标准-GB∕T 37093-2018 信息安全技术 物联网感知层接入通信网的安全要求.docx

ICS35.0401.80G日中华人民共和国家标准GB/T370932018信息安全技术物联网感知层接入通信网的安全要求Informationsecuritytcchno1.ogj,SecurityrequirementsforIoTsensing1.ayeraccesstocommunicationnetwork2018-12-28发布2019-07-01实施国家市场监督管理总局中国国家标准化管理委员会目次幅I1.1.1范用I2规范性引用文件13术语和定义I4缩略语25蚓25.1 物联网停知层接入通信网结构25.2 安全技术要求分级与密玛算法说明36通信网接入系统安全技术要求36.1 基本姒要求36.2 增强级要求47感知信息传输网络安全技术要求57.1 基本线要求57.2 增强级要求68蹲知层接入实体安全技术要求68.1 基本级要求68.2 增强线要求7附录A（资料性附录）典型应用示例8参考文献13前言本标掂按照GB，T1.12009给出的规则起草，请注位本文件的某些内容可能涉及Y利.本文件的发布机构不承也识别这些G利的货任。本标准由全国信息安全标准化技术委员会(SACn'C260)握山井归I.本标准起草总位：公安部第三研究所、中兴通讯股份有限公司、中国联合网络通信股份有限公司、北京天融信网络安全技术有限公司、无锡物联网产业研究院、中国电子技术标准化研究院.本标准主要起草人：胡传平、畅明、齐力、树前进、张艳、阳源、刘刊帆文幽风隔峰、爰俊杰'李法京陈书义、龚洁中.I1.1.信息安全技术物联网感知层接入通信网的安全要求1范围本标准规定了物联网停知层接入通信网的结构,提出了通信网接入系统、感知信息传输网络及感知层接入的安全技术要求.率标准适用于物联网系统工程中感知层接入实体的信息安全设计、选型和系统集成。2规范性引用文件下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注H期的版本适用于本文件.凡是不注日期的引用文件，其G新版本(包括所有的修改单)适用于本文件。GB/T18794.2-2(X)2信息技术开放系统互连开放系统安全框架第2部分：鉴别枢架GB/T250692010信息安全技术术语GBT30269.601-2016倍息技术传感罂网络第601部分：信息安全：通用技术现莅GB/T33745物联网术语3术语和定义GBfT18794.22()02.GB.T250692010,GBjT30269.6012016和GB"33745界定的以及下列术语和定义适用千本文件“3.1物联网感知层sensing1.ayerofIoT物联网感知控制域，即各类获取感知对双伯息与操控控制对象的软硬件系统的实体佻合.3.2通信网cnnunitinnc1.wrk收集、融合和处理物联网感知信息数据，并形成物联网应用的计算机设备和网络，33感知终螂sensingtermina1.能对物或环境进行信息采佻和/或执行操作，并能联网进行通信的装S1.3.4物联网感知层网关sensing1.ayergatewayofIoT支撑学知层与通怡网互联，并实现感知层本地管理的实体.33电喝接入实体accessentityofsensing1.ayer处于物联网感知层中,接入通信网进行数据通信的设招。注：常见的感知层接入实体包括想知终端、透知层I1.q夫等川r果9略知对象俏&或实现本胞管理的联网通估设备.保障以上实体互联形成的感知层接入通信网的安全,应满足以下三个部分的技术要求：a）感知层接入实体安全技术要求；b）3知信息传输网络安全技术暨求：c）通信网接入系统安全技术要求.5.2安全技术要求分级与密码算法说明本标准按照感知层接入通信网的安全功能演度，划分为菸本级和增诺级两个等级的娈求,本标掂凡涉及密:码算法的相关内容，按国家有关法规实施，凡涉及采用密码技术解决保密性、完劣性、真实性、不可否认性需求的应遵循密码相关国家标准和行业标准.注：相对于基本要求，帝羟姿来寐增内容用黑体字表示,6通信网接入系统安全技术要求6.1 基本或要求6.1.1 设务标识接入系统中的设得应具有可用于物联网系统中通佶识别的唯标识.示例：设备IIX序列号、MAC地址等.6.1.2 鉴别6.1.2.1 接入赛别机制接入系统应对接入通信网的博知层接入实体进行鉴别，井至少支持以下方式中的一种:a）基于感知层接入实体标识和接入1.1.令的单向认证：b）祭F预共享诙钥的单向或双向认证.注：依共享客的.处物联网实体设备之间进行保密通估的初始密钥.6.1.2.2 鉴别失败处理接入系统应具需接入鉴别失败的处抨能力,并满足以下要求：a）当饕别应答超过规定时限时接入系统应能终止与格接入的感知层接入实体之间的当前会话：b）在羟过一定次数的盥别失败以后，接入系统应能终止由该怯知层接入实体发起的建立会话的尝试，并在一定的时间间隔后才能允许继续接入。6.1.3 访问控制接入系统应支持感知层接入实体对通信网的访问控制机制和安全策蛤，并满足以下曹求：a）通过AC1.方式抄制感知层接入实体对通信网的访问:b）支持制定和执行访问控制浚略的功能，访问控制策略可以是地丁IP地址、用户/用户组、读/写等操作的一种或多种的组合：C）支持黑名总制，阻断相关感知层接入实体对通信网的访问。6.1.4 敷据传输安全接入系统应保障感知层接入实体与通信网的数据传输安全，并湎足以下要求：a）数据保密性,应对数据进行保密性保护保障数据不被泄露：b）数据完整性，应对数据进行完整性校验，保障数据不被第改：注：行1领数据除外,C）数据新鲜性，应支持包含时间序列的数抵信息，并保障时间序列不被篡改.6.1.5 密钥管理接入系统应具备对与感知层接入实体通信的电钥管理功能.并湎足以下要求：a）支持创建、存储、更新和刑除接入会话密包及密包材料等撩作：b）提供南用预分配保护，将预共享密钥和密制材料分配至将知层接入实体.注：密忸ff1.分配保护，足种用米保障始于H1.共京密物通俏安全的技术.ta：卤线分发、旁路分发.6.1.6 入侵防护接入系统应具备对i知层接入实体的接入防护能力，支持应用指定的通估协议和数据内容格式检位的数据包过逑，并丢弃不符合过谑要求的数据包.6.1.7 日志审计接入系统应对以卜感知层接入实体的接入安全少件进行11忐审计，F1.志内容应至少包含H期/时间、小件类型、”件主体、犷件描述，成功/失败的信息；a）惬知层接入实体的接入鉴别超时和失败：b）感知层接入实体的在战监i1.1.数据异常。6.2 增强级要求6.2.1 设备标识接入系统中的设备魔具备可用于物联网系统中通信识别的唯一标识，并且该标识应具备防箱改保护.6.2.2 鉴别6.22.1接入鉴别机制接入系统应时接入通信网的J知层接入实体进行将别，鉴别方式至少包括感知度接入实体标识和接入口令的单向认证，以及以下方式中的一种的组合：a）基于预共享雷期的双向认证；b）基于公审基础设施的接入鉴别.6.2.2.2鉴别失败处理接入系统应具冬接入差别失败的处理能力，并满足以下要求：a）当鉴别应答超过规定时限时.接入系统应能终止与待接入感知层接入实体之间的当前会话：b）在经过一定次数的鉴别失败以后，接入系统应能终止由该感知层接入实体发起的建立会话的尝试,并在一定的安全时间间隔后才能铁发。6.2.3访问控制接入系统应支持感知层接入实体对通信网的访问控制机制和安全策略,并满足以下要求：a）通过AC1.方式控制感知层接入实体对通信网的访问：b）支持制定和执行访问控制策略的功能,访问控制策略由基于IP地址及潜I、用户/用户组、读H等操作、有效时间周期'敏感标记等的两种及以上构成的组合；c）支持白名单制，限列感知超接入实体对通信网的访问.6.2.4Jft据信依安全接入系统应保障感知层接入实体与通信网的数据传输安全,并满足以下要求：a）数据保密性，应采用密码算法对数据进行保密性保护；b）数据完整性,应采用密码杂选、数字签名等书码算法或组合算法保障数据的完整性；C）数据源签别，应采用数字签名等密码算法或组合算法保障数据的来源可鳖别；d）数据新鲜性应支持包含时间序列的数据信息及信息脸证，应采用加密技术保护数据信息中的时间序列.6.2.5 密纲管理接入系统应具备对与然知层接入实体通信的密料管理功能.并满足以下要求：U）支持创建、存储、更新和剧除接入会话密钥及密铜材料等操作，密钥存储应具备访问控制和密码的保护：b）接入系统应采用离线分发方式将预共享第初和密钥材料分配至感知层接入实体；c）密钥管理支持多级生成和更新机制，主密馆的管理应支持密馆更新和注匿安全策略.注I4；级密加指的是包含由一种空钥生成另一种密钊的安全机M,主左钊-会话密钥-临时密钊之间可由一个生成另一个.6.2.6 隔海防护接入系统应具备感知层接入实体与通信网之间的隔离防护功能，应支挎逻辑隔离或艇隔离，并采用网闸设备对位于高等级安全域的网珞进行防护.6.2.7 入侵防护接入系统应具缶对蝮知层接入实体的接入防护能力，并满足以卜要求：a）支持应用指定的通信协议和数据内容格式等检查的数据包过滤，并丢弃不符合过渡要求的数据包;b）支持对恶意攻击和异常行为的检测，并具备入侵报警功能；O支持病毒或木马程序等的防护功能.6.28日志审计接入系统应对以下礴知层接入实体的接入安全事件进行日志审计,日志内容应至少包含H期/时间、事件类型、事件主体、事件描述,成功/失败的估息：a）遇知层接入实体的接入鉴别的超时和失败：b）感知层接入实体的在城监测数据异常：C）恶意攻击'异常行为'病毒/木马程序等的入侵报警信息记录.7酹知信息传输网络安全技术要求7.1 基本级要求感知信息传触网络应湎足以下安全饕求：a）使用力线连接的传愉网络时,栗川惬络逻辑隔禹技术或专用通道：b）使用无线连接的传输网络时.采用信道安全保护技术（包括：专用通信嫉段、专用遹信方式等）.7.2 增强级要求懑知信息传谕网络应满足以下安全要求：a）使用仃线连接的传输网络时，采用VP、信道加密技术或专用通道；b使用无线连接的传输网络时，采用信道加密等信道保护技术.8SS知厦接入实体安全技术要求8.1 其本级要求8.1.1 感知层接入实体标识感知层接入实体应具的可用下通信识别的物联网系统中的唯一标识，标识存放r嬷知终端或将知层网关上.8.1.2 接入鉴别支持功能感知层接入实体接入通信网来用的鉴别机制应与6.1.2.I要求的通信网接入系统的鉴别机制一一对应，并支持实体标识、接入口令等的存储和管理功能以及6.1.2.2要求的歌别失败处理“8.1.3 感知层接入实体访问控制感知层接入实体应具备访问控制机制，并满足以下要求Ia）支持AC1.列衣实现访问控制：b）支持基于感知层接入实体的用'/用户组的访问拄制,并部X用户访问控制策略.8.1.4 感知败据传输安全支搏感知层接入实体应支捋6.1.4要求的盛知数据传输安全功能.8.1.5 密钥管理当感知层接入实体果用加密方式支持接入通信网的签别和数据传输时，应支持密包管理安全机制，并满足以下要求：H）支持对接入密的、会话密物及其相关密W材料的生成、存储和更新：b）支持存储、更新预共享名物和其相关誉削材料的功能，并支持密钥离注接收或旁路接收.8.1.6 感知J8入侵防护感知层接入实体应只需接入通信网的入侵防护功能，并满足以下要求：a）仅开放应用相关的用相端口;b）拒绝和丢弃不可要别的通信忖通信数据，8.1.7 感知层接入实体日志审计感知层接入实体应对以下接入通信网的安全事件进行日志审计，日志内容应至少包含日期/时间、事件类型、事件主体、事件描述，成功/失败的信息：a）感知层接入实体的接入签别失败：b）感知层接入实体的访问用户登录失败.8.2 增强物要求8.2.1 感知层接入实体标识感知层接入实体应具备可用于通信识别的物联网系统中的唯标识，标识存放于感知层终端或感知层网关匕并且该标识应具备防黛改保护.8.2.2 接入鉴别支持功能超知层接入实体接入通信网采用的器别机*1应与6.2.2.1要求的通信网接入系统的鉴别机制一一对应,并支持实体标识.接入U令等的存储和管理功能以及6.2.2.2要求的鉴别失败处理.8.2.3 感钻层接入实体访问控制感知层接入实体应具备访向控制机制,并满足以下要求：a）支持AC1.列表实现访问控制；b）支挣基于感知层接入实体用户/用户组的访问捽制,并部署用户访问抄制策略.8.2.4 感知数据传物安全支持感知层接入实体应支持6.2.4要求的搏知数据传输安全功能。8.2.5 密铜3感知层接入实体应支持接入刘信网的密胡管理安全机制,并满足以下要求：a）支持对接入密钥、会话密钥及其相关密钥材料的生成,存储和更新；b）支持存储、更新Bj共享密期和其相关密钥材料的功能，并支持密钥离线接收；C）支持动态密钥的生成和更新安全机制，主密钥的管理应支持密钥更新和注捎安全策珞；d）应采用访问控制技术保沪密铜的存储.8.2.6 燮知层入侵防护感知层接入实体应具备接入通信网的入侵防护功能，井海足以卜要求；a）仅开放应用相关的通信端口；b）拒绝和丢弃不可鉴别的通信网通信数据；O支持应用指定的通信协议和敷据内容格式检查的数据包过滤，惠弃不符合过混要求的敢据包；d）支持对感1层接入实体的恶意攻击'寤毒/木马入侵等的检测，并具备报功能；e）支持物理拆卸的网珞报警功能.8.2.7 感知层接入实体日志审计懑知层接入实体应对以下接入通信网的安全事件进行日志审计，日志内容应至少包含日期/时间、事件类里、事件主体、事件描述，成功/失败的信息：a）感知层接入实体的接入器别失败；b）感知层接入实体的访问用户登录失败；c）对感知层接入实体的入侵、拆卸等报警的信息记录。附录A（费料性附录）典费应用示例A.1有线网络接入类应用案例A.1.1概述有线网络接入类应用是指物联网感知层网络主要以有线总线方式连接传修器终附城控制设备再由感知层网关或管理计兜机接入通信刈的应用模式.具典型系统图如图A.1所示.图A.1总然类感知应用安全接入系故示意图有妓总税接入类的典型应用包括：安防系统485总线控制的各类安防传将器,工业总城控制的各片机械自动化系统传透器应用等.这些总线控制类感如层刈络大多处于较长距离总线或环路内远程应用系统通过IP网络和连接总视的物联网网关或计算机（控制总税的设备，骗取终端感知信息或执行控帆总线连接的感知层网络，履使用特定的数据传输/控制协议与终端设备进行通信，由于入侵设备可以通过挂段，接入总线的方式探测总线数据,并对其他设备进行控制和T忧,所以存在感知层安全问题）：又由于其物联网应用生要通过IP网络来远程控制总战终端的工作模式存在接入安全问遨,其横入通信N的安全性保障应进砧本标次进行设计和管理。A.1.2安全接入应用模式总战类感知应用系统的安全接入，分别在边界和边界的物联网网关和通信网接入系统上部詈实现,边界部落满足第8章要求的感知层接入实体的支持功能,边界部署满足第6章要求的安全接入系统安全功能.实际应用中可以根据基本级或增强级要求,通过分别在边界部署物联网陷关或感知层管理计算机,边界中部詈包含防火堆、接入整别服务滋、证书服务器，前置应用眼务罂、隔离设饴等,并在增强媛要求时在两个边界的中间来用二层公网专用通道，如：VPDN.ApN等实现感知层与通信网的安全接入.A.2短程无线网络类应用案例A.2.1概述短程无线网络类应用是指物联网感知层网络主要以短程无我通信方式互联形成自组织传感/控制网络，再由感知层网关接入通信网的应用模式,其典型系统图如图A2所示。图A.2短程无线通信网络安全接入系境示意图短程无税通信类的典型应用包括：用于监测、监控的无疑传感网无线，业自动化传礴和控制、无浅抄表等.这些应用的感知层环境都于开放式的，在通信网内可以利用远程应用系统通过IP网络和i知层数据汇聚网关获取终端感知信息或执行控制.短程无我通信类感知层网络，一般使用白组织的无线组网和通信协议，入侵设备可以通过开放式的无浅环境进行窃听、伪造数抠，劫持终端等攻击方式来威胁掂础设施的运行安全.共接入通信网的安全性保障应进狷本标准进行设计和管理.一方面保间通信网内应用系统的安全.另一方面保冏感知层视络的通信安全.A.2.2安全接入应用模式短程无线通信类应用系统的安全接入，分别在边界和边界的物岷网网关和通信网接入系统上部署实现.边界部詈满足第8章要求的感知层接入实体的支持功能.边界部*满足第6章要求的安全接入系统安全功能，实际应用中可以根据基本级或坤强援要求，通过分别在边界部詈劭联网网关或厚知层管刊!计算机,边界中部署包含防火培、接入鉴别服务器、证书服务涔、的置应用服务器.刚离设备等.并在增强级要求时在两个边界的中间采用二层公网专用通道,如：VPDN.APN等实现感知层与通信网的安全接入.A.3有战/无戡宽带接入类应用案例A.3.1微述有线，无线宽带接入类应用是指物联网感知层终端主要通过互联刈、宽带移动互联网、特定嫉段无践专网等楂入通俏网的应用模式.其典型系统图如图A.3所示.图A.4RFID通信类安全接入应用系绘示意图RF1.D通信类的典型应用包括：果证查询、物资管理、电了车牌.小区巡更等.这些应用分为两种出知层接入通伯网的模式,种是读写终端通过连接到感知层网关接入通信网,另种是读卡终端直接接入通信网,RND读写终端的数据可邓性将影响整个应用系统的安全性，RFID读与终端在感知层开放刈爆中容易被控制或假冒。其接入通信网的安全性保障应遵循本标准进行设计和管理，A.4.2安全接入应用模式RFID通侑接人类应用系统的安全接入.分别在边界和边界的物联网网关和通信网接入系统上部署实现.边界部署满足第8章要求的感知层接入实体的支持功能.边界部署满足第6章要求的安全接入系统安全功能.实际应用中可以根据基本级或地强级要求，通过分别在边界部署物联网网关或感知层管理计算机，边界中部署包含防火墙、接入塞别服务器、证书服务器、前跟应用服务潴、隔熟设备等，并在增强级鬟求时在两个边界的中间采用二层公网专用通道，如：VPDN、APN等实现感知层与通信网的安全接入。A.5个域网/终端接入类应用案例A.5.1概述个域视/终端接入类应用足指足由个人智能终渊为代表的通信刈接入应用模式.其中个人智能终潮及接入的主要终端设备,而其连接的有线/无线读卡器.打印机'摄像头、传感器等是感知/控制终端.其典型系统图如图A.5所示。ta图A,5个域网络胡安全接入应用系统示意图个域网终端接入的典型应用包括：数字化单兵/单警系统、智能家居系统等。其个域网网关或终端是系统应用安全接入的美键以，容易被仿官、伪造及受到未授权的远程控制，从而造成西班的应用系统安全威胁，其接入通信网的安全性保障应进循本标准迸行设计和管理.A.5.2安全接入应用模式个域网终端的安全接入，分别在边界和边界的物联网网关和通信网接入系统上部部实现,边界部署满足第8章要求的感知层接入实体的支持功能，边界部？?满足第6章要求的安全接入系统安全功能.实际应用中可以根据基本级或增强级要求.通过分别在边界部署物联网网关或感知层管理计算机，边界中部潞包含防火墙'接入签别服务器、证招服务器、前置应用服务器、隔肉设得等，并在埔强燃要求时在两个边界的中间采用二层公网专用通道，如：VPDN4APN等实现感知层与通信忖的安全接入.参考文献1GBzT202692006侑息安全技术信息系统安全管理要求2jGB,T202712（X）6信息安全技术信息系统通用安全技术要求3GB,T222392008信息安全技术信息系统安全等级保护基本要求（4JGB,T22240-2008信息安全技术信息系统安全等级保护定级指南I51GB.T25068.12012信息技术安全技术IT网络安全第1部分：网络安全管理6GB.'T25068.22012信息技术安全技术IT网络安全第2部分：网络安全体系结构7）GBT250683-2010信息技术安全技术IT网络安全第3部分：使用安全网关的网间通信安全保护8 GBT25068.42010信息技术安全技术IT网络安全第4部分：远程接入的安全保护9 GBT25068.5-2010信息技术安全技术IT网络安全第5部分：使用虚拟专用网的涛网通信安全保护10GB.T29242012信息安全技术终端计蚱机通用安全技术要求与测成评价方法I1GB.T334742016物联网参考体系结构12商用密码产品使用管理规定国家密码管理局（第8号公告）【2007】810S-£602£§GB/T370932018中华人民共和国国家标准信息安全技术物联网感知层接入通信网的安全要求GBT3709-2018中国标准出版社出版发行北京巾朝阳区和平里西两甲2号100029)北京巾西城区三里河北街】6号(1Q(K45)网址：www.sc.otcnHs400-168-00102018年12月第一版W:1550661-61758版权专有侵权必究