华为物联网终端安全技术规范

i华为物联网终端安全技术规范文档版本01发布日期2018-9-24华为技术有限公司1版权所有©华为技术有限公司2017。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：术语、定义和缩略语...................................................................................................................................53总体安全技术要求.......................................................................................................................................63.1物联网终端安全框架..............................................................63.2安全技术要求级别................................................................64基础级安全技术要求...................................................................................................................................74.1物理安全要求....................................................................74.2接入安全要求....................................................................74.3通信安全要求....................................................................84.4系统安全要求....................................................................84.5数据安全要求...................................................................104.6芯片安全要求...................................................................105增强级安全技术要求.................................................................................................................................105.1物理安全要求...................................................................105.2接入安全要求...................................................................115.3通信安全要求...................................................................115.4系统安全要求...................................................................115.5芯片安全要求...................................................................12参考文献............................................................................133前言物联网广泛应用在农业、工业、卫生、城市管理等领域，与一般信息系统相比，物联网信息系统中使用的终端具有安全防护水平参差不齐、数量众多、种类繁杂、分布区域广、部署环境多样、安全功能受限等特点，这些特点使得终端应用面临软硬件故障、物理攻击、通信不正常、信息泄露或篡改、非授权访问或恶意控制等安全风险。为了提高物联网终端应用的安全防护水平，本技术规范针对终端应用提出了通用的安全技术要求。本文主要面向：华为物联网终端合作伙伴，帮助合作伙伴提高物联网终端的安全性。华为物联网终端生态合作团队，帮助在生态合作伙伴选择时把关安全要求。本规范主要基于中国国家标准《信息安全技术物联网终端应用安全技术要求》（草稿）进行修改，并参考了中国国家标准《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）、《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）、《信息安全技术网络安全等级保护安全设计技术要求第4部分：物联网安全要求》(草稿)。后续版本将进一步参考国际上物联网相关标准对本规范进行完善。为了适应华为业务特点，与《信息安全技术物联网终端应用安全技术要求》相比，本规范在安全要求进行了适当的增强，包括：a)将原增强级安全要求中的部分内容（尤其是关于数据安全的部分）纳入到基础级安全要求。b)在基础级安全要求中增加了防止网络攻击方面的要求，避免少数终端被控制后对整个网络产生影响。c)在基础级安全要求中增加了对大规模广泛部署的终端的安全升级的要求，防止这些终端出现安全漏洞后被大规模控制，如美国物联网终端DDoS攻击情形。d)在增强级安全要求中增加了对特别重要的信息进行TPM/TEE芯片级技术保护要求。本规范中物联网终端指的是能对物进行信息采集和/或执行操作，并能联网进行通信的装置，不包括物联网网关。本文中所述物联网终端按照其自身具备的数据处理能力，大致可分为三类：1）不具备自身数据处理能力的物联网终端：这类终端通常只进行传感数据采集、转换和上传，不具备信息处理能力，通常自身不具备安全防护能力，但为攻击者提供的攻击途径也很少，比如工业现场中的0-20mA传感器、普通流量计、普通水表、普通气表等；2）不具备操作系统的物联网终端：这类终端通常集成有采集和/或执行功能模块、中央处理功能模块和网络通信功能模块，通常安全防护功能有限，但为攻击者提供的攻击途径也有限，比如居民智能水电气表、车检器、环境监测器、路灯控制器等；3）具备操作系统的物联网终端：这类终端通常为信息处理能力较强，且自带操作系统的智能物联网终端，通常具有较强的安全防护功能和信息处理能力，但也为攻击者提供了较多的攻击途径，比如平安城市摄像头，车联网OBD、T-Box、ECU，工业现场的控制网关，手持智能终端、手机或pad等。本文适用于通用的各种类型的终端，针对特定类型的终端（如水表）的特定要求，在相应的章节中会特别的进行标注。本文技术规范要求大部分针对终端本身，对网络接入和平台接入上仅提出一些基本的安全技术要求，当这些终端对接我司网络及平台时，具体的接口技术要求（如平台的认证鉴权接口及NB-IoT的3GPPAKA接口）请参考网络和平台对接口的具体说明。4Revisionrecord修订记录Date日期RevisionVersion修订版本ChangeDescription修改描述Author作者2017-6-30V0.8第一稿王小军/田启明/余俊华/许强/杜玉杰/孟小虎/易平平/樊洞阳/钟优平/吴晓冬/潘虹/付天福/林方方2018-9-24V1.0刷新第一稿余晓光/付浩/苗广5华为物联网终端安全技术规范1范围本规范规定了应用在物联网信息系统中的物联网终端基础级安全技术要求和增强级安全技术要求。本规范面主要向华为物联网合作伙伴，适用于合作伙伴对物联网信息系统中物联网终端的设计、选型、部署、运行和维护，为物联网合作伙伴提供终端安全技术建议和参考。2术语、定义和缩略语物联网InternetofThings通过终端，按照约定协议，连接物、人、系统和信息资源，实现对物理和虚拟世界的信息进行处理并作出反应的智能服务系统。物联网终端InternetofThingsTerminal能对物进行信息采集和/或执行操作，并能联网进行通信的装置。终端根据是否具有操作系统,可分为自身不具备数据处理能力的传感终端、具有操作系统的物联网终端和不具有操作系统的物联网终端。后文简称为终端。传感器Sensor能感受被测量并按照一定的规律转换成可用输出信号的器件或装置，通常由敏感元件和转换元件组成。数据新鲜性DataFreshness接收到的数据，相对最近时刻从数据源采集的数据而言，其内容未发生变化且其传输时间未超出规定范围的特性。可信平台模块TrustedPlatformModule是指符合TPM标准的安全芯片，它能有效地保护终端设备和防止非法用户访问。可信执行环境TrustedExecutionEnvironment是GlobalPlatform（GP）组织提出的针对移动设备的开放环境安全问题，在设备上独立执行并与RichOS（通常是Android等）并存的运行环境，同时给RichOS提供从硬件到开源操作系统的更高级别的安全服务。63总体安全技术要求3.1物联网终端安全框架物联网的主要特征是无处不在的传感网络，包含了大量的传感器和网关设备，同时IP化和融合化，以及业务的开放性，这些特征导致物联网面临的安全威胁相比传统的互联网存在很大不同。物联网中终端和传感器的漏洞将对整个物联网系统形成巨大的威胁，这些设备的安全威胁既包含其自身被入侵的威胁，也包含对网络侧和云侧的威胁。物联网终端的安全包括物理安全、接入安全、通信安全、系统安全和数据安全，如图3-1所示。其中，“系统安全”中的“系统”指的是由硬件、固件和软件构成的终端整体。感知终端信息通信网络感知对象数据物理安全系统安全数据安全接入安全通信安全数据和指令图3-1物联网终端安全框架应用在物联网信息系统中的终端安全涵盖选型、部署、运行、维护各个环节。本规范第4章和第5章中的条款针