發(fā)布日期:2023-03-27 17:56 瀏覽次數(shù):
本標(biāo)準(zhǔn)規(guī)定了物聯(lián)網(wǎng)感知層接入通信網(wǎng)的結(jié)構(gòu),提出了通信網(wǎng)接入系統(tǒng)、感知信息傳輸網(wǎng)絡(luò)及感知層接入的安全技術(shù)要求。
本標(biāo)準(zhǔn)適用于物聯(lián)網(wǎng)系統(tǒng)工程中感知層接入實(shí)體的信息安全設(shè)計(jì)、選型和系統(tǒng)集成。
下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 18794.2-2002 信息技術(shù) 開放系統(tǒng)互連 開放系統(tǒng)安全框架 第2部分:鑒別框架
GB/T 25069-2010 信息安全技術(shù) 術(shù)語
GB/T 30269.601-2016 信息技術(shù) 傳感器網(wǎng)絡(luò) 第601部分:信息安全:通用技術(shù)規(guī)范
GB/T 33745 物聯(lián)網(wǎng) 術(shù)語
GB/T 18794.2-2002.GB/T 25069-2010、GB/T 30269.601-2016和GB/T 33745界定的以及下列術(shù)語和定義適用于本文件。
3.1
物聯(lián)網(wǎng)感知層 sensing layer of IoT
物聯(lián)網(wǎng)感知控制域,即各類獲取感知對象信息與操控控制對象的軟硬件系統(tǒng)的實(shí)體集合。
3.2
通信網(wǎng) communication network
收集、融合和處理物聯(lián)網(wǎng)感知信息數(shù)據(jù),并形成物聯(lián)網(wǎng)應(yīng)用的計(jì)算機(jī)設(shè)備和網(wǎng)絡(luò)。
3.3
感知終端 sensing terminal
能對物或環(huán)境進(jìn)行信息采集和/或執(zhí)行操作,并能聯(lián)網(wǎng)進(jìn)行通信的裝置。
3.4
物聯(lián)網(wǎng)感知層網(wǎng)關(guān) sensing layer gateway of IoT
支撐感知層與通信網(wǎng)互聯(lián),并實(shí)現(xiàn)感知層本地管理的實(shí)體。
3.5
感知層接入實(shí)體 access entity of sensing layer
處于物聯(lián)網(wǎng)感知層中,接入通信網(wǎng)進(jìn)行數(shù)據(jù)通信的設(shè)備。
注:常見的感知層接入實(shí)體包括感知終端、感知層網(wǎng)關(guān)等用于采集感知對象信息或?qū)崿F(xiàn)本地管理的聯(lián)網(wǎng)通信設(shè)備。
3.6
接入系統(tǒng) access system
部署在物聯(lián)網(wǎng)系統(tǒng)中的通信網(wǎng)邊界,并對感知層接入實(shí)體連接通信網(wǎng)進(jìn)行接入管理的軟硬件系統(tǒng)的實(shí)體集合。
下列縮略語適用于本文件。
ACL:訪問控制列表(Access Control List)
ID:身份標(biāo)識(shí)(Identity)
IoT:物聯(lián)網(wǎng)(Internet of Things)
IP:互聯(lián)網(wǎng)協(xié)議(Internet Protocol)
MAC:媒體訪問控制(Media Access Control)
VPN:虛擬專用網(wǎng)絡(luò)(Virtual Private Network)
5.1 物聯(lián)網(wǎng)感知層接入通信網(wǎng)結(jié)構(gòu)
本標(biāo)準(zhǔn)規(guī)范的對象是物聯(lián)網(wǎng)感知層接入實(shí)體通過傳輸網(wǎng)絡(luò)連接到通信網(wǎng)來進(jìn)行數(shù)據(jù)通信的過程,其網(wǎng)絡(luò)連接結(jié)構(gòu)如圖1所示,包括圖1虛線框內(nèi)的以下實(shí)體對象:
a)感知終端(僅指不通過感知層網(wǎng)關(guān)接入通信網(wǎng)的終端);
b)物聯(lián)網(wǎng)感知層網(wǎng)關(guān);
注:當(dāng)物聯(lián)網(wǎng)感知終端或網(wǎng)絡(luò)因本身電能、性能、傳輸能力弱,無法滿足安全要求時(shí),采用物聯(lián)網(wǎng)(感知層)網(wǎng)關(guān)來連接通信網(wǎng)。
c)感知信息傳輸網(wǎng)絡(luò)(有線或無線);
d)通信網(wǎng)接入系統(tǒng)(以下簡稱“接入系統(tǒng)”)。
物聯(lián)網(wǎng)感知層接入通信網(wǎng)的示例參見附錄A。
注:虛線框中的部分是感知層接入通信網(wǎng)的實(shí)體及類型,表示無線連接方式,-表示有線連接方式。
圖1 感知層接入通信網(wǎng)結(jié)構(gòu)
保障以上實(shí)體互聯(lián)形成的感知層接入通信網(wǎng)的安全,應(yīng)滿足以下三個(gè)部分的技術(shù)要求:
a)感知層接入實(shí)體安全技術(shù)要求;
b)感知信息傳輸網(wǎng)絡(luò)安全技術(shù)要求;
c)通信網(wǎng)接入系統(tǒng)安全技術(shù)要求。
5.2 安全技術(shù)要求分級(jí)與密碼算法說明
本標(biāo)準(zhǔn)按照感知層接入通信網(wǎng)的安全功能強(qiáng)度,劃分為基本級(jí)和增強(qiáng)級(jí)兩個(gè)等級(jí)的要求。本標(biāo)準(zhǔn)凡涉及密碼算法的相關(guān)內(nèi)容,按國家有關(guān)法規(guī)實(shí)施,凡涉及采用密碼技術(shù)解決保密性、完整性、真實(shí)性、不可否認(rèn)性需求的應(yīng)遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。
注:相對于基本要求,增強(qiáng)要求新增內(nèi)容用黑體字表示。
6.1 基本級(jí)要求
6.1.1 設(shè)備標(biāo)識(shí)
接入系統(tǒng)中的設(shè)備應(yīng)具有可用于物聯(lián)網(wǎng)系統(tǒng)中通信識(shí)別的唯一標(biāo)識(shí)。
示例:設(shè)備ID、序列號(hào)、MAC地址等。
6.1.2 鑒別
6.1.2.1 接入鑒別機(jī)制
接入系統(tǒng)應(yīng)對接入通信網(wǎng)的感知層接入實(shí)體進(jìn)行鑒別,并至少支持以下方式中的一種:
a)基于感知層接入實(shí)體標(biāo)識(shí)和接入口令的單向認(rèn)證;
b)基于預(yù)共享密鑰的單向或雙向認(rèn)證。
注:預(yù)共享密鑰,是物聯(lián)網(wǎng)實(shí)體設(shè)備之間進(jìn)行保密通信的初始密鑰。
6.1.2.2 鑒別失敗處理
接入系統(tǒng)應(yīng)具備接入鑒別失敗的處理能力,并滿足以下要求:
a)當(dāng)鑒別應(yīng)答超過規(guī)定時(shí)限時(shí),接入系統(tǒng)應(yīng)能終止與待接入的感知層接入實(shí)體之間的當(dāng)前會(huì)話;
b)在經(jīng)過一定次數(shù)的鑒別失敗以后,接入系統(tǒng)應(yīng)能終止由該感知層接入實(shí)體發(fā)起的建立會(huì)話的嘗試,并在一定的時(shí)間間隔后才能允許繼續(xù)接入。
6.1.3 訪問控制
接入系統(tǒng)應(yīng)支持感知層接入實(shí)體對通信網(wǎng)的訪問控制機(jī)制和安全策略,并滿足以下要求:
a)通過ACL方式控制感知層接入實(shí)體對通信網(wǎng)的訪問;
b)支持制定和執(zhí)行訪問控制策略的功能,訪問控制策略可以是基于IP地址、用戶/用戶組、讀/寫等操作的一種或多種的組合;
c)支持黑名單制,阻斷相關(guān)感知層接入實(shí)體對通信網(wǎng)的訪問。
6.1.4 數(shù)據(jù)傳輸安全
接入系統(tǒng)應(yīng)保障感知層接入實(shí)體與通信網(wǎng)的數(shù)據(jù)傳輸安全,并滿足以下要求:
a)數(shù)據(jù)保密性,應(yīng)對數(shù)據(jù)進(jìn)行保密性保護(hù),保障數(shù)據(jù)不被泄露;
b)數(shù)據(jù)完整性,應(yīng)對數(shù)據(jù)進(jìn)行完整性校驗(yàn),保障數(shù)據(jù)不被篡改;
以上為標(biāo)準(zhǔn)部分內(nèi)容,如需看標(biāo)準(zhǔn)全文,請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。
