2024年1月25日发(作者:毓峯)
华为物联网终端安全技术规范
文档版本
01
发布日期
2018-9-24
华为技术有限公司
i
版权所有 © 华为技术有限公司 2017。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址:
网址:
深圳市龙岗区坂田华为总部办公楼 邮编:518129
1
目 录
前言 ................................................................................. 3
Revision record 修订记录 .............................................................. 4
华为物联网终端安全技术规范............................................................ 5
1 范围 ............................................................................................................................................................... 5
2 术语、定义和缩略语 ................................................................................................................................... 5
3 总体安全技术要求 ....................................................................................................................................... 6
3.1 物联网终端安全框架 .............................................................. 6
3.2 安全技术要求级别 ................................................................ 6
4 基础级安全技术要求 ................................................................................................................................... 7
4.1 物理安全要求 .................................................................... 7
4.2 接入安全要求 .................................................................... 7
4.3 通信安全要求 .................................................................... 8
4.4 系统安全要求 .................................................................... 8
4.5 数据安全要求 ................................................................... 10
4.6 芯片安全要求 ................................................................... 10
5 增强级安全技术要求 ................................................................................................................................. 10
5.1 物理安全要求 ................................................................... 10
5.2 接入安全要求 ................................................................... 11
5.3 通信安全要求 ................................................................... 11
5.4 系统安全要求 ................................................................... 11
5.5 芯片安全要求 ................................................................... 12
参考文献 ............................................................................ 13
2
前言
物联网广泛应用在农业、工业、卫生、城市管理等领域,与一般信息系统相比,物联网信息系统中使用的终端具有安全防护水平参差不齐、数量众多、种类繁杂、分布区域广、部署环境多样、安全功能受限等特点,这些特点使得终端应用面临软硬件故障、物理攻击、通信不正常、信息泄露或篡改、非授权访问或恶意控制等安全风险。为了提高物联网终端应用的安全防护水平,本技术规范针对终端应用提出了通用的安全技术要求。
本文主要面向:
华为物联网终端合作伙伴,帮助合作伙伴提高物联网终端的安全性。
华为物联网终端生态合作团队,帮助在生态合作伙伴选择时把关安全要求。
本规范主要基于中国国家标准《信息安全技术 物联网终端应用安全技术要求》(草稿)进行修改,并参考了中国国家标准《信息安全技术 信息系统安全等级保护基本要求》(GB/T
22239-2008)、《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)、《信息安全技术 网络安全等级保护安全设计技术要求 第4部分:物联网安全要求》(草稿)。后续版本将进一步参考国际上物联网相关标准对本规范进行完善。
为了适应华为业务特点,与《信息安全技术 物联网终端应用安全技术要求》相比,本规范在安全要求进行了适当的增强,包括:
a) 将原增强级安全要求中的部分内容(尤其是关于数据安全的部分)纳入到基础级安全要求。
b) 在基础级安全要求中增加了防止网络攻击方面的要求,避免少数终端被控制后对整个网络产生影响。
c) 在基础级安全要求中增加了对大规模广泛部署的终端的安全升级的要求,防止这些终端出现安全漏洞后被大规模控制,如美国物联网终端DDoS攻击情形。
d) 在增强级安全要求中增加了对特别重要的信息进行TPM/TEE芯片级技术保护要求。
本规范中物联网终端指的是能对物进行信息采集和/或执行操作,并能联网进行通信的装置,不包括物联网网关。本文中所述物联网终端按照其自身具备的数据处理能力,大致可分为三类:
1)不具备自身数据处理能力的物联网终端:这类终端通常只进行传感数据采集、转换和上传,不具备信息处理能力,通常自身不具备安全防护能力,但为攻击者提供的攻击途径也很少,比如工业现场中的0-20mA传感器、普通流量计、普通水表、普通气表等;
2)不具备操作系统的物联网终端:这类终端通常集成有采集和/或执行功能模块、中央处理功能模块和网络通信功能模块,通常安全防护功能有限,但为攻击者提供的攻击途径也有限,比如居民智能水电气表、车检器、环境监测器、路灯控制器等;
3)具备操作系统的物联网终端:这类终端通常为信息处理能力较强,且自带操作系统的智能物联网终端,通常具有较强的安全防护功能和信息处理能力,但也为攻击者提供了较多的攻击途径,比如平安城市摄像头,车联网OBD、T-Box、ECU,工业现场的控制网关,手持智能终端、手机或pad等。
本文适用于通用的各种类型的终端,针对特定类型的终端(如水表)的特定要求,在相应的章节中会特别的进行标注。
本文技术规范要求大部分针对终端本身,对网络接入和平台接入上仅提出一些基本的安全技术要求,当这些终端对接我司网络及平台时,具体的接口技术要求(如平台的认证鉴权接口及NB-IoT的3GPP AKA接口)请参考网络和平台对接口的具体说明。
3
Revision record 修订记录
Date
日期
2017-6-30
Revision
Version
修订版本
V0.8
Change
Description
修改描述
第一稿
Author
作者
王小军/田启明/余俊华/许强/杜玉杰/孟小虎/易平平/樊洞阳/钟优平/吴晓冬/潘虹/付天福/林方方
余晓光/付浩/苗广
2018-9-24
V1.0
刷新第一稿
4
华为物联网终端安全技术规范
1 范围
本规范规定了应用在物联网信息系统中的物联网终端基础级安全技术要求和增强级安全技术要求。
本规范面主要向华为物联网合作伙伴,适用于合作伙伴对物联网信息系统中物联网终端的设计、选型、部署、运行和维护,为物联网合作伙伴提供终端安全技术建议和参考。
2 术语、定义和缩略语
物联网 Internet of Things
通过终端,按照约定协议,连接物、人、系统和信息资源,实现对物理和虚拟世界的信息进行处理并作出反应的智能服务系统。
物联网终端 Internet of Things Terminal
能对物进行信息采集和/或执行操作,并能联网进行通信的装置。终端根据是否具有操作系统,可分为自身不具备数据处理能力的传感终端、具有操作系统的物联网终端和不具有操作系统的物联网终端。后文简称为终端。
传感器 Sensor
能感受被测量并按照一定的规律转换成可用输出信号的器件或装置,通常由敏感元件和转换元件组成。
数据新鲜性 Data Freshness
接收到的数据,相对最近时刻从数据源采集的数据而言,其内容未发生变化且其传输时间未超出规定范围的特性。
可信平台模块 Trusted Platform Module
是指符合TPM标准的安全芯片,它能有效地保护终端设备和防止非法用户访问。
可信执行环境 Trusted Execution Environment
是Global Platform(GP)组织提出的针对移动设备的开放环境安全问题,在设备上独立执行并与Rich OS(通常是Android等)并存的运行环境,同时给Rich OS提供从硬件到开源操作系统的更高级别的安全服务。
5
3 总体安全技术要求
3.1 物联网终端安全框架
物联网的主要特征是无处不在的传感网络,包含了大量的传感器和网关设备,同时IP化和融合化,以及业务的开放性,这些特征导致物联网面临的安全威胁相比传统的互联网存在很大不同。物联网中终端和传感器的漏洞将对整个物联网系统形成巨大的威胁,这些设备的安全威胁既包含其自身被入侵的威胁,也包含对网络侧和云侧的威胁。
物联网终端的安全包括物理安全、接入安全、通信安全、系统安全和数据安全,如图3-1所示。其中,“系统安全”中的“系统”指的是由硬件、固件和软件构成的终端整体。
信息通信网络数据和指令物理安全接入安全通信安全系统安全数据安全感知终端数据感知对象
图3-1 物联网终端安全框架
应用在物联网信息系统中的终端安全涵盖选型、部署、运行、维护各个环节。本规范第4章和第5章中的条款针对这些环节提出了安全技术要求。
本规范中的安全技术要求除特别指出适用于某种类型的终端之外,适用于具有操作系统的终端和不具有操作系统的终端。
3.2 安全技术要求级别
物联网终端安全要求的级别与用户的具体应用相关,终端应该根据用户的安全要求选择相应的软硬件平台。
本文将终端的安全技术要求分为基础级和增强级两类。终端至少应满足基础级安全技术要求;处理敏感数据或如遭到破坏会对人身安全、环境安全带来严重影响的终端应满足增强级要求。
6
4 基础级安全技术要求
4.1 物理安全要求
4.1.1 选型
物联网信息系统中选用终端产品时,终端产品应满足如下要求:
a) 应取得质量认证证书;
b) 应满足物联网相关国家或国际标准所确定的外壳防护等级(IP代码)要求,比如中国GB 4208-2008标准;
c) 应满足相关国家或国际标准所确定的有关的专用产品或产品类电磁兼容抗扰度标准,并通过该标准的电磁兼容抗扰度试验且性能满足需求,比如中国GB/T 17799.1
-1999、GB/T 17799.2-2003。
4.1.2 选址
物联网信息系统进行终端选址时,终端应满足如下要求:
a) 应选择能满足供电、防盗窃、防破坏、防水、防潮、防极端温度等要求的环境部署;
b) 应选择能满足信号防干扰、防屏蔽、防阻挡等要求的环境部署。
4.1.3 供电
终端的供电应稳定可靠。
4.1.4 防盗窃和防破坏
终端应满足如下防盗窃和防破坏要求:
a) 应部署在安全场所中;
b) 宜采用防盗窃和防破坏的措施。
4.2 接入安全要求
4.2.1 网络接入认证
在接入网络时,终端应满足如下要求:
a) 应在接入网络中具有唯一网络身份标识;
b) 应能向接入网络证明其网络身份,至少支持以下身份鉴别机制之一:
1) 基于网络身份标识的鉴别;
2) 基于MAC 地址的鉴别;
3) 基于通信协议的鉴别;
4) 基于通信端口的鉴别;
5) 基于对称秘钥机制的鉴别;
6) 基于非对称秘钥机制的鉴别。
c) 应在采用插卡方式进行网络身份鉴别时采取措施防止卡片被拔除或替换;
d) 应保证密钥存储和交换安全。
4.2.2 网络访问控制
终端应满足以下网络访问控制要求:
7
a) 禁用闲置的通信接口,包括但不限制:USB口、UART串口、SPI、RS-485、以太网口、光纤口、CAN、ModBus等;
b) 应设置网络访问控制策略,限制对终端的网络访问。
4.2.3 网络攻击控制
少数终端即使在被外部控制后,也不应对整体网络产生影响:
a)禁止终端与网络之间进行全局路由协议交互,比如OSPF、BGP、RIP、IS-IS等,只能与网关或平台进行点对点数据交互。
4.3 通信安全要求
4.3.1 传输保密性
终端应对传输身份鉴别信息、隐私数据和重要业务数据等敏感信息进行加密保护。
在通信层面,具备无线和有线网络通信芯片的终端应满足3GPP、ITU、IETF、IEEE、IEC、CCSA等标准组织所规定的网络通信传输安全标准和加密能力。
在传输层及应用层,应具备以下安全能力:
a) 加密密钥能力:终端应具备与云端或上层网络单元(比如核心网、网管平台等设备)之间进行非对称和对称加密密钥传输的能力,并具备从云端或上层网元获取CA证书和双向认证的能力;
b) 加密算法要求:数据传输中应使用RSA非对称加密算法或AES256及以上强度的对称加密算法,要求使用RSA算法密码长度不能低于2048位,单向hash算法默认要求使用SHA256及以上强度的能力。安全要求不高的信息,或对接方处理能力有限,或对接方有降质需求情况下,终端可采用AES128、AES192和3DES,但不可因为降质需求,造成对平台或上层网元的安全攻击;
c) 轻量级加密算法:对计算能力受限的终端,应采用轻量级的加密算法;
d) 加密协议要求:具备TLS1.1及以上加密协议能力。
4.3.2 传输完整性
终端应满足以下通信完整性要求:
a) 应具有并启用通信完整性校验机制,实现鉴别信息、隐私数据、数字签名和重要业务数据等数据传输的完整性保护;
b) 应具有通信延时和中断的处理机制。
4.3.3 无线电安全
终端应按国家规定使用无线电频段和辐射强度,并具有抗干扰能力。
4.4 系统安全要求
4.4.1 标识与鉴别
对于具有操作系统的终端,应满足以下标识与鉴别要求:
a) 终端的操作系统用户应有唯一标识;
8
b) 应对终端的操作系统用户进行身份鉴别。使用用户名和口令鉴别时,口令应由字母、数字及特殊字符组成,长度不小于8位。
4.4.2 访问控制
终端应满足以下访问控制要求:
a) 具有操作系统的终端应能控制操作系统不同应用的访问权限;
b) 具有操作系统的终端,操作系统不同任务应仅被授予完成任务所需的最小权限;
c) 终端应能控制数据的本地或远程访问,严格管理不同用户所能访问的数据、访问权限(读、写、执行);
d) 终端应具有口令管理能力,具备弱口令、长期未变更口令等的终端进行识别和报警。
4.4.3 日志审计
具有操作系统的终端,应满足以下日志审计要求:
a) 应能为操作系统事件生成审计记录,审计记录应包括日期、时间、操作用户、访问发起端地址或标识、操作类型、被访问的资源名称、事件结果等信息;
b) 应能由安全审计员开启和关闭操作系统的审计功能;
c) 应能提供操作系统的审计记录查阅功能。
4.4.4 远程固件更新
对于大规模、大范围部署的终端,如水表、智能路灯、智慧家庭终端等,为了减少可能的安全漏洞产生的影响,这些终端应该提供远程固件更新能力:
a) 提供远程固件更新接口,并连接到相应的设备管理平台接受固件更新指令;
b) 在远程固件更新失败时,能回退到出厂状态,并能重新接受平台的指令;
c) 在远程固件更新时,终端能对固件的合法性和完整性进行签名验证;
d) 远程固件升级前应该通过安全测试验证。
4.4.5 软件安全
具有操作系统的终端,应满足以下软件安全要求:
a) 应按照策略进行软件补丁更新和升级,且保证所更新的数据是来源合法的和完整的;
b) 软件补丁更新和升级前应经过安全测试验证;
c) 对于处理能力较弱的终端,建议采用轻量级安全操作系统,比如LiteOS系统 ,并应具备轻量级加密算法能力。LiteOS操作系统架构可参考附录B;
d) 具备处理能力较强的终端,操作系统应安装物联网终端安全防护套件,包括SDK或安全插件。架构可以参考附录C;
e) 终端操系统需具备数据隔离功能,划设出安全隔离区,对于应用数据和操作系统之间进行严格隔离;
f) 终端操作系统应具备漏洞扫描、加速、修复、远程升级等功能。
4.4.6 接口安全
接口安全应满足以下要求:
a) 应禁用终端闲置的外部设备接口。
b) 应禁用终端的外接存储设备自启动功能。
4.4.7 失效保护
9
具有操作系统的终端应能在设备故障时重启。
4.4.8 系统管理
终端应具备统一纳管能力,上层IoT管理平台能对其操作系统进行统一管理,比如编号、读取、跟踪、数据隔离等,可根据终端能力而有所不同。
4.5 数据安全要求
4.5.1 数据保密性
终端应对本地存储的鉴别信息、个人隐私数据和重要业务数据等敏感信息进行加密保护。加密算法应符合国家密码相关规定。
4.5.2 数据完整性
终端应为其采集的重要数据进行完整性校验,如:采用校验码、消息摘要、数字签名等。
4.5.3 数据可用性
终端在传输其采集到的数据时,应对数据新鲜性做出标识,如采用时间戳。
4.6 芯片安全要求
涉及终端数据的处理、通信、存储等系统主要芯片应具备安全启动、数据传输加密等功能。
5 增强级安全技术要求
5.1 物理安全要求
5.1.1 选型
在满足5.1.1基础上,应满足以下要求:
a) 物联网中使用的终端产品应经过信息安全检测。
5.1.2 选址
应满足5.1.2要求。
5.1.3 供电
在满足5.1.3基础上,应满足以下要求:
a) 关键终端应具有备用电力供应,至少满足关键终端正常运行的供电时长要求;
b) 应提供技术和管理手段监测终端的供电情况,并能在电力不足时及时报警。
5.1.4 防盗窃和防破坏
在满足5.1.4的基础上,应满足以下要求:
a) 户外部署的重要终端应设置在视频监控范围内;
b) 户外部署的关键终端应具有定位装置。
10
5.1.5 防雷和防静电
重要终端应采取必要的避雷和防静电措施。
5.1.6 特殊行业要求
对于特殊行业(比如电力、石油炼化、煤炭、化工、核工业等)的物联网终端,应满足国家和行业制定的相关物理安全标准和产品认证,比如防爆、防尘、防泄漏等。
5.2 接入安全要求
5.2.1 网络接入认证
在满足4.2.1a)c)d)基础上,应满足以下要求:
a) 终端与其接入网络间应进行双向认证,双方至少支持如下身份鉴别机制之一:1) 基于对称秘钥机制的鉴别;
2) 基于非对称秘钥机制的鉴别。
b) 终端应能进行鉴别失败处理。
5.2.2 网络访问控制
应满足4.2.2的要求。
5.3 通信安全要求
5.3.1 传输保密性
应满足4.3.1的要求。
5.3.2 传输完整性
应满足4.3.2的要求。
5.3.3 无线电安全
应满足4.3.3的要求。
5.4 系统安全要求
5.4.1 标识与鉴别
在满足4.4.1基础上,应满足以下要求:
具有执行能力的终端应能鉴别下达执行指令者的身份。
5.4.2 访问控制
在满足4.4.2基础上,应满足以下要求:
a) 终端应提供安全措施控制对其远程配置;
b) 终端系统访问控制范围应覆盖所有主体、客体以及它们之间的操作。
5.4.3 日志审计
在满足4.4.3基础上,应满足以下要求:
11
具有操作系统的终端应保护已存储的操作系统审计记录,以避免未授权的修改、删除、覆盖等。
5.4.4 软件安全
在满足4.4.4基础上,应满足以下要求:
应仅安装经授权的软件。
5.4.5 接口安全
在满足4.4.6基础上,应满足如下要求:
终端接口的访问应具备认证机制。
5.4.6 失效保护
在满足4.4.5基础上,应满足以下要求:
a) 终端应能自检出已定义的设备故障并进行告警,确保设备未受故障影响部分的功能正常;
b) 具有执行能力的终端应具有本地手动控制功能,并且手动控制功能优先级高于自动控制功能。
5.4.7 恶意代码防范
具有操作系统的终端应具有恶意代码防范能力。
5.4.8 数据安全要求数据保密性
终端应对鉴别信息、隐私数据和重要业务数据等敏感信息采用密码算法进行加密保护。加密算法应符合国家密码相关规定。
5.4.9 数据完整性
在满足4.5.2基础上,应满足以下要求:
5.4.10 终端应对存储的鉴别信息、数字签名、隐私数据和重要业务数据等进行完整性检测,并在检测到完整性错误时采取必要的恢复措施。数据可用性
在满足4.5.3基础上,应满足如下要求:
终端应支持通过冗余部署方式采集重要数据。
5.5 芯片安全要求
在满足4.6基础上,对终端中特别重要的信息(涉及人身安全、重大财产损失、特别敏感的信息泄露等),比如视频摄像头、家庭网关、工业网关、支付终端等,应采用芯片级的安全技术措施,具备TPM/TEE安全功能,同时具备安全加密加速能力。
12
参考文献
[1] IoT Security Guidelines Overview Document. GSMA, 2016
[2] IoT Security Guidelines for Service Ecosystems. GSMA, 2016
[3] IoT Security Guidelines for Endpoint Ecosystems. GSMA, 2016
[4] IoT Security Guidelines for Network Operators. GSMA, 2016
[5] Guide to Industrial Control Systems (ICS) Security. NIST, 2015
[6] Security in the Internet of Things White Paper. WIND, 2015
[7] 《信息安全技术 物联网终端应用安全技术要求》(草稿)
[8] 《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)
[9] 《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)
[10] 《信息安全技术 网络安全等级保护安全设计技术要求 第4部分:物联网安全要求》(草稿)
[11] Security Solutions. TS-0003-V2.4.1. OneM2M, 2016
13
2024年1月25日发(作者:毓峯)
华为物联网终端安全技术规范
文档版本
01
发布日期
2018-9-24
华为技术有限公司
i
版权所有 © 华为技术有限公司 2017。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址:
网址:
深圳市龙岗区坂田华为总部办公楼 邮编:518129
1
目 录
前言 ................................................................................. 3
Revision record 修订记录 .............................................................. 4
华为物联网终端安全技术规范............................................................ 5
1 范围 ............................................................................................................................................................... 5
2 术语、定义和缩略语 ................................................................................................................................... 5
3 总体安全技术要求 ....................................................................................................................................... 6
3.1 物联网终端安全框架 .............................................................. 6
3.2 安全技术要求级别 ................................................................ 6
4 基础级安全技术要求 ................................................................................................................................... 7
4.1 物理安全要求 .................................................................... 7
4.2 接入安全要求 .................................................................... 7
4.3 通信安全要求 .................................................................... 8
4.4 系统安全要求 .................................................................... 8
4.5 数据安全要求 ................................................................... 10
4.6 芯片安全要求 ................................................................... 10
5 增强级安全技术要求 ................................................................................................................................. 10
5.1 物理安全要求 ................................................................... 10
5.2 接入安全要求 ................................................................... 11
5.3 通信安全要求 ................................................................... 11
5.4 系统安全要求 ................................................................... 11
5.5 芯片安全要求 ................................................................... 12
参考文献 ............................................................................ 13
2
前言
物联网广泛应用在农业、工业、卫生、城市管理等领域,与一般信息系统相比,物联网信息系统中使用的终端具有安全防护水平参差不齐、数量众多、种类繁杂、分布区域广、部署环境多样、安全功能受限等特点,这些特点使得终端应用面临软硬件故障、物理攻击、通信不正常、信息泄露或篡改、非授权访问或恶意控制等安全风险。为了提高物联网终端应用的安全防护水平,本技术规范针对终端应用提出了通用的安全技术要求。
本文主要面向:
华为物联网终端合作伙伴,帮助合作伙伴提高物联网终端的安全性。
华为物联网终端生态合作团队,帮助在生态合作伙伴选择时把关安全要求。
本规范主要基于中国国家标准《信息安全技术 物联网终端应用安全技术要求》(草稿)进行修改,并参考了中国国家标准《信息安全技术 信息系统安全等级保护基本要求》(GB/T
22239-2008)、《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)、《信息安全技术 网络安全等级保护安全设计技术要求 第4部分:物联网安全要求》(草稿)。后续版本将进一步参考国际上物联网相关标准对本规范进行完善。
为了适应华为业务特点,与《信息安全技术 物联网终端应用安全技术要求》相比,本规范在安全要求进行了适当的增强,包括:
a) 将原增强级安全要求中的部分内容(尤其是关于数据安全的部分)纳入到基础级安全要求。
b) 在基础级安全要求中增加了防止网络攻击方面的要求,避免少数终端被控制后对整个网络产生影响。
c) 在基础级安全要求中增加了对大规模广泛部署的终端的安全升级的要求,防止这些终端出现安全漏洞后被大规模控制,如美国物联网终端DDoS攻击情形。
d) 在增强级安全要求中增加了对特别重要的信息进行TPM/TEE芯片级技术保护要求。
本规范中物联网终端指的是能对物进行信息采集和/或执行操作,并能联网进行通信的装置,不包括物联网网关。本文中所述物联网终端按照其自身具备的数据处理能力,大致可分为三类:
1)不具备自身数据处理能力的物联网终端:这类终端通常只进行传感数据采集、转换和上传,不具备信息处理能力,通常自身不具备安全防护能力,但为攻击者提供的攻击途径也很少,比如工业现场中的0-20mA传感器、普通流量计、普通水表、普通气表等;
2)不具备操作系统的物联网终端:这类终端通常集成有采集和/或执行功能模块、中央处理功能模块和网络通信功能模块,通常安全防护功能有限,但为攻击者提供的攻击途径也有限,比如居民智能水电气表、车检器、环境监测器、路灯控制器等;
3)具备操作系统的物联网终端:这类终端通常为信息处理能力较强,且自带操作系统的智能物联网终端,通常具有较强的安全防护功能和信息处理能力,但也为攻击者提供了较多的攻击途径,比如平安城市摄像头,车联网OBD、T-Box、ECU,工业现场的控制网关,手持智能终端、手机或pad等。
本文适用于通用的各种类型的终端,针对特定类型的终端(如水表)的特定要求,在相应的章节中会特别的进行标注。
本文技术规范要求大部分针对终端本身,对网络接入和平台接入上仅提出一些基本的安全技术要求,当这些终端对接我司网络及平台时,具体的接口技术要求(如平台的认证鉴权接口及NB-IoT的3GPP AKA接口)请参考网络和平台对接口的具体说明。
3
Revision record 修订记录
Date
日期
2017-6-30
Revision
Version
修订版本
V0.8
Change
Description
修改描述
第一稿
Author
作者
王小军/田启明/余俊华/许强/杜玉杰/孟小虎/易平平/樊洞阳/钟优平/吴晓冬/潘虹/付天福/林方方
余晓光/付浩/苗广
2018-9-24
V1.0
刷新第一稿
4
华为物联网终端安全技术规范
1 范围
本规范规定了应用在物联网信息系统中的物联网终端基础级安全技术要求和增强级安全技术要求。
本规范面主要向华为物联网合作伙伴,适用于合作伙伴对物联网信息系统中物联网终端的设计、选型、部署、运行和维护,为物联网合作伙伴提供终端安全技术建议和参考。
2 术语、定义和缩略语
物联网 Internet of Things
通过终端,按照约定协议,连接物、人、系统和信息资源,实现对物理和虚拟世界的信息进行处理并作出反应的智能服务系统。
物联网终端 Internet of Things Terminal
能对物进行信息采集和/或执行操作,并能联网进行通信的装置。终端根据是否具有操作系统,可分为自身不具备数据处理能力的传感终端、具有操作系统的物联网终端和不具有操作系统的物联网终端。后文简称为终端。
传感器 Sensor
能感受被测量并按照一定的规律转换成可用输出信号的器件或装置,通常由敏感元件和转换元件组成。
数据新鲜性 Data Freshness
接收到的数据,相对最近时刻从数据源采集的数据而言,其内容未发生变化且其传输时间未超出规定范围的特性。
可信平台模块 Trusted Platform Module
是指符合TPM标准的安全芯片,它能有效地保护终端设备和防止非法用户访问。
可信执行环境 Trusted Execution Environment
是Global Platform(GP)组织提出的针对移动设备的开放环境安全问题,在设备上独立执行并与Rich OS(通常是Android等)并存的运行环境,同时给Rich OS提供从硬件到开源操作系统的更高级别的安全服务。
5
3 总体安全技术要求
3.1 物联网终端安全框架
物联网的主要特征是无处不在的传感网络,包含了大量的传感器和网关设备,同时IP化和融合化,以及业务的开放性,这些特征导致物联网面临的安全威胁相比传统的互联网存在很大不同。物联网中终端和传感器的漏洞将对整个物联网系统形成巨大的威胁,这些设备的安全威胁既包含其自身被入侵的威胁,也包含对网络侧和云侧的威胁。
物联网终端的安全包括物理安全、接入安全、通信安全、系统安全和数据安全,如图3-1所示。其中,“系统安全”中的“系统”指的是由硬件、固件和软件构成的终端整体。
信息通信网络数据和指令物理安全接入安全通信安全系统安全数据安全感知终端数据感知对象
图3-1 物联网终端安全框架
应用在物联网信息系统中的终端安全涵盖选型、部署、运行、维护各个环节。本规范第4章和第5章中的条款针对这些环节提出了安全技术要求。
本规范中的安全技术要求除特别指出适用于某种类型的终端之外,适用于具有操作系统的终端和不具有操作系统的终端。
3.2 安全技术要求级别
物联网终端安全要求的级别与用户的具体应用相关,终端应该根据用户的安全要求选择相应的软硬件平台。
本文将终端的安全技术要求分为基础级和增强级两类。终端至少应满足基础级安全技术要求;处理敏感数据或如遭到破坏会对人身安全、环境安全带来严重影响的终端应满足增强级要求。
6
4 基础级安全技术要求
4.1 物理安全要求
4.1.1 选型
物联网信息系统中选用终端产品时,终端产品应满足如下要求:
a) 应取得质量认证证书;
b) 应满足物联网相关国家或国际标准所确定的外壳防护等级(IP代码)要求,比如中国GB 4208-2008标准;
c) 应满足相关国家或国际标准所确定的有关的专用产品或产品类电磁兼容抗扰度标准,并通过该标准的电磁兼容抗扰度试验且性能满足需求,比如中国GB/T 17799.1
-1999、GB/T 17799.2-2003。
4.1.2 选址
物联网信息系统进行终端选址时,终端应满足如下要求:
a) 应选择能满足供电、防盗窃、防破坏、防水、防潮、防极端温度等要求的环境部署;
b) 应选择能满足信号防干扰、防屏蔽、防阻挡等要求的环境部署。
4.1.3 供电
终端的供电应稳定可靠。
4.1.4 防盗窃和防破坏
终端应满足如下防盗窃和防破坏要求:
a) 应部署在安全场所中;
b) 宜采用防盗窃和防破坏的措施。
4.2 接入安全要求
4.2.1 网络接入认证
在接入网络时,终端应满足如下要求:
a) 应在接入网络中具有唯一网络身份标识;
b) 应能向接入网络证明其网络身份,至少支持以下身份鉴别机制之一:
1) 基于网络身份标识的鉴别;
2) 基于MAC 地址的鉴别;
3) 基于通信协议的鉴别;
4) 基于通信端口的鉴别;
5) 基于对称秘钥机制的鉴别;
6) 基于非对称秘钥机制的鉴别。
c) 应在采用插卡方式进行网络身份鉴别时采取措施防止卡片被拔除或替换;
d) 应保证密钥存储和交换安全。
4.2.2 网络访问控制
终端应满足以下网络访问控制要求:
7
a) 禁用闲置的通信接口,包括但不限制:USB口、UART串口、SPI、RS-485、以太网口、光纤口、CAN、ModBus等;
b) 应设置网络访问控制策略,限制对终端的网络访问。
4.2.3 网络攻击控制
少数终端即使在被外部控制后,也不应对整体网络产生影响:
a)禁止终端与网络之间进行全局路由协议交互,比如OSPF、BGP、RIP、IS-IS等,只能与网关或平台进行点对点数据交互。
4.3 通信安全要求
4.3.1 传输保密性
终端应对传输身份鉴别信息、隐私数据和重要业务数据等敏感信息进行加密保护。
在通信层面,具备无线和有线网络通信芯片的终端应满足3GPP、ITU、IETF、IEEE、IEC、CCSA等标准组织所规定的网络通信传输安全标准和加密能力。
在传输层及应用层,应具备以下安全能力:
a) 加密密钥能力:终端应具备与云端或上层网络单元(比如核心网、网管平台等设备)之间进行非对称和对称加密密钥传输的能力,并具备从云端或上层网元获取CA证书和双向认证的能力;
b) 加密算法要求:数据传输中应使用RSA非对称加密算法或AES256及以上强度的对称加密算法,要求使用RSA算法密码长度不能低于2048位,单向hash算法默认要求使用SHA256及以上强度的能力。安全要求不高的信息,或对接方处理能力有限,或对接方有降质需求情况下,终端可采用AES128、AES192和3DES,但不可因为降质需求,造成对平台或上层网元的安全攻击;
c) 轻量级加密算法:对计算能力受限的终端,应采用轻量级的加密算法;
d) 加密协议要求:具备TLS1.1及以上加密协议能力。
4.3.2 传输完整性
终端应满足以下通信完整性要求:
a) 应具有并启用通信完整性校验机制,实现鉴别信息、隐私数据、数字签名和重要业务数据等数据传输的完整性保护;
b) 应具有通信延时和中断的处理机制。
4.3.3 无线电安全
终端应按国家规定使用无线电频段和辐射强度,并具有抗干扰能力。
4.4 系统安全要求
4.4.1 标识与鉴别
对于具有操作系统的终端,应满足以下标识与鉴别要求:
a) 终端的操作系统用户应有唯一标识;
8
b) 应对终端的操作系统用户进行身份鉴别。使用用户名和口令鉴别时,口令应由字母、数字及特殊字符组成,长度不小于8位。
4.4.2 访问控制
终端应满足以下访问控制要求:
a) 具有操作系统的终端应能控制操作系统不同应用的访问权限;
b) 具有操作系统的终端,操作系统不同任务应仅被授予完成任务所需的最小权限;
c) 终端应能控制数据的本地或远程访问,严格管理不同用户所能访问的数据、访问权限(读、写、执行);
d) 终端应具有口令管理能力,具备弱口令、长期未变更口令等的终端进行识别和报警。
4.4.3 日志审计
具有操作系统的终端,应满足以下日志审计要求:
a) 应能为操作系统事件生成审计记录,审计记录应包括日期、时间、操作用户、访问发起端地址或标识、操作类型、被访问的资源名称、事件结果等信息;
b) 应能由安全审计员开启和关闭操作系统的审计功能;
c) 应能提供操作系统的审计记录查阅功能。
4.4.4 远程固件更新
对于大规模、大范围部署的终端,如水表、智能路灯、智慧家庭终端等,为了减少可能的安全漏洞产生的影响,这些终端应该提供远程固件更新能力:
a) 提供远程固件更新接口,并连接到相应的设备管理平台接受固件更新指令;
b) 在远程固件更新失败时,能回退到出厂状态,并能重新接受平台的指令;
c) 在远程固件更新时,终端能对固件的合法性和完整性进行签名验证;
d) 远程固件升级前应该通过安全测试验证。
4.4.5 软件安全
具有操作系统的终端,应满足以下软件安全要求:
a) 应按照策略进行软件补丁更新和升级,且保证所更新的数据是来源合法的和完整的;
b) 软件补丁更新和升级前应经过安全测试验证;
c) 对于处理能力较弱的终端,建议采用轻量级安全操作系统,比如LiteOS系统 ,并应具备轻量级加密算法能力。LiteOS操作系统架构可参考附录B;
d) 具备处理能力较强的终端,操作系统应安装物联网终端安全防护套件,包括SDK或安全插件。架构可以参考附录C;
e) 终端操系统需具备数据隔离功能,划设出安全隔离区,对于应用数据和操作系统之间进行严格隔离;
f) 终端操作系统应具备漏洞扫描、加速、修复、远程升级等功能。
4.4.6 接口安全
接口安全应满足以下要求:
a) 应禁用终端闲置的外部设备接口。
b) 应禁用终端的外接存储设备自启动功能。
4.4.7 失效保护
9
具有操作系统的终端应能在设备故障时重启。
4.4.8 系统管理
终端应具备统一纳管能力,上层IoT管理平台能对其操作系统进行统一管理,比如编号、读取、跟踪、数据隔离等,可根据终端能力而有所不同。
4.5 数据安全要求
4.5.1 数据保密性
终端应对本地存储的鉴别信息、个人隐私数据和重要业务数据等敏感信息进行加密保护。加密算法应符合国家密码相关规定。
4.5.2 数据完整性
终端应为其采集的重要数据进行完整性校验,如:采用校验码、消息摘要、数字签名等。
4.5.3 数据可用性
终端在传输其采集到的数据时,应对数据新鲜性做出标识,如采用时间戳。
4.6 芯片安全要求
涉及终端数据的处理、通信、存储等系统主要芯片应具备安全启动、数据传输加密等功能。
5 增强级安全技术要求
5.1 物理安全要求
5.1.1 选型
在满足5.1.1基础上,应满足以下要求:
a) 物联网中使用的终端产品应经过信息安全检测。
5.1.2 选址
应满足5.1.2要求。
5.1.3 供电
在满足5.1.3基础上,应满足以下要求:
a) 关键终端应具有备用电力供应,至少满足关键终端正常运行的供电时长要求;
b) 应提供技术和管理手段监测终端的供电情况,并能在电力不足时及时报警。
5.1.4 防盗窃和防破坏
在满足5.1.4的基础上,应满足以下要求:
a) 户外部署的重要终端应设置在视频监控范围内;
b) 户外部署的关键终端应具有定位装置。
10
5.1.5 防雷和防静电
重要终端应采取必要的避雷和防静电措施。
5.1.6 特殊行业要求
对于特殊行业(比如电力、石油炼化、煤炭、化工、核工业等)的物联网终端,应满足国家和行业制定的相关物理安全标准和产品认证,比如防爆、防尘、防泄漏等。
5.2 接入安全要求
5.2.1 网络接入认证
在满足4.2.1a)c)d)基础上,应满足以下要求:
a) 终端与其接入网络间应进行双向认证,双方至少支持如下身份鉴别机制之一:1) 基于对称秘钥机制的鉴别;
2) 基于非对称秘钥机制的鉴别。
b) 终端应能进行鉴别失败处理。
5.2.2 网络访问控制
应满足4.2.2的要求。
5.3 通信安全要求
5.3.1 传输保密性
应满足4.3.1的要求。
5.3.2 传输完整性
应满足4.3.2的要求。
5.3.3 无线电安全
应满足4.3.3的要求。
5.4 系统安全要求
5.4.1 标识与鉴别
在满足4.4.1基础上,应满足以下要求:
具有执行能力的终端应能鉴别下达执行指令者的身份。
5.4.2 访问控制
在满足4.4.2基础上,应满足以下要求:
a) 终端应提供安全措施控制对其远程配置;
b) 终端系统访问控制范围应覆盖所有主体、客体以及它们之间的操作。
5.4.3 日志审计
在满足4.4.3基础上,应满足以下要求:
11
具有操作系统的终端应保护已存储的操作系统审计记录,以避免未授权的修改、删除、覆盖等。
5.4.4 软件安全
在满足4.4.4基础上,应满足以下要求:
应仅安装经授权的软件。
5.4.5 接口安全
在满足4.4.6基础上,应满足如下要求:
终端接口的访问应具备认证机制。
5.4.6 失效保护
在满足4.4.5基础上,应满足以下要求:
a) 终端应能自检出已定义的设备故障并进行告警,确保设备未受故障影响部分的功能正常;
b) 具有执行能力的终端应具有本地手动控制功能,并且手动控制功能优先级高于自动控制功能。
5.4.7 恶意代码防范
具有操作系统的终端应具有恶意代码防范能力。
5.4.8 数据安全要求数据保密性
终端应对鉴别信息、隐私数据和重要业务数据等敏感信息采用密码算法进行加密保护。加密算法应符合国家密码相关规定。
5.4.9 数据完整性
在满足4.5.2基础上,应满足以下要求:
5.4.10 终端应对存储的鉴别信息、数字签名、隐私数据和重要业务数据等进行完整性检测,并在检测到完整性错误时采取必要的恢复措施。数据可用性
在满足4.5.3基础上,应满足如下要求:
终端应支持通过冗余部署方式采集重要数据。
5.5 芯片安全要求
在满足4.6基础上,对终端中特别重要的信息(涉及人身安全、重大财产损失、特别敏感的信息泄露等),比如视频摄像头、家庭网关、工业网关、支付终端等,应采用芯片级的安全技术措施,具备TPM/TEE安全功能,同时具备安全加密加速能力。
12
参考文献
[1] IoT Security Guidelines Overview Document. GSMA, 2016
[2] IoT Security Guidelines for Service Ecosystems. GSMA, 2016
[3] IoT Security Guidelines for Endpoint Ecosystems. GSMA, 2016
[4] IoT Security Guidelines for Network Operators. GSMA, 2016
[5] Guide to Industrial Control Systems (ICS) Security. NIST, 2015
[6] Security in the Internet of Things White Paper. WIND, 2015
[7] 《信息安全技术 物联网终端应用安全技术要求》(草稿)
[8] 《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)
[9] 《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)
[10] 《信息安全技术 网络安全等级保护安全设计技术要求 第4部分:物联网安全要求》(草稿)
[11] Security Solutions. TS-0003-V2.4.1. OneM2M, 2016
13