消费级物联网安全基线

1 目录范围 5 规范性引用文件 5 1.1.1 调试接口默认关闭 7 1.1.2 PCB 板上调试接口丝印 7 1.1.3 调试接口默认关闭信息输入 7前言 4 1.1.4 调试接口打印敏感数据 7 1.2.1 敏感信息加密存储 7 1.2.2 芯片读保护 8 1.3 通信链路数据传输 8 1.4 安全启动 8第一章设备硬件3.1 通用 OS 16 3.1.1 Bootloader 启动 16 3.1.2 用户账户密码 16 3.1.3 防暴力破解 16 3.1.5 特权功能接口 17 3.2 嵌入式 Linux OS 17 3.2.1 串行端口绑定 SHELL 17 3.2.2 系统默认账户密码 17 第二章设备软件1.5 防物理拆除 9 2.1.1 固件升级包完整性与合法性 12 2.1.2 防固件降级 12 2.1.3 软件更新失败后恢复机制 13 2.1.4 局域网 OTA 升级 13 2.1.5 第三方组件更新 13Contents第三章设备 OS 1.6 防强电磁攻击 9 1.7 智能门锁锁芯及门卡 9 1.8 设备唯一标识防篡改 101.1 物理调试接口 7 1.2 本地数据存储 7 2.1 软件更新 12 2.1.6 MCU IAP 更新机制 13 2.2 服务与端口最小化 14 2.3 代码库管理 143.2.3 基础文件系统权限 18 3.2.4 外部存储的程序和脚本 18 3.2.5 地址空间布局随机化 18 3.2.6 基址随机加载保护 19 3.2.7 栈 Cookie 防溢出 19 3.2.8 栈不可执行 19 3.2.9 删除调试符号表 19 4.1 通用通信 21 4.1.1 密钥硬编码 21 4.1.2 通讯信道加密 21 4.1.3 通信双向认证 21 4.1.4 防重放 22 4.1.5 非授权通信协议 23 4.2 以太网 23 4.2.2 敏感数据传输加密 23第四章设备通信 4.2.3 HTTPS 证书校验 23 4.2.4 Wi-Fi 接入点口令 24 4.2.5 Wi-Fi 接入点用途 243.1.4 验证输入数据 17 4.2.1 通信信道加密 23 4.3 低功耗蓝牙（BLE） 25 4.3.1 蓝牙配对 25 4.3.2 蓝牙控制指令合法性校验 25 4.3.3 传感器设备蓝牙广播 25 4.3.4 蓝牙 mesh 协议 25 4.3.5 蓝牙协议版本 265.1 加密与哈希算法 29 5.2 随机数生成函数 29 5.3 日志上报 30 5.4 跨境网络请求 30 5.5 云端存储安全 30 5.6 云端数据删除功能 30 5.7 恢复出厂设置 30 6.1 设备可绑定状态 32 6.2 绑定确认 32 6.3 防重复绑定 32 6.4 强绑定关系 32 6.5 设备日志安全监控 33第六章业务逻辑第五章数据安全与隐私 6.6 安全设置指南 334.4 Zigbee 26 4.4.1 Zigbee 协议版本 26 4.5 射频 27 4.5.1 射频通信数据包序列号长度 27 4.5.2 通信密钥硬编码 27 4.5.3 通信频率 27 缩略语 3 9 附录 B 4 1附录 A 4 0术语和定义 3 4 附录 C 4 3 附录 D 4 54.3.7 蓝牙广播防追踪机制 26 4.3.8 蓝牙敏感信息通信 264.3.6 蓝牙控制指令鉴权 26 参考资料 4 64近年来，随着科技的发展，以及消费者对智能生活日益增长的消费升级需求，物联网（IoT）设备市场也开始蓬勃发展。从产品数量来看，根据 Statistics 的调研报告，预计 2021 年 Io T 设备数量将超过 310 亿，2025 年将超过 750 亿；从市场价值来看，根据 IoT analystic 的调研报告， 2019 年， IoT 市场空间 170 亿美元，预计到 2025 年，IoT 市场空间将超过 810 亿美元；从 IoT 设备所产生的数据来看，根据 IDC 的调研报告， 2018-2025 年间，由 IoT 设备产生的数据量将以 28.7% 的复合年增长率增长，预计到 2025 年，IoT 设备数据将达到 79.4ZB。 IoT 市场如此迅猛的增速，意味着物联网设备将迅速进入人们的日常生活并广泛应用于各种场景。不同于传统家电，消费级物联网设备具有感知物体、信息传输、智能处理的特点，其本质是互联网在用户各种生活场景的延伸，因此在方便人们生活的同时，也不可避免的会收集、传输、存储、处理大量的用户个人信息甚至个人敏感信息。国内外的监管机构与国际标准化组织也相继发布了针对 IoT 产品的安全与隐私法律法规和标准规范；与此同时，消费者对 IoT 设备的安全与隐私保护能力的要求也越来越高。在 IoT 设备数量急速增加，所产生的数据急剧增加，监管，标准组织和用户对产品安全与隐私保护的关注度不断增加的背景下，企业应如何保证物联网设备的安全与隐私，让用户，监管和合作伙伴放心，信任其物联网产品，保障产品合规发展，成了企业首要解决的问题。但当前国内缺少一份可被公开查询、可落地的消费级物联网终端安全基线指南，来帮助企业提升其 IoT 终端产品的安全与保护能力。小米 AIoT 安全实验室根据多年的安全测试经验积累、并结合国内外法律法规和标准规范，制定了本基线指南。本指南意在帮助国内物联网企业，在应对以上安全挑战时，可以有一个开放，便捷，落地的知识库，让企业在设计和开发消费级物联网终端产品时，可以对照此指南，规避一些基本的安全与隐私保护风险，以快速提升产品的安全与隐私保护能力。前言5范围本基线主要描述了针对消费级物联网终端设备的安全基线要求。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 ETSI EN303645 《消费级物联网信息安全基本要求》 Cyber Security for Consumer Internet of Things: Baseline Requirements GB/T35273-2020 《信息安全技术 - 个人信息安全规范》 Information security technology—Personal information security specification Regulation (EU) 2016/679 《通用数据保护条例》 General Data Protection Regulation6 设备硬件0171.1 物理调试接口 1.1.1 调试接口默认关闭消费级物联网设备（下文简称“设备”）应在出厂时默认关闭 UART、 JTAG、SWD 等调试接口。如因售后问题分析等原因需开启调试接口，应按需飞线通联或根据设备传感器等能力，做出特殊操作后开启（如特殊按键组合、私有 USB Dongle 串接使用、设备倾斜通电等），以减少不必要的物理调试接口暴露和信息传输。 1.1.2 PCB 板上调试接口丝印设备应去除 PCB 板上的调试接口丝印 ( 如明显的 TX、RX)，以防止逆向工程。 1.1.3 调试接口默认关闭信息输入调试接口因某些特定需要而开启后，默认不应开放调试接口的信息输入，防止设备固件被篡改或本地存储的敏感信息被读取。 1.1.4 调试接口打印敏感数据调试接口在某些特定需要而开启后，应仅允许进行不包含用户与设备敏感信息的 log 输出（敏感信息包含敏感安全参数如 key、token，和个人敏感信息如 password、Wi-Fi 密码等，详见附录 A 个人敏感信息），如需输出完整数据流日志，需要将此类信息遮蔽展示（如：password ： ********） 1.2 本地数据存储 1.2.1 敏感信息加密设备应将敏感信息加密存储在存储芯片（flash、nand、emmc 等），加密方案可通过采用集成安全芯片或操作系统分区加密来实现。设备硬件81.3 通信链路数据传输设备宜对硬件通信链路 (IIC/SPI) 中传输的通信数据本身进行加密。宜采用安全芯片来确保加密密钥的安全性，并结合真实与伪数据融合发送的机制，以防止攻击者通过硬件通道嗅探得到协商密钥以及芯片指令。图 1 - 安全芯片1.2.2 芯片读保