TTAF 062-2020 物聯(lián)網(wǎng)設(shè)備安全平臺技術(shù)要求和分級方法

1、ICS 33.050M 30團(tuán) 體 標(biāo) 準(zhǔn)T/TAF 062-2020物聯(lián)網(wǎng)設(shè)備安全平臺技術(shù)要求和分級方法Technical Requirements and Classification Guideline for Security Platform of IoT Devices2020 - 08 - 03 發(fā)布2020- 08 - 03 實施電信終端產(chǎn)業(yè)協(xié)會 發(fā)布T/TAF 062-2020 PAGE * ROMAN III目次 HYPERLINK l _bookmark0 目次I HYPERLINK l _bookmark1 前 言II HYPERLINK l _bookmark2 引言

2、III HYPERLINK l _bookmark3 物聯(lián)網(wǎng)設(shè)備安全平臺技術(shù)要求和分級方法1 HYPERLINK l _bookmark4 范圍1 HYPERLINK l _bookmark5 規(guī)范性引用文件1 HYPERLINK l _bookmark6 術(shù)語、定義和縮略語1 HYPERLINK l _bookmark7 安全平臺概述3 HYPERLINK l _bookmark8 安全平臺范圍3 HYPERLINK l _bookmark9 安全平臺邏輯框架3 HYPERLINK l _bookmark10 安全平臺功能框架3 HYPERLINK l _bookmark11 安全平臺的資產(chǎn)

3、4 HYPERLINK l _bookmark12 安全目標(biāo)5 HYPERLINK l _bookmark13 安全平臺安全功能要求5 HYPERLINK l _bookmark14 安全隔離6 HYPERLINK l _bookmark15 安全啟動6 HYPERLINK l _bookmark16 安全存儲6 HYPERLINK l _bookmark17 密碼算法和密鑰6 HYPERLINK l _bookmark18 固件版本控制7 HYPERLINK l _bookmark19 固件安全更新7 HYPERLINK l _bookmark20 安全生命周期7 HYPERLINK l _

4、bookmark21 綁定8 HYPERLINK l _bookmark22 遠(yuǎn)程驗證8 HYPERLINK l _bookmark23 附錄 A9 HYPERLINK l _bookmark24 附錄 B10前 言標(biāo)準(zhǔn)按照 GB/T-2009 給出的規(guī)則起草。本標(biāo)準(zhǔn)中的某些內(nèi)容可能涉及專利。本標(biāo)準(zhǔn)的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任。本標(biāo)準(zhǔn)由電信終端產(chǎn)業(yè)協(xié)會提出并歸口。本標(biāo)準(zhǔn)起草單位：中國信息通信研究院、安謀科技（中國）有限公司、中國東盟信息港股份有限公司、阿里巴巴(中國)有限公司、高通無線通信技術(shù)(中國)有限公司、北京百度網(wǎng)訊科技有限公司、北京豆莢科技有限公司。本標(biāo)準(zhǔn)主要起草人：魏凡星、路曄

5、綿、國煒、李煜光、張炳華、張曉楠、杜歡、沈偉、黃天寧、崔曉夏、王江勝、王海棠、楊子光、馮楊森。引言近年來, 物聯(lián)網(wǎng)的發(fā)展進(jìn)入萬物互聯(lián)的新時代，移動支付，共享單車，智能音箱等等，這些物聯(lián)網(wǎng)設(shè)備給現(xiàn)代生活帶來了便捷，但也面臨更多的安全威脅。針對種種安全威脅，涌現(xiàn)了不同的安全解決方案，如 TEE、SE 等?；诓煌奶幚砥骷軜?gòu)，業(yè)界也提出了不同的安全平臺框架，但對此沒有統(tǒng)一的標(biāo)準(zhǔn)?；谏鲜隹紤]，提出物聯(lián)網(wǎng)設(shè)備安全平臺技術(shù)要求和分級方法，規(guī)范物聯(lián)網(wǎng)設(shè)備的安全性要求，為國內(nèi)該領(lǐng)域的相關(guān)產(chǎn)品的測評提供依據(jù)，來促進(jìn)產(chǎn)業(yè)的健康穩(wěn)定發(fā)展。T/TAF 062-2020 PAGE 11物聯(lián)網(wǎng)設(shè)備安全平臺技術(shù)要求和分

6、級方法范圍本標(biāo)準(zhǔn)規(guī)定了物聯(lián)網(wǎng)設(shè)備安全平臺技術(shù)要求和分級方法，包括對安全目標(biāo)分析、安全威脅分析、安全功能要求及分級方法等。本標(biāo)準(zhǔn)適用于物聯(lián)網(wǎng)終端安全平臺。規(guī)范性引用文件下列文件對于本標(biāo)準(zhǔn)的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本標(biāo)準(zhǔn)。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本標(biāo)準(zhǔn)。下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件， 其最新版本（包括所有的修改單）適用于本文件。GB/T 25069-2010 信息安全技術(shù) 術(shù)語T/TAF 008-2017 移動終端安全環(huán)境安全評估內(nèi)容和方法術(shù)語

7、、定義和縮略語術(shù)語和定義3.1.1安全平臺 Secure Platform為物聯(lián)網(wǎng)設(shè)備提供安全服務(wù)的所有硬件、固件和軟件部分。3.1.2安全啟動 Secure Boot安全平臺在啟動過程中對將要執(zhí)行的軟件或固件進(jìn)行驗證，以確保只有合法代碼能夠在物聯(lián)網(wǎng)設(shè)備上運行。3.1.3安全存儲 Secure Storage為安全平臺資產(chǎn)提供存儲，以確保只有合法代碼能夠讀寫安全平臺資產(chǎn)。3.1.4固件 Firmware與設(shè)備硬件進(jìn)行交互的軟件。3.1.5防回滾 Rollback Protection防回滾機(jī)制保證設(shè)備只接受新版本的固件和數(shù)據(jù)，防止設(shè)備加載包含已知錯誤或漏洞的舊版本固件，防止設(shè)備加載非法數(shù)據(jù)。3

8、.1.6綁定 Binding數(shù)據(jù)的一種屬性，綁定到特定的設(shè)備。3.1.7遠(yuǎn)程驗證 Remote Attestation是軟件證明其身份的一種機(jī)制，目的是向遠(yuǎn)程實體證明其操作系統(tǒng)和應(yīng)用程序軟件的完整性和真實性。3.1.8信任根 Root of Trust包含硬件、代碼和數(shù)據(jù)，能夠驗證下個RoT 的完整性和真實性。3.1.9生命周期 Life Cycle生命周期用來標(biāo)識安全平臺在不同生命階段的狀態(tài)，包括開發(fā)、制造、使用、調(diào)試、直到終止使用。在不同的生命階段，安全平臺具有不同的安全屬性。3.1.10魯棒性 Robustness系統(tǒng)正確執(zhí)行以及處理意外終止和意外操作的能力?？s略語下列縮略語適用于本文件

9、：DDRDouble Data Rate雙倍速率HUKHardware Unique Key硬件唯一密鑰STSecurity Target安全目標(biāo)ROMRead Only Memory只讀存儲器SPSecure Platform安全平臺RoTRoot of Trust信任根FWFirmware固件SIMSubscriber Identity Modula用戶識別卡TEETrusted Execution Environment可信執(zhí)行環(huán)境TCMTPMTrusted Cryptography ModuleTrust Platform Module可信密碼模塊可信平臺模塊SESecure Elem

10、ent安全單元OTPOne Time Programmable一次性可編程安全平臺概述安全平臺范圍本標(biāo)準(zhǔn)所針對的范圍為給物聯(lián)網(wǎng)設(shè)備不可信環(huán)境提供基本安全服務(wù)的安全平臺。評估的范圍包括安全平臺用來提供安全服務(wù)的所有相關(guān)的硬件、固件和軟件部分。安全平臺邏輯框架圖 1 物聯(lián)網(wǎng)設(shè)備安全平臺邏輯框架物聯(lián)網(wǎng)設(shè)備安全平臺邏輯框架如圖 1，旨在抽離出安全平臺的邏輯架構(gòu)。邏輯架構(gòu)分為硬件層、系統(tǒng)層、和應(yīng)用層；圖 1 中不可信環(huán)境包括硬件、系統(tǒng)內(nèi)核、系統(tǒng)庫、應(yīng)用，不可信環(huán)境的安全要求不在本規(guī)范的范圍內(nèi)。安全平臺功能框架圖 2 物聯(lián)網(wǎng)設(shè)備安全平臺功能框架物聯(lián)網(wǎng)設(shè)備安全平臺功能框架如圖 2 所示，主要包括可信子系統(tǒng)、

11、不可變組件、可信系統(tǒng)組件、可信應(yīng)用組件四個部分。其中：可信子系統(tǒng)：通常是擁有獨立功能的子系統(tǒng)，例如 DDR 控制器、SIM、TPM/TCM 等，自身擁有獨立的信任根和安全生命周期，不能直接訪問不可變組件、可信系統(tǒng)組件和可信應(yīng)用組件的代碼和數(shù)據(jù)。子系統(tǒng)可依照相關(guān)標(biāo)準(zhǔn)單獨認(rèn)證；不可變組件：包含兩個部分，一部分是是不可更改的、與設(shè)備綁定的軟件資源；另一部分是防篡改的硬件。例如啟動代碼、設(shè)備標(biāo)識、HUK、OTP、Boot ROM、硬件隔離的存儲單元等；可信系統(tǒng)組件：是運行在硬件上的固件及服務(wù)，例如安全存儲、安全隔離、固件更新、遠(yuǎn)程驗證等安全服務(wù)；可信應(yīng)用組件：是運行在可信環(huán)境中，調(diào)用可信系統(tǒng)組件，實現(xiàn)

12、特定功能的一組應(yīng)用軟件。不可信應(yīng)用組件：是運行在不可信環(huán)境中的應(yīng)用軟件，通常包含第三方或開源的庫，不能直接訪問可信應(yīng)用組件的資源，也不能直接訪問不可變組件和可信系統(tǒng)組件的資源。其安全要求不在本規(guī)范的范圍內(nèi)。安全平臺的資產(chǎn)HUK 的保密性、完整性和可用性；公共密鑰的完整性和可用性；對稱密鑰和私鑰的保密性、完整性和可用性。啟動代碼和其數(shù)據(jù)的完整性和可靠性。存儲的保密性、可靠性、一致性、原子性，存儲的權(quán)限管理。存儲密鑰生成機(jī)制及密鑰的保密性、完整性和原子性。固件代碼的可靠性、一致性和完整性?？尚畔到y(tǒng)組件運行時數(shù)據(jù)的完整性。不可變組件持久化數(shù)據(jù)的完整性，保密性，與設(shè)備綁定。可信應(yīng)用組件代碼的可靠性和一

13、致性?？尚艖?yīng)用組件的數(shù)據(jù)和密鑰與設(shè)備綁定，其數(shù)據(jù)和密鑰保密性、原子性、一致性。生命周期狀態(tài)的真實性和完整性。隨機(jī)數(shù)的隨機(jī)性，滿足一定的熵值。設(shè)備標(biāo)識的唯一性和不可篡改。安全目標(biāo)物聯(lián)網(wǎng)設(shè)備安全平臺的安全目標(biāo)是其具有的安全功能可以防御附錄 B 中描述的安全威脅，保證安全平臺資產(chǎn)不被非法獲取。物聯(lián)網(wǎng)設(shè)備安全平臺的安全目標(biāo)包括：防止攻擊者在安全平臺中加載和執(zhí)行非法代碼并破壞安全平臺資產(chǎn)；防止攻擊者繞過更新機(jī)制篡改或安裝舊版本的固件；防止攻擊者通過利用加密算法的漏洞、輸入格式錯誤的參數(shù)、繞過生命周期檢查、非法訪問調(diào)試接口等方法篡改安全平臺的資產(chǎn)；防止遠(yuǎn)程平臺把非法的設(shè)備識別為合法設(shè)備。安全平臺安全功能要

14、求根據(jù)不同的安全平臺使用的場景和其所支持的安全能力的程度，將安全平臺安全的安全技術(shù)能力劃分為三個級別，每一級別定義了安全平臺在相應(yīng)等級對應(yīng)的安全能力的最小集合，具體的要求見 7.1 到7.9 節(jié)。安全隔離一級安全功能要求：安全平臺應(yīng)與不可信應(yīng)用組件隔離，不可信應(yīng)用組件無法直接訪問安全平臺的資源；如果不可信應(yīng)用組件和安全平臺有共享資源時，不可信應(yīng)用組件訪問共享資源時應(yīng)有權(quán)限訪問控制機(jī)制。二級安全功能要求：可信應(yīng)用組件應(yīng)與可信系統(tǒng)組件和不可變組件隔離，可信系統(tǒng)組件應(yīng)有訪問控制機(jī)制，可信應(yīng)用組件需要通過可信系統(tǒng)組件提供的訪問控制來訪問可信系統(tǒng)組件和不可變組件的資源；應(yīng)保證可信應(yīng)用組件與可信系統(tǒng)組件之

15、間通信的安全性和魯棒性。三級安全功能要求：可信應(yīng)用組件間應(yīng)隔離，每個可信應(yīng)用組件只允許訪問自己的資源；應(yīng)保證可信應(yīng)用組件之間通信的安全性和魯棒性。安全啟動一級安全功能要求：應(yīng)從不可變代碼執(zhí)行啟動。二級安全功能要求：應(yīng)有對可信系統(tǒng)組件、可信應(yīng)用組件或其他安全子系統(tǒng)的簽名驗證機(jī)制和完整性保護(hù)機(jī)制； 三級安全功能要求：應(yīng)在引導(dǎo)時，計算和驗證所有可更新的可信系統(tǒng)組件和可信應(yīng)用組件并記錄其引導(dǎo)狀態(tài)。安全存儲一級安全功能要求：應(yīng)有安全平臺資產(chǎn)存儲的保密性和完整性保護(hù)。二級安全功能要求：安全存儲應(yīng)與安全平臺綁定，只有當(dāng)前安全平臺才能從安全存儲中訪問和修改資產(chǎn)；當(dāng)安全平臺執(zhí)行完安全存儲后，安全平臺的RAM 中

16、不應(yīng)保存處理過的數(shù)據(jù)。三級安全功能要求：安全存儲應(yīng)具備數(shù)據(jù)防恢復(fù)機(jī)制，防止新數(shù)據(jù)被舊數(shù)據(jù)覆蓋。密碼算法和密鑰一級安全功能要求：應(yīng)使用符合國家有關(guān)法規(guī)規(guī)定的加解密算法為安全平臺提供服務(wù)；密鑰在生成、存儲和使用過程中應(yīng)保證其不被泄露； 二級安全功能要求：HUK 若需存儲，則存儲在不可篡改區(qū)域。隨機(jī)數(shù)發(fā)生器產(chǎn)生的隨機(jī)數(shù)應(yīng)滿足一定的熵，并符合國家有關(guān)法規(guī)規(guī)定。三級安全功能要求：安全平臺應(yīng)使用真隨機(jī)數(shù)發(fā)生器，應(yīng)具備防干擾的安全機(jī)制，防止攻擊者預(yù)測出隨機(jī)數(shù)。安全平臺應(yīng)提供防物理攻擊的安全機(jī)制，物理攻擊包括但不限于側(cè)信道攻擊、故障注入攻擊、侵入式攻擊。固件版本控制一級安全功能要求：固件應(yīng)擁有版本標(biāo)識，實現(xiàn)版

17、本控制；固件版本控制應(yīng)支持防回滾；固件安全更新一級安全功能要求：當(dāng)固件本地更新或者遠(yuǎn)程更新時，應(yīng)在更新安裝之前驗證其完整性和可靠性，若更新失敗則繼續(xù)運行更新之前的版本。安全生命周期一級安全功能要求：安全平臺在使用階段應(yīng)禁用調(diào)試端口或提供進(jìn)入安全調(diào)試模式的訪問控制機(jī)制。安全平臺進(jìn)入調(diào)試模式時，應(yīng)禁止不可信應(yīng)用組件訪問安全平臺資產(chǎn)。注：安全平臺的開發(fā)和制造階段的安全性不在本標(biāo)準(zhǔn)的范圍內(nèi)。二級安全功能要求：安全平臺進(jìn)入異常狀態(tài)時，應(yīng)擦除所有運行時的安全平臺資產(chǎn)，防止資產(chǎn)泄露。三級安全功能要求：如果可信應(yīng)用組件是動態(tài)加載的，安全平臺應(yīng)驗證其完整性和可靠性。安全平臺進(jìn)入終止?fàn)顟B(tài)時，應(yīng)擦除所有安全平臺的資

18、產(chǎn)，防止資產(chǎn)泄露。綁定二級安全功能要求：可信系統(tǒng)組件所使用的密鑰應(yīng)與設(shè)備綁定，可從 HUK 派生。三級安全功能要求：安全平臺應(yīng)向可信應(yīng)用組件提供密鑰和其他敏感信息與設(shè)備的綁定服務(wù)。遠(yuǎn)程驗證二級安全功能要求：安全平臺應(yīng)提供初始證明服務(wù), 負(fù)責(zé)上報設(shè)備的標(biāo)識、固件驗證結(jié)果和設(shè)備的運行時狀態(tài)，由遠(yuǎn)程實體進(jìn)行驗證；安全平臺在出廠前應(yīng)內(nèi)置用于遠(yuǎn)程驗證的密鑰和設(shè)備標(biāo)識，并存儲在不可變硬件中。引導(dǎo)程序應(yīng)對可信子模塊的引導(dǎo)狀態(tài)進(jìn)行完整性校驗，并將結(jié)果包含在初始證明中。三級安全功能要求：安全平臺應(yīng)提供運行時證明服務(wù), 負(fù)責(zé)上報安全平臺的標(biāo)識和安全平臺的運行時狀態(tài)，由遠(yuǎn)程實體進(jìn)行驗證。附錄 A修訂時間修訂后版本號修訂內(nèi)容2019 年 3 月草稿全文格式2019 年 7 月征求意見稿全文格式2019 年 12 月征求意見稿全文格式2020 年 4 月送審稿全文格式（規(guī)范性附錄） 標(biāo)準(zhǔn)修訂歷史附