2022消費(fèi)級(jí)物聯(lián)網(wǎng)安全基線

20221第三章設(shè)備第三章設(shè)備OS3.1通用OS163.1.1Bootloader啟動(dòng)163.1.2用戶賬戶密碼163.1.3防暴力破解163.1.4驗(yàn)證輸入數(shù)據(jù)173.1.5特權(quán)功能接口173.2LinuxOS173.2.1串行端口綁定SHELL173.2.2系統(tǒng)默認(rèn)賬戶密碼173.2.3基礎(chǔ)文件系統(tǒng)權(quán)限183.2.4外部存儲(chǔ)的程序和腳本183.2.5地址空間布局隨機(jī)化183.2.6基址隨機(jī)加載保護(hù)193.2.7棧Cookie防溢出193.2.8棧不可執(zhí)行193.2.9刪除調(diào)試符號(hào)表19第四章設(shè)備通信4.1通用通信214.1.1密鑰硬編碼214.1.2通訊信道加密214.1.3通信雙向認(rèn)證214.1.4防重放224.1.5非授權(quán)通信協(xié)議234.2以太網(wǎng)234.2.1通信信道加密234.2.2敏感數(shù)據(jù)傳輸加密234.2.3HTTPS證書(shū)校驗(yàn)234.2.4Wi-Fi接入點(diǎn)口令244.2.5Wi-Fi接入點(diǎn)用途244.3低功耗藍(lán)牙（BLE）254.3.1藍(lán)牙配對(duì)254.3.2藍(lán)牙控制指令合法性校驗(yàn)254.3.3傳感器設(shè)備藍(lán)牙廣播254.3.4藍(lán)牙m(xù)esh協(xié)議254.3.5藍(lán)牙協(xié)議版本26Contents前言 4范圍 5規(guī)范性引用文件 5第一章設(shè)備硬件1.1物理調(diào)試接口71.1.1調(diào)試接口默認(rèn)關(guān)閉71.1.2PCB板上調(diào)試接口絲印71.1.3調(diào)試接口默認(rèn)關(guān)閉信息輸入71.1.4調(diào)試接口打印敏感數(shù)據(jù)71.2本地?cái)?shù)據(jù)存儲(chǔ)71.2.1敏感信息加密存儲(chǔ)71.2.2芯片讀保護(hù)81.3通信鏈路數(shù)據(jù)傳輸81.4安全啟動(dòng)81.5防物理拆除91.6防強(qiáng)電磁攻擊91.7智能門(mén)鎖鎖芯及門(mén)卡91.8設(shè)備唯一標(biāo)識(shí)防篡改10第二章設(shè)備軟件2.1軟件更新122.1.1固件升級(jí)包完整性與合法性122.1.2防固件降級(jí)122.1.3軟件更新失敗后恢復(fù)機(jī)制132.1.4升級(jí)132.1.5第三方組件更新132.1.6MCUIAP132.2服務(wù)與端口最小化142.3代碼庫(kù)管理14藍(lán)牙控制指令鑒權(quán) 26藍(lán)牙廣播防追蹤機(jī)制 26藍(lán)牙敏感信息通信 26Zigbee 26Zigbee協(xié)議版本 264.5 射頻 射頻通信數(shù)據(jù)包序列號(hào)長(zhǎng)度 通信密鑰硬編碼 通信頻率 第五章數(shù)據(jù)安全與隱私5.1加密與哈希算法295.2隨機(jī)數(shù)生成函數(shù)295.3日志上報(bào)305.4跨境網(wǎng)絡(luò)請(qǐng)求305.5云端存儲(chǔ)安全305.6云端數(shù)據(jù)刪除功能305.7恢復(fù)出廠設(shè)置30第六章業(yè)務(wù)邏輯6.1設(shè)備可綁定狀態(tài)326.2綁定確認(rèn)326.3防重復(fù)綁定326.4強(qiáng)綁定關(guān)系326.5設(shè)備日志安全監(jiān)控336.6安全設(shè)置指南33術(shù)語(yǔ)和定義34縮略語(yǔ)39附錄A40附錄B41附錄C43附錄D45參考資料4666設(shè)備硬件PAGEPAGE9PAGEPAGE14設(shè)備硬件設(shè)備硬件物理調(diào)試接口調(diào)試接口默認(rèn)關(guān)閉（應(yīng)在出廠時(shí)默認(rèn)關(guān)閉UART、、SWD等調(diào)試接口。如因售后問(wèn)題分析等原因需開(kāi)啟調(diào)試接口，應(yīng)按需飛線通聯(lián)或根據(jù)設(shè)備傳感器等能力，做出特殊操作后開(kāi)啟（如特殊按鍵組合、私有USBDnge、設(shè)備傾斜通電等，以減少不必要的物理調(diào)試接口暴露和信息傳輸。PCBPCBTX、RX)，以防止逆向工程。調(diào)試接口默認(rèn)關(guān)閉信息輸入調(diào)試接口因某些特定需要而開(kāi)啟后，默認(rèn)不應(yīng)開(kāi)放調(diào)試接口的信息輸入，防止設(shè)備固件被篡改或本地存儲(chǔ)的敏感信息被讀取。調(diào)試接口打印敏感數(shù)據(jù)調(diào)試接口在某些特定需要而開(kāi)啟后，應(yīng)僅允許進(jìn)行不包含用戶與設(shè)g（敏感信息包含敏感安全參數(shù)如y、oen，和asod、Wi-i，詳見(jiàn)附錄A，如需輸出完整數(shù)據(jù)流日志，需要將此類(lèi)信息遮蔽展示（如：asod：********）本地?cái)?shù)據(jù)存儲(chǔ)敏感信息加密（flashnandemmc等加密方案可通過(guò)采用集成安全芯片或操作系統(tǒng)分區(qū)加密來(lái)實(shí)現(xiàn)。設(shè)備硬件設(shè)備硬件芯片讀保護(hù)MCU應(yīng)開(kāi)啟芯片讀保護(hù)機(jī)制，如嘗試通過(guò)調(diào)試接口讀取芯片/11(ICSPI)傳輸?shù)耐ㄐ艛?shù)據(jù)本身進(jìn)行加密。宜采用安全芯片來(lái)確保加密密鑰的安全性，并結(jié)合真實(shí)與偽數(shù)據(jù)融合發(fā)送的機(jī)制，以防止攻擊者通過(guò)硬件通道嗅探得到協(xié)商密鑰以及芯片指令。圖2-安全啟動(dòng)

安全啟動(dòng)設(shè)備芯片宜支持安全啟動(dòng)（SecureBoot原理如圖（uboot、、Flash鍵分區(qū)進(jìn)行合法加載校驗(yàn)，確保存儲(chǔ)芯片中的系統(tǒng)合法性和完整性校驗(yàn)通過(guò)后才能正常啟動(dòng)。設(shè)備硬件設(shè)備硬件防物理拆除室外（公共區(qū)域:如大門(mén)外）設(shè)備宜具備在受到暴力移除或拆卸時(shí)的防護(hù)或預(yù)警機(jī)制：外殼防拆除：設(shè)備不宜暴露可以將設(shè)備部分或全部拆除的螺絲孔或卡扣，設(shè)備室外外殼宜采用一體式結(jié)構(gòu)設(shè)計(jì)；如因業(yè)務(wù)需要必須暴露螺絲或卡扣的，宜采用非常用類(lèi)型固定螺絲來(lái)固定設(shè)備，并使用強(qiáng)度結(jié)構(gòu)符合要求的結(jié)構(gòu)膠對(duì)外殼螺絲封膠防護(hù)，以防止設(shè)備從室外被輕易拆除。電子組件結(jié)構(gòu)防護(hù)：設(shè)備具有控制功能的電子組件（包括但不限于MCU，接口，線路）應(yīng)具有足夠強(qiáng)度的結(jié)構(gòu)保護(hù)，如把此類(lèi)電子組件設(shè)計(jì)在設(shè)備的室內(nèi)部分，防止設(shè)備室外外殼被拆除后直接暴露。拆除警報(bào)：如設(shè)備傳感器具備檢測(cè)設(shè)備被拆解的能力，宜發(fā)出警報(bào)鈴聲，記錄并上報(bào)拆除事件至設(shè)備管理員。注：門(mén)鎖、門(mén)鈴設(shè)備應(yīng)滿足此要求的所有內(nèi)容。防強(qiáng)電磁攻擊高安全等級(jí)設(shè)備應(yīng)在芯片外加裝電磁防護(hù)罩，以防止強(qiáng)電磁脈沖（EMP）攻擊造成的設(shè)備邏輯或運(yùn)行異常，進(jìn)而導(dǎo)致邏輯錯(cuò)誤，設(shè)備宕機(jī)或電路燒毀（如門(mén)鎖設(shè)備遭遇強(qiáng)電磁攻擊后可導(dǎo)致非授權(quán)開(kāi)鎖。智能門(mén)鎖鎖芯及門(mén)卡真插芯智能門(mén)鎖（真插芯）應(yīng)將離合組件放置于門(mén)內(nèi)鎖體中，以保證即使外部鎖體被破壞或舵機(jī)電平被控制時(shí)，鎖芯依然空轉(zhuǎn)無(wú)法解鎖。防止智能設(shè)備硬件設(shè)備硬件門(mén)鎖鎖芯被暴力或?qū)Ｓ霉ぞ撸ㄒ延袑?zhuān)業(yè)開(kāi)鎖工具）通過(guò)外部鎖體縫隙劫持C級(jí)鎖芯。假插芯智能門(mén)鎖（假插芯）應(yīng)在鑰匙孔與鎖芯機(jī)關(guān)間用金屬格擋并固定，門(mén)外鎖體與門(mén)之間應(yīng)用金屬擋板全部封閉，以防止他人通過(guò)鑰匙孔、鎖體縫隙觸動(dòng)開(kāi)鎖機(jī)關(guān)開(kāi)鎖。NFCCPU卡作為開(kāi)鎖門(mén)卡，不應(yīng)使用易被嗅探、破解復(fù)IDM1卡開(kāi)鎖?？?lèi)型優(yōu)點(diǎn)缺點(diǎn)推薦CPU卡讀取速度快價(jià)格稍貴推薦使用ID卡價(jià)格便宜容易復(fù)制，安全性低不應(yīng)使用M1卡可讀可寫(xiě)價(jià)格稍貴不應(yīng)使用設(shè)備唯一標(biāo)識(shí)防篡改設(shè)備端應(yīng)存儲(chǔ)唯一硬件標(biāo)識(shí)，并采用一次性編程、安全芯片等技術(shù)防止被篡改。1111設(shè)備軟件PAGEPAGE12設(shè)備軟件設(shè)備軟件軟件更新固件升級(jí)包完整性與合法性設(shè)備固件升級(jí)（A包進(jìn)行完整性哈希得到固件包摘要，再使用公私鑰方式對(duì)摘要進(jìn)行合法性簽名和驗(yàn)簽（Nordic，確認(rèn)升級(jí)包完整性與合法性再進(jìn)行更新，以防止固件包被篡改或替換。固件升級(jí)包完整性哈希應(yīng)采用安全的哈希算法（詳見(jiàn).1，完整性憑據(jù)應(yīng)在設(shè)備與服務(wù)端的加密通信通道內(nèi)傳輸。 圖3-固件升級(jí)包合法性與完整性校驗(yàn)防固件降級(jí)功能進(jìn)行設(shè)備更新時(shí)，設(shè)備應(yīng)拒絕舊版固件更新，以防止一些歷史BUG或安全風(fēng)險(xiǎn)重新暴露被利用。特殊需求下（如：測(cè)試、維修等SD卡或線刷等方式對(duì)固件驗(yàn)簽后刷機(jī)。設(shè)備軟件設(shè)備軟件軟件更新失敗后恢復(fù)機(jī)制設(shè)備軟件更新時(shí)可能遇到斷電等特殊情況，導(dǎo)致設(shè)備升級(jí)失敗。因雙分區(qū)備份機(jī)制，保障升級(jí)失敗時(shí)能恢復(fù)到可用軟件版本，防止升級(jí)失敗損害設(shè)備可用性。升級(jí)A，.1.1升級(jí)包完整性與合法性要求，以防止攻擊者通過(guò)局域網(wǎng)對(duì)設(shè)備進(jìn)行惡意升級(jí)。第三方組件更新設(shè)備制造商在產(chǎn)品開(kāi)發(fā)過(guò)程中應(yīng)維護(hù)產(chǎn)品軟硬件的第三方商用及開(kāi)源組件清單，并將其用于持續(xù)監(jiān)測(cè)已識(shí)別的軟硬件組件的相關(guān)安全。/最新修復(fù)版本。軟件/htts://ww.cedais.om/poduct-listphp查詢(xún)。MCUIAPMCU應(yīng)具備安全更新機(jī)制，如封裝專(zhuān)用的USBDongeMCUIAP過(guò)程進(jìn)行了數(shù)據(jù)加密或簽名驗(yàn)證，以避免MCU固件邏輯被篡改的風(fēng)險(xiǎn)。13PAGEPAGE14設(shè)備軟件設(shè)備軟件服務(wù)與端口最小化設(shè)備應(yīng)默認(rèn)關(guān)閉FTP、SSH、、HTTP、ADB等高風(fēng)險(xiǎn)管理服務(wù)或信息數(shù)據(jù)服務(wù)，也應(yīng)關(guān)閉非數(shù)據(jù)交互與控制實(shí)現(xiàn)所必要的ITSDK控制服務(wù)端口。代碼庫(kù)管理設(shè)備相關(guān)代碼庫(kù)不應(yīng)在未經(jīng)允許的情況下上傳至GithubGitee公用代碼倉(cāng)庫(kù)或百度網(wǎng)盤(pán)等公開(kāi)、半公開(kāi)服務(wù)，防止源代碼泄露。1515OSPAGEPAGE16PAGEPAGE23設(shè)備OS設(shè)備OSOSBootloaderBootLoader，Delay0，SHELL設(shè)備操作系統(tǒng)應(yīng)自動(dòng)重啟，避免啟動(dòng)異常后暴露操作系統(tǒng)引導(dǎo)加載控制臺(tái)（onoe）界面，以防止攻擊者通過(guò)錯(cuò)誤植入進(jìn)入到控制臺(tái)界面，來(lái)獲得篡改設(shè)備啟動(dòng)參數(shù)的權(quán)限，從而控制設(shè)備。用戶賬戶密碼（UI）///的高強(qiáng)度密碼，并在用戶首次登陸時(shí)強(qiáng)制要求修改默認(rèn)密碼；如果設(shè)備//高強(qiáng)度密碼：長(zhǎng)度為10-14位，包含大寫(xiě)字母、小寫(xiě)字母、符號(hào)和數(shù)字其中三類(lèi)字符的密碼。防暴力破解設(shè)備登錄密碼應(yīng)具備暴力破解機(jī)制，如驗(yàn)證碼等人機(jī)交互機(jī)制、登錄驗(yàn)證失敗遞增等待時(shí)間和登錄驗(yàn)證失敗超過(guò)一定次數(shù)鎖定賬號(hào)等。設(shè)備OS設(shè)備OS驗(yàn)證輸入數(shù)據(jù)API，以防止設(shè)備執(zhí)行外部惡意攻擊代碼。數(shù)據(jù)驗(yàn)證方法包括過(guò)濾超出處理范圍的數(shù)據(jù)、過(guò)濾和fuzz證不足而出現(xiàn)的潛在漏洞等。特權(quán)功能接口設(shè)備應(yīng)默認(rèn)關(guān)閉可直接進(jìn)入設(shè)備系統(tǒng)的特權(quán)能力或接口（如工廠OTA、未公開(kāi)功能接口、調(diào)試后門(mén)等），如實(shí)屬業(yè)務(wù)必要，應(yīng)具備鑒權(quán)機(jī)制。LinuxOSSHELLSHELLUART3.2.2系統(tǒng)默認(rèn)賬戶密碼（UI）嵌入式Linux系統(tǒng)默認(rèn)用戶（如root、admin等）需設(shè)置高強(qiáng)度密碼，并且保證一機(jī)一密，不應(yīng)在代碼中為所有設(shè)備寫(xiě)入相同密碼或空密碼。高強(qiáng)度密碼：長(zhǎng)度為10-14位，包含大寫(xiě)字母、小寫(xiě)字母、符號(hào)和數(shù)字其中三類(lèi)字符的密碼。設(shè)備OS設(shè)備OS基礎(chǔ)文件系統(tǒng)權(quán)限設(shè)備嵌入式Linux（/etc/應(yīng)使用只讀文件系統(tǒng)（如外部存儲(chǔ)的程序和腳本Liux（SD、U、網(wǎng)絡(luò)存儲(chǔ)等）中程序或腳本。如有特殊需要，應(yīng)進(jìn)行公私鑰簽名驗(yàn)證，以防止系統(tǒng)被植入惡意軟件或腳本。圖4-外部程序和腳本簽名驗(yàn)證地址空間布局隨機(jī)化嵌入式Linux系統(tǒng)的設(shè)備應(yīng)開(kāi)啟地址空間布局隨機(jī)化（ASLR）保護(hù)措施，以防止緩沖區(qū)溢出。設(shè)備OS設(shè)備OS基址隨機(jī)加載保護(hù)應(yīng)用應(yīng)開(kāi)啟PIE應(yīng)用基址隨機(jī)加載保護(hù)選項(xiàng)。CookieLinux，應(yīng)開(kāi)啟LinuxCAY護(hù)選項(xiàng)。棧不可執(zhí)行Linx，應(yīng)開(kāi)啟LiuxX護(hù)選項(xiàng)。刪除調(diào)試符號(hào)表Linux，需使用Strip，以提升逆向分析難度并減少程序體積。2020設(shè)備通信PAGEPAGE21PAGEPAGE26設(shè)備通信設(shè)備通信通用通信密鑰硬編碼設(shè)備不應(yīng)將用于傳輸加密或鑒權(quán)的密鑰硬編碼在程序代碼中，應(yīng)采用一機(jī)一密通訊信道加密4.2，4.3，4.5通信雙向認(rèn)證設(shè)備通信時(shí)應(yīng)在數(shù)據(jù)傳輸之前進(jìn)行雙向認(rèn)證，驗(yàn)證雙方真實(shí)身份是否合法，檢查控制權(quán)限是否與身份匹配，以防止越權(quán)或非授權(quán)控制。設(shè)備準(zhǔn)協(xié)議的，應(yīng)經(jīng)過(guò)安全評(píng)估。設(shè)備驗(yàn)證服務(wù)端：TS（基于TLS/TS）與服務(wù)端通信時(shí)CA藍(lán)牙設(shè)備通過(guò)米家藍(lán)牙安全認(rèn)證協(xié)議綁定流程中的OOB信息驗(yàn)證。服務(wù)端驗(yàn)證設(shè)備：服務(wù)端通過(guò)校驗(yàn)設(shè)備的三元組信息（中、低安全等級(jí)設(shè)備）或米家安全芯片中的設(shè)備唯一標(biāo)識(shí)（高安全等級(jí)設(shè)備）驗(yàn)證設(shè)備身份是否合法。設(shè)備通信設(shè)備通信防重放設(shè)備通信應(yīng)使用滾動(dòng)碼或計(jì)數(shù)器機(jī)制，當(dāng)請(qǐng)求操作計(jì)數(shù)大于設(shè)備計(jì)數(shù)才準(zhǔn)許設(shè)備執(zhí)行該操作指令，以防止他人通過(guò)抓包重放控制請(qǐng)求來(lái)對(duì)設(shè)備進(jìn)行非授權(quán)的控制。圖5-重放攻擊和防重放不同通信協(xié)議下的防重放可參考以下方案：ZigBeeZigbee開(kāi)啟方法：設(shè)置nwklreshTRUE射頻：設(shè)備使用滾動(dòng)碼方式進(jìn)行通信，參考eeoq、T0、Hitag22Wi-FiTLS1.2+數(shù)器防重放功能藍(lán)牙：采用米家藍(lán)牙認(rèn)證協(xié)議默認(rèn)支持的幀計(jì)數(shù)器和加密功能，或采用標(biāo)準(zhǔn)BLESM（SecurityManager）模塊的數(shù)據(jù)包計(jì)數(shù)器（packetCounter）和鏈路層加密設(shè)備通信設(shè)備通信非授權(quán)通信協(xié)議設(shè)備使用的通信協(xié)議應(yīng)經(jīng)過(guò)安全評(píng)估，不應(yīng)使用非授權(quán)通信協(xié)議，以防止非授權(quán)協(xié)議存在安全漏洞或后門(mén)影響設(shè)備通信安全。以太網(wǎng)通信信道加密設(shè)備應(yīng)使用加密的傳輸協(xié)議對(duì)通信進(jìn)行加密，TLS（1.+）傳MQTT、HTTP等明文傳輸協(xié)議而導(dǎo)致信息泄露或被篡改的風(fēng)險(xiǎn)。注：TLS/cs/查詢(xún)。敏感信息傳輸加密設(shè)備在傳輸敏感信息時(shí)應(yīng)使用安全的加密算法對(duì)敏感信息進(jìn)行額外的加密。注：加密算法的安全性可參考.1加密與哈希算法。HTTPS設(shè)備使用HTTPS協(xié)議時(shí)，應(yīng)進(jìn)行嚴(yán)格的證書(shū)校驗(yàn)，不能忽略檢查。Linux設(shè)備應(yīng)嚴(yán)格驗(yàn)證服務(wù)端證書(shū)合法性，不應(yīng)使用參數(shù)跳過(guò)證書(shū)驗(yàn)證或忽略證書(shū)驗(yàn)證錯(cuò)誤。設(shè)備通信設(shè)備通信工具/庫(kù)參數(shù)使用建議curl不應(yīng)使用-k參數(shù)wget不應(yīng)使用--no-check-certificate參數(shù)libcurl應(yīng)將CURLOPT_SSL_VERIFYPEER和CURLOPT_SSL_VERIFYHOST設(shè)置為T(mén)rueAndroid設(shè)備應(yīng)用使用SSL不應(yīng)信任任意證書(shū)，不應(yīng)忽略異常事件（如rurnnul；如需自TrustManagercheckServerTrusted方法，方法內(nèi)必須嚴(yán)格判斷服務(wù)端的證書(shū)校驗(yàn)，以防止通信內(nèi)容被劫持導(dǎo)致通信數(shù)據(jù)泄漏或被篡改。Wi-FiWiFiDirect，如確有必要，設(shè)備端WiFiDiret空密碼，應(yīng)遵循一機(jī)一密或者每次使用真隨機(jī)生成密碼，并顯示在屏幕上（帶屏設(shè)備）或在綁定時(shí)由用戶提前設(shè)置并存儲(chǔ)（無(wú)屏設(shè)備Wi-FiWi-Fii-Fi，不應(yīng)訪問(wèn)設(shè)備外部網(wǎng)絡(luò)（如家庭網(wǎng)或互聯(lián)網(wǎng)Wi-Fi滲透。設(shè)備通信設(shè)備通信低功耗藍(lán)牙（BLE）藍(lán)牙配對(duì)有物理按鍵的藍(lán)牙設(shè)備應(yīng)通過(guò)物理按鍵進(jìn)行綁定確認(rèn)或開(kāi)啟綁定窗口，以避免設(shè)備重復(fù)綁定或在用戶不知情的情況下被他人綁定的風(fēng)險(xiǎn)。藍(lán)牙控制指令合法性校驗(yàn)對(duì)于支持藍(lán)牙的設(shè)備，應(yīng)每次登錄協(xié)商會(huì)話密鑰，設(shè)備與控制應(yīng)用間應(yīng)使用會(huì)話密鑰加密傳輸控制指令。傳感器設(shè)備藍(lán)牙廣播部分設(shè)備通過(guò)藍(lán)牙將傳感器采集的數(shù)據(jù)進(jìn)行廣播傳輸，通過(guò)藍(lán)牙網(wǎng)關(guān)解析廣播內(nèi)容進(jìn)行設(shè)備聯(lián)動(dòng)，或根據(jù)廣播數(shù)據(jù)作為控制指令，從而影響其他設(shè)備。此類(lèi)設(shè)備的藍(lán)牙廣播應(yīng)使用安全的通信協(xié)議，并使用綁定時(shí)產(chǎn)meshmehmesh、網(wǎng)關(guān)及手機(jī)進(jìn)行雙向認(rèn)證，對(duì)傳輸?shù)拿舾袛?shù)據(jù)使用會(huì)話密鑰加密。設(shè)備通信設(shè)備通信藍(lán)牙協(xié)議版本低功耗藍(lán)牙BLE設(shè)備（如鼠標(biāo)、音箱）采用藍(lán)牙鏈接層加密時(shí)應(yīng)使用4.2及以上低功耗藍(lán)牙協(xié)議版本，以防止設(shè)備在綁定階段泄露藍(lán)牙連接層密鑰(LTK)，從而導(dǎo)致隱私泄露或設(shè)備偽造的風(fēng)險(xiǎn)。藍(lán)牙控制指令鑒權(quán)設(shè)備使用藍(lán)牙芯片廠商提供例程指令前應(yīng)判斷控制應(yīng)用的藍(lán)牙綁定狀態(tài)，防止因例程中可能支持未授權(quán)指令控制設(shè)備的邏輯，從而導(dǎo)致設(shè)備拒絕服務(wù)（例如芯片重啟、切換工作空間、進(jìn)入DFU升級(jí)模式等等）的風(fēng)險(xiǎn)。

圖6-藍(lán)牙控制指令鑒權(quán)設(shè)備宜使用隨機(jī)藍(lán)牙MAC地址，并對(duì)藍(lán)牙廣播內(nèi)容進(jìn)行加密；如需通過(guò)beacon信標(biāo)廣播可識(shí)別身份的信息，應(yīng)定時(shí)變換設(shè)備藍(lán)牙MAC藍(lán)牙敏感信息通信設(shè)備在使用BLE與控制應(yīng)用（安卓）通信時(shí)，應(yīng)對(duì)敏感信息內(nèi)容本身進(jìn)行應(yīng)用層加密，以防止用戶使用BLE將手機(jī)與其他智能設(shè)備配對(duì)進(jìn)行數(shù)據(jù)傳輸時(shí)，手機(jī)上的所有應(yīng)用都可以訪問(wèn)這兩個(gè)設(shè)備間傳輸?shù)臄?shù)據(jù)。設(shè)備通信設(shè)備通信風(fēng)險(xiǎn)描述參見(jiàn)安卓4.3引入藍(lán)牙BLE時(shí)的開(kāi)發(fā)文檔3：ZigbeeZigbeeZigbeeZigbee3.0installcode4TCLK射頻射頻通信數(shù)據(jù)包序列號(hào)長(zhǎng)度設(shè)備的射頻通信數(shù)據(jù)包應(yīng)使用四字節(jié)作為序列號(hào)變量空間，避免使用較短序列號(hào)長(zhǎng)度，以防止通信內(nèi)容可在短時(shí)間暴力破解的風(fēng)險(xiǎn)。通信密鑰硬編碼設(shè)備射頻通信密鑰應(yīng)通過(guò)發(fā)射器和接收器配對(duì)交換生成，不應(yīng)預(yù)置密鑰在代碼中。通信頻率設(shè)備應(yīng)使用跳頻機(jī)制進(jìn)行通信，以防止因射頻通信頻點(diǎn)固定造成信道擁堵，導(dǎo)致設(shè)備無(wú)法正常通信。2828數(shù)據(jù)安全與隱私PAGEPAGE29PAGEPAGE44數(shù)據(jù)安全與隱私數(shù)據(jù)安全與隱私加密與哈希算法加密算法：設(shè)備應(yīng)使用安全的加密算法且密鑰長(zhǎng)度符合對(duì)應(yīng)算法（見(jiàn)下表DES、TDES、bithashsha256sha512hashmd5sha1。算法密鑰/哈希值長(zhǎng)度（bit位）AES128//ECDSA/ECDH256/384/512RSADSAPrimeP:PrimeQ:SM4128SHA256/384/512隨機(jī)數(shù)生成函數(shù)設(shè)備系統(tǒng)及應(yīng)用應(yīng)使用真隨機(jī)或強(qiáng)偽隨機(jī)算法產(chǎn)生認(rèn)證或加密所需的隨機(jī)數(shù)。類(lèi)型生成方式建議真/強(qiáng)偽隨機(jī)/dev/urandom芯片支持的熵隨機(jī)能力推薦偽隨機(jī)srand()、rand()time(0)子生成不推薦數(shù)據(jù)安全與隱私數(shù)據(jù)安全與隱私日志上報(bào)設(shè)備、系統(tǒng)及應(yīng)用打印的日志不應(yīng)上傳任何明文或加密的敏感信息（Wi-FiSSIDIMEI、地理位置等敏感信息上報(bào)使用，應(yīng)在隱私聲明中明示作用與存儲(chǔ)方式?？缇尘W(wǎng)絡(luò)請(qǐng)求設(shè)備或控制應(yīng)用應(yīng)識(shí)別當(dāng)前用戶所屬?lài)?guó)家或地區(qū)，根據(jù)不同國(guó)家或地區(qū)的隱私合規(guī)要求發(fā)送網(wǎng)絡(luò)請(qǐng)求，以防止數(shù)據(jù)跨境傳輸帶來(lái)的隱私風(fēng)險(xiǎn)。云端存儲(chǔ)安全通過(guò)設(shè)備采集的用戶敏感數(shù)據(jù)（視頻、音頻、圖片、文檔等）應(yīng)加密存儲(chǔ)于業(yè)務(wù)云端存儲(chǔ)服務(wù)器。云端數(shù)據(jù)刪除功能物聯(lián)網(wǎng)平臺(tái)應(yīng)向用戶提供便捷的刪除云端數(shù)據(jù)的功能，刪除范圍包括用戶在使用設(shè)備及其關(guān)聯(lián)服務(wù)過(guò)程中產(chǎn)生并存儲(chǔ)在云端的個(gè)人信息?；謴?fù)出廠設(shè)置設(shè)備恢復(fù)出廠設(shè)置后應(yīng)完全清除設(shè)備中所有用戶數(shù)據(jù)、設(shè)置（如用戶使用記錄、設(shè)置、NFCeSIM。06業(yè)務(wù)邏輯PAGEPAGE32PAGEPAGE45業(yè)務(wù)邏輯業(yè)務(wù)邏輯設(shè)備可綁定狀態(tài)30電后重新進(jìn)入綁定狀態(tài)，避免設(shè)備始終允許接受綁定請(qǐng)求而被惡意綁定的風(fēng)險(xiǎn)。綁定確認(rèn)OOB綁定方式，防止設(shè)備被惡意綁定。防重復(fù)綁定對(duì)于具備重置能力的設(shè)備，應(yīng)被重置后才可再次接受綁定請(qǐng)求，以防止被其他用戶重復(fù)綁定或惡意綁定控制。強(qiáng)綁定關(guān)系室外高安全級(jí)別設(shè)備應(yīng)在云端將設(shè)備和賬戶建立強(qiáng)綁定關(guān)系，即云端記錄設(shè)備ID與用戶ID的綁定關(guān)系。設(shè)備綁定時(shí)應(yīng)先驗(yàn)證云端記錄，僅允許在云端沒(méi)有綁定記錄的設(shè)備的綁定請(qǐng)求，并且設(shè)備端重置不應(yīng)清除云端綁定記錄，僅當(dāng)設(shè)備所有者（在云端有綁定記錄的用戶ID）在控制端應(yīng)用上主動(dòng)解綁時(shí)才清除綁定關(guān)系，以防止設(shè)備重置后被非法綁定控制。業(yè)務(wù)邏輯業(yè)務(wù)邏輯圖7-強(qiáng)綁定設(shè)備日志安全監(jiān)控物聯(lián)網(wǎng)平臺(tái)應(yīng)從設(shè)備端收集關(guān)鍵日志（如設(shè)備聯(lián)網(wǎng)狀態(tài)、使用狀態(tài)、升級(jí)狀態(tài)等），應(yīng)將此類(lèi)設(shè)備日志用于安全監(jiān)控。通過(guò)統(tǒng)計(jì)和分析日志信息發(fā)現(xiàn)異常，從而發(fā)現(xiàn)潛在的設(shè)備或物聯(lián)網(wǎng)平臺(tái)安全風(fēng)險(xiǎn)。安全設(shè)置指南設(shè)備如果具備安全功能，應(yīng)采取以下方式之一幫助用戶簡(jiǎn)便地開(kāi)啟這些安全功能：默認(rèn)設(shè)置：設(shè)備初始化時(shí)自動(dòng)默認(rèn)開(kāi)啟必要的安全功能。軟件引導(dǎo)：UI說(shuō)明，或通過(guò)彈窗等形式引導(dǎo)用戶開(kāi)啟。說(shuō)明書(shū)：通過(guò)紙質(zhì)或電子版產(chǎn)品安全設(shè)置指南告知用戶開(kāi)啟產(chǎn)品安全功能的方式和步驟。術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件下列術(shù)語(yǔ)和定義適用于本文件onsumerITDvie網(wǎng)絡(luò)連接（和網(wǎng)絡(luò)連接）設(shè)備（物聯(lián)網(wǎng)終端設(shè)備指具有無(wú)線（Wi-Fi、BLE/Mesh、Bluetoothclassic、Zigbee、NFC、RF、有線（RJ45）聯(lián)網(wǎng)與組網(wǎng)能力，或具有固件邏輯更新能力的任意智能終端產(chǎn)品。注1：消費(fèi)級(jí)物聯(lián)網(wǎng)設(shè)備也通常用于商業(yè)環(huán)境。這些設(shè)備仍然被歸類(lèi)為消費(fèi)級(jí)物聯(lián)網(wǎng)設(shè)備。注2：消費(fèi)級(jí)物聯(lián)網(wǎng)設(shè)備通?？晒┫M(fèi)者在零售環(huán)境中購(gòu)買(mǎi)。消費(fèi)級(jí)物聯(lián)網(wǎng)設(shè)備也可以委托和/或?qū)I(yè)安裝。User自然人或組織。criticalsecurityparameter與安全相關(guān)的秘密信息，這些信息被泄露或被修改后會(huì)危及智能家居安全性。例如后臺(tái)系統(tǒng)管理員認(rèn)證信息、操作系統(tǒng)登錄認(rèn)證信息，網(wǎng)絡(luò)設(shè)備認(rèn)證信息等。publicsecurityparameter與安全相關(guān)的公共信息，其修改會(huì)損害安全模塊的安全性。1：/2：證書(shū)的公共組件。sensitivesecurityparameters公共安全參數(shù)和關(guān)鍵安全參數(shù)。personal與已識(shí)別或可識(shí)別的自然人有關(guān)的任何資料。Sensitiveinformation敏感信息為敏感安全參數(shù)與個(gè)人信息的統(tǒng)稱(chēng)。debuginterface制造商在開(kāi)發(fā)過(guò)程中用于與設(shè)備通信的物理接口，或用于對(duì)設(shè)備的問(wèn)題進(jìn)行分類(lèi).例如：測(cè)試點(diǎn)，UART，SWD，JTAG。gialierae利用網(wǎng)絡(luò)接口通過(guò)信道或端口在網(wǎng)絡(luò)上通信的軟件實(shí)現(xiàn)。networkinterface可用于通過(guò)網(wǎng)絡(luò)訪問(wèn)消費(fèi)者物聯(lián)網(wǎng)功能的物理接口。physicalinterface物理端口或空氣接口（如無(wú)線電、音頻或光學(xué)接口USB等串行接口和用于調(diào)試的接口。securityupdate解決制造商發(fā)現(xiàn)或報(bào)告給制造商的安全漏洞的軟件更新。更新。telemetry來(lái)自設(shè)備的數(shù)據(jù)，可以提供信息，幫助制造商識(shí)別與設(shè)備使用有關(guān)的問(wèn)題或信息。例如：消費(fèi)者物聯(lián)網(wǎng)設(shè)備向制造商報(bào)告軟件故障，使他們能夠識(shí)別和補(bǔ)救原因。authenticationmechanism用于證明實(shí)體真實(shí)性的方法：“實(shí)體”既可以是用戶，也可以是機(jī)器。例如：認(rèn)證機(jī)制可以是請(qǐng)求密碼、掃描二維碼或使用生物特征指紋掃描儀。FlashFlash，通過(guò)特定的程序可以修改里面的數(shù)據(jù)。FLSHFashMemory，即平FlashEEPROMMemory。Bootloader在嵌入式操作系統(tǒng)中BotLoader可以初始化硬件設(shè)備、建立內(nèi)存空間映射圖，從而將系統(tǒng)的軟硬件環(huán)境帶到一個(gè)合適狀態(tài)，以便為最終調(diào)用操作系統(tǒng)內(nèi)核準(zhǔn)備好正確的環(huán)境。U-bootU-Boot是一個(gè)主要用于嵌入式系統(tǒng)的引導(dǎo)加載程序，可以支持多種不同的計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)，包括PPC、ARM、AVR32、MIPS、x86、68k、Nios與MicroBlaze。嵌入式內(nèi)核是在嵌入式硬件和軟件之間的抽象層，inux中被稱(chēng)為“內(nèi)核”，也可以稱(chēng)為“核心”。Linux（或組件）分CPU和進(jìn)程管理、文件系統(tǒng)、設(shè)備管理和驅(qū)動(dòng)、網(wǎng)絡(luò)通信，以及系統(tǒng)的初始化（引導(dǎo)、系統(tǒng)調(diào)用等。Beacon藍(lán)牙信標(biāo)（Beacon）是建立在低功耗藍(lán)牙協(xié)議基礎(chǔ)上的一種廣播協(xié)議。ASLR對(duì)堆、棧、共享庫(kù)映射等線性區(qū)布局的隨機(jī)化，通過(guò)增加攻擊者預(yù)測(cè)目的地址的難度，以防止攻擊者直接定位攻擊代碼位置，達(dá)到阻止溢出攻擊的目的。IDIdentificationID卡全稱(chēng)為身份識(shí)別卡（Identification，是一種不可寫(xiě)入的感應(yīng)卡，含固定的編號(hào)，主要有臺(tái)灣ISEM、美國(guó)HIDMOOLAID。ID，都僅僅使用了“卡的號(hào)碼”而已，卡內(nèi)除了卡號(hào)外，無(wú)任何保密功能，其“卡號(hào)”是公開(kāi)、裸露的。IDM1M1M1，是指飛利浦下屬子公司恩智浦出品的芯片縮寫(xiě)，全稱(chēng)XPMiare1，常用的有S0S0。常見(jiàn)的有卡式和鑰匙扣式。真插芯智能門(mén)鎖的真插芯是指鎖芯直接固定在再鎖體結(jié)構(gòu)上，利用鎖芯使用鑰匙時(shí)，鑰匙與門(mén)面為垂直關(guān)系。假插芯智能門(mén)鎖的假插芯是將鎖芯與鎖體位置分離，鎖芯轉(zhuǎn)動(dòng)時(shí)，利用齒合方式，直觀表現(xiàn)為：使用鑰匙時(shí)，鑰匙與門(mén)面為平行關(guān)系。Routine例程是某個(gè)系統(tǒng)對(duì)外提供的功能接口或服務(wù)的集合。比如操作系統(tǒng)API、服務(wù)等就是例程?？s略語(yǔ)下列縮略語(yǔ)適用于本文件。下列縮略語(yǔ)適用于本文件。API應(yīng)用編程接口（ApplicationProgrammingInterface）I物聯(lián)網(wǎng)（InternetofThings）IP網(wǎng)絡(luò)協(xié)議（InternetProtocol）JTAG聯(lián)合測(cè)試工作組（JointTestActionGroup）OTA空中下載（OverTheAir）UART通用異步收發(fā)傳輸器（UniversalAsynchronousReceiver-Transmitter）USB通用串行總線（UniversalSerialBus）SSH安全外殼協(xié)議（SecureShell）MAC介質(zhì)訪問(wèn)控制地址（Mediaessotol）TLS安全傳輸層協(xié)議（TransportLayerSecurity）TCP傳輸控制協(xié)議（ansmissionotolool）UDP用戶數(shù)據(jù)報(bào)協(xié)議（UserDatagramProtocol）FTP文件傳輸協(xié)議（FileTransferProtocol）UID用戶名（UserID）DID設(shè)備標(biāo)識(shí)碼（DeviceID）SWD串行線調(diào)試（SerialWireDebug）NAND與非門(mén)邏輯電路（NotAnd）EMMCEmbeddedMultiMediaCardMQTT消息隊(duì)列遙測(cè)傳輸（MessageQueuingTransport）TCLKTrustCenterLinkASLR地址空間布局隨機(jī)化（ASLR）NXStack棧不可執(zhí)行(NoExecuteStack)PIE位置獨(dú)立的可執(zhí)行文件（PositionIndependentExecutables）OOB帶外數(shù)據(jù)（OutofBand）XML可擴(kuò)展標(biāo)記語(yǔ)言（eXtensibleMarkupLanguage）AES高級(jí)加密標(biāo)準(zhǔn)（AdvancedEncryptionStandard）DES數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard）RSA一種非對(duì)稱(chēng)加密算法，以此算法的三位共同提出者姓氏開(kāi)頭字母拼在一起而命名TX發(fā)送（transmit）RX接收（Receive）PSK預(yù)共享密鑰（Pre-SharedKey）ADB安卓調(diào)試橋（AndroidDebugBridge）JSAPIJavaScript（JavaScriptApplicationProgrammingInterface）附錄A產(chǎn)品安全等級(jí)：（onfidetiality（Iegrity（ailability）收到損害時(shí)對(duì)設(shè)備、用戶及物聯(lián)網(wǎng)平臺(tái)可能造成的最大影響程度，把物聯(lián)網(wǎng)產(chǎn)品下表：安全屬性關(guān)注點(diǎn)影響程度備注低中高保密性onfidetiality設(shè)備收集的個(gè)人信息的敏感程度越高，保密性受到損害時(shí)對(duì)用戶的影響越大個(gè)人基本資料√個(gè)人教育工作信息√個(gè)人常用設(shè)備信息√個(gè)人通信信息√聯(lián)系人信息√個(gè)人身份信息√個(gè)人生物識(shí)別信息√網(wǎng)絡(luò)身份標(biāo)識(shí)信息√個(gè)人健康生理信息√個(gè)人財(cái)產(chǎn)信息√個(gè)人上網(wǎng)記錄√個(gè)人位置信息√其他敏感信息√完整性IntegrityAPP戶人身安全、財(cái)產(chǎn)安全、精神上可能帶來(lái)的影響程度影響輕微√影響有限√影響嚴(yán)重√可用性Availability在設(shè)備及相關(guān)服務(wù)完全不可用的情況下，對(duì)用戶或在輿論上帶來(lái)的影響程度影響輕微√影響有限√影響嚴(yán)重√各類(lèi)個(gè)人信息及敏感信息的定義及舉例見(jiàn)附錄C附錄B不同安全等級(jí)的設(shè)備需滿足的要求如下：章節(jié)標(biāo)題低中高適用條件設(shè)備硬件1.1物理調(diào)試接口1.1.1調(diào)試接口默認(rèn)關(guān)閉√√1.1.2PCB板上調(diào)試接口絲印√1.1.3調(diào)試接口默認(rèn)關(guān)閉信息輸入√√1.1.4調(diào)試接口打印敏感數(shù)據(jù)√√1.2本地?cái)?shù)據(jù)存儲(chǔ)1.2.1敏感信息加密存儲(chǔ)√√1.2.2芯片讀保護(hù)√1.5防物理拆除√智能門(mén)鎖、門(mén)鈴1.6防強(qiáng)電磁攻擊√智能門(mén)鎖1.7智能門(mén)鎖鎖芯及門(mén)卡√智能門(mén)鎖1.8設(shè)備唯一標(biāo)識(shí)防篡改√設(shè)備軟件2.1軟件升級(jí)2.1.1固件升級(jí)包完整性與合法性√√√2.1.2防固件降級(jí)√2.1.3軟件更新失敗后恢復(fù)機(jī)制√√2.1.4升級(jí)指令√√√2.1.5第三方組件更新√√2.1.6MCUIAP更新機(jī)制√2.2服務(wù)與端口