DB36 T 1647-2022 基于窄带物联网（NB-IoT）电表终端安全技术规范.pdf

1、ICS 17.040.30 CCS A 50 错误！未指定书签。DB 错误！未指定书签。错 误！未 指 定 书 签。地 方 标 准 DB 错误！未指定书签。/T 1647错误！未指定书签。错误！未指定书签。错误！未指定书签。Security technical specification for electricity meter terminal based on NB-IoT DB36/T 16472022 2 错误！未指定书签。-09-26 发2023-错误！未指定书签。-错江西省市场监督管理局 发 布 DB36/T 16472022 1 目 次 1 范围.3 2 规范性引用文件.3 3

2、 术语和定义.3 4 缩略语.5 5 电表类型及安全架构.5 6 基础级安全技术要求.7 7 扩展性安全技术要求.10 参 考 文 献.14 DB36/T 16472022 2 前 言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江西省物联网专业标准化技术委员会（JX/TC 034）提出并归口。本文件起草单位：江西智慧云测安全检测中心股份有限公司、鹰潭泰尔物联网研究中心有限公司、南昌大学。本文件主要起草人：杜磊、李海滨、张策、徐九八、安焘、刘海瑞、陈昌鹤、刘泽

3、民、叶高翔、杨鑫、谢志刚、杨鼎成。DB36/T 16472022 3 基于窄带物联网（NB-IoT）的电表终端安全技术规范 1 范围 本文件规定了基于窄带物联网（NB-IoT）的电表终端安全术语、定义和安全设计要求。本文件适用于江西省范围内基于窄带物联网（NB-IoT）的电表终端制造、检测和安全监测系统建设。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，标注日期的引用文件，仅该日期对应的版本适用于本文件；不标注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 4208 外壳防护等级（IP代码）GB/T 17626.3 电磁兼容 试

4、验和测量技术射频电磁场辐射抗扰度试验 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25069 信息安全技术 术语 GB/T 32915 信息安全技术 二元序列随机性检测方法 GB/T 36951 信息安全技术 物联网感知终端应用安全技术要求 GB/T 38638 信息安全技术 可信计算 可信计算体系结构 YD/T 2578.2 LTE FDD 数字蜂窝移动通信网 终端设备测试方法（第一阶段）第2部分：无线射频性能测试 JR/T 0156 移动终端支付可信环境技术规范 3GPP TS 36.521-1 长期演进技术.演进通用陆地无线接入(E-UTRA).用户设备(UE

5、)一致性规范.无线电传输和接收.第1部分:一致性测试 3GPP TS 36.523-1 长期演进技术.演进通用陆地无线接入(E-UTRA)和演进分组核心(EPC).用户设备(UE)一致性规范.第1部分:协议一致性规范 3 术语和定义 下列术语和定义适用于本文件。3.1 窄带物联网 NB-IoT Narrow Band Internet of Things IoT领域的新兴技术，支持低功耗设备在广域网的蜂窝数据连接。NB-IoT支持待机时间长、对网络连接要求较高设备的高效连接。具有覆盖广、连接多、速率快、成本低、功耗低、架构优等特点。3.2 敏感数据（信息）Sensitive Data(info

6、rmation)DB36/T 16472022 4 PIN和加密密钥等设备或开锁人独有的数据和信息，敏感数据需要进行有效保护，防止泄露、被修改或被破坏。3.3 固件 Firmware 在设备内部与设备安全性相关所有程序代码称为固件，一般是指存储于设备中的电可擦除只读存储器EEPROM(Electrically Erasable Programmable ROM)或FLASH芯片中的软件，固件必须符合规范的各项安全要求。3.4 安全启动 Secure Boot 通过安全芯片或者其它安全组件的安全能力，保证运行与芯片上的软件从上电开始的后续各个阶段的启动流程不可篡改，启动后运行的固件或者软件能够保

7、证其真实性和完整性。3.5 辐射抗扰度 Radiated Immunity 辐射抗扰度，又称为辐射敏感度，指各种装置、设备或系统，在存在辐射的情况下，抵抗辐射的一种能力。敏感度越高，抗干扰的能力越低。3.6 最大发射功率 Maximum Transmit Power 在信道带宽内任何传输带宽的最大发射功率。3.7 参考灵敏度水平 Reference Sensitivity Level 给定的平均吞吐量，某个特定的参考测量信道，在低信号电平、理想传播条件、无附加噪声的条件下接收数据的能力。3.8 频率误差 Frequency Error 接收机和发射机正确处理频率的能力。3.9 载波泄漏 Car

8、rier Leakage 由交调或者直流偏差引起的干扰，通过载波泄漏可以验证发射机的调制质量。3.10 安全启动 Secure Boot DB36/T 16472022 5 通过安全芯片或者其它安全组件的安全能力，保证运行与芯片上的软件从上电开始的后续各个阶段的启动流程不可篡改，启动后运行的固件或者软件能够保证其真实性和完整性。3.11 数据新鲜性 Data Freshness 接收到的数据，相对最近时刻从数据源采集的数据而言，其内容未发生变化且其传输时间未超出规定范围的特性。3.12 安全芯片 Security Chip 含有密码算法、安全功能，可实现密钥管理机制的相对独立的芯片。4 缩略语

9、 下列缩略语适用于本文件：3GPP 第三代合作伙伴计划（3rd Generation Partnership Project）AKA 认证与密钥协商协议（Authentication and Key Agreement）AS 接入层（Access Stratum）CoAP 受限制的应用协议（Constrained Application Protocal）DTLS 数据包传输层安全性协议（Datagram Transport Layer Security）IoT 物联网（Internet of Things）LwM2M 轻量级机器对机器（Lightweight Machine to Machi

10、ne）NAS 非接入层（Non-access Stratum）PIN 个人识别（Personal Identification Number）PSK 预共享密钥模式（Pre-shared Key）RFID 射频识别（Radio Frequency Identification）5 电表类型及安全架构 5.1 电表分类 电表按安全防御能力分为弱终端类和强终端类电表：a)弱终端类：需要满足基本安全要求，同时兼顾计算能力和成本，比如 DTLS、双向认证、密码管理、远程升级等；这类终端处理能力弱、内存资源有限、成本功耗敏感；b)强终端类：除了满足基本安全要求，还需要满足增强安全要求，重点关注自身安全和

11、攻击影响，比如安全启动、系统加固、可信执行环境、病毒防护、端口加固等；这类终端处理能力较强，通常自带嵌入式操作系统，在 IoT 网络中角色通常较为关键且受攻击后影响较大。5.2 电表安全架构 如图1所示，从安全设计角度考虑，终端的整体安全由安全操作系统，底层协议和应用协议三个层面实现。安全的操作系统是整体安全功能实现的基础，通常弱终端会使用轻量化的物联网操作系统，此类系统在调度机制中，不区分用户态和内核态，使用统一的内存空间，所有应用和内核均运行在特权模DB36/T 16472022 6 式，系统服务会面临众多不确定的安全隐患。而一般安全操作系统的隔离机制会将用户态与内核态隔离、应用与应用隔离

12、，并支持内核内存保护机制以及内核隔离调度机制，那么使用基于此类操作系统的电表业务系统的可靠性与安全性都会得到较大的提升。在安全操作系统之上是通用的底层协议，在本层面使用3GPP NAS/AS和AKA认证来保证数据的机密性、完整性和身份真实性的安全属性的实现。应用协议处于应用层面，基本的应用层协议包括CoAP/LwM2M，来实现基础的数据通信。同时在应用层面也会通过DTLS/PSK的方式来实现数据的机密性和完整性的保护，进而保证端到端的会话安全。安全操作系统安全存储安全启动通用操作系统硬件底层协议3GPP NAS/AS数据加密完整性保护3GPP AKA认证应用协议应用层协议（CoAP/LwM2M

13、）DTLS/PSK数据加密完整性保护 图1 电表安全架构图 本技术规范推荐使用具有较强的安全操作系统作为电表的底层，具体的安全保护措施宜包括：a)设计合理的内存布局；b)区分内核态和用户态；c)应用进程之间进行隔离；d)提供内存保护接口；e)使用安全通信协议。从外部视角看，电表终端在应用系统中的安全架构如图2所示，整体基于NB-IoT的电表系统在通信过程中应采用相应的安全机制来保证整体系统在数据传输和保密层面的安全要求。DB36/T 16472022 7 应用层安全网络层安全非接入层DTLS管理数据应用数据非接入层DTLSDTLS提供加密/完整性保护基于3GPP的非接入层加密/完整性保护物联网

14、平台设备 图2 电表系统安全架构图 5.3 安全技术要求级别 按照物联网信息系统中电表终端的安全技术要求分为基础级和增强级两类。电表终端至少应满足基础级安全技术要求；对于处理敏感数据或遭到破坏对人身安全、环境安全带来严重影响的电表终端，或GB/T 22239规定的三级以上物联网信息系统中的电表终端应满足增强级要求。注：相对于基础级安全技术要求，扩展性安全技术要求新增内容用宋体加粗字表示。6 基础级安全技术要求 6.1 物理安全要求 6.1.1 选型 物联网信息系统中选用电表终端产品时，电表终端产品应满足如下要求：a)取得质量认证证书；b)满足物联网应用根据 GB 4208 确定的外壳防护等级（

15、IP 代码）要求；C）通过依据 GB/T 17626.3 电磁兼容 试验和测量技术射频电磁场辐射抗扰度试验或有关的专用产品或产品类电磁兼容抗扰度标准进行的电磁兼容抗扰度试验且性能满足二级及以上需求。d）物联网中使用的电表终端产品应经过第三方机构的信息安全检测。6.1.2 选址 物联网信息系统中进行电表终端选址时，电表终端应满足如下要求：a)选择能满足供电、防盗窃防破坏、防水防潮、防极端温度等要求的环境部署；b)选择能满足信号防干扰、防屏蔽、防阻挡等要求的环境部署。6.1.3 供电 电表终端的供电应稳定可靠，能够承受一定范围内的电压抖动，抖动范围为额定值的5%。6.1.4 防盗窃和防破坏 DB3

16、6/T 16472022 8 电表终端应满足如下防盗窃和防破坏要求：a)部署在安全场所中，如无人守护则需有相应的物理防护措施；b)采用防盗窃和防破坏的措施；c)采用专用的防拆分析措施。6.1.5 高低温和湿度要求 a)电表终端应具备在规定的高/低温（温度范围为-2570）环境下使用、运输或贮存的能力；b)应符合试验要求的最高/低温度，温度范围为-20150；c)相对湿度不超过 85%RH。6.2 接入安全要求 6.2.1 网络接入认证 在接入网络时，电表终端应满足如下要求：a)在接入网络中具有唯一网络身份标识；b)能向接入网络证明其网络身份，至少支持如下身份鉴别机制之一，并采用密码技术进行保护

17、：1）基于网络身份标识的鉴别；2）基于 MAC 地址的鉴别；3）基于通信协议的鉴别；4）基于通信端口的鉴别；5）基于对称密码机制的鉴别；6）基于非对称密码机制的鉴别。c)在采用插卡方式进行网络身份鉴别时采取措施防止卡片被拔除或替换；d)保证密钥存储和交换安全。6.2.2 网络访问控制 电表终端网络访问控制要求如下：a）如支持多端口的网络访问通信功能则禁用闲置的通信端口；b）设置网络访问控制策略，限制对电表终端的网络访问。6.3 通信安全要求 6.3.1 无线电安全 a）电表终端应按国家规定使用无线电频段和辐射强度，并具有抗干扰能力；b）设备在正常工作时自身对外界的辐射干扰强度应满足标准限值规定

18、，使其不会引起其他装置，设备或系统性能的下降或者对生命及无生命物质产生损害。6.3.2 传输完整性 电表终端应满足如下传输完整性要求：a)具有并启用通信完整性校验机制，使用密码技术实现鉴别信息、隐私数据和重要业务数据等数据传输的完整性保护；b)具有通信延时和中断的处理机制，通信延时的范围为 1-60ms。6.3.3 射频一致性要求 DB36/T 16472022 9 a）电表终端的最大发射功率应满足标称功率和容差规定的范围，参考 3GPP TS36.521-1。b）参考灵敏度水平，终端设备应满足在给定的平均吞吐量，特定的参考测量信道条件下接收到数据；C）频率误差，终端设备同时验证接收机和发射机

19、正确处理频率的能力，应满足在理想传播条件下和低电平下能获取到正确的调制载波频率；d）终端设备通过交调或者直流偏差引起的干扰（载波泄漏）来验证发射机的调制质量。6.3.4 协议一致性要求 电表终端应满足如下完整性保护和加密和解密性要求：a）基于 SNOW3G 算法的 EPS AS 和 UP 加密功能，参考 3GPP TS 36.523-1 第 22.3.3.2 小节；b）基于 AES 算法的 EPS AS 和 UP 加密功能，参考 3GPP TS 36.523-1 第 22.3.3.3 小节；C）基于 ZUC 算法的 EPS AS 和 UP 加密功能，参考 3GPP TS 36.523-1 第

20、22.3.3.4 小节。6.4 系统安全要求 6.4.1 标识与鉴别 对于具有操作系统的电表终端，应满足如下标识与鉴别要求：a)电表终端的操作系统用户有唯一标识，标识不能被非法篡改；b)电表终端的操作系统应对用户进行身份鉴别。使用用户名和口令鉴别时，口令由字母、数字及特殊字符组成，长度不小于 8 位。6.4.2 访问控制 电表终端应满足如下访问控制要求：a)电表终端应能控制系统用户的访问权限；b)对于具有操作系统的电表终端，操作系统用户应仅被授予完成任务所需的最小权限；c)电表终端应能控制数据的本地或远程访问；d)电表终端应提供安全措施控制对其远程配置。6.4.3 日志审计 具有操作系统的电表

21、终端，应满足如下日志审计要求：a)应能为操作系统事件生成审计记录，审计记录应包括日期、时间、操作用户、操作类型等信息；b)应能由安全审计员开启和关闭操作系统的审计功能；c)应能提供操作系统的审计记录查阅功能，审计记录保存期限不少于 1 年。6.4.4 失效保护 电表终端应能自检出已定义的设备故障并进行告警，确保设备未受故障影响部分的功能正常。6.4.5 通用软件安全 具有操作系统的电表终端，应满足如下软件安全要求：a)终端仅安装经授权的软件；b)应按照策略进行软件补丁更新和升级，且保证所更新数据的来源合法性和完整性。6.4.6 接口安全 DB36/T 16472022 10 电表终端在接口安全

22、应满足如下要求：a)终端不具有调试功能接口；b)如终端具备调试功能接口，应在出厂时设置为默认关闭。6.5 数据安全要求 6.5.1 数据可用性 电表终端在传输其采集到的数据时,应对数据时效性做出标识。6.5.2 数据完整性 电表终端应为其采集的数据生成完整性证据(如:校验码、消息摘要、数字签名等)。6.5.3 随机性 电表终端应自主产生随机数，并保证随机性良好，不可预测。6.6 芯片安全要求 终端主要芯片应具备安全启动能力。7 扩展性安全技术要求 7.1 物理安全要求 7.1.1 选型 应满足 5.1.1 要求。7.1.2 选址 应满足5.1.2要求。7.1.3 供电 在满足5.1.3基础上，

23、应满足如下要求：a)关键电表终端应具有备用电力供应，至少满足关键电表终端正常运行的供电时长要求；b)应提供技术和管理手段监测电表终端的供电情况，并能在电力不足时及时报警。7.1.4 防盗窃和防破坏 在满足5.1.4的基础上，其他要求如下：a)户外部署的重要电表终端宜设置在视频监控范围内；b)户外部署的关键电表终端应具有定位装置。c)户外部署的关键电表终端应具备入侵检测机制，触发后立即进入安全失效状态。7.1.5 防雷和防静电 重要电表终端应采取必要的避雷和防静电措施。7.2 接入安全要求 DB36/T 16472022 11 7.2.1 网络接入认证 在满足5.2.1a）c）d）基础上，应满足

24、如下要求：a)电表终端与其接入网络间应进行双向认证，双方至少支持如下身份鉴别机制之一：1)基于对称密码机制的身份鉴别；2)基于非对称密码机制的身份鉴别。b)电表终端应能进行身份鉴别失败处理。7.2.2 网络访问控制 应满足5.2.2的要求。7.3 通信安全要求 7.3.1 无线电安全 应满足5.3.1的要求。7.3.2 传输完整性 应满足5.3.2的要求。7.3.3 传输保密性 在满足5.3.3的基础上，应满足如下要求：a)电表终端传输鉴别信息、隐私数据和重要业务数据等敏感信息时应进行加密保护；b)加密算法应符合国家密码相关规定。7.4 系统安全要求 7.4.1 标识与鉴别 在满足5.4.1基

25、础上，应满足如下要求：具有执行能力的电表终端应能鉴别下达执行指令者的身份。7.4.2 访问控制 在满足5.4.2基础上，应满足如下要求：电表终端系统访问控制范围应覆盖所有主体、客体以及它们之间的操作。7.4.3 日志审计 在满足5.4.3基础上，应满足如下要求：具有操作系统的电表终端应保护已存储的操作系统审计记录，以避免未授权的修改、删除、覆盖等。7.4.4 失效保护 在满足5.4.4基础上，应满足如下要求：a)具有操作系统的电表终端应能在操作系统崩溃时重启；b)具有执行能力的电表终端应具有本地手动控制功能，并且手动控制功能优先级高于自动控制功能。7.4.5 恶意代码防范 DB36/T 164

26、72022 12 具有操作系统的电表终端应具有恶意代码防范能力。7.4.6 通用软件安全 在满足5.4.5基础上，应当满足如下要求：a)具有操作系统的电表终端软件补丁更新和升级前应经过安全测试验证。b)具有操作系统的电表终端软件补丁更新或升级失败时，更新前的版本软件应可继续使用，不得影响原有软件完整性。7.4.7 接口安全 接口安全应满足如下要求：a)调试接口除逻辑上默认关闭之外，同时物理上不应存在可被利用的调试接口端子、调试接口测试点、调试焊盘等。应禁用电表终端闲置的外部设备接口。b)应禁用电表终端的外接存储设备自启动功能。c)应禁用电表终端闲置的外部设备接口。7.4.8 自检 自检安全应满

27、足如下要求：a)设备应具备自检功能，能够检查设备的固件、安全机制以及安全状态。b)自检包括完整性和真实性，其目标是检查固件、针对篡改迹象的安全机制以及设备是否处于被攻破状态。一旦出现故障，设备及其功能会以安全的方式失去效用。设备每 24 小时内要至少重新初始化内存一次。c)自检在设备启动时一定进行一次并且至少每天进行一次。7.5 数据安全要求 7.5.1 数据可用性 在满足5.5.1基础上，应满足如下要求：电表终端应支持通过冗余部署方式采集重要数据。7.5.2 数据完整性 在满足5.5.2基础上，应满足如下要求：电表终端应对存储的鉴别信息、隐私数据和重要业务数据等进行完整性检测，并在检测到完整

28、性错误时采取必要的恢复措施。7.5.3 随机性 在满足5.5.3的基础上，应满足如下要求：随机数的随机性应满足国家技术标准（GBT32915-2016_信息安全技术二元序列随机性检测方法）要求。7.5.4 数据保密性 电表终端应对鉴别信息、隐私数据和重要业务数据等敏感信息采用密码算法进行加密保护。加密算法应符合国家密码相关规定。7.6 芯片安全要求 DB36/T 16472022 13 在满足5.6基础上，应满足如下要求：重要电表终端应采用芯片级的安全技术措施，具备可信执行环境所要求的安全功能，同时具备安全加密加速能力。电表终端采用的安全芯片，应取得国家管理部门的认可。DB36/T 16472022 14 参 考 文 献 1 ISO/IEC 20180:2012 Telecommunications and information exchange between systems-Security framework for ubiquitous sensor networks 2IEC 62443-1-1:2009 Industrial communication networks Network and system security Part 1-1 Terminology,concepts and models _