2022消費(fèi)級物聯(lián)網(wǎng)安全基線

20221第三章設(shè)備第三章設(shè)備OS3.1通用OS163.1.1Bootloader啟動163.1.2用戶賬戶密碼163.1.3防暴力破解163.1.4驗(yàn)證輸入數(shù)據(jù)173.1.5特權(quán)功能接口173.2LinuxOS173.2.1串行端口綁定SHELL173.2.2系統(tǒng)默認(rèn)賬戶密碼173.2.3基礎(chǔ)文件系統(tǒng)權(quán)限183.2.4外部存儲的程序和腳本183.2.5地址空間布局隨機(jī)化183.2.6基址隨機(jī)加載保護(hù)193.2.7棧Cookie防溢出193.2.8棧不可執(zhí)行193.2.9刪除調(diào)試符號表19第四章設(shè)備通信4.1通用通信214.1.1密鑰硬編碼214.1.2通訊信道加密214.1.3通信雙向認(rèn)證214.1.4防重放224.1.5非授權(quán)通信協(xié)議234.2以太網(wǎng)234.2.1通信信道加密234.2.2敏感數(shù)據(jù)傳輸加密234.2.3HTTPS證書校驗(yàn)234.2.4Wi-Fi接入點(diǎn)口令244.2.5Wi-Fi接入點(diǎn)用途244.3低功耗藍(lán)牙（BLE）254.3.1藍(lán)牙配對254.3.2藍(lán)牙控制指令合法性校驗(yàn)254.3.3傳感器設(shè)備藍(lán)牙廣播254.3.4藍(lán)牙m(xù)esh協(xié)議254.3.5藍(lán)牙協(xié)議版本26Contents前言 4范圍 5規(guī)范性引用文件 5第一章設(shè)備硬件1.1物理調(diào)試接口71.1.1調(diào)試接口默認(rèn)關(guān)閉71.1.2PCB板上調(diào)試接口絲印71.1.3調(diào)試接口默認(rèn)關(guān)閉信息輸入71.1.4調(diào)試接口打印敏感數(shù)據(jù)71.2本地?cái)?shù)據(jù)存儲71.2.1敏感信息加密存儲71.2.2芯片讀保護(hù)81.3通信鏈路數(shù)據(jù)傳輸81.4安全啟動81.5防物理拆除91.6防強(qiáng)電磁攻擊91.7智能門鎖鎖芯及門卡91.8設(shè)備唯一標(biāo)識防篡改10第二章設(shè)備軟件2.1軟件更新122.1.1固件升級包完整性與合法性122.1.2防固件降級122.1.3軟件更新失敗后恢復(fù)機(jī)制132.1.4升級132.1.5第三方組件更新132.1.6MCUIAP132.2服務(wù)與端口最小化142.3代碼庫管理14藍(lán)牙控制指令鑒權(quán) 26藍(lán)牙廣播防追蹤機(jī)制 26藍(lán)牙敏感信息通信 26Zigbee 26Zigbee協(xié)議版本 264.5 射頻 射頻通信數(shù)據(jù)包序列號長度 通信密鑰硬編碼 通信頻率 第五章數(shù)據(jù)安全與隱私5.1加密與哈希算法295.2隨機(jī)數(shù)生成函數(shù)295.3日志上報(bào)305.4跨境網(wǎng)絡(luò)請求305.5云端存儲安全305.6云端數(shù)據(jù)刪除功能305.7恢復(fù)出廠設(shè)置30第六章業(yè)務(wù)邏輯6.1設(shè)備可綁定狀態(tài)326.2綁定確認(rèn)326.3防重復(fù)綁定326.4強(qiáng)綁定關(guān)系326.5設(shè)備日志安全監(jiān)控336.6安全設(shè)置指南33術(shù)語和定義34縮略語39附錄A40附錄B41附錄C43附錄D45參考資料4666設(shè)備硬件PAGEPAGE9PAGEPAGE14設(shè)備硬件設(shè)備硬件物理調(diào)試接口調(diào)試接口默認(rèn)關(guān)閉（應(yīng)在出廠時(shí)默認(rèn)關(guān)閉UART、、SWD等調(diào)試接口。如因售后問題分析等原因需開啟調(diào)試接口，應(yīng)按需飛線通聯(lián)或根據(jù)設(shè)備傳感器等能力，做出特殊操作后開啟（如特殊按鍵組合、私有USBDnge、設(shè)備傾斜通電等，以減少不必要的物理調(diào)試接口暴露和信息傳輸。PCBPCBTX、RX)，以防止逆向工程。調(diào)試接口默認(rèn)關(guān)閉信息輸入調(diào)試接口因某些特定需要而開啟后，默認(rèn)不應(yīng)開放調(diào)試接口的信息輸入，防止設(shè)備固件被篡改或本地存儲的敏感信息被讀取。調(diào)試接口打印敏感數(shù)據(jù)調(diào)試接口在某些特定需要而開啟后，應(yīng)僅允許進(jìn)行不包含用戶與設(shè)g（敏感信息包含敏感安全參數(shù)如y、oen，和asod、Wi-i，詳見附錄A，如需輸出完整數(shù)據(jù)流日志，需要將此類信息遮蔽展示（如：asod：********）本地?cái)?shù)據(jù)存儲敏感信息加密（flashnandemmc等加密方案可通過采用集成安全芯片或操作系統(tǒng)分區(qū)加密來實(shí)現(xiàn)。設(shè)備硬件設(shè)備硬件芯片讀保護(hù)MCU應(yīng)開啟芯片讀保護(hù)機(jī)制，如嘗試通過調(diào)試接口讀取芯片/11(ICSPI)傳輸?shù)耐ㄐ艛?shù)據(jù)本身進(jìn)行加密。宜采用安全芯片來確保加密密鑰的安全性，并結(jié)合真實(shí)與偽數(shù)據(jù)融合發(fā)送的機(jī)制，以防止攻擊者通過硬件通道嗅探得到協(xié)商密鑰以及芯片指令。圖2-安全啟動

安全啟動設(shè)備芯片宜支持安全啟動（SecureBoot原理如圖（uboot、、Flash鍵分區(qū)進(jìn)行合法加載校驗(yàn)，確保存儲芯片中的系統(tǒng)合法性和完整性校驗(yàn)通過后才能正常啟動。設(shè)備硬件設(shè)備硬件防物理拆除室外（公共區(qū)域:如大門外）設(shè)備宜具備在受到暴力移除或拆卸時(shí)的防護(hù)或預(yù)警機(jī)制：外殼防拆除：設(shè)備不宜暴露可以將設(shè)備部分或全部拆除的螺絲孔或卡扣，設(shè)備室外外殼宜采用一體式結(jié)構(gòu)設(shè)計(jì)；如因業(yè)務(wù)需要必須暴露螺絲或卡扣的，宜采用非常用類型固定螺絲來固定設(shè)備，并使用強(qiáng)度結(jié)構(gòu)符合要求的結(jié)構(gòu)膠對外殼螺絲封膠防護(hù)，以防止設(shè)備從室外被輕易拆除。電子組件結(jié)構(gòu)防護(hù)：設(shè)備具有控制功能的電子組件（包括但不限于MCU，接口，線路）應(yīng)具有足夠強(qiáng)度的結(jié)構(gòu)保護(hù)，如把此類電子組件設(shè)計(jì)在設(shè)備的室內(nèi)部分，防止設(shè)備室外外殼被拆除后直接暴露。拆除警報(bào)：如設(shè)備傳感器具備檢測設(shè)備被拆解的能力，宜發(fā)出警報(bào)鈴聲，記錄并上報(bào)拆除事件至設(shè)備管理員。注：門鎖、門鈴設(shè)備應(yīng)滿足此要求的所有內(nèi)容。防強(qiáng)電磁攻擊高安全等級設(shè)備應(yīng)在芯片外加裝電磁防護(hù)罩，以防止強(qiáng)電磁脈沖（EMP）攻擊造成的設(shè)備邏輯或運(yùn)行異常，進(jìn)而導(dǎo)致邏輯錯誤，設(shè)備宕機(jī)或電路燒毀（如門鎖設(shè)備遭遇強(qiáng)電磁攻擊后可導(dǎo)致非授權(quán)開鎖。智能門鎖鎖芯及門卡真插芯智能門鎖（真插芯）應(yīng)將離合組件放置于門內(nèi)鎖體中，以保證即使外部鎖體被破壞或舵機(jī)電平被控制時(shí)，鎖芯依然空轉(zhuǎn)無法解鎖。防止智能設(shè)備硬件設(shè)備硬件門鎖鎖芯被暴力或?qū)Ｓ霉ぞ撸ㄒ延袑I(yè)開鎖工具）通過外部鎖體縫隙劫持C級鎖芯。假插芯智能門鎖（假插芯）應(yīng)在鑰匙孔與鎖芯機(jī)關(guān)間用金屬格擋并固定，門外鎖體與門之間應(yīng)用金屬擋板全部封閉，以防止他人通過鑰匙孔、鎖體縫隙觸動開鎖機(jī)關(guān)開鎖。NFCCPU卡作為開鎖門卡，不應(yīng)使用易被嗅探、破解復(fù)IDM1卡開鎖?？愋蛢?yōu)點(diǎn)缺點(diǎn)推薦CPU卡讀取速度快價(jià)格稍貴推薦使用ID卡價(jià)格便宜容易復(fù)制，安全性低不應(yīng)使用M1卡可讀可寫價(jià)格稍貴不應(yīng)使用設(shè)備唯一標(biāo)識防篡改設(shè)備端應(yīng)存儲唯一硬件標(biāo)識，并采用一次性編程、安全芯片等技術(shù)防止被篡改。1111設(shè)備軟件PAGEPAGE12設(shè)備軟件設(shè)備軟件軟件更新固件升級包完整性與合法性設(shè)備固件升級（A包進(jìn)行完整性哈希得到固件包摘要，再使用公私鑰方式對摘要進(jìn)行合法性簽名和驗(yàn)簽（Nordic，確認(rèn)升級包完整性與合法性再進(jìn)行更新，以防止固件包被篡改或替換。固件升級包完整性哈希應(yīng)采用安全的哈希算法（詳見.1，完整性憑據(jù)應(yīng)在設(shè)備與服務(wù)端的加密通信通道內(nèi)傳輸。 圖3-固件升級包合法性與完整性校驗(yàn)防固件降級功能進(jìn)行設(shè)備更新時(shí)，設(shè)備應(yīng)拒絕舊版固件更新，以防止一些歷史BUG或安全風(fēng)險(xiǎn)重新暴露被利用。特殊需求下（如：測試、維修等SD卡或線刷等方式對固件驗(yàn)簽后刷機(jī)。設(shè)備軟件設(shè)備軟件軟件更新失敗后恢復(fù)機(jī)制設(shè)備軟件更新時(shí)可能遇到斷電等特殊情況，導(dǎo)致設(shè)備升級失敗。因雙分區(qū)備份機(jī)制，保障升級失敗時(shí)能恢復(fù)到可用軟件版本，防止升級失敗損害設(shè)備可用性。升級A，.1.1升級包完整性與合法性要求，以防止攻擊者通過局域網(wǎng)對設(shè)備進(jìn)行惡意升級。第三方組件更新設(shè)備制造商在產(chǎn)品開發(fā)過程中應(yīng)維護(hù)產(chǎn)品軟硬件的第三方商用及開源組件清單，并將其用于持續(xù)監(jiān)測已識別的軟硬件組件的相關(guān)安全。/最新修復(fù)版本。軟件/htts://ww.cedais.om/poduct-listphp查詢。MCUIAPMCU應(yīng)具備安全更新機(jī)制，如封裝專用的USBDongeMCUIAP過程進(jìn)行了數(shù)據(jù)加密或簽名驗(yàn)證，以避免MCU固件邏輯被篡改的風(fēng)險(xiǎn)。13PAGEPAGE14設(shè)備軟件設(shè)備軟件服務(wù)與端口最小化設(shè)備應(yīng)默認(rèn)關(guān)閉FTP、SSH、、HTTP、ADB等高風(fēng)險(xiǎn)管理服務(wù)或信息數(shù)據(jù)服務(wù)，也應(yīng)關(guān)閉非數(shù)據(jù)交互與控制實(shí)現(xiàn)所必要的ITSDK控制服務(wù)端口。代碼庫管理設(shè)備相關(guān)代碼庫不應(yīng)在未經(jīng)允許的情況下上傳至GithubGitee公用代碼倉庫或百度網(wǎng)盤等公開、半公開服務(wù)，防止源代碼泄露。1515OSPAGEPAGE16PAGEPAGE23設(shè)備OS設(shè)備OSOSBootloaderBootLoader，Delay0，SHELL設(shè)備操作系統(tǒng)應(yīng)自動重啟，避免啟動異常后暴露操作系統(tǒng)引導(dǎo)加載控制臺（onoe）界面，以防止攻擊者通過錯誤植入進(jìn)入到控制臺界面，來獲得篡改設(shè)備啟動參數(shù)的權(quán)限，從而控制設(shè)備。用戶賬戶密碼（UI）///的高強(qiáng)度密碼，并在用戶首次登陸時(shí)強(qiáng)制要求修改默認(rèn)密碼；如果設(shè)備//高強(qiáng)度密碼：長度為10-14位，包含大寫字母、小寫字母、符號和數(shù)字其中三類字符的密碼。防暴力破解設(shè)備登錄密碼應(yīng)具備暴力破解機(jī)制，如驗(yàn)證碼等人機(jī)交互機(jī)制、登錄驗(yàn)證失敗遞增等待時(shí)間和登錄驗(yàn)證失敗超過一定次數(shù)鎖定賬號等。設(shè)備OS設(shè)備OS驗(yàn)證輸入數(shù)據(jù)API，以防止設(shè)備執(zhí)行外部惡意攻擊代碼。數(shù)據(jù)驗(yàn)證方法包括過濾超出處理范圍的數(shù)據(jù)、過濾和fuzz證不足而出現(xiàn)的潛在漏洞等。特權(quán)功能接口設(shè)備應(yīng)默認(rèn)關(guān)閉可直接進(jìn)入設(shè)備系統(tǒng)的特權(quán)能力或接口（如工廠OTA、未公開功能接口、調(diào)試后門等），如實(shí)屬業(yè)務(wù)必要，應(yīng)具備鑒權(quán)機(jī)制。LinuxOSSHELLSHELLUART3.2.2系統(tǒng)默認(rèn)賬戶密碼（UI）嵌入式Linux系統(tǒng)默認(rèn)用戶（如root、admin等）需設(shè)置高強(qiáng)度密碼，并且保證一機(jī)一密，不應(yīng)在代碼中為所有設(shè)備寫入相同密碼或空密碼。高強(qiáng)度密碼：長度為10-14位，包含大寫字母、小寫字母、符號和數(shù)字其中三類字符的密碼。設(shè)備OS設(shè)備OS基礎(chǔ)文件系統(tǒng)權(quán)限設(shè)備嵌入式Linux（/etc/應(yīng)使用只讀文件系統(tǒng)（如外部存儲的程序和腳本Liux（SD、U、網(wǎng)絡(luò)存儲等）中程序或腳本。如有特殊需要，應(yīng)進(jìn)行公私鑰簽名驗(yàn)證，以防止系統(tǒng)被植入惡意軟件或腳本。圖4-外部程序和腳本簽名驗(yàn)證地址空間布局隨機(jī)化嵌入式Linux系統(tǒng)的設(shè)備應(yīng)開啟地址空間布局隨機(jī)化（ASLR）保護(hù)措施，以防止緩沖區(qū)溢出。設(shè)備OS設(shè)備OS基址隨機(jī)加載保護(hù)應(yīng)用應(yīng)開啟PIE應(yīng)用基址隨機(jī)加載保護(hù)選項(xiàng)。CookieLinux，應(yīng)開啟LinuxCAY護(hù)選項(xiàng)。棧不可執(zhí)行Linx，應(yīng)開啟LiuxX護(hù)選項(xiàng)。刪除調(diào)試符號表Linux，需使用Strip，以提升逆向分析難度并減少程序體積。2020設(shè)備通信PAGEPAGE21PAGEPAGE26設(shè)備通信設(shè)備通信通用通信密鑰硬編碼設(shè)備不應(yīng)將用于傳輸加密或鑒權(quán)的密鑰硬編碼在程序代碼中，應(yīng)采用一機(jī)一密通訊信道加密4.2，4.3，4.5通信雙向認(rèn)證設(shè)備通信時(shí)應(yīng)在數(shù)據(jù)傳輸之前進(jìn)行雙向認(rèn)證，驗(yàn)證雙方真實(shí)身份是否合法，檢查控制權(quán)限是否與身份匹配，以防止越權(quán)或非授權(quán)控制。設(shè)備準(zhǔn)協(xié)議的，應(yīng)經(jīng)過安全評估。設(shè)備驗(yàn)證服務(wù)端：TS（基于TLS/TS）與服務(wù)端通信時(shí)CA藍(lán)牙設(shè)備通過米家藍(lán)牙安全認(rèn)證協(xié)議綁定流程中的OOB信息驗(yàn)證。服務(wù)端驗(yàn)證設(shè)備：服務(wù)端通過校驗(yàn)設(shè)備的三元組信息（中、低安全等級設(shè)備）或米家安全芯片中的設(shè)備唯一標(biāo)識（高安全等級設(shè)備）驗(yàn)證設(shè)備身份是否合法。設(shè)備通信設(shè)備通信防重放設(shè)備通信應(yīng)使用滾動碼或計(jì)數(shù)器機(jī)制，當(dāng)請求操作計(jì)數(shù)大于設(shè)備計(jì)數(shù)才準(zhǔn)許設(shè)備執(zhí)行該操作指令，以防止他人通過抓包重放控制請求來對設(shè)備進(jìn)行非授權(quán)的控制。圖5-重放攻擊和防重放不同通信協(xié)議下的防重放可參考以下方案：ZigBeeZigbee開啟方法：設(shè)置nwklreshTRUE射頻：設(shè)備使用滾動碼方式進(jìn)行通信，參考eeoq、T0、Hitag22Wi-FiTLS1.2+數(shù)器防重放功能藍(lán)牙：采用米家藍(lán)牙認(rèn)證協(xié)議默認(rèn)支持的幀計(jì)數(shù)器和加密功能，或采用標(biāo)準(zhǔn)BLESM（SecurityManager）模塊的數(shù)據(jù)包計(jì)數(shù)器（packetCounter）和鏈路層加密設(shè)備通信設(shè)備通信非授權(quán)通信協(xié)議設(shè)備使用的通信協(xié)議應(yīng)經(jīng)過安全評估，不應(yīng)使用非授權(quán)通信協(xié)議，以防止非授權(quán)協(xié)議存在安全漏洞或后門影響設(shè)備通信安全。以太網(wǎng)通信信道加密設(shè)備應(yīng)使用加密的傳輸協(xié)議對通信進(jìn)行加密，TLS（1.+）傳MQTT、HTTP等明文傳輸協(xié)議而導(dǎo)致信息泄露或被篡改的風(fēng)險(xiǎn)。注：TLS/cs/查詢。敏感信息傳輸加密設(shè)備在傳輸敏感信息時(shí)應(yīng)使用安全的加密算法對敏感信息進(jìn)行額外的加密。注：加密算法的安全性可參考.1加密與哈希算法。HTTPS設(shè)備使用HTTPS協(xié)議時(shí)，應(yīng)進(jìn)行嚴(yán)格的證書校驗(yàn)，不能忽略檢查。Linux設(shè)備應(yīng)嚴(yán)格驗(yàn)證服務(wù)端證書合法性，不應(yīng)使用參數(shù)跳過證書驗(yàn)證或忽略證書驗(yàn)證錯誤。設(shè)備通信設(shè)備通信工具/庫參數(shù)使用建議curl不應(yīng)使用-k參數(shù)wget不應(yīng)使用--no-check-certificate參數(shù)libcurl應(yīng)將CURLOPT_SSL_VERIFYPEER和CURLOPT_SSL_VERIFYHOST設(shè)置為TrueAndroid設(shè)備應(yīng)用使用SSL不應(yīng)信任任意證書，不應(yīng)忽略異常事件（如rurnnul；如需自TrustManagercheckServerTrusted方法，方法內(nèi)必須嚴(yán)格判斷服務(wù)端的證書校驗(yàn)，以防止通信內(nèi)容被劫持導(dǎo)致通信數(shù)據(jù)泄漏或被篡改。Wi-FiWiFiDirect，如確有必要，設(shè)備端WiFiDiret空密碼，應(yīng)遵循一機(jī)一密或者每次使用真隨機(jī)生成密碼，并顯示在屏幕上（帶屏設(shè)備）或在綁定時(shí)由用戶提前設(shè)置并存儲（無屏設(shè)備Wi-FiWi-Fii-Fi，不應(yīng)訪問設(shè)備外部網(wǎng)絡(luò)（如家庭網(wǎng)或互聯(lián)網(wǎng)Wi-Fi滲透。設(shè)備通信設(shè)備通信低功耗藍(lán)牙（BLE）藍(lán)牙配對有物理按鍵的藍(lán)牙設(shè)備應(yīng)通過物理按鍵進(jìn)行綁定確認(rèn)或開啟綁定窗口，以避免設(shè)備重復(fù)綁定或在用戶不知情的情況下被他人綁定的風(fēng)險(xiǎn)。藍(lán)牙控制指令合法性校驗(yàn)對于支持藍(lán)牙的設(shè)備，應(yīng)每次登錄協(xié)商會話密鑰，設(shè)備與控制應(yīng)用間應(yīng)使用會話密鑰加密傳輸控制指令。傳感器設(shè)備藍(lán)牙廣播部分設(shè)備通過藍(lán)牙將傳感器采集的數(shù)據(jù)進(jìn)行廣播傳輸，通過藍(lán)牙網(wǎng)關(guān)解析廣播內(nèi)容進(jìn)行設(shè)備聯(lián)動，或根據(jù)廣播數(shù)據(jù)作為控制指令，從而影響其他設(shè)備。此類設(shè)備的藍(lán)牙廣播應(yīng)使用安全的通信協(xié)議，并使用綁定時(shí)產(chǎn)meshmehmesh、網(wǎng)關(guān)及手機(jī)進(jìn)行雙向認(rèn)證，對傳輸?shù)拿舾袛?shù)據(jù)使用會話密鑰加密。設(shè)備通信設(shè)備通信藍(lán)牙協(xié)議版本低功耗藍(lán)牙BLE設(shè)備（如鼠標(biāo)、音箱）采用藍(lán)牙鏈接層加密時(shí)應(yīng)使用4.2及以上低功耗藍(lán)牙協(xié)議版本，以防止設(shè)備在綁定階段泄露藍(lán)牙連接層密鑰(LTK)，從而導(dǎo)致隱私泄露或設(shè)備偽造的風(fēng)險(xiǎn)。藍(lán)牙控制指令鑒權(quán)設(shè)備使用藍(lán)牙芯片廠商提供例程指令前應(yīng)判斷控制應(yīng)用的藍(lán)牙綁定狀態(tài)，防止因例程中可能支持未授權(quán)指令控制設(shè)備的邏輯，從而導(dǎo)致設(shè)備拒絕服務(wù)（例如芯片重啟、切換工作空間、進(jìn)入DFU升級模式等等）的風(fēng)險(xiǎn)。

圖6-藍(lán)牙控制指令鑒權(quán)設(shè)備宜使用隨機(jī)藍(lán)牙MAC地址，并對藍(lán)牙廣播內(nèi)容進(jìn)行加密；如需通過beacon信標(biāo)廣播可識別身份的信息，應(yīng)定時(shí)變換設(shè)備藍(lán)牙MAC藍(lán)牙敏感信息通信設(shè)備在使用BLE與控制應(yīng)用（安卓）通信時(shí)，應(yīng)對敏感信息內(nèi)容本身進(jìn)行應(yīng)用層加密，以防止用戶使用BLE將手機(jī)與其他智能設(shè)備配對進(jìn)行數(shù)據(jù)傳輸時(shí)，手機(jī)上的所有應(yīng)用都可以訪問這兩個設(shè)備間傳輸?shù)臄?shù)據(jù)。設(shè)備通信設(shè)備通信風(fēng)險(xiǎn)描述參見安卓4.3引入藍(lán)牙BLE時(shí)的開發(fā)文檔3：ZigbeeZigbeeZigbeeZigbee3.0installcode4TCLK射頻射頻通信數(shù)據(jù)包序列號長度設(shè)備的射頻通信數(shù)據(jù)包應(yīng)使用四字節(jié)作為序列號變量空間，避免使用較短序列號長度，以防止通信內(nèi)容可在短時(shí)間暴力破解的風(fēng)險(xiǎn)。通信密鑰硬編碼設(shè)備射頻通信密鑰應(yīng)通過發(fā)射器和接收器配對交換生成，不應(yīng)預(yù)置密鑰在代碼中。通信頻率設(shè)備應(yīng)使用跳頻機(jī)制進(jìn)行通信，以防止因射頻通信頻點(diǎn)固定造成信道擁堵，導(dǎo)致設(shè)備無法正常通信。2828數(shù)據(jù)安全與隱私PAGEPAGE29PAGEPAGE44數(shù)據(jù)安全與隱私數(shù)據(jù)安全與隱私加密與哈希算法加密算法：設(shè)備應(yīng)使用安全的加密算法且密鑰長度符合對應(yīng)算法（見下表DES、TDES、bithashsha256sha512hashmd5sha1。算法密鑰/哈希值長度（bit位）AES128//ECDSA/ECDH256/384/512RSADSAPrimeP:PrimeQ:SM4128SHA256/384/512隨機(jī)數(shù)生成函數(shù)設(shè)備系統(tǒng)及應(yīng)用應(yīng)使用真隨機(jī)或強(qiáng)偽隨機(jī)算法產(chǎn)生認(rèn)證或加密所需的隨機(jī)數(shù)。類型生成方式建議真/強(qiáng)偽隨機(jī)/dev/urandom芯片支持的熵隨機(jī)能力推薦偽隨機(jī)srand()、rand()time(0)子生成不推薦數(shù)據(jù)安全與隱私數(shù)據(jù)安全與隱私日志上報(bào)設(shè)備、系統(tǒng)及應(yīng)用打印的日志不應(yīng)上傳任何明文或加密的敏感信息（Wi-FiSSIDIMEI、地理位置等敏感信息上報(bào)使用，應(yīng)在隱私聲明中明示作用與存儲方式?？缇尘W(wǎng)絡(luò)請求設(shè)備或控制應(yīng)用應(yīng)識別當(dāng)前用戶所屬國家或地區(qū)，根據(jù)不同國家或地區(qū)的隱私合規(guī)要求發(fā)送網(wǎng)絡(luò)請求，以防止數(shù)據(jù)跨境傳輸帶來的隱私風(fēng)險(xiǎn)。云端存儲安全通過設(shè)備采集的用戶敏感數(shù)據(jù)（視頻、音頻、圖片、文檔等）應(yīng)加密存儲于業(yè)務(wù)云端存儲服務(wù)器。云端數(shù)據(jù)刪除功能物聯(lián)網(wǎng)平臺應(yīng)向用戶提供便捷的刪除云端數(shù)據(jù)的功能，刪除范圍包括用戶在使用設(shè)備及其關(guān)聯(lián)服務(wù)過程中產(chǎn)生并存儲在云端的個人信息?；謴?fù)出廠設(shè)置設(shè)備恢復(fù)出廠設(shè)置后應(yīng)完全清除設(shè)備中所有用戶數(shù)據(jù)、設(shè)置（如用戶使用記錄、設(shè)置、NFCeSIM。06業(yè)務(wù)邏輯PAGEPAGE32PAGEPAGE45業(yè)務(wù)邏輯業(yè)務(wù)邏輯設(shè)備可綁定狀態(tài)30電后重新進(jìn)入綁定狀態(tài)，避免設(shè)備始終允許接受綁定請求而被惡意綁定的風(fēng)險(xiǎn)。綁定確認(rèn)OOB綁定方式，防止設(shè)備被惡意綁定。防重復(fù)綁定對于具備重置能力的設(shè)備，應(yīng)被重置后才可再次接受綁定請求，以防止被其他用戶重復(fù)綁定或惡意綁定控制。強(qiáng)綁定關(guān)系室外高安全級別設(shè)備應(yīng)在云端將設(shè)備和賬戶建立強(qiáng)綁定關(guān)系，即云端記錄設(shè)備ID與用戶ID的綁定關(guān)系。設(shè)備綁定時(shí)應(yīng)先驗(yàn)證云端記錄，僅允許在云端沒有綁定記錄的設(shè)備的綁定請求，并且設(shè)備端重置不應(yīng)清除云端綁定記錄，僅當(dāng)設(shè)備所有者（在云端有綁定記錄的用戶ID）在控制端應(yīng)用上主動解綁時(shí)才清除綁定關(guān)系，以防止設(shè)備重置后被非法綁定控制。業(yè)務(wù)邏輯業(yè)務(wù)邏輯圖7-強(qiáng)綁定設(shè)備日志安全監(jiān)控物聯(lián)網(wǎng)平臺應(yīng)從設(shè)備端收集關(guān)鍵日志（如設(shè)備聯(lián)網(wǎng)狀態(tài)、使用狀態(tài)、升級狀態(tài)等），應(yīng)將此類設(shè)備日志用于安全監(jiān)控。通過統(tǒng)計(jì)和分析日志信息發(fā)現(xiàn)異常，從而發(fā)現(xiàn)潛在的設(shè)備或物聯(lián)網(wǎng)平臺安全風(fēng)險(xiǎn)。安全設(shè)置指南設(shè)備如果具備安全功能，應(yīng)采取以下方式之一幫助用戶簡便地開啟這些安全功能：默認(rèn)設(shè)置：設(shè)備初始化時(shí)自動默認(rèn)開啟必要的安全功能。軟件引導(dǎo)：UI說明，或通過彈窗等形式引導(dǎo)用戶開啟。說明書：通過紙質(zhì)或電子版產(chǎn)品安全設(shè)置指南告知用戶開啟產(chǎn)品安全功能的方式和步驟。術(shù)語和定義下列術(shù)語和定義適用于本文件下列術(shù)語和定義適用于本文件onsumerITDvie網(wǎng)絡(luò)連接（和網(wǎng)絡(luò)連接）設(shè)備（物聯(lián)網(wǎng)終端設(shè)備指具有無線（Wi-Fi、BLE/Mesh、Bluetoothclassic、Zigbee、NFC、RF、有線（RJ45）聯(lián)網(wǎng)與組網(wǎng)能力，或具有固件邏輯更新能力的任意智能終端產(chǎn)品。注1：消費(fèi)級物聯(lián)網(wǎng)設(shè)備也通常用于商業(yè)環(huán)境。這些設(shè)備仍然被歸類為消費(fèi)級物聯(lián)網(wǎng)設(shè)備。注2：消費(fèi)級物聯(lián)網(wǎng)設(shè)備通常可供消費(fèi)者在零售環(huán)境中購買。消費(fèi)級物聯(lián)網(wǎng)設(shè)備也可以委托和/或?qū)I(yè)安裝。User自然人或組織。criticalsecurityparameter與安全相關(guān)的秘密信息，這些信息被泄露或被修改后會危及智能家居安全性。例如后臺系統(tǒng)管理員認(rèn)證信息、操作系統(tǒng)登錄認(rèn)證信息，網(wǎng)絡(luò)設(shè)備認(rèn)證信息等。publicsecurityparameter與安全相關(guān)的公共信息，其修改會損害安全模塊的安全性。1：/2：證書的公共組件。sensitivesecurityparameters公共安全參數(shù)和關(guān)鍵安全參數(shù)。personal與已識別或可識別的自然人有關(guān)的任何資料。Sensitiveinformation敏感信息為敏感安全參數(shù)與個人信息的統(tǒng)稱。debuginterface制造商在開發(fā)過程中用于與設(shè)備通信的物理接口，或用于對設(shè)備的問題進(jìn)行分類.例如：測試點(diǎn)，UART，SWD，JTAG。gialierae利用網(wǎng)絡(luò)接口通過信道或端口在網(wǎng)絡(luò)上通信的軟件實(shí)現(xiàn)。networkinterface可用于通過網(wǎng)絡(luò)訪問消費(fèi)者物聯(lián)網(wǎng)功能的物理接口。physicalinterface物理端口或空氣接口（如無線電、音頻或光學(xué)接口USB等串行接口和用于調(diào)試的接口。securityupdate解決制造商發(fā)現(xiàn)或報(bào)告給制造商的安全漏洞的軟件更新。更新。telemetry來自設(shè)備的數(shù)據(jù)，可以提供信息，幫助制造商識別與設(shè)備使用有關(guān)的問題或信息。例如：消費(fèi)者物聯(lián)網(wǎng)設(shè)備向制造商報(bào)告軟件故障，使他們能夠識別和補(bǔ)救原因。authenticationmechanism用于證明實(shí)體真實(shí)性的方法：“實(shí)體”既可以是用戶，也可以是機(jī)器。例如：認(rèn)證機(jī)制可以是請求密碼、掃描二維碼或使用生物特征指紋掃描儀。FlashFlash，通過特定的程序可以修改里面的數(shù)據(jù)。FLSHFashMemory，即平FlashEEPROMMemory。Bootloader在嵌入式操作系統(tǒng)中BotLoader可以初始化硬件設(shè)備、建立內(nèi)存空間映射圖，從而將系統(tǒng)的軟硬件環(huán)境帶到一個合適狀態(tài)，以便為最終調(diào)用操作系統(tǒng)內(nèi)核準(zhǔn)備好正確的環(huán)境。U-bootU-Boot是一個主要用于嵌入式系統(tǒng)的引導(dǎo)加載程序，可以支持多種不同的計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)，包括PPC、ARM、AVR32、MIPS、x86、68k、Nios與MicroBlaze。嵌入式內(nèi)核是在嵌入式硬件和軟件之間的抽象層，inux中被稱為“內(nèi)核”，也可以稱為“核心”。Linux（或組件）分CPU和進(jìn)程管理、文件系統(tǒng)、設(shè)備管理和驅(qū)動、網(wǎng)絡(luò)通信，以及系統(tǒng)的初始化（引導(dǎo)、系統(tǒng)調(diào)用等。Beacon藍(lán)牙信標(biāo)（Beacon）是建立在低功耗藍(lán)牙協(xié)議基礎(chǔ)上的一種廣播協(xié)議。ASLR對堆、棧、共享庫映射等線性區(qū)布局的隨機(jī)化，通過增加攻擊者預(yù)測目的地址的難度，以防止攻擊者直接定位攻擊代碼位置，達(dá)到阻止溢出攻擊的目的。IDIdentificationID卡全稱為身份識別卡（Identification，是一種不可寫入的感應(yīng)卡，含固定的編號，主要有臺灣ISEM、美國HIDMOOLAID。ID，都僅僅使用了“卡的號碼”而已，卡內(nèi)除了卡號外，無任何保密功能，其“卡號”是公開、裸露的。IDM1M1M1，是指飛利浦下屬子公司恩智浦出品的芯片縮寫，全稱XPMiare1，常用的有S0S0。常見的有卡式和鑰匙扣式。真插芯智能門鎖的真插芯是指鎖芯直接固定在再鎖體結(jié)構(gòu)上，利用鎖芯使用鑰匙時(shí)，鑰匙與門面為垂直關(guān)系。假插芯智能門鎖的假插芯是將鎖芯與鎖體位置分離，鎖芯轉(zhuǎn)動時(shí)，利用齒合方式，直觀表現(xiàn)為：使用鑰匙時(shí)，鑰匙與門面為平行關(guān)系。Routine例程是某個系統(tǒng)對外提供的功能接口或服務(wù)的集合。比如操作系統(tǒng)API、服務(wù)等就是例程。縮略語下列縮略語適用于本文件。下列縮略語適用于本文件。API應(yīng)用編程接口（ApplicationProgrammingInterface）I物聯(lián)網(wǎng)（InternetofThings）IP網(wǎng)絡(luò)協(xié)議（InternetProtocol）JTAG聯(lián)合測試工作組（JointTestActionGroup）OTA空中下載（OverTheAir）UART通用異步收發(fā)傳輸器（UniversalAsynchronousReceiver-Transmitter）USB通用串行總線（UniversalSerialBus）SSH安全外殼協(xié)議（SecureShell）MAC介質(zhì)訪問控制地址（Mediaessotol）TLS安全傳輸層協(xié)議（TransportLayerSecurity）TCP傳輸控制協(xié)議（ansmissionotolool）UDP用戶數(shù)據(jù)報(bào)協(xié)議（UserDatagramProtocol）FTP文件傳輸協(xié)議（FileTransferProtocol）UID用戶名（UserID）DID設(shè)備標(biāo)識碼（DeviceID）SWD串行線調(diào)試（SerialWireDebug）NAND與非門邏輯電路（NotAnd）EMMCEmbeddedMultiMediaCardMQTT消息隊(duì)列遙測傳輸（MessageQueuingTransport）TCLKTrustCenterLinkASLR地址空間布局隨機(jī)化（ASLR）NXStack棧不可執(zhí)行(NoExecuteStack)PIE位置獨(dú)立的可執(zhí)行文件（PositionIndependentExecutables）OOB帶外數(shù)據(jù)（OutofBand）XML可擴(kuò)展標(biāo)記語言（eXtensibleMarkupLanguage）AES高級加密標(biāo)準(zhǔn)（AdvancedEncryptionStandard）DES數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard）RSA一種非對稱加密算法，以此算法的三位共同提出者姓氏開頭字母拼在一起而命名TX發(fā)送（transmit）RX接收（Receive）PSK預(yù)共享密鑰（Pre-SharedKey）ADB安卓調(diào)試橋（AndroidDebugBridge）JSAPIJavaScript（JavaScriptApplicationProgrammingInterface）附錄A產(chǎn)品安全等級：（onfidetiality（Iegrity（ailability）收到損害時(shí)對設(shè)備、用戶及物聯(lián)網(wǎng)平臺可能造成的最大影響程度，把物聯(lián)網(wǎng)產(chǎn)品下表：安全屬性關(guān)注點(diǎn)影響程度備注低中高保密性onfidetiality設(shè)備收集的個人信息的敏感程度越高，保密性受到損害時(shí)對用戶的影響越大個人基本資料√個人教育工作信息√個人常用設(shè)備信息√個人通信信息√聯(lián)系人信息√個人身份信息√個人生物識別信息√網(wǎng)絡(luò)身份標(biāo)識信息√個人健康生理信息√個人財(cái)產(chǎn)信息√個人上網(wǎng)記錄√個人位置信息√其他敏感信息√完整性IntegrityAPP戶人身安全、財(cái)產(chǎn)安全、精神上可能帶來的影響程度影響輕微√影響有限√影響嚴(yán)重√可用性Availability在設(shè)備及相關(guān)服務(wù)完全不可用的情況下，對用戶或在輿論上帶來的影響程度影響輕微√影響有限√影響嚴(yán)重√各類個人信息及敏感信息的定義及舉例見附錄C附錄B不同安全等級的設(shè)備需滿足的要求如下：章節(jié)標(biāo)題低中高適用條件設(shè)備硬件1.1物理調(diào)試接口1.1.1調(diào)試接口默認(rèn)關(guān)閉√√1.1.2PCB板上調(diào)試接口絲印√1.1.3調(diào)試接口默認(rèn)關(guān)閉信息輸入√√1.1.4調(diào)試接口打印敏感數(shù)據(jù)√√1.2本地?cái)?shù)據(jù)存儲1.2.1敏感信息加密存儲√√1.2.2芯片讀保護(hù)√1.5防物理拆除√智能門鎖、門鈴1.6防強(qiáng)電磁攻擊√智能門鎖1.7智能門鎖鎖芯及門卡√智能門鎖1.8設(shè)備唯一標(biāo)識防篡改√設(shè)備軟件2.1軟件升級2.1.1固件升級包完整性與合法性√√√2.1.2防固件降級√2.1.3軟件更新失敗后恢復(fù)機(jī)制√√2.1.4升級指令√√√2.1.5第三方組件更新√√2.1.6MCUIAP更新機(jī)制√2.2服務(wù)與端口