【YD通讯标准】移动终端可信环境技术要求第3部分:安全存储

本网站发布时间： 2024-10-14 14:23:33

YD/T2844.3-2015
现行
　点击下载此标准

基本信息

标准号：
YD/T 2844.3-2015
标准名称：
移动终端可信环境技术要求第3部分:安全存储
标准类别：
通信行业标准(YD)
标准状态：
现行
出版语种：
简体中文
下载格式：
.zip .pdf
下载大小：
1.18 MB

标准分类号

关联标准

出版信息

其他信息

相关标签：
移动终端可信环境技术安全存储

标准简介/下载

点击下载

标准简介：

YD/T 2844.3-2015.Trusted environment of mobile phone Part 3: Secure storage.
1范围
YD/T 2844.3规定了移动终端可信执行环境安全存储功能要求，包括安全存储目标以及安全存储功能要求。
YD/T 2844.3适用于各种制式的移动通信终端设备。
2术语、定义和缩略语
2.1术语和定义
下列术语和定义适用于本文件。
2.1.1
应用资产管理者Application Assets Manager
提供安全存储功能的代码，通过安全存储功能来管理敏感实体。
2.1.2
密钥管理者Key Manager
用于管理密钥的安全存储代码。
2.1.3
访问控制Access Control
一个加强允许或者拒绝用户访问某种资源的控制方法。
2.2缩略语
下列缩略语适用于本文件:
SE Secure Element 安全单元.
TEE Trusted Execution Environment 可信执行环境
3移动终端可信环境安全存储目标
移动终端可信环境安全存储是指TEE为敏感实体提供的安全存储能力,本部分的敏感实体特指可信应用的数据和密钥资产，因此安全存储应保证可信应用的数据和密钥具有以下安全属性:
●被存储数据和密钥的机密性;
●被存储数据和密钥的完整性;
●被存储数据和密钥的一-致性;
●修改存储执行过程中的原子性。
安全存储典型地依靠于加密和完整性保护技术，使用标准的算法和功能来保护数据和密钥。对于安全存储来说，最大的风险是密钥的非安全存储以及密钥在使用过程中的对外暴露，因此安全存储应和信任跟建立-种绑定机制，即安全存储空间必须由相同TEE环境授权过的可信应用访问或修改。

标准内容

部分标准内容：

ICS33.050.01
中华人民共和国通信行业标准
YD/T2844.3-2015
移动终端可信环境技术要求
第3部分：安全存储
Trusted environmentofmobilephonePart3:Securestorage
2015-04-30发布
2015-07-01实施
中华人民共和国工业和信息化部发布前
2术语、定义和缩略语
2.1术语和定义
2.2缩略语
3移动终端可信环境安全存储目标4安全存储要求..
4.1安全存储一般性要求
4.2安全存储接入控制安全能力要求4.3安全存储应用资产管理要求
4.4安全存储密钥管理要求
参考文献·
YD/T2844.3-2015
YD/T2844.3-2015
YD/T2844《移动终端可信环境技术要求》分为5个部分：一第1部分：总体；
—第2部分：可信执行环境：
第3部分：安全存储：
一第4部分：操作系统的安全保护；第5部分：与输入输出设备的安全交互。本部分为YD/T2844的第3部分。
本部分按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任，本部分由中国通信标准化协会提出并归口。本部分起草单位：工业和信息化部电信研究院。本部分主要起草人：国
国炜、潘娟、史德年、何桂立、任晓明、王绍斌、宁华、袁广翔、孙龙。I
TiiKAoNiKAca
1范围
移动终端可信环境技术要求
第3部分：安全存储
YD/T2844.3-2015
本部分规定了移动终端可信执行环境安全存储功能要求，包括安全存储目标以及安全存储功能要求。本部分适用于各种制式的移动通信终端设备。2术语、定义和缩略语
2.1术语和定义
下列术语和定义适用于本文件。2.1.1
应用资产管理者ApplicationAssetsManager提供安全存储功能的代码，通过安全存储功能来管理敏感实体。2.1.2
密钥管理者KeyManager
用于管理密钥的安全存储代码。2.1.3
访问控制AccessControl
一个加强充许或者拒绝用户访问某种资源的控制方法。2.2缩略语免费标准下载网bzxz
下列缩略语适用于本文件：
Secure Element
Trusted Execution Environment3移动终端可信环境安全存储目标安全单元
可信执行环境
移动终端可信环境安全存储是指TEE为敏感实体提供的安全存储能力，本部分的敏感实体特指可信应用的数据和密钥资产，因此安全存储应保证可信应用的数据和密钥具有以下安全属性：·被存储数据和密钥的机密性：·被存储数据和密钥的完整性：。被存储数据和密钥的一致性：·修改存储执行过程中的原子性。安全存储典型地依靠于加密和完整性保护技术，使用标准的算法和功能来保护数据和密钥。对于安全存储来说，最大的风险是密钥的非安全存储以及密钥在使用过程中的对外暴露，因此安全存储应和信任跟建立一种绑定机制，即安全存储空间必须由相同TEE环境授权过的可信应用访问或修改，1
TiiKANniKAca
YD/T2844.3-2015
4安全存储要求
4.1安全存储一般性要求
表1描述了安全存储所应提供的一般性安全功能要求。表1安全存储一般性要求
安全要求序列号
TEE-55
TEE-56
安全要求描述
敏感实体应存储在安全的存储器中；或者对所保存的敏感实体进行加密存储：或者将敏感实体保存在SE中
安全存储对敏感实体的操作处理应具有加密和完整性保护机制执行，基至在敏感实体被转移的过程中还应保证这些敏感实体的机密性、可靠性、一致性和原子性4.2安全存储接入控制安全能力要求必选
表2描述了安全存储在访问控制方面所应具有的安全能力要求。表2安全存储接入控制要求
安全要求序列号
TEE-57
TEE-58
TEE-59
安全要求描述
任何被安全存储的应用级敏感实体应仅被下面用户访问：
a）应用资产管理者：
b）应用资产管理者授权的应用
应用通过调用安全存储来获得应用资产管理者提供的安全存储服务
安全存储的应用资产管理者数据仅仅由应用资产管理者访问
4.3安全存储应用资产管理要求
表3描述了安全存储的应用资产管理方面所应具备的安全能力要求。表3安全存储应用资产管理要求
安全要求序列号
TEE-60
TEE-61
TEE-62
安全要求描述
应用资产管理应与TEE应用具有一对一的绑定关系
安全存储的敏感实体由与这些敏感实体相绑定的应用访间
与这些敏感实体相绑定的应用授权其他的可信应用访问其安全存储的敏感实体4.4安全存储密钥管理要求
表4描述了安全存储密钥管理方面所应具备的安全能力要求。2
对应的安全目标实体
可信存储
可信存储
对应的安全目标实体
可信存储
可信存储
可信存储
对应的安全目标实体
可信应用
可信应用
可信应用
iiiKAoNiKAca
安全要求序列号
TEE-63
TEE-64
TEE-65
TEE-66
TEE-67
表4安全存储密钥管理要求
安全要求描述
安全存储密钥管理机制应保证存储密钥的机密性和完整性
安全存储的密钥管理仅仅由应用资产管理者访间
安全存储中的密钥仅仅由密钥管理者访问和处理
安全存储密钥在被使用前应保证其完整性和可靠性
安全存储的密钥管理机制在对存储的密钥进行操作、存储和转移行为过程中应保证其机密性、完整性、一致性和原子性
YD/T2844.3-2015
对应的安全目标实体
可信存储
可信存储
可信存储
可信存储
可信存储
iiiKAoNiKAca
YD/T2844.3-2015
参考文献
[1]jAdvancedTrustedEnvironmentOMTPTR1v1.1.[2]GlobalPlatform Device Committee TEE Protection Profile Version 1.0
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。

标准图片预览