【YD通讯标准】 物联网感知通信系统安全等级保护基本要求

ICS35.040
中国通信标准化协会标准
YDB172—2017
物联网感知通信系统安全等级保护基本要求
Baseline for classified protection of IoT perception communication system2017-01-19印发
中国通信标准化协会发布
1范围
规范性引用文件
术语和定义
缩略语。
物联网感知通信系统安全概述
5.1系统架构
5.2系统特点。
5.3信息安全功能
5.3.1基本功能、
5.3.2重要支撑技术
5.4系统安全等级划分说明
基本技术要求
6第一级要求
系统网络基本要求，
6.2系统硬件设备要求
感知层网关
6.2.2感知终端
6.2.3感知层应用服务器（可选）6.2.4远程应用服务器
远程用户终端设备
6.3系统设备间通信数据安全要求远程用户终端与感知层网关
6.3.2远程用户终端与感知层应用服务器6.3.3远程用户终端与感知终端设备远程应用服务器与感知层网关
远程应用服务器与感知层应用服务器（可选）6.3.5
6.3.6远程应用服务器与感知终端设备6.3.7
感知层网关与感知终端设备
感知层应用服务器与感知终端设备（可选）6.3.9感知终端设备之间..
6.3.10感知层网关与感知层应用服务器（可选）6.4第一级安全要求汇总
7第二级基本要求
7.1系统网络基本要求
7.2系统硬件设备要求
7.2.1感知层网关
YDB172—2017
YDB172—2017
7.2.2感知终端.
7.2.3感知层应用服务器（可选）7.2.4远程应用服务器
7.2.5远程用户终端设备
7.3系统设备间通信数据安全要求7.3.1远程用户终端与感知层网关.7.3.2远程用户终端与感知层应用服务器远程用户终端与感知终端设备
远程应用服务器与感知层网关
远程应用服务器与感知层应用服务器（可选）远程应用服务器与感知终端设备感知层网关与感知终端设备，
感知层应用服务器与感知终端设备（可选）感知终端设备之间
感知层网关与感知层应用服务器（可选）7.3.10
7.4第二级安全要求汇总
8第三级基本要求.
8.1系统网络基本要求.
8.2系统硬件设备要求，
8.2.1感知层网关
感知终端。
感知层应用服务器（可选）
8.2.4远程应用服务器
8.2.5远程用户终端设备
8.2.6远程证书服务器：
8.3系统设备间通信数据安全要求8.3.1远程用户终端与感知层网关远程用户终端与感知层应用服务器8.3.2
远程用户终端与感知终端设备
远程应用服务器与感知层网关：远程应用服务器与感知层应用服务器（可选）远程应用服务器与感知终端设备，感知层网关与感知终端设备.
感知层应用服务器与感知终端设备（可选）8.3.9感知终端设备之间
8.3.10感知层网关与感知层应用服务器（可选）8.4第三级安全要求汇总
9第四级基本要求，
9.1系统网络基本要求.
9.2系统硬件设备要求
9.2.1感知层网关
9.2.2感知终端，
9.2.3感知层应用服务器（可选）I
HiiKAoNiKAca
9.2.4远程应用服务器
9.2.5远程用户终端设备
9.2.6远程证书服务器..
9.3系统设备间通信数据安全要求9.3.1远程用户终端与感知层网关9.3.2远程用户终端与感知层应用服务器9.3.3远程用户终端与感知终端设备9.3.4远程应用服务器与感知层网关：远程应用服务器与感知层应用服务器（可选）9.3.5
9.3.6远程应用服务器与感知终端设备感知层网关与感知终端设备
感知层应用服务器与感知终端设备（可选）感知终端设备之间.
9.3.10感知层网关与感知层应用服务器（可选）9.4第四级安全要求汇总
10第五级基本要求
系统网络基本要求
10.2系统硬件设备要求
感知层网关
感知终端
感知层应用服务器（可选）
远程应用服务器
远程用户终端设备
远程证书服务器
10.3系统设备间通信数据安全要求10.3.1
远程用户终端与感知层网关
远程用户终端与感知层应用服务器远程用户终端与感知终端设备
远程应用服务器与感知层网关
远程应用服务器与感知层应用服务器（可选）远程应用服务器与感知终端设备，感知层网关与感知终端设备..
感知层应用服务器与感知终端设备（可选）感知终端设备之间..
感知层网关与感知层应用服务器（可选）10.4第五级安全要求汇总.
附录A（资料性附录）
感知通信系统安全威胁与需求
YDB172—2017
TiiKAoNiKAca
YDB1722017
本标准按照GB/T1.1-2009给出的规则起草。为适应信息通信业发展对通信标准文件的需要，由中国通信标准化协会组织制定“中国通信标准化协会标准”，推荐有关方面参考采用。有关对本标准的建议和意见，向中国通信标准化协会反映请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：公安部第三研究所、中兴通讯股份有限公司、中国联合网络通信集团有限公司、中国普天信息产业股份有限公司、无锡物联网产业研究院、国家计算机网络应急技术处理协调中心。本标准主要起草人：杨明、齐力、朱兴国、陈书义、高峰、林兆骥、陶源、夏俊杰、王晖。IV
TiiKAoNiKAca
1范围
物联网感知通信系统安全等级保护基本要求YDB172—2017
本标准针对物联网系统中感知通信应用的安全需求，分等级的提出了构成通信的主要设备及其通信关系的信息安全技术要求。
本标准适用于感知/控制类物联网应用的通信系统。注：本标准仅对不同于传统基于IP网络的信息系统的等级保护基本要求进行规定，物联网信息系统与传统网络相同部分仍依照GB/T22239-2008的规定。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T222402008信息安全技术信息系统安全等级保护基本要求FIPSPub180-1（1995）联邦信息处理标准安全散列标准（FederalInformationProcessingSecure Hash Standard)
Standard
FIPsPub186-3（2009），联邦信息处理标准数字签名标准（FederalInformationProcessingStandard Digital Signature Standard (DSS))FIPsPub197（2001），联邦信息处理标准高级加密标准（FederalInformationProcessingStandard Advanced Encryption Standard (AES))NISTSpecialPublication800-38C（2004)，计数器模式用于消息加密和密码块链接（CBC）模式的消息身份验证（RecommendationforBlockCipherModesofOperation:TheCCMModeforAuthentication and Confidentiality)NISTSpecialPublication800-38B（2005）：密码块连接加密信息认证码算法（Recommendationfor Block Cipher Modes of Operation: The CMAC Mode for Authentication)3术语和定义
GB/T5271.8和GB17859-1999界定的以及下列术语和定义适用于本文件。3.1
物联网感知通信系统perceptioncommunicationsystemofloT能形成物联网应用的集物理信息采集、传输、处理、应用功能于一体的通信系统。该系统一般由物联网的三个层次构成
HiiKAoNiKAca
YDB172—2017
开放式网络openenvironmentnetworks在物联网内实施人与物通信、物与物通信中信息发起和终结的终端，感知终端宜具备信息采集和/或控制等功能。
感知层网关 secure gateway of sense extension layer种以安全为目的的网络接入设备，它主要实现物联网感知层与网络层的安全连接，以及感知层网络的安全防护。其主要安全功能包括：感知层网络的设备通信访问控制，包过滤，入侵检测和安全策略管理等。
4缩略语
AccessControlList
Advanced Encryption StandardDenial of Service
InternetProtocol
5物联网感知通信系统安全概述
5.1系统架构
访问控制列表
高级加密算法
拒绝服务攻击
互联网协议
物联网感知通信系统主要由感知层、传输层和应用层三个层面的实体构成，其中感知层通信实体有：物联网感知终端、路由节点、感知网络、感知层网关、本地用户终端（可能项）、本地应用服务器（可能项）等：传输层实体为：无线通信网/互联网/行业专网等：应用层实体为：物联网应用支撑平台、远程用户接入平台等。其典型应用结构示意图见图1。其通信系统的安全威胁和需求参见附录A。感知现场
腰知婆端
感知层网络
感知终端
终端/本地用户
5.2系统特点
感知终端
感知层网关
蜂端/本地用户
本地应用服务
通信网络
无线公网
互联网
行业专网
物联网
物联网
远程应用
应用支撑平台
远程用户终端
图1物联网感知通信系统典型结构示意图物联网感知通信系统与传统IP网络信息系统的最大区别在于其感知层，以及感知层包含的网络设备和感知设备。其主要特点包括：a）感知层网络环境开放。
感知层网络类型多，包括：无线、有线；宽带、窄带；近程、远程。b）
感知终端能量、计算能力有限，硬件简单。d)
感知层网络结构复杂，包括：覆盖型、级联型、网状、多种异构。HiiKAoiKAca
5.3信息安全功能
5.3.1基本功能
5.3.1.1访问控制功能
5.3.1.1.1概述
YDB172—2017
访问控制功能是控制网络实体间的通信路由和信息过滤的主要手段。它可分为物理访问控制（即通信连接的链路控制）和技术访问控制。技术访问控制使用认证功能对实体进行验证，以确定和授予实体具体的访问权限，并生成每个实体的ACL（访问控制列表）。如果有实体试图对未授权的网络资源或未授权的访问类型进行访问，访问控制功能将会对此类行为进行阻止，并生成报警记录用于安全审计。5.3.1.1.2访问控制功能的基本要素访问控制功能的基本要素包括：访问控制信息基础是一个维持对等实体访问权限的数据库：a)
身份验证信息，如密码等，可以证明实体拥有授权的信息：b)
权限，规定实体可以进行资源访问的限制程度：d)
授权信息（可信度）：
安全标签，它与实体相关，通常可以根据安全策略来控制充许或拒绝访问的操作：尝试访问的时间；（连接超时设置）f
尝试访问的路径：（路由设置）h)
访问时间；
一个尝试访问的物理位置。
5.3.1.1.3访问控制功能的实施
访问控制功能，可应用于网络中的对等实体（和/或）一个安全网关。实体或安全网关的访问控制是用来判断发件人是否有与收件人通信的权限和/或使用所需的通信资源的权限主要依据。访问控制功能，对每一个系统网络设备进行在网认证，并确定访问权限。其主要的授权机制包括访问控制列表（ACL）、授权服务器和授权证书。设备可以仅由ACL来进行访问控制。这也意味着设备的ACL可以被轻易地修改和删除。物联网通信系统涉及大量设备的ACL编辑。5.3.1.2实体认证功能
实体认证功能可以提供对等通信实体的认证。如果认证不成功的话，可以导致拒绝通信或终止连接并进一步触发安全审计跟踪和/或形成对网络管理中心的安全报告。使用加密技术，该功能可以结合“握手协议”来对重放攻击进行防护。可用于实体认证的安全技术包括：a）使用间接验证，如发送者用密码来进行接收者的身份认证；b）加密技术：
c）使用实体的特性和资源属性进行身份认证。实现认证功能的安全技术选择取决于具体的需求情况，如：时间戳和时钟同步；双方或三方握手（分别进行单向或双向认证）：用数字签名和/或公证机制实现的不可抵赖性认证等。物联网系统通信实体的认证方式包括：密钥预共享认证，口令认证，旁路密钥交换认证和证书认证等。各个认证方式的安全性强度和易实施性不同。其中，证书认证方式需要第三方通信实体即证书服务器的支持。
HiiKAoiKAca
YDB172—2017
5.3.1.3加密功能
通过加密功能可以实现通信数据和存储数据的保密要求。加密算法可以分为两类：对称或非对称算法。在公钥算法中，有两种钥匙：公钥和私钥。公钥已知的情况下，求解私钥异常困难。发送者使用接收者的公共密钥加密信息。接收者用私钥解密信息，得出传输的明文。而对称加密机制中密钥用于加解密信息，当密钥破解时加密就失效。5.3.1.4数据完整性功能
数据完整应考虑两个方面，一个单一数据单位或段的完整性和一个数据流或段的完整性。一般情况下，使用不同的技术为这两类完整性提供验证功能，并且没有第一种验证功能是第二种验证功能的基础。一个单一数据单元的完整性保障功能包含两个过程，一个在发送实体上，另一个在接收实体上。发送实体将发送数据的数量信息以及校验码等附加到传输的信息中，这些附加信息通常是加密的。接收实体通过共享密钥解密这些附加信息来验证所传输信息是否被修改过。这个功能可以实现对第三方攻击和重放攻击的防护。保护数据流的完整性（如防止无序、丢失、重播、插入和修改数据等），除了需要某种形式明确的排序外，还需要序列编号、时间戳标记或链加密等。数据完整性功能侧重于验证接收的数据是否与发送的数据一致。通常采用哈希算法和MAC消息认证码技术来实现该功能。5.3.1.5数据新鲜性
数据传输和加密传输过程中，在数据帧内部加入时间序列或时间序列相关的散列，可以很好地保证数据信息免受第三方攻击，且大大增加窃听引起的破解对称加密密钥的难度。时间散列通常参与数据内容加密。
5.3.1.6数字签名功能
数字签名的功能定义了两个过程：一个是签署数据的过程，一个是验证签名的过程。第一个过程使用私钥产生签名，第二个过程使用公钥来验证签名的有效性。签名的过程中涉及数据加密或产生数据加密校验值，并使用签名者的信息作为私钥。验证签名的过程中确定签名是否正确产生以及签字人的私人信息。签名功能的基本特征是包含了签名使用人的私有信息，因此，它可以由任意的第三方机构进行验证，而且只有签名者才拥有与签名相关的私有信息。由于一般感知终端和远程终端的计算和存储能力有限，在开放式环境下实施数字签名功能有一定的难度。5.3.1.7信息认证功能
信息认证由消息认证码技术来实现，消息认证码（MAC）是一个公开的技术，它由输入消息和密钥产生固定长度的值，并用该数值形成消息的认证，从而使得接收方可以检验消息值来验证消息的真实性。MAC提供了对消息的假冒、消息内容的修改、序列的修改和消息时间的修改的验证。一个典型的MAC可以是基于散列的MAC和基于对称加密算法的MAC。5.3.1.8密钥管理功能
密钥管理功能是所有安全功能的基础条件，它用于密钥生成、分发、传输、删除及更新等安全功能相关的密钥操作。密钥管理功能涵盖密钥交换功能，即密钥交换功能是密钥管理功能的一个子集5.3.2重要支撑技术
5.3.2.1加密技术
加密技术包括：
iiiKAoiKAca
YDB172—2017
a）简单加密/加扰技术。简单加密/加扰技术是采用较为传统的方法（现已证明安全性较低）来实现的快速简单计算的数据加密方法。可用于数据保密性要求一般的应用场合，如：使用异或运算实现的加密。
AES-CTR模式加密算法。采用对称加密算法，由于其可与系统时间或散列函数相结合，并且支持预先的和并行的计算，是目前主流的加密算法，较适合高安全性物联网系统使用。AES算法见FIPSPub197（2001）。
AES-CMAC模式加密算法。采用消息认证码算法，CMAC算法是基于AES-CBC模式的加密算法，主要完成消息认证码的计算。其函数形式为：CMAC（K，M，L），其中K是计算所使用的密钥，M是参与计算的输入消息，L是MAC码长，函数的输出为一个L位的消息认证码。CMAC算法的具体内容和规则见NISTSpecialPublication800-38B，本标准中选取128位密钥长度的AEs算法，其具体要求见FIPSPub197（2001）。d）AES-CCM模式加密算法。采用对称混合算法，它是b）、c）两个加密算法的结合与改进，其特点是用一个密钥完成信息认证码的计算和数据加密。它具有运行效率高的特点，适合安全性要求高的物联网系统应用。AES-CCM模式算法的使用见NISTSpecialPublication800-38C。ECDH非对程密钥交换算法。采用非对称密钥交换算法，具有较短的密钥长度，很适合存储能e)
力有限的物联网系统设备间通信的密钥协商应用。ECDH算法椭圆曲线和参数选择见FIPSPub186-3（2009）。
数字签名算法。采用非对称密码算法RSA，ECDSA实现数据信息可信传输的签名和验证。RSA算法要求1024位以上，ECDSA算法要求ECC算法160位以上。5.3.2.2数字摘要技术
数字摘要技术的实现，采用MD5、SHA-1、SHA-256等算法，实现任意长度数据信息摘要为等长信息，如160位。SHA-1算法见FIPSPUB180-1（1995）。5.4系统安全等级划分说明www.bzxz.net
本标准讨论的物联网感知通信系统安全等级，仅针对不同于传统IP网络的通信和存储数据信息安全要求进行规范，系统机房和核心网络要求，以及运维管理等内容见GB17859-1999。物联网感知通信系统的信息安全等级划分，以具体应用涉及的国家安全、经济建设、社会生活中的重要程度为衡量标准。针对区别于传统网络的物联网感知层的新特点，系统安全等级进行如下划分：第一级安全保护能力：系统的信息资源价值很小，系统面临的威胁很小，具有少量的安全防护能力。系统的网络环境是开放的，可以抵御一般猜测性安全攻击，对于无意识的系统信息获取有很好的防护能力，在系统遭到损害后，可以实行一定的防护措施进行少量安全功能恢复。注：应用范围小、影响小、公众服务行业、用户少，敏感数据量比少的系统，符合此条件的物联网系统如环境监测、绿色农业、智能家居（小规模），工业监测等。第二级安全保护能力：系统的信息资源价值较小，系统面临的威胁较小，具有一定的安全防护能力。系统的网络环境是开放的或封闭的，能够防护系统免受来自个人的、拥有很少计算资源的威胁源发起的恶意攻击、对无意的系统信息获取和短时间的网络攻击有很强的防护能力，在系统遭到损害后，能够恢复部分功能。
注：适于应用范围中等，有一定社会影响，行业涉及民众安全，用户较多，敏感数据量比中等的系统，符合此条件的物联网系统如智慧社区、智慧校园等。第三级安全保护能力：系统的信息资源价值较大，系统面临的威胁较大，具有较为主动的安全防护能力。系统的网络结构是基本封闭的，少量开放（仅限感知层），能够防护系统免受来自外部小型组织5
YDB172—2017
的、拥有少量资源的威胁源发起的恶意攻击、能够进行主动监测并发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。注：适于应用范围较大，有较大的社会影响，行业涉及国家、社会安全，用户较多，敏感数据量比较大，符合此条件的物联网系统如政府公务、公安应急、智能交通等。第四级安全保护能力：系统的信息资源价值很大，系统面临的威胁很大，有很强的安全防护能力，系统的网络结构是封闭的，能够多在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其它相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。注：应用范围大，有很大的社会影响，行业涉及国家、社会安全，用户量大，敏感数据量大，符合此条件的物联网系统如政府机关、大型基础设施等。第五级安全保护能力：系统的信息资源价值极大，系统面临的威胁极大，有最高的安全防护能力，系统的网络结构是封闭的，能够有效地隔离或阻止来自外部有组织的团体，拥有极大资源威胁源发起的恶意攻击、以及其他极大危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够很快地恢复绝大部分功能。注：应用范围极大，有极大的社会影响，行业涉及国家安全和社会稳定，用户量极大，敏感数据量极大，符合此条件的物联网系统如智能电网、重要基础设施等。5.5基本技术要求
物联网感知通信系统的信息安全等级保护应依据物联网系统的安全保护等级情况，保证它们具有相应等级的基本安全保护能力，不同安全保护等级的信息系统要求具有不同的安全保护能力。其信息安全的基本要求逐级增强。基本要求包括，网络构成、网络通信方式、以及对不同系统设备存储数据的保护要求和系统设备间通信数据的保护要求等。物联网感知通信系统中，对于涉及国家秘密的信息系统，应按照国家保密工作部门的相关规定和标准进行保护。对于涉及密码的使用和管理，应按照国家密码管理的相关规定和标准实施
6第一级要求
6.1系统网络基本要求
系统的感知层网络环境、用户终端使用环境是开放的，可采用无线通信网络、传输层核心网络以及应用服务系统网络，可以为开放式网络。6.2系统硬件设备要求
6.2.1感知层网关
感知层网关应满足以下安全要求：a）应支持ACL功能：
b）应支持数据完整性校验，关键组网应用数据加密：应支持特定物理接口、“口令”等登录方式c）
应支持设备配置信息的更新；
应采用持续电源供电，备用电源至少可支撑工作8h。e
感知终端
感知终端应满足以下安全要求：6
应支持ACL配置：
应具备可用的不重复ID，安全编码方式关键数据保密：b)
应支持存储数据完整性校验：
YDB172—2017
应支持设备的特定物理接口、本地用户的“口令”、“指纹”等访问登录方式d)
感知层应用服务器（可选）
感知层应用服务器应满足以下安全要求：a）应支持ACL功能；
b）应支持存储数据完整性校验，关键组网应用数据加密：c）应支持“口令”等登录方式：d）应采用持续电源供电，备用电源至少可支撑工作8h和强计算能力。该设备是标准IP网络计算机设备，其它安全要求见GB/T22240一2008第一级防护要求。6.2.4远程应用服务器
远程应用服务器应满足以下安全要求：a）支持ACL功能：
b）应支持数据存储完整性校验，关键组网应用数据加密：应支持“口令”等登录方式：
d）应采用持续电源供电，备用电源至少可支撑工作8小时和强计算能力。该设备是标准IP网络计算机设备，其它他安全要求见GB/T22240一2008第一级防护要求。6.2.5远程用户终端设备
远程用户终端设备应满足以下安全要求：a）支持ACL功能：
应支持数据存储完整性校验，关键组网应用数据加密；b)
应支持设备的特定物理接口、用户的“口令”、“指纹”等访问登录方式：c）
应具备强计算能力。
6.3系统设备间通信数据安全要求6.3.1远程用户终端与感知层网关远程用户终端与感知层网关应符合以下要求a）通过ACL控制连接：
应支持数据完整性校验码验证或MAC验证，关键数据加密：b)
应具备以上技术实现的带宽，网络连接等可用性保障6.3.2远程用户终端与感知层应用服务器远程用户终端与感知层应用服务器应符合以下要求：a）通过ACL控制连接：
b）应支持数据完整性校验码验证或MAC验证，关键数据加密：应具备带宽、网络连接等可用性保障。c
6.3.3远程用户终端与感知终端设备
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。