GBT 43969-2024 智能语音控制器通 用安全技术要求

智能语音控制器通用安全技术要求2024-04-25发布2024-11-01实施国家市场监督管理总局国家标准化管理委员会I 12规范性引用文件 13术语和定义、缩略语 1 35技术要求 36检测方法 8附录A(规范性)语音性能测试要求 参考文献 图A.1客厅噪声类型1频率分析示例 图A.2客厅噪声类型2频率分析示例 图A.3客厅噪声类型3频率分析示例 图A.4厨房噪声类型1频率分析示例 图A.5厨房噪声类型2频率分析示例 图A.6厨房噪声类型3频率分析示例 图A.7卧室噪声类型1频率分析示例 图A.8卧室噪声类型2频率分析示例 图A.9卧室噪声类型3频率分析示例 图A.10浴室噪声类型1频率分析示例 图A.11浴室噪声类型2频率分析示例 图A.12浴室噪声类型3频率分析示例 图A.13阳台噪声类型1频率分析示例 图A.14阳台噪声类型2频率分析示例 图A.15阳台噪声类型3频率分析示例 图A.16居中、靠墙、角落布局示意图 表1唤醒失败率要求 5表2二次唤醒失败率要求 5表3命令字识别异常率要求 5表A.1推荐的测试场地空间尺寸 表A.2典型家居场景噪声 表A.3原始声场、再现声场各频段的幅值及相位误差 表A.4家用电器的测试位置和拾音距离推荐 ⅢGB/T43969—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国电器工业协会提出。本文件由全国家用自动控制器标准化技术委员会(SAC/TC212)归口。本文件起草单位：广东美的制冷设备有限公司、中国电器科学研究院股份有限公司、广东中创智家科学研究有限公司、青岛海尔科技有限公司、海信空调有限公司、珠海格力电器股份有限公司、松下家电(中国)有限公司、博西华电器(江苏)有限公司、飞利浦家电(中国)投资有限公司、青岛国创智能家电研究院有限公司、科大讯飞股份有限公司、中移(杭州)信息技术有限公司、威凯检测技术有限公司、深圳市凯度电器有限公司、美的集团股份有限公司、广州朗国电子科技股份有限公司、佛山市国星光电股份有限公司、宁波奥克斯电气股份有限公司、上海科慕电器有限公司、宁波方太厨具有限公司、浙江绍兴苏泊尔生活电器有限公司、青岛海尔全屋家居有限公司、海信(广东)空调有限公司、美的集团(上海)有限公司、湖北美的电冰箱有限公司、中山市科卓尔电器有限公司、浙江迈新科技股份有限公司、珠海雷特科技股份有限公司、珠海迈科智能科技股份有限公司、青岛海信日立空调系统有限公司、广州华凌制冷设备有限公司、广东美的厨房电器制造有限公司、杭州星帅尔电器股份有限公司、青岛海尔智能技术研发有限公司、浙江哈尔斯真空器皿股份有限公司、小熊电器股份有限公司、广东格兰仕集团有限公司、深圳市酷开网络科技股份有限公司、中山市奥创通风设备有限公司、深圳市东陆科技有限公司、浙江飞哲工贸有限公司、广东万和新电气股份有限公司、中国家用电器研究院、常州福兰德电器有限公司、厦门华联电子股份有限公司、代傲电子控制(南京)有限公司、杭州老板电器股份有限公司、浙江摩根智能技术有限公司、嘉兴威凯检测技术有限公司、箭牌家居集团股份有限公司、惠州雷士光电科技有限公司、追觅创新科技(苏州)有限公司、宁波欧知电器科技有限公司、广东当家人智能电器有限公司、汕头市天际电器实业有限公司、深圳市轻生活科技有限公司、深圳拓邦股份有限公司、智恒(广东)家用电器科技有限公司、三门康创电子科技有限公司、江阴市志骏电器线缆有限公司、广东超勇检测技术有限公司、肇庆博涵体育用品有限公司、九牧厨卫股份有限公司、浙江森歌智能厨电股份有限公司、北斗星智能电器有限公司、广东锦亚科技有限公司、广东众星电器有限公司、平湖李挺机械制造有限公司、浙江安雅智能科技有限公司、山东遥思智能科技有限公司、中山市至拓智能控制系统有限公司、义乌市全义模具产业发展有限公司、浙江纺织服装职业技术学院、苏州上声电子股份有限公司、深圳市猿人创新科技有限公司、珠海进田电子科技有限公司、浙江协美科技有限公司、深圳市维尔晶科技有限公司、北京安声科技有限公司、联友智连科技有限公司、广东合捷电器股份有限公司、赣州得辉达科技有限公司。本文件主要起草人：霍伟明、田云龙、张明珠、孔睿迅、别清峰、范凌云、周小俊、李玲、沈援海、张作强、杨志强、李强、温燕斌、高羽、李辉、卢鉴恩、姜正荣、何振超、缪克良、张文强、颜林、胡子坚、IV智能语音是指智能控制系统通过机器感知技术实现声音采集、语音识别、语义理解等信息处理的过程，利用自然语言理解等技术来进行分析，从而实现人机对话、智能判析和决策的一整套计算过程。研究表明，语音已成为人工智能的重要落地技术，语音与家电结合产生家电行业爆发性增长点，具备智能语音技术的家电成为智慧家庭的重要交互入口之一，但与此同时，智能家居设备入侵、用户隐私数据窃取等事件，表明智能语音生态安全存在巨大的安全风险。由于传统控制器主要关注硬件、电气方面的内容，随着智能技术的融合，迫切需要增加相应规范来适应变化，并且由于智能技术普遍使用大数据、无线网络，所以在信息安全、隐私方面也需要相应规范。智能语音技术依赖于对用户的声音进行采集、传输、识别、理解来实现特定功能，如家电控制、信息查询和身份识别等功能，并且有可能使用到声纹分析、语音特征采集、语音内容进行储存等操作，涉及到防止硬件非授权访问、避免语音功能非预期使用、保护用户隐私数据不被非授权获取等方面的安全要求，因此需要相应的规范来保障智能语音控制的安全使用。1智能语音控制器通用安全技术要求本文件规定了智能语音控制器通用安全的分类、技术要求和检测方法。本文件适用于GB/T14536系列标准覆盖的带智能语音控制功能的所有种类家用和类似用途电子2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T2421—2020环境试验概述和指南GB/T14536.1—2022电自动控制器第1部分：通用要求GB/T35273—2020信息安全技术个人信息安全规范ISO/IEC18033(所有部分)信息技术安全技术加密算法(Informationtechnology—Securitytechniques—Encryptionalgorithms)GB/T14536.1—2022界定的以及下列术语和定义及缩略语适用于本文件。语音控制器speechcontrol通过语音识别，将语音输入转换为设备交互或功能控制指令，从而对设备进行交互或功能控制的一种控制器。将人类的声音信号转化为文字或者指令的过程。唤醒命令字wakeupcommandword用于唤醒处于关键字识别状态的语音交互系统所用的结构化关键字。命令字识别commandwordrecognition一种基于语音识别语法的语音识别方式，是在语音识别语法规则限定的范围内，对于给定的语音输入，语音识别引擎给出语音识别语法覆盖范围内的文本或拒识做为识别结果。2处于音频流监听状态的语音交互系统，在检测到特定的特征或事件出现后，切换到命令字识别、连续语音识别等其他处理状态的过程。误唤醒falsewakeup语音唤醒过程中出现的，无音频流或音频流中没有出现唤醒所需的特征或事件时，语音唤醒系统被唤醒的现象。噪声noise语音采集过程中，采集到的由非有效语音信号源发出的，能干扰、影响对有效语音信号的理解或处理的声音信号。用固定频带宽度测量时，频谱连续并且均匀的噪声。白噪声的功率谱密度不随频率改变。注：白噪声不一定是无规噪声。白噪声攻击whitenoiseattacks攻击者向语音识别系统输入一些带有攻击指令的白噪声语音信号，以此来干扰语音控制器安全的一种攻击方式唤醒失败率wakeupfailurerate唤醒命令字唤醒失败的次数和唤醒总次数之比。二次唤醒secondwakeup在首次唤醒和当次的监听结束之间的唤醒。二次唤醒失败率secondwakeupfailurerate二次唤醒测试过程中，二次唤醒总次数减去二次唤醒成功次数的结果，与二次唤醒总次数之比。参考信号与噪声信号之间的声压差值。由生物特征识别比对信息无法推断出其对应生物特征识别原始信息的特性。3命令字识别异常率errorrecognitionrate识别总次数减去识别成功次数的结果，与识别总次数之比。剩余数据remainingdata语音控制器在实现目标功能后，无需继续使用或处理的数据。下列缩略语适用于本文件。DRAM:动态随机存取内存(DynamicRandomAccessMemory)EUT:被测试设备(EquipmentUnderTest)JTAG:联合测试工作组(JointTestActionGroup)NANDFlash:NAND型快闪存储器(NotAndFlash)PCB:印制电路板(PrintedCircuitBoard)RT60:表示从声音突然停止到声压级降低60dB所用的时间(ReverberationTime60dB)SWD:串行调试(SerialWireDebug)UART:通用异步收发传输器(UniversalAsynchronousReceiver/Transmitter)4分类4.1语音控制器按语音识别系统引擎部署运行特点分为：a)离线语音控制器；b)在线语音控制器；c)在线/离线兼容语音控制器。4.2语音控制器按操作系统功能特点分为：a)无操作系统的语音控制器；b)带操作系统的语音控制器。4.3语音控制器按OTA更新功能特点分为：a)无OTA更新功能的语音控制器；b)带OTA更新功能的语音控制器。5技术要求5.1硬件安全要求5.1.1物理安全要求物理安全符合以下要求：a)应具备数据的物理保护机制；b)宜具备在收到暴力移除或拆卸时的防护预警机制。5.1.2硬件接口安全要求硬件接口安全符合以下要求：4a)对于使用无线和有线外围接口的设备，宜通过指示灯或显示屏等方式，提供数据传输状态的监控功能；b)对于具有调试功能的接口，应在出厂时设置为默认关闭。芯片调试功能端口应采用防护机制来保护端口的安全，符合以下要求：a)隐藏调试功能端口，在保证设备正常工作能力的前提下，应采用物理手段隐藏前期调试所b)在程序中应禁用调试功能端口，涉及产品电控时，电控端主控芯片的JTAG/SWD/UART等调试或通信端口可控，在产品形态下，不应输出关键调试信息；c)宜增加访问控制机制，对用户设置一定访问权限，如删除默认账户或修改默认口令等，避免用户直接访问芯片内部固件信息；d)芯片宜使用拆卸存迹硬质涂层，防止直接观察和探测芯片内容以及在拆卸或移动芯片后留下证据；e)宜具备安全启动硬件保护机制。5.1.3.2芯片加密参数安全要求对于使用硬件加密模块的语音控制器芯片，其输入的非公开加密参数应保持完整性和机密性，符合以下要求：a)如果秘钥存储在DRAM,则应增加相应的纠错码；b)在对语音控制器的存储芯片进行整体加密时，应保持其与硬件特征信息相关，如芯片唯一身份等；c)具有硬件随机数发生器、密钥生成和加解密运算技术，加解密运算应仅在可信执行环境内部5.1.3.3芯片固件存储安全要求芯片应保持其内部存储的固件在运行过程中的完整性、可用性和机密性，符合以下要求：a)语音控制器的芯片固件存储于安全受控区域时，缺省状态保证不可修改性；b)语音控制器的芯片固件存储于外部区域时，宜附加检错码或数字签名；c)对于具备安全元件的芯片，应具备固件芯片的物理写保护的功能。5.1.3.4存储芯片完整性要求存储芯片的完整性符合以下要求：a)采用NANDFlash作为存储载体的语音控制器芯片应具备检错与纠错功能；b)以DRAM作为存储载体的语音控制器芯片应具备检错与纠错功能。5.1.3.5应用处理器芯片完整性要求应用处理器芯片的完整性符合以下要求：a)语音控制器的芯片应保证其在使用的国家或地区可使用，应将出厂商等信息存储于芯片内部信息中；b)语音控制器的芯片硬件特征信息宜与内部存储的固件绑定，如果发生固件程序被篡改，或芯片5被替换，语音控制器宜能停止加载芯片固件并反馈异常。5.1.3.6芯片故障检测与恢复要求芯片应能够检测到存在运行故障状态并实现复位，使整个家电终端重新处于可控状态。5.2软件安全要求语音唤醒失败率应符合表1规定。表1唤醒失败率要求环境条件唤醒失败率拾音距离1m拾音距离3m拾音距离5m安静*噪声*安静及噪声环境条件按附录A给出的分类。5.2.1.2二次唤醒失败率要求语音二次唤醒失败率应符合表2规定。表2二次唤醒失败率要求环境条件二次唤醒失败率拾音距离1m拾音距离3m拾音距离5m安静*噪声*安静及噪声环境条件按附录A给出的分类。5.2.1.3命令字识别异常率要求命令字识别异常率应符合表3规定。表3命令字识别异常率要求环境条件命令字识别异常率拾音距离1m拾音距离3m拾音距离5m安静*噪声*安静及噪声环境条件按附录A给出的分类。6安静及噪声环境条件分别进行测试，误唤醒频次符合以下要求：a)噪声环境条件下，应符合24h内误唤醒频次不高于3次；b)安静环境条件下，应符合24h内误唤醒频次不高于1次。对于白噪声攻击后的语音识别系统应具有稳健性，在受到白噪声攻击后，语音控制器应保持功能逻辑正常，安全性不受影响。5.2.2应用软件安全要求5.2.2.1应用软件签名安全要求应用软件应包含供应商或者开发者的数字签名信息和软件属性信息(如版本名称、版本信息和描述等)。5.2.2.2应用软件认证信息安全要求应用软件应对于认证信息提供安全性措施。5.2.2.3应用软件认证失败处理安全要求应用软件应提供认证失败处理机制。5.2.2.4应用软件权限控制安全要求应用软件向系统申请权限时应遵循最小化原则以及合理的申请方式。5.3信息安全要求5.3.1语音监听安全要求语音监听安全符合以下要求：a)应确保所有用户的音频数据都得到保护，不会被未经授权的人员访问或使用；b)在用户未授权的情况下，不允许保存用户音频；c)对于监听到的非业务逻辑需要的音频，应舍弃掉。5.3.2传输安全要求传输安全符合以下要求：a)各执行主体之间进行数据传输时，应保证数据传输的完整性和机密性；b)检测到数据完整性遭受破坏时，应采取新措施恢复或重新获取数据。5.3.3认证安全要求对于在线语音控制器或在线/离线兼容语音控制器，以及或涉及在线功能且需要登录至云服务器的a)登录认证应具备基本标识，标识应确保唯一性；b)应用软件应支持身份认证登录，且执行身份认证操作时的要素应相互独立；c)使用数字证书进行验证的情况，应检查证书的状态和证书持有者，只有有效的、未过期的且证7书的实际持有者与证书中声明的持有者一致的证书才被信任和使用。5.3.4操作系统安全要求对于带操作系统的语音控制器应符合5.3.4.2～5.3.4.4中的要求，对于无操作系统的语音控制器具备调试功能的语音控制器符合以下要求：a)用户进入操作系统前宜先有用户标识，在操作系统的整个生存周期内保证用户的唯一标识；b)在用户执行任何与安全功能相关的操作前应对用户进行鉴别；c)宜采用加密方法对鉴别信息的存储进行保护；d)将用户进程与所有者用户相关联，是用户进程的行为应可以追溯到进程的所有者用户。具有可访问存储区域的语音控制器符合以下要求：a)应遵循最小权限原则，只能访问所需完成任务所需的资源和信息，不应越权访问其他资源和信息；b)针对未授权的访问，应具有阻止其访问的能力；c)针对不同角色的用户，包括但不限于普通使用者、开发调试人员等，应分配不同的权限。5.3.4.4OTA更新能力要求对于带OTA更新功能的语音控制器符合以下要求：a)对于具有操作系统OTA更新功能的语音控制器，应支持操作系统的OTA更新；b)应至少采取一种安全机制，保证OTA更新过程的安全性；c)OTA更新后的系统安全属性应不低于OTA更新前的系统安全属性；d)OTA失败时，系统应能够回滚，并保证系统完整性，且安全属性与OTA更新前一致；e)宜至少采取一种安全机制，保证OTA的时效性，例如自动OTA,更新通知等手段。5.3.5数据安全要求数据可用性符合以下要求：a)在传输其采集到的数据时，应对数据新鲜性做出标识；b)应能够鉴别数据的新鲜性，避免历史数据的重放攻击。数据应在存储和处理过程中保证完整性。数据保密性符合以下要求：a)应对数据采用密码算法进行存储和传输加密保护；b)重要数据加密算法应符合ISO/IEC18033(所有部分)相关要求。8针对剩余数据保护符合以下要求：a)应保证存储空间被释放或重新分配给其他用户前得到完全清除；b)应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除。注：存储空间指文件、目录和数据库记录等资源所在的存储空间。按GB/T35273—2020的要求，语音控制器在操作用户隐私信息时应遵循合法、正当、必要的原则，其制造商采取技术和其他必要的措施保障用户隐私信息的安全，对其隐私信息处理活动对隐私信息主体合法权益造成的损害承担责任。语音控制器中所有涉及隐私安全的操作，应在国家法律、标准规范范围内进行。隐私数据收集符合以下要求：a)语音控制器制造商采集隐私数据时应具有明确、清晰、具体的个人信息处理目的；b)语音控制器制造商采集隐私数据时应向语音控制器的使用方(以下简称“使用方”)明示个人信c)语音控制器制造商采集隐私数据时，只处理满足使用方授权同意的目的所需的最少个人信息类型和数量，目的达成后，应及时删除个人信息；d)语音控制器制造商采集隐私数据不可出售、不可转让；e)在关闭唤醒状态或语音功能下，禁止采集隐私数据。隐私数据存储符合以下要求：a)语音控制器制造商应具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段；b)存储的隐私数据应具有定时清理机制。隐私数据使用符合以下要求：a)语音控制器制造商应向使用方以明确、易懂和合理的方式，公开处理个人信息的范围、目的、规b)语音控制器制造商应向使用方提供能够查询、更正、删除其个人信息，以及撤回授权同意、注销c)语音控制器制造商隐私数据仅限于改善产品及用户体验，不可用于获取商业利益。6检测方法6.1通用检测条件除非另有规定，所有试验都应在GB/T2421—2020规定的测量和试验用标准大气条件下进行。9环境适应性试验后的功能检查，型式检验时在所有环境适应性试验完成后统一进行功能检查，其他检验由制造商自定；如果语音模组技术规格书中标注的工作温度等参数范围比本文件规定的范围更宽泛，环境适应性测试时按本文件中标注的参数范围进行测试。6.2硬件安全检测方法6.2.1物理安全检测方法物理安全检测方法及结果判定如下。a)检测方法：1)检查语音控制器的硬件是否具备数据的物理保护机制；2)通过暴力移除或拆卸硬件，检测语音控制器是否具有防护预警机制。b)预期结果：1)语音控制器的硬件具备数据的物理保护机制；2)语音控制器的硬件宜具备在收到暴力移除或拆卸时的防护预警机制。c)结果判定：若满足全部预期结果，则该项目测评通过。6.2.2硬件接口安全检测方法硬件接口安全检测方法及结果判定如下。a)检测方法：1)检查在使用无线和有线外围接口接入设备传输数据时，是否有指示灯或显示屏等方式展示数据传输状态；2)检查具备调试功能的接口，在出厂时是否设置为关闭。b)预期结果：1)语音控制器在传输数据给无线或有线外围接口设备时，宜使用指示灯或显示屏等方式，提供数据传输状态的监控功能；2)语音控制器具备调试功能的接口，在出厂时设置为默认关闭。c)结果判定：若满足全部预期结果，则该项目测评通过。6.2.3芯片安全的检测方法6.2.3.1芯片调试安全检测方法芯片调试安全检测方法、预期结果及结果判定如下。a)检测方法：1)检查芯片各类调试功能端口是否隐藏，在保证设备正常工作能力的前提下，采用物理手段进行调试，使用各类硬件接口(如JTAG、SWD、UART等),检测是否可通过这些接口获取接口实现的细节信息；2)检查程序中是否禁用调试功能端口，主控芯片的JTAG/SWD/UART等调试或通信端口是否输出关键调试信息；3)检查是否具有访问控制机制；4)检查芯片是否有拆卸存迹硬质涂层；5)检查芯片是否具有安全启动硬件保护机制。b)预期结果：1)芯片的各类调试功能端口隐藏，无法采用各类硬件接口获取接口实现的细节信息；2)芯片程序中禁用调试功能端口，无法通过通信端口获取关键调试信息；3)芯片宜具有访问控制机制；4)芯片宜具有拆卸存迹硬质涂层；5)芯片宜具有安全启动硬件保护机制。若满足全部预期结果，则该项目测评通过。6.2.3.2芯片加密参数安全检测方法芯片加密参数安全检测方法、预期结果及结果判定如下。a)检测方法：1)检查存储在DRAM中的会话秘钥是否添加附加的纠错码；2)检查语音控制器的芯片整体加密时是否保持与其硬件特征信息相关，如芯片唯一身份等；3)检查具有硬件随机数发生器、密钥生成和加解密运算技术的语音控制器，在进行加解密运算时是否仅在可信执行环境内部处理。b)预期结果：1)存储在DRAM的秘钥具有相应的纠错码；2)语音控制器的存储芯片的整体加密保持与其硬件特征信息相关，如芯片唯一身份等；3)具有硬件随机数发生器、密钥生成和加解密运算技术，加解密运算仅在可信执行环境内部处理。c)结果判定：若满足全部预期结果，则该项目测评通过。6.2.3.3芯片固件存储安全检测方法芯片固件存储安全检测方法、预期结果及结果判定如下。a)检测方法：1)检查存储在安全受控区域的语音控制器的芯片固件是否在缺省状态下不可修改；2)检查存储在外部区域的语音控制器的芯片固件是否附加检错码或数字签名；3)检查具有安全元件的语音控制器芯片是否具备固件物理写保护功能。b)预期结果：1)语音控制器的芯片固件存储于安全受控区域时，缺省状态保证不可修改性；2)语音控制器的芯片固件存储于外部区域时，附加检错码或数字签名；3)对于具备安全元件的芯片，具备固件芯片的物理写保护的功能。c)结果判定：若满足全部预期结果，则该项目测评通过。6.2.3.4存储芯片完整性检测方法存储芯片完整性检测方法、预期结果及结果判定如下。a)检测方法：1)检查采用NANDFlash作为存储载体的语音控制器芯片是否具备检错与纠错功能；2)检查以DRAM作为存储载体的语音控制器芯片是否具备检错与纠错功能。b)预期结果：1)采用NANDFlash作为存储载体的语音控制器芯片具备检错与纠错功能；GB/T43969—20242)以DRAM作为存储载体的语音控制器芯片具备检错与纠错功能。c)结果判定：若满足全部预期结果，则该项目测评通过。6.2.3.5应用处理器芯片安全检测方法应用处理器芯片安全检测方法、预期结果及结果判定如下。a)检测方法：1)检查语音控制器的芯片是否在其使用的国家或地区可使用，是否将出厂商等信息存储于芯片内部信息中；2)检查语音控制器的芯片硬件特征信息是否与内部存储的固件绑定，如果发生固件程序被篡改，或芯片被替换后，语音控制器是否可停止加载芯片固件并反馈异常。b)预期结果：1)语音控制器的芯片在其使用的国家或地区可使用，将出厂商等信息存储于芯片内部信息中；2)语音控制器的芯片硬件特征信息宜与内部存储的固件绑定，发生固件程序被篡改，或芯片被替换后，语音控制器能停止加载芯片固件并反馈异常。c)结果判定：若满足全部预期结果，则该项目测评通过。6.2.3.6芯片故障检测与恢复检测方法芯片故障检测与恢复检测方法、预期结果及结果判定如下。a)检测方法：检查语音控制器的芯片在检测到存在运行故障状态后，是否可实现复位，使整个家电终端重新处于可控状态。b)预期结果：语音控制器的芯片在检测到存在运行故障状态后，可实现复位，使整个家电终端重新处于可控状态。c)结果判定：若满足全部预期结果，则该项目测评通过。6.3软件安全检测方法6.3.1功能安全测试方法6.3.1.1唤醒失败率检测方法唤醒失败率检测方法、预期结果及结果判定如下。a)检测方法：按照附录A中的环境，选取10个唤醒音频，每个音频循环播放100次，按照公式(1)计算唤醒失败率：式中：Fw₁——唤醒失败率，%;Y₁——统计唤醒成功次数；GB/T43969—20241000——测试总次数。b)预期结果：根据不同品类的适用场景，唤醒失败率满足适用场景的要求。c)结果判定：若满足全部预期结果，则该项目测评通过。6.3.1.2二次唤醒失败率检测方法二次唤醒失败率检测方法、预期结果及结果判定如下。a)检测方法：按照附录A中的环境，选取10个唤醒音频，每个音频循环播放100次，按照公式(2)计算二次唤醒失败率；式中：Y₂——统计二次唤醒成功次数；1000——测试总次数。b)预期结果：根据不同品类的适用场景，二次唤醒失败率满足适用场景的要求。c)结果判定：若满足全部预期结果，则该项目测评通过。6.3.1.3命令字识别异常率检测方法命令字识别异常率检测方法、预期结果及结果判定如下。a)检测方法：按照附录A中的环境，使用人工嘴播放唤醒命令字和命令词，播放1000次唤醒命令字和命令词，按照公式(3)计算命令字识别异常率：式中：……………Fc——命令字识别异常率，%;Y₃——命令字和命令词被正确识别的次数；1000——测试总次数。b)预期结果：根据不同品类的适用场景，命令字识别异常率满足适用场景的要求。c)结果判定：若满足全部预期结果，则该项目测评通过。6.3.1.4误唤醒频次检测方法误唤醒频次检测方法、预期结果及结果判定如下。a)检测方法：1)按照附录A中的误唤醒噪声集，噪声播放设备播放误唤醒噪声集，统计误唤醒频次记2)EUT静置24h于附录A中规定的安静环境，统计误唤醒频次记为X2。b)预期结果：误唤醒频次不超过规定次数。c)结果判定：若满足全部预期结果，则该项目测评通过。6.3.1.5白噪声攻击稳健性测试白噪声攻击稳健性检测方法、预期结果及结果判定如下。a)检测方法：使用白噪声混合正常功能指令词攻击语音识别系统，检查在收到白噪声攻击后，语音控制器是否可保持功能逻辑正常，安全性是否受到影响。b)预期结果：受到白噪声攻击后，语音控制器保持功能逻辑正常，安全性不受影响。c)结果判定：若满足全部预期结果，则该项目测评通过。6.3.2应用软件安全检测方法6.3.2.1应用软件签名安全测试方法应用软件签名安全检测方法、预期结果及结果判定如下。a)检测方法：检查语音控制器的应用软件是否包含供应商和/或开发者的数字签名信息和软件属性信息，如版本名称、版本信息和描述等。b)预期结果：语音控制器的应用软件包含供应商和/或开发者的数字签名信息和软件属性信息，如版本名c)结果判定：若满足全部预期结果，则该项目测评通过。6.3.2.2应用软件认证信息安全测试方法应用软件认证信息安全检测方法、预期结果及结果判定如下。a)检测方法：检查语音控制器的应用软件对于认证信息是否提供安全性措施。b)预期结果：语音控制器的应用软件对于认证信息提供安全性措施。c)结果判定：若满足全部预期结果，则该项目测评通过。6.3.2.3应用软件认证失败安全测试方法应用软件认证失败安全检测方法、预期结果及结果判定如下。a)检测方法：检查语音控制器的应用软件对于认证失败是否有相应的处理机制，包括但不限于拒绝访问等。b)预期结果：语音控制器的应用软件对于认证失败具有相应的处理机制，包括但不限于拒绝访问等。c)结果判定：若满足全部预期结果，则该项目测评通过。6.3.2.4应用软件权限控制安全测试方法应用软件权限控制安全检测方法、预期结果及结果判定如下。a)检测方法：检查语音控制器的应用软件在向系统申请权限时是否遵循了最小化原则，是否采用合理的申请方式。b)预期结果：语音控制器的应用软件在向系统申请权限时遵循了最小化原则，采用合理的申请方式。c)结果判定：若满足全部预期结果，则该项目测评通过。6.4信息安全检测方法6.4.1语音监听安全测试方法语音监听安全检测方法、预期结果及结果判定如下。a)检测方法：1)检查语音控制器的所有用户的音频数据是否都得到保护，不会被未经授权的人员访问或2)检查语音控制器在用户未授权的情况下，是否保存用户音频；3)检查语音控制器监听到的非业务逻辑需要的音频是否舍弃掉。b)预期结果：1)语音控制器的所有用户的音频数据都得到保护，不会被未经授权的人员访问或使用；2)语音控制器在用户未授权的情况下，不保存用户音频；3)语音控制器舍弃掉监听到的非业务逻辑需要的音频。c)结果判定：若满足全部预期结果，则该项目测评通过。6.4.2传输安全测试方法传输安全检测方法、预期结果及结果判定如下。a)检测方法：1)检查各执行主体之间进行数据传输时，是否保证数据传输的完整性和机密性；2)检查语音控制器检测到数据完整性遭受破坏时，是否采取新措施恢复或重新获取数据。b)预期结果：1)各执行主体之间进行数据传输时，保证数据传输的完整性和机密性；2)语音控制器检测到数据完整性遭受破坏时，采取新措施恢复或重新获取数据。c)结果判定：若满足全部预期结果，则该项目测评通过。6.4.3认证安全测试方法认证安全检测方法、预期结果及结果判定如下。a)检测方法：1)检查语音控制器的登录认证是否具备基本标识且标识是否具有唯一性；2)检查语音控制器的应用软件是否支持身份认证登录，且执行身份认证操作时的要素是否相互独立；3)检查语音控制器在使用数字证书进行验证的情况下，是否检查证书的状态和证书持有者。b)预期结果：1)语音控制器的登录认证具备基本标识且标识具有唯一性；2)语音控制器的应用软件支持身份认证登录，且执行身份认证操作时的要素相互独立；3)使用数字证书进行验证的情况下，语音控制器检查证书的状态和证书持有者，只有有效的、未过期的且证书的实际持有者与证书中声明的持有者一致的证书才被信任和使用。c)结果判定：若满足全部预期结果，则该项目测评通过。6.4.4操作系统安全测试方法调试安全检测方法、预期结果及结果判定如下。a)检测方法：1)检查用户在进入操作系统前是否先具有用户标识，并且是否保证在操作系统的整个生存周期内用户标识的唯一性；2)检查语音控制器在用户执行任何与安全功能的相关操作前，是否对用户进行鉴别；3)检查语音控制器是否采用加密方法对鉴别信息的存储进行保护；4)检查用户进程是否与所有者用户相关联，用户进程的行为是否可追溯到进程的所有者用户。b)预期结果：1)用户进入操作系统前先有用户标识，在操作系统的整个生存周期内保证用户的唯一标识；2)语音控制器在用户执行任何与安全功能相关的操作前对用户进行鉴别；3)语音控制器宜采用加密方法对鉴别信息的存储进行保护；4)语音控制器将用户进程与所有者用户相关联，使用户进程的行为可追溯到进程的所有者用户。c)结果判定：若满足全部预期结果，则该项目测评通过。6.4.4.2访问控制安全测试方法访问控制安全检测方法、预期结果及结果判定如下。a)检测方法：1)检查语音控制器对访问存储区域的权限分配是否遵循了最小权限原则；2)检查语音控制器是否具有阻止未授权的访问的能力；3)检查语音控制器是否针对不同角色的用户，分配了不同的权限。b)预期结果：1)语音控制器对访问存储区域的权限分配遵循最小权限原则，只能访问所需完成任务所需的资源和信息，不应越权访问其他资源和信息；2)语音控制器具有阻止未授权的访问的能力；3)语音控制器针对不同角色的用户，分配不同的权限。c)结果判定：若满足全部预期结果，则该项目测评通过。6.4.4.3升级能力安全测试方法升级能力安全检测方法、预期结果及结果判定如下。a)检测方法：1)检查语音控制器是否支持操作系统的更新升级；2)检查语音控制器升级时是否采取安全机制；3)检查语音控制器升级后的系统安全属性是否低于升级前的系统安全属性；4)检查语音控制器失败后，系统是否能够回滚，并是否能保证系统的完整性和安全属性；5)检查语音控制器是否采取了至少一种安全机制，如自动升级，更新通知等手段保证升级的时效性。b)预期结果：1)语音控制器支持操作系统的更新升级；2)语音控制器升级时至少采取了一种安全机制，保证升级过程的安全性；3)语音控制器升级后的系统安全属性不低于升级前的系统安全属性；4)升级失败后，系统应能够回滚，并保证系统完整性，且安全属性与升级前一致；5)语音控制器宜采用至少一种安全机制。c)结果判定：若满足全部预期结果，则该项目测评通过。6.4.5数据安全检测方法数据可用性检测方法、预期结果及结果判定如下。a)检测方法：1)检查语音控制器在传输其采集到的数据时，是否对数据新鲜性做出标识；2)检查语音控制器是否能够鉴别数据的新鲜性。b)预期结果：1)语音控制器在传输其采集到的数据时，对数据的新鲜性做出标识；2)语音控制器能够鉴别数据的新鲜性，避免历史数据的重发攻击。c)结果判定：若满足全部预期结果，则该项目测评通过。数据完整性检测方法、预期结果及结果判定如下。a)检测方法：检查语音控制器的数据在存储和处理过程中是否保证完整性。b)预期结果：语音控制器的数据在存储和处理过程中保证完整性。c)结果判定：若满足全部预期结果，则该项目测评通过。6.4.5.3数据保密性检测方法数据保密性检测方法、预期结果及结果判定如下。a)检测方法：1)检查语音控制器对数据是否采用密码算法进行存储和传输加密保护；2)检查语音控制器中重要数据加密算法是否符合ISO/IEC18033(所有部分)相关要求。b)预期结果：1)语音控制器对数据采用密码算法进行存储和传输加密保护；2)语音控制器中重要数据加密算法符合ISO/IEC18033(所有部分)相关要求。c)结果判定：若满足全部预期结果，则该项目测评通过。6.4.5.4剩余数据保护检测方法剩余数据保护检测方法、预期结果及结果判定如下。a)检测方法：1)检查语音控制器的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户后，是否得到完全清除；2)检查语音控制器的用户鉴别信息所在的存储空间在被释放或重新分配给其他用户前，是否得到了完全清楚。b)预期结果：1)语音控制器的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他2)语音控制器应将用户鉴别信息所在的存储空间被释放或再分配给其他用户前完全清除。c)结果判定：若满足全部预期结果，则该项目测评通过。6.4.6.1隐私数据收集检测方法隐私数据收集检测方法、预期结果及结果判定如下。a)检测方法：1)检查语音控制器制造商采集隐私数据时是否具有明确、清晰、具体的个人信息处理目的；2)检查语音控制器制造商采集隐私数据时，是否向个人信息主体明示个人信息处理目的、方3)检查语音控制器制造商采集隐私数据时，是否只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量，目的达成后，是否及时删除个人信息；4)检查语音控制器制造商对采集的隐私数据是否进行出售、转让；5)检查语音控制器是否在关闭唤醒状态或语音功能下，采集隐私数据。b)预期结果：1)语音控制器制造商采集隐私数据时具有明确、清晰、具体的个人信息处理目的；2)语音控制器制造商采集隐私数据时向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意；3)语音控制器制造商采集隐私数据时只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量，目的达成后及时删除个人信息；4)语音控制器制造商采集隐私数据不进行出售、转让；5)在关闭唤醒状态或语音功能下，不采集隐私数据。c)结果判定：若满足全部预期结果，则该项目测评通过。6.4.6.2隐私数据存储检测方法隐私数据存储检测方法、预期结果及结果判定如下：a)检测方法：1)检查语音控制器制造商是否具备与所面临的安全风险相匹配的安全能力，是否采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性；2)检查语音控制器针对存储的隐私数据是否具有定时清理机制。b)预期结果：1)语音控制器制造商具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施2)语音控制器针对存储的隐私数据具有定时清理机制。c)结果判定：若满足全部预期结果，则该项目测评通过。6.4.6.3隐私数据使用检测方法隐私数据使用检测方法、预期结果及结果判定如下：a)检测方法：1)检查语音控制器制造商是否以明确、易懂和合理的方式公开处理个人信息的范围、目的、2)检查语音控制器制造商是否向个人信息主体提供能够查询、更正、删除其个人信息，以及3)检查语音控制器制造商隐私数据是否仅限于用于改善产品及用户体验。b)预期结果：1)语音控制器制造商以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督；2)语音控制器制造商向个人信息主体提供能够查询、更正、删除其个人信息，以及撤回授权3)语音控制器制造商隐私数据仅限于改善产品及用户体验，不用于获取商业利益。c)结果判定：若满足全部预期结果，则该项目测评通过。(规范性)语音性能测试要求A.1.1通用要求测试过程的通用要求如下：a)所有测试均按语音模组技术规格书规定的标准测试配置条件下，配备标准规格的麦克风和语音播放元器件进行测试；b)所有测试均在典型混响环境下测试(RT60的值在0.3s～0.6s);c)所有测试均保证信噪比差值不小于10dB(A)(回声噪声环境除外);d)人工嘴语音指令和环境噪声的声音音量均以声级计接收到的声音分贝为准，单位dB(A),应在测试开始前调整人工嘴和环境噪声源音箱的音量，使声级计在3min内测得平均噪声(声压级)符合测试项目规定值；e)按被测设备(EUT)按A.1.5的布局图来布置测试设备和环境噪声源设备，每次测试仅施加一A.1.2语音测试场地要求A.1.2.1空间尺寸要求测试场地空间尺寸应满足所有距离的测试要求，推荐空间尺寸如表A.1。表A.1推荐的测试场地空间尺寸空间维度近场交互测试m远场交互测试m长4.5±1宽4.2±1高2.7±0.3注：表中所列均为净空间尺寸。A.1.2.2本底噪声要求测试场地的本底噪声A计权声压级应不大于25dB(A)。为满足在线语音产品试验条件，测试场地的网络带宽应满足上下行大于128kbps。A.1.3语音测试集要求A.1.3.1语音音频数据要求语音音频数据应满足以下要求。a)语音音频数据建议保存为无损音频格式，深度不小于16位，建议前后预留500ms,采样率不低于16kHz。b)不应出现切音的错误。c)语音音频数据中不应出现截幅。d)语音音频数据中不应出现丢帧。e)语音音频数据的信噪比应不小于15dB,防止噪声太大导致主体语音听不清楚。f)语音音频数据应有特定内容，不应出现空音频。g)语音音频数据中不应出现字错误。语音音频数据中说话声音应自然流畅，不应出现结巴、破h)语音音频数据中不应出现无关的声音，如咳嗽、走路、敲桌子、风扇运行等声音。A.1.3.2标注数据质量要求标注数据质量应满足以下要求。a)标注数据中应包含语音音频的格式信息(例如采样率、声道数、位深、时长)、录话人的信息(例b)标注数据的内容应正确，不应出现格式错误、错别字等。c)标注数据的内容应与语音音频数据一一对应。A.1.3.3测试语料集要求测试语料集应满足以下要求：a)测试语料集中的语音音频数据和标注数据的正确率应达到100%;b)测试语料集不应包含被测设备所使用的引擎的训练数据；c)测试语料集应按照测试要求从测试语料库进行选取，示例如下。示例：空调器的测试语料集选取以下内容。性别选取：应覆盖男女性别，建议比例1:1。年龄选取：应覆盖全年龄段，建议青年中年占比放大。地域选取：宜覆盖各地域，如产品有定向要求，该地域选取应高于平均值。人员基数：人员应不少于50人。内容选取：应覆盖所有支持语音控制功能。整体大小：测试语料集样本数量应不小于300。A.1.4语音测试噪声要求A.1.4.1一般要求测试时候根据EUT的主要使用场景来选取对应的背景噪声，对所有的背景噪声类型进行测试，取所有噪声类型的结果的平均值为噪声环境下的测试数据，噪声考虑场景中的主要噪声源、各种噪声组合的见附录A.1.4.2。背景噪声推荐使用获得国家标准样品证书的噪声。背景噪声在真实家居场景中进行录制，在实验室进行回放，回放的声场称为再现声场，录制时的声场为原始声场，回放时需要根据录制时的设置进行校准，确保原始声场和录制声场在性能上满足要家居中噪声场景一般可分为：客厅、卧室、厨房、浴室、阳台五类。每种场景下不同噪声类型见场景安静环境噪声类型1噪声类型2噪声类型3客厅外部噪声、脚步声交互声音十宠物叫声+风扇(空调)噪声电视节目噪声、洗衣机洗衣噪声、扫地机扫地噪声厨房冰箱工作噪声、水流洗菜声切菜声、冰箱工作噪声油烟机工作噪声、炒菜声卧室外部噪声、脚步声鼾声+宠物叫声+风扇(空调)噪声音乐噪声、交谈噪声浴室水流声、洗漱声淋浴水声、排气扇噪声抽水马桶水声、音乐声阳台外部噪声、运动噪声洗衣机工作噪声、宠物叫声衣物烘干声、交谈噪声具体不同场景下不同噪声类型的频谱图见图A.1～图A.15。频率图A.1客厅噪声类型1频率分析示例频率图A.2客厅噪声类型2频率分析示例17000Hz频率图A.3客厅噪声类型3频率分析示例GB/T4