1 范圍

      本標(biāo)準(zhǔn)規(guī)定了物聯(lián)網(wǎng)感知層接入通信網(wǎng)的結(jié)構(gòu)，提出了通信網(wǎng)接入系統(tǒng)、感知信息傳輸網(wǎng)絡(luò)及感知層接入的安全技術(shù)要求。

      本標(biāo)準(zhǔn)適用于物聯(lián)網(wǎng)系統(tǒng)工程中感知層接入實(shí)體的信息安全設(shè)計(jì)、選型和系統(tǒng)集成。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 18794.2-2002 信息技術(shù) 開(kāi)放系統(tǒng)互連 開(kāi)放系統(tǒng)安全框架 第2部分：鑒別框架

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語(yǔ)

      GB/T 30269.601-2016 信息技術(shù) 傳感器網(wǎng)絡(luò) 第601部分：信息安全：通用技術(shù)規(guī)范

      GB/T 33745 物聯(lián)網(wǎng) 術(shù)語(yǔ)

3 術(shù)語(yǔ)和定義

      GB/T 18794.2-2002．GB/T 25069-2010、GB/T 30269.601-2016和GB/T 33745界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

      物聯(lián)網(wǎng)感知層 sensing layer of IoT

      物聯(lián)網(wǎng)感知控制域，即各類獲取感知對(duì)象信息與操控控制對(duì)象的軟硬件系統(tǒng)的實(shí)體集合。

3.2

      通信網(wǎng) communication network

      收集、融合和處理物聯(lián)網(wǎng)感知信息數(shù)據(jù)，并形成物聯(lián)網(wǎng)應(yīng)用的計(jì)算機(jī)設(shè)備和網(wǎng)絡(luò)。

3.3

      感知終端 sensing terminal

      能對(duì)物或環(huán)境進(jìn)行信息采集和／或執(zhí)行操作，并能聯(lián)網(wǎng)進(jìn)行通信的裝置。

3.4

      物聯(lián)網(wǎng)感知層網(wǎng)關(guān) sensing layer gateway of IoT

      支撐感知層與通信網(wǎng)互聯(lián)，并實(shí)現(xiàn)感知層本地管理的實(shí)體。

3.5

      感知層接入實(shí)體 access entity of sensing layer

      處于物聯(lián)網(wǎng)感知層中，接入通信網(wǎng)進(jìn)行數(shù)據(jù)通信的設(shè)備。

      注：常見(jiàn)的感知層接入實(shí)體包括感知終端、感知層網(wǎng)關(guān)等用于采集感知對(duì)象信息或?qū)崿F(xiàn)本地管理的聯(lián)網(wǎng)通信設(shè)備。

3.6

      接入系統(tǒng) access system

      部署在物聯(lián)網(wǎng)系統(tǒng)中的通信網(wǎng)邊界，并對(duì)感知層接入實(shí)體連接通信網(wǎng)進(jìn)行接入管理的軟硬件系統(tǒng)的實(shí)體集合。

4 縮略語(yǔ)

      下列縮略語(yǔ)適用于本文件。

      ACL：訪問(wèn)控制列表（Access Control List）

      ID：身份標(biāo)識(shí)（Identity）

      IoT：物聯(lián)網(wǎng)（Internet of Things）

      IP：互聯(lián)網(wǎng)協(xié)議（Internet Protocol）

      MAC：媒體訪問(wèn)控制（Media Access Control）

      VPN：虛擬專用網(wǎng)絡(luò)（Virtual Private Network）

5 概述

5.1 物聯(lián)網(wǎng)感知層接入通信網(wǎng)結(jié)構(gòu)

      本標(biāo)準(zhǔn)規(guī)范的對(duì)象是物聯(lián)網(wǎng)感知層接入實(shí)體通過(guò)傳輸網(wǎng)絡(luò)連接到通信網(wǎng)來(lái)進(jìn)行數(shù)據(jù)通信的過(guò)程，其網(wǎng)絡(luò)連接結(jié)構(gòu)如圖1所示，包括圖1虛線框內(nèi)的以下實(shí)體對(duì)象：

     a）感知終端（僅指不通過(guò)感知層網(wǎng)關(guān)接入通信網(wǎng)的終端）；

      b）物聯(lián)網(wǎng)感知層網(wǎng)關(guān)；

      注：當(dāng)物聯(lián)網(wǎng)感知終端或網(wǎng)絡(luò)因本身電能、性能、傳輸能力弱，無(wú)法滿足安全要求時(shí)，采用物聯(lián)網(wǎng)（感知層）網(wǎng)關(guān)來(lái)連接通信網(wǎng)。

      c）感知信息傳輸網(wǎng)絡(luò)（有線或無(wú)線）；

      d）通信網(wǎng)接入系統(tǒng)（以下簡(jiǎn)稱“接入系統(tǒng)”）。

      物聯(lián)網(wǎng)感知層接入通信網(wǎng)的示例參見(jiàn)附錄A。

      注：虛線框中的部分是感知層接入通信網(wǎng)的實(shí)體及類型，表示無(wú)線連接方式，-表示有線連接方式。

圖1 感知層接入通信網(wǎng)結(jié)構(gòu)

      保障以上實(shí)體互聯(lián)形成的感知層接入通信網(wǎng)的安全，應(yīng)滿足以下三個(gè)部分的技術(shù)要求：

      a）感知層接入實(shí)體安全技術(shù)要求；

      b）感知信息傳輸網(wǎng)絡(luò)安全技術(shù)要求；

      c）通信網(wǎng)接入系統(tǒng)安全技術(shù)要求。

5.2 安全技術(shù)要求分級(jí)與密碼算法說(shuō)明

      本標(biāo)準(zhǔn)按照感知層接入通信網(wǎng)的安全功能強(qiáng)度，劃分為基本級(jí)和增強(qiáng)級(jí)兩個(gè)等級(jí)的要求。本標(biāo)準(zhǔn)凡涉及密碼算法的相關(guān)內(nèi)容，按國(guó)家有關(guān)法規(guī)實(shí)施，凡涉及采用密碼技術(shù)解決保密性、完整性、真實(shí)性、不可否認(rèn)性需求的應(yīng)遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。

      注：相對(duì)于基本要求，增強(qiáng)要求新增內(nèi)容用黑體字表示。

6 通信網(wǎng)接入系統(tǒng)安全技術(shù)要求

6.1 基本級(jí)要求

6.1.1 設(shè)備標(biāo)識(shí)

      接入系統(tǒng)中的設(shè)備應(yīng)具有可用于物聯(lián)網(wǎng)系統(tǒng)中通信識(shí)別的唯一標(biāo)識(shí)。

      示例：設(shè)備ID、序列號(hào)、MAC地址等。

6.1.2 鑒別

6.1.2.1 接入鑒別機(jī)制

      接入系統(tǒng)應(yīng)對(duì)接入通信網(wǎng)的感知層接入實(shí)體進(jìn)行鑒別，并至少支持以下方式中的一種：

      a）基于感知層接入實(shí)體標(biāo)識(shí)和接入口令的單向認(rèn)證；

      b）基于預(yù)共享密鑰的單向或雙向認(rèn)證。

      注：預(yù)共享密鑰，是物聯(lián)網(wǎng)實(shí)體設(shè)備之間進(jìn)行保密通信的初始密鑰。

6.1.2.2 鑒別失敗處理

      接入系統(tǒng)應(yīng)具備接入鑒別失敗的處理能力，并滿足以下要求：

      a）當(dāng)鑒別應(yīng)答超過(guò)規(guī)定時(shí)限時(shí)，接入系統(tǒng)應(yīng)能終止與待接入的感知層接入實(shí)體之間的當(dāng)前會(huì)話；

      b）在經(jīng)過(guò)一定次數(shù)的鑒別失敗以后，接入系統(tǒng)應(yīng)能終止由該感知層接入實(shí)體發(fā)起的建立會(huì)話的嘗試，并在一定的時(shí)間間隔后才能允許繼續(xù)接入。

6.1.3 訪問(wèn)控制

      接入系統(tǒng)應(yīng)支持感知層接入實(shí)體對(duì)通信網(wǎng)的訪問(wèn)控制機(jī)制和安全策略，并滿足以下要求：

      a）通過(guò)ACL方式控制感知層接入實(shí)體對(duì)通信網(wǎng)的訪問(wèn)；

      b）支持制定和執(zhí)行訪問(wèn)控制策略的功能，訪問(wèn)控制策略可以是基于IP地址、用戶/用戶組、讀/寫(xiě)等操作的一種或多種的組合；

      c）支持黑名單制，阻斷相關(guān)感知層接入實(shí)體對(duì)通信網(wǎng)的訪問(wèn)。

6.1.4 數(shù)據(jù)傳輸安全

      接入系統(tǒng)應(yīng)保障感知層接入實(shí)體與通信網(wǎng)的數(shù)據(jù)傳輸安全，并滿足以下要求：

      a）數(shù)據(jù)保密性，應(yīng)對(duì)數(shù)據(jù)進(jìn)行保密性保護(hù)，保障數(shù)據(jù)不被泄露；

      b）數(shù)據(jù)完整性，應(yīng)對(duì)數(shù)據(jù)進(jìn)行完整性校驗(yàn)，保障數(shù)據(jù)不被篡改；

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。