1、ICS 33.060 M 36 YD 中华人民共和国 通信 行业标准 YD/T 2408XXXX 代替 YD/T 2408-2013 移动智能终端安全能力测试方法 Test methods for security capability of smart mobile terminal XXXX - XX - XX 发布 XXXX - XX - XX 实施 中 华 人 民 共 和 国 工 业 和 信 息 化 部 发 布 YD/T 2408XXXX I 目 次 前言 .II 引言 .VI 1 范围 .3 2 规范性引用文件 .3 3 术语、定义和缩略语 .3 3.1 术语和定义 .3 3.2 缩
2、略语 .4 4 移动智能终端安全能力测试方法 .4 4.1 概述及基本要求 .4 4.2 移动智能终端硬件安全能力 .5 4.3 移动智能终端操作系统安全能力 .7 4.4 移动智能终端外围接口安全能力 .40 4.5 移动智能终端应用层安全能力 .46 4.6 移动智能终端用户数据安全保护能力 .58 5 移动智能终端功能限制性要求测试方法 .63 YD/T 2408XXXX II 前 言 本标准按照 GB/T 1.1-2009给出的规则起草。 本标准代替 YD/T 2408-2013移动智能终端安全能力测试方法,与 YD/T 2408-2013相比,主要 的技术变化如下: 删除了规范性引用
3、文件“ YD/T 1186 移动终端芯片安全技术要求和测试方法” 增加了了规范性引用文件“ YD/T 3228-2017 移动应用软件安全评估方法” 修改了术语和定义 “移动智能终端 ”的定义(见 3.1.1, 2013年版的 3.1.1); 修改了术语和定义 “移动智能终端操作系统 ”的定义(见 3.1.8, 2013年版的 3.1.8); 增加了术语和定义 “移动智能终端应用软件 ”的定义(见 4.2.9); 增加了术语和定义 “移动智能终端预置应用软件 ”的定义(见 4.2.10); 删除了缩略语“ LAWMO”的内容(见 3.2, 2013年版的 3.2); 增加了缩略语“ CNNVD
4、”、“ CNVD”、“ NFC”的内容(见 3.2, 2013年版的 3.2); 修改了 “概述和基本要求 ”的内容(见 4.1, 2013年版的 4.1); 增加了 “安全运行区域 ”的安全能力测试方法(见 4.2.1); 增加了 “安全启动 ”的安全能力测试方法(见 4.2.2); 增加了 “防止物理攻击能力 ”的安全能力测试方法(见 4.2.3); 增加了 “安全属性 ”的安全能力测试方法(见 4.2.4); 增加了 “根密钥生成与保护 ”的安全能力测试方法(见 4.2.5); 增加了 “安全处理单元 ”的安全能力测试方法(见 4.2.6); 修改了 “拨打电话的受控机制 ”的安全能力测
5、试方法(见 4.3.1.1.1, 2013年版的 4.3.1.1.1); 修改了 “三方通话的受控机制 ”的安全能力测试方法(见 4.3.1.1.2, 2013年版的 4.3.1.1.2); 修改了 “发送短信的受控机制 ”的安全能力测试方法(见 4.3.1.1.3, 2013年版的 4.3.1.1.3); 修改了 “发送彩信的受控机制 ”的安全能力测试方法(见 4.3.1.1.4, 2013年版的 4.3.1.1.4); 修改了 “发送邮件的受控机制 ”的安全能力测试方法(见 4.3.1.1.5, 2013年版的 4.3.1.1.5); 修改 了 “移动通信网络数据连接开启 /关闭的开关 ”
6、的 安全能力测试方法 (见 4.3.1.1.6.1, 2013年 版的 4.3.1.1.6.1); 修改了 “开启移动通信网络数据连接的受控机制 ”的安全能力测试方法(见 4.3.1.1.6.2, 2013年 版的 4.3.1.1.6.2); 修改了 “移动通信网络数据连接状态提示 ”的安全能力测试方法(见 4.3.1.1.6.3, 2013年版的 4.3.1.1.6.3); 增加了 “移动通信网络数据传输的受控机制 ”的安全能力测试方法(见 4.3.1.1.6.4); 修改了 “WLAN网络连接开启 /关闭的开关 ”的安全能力测试方法(见 4.3.1.1.7.1, 2013年版的 4.3.1
7、.1.7.1); YD/T 2408XXXX III 修改了 “开启 WLAN网络连接的受控机制 ”的安全能力测试方法(见 4.3.1.1.7.2, 2013年版的 4.3.1.1.7.2); 修改 了 “WLAN网络连接状态提示 ”的 安全能力测试方法 (见 4.3.1.1.7.3, 2013年版的 4.3.1.1.7.3) ; 修改了 “调用定位功能的受控机制 ”的安全能力测试方法(见 4.3.1.2.1.1, 2013年版的 4.3.1.2.1.1); 修改了 “定位功能的状态显示 ”的安全能力测试方法(见 4.3.1.2.1.2, 2013年版的 4.3.1.2.1.2); 修改了 “
8、通话录音功能启动的受控机制 ”的安全能力测试方法(见 4.3.1.2.2, 2013年版的 4.3.1.2.2); 修改了 “本地录音功能启动的受控机制 ”的安全能力测试方法(见 4.3.1.2.3, 2013年版的 4.3.1.2.3); 增加了 “后台截屏 /录屏功能启动的受控机制 ”的安全能力测试方法(见 4.3.1.2.4); 修改了 “拍照 /摄像功能启动的受控机制 ”的安全能力测试方法(见 4.3.1.2.5, 2013年版的 4.3.1.2.4); 增加了 “接收短信功能启动的受控机制 ”的安全能力测试方法(见 4.3.1.2.6); 修改了 “电话本数据读操作的受控机制 ”的安
9、全能力测试方法(见 4.3.1.2.7.1, 2013年版的 4.3.1.2.5.5); 修改了 “通话记录读操作的受控机制 ”的安全能力测试方法(见 4.3.1.2.7.2, 2013年版的 4.3.1.2.5.6); 修改了 “短信数据读操作的受控机制 ”的安全能力测试方法(见 4.3.1.2.7.3, 2013年版的 4.3.1.2.5.7); 修改了 “彩信数据读操作的受控机制 ”的安全能力测试方法(见 4.3.1.2.7.4, 2013年版的 4.3.1.2.5.8); 增加了 “上网记录读操作的受控机制 ”的安全能力测试方法(见 4.3.1.2.7.5); 增加了 “日程表数据读操
10、作的受控机制 ”的安全能力测试方法(见 4.3.1.2.7.6); 增加了 “媒体影音数据读操作的受控机制 ”的安全能力测试方法(见 4.3.1.2.7.7); 增加了 “生物特征识别信息读操作的受控机制 ”的安全能力测试方法(见 4.3.1.2.7.8); 增加了 “设备唯一可识别信息读操作的受控机制 ”的安全能力测试方法(见 4.3.1.2.7.9); 增加了 “应用软件列表读操作的受控机制 ”的安全能力测试方法(见 4.3.1.2.7.10); 修改了 “电话本数据修改(写和删除)操作的受控机制 ”的安全能力测试方法(见 4.3.1.2.7.11, 2013年版的 4.3.1.2.5.1
11、); 修改 了 “通话记录修改 (写和删除 ) 操作的受控机制 ”的 安全能力测试方法 (见 4.3.1.2.7.12, 2013 年版的 4.3.1.2.5.2); 修改 了 “短信数据修改 (写和删除 ) 操作的受控机制 ”的 安全能力测试方法 (见 4.3.1.2.7.13, 2013 年版的 4.3.1.2.5.3); 修改 了 “彩信数据修改 (写和删除 ) 操作的受控机制 ”的 安全能力测试方法 (见 4.3.1.2.7.14, 2013 年版的 4.3.1.2.5.4); YD/T 2408XXXX IV 增加了 “ 日程表数据修改(写和删除)操作的受控机制 ” 的安全能力测试方
12、法(见 4.3.1.2.7.15); 增加了 “设备唯一可识别信息去标识化能力 ”的安全能力测试方法(见 4.3.1.2.7.16); 增加了 “安全调用目的统一明示 ”的安全能力测试方法(见 4.3.1.3); 增加了 “操作系统的更新 更新受控 ”的安全能力测试方法(见 4.3.2.1); 增加了 “操作系统的更新 自动更新 ”的安全能力测试方法(见 4.3.2.2); 增加了 “操作系统的更新 下载 ”的安全能力测试方法(见 4.3.2.3); 修改了 “操作系统的更新 授权更新 ”的安全能力测试方法(见 4.3.2.4, 2013年版的 4.3.1.3.1); 修改了 “操作系统的更新
13、 风险提示 ”的安全能力测试方法(见 4.3.2.5, 2013年版的 4.3.1.3.2); 增加了 “多操作系统隔离要求 ”的安全能力测试方法(见 4.3.3.1); 增加了 “框架型操作系统安全要求 ”的安全能力测试方法(见 4.3.3.2); 增加了 “操作系统漏洞修复能力要求 ”的安全能力测试方法(见 4.3.4.1); 增加了 “操作系统漏洞修复要求 ”的安全能力测试方法(见 4.3.4.2); 增加了 “操作系统个人信息保护要求 ”的安全能力测试方法(见 4.3.5.1); 增加了 “操作系统敏感行为安全要求 敏感行为 ”的安全能力测试方法(见 4.3.5.2.1); 增加了 “
14、操作系统敏感行为安全要求 通信功能 ”的安全能力测试方法(见 4.3.5.2.2); 增加了 “移动智能终端识别和提醒不良信息能力 ”的安全能力测试方法(见 4.3.6.1); 增加了 “移动智能终端处置不良信息能力 ”的安全能力测试方法(见 4.3.6.2); 修改 了 “蓝牙接口开启 /关闭的开关 ”的 安全能力测试方法 (见 4.4.1.1.1, 2013年版的 4.4.1.1.1) ; 修改了 “蓝牙接口开启的受控机制 ”的安全能力测试方法(见 4.4.1.1.2, 2013年版的 4.4.1.1.2) ; 修改了 “NFC接口开启 /关闭的开关 ”的安全能力测试方法(见 4.4.1.
15、1.3, 2013年版的 4.4.1.1.3) ; 修改了 “NFC接口开启的受控机制 ”的安全能力测试方法(见 4.4.1.1.4, 2013年版的 4.4.1.1.4); 修改了 “蓝牙配对连接的受控机制 ”的安全能力测试方法(见 4.4.1.2, 2013年版的 4.4.1.2); 修改了 “蓝牙接口连接状态显示 ”的安全能力测试方法(见 4.4.1.3.1, 2013年版的 4.4.1.3.1); 修改了 “NFC接口连接提示 ”的安全能力测试方法(见 4.4.1.3.2, 2013年版的 4.4.1.3.2); 修改了 “蓝牙接口数据传输受控机制 ”的安全能力测试方法(见 4.4.1
16、.4.1, 2013年版的 4.4.1.4.1); 修改 了 “NFC接口数据传输受控机制 ”的 安全能力测试方法 (见 4.4.1.4.2, 2013年版的 4.4.1.4.2) ; 修改了 “应用软件安全配置能力 ”的安全能力测试方法(见 4.5.1, 2013年版的 4.5.1); 增加了 “应用软件调用行为记录 基础要求 ”的安全能力测试方法(见 4.5.2.1); 增加了 “应用软件调用行为记录 增强要求 ”的安全能力测试方法(见 4.5.2.2); 修改了 “非认证签名 ”的安全能力测试方法(见 4.5.3.1, 2013年版的 4.5.2.1); 修改了 “应用软件件自启动程序监
17、控能力 ”的安全能力测试方法(见 4.5.4, 2013年版的 4.5.3) ; 增加了 “个人信息保护 ”的安全能力测试方法(见 4.5.5.1); 修改了 “收集用户数据 ”的安全能力测试方法(见 4.5.5.2, 2013年版的 4.5.4.1); YD/T 2408XXXX V 修改了 “修改用户数据 ”的安全能力测试方法(见 4.5.5.3, 2013年版的 4.5.4.2); 增加了 “数据录入行为 ”的安全能力测试方法(见 4.5.5.4); 增加了 “应用软件加密传输敏感数据行为 ”的安全能力测试方法(见 4.5.5.5.1); 增加了 “应用软件加密传输多媒体数据行为 ”的安
18、全能力测试方法(见 4.5.5.5.2); 增加了 “应用软件组件访问控制行为 ”的安全能力测试方法(见 4.5.5.6); 增加了 “应用软件签名 签名信息 ”的安全能力测试方法(见 4.5.5.7.1); 增加了 “应用软件签名 认证签名 ”的安全能力测试方法(见 4.5.5.7.2); 增加了 “应用软件更新受控要求 ”的安全能力测试方法(见 4.5.5.8.1); 增加了 “应用软件自动更新要求 ”的安全能力测试方法(见 4.5.5.8.2); 增加了 “应用软件更新包下载要求 ”的安全能力测试方法(见 4.5.5.8.3); 增加了 “应用软件热更新受控 ”的安全能力测试方法(见 4
19、.5.5.8.4); 增加了 “应用软件更新风险提示 ”的安全能力测试方法(见 4.5.5.8.5); 增加了 “应用软件更新失败回滚 ”的安全能力测试方法(见 4.5.5.8.6); 修改了 “应用软件流量耗费行为 ”的安全能力测试方法(见 4.5.5.9.1, 2013年版的 4.5.4.3.1); 修改了 “应用软件费用损失行为 ”的安全能力测试方法(见 4.5.5.9.2, 2013年版的 4.5.4.3.2); 修改了 “应用软件泄露敏感数据行为 ”的安全能力测试方法(见 4.5.5.9.3, 2013年版的 4.5.4.3.3); 增加了 “应用软件漏洞测试 ”的安全能力测试方法(
20、见 4.5.5.10); 增加了 “锁定状态数据保护 ”的传输数据的安全能力测试方法(见 4.6.1.3) 修改了 “文件类用户数据的授权访问 ”的安全能力测试方法(见 4.6.2, 2013年版的 4.6.2); 修改了 “用户数据的彻底删除 ”的安全能力测试方法(见 4.6.4, 2013年版的 4.6.4); 修改了 “用户数据的远程删除 ”的安全能力测试方法(见 4.6.5.2, 2013年版的 4.6.5.2); 修改了 “用户数据的本地备份 ”的安全能力测试方法(见 4.6.6.1, 2013年版的 4.6.6.1); 本标准为 移动智能终端安全 系列标准之一,该系列标准的名称和结
21、构预计如下: a) YD/T 2407 移动智能终端安全能力技术要求; b) YD/T 2408 移动智能终端安全能力测试方法。 请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位 : 中国信息通信研究院、博鼎实华(北京 ) 技术有限公司、中国移动通信集团有限 公司 、 华为技术有限公司 、 荣耀终端有限公司 、 OPPO广东移动通信有限公司 、 高通无线通信技术 (中 国 ) 有限公司、微软(中国 ) 有限公司、北京奇虎科技有限公司、北京三星通信技术研究有限公司、维 沃移动通信有限公司、北京小米移动软件有限公
22、司。 本标准主要起草人 : 董霁,宁华,马鑫,潘娟,国炜,刘陶,傅山,詹维骁,汪薇薇,王艳红,魏 凡星 , 王嘉义 , 武林娜 , 刘颖 , 谢春霞 , 杨天一 , 姚晓天 , 邱勤 , 张悦 , 衣强 , 常新苗 , 李腾 , 杜志敏 , 王江胜,赵中杰,刘献伦,姚一楠,吴春雨,吴越,贾科,江小威、 常秀燕 。 本标准于 2013年 4月首次发布,本次为第一次修订。 YD/T 2408XXXX VI 引 言 随着移动智能终端的广泛应用以及功能的不断扩展 , 其使用过程中的安全问题被越来越多的用户所 关注 。 近年来 , 恶意吸费 、 窃听 、 窃录 、 位置信息泄露等安全事件频发 , 使用户
23、对移动智能终端的安全 性产生顾虑 , 进而影响到移动智能终端和移动互联网应用的发展 。 本标准的制定 , 旨在通过提高移动智 能终端的自身的安全防护能力 , 防范移动智能终端上的各种安全威胁 , 避免用户的利益受到损害 , 同时 防止移动智能终端对移动通信网络安全产生不利影响。 本标准是 移动智能终端安全能力技术要求 配套的测试方法 。 本标准针对技术要求提出的技术指 标设计了相应的 、 科学的测试方法 , 用于验证移动智能终端是否满足技术要求规定的内容 。 本标准可用 于对移动智能终端安全能力的管理。通过本标准可从测试角度保证移动智能终端安全能力要求的实施 , 切实地提高移动智能终端的安全能
24、力。 YD/T 2408XXXX 3 移动智能终端安全能力测试方法 1 范围 本 标准规定了移动智能终端安全能力的测试方法 , 包括移动智能终端的硬件安全能力 、 操作系统安 全能力、外围接口安全能力、应用层安全能力和用户数据保护安全能力等的测试方法。 本标准适用于各种制式的移动智能终端 , 个别条款不适用于特殊行业 、 专业应用 , 其他终端参考使 用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 , 仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 YD/T 2407 YD/T 3228-2017
25、移动智能终端安全能力技术要求 移动应用软件安全评估方法 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 移动智能终端 smart mobile terminal 能够接入移动通信网 , 具有能够提供应用软件开发接口的操作系统 , 具有安装 、 加载和运行应用软 件能力的终端。 3.1.2 安全能力 security capability 在移动智能终端上可实现的,能够防范安全威胁的技术手段。 3.1.3 用户 user 使用移动智能终端资源的对象,包括人或第三方应用软件。 3.1.4 用户数据 user data 移动智能终端上存储的用户个人信息,包括由用
26、户在本地生成的数据、为用户在本地生成的数据 、 在用户许可后由外部进入用户数据区的数据等。 3.1.5 授权 authorization YD/T 2408XXXX 4 在用户身份经过认证后,根据预先设置的安全策略,授予用户相应权限的过程。 3.1.6 数字签名 digital signature 附在数据单元后面的数 据 , 或对数据单元进行密码变换得到的数据 。 允许数据的接收者验证数据的 来源和完整性,保护数据不被篡改、伪造,并保证数据的不可否认性。 3.1.7 代码签名 code signature 利用数字签名机制,由具有签名权限的实体对代码全部或部分功能进行签名的机制。 3.1.8
27、 移动智能终端操作系统 operating system of smart mobile terminal 运行在移动智能终端上的系统软件 , 控制 、 管理移动智能终端上的硬件和软件 , 提供用户操作界面 、 应用软件编程接口和其他系统服务的应用软件。 3.1.9 移动智能终端应用软件 smart mobile terminal application 移动智能终端内 , 能够利用移动智能终端操作系统提供的开发接口 , 实现某项或某几项特定任务的 计算机软件或者代码片段 。 包含移动智能终端预置应用软件 , 以及互联网信息服务提供者提供的可以通 过网站、应用商店等移动应用分发平台下载、安装、
28、升级的应用软件。 3.1.10 移动智能终端预置应用软件 smart mobile terminal preloaded application 移动智能终端内,在主屏幕和辅助屏界面(不包含进入界面后,通过菜单进入或者调起的功能)有 用户交互入口并且可独立使用的移动智能终端应用软件。 3.2 缩略语 下列缩略语适用于本文件。 CNNVD 中国国家信息安全漏洞库 China National Vulnerability Database of Information Security CNVD 国家信息安全漏洞共享平台 China National Vulnerability Database
29、CRL 证书撤销列表 Certificate Revocation List NFC 近场通信 Near Field Communication OCSP 在线证书状态协议 Online Certificate Status Protocol WLAN 无线局域网 Wireless Local Area Network 4 移动智能终端安全能力测试方法 4.1 概述 及基本要求 本章描述了针对移动智能终端的各种安全能力进行评测的方法。评测结果有以下三种: 未见异常:通过评测方法没有发现存在安全风险或安全事件; YD/T 2408XXXX 5 不符合要求:直接发现安全事件或不符合安全能力要求;
30、不支持:终端不支持相应功能。 移动智能终端应支持移动智能终端测试模式 , 可通过该模式记录预置应用软件 、 操作系统可安装的 系统组件的行为, 具体行为见 YD/T 2407 移动智能终端安全能力技术要求 中 5.3.5.2 节和 5.5.5 节 要求。此模式仅用于配合进行测试,正式上市终端应关闭此模式。 移动智能终端测试模式应满足以下要求: a) 终端厂商应配合提供满足测试需求的权限,或其他技术手段; b) 终端操作系统应能够输出预置应用软件和操作系统可安装组件调用敏感行为的日志信息。 移动智能终端操作系统安全防护机制应保证逻辑清晰 , 提示内容应与实际行为一致 , 提示包含调用 应用名称(
31、非进程名称),提示内容应显示完整。 若操作系统可安装的第三方应用软件均为单一来源 , 且此来源内的应用软件均符合 YD/T 3228-2017 移动应用软件安全评估方法的 3级要求,则终端厂商应提供测试方法配合验证软件来源的唯一性。 4.2 移动智能终端硬件安全能力 4.2.1 安全运行区域 测试编号: 4.2.1 测试项目:安全运行区域 项目要求: 见 YD/T2407-XXXX 第 5.2.1 节 预置条件:被测移动智能终端处于正常工作状态 测试步骤: 步骤 1:审查厂商提交的文档,查看硬件系统结构图,检查安全运行区域是否采用硬件隔离。 预期结果: 在步骤 1 后,如果硬件系统结构无法保证
32、安全运行区域采用硬件隔离,则该项目评测结果为“不符合 要求 ”,评测结束。否则,该项目评测结果为“未见异常 ”,评测结束。 4.2.2 安全启动 测试编号: 4.2.2 测试项目:安全启动 项目要求: 见 YD/T2407-XXXX 第 5.2.2 节 预置条件:被测移动智能终端处于正常工作状态 测试步骤: 步骤 1:审查厂商提交的文档,查看被测移动智能终端是否具有安全启动机制; 步骤 2:使用非授权代码在被测移动智能终端执行安全启动的完整性验证; 步骤 3:使用被测移动智能终端安全启动代码执行完整性验证。 YD/T 2408XXXX 6 预期结果: 在步骤 1 后 , 如果被测移动智能终端不
33、具有安全启动机制 , 则该项目评测结果为 “不符合要求 ”, 评测 结束。 在步骤 2 后 , 如果被测移动智能终端执行安全启动过程 , 则该项目评测结果为 “不符合要求 ”, 评测结 束。 在步骤 3 后 , 如果正常执行安全启动过程 , 则该项目评测结果为 “未见异常 ”, 评测结束 。 如果无法正 常执行安全启动过程,则该项目评测结果为“不符合要求 ”,评测结束。 4.2.3 防物理攻击能力 测试编号: 4.2.3 测试项目:防止物理攻击能力 项目要求: 见 YD/T2407-XXXX 第 5.2.3 节 预置条件:被测移动智能终端处于正常工作状态 测试步骤: 步骤 1: 审查厂商提交的
34、文档,验证厂商已声明硬件具有防护非侵入、半侵入和侵入式等物理攻击的能 力; 步骤 2: 通过实验验证关键硬件具有抵抗旁路攻击、错误注入攻击的能力,旁路攻击包括但不限于 简 单功耗分析( SPA)、差分功耗分析( DPA)、相关功耗分析( CPA)、电磁辐射分析( EMA)、模 板分析等,错误注入攻击包括但不限于 时钟毛刺分析、电压毛刺分析、光信号分析、电磁信号分析 等; 步骤 3:查看是否存在信息泄漏,包括但不限于密钥、加密数据。 预期结果: 在步骤 1后,如果移动智能终端硬件不具备该项防护机制,则该项目评测结果为“不符合要求 ”,评测 结束。 在步骤 3后,如果能够获得或篡改密钥、加密数据等
35、信息,或获得相应泄漏点,则该项目评测结果为 “不符合要求”,评测结束。否则,该项目评测结果为“未见异常”,评测结束。 4.2.4 安全属性 测试编号: 4.2.4 测试项目:安全属性 项目要求: 见 YD/T2407-XXXX 第 5.2.4 节 预置条件:被测移动智能终端处于正常工作状态 测试步骤: 步骤 1: 审查厂商提交的文档,验证厂商已声明敏感输入输出接口或敏感参数具有安全属性,尝试修改 其中的安全属性。输入部分包括键盘、触摸屏、麦克风和生物识别,输出部分包括显示、 音频和指示 ; 步骤 2:使用非授权操作系统或应用软件访问具有安全属性的接口。 YD/T 2408XXXX 7 预期结果
36、: 在步骤 1后 , 如果被测移动智能终端对敏感输入输出接口或敏感参数不具备安全属性 、 或安全属性可在 非授权条件下被修改配置,则该项目评测结果为“不符合要求 ”,评测结束。 在步骤 2后 , 如果能够正常访问具有安全属性的接口 , 则该项目评测结果为 “不符合要求 ”, 评测结束 。 在步骤 2后 , 如果拒绝访问具有安全属性的接口并报错 , 则该项目评测结果为 “未见异常 ”, 评测结束 。 4.2.5 根密钥生成与保护 测试编号: 4.2.5 测试项目:根密钥生成与保护 项目要求: 见 YD/T2407-XXXX 第 5.2.5 节 预置条件:被测移动智能终端处于正常工作状态 测试步骤
37、: 步骤 1:审查厂商提交的文档,验证厂商已声明根密钥随机生成,审查生成根密钥的随机数熵值; 步骤 2:审查根密钥的生成、分发和存储方式,评估根密钥是否存在泄漏的风险。 预期结果: 在步骤 1后 , 如果被测移动智能终端硬件根密钥的生成不满足随机性要求 , 则该项目评测结果为 “不符 合要求”,评测结束。 在步骤 2后 , 如果被测移动智能终端硬件根密钥生成 、 分发和存储过程存在泄漏的风险 , 则该项目评测 结果为“不符合要求”,评测结束。否则,该项目评测结果为“未见异常”,评测结束。 4.2.6 安全处理单元 测 试编号: 4.2.6 测试项目:安全处理单元 项目要求: 见 YD/T240
38、7-XXXX 第 5.2.6 节 预置条件:被测移动智能终端处于正常工作状态 测试步骤: 步骤 1:审查厂商提交的文档,查看硬件系统结构图,检查移动智能终端是否集成安全单元; 步骤 2: 审查密码模块使用方式,评估密码模块是否存在滥用的风险。 预期结果: 在步骤 1后,如果硬件系统结构无法保证集成安全单元,则该项目评测结果为“不符合要求 ”,评测结 束。 在步骤 2后,如果 密码模块是否存在滥用的风险 ,则该项目评测结果为“不符合要求”,评测结束。 否则,该项目评测结果为 “未见异常” ,评测结束。 4.3 移动智能终端操作系统安全能力 4.3.1 安全调用控制能力 YD/T 2408XXXX
39、 8 4.3.1.1 通信类功能受控机制 4.3.1.1.1 拨打电话受控机制 测试编号: 4.3.1.1.1 测试项目:拨打电话的受控机制 项目要求: 见 YD/T2407-XXXX 第 5.3.1.1.1 节 预置条件:被测移动智能终端处于正常工作状态 测试步骤: 步骤 1: 检查被测移动智能终端的操作系统是否提供拨打电话的开发功能,检查被测移动智能终端的操 作系统是否提供拨打电话的功能; 步骤 2:如果移动智能终端操作系统提供拨打电话的开发功能,使用该功能开发拨打电话应用软件; 步骤 3:运行该应用软件,查看终端是否要求用户确认拨打电话; 步骤 4:确认同意执行拨打电话; 步骤 5:运行
40、该应用软件,查看终端是否要求用户确认拨打电话,确认拒绝执行拨打电话; 步骤 6: 检查被测移动智能终端的操作系统是否提供呼叫转移的开发功能,检查被测移动智能终端的操 作系统是否提供呼叫转移的功能; 步骤 7:如果移动智能终端操作系统提供呼叫转移的开发功能,使用该功能开发呼叫转移应用软件; 步骤 8: 运行该应用软件定制呼叫转移业务,查看终端是否提示说明应用软件操作内容,且要求用户确 认; 步骤 9:确认同意执行呼叫转移; 步骤 10:运行该应用软件,查看终端是否要求用户确认呼叫转移,确认拒绝执行呼叫转移。 YD/T 2408XXXX 9 预期结果: 在步骤 1后,如果移动智能终端操作系统不提供
41、拨打电话的开发功能,则继续执行步骤 6;如果移动智 能终端不提供拨打电话的功能,则继续执行步骤 6; 在步骤 3后,如果移动智能终端不要求用户确认,并成功拨打电话,则该项目评测结果为“不符合要 求”,评测结束。 在步骤 3后,如果移动智能终端要求用户确认拨打电话行为,则继续执行步骤 4; 在步骤 4后 , 如果移动智能终端执行拨打电话行为成功 , 则继续执行步骤 5, 否则该 项目评测结果为 “不 符合要求 ”。 在步骤 5后,如果移动智能终端执行拨打电话行为成功,则该项目评测结果为“不符合要求”。 在步骤 5后,如果移动智能终端执行拨打电话行为失败,则继续执行步骤 6; 在步骤 6后 , 如
42、果移动智能终端不提供呼叫转移的开发功能 , 且拨打电话评测结果无不符合情况 , 则该 项目评测结果为“未见异常”,评测结束。如果移动智能终端不提供拨打电话和呼叫转移的功能,则 该项目评测结果为“不支持”,评测结束。 在步骤 8后,如果移动智能终端提示用户应用软件操作内容,且要求用户确认,则继续执行步骤 9; 在步骤 8后 , 如果移动智能终端不提示用户应用软件操作内容 , 且不要求用户确认 , 则该项目评测结果 为“不符合要求”,评测结束。 在步骤 9后 , 如果移动智能终端定制呼叫转移业务成功 , 则继续执行步骤 10, 否则该 项目评测结果为 “不 符合要求”。 在步骤 10后,如果移动智
43、能终端定制呼叫转移业务成功,则该项评测结果为“不符合要求”。 在步骤 10后,如果移动智能终端定制呼叫转移业务失败,则该项评测结果为 “未见异常 ”。 4.3.1.1.2 三方通话受控机制 测试编号: 4.3.1.1.2 测试项目:三方通话的受控机制 项目要求: 见 YD/T2407-XXXX 第 5.3.1.1.2 节 预置条件:被测移动智能终端处于正常工作状态 测试步骤: 步骤 1: 检查被测移动智能终端的操作系统是否提供三方通话的开发功能,检查被测移动智能终端的操 作系统是否提供三方通话功能; 步骤 2:如果移动智能终端操作系统提供三方通话的开发功能,使用该功能开发三方通话应用软件; 步
44、骤 3: 操作被测移动智能终端拨打电话 , 之后运行该应用软件 , 查看终端是否要求用户确认三方通话 ; 步骤 4:确认同意执行三方通话; 步骤 5: 操作被测移动智能终端拨打电话 , 之后运行该应用软件 , 查看终端是否要求用户确认三方通话 , 确认拒绝执行三方通话。 YD/T 2408XXXX 10 预期结果: 在步骤 1后,如果移动智能终端操作系统不提供三方通话的开发功能,则该项目评测结果为“未见异 常”,评测结束。如果移动智能终端不提供三方通话的功能,则该项目评测结果为 “不支持 ”,评测结 束。 在步骤 3后 , 如果移动智能终端不要求用户确认 , 并成功开启三方通话 , 则该项目评
45、测结果为 “不符合 要求”,评测结束。 在步骤 3后,如果移动智能终端要求用户确认,则继续执行步骤 4; 在步骤 4后 , 如果移动智能终端执行三方通话行为成功 , 则继续执行步骤 5, 否则该项目评测结果为 “不 符合要求”。 在步骤 5后,如果移动智能终端执行三方通话行为成功,则该项目评测结果为“不符合要求”。 在步骤 5后,如果移动智能终端执行三方通话行为失败,则该项目评测结果为“未见异常”。 4.3.1.1.3 发送短信受控机制 测试编号: 4.3.1.1.3 测试项目:发送短信的受控机制 项目要求: 见 YD/T2407-XXXX 第 5.3.1.1.3 节 预置条件:被测移动智能终端处于正常工作状态 测试步骤: 步骤 1: 检查被测移动智能终端的操作系统是否提供发送短信的开发功能 ; 检查被测移动智能终端的操 作系统是否提供发送短信的功能; 步骤 2:如果移动智能终端操作系统提供发送短信的开发功能,使用该功能开发发送短信应用软件; 步骤 3:运行该应用软件,查看终端是否要求用户确认发送短信; 步骤 4:确认同意执行发送短信; 步骤 5:运行该应用软件,查看终端是否要求用户确认发送短信,确认拒绝执行发送短信。 预期结果: 在步骤