智能OS(基于OSGi)技术要求
A.1 OSGi框架要求
OSGi Framework应遵循OSGi Core Realease 4.2 Specification以上,要求必需支持Security Layer。OSGi标准服务应遵循OSGi Compendium Realease 4.2 Specification以上,至少提供的服务包括:Log Service、Http Service、Configuration Admin Service、Event Admin Service。 A.2 JVM要求
本节定义了JVM所应该实现最基本和最低版本JSR集合以及JNI规范,未来系统可以在保证兼容现有规范的前提下,支持本节所列出的规范的升级版本。
A.2.1 基本JSR要求
JVM应遵循附JAVA SE5 以上,不需要支持图形界面库awt和swing。
A.2.2 本地功能支持要求
要求JVM必须支持JNI 1.5或者是其后续版本。
A.2.3 安全性需求
a) 基本要求
要求网关为JVM创建单独的用户运行,且该用户具有访问外部存储(包括:SD卡、U盘及SATA硬盘)的权限。
要求JVM必需实现Java? Security Architecture所规定的所有内容。 b) JCA要求
要求JVM必需实现Java? Cryptography Architecture所规定的所有内容。其中,JCA要求至少实现表B.1所规定的标准、算法以及算法最短密钥长度。
表B.1
java.security包类名 AlgorithmParameters CertificateFactory CertPathBuilder CertPathBuilder CertStore Cipher 算法,属性名称,括号中数字为最短密钥位数 DSA X.509 PKIX PKIX Collection AES/CBC/NoPadding (128) AES/CBC/PKCS5Padding (128) AES/ECB/NoPadding (128) AES/ECB/PKCS5Padding (128) DES/CBC/NoPadding (56) DES/CBC/PKCS5Padding (56) DES/ECB/NoPadding (56) DES/ECB/PKCS5Padding (56) DESede/CBC/NoPadding (168) DESede/CBC/PKCS5Padding (168) DESede/ECB/NoPadding (168) DESede/ECB/PKCS5Padding (168) RSA/ECB/PKCS1Padding (2048) RSA/ECB/OAEPPadding (2048) KeyFactory KeyGenerator DSA (1024) RSA (2048) AES (128) DES (56) DESede (168) HmacMD5 (128) HmacSHA1 (160) HmacSHA256 (160) DSA (1024) RSA (2048) PKCS#12, JKS, JCEKS 至少其中一种 HmacMD5 (128) HmacSHA1 (160) HmacSHA256 (160) MD5 SHA-1 SHA-256 AES (128) DES (56) DESede (168) MD5withRSA SHA1withDSA SHA1withRSA SHA256withRSA KeyPairGenerator KeyStore Mac MessageDigest SecretKeyFactory Signature c) xml加密和签名算法
JVM应至少实现表B.2所规定的xml加密和签名算法。
表B.2
引擎名称 TransformService TransformService TransformService TransformService TransformService 算法名称 CanonicalizationMethod.EXCLUSIVE CanonicalizationMethod.EXCLUSIVE_WITH_COMMENTS CanonicalizationMethod.INCLUSIVE CanonicalizationMethod.INCLUSIVE_WITH_COMMENTS Transform.BASE64 TransformService TransformService TransformService XMLSignatureFactory XMLSignatureFactory XMLSignatureFactory XMLSignatureFactory Transform.ENVELOPED Transform.XPATH Transform.XPATH2 DigestMethod.SHA1 SignatureMethod.HMAC_SHA1 SignatureMethod.DSA_SHA1 SignatureMethod.RSA_SHA1 d) PKI
要求JVM必需支持X.509 v3格式数字证书,实现RFC 3280所规定的PKIX证书路径判定算法,保存证书以及撤销证书列表的证书库格式遵循RFC 2587所规定的PKIX LDAP V2 Schema。其中,证书路径验证算法应遵循rfc2560所规定的OCSP,具体OCSP属性代表的含义见表B.3;检查证书吊销状态的行为定义见表B.4。
表B.3 属性名称 ocsp.enable ocsp.responderURL ocsp.responderCertIssuerName
表B.4
PKIXParameters.RevocationEnabled true true false false ocsp.enable true false true false 检查证书吊销的行为 使用OCSP检查证书吊销情况,失败则检查CRLs 只检查CRLs证书吊销情况 不检查证书吊销情况 不检查证书吊销情况 定义OCSP是否生效 定义OCSP响应URL 定义OCSP响应者证书的签发者名 描述 ocsp.responderCertSubjectName 定义OCSP响应者证书的主题 ocsp.responderCertSerialNumber 定义OCSP响应者证书的序列号 e) 安全通信
要求JVM支持 SSL 3.0及TLS 1.0,且SSLEngine必须支持非阻塞式IO。其中必须实现表B.5关于SSL/TLS安全通信中关于KEY的长度的规定。
表B.5 加密算法 RSA RC4 DES Triple DES AES 功能 认证与KEY交换 数据解密 数据解密 数据解密 数据解密 密钥长度 1024 128 128 (40 effective) 64 (56 effective) 64 (40 effective) 192 (112 effective) 256 128
f) 系统安全配置
要求JVM必需满足如下要求:
? keystore位置不能改变,文件属性为只读,一旦部署不能被修改 ? keystore要内置可信任证书链
? 未签名或者未知签名的应用不具有任何权限
? java.policy位置不能改变,文件属性为只读,一旦部署不能被修改 ? java.security位置不能改变,文件属性为只读,一旦部署不能被修改 A.2.4 Java class文件格式支持
要求JVM至少要支持class文件格式45.3 到 49.0版本(包含45.3及49.0)。 在未来升级版本中需要支持更高版本的class格式。 A.2.5 软件升级要求
要求网关支持对JVM及OSGi Framework的软件升级。升级不成功时,网关应支持版本自动回退。
A.3 本地能力接口开放要求
A.3.1 本地能力接口开放要求
网关应在OSGi框架中提供一个基础服务Bundle,统一命名为:com.chinatelecom.smartgateway.deviceservice,此Bundle需要至少包含并导出开源JSON解析包org.json,包版本号不小于1.6.0_7,并且以OSGi服务的形式提供本地能力接口。具体能力接口应满足表B.6要求。其中,对于每个接口对应的返回值及数据格式要求如下:
a) 返回值格式定义
所有方法统一返回String类型,返回值为JSON格式字符串: ? 成功时JSON格式如下: {
\ 输出参数 }
输出参数的格式及含义见表B.6。 ? 失败时JSON格式如下:
{
\
\}
\表示返回值,-1表示一般失败,-2表示超时 \表示失败原因 b) 数据格式定义
若输入/输出参数中包含MAC地址,则MAC地址统一定义为12字节的十六进制ASCII码,如:“048D38750406”
表B.6 网关本地能力开放接口
服务 包名/接口名: 方法 设置无线SSID开关状态 输入参数 int ssidIndex: 输出参数 无 com.chinatelString wlanSetState(int ssidIndex, boolean enable); 表示SSID序号,对于单频率网关为1-4,对于双频网关为1-8,当为0时,表示整个Wifi模块 boolean enable: 表示开启或关闭 ecom.smartgateway.deviceservice .CtWlanService 包名/接口名: 获取LAN侧网络信息 String lanGetNetInfo(); 无 \{ \\\\\\\\\} ] DevName为下挂终端的网络别名; DevType为设备类型(phone/Pad/PC/STB/OTHER); MAC为下挂终端的MAC地址; IP为下挂终端的IP地址; ConnectType为下挂终端和网关的连接形式(0:有线/1:无线); Port:具体连接端口(0:wifi连接,1:lan1口连接,2:lan2口连接,3:lan3口连接,4:lan4口连接), Brand为下挂设备品牌; OS为下挂设备操作系统; OnlineTime为下挂设备在线时长; com.chinatelecom.smartgateway.deviceservice .CtLanService 设置LAN侧设备访问权限 String lanSetDevAccessPermission(String macAddr, boolean internetAccess, boolean storageAccess); 获取LAN侧设备Internet访问黑名单 String String macAddr: 表示设备MAC地址 boolean internetAccess: 表示是否允许访问Internet boolean storageAccess: 表示是否允许访问存储设备 无 无 MacList\ { \