卜宏澤，程儒，胡湘洪，彭琦

（1.工業(yè)和信息化部電子第五研究所，廣東 廣州 511370；2.智能產品質量評價與可靠性保障技術工業(yè)和信息化部重點實驗室，廣東 廣州 511370）

0 引言

近年來，在智能化技術、互聯(lián)網技術等技術的推動下，智能家電行業(yè)得到了蓬勃的發(fā)展，家用電器不再僅作為單一功能產品出現(xiàn)在家庭使用場景中[1-5]。智能化家電更加網絡互聯(lián)化、功能集成化，通過公共網絡進行遠程通信已經成為許多智能家電的基本功能單元。但是，隨之而來的安全挑戰(zhàn)[1]也正威脅著家電向互聯(lián)互通、智能化方向的發(fā)展，國內外通過聯(lián)網家電竊取用戶個人敏感信息的事件層出不窮，家電行業(yè)為應對互聯(lián)互通和智能化的發(fā)展趨勢亟需完善和出臺相關標準和技術規(guī)范。

國際電工委員會（IEC）于2020年9月發(fā)布了家用和類似用途電器的安全標準IEC 60335-1：2020（6.0版）[6]，相比于之前的5.2版本[7]，IEC在新的規(guī)范標準附錄U中引入了網絡安全要求，以避免未經授權的訪問，以及通過公共網絡進行遠程通信受到傳輸故障的影響。

1 IEC 60335-1中22章62條的要求

在第22章第62條中，對通過公共網絡遠程通信器具的結構進行了要求，規(guī)定了通過公用網絡進行的遠程通信不得影響對IEC 60335-1標準的符合性。這一要求只適用于如下范圍。

a）包括為符合22章46條要求，根據(jù)規(guī)范性附錄R采取的措施，或者為符合IEC 60335-1標準第8～32章要求而采取的必要措施。

b）包括軟件下載或數(shù)據(jù)交換的遠程通信，其僅影響上述情況a）中由于軟件或數(shù)據(jù)劃分或分區(qū)不當而未涵蓋的軟件部分。對于符合本標準所有不依賴于軟件的措施，通過公用網絡只進行數(shù)據(jù)發(fā)送，或僅提供事件驅動消息或推送遠程監(jiān)控，不在要求的適用范圍內。

標準對上述適用范圍進行了舉例說明，例如：在第11章中用于調節(jié)或限制最大正常溫升時使用的包括常數(shù)、算法和定時器或下載的軟件、參數(shù)集。在適用范圍內提到的22章46條，要求符合本標準的可編程保護電子電路的軟件部分應該是包含附錄R中表R.1中規(guī)定的故障/錯誤條件的措施的軟件。具體地說，在軟件評估方面附錄R中的R.2.2.5和R.2.2.9分別闡述了對于擬通過公共網絡進行遠程通信的器具，若第22.62節(jié)確定規(guī)范性附錄U適用，則應在不符合規(guī)范性附錄U之前檢測到故障/錯誤，同時在公共網絡遠程控制下的軟件和安全相關硬件應初始化并在不符合規(guī)范性附錄U之前終止。

也就是說，除非完全不依賴軟件，或者不通過公共網絡收發(fā)數(shù)據(jù)以完成遠程控制操作的措施，其余條件下一旦使用公用網絡進行遠程操作均必須依照標準進行檢查，審核技術文檔，并按照最新版標準中附錄U的要求測試合規(guī)性。

2 附錄U關于公共網絡遠程通信設備

與上一版本Ed.5.2相比，6.0版本的標準IEC 60335-1在附錄部分添加了一整章作為對通過公共網絡進行遠程通信的設備進行規(guī)范性要求。依照第22章62條，通過附錄U的技術要求以避免器具在利用公共網絡進行遠程通信時遭受未經授權訪問和傳輸失敗問題的威脅和影響。例如：規(guī)范中要求采用加密算法對傳輸消息進行加密以防止傳輸過程中被篡改從而保護了數(shù)據(jù)的完整性，而我國現(xiàn)行的國家標準GB/T 28219—2018和GB/T 38052.3—2019同樣對智能家用電器在互聯(lián)互通過程中的信息安全問題提出了相適應的技術要求[8-9]。本附錄未涵蓋關于數(shù)據(jù)和消費者隱私方面的保密性問題。

2.1 技術要點

首先，通信雙方需要確認發(fā)送或接收消息的實體是其聲稱的身份。接下來，對已經驗證身份的實體授予訪問信息、功能和服務的必需權限。在通信建立的期間，需要利用加密技術保護數(shù)據(jù)的安全，確保數(shù)據(jù)的完整性，以避免惡意篡改和數(shù)據(jù)丟失的情況出現(xiàn)。

在當前的通信協(xié)議結構中，大多數(shù)應用層協(xié)議和傳輸層協(xié)議本身均不具備加密安全策略，因此往往需要在兩者之間嵌套傳輸層安全性協(xié)議（TLS：Transport Layer Security）及其前身安全套接層協(xié)議（SSL：Secure Sockets Layer），其網絡結構模型如圖1所示。

圖1 嵌套傳輸層安全性協(xié)議的網絡結構模型

目前傳輸層安全性協(xié)議已發(fā)展到了TLS 1.3版本。在協(xié)議中支持了多種非對稱加密算法和哈希算法，通過數(shù)字證書在握手過程中確認雙方身份，利用加密技術保證數(shù)據(jù)通信過程的安全性。因此國家標準GB/T 38052.3—2019在6.5節(jié)對于智能家電在互聯(lián)互通過程中的通信安全問題提出了相應的安全策略要求，要求使用包括TLS、IP驗證、數(shù)字簽名和用戶身份驗證等安全技術方案中的一種或多種，以保證數(shù)據(jù)和信息的機密性、完整性、可用性和不可否認性。

另外，如果有軟件下載的請求，則應該說明如何或在何處獲得制造商給出的唯一名稱或代碼，該名稱或代碼標識設備中運行軟件的當前版本。這些說明還應包括用戶在軟件更新過程中必須遵循的必要步驟。

2.2 結構的要求

首先，需要將能夠與公共網絡通信的軟件劃分為與符合本標準其他要求所需的軟件分開的模塊。這是為了避免遠程通信時發(fā)生的錯誤危害到其他軟件部分對標準的符合。

其次，與外部進行遠程通信的過程中需要設備通過軟件來建立，實施和中止遠程通信。因此軟件評估將作為重要環(huán)節(jié)，軟件需要提供以下功能：

1）數(shù)據(jù)完整性保護；

2）檢測并響應由于某種原因，包括通信消息不完整、被截斷、包含錯誤或具有正確格式但傳遞信息超出該類型消息預期范圍的通信；

3）控制表R.1中規(guī)定的故障/錯誤條件的措施。

其中，數(shù)據(jù)完整性保護涉及的方面包括數(shù)據(jù)損壞、地址損壞、錯誤的時間或者順序、持續(xù)進行的“自動發(fā)送”或者重復，以及數(shù)據(jù)中斷傳輸。以上內容需要通過視檢和測試R.3.2.2中的軟件體系結構并根據(jù)R3.3來評估軟件以檢查其是否合格。

在通信過程中應提供措施以防止由于同時或順序接收來自多個來源的消息而引起的危害。這里涉及到的是互聯(lián)網攻擊中經常出現(xiàn)的分布式拒絕服務攻擊（DDoS：Distributed Denial of Service），通過對源IP進行偽造，處于不同位置的多個攻擊方對同一目標或者多個目標同時發(fā)動網絡攻擊。由于攻擊方的隱蔽性非常好，造成了對攻擊行為的檢測十分困難。在物聯(lián)網體系中的各個家電設備一旦通過公共網絡進行遠程通信，同樣會面臨DDoS攻擊的風險，對設備的安全性和用戶人身財產的安全和個人隱私都將造成巨大的威脅。常用的防御措施包括綜合設計系統(tǒng)的安全體系，設計安全規(guī)則對所有的出入數(shù)據(jù)包進行過濾，優(yōu)化路由及網絡結構。

關于授權和認證問題，附錄U要求授權前不得啟用遠程通信。授權應基于認證，認證過程應使用加密技術來確保雙方的身份。也就是說，器具通過公用網絡與服務器進行遠程通信前需要按照安全策略與服務器進行握手，在握手過程中雙方確定使用何種加密算法，器具通過服務器發(fā)來的數(shù)字證書以核驗身份，服務器使用私鑰對器具發(fā)送的加密數(shù)據(jù)進行解密。在加密條件下，雙方完成握手過程，確認身份并完成數(shù)據(jù)訪問、服務授權，在安全條件下進行數(shù)據(jù)收發(fā)。出于此要求的目的，兩個實體之間用于準備身份驗證和授權過程的通信不視為遠程通信。一旦遠程通信的授權被建立，保護數(shù)據(jù)完整性的加密技術就需要立即生效。所采用的加密技術應為設備（包括其附件）的一部分，而不依賴于路由器或類似數(shù)據(jù)傳輸設備本身的一部分，并應在傳輸之前進行。

表1列出了部分通過公共網絡進行遠程通信時面臨的威脅，以及為應對未經授權的訪問和遠程通信中的傳輸故障/錯誤可以采用的措施。其中，序列號是附加在數(shù)據(jù)包中的數(shù)據(jù)字段，包含了按預先定義方式依據(jù)消息順序標定的數(shù)字；時間戳是指格林威治時間1970年1月1日00時00分00秒（北京時間1970年1月1日08時00分00秒）起至現(xiàn)在的總秒數(shù)，由消息發(fā)送者附加在消息上的有關傳輸時間的信息；超時是指兩條消息之間的延遲超過了預先定義的允許最大時間，被認為存在錯誤；反饋信息通過返回通道從接收者到發(fā)送者的響應，一般指數(shù)據(jù)接收方響應的返回碼；消息來源方和目標方應具有唯一的身份標識，分配給每個實體的標識符可以是名稱、數(shù)字或任意位模式。此標識符將用于安全相關的通信。通常標識符被添加到用戶數(shù)據(jù)中。例如：在GB/T 38052.1—2019中定義的用戶唯一標識碼、家電唯一標識碼和平臺唯一標識碼等就是采用了這樣的身份安全策略[10]；收發(fā)消息中的數(shù)據(jù)應包含安全代碼，這是一段包含安全相關信息中的冗余數(shù)據(jù)，允許安全相關傳輸功能檢測數(shù)據(jù)損壞。

表1 防止未經授權的訪問和傳輸故障/錯誤模式的可接受措施的示例

器具的安全操作不應該依靠遠程操作。也就是說，雖然器具的報警信息可以通過公共網絡進行同步，但是觸發(fā)安全措施的過程不應該依賴遠程操作，判斷安全問題出現(xiàn)并響應相關措施的過程應該在器具本地完成，同時也不允許使用公共網絡進行遠程復位等操作。

對于涉及公共網絡通信的軟件部分，附錄U也提出了相關要求。首先，應采取措施確保制造商通過遠程通信傳輸提供給器具的軟件更新在安裝前得到驗證，以避免通信中出現(xiàn)數(shù)據(jù)損壞、推送的軟件版本與設備不兼容等問題，防止由于軟件更新造成器具失效或帶來更嚴重的安全風險。

此外，執(zhí)行上述檢查的軟件應包含控制表R.1中規(guī)定的故障/錯誤條件的措施。根據(jù)規(guī)范性附錄R的相關要求，評估軟件和制造商版本管理文件，以檢查合規(guī)性。用戶應被允許在設備中安裝軟件，并被允許激活啟用自動軟件更新的模式。在安裝期間或之后，軟件的安裝不得損害對本標準要求的符合性。通過檢查描述許可程序的技術文件或通過功能測試檢查合規(guī)性。

3 結束語

隨著家用電器互聯(lián)互通的程度增加，家電在公共網絡進行遠程通信時面臨的威脅逐漸嚴重。IEC 60335-1在這一最新版本中明確規(guī)定了軟件在利用公共網絡進行遠程通信時需要采取的措施以應對來自未授權訪問和傳輸失敗的威脅。這對智能家電互聯(lián)互通化發(fā)展有著重要的指導性作用，為開發(fā)者們在信息安全方面的設計提供了指導，與此同時行業(yè)相關的檢測工程師也需要進一步地學習并掌握這方面的檢驗和評價方法。