2022移动智能终端安全能力测试方法.docx

《2022移动智能终端安全能力测试方法.docx》由会员分享，可在线阅读，更多相关《2022移动智能终端安全能力测试方法.docx（53页珍藏版）》请在优知文库上搜索。

1、移动智能终端安全能力测试方法前言II引言III1范围12规范性引用文件13术语、定义和缩略语13.1 术语和定义13.2 缩略语24移动智能终端安全能力测试方法24.1 概述及基本要求24.2 移动智能终端硬件安全能力34.3 移动智能终端操作系统安全能力54.4 移动智能终端外围接口安全能力264.5 移动智能终端应用层安全能力314.6 移动智能终端用户数据安全保护能力415移动智能终端功能限制性要求测试方法46移动智能终端安全能力测试方法1范围本标准规定了移动智能终端安全能力的测试方法，包括移动智能终端的硬件安全能力、操作系统安全能力、外围接口安全能力、应用层安全能力和用户数据保护安全能

2、力等的测试方法。本标准适用于各种制式的移动智能终端，个别条款不适用于特殊行业、专业应用，其他终端参考使用。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T1886-2009移动终端芯片安全技术要求和测试方法TAF-WG4-ASOO15-V1.0.0:2018移动智能终端安全能力技术要求YD/T3228-2017移动应用软件安全评估方法3术语、定义和缩略语3.1 术语和定义下列术语和定义适用于本文件。3.1.1. 13.1.1移动智能终端smartmobilete

3、rminal具有接入移动通信网能力，能够提供应用程序开发接口的开放操作系统，并能够安装和运行应用软件的移动终端。3.1.23. 1.2安全能力securitycapability在移动智能终端上可实现的，能够防范安全威胁的技术手段。3.1.33. 1.3用户user使用移动智能终端资源的对象，包括人或第三方应用程序。3.1.43. 1.4用户数据userdata移动智能终端上存储的用户个人信息，包括由用户在本地生成的数据、为用户在本地生成的数据、在用户许可后由外部进入用户数据区的数据等。3.1.53. 1.5授权authorization在用户身份经过认证后，根据预先设置的安全策略，授予用户相

4、应权限的过程。3.1.63. 1.6数字签名digitalsignature附在数据单元后面的数据，或对数据单元进行密码变换得到的数据。允许数据的接收者验证数据的来源和完整性，保护数据不被篡改、伪造，并保证数据的不可否认性。3.1.73. 1.7代码签名codesignature利用数字签名机制，由具有签名权限的实体对代码全部或部分功能进行签名的机制。3.1.83. 1.8移动智能终端操作系统OPeratOrsystemofsmartmobileterminal移动智能终端最基本的系统软件，它控制和管理移动智能终端各种硬件和软件资源，并提供应用程序开发的接口。3.2 缩略语下列缩略语适用于本文

5、件。API应用程序编程接口CNNVD中国国家信息安全漏洞库CNVD国家信息安全漏洞共享平台CR1.证书撤销列表1.AWMO锁定/擦除管理对象NFC近场通信OCSP在线证书状态协议W1.AN无线局域网ApplicationProgrammingInterfaceChinaNationalVulnerabilityDatabaseofInformationSecurityChinaNationalVulnerabilityDatabaseCertificateRevocation1.ist1.ockandWipeManagementObjectNearFieldCommunicationOnlin

6、eCertificateStatusProtocolWireless1.ocalAreaNetwork4移动智能终端安全能力测试方法1 .1概述及基本要求本章描述了针对移动智能终端的各种安全能力进行评测的方法。评测结果有以下两种：-未见异常：通过评测方法没有发现存在安全风险或安全事件；-不符合要求：直接发现安全事件或不符合安全能力要求。本章中所提及的确认见TAF-WG4-AS0015-V1.002018移动智能终端安全能力技术要求中的要求。移动智能终端应支持预置应用软件安全测试模式，即预置应用软件信息安全测试系统可通过该模式拦截并记录预置应用软件对操作系统的调用行为，具体行为见TAF-WG4-

7、AS0015-V1.0.0:2018移动智能终端安全能力技术要求中5.5.5节要求。此模式仅用于配合进行测试，正式上市终端应关闭此模式。移动智能终端预置应用软件安全测试模式应满足以下要求：a）终端厂商应配合提供满足测试需求的权限，或其他技术手段；b）终端操作系统应能够输出预置应用软件调用信息安全测试相关API的log信息。若操作系统可安装的第三方应用软件均为单一来源，且此来源内的应用软件均符合YD/T3228-2017移动应用软件安全评估方法的3级要求，则终端厂商应提供测试方法配合验证软件来源的唯一性。2 .2移动智能终端硬件安全能力4 .2.1安全运行区域测试编号：421测试项目：安全运行区

8、域项目要求：见TAF-WG4-AS0015-V1.002018第5.2.1节预置条件：被测移动智能终端处于正常工作状态测试步骤：步骤1：审查厂商提交的文档，查看硬件系统结构图，检查安全运行区域是否采用物理隔离。预期结果：在步骤1后，如果硬件系统结构无法保证安全运行区域采用物理隔离，则该项目评测结果为“不符合要求”，评测结束。在步骤1后，如果硬件系统结构保证安全运行区域采用物理隔离，则该项目评测结果为“未见异常”，评测结束。5 .2.2安全启动测试编号：4.2.2测试项目：安全启动项目要求：见TAF-WG4-人$001571.0.0:2018第5.2.2节预置条件：被测移动智能终端处于正常工作状

9、态测试步骤：步骤1：审查厂商提交的文档，查看被测移动智能终端是否具有安全启动机制;步骤2：使用非授权代码在被测移动智能终端执行安全启动的完整性验证；步骤3：使用被测移动智能终端安全启动代码执行完整性验证。预期结果：在步骤1后，如果被测移动智能终端不具有安全启动机制，则该项目评测结果为“不符合要求”，评测结束。在步骤2后，如果被测移动智能终端执行安全启动过程，则该项目评测结果为“不符合要求”，评测结束。在步骤3后，如果正常执行安全启动过程，则该项目评测结果为“未见异常”，评测结束；如果无法正常执行安全启动过程，则该项目评测结果为“不符合要求”，评测结束。4.2.3防物理攻击能力测试编号：423测

10、试项目：防止物理攻击能力项目要求：见TAF-WG4-AS0015-V1.002018第5.2.3节预置条件：被测移动智能终端处于正常工作状态测试步骤：步骤1：审查厂商提交的文档，验证厂商已声明硬件具有防护非侵入、半侵入和侵入式等物理攻击的能力；步骤2：通过实验验证关键硬件具有抵抗旁路攻击、错误注入攻击的能力，旁路攻击包括但不限于一简单功耗分析（SPA）、差分功耗分析（DPA）、相关功耗分析（CPA）、电磁辐射分析（EMA）、模板分析等，错误注入攻击包括但不限于一时钟毛刺分析、电压毛刺分析、光信号分析、电磁信号分析等；步骤3：查看是否存在信息泄漏，包括但不限于密钥、加密数据。预期结果：在步骤1后

11、，如果移动智能终端硬件不具备该项防护机制，则该项目评测结果为“不符合要求”，评测结束；在步骤3后，如果能够获得或篡改密钥、加密数据等信息，或获得相应泄漏点，则该项目评测结果为“不符合要求”，反之则评测结果为“未见异常”，评测结束。4.2.4安全属性测试编号：424测试项目：安全属性项目要求：见TAF-WG4-AS0015-V1.002018第5.2.4节预置条件：被测移动智能终端处于正常工作状态测试步骤：步骤1：审查厂商提交的文档，验证厂商已声明一些输入输出接口在安全环境下配置为安全属性，输入部分包括键盘、触摸屏、麦克风和生物识别，输出部分包括显示、音频和指示；步骤2：使用非授权操作系统或应用

12、软件访问安全属性的接口。预期结果：在步骤1后，如果被测移动智能终端不具备接口安全属性可配置，则该项目评测结果为“不符合要求”，评测结束；在步骤2后，如果能够正常访问安全属性的接口,则该项目评测结果为“不符合要求”，评测结束；如果拒绝访问安全部件并报错，则该项目评测结果为“未见异常”，评测结束。4. 2.5根密钥生成与保护测试编号：425测试项目：根密钥生成与保护项目要求：见TAF-WG4-AS0015-V1.0.0:2018第5.2.5节预置条件：被测移动智能终端处于正常工作状态测试步躲：步骤I：审查厂商提交的文档，验证厂商已声明根密钥随机生成，审查生成根密钥的随机数焰值；步骤2：审查根密钥的

13、生成、分发和存储方式，评估根密钥是否存在泄漏的风险。预期结果：在步骤1后，如果被测移动智能终端硬件根密钥的生成不满足随机性要求，则该项目评测结果为“不符合要求”，评测结束；在步骤2后，如果被测移动智能终端硬件根密钥生成、分发和存储过程存在泄漏的风险，则该项目评测结果为“不符合要求”，评测结束；否则，该项目评测结果为“未见异常”，评测结束。4.3移动智能终端操作系统安全能力4.3.1安全调用控制能力4.3.1.1通信类功能受控机制4.3.1,1.1拨打电话受控机制测试编号：431.1.1测试项目：拨打电话的受控机制项目要求：见TAF-WG4-ASOO15-V1.0.0:2018第5.3.1.1.

14、1节预置条件：被测移动智能终端处于正常工作状态测试步躲：步骤1：检查被测移动智能终端的操作系统是否提供拨打电话的开发功能；步骤2：如果移动智能终端操作系统提供拨打电话的开发功能，使用该功能开发拨打电话应用程序；步骤3：运行该应用程序，查看终端是否要求用户确认拨打电话步骤4：运行该应用程序定制呼叫转移业务，查看终端是否提示说明应用程序操作内容，且要求用户确认。预期结果：在步骤1后，如果移动智能终端操作系统不提供拨打电话的开发功能，则该项目评测结果为“未见异常”，评测结束;在步骤3后，如果移动智能终端不要求用户确认，并成功拨打电话，则该项目评测结果为“不符合要求”,评测结束；在步骤3后，如果移动智

15、能终端要求用户确认拨打电话行为，则继续执行步骤4；在步骤4后，如果移动智能终端提示用户应用程序操作内容，且要求用户确认，则该项目评测结果为“未见异常”，在步骤4后，如果移动智能终端不提示用户应用程序操作内容，则该项目评测结果为“不符合要求”，评测结束。4.3.1.1.2三方通话受控机制测试编号：4.3.1.1.2测试项目：三方通话的受控机制项目要求：见TAF-WG4-ASOO15-V1.0.0:2018第531.1.2节预置条件：被测移动智能终端处于正常工作状态测试步骤：步骤1：检查被测移动智能终端的操作系统是否提供三方通话的开发功能；步骤2：如果移动智能终端操作系统提供三方通话的开发功能，使用该功能开发三方通话应用程序：步骤3：运行该应用程序，查看终端是否要求用户确认三方通话。预期结果：在步骤1后，如果移动智能终端操作系统不提供三方通话的开发功能，则该项目评测结果为“未见异常”，评测结束；在步骤3后，如果移动智能终端要求用户确认，则该项目评