张明珠 孔睿迅 庄伟玮 景意新 许蕴盈

（中国电器科学研究院股份有限公司 广州 510302）

引言

近年来，随着物联网技术的发展，智能家电/家居产品的控制器（下文称“智能控制器”）被加载越来越多智能化应用，承载了互联，计算，输入/输出等多项重要功能。IEC/T C72（电自动控制器标准技术委员会）是IEC（国际电工技术委员会）下面负责“制定与家用和类似用途的电器和其他设备，电气和非电气用自动电气控制装置固有安全相关、与应用安全相关的操作特性，以及测试方法的标准”的分技术委员会。解决物联网领域中连接的外部组件的安全问题，TC 72于2019年初新成立智能控制器工作组WG13，由中国代表担任召集人。根据工作组路线，有必要对TC 72制定的“IEC 60730-1家用和类似用途的电自动控制器.第1部分:一般要求”最新发布版本标准Edition 5.1进行差距分析，并在差距分析的基础上，把其中一般性的必要要求修订进入IEC 60730-1，第1部分的一部分，把归类为特定技术要求的内容考虑起草为IEC 60730第二部分的新标准。

本文主要参考物联网现有标准中提及的安全要求，对IEC/TC 72现有标准IEC 60730-1进行深入审查，开展差距分析，以找出标准中保障智能控制器物联网安全所缺的要素，并提出相关建议。

1 物联网安全需求对标现行标准

参照GB/T 22239.4-2019《网络安全等级保护基本要求 第4部分：物联网安全扩展要求》，第三级安全保护要求比第二级增加区域边界恶意代码防范、区域边界访问控制等安全功能，使系统具有更强的安全保护能力。经审查“IEC 60730-1 Ed5.1的附录H：电子控制的要求”内容，已经对控制器数据交换的访问控制提出要求，因此考虑基于物联网框架的智能控制器外部组件应至少达到第三级物联网系统安全保护要求。经过对国内已发布的网络安全有关标准进行筛选研究，决定选取GB/T 25070.4《信息安全技术 网络安全等级保护设计技术要求 第4部分：物联网安全要求》内的第三级物联网系统安全保护环境设计要求进行重点对标研究。

第7点共提出四方面的设计要求，其与智能控制器的相关性分别如下：

1）安全计算环境相关技术要求：安全计算环境是对定级系统的信息进行存储、处理及实施安全策略的相关部件，与物联网终端设备关系较密切，应重点分析。

2）安全区域边界相关技术要求：安全区域边界主要针对整个物联网系统的安全计算环境边界等的相关安全策略。因部分技术要求与智能控制器的输入/输出路径相关，应选择部分内容进行对比分析。

3）安全通信网络相关技术要求：该要求主要针对计算环境和信息安全区域之间的信息传输，不属于物联网终端的考虑范围，无需进行对标分析。

4）安全管理中心相关技术要求：该要求主要规定物联网系统各部分的安全机制的统一管理，不属于物联网终端的考虑范围，无需进行对标分析。

2 IEC 60730-1与物联网安全需求之间的差距分析

根据上述对标分析，拟选取安全计算环境设计技术要求及安全区域边界设计技术要求的区域边界包过滤部分开展差距分析，分析过程如下：

1）IEC 60730-1与安全计算环境设计技术要求的差距分析（详见表1）。

2）IEC 60730-1与7.3.2安全区域边界设计技术要求的差距分析（详见表2）。

表1 IEC 60730-1与安全计算环境设计技术要求的差距分析

3 对IEC 60730-1提出的修订建议

针对以上物联网安全需求与IEC 60730-1标准之间的差距分析结果，对IEC 60730-1提出四点修订建议。

3.1 设备标识

随着物联网的发展，身份管理的作用正在扩大。它不再是单纯的识别人员和管理他们对应不同类型数据。在物联网领域，身份管理必须能够识别设备，传感器，监视器，并管理对敏感和非敏感数据的访问。控制器标准应该考虑物联网世界中设备的设备身份，因为：

1）目前没有标准方法来识别跨网络架构的设备；

2）MAC地址已逐渐不够用；

3）设备标识对于完成信任链非常重要（如需要关闭一个重要的漏洞窗口时）。

因此，建议将设备ID存储在（控制器）内存中，并提供保护机制以防止通过物理/电子攻击检索设备ID。设备ID在相应的系统安全域的操作范围内应是唯一的、不变的以及可验证的。

3.2 硬件防篡改保护

物联网技术使控制器上的传感器和控制结点更易于通过网络进行安装和管理，也带来了安全隐患。虽然通过加密保护无线链路不失为一项关键安全设计技术，但无线结点（设备终端）本身就很容易被篡改。

被篡改的危害包括：拦截正在收集的数据、加密密钥或代码本身。这种黑客攻击可以改变设备传输出去的数据，或拦截来自控制端的数据等等。因此，有必要对联网的控制器提供硬件篡改保护。

目前已存在各种级别的硬件篡改保护方法。这里借鉴“FIPS 140-2关于加密模块的篡改保护的术语”标准内的安全级别3内容对智能控制器标准提出建议：

控制器硬件防篡改，应对物理篡改有响应，如模块上敏感材料的归零[2]等。

3.3 安全存储

安全存储是指容纳敏感或机密数据的物理方法（“敏感数据”）。 这些数据包括对称或非对称私钥，证书数据，安全域访问凭证或个人用户信息等。 敏感数据应要求保持其完整性，而关键敏感数据应要求保持其完整性和机密性。

建议将硬件安全存储技术用于关键敏感数据。硬件安全存储通常涉及基于半导体的非易失性存储器（“NVRAM”），并且包括用于防止对关键敏感数据的未授权访问的对策。

建议物联网设备制造商为敏感数据提供合理保护，以防未经授权的设备，团体或个人以恶意或良性目的访问。 此外，由于敏感数据通常用于身份验证和加密，因此必须保持其完整性，防止有意或无意的更改。

建议关键敏感数据存储在控制器安全存储中，任何需要从该安全存储传输的数据（在使用时）都应加密，以防止MCU / MPU内的恶意软件窃听[3]。

在测试方面，建议考虑有保护机制，防止敏感数据受到攻击，此处借鉴ISO/IEC 30118-2标准，测试方法可包括但不限于：

1）物理去除芯片封装并以光学（的方法）读取NVRAM内容；

2）对去除的芯片封装进行物理探测，以电子方式读取NVRAM内容；

3）探测电源线或RF发射以监测电压波动，以识别关键敏感数据的位模式；

4）使用恶意软件或固件在控制器静止或传输时读取存储器内容；

5）注入导致不正确的设备操作或丢失或改变敏感数据的故障。

3.4 可信输入/输出路径

表2 IEC 60730-1与安全区域边界设计技术要求的差距分析

根据安全区域边界相关技术要求，控制器应考虑有相关方法保护用于数据输入或输出可信加密边界的路径及端口，包括进出安全执行引擎和安全内存的路径。

建议把未经授权的人或流程隔离开，以避免执行敏感流程。隔离对象包括CPU缓存及需要被视为可信（加密）边界一部分的所有执行元素等。

建议隔离进出执行引擎的数据路径。例如，加密之前或解密之后的未加密但敏感的数据，或者用于加密算法的加密密钥，如解密或签名等。

4 结语

除了上述新增内容的建议，设备联网对控制器原有的远程控制功能、数据交换的访问、安全相关数据的通信以及密码技术方面也会提出新的挑战。本文只重点聚焦于对IEC 60730-1标准未涉及的物联网安全相关要求进行分析，以此明确潜在的标准可新增修订内容。