信息技术传感器网络第601部分：信息安全：通用技术规范

信息技术传感器网络第601部分：信息安全：通用技术规范

国家标准 GB/T30269.601一2016 信息技术传感器网络 第601部分:信息安全;通用技术规范 Infomationteehnology一Senso”network一 Part601:lnformationseeurity:Generalteechniealspeeifieations 2016-04-25发布 2016-08-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T30269.601一2016 前 言 GB/T30269《信息技术传感器网络》拟分为以下几部分 -第1部分;参考体系结构和通用技术要求 第2部分;术语 第301部分;通信与信息交换;低速无线传感器网络网络层和应用支持子层规范; 第302部分;通信与信息交换面向高可靠性应用的无线传感器网络媒体访问控制和物理层 规范; 第303部分;通信与信息交换;基于IP的网络层规范 第304部分;通信与信息交换:;面向视频的媒体访问控制层和物理层规范 第305部分;通信与信息交换;超声波通信协议规范; 401部分;协同信息处理;支撑协同信息处理的服务及接口 第 第 501部分;标识;传感节点标识符编制规则; 第 502部分:标识;传感节点解析和管理规范; 第503部分;标识:传感节点标识符注册规程 第601部分;信息安全:通用技术规范 第 602部分;信息安全;低速率无线传感器网络网络层和应用支持子层安全规范 第603部分;信息安全;密钥管理技术规范 第701部分;传感器接口:信号接口 第702部分;:传感器接口;数据接口; 第 8o1部分;测试;通用要求; 第802部分;测试;低速无线传感器网络媒体访问控制和物理层; 第803部分:测试;低速无线传感器网络网络层和应用支持子层 第804部分测试:传感器接口测试规范; 第805部分;测试:传感器网关测试规范; 第806部分;测试:传感节点标识符解析一致性测试技术规范; 第807部分测试:网络传输安全测评规范 -第808部分:测试:低速率无线传感器网络网络层和应用支持子层安全测评规范 -第809部分;测试;传感网系统安全测评规范 901部分:网关;通用技术要求; 第 第902部分:网关;远程管理技术要求 第903部分;网关;逻辑功能接口技术规范 第1001部分;中间件;传感器网络结点数据交互规范 本部分是GB/T30269的第601部分 本部分按照GB/T1.1一2009给出的规则起草 请注意本文件的某些内容可能涉及专利 本文件的发布机构不承担识别这些专利的责任 本部分凡涉及密码相关内容,按国家有关法规实施 本部分由全国信息技术标准化技术委员会(SAC/TC28)提出并归口 本部分起草单位;电子技术标准化研究院,重庆邮电大学,深圳市海思半导体有限公司、山东省 计算中心、科学院软件研究所,西安西电捷通无线网络通信有限公司 本部分起草人;陈星、王浩、赵华伟,张立武,张向东,徐静,董挺、汪付强、杜志强
GB/T30269.601一2016 信息技术传感器网络 第601部分;信息安全;通用技术规范 范围 GB/T30269的本部分针对传感器网络传输的安全威胁和安全目标,提出了传感器网络的安全模 型,描述了传感器网络安全策略、机制、等级 本部分适用于传感器网络的安全设计、开发、运营和维护,可为传感器网络安全评估提供参考 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件,仅注日期的版本适用于本文 件 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T18336.1一2008信息技术安全技术信息技术安全性评估准则第1部分:简介和一般 模型 GB/T30269.2一2013信息技术传感器网络第2部分;术语 术语和定义 GB/T30269.22013界定的以及下列术语和定义适用于本文件 3.1 传感器网络sensornetwork 利用传感器网络结点及其他网络基础设施,对物理世界进行信息采集并对采集的信息进行传输和 处理,并为用户提供服务的网络化信息系统 3.2 结点鉴别nodeauthentication 证实结点是其所声称的结点 3.3 脆弱性 ability vulnera 可能被威胁所利用的资产或若干资产的薄弱环节 [GB/T20984一2007,定义3.187 3.4 可信第三方trustelthirdparty 在同安全相关的活动方面,被其他实体信任的安全机构或其代理 [GB/T250692010,定义2.2.4.6] 3.5 密钥材料keyingmaterial 确立和维持密码密钥关系所必需的数据(如密钥,初始化值》 [GB/T25069一2010,定义2.2.2.108]
GB/T30269.601一2016 3.6 共享密钥sharedkey 两个或多个结点之间在初始密钥材料的基础上建立的长期共享的密钥 3.7 会话密钥sessionkey 为保证一对结点之间的保密通信或消息鉴别而随机产生的密钥 通信完成后,会话密钥即被销毁 3.8 密钥建立 establishment key 密钥建立包括密钥协商密钥传 为 一个或多个实体产生一个可用的、共享的秘密密钥的过程 送等 [GB/T25069一2010,定义2.2.2.118] 3.g 敏感标记sensitivitylabel 表示主体/客体安全级别和安全范胯的一组信息 [GB/T250692010,定义2.2.1.93] 3.10 数据新鲜性datafreshness 保证接收到数据的时效性,确保没有重放过时的数据 3.11 数据融合结点dataconvergeneenode 进行数据的收集、处理和传送,去除数据中的冗余信息的结点 3.12 直接密钥directkesy 能够直接通信的两个邻居结点之间建立的共享密钥 3.13 路径密钥pathkey 没有共享直接密钥的两个传感器结点,利用已经与之建立共享密钥的结点构成多跳的安全路径,并 在此基础上建立的共享密钥 3.14 密钥连通性keyconneetivity 经密钥协商后传感器结点之间成功建立直接密钥的可能性的特性 3.15 攻击容忍性attackresilienee 部分传感器结点受损或被俘获后,其他结点的密钥不被暴露的特性 3.16 前向安全性forwardseeurity 在当前参与密钥协商的部分(或全部)传感器结点的共享密钥和会话密钥泄露的情况下,攻击者不 可能重新计算出先前时间段的共享密钥和会话密钥的特性 3.17 授权authorization 赋与某一主体可实施某些动作的权力的过程 [GB/T25069一2010,定义2.1.33]
GB/T30269.601一2016 3.18 保密性cmridentialisy 使信息不泄露给未授权的个人,实体,进程,或不被其利用的特性 [GB/T25069一2010,定义2.1.1] 3.19 数据完整性dataintegrity 数据没有遭受以未授权方式所作的更改或破坏的特性 [GB/T25069一2010,定义2.1.36] 3.20 可用性availability 已授权实体一旦需要就可访问和使用的数据和资源的特性 GB/T250692010,定义2.1.20] 3.21 鉴别authenticationm 提供对于某个实体自称身份的保证 [GB/T18794.22002,定义3.3 3.22 密钥管理keymanagement 根据安全策略,实施并运用对密钥材料进行产生、登记、认证,注销,分发,安装、存储、归档,撤消、衍 生、销毁和恢复的服务 [GB/T25069一2010,定义2.2.2.114] 3.23 资源resouree 传感器网络中需要保护的数据、结点设备、存储容量、计算能力能量以及通信带宽等 3.24 外部用户externaluser 在传感器网络之外与传感器网络交互的任何实体 3.25 主体subject 引起信息在客体之间流动的人,进程或设备等 [GB178591999,定义3.4] 3.26 客体objeet 信息的载体 [GB17859一1999,定义3.3] 3.27 安全功能策略seeurityfunetionpoliey 描述特定安全行为的一组规则,由系统安全功能执行并可表达为对系统的一组安全功能需求 [GB/T25069一2010,定义2.2.1.4] 3.28 安全策略seeuritypoliey 指明传感器网络中如何管理、保护和分配资产(包括结点、网络、数据等)的一组安全规则、指导,惯 例和实践
GB/T30269.601一2016 3.29 安全机制seeuritymechanism 实现安全功能,提供安全服务的一组有机组合的基本方法 [GB/T25069一2010,定义2.2.1.5] 缩略语 下列缩略语适用于本文件 AC;访问控制器(AccessControler ACL;访问控制列表(AccessControlList) ACcs;访问控制服务器(AccessControlServer) ADT;授权数据类型(AuthorizedDataType) A认证信息(Authenticationlnformation) DN;目的结点(DestinationNode ID:身份信息(Identificeation) MAC;消息鉴别码(MessageAuthenticationCode) PIB;个域网信息库(PANlnformationBase) VP:有效期限(ValidPeriod) 概述 传感器网络资产 5.1 传感器网络资产的描述,如表1所示 传感器网络资产 资产 描述 脆弱性 结点资产是指构成结点的各种软硬件资产,其中硬结点资产脆弱性是指结点软硬件资产可能遭受 结点资产 件资产包括执行器、传感器、控制器、存储器等,软损害的环节,包括开放的部署区域,工作环境恶 件资源包括协议栈软件等 劣以及结点资源受限等方面 网络资产脆弱性是指各种网络通信基础设施可 网络资产是指网络中构建通信链路的通信基础设能遭受损害的环节,包括结点资源受限,网关、路 网络资产 施,包括通信模块,通信接口等,也包括集成网络组由等专用设备易遭受物理损害,复杂的网络结 件和各子系统的网络协议 构,开放的通信环境以及各网络协议和安全机制 中可能出现的安全漏洞等 数据资产是指由构成传感器网络的组件产生、加数据资产脆弱性是指在数据资产产生,加工,存 工、存储和传输的传感器信息以及控制信息,其中储和传输全过程中可能的遭受损害的环节,包括 数据资产 传感器信息包括采集信息以及结点发起的命令消结点资源受限，工作环境恶劣,开放的通信环境 以及安全机制中可能出现的安全漏洞等 息等 5.2安全模型 传感器网络安全模型参考(GB/T18336.1一2008,面向数据、网络、结点三层的安全威胁,提出相应
GB/T30269.601一2016 的安全策略,给出安全机制和安全目标 如图1所示 动 传感网安全环 安全威胁 安全策略 安全日标 安全机制 密仞管理机制 面向数据的安全 数据保密性 访问控机制 策略 练 数据完整性 鉴别机制 财 胁 面向网络的安全 路由安全 数据新鲜性 数 策略 据 安全数据融合 可用性 或 加密机 勋 可控性 必 审计机制 面向结点的安全 点 抗干扰性 领安全机 威 策略 胁 可鉴别性 协调器变换的安全 图1传感器网络安全模型 本模型为传感器网络安全的实施提出参考性模型架构 当传感器网络遭受到安全威胁时,应按照 本模型提出的安全策略选取恰当的安全机制来实现整个网络的安全目标 在设定传感器网络安全环境的前提下,分析归类传感器网络目前面临的安全威胁,针对归类的威胁 进行安全策略的制定,每类策略可由安全机制中的一种或几种来提供支持,以达到所制定的一种或几种 安全目标 5.3安全环境假设 传感器网络的安全环境假设如下 a)能够执行基本的安全协议,例如密钥的建立,是假定执行了基本的协议,没有遗漏主要的步骤 b 由于传感器网络中设备成本较低,假设传感器网络中的硬件抵抗攻击的能力有限 假设任何应用都可以访问底层 c d)安全协议栈上不同层间彼此信任,同一个设备上运行的全部应用彼此相互信任 5.4安全威胁 5.4.1威胁主体 威胁主体可用经验,资源和动机来描述 表2为与传感器网络关联的威胁主体 表2威胁主体描述 经验 资源 动机 威胁主体 低/高 无恶意 可信第三方或经过可信第三方授权的结点 丰富 恶意 执行不恰当操作的授权结点 低/高 丰富 鉴别过期的结点 低/高 适度 恶意 外部未授权者 高 少/适度 恶意 诸如地震、洪水、火灾等不可抗力 无 丰富 无
GB/T30269.601一2016 5.4.2威胁描述 表3是传感器网络所面临的威胁的描述 表3威胁描述 威胁描述 威胁 由自然灾害以及非法人员潜人监测区域进行偷窃或物理破坏的行为所造成的网络硬件设施的损 物理威胁 失或损坏 主要针对于部暑在开放区域的结点 传输威胁 影响数据传输过程或传输结果的恶意行为,如阻塞、碰撞、延时,中断、拦截、算改,伪造、欺骗等威胁 自私性威胁 结点为节省自身能量或得到更多网络资源而对网络整体利益造成损害的一种自私,贪心的行为 是指破坏网络的正常运作,降低网络或使网络丧失执行某一期望功能的能力,如硬件失败、软件 拒绝服务威胁 bug、资源耗尽、环境条件等 5.4.3攻击描述 表4是传感器网络可能遭受的攻击描述 表4攻击描述 攻击 攻击描述 攻击者在获取目标网络通信频率的中心频率后,通过在这个频点附近发射无线电波进行干 拥塞攻击 扰,使得攻击结点通信半径内的所有传感器网络结点不能正常工作 碰撞攻击 攻击者和正常结点同时发送数据包,使得数据在传输过程中发生了冲突,导致整个包被丢弃 通过持续通信的方式使结点能量耗尽 如利用协议漏洞不断发送重传报文或确认报文,最终 耗尽攻击 耗尽结点资源 非公平竟争 攻击者不断发送高优先级的数据包从而占据信道,导致其他结点在通信过程中处于劣势 攻击者拒绝转发特定的消息并将其丢弃,使这些数据包无法传播,或者修改特定结点发送的 选择转发攻击 数据包,并将其可靠地转发给其他结点 攻击者通过申明高质量路由来吸引一个区域内的数据流通过攻击者控制的结点,达到攻击网 Sinkhole(黑洞)攻击 络的目的 Sybil(女巫)攻击 攻击者通过向网络中的其他结点申明有多个身份,达到攻击的目的 泛洪攻击 攻击者通过发送大量攻击报文,导致整个网络性能下降,影响正常通信 攻击者通过采用同步机制不断地伪造消息并发给已经建立通信连接的结点,导致结点无休止 同步破坏攻击 的运行同步恢复协议 5.5安全策略 5.5.1面向数据的安全策略 数据是传感器网络应用的主要内容,数据安全是传感器网络安全的核心,面向数据的安全策略由一 系列安全机制实现,如表5所示
GB/T30269.601一2016 表5面向数据的安全策略 安全机制 说 明 安全数据融合机制 安全数据融合机制应在任何条件下保障融合数据的真实性和准确性以及融合数据传输安全 鉴别机制 鉴别机制包括数据鉴别和身份鉴别两种,用于确保特定数据或特定身份的真实性及有效性 加密机制 对数据进行密码变换以产生密文 审计机制对传感器网络中各种与安全有关的事件和行为进行检测、收集、记录和分析,并针对 审计机制 特定事件及行为采取相应行动 访问控制机制以控制用户对传感器网络的访问为目的,能够防止未授权用户访问传感器网络 访问控制机制 的结点和数据 5.5.2面向网络的安全策略 网络通信为上层应用提供服务,面向网络的安全策略由一系列安全机制实现,如表6所示 表6面向网络的安全策略 安全机制 说 明 路由安全机制是以保证网络在受到攻击时仍能进行正确的路由发现、构建和维护为目标的 路由安全 安全机制 协调器变换安全机制 用以优化协调器变换过程中的结点和协调器的鉴别和安全材料的分发过程 通过网络层赖的辅助赖头实现网络层赖结构的完整性以及网络层赖结构载荷的保密性 顿安全机制 密钥管理机制 在一种安全策略指导下密钥的产生、存储,分配,删除,归档及应用 访问控制机制以控制用户对传感器网络的访问为目的,能够防止未授权用户访问传感器网 访问控制机制 络的结点和数据 5.5.3面向结点的安全策略 面向结点的安全策略由一系列安全机制实现 采用高效冗余的密码算法、安全有效的密钥管理机 制、轻量级的安全协议等策略或机制来实现基于结点的安全,为网络层通信和应用层数据提供安全基础 设施,如表7所示 表7面向结点的安全策略 安全机制 明 说 密钥管理机制 -种安全策略指导下密钥的产生,存储,分配,删除、归档及应用 在一 鉴别机制 鉴别机制包括数据鉴别和身份鉴别两种,用于确保特定数据或特定身份的真实性及有效性 审计机制对传感器网络中各种与安全有关的事件和行为进行检测、收集、记录和分析,并针对 审计机制 特定事件及行为采取相应行动 访间控制机制以控制用户对传感器网络的访问为目的,能够防止未授权用户访间传感器网络 访问控制机制 的结点和数据
GB/T30269.601一2016 5.6传感器网络安全目标 5.6.1概述 传感器网络安全目标由数据安全目标、网络安全目标、结点安全目标构成 按照传感器网络实际应 用安全保护需求,确立各安全保护等级数据、网络,结点安全目标 5.6.2安全目标属性 5.6.2.1数据保密性 使信息不泄露给未授权的个人、实体、,进程,或不被其利用的特性 传感器网络确保具有保密性要 求的数据在传输过程中不被泄露给未授权的个人,实体,进程,或不被其利用 在需要时确保数据在存 储过程中不被泄露给未授权的个人、实体,进程,或不被其利用 5.6.2.2数据完整性 数据没有遭受以未授权方式所作的更改或破坏的特性 传感器网络采用国家相关标准规定的完整 性机制,通过自主完整性策略和强制完整性策略,检测所有数据以及敏感标记在传输和存储过程中是否 被有意地改动和破坏,并提供更正被改动数据的能力 5.6.2.3数据新鲜性 保证接收到数据的时效性,确保没有重放过时的数据 传感器网络确保各类设备采用安全机制对 接收数据的新鲜性进行验证,并丢弃不满足新鲜性要求的数据,以抵抗对特定数据的重放攻击 5.6.2.4可用性 已授权实体一旦需要就访问和使用的数据和资源的特性 5.6.2.5可控性 在保障传感器网络中数据保密性、完整性、可用性的前提下,提供相应的安全控制部件,形成控制、 检测和评估环节,构成完整的安全控制回路实现传感器网络可控性 5.6.2.6抗干扰性 传感器网络采用适当的机制来防止对数据发送、接收和转发的无线干扰,避免对网络的信息传输造 成严重影响 5.6.2.7可鉴别性 可鉴别性分为数据可鉴别和身份可鉴别 数据可鉴别是指产生有效性证据以验证特定传输中的数 据内容没有被伪造或者篡改,确保数据内容的真实性 身份可鉴别是指传感器网络维护每个访问主体 的安全属性,同时提供多种身份鉴别机制,以满足传感器网络不同安全等级的需求 在进行鉴别时,传 感器网络提供有限的主体反馈信息,确保非法主体不能通过反馈数据获得利益 安全机制 6.1密钥管理机制 传感器网络的密钥管理机制涉及以下三个方面
GB/T30269.601一2016 密钥材料的产生、分发、更新和注销 a b)共享密钥的建立,撤销和更新; 会话密钥的建立和更新 传感器网络密钥管理机制首先必须考虑可用性、机密性、数据完整性、不可否认性等安全需求,对于 共享密钥、会话密钥建立过程还应考虑实体鉴别、数据源鉴别、密钥新鲜性,前向安全性等 传感器网络 密钥管理机制应具备可扩展性、灵活性、密钥连通性、攻击容忍性 传感器网络密钥生存周期及密钥管理的一般模型符合附录A的规定 6.2 访问控制 访问控制机制以控制用户对传感器网络的访问为目的,能够防止未授权用户访问传感器网络的结 点和数据 访问控制机制可以包括: a 自主访问控制 当传感器网络的外部用户需要访问传感器网络的资源时,通过访问控制列表或访问能力列表 等策略对用户的访问实施控制的机制 b)强制访问控制 为系统中的用户,结点和数据指定敏感标记,以保证每个用户只能访问到那些被标明可以由他 访问的资源的一种访问约束机制 详细描述见附录B 鉴别机制 6.3 传感器网络主要针对数据、网络和结点采用相应鉴别技术,可采用传感器网络内部结点之间的鉴 别传感器网络结点对用户的鉴别和传感器网络消息鉴别等机制 6.4路由安全 路由安全机制是以保证网络在受到攻击时仍能进行正确的路由发现、构建和维护为目标的安全机 制,包括数据保密和鉴别机制、数据完整性和新鲜性校验机制,设备和身份鉴别机制以及路由消息广播 鉴别机制等 详细描述见附录C 6.5安全数据融合 安全数据融合机制,以保障数据保密性、数据传输安全、数据融合的准确性为目的,通过加密,安全 路由、融合算法的设计、结点间的交互证明、结点采集信息的抽样、采集信息的签名等机制达成 详细描 述见附录D. 6.6加密机制 见GB/T15629.15一2010中7.6. 安全审计机制 安全审计机制对传感器网络中各种与安全有关的事件和行为进行检测、收集、记录和分析,并针对 特定事件及行为采取相应行动 其目的是忠实记录传感器网络中发生的一切与安全相关的事件和行 为,确保传感器网络按照既定的适当的安全策略进行处理,识别和分析未经授权的动作或攻击,发现网 络人侵和违规行为,并将该行为归结到为其负责的实体上 受审计机制制约的安全相关事件包括,但不 局限于;敏感数据的访问和非正常改变;安全机制使用记录,如访问权限或能力的授予和删除,主体或目 标安全属性的改变;管理操作等
GB/T30269.601一2016 6.8帧安全机制 帧安全机制,以实现网络层帧结构的完整性以及网络层帧结构载荷的保密性为目标 网络层帧的 安全保护机制应使用国家密码行政主管部门指定的算法 对网络层帧的安全处理方法是通过网络层帧 的辅助帧头来指示的 详细描述见附录E 6.9协调器变换的安全机制 协调器变换的安全机制,主要优化协调器变换过程中结点与协调器之间的鉴别和密钥材料的分发 过程,为协调器变换提供安全支持 详细描述见附录F 安全等级划分 7.1安全等级划分概述 传感器网络的安全等级分为五级,其安全保护能力随着安全等级的提高而逐渐提高 第一级;本级的传感器网络需要保护的资产价值很低,面临的威胁很小 其安全目标包括能够确 保网络中传输的数据不被无意识地截取、破坏;在网关处可以进行自主访问控制和用户身份鉴别 第二级;本级的传感器网络需要保护的资产价值较低,面临的威胁较小 本级的安全目标包括;能 够进行有效的密钥管理;确保网络中传输的数据不被有意地截取、破坏;确保网络中关键数据的新鲜性 具有一定的抗无线干扰能力;在网关处可以进行自主访问控制和鉴别主体身份;可对传感器网络的安全 事件进行审计 第三级;本级的传感器网络需要保护的资产价值较高,面临的威胁较大 本级的安全目标包括第二 级的所有安全目标,此外还提出;实施安全的密钥/密钥材料备份机制以及安全的密钥管理机制;通过维 护主体和资源的敏感标记来实施强制访问控制;能够鉴别数据的真实性,并能够保护残留信息的安 全性 第四级:本级的传感器网络需要保护的资产价值很高,面临的威胁很大 本级的安全目标包括第三 级的所有安全目标,此外还提出;在密钥管理中提出了密钥的可信产生,共享密钥的前向安全性以及密 钥的安全更新;提出将完整性与保密性扩展到所有数据,并能够对完整性遭到破坏的数据进行更正;避 免非法主体通过鉴别数据冒充合法主体 第五级;本级的传感器网络需要保护的资产价值极高,面临的威胁极大 本级别包含第四级的所有 安全目标,此外还提出;密钥/密钥材料的备份进行硬件级的保护;被捕获的结点不会对网络造成安全威 胁;对每个资源的访问进行控制;采用硬件保护机制保证鉴别数据的安全性 7.2安全等级划分方法 传感器网络安全等级划分要考虑的安全功能要素主要包括:数据完整性、数据保密性、数据新鲜性、 数据鉴别能力、密钥管理、抗干扰性、访问控制、身份鉴别、客体重用、敏感标记、审计 传感器网络安全等级划分方法如表8所示 表8传感器网络安全等级表 安全等级划分要素 第一级 第二级 第三级 第四级 第五级 数据完整性 数据保密性 十十十 10o
GB/T30269.601一2016 表8(续 安全等级划分要素 第四级 第一级 第二级 第三级 第五级 数据新鲜性 数据鉴别 密钥管理 十十 十十十 十十十十 用户身份鉴别 十十 × 十十 十十十十 十十十十十 抗干扰性 +十 十+ +十+十 十十十 自主访问控制 强制访问控制 结点鉴别 客体重用 敏感标记 审计 十十 十十 - 注;“”表示对安全功能要素的要求,“”数量的增加表示安全功能要素强度的提高;“×"表示无要求 7.3安全等级划分要求 7.3.1第一级 7.3.1.1数据安全要求 7.3.1.1.1数据完整性 传感器网络采用国家相关标准规定的完整性机制,通过自主完整性策略,能够检测关键数据(如组 网数据、关键应用数据)在传输过程中是否被有意地改动和破坏 7.3.1.1.2数据保密性 传感器网络应采用一定的安全编码方式,确保关键数据如组网数据,关键应用数据)在传输的过程 中不会意外地泄密 7.3.1.2网络安全要求 7.3.1.2.1用户身份鉴别 当用户需要访问传感器网络的资源时,首先要求用户标识自己的身份,并使用保护机制(例如:口 令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据 7.3.1.2.2自主访问控制 当传感器网络的用户需要访问传感器网络的资源时,需在网关处实施定义和控制命名用户和传感 器网络资源的访问,依据一定的访问控制模型(如访问控制矩阵、取予模型或者动作实体模型)允许命名 用户以用户和(或)组的身份规定并控制资源的共享;阻止非授权用户读取敏感信息 11
GB/30269.601一2016 7.3.2第二级 7.3.2.1数据安全要求 7.3.2.1.1数据完整性 同7.3.1.1.1 7.3.2.1.2数据保密性 传感器网络采用国家密码行政主管部门规定的算法,确保关键数据(如组网数据,关键应用数据)在 传输过程中不被非法读取 7.3.2.1.3数据新鲜性 传感器网络应采用适当的安全机制如序列号或询问/应答机制)来确保接收方能验证所接收的数 据没有被重放 7.3.2.2网络安全要求 7.3.2.2.1密钥管理 传感器网络各类结点的密钥/密钥材料由相应级别的密钥生成中心产生,该产生过程不可预测,相 关数据不能被篡改 密钥/密钥材料的预分发应以安全可信的方式进行 7.3.2.2.2用户身份鉴别 当用户需要访问传感器网络的资源时 要求用户标识自己的身份 a) b)使用保护机制(例如;口令或其他鉴别机制)来鉴别用户的身份,阻止非授权用户访问用户身份 鉴别数据 c通过为用户提供唯一标识.传感器网络系统能够使用户对自己的行为负责 d)传感器网络系统还具备将身份标识与该用户所有可审计行为相关联的能力 7.3.2.2.3抗干扰性 传感器网络应采用适当的机制来防止对数据发送、接收和转发的无线干扰,避免对网络的可用性造 成严重影响 7.3.2.2.4自主访问控制 当传感器网络的外部用户需要访问传感器网络的资源时， 在网关处实施定义和控制命名用户对传感器网络资源的访问,依据一定的访问控制模型(如访 a 问控制矩阵、取予模型或者动作实体模型)允许命名用户以单个用户和(或)组的身份规定并控 制资源的共享 阻止非授权用户读取敏感信息,并控制访问权限扩散 自主访问控制机制根据用户指定方式 或默认方式,阻止非授权用户访问资源 访问控制的粒度是单个用户 没有存取权的主体只 允许由授权主体指定对传感器网络资源的访问权 7.3.2.2.5网络安全审计 当主体需要访问传感器网络的资源时,传感器网络能够创建和维护受保护资源的访问审计跟踪记 12
GB/T30269.601一2016 录 传感器网络能够创建传感器网络与安全有关的审计跟踪记录 7.3.2.3结点安全要求 7.3.2.3.1结点鉴别 传感器网络应能提供多种安全强度的结点鉴别机制,以确保传感器网络结点间根据不同的安全等 级需求采用相应的鉴别机制验证对方身份的真实性和合法性 传感器网络结点鉴别机制是基于密码算 法的,具有共享密钥的结点之间能够实现相互鉴别 如,可采用基于简单安全变换的方法实现传感器网 络结点间的鉴别 7.3.2.3.2结点安全审计 传感器网络结点能够创建和维护受保护资源的访问审计跟踪记录 7.3.3第三级 7.3.3.1数据安全要求 7.3.3.1.1数据完整性 同7.3.1.1.1 7.3.3.1.2数据保密性 同7.3.2.1.2 数据新鲜性 7.3.3.1.3 同7.3.2.1.3 7.3.3.1.4数据鉴别 传感器网络应能提供数据鉴别机制,能产生有效性证据以验证特定传输中的数据内容没有被伪造 或者篡改,确保数据内容的真实性 7.3.3.2网络安全要求 7.3.3.2.1密钥管理 密钥管理应满足以下几点 传感器网络各类结点的密钥/密钥材料由相应级别的密钥生成中心产生,该产生过程不可预 测,相关数据不能被篡改 密钥/密钥材料的预分发应以安全可信的方式进行 应采用加密机制备份密钥/密钥材料 b 采用密钥管理机制,确保传感器网络中一定数量的结点被俘获后,泄密的结点密钥不会对当前 整个传感器网络的安全性造成严重影响 确保结点的退出以及新结点的加人不会影响传感器网络的安全性 D 应提供适当的密钥销毁方法,保证销毁过程的不可逆 7.3.3.2.2用户身份鉴别 同7.3.2.2.2 13
GB/T30269.601一2016 7.3.3.2.3抗干扰性 同7.3.2.2.3 7.3.3.2.4自主访问控制 同7.3.2.2.4 7.3.3.2.5强制访问控制 传感器网络对所有主体及其所控制的资源实施强制访问控制 为这些主体和资源制定敏感标记 所有主体对资源的访问应满足 主体的安全级别不高于客体的安全级别时,可执行添加操作 a b 主体的安全级别不低于客体的安全级别时,可执行修改已有内容操作 主体的安全级别不低于客体的安全级别时,可执行读操作(表示只读》. c) 主体的安全级别不低于客体的安全级别时,可执行控制命令操作 d 传感器网络使用身份和鉴别数据,鉴别用户的身份,并保证用户创建的传感器网络的主体的安 全级和授权受该用户的安全级和授权的控制 7.3.3.2.6网络安全审计 当传感器网络的主体需要访问传感器网络的资源时,传感器网络能够创建和维护受保护资源的访 问审计跟踪记录,并能阻止非授权的主体对它访问或破坏 传感器网络能够创建传感器网络内部与安 全有关的审计跟踪记录 7.3.3.3结点安全要求 7.3.3.3.1 结点鉴别 同7.3.2.3.1 7.3.3.3.2客体重用 对于传感器网络中的各类存储体,对其初始指定,分配或再分配一个主体之前,释放该存储体所含 的信息以及信息的所有授权 对于一个指定的主体集而言,当其获得对一个已被释放的存储体的访问 权时,该存储体中以前的数据内容不再可用 7.3.3.3.3 敏感标记 传感器网络需要维护与主体及其所访问的资源相关的标记 这些标记是强制访问控制的基础 7.3.3.3.4结点安全审计 传感器网络结点能够创建和维护受保护资源的访问审计跟踪记录,并能阻止非授权的主体对它访 问或破坏 7.3.4第四级 7.3.4.1数据安全要求 7.3.4.1.1数据完整性 传感器网络采用国家相关标准规定的完整性机制,通过自主完整性策略和强制完整性策略,能够检 14
GB/T30269.601一2016 测所有数据以及敏感标记在传输过程中是否被有意地改动和破坏,并提供更正被改动数据的能力 7.3.4.1.2数据保密性 传感器网络采用国家密码行政主管部门规定的算法,确保所有数据在传输过程中不被非法读取 7.3.4.1.3数据新鲜性 同7.3.2.1.3 7.3.4.1.4数据鉴别 传感器网络应能提供数据鉴别机制,能产生包含数据产生者身份的有效性证据以验证特定传输中 的数据内容没有被伪造或者篡改,确保数据内容的真实性 7.3.4.2网络安全要求 7.3.4.2.1密钥管理 密钥管理应满足以下几点 传感器网络各类结点的密钥/密钥材料由相应级别的密钥生成中心产生,该产生过程不可预 测,相关数据不能被篡改 b)密钥/密钥材料的预分发应以安全可信的方式进行 应采用加密机制备份密钥/密钥材料 采用密钥管理机制,确保传感器网络中一定数量的结点被俘获后,泄密的结点密钥不会对当前 整个传感器网络的安全性造成严重影响 且不会影响有关结点在前一个阶段建立的共享密钥 的安全性 确保结点的退出以及新结点的加人不会影响传感器网络的安全性 在进行密钥更新时,应确 保新密钥在传输过程中的保密性和完整性 应提供适当的密钥销毁方法,保证销毁过程的不可逆 用户身份鉴别 7.3.4.2.2 当用户需要访问传感器网络的资源时 a)要求用户标识自已的身份 传感器网络系统维护用户身份识别数据并确定用户访问权及授权数据,并使用保护机制例 b 如;口令或其他鉴别机制)来鉴别主体的身份,阻止非授权主体访问主体身份鉴别数据 保证 鉴别数据的安全性,避免非法主体利用鉴别数据冒充合法主体 通过为主体提供唯一标识传感器网络系统能够使主体对自己的行为负责 d)传感器网络系统还具备将身份标识与该主体所有可审计行为相关联的能力 7.3.4.2.3抗干扰性 传感器网络应采用适当的机制来防止对数据发送、接收和转发的无线干扰,避免对网络的可用性造 成一定的影响 7.3.4.2.4自主访问控制 同7.3.2.2.4 7.3.4.2.5强制访问控制 同7.3.3.2.5 15
GB/T30269.601一2016 7.3.4.2.6网络安全审计 同7.3.3.2.6 7.3.43结点安全要求 7.3.4.3.1结点鉴别 传感器网络应能提供多种安全强度的结点鉴别机制,以确保传感器网络结点间根据不同的安全等 级需求采用相应的鉴别机制验证对方身份的真实性和合法性 传感器网络结点鉴别机制是基于密码算 法的,具有共享密钥的结点之间能够实现相互鉴别 如,可采用基于对称密码算法实现传感器网络结点 间的鉴别 7.3.4.3.2 客体重用 同7.3.3.3.2 7.3.4.3.3敏感标记 同7.3.3.3.3 7.3.4.3.4结点安全审计 同7.3.3.3.！ 7.3.5第五级 7.3.5.1数据安全要求 7.3.5.1.1数据完整性 同7.3.4.1.1 7.3.5.1.2数据保密性 传感器网络采用国家密码行政主管部门规定的算法,确保所有数据在传输和存储过程中不被非法 读取 7.3.5.1.3数据新鲜性 同7.3.4.1.3 7.3.5.1.4数据鉴别 同7.3.4.1.4 7.3.5.2网络安全要求 7.3.5.2.1密钥管理 密钥管理应满足以下儿点 传感器网络各类结点的密钥/密钥材料由相应级别的密钥生成中心使用硬件密码设备产生,该 产生过程不可预测,相关数据不能被篡改 b密钥/密钥材料的预分发应以安全可信的方式进行 密钥/密钥材料的备份应采用国家密码行 16
GB/T30269.601一2016 政主管部门认可的硬件密码设备采用加密的方法实施 采用密钥管理机制及其他机制如硬件防窜扰机制),确保传感器网络中任意数量的结点被捕 获后,泄密的结点密钥不会对当前整个传感器网络的安全性造成影响,且不会影响有关结点在 前一个阶段建立的共享密钥的安全性; 确保结点的退出以及新结点的加人不会影响传感器网络的安全性;在进行密钥更新时,应确保 新密钥在传输过程中的保密性和完整性; 应提供适当的密钥销毁方法,保证旧密钥销毁过程的不可逆 7.3.5.2.2用户身份鉴别 同7.3.4.2.2 7.3.5.2.3抗干扰性 传感器同络应采用适当的机制来防止对数据发送、按收和转发的无线干扰.以确保对网络的可用性 造成的影响降至最低 自主访问控制 7.3.5.2.4 同7.3.2.2.4 7.3.5.2.5强制访问控制 同7.3.3.2.5 7.3.5.2.6网络安全审计 同7.3.3.2.6 7.3.5.3结点安全要求 7.3.5.3.1结点鉴别 传感器网络应能提供多种安全强度的结点鉴别机制,以确保传感器网络结点间根据不同的安全等 级需求采用相应的鉴别机制验证对方身份的真实性和合法性 如,可采用基于非对称密码算法,利用数 字签名技术实现传感器网络结点间的鉴别 7.3.5.3.2客体重用 同7.3.3.3.2 7.3.5.3.3敏感标记 同7.3.3.3.3 7.3.5.3.4结点安全审计 同7.3.3.3.4 17
GB/30269.601一2016 附录A 资料性附录 密钥管理 A.1概述 密钥管理机制依赖于基本的密码机制,分为以下三类 a)采用对称密码技术的机制 b采用非对称密码技术的机制; c 采用对称,非对称技术结合的机制 不用的机制适用于不同的应用需求 采用对称密码技术的机制,适用于对安全级别要求较低的传 感器网络,例如安全级别在三级以下的传感器网络宜采用基于对称密码技术的机制 而对于安全级别 要求较高的传感器网络,则需要采用基于非对称密码技术的机制 密钥生存周期 个密钥从产生到销毁要经历一系列的状态,这些状态确定了其生存周期 三种主要的状态是 待激活;在待微活状态,密钥已产生好但并未激活供使用" a 激活在激活状态,密钥用于按密码技术处理信息; b 次激活;若已知某个密钥已被泄露,应马上变为本状态,此时密钥将只用于解密或验证 产生 销毁 待激活 激活 激活 再激活 去激活 销毁 次激活 图A.1密钥生存周期 图A.1表示密钥生存期的一般模型,表明上述状态和相应的转移 密钥由一种状态向另一种状态 变化时,经历图A.1所示的下述转移 产生是指产生密钥的过程,应根据指定的密钥产生规则进行;激活是使密钥生效,以便进行密码运 算;次激活是限制密钥的使用,在密钥已过期或已被撤消的情况下执行该过程;再激活是使一个次激活 密钥可重新用于密码运算;销毁是终止密钥的生存期,应是不可逆的,包括密钥的逻辑销毁也可能包括 物理销毁 18
GB/T30269.601一2016 传感器网络密钥管理机制涉及到不同类型的密钥:密钥材料,共享密钥包括直接密钥和路径密 钥,会话密钥 每种密钥从建立到撤销的整个有效期之内,可能会处在多个不同阶段,需要根据具体应 用需求对密钥进行维护和更新 不同的密钥类型生存期的长短不同,在同一个密钥材料的有效期内,共 享密钥可能撤销和更新多次;在同一个共享密钥的有效期内,会话密钥可能撤销和更新多次 会话密钥在通信双方结点通信完成后即被销毁 会话密钥的泄露不能影响到共享密钥的安全 若 某个共享密钥泄露,则可信第三方将其撤销,并与相关结点交互,分发更新的密钥 共享密钥的泄露并 不意味着密钥材料的泄露 但是若某个密钥材料泄露,则相应的共享密钥也必须撤销,并在密钥材料更 新后,重新建立共享密钥 A.3采用对称技术的机制 传感器网络可信第三方对网络中的对称密钥进行管理 密钥产生 由于传感器网络独有的特点,传统的密钥管理机制不能直接应用 例如传感器网络中结点资 源严格受限,要求必须采用轻量级的密钥管理机制;无固定基础设施,导致安全通信不能依赖 于固定的基础设施或者一个信任中心来实现,而要采用分布式密匙管理技术或者层次式密钥 管理技术 分布式密匙管理中,所有结点具有相同的通信能力和计算能力 推荐采用基于密钥预分配的 机制,例如基于密钥池的密钥预分配、基于多项式池的密钥预分配等 结点密钥的协商,更新 通过预分配的密钥材料和相互协作来完成 密钥产生是传感器网络可信第三方以安全的方式为结点产生预分配的密钥材料的过程,该产: 生过程不会被算改,产生方式不可预测 密钥登记 b 密钥登记将结点密钥材料与结点标识相关联 这由登记机构提供,可以是可信第三方 登记 机构以安全的方式存储密钥及其相关信息的记录 该部分是可选的 密钥分发 无线传感设备在安装于现场之前,应该根据实际需求向设备写人相应的初始密钥材料 可以 通过可信第三方直接配置给设备,或者通过手持设备进行分发 密钥安装 无线传感设备以保护密钥不被泄露的方式写人可信第三方分发的密钥材料 共享密钥建立 直接密钥建立 这种通信连接的模型如图A.2所示(图中数字代表交换的步骤) 结点A 结点B 图A.2直接密钥建立模型 若结点设备中写人的初始密钥材料即为其与邻居结点间共享的直接密钥,且结点知道密 钥是与哪个结点所共享,则直接密钥发现(1)跳过,可直接转人会话密钥建立(2). 若结点设备中写人的初始密钥材料即为其与邻居结点间共享的直接密钥,但是结点并不 确切知道对应的共享结点,则需要直接密钥发现过程(1) 直接密钥发现与接下来的会话 1s
GB/T30269.601一2016 密钥建立可以合并到一个协议中 路径密钥建立 在没有直接密钥的情况下,若一对结点之间存在多跳安全连接,则可以建立路径密钥 除 去安全路径发现过程外,路径密钥建立是一个有可信第三方参与的密钥建立过程,需采用 下述图A.3和图A.4中模型 可信第三方可能是两结点共同的邻居结点,簇头结点或者 BS等 图A.3中可信第三方可能是通信双方结点共同的邻居结点、簇头结点(通信双方结点均在 该簇内)或者BS 可信第三方 3a 3b 1D 结点A 结点B 4 图A.3路径密钥建立1 图A.4中模型给出了当通信双方结点之间的安全路径上有两个结点时,或者通信双方位于不 同的簇内时,密钥建立的模型 2 结点C 结点D A的信任结点 B的信任结点 结点A 结点B 图A.4路径密钥建立2 图A.4中结点C与结点D之间互相信任 二者可以共同协商出一个供结点A和结点B使用 的共享密钥;也可以其中一个做为密钥分发中心,另一个转发消息 若结点A信任的结点集,与结点B信任的结点集之间仍然没有安全连接,则查找结点C与结 点D共同的信任结点X 再由结点X产生会话密钥,分发给C和D,再分别分发给A和B 由于传感器网络中距离较远的结点不会需要建立安全链路,所以由此产生的信任链长度是可 以接受的 路径密钥建立与会话密钥建立也可以合并到一个协议当中 密钥更新 密钥材料有一定的生存周期,当需要更新时,可信第三方重新选定密钥材料,然后利用密钥加 密密钥对其加密后再分发给整个无线传感器网络中的相应结点 结点接收到密钥信息后,用 自已的密钥加密密钥解密,并且更新自身密钥信息 更新的密钥应确保是可信第三方真实合法的产生,并及时发送到提出更新请求的结点,可能还 包括其对等结点 密钥撤销 在结点正常的密钥更新之后,可信第三方将撤销所有过期的密钥 当发现密钥的安全受到威 20
GB/T30269.601一2016 胁、密钥已经泄漏等情况时,可信第三方也可以在密钥未过期之前,强制撤销某个密钥 可信 第三方应将撤销通知包括密钥标识,撤销的日期时间、撤销的原因等发布给相关结点 若发现某个结点为恶意结点,可信第三方有权利删除该结点,撤销该结点的密钥材料 其余结 点若发现自己正在使用相关密钥材料,则向可信第三方申请更新 密钥注销 若选择了密钥登记,则密钥注销是必须的,由登记机构解除密钥与结点的关系 会话密钥建立 通信双方结点在共享密钥的基础上,可采用图A.2中的模型进行会话密钥的建立 A.4采用非对称技术的机制 传感器网络中可信第三方对网络中的非对称密钥进行管理 密钥产生 传感器网络可信第三方使用某种密码算法以安全的方式为结点产生公私钥对,该产生过程不 会被算改,产生方式不可预测 密钥证书生成 认证机构接受密钥的认证请求后签发密钥证书,确保公开密钥与结点的联系 该部分是可选 内容,例如,在基于IDPKc的密钥管理机制中无该部分内容 密钥分发 无线传感设备在安装于现场之前,应该根据实际需求向设备写人自己的私有密钥和公开密钥 证书) 可以通过可信第三方直接配置给设备,或者通过手持设备进行分发 密钥安装 无线传感设备以保护密钥不被泄露的方式写人可信第三方分发的密钥 会话密钥建立 基于非对称技术的密钥管理机制中,任意两个结点之间可以进行密钥协商(1)建立会话密钥 其通信连接的模型如图A.5所示: 1D 结点A 结点B 图A.5基于非对称技术的会话密钥建立 若采用基于证书的密钥管理机制,则必须提供高效的证书验证方案,例如利用Merkeltree等 密钥更新 公开密钥证书有一定的生命期,是在证书中或是由认证机构定义的一个有效期限 在公开密 钥证书即将到期之前,需要进行证书更新 可信第三方撤销结点的到期证书,重新签发 密钥撤销 当结点私有密钥的损坏,结点请求撒销、结点被损坏等情况发生时,应具有一定的程序和快速 的通信方法能安全地撤消结点公开密钥证书) 当结点私有密钥因为某种原因而被撤销时， 所有有关的公开密钥证书)也必须被撤销 撤销机制要考虑传感器网络结点资源受限和无固 定基础设施的特点,不推荐撤销列表的方法 21
GB/30269.601一2016 附 录 B 资料性附录 访问控制机制 B.1概述 访问控制的目的是为了控制用户对传感器网络资源的访问,防止非法用户访问传感器网络的结点 资源和数据资源 为了实现传感器网络的访问控制,可能需要其他安全机制的参与,如;敏感标记、鉴 别、数据保密性、数据完整性 B.2自主访问控制 自主访问控制在网关实施,访问控制策略由网络管理员在网关进行制定,策略可通过访问控制表与 访问能力表两种方式实现 为了实现自主访问控制,网关需要满足;能够对访问者的身份进行鉴别;能 够标识传感器网络内的各设备;能够制定访问控制策略并实施访问控制三个条件 在这种访问控制机制中,访问者启动访问过程,由网关对访问进行控制 控制模型如图B.1所示 安全关联 协商安全参数 访问 发起访问 访问控制表 用户 网关 结点资源 资源 访向能力表 协商安全参数 访问控制 鉴别 鉴别 图B.1自主访问控制参考模型 B.2.1访问控制策胳 自主访问控制策略可由两种方式实现;访问控制表、访问能力表 在通过访问控制表进行访问控制时,网关需制定访问控制表,明确指明网内的每种设备可由哪 a 些用户访问,以及进行何种类型的访问(读取、发送控制命令); b在通过访问能力表进行的访问控制中,网关需制定访问能力表,明确指明每个合法用户能够访 问哪些设备资源,以及进行何种类型的访问(读取,发送控制命令. B.2.2访问控制方式 访问控制方式可分为基于用户身份的访问、基于组的访问及基于角色的访问 在高级别安全中,如果明确指出细粒度的访问控制,那么需要基于每个用户进行访问控制 a b 否则,为了简化访问控制表,提高访问控制的效率,在各种安全级别的自主访问控制模型中,均 可通过用户组和用户身份相结合的形式进行访间控制 心
GB/T30269.601一2016 为了实现灵活的访问控制,可以将自主访问控制与角色相结合,实施基于角色的访问控制,这 便于实现角色的继承 为了保证安全性,在基于用户身份和用户组的访问控制中,应避免访问权限的传递性 B.2.3访问控制对象 对访问实施控制的对象包括数据和传感器网络的结点设备 对于数据的访问,假设传感器网络已将数据集中到网关处,这种访问事实上是对网关数据的访 a 问 在这种访问控制中,网关需明确标识出不同类别和不同用途的数据,并制定相应的访问控 制表/访问能力表 对于传感器网络设备的访问,网关需明确标识出每个传感结点,并在网关处设置访问控制表 b 访问能力表 同时,为了确保这种访问不被非法利用,需通过网关为用户和传感设备之间建立 安全关联,提供访问的鉴别、数据的保密性与完整性 B.3强制访问控制 为了实施强制访问控制,传感器网络系统需能够按照统一的安全策略对用户和被访问的资源设置 安全标记,以表明安全级别 根据应用场景的不同,强制访问控制可以在网关处实施,也可以在被访问 的设备上实施 在这种访问控制机制中,访问者启动访问过程,由网关对访问进行控制 控制模型如图B.2所示 安全关联 协商安全参数 冲计 访间 发起访问 强制站间 结点资源 用户 网关 控制策略 协商安全参数 访间控制 鉴别 鉴别 图B.2强制访问控制参考模型 B.3.1访问控制策略 主体在访问传感器网络的资源时,其操作分为:只读,改写或删除已有数据,添加数据和发送控制命 令四类 强制访问控制的策略如下;当主体的安全级别不高于客体的安全级别时,可执行添加操作;当主体 的安全级别不高于客体的安全级别时,可执行改写或删除自己数据的操作;主体的安全级别不低于客体 的安全级别时,可执行只读操作;当主体的安全级别不低于客体的安全级别时,可执行发送控制命令 操作 B.3.2访问控制方式 根据不同的应用场景,强制访问控制可基于单个用户,用户组和角色进行实施即为不同的用户,用 户组或角色设置不同安全级别的标记,根据这些标记实施强制访问控制 23
GB/T30269.601一2016 B.3.3访问控制对象 B.3.3.1 在网关处实施访问控制 传感器网络系统需对用户和被访问的资源进行安全分级,并打上安全标记,然后在网关处实施强制 访问控制 网关的资源分为两种;数据资源、结点资源 B.3.3.1.1数据资源:假设传感器网络数据集中在网关处,且已进行安全分级,则通过强制访问控制策 略实施访问控制 结点资源;假设传感器网络结点处于网关后面,可由网关实施强制访问控制 首先将结点设 B.3.3.1.2 备进行安全分级,然后按照强制访问控制策略实施访问控制 为了确保这种访问不被攻击,网关需为结 点和用户建立安全关联,确保访问的鉴别性、数据的保密性与完整性 B.3.3.2在结点处实施访问控制 传感器网络系统需对用户和被访问的资源进行安全分级,并打上安全标记,然后在结点处实施强制 访问控制 结点实施强制访问控制的前提结点能够识别用户的安全标记,并能通过比较决定是否为用 户提供访问,且网关需为结点和用户建立安全关联,确保访问数据的保密性和完整性 结点的资源为结 点本身和结点的数据 B.3.3.2.1结点本身的访问控制 结点能够通过简单的鉴别机制识别合法用户,并根据自身的安全级别和用户的安全级别决定是否 接受用户的访问(数据的读写、发送控制命令) 这种控制中,结点数据的安全级别与结点的安全级别 相同 B.3.3.2.2结点数据的访问 在这种访问控制中,传感结点可挂接多个传感器,且不同传感器的数据有不同的安全级别 传感器 网络系统预设各类型传感数据的安全级别 结点根据比较自身不同类别数据的安全级别以及用户的安 全级别.来实施强制访问控制 注;在实际操作中,可将自主访问控制与强制访问控制相结合,如根据知其所需原则,可实施如下的访问控制在网 关处实施自主访问控制,在结点处实施强制访问控制， B.4低开销访问控制机制 该机制是一种不需要传感器网络中的其他结点参与认证过程的、低开销的传感器网络访问控制 机制 24
GB/T30269.601一2016 DN User 认证请求消息 认证响应消息 结点认证请求消息 NINET NllDxETETlIMC 结点认证响应消息 访问请求消息 NDNIRDETETIIMC ETETIMIC 访问响应消息 NlIIDIRes(DNIMIC2 ETIMIC 图B.3低开销访问控制机制 如图B.3所示,图中AC是访问控制器;User是用户;DN是目的访问结点 以User访问DN为 例,具体的访问控制过程如下: User在向传感器网络中的DN发送访问请求之前,首先向传感器网络中的DN发送认证请求 消息,该消息中主要包含User产生的询问N; bDN收到User的认证请求消息后,产生询问N.,并利用与AC之间的共享密钥KAC,DN计算 ET,=E(KAC,DN,N,),将NlIN,llET作为认证响应消息发送给User,其中,E为对称加 密算法; User收到DN的用户认证响应消息后,首先判断消息中的询问N是否是User选择的询问、 若不是,直接丢弃该响应消息;若是,则利用与Ac之间的共享密钥KAC,User计算ET= E(KAC,User,N,,计算消息鉴别码MIC=H(KAC,User,NlIDNETET,),构造结 lIDllET,llET,llMIC发送给AC,其中,ID是DN的身份标识,H 点认证请求消息N 为单向哈希函数,E为对称加密算法; AC收到User的结点认证请求消息后,首先根据MIc判断消息的完整性,若不完整,丢弃该 dD 消息;若完整,利用与DN之间的共享密钥KAC,DN解密ET,若解密后得到的N与User 在步骤3)中发送的N不相等,.AC构造结点认证响应消息NlIDNl|Res(DNlMIC 发送 给User,其中,Res(DN)=Failure,表示AC对DN鉴别失败,其中MIc=H(KAc,User,N IDlRes(DN));若解密后得到的N与User在步骤3)中发送的N相等,AC利用与 User共享的密钥KAC,User解密ET,若解密后得到的N与User在步骤3)中发送的N不 相等,终止鉴别;若解密后得到的N，与User在步骤3)中发送的N相等,AC生成User和 DN间的会话密钥KDN,User,并根据User的身份标识查询ACL,获得User的访问控制信息 ACLUser,连同User的访问期限Tv,利用KAC,DN计算ET，=EKAC,DN,IDUser KTDN,User|rvllAcCLUser),并利用KAC.,User计算ET,=E(KAc.,User,KDN,U:er),计 算消息鉴别码MIC=H(KAC,User,NllDNllRes(DN)lET.llET,),构造结点认证响应 消息NlIIDlRes(DN)lIETllETllMC 发送给User,其中,Res(DN)=True表示Ac 对DN鉴别成功,ID是DN的身份标识,H为单向哈希函数,E为对称加密算法; User收到AC的结点认证响应消息后,首先判断询问N是否是User选择的询问,若不是,丢 弃该响应消息;若是,根据MIC 判断消息的完整性;若不完整,丢弃该消息;若完整,User根 据ReD)判断N的合法性,若R(D)-Falwre,表示N非法.,Ue行终止切间;若Re DN)=True,User解密消息中的ET,,产生询问N,连同DN的询问N，以及User的访问请 求QUser利用刚才解密后获得的、与目的访问结点间的会话密钥KDN,User计算ET 25
GB/30269.601一2016 E(KDN,User,NlIN,llQUser),计算消息鉴别码MC=H(KDN,User,ETlET),构造 访问请求消息ET,llET,llMIC发送给DN,其中,H为单向哈希函数,E为对称加密算法; DN收到User的访问请求后,首先解密ET,获得会话密钥KDN,User,根据MIC，判断消息 完整性,若不完整,终止访问;若完整,利用KDN,User解密ET,,判断解密后得到的询问N 是否DN选择的询问 N,若不是,终止访问;若是,再确认解密ET 后获得的IDUser是否请 求访问的User的身份标识,若不是,终止访问;若是,记录当前时刻TC,从TC到(TC+TV 这段时间即为User的访问有效期,用户只能在此有效期内访问网络数据,DN根据ACLUser 判断User的访问请求QUser是否合法,若不合法,终止访问;若合法,生成应答数据RDN,连 同N，利用KDN,User计算ET，=E(KDN.User,NllRDN),计算消息鉴别码MIC H(KDN,User,ETe),构造访问请求响应消息ET,MIC发送给User,其中,H为单向哈希 函数,E为对称加密算法; User收到请求响应消息后,首先根据MIc判断消息完整性,若不完整,丢弃该消息;若完整 利用KDN,Uer解密ET,,判断解密得到的询问N，是否是User选择的询间N,,若不是,丢 弃该消息;若是,Uer保存应答数据RDN,后续Uer与DN之间的访问请求和应答数据均利 用KDN,User加以保护 B.5移动用户访问控制机制 本机制是一种既适用于传感器网络对移动用户的访问控制也适用于对静止用户的访问控制的传感 器网络访问控制机制 该机制适用于移动用户的传感器网络访问控制 下述ACS表示访问控制服务器,ACL表示访问控制列表 a)ACs构造ACI以及用户身份信息,并在用户访问网络之前进行协议初始化 1)ACS构造ACL,该ACI包括U_I字段,ADT字段、VP字段、A1字段,其中 U_ID字段;用户的身份标识 ADT字段;用户被授权访问的数据类型 VP字段;用户被授权访问网络的期限; AI字段;用于认证用户身份的认证依据 在构造ACL后,ACS对用户进行注册,注册过程如下;ACS根据网络用户的身份标识U ID确定该用户能够访问的网络数据类型ADT和访问期限VP,构造该用户的身份证明以 及用于认证该身份证明的认证依据AI,并将U_ID,ADT,VP,AI作为新条目字段插人 ACL列表中,记做ACLU_ID; 用户访问传感器网络之前,先向ACS发送身份证明请求信息;收到身份证明请求信息后 如果该用户已注册,ACS将事先为该用户构造的身份证明发送给该用户,并将ACL列表 中与该用户U_ID对应的,包括ADT,VP,AI用户访问控制信息的ACLU_ID以认证的 方式发送给所有网络结点,结点在用户的有效期VP之前保存这些信息;如果用户未注 册,ACS直接丢弃用户的身份证明请求信息 b用户访问网络时,由网络中用户的单跳通信区域内的所有结点构成临时访问控制网关对用户" 进行认证,用户认证成功后,通过预测用户将要到达的位置,将认证成功的消息扩散到用户的 下一个临时访问控制网关中的结点 1用户访问网络时,由传感器网络中用户的单跳通信区域内的所有结点构成临时访问控制 网关对用户进行访问控制,临时访问控制网关根据用户的移动不断变化;用户向临时访问 控制网关发送自己的身份证明,收到用户的身份证明后,临时访问控制网关中的所有结点 先判断是否保存有与该用户对应的ACLU_ID信息,如果存有该信息,表明该用户处于有 26
GB/T30269.601一2016 效期内,根据ACLU_ID中的用户AI信息对用户的身份证明进行认证,如果认证成功,则 投PAsS票,并向临时访问控制网关内的所有结点间进行广播,如果网关中的结点收到的 PAsS票数等于或超过一个阀值P,则表示用户认证成功,其中该阀值P由网络所有者自 定义;如果用户不在有效期内,或用户在有效期内但身份认证失败、或用户在有效期内且 身份认证成功但PASS票数低于阀值P,均表示认证失败,网络终止该用户的访问 认证成功后,临时访问控制网关中的结点根据用户的运动方向,运动速度等对！时间后用 户将要到达的位置进行预算,并在时间后根据位置预算结果将用户认证成功的消息发 送给下一个临时访问控制网关,即当前临时访问控制网关内的结点;如果用户仍处于有效 期VP内,则当前临时访问控制网关仍然承认用户的合法性,并在经过时间后,将认证 成功消息发送到下 目标区域,即临时访问控制网关内;在用户访问网络的整个过程 中,临时访问控制网关中的结点不断的根据用户的运动方向,运动速度等对用户将要到达 的位置进行预算,并将用户认证成功的消息扩散到用户将要到达的位置;认证成功消息利 用结点间预设的安全通道在网络中进行传输 临时访问控制网关对用户的访问进行授权管理 用户获得认证后,用户将访问请求Q连同用户的UID以安全的方式发送给临时访问控 制网关中的结点 临时访问控制网关内的结点收到用户的访问请求Q后,首先判断用户是否处于有效期 如果处于有效期,根据ADT信息判断用户访问请求Q的合法性,如果合法,则将访问请 求Q连同用户的U_ID以安全的方式发送给用户的目的访问结点,目的访问结点是传感 器网络中的任意结点,该结点将始终认为由临时访问控制网关转发的访问请求Q是合法 的,并将根据访同请求Q做出响应,授权过程结束;如果用户不在有效期内或用户在有 效期内但访问请求Q不合法,结点将直接丢弃用户的访问请求Q,终止该用户的访问 27

信息技术传感器网络第601部分：信息安全

随着信息化时代的到来，信息技术在人们生活和工作中的作用越来越重要。而传感器网络作为信息技术的重要应用之一，不仅可以广泛应用于农业、环保、交通等领域，同时也具有很高的潜在商业价值。但是随着传感器网络规模的扩大，信息安全问题也日益凸显。 为了规范传感器网络的信息安全标准，中国国家标准化委员会制定了《信息技术传感器网络第601部分：信息安全：通用技术规范GB/T30269.601-2016》。该规范主要从以下几个方面进行了详细的规定： 1. 安全基础要求：包括传感器节点的身份认证、访问控制、数据保密性、完整性和可用性等方面的要求。其中，身份认证是保证传感器节点可信的基础，访问控制则是实现安全访问的关键。 2. 安全通信要求：包括传感器网络数据的加密传输、数据签名等方面的要求。其中，加密算法的选择和使用十分关键，需要根据具体应用场景进行权衡。 3. 安全管理要求：包括传感器网络的监控、日志记录、事件响应等方面的要求。其中，日志记录是保障信息安全、追踪攻击来源的重要手段之一。 总的来说，该规范从多个维度对传感器网络的信息安全进行了详细的规定，为传感器网络在大规模应用中保驾护航。同时，该规范也为传感器网络的研究和开发提供了标准化的指导，有助于推动传感器网络的进一步发展。

信息技术传感器网络第601部分：信息安全：通用技术规范的相关资料

和信息技术传感器网络第601部分：信息安全：通用技术规范类似的标准