住宅与楼宇数据安全模式及其标准化进展

郑秋平，岳磊，王洲

（机械工业仪器仪表综合技术经济研究所，北京 100055）

1 引言

伴随着人工智能技术的发展以及人们对建筑功能要求的逐步提高，楼宇智能化技术以其先进舒适、便捷和安全的优势，已经是现代住宅和楼宇建筑的发展趋势[1，2]。智能建筑是指利用系统集成方法，将智能型计算机技术、通信技术、控制技术、多媒体技术和现代建筑艺术有机结合，通过对设备的自动监控，对信息资源的管理，对使用者的信息服务及其建筑环境的优化组合，具有安全、高效、舒适、便利和灵活特点的现代化建筑物，而信息采集、信息安全以及信息通讯等技术具有举足轻重的地位[3]。纵观信息技术的发展，标准化、集成化、网络化、抽象化、可信化是其发展的五大趋势。而信息安全技术的发展呈现出了动态性、复杂性、智能性、可控性的特征，这不仅会进一步提高住宅和楼宇网络系统的安全生存能力，还能够有效地增强信息安全防护中的主动性、实时性、可控性和有效性[4]。

控制网络HBES技术内容也称为KNX技术，起源于欧洲，用于住宅和楼宇控制领域，是一种分布式总线控制技术。KNX技术来源于三种用于住宅和楼宇的总线控制技术，即EIB、Batibus和EHS，其中EIB（European Installation Bus，欧洲安装总线）是技术主体[5]。

本文在查阅相关文献并借鉴EIB技术的基础上，针对相关学科领域的技术进步和我国在住宅与楼宇领域的发展现状，对HBES数据安全问题进行了深入剖析。首先论述了HBES数据宏观的安全体系，然后详尽阐释了HBES数据安全模式的核心技术，包括安全应用层（S-AL）、应用层（AL）和应用界面层（AIL）结构和功能，而后对国内外的HBES数据安全标准化进展进行了论述和展望。

本文旨在强调HBES数据安全模式的重要性以及标准化进展的必要性和迫切性，为此领域的发展进步提供参考。

2 HBES数据安全

住宅和楼宇电子系统（Home and Building Electronic Systems，HBES）是一种功能分散分布，并通过公共通信过程连接的多应用总线系统。HBES数据安全有对立的两方面的含义：一是数据本身的安全，主要是指采用现代密码算法对数据进行主动保护，如数据保密、数据完整性、双向身份认证等；二是数据防护的安全，主要是采用现代信息存储手段对数据进行主动防护。HBES数据安全是一种主动的包含措施，数据本身的安全必须基于可靠的加密算法与安全体系，其特点体现在：（1）机密性保密性，是指个人或团体的信息不为其他不应获得者获得；（2）完整性，数据完整性是信息安全的三个基本要点之一，旨在传输、存储信息或数据的过程中，确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现；（3）易用性，数据可用性是一种以使用者为中心的设计概念，易用性设计的重点在于让产品的设计能够符合使用者的习惯与需求[6]。

目前，国内外学者在智能住宅与楼宇数据信息的感知、传输和处理等各个环节均开展了相关工作，这些研究大部分针对智能住宅与楼宇的各个层次，而发展趋势即形成完整统一的安全体系。

2.1 感知层

感知层在住宅与楼宇网络中的作用是感知并采集外界信息，用于感知的设备包括传感器设备、全球定位系统、图像采集设备及RFID设备等。感知层中，有许多不同类型的感知节点，为确保这些节点的安全感知，主要的解决办法是对这些感知信息进行加密和对节点设备的认证，利用认证机制避免标签和节点被非法访问[7]。

2.2 传输层

传输层是感知层与应用层之间的桥梁，它将感知层感知到的信息根据应用层的需求传输到需要的位置。传输层的基础是各种通信网络，不同类型的网络之间的通信的安全认证至关重要。传输层的安全挑战主要有网络设备的非法接入，各种攻击手段如中间人攻击与DoS攻击，以及对传输信息的拦截与篡改。异构网络的信息交换将成为安全性的脆弱点，特别在网络认证方面，难免存在中间人攻击和其他类型的攻击，如异步攻击、合谋攻击等，这些攻击都需要有更好的安全保护措施[8]。

传输层目前的主要研究重点是节点之间的安全性，通过对节点之间的安全认证，保证整个传输层的机密性，利用诸多安全协议保证数据的安全传输。

2.3 应用层

应用层设计的主要目的是满足智能住宅与楼宇系统的具体业务开展的需求，它所涉及的信息安全问题直接面向用户群体，与其他层次有着明显的区别。考虑到智能住宅与楼宇涉及到众多用户与设备，应用层中对大量数据的处理和控制的安全性面临着很多安全问题，比如数据的隐私性、完整性及业务控制等问题有待解决。

在应用层中，目前的主要研究重点是数据库安全访问技术，其他的安全技术也会随着科技发展得到实现，如数据保护技术、信息取证技术、数据加密检索技术等。虽然智能化的技术在现代生活中已经广泛应用，但就其本质还是现代信息技术的产物，智能住宅与楼宇生存和发展的基础还是现代信息技术和互联网。所以，智能住宅与楼宇安全问题的根本还是信息安全。信息安全所涉及的技术中，最为核心的是加密技术与身份认证技术。

加密技术不仅要求算法通过严谨的数学证明，同时也要求算法符合安全的现实应用。由于计算机硬件的急速发展和安全应用需求的不断提高，加之目前的网络攻击手段和方式层出不穷，对密码的理论研究和创新也有着更高的要求。身份认证技术在信息安全涉及的诸多技术中有着举足轻重的地位，只有进行有效的身份认证，才能保证各种安全机制的可靠实施[9，10]。

3 HBES数据安全模式

智能住宅与楼宇信息安全体系结构各层次的安全需求各不相同，但各层的安全需求的着重点是相同的，即数据安全及接入安全。数据安全是指数据在采集、传输以及存储过程中的机密性与完整性。

3.1 安全应用层

HBES数据安全模型由安全应用层、应用层和应用接口层构成如图1所示。

S-AL在链路层进行操作，具有加密和解密安全信息及处理链路层异常的功能。S-AL包括点对点密钥列表、组密钥列表、安全物理地址列表等资源。

安全应用层取决于链路层上的HBES数据安全，所以S-AL是应用层的组成部分。如图2示出了S-AL在HBES通信协议栈中的位置。S-AL具备四种功能：（1）支持S-AData-service；（2）支持序列号处理；（3）支持安全性失效的处理；（4）传输层服务的安全处理。

图1 HBES数据安全模式在HBES协议栈中的位置

3.1.1 安全应用数据服务（S-A_Data-service）

S-AL嵌入在AL层中，既是应用层的一部分，其链接次序确保了HBES数据安全性，不但可以确定了平凡应用层（AL-service）在传输端的安全性，也兼顾了接收端S-A_Data-PDU的安全性。S-AL的使用不影响平凡应用层的功能。这将允许S-A_Data-service与应用层服务结合得更紧密，并允许安全策略更适用于每个应用层服务。

S-AL可以处理应用层协议数据单元（Application layer Protocol Data Unit，APDU）内的安全控制字段（Security Control Field）。SAL应具有四种功能：（1）支持S-A_Data服务；（2）序列号的处理；（3）安全失效的处理；（4）传输层服务的安全处理。

S-A_Data-service在传输端用加密安全APDU替代AL-service-PDU，在接收端反之亦然。本地S-AL应采用S-A_Data-service在总线上传输S-A_Data-PDU，而S-A_Data-PDU的格式如图3所示。

3.1.2 序列号处理

在HBES开放介质（HBES RF、HBES PL110）上，发送端还应通过它的HBES序列号和域地址进行识别。序列号是一个6个八位位组格式，如图4所示。

序列号是一个简单的数值，6个八位位组格式很难发生溢出。因此，不需要担心对序列号出现溢出问题。

SeqNr提供数据传输的即时更新，发送方应在其任何安全DP的每次后续传输中增加序列号的值，所有安全通信都应只使用一个单一的序列号，每个安全链接或每个安全数据点不得有不同的序列号[11]。

3.1.3 传输层服务的安全处理

安全应用层服务通过传输层服务（TL service）原语请求（Primitives Request，Req）、原语指示（Primitives Indication，Ind）和原语确认（Primitives Confirmation，Con）来调用。

图2 S-AL在应用层中的位置

图3 加密的安全APDU格式

图4 序列号的格式

在接收端，对于每个传输层服务，S-AL应该处理由远程通信设备引起的以下状态，可能是黑客入侵或企图绕过该S-AL。

（1）在传输端，那些在点对点密钥表或组密钥表中未加密的链接都将被滤除，因为不安全。

（2）如果收到的消息是安全的，将验证其安全性。

在发送端，普通AL服务或S-A_Data服务之间的选择应由安全资源（the Security Resources）给出。在任何情况下，那些传输层中的服务指示或原语确认，也包含安全AL服务指示或确认，均由S-AL进行处理。

3.2 应用层

应用层（AL）的功能是实现AL在S-AL和AIL之间转发安全服务参数[12]。本地应用层应接收服务请求并将应用层服务访问点（Applicationlayer Service Access Point，ASAP）映射到传输层服务访问点（Transportlayer Service Access Point，TSAP）。

所有AL服务的规范都应使用安全服务参数进行扩展：par_auth:此参数标识应用层是否执行有授权的安全通信；par_conf:此参数标识应用层是否执行具有保密协议的安全通信。

对于Lcon-service原语和Acon-service原语，需增加参数：link_index：此参数应包含应用层服务的链接索引，或是使用工具密钥（Tool Key）的标识。如果安全链接表中未找到该链接索引，则该参数值应为值“none”。

3.3 应用界面层

应用界面层描述了用于接口对象的HBES数据安全，AIL具备四种功能[13]：（1）支持权限和角色；（2）支持安全白名单和安全黑名单；（3）支持安全模式；（4）在AIL中处理安全失效。

3.3.1 权限和角色

对于所有其他通信模式，安全性发送方的SA和安全密钥的知识紧密相连。安全链接资源（点对点密钥表，组密钥表和区域密钥表）不允许在两个或多个发件人之间存在授权区别：任何能够正确保护消息的发件人都可以完全访问AIL和管理的所有数据和服务。

权限为通信伙伴定义了信息接收端是否有权共同访问每条数据（组对象、属性、内存位置或其他）或服务的限制条件。

在安全应用中，可能存在使用安全通信的许多链接和许多安全数据点。如果必须为每个链接、数据点或服务的组合定义许可，则必须设置大量的许可。

反之，假设对某个DP的许可在链接之间没有太多的差别。因此，将所有DP中具有相同许可的链接组合在一起并为这一组链接定义许可，而代替对单个链接定义许可。这样，在设备中具有相同许可的链接组称之为一个角色。

角色的使用有四个优点：（1）减小许可列表的大小；（2）降低链路与许可之间的复杂性；（3）简化了管理和实施；（4）用户容易理解和操作。

其中，权限列表是DP特性的一个功能扩展。一个许可应为一个角色给出访问DP或服务所需要的条件。AIL应对权限列表进行评估，检查某个连接和某个服务是否有权限访问数据点和服务。如果评估结果是否定的，则作为常规的错误进行处理。

角色可以在HBES数据安全中使用，但也可以在该范围之外使用。在接收方，每个链接应通过角色表精确的与一个角色相关联，然后通过权限最终控制对每个单独的DP进行访问。发送方不知道接收者被分配了什么样的角色，因此它不知道自己在接收方的许可。这是接收方设备的配置问题，发送方无法对此进行控制。不同的发送方在同一设备中可以是相同或不同的角色。发送方的角色在接收者中仅与发送方物理地址相链接。如果发送方具有希望在接收方中进行区分的多个用户，则发送方必须管理这些用户并且对每个用户使用不同的源地址。

点对点密钥表应为每个点对点链路定义角色，该角色应被授予给通信伙伴。AIL将仅在接收端评估点对点密钥表中的角色。在传输方向上，任何消息都将像平常一样以其SA（IA）和DAY（IS）发送出去。如果点对点密钥表预计一个链路索引有多个角色，则对于分配给此链接索引的所有角色，必须评估该权限列表。两个链接可以被分配相同的角色。

3.3.2 AIL中安全失效记录

AIL应记录在角色和许可的评估中失效的信息。任何失效都应增加安全失效公共计数器中体现。如果使用密钥表中的链接试图访问服务或DP，则应按在链接上的安全失效通过增加AIL失效计数器来另外记录该错误。

诚然，除了安全应用层、应用层和应用界面层，HBES数据安全模型还包括通讯方式、接口配置、密码格式以及操控机制，是不可或缺的整体，其相关技术原理将在后续的文章给予阐释。

4 HBES安全模式标准化

随着5G通信技术、人工智能技术的广泛应用，以及高度集成化的芯片涌现，明显地促进了HBES网络安全技术的进步，所以其相应标准化也在不断得到修改，以便满足社会进步和发展的需要。

4.1 国际标准化进展

目前，EN50090系列标准已经定义了KNX安全模式，并采用了具体的算法进行实现，如CCM等[14]。相应的欧洲标准也在转化的过程中。

除了上述KNX数据安全，KNX/IP安全也成为首个供应商独立的楼宇自动化安全标准，如图9所示。

KNX作为智能家居和楼宇国际先进的技术标准已经取得里程碑式的发展。作为世界上第一个楼宇领域供应商和应用的安全解决方案，KNX/IP安全已经成为国际公认的安全标准ENISO22510。虽然新的ISO标准已经在2019年11月份发布，但是随着5G通信技术的进步和智能化算法的应用，标准推广、硬件配置及软件开发将是智能化住宅与楼宇领域新课题。

4.2 中国国家标准化进展

TC124（全国工业过程测量控制和自动化标准化技术委员会）在KNX安全标准的基础上，结合中国国情对GB/T 20965-2013进行标准修订。工作组在原有的国家标准基础上，对HBES安全进行扩充。目前，该标准已经进入报批阶段。

众所周知，5G网络具有低延时、低功耗、高带宽、高容量等特点，带给人们对于信息传输的极速体验。5G结合AI技术，将打破以往技术限制，通过构建一张低延时、低功耗、高带宽、高容量、高吞吐量的移动通信网络平台，解决以往智能楼宇因技术壁垒而不得不设置多张网络的局面，逐渐实现住宅和楼宇内末端、中间传输设备通过物联网的方式接入移动通信网络，逐渐改变传统通过有线的方式连接转变为无线方式连接，进入无线传输时代。真正意义上开启室内定位导航，实现真正意义上住宅与楼宇智能化。但是，面对5G通信时代，智能化住宅与楼宇数据安全模式必然也要升级，必定会产生新的模式、物理硬件及其新的标准。

图9 楼宇自动化安全标准

5 结束语

伴随着互联网技术的快速发展，对HBES安全模式的要求越加严格和严密，也是实现住宅和楼宇智能控制的关键因素。虽然我国在住宅和楼宇智能控制与安全的研究起步较晚，但是发展势头强劲，近几年已经取得了令人瞩目的成果，为我国此行业的发展进步奠定了基础。本文总结和借鉴了国际标准化的相关经验，希望能够引起国内相关科研院所和生产商的高度重视。