TTAF 117-2022 智能终端设备间互信操作测试方法

ICS33.050CCSM30团体标准T/TAF117—2022智能终端设备间互信操作测试方法Testmethodsformutualtrustoperationbetweensmartdevices2022-05-11发布2022-05-11实施电信终端产业协会发布学兔兔—2022I目次前言................................................................................II引言...............................................................................III1范围...............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14缩略语.............................................................................25智能终端设备间互信操作测试分析.....................................................26智能终端设备间互信关系建立、传递、解除的测试方法...................................36.1智能终端设备间互信关系建立安全测试方法.........................................36.2智能终端设备间互信关系传递安全测试方法.........................................76.3智能终端设备间互信关系解除安全测试方法.........................................8附录A（资料性）常见的安全和不安全随机数接口.........................................10附录B（资料性）常见的安全和不安全协议...............................................11学兔兔—2022II前言本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件中的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。本文件起草单位：中国信息通信研究院、华为技术有限公司、郑州信大捷安信息技术股份有限公司。本文件主要起草人：胡重阳、宁华、马四英、闫雪梅、衣强、李实、张悦、李战锋、刘献伦。学兔兔—2022III引言随着智能终端设备相关应用场景及服务的不断发展，用户个人拥有的智能终端设备的种类和数量在不断增加，越来越多的应用场景和服务需要在不同的智能终端设备间建立通信连接。T/TAF097-2021《智能终端设备间互信操作技术要求》针对智能终端设备间互信关系的建立、传递和解除各阶段提出了安全要求，为了评测智能终端设备是否满足技术要求规定的内容，特制定本文件。本文件是T/TAF097-2021《智能终端设备间互信操作技术要求》配套的测试方法，针对技术要求设计了科学的测试方法，用于评测设备满足技术要求的程度。通过本文件可以从测试角度保证设备间互信操作的落地实施，切实地保证用户设备间的通信安全。学兔兔—20221智能终端设备间互信操作测试方法1范围本文件规定了智能终端设备间安全建立、传递、解除互信关系各阶段的测试方法。本文件适用于面向消费者的智能终端设备，个别条款不适用于特殊行业、专业应用，其他类似设备也可参考使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。T/TAF097-2021智能终端设备间互信操作技术要求3术语和定义3.1智能终端设备intelligentterminal具备网络接入功能，可进行信息采集和处理，支持数据通信的终端设备。3.2设备互信关系建立凭据devicetrustrelationshipestablishmentcredentials在设备间互信关系建立过程中，用于验证设备可信身份的信息，形式包括但不限于：公私钥对、对称密钥、token、共享秘密等。3.3可信第三方trustedthirdparty在双方通信设备之外，能够提供身份验证及证书签发功能的第三方服务器。3.4互信关系mutualtrustrelationship多个智能终端设备相互信任彼此来源且具有合法性身份。3.5可信设备列表trusteddevicelist学兔兔—20222已建立互信关系的设备信息记录。4缩略语下列缩略语适用于本文件。RPMB：重放保护内存块（ReplayProtectedMemoryBlock）SFS：安全文件系统（SecureFileSystem）TREC：互信关系建立凭据（TrustRelationshipEstablishmentCredentials）5智能终端设备间互信操作测试分析智能终端设备间互信关系建立的场景可以分为如下三种：——场景1：操作设备A、设备B，通过可信第三方服务器建立互信关系。图1基于可信第三方建立互信关系示意图——场景2：操作设备C、设备D，通过扫描二维码、输入预置PIN码、通过NFC触碰标签等形式，直接点对点交互建立互信关系。——场景3：操作设备E、设备F通过可信第三方服务器/点对点方式建立互信关系，操作设备F、设备G通过可信第三方服务器/点对点方式建立互信关系；操作设备E、设备G通过设备F传递信息，进而建立互信关系。场景3可以拆解成场景1/场景2、场景1/场景2、端到端场景，见图2。学兔兔—20223图2互信关系传递示意图T/TAF097-2021中智能终端设备间互信关系建立安全要求对应场景1、场景2，智能终端设备间互信关系传递安全要求对应场景3，智能终端设备间互信关系解除安全要求对应场景1、场景2、场景3。综上，本文件测试方法的设计思路为：在测试项目中描述要评测的T/TAF097-2021规则；测试步骤、预期结果描述评测场景和安全功能测试内容。本文件会从证明（检查文档）、验证两个角度测试安全功能的有效性，针对难以/无法开展验证型测试的安全功能仅采用证明型测试方法。另外在证明型测试活动中，厂商可以提供业界公认的认证/测评证书，替代设计文档、代码片段等资料，如：CC认证、国家密码管理局的商用密码认证等。注意：厂商在提供设计文档、代码片段、测试报告、认证/测评证书等资料时，须符合业界惯例且保护自身商业秘密。6智能终端设备间互信关系建立、传递、解除的测试方法6.1智能终端设备间互信关系建立安全测试方法6.1.1测试项a）：评测场景1、场景2设备生成TREC的方法符合密码学要求测试项目T/TAF097-2021-6.3.1-a）：应使用符合密码学要求的安全的生成方法生成TREC，包括：使用符合密码学要求的安全随机数接口生成对称凭据，使用符合密码学要求的非对称密钥生成方法生成非对称凭据。a）测试步骤：1）步骤1：审查厂商提交的文档，查看被测智能终端的TREC设计文档，检查是否支持对称TREC、非对称TREC；2）步骤2：列出生成对称TREC的随机数接口，检查该接口是否为安全随机数接口（参考附录A）；学兔兔—202243）步骤3：列出生成非对称TREC的非对称密钥的算法、密钥长度，检查算法、密钥长度是否符合国家和行业标准要求。b）预期结果：1）在步骤1之后，若智能终端支持对称TREC则须进行步骤2，支持非对称TREC则须进行步骤3，测评结果为“未见异常”；否则为“不符合要求”，测评结束；2）在步骤2之后，若智能终端生成对称TREC的随机数接口为安全随机数接口，测评结果为“未见异常”，否则为“不符合要求”，测评结束；3）在步骤3之后，若智能终端生成非对称TREC的非对称密钥生成方法符合国家和行业标准要求，测评结果为“未见异常”，否则为“不符合要求”，测评结束。6.1.2测试项b）：评测场景1、场景2设备有加密、访问控制等机制保护TREC的使用测试项目T/TAF097-2021-6.3.1-b）：当TREC在智能终端设备上生成、存储后，设备应对TREC的使用提供加密、访问控制等安全保护机制，避免设备上的TREC被窃取或篡改。a）测试步骤：1）步骤1：审查厂商提交的文档，查看被测智能终端的TREC设计文档，检查是否采用了加密机制存储TREC，是否采用了行业通用的加密、访问控制技术保护了TREC；2）步骤2：按照场景1搭建测试环境，设备A使用未授权的测试程序读取本地设备的TREC，是否无法读取或读取为乱码；3）步骤3：按照场景2搭建测试环境，设备C使用未授权的测试程序读取本地设备的TREC，是否无法读取或读取为乱码。b）预期结果：1）在步骤1之后，若智能终端采用了行业通用的加密、访问控制机制保护了TREC，测评结果为“未见异常”，然后执行步骤2；否则为“不符合要求”，测评结束；2）在步骤2之后，若设备A上未授权的测试程序无法读取本地设备A的TREC或读取为乱码，测评结果为“未见异常”，然后执行步骤3；否则为“不符合要求”，测评结束；3）在步骤3之后，若设备C上未授权的测试程序无法读取本地设备C的TREC或读取为乱码，测评结果为“未见异常”，否则为“不符合要求”，测评结束。6.1.3测试项c）：评测场景2设备间安全通道双向认证，加密传输TREC测试项目T/TAF097-2021-6.3.1-c）：通过直接点对点建立互信关系的方式，应通过设备间安全通道确保对端设备TREC获取的安全性。——安全通道的建立应基于安全协议和设备间共享的机密信息，共享的机密信息应包括但不限于：输入预置PIN码/随机PIN码、通过扫码获得二维码中的共享信息、近场NFC交换的共享信息等。——安全协议应采用有安全性证明的国际标准协议或业界通用协议，禁止采用私有协议。安全协议应为双向认证协议。——TREC应通过上述建立的设备间安全通道进行加密传输。a）测试步骤：1）步骤1：审查厂商提交的文档，查看被测智能终端安全通道的设计文档，检查通道的建立是否基于业界通用的安全协议（参考附录B），检查设备间共享机密信息是否有泄露的风险；2）步骤2：审查厂商提交的文档，查看被测智能终端安全通道使用的安全协议的设计文档，检查是否为双向认证的国际标准协议或业界通用协议（参考附录B），是否为私有协议。b）预期结果：学兔兔—202251）在步骤1之后，若智能终端安全通道的建立是基于安全协议，且设备间共享机密信息泄露风险低，测评结果为“未见异常”，然后执行步骤2；否则为“不符合要求”，测评结束；2）在步骤2之后，若智能终端安全通道使用的安全协议是双向认证的国际标准协议或业界通用协议，且不是私有协议，测评结果为“未见异常”，否则为“不符合要求”，测评结束。6.1.4测试项d）：评测场景1三方服务器校验设备身份合法性，传输协议安全有效测试项目T/TAF097-2