犐犆犛犔中华人民共和国国家标准犌犅犜信息安全技术智能联网设备口令保护指南犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔犌狌犻犱犲狋狅狆犪狊狊狑狅狉犱狆狉狅狋犲犮狋犻狅狀犳狅狉犻狀狋犲犾犾犻犵犲狀狋犮狅狀狀犲犮狋犲犱犱犲狏犻犮犲发布实施国家市场监督管理总局国家标准化管理委员会发布犌犅犜目次前言范围规范性引用文件术语和定义缩略语概述账号安全账号生成账号使用账号管理日志口令安全口令生成口令使用口令管理日志用户安全附录资料性附录非设备本地鉴别方式参考文献犌犅犜前言本标准按照给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位杭州海康威视数字技术股份有限公司中国电子技术标准化研究院北京信息安全测评中心中国信息安全测评中心公安部第一研究所公安部第三研究所中国科学院信息工程研究所浙江大学国家工业信息安全发展研究中心国网浙江省电力有限公司大华技术股份有限公司阿里巴巴网络技术有限公司华为技术有限公司深圳联想懂的通信有限公司海尔集团美的智慧家居科技有限公司北京洋浦伟业科技发展有限公司杭州安恒信息技术有限公司北京未来安全信息技术有限公司北京天融信网络安全技术有限公司江苏省电力公司电力科学研究院本标准主要起草人王滨刘贤刚许东阳赵章界陈学明范科峰成金爱邸丽清韩煜刘继顺闫兆腾徐文渊王冲华姚一杨万里王星张军昌刘大鹏黄敏倪晓林茹昭张军刘明君陈兆全王英键李娜姚楠犌犅犜信息安全技术智能联网设备口令保护指南范围本标准给出了智能联网设备的账号和口令在生成管理和使用等方面的安全技术指南本标准适用于指导智能联网设备生产制造商安全设计和实现口令保护功能也适用于智能联网设备的口令安全使用的监督检查规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件信息安全技术术语术语和定义界定的以及下列术语和定义适用于本文件为了便于使用以下重复列出了中的某些术语和定义智能联网设备犻狀狋犲犾犾犻犵犲狀狋犮狅狀狀犲犮狋犲犱犱犲狏犻犮犲具有接入网络进行通信数据感知数据存储数据处理和人机交互能力的设备注主要是指物联网中的端设备包括网络摄像头智能家电网络机顶盒智能投影仪家用路由器等不包括计算机手机等通用计算设备口令狆犪狊狊狑狅狉犱用于身份鉴别的秘密的字短语数或字符序列注改写定义口令鉴别狆犪狊狊狑狅狉犱犪狌狋犺犲狀狋犻犮犪狋犻狅狀使用口令来验证用户所声称身份的过程弱口令狑犲犪犽狆犪狊狊狑狅狉犱容易被别人猜测或被破解工具暴力破解的口令初始口令犻狀犻狋犻犪犾狆犪狊狊狑狅狉犱设备出厂时厂商预置于设备中用于在初始设置或恢复默认设置状态下访问设备的口令随机性狉犪狀犱狅犿狀犲狊狊具有某一概率的事件集合中各个事件所表现出来的不可预测性犌犅犜账号犪犮犮狅狌狀狋在特定上下文中可以唯一标识主体身份的一段信息注也称为用户名添加变量狊犪犾狋作为单向函数或加密函数的二次输入而加入的随机变量可用于计算口令鉴别数据定义缩略语下列缩略语适用于本文件应用程序编程接口身份标识号互联网协议概述由于智能联网设备接入网络模式的不同口令鉴别的实现方式可分为两种设备鉴别口令鉴别过程在智能联网设备中进行非设备本地鉴别口令鉴别的过程不在智能联网设备中进行包括但不限于用户终端通过云平台进行用户口令鉴别详细情况参见附录非设备本地鉴别在本质上是平台代替智能联网设备执行了口令鉴别因此本标准中对于账号和口令的安全技术要求在两种情况下都适用口令作为鉴别凭证与作为用户身份标识的账号相关联账号安全是口令鉴别保护中非常重要的一个环节本标准从账号安全和口令安全两个方面来提出保护的规则和要求并且提出用户安全的使用和管理账号口令的指导本标准凡涉及采用密码技术解决保密性完整性真实性不可否认性需求的应遵循密码相关国家标准和行业标准账号安全账号生成关注的事项包括设备中账号具有唯一性在新建或修改账号时提供命名规则检查功能包括但不限于特殊字符限制账号使用关注的事项包括所有账号都需要向设备管理员公开设备或者平台厂商不能隐藏后门账号禁用或删除设备中集成的第三方或开源软件中不使用的账号犌犅犜账号管理关注的事项包括对于具备设备管理员角色的智能联网设备为设备管理员提供账号添加删除修改查询等功能提供可配置的账号锁定策略包括但不限于账号到期锁定连续多次输入错误口令锁定所有账号仅限于被设备管理员管理日志所有用户对账号的所有操作均需要记录日志日志内容包括用户地址操作时间操作内容操作结果等信息口令安全口令生成关注的事项包括自动生成的口令具有随机性且长度不少于个字符用户设置的口令符合的基本策略内容如下口令长度不少于个字符口令允许的最大长度不少于个字符口令至少包含数字小写字母大写字母以及特殊字符中的两类字符对于出厂配置时采用激活机制的智能联网设备用户第一次访问设备时需通过为设备设置口令来激活设备未激活的设备拒绝除激活以外的其他操作注激活是指设备第一次使用时由用户设置符合口令复杂度要求的口令对于出厂配置时采用初始口令的智能联网设备为每个设备随机生成初始口令每次登录时提醒用户修改口令直到修改初始口令为止口令使用关注的事项包括口令传输采用安全传输通道或者加密后传输默认对输入框中的口令进行掩盖显示禁止口令从输入框中复制的功能用户登录成功后无法查看自己的口令对口令的鉴别过程具备防暴力破解功能如果错误登录尝试超过设定次数后锁定操作账号或者操作一段时间口令管理关注的事项包括所有口令都可修改不能使用硬编码口令用户修改口令前提供验证旧口令以及对新口令再次确认的功能存储口令时需加密存储的口令具有防破解机制包括但不限于添加变量限制对口令文件的访问和修改包括但不限于使用操作系统的访问控制功能犌犅犜不能通过用户操作界面或读取口令明文提供在忘记账号或者口令的情况下通过物理按键或者其他的安全方式将设备恢复到出厂状态的功能口令复杂度策略可配置支持管理员根据应用场景配置强化的口令复杂度策略具备显示口令安全强度的能力日志所有用户对口令的所有操作均记录日志日志内容包括用户地址操作时间操作内容操作结果等信息用户安全关注的事项包括用户宜及时修改设备的初始口令用户宜为不同的设备设置不同的口令用户不能使用已知过去曾被泄露的口令用户不能使用弱口令常见的弱口令包括但不限于不符合复杂度策略的口令字典中的单词重复或顺序的字符例如上下文相关的字眼包括但不限于服务名称用户名或其派生物用户宜妥善保管所使用的账号和口令用户宜定期对口令进行修改犌犅犜附录犃资料性附录非设备本地鉴别方式通过云平台进行口令鉴别是一种典型的非本地鉴别方式云平台的典型部署模式如图所示图犃云平台部署图在云平台部署模式下口令鉴别在用户终端和云平台之间完成云平台和智能联网设备通过其他安全协议进行认证如基于数字证书的账号认证等并且通过设备的唯一标识与用户终端登录的账号进行绑定在通过口令鉴别后用户终端和智能联网设备之间的通信可以采用以下两种方式用户终端和智能联网设备之间的通信由云平台转发云平台建立一条用户终端和智能联网设备之间的直接的路由犌犅犜参考文献信息安全技术网络安全等级保护基本要求信息技术云计算参考架构信息技术云计算概览与词汇物联网参考体系结构物联网术语工业和信息化部电信研究院物联网白皮书年年月
GB-T 38626-2020 信息安全技术 智能联网设备口令保护指南
文档预览
中文文档
9 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共9页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-05-26 05:57:25上传分享