【通信行业标准(YD)】 移动终端信息安全技术要求

ICS3360
中华人民共和国通信行业标准
YD/T 1699~2007
移动终端信息安全技术要求
Information Security Technical Specification for Mobile Terminal2007-09-29 发布
2008-01-01实施
中华人民共和国信息产业部发布前言-
1范围
2规范性引用文件一
3术语与定义
4缩略语·
总体安全要求·
5.2移动终端的基本构成
5.3移动终端的安全框架
移动终端构成的一致性检验
基于角色的身份认证
访问控制
数据存储和访问安全
安全域隔离·
5.9安全审计·
6移动终端硬件安全要求·
6.1关键器件的安全**.
6.2物理接口的监控
7移动终端操作系统安全要求·
7.1文件系统·
7.2指令系统..
7.3系统管理.
7.4安全服务：
8移动终端接入安全要求
8.1接入安全…
8.2基本业务与功能
8.3安全接入相关信令协议
9移动终端与卡间的数据传输
10移动终端对业务应用的安全支持10.1安全组件的概念
10.2安全组件应用的策略
10.3安全组件的类别
YD/T1699-2007
本标准是移动终端信息安全系列标准之一，该系列标准的结构及名称如下：1：YD/T1699-2007移动终端信息安全技术要求；2.YD/T1700-2007移动终端信息安全测试方法。其中，YD/T1700-2007移动终端信息安全测试方法》是本标准的配套标准。YD/T1699-2007
本标准在制定过程中参考了GB/T 18336信息技术安全技术信息技术安全性评估准则YD/T1214-2006900/1800MHzTDMA数字蜂窝移动通信网通用分组无线业务（GPRS）设备技术要求：移动台》，YD/T1215-2006《900/1800MHzTDMA数字蜂窝移动通俏网通用分组无线业务（GPRS）设备翻试方法：移动台》和YD/T1558-20072GHzcdma2000数字蜂窝移动通信网设备技术要求：移动台。本标准由中国通信标准化协会提出并归口。本标准起草单位：大唐电信科技产业集团、中国移动通信集团公司、信息产业部电信研究院、华为技术有限公司、中兴通讯股份有限公司、中国普天信息产业集团公司本标准主要起草人：刘迪军、耿、静、孙正红、刘国庆、高建英1范围
移动终端信息安全技术要求
YD/T1699-2007
本标谁规定了移动终端设备的信息安全技术要求，包括总体安全要求、终端硬件的安全要求、终端软件的安全要求、操作系统的安全要求及对安全应用的支持。本标准适用于二代（包含二代）以上移动通信网的终端设备。本标准不包含EMC、EMI或电气安全等相关的技术要求。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的案款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T15843.2
GB/T 15843.3
GB/T 15851
GB/T 16649.3
YD/T 1214-2006
YD/T 1215-2006
YD/T 1558-2007
YD/T 1168-2007
ISO8730
3GPP TS 01.61
3GPP TS 24.008
3GPP TS 31.102
3GPP TS 31.111
3GPP TS 34.123-1
3GPP2 C.S0035
ETSI GSM 11.14
ETSI TS 102 221
ANSI X9.9
OAM DRM v2.0
信息技术安全技术实体鉴别第2部分：采用对称加密算法的机制信息技术安全技术实体监别第3部分：用非对称签名技术的机制信息技术安全技术带消息恢复的数字签名方案（idtISO/IEC9796）识别卡带触点的集成电路卡第3部分：电信号和传输协议（idtISO/IEC7816-3）900/180OMHzTDMA数字蜂窝移动通信网通用分组无线业备（GPRS）设备技术要求：移动台
900/1800MHzTDMLA数字蜂窝移动通信网通用分组无线业务（GPRS）设备测试方法：移动台
2GHzcdma2000数字蜂窝移动通信网设备技术要求：移动台CDMA数字蜂窝移动通信网用户识别模块（UIM）技术要求银行业务一消息鉴别要求
GPRS加密算法要求
移动无线接口层三规范：核心网协议USIM应用特性
USIM应用工具箱（USAT)
用户设备（UE）一致性规范；第1部分：协议一致性规范CDMA卡应用工具箱（CCAT）
数字蜂窝通信系统（第2+阶段）：用户识别模块一移动设备（SIM-ME）接口的SIM应用工具包规范
智能卡：UICC一终端接口：物理和逻辑特性金融机构的消息整别
数字版权管理标v2.0
YD/T 1699-2007
3术语与定义
下列术语和定义适用于本标雄。3.1
文件 file
文件是在逻辑上具有完整意义的信息的集合，它有一个名称以供识别。3.2
文件系统fllesystem
文件系统是操作系统中以文件方式管理移动终端软件资源的软件和被管理的文件和数据结构的集合。
机密性confidentiality
信息不提供给或不泄露给未授权方的属性。3.4
完整性 integrity
信息不被未授权方变更或破坏的属性：3.5
非否认性cannatbedisavawed
指能够保证信息行为人不能否认其信息行为。3.6
身扮认证 user authentication对用户身份标识的有效性进行验证和测试的过程。3.7
授权 authonization
在用户身份经过认证后，根据预先设置的安全策略授予用户相应权限的过程。3.8
授权用户 authorlzed use
依据安全策略可以执行某项操作的用户。概据实际操作的不同，可对应于本文所定义角色的任何一个。
访间控制accesscontrol
种防止资源被未授权用户使用的安全策略。3.10
安全事件securityevent
一种在移动终端资产管理、保护和分配过程中具有直接或潜在危害性的操作或行为。3.11
角色role
一组预先确定的规则，用于在用户和移动终端之间建立许可的交互。2
应用 application
指移动终端上用于实现业务功能的文件组或程序。3.13
数字签名digitalsignature
YD/T1699-2007
一种非对称加密数据变换，它使得接收方能够验证数据的可靠性和完整性，保护发送和接收的数据不被第三方伪造，同时对于发送方来说，还可用于防止接收方的伪造。3.14
随机数randomnumber
一个无法事先预料的时变参数。3.15
密钥 key
控制密码变换（如加密，解密、密码校验函数计算、签名产生或签名验证）运算的符号序列。3.16
密钥管理keymanagement
实施并运用对密钥材料进行产生、登记、认证、注销、分发、安装、存储、归档、撤销、衍生和销毁的服务。
证书 certificaticn
由认证机构签署的某一实体的不可伪造的公开密钥信息。3.18
证书管理certificationmanagement实施并运用证书的颁发、撤销、公布、存档和策略建立批准等服务。3.19
终端操作系统
operating system
是终端最基本的系统软件，它控制和管理终端各种硬件和软件资源，并提供应用程序开发的接口。4缩略语
下列缩略语适用于本标准。
Application Program InterfaceAttention
Digital Right Management
应用程序接口
终端设备问终端造配器所发送命令的两个开始字符
数字版权管理
IntemationalmobilestationEquipmentIdentification国际移动台设备识别号International MobileSubscriberIdentityMessage Authentication Code
Message Integrity Code
Personal Information Management国际移动用户识别号
消息认证码
消息完整性码
个人信息管理
YD/T 1699-2007
Personal Identity Number
PIN1/PIN2
5总体安全要求
5.1概速
用户身份识别号
一种可用于加密和数字签名的公钥密码算法，由Rivest、Shamir、Adleman发明移动终端作为移动业务对用广的惟一体现形式以及存储用产个人信息的载体，应配合移动网络保证移动业务的安全，实现移动网络与移动终端之间通信通道的安全可靠，同时保证用户个人信息的机密性，完整性。
为了达到以上安全日的，移动终端应提供措施保证系统参数、系统数据、用户数据、密钥信息、证书、应用程序等的完整性、机密性，终端关键器件的完整性、可靠性以及用户身份的真实性。因此在进行移动终端应用开发、设计时应充分考虑和提供一系列安全策略，主要如下：一一应提供措施对系统程序、应用程序、终端关键器件等进行一致性检验：一一应能够基于角色，为用户提供受控和受限的资源及对象的访问、操作权限：一一能够在不同角色用户访问移动终端之前，对用户的身份进行认证，识别用户所对应的角色，然后根据用户的角色对用户进行授权：一应提供措施对密钥、证书、系统参数、用户数据等进行有效的安全管理，保证存储数据的机密性、完整性、可靠性：
一移动终端应可对各个物理接口进行接入安全控制：一应保证系统程序，不同的应用程序及其所使用数据在物理及逻辑上的随离：一应提供记录安全相关事件的手段，以帮助管理及抵抗潜在攻击-移动终端中的关键器件应具有抵抗防燃改等物理攻击的能力，或应使通过此类攻计获得有效信息十分困难，以提高移动终端的自身安全防护能力：—应具有完善的系统操作权限管理能力：一应能够安全的接入网络：
一应能够与智能卡安全的进行信息交互：一应能够识别不同的应用并启用对应的安全策略。5.2移动终端的基本构成
移动终端是包括CPU、RAM、非易失性存储器、内存控制器、中断控制器、时钟电路、IO电路、各种通信接口及相关软件（操作系统、应软件）、通信协议栈等在内的通信设备。作为独立的物理实体，移动终端由于具有高速的处理器和大容量的存器，又能够直接和移动网络进行对话，所以很多安全功能和业务应用都可以比较方便的实现。但由于日前移动终端结构比较松散，没有提供措施对内部器件进行统一管理和认证：在操作系统设计上缺乏有效的安全策略：同时移动终端中所存储的数据其至程序在不同的程度上也是公开或开放的，随着技术租应用的发展，移动终端在进行业务应用时将面临多种安全威胁，如病毒、机密信息的泄露、代码的非法篆改、关键器件的恶意替换等。5.3移动终端的安全框架
为了克服移动终端存在的种种漏洞，将安全威胁降低到最小，移动终端应从硬件结构、软件结构入手，制定一系列安全策略保证移动终端以及其承载业务应用安全可靠。YD/T1699-2007
首先，移动终端应提供措施实现移动终端关键器件的究整性认证、系统代码的完整性认证、数据流的安全监控、应用程序的安全服务等，以保证移动终端在工作时，进入一个安全、可信的工作环境。其次，移动终端还应制定完善的安全控制策略、程序的域隔离策略，以实现用户的身份认证、程序的访问权限控制、程序之间通信的安全可靠以防止程序在运行过程中出现读取、修改、删除其他程序空间数据的非法攻击。
除了以上功能外，移动终端还应根据数据，文件的敏感性，对其进行分类存储，并对不同级别的数据、文件采取不同的安全措施：同时定义完善的安全审计策略，以帮助发现已发生的安全事件和潜在的安全风险。
5.4移动终端构成的一致性检验
5.4.1硬件模块的一致性检验
开机时，移动终端应具有硬件的自捡测功能，包括：1）硬件是否缺失；
2）关链部件是否被更换过：
3）更换的新部件是否合法
4）是否出现了未知的硬件设备。如果检测发现硬件模块出现问题，根据出现问题的不同类型，移动终端应能够采取如下安全措施中的一个或几个：
1）告警：
2）记录日志：
3）关机。
5.4.2系统软件的一致性检验
移动终端应具有系统软件的自检测功能，包括：1）系统软件是否被非法篡改（包括删除、修改和增加）：2）系统配置是否被非法篡改。
如果检测发现系统软件出现间题，根据出现问题的不同类型，移动终端应能够采取如下安全措施中的一个或几个：
1）告警：
2）记录日志：
3）关机：
4）恢复被修改的系统代码：
5）恢复被修改的系统设置。
5.4.3应用软件的一致性检验
移动终端应能对应用软件进行一致性检验，包括：1）软件代码完整性：
2）软件配置是否被非法墓改。
如果检测发现应用软件出现问题，根据出现问题的不同类型，移动终端应能够采取如下安全措施中的一个或儿个：
YD/T 1699-2007
1）告警;
2）记录日志；
3）禁止使用；
4）恢复被修改的配置：
5）恢复被修改的代码
5.5基于角色的身份认证
5.5.1基于角色的权限划分
角色是一组用户的集合加上一组操作权限的集合，根据移动终端的应用场景，将与移动终端接触的实体划分为四种角色：终端拥有者、业务提供商、终端生产商和终端维修商。终端生产商这一角色所对应的权限只在终端出厂前有效，终端出厂后，终端生产商拥有终端维修商角色所对应的权利。1.“终端拥有者”角色拥有的权限1）使用终端接受移动网络运营商提供的服务，包括接打/接听电话、发送/接受短消息、发送/接受多媒体短消息等：
2）使用终端接受业务提供商提供的业务，包括手机银行、数据下裁、浏览网络、浏览视频等：3）对移动终端系统进行配置，满足用户的个性化需要：4）安装/删除/使用应用程序：
5）读取，创建、修改、删除用户个人数据：6）读取系统产生的审计记录、系统日志等。2．“业务提供商”角色拥有的权限1）仅针对所捉供的业务，读取、写入、删除、修改移动终端上有关的数据：2）仅针对所提供的业务对移动终端进行与业务有关的配置：3）仅针对所提供的业务，对移动终端.上相关数据加解密。3．“终端生产商”角色拥有的权限1）对移动终端进行出广配置：
2）创建特定的系统文：
3）加密特定的数据：
4）预留维修指令。
4.“终端维修商”角色拥有的权限1）使用维修指令：
2）更换移动终端硬件：
3）为使移动终端正常工作而对终端进行必要的重新配置：4）读取、写入，删除、修改与维修移动终端有关的明文数据：5）加密、解密与维修移动终端有关的如密数据。5.5.2身份认证方式
不同角色用户访问移动终端之前，移动终端应对用户的身份进行认证，识别用户所对应的角色，然后根据用户的角色对用户进行授权。6
YD/T1699-2007
移动终端的激活可以采用的身份认证方式有口令认证、智能卡认证、生物特征识别及实体鉴别机制4种方式，并根据终端要达到的安全要求，以及不筒的角色选用其中的一种或者几种的组合。5.5.2.1口令认证
用户登录口令长度不应小于4位，而且还应规定一饮登录用户能够尝试的口令次数不超过5饮，以防止强力攻击。如果用户在规定的次数内没有输入正确的口令，移动终端应采用适当的安全措施，例如关机，锁定，停止用户正在进行的操作，并对此事件进行记录。用户登录口令在移动终端中应以密文或散列值的形式进行存储。
移动终端应提供界面供授权用户对用户登录口令进行使改：但不向用提供直接读敢的权限。5.5.2.2智能卡认证
与用户身份认证的相关信息存储在单独的智能卡中。使用时，用户首先要把智能卡插入移动终端，然后移动终端首先与智能卡交互，根据卡中的信息确定用户是否有进行该操作的权限，如果用户有相应的权限，操作正常进行；如果用户没有相应的权限，移动终端可以采用如下安全措施中的一种或者几种：1）停止用户正在进行的操作：
2）告警：
3）记录日志。
除了智能-卡，也可以采用USBKey等能代表身份的具有让算功能的防募改硬件。智能卡认证方式需要移动终端具有能够插入智能卡、USB Key等设备的物理接口。5.5.2.3生物特征认证
生物特征信息应以密文或散列值等形式进行存储。移动终端应提供界面供授权用对生物特征借息进行修改：在进行修改操作前需要输入用户口令，该口令可以和用户登陆口令相同，也可以是单独的用户口令。移动终端不例用户提供读取生物特征信息的权限。5.5.2.4实体鉴别机制
实体鉴别机制可有两类，一类以公钥体制为基础，采用数字签名技术，服务提供商或服务使用者使用本身的私钥对消息签名，而验证者使用对方的公钥验证签名，若正确，则确定对方的身份：一类为对称密码体制，服务提供商或服务使用者利用与验证方共享的密钥封装一消息，如验证方能够成功解析出消息或验证消息的正确性，则确认对方的身份，此过程若双向进行，则完成双方的身份的确认。另外也可通过第三方来实现声称者的确认，由于各类业务的保障要求，各业务应用实体宜通过实体鉴别后方可交换业务和相关信息，同时考虑到时效性，可根据业务应用实体的不同采用对应的实体鉴别机制，既保证应用系统的安全，又要提高认证的效率。
5.6 访问控制
5.6.1系统资源的访问控制
本节的系统资源是指CPU指令、存端器、通信模块、设备驱动以及系统内核等资源。用户程序不能直接调用系统资源，如不能直接调用硬件资源、系统指令、通信模块等，所有的系统资源应通过操作系统提供的API接口才能进行访间。对于加载的应用程序，如果没有被授权或没通过认证，则不能调用系统资源。7
YD/T 1699-2007
操作系统不应向用户程序开放访问电信智能卡、修改IMEI等数据的程序接口。一旦发现用户试图访问无权访问的系统资源，根据非法访问的不同情况，移动终端应能够采取如下安全措施中的一个或几个：
1）告警：
2】止该操作：
3）记录凡志：
4）系统锁定：
5）关机.
5.6.2业务应用的使用控制
可以充许每个业务应用程序定义各自的访问口令。对丁高度安全的应用，还应允许应用程序可以定义白已的访柯控制策略。一旦发现用户试图访问无权访问的应用业务，移动终端应能够采取如下安全措施中的一个或几个：1）告警：
2）禁止该操作；
3）记录日志；
4）锁定用户；
5）关机。
5.7数据存储和访问安全
5.7.1数据的存储安全
5.7.1.1数据的安全分级存储
根据安全级别，移动终端中的数据分为机密数据、敏感数据、私有数据、普通数据。机密数据是指对移动终端安全、应用安全等起重要作用的数据，比如密钥、口令、IMEI、安全配置信息等。机密数据在存储时要进行加密和完整性校验。敏感数据是指对移动终端安全、应用安全等起一定作用的数据，如系统数据，证书、审计记录等。敏感数据在存储时要进行完整性校验，并根据数据的董要程度决定是否要进行加帮存。在正常操作时此类数据只能由操作系统或应用程序进行调用。私有数据是指和终端使用者有关的个人数据，私有数据在存储时应进行完整性校验，并由用广决定是否需要进行加密存储。此类数据只用终端使用者才能进行读取与修改。替通数据是指对移动繁端安全、序用安全等没有彩购购数据，比如一张无关婴的图片。普遍数据的存储没有特殊要求，可以以明文形式存放，5.7.1.2机密性要求
移动端应能对重要数据进行加密。5.7.1.3完整性要求
移动终端应能够检测存诺在移动终端内的数据是否被纂改，以防止出现非法修改存储数据的逻辑攻击．
5.7.2数据的访问
移动终端应支持并执行下面的访问控制策略以决定访问的操作是否被允许：8
YD/T1699-2007
权限管理：定义各科访问数据文件的权限，不同安全属性的数据提供不同访问权限的机密性保护，只有获得相应的访问权限习可以对数据文件进行对应的操作，如读、更新、删除、删除恢复等操作；如果访问超出其规定的权限，移动终端应能及时检测出来，并采取以下措施中的一项或者几项：1）阻止该访问操作的继续进行
2）告警：
3）记录日志：
4）系统锁定。
访问级别：数据访问应该根据需要设置一定的等级权限，以应对不同级别的授权用户，数据访问等级策略一且确定，将适用于所有的访问操作且不允许避行修改；当检测到有破坏终端内存储数据完整性的操作后，移动终端应采取以下安全措施的一项或或几项：1）阻止该操作的进一步执行：
2）恢复被破坏的数据；
3）告警；免费标准bzxz.net
4）记录日志：
5）系统锁定
文件控制：建立文件结构的过程和指令，包括文件访问条件都应受其访问控制规则的约束。5.8安全域隔离
安全域隔离分为物理隔离和逻辑隔离。物理隔离是指对移动终端中的物理存储空间进行划分，不同的存储空间用于存储不同的数据或代码，真体要求如下
！）移动终端操作系统中用于进行基础认证的信息和程序应放于不可更改的存储空间：2）系统数批、系统备份数据和用户数据应存储于不同的存储空间：3）解密后的机密数据应根据安全级别的不同存储下不同的存储空间。逻辑隔离主要包括进程隔离、数据的分类存储，具体要求如下：1）操作系统应为每个进程的数据和指令分配独立的内存空间，以防止进程间数据的非法访问：2）进程间的通信应是在操作系统核控制下进行，操作系统应提供方式对进程的权限进行判断，以决定是否允许其能进行进程间通信：3）数据的分类存储见5,7.1,1。5.9安全审计
5.9.1审计策略
移动终端的安全审计是指对指定操作的错误尝试次数及相关安全事件进行记录、分析的过程。通过分析记录结果，移动终端可判断发生了哪些安全相关活动，并采取预先设定的安全措施。另外检查审计记录结果还可以帮助分析潜在攻击。移动终端应该具备与以下安全操作相关的审计记录生成、保护等能力以及相应的结果处理能力：1）用户认证：
2）终端构成的一致性认证：
3）非法访问；
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。