一种基于CC的智能电视应用软件安全评估方法

陈 勇，莫 玮，王 勇，刘 硕，徐克超

（1.桂林电子科技大学，广西 桂林 541004；2.中国电子技术标准化研究院，北京 100007）

一种基于CC的智能电视应用软件安全评估方法

陈 勇1，莫 玮1，王 勇1，刘 硕2，徐克超2

（1.桂林电子科技大学，广西 桂林 541004；2.中国电子技术标准化研究院，北京 100007）

对智能电视应用软件的安全功能进行分类，给出了一种基于CC的、由“真实性—保密性—完整性—可用性—不可抵赖性—可控制性—可审查性”组成的分类方法，并依此对智能电视的应用软件进行模拟评估，与CC原分类方法的评估结果相比，新的评估分类方法区分度更好，能更有效地评估智能电视应用软件的安全性。

智能电视；应用软件；安全评估

CC[1]（通用评估准则）中定义了评估信息技术产品和系统安全性所需的基础准则，是度量信息技术产品和系统安全性的基准。该标准针对在安全性评估过程中信息技术产品和系统的安全功能及相应的保证措施提出一组通用要求，使各种相对独立的安全性评估结果具有可比性[2-6]。这有助于信息技术产品和系统的开发者或用户确定所集成的产品或系统的应用是否足够安全，以及在使用中存在的安全风险是否可以接受。该标准主要保护的是信息的保密性、完整性和可用性三大特性，其重点考虑的是人为威胁。

智能电视打破了传统电视和IT行业的技术界限，模糊了电视机和IT的产业边界，引入CC的评估思想，可对智能电视应用软件的安全性评估产生积极影响。

近年来，随着智能电视硬件及功能的不断集成，以智能电视为平台的应用软件大量出现，丰富着人们的观赏体验。同时，由于智能电视应用功能接口的开放性，及其应用软件的可扩展性，让针对智能电视应用软件的漏洞有了可乘之机，且目前针对智能电视应用软件的安全审查机制几乎为零，这为不法分子谋取非法利益提供便利，严重威胁着智能电视及其使用者的安全[7-12]。因此，对智能电视应用软件开展安全性评估，及时发现并规避含有恶意行为的应用软件迫在眉睫，对于保障终端安全和用户权益具有重要的现实意义。

由于目前关于智能电视应用软件安全的标准还未出台，本文对其安全功能要求进行评估，暂不考虑其安全保证要求。

1 智能电视应用软件安全功能分析

本文以智能电视应用软件为评估对象[1]（TOE），建立一个独立于实现的框架——保护轮廓[1]（PP），并规定该评估对象的安全性技术要求；同时，制定安全目标[1]（ST）以满足智能电视应用软件安全目的和安全功能的需求，以及为满足安全需求而提供的特定安全性技术要求。并依据CC第2部分“类—子类—组件”的层次结构（见图1）定义了目前智能电视应用软件的常用安全功能要求，依此作为安全性评估有效实施的基础。

图1 层次结构示意图

其中，评估轮廓的主要内容包括：

1）保护对象：集成或安装在智能电视上为用户提供各种应用的软件；

2）安全环境：包括用户的信息、已知的威胁、用户的组织安全策略；

3）安全目的：对安全问题的相应策略，包括技术性和非技术性措施；

4）安全要求：通过满足安全目的，进一步提出具体的技术实现方案；

5）基本原理：指明安全要求对安全目的、安全目的对安全环境是充分必要的。

完备的评估轮廓有助于确保技术与需求之间的内在完备性和提高安全保护的针对性、有效性。

1.1 安全威胁分析

下文将在分析智能电视应用软件所面临的安全威胁的基础上，提出基于CC的新的功能分类方法。智能电视应用软件安全威胁形式多样，对其部分安全威胁汇总见表1。

表1 智能电视应用软件安全威胁总结（部分）

1.2 安全功能分类

CC根据目前国际上公认的常用安全功能要求，划分了11类、66子类和135个组件，此分类方法复杂且缺少科学论证，其设计和描述都不十分平衡：有些组件的规范度很高、提出了详细具体的规范；而有些组件的规范度很低，只提出了初步的规定。再加上不同用户对信息安全问题认识和理解的差异，很难保证CC的统一规范性，为此，依据目前智能电视应用软件安全隐患的分析，采用“真实性—保密性—完整性—可用性—不可抵赖性—可控制性—可审查性”的原则对其安全功能进行分类。此分类方法更符合CC主要保护信息的保密性、完整性和可用性等三大特性的宗旨。

1）真实性：对信息的来源进行判断，能对伪造来源的信息予以鉴别，对应CC中的FIA类，记为F1。

2）保密性：保证机密信息不被窃听，或窃听者不能了解信息的真实含义，对应CC中的FCS类，记为F2。

3）完整性：保证数据的一致性，防止数据被非法用户篡改，对应CC中的FDP类、FPT类和FTP类，分别记为F3.1，F3.2和F3.3。

4）可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝，对应CC中的FRP类，记为F4。

5）不可抵赖性：建立有效的责任机制，防止用户否认其行为，对应CC中的FCO类，记为F5。

6）可控制性：对信息的传播及内容具有控制能力，对应CC中的FMT类和FRU类，分别记为F6.1和F6.2。

7）可审查性：对出现的网络安全问题提供调查的依据和手段，对应CC中的FAU类和FTA类，分别记为F7.1和F7.2。

为简化分类流程，略去子类环节，直接将功能组件和上述7类功能进行分别对应，同时为分析每个功能组件在规定安全功能时的确定性，引入“安全度”这一度量，采用形式化分析方法定义：先设定4个命题，记为T1，T2，T3，T4，将这4个命题分别作用于智能电视应用软件的每个功能组件Fx，可以得到输出为

定义功能组件的安全度为

式中：T1表示组件是否规定了一个比较准确的功能要求；T2表示组件是否能够直接引用，而不是为其他组件服务；T3表示组件是否提出了如何实现功能要求；T4表示组件是否需要赋值操作。

由以上定义得出命题T1，T2，T3和T4分别作用于各智能电视应用软件安全功能组件后的输出值和功能组件的安全度（表2）。

表2 功能组件分析

从表2可知，每个功能组件Fx的安全度SL(Fx)是一个确定的数值，且0≤SL(Fx)≤4。安全度越大，该组件的安全功能可靠性越好；安全度越小，该组件的安全功能可靠性越差。

2 评估结果分析

采用求平均值的方法处理一组数据，能从整体上看出该组数据的取值是否科学及其定义是否合理。对智能电视应用软件每类功能组件安全度数值平均量化后，得到其安全功能组件的功能类评估结果如表3所示，而原CC评估结果如表4所示。

表3 新评估结果

表4 CC评估结果

为进一步比较两次评估过程对安全功能组件区分度可靠性的把握，分别对两组数据（分别用SJ1和SJ2表示）求方差，得出0.678 3=（SJ1）2＞（SJ2）2=0.309 7，说明新的评估方法选取的功能组件区分度较好，能够更充分地评估智能电视应用软件的安全性。

3 结论

上述基于CC的智能电视应用软件安全评估方法，在很大程度上遵照CC的评估原则对相应软件的安全功能组件进行了良好的区分，并很好地突出了保护信息技术产品安全“保密性—完整性—可用性”的特性；但是，由于目前智能电视并没有完整统一的定义，再加上智能电视不同种类应用软件的安全需求不同，同种类型应用软件的相关安全功能规范也不一致，给出的功能组件还不够完备，今后将进一步细化智能电视应用软件的颗粒度，使该评估方法更加客观，可靠性更强。

[1] ISO/IEC 15408-2:2008，Information technology--security tech⁃niques--evaluation criteria for IT security--part 2:security functional components[S].2008.

[2]UPPULURIP，PITTGES J.A comprehensive undergraduate appli⁃cation security project[C]//Proc.9th International Conference on Information Technology:New Generations.Las Vegas，NV：IEEE Press，2012：600-607.

[3]DUKES L，YUAN X H，AKOWUAH F.A case study on web ap⁃plication security testing with tools and manual testing[C]//Proc. IEEE Southeastcon.Jacksonville，FL：IEEE Press，2013：1-6.

[4] TÜRPE S.Search-based application security testing:towards a structured search space[C]//Proc.IEEE 4th International Confer⁃ence on Software Testing,Verification and Validation Workshop. Berlin：IEEE Press，2011：198-201.

[5]AVRAMESCU G，BUCICOIU M，ROSNER D，et al.Guidelines for discovering and improving application security[C]//Proc.19th International Conference on Control Systems and Computer Sci⁃ence.Bucharest：IEEE Press，2013：560-565.

[6]ALALFIM H，CORDY JR，DEAN T R.Automated verification of role-based access control security models recovered from dynam⁃ic web applications[C]//Proc.14th IEEE International Symposium onWeb Systems Evolution.Trento：IEEE Press，2012：1-10.

[7] USKOV A V.Hands-on teaching of software and web applica⁃tions security[C]//Proc.3rd Interdisciplinary Engineering Design Education Conference.Santa Clara，CA：IEEE Press，2013：71-78.

[8] YANG K M，CHO S B.Probabilistic modeling for context-awareservice in smart TV[C]//Proc.4th International Conference on In⁃telligent Systems Modelling&Simulation.Bangkok：IEEE Press，2013：78-83.

[9]KIM SC，CHOIB，JEONG Y，et al.An architecture of augmented broadcasting service for next generation smart TV[C]//Proc.IEEE International Symposium on Broadband Multimedia Systems and Broadcasting.Seoul：IEEE Press，2012：1-4.

[10]KWON H J，HONG K S.Personalized smart TV program recom⁃mender based on collaborative filtering and a novel similarity method[J].IEEE Trans.Consumer Electronics，2011，57（3）：1416-1423.

[11]HAN J J，CHOIC，YOO B I，et al.Real-time hand shape recog⁃nition by orientation invariant data learning for smart TV[C]// Proc.IEEE International Conference on Consumer Electronics. Las Vegas，NV：IEEE Press，2013：552-553.

[12]KHAN S U Z，SHOVON T H，SHAWON J，et al.Smart box:a TV remote controller based programmable home appliance man⁃ager[C]//Proc.International Conference on Informatics,Electron⁃ics&Vision.Dhaka：IEEE Press，2013：1-5.

Security Assessment M ethod of Smart TV’s App lication Based on CC

CHEN Yong1,MO Wei1,WANG Yong1,LIU Shuo2,XU Kechao2
（1.Guilin University of Electronic Technology,Guangxi Guilin 541004,China;2.CESI,Beijing 100007,China）

The smart TV application software security features are classified,and a CC-based classification consisted by "authenticity- auditability Confidentiality- Integrity- Availability- Non-repudiation- controllability"is given,and a simulation evaluation on smart TV’s application software is made,compared with the CC evaluation results based on original classification.The new evaluation method’s discrimination is better and can assess the safety of smart TV’s applications more effectively.

smart TV;application software;security assessment

TN949

A

�� 京

2013-12-03

【本文献信息】陈勇，莫玮，王勇，等.一种基于CC的智能电视应用软件安全评估方法[J].电视技术，2014，38（8）.

国家自然科学基金项目（61172053）