陳 勇，莫 瑋，王 勇，劉 碩，徐克超

（1.桂林電子科技大學(xué)，廣西 桂林 541004；2.中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院，北京 100007）

一種基于CC的智能電視應(yīng)用軟件安全評(píng)估方法

陳 勇1，莫 瑋1，王 勇1，劉 碩2，徐克超2

（1.桂林電子科技大學(xué)，廣西 桂林 541004；2.中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院，北京 100007）

對(duì)智能電視應(yīng)用軟件的安全功能進(jìn)行分類，給出了一種基于CC的、由“真實(shí)性—保密性—完整性—可用性—不可抵賴性—可控制性—可審查性”組成的分類方法，并依此對(duì)智能電視的應(yīng)用軟件進(jìn)行模擬評(píng)估，與CC原分類方法的評(píng)估結(jié)果相比，新的評(píng)估分類方法區(qū)分度更好，能更有效地評(píng)估智能電視應(yīng)用軟件的安全性。

智能電視；應(yīng)用軟件；安全評(píng)估

CC[1]（通用評(píng)估準(zhǔn)則）中定義了評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則，是度量信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基準(zhǔn)。該標(biāo)準(zhǔn)針對(duì)在安全性評(píng)估過程中信息技術(shù)產(chǎn)品和系統(tǒng)的安全功能及相應(yīng)的保證措施提出一組通用要求，使各種相對(duì)獨(dú)立的安全性評(píng)估結(jié)果具有可比性[2-6]。這有助于信息技術(shù)產(chǎn)品和系統(tǒng)的開發(fā)者或用戶確定所集成的產(chǎn)品或系統(tǒng)的應(yīng)用是否足夠安全，以及在使用中存在的安全風(fēng)險(xiǎn)是否可以接受。該標(biāo)準(zhǔn)主要保護(hù)的是信息的保密性、完整性和可用性三大特性，其重點(diǎn)考慮的是人為威脅。

智能電視打破了傳統(tǒng)電視和IT行業(yè)的技術(shù)界限，模糊了電視機(jī)和IT的產(chǎn)業(yè)邊界，引入CC的評(píng)估思想，可對(duì)智能電視應(yīng)用軟件的安全性評(píng)估產(chǎn)生積極影響。

近年來，隨著智能電視硬件及功能的不斷集成，以智能電視為平臺(tái)的應(yīng)用軟件大量出現(xiàn)，豐富著人們的觀賞體驗(yàn)。同時(shí)，由于智能電視應(yīng)用功能接口的開放性，及其應(yīng)用軟件的可擴(kuò)展性，讓針對(duì)智能電視應(yīng)用軟件的漏洞有了可乘之機(jī)，且目前針對(duì)智能電視應(yīng)用軟件的安全審查機(jī)制幾乎為零，這為不法分子謀取非法利益提供便利，嚴(yán)重威脅著智能電視及其使用者的安全[7-12]。因此，對(duì)智能電視應(yīng)用軟件開展安全性評(píng)估，及時(shí)發(fā)現(xiàn)并規(guī)避含有惡意行為的應(yīng)用軟件迫在眉睫，對(duì)于保障終端安全和用戶權(quán)益具有重要的現(xiàn)實(shí)意義。

由于目前關(guān)于智能電視應(yīng)用軟件安全的標(biāo)準(zhǔn)還未出臺(tái)，本文對(duì)其安全功能要求進(jìn)行評(píng)估，暫不考慮其安全保證要求。

1 智能電視應(yīng)用軟件安全功能分析

本文以智能電視應(yīng)用軟件為評(píng)估對(duì)象[1]（TOE），建立一個(gè)獨(dú)立于實(shí)現(xiàn)的框架——保護(hù)輪廓[1]（PP），并規(guī)定該評(píng)估對(duì)象的安全性技術(shù)要求；同時(shí)，制定安全目標(biāo)[1]（ST）以滿足智能電視應(yīng)用軟件安全目的和安全功能的需求，以及為滿足安全需求而提供的特定安全性技術(shù)要求。并依據(jù)CC第2部分“類—子類—組件”的層次結(jié)構(gòu)（見圖1）定義了目前智能電視應(yīng)用軟件的常用安全功能要求，依此作為安全性評(píng)估有效實(shí)施的基礎(chǔ)。

圖1 層次結(jié)構(gòu)示意圖

其中，評(píng)估輪廓的主要內(nèi)容包括：

1）保護(hù)對(duì)象：集成或安裝在智能電視上為用戶提供各種應(yīng)用的軟件；

2）安全環(huán)境：包括用戶的信息、已知的威脅、用戶的組織安全策略；

3）安全目的：對(duì)安全問題的相應(yīng)策略，包括技術(shù)性和非技術(shù)性措施；

4）安全要求：通過滿足安全目的，進(jìn)一步提出具體的技術(shù)實(shí)現(xiàn)方案；

5）基本原理：指明安全要求對(duì)安全目的、安全目的對(duì)安全環(huán)境是充分必要的。

完備的評(píng)估輪廓有助于確保技術(shù)與需求之間的內(nèi)在完備性和提高安全保護(hù)的針對(duì)性、有效性。

1.1 安全威脅分析

下文將在分析智能電視應(yīng)用軟件所面臨的安全威脅的基礎(chǔ)上，提出基于CC的新的功能分類方法。智能電視應(yīng)用軟件安全威脅形式多樣，對(duì)其部分安全威脅匯總見表1。

表1 智能電視應(yīng)用軟件安全威脅總結(jié)（部分）

1.2 安全功能分類

CC根據(jù)目前國(guó)際上公認(rèn)的常用安全功能要求，劃分了11類、66子類和135個(gè)組件，此分類方法復(fù)雜且缺少科學(xué)論證，其設(shè)計(jì)和描述都不十分平衡：有些組件的規(guī)范度很高、提出了詳細(xì)具體的規(guī)范；而有些組件的規(guī)范度很低，只提出了初步的規(guī)定。再加上不同用戶對(duì)信息安全問題認(rèn)識(shí)和理解的差異，很難保證CC的統(tǒng)一規(guī)范性，為此，依據(jù)目前智能電視應(yīng)用軟件安全隱患的分析，采用“真實(shí)性—保密性—完整性—可用性—不可抵賴性—可控制性—可審查性”的原則對(duì)其安全功能進(jìn)行分類。此分類方法更符合CC主要保護(hù)信息的保密性、完整性和可用性等三大特性的宗旨。

1）真實(shí)性：對(duì)信息的來源進(jìn)行判斷，能對(duì)偽造來源的信息予以鑒別，對(duì)應(yīng)CC中的FIA類，記為F1。

2）保密性：保證機(jī)密信息不被竊聽，或竊聽者不能了解信息的真實(shí)含義，對(duì)應(yīng)CC中的FCS類，記為F2。

3）完整性：保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改，對(duì)應(yīng)CC中的FDP類、FPT類和FTP類，分別記為F3.1，F(xiàn)3.2和F3.3。

4）可用性：保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^，對(duì)應(yīng)CC中的FRP類，記為F4。

5）不可抵賴性：建立有效的責(zé)任機(jī)制，防止用戶否認(rèn)其行為，對(duì)應(yīng)CC中的FCO類，記為F5。

6）可控制性：對(duì)信息的傳播及內(nèi)容具有控制能力，對(duì)應(yīng)CC中的FMT類和FRU類，分別記為F6.1和F6.2。

7）可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段，對(duì)應(yīng)CC中的FAU類和FTA類，分別記為F7.1和F7.2。

為簡(jiǎn)化分類流程，略去子類環(huán)節(jié)，直接將功能組件和上述7類功能進(jìn)行分別對(duì)應(yīng)，同時(shí)為分析每個(gè)功能組件在規(guī)定安全功能時(shí)的確定性，引入“安全度”這一度量，采用形式化分析方法定義：先設(shè)定4個(gè)命題，記為T1，T2，T3，T4，將這4個(gè)命題分別作用于智能電視應(yīng)用軟件的每個(gè)功能組件Fx，可以得到輸出為

定義功能組件的安全度為

式中：T1表示組件是否規(guī)定了一個(gè)比較準(zhǔn)確的功能要求；T2表示組件是否能夠直接引用，而不是為其他組件服務(wù)；T3表示組件是否提出了如何實(shí)現(xiàn)功能要求；T4表示組件是否需要賦值操作。

由以上定義得出命題T1，T2，T3和T4分別作用于各智能電視應(yīng)用軟件安全功能組件后的輸出值和功能組件的安全度（表2）。

表2 功能組件分析

從表2可知，每個(gè)功能組件Fx的安全度SL(Fx)是一個(gè)確定的數(shù)值，且0≤SL(Fx)≤4。安全度越大，該組件的安全功能可靠性越好；安全度越小，該組件的安全功能可靠性越差。

2 評(píng)估結(jié)果分析

采用求平均值的方法處理一組數(shù)據(jù)，能從整體上看出該組數(shù)據(jù)的取值是否科學(xué)及其定義是否合理。對(duì)智能電視應(yīng)用軟件每類功能組件安全度數(shù)值平均量化后，得到其安全功能組件的功能類評(píng)估結(jié)果如表3所示，而原CC評(píng)估結(jié)果如表4所示。

表3 新評(píng)估結(jié)果

表4 CC評(píng)估結(jié)果

為進(jìn)一步比較兩次評(píng)估過程對(duì)安全功能組件區(qū)分度可靠性的把握，分別對(duì)兩組數(shù)據(jù)（分別用SJ1和SJ2表示）求方差，得出0.678 3=（SJ1）2＞（SJ2）2=0.309 7，說明新的評(píng)估方法選取的功能組件區(qū)分度較好，能夠更充分地評(píng)估智能電視應(yīng)用軟件的安全性。

3 結(jié)論

上述基于CC的智能電視應(yīng)用軟件安全評(píng)估方法，在很大程度上遵照CC的評(píng)估原則對(duì)相應(yīng)軟件的安全功能組件進(jìn)行了良好的區(qū)分，并很好地突出了保護(hù)信息技術(shù)產(chǎn)品安全“保密性—完整性—可用性”的特性；但是，由于目前智能電視并沒有完整統(tǒng)一的定義，再加上智能電視不同種類應(yīng)用軟件的安全需求不同，同種類型應(yīng)用軟件的相關(guān)安全功能規(guī)范也不一致，給出的功能組件還不夠完備，今后將進(jìn)一步細(xì)化智能電視應(yīng)用軟件的顆粒度，使該評(píng)估方法更加客觀，可靠性更強(qiáng)。

[1] ISO/IEC 15408-2:2008，Information technology--security tech?niques--evaluation criteria for IT security--part 2:security functional components[S].2008.

[2]UPPULURIP，PITTGES J.A comprehensive undergraduate appli?cation security project[C]//Proc.9th International Conference on Information Technology:New Generations.Las Vegas，NV：IEEE Press，2012：600-607.

[3]DUKES L，YUAN X H，AKOWUAH F.A case study on web ap?plication security testing with tools and manual testing[C]//Proc. IEEE Southeastcon.Jacksonville，F(xiàn)L：IEEE Press，2013：1-6.

[4] TüRPE S.Search-based application security testing:towards a structured search space[C]//Proc.IEEE 4th International Confer?ence on Software Testing,Verification and Validation Workshop. Berlin：IEEE Press，2011：198-201.

[5]AVRAMESCU G，BUCICOIU M，ROSNER D，et al.Guidelines for discovering and improving application security[C]//Proc.19th International Conference on Control Systems and Computer Sci?ence.Bucharest：IEEE Press，2013：560-565.

[6]ALALFIM H，CORDY JR，DEAN T R.Automated verification of role-based access control security models recovered from dynam?ic web applications[C]//Proc.14th IEEE International Symposium onWeb Systems Evolution.Trento：IEEE Press，2012：1-10.

[7] USKOV A V.Hands-on teaching of software and web applica?tions security[C]//Proc.3rd Interdisciplinary Engineering Design Education Conference.Santa Clara，CA：IEEE Press，2013：71-78.

[8] YANG K M，CHO S B.Probabilistic modeling for context-awareservice in smart TV[C]//Proc.4th International Conference on In?telligent Systems Modelling&Simulation.Bangkok：IEEE Press，2013：78-83.

[9]KIM SC，CHOIB，JEONG Y，et al.An architecture of augmented broadcasting service for next generation smart TV[C]//Proc.IEEE International Symposium on Broadband Multimedia Systems and Broadcasting.Seoul：IEEE Press，2012：1-4.

[10]KWON H J，HONG K S.Personalized smart TV program recom?mender based on collaborative filtering and a novel similarity method[J].IEEE Trans.Consumer Electronics，2011，57（3）：1416-1423.

[11]HAN J J，CHOIC，YOO B I，et al.Real-time hand shape recog?nition by orientation invariant data learning for smart TV[C]// Proc.IEEE International Conference on Consumer Electronics. Las Vegas，NV：IEEE Press，2013：552-553.

[12]KHAN S U Z，SHOVON T H，SHAWON J，et al.Smart box:a TV remote controller based programmable home appliance man?ager[C]//Proc.International Conference on Informatics,Electron?ics&Vision.Dhaka：IEEE Press，2013：1-5.

Security Assessment M ethod of Smart TV’s App lication Based on CC

CHEN Yong1,MO Wei1,WANG Yong1,LIU Shuo2,XU Kechao2
（1.Guilin University of Electronic Technology,Guangxi Guilin 541004,China;2.CESI,Beijing 100007,China）

The smart TV application software security features are classified,and a CC-based classification consisted by "authenticity- auditability Confidentiality- Integrity- Availability- Non-repudiation- controllability"is given,and a simulation evaluation on smart TV’s application software is made,compared with the CC evaluation results based on original classification.The new evaluation method’s discrimination is better and can assess the safety of smart TV’s applications more effectively.

smart TV;application software;security assessment

TN949

A

?? 京

2013-12-03

【本文獻(xiàn)信息】陳勇，莫瑋，王勇，等.一種基于CC的智能電視應(yīng)用軟件安全評(píng)估方法[J].電視技術(shù)，2014，38（8）.

國(guó)家自然科學(xué)基金項(xiàng)目（61172053）