欢迎访问学兔兔标准下载网,学习、交流 分享 !
返回首页 |
团 体 标 准
T/CVIA 108.2-2023
智能电视信息安全
操作系统权限管理技术要求和评测方法
Smart TV information security
Technical requirements and evaluation methods of permission management
for operating system
2023-01-13 发布 2023-01-13 实施
中国电子视像行业协会 发布
目 次
前 言
本文件按照 GB/T 1.1—2020《标准化工作导则 第 1 部分:标准化文件的结构和起草规则》的规则起草。
请注意本文件的某些内容可能涉及专利。本文件发布机构不承担识别这些专利的责任。
本文件由中国电子视像行业协会提出并归口。
本文件主要起草单位:深圳市酷开网络科技股份有限公司、深圳创维-RGB 电子有限公司、重庆市易平方科技有限公司、深圳 TCL 新技术有限公司、海信视像科技股份有限公司、聚好看科技股份有限公司、四川虹魔方网络科技有限公司、康佳集团股份有限公司、康佳电子科技有限公司、中家院
(北京)检测认证有限公司、厦门厦华科技有限公司、青岛海尔多媒体有限公司。
本文件主要起草人:李阳、李晓榕、郝亚斌、冯晓曦、彭健锋、吴伟、田灯友、林舜大、宗明聪、李鑫、彭一亮、罗少锋、陈梓江、赵燕伟、薛元、张晓娜、王佳敏、张利利。
本文件是首次发布。
引 言
随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,人们进入了大数据时
代,电视也从普通电视发展为现在的智能电视,智能电视也进入了大数据时代。截止到 2022 年国内智能电视的保有量已经超过 4 亿台,智能电视的信息安全也关系到咱们国家的信息安全,也关系到亿万观众者的合法利益。这也是全生态发展到一定阶段的突出问题。
智能电视信息安全保护的最终目的是促进数据的合理使用。要在充分保护个人信息的前提下,探索实现更加精确的数据确权,更加便捷的数据交易,更合理的数据使用,激发市场主体活力和科技创新能力,同时也为我国数字化经济成功转型与健康、安全发展的强大保障力量提供了基础,也让人民群众在信息化发展中有更多获得感、幸福感、安全感。
为进一步加强行业自律,完善智能电视信息安全和用户信息保护体系,保障消费者权益,促进行业健康有序发展,根据智能电视产品的实际情况和市场的发展趋势,在工信部电子信息司消费电子处的指导下,2022 年 5 月中国电子视像行业协会立项《智能电视操作系统个人信息保护要求和评测方
法》等十三部团体标准,开展智能电视信息安全系列标准的制定。智能电视信息安全系列标准分别包括《智能电视信息安全 操作系统个人信息保护要求和评测方法》、《智能电视信息安全 操作系统权限管理技术要求和评测方法》、《智能电视信息安全 操作系统数据存储安全技术要求和评测方法》、 《智能电视信息安全 固件安全技术要求和评测方法》、《智能电视信息安全 应用程序信息采集与传输技术要求和评测方法》、《智能电视信息安全 操作系统调试与配置管理安全技术要求和评测方
法》、《智能电视信息安全 操作系统开源软件及第三方库使用安全技术要求和评测方法》、《智能电视信息安全 应用程序个人信息保护要求和评测方法》、《智能电视信息安全 应用程序采集必要个人信息范围》、《智能电视信息安全 操作系统启动和更新安全技术要求和评测方法》、《智能电视信息安全 操作系统网络访问技术要求和评测方法》、《智能电视信息安全 软件日志安全技术要求和评测方法》。
《智能电视信息安全 操作系统权限管理技术要求和评测方法》规定了智能电视操作系统对涉及用户个人信息、数据等操作处理过程的权限要求,防止未经用户同意情况下获取、修改、删除用户个人信息等数据。
智能电视信息安全
操作系统权限管理技术要求和评测方法
1 范围
本文件规定了智能电视操作系统对权限的管理技术要求及评测方法。结合智能电视操作系统的特点,提出适合智能电视操作系统的权限管理要求,规范智能电视操作系统对涉及用户个人信息、隐
私、安全等的操作处理过程有明确的权限要求,防止未经用户同意情况下获取、修改、删除用户个人信息数据等。
本文件适用于智能电视产品,其他具有操作系统的智能终端(如智能机顶盒,智慧屏等)也可以参考使用。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
T/CVIA 29-2014 智能电视机总规范
GB/T 35273-2020 信息安全技术 个人信息安全规范
3 术语、定义和缩略语
3.1 术语和定义
T/CVIA 29-2014 、GB/T 35273-2020 界定的以及下列术语和定义适用于本文件。
3.1.1
智能电视 smart television
智能电视机是具有操作系统,支持第三方应用资源实现功能扩展,支持多网络接入功能,具备智能人机交互、与其它智能设备进行交互的电视机。
3.1.2
个人信息 personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
注 1 :个人信息控制者通过个人信息或其他信息加工处理后形成的信息,例如,用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。
[来源:GB/T 35273-2020 ,3.1,有修改]
3.1.3
设备标识信息 device identification information
可作为唯一标识追溯到当前该设备的信息,如设备 MAC 地址、SN 号、设备 ID 等。
3.1.4
应用程序 application program
运行在智能电视操作系统之上,向用户提供各个功能和服务的应用程序。
3.1.5
系统级权限管理 system level permission management
指由智能电视操作系统提供的用于控制应用程序访问系统数据、用户数据,应用程序间相互数据访问和应用程序访问设备的权限管理框架。
3.2 缩略语
OTT:通过互联网向用户提供各种应用服务(Over The Top)
MAC:媒体存取控制(Media Access Control)
SN:序列号(Serial Number)
UID:用户标识(User Identification)
ITVID:互联网电视接收设备标识(Internet TV receiving device Identification)
Wi-Fi:移动热点(Wi-Fi)
WLAN:无线局域网(Wireless Local Area Network)
4 概述
权限管理在智能电视操作系统中用于控制应用程序访问系统数据、用户数据和设备等行为。
本标准要求智能电视操作系统提供系统级权限管理,对应用程序访问系统数据和用户数据、应用程序间相互数据访问和应用程序访问设备等行为进行保护。应用程序进行以上行为时需要向智能电视操作系统申请相应的权限,并遵守相应的用户交互规范。
5 技术要求
5.1 权限管理范围
本标准规定了智能电视操作系统访问受保护数据和受保护设备的权限管理行为。
5.1.1 受保护数据
包括:系统数据、应用数据、用户数据及设备标识信息等。
5.1.2 受保护设备
包括:智能电视图像显示设备、图像采集设备、声音输出设备、声音采集设备、人机交互输入设备、外部存储设备、网络设备等。
5.2 系统基础权限管理要求
5.2.1 应用数据保护要求
智能电视操作系统应为应用程序提供以下数据保护能力,保护应用本身的数据不被其他应用任意访问。
l 保护应用数据文件内容未授权下不可被读取
l 保护应用数据文件内容未授权下不可被修改
l 保护应用数据文件权限未授权下不可被修改
智能电视操作系统应允许应用程序调整以下应用本身数据的保护程度。
l 可调整应用数据文件内容允许同一厂商应用、其它应用读取
l 可调整应用数据文件内容允许同一厂商应用、其它应用修改
5.2.2 系统数据保护要求
智能电视操作系统应限制应用程序任意访问系统数据,需为系统数据设定对应的权限要求,应用通过权限申请授权后才可以进行访问。
5.2.3 物理设备保护要求
智能电视操作系统应限制应用程序任意访问物理设备,需为每个物理设备设定对应的权限要求,应用通过权限申请授权后才可以进行访问。
5.3 应用程序权限申请控制要求
智能电视操作系统应向应用程序提供权限申请机制,并对不同类型的权限申请分别提供控制要
求。本标准根据用户可感知程度差异,定义了运行时权限和安装时权限;根据权限开放性差异,定义了系统权限和普通权限。
5.3.1 运行时权限要求
运行时权限是应用程序在运行过程中需要使用的权限。
l 智能电视操作系统应在应用程序申请运行时权限时告知用户,同时向用户提供允许和禁止的功能选项。
l 智能电视操作系统应提供允许用户修改应用程序运行时权限授权状态的功能。
5.3.2 安装时权限要求
安装时权限是应用程序在安装过程中需要向用户声明的应用程序所需要的权限。
l 智能电视操作系统应在应用程序安装完成后自动赋予应用程序安装时权限;
l 智能电视操作系统应在应用运行过程中自动授予安装时权限,不需要用户再次确认。
5.3.3 系统权限要求
系统权限是指智能电视操作系统为应用程序提供的具有系统级操作功能的权限。
l 智能电视操作系统应当具备系统应用鉴别机制,包括系统签名验证或特殊 UID 识别等;
l 智能电视操作系统应当自动授权系统应用所申请的系统权限,禁止非系统应用申请系统权限;
l 如果系统权限同属于运行时权限,智能电视操作系统将自动允许系统应用获得该权限的授权,且不可以进行调整。
5.3.4 普通权限要求
普通权限即所有应用程序均可以直接获取或通过向用户申请获取的权限。
l 智能电视操作系统应在应用申请普通权限时不对应用的身份做检查,所有应用均可申请。
5.4 权限管理交互要求
5.4.1 应用程序安装和更新过程中的交互要求
智能电视操作系统应当在用户安装应用前,以图形界面的形式向用户展示应用程序运行需要的所有权限,包括:权限名称、权限用途、授权时机;
智能电视操作系统应当在用户安装应用前,以图形界面的形式提供终止应用程序安装的功能选项;
智能电视操作系统应当在用户安装应用前,以图形界面的形式向用户展示应用程序运行需要的所有权限,包括:权限名称、权限用途、授权时机,并明确标识新申请的权限;
智能电视操作系统应当在用户安装应用前,以图形界面的形式提供终止应用程序更新的功能选项。
5.4.2 应用程序使用过程中的交互要求
智能电视操作系统应在应用程序申请运行时权限时以图形界面的形式向用户提供允许和禁止授权的功能选项。在用户选择对应功能选项时分别做如下处理:
l 允许:智能电视操作系统向应用程序授权该权限,当该应用程序再次申请该权限时自动授予,不再向用户提供允许和禁止授权的功能选项;
l 禁止:智能电视操作系统拒绝向应用程序授权该权限,当该应用程序再次申请该权限时向用户提供允许和禁止授权的功能选项。
5.5 权限卸载要求
智能电视操作系统应在应用被卸载后,清除所有权限记录,应用被再次安装时需重新进行授权。
5.6 权限清单及说明
5.6.1 设备访问权限
5.6.2 数据访问权限
5.6.3 可运行性权限
6 评测方法
6.1 搭建评测环境
提供 1 台安装智能电视操作系统的电视终端并包含以下物理设备:麦克风、摄像头、扬声器、外接存储、网络、遥控器等,所提供的设备应当处于正常工作状态;待测智能电视操作系统处于出厂状态,未有任何操作。
注:如电视终端硬件本身不支持麦克风、摄像头等设备,则相关测试项不做要求。
6.2 评测方法
6.2.1 系统基础权限控制要求测试
6.2.1.1 应用数据保护要求测试
a) 评测标准:智能电视操作系统应为应用程序提供以下数据保护能力,保护应用本身的数据不被其他应用任意访问;智能电视操作系统应允许应用程序调整以下应用本身数据的保护程
度。
b) 前置条件:按照 6.1 搭建评测环境;启动测试样机;准备测试应用 A、B、C 并安装,其中测试应用 A 为创建数据的应用;测试应用B 为与测试应用 A 同厂商的应用;测试应用 C 为与测试应用 A 不同厂商的应用。
c) 评测方法:
1) 步骤 1:启动测试应用A 创建私有数据;
2) 步骤 2:启动测试应用B 读取及修改测试应用A 创建的私有数据;
3) 步骤 3:启动测试应用B 修改测试应用A 创建的私有数据权限;
4) 步骤 4:启动测试应用C 读取及修改测试应用A 创建的私有数据;
5) 步骤 5:启动测试应用C 修改测试应用A 创建的私有数据权限;
6) 步骤 6:启动测试应用A 创建私有数据并设置同厂商应用可读写;
7) 步骤 7:启动测试应用B 读取及修改测试应用A 创建的私有数据;
8) 步骤 8:启动测试应用C 读取及修改测试应用A 创建的私有数据;
9) 步骤 9:启动测试应用A 创建私有数据并设置其它应用可读写;
10) 步骤 10:启动测试应用C 读取及修改测试应用A 创建的私有数据。
d) 期望结果:
1) 步骤 2 后:测试应用 B 无法读取和修改测试应用A 创建的私有数据,则评测结果为“符合要求”,否则为“不符合要求”;
2) 步骤 3 后:测试应用 B 无法修改测试应用A 创建的私有数据权限,则评测结果为“符合要求”,否则为“不符合要求”;
3) 步骤 4 后:测试应用 C 无法读取和修改测试应用A 创建的私有数据,则评测结果为“符合要求”,否则为“不符合要求”;
4) 步骤 5 后:测试应用 C 无法修改测试应用A 创建的私有数据权限,则评测结果为“符合要求”,否则为“不符合要求”;
5) 步骤 7 后:测试应用 B 可以读取和修改测试应用A 创建的私有数据,则评测结果为“符合要求”,否则为“不符合要求”;
6) 步骤 8 后:测试应用 C 无法读取和修改测试应用A 创建的私有数据,则评测结果为“符合要求”,否则为“不符合要求”;
7) 步骤 10 后:测试应用C 可以读取和修改测试应用A 创建的私有数据,则评测结果为“符合要求”,否则为“不符合要求”。
6.2.1.2 系统数据保护要求测试
a) 评测标准:智能电视操作系统应限制应用程序任意访问系统数据,需为系统数据设定对应的权限要求,应用通过权限申请授权后才可以进行访问。
b) 前置条件:按照 6.l 搭建评测环境;启动测试样机;准备测试应用D 并安装,测试应用D 为测试系统数据 MAC 地址的读取功能。
c) 评测方法:
1) 步骤 1 :启动测试应用D 直接读取设备 MAC 地址;
2) 步骤 2 :启动测试应用 D 申请读取设备标识信息权限并经过授权后读取设备 MAC 地址。
d) 期望结果:
1) 步骤 1 后:测试应用 D 无法读取设备 MAC 地址,则评测结果为“符合要求”,否则为“不符合要求”;
2) 步骤 2 后:测试应用 D 可以读取设备 MAC 地址,则评测结果为“符合要求”,否则为“不符合要求”。
6.2.1.3 物理设备保护要求测试
a) 评测标准:智能电视操作系统应限制应用程序任意访问物理设备,需为每个物理设备设定对应的权限要求,应用通过权限申请授权后才可以进行访问。
b) 前置条件:按照 6.l 搭建评测环境;启动测试样机;准备测试应用E 并安装,测试应用E 为测试麦克风设备的录音功能。
c) 评测方法:
1) 步骤 1 :启动测试应用E 直接访问麦克风进行录音;
2) 步骤 2 :启动测试应用 E 申请麦克风权限并经过授权确认后访问麦克风进行录音。
d) 期望结果:
1) 步骤 1 后:测试应用 E 无法录音,则评测结果为“符合要求”,否则为“不符合要求”;
2) 步骤 2 后:测试应用 E 可以录音,则评测结果为“符合要求”,否则为“不符合要求”。
6.2.2 应用程序权限申请控制及交互要求测试
6.2.2.1 运行时权限要求测试
a) 评测标准:智能电视操作系统应在应用程序申请运行时权限时告知用户,同时向用户提供允许和禁止的功能选项;智能电视操作系统应提供允许用户修改应用程序运行时权限授权状态的功能。
b) 前置条件:按照 6.1 搭建评测环境;启动测试样机;准备测试应用 F 并安装,测试应用F 为通过麦克风权限测试智能电视操作系统运行时权限的功能。
c) 评测方法:
1) 步骤 1 :启动测试应用 F 申请麦克风权限;
2) 步骤 2:选择允许,开启录音功能,并对录音进行播放;
3) 步骤 3 :进入权限管理界面查看测试应用F 麦克风权限状态;
4) 步骤 4 :再次启动测试应用 F 申请麦克风权限;
5) 步骤 5 :重置测试环境,重复测试步骤 1,并选择禁止;
6) 步骤 6 :开启测试应用F 录音功能,并对录音进行播放;
7) 步骤 7 :进入权限管理界面查看测试应用F 麦克风权限状态;
8) 步骤 8 :再次启动测试应用 F 申请麦克风权限。
d) 期望结果:
1) 步骤 1 后:弹出授权窗口包含允许、禁止选项,则评测结果为“符合要求”,否则为“不符合要求”;
2) 步骤 2 后:测试应用 F 可以录音,则评测结果为“符合要求”,否则为“不符合要求”;
3) 步骤 3 后:测试应用 F 麦克风权限状态为允许状态,则评测结果为“符合要求”,否则为“不符合要求”;
4) 步骤 4 后:不弹出授权窗口,则评测结果为“符合要求”,否则为“不符合要求”;
5) 步骤 6 后:测试应用 F 无法录音,则评测结果为“符合要求”,否则为“不符合要求”;
6) 步骤 7 后:测试应用 F 麦克风权限状态为禁止状态,则评测结果为“符合要求”,否则为“不符合要求”;
7) 步骤 8 后:弹出授权窗口,则评测结果为“符合要求”,否则为“不符合要求”。
6.2.2.2 安装时权限要求测试
a) 评测标准:智能电视操作系统应在应用程序安装完成后自动赋予应用程序安装时权限;智能电视操作系统应在应用运行过程中自动授予安装时权限,不需要用户再次确认。
b) 前置条件:按照 6.1 搭建评测环境;启动测试样机;准备测试应用 G 、H。其中测试应用 H为测试应用 G 的更高版本。
c) 评测方法:
1) 步骤 1 :点击安装测试应用G 查看权限展示内容;
2) 步骤 2 :选择继续安装;
3) 步骤 3 :重置测试环境,重复步骤 1,选择终止安装;
4) 步骤 4 :重置测试环境,安装测试应用 G;
5) 步骤 5 :安装测试应用H,查看权限展示内容;
6) 步骤 6 :选择继续更新;
7) 步骤 7 :重复步骤 5 和6,选择终止更新。
d) 期望结果:
1) 步骤 1 后:展示:权限名称、权限用途及权限授权时机,具有终止安装按钮,则评测结果为“符合要求”,否则为“不符合要求”;
2) 步骤 2 后:测试应用 G 安装成功,则评测结果为“符合要求”,否则为“不符合要求”;
3) 步骤 3 后:测试应用 G 未安装,则评测结果为“符合要求”,否则为“不符合要求”;
4) 步骤 5 后:展示:权限名称、权限用途及权限授权时机,并明显列出新增权限,具有终止更新按钮,则评测结果为“符合要求”,否则为“不符合要求”;
5) 步骤 6 后:测试应用 H 更新成功,则评测结果为“符合要求”,否则为“不符合要求”;
6) 步骤 7 后:测试应用 H 未更新,则评测结果为“符合要求”,否则为“不符合要求”。
6.2.2.3 系统权限要求测试
a) 评测标准:智能电视操作系统应当自动授权系统应用所申请的系统权限,禁止非系统应用申请系统权限;如果系统权限同属于运行时权限,智能电视操作系统将自动允许系统应用获得该权限的授权,且不可以进行调整。
b) 前置条件:按照 6.1 搭建评测环境;启动测试样机;准备测试应用 I、J 并安装。其中测试应用 I 为系统应用;测试应用J 为普通应用。
c) 评测方法:
1) 步骤 1 :启动测试应用 I 申请修改声音设置权限;
2) 步骤 2 :启动测试应用 I 设置音量大小;
3) 步骤 3 :启动测试应用 J 申请修改声音设置权限;
4) 步骤 4 :启动测试应用J 设置音量大小;
5) 步骤 5 :安装系统应用 I 申请读取设备标识信息权限;
6) 步骤 6 :启动系统应用 I 读取 MAC 地址;
7) 步骤 7 :进入权限管理界面查看系统应用 I 设备标识信息权限。
d) 期望结果:
1) 步骤 1 后:测试应用 I 自动授权修改声音设置权限,则评测结果为“符合要求”,否则为“不符合要求”;
2) 步骤 2 后:测试应用 I 可以设置可以设置,则评测结果为“符合要求”,否则为“不符合要求”;
3) 步骤 3 后:测试应用 J 未获得修改声音设置权限授权,则评测结果为“符合要求”,否则为“不符合要求”;
4) 步骤 4 后:测试应用 J 无法设置音量大小,则评测结果为“符合要求”,否则为“不符合要求”;
5) 步骤 5 后:系统应用 I 自动授权读取设备标识信息权限,不提示授权窗口,则评测结果为“符合要求”,否则为“不符合要求”;
6) 步骤 6 后:系统应用 I 可以读取 MAC 地址,则评测结果为“符合要求”,否则为“不符合要求”;
7) 步骤 7 后:系统应用I 设备标识信息权限显示始终允许且不可更改,则评测结果为“符合要求”,否则为“不符合要求”。
6.2.2.4 普通权限要求测试
a) 评测标准:智能电视操作系统应在应用申请普通权限时不对应用的身份做检查,所有应用均可申请。
b) 前置条件:按照 6.1 搭建评测环境;启动测试样机;准备测试应用 K 并安装,测试应用K 为测试智能电视操作系统普通权限的功能。
c) 评测方法:
1) 步骤 1 :启动测试应用 K 申请网络状态权限;
2) 步骤 2 :启动测试应用K 获取当前网络状态;
3) 步骤 3 :启动测试应用 K 申请麦克风权限,并通过授权;
4) 步骤 4 :启动测试应用K 进行录音。
d) 期望结果:
1) 步骤 1 后:测试应用 K 自动授权网络状态权限,则评测结果为“符合要求”,否则为“不符合要求”;
2) 步骤 2 后:测试应用 K 可以获取当前网络状态,则评测结果为“符合要求”,否则为“不符合要求”;
3) 步骤 3 后:提示授权窗口,则评测结果为“符合要求”,否则为“不符合要求”;
4) 步骤 4 后:测试应用 K 可以录音,则评测结果为“符合要求”,否则为“不符合要求”。
6.2.3 权限卸载要求测试
a) 评测标准:智能电视操作系统应在应用被卸载后,清除所有权限记录,应用被再次安装时需重新进行授权。
b) 前置条件:按照 6.1 搭建评测环境;启动测试样机;准备测试应用F 并安装,测试应用F 为通过麦克风权限测试智能电视操作系统运行时权限的功能。
c) 评测方法:
1) 步骤 1 :启动测试应用 F 申请麦克风权限;
2) 步骤 2:选择允许,开启录音功能,并对录音进行播放;
3) 步骤 3 :进入权限管理界面查看测试应用F 麦克风权限状态;
4) 步骤 4 :卸载测试应用F,并再次安装;
5) 步骤 5 :启动测试应用 F 申请麦克风权限;
6) 步骤 6 :进入权限管理界面查看测试应用F 麦克风权限状态。
d) 期望结果:
1) 步骤 1 后:弹出授权窗口包含允许、禁止选项,则评测结果为“符合要求”,否则为“不符合要求”;
2) 步骤 2 后:测试应用 F 可以录音,则评测结果为“符合要求”,否则为“不符合要求”;
3) 步骤 3 后:测试应用 F 麦克风权限状态为允许状态,则评测结果为“符合要求”,否则为“不符合要求”;
4) 步骤 5 后:弹出授权窗口,则评测结果为“符合要求”,否则为“不符合要求”
5) 步骤 6 后:测试应用 F 麦克风权限状态为禁止状态,则评测结果为“符合要求”,否则为“不符合要求”。
