ICS 17.040.30 CCS A 50 错误！未指定书签。 DB 错误！未指定 书签。 错 误 ！ 未 指 定 书 签 。 地 方 标 准 DB 错误！未指定书签。/T 1647—错误！未指定书签。 错误！未指定书签。 错误！未指定书签。 Security technical specification for electricity meter terminal based on NB-IoT DB36/T 1647—2022 错误！未指定书签。 - 09 - 26 发 江西省市场监督管理局 2 2023 - 错误！未指定书签。 - 错 发 布 DB36/T 1647—2022 目 次 1 范围 ................................................................................3 2 规范性引用文件 ......................................................................3 3 术语和定义 ..........................................................................3 4 缩略语 ..............................................................................5 5 电表类型及安全架构 ..................................................................5 6 基础级安全技术要求 ..................................................................7 7 扩展性安全技术要求 .................................................................10 参 考 文 献 ...........................................................................14 1 DB36/T 1647—2022 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由江西省物联网专业标准化技术委员会（JX/TC 034）提出并归口。 本文件起草单位：江西智慧云测安全检测中心股份有限公司、鹰潭泰尔物联网研究中心有限公司、 南昌大学。 本文件主要起草人：杜磊、李海滨、张策、徐九八、安焘、刘海瑞、陈昌鹤、刘泽民、叶高翔、杨 鑫、谢志刚、杨鼎成。 2 DB36/T 1647—2022 基于窄带物联网（NB-IoT）的电表终端安全技术规范 1 范围 本文件规定了基于窄带物联网（NB-IoT）的电表终端安全术语、定义和安全设计要求。 本文件适用于江西省范围内基于窄带物联网（NB-IoT）的电表终端制造、检测和安全监测系统建设。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，标注日期的引用文 件，仅该日期对应的版本适用于本文件；不标注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。 GB/T 4208 外壳防护等级（IP代码） GB/T 17626.3 电磁兼容 试验和测量技术射频电磁场辐射抗扰度试验 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25069 信息安全技术 术语 GB/T 32915 信息安全技术 二元序列随机性检测方法 GB/T 36951 信息安全技术 物联网感知终端应用安全技术要求 GB/T 38638 信息安全技术 可信计算 可信计算体系结构 YD/T 2578.2 LTE FDD 数字蜂窝移动通信网 终端设备测试方法（第一阶段）第2部分：无线射频 性能测试 JR/T 0156 移动终端支付可信环境技术规范 3GPP TS 36.521-1 长期演进技术.演进通用陆地无线接入(E-UTRA).用户设备(UE)一致性规范.无 线电传输和接收.第1部分:一致性测试 3GPP TS 36.523-1 长期演进技术.演进通用陆地无线接入(E-UTRA)和演进分组核心(EPC).用户设 备(UE)一致性规范.第1部分:协议一致性规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 窄带物联网 NB-IoT Narrow Band Internet of Things IoT领域的新兴技术，支持低功耗设备在广域网的蜂窝数据连接。NB-IoT支持待机时间长、对网络 连接要求较高设备的高效连接。具有覆盖广、连接多、速率快、成本低、功耗低、架构优等特点。 3.2 敏感数据（信息）Sensitive Data(information) 3 DB36/T 1647—2022 PIN和加密密钥等设备或开锁人独有的数据和信息，敏感数据需要进行有效保护，防止泄露、被修 改或被破坏。 3.3 固件 Firmware 在设备内部与设备安全性相关所有程序代码称为固件，一般是指存储于设备中的电可擦除只读存储 器EEPROM(Electrically Erasable Programmable ROM)或FLASH芯片中的软件，固件必须符合规范的各 项安全要求。 3.4 安全启动 Secure Boot 通过安全芯片或者其它安全组件的安全能力，保证运行与芯片上的软件从上电开始的后续各个阶段 的启动流程不可篡改，启动后运行的固件或者软件能够保证其真实性和完整性。 3.5 辐射抗扰度 Radiated Immunity 辐射抗扰度，又称为辐射敏感度，指各种装置、设备或系统，在存在辐射的情况下，抵抗辐射的一 种能力。敏感度越高，抗干扰的能力越低。 3.6 最大发射功率 Maximum Transmit Power 在信道带宽内任何传输带宽的最大发射功率。 3.7 参考灵敏度水平 Reference Sensitivity Level 给定的平均吞吐量，某个特定的参考测量信道，在低信号电平、理想传播条件、无附加噪声的条件 下接收数据的能力。 3.8 频率误差 Frequency Error 接收机和发射机正确处理频率的能力。 3.9 载波泄漏 Carrier Leakage 由交调或者直流偏差引起的干扰，通过载波泄漏可以验证发射机的调制质量。 3.10 安全启动 Secure Boot 4 DB36/T 1647—2022 通过安全芯片或者其它安全组件的安全能力，保证运行与芯片上的软件从上电开始的后续各个阶段 的启动流程不可篡改，启动后运行的固件或者软件能够保证其真实性和完整性。 3.11 数据新鲜性 Data Freshness 接收到的数据，相对最近时刻从数据源采集的数据而言，其内容未发生变化且其传输时间未超出规 定范围的特性。 3.12 安全芯片 Security Chip 含有密码算法、安全功能，可实现密钥管理机制的相对独立的芯片。 4 缩略语 下列缩略语适用于本文件： 3GPP 第三代合作伙伴计划（3rd Generation Partnership Project） AKA 认证与密钥协商协议（Authentication and Key Agreement） AS 接入层（Access Stratum） CoAP 受限制的应用协议（Constrained Application Protocal） DTLS 数据包传输层安全性协议（Datagram Transport Layer Security） IoT 物联网（Internet of Things） LwM2M 轻量级机器对机器（Lightweight Machine to Machine） NAS 非接入层（Non-access Stratum） PIN 个人识别（Personal Identification Number） PSK 预共享密钥模式（Pre-shared Key） RFID 射频识别（Radio Frequency Identification） 5 电表类型及安全架构 5.1 电表分类 电表按安全防御能力分为弱终端类和强终端类电表： a) 弱终端类：需要满足基本安全要求，同时兼顾计算能力和成本，比如 DTLS、双向认证、密码 管理、远程升级等；这类终端处理能力弱、内存资源有限、成本功耗敏感； b) 强终端类：除了满足基本安全要求，还需要满足增强安全要求，重点关注自身安全和攻击影响， 比如安全启动、系统加固、可信执行环境、病毒防护、端口加固等；这类终端处理能力较强， 通常自带嵌入式操作系统，在 IoT 网络中角色通常较为关键且受攻击后影响较大。 5.2 电表安全架构 如图1所示，从安全设计角度考虑，终端的整体安全由安全操作系统，底层协议和应用协议三个层 面实现。安全的操作系统是整体安全功能实现的基础，通常弱终端会使用轻量化的物联网操作系统，此 类系统在调度机制中，不区分用户态和内核态，使用统一的内存空间，所有应用和内核均运行在特权模 5 DB36/T 1647—2022 式，系统服务会面临众多不确定的安全隐患。而一般安全操作系统的隔离机制会将用户态与内核态隔离、 应用与应用隔离，并支持内核内存保护机制以及内核隔离调度机制，那么使用基于此类操作系统的电表 业务系统的可靠性与安全性都会得到较大的提升。在安全操作系统之上是通用的底层协议，在本层面使 用3GPP NAS/AS和AKA认证来保证数据的机密性、完整性和身份真实性的安全属性的实现。应用协议处于 应用层面，基本的应用层协议包括CoAP/LwM2M，来实现基础的数据通信。同时在应用层面也会通过 DTLS/PSK的方式来实现数据的机密性和完整性的保护，进而保证端到端的会话安全。 应用协议 DTLS/PSK 数据加密 完整性保护 应用层协议 （CoAP/LwM2M） 底层协议 3GPP NAS/AS 数据加密 完整性保护 3GPP AKA认证 安全操作系统 安全启动 安全存储 通用操作系统 硬件 图1 电表安全架构图 本技术规范推荐使用具有较强的安全操作系统作为电表的底层，具体的安全保护措施宜包括： a) 设计合理的内存布局； b) 区分内核态和用户态； c) 应用进程之间进行隔离； d) 提供内存保护接口； e) 使用安全通信协议。 从外部视角看，电表终端在应用系统中的安全架构如图2所示，整体基