T／TAF 087-2021  智能可穿戴设备安全 儿童电话手表安全技术要求和测试评估方法

外围接口包括无线外围接口和有线外围接口。外围接口的安全目标是确保用户对外围接口的连接及 数据传输的可知和可控，

手表控制程序安全目标是要保证控制程序在终端设备中运行的安全性，例如：对应用控制程序进行 加固和签名，防止二次编译和假冒APP等恶意行为另外还应保证本地数据存储的安全性，例如：本地娄 据库、本地资源文件和缓存等

北京标准规范范本4.3.5儿童手表服务器端安全目标

无线通信安全目标是要保 输的机密性、完整性和真实性，采用必要数据加 交验等手段进行安全防护，且加密算法强度 应满足国家相关规范，防止认证、标识、 隐私等敏感数据在无线传输过程中被获取其至算改。

用户数据保护安全目标是要保证用户数据的安全存储，确保用户数据不被非法访问、获取和篡改， 同时能够通过安全备份机制保证用户数据的可靠恢复

终端设备能耗保护安全目标是要保证终端电池的正常、稳定消耗，避免由于外部的蓄意攻击而导致 电池非预期耗尽

5.2.1硬件功能安全

硬件功能实现应与提供 隐藏的功能。例如应关闭隐藏 片内存的访问或芯片功能更改的能力。

5.2.2硬件设计安全

硬件设计安全要求包括但不限于： a 硬件内部模块的安全属性和芯片间通信协议等安全敏感实现应不存在设计原理上的缺陷，例如 由于随机数的随机性较差而导致的弱密钥等： b 密码算法的安全性应符合相关国家和行业标准要求，密钥的产生、分发、使用、存储、销毁应 有相应安全保障机制。 C 在非必要情况下，不在空口以明文方式广播真实终端信息，特别是能标识具体终端设备的MA 地址等信息。 终端应具有防物理攻击能力，防止信息泄漏。攻击手段包括但不限于非侵入式攻击、半侵入式 攻击和侵入式攻击：设备的加密模块支持防旁路攻击，以及抵抗错误注入攻击。

5.2.3芯片安全能力

在启动过程中，所有启动程序（例如引导程序、内核镜像、基带固件等）必须通过完整性校验 加载运行，防止加载并运行未经授权的恶意程序

5.3.2安全调用控制

5.3.3应用程序安装

应用程序安装要求包括： a）系统在应用安装时需要获得用户授权，未授权或被用户拒绝的应用，系统应拒绝安装； b）若系统支持对未经认证签名的软件下载和安装，在进行应用软件安装前应能对应用软件的签名 进行验证； c）应用安装时，权限分配采取授权最小化原则，系统应能禁止所有未被允许权限的使用。 d）本章节不适用于不支持应用安装的儿童手表，

5.3.4应用程序启动

方止未经授权或认证的的应用软件启动

5.3.5应用程序卸载

应用程序卸载要求包括： a）卸载应用软件必须卸载彻底，不应在系统中留下应用软件的临时文件和活动程序或模块 b）本章节不适用于不支持应用卸载的儿童手表。

5.3.6安全日志记录及审计控制

安全日志记录及审计控制要求包括但不限于： a）宜具备记录用户对设备操作的能力，记录包括但不限于以下内容：用户对设备操作时所使用的 帐号、操作时间、操作内容以及操作结果等： 设备在异常关机、重启、文件系统损坏时产生的告警信息宜自动记入日志； 对于具备文件系统的系统，应具备按帐号分配日志文件读取的能力，防止日志文件被非法读取， 仅允许管理员帐号对日志文件进行删除操作； d）一审计日志应具有循环机制，避免因为日志满而遗漏新事件记录，

安全日志记录及审计控制要求包括但不限于： a）宜具备记录用户对设备操作的能力，记录包括但不限于以下内容：用户对设备操作时所使用的 帐号、操作时间、操作内容以及操作结果等： b 设备在异常关机、重启、文件系统损坏时产生的告警信息宜自动记入日志； 对于具备文件系统的系统，应具备按帐号分配日志文件读取的能力，防止日志文件被非法读取。 仅允许管理员帐号对日志文件进行删除操作； d）一审计日志应具有循环机制，避免因为日志满而遗漏新事件记录，

5.3.7系统更新机制

操作系统应具备更新机制，且更新前应得到用户确认，要求包括但不限于： a）系统更新时，应对更新文件的来源和完整性进行校验，并应具有原始数据备份能力，能够进 行必要的回滚操作，避免更新失败导致系统失效，更新前是否备份可交由用户决定； b）系统更新失败时，应保证系统的可用性并给予用户相应的提示； c）系统应具备通过补丁或软件升级的方式消除或缓解高危及以上等级安全漏洞的能力。

5.3.10预置应用软件安全要求

预装应用软件不应存在后门 CNNVD六个月之前公布的高危以上漏洞 不应含有非授权收集或泄露用户信息、非法数据外传等恶意行为。

5.4应用控制程序安全能力

.4.1应用软件签名认证

应用软件签名认证机制要求包括但不限于： a）应对应用程序进行签名认证，确保软件的真实和完整性，防止恶意篡改 b）应对应用程序进行加壳加固，防止应用源码泄漏和二次打包。

5.4.2应用软件数据安全要求

应用软件数据要求包括但不限于： a）应对应用程序资源文件、本地数据库和缓存等进行加密，且密码算法的安全性应符合相关国家 和行业标准要求。 b）应对应用程序缓存本地的日志文件做脱敏和加密处理，且密码算法的安全性应符合相关国家和 行业标准要求。

5.5外围接口安全能力

5.6无线通信安全能力

5.6.1协议安全一致性

所采用WLAN、蓝牙、ZigBee等无线通信协议应支持设备授权认证、加密传输等安全扩展功能，协 议安全相关部分应正确实现与相关标准一致。

5.7家长&儿童数据保护安全能力

6.2.1硬件功能安全

1）审查厂商提交的用户手册，查看硬件功能实现是否与用户手册一致。 2）审查厂商提交的文档，查看是否存在未声明或隐藏的功能，检查具备调试功能的接口，在 出场时是否设置为默认关闭状态。 结果判定： 1）硬件功能实现是否与用户手册一致。满足为“符合”，其他情况为“不符合” 2）硬件功能不存在未声明或隐藏功能，调试功能接口关闭。满足为“符合”，其他情况为“不 符合”。

6.2.2硬件设计安全

硬件设计安全的检测方法和结果判定如下： 检测方法： 1）审查厂商提交的文档，查看硬件内部模块实现，安全属性和通信协议等安全敏感实现是否 存在设计缺陷。 2） 审查厂商提交的文档，查看密码算法的安全性设计，是否符合国家或行业标准要求，使用 安全保障机制保护密钥生产、分发、使用、存储、销毁等过程

3）审查厂商提交的文档，查看数据传输功能，是否在空口以明文方式广播终端信息，如终端 设备的MAC地址等。 结果判定： 1 硬件内部模块安全敏感实现不存在设计缺陷。满足为“符合”，其他情况为“不符合”。 密码算法的安全性设计符合国家或行业标准要求，满足为“符合”，其他情况为“不符合”。 在非必要情况下，不在空口以明文方式广播真实终端信息。满足为“符合”，其他情况为 “不符合”

6.2.3芯片安全能力

6. 3. 1 安全启动

6. 3.2 安全调用控制

操作系统权限限制的检测方法和结果判定如下： a）检测方法： 1 创建多个用户账户，验证用户权限分配是否遵循最小权限原则，普通用户是否只拥有系统 赋予的最小权限，尝试越权操作，该越权操作是否被禁止。单用户系统不适用。 2 在系统上申请安装应用，验证是否需要获得用户授权才能安装；如果用户未授权或者用户 拒绝安装该应用，系统是否拒绝安装应用。在应用安装时，验证权限分配是否采取授权最 小化原则，系统是否禁止所有未被允许权限的使用。 3） 当不同的应用进程或数据之间进行访问时，验证系统是否具有访问控制机制，不同应用程 序的进程及数据是否禁止随意互访。 4 审查厂商提交的文档，查看系统是否禁止预留任何的未公开帐号，所有帐号都必须可被操 作系统管理。 5） 审查厂商提交的文档，查看是否禁止存在绕过正常认证机制直接进入到系统的隐秘通道， 如：特定接口、特定客户端、特殊URL等。 b） 结果判定： 对于支持多个用户账户的系统，用户权限分配遵循最小权限原则，普通用户只拥有系统赋 予的最小权限，禁止越权操作。满足为“符合”，其他情况为“不符合”。 系统在应用安装时需要获得用户授权，未授权或被用户拒绝的应用，系统拒绝安装。应用 安装时，权限分配采取授权最小化原则，系统可以禁止所有未被允许权限的使用。满足为 “符合”，其他情况为“不符合”。 3 系统对不同的应用进程及数据之间实施适当的访问控制管理，不同应用程序的进程及数据 不能随意互访。满足为“符合”，其他情况为“不符合”。 4）系统禁止预留任何的未公开帐号，所有帐号都必须可被操作系统管理。满足为“符合”， 其他情况为“不符合”。 5 禁止存在绕过正常认证机制直接进入到系统的隐秘通道，如：特定接口、特定客户端、特 殊URL等。满足为“符合”，其他情况为“不符合”。

6.3.3应用程序安装

不满定则结束此项测评 安装应用时系统需要获得用户授权，用户拒绝应用安装后，系统拒绝此应用安装。满足为 “符合”，其他情况为“不符合”。

系统支持对未经认证签名的软件下载和安装时，应用软件安全前系统会对应用软件的签名 进行验证。满足为“符合”，其他情况为“不符合”。 应用程序安装符合授权最小化原则，当权限未被允许是，系统不可使用此权限。满足为“符 合”，其他情况为“不符合”

6.3.4应用程序启动

应用程序启动的检测方法和结果判定如下： 检测方法： 1）审查厂商提供的文档，检查是否存在安全机制防止未经授权或认证的应用软件启动。 结果判定 1）存在安全机制防止未经授权或认证的应用软件启动。满足则继续测评，不满足则结束此项 测评。 2） 满足第一步的条件下，查看未经授权或认证的应用软件是否能启动，满足为“符合”，其 他情况为“不符合”

6.3.5应用程序卸载

6.3.6安全日志记录及审计控制

2）设备在异常关机、重启、文件系统损坏时产生的告警信息，自动记入日志。满足为“符合”， 其他情况为“不符合”。 3） 当为日志分配的存储空间耗尽时，可按操作系统用户的设置决定采取的措施，包括报警并 丢弃未记录的信息、暂停日志录入、覆盖以前的日志等。满足为“符合”，其他情况为“不 符合”。

6.3.7系统更新机制

操作系统更新安全机制的检测方法和结果判定如下： 检测方法： 1）审查厂商提交的文档，查看操作系统是否具有自动或者手动更新功能；如果具有自动更新 功能，在授权的条件下，检查是否可以自动更新操作系统；如果具有手动更新功能，在授 权的条件下，检查是否可以手动更新操作系统， 2 修改更新文件的来源，在授权的条件下，进行系统更新，检查是否可以通过校验，完成更 新；修改更新文件的内容，在授权的条件下，进行系统更新，检查是否可以通过完整性校 验，完成更新。 3 尝试推送不正确的固件给设备，使升级失败，验证设备是否恢复到之前可用的版本，并提 示更新失败的信息。 审查厂商提交的文档，查看操作系统是否具备通过补丁或软件升级的方式消除高危及以上 等级安全漏洞的能力。 结果判定： 1 操作系统具备自动或者手动更新功能，通过自动或者手动，能够实现操作系统升级。满足 为“符合”，其他情况为“不符合”。 2）修改更新文件的来源，在授权的条件下，进行系统更新，未通过校验，更新失败；修改更 新文件的内容，在授权的条件下，进行系统更新，未通过校验，更新失败。满足为“符合”， 其他情况为“不符合”。 3 推送不正确的固件给设备，使升级失败，设备可以恢复到之前可用的版本，并提示更新失 败的信息。满足为“符合”，其他情况为“不符合”。 4） 操作系统具备通过补丁或软件升级的方式消除高危及以上等级安全漏洞的能力。满足为 “符合”，其他情况为“不符合”

操作系统更新安全机制的检测方法和结果判定如下： a）检测方法： 1）审查厂商提交的文档，查看操作系统是否具有自动或者手动更新功能；如果具有自动更新 功能，在授权的条件下，检查是否可以自动更新操作系统；如果具有手动更新功能，在授 权的条件下，检查是否可以手动更新操作系统， 2 修改更新文件的来源，在授权的条件下，进行系统更新，检查是否可以通过校验，完成更 新；修改更新文件的内容，在授权的条件下，进行系统更新，检查是否可以通过完整性校 验，完成更新。 3 尝试推送不正确的固件给设备，使升级失败，验证设备是否恢复到之前可用的版本，并提 示更新失败的信息。 审查厂商提交的文档，查看操作系统是否具备通过补丁或软件升级的方式消除高危及以上 等级安全漏洞的能力。 b结果判定： 1 操作系统具备自动或者手动更新功能，通过自动或者手动，能够实现操作系统升级。满足 为“符合”，其他情况为“不符合”。 2）修改更新文件的来源，在授权的条件下，进行系统更新，未通过校验，更新失败；修改更 新文件的内容，在授权的条件下，进行系统更新，未通过校验，更新失败。满足为“符合”， 其他情况为“不符合”。 3 推送不正确的固件给设备，使升级失败，设备可以恢复到之前可用的版本，并提示更新失 败的信息。满足为“符合”，其他情况为“不符合”。 4） 操作系统具备通过补丁或软件升级的方式消除高危及以上等级安全漏洞的能力。满足为 “符合”，其他情况为“不符合”

6.3.8预置应用软件安全要求

6.4应用控制程序安全能力测试评价方法

ADB的检测方法和结果判定如下： a）检测方法：

ADB的检测方法和结果判定如下： a）检测方法：

1）调试终端ADB端口，检查在默认情况下ADB端口是否为关闭状态，并不可开启或可通过远 程服务器认证方式打开ADB端口。 结果判定： 1）默认情况下终端ADB端口为关闭状态，并不可开启或可通过远程服务器认证方式打开ADE 端口。满足为“符合”，其他情况为“不符合”

6.6无线通信安全测试评价方法

无损检测标准规范范本6.6.1协议安全一致性

办议安全一致性的检测方法和结果判定如下： 检测方法： 1）检查设备采用的WLAN、蓝牙、ZigBee等无线通信协议是否支持设备授权认证、加密传输 等安全扩展功能。 2）检查设备协议安全部分实现是否与相关标准一致。 结果判定 1） 设备采用的通信协议支持设备授权认证、加密传输等安全扩展功能。满足为“符合”，其 他情况为“不符合”。 设备协议安全部分实现与相关标准一致。满足为“符合”，其他情况为“不符合”

6.7家长&儿童数据保护安全能力测试评价方法

人孔标准家长&儿童数据保护安全的检测方法和结果判定如下： a)检测方法:

1）查看厂商提供的控制程序收集家长数据是否提前征得同意，且撤回同意后是否立即停止收 集数据。 2） 查看厂商提供的终端设备收集儿童数据是否取得家长端应用控制程序明示同意，且撤回同 意后是否立即停止收集数据。 3 查看厂商提供数据管理制度和数据存储等，是否多敏感数据设置权限和单独存放等安全隔 离措施。 4）查看厂商提供控制程序和终端设备在数据传输过程中是否采用加密或者HTTPS等安全传 输措施。 5） 查看厂商提供的控制程序是否未经允许私自修改个人信息，账户注销后是否还能继续登录 或保留用户个人信息，匿名化除外。 结果判定： 1）厂商控制程序有明示同意等提示且撤回同意后停止收集数据。满足为“符合”，其他情况 为“不符合”。 2）厂商提供证明敏感数据授权访问和安全隔离措施。满足为“符合”，其他情况为“不符合”。 3 通过相关技术手段不仅限于抓包等查看是否采用安全的传输方法传输用户数据。满足为 “符合”，其他情况为“不符合”。 4）无未经允许修改个人信息且账户注销后不能继续登录使用，无其他个人信息留存。满足为 “符合”，其他情况为“不符合”

1）查看厂商提供的控制程序收集家长数据是否提前征得同意，且撤回同意后是否立即停止收 集数据， 2） 查看厂商提供的终端设备收集儿童数据是否取得家长端应用控制程序明示同意，且撤回同 意后是否立即停止收集数据。 3 查看厂商提供数据管理制度和数据存储等，是否多敏感数据设置权限和单独存放等安全隔 离措施。 4 查看厂商提供控制程序和终端设备在数据传输过程中是否采用加密或者HTTPS等安全传 输措施。 5） 查看厂商提供的控制程序是否未经允许私自修改个人信息，账户注销后是否还能继续登录 或保留用户个人信息，匿名化除外。 结果判定： 1）厂商控制程序有明示同意等提示且撤回同意后停止收集数据。满足为“符合”，其他情况 为“不符合”。 2）厂商提供证明敏感数据授权访问和安全隔离措施。满足为“符合”，其他情况为“不符合” 3 通过相关技术手段不仅限于抓包等查看是否采用安全的传输方法传输用户数据。满足为 “符合”，其他情况为“不符合”。 4）无未经允许修改个人信息且账户注销后不能继续登录使用，无其他个人信息留存。满足为 “符合”，其他情况为“不符合”