随着物联网(IoT)和无线通信技术的迅猛发展,网络安全已成为全球关注的焦点。欧盟通过《无线电设备指令》(RED,2014/53/EU)及其补充法案,持续强化对无线电设备的网络安全监管。2024年8月,欧洲标准化委员会(CEN/CENELEC)正式发布EN 18031系列标准,作为RED指令第3.3条款(d)、(e)、(f)项的协调标准,为无线电设备进入欧盟市场设立了严格的网络安全门槛。本文将深入解析EN 18031系列标准的核心内容、适用范围、评估流程以及对制造商的影响,助力企业顺利应对合规挑战。
一、RED指令与EN 18031的背景
RED指令的网络安全要求
欧盟《无线电设备指令》(RED,2014/53/EU)是规范无线电设备市场准入的核心法规,涵盖健康安全、电磁兼容性、射频性能以及网络安全等要求。2022年1月,欧盟发布补充授权法案(EU)2022/30,进一步明确了RED指令第3.3条款中关于网络安全的强制性要求,涉及以下三方面:
- Article 3.3(d):确保无线电设备不损害网络功能或滥用网络资源,避免服务质量下降。
- Article 3.3(e):保护用户和订阅者的个人数据及隐私。
- Article 3.3(f):防止欺诈,支持货币或虚拟货币交易的安全功能。
为支持这些要求,欧盟标准化组织于2024年8月发布EN 18031系列标准,并于2025年1月30日正式列入《欧盟官方公报》(OJEU)协调标准清单(EU 2025/138)。该系列标准将于2025年8月1日起强制实施,届时所有进入欧盟市场的无线电设备必须符合相关要求并通过CE认证。
EN 18031系列标准的意义
EN 18031系列标准的发布标志着欧盟在物联网设备网络安全领域的重大进步。与之前的EN 303 645标准相比,EN 18031在技术深度和覆盖范围上显著提升,针对不同类型的无线电设备制定了更细化的安全规范,旨在应对日益复杂的网络威胁,如数据泄露、DDoS攻击和金融欺诈。
二、EN 18031系列标准的结构与核心内容
EN 18031系列标准由三部分组成,分别对应RED指令第3.3条款的(d)、(e)、(f)项,覆盖网络安全、隐私保护和反欺诈等关键领域。以下是对各部分的详细解析:
1. EN 18031-1:互联网连接的无线电设备
适用范围:适用于直接或间接连接互联网的无线电设备,如智能手机、平板电脑、智能家居设备(智能门锁、摄像头)以及工业物联网设备(5G模块、工业路由器)。
核心要求:
- 网络资产保护:确保设备不通过恶意行为(如DDoS攻击)损害网络功能。例如,智能设备需配置流量控制机制(TCM),限制每秒数据包传输阈值,防止异常流量冲击。
- 安全通信机制(SCM):采用TLS加密、WPA2认证或AES-CCM等技术,防止未经授权的访问、数据篡改或重放攻击。
- 安全更新机制(SUM):通过数字签名验证固件完整性,确保更新过程安全可靠,禁用不安全的HTTP通道。
2. EN 18031-2:数据处理与隐私保护
适用范围:涵盖处理个人数据、流量数据或位置数据的设备,包括:
- 联网的无线电设备(如智能音箱、智能手表)。
- 儿童看护设备(如婴儿监控器)。
- 玩具类无线电设备(符合2009/48/EC指令)。
- 可穿戴设备(如健康手环、VR/AR设备)。
核心要求:
- 隐私资产保护:强化对用户个人数据的保护,防止未经授权的访问或泄露。例如,儿童设备需默认关闭敏感传感器(如麦克风)并实现不可绕过的家长控制功能(ACM-3)。
- 访问控制机制(ACM):确保只有授权用户能访问敏感数据,儿童设备需支持家长/监护人权限管理。
- 数据生命周期管理:通过加密存储和安全删除机制,保护数据从生成到销毁的全过程。
3. EN 18031-3:金融交易设备
适用范围:针对支持货币、虚拟货币或金融价值转移的联网无线电设备,如POS机、加密货币钱包和智能手表支付功能。
核心要求:
- 金融资产保护:采用硬件级安全启动(Secure Boot)和不可篡改的交易日志(LGM),确保交易记录包含主体、时间戳和金额等溯源要素。
- 加密密钥管理(CCK):要求设备预装或生成的加密密钥最小安全长度为112位,推荐使用SOG-IS密码套件以确保安全性。
- 防欺诈算法:通过双重验证和侧信道攻击防护,防止金融欺诈。
14个核心安全机制
EN 18031系列标准通过14个核心安全机制构建“防御纵深”,覆盖硬件、软件、数据和通信全生命周期:
- 访问控制(ACM):限制设备访问权限,确保只有授权实体可操作。
- 身份认证(AUM):验证用户或设备身份,防止未经授权的访问。
- 安全存储(SSM):通过硬件安全模块(HSM)保护敏感数据。
- 安全通信(SCM):确保数据传输加密和完整性。
- 安全更新(SUM):支持安全可靠的固件和软件更新。
- 流量控制(TCM):管理网络流量,防止资源滥用。
- 日志记录(LGM):记录关键操作,便于审计和溯源。
- 网络监控(NMM):实时检测异常流量或攻击行为。
- 恢复机制(RLM):提供设备故障或攻击后的恢复能力。
- 可信密钥(CCK):确保加密密钥的安全生成和存储。
- 用户通知(UNM):及时向用户报告安全事件。
- 物理防护:通过防拆传感器保护硬件安全。
- 儿童隐私保护(EN 18031-2特有):针对儿童设备强化隐私机制。
- 防欺诈机制(EN 18031-3特有):防止金融交易中的欺诈行为。
三、EN 18031的评估流程
EN 18031系列标准引入了基于资产的评估框架,将设备的安全性分为四类资产:安全资产(设备自身防护)、网络资产(网络交互安全)、隐私资产(用户数据保护)和金融资产(交易安全)。评估流程包括以下步骤:
- 资产识别:制造商需识别设备涉及的资产类型(如网络资产、隐私资产),并提交资产识别表。
- 风险评估:根据标准中的判决树,针对每类资产评估安全机制的适用性和有效性。例如,智能摄像头需验证是否关闭非必要端口(如UPnP)。
- 技术文档准备:提交接口通信矩阵、加密协议白皮书和技术设计文档,证明符合标准要求。
- 测试与验证:
- 概念评估:核查文档和理由是否充分(如默认密码策略是否符合AUM要求)。
- 功能完整性验证:使用网络扫描器检查端口暴露情况。
- 功能充分性测试:通过模糊测试和侧信道攻击验证设备抗攻击能力。
- 认证与发证:由欧盟公告机构(Notified Body, NB)审核并颁发EU型式检验证书,或制造商依据协调标准进行自我宣告。
四、EN 18031与EN 303 645的对比
EN 18031系列标准与之前的EN 303 645标准有诸多相似之处,但要求更严格且适用范围更广:
- 技术深度:EN 18031细化了儿童隐私保护和金融交易安全要求,新增了家长控制和防欺诈算法。
- 资产分类:EN 18031按资产类型(安全、网络、隐私、金融)划分要求,评估更精准,而EN 303 645未区分资产类型。
- 灵活性:EN 18031引入“不适用”条件,允许制造商根据设备功能豁免部分要求,降低合规成本。
- 兼容性:符合EN 303 645的设备可作为EN 18031合规的基础,需补充差异测试。
五、对制造商的影响与应对策略
合规挑战
- 技术升级:制造商需在硬件设计中集成HSM芯片,支持安全启动和加密存储;在软件层面实现动态更新和访问控制。
- 文档准备:需提供详细的技术文档和判决理由,增加研发和合规成本。
- 测试复杂性:EN 18031要求多维度测试(如模糊测试、侧信道攻击),对测试实验室的专业性提出更高要求。
应对策略
- 提前准备:尽早开展资产识别和风险评估,优化产品设计以符合EN 18031要求。
- 借助专业机构:与晟安检测等公告机构合作,获取标准解读、测试和认证支持。例如,晟安检测在深圳、上海和广州设有网络安全实验室,提供EN 18031全流程服务。
- 培训与咨询:参加EN 18031标准培训,深入理解访问控制、加密密钥和安全更新等要求。
- 持续监控:关注欧盟官方公报(OJEU)和EUR-Lex网站,获取标准和法规的最新动态。
六、适用产品与豁免条款
适用产品
EN 18031系列标准覆盖广泛的无线电设备,包括:
- EN 18031-1:智能手机、平板电脑、智能家居设备、工业物联网设备。
- EN 18031-2:儿童看护设备、玩具、可穿戴设备(如智能手表、健康手环)。
- EN 18031-3:POS机、加密货币钱包、支持支付功能的智能设备。
豁免条款
部分设备可豁免EN 18031-2和EN 18031-3的要求,仅需满足EN 18031-1:
- 医疗器械(EU 2017/745)。
- 体外诊断设备(EU 2017/746)。
- 民用航空设备(EU 2018/1139)。
- 汽车电子设备(EU 2019/2144)。
- 电子道路收费系统(EU 2019/520)。
但若这些设备具备普通联网功能(如医疗级智能手环),仍需满足对应的EN 18031要求。
七、未来展望
EN 18031系列标准的实施标志着欧盟在无线电设备网络安全领域的全球领先地位。其“分层防护+动态更新+协同治理”的模式为全球网络安全标准制定提供了参考。随着欧盟《网络弹性法案》(CRA)的推进(预计2027年强制实施),EN 18031将与CRA形成互补,共同构建更具韧性的物联网安全生态。
对于制造商而言,EN 18031不仅是合规要求,更是提升产品竞争力的契机。通过提前布局网络安全设计,优化供应链管理,企业可在欧盟市场占据先机,同时为全球市场的合规准入奠定基础。
八、总结
EN 18031系列标准的发布为无线电设备的网络安全设定了新标杆,覆盖从基础网络安全到隐私保护和金融交易的全方位要求。制造商需积极应对技术、文档和测试方面的挑战,通过与专业机构合作和持续关注法规动态,确保产品在2025年8月1日前符合RED指令要求。EN 18031的实施不仅将提升欧盟市场的安全性,也将推动全球物联网产业的规范化发展,为构建更安全的数字生态贡献力量。
晟安检测提供EN 18031认证,欢迎咨询。
参考资料:
- 欧盟官方公报(OJEU),(EU) 2025/138,2025年1月30日。
- CEN/CENELEC,EN 18031系列标准,2024年8月。
- EUR-Lex,(EU) 2022/30及(EU) 2023/2444法案。
- Intertek,EN 18031系列标准解读,2025年。
