安全认证
1.本文件规定的安全认证设备的范围
1)可连接的儿童玩具和婴儿监视器。
2)烟雾探测器,门锁和窗户传感器。
3)物联网网关,基站和集线器。
4)智能相机、电视和扬声器。
5)可穿戴设备。
6)家庭自动化和报警系统,网关、枢纽。
7)家用电器,如洗衣机、冰箱和智能家庭助手。
这里我们的系统涉及到了范围中提到的第3点和第6点。
2.安全保障手段
2.1不要设通用密码
除了出厂默认,所有消费者设备密码唯一,或者是用户自定义。
1)每台设备的唯一密码应该采用一种加密机制生成密码,以降低某类设备攻击风险。
2)在用户身份认证的时候使用的密码应该使用适合技术、风险用途的最佳事件密码。
3)当用户可以对身份进行验证时,设备应该向用户或管理员提供一种简单的机制来更改锁使用的身份验证值。
4)当设备不是受约束设备时,应该有一种机制保障它能够抵御网络接口的攻击。
2.2提供管理漏洞报告的方法
1)制造商要向公众提供漏洞披露政策。
2)已披露的漏洞要及时采取行动。
3)制造商要在规定的支持期内持续监视、识别和纠正其销售、生产的产品和服务的安全漏洞。
2.3保持软件更新
1)物联网设备中的所有软件组件都应该是可安全更新的。
2)当设备不是受限设备时,它应具有安全更新机制安装更新。
3)用户可以简单地应用更新。
4)软件更新应使用自动机制。
5)设备应在初始化后检查,然后定期检查是否有可用的安全更新。
6)如果设备支持自动更新和/或更新通知,这些应在初始化状态下启用并可配置,以便用户可以启用、禁用或推迟安装安全更新和/或更新通知。
7)设备应使用最佳实践加密技术来促进安全更新机制。
8)安全更新要及时。
9)设备应验证软件更新的真实性和完整性。
10)在通过网络接口传递更新的情况下,设备应验证真实性和通过信任关系确保每次更新的完整性。
11)制造商应以可识别和明显的方式通知用户需要进行安全更新以及有关该更新减轻的风险的信息。
12)当应用软件更新将破坏设备的基本功能时,设备应通知用户。
13)制造商应以对用户清晰透明的可访问方式公布定义的支持期限。
14)对于无法更新其软件的受限设备,制造商应以对用户清晰透明的可访问方式发布缺少软件更新的理由、硬件更换支持的期限和方法以及定义的支持期限 .
15)对于无法更新软件的受限设备,产品应该是可隔离的并且硬件是可更换的。
16)物联网设备的型号名称应通过设备上的标签或物理接口清晰识别。
2.4安全存储敏感的安全参数
1)持久存储中的敏感安全参数应由设备安全存储。
2)如果出于安全目的在设备中使用硬编码唯一的每个设备标识,则其实施方式应防止通过物理、电气或软件等手段进行篡改。
3)不得使用设备软件源代码中硬编码的关键安全参数。
4)任何用于软件更新的完整性和真实性检查以及用于保护与设备软件中的相关服务的通信的任何关键安全参数都应在每个设备中是唯一的,并且应通过降低针对设备类别的自动攻击风险的机制产生。
2.5安全沟通
1)物联网设备应使用最佳实践加密技术进行安全通信。
2)物联网设备应使用经过审查或评估的实施来交付网络和安全功能,特别是在密码学领域。
3)密码算法和原语应该是可更新的。
4)初始化状态下通过网络接口访问设备功能只能在该接口上进行身份验证后。
5)允许通过网络接口进行与安全相关的配置更改的设备功能,不过只有经过身份验证后才能访问。 设备依赖的网络服务协议除外以及制造商无法保证设备运行所需的配置。
6)关键安全参数应在传输过程中加密,这种加密适合于技术、风险和使用的特性。
7)物联网设备应保护关键安全参数的机密性,这些参数是通过可远程访问的网络接口进行通信。
8)制造商应遵循相关的关键安全参数的安全管理流程到设备。
2.6最小化暴露的攻击面
1)应禁用所有未使用的网络和逻辑接口。
2)在初始化状态下,设备的网络接口应尽量减少未经身份验证的安全相关信息泄露。
3)设备硬件不应不必要地将物理接口暴露以被攻击。
4)如果调试接口可以物理访问,则应在软件中将其禁用。
5)制造商应仅启用为预期用途使用或需要的软件服务,或设备的操作。
6)应将代码最小化为服务/设备运行所需的功能。
7)软件应该以最少必要的权限运行,同时考虑到安全性和功能性。
8)设备应该包括一个硬件级别的内存访问控制机制。
9)制造商应遵循设备上部署的软件的安全开发流程。
2.7确保软件完整性
1)物联网设备应使用安全启动机制验证其软件。
2)如果检测到对软件的未经授权的更改,则设备应提醒用户和/或管理员注意该问题,并且不应连接到比执行警报功能所需的网络更广泛的网络。
2.8确保个人数据安全
1)在设备和服务之间传输的个人数据的机密性,尤其是相关服务,应该通过最佳实践加密得到保护。
2)设备和相关服务之间通信的敏感个人数据的机密性应受到保护,并采用适合技术属性和用途的密码学。
3)设备的所有外部传感能力都应以清晰易懂的方式记录在案并对用户透明。
2.9对系统中断有容忍力
1)考虑到数据网络和电力中断的可能性,物联网设备和服务应内置弹性。
2)在网络丢失的情况下,消费物联网设备应保持运行和本地功能访问,并且应该在断电恢复的情况下干净地恢复。
3)物联网设备应以预期、可操作和稳定的状态连接到网络,并且有序推进,兼顾基础设施能力。
2.10检查系统遥测数据
如果遥测数据是从消费者物联网设备和服务中收集的,例如使用和测量数据,应检查是否存在安全异常。
2.11方便用户删除用户数据
1)应为用户提供功能,以便用户数据可以从设备中删除简单的方式。
2)应为消费者提供设备上的功能,以便可以以简单的方式从相关服务中删除个人数据。
3)应向用户提供有关如何删除其个人数据的明确说明。
4)应向用户明确确认个人数据已从服务、设备和应用程序中删除。
2.12使设备的安装和维护变得简单
1)物联网的安装和维护应由用户做出最少的决定,并且应遵循可用性方面的安全最佳实践。
2)制造商应为用户提供有关如何安全设置其设备的指导。
3)制造商应向用户提供有关如何检查其设备是否为安全地设置。
2.13验证输入数据
物联网设备软件应验证通过用户界面输入的数据或通过应用程序编程接口 (API) 或服务和设备中的网络之间。
3.用户数据保护规则
1)设备制造商要向消费者提供清晰透明的个人信息,对于每个设备和服务,数据的处理方式、使用方式、由谁以及出于何种目的。这也适用可能涉及的第三方,包括广告商。
2)在征得消费者同意的基础上处理个人数据的,应当以有效方式取得该同意。
3)同意处理其个人数据的消费者有权随时撤回之前同意的内容。
4)如果遥测数据是从消费者物联网设备和服务中收集的,则个人数据的处理应保持在预期功能所需的最低限度。
5)如果遥测数据是从消费者物联网设备和服务中收集的,则应向消费者提供有关收集哪些遥测数据、如何使用、由谁使用以及用于什么目的的信息。
4.物联网结构
4.1简单模型
简单模型是通过局域网或者公网连接到网关,然后需要通过用户认证才能访问这些设备的功能,包含软件服务和网络服务,设备内有数据库存储,另外通过网关可以访问开放出来的本地接口。
如下图所示:
4.2 精密模型
精密模型是通过局域网连接,连接方式可以是Wi-Fi或者以太网,然后也是要通过用户认证,可以访问移动端的App接口,数据流接口,遥测接口,需要通过加密接口来管控硬件,固件和用户数据、配置都有在设备中存储。
另外在局域网提供了媒体控制按钮,USB口或者麦克风访问接口。
4.3家庭环境中物联网部署参考架构
4.4 物联网设备部署架构
5.物联网设备状态
5.1状态种类
物联网设备包含了六种状态
出厂默认状态:包含了固件、软件,出厂配置。
初始化完成状态(无个人数据):包含固件、软件、安全更新和初始化配置。
初始化完成状态(有个人数据):包含固件、软件、安全更新,用户配置和用户数据。
初始换完成状态(有个人数据和新增用户):包含固件、软件、安全更新,用户配置、用户1数据和用户2数据。
初始化完成状态(有个人数据,删除掉了用户1的数据):包含固件、软件、安全更新,用户配置和用户2数据。
恢复出厂默认状态:也就是重置了,和出厂默认状态一样。
具体如下图:
5.2设备状态转换过程
默认出厂状态,初始化后据变成了初始化(无个人数据)状态。设备使用过后这个时候就变成了初始化(有个人数据)状态。加上用户的设置过后就到了初始换完成状态(有个人数据和新增用户)状态,新增用户删除后,又回到了初始化(有个人数据)状态,个人数据删除后,回到了初始化(无个人数据)状态,出厂重置后回到了默认出厂状态。
当然,我们从默认出厂状态初始化的时候,可以直接带上个人数据,这样他就直接到了初始化(有个人数据)状态。
6.符号和术语说明
API 应用程序接口
ASLR 地址空间布局随机化
CVD 协调暴露漏洞
CVRF 通用漏洞报告框架
DDoS Dos攻击
DSC 专用安全组件
ENISA 欧盟网络信息安全机构
EU 欧盟
GDPR 通用数据保障规则
GSM 全球移动通信系统
GSMA GSM协会
IEEE 电气工程协会
IoT 物联网
IP 互联网协议
ISO 国际化标准组织
JTAG 联合测试行动组
LAN 局域网
LoRaWAN 远程广域网
MAC 媒体访问控制
NIST 标准与技术国家研究院
NX 未执行
OTP 一次性密码
QR 快速响应
SBOM 软件广告材料
SDO 标准发展组织
SE 安全组件
SSID 服务认证集
STRIDE 哄骗篡改拒绝信息分发,拒绝服务特权提升
SWD 串线调试
TEE 可信的执行环境
TS 技术规格
UART 标准异步接收转换器
UI 用户接口
UK 英国
USB 标准串行总线
WAN 广域网/公网
共有 0 条评论