基于信任根的物联网设备系统安全技术要求.pdf

基于信任根的物联网设备系统安全技术要求

1范围

本文件针对物联网设备的信任根和系统的安全功能提出了技术要求，并将其划分为三个不同的等级。

本文件适用于支持信任根的物联网设备，用于基于信任根的物联网设备的设计、开发以及安全评测。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20271-2006信息安全技术信息系统通用安全技术要求

GB/T25069-2010信息安全技术术语

GB/T41388-2022信息安全技术可信执行环境基本安全规范

GM/T0005-2012随机性检测规范

3术语、定义和缩略语

3.1术语和定义

GB/T20271-2006、GB/T25069-2010界定的以及下列术语和定义适用于本文件。

3.1.1

安全启动secureboot

在系统启动过程中，为验证系统启动过程每一阶段所加载代码的真实性、完整性而提供的一种安全

机制。

[来源：GB/T41388-2022信息安全技术可信执行环境基本安全规范]

3.1.2

安全存储securestorage

一种安全的存储方式，确保只有合法代码能够读写数据，确保对存储对象的读写操作操作的原

子性、数据的机密性、数据的完整性。

3.1.3

固件firmware

写入到硬件中的程序代码。

3.1.4

5

防回滚rollbackprotection

防回滚机制保证设备只接受新版本的固件和数据，防止设备加载包含已知错误或漏洞的旧版本固件，

防止设备加载非法数据。

3.1.5

远程证明remoteattestation

远程证明是利用硬件和软件技术、证明设备状态和软/硬部件身份的一种机制，目的是向远程实体

证明设备整体状态、硬件模块或操作系统和应用程序软件的完整性和真实性。

3.1.6

生命周期lifecycle

生命周期是用来标识物联网设备在不同生命阶段的状态，包括开发、制造、使用、调试、直到终止

使用。在不同的生命阶段，物联网设备具有不同的安全属性。

3.1.7

可信执行环境trustedexecutionenvironment

基于硬件级隔离及安全启动机制，为确保安全敏感应用相关数据和代码的机密性、完整性、真实性

和不可否认性目标构建的一种软件运行环境。其中，硬件级隔离是指基于硬件安全扩展机制，通过对计

算资源的固定划分或动态共享，保证隔离资源不被开放系统访问的一种安全机制。

[来源：GB/T41388-2022信息安全技术可信执行环境基本安全规范]

3.1.8

密码模块cryptographicmodule

实现了安全功能的硬件、软件、或固件的集合，并且被包含在密码边界。

注：密码根据其组成，可分为硬件密码模块、固件密码模块、软件密码模块以及混合密码模块。

[来源：GB/T37092-2018信息安全技术密码模块安全要求]

3.2缩略语

下列缩略语适用于本文件。

AES高级加密标准AdvancedEncryptionStandard

CMAC基于加密算法的消息鉴别码Cypher-BasedMessageAuthenticationCode

DES数据加密标准DataEncryptionStandard

ECDSA椭圆曲线数字签名算法EllipticCurveDigitalSignatureAlgorithm

EdDSA爱德华兹曲线数字签名算法Edwards-CurveDigitalSignatureAlgorithm

FW固件Firmware

GMAC伽罗瓦消息鉴别码GaloisMessageAuthenticationCode

HUK硬