YDB 2012018

图2为智能家居终端设备安全能力框架图，主要包括7个部分，最底层是智能家居终端设备硬件安全 能力，之上为操作系统安全能力，再上为应用层安全能力和外围接口安全能力，最顶层为无线通信安全 能力，能耗保护安全能力及用户数据保护安全能力涉及以上各个层面。

4.3.1智能家居硬件安全目标

照度标准图2智能家居终端设备安全能力框架图

智能家居硬件安全目标是在芯片级保证设备存储及处理芯片安全，避免芯片内的操作系统、 序等被非法获取或者算改。

4.3.2智能家居操作系统安全目标

系统安全目标是达到操作系统对系统资源调用的监控、保护、提醒，确保涉及安全的系统行为 控的状态下，不会出现用户在不知情情况下某种行为的执行，或者用户不可控的行为的执行。 系统还应保证自身的升级是受控的

YDB 2012018

4.3.3智能家居外围接口安全目标

4.3.4智能家居应用层安全目标

应用层安全目标是要保证智能家居终端设备对要安装在其上的应用软件可进行来源的识别，对已经 安装在其上的应用软件可以进行敏感行为的控制。另外还要确保预置在智能家居设备中的应用软件无损 害用户利益和危害网络安全的行为，例如：未经授权敏感信息采集、越权数据操作、向外传送用户数据 等行为。

4.3.5智能家居无线通信安全目标

无线通信安全目标是要保证智能家居终端设备采用wifi或者Zigbee、蓝牙等无线协议在网内传输的 数据应采用必要数据加密和完整性校验等手段进行安全防护，且加密算法强度应满足国家相关规范，防 止认证、标识、口令、隐私等敏感数据在无线传输过程中被获取甚至篡改。同时，网关设备端无线热点 应具有相应的身份鉴别能力，避免非授权的终端设备接入

4.3.6智能家居用户数据保护安全目标

用户数据保护安全目标是要保证 安全存储，确保用户数据不被非法访问、不被非法获取 数据的可靠恢复

4.3.7智能家居终端设备能耗保护安全目标

终端设备能耗保护安全目标是要保证终端电池的正常、稳定消耗，避免由于外部的蓄意攻击而导致 电池非预期耗尽

智能家居网关设备基本配

智能家居网关设备基本配置应满足如下要求： a) 应支持NAT穿越功能，支持防火墙功能； b) 应支持智能家居应用设备的注册和管理； C 应支持智能家居应用设备运行状态收集上报，如设备标识、位置信息、固件版本、系统版本、 网络类型、用户信息等； d 应支持对接入的应用设备，实现软件升级、固件更新、远程维护及配置管理等功能； e) 应支持对接入的应用设备，实现故障管理、性能管理、配置管理等功能； 应支持对接入的应用设备进行注销、禁用和锁定管理，当接入设备丢失时，登录、访问等敏感 数据应被自动擦除，防止恶意利用

5.1.2智能家居控制设备基本配置要求

能家居控制设备基本配置应满足如下要求： 应支持与服务端之间的通信认证和密钥协商

b）应支持与智能家居网关之间的接入认证功能； c）使用移动智能终端作为智能家居控制设备的，应符合YD/T2407标准。

5.1.3智能家居应用设备基本配置要求

应支持与智能家居网关之间的接入认证功能，

5.2.1硬件功能安全

YDB 2012018

5.2.2硬件设计安全

硬件设计安全应满足如下要求： a 硬件内部模块的安全属性和芯片间通信协议等安全敏感实现应不存在设计原理上的缺陷，例如 由于随机数的随机性较差而导致的弱密钥等； D 密码算法的安全性应符合国家密码管理局的相关要求，密钥的产生、分发、使用、存储、销毁 应有相应安全保障机制。

5.2.3硬件容错能力

硬件容错能力应满足如下要求： a）应具备容错能力，能够防御由针对芯片的差分错误、故障代数等故障注入攻击所导致的功能失 效； b）应关闭不必要的下载、调试端口

5.2.4抗物理攻击能力

应具备抗物理攻击能力，防止物理攻击导致的信息泄漏。物理攻击手段包括但不限于非侵入式攻击、 半侵入式攻击和侵入式攻击。

5.3.1设备接入控制能力

设备计人控制能力应满足如下要求： a 智能家居终端设备应具备身份鉴别和接入认证能力。避免由于非法设备的接入，而导致的敏感 数据泄露、功能异常或失效。 b) 设备所使用的密码算法应该符合国家密码主管部门的相关规定： C 密钥协商数据的加密保护应采用非对称密码算法（如SM2），报文数据的加密保护应采用对称 密码算法（如SM1或SM4）； 智能家居网关设备应具备带宽控制功能并应采用安全路由协议，防止虚假路由、选择性转发、 洪泛攻击等所导致的应用设备失效或可用性延迟； e 智能家居网关设备应支持对控制设备的账户注册、管理、修改、绑定、非法接入报警等功能。

5.3.2应用程序安装

YDB 2012018

如果智能家居终端设备支持对未经认证签名的软件下载和安装，在进行应用软件安装前应能对应用 软件的签名进行验证。

5.3.3应用程序启动

应能防止未经授权或认证的的应用软件启动

5.3.4防火墙抗逃逸

5.3.5安全日志记录及审计控制

安全日志记录及审计控制应满足如下要求： a）应支持对设备访问操作、设备状态变化及用户违规行为等事件的审计日志功能，审计日志应记 录事件发生的时间、对象、描述和结果等； b）应支持审计日志查阅和访问控制能力，且具有循环机制，避免因为日志满而遗漏新事件记录。

5.3.6可信更新机制

操作系统更新时应能够对更新来源进行鉴别，并对更新文件进行完整性校验，具有原始数据备份能 力，能够进行必要的回滚操作，避免更新失败导致系统失效。

5.3.7安全防护能力

安全防护能力应满足如下要求： a）应支持对病毒、木马的查杀，拦截恶意软件的攻击； b）应支持对系统漏洞的修复； C）应支持系统补工的升级

5.4.1应用软件签名认证机制

应用软件签名认证机制应满足如下要求： 支持对未经认证签名的应用软件下载和运行的智能家居终端设备，在进行应用软件安装时应能 够识别应用软件的签名状态，并能够根据签名状态给用户相应的提示。 b） 如果智能家居终端设备所下载和运行的应用软件采用认证签名机制，在此情况下，未经过认证 签名的应用软件仅当用户进行确认后才能执行下一步操作，

5.4.2预置应用软件安全要求

预装应用软件不应存在后门等隐藏接口，不应存在高危已知漏洞，不应含有非授权收集或泄露用户 信息、非法数据外传等恶意行为。

5.5外围接口安全能力

5. 5. 1Web 界面安全

Web界面安全应满足如下要求： a）应采用https等安全传输协议，保证web访问传输安全：

YDB 2012018

6）设备外围接口所提供的web界面不应存在已知高危漏洞，应具备防止绕过攻击能力，导致未经 授权的访问。

身份签别应满足如下要求： 应提供专用的登录控制模块对登录用户进行身份标识和鉴别； b) 应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标 识，身份鉴别信息不易被冒用； 应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施： 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理 功能，并根据安全策略配置相关参数： 应支持对异常登录行为的审计功能

5. 5. 3 访问控制

应实现用户权限最小化管理，使用分权原则，避免发生权限被滥用等现象的发生。

5. 5. 4 端口安全

端口安全应满足如下要求： a）不应存在未经声明的外围端口。 b）设备网络端口不应泄露敏感Banner信息，防止攻击者获取后降低攻击难度。

5.6无线通信安全能力

5. 6. 1 协议一致性

所采用WLAN、蓝牙、ZigBee等无线通信协议应支持设备授权认证、加密传输等安全扩展功能 全相关部分应正确实现与国家相关标准 一致

5. 6.2协议健壮性

传输保密性应满足如下要求： a）智能家居网关、控制设备与服务端三者之间数据应加密传输： b）所采用加密算法，应符合国家相关标准规范，不能使用已被证实安全风险较高的加密算法，如 WEP等； c）相关传输加密功能应默认开启。

邮政标准5.7用户数据保护安全能力

用户数据保护安全能力应满足如下要求： 智能家居终端设备对用户数据的收集通常应在提供相应服务的同时进行。若出于业务需要而必 须事先收集相关数据，应向用户明示事先收集的目的和范围，并且只有在用户同意的情况下方 可继续。应向用户提供关闭数据采集功能，在执行此类操作前，应首先对用户身份进行认证：

YDB 2012018

b 智能家居终端设备在将位置、健康等用户数据存储在终端内部时，应为保存数据的文件设置适 当的权限，以防止未授权的访问。存储生物特征等敏感数据时，应采用加密形式保存： 智能家居终端设备只有在提供基于位置的服务、通信视频或其它合理的服务场景，且相关服务 的有效实现需要联网支撑的情况下，才可通过网络将相关数据转移至终端外部。数据的转移应 按需进行，若服务的目的已达成，则应立即停止转移； 智能家居终端设备若通过公共网络传输用户数据，应对数据进行加密，确保信息在网络传输过 程中的安全： e 智能家居终端设备不应有未向用户明示且未经用户同意，擅自修改用户数据的行为。若将用户 数据存储在终端内部，智能家居终端设备应提供相应选项，允许用户修改或彻底删除已存储的 用户数据。

林业标准5.8能耗保护安全能力

应具备抗能耗攻击能力，避免由于恶意的能耗攻击，而导致终端电池快速耗尽，而功能失效。