安全传输应用场景:
- 请求为明文+RN,应答为明文+MAC
- 请求为密文+SID,应答为密文
- 请求为密文+SID_MAC,应答为密文+MAC
- 请求为明文+RN_MAC,应答为明文+MAC
- 请求为明文+SID_MAC,无应答
不需要建立应用连接的三种应用场景:
1. 明文+随机数的请求,用于GET-Request服务
2. 明文+RN_MAC请求,用于终端或电表的主动上报REPORT-Notification
3. 明文/密文+SID_MAC,用于广播或组地址通信
其它类型传输服务均用到建立应用连接是的会话密钥,必须建立应用连接。
13版安全芯片:
13版安全芯片协议中安全模式参数的密文、密文+MAC安全级别,等同于明文+RN_MAC模式,主站设置服务、操作服务将使用明文+RN_MAC,终端使用明文+MAC应答。
13版终端抄读面向对象电表采用明文+MAC,终端在收到电表返回的数据,不对MAC进行校验。
13版终端上行协议升级为面向对象协议后采用明文+RN_MAC,终端应答为明文+MAC,其中MAC的计算方式:明文+随机数进行MD5计算,计算结果在用ESAM芯片处理获得MAC值。
ESAM芯片的序列号是每一个芯片的唯一标识,各不相同。
对称密钥版本用于判断终端/电表的密钥状态是出厂测试密钥状态还是正式密钥状态,否则需要进行密钥更新操作。
证书版本(主站证书版本号+终端证书版本号)、终端证书序列号、主站证书序列号为证书标识,用于判断证书是否需要更新。
会话时效门限用于确定主站和终端/电表之间会话最大有效时间,通过会话时效剩余时间得知是否需要重新建立会话连接,会话时效剩余时间归零后,需要重新建立会话才能够进行访问。
单地址应用协商计数器(ASCTR)用于组织会话协商数据。
主动上报计数器用于主站对上报数据合法性判断依据之一。
应用广播通信系列号(AGSEQ)...
应用连接里的会话密钥协商目的:在建立应用连接时进行密钥协商,产生会话密钥,用于计算数据验证码和链路用户数据的加密。
主站与采集终端/电能表的交互协议
- 建立应用连接
- 获取安全芯片信息(芯片序列号、芯片版本、对称密钥版本[正式密钥、测试密钥]、证书版本、会话时效门限、会话时效剩余时间、终端证书序列号、主站证书序列号等信息返回给主站)。
- 会话密钥协商,如下流程
- 协商失效(时间到后需要重新建立会话协商)
- 证书及密钥更新
- 主站证书更新(主站可获取ESAM芯片信息,获得终端内的主站证书版本和证书序列号,判读是否需要更新)
- 终端/电能表对称密钥更新(主站可获取终端/电能表安全芯片信息,获得终端内部的对称密钥版本,判定是否需要更新)
- 读取
- 明文模式
- 明文+MAC模式
- 密文模式
- 密文+MAC模式
- 设置和操作
- 明文模式
- 明文+MAC模式
- 密文模式
- 密文+MAC模式
- 上报
- 明文+RN_MAC模式
- 代理
- 明文+MAC模式
- 组广播通信
- 明文+MAC模式
- 密文+MAC模式
- 终端抄读电能表
- 明文+MAC模式(详见培训资料4.2.10的交互流程)
- 终端13版ESAM
- 13版安全芯片终端抄读面向对象协议电表(采用明文+MAC抄读,终端不验证电表应答上来的MAC)
- 主站抄读13版安全芯片终端(采用明文+RN_MAC,终端应答采用明文+MAC方式)
6.3.13 安全传输
6.3.13.1 SECURITY-Request数据类型
安全请求的数据类型(SECURITY-Request)定义见表114 。
|
数据类型定义 |
说明 |
|
|
|
SECURITY-Request∷=SEQUENCE { 应用数据单元 CHOICE { 明文应用数据单元 [0] octet-string, 密文应用数据单元 [1] octet-string }, 数据验证信息 CHOICE { 数据验证码 [0] SID_MAC, 随机数 [1] RN, 随机数+数据MAC [2] RN_MAC, 安全标识 [3] SID } } |
SID——见6.3.3.16 。 RN——见6.3.3.18 。 SID_MAC——见6.3.3.17 。 |
|
|
|
|
RN_MAC∷=SEQUENCE { 随机数 RN, 数据MAC MAC } |
MAC——见6.3.3.15 。 |
|
6.3.13.2 SECURITY-Response数据类型
安全响应的数据类型(SECURITY-Response)定义见表115 。
|
数据类型定义 |
说明 |
|
SECURITY-Response∷=SEQUENCE { 应用数据单元 CHOICE { 明文应用数据单元 [0] octet-string, 密文应用数据单元 [1] octet-string, 异常错误 [2] DAR }, 数据验证信息 CHOICE OPTIONAL |
DAR——见6.3.3.11 。 MAC——见6.3.3.15 。
|
表115(续)
|
{ 数据MAC [0] MAC } } |
|
以下为建立应用连接时的密钥协商
|
数据类型定义 |
说明 |
|
|
ConnectMechanismInfo∷=CHOICE { 公共连接 [0] NullSecurity, 一般密码 [1] PasswordSecurity, 对称加密 [2] SymmetrySecurity, 数字签名 [3] SignatureSecurity(面向对象用的是数字签名,0~2不支持) } |
ConnectMechanismInfo为建立应用连接的机制信息。 |
|
|
|
NullSecurity∷=NULL PasswordSecurity∷=visible-string SymmetrySecurity∷=SEQUENCE { 密文1 octet-string, 客户机签名1 octet-string } SignatureSecurity∷=SEQUENCE { 密文2 octet-string, 客户机签名2 octet-string } |
密文1——对客户机产生的随机数加密得到的密文。 客户机签名1——客户机对密文1的签名。 密文2——客户机对服务器产生的主站证书等数据加密信息。 客户机签名2——客户机对密文2的签名。 |
|
数据类型定义 |
说明 |
|
ConnectResult∷=ENUMERATED { 允许建立应用连接 (0), 密码错误 (1), 对称解密错误 (2), 非对称解密错误 (3), 签名错误 (4), 协议版本不匹配 (5), 其他错误 (255) } |
ConnectResult采用枚举方式表示应用连接请求认证的结果。 |
|
数据类型定义 |
说明 |
|
|
ConnectResponseInfo∷=SEQUENCE { 认证结果 ConnectResult, 认证附加信息 SecurityData OPTIONAL } |
ConnectResponseInfo用于表示应用连接请求的认证响应信息。 |
|
|
|
SecurityData∷=SEQUENCE { 服务器随机数 RN, 服务器签名信息 octet-string } |
|