ICS 35.240.50 CCS 登记号： L67 51310000501782151 B 团体标准 T/SIOT 028-2022 基于标识密钥的物联网平台安全技术 要求 Technical requirements for security of Internet of things platform based on identification key 2022-02-25发布 2022-03-25实施 上海市 物 联 网 行 业 协 会 发布 全国团体标准信息平台 T/SIOT 028 -2022 I 目次 前言 ................................ ................................ ................. II 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 概述 ................................ ................................ ............... 1 4.1 物联网平台安全技术要求框架 ................................ ..................... 1 5 接入设备安全 ................................ ................................ ....... 2 6 数据传输安全 ................................ ................................ ....... 2 7 API访问安全 ................................ ................................ ........ 2 8 安全管理 ................................ ................................ ........... 2 8.1 接入设备身份管理 ................................ ............................... 2 8.2 管理员身份管理 ................................ ................................ . 3 8.3 标识密钥管理 ................................ ................................ ... 3 8.4 安全审计 ................................ ................................ ....... 3 8.5 隐私保护 ................................ ................................ ....... 3 8.6 安全监测 ................................ ................................ ....... 3 参考文献 ................................ ................................ .............. 5 全国团体标准信息平台 T/SIOT 028 -2022 II 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由上海绿端科技有限公司提出。 本文件由上海市物联网行业协会归口。 本文件内容主要起草单位：上海绿端科技有限公司、上海泰峰检测认证有限公司、上海蜚语信息科 技有限公司、上海安般信息科技有限公司、 上海工程技术大学、 上海有桃物联科技 有限公司 、上海宝景 信息技术发展有限公司、上海市物联网行业协会 。 本文件主要起草人：罗燕京、刘鹏、韩锐、黄怀东、阚肖庆、温忠、 方志军、万卫兵、 赵晓丽、束 骏亮、杨文博 、李镇宁、欧阳树生 。 全国团体标准信息平台 T/SIOT 028 -2022 1 基于标识密钥的物联网平台安全技术规范 1 范围 本文件规定了基于标识密钥的 物联网平台应具备的 接入设备安全、数据传输安全、 API访问安全及 安全管理等要求 。 本文件适用于物联网平台选型 、安全性验收时作为判断平台是否满足物联网安全需求时提供参考。 2 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文 件。 3.1 物联网 internet of things 通过感知设备，按照约定的协议，进行物与物之间的信息交换和通信，实现智能化识别、定位、跟 踪、监控和管理功能的信息通信系统。 3.2 物联网终端设备 IoT terminal device 物联网中实现采集数据及向网络层发送数据的设备。 3.3 物联网平台 IoT platform 负责物联网终端设备的接入和管理，提供与云应用程序以及其他设备交互，实现人与物、物与物智 能通讯互联的功能层。 3.4 标识 identification 一个数据项目序列，即分配给某一个实体的用于识别他的唯一标识符。 3.5 标识密钥 identification key 一种非对称的密钥对，它将物联网体系中的标识作为演算并分发公 /私钥的因子，公钥和私钥完全 通过公 /私钥因子计算产生，是一种安全自证体系，实现了标识与密钥的关联，解决了公钥体制下的公 钥分发和公钥真实性证明的问题。 4 概述 4.1 物联网平台安全技术要求框架 物联网平台安全技术要求框架如图 1所示。 全国团体标准信息平台 T/SIOT 028 -2022 2 接入设备安 全API访问安 全数据传输安 全安全管理物联网平台 密码技术 标识密钥技术结合 图1 物联网平台 安全技术要求框架 物联网平台的安全包含 接入设备 安全、数据传输 安全、APIf访问安全、安全管理这 四个方面。物联 网平台与标识密钥技术相结合，实现物联网 平台的安全。 5 接入设备安全 接入设备安全 要求如下： a) 支持采用标识密钥技术对 接入设备 进行身份鉴别的能力 ； b) 具备唯一的、经过密码应用技术处理的安全身份标识， 保证标识在物联网安全平台生命周期 的唯一性 。 6 数据传输安全 数据传输安全 要求如下： a) 支持对物联网设备上传的密文数据进行解密 和验证真实性 的能力； b) 支持对物联网平台下发的数据进行加密和签名的能力 ； c) 支持对数据导入和导出 的安全传输能力 ； d) 采用标识密钥技术实现以上安全能 力。 7 API访问安全 API访问安全 要求如下： a) 支持服务 API调用前进行用户鉴别和鉴权的能力； b) 支持服务 API接口的防 攻击能力（如：防 重放、防代码注入、 防DoS/DDoS 等）； c) 支持服务 API接口安全传输能力； d) 支持服务 API的调用日志记录能力。 注： DOS是Denial Of Service的简称，即拒绝服务 ；DDoS指分布式拒绝服务。 8 安全管理 8.1 接入设备身份管理 接入设备 身份管理 要求如下： a) 支持基于标识密钥 对接入设备身份鉴别的能力，确保数据来源于正确的接入设备，接入设备身 份包括：网络身份标识、 MAC地址、通 信协议、通信端口等； b) 支持限制接入设备 IP地址、端口号的能力； c) 支持对数字证书的审核、签发、管理、撤销等，并实现网关接入认证和相关的配置管理 。 全国团体标准信息平台 T/SIOT 028 -2022 3 8.2 管理员身份管理 管理员身份管理 要求如下： a) 支持依据管理员的角色建立不同的账号并分配权限的能力； b) 支持管理员用户首次登录时强制 其修改默认口令的能力； c) 支持管理员权限分离的能力； d) 支持管理员权限最小化的能力； e) 支持多种系统管理员身份鉴别方式的能力； f) 支持系统管理员两种或两种以上的组合机制进行身份鉴别的能力； g) 支持对管理员远程登录设备失败处理的能力； h) 支持对管理员访问控制 权限撤销机制的能力 。 8.3 标识密钥管