信息安全技术　移动智能终端安全架构

ICS

35.040L80OB中华人民共和GB/T I家标准XXXXX—XXXX信息安全技术移动智能终端安全架构Information securitytechnology-Security architectureof mobilesmart terminal（在提交反馈意见时，请将您知道的相关专利文件连同支持性文件一并附上）（征求意见稿）（本稿完成日期）2014/2/25发布实施xxxx-xx-xx xxxx-xx-中华人民共和国国家质量监督检验检疫总局中国家标准化管理委员会远程保护在用户手机被盗或遗失情况下，保障终端中的用户数据不被泄露远程保护机制包括远程锁定移动智能终端、远程销毁用户数据、远程启动拍照功能并上传等移动智能终端提供的远程保护功能具备安全设置，确保远程保护功能仅在达到了用户预设条件的情况下才会启动会话锁定

5.

5.2移动智能终端能在不活动时间达到规定值时锁定会话同时也支持由用户发起的会话锁定重新激活终端必须经过用户的再次鉴别移动智能终端支持开机时的密码保护和开机后锁定状态下的密码保护,例如口令、图案、生物特征识别等多种形态的密码其中口令密码为必选的保护形式，其它形式为可选状态提示

5.

5.3应用、蜂窝网络、、蓝牙、、定位、等状态对用户可见WLAN USBNFC配置管理

5.

5.4用户通过移动智能终端提供的安全配置工具，选择适用的安全配置用户确认

5.

5.5安装应用或执行敏感操作需由用户确认敏感操作包括拨打电话，发送短信、开启/关闭无线接入、开启定位功能、开启照相机、记录语音、对通讯录、通话记录、照片等个人数据进行读、写、修改、删除等密钥管理

5.

5.6密钥在产生、存储、传输、销毁、恢复等过程中均受到安全机制的保护用户数据

5.

5.7建立通讯录、通话记录、信息、浏览记录、账户信息、照片、基站、位置、等用户数据的安全保WLAN护机制，阻止未经许可获取用户的个人数据移动智能终端具备用户数据的加密存储、备份、彻底删除等功能，未经授权的任何实体不能从移动智能终端的加密存储区域的数据中还原出用户私密数据的真实内容信息收集

5.

5.8建立个人信息的收集规则，规范收集方式，阻止未经用户许可的信息收集行为，用户可以监测信息被收集情况通过规范被收集信息的用途，确保不被用于用户未授权的用途文件分级

5.

5.9建立数据的分类原则，设计文件的安全级别，针对不同级别采用不同的安全机制如通讯录、、通SMS话记录等数据应列为较高的安全级别通过访问控制、加密等手段，阻止未经授权的访问接口安全

5.6网络接入安全

5.

6.1移动智能终端支持中所定义安全协议在终端侧的实现，支持接入网络中的鉴权和认证、数据机3Gpp3G密性和数据完整性服务等机制，支持移动智能终端侧和网络侧的认证话音通信安全

6.

6.2移动智能终端提供对电路域应用软件的访问控制机制，只有授权应用软件才能够在程序运行过程中启动电路域连接移动智能终端能够监测所有应用软件的电路域连接尝试，当出现电路域连接尝试时，能够发现该连接尝试并给用户相应的提示在电路域连接建立后，移动智能终端能够对电路域的连接进行监控数据通信安全

7.

6.3移动智能终端提供对分组域应用软件的访问控制机制，只有授权应用软件才能够在程序运行过程中启动分组域连接移动智能终端能够监测所有应用软件的分组域连接尝试，当出现分组域连接尝试时，能够发现该连接尝试并给用户相应的提示在分组域连接建立后，移动智能终端能够对分组域传输的数据进行监控，监控的内容包括数据传输的上下行流量，数据连接的对端地址无线外围接口

5.

6.4移动智能终端具备开关，可开启、关闭蜂窝网络、、蓝牙、红外、等无线接入方式当无线WLAN NFC外围接口建立数据连接时，移动智能终端能够发现该连接并给用户相应的状态提示，仅当用户确认建立本次连接时，连接才可建立用户可以监测数据传输状态，以防止非法连通、非法数据访问和数据传输等移动智能终端可采用安全协议保障无线外围接口通信的安全有线外围接口

5.

6.5对于支持有线外围接口的移动智能终端，当有线外围接口建立数据连接时，移动智能终端给用户相应的提示，仅当授权用户确认本次连接时，连接才可以建立移动智能终端可采用安全协议保障有线外围接口通信的安全外置存储设备

5.

6.6对于支持外置存储设备的移动智能终端，限制非授权应用软件对外置存储设备的访问授权应用软件存储•、移动、复制、转存重要数据至外置存储设备时，移动智能终端应提供加密机制参考文献信息技术安全技术信息技术安全性评估准则第部分简介和一般模型

[1]GB/T18336-20081信息技术安全技术信息技术安全性评估准则第部分:安全功能要求

[2]GB/T18336-20082信息技术安全技术信息技术安全性评估准则第部分:安全保证要求

[3]GB/T18336-20083信息安全技术引入可信第三方的实体鉴别及接入架构规范

[4]GB/T28455-2012移动终端信息安全技术要求

[5]YD/T1699-2007移动终端芯片安全技术要求和测试方法

[6]YD/T1886-2009移动智能终端安全能力技术要求

[7]YD/T2407-2013移动智能终端安全能力测试方法

[8]YD/T2408-2013

[9]ISO/IEC15408-1:2009Information technology-Security techniques-Evaluation criteriafor ITsecurity—Part1:Introduction andgeneral model

[10]ISO/IEC15408-2:2008Information technology—Security techniques—Evaluation criteriafor ITsecurity—Part2:Security functionalcomponents

[11]ISO/IEC15408-3:2008Information technology—Security techniques—Evaluation criteriafor ITsecurity-Part3:Security assurancecomponents

[12]NIST SP800-124,Guidelines onCell Phoneand PDASecurity,2008,8

[13]NIST SP800-124-rev1guidelines forManaging andSecuring MobileDevices inthe Enterprise,2012

[14]US-Cert,cyber_threats_to_mobile_phones,2013

[15]US-Cert,Protecting PortableDevices:Data Security,Security TipST04-020,2013

[16]US-Cert,Protecting PortableDevices:Physical Security,Security TipST04-020,2013目次前言II弓言I Ill范围11规范性引用文件21术语、定义和缩略语31术语和定义

3.11缩略语

3.22移动智能终端概述42移动智能终端概述4移动智能终端的架构

4.13移动智能终端的安全目标

4.23移动智能终端的安全需求

4.33移动智能终端的安全架构53安全架构概述

5.13硬件安全

5.24系统软件安全

5.34应用软件安全

5.45用户数据安全

5.55接口安全

5.66参考文献8-LX.刖本标准按照给出的规则起草GB/TL1-2009本标准由全国信息安全标准化技术委员会提出并归口SAC/T260本标准起草单位工业和信息化部电信研究院、北京邮电大学、中国移动通信集团公司、中国联合网络通信集团有限公司、北京展讯高科通信技术有限公司、百度在线网络技术北京有限公司本标准主要起草人潘娟、落红卫、宁华、梁洪亮、杨光华、何申、董慧、师延山、满志勇目次前言II弓言I Ill范围11规范性引用文件21术语、定义和缩略语31术语和定义

3.11缩略语

3.22移动智能终端概述42移动智能终端概述4移动智能终端的架构

4.13移动智能终端的安全目标

4.23移动智能终端的安全需求

4.33移动智能终端的安全架构53安全架构概述

5.13硬件安全

5.24系统软件安全

5.34应用软件安全

5.45用户数据安全

5.55接口安全

5.66参考文献8-LX.刖本标准按照给出的规则起草GB/TL1-2009本标准由全国信息安全标准化技术委员会提出并归口SAC/T260本标准起草单位工业和信息化部电信研究院、北京邮电大学、中国移动通信集团公司、中国联合网络通信集团有限公司、北京展讯高科通信技术有限公司、百度在线网络技术北京有限公司本标准主要起草人潘娟、落红卫、宁华、梁洪亮、杨光华、何申、董慧、师延山、满志勇随着移动智能终端的广泛应用以及功能的不断扩展，其使用过程中的安全问题被越来越多的用户所关注近年来，恶意吸费、窃听、位置信息泄露等安全事件频发，使用户对移动智能终端的安全性产生顾虑，进而影响到移动智能终端和移动互联网应用的发展本标准的制定，旨在通过移动智能终端的安全架构，指导移动智能终端安全标准体系的建设，规范移动智能终端涉及的设计、开发、测试、评估工作，提高移动智能终端的安全水准，降低移动智能终端面临的风险，保护用户个人安全以及国家安全，推动整个互联网的健康发展本标准给出移动智能终端安全架构，并提出安全要求，为利于创新和发展，对移动智能终端安全架构各部分的具体技术实现方式、方法等不做规定信息安全技术移动智能终端安全架构范围1本标准规定了移动智能终端的安全架构本标准适用于移动智能终端涉及的设计、开发、测试和评估规范性引用文件2下列文件对于本文件的应用是必不可少的凡是注日期的引用文件，仅所注日期的版本适用于本文件凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件信息安全技术术语GB/T25069-2010术语、定义和缩略语3术语和定义

3.1中界定的以及下列术语和定义适用于本文件GB/T25069-

20103.

1.1移动智能终端mobi Iesmart terminaI能够接入移动通信网，具有提供应用软件开发接口的开放操作系统，并能够安装和运行第三方应用软件的移动终端

3.

1.2安全架构secur ityarchitecture由各部分安全模块构成的一个相互协作的体系结构

3.

1.3安全机制security mechani sm实现安全功能，提供安全服务的一组有机组合的基本方法

3.

1.4用户user使用移动智能终端的对象，包括人或应用软件

3.

1.5用户数据user data由用户产生或为用户服务的数据，包括由用户在本地生成的数据、为用户在本地生成的数据、在用户许可后由外部进入用户数据区的数据等

3.

1.6访问控制access controI一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段

3.

1.7授权author izat ion在用户身份经过认证后，根据预先设置的安全策略，授予用户相应权限的过程

3.

1.8应用软件appI ication software移动智能终端操作系统之上安装的，向用户提供服务功能的软件

3.

1.9数字签名digital si gnature附在数据单元后面的数据，或对数据单元进行密码变换得到的数据允许数据的接收者验证数据的来源和完整性，保护数据不被篡改、伪造，并保证数据的不可否认性

3.

1.10代码签名code si gnature利用数字签名机制，由具有签名权限的实体对全部或部分代码进行签名的机制

3.

1.11恶意吸费ma Ii ci ouscharge无线局域网WLAN在用户不知情或未授权的情况下由终端上应用软件造成的用户经济损失

3.

1.12漏洞vuInerabi Iity漏洞是计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意接口、用户数据等架构如下:主体所利用，就会对计算机信息系统的安全造成损害，从而影响计算机信息系统的正常运行用缩略语

3.2户数下列缩略语适用于本文件据近距离通信near fieldcommunicationNFC操作系统operating system0S通用串行总线universal serialBUSUSBwireless localarea network移动智能终端概述4移动智能终端的架构

4.1在移动智能终端中需要保护的资产有硬件、系统软件、应用软件、Z应用软件/一X.系统软件接------------------------口、Z硬件___________________________________________________X k图移动智能终端的架构1——硬件包括处理器、存储芯片、输入输出等部件——系统软件包括操作系统、通信协议软件等——应用软件包括预置和安装的第三方应用软件——用户数据包括位置信息、账户信息、通信录、照片等所有由用户产生或为用户服务的数据——接口包括蜂窝网络接口、无线外围接口、有线外围接口、外置存储设备等移动智能终端的安全目标

4.2移动智能终端的安全目标是保证移动智能终端的保密性、可用性和完整性，降低移动智能终端所面临的风险，保障用户的个人安全及国家安全移动智能终端的安全需求

4.3为达到移动智能终端的安全目标，需要建立移动智能终端的安全架构，确认硬件、系统软件、应用软件、用户数据、接口等多个方面的安全，规范移动智能终端涉及的设计、开发、测试、评估工作移动智能终端的安全架构5安全架构概述

1.1移动智能终端的安全架构包含硬件安全、系统软件安全、应用软件安全、接口安全、用户数据安全如应用软件安全用户接数口系统软件安全据安安全全硬件安全下图所示图移动智能终端的安全架构2硬件安全为移动智能终端提供基础的安全保障；系统软件安全基于硬件安全，提供系统级别的安全保障；应用软件安全保障业务层面的安全可靠；用户数据安全则为个人信息提供保护；接口安全保障移动智能终端接口的通信安全硬件安全

1.2安全启动

1.

2.1引入安全启动机制，系统启动按照用户设定的方式，建立初始环境，监督安全启动过程开机时采用开机认证，系统启动后对操作系统装载信息，内核、硬件配置、关键应用等进行一致性校验OS标识唯一

1.

2.

22.2移动智能终端硬件具备唯一可识别性，硬件标识区域通常不可被改写；若硬件标识区域可被改写，则该改写是受控的，移动智能终端能够识别改写发生，并采取措施进行控制抗物理攻击机制

1.

2.3关键器件具有抵抗篡改等物理攻击的能力，通过攻击获得有效信息十分困难如防止攻击者输入特定电压而使部分芯片进入非正常工作状态芯片安全

1.

2.4移动智能终端芯片具备完整性和机密性保护机制,或支持通过增加安全芯片来保证完整性和机密性系统软件安全

1.3访问控制

5.

3.1移动智能终端提供访问控制机制，限制对移动智能终端的非授权访问安全域隔离

6.

3.2移动智能终端对系统资源和各类数据进行安全域隔离，对存储空间进行划分，不同存储空间用于存储不同的数据或代码不同进程所使用的空间和资源进行逻辑隔离，如采用沙盒和虚拟机技术加密机制

1.

1.3移动智能终端提供加密机制，以保护敏感的用户数据和通信如用户的银行账户、信用卡账户、账户密码、用户自定义数据等应被加密存储安全审计

1.

1.4移动智能终端支持对操作进行细粒度的安全审计安全审计包括识别、记录、存储和分析与安全相关活动有关的信息、可通过检查审计记录结果判断发生了哪些安全相关活动以及哪些用户要对这些活动负责数字签名

1.

1.5移动智能终端提供认证签名机制，能够识别数据和代码的签名状态并提示用户，用户通过签名安装和使用可信的应用，未经过认证签名的应用软件仅当用户进行确认后才能执行下一步操作应用开发者对移动应用进行开发签名，上架的应用商店对应用进行分发签名，以保证应用的可溯源性可信机制

1.

1.6建立移动智能终端可信机制，可以引入安全可信模块，建立可信计算基，建立可信路径，通过信任链的传递，将信任扩展到整个平台甚至网络或者建立一个可信执行环境，将安全部件的运行与不安全部件的运行分离，安全存储用户的证书以及其他需要避免受到恶意软件和主操作系统攻击的安全区域,使得在操作系统中执行的攻击或操作系统中运行的应用无法访问受保护的软件和数据应用软件安全

5.4最小权限原则

5.

4.1在移动智能终端应用软件的开发过程中，需保证其所承载的应用软件自身的安全在权限声明中，遵循最小权限声明原则移动智能终端可验证应用软件权限声明的合理性应用安全分级预置或上架的应用被安全检测及安全定级后，移动智能终端能识别应用安全级别，供用户进行选择安装安全扫描

5.

4.3移动智能终端提供应用软件安装前的病毒和漏洞扫描机制，可以通过调用已实现此功能的安全软件进行扫描安全软件移动智能终端可安装防火墙、入侵检测系统、防病毒、防间谍等安全软件，对移动智能终端进行安全监测和保护用户数据安全

5.5远程保护

5.

5.1。