级安全功能要求： a）应使用符合国家有关法规规定的加解密算法为安全平台提供服务； b） 密钥在生成、存储和使用过程中应保证其不被泄露； 二级安全功能要求： HUK若需存储，则存储在不可篡改区域。 d) 随机数发生器产生的随机数应满足一定的，并符合国家有关法规规定。 三级安全功能要求： 安全平台应使用真随机数发生器，应具备防干扰的安全机制，防止攻击者预测出随机数。 安全平台应提供防物理攻击的安全机制，物理攻击包括但不限于侧信道攻击、故障注入攻击 侵入式攻击。

级安全功能要求： a) 固件应拥有版本标识，实现版本控制； b) 固件版本控制应支持防回滚；

当固件本地更新或者远程更新时，应在更新安装之前验证其完整性和可靠性，若更新失败则继 续运行更新之前的版本。

级安全功能要求： a）安全平台在使用阶段应禁用调试端口或提供进入安全调试模式的访问控制机制。 b）安全平台进入调试模式时，应禁止不可信应用组件访问安全平台资产。 注：安全平台的开发和制造阶段的安全性不在本标准的范围内。 二级安全功能要求： c）安全平台进入异常状态时，应擦除所有运行时的安全平台资产，防止资产泄露。 三级安全功能要求： d）如果可信应用组件是动态加载的，安全平台应验证其完整性和可靠性。 e安全平台进入终止状态时，应擦除所有安全平台的资产，防止资产泄露

一级安全功能要求： a）安全平台在使用阶段应禁用调试端口或提供进入安全调试模式的访问控制机制。 b）安全平台进入调试模式时，应禁止不可信应用组件访问安全平台资产。 注：安全平台的开发和制造阶段的安全性不在本标准的范围内。 二级安全功能要求： c）安全平台进入异常状态时，应擦除所有运行时的安全平台资产，防止资产泄露 三级安全功能要求： d）如果可信应用组件是动态加载的，安全平台应验证其完整性和可靠性。 ）安全平台进入终止状态时，应擦除所有安全平台的资产，防止资产泄露

c）安全平台进入异常状态时，应擦除所有运行时的安全平台资产，防止资产泄露。 三级安全功能要求： d）如果可信应用组件是动态加载的，安全平台应验证其完整性和可靠性。 e）安全平台进入终止状态时，应擦除所有安全平台的资产，防止资产泄露

二级安全功能要求： a）可信系统组件所使用的密钥应与设备绑定，可从HUK派生。 三级安全功能要求： b）安全平台应向可信应用组件提供密钥和其他敏感信息与设备的绑定服务

a）安全平台应提供初始证明服务，负责上报设备的标识、 远程实体进行验证； b）安全平台在出厂前应内置用于远程验证的密钥和设备标识，并存储在不可变硬件中。 c）引导程序应对可信子模块的引导状态进行完整性校验，并将结果包含在初始证明中。 三级安全功能要求： d）安全平台应提供运行时证明服务螺丝标准，负责上报安全平台的标识和安全平台的运行时状态，由远程

终端产业协会团体标准 物联网设备安全平台技术要求和分级方法