基于SIM卡的物聯(lián)網(wǎng)安全服務技術(shù)要求

1基于SIM卡的物聯(lián)網(wǎng)安全服務技術(shù)要求本文件提出了基于SIM卡的物聯(lián)網(wǎng)安全服務技術(shù)要求，其中包括對基于SIM卡的物聯(lián)網(wǎng)安全服務進行功能定義、系統(tǒng)架構(gòu)設(shè)計以及技術(shù)流程定義，涉及對物聯(lián)網(wǎng)卡、物聯(lián)網(wǎng)終端、物聯(lián)網(wǎng)平臺等單元的技術(shù)要求。本文件適用于2/3/4/5G以及NB-IoT終端的安全體系設(shè)計2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件。僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本YD/T3589-2019M2M環(huán)境下的電信智能卡技術(shù)要求3術(shù)語和定義下列術(shù)語和定義適用于本文件。物聯(lián)網(wǎng)終端中所使用的各類電信智能卡，有插拔卡、貼片卡兩種封裝形態(tài)。在SIM卡中運行的小程序，用于向SIM卡所在的終端應用提供安全服務。下列縮略語適用于本文件。AES高級加密標準APPTripleDataEncryptionAdvancedEncryptionStandardApplicationProgrammingIn2卡操作系統(tǒng)數(shù)據(jù)報傳輸層安全協(xié)議橢圓曲線密碼算法SIM卡安全應用唯一標識物聯(lián)網(wǎng)服務提供方消息驗證碼操作系統(tǒng)預共享密鑰軟件開發(fā)工具安全散列算法-1用戶身份識別模塊國家商密算法-2國家商密算法-3國家商密算法-4國家商密算法-9DatagramTransportLayerSecEllipticCurveCryptograIoTServiceMessageAuthenticationCRivest/Shamir/AdlemanasymmetricSecureHashSubscriberIdentity服務提供方5.1業(yè)務定義基于SM卡的物聯(lián)網(wǎng)安全服務是基于物聯(lián)網(wǎng)終端的安全能力為物聯(lián)網(wǎng)服務提供方(IoT-SP)提供的安全服務，該服務以SIM卡為安全載體，依托其高安全性的存儲和運算能力為IoT-SP提供物聯(lián)網(wǎng)終端安全保護及物聯(lián)網(wǎng)終端與平臺之間的身份認證以及數(shù)據(jù)傳輸保護，該服務可以幫助IoT-SP快速提升安全能5.2業(yè)務功能基于SIM卡的物聯(lián)網(wǎng)安全服務包括如下內(nèi)容：安全通信服務包括以下安全服務：●針對標準通信協(xié)議的安全支撐服務：為物聯(lián)網(wǎng)領(lǐng)域的各類標準的安全通信協(xié)議(至少包括DTLS協(xié)議),提供基礎(chǔ)的密碼運算服對于未實現(xiàn)標準安全通信協(xié)議的物聯(lián)網(wǎng)終端，可以基于數(shù)據(jù)安全傳輸服務實現(xiàn)端到端的認證和數(shù)據(jù)安全傳輸，服務類型包括：密鑰協(xié)商物聯(lián)網(wǎng)終端與平臺間的密鑰協(xié)商服務，及為后續(xù)的數(shù)據(jù)上傳和下發(fā)協(xié)商會話密鑰數(shù)據(jù)安全上傳/下發(fā)提供物聯(lián)網(wǎng)終端與IoT-SP之間的業(yè)務數(shù)據(jù)安全上傳及下發(fā)服務，包括傳輸過程中的數(shù)據(jù)加解密及驗證可以為IoT-SP和物聯(lián)網(wǎng)終端提供雙向身份認證服務，包括IoT-SP對終端的認證以及終端對IoT-SP的認證。從而確保IoT-SP和終端交互雙方身份的可信性。■敏感數(shù)據(jù)存儲服務：以SDM卡為安全存儲介質(zhì)，為物聯(lián)網(wǎng)終端提供墩感數(shù)據(jù)的安全存儲服務，包括受控寫/自由讀方式，具體控制方式包括：●寫入控制：對于敏感信息寫入SIM卡，需要由平臺側(cè)控制下寫入●自由讀?。航K端對SDM卡內(nèi)指定區(qū)域的信息自由地讀取為滿足個性化的加解密需求，可以提供基于SIM卡的通用密碼運算能力，包括如下服務物聯(lián)網(wǎng)終端APP可以基于該服務進行各類定制化的安全開發(fā)，包含但不限于如下功能：本地安全存儲功能本業(yè)務的參與方及其職責包括：■物聯(lián)網(wǎng)服務提供方(1oT-SP):物聯(lián)網(wǎng)服務的提供者，可以通過使用物聯(lián)網(wǎng)安全服務提供方的安全服務，實現(xiàn)對物聯(lián)網(wǎng)設(shè)備進行安全管理以及數(shù)據(jù)安全傳輸?shù)取鑫锫?lián)網(wǎng)安全服務提供方；為IoT-SP提供物聯(lián)網(wǎng)終端安全、終端認證以及數(shù)據(jù)安全傳輸?shù)劝踩鲭娦胚\營商：為IoT-SP提供移動網(wǎng)絡(luò)接入服務■SM卡廠商：SIM卡生產(chǎn)并對SIM卡安全應用進行個人化■物聯(lián)網(wǎng)終端廠商：負責終端生產(chǎn)并集成標準的終端安全服務SDK以及SIM卡安全服務平臺為IoT-SP提供服務的模式有如下兩種■服務模式1:IoT-SP授權(quán)及自服務安全服務平臺通過對IoT-SP授權(quán)管理實現(xiàn)將安全服務能力授權(quán)給IoT-SP,授權(quán)完成后，4IoT-SP可以自行使用安全服務。該模式包括如下業(yè)務流程●IoT-SP授權(quán)：安全服務平臺向IoT-SP提供SIM卡安全服務使用權(quán)限，該過程可以在工廠預置或者在線完成：●IoT-SP自服務安全全服務平臺在對IoT-SP授權(quán)完成后，IoT-SP可以獨立使用各類安全該方式為安全服務平臺直接為IoT-SP提供安全服務，即密朝協(xié)商、加解密操作都由安全服務平臺完成。5.5終端安全要求由于物聯(lián)網(wǎng)終端會面臨一些安全鳳險，可能會影響SIM卡安全服務的正常運行，比如：遠程攻擊、0S及應用的非法算改、非法調(diào)試、非法拆卸/替換SIM卡等。針對以上的安全風險，物聯(lián)網(wǎng)終端廠商可以結(jié)合相應行業(yè)的終端安全要求和終端應用環(huán)境的特點采取相應的安全措施進行防范，比如：安全啟動、安全升級、安全調(diào)試等。針對拆卸/替換SIM卡的風險，應采取措施進行防范，以保證SIM卡和終端之間的一對一綁定關(guān)系(可參考使用附錄A的建議)。終端采取的具體安全措施和安全要求超出了本文件的范圍，不在本文件中規(guī)定6系統(tǒng)結(jié)構(gòu)和組網(wǎng)6.1系統(tǒng)結(jié)構(gòu)6.1.1系統(tǒng)結(jié)構(gòu)圖基帶芯片56.1.2各模塊功能介紹6.1.2.1SIM卡/SIM卡安全應用SIM卡作為物聯(lián)網(wǎng)安全服務在終端側(cè)的基礎(chǔ)安全載體，其中裝載SIM卡安全應用，該應用可以通過SIM卡提供的密碼運算和安全存儲能力實現(xiàn)加解密、身份認證等安全功能，并向終端提供調(diào)用接口。不同SIM卡中的SIM卡安全應用以一個全局唯一的ID號來標識，即IoT-SeeID,該標識需要在SIM卡安全應用個人化過程中寫入SIM卡安全應用需要提供多邏輯通道的支持，以滿足終端應用的并發(fā)連接需求6.1.2.2基帶芯片/模組/終端0s基帶芯片一方面為物聯(lián)網(wǎng)終端提供通信能力，同時還需要提供終端訪間SIM卡的基礎(chǔ)能力，終端0S則需要將該基礎(chǔ)能力封裝為SIM卡訪問接口，以滿足物聯(lián)網(wǎng)安全服務SDK訪問SIM卡的需求。6.1.2.3物聯(lián)網(wǎng)安全服務SDK物聯(lián)網(wǎng)安全服務SDK是在物聯(lián)網(wǎng)終端0S上，為物聯(lián)網(wǎng)終端APP提供安全服務的安全中間件。6.1.2.4物聯(lián)網(wǎng)終端APP物聯(lián)網(wǎng)終端上的APP軟件，運行于終端08上，用于完成物聯(lián)網(wǎng)應用功能。6.1.2.5物聯(lián)網(wǎng)安全服務平臺物聯(lián)網(wǎng)安全服務平臺是向IoT-SP提供安全服務的平臺側(cè)實體，其主要功能如下■安全服務能力授權(quán)：安全服務平臺可以向IoT-SP提供各種安全服務的授權(quán)■簡單安全服務；由安全服務平臺向IoT-SP提供對物聯(lián)網(wǎng)終端的身份認證以及數(shù)據(jù)加解密服務該平臺即IoT-SP服務器，是對物聯(lián)網(wǎng)終端進行管理以及提供物聯(lián)網(wǎng)服務的平臺。不同的IoT-SP在使用物聯(lián)網(wǎng)安全服務之前需要在物聯(lián)網(wǎng)安全服務平臺中注冊，并被分配全局唯一標識SPID。6.1.3各接口功能描述各接口說明■IFI:SIM卡安全應用提供的APDU接口■IF2:物聯(lián)網(wǎng)安全服務SDK向物聯(lián)網(wǎng)終端APP提供的API接口■IF3:物聯(lián)網(wǎng)安全服務平臺與IoT-SP之間的接口■IF4:終端OS為SDK提供的SIM卡訪問接口系統(tǒng)組網(wǎng)圖見圖2。該類密鑰是在工廠預置，由物聯(lián)網(wǎng)安全服務平臺進行管理和使用，用于對loT-SP進行授權(quán)操作，該類密鑰可以為對稱密鑰或非對稱密鑰，其中：●非對稱密鑰：可以實現(xiàn)IoT-SP自行生成和管理SP服務密該類密鑰是在工廠預置，由物聯(lián)網(wǎng)安全服務平臺進行管理和使用，用于為1oT-SP提供簡單安全服務，該類密鑰用于提供身份認證服或稱SP業(yè)務密鑰，是物聯(lián)網(wǎng)安全服務平臺授權(quán)JoT-SP平臺使用于IoT-SP平臺與物聯(lián)網(wǎng)設(shè)備之間的安全通信、安全存儲、通用■對稱密碼算法：3DES、AES、SM4■摘要算法：SHAl、SHA256、SM37本文件涉及的技術(shù)流程包括■SP授權(quán)和自服務●身份認證服務在以上的技術(shù)流程中，考慮到交互的效率以及系統(tǒng)實現(xiàn)的復雜度等因素，流程提供了兩種交互模型。即Counter模式和無Counter模式，其中：在服務器和SIM卡安全應用之間維護一個線性遞增的同步計數(shù)器(Counter),用于在報文安全傳輸過程中，實現(xiàn)報文的序列的唯一性，可以防范重放攻擊?；谠撃Ｊ?，可以顯著減少報文交互次數(shù)。提高交互效率，但是系統(tǒng)維護的復雜性較高，建議在安全服務平臺采用該機制。IoT-SP平臺則可選使用。該模式下服務器和SIM卡之間不維護計數(shù)器，但是為了避免重放攻擊和保護服務密鑰。需要通過增加必要的交互實現(xiàn)密鑰協(xié)商，IoT-SP平臺可選使用該模式。8.2開通前準備8.2.1SIM卡生產(chǎn)SIM卡生產(chǎn)過程中需要在其中寫入COS并進行SIM卡安全應用的初始化，使之具備安全能力.SIM卡安全應用初始化需要寫入的數(shù)據(jù)要求如表2。SIM卡安全應用初始化完成后需要導出的數(shù)據(jù)包括：■IoT-SeeID列表：在后續(xù)的終端生產(chǎn)過程中，需要維護終端與SIM卡的對應列表，并提供給IoT-SP,并用于后續(xù)IoT-SP將終端對應的IoT-SeeID列表提交給安全服務平臺，以便對所有授權(quán)的IoT-SecID進行注冊SIM卡公鑰與1oT-SeeID的對應表；如果在SIM卡安全應用中預置了非對稱密鑰，則需要將對應的公鑰提供給物聯(lián)網(wǎng)安全服務平臺loT-SP在使用物聯(lián)網(wǎng)安全服務之間，需要在物聯(lián)網(wǎng)安全服務平臺進行注冊操作，流程如下：步驟一；基本信息注冊：a)在物聯(lián)網(wǎng)安全服務平臺登記IoT-SP信息b)物聯(lián)網(wǎng)安全服務平臺為該1oT-SP分配SPID步驟二：SP服務密鑰傳遞：a)SP服務密鑰(JoT-SP公鑰)傳遞：對于采用非對稱密鑰體系的IoT-SP,需要將loT-SP的公鑰傳遞給物聯(lián)網(wǎng)安全服務平臺，用于在后續(xù)的授權(quán)過程中，將該公鑰寫入SIM卡b)SP服務密鑰(對稱密鑰)根密鑰傳遞：物聯(lián)網(wǎng)安全服務平臺導出SP服務根密鑰，并加密c)服務管理密鑰(公鑰)傳遞：對于需要自行生成服務密鑰的IoT-SP,物聯(lián)網(wǎng)安全服務平臺需要將服務管理密鑰(公朝)傳遞給IoT-SP,以在授權(quán)流程中實現(xiàn)自行生成密鑰的加密傳輸操作8.2.3SIM卡安全應用注冊IoT-SP注冊后，物聯(lián)網(wǎng)安全服務平臺需要在JoT-SP授權(quán)之前完成SPID與JoT-SeeID的關(guān)聯(lián)，即SIM卡安全應用注冊，只有注冊完成后，IoT-SP才可以調(diào)用該SIM卡安全應用的安全能力。在IoT-SP授權(quán)過程中，安全服務平臺會對SIM卡安全應用的注冊狀態(tài)進行檢查SIM卡安全應用注冊的過程如下：a)loT-SP向安全服務平臺提供其擬申請安全服務的終端SIM卡安全應用列表(loT-SecIDList)b)安全服務平臺將IoT-SeeIDList導入數(shù)據(jù)庫8.3SP授權(quán)和自服務本節(jié)針對IoT-SP授權(quán)和自服務流程進行說明，IoT-SP授權(quán)流程中，根據(jù)需要向SIM卡安全應用寫SP授權(quán)的方式分為線下授權(quán)和線上授權(quán)兩種，其中線下授權(quán)用于在產(chǎn)線和業(yè)務開通前通過線下完成授權(quán)操作；線上授權(quán)則是通過在線的報文交互流程實現(xiàn)授權(quán)操作。由于服務管理密鑰使用的密碼體制(對稱或非對稱)的不同，相應的業(yè)務流程也有所差別，又將線上授權(quán)流程分為如下流程進行介紹8.3.1.1線下授權(quán)在生產(chǎn)過程中及業(yè)務開通前進行線下授權(quán)操作，根據(jù)SP服務密鑰的密碼體制的不同，授權(quán)方式有所不同，說明如下：在SIM卡生產(chǎn)過程中預置SP服務密鑰(對稱密鑰);安全服務平臺將SP服務密鑰(對稱密鑰)根密鑰提供給IoT-SP。,服務管理密鑰為非對稱密鑰的場量下的主要特點是，SP服務密鑰可以由IoT-SP平臺生成并自行加密，并由安全服務平臺進行寫入，從而可以滿足IoT-SP對SP服務密鑰的隱私保護需求，該流程見圖4。務圖4線上授權(quán)(服務管理密鑰為非對稱密鑰)流程說明如下：1)流程觸發(fā)：a)對于終端觸發(fā)的情況下，終端APP在調(diào)用安全服務時受到SIM卡的錯誤響應，然后終端APP可以觸發(fā)授權(quán)流程，即向JoT-SP發(fā)送授權(quán)請求，然后IoT-SP向物聯(lián)網(wǎng)安全服務平臺b)對于loT-SP觸發(fā)的情況下，loT-SP在發(fā)起業(yè)務前，發(fā)現(xiàn)終端尚未授權(quán)，則發(fā)起后續(xù)的授權(quán)流程2)IoT-SP平臺為相應終端生成SP服務密鑰(對稱或非對稱):3)采用服務管理公鑰(即相應終端的SIM卡公鑰)加密SP服務密鑰并計算SP服務密鑰密文的4)IoT-SP向安全服務平臺發(fā)送授權(quán)請求(攜帶SP服務密鑰密文的摘要信息);5)安全服務平臺檢查IoT-SP和SIM卡安全應用注冊信息、生成ServerRand并生成授權(quán)指令(含6)安全服務平臺向IoT-SP平臺發(fā)送授權(quán)響應，其中包含授權(quán)指令(含ServerRand、Counter、服7-9、IoT-SP平臺將SP服務密鑰密文增加到授權(quán)指令內(nèi)，形成授權(quán)指令報文，發(fā)送給物聯(lián)網(wǎng)終端m會子會子口調(diào)生成合pwo圖6密鑰協(xié)商(Counter模式)說明如下；a-+a-+e3)SIM卡安全應用返回響應：5)物聯(lián)網(wǎng)APP向IoT-SP上報數(shù)據(jù)密文：6)loT-SP采用會話密鑰驗證及解密數(shù)據(jù)：8.3.2.3敏感數(shù)據(jù)存儲服務8.3.2.3.1敏感數(shù)據(jù)受控寫入(Counter模式)圖10敏感數(shù)據(jù)受控寫入(Counter模式)流程說明：1)IoT-SP生成數(shù)據(jù)寫入指令：3)APP發(fā)送數(shù)據(jù)寫