《标准-GB∕T 37093-2018 信息安全技术 物联网感知层接入通信网的安全要求.docx》由会员分享,可在线阅读,更多相关《标准-GB∕T 37093-2018 信息安全技术 物联网感知层接入通信网的安全要求.docx(16页珍藏版)》请在优知文库上搜索。
1、ICS35.0401.80G日中华人民共和国家标准GB/T370932018信息安全技术物联网感知层接入通信网的安全要求Informationsecuritytcchno1.ogj,SecurityrequirementsforIoTsensing1.ayeraccesstocommunicationnetwork2018-12-28发布2019-07-01实施国家市场监督管理总局中国国家标准化管理委员会目次幅I1.1.1范用I2规范性引用文件13术语和定义I4缩略语25蚓25.1 物联网停知层接入通信网结构25.2 安全技术要求分级与密玛算法说明36通信网接入系统安全技术要求36.1 基本姒
2、要求36.2 增强级要求47感知信息传输网络安全技术要求57.1 基本线要求57.2 增强级要求68蹲知层接入实体安全技术要求68.1 基本级要求68.2 增强线要求7附录A(资料性附录)典型应用示例8参考文献13前言本标掂按照GB,T1.12009给出的规则起草,请注位本文件的某些内容可能涉及Y利.本文件的发布机构不承也识别这些G利的货任。本标准由全国信息安全标准化技术委员会(SACnC260)握山井归I.本标准起草总位:公安部第三研究所、中兴通讯股份有限公司、中国联合网络通信股份有限公司、北京天融信网络安全技术有限公司、无锡物联网产业研究院、中国电子技术标准化研究院.本标准主要起草人:胡传
3、平、畅明、齐力、树前进、张艳、阳源、刘刊帆文幽风隔峰、爰俊杰李法京陈书义、龚洁中.I1.1.信息安全技术物联网感知层接入通信网的安全要求1范围本标准规定了物联网停知层接入通信网的结构,提出了通信网接入系统、感知信息传输网络及感知层接入的安全技术要求.率标准适用于物联网系统工程中感知层接入实体的信息安全设计、选型和系统集成。2规范性引用文件下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注H期的版本适用于本文件.凡是不注日期的引用文件,其G新版本(包括所有的修改单)适用于本文件。GB/T18794.2-2(X)2信息技术开放系统互连开放系统安全框架第2部分:鉴别枢架GB/T2506
4、92010信息安全技术术语GBT30269.601-2016倍息技术传感罂网络第601部分:信息安全:通用技术现莅GB/T33745物联网术语3术语和定义GBfT18794.22()02.GB.T250692010,GBjT30269.6012016和GB33745界定的以及下列术语和定义适用千本文件“3.1物联网感知层sensing1.ayerofIoT物联网感知控制域,即各类获取感知对双伯息与操控控制对象的软硬件系统的实体佻合.3.2通信网cnnunitinnc1.wrk收集、融合和处理物联网感知信息数据,并形成物联网应用的计算机设备和网络,33感知终螂sensingtermina1.能对
5、物或环境进行信息采佻和/或执行操作,并能联网进行通信的装S1.3.4物联网感知层网关sensing1.ayergatewayofIoT支撑学知层与通怡网互联,并实现感知层本地管理的实体.33电喝接入实体accessentityofsensing1.ayer处于物联网感知层中,接入通信网进行数据通信的设招。注:常见的感知层接入实体包括想知终端、透知层I1.q夫等川r果9略知对象俏&或实现本胞管理的联网通估设备.保障以上实体互联形成的感知层接入通信网的安全,应满足以下三个部分的技术要求:a)感知层接入实体安全技术要求;b)3知信息传输网络安全技术暨求:c)通信网接入系统安全技术要求.5.2安全技术
6、要求分级与密码算法说明本标准按照感知层接入通信网的安全功能演度,划分为菸本级和增诺级两个等级的娈求,本标掂凡涉及密:码算法的相关内容,按国家有关法规实施,凡涉及采用密码技术解决保密性、完劣性、真实性、不可否认性需求的应遵循密码相关国家标准和行业标准.注:相对于基本要求,帝羟姿来寐增内容用黑体字表示,6通信网接入系统安全技术要求6.1 基本或要求6.1.1 设务标识接入系统中的设得应具有可用于物联网系统中通佶识别的唯标识.示例:设备IIX序列号、MAC地址等.6.1.2 鉴别6.1.2.1 接入赛别机制接入系统应对接入通信网的博知层接入实体进行鉴别,井至少支持以下方式中的一种:a)基于感知层接入
7、实体标识和接入1.1.令的单向认证:b)祭F预共享诙钥的单向或双向认证.注:依共享客的.处物联网实体设备之间进行保密通估的初始密钥.6.1.2.2 鉴别失败处理接入系统应具需接入鉴别失败的处抨能力,并满足以下要求:a)当饕别应答超过规定时限时接入系统应能终止与格接入的感知层接入实体之间的当前会话:b)在羟过一定次数的盥别失败以后,接入系统应能终止由该怯知层接入实体发起的建立会话的尝试,并在一定的时间间隔后才能允许继续接入。6.1.3 访问控制接入系统应支持感知层接入实体对通信网的访问控制机制和安全策蛤,并满足以下曹求:a)通过AC1.方式抄制感知层接入实体对通信网的访问:b)支持制定和执行访问
8、控制浚略的功能,访问控制策略可以是地丁IP地址、用户/用户组、读/写等操作的一种或多种的组合:C)支持黑名总制,阻断相关感知层接入实体对通信网的访问。6.1.4 敷据传输安全接入系统应保障感知层接入实体与通信网的数据传输安全,并湎足以下要求:a)数据保密性,应对数据进行保密性保护保障数据不被泄露:b)数据完整性,应对数据进行完整性校验,保障数据不被第改:注:行1领数据除外,C)数据新鲜性,应支持包含时间序列的数抵信息,并保障时间序列不被篡改.6.1.5 密钥管理接入系统应具备对与感知层接入实体通信的电钥管理功能.并湎足以下要求:a)支持创建、存储、更新和刑除接入会话密包及密包材料等撩作:b)提
9、供南用预分配保护,将预共享密钥和密制材料分配至将知层接入实体.注:密忸ff1.分配保护,足种用米保障始于H1.共京密物通俏安全的技术.ta:卤线分发、旁路分发.6.1.6 入侵防护接入系统应具备对i知层接入实体的接入防护能力,支持应用指定的通估协议和数据内容格式检位的数据包过逑,并丢弃不符合过谑要求的数据包.6.1.7 日志审计接入系统应对以卜感知层接入实体的接入安全少件进行11忐审计,F1.志内容应至少包含H期/时间、小件类型、”件主体、犷件描述,成功/失败的信息;a)惬知层接入实体的接入鉴别超时和失败:b)感知层接入实体的在战监i1.1.数据异常。6.2 增强级要求6.2.1 设备标识接入
10、系统中的设备魔具备可用于物联网系统中通信识别的唯一标识,并且该标识应具备防箱改保护.6.2.2 鉴别6.22.1接入鉴别机制接入系统应时接入通信网的J知层接入实体进行将别,鉴别方式至少包括感知度接入实体标识和接入口令的单向认证,以及以下方式中的一种的组合:a)基于预共享雷期的双向认证;b)基于公审基础设施的接入鉴别.6.2.2.2鉴别失败处理接入系统应具冬接入差别失败的处理能力,并满足以下要求:a)当鉴别应答超过规定时限时.接入系统应能终止与待接入感知层接入实体之间的当前会话:b)在经过一定次数的鉴别失败以后,接入系统应能终止由该感知层接入实体发起的建立会话的尝试,并在一定的安全时间间隔后才能
11、铁发。6.2.3访问控制接入系统应支持感知层接入实体对通信网的访问控制机制和安全策略,并满足以下要求:a)通过AC1.方式控制感知层接入实体对通信网的访问:b)支持制定和执行访问控制策略的功能,访问控制策略由基于IP地址及潜I、用户/用户组、读H等操作、有效时间周期敏感标记等的两种及以上构成的组合;c)支持白名单制,限列感知超接入实体对通信网的访问.6.2.4Jft据信依安全接入系统应保障感知层接入实体与通信网的数据传输安全,并满足以下要求:a)数据保密性,应采用密码算法对数据进行保密性保护;b)数据完整性,应采用密码杂选、数字签名等书码算法或组合算法保障数据的完整性;C)数据源签别,应采用数
12、字签名等密码算法或组合算法保障数据的来源可鳖别;d)数据新鲜性应支持包含时间序列的数据信息及信息脸证,应采用加密技术保护数据信息中的时间序列.6.2.5 密纲管理接入系统应具备对与然知层接入实体通信的密料管理功能.并满足以下要求:U)支持创建、存储、更新和剧除接入会话密钥及密铜材料等操作,密钥存储应具备访问控制和密码的保护:b)接入系统应采用离线分发方式将预共享第初和密钥材料分配至感知层接入实体;c)密钥管理支持多级生成和更新机制,主密馆的管理应支持密馆更新和注匿安全策略.注I4;级密加指的是包含由一种空钥生成另一种密钊的安全机M,主左钊-会话密钥-临时密钊之间可由一个生成另一个.6.2.6
13、隔海防护接入系统应具备感知层接入实体与通信网之间的隔离防护功能,应支挎逻辑隔离或艇隔离,并采用网闸设备对位于高等级安全域的网珞进行防护.6.2.7 入侵防护接入系统应具缶对蝮知层接入实体的接入防护能力,并满足以卜要求:a)支持应用指定的通信协议和数据内容格式等检查的数据包过滤,并丢弃不符合过渡要求的数据包;b)支持对恶意攻击和异常行为的检测,并具备入侵报警功能;O支持病毒或木马程序等的防护功能.6.28日志审计接入系统应对以下礴知层接入实体的接入安全事件进行日志审计,日志内容应至少包含H期/时间、事件类型、事件主体、事件描述,成功/失败的估息:a)遇知层接入实体的接入鉴别的超时和失败:b)感知
14、层接入实体的在城监测数据异常:C)恶意攻击异常行为病毒/木马程序等的入侵报警信息记录.7酹知信息传输网络安全技术要求7.1 基本级要求感知信息传触网络应湎足以下安全饕求:a)使用力线连接的传愉网络时,栗川惬络逻辑隔禹技术或专用通道:b)使用无线连接的传输网络时.采用信道安全保护技术(包括:专用通信嫉段、专用遹信方式等).7.2 增强级要求懑知信息传谕网络应满足以下安全要求:a)使用仃线连接的传输网络时,采用VP、信道加密技术或专用通道;b使用无线连接的传输网络时,采用信道加密等信道保护技术.8SS知厦接入实体安全技术要求8.1 其本级要求8.1.1 感知层接入实体标识感知层接入实体应具的可用下
15、通信识别的物联网系统中的唯一标识,标识存放r嬷知终端或将知层网关上.8.1.2 接入鉴别支持功能感知层接入实体接入通信网来用的鉴别机制应与6.1.2.I要求的通信网接入系统的鉴别机制一一对应,并支持实体标识、接入口令等的存储和管理功能以及6.1.2.2要求的歌别失败处理“8.1.3 感知层接入实体访问控制感知层接入实体应具备访问控制机制,并满足以下要求Ia)支持AC1.列衣实现访问控制:b)支持基于感知层接入实体的用/用户组的访问拄制,并部X用户访问控制策略.8.1.4 感知败据传输安全支搏感知层接入实体应支捋6.1.4要求的盛知数据传输安全功能.8.1.5 密钥管理当感知层接入实体果用加密方式支持接入通信网的签别和数据传输时,应支持密包管理安全机制,并满足以下要求:H)支持对接入密的、会话密物及其相关密W材料的生成、存
免费区 