ICS33.050

M30

團體標(biāo)準(zhǔn)

T/TAF048-2019

移動智能終端防非授權(quán)刷機能力技術(shù)

要求

MobileIntelligentTerminalTechnicalRequirementsforAnti-unauthorized

FlashCapability

2019-12-26發(fā)布2019-12-26實施

電信終端產(chǎn)業(yè)協(xié)會發(fā)布

T/TAF048-2019

移動智能終端防非授權(quán)刷機能力技術(shù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了移動智能終端防非授權(quán)刷機能力的技術(shù)要求，包括安全啟動能力要求，刷機控制能力

要求，防降級能力要求，算法和密鑰安全能力要求，漏洞修復(fù)能力要求等，并對安全能力進行了分級。

本標(biāo)準(zhǔn)適用于各種制式的移動智能終端，個別條款不適用于特殊行業(yè)、專業(yè)終端（比如個人電腦），其

他終端也可參考使用。

2規(guī)范性引用文件

3術(shù)語、定義和縮略語

3.1術(shù)語和定義

3.1.1移動智能終端操作系統(tǒng)operatorsystemofsmartmobileterminal

移動智能終端最基本的系統(tǒng)軟件，它控制和管理移動智能終端各種硬件和軟件資源，并提供應(yīng)用程

序開發(fā)接口。

3.1.2非授權(quán)刷機

在未經(jīng)許可的情況下，繞過移動智能終端安全機制，更改或者替換操作系統(tǒng)的行為；在未經(jīng)過用戶

同意的情況下，繞過用戶的密碼保護，對操作系統(tǒng)進行更改或清空用戶數(shù)據(jù)的行為。

3.1.3OTA

OTA（Over－the－AirTechnology）空中下載技術(shù)。是通過移動通信（GSM或CDMA）的空中接口對

SIM卡數(shù)據(jù)及應(yīng)用進行遠程管理的技術(shù)。在移動智能終端系統(tǒng)上的OTA一般是指通過網(wǎng)絡(luò)接口下載操作

系統(tǒng)升級數(shù)據(jù)并進行安裝的技術(shù)。

3.1.4數(shù)字簽名digitalsignature

附在數(shù)據(jù)單元后面的數(shù)據(jù)，或?qū)?shù)據(jù)單元進行密碼變換得到的數(shù)據(jù)。允許數(shù)據(jù)的接受者驗證數(shù)據(jù)的

來源和完整性，保護數(shù)據(jù)不被篡改、偽造，并保證數(shù)據(jù)的不可否認性。

3.2縮略語

CNNVDChinaNationalVulnerabilityDatabaseof中國國家信息安全漏洞庫

InformationSecurity

CNVDChinaNationalVulnerabilityDatabase國家信息安全漏洞共享平臺

4移動智能終端防非授權(quán)刷機能力框架及目標(biāo)

4.1移動智能終端安全能力框架

1

T/TAF048-2019

移動智能終端防非授權(quán)刷機能力主要由安全啟動能力、刷機控制能力、防降級能力、算法和密鑰安

全能力、漏洞修復(fù)要求五部分構(gòu)成。

4.2移動智能終端安全目標(biāo)

4.2.1安全啟動目標(biāo)

移動智能終端安全啟動目標(biāo)是從軟硬件等層面保證移動智能終端只運行合法來源的程序和數(shù)據(jù)。

4.2.2刷機控制目標(biāo)

刷機控制的目標(biāo)是確保移動智能終端操作系統(tǒng)的代碼和數(shù)據(jù)的安全，保證操作系統(tǒng)僅在授權(quán)的情況

下被更改和替換。

4.2.3防降級安全目標(biāo)

防降級安全目標(biāo)是要保證移動智能終端系統(tǒng)運行最新的操作系統(tǒng)，具備禁止替換和運行舊版本系統(tǒng)

的能力，不受舊版本已知安全漏洞的影響。

4.2.4算法和密鑰保護目標(biāo)

算法和密鑰保護的目標(biāo)是確保防非授權(quán)刷機安全機制所使用的算法和密鑰具有足夠的安全強度，能

夠經(jīng)受一般的窮舉和密碼分析等攻擊手段。

4.2.5漏洞修復(fù)要求目標(biāo)

漏洞修復(fù)要求的目標(biāo)是保證移動智能終端操作系統(tǒng)不含有任何已知的，能夠破壞防非授權(quán)刷機能力

的安全漏洞。

5移動智能終端防非授權(quán)刷機能力要求

5.1基本要求

移動智能終端設(shè)備應(yīng)當(dāng)具備防止系統(tǒng)被非授權(quán)刷機的能力。移動智能終端設(shè)備可能支持多種刷機方

式，用于工廠生產(chǎn)、售后維修、開發(fā)調(diào)試，以及用戶正常升級系統(tǒng)，移動智能終端應(yīng)當(dāng)具備對所有刷機

方式的控制能力，防止被非法利用。

移動智能終端設(shè)備應(yīng)當(dāng)具備檢測操作系統(tǒng)完整性，識別操作系統(tǒng)來源合法性，以及檢測操作系統(tǒng)版

本正確性的能力。對于非法來源、無法驗證完整性或者版本錯誤的操作系統(tǒng)，應(yīng)當(dāng)能夠識別，并根據(jù)策

略采取必要的措施，如拒絕運行，或者告知用戶等。

移動智能終端實現(xiàn)防非授權(quán)刷機能力的算法和密鑰應(yīng)當(dāng)具有足夠的安全強度以抵抗可能的窮舉和

密碼分析等攻擊方式。操作系統(tǒng)應(yīng)當(dāng)及時修復(fù)已知的能夠破壞防非授權(quán)刷機能力的安全漏洞。

5.2安全啟動能力

對移動智能終端設(shè)備啟動代碼和操作系統(tǒng)代碼及數(shù)據(jù)進行完整性校驗，驗證代碼和數(shù)據(jù)來源合法

性。

5.2.1信任根不可篡改

完整性校驗以及來源合法性校驗的信任根應(yīng)當(dāng)保存在只讀存儲器等不可被篡改、刪除的軟硬件環(huán)境

當(dāng)中。

2

T/TAF048-2019

5.2.2啟動代碼的安全校驗

移動智能終端的操作系統(tǒng)引導(dǎo)啟動代碼和數(shù)據(jù)應(yīng)當(dāng)能夠通過數(shù)字簽名等技術(shù)進行完整性和來源合

法性校驗。如果無法通過校驗，應(yīng)根據(jù)產(chǎn)品策略采取適當(dāng)措施，如拒絕啟動，或者告知用戶等。

5.2.3操作系統(tǒng)的安全校驗

移動智能終端操作系統(tǒng)代碼和數(shù)據(jù)應(yīng)當(dāng)能夠進行完整性和來源合法性的校驗。如果無法通過校驗，

應(yīng)根據(jù)產(chǎn)品策略采取適當(dāng)措施，如拒絕啟動，或者告知用戶等。

5.3刷機控制能力

移動智能終端的刷機方式，按照用途和方式一般可以分為以下兩類：1）OTA，用于正常的版本升級

迭代，可以包括在線OTA和本地安裝包升級（卡刷）；2）工廠鏡像刷機，主要用于工廠生產(chǎn)和開發(fā)調(diào)試，

如fastboot，edl等刷機方式。移動終端應(yīng)當(dāng)能夠?qū)λ兴C方式進行嚴(yán)格控制，防止設(shè)備在銷售流通

環(huán)節(jié)被非授權(quán)刷機。

5.3.1OTA升級控制

5.3.1.1OTA升級完整性和來源合法性檢查

OTA升級之前，應(yīng)當(dāng)對升級包的完整性和來源合法性進行校驗，僅允許安裝經(jīng)過驗證的升級包。

5.3.1.2OTA升級版本檢查

OTA升級之前，應(yīng)當(dāng)能夠識別升級包的版本，并能夠根據(jù)當(dāng)前系統(tǒng)版本、目標(biāo)系統(tǒng)版本和升級策略

決定是否允許升級。

5.3.2工廠刷機方式控制

移動智能終端應(yīng)當(dāng)對所有工廠刷機方式具有權(quán)限控制能力，例如通過賬號權(quán)限、硬件設(shè)備等，能夠

識別并阻止非授權(quán)的刷機行為。

5.4防降級能力

具備防止操作系統(tǒng)及啟動代碼版本降級的能力。

5.4.1禁止版本回退的能力

移動智能終端應(yīng)該具備識別、阻止舊版本的軟件通過各種刷機方法被刷入系統(tǒng)的能力。廠商可以根

據(jù)自己的升級策略，選擇是否允許版本的回退。

5.4.2基于軟件的防降級能力

移動智能終端能夠通過本地保存的版本信息或者網(wǎng)絡(luò)請求的方式等軟件方案，識別當(dāng)前運行版本是

否發(fā)生降級。如發(fā)現(xiàn)降級，應(yīng)該根據(jù)策略采取適當(dāng)措施，如拒絕繼續(xù)執(zhí)行，或者告知用戶等。

5.4.3基于硬件的防降級能力

通過不可篡改的硬件保存啟動代碼和操作系統(tǒng)的版本信息，能夠準(zhǔn)確識別當(dāng)前版本是否發(fā)生降級。

當(dāng)前軟件版本低于硬件中保存的版本時，應(yīng)該根據(jù)策略采取適當(dāng)措施，如拒絕繼續(xù)執(zhí)行，或者告知用

戶等。

5.5算法和密鑰強度

3

T/TAF048-2019

防非授權(quán)刷機安全機制所使用的密鑰和相關(guān)密碼算法，應(yīng)當(dāng)具有足夠的安全強度抵抗已知的攻擊方

法，不應(yīng)當(dāng)使用已被證實存在弱點的密碼算法，如md5，DEA。

5.6操作系統(tǒng)漏洞修復(fù)

操作系統(tǒng)及其啟動代碼，在量產(chǎn)階段，應(yīng)當(dāng)及時修復(fù)CNVD、CNNVD等公布的刷機相關(guān)安全漏洞。按

照不同安全等級，需滿足以下要求之一。

5.6.1普通漏洞修復(fù)速度

修復(fù)CNVD、CNNVD等已公布9個月的刷機相關(guān)安全漏洞。

5.6.2較快漏洞修復(fù)速度

修復(fù)CNVD、CNNVD等已公布6個月的刷機相關(guān)安全漏洞。

5.6.3快速漏洞修復(fù)速度

修復(fù)CNVD、CNNVD等已公布3個月的刷機相關(guān)安全漏洞。

6移動智能終端防非授權(quán)刷機安全能力分級

6.1概述

移動智能終端所支持的防非授權(quán)刷機安全能力劃分為三個等級，第三等級是最高等級：

一級：基本的安全啟動能力，普通漏洞修復(fù)速度

二級：軟件防降級能力，較快漏洞修復(fù)速度

三級：硬件防降級能力，快速漏洞修復(fù)速度

6.2防非授權(quán)刷機安全能力分級

根據(jù)移動智能終端所支持的防非授權(quán)刷機安全能力的程度，將移動智能終端防非授權(quán)刷機安全能力

自低到高劃分為三個等級。在每一個等級定義了移動智能終端在相應(yīng)等級對應(yīng)的安全能力的最小集合，

即移動智能終端必須支持該集合中的所有安全能力才能標(biāo)識為該級別：

防非授權(quán)刷機能力等級

防非授權(quán)刷機能力

一級二級三級

1.√√√

5.2.1基于硬件的信任根

2.√√√

5.2.2啟動代碼的安全校驗

3.√√√

5.2.3操作系統(tǒng)的安全校驗

4.5.3.1.1OTA升級完整性和來源合法性檢√√√

查

4

T/TAF048-2019

5.√√√

5.3.1.2OTA升級版本檢查

6.√

5.3.2工廠刷機方式控制

7.√√

5.4.1禁止版本回退

8.√

5.4.2基于軟件的防降級能力

9.√

5.4.3基于硬件的防降級能力

√√

10.5.5算法和密鑰強度√

11.5.6.1修復(fù)公布9個月的漏洞√

√

5.6.2修復(fù)公布6個月的漏洞

√

5.6.3修復(fù)公布3個月的漏洞

5

T/TAF048-2019