物联网设备安全技术规范（2025版）

物联网设备安全技术规范（2025版）本规范旨在为物联网设备的设计、开发、生产、测试及运维提供全生命周期的安全技术指导与合规性依据。随着物联网技术在智慧城市、工业互联网、智能家居及车联网等关键基础设施中的深度渗透，设备面临的网络安全威胁日益复杂化、隐蔽化。为应对不断演进的攻击手段，本规范引入了零信任架构、硬件安全根、数据隐私保护以及抗量子密码等前沿安全理念，确保物联网设备在2025年及未来的网络环境中具备高强度的内生安全能力。1.总则与安全架构模型1.1适用范围与核心目标本规范适用于所有具备联网感知、控制、数据处理能力的终端设备，包括但不限于网关、传感器、智能摄像头、可穿戴设备及工业控制终端。核心目标在于构建“纵深防御”体系，实现设备身份可信、数据传输机密、系统运行可控、故障可追溯。所有设备在上市前必须通过符合本规范要求的安全评估，确保不存在可被远程利用的高危漏洞及后门。1.2安全架构原则物联网设备安全应遵循“安全左移”原则，即在需求分析与设计阶段即引入安全机制，而非作为事后补丁。架构设计需满足最小权限原则、默认安全配置原则及故障失效安全原则。系统应采用模块化设计，将关键安全功能（如密钥管理、加密运算）与非安全功能进行严格的逻辑或物理隔离，防止单点故障导致整体安全机制崩溃。1.3零信任接入机制针对设备接入云平台或局域网的场景，必须实施零信任安全策略。设备不应仅依靠网络位置（如内网）获得信任，每一次会话建立、数据传输及控制指令下发均需基于强身份认证与实时上下文风险评估。平台端需对设备的运行状态、固件版本、网络行为特征进行持续画像，一旦发现异常行为（如异常流量激增、非法指令尝试），立即触发动态隔离机制。2.硬件安全基础规范2.1安全启动与根信任硬件层必须建立不可篡改的信任根。设备应支持安全启动链，从Bootloader到操作系统内核、再到应用程序，每一级加载均需由上一级进行签名验证。公钥验证密钥必须固化在只读存储器（ROM）或一次性可编程（OTP）区域，严禁通过软件手段修改。若任何环节的签名校验失败，设备应进入安全模式或启动恢复流程，并记录安全日志，严禁启动被篡改的代码。2.2硬件安全模块与密钥存储所有设备应集成硬件安全模块或支持可信执行环境，用于存储高敏感密钥（如设备私钥、根密钥、用户主密钥）。密钥严禁以明文形式存储在Flash或外部存储介质中。HSM/TEE应提供密钥生成、加密解密、签名验签及哈希运算等原子操作，且密钥在导出模块外部时永远不可见。针对资源受限的轻量级设备，可采用物理不可克隆函数（PUF）技术衍生设备唯一标识与密钥，以降低硬件成本并提升抗物理攻击能力。2.3物理接口防护设备在出厂时必须默认关闭所有物理调试接口（如JTAG、UART、USB串口）。若因维护需要保留接口，必须通过物理手段（如胶封、特殊触点）或逻辑手段（如需高强度密码认证或一次性令牌解锁）进行访问控制。在设备正式部署运行后，任何试图通过物理接口获取数据的操作都应在本地审计日志中生成不可磨灭的高危告警记录。防护组件安全要求防护能力等级实施检测方法安全启动Bootloader、Kernel、App镜像全链路RSA/ECDSA签名校验强制修改固件镜像签名，验证设备是否拒绝启动存储加密全盘加密或基于文件的AES-256-GCM加密强制物理拆取存储芯片，通过数据总线分析验证数据密文状态JTAG/UART默认禁用或需多因子认证解锁推荐尝试连接调试端口，验证是否被拒绝或要求认证侧信道攻击针对功耗分析、电磁分析增加随机噪声与掩码机制可选使用示波器与功耗分析仪进行DPA/CPA攻击测试3.身份认证与访问控制3.1设备唯一身份标识每个物联网设备在制造时即应获得全球唯一的身份标识，该标识应不可伪造、不可冲突。推荐使用基于IEEE802.1AR的设备证书或基于硬件特征的UUID。身份标识应贯穿设备全生命周期，用于供应链追踪、入网注册、远程运维及注销管理。严禁使用MAC地址或简单序列号作为唯一安全凭证，因其极易被伪造或重放。3.2强双向身份认证设备与云平台、设备与网关、设备与移动APP之间的任何通信连接，必须经过双向身份认证。设备端需验证服务端的合法证书，防止设备连接至伪造的钓鱼服务器；服务端需验证设备的合法证书或令牌，防止非法设备接入。认证协议推荐使用TLS1.3（双向认证）、DTLS1.3或OAuth2.0的客户端凭证模式。对于低功耗广域网设备，可使用轻量级认证协议如OSCORE或EDHOC。3.3令牌管理与会话控制在完成双向认证建立信任后，应使用短生命周期的访问令牌进行业务交互。令牌应包含明确的权限范围、过期时间及使用场景限制。严禁使用硬编码的长期凭证进行API调用。系统应具备令牌撤销机制，在检测到设备异常或用户主动注销时，能够立即使当前令牌失效。会话建立后，应启用会话超时机制，无数据交互的静默会话应在规定时间内自动断开。4.通信网络安全4.1传输链路加密所有物联网业务数据及控制指令在网络传输过程中必须强制加密。禁止使用明文传输协议（如HTTP、Telnet、FTP）。对于广域网通信，必须使用TLS1.2或TLS1.3协议，强制启用前向保密（PFS）密码套件，禁用弱加密算法（如RC4、DES、3DES、SHA1、MD5）。对于局域网或资源受限场景，应使用DTLS或CoAPoverOSCORE进行加密保护。加密套件的配置应定期更新，以应对算法破解风险。4.2协议安全与消息完整性应用层协议设计应包含防重放、防篡改机制。每条消息应携带时间戳或递增的序列号，接收端需维护滑动窗口或时间同步策略，拒绝处理重复或过期的消息。对于关键控制指令（如开门、启动电机），必须同时满足身份认证、消息完整性校验及指令时效性验证。严禁在协议载荷中包含明文密码或敏感个人信息。4.3网络边界防护与隔离物联网设备应具备基本的防火墙功能，仅开放业务必需的端口，拒绝非授权的端口扫描与连接请求。设备连接的网络应划分独立的VLAN或SSID，实现与办公网、访客网的逻辑隔离。对于工业物联网设备，应严格遵循工业控制系统安全规范，通过网关或防火墙实现IT网络与OT网络的跨域数据安全交换，严禁未经受控的跨域直接访问。5.固件与软件安全5.1固件安全更新机制（OTA）设备必须支持安全可靠的空中下载（OTA）固件更新机制。更新包在下载、存储、安装过程中必须全程加密与完整性校验。更新包必须使用发布方的私钥进行签名，设备在安装前必须使用内置公钥验签，确保固件来源可信且未被篡改。系统应支持防回滚机制，拒绝安装版本号低于当前安全基线的旧版本固件，防止攻击者利用已修复的旧漏洞发起攻击。OTA过程应具备断点续传与原子更新能力，确保更新中断（如断电）后设备能恢复至原有版本而非变砖。5.2操作系统与组件加固设备操作系统应进行最小化裁剪，移除不必要的系统服务、命令行工具（如telnetd、ftpd）及默认账户。文件系统应配置为只读挂载（Read-Only），仅必要的用户数据或配置目录挂载为读写，以防止恶意软件持久化。系统运行时需开启地址空间布局随机化（ASLR）、数据执行保护（DEP/NX）及栈smashing保护（SSP）等内存保护机制，有效缓解缓冲区溢出等攻击。5.3应用程序安全与漏洞管理设备端应用程序应遵循安全编码规范，重点防范SQL注入、命令注入、跨站脚本（XSS）及整数溢出等常见漏洞。所有第三方库及开源组件必须建立软件物料清单（SBOM），并在开发与发布阶段进行已知漏洞扫描。对于已发现的高危漏洞，必须在规定时限内完成修复并发布补丁。严禁在代码中硬编码调试接口、万能密码或隐藏账户。6.数据安全与隐私保护6.1数据分类分级保护依据数据的重要程度与敏感程度，将物联网数据分为核心数据、重要数据与一般数据。核心数据（如生物识别信息、密钥、工业控制参数）必须采用最高强度的加密存储与传输，且原则上不出域。重要数据（如用户身份证号、精确位置轨迹）需进行脱敏处理或加密存储。一般数据（如设备运行状态、环境温湿度）可采取基本保护措施。数据分类分级策略应在设备配置端进行明确标记。6.2本地数据存储安全设备本地存储的敏感数据必须加密。加密密钥应存储于HSM或TEE中，且密钥生命周期应与设备生命周期绑定或支持用户注销后销毁。对于用户删除的数据，设备应执行比特级擦除或安全覆写操作，防止通过数据恢复工具还原隐私信息。设备在丢失、被盗或报废回收时，必须提供远程或本地的“一键擦除”功能，彻底清除所有残留敏感信息。6.3隐私合规与最小化采集设备采集个人信息必须遵循“合法、正当、必要”原则。在采集前应明确告知用户数据用途、存储期限及共享对象，并获得用户明确授权。应提供关闭非必要数据采集的选项（如关闭麦克风、摄像头）。涉及人脸、指纹等生物特征信息的处理，应符合《个人信息保护法》及相关生物识别安全标准，原则上鼓励生物特征信息不出设备，仅在本地完成1:1或1:N比对。7.人工智能与边缘计算安全7.1AI模型安全防护随着AIoT的普及，设备端运行的AI模型面临被窃取、被对抗样本攻击的风险。设备应确保推理模型的完整性，防止模型参数被恶意篡改导致决策错误。在模型加载时，应计算模型哈希值并与白名单比对。对于涉及关键决策（如自动驾驶、医疗诊断）的模型，应具备对抗样本检测机制，能够识别并拒绝经过精心扰动以欺骗模型的恶意输入。7.2边缘侧数据安全在边缘计算场景下，数据在本地节点进行聚合与分析。边缘节点需实施与云端同等级别的访问控制与数据加密措施。边缘节点与云端之间的数据同步应使用专用加密通道。联邦学习等分布式机器学习场景下，交换的模型梯度或参数更新必须进行加密与聚合签名，防止参与方通过逆向工程推断其他方的私有数据。8.安全监测、运维与响应8.1日志审计与安全监控设备必须具备本地日志记录功能，记录关键安全事件，包括但不限于：登录/登出、认证失败、固件更新、配置变更、端口扫描、异常网络连接。日志内容应包含时间戳、事件类型、源/目的IP、操作结果等要素。本地日志应采用循环覆盖机制防止存储溢出，同时重要日志应实时或定期加密上传至云端安全运营中心（SOC），便于进行大数据分析与威胁溯源。8.2异常行为检测设备端或网关应集成轻量级入侵检测系统（IDS）。基于基线分析方法，监控设备的CPU占用率、内存使用率、网络流量特征及进程行为。一旦检测到偏离基线的异常行为（如深夜异常唤醒、非授权的Shell指令执行、向未知IP发起连接），应立即触发告警，并根据策略自动执行阻断、隔离或重启操作。8.3应急响应与漏洞处置建立完善的应急响应机制。对于爆发性的网络安全事件（如僵尸网络感染），设备应支持接收云端下发的紧急指令，如断网隔离、关闭高危服务、加载紧急补丁。厂商应建立安全应急响应中心（PSIRT），公开漏洞提交渠道，承诺在规定时间内（如高危漏洞48小时内）响应并修复安全缺陷，并及时向用户发布安全公告及修复方案。9.生命周期与供应链安全9.1供应链安全管控物联网设备供应链涉及芯片设计、元器件采购、代工生产、物流运输等多个环节，需建立全流程安全溯源机制。对关键元器件（如主控芯片、通信模组）进行真伪鉴别，防止被植入恶意硬件。固件编译与签名过程应在安全的生产环境中进行，确保构建工具链未被污染。交付给用户的设备必须包含出厂数字签名报告，用户可通过验签确认设备未被调包或拆封。9.2报废与下线管理设备达到使用年限或报废时，必须进行安全的下线处理。云平台应支持注销设备证书，将其吊销列表（CRL）分发至全网，防止被非法利用。设备端在接收到注销指令或检测到物理销毁信号时，应主动执行自毁程序，擦除所有内部密钥、用户数据及配置文件，彻底丧失业务功能与数据恢复能力。安全域关键控制点验证与测试方法风险等级供应链关键芯片真实性验证、固件构建环境安全、运输过程防拆封X-Ray检测芯片内部结构、固件Hash比对、防拆标签检查高身份认证唯一ID、双向证书认证、令牌动态管理模拟伪造设备接入、拦截并重放认证报文、分析令牌时效高数据保护传输全加密、存储全加密、隐私数据脱敏抓包分析明文比例、