《基于蜂窝网的智能家居电器安全控制要求》（征求意见稿）

1基于蜂窝网的智能家居电器安全控制要求GB/T5271.9-2001信息技术词汇第9部分GB12904-2008商品条码零售GB/T29234-2012基于公用电信网的宽带客户网络安全技术GB/T35143-2017物联网智能家居数据和GB/T36428-2018物联网家电公共指GB/T36633-2018信息安全技术网络用户身份鉴别GB/T39579-2020公众电信网智能家居应GB/T42126.1-2022基于蜂窝网络的工业无线通信规范第1部分：通用技术要求GB/T42126.5-2024基于蜂窝网络的工业无线通信规范第5部分：应用要求RB/T084-2022智能家居产品信息安全评YD/T3337-2018面向物联网的蜂窝窄带接入（NB-IoT）终端设ISO/IEC27033-6信息技GB/T5271.9-2001、GB/T39579-2020和GB/T2智能家居应用服务平台smarthomes提供智能家居设备和智能家居应用的接入和管理能力、以及将通信业务能力和对智能家居设备的Bin:二进制文件(BinaryFiCNNVD：国家信息安全漏洞库(ChinaNationalVulnerabilityDatabaseofInformationSCNVD:国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatMAC:媒体存取控制位址(MediaAccessContrclAddresNFC:近场通信(NearFieldCommunication)URL:统一资源定位符(UniformResourceLocato3面向蜂窝网络的智能家居物联终端通过蜂窝网络接入智能家居应用服务平台，以及与智能家居控制端相连接，系统连接关系如图1。各单元具体功能描述如下:蜂窝网络：提供数据信息上传，配置管理信息下发等网络业务需要提供服务及可视化呈现，通过物联终端管理平台对智能家居物联终端进行参数设置和工作状参数设置或控制指令，通过智能家居网关和蜂窝网络，发送给智能家居应支持通过网络将数据上传到平台侧，通过网络向平台传输数据后30s至60s如未收到平台响应则4在一定时间内，若终端未接收到平台侧响应包，则重新发送数据包:若接收到响应包，且响应包是合法智能家居电器的安全控制按照图1所示包括智能家居终端安全控制、智能家居网关安全控制、智能操作系统安全包括集成安全、权限控制和安2)操作系统宜进行安全加固,具备防逆向、防调试2)系统应具备远程控制请求的身份鉴别机制,避免非法用户3)系统在安装应用时需要获得用户授权,应拒绝安装4)应用安装时,权限分配采取授权最小化原则,系统应能禁止所有未被允许权6)系统不应预留任何未公开账号,所有账号应可2)应具备在日志分配的存储空间耗尽时,能够按照操作系统的设3)宜自动将设备异常关机、重启、文件系统损坏等异常状态下产生的告智能家居终端上的应用安全要求包括:5c)对设备密码、设备鉴别信息等关键安全信息进行加密处理,不应在日志和配置文件中明文记录并且应通过安全的网络传输协议进行通信,保护通信g)应确保应用不使用包含CNVD、CNNVD已公布90d以上的高危及以上等级未处置漏洞的第三方库1)端口开放应遵循最小化原则,默认关闭非必须使用的端口,如远程登录协2)系统应提示用户所有开放的端口,并告知对业务影响,用户可自主选择对服务端口开放或对于通信安全要求包括:a)对于使用无线接入网络技术的智能b)对于使用有线网络技术的智能家居终端,通信安全应符合GB/T29234-2012中智能家居网关应用安全要求包括:b)对于支持本地Web管理功能的网关,其Web管理应用应具备防护外部攻击功能,支持启动安全策6a)宜具备对接入的智能家居终端通过MAC地址等方式进行标记和c)宜具备通过频段、信道划分等安全域划分方式对接入的智能家居终端进行a)智能家居网关宜能够对接入的智能家居终端开放端口进行识别,对其中存在风险服务具备告a)b)智能家居网关应具备对智能家居终端接收到的Telnet等异常外部请求行为的检测、告警及连e)智能家居网关应具备防火墙功能,能够根据策略对特定连接做阻断、限速,能够通过远程的方f)智能家居网关宜具备对通过其传输的流量进行恶意URL/IP和僵尸、木马和蠕虫等病毒文件的对于使用专用硬件设备的智能家居控制端，其硬件安全应符合7.2.1硬件安对于使用专用硬件设备,且具备操作系统的智能家居控制端,其操作系统安全应符合7.2.2操作系统e)与智能家居应用服务平台进行数据交互,应通过安全网络协议进行传输,且在传输之前应进行7h)控制端应用应确保不使用包含CNVD、CNNVD已公布90d以上的高危及以上等级未处置漏洞的第三方库和开源组件,并应具备根据新曝光漏洞自动或手动安装升级补对于智能家居控制端的接口安全，应符合7.2.4对于智能家居控制端的通信安全，应符合7.2.5对于智能家居应用服务平台环境安全,应符合大数据平a)应对使用智能家居应用服务平台应用的用户进行身份鉴别,并应符合GB/T36633-2018中的安全要求;b)应对应用服务平台的应用进行身份鉴别,应符合如下安全2)应对接入平台的应用进行身份鉴别,只有通过身份鉴别的应用才能接入应用服务平台执行4)对接口的调用都应经过鉴权,限定可操作的资源范围、操c)应对接入应用服务平台的设备进行身份鉴别1)应构建设备标识体系,为每个智能家居终端分配唯一的身份标识,并与设备信息进行关1)3)应对接入平台的设备进行身份鉴别,只有通过身份鉴别的设备才能接入应用服务平台进行后续应用操作,身份鉴别的方式包括验证PIN码等有效验4)设备鉴别过程如需使用随机数机制,应使用系统真5)对于支持应用账号绑定的设备,宜通过对原账号解绑后才可进行重新绑定,不宜通过设备d)应具备对访问应用服务平台的平台管理人员进行身份鉴别的功能,其宜采用两种或两种以上d)b)应根据不同的应用等级授予不同的应用访问权限,只允许获得授权的应用,调用指定的应用能c)应根据不同的设备类型或等级授予不同的应用访问权限,只允许获得授权的设备,访问指定的对于智能家居服务平台间的接口调用安全要b)被调用应用服务平台应具备针对源IP地址范围进行授权的功能,调用该平台时除提供静态口令c)被调用平台应具备对所调用资源记录完整d)对于用户访问权限有要求的接口,应具备访问控制(例如,黑/白名单)机制,以便对非法用户访根据RB/T084-2022要求，用户使用智能家居设备前,应先将设备绑定或添加到自己的账户下,然后可在控制端应用中对设备进行管理和操控。具体技术要求如下:a)智能家居设备应具备唯一的网络身份标识,以便于应用服务平台及控制端应用对其进行绑定和b)智能家居设备只有在与合法账户绑定之后,方可执行网络控制c)智能家居设备一次只能与一个主控制账户绑定,只有原主控制账户解绑或对设备进行重置后更d)其他账户如要添加智能家居设备,应获得主控制账户显式授权或主控制账户的邀请,添加后才f)若智能家居设备通过重置方式更换主控制账户,之前所有添加该设备的账户将与该设备自行解智能家居设备发生网络交互时,设备应记录日志,并传输到服务平台。具体要求如下:a)应对各项关键操作进行审计记录,可记录事件包括但不限于:2)通信会话的终止(包括设备的正常智能家居设备对存储在设备内的重要数据(如网络认证证书和会话ID等)提供安全防护,要求如下:b)本地缓存的重要数据应采用加密存储、限制读取等安全保护措施；d)应对接收到的控制数据进行识别,确保只执行安全的数值,如数据超过了设定的限值,应采取相9智能家居设备通过具备网关能力的设备连接到家庭网络和服务平台,针对于这类提供网关能力的特殊设备,即智能家居网关设备,增加以下的安全要求:a)智能网关设备应具备白名单功能,包括Mb)智能网关设备应能控制连接设备数量,并采取措施缓解拒绝服务攻身份鉴别功能应满足以下安全要求:a)控制端应用在连接智能家居应用服务平台进行操作前,需要用户通过身份鉴别,并提供登录失b)具备口令强度和口令时效性检查机制；控制端应用应采取安全措施保证重要数据(如鉴别数据、个人信息等)存储的机密应用安全功能应满足以下安全要求:a)控制端应用应具备防逆向反编译功能,抵抗对关键代码和数据的分析,避免关键业务逻辑被破c)控制端应用应确保使用的第三方库和开源组件不存在已d)控制端应用应提供数据有效性检验功能,保证通过人机接口输入或者通信接口输入的内容符合运行安全功能应满足以下安全要求:c)卸载时应能删除安装和使用过程中产生的标识与鉴别功能应满足以下安全要求:a)应为登录用户提供唯一的身份标识,同时用户标识与该用户的所有可审计事b)应对登录用户进行身份鉴别,并且鉴别信息具有复杂度要求并定期c)鉴别进行时,应仅向用户提供非明文鉴别数据(如圆点、星号等隐藏显示)作为鉴别数据输人的f)应提供用户登录超时锁定或注销功能,终止会话后,用应支持基于安全属性或确定的属性组(用户角色)实现安全审计功能应满足以下安全要求:a)应提供安全审计功能,并应能审计以下事件:9)其他系统参数配置和管理安全功能f)审计信息应存储在永久性存储介质中,当审计存储空间被耗尽时,系统应采取措施,如忽略可审安全管理功能应满足以下安全要求:b)应仅允许授权管理员执行下列安全功能数据管理操作:数据保护功能应满足以下安全要求:a)应采用安全措施(如HTTPS),保证Bb)系统应提供安全保护措施,保证重要数据在存储过程中的完整性和保密性,包括但不限于鉴别c)应提供数据有效性检验功能,保证通过人机接口输人或通过通信接口输入的内容符合系统设定智能家居产品应在采取相关措施保护用户个人信息(个人信息分类见附录A),具体要求如下:1a)对个人信息的收集应在提供相应服务的同时进行。若出于业务需要收集个人信息,应在收集前c)应在用户同意后读取用户通讯录、通话记录、上网记录、日程表数据d)不应有未向用户明示且未经用户同意,擅自修改用户数据的行为,包括在用户无确认情况下删d)除或修改用户通讯录、通话记录、短信数据、日1信息通信类数据是指用户用于发起或接受通信以及在通信过使用记录类数据是指用户在使用过程中间接产生的、反映用户操作记录的数据,例如日志数