【YD通讯标准】 移动终端可信环境技术要求 第1部分:总体

ICS33.050.01
中华人民共和国通信行业标准
YD/T2844.1-2015
移动终端可信环境技术要求
第1部分：总体
TrustedenvironmentofmobilephonePart 1:General technical requirement2015-04-30发布
2015-07-01实施
中华人民共和国工业和信息化部发布前言
1范围·
2规范性引用文件·
3术语、定义和缩略语·
3.1术语和定义.
3.2缩略语
4移动终端可信环境
4.1移动终端可信环境概念
4.2可信环境软件架构·
4.3可信环境硬件架构.
4.4安全资产
5移动终端可信环境安全目标·
5.1对安全资产的攻击类型·
5.2可信环境安全目标
6移动终端可信环境安全能力分类*附录A（资料性附录）
安全威胁
附录B（资料性附录）
参考文献
TEE应用场景·
YD/T2844.1-2015
YD/T2844.1-2015
YD/T2844《移动终端可信环境技术要求》分为5个部分：第1部分：总体：
第2部分：可信执行环境：
第3部分：安全存储：
一第4部分：操作系统的安全保护：第5部分：与输入输出设备的安全交互。本部分为YD/T2844的第1部分。
本部分按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本部分由中国通信标准化协会提出并归口。本部分起草单位：工业和信息化部电信研究院本部分主要起草人：国炜、潘娟、史德年、何桂立、任晓明、王绍斌、宁华、杨丁宁、孙龙。I
HiiKAoiKAca
1范围
移动终端可信环境技术要求
第1部分：总体
YD/T2844.1-2015
本部分规定了移动终端可信环境安全能力概述，包括移动终端可信环境概念、移动终端可信环境威胁类型、移动终端可信环境总体能力要求等。本部分适用于各种制式的移动通信终端设备。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T2844.2移动终端可信环境技术要求第2部分：可信执行环境YD/T2844.3移动终端可信环境技术要求第3部分：安全存储YD/T2844.4移动终端可信环境技术要求第4部分：操作系统的安全保护YD/T2844.5移动终端可信环境技术要求第5部分：与输入输出设备的安全交互3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
移动终端MobileTerminal
在无线蜂窝网络中使用的移动计算设备，广义的讲包括手机、智能终端、平板电脑、POS机甚至包括车载电脑。
资产Assets
任何对组织有价值的东西，移动终端的资产包括信息、硬件、软件。3.1.3
安全资产SecureAssets
受保护的资产。
用户User
与移动终端交互的人。
用户数据UserData
由用户在本地生成的数据，为用户在本地生成的数据，在用户许可后由外部进入用户数据区的数据。3.1.6
授权Authorization
HiiKAoNiKAca
YD/T2844.1-2015
在用户身份经过认证后，根据预先设置的安全策略，授予用户相应权限的过程。3.1.7
安全能力SecureCompability
在移动终端上可实现的，能够抵御安全威胁的技术手段。3.1.8
授权用户AuthorizedUser
依据安全要求可以执行某项操作的用户。3.1.9
固件Firmware
是指写入可编程只读存储器中的程序，是固化在集成电路内部的程序代码，负责控制和协调集成电路的功能。
安全目标SecureObject
意在对抗特定的威胁，满足特定的组织安全策略和假设的陈述。3.2缩略语
下列缩略语适用于本文件：
Application Programming InterfaceGlobalPlatform
HighDefinitionMultimedia InterfaceJoint Test Action Group
Open Mobile Terminal PlatformPrinted Circuit Board
Random Access Memory
Rich Execution Environment
System onChip
Trusted Execution EnvironmentUniversal Serial BUS
4移动终端可信环境
4.1移动终端可信环境概念
应用编程接口
全球平台
高清晰度多媒体接口
联合测试活动组
开放移动终端平台
印刷电路板
随机存储器
富执行环境
系统级芯片
可信执行环境
通用串行总线
本部分所描述的移动终端可信环境是存在于移动终端内，通过混合使用硬件和软件的方法在物理上隔离出两个平行的执行环境：普通的非保密执行环境和安全的保密环境。其中，称非保密执行环境为富执行环境REE（RichExecutionEnvironment），它是针对多功能性和丰富性创建的环境，并执行移动终端操作系统，在设备生产以后向第三方开放下载。该环境下的安全是其考虑因素，但并非最重要的因素；而安全的保密环境被称为可信执行环境TEE（TrustedExcutionEnvironment）它由软件和硬件组成，针对在REE环境中生成的软件攻击提供保护。图1所示为一个典型的终端PCB架构，在主要的处理部件SoC上，分离出REE和TEE两个执行环境。2
HiiKAoNiKAca
电源控制
/o接口
存储（RAM）
存储（Flash）
图1移动终端可信环境框架图
YD/T2844.1-2015
TEE环境里执行的是一系列的可信应用TA（TrustedApplications），不同于REE里的一般应用，可信执行环境为这些可信应用提供一系列的安全服务，包括应用执行的完整性、安全存储、与输入输出设备的安全交互、密钥管理、加密算法以及与REE里的CA进行安全通信。其中，安全存储表示的是TEE与图1中的存储RAM和存储Flash之间的安全存储操作：与输入输出设备的安全交互表示的是TEE与图1中的VO接口（如显示、键盘等）之间的安全操作。可信执行环境（TEE）连同与它进行安全交互的存储、输入/输出等共同构造了一个终端上的可信环境，它能使可信环境里执行的可信应用具有较高的安全保证。同时，可信环境是一个开放的环境，即终端用户在使用具有可信环境的终端设备时可以下载并安装可信应用。
可信环境包含任何可提供安全功能的硬件、固件和软件。它不应包含REE和CA。从提供的安全功能角度看，可信环境应提供以下安全功能组成：·可信执行环境；
·安全存储；
·操作系统的安全保护；
。与输入输出设备的安全交互。4.2可信环境软件架构
从图1可以看出，整个移动终端可信环境的软件架构集中在SoC内部的REE和TEE两部分。TEE是嵌入在终端设备内，其内运行一个安全操作系统。如图2所示。可信环境的软件架构由2个分离的部件集组成：TEE和REE。其中TEE软件部件包含：·运行在TEE内的TA以及相应的TEEIntermalAPI，TEEInternalAPI使TA能够访问TEE内的通用的安全功能；
，可信的操作系统部件（TrustedOSComponents），主要由可信核心框架（TrustedCoreFramework），可信功能（TrustedFunctions）和TEE通信代理（TEEComrmunicationAgent）组成。其中可信核心框架为3
HiiKAoNiKAca
YD/T2844.1-2015
TA提供类似操作系统的功能：可信功能为应用开发者提供支持能力：TEE通信代理为TA和CA提供一个安全的通信通道。
Client
Application
PublicDevice
Drivers
Client
Application
TEE FunctionalAPI
TEEChient API
RichOS Components
Public Peripherals
Shared
Memory
Communication
Message
Platform Hardware
Shared
Memory
Communication
Trusted
Application
Trusted
Application
TEE Internal APi
Trusted os Components
Trusted Core
Framework
Trusted Kernel
Trusted
Functions
Trusted Peripherals
注：该图参考“GlobalPlatformDeviceTechnologyTEESystemArchitectureVersion1.0中的TEE软件架构。另外，SharedMemory只是做为一种存储上逻辑分离的实现方式，本部分不排除其他的如物理存储分离等实现方式。图2可信环境软件架构
REE软件部件包含：
CA以及TEEClientAPI和TEEFunctionalAPI，CA使用TEEClientAPI接入到由TA提供的安全服务：
富指令操作系统，由它提供TEEClientAPI以及发送请求到TEE。本部分不涉及TEEClientAPI和TEEInternalAPI的定义。4.3可信环境硬件架构
可信环境的硬件部件包含：
·硬件处理单元；
，硬件资源，例如物理存储RAM、物理存储Flash、外围接口（如键盘、显示屏）、密码加速器：·处理单元和硬件资源之间的连接部件集。一般说来，一个具有TEE的终端设备架构存在三个层面：SoC层面，这个层面包含处理器和例如存储、密码加速器、外围接口（如JTAG、USB、串口、HDMI）等的资源；
iiKAoiKAca
YD/T2844.1-2015
·封装层，这个层面包含SoC和另外一些资源，如存储RAM、存储Flash、总线、引脚：·用户层面，这个层面包含了到封装层面的用户接口，如触摸屏或者键盘等资源。TEE通常在SoC和封装层执行。TEE硬件外部接口代表了封装层的输入和输出接口，这些接口提供了到封装层资源以及间接接入到SoC内部的通道。本部分不会定义TEE的物理边界，可以基于具体的实现。4.4安全资产
4.4.1安全属性定义
为了清楚地了解安全资产概念，需要定义下面几种安全属性：·可靠性（Authenticity）：指信息、事物或者其他信息的交互是源于它所声称的源头的一种保证·完整性（Integrity）：指在传输、存储信息或数据的过程中，确保信息或数据不被未授权的算改或在篡改后能够被迅速发现。
·一致性（Consistency）：指关联数据之间的逻辑关系具有正确性和完整性·机密性（Confidentiality）：指确保信息不暴露给未授权的实体或进程。·单一性（Monotony）：指事物本身所仅有的独一无二的特性。·随机性（Randomness）：指偶然性的一种形式，具有某一概率的事件集合中的各个事件所表现出来的不确定性。
·原子性（Atomicity）：或称不可分割性，指一个事物中的所有操作，要么全部完成，要么全部不完成，不会结束在中间某个环节。。不变性（Immutability）：指仅充许对其读操作而不充许对其写操作的特性。·设备绑定性（DeviceBanding）：指数据或信息的身份信息与设备标识建立起唯一的绑定关系。其中，一致性包含时间一致性和空间一致性两个概念。时间一致性应保证以下特性：·读/读一致，即对同一个存储地址的两个连续的读操作的值应保持一致，当且仅当在这两个连续读操作的时间范围内该地址空间没有发生过写操作或者重启操作·写/读，一个对给定的地址空间的读操作的值应该与这个之前的对该地址空间执行写操作的值致，当且仅当在这两个操作之间没有发生重启操作。空间一致性应保证在一个给定的功率周期前后，从同一个存储区读出的值要保持一致。4.4.2可信环境的安全资产
对于一个移动终端来说，安全的概念就是指该终端相关的资产必须被加以保护，将这些受保护的资产称为安全资产。安全资产可以动态调整，例如一些诸如键盘的通信资产有时可以位于TEE边界范围内，有时也可以位于TEE边界范围外。当位于TEE边界范围内时，TEE是唯一的可以接入到这些资产的实体；当位于TEE边界范围外时，TEE要有对这些资产的绝对控制权。从逻辑的角度来说，用于TEE的安全资产是与用于REE的非安全的资产相分离，也就是说虽然TEE和REE同处在一个设备内，但是它们彼此是相互隔离的，如图3所示。
TiiKANniKAca
YD/T2844.1-2015
Protected
External
Volatile
Memory
External
Non-Volatile
Memory
Protected Are
Public
Public
PublicCrypto
Accelerators
Public
Peripherals
Public OTP Fields
注：本图不代表真实的物理实现。Public
Processing
Trusted
Trusted
Processing
Trusted
TrustedCrypt
Accelerators
Trusted
Peripherals
Trusted OTPFields
图3REE和TEE资产的分离
在本部分中，表1定义了安全资产以及它们的安全属性。表1安全资产
安全资产
设备标识
随机数发生器
TA代码
TA数据和密钥
TA实例时间
TEE、TA服务
TEE密钥
设备标识是全球唯一的，同时设备标识对可信应用以及设备上运行的任何软件都公开
产生随机数
可信应用的代码
由TA管理和存储的数据和密钥，其归属权既可以是TEE终端用户也可以是TA业务提供商在整个TA实例周期内单一的时间。不受低功耗状态转移的影响。在TEE重启或者TA关闭阶段不存在指TEE和TA服务的正确执行的能力持久的TEE数据，包括TEE密钥
单一性：
不变性
随机性
可靠性：
安全属性
时间一致性
可靠性：
时间一致性：
原子性；
机密性；
设备绑定性
单一性
执行动作的完整性：
TEE和TA运行数据的完整
性和机密性
可靠性：
时间一致性：
机密性：
设备绑定性
HiiKAoNiKAca
安全资产
TEE固件
TEE初始化
TEE可信根
TEE代码
表1（续）
从设备上电到TEE安全服务的完全激活过程中的进程初始化。TEE的认证在初始化过程中。用于将存储的数据和密钥与一个TEE进行绑定5移动终端可信环境安全目标
5.1对安全资产的攻击类型
YD/T2844.1-2015
安全属性
可靠性：
时间一致性：
完整性
完整性
单一性：
不变性：
机密性
本部分定义在移动终端的最终使用阶段，移动终端的可信环境安全资产所面临的威胁类型，对安全资产的攻击可以是来自于个人或者组织，它们通过远端控制或者物理接入对联有TEE的设备进行攻击。当TEE拥有第三方的资产时，终端的最终使用者也可能会成为一个潜在的攻击者。攻击者的动机是多种多样的，一般来说主要目标集中在运行在TEE环境里的可信应用，例如攻击者想要窃取移动终端用户的密码信息、一个提供者的内容信息，或者从TA业务中获得非法利益（如接入到集团网络）。这种攻击所带来的影响不但依赖于被攻击资产的价值，而且还依赖于以低成本快速复制这些攻击的可能性。
附录A描述了对安全资产攻击的场景和攻击途径。本部分只定义攻击类型，包括攻击目标、被攻击的安全资产以及相应的攻击途径。表2中攻击的安全资产指直接攻击的资产，不包括通过这些直接攻击的资产而产生的间接攻击的资产。
表2安全资产安全威胁类型
攻击类型
功能溢用
FLASH政击
假冒身份
恶意代码攻击
目标描述
在非正常状态下接入到TEE，并
破坏TEE生命周期或者状态机的
不可逆行为
将一个设备的TEE相关数据拷贝
到另外一个设备上，并使这个设备误以为数据为真正的数据
对部分或者全部外部FLASH内容
的明文恢复，获取TA和TEE敏
感数据
假冒一个可信应用获得另外一个可信应用的非法的服务和数据接入
在TEE中注入恶意代码，获取或
者修改敏感数据。
注：向REE中注入恶意代码不属
于TEE控制范围内
攻击的资产
*TEE初始进程
·TEE和TA服务
随机数发生器
·TA代码
所有的数据
所有的密钥
·TA数据免费标准下载网bzxz
·TA密钥
·TEE数据
·TEE和TA服务
·随机数发生器
·TEE和TA服务
·随机数发生器
攻击途径
·在未期望的上下文或者参数执行命令，假扮虚假的认证实体或者执行伪操作·通过JTAG接口接入到TEE调试模式寻找TEE漏洞
所有可能的硬件和软件攻击途径依靠软件或者一个USB连接执行存储器内容抓取，或者分离一个FLASH存储并对其内容进行抓取
所有可能的硬件和软件攻击途径所有可能的硬件和软件攻击途径7
YD/T2844.1-2015
攻击类型
干扰攻击
RAM攻击
随机数发生器
固件回滚
数据损坏
目标描述
修改TEE或TA的行为，以便获
取或者修改敏感数据，或者强制TEE或TA执行非授权的服务
恢复部分或者全部的RAM内容，
获取运行时刻数据，干扰TEE初
始化进程
在非授权的模型下获取随机数发生器信息
通过运行时刻的攻击或者非授权的接入存储空间获取保密数据或密钥
备份部分或者全部TEE固件，以
便后期恢复并使用已过时的TEE
损坏部分或全部TEE使用的
FLASH存储，进而触发一个异常
5.2可信环境安全目标
5.2.1概述
表2（续）
政击的资产
·TEE初始进程
·TEE可信根存储
TEE和TA服务
·随机数发生器
·TEE和TA服务的
运行时刻数据
·TEE初始化进程
·TEE可信根存储
·随机数发生器
随机数发生器
·所有数据
·所有密钥
·TEE可信根存储
TEE固件
TEE可信根存储
·TEE数据
·TEE固件
·TA数据和密钥
·TA实例时间
·TA代码
攻击途径
·使用非授权或错误的执行命令·缓冲器溢出攻击
·TEE或TA程序的异常处理
探听存储总线
所有可能的硬件和软件攻击途径。·功率分析
·功率差错分析
·探测外部总线
利用旧版本查找新版本的漏洞。破坏REE系统文件或FLASH驱动。可信环境总体安全目标是可信环境所具有的安全功能能够防御第5.1节描述的攻击类型，保证在移动终端上安全地执行可信应用，实施安全应用彼此间的分离以及与富指令执行环境间的分离，并保证TEE管理下的资产具有完整性和机密性。依据可信环境的概念，可信环境的总体目标需要由下面几个部分所具有的安全能力共同完成：
可信执行环境：
·安全存储：
·安全启动；
·运行时刻的完整校验；
·与输入输出的安全交互。
5.2.2可信执行环境
可信执行环境是存在于移动终端的主要处理部件SoC上，一个与现有的执行富指令的REE以及它上面的应用CA相分离的环境。为能抵御一组定义的威胁，可信执行环境需具有一定的安全能力，并能满足一定的安全要求。
YD/T2844.1-2015
可信执行环境详细的安全功能和安全要求在YD/T2844.2《移动终端可信环境技术要求第2部分：可信执行环境》中定义。
5.2.3安全存储
安全存储是帮助可信执行环境处理一些敏感目标以及对这些敏感目标的存储。为能抵御一组定义的威胁，安全存储需具有一定的安全功能，并能满足一定的安全要求。安全存储详细的安全功能和安全要求在YD/T2844.3《移动终端可信环境技术要求第3部分：安全存储》中定义。
5.2.4安全启动
安全启动保证可信执行环境引导程序的完整性，这个引导程序可以通过OTA或者一些其他的连接下载的升级引导程序镜像进行修改。为能抵御一组定义的威胁，安全启动需具有一定的安全功能，并能满足一定的安全要求。
安全启动详细的安全功能和安全要求在YD/T2844.4《移动终端可信环境技术要求第4部分：操作系统的安全保护》中定义。
5.2.5运行时刻的完整校验
运行时刻的完整校验保证了可信执行环境里主要的硬件和软件的完整性，运行时刻的监测、状态未授权改变的检测等。为能抵御一组定义的威胁，时间的完整校验需具有一定的安全能力，并能满足一定的安全要求。
有关运行时刻的完整性的安全功能和安全要求在YD/T2844.4《移动终端可信环境技术要求第4部分：操作系统的安全保护》中定义。5.2.6与输入输出的安全交互
在可信环境下，为能抵御一组定义的威胁，与用户的输入/输出需具有一定的安全功能，并能满足一定的安全要求，保证与用户的交互信息处手安全状态。与用户的输入/输出的安全功能和安全要求在YD/T2844.5《移动终端可信环境技术要求第5部分：与输入输出设备的安全交互》中定义。6移动终端可信环境安全能力分类移动终端可信环境安全能力是指为抵御任一软件的攻击以及基本的硬件攻击，组成可信环境的各个部分所应具备的安全功能的集合。这些安全功能同时也会帮助相应的安全资产抵御相应的攻击。根据攻击场景以及攻击类型的不同，我们将可信环境的安全功能分为必选集和可选集。必选集内的安全功能能够抵御那些极易出现的攻击场景和相对容易构建的攻击模型，可选集内的安全功能能够抵御那些难以出现的攻击场景和相对难以构建的攻击模型。针对于实现TEE功能的可信移动终端，主要应考虑的是附件A中的远端攻击场景和本地外行攻击场景，因此应将这两个场景威胁下的安全要求定义为必选安全要求。而本地内行攻击场景威胁下的安全要求定义为可选安全要求，在该系列标准中，针对每一个安全要求都会定义相应的安全功能分类，对于那些属于必选集内的安全要求是被认为该TEE产品所必须具有的功能要求，而针对那些属于可选集内的安全功能要求是被认为该TEE产品可以具有的功能要求。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。