Q／GDW 12179-2021  智能物联电能表安全防护技术规范

4.3.2.2引导程序安全

Q/GDW12179—2021

电能表引导程序安全应满足如下要求： a) 在开发过程中应对代码进行安全审查； 不可升级，应用前需经过严格检测并备案； 引导操作系统完成启动后应立即结束运行； 应仅具备实现操作系统安装、启动和升级所必需的功能； 引导操作系统异常情况下，应进行必要的操作系统恢复操作。

污水处理标准规范范本夏3. 2. 3操作系统安全

电能表操作系统安全应满足如下要求： a）在开发过程中应对代码进行安全审查； 在安装前应对操作系统程序进行合法性检查，若操作系统程序非法则禁止安装； 在启动前引导程序应对存储器内的操作系统程序进行合法性检查，若操作系统程序被篡改，则 对操作系统恢复后重新启动； 在运行时应定期对操作系统程序合法性检查，若操作系统被纂改应立即告警并终正所有业务应 用程序运行； e 在升级时应先对升级程序和升级命令的合法性进行检查，若升级程序或升级命令非法应拒绝执 行系统升级操作。应支持广播、组播方式下发操作系统升级包； f 对应用程序访问硬件资源、文件的权限进行控制，应拒绝应用程序访问未授权的硬件资源、文 件并记录日志； 应具备记录应用程序的关键操作日志的功能，便于进行审计： 操作系统应自主安全可控，应仅具备线程管理、进程管理、进程间通信、线程间通信、内存保 护、设备权限管理、文件管理等功能，不应具备网络协议栈及用户管理等功能。

4.3.2.4应用程序安全

电能表应用程序安全应满足如下要求： a）在开发过程中应对代码进行安全审查； b）在停止、卸载时应先对操作指令进行合法性检查，若操作指令非法应拒绝执行； C 在升级时应先对升级程序和升级指令的合法性进行检查，若非法应拒绝程序升级。应支持广播、 组播等方式下发程序升级包； d） 在安装时应对应用程序进行合法性检查，若非法应拒绝安装； e 应对应用程序访问ESAM硬件接口的权限进行控制，应拒绝业务应用程序执行非授权的ESAM 相关操作； 应对外部设备发送的数据顺进行分析，并进行数据项过滤，非法数据应不做处理： 应记录应用程序的关键操作日志，便于进行审计，

4.3.3扩展模组软件安全要求

电能表扩展模组软件安全应满足如下要求： a）扩展模组1型应集成硬件ESAM模块，扩展模组2型应集成安全软算法模块； 6 安全软算法模块应内嵌国密SM4算法； 安全软算法模块应具备数据加解密、数据完整性校验、密钥初始化、密钥衍生运算、密钥安全 存储等功能： d 安全软算法模块中密钥应来源于国家电网有限公司用电信息密码基础设施。

4.4计量模组业务安全

Q/GDW121792021

身份认证功能主要实现计量模组与外部设备及管理模组的认证，具体要求如下： a 身份认证应通过内嵌的安全模块实现，应支持多个不同种类外部设备同时与电能表进行身份认 证； b） 外部设备与电能表计量模组进行数据交换前应先进行身份认证，认证通过后且在认证有效期内 方可进行业务数据交换： 身份认证应具有主动和被动失效机制，在身份认证失效后应拒绝与电能表对应模组进行业务数 据交换； d 身份认证过程中应能识别外部设备的身份类型与权限类型等信息，认证通过后应只能执行与外 部设备的身份和权限相匹配的操作； 身份认证采用对称密码技术进行实现，认证流程应符合附录A中A.2.1的要求

计量模组应具有安全传输功能，具体要求如下： a）当外部设备访问电能表计量模组时，电能表计量模组应支持明文+MAC、密文、密文+MAC、 明文+随机数+MAC的安全传输方式。外部设备应先验证MAC数据的有效性，验证通过方可 进行后续操作，防止数据被纂改、伪造： b 外部设备对电能表计量模组访问时，应按照计量模组的默认安全模式参数执行； C 计量模组安全模式参数不可设置； ESAM故障时，仅支持数据抄读，采用明文+随机数方式抄读时，返回明文+MAC，MAC为4 字节的全FF； ESAM故障时，建立应用连接，应用连接请求认证的结果返回ESAM通信故障

4.4.3数据回抄功能

计量模组数据回抄功能应满足如下要求： a）计量模组回抄数据应带MAC返回： b）计量模组应支持抄读ESAM模块中的所有文件和数据。

计量模组清零功能应满足如下要求： a）计量模组不应支持正式密钥状态下的清零命令； b 清零操作应采用密文+MAC的方式执行； C 清零命令中必须包含有效的时间标签； 清除除电能表清零事件记录以外的所有事件记录，同时保存该次电能表清零事件记录； e）清除表内电能量、冻结等数据

4.4.5事件记录功能

量模组在密钥更新时应记录密钥更新事件记录。

4.4.6参数更新功能

Q/GDW12179—2021

计量模组应支持远程参数更新功能。 具体安求如下： a 外部设备通过上行通信模组、扩展模组或蓝牙通信接口对电表远程更新参数时，应满足应用连 接建立并在会话时效剩余时间内： 修改表号时，电能表内所有密钥版本均应为测试密钥状态； C）参数更新应采用安全传输服务。

4. 4. 7文件传输

计量模组应具有软件比对功能，执行文件传输操作应满足的条件： a）加密保护比对数据的密钥应采用比对因子对安全模块内的密钥进行分散； b）比对操作时应采用绝对地址，分多包分别进行； c）计量模组支持采用CPU个数应少于等于8个； 允许计量模组在程序存储器中最多开辟两个区域存储默认参数； 计量模组生产时应将软件备案号固化到电能表中，并能通过通信方式读出： 软件比对时传输文件类型应为二进制文件，应采用DL/T698.45协议进行传输，不应采用FTP 等协议进行传输

4. 4. 8 密钥更新

4.4.8.1操作条件

计量模组应具有密钥更新功能，执行密钥更新操作应满足的条件： a 通过上行通信模组、扩展模组或蓝牙通信接口远程更新时，应满足应用连接建立并在会话时效 剩余时间内； 6 对称密钥版本为16字节00，表示当前在密钥版本为测试密钥版本下，可下装成密钥版本为正 式版本；对称密钥版本为非00，表示当前在密钥版本为正式密钥版本状态下，可恢复成测试 密钥版本： 电能表发给安全芯片应采用一顿命令； d 电能表应保证同时只有一个通道可进行密钥更新，

4.4.8.2操作内容

密钥更新操作的内容： 主站先通过明文读取电能表内ESAM信息，获得电能表内的对称密钥版本，判断是否需要更 新； 更新电能表中的密钥，成功后应记录密钥更新事件记录； c）密钥更新应采用安全传输服务

计量模组应具有厂播校时功能，具体要求如下： 应支持通过密文+MAC或明文的方式进行广播校时，广播校时应记录事件记录且不应响应时 钟偏差在最小校时偏差（默认1分钟）内的校时指令； 通过明文方式进行广播校时时同时需满足，每个自然日只允许执行一次，广播校时校时范围不 应大于最大校时偏差（默认5分钟），且校时后时间不应跨天； 通过明文方式进行广播校时时，若广播校时范围超过最大校时偏差（默认5分钟），电能表应 记录时钟故障事件记录，一天只记录1次，

Q/GDW121792021

计量模组双芯交互时应满足如下要求： 当计量模组白名单中存在对应的管理模组表号时，计量模组方可与对应的管理模组进行双芯认 证； ） 电能表上电、管理模组插拔，需进行双芯认证，认证通过后，同步数据块采用明文传输，其它 交互采用安全数据传输： 计量模组检测到管理模组拔出后，应自动将已经建立的双芯认证失效； d 计量模组检测到管理模组插拔后，应记录管理模组插拔事件记录； 当管理模组升级时，计量模组应记录管理模组升级事件记录； 工 计量模组的开盖等状态通过双芯同步给管理模组，由管理模组统一上报。

4.5管理模组业务安全

应具有控制各个业务程序使用加解密权限的功能，具体要求如下： a 启动业务程序后，应将该程序的数据操作权限信息注册到的信息管理表中； b）应验证报文中数据操作权限信息与信息管理列表是否匹配，如不匹配则返回错误： ）进行数据加解密计算时，应验证业务程序的权限信息，如不通过则返回错误信息

具有通信报文格式和功能检测的功能，具体要求如下： a）对请求报文格式进行合法性验证，若非法则丢弃； b）对请求报文功能按照协议进行检查，根据协议规定进行处理； C）对于转发的报文，应先判断报文内容是否合规，若不合规则不能进行转发，做丢弃处理。

身份认证功能主要实现各模组和外部设备彼此之间的认证，具体要求如下： a）身份认证应通过各模组内嵌的安全模块实现，应支持多个不同种类外部设备与电能表进行身份 认证； b 外部设备与电能表各模组进行数据交换前应先进行身份认证，认证通过后且在认证有效期内方 可进行业务数据交换； 电能表各模组间进行数据交换前应先进行身份认证，认证通过方可进行业务数据交换； d 身份认证应具有主动和被动失效机制，在身份认证失效后电能表对应的模组应拒绝进行业务数 据交换； e 在进行身份认证过程中应能识别外部设备的身份类型与权限类型等信息，认证通过后应只能执 行与外部设备的身份和权限相匹配的操作； 身份认证采用对称密码技术进行实现，认证流程应符合附录A中A.1.1的要求，

4.5.4恶意代码防护

管理模组应实时对电能表硬件 如内存使用率、CPU占用率、网络发送 发现异常可做日志记录、实时上报、 应用程序临时停用等处理

Q/GDW12179—2021

管理模组应具有程序检验功能，具体要求如下： 程序检验应通过管理模组内嵌的安全模块以验证数字签名的方式实现； 启动后应验证引导区中的引导程序，如验证失败应立即报警； C 业务应用程序启动前，应先对业务程序合法性和完整性验证，验证通过后方可进行业务应用程 序启动。

4. 5. 6 启动引导

管理模组应具有引导业务应用程序安全启动的功能，具体要求如下： a）管理模组上电后应按业务程序启动配置文件要求启动应用程序； b）管理模组停电时应按业务程序启动配置文件要求停止应用程序。

4.5.7应用程序安装

管理模组应具有应用程序安装功能，具体要求如下： 应先通过远程身份认证并在身份认证有效期内； b 接收的安装应用程序文件报文MAC验证应通过，且应用程序文件的签名验证通过； C）接收的安装应用程序命令报文MAC验证应通过

4.5.8应用程序卸载

管理模组应具有应用程序卸载功能，具体要求如下： a）应先通过远程身份认证并在身份认证有效期内； b）接收的卸载应用程序命令报文MAC验证应通过

4.5.9应用程序升级

管理模组应具有应用程序升级功能，具体要求如下： a）应先通过远程身份认证并在身份认证有效期内； b）接收的升级应用程序文件报文MAC验证应通过，并验证应用程序文件的签名通过： c）接收的升级应用程序命令报文MAC验证应通过，

4.5.10应用程序停止

管理模组应具有应用程序停止功能，具体要求如下： a）应先通过远程身份认证并在身份认证有效期内； b）接收的停止应用程序命令报文MAC验证应通过

4. 5. 11安全传输

管理模组应具有数据安全传输功能，具体要求如下： a 管理模组应支持明文+MAC、密文、密文+MAC、明文+随机数+MAC的安全传输方式。若安 全传输数据含有MAC时，电能表、采集设备和主站应先验证MAC数据的有效性，验证通过 方可进行后续操作，防止数据被篡改、伪造； 管理模组主动上报采用明文+随机数+MAC的方式； C ESAM故障时，支持数据上报和数据抄读，采用明文+随机数方式抄读时，返回明文+MAC， MAC为4字节的全FF；主动上报时，随机数为全FF，MAC为4字节的全FF； ESAM故障时，建立应用连接，应用连接请求认证的结果返回ESAM通信故障

管理模组应具有数据安全传输功能，具体要求如下： a 管理模组应支持明文+MAC、密文、密文+MAC、明文+随机数+MAC的安全传输方式。若室 全传输数据含有MAC时，电能表、采集设备和主站应先验证MAC数据的有效性，验证通 方可进行后续操作，防止数据被篡改、伪造； b 管理模组主动上报采用明文+随机数+MAC的方式： C ESAM故障时，支持数据上报和数据抄读，采用明文+随机数方式抄读时，返回明文+MAC， MAC为4字节的全FF；主动上报时，随机数为全FF，MAC为4字节的全FF； d ESAM故障时，建立应用连接，应用连接请求认证的结果返回ESAM通信故障，

4.5.12数据回抄功能

管理模组应具有数据回抄功能，具体要求如下： a）抄读管理模组数据时，管理模组返回数据应带MAC； b）管理模组应支持抄读ESAM模块中的所有文件和数据

Q/GDW121792021

电能表清零功能，具体要求如下： a 管理模组不应支持正式密钥状态下的清零命令； b 管理模组通过远程清零命令实现电能表清零功能，清零操作应采用密文+MAC的方式执行 清零命令中必须包含有效的时间标签； 清除除电能表清零事件记录以外的所有事件记录，同时保存该次电能表清零事件记录 d）清除表内电能量、最大需量及发生时间、冻结量等数据

4.5.14事件记录功能

管理模组应具有事件记录功能，具体要求如下： a）电能表事件记录说明： 1 远程清零命令应记录清零记录： 2） 电能表模组身份认证出现异常时应记录异常认证记录； 3 电能表负荷开关动作时应记录拉、合闸记录； 4） 电能表密钥更新时，应记录密钥更新记录： 编程记录说明： 1） 身份认证通过，电能表进入编程状态。当身份认证时效到、收到身份认证失效命令或再次 收到身份认证命令时，结束该编程状态； 2 在电能表进入编程状态到结束编程状态期间，对电能表进行编程操作，应记录一次编程记 录

4.5. 15主动上报功解

管理模组应具有主动上报功能，具体要求如下： 管理模组支持所有事件进行主动上报，上报事件可设置； b 管理模组主动上报采用明文+随机数+MAC方式，电能表需对上报应答报文进行MAC验证成 功后才能对上报内容进行确认： 除掉电事件按事件记录内容上报外，其它事件上报按新增事件上报列表进行上报； 管理模组上电期间的主动上报，上报后如果没收到确认命令可以10s再上报一次，最多上报3 次； e 管理模组停电上报后，如果超过1s没收到确认响应命令，则再次上报，最多上报3次； 管理模组停电期间发生的事件上报，需上电后再进行上报（除掉电事件外）

4.5.16参数更新功能

管理模组应支持远程参数更新功能，具体要求如下： 外部设备通过上行通信模组、扩展模组或蓝牙通信接口对电表远程更新参数时，应满足应用连 接建立并在会话时效剩余时间内： b）修改表号时，电能表内所有密钥版本均应为测试密钥版本：

Q/GDW121792021 c）更新电能表中参数，成功后应记录编程事件记录； d）参数更新应采用安全传输服务

4.5.17远程控制功能

管理模组应支持远程控制功能，远程控制包括跳闸、合闸充许、直接合闸、报警、报警解除、保电 和保电解除。管理模组收到远程控制命令时应通过消息鉴别码（MAC）对控制指令真实性、完整性、 合法性进行验证，验证通过后，首先对远程控制命令进行应答，然后管理模组对外置断路器发送控制命 远程控制操作的内容： a 保电命令优先级高于远程跳闸命令，远程跳闸命令优先级高于本地合闸命令； b） 管理模组在跳闸状态时收到远程跳闸命令，应回正常应答帧； ） 管理模组在执行跳闸命令延时过程中掉电，重新上电后应立即跳闸； d 管理模组在跳闸状态时收到合闸允许命令等待合闸的过程中掉电，重新上电后应继续停留在等 待合闸的合闸允许状态； e） 管理模组在保电状态时收到远程跳闸命令，应返回含未授权信息的错误应答帧； f 管理模组收到远程控制命令，执行相应操作后，应同步更新控制命令状态字或控制命令错误状 态字； 管理模组接收到跳合闸命令后，继电器发生动作，应记录跳合闸事件记录； h）过载跳闸、端子过热跳闸用于特定场合，由此引发的跳闸操作优先级高于远程保电。

管理模组应具有软件比对功能，具体要求如下： 管理模组程序进行软件比对，包括引导程序、操作系统程序及其他业务应用程序。管理模组支 持采用CPU个数应少于等于8个； b） 允许每个业务应用程序在程序存储器中开辟1个区域存储默认参数（区域空间最大为4KB） c）管理模组生产时应将软件备案号固化到管理模组中，并能通过通信方式读出。

管理模组应具有密钥更新功能，具体要求如下： a）通过上行通信模组、扩展模组或蓝牙通信接口远程更新时，应满足应用连接建立并在会话时效 剩余时间内； 对称密钥版本为16字节00，表示当前在密钥版本为测试密钥版本下，可下装成密钥版本为正 式版本：对称密钥版本为非00，表示当前在密钥版本为正式密钥版本状态下，可恢复成测试 密钥版本； C 管理模组发给安全芯片应采用一顿命令： d 管理模组应保证同时只有一个通道可进行密钥更新： e）主站先读取电能表内ESAM信息，获得电能表内的对称密钥版本，判断是否需要更新； 更新电能表中的密钥，成功后应记录密钥更新事件记录； g）密钥更新应采用安全传输服务

Q/GDW121792021

a）通过上行通信模组、扩展模组或蓝牙通信接口远程 更新时，应满足应用连接建立并在会话时效 剩余时间内； b) 管理模组发给安全芯片应采用一帧命令； C 管理模组应保证同时只有一个通道可进行证书更新。主站先读取管理模组内ESAM信息，获 得管理模组内的证书序列号，判断是否需要更新； d) 证书更新应采用安全传输服务。

程序开级操作的内容： a）主站、终端先读取电能表内程序信息，获得电能表内的程序版本，判断是否需要更新； b）升级电能表中的程序，管理模组应通知计量模组记录程序升级事件记录； C启动电能表升级命令需采用安全传输

4. 6. 1身份认证

身份认证功能主要实现扩展模组与外部设备或管理模组的认证，具体要求如下： a）在扩展模组上电后应先进行身份认证，认证通过后且在认证有效期内方可进行业务数据 b) 身份认证应具有主动和被动失效机制，在身份认证失效后扩展模组应拒绝进行业务数据 c）身份认证采用对称密码技术进行实现，认证流程应符合附录A中A.1.4或A1.5的要求。

电能表扩展模组应具有安全传输功能，具体要求如下： 当外部设备访问扩展模组时，支持明文、明文+MAC、密文、密文+MAC、明文+随机数+MAC 传输方式。扩展模组应答采用MAC的情况下，外部设备应先验证MAC数据的有效性，验证 通过方可进行后续操作，防止数据被篡改、伪造： 外部设备对扩展模组访问时，应按照扩展模组的安全模式参数执行； c）扩展模组安全模式参数应可设置

电能表扩展模组应具有安全传输功能，具体要求如下： 当外部设备访问扩展模组时，支持明文、明文+MAC、密文、密文+MAC、明文+随机数+MAC 传输方式。扩展模组应答采用MAC的情况下，外部设备应先验证MAC数据的有效性，验证 通过方可进行后续操作，防止数据被算改、伪造： 外部设备对扩展模组访问时，应按照扩展模组的安全模式参数执行； 扩展模组安全模式参数应可设置

电能表关键数据存储，具体要求如下：

Q/GDW12179—2021 电能表不计费，不存储和显示与金额、电价、阶梯、购电相关的数据，电能表参数设置和状态 调整，均应采用管理模组ESAM加密保护； b）电能表关键参数应至少双备份，每份数据带有校验，可判断数据的正确性

电能表加解密算法，具体要求如下： 电能表使用的加密算法包括国密SM1、SM2、SM3、SM4、SM9算法； 重要数据用国密SM1算法进行加密存储于智能电表中，核心关键数据存储于ESAM中； 在电能表蓝牙通信传输方面，使用SM4算法以CBC的方式进行加密；在HPLC通信上，使用 SM1算法，支持以明文+MAC、密文、密文+MAC、明文+随机数+MAC的方式进行通讯； d 在认证方面可通过SM1、SM4计算MAC进行认证，也支持基于SM2、SM3算法认证。

电能表密钥管理，具体要求如下： 当模组采用ESAM模块时，所有密钥、证书均存储在ESAM模块中，在任何业务流程和任何 场景下不出现密钥明文，确保密钥不出ESAM模块； 密钥和证书的传递、更新均采用强加密措施，确保密钥和证书的机密性与完整性； 电能表通过ESAM模块实现密钥的协商过程，会话密钥不出ESAM模块； 当扩展模组采用ESAM模块时，密钥保护机制同电能表内部密钥保护机制。当扩展模组采用 软算法时，密钥采用一次一密，使用后密钥及时销毁

电能表应具有安全监测功能，具体要求如下： 电能表侧监测模块，分为硬件模块和软件模块两部分。硬件模块主要包括防拆设计等，通过物 理的方式防止电能表被暴力破坏。当模块被暴力破坏时，可通过巡检人员和系统，迅速发现、 及时处理。软件模块主要包括操作系统安全监测、安全启动的应用程序安全监测。操作系统安 全监测模块应对电能表操作系统进行安全监测，采集电能表运行状态、重大操作、日志信息等， 在出现通信故障、资源异常等状态时，及时上报主站系统。安全启动的应用程序安全监测应具 有对电能表应用程序的安全监测的功能，监测电能表应用程序的相关运行状态，同时应监测访 可请求、数据传输请求等，在出现越权访问、非法数据传输等异常状态时，及时上报主站系统： 6 主站应采集电能表的相关数据进行分析，包括更新日志、重要操作日志、运行状态等，通过大 数据、智能分析等手段，发现异常的电能表设备，及时处理，避免窃电和破坏行为 C 部署于生产控制大区的电能表安全监测信息应接入网络安全监测装置

5.1安全认证功能检测

Q/GDW121792021

电能表均应支持安全认证功能，做好机密性和完整性保护，有效防止重放攻击和非法操作。测试安 全认证功能时，至少应测试如下内容： a 远程身份认证功能： b 身份认证时效和身份认证失效的执行； C 通信接口的蓝牙认证执行； d 蓝牙认证失效的执行情况； e） 电能表解密和MAC校验的执行情况： f 电能表防攻击能力及电能表挂起功能： g）频繁通断电对电能表ESAM的影响

5.2密钥及证书更新功能检测

电能表均应支持该功能，测试密钥及证书更新功能时，至少应测试如下内容： a 密钥及证书更新功能的执行情况： b) 安全标识、MAC验证等信息对该功能的影响； 断电重启对该功能的影响； d密钥版本、密钥显示符号等信息的提示功能

5.3参数更新功能检测

5. 3. 1 参数更新

电能表应支持远程参数更新。测试参数更新功能时，至少应测试如下内容： a）远程参数更新功能的执行情况： b)编程事件记录。

电能表均应支持该功能，通过数据回抄功能可以读取管理模组ESAM中表号文件、安全标识文件、 参数信息文件等数据：读取计量模组ESAM中表号文件、白名单文件等数据。测试数据回抄功能时，至 少应测试如下内容： a）管理模组支持读取管理模组ESAM中的所有文件； b）计量模组支持读计量理模组ESAM中的所有文件； C）回抄数据MAC校验应正确

电能表均应支持该功能。测试事件记录功能时，至少应测试如下内容： a）清零、编程、跳合闸、密钥更新等事件记录的记录情况； 编程记录的发生时刻、数据标识的记录情况； c）电能表清零记录的永久记录情况

5.3.4管理模组清零

管理模组应支持清零命令。测试管理模组清零功能时，至少应测试如下内容： a）管理模组事件记录的清除情况； b）管理模组清零事件记录的记录； C）管理模组内电能量、最大需量及发生时间、冻结量、负荷记录等数据的清除

Q/GDW121792021

Q/GDW12179—2021

5.3.5计量模组清零

计量模组应支持清零命令。测试计量模组清零功能时，至少应测试如下内容： a）计量模组事件记录的清除情况： b）计量模组清零事件记录的记录； c）计量模组内电能量、冻结量数据的清除

5.4远程控制功能检测

电能表应支持远程控制功能，远程控制功能包括跳闸、合闸允许、直接合闸、报警、报警解除、保 电和保电解除功能。测试远程控制功能时，至少应测试如下内容： a）保电命令、远程跳闸命令、远程合闸命令、本地跳合闸命令的优先级执行情况： b) 电能表命令有效截止时间的执行情况； c） 电能表执行远程控制命令时，应答顿的响应情况； d）跳合闸命令执行过程中，掉电重新上电的执行情况； e）跳合闸事件记录

5.5程序升级功能检测

电能表应支持程序升级功能，程序升级功能包括操作系统升级和业务应用程序升级功能。测试程序 升级功能时，至少应测试如下内容： 业务应用程序访问硬件资源权限执行情况； b 业务应用程序访问接口权限执行情况： c 程序升级时业务执行情况： d) 程序升级过程中，掉电重新上电的执行情况； e) 程序升级执行失败后，程序回滚的执行情况； f 无次序卸载后，不同应用程序升级验证； 频繁卸载及升级后，应用程序运行情况

程序兼容性检测包括在不同厂商、不同硬件、不同程序组合下程序运行情况检测。测试程序兼容性 时，至少应测试如下内容： a）在不同厂商、不同硬件、不同程序组合下程序访问硬件资源权限执行情况； b）在不同厂商、不同硬件、不同程序组合下程序访问接口权限执行情况； c）在不同厂商、不同硬件、不同程序组合下业务执行情况； d）在不同厂商、不同硬件、不同程序组合下掉电重新上电的执行情况

A.1管理模组操作流程

A.1.1身份认证流程

Q/GDW121792021

附录A （资料性附录） 智能物联电能表数据交互流程

管理模组身份认证流程包含身份认证1流程、身份认证2流程、身份认证3流程、身份认证4流程、 身份认证5流程和身份认证6流程。 身份认证1流程用于管理模组与外部设备（主站、终端、掌机、流水线、检表台体等客户端 之间； b） 身份认证2流程用于管理模组与计量模组之间，身份认证之前需将管理模组表号信息保存到计 量模组白名单文件中； 身份认证3流程用于管理模组与扩展模组1型之间，身份认证之前需将扩展模组1型序列号信 息保存到管理模组白名单中； d 身份认证4流程用于管理模组与扩展模组2型之间； e） 身份认证5流程用于管理模组与断路器设备之间，身份认证之前需要将断路器序列号信息保存 到管理模组白名单中； f身份认证6流程用于管理模组与手机之间

A.1.2身份认证1流程

身份认证1操作流程主要操作如下： a）客户端下发应用连接请求报文给管理模组： 管理模组收到应用连接请求报文后，组织命令发送到管理模组ESAM模块中； 管理模组ESAM模块执行失败，返回错误码，跳转至步骤f）；执行成功，则返回服务器随机 数密文和服务器签名信息： 管理模组组织应用连接请求响应报文发送给客户端； e）客户端对返回的服务器随机数和服务器签名信息进行校验； f）操作结束。 流程如图A.1所示。

工程技术A.1.3身份认证2流程

图A.1身份认证1流程图

身份认证2操作流程主要操作如下： a）管理模组产生随机数1明文，下发认证请求报文给计量模组； b） 计量模组收到认证请求报文后，组织命令发送到计量模组ESAM模块中： C 计量模组ESAM模块执行失败，返回错误码，跳转至步骤j）；执行成功，则返回随机数1密 文和随机数2明文； d)计量模组组织认证请求响应报文发送给管理模组； 管理模组收到认证请求响应报文后，组织命令发送到管理模组ESAM模块中； 管理模组ESAM执行失败，返回错误码，跳转至步骤j）；执行成功，则返回随机数2密文； 管理模组组织认证报文发送给计量模组； 计量模组收到认证报文后，组织命令发送到计量模组ESAM模块中： i）计量模组ESAM执行失败，返回错误码，跳转至步骤j）；执行成功，则返回确认报文； j）操作结束。 流程如图A.2所示，

Q/GDW121792021

A.1.4身份认证3流程

图A.2身份认证2流程图

身份认证3操作流程主要操作如下： 管理模组下发应用连接请求报文给扩展模组： 扩展模组收到应用连接请求报文后，组织命令发送到扩展模组ESAM模块中； 扩展模组ESAM模块执行失败，返回错误码，跳转至步骤f）；执行成功，则返回服务器随机 数密文和服务器签名信息： 扩展模组组织应用连接请求响应报文发送给管理模组： 管理模组收到应用连接请求响应报文后冶金标准，组织命令发送到管理模组ESAM模块进行校验； ）操作结束。 流程如图A.3所示。