ISO/IEC 30118-12:2021
Информационные технологии. Спецификация Open Connectivity Foundation (OCF). Часть 12. Спецификация облачной безопасности.
- Стандартный №
- ISO/IEC 30118-12:2021
- Дата публикации
- 2021
- Разместил
- International Organization for Standardization (ISO)
- Последняя версия
- ISO/IEC 30118-12:2021
- сфера применения
-
Техническая архитектура спецификации безопасности облака OCF
ISO/IEC 30118-12:2021, спецификация безопасности облака в рамках стандартов Open Connectivity Foundation (OCF), определяет структуру безопасного взаимодействия между устройствами Интернета вещей и облачными сервисами. Этот стандарт совместим с эталонной архитектурой облака ISO/IEC 17789 и использует фреймворк авторизации OAuth 2.0 для аутентификации устройств.
Основные механизмы безопасности
Компоненты безопасности Техническая реализация Требования соответствия Аутентификация устройства Взаимная аутентификация TLS (RFC 8323) Обязательно (M) Токен доступа Токен носителя OAuth 2.0 (RFC 6749) Обязательно (M) Наборы шифров TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 Обязательный (M)
Процесс регистрации устройства
Процесс регистрации устройства, определенный в главе 6 стандарта, состоит из трех ключевых этапов:
- Настройка брокера: URL-адрес облачной службы, UUID и токен доступа выдаются через ресурс oic.r.coapcloudconf
- Проверка сертификата: Устройство проверяет легитимность облачного сертификата TLS (в соответствии с RFC 6125)
- Токен exchange: UUID устройства привязан к токену доступа через ресурс /oic/sec/account
Типичный поток предоставления кода авторизации показан на рисунке:
[Схема потока предоставления кода авторизации]
Модель ресурсов безопасности
Стандарт определяет три основных ресурса безопасности:
- Ресурс учётной записи (oic.r.account): обрабатывает регистрацию/отмену регистрации устройства
- Ресурс сеанса (oic.r.session): управляет состоянием сеанса
- Обновление токена (oic.r.tokenrefresh): механизм обновления токена
Все взаимодействия с ресурсами должны передаваться по Безопасные каналы TLS 1.2 или выше.
Рекомендации по реализации
На основе Руководства по усилению безопасности в Главе 10 стандарта:
Конфиденциальные данные Защита целостности Защита конфиденциальности URL-адрес облачной службы Обязательно Необязательно UUID устройства Обязательно Рекомендуется Рекомендуется реализовать механизм периодического обновления токена (стандарт рекомендует обновлять токен до истечения его срока действия) и строго следовать интерфейсу OpenAPI 2.0 спецификация определена в Приложении А.
ISO/IEC 30118-12:2021 Ссылочный документ
- ISO/IEC 30118-1 Информационные технологии. Спецификация Open Connectivity Foundation (OCF). Часть 1. Основная спецификация.
- ISO/IEC 30118-2 Информационные технологии. Спецификация Open Connectivity Foundation (OCF). Часть 2. Спецификация безопасности.
- ISO/IEC 30118-8 Информационные технологии. Спецификация Open Connectivity Foundation (OCF). Часть 8. Спецификация сопоставления ресурсов OCF со спецификациями ресурсов oneM2M.
ISO/IEC 30118-12:2021 История
- 2021 ISO/IEC 30118-12:2021 Информационные технологии. Спецификация Open Connectivity Foundation (OCF). Часть 12. Спецификация облачной безопасности.
