T/CHEAA 0001.2—2020

重放攻击replayattack

以下缩略词适用于本文件。 SM4：分组密码算法（BlockCipherAlgorithm） SM3：密码杂凑算法（CryptographicHashAlgorithm） AES：高级加密标准（AdvancedEncryptionStandard）

T/CHEAA 0001.2—2020

建筑安全管理图1云云互联整体架构

a TLS安全：各云平台之间的通讯接口均应采用TLS安全机制，应使用不低于1.2的安全 版本。同时需要通过各自的证书进行双向认证或单向认证，只允许证书校验通过后，才 能完成请求， 证书安全：各云平台均应向证书认证机构（CA）申请证书或通过特定组织统一自建证书， 并在云平台上部署证书。证书有效期不超过24个月

5.1.2身份鉴别和授权

5. 1.2. 1 平台登录接口

a）标识符安全：各云平台的唯一标识符PlatID应满足随机性。 b）令牌自身安全：各云平台的身份令牌AuthToken应根据PlatID和时间戳、随机数等计 算得出，应通过SM3或HMAC等Hash函数算法生成，长度不应低于16字节

T/CHEAA 0001.2—2020

5.1.2.2访问令牌管理

令牌访问安全：完成身份鉴别后，A平台应通过AuthToken提交获取访问令牌 AccessToken的请求，B平台下发给A平台访问令牌AccessToken、更新令牌 RefreshToken和AccessToken的有效时长，A平台所有的请求都应在有效时长内，且包 含该AccessToken才能正常请求。 注：AccessToken和RefreshToken，分别用来做请求和刷新的token。 令牌自身安全：AccessToken和RefreshToken应根据PlatID和时间戳、随机数等计算 得出，应通过SM3或HMAC等Hash函数算法生成，长度不应低于16字节。 令牌时效安全：AccessToken有效期不应超过2小时，过期或登出操作后应自动销毁 RefreshToken有效期不应超过30天，过期或登出操作后应自动销毁。 令牌更新安全：应主动更新AccessToken，应使用RefreshToken进行请求更新， RefreshToken应仅可使用一次，更新一次AccessToken后，RefreshToken也应进行更 新

令牌访问安全：完成身份鉴别后，A平台应通过AuthToken提交获取访问令牌 AccessToken的请求，B平台下发给A平台访问令牌AccessToken、更新令牌 RefreshToken和AccessToken的有效时长，A平台所有的请求都应在有效时长内，且包 含该AccessToken才能正常请求。 注：AccessToken和RefreshToken，分别用来做请求和刷新的token。 令牌自身安全：AccessToken和RefreshToken应根据PlatID和时间戳、随机数等计算 得出，应通过SM3或HMAC等Hash函数算法生成，长度不应低于16字节。 令牌时效安全：AccessToken有效期不应超过2小时，过期或登出操作后应自动销毁 RefreshToken有效期不应超过30天，过期或登出操作后应自动销毁。 令牌更新安全：应主动更新AccessToken，应使用RefreshToken进行请求更新， RefreshToken应仅可使用一次，更新一次AccessToken后，RefreshToken也应进行更 新。

5. 1.2. 3 授权

平台的访问权限控制应包含但不限于能够根据平台账号分配最小、仅必要的权限的功 能。

5.1.3.1数据传输

1）需进行数据传输的平台之间进行身份鉴别后，各厂商之间应相互下发密钥以加密个人敏 感信息。 例如：A厂商的APP通过A厂商的云请求控制B厂商的云，需要拿到B厂商下发的动态密钥，进行数 据加密。 2 各商云平台之间共享的数据，如果涉及个人敏感信息，需要分发密钥，用来加密传输 密钥有效期60分钟。 3 密钥应保证随机性，应结合用户ID，以及时间戳和随机数的哈希函数生成128比特及 以上字符串。 4 每次用户登录鉴别后，应下发最新密钥，废弃旧密钥。用户登出操作后，也要废弃旧密 钥。 5） 密钥应使用SM4或AES等加密算法加密存储，

1）个人敏感信息传输前应使用动态获取的加密密钥加密

1）个人敏感信息传输前应使用动态获取的加密密钥加密

加密算法应使用SM4或AES等加密算法。 3 涉及个人身份信息、密码和口令的传输应通过安全的Hash方式处理，应通过SM3或HMAC 方式进行加盐Hash。 其他个人敏感信息的传输应根据实际业务中的应用场景，视具体情况选择去标识化、匿 名化等处理方式。

表1个人敏感信息举例

5. 1. 3. 2 消息认证

a）防重放：对所有请求应有效手段防止重放攻击。 例：可采取时间戳均存储在缓存中，且仅一次性有效的策略，以防止重放的可能性。 时间戳安全：所有请求应携带毫秒级时间戳标记，时间的有效期设置为前后10分钟内 有效。 算法安全：应使用SM3或HMAC等算法对数据内容和所有接口字段进行校验，

5.1.3.3数据过滤

5.1.4错误信息处理

各云平台在云云对接过程中请求失败的情况下，应通过错误编码来表示错误类型，不应 暴露任何平台或用户的敏感信息。

5.1.5.1服务与系统安全

提供API的平台和对应的服务器，应执行系统和服务的加固，包括开放端口的白名单限

T/CHEAA 0001.2—2020

5.1.5.2风险评估与监控

各云平台应每年至少执行一次对云计算平台进行风险评估，确保云计算平台的安全风险 处于可接受水平。宜采取第三方机构进行风险评估、服务商安全监控预警等方式加强风险评 估能力，并共享评估结论。

日志系统部署：各云平台应具备自动化请求日志收集和审计系统，监控采集云端云云互 联互通业务相关的日志及网络流量，通过离线分析和实时分析两种方式识别并发现潜在 的网络攻击行为，及时预警并采取相应的应对措施。 日志内容：日志收集和审计系统中应包括API接口日志和其他相关业务的服务和流量日 志。日志中不应记录用户敏感数据信息。 审计系统安全：日志收集和审计系统应根据安全需求，制定可审计事件清单，明确审计 记录内容，实施审计并妥善保存审计记录，对审计记录进行定期分析和审查。同时应防 止非授权访问、纂改或删除审计记录。 日志保存时间：日志收集和审计系统的接口请求日志保存时间应不少于6个月。 异常日志处理：针对异常日志，应自动告警到相关运维人员并进行对应的分析和处理，

5.2安全事件协同管理

2.1安全事件的分类和

5.2.1.1安全事件分类

a）数据泄露事件：云云互联的数据出现泄露。 服务不可用事件：服务出现不稳定或者不可用情况，并且影响到云互联的其他厂商的事 件。 c）其他事件：除了上述事件以外的其他事件

5.2.1.2事件分级

特别重大事件：是指能够导致特别严重影响或破坏的信息安全事件。 重大事件：是指能够导致严重影响或破坏的信息安全事件。 较大事件：是指能够导致较严重影响或破坏的信息安全事件。 一般事件：是指不满足以上条件的信息安全事件。 注：事件详细说明请参考GB/Z20986

针对数据泄露事件，各云平台相互间的追责，基本依据是责任归属于直接导致数据泄露 的云平台或客户端所属的厂商。 针对服务不可用事件，应根据导致服务不稳定或不可用的节点判断，责任应归属于该节 点所有者平台。 在责任未明确的时候，双方应共同协商、承担并调查原因。在双方对于数据泄露事件无 法达成一致的情况下，应由独立的第三方介入调查。如调查无果，双方应共同承担责任。

5. 2.3.1 服务条款

a）云云互联企业双方的服务内容。 云云互联企业双方各自的权利和义务。 c）涉及用户数据、用户个人敏感信息，需要明确数据的所有权，使用权限。 保密条款，包括用户数据、用户个人敏感信息不允许主动向第三方披露等。 服务期限和终止，并且终止后双方对于信息安全的义务。 违约责任和免责条款。 注：云云互联双方签订的具有法律效应的服务条款应包含以上内容

5.2.3.2平台数据所有权说明

a）个人信息数据：个人信息所有权应归属于信息所标识的自然人，即使用物联网服务的实 际人用户。个人信息所有者应拥有信息数据的完全访问和控制权限，并且有权利要求 提供服务的厂商对其信息数据进行对应的操作。 匿名化数据：经过匿名化处理后的数据和信息，应归属于这些信息的提供者，即提供信 息的云平台主体。数据归属的云平台应具有对数据的完全访问和控制权限。 云平台与合作平台数据：云平台的用户数据和归属合作平台的数据，不能执行任何未获 用户授权的使用和披露，但是以下情形除外：在国家有关机关依法查询或调阅用户数据 时，平台具有按照相关法律法规或政策文件要求提供配合，并向第三方或者行政、司法 等机构披露的义务。

5.2.3.3平台数据使用权限说明

1）未在双方书面允许和用户授权的情况下，不允许向第三方披露个人信息。 2）只允许为提供或改进产品、服务的目的而与第三方共享。 3）不允许为第三方的销售目的而与第三方共享数据，更不允许销售共享数据。

1）用户有权申请删除其在双方平台交互过程中产生的个人数据。平台双方需要在7天内完 成数据删除 2）非个人数据，数据归属平台有权利要求共享平台对数据进行删除操作。 所有数据删除的操作，需要在企业内部有明确的流程和制度保障， 在服务终止后，必须安全删除通过云云互联接口同步过来的用户数据及用户个人敏感信 息。 5 对于已删除的个人数据，不能对其进行恢复操作

用户有权申请删除其在双方平台交互过程中产生的个人数据。平台双方需要在7天内完 成数据删除 非个人数据，数据归属平台有权利要求共享平台对数据进行删除操作。 所有数据删除的操作，需要在企业内部有明确的流程和制度保障。 在服务终止后，必须安全删除通过云云互联接口同步过来的用户数据及用户个人敏感信 息。 对于已删除的个人数据，不能对其进行恢复操作

1）对访问平台数据的用户进行唯一标识和鉴别。 对访问特权账号的数据访问实施多因子鉴别。 3）在允许访问数据前，对访问数据的方式进行授权。 实时监测非授权的访间控制连接，并在发现非授权连接时，采取恰当的对应措施

1）对访问平台数据的用户进行唯一标识和鉴别。 对访问特权账号的数据访问实施多因子鉴别。 3）在允许访问数据前，对访问数据的方式进行授权。 4）实时监测非授权的访问控制连接，并在发现非授权连接时，采取恰当的对应措施。

5.2.4明确责任部门和人员

b）接口人责任：应明确各云平台对接的安全接口人和备用接口人及其职责。

T/CHEAA 0001.2—2020

事件责任方：各平台协同诊断，认定安全事件和确认事件的责任方。 责任方职责：事件责任方应根据合作服务条款内的明细，在指定时间内抑制受害范围并 恢复业务服务。同时责任方应负责整个事件调查，并在事件处理结束后编写事件调查记 录，调查记录中应明确信息安全事件起因、受影响时间、追责过程、应急过程、故障解 决、事件复盘、改进措施等内容

义务和权利：云云互联任何一方应有义务和权利向各相关方通告详细的安全事件原因。 重大影响通告：如果因特别重大事件、重大事件或较大事件，而导致对业务可用性和稳 定性的影响时间超过1个小时，应按照与各相关方的服务条款进行事件的对外通告。 法律义务通告：需要向在有关事件响应的法律、法规和/或规章中要求的地方、省、国 家有关部门通告。在牵涉到法律强制的地方，事件责任方负责与法律强制部门的联络。

云云互联各相关方应对重大事件和 大事件进行持续的跟踪。责任方应给出相应的 改进措施，并通过管理手段或技术手段真实落地。

5.3对个人信息保护的特别要求

5.3.1数据生产和收集

5.3.1.1 基本原则

a）合法性：对各方的所有行为应进行合法要求，同时明确对应的法律责任。 1 信息主体授权：应通过有效的渠道获取信息主体的授权，不充许超过信息主体授权行为 以外的数据收集和操作。 用户权限保障：各方需要通过技术或管理流程让用户的权限能够得到有效的保障。 数据最小化：各方不应收集、存储、请求、提供、传递与服务无关的数据。 数据分类：应区分个人数据和平台信息数据。

5. 3. 1.2 用户权限

1）用户应能通过隐私条款等方式知悉信息收集主体及其所提供服务的基本情况。 用户应能通过隐私条款等方式知悉要收集的数据及这些数据的用途。 3 用户应能通过隐私条款等方式知悉其所享有的权利信息。 用户应能通过隐私条款等方式知悉数据共享、数据接收方的信息。 注：隐私条款模板应参考《GB/T35273一2020个人信息安全规范》的附录D。

当某位用户不选择上传数据或不同意隐私条款时，不应收集该用户的数据，同时仅可以 不提供该数据相关的服务，其他服务应照常提供。

5.3.2.1数据展示

各方应对需展示的个人信息采取去标识化处理等措施，以降低个人信息在展示环节的泄 露风险。

5.3.2.2数据审计

针对可能有风险的操作，比如A厂家要求删除其所有数据，需要进一步沟通和需要一定 的审批流程

销毁策略：各云平台应对平台内部的数据制定相应的安全销毁策略，包括云主机内部的 数据以及实体介质的数据。应明确记录数据销毁的过程以及对销毁过程进行全程记录和 监督。 法律责任：如果一方平台存在违约未销毁数据的行为，须依法承担违约责任。

6.信息安全技术评估方法

1）访谈安全管理员等相关人员，询问其是否有对云平台之间的通讯接口提供安全保护机 制，有则符合要求； 2）检查通讯接口安全保护机制说明文档或源代码，查看通讯接口是否使用了不低于TLS

T/CHEAA 0001.2—2020

1.2版本的通讯协议，是否通过证书认证对方身份，满足则符合要求； 3 测试云平台之间的通讯接口，验证其是否使用了不低于TLS1.2版本的通讯协议，是否 要求通过各自证书完成双向校验或单向校验后才能完成请求，满足则符合要求。 注里判宝

6.1.1.2 证书安全

1）访谈安全管理员等相关人员，询问其是否有对云平台之间通讯证书的管理机制，有则符 合要求； 检查证书管理机制说明文档，查看其是否使用了证书认证机构颁发的证书或特定组织统 的自建证书；查看证书的有效期是否在24个月以内，满足则符合要求。

6.1.2身份鉴别和授权

6. 1.2.1 平台登录接口

6.1.2.1.1标识符安全

咨询相关人员，检查源代码，查看生成唯一标识符PlatID的函数是否为安全的随机数 生成函数，满足则符合要求。

6.1.2.1.2令牌自身安全

咨询相关人员，检查源代码，查看其身份令牌AuthToken的生成方法，验证生成因子中 是否包含了PlatID、时间戳和随机数，使用的Hash算法是否为安全的Hash算法，长度是 否高于16位，组成因子是否包含了数字和字母，满足则符合要求；检查时间戳源代码，查 看时间戳的精度是否是毫秒级，是否采用了东8区（北京时间）的网络时间，满足则符合要 。

6.1.2.1.3令牌适用安全

T/CHEAA 0001.2—2020

制，使其仅适用于对接的领个平台，做了限制则符合要求； 2 测试云平台对接行为，验证PlatID和AuthToken的有效性是否仅限于对接的两个平台 满足则符合要求。

6.1.2.1.4身份校验

咨询相关人员，检查源代码，查看其是否对请求对接的云平台做了身份校验，满足则符 合要求； 测试云平台对接行为，验证数据流中是否双向或单向传输了身份鉴别信息，并尝试篡改 或伪造校验信息，观察身份校验能否会被拦截，满足则符合要求。

6.1.2.2访问令牌管理

6.1.2.2.1令牌访问安全

咨询相关人员，检查源代码，查看其是否定义了获取AccessToken的请求，是否根据收 到的AccessToken的有效时长做了有效性限制，是否在请求中包含了AccessToken参数， 满足则符合要求； 测试完成身份鉴别后的操作，查看平台是否提交了获取AccessToken的请求，是否收到 了对方发回的RefreshToken、AccessToken及其有效时长信息，满足则符合要求；测试 在定义的有效时长外能否正常请求，不包含AccessToken的请求能否被正常处理，不满 足则符合要求。

上述评估结果均符合要求则判定结果为符合，其他情况判定结果为不符合

6.1.2.2.2令牌自身安全

咨询相关人员，检查源代码，查看其AccessToken和RefreshToken的生成方法，确认 生成因子中是否包含了PlatID和时间戳、随机数，使用的Hash算法是否是安全的Hash算 去，长度是否高于32位，组成因子是否包含了数字和大小字母和特殊字符，满足则符合要 求。

上述评估结果均符合要求则判定结果为符合，其他情况判定结果为不符合。

别墅图纸6.1.2.2.3令牌时效安全

T/CHEAA 0001.2—2020

咨询相关人员，检查源代码，查看对AccessToken的有效期定义是否不超过2小时，在 超过规定时间或用户登出后对AccessToken是否做了自动销毁处理，满足则符合要求； 咨询相关人员，检查源代码，查看对RefreshToken的有效期定义是否不超过14天，在 超过规定时间或用户登出后对RefreshToken是否做了自动销毁处理，满足则符合要求； 测试AccessToken和RefreshToken的处理有效性，在获取到AccessToken和 RefreshToken后，退出登录。之后重新登录并在重新登录后将新的AccessToken和 RefreshToken替换为旧的数据，查看其请求是否能够被正常处理，不能够正常处理则 符合要求。

咨询相关人员，检查源代码，查看对AccessToken的有效期定义是否不超过2小时，在 超过规定时间或用户登出后对AccessToken是否做了自动销毁处理，满足则符合要求； 咨询相关人员，检查源代码，查看对RefreshToken的有效期定义是否不超过14天，在 超过规定时间或用户登出后对RefreshToken是否做了自动销毁处理，满足则符合要求； 测试AccessToken和RefreshToken的处理有效性，在获取到AccessToken和 RefreshToken后，退出登录。之后重新登录并在重新登录后将新的AccessToken和 RefreshToken替换为旧的数据，查看其请求是否能够被正常处理，不能够正常处理则 符合要求。

6.1.2.2.4令牌更新安全

果均符合要求则判定结果为符合，其他情况判定

咨询相关人员，检查源代码，查看是否主动的对AccessToken进行更新，对AccessToken 的更新请求中是否包含了RefreshToken参数，RefreshToken是否在使用一次后也进行 更新，满足则符合要求； 测试AccessToken和RefreshToken的更新有效性，在获取到AccessToken和 RefreshToken后，退出系统。之后重新登录并获取到新的AccessToken和RefreshToken， 对比两次的数据是否一致，一致则符合要求，

咨询相关人员，检查源代码，查看是否主动的对AccessToken进行更新，对AccessToken 的更新请求中是否包含了RefreshToken参数，RefreshToken是否在使用一次后也进行 更新，满足则符合要求； 测试AccessToken和RefreshToken的更新有效性，在获取到AccessToken和 RefreshToken后，退出系统。之后重新登录并获取到新的AccessToken和RefreshToken， 对比两次的数据是否一致，一致则符合要求。

上述评估结果均符合要求则判定结果为符合2018标准规范范本，其他情况判定结果为不符合。