《信息安全技術(shù)智能聯(lián)網(wǎng)設(shè)備口令保護(hù)指南》_第1頁(yè)
《信息安全技術(shù)智能聯(lián)網(wǎng)設(shè)備口令保護(hù)指南》_第2頁(yè)
《信息安全技術(shù)智能聯(lián)網(wǎng)設(shè)備口令保護(hù)指南》_第3頁(yè)
《信息安全技術(shù)智能聯(lián)網(wǎng)設(shè)備口令保護(hù)指南》_第4頁(yè)
《信息安全技術(shù)智能聯(lián)網(wǎng)設(shè)備口令保護(hù)指南》_第5頁(yè)
已閱讀5頁(yè),還剩4頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

GB/TXXXXX—XXXX

信息安全技術(shù)智能聯(lián)網(wǎng)設(shè)備口令保護(hù)指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了智能聯(lián)網(wǎng)設(shè)備的帳號(hào)和口令在生成、管理和使用等方面的安全技術(shù)要求。

本標(biāo)準(zhǔn)適用于指導(dǎo)智能聯(lián)網(wǎng)設(shè)備生產(chǎn)制造商安全設(shè)計(jì)和實(shí)現(xiàn)口令保護(hù)功能,也可作為智能聯(lián)網(wǎng)設(shè)備

的口令安全使用、監(jiān)督、檢查和指導(dǎo)的依據(jù)。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅所注日期的版本適用于本文

件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。

GB/T25069信息安全技術(shù)術(shù)語(yǔ)

3術(shù)語(yǔ)和定義

GB/T25069中界定的及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

智能聯(lián)網(wǎng)設(shè)備IntelligentConnectedDevice

具有接入網(wǎng)絡(luò)進(jìn)行通信的能力,并且具有數(shù)據(jù)采集,數(shù)據(jù)存儲(chǔ)或數(shù)據(jù)處理能力的設(shè)備。

注:本標(biāo)準(zhǔn)中的智能聯(lián)網(wǎng)設(shè)備主要是指物聯(lián)網(wǎng)中的端設(shè)備,包括網(wǎng)絡(luò)攝像頭、智能家電、網(wǎng)絡(luò)機(jī)頂盒、智能投影儀、

家用路由器、智能音箱等,不包括計(jì)算機(jī)、手機(jī)等通用計(jì)算設(shè)備。

3.2

弱秘密WeakSecret

一種能夠方便地讓人記住的秘密值,這意味著該秘密值的熵是局限的,有可能通過(guò)給定的正確猜想

和不正確猜想的知識(shí),猜到此秘密值。

3.3

口令Password

用于身份鑒別的秘密的字、短語(yǔ)、數(shù)或字符序列,通常是被默記的弱秘密。

3.4

弱口令WeakPassword

容易被別人猜測(cè)或被破解工具破解的口令。

3.5

默認(rèn)口令DefaultPassword

1

GB/TXXXXX—XXXX

設(shè)備出廠時(shí)廠商預(yù)置于設(shè)備中,用于在初始設(shè)置或恢復(fù)默認(rèn)設(shè)置狀態(tài)下訪問(wèn)設(shè)備的口令。

3.6

隨機(jī)性Randomness

具有某一概率的事件集合中各個(gè)事件所表現(xiàn)出來(lái)的不可預(yù)測(cè)性。

3.7

帳號(hào)Account

在特定上下文中,可以唯一標(biāo)識(shí)主體身份的一段信息,也稱為用戶名。

3.8

人機(jī)帳號(hào)Human-ComputerAccount

指人和智能聯(lián)網(wǎng)設(shè)備之間進(jìn)行標(biāo)識(shí)人的身份的帳號(hào)。

3.9

機(jī)機(jī)帳號(hào)Computer-ComputerAccount

智能聯(lián)網(wǎng)設(shè)備與設(shè)備之間、設(shè)備與平臺(tái)之間等進(jìn)行標(biāo)識(shí)機(jī)器或系統(tǒng)身份的帳號(hào)。

4概述

由于物聯(lián)網(wǎng)等云平臺(tái)特點(diǎn)和智能聯(lián)網(wǎng)設(shè)備的處理能力的不同,口令鑒別的實(shí)現(xiàn)方式可以分為兩種情

況:

第一種情況,口令鑒別過(guò)程在智能聯(lián)網(wǎng)設(shè)備中進(jìn)行。

第二種情況,口令鑒別的過(guò)程通過(guò)平臺(tái)進(jìn)行,如客戶端通過(guò)云平臺(tái)進(jìn)行用戶口令鑒別。詳細(xì)情況參

見(jiàn)附錄A。

第二種情況在本質(zhì)上是平臺(tái)代替智能聯(lián)網(wǎng)設(shè)備執(zhí)行了口令鑒別。因此,本標(biāo)準(zhǔn)中對(duì)于帳號(hào)和口令的

安全技術(shù)要求在兩種情況下都適用。

口令作為鑒別憑證一般與作為用戶身份標(biāo)識(shí)的帳號(hào)相關(guān)聯(lián),為了安全的需要,帳號(hào)需要遵循一定的

規(guī)則,帳號(hào)的一些關(guān)鍵屬性也需要進(jìn)行限制,帳號(hào)的安全是口令保護(hù)中非常重要的一個(gè)環(huán)節(jié)。本標(biāo)準(zhǔn)從

帳號(hào)安全和口令安全兩個(gè)方面來(lái)提出保護(hù)的規(guī)則和要求,并且提出用戶安全的使用和管理帳號(hào)口令的指

導(dǎo)。

5帳號(hào)安全要求

5.1帳號(hào)生成

帳號(hào)生成要求如下:

a)設(shè)備中帳號(hào)應(yīng)具有唯一性;

b)在新建或修改帳號(hào)時(shí),應(yīng)提供命名規(guī)則檢查功能。

5.2帳號(hào)使用

帳號(hào)使用要求如下:

a)所有帳號(hào)都應(yīng)公開(kāi);

2

GB/TXXXXX—XXXX

b)應(yīng)禁用或刪除第三方或開(kāi)源軟件中不使用的默認(rèn)帳號(hào)。

5.3帳號(hào)管理

帳號(hào)管理要求如下:

a)應(yīng)為管理員提供帳號(hào)添加、刪除、修改、查詢等功能;

b)應(yīng)提供可配置的帳號(hào)鎖定策略。如帳號(hào)到期鎖定,連續(xù)多次輸入錯(cuò)誤口令鎖定帳號(hào)等;

c)所有帳號(hào)都應(yīng)被設(shè)備管理員管理。

5.4日志要求

全部用戶對(duì)帳號(hào)的所有操作均應(yīng)記錄日志,日志內(nèi)容應(yīng)包括用戶ID、操作內(nèi)容、IP地址、時(shí)間、操

作結(jié)果等信息。

6口令安全要求

6.1口令生成

口令生成要求如下:

a)應(yīng)支持可擴(kuò)展的口令復(fù)雜度策略。基本策略內(nèi)容如下:

1)用戶設(shè)置的口令長(zhǎng)度不少于8個(gè)字符,設(shè)備自動(dòng)生成的隨機(jī)口令長(zhǎng)度不少于6個(gè)字符;

2)口令允許的最大長(zhǎng)度不少于64個(gè)字符;

3)口令應(yīng)至少包含數(shù)字、小寫(xiě)字母、大寫(xiě)字母以及特殊字符中的兩類字符。

b)自動(dòng)生成的口令應(yīng)具有隨機(jī)性;

c)對(duì)于出廠時(shí)采用激活機(jī)制的智能聯(lián)網(wǎng)設(shè)備,用戶第一次訪問(wèn)設(shè)備時(shí),通過(guò)為設(shè)備設(shè)置管理員口

令來(lái)激活設(shè)備,未激活的設(shè)備應(yīng)拒絕除激活以外的其它操作;

d)對(duì)于出廠時(shí)采用默認(rèn)口令的智能聯(lián)網(wǎng)設(shè)備,應(yīng)為每個(gè)設(shè)備帳號(hào)隨機(jī)生成默認(rèn)口令,每次登錄時(shí)

應(yīng)提醒用戶修改口令,直到修改默認(rèn)口令為止。

6.2口令使用

口令使用要求如下:

a)口令傳輸應(yīng)采用安全傳輸通道或者加密后傳輸;

b)應(yīng)默認(rèn)對(duì)輸入框中的口令進(jìn)行掩蓋顯示;

c)應(yīng)禁止口令從輸入框中復(fù)制的功能;

d)用戶登錄成功后無(wú)法查看自己的口令;

e)對(duì)口令的鑒別過(guò)程應(yīng)具備防暴力破解功能,如錯(cuò)誤登錄嘗試超過(guò)設(shè)定次數(shù)后鎖定操作帳號(hào)或者

操作IP一段時(shí)間。

6.3口令管理

口令管理要求如下:

a)所有口令都應(yīng)可修改,如應(yīng)禁止使用硬編碼口令等;

b)用戶修改口令前,應(yīng)提供驗(yàn)證舊口令以及對(duì)新口令再次確認(rèn)的功能;

c)存儲(chǔ)口令時(shí)應(yīng)加密,加密算法按照國(guó)家有關(guān)規(guī)定執(zhí)行;

d)存儲(chǔ)的口令應(yīng)具有防破解機(jī)制,如加鹽等;

e)應(yīng)使用操作系統(tǒng)的訪問(wèn)控制功能限制對(duì)口令文件的訪問(wèn);

3

GB/TXXXXX—XXXX

f)應(yīng)防止口令存儲(chǔ)文件被篡改;

g)應(yīng)提供在忘記帳號(hào)或者口令的情況下,通過(guò)物理按鍵或者其它的安全方式將設(shè)備恢復(fù)到出廠狀

態(tài)的功能;

h)口令復(fù)雜度策略應(yīng)可配置,應(yīng)支持管理員根據(jù)應(yīng)用場(chǎng)景配置強(qiáng)化的口令復(fù)雜度策略;

i)應(yīng)具備顯示口令安全強(qiáng)度的能力。

6.4日志要求

全部用戶對(duì)口令的所有操作均應(yīng)記錄日志,日志內(nèi)容應(yīng)包括用戶ID、操作內(nèi)容、IP地址、時(shí)間、操

作結(jié)果等信息。

7用戶安全要求

用戶使用和管理帳號(hào)、口令的安全要求如下:

a)用戶應(yīng)修改設(shè)備的默認(rèn)口令;

b)用戶應(yīng)為不同的設(shè)備設(shè)置不同的口令;

c)用戶不應(yīng)使用過(guò)去曾被泄露的口令;

d)用戶不應(yīng)使用弱口令,常見(jiàn)的弱口令包括但不限于:

1)不符合復(fù)雜度策略的口令;

2)字典中的單詞;

3)重復(fù)或順序的字符(如:“aaaaaaaa”,“1234abcd”);

4)上下文相關(guān)的字眼,如服務(wù)名稱、用戶名或其派生物。

e)用戶應(yīng)妥善保管所使用的帳號(hào)和口令;

f)用戶不應(yīng)明文存儲(chǔ)、傳輸口令;

g)用戶應(yīng)定期對(duì)口令進(jìn)行修改;

h)當(dāng)有跡象足以顯示賬號(hào)口令可能遭破解時(shí),應(yīng)立即更改口令,并以安全事件方式及時(shí)上報(bào);

i)設(shè)備人機(jī)帳號(hào)、機(jī)機(jī)帳號(hào)應(yīng)采用不同的帳號(hào)。

4

GB/TXXXXX—XXXX

A

附錄A

附錄B(資料性附錄)

附錄C云平臺(tái)口令鑒別

云平臺(tái)的典型部署模式如下圖所示:

圖A.1云平臺(tái)部署圖

在這種模式下口令鑒別在客戶端和云平臺(tái)之間完成,云平臺(tái)和智能聯(lián)網(wǎng)設(shè)備通過(guò)自定義的安全協(xié)議

進(jìn)行認(rèn)證,如基于數(shù)字證書(shū)的機(jī)機(jī)賬號(hào)認(rèn)證等,并且通過(guò)設(shè)備的唯一標(biāo)識(shí)與客戶端登錄的賬號(hào)進(jìn)行綁定。

在通過(guò)口令鑒別后,客戶端和智能聯(lián)網(wǎng)設(shè)備之間的通信可以采用以下兩種方式:

a)客戶端和智能聯(lián)網(wǎng)設(shè)備之間的通信由平臺(tái)轉(zhuǎn)發(fā);

b)平臺(tái)建立一條客戶端和智能聯(lián)網(wǎng)設(shè)備之間的直接的路由。

5

GB/TXXXXX—XXXX

參?考?文?獻(xiàn)

[1]GB/T33474—2016物聯(lián)網(wǎng)參考體系結(jié)構(gòu)

[2]GB/T33745—2017物聯(lián)網(wǎng)術(shù)語(yǔ)

[3]工業(yè)和信息化部電信研究院,物聯(lián)網(wǎng)白皮書(shū)(2011年),2011年5月

[4]ISO/IEC20180:2012Telecommunicationsandinformationexchangebetweensystems—Security

frameworkforubiquitoussensornetworks

[5]IEC62443-1-1:2009Industrialcommunicationnetworks—Networkandsystemsecurity—Part1-1

Terminology,conceptsandmodels

[6]ITU-TY.2060:OverviewoftheInternetofthings

[7]NISTSpecialPublication800-63B,DigitalIdentityGuidelines:AuthenticationandLifecycle

Management,June2017

_________________________________

6

ICS35.040

L80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

信息安全技術(shù)智能聯(lián)網(wǎng)設(shè)備口令保護(hù)指南

InformationsecurityTechnology—GuidelineofpasswordprotectionforIntelligent

connecteddevice

點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí)

(工作組討論稿)

-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/TXXXXX—XXXX

A

附錄A

附錄B(資料性附錄)

附錄C云平臺(tái)口令鑒別

云平臺(tái)的典型部署模式如下圖所示:

圖A.1云平臺(tái)部署圖

在這種模式下口令鑒別在客戶端和云平臺(tái)之間完成,云平臺(tái)和智能聯(lián)網(wǎng)設(shè)備通過(guò)自定義的安全協(xié)議

進(jìn)行認(rèn)證,如基于數(shù)字證書(shū)的機(jī)機(jī)賬號(hào)認(rèn)證等,并且通過(guò)設(shè)備的唯一標(biāo)識(shí)與客戶端登錄的賬號(hào)進(jìn)行綁定。

在通過(guò)口令鑒別后,客戶端和智能聯(lián)網(wǎng)設(shè)備之間的通信可以采用以下兩種方式:

a)客戶端和智能聯(lián)網(wǎng)設(shè)備之間的通信由平臺(tái)轉(zhuǎn)發(fā);

b)平臺(tái)建立一條客戶端和智能聯(lián)網(wǎng)設(shè)備之間的直接的路由。

5

GB/TXXXXX—XXXX

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論