2023基于TEE的指紋識別技術(shù)要求

基于TEE的指紋識別技術(shù)要求II目 次前言 II范圍 3規(guī)性用件 3術(shù)和義 3縮語 3指識流程 4紋冊程 4紋驗程 4紋注流程 5指信的集管、加、儲驗要求 6紋息采與理要求 6紋息密存要求 6紋對求 6運環(huán)要求 77能求 7REE指接要求 7REE紋口能求 7否持紋驗詢接口 7REE境紋關(guān)作接口 7TEE指接要求 12TEE紋口能求 12紋口 13礎(chǔ)口 15據(jù)構(gòu) 18態(tài)碼 18REE與TEE通及TA更接要求 1910.1總則 1910.2AbstractTEEClient類 1933基于TEE的指紋識別技術(shù)要求范圍本文件規(guī)范了移動智能終端基于TEE指紋識別的技術(shù)要求。本文件規(guī)范適用于具有TEE運行環(huán)境的移動智能終端的指紋識別研發(fā)、設(shè)計、測試等活動。下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用）GB/T41388-2022信息安全技術(shù)可信執(zhí)行環(huán)境基本安全規(guī)范下列術(shù)語和定義適用于本文件。3.1可信執(zhí)行環(huán)境trustedexecutionenvironment移動智能終端上基于硬件級隔離及安全啟動機制，為確保安全敏感應(yīng)用相關(guān)數(shù)據(jù)和代碼的機密性、完整性、真實性和不可否認(rèn)性目標(biāo)構(gòu)建的一種軟件運行環(huán)境。注：環(huán)訪問的一種安全機制。[來源：GB/T41388-2022，3.3，有改寫]3.2富執(zhí)行環(huán)境richexecutionenvironment移動智能終端上為應(yīng)用程序提供基礎(chǔ)功能和計算資源的一種軟件軟件環(huán)境。注：富執(zhí)行環(huán)境是相對可信執(zhí)行環(huán)境獨立存在的運行環(huán)境。[來源：GB/T41388-2022，3.4，有改寫]3.3錯誤接受率falseacceptancerate指紋樣本特征與存儲的指紋模板的比對過程中，發(fā)生錯誤接受結(jié)果的比對次數(shù)與總比對次數(shù)的比值。3.4錯誤拒絕率falserejectionrate指紋樣本特征與存儲的指紋模板的比對過程中，發(fā)生錯誤拒絕結(jié)果的比對次數(shù)與總比對次數(shù)的比值?？s略語下列縮略語適用于本文件。API：應(yīng)用程序接口（ApplicationProgramInterface）44FAR（FalseAcceptanceRate）FRR（FalseRejectionRate）REE（RichExecutionEnvironment）SE（SecureElement）TA：可信應(yīng)用（TrustedApplication）TEE：可信應(yīng)用執(zhí)行壞境TrustedExecutionEnvironment指紋注冊消息流程見圖1。圖1 指流程指紋注冊消息流程具體如下：校驗服務(wù)器生成注冊請求（包含用戶名、挑戰(zhàn)數(shù)）校驗服務(wù)調(diào)用可信執(zhí)行環(huán)境中的校驗安全應(yīng)用，發(fā)起指紋校驗。用戶完成校驗后，校驗安全應(yīng)用校驗請求消息，生成用戶公私鑰對，在本地保存開通記錄（索引））器；（。指紋校驗消息流程見圖2。55圖2 指紋驗息程指紋校驗消息流程具體如下：校驗服務(wù)器生成校驗請求（包含用戶名、挑戰(zhàn)數(shù)、交易信息）全應(yīng)用校驗請求消息，獲取校驗結(jié)果，比對指紋索引，最后生成校驗響應(yīng)（）器；指紋去注冊消息流程見圖3。66圖3 指紋注消流程指紋去注冊消息流程具體如下：要求如下：如（如TEE）中；IDTEETEE要求如下：（TEESE）SM2、RSA2048）SM4、AES256CBC）要求如下：TEE、SE）77REETEEID。總則指紋關(guān)鍵模塊應(yīng)運行在安全環(huán)境（如TEE、SE）中。性能要求如下：RSA20486FAR≤1/50000FRR≤3%。REEREEREE指紋接口應(yīng)支持的功能包括：ID；IID描述如下：URL:content://rmation；在運行Android的設(shè)備上，如果支持指紋識別器并且具備可信執(zhí)行環(huán)境，設(shè)備可以通過ContentProviderAndroid層使用APImodelTEEREEAndroidfingerprintTEE1。表1 是否持紋驗詢口參數(shù)列必填說明備注model是型號格式:OME廠商-型號fingerprint是是否支持指紋1：支持，0：不支持REEAbstractFingerprint類描述描述如下：AbstractFingerprint8.1abstractclass88，com.ifaa.android.fingerprintpackageFingerprinte) openAbstractFingerprintFingerprint.open()throwsUnsupportedExceptionAbstractFingerprintFingerprint.open()throwsUnsupportedException{}該方法應(yīng)由設(shè)備廠商使用自己的指紋服務(wù)類實現(xiàn)，且Fingerprint類應(yīng)繼承于AbstractFingerprintAbstractFingerprintAbstractFingerprint類release/**/**release實例*@return*/publicabstractintrelease();描述指紋服務(wù)的實例提供releaseopen返回值0：-getFpIDs/**/**ID集合*@return*/publicabstractint[]getFpIDs();描述99IDID返回值null0int[]:IDgetFpName*@return*/publicabstractStringgetFpName(intid);/**id**@paramid指紋索引描述ID參數(shù)。返回值startFpManager(Contextcontext/**/***取id對應(yīng)的指紋模板的名稱*@paramcontext@return */publicabstractintstartFpManager(Contextcontext);描述跳轉(zhuǎn)至設(shè)備廠商的指紋管理器。該接口一般用于未錄入指紋的情況，方便用戶錄入指參數(shù)Contextcontext:Android返回值10100：-1/**/***@paramidentifyListenerlistener@paramtimeout<=0:0:）@paramids@paramuserData@returnIFingerprintAPI.CMD_RESULT_OK敗*/publicabstractintstartFpIdentify(IdentifyListeneridentifyListener,inttimeout,int[]ids,BundleuserData);描述Android該接口應(yīng)支持2參數(shù)IdentifyListeneridentifyListener8.3.2；inttimeoutcancelint[]idsnull時表示認(rèn)證所有手機上的指紋；否則表示認(rèn)證限制IDIDBundleuserData:返回值RESULT_SUCCESS100RESULT_FAILURE101cancel1111/**/**canceltheoperation*@return*/publicabstractintcancel();描述取消正在進行的認(rèn)證操作，調(diào)用該接口可觸發(fā)IdentifyListener的onResult返回RESULT_USER_CANCELstartFpIdentify返回值0：-1：IdentifyListener描述描述如下：IdentifyListenerc) onResult/**/**onRult*@paramresult結(jié)果,見"8.3.3"表格開頭@paramid@paramuserData*/voidonResult(intresult,intid,B描述IdentifyListener參數(shù)intresult8.3.3RESULT_開頭；intididID；BundleuserData:onStatus()方法1212/**/**onStatus*@paramstatus狀態(tài),"8.3.3"@paramuserData用戶數(shù)據(jù)*/voidonStatus(intstatus,BundleuserData);描述IdentifyListener參數(shù)intstatus8.3.3表格STATUS_義；BundleuserData:指紋識別結(jié)果定義見表2，指紋識別狀態(tài)定義見表3。表2 指紋別果義結(jié)果取值說明RESULT_SUCCESS100成功RESULT_FAILURE101失敗RESULT_CANCELED102用戶取消RESULT_NO_MATCH103無匹配指紋RESULT_NOT_SUPPORT111機器不支持指紋RESULT_NO_ENROLLED114本機未錄入任何指紋RESULT_TIMEOUT113超時RESULT_SENSOR_ERROR116傳感器錯誤RESULT_NOT_ENABLED115指紋功能未開啟表3 指紋別態(tài)義狀態(tài)取值說明STATUS_WAITING_INPUT1等待輸入指紋STATUS_INPUTTING2正在輸入指紋STATUS_INPUT_COMPLETED3輸入指紋完成TEETEE1313TEE指紋接口需要支持的功能如下：40IDIDIDID3sID2048key/valueTEE_EXT_GetDeviceUniqueIdTEE_ResultTEE_EXT_GetDeviceUniqueId([inbuf/outbuf]uint32_t*outputTEE_ResultTEE_EXT_GetDeviceUniqueId([inbuf/outbuf]uint32_t*output，[inbuf/outbuf]uint32*outlen)描述IDID參數(shù)uint32_t*output40ID；uint32*outlenbuf輸出：設(shè)備指紋的長度。返回值REETEETEE_FpGetLastIdentifyResultintTEE_FpGetLastIdentifyResult(intTEE_FpGetLastIdentifyResult([inbuf/outbuf]int*id)描述置。參數(shù)。返回值TEE_FP_GET_ID_ERRORIDTEE_FpGetIds1414intTEE_FpGetIds(intTEE_FpGetIds([inbuf/outbuf]int*ids,[inbuf/outbuf]int*idsCount)描述IDID參數(shù)int*idsID列表；int*idsCount：輸整指針由用維內(nèi)，輸為經(jīng)入紋一ID的個數(shù)如ids的 buf過小則接回要buf的小。返回值TEE_SUCCESSTEE_FP_GET_IDS_FAILIDTEE_FpGetAuthorticatorVersionintTEE_FpGetAuthorticatorVersion(intTEE_FpGetAuthorticatorVersion([inbuf/outbuf]uint32*ver)描述TEE_FpAuthenticatorSignTEE_FpAuthenticatorSign參數(shù)uint32*ver返回值TEE_SUCCESS：TEE_FP_FAILIDTEE_FpAuthenticatorSignintTEE_Fp_AuthenticatorSign(intTEE_Fp_AuthenticatorSign([inbuf]uint32_t*src，[inbuf]uint32src_len,[outbuf]uint32_t*des，[outbuf]uint32*deslen)描述使用指紋檢驗器的私鑰對傳入的數(shù)據(jù)簽名。指紋檢驗器的私鑰由設(shè)備廠商維護，不能SM2_SM3RSA_SHA256。參數(shù)uint32_t*srcuint32src_lenuint32_t*des1515uint32*des_len返回值TEE_SUCCESSTEE_FP_SIGN_FAILTEE_GeneratekeykeySize,keySize,TEE_Attribute*params,uint32_tparamCount)uint32_tobject,TEE_GenerateKey(TEE_ResultTEE_ObjectHandle描述TEE_ObjectHandleobjectuint32_tkeySizeTEE_Attribute*paramsuint32_tparamCountTEE_SUCCESSTEE_ERROR_BAD_PARAMETERS：TEE_FpRsaPrivateSignTEE_ResultTEE_FpRsaPrivateSign(TEE_ResultTEE_FpRsaPrivateSign([in]TEE_OperationHandleoperation,[inbuf]unsignedchar*src,[inbuf]intsrc_len,[inbuf/outbuf]unsignedchar*des,[inbuf/outbuf]int*des_len,[inbuf]sign_typetype)type簽名，type支持SM3和sha256TEE_OperationHandleoperationunsignedchar*srcintsrc_lenunsigneddesint*des_lenTEE_SUCCESSTEE_RSA_PRI_SIGN_FAILTEE_FP_Rsa_Pubverify1616TEE_ResultTEE_FP_Rsa_PubVerify(TEE_ResultTEE_FP_Rsa_PubVerify([in]TEE_OperationHandleoperation,[inbuf]unsignedchar*src,[inbuf]intsrc_len,[inbuf/outbuf]unsignedchar*des,[inbuf/outbuf]int*des_len,[inbuf]sign_typetype)使用公鑰對指定的數(shù)據(jù)按照指定的type驗證簽名。type和私鑰簽名支持的類型一致；sign_typetypeTEE_OperationHandleoperationunsignedchar*srcintsrc_lenunsignedchar*desint*des_lensign_typetypeTEE_SUCCESSTEE_RSA_PUB_VERIFY_FAILTEE_GenerrateRandomvoidTEE_GenerateRandom([inbuf/outbuf]void*randomBuffer,[inbuf]size_t randomBufferLen)描述參數(shù)void*randomBufferbufbufsize_trandomBufferLen返回值TEE_SUCCESSTEE_FP_RANDOM_FAILTEE_GetSystemTimevoidTEE_GetSystemTime([outbuf]TEE_Time*timevoidTEE_GetSystemTime([outbuf]TEE_Time*time)描述1717參數(shù)timeGPtime。返回值無。TEE_SaveintTEE_save(intTEE_save([inbuf]uint32_t*[inbuf] uint32 key_len,[inbuf]uint32_t*value,[inbuf]uint32value_len)描述TEE參數(shù)uint32_t*keyuint32key_lenuint32_t*valueuint32value_len返回值TEE_SUCCESSTEE_LoadintTEE_load(intTEE_load([inbuf]uint32_t* key, [inbuf] uint32 key_len,[outbuf]uint32_t*value,[outbuf]uint32 value_len)描述從TEE參數(shù)uint32_t*keyuint32key_lenuint32_t*Valuebuf；uint32value_len返回值TEE_SUCCESSTEE_FAILFAIL：失敗。TEE_RemoveintTEE_Remove(intTEE_Remove([inbuf] uint32_t* [inbuf] key_len)1818描述從TEE參數(shù)uint32_t*keyuint32key_len返回值TEE_SUCCESS:TEE_FAILTEE_Mallocvoid* TEE_Malloc([inbuf] size_t size, void* TEE_Malloc([inbuf] size_t size, uint32_thint)描述參數(shù)size_tsizeuint32_thint返回值buffer；NULL。TEE_FreevoidTEE_Free(void*buffer)voidTEE_Free(void*buffer)描述釋放指定bufferNULLTEE_MALLOC參數(shù)void*bufferbuffer返回值無。RSA_SIGN_TYPE_SHA256//RSASIGNWITHSHA256RSA_SIGN_TYPE_SHA256//RSASIGNWITHSHA256}sign_type;//RSASIGNWITHSM30,typedefenumrsa_sign_type{RSA_SIGN_TYPE_SM3 =描述：RSA簽名類型，目前支持SM3和sha256。狀態(tài)碼1919狀態(tài)碼見表4。表4 狀碼名稱值TEE_SUCCESS