卜宏泽，程儒，胡湘洪，彭琦

（1.工业和信息化部电子第五研究所，广东 广州 511370；2.智能产品质量评价与可靠性保障技术工业和信息化部重点实验室，广东 广州 511370）

0 引言

近年来，在智能化技术、互联网技术等技术的推动下，智能家电行业得到了蓬勃的发展，家用电器不再仅作为单一功能产品出现在家庭使用场景中[1-5]。智能化家电更加网络互联化、功能集成化，通过公共网络进行远程通信已经成为许多智能家电的基本功能单元。但是，随之而来的安全挑战[1]也正威胁着家电向互联互通、智能化方向的发展，国内外通过联网家电窃取用户个人敏感信息的事件层出不穷，家电行业为应对互联互通和智能化的发展趋势亟需完善和出台相关标准和技术规范。

国际电工委员会（IEC）于2020年9月发布了家用和类似用途电器的安全标准IEC 60335-1：2020（6.0版）[6]，相比于之前的5.2版本[7]，IEC在新的规范标准附录U中引入了网络安全要求，以避免未经授权的访问，以及通过公共网络进行远程通信受到传输故障的影响。

1 IEC 60335-1中22章62条的要求

在第22章第62条中，对通过公共网络远程通信器具的结构进行了要求，规定了通过公用网络进行的远程通信不得影响对IEC 60335-1标准的符合性。这一要求只适用于如下范围。

a）包括为符合22章46条要求，根据规范性附录R采取的措施，或者为符合IEC 60335-1标准第8～32章要求而采取的必要措施。

b）包括软件下载或数据交换的远程通信，其仅影响上述情况a）中由于软件或数据划分或分区不当而未涵盖的软件部分。对于符合本标准所有不依赖于软件的措施，通过公用网络只进行数据发送，或仅提供事件驱动消息或推送远程监控，不在要求的适用范围内。

标准对上述适用范围进行了举例说明，例如：在第11章中用于调节或限制最大正常温升时使用的包括常数、算法和定时器或下载的软件、参数集。在适用范围内提到的22章46条，要求符合本标准的可编程保护电子电路的软件部分应该是包含附录R中表R.1中规定的故障/错误条件的措施的软件。具体地说，在软件评估方面附录R中的R.2.2.5和R.2.2.9分别阐述了对于拟通过公共网络进行远程通信的器具，若第22.62节确定规范性附录U适用，则应在不符合规范性附录U之前检测到故障/错误，同时在公共网络远程控制下的软件和安全相关硬件应初始化并在不符合规范性附录U之前终止。

也就是说，除非完全不依赖软件，或者不通过公共网络收发数据以完成远程控制操作的措施，其余条件下一旦使用公用网络进行远程操作均必须依照标准进行检查，审核技术文档，并按照最新版标准中附录U的要求测试合规性。

2 附录U关于公共网络远程通信设备

与上一版本Ed.5.2相比，6.0版本的标准IEC 60335-1在附录部分添加了一整章作为对通过公共网络进行远程通信的设备进行规范性要求。依照第22章62条，通过附录U的技术要求以避免器具在利用公共网络进行远程通信时遭受未经授权访问和传输失败问题的威胁和影响。例如：规范中要求采用加密算法对传输消息进行加密以防止传输过程中被篡改从而保护了数据的完整性，而我国现行的国家标准GB/T 28219—2018和GB/T 38052.3—2019同样对智能家用电器在互联互通过程中的信息安全问题提出了相适应的技术要求[8-9]。本附录未涵盖关于数据和消费者隐私方面的保密性问题。

2.1 技术要点

首先，通信双方需要确认发送或接收消息的实体是其声称的身份。接下来，对已经验证身份的实体授予访问信息、功能和服务的必需权限。在通信建立的期间，需要利用加密技术保护数据的安全，确保数据的完整性，以避免恶意篡改和数据丢失的情况出现。

在当前的通信协议结构中，大多数应用层协议和传输层协议本身均不具备加密安全策略，因此往往需要在两者之间嵌套传输层安全性协议（TLS：Transport Layer Security）及其前身安全套接层协议（SSL：Secure Sockets Layer），其网络结构模型如图1所示。

图1 嵌套传输层安全性协议的网络结构模型

目前传输层安全性协议已发展到了TLS 1.3版本。在协议中支持了多种非对称加密算法和哈希算法，通过数字证书在握手过程中确认双方身份，利用加密技术保证数据通信过程的安全性。因此国家标准GB/T 38052.3—2019在6.5节对于智能家电在互联互通过程中的通信安全问题提出了相应的安全策略要求，要求使用包括TLS、IP验证、数字签名和用户身份验证等安全技术方案中的一种或多种，以保证数据和信息的机密性、完整性、可用性和不可否认性。

另外，如果有软件下载的请求，则应该说明如何或在何处获得制造商给出的唯一名称或代码，该名称或代码标识设备中运行软件的当前版本。这些说明还应包括用户在软件更新过程中必须遵循的必要步骤。

2.2 结构的要求

首先，需要将能够与公共网络通信的软件划分为与符合本标准其他要求所需的软件分开的模块。这是为了避免远程通信时发生的错误危害到其他软件部分对标准的符合。

其次，与外部进行远程通信的过程中需要设备通过软件来建立，实施和中止远程通信。因此软件评估将作为重要环节，软件需要提供以下功能：

1）数据完整性保护；

2）检测并响应由于某种原因，包括通信消息不完整、被截断、包含错误或具有正确格式但传递信息超出该类型消息预期范围的通信；

3）控制表R.1中规定的故障/错误条件的措施。

其中，数据完整性保护涉及的方面包括数据损坏、地址损坏、错误的时间或者顺序、持续进行的“自动发送”或者重复，以及数据中断传输。以上内容需要通过视检和测试R.3.2.2中的软件体系结构并根据R3.3来评估软件以检查其是否合格。

在通信过程中应提供措施以防止由于同时或顺序接收来自多个来源的消息而引起的危害。这里涉及到的是互联网攻击中经常出现的分布式拒绝服务攻击（DDoS：Distributed Denial of Service），通过对源IP进行伪造，处于不同位置的多个攻击方对同一目标或者多个目标同时发动网络攻击。由于攻击方的隐蔽性非常好，造成了对攻击行为的检测十分困难。在物联网体系中的各个家电设备一旦通过公共网络进行远程通信，同样会面临DDoS攻击的风险，对设备的安全性和用户人身财产的安全和个人隐私都将造成巨大的威胁。常用的防御措施包括综合设计系统的安全体系，设计安全规则对所有的出入数据包进行过滤，优化路由及网络结构。

关于授权和认证问题，附录U要求授权前不得启用远程通信。授权应基于认证，认证过程应使用加密技术来确保双方的身份。也就是说，器具通过公用网络与服务器进行远程通信前需要按照安全策略与服务器进行握手，在握手过程中双方确定使用何种加密算法，器具通过服务器发来的数字证书以核验身份，服务器使用私钥对器具发送的加密数据进行解密。在加密条件下，双方完成握手过程，确认身份并完成数据访问、服务授权，在安全条件下进行数据收发。出于此要求的目的，两个实体之间用于准备身份验证和授权过程的通信不视为远程通信。一旦远程通信的授权被建立，保护数据完整性的加密技术就需要立即生效。所采用的加密技术应为设备（包括其附件）的一部分，而不依赖于路由器或类似数据传输设备本身的一部分，并应在传输之前进行。

表1列出了部分通过公共网络进行远程通信时面临的威胁，以及为应对未经授权的访问和远程通信中的传输故障/错误可以采用的措施。其中，序列号是附加在数据包中的数据字段，包含了按预先定义方式依据消息顺序标定的数字；时间戳是指格林威治时间1970年1月1日00时00分00秒（北京时间1970年1月1日08时00分00秒）起至现在的总秒数，由消息发送者附加在消息上的有关传输时间的信息；超时是指两条消息之间的延迟超过了预先定义的允许最大时间，被认为存在错误；反馈信息通过返回通道从接收者到发送者的响应，一般指数据接收方响应的返回码；消息来源方和目标方应具有唯一的身份标识，分配给每个实体的标识符可以是名称、数字或任意位模式。此标识符将用于安全相关的通信。通常标识符被添加到用户数据中。例如：在GB/T 38052.1—2019中定义的用户唯一标识码、家电唯一标识码和平台唯一标识码等就是采用了这样的身份安全策略[10]；收发消息中的数据应包含安全代码，这是一段包含安全相关信息中的冗余数据，允许安全相关传输功能检测数据损坏。

表1 防止未经授权的访问和传输故障/错误模式的可接受措施的示例

器具的安全操作不应该依靠远程操作。也就是说，虽然器具的报警信息可以通过公共网络进行同步，但是触发安全措施的过程不应该依赖远程操作，判断安全问题出现并响应相关措施的过程应该在器具本地完成，同时也不允许使用公共网络进行远程复位等操作。

对于涉及公共网络通信的软件部分，附录U也提出了相关要求。首先，应采取措施确保制造商通过远程通信传输提供给器具的软件更新在安装前得到验证，以避免通信中出现数据损坏、推送的软件版本与设备不兼容等问题，防止由于软件更新造成器具失效或带来更严重的安全风险。

此外，执行上述检查的软件应包含控制表R.1中规定的故障/错误条件的措施。根据规范性附录R的相关要求，评估软件和制造商版本管理文件，以检查合规性。用户应被允许在设备中安装软件，并被允许激活启用自动软件更新的模式。在安装期间或之后，软件的安装不得损害对本标准要求的符合性。通过检查描述许可程序的技术文件或通过功能测试检查合规性。

3 结束语

随着家用电器互联互通的程度增加，家电在公共网络进行远程通信时面临的威胁逐渐严重。IEC 60335-1在这一最新版本中明确规定了软件在利用公共网络进行远程通信时需要采取的措施以应对来自未授权访问和传输失败的威胁。这对智能家电互联互通化发展有着重要的指导性作用，为开发者们在信息安全方面的设计提供了指导，与此同时行业相关的检测工程师也需要进一步地学习并掌握这方面的检验和评价方法。