YDT 4575-2023IPTV智能型机顶盒安全技术要求

ICS33.040.50

CCSM42

YD

中华人民共和国通信行业标准

YD/TXXXXX—XXXX

IPTV智能型机顶盒安全技术要求

SecuritytechnicalrequirementsforIPTVsettopbox

（报批稿）

201X-XX-XX发布201X-XX-XX实施

中华人民共和国工业和信息化部发布

YD/TXXXXX—XXXX

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国通信标准化协会提出并归口。

本文件起草单位：中国信息通信科技集团有限公司、中国信息通信研究院、中国电信集团有限公司、

中国联合网络通信集团有限公司、郑州信大捷安信息技术股份有限公司、中兴通讯股份有限公司。

本文件主要起草人：吴国燕、张治兵、薄明霞、肖甜、刘为华、曾斌、姜超、谌海峰、李霄鹏、刘

成刚。

II

IPTV智能型机顶盒安全技术要求

1范围

本文件规定了IPTV智能型机顶盒的硬件安全要求、系统安全要求、应用层安全要求、通信连接安全

要求、数据安全要求、个人信息安全等。

本文件适用于IPTV智能型机顶盒，可指导IPTV智能型机顶盒的设计、研发和选型。其他智能型机顶

盒可参考使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T35273信息安全技术个人信息安全规范

3术语和定义

下列术语和定义适用于本文件。

3.1

IPTV智能型机顶盒IPTVsettopbox

具有智能操作系统的设备，可通过直接连接电视机和音响等播放设备向用户提供页面信息浏览、音

视频播放、应用、可视通信、媒体共享、游戏等交互式应用功能的多媒体终端，属于家庭网络中的一个

应用设备，通过家庭网关访问专用网络。

本文件所述智能机顶盒，如无特殊说明，均指IPTV智能型机顶盒，也可简称为机顶盒。

3.2

端口port

本文件特指TCP/IP协议中的端口，是逻辑意义上的端口。

4缩略语

下列缩略语适用于本文件。

APP安装在系统上的应用程序Application

JTAG联合测试工作组JointTestActionGroup

CNVD国家信息安全漏洞共享平台ChinaNationalVulnerabilityDatabase

CNNVD中国国家信息安全漏洞库ChinaNationalVulnerabilityDatabaseofInformation

DRM数字版权管理DigitalRightsManagement

USB通用串行总线UniversalSerialBus

1

YD/TXXXXX—XXXX

WLAN无线局域网WirelessLocalAreaNetworks

5IPTV智能型机顶盒安全框架

IPTV智能型机顶盒的安全框架主要由硬件安全、系统安全、应用软件安全、IPTV内容安全、通信

安全、和数据安全、个人信息安全七部分构成。其中：

a)硬件安全主要包括基础硬件模块（比如芯片）、硬件接口和外设等；

b)系统安全主要包括硬件驱动、软件系统内核、各种函数库、基础服务等；

c)应用软件安全主要包括运行于系统之上的应用软件；

d)IPTV内容安全主要指IPTV机顶盒接入的IPTV资源；

e)通信安全主要包括连接协议、通信端口；

f)数据安全主要包括智能机顶盒应用、系统、配置产生的数据；

g)个人信息安全指收集到的语音样本，声纹信息，个人观看历史搜索收藏、视频通信记录等信息。

IPTV智能型机顶盒安全框架如图1所示：

图1IPTV智能机顶盒安全框架

6IPTV智能型机顶盒安全技术要求

6.1硬件安全

6.1.1概述

智能机顶盒硬件安全主要指的是硬件标识、接口和芯片安全，尽量采用高安全级别的芯片，在出厂

前禁用芯片的调试端口，防止智能机顶盒被攻击者操控。

6.1.2硬件标识安全

硬件标识安全要求如下：

a)硬件整机应具备唯一性标识；

b)关键安全功能模块不应存在功能丝印标识，比如串口丝印等，防止攻击者通过丝印标识了解器

件特性和单板原理，从而加大攻击者识别硬件的难度。

6.1.3硬件接口安全

2

智能机顶盒在生产、调试或者维护时需要使用调试接口，比如：调试接口、JTAG等外部管理通道，

这么针对这些管理接口应具备的安全要求如下：

a)调试接口默认出厂关闭，必要时设置开关控制接口的状态；

b)若是调试需要打开接口，应提供接入口令认证机制或加密授权码的方式。采用口令认证授权的

方式应保证口令的复杂度，比如：口令长度不少于八位，由大写字母、小写字母、数字、特殊

字符中的三种或三种以上类型组成，建议支持一机一密的方式；如采用加密授权码方式，授权

码长度不少于10位，由数字和字母等字符组成，建议支持一机一密的方式；

c)不应存在可绕过正常认证机制直接进入到系统的隐秘通道。

6.1.4芯片安全

芯片安全要求如下：

a)对于支持安全模块的芯片，宜具备主芯片的物理写保护的功能，防止固件被非法篡改；

b)宜具备安全启动硬件保护能力。

6.2系统安全

6.2.1端口与服务安全

系统提供的端口与服务安全要求如下：

a)基于端口开放最小化原则，默认关闭不是系统业务所必需的其他端口；

b)操作系统按照模块最小化裁剪仅保留必须的模块。

6.2.2漏洞与缺陷管理安全

漏洞与缺陷管理安全要求如下：

a)系统应保证不包含有CNVD与CNNVD6个月前公布的高危及以上的漏洞；

b)预装软件、补丁包/升级包应不包含恶意程序。

6.2.3系统权限控制

系统权限要求如下：

a）对于支持多个用户账号的系统，要对账号进行分级分权，不得越权操作；

b）系统应对远程接入控制的请求进行身份验证；

c）系统不应预留任何未公开账号，所有账号应在操作系统管理范围内；

d）默认只允许安装官方认可的应用商城里的软件；

e）禁止用户修改或者卸载机顶盒系统预装的核心应用；

f）禁止通过浏览器安装未经授权签名的第三方应用。

6.2.4系统与固件升级安全

系统与固件升级安全要求如下：

a)设备应支持固件和系统远程升级；

b)应对升级包的来源和完整性进行校验，包括验证升级包的哈希值、文件大小、版本号和签名；

c)当发生更新失败时，设备能回退到原来的版本，可以正常启动；

d)提供系统升级的日志记录，确保异常升级时可以溯源；

e)升级包文件应做防篡改或其他合适的加密处理，防止不法分子窃取更新包导致源码泄露；

f)升级包宜采用加密通道传输。

6.3应用软件安全

3

YD/TXXXXX—XXXX

6.3.1预置应用软件的安全

预置应用软件安全要满足如下要求：

a)预置的应用软件要进行加固处理，防止反编译、二次打包，反调试等；

b)预置的应用软件权限遵循最小化原则；

c）预置的应用软件不应存在后门等隐藏接口；

d)预置的应用软件应不包含有CNVD与CNNVD6个月前公布的高危及以上漏洞。

6.3.2第三方应用软件的安装安全

第三方应用软件的安装安全要求如下：

a)禁止安装未经授权签名的第三方应用APP；

b）防止运行外接设备（比如U盘、TF卡等）里的可疑脚本或者可执行程序；

c）若支持第三方应用软件安装，需校验该应用软件的完整性以及数字签名，数字签名算法采用安

全的算法。

6.3.3应用软件的更新安全

应用软件的更新安全如下：

a）预置应用软件进行更新时，应对应用软件更新包进行版本号、哈希值、签名和文件大小校验；

b）进行预置应用软件更新时，宜对应用软件更新包进行加密，防止应用更新包被非法获取，导致

信息泄露。

6.4通信安全

6.4.1协议的安全一致性要求

所采用的TR-O69、WLAN、蓝牙等通信协议应支持授权认证、加密传输等安全功能。

6.4.2协议的健壮性要求

应具备对非法报文的处理能力，当接收到非法报文时应能够正确处理，机顶盒业务和管理功能应不

受影响。

6.4.3通信连接的安全

智能机顶盒若支持多种通信连接方式，比如WLAN、蓝牙等无线通信，需满足以下安全要求：

a)应具备开关，可开启/关闭相应的通信接口；

b)用户使用通信接口与智能机顶盒连接时，需要进行提醒和确认；

c)当用户确认后连接方可开启，同时防止外设中的病毒或木马程序感染智能机顶盒。

6.5IPTV内容安全

IPTV内容安全在本标准中特指IPTV机顶盒及用户侧接入认证安全，需要满足以下要求：

a)设备应支持接入IP网络的安全认证；

b)设备应支持业务账号的安全认证；

c）设备应支持关键认证信息、敏感数据的加密传输;

d）设备应支持与IPTV认证服务器、业务服务器、智能语音平台等之间的双向认证功能；

e)设备宜支持数字版权保护，如DRM等；

f）设备宜支持防盗链功能，能够识别防盗链URL。

4

6.6数据安全

根据数据的生命周期，数据安全分为数据采集、数据传输、数据存储和使用、数据删除四个方

面：

6.6.1数据采集安全

数据采集安全要求如下：

a）智能机顶盒应在用户已知确认下，才能收集用户的数据，防止未向用户明示且未经用户同意，

收集用户数据的行为；

b）防范未经授权的下载、篡改、删除等操作，只有被授权的应用程序才能读取或修改数据，未经

授权的应用程序不能对数据进行操作。

6.6.2数据传输安全

数据传输安全要求如下：

a）针对传输重要数据被恶意篡改的风险，需要对重要数据的传输进行加密和完整性保护，保证传

输过程中重要数据的机密性和完整性；

b）智能机顶盒支持传输过程中的身份鉴别和认证。

6.6.3数据存储和使用安全

数据存储和使用安全如下：

a)识别智能机顶盒上的用户敏感数据，要求对敏感数据进行加密存储，不能以硬编码的形式存储在

智能机顶盒中；

b）智能机顶盒应支持数据可用性保障，支持数据备份和恢复的能力。

6.6.4数据删除安全

数据删除安全要求如下：

a）智能机顶盒在恢复出厂设置时应删除运行的数据和配置文件；

b）智能机顶盒在返厂维修时，支持数据被彻底删除，防止残留的数据信息被泄露或非法获取。

6.7个人信息安全

涉及个人信息的应符合GB/T35273的要求，例如收集到的语音样本、声纹信息、个人观看历史搜

索、节目收藏、视频通信记录等个人信息。

5

目次

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4缩略语.............................................................................1

5IPTV智能型机顶盒安全框架...........................................................2

6IPTV智能型机顶盒安全技术要求.......................................................2

6.1硬件安全.........................................................................2

6.1.1概述.........................................................................2

6.1.2硬件标识安全.................................................................2

6.1.3硬件接口安全.................................................................2

6.1.4芯片安全.....................................................................3

6.2系统安全.........................................................................3

6.2.1端口与服务安全...............................................................3

6.2.2漏洞与缺陷管理安全...........................................................3

6.2.3系统权限控制.................................................................3

6.2.4系统与固件升级安全...........................................................3

6.3应用软件安全.....................................................................3

6.3.1预置应用软件的安全...........................................................4

6.3.2第三方应用软件的安装安全.....................................................4

6.3.3应用软件的更新安全...........................................................4

6.4通信安全.........................................................................4

6.4.1协议的安全一致性要求.........................................................4

6.4.2协议的健壮性要求.............................................................4

6.4.3通信连接的安全...............................................................4

6.5IPTV内容安全.....................................................................4

6.6数据安全.........................................................................5

6.6.1数据采集安全.................................................................5

6.6.2数据传输安全.................................................................5

6.6.3数据存储和使用安全...........................................................5

6.6.4数据删除安全.................................................................5

6.7个人信息安全.....................................................................5

I

IPTV智能型机顶盒安全技术要求

1范围

本文件规定了IPTV智能型机顶盒的硬件安全要求、系统安全要求、应用层安全要求、通信连接安全

要求、数据安全要求、个人信息安全等。

本文件适用于IPTV智能型机顶盒，可指导IPTV智能型机顶盒的设计、研发和选型。其他智能型机顶

盒可参考使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T35273信息安全技术个人信息安全规范

3术语和定义

下列术语和定义适用于本文件。

3.1

IPTV智能型机顶盒IPTVsettopbox

具有智能操作系统的设备，可通过直接连接电视机和音响等播放设备向用户提供页面信息浏览、音

视频播放、应用、可视通信、媒体共享、游戏等交互式应用功能的多媒体终端，属于家庭网络中的一个

应用设备，通过家庭网关访问专用网络。

本文件所述智能机顶盒，如无特殊说明，均指IPTV智能型机顶盒，也可简称为机顶盒。

3.2

端口port

本文件特指TCP/IP协议中的端口，是逻辑意义上的端口。

4缩略语

下列缩略语适用于本文件。

APP安装在系统上的应用程序Application

JTAG联合测试工作组JointTestActionGroup

CNVD国家信息安全漏洞共享平台ChinaNationalVulnerabilityDatabase

CNNVD中国国家信息安全漏洞库ChinaNationalVulnerabilityDatabaseofInformation

DRM数字版权管理DigitalRightsManagement

USB通用串行总线UniversalSerialBus

1

YD/TXXXXX—XXXX

WLAN无线局域网WirelessLocalAreaNetworks

5IPTV智能型机顶盒安全框架

IPTV智能型机顶盒的安全框架主要由硬件安全、系统安全、应用软件安全、IPTV内容安全、通信

安全、和数据安全、个人信息安全七部分构成。其中：

a)硬件安全主要包括基础硬件模块（比如芯片）、硬件接口和外设等；

b)系统安全主要包括硬件驱动、软件系统内核、各种函数库、基础服务等；

c)应用软件安全主要包括运行于系统之上的应用软件；

d)IPTV内容安全主要指IPTV机顶盒接入的IPTV资源；

e)通信安全主要包括连接协议、通信端口；

f)数据安全主要包括智能机顶盒应用、系统、配置产生的数据；

g)个人信息安全指收集到的语音样本，声纹信息，个人观看历史搜索收藏、视频通信记录等信息。

IPTV智能型机顶盒安全框架如图1所示：

图1IPTV智能机顶盒安全框架

6IPTV智能型机顶盒安全技术要求

6.1硬件安全

6.1.1概述

智能机顶盒硬件安全主要指的是硬件标识、接口和芯片安全，尽量采用高安全级别的芯片，在出厂

前禁用芯片的调试端口，防止智能机顶盒被攻击者操控。

6.1.2硬件标识安全

硬件标识安全要求如下：

a)硬件整机应具备唯一性标识；

b)关键安全功能模块不应存在功能丝印标识，比如串口丝印等，防止攻击者通过丝印标识了解器

件特性和单板原理，从而加大攻击者识别硬件的难度。

6.1.3硬件接口安全