楊東裕 張旭陽(yáng) 謝浪雄

(工業(yè)和信息化部電子第五研究所 廣州 510610) (重慶賽寶工業(yè)技術(shù)研究院 重慶 401332)

智能可穿戴產(chǎn)品是利用感知、識(shí)別技術(shù)，基于無(wú)線信息傳輸，結(jié)合云服務(wù)、大數(shù)據(jù)等技術(shù)，實(shí)現(xiàn)持續(xù)交互和應(yīng)用服務(wù)的便攜式、穿戴式的移動(dòng)智能設(shè)備，其技術(shù)架構(gòu)如圖1所示.近年來(lái)，中國(guó)智能可穿戴產(chǎn)業(yè)飛速發(fā)展，市場(chǎng)規(guī)模從2014年的22億達(dá)到2015年的135.6億，2016年超過(guò)228億，2018年將突破400億[1-2]，逐漸成為“互聯(lián)網(wǎng)+”時(shí)代下一個(gè)發(fā)展熱點(diǎn).

圖1 智能可穿戴產(chǎn)品系統(tǒng)組成

這種新型產(chǎn)品不僅使數(shù)據(jù)成為服務(wù)用戶的信息來(lái)源，也對(duì)既有的數(shù)字生活形態(tài)、社會(huì)交往形態(tài)、社會(huì)組織形態(tài)產(chǎn)生深遠(yuǎn)的影響[3].用戶一舉一動(dòng)、不知不覺(jué)中產(chǎn)生的數(shù)據(jù)在不斷與互聯(lián)網(wǎng)對(duì)接、交互的過(guò)程中，產(chǎn)生的信息安全問(wèn)題也逐漸凸顯[4].但由于缺乏核心技術(shù)，知識(shí)產(chǎn)權(quán)儲(chǔ)備不足及標(biāo)準(zhǔn)缺失等原因，導(dǎo)致國(guó)內(nèi)企業(yè)競(jìng)爭(zhēng)力普遍不高，處于產(chǎn)業(yè)鏈下游；市場(chǎng)競(jìng)爭(zhēng)日益激烈，產(chǎn)品同質(zhì)化現(xiàn)象較為嚴(yán)重，利潤(rùn)偏低；產(chǎn)品質(zhì)量水平參差不齊、隱私泄露等信息安全隱患突出.

1 相關(guān)工作

2015年底央視曝光國(guó)內(nèi)智能兒童手表定位安全漏洞，服務(wù)器端與手表端防范薄弱，黑客可利用漏洞切斷家長(zhǎng)與孩子之間聯(lián)系，撥號(hào)冒充家長(zhǎng)，實(shí)時(shí)獲取兒童的行走軌跡，實(shí)時(shí)監(jiān)聽(tīng)環(huán)境聲音.2016年南方都市報(bào)報(bào)道，只需知道家長(zhǎng)手機(jī)號(hào)碼，智能兒童手表就可被定位監(jiān)聽(tīng)并可篡改通信錄.

通過(guò)分析可知，信息安全隱患主要存在以下幾個(gè)因素：首先，這種軟硬結(jié)合的新的設(shè)備形態(tài)使信息時(shí)代積累的、較成熟的安全技術(shù)、設(shè)備元器件難以直接移植應(yīng)用或繼承[5]，這樣就給黑客、釣魚(yú)、勒索軟件等提供了天然的滋生土壤；其次，人們?cè)谥悄艽┐髟O(shè)備方面的安全防范意識(shí)相對(duì)較低，無(wú)法準(zhǔn)確有效地應(yīng)對(duì)個(gè)人信息泄露風(fēng)險(xiǎn)；再者，設(shè)備廠商或因資金問(wèn)題或是出于成本考慮，對(duì)智能穿戴式設(shè)備的信息安全研發(fā)投入太少，缺乏快速有效的安全響應(yīng)機(jī)制；最后，國(guó)家質(zhì)量安全檢測(cè)對(duì)智能可穿戴設(shè)備這種新生事物在檢測(cè)標(biāo)準(zhǔn)上還存在著不少空白，宏觀管控信息安全的能力受限.

綜上分析，在大小廠商積極研發(fā)智能可穿戴設(shè)備的同時(shí)，背后存在的信息安全問(wèn)題也日益凸顯，如果不能有效解決這些問(wèn)題，萬(wàn)物互聯(lián)時(shí)代智能可穿戴設(shè)備的大規(guī)模應(yīng)用必然會(huì)導(dǎo)致問(wèn)題叢生，并反過(guò)來(lái)制約智能可穿戴產(chǎn)業(yè)的發(fā)展.

本文通過(guò)安全能力要求來(lái)表征智能可穿戴產(chǎn)品應(yīng)該具備的可防范安全威脅的技術(shù)手段，并定義了一種智能可穿戴產(chǎn)品分級(jí)評(píng)價(jià)方法.

2 智能可穿戴產(chǎn)品信息安全能力框架與目標(biāo)

2.1 智能可穿戴產(chǎn)品信息安全能力框架

智能可穿戴產(chǎn)品的核心作用在于個(gè)人數(shù)據(jù)的獲取以及專項(xiàng)服務(wù)定制；所以，數(shù)據(jù)的采集、計(jì)算、分析結(jié)果反饋構(gòu)成了可穿戴產(chǎn)品的完整應(yīng)用[3].因此，黑客若想獲取可穿戴設(shè)備數(shù)據(jù)，除了從設(shè)備本身入手外，還可以通過(guò)網(wǎng)絡(luò)接入、云服務(wù)提供商、中間服務(wù)提供商等整個(gè)信息鏈進(jìn)行，其中最薄弱的環(huán)節(jié)必將成為信息高泄露點(diǎn)[6].

為全面防護(hù)智能可穿戴產(chǎn)品的信息安全，本文提出一種安全能力框架，如圖2所示，主要包括5個(gè)部分：最底層是穿戴式設(shè)備安全能力，之上為數(shù)據(jù)處理終端(手機(jī))應(yīng)用軟件安全能力，頂層為后端計(jì)算與服務(wù)系統(tǒng)安全能力，無(wú)線通信網(wǎng)絡(luò)涉及穿戴式設(shè)備、數(shù)據(jù)處理終端、后端服務(wù)系統(tǒng)三者之間相互通信的安全，用戶數(shù)據(jù)保護(hù)安全能力涉及穿戴式設(shè)備件、無(wú)線通信網(wǎng)絡(luò)、數(shù)據(jù)處理終端應(yīng)用軟件和后端計(jì)算與服務(wù)系統(tǒng)4個(gè)層面.

圖2 智能可穿戴產(chǎn)品安全能力框架

2.2 智能可穿戴產(chǎn)品信息安全目標(biāo)

1) 穿戴式設(shè)備安全目標(biāo)

穿戴式設(shè)備安全目標(biāo)包含硬件安全、操作系統(tǒng)安全、外圍接口安全以及應(yīng)用軟件安全[7-8].

① 硬件安全目標(biāo)是在芯片級(jí)保證穿戴式設(shè)備內(nèi)部閃存和基帶的安全，確保芯片內(nèi)系統(tǒng)程序、設(shè)備參數(shù)、安全數(shù)據(jù)、用戶數(shù)據(jù)不被篡改或非法獲取.

② 操作系統(tǒng)安全目標(biāo)是達(dá)到操作系統(tǒng)對(duì)系統(tǒng)資源調(diào)用的監(jiān)控、保護(hù)和提醒，確保涉及安全的系統(tǒng)行為總是在受控的狀態(tài)下，不會(huì)出現(xiàn)用戶在不知情情況下某種行為的執(zhí)行，或者用戶不可控行為的執(zhí)行.另外，操作系統(tǒng)還應(yīng)保證自身的升級(jí)是受控的.

③ 外圍接口包括無(wú)線外圍接口、有線外圍接口.外圍接口的安全目標(biāo)是確保用戶對(duì)外圍接口的連接及數(shù)據(jù)傳輸?shù)目芍煽?

④ 應(yīng)用軟件安全目標(biāo)是要保證穿戴式設(shè)備對(duì)要安裝在其上的應(yīng)用軟件可進(jìn)行來(lái)源的識(shí)別，對(duì)已經(jīng)安裝在其上的應(yīng)用軟件可以進(jìn)行敏感行為的控制.另外，還要確保預(yù)置在穿戴式設(shè)備中的應(yīng)用軟件無(wú)損害用戶利益和危害網(wǎng)絡(luò)安全的行為，例如未經(jīng)授權(quán)的修改、刪除、向外傳送用戶數(shù)據(jù)等行為.

2) 數(shù)據(jù)處理終端應(yīng)用軟件安全目標(biāo)

數(shù)據(jù)處理終端應(yīng)用軟件安全目標(biāo)是要保證運(yùn)行于數(shù)據(jù)處理終端之上與穿戴式設(shè)備交互信息，并對(duì)信息進(jìn)行處理以配合穿戴式設(shè)備實(shí)現(xiàn)其預(yù)期功能和服務(wù)的應(yīng)用程序的敏感行為受控，并無(wú)破壞數(shù)據(jù)處理終端、損害用戶利益、危害網(wǎng)絡(luò)安全的行為，例如惡意吸費(fèi)、未經(jīng)授權(quán)修改、刪除、向外傳遞用戶數(shù)據(jù)、發(fā)布國(guó)家法律法規(guī)禁止的信息內(nèi)容等行為.

3) 無(wú)線通信網(wǎng)絡(luò)安全目標(biāo)

無(wú)線通信網(wǎng)絡(luò)安全目標(biāo)是要保證穿戴式設(shè)備通過(guò)WiFi、藍(lán)牙等無(wú)線形式與外部進(jìn)行通信時(shí)，其傳輸?shù)臄?shù)據(jù)不能被非法竊取、非法篡改，同時(shí)保證外部設(shè)備不能通過(guò)WiFi、藍(lán)牙等無(wú)線通信網(wǎng)絡(luò)非法控制穿戴式設(shè)備.

4) 后端計(jì)算與服務(wù)系統(tǒng)安全目標(biāo)

后端計(jì)算與服務(wù)系統(tǒng)安全目標(biāo)是確保其具備抵御外部攻擊的能力，防止第三者通過(guò)后端計(jì)算與服務(wù)系統(tǒng)非法竊取用戶數(shù)據(jù)、控制穿戴式設(shè)備或數(shù)據(jù)處理終端.

5) 用戶數(shù)據(jù)保護(hù)安全目標(biāo)

用戶數(shù)據(jù)保護(hù)安全目標(biāo)是要保證用戶數(shù)據(jù)存儲(chǔ)、傳輸?shù)陌踩?，確保用戶數(shù)據(jù)不被非法訪問(wèn)、不被非法獲取、不被非法篡改，同時(shí)能夠通過(guò)備份保證用戶數(shù)據(jù)的可靠恢復(fù).

3 智能可穿戴產(chǎn)品信息安全能力技術(shù)要求

3.1 穿戴式設(shè)備安全能力技術(shù)要求

3.1.1穿戴式設(shè)備硬件信息安全能力要求

穿戴式設(shè)備需提供存儲(chǔ)、處理等核心芯片的安全防護(hù)機(jī)制，確保芯片內(nèi)系統(tǒng)程序、設(shè)備參數(shù)、安全數(shù)據(jù)、用戶數(shù)據(jù)不被篡改或非法獲取.

3.1.2穿戴式設(shè)備操作系統(tǒng)安全能力要求

1) 系統(tǒng)后門

系統(tǒng)在設(shè)計(jì)時(shí)不應(yīng)留有“后門”，即不應(yīng)以維護(hù)、支持或操作需要為借口，設(shè)計(jì)有違反或繞過(guò)安全規(guī)則的任何類型的入口和文檔中未說(shuō)明的任何模式的入口.

2) 用戶空間與系統(tǒng)空間

操作系統(tǒng)程序與用戶程序要進(jìn)行隔離.一個(gè)進(jìn)程的虛地址空間至少應(yīng)被分為2段：用戶空間和系統(tǒng)空間，兩者的隔離應(yīng)是靜態(tài)的.駐留在內(nèi)存中的操作系統(tǒng)應(yīng)由所有進(jìn)程共享.用戶進(jìn)程之間應(yīng)是彼此隔離的.應(yīng)禁止在用戶模式下運(yùn)行的進(jìn)程對(duì)系統(tǒng)段進(jìn)行寫操作，而在系統(tǒng)模式下運(yùn)行時(shí)，應(yīng)允許進(jìn)程對(duì)所有的虛存空間進(jìn)行讀、寫操作.

3) 系統(tǒng)功能調(diào)用控制能力

① 通信類系統(tǒng)功能調(diào)用受控機(jī)制

操作系統(tǒng)應(yīng)提供撥打電話、WLAN、藍(lán)牙、移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接等通信類系統(tǒng)功能調(diào)用的用戶受控機(jī)制，如向用戶提供配置接口，允許用戶關(guān)閉或停止該類系統(tǒng)服務(wù)功能，并允許用戶選擇決定哪類應(yīng)用程序可使用該類系統(tǒng)功能，同時(shí)應(yīng)在用戶確認(rèn)的情況下，系統(tǒng)或應(yīng)用程序才可執(zhí)行調(diào)用操作.

② 本地敏感功能調(diào)用受控機(jī)制

操作系統(tǒng)應(yīng)提供定位、錄音、拍照、攝像等本地敏感功能調(diào)用的用戶受控機(jī)制，如向用戶提供配置接口，允許用戶關(guān)閉或停止該類系統(tǒng)功能，并允許用戶選擇決定哪類應(yīng)用程序可使用該類系統(tǒng)功能，同時(shí)應(yīng)在用戶確認(rèn)的情況下，系統(tǒng)或應(yīng)用程序才可執(zhí)行調(diào)用操作.

4) 操作系統(tǒng)更新

穿戴式設(shè)備通常執(zhí)行授權(quán)的操作系統(tǒng)更新，當(dāng)不能保證操作系統(tǒng)安全的更新時(shí)，應(yīng)在說(shuō)明書(shū)中明示用戶可能帶來(lái)的安全風(fēng)險(xiǎn).

3.1.3穿戴式設(shè)備外圍接口安全能力要求

1) 無(wú)線外圍接口安全能力要求

對(duì)于具備WLAN、藍(lán)牙、ZigBee、NFC功能的穿戴式設(shè)備，應(yīng)具備開(kāi)關(guān)，可開(kāi)啟關(guān)閉WLAN、藍(lán)牙、NFC等所支持的無(wú)線連接方式.

② 無(wú)線外圍接口連接建立確認(rèn)機(jī)制

當(dāng)通過(guò)無(wú)線外圍接口(如藍(lán)牙)與不同設(shè)備進(jìn)行第1次連接時(shí)，穿戴式設(shè)備能夠發(fā)現(xiàn)該連接并給用戶相應(yīng)的提示，當(dāng)用戶確認(rèn)建立連接時(shí)，連接才可建立.

③ 無(wú)線外圍接口連接狀態(tài)顯示

當(dāng)穿戴式設(shè)備的無(wú)線外圍接口(如WLAN、藍(lán)牙、ZigBee、NFC)已開(kāi)啟，穿戴式設(shè)備宜通過(guò)特定方式給用戶相應(yīng)的狀態(tài)提示.

當(dāng)穿戴式設(shè)備通過(guò)無(wú)線外圍接口(如WLAN、藍(lán)牙、ZigBee、NFC)建立數(shù)據(jù)連接，穿戴式設(shè)備應(yīng)給用戶相應(yīng)的提示(圖標(biāo)、聲音或振動(dòng)等).

如果穿戴式設(shè)備提供了無(wú)線外圍接口的開(kāi)啟狀態(tài)提示和數(shù)據(jù)連接狀態(tài)提示，這2種狀態(tài)提示應(yīng)不同.

④ 無(wú)線外圍接口數(shù)據(jù)傳輸受控機(jī)制

當(dāng)穿戴式設(shè)備與其他設(shè)備已經(jīng)通過(guò)無(wú)線外圍接口(WLAN、藍(lán)牙、ZigBee或NFC)實(shí)現(xiàn)連接，此時(shí)通過(guò)無(wú)線外圍接口進(jìn)行文件、圖片、數(shù)據(jù)等傳輸時(shí)，穿戴式設(shè)備應(yīng)給用戶相應(yīng)的提示，并允許用戶終止文件、圖片、數(shù)據(jù)等傳輸.

2) 有線外圍接口安全能力要求

對(duì)于僅用于充電或僅用于數(shù)據(jù)連接的有線外圍接口，當(dāng)通過(guò)該接口建立連接時(shí)，穿戴式設(shè)備應(yīng)給用戶相應(yīng)的提示.

對(duì)于既可進(jìn)行充電又可進(jìn)行數(shù)據(jù)連接的有線外圍接口，當(dāng)連接充電器時(shí)應(yīng)給用戶相應(yīng)的提示，當(dāng)連接于既可進(jìn)行充電又可進(jìn)行數(shù)據(jù)連接的設(shè)備時(shí)，用戶應(yīng)能夠選擇是否建立數(shù)據(jù)連接模式或者能夠保證數(shù)據(jù)傳輸授權(quán)可控.

3.1.4穿戴式設(shè)備應(yīng)用軟件安全要求

1) 應(yīng)用軟件安全認(rèn)證機(jī)制要求

如果穿戴式設(shè)備支持對(duì)未經(jīng)電子認(rèn)證服務(wù)機(jī)構(gòu)或第三方測(cè)試機(jī)構(gòu)認(rèn)證簽名軟件安裝，在進(jìn)行應(yīng)用軟件安裝時(shí)，穿戴式設(shè)備應(yīng)能夠識(shí)別應(yīng)用軟件的簽名狀態(tài)，并能夠根據(jù)簽名狀態(tài)給用戶相應(yīng)的提示或通過(guò)數(shù)據(jù)處理終端應(yīng)用軟件給用戶相應(yīng)提示.

如果穿戴式設(shè)備采用認(rèn)證簽名機(jī)制，在此情況下，未經(jīng)過(guò)認(rèn)證簽名的應(yīng)用軟件僅當(dāng)用戶進(jìn)行確認(rèn)后才能執(zhí)行下一步操作.

2) 應(yīng)用軟件安全要求

① 收集用戶數(shù)據(jù)

穿戴式設(shè)備中預(yù)置的應(yīng)用軟件不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自收集用戶數(shù)據(jù)的行為.

② 修改用戶數(shù)據(jù)

穿戴式設(shè)備中預(yù)置的應(yīng)用軟件不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自修改用戶數(shù)據(jù)的行為.

③ 調(diào)用設(shè)備通信功能

穿戴式設(shè)備中預(yù)置的應(yīng)用軟件不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自調(diào)用終端通信功能，造成用戶數(shù)據(jù)泄露的行為，

3) 應(yīng)用軟件聯(lián)網(wǎng)行為安全要求

3.2 無(wú)線通信網(wǎng)絡(luò)安全能力技術(shù)要求

1) 無(wú)線通信網(wǎng)絡(luò)身份認(rèn)證要求

支持通過(guò)認(rèn)證協(xié)議對(duì)通信實(shí)體的身份進(jìn)行認(rèn)證.

2) 無(wú)線通信網(wǎng)絡(luò)訪問(wèn)控制要求

3) 無(wú)線通信網(wǎng)絡(luò)傳輸加密要求

在無(wú)線數(shù)據(jù)傳輸過(guò)程中，應(yīng)通過(guò)加密算法進(jìn)行加密，加密密鑰大于128 b.

4) 無(wú)線通信網(wǎng)絡(luò)數(shù)據(jù)完整性保護(hù)要求

在無(wú)線數(shù)據(jù)傳輸過(guò)程中，應(yīng)通過(guò)數(shù)據(jù)簽名、Hash算法、加解密等實(shí)現(xiàn)數(shù)據(jù)的完整性保護(hù).能檢測(cè)出傳輸中數(shù)據(jù)被篡改、刪除、插入等情況，并具有相應(yīng)的恢復(fù)機(jī)制，恢復(fù)其完整性.

3.3 數(shù)據(jù)處理終端應(yīng)用程序安全能力技術(shù)要求

1) 應(yīng)用程序安全認(rèn)證機(jī)制要求

數(shù)據(jù)處理終端應(yīng)用軟件應(yīng)擁有依法設(shè)立的電子認(rèn)證服務(wù)機(jī)構(gòu)或第三方測(cè)試機(jī)構(gòu)頒發(fā)的數(shù)字證書(shū).

2) 應(yīng)用程序調(diào)用系統(tǒng)通信功能控制能力

① 撥打電話控制能力

② 三方通話控制能力

③ 發(fā)送短信控制能力

④ 發(fā)送彩信控制能力

⑤ 發(fā)送郵件

⑥ 移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接

數(shù)據(jù)處理終端應(yīng)用程序調(diào)用開(kāi)啟移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接功能時(shí)，應(yīng)給用戶相應(yīng)的提示，當(dāng)用戶確認(rèn)后連接方可開(kāi)啟.

⑦ WLAN 網(wǎng)絡(luò)連接

數(shù)據(jù)處理終端應(yīng)用程序調(diào)用開(kāi)啟WLAN網(wǎng)絡(luò)連接功能時(shí)，應(yīng)給用戶相應(yīng)的提示，當(dāng)用戶確認(rèn)后連接方可開(kāi)啟.

3) 應(yīng)用程序調(diào)用本地敏感功能控制能力

① 定位功能控制能力

數(shù)據(jù)處理終端應(yīng)用軟件在調(diào)用定位功能時(shí)，應(yīng)在用戶確認(rèn)的情況下才能調(diào)用.調(diào)用后，數(shù)據(jù)處理終端宜在用戶主界面上給用戶相應(yīng)的狀態(tài)提示.

② 通話錄音功能控制能力

③ 本地錄音功能控制能力

⑤ 對(duì)用戶數(shù)據(jù)操作控制能力

數(shù)據(jù)處理終端應(yīng)用程序?qū)τ脩魯?shù)據(jù)操作控制能力應(yīng)滿足如下要求：當(dāng)應(yīng)用軟件調(diào)用對(duì)用戶數(shù)據(jù)進(jìn)行寫操作時(shí)，數(shù)據(jù)處理終端應(yīng)在用戶確認(rèn)的情況下方可執(zhí)行；當(dāng)應(yīng)用軟件需要調(diào)用對(duì)用戶數(shù)據(jù)的讀操作時(shí)，該應(yīng)用軟件在下載、安裝或首次運(yùn)行時(shí)應(yīng)提示用戶該應(yīng)用將讀取用戶數(shù)據(jù)，并明確告知用戶所要讀取的用戶數(shù)據(jù)類型.

4) 應(yīng)用程序調(diào)用外部接口控制能力

數(shù)據(jù)處理終端應(yīng)用程序調(diào)用外部接口(WiFi、藍(lán)牙、NFC、USB等無(wú)線或有線)時(shí)，應(yīng)在用戶確認(rèn)的情況下才能調(diào)用.調(diào)用后，數(shù)據(jù)處理終端宜在用戶主界面上給用戶相應(yīng)的狀態(tài)提示.

5) 應(yīng)用程序更新控制能力

數(shù)據(jù)處理終端應(yīng)用程序通常執(zhí)行授權(quán)的更新，當(dāng)不能保證安全的更新時(shí)，應(yīng)在說(shuō)明書(shū)中明示用戶可能帶來(lái)的安全風(fēng)險(xiǎn)；同時(shí)數(shù)據(jù)處理終端應(yīng)用程序應(yīng)對(duì)更新操作提供技術(shù)保護(hù)手段，防止非法更新或更新接口被惡意利用.

6) 應(yīng)用程序聯(lián)網(wǎng)行為安全要求

3.4 后端信息計(jì)算與服務(wù)系統(tǒng)安全能力技術(shù)要求

3.5 用戶數(shù)據(jù)保護(hù)安全要求

1) 密碼保護(hù)

① 穿戴式設(shè)備的密碼保護(hù)

穿戴式設(shè)備應(yīng)支持開(kāi)機(jī)時(shí)的密碼保護(hù)和開(kāi)機(jī)后鎖定狀態(tài)下的密碼保護(hù)，例如口令、圖案、生物特征識(shí)別等多種形態(tài)的密碼，并由用戶決定是否使用，在說(shuō)明書(shū)中告知用戶不設(shè)置密碼存在的安全隱患.口令認(rèn)證與生物特征認(rèn)證的要求見(jiàn)YDT1699—2007[11].

② 數(shù)據(jù)處理終端應(yīng)用軟件密碼保護(hù)

數(shù)據(jù)處理終端應(yīng)用軟件應(yīng)支持開(kāi)機(jī)時(shí)的密碼保護(hù)和開(kāi)機(jī)后鎖定狀態(tài)下的密碼保護(hù)，例如口令、圖案等多種形態(tài)的密碼，并由用戶決定是否使用，在說(shuō)明書(shū)中告知用戶不設(shè)置密碼存在的安全隱患.口令認(rèn)證的要求見(jiàn)YDT1699—2007 中5.5.2.1，生物特征認(rèn)證的要求見(jiàn)YDT 1699—2007 中5.5.2.3.

2) 用戶數(shù)據(jù)的授權(quán)訪問(wèn)

智能可穿戴產(chǎn)品提供用戶數(shù)據(jù)的授權(quán)訪問(wèn)能力，當(dāng)?shù)谌綉?yīng)用訪問(wèn)被保護(hù)的用戶數(shù)據(jù)時(shí)，應(yīng)在用戶確認(rèn)的情況下才能訪問(wèn).

3) 用戶數(shù)據(jù)的加密存儲(chǔ)

未經(jīng)授權(quán)的任何實(shí)體應(yīng)不能從智能可穿戴產(chǎn)品的加密存儲(chǔ)區(qū)域的數(shù)據(jù)中還原出用戶私密數(shù)據(jù)的真實(shí)內(nèi)容.

4) 用戶數(shù)據(jù)的加密傳輸

用戶數(shù)據(jù)在經(jīng)過(guò)無(wú)線或有線傳輸過(guò)程中，智能可穿戴產(chǎn)品應(yīng)提供加密傳輸機(jī)制，加密密鑰不少于64 b，保障在傳輸過(guò)程中用戶數(shù)據(jù)不被惡意竊取.

5) 用戶數(shù)據(jù)的徹底刪除

智能可穿戴產(chǎn)品應(yīng)提供數(shù)據(jù)徹底刪除功能，以保證被刪除的用戶數(shù)據(jù)不可再恢復(fù).一般的刪除功能僅會(huì)刪除數(shù)據(jù)在存儲(chǔ)器中放置位置的索引，而該區(qū)域內(nèi)實(shí)際存儲(chǔ)的數(shù)據(jù)沒(méi)有完全清空，在數(shù)據(jù)被刪除之后，非法程序通過(guò)讀取該區(qū)域的內(nèi)容，仍有可能從讀取到的數(shù)據(jù)中恢復(fù)被刪除的私密數(shù)據(jù).徹底刪除功能應(yīng)把該區(qū)域內(nèi)實(shí)際存儲(chǔ)的數(shù)據(jù)徹底消除.例如，當(dāng)用戶數(shù)據(jù)被刪除時(shí)，在該數(shù)據(jù)對(duì)應(yīng)的存儲(chǔ)區(qū)域使用全“0”或全“1”進(jìn)行多次填充.

6) 用戶數(shù)據(jù)的遠(yuǎn)程保護(hù)

智能可穿戴產(chǎn)品應(yīng)提供用戶數(shù)據(jù)的遠(yuǎn)程保護(hù)能力，以便用戶在穿戴式設(shè)備、數(shù)據(jù)處理終端遺失或其他情況下，穿戴式設(shè)備及數(shù)據(jù)處理終端中的用戶數(shù)據(jù)不被泄露.遠(yuǎn)程保護(hù)能力包括遠(yuǎn)程鎖定穿戴式設(shè)備和數(shù)據(jù)處理終端，并可遠(yuǎn)程銷毀用戶數(shù)據(jù).智能可穿戴產(chǎn)品提供的遠(yuǎn)程保護(hù)功能也應(yīng)具備安全設(shè)置，確保遠(yuǎn)程保護(hù)功能僅在達(dá)到了用戶預(yù)設(shè)條件的情況下才會(huì)啟動(dòng).

該功能可參考開(kāi)放移動(dòng)聯(lián)盟(OMA)組織發(fā)布的鎖定和徹底刪除管理對(duì)象標(biāo)準(zhǔn)OMA-TS-LAWMO.

7) 用戶數(shù)據(jù)的轉(zhuǎn)移備份

智能可穿戴產(chǎn)品應(yīng)具備用戶數(shù)據(jù)的轉(zhuǎn)移及備份能力.

用戶數(shù)據(jù)的轉(zhuǎn)移備份包括本地備份和遠(yuǎn)程備份2種：本地備份是通過(guò)穿戴式設(shè)備或數(shù)據(jù)處理終端的外圍接口實(shí)現(xiàn)的數(shù)據(jù)備份；遠(yuǎn)程備份是通過(guò)無(wú)線網(wǎng)絡(luò)實(shí)現(xiàn)的用戶數(shù)據(jù)在服務(wù)器側(cè)的備份.智能可穿戴產(chǎn)品應(yīng)至少支持一種備份方式.

3.6 智能可穿戴產(chǎn)品功能限制性要求

智能可穿戴產(chǎn)品應(yīng)當(dāng)真實(shí)傳送信息，不得通過(guò)對(duì)傳送信息進(jìn)行處理(篡改)或傳送虛假信息，或使信息接收者錯(cuò)誤識(shí)別特定通信主體等，不得預(yù)置可改變通信系統(tǒng)提示信號(hào)的應(yīng)用軟件；

智能可穿戴產(chǎn)品不得預(yù)置國(guó)家法律法規(guī)禁止的信息內(nèi)容(包括但不限于預(yù)置圖片、文字、菜單、音視頻、應(yīng)用等)，也不得預(yù)置為傳播發(fā)布國(guó)家法律法規(guī)禁止信息內(nèi)容提供服務(wù)的應(yīng)用軟件.

4 安全能力分級(jí)評(píng)價(jià)方法

智能可穿戴產(chǎn)品所支持的安全能力劃分為5個(gè)等級(jí)，第5級(jí)是最高等級(jí).根據(jù)智能可穿戴產(chǎn)品所支持的安全能力的程度，將智能可穿戴產(chǎn)品安全能力自低到高劃分為5個(gè)等級(jí).在每一等級(jí)定義了智能可穿戴產(chǎn)品在相應(yīng)等級(jí)對(duì)應(yīng)的安全能力的最小集合，也就是智能可穿戴產(chǎn)品必須支持該集合中的所有安全能力才能標(biāo)識(shí)為該級(jí)別，例如達(dá)到第5級(jí)的智能可穿戴產(chǎn)品應(yīng)支持本文第3節(jié)所定義的所有安全能力及功能限制性要求.具體的等級(jí)劃分如表1所示：

表1 智能可穿戴產(chǎn)品安全能力等級(jí)劃分評(píng)價(jià)

5 結(jié) 論

作為連接人與智能社會(huì)的鑰匙，智能可穿戴產(chǎn)品正處于蓬勃發(fā)展的階段.智能可穿戴產(chǎn)品廠家應(yīng)既注重技術(shù)上的突破，也注重產(chǎn)品的多元化和生活化，而安全策略必將成為貫穿其中的重要內(nèi)容[12]，這也是生態(tài)文明建設(shè)中，實(shí)現(xiàn)智能家居、智慧城市、和諧社會(huì)的根本保障[3].

本文通過(guò)安全能力要求來(lái)表征智能可穿戴產(chǎn)品應(yīng)該具備的可防范安全威脅的技術(shù)手段，從穿戴式設(shè)備安全能力、數(shù)據(jù)處理終端應(yīng)用軟件安全能力、后端計(jì)算與服務(wù)系統(tǒng)安全能力、無(wú)線通信網(wǎng)絡(luò)安全能力以及用戶數(shù)據(jù)保護(hù)安全能力5個(gè)方面定義了一種智能可穿戴產(chǎn)品分級(jí)評(píng)價(jià)方法，用于指導(dǎo)廠商提升智能可穿戴產(chǎn)品的安全防護(hù)能力，并為消費(fèi)者購(gòu)買智能可穿戴產(chǎn)品提供參考.