《智慧建筑樓宇控制系統(tǒng)安全技術(shù)要求》

ICSXX.XXX.XX

XXX

團(tuán)體標(biāo)準(zhǔn)

T/XXXXXX-2020

智慧建筑樓宇控制系統(tǒng)安全技術(shù)

要求

Securitytechnologyrequirementsforbuildingcontrolsystemof

Intelligentarchitecture

2021-XX-XX發(fā)布2021-XX-XX實施

中國建筑節(jié)能協(xié)會發(fā)布

1

T/XXXX-2020

智慧建筑樓宇控制系統(tǒng)安全技術(shù)要求

1范圍

本文件規(guī)定了智慧建筑樓宇控制系統(tǒng)的系統(tǒng)總體要求、平臺安全要求、加密設(shè)備安全要求、安全芯

片技術(shù)要求、云端設(shè)備管理安全要求。

本文件適用于智慧建筑樓宇控制系統(tǒng)的設(shè)計、建設(shè)、運維等。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T35273-2020個人信息安全規(guī)范

GB／T37044-2018信息安全技術(shù)物聯(lián)網(wǎng)安全參考模型及通用要求

GM/T0008-2012安全芯片密碼檢測準(zhǔn)則

GM/T0014-2012數(shù)字證書認(rèn)證系統(tǒng)密碼協(xié)議規(guī)范

GM/T0015-2012基于SM2密碼算法的數(shù)字證書格式規(guī)范

GM/T0019-2012通用密碼服務(wù)接口規(guī)范

GM/T0020-2012證書應(yīng)用綜合服務(wù)接口規(guī)范

GM/T0026-2014安全認(rèn)證網(wǎng)關(guān)產(chǎn)品規(guī)范

GM/T0028-2014密碼模塊安全技術(shù)要求

GM/T0032-2014基于角色的授權(quán)與訪問控制技術(shù)規(guī)范

GM/T0034-2014基于SM2密碼算法的證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范

GM/T0037-2014證書認(rèn)證系統(tǒng)檢測規(guī)范

GM/T0038-2014證書認(rèn)證密鑰管理系統(tǒng)檢測規(guī)范

GM/T0039-2015密碼模塊安全檢測要求

GM/T0050-2016密碼設(shè)備管理設(shè)備管理技術(shù)規(guī)范

GM/T0051-2016密碼設(shè)備管理對稱密鑰管理技術(shù)規(guī)范

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

密鑰key

一種用于控制密碼變換操作（例如加密、解密、密碼校驗函數(shù)計算、簽名生成或簽名驗證）的符號

序列。

3.2

時間戳timestamp

1

T/XXXX-2020

根據(jù)公共的時間基準(zhǔn)來表示某一時間點的時變參數(shù)。

4縮略語

下列縮略語適用于本文件：

BAS：樓宇自動化控制系統(tǒng)(BuildingAutomationSystem)

BMS:建筑設(shè)備管理系統(tǒng)(BuildingManagementSystem)

CAS：通訊自動化系統(tǒng)(CommunicationAutomationSystem)

FAS：火災(zāi)報警系統(tǒng)(FireAlarmSystem)

IP：互聯(lián)網(wǎng)協(xié)議(InternetProtocol)

OAS：辦公自動化系統(tǒng)(OfficeAutomationSystem)

SAS：安全防范自動化系統(tǒng)(SecurityAutomationSystem)

5系統(tǒng)總體架構(gòu)

5.1系統(tǒng)架構(gòu)

5.1.1智慧建筑樓宇控制系統(tǒng)架構(gòu)如圖1。

圖1智慧建筑樓宇控制系統(tǒng)架構(gòu)

5.1.2智慧建筑樓宇控制系統(tǒng)架構(gòu)包括以下內(nèi)容：

a)智能建筑樓宇控制系統(tǒng)包括平臺層、傳輸層以及感知層三部分；

b)平臺層安全面向智能終端設(shè)備提供服務(wù)，如設(shè)備注冊、數(shù)據(jù)采集、數(shù)據(jù)監(jiān)控、安全服務(wù)等；

c)傳輸層安全提供網(wǎng)絡(luò)連接功能，使得智能終端設(shè)備通過通信層，實現(xiàn)發(fā)現(xiàn)、組網(wǎng)、控制等操作，

并可連接到平臺層，實現(xiàn)平臺對智能終端設(shè)備的注冊、管理、控制等；

2

T/XXXX-2020

d)感知層安全包括智能終端設(shè)備、網(wǎng)關(guān)設(shè)備、人機(jī)交互終端設(shè)備等，其中智能終端指具備通信功

能，可操控和管理的設(shè)備，網(wǎng)關(guān)指提供智能終端設(shè)備局域網(wǎng)網(wǎng)絡(luò)連接和控制能力的設(shè)備，人機(jī)

交互終端是為用戶提供可操作入口、實現(xiàn)對智能設(shè)備的管理和控制的終端設(shè)備。

5.2安全體系架構(gòu)

5.2.1智慧建筑樓宇控制系統(tǒng)安全體系架構(gòu)如圖2。

圖2智慧建筑樓宇控制系統(tǒng)安全體系架構(gòu)

5.2.1智慧建筑樓宇控制系統(tǒng)安全體系架構(gòu)包括以下內(nèi)容：

a)平臺層安全、傳輸層安全以及感知層安全三部分構(gòu)成；

b)平臺安全安全分為網(wǎng)絡(luò)安全和業(yè)務(wù)安全，網(wǎng)絡(luò)安全以等級三級為基礎(chǔ)，增加訪問控制和入侵防

護(hù)兩個方面；

c)傳輸安全包括安全認(rèn)證、加密傳輸、會話管理、防落防御等方面。；

d)感知安全分為分級安全部分和通用安全部分。安全要求應(yīng)符合GB/T37044—2018的相關(guān)規(guī)定。

6平臺層安全要求

6.1網(wǎng)絡(luò)安全

6.1.1物理環(huán)境

3

T/XXXX-2020

應(yīng)通過云主機(jī)管理器實現(xiàn)同一物理機(jī)上不同云主機(jī)之間相互隔離，用戶僅能訪問屬于自己的云主

機(jī)資源，保證云主機(jī)不受周邊云主機(jī)的影響，避免云主機(jī)之間發(fā)生惡意攻擊或數(shù)據(jù)竊取等情況。

6.1.2存儲安全

應(yīng)通過虛擬化層實現(xiàn)云主機(jī)間存儲訪問隔離，隔離用戶數(shù)據(jù)，防止惡意云主機(jī)用戶盜取其他用戶

的數(shù)據(jù)，保證數(shù)據(jù)安全。數(shù)據(jù)存儲宜采用多重備份機(jī)制，每一份數(shù)據(jù)都可以有一個或者多個備份，以防

存儲設(shè)備(如硬盤)出現(xiàn)故障引起數(shù)據(jù)丟失或影響系統(tǒng)正常使用。

6.1.3入侵保護(hù)安全

應(yīng)通過網(wǎng)絡(luò)平面隔離和防火墻，控制和審計云主機(jī)的網(wǎng)絡(luò)流量，保證內(nèi)部網(wǎng)絡(luò)傳輸安全。Web應(yīng)用

防火墻宜采用黑、白名單機(jī)制相結(jié)合的完整防護(hù)體系，通過精細(xì)的配置將多種Web安全檢測方法連結(jié)成

一套完整的解決方案，并整合成熟的DDoS攻擊抵御機(jī)制，能夠在Web環(huán)境中抵御各類Web安全威脅和

拒絕服務(wù)攻擊，攔截如Web漏洞攻擊，SQL注入、XSS跨站、獲取敏感信息等常見的攻擊行為，以較低

的運營成本進(jìn)行環(huán)境部署，保護(hù)Web。

6.1.4數(shù)據(jù)安全

數(shù)據(jù)安全包括下列內(nèi)容：

a)數(shù)據(jù)加密：數(shù)據(jù)傳輸過程中應(yīng)對用戶的數(shù)據(jù)進(jìn)行加密，保證在數(shù)據(jù)傳輸過程中數(shù)據(jù)不會泄漏，

防止數(shù)據(jù)的交叉泄漏和非法訪問。

b)密鑰管理：密鑰管理員應(yīng)通過API或控制臺進(jìn)行主密鑰的產(chǎn)生與管理操作，還可以通過訪問

控制為密鑰實現(xiàn)訪問控制功能，直接通過使用API進(jìn)行少量數(shù)據(jù)的加解密。還可以通過信封

加密技術(shù)實現(xiàn)大量數(shù)據(jù)的本地加解密。

c)監(jiān)控審計：對所有信息系統(tǒng)的日志和權(quán)限審批記錄均應(yīng)采用碎片化分布式離散存儲技術(shù)進(jìn)行長

期保存，對用戶的操作行為進(jìn)行日志監(jiān)控，以供審計人員根據(jù)需求進(jìn)行審計，提高數(shù)據(jù)資產(chǎn)安

全。

d)數(shù)據(jù)銷毀：用戶云服務(wù)期滿后，設(shè)備管理平臺應(yīng)自動消除原有服務(wù)器上磁盤和內(nèi)存數(shù)據(jù)，使

得原用戶數(shù)據(jù)無法恢復(fù)，保證對用戶退庫后的設(shè)備進(jìn)行完全的數(shù)據(jù)銷毀，以免造成數(shù)據(jù)泄漏。

6.2業(yè)務(wù)安全

6.2.1一般規(guī)定

業(yè)務(wù)安全圍繞云平臺的具體業(yè)務(wù)功能展開，主要模塊包括身份認(rèn)證鑒權(quán)，密鑰分發(fā)和管理，接入認(rèn)

證和通道加密，用戶和設(shè)備管理，日志審計和運維監(jiān)控。這些模塊支撐的業(yè)務(wù)功能包括用戶注冊、登錄

和注銷，設(shè)備入網(wǎng)認(rèn)證和用戶綁定、用戶和設(shè)備身份鑒權(quán)、固件升級、日志審計和用戶信息保護(hù)等內(nèi)容。

6.2.2用戶注冊、登錄和注銷

用戶賬號的相關(guān)過程應(yīng)符合下列要求：

a)應(yīng)對用戶注冊的過程進(jìn)行有效保護(hù)；

b)應(yīng)對用戶注冊或登錄涉及的用戶密碼，進(jìn)行加密處理后才能傳輸；

c)應(yīng)有效防止用戶登錄、密碼重置、忘記密碼等流程進(jìn)行密碼暴力破解；

d)應(yīng)對所有請求參數(shù)進(jìn)行有效校驗，保證會話的完整性；

4

T/XXXX-2020

e)應(yīng)保證用戶注銷賬號的權(quán)利，確保用戶數(shù)據(jù)能夠完整和安全地刪除。

6.2.3設(shè)備入網(wǎng)認(rèn)證和用戶綁定

設(shè)備入網(wǎng)認(rèn)證和用戶綁定應(yīng)符合下列要求：

a)應(yīng)對設(shè)備的身份進(jìn)行有效驗證，需要保證平臺內(nèi)設(shè)備的身份信息唯一，不可預(yù)測，并擁有足夠

的長度和復(fù)雜度；

b)應(yīng)保證用戶綁定設(shè)備的過程安全可靠，需確保用戶和設(shè)備身份準(zhǔn)確。

6.2.4用戶和設(shè)備身份鑒權(quán)

設(shè)備交互過程，包含了APP與云端交互，以及云端與設(shè)備交互，平臺的服務(wù)包括設(shè)備的鑒權(quán)，用戶

的鑒權(quán)，設(shè)備控制和狀態(tài)的上報。交互過程的身份鑒權(quán)應(yīng)符合下列要求：

a)應(yīng)對設(shè)備的身份憑證進(jìn)行有效驗證，禁止直接使用設(shè)備ID等身份索引標(biāo)識符號直接作為交互

的憑證；

b)應(yīng)對用戶的身份憑證進(jìn)行有效驗證，禁止直接使用用戶ID等身份索引標(biāo)識符號直接作為交互

的憑證；

c)應(yīng)對用戶和設(shè)備的綁定關(guān)系進(jìn)行嚴(yán)格的校驗，防止用戶和非其綁定關(guān)系的設(shè)備進(jìn)行交互。

6.2.5固件升級

固件升級應(yīng)符合下列要求：

a)應(yīng)保證在固件升級下發(fā)固件信息的完整性和準(zhǔn)確性；

b)應(yīng)保證固件的完整性和不可抵賴性，對固件進(jìn)行安全有效的算法驗證；

c)應(yīng)能夠在下發(fā)固件的時候，同時下發(fā)固件的校驗值，宜使用SM3等算法。

6.2.6日志審計

日志審計應(yīng)符合下列要求：

a)應(yīng)審計用戶的所有操作時間，包括事件的日期、時間、類型、設(shè)備標(biāo)識和結(jié)果，對不正常的事

件，如頻繁大量或不符合的業(yè)務(wù)參數(shù)進(jìn)行有效記錄和告警；

b)應(yīng)審計設(shè)備的異常狀態(tài)，包括系統(tǒng)資源的使用情況，設(shè)備狀態(tài)的頻繁變化等，進(jìn)行有效的記錄

和告警；

c)應(yīng)保護(hù)審計記錄，保證無法刪除、修改或覆蓋等；

d)應(yīng)保證日志存儲時間滿足《中華人民共和國網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)的規(guī)定和要求。

6.2.7用戶信息保護(hù)

平臺應(yīng)滿足GB/T35273-2020中的個人信息安全規(guī)范。

7傳輸層安全要求

7.1一般要求

平臺在與終端設(shè)備之間進(jìn)行身份認(rèn)證與數(shù)據(jù)加密傳輸時，應(yīng)使用國家密碼管理局批準(zhǔn)的商用密碼算

法。

7.2安全認(rèn)證要求

7.2.1集成平臺要求

5

T/XXXX-2020

應(yīng)支持標(biāo)準(zhǔn)的認(rèn)證授權(quán)機(jī)制，提供認(rèn)證授權(quán)網(wǎng)關(guān)的服務(wù)或模塊供各子系統(tǒng)平臺使用，達(dá)到單點登錄

和用戶權(quán)限統(tǒng)一維護(hù)的效果，各子系統(tǒng)平臺應(yīng)能將自己的認(rèn)證和授權(quán)部分接入集成平臺由集成平臺統(tǒng)一

管理，也可以脫離集成平臺獨立運行。集成平臺和子系統(tǒng)平臺在直接進(jìn)行物聯(lián)網(wǎng)設(shè)備接入時也應(yīng)實現(xiàn)設(shè)

備的認(rèn)證和授權(quán)機(jī)制，做到只有已知的設(shè)備才能接入平臺，避免非法設(shè)備隨意接入平臺對系統(tǒng)的正常運

行產(chǎn)生影響。

7.2.2認(rèn)證機(jī)制

認(rèn)證機(jī)制中應(yīng)避免使用一些終端依賴的機(jī)制，對于設(shè)備的接入，應(yīng)采用基于非對稱秘鑰機(jī)制進(jìn)行身

份認(rèn)證。

7.2.3授權(quán)機(jī)制

授權(quán)機(jī)制應(yīng)根據(jù)不同的客體可以采用不同的機(jī)制，支持基于角色的細(xì)粒度訪問控制（RBAC）。平臺

在集成各子系統(tǒng)平臺時除提供單點登錄的方案外，還應(yīng)支持標(biāo)準(zhǔn)的授權(quán)機(jī)制，使集成平臺和各子系統(tǒng)平

臺之間使用一致的角色權(quán)限；對于多個子系統(tǒng)之間的集成宜采用基于OAuth2.0的授權(quán)機(jī)制。

7.3安全接入要求

7.3.1對于保密性一般的數(shù)據(jù)接入，如封閉的內(nèi)網(wǎng)環(huán)境：平臺應(yīng)對內(nèi)網(wǎng)提供HTTP的API。

7.3.2對于保密性高的數(shù)據(jù)接入：平臺應(yīng)對外僅提供HTTPS的API，不可對外提供HTTP的API；終端

應(yīng)用程序?qū)訒r不可忽略證書錯誤。

7.3.3對于保密性極高的數(shù)據(jù)接入：平臺應(yīng)對外僅提供HTTPS的API，不可對外提供HTTP的API；TLS

版本必須大于等于1.2，禁用TLS1和TLS1.1；終端應(yīng)用程序?qū)訒r不可忽略證書錯誤，終端應(yīng)用

程序應(yīng)實現(xiàn)證書鎖定（SSL/TLSPining）。

7.3.4平臺應(yīng)能夠攔截未經(jīng)授權(quán)的訪問，為每個受信的終端應(yīng)用程序頒發(fā)終端唯一標(biāo)識、終端秘鑰。

終端唯一標(biāo)識可對外公開，終端秘鑰不可對外公開。

7.3.5終端應(yīng)用程序調(diào)用平臺提供的API時，平臺應(yīng)能夠驗證認(rèn)證信息，能夠防止重放攻擊，并能夠

驗證請求的內(nèi)容未經(jīng)篡改。

7.3.6平臺應(yīng)實現(xiàn)僅允許受信的終端應(yīng)用程序調(diào)用其有權(quán)訪問的API，對超出訪問權(quán)限的調(diào)用進(jìn)行攔

截。在平臺中，每個受信的終端應(yīng)用程序應(yīng)配置有0到多條API訪問規(guī)則，每條訪問規(guī)則應(yīng)確切地描述

終端“允許調(diào)用”系統(tǒng)中的哪一個或那些API，以及允許調(diào)用的頻次（非必須）等，或者是描述終端“禁

止調(diào)用”系統(tǒng)中的哪一個或那些API。

8感知層安全要求

8.1一般要求

加解密部件主要包括加密網(wǎng)閘、加密模塊等。位于公有云中的虛擬加密網(wǎng)閘，是通過軟件實現(xiàn)的，

功能與實體的加密網(wǎng)閘一致；位于本地的樓宇自控系統(tǒng)，其內(nèi)部的加密模塊，既可以是獨立的外掛型式，

也可以集成在各類型樓宇控制器內(nèi)部。內(nèi)置安全芯片的加解密部件，可以獲得更高的網(wǎng)絡(luò)安全防護(hù)等級。

8.2安全分級原則

6

T/XXXX-2020

智慧樓宇設(shè)備依據(jù)自身在身份認(rèn)證、硬件、操作系統(tǒng)、固件等安全能力，依次劃分三個安全等級，

安全能力從低到高分別為：Level1、Level2、Level3，以滿足不同應(yīng)用場景的安全需求。本標(biāo)準(zhǔn)依次對

不同安全等級的智慧樓宇設(shè)備提出安全需求，智慧樓宇設(shè)備應(yīng)滿足Level1中的全部安全要求，Level2

至level3為宜滿足的可選安全要求，并應(yīng)符合下列規(guī)定：

a)Level1級智慧樓宇設(shè)備應(yīng)可在使用密鑰時可以進(jìn)行軟件級隔離并保障一定的安全性并可以抵

抗大規(guī)模軟件攻擊，應(yīng)支持如軟件沙箱、白盒加密等技術(shù)，并滿足以下基本要求：

——具備設(shè)備認(rèn)證能力，實現(xiàn)設(shè)備身份認(rèn)證；

——具備硬件安全能力，應(yīng)提供最小外部接口；

——具備操作系統(tǒng)安全，應(yīng)能抵御通用軟件外部攻擊能力。

b)Level2級智慧樓宇設(shè)備應(yīng)可在使用密鑰時可以進(jìn)行邏輯級隔離并應(yīng)可以抵御大規(guī)模軟件攻擊、

可在操作系統(tǒng)層被攻破的情況下仍然保障密鑰的安全性，應(yīng)支持如可信執(zhí)行環(huán)境、安全MCU

芯片等技術(shù)，在滿足level1級安全能力要求基礎(chǔ)上，應(yīng)滿足以下基本要求：

——具備設(shè)備認(rèn)證能力，實現(xiàn)基于數(shù)據(jù)證書的身份認(rèn)證；

——具備硬件安全能力，應(yīng)提供防止簡單物理攻擊的能力；

——具備操作系統(tǒng)安全，應(yīng)能預(yù)防通用外部攻擊能力。

c)Level3級智慧樓宇設(shè)備應(yīng)可支持物理隔離安全性、芯片級防篡改保護(hù)機(jī)制并具備可抵御芯片

級攻擊能力，可在物理設(shè)備層被攻破的情況下仍然保障密鑰的安全性，應(yīng)支持安全芯片或同等

安全能力的安全單元。在滿足level2級安全能力要求基礎(chǔ)上，應(yīng)滿足以下基本要求：

——具備獨立的密碼安全芯片，為系統(tǒng)提供獨立的安全秘密服務(wù)；

——具備硬件與平臺雙向認(rèn)證能力，實現(xiàn)基于硬件的數(shù)字證書機(jī)制，宜采用國產(chǎn)密碼算法；

——具備硬件防止外部物理攻擊能力；

——具備操作系統(tǒng)安全，應(yīng)采用可信計算等技術(shù)，保證系統(tǒng)安全，內(nèi)部程序采用白名單機(jī)制。

8.3應(yīng)用程序安全要求

8.3.1應(yīng)用程序內(nèi)部存儲要求

內(nèi)部存儲應(yīng)符合下列要求：

a)系統(tǒng)私有目錄本地部分存放的配置文件等信息，通過安全的加密方式保存，包括嚴(yán)格的讀寫執(zhí)

行權(quán)限設(shè)置；

b)系統(tǒng)數(shù)據(jù)庫不應(yīng)存儲用戶相關(guān)的敏感信息；

c)在設(shè)備本地不存儲所有智慧樓宇設(shè)備的令牌等涉及設(shè)備安全的信息；

d)在未授權(quán)拿到令牌之前，應(yīng)用程序不應(yīng)主動獲取智慧樓宇設(shè)備的信息；

e)應(yīng)用程序系統(tǒng)配置文件不應(yīng)出現(xiàn)敏感信息。

8.3.2應(yīng)用系統(tǒng)日志要求

系統(tǒng)日志應(yīng)符合下列要求：

a）應(yīng)用程序系統(tǒng)不應(yīng)打印和存放任何交互日志文件；

b）應(yīng)用程序系統(tǒng)不應(yīng)打印和存放任何從智慧樓宇設(shè)備獲取的信息的日志文件。

8.3.3應(yīng)用代碼安全要求

代碼安全應(yīng)符合下列要求：

a)簽名應(yīng)校驗客戶端完整性；

b)對核心業(yè)務(wù)代碼應(yīng)進(jìn)行混淆；

c)應(yīng)具備反調(diào)試功能；

7

T/XXXX-2020

d)應(yīng)用程序禁止存在病毒、木馬、惡意腳本/代碼，以及發(fā)送惡意廣告、吸費、惡意消耗流量的

行為；

e)軟件安裝包應(yīng)進(jìn)行完整性保護(hù)并確保完整性校驗流程安全可靠；

f)應(yīng)用程序執(zhí)行從文件中讀取的命令或調(diào)用外部腳本時要嚴(yán)格限制該文件的腳本的修改權(quán)限，防

止注入攻擊；

g)應(yīng)用程序必須設(shè)置對外交互組件的訪問權(quán)限；

h)禁止口令輸入組件提供拷出功能；

i)必須對涉及現(xiàn)實或虛擬貨幣應(yīng)用的口令輸入框?qū)崿F(xiàn)安全輸入機(jī)制；

j)涉及現(xiàn)實或虛擬貨幣的應(yīng)用必須實現(xiàn)root檢測及風(fēng)險控制；

k)禁止應(yīng)用提供設(shè)備權(quán)限破解功能；

l)應(yīng)用程序禁止緩存敏感信息；

m)應(yīng)用程序只申請業(yè)務(wù)必要的權(quán)限；

n)應(yīng)用程序應(yīng)實現(xiàn)自動檢測更新機(jī)制；

o)應(yīng)用的保持登錄選項，應(yīng)能夠讓用戶自主選擇和取消；

p)應(yīng)對涉及現(xiàn)實或虛擬貨幣操作的應(yīng)用提供會話保護(hù)機(jī)制；

q)應(yīng)對涉及現(xiàn)實或虛擬貨幣交易操作提供重認(rèn)證；

r)對于每一個需要授權(quán)訪問的Web請求,必須核實用戶的會話標(biāo)識是否合法、用戶是否被授權(quán)執(zhí)

行這個操作；

s)對Web用戶的最終認(rèn)證處理過程必須放到服務(wù)器進(jìn)行；

t)在Web服務(wù)器端對所有來自不可信數(shù)據(jù)源的數(shù)據(jù)進(jìn)行校驗，拒絕任何沒有通過校驗的數(shù)據(jù)。若

輸出到Web客戶端的數(shù)據(jù)來自不可信的數(shù)據(jù)源，則須對該數(shù)據(jù)進(jìn)行相應(yīng)的編碼或轉(zhuǎn)義；

u)Web應(yīng)用程序的會話標(biāo)識必須具備隨機(jī)性、唯一性；身份驗證成功后，必須更換會話標(biāo)識；

v)通過Web上傳文件時，必須在服務(wù)器端采用白名單方式對上傳到Web內(nèi)容目錄下的文件類型進(jìn)

行嚴(yán)格的限制。

8.4密鑰安全要求

加解密部件涉及密鑰安全的安全性應(yīng)符合GM/T0026-2014的規(guī)定。

8.5加解密部件基本技術(shù)要求

各種類型的加解密部件，功能和性能要求上也有所不同，對外型尺寸不做規(guī)定，可根據(jù)應(yīng)用場合確

定。在產(chǎn)品設(shè)計過程中，可將加密模塊集成到產(chǎn)品之中，或者進(jìn)行一體化設(shè)計。

8.6加解密部件的功能要求

8.6.1加解密部件實際上包括對網(wǎng)絡(luò)數(shù)據(jù)信息的加密和解密兩個部分，即將網(wǎng)絡(luò)數(shù)據(jù)從明文數(shù)據(jù)加密

為密文數(shù)據(jù)或從密文數(shù)據(jù)解密為明文數(shù)據(jù)，加解密部件可以根據(jù)實際需要對IP數(shù)據(jù)進(jìn)行加密和解密處

理，如圖3。

8

T/XXXX-2020

圖3加解密部件

8.6.2加解密部件應(yīng)具備動態(tài)更換密鑰的能力，并與其它加解密部件同步，在變更密鑰過程中，不能

影響正在進(jìn)行的網(wǎng)絡(luò)通信。

8.6.3應(yīng)用于互聯(lián)網(wǎng)加解密網(wǎng)絡(luò)通訊的加密網(wǎng)閘，應(yīng)滿足點對點，以及點對多點的主從通訊方式應(yīng)用

場景的加解密要求，也適用于獨立上云的子系統(tǒng)或設(shè)備的應(yīng)用場景；應(yīng)用于樓宇自控系統(tǒng)內(nèi)部的加解密

通訊的加密模塊或類似的加密產(chǎn)品，應(yīng)滿足點對點、點對多點構(gòu)成的主從通訊方式和對等通訊方式應(yīng)用

場景的加解密要求。

8.6.4針對公有云的應(yīng)用，采用虛擬加密網(wǎng)閘代替實體加密網(wǎng)閘，應(yīng)具備與實體加密網(wǎng)閘相類似的功

能，同時應(yīng)獲得密管中心發(fā)放的證書和密鑰，以及實時認(rèn)證和激活。

8.7關(guān)鍵技術(shù)指標(biāo)要求

加解密部件的關(guān)鍵技術(shù)指標(biāo)包括：網(wǎng)速、延遲和丟包率，應(yīng)符合如下要求：

a)網(wǎng)速：≥100MHz

b)網(wǎng)絡(luò)延遲：≤30ms

c)丟包率：≤10-4

9

T/XXXX-2020

附錄A

（規(guī)范性）

安全芯片激活與密鑰交換

A.1安全芯片技術(shù)要求

A.1.1基本要求

安全芯片應(yīng)滿足下列要求：

a)安全芯片應(yīng)符GB/T22186-2016、GM/T0028-2014中5.5規(guī)定的安全四級的要求，同時應(yīng)支持

隨機(jī)數(shù)發(fā)生，隨機(jī)數(shù)應(yīng)符合GM/T0006—2012及NIST隨機(jī)數(shù)檢測標(biāo)準(zhǔn)。

b)安全芯片應(yīng)支持非對稱密碼，符合GM/T0003.1—2012的規(guī)定，實現(xiàn)簽名/驗證以及密鑰交換；

c)安全芯片應(yīng)支持雜湊密碼，符合GM/T0004—2012要求，實現(xiàn)待簽名消息的摘要運算；

d)安全芯片應(yīng)支持對稱密碼，符合GM/T0002—2012要求，實現(xiàn)數(shù)據(jù)加解密及消息認(rèn)證。

A.1.2安全芯片文件結(jié)構(gòu)

A.1.2.1文件結(jié)構(gòu)圖

安全芯片文件結(jié)構(gòu)如圖A.1所示。

圖A.1安全芯片文件結(jié)構(gòu)

文件結(jié)構(gòu)說明如表A.1：

表A.1安全芯片文件結(jié)構(gòu)

文件內(nèi)容說明標(biāo)識類型讀權(quán)限寫權(quán)限

MF主文件3F00目錄文件自由主控密鑰

MKF密鑰文件0000密鑰文件無權(quán)限主控密鑰

EF15發(fā)行基本信息文件0015二進(jìn)制文件自由AMK

DF01智能建筑應(yīng)用應(yīng)用DF01目錄文件自由主控密鑰

A.1.2.2密鑰文件

安全芯片密鑰文件如表A.2:

10

T/XXXX-2020

表A.2安全芯片密鑰文件

密鑰名稱密鑰代碼密鑰標(biāo)識密鑰分散級別密鑰作用

SE主控密鑰SECK003控制主文件添加和刪除；

SE維護(hù)密鑰SEMK003主文件的更新保護(hù)

A.1.2.3發(fā)行基本信息文件

安全芯片發(fā)行基本信息文件見表A.3。

表A.3安全芯片發(fā)行基本信息文件

文件標(biāo)識0015短文件標(biāo)識15

文件類型二進(jìn)制（A8）文件大小0x1E字節(jié)

讀取自由

文件權(quán)限

更新SEMK保護(hù)（F0）

文件說明

字節(jié)數(shù)據(jù)元長度

1-8SE發(fā)行方標(biāo)識8

9應(yīng)用類型標(biāo)識1

10應(yīng)用版本1

11-12占位符（0000）2

13-20應(yīng)用序列號8

21-24應(yīng)用啟動日期4

25-28應(yīng)用有效日期4

29-30SE發(fā)行方自定義文件控制信息數(shù)據(jù)2

A.1.2.4應(yīng)用文件結(jié)構(gòu)說明

安全芯片應(yīng)用文件結(jié)構(gòu)說明見表A.4。

表A.4安全芯片應(yīng)用文件結(jié)構(gòu)

文件內(nèi)容說明標(biāo)識類型讀權(quán)限寫權(quán)限

DF01應(yīng)用文件DF01目錄文件自由主控密鑰

DKF應(yīng)用密鑰文件0000密鑰文件無權(quán)限主控密鑰

簽名公鑰文件0A05二進(jìn)制文件自由主控密鑰或PIN

簽名私鑰文件0A95私鑰文件無權(quán)限主控密鑰或PIN

公鑰文件0128二進(jìn)制文件自由主控密鑰或PIN

簽名公鑰證書文件0129二進(jìn)制文件自由主控密鑰或PIN

用戶信息文件0~用0010~0019二進(jìn)制文件主控密鑰或PIN主控密鑰或PIN

戶信息文件9

A.1.2.5智能建筑應(yīng)用DF01

文件名稱示例為：A00000000386980xxx

A.1.2.6應(yīng)用密鑰文件

11

T/XXXX-2020

安全芯片應(yīng)用密鑰文件見表A.5。

表A.5安全芯片應(yīng)用密鑰文件

密鑰名稱密鑰代碼密鑰標(biāo)識密鑰分散級別密鑰作用

應(yīng)用主控密鑰DACK003控制應(yīng)用下文件添加和刪除；

應(yīng)用維護(hù)密鑰DAMK003應(yīng)用下文件的更新保護(hù)

加密密鑰DENCK08013調(diào)用SE對數(shù)據(jù)進(jìn)行加密

解密密鑰DDECK09013調(diào)用SE對數(shù)據(jù)進(jìn)行解密

PIN密鑰DPIN3A3控制用戶信息文件寫入權(quán)限

A.1.2.7簽名公鑰文件

安全芯片簽名公鑰文件說明見表A.6。

表A.6安全芯片簽名公鑰文件

文件標(biāo)識符‘0A05’

文件類型‘A8’（線路保護(hù)的二進(jìn)制文件）

文件主體空間0x106

讀權(quán)限自由

寫權(quán)限主控密鑰或PIN

A.1.2.8簽名私鑰文件

安全芯片簽名私鑰文件說明見表A.7。

表A.7安全芯片簽名私鑰文件

文件標(biāo)識符‘0A95’

文件類型‘26’

文件主體空間0x2F0

讀權(quán)限自由

寫權(quán)限主控密鑰或PIN

A.1.2.9公鑰文件

安全芯片公鑰文件說明見表A.8。

表A.8安全芯片公鑰文件

文件標(biāo)識符‘0128’

文件類型‘A8’（線路保護(hù)的二進(jìn)制文件）

文件主體空間0x40

讀權(quán)限自由

寫權(quán)限主控密鑰或PIN

A.1.2.10簽名公鑰證書文件

安全芯片簽名公鑰證書文件說明見表A.9。

表A.9安全芯片簽名公鑰證書文件

文件標(biāo)識符