资源描述:
《DB36∕T 1647-2022 基于窄带物联网(NB-IoT)电表终端安全技术规范(江西省)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
ICS17.040.30CCSA50错误!未指定书签。DB错误!未指定书签。错误!未指定书签。地方标准DB错误!未指定书签。/T1647—错误!未指定书签。错误!未指定书签。错误!未指定书签。SecuritytechnicalspecificationforelectricitymeterterminalbasedonNB-IoT
1DB36/T1647—2022错误!未指定书签。-09-26发2023-错误!未指定书签。-错江西省市场监督管理局发布2
2DB36/T1647—2022目次1范围................................................................................32规范性引用文件......................................................................33术语和定义..........................................................................34缩略语..............................................................................55电表类型及安全架构..................................................................56基础级安全技术要求..................................................................77扩展性安全技术要求.................................................................10参考文献...........................................................................141
3DB36/T1647—2022前言本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江西省物联网专业标准化技术委员会(JX/TC034)提出并归口。本文件起草单位:江西智慧云测安全检测中心股份有限公司、鹰潭泰尔物联网研究中心有限公司、南昌大学。本文件主要起草人:杜磊、李海滨、张策、徐九八、安焘、刘海瑞、陈昌鹤、刘泽民、叶高翔、杨鑫、谢志刚、杨鼎成。2
4DB36/T1647—2022基于窄带物联网(NB-IoT)的电表终端安全技术规范1范围本文件规定了基于窄带物联网(NB-IoT)的电表终端安全术语、定义和安全设计要求。本文件适用于江西省范围内基于窄带物联网(NB-IoT)的电表终端制造、检测和安全监测系统建设。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,标注日期的引用文件,仅该日期对应的版本适用于本文件;不标注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T4208外壳防护等级(IP代码)GB/T17626.3电磁兼容试验和测量技术射频电磁场辐射抗扰度试验GB/T22239信息安全技术网络安全等级保护基本要求GB/T25069信息安全技术术语GB/T32915信息安全技术二元序列随机性检测方法GB/T36951信息安全技术物联网感知终端应用安全技术要求GB/T38638信息安全技术可信计算可信计算体系结构YD/T2578.2LTEFDD数字蜂窝移动通信网终端设备测试方法(第一阶段)第2部分:无线射频性能测试JR/T0156移动终端支付可信环境技术规范3GPPTS36.521-1长期演进技术.演进通用陆地无线接入(E-UTRA).用户设备(UE)一致性规范.无线电传输和接收.第1部分:一致性测试3GPPTS36.523-1长期演进技术.演进通用陆地无线接入(E-UTRA)和演进分组核心(EPC).用户设备(UE)一致性规范.第1部分:协议一致性规范3术语和定义下列术语和定义适用于本文件。3.1窄带物联网NB-IoTNarrowBandInternetofThingsIoT领域的新兴技术,支持低功耗设备在广域网的蜂窝数据连接。NB-IoT支持待机时间长、对网络连接要求较高设备的高效连接。具有覆盖广、连接多、速率快、成本低、功耗低、架构优等特点。3.2敏感数据(信息)SensitiveData(information)3
5DB36/T1647—2022PIN和加密密钥等设备或开锁人独有的数据和信息,敏感数据需要进行有效保护,防止泄露、被修改或被破坏。3.3固件Firmware在设备内部与设备安全性相关所有程序代码称为固件,一般是指存储于设备中的电可擦除只读存储器EEPROM(ElectricallyErasableProgrammableROM)或FLASH芯片中的软件,固件必须符合规范的各项安全要求。3.4安全启动SecureBoot通过安全芯片或者其它安全组件的安全能力,保证运行与芯片上的软件从上电开始的后续各个阶段的启动流程不可篡改,启动后运行的固件或者软件能够保证其真实性和完整性。3.5辐射抗扰度RadiatedImmunity辐射抗扰度,又称为辐射敏感度,指各种装置、设备或系统,在存在辐射的情况下,抵抗辐射的一种能力。敏感度越高,抗干扰的能力越低。3.6最大发射功率MaximumTransmitPower在信道带宽内任何传输带宽的最大发射功率。3.7参考灵敏度水平ReferenceSensitivityLevel给定的平均吞吐量,某个特定的参考测量信道,在低信号电平、理想传播条件、无附加噪声的条件下接收数据的能力。3.8频率误差FrequencyError接收机和发射机正确处理频率的能力。3.9载波泄漏CarrierLeakage由交调或者直流偏差引起的干扰,通过载波泄漏可以验证发射机的调制质量。3.10安全启动SecureBoot4
6DB36/T1647—2022通过安全芯片或者其它安全组件的安全能力,保证运行与芯片上的软件从上电开始的后续各个阶段的启动流程不可篡改,启动后运行的固件或者软件能够保证其真实性和完整性。3.11数据新鲜性DataFreshness接收到的数据,相对最近时刻从数据源采集的数据而言,其内容未发生变化且其传输时间未超出规定范围的特性。3.12安全芯片SecurityChip含有密码算法、安全功能,可实现密钥管理机制的相对独立的芯片。4缩略语下列缩略语适用于本文件:3GPP第三代合作伙伴计划(3rdGenerationPartnershipProject)AKA认证与密钥协商协议(AuthenticationandKeyAgreement)AS接入层(AccessStratum)CoAP受限制的应用协议(ConstrainedApplicationProtocal)DTLS数据包传输层安全性协议(DatagramTransportLayerSecurity)IoT物联网(InternetofThings)LwM2M轻量级机器对机器(LightweightMachinetoMachine)NAS非接入层(Non-accessStratum)PIN个人识别(PersonalIdentificationNumber)PSK预共享密钥模式(Pre-sharedKey)RFID射频识别(RadioFrequencyIdentification)5电表类型及安全架构5.1电表分类电表按安全防御能力分为弱终端类和强终端类电表:a)弱终端类:需要满足基本安全要求,同时兼顾计算能力和成本,比如DTLS、双向认证、密码管理、远程升级等;这类终端处理能力弱、内存资源有限、成本功耗敏感;b)强终端类:除了满足基本安全要求,还需要满足增强安全要求,重点关注自身安全和攻击影响,比如安全启动、系统加固、可信执行环境、病毒防护、端口加固等;这类终端处理能力较强,通常自带嵌入式操作系统,在IoT网络中角色通常较为关键且受攻击后影响较大。5.2电表安全架构如图1所示,从安全设计角度考虑,终端的整体安全由安全操作系统,底层协议和应用协议三个层面实现。安全的操作系统是整体安全功能实现的基础,通常弱终端会使用轻量化的物联网操作系统,此类系统在调度机制中,不区分用户态和内核态,使用统一的内存空间,所有应用和内核均运行在特权模5
7DB36/T1647—2022式,系统服务会面临众多不确定的安全隐患。而一般安全操作系统的隔离机制会将用户态与内核态隔离、应用与应用隔离,并支持内核内存保护机制以及内核隔离调度机制,那么使用基于此类操作系统的电表业务系统的可靠性与安全性都会得到较大的提升。在安全操作系统之上是通用的底层协议,在本层面使用3GPPNAS/AS和AKA认证来保证数据的机密性、完整性和身份真实性的安全属性的实现。应用协议处于应用层面,基本的应用层协议包括CoAP/LwM2M,来实现基础的数据通信。同时在应用层面也会通过DTLS/PSK的方式来实现数据的机密性和完整性的保护,进而保证端到端的会话安全。应用协议DTLS/PSK应用层协议数据加密(CoAP/LwM2M)完整性保护底层协议3GPPNAS/AS数据加密3GPPAKA认证完整性保护安全操作系统安全启动安全存储通用操作系统硬件图1电表安全架构图本技术规范推荐使用具有较强的安全操作系统作为电表的底层,具体的安全保护措施宜包括:a)设计合理的内存布局;b)区分内核态和用户态;c)应用进程之间进行隔离;d)提供内存保护接口;e)使用安全通信协议。从外部视角看,电表终端在应用系统中的安全架构如图2所示,整体基于NB-IoT的电表系统在通信过程中应采用相应的安全机制来保证整体系统在数据传输和保密层面的安全要求。6
8DB36/T1647—2022设备物联网平台DTLS提供加密/完整性保护管理数据DTLSDTLS应用层安全应用数据基于3GPP的非接入层加密/完整性保护网络层安全非接入层非接入层图2电表系统安全架构图5.3安全技术要求级别按照物联网信息系统中电表终端的安全技术要求分为基础级和增强级两类。电表终端至少应满足基础级安全技术要求;对于处理敏感数据或遭到破坏对人身安全、环境安全带来严重影响的电表终端,或GB/T22239规定的三级以上物联网信息系统中的电表终端应满足增强级要求。注:相对于基础级安全技术要求,扩展性安全技术要求新增内容用宋体加粗字表示。6基础级安全技术要求6.1物理安全要求6.1.1选型物联网信息系统中选用电表终端产品时,电表终端产品应满足如下要求:a)取得质量认证证书;b)满足物联网应用根据GB4208确定的外壳防护等级(IP代码)要求;C)通过依据GB/T17626.3电磁兼容试验和测量技术射频电磁场辐射抗扰度试验或有关的专用产品或产品类电磁兼容抗扰度标准进行的电磁兼容抗扰度试验且性能满足二级及以上需求。d)物联网中使用的电表终端产品应经过第三方机构的信息安全检测。6.1.2选址物联网信息系统中进行电表终端选址时,电表终端应满足如下要求:a)选择能满足供电、防盗窃防破坏、防水防潮、防极端温度等要求的环境部署;b)选择能满足信号防干扰、防屏蔽、防阻挡等要求的环境部署。6.1.3供电电表终端的供电应稳定可靠,能够承受一定范围内的电压抖动,抖动范围为额定值的±5%。6.1.4防盗窃和防破坏7
9DB36/T1647—2022电表终端应满足如下防盗窃和防破坏要求:a)部署在安全场所中,如无人守护则需有相应的物理防护措施;b)采用防盗窃和防破坏的措施;c)采用专用的防拆分析措施。6.1.5高低温和湿度要求a)电表终端应具备在规定的高/低温(温度范围为-25℃~70℃)环境下使用、运输或贮存的能力;b)应符合试验要求的最高/低温度,温度范围为-20℃~150℃;c)相对湿度不超过85%RH。6.2接入安全要求6.2.1网络接入认证在接入网络时,电表终端应满足如下要求:a)在接入网络中具有唯一网络身份标识;b)能向接入网络证明其网络身份,至少支持如下身份鉴别机制之一,并采用密码技术进行保护:1)基于网络身份标识的鉴别;2)基于MAC地址的鉴别;3)基于通信协议的鉴别;4)基于通信端口的鉴别;5)基于对称密码机制的鉴别;6)基于非对称密码机制的鉴别。c)在采用插卡方式进行网络身份鉴别时采取措施防止卡片被拔除或替换;d)保证密钥存储和交换安全。6.2.2网络访问控制电表终端网络访问控制要求如下:a)如支持多端口的网络访问通信功能则禁用闲置的通信端口;b)设置网络访问控制策略,限制对电表终端的网络访问。6.3通信安全要求6.3.1无线电安全a)电表终端应按国家规定使用无线电频段和辐射强度,并具有抗干扰能力;b)设备在正常工作时自身对外界的辐射干扰强度应满足标准限值规定,使其不会引起其他装置,设备或系统性能的下降或者对生命及无生命物质产生损害。6.3.2传输完整性电表终端应满足如下传输完整性要求:a)具有并启用通信完整性校验机制,使用密码技术实现鉴别信息、隐私数据和重要业务数据等数据传输的完整性保护;b)具有通信延时和中断的处理机制,通信延时的范围为1-60ms。6.3.3射频一致性要求8
10DB36/T1647—2022a)电表终端的最大发射功率应满足标称功率和容差规定的范围,参考3GPPTS36.521-1。b)参考灵敏度水平,终端设备应满足在给定的平均吞吐量,特定的参考测量信道条件下接收到数据;C)频率误差,终端设备同时验证接收机和发射机正确处理频率的能力,应满足在理想传播条件下和低电平下能获取到正确的调制载波频率;d)终端设备通过交调或者直流偏差引起的干扰(载波泄漏)来验证发射机的调制质量。6.3.4协议一致性要求电表终端应满足如下完整性保护和加密和解密性要求:a)基于SNOW3G算法的EPSAS和UP加密功能,参考3GPPTS36.523-1第22.3.3.2小节;b)基于AES算法的EPSAS和UP加密功能,参考3GPPTS36.523-1第22.3.3.3小节;C)基于ZUC算法的EPSAS和UP加密功能,参考3GPPTS36.523-1第22.3.3.4小节。6.4系统安全要求6.4.1标识与鉴别对于具有操作系统的电表终端,应满足如下标识与鉴别要求:a)电表终端的操作系统用户有唯一标识,标识不能被非法篡改;b)电表终端的操作系统应对用户进行身份鉴别。使用用户名和口令鉴别时,口令由字母、数字及特殊字符组成,长度不小于8位。6.4.2访问控制电表终端应满足如下访问控制要求:a)电表终端应能控制系统用户的访问权限;b)对于具有操作系统的电表终端,操作系统用户应仅被授予完成任务所需的最小权限;c)电表终端应能控制数据的本地或远程访问;d)电表终端应提供安全措施控制对其远程配置。6.4.3日志审计具有操作系统的电表终端,应满足如下日志审计要求:a)应能为操作系统事件生成审计记录,审计记录应包括日期、时间、操作用户、操作类型等信息;b)应能由安全审计员开启和关闭操作系统的审计功能;c)应能提供操作系统的审计记录查阅功能,审计记录保存期限不少于1年。6.4.4失效保护电表终端应能自检出已定义的设备故障并进行告警,确保设备未受故障影响部分的功能正常。6.4.5通用软件安全具有操作系统的电表终端,应满足如下软件安全要求:a)终端仅安装经授权的软件;b)应按照策略进行软件补丁更新和升级,且保证所更新数据的来源合法性和完整性。6.4.6接口安全9
11DB36/T1647—2022电表终端在接口安全应满足如下要求:a)终端不具有调试功能接口;b)如终端具备调试功能接口,应在出厂时设置为默认关闭。6.5数据安全要求6.5.1数据可用性电表终端在传输其采集到的数据时,应对数据时效性做出标识。6.5.2数据完整性电表终端应为其采集的数据生成完整性证据(如:校验码、消息摘要、数字签名等)。6.5.3随机性电表终端应自主产生随机数,并保证随机性良好,不可预测。6.6芯片安全要求终端主要芯片应具备安全启动能力。7扩展性安全技术要求7.1物理安全要求7.1.1选型应满足5.1.1要求。7.1.2选址应满足5.1.2要求。7.1.3供电在满足5.1.3基础上,应满足如下要求:a)关键电表终端应具有备用电力供应,至少满足关键电表终端正常运行的供电时长要求;b)应提供技术和管理手段监测电表终端的供电情况,并能在电力不足时及时报警。7.1.4防盗窃和防破坏在满足5.1.4的基础上,其他要求如下:a)户外部署的重要电表终端宜设置在视频监控范围内;b)户外部署的关键电表终端应具有定位装置。c)户外部署的关键电表终端应具备入侵检测机制,触发后立即进入安全失效状态。7.1.5防雷和防静电重要电表终端应采取必要的避雷和防静电措施。7.2接入安全要求10
12DB36/T1647—20227.2.1网络接入认证在满足5.2.1a)c)d)基础上,应满足如下要求:a)电表终端与其接入网络间应进行双向认证,双方至少支持如下身份鉴别机制之一:1)基于对称密码机制的身份鉴别;2)基于非对称密码机制的身份鉴别。b)电表终端应能进行身份鉴别失败处理。7.2.2网络访问控制应满足5.2.2的要求。7.3通信安全要求7.3.1无线电安全应满足5.3.1的要求。7.3.2传输完整性应满足5.3.2的要求。7.3.3传输保密性在满足5.3.3的基础上,应满足如下要求:a)电表终端传输鉴别信息、隐私数据和重要业务数据等敏感信息时应进行加密保护;b)加密算法应符合国家密码相关规定。7.4系统安全要求7.4.1标识与鉴别在满足5.4.1基础上,应满足如下要求:具有执行能力的电表终端应能鉴别下达执行指令者的身份。7.4.2访问控制在满足5.4.2基础上,应满足如下要求:电表终端系统访问控制范围应覆盖所有主体、客体以及它们之间的操作。7.4.3日志审计在满足5.4.3基础上,应满足如下要求:具有操作系统的电表终端应保护已存储的操作系统审计记录,以避免未授权的修改、删除、覆盖等。7.4.4失效保护在满足5.4.4基础上,应满足如下要求:a)具有操作系统的电表终端应能在操作系统崩溃时重启;b)具有执行能力的电表终端应具有本地手动控制功能,并且手动控制功能优先级高于自动控制功能。7.4.5恶意代码防范11
13DB36/T1647—2022具有操作系统的电表终端应具有恶意代码防范能力。7.4.6通用软件安全在满足5.4.5基础上,应当满足如下要求:a)具有操作系统的电表终端软件补丁更新和升级前应经过安全测试验证。b)具有操作系统的电表终端软件补丁更新或升级失败时,更新前的版本软件应可继续使用,不得影响原有软件完整性。7.4.7接口安全接口安全应满足如下要求:a)调试接口除逻辑上默认关闭之外,同时物理上不应存在可被利用的调试接口端子、调试接口测试点、调试焊盘等。应禁用电表终端闲置的外部设备接口。b)应禁用电表终端的外接存储设备自启动功能。c)应禁用电表终端闲置的外部设备接口。7.4.8自检自检安全应满足如下要求:a)设备应具备自检功能,能够检查设备的固件、安全机制以及安全状态。b)自检包括完整性和真实性,其目标是检查固件、针对篡改迹象的安全机制以及设备是否处于被攻破状态。一旦出现故障,设备及其功能会以安全的方式失去效用。设备每24小时内要至少重新初始化内存一次。c)自检在设备启动时一定进行一次并且至少每天进行一次。7.5数据安全要求7.5.1数据可用性在满足5.5.1基础上,应满足如下要求:电表终端应支持通过冗余部署方式采集重要数据。7.5.2数据完整性在满足5.5.2基础上,应满足如下要求:电表终端应对存储的鉴别信息、隐私数据和重要业务数据等进行完整性检测,并在检测到完整性错误时采取必要的恢复措施。7.5.3随机性在满足5.5.3的基础上,应满足如下要求:随机数的随机性应满足国家技术标准(GBT32915-2016_信息安全技术二元序列随机性检测方法)要求。7.5.4数据保密性电表终端应对鉴别信息、隐私数据和重要业务数据等敏感信息采用密码算法进行加密保护。加密算法应符合国家密码相关规定。7.6芯片安全要求12
14DB36/T1647—2022在满足5.6基础上,应满足如下要求:重要电表终端应采用芯片级的安全技术措施,具备可信执行环境所要求的安全功能,同时具备安全加密加速能力。电表终端采用的安全芯片,应取得国家管理部门的认可。13
15DB36/T1647—2022参考文献[1]ISO/IEC20180:2012Telecommunicationsandinformationexchangebetweensystems-Securityframeworkforubiquitoussensornetworks[2]IEC62443-1-1:2009Industrialcommunicationnetworks–Networkandsystemsecurity–Part1-1Terminology,conceptsandmodels_________________________________14
