OpenHarmonyOS操作系统技术规范(T-TJIMEIA 001—2022).pdf

《OpenHarmonyOS操作系统技术规范(T-TJIMEIA 001—2022).pdf》由会员分享，可在线阅读，更多相关《OpenHarmonyOS操作系统技术规范(T-TJIMEIA 001—2022).pdf（23页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、I天津市智能制造装备产业协会团体标准T/TJIMEIA 0012022O OpenHarmonypenHarmonyOSOS 操作系统技术规范操作系统技术规范版本号：V1.02022-6-25 发布2022-6-25 实施T/TJIMEIA 0012022I目次前言.III更新日志.IV1 范围.12 规范性引用文件.13 术语和定义.13.1 轻量系统类设备.13.2 小型系统类设备.13.3 标准系统类设备.13.4 非法升级.13.5 组件.23.6 设备姿态.23.7 敏感信息.24 符号和缩略语.25 操作系统架构.25.1 内核层.25.2 内核抽象层.25.3 硬件抽象层.35.

2、4 系统服务层.35.5 框架层.35.6 应用层.36 操作系统基本功能要求.36.1 操作系统对硬件的要求.36.2 操作系统基本能力要求.57 系统服务层要求.107.1 分布式管理服务.107.2 远程管理.117.3 多媒体.117.4 安全.12T/TJIMEIA 0012022II7.5 图形.127.6 云服务.127.7 定位.127.8 事件通知.127.9 运行时.127.10 公共基础库.137.11 DFX 子系统.148 安全技术要求.148.1 系统安全.148.2 数据安全.158.3 设备互联安全.158.4 应用安全.158.5 防火墙管理.168.6 安全

3、升级.168.7 系统漏洞检查与修复.168.8 系统接口访问控制.168.9 日志记录要求.168.10 截屏录屏保护.168.11 密钥管理.168.12 通信安全.168.13 调试安全.168.14 系统配置.179 组件库.179.1 总述.179.2 组件要求.179.3 组件框架要求.179.4 组件接口要求.17T/TJIMEIA 0012022III前言本文件按照 GB/T 1.12020标准化工作导则 第 1 部分：标准化文件的结构和起草规则的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由天津市智能制造装备产业协会标准化技术

4、委员会提出并归口。本文件起草单位：中国电子技术标准化研究院、北京中软国际信息技术有限公司、深圳开鸿数字产业发展有限公司、解放号网络科技有限公司、天津福臻工业装备有限公司、华海清科股份有限公司、天津市中重科技工程有限公司、天津市天锻压力机有限公司、施耐德梅兰日兰低压（天津）有限公司工厂、天津福莱迪科技发展有限公司本文件主要起草人：张兆生、翁鹏珍、袁景城、张昭、吴佩军、华承昌、姚远、武小明、王同庆、马冰冰、杜立峰、隋岩、郑智淞、朱奎峰、鲁永胜、于海辉、陈卫东、王龙、张海龙T/TJIMEIA 0012022IV更新日志版本号：版本号：V1.0V1.0发布时间：2022 年 6 月，首次发布。GB/T

5、 34980.120171O OpenHarmonypenHarmonyOSOS操作系统技术规范操作系统技术规范1范围本标准规定了服务终端操作系统的相关技术要求，包括对操作系统架构、操作系统基本功能、接口层、系统服务层、安全技术和组件库的要求等。本标准适用于操作系统研发商、终端机具生产企业、应用软件研发方、终端相关系统集成商等数字化服务终端产业参与方进行操作系统相关工作时的设计、开发和测试等。对于支持业务发展各类创新形态的终端，结合具体适用场景及需求对应满足终端设备相关安全技术要求。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注

6、日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T 13000信息技术通用多八位编码字符集(UCS)GB/T 152721994程序设计语言CGB 18030信息技术中文编码字符集GB/T 18031 信息技术数字键盘汉字输入通用要求GB/T 21023 中文语音识别系统通用技术规范3术语和定义3.1轻量系统类设备最小内存为 4MiB 以下的硬件设备。3.2小型系统类设备最小内存为 4MiB 至 512MiB 的硬件设备。3.3标准系统类设备最小内存为 512MiB 以上的硬件设备。3.4非法升级用户通过自行修改的安装包进行升级的方式，非终端管理机构或其授权机构的管控下进行的

7、升级。GB/T 34980.1201723.5组件在系统层独立运行的程序，是操作系统的组成部分，预装到出厂终端设备中，并可以更新。3.6设备姿态对传感器产生的数据进行计算后得到的设备在空间中的姿态。3.7敏感信息包括但不限于磁道信息、持卡人 PIN、所有的私有密钥、终端运行状态信息等。4符号和缩略语SSL安全套接字层协议（Secure Sockets Layer）GNSS全球导航卫星系统（Global Navigation Satellite System）KAL内核抽象层（Kernel Abstract Layer）HAL硬件抽象层（Hardware Abstract Layer）OTA空中

8、下载（Over The Air）5操作系统架构操作系统的整体架构如图1所示。图 1 操作系统架构图5.1内核层操作系统应支持轻量、小型、标准的各类设备，支持不同形态的内核。5.2内核抽象层GB/T 34980.120173操作系统具备内核抽象层，通过内核抽象层屏蔽多内核差异，对上层提供基础的内核能力，包括进程管理、线程管理、内存管理、文件系统、网络管理和外设管理等。5.3硬件抽象层操作系统具备硬件抽象层，并提供统一的驱动框架、驱动模型和驱动接口。5.4系统服务层操作系统具备系统服务层，系统服务层是系统核心能力的集合。操作系统通过系统服务层对应用程序提供服务。系统服务层，包含以下几个部分：5.4

9、.15.4.1系统基本能力子系统集系统基本能力子系统集为分布式应用在多设备上的运行、调度、迁移等操作提供了基础能力，由网络管理子系统、应用程序子系统、分布式软总线、多模输入子系统、图形子系统、安全子系统、AI 等子系统组成5.4.25.4.2基础软件服务子系统集基础软件服务子系统集提供公共的、通用的软件服务，由电话子系统、转网接入、多媒体子系统、账号子系统、MSDP&DV 子系统、DFX（Design For X）等子系统组成5.4.35.4.3OS 增强软件服务子系统集增强软件服务子系统集由位置服务子系统、安全子系统、软总线增强子系统、通讯协议增强等子系统组成。5.4.45.4.4OS 特性

10、增强子系统集特性增强子系统集提供针对不同设备的、差异化的能力增强型软件服务，由金融业务子系统集、教育业务子系统集、交通业务子系统集等子系统组成。5.5框架层框架层为应用开发提供了 C/C+/JS 等多语言的用户程序框架和 Ability 框架，适用于 JS语言的 ArkUI 框架，以及各种软硬件服务对外开放的多语言框架 API。根据系统的组件化裁剪程度，设备支持的 API 也会有所不同。5.6应用层操作系统包含部分系统应用，同时能够支持安装第三方非系统应用。在标准系统类设备中，操作系统默认提供桌面、系统 UI、设置等系统应用。6操作系统基本功能要求6.1操作系统对硬件的要求GB/T 34980

11、.1201746.1.16.1.1内存及存储器操作系统能支持内存大小从百 KiB 到 GiB 级别的各类终端设备。轻量系统（mini system）面向 MCU 类处理器例如 Arm Cortex-M、RISC-V 32 位的设备，硬件资源极其有限，支持的设备最小内存为 128KiB，可以提供多种轻量级网络协议，轻量级的图形框架，以及丰富的 IOT 总线读写部件等。可支撑的产品如智能家居领域的连接类模组、传感器设备、穿戴类设备等。小型系统（small system）面向应用处理器例如 Arm Cortex-A 的设备，支持的设备最小内存为 1MiB，可以提供更高的安全能力、标准的图形框架、视频

12、编解码的多媒体能力。可支撑的产品如智能家居领域的 IP Camera、电子猫眼、路由器以 及智慧出行域的行车记录仪等。标准系统（standard system）面向应用处理器例如 Arm Cortex-A 的设备，支持的设备最小内存为 128MiB，可以提供增强的交互能力、3D GPU 以及硬件合成能力、更多 控件以及动效更丰富的图形能力、完整的应用框架。可支撑的产品如高端的冰箱显示屏。6.1.26.1.2外设接口操作系统能够支持外接各类终端外设；如：鼠标、键盘、摄像头、MIC、北斗/GPS、各类传感器 以及支持 I2C、GPIO、RS232RS485、TTL、OTG、I/O、USB、4G 等

13、数据接口A.当终端设备具备触摸屏幕时，支持以下输入接口：(1)触摸屏提供手势识别和多点触摸接口，包括:点击、双击、长按、滑动手势接 口，对于具有压力感应能力的触控屏，提供手势触摸按压屏幕的力度大小的识别接口；(2)键盘、虚拟键盘，提供键盘接口；(3)按键，提供开关机、休眠、音量控制按键和接口；(4)声音采集设备，提供声音采集接口；(5)图像釆集设备，提供图像和视频采集接口；(6)生物特征识别设备，提供生物特征识别接口，提供与安全措施关联的接口。B.当终端设备具备触摸屏幕时，支持以下输出接口：(1)显示屏，提供图形化内容输出接口，包括 2D 处理、3D 处理和视频解码；(2)震动马达,提供对设备

14、震动时间，频率等进行控制的接口；(3)呼吸灯，提供对呼吸灯亮度，颜色，点亮时间，持续时间，闪烁频率等进行控制的接口；(4)闪光灯，提供对闪光灯开/关，闪烁频率等进行控制的接口；(5)扬声器，提供音频输出接口。GB/T 34980.1201756.2操作系统基本能力要求6.2.16.2.1硬件互助，资源共享分布式软总线分布式软总线是多设备终端的统一基座，为设备间的无缝互联提供了统一的分布式通信能力，能够快速发现并连接设备，高效地传输任务和数据。分布式数据管理分布式数据管理位于基于分布式软总线之上的能力，实现了应用程序数据和用户数据的分布式管理。用户数据不再与单一物理设备绑定，业务逻辑与数据存储分

15、离，应用跨设备运行时数据无缝衔接，为打造一致、流畅的用户体验创造了基础条件分布式任务调度分布式任务调度基于分布式软总线、分布式数据管理、分布式 Profile 等技术特性，构建统一的分布式服务管理（发现、同步、注册、调用）机制，支持对跨设备的应用进行远程启动、远程调用、绑定/解绑、以及迁移等操作，能够根据不同设备的能力、位置、业务运行状态、资源使用情况并结合用户的习惯和意图，选择最合适的设备运行分布式任务设备虚拟化分布式设备虚拟化平台可以实现不同设备的资源融合、设备管理、数据处理，将周边设备作为手机能力的延伸，共同形成一个超级虚拟终端。6.2.26.2.2应用多端部署操作系统提供跨平台的用户程

16、序框架，多终端软件平台 API 具备一致性，确保程序的运行兼容性，实现应用一次开发，多端部署。操作系统提供多种响应式 UI 布局方案，支持栅格化布局，满足不同屏幕的界面适配能力。6.2.36.2.3操作系统弹性部署操作系统支持轻量、小型、标准的各类设备，操作系统采用组件化和模块化设计与实现，支持根据硬件资源的大小，按需组合实现弹性部署。6.2.46.2.4基础管理能力及功能要求操作系统支持用户账号管理、应用管理、人机交互管理、传感器功能、CPU 管理、电源管理、网络通讯功能、安全管理、系统信息查看、资源管理、显示管理、网络管理、位置信息管理、时间日期管理、语言与输入法、桌面和图标管理、恢复管理

17、、日志管理功能。GB/T 34980.1201766.2.4.16.2.4.1操作系统支持用户账号管理功能：A.设置用户信息；B.设置用户登录方式；C.设置登录验证失败条件，当登录验证失败时采取安全措施防止暴力破解和用户信息泄露，如锁 定系统、强制恢复出厂设置、位置报警等。6.2.4.26.2.4.2根据终端设备形态配置，提供以下应用管理功能：A.配置和管理程序,包括：(1)网络配置，配置网络可用性和参数；(2)设备管理，显示设备、声音设备、存储设备、电池的信息查看和参数设置；(3)主题管理,配置界面主题、字体、音效等个性化参数；(4)隐私和安全管理，配置权限、通知、定位、安全等参数；(5)系

18、统管理,配置系统时间、显示语言、输入法等。B.系统更新程序。C.浏览器程序,支持：(1)页面缩放；(2)当设备支持通信功能时，移动通信网络流量控制；(3)对进入和退出安全连接给出提示信息；(4)允许和禁止脚本与插件；(5)清除缓存、历史记录、Cookie 数据、表单数据、网站访问密码。D.音频播放程序。E.视频播放程序。F.图片管理程序。G.时钟程序，包括定时器、秒表。H.文件管理程序。I.日历程序。J.计算器程序。K.支持日程管理或备忘录程序：(1)条目添加后默认为进行状态；(2)允许设置条目的状态，包括进行状态和完成状态；(3)可在条目中添加图片、语音等多媒体内容；当条目状态由进行状态变为

19、完成状态时,可査找和删除备忘录条目中的图片、语音等多媒 体内容。L.当设备支持语音通话功能时，提供语音通话程序M.当设备支持移动通信功能时，提供短消息程序N.当设备支持通信功能时，提供通讯录程序6.2.4.36.2.4.3支持以下 CPU 内置管理功能：A.多核处理器技术；B.CPU 频率动态调节；C.CPU 安全功能；GB/T 34980.120177D.CPU 温度获取。6.2.4.46.2.4.4电源管理提供以下电源管理功能：A.全局状态切换：(1)正常状态；(2)待机状态；(3)适用时，支持休眠状态。B.耗电监测：(1)芯片组；(2)存储设备；(3)显示设备；(4)网络设备；(5)操作

20、系统；(6)应用程序。C.电池设备：(1)电池电量监测；(2)充放电状态监测；(3)充放电管理。6.2.4.56.2.4.5网络当设备适用时，支持以下网络通信功能：A.移动通信网络；B.移动数据业务；C.无线局域网；D.短距通信；注：典型的个域网如蓝牙、ZigBee 等。E.近场通信。注：典型的近场通信如 RFID、NFC 等。6.2.4.66.2.4.6安全与隐私提供以下安全与隐私管理功能，并通过应用管理软件实施到应用中:A.系统安全,包括：(1)系统更新的防篡改检查；(2)网络设备和无线设备的访问控制。B.应用安全：(1)应用的防篡改检査；(2)应用访问权限的禁止与许可；(3)应用安装后，

21、缺省禁止应用申请敏感权限，如通讯录、网络等；(3)允许用户选择禁止应用申请的权限C.当终端设备具有通信功能时，提供通信安全,包括：(1)通信加密功能；GB/T 34980.120178注 1：如短信加密,通话语音加密，无线接入加密等。(2)对包含敏感信息的消息添加隐私标记；(3)用户隐私数据访问控制；(4)存储设备访问控制；(5)识别和拦截骚扰电话和短信；(6)允许用户设置电话和短信黑名单。D.当终端设备具有通信功能时，提供数据安全，包括：(1)可信白名单管理；(2)黑名单管理和来电、短信的拦截；(3)识别短信中的时间，地点，验证码等信息,并提示用户；(4)根据记录识别特殊号码对应的应用；(5

22、)识别特殊短信号码发送的验证码短信；(6)禁止恶意应用读取验证码等特殊短信；(7)只允许验证码短信对应的应用读取验证码短信；(8)允许用户设置自动销毁验证码短信。E.当终端设备具有通信功能时，提供免打扰模式，包括：(1)在免打扰模式下接收到通知时，不以震动或铃声方式提示用户；在免打扰模式下接收到电话时,拒接电话；(2)允许用户设置免打扰模式白名单；注 3：如接收到白名单用户来电或短信时，震动或响铃提示用户。(3)提供免打扰模式自动开启和结束的功能,允许用户设定相关的时间。F.当终端设备具有通信功能时，提供移动数据业务流量保护,包括：(1)限制应用在后台运行时对流量的使用；(2)流量提示功能；注

23、：典型的流量提示功能为在一个支持分享功能的应用程序内，当用户触发分享一个内容的操作时，确定加载该内容所需的流量值,并显示在待发送界面的输入框中；当检测到用户确定分享该内容 和流量值后，发送该内容与流量值;提示用户打开接收到的分享内容所需的流量值。其中，分享的 内容包括视频文件，音频文件，图片或网页等。(3)后台应用程序的智能化关闭功能；注：典型的后台应用程序的智能化关闭功能为后台运行的一个或多个应用程序的流量消耗超过预设 数值时，系统将获取该应用程序的启动时刻和运行时长；根据该应用程序的启动时刻和运行时长 以及终端中所有应用的使用概率确定该应用程序的使用概率;如果该应用程序的使用概率低于预 设

24、的阚值,则关闭该应用程序。G.隐私保护：(1)用户隐私数据访问控制；(2)存储设备访问控制。6.2.4.76.2.4.7工具链环境提供面向应用程序开发的软件开发工具链。GB/T 34980.120179注：工具链一般包括编译器环境、IDE、镜像烧录工具等。6.2.4.86.2.4.8脚本自动化测试框架及测试代码实现脚本等。6.2.4.96.2.4.9工具库提供以下功能接口，并提供面向应用程序开发的详细文档：日期时间的操作；图形用户界面（GUI）库；2D 图形库；3D 图形库；视频操作；音频操作；设备的应用编程接口。6.2.4.106.2.4.10可靠性要求失效解决和故障排除提供在系统发生软件失

25、效或故障后的失效解决方案或故障排除方案。6.2.4.116.2.4.11恢复出厂状态提供还原到岀厂状态的功能：A.当设备设置了访问密码时，选择恢复出厂状态输入正确的访问密码；B.用户选择恢复出厂状态后,应当删除所有用户生成数据，删除所有用户安装的应用，恢复所有 用户更改的配置。6.2.4.126.2.4.12恢复出厂设置提供还原到出厂设置的功能。6.2.4.136.2.4.13备份和恢复包括：A.提供系统备份和恢复功能；B.提供自动备份功能；C.提供本地数据备份和恢复功能；D.提供远程数据备份和恢复功能。6.2.4.146.2.4.14帮助系统应提供：A.系统功能说明；B.自带应用程序的功能说

26、明；C.基本操作的互动指引；6.2.4.156.2.4.15时间特性从以下方面评价系统的时间特性：A.响应时间：(1)系统启动时间；(2)应用启动时间；(3)返回主界面时间。流畅度。GB/T 34980.12017106.2.4.166.2.4.16故障诊断工具提供故障诊断工具。故障诊断工具一般包括故障信息收集、与故障相关的资源状态信息收集、与 上位机之间的通信等。6.2.4.176.2.4.17事件监控工具提供事件监控工具。事件监控工具一般包括对系统启动、软件安装卸载、设备加载与卸除等。6.2.4.186.2.4.18系统升级管理提供以下升级功能的支持：A.在线版本査新；B.在线升级；C.二

27、进制镜像升级；D.提供局域网连接下闲时自动更新；E.当升级的系统禁止版本回退时，明确给出提示。6.2.56.2.5分布式管理操作系统具备分布式管理能力，实现各类终端设备的互联互通、设备管理以及应用协同。分布式管理能力包括分布式软总线、分布式数据管理及分布式任务调度能力。6.2.66.2.6安装包管理操作系统提供安装包管理能力，包括但不限于安装包的安装、更新、存储、卸载和信息查询等。6.2.76.2.7可移植性操作系统具有可移植性，保证系统可移植到不同的芯片平台上。6.2.86.2.8版本可验证操作系统具备获取系统版本信息的接口，包括系统符合的标准版本、系统开发商、系统版本号、系统发布日期、系统

28、适配的芯片型号、芯片厂商、模组厂商、终端厂商等。6.2.96.2.9版本可维护操作系统提供运行时系统日志功能，能记录用户操作和故障信息。7系统服务层要求7.1分布式管理服务7.1.17.1.1总述轻量系统类设备、小型系统类设备可根据设备能力，进行分布式管理服务功能配置；标准系统类设备，满足分布式管理服务要求。7.1.1.17.1.1.1分布式软总线GB/T 34980.1201711操作系统提供与其他设备之间的分布式软总线能力组件，为设备间的无缝互联提供统一的分布式通信能力，能够快速发现并连接设备，高效地传输任务和数据。7.1.1.27.1.1.2分布式任务调度操作系统具备分布式任务调度能力。

29、构建统一的分布式服务管理机制，支持对跨设备的应用进行远程启动、远程调用、绑定/解绑、以及迁移等操作。根据不同设备的能力、位置、业务运行状态、资源使用情况并结合用户的习惯和意图，选择最合适的设备运行分布式任务。7.1.1.37.1.1.3分布式数据管理操作系统具备分布式数据管理能力，可以实现应用程序数据和用户数据的分布式管理。系统应支持单设备结构化数据的持久化储存，支持跨设备间数据的同步、共享以及搜索功能。7.1.1.47.1.1.4硬件虚拟化操作系统支持设备虚拟化功能，提供本地设备虚拟化和跨设备虚拟化能力，提供虚拟化设备的访问和管理功能。7.2远程管理7.2.1.17.2.1.1总述操作系统提

30、供对小型及标准系统类设备的远程管理能力。7.2.1.27.2.1.2远程 OTA 升级操作系统提供对设备远程升级的能力，支持全包升级和差分包升级。操作系统确保升级过程的完全性，支持对升级包完整性和安全性校验。7.2.1.37.2.1.3远程协助操作系统提供对设备远程协助的能力，支持远程对设备进行诊断、调试、控制等。7.2.1.47.2.1.4位置监管操作系统提供对设备远程获取实时位置的能力。7.2.1.57.2.1.5远程投屏操作系统提供对设备远程投屏的能力。7.2.1.67.2.1.6远程终端状态获取操作系统提供对设备远程状态获取的能力。7.2.1.77.2.1.7远程应用安装操作系统提供对

31、设备远程安装应用的能力。7.3多媒体GB/T 34980.1201712操作系统提供音视频播放、录制及相机等多媒体能力。7.4安全操作系统提供安全启动、应用程序验签、密钥管理、证书管理等安全组件。7.5图形操作系统提供图形功能组件，为应用层实现各种图形界面。7.6云服务操作系统提供与云服务平台对接的相关支持组件。7.7定位操作系统提供构建全球化定位服务能力，支持北斗定位。7.8事件通知操作系统提供订阅、发布、退订公共事件的能力。7.9运行时7.9.17.9.1安全环境对于轻量和小型系统，操作系统提供应用程序安全运行环境，包括但不限于内存安全访问，进程或线程用户态和内核态隔离，数据存储隔离。对于

32、标准系统，操作系统提供可信执行环境，负责敏感数据保护。7.9.27.9.2生命周期操作系统提供终端生命周期、应用生命周期、安装包生命周期管理。7.9.2.17.9.2.1终端生命周期终端在生命周期内，可分为开机、关机、待机、断电、锁定等状态。终端可根据业务功能或者用户的需求，在不同的状态下进行切换。系统服务层具备以下功能：1、开关机服务：提供开关机服务。2、设备状态异常处理服务：用于保存系统状态，在设备断电的突发情况下保证终端设备数据的安全和完整。3、待机和唤醒服务：需根据业务功能保持终端状态是亮屏和灭屏，唤醒时需要进行设备安全认证。4、锁定服务：判断特殊情况，选择将系统进入锁定状态，并不可操

33、作。设备受到攻击时，系统立即进入不可用状态，且具有明显的锁定提示，锁定状态下通过联机激活可恢复使用。7.9.2.27.9.2.2应用生命周期GB/T 34980.1201713应用生命周期指的是从应用程序从创建到消亡的过程。在应用生命周期中，应用程序的状态包括前台程序、可见程序、服务程序、后台程序、空程序等。应用程序的状态切换动作是原子的。系统服务层应提供应用管理服务，管理应用运行关系、调度应用生命周期及状态的系统服务，保证应用在生命周期内的一系列操作。7.9.2.37.9.2.3安装包生命周期安装包的生命周期包括从安装包下载到系统，安装、校验、卸载的整个过程。安装包包括应用安装包和系统安装包

34、。系统服务层应提供以下服务程序，用于包的生命周期管理：1、包扫描服务：系统需要解析本地预制或者安装的安装包，提取信息，提供管理子模块进行管理，持久化；2、包安装卸载服务：包安装卸载功能主要是用于创建、删除安装目录和数据目录等，需要具有较高的系统权限；3、包管理服务：对外提供的包信息查询接口，有安装/卸载接口、包信息查询接口、包状态变化监听接口；4、包安全管理服务：包的校验过程主要包含签名检查、权限授予、权限管理。7.9.37.9.3内存管理对于轻量和小型系统，操作系统提供应用运行过程中对内存、进程或线程调度的管理和优化机制，包括但不限于采取虚拟化技术对内核的任务调度和内存管理进行优化调整。对于

35、标准系统，操作系统提供应用运行过程中对内存的管理，包含内存的分配、释放、垃圾回收等。7.9.47.9.4事务操作操作系统提供对数据库和存储等事务原子性的操作。7.9.57.9.5逻辑通道操作系统提供设备间应用通信运行环境。7.9.67.9.6安全传输通道操作系统提供安全传输通道的创建及关闭能力，基于SSL等协议提供加密的安全传输通道运行环境，支持SM算法的证书和通道建立。7.10公共基础库操作系统通过系统公共基础库提供通用的基础组件，组件提供的接口和定义可被操作系统各业务子系统及上层应用所使用。操作系统提供内存管理、进程管理、文件系统管理、设备与驱动管理等通用基础组件。操作系统支持 Types

36、cript/Javascript 运行库。GB/T 34980.12017147.11DFX 子系统DFX功能属性能力包含日志系统、应用和系统事件日志接口、事件日志订阅服务、故障信息生成采集等功能。HiLog 流水日志，轻量系统类设备（参考内存128KB）、小型系统类设备（参考内存1MB）、标准系统类设备（参考内存128MB）适用HiTrace 分布式跟踪，标准系统类设备（参考内存128MB）适用HiCollie 卡死故障检测，标准系统类设备（参考内存128MB）适用HiSysEvent 系统事件埋点，标准系统类设备（参考内存128MB）适用HiChecker 缺陷扫描，标准系统类设备（参考内

37、存128MB）适用HiDumper 信息导出，标准系统类设备（参考内存128MB）适用Faultlogger 崩溃故障检测，标准系统类设备（参考内存128MB）适用8安全技术要求8.1系统安全8.1.18.1.1进程和数据隔离8.1.1.18.1.1.1轻量和小型系统对内存划分安全区与非安全区，系统应用和第三方应用按权限读写不同内存区，实现进程或线程数据读写隔离；对存储划分安全区与非安全区，系统应用和第三方应用和数据按权限安装或存储在不同区域。8.1.1.28.1.1.2标准系统应用和系统服务运行在独立的沙箱中，进程空间和程序数据应是相互隔离的。8.1.28.1.2权限管理与访问控制操作系统允

38、许合法用户以用户或用户组的身份访问策略规定的数据或进程，并阻止非授权用户访问。8.1.2.18.1.2.1轻量和小型系统基于轻量和小型文件系统，对进程、线程、文件增加身份访问认证、权限管控和安全访问策略功能，实现合法进程或线程安全访问数据。8.1.2.28.1.2.2标准系统系统应具备自主访问控制能力，文件权限由文件拥有者来决定其他角色的访问权限。系统应对用户层访问内核的特权级系统调用进行限制：仅允许部分高权限应用进行特权GB/T 34980.1201715操作；对各应用框架进行相应的降权操作，为各应用保留必须的特权能力。系统应具备域模型的强制访问控制能力，定义进程如何相互交互以及与各种系统资

39、源进行交互的权限。8.1.2.38.1.2.3访问控制策略应用程序必须要遵循权限最小化原则：禁止应用程序使用系统特权。支持主体分级安全等级定义，支持客体分级安全等级定义。默认禁止低安全等级的主体访问高安全等级的客体。禁止对外提供服务的和能够被远程访问的进程使用 root 账户（或等同）权限运行。支持远程服务沙箱隔离，降低远程服务攻击造成的风险。8.1.38.1.3安全启动系统启动过程应能确保启动安全性，防止非法的系统启动运行。8.2数据安全系统应确保数据传递过程中的数据安全性，无法对传递数据进行修改，在数据传递结束、等待操作超时或取消传递后，应立即清除系统内部所有缓存的敏感数据。8.3设备互联

40、安全若设备之间支持快速互联，应确保互联设备之间数据传输的机密性、真实性及完整性。8.3.18.3.1互信关系建立应使用符合密码学要求的安全的生成方法生成认证凭据。应确保设备认证凭据交换的安全性。8.3.28.3.2设备间通信连接应基于在互信关系建立阶段交换的认证凭据完成通信连接认证。应采用国际标准协议或业界通用协议建立安全连接。完成认证后，应对传输的数据进行加密，包括但不限于使用会话密钥等方式。8.4应用安全应用应被合法签名后才能安装，应用安装时应验证平台或运维方的签名信息，如验证不通过，则拒绝安装更新。应用应使用合法密钥进行签名，不得使用已泄露的或公开的密钥进行签名。应用签名证书应由应用根证

41、书或下级证书签发，只有通过初始化应用根证书的系统，才能安装该证书体系下签发的应用。系统应对应用的访问权限进行控制，禁止访问非交易所必须的组件或服务。GB/T 34980.1201716应用程序若切换到后台，运行一段时间后应自动挂起，特殊需求业务可申请特殊接口或权限。8.5防火墙管理系统应内置防火墙应用，并可通过防火墙设置应用对网络的访问权限，未开启访问权限的应用应禁止访问网络。8.6安全升级系统应能防止用户非法升级，应进行完整性和真实性验证。8.7系统漏洞检查与修复应定期检查当前系统版本的漏洞，对漏洞进行维护和追踪；应修复当前系统版本公开的高危和严重漏洞，宜修复影响交易的中危和低危漏洞；漏洞补

42、丁的更新应有对应的日志记录。8.8系统接口访问控制系统应提供唯一标识加密的 API 接口，系统应提供 API 接口权限控制，保证未经授权应用无法调用该 API 接口；系统未使用的 API 接口在发布时必须被禁用，包括硬件接口、逻辑 API 接口和虚拟接口；在发布版本中，禁用不必要的 USB 模式或提供选配能力。8.9日志记录要求若系统提供本地日志记录功能，日志信息中应不含敏感信息。本地日志记录功能应出厂默认关闭，避免非法用户通过日志获取关键信息。若系统提供远程日志获取功能，日志信息中应不含敏感信息，系统应对日志提取进行权限控制，确保只有授权用户才能使用。8.10截屏录屏保护在交易过程中，系统应

43、禁用截屏录屏功能，防止通过截屏录屏获取敏感信息。8.11密钥管理系统不应存在明文密钥输出的接口。明文密钥或私钥不应固化在系统代码中。8.12通信安全系统应明确声明支持的所有公共域协议和接口，应修复已知的安全漏洞。系统所使用的安全协议应能确保在网络上发送数据的机密性和完整性。8.13调试安全GB/T 34980.1201717系统调试接口在发布时应被禁用或授权控制，应确保无法通过调试方法获取敏感信息。8.14系统配置系统应仅包含必须的组件和服务，被安全的配置并运行于最小的特权。系统应完全移除非必须的应用。内核和驱动应被安全的配置为仅支持特定和必要的功能。9组件库9.1总述组件库是组件的管理体系，

44、包含组件的注册、安全性验证、访问权限控制等功能。操作系统采用组件库来进行组件管理。9.2组件要求9.2.19.2.1可靠性组件应保证可靠性，应能持续运行不出现异常情况，包括但不限于超时、内存泄露。9.2.29.2.2独立性组件间应保证独立性，应具备组件隔离机制，确保一个组件不能影响其他应用程序或操作系统。9.2.39.2.3版本兼容性组件更新升级后，应确保组件及依赖其的应用程序能够正常运行。9.2.49.2.4安全性系统应保证组件在安全的环境运行。9.2.59.2.5可扩展性组件数量应具备可扩展性，应不受开发方式等因素限制；组件能力应具备高扩展性，应确保组件整体能力持续扩展和稳定提升。9.3组件框架要求9.3.19.3.1基础管理系统采用的组件框架应具备管理组件能力。9.3.29.3.2日志管理组件运行期间提供记录日志功能，日志信息中不应含有敏感信息。日志记录功能应设置详细程度等级及读取权限，确保非授权用户无法获取日志信息。9.4组件接口要求GB/T 34980.12017189.4.19.4.1健壮性组件及 API 接口应经过严格的测试，不因在特定的环境下运行异常。若确有异常，应明确异常被正常抛出，由被调用者捕获处理。9.4.29.4.2性能要求组件接口应满足不同业务种类所要求的响应时间。