機(jī)數(shù)作為時(shí)變參數(shù)”的雙向認(rèn)證方案，即ISO/IEC9798-4標(biāo)準(zhǔn)中的認(rèn)證模型4,宜通過(guò)預(yù)共享密鑰和雙方認(rèn)證時(shí)產(chǎn)生的隨機(jī)數(shù)派生后續(xù)傳輸使用的加密密鑰和消息完整性保護(hù)的密鑰及雙方通信的IV。其中密鑰派生函數(shù)可以為PBKDF2、安全傳輸提供互聯(lián)互通互操作的安全傳輸通道，確保即使在非可7.1.3.4安全傳輸通道能力的提供通過(guò)設(shè)備安全策略、服務(wù)聲明的安全傳輸模式和安全傳輸服務(wù)實(shí)b)會(huì)話建立包括在已初始化的安全傳輸通道上基于服務(wù)的安全傳輸策略確定會(huì)話數(shù)據(jù)安全傳在簽名加密模式下，提供數(shù)據(jù)的機(jī)密性和完整性保護(hù)。使用AES-GCM模式進(jìn)行加密，報(bào)文頭和為加密算法的ADDITIONAL_DATA傳入，IV后四位需要與報(bào)文頭中的序列號(hào)做異或運(yùn)消息數(shù)據(jù)的安全封裝格式如圖6所示。消息中的安全頭字段說(shuō)明見(jiàn)表18。表18