ICS35.080 L 77 中华人民共和国国家标准 GB/T36099—2018 基于行为声明的应用软件可信性验证 Application software trustworthiness verification based on behavior declaration 2018-10-01实施 2018-03-15发布 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T36099—2018 目 次 前言 1 范围 2 术语和定义 3 缩略语 应用软件行为声明内容要求 验证过程 5 应用软件可信性验证示例 6 附录A（资料性附录）应用软件可信性验证示例 SZIG GB/T36099—2018 前言 本标准按照GB/T1.1—2009给出的规则起草 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任 本标准由全国信息技术标准化技术委员会（SAC/TC28）提出并归口。 本标准起草单位：国家应用软件产品质量监督检验中心、中国电子技术标准化研究院、北京工业大 学、北京数字冰電信息技术有限公司。 本标准主要起草人：宋红波、梁勇、于学军、汪璞、李健、王坤、邓潇 GB/T360992018 基于行为声明的应用软件可信性验证 1范围 本标准适用于对个人计算机及移动信息处理设备上的应用软件进行可信性验证 2 术语和定义 下列术语和定义适用于本文件。 2.1 应用软件可信性 Eapplication software trustworthiness 应用软件实际行为与所声明行为的一致性。 2.2 行为声明behaviordeclaration 应用软件开发者对应用软件的敏感行为作出的明示承诺文件。 2.3 敏感行为 sensitivebehavior 以下一种或多种行为：可能侵犯应用软件的用户权利的行为、可能侵犯其他软件权利的行为，可能 影响其他软件运行的行为，可能引发用户无法预期的软硬件环境配置改变的行为 注：包括但不限于与设备相关、与配置相关、与数据相关、与环境相关的行为。 SZG 3 3缩略语 下列缩略语适用于本文件。 API：应用程序编程接口（ApplicationProgrammingInterface） TCP：传输控制协议（TransmissionControlProtocol) UDP：用户数据报协议（UserDatagramProtocol) XML：可扩展置标语言（ExtensibleMarkupLanguage) 4 应用软件行为声明内容要求 应用软件行为声明内容要求如下： a） 行为声明文件自身应具备完整性验证机制。行为声明文件中包括基于数字签名的自身完整性 验证方法，以防止对行为声明的篡改，确保行为声明的有效性。 b) 行为声明应具备对应用软件的版本和完整性进行验证的信息。行为声明包括应用软件的版 本验证机制和软件完整性验证机制，以防止对应用软件文件的篡改，同时防止将行为声明用 于非预期的软件版本， 行为声明应包括应用软件敏感行为清单。该清单描述应用软件运行中可能产生的敏感行为， c） 此处所述的敏感行为是指可能侵犯其用户权利的行为、可能侵犯其他软件权利的行为、可能影 1 GB/T36099—2018 对用户隐私数据的访问、对系统配置（例如操作系统配置数据）的访问、对网络的访问、对传感 器的访问、对外设（例如摄像头）的访问，以及对于其他用户关心的操作系统资源访问。 应用软件敏感行为清单中声明的每项敏感行为应包含以下各项： P 1）行为名称：给出可以简要表达行为含义的行为名称。 2) 行为标识：给出行为的唯一标识。 3） 行为触发条件：描述何种条件下会触发该行为。 4） 行为授权属性：指出所描述的行为是授权的行为（应用软件允许该行为的发生），还是禁 止的行为（应用软件不准许该行为的发生）。 5） 行为技术参数：对于需要使用一个或多个参数进行描述的行为，给出相应的参数值。对 于无需参数进行描述的行为，此项不适用。 6) 行为预期结果：对于需要指出行为产生的结果的行为，用于表明对结果的预期。若不需 要指出行为的预期结果，此项不适用。 e） 建议使用XML格式编写行为声明 5验证过程 5.1验证准备 应用软件在进行可信性验证前，按以下规程进行验证准备工作： 同时应具备软件行为监测手段。 b) 行为声明准备。按以下步骤准备行为声明： 1 从开发方取得与应用软件配套的行为声明文件。 2) 确定行为声明的合理性，在满足应用软件本身必须功能的前提下，不应包含与应用软件 功能无关的多余内容。 3）不 确定行为声明的充分性，即行为声明描述了软件中所包含的所有敏感行为 录要求。所包含的用例和外部数据可以引用相应的文件号。 2验证执行 5.2 应在符合5.1的条件下，依照验证方案进行验证工作。 5.3 验证报告 验证报告应符合如下要求： a)J 应反映受检应用软件在相应验证条件下的可信性验证结果。 b) 应对行为声明中敏感行为清单所列条目给出验证结果数据记录。 合格判定一一针对行为声明中描述的每个项目，比较验证结果与行为声明，若一致，则判定为 符合可信性要求；若不一致，则判定为不符合可信性要求。 形成报告一一将所有项目分析和合格判定的结果汇总，形成该应用软件的可信性验证报告 报告文本应包括下列内容： 验证工作基本信息描述：被测样品的名称、版本信息、软件开发单位信息、验证依据和执 行时间等信息 2） 被测样品的验证结果综述：主要描述被测样品在磁盘访问、操作系统配置数据访问、网络 2 GB/T36099—2018 访问、API调用等方面的验证结果。 3） 验证工具列表：工具名称、工具版本信息、工具用途等信息。 4) e 报告文本建议提供下列内容： 1) 可信性声明文件的内容； 2) 验证工具软件的原始数据导出结果。 应用软件可信性验证示例 6 在特定环境下对于应用软件部分项目的可信性验证示例参见附录A。 3 GB/T36099—2018 附录A （资料性附录） 应用软件可信性验证示例 A.1说明 本附录给出某种操作系统下的桌面应用软件可信性验证示例。 本附录依据第5章的要求，给出可信性验证准备环节的具体示例。验证执行环节和验证报告具有 较强的灵活性，由执行方自行设计。 A.2验证准备 A.2.1 验证环境准备 本示例的验证环境如图A.1所示。 被测软件 应用行为监测工具软件 虚拟机服务器 操作系统 虚拟机沙盒 图A.1验证环境示意图 验证环境由一台虚拟机服务器组成，服务器内部运行一个虚拟机沙盒，沙盒内是一个带有操作系统 的虚拟机环境，环境内部安装了被测软件和应用行为监测工具软件。系统配置如下： 虚拟机服务器硬件环境配置： a）CPU:4核8线程4.0GHz; b) 内存：64G； c) 硬盘：1T。 虚拟机服务器软件环境配置： 虚机沙盒服务软件：商用虚机服务器软件 a) 虚拟机沙盒硬件环境配置（虚拟硬件）： a) CPU:4核; b) 内存:16 G; c) 硬盘：50G。 4