TAF-WG4-AS0054-V1.0.0-2020 NB-IoT終端安全測(cè)試細(xì)則和送檢指引_第1頁(yè)
TAF-WG4-AS0054-V1.0.0-2020 NB-IoT終端安全測(cè)試細(xì)則和送檢指引_第2頁(yè)
TAF-WG4-AS0054-V1.0.0-2020 NB-IoT終端安全測(cè)試細(xì)則和送檢指引_第3頁(yè)
TAF-WG4-AS0054-V1.0.0-2020 NB-IoT終端安全測(cè)試細(xì)則和送檢指引_第4頁(yè)
TAF-WG4-AS0054-V1.0.0-2020 NB-IoT終端安全測(cè)試細(xì)則和送檢指引_第5頁(yè)
已閱讀5頁(yè),還剩19頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1ITAF-WG4-AS0054-V1.0 TAF-WG4-AS0054-V1.0本標(biāo)準(zhǔn)主要起草人:劉陶、詹維驍、寧華、王嘉義、路曄綿1NB-IoT終端安全測(cè)試細(xì)則和送檢指引一、適用范圍本文件適用電信終端設(shè)備中能夠獨(dú)立接入我國(guó)公用電信網(wǎng)的“移動(dòng)用戶(hù)終端”NB-IoT制式網(wǎng)絡(luò)信二、檢驗(yàn)依據(jù)YD/T3228-2017《移動(dòng)應(yīng)用軟件安全評(píng)三、檢測(cè)項(xiàng)目一覽表1414.3.1.3操作系統(tǒng)的更新22345五、判定原則該項(xiàng)測(cè)試目的是為了檢測(cè)在被測(cè)設(shè)備固件或操作系統(tǒng)升級(jí)過(guò)程中是否提供了相應(yīng)的安全措施以保3設(shè)備識(shí)別來(lái)源不正確后也不會(huì)進(jìn)行實(shí)際的升級(jí)操作,而是依舊運(yùn)行舊版本。(本要求僅含移動(dòng)用戶(hù)終端NB-IoT終端網(wǎng)絡(luò)信息安全部分要求,其中一項(xiàng)不合六、測(cè)試送檢指引不支持說(shuō)明說(shuō)明送檢設(shè)備不支持任何固件或操作系統(tǒng)需加蓋公章(可在文檔經(jīng)檢測(cè)實(shí)驗(yàn)室審核4施,或相關(guān)安全措施無(wú)法達(dá)到安全要求的被測(cè)終端,送測(cè)時(shí)需提供下述材內(nèi)容中應(yīng)提示固件或操作系統(tǒng)更新存在安全在其他提供給用戶(hù)查看的文檔資料中進(jìn)行風(fēng)險(xiǎn)聲明,將該文檔電子版發(fā)送檢測(cè)實(shí)驗(yàn)注:如采用說(shuō)明書(shū)明示方式,除說(shuō)明書(shū)外無(wú)需提供其他材料,若說(shuō)明書(shū)審核通過(guò),則進(jìn)網(wǎng)檢驗(yàn)“操作系安全說(shuō)明文檔針對(duì)固件或操作系統(tǒng)更新過(guò)程的安全校驗(yàn)和完整性保護(hù)方面進(jìn)行說(shuō)明,內(nèi)容包括但不限于采用何種加密方法,刷寫(xiě)時(shí)如何進(jìn)需加蓋公章(可在文檔經(jīng)檢測(cè)實(shí)驗(yàn)室審核確定同時(shí)提供相關(guān)技術(shù)人員人員溝通咨詢(xún)安全方案驅(qū)動(dòng)安裝及接線(xiàn)指導(dǎo)文檔介紹與送檢設(shè)備配套的驅(qū)動(dòng)如何進(jìn)行安裝,包括系統(tǒng)環(huán)境要求和配置、安裝流程、安裝過(guò)程中是否需要操作設(shè)備的某些開(kāi)關(guān)5升級(jí)過(guò)程操介紹如何對(duì)送檢設(shè)備進(jìn)行固件或操作系統(tǒng)升級(jí)操作,包括操作程(包括操作過(guò)程中是否需要在某一步操作設(shè)備的某些開(kāi)關(guān)等)、查看設(shè)備系統(tǒng)版本號(hào)的方式(不限于專(zhuān)門(mén)的查看工具或操作指導(dǎo)書(shū)若升級(jí)過(guò)程中需使用,或查看設(shè)備系統(tǒng)版本號(hào)在“驅(qū)動(dòng)安裝及接線(xiàn)指導(dǎo)文檔”和“升級(jí)過(guò)程操作指導(dǎo)文檔”中使用到的其他軟件系統(tǒng)安全說(shuō)針對(duì)固件更新過(guò)程的安全校驗(yàn)和完整性保護(hù)方面進(jìn)行需加蓋公章(可在文檔經(jīng)檢測(cè)實(shí)驗(yàn)室審核確定內(nèi)容無(wú)誤后再6員的聯(lián)系方式,以便測(cè)試人員溝通咨詢(xún)安全方案中的相關(guān)問(wèn)不支持說(shuō)明需加蓋公章(可在文檔審核確ii.若安全措施中使用了密碼算法,請(qǐng)注明具體算法名稱(chēng)、運(yùn)行模式及密鑰保護(hù)方式iii.若使用計(jì)算哈希值的方式進(jìn)行完整性保護(hù),需說(shuō)明是否是將升級(jí)包作為一個(gè)整體計(jì)算哈希值,若不是,需說(shuō)明是否存在未計(jì)算哈希值的部分,以及這部分內(nèi)容在i.說(shuō)明設(shè)備收到升級(jí)包之后在升級(jí)過(guò)程例:設(shè)備下載升級(jí)包后,使用RSA+SHA1進(jìn)行簽名及完整性驗(yàn)證,驗(yàn)簽公鑰為預(yù)先存儲(chǔ)(3)若使用升級(jí)工具進(jìn)行升級(jí)包來(lái)源的判斷及升級(jí)包完整性的判斷,需注:系統(tǒng)安全文檔內(nèi)容可能涉及底層芯片設(shè)計(jì),設(shè)備廠商可聯(lián)系底層芯片廠商共同撰寫(xiě)。A:實(shí)驗(yàn)室是以最終產(chǎn)品形態(tài)作為進(jìn)網(wǎng)檢測(cè)對(duì)A:所有提供的說(shuō)明文檔需要經(jīng)過(guò)檢測(cè)實(shí)驗(yàn)室審閱合格后,廠商再對(duì)該文檔進(jìn)行蓋章,通過(guò)郵件的方7A:如果送檢產(chǎn)品不支持更新,請(qǐng)?zhí)峁┰摦a(chǎn)品不支持出廠后升級(jí)的聲明;如果送檢產(chǎn)品無(wú)法滿(mǎn)足完整性或來(lái)源驗(yàn)證的安全機(jī)制,請(qǐng)?jiān)谡f(shuō)明書(shū)上添加“風(fēng)險(xiǎn)聲明”(詳情請(qǐng)見(jiàn)Q5將說(shuō)明書(shū)的電子版通過(guò)郵件的方式發(fā)送;如果送檢產(chǎn)品支持完整性與來(lái)源驗(yàn)證(詳情請(qǐng)見(jiàn)Q4)的安全A:來(lái)源認(rèn)證:設(shè)備可判斷升級(jí)包是否是設(shè)備生產(chǎn)廠商官方提供的,拒絕刷入非官方來(lái)源的升級(jí)包,或即使能刷入進(jìn)去,設(shè)備識(shí)別來(lái)源不正確后也不會(huì)進(jìn)能刷入設(shè)備,設(shè)備識(shí)別升級(jí)包完整性被破壞后也不會(huì)進(jìn)行實(shí)際的升級(jí)操作,而A:需要在用戶(hù)說(shuō)明書(shū)上添加“固件更新存戶(hù)使用非官方發(fā)布的固件包升級(jí),導(dǎo)致的安全風(fēng)險(xiǎn)和損失由用戶(hù)負(fù)責(zé)”,描述可不完全一致應(yīng)用安全說(shuō)文檔經(jīng)檢測(cè)實(shí)驗(yàn)室審核確定內(nèi)容無(wú)誤后需加蓋公章;需同時(shí)提供相關(guān)技術(shù)人員的聯(lián)系方式,以便測(cè)試人員溝通咨詢(xún)安8(4)后臺(tái)終端管理平臺(tái)測(cè)試賬號(hào),可實(shí)現(xiàn)對(duì)送測(cè)終端對(duì)應(yīng)記錄在身份認(rèn)證機(jī)制和個(gè)人信息加密傳輸方面保持4.1、過(guò)程描述(需說(shuō)明終端身份認(rèn)證過(guò)程,可綜合終端識(shí)別和終端注冊(cè)流程進(jìn)行簡(jiǎn)述)4.2、異常處理方式(需詳述,平臺(tái)如何識(shí)別,如何處理設(shè)備信息被修改的終端,如IMEI號(hào)被修6.1、加密數(shù)據(jù)包結(jié)構(gòu)(應(yīng)包含“5、每一條逐一分析,切勿僅用一張大圖舉例,分析格式上報(bào)數(shù)據(jù):在此處說(shuō)明上報(bào)的數(shù)據(jù)類(lèi)型,如上電密文截圖:在此處附上通過(guò)設(shè)備串口線(xiàn)或log抓9平臺(tái)截圖:在此處附上對(duì)應(yīng)的平臺(tái)接收的數(shù)據(jù)截圖,最好是0代表正常,1代表報(bào)警數(shù)據(jù)上傳周期等,說(shuō)明應(yīng)根據(jù)截圖,清晰詳細(xì)6.2、加密方法(無(wú)需提供具體算法,陳述加密方式即可)A:實(shí)驗(yàn)室檢測(cè)后若發(fā)現(xiàn)設(shè)備不具備業(yè)務(wù)應(yīng)用程序會(huì)聯(lián)系廠商,廠家需提供相關(guān)的蓋章聲明。A:應(yīng)用安全說(shuō)明文檔和系統(tǒng)安全說(shuō)明文檔兩部分都應(yīng)包含在提交A:需要按照模板逐項(xiàng)填寫(xiě),重點(diǎn)闡述身份認(rèn)證過(guò)程和信息加密方式,標(biāo)明是通過(guò)自有平臺(tái)還是運(yùn)營(yíng)商IOT平臺(tái)進(jìn)行身份認(rèn)證,若使用自有平臺(tái)份信息傳輸?shù)陌踩赃M(jìn)行詳細(xì)分析;加密傳輸采用AES12A:測(cè)試時(shí)需要查看設(shè)備串口上報(bào)密文,需要登錄平臺(tái)查看接收信息,需要看到明文以及各個(gè)字段含制是否合規(guī),IMEI號(hào)是否正確,傳輸?shù)臄?shù)據(jù)種類(lèi)是否已全部包含Q6:現(xiàn)場(chǎng)測(cè)試前需要準(zhǔn)備些什么?實(shí)驗(yàn)室可否提供測(cè)試用現(xiàn)網(wǎng)A:實(shí)驗(yàn)室不提供NB-IoT頻段上網(wǎng)卡,請(qǐng)廠家自

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論