【YD通讯标准】 物联网终端嵌入式操作系统安全技术要求

ICS35.040
中国通信标准化协会标准
YDB173—2017
物联网终端嵌入式操作系统安全技术要求Embedded operating system security technical requirements of IoT terminal2017-01-19印发
中国通信标准化协会发布
1范围
规范性引用文件
术语和定义
缩略语。
物联网终端嵌入式操作系统安全概述5
5.1系统概述，
5.2终端安全威胁
5.2.1非授权读取终端信息
5.2.2拒绝工作.
5.2.3节点欺骗
5.2.4恶意代码攻击
隐私泄露
5.3安全防护范围
5.4安全防护内容..
6终端嵌入式操作系统的安全功能6.1访问控制。
6.1.1用户帐户管理
6.1.2认证技术，
6.1.3资源访问控制
6.2数据安全
6.2.1通信数据安全
6.2.2存储数据安全
6.3通信服务和外设管理
6.3.1通信服务管理
感知层网络兼容性要求
硬件接口管理
外部存储器管理
6.4其它功能
安全审计
用户策略管理
防火墙防护功能
6.4.4入侵检测功能
6.4.5运行安全维护
远程管理安全
可用性
运行监控反馈，
YDB1732017
YDB1732017
6.4.9可靠性.
附录A（资料性附录）
附录B（资料性附录）
附录C（资料性附录）
终端威胁与安全技术要求对应关系.TINYOS的安全技术要求.··.··嵌入式Linux的安全技术要求.
.+....
iiiKAoNiKAca
本标准按照GB/T1.1-2009给出的规则起草。YDB1732017
为适应信息通信业发展对通信标准文件的需要，由中国通信标准化协会组织制定“中国通信标准化协会标准”，推荐有关方面参考采用。有关对本标准的建议和意见，向中国通信标准化协会反映请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：公安部第三研究所、中兴通讯股份有限公司、中国联合网络通信集团有限公司、中国普天信息产业股份有限公司、无锡物联网产业研究院、国家计算机网络应急技术处理协调中心。本标准主要起草人：齐力、杨明、朱兴国、高峰、林兆骥、夏俊杰、陈书义、陈家明、王晖。III
HiiKAoNiKAca
1范围
物联网终端嵌入式操作系统安全技术要求本标准规定了物联网终端嵌入式操作系统的安全功能要求、安全设计要求。YDB173—2017
本标准适用于物联网感知终端以及感知层通信网络设备上的嵌入式操作系统（如TINYOS、嵌入式Linux等）。
注：本标准所指的物联网终端嵌入式操作系统不同于移动智能终端操作系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069-2010信息安全技术术语3术语和定义
GB/T25069-2010界定的以及下列术语和定义适用于本文件。3.1
终端嵌入式操作系统terminal embedded operating system在物联网终端上运行的基础软件，一般由内核、应用和管理等程序构成。一方面，它控制和管理终端上各种应用软件、硬件、运行进程和配置信息，提供硬件驱动程序、应用程序的接口。另一方面，它管理所有可以使用和配置系统的用户信息和使用权限。在本标准中，简称为“操作系统”或“系统”。3.2
嵌入式操作系统安全子系统securitysubsystemof embeddedoperatingsystem在嵌入式操作系统中，用于保障系统安全的软硬件总称，是为操作系统提供实现安全策略所需要安全功能的最基本的支持系统。它一般包括系统与安全技术相关的软件接口、硬件加密运算单元及驱动等。它是保障系统安全的基础支撑环境。3.3
嵌入式操作系统安全技术 securitytechnologyof embedded operating system实现各种类型的嵌入式操作系统安全功能的所有安全技术。3.4
授权用户authorizeduser
根据安全策略，可对物联网感知层网络终端操作系统执行授予权限范围内操作的用户。3.5
HiiKAoNiKAca
YDB1732017
管理员administrator
个具有较高或最高权限的用户，可以对物联网感知层终端操作系统进行部分或全部的安全功能配置和设置，甚至改变系统安全策略的用户。3.6
应用软件applicationsoftware
在物联网感知层终端操作系统之上运行的软件，它通过操作系统和硬件的支持向用户提供服务功能。
4缩略语
下列缩略语适用于本文件。
TCP/IP
Access ControlList
Advanced Encryption Standard访问控制列表
高级加密标准
EllipticCurveDigitalSignatureAlgorithm椭圆曲线数字签名算法FileTransferProtocol
Message Authentication Code
文件传输协议
消息认证码
RivestShamirAdlemanSignatureAlgorithmRSA公钥数字签名算法Secure Shell
Secure Sockets Layer
Transfer
Protocol
Control
User Datagram Protocol
5物联网终端嵌入式操作系统安全概述5.1系统概述
安全防护壳技术
安全套接层
Protocol/Internet传输控制/网际协议用户数据报协议
物联网终端嵌入式操作系统安全是指保障物联网终端操作系统安全运行的一系列信息安全机制和功能的总合。典型的物联网终端及对应的操作系统有：传感器网络终端，TINYOS：网络视频终端、物联网网关，嵌入式Liunx：集群广播设备，Nucleus等。物联网终端面临的安全威胁与对应的安全技术要求参见附录A，TINYOS系统的安全技术要求参见附录B，Linux系统的安全技术要求参见附录C。5.2终端安全威胁
5.2.1非授权读取终端信息
对于任意类型的终端，物联网终端包括传感终端、路由、分层网关和接入网关，可能被攻击者物理俘获或逻辑攻破，攻击者可以利用专用工具分析出终端所存储的机密信息。5.2.2拒绝工作
在终端被物理俘获或逻辑攻破后，攻击者可以采用破坏或修改配置的方式造成终端不能正常工作。5.2.3节点欺骗
HiiKANiKAca
YDB1732017
攻击者通过捕获或假冒网络中的终端，可以向感知网络注入信息来发动多种形式的攻击，包括监听感知网络中传输的信息，向感知网络中发布假的路由信息或传送假的数据信息、进行拒绝服务攻击等。5.2.4恶意代码攻击
木马、病毒、垃圾信息的攻击，这是由于终端操作系统或应用软件的漏洞所引起的安全威胁。5.2.5隐私泄露
终端上与用户身份有关的信息泄露，包括与个人或集体相关的采集类信息（位置、活动状况等）用户密码，攻击者综合以上信息可进行恶意目的的用户行为的统计分析。5.3安全防护范围
本标准提出的安全防护范围限定在嵌入式操作系统范围内，主要指的是安全子系统对系统安全防护功能的支持，及其自身提供的安全保障，以及对系统上额外安装安全软件提供的支持。安全子系统与操作系统关系见图1。
安全子系统
操作系统
图1嵌入式操作系统关系示意图
5.4安全防护内容
防护内容主要有：
a）终端嵌入式操作系统的访问与运行；系统资源包括硬件资源、网络通信资源、功能资源、数据内容资源等：b)
操作系统通过安全功能，安全保证，安全管理等措施，以及针对嵌入式操作系统开发、维护提c
出的安全技术要求。
终端嵌入式操作系统的安全功能6.1访问控制
6.1.1用户帐户管理
6.1.1.1用户帐户
系统用户账户要求包括：
HiiKAoNiKAca
YDB1732017
系统应为每一个需登录使用系统资源的用户建立帐户（用户标识）：并确保系统内帐户的惟性，即用户名、UID等之间的一致性。系统对相关信息进行存储。系统应为一般用户建立普通权限帐户，为系统管理员建立管理员权限帐户。b)
系统应设置帐户最大值，一般≤3，应及时清除不用的帐户。c）
6.1.1.2用户鉴别
系统用户鉴别要求包括：
系统应在用户登录系统之前进行鉴别，并在每次登录时鉴别a)
b）系统对用户的鉴别应满足下列要求：一一鉴别方式按照安全要求不同，可采用默认用户组的“共享密码”、用户名+“口令”、数字证书、数字证书+“口令”的方式进行鉴别。一“口令”要求长度≥6个字符，包含大小英文字母、符号、数字等，“口令”、“密码”应具备有效期，要求定期更换。输入口令时，系统应对其信息进行防护，产生尽量少的反馈用户鉴别信息需要存储时，应进行加密保护。c）
系统鉴别的失败处理：应设置不成功鉴别最大尝试值，并在产生最大尝试后对于试图登录的帐户进行限时屏蔽，并产生系统告警通知。d）
系统对于登录系统后无操作的用户，应采用计时并锁定帐户的方法进行安全保障。6.1.2认证技术
认证实施的要求
系统应支持对要求与本系统进行远程通信的实体的身份认证。6.1.2.2可信认证方法支持
认证方式按照安全要求不同，可选择以下几种：a）系统应支持基于“主密钥”预共享的间接认证方式。即用共享密钥或其生成的密钥来加解密通信方身份的认证信息，并进行交互来认证实体身份。系统的安全子系统至少要求包括：对称加密组件、随机数生成组件和调用接口。系统应支持预共享“密钥”+“公钥交换”的认证方式。即“共享密钥”参与认证信息计算，b)
并用“公钥交换”方式实现实体身份认证。系统的安全子系统至少要求包括：对称加密组件、随机数生成组件、非对称加密组件和调用接口。系统应支持“证书”的认证方式。即用“证书”证明方式实现实体身份认证。系统的安全子系c）
统至少要求包括：对称加密组件、随机数生成组件、非对称加密组件、数字摘要算法组件和调用接口。如：支持SSL协议安全通信。6.1.3资源访问控制
6.1.3.1访问控制属性
系统访问控制属性符合以下要求：系统应对系统中客体（文件、文件夹、进程等）的访问属性进行设置，保证只允许授权的用户a
访问指定的文件、文件夹、进程等。b）
客体的访问控制属性应包含读、写、执行等访问权限设置客体应具备默认的访问控制属性，当客体缺乏控制属性设置时，采用默认值。c）
HiiKAoiKAca
6.1.3.2访问控制规则
系统访问控制包括：
a）管理员用户应可以对其他用户的客体访问权限属性进行修改。b）应严格限制普通用户对系统中客体的访问权限。YDB173—2017
应定期对指定的系统客体进行数据完整性验证，保证其可信性。应至少使用MAC（消息认证码）c
或消息摘要进行验证。在完整性校验失败时，应发出告警信息。在客体被授权发生变更时，应更新完整性验证记录和相关信息。6.2数据安全
6.2.1通信数据安全
系统可对安全数据通信（如SSL协议通信）进行支持。6.2.1.1保密性要求
系统可以通过安全子系统对有需要的通信数据内容进行加密。安全子系统应支持数据加解密的功能，如支持128位AES算法的数据加解密。6.2.1.2完整性要求
系统可以通过安全子系统对有需要的通信数据内容进行完整性保护和验证。安全子系统应具备对数据进行数字摘要、MAC生成和验证的功能，如支持128位AES-CMAC算法。6.2.1.3新鲜性要求
系统可以通过安全子系统对有需要的通信数据内容进行新鲜性加密保护，以防止重放攻击。安全子系统应具备对数据进行新鲜性加密的功能，如支持由时间序列参与的128位AES-CTR算法加密。6.2.1.4不可否认性要求
系统可以通过安全子系统对有需要的通信数据不可否认性保护和验证。安全子系统应具备对数据内容进行数字签名、消息摘要和验签的功能，如支持RSA、ECDSA等签名算法和SHA-1消息摘要算法6.2.2存储数据安全
系统应对系统架构上的应用存储的数据进行防护，具体包括禁止非授权用户和应用软件对客体数据的修改。
6.2.2.1保密性要求
系统应提供有效、合理的数据存储方案，对重要的系统数据（如配置和控制信息、日志、审计记录等）进行加密存储。系统可以通过安全子系统对有需要的存储数据内容进行加密和隐藏等保护。6.2.2.2完整性要求
系统可以通过安全子系统对有需要的存储数据内容进行完整性保护和验证。6.2.2.3数据备份和恢复
系统应具有系统重要数据（如：保证系统正常运行的基本数据）的备份和恢复功能，5
HiiKANi KAca
YDB173—2017
6.2.2.4数据丢失防护
设置存储空间耗尽缓冲报警区，当系统的存储空间即将耗尽时，应及时发出告警信息，并进行开启临时存储区域的授权存储功能支持。6.3通信服务和外设管理
6.3.1通信服务管理
系统应仅开放必须使用的服务和相应端口，并应对开放的服务进行安全技术防护。如通过ACL来控制通信服务。
6.3.2感知层网络兼容性要求
操作系统应支持基于物联网感知层网络通信协议的配置信息和系统资源，并应提供满足协议要求的ACL、安全套件、安全资料的配置和数据信息管理，阻止对这些信息的非授权访问，并提供重要信息的加密防护。
6.3.3硬件接口管理
系统硬件接口管理包括：
a）系统应仅支持必须开放的硬件接口的驱动和连接。b）系统应支持驱动阻断功能
c）宜支持对开放的硬件接口的端口进行监控和扫描。6.3.4外部存储器管理
系统外部存储器管理包括：
系统仅支持必需的外部存储器，并设置存储访问区域限制。a
外部存储器接入系统时，需经过设备认证。b)
需要时，系统可对外部存储器上存储的数据进行加密支持6.4其它功能
6.4.1安全审计
6.4.1.1审计内容
支持对各种安全事件的审计数据，如：系统运行记录、报警记录、操作日志、网络流量记录、用户行为记录、配置信息等。
审计数据要求
审计数据需包含：
a）审计事件发生的日期和时间：审计事件类型；
用户身份：
审计事件布尔型结果。
审计数据查阅
系统应为管理员提供读取审计记录的全部和部分内容的能力，并提供唯一、明确、方便阅读的格式。6
6.4.1.4审计数据保护
YDB173—2017
对审计数据应进行访问控制和保护，严格防止未经授权的访问。当审计信息存储空间耗尽、失败或受到攻击时，应保持当前可用的审计记录完整性，并输出警告提示信息6.4.2用户策略管理
当系统有安全策略布置需求时，系统应支持对授权用户安全策略的添加、删除、修改等操作。6.4.3防火墙防护功能
有安全需求时，操作系统可加入具有防火墙功能的软件组件，实现对感知层网络通信中的报文进行过滤和检查。操作系统还可提供基于报文内容的防护，当报文通过系统时，防火墙组件可以对报文与指定的过滤规则进行比对，决定是否丢弃报文。6.4.4入侵检测功能
有安全需求时，操作系统可与硬件相结合支持终端的入侵检测。应具备完善的端口镜像和报文统计功能，能够检测并阻断攻击。
6.4.5运行安全维护
系统运行的安全维护包括：
a）系统设计时不应留有“后门”，包括不受系统控制的软、硬件接口。系统程序应和应用程序进行隔离，根据安全要求进行逻辑存储区域隔离或物理存储区域隔离。b)
并设置不同的访问控制属性；
操作系统应支持更新，应采取安全机制保证系统更新的时效性；c）
d）操作系统开发者应对系统的漏洞，及时发布补丁，并升级或重新安装系统：e）在有需求时，应支持操作系统的运行状态监测数据反馈。6.4.6远程管理安全
操作系统可提供远程登录和管理功能，并对授权用户的远程登录会话进行加密保护。操作系统应支持用户对远程登录管理功能的关闭，即仅支持本地登录管理，且系统缺省值为关闭。6.4.7可用性
系统应尽量只运行必须运行的程序，并使用尽量少的资源来确保系统稳定和可用性。安全功能的增加不得严重影响系统的正常运行而导致“死机”等现象发生，应具备对特定功能软件安装的支持6.4.8运行监控反馈
操作系统应提供对系统运行状态的监测数据反馈，并在出现异常时输出报警信息。6.4.9可靠性
操作系统的所有安全功能不影响系统正常运行，操作系统应能够稳定运行，并支持系统备份和恢复功能。
YDB173—2017
附录A
（资料性附录）
终端威胁与安全技术要求对应关系物联网终端面临的威胁与安全技术要求的对应关系如表A.1所示。终端操作系统可参照此表进行设计和测试。
终端威助类型
非授权读取终端信息
拒绝工作
节点欺骗
恶意代码攻击
隐私泄露
物联网终端面临的威胁与安全技术要求的对应关系安全技术要求
访问控制、认证技术、资源访问控制、数据安全、通信服务和外设管理、远程管理安全、运行安全维护、用户策略管理：可用性、可靠性、运行监控反馈、通信服务和外设管理：认证技术、数据安全、通信服务和外设管理、远程管理安全、用户策略管理；bzxz.net
安全审计、防火墙防护功能、入侵检测功能，运行安全维护；访问控制、认证技术、资源访问控制、数据安全，用户策略管理、远程管理安全。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。