張明珠 孔睿迅 莊偉瑋 景意新 許蘊(yùn)盈

（中國(guó)電器科學(xué)研究院股份有限公司 廣州 510302）

引言

近年來，隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展，智能家電/家居產(chǎn)品的控制器（下文稱“智能控制器”）被加載越來越多智能化應(yīng)用，承載了互聯(lián)，計(jì)算，輸入/輸出等多項(xiàng)重要功能。IEC/T C72（電自動(dòng)控制器標(biāo)準(zhǔn)技術(shù)委員會(huì)）是IEC（國(guó)際電工技術(shù)委員會(huì)）下面負(fù)責(zé)“制定與家用和類似用途的電器和其他設(shè)備，電氣和非電氣用自動(dòng)電氣控制裝置固有安全相關(guān)、與應(yīng)用安全相關(guān)的操作特性，以及測(cè)試方法的標(biāo)準(zhǔn)”的分技術(shù)委員會(huì)。解決物聯(lián)網(wǎng)領(lǐng)域中連接的外部組件的安全問題，TC 72于2019年初新成立智能控制器工作組WG13，由中國(guó)代表擔(dān)任召集人。根據(jù)工作組路線，有必要對(duì)TC 72制定的“IEC 60730-1家用和類似用途的電自動(dòng)控制器.第1部分:一般要求”最新發(fā)布版本標(biāo)準(zhǔn)Edition 5.1進(jìn)行差距分析，并在差距分析的基礎(chǔ)上，把其中一般性的必要要求修訂進(jìn)入IEC 60730-1，第1部分的一部分，把歸類為特定技術(shù)要求的內(nèi)容考慮起草為IEC 60730第二部分的新標(biāo)準(zhǔn)。

本文主要參考物聯(lián)網(wǎng)現(xiàn)有標(biāo)準(zhǔn)中提及的安全要求，對(duì)IEC/TC 72現(xiàn)有標(biāo)準(zhǔn)IEC 60730-1進(jìn)行深入審查，開展差距分析，以找出標(biāo)準(zhǔn)中保障智能控制器物聯(lián)網(wǎng)安全所缺的要素，并提出相關(guān)建議。

1 物聯(lián)網(wǎng)安全需求對(duì)標(biāo)現(xiàn)行標(biāo)準(zhǔn)

參照GB/T 22239.4-2019《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第4部分：物聯(lián)網(wǎng)安全擴(kuò)展要求》，第三級(jí)安全保護(hù)要求比第二級(jí)增加區(qū)域邊界惡意代碼防范、區(qū)域邊界訪問控制等安全功能，使系統(tǒng)具有更強(qiáng)的安全保護(hù)能力。經(jīng)審查“IEC 60730-1 Ed5.1的附錄H：電子控制的要求”內(nèi)容，已經(jīng)對(duì)控制器數(shù)據(jù)交換的訪問控制提出要求，因此考慮基于物聯(lián)網(wǎng)框架的智能控制器外部組件應(yīng)至少達(dá)到第三級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)要求。經(jīng)過對(duì)國(guó)內(nèi)已發(fā)布的網(wǎng)絡(luò)安全有關(guān)標(biāo)準(zhǔn)進(jìn)行篩選研究，決定選取GB/T 25070.4《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求 第4部分：物聯(lián)網(wǎng)安全要求》內(nèi)的第三級(jí)物聯(lián)網(wǎng)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)要求進(jìn)行重點(diǎn)對(duì)標(biāo)研究。

第7點(diǎn)共提出四方面的設(shè)計(jì)要求，其與智能控制器的相關(guān)性分別如下：

1）安全計(jì)算環(huán)境相關(guān)技術(shù)要求：安全計(jì)算環(huán)境是對(duì)定級(jí)系統(tǒng)的信息進(jìn)行存儲(chǔ)、處理及實(shí)施安全策略的相關(guān)部件，與物聯(lián)網(wǎng)終端設(shè)備關(guān)系較密切，應(yīng)重點(diǎn)分析。

2）安全區(qū)域邊界相關(guān)技術(shù)要求：安全區(qū)域邊界主要針對(duì)整個(gè)物聯(lián)網(wǎng)系統(tǒng)的安全計(jì)算環(huán)境邊界等的相關(guān)安全策略。因部分技術(shù)要求與智能控制器的輸入/輸出路徑相關(guān)，應(yīng)選擇部分內(nèi)容進(jìn)行對(duì)比分析。

3）安全通信網(wǎng)絡(luò)相關(guān)技術(shù)要求：該要求主要針對(duì)計(jì)算環(huán)境和信息安全區(qū)域之間的信息傳輸，不屬于物聯(lián)網(wǎng)終端的考慮范圍，無需進(jìn)行對(duì)標(biāo)分析。

4）安全管理中心相關(guān)技術(shù)要求：該要求主要規(guī)定物聯(lián)網(wǎng)系統(tǒng)各部分的安全機(jī)制的統(tǒng)一管理，不屬于物聯(lián)網(wǎng)終端的考慮范圍，無需進(jìn)行對(duì)標(biāo)分析。

2 IEC 60730-1與物聯(lián)網(wǎng)安全需求之間的差距分析

根據(jù)上述對(duì)標(biāo)分析，擬選取安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求及安全區(qū)域邊界設(shè)計(jì)技術(shù)要求的區(qū)域邊界包過濾部分開展差距分析，分析過程如下：

1）IEC 60730-1與安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求的差距分析（詳見表1）。

2）IEC 60730-1與7.3.2安全區(qū)域邊界設(shè)計(jì)技術(shù)要求的差距分析（詳見表2）。

表1 IEC 60730-1與安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求的差距分析

3 對(duì)IEC 60730-1提出的修訂建議

針對(duì)以上物聯(lián)網(wǎng)安全需求與IEC 60730-1標(biāo)準(zhǔn)之間的差距分析結(jié)果，對(duì)IEC 60730-1提出四點(diǎn)修訂建議。

3.1 設(shè)備標(biāo)識(shí)

隨著物聯(lián)網(wǎng)的發(fā)展，身份管理的作用正在擴(kuò)大。它不再是單純的識(shí)別人員和管理他們對(duì)應(yīng)不同類型數(shù)據(jù)。在物聯(lián)網(wǎng)領(lǐng)域，身份管理必須能夠識(shí)別設(shè)備，傳感器，監(jiān)視器，并管理對(duì)敏感和非敏感數(shù)據(jù)的訪問。控制器標(biāo)準(zhǔn)應(yīng)該考慮物聯(lián)網(wǎng)世界中設(shè)備的設(shè)備身份，因?yàn)椋?/p>

1）目前沒有標(biāo)準(zhǔn)方法來識(shí)別跨網(wǎng)絡(luò)架構(gòu)的設(shè)備；

2）MAC地址已逐漸不夠用；

3）設(shè)備標(biāo)識(shí)對(duì)于完成信任鏈非常重要（如需要關(guān)閉一個(gè)重要的漏洞窗口時(shí)）。

因此，建議將設(shè)備ID存儲(chǔ)在（控制器）內(nèi)存中，并提供保護(hù)機(jī)制以防止通過物理/電子攻擊檢索設(shè)備ID。設(shè)備ID在相應(yīng)的系統(tǒng)安全域的操作范圍內(nèi)應(yīng)是唯一的、不變的以及可驗(yàn)證的。

3.2 硬件防篡改保護(hù)

物聯(lián)網(wǎng)技術(shù)使控制器上的傳感器和控制結(jié)點(diǎn)更易于通過網(wǎng)絡(luò)進(jìn)行安裝和管理，也帶來了安全隱患。雖然通過加密保護(hù)無線鏈路不失為一項(xiàng)關(guān)鍵安全設(shè)計(jì)技術(shù)，但無線結(jié)點(diǎn)（設(shè)備終端）本身就很容易被篡改。

被篡改的危害包括：攔截正在收集的數(shù)據(jù)、加密密鑰或代碼本身。這種黑客攻擊可以改變?cè)O(shè)備傳輸出去的數(shù)據(jù)，或攔截來自控制端的數(shù)據(jù)等等。因此，有必要對(duì)聯(lián)網(wǎng)的控制器提供硬件篡改保護(hù)。

目前已存在各種級(jí)別的硬件篡改保護(hù)方法。這里借鑒“FIPS 140-2關(guān)于加密模塊的篡改保護(hù)的術(shù)語”標(biāo)準(zhǔn)內(nèi)的安全級(jí)別3內(nèi)容對(duì)智能控制器標(biāo)準(zhǔn)提出建議：

控制器硬件防篡改，應(yīng)對(duì)物理篡改有響應(yīng)，如模塊上敏感材料的歸零[2]等。

3.3 安全存儲(chǔ)

安全存儲(chǔ)是指容納敏感或機(jī)密數(shù)據(jù)的物理方法（“敏感數(shù)據(jù)”）。 這些數(shù)據(jù)包括對(duì)稱或非對(duì)稱私鑰，證書數(shù)據(jù)，安全域訪問憑證或個(gè)人用戶信息等。 敏感數(shù)據(jù)應(yīng)要求保持其完整性，而關(guān)鍵敏感數(shù)據(jù)應(yīng)要求保持其完整性和機(jī)密性。

建議將硬件安全存儲(chǔ)技術(shù)用于關(guān)鍵敏感數(shù)據(jù)。硬件安全存儲(chǔ)通常涉及基于半導(dǎo)體的非易失性存儲(chǔ)器（“NVRAM”），并且包括用于防止對(duì)關(guān)鍵敏感數(shù)據(jù)的未授權(quán)訪問的對(duì)策。

建議物聯(lián)網(wǎng)設(shè)備制造商為敏感數(shù)據(jù)提供合理保護(hù)，以防未經(jīng)授權(quán)的設(shè)備，團(tuán)體或個(gè)人以惡意或良性目的訪問。 此外，由于敏感數(shù)據(jù)通常用于身份驗(yàn)證和加密，因此必須保持其完整性，防止有意或無意的更改。

建議關(guān)鍵敏感數(shù)據(jù)存儲(chǔ)在控制器安全存儲(chǔ)中，任何需要從該安全存儲(chǔ)傳輸?shù)臄?shù)據(jù)（在使用時(shí)）都應(yīng)加密，以防止MCU / MPU內(nèi)的惡意軟件竊聽[3]。

在測(cè)試方面，建議考慮有保護(hù)機(jī)制，防止敏感數(shù)據(jù)受到攻擊，此處借鑒ISO/IEC 30118-2標(biāo)準(zhǔn)，測(cè)試方法可包括但不限于：

1）物理去除芯片封裝并以光學(xué)（的方法）讀取NVRAM內(nèi)容；

2）對(duì)去除的芯片封裝進(jìn)行物理探測(cè)，以電子方式讀取NVRAM內(nèi)容；

3）探測(cè)電源線或RF發(fā)射以監(jiān)測(cè)電壓波動(dòng)，以識(shí)別關(guān)鍵敏感數(shù)據(jù)的位模式；

4）使用惡意軟件或固件在控制器靜止或傳輸時(shí)讀取存儲(chǔ)器內(nèi)容；

5）注入導(dǎo)致不正確的設(shè)備操作或丟失或改變敏感數(shù)據(jù)的故障。

3.4 可信輸入/輸出路徑

表2 IEC 60730-1與安全區(qū)域邊界設(shè)計(jì)技術(shù)要求的差距分析

根據(jù)安全區(qū)域邊界相關(guān)技術(shù)要求，控制器應(yīng)考慮有相關(guān)方法保護(hù)用于數(shù)據(jù)輸入或輸出可信加密邊界的路徑及端口，包括進(jìn)出安全執(zhí)行引擎和安全內(nèi)存的路徑。

建議把未經(jīng)授權(quán)的人或流程隔離開，以避免執(zhí)行敏感流程。隔離對(duì)象包括CPU緩存及需要被視為可信（加密）邊界一部分的所有執(zhí)行元素等。

建議隔離進(jìn)出執(zhí)行引擎的數(shù)據(jù)路徑。例如，加密之前或解密之后的未加密但敏感的數(shù)據(jù)，或者用于加密算法的加密密鑰，如解密或簽名等。

4 結(jié)語

除了上述新增內(nèi)容的建議，設(shè)備聯(lián)網(wǎng)對(duì)控制器原有的遠(yuǎn)程控制功能、數(shù)據(jù)交換的訪問、安全相關(guān)數(shù)據(jù)的通信以及密碼技術(shù)方面也會(huì)提出新的挑戰(zhàn)。本文只重點(diǎn)聚焦于對(duì)IEC 60730-1標(biāo)準(zhǔn)未涉及的物聯(lián)網(wǎng)安全相關(guān)要求進(jìn)行分析，以此明確潛在的標(biāo)準(zhǔn)可新增修訂內(nèi)容。