TTAF111-2022 物联网终端可信上链技术要求.docx

《TTAF111-2022 物联网终端可信上链技术要求.docx》由会员分享，可在线阅读，更多相关《TTAF111-2022 物联网终端可信上链技术要求.docx（18页珍藏版）》请在第一文库网上搜索。

1、ICS33.050CCSM30团体标准T/TAF111-2023物联网终端可信上链技术要求TechnicaIrequirementsfortrustedb1ockchainaccessofIoTTerminaIs2023-02-23实施2023-02-23发布电信终端产业协会发布目次前言II引言IIT1范围12规范性引用文件13术语和定义14缩略语25概述25.1物联网终端上链参考架构25. 2支持上链的物联网终端参考架构36终端安全要求,46. 1安全目标46.2 基本安全要求46.3 针对不同终端的增强安全要求4薮57终端上链功能要求.:57.1 上链基本功能要求餐二MmT57.2 上链内

2、容要求j片67.3 3上链路径要求.C.67.4区块链节点连接与容错功能要求.JH.8附录A（资料性）物联网终端可信上链及数据验真参考模型9附录B（资料性）物联网终端上链应用场景11参考文献12,Z.I刖百本文件按照GB/T1.1-2023标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。本文件起草单位：中国信息通信研究院、上海摩联信息技术有限公司、郑州信大捷安信息技术股份有限公司、安谋科技（中国）有限公司、深圳市广和通无线股份有限公司、上海移柯通信技术股份有限公司、杭州宇

3、链科技有限公司、微软（中国）有限公司、深圳市有方科技股份有限公司、青岛海尔通信有限公司、中国联合网络通信有限公司、中国移动通信集团终端有限公司、华为技术有限公司、杭州甘道智能科技有限公司、阿里巴巴（中国）有限公司、北京芯安微电子技术有限公司、四川长虹电子控股集团有限公司、深圳市腾讯计算机系统有限公司、紫光同芯微电子有限公司、紫光展锐（上海）科技有限公司。本文件主要起草人：许慕鸿、于力、许刚、林瑶、李兰飞、康亮、刘献伦、王骏超、罗俊、潘峰、程希冀、赵刚、于保华、林学春、李洋、谢仁芳、梁小华、张子怡、林炀平、宋学武、黄天宁、,王叶松、薛亚辉、魏茂坚、唐博、黄德俊、敖萌、邵兵、周智勇、苏阵阵。随着区

4、块链这种新的信任模式的产生，物联网数据上链之后的抗篡改性得到了广泛的认可。然而区块链本身只能保证数据上链之后抗篡改,还必须保证链上的数据是由真实的物联网终端设备产生的真实数据，才能实现数据信任的全链条传递。物联网终端设备作为数据源头，是数据信任链条的起点。由于物联网具有高度碎片化的特点，终端差异性很大，因此规范物联网数据上链的技术要求，保证数据安全可信，制定相应标准规范，为规范各设备生产企业遵循要求提供具备数据上链功能的产品，保证上链数据可信供参考指导，具有重要的现实意义。物联网终端可信上链技术要求1范围本文件规定了物联网终端可信上链技术要求，包括物联网终端可信上链的总体架构、设备功能要求和安

5、全要求等。本文件适用于不同步账本不参与共识的能力受限的物联网终端设备。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注口期的引用文件,仅该日期对应的版本适用于本文件；不注口期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T38636信息安全技术传输层密码协议(T1CP)T/TAF062-2023物联网设备安全平台技术要求和分级方法3术语和定义下列术语和定义适用于本文件。3. 1物联网终端设备IOTtermina1具备网络(例如蜂窝、WiFi、蓝牙、Zigbee、1oRa等)接入功能，可对物进行信息采集和处理，支持数据通信的终端设备。能力受

6、限物联网终端设备capabiIity-constrainedIoTtermina1计算能力、存储能力、通信能力、功耗水平等受限的物联网终端设备。本文件中指受到上述限制，无法同步区块链账本和参与共识的能力受限物联网终端。智能合约(链码)smartcontract(chaincode)智能合约是一套以数字形式定义的承诺，包括合约参与方可以在上面执行这些承诺的协议。本规范中，特指运行于区块链上的智能合约。本文件中，术语“智能合约”与术语“链码”等同。远程过程调用remoteprocedureca1I(RPC)设备或主机通过网络，请求远端另一主机提供服务。在区块链网络中，区块链节点向区块链客户端提供远

7、程过程调用接口，以便区块链客户端能够访问区块链服务。可信执行环境trustedexecutionenvironment(TEE)针对开放系统、基于芯片级隔离与安全引导、用于保证程序执行安全与数据存储真实性、完整性、机密性目标构建的一种软件运行环境。其中，芯片级隔离是指基于主芯片安全扩展机制通过对计算资源的固定划分或动态共享，保证所隔离资源不被开放系统访问的一种安全机制。3.6完整性integrity完整性指对于接收到的数据要保证不会以任何方式被改变。其目的是通过阻止威胁或者探测威胁,保护可能遭到不同方式危害的数据的完整性和数据相关属性的完整性。本文中的完整性指在可信执行环境启动的过程中或者可行

8、执行环境执行过程中,所涉及到的数据、代码等信息要保证不会被恶意的篡改。3.7物联网终端上链IoTterminaItoaccessb1ockchain物联网终端上链是指物联网终端，通过与区块链网络约定的方式直接或间接调用链上智能合约，将物联网终端所采集或生成的数据传递给智能合约做链上处理。4缩略语下列缩略语适用于本文件。BoT:物联网区块链(B1ockchainofThings)dA:去中心化应用(de-centra1izedApp1ication)MAC：消息验证码(MessageAuthenticationCode)RPC：远程过程调用(Ren1oIeProcedureCa11)SE：安全元

9、件(SeCUreE1ement)TEE：可信执行环境(TrustedExecutionEnvironment)T1CP：传输层密码协议(Transport1ayerCryptographyProtoco1)5概述5.1 物联网终端上链参考架构基于区块链的物联网的网络参考架构如图1所示。图例：U5UOTO基础设标注：该参考架构源自中国通信标准化协会“物联网+区块链”应用与发展白皮书(2019)h图1基于区块链的物联网网络参考架构参考如上架构，区块链网络由一定数量的区块链节点构成。区块链节点依据其功能特点，一般可粗略分为全节点和轻节点。全节点记录和维护完整区块账本，并依照一定规则参与账本共识；轻节

10、点只记录区块头部信息，不参与共识，仅在必要时向全节点查询完整区块内容。具备较强计算能力、存储能力和通信能力的全功能物联网终端可以作为全节点或轻节点加入区块链网络，但绝大多数物联网终端受成本、功耗等因素限制，其能力通常是较为受限的，能力受限物联网终端难以作为全节点或轻节点直接接入区块链网络。如无特别说明，本文件所述物联网终端，特指不同步账本不参与共识的能力受限的物联网终端。在物联网终端上链过程中，物联网终端直接或间接作为客户端向区块链节点发起智能合约调用交易,一般具有如图2所示的典型参考架构。图2物联网终端上链参考模型在物联网终端上链参考模型中，物联网终端作为数据生产者，在原有将数据上云的基础上

11、，将相关信息直接或经由区块链网关间接上链。而物联网数据使用者，则通过访问区块链获得可信的上链数据,并结合云上数据，实现数据的可信使用。本文件主要针对物联网终端在数据可信上链过程中的技术要求给予规定。5.2 支持上链的物联网终端参考架构支持上链的物联网终端作为客户端应具备直接或间接调用链上智能合约的功能，其参考架构如图3所示。支持上链的物联网终端设备图3支持上链的物联网终端参考架构支持上链的物联网终端应具有：a）区块链远程过程调用报文组装单元或数据指纹报文组装单元 区块链远程过程调用报文组装单元用于组装区块链交易的报文,并调用密码算法单元和密钥管理单元进行数字签名后,将已签名的交易报文通过远程过

12、程调用发送给区块链节点或区块链网关。 数据指纹报文组装单元用于计算数据指纹，并将数据及其数据指纹组装成报文，发送给区块链网关。 区块链远程过程调用报文组装单元和数据指纹报文组装单元,根据终端能力应具备其中之Ob）密钥管理单元，用于生成、保存、更新、删除物联网终端用于访问区块链的密钥。C）密码算法单元，用于执行密码学算法计算。d）安全容器单元（可信执行环境或安全元件）（可选），用于对密钥及密码学算法的执行环境进行保护。e）信任根（可选），用于为终端提供唯一的身份标识，并提供身份认证方法。6终端安全要求6.1安全目标物联网终端可信上链的安全目标是使其上链的数据具有可溯源、可验真等特点，且在数据传播

13、过程中能够保持可信。由于物联网终端差异性较大，安全目标分为两个类别来考虑：a）抗远程攻击：攻击者与终端无物理接触的情况下，抵抗其远程攻击，例如： 抵御攻击者在真实终端数据上链途中篡改数据。 抵御攻击者伪装成区块链节点或区块链网关诱骗终端访问。 抵御攻击者伪装成真实终端伪造数据上链。b）抗本地攻击:攻击者与终端有物理接触（例如本地连接并登录终端设备、对终端设备进行测量、拆解终端设备等）条件下，抵抗其物理攻击，例如： 抵御攻击者窃取密钥及非法克隆真实终端设备。 抵御攻击者侵入终端设备、篡改证书和程序，伪造上链数据。根据以上安全目标，制定以下相应的安全要求，其中，6.2节所述基本安全要求主要针对抗远

14、程攻击的安全目标，6.3节所述增强安全要求主要在此基础上增强抗本地攻击的安全目标。6.2 基本安全要求作为基本安全要求，上链终端应当具备抵御来自通信链路的远程攻击的能力。这些攻击行为通常从远程网络发起，攻击者不直接或近距接触被攻击的终端设备，常见手段包括利用软件漏洞侵入设备并非法获取信息、在通信链路中篡改数据、篡改DNS使终端访问钓鱼服务器等。上链终端应当满足如下基本安全要求：a）终端所使用的区块链密钥对应一机一密，不得批量终端共用相同的密钥对。b）终端与区块链节点或区块链网关建立连接时，应当对区块链节点或区块链网关进行认证，认证通过后才能进行业务通信。c）连接区块链节点或网关的信道应进行加密

15、。d）上链数据宜加密。e）如使用T1S、T1CP等进行认证并建立安全通道，应采用无已知重大安全漏洞的版本。f）如果终端允许通过口令进行远程登录，不得在生产时设定统一的默认登录口令。g）密钥、口令复杂度及相关密码算法应符合相关国家标准和行业标准。h）终端应遵循不开放无必要的服务端口的原则。6.3 针对不同终端的增强安全要求6.3.1 概述针对增强安全要求，如终端不具备可信执行环境和安全元件，则应满足以下6.3.2节中相关要求；如终端同时具有可信执行环境和安全元件，相关安全要求满足6.3.3和6.3.4节中的一种即可。6. 3.2级别一终端本级别终端应满足如下安全要求：a）区块链私钥在非易失性存储器中持久化存储时，应采用软件混淆（ObfUSCatiOn）方式加以保护，所述软件混淆的常见技术如符号重命名、死代码插入、代码重排序、指令替代、代码加密等。b）区块链私钥及用于加密等目的的对称密钥在易失性存储器中，应遵循用后即毁原则，不得长时间保留在易失性存储器中。c）若终端操作系统具备访问权限控