TTAF172-2023循環(huán)回收移動智能通信終端信息安全技術要求和測試方法

T/TAF172—2023

循環(huán)回收移動智能通信終端信息安全技術要求和測試方法

1范圍

本文件規(guī)定了循環(huán)回收移動智能通信終端安全能力的技術要求和測試方法，包括用戶數(shù)據(jù)保護安

全能力、預置第三方應用安全能力、操作系統(tǒng)安全能力。

本文件適用于各種制式的循環(huán)回收移動智能通信終端。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適

用于本文件。

YD/T2407-2021移動智能終端安全能力技術要求

YD/T2408-2021移動智能終端安全能力測試方法

3術語和定義

下列術語和定義適用于本文件。

3.1

移動智能通信終端smartmobileterminal

能夠接入公用電信網，具有能夠提供應用軟件開發(fā)接口的操作系統(tǒng)，具有安裝、加載和運行應用

軟件能力的移動通信終端。

3.2

循環(huán)回收移動智能通信終端recyclablemobilecommunicationterminal

首次銷售后再次進入市場流通的、不涉及非法和侵權的移動智能通信終端。

3.3

安全能力securitycapability

在移動智能通信終端上可實現(xiàn)的，能夠防范安全威脅的技術手段。

3.4

用戶user

使用移動智能通信終端資源的對象，包括人或第三方應用軟件。

3.5

用戶數(shù)據(jù)userdata

1

T/TAF172—2023

移動智能通信終端上存儲的用戶個人信息，包括由用戶在本地生成的數(shù)據(jù)、為用戶在本地生成的

數(shù)據(jù)、在用戶許可后由外部進入用戶數(shù)據(jù)區(qū)的數(shù)據(jù)等。

3.6

授權authorization

在用戶身份經過認證后，根據(jù)預先設置的安全策略，授予用戶相應權限的過程。

3.7

預置第三方應用軟件preinstalledapplications

移動智能通信終端內，在主屏幕和輔助屏界面（不包含進入界面后，通過菜單進入或者調起的功

能）有用戶交互入口并且可獨立使用的非系統(tǒng)原生或本機終端廠商自研的應用軟件。

4安全能力框架及目標

4.1安全能力框架

循環(huán)回收移動智能通信終端安全能力主要由操作系統(tǒng)安全能力、用戶數(shù)據(jù)保護安全能力和預置第

三方應用安全能力構成。

4.2安全目標

4.2.1操作系統(tǒng)安全目標

操作系統(tǒng)包含常規(guī)智能操作系統(tǒng)自身及操作系統(tǒng)組件和服務，以及鑲嵌在智能操作系統(tǒng)中提供相

應開放接口供應用軟件（框架應用軟件，如免安裝應用等）使用的框架。

操作系統(tǒng)安全目標是操作系統(tǒng)無損害用戶利益和危害網絡和終端安全的行為，以及提供操作系統(tǒng)

對系統(tǒng)資源調用的監(jiān)控、保護和提醒，確保涉及安全的系統(tǒng)行為總是在受控的狀態(tài)下，不會出現(xiàn)用戶

在不知情情況下某種行為的執(zhí)行，或者用戶不可控行為的執(zhí)行。

4.2.2用戶數(shù)據(jù)保護安全目標

用戶數(shù)據(jù)保護安全目標是要保證用戶數(shù)據(jù)的安全存儲，確保用戶數(shù)據(jù)不被非法訪問、獲取和篡改。

5安全能力技術要求

5.1基本要求

循環(huán)回收移動智能通信終端應通過給用戶提示和讓用戶確認的方式來防范安全威脅，當操作系統(tǒng)

自身或者第三方應用調用相關功能時，操作系統(tǒng)應具備給用戶提示和讓用戶確認的能力。

給用戶的提示和明示可以是圖標、文字、語音或其他明顯的提示方式，對于用戶主動設置為允許

或主動觸發(fā)的操作，認為是在用戶知情的情況下執(zhí)行的操作。

在操作執(zhí)行期間，提示應足夠引起用戶的注意，且提示信息應易于用戶理解。

用戶確認應使用戶有選擇的權利，即用戶應能確認也能取消。

2

T/TAF172—2023

用戶確認如無特別說明，則認為以下三種確認方式均可：

——應用軟件每一次調用行為發(fā)生時進行確認；

——應用軟件首次調用行為發(fā)生時確認，本確認在一定時間內有效，確認應針對每一個調用行為

單獨確認；

——應用軟件首次安裝或調用行為發(fā)生時確認，本確認對該軟件長期有效，確認應針對每一個調

用行為單獨確認。

本文5.4節(jié)所提及的給用戶提示和用戶確認，均指由系統(tǒng)自身或者第三方應用調用相關功能時，

操作系統(tǒng)所應具備的能力；對于第三方應用通過調用操作系統(tǒng)提供的人一機接口執(zhí)行的操作，認為是

在用戶知情的情況下執(zhí)行的操作，己經給用戶提示并得到用戶的確認。

若操作系統(tǒng)可安裝的第三方應用軟件均為單一來源，且此來源內的應用軟件符合標準YD/T3228

—2017的3級要求，則操作系統(tǒng)認為己經具備給用戶相關提示和確認的能力。

循環(huán)回收移動智能通信終端預置第三方應用軟件需滿足無損害用戶利益和危害網絡或終端安全

的行為。

5.2用戶數(shù)據(jù)安全保護能力要求

5.2.1密碼保護

循環(huán)回收移動智能通信終端密碼保護功能，應滿足以下安全能力要求：

應支持開機時的密碼保護和開機后鎖定狀態(tài)下的密碼保護，例如口令、圖案、生物特征識別等多

種形態(tài)的密碼。其中，口令密碼為必選的保護形式，其他形式為可選。

5.2.2用戶數(shù)據(jù)的徹底刪除

循環(huán)回收移動智能通信終端應保證徹底刪除用戶數(shù)據(jù)（包括但不限于通話記錄、短信、彩信、通

訊錄、日程表、影音數(shù)據(jù)、賬號信息等）且應保證被刪除的用戶數(shù)據(jù)不可再恢復出來。一般的刪除功

能僅會刪除數(shù)據(jù)在存儲器件中放置位置的索引，而該區(qū)域內實際存儲的數(shù)據(jù)沒有完全清空，在數(shù)據(jù)被

刪除之后，非法軟件通過讀取該區(qū)域的內容，仍有可能從讀取到的數(shù)據(jù)中恢復被刪除的私密數(shù)據(jù)。徹

底刪除應把該區(qū)域內實際存儲的數(shù)據(jù)徹底刪除。

5.3預置第三方應用安全保護能力要求

5.3.1收集用戶數(shù)據(jù)

循環(huán)回收移動智能通信終端中預置的第三方應用軟件不應有未向用戶明示并經用戶同意，擅自收

集用戶個人信息的行為，包括在用戶無確認的情況下開啟通話錄音、本地錄音、后臺截屏/錄屏、拍照

/攝像、定位和接收短信、讀取用戶本機號碼、電話本數(shù)據(jù)、通話記錄、短信數(shù)據(jù)、上網記錄、日程表

數(shù)據(jù)、媒體影音數(shù)據(jù)（如照片、視頻和音頻）、采集和讀取生物特征識別信息（如指紋、人臉識別等）、

讀取設備唯一可識別信息（如不可重置的設備標識符）、應用軟件列表的行為。

5.3.2修改用戶數(shù)據(jù)

3

T/TAF172—2023

循環(huán)回收移動智能通信終端中預置的第三方應用軟件不應有未向用戶明示并經用戶同意，擅自修

改用戶個人信息的行為，包括在用戶無確認情況下修改（包含寫和刪除）用戶電話本數(shù)據(jù)、通話記錄、

短信數(shù)據(jù)、日程表數(shù)據(jù)的行為。

5.3.3流量耗費

循環(huán)回收移動智能通信終端中預置的第三方應用軟件不應有未向用戶明示并經用戶同意，擅自調

用終端通信功能，造成用戶流量消耗的行為，包括在用戶無確認情況下通過移動通信網絡數(shù)據(jù)連接、

WLAN網絡連接、無線外圍接口傳送數(shù)據(jù)的行為。

5.3.4費用損失

循環(huán)回收移動智能通信終端中預置的第三方應用軟件不應有未向用戶明示并經用戶同意，擅自調

用終端通信功能，造成用戶費用損失的行為，包括在用戶無確認情況下?lián)艽螂娫挕l(fā)送短信、發(fā)送彩

信、開啟移動通信網絡或WLAN連接并收發(fā)數(shù)據(jù)的行為。

5.3.5信息泄露

循環(huán)回收移動智能通信終端中預置的第三方應用軟件不應有未向用戶明示并經用戶同意，擅自調

用終端通信功能，造成用戶數(shù)據(jù)泄露的行為，包括在用戶無確認情況下讀取并傳送用戶本機號碼、電

話本數(shù)據(jù)、通話記錄、短信數(shù)據(jù)、上網記錄、日程表信息、定位信息、圖片、音頻、視頻等用戶個人

信息行為。

5.4操作系統(tǒng)安全能力要求

5.4.1通信類功能受控機制

撥打電話

應用軟件調用執(zhí)行撥打電話操作時，應在用戶確認的情況下，撥打操作才能執(zhí)行。

發(fā)送短信

應用軟件調用執(zhí)行發(fā)送短信操作時，應在用戶確認的情況下，發(fā)送短信操作才能執(zhí)行。

5.4.2本地敏感功能受控機制

通話錄音功能

通話錄音是指在通話狀態(tài)下錄取線路上雙方的話音。當應用軟件調用啟動通話錄音時，應在用戶

確認的情況下才能開啟。

本地錄音功能

應用軟件調用啟動本地錄音功能時，應在用戶確認的情況下才能啟動錄音操作。

對用戶數(shù)據(jù)的操作

4

T/TAF172—2023

移動智能通信終端操作系統(tǒng)應提供對用戶數(shù)據(jù)保護的功能，具體要求如下：

當應用軟件需要調用對通話記錄、短信數(shù)據(jù)、通訊錄的讀操作時，移動智能通信終端應提示用戶

該應用將讀取這些用戶數(shù)據(jù)，且在用戶確認的情況下方可執(zhí)行。

6安全能力測試方法

6.1概述及基本要求

本章描述了針對移動智能終端的各種安全能力進行評測的方法。評測結果有以下三種：

——未見異常：通過評測方法沒有發(fā)現(xiàn)存在安全風險或安全事件;

——不符合要求：直接發(fā)現(xiàn)安全事件或不符合安全能力要求;

——不支持：終端不支持相應功能。

6.2用戶數(shù)據(jù)安全保護能力測試方法

6.2.1密碼保護

測試項目：開機密碼保護

項目要求：見第5.2.1節(jié)

預置條件：被測移動智能通信終端關機，終端開啟了用戶身份認證功能

測試步驟：

步驟1：將移動智能通信終端開機，終端提示輸入用戶登錄口令；

步驟2：輸入正確的用戶口令；

步驟3：通過終端的人-機界面，進入用戶登錄口令更改菜單；

步驟4：修改用戶登錄口令為3位數(shù)；

步驟5：修改用戶登錄口令為4位數(shù)或4位以上數(shù)字；

步驟6：關機，再開機；

步驟7：輸入舊密碼；

步驟8：輸入新密碼；

步驟9：通過終端的人-機界面，進入用戶登錄口令菜單，關閉用戶身份認證功能；

步驟10：關機，再開機；

步驟11：通過終端的人-機界面，將用戶登錄口令修改為正常值；

步驟12：關機，再開機；

步驟13：持續(xù)輸入錯誤的用戶口令（4位或4位以上數(shù)）。

預期結果：

在步驟2后，移動智能通信終端提示輸入口令正確，終端正常開機；

在步驟4，終端應提示用戶登錄口令長度過短，請求用戶重新輸入或者終端無法修改為3位數(shù)密

碼；

在步驟5，用戶登錄口令修改成功；

在步驟7，終端應提示登錄口令錯誤；

5

T/TAF172—2023

在步驟8后，終端應提示輸入口令正確，終端正常開機；

在步驟9，在關閉用戶身份認證功能前，終端應提示用戶輸入登錄口令，輸入正常，終端應提示

用戶身份認證功能成功關閉；

在步驟10后，終端開機過程應不提示用戶輸入用戶登錄口令，終端正常開機；

在步驟13，多次輸入錯誤的用戶登錄口令后（根據(jù)廠商聲稱，不多于10次），終端應自動采取

適當措施以防止持續(xù)不斷的非法攻擊如關機和鎖死等。

循環(huán)回收移動智能通信終端滿足以上預期結果，則該項目評測結果為“未見異常”，反之該項目

評測結果為“不符合要求”。

測試項目：開機后鎖定狀態(tài)的密碼保護

項目要求：見第5.2.1節(jié)

預置條件：被測移動智能通信終端關機，終端開啟了用戶身份認證功能

測試步驟：

步驟1：將終端開機，進入屏保菜單，啟動屏保激活身份認證；

步驟2：保持終端處于空閑狀態(tài)；

步驟3：使用另一終端撥打被測終端，被測終端按接聽鍵；

步驟4：呼叫結束；

步驟5：通過手機鍵盤激活系統(tǒng)；

步驟6：輸入錯誤的口令：

步驟7：輸入正確的口令；

步驟8：通過菜單關閉屏保激活身份認證；

步驟9：輸入正確的口令；

預期結果：

在步驟1，終端應提示輸入屏保激活身份認證的口令；

在步驟2，在超過等待時間后，終端應進入屏保狀態(tài)；

在步驟3，終端應可以正常接聽電話；

在步驟4，呼叫結束后，終端應立即進入屏保狀態(tài)；

在步驟5，終端應提示用戶輸入屏保激活身份認證口令；

在步驟6，終端應提示口令錯誤；

在步驟7：終端應提示口令正確，移動智能通信終端被激活，進入正常使用狀態(tài)；

在步驟8，終端應提示輸入口令；

在步驟9，終端應提示屏保激活身份認證被成功關閉。

循環(huán)回收移動智能通信終端滿足以上預期結果，則該項目評測結果為“未見異?！保粗擁椖?/p>

評測結果為“不符合要求”。

6.2.2用戶數(shù)據(jù)的徹底刪除

6

T/TAF172—2023

測試項目：用戶數(shù)據(jù)的徹底刪除

項目要求：見第5.2.2節(jié)

預置條件：被測移動智能通信終端處于正常工作狀態(tài)

測試步驟：

步驟1：檢查移動智能通信終端是否可以直接查看用戶數(shù)據(jù)（包括通話記錄、短信、彩信、通訊

錄、日程表、圖片、視頻、音頻、系統(tǒng)賬號信息、應用軟件登錄賬號信息等）；

步驟2：使用應用程序訪問終端用戶數(shù)據(jù)（包括通話記錄、短信、彩信、通訊錄、日程表、圖片、

視頻、音頻、系統(tǒng)賬號信息、應用軟件登錄賬號信息）

步驟3：使用數(shù)據(jù)恢復工具，對終端進行用戶數(shù)據(jù)（包括通話記錄、短信、彩信、通訊錄、日程

表、圖片、視頻、音頻、系統(tǒng)賬號信息、應用軟件登錄賬號信息）恢復，查看是否可恢復用戶數(shù)

據(jù)信息。

預期結果：

步驟1后，如果終端可直接查看用戶數(shù)據(jù)，則該項判斷為“不符合要求”，評測結束；

步驟2后，如果應用程序可訪問到終端用戶數(shù)據(jù)，則該項判斷為“不符合要求”，評測結束；

步驟3后，如果終端可直接恢復用戶數(shù)據(jù)，則該項判斷為“不符合要求”，評測結束；如果終端

無法恢復用戶數(shù)據(jù)信息，則該項評測結果為“未見異?！?，評測結束。

6.3預置第三方應用軟件安全保護能力測試方法

測試項目：預置第三方應用軟件安全保護能力測試方法

項目要求：見第5.3節(jié)

預置條件：被測移動智能通信終端處于正常工作狀態(tài)

測試步驟：

步驟1：使預置應用軟件信息安全測試系統(tǒng)（包括服務器和客戶端軟件）處于正常工作狀態(tài)；

步驟2：將預置應用軟件信息安全測試系統(tǒng)客戶端軟件安裝到被測移動智能通信終端上，并與服

務器建立連接；

步驟3：使用基于特征碼掃描、靜態(tài)源代碼分析和動態(tài)行為監(jiān)測等檢測方法，對被測移動智能通

信終端預置第三方應用軟件未向用戶明示并經用戶同意，擅自收集用戶數(shù)據(jù)、修改用戶數(shù)據(jù)、流

量耗費、費用損失、信息泄露中規(guī)定的行為進行檢測。

預期結果：

如果預置應用軟件信息安全測試系統(tǒng)顯示被測移動智能通信終端預置第三方應用軟件無擅自收

集用戶數(shù)據(jù)、修改用戶數(shù)據(jù)、流量耗費、費用損失、信息泄露中規(guī)定的行為，則該項目評測結果

為“未見異?！?；否則，該項目評測結果為“不符合要求”。

6.4操作系統(tǒng)安全能力測試方法

6.4.1通信類功能受控機制

7

T/TAF172—2023

撥打電話

測試項目：撥打電話的受控機制

項目要求：見第節(jié)

預置條件：被測移動智能通信終端處于正常工作狀態(tài)

測試步驟：

步驟1：檢查被測移動智能通信終端的操作系統(tǒng)是否提供撥打電話的開發(fā)功能；

步驟2：如果移動智能通信終端操作系統(tǒng)提供撥打電話的開發(fā)功能，使用該功能開發(fā)撥打電話的

應用程序；

步驟3：運行該應用程序，查看終端是否要求用戶確認撥打電話。

預期結果：

在步驟1后，如果終端不提供撥打電話的開發(fā)功能，則該項的評測結果為“未見異?！?；

在步驟3后，如果終端要求用戶確認撥打電話，則該項評測結果為“未見異常”，評測結束；

在步驟3后，如果終端不要求用戶確認，并成功撥打電話，則該項評測結果為“不符合要求”，

評測結束。

發(fā)送短信

測試項目：發(fā)送短信的受控機制

項目要求：見第節(jié)

預置條件：被測移動智能通信終端處于正常工作狀態(tài)

測試步驟：

步驟1：檢查被測移動智能通信終端的操作系統(tǒng)是否提供發(fā)送短信的開發(fā)功能；

步驟2：如果移動智能通信終端操作系統(tǒng)提供發(fā)送短信的開發(fā)功能，使用該功能開發(fā)發(fā)送短信的

應用程序；

步驟3：運行該應用程序，查看終端是否要求用戶確認發(fā)送短信。

預期結果：

在步驟1后，如果終端不提供發(fā)送短信的開發(fā)功能，則該項的評測結果為“未見異?！?；

在步驟3后，如果終端要求用戶確認發(fā)送短信，則該項評測結果為“未見異?！保u測結束；

在步驟3后，如果終端不要求用戶確認，并成功發(fā)送短信，則該項評測結果為“不符合要求”，

評測結束。

6.4.2本地敏感功能受控機制

通話錄音功能

測試項目：通話錄音的受控機制

項目要求：見第節(jié)

預置條件：被測移動智能通信終端處于正常工作狀態(tài)

8

T/TAF172—2023

測試步驟：

步驟1：檢查被測移動智能通信終端的操作系統(tǒng)是否提供通話錄音的開發(fā)功能；

步驟2：如果移動智能通信終端操作系統(tǒng)提供通話錄音的開發(fā)功能，使用該功能開發(fā)通話錄音的

應用程序；

步驟3：運行該應用程序，查看終端是否要求用戶確認通話錄音；

預期結果：

在步驟1后，如果終端不提供通話錄音的開發(fā)功能，則該項的評測結果為“未見異?！?；

在步驟3后，如果終端要求用戶確認開始通話錄音，則該項評測結果為“未見異?！?，評測結束；

在步驟3后，如果終端不要求用戶確認，并成功進行通話錄音，則該項評測結果為“不符合要求”，

評測結束。

本地錄音功能

測試項目：本地錄音的受控機制

項目要求：見第節(jié)

預置條件：被測移動智能通信終端處于正常工作狀態(tài)

測試步驟：

步驟1：檢查被測移動智能通信終端的操作系統(tǒng)是否提供本地錄音的開發(fā)功能；

步驟2：如果移動智能通信終端操作系統(tǒng)提供本地錄音的開發(fā)功能，使用該功能開發(fā)本地錄音的

應用程序；

步驟3：運行該應用程序，查看終端是否要求用戶確認本地錄音；

預期結果：

在步驟1后，如果終端不提供本地錄音的開發(fā)功能，則該項的評測結果為“未見異?！?；

在步驟2后，如果終端要求用戶確認開始本地錄音，則該項評測結果為“未見異?！保u測結束；

在步驟2后，如果終端不要求用戶確認，并成功進行本地錄音，則該項評測結果為“不符合要求”，

評測結束。

對用戶數(shù)據(jù)的操作

測試項目：用戶數(shù)據(jù)的讀操作受控機制

項目要求：見第節(jié)

預置條件：被測移動智能通信終端處于正常工作狀態(tài)

測試步驟：

步驟1：檢查被測移動智能通信終端的操作系統(tǒng)是否提供用戶數(shù)據(jù)讀?。ㄗx取通話記錄、讀取短

信數(shù)據(jù)、讀取通訊錄）的開發(fā)功能；

步驟2：如果移動智能通信終端操作系統(tǒng)提供用戶數(shù)據(jù)讀?。ㄗx取通話記錄、讀取短信數(shù)據(jù)、讀

取通訊錄）的開發(fā)功能，分別使用該功能開發(fā)讀取通話記錄、讀取短信數(shù)據(jù)、讀取通訊錄的應用

9

T/TAF172—2023

程序；

步驟3：分別運行應用程序，檢查對應的應用程序安裝或首次運行時是否給用戶提示；

預期結果：

在步驟1后，如果終端不提供用戶數(shù)據(jù)讀?。ㄗx取通話記錄、讀取短信數(shù)據(jù)、讀取通訊錄）的開

發(fā)功能，則該項的評測結果為“未見異?！保?/p>

在步驟3后，如果終端給用戶提示應用程序會訪問對應的數(shù)據(jù)（通話記錄數(shù)據(jù)、短信數(shù)據(jù)、通訊

錄數(shù)據(jù)），則該項評測結果為“未見異?！?，評測結束；

在步驟3后，如果終端沒有給用戶任何提示，并且應用程序可以成功訪問到對應的數(shù)據(jù)（通話記

錄數(shù)據(jù)、短信數(shù)據(jù)、通訊錄數(shù)據(jù)），則該項評測結果為“不符合要求”，評測結束。

10

電信終端產業(yè)協(xié)會團體標準

循環(huán)回收移動智能通信終端信息安全技術要求

T/TAF172—2023

*

版權所有侵權必究

電信終端產業(yè)協(xié)會印發(fā)

地址：北京市西城區(qū)新街口外大街28號

電話/p>

電子版發(fā)行網址：

ICS33.050

CCSM30

團體標準

T/TAF172—2023

循環(huán)回收移動智能通信終端信息安全技術

要求和測試方法

Testmethodsforsecuritycapabilityoftherecyclablemobile

communicationterminal

2023-07-20發(fā)布2023-07-20實施

電信終端產業(yè)協(xié)會發(fā)布

T/TAF172—2023

循環(huán)回收移動智能通信終端信息安全技術要求和測試方法

1范圍

本文件規(guī)定了循環(huán)回收移動智能通信終端安全能力的技術要求和測試方法，包括用戶數(shù)據(jù)保護安

全能力、預置第三方應用安全能力、操作系統(tǒng)安全能力。

本文件適用于各種制式的循環(huán)回收移動智能通信終端。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適

用于本文件。

YD/T2407-2021移動智能終端安全能力技術要求

YD/T2408-2021移動智能終端安全能力測試