ICS35.040 L80 中华人民共和国国家标准 GB/T32927—2016 信息安全技术 移动智能终端安全架构 Informationsecuritytechnology—Securityarchitectureofmobilesmartterminal 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅰ ………………………………………………………………………………………………………… 引言 Ⅱ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义、缩略语 1 ……………………………………………………………………………………… 3.1 术语和定义 1 ………………………………………………………………………………………… 3.2 缩略语 2 ……………………………………………………………………………………………… 4 移动智能终端的安全架构 2 ……………………………………………………………………………… 4.1 安全架构概述 2 ……………………………………………………………………………………… 4.2 安全目标 3 …………………………………………………………………………………………… 5 移动智能终端的安全需求 3 ……………………………………………………………………………… 5.1 硬件安全 3 …………………………………………………………………………………………… 5.2 系统软件安全 3 ……………………………………………………………………………………… 5.3 应用软件安全 4 ……………………………………………………………………………………… 5.4 用户数据安全 5 ……………………………………………………………………………………… 5.5 接口安全 5 …………………………………………………………………………………………… 参考文献 7 ………………………………………………………………………………………………………GB/T32927—2016 前 言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:工业和信息化部电信研究院、北京邮电大学、中国移动通信集团公司、中国联合网 络通信集团有限公司、北京展讯高科通信技术有限公司、百度在线网络技术(北京)有限公司。 本标准主要起草人:潘娟、宁华、梁洪亮、落红卫、杨光华、何申、董慧、师延山、满志勇。 ⅠGB/T32927—2016 引 言 随着移动智能终端的广泛应用以及功能的不断扩展,其使用过程中的安全问题被越来越多的用户 所关注。近年来,恶意吸费、窃听、用户信息泄露等安全事件频发,使用户对移动智能终端的安全性产生 顾虑,进而影响到移动智能终端和移动互联网应用的发展。本标准的制定,旨在通过移动智能终端的安 全架构,指导移动智能终端安全标准体系的建设,规范移动智能终端涉及的设计、开发、测试、评估工作, 提高移动智能终端的安全水准,降低移动智能终端面临的风险,保护用户个人安全以及国家安全,推动 整个互联网的健康发展。 本标准中涉及到的密码应用,依据国家密码管理局规定实施。 本标准给出移动智能终端安全架构,并提出安全需求,为利于创新和发展,对移动智能终端安全架 构各部分的具体技术实现方式、方法等不做规定。 ⅡGB/T32927—2016 信息安全技术 移动智能终端安全架构 1 范围 本标准提出了移动智能终端的安全架构,描述了移动智能终端的安全需求。 本标准适用于移动智能终端涉及的设计、开发、测试和评估。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T25069—2010 信息安全技术 术语 3 术语和定义、缩略语 3.1 术语和定义 GB/T25069—2010界定的以及下列术语和定义适用于本文件。 3.1.1 安全机制 securitymechanism 实现安全功能,提供安全服务的一组有机组合的基本方法。 3.1.2 安全架构 securityarchitecture 由多个安全的模块构成的一个相互协作的体系结构。 3.1.3 安全审计 securityaudit 对信息系统的各种事件及行为实行监测、信息采集、分析,并针对特定事件及行为采取相应的动作。 3.1.4 代码签名 codesignature 利用数字签名机制,由具有签名权限的实体对全部或部分代码进行签名的机制。 3.1.5 访问控制 accesscontrol 一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。 3.1.6 漏洞 vulnerability 计算机信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷。这些缺陷以不 同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对计算机信息系统 的安全造成损害,从而影响计算机信息系统的正常运行。 3.1.7 授权 authorization 在用户身份经过认证后,根据预先设置的安全策略,授予用户相应权限的过程。 1GB/T32927—2016 3.1.8 数字签名 digitalsignature 附在数据单元后面的数据,或对数据单元进行密码变换得到的数据。允许数据的接收者验证数据 的来源和完整性,保护数据不被篡改、伪造,并保证数据的不可否认性。 3.1.9 移动智能终端 mobilesmartterminal 能够接入移动通信网,提供应用软件开发接口,并能够安装和运行应用软件的移动终端。 3.1.10 应用软件 applicationsoftware 移动智能终端操作系统之上安装的,向用户提供服务功能的软件。 3.1.11 用户 user 使用移动智能终端,与移动智能终端进行交互的对象。 3.1.12 用户数据 userdata 由用户产生或为用户服务的数据,包括由用户在本地生成的数据、为用户在本地生成的数据、在用 户许可后由外部进入用户数据区的数据等。 3.2 缩略语 下列缩略语适用于本文件。 NFC 近距离通信 (nearfieldcommunication) USB通用串行总线(universalserialBUS) WLAN无线局域网 (wirelesslocalareanetwork) 4 移动智能终端的安全架构 4.1 安全架构概述 移动智能终端由硬件、系统软件、应用软件、接口、用户数据组成。硬件包括处理器、存储芯片、输入 输出等部件。系统软件包括操作系统、基础通信协议软件等。应用软件包括预置和安装的第三方应用 软件。用户数据包括位置信息、账户信息、通信录、照片等所有由用户产生或为用户服务的数据。接口 包括蜂窝网络接口、无线外围接口、有线外围接口、外置存储设备等。 移动智能终端的安全架构包含硬件安全、系统软件安全、应用软件安全、接口安全、用户数据安全五 个组成部分。如图1所示。 图1 移动智能终端的安全架构 2GB/T32927—2016 硬件安全为移动智能终端提供基础的安全保障。 系统软件安全基于硬件安全,提供系统级别的安全保障。 应用软件安全保障业务层面的安全可靠。 用户数据安全为个人信息提供保护。 接口安全保障移动智能终端接口的通信安全。 4.2 安全目标 移动智能终端的安全目标是通过提出硬件、系统软件、应用软件、用户数据、接口等方面的安全需 求,提高移动智能终端的安全能力,降低移动智能终端所面临的网络攻击、恶意软件等风险,保证移动智 能终端的保密性、可用性和完整性。 5 移动智能终端的安全需求 5.1 硬件安全 5.1.1 标识唯一 移动智能终端硬件具备唯一可识别性,硬件标识区域通常不可被改写;若硬件标识区域可被改写, 则该改写是受控的,移动智能终端能够识别改写发生,并采取措施进行控制。 5.1.2 芯片安全 移动智能终端芯片具备完整性和保密性保护机制,或支持通过增加安全芯片来保证完整性和保密 性,安全芯片具备抵抗物理攻击、错误注入、旁路攻击等能力。安全芯片的选取应遵循相应的国家密码 管理政策。 5.1.3 安全启动 引入安全启动机制,系统启动按照用户设定的方式,建立初始环境,监督安全启动过程。开机时采 用开机认证,系统启动后对操作系统装载信息,操作系统内核、硬件配置、关键应用等进行一致性校验, 防止加载非授权的系统软件和应用软件,防御绕过操作系统的攻击等。 5.2 系统软件安全 5.2.1 认证鉴权 激活或使用移动智能终端需经过用户鉴别。在终端不活动时间达到规定值时系统锁定会话,同时 支持由用户发起的会话锁定。终端支持开机时和开机后锁定状态下的鉴别保护,例如:口令、图案、生物 特征识别等多种形态的鉴别。其中口令为必选的保护形式,其他形式为可选。 5.2.2 访问控制 移动智能终端提供访问控制机制,限制对移动智能终端应用、数据、进程及接口等的非授权访问。 5.2.3 安全域隔离 移动智能终端对系统资源和各类数据进行安全域隔离,对存储空间进行划分,不同存储空间用于存 储不同的数据或代码。不同进程所使用的空间和资源进行逻