TTAF 062-2020 物聯(lián)網(wǎng)設(shè)備安全平臺(tái)技術(shù)要求和分級(jí)方法

1、ICS 33.050M 30團(tuán) 體 標(biāo) 準(zhǔn)T/TAF 062-2020物聯(lián)網(wǎng)設(shè)備安全平臺(tái)技術(shù)要求和分級(jí)方法Technical Requirements and Classification Guideline for Security Platform of IoT Devices2020 - 08 - 03 發(fā)布2020- 08 - 03 實(shí)施電信終端產(chǎn)業(yè)協(xié)會(huì) 發(fā)布T/TAF 062-2020 PAGE * ROMAN III目次 HYPERLINK l _bookmark0 目次I HYPERLINK l _bookmark1 前 言II HYPERLINK l _bookmark2 引言

2、III HYPERLINK l _bookmark3 物聯(lián)網(wǎng)設(shè)備安全平臺(tái)技術(shù)要求和分級(jí)方法1 HYPERLINK l _bookmark4 范圍1 HYPERLINK l _bookmark5 規(guī)范性引用文件1 HYPERLINK l _bookmark6 術(shù)語(yǔ)、定義和縮略語(yǔ)1 HYPERLINK l _bookmark7 安全平臺(tái)概述3 HYPERLINK l _bookmark8 安全平臺(tái)范圍3 HYPERLINK l _bookmark9 安全平臺(tái)邏輯框架3 HYPERLINK l _bookmark10 安全平臺(tái)功能框架3 HYPERLINK l _bookmark11 安全平臺(tái)的資產(chǎn)

3、4 HYPERLINK l _bookmark12 安全目標(biāo)5 HYPERLINK l _bookmark13 安全平臺(tái)安全功能要求5 HYPERLINK l _bookmark14 安全隔離6 HYPERLINK l _bookmark15 安全啟動(dòng)6 HYPERLINK l _bookmark16 安全存儲(chǔ)6 HYPERLINK l _bookmark17 密碼算法和密鑰6 HYPERLINK l _bookmark18 固件版本控制7 HYPERLINK l _bookmark19 固件安全更新7 HYPERLINK l _bookmark20 安全生命周期7 HYPERLINK l _

4、bookmark21 綁定8 HYPERLINK l _bookmark22 遠(yuǎn)程驗(yàn)證8 HYPERLINK l _bookmark23 附錄 A9 HYPERLINK l _bookmark24 附錄 B10前 言標(biāo)準(zhǔn)按照 GB/T-2009 給出的規(guī)則起草。本標(biāo)準(zhǔn)中的某些內(nèi)容可能涉及專(zhuān)利。本標(biāo)準(zhǔn)的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任。本標(biāo)準(zhǔn)由電信終端產(chǎn)業(yè)協(xié)會(huì)提出并歸口。本標(biāo)準(zhǔn)起草單位：中國(guó)信息通信研究院、安謀科技（中國(guó)）有限公司、中國(guó)東盟信息港股份有限公司、阿里巴巴(中國(guó))有限公司、高通無(wú)線通信技術(shù)(中國(guó))有限公司、北京百度網(wǎng)訊科技有限公司、北京豆莢科技有限公司。本標(biāo)準(zhǔn)主要起草人：魏凡星、路曄

5、綿、國(guó)煒、李煜光、張炳華、張曉楠、杜歡、沈偉、黃天寧、崔曉夏、王江勝、王海棠、楊子光、馮楊森。引言近年來(lái), 物聯(lián)網(wǎng)的發(fā)展進(jìn)入萬(wàn)物互聯(lián)的新時(shí)代，移動(dòng)支付，共享單車(chē)，智能音箱等等，這些物聯(lián)網(wǎng)設(shè)備給現(xiàn)代生活帶來(lái)了便捷，但也面臨更多的安全威脅。針對(duì)種種安全威脅，涌現(xiàn)了不同的安全解決方案，如 TEE、SE 等?；诓煌奶幚砥骷軜?gòu)，業(yè)界也提出了不同的安全平臺(tái)框架，但對(duì)此沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)?；谏鲜隹紤]，提出物聯(lián)網(wǎng)設(shè)備安全平臺(tái)技術(shù)要求和分級(jí)方法，規(guī)范物聯(lián)網(wǎng)設(shè)備的安全性要求，為國(guó)內(nèi)該領(lǐng)域的相關(guān)產(chǎn)品的測(cè)評(píng)提供依據(jù)，來(lái)促進(jìn)產(chǎn)業(yè)的健康穩(wěn)定發(fā)展。T/TAF 062-2020 PAGE 11物聯(lián)網(wǎng)設(shè)備安全平臺(tái)技術(shù)要求和分

6、級(jí)方法范圍本標(biāo)準(zhǔn)規(guī)定了物聯(lián)網(wǎng)設(shè)備安全平臺(tái)技術(shù)要求和分級(jí)方法，包括對(duì)安全目標(biāo)分析、安全威脅分析、安全功能要求及分級(jí)方法等。本標(biāo)準(zhǔn)適用于物聯(lián)網(wǎng)終端安全平臺(tái)。規(guī)范性引用文件下列文件對(duì)于本標(biāo)準(zhǔn)的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本標(biāo)準(zhǔn)。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本標(biāo)準(zhǔn)。下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件， 其最新版本（包括所有的修改單）適用于本文件。GB/T 25069-2010 信息安全技術(shù) 術(shù)語(yǔ)T/TAF 008-2017 移動(dòng)終端安全環(huán)境安全評(píng)估內(nèi)容和方法術(shù)語(yǔ)

7、、定義和縮略語(yǔ)術(shù)語(yǔ)和定義3.1.1安全平臺(tái) Secure Platform為物聯(lián)網(wǎng)設(shè)備提供安全服務(wù)的所有硬件、固件和軟件部分。3.1.2安全啟動(dòng) Secure Boot安全平臺(tái)在啟動(dòng)過(guò)程中對(duì)將要執(zhí)行的軟件或固件進(jìn)行驗(yàn)證，以確保只有合法代碼能夠在物聯(lián)網(wǎng)設(shè)備上運(yùn)行。3.1.3安全存儲(chǔ) Secure Storage為安全平臺(tái)資產(chǎn)提供存儲(chǔ)，以確保只有合法代碼能夠讀寫(xiě)安全平臺(tái)資產(chǎn)。3.1.4固件 Firmware與設(shè)備硬件進(jìn)行交互的軟件。3.1.5防回滾 Rollback Protection防回滾機(jī)制保證設(shè)備只接受新版本的固件和數(shù)據(jù)，防止設(shè)備加載包含已知錯(cuò)誤或漏洞的舊版本固件，防止設(shè)備加載非法數(shù)據(jù)。3

8、.1.6綁定 Binding數(shù)據(jù)的一種屬性，綁定到特定的設(shè)備。3.1.7遠(yuǎn)程驗(yàn)證 Remote Attestation是軟件證明其身份的一種機(jī)制，目的是向遠(yuǎn)程實(shí)體證明其操作系統(tǒng)和應(yīng)用程序軟件的完整性和真實(shí)性。3.1.8信任根 Root of Trust包含硬件、代碼和數(shù)據(jù)，能夠驗(yàn)證下個(gè)RoT 的完整性和真實(shí)性。3.1.9生命周期 Life Cycle生命周期用來(lái)標(biāo)識(shí)安全平臺(tái)在不同生命階段的狀態(tài)，包括開(kāi)發(fā)、制造、使用、調(diào)試、直到終止使用。在不同的生命階段，安全平臺(tái)具有不同的安全屬性。3.1.10魯棒性 Robustness系統(tǒng)正確執(zhí)行以及處理意外終止和意外操作的能力?？s略語(yǔ)下列縮略語(yǔ)適用于本文件

9、：DDRDouble Data Rate雙倍速率HUKHardware Unique Key硬件唯一密鑰STSecurity Target安全目標(biāo)ROMRead Only Memory只讀存儲(chǔ)器SPSecure Platform安全平臺(tái)RoTRoot of Trust信任根FWFirmware固件SIMSubscriber Identity Modula用戶識(shí)別卡TEETrusted Execution Environment可信執(zhí)行環(huán)境TCMTPMTrusted Cryptography ModuleTrust Platform Module可信密碼模塊可信平臺(tái)模塊SESecure Elem

10、ent安全單元OTPOne Time Programmable一次性可編程安全平臺(tái)概述安全平臺(tái)范圍本標(biāo)準(zhǔn)所針對(duì)的范圍為給物聯(lián)網(wǎng)設(shè)備不可信環(huán)境提供基本安全服務(wù)的安全平臺(tái)。評(píng)估的范圍包括安全平臺(tái)用來(lái)提供安全服務(wù)的所有相關(guān)的硬件、固件和軟件部分。安全平臺(tái)邏輯框架圖 1 物聯(lián)網(wǎng)設(shè)備安全平臺(tái)邏輯框架物聯(lián)網(wǎng)設(shè)備安全平臺(tái)邏輯框架如圖 1，旨在抽離出安全平臺(tái)的邏輯架構(gòu)。邏輯架構(gòu)分為硬件層、系統(tǒng)層、和應(yīng)用層；圖 1 中不可信環(huán)境包括硬件、系統(tǒng)內(nèi)核、系統(tǒng)庫(kù)、應(yīng)用，不可信環(huán)境的安全要求不在本規(guī)范的范圍內(nèi)。安全平臺(tái)功能框架圖 2 物聯(lián)網(wǎng)設(shè)備安全平臺(tái)功能框架物聯(lián)網(wǎng)設(shè)備安全平臺(tái)功能框架如圖 2 所示，主要包括可信子系統(tǒng)、

11、不可變組件、可信系統(tǒng)組件、可信應(yīng)用組件四個(gè)部分。其中：可信子系統(tǒng)：通常是擁有獨(dú)立功能的子系統(tǒng)，例如 DDR 控制器、SIM、TPM/TCM 等，自身?yè)碛歇?dú)立的信任根和安全生命周期，不能直接訪問(wèn)不可變組件、可信系統(tǒng)組件和可信應(yīng)用組件的代碼和數(shù)據(jù)。子系統(tǒng)可依照相關(guān)標(biāo)準(zhǔn)單獨(dú)認(rèn)證；不可變組件：包含兩個(gè)部分，一部分是是不可更改的、與設(shè)備綁定的軟件資源；另一部分是防篡改的硬件。例如啟動(dòng)代碼、設(shè)備標(biāo)識(shí)、HUK、OTP、Boot ROM、硬件隔離的存儲(chǔ)單元等；可信系統(tǒng)組件：是運(yùn)行在硬件上的固件及服務(wù)，例如安全存儲(chǔ)、安全隔離、固件更新、遠(yuǎn)程驗(yàn)證等安全服務(wù)；可信應(yīng)用組件：是運(yùn)行在可信環(huán)境中，調(diào)用可信系統(tǒng)組件，實(shí)現(xiàn)

12、特定功能的一組應(yīng)用軟件。不可信應(yīng)用組件：是運(yùn)行在不可信環(huán)境中的應(yīng)用軟件，通常包含第三方或開(kāi)源的庫(kù)，不能直接訪問(wèn)可信應(yīng)用組件的資源，也不能直接訪問(wèn)不可變組件和可信系統(tǒng)組件的資源。其安全要求不在本規(guī)范的范圍內(nèi)。安全平臺(tái)的資產(chǎn)HUK 的保密性、完整性和可用性；公共密鑰的完整性和可用性；對(duì)稱(chēng)密鑰和私鑰的保密性、完整性和可用性。啟動(dòng)代碼和其數(shù)據(jù)的完整性和可靠性。存儲(chǔ)的保密性、可靠性、一致性、原子性，存儲(chǔ)的權(quán)限管理。存儲(chǔ)密鑰生成機(jī)制及密鑰的保密性、完整性和原子性。固件代碼的可靠性、一致性和完整性?？尚畔到y(tǒng)組件運(yùn)行時(shí)數(shù)據(jù)的完整性。不可變組件持久化數(shù)據(jù)的完整性，保密性，與設(shè)備綁定?？尚艖?yīng)用組件代碼的可靠性和一

13、致性。可信應(yīng)用組件的數(shù)據(jù)和密鑰與設(shè)備綁定，其數(shù)據(jù)和密鑰保密性、原子性、一致性。生命周期狀態(tài)的真實(shí)性和完整性。隨機(jī)數(shù)的隨機(jī)性，滿足一定的熵值。設(shè)備標(biāo)識(shí)的唯一性和不可篡改。安全目標(biāo)物聯(lián)網(wǎng)設(shè)備安全平臺(tái)的安全目標(biāo)是其具有的安全功能可以防御附錄 B 中描述的安全威脅，保證安全平臺(tái)資產(chǎn)不被非法獲取。物聯(lián)網(wǎng)設(shè)備安全平臺(tái)的安全目標(biāo)包括：防止攻擊者在安全平臺(tái)中加載和執(zhí)行非法代碼并破壞安全平臺(tái)資產(chǎn)；防止攻擊者繞過(guò)更新機(jī)制篡改或安裝舊版本的固件；防止攻擊者通過(guò)利用加密算法的漏洞、輸入格式錯(cuò)誤的參數(shù)、繞過(guò)生命周期檢查、非法訪問(wèn)調(diào)試接口等方法篡改安全平臺(tái)的資產(chǎn)；防止遠(yuǎn)程平臺(tái)把非法的設(shè)備識(shí)別為合法設(shè)備。安全平臺(tái)安全功能要

14、求根據(jù)不同的安全平臺(tái)使用的場(chǎng)景和其所支持的安全能力的程度，將安全平臺(tái)安全的安全技術(shù)能力劃分為三個(gè)級(jí)別，每一級(jí)別定義了安全平臺(tái)在相應(yīng)等級(jí)對(duì)應(yīng)的安全能力的最小集合，具體的要求見(jiàn) 7.1 到7.9 節(jié)。安全隔離一級(jí)安全功能要求：安全平臺(tái)應(yīng)與不可信應(yīng)用組件隔離，不可信應(yīng)用組件無(wú)法直接訪問(wèn)安全平臺(tái)的資源；如果不可信應(yīng)用組件和安全平臺(tái)有共享資源時(shí)，不可信應(yīng)用組件訪問(wèn)共享資源時(shí)應(yīng)有權(quán)限訪問(wèn)控制機(jī)制。二級(jí)安全功能要求：可信應(yīng)用組件應(yīng)與可信系統(tǒng)組件和不可變組件隔離，可信系統(tǒng)組件應(yīng)有訪問(wèn)控制機(jī)制，可信應(yīng)用組件需要通過(guò)可信系統(tǒng)組件提供的訪問(wèn)控制來(lái)訪問(wèn)可信系統(tǒng)組件和不可變組件的資源；應(yīng)保證可信應(yīng)用組件與可信系統(tǒng)組件之

15、間通信的安全性和魯棒性。三級(jí)安全功能要求：可信應(yīng)用組件間應(yīng)隔離，每個(gè)可信應(yīng)用組件只允許訪問(wèn)自己的資源；應(yīng)保證可信應(yīng)用組件之間通信的安全性和魯棒性。安全啟動(dòng)一級(jí)安全功能要求：應(yīng)從不可變代碼執(zhí)行啟動(dòng)。二級(jí)安全功能要求：應(yīng)有對(duì)可信系統(tǒng)組件、可信應(yīng)用組件或其他安全子系統(tǒng)的簽名驗(yàn)證機(jī)制和完整性保護(hù)機(jī)制； 三級(jí)安全功能要求：應(yīng)在引導(dǎo)時(shí)，計(jì)算和驗(yàn)證所有可更新的可信系統(tǒng)組件和可信應(yīng)用組件并記錄其引導(dǎo)狀態(tài)。安全存儲(chǔ)一級(jí)安全功能要求：應(yīng)有安全平臺(tái)資產(chǎn)存儲(chǔ)的保密性和完整性保護(hù)。二級(jí)安全功能要求：安全存儲(chǔ)應(yīng)與安全平臺(tái)綁定，只有當(dāng)前安全平臺(tái)才能從安全存儲(chǔ)中訪問(wèn)和修改資產(chǎn)；當(dāng)安全平臺(tái)執(zhí)行完安全存儲(chǔ)后，安全平臺(tái)的RAM 中

16、不應(yīng)保存處理過(guò)的數(shù)據(jù)。三級(jí)安全功能要求：安全存儲(chǔ)應(yīng)具備數(shù)據(jù)防恢復(fù)機(jī)制，防止新數(shù)據(jù)被舊數(shù)據(jù)覆蓋。密碼算法和密鑰一級(jí)安全功能要求：應(yīng)使用符合國(guó)家有關(guān)法規(guī)規(guī)定的加解密算法為安全平臺(tái)提供服務(wù)；密鑰在生成、存儲(chǔ)和使用過(guò)程中應(yīng)保證其不被泄露； 二級(jí)安全功能要求：HUK 若需存儲(chǔ)，則存儲(chǔ)在不可篡改區(qū)域。隨機(jī)數(shù)發(fā)生器產(chǎn)生的隨機(jī)數(shù)應(yīng)滿足一定的熵，并符合國(guó)家有關(guān)法規(guī)規(guī)定。三級(jí)安全功能要求：安全平臺(tái)應(yīng)使用真隨機(jī)數(shù)發(fā)生器，應(yīng)具備防干擾的安全機(jī)制，防止攻擊者預(yù)測(cè)出隨機(jī)數(shù)。安全平臺(tái)應(yīng)提供防物理攻擊的安全機(jī)制，物理攻擊包括但不限于側(cè)信道攻擊、故障注入攻擊、侵入式攻擊。固件版本控制一級(jí)安全功能要求：固件應(yīng)擁有版本標(biāo)識(shí)，實(shí)現(xiàn)版

17、本控制；固件版本控制應(yīng)支持防回滾；固件安全更新一級(jí)安全功能要求：當(dāng)固件本地更新或者遠(yuǎn)程更新時(shí)，應(yīng)在更新安裝之前驗(yàn)證其完整性和可靠性，若更新失敗則繼續(xù)運(yùn)行更新之前的版本。安全生命周期一級(jí)安全功能要求：安全平臺(tái)在使用階段應(yīng)禁用調(diào)試端口或提供進(jìn)入安全調(diào)試模式的訪問(wèn)控制機(jī)制。安全平臺(tái)進(jìn)入調(diào)試模式時(shí)，應(yīng)禁止不可信應(yīng)用組件訪問(wèn)安全平臺(tái)資產(chǎn)。注：安全平臺(tái)的開(kāi)發(fā)和制造階段的安全性不在本標(biāo)準(zhǔn)的范圍內(nèi)。二級(jí)安全功能要求：安全平臺(tái)進(jìn)入異常狀態(tài)時(shí)，應(yīng)擦除所有運(yùn)行時(shí)的安全平臺(tái)資產(chǎn)，防止資產(chǎn)泄露。三級(jí)安全功能要求：如果可信應(yīng)用組件是動(dòng)態(tài)加載的，安全平臺(tái)應(yīng)驗(yàn)證其完整性和可靠性。安全平臺(tái)進(jìn)入終止?fàn)顟B(tài)時(shí)，應(yīng)擦除所有安全平臺(tái)的資

18、產(chǎn)，防止資產(chǎn)泄露。綁定二級(jí)安全功能要求：可信系統(tǒng)組件所使用的密鑰應(yīng)與設(shè)備綁定，可從 HUK 派生。三級(jí)安全功能要求：安全平臺(tái)應(yīng)向可信應(yīng)用組件提供密鑰和其他敏感信息與設(shè)備的綁定服務(wù)。遠(yuǎn)程驗(yàn)證二級(jí)安全功能要求：安全平臺(tái)應(yīng)提供初始證明服務(wù), 負(fù)責(zé)上報(bào)設(shè)備的標(biāo)識(shí)、固件驗(yàn)證結(jié)果和設(shè)備的運(yùn)行時(shí)狀態(tài)，由遠(yuǎn)程實(shí)體進(jìn)行驗(yàn)證；安全平臺(tái)在出廠前應(yīng)內(nèi)置用于遠(yuǎn)程驗(yàn)證的密鑰和設(shè)備標(biāo)識(shí)，并存儲(chǔ)在不可變硬件中。引導(dǎo)程序應(yīng)對(duì)可信子模塊的引導(dǎo)狀態(tài)進(jìn)行完整性校驗(yàn)，并將結(jié)果包含在初始證明中。三級(jí)安全功能要求：安全平臺(tái)應(yīng)提供運(yùn)行時(shí)證明服務(wù), 負(fù)責(zé)上報(bào)安全平臺(tái)的標(biāo)識(shí)和安全平臺(tái)的運(yùn)行時(shí)狀態(tài)，由遠(yuǎn)程實(shí)體進(jìn)行驗(yàn)證。附錄 A修訂時(shí)間修訂后版本號(hào)修訂內(nèi)容2019 年 3 月草稿全文格式2019 年 7 月征求意見(jiàn)稿全文格式2019 年 12 月征求意見(jiàn)稿全文格式2020 年 4 月送審稿全文格式（規(guī)范性附錄） 標(biāo)準(zhǔn)修訂歷史附