TTAF 062-2020 物聯(lián)網(wǎng)設備安全平臺技術要求和分級方法

1、ICS 33.050M 30團 體 標 準T/TAF 062-2020物聯(lián)網(wǎng)設備安全平臺技術要求和分級方法Technical Requirements and Classification Guideline for Security Platform of IoT Devices2020 - 08 - 03 發(fā)布2020- 08 - 03 實施電信終端產(chǎn)業(yè)協(xié)會 發(fā)布T/TAF 062-2020 PAGE * ROMAN III目次 HYPERLINK l _bookmark0 目次I HYPERLINK l _bookmark1 前 言II HYPERLINK l _bookmark2 引言

2、III HYPERLINK l _bookmark3 物聯(lián)網(wǎng)設備安全平臺技術要求和分級方法1 HYPERLINK l _bookmark4 范圍1 HYPERLINK l _bookmark5 規(guī)范性引用文件1 HYPERLINK l _bookmark6 術語、定義和縮略語1 HYPERLINK l _bookmark7 安全平臺概述3 HYPERLINK l _bookmark8 安全平臺范圍3 HYPERLINK l _bookmark9 安全平臺邏輯框架3 HYPERLINK l _bookmark10 安全平臺功能框架3 HYPERLINK l _bookmark11 安全平臺的資產(chǎn)

3、4 HYPERLINK l _bookmark12 安全目標5 HYPERLINK l _bookmark13 安全平臺安全功能要求5 HYPERLINK l _bookmark14 安全隔離6 HYPERLINK l _bookmark15 安全啟動6 HYPERLINK l _bookmark16 安全存儲6 HYPERLINK l _bookmark17 密碼算法和密鑰6 HYPERLINK l _bookmark18 固件版本控制7 HYPERLINK l _bookmark19 固件安全更新7 HYPERLINK l _bookmark20 安全生命周期7 HYPERLINK l _

4、bookmark21 綁定8 HYPERLINK l _bookmark22 遠程驗證8 HYPERLINK l _bookmark23 附錄 A9 HYPERLINK l _bookmark24 附錄 B10前 言標準按照 GB/T-2009 給出的規(guī)則起草。本標準中的某些內(nèi)容可能涉及專利。本標準的發(fā)布機構不承擔識別這些專利的責任。本標準由電信終端產(chǎn)業(yè)協(xié)會提出并歸口。本標準起草單位：中國信息通信研究院、安謀科技（中國）有限公司、中國東盟信息港股份有限公司、阿里巴巴(中國)有限公司、高通無線通信技術(中國)有限公司、北京百度網(wǎng)訊科技有限公司、北京豆莢科技有限公司。本標準主要起草人：魏凡星、路曄

5、綿、國煒、李煜光、張炳華、張曉楠、杜歡、沈偉、黃天寧、崔曉夏、王江勝、王海棠、楊子光、馮楊森。引言近年來, 物聯(lián)網(wǎng)的發(fā)展進入萬物互聯(lián)的新時代，移動支付，共享單車，智能音箱等等，這些物聯(lián)網(wǎng)設備給現(xiàn)代生活帶來了便捷，但也面臨更多的安全威脅。針對種種安全威脅，涌現(xiàn)了不同的安全解決方案，如 TEE、SE 等。基于不同的處理器架構，業(yè)界也提出了不同的安全平臺框架，但對此沒有統(tǒng)一的標準?；谏鲜隹紤]，提出物聯(lián)網(wǎng)設備安全平臺技術要求和分級方法，規(guī)范物聯(lián)網(wǎng)設備的安全性要求，為國內(nèi)該領域的相關產(chǎn)品的測評提供依據(jù)，來促進產(chǎn)業(yè)的健康穩(wěn)定發(fā)展。T/TAF 062-2020 PAGE 11物聯(lián)網(wǎng)設備安全平臺技術要求和分

6、級方法范圍本標準規(guī)定了物聯(lián)網(wǎng)設備安全平臺技術要求和分級方法，包括對安全目標分析、安全威脅分析、安全功能要求及分級方法等。本標準適用于物聯(lián)網(wǎng)終端安全平臺。規(guī)范性引用文件下列文件對于本標準的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本標準。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本標準。下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件， 其最新版本（包括所有的修改單）適用于本文件。GB/T 25069-2010 信息安全技術 術語T/TAF 008-2017 移動終端安全環(huán)境安全評估內(nèi)容和方法術語

7、、定義和縮略語術語和定義3.1.1安全平臺 Secure Platform為物聯(lián)網(wǎng)設備提供安全服務的所有硬件、固件和軟件部分。3.1.2安全啟動 Secure Boot安全平臺在啟動過程中對將要執(zhí)行的軟件或固件進行驗證，以確保只有合法代碼能夠在物聯(lián)網(wǎng)設備上運行。3.1.3安全存儲 Secure Storage為安全平臺資產(chǎn)提供存儲，以確保只有合法代碼能夠讀寫安全平臺資產(chǎn)。3.1.4固件 Firmware與設備硬件進行交互的軟件。3.1.5防回滾 Rollback Protection防回滾機制保證設備只接受新版本的固件和數(shù)據(jù)，防止設備加載包含已知錯誤或漏洞的舊版本固件，防止設備加載非法數(shù)據(jù)。3

8、.1.6綁定 Binding數(shù)據(jù)的一種屬性，綁定到特定的設備。3.1.7遠程驗證 Remote Attestation是軟件證明其身份的一種機制，目的是向遠程實體證明其操作系統(tǒng)和應用程序軟件的完整性和真實性。3.1.8信任根 Root of Trust包含硬件、代碼和數(shù)據(jù)，能夠驗證下個RoT 的完整性和真實性。3.1.9生命周期 Life Cycle生命周期用來標識安全平臺在不同生命階段的狀態(tài)，包括開發(fā)、制造、使用、調(diào)試、直到終止使用。在不同的生命階段，安全平臺具有不同的安全屬性。3.1.10魯棒性 Robustness系統(tǒng)正確執(zhí)行以及處理意外終止和意外操作的能力?？s略語下列縮略語適用于本文件

9、：DDRDouble Data Rate雙倍速率HUKHardware Unique Key硬件唯一密鑰STSecurity Target安全目標ROMRead Only Memory只讀存儲器SPSecure Platform安全平臺RoTRoot of Trust信任根FWFirmware固件SIMSubscriber Identity Modula用戶識別卡TEETrusted Execution Environment可信執(zhí)行環(huán)境TCMTPMTrusted Cryptography ModuleTrust Platform Module可信密碼模塊可信平臺模塊SESecure Elem

10、ent安全單元OTPOne Time Programmable一次性可編程安全平臺概述安全平臺范圍本標準所針對的范圍為給物聯(lián)網(wǎng)設備不可信環(huán)境提供基本安全服務的安全平臺。評估的范圍包括安全平臺用來提供安全服務的所有相關的硬件、固件和軟件部分。安全平臺邏輯框架圖 1 物聯(lián)網(wǎng)設備安全平臺邏輯框架物聯(lián)網(wǎng)設備安全平臺邏輯框架如圖 1，旨在抽離出安全平臺的邏輯架構。邏輯架構分為硬件層、系統(tǒng)層、和應用層；圖 1 中不可信環(huán)境包括硬件、系統(tǒng)內(nèi)核、系統(tǒng)庫、應用，不可信環(huán)境的安全要求不在本規(guī)范的范圍內(nèi)。安全平臺功能框架圖 2 物聯(lián)網(wǎng)設備安全平臺功能框架物聯(lián)網(wǎng)設備安全平臺功能框架如圖 2 所示，主要包括可信子系統(tǒng)、

11、不可變組件、可信系統(tǒng)組件、可信應用組件四個部分。其中：可信子系統(tǒng)：通常是擁有獨立功能的子系統(tǒng)，例如 DDR 控制器、SIM、TPM/TCM 等，自身擁有獨立的信任根和安全生命周期，不能直接訪問不可變組件、可信系統(tǒng)組件和可信應用組件的代碼和數(shù)據(jù)。子系統(tǒng)可依照相關標準單獨認證；不可變組件：包含兩個部分，一部分是是不可更改的、與設備綁定的軟件資源；另一部分是防篡改的硬件。例如啟動代碼、設備標識、HUK、OTP、Boot ROM、硬件隔離的存儲單元等；可信系統(tǒng)組件：是運行在硬件上的固件及服務，例如安全存儲、安全隔離、固件更新、遠程驗證等安全服務；可信應用組件：是運行在可信環(huán)境中，調(diào)用可信系統(tǒng)組件，實現(xiàn)

12、特定功能的一組應用軟件。不可信應用組件：是運行在不可信環(huán)境中的應用軟件，通常包含第三方或開源的庫，不能直接訪問可信應用組件的資源，也不能直接訪問不可變組件和可信系統(tǒng)組件的資源。其安全要求不在本規(guī)范的范圍內(nèi)。安全平臺的資產(chǎn)HUK 的保密性、完整性和可用性；公共密鑰的完整性和可用性；對稱密鑰和私鑰的保密性、完整性和可用性。啟動代碼和其數(shù)據(jù)的完整性和可靠性。存儲的保密性、可靠性、一致性、原子性，存儲的權限管理。存儲密鑰生成機制及密鑰的保密性、完整性和原子性。固件代碼的可靠性、一致性和完整性?？尚畔到y(tǒng)組件運行時數(shù)據(jù)的完整性。不可變組件持久化數(shù)據(jù)的完整性，保密性，與設備綁定?？尚艖媒M件代碼的可靠性和一

13、致性?？尚艖媒M件的數(shù)據(jù)和密鑰與設備綁定，其數(shù)據(jù)和密鑰保密性、原子性、一致性。生命周期狀態(tài)的真實性和完整性。隨機數(shù)的隨機性，滿足一定的熵值。設備標識的唯一性和不可篡改。安全目標物聯(lián)網(wǎng)設備安全平臺的安全目標是其具有的安全功能可以防御附錄 B 中描述的安全威脅，保證安全平臺資產(chǎn)不被非法獲取。物聯(lián)網(wǎng)設備安全平臺的安全目標包括：防止攻擊者在安全平臺中加載和執(zhí)行非法代碼并破壞安全平臺資產(chǎn)；防止攻擊者繞過更新機制篡改或安裝舊版本的固件；防止攻擊者通過利用加密算法的漏洞、輸入格式錯誤的參數(shù)、繞過生命周期檢查、非法訪問調(diào)試接口等方法篡改安全平臺的資產(chǎn)；防止遠程平臺把非法的設備識別為合法設備。安全平臺安全功能要

14、求根據(jù)不同的安全平臺使用的場景和其所支持的安全能力的程度，將安全平臺安全的安全技術能力劃分為三個級別，每一級別定義了安全平臺在相應等級對應的安全能力的最小集合，具體的要求見 7.1 到7.9 節(jié)。安全隔離一級安全功能要求：安全平臺應與不可信應用組件隔離，不可信應用組件無法直接訪問安全平臺的資源；如果不可信應用組件和安全平臺有共享資源時，不可信應用組件訪問共享資源時應有權限訪問控制機制。二級安全功能要求：可信應用組件應與可信系統(tǒng)組件和不可變組件隔離，可信系統(tǒng)組件應有訪問控制機制，可信應用組件需要通過可信系統(tǒng)組件提供的訪問控制來訪問可信系統(tǒng)組件和不可變組件的資源；應保證可信應用組件與可信系統(tǒng)組件之

15、間通信的安全性和魯棒性。三級安全功能要求：可信應用組件間應隔離，每個可信應用組件只允許訪問自己的資源；應保證可信應用組件之間通信的安全性和魯棒性。安全啟動一級安全功能要求：應從不可變代碼執(zhí)行啟動。二級安全功能要求：應有對可信系統(tǒng)組件、可信應用組件或其他安全子系統(tǒng)的簽名驗證機制和完整性保護機制； 三級安全功能要求：應在引導時，計算和驗證所有可更新的可信系統(tǒng)組件和可信應用組件并記錄其引導狀態(tài)。安全存儲一級安全功能要求：應有安全平臺資產(chǎn)存儲的保密性和完整性保護。二級安全功能要求：安全存儲應與安全平臺綁定，只有當前安全平臺才能從安全存儲中訪問和修改資產(chǎn)；當安全平臺執(zhí)行完安全存儲后，安全平臺的RAM 中

16、不應保存處理過的數(shù)據(jù)。三級安全功能要求：安全存儲應具備數(shù)據(jù)防恢復機制，防止新數(shù)據(jù)被舊數(shù)據(jù)覆蓋。密碼算法和密鑰一級安全功能要求：應使用符合國家有關法規(guī)規(guī)定的加解密算法為安全平臺提供服務；密鑰在生成、存儲和使用過程中應保證其不被泄露； 二級安全功能要求：HUK 若需存儲，則存儲在不可篡改區(qū)域。隨機數(shù)發(fā)生器產(chǎn)生的隨機數(shù)應滿足一定的熵，并符合國家有關法規(guī)規(guī)定。三級安全功能要求：安全平臺應使用真隨機數(shù)發(fā)生器，應具備防干擾的安全機制，防止攻擊者預測出隨機數(shù)。安全平臺應提供防物理攻擊的安全機制，物理攻擊包括但不限于側信道攻擊、故障注入攻擊、侵入式攻擊。固件版本控制一級安全功能要求：固件應擁有版本標識，實現(xiàn)版

17、本控制；固件版本控制應支持防回滾；固件安全更新一級安全功能要求：當固件本地更新或者遠程更新時，應在更新安裝之前驗證其完整性和可靠性，若更新失敗則繼續(xù)運行更新之前的版本。安全生命周期一級安全功能要求：安全平臺在使用階段應禁用調(diào)試端口或提供進入安全調(diào)試模式的訪問控制機制。安全平臺進入調(diào)試模式時，應禁止不可信應用組件訪問安全平臺資產(chǎn)。注：安全平臺的開發(fā)和制造階段的安全性不在本標準的范圍內(nèi)。二級安全功能要求：安全平臺進入異常狀態(tài)時，應擦除所有運行時的安全平臺資產(chǎn)，防止資產(chǎn)泄露。三級安全功能要求：如果可信應用組件是動態(tài)加載的，安全平臺應驗證其完整性和可靠性。安全平臺進入終止狀態(tài)時，應擦除所有安全平臺的資

18、產(chǎn)，防止資產(chǎn)泄露。綁定二級安全功能要求：可信系統(tǒng)組件所使用的密鑰應與設備綁定，可從 HUK 派生。三級安全功能要求：安全平臺應向可信應用組件提供密鑰和其他敏感信息與設備的綁定服務。遠程驗證二級安全功能要求：安全平臺應提供初始證明服務, 負責上報設備的標識、固件驗證結果和設備的運行時狀態(tài)，由遠程實體進行驗證；安全平臺在出廠前應內(nèi)置用于遠程驗證的密鑰和設備標識，并存儲在不可變硬件中。引導程序應對可信子模塊的引導狀態(tài)進行完整性校驗，并將結果包含在初始證明中。三級安全功能要求：安全平臺應提供運行時證明服務, 負責上報安全平臺的標識和安全平臺的運行時狀態(tài)，由遠程實體進行驗證。附錄 A修訂時間修訂后版本號修訂內(nèi)容2019 年 3 月草稿全文格式2019 年 7 月征求意見稿全文格式2019 年 12 月征求意見稿全文格式2020 年 4 月送審稿全文格式（規(guī)范性附錄） 標準修訂歷史附