- 您的位置:
- 标准下载网 >>
- 标准分类 >>
- 通信行业标准(YD) >>
- YD/T 2844.5-2016 移动终端可信环境技术要求 第5部分:与输入输出设备的安全交互
【YD通讯标准】 移动终端可信环境技术要求 第5部分:与输入输出设备的安全交互
本网站 发布时间:
2024-10-14 10:35:06
- YD/T2844.5-2016
- 现行
标准号:
YD/T 2844.5-2016
标准名称:
移动终端可信环境技术要求 第5部分:与输入输出设备的安全交互
标准类别:
通信行业标准(YD)
标准状态:
现行出版语种:
简体中文下载格式:
.zip .pdf下载大小:
2.13 MB
标准简介/下载点击下载
标准简介:
YD/T 2844.5-2016.Trusted environment of mobile phone Part 5: Secure interaction with input and output device.
1范围
YD/T 2844.5规定了移动终端可信执行环境与输入输出设备的安全交互,包括可信用户接口概念、安全目标以及安全能力要求。本部分不具体定义可信用户接口数据内容与格式。
YD/T 2844.5适用于具有TEE运行环境的各种制式的移动通信终端设备。
2术语、定义和缩略语
2.1术语和定义
下列术语和定义适用于本文件。
2.1.1
用户接口User Interface
为方便用户使用移动终端设备的资源所建立的用户和移动终端设备之间的联系,包括输入接口和输出接口。
2.2缩略语
下列缩略语适用于本文件。
LED Light Emitting Diode 发光二极管
OS Operating System 操作系统
REE Rich Execution Environment 富执行环境
TA Trusted Application 可信应用
TEE Trusted Execution Environment 可信执行环境
3可信用户接口
3.1可信用户接口概念
可信应用在金融、企业等应用场景下需要与用户进行交互,即可信应用需要向用户显示敏感信息以便获得用户的确认,或从用户那里获取敏感信息。
一般情况下,用户的输入/输出接口包含如下方面。
标准内容部分标准内容:
ICS33.050.01
中华人民共和国通信行业标准
YD/T2844.5-2016
移动终端可信环境技术要求
第5部分:与输入输出设备的安全交互TrustedenvironmentofmobilephonePart 5:Secure interactionwithinputandoutputdevice2016-04-05发布
2016-07-01实施
中华人民共和国工业和信息化部发布前言
1范围..
2术语、定义和缩略语
3可信用户接口·
4可信用户接口安全要求
附录A(资料性附录)
附录B(资料性附录)
参考文献·
应用场景
威胁场景.
YD/T2844.5-2016
YD/T2844.5-2016
YD/T2844《移动终端可信环境技术要求》分为6个部分:第1部分:总体;
第2部分:可信执行环境:
第3部分:安全存储:
一第4部分:操作系统的安全保护;第5部分:与输入输出设备的安全交互:第6部分:与SE的安全交互。
本部分为YD/T2844的第5部分。
本部分按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国信息通信研究院。本标准主要起草人:国炜、潘娟、史德年、何桂立、落红卫、任晓明。HiiKAoNiKAca
1范围
移动终端可信环境技术要求
第5部分:与输入输出设备的安全交互YD/T2844.5-2016
本部分规定了移动终端可信执行环境与输入输出设备的安全交互,包括可信用户接口概念、安全目标以及安全能力要求。本部分不具体定义可信用户接口数据内容与格式。本部分适用于具有TEE运行环境的各种制式的移动通信终端设备。2术语、定义和缩略语
2.1术语和定义
下列术语和定义适用于本文件。2.1.1
用户接口UserInterface
为方便用户使用移动终端设备的资源所建立的用户和移动终端设备之间的联系,包括输入接口和输出接口。
2.2缩略语
下列缩略语适用于本文件。
LightEmittingDiode
Operating System
Rich Execution Environment
Trusted Application
Trusted Execution Environment3可信用户接口
可信用户接口概念
发光二极管
操作系统
富执行环境
可信应用
可信执行环境
可信应用在金融、企业等应用场景下需要与用户进行交互,即可信应用需要向用户显示敏感信息以便获得用户的确认,或从用户那里获取敏感信息。一般情况下,用户的输入/输出接口包含如下方面。输出部分:
·显示,例如文本、图像:
·音频,例如音乐、语音:
·指示,例如LED、标签。
一输入部分:
·键盘:
·触摸屏;
,麦克风;
生物识别,例如指纹。
HiiKAoNiKAca
YD/T2844.5-2016
注1:本部分只针对显示。键盘和触摸屏、指示接口设备提出相应的安全功能要求。注2:以上这些输入/输出设备必须和移动设备直接连接或者是移动设备的一部分,本部分不支持远端外围接口。可信用户接口是指TEE为可信应用提供的与用户输入/输出设备安全交互的能力,这个能力保证了可信应用与用户交互的敏感数据免受其它应用或恶意软件的攻击。可信用户接口典型的架构如图1所示,它由触摸屏、键盘、显示和指示部分组成。当可信用户接口的这些设备处于工作时,REE不能对其接入并读写,并且不能接收相关事件的状态指示。在其它时间,由TEE决定是否将对这些接口的控制权交给REE。REE
OS应用
Os组件
os内核
REE外部接口设备
3.2可信用户接口安全目标
可信应用
Trustedos组件
Trusted 内核
触摸屏/键盘
图1可信用户接口框架
根据附录A和附录B所描述的应用场景和威胁场景,可信用户接口安全目标包括以下三方面:安全显示:向用户显示的信息不能被REE环境里的任何应用或者TEE环境里的非授权的应用接入,修改或隐藏;
,安全输入:用户输入的信息不能被REE环境里的任何应用或者TEE环境里的非授权的应用获得或修改;
·安全指示:能够让用户通过指示状态确信当前的执行环境由TEE控制。4可信用户接口安全要求
安全显示功能要求
表1描述了安全显示所应具有的功能要求。表1安全显示功能要求
安全要求
序列号
TEE-90
TEE-91
TEE-92
安全要求描述
可信用户接口显示屏的显示顺序应具有原子性可信用户接口显示屏由TA发起,每一个TA显示都是完全隔离当可信用户接口显示屏处于显示状态时,REE不能对该显示屏进行读或写操作
对应的安全
目标实体
安全显示
安全显示
安全显示
iiKAoNiKAca
安全要求
序列号
TEE-93
TEE-94
TEE-95
安全要求描述
表1(续)
对于已经开始一个可信用户接口显示请求但没有显示的行为,应有一个时间超期处理,处理结果为关闭该请求当可信用户接口显示屏工作在显示状态时,TEE所提供的安全指示应处于有效状态
当发生以下情况时,应停止可信用户接口显示屏工作:终端设备重新启动:
终端设备电源关闭:
终端设备开启睡眠模式:
终端设备关闭背光
4.2安全输入功能要求
表2描述了安全输入应具有的功能要求,表2安全输入功能要求
安全要求
序列号
TEE-96www.bzxz.net
TEE-97
安全要求描述
使用键盘或虚拟键盘进行输入的时候,TEE所提供的安全指示应处于有效状态
当发生以下情况时,应停止可信用户输入接口工作:终端设备重新启动:
终端设备电源关闭:
终端设备开启睡眠模式:
终端设备关闭背光
4.3安全指示功能要求
YD/T2844.5-2016
对应的安全
目标实体
安全显示
安全显示
安全显示
对应的安全
目标实体
安全输入
安全输入
安全指示是由TEE所提供的,用于向用户指示移动终端工作域的状态。当工作域处于TEE环境下,安全指示有效:当工作域处于REE环境下,安全指示无效。表3描述了安全指示应具备的功能要求。表3安全指示功能要求
安全要求
序列号
TEE-98
TEE-99
TEE-100
TEE-101
安全要求描述
安全指示由TEE管理,与REE分离安全指示应处于用户显而易见的位置。当工作域为TEE时,安全指示有效:当工作域为REE时,安全指示无效安全指示的信息不应被REE获知
当发生以下情况时,应停止安全指示工作:终端设备重新启动:
终端设备电源关闭:
终端设备开启睡眠模式:
终端设备关闭背光
对应的安全
目标实体
安全指示
安全指示
安全指示
安全指示
HiiKAoNiKAca
YD/T2844.5-2016
A.1PIN输入
附录A
(资料性附录)
应用场景
可信用户接口允许用户输入一串数字标识(如PIN码),以便验证一个操作的有效性。以下应用可以触发PIN码输入:
:移动金融业务,如通过一个应用查询银行账户或者为一个账单付款时需要输入正确的PIN码以便验证一个用户正在申请该操作:·授权观看数据;
。授权改变设备的状态或者其它能力。A.2登录账号/密码输入
在受保护的状态下输入登录账号和密码,以后后续执行敏感的操作。这种场景通常是授权用户通过互联网接入到个人账户信息。
A.3消息显示
TA将敏感信息通过显示屏展现给用户,以及可能后续的允许用户指示其接受或拒绝这个消息。以下应用可以触发消息的展示
·合同确认;
一次性密码凭证:
.医疗信息:
通常情况下,有三种资源直接或者间接地定制所显示消息的界面。a)远端的服务器
远端的服务器能够使用设备的输入/输出接口来组成复杂的图表或者基于消息的文本,在这些图表或文本显示之前,远端服务器需要先将这些下载到TA。远端的服务器能够使用设备的输入/输出接口来组成复杂的图表或者基于消息的文本,在这些图表或文本显示之前,远端服务器需要先将这些下载到TA。远端的服务器能够使用设备的输入/输出接口来组成复杂的图表或基于消息的文本,在这些图表或文本显示之前。b)远端的终端设备
远端的终端设备就是指NFC设备,该设备将一些简单的信息(如条款数、条款名称、条款价格等)传递给另外一个支持NFC功能的设备,以便这个设备将这些信息友好地展现给用户以便进行交互。c)设备本地消息
这些消息是前期已经被定义并安装到设备上,通过设备的可信输入/输出接口将消息展现给用户。4
HiiKAoNiKAca
B.1键盘记录
附录B
(资料性附录)
威胁场景
YD/T2844.5-2016
键盘记录是一个运行在后台的程序,它能够捕提用户的按键。如果不被登记在进程列表中,这种后台程序是很难被检测到。键盘记录能够监测并存储敏感的信息,如登录账号、密码以及信用卡相关的数据信息。
2篡改输入
在很多图形系统中是充许开发者创建并发送U事件,攻击者正是利用这个特性来对输入事件进行算改。图形系统通常是自已管理用户输入的显示,并通过软件调用功能将输入的数据发送给应用。应用在接收数据时也通常会认为该数据与显示屏上所显示的数据一致。如果一个恶意应用能够钩住软件调用功能,它就能够接收到图形系统发过来的用户按键,然后对其进行算改并将错误的按键数据发给应用。由于屏幕上所显示的数据正是用户所键入的,所以用户对于这个算改过程毫无知觉。
B.3伪造数据
伪造数据即是修改应用发送给图形系统的数据。例如,一个恶意应用将应用发送的要显示的数据进行拦截,然后用伪造的数据将其替换。HiiKAoNiKAca
YD/T2844.5-2016
[U]AdvancedTrustedEnvironmentOMTPTR1vl.][2] GlobalPlatform Device Committee TEEProtection Profile Version 1.0[3] GlobalPlatform Device Technology Trusted User Interface API Version 1.06
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2844.5-2016
移动终端可信环境技术要求
第5部分:与输入输出设备的安全交互TrustedenvironmentofmobilephonePart 5:Secure interactionwithinputandoutputdevice2016-04-05发布
2016-07-01实施
中华人民共和国工业和信息化部发布前言
1范围..
2术语、定义和缩略语
3可信用户接口·
4可信用户接口安全要求
附录A(资料性附录)
附录B(资料性附录)
参考文献·
应用场景
威胁场景.
YD/T2844.5-2016
YD/T2844.5-2016
YD/T2844《移动终端可信环境技术要求》分为6个部分:第1部分:总体;
第2部分:可信执行环境:
第3部分:安全存储:
一第4部分:操作系统的安全保护;第5部分:与输入输出设备的安全交互:第6部分:与SE的安全交互。
本部分为YD/T2844的第5部分。
本部分按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国信息通信研究院。本标准主要起草人:国炜、潘娟、史德年、何桂立、落红卫、任晓明。HiiKAoNiKAca
1范围
移动终端可信环境技术要求
第5部分:与输入输出设备的安全交互YD/T2844.5-2016
本部分规定了移动终端可信执行环境与输入输出设备的安全交互,包括可信用户接口概念、安全目标以及安全能力要求。本部分不具体定义可信用户接口数据内容与格式。本部分适用于具有TEE运行环境的各种制式的移动通信终端设备。2术语、定义和缩略语
2.1术语和定义
下列术语和定义适用于本文件。2.1.1
用户接口UserInterface
为方便用户使用移动终端设备的资源所建立的用户和移动终端设备之间的联系,包括输入接口和输出接口。
2.2缩略语
下列缩略语适用于本文件。
LightEmittingDiode
Operating System
Rich Execution Environment
Trusted Application
Trusted Execution Environment3可信用户接口
可信用户接口概念
发光二极管
操作系统
富执行环境
可信应用
可信执行环境
可信应用在金融、企业等应用场景下需要与用户进行交互,即可信应用需要向用户显示敏感信息以便获得用户的确认,或从用户那里获取敏感信息。一般情况下,用户的输入/输出接口包含如下方面。输出部分:
·显示,例如文本、图像:
·音频,例如音乐、语音:
·指示,例如LED、标签。
一输入部分:
·键盘:
·触摸屏;
,麦克风;
生物识别,例如指纹。
HiiKAoNiKAca
YD/T2844.5-2016
注1:本部分只针对显示。键盘和触摸屏、指示接口设备提出相应的安全功能要求。注2:以上这些输入/输出设备必须和移动设备直接连接或者是移动设备的一部分,本部分不支持远端外围接口。可信用户接口是指TEE为可信应用提供的与用户输入/输出设备安全交互的能力,这个能力保证了可信应用与用户交互的敏感数据免受其它应用或恶意软件的攻击。可信用户接口典型的架构如图1所示,它由触摸屏、键盘、显示和指示部分组成。当可信用户接口的这些设备处于工作时,REE不能对其接入并读写,并且不能接收相关事件的状态指示。在其它时间,由TEE决定是否将对这些接口的控制权交给REE。REE
OS应用
Os组件
os内核
REE外部接口设备
3.2可信用户接口安全目标
可信应用
Trustedos组件
Trusted 内核
触摸屏/键盘
图1可信用户接口框架
根据附录A和附录B所描述的应用场景和威胁场景,可信用户接口安全目标包括以下三方面:安全显示:向用户显示的信息不能被REE环境里的任何应用或者TEE环境里的非授权的应用接入,修改或隐藏;
,安全输入:用户输入的信息不能被REE环境里的任何应用或者TEE环境里的非授权的应用获得或修改;
·安全指示:能够让用户通过指示状态确信当前的执行环境由TEE控制。4可信用户接口安全要求
安全显示功能要求
表1描述了安全显示所应具有的功能要求。表1安全显示功能要求
安全要求
序列号
TEE-90
TEE-91
TEE-92
安全要求描述
可信用户接口显示屏的显示顺序应具有原子性可信用户接口显示屏由TA发起,每一个TA显示都是完全隔离当可信用户接口显示屏处于显示状态时,REE不能对该显示屏进行读或写操作
对应的安全
目标实体
安全显示
安全显示
安全显示
iiKAoNiKAca
安全要求
序列号
TEE-93
TEE-94
TEE-95
安全要求描述
表1(续)
对于已经开始一个可信用户接口显示请求但没有显示的行为,应有一个时间超期处理,处理结果为关闭该请求当可信用户接口显示屏工作在显示状态时,TEE所提供的安全指示应处于有效状态
当发生以下情况时,应停止可信用户接口显示屏工作:终端设备重新启动:
终端设备电源关闭:
终端设备开启睡眠模式:
终端设备关闭背光
4.2安全输入功能要求
表2描述了安全输入应具有的功能要求,表2安全输入功能要求
安全要求
序列号
TEE-96www.bzxz.net
TEE-97
安全要求描述
使用键盘或虚拟键盘进行输入的时候,TEE所提供的安全指示应处于有效状态
当发生以下情况时,应停止可信用户输入接口工作:终端设备重新启动:
终端设备电源关闭:
终端设备开启睡眠模式:
终端设备关闭背光
4.3安全指示功能要求
YD/T2844.5-2016
对应的安全
目标实体
安全显示
安全显示
安全显示
对应的安全
目标实体
安全输入
安全输入
安全指示是由TEE所提供的,用于向用户指示移动终端工作域的状态。当工作域处于TEE环境下,安全指示有效:当工作域处于REE环境下,安全指示无效。表3描述了安全指示应具备的功能要求。表3安全指示功能要求
安全要求
序列号
TEE-98
TEE-99
TEE-100
TEE-101
安全要求描述
安全指示由TEE管理,与REE分离安全指示应处于用户显而易见的位置。当工作域为TEE时,安全指示有效:当工作域为REE时,安全指示无效安全指示的信息不应被REE获知
当发生以下情况时,应停止安全指示工作:终端设备重新启动:
终端设备电源关闭:
终端设备开启睡眠模式:
终端设备关闭背光
对应的安全
目标实体
安全指示
安全指示
安全指示
安全指示
HiiKAoNiKAca
YD/T2844.5-2016
A.1PIN输入
附录A
(资料性附录)
应用场景
可信用户接口允许用户输入一串数字标识(如PIN码),以便验证一个操作的有效性。以下应用可以触发PIN码输入:
:移动金融业务,如通过一个应用查询银行账户或者为一个账单付款时需要输入正确的PIN码以便验证一个用户正在申请该操作:·授权观看数据;
。授权改变设备的状态或者其它能力。A.2登录账号/密码输入
在受保护的状态下输入登录账号和密码,以后后续执行敏感的操作。这种场景通常是授权用户通过互联网接入到个人账户信息。
A.3消息显示
TA将敏感信息通过显示屏展现给用户,以及可能后续的允许用户指示其接受或拒绝这个消息。以下应用可以触发消息的展示
·合同确认;
一次性密码凭证:
.医疗信息:
通常情况下,有三种资源直接或者间接地定制所显示消息的界面。a)远端的服务器
远端的服务器能够使用设备的输入/输出接口来组成复杂的图表或者基于消息的文本,在这些图表或文本显示之前,远端服务器需要先将这些下载到TA。远端的服务器能够使用设备的输入/输出接口来组成复杂的图表或者基于消息的文本,在这些图表或文本显示之前,远端服务器需要先将这些下载到TA。远端的服务器能够使用设备的输入/输出接口来组成复杂的图表或基于消息的文本,在这些图表或文本显示之前。b)远端的终端设备
远端的终端设备就是指NFC设备,该设备将一些简单的信息(如条款数、条款名称、条款价格等)传递给另外一个支持NFC功能的设备,以便这个设备将这些信息友好地展现给用户以便进行交互。c)设备本地消息
这些消息是前期已经被定义并安装到设备上,通过设备的可信输入/输出接口将消息展现给用户。4
HiiKAoNiKAca
B.1键盘记录
附录B
(资料性附录)
威胁场景
YD/T2844.5-2016
键盘记录是一个运行在后台的程序,它能够捕提用户的按键。如果不被登记在进程列表中,这种后台程序是很难被检测到。键盘记录能够监测并存储敏感的信息,如登录账号、密码以及信用卡相关的数据信息。
2篡改输入
在很多图形系统中是充许开发者创建并发送U事件,攻击者正是利用这个特性来对输入事件进行算改。图形系统通常是自已管理用户输入的显示,并通过软件调用功能将输入的数据发送给应用。应用在接收数据时也通常会认为该数据与显示屏上所显示的数据一致。如果一个恶意应用能够钩住软件调用功能,它就能够接收到图形系统发过来的用户按键,然后对其进行算改并将错误的按键数据发给应用。由于屏幕上所显示的数据正是用户所键入的,所以用户对于这个算改过程毫无知觉。
B.3伪造数据
伪造数据即是修改应用发送给图形系统的数据。例如,一个恶意应用将应用发送的要显示的数据进行拦截,然后用伪造的数据将其替换。HiiKAoNiKAca
YD/T2844.5-2016
[U]AdvancedTrustedEnvironmentOMTPTR1vl.][2] GlobalPlatform Device Committee TEEProtection Profile Version 1.0[3] GlobalPlatform Device Technology Trusted User Interface API Version 1.06
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
标准图片预览 标准图片预览:
- 热门标准
- YD通讯标准标准计划
- YD/T1770-2008 接入网用室内外光缆
- YD/T1790-2008 移动多媒体广播业务应用层接口技术要求
- YD/T1765-2008 通信安全防护名词术语
- YD/T1533.2-2006 固定网多媒体消息业务技术要求 第2部分:多媒体消息业务接口
- YD/T1460.4-2006 通信用气吹微型光缆及光纤单元 第4部分:微型光缆
- YD/T1460.5-2006 通信用气吹微型光缆及光纤单元 第5部分:高性能光纤单元
- YD/T1785-2008 移动多媒体广播业务总体技术要求
- YD/T1793-2008 2GHz 数字蜂窝移动通信网网络管理技术要求网元管理系统(EMS)功能
- YD/T1118.2-2001 光纤用二次被覆材料 第2部分:改性聚丙烯
- YD/T1533.1-2006 固定网多媒体消息业务技术要求 第1部分:多媒体消息中心(MMSC)设备
- YD/T1368.2-2008 2GHz TD-SCDMA 数字蜂窝移动通信网终端设备测试方法 第2部分网络兼容性测试
- YD/T1787-2008 移动多媒体广播业务业务指南技术要求
- YD/T1488-2006 400/1800MHz SCDMA 无线接入系统:频率间隔为 500kHz 的系统测试方法
- YD/T1791-2008 移动多媒体广播业务交互应用技术要求
- YDB006-2007 下一代网络(NGN)中 PSTN/ISDN 仿真业务技术要求
请牢记:“bzxz.net”即是“标准下载”四个汉字汉语拼音首字母与国际顶级域名“.net”的组合。 ©2009 标准下载网 www.bzxz.net 本站邮件:[email protected]
网站备案号:湘ICP备2023016450号-1
网站备案号:湘ICP备2023016450号-1