智能可穿戴產品信息安全能力要求及評價方法

楊東裕 張旭陽 謝浪雄

(工業和信息化部電子第五研究所 廣州 510610) (重慶賽寶工業技術研究院 重慶 401332)

智能可穿戴產品是利用感知、識別技術，基于無線信息傳輸，結合云服務、大數據等技術，實現持續交互和應用服務的便攜式、穿戴式的移動智能設備，其技術架構如圖1所示.近年來，中國智能可穿戴產業飛速發展，市場規模從2014年的22億達到2015年的135.6億，2016年超過228億，2018年將突破400億[1-2]，逐漸成為“互聯網+”時代下一個發展熱點.

圖1 智能可穿戴產品系統組成

這種新型產品不僅使數據成為服務用戶的信息來源，也對既有的數字生活形態、社會交往形態、社會組織形態產生深遠的影響[3].用戶一舉一動、不知不覺中產生的數據在不斷與互聯網對接、交互的過程中，產生的信息安全問題也逐漸凸顯[4].但由于缺乏核心技術，知識產權儲備不足及標準缺失等原因，導致國內企業競爭力普遍不高，處于產業鏈下游；市場競爭日益激烈，產品同質化現象較為嚴重，利潤偏低；產品質量水平參差不齊、隱私泄露等信息安全隱患突出.

1 相關工作

2015年底央視曝光國內智能兒童手表定位安全漏洞，服務器端與手表端防范薄弱，黑客可利用漏洞切斷家長與孩子之間聯系，撥號冒充家長，實時獲取兒童的行走軌跡，實時監聽環境聲音.2016年南方都市報報道，只需知道家長手機號碼，智能兒童手表就可被定位監聽并可篡改通信錄.

通過分析可知，信息安全隱患主要存在以下幾個因素：首先，這種軟硬結合的新的設備形態使信息時代積累的、較成熟的安全技術、設備元器件難以直接移植應用或繼承[5]，這樣就給黑客、釣魚、勒索軟件等提供了天然的滋生土壤；其次，人們在智能穿戴設備方面的安全防范意識相對較低，無法準確有效地應對個人信息泄露風險；再者，設備廠商或因資金問題或是出于成本考慮，對智能穿戴式設備的信息安全研發投入太少，缺乏快速有效的安全響應機制；最后，國家質量安全檢測對智能可穿戴設備這種新生事物在檢測標準上還存在著不少空白，宏觀管控信息安全的能力受限.

綜上分析，在大小廠商積極研發智能可穿戴設備的同時，背后存在的信息安全問題也日益凸顯，如果不能有效解決這些問題，萬物互聯時代智能可穿戴設備的大規模應用必然會導致問題叢生，并反過來制約智能可穿戴產業的發展.

本文通過安全能力要求來表征智能可穿戴產品應該具備的可防范安全威脅的技術手段，并定義了一種智能可穿戴產品分級評價方法.

2 智能可穿戴產品信息安全能力框架與目標

2.1 智能可穿戴產品信息安全能力框架

智能可穿戴產品的核心作用在于個人數據的獲取以及專項服務定制；所以，數據的采集、計算、分析結果反饋構成了可穿戴產品的完整應用[3].因此，黑客若想獲取可穿戴設備數據，除了從設備本身入手外，還可以通過網絡接入、云服務提供商、中間服務提供商等整個信息鏈進行，其中最薄弱的環節必將成為信息高泄露點[6].

為全面防護智能可穿戴產品的信息安全，本文提出一種安全能力框架，如圖2所示，主要包括5個部分：最底層是穿戴式設備安全能力，之上為數據處理終端(手機)應用軟件安全能力，頂層為后端計算與服務系統安全能力，無線通信網絡涉及穿戴式設備、數據處理終端、后端服務系統三者之間相互通信的安全，用戶數據保護安全能力涉及穿戴式設備件、無線通信網絡、數據處理終端應用軟件和后端計算與服務系統4個層面.

圖2 智能可穿戴產品安全能力框架

2.2 智能可穿戴產品信息安全目標

1) 穿戴式設備安全目標

穿戴式設備安全目標包含硬件安全、操作系統安全、外圍接口安全以及應用軟件安全[7-8].

① 硬件安全目標是在芯片級保證穿戴式設備內部閃存和基帶的安全，確保芯片內系統程序、設備參數、安全數據、用戶數據不被篡改或非法獲取.

② 操作系統安全目標是達到操作系統對系統資源調用的監控、保護和提醒，確保涉及安全的系統行為總是在受控的狀態下，不會出現用戶在不知情情況下某種行為的執行，或者用戶不可控行為的執行.另外，操作系統還應保證自身的升級是受控的.

③ 外圍接口包括無線外圍接口、有線外圍接口.外圍接口的安全目標是確保用戶對外圍接口的連接及數據傳輸的可知可控.

④ 應用軟件安全目標是要保證穿戴式設備對要安裝在其上的應用軟件可進行來源的識別，對已經安裝在其上的應用軟件可以進行敏感行為的控制.另外，還要確保預置在穿戴式設備中的應用軟件無損害用戶利益和危害網絡安全的行為，例如未經授權的修改、刪除、向外傳送用戶數據等行為.

2) 數據處理終端應用軟件安全目標

數據處理終端應用軟件安全目標是要保證運行于數據處理終端之上與穿戴式設備交互信息，并對信息進行處理以配合穿戴式設備實現其預期功能和服務的應用程序的敏感行為受控，并無破壞數據處理終端、損害用戶利益、危害網絡安全的行為，例如惡意吸費、未經授權修改、刪除、向外傳遞用戶數據、發布國家法律法規禁止的信息內容等行為.

3) 無線通信網絡安全目標

無線通信網絡安全目標是要保證穿戴式設備通過WiFi、藍牙等無線形式與外部進行通信時，其傳輸的數據不能被非法竊取、非法篡改，同時保證外部設備不能通過WiFi、藍牙等無線通信網絡非法控制穿戴式設備.

4) 后端計算與服務系統安全目標

后端計算與服務系統安全目標是確保其具備抵御外部攻擊的能力，防止第三者通過后端計算與服務系統非法竊取用戶數據、控制穿戴式設備或數據處理終端.

5) 用戶數據保護安全目標

用戶數據保護安全目標是要保證用戶數據存儲、傳輸的安全，確保用戶數據不被非法訪問、不被非法獲取、不被非法篡改，同時能夠通過備份保證用戶數據的可靠恢復.

3 智能可穿戴產品信息安全能力技術要求

3.1 穿戴式設備安全能力技術要求

3.1.1穿戴式設備硬件信息安全能力要求

穿戴式設備需提供存儲、處理等核心芯片的安全防護機制，確保芯片內系統程序、設備參數、安全數據、用戶數據不被篡改或非法獲取.

3.1.2穿戴式設備操作系統安全能力要求

1) 系統后門

系統在設計時不應留有“后門”，即不應以維護、支持或操作需要為借口，設計有違反或繞過安全規則的任何類型的入口和文檔中未說明的任何模式的入口.

2) 用戶空間與系統空間

操作系統程序與用戶程序要進行隔離.一個進程的虛地址空間至少應被分為2段：用戶空間和系統空間，兩者的隔離應是靜態的.駐留在內存中的操作系統應由所有進程共享.用戶進程之間應是彼此隔離的.應禁止在用戶模式下運行的進程對系統段進行寫操作，而在系統模式下運行時，應允許進程對所有的虛存空間進行讀、寫操作.

3) 系統功能調用控制能力

① 通信類系統功能調用受控機制

操作系統應提供撥打電話、WLAN、藍牙、移動通信網絡數據連接等通信類系統功能調用的用戶受控機制，如向用戶提供配置接口，允許用戶關閉或停止該類系統服務功能，并允許用戶選擇決定哪類應用程序可使用該類系統功能，同時應在用戶確認的情況下，系統或應用程序才可執行調用操作.

② 本地敏感功能調用受控機制

操作系統應提供定位、錄音、拍照、攝像等本地敏感功能調用的用戶受控機制，如向用戶提供配置接口，允許用戶關閉或停止該類系統功能，并允許用戶選擇決定哪類應用程序可使用該類系統功能，同時應在用戶確認的情況下，系統或應用程序才可執行調用操作.

4) 操作系統更新

穿戴式設備通常執行授權的操作系統更新，當不能保證操作系統安全的更新時，應在說明書中明示用戶可能帶來的安全風險.

3.1.3穿戴式設備外圍接口安全能力要求

1) 無線外圍接口安全能力要求

對于具備WLAN、藍牙、ZigBee、NFC功能的穿戴式設備，應具備開關，可開啟關閉WLAN、藍牙、NFC等所支持的無線連接方式.

② 無線外圍接口連接建立確認機制

當通過無線外圍接口(如藍牙)與不同設備進行第1次連接時，穿戴式設備能夠發現該連接并給用戶相應的提示，當用戶確認建立連接時，連接才可建立.

③ 無線外圍接口連接狀態顯示

當穿戴式設備的無線外圍接口(如WLAN、藍牙、ZigBee、NFC)已開啟，穿戴式設備宜通過特定方式給用戶相應的狀態提示.

當穿戴式設備通過無線外圍接口(如WLAN、藍牙、ZigBee、NFC)建立數據連接，穿戴式設備應給用戶相應的提示(圖標、聲音或振動等).

如果穿戴式設備提供了無線外圍接口的開啟狀態提示和數據連接狀態提示，這2種狀態提示應不同.

④ 無線外圍接口數據傳輸受控機制

當穿戴式設備與其他設備已經通過無線外圍接口(WLAN、藍牙、ZigBee或NFC)實現連接，此時通過無線外圍接口進行文件、圖片、數據等傳輸時，穿戴式設備應給用戶相應的提示，并允許用戶終止文件、圖片、數據等傳輸.

2) 有線外圍接口安全能力要求

對于僅用于充電或僅用于數據連接的有線外圍接口，當通過該接口建立連接時，穿戴式設備應給用戶相應的提示.

對于既可進行充電又可進行數據連接的有線外圍接口，當連接充電器時應給用戶相應的提示，當連接于既可進行充電又可進行數據連接的設備時，用戶應能夠選擇是否建立數據連接模式或者能夠保證數據傳輸授權可控.

3.1.4穿戴式設備應用軟件安全要求

1) 應用軟件安全認證機制要求

如果穿戴式設備支持對未經電子認證服務機構或第三方測試機構認證簽名軟件安裝，在進行應用軟件安裝時，穿戴式設備應能夠識別應用軟件的簽名狀態，并能夠根據簽名狀態給用戶相應的提示或通過數據處理終端應用軟件給用戶相應提示.

如果穿戴式設備采用認證簽名機制，在此情況下，未經過認證簽名的應用軟件僅當用戶進行確認后才能執行下一步操作.

2) 應用軟件安全要求

① 收集用戶數據

穿戴式設備中預置的應用軟件不應有未向用戶明示且未經用戶同意，擅自收集用戶數據的行為.

② 修改用戶數據

穿戴式設備中預置的應用軟件不應有未向用戶明示且未經用戶同意，擅自修改用戶數據的行為.

③ 調用設備通信功能

穿戴式設備中預置的應用軟件不應有未向用戶明示且未經用戶同意，擅自調用終端通信功能，造成用戶數據泄露的行為，

3) 應用軟件聯網行為安全要求

3.2 無線通信網絡安全能力技術要求

1) 無線通信網絡身份認證要求

支持通過認證協議對通信實體的身份進行認證.

2) 無線通信網絡訪問控制要求

3) 無線通信網絡傳輸加密要求

在無線數據傳輸過程中，應通過加密算法進行加密，加密密鑰大于128 b.

4) 無線通信網絡數據完整性保護要求

在無線數據傳輸過程中，應通過數據簽名、Hash算法、加解密等實現數據的完整性保護.能檢測出傳輸中數據被篡改、刪除、插入等情況，并具有相應的恢復機制，恢復其完整性.

3.3 數據處理終端應用程序安全能力技術要求

1) 應用程序安全認證機制要求

數據處理終端應用軟件應擁有依法設立的電子認證服務機構或第三方測試機構頒發的數字證書.

2) 應用程序調用系統通信功能控制能力

① 撥打電話控制能力

② 三方通話控制能力

③ 發送短信控制能力

④ 發送彩信控制能力

⑤ 發送郵件

⑥ 移動通信網絡數據連接

數據處理終端應用程序調用開啟移動通信網絡數據連接功能時，應給用戶相應的提示，當用戶確認后連接方可開啟.

⑦ WLAN 網絡連接

數據處理終端應用程序調用開啟WLAN網絡連接功能時，應給用戶相應的提示，當用戶確認后連接方可開啟.

3) 應用程序調用本地敏感功能控制能力

① 定位功能控制能力

數據處理終端應用軟件在調用定位功能時，應在用戶確認的情況下才能調用.調用后，數據處理終端宜在用戶主界面上給用戶相應的狀態提示.

② 通話錄音功能控制能力

③ 本地錄音功能控制能力

⑤ 對用戶數據操作控制能力

數據處理終端應用程序對用戶數據操作控制能力應滿足如下要求：當應用軟件調用對用戶數據進行寫操作時，數據處理終端應在用戶確認的情況下方可執行；當應用軟件需要調用對用戶數據的讀操作時，該應用軟件在下載、安裝或首次運行時應提示用戶該應用將讀取用戶數據，并明確告知用戶所要讀取的用戶數據類型.

4) 應用程序調用外部接口控制能力

數據處理終端應用程序調用外部接口(WiFi、藍牙、NFC、USB等無線或有線)時，應在用戶確認的情況下才能調用.調用后，數據處理終端宜在用戶主界面上給用戶相應的狀態提示.

5) 應用程序更新控制能力

數據處理終端應用程序通常執行授權的更新，當不能保證安全的更新時，應在說明書中明示用戶可能帶來的安全風險；同時數據處理終端應用程序應對更新操作提供技術保護手段，防止非法更新或更新接口被惡意利用.

6) 應用程序聯網行為安全要求

3.4 后端信息計算與服務系統安全能力技術要求

3.5 用戶數據保護安全要求

1) 密碼保護

① 穿戴式設備的密碼保護

穿戴式設備應支持開機時的密碼保護和開機后鎖定狀態下的密碼保護，例如口令、圖案、生物特征識別等多種形態的密碼，并由用戶決定是否使用，在說明書中告知用戶不設置密碼存在的安全隱患.口令認證與生物特征認證的要求見YDT1699—2007[11].

② 數據處理終端應用軟件密碼保護

數據處理終端應用軟件應支持開機時的密碼保護和開機后鎖定狀態下的密碼保護，例如口令、圖案等多種形態的密碼，并由用戶決定是否使用，在說明書中告知用戶不設置密碼存在的安全隱患.口令認證的要求見YDT1699—2007 中5.5.2.1，生物特征認證的要求見YDT 1699—2007 中5.5.2.3.

2) 用戶數據的授權訪問

智能可穿戴產品提供用戶數據的授權訪問能力，當第三方應用訪問被保護的用戶數據時，應在用戶確認的情況下才能訪問.

3) 用戶數據的加密存儲

未經授權的任何實體應不能從智能可穿戴產品的加密存儲區域的數據中還原出用戶私密數據的真實內容.

4) 用戶數據的加密傳輸

用戶數據在經過無線或有線傳輸過程中，智能可穿戴產品應提供加密傳輸機制，加密密鑰不少于64 b，保障在傳輸過程中用戶數據不被惡意竊取.

5) 用戶數據的徹底刪除

智能可穿戴產品應提供數據徹底刪除功能，以保證被刪除的用戶數據不可再恢復.一般的刪除功能僅會刪除數據在存儲器中放置位置的索引，而該區域內實際存儲的數據沒有完全清空，在數據被刪除之后，非法程序通過讀取該區域的內容，仍有可能從讀取到的數據中恢復被刪除的私密數據.徹底刪除功能應把該區域內實際存儲的數據徹底消除.例如，當用戶數據被刪除時，在該數據對應的存儲區域使用全“0”或全“1”進行多次填充.

6) 用戶數據的遠程保護

智能可穿戴產品應提供用戶數據的遠程保護能力，以便用戶在穿戴式設備、數據處理終端遺失或其他情況下，穿戴式設備及數據處理終端中的用戶數據不被泄露.遠程保護能力包括遠程鎖定穿戴式設備和數據處理終端，并可遠程銷毀用戶數據.智能可穿戴產品提供的遠程保護功能也應具備安全設置，確保遠程保護功能僅在達到了用戶預設條件的情況下才會啟動.

該功能可參考開放移動聯盟(OMA)組織發布的鎖定和徹底刪除管理對象標準OMA-TS-LAWMO.

7) 用戶數據的轉移備份

智能可穿戴產品應具備用戶數據的轉移及備份能力.

用戶數據的轉移備份包括本地備份和遠程備份2種：本地備份是通過穿戴式設備或數據處理終端的外圍接口實現的數據備份；遠程備份是通過無線網絡實現的用戶數據在服務器側的備份.智能可穿戴產品應至少支持一種備份方式.

3.6 智能可穿戴產品功能限制性要求

智能可穿戴產品應當真實傳送信息，不得通過對傳送信息進行處理(篡改)或傳送虛假信息，或使信息接收者錯誤識別特定通信主體等，不得預置可改變通信系統提示信號的應用軟件；

智能可穿戴產品不得預置國家法律法規禁止的信息內容(包括但不限于預置圖片、文字、菜單、音視頻、應用等)，也不得預置為傳播發布國家法律法規禁止信息內容提供服務的應用軟件.

4 安全能力分級評價方法

智能可穿戴產品所支持的安全能力劃分為5個等級，第5級是最高等級.根據智能可穿戴產品所支持的安全能力的程度，將智能可穿戴產品安全能力自低到高劃分為5個等級.在每一等級定義了智能可穿戴產品在相應等級對應的安全能力的最小集合，也就是智能可穿戴產品必須支持該集合中的所有安全能力才能標識為該級別，例如達到第5級的智能可穿戴產品應支持本文第3節所定義的所有安全能力及功能限制性要求.具體的等級劃分如表1所示：

表1 智能可穿戴產品安全能力等級劃分評價

5 結 論

作為連接人與智能社會的鑰匙，智能可穿戴產品正處于蓬勃發展的階段.智能可穿戴產品廠家應既注重技術上的突破，也注重產品的多元化和生活化，而安全策略必將成為貫穿其中的重要內容[12]，這也是生態文明建設中，實現智能家居、智慧城市、和諧社會的根本保障[3].

本文通過安全能力要求來表征智能可穿戴產品應該具備的可防范安全威脅的技術手段，從穿戴式設備安全能力、數據處理終端應用軟件安全能力、后端計算與服務系統安全能力、無線通信網絡安全能力以及用戶數據保護安全能力5個方面定義了一種智能可穿戴產品分級評價方法，用于指導廠商提升智能可穿戴產品的安全防護能力，并為消費者購買智能可穿戴產品提供參考.