声明

本文是学习移动智能终端安全技术要求及测试评价方法. 下载地址 http://github5.com/view/627而整理的学习笔记,分享出来希望更多人受益

移动智能终端缩略语

下列缩略语适用于本文件。

API: 应用程序编程接口(Application Programming Interface)

NFC: 近场通信(Near Field Communication)

WLAN: 无线局域网(Wireless Local Area Network)

移动智能终端概述

移动智能终端安全架构主要包括5个部分:硬件安全、系统安全、应用软件安全、通信连接安全和用户数据安全。硬件主要包括基础硬件模块、硬件接口和外设;系统主要包括硬件驱动、软件系统内核、各种函数库、基础服务等;应用软件主要包括运行于移动智能终端系统之上的各种本地及Web应用,包括消费类应用,行业应用等各类别应用软件;通信连接主要包括网络接入、通信过程、外围接口;用户数据主要包括移动智能终端上的用户数据及应用软件产生的用户数据。如图1所示。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MHfeghWG-1672526889060)(media/223354f30a3c1c90f7a9caa0ec8e81ba.png)]

移动智能终端安全架构

本标准基于移动智能终端的安全架构,提出了移动智能终端安全技术要求及测试评价方法,包含硬件安全,操作系统安全,应用软件安全,通信连接安全,用户数据安全五个部分。

本标准凡涉及到采用密码技术解决保密性、完整性、真实性、不可否认性需求的应遵循密码相关国家标准和行业标准。

移动智能终端安全技术要求

硬件安全

在用户不知情的情况下,芯片不应存在可访问芯片内存或更改芯片功能的隐藏接口,包括在芯片设计验证阶段使用的调试接口。

操作系统安全

签名校验机制

系统应具备签名校验机制,未经签名的应用软件尝试安装时,系统应拒绝安装,当未经签名认证的应用软件尝试安装时,系统应给用户安全风险提示。

标识与鉴别

系统应支持用户和应用软件的标识与鉴别,具体技术要求如下:

  • 系统用户应具有唯一标识,仅允许具有标识的用户访问系统安全功能和敏感数据;
  • 安装后的应用软件应具有唯一标识,仅允许具有标识的应用软件访问系统安全功能和敏感数据;
  • 在用户执行任何与系统安全功能相关操作之前应对用户进行鉴别。鉴别手段应至少支持口令/图案/生物识别等机制中的一种进行身份鉴别;
  • 系统应提供受保护的鉴别反馈;
  • 当用户对鉴别信息进行修改操作前,应确认用户具备对鉴别信息的修改权限。

访问控制

系统应对用户和应用软件实施访问控制,具体技术要求如下:

  • 系统应预置访问控制策略,并可由授权用户更改,更改前需进行身份鉴别;
  • 允许授权用户及应用软件以访问控制策略规定方式访问应用软件、系统数据等资源,阻止非授权用户及应用软件访问。
  • 主体的访问控制属性应至少包括:读、写、执行、删除等;客体的访问控制属性应包含可分配给主体的读、写、执行、删除等。

权限管控

系统应具备权限管控机制,授权用户可管控应用软件访问与电话、短信、通讯录、通话记录、日历、定位、麦克风、拍照和摄像、传感器、设备信息、应用软件列表、媒体影音数据、蜂窝网络、WLAN、蓝牙等相关的敏感接口,管控策略应至少包括允许、拒绝,且用户可以更改。

安全隔离

系统应对资源及数据按照敏感程度和对移动智能终端影响程度进行安全域划分,不同安全域之间应有相应的隔离策略,安全域之间的安全策略应通过对应的访问控制实现,具体技术要求如下:

  • 应对应用软件采用隔离机制,未获得相应访问授权的应用软件不可访问超出其访问控制范围内的应用软件资源及系统资源;
  • 支持多用户机制的移动智能终端,应提供多用户之间的安全隔离机制;
  • 预置多系统的移动智能终端,应提供多系统之间的安全隔离机制。

日志审计

系统应具备日志审计能力,具体技术要求如下:

应对系统运行记录、报警记录、操作日志、应用软件运行日志、配置信息等安全事件生成审计日志。审计日志内容应包括事件发生的时间、主体、对象、事件描述和结果等。

升级更新

系统应支持升级更新,具体技术要求如下:

  • 系统应支持升级更新,且能够对更新来源进行鉴别。当移动智能终端不能保证安全更新时,应在更新前或使用说明中明示安全风险;
  • 具有原始数据备份能力,升级后安全属性(安全防护机制)应与升级前保持一致; 避免更新失败导致系统失效。

恶意代码防范

系统应提供安全保护机制防范恶意代码攻击,具体技术要求如下:

系统应能识别检测非授权访问过程、权限异常变化、恶意软件安装等恶意行为,给予用户警告,并采取相应安全措施如拒绝访问、数据隔离等,防止恶意攻击发生。

应用软件安全

软件签名认证

应用软件应采用签名认证机制,具体技术要求如下:

  • 应用软件应使用数字证书对其进行签名,保证应用软件开发者或提供者所使用的数字证书信息真实、唯一、不可否认;
  • 应用软件中应包含签名信息,且签名信息真实可信。

通信功能调用

应用软件调用通信功能时,应满足的具体技术要求如下:

  • 应用软件应在用户同意后调用移动智能终端通信功能,防止出现应用在未向用户明示且未经用户同意,调用移动智能终端通信功能的行为;
  • 应用软件应在用户同意后通过移动通信网络数据连接、WLAN网络连接、无线外围接口传送数据;
  • 应用软件应在用户同意后拨打电话、发送短信、发送彩信、开启移动通信网络连接并收发数据。

应用软件代码安全

应用软件应具备必要的安全机制以保障代码安全,具体技术要求如下:

  • 应用软件应采取必要的安全机制,防止软件被逆向分析;
  • 应用软件宜采取代码混淆等机制实现反编译保护。

最小化权限

应用软件应基于最小化原则申请与电话、短信、通讯录、通话记录、日历、定位、麦克风、拍照和摄像、传感器、设备信息、应用软件列表、媒体影音数据等相关的权限,所申请权限、申请时机、访问资源应与当前服务场景密切相关。无正当理由,不应因用户未授权而拒绝提供相关服务或功能。

通信连接安全

网络接入安全

移动智能终端应支持安全协议在移动智能终端侧的实现。支持接入网络中的认证和鉴权、完整性校验、加密传输等安全扩展功能,协议安全性应符合相应国家及行业标准要求。

外围接口安全

移动智能终端具备外围接口(包括但不限于WLAN、蓝牙、NFC)时,应满足的具体技术要求如下:

  • 具备外围接口(包括但不限于WLAN、蓝牙、NFC)的移动智能终端应具备开关,可开启/关闭相应的外围接口;
  • 当应用软件调用开启外围接口时,移动智能终端应给用户相应的提示,当用户确认后连接方可开启;
  • 当通过蓝牙与不同设备进行第一次连接时,移动智能终端能够发现该连接并给用户相应的提示,当用户确认建立连接时,连接才可建立;
  • 当移动智能终端的蓝牙或NFC已开启或建立数据连接,移动智能终端宜在用户主界面上给用户相应的状态提示。

数据传输安全

移动智能终端通信数据应采用完整性检验机制,保证数据传输完整性,且具有通信时延和中断处理机制。

用户数据安全

用户数据收集

若移动智能终端收集用户数据,应满足的具体技术要求如下:

  • 移动智能终端若出于业务需要收集用户数据,应在收集前明示收集的目的、范围、频次、发生时机及对应业务使用场景,并且只有在用户同意的情况下方可继续,且应为用户提供可关闭数据收集功能的可选项;
  • 移动智能终端应在用户同意后开启通话录音、本地录音、后台截屏、拍照/摄像、接收短信和定位等功能;
  • 移动智能终端应在用户同意后读取用户本机号码、通讯录、通话记录、短信数据、上网记录、日程表数据、定位信息等。

用户数据存储

当用户数据存储在移动智能终端内部时,应为用户数据文件提供访问控制机制,防止未授权访问,用户敏感数据应在授权访问的基础上加密或脱敏后存储。

用户数据加工

若移动智能终端加工用户数据,应满足的具体技术要求如下:

  • 移动智能终端加工用户数据前,应明示加工数据的目的、方式和范围,不应有未向用户明示且未经用户同意,擅自修改用户数据的行为,包括在用户无确认情况下删除或修改用户通讯录、通话记录、短信数据、日程表数据的行为;
  • 移动智能终端及应用软件应提供访问控制机制,对数据设置适当操作权限,防止未经授权的访问和操作;
  • 移动智能终端及应用软件应对用户敏感数据采取适当的脱敏措施加工,避免存储其明文原始数据。

用户数据转移

若移动智能终端转移用户数据,应满足的具体技术要求如下:

  • 移动智能终端进行用户数据转移应按照约定目的和用途进行,传输数据之前应对双方进行身份认证和授权。应在用户同意后读取并传输用户数据,防止出现未向用户明示且未经用户同意,传输用户数据的行为;
  • 移动智能终端应在用户同意后读取并传送用户本机号码、通讯录、通话记录、短信数据、上网记录、日程表数据、多媒体数据、定位信息;
  • 移动智能终端转移的用户敏感数据应加密后转移。

用户数据删除

移动智能终端和应用软件对收集、加工、转移阶段所产生的用户数据及其缓存数据,应该提供自动删除或者授权用户手动删除的功能,数据删除后不影响移动智能终端正常使用。

移动智能终端架构图 移动智能终端核心技术_移动智能终端架构图