T/CVIA 108.4-2023 智能电视信息安全 固件安全技术要求和评测方法

　　团 体 标 准

　　T/CVIA 108.4-2023

　　智能电视信息安全

　　固件安全技术要求和评测方法

　　Smart TV information security

　　Technical requirements and evaluation methods for firmware security

　　2023-01-13 发布 2023-01-13 实施

　　中国电子视像行业协会 发布

　　目 次

　　前 言

　　本文件按照 GB/T 1.1—2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规则起草。

　　请注意本文件的某些内容可能涉及专利。本文件发布机构不承担识别这些专利的责任。

　　本文件由中国电子视像行业协会提出并归口。

　　本文件主要起草单位：海信视像科技股份有限公司、深圳市酷开网络科技股份有限公司、深圳

　　TCL 新技术有限公司、重庆市易平方科技有限公司、聚好看科技股份有限公司、深圳创维-RGB 电子有限公司、四川虹魔方网络科技有限公司、中家院(北京)检测认证有限公司、青岛海尔多媒体有限公司、康佳集团股份有限公司、康佳电子科技有限公司、厦门厦华科技有限公司。

　　本文件主要起草人：鞠磊磊、王伟、郝亚斌、冯晓曦、彭健锋、马万铮、林舜大、田灯友、李鑫、张曼华、宋舰、赵燕伟、张晓娜、罗少锋、赵瞳、薛元、王佳敏、王玉乾、张利利。

　　本文件是首次发布。

　　引 言

　　随着信息技术和人类生产生活交汇融合，各类数据迅猛增长、海量聚集，人们进入了大数据时

　　代，电视也从普通电视发展为现在的智能电视，智能电视也进入了大数据时代。截止到 2022 年国内智能电视的保有量已经超过 4 亿台，智能电视的信息安全也关系到咱们国家的信息安全，也关系到亿万观众者的合法利益。这也是全生态发展到一定阶段的突出问题。

　　智能电视信息安全保护的最终目的是促进数据的合理使用。要在充分保护个人信息的前提下，探索实现更加精确的数据确权，更加便捷的数据交易，更合理的数据使用，激发市场主体活力和科技创新能力，同时也为我国数字化经济成功转型与健康、安全发展的强大保障力量提供了基础，也让人民群众在信息化发展中有更多获得感、幸福感、安全感。

　　为进一步加强行业自律，完善智能电视信息安全和用户信息保护体系，保障消费者权益，促进行业健康有序发展，根据智能电视产品的实际情况和市场的发展趋势，在工信部电子信息司消费电子处的指导下，2022 年 5 月中国电子视像行业协会立项《智能电视操作系统个人信息保护要求和评测方

　　法》等十三部团体标准，开展智能电视信息安全系列标准的制定。智能电视信息安全系列标准分别包括《智能电视信息安全 操作系统个人信息保护要求和评测方法》、《智能电视信息安全 操作系统权限管理技术要求和评测方法》、《智能电视信息安全 操作系统数据存储安全技术要求和评测方法》、《智能电视信息安全 固件安全技术要求和评测方法》、《智能电视信息安全 应用程序信息采集与传输技术要求和评测方法》、《智能电视信息安全 操作系统调试与配置管理安全技术要求和评测方法》、《智能电视信息安全 操作系统开源软件及第三方库使用安全技术要求和评测方法》、《智能电视信息安全 应用程序个人信息保护要求和评测方法》、《智能电视信息安全 应用程序采集必要个人信息范围》、《智能电视信息安全 操作系统启动和更新安全技术要求和评测方法》、《智能电视信息安全 操作系统网络访问技术要求和评测方法》、《智能电视信息安全 软件日志安全技术要求和评测方法》。

　　《智能电视信息安全 固件安全技术要求和评测方法》分别对智能电视的固件安全问题，提出了明确的技术要求和评测方法。对智能电视产品固件安全的设计、生产和检验，完善技术标准体系，提升产品信息安全技术水平，促进自主创新，保护消费者合法权益具有非常重要的指导意义。

　　智能电视信息安全

　　固件安全技术要求和评测方法

　　1 范围

　　本文件规定了智能电视固件安全的技术要求和评价方法。

　　本文件适用于智能电视产品，其他具有操作系统的智能终端(如智能机顶盒，智慧屏等)也可以参考使用。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 25069-2022 信息安全技术 术语

　　T/CVIA 29-20l4 智能电视机总规范

　　3 术语、定义和缩略语

　　3.1 术语和定义

　　GB/T 25069-2022、T/CVIA 29-2014 界定的以及下列术语和定义适用于本文件。

　　3.1.1

　　智能电视 smart television

　　智能电视是指具有操作系统，支持第三方应用资源实现功能扩展，支持多网络接入功能，具备智能人机交互、与其它智能设备进行交互的电视机。

　　3.1.2

　　固件 firmware

　　存储在可读写存储设备上的软件程序。

　　3.1.3

　　固件升级 firmware update

　　修改或替换设备的软件程序，以完善设备功能、改进使用体验或增强系统稳定性、修复系统漏洞。

　　3.1.4

　　网络传输安全 network transmission security

　　数据传输使用可靠的网络安全协议，保障数据的机密性、完整性和可用性。

　　3.1.5

　　产品说明 product description

　　纸质版或电子版的电视功能和设计说明文档。

　　3.2 缩略语

　　HTTPS：超文本传输安全协议(Hyper Text Transfer Protocol over Secure Socket Layer)

　　SSH：安全外壳协议(Secure Shell)

　　TLS：安全传输层协议(Transport Layer Security)

　　4 智能电视固件安全架构

　　4.1 安全架构

　　图 1 为智能电视固件安全架构，包括三部分：固件升级安全、固件存储安全和固件启动安全。

　　图1 智能电视固件安全架构

　　a) 固件升级安全：对智能电视固件升级提出相应的要求，保障固件在升级过程中的可用性、完整性和可靠性。

　　b) 固件存储安全：对于智能电视固件存储提出相应的要求，防范攻击者对智能电视固件进行非法提取或恶意操作。

　　c) 固件启动安全：对智能电视固件启动提出相应的要求，对固件完整性进行校验，防止非授权固件启动运行。

　　5 技术要求

　　5.1 固件升级安全

　　固件升级安全技术要求包括(其中f 为建议项)：

　　a) 固件应具备在线升级机制，且固件升级前需要获取用户授权。

　　b) 固件应具备离线升级机制，且固件升级前需要获取用户授权。

　　c) 固件在在线强制升级前需要有相应的用户提示，告知用户升级的原因。

　　d) 固件离线升级，应支持对升级文件的完整性进行校验。

　　e) 固件在线升级，应支持对升级文件的来源和完整性进行校验。

　　f) 固件升级失败时，应保证原固件版本的可用性，不能出现系统不可使用的情况。

　　g) 固件在线升级时，应支持防固件回退处理机制。

　　h) 固件在线升级时，固件数据传输应支持传输安全机制，传输安全协议版本支持 TLSv1.2 及以上版本或者同等级别的其他安全协议版本。

　　i) 传输采用的 TLS 协议应使用 AES 128 位及以上的强加密、认证套件，如使用其他安全协议也应使用与 AES 128 位同等强度及以上的加密算法。

　　5.2 固件存储安全

　　固件存储安全技术要求包括(其中 b、c 为建议项)：

　　a) 为防止通过调试口提取和篡改固件，智能电视不应向无授权用户开放调试端口或实现基于口令或证书的安全调试。

　　b) 固件存储芯片应使用隐藏芯片管脚的封装方式，并实现芯片丝印的匿名化处理。

　　c) 为防止通过编程器提取固件，固件应采用加密存储的方式。

　　d) 建立专门的固件发布版本及源代码管理服务器，对固件的发布版本及源代码的存储实施有效的管理。

　　e) 由专人负责固件发布版本及源代码管理服务器的账户安全管理工作，加强权限限制，对于关键、特权账户的申请和变更需由负责人批准。

　　f) 固件版本和源代码管理服务器应安装相关的安全管理软件和防病毒软件，及时增补安全补丁和修复漏洞。

　　5.3 固件启动安全

　　a) 固件在启动时应支持完整性校验，当系统检测到未授权的固件时应禁止启动。

　　b) 用于校验固件完整性密钥的存储位置不可改写，防止被非法篡改。

　　6 评测方法

　　6.1 固件升级安全

　　6.1.1 评测项-1

　　a) 评测标准：固件应具备在线升级机制，且固件升级前需要获取用户授权。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1 ：审查产品说明，检查智能电视固件是否支持在线升级的机制。

　　2) 步骤 2：按照产品说明的描述对智能电视固件进行在线升级，确认升级前是否需要授权。

　　3) 步骤 3：进行固件在线升级，确认是否能升级成功。

　　d) 期望结果：

　　1) 步骤 1 后：如果智能电视固件不支持在线升级机制，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2。

　　2) 步骤 2 后：如果固件升级前不需要用户授权，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 3。

　　3) 步骤 3 后：如果固件升级成功，电视功能使用正常，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.1.2 评测项-2

　　a) 评测标准：固件应具备离线升级机制，且固件升级前需要获取用户授权。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：审查产品说明，检查智能电视固件是否支持离线升级的机制。

　　2) 步骤 2：按照产品说明的描述对智能电视固件进行离线升级，确认升级前是否需要授权。

　　3) 步骤 3：进行固件离线升级，确认是否能升级成功。

　　d) 期望结果：

　　1) 步骤 1 后：如果固件不支持离线升级机制，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2。

　　2) 步骤 2 后：如果固件升级前不需要用户授权，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 3。

　　3) 步骤 3 后：如果固件升级成功，电视功能使用正常，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.1.3 评测项-3

　　a) 评测标准：固件在线强制升级前需要有相应的用户提示，告知用户升级的原因。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：审查产品说明，检查智能电视固件是否支持在线强制升级。

　　2) 步骤 2：按照产品说明的描述对智能电视固件进行强制升级。

　　d) 期望结果：

　　1) 步骤 1 后：如果固件不支持在线强制升级，则评测结果为“不适用”，评测结束;否则继续执行步骤 2。

　　2) 步骤 2 后：如果固件可以强制升级成功，并告知用户升级原因，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.1.4 评测项-4

　　a) 评测标准：固件离线升级，应支持对升级文件的完整性进行校验。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1 ：审查产品说明，检查智能电视对离线升级文件是否支持完整性校验。

　　2) 步骤 2：使用篡改后的离线升级文件对智能电视进行升级。

　　d) 期望结果：

　　1) 步骤 1 后：如果离线升级文件不支持完整性校验，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2。

　　2) 步骤 2 后：如果智能电视升级篡改后的离线升级文件失败，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.1.5 评测项-5

　　a) 评测标准：固件在线升级，应支持对升级文件的来源和完整性进行校验。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1 ：审查产品说明，检查智能电视对在线升级文件是否支持来源和完整性校验。

　　2) 步骤 2：服务器部署篡改后的升级版本，进行在线升级。

　　d) 期望结果：

　　1) 步骤 1 后：如果在线升级文件不支持来源和完整性校验，则评测结果为“不符合要求”，测评结束;否则继续执行步骤 2。

　　2) 步骤 2 后：如果智能电视在线升级使用传输安全机制，且升级篡改后的在线升级文件失败，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.1.6 评测项-6

　　a) 评测标准：固件升级失败时，应保证原固件版本的可用性，不能出现系统不可使用的情况。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：审核产品说明，检查智能电视是否支持固件升级失败后的恢复处理机制。

　　2) 步骤 2：篡改升级文件的哈希签名或文件大小等信息，智能电视升级篡改后的升级文件。

　　d) 期望结果：

　　1) 步骤 1 后：如果智能电视不支持固件升级失败后的恢复处理机制，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2。

　　2) 步骤 2 后：如果智能电视在固件升级失败后可以恢复到原固件版本，且系统能正常使用，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.1.7 评测项-7

　　a) 评测标准：固件在线升级时，应支持防固件回退处理机制。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：审核产品说明，检查智能电视是否支持防固件回退处理机制。

　　2) 步骤 2：服务器部署旧固件版本，模拟用户方式进行固件在线升级。

　　3) 步骤 3：本地存储设备放置旧固件版本，模拟用户方式进行固件离线升级。

　　d) 期望结果：

　　1) 步骤 1 后：如果智能电视不支持防固件回退处理机制，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2。

　　2) 步骤 2 后：如果在线升级可以回退到旧固件版本，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 3。

　　3) 步骤 3 后：如果离线升级失败，无法回退到旧的固件版本，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.1.8 评测项-8

　　a) 评测标准：固件在线升级时，固件数据传输应支持传输安全机制，传输安全协议版本支持TLSv1.2 及以上版本或者同等级别的其他安全协议版本。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：审核产品说明，检查智能电视固件的在线传输是否支持传输安全机制。

　　2) 步骤 2 ：智能电视固件在线传输过程中使用抓包工具进行网络抓包，检查传输过程中使用的网络协议。

　　3) 步骤 3 ：使用抓包工具分析传输过程中的安全协议。

　　d) 期望结果：

　　1) 步骤 1 后：如果固件的在线传输不支持传输安全机制，则评测结果为则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2。

　　2) 步骤 2 后：如果固件在线传输中没有使用 HTTPS 等安全传输协议，则评测结果为“不符合要求”，评测结束;否则继续执行步骤3。

　　3) 步骤 3 后：如果固件的网络传输使用的安全协议为 TLSv1.2 及以上版本或者同等级别的

　　其他安全协议，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.1.9 评测项-9

　　a) 评测标准：传输采用的 TLS 协议应使用 AES 128 位及以上的强加密、认证套件，如使用其他安全协议也应使用与 AES 128 位同等强度及以上的加密算法。

　　b) 前置条件：

　　c) 评测方法：

　　步骤 1：在智能电视固件网络传输过程中使用抓包工具进行网络抓包，检查传输安全协议使用的加密算法、认证套件。

　　d) 期望结果：

　　步骤 1 后：如果传输安全协议 TLS 或其他同等安全协议使用的加密套件为 128 位及以上，则评测结果为“符合要求”，评测结束;否则为“不符合要求”(TLSv1.2 和 TLSv1.3 推荐加密套件，详见表 1 和表 2)。

　　表 1 TLSv1.2 推荐加密套件

　　表 2 TLSv1.3 推荐加密套件

　　6.2 固件存储安全

　　6.2.1 评测项-1

　　a) 评测标准：为防止通过调试口提取和篡改固件，智能电视不应向无授权用户开放调试端口或实现基于口令或证书的安全调试。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：审核产品说明，检查产品说明中对调试端口的设计描述。

　　2) 步骤 2 ：如果电视保留调试端口，模拟用户登录调试端口。

　　d) 期望结果：

　　1) 步骤 1 后：如果智能电视默认向无授权用户开放调试端口或调试端口登录不需要口令或身份认证，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2。

　　2) 步骤 2 后：如果调试端口访问受限，登录访问需要验证正确的口令或证书，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.2.2 评测项-2

　　a) 评测标准：固件存储芯片应使用隐藏芯片管脚的封装方式，并实现芯片丝印的匿名化处理。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：审核产品说明，检查用于固件存储的芯片管脚的封装方式及芯片丝印的设计。

　　2) 步骤 2：检查电视主板上用于固件存储的芯片管脚的封装方式及芯片丝印。

　　d) 期望结果：

　　1) 步骤 1 后：如果固件存储芯片暴露管脚，芯片未匿名化处理，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2。

　　2) 步骤 2 后：如果固件存储芯片使用隐藏芯片管脚的封装方式，并实现芯片丝印的匿名化处理，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.2.3 评测项-3

　　a) 测试标准：为防止通过编程器提取固件，固件应采用加密存储的方式。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 测试方法：

　　1) 步骤 1：审核产品说明，检查智能电视固件是否支持加密方式存储。

　　2) 步骤 2：进行逆向工程，使用编程器提取固件。

　　d) 期望结果：

　　1) 步骤 1 后：如果智能电视固件在设计时不支持加密方式存储，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2。

　　2) 步骤 2 后：如果无法通过编程器提取固件，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.2.4 评测项-4

　　a) 评测标准：建立专门的固件发布版本及源代码管理服务器，对固件的发布版本及源代码的存储实施有效的管理。

　　b) 前置条件：无

　　c) 评测方法：

　　步骤 1 ：审核厂家提供的固件版本及源代码安全管理规范，检查固件版本及源代码的存储管理是否安全有效。

　　d) 期望结果：

　　步骤 1 后：如果厂家建立专门的固件发布版本及源代码管理服务器，对固件的发布版本及源代码的存储实施有效的管理，则评测结果为“符合要求”，评测结束;否则为“不符合要

　　求”。

　　6.2.5 评测项-5

　　a) 评测标准：由专人负责固件发布版本及源代码管理服务器的账户安全管理工作，加强权限限制，对于关键、特权账户的申请和变更需由负责人批准。

　　b) 前置条件：无

　　c) 评测方法：

　　步骤 1 ：审核厂家提供的固件版本及源代码安全管理规范，检查固件版本及源代码服务器的账户管理操作流程。

　　d) 期望结果：

　　步骤 1 后：如果固件发布版本及源代码管理服务器的账户安全管理工作由专人负责，并且加强权限限制，对于关键、特权账户的申请和变更由负责人批准，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.2.6 评测项-6

　　a) 评测标准：固件版本和源代码管理服务器应安装相关的安全管理软件和防病毒软件，及时增补安全补丁和修复漏洞。

　　b) 前置条件：无

　　c) 评测方法：

　　步骤 1：审核厂家提供的固件版本及源代码安全管理规范，检查固件版本和源代码管理服务器的安全管理软件。

　　d) 期望结果：

　　步骤 1 后：如果固件版本和源代码管理服务器安装了相关的安全管理软件和防病毒软件，能及时增补安全补丁和修复漏洞，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.3 固件启动安全

　　6.3.1 评测项-1

　　a) 评测标准：固件在启动时应支持完整性校验，当系统检测到未授权的固件时应禁止启动。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：审核产品说明，检查固件在启动时是否支持完整性校验。

　　2) 步骤 2：进行逆向工程，篡改固件后启动电视。

　　d) 期望结果：

　　1) 步骤 1 后：如果固件启动时不支持完整性校验，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2。

　　2) 步骤 2 后：如果固件在启动时完整性校验失败，电视无法启动，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.3.2 评测项-2

　　a) 评测标准：用于校验固件完整性密钥的存储位置不可改写，防止被非法篡改。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：审核产品说明，检查用于校验固件完整性密钥的存储设计。

　　2) 步骤 2：逆向分析固件或登录智能电视系统，检查用于校验固件完整性密钥的存储位置。

　　d) 期望结果：

　　1) 步骤 1 后：如果用于校验固件完整性的密钥存储位置可改写，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2。

　　2) 步骤 2 后：如果用于校验固件完整性的密钥存储位置不可改写，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。