基于SIM卡的物联网安全服务技术要求

1基于SIM卡的物联网安全服务技术要求本文件提出了基于SIM卡的物联网安全服务技术要求，其中包括对基于SIM卡的物联网安全服务进行功能定义、系统架构设计以及技术流程定义，涉及对物联网卡、物联网终端、物联网平台等单元的技术要求。本文件适用于2/3/4/5G以及NB-IoT终端的安全体系设计2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件。仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本YD/T3589-2019M2M环境下的电信智能卡技术要求3术语和定义下列术语和定义适用于本文件。物联网终端中所使用的各类电信智能卡，有插拔卡、贴片卡两种封装形态。在SIM卡中运行的小程序，用于向SIM卡所在的终端应用提供安全服务。下列缩略语适用于本文件。AES高级加密标准APPTripleDataEncryptionAdvancedEncryptionStandardApplicationProgrammingIn2卡操作系统数据报传输层安全协议椭圆曲线密码算法SIM卡安全应用唯一标识物联网服务提供方消息验证码操作系统预共享密钥软件开发工具安全散列算法-1用户身份识别模块国家商密算法-2国家商密算法-3国家商密算法-4国家商密算法-9DatagramTransportLayerSecEllipticCurveCryptograIoTServiceMessageAuthenticationCRivest/Shamir/AdlemanasymmetricSecureHashSubscriberIdentity服务提供方5.1业务定义基于SM卡的物联网安全服务是基于物联网终端的安全能力为物联网服务提供方(IoT-SP)提供的安全服务，该服务以SIM卡为安全载体，依托其高安全性的存储和运算能力为IoT-SP提供物联网终端安全保护及物联网终端与平台之间的身份认证以及数据传输保护，该服务可以帮助IoT-SP快速提升安全能5.2业务功能基于SIM卡的物联网安全服务包括如下内容：安全通信服务包括以下安全服务：●针对标准通信协议的安全支撑服务：为物联网领域的各类标准的安全通信协议(至少包括DTLS协议),提供基础的密码运算服对于未实现标准安全通信协议的物联网终端，可以基于数据安全传输服务实现端到端的认证和数据安全传输，服务类型包括：密钥协商物联网终端与平台间的密钥协商服务，及为后续的数据上传和下发协商会话密钥数据安全上传/下发提供物联网终端与IoT-SP之间的业务数据安全上传及下发服务，包括传输过程中的数据加解密及验证可以为IoT-SP和物联网终端提供双向身份认证服务，包括IoT-SP对终端的认证以及终端对IoT-SP的认证。从而确保IoT-SP和终端交互双方身份的可信性。■敏感数据存储服务：以SDM卡为安全存储介质，为物联网终端提供墩感数据的安全存储服务，包括受控写/自由读方式，具体控制方式包括：●写入控制：对于敏感信息写入SIM卡，需要由平台侧控制下写入●自由读取：终端对SDM卡内指定区域的信息自由地读取为满足个性化的加解密需求，可以提供基于SIM卡的通用密码运算能力，包括如下服务物联网终端APP可以基于该服务进行各类定制化的安全开发，包含但不限于如下功能：本地安全存储功能本业务的参与方及其职责包括：■物联网服务提供方(1oT-SP):物联网服务的提供者，可以通过使用物联网安全服务提供方的安全服务，实现对物联网设备进行安全管理以及数据安全传输等■物联网安全服务提供方；为IoT-SP提供物联网终端安全、终端认证以及数据安全传输等安全■电信运营商：为IoT-SP提供移动网络接入服务■SM卡厂商：SIM卡生产并对SIM卡安全应用进行个人化■物联网终端厂商：负责终端生产并集成标准的终端安全服务SDK以及SIM卡安全服务平台为IoT-SP提供服务的模式有如下两种■服务模式1:IoT-SP授权及自服务安全服务平台通过对IoT-SP授权管理实现将安全服务能力授权给IoT-SP,授权完成后，4IoT-SP可以自行使用安全服务。该模式包括如下业务流程●IoT-SP授权：安全服务平台向IoT-SP提供SIM卡安全服务使用权限，该过程可以在工厂预置或者在线完成：●IoT-SP自服务安全全服务平台在对IoT-SP授权完成后，IoT-SP可以独立使用各类安全该方式为安全服务平台直接为IoT-SP提供安全服务，即密朝协商、加解密操作都由安全服务平台完成。5.5终端安全要求由于物联网终端会面临一些安全凤险，可能会影响SIM卡安全服务的正常运行，比如：远程攻击、0S及应用的非法算改、非法调试、非法拆卸/替换SIM卡等。针对以上的安全风险，物联网终端厂商可以结合相应行业的终端安全要求和终端应用环境的特点采取相应的安全措施进行防范，比如：安全启动、安全升级、安全调试等。针对拆卸/替换SIM卡的风险，应采取措施进行防范，以保证SIM卡和终端之间的一对一绑定关系(可参考使用附录A的建议)。终端采取的具体安全措施和安全要求超出了本文件的范围，不在本文件中规定6系统结构和组网6.1系统结构6.1.1系统结构图基带芯片56.1.2各模块功能介绍6.1.2.1SIM卡/SIM卡安全应用SIM卡作为物联网安全服务在终端侧的基础安全载体，其中装载SIM卡安全应用，该应用可以通过SIM卡提供的密码运算和安全存储能力实现加解密、身份认证等安全功能，并向终端提供调用接口。不同SIM卡中的SIM卡安全应用以一个全局唯一的ID号来标识，即IoT-SeeID,该标识需要在SIM卡安全应用个人化过程中写入SIM卡安全应用需要提供多逻辑通道的支持，以满足终端应用的并发连接需求6.1.2.2基带芯片/模组/终端0s基带芯片一方面为物联网终端提供通信能力，同时还需要提供终端访间SIM卡的基础能力，终端0S则需要将该基础能力封装为SIM卡访问接口，以满足物联网安全服务SDK访问SIM卡的需求。6.1.2.3物联网安全服务SDK物联网安全服务SDK是在物联网终端0S上，为物联网终端APP提供安全服务的安全中间件。6.1.2.4物联网终端APP物联网终端上的APP软件，运行于终端08上，用于完成物联网应用功能。6.1.2.5物联网安全服务平台物联网安全服务平台是向IoT-SP提供安全服务的平台侧实体，其主要功能如下■安全服务能力授权：安全服务平台可以向IoT-SP提供各种安全服务的授权■简单安全服务；由安全服务平台向IoT-SP提供对物联网终端的身份认证以及数据加解密服务该平台即IoT-SP服务器，是对物联网终端进行管理以及提供物联网服务的平台。不同的IoT-SP在使用物联网安全服务之前需要在物联网安全服务平台中注册，并被分配全局唯一标识SPID。6.1.3各接口功能描述各接口说明■IFI:SIM卡安全应用提供的APDU接口■IF2:物联网安全服务SDK向物联网终端APP提供的API接口■IF3:物联网安全服务平台与IoT-SP之间的接口■IF4:终端OS为SDK提供的SIM卡访问接口系统组网图见图2。该类密钥是在工厂预置，由物联网安全服务平台进行管理和使用，用于对loT-SP进行授权操作，该类密钥可以为对称密钥或非对称密钥，其中：●非对称密钥：可以实现IoT-SP自行生成和管理SP服务密该类密钥是在工厂预置，由物联网安全服务平台进行管理和使用，用于为1oT-SP提供简单安全服务，该类密钥用于提供身份认证服或称SP业务密钥，是物联网安全服务平台授权JoT-SP平台使用于IoT-SP平台与物联网设备之间的安全通信、安全存储、通用■对称密码算法：3DES、AES、SM4■摘要算法：SHAl、SHA256、SM37本文件涉及的技术流程包括■SP授权和自服务●身份认证服务在以上的技术流程中，考虑到交互的效率以及系统实现的复杂度等因素，流程提供了两种交互模型。即Counter模式和无Counter模式，其中：在服务器和SIM卡安全应用之间维护一个线性递增的同步计数器(Counter),用于在报文安全传输过程中，实现报文的序列的唯一性，可以防范重放攻击。基于该模式，可以显著减少报文交互次数。提高交互效率，但是系统维护的复杂性较高，建议在安全服务平台采用该机制。IoT-SP平台则可选使用。该模式下服务器和SIM卡之间不维护计数器，但是为了避免重放攻击和保护服务密钥。需要通过增加必要的交互实现密钥协商，IoT-SP平台可选使用该模式。8.2开通前准备8.2.1SIM卡生产SIM卡生产过程中需要在其中写入COS并进行SIM卡安全应用的初始化，使之具备安全能力.SIM卡安全应用初始化需要写入的数据要求如表2。SIM卡安全应用初始化完成后需要导出的数据包括：■IoT-SeeID列表：在后续的终端生产过程中，需要维护终端与SIM卡的对应列表，并提供给IoT-SP,并用于后续IoT-SP将终端对应的IoT-SeeID列表提交给安全服务平台，以便对所有授权的IoT-SecID进行注册SIM卡公钥与1oT-SeeID的对应表；如果在SIM卡安全应用中预置了非对称密钥，则需要将对应的公钥提供给物联网安全服务平台loT-SP在使用物联网安全服务之间，需要在物联网安全服务平台进行注册操作，流程如下：步骤一；基本信息注册：a)在物联网安全服务平台登记IoT-SP信息b)物联网安全服务平台为该1oT-SP分配SPID步骤二：SP服务密钥传递：a)SP服务密钥(JoT-SP公钥)传递：对于采用非对称密钥体系的IoT-SP,需要将loT-SP的公钥传递给物联网安全服务平台，用于在后续的授权过程中，将该公钥写入SIM卡b)SP服务密钥(对称密钥)根密钥传递：物联网安全服务平台导出SP服务根密钥，并加密c)服务管理密钥(公钥)传递：对于需要自行生成服务密钥的IoT-SP,物联网安全服务平台需要将服务管理密钥(公朝)传递给IoT-SP,以在授权流程中实现自行生成密钥的加密传输操作8.2.3SIM卡安全应用注册IoT-SP注册后，物联网安全服务平台需要在JoT-SP授权之前完成SPID与JoT-SeeID的关联，即SIM卡安全应用注册，只有注册完成后，IoT-SP才可以调用该SIM卡安全应用的安全能力。在IoT-SP授权过程中，安全服务平台会对SIM卡安全应用的注册状态进行检查SIM卡安全应用注册的过程如下：a)loT-SP向安全服务平台提供其拟申请安全服务的终端SIM卡安全应用列表(loT-SecIDList)b)安全服务平台将IoT-SeeIDList导入数据库8.3SP授权和自服务本节针对IoT-SP授权和自服务流程进行说明，IoT-SP授权流程中，根据需要向SIM卡安全应用写SP授权的方式分为线下授权和线上授权两种，其中线下授权用于在产线和业务开通前通过线下完成授权操作；线上授权则是通过在线的报文交互流程实现授权操作。由于服务管理密钥使用的密码体制(对称或非对称)的不同，相应的业务流程也有所差别，又将线上授权流程分为如下流程进行介绍8.3.1.1线下授权在生产过程中及业务开通前进行线下授权操作，根据SP服务密钥的密码体制的不同，授权方式有所不同，说明如下：在SIM卡生产过程中预置SP服务密钥(对称密钥);安全服务平台将SP服务密钥(对称密钥)根密钥提供给IoT-SP。,服务管理密钥为非对称密钥的场量下的主要特点是，SP服务密钥可以由IoT-SP平台生成并自行加密，并由安全服务平台进行写入，从而可以满足IoT-SP对SP服务密钥的隐私保护需求，该流程见图4。务图4线上授权(服务管理密钥为非对称密钥)流程说明如下：1)流程触发：a)对于终端触发的情况下，终端APP在调用安全服务时受到SIM卡的错误响应，然后终端APP可以触发授权流程，即向JoT-SP发送授权请求，然后IoT-SP向物联网安全服务平台b)对于loT-SP触发的情况下，loT-SP在发起业务前，发现终端尚未授权，则发起后续的授权流程2)IoT-SP平台为相应终端生成SP服务密钥(对称或非对称):3)采用服务管理公钥(即相应终端的SIM卡公钥)加密SP服务密钥并计算SP服务密钥密文的4)IoT-SP向安全服务平台发送授权请求(携带SP服务密钥密文的摘要信息);5)安全服务平台检查IoT-SP和SIM卡安全应用注册信息、生成ServerRand并生成授权指令(含6)安全服务平台向IoT-SP平台发送授权响应，其中包含授权指令(含ServerRand、Counter、服7-9、IoT-SP平台将SP服务密钥密文增加到授权指令内，形成授权指令报文，发送给物联网终端m会子会子口调生成合pwo图6密钥协商(Counter模式)说明如下；a-+a-+e3)SIM卡安全应用返回响应：5)物联网APP向IoT-SP上报数据密文：6)loT-SP采用会话密钥验证及解密数据：8.3.2.3敏感数据存储服务8.3.2.3.1敏感数据受控写入(Counter模式)图10敏感数据受控写入(Counter模式)流程说明：1)IoT-SP生成数据写入指令：3)APP发送数据写