1 范圍

      本標準規定了物聯網感知層接入通信網的結構，提出了通信網接入系統、感知信息傳輸網絡及感知層接入的安全技術要求。

      本標準適用于物聯網系統工程中感知層接入實體的信息安全設計、選型和系統集成。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 18794.2-2002 信息技術 開放系統互連 開放系統安全框架 第2部分：鑒別框架

      GB/T 25069-2010 信息安全技術 術語

      GB/T 30269.601-2016 信息技術 傳感器網絡 第601部分：信息安全：通用技術規范

      GB/T 33745 物聯網 術語

3 術語和定義

      GB/T 18794.2-2002．GB/T 25069-2010、GB/T 30269.601-2016和GB/T 33745界定的以及下列術語和定義適用于本文件。

3.1

      物聯網感知層 sensing layer of IoT

      物聯網感知控制域，即各類獲取感知對象信息與操控控制對象的軟硬件系統的實體集合。

3.2

      通信網 communication network

      收集、融合和處理物聯網感知信息數據，并形成物聯網應用的計算機設備和網絡。

3.3

      感知終端 sensing terminal

      能對物或環境進行信息采集和／或執行操作，并能聯網進行通信的裝置。

3.4

      物聯網感知層網關 sensing layer gateway of IoT

      支撐感知層與通信網互聯，并實現感知層本地管理的實體。

3.5

      感知層接入實體 access entity of sensing layer

      處于物聯網感知層中，接入通信網進行數據通信的設備。

      注：常見的感知層接入實體包括感知終端、感知層網關等用于采集感知對象信息或實現本地管理的聯網通信設備。

3.6

      接入系統 access system

      部署在物聯網系統中的通信網邊界，并對感知層接入實體連接通信網進行接入管理的軟硬件系統的實體集合。

4 縮略語

      下列縮略語適用于本文件。

      ACL：訪問控制列表（Access Control List）

      ID：身份標識（Identity）

      IoT：物聯網（Internet of Things）

      IP：互聯網協議（Internet Protocol）

      MAC：媒體訪問控制（Media Access Control）

      VPN：虛擬專用網絡（Virtual Private Network）

5 概述

5.1 物聯網感知層接入通信網結構

      本標準規范的對象是物聯網感知層接入實體通過傳輸網絡連接到通信網來進行數據通信的過程，其網絡連接結構如圖1所示，包括圖1虛線框內的以下實體對象：

     a）感知終端（僅指不通過感知層網關接入通信網的終端）；

      b）物聯網感知層網關；

      注：當物聯網感知終端或網絡因本身電能、性能、傳輸能力弱，無法滿足安全要求時，采用物聯網（感知層）網關來連接通信網。

      c）感知信息傳輸網絡（有線或無線）；

      d）通信網接入系統（以下簡稱“接入系統”）。

      物聯網感知層接入通信網的示例參見附錄A。

      注：虛線框中的部分是感知層接入通信網的實體及類型，表示無線連接方式，-表示有線連接方式。

圖1 感知層接入通信網結構

      保障以上實體互聯形成的感知層接入通信網的安全，應滿足以下三個部分的技術要求：

      a）感知層接入實體安全技術要求；

      b）感知信息傳輸網絡安全技術要求；

      c）通信網接入系統安全技術要求。

5.2 安全技術要求分級與密碼算法說明

      本標準按照感知層接入通信網的安全功能強度，劃分為基本級和增強級兩個等級的要求。本標準凡涉及密碼算法的相關內容，按國家有關法規實施，凡涉及采用密碼技術解決保密性、完整性、真實性、不可否認性需求的應遵循密碼相關國家標準和行業標準。

      注：相對于基本要求，增強要求新增內容用黑體字表示。

6 通信網接入系統安全技術要求

6.1 基本級要求

6.1.1 設備標識

      接入系統中的設備應具有可用于物聯網系統中通信識別的唯一標識。

      示例：設備ID、序列號、MAC地址等。

6.1.2 鑒別

6.1.2.1 接入鑒別機制

      接入系統應對接入通信網的感知層接入實體進行鑒別，并至少支持以下方式中的一種：

      a）基于感知層接入實體標識和接入口令的單向認證；

      b）基于預共享密鑰的單向或雙向認證。

      注：預共享密鑰，是物聯網實體設備之間進行保密通信的初始密鑰。

6.1.2.2 鑒別失敗處理

      接入系統應具備接入鑒別失敗的處理能力，并滿足以下要求：

      a）當鑒別應答超過規定時限時，接入系統應能終止與待接入的感知層接入實體之間的當前會話；

      b）在經過一定次數的鑒別失敗以后，接入系統應能終止由該感知層接入實體發起的建立會話的嘗試，并在一定的時間間隔后才能允許繼續接入。

6.1.3 訪問控制

      接入系統應支持感知層接入實體對通信網的訪問控制機制和安全策略，并滿足以下要求：

      a）通過ACL方式控制感知層接入實體對通信網的訪問；

      b）支持制定和執行訪問控制策略的功能，訪問控制策略可以是基于IP地址、用戶/用戶組、讀/寫等操作的一種或多種的組合；

      c）支持黑名單制，阻斷相關感知層接入實體對通信網的訪問。

6.1.4 數據傳輸安全

      接入系統應保障感知層接入實體與通信網的數據傳輸安全，并滿足以下要求：

      a）數據保密性，應對數據進行保密性保護，保障數據不被泄露；

      b）數據完整性，應對數據進行完整性校驗，保障數據不被篡改；

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。