--- displayed_sidebar: null title: 信息安全技术 物联网数据传输安全技术要求 file_full_name: 信息安全技术 物联网数据传输安全技术要求 doc_no: GB/T 37025—2018 doc_id: GB/T 37025—2018 source: 国家标准全文公开系统 category: 国家标准 topic: 编码体系标准 publish_date: '2018-12-28' effective_date: '2019-07-01' status: 现行有效 tags: - 法律法规原文 - 编码体系标准 - 国家标准 - 数字铭牌 - 物联网 - 数据传输安全 internal_tags: doc_type: standard material_type: national_standard_raw doc_level: national jurisdiction: CN region: 全国 issuer: 国家市场监督管理总局、中国国家标准化管理委员会 status: effective publish_date: '2018-12-28' effective_date: '2019-07-01' last_checked_at: '2026-06-18' source_type: pdf source_ref: https://openstd.samr.gov.cn/bzgk/std/newGbInfo?hcno=FCA8D0B2F6AD52B15E6D613D6FF1C31B local_source: 法律法规原文/编码体系标准/过程文件/20260618_requested_standards_collect/source/pdfs/GB_T_37025-2018.pdf text_quality: manual_fixed supersedes: [] replaced_by: [] update_priority: P1 topic: coding-systems language: zh-CN industry: 编码体系标准 confidentiality: public keywords: [数字铭牌, 数字铭牌, 物联网, 数据传输安全, GB/T 37025—2018] --- # 信息安全技术 物联网数据传输安全技术要求 ## 前言 本标准按照 GB/T 1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:北京工业大学、中国电子技术标准化研究院、北京邮电大学、公安部第三研究所、中央财经大学、中国科学院软件研究所、西安电子科技大学、无锡物联网产业研究院、北京中电普华信息技术有限公司、河南科技大学、重庆三峡学院、中国平安保险(集团)股份有限公司。 本标准主要起草人:杨震、范科峰、丁治明、赖英旭、刘贤刚、黄剑、李健、龚洁中、李琳、李怡德、马占宇、段立娟、秦华、丁丽萍、顾健、齐力、杨明、陈书义、裴庆祺、张志勇、曹占峰、聂祥飞、涂山山、何通海、魏欣、吴亚玺、李童、刘静、蔡伟、邹仕洪。 ## 1 范围 本标准规定了物联网(工控终端除外)数据传输安全分级及其基本级和增强级安全技术要求等。 本标准适用于相关方对物联网数据传输安全的规划、建设、运行、管理等。 ## 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 33474—2016 物联网参考体系结构 ## 3 术语和定义 下列术语和定义适用于本文件。 **3.1 物联网 Internet of things** 通过感知设备,按照约定协议,连接物、人、系统和信息资源,实现对物理和虚拟世界的信息进行处理并作出反应的智能服务系统。 [GB/T 33745—2017,定义2.1.1] **3.2 传感器 transducer/sensor** 能感受被测量并按照一定的规律转换成可用输出信号的器件或装置,通常由敏感元件和转换元件组成。 [GB/T 7665—2005,定义3.1.1] **3.3 感知设备 sensing device** 能够获取对象信息的设备,并提供接入网络的能力。 [GB/T 33745—2017,定义2.1.9] > 注:具备较高计算能力的感知设备还能对物或环境进行信息采集和/或执行操作。 **3.4 传输安全 transmission security** 保护网络中所传输信息的完整性、保密性、可用性及用户定制等特性。 **3.5 通信参考体系结构接口 communication reference architecture interface** 从物联网实体间互联互通的角度,描述物联网域间及域内实体之间网络通信关系的接口。 > 注:根据物联网不同应用场景,通信可以采用无线或有线通信等接口方式。 **3.6 通用网络接口 network communication interface** 从物联网实体间互联互通的角度,描述物联网用户域、资源交换域、服务提供域、运维管控域等域间及域内实体之间网络通信关系的接口。 **3.7 感知网域接口 internal communication interface** 从物联网实体间互联互通的角度,描述物联网感知控制域内实体之间网络通信关系的接口。 **3.8 感知网络接口 sensor communication interface** 从物联网实体间互联互通的角度,描述物联网感知控制域与目标对象域之间网络通信关系的接口。 **3.9 隐私 privacy** 个人所具有的控制或影响与之相关信息的权限,涉及由谁收集和存储、由谁披露。 [GB/T 25069—2010,定义2.1.63] > 注:本标准中隐私多指与公共利益、群体利益无关,个人信息等个人生活领域内的不为他人知悉、禁止他人干涉和侵入的私事。 **3.10 敏感信息 sensitive information** 一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。 [GB/T 35273—2017,定义3.2] **3.11 信任 trust** 两个元素之间的一种关系:元素信任元素,当且仅当确信相对于一组活动,元素将以良好定义的方式实施,且不违反安全策略。 [GB/T 25069—2010,定义2.1.51] ## 4 缩略语 下列缩略语适用于本文件。 CRAI:通信参考体系结构接口(Communication Reference Architecture Interface) IPSec:互联网安全协议(Internet Protocol Security Protocol) SSH:安全外壳协议(Secure Shell Protocol) TLS:传输层安全协议(Transport Layer Security Protocol) ## 5 物联网数据传输安全概述 **5.1 物联网数据传输安全** 本标准参考 GB/T 37044—2018 物联网安全参考模型,给出了数据传输安全技术要求。凡涉及采用密码技术解决机密性、完整性、真实性、不可否认性需求的应遵循密码相关国家标准和行业标准。 物联网安全参考模型从物联网系统参考安全区、系统生存周期、基本安全防护措施三个维度共同描述物联网安全保护方法。参考安全区是从物联网系统的逻辑空间维度出发,生存周期则是从物联网系统存续时间维度出发,基本安全防护措施是从相应配合的安全措施维度出发,共同在整体架构和全生命周期层面上为物联网系统提供了一套可参考的安全模型。物联网数据传输指在物联网获取信息及传输信息中使用到的数据传输技术集合,其传输安全涉及基本安全防护措施维度中的网络安全部分,物联网系统功能域维度的全部域间及域内数据传输,以及系统生命周期维度的全过程。 **5.2 安全防护范围** 本标准提出的物联网安全防护范围主要是指在从设备采集数据开始到应用场景过程中,所使用的数据传输技术的集合,其用于向物联网数据传输提供安全保障以及安全性支持。本标准采用 GB/T 33474—2016 提出的物联网六域参考模型界定物联网数据传输安全防护范围。除了六域参考模型之外,业界常采用三层模型技术架构,物联网六域参考模型与三层模型的简单对应关系可参见附录A。 物联网数据传输安全防护范围具体包括:物联网系统功能域内、域间数据传输通信接口的安全保障以及安全性支持,作用于系统全生命周期(规划设计、开发建设、运维管理、废弃退出)。依照 GB/T 33474—2016 中定义的通信参考体系结构接口(CRAI-01—CRAI-24),将其分为通用网络接口、感知网域接口、感知网络接口三类。图1给出了物联网数据传输通信接口的具体位置,表1给出了物联网数据传输接口及其分类。 通用网络接口数据传输安全保障应满足通用网络安全要求,也可采纳本标准网络安全要求。 感知网域接口数据传输安全保障宜采纳本标准网络安全要求。 感知网络接口数据传输安全保障应满足本标准网络安全要求。 **图1 物联网数据传输接口位置及其分类**  **表1 物联网数据传输接口及其分类**
| 对象域 | 用户域 | 资源交换域 | 服务提供域 | 运维管控域 | 感知控制域 | 目标对象域 |
|---|---|---|---|---|---|---|
| 用户域 | CRAI-24 | / | / | / | / | / |
| 资源交换域 | CRAI-20 | — | / | / | / | / |
| 服务提供域 | CRAI-19 | CRAI-14 CRAI-15 | CRAI-13 | / | / | / |
| 运维管控域 | CRAI-21 | CRAI-16 | CRAI-17 CRAI-18 | CRAI-23 | / | / |
| 感知控制域 | CRAI-22 | CRAI-12 | CRAI-11 | CRAI-10 | CRAI-01a CRAI-02a CRAI-03a CRAI-04a CRAI-05a CRAI-06a CRAI-09a | / |
| 目标对象域 | — | — | — | — | CRAI-07b CRAI-08b | — |
| 注1:“—”表示对象域间无接口;“/”表示该对象域间接口与对称框格相同。 注2:其他无脚注的表示通用网络接口。 | ||||||
| a 表示感知网域接口。 b 表示感知网络接口。 | ||||||
| 类 | 序号 | 安全能力要求 | 基本级 | 增强级 | |
|---|---|---|---|---|---|
| 身份 | 1 | 完整性 | 硬件设备未被破坏、替换 | ● | ● |
| 2 | 引导程序完整未被篡改 | ● | ● | ||
| 3 | 配置文件完整未被篡改 | ● | ● | ||
| 4 | 操作系统完整未被篡改 | ● | ● | ||
| 行为 | 1 | 安全性 | 密钥信息 | ● | ● |
| 2 | 加密强度 | ○ | ● | ||
| 3 | 可用性 | 资源占用率 | ○ | ● | |
| 4 | 带宽占用率 | ○ | ● | ||
| 5 | 时间延迟 | ○ | ● | ||
| 6 | 丢包率 | ○ | ● | ||
| 7 | 可靠性 | 误码率 | ○ | ● | |
| 8 | 故障率 | ○ | ● | ||
| 能力 | 1 | 安全能力 | 数据完整性保护能力 | ● | ● |
| 2 | 数据机密性保护能力 | ● | ● | ||
| 3 | 数据容错能力 | ○ | ● | ||
| 4 | 数据泄露补救能力 | ○ | ● | ||
| 综合评价 | |||||
| 注:“●”表示必选的功能项目;“○”表示可选的功能项目。 | |||||