卜宏澤，程儒，胡湘洪，彭琦

（1.工業(yè)和信息化部電子第五研究所，廣東 廣州 511370；2.智能產(chǎn)品質(zhì)量評價與可靠性保障技術(shù)工業(yè)和信息化部重點實驗室，廣東 廣州 511370）

0 引言

近年來，在智能化技術(shù)、互聯(lián)網(wǎng)技術(shù)等技術(shù)的推動下，智能家電行業(yè)得到了蓬勃的發(fā)展，家用電器不再僅作為單一功能產(chǎn)品出現(xiàn)在家庭使用場景中[1-5]。智能化家電更加網(wǎng)絡(luò)互聯(lián)化、功能集成化，通過公共網(wǎng)絡(luò)進行遠程通信已經(jīng)成為許多智能家電的基本功能單元。但是，隨之而來的安全挑戰(zhàn)[1]也正威脅著家電向互聯(lián)互通、智能化方向的發(fā)展，國內(nèi)外通過聯(lián)網(wǎng)家電竊取用戶個人敏感信息的事件層出不窮，家電行業(yè)為應(yīng)對互聯(lián)互通和智能化的發(fā)展趨勢亟需完善和出臺相關(guān)標準和技術(shù)規(guī)范。

國際電工委員會（IEC）于2020年9月發(fā)布了家用和類似用途電器的安全標準IEC 60335-1：2020（6.0版）[6]，相比于之前的5.2版本[7]，IEC在新的規(guī)范標準附錄U中引入了網(wǎng)絡(luò)安全要求，以避免未經(jīng)授權(quán)的訪問，以及通過公共網(wǎng)絡(luò)進行遠程通信受到傳輸故障的影響。

1 IEC 60335-1中22章62條的要求

在第22章第62條中，對通過公共網(wǎng)絡(luò)遠程通信器具的結(jié)構(gòu)進行了要求，規(guī)定了通過公用網(wǎng)絡(luò)進行的遠程通信不得影響對IEC 60335-1標準的符合性。這一要求只適用于如下范圍。

a）包括為符合22章46條要求，根據(jù)規(guī)范性附錄R采取的措施，或者為符合IEC 60335-1標準第8～32章要求而采取的必要措施。

b）包括軟件下載或數(shù)據(jù)交換的遠程通信，其僅影響上述情況a）中由于軟件或數(shù)據(jù)劃分或分區(qū)不當(dāng)而未涵蓋的軟件部分。對于符合本標準所有不依賴于軟件的措施，通過公用網(wǎng)絡(luò)只進行數(shù)據(jù)發(fā)送，或僅提供事件驅(qū)動消息或推送遠程監(jiān)控，不在要求的適用范圍內(nèi)。

標準對上述適用范圍進行了舉例說明，例如：在第11章中用于調(diào)節(jié)或限制最大正常溫升時使用的包括常數(shù)、算法和定時器或下載的軟件、參數(shù)集。在適用范圍內(nèi)提到的22章46條，要求符合本標準的可編程保護電子電路的軟件部分應(yīng)該是包含附錄R中表R.1中規(guī)定的故障/錯誤條件的措施的軟件。具體地說，在軟件評估方面附錄R中的R.2.2.5和R.2.2.9分別闡述了對于擬通過公共網(wǎng)絡(luò)進行遠程通信的器具，若第22.62節(jié)確定規(guī)范性附錄U適用，則應(yīng)在不符合規(guī)范性附錄U之前檢測到故障/錯誤，同時在公共網(wǎng)絡(luò)遠程控制下的軟件和安全相關(guān)硬件應(yīng)初始化并在不符合規(guī)范性附錄U之前終止。

也就是說，除非完全不依賴軟件，或者不通過公共網(wǎng)絡(luò)收發(fā)數(shù)據(jù)以完成遠程控制操作的措施，其余條件下一旦使用公用網(wǎng)絡(luò)進行遠程操作均必須依照標準進行檢查，審核技術(shù)文檔，并按照最新版標準中附錄U的要求測試合規(guī)性。

2 附錄U關(guān)于公共網(wǎng)絡(luò)遠程通信設(shè)備

與上一版本Ed.5.2相比，6.0版本的標準IEC 60335-1在附錄部分添加了一整章作為對通過公共網(wǎng)絡(luò)進行遠程通信的設(shè)備進行規(guī)范性要求。依照第22章62條，通過附錄U的技術(shù)要求以避免器具在利用公共網(wǎng)絡(luò)進行遠程通信時遭受未經(jīng)授權(quán)訪問和傳輸失敗問題的威脅和影響。例如：規(guī)范中要求采用加密算法對傳輸消息進行加密以防止傳輸過程中被篡改從而保護了數(shù)據(jù)的完整性，而我國現(xiàn)行的國家標準GB/T 28219—2018和GB/T 38052.3—2019同樣對智能家用電器在互聯(lián)互通過程中的信息安全問題提出了相適應(yīng)的技術(shù)要求[8-9]。本附錄未涵蓋關(guān)于數(shù)據(jù)和消費者隱私方面的保密性問題。

2.1 技術(shù)要點

首先，通信雙方需要確認發(fā)送或接收消息的實體是其聲稱的身份。接下來，對已經(jīng)驗證身份的實體授予訪問信息、功能和服務(wù)的必需權(quán)限。在通信建立的期間，需要利用加密技術(shù)保護數(shù)據(jù)的安全，確保數(shù)據(jù)的完整性，以避免惡意篡改和數(shù)據(jù)丟失的情況出現(xiàn)。

在當(dāng)前的通信協(xié)議結(jié)構(gòu)中，大多數(shù)應(yīng)用層協(xié)議和傳輸層協(xié)議本身均不具備加密安全策略，因此往往需要在兩者之間嵌套傳輸層安全性協(xié)議（TLS：Transport Layer Security）及其前身安全套接層協(xié)議（SSL：Secure Sockets Layer），其網(wǎng)絡(luò)結(jié)構(gòu)模型如圖1所示。

圖1 嵌套傳輸層安全性協(xié)議的網(wǎng)絡(luò)結(jié)構(gòu)模型

目前傳輸層安全性協(xié)議已發(fā)展到了TLS 1.3版本。在協(xié)議中支持了多種非對稱加密算法和哈希算法，通過數(shù)字證書在握手過程中確認雙方身份，利用加密技術(shù)保證數(shù)據(jù)通信過程的安全性。因此國家標準GB/T 38052.3—2019在6.5節(jié)對于智能家電在互聯(lián)互通過程中的通信安全問題提出了相應(yīng)的安全策略要求，要求使用包括TLS、IP驗證、數(shù)字簽名和用戶身份驗證等安全技術(shù)方案中的一種或多種，以保證數(shù)據(jù)和信息的機密性、完整性、可用性和不可否認性。

另外，如果有軟件下載的請求，則應(yīng)該說明如何或在何處獲得制造商給出的唯一名稱或代碼，該名稱或代碼標識設(shè)備中運行軟件的當(dāng)前版本。這些說明還應(yīng)包括用戶在軟件更新過程中必須遵循的必要步驟。

2.2 結(jié)構(gòu)的要求

首先，需要將能夠與公共網(wǎng)絡(luò)通信的軟件劃分為與符合本標準其他要求所需的軟件分開的模塊。這是為了避免遠程通信時發(fā)生的錯誤危害到其他軟件部分對標準的符合。

其次，與外部進行遠程通信的過程中需要設(shè)備通過軟件來建立，實施和中止遠程通信。因此軟件評估將作為重要環(huán)節(jié)，軟件需要提供以下功能：

1）數(shù)據(jù)完整性保護；

2）檢測并響應(yīng)由于某種原因，包括通信消息不完整、被截斷、包含錯誤或具有正確格式但傳遞信息超出該類型消息預(yù)期范圍的通信；

3）控制表R.1中規(guī)定的故障/錯誤條件的措施。

其中，數(shù)據(jù)完整性保護涉及的方面包括數(shù)據(jù)損壞、地址損壞、錯誤的時間或者順序、持續(xù)進行的“自動發(fā)送”或者重復(fù)，以及數(shù)據(jù)中斷傳輸。以上內(nèi)容需要通過視檢和測試R.3.2.2中的軟件體系結(jié)構(gòu)并根據(jù)R3.3來評估軟件以檢查其是否合格。

在通信過程中應(yīng)提供措施以防止由于同時或順序接收來自多個來源的消息而引起的危害。這里涉及到的是互聯(lián)網(wǎng)攻擊中經(jīng)常出現(xiàn)的分布式拒絕服務(wù)攻擊（DDoS：Distributed Denial of Service），通過對源IP進行偽造，處于不同位置的多個攻擊方對同一目標或者多個目標同時發(fā)動網(wǎng)絡(luò)攻擊。由于攻擊方的隱蔽性非常好，造成了對攻擊行為的檢測十分困難。在物聯(lián)網(wǎng)體系中的各個家電設(shè)備一旦通過公共網(wǎng)絡(luò)進行遠程通信，同樣會面臨DDoS攻擊的風(fēng)險，對設(shè)備的安全性和用戶人身財產(chǎn)的安全和個人隱私都將造成巨大的威脅。常用的防御措施包括綜合設(shè)計系統(tǒng)的安全體系，設(shè)計安全規(guī)則對所有的出入數(shù)據(jù)包進行過濾，優(yōu)化路由及網(wǎng)絡(luò)結(jié)構(gòu)。

關(guān)于授權(quán)和認證問題，附錄U要求授權(quán)前不得啟用遠程通信。授權(quán)應(yīng)基于認證，認證過程應(yīng)使用加密技術(shù)來確保雙方的身份。也就是說，器具通過公用網(wǎng)絡(luò)與服務(wù)器進行遠程通信前需要按照安全策略與服務(wù)器進行握手，在握手過程中雙方確定使用何種加密算法，器具通過服務(wù)器發(fā)來的數(shù)字證書以核驗身份，服務(wù)器使用私鑰對器具發(fā)送的加密數(shù)據(jù)進行解密。在加密條件下，雙方完成握手過程，確認身份并完成數(shù)據(jù)訪問、服務(wù)授權(quán)，在安全條件下進行數(shù)據(jù)收發(fā)。出于此要求的目的，兩個實體之間用于準備身份驗證和授權(quán)過程的通信不視為遠程通信。一旦遠程通信的授權(quán)被建立，保護數(shù)據(jù)完整性的加密技術(shù)就需要立即生效。所采用的加密技術(shù)應(yīng)為設(shè)備（包括其附件）的一部分，而不依賴于路由器或類似數(shù)據(jù)傳輸設(shè)備本身的一部分，并應(yīng)在傳輸之前進行。

表1列出了部分通過公共網(wǎng)絡(luò)進行遠程通信時面臨的威脅，以及為應(yīng)對未經(jīng)授權(quán)的訪問和遠程通信中的傳輸故障/錯誤可以采用的措施。其中，序列號是附加在數(shù)據(jù)包中的數(shù)據(jù)字段，包含了按預(yù)先定義方式依據(jù)消息順序標定的數(shù)字；時間戳是指格林威治時間1970年1月1日00時00分00秒（北京時間1970年1月1日08時00分00秒）起至現(xiàn)在的總秒數(shù)，由消息發(fā)送者附加在消息上的有關(guān)傳輸時間的信息；超時是指兩條消息之間的延遲超過了預(yù)先定義的允許最大時間，被認為存在錯誤；反饋信息通過返回通道從接收者到發(fā)送者的響應(yīng)，一般指數(shù)據(jù)接收方響應(yīng)的返回碼；消息來源方和目標方應(yīng)具有唯一的身份標識，分配給每個實體的標識符可以是名稱、數(shù)字或任意位模式。此標識符將用于安全相關(guān)的通信。通常標識符被添加到用戶數(shù)據(jù)中。例如：在GB/T 38052.1—2019中定義的用戶唯一標識碼、家電唯一標識碼和平臺唯一標識碼等就是采用了這樣的身份安全策略[10]；收發(fā)消息中的數(shù)據(jù)應(yīng)包含安全代碼，這是一段包含安全相關(guān)信息中的冗余數(shù)據(jù)，允許安全相關(guān)傳輸功能檢測數(shù)據(jù)損壞。

表1 防止未經(jīng)授權(quán)的訪問和傳輸故障/錯誤模式的可接受措施的示例

器具的安全操作不應(yīng)該依靠遠程操作。也就是說，雖然器具的報警信息可以通過公共網(wǎng)絡(luò)進行同步，但是觸發(fā)安全措施的過程不應(yīng)該依賴遠程操作，判斷安全問題出現(xiàn)并響應(yīng)相關(guān)措施的過程應(yīng)該在器具本地完成，同時也不允許使用公共網(wǎng)絡(luò)進行遠程復(fù)位等操作。

對于涉及公共網(wǎng)絡(luò)通信的軟件部分，附錄U也提出了相關(guān)要求。首先，應(yīng)采取措施確保制造商通過遠程通信傳輸提供給器具的軟件更新在安裝前得到驗證，以避免通信中出現(xiàn)數(shù)據(jù)損壞、推送的軟件版本與設(shè)備不兼容等問題，防止由于軟件更新造成器具失效或帶來更嚴重的安全風(fēng)險。

此外，執(zhí)行上述檢查的軟件應(yīng)包含控制表R.1中規(guī)定的故障/錯誤條件的措施。根據(jù)規(guī)范性附錄R的相關(guān)要求，評估軟件和制造商版本管理文件，以檢查合規(guī)性。用戶應(yīng)被允許在設(shè)備中安裝軟件，并被允許激活啟用自動軟件更新的模式。在安裝期間或之后，軟件的安裝不得損害對本標準要求的符合性。通過檢查描述許可程序的技術(shù)文件或通過功能測試檢查合規(guī)性。

3 結(jié)束語

隨著家用電器互聯(lián)互通的程度增加，家電在公共網(wǎng)絡(luò)進行遠程通信時面臨的威脅逐漸嚴重。IEC 60335-1在這一最新版本中明確規(guī)定了軟件在利用公共網(wǎng)絡(luò)進行遠程通信時需要采取的措施以應(yīng)對來自未授權(quán)訪問和傳輸失敗的威脅。這對智能家電互聯(lián)互通化發(fā)展有著重要的指導(dǎo)性作用，為開發(fā)者們在信息安全方面的設(shè)計提供了指導(dǎo)，與此同時行業(yè)相關(guān)的檢測工程師也需要進一步地學(xué)習(xí)并掌握這方面的檢驗和評價方法。