智能可穿戴产品信息安全能力要求及评价方法

杨东裕 张旭阳 谢浪雄

(工业和信息化部电子第五研究所 广州 510610) (重庆赛宝工业技术研究院 重庆 401332)

智能可穿戴产品是利用感知、识别技术，基于无线信息传输，结合云服务、大数据等技术，实现持续交互和应用服务的便携式、穿戴式的移动智能设备，其技术架构如图1所示.近年来，中国智能可穿戴产业飞速发展，市场规模从2014年的22亿达到2015年的135.6亿，2016年超过228亿，2018年将突破400亿[1-2]，逐渐成为“互联网+”时代下一个发展热点.

图1 智能可穿戴产品系统组成

这种新型产品不仅使数据成为服务用户的信息来源，也对既有的数字生活形态、社会交往形态、社会组织形态产生深远的影响[3].用户一举一动、不知不觉中产生的数据在不断与互联网对接、交互的过程中，产生的信息安全问题也逐渐凸显[4].但由于缺乏核心技术，知识产权储备不足及标准缺失等原因，导致国内企业竞争力普遍不高，处于产业链下游；市场竞争日益激烈，产品同质化现象较为严重，利润偏低；产品质量水平参差不齐、隐私泄露等信息安全隐患突出.

1 相关工作

2015年底央视曝光国内智能儿童手表定位安全漏洞，服务器端与手表端防范薄弱，黑客可利用漏洞切断家长与孩子之间联系，拨号冒充家长，实时获取儿童的行走轨迹，实时监听环境声音.2016年南方都市报报道，只需知道家长手机号码，智能儿童手表就可被定位监听并可篡改通信录.

通过分析可知，信息安全隐患主要存在以下几个因素：首先，这种软硬结合的新的设备形态使信息时代积累的、较成熟的安全技术、设备元器件难以直接移植应用或继承[5]，这样就给黑客、钓鱼、勒索软件等提供了天然的滋生土壤；其次，人们在智能穿戴设备方面的安全防范意识相对较低，无法准确有效地应对个人信息泄露风险；再者，设备厂商或因资金问题或是出于成本考虑，对智能穿戴式设备的信息安全研发投入太少，缺乏快速有效的安全响应机制；最后，国家质量安全检测对智能可穿戴设备这种新生事物在检测标准上还存在着不少空白，宏观管控信息安全的能力受限.

综上分析，在大小厂商积极研发智能可穿戴设备的同时，背后存在的信息安全问题也日益凸显，如果不能有效解决这些问题，万物互联时代智能可穿戴设备的大规模应用必然会导致问题丛生，并反过来制约智能可穿戴产业的发展.

本文通过安全能力要求来表征智能可穿戴产品应该具备的可防范安全威胁的技术手段，并定义了一种智能可穿戴产品分级评价方法.

2 智能可穿戴产品信息安全能力框架与目标

2.1 智能可穿戴产品信息安全能力框架

智能可穿戴产品的核心作用在于个人数据的获取以及专项服务定制；所以，数据的采集、计算、分析结果反馈构成了可穿戴产品的完整应用[3].因此，黑客若想获取可穿戴设备数据，除了从设备本身入手外，还可以通过网络接入、云服务提供商、中间服务提供商等整个信息链进行，其中最薄弱的环节必将成为信息高泄露点[6].

为全面防护智能可穿戴产品的信息安全，本文提出一种安全能力框架，如图2所示，主要包括5个部分：最底层是穿戴式设备安全能力，之上为数据处理终端(手机)应用软件安全能力，顶层为后端计算与服务系统安全能力，无线通信网络涉及穿戴式设备、数据处理终端、后端服务系统三者之间相互通信的安全，用户数据保护安全能力涉及穿戴式设备件、无线通信网络、数据处理终端应用软件和后端计算与服务系统4个层面.

图2 智能可穿戴产品安全能力框架

2.2 智能可穿戴产品信息安全目标

1) 穿戴式设备安全目标

穿戴式设备安全目标包含硬件安全、操作系统安全、外围接口安全以及应用软件安全[7-8].

① 硬件安全目标是在芯片级保证穿戴式设备内部闪存和基带的安全，确保芯片内系统程序、设备参数、安全数据、用户数据不被篡改或非法获取.

② 操作系统安全目标是达到操作系统对系统资源调用的监控、保护和提醒，确保涉及安全的系统行为总是在受控的状态下，不会出现用户在不知情情况下某种行为的执行，或者用户不可控行为的执行.另外，操作系统还应保证自身的升级是受控的.

③ 外围接口包括无线外围接口、有线外围接口.外围接口的安全目标是确保用户对外围接口的连接及数据传输的可知可控.

④ 应用软件安全目标是要保证穿戴式设备对要安装在其上的应用软件可进行来源的识别，对已经安装在其上的应用软件可以进行敏感行为的控制.另外，还要确保预置在穿戴式设备中的应用软件无损害用户利益和危害网络安全的行为，例如未经授权的修改、删除、向外传送用户数据等行为.

2) 数据处理终端应用软件安全目标

数据处理终端应用软件安全目标是要保证运行于数据处理终端之上与穿戴式设备交互信息，并对信息进行处理以配合穿戴式设备实现其预期功能和服务的应用程序的敏感行为受控，并无破坏数据处理终端、损害用户利益、危害网络安全的行为，例如恶意吸费、未经授权修改、删除、向外传递用户数据、发布国家法律法规禁止的信息内容等行为.

3) 无线通信网络安全目标

无线通信网络安全目标是要保证穿戴式设备通过WiFi、蓝牙等无线形式与外部进行通信时，其传输的数据不能被非法窃取、非法篡改，同时保证外部设备不能通过WiFi、蓝牙等无线通信网络非法控制穿戴式设备.

4) 后端计算与服务系统安全目标

后端计算与服务系统安全目标是确保其具备抵御外部攻击的能力，防止第三者通过后端计算与服务系统非法窃取用户数据、控制穿戴式设备或数据处理终端.

5) 用户数据保护安全目标

用户数据保护安全目标是要保证用户数据存储、传输的安全，确保用户数据不被非法访问、不被非法获取、不被非法篡改，同时能够通过备份保证用户数据的可靠恢复.

3 智能可穿戴产品信息安全能力技术要求

3.1 穿戴式设备安全能力技术要求

3.1.1穿戴式设备硬件信息安全能力要求

穿戴式设备需提供存储、处理等核心芯片的安全防护机制，确保芯片内系统程序、设备参数、安全数据、用户数据不被篡改或非法获取.

3.1.2穿戴式设备操作系统安全能力要求

1) 系统后门

系统在设计时不应留有“后门”，即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口.

2) 用户空间与系统空间

操作系统程序与用户程序要进行隔离.一个进程的虚地址空间至少应被分为2段：用户空间和系统空间，两者的隔离应是静态的.驻留在内存中的操作系统应由所有进程共享.用户进程之间应是彼此隔离的.应禁止在用户模式下运行的进程对系统段进行写操作，而在系统模式下运行时，应允许进程对所有的虚存空间进行读、写操作.

3) 系统功能调用控制能力

① 通信类系统功能调用受控机制

操作系统应提供拨打电话、WLAN、蓝牙、移动通信网络数据连接等通信类系统功能调用的用户受控机制，如向用户提供配置接口，允许用户关闭或停止该类系统服务功能，并允许用户选择决定哪类应用程序可使用该类系统功能，同时应在用户确认的情况下，系统或应用程序才可执行调用操作.

② 本地敏感功能调用受控机制

操作系统应提供定位、录音、拍照、摄像等本地敏感功能调用的用户受控机制，如向用户提供配置接口，允许用户关闭或停止该类系统功能，并允许用户选择决定哪类应用程序可使用该类系统功能，同时应在用户确认的情况下，系统或应用程序才可执行调用操作.

4) 操作系统更新

穿戴式设备通常执行授权的操作系统更新，当不能保证操作系统安全的更新时，应在说明书中明示用户可能带来的安全风险.

3.1.3穿戴式设备外围接口安全能力要求

1) 无线外围接口安全能力要求

对于具备WLAN、蓝牙、ZigBee、NFC功能的穿戴式设备，应具备开关，可开启关闭WLAN、蓝牙、NFC等所支持的无线连接方式.

② 无线外围接口连接建立确认机制

当通过无线外围接口(如蓝牙)与不同设备进行第1次连接时，穿戴式设备能够发现该连接并给用户相应的提示，当用户确认建立连接时，连接才可建立.

③ 无线外围接口连接状态显示

当穿戴式设备的无线外围接口(如WLAN、蓝牙、ZigBee、NFC)已开启，穿戴式设备宜通过特定方式给用户相应的状态提示.

当穿戴式设备通过无线外围接口(如WLAN、蓝牙、ZigBee、NFC)建立数据连接，穿戴式设备应给用户相应的提示(图标、声音或振动等).

如果穿戴式设备提供了无线外围接口的开启状态提示和数据连接状态提示，这2种状态提示应不同.

④ 无线外围接口数据传输受控机制

当穿戴式设备与其他设备已经通过无线外围接口(WLAN、蓝牙、ZigBee或NFC)实现连接，此时通过无线外围接口进行文件、图片、数据等传输时，穿戴式设备应给用户相应的提示，并允许用户终止文件、图片、数据等传输.

2) 有线外围接口安全能力要求

对于仅用于充电或仅用于数据连接的有线外围接口，当通过该接口建立连接时，穿戴式设备应给用户相应的提示.

对于既可进行充电又可进行数据连接的有线外围接口，当连接充电器时应给用户相应的提示，当连接于既可进行充电又可进行数据连接的设备时，用户应能够选择是否建立数据连接模式或者能够保证数据传输授权可控.

3.1.4穿戴式设备应用软件安全要求

1) 应用软件安全认证机制要求

如果穿戴式设备支持对未经电子认证服务机构或第三方测试机构认证签名软件安装，在进行应用软件安装时，穿戴式设备应能够识别应用软件的签名状态，并能够根据签名状态给用户相应的提示或通过数据处理终端应用软件给用户相应提示.

如果穿戴式设备采用认证签名机制，在此情况下，未经过认证签名的应用软件仅当用户进行确认后才能执行下一步操作.

2) 应用软件安全要求

① 收集用户数据

穿戴式设备中预置的应用软件不应有未向用户明示且未经用户同意，擅自收集用户数据的行为.

② 修改用户数据

穿戴式设备中预置的应用软件不应有未向用户明示且未经用户同意，擅自修改用户数据的行为.

③ 调用设备通信功能

穿戴式设备中预置的应用软件不应有未向用户明示且未经用户同意，擅自调用终端通信功能，造成用户数据泄露的行为，

3) 应用软件联网行为安全要求

3.2 无线通信网络安全能力技术要求

1) 无线通信网络身份认证要求

支持通过认证协议对通信实体的身份进行认证.

2) 无线通信网络访问控制要求

3) 无线通信网络传输加密要求

在无线数据传输过程中，应通过加密算法进行加密，加密密钥大于128 b.

4) 无线通信网络数据完整性保护要求

在无线数据传输过程中，应通过数据签名、Hash算法、加解密等实现数据的完整性保护.能检测出传输中数据被篡改、删除、插入等情况，并具有相应的恢复机制，恢复其完整性.

3.3 数据处理终端应用程序安全能力技术要求

1) 应用程序安全认证机制要求

数据处理终端应用软件应拥有依法设立的电子认证服务机构或第三方测试机构颁发的数字证书.

2) 应用程序调用系统通信功能控制能力

① 拨打电话控制能力

② 三方通话控制能力

③ 发送短信控制能力

④ 发送彩信控制能力

⑤ 发送邮件

⑥ 移动通信网络数据连接

数据处理终端应用程序调用开启移动通信网络数据连接功能时，应给用户相应的提示，当用户确认后连接方可开启.

⑦ WLAN 网络连接

数据处理终端应用程序调用开启WLAN网络连接功能时，应给用户相应的提示，当用户确认后连接方可开启.

3) 应用程序调用本地敏感功能控制能力

① 定位功能控制能力

数据处理终端应用软件在调用定位功能时，应在用户确认的情况下才能调用.调用后，数据处理终端宜在用户主界面上给用户相应的状态提示.

② 通话录音功能控制能力

③ 本地录音功能控制能力

⑤ 对用户数据操作控制能力

数据处理终端应用程序对用户数据操作控制能力应满足如下要求：当应用软件调用对用户数据进行写操作时，数据处理终端应在用户确认的情况下方可执行；当应用软件需要调用对用户数据的读操作时，该应用软件在下载、安装或首次运行时应提示用户该应用将读取用户数据，并明确告知用户所要读取的用户数据类型.

4) 应用程序调用外部接口控制能力

数据处理终端应用程序调用外部接口(WiFi、蓝牙、NFC、USB等无线或有线)时，应在用户确认的情况下才能调用.调用后，数据处理终端宜在用户主界面上给用户相应的状态提示.

5) 应用程序更新控制能力

数据处理终端应用程序通常执行授权的更新，当不能保证安全的更新时，应在说明书中明示用户可能带来的安全风险；同时数据处理终端应用程序应对更新操作提供技术保护手段，防止非法更新或更新接口被恶意利用.

6) 应用程序联网行为安全要求

3.4 后端信息计算与服务系统安全能力技术要求

3.5 用户数据保护安全要求

1) 密码保护

① 穿戴式设备的密码保护

穿戴式设备应支持开机时的密码保护和开机后锁定状态下的密码保护，例如口令、图案、生物特征识别等多种形态的密码，并由用户决定是否使用，在说明书中告知用户不设置密码存在的安全隐患.口令认证与生物特征认证的要求见YDT1699—2007[11].

② 数据处理终端应用软件密码保护

数据处理终端应用软件应支持开机时的密码保护和开机后锁定状态下的密码保护，例如口令、图案等多种形态的密码，并由用户决定是否使用，在说明书中告知用户不设置密码存在的安全隐患.口令认证的要求见YDT1699—2007 中5.5.2.1，生物特征认证的要求见YDT 1699—2007 中5.5.2.3.

2) 用户数据的授权访问

智能可穿戴产品提供用户数据的授权访问能力，当第三方应用访问被保护的用户数据时，应在用户确认的情况下才能访问.

3) 用户数据的加密存储

未经授权的任何实体应不能从智能可穿戴产品的加密存储区域的数据中还原出用户私密数据的真实内容.

4) 用户数据的加密传输

用户数据在经过无线或有线传输过程中，智能可穿戴产品应提供加密传输机制，加密密钥不少于64 b，保障在传输过程中用户数据不被恶意窃取.

5) 用户数据的彻底删除

智能可穿戴产品应提供数据彻底删除功能，以保证被删除的用户数据不可再恢复.一般的删除功能仅会删除数据在存储器中放置位置的索引，而该区域内实际存储的数据没有完全清空，在数据被删除之后，非法程序通过读取该区域的内容，仍有可能从读取到的数据中恢复被删除的私密数据.彻底删除功能应把该区域内实际存储的数据彻底消除.例如，当用户数据被删除时，在该数据对应的存储区域使用全“0”或全“1”进行多次填充.

6) 用户数据的远程保护

智能可穿戴产品应提供用户数据的远程保护能力，以便用户在穿戴式设备、数据处理终端遗失或其他情况下，穿戴式设备及数据处理终端中的用户数据不被泄露.远程保护能力包括远程锁定穿戴式设备和数据处理终端，并可远程销毁用户数据.智能可穿戴产品提供的远程保护功能也应具备安全设置，确保远程保护功能仅在达到了用户预设条件的情况下才会启动.

该功能可参考开放移动联盟(OMA)组织发布的锁定和彻底删除管理对象标准OMA-TS-LAWMO.

7) 用户数据的转移备份

智能可穿戴产品应具备用户数据的转移及备份能力.

用户数据的转移备份包括本地备份和远程备份2种：本地备份是通过穿戴式设备或数据处理终端的外围接口实现的数据备份；远程备份是通过无线网络实现的用户数据在服务器侧的备份.智能可穿戴产品应至少支持一种备份方式.

3.6 智能可穿戴产品功能限制性要求

智能可穿戴产品应当真实传送信息，不得通过对传送信息进行处理(篡改)或传送虚假信息，或使信息接收者错误识别特定通信主体等，不得预置可改变通信系统提示信号的应用软件；

智能可穿戴产品不得预置国家法律法规禁止的信息内容(包括但不限于预置图片、文字、菜单、音视频、应用等)，也不得预置为传播发布国家法律法规禁止信息内容提供服务的应用软件.

4 安全能力分级评价方法

智能可穿戴产品所支持的安全能力划分为5个等级，第5级是最高等级.根据智能可穿戴产品所支持的安全能力的程度，将智能可穿戴产品安全能力自低到高划分为5个等级.在每一等级定义了智能可穿戴产品在相应等级对应的安全能力的最小集合，也就是智能可穿戴产品必须支持该集合中的所有安全能力才能标识为该级别，例如达到第5级的智能可穿戴产品应支持本文第3节所定义的所有安全能力及功能限制性要求.具体的等级划分如表1所示：

表1 智能可穿戴产品安全能力等级划分评价

5 结 论

作为连接人与智能社会的钥匙，智能可穿戴产品正处于蓬勃发展的阶段.智能可穿戴产品厂家应既注重技术上的突破，也注重产品的多元化和生活化，而安全策略必将成为贯穿其中的重要内容[12]，这也是生态文明建设中，实现智能家居、智慧城市、和谐社会的根本保障[3].

本文通过安全能力要求来表征智能可穿戴产品应该具备的可防范安全威胁的技术手段，从穿戴式设备安全能力、数据处理终端应用软件安全能力、后端计算与服务系统安全能力、无线通信网络安全能力以及用户数据保护安全能力5个方面定义了一种智能可穿戴产品分级评价方法，用于指导厂商提升智能可穿戴产品的安全防护能力，并为消费者购买智能可穿戴产品提供参考.