物联网系列-IOT终端安全技术规范

物联网系列-IOT终端安全技术规范

 

随着IOT设备的大规模普及，终端设备和IDC设备一样，面临着众多安全层面的挑战，包括硬件、OS、应用、平台、数据等各个层面的安全都需要引起重视，为了方便大家在寻源、选址、采购、设计、开发等环节全面评估设备安全性，流火哥撰写了一份全面的物联网安全技术规范。

 

1  范围

本规范规定了应用在物联网信息系统中的物联网终端基础级安全技术要求和增强级安全技术要求。

本规范面主要面向物联网系统建设方，适用于对物联网信息系统中物联网终端的设计、选型、部署、运行和维护，为物联网系统建设方提供终端安全技术建议和参考。

2 术语、定义和缩略语

物联网 Internet of Things

通过终端，按照约定协议，连接物、人、系统和信息资源，实现对物理和虚拟世界的信息进行处理并作出反应的智能服务系统。

 

物联网终端 Internet of Things Terminal

能对物进行信息采集和/或执行操作，并能联网进行通信的装置。终端根据是否具有操作系统,可分为自身不具备数据处理能力的传感终端、具有操作系统的物联网终端和不具有操作系统的物联网终端。后文简称为终端。

 

    传感器 Sensor

能感受被测量并按照一定的规律转换成可用输出信号的器件或装置，通常由敏感元件和转换元件组成。

 

    数据新鲜性 Data Freshness

接收到的数据，相对最近时刻从数据源采集的数据而言，其内容未发生变化且其传输时间未超出规定范围的特性。

 

    可信平台模块 Trusted Platform Module

是指符合TPM标准的安全芯片，它能有效地保护终端设备和防止非法用户访问。

 

    可信执行环境 Trusted Execution Environment

是Global Platform（GP）组织提出的针对移动设备的开放环境安全问题，在设备上独立执行并与Rich OS（通常是Android等）并存的运行环境，同时给Rich OS提供从硬件到开源操作系统的更高级别的安全服务。

 

3 总体安全技术要求

3.1  物联网终端安全框架

物联网的主要特征是无处不在的传感网络，包含了大量的传感器和网关设备，同时IP化和融合化，以及业务的开放性，这些特征导致物联网面临的安全威胁相比传统的互联网存在很大不同。物联网中终端和传感器的漏洞将对整个物联网系统形成巨大的威胁，这些设备的安全威胁既包含其自身被入侵的威胁，也包含对网络侧和云侧的威胁。

物联网终端的安全包括物理安全、接入安全、通信安全、系统安全和数据安全，如图3-1所示。其中，“系统安全”中的“系统”指的是由硬件、固件和软件构成的终端整体

应用在物联网信息系统中的终端安全涵盖选型、部署、运行、维护各个环节。

本规范中的安全技术要求除特别指出适用于某种类型的终端之外，适用于具有操作系统的终端和不具有操作系统的终端。

3.2 安全技术要求级别

物联网终端安全要求的级别与用户的具体应用相关，终端应该根据用户的安全要求选择相应的软硬件平台。

本文将终端的安全技术要求分为基础级和增强级两类。终端至少应满足基础级安全技术要求；处理敏感数据或如遭到破坏会对人身安全、环境安全带来严重影响的终端应满足增强级要求。

4 基础级安全技术要求

4.1  物理安全要求

4.1.1   选型

物联网信息系统中选用终端产品时，终端产品应满足如下要求：

a) 应取得质量认证证书；

b) 应满足物联网相关国家或国际标准所确定的外壳防护等级（IP 代码）要求，比如中国 GB 4208-2008 标准；

c) 应满足相关国家或国际标准所确定的有关的专用产品或产品类电磁兼容抗扰度标准，并通过该标准的电磁兼容抗扰度试验且性能满足需求，比如中国 GB/T 17799.1-1999、GB/T 17799.2-2003。

4.1.2   选址

物联网信息系统进行终端选址时，终端应满足如下要求：

a) 应选择能满足供电、防盗窃、防破坏、防水、防潮、防极端温度等要求的环境部署；

b) 应选择能满足信号防干扰、防屏蔽、防阻挡等要求的环境部署。

4.1.3   供电

终端的供电应稳定可靠。

4.1.4  防盗窃和防破坏 

终端应满足如下防盗窃和防破坏要求：

a) 应部署在安全场所中；

b) 宜采用防盗窃和防破坏的措施。

4.2  接入安全要求

4.2.1   网络接入认证 

在接入网络时，终端应满足如下要求：

a) 应在接入网络中具有唯一网络身份标识；

b) 应能向接入网络证明其网络身份，至少支持以下身份鉴别机制之一：

1）基于网络身份标识的鉴别；

2）基于 MAC 地址的鉴别；

3）基于通信协议的鉴别；

4）基于通信端口的鉴别；

5）基于对称秘钥机制的鉴别；

6）基于非对称秘钥机制的鉴别。

c) 应在采用插卡方式进行网络身份鉴别时采取措施防止卡片被拔除或替换；

d) 应保证密钥存储和交换安全。

4.2.2   网络访问控制

终端应满足以下网络访问控制要求：

a)  禁用闲置的通信接口，包括但不限制：USB 口、UART 串口、SPI、RS-485、以太网口、光纤口、CAN、ModBus等；

b) 应设置网络访问控制策略，限制对终端的网络访问。

4.2.3   网络攻击控制 

少数终端即使在被外部控制后，也不应对整体网络产生影响：

a）禁止终端与网络之间进行全局路由协议交互，比如 OSPF、BGP、RIP、IS-IS 等，只能与网关或平台进行点对点数据交互。

4.3  通信安全要求

4.3.1   传输保密性

终端应对传输身份鉴别信息、隐私数据和重要业务数据等敏感信息进行加密保护。

在通信层面，具备无线和有线网络通信芯片的终端应满足 3GPP、ITU、IETF、IEEE、IEC、 CCSA等标准组织所规定的网络通信传输安全标准和加密能力。

在传输层及应用层，应具备以下安全能力：

a)  加密密钥能力：终端应具备与云端或上层网络单元（比如核心网、网管平台等设备）之间进行非对称和对称加密密钥传输的能力，并具备从云端或上层网元获取 CA 证书和双向认证的能力；

b)  加密算法要求：数据传输中应使用 RSA 非对称加密算法或 AES256 及以上强度的对称加密算法，要求使用 RSA 算法密码长度不能低于 2048 位，单向 hash 算法默认要求使用 SHA256 及以上强度的能力。安全要求不高的信息，或对接方处理能力有限，或对接方有降质需求情况下,终端可采用 AES128、AES192 和 3DES，但不可因为降质需求，造成对平台或上层网元的安全攻击；

c)  轻量级加密算法：对计算能力受限的终端，应采用轻量级的加密算法；

d)  加密协议要求：具备 TLS1.1 及以上加密协议能力。

4.3.2   传输完整性

终端应满足以下通信完整性要求：

a) 应具有并启用通信完整性校验机制，实现鉴别信息、隐私数据、数字签名和重要业务数据等数据传输的完整性保护；

b) 应具有通信延时和中断的处理机制。 

4.3.3   无线电安全

终端应按国家规定使用无线电频段和辐射强度，并具有抗干扰能力。

4.4  系统安全要求

4.4.1   标识与鉴别

对于具有操作系统的终端，应满足以下标识与鉴别要求：

a) 终端的操作系统用户应有唯一标识；

b) 应对终端的操作系统用户进行身份鉴别。使用用户名和口令鉴别时，口令应由字母、数字及特殊字符组成，长度不小于8 位。

4.4.2   访问控制

终端应满足以下访问控制要求：

a) 具有操作系统的终端应能控制操作系统不同应用的访问权限；

b) 具有操作系统的终端，操作系统不同任务应仅被授予完成任务所需的最小权限；

c) 终端应能控制数据的本地或远程访问，严格管理不同用户所能访问的数据、访问权限（读、写、执行）；

d) 终端应具有口令管理能力，具备弱口令、长期未变更口令等的终端进行识别和报警。

4.4.3   日志审计

具有操作系统的终端，应满足以下日志审计要求：

a) 应能为操作系统事件生成审计记录，审计记录应包括日期、时间、操作用户、访问发起端地址或标识、操作类型、被访问的资源名称、事件结果等信息；

b) 应能由安全审计员开启和关闭操作系统的审计功能；

c) 应能提供操作系统的审计记录查阅功能。

4.4.4   远程固件更新

对于大规模、大范围部署的终端，如水表、智能路灯、智慧家庭终端等，为了减少可能的安全漏洞产生的影响，这些终端应该提供远程固件更新能力：

a) 提供远程固件更新接口，并连接到相应的设备管理平台接受固件更新指令；

b) 在远程固件更新失败时，能回退到出厂状态，并能重新接受平台的指令；

c) 在远程固件更新时，终端能对固件的合法性和完整性进行签名验证；

d) 远程固件升级前应该通过安全测试验证。

4.4.5   软件安全

具有操作系统的终端，应满足以下软件安全要求：

a) 应按照策略进行软件补丁更新和升级，且保证所更新的数据是来源合法的和完整的；

b) 软件补丁更新和升级前应经过安全测试验证；

c) 对于处理能力较弱的终端，建议采用轻量级安全操作系统，比如 LiteOS 系统 ，并应具备轻量级加密算法能力。LiteOS 操作系统架构可参考附录 B；

d) 具备处理能力较强的终端，操作系统应安装物联网终端安全防护套件，包括 SDK或安全插件。架构可以参考附录C；

e) 终端操系统需具备数据隔离功能，划设出安全隔离区，对于应用数据和操作系统之间进行严格隔离；

f) 终端操作系统应具备漏洞扫描、加速、修复、远程升级等功能。

4.4.6   接口安全

接口安全应满足以下要求：

a) 应禁用终端闲置的外部设备接口。

b) 应禁用终端的外接存储设备自启动功能。

4.4.7   失效保护

具有操作系统的终端应能在设备故障时重启。 

4.4.8  系统管理

终端应具备统一纳管能力，上层IoT管理平台能对其操作系统进行统一管理，比如编号、读取、跟踪、数据隔离等，可根据终端能力而有所不同。

4.5  数据安全要求

4.5.1   数据保密性

终端应对本地存储的鉴别信息、个人隐私数据和重要业务数据等敏感信息进行加密保护。加密算法应符合国家密码相关规定。

4.5.2   数据完整性

终端应为其采集的重要数据进行完整性校验，如:采用校验码、消息摘要、数字签名等。

4.5.3   数据可用性

终端在传输其采集到的数据时,应对数据新鲜性做出标识，如采用时间戳。

4.6  芯片安全要求

涉及终端数据的处理、通信、存储等系统主要芯片应具备安全启动、数据传输加密等功能。

5 增强级安全技术要求

5.1  物理安全要求

5.1.1   选型

在满足 5.1.1 基础上，应满足以下要求：

a)  物联网中使用的终端产品应经过信息安全检测。

5.1.2   选址

应满足5.1.2要求。

5.1.3   供电

在满足5.1.3基础上，应满足以下要求：

a) 关键终端应具有备用电力供应，至少满足关键终端正常运行的供电时长要求；

b) 应提供技术和管理手段监测终端的供电情况，并能在电力不足时及时报警。

5.1.4   防盗窃和防破坏

在满足5.1.4的基础上，应满足以下要求：

a) 户外部署的重要终端应设置在视频监控范围内；

b) 户外部署的关键终端应具有定位装置。

5.1.5   防雷和防静电

重要终端应采取必要的避雷和防静电措施。

5.1.6   特殊行业要求

对于特殊行业（比如电力、石油炼化、煤炭、化工、核工业等）的物联网终端，应满足国家和行业制定的相关物理安全标准和产品认证，比如防爆、防尘、防泄漏等。

5.2  接入安全要求

5.2.1   网络接入认证

在满足4.2.1 a）c）d）基础上，应满足以下要求：

a) 终端与其接入网络间应进行双向认证，双方至少支持如下身份鉴别机制之一：

1) 基于对称秘钥机制的鉴别；

2) 基于非对称秘钥机制的鉴别。

b) 终端应能进行鉴别失败处理。

5.2.2   网络访问控制

应满足4.2.2的要求。

5.3  通信安全要求

5.3.1   传输保密性

应满足4.3.1的要求。

5.3.2   传输完整性

应满足4.3.2的要求。

5.3.3   无线电安全

应满足4.3.3的要求。

5.4  系统安全要求

5.4.1   标识与鉴别

在满足4.4.1基础上，应满足以下要求：

具有执行能力的终端应能鉴别下达执行指令者的身份。

5.4.2   访问控制 

在满足4.4.2基础上，应满足以下要求：

a) 终端应提供安全措施控制对其远程配置；

b) 终端系统访问控制范围应覆盖所有主体、客体以及它们之间的操作。 

5.4.3   日志审计

在满足4.4.3基础上，应满足以下要求：

具有操作系统的终端应保护已存储的操作系统审计记录，以避免未授权的修改、删除、覆盖等。

5.4.4   软件安全

在满足4.4.4基础上，应满足以下要求：应仅安装经授权的软件。

5.4.5   接口安全

在满足4.4.6基础上，应满足如下要求：终端接口的访问应具备认证机制。

5.4.6  失效保护

在满足4.4.5基础上，应满足以下要求：

a) 终端应能自检出已定义的设备故障并进行告警，确保设备未受故障影响部分的功能正常；

b) 具有执行能力的终端应具有本地手动控制功能，并且手动控制功能优先级高于自动控制功能。

5.4.7   恶意代码防范

具有操作系统的终端应具有恶意代码防范能力。

5.4.8   数据安全要求数据保密性

终端应对鉴别信息、隐私数据和重要业务数据等敏感信息采用密码算法进行加密保护。加密算法应符合国家密码相关规定。 

5.4.9   数据完整性 

在满足4.5.2基础上，应满足以下要求：

终端应对存储的鉴别信息、数字签名、隐私数据和重要业务数据等进行完整性检测，并在检测到完整性错误时采取必要的恢复措施。

5.4.10    数据可用性

在满足4.5.3基础上，应满足如下要求：

终端应支持通过冗余部署方式采集重要数据。

5.5  芯片安全要求

在满足4.6基础上，对终端中特别重要的信息（涉及人身安全、重大财产损失、特别敏感的信息泄露等），比如视频摄像头、家庭网关、工业网关、支付终端等，应采用芯片级的安全技术措施，具备TPM/TEE安全功能，同时具备安全加密加速能力。

 

 

参考文献

[1]  IoT Security Guidelines Overview Document. GSMA, 2016

[2]  IoT Security Guidelines for Service Ecosystems. GSMA, 2016

[3]  IoT Security Guidelines for Endpoint Ecosystems. GSMA, 2016

[4]  IoT Security Guidelines for Network Operators. GSMA, 2016

[5]  Guide to Industrial Control Systems (ICS) Security. NIST, 2015

[6]  Security in the Internet of Things White Paper. WIND, 2015

[7] 《信息安全技术 物联网感知终端应用安全技术要求》（GB/T 36951-2018）

[8] 《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）

[9] 《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240-2008）

[10]《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)

[11]  Security Solutions. TS-0003-V2.4.1. OneM2M, 2016

 

鸣谢

https://mp.weixin.qq.com/s/zV1bxYIagyDNyGPYBfkMNg