住宅與樓宇數據安全模式及其標準化進展

鄭秋平，岳磊，王洲

（機械工業儀器儀表綜合技術經濟研究所，北京 100055）

1 引言

伴隨著人工智能技術的發展以及人們對建筑功能要求的逐步提高，樓宇智能化技術以其先進舒適、便捷和安全的優勢，已經是現代住宅和樓宇建筑的發展趨勢[1，2]。智能建筑是指利用系統集成方法，將智能型計算機技術、通信技術、控制技術、多媒體技術和現代建筑藝術有機結合，通過對設備的自動監控，對信息資源的管理，對使用者的信息服務及其建筑環境的優化組合，具有安全、高效、舒適、便利和靈活特點的現代化建筑物，而信息采集、信息安全以及信息通訊等技術具有舉足輕重的地位[3]?？v觀信息技術的發展，標準化、集成化、網絡化、抽象化、可信化是其發展的五大趨勢。而信息安全技術的發展呈現出了動態性、復雜性、智能性、可控性的特征，這不僅會進一步提高住宅和樓宇網絡系統的安全生存能力，還能夠有效地增強信息安全防護中的主動性、實時性、可控性和有效性[4]。

控制網絡HBES技術內容也稱為KNX技術，起源于歐洲，用于住宅和樓宇控制領域，是一種分布式總線控制技術。KNX技術來源于三種用于住宅和樓宇的總線控制技術，即EIB、Batibus和EHS，其中EIB（European Installation Bus，歐洲安裝總線）是技術主體[5]。

本文在查閱相關文獻并借鑒EIB技術的基礎上，針對相關學科領域的技術進步和我國在住宅與樓宇領域的發展現狀，對HBES數據安全問題進行了深入剖析。首先論述了HBES數據宏觀的安全體系，然后詳盡闡釋了HBES數據安全模式的核心技術，包括安全應用層（S-AL）、應用層（AL）和應用界面層（AIL）結構和功能，而后對國內外的HBES數據安全標準化進展進行了論述和展望。

本文旨在強調HBES數據安全模式的重要性以及標準化進展的必要性和迫切性，為此領域的發展進步提供參考。

2 HBES數據安全

住宅和樓宇電子系統（Home and Building Electronic Systems，HBES）是一種功能分散分布，并通過公共通信過程連接的多應用總線系統。HBES數據安全有對立的兩方面的含義：一是數據本身的安全，主要是指采用現代密碼算法對數據進行主動保護，如數據保密、數據完整性、雙向身份認證等；二是數據防護的安全，主要是采用現代信息存儲手段對數據進行主動防護。HBES數據安全是一種主動的包含措施，數據本身的安全必須基于可靠的加密算法與安全體系，其特點體現在：（1）機密性保密性，是指個人或團體的信息不為其他不應獲得者獲得；（2）完整性，數據完整性是信息安全的三個基本要點之一，旨在傳輸、存儲信息或數據的過程中，確保信息或數據不被未授權的篡改或在篡改后能夠被迅速發現；（3）易用性，數據可用性是一種以使用者為中心的設計概念，易用性設計的重點在于讓產品的設計能夠符合使用者的習慣與需求[6]。

目前，國內外學者在智能住宅與樓宇數據信息的感知、傳輸和處理等各個環節均開展了相關工作，這些研究大部分針對智能住宅與樓宇的各個層次，而發展趨勢即形成完整統一的安全體系。

2.1 感知層

感知層在住宅與樓宇網絡中的作用是感知并采集外界信息，用于感知的設備包括傳感器設備、全球定位系統、圖像采集設備及RFID設備等。感知層中，有許多不同類型的感知節點，為確保這些節點的安全感知，主要的解決辦法是對這些感知信息進行加密和對節點設備的認證，利用認證機制避免標簽和節點被非法訪問[7]。

2.2 傳輸層

傳輸層是感知層與應用層之間的橋梁，它將感知層感知到的信息根據應用層的需求傳輸到需要的位置。傳輸層的基礎是各種通信網絡，不同類型的網絡之間的通信的安全認證至關重要。傳輸層的安全挑戰主要有網絡設備的非法接入，各種攻擊手段如中間人攻擊與DoS攻擊，以及對傳輸信息的攔截與篡改。異構網絡的信息交換將成為安全性的脆弱點，特別在網絡認證方面，難免存在中間人攻擊和其他類型的攻擊，如異步攻擊、合謀攻擊等，這些攻擊都需要有更好的安全保護措施[8]。

傳輸層目前的主要研究重點是節點之間的安全性，通過對節點之間的安全認證，保證整個傳輸層的機密性，利用諸多安全協議保證數據的安全傳輸。

2.3 應用層

應用層設計的主要目的是滿足智能住宅與樓宇系統的具體業務開展的需求，它所涉及的信息安全問題直接面向用戶群體，與其他層次有著明顯的區別?？紤]到智能住宅與樓宇涉及到眾多用戶與設備，應用層中對大量數據的處理和控制的安全性面臨著很多安全問題，比如數據的隱私性、完整性及業務控制等問題有待解決。

在應用層中，目前的主要研究重點是數據庫安全訪問技術，其他的安全技術也會隨著科技發展得到實現，如數據保護技術、信息取證技術、數據加密檢索技術等。雖然智能化的技術在現代生活中已經廣泛應用，但就其本質還是現代信息技術的產物，智能住宅與樓宇生存和發展的基礎還是現代信息技術和互聯網。所以，智能住宅與樓宇安全問題的根本還是信息安全。信息安全所涉及的技術中，最為核心的是加密技術與身份認證技術。

加密技術不僅要求算法通過嚴謹的數學證明，同時也要求算法符合安全的現實應用。由于計算機硬件的急速發展和安全應用需求的不斷提高，加之目前的網絡攻擊手段和方式層出不窮，對密碼的理論研究和創新也有著更高的要求。身份認證技術在信息安全涉及的諸多技術中有著舉足輕重的地位，只有進行有效的身份認證，才能保證各種安全機制的可靠實施[9，10]。

3 HBES數據安全模式

智能住宅與樓宇信息安全體系結構各層次的安全需求各不相同，但各層的安全需求的著重點是相同的，即數據安全及接入安全。數據安全是指數據在采集、傳輸以及存儲過程中的機密性與完整性。

3.1 安全應用層

HBES數據安全模型由安全應用層、應用層和應用接口層構成如圖1所示。

S-AL在鏈路層進行操作，具有加密和解密安全信息及處理鏈路層異常的功能。S-AL包括點對點密鑰列表、組密鑰列表、安全物理地址列表等資源。

安全應用層取決于鏈路層上的HBES數據安全，所以S-AL是應用層的組成部分。如圖2示出了S-AL在HBES通信協議棧中的位置。S-AL具備四種功能：（1）支持S-AData-service；（2）支持序列號處理；（3）支持安全性失效的處理；（4）傳輸層服務的安全處理。

圖1 HBES數據安全模式在HBES協議棧中的位置

3.1.1 安全應用數據服務（S-A_Data-service）

S-AL嵌入在AL層中，既是應用層的一部分，其鏈接次序確保了HBES數據安全性，不但可以確定了平凡應用層（AL-service）在傳輸端的安全性，也兼顧了接收端S-A_Data-PDU的安全性。S-AL的使用不影響平凡應用層的功能。這將允許S-A_Data-service與應用層服務結合得更緊密，并允許安全策略更適用于每個應用層服務。

S-AL可以處理應用層協議數據單元（Application layer Protocol Data Unit，APDU）內的安全控制字段（Security Control Field）。SAL應具有四種功能：（1）支持S-A_Data服務；（2）序列號的處理；（3）安全失效的處理；（4）傳輸層服務的安全處理。

S-A_Data-service在傳輸端用加密安全APDU替代AL-service-PDU，在接收端反之亦然。本地S-AL應采用S-A_Data-service在總線上傳輸S-A_Data-PDU，而S-A_Data-PDU的格式如圖3所示。

3.1.2 序列號處理

在HBES開放介質（HBES RF、HBES PL110）上，發送端還應通過它的HBES序列號和域地址進行識別。序列號是一個6個八位位組格式，如圖4所示。

序列號是一個簡單的數值，6個八位位組格式很難發生溢出。因此，不需要擔心對序列號出現溢出問題。

SeqNr提供數據傳輸的即時更新，發送方應在其任何安全DP的每次后續傳輸中增加序列號的值，所有安全通信都應只使用一個單一的序列號，每個安全鏈接或每個安全數據點不得有不同的序列號[11]。

3.1.3 傳輸層服務的安全處理

安全應用層服務通過傳輸層服務（TL service）原語請求（Primitives Request，Req）、原語指示（Primitives Indication，Ind）和原語確認（Primitives Confirmation，Con）來調用。

圖2 S-AL在應用層中的位置

圖3 加密的安全APDU格式

圖4 序列號的格式

在接收端，對于每個傳輸層服務，S-AL應該處理由遠程通信設備引起的以下狀態，可能是黑客入侵或企圖繞過該S-AL。

（1）在傳輸端，那些在點對點密鑰表或組密鑰表中未加密的鏈接都將被濾除，因為不安全。

（2）如果收到的消息是安全的，將驗證其安全性。

在發送端，普通AL服務或S-A_Data服務之間的選擇應由安全資源（the Security Resources）給出。在任何情況下，那些傳輸層中的服務指示或原語確認，也包含安全AL服務指示或確認，均由S-AL進行處理。

3.2 應用層

應用層（AL）的功能是實現AL在S-AL和AIL之間轉發安全服務參數[12]。本地應用層應接收服務請求并將應用層服務訪問點（Applicationlayer Service Access Point，ASAP）映射到傳輸層服務訪問點（Transportlayer Service Access Point，TSAP）。

所有AL服務的規范都應使用安全服務參數進行擴展：par_auth:此參數標識應用層是否執行有授權的安全通信；par_conf:此參數標識應用層是否執行具有保密協議的安全通信。

對于Lcon-service原語和Acon-service原語，需增加參數：link_index：此參數應包含應用層服務的鏈接索引，或是使用工具密鑰（Tool Key）的標識。如果安全鏈接表中未找到該鏈接索引，則該參數值應為值“none”。

3.3 應用界面層

應用界面層描述了用于接口對象的HBES數據安全，AIL具備四種功能[13]：（1）支持權限和角色；（2）支持安全白名單和安全黑名單；（3）支持安全模式；（4）在AIL中處理安全失效。

3.3.1 權限和角色

對于所有其他通信模式，安全性發送方的SA和安全密鑰的知識緊密相連。安全鏈接資源（點對點密鑰表，組密鑰表和區域密鑰表）不允許在兩個或多個發件人之間存在授權區別：任何能夠正確保護消息的發件人都可以完全訪問AIL和管理的所有數據和服務。

權限為通信伙伴定義了信息接收端是否有權共同訪問每條數據（組對象、屬性、內存位置或其他）或服務的限制條件。

在安全應用中，可能存在使用安全通信的許多鏈接和許多安全數據點。如果必須為每個鏈接、數據點或服務的組合定義許可，則必須設置大量的許可。

反之，假設對某個DP的許可在鏈接之間沒有太多的差別。因此，將所有DP中具有相同許可的鏈接組合在一起并為這一組鏈接定義許可，而代替對單個鏈接定義許可。這樣，在設備中具有相同許可的鏈接組稱之為一個角色。

角色的使用有四個優點：（1）減小許可列表的大??；（2）降低鏈路與許可之間的復雜性；（3）簡化了管理和實施；（4）用戶容易理解和操作。

其中，權限列表是DP特性的一個功能擴展。一個許可應為一個角色給出訪問DP或服務所需要的條件。AIL應對權限列表進行評估，檢查某個連接和某個服務是否有權限訪問數據點和服務。如果評估結果是否定的，則作為常規的錯誤進行處理。

角色可以在HBES數據安全中使用，但也可以在該范圍之外使用。在接收方，每個鏈接應通過角色表精確的與一個角色相關聯，然后通過權限最終控制對每個單獨的DP進行訪問。發送方不知道接收者被分配了什么樣的角色，因此它不知道自己在接收方的許可。這是接收方設備的配置問題，發送方無法對此進行控制。不同的發送方在同一設備中可以是相同或不同的角色。發送方的角色在接收者中僅與發送方物理地址相鏈接。如果發送方具有希望在接收方中進行區分的多個用戶，則發送方必須管理這些用戶并且對每個用戶使用不同的源地址。

點對點密鑰表應為每個點對點鏈路定義角色，該角色應被授予給通信伙伴。AIL將僅在接收端評估點對點密鑰表中的角色。在傳輸方向上，任何消息都將像平常一樣以其SA（IA）和DAY（IS）發送出去。如果點對點密鑰表預計一個鏈路索引有多個角色，則對于分配給此鏈接索引的所有角色，必須評估該權限列表。兩個鏈接可以被分配相同的角色。

3.3.2 AIL中安全失效記錄

AIL應記錄在角色和許可的評估中失效的信息。任何失效都應增加安全失效公共計數器中體現。如果使用密鑰表中的鏈接試圖訪問服務或DP，則應按在鏈接上的安全失效通過增加AIL失效計數器來另外記錄該錯誤。

誠然，除了安全應用層、應用層和應用界面層，HBES數據安全模型還包括通訊方式、接口配置、密碼格式以及操控機制，是不可或缺的整體，其相關技術原理將在后續的文章給予闡釋。

4 HBES安全模式標準化

隨著5G通信技術、人工智能技術的廣泛應用，以及高度集成化的芯片涌現，明顯地促進了HBES網絡安全技術的進步，所以其相應標準化也在不斷得到修改，以便滿足社會進步和發展的需要。

4.1 國際標準化進展

目前，EN50090系列標準已經定義了KNX安全模式，并采用了具體的算法進行實現，如CCM等[14]。相應的歐洲標準也在轉化的過程中。

除了上述KNX數據安全，KNX/IP安全也成為首個供應商獨立的樓宇自動化安全標準，如圖9所示。

KNX作為智能家居和樓宇國際先進的技術標準已經取得里程碑式的發展。作為世界上第一個樓宇領域供應商和應用的安全解決方案，KNX/IP安全已經成為國際公認的安全標準ENISO22510。雖然新的ISO標準已經在2019年11月份發布，但是隨著5G通信技術的進步和智能化算法的應用，標準推廣、硬件配置及軟件開發將是智能化住宅與樓宇領域新課題。

4.2 中國國家標準化進展

TC124（全國工業過程測量控制和自動化標準化技術委員會）在KNX安全標準的基礎上，結合中國國情對GB/T 20965-2013進行標準修訂。工作組在原有的國家標準基礎上，對HBES安全進行擴充。目前，該標準已經進入報批階段。

眾所周知，5G網絡具有低延時、低功耗、高帶寬、高容量等特點，帶給人們對于信息傳輸的極速體驗。5G結合AI技術，將打破以往技術限制，通過構建一張低延時、低功耗、高帶寬、高容量、高吞吐量的移動通信網絡平臺，解決以往智能樓宇因技術壁壘而不得不設置多張網絡的局面，逐漸實現住宅和樓宇內末端、中間傳輸設備通過物聯網的方式接入移動通信網絡，逐漸改變傳統通過有線的方式連接轉變為無線方式連接，進入無線傳輸時代。真正意義上開啟室內定位導航，實現真正意義上住宅與樓宇智能化。但是，面對5G通信時代，智能化住宅與樓宇數據安全模式必然也要升級，必定會產生新的模式、物理硬件及其新的標準。

圖9 樓宇自動化安全標準

5 結束語

伴隨著互聯網技術的快速發展，對HBES安全模式的要求越加嚴格和嚴密，也是實現住宅和樓宇智能控制的關鍵因素。雖然我國在住宅和樓宇智能控制與安全的研究起步較晚，但是發展勢頭強勁，近幾年已經取得了令人矚目的成果，為我國此行業的發展進步奠定了基礎。本文總結和借鑒了國際標準化的相關經驗，希望能夠引起國內相關科研院所和生產商的高度重視。