【YD通讯标准】 移动终端芯片安全技术要求和测试方法

ICS01.040.33
中华人民共和国通信行业标准
YD/T1886-2015
代替YD/T1886-2009
移动终端芯片安全技术要求和测试方法Security requirements andtest specificationforsystemonchip inmobileterminal2015-10-14发布
2016-01-01实施
中华人民共和国工业和信息化部发布前言
1范围…
2术语、定义和缩略语
2.1术语和定义…
2.2缩略语
3芯片安全概述
4芯片配置安全·
5芯片调试安全
6硬件加密安全·
6.1加密参数安全
6.2加密运算安全
7芯片功能安全·
7.1芯片功能完整性
7.2芯片固件存储安全·
8芯片运行安全·
8.1存储芯片完整性
8.2基带芯片完整性
8.3应用处理器芯片完整性
8.4芯片故障检测与恢复*
9芯片安全测试
9.1测试环境
9.2芯片配置安全测试
芯片调试安全测试·
9.4硬件加密安全测试
9.5芯片功能安全测试
芯片运行安全测试.
参考文献
YD/T1886-2015
YD/T1886-2015
本标准为移动智能终端安全系列标准之一，该系列标准的名称和结构如下：a）YD/T1886-2015《移动终端芯片安全技术要求和测试方法》：）YD/T2407-2013（移动智能终端安全能力技术要求》：c）YD/T2408-2013《移动智能终端安全能力测试方法》：d）YD/T2674-2013《移动智能终端信息安全设计导则》。本标准按照GB/T1.1-2009给出的规则起草。本标准代替YD/T1886-2009《移动终端芯片安全技术要求和测试方法》，与YD/T1886-2009相比较主要技术变化如下：
YD/T1886-2009标准定义日志审计规范，本标准予以删除。YD/T1886-2009标准定义AT指令规范，本标准予以删除。YD/T1886-2009标准定义的安全对象包括基带芯片和存储芯片，本标准将原标准的安全对象范围折展为应用处理器芯片、基带芯片、存储芯片。YD/T1886-2009标准定义具体的实现方法，本标准定义框架性规范和建议，不涉及规范的具体实现方式。
本标准定义的“芯片配置安全”是对YD/T1886-2009标准的补充。本标准定义的“芯片调试安全”是对YD/T1886-2009标准的调整和完善。本标准定义的“硬件加密安全”是对YD/T1886-2009标准“加密单元的安全性”规范的调整、补充、完善。
本标准定义的“芯片功能安全”是对YD/T1886-2009标准补充。本标准定义的“芯片运行安全”是对YD/T1886-2009标准安全访问规则”，“系统软件的一致性”“IMEIESN号的一致性”、“基带芯片的一致性”规范的调整、补充、完善和增强。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国信息通信研究院、北京展讯高科通信技术有限公司、中兴通讯股份有限公司、中国联合网络通信集团有限公司。本标准主要起草人：张鹏、落红卫、潘娟、虞华伟、高峰、吴越、杜志敏、王绍斌、王鹏。I
iiiKAoNiKAca
YD/T18862015
移动终端芯片安全是构建移动终端安全运行环境的基础，是保障移动终端操作系统和应用软件安全运行的基础，是提高移动终端安全防护能力的重要手段，可有效提升移动终端系统底层安全防护能力。随着移动互联网业务的快速发展，恶意应用层出不穷，移动终端安全问题突出形势严峻，严重阻碍了移动互联网的健康发展，特别是移动安全业务的发展。移动终端芯片的安全漏洞也开始出现，这严重威胁到移动终端的硬件系统安全。同时，为弥补移动终端软件安全防护方案的不足，基于硬件层面的安全技术和解决方案受到业界的广泛重视，在技术层面上希望通过硬件安全手段弥补软件安全防护的不足。移动终端芯片安全越来越受到业界的关注，但目前国际上还没有成熟的移动终端芯片安全技术和标准。本标准在国内外移动终端厂商和芯片厂商已有芯片安全技术和解决方案的基础上，参考国内外移动终端安全技术相关标准制定。
TiiKAoNiKAca
1范围
移动终端芯片安全技术要求和测试方法YD/T1886-2015
本标准规定了移动终端的芯片配置安全、芯片调试安全、硬件加密安全、芯片功能安全、芯片运行安全，并提出相应的测试方法。本标准适用于移动终端的应用处理器芯片、基带芯片和存储芯片，移动终端的其它芯片可参照执行。2术语、定义和缩略语
2.1术语和定义
下列术语和定义适用于本文件。2.1.1
应用处理器芯片ApplicationProcessorChip用来支撑移动终端的操作系统、用户界面和应用软件运行的嵌入式处理器芯片，包含移动处理器芯片中的应用处理器功能模块。
基带芯片BasebandChip
用来处理移动终端的模拟基带和数字基带信号的嵌入式处理器芯片，包含移动处理器芯片中的基带功能模块。
芯片固件ChipFirmware
用来配置或实现移动终端的应用处理器芯片或基带芯片的工作模式、协议栈、初始化状态等功能的机器指令或数据。
2.2缩略语
下列缩略语适用于本文件。
DRAMDynamic Random Access Memory3芯片安全概述
动态随机存储器
本标准针对移动终端应用处理器芯片、基带芯片和存储芯片的安全需求，从芯片功能层面提出相应的技术要求和测试方法，保护应用处理器芯片和基带芯片的配置端口的访问安全，保护应用处理器芯片和基带芯片的调试端口的访问安全，保护终端硬件加密运算的机密性，保护应用处理器芯片和基带芯片的功能完整性，保护移动终端硬件系统的运行安全，从而为移动终端的底层驱动、操作系统、应用软件提供安全可靠的运行环境。
本标准将技术要求分为芯片配置安全、芯片调试安全、硬件加密安全、芯片功能安全、芯片运行安全五个部分。
HiiKAoNiKAca
YD/T1886-2015
4芯片配置安全
芯片功能重配置后应变更其型号，留有配置端口的芯片应采用安全防护措施保护配置端口的访问安全，可选择采用但不限于如下几种安全防护措施：物理禁用方式：
一一次性编程禁用方式：
一基于令牌访问的控制方式。
芯片配置端口的缺省状态应处于禁止配置模式。芯片配置端口安全防护措施不限定具体采用的安全认证协议、技术细节和接口规范，可依据安全需求灵活设计相应的访问控制机制。5芯片调试安全
具备调试功能的芯片在出厂后的调试生命周期中应保持自身的物理特性、功能属性、主要参数等因素与出厂时相同。留有调试端口的芯片应采用安全防护措施保护调试端口的访问安全，可选择采用但不限于如下几种安全防护措施：
物理禁用方式：
一次性编程禁用方式：
一基于令牌访问控制机制。
芯片调试端口的缺省状态应处于禁止配置模式。芯片调试端口安全防护措施不限定具体采用的安全认证协议、技术细节和接口规范，可依据安全需求灵活设计相应的访问控制机制。6硬件加密安全
6.1加密参数安全
加密参数安全是指硬件加密模块输入的非公开加密参数在整个硬件加密周期中应保持完整性和机密性。具体要求如下：
一存储在DRAM中的会话密钥可附加相应的纠错码：一一在对存储芯片进行整体硬件加密时，加密参数宜与移动终端硬件特征信息相关：一一用户口令、用户指纹、图形密码不应直接作为密钥使用。6.2加密运算安全
具备加密功能的芯片宜采用硬件加速器方式设计，在整个硬件加密周期中应保持加密运算的机密性，应满足以下安全技术要求：
硬件加密模块应置于应用处理器芯片或基带芯片内部：一本地加密密钥应置于芯片内部安全受控存储区域一非本地加密密钥应在业务结束时从本地销毁：一一加密运算过程中应防止密钥信息的泄露，确保密钥信息安全。7芯片功能安全
7.1芯片功能完整性
芯片在其型号周期中应保持自身的物理特性、功能属性、主要参数等因素与其型号标定的功能相同，芯片功能重配置后应变更其型号。芯片在其型号周期内应满足如下具体要求：2
HiiKAoiKAca
一芯片功能不应加载特殊机器指令或数据发生异常：一一除正常的配置功能、调测功能外，芯片应与其型号标定功能一致。7.2芯片固件存储安全
YD/T1886-2015
移动终端运行周期中应保持应用处理器芯片固件和基带芯片固件的完整性、机密性和可用性。具体要求如下：
一芯片固件应存储于安全受控存储区域，缺省状态应保持其不可被修改：一芯片固件存储于芯片内部受控访问存储区域的，可附加检错码保护其完整性：一芯片固件存储于芯片外部受控访问存储区域的，可附加数字签名保护其完整性一一芯片固件宜采取安全删除措施，防正芯片固件被非法恢复：一一芯片固件进行加密存储时，加密参数宜与移动终端硬件特征信息相关。8芯片运行安全
8.1存储芯片完整性
存储芯片完整性是指NandFlash芯片或DRAM芯片在移动终端运行周期中应保持自身存储单元的完整性，应采用检错与纠错技术保护移动终端运行代码和数据的完整性。具体要求如下：一以NandFlash作为存储载体的芯片应具备检错与纠错功能，以保护其存储单元的完整性：一以DRAM作为存储载体的芯片宜具备检错与纠错功能，以保护其存储单元的完整性。8.2基带芯片完整性
基带芯片的完整性是指移动终端的基带芯片在出厂后的整个生命周期中应保持自身的物理特性、功能属性、主要参数等因素与出厂时相同。具体要求如下：一基带芯片应是在该国或地区许可使用的，应能够通过芯片内部的信息标识出厂商、硬件版本等信息：
一基带芯片的硬件特征信息应与基带芯片固件绑定，如果基带芯片固件程序被随意纂改，或基带芯片被随意更换，终端应能够停止加载基带芯片固件程序并反馈异常信息。8.3应用处理器芯片完整性免费标准下载网bzxz
应用处理器芯片的完整性是指移动终端的应用处理器芯片在出厂后的整个生命周期中应保持自身的物理特性、功能属性、主要参数等因素与出厂时相同。具体要求如下：一应用处理器芯片应是在该国或地区许可使用的，应能够通过芯片内部的信息标识出厂商、硬件版本等信息：
一应用处理器芯片的硬件特征信息应与应用处理器芯片固件绑定，如果应用处理器芯片固件程序被随意篡改，或应用处理器芯片被随意更换，终端应能够停止加载应用处理器芯片固件程序并反馈异常信息。
8.4芯片故障检测与恢复
移动终端在其运行周期中受到温度、湿度、电磁、电压、电流等因素的瞬间强烈干扰引起终端运行故障时，应用处理器芯片或基带芯片应能够检测到存在运行故障状态并实现移动终端硬件复位，使整个移动终端系统重新处于可控状态。要求应用处理器芯片或基带芯片应在其内部或外部增设看门狗电路，保护移动终端系统的可靠运行。HiiKAoNiKAca
YD/T1886-2015
9芯片安全测试
9.1测试环境
移动终端芯片安全测试需要依据芯片的数据手册和相关硬件测试说明，综合运用芯片仿真器，软件集成开发环境等硬件和软件工具，采用灵活的测试手段开展安全性测试。芯片安全测试要求的基本测试环境需求如下：
-应提供芯片的数据手册；
一应指定芯片的仿真器及其软件集成开发环境等硬件或软件工具：应提供“芯片配置安全”、“芯片调试安全”、“硬件加密安全”、“芯片功能安全”和“芯片运行安全”规范要求的相关测试说明。9.2芯片配置安全测试
测试编号
测试项目
项目要求
测试条件
测试步骤
预期结果
芯片配置安全
验证芯片配置端口是否符合第5章的要求应提供芯片配置端口的测试说明，应指定相关测试硬件或软件工具参考芯片配置端口的测试说明，对芯片配置端口的防护功能进行测试，验证芯片配置端口的防护方案是否满足规范要求。具体测试步骤如下步骤1：检测芯片配置端口是否采用物理禁用方式：步骤2：检测芯片配置端口是否采用一次性编程禁用方式；步骤3：检测芯片配置端口是否采用基于令牌访问的控制方式，并进行功能测试：步骤4：检测芯片配置端口的缺省状态是否处于禁止配置模式在步骤1后：如果芯片配置端口采用物理禁用方式，则该项目评测结果为“未见异常”，评测结束；
在步骤2后：如果芯片配置端口采用一次性编程禁用方式，则该项目评测结果为未见异常”，评测结束：
在步骤3后：如果芯片配置端口采用基于令牌访问的控制方式，则该项目评测结果为“未见异常”，评测结束；
在步骤4后：如果芯片配置端口的缺省状态处于禁止配置模式，则该项目评测结果为“未见异常”，评测结束
iiiKAoNiKAca
9.3芯片调试安全测试
测试编号
测试项目
项目要求
测试条件
测试步骤
预期结果
芯片调试安全
验证芯片调试端口是否符合第6章的要求应提供芯片调试端口的测试说明，应指定相关测试硬件或软件工具YD/T1886-2015
参考芯片调试端口的测试说明，对芯片调试端口的防护功能进行测试，验证芯片调试端口的防护方案是否满足规范要求。具体测试步骤如下：步骤1：检测芯片调试端口是否采用物理禁用方式：步骤2：检测芯片调试端口是否采用一次性编程禁用方式：步骤3：检测芯片调试端口是否采用基于令牌访问的控制方式，并进行功能测试：步骤4：检测芯片调试端口的缺省状态是否处于禁止配置模式在步骤1后：如果芯片调试端口采用物理禁用方式，则该项目评测结果为“未见异常”，评测结束：
在步骤2后：如果芯片调试端口采用一次性编程禁用方式，则该项目评测结果为“未见异常”，评测结束：
在步骤3后：如果芯片调试端口采用基于令牌访问的控制方式，则该项目评测结果为“未见异常”，评测结束：
在步骤4后：如果芯片调试端口的缺省状态处于禁止配置模式，则该项目评测结果为“未见异常”，评测结束
HiiKAoiKAca
YD/T1886-2015
9.4硬件加密安全测试
测试编号
测试项目
项目要求
测试条件
测试步骤
预期结果
加密参数安全
验证终端硬件加密参数是否符合7.1加密参数安全的要求应提供终端硬件加密设计方案的测试说明：应提供用于软件模拟硬件加密过程的加密算法、加密模式、密钥参数等相关信息参考终端硬件加密设计方案的测试说明，对终端硬件加密功能进行测试，验证终端硬件加密方案是否满足规范要求。具体测试步骤如下：步骤1：检测存储在DRAM中的会话密钥是否附加相应的纠错码：步骤2：通过软件模拟存储芯片整体硬件加密过程，检测加密参数是否与移动终端硬件特征信息相关：
步骤3：检测用户口令、用户指纹、图形密码是否直接作为密钥使用在步骤1后，如果存储在DRAM中的会话密钥附加了相应的纠错码，则该项目评测结果为“未见异常”，评测结束：
在步骤2后，如果终端存储芯片整体硬件加密参数与移动终端硬件特征信息相关，并且软件模拟存储芯片整体硬件加密结果与终端存储芯片整体硬件加密结果一致，则该项目评测结果为“未见异常”，评测结束：在步骤3后，如果用户口令、用户指纹、图形密码没有直接作为密钥使用，则该项目评测结果为“未见异常”，评测结束
测试编号
测试项目
项目要求
测试条件
测试步骤
加密运算安全
验证硬件加密运算过程是否符合7.2加密运算安全的要求YD/T1886-2015
应提供终端硬件加密模块保护方案及密钥信息保护方案的测试说明：应提供终端硬件加密模块的端口说明、加密算法、加密模式、密钥参数等相关信息。参考终端硬件加密模块保护方案及密钥信息保护方案的测试说明，测试终端硬件加密运算过程中硬件加密模块对密钥信息的保护功能，验证终端硬件加密运算过程是否满足规范要求。具体测试步骤如下：
步骤1：检测终端硬件加密模块是否置于应用处理器芯片或基带芯片内部：步骤2：检测终端本地加密密钥是否置于芯片内部安全受控存储区域：步骤3：检测终端非本地加密密钥是否在业务结束时从本地销毁：步骤4：检测终端加密运算过程中是否有密钥信息泄露在步骤1后：如果终端硬件加密模块置于应用处理器芯片或基带芯片内部，则该项目评测结预期结巢
果为“未见异常”，评测结束；在步骤2后：如果终端本地加密密钥置于芯片内部安全受控存储区域，则该项目评测结果为“未见异常”，评测结束：
在步骤3后：如果终端非本地加密密钥在业务结束时从本地销毁，则该项目评测结果为“未见异常”，评测结束：
在步骤4后：如果终端加密运算过程中没有密钥信息泄露，则该项目评测结果为“未见异常”评测结束
YD/T1886-2015
9.5芯片功能安全测试
测试编号
测试项目
项目要求
测试条件
测试步骤
预期结果
芯片功能完整性
验证应用处理器芯片和基带芯片功能是否符合8.1芯片功能完整性的要求应提供应用处理器芯片和基带芯片的数据手册，应指定应用处理器芯片和基带芯片的仿真器及其软件集成开发环境等硬件或软件工具参考应用处理器芯片和基带芯片的数据手册，测试应用处理器芯片和基带芯片的功能模块验证应用处理器芯片和基带芯片的功能是否与其数据手册描述一致。具体测试步骤如下：步骤1：硬件复位芯片，加载并执行芯片功能测试程序，观察并记录芯片相应端口信号变化是否与预期一致：
步骤2：加载并执行特殊机器指令或数据，重新加载并执行芯片功能测试程序，观察并记录芯片相应端口信号变化是否与预期一致在步骤1后，如果芯片相应端口信号变化与预期结果一致，则该项目评测结果为“未见异常”，评测结束：
在步骤2后，如果芯片相应端口信号变化与预期结果一致，则该项目评测结果为“未见异常”，评测结束
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。