一種基于CC的智能電視應(yīng)用軟件安全評估方法

陳 勇，莫 瑋，王 勇，劉 碩，徐克超

（1.桂林電子科技大學(xué)，廣西 桂林 541004；2.中國電子技術(shù)標(biāo)準(zhǔn)化研究院，北京 100007）

一種基于CC的智能電視應(yīng)用軟件安全評估方法

陳 勇1，莫 瑋1，王 勇1，劉 碩2，徐克超2

（1.桂林電子科技大學(xué)，廣西 桂林 541004；2.中國電子技術(shù)標(biāo)準(zhǔn)化研究院，北京 100007）

對智能電視應(yīng)用軟件的安全功能進行分類，給出了一種基于CC的、由“真實性—保密性—完整性—可用性—不可抵賴性—可控制性—可審查性”組成的分類方法，并依此對智能電視的應(yīng)用軟件進行模擬評估，與CC原分類方法的評估結(jié)果相比，新的評估分類方法區(qū)分度更好，能更有效地評估智能電視應(yīng)用軟件的安全性。

智能電視；應(yīng)用軟件；安全評估

CC[1]（通用評估準(zhǔn)則）中定義了評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則，是度量信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基準(zhǔn)。該標(biāo)準(zhǔn)針對在安全性評估過程中信息技術(shù)產(chǎn)品和系統(tǒng)的安全功能及相應(yīng)的保證措施提出一組通用要求，使各種相對獨立的安全性評估結(jié)果具有可比性[2-6]。這有助于信息技術(shù)產(chǎn)品和系統(tǒng)的開發(fā)者或用戶確定所集成的產(chǎn)品或系統(tǒng)的應(yīng)用是否足夠安全，以及在使用中存在的安全風(fēng)險是否可以接受。該標(biāo)準(zhǔn)主要保護的是信息的保密性、完整性和可用性三大特性，其重點考慮的是人為威脅。

智能電視打破了傳統(tǒng)電視和IT行業(yè)的技術(shù)界限，模糊了電視機和IT的產(chǎn)業(yè)邊界，引入CC的評估思想，可對智能電視應(yīng)用軟件的安全性評估產(chǎn)生積極影響。

近年來，隨著智能電視硬件及功能的不斷集成，以智能電視為平臺的應(yīng)用軟件大量出現(xiàn)，豐富著人們的觀賞體驗。同時，由于智能電視應(yīng)用功能接口的開放性，及其應(yīng)用軟件的可擴展性，讓針對智能電視應(yīng)用軟件的漏洞有了可乘之機，且目前針對智能電視應(yīng)用軟件的安全審查機制幾乎為零，這為不法分子謀取非法利益提供便利，嚴(yán)重威脅著智能電視及其使用者的安全[7-12]。因此，對智能電視應(yīng)用軟件開展安全性評估，及時發(fā)現(xiàn)并規(guī)避含有惡意行為的應(yīng)用軟件迫在眉睫，對于保障終端安全和用戶權(quán)益具有重要的現(xiàn)實意義。

由于目前關(guān)于智能電視應(yīng)用軟件安全的標(biāo)準(zhǔn)還未出臺，本文對其安全功能要求進行評估，暫不考慮其安全保證要求。

1 智能電視應(yīng)用軟件安全功能分析

本文以智能電視應(yīng)用軟件為評估對象[1]（TOE），建立一個獨立于實現(xiàn)的框架——保護輪廓[1]（PP），并規(guī)定該評估對象的安全性技術(shù)要求；同時，制定安全目標(biāo)[1]（ST）以滿足智能電視應(yīng)用軟件安全目的和安全功能的需求，以及為滿足安全需求而提供的特定安全性技術(shù)要求。并依據(jù)CC第2部分“類—子類—組件”的層次結(jié)構(gòu)（見圖1）定義了目前智能電視應(yīng)用軟件的常用安全功能要求，依此作為安全性評估有效實施的基礎(chǔ)。

圖1 層次結(jié)構(gòu)示意圖

其中，評估輪廓的主要內(nèi)容包括：

1）保護對象：集成或安裝在智能電視上為用戶提供各種應(yīng)用的軟件；

2）安全環(huán)境：包括用戶的信息、已知的威脅、用戶的組織安全策略；

3）安全目的：對安全問題的相應(yīng)策略，包括技術(shù)性和非技術(shù)性措施；

4）安全要求：通過滿足安全目的，進一步提出具體的技術(shù)實現(xiàn)方案；

5）基本原理：指明安全要求對安全目的、安全目的對安全環(huán)境是充分必要的。

完備的評估輪廓有助于確保技術(shù)與需求之間的內(nèi)在完備性和提高安全保護的針對性、有效性。

1.1 安全威脅分析

下文將在分析智能電視應(yīng)用軟件所面臨的安全威脅的基礎(chǔ)上，提出基于CC的新的功能分類方法。智能電視應(yīng)用軟件安全威脅形式多樣，對其部分安全威脅匯總見表1。

表1 智能電視應(yīng)用軟件安全威脅總結(jié)（部分）

1.2 安全功能分類

CC根據(jù)目前國際上公認(rèn)的常用安全功能要求，劃分了11類、66子類和135個組件，此分類方法復(fù)雜且缺少科學(xué)論證，其設(shè)計和描述都不十分平衡：有些組件的規(guī)范度很高、提出了詳細具體的規(guī)范；而有些組件的規(guī)范度很低，只提出了初步的規(guī)定。再加上不同用戶對信息安全問題認(rèn)識和理解的差異，很難保證CC的統(tǒng)一規(guī)范性，為此，依據(jù)目前智能電視應(yīng)用軟件安全隱患的分析，采用“真實性—保密性—完整性—可用性—不可抵賴性—可控制性—可審查性”的原則對其安全功能進行分類。此分類方法更符合CC主要保護信息的保密性、完整性和可用性等三大特性的宗旨。

1）真實性：對信息的來源進行判斷，能對偽造來源的信息予以鑒別，對應(yīng)CC中的FIA類，記為F1。

2）保密性：保證機密信息不被竊聽，或竊聽者不能了解信息的真實含義，對應(yīng)CC中的FCS類，記為F2。

3）完整性：保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改，對應(yīng)CC中的FDP類、FPT類和FTP類，分別記為F3.1，F(xiàn)3.2和F3.3。

4）可用性：保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^，對應(yīng)CC中的FRP類，記為F4。

5）不可抵賴性：建立有效的責(zé)任機制，防止用戶否認(rèn)其行為，對應(yīng)CC中的FCO類，記為F5。

6）可控制性：對信息的傳播及內(nèi)容具有控制能力，對應(yīng)CC中的FMT類和FRU類，分別記為F6.1和F6.2。

7）可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段，對應(yīng)CC中的FAU類和FTA類，分別記為F7.1和F7.2。

為簡化分類流程，略去子類環(huán)節(jié)，直接將功能組件和上述7類功能進行分別對應(yīng)，同時為分析每個功能組件在規(guī)定安全功能時的確定性，引入“安全度”這一度量，采用形式化分析方法定義：先設(shè)定4個命題，記為T1，T2，T3，T4，將這4個命題分別作用于智能電視應(yīng)用軟件的每個功能組件Fx，可以得到輸出為

定義功能組件的安全度為

式中：T1表示組件是否規(guī)定了一個比較準(zhǔn)確的功能要求；T2表示組件是否能夠直接引用，而不是為其他組件服務(wù)；T3表示組件是否提出了如何實現(xiàn)功能要求；T4表示組件是否需要賦值操作。

由以上定義得出命題T1，T2，T3和T4分別作用于各智能電視應(yīng)用軟件安全功能組件后的輸出值和功能組件的安全度（表2）。

表2 功能組件分析

從表2可知，每個功能組件Fx的安全度SL(Fx)是一個確定的數(shù)值，且0≤SL(Fx)≤4。安全度越大，該組件的安全功能可靠性越好；安全度越小，該組件的安全功能可靠性越差。

2 評估結(jié)果分析

采用求平均值的方法處理一組數(shù)據(jù)，能從整體上看出該組數(shù)據(jù)的取值是否科學(xué)及其定義是否合理。對智能電視應(yīng)用軟件每類功能組件安全度數(shù)值平均量化后，得到其安全功能組件的功能類評估結(jié)果如表3所示，而原CC評估結(jié)果如表4所示。

表3 新評估結(jié)果

表4 CC評估結(jié)果

為進一步比較兩次評估過程對安全功能組件區(qū)分度可靠性的把握，分別對兩組數(shù)據(jù)（分別用SJ1和SJ2表示）求方差，得出0.678 3=（SJ1）2＞（SJ2）2=0.309 7，說明新的評估方法選取的功能組件區(qū)分度較好，能夠更充分地評估智能電視應(yīng)用軟件的安全性。

3 結(jié)論

上述基于CC的智能電視應(yīng)用軟件安全評估方法，在很大程度上遵照CC的評估原則對相應(yīng)軟件的安全功能組件進行了良好的區(qū)分，并很好地突出了保護信息技術(shù)產(chǎn)品安全“保密性—完整性—可用性”的特性；但是，由于目前智能電視并沒有完整統(tǒng)一的定義，再加上智能電視不同種類應(yīng)用軟件的安全需求不同，同種類型應(yīng)用軟件的相關(guān)安全功能規(guī)范也不一致，給出的功能組件還不夠完備，今后將進一步細化智能電視應(yīng)用軟件的顆粒度，使該評估方法更加客觀，可靠性更強。

[1] ISO/IEC 15408-2:2008，Information technology--security tech?niques--evaluation criteria for IT security--part 2:security functional components[S].2008.

[2]UPPULURIP，PITTGES J.A comprehensive undergraduate appli?cation security project[C]//Proc.9th International Conference on Information Technology:New Generations.Las Vegas，NV：IEEE Press，2012：600-607.

[3]DUKES L，YUAN X H，AKOWUAH F.A case study on web ap?plication security testing with tools and manual testing[C]//Proc. IEEE Southeastcon.Jacksonville，F(xiàn)L：IEEE Press，2013：1-6.

[4] TüRPE S.Search-based application security testing:towards a structured search space[C]//Proc.IEEE 4th International Confer?ence on Software Testing,Verification and Validation Workshop. Berlin：IEEE Press，2011：198-201.

[5]AVRAMESCU G，BUCICOIU M，ROSNER D，et al.Guidelines for discovering and improving application security[C]//Proc.19th International Conference on Control Systems and Computer Sci?ence.Bucharest：IEEE Press，2013：560-565.

[6]ALALFIM H，CORDY JR，DEAN T R.Automated verification of role-based access control security models recovered from dynam?ic web applications[C]//Proc.14th IEEE International Symposium onWeb Systems Evolution.Trento：IEEE Press，2012：1-10.

[7] USKOV A V.Hands-on teaching of software and web applica?tions security[C]//Proc.3rd Interdisciplinary Engineering Design Education Conference.Santa Clara，CA：IEEE Press，2013：71-78.

[8] YANG K M，CHO S B.Probabilistic modeling for context-awareservice in smart TV[C]//Proc.4th International Conference on In?telligent Systems Modelling&Simulation.Bangkok：IEEE Press，2013：78-83.

[9]KIM SC，CHOIB，JEONG Y，et al.An architecture of augmented broadcasting service for next generation smart TV[C]//Proc.IEEE International Symposium on Broadband Multimedia Systems and Broadcasting.Seoul：IEEE Press，2012：1-4.

[10]KWON H J，HONG K S.Personalized smart TV program recom?mender based on collaborative filtering and a novel similarity method[J].IEEE Trans.Consumer Electronics，2011，57（3）：1416-1423.

[11]HAN J J，CHOIC，YOO B I，et al.Real-time hand shape recog?nition by orientation invariant data learning for smart TV[C]// Proc.IEEE International Conference on Consumer Electronics. Las Vegas，NV：IEEE Press，2013：552-553.

[12]KHAN S U Z，SHOVON T H，SHAWON J，et al.Smart box:a TV remote controller based programmable home appliance man?ager[C]//Proc.International Conference on Informatics,Electron?ics&Vision.Dhaka：IEEE Press，2013：1-5.

Security Assessment M ethod of Smart TV’s App lication Based on CC

CHEN Yong1,MO Wei1,WANG Yong1,LIU Shuo2,XU Kechao2
（1.Guilin University of Electronic Technology,Guangxi Guilin 541004,China;2.CESI,Beijing 100007,China）

The smart TV application software security features are classified,and a CC-based classification consisted by "authenticity- auditability Confidentiality- Integrity- Availability- Non-repudiation- controllability"is given,and a simulation evaluation on smart TV’s application software is made,compared with the CC evaluation results based on original classification.The new evaluation method’s discrimination is better and can assess the safety of smart TV’s applications more effectively.

smart TV;application software;security assessment

TN949

A

?? 京

2013-12-03

【本文獻信息】陳勇，莫瑋，王勇，等.一種基于CC的智能電視應(yīng)用軟件安全評估方法[J].電視技術(shù)，2014，38（8）.

國家自然科學(xué)基金項目（61172053）