DB36-T 1647-2022 基于窄带物联网（NB-IoT）电表终端安全技术规范

DB36/T

1647—2022 1 范围

...............................................................................32 规范性引用文件

.....................................................................33 术语和定义

.........................................................................34 缩略语

.............................................................................55 电表类型及安全架构

.................................................................56 基础级安全技术要求

.................................................................77 扩展性安全技术要求

................................................................10参

考

文

献

.......................................................................... 141DB36/T

1647—2022 本文件按照GB/T

草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江西省物联网专业标准化技术委员会（JX/TC

034）提出并归口。本文件起草单位：江西智慧云测安全检测中心股份有限公司、鹰潭泰尔物联网研究中心有限公司、南昌大学。鑫、谢志刚、杨鼎成。2DB36/T

1647—20221 范围本文件规定了基于窄带物联网（NB-IoT）的电表终端安全术语、定义和安全设计要求。2 规范性引用文件用于本文件。GB/T

4208 外壳防护等级（IP代码）GB/T

17626.3电磁兼容

试验和测量技术射频电磁场辐射抗扰度试验GB/T

22239

GB/T

25069

术语GB/T

32915

GB/T

36951

物联网感知终端应用安全技术要求GB/T

38638

可信计算

可信计算体系结构YD/T

2578.2

LTE

数字蜂窝移动通信网

终端设备测试方法（第一阶段）第2部分：无线射频性能测试JR/T

0156 移动终端支付可信环境技术规范3GPP

TS

36.521-1 长期演进技术.演进通用陆地无线接入(E-UTRA).用户设备(UE)一致性规范.无线电传输和接收.第1部分:一致性测试3GPP

TS

36.523-1 长期演进技术.演进通用陆地无线接入(E-UTRA)和演进分组核心(EPC).用户设备(UE)一致性规范.第1部分:协议一致性规范3 术语和定义下列术语和定义适用于本文件。3.1窄带物联网

NB-IoT

Band

Internet

of

IoT领域的新兴技术，支持低功耗设备在广域网的蜂窝数据连接。NB-IoT支持待机时间长、对网络连接要求较高设备的高效连接。具有覆盖广、连接多、速率快、成本低、功耗低、架构优等特点。3.2敏感数据（信息）Sensitive

Data(information)3DB36/T

1647—2022PIN和加密密钥等设备或开锁人独有的数据和信息，敏感数据需要进行有效保护，防止泄露、被修改或被破坏。3.3固件

Firmware器EEPROM(Electrically

Erasable

Programmable

ROM)或FLASH芯片中的软件，固件必须符合规范的各项安全要求。3.4安全启动

的启动流程不可篡改，启动后运行的固件或者软件能够保证其真实性和完整性。3.5辐射抗扰度

Immunity种能力。敏感度越高，抗干扰的能力越低。3.6最大发射功率

Transmit

Power在信道带宽内任何传输带宽的最大发射功率。3.7参考灵敏度水平

Sensitivity

Level下接收数据的能力。3.8频率误差

Frequency

接收机和发射机正确处理频率的能力。3.9载波泄漏

Carrier

由交调或者直流偏差引起的干扰，通过载波泄漏可以验证发射机的调制质量。3.10安全启动

4DB36/T

1647—2022的启动流程不可篡改，启动后运行的固件或者软件能够保证其真实性和完整性。3.11数据新鲜性

Data

定范围的特性。3.12安全芯片

Security

Chip含有密码算法、安全功能，可实现密钥管理机制的相对独立的芯片。4缩略语下列缩略语适用于本文件：3GPP 第三代合作伙伴计划（3rd

Generation

Project）AKA 认证与密钥协商协议（Authentication

Key

Agreement）AS 接入层（Access

Stratum）CoAP （Constrained

Protocal）DTLS 数据包传输层安全性协议（Datagram

Layer

Security）IoT

of

Things）LwM2M 轻量级机器对机器（Lightweight

Machine

to

NAS 非接入层（Non-access

Stratum）PIN 个人识别（Personal

Identification

PSK 预共享密钥模式（Pre-shared

Key）RFID

Frequency

5电表类型及安全架构5.1电表分类电表按安全防御能力分为弱终端类和强终端类电表：a)

管理、远程升级等；这类终端处理能力弱、内存资源有限、成本功耗敏感；b) 比如安全启动、系统加固、可信执行环境、病毒防护、端口加固等；这类终端处理能力较强，通常自带嵌入式操作系统，在

网络中角色通常较为关键且受攻击后影响较大。5.2电表安全架构如图1所示，从安全设计角度考虑，终端的整体安全由安全操作系统，底层协议和应用协议三个层5DB36/T

1647—2022用3GPP

应用层面，基本的应用层协议包括CoAP/LwM2M，来实现基础的数据通信。同时在应用层面也会通过DTLS/PSK的方式来实现数据的机密性和完整性的保护，进而保证端到端的会话安全。

图1 电表安全架构图本技术规范推荐使用具有较强的安全操作系统作为电表的底层，具体的安全保护措施宜包括：a) 设计合理的内存布局；b) 区分内核态和用户态；c) 应用进程之间进行隔离；d) 提供内存保护接口；e) 使用安全通信协议。从外部视角看，电表终端在应用系统中的安全架构如图2所示，整体基于NB-IoT的电表系统在通信过程中应采用相应的安全机制来保证整体系统在数据传输和保密层面的安全要求。6设备

DB36/T

1647—2022物联网平台DTLS提供加密/完整性保护管理数据应用层安全

DTLS

应用数据

DTLS网络层安全 非接入层

基于3GPP图2

电表系统安全架构图

非接入层5.3安全技术要求级别GB/T

22239规定的三级以上物联网信息系统中的电表终端应满足增强级要求。注：相对于基础级安全技术要求，扩展性安全技术要求新增内容用宋体加粗字表示。6 基础级安全技术要求6.1 物理安全要求6.1.1 选型物联网信息系统中选用电表终端产品时，电表终端产品应满足如下要求：a) 取得质量认证证书；b) 满足物联网应用根据

GB

4208

确定的外壳防护等级（IP

代码）要求；C）通过依据

GB/T

电磁兼容

试验和测量技术射频电磁场辐射抗扰度试验或有关的专用产品或产品类电磁兼容抗扰度标准进行的电磁兼容抗扰度试验且性能满足二级及以上需求。d）物联网中使用的电表终端产品应经过第三方机构的信息安全检测。6.1.2 选址物联网信息系统中进行电表终端选址时，电表终端应满足如下要求：a) 选择能满足供电、防盗窃防破坏、防水防潮、防极端温度等要求的环境部署；b) 选择能满足信号防干扰、防屏蔽、防阻挡等要求的环境部署。6.1.3 供电电表终端的供电应稳定可靠，能够承受一定范围内的电压抖动，抖动范围为额定值的±5%。6.1.4防盗窃和防破坏7DB36/T

1647—2022电表终端应满足如下防盗窃和防破坏要求：a) 部署在安全场所中，如无人守护则需有相应的物理防护措施；b) 采用防盗窃和防破坏的措施；c)采用专用的防拆分析措施。6.1.5 高低温和湿度要求a) b) 应符合试验要求的最高/低温度，温度范围为-20℃～150℃；c) 相对湿度不超过

85%RH。6.2 接入安全要求6.2.1 网络接入认证在接入网络时，电表终端应满足如下要求：a) 在接入网络中具有唯一网络身份标识；b) 能向接入网络证明其网络身份，至少支持如下身份鉴别机制之一，并采用密码技术进行保护：1）基于网络身份标识的鉴别；2）基于

3）基于通信协议的鉴别；4）基于通信端口的鉴别；5）基于对称密码机制的鉴别；6）基于非对称密码机制的鉴别。c)在采用插卡方式进行网络身份鉴别时采取措施防止卡片被拔除或替换；d) 保证密钥存储和交换安全。6.2.2 网络访问控制电表终端网络访问控制要求如下：a）如支持多端口的网络访问通信功能则禁用闲置的通信端口；b）设置网络访问控制策略，限制对电表终端的网络访问。6.3 通信安全要求6.3.1 无线电安全a）电表终端应按国家规定使用无线电频段和辐射强度，并具有抗干扰能力；b）设备在正常工作时自身对外界的辐射干扰强度应满足标准限值规定，使其不会引起其他装置，设备或系统性能的下降或者对生命及无生命物质产生损害。6.3.2 传输完整性电表终端应满足如下传输完整性要求：a) 据传输的完整性保护；b) 具有通信延时和中断的处理机制，通信延时的范围为

6.3.3 射频一致性要求8DB36/T

1647—2022a）电表终端的最大发射功率应满足标称功率和容差规定的范围，参考

3GPP

TS36.521-1。b）据；C）频率误差，终端设备同时验证接收机和发射机正确处理频率的能力，应满足在理想传播条件下和低电平下能获取到正确的调制载波频率；d）终端设备通过交调或者直流偏差引起的干扰（载波泄漏）来验证发射机的调制质量。6.3.4 协议一致性要求电表终端应满足如下完整性保护和加密和解密性要求：a）基于

算法的

EPS

和

加密功能，参考

TS

36.523-1

第

小节；b）基于

EPS

AS

和

UP

加密功能，参考

TS

36.523-1

第

C）基于

算法的

EPS

和

加密功能，参考

TS

36.523-1

第

小节。6.4 系统安全要求6.4.1 标识与鉴别对于具有操作系统的电表终端，应满足如下标识与鉴别要求：a)电表终端的操作系统用户有唯一标识，标识不能被非法篡改；b) 特殊字符组成，长度不小于

8

位。6.4.2 访问控制电表终端应满足如下访问控制要求：a) 电表终端应能控制系统用户的访问权限；b) 对于具有操作系统的电表终端，操作系统用户应仅被授予完成任务所需的最小权限；c) 电表终端应能控制数据的本地或远程访问；d) 电表终端应提供安全措施控制对其远程配置。6.4.3 日志审计具有操作系统的电表终端，应满足如下日志审计要求：a) b)应能由安全审计员开启和关闭操作系统的审计功能；c) 应能提供操作系统的审计记录查阅功能，审计记录保存期限不少于

1

年。6.4.4 失效保护电表终端应能自检出已定义的设备故障并进行告警，确保设备未受故障影响部分的功能正常。6.4.5 通用软件安全具有操作系统的电表终端，应满足如下软件安全要求：a) 终端仅安装经授权的软件；b) 应按照策略进行软件补丁更新和升级，且保证所更新数据的来源合法性和完整性。6.4.6 接口安全9DB36/T

1647—2022电表终端在接口安全应满足如下要求：a) 终端不具有调试功能接口；b) 如终端具备调试功能接口，应在出厂时设置为默认关闭。6.5 数据安全要求6.5.1 数据可用性电表终端在传输其采集到的数据时,应对数据时效性做出标识。6.5.2 数据完整性电表终端应为其采集的数据生成完整性证据(如:校验码、消息摘要、数字签名等)。6.5.3 随机性电表终端应自主产生随机数，并保证随机性良好，不可预测。6.6 芯片安全要求终端主要芯片应具备安全启动能力。7 扩展性安全技术要求7.1 物理安全要求7.1.1 选型应满足

5.1.1

要求。7.1.2 选址应满足5.1.2要求。7.1.3 供电在满足5.1.3基础上，应满足如下要求：a) 关键电表终端应具有备用电力供应，至少满足关键电表终端正常运行的供电时长要求；b) 应提供技术和管理手段监测电表终端的供电情况，并能在电力不足时及时报警。7.1.4 防盗窃和防破坏在满足5.1.4的基础上，其他要求如下：a) 户外部署的重要电表终端宜设置在视频监控范围内；b) 户外部署的关键电表终端应具有定位装置。c) 户外部署的关键电表终端应具备入侵检测机制，触发后立即进入安全失效状态。7.1.5 防雷和防静电重要电表终端应采取必要的避雷和防静电措施。7.2 接入安全要求10DB36/T

1647—20227.2.1 网络接入认证在满足5.2.1a）c）d）基础上，应满足如下要求：a) 电表终端与其接入网络间应进行双向认证，双方至少支持如下身份鉴别机制之一：1) 基于对称密码机制的身份鉴别；2) 基于非对称密码机制的身份鉴别。b) 电表终端应能进行身份鉴别失败处理。7.2.2 网络访问控制应满足5.2.2的要求。7.3 通信安全要求7.3.1 无线电安全应满足5.3.1的要求。7.3.2 传输完整性应满足5.3.2的要求。7.3.3 传输保密性在满足5.3.3的基础上，应满足如下要求：a) 电表终端传输鉴别信息、隐私数据和重要业务数据等敏感信息时应进行加密保护；b) 加密算法应符合国家密码相关规定。7.4 系统安全要求7.4.1 标识与鉴别在满足5.4.1基础上，应满足如下要求：具有执行能力的电表终端应能鉴别下达执行指令者的身份。7.4.2 访问控制在满足5.4.2基础上，应满足如下要求：电表终端系统访问控制范围应覆盖所有主体、客体以及它们之间的操作。7.4.3 日志审计在满足5.4.3基础上，应满足如下要求：7.4.4 失效保护在满足5.4.4基础上，应满足如下要求：a) 具有操作系统的电表终端应能在操作系统崩溃时重启；b) 能。7.4.5 恶意代码防范11DB36/T

1647—2022具有操作系统的电表终端应具有恶意代码防范能力。7.4.6 通用软件安全在满足5.4.5基础上，应当满足如下要求：a) 具有操作系统的电表终端软件补丁更新和升级前应经过安全测试验证。b) 影响原有软件完整性。7.4.7 接口安全接口安全应满足如下要求：a) 试点、调试焊盘等。应禁用电表终端闲