(高清版)GBT 42572-2023 信息安全技術(shù) 可信執(zhí)行環(huán)境服務(wù)規(guī)范

信息安全技術(shù)可信執(zhí)行環(huán)境服務(wù)規(guī)范I 2規(guī)范性引用文件 l3術(shù)語和定義 14縮略語 25總體描述 25.1概述 25.2TEE服務(wù)類型 25.3生命周期 46TEE服務(wù)通用安全要求 56.1技術(shù)框架 56.2密鑰管理 66.3服務(wù)初始化 6.4安全存儲 86.5訪問控制 86.6安全輸入及輸出 86.7應(yīng)用認證 86.8通信要求 87特定TEE服務(wù)安全要求 87.1TEE人機交互服務(wù)安全要求 87.2TEE二維碼服務(wù)安全要求 97.3TEE設(shè)備安全狀態(tài)評價服務(wù)安全要求 7.4TEE身份鑒別服務(wù)安全要求 7.5TEE時間服務(wù)安全要求 7.6TEE位置服務(wù)安全要求 7.7TEE密碼計算服務(wù)安全要求 8TEE服務(wù)通用安全測試評價方法 8.1密鑰管理 8.2服務(wù)初始化 8.3安全存儲 8.4訪問控制 8.5安全輸入及輸出 8.6應(yīng)用認證 Ⅱ8.7通信要求 9特定TEE服務(wù)安全測試評價方法 9.1TEE人機交互服務(wù) 9.2TEE二維碼服務(wù) 9.3TEE設(shè)備安全狀態(tài)評價服務(wù) 9.4TEE身份鑒別服務(wù) 9.5TEE時間服務(wù) 9.6TEE位置服務(wù) 9.7TEE密碼計算服務(wù) 附錄A(資料性)TEE設(shè)備安全狀態(tài)評價服務(wù)采集因子示例 附錄B(資料性)服務(wù)接口 附錄C(資料性)TEE服務(wù)業(yè)務(wù)流程 Ⅲ本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息安全標準化技術(shù)委員會(SAC/TC260)提出并歸口。本文件起草單位：中國銀聯(lián)股份有限公司、中國科學(xué)院大學(xué)、復(fù)旦大學(xué)、華為技術(shù)有限公司、北京銀聯(lián)金卡科技有限公司、深圳華大北斗科技股份有限公司、中金金融認證中心有限公司、北京謙川科技有限公司、上海摩聯(lián)信息技術(shù)有限公司、北京小米移動軟件有限公司、OPPO廣東移動通信有限公司、深圳市騰訊計算機系統(tǒng)有限公司、螞蟻科技集團股份有限公司、鄭州信大捷安信息技術(shù)股份有限公司、恒寶股份有限公司、云從科技集團股份有限公司、北京創(chuàng)原天地科技有限公司、大唐高鴻信安(浙江)信息科技有限公司、上海聚虹光電科技有限公司、同盾科技有限公司。1信息安全技術(shù)可信執(zhí)行環(huán)境服務(wù)規(guī)范本文件確立了可信執(zhí)行環(huán)境服務(wù)的技術(shù)框架體系，并規(guī)定了相關(guān)安全技術(shù)要求及測試評價的方法。本文件適用于可信執(zhí)行環(huán)境服務(wù)的設(shè)計、開發(fā)、測試等，設(shè)備制造商、系統(tǒng)軟件提供商、檢測機構(gòu)和科研機構(gòu)等可信執(zhí)行環(huán)境服務(wù)參與方可參照使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T17901.1—2020信息技術(shù)安全技術(shù)密鑰管理第1部分：框架GB/T25069—2022信息安全技術(shù)術(shù)語GB/T41388—2022信息安全技術(shù)可信執(zhí)行環(huán)境基本安全規(guī)范3術(shù)語和定義GB/T25069—2022和GB/T41388—2022界定的以及下列術(shù)語和定義適用于本文件?；谟布壐綦x及安全啟動機制，為確保安全敏感應(yīng)用相關(guān)數(shù)據(jù)和代碼的機密性、完整性、真實性和不可否認性目標構(gòu)建的一種軟件運行環(huán)境。注：硬件級隔離是指基于硬件安全擴展機制，通過對計算資源的固定劃分或動態(tài)共享，保證隔離資源不被富執(zhí)行環(huán)境訪問的一種安全機制。富執(zhí)行環(huán)境richexecutionenvironment為應(yīng)用程序提供基礎(chǔ)功能和計算資源的一種軟件運行環(huán)境。注：富執(zhí)行環(huán)境是相對可信執(zhí)行環(huán)境獨立存在的運行環(huán)境?？尚艌?zhí)行環(huán)境服務(wù)trustedexecutionenvironmentservice運行在可信執(zhí)行環(huán)境下，為REE提供基礎(chǔ)性、通用性、公共性功能的軟件程序。TEE人機交互trustedexecutionenvironmenthuman-machineinteraction運行在可信執(zhí)行環(huán)境下，提供信息交互界面的軟件程序。2TEE設(shè)備安全狀態(tài)評價trustedexecutionenvironmentdevicesecuritystateevaluation提供當(dāng)前設(shè)備的安全風(fēng)險狀態(tài)，給出設(shè)備安全狀態(tài)報告(3.6)。設(shè)備安全狀態(tài)報告devicesecuritystatereport具有明確評價當(dāng)前設(shè)備軟硬件環(huán)境安全指標的數(shù)據(jù)結(jié)構(gòu)。TEE服務(wù)密鑰trustedexecutionenvironmentservicekey由TEE服務(wù)生成的用于保證TEE服務(wù)與TEE服務(wù)后臺安全交互的公私鑰對。應(yīng)用密鑰applicationkey由TEE服務(wù)生成的用于保證用戶密鑰由應(yīng)用后臺安全發(fā)送至TEE服務(wù)的公私鑰對。應(yīng)用隔離applicationisolation一種提供每個應(yīng)用完全控制自己的數(shù)據(jù)且相互之間無法直接數(shù)據(jù)操作的機制。一種提供每個用戶完全控制自己的數(shù)據(jù)且相互之間無法直接數(shù)據(jù)操作的機制。4縮略語下列縮略語適用于本文件。REE:富執(zhí)行環(huán)境(RichExecutionEnvironment)TA:可信應(yīng)用(TrustedApplication)TEE:可信執(zhí)行環(huán)境(TrustedExecutionEnvironment)TUI:可信人機界面(TrustedUserInterface)5總體描述TEE服務(wù)包含多種類型的服務(wù)，如TEE人機交互服務(wù)、TEE二維碼服務(wù)、TEE設(shè)備安全狀態(tài)評價服務(wù)、TEE身份鑒別服務(wù)、TEE時間服務(wù)、TEE位置服務(wù)、TEE密碼計算服務(wù)等，TEE服務(wù)提供方根據(jù)業(yè)務(wù)需求提供具體對應(yīng)的服務(wù)。5.2.1TEE人機交互服務(wù)提供包括但不限于口令輸入/修改、注冊登錄、消息輸出等基于TUI構(gòu)建的可信用戶界面，保障通過可信用戶界面輸入的內(nèi)容不被非授權(quán)應(yīng)用監(jiān)控、篡改、破壞和竊取，并通過安全通道(如安全傳輸層協(xié)議等)將輸入數(shù)據(jù)或運算結(jié)果加密傳輸給應(yīng)用。可信用戶界面至少包含以下安全界面要素之一：a)可信輸入框：用于輸入字符(串)等信息；b)可信按鈕：用于獲取用戶的點擊事件；3c)可信鍵盤：為用戶提供安全輸入界面；d)可信文本框：用于展示文本信息；e)可信圖片框：用于展示圖片信息；f)可信標簽：用于放置可信文本框、可信圖片框等；g)可信生物信息采集顯示器：用于獲取、顯示用戶輸入的生物信息。界面要素的大小、位置、背景色等由TEE服務(wù)提供方自定義，但應(yīng)符合TEE操作系統(tǒng)的要求。提供TEE二維碼展示和TEE二維碼掃描功能。TEE二維碼展示指基于TUI展示通過安全通道獲取的二維碼，避免二維碼數(shù)據(jù)被非授權(quán)程序破壞、竊取、篡改等。TEE二維碼掃描指通過符合可信外設(shè)要求的攝像頭掃描讀取二維碼信息，并通過安全通道將二維碼數(shù)據(jù)加密傳輸至應(yīng)用?？尚庞脩艚缑嬷辽侔韵掳踩缑嬉兀篴)可信圖片框：用于放置二維碼圖片或動態(tài)顯示攝像頭捕捉到的畫面，圖片框的位置、大小、背景色等由TEE服務(wù)提供方自定義；b)可信按鈕：用于取消操作，按鈕上的提示信息可以是定制圖片或者文字。5.2.3TEE設(shè)備安全狀態(tài)評價服務(wù)收集當(dāng)前的設(shè)備信息，生成設(shè)備安全狀態(tài)報告，供應(yīng)用作為當(dāng)前設(shè)備的風(fēng)險評分判斷的其中一項依據(jù)，為業(yè)務(wù)流程是否正常處理提供參考。手機等個人設(shè)備的信息采集方式應(yīng)符合隱私保護相關(guān)法規(guī)。TEE設(shè)備安全狀態(tài)評價服務(wù)采集信息內(nèi)容一般包括設(shè)備啟動參數(shù)、REE環(huán)境軟硬件配置信息、REE環(huán)境狀態(tài)信息、REE環(huán)境特征信息、TEE環(huán)境特征信息、TEE服務(wù)代理的安全狀態(tài)信息和TEE服務(wù)的安全狀態(tài)信息。詳細采集因子參考附錄A。根據(jù)信息采集方式和檢驗者的不同，TEE設(shè)備安全狀態(tài)評價服務(wù)分為以下三種類型。a)本地型：此類型為本地離線檢測方式，無需聯(lián)網(wǎng)。通過TEE服務(wù)代理及TEE服務(wù)采集各項因子，并通過本地TEE服務(wù)評估所采集到的各項因子，生成設(shè)備安全狀態(tài)報告。b)遠程型：此類型為遠程檢測方式，需要聯(lián)網(wǎng)。通過TEE服務(wù)代理以及TEE服務(wù)采集各項因子，并通過遠程TEE服務(wù)后臺評估所采集到的各項因子，生成設(shè)備安全狀態(tài)報告。c)混合型：此類型為本地與遠程相結(jié)合的檢測方式，部分時間需要聯(lián)網(wǎng)。通過TEE服務(wù)代理以及TEE服務(wù)采集各項因子。根據(jù)具體需求，一部分因子由本地TEE服務(wù)進行評估，另一部分由遠程TEE服務(wù)后臺進行評估，并綜合兩部分評估結(jié)果生成設(shè)備安全狀態(tài)報告。提供基于TEE的身份鑒別功能，包括但不限于基于口令、指紋、人臉、虹膜、聲紋以及密碼技術(shù)的身份鑒別方式。提供基于TEE的當(dāng)前時間獲取功能，時間來源為衛(wèi)星(如北斗衛(wèi)星導(dǎo)航系統(tǒng)、全球定位系統(tǒng)等)時間、電信運營商時間、通過網(wǎng)絡(luò)授時中心獲取的時間等，通過多時間來源相互校驗的方式，提供更高可信度的時間服務(wù)，為在線支付、電子合同簽署等對時間數(shù)據(jù)的安全性和準確性要求較高的場景提供服務(wù)。提供基于TEE的當(dāng)前位置獲取功能，以經(jīng)緯度、高程(可選)形式提供，位置信息來源為衛(wèi)星(如北斗衛(wèi)星導(dǎo)航系統(tǒng)、全球定位系統(tǒng)等)定位、基站定位、短距通信設(shè)備輔助定位等，通過多位置信息來源相4互校驗的方式，提供高可信度位置信息，同步提供定位方式、定位模組是否有硬件防偽能力等定位輔助信息，便于應(yīng)用判斷可信度，為商戶收款、移動支付等對位置信息的安全性和準確性要求較高的場景提供服務(wù)。通過采用密碼算法，提供基于TEE的數(shù)據(jù)加密及解密、消息摘要、消息鑒別碼、數(shù)字簽名及驗簽、隨機數(shù)生成等服務(wù)功能，應(yīng)實現(xiàn)數(shù)據(jù)的機密性、完整性、真實性和不可抵賴性。具體服務(wù)功能如下。a)數(shù)據(jù)加密及解密：采用對稱或非對稱密碼算法，對數(shù)據(jù)內(nèi)容進行加密和解密計算功能，實現(xiàn)數(shù)據(jù)的機密性保護。b)消息摘要：采用密碼雜湊算法，對數(shù)據(jù)內(nèi)容進行單向散列的計算輸出固定長度的雜湊值(摘要),實現(xiàn)數(shù)據(jù)完整性校驗。c)消息鑒別碼：采用消息鑒別碼算法，實現(xiàn)消息的完整性校驗和消息來源的真實性校驗。d)數(shù)字簽名及驗簽：采用非對稱密碼算法，發(fā)送方使用自己的私鑰對消息內(nèi)容進行數(shù)字簽名，接收方使用發(fā)送方的公鑰對消息和數(shù)字簽名進行驗證。實現(xiàn)消息的完整性校驗、消息來源的真實性和抗抵賴性。e)隨機數(shù)生成：基于可信的硬件單元生成的不可預(yù)測的隨機數(shù)列，是密鑰生成的必要保證。5.3生命周期TEE服務(wù)的生命周期如圖1所示。安裝應(yīng)用服務(wù)注創(chuàng)個性化狀態(tài)應(yīng)用鎖定狀態(tài)空白狀態(tài)激活狀態(tài)圖1TEE服務(wù)的生命周期TEE服務(wù)的生命周期包含空白狀態(tài)、激活狀態(tài)、個性化狀態(tài)和鎖定狀態(tài)，具體狀態(tài)描述如下。a)空白狀態(tài)：設(shè)備未下載安裝TEE服務(wù)代理或已下載TEE服務(wù)代理但未激活使用TEE服務(wù)時所處的狀態(tài)。b)激活狀態(tài)：設(shè)備安裝TEE服務(wù)代理，并通過觸發(fā)服務(wù)激活流程，生成TEE服務(wù)所需的密鑰等數(shù)據(jù)后所處的狀態(tài)。在激活狀態(tài)下，TEE服務(wù)與TEE服務(wù)后臺具備安全通信能力。5c)個性化狀態(tài)：設(shè)備安裝應(yīng)用，并通過觸發(fā)初始化流程，在TEE服務(wù)中生成應(yīng)用相關(guān)密鑰，下載個性化數(shù)據(jù)后所處的狀態(tài)。在個性化狀態(tài)下，應(yīng)用調(diào)用TEE服務(wù)各項功能；刪除應(yīng)用功能使TEE服務(wù)回到激活狀態(tài)；服務(wù)注銷功能使TEE服務(wù)回到空白狀態(tài)，并刪除相關(guān)密鑰和個性化數(shù)據(jù)。d)鎖定狀態(tài)：應(yīng)用發(fā)現(xiàn)設(shè)備處于風(fēng)險狀態(tài)或使用該設(shè)備的用戶存在惡意行為，鎖定運行在該設(shè)備的TEE服務(wù)功能時所處的狀態(tài)。在鎖定狀態(tài)下，TEE服務(wù)將拒絕應(yīng)用發(fā)起的各項功能調(diào)用；在判定風(fēng)險解除后，解鎖功能調(diào)用。6.1技術(shù)框架本文件所定義的TEE服務(wù)技術(shù)框架如圖2所示。設(shè)備富執(zhí)行環(huán)境(RFF)應(yīng)用應(yīng)用后臺應(yīng)用密鑰個性化數(shù)據(jù)TEE服務(wù)代理可信執(zhí)行環(huán)境(TCC)T服務(wù)TEC人機交互服務(wù)TEE二維碼服務(wù)TFE設(shè)備安全狀態(tài)評價服務(wù)TEE身份察別服務(wù)TEE時間服務(wù)TCC密碼計算服務(wù)服務(wù)初始化管理密鑰及個性化數(shù)據(jù)T!服務(wù)后臺TEE吸務(wù)密鑰管理服務(wù)初始化管理后臺TEE設(shè)備安全狀態(tài)評價服務(wù)后臺TEE身份鑒別服務(wù)后臺注：實線箭頭表示相互之間直接進行安全連接，虛線箭頭表示相互之間邏輯上的安全連接。圖2TEE服務(wù)技術(shù)框架TEE服務(wù)技術(shù)框架包含五個部分：應(yīng)用、TEE服務(wù)代理、TEE服務(wù)、應(yīng)用后臺與TEE服務(wù)后臺。應(yīng)用和應(yīng)用后臺協(xié)同完成應(yīng)用的業(yè)務(wù)功能，TEE服務(wù)和TEE服務(wù)后臺協(xié)同完成TEE服務(wù)的業(yè)務(wù)功能，應(yīng)用通過TEE服務(wù)代理調(diào)用TEE服務(wù)功能。具體功能描述如下。a)應(yīng)用：完成應(yīng)用的業(yè)務(wù)功能。應(yīng)用一般運行在REE中，通過接口調(diào)用TEE服務(wù)。b)TEE服務(wù)代理：完成TEE服務(wù)在REE中的訪問控制和TEE服務(wù)的流程管理，以獨立插件或軟件開發(fā)工具包等形式運行在REE中，為應(yīng)用提供調(diào)用TEE服務(wù)功能的接口，服務(wù)接口參考6附錄B。c)TEE服務(wù)：通過TEE服務(wù)代理為應(yīng)用提供服務(wù)功能，包含TEE人機交互服務(wù)、TEE二維碼服碼計算服務(wù)等服務(wù)功能。本文件所述的TEE服務(wù)運行在TEE中，并通過安全通道與TEE服務(wù)后臺進行協(xié)同。d)應(yīng)用后臺：完成應(yīng)用的后臺業(yè)務(wù)邏輯功能，負責(zé)生成和下載與業(yè)務(wù)相關(guān)的密鑰及個性化數(shù)據(jù)。e)TEE服務(wù)后臺：完成TEE服務(wù)密鑰管理、服務(wù)初始化管理、TEE設(shè)備安全狀態(tài)評價服務(wù)以及TEE身份鑒別服務(wù)的后臺業(yè)務(wù)邏輯功能。6.2密鑰管理密鑰管理應(yīng)按照GB/T17901.1—2020的要求保護各密鑰在生成、注入、更新、存儲、備份/恢復(fù)等整個生命周期的安全。TEE服務(wù)應(yīng)建立完善的密鑰保護措施，防止密鑰的混用和泄露。TEE服務(wù)的密鑰結(jié)構(gòu)如圖3所示。設(shè)備密鑰TEE服務(wù)密鑰應(yīng)用密創(chuàng)用戶密鑰/會話密鑰TEE服務(wù)的密鑰結(jié)構(gòu)分為四層：設(shè)備密鑰、TEE服務(wù)密鑰、應(yīng)用密鑰及用戶密鑰/會話密鑰(可選)。具體描述如下。a)設(shè)備密鑰：一對非對稱密鑰，包括設(shè)備私鑰和設(shè)備公鑰，用于驗證設(shè)備真實性。設(shè)備密鑰一般由設(shè)備提供商或其授權(quán)服務(wù)商提供。利用設(shè)備密鑰保護TEE服務(wù)公鑰的完整性和真實性。b)TEE服務(wù)密鑰：一對非對稱密鑰，包括TEE服務(wù)私鑰和TEE服務(wù)公鑰，用于保證設(shè)備本地TEE服務(wù)與TEE服務(wù)后臺的安全交互。利用TEE服務(wù)密鑰保護應(yīng)用公鑰的完整性和真實性。c)應(yīng)用密鑰：一對非對稱密鑰，包括應(yīng)用私鑰和應(yīng)用公鑰，用于應(yīng)用使用TEE服務(wù)時對用戶密鑰7進行加密保護。d)用戶密鑰/會話密鑰：一種對稱密鑰，用于為TEE服務(wù)加密敏感信息，保證數(shù)據(jù)在傳輸過程中的安全。設(shè)備密鑰在設(shè)備生產(chǎn)階段產(chǎn)生。TEE服務(wù)密鑰在服務(wù)激活階段由TEE服務(wù)在TEE中產(chǎn)生，每臺完成服務(wù)激活的設(shè)備擁有唯一TEE服務(wù)密鑰。應(yīng)用密鑰在應(yīng)用初始化階段由TEE服務(wù)在TEE中產(chǎn)生，每個應(yīng)用在每臺設(shè)備上擁有唯一應(yīng)用密鑰。用戶密鑰/會話密鑰在TEE服務(wù)使用階段由應(yīng)用后臺生成并安全下發(fā)到TEE服務(wù)的TA中。設(shè)備密鑰在生產(chǎn)線上通過設(shè)備廠商可控的環(huán)境注入設(shè)備的TEE中。TEE服務(wù)密鑰和應(yīng)用密鑰在設(shè)備TEE內(nèi)生成。用戶密鑰/會話密鑰應(yīng)通過安全通道注入設(shè)備的TEE中。設(shè)備密鑰不可更新，由設(shè)備廠商在生產(chǎn)線生成。TEE服務(wù)密鑰和應(yīng)用密鑰可更新并應(yīng)保證唯一性，用戶密鑰/會話密鑰可更新，當(dāng)成功觸發(fā)某種密鑰的更新功能后，原有密鑰應(yīng)失效銷毀。設(shè)備私鑰、TEE服務(wù)私鑰、應(yīng)用私鑰、用戶密鑰/會話密鑰應(yīng)在TEE中安全存儲。應(yīng)設(shè)計有銷毀密鑰的觸發(fā)條件，當(dāng)觸發(fā)條件被觸發(fā)時，銷毀對應(yīng)存儲的密鑰。6.2.7密鑰備份/恢復(fù)TEE服務(wù)應(yīng)具備TEE服務(wù)密鑰、應(yīng)用密鑰、用戶密鑰/會話密鑰的備份/恢復(fù)功能。備份操作產(chǎn)生的備份數(shù)據(jù)應(yīng)以密文形式存儲到TEE中。備份的密鑰應(yīng)恢復(fù)到TEE服務(wù)中，不同設(shè)備之間不應(yīng)相互備份恢復(fù)，密鑰恢復(fù)的操作只能在TEE中進行。6.3服務(wù)初始化應(yīng)用使用TEE服務(wù)具體功能時，先啟動服務(wù)初始化，生成應(yīng)用所屬的相關(guān)密鑰。服務(wù)初始化包括服務(wù)激活、應(yīng)用初始化與個性化。相關(guān)密鑰應(yīng)調(diào)用相應(yīng)接口重新生成、更新。設(shè)備首次使用TEE服務(wù)時，通過服務(wù)激活功能生成TEE服務(wù)公私鑰對，并將TEE服務(wù)公鑰傳輸至TEE服務(wù)后臺。具體實施流程參考附錄C的C.1.1。服務(wù)激活功能的安全要求包括：a)應(yīng)保證TEE服務(wù)密鑰由TEE服務(wù)在TEE中生成，TEE服務(wù)私鑰不出TEE;b)應(yīng)保證TEE服務(wù)私鑰存儲的機密性、完整性；c)應(yīng)利用設(shè)備密鑰保護TEE服務(wù)公鑰的真實性和完整性。應(yīng)用調(diào)用初始化功能生成應(yīng)用公私鑰對，將應(yīng)用公鑰傳輸至應(yīng)用后臺。應(yīng)用后臺獲取應(yīng)用公鑰8后，生成用戶密鑰，將用戶密鑰安全傳輸至設(shè)備的TEE服務(wù)中。具體實施流程參考C.1.2。應(yīng)用初始化功能的安全要求包括：a)應(yīng)保證應(yīng)用密鑰由TEE服務(wù)在TEE中生成，應(yīng)用私鑰不出TEE;b)應(yīng)保證應(yīng)用密鑰存儲的機密性、完整性；c)應(yīng)保證應(yīng)用密鑰和用戶密鑰具有合理的更新策略；d)應(yīng)保證用戶密鑰傳輸和存儲的機密性、完整性及應(yīng)用隔離，對用戶密鑰的機密性保護宜采用公鑰加密技術(shù)。應(yīng)用對TEE服務(wù)使用的圖片、文字等展示信息以及會話密鑰等密鑰信息有個性化需求時，通過個性化功能將對應(yīng)的個性化數(shù)據(jù)推送到TEE服務(wù)中。具體實施流程參考C.1.3。個性化的安全要求包括：a)應(yīng)保證個性化數(shù)據(jù)在REE和網(wǎng)絡(luò)中傳輸?shù)臋C密性和完整性；b)應(yīng)保證TEE服務(wù)存儲個性化數(shù)據(jù)的機密性、完整性、應(yīng)用隔離及用戶隔離。6.4安全存儲TEE服務(wù)中涉及的敏感數(shù)據(jù)應(yīng)保證機密性和完整性，不應(yīng)以明文形式暴露給REE。6.5訪問控制限制未被授權(quán)的應(yīng)用訪問TEE服務(wù)，限制未被授權(quán)的TA訪問TEE服務(wù)。6.6安全輸入及輸出安全輸入及輸出的安全要求包括：a)TEE服務(wù)在使用過程中，用戶與TEE服務(wù)的交互流程和數(shù)據(jù)不能被REE或者其他TA訪問b)通過TEE服務(wù)輸入的數(shù)據(jù)不應(yīng)存放于共享內(nèi)存中。6.7應(yīng)用認證TEE服務(wù)應(yīng)驗證應(yīng)用的真實性，對于非授權(quán)應(yīng)用應(yīng)拒絕任何服務(wù)。6.8通信要求TEE服務(wù)后臺與TEE服務(wù)代理應(yīng)采用安全通道(如安全傳輸層協(xié)議等)進行數(shù)據(jù)傳輸。7特定TEE服務(wù)安全要求7.1TEE人機交互服務(wù)安全要求7.1.1總體安全要求TEE人機交互服務(wù)總體安全要求包括：a)應(yīng)保證可信用戶界面基于TUI構(gòu)建；b)應(yīng)保證可信用戶界面包含安全指示器用于提示用戶處于可信執(zhí)行環(huán)境(可為一段文字、一個指示燈或其他形式),或采用其他明顯區(qū)別于REE的操作方式讓用戶感知處于可信執(zhí)行環(huán)境，如通過點擊電源鍵方式提交信息；9c)應(yīng)保證只通過可信外設(shè)在可信用戶界面上進行數(shù)據(jù)輸入；d)可信外設(shè)應(yīng)符合GB/T41388—2022的相關(guān)要求。7.1.2可信人機界面(TUI)安全要求可信人機界面(TUI)安全要求如下。a)TUI會話：1)使用基于TUI的界面服務(wù)時，TEE服務(wù)對TUI資源獨占訪問；TUI屏幕顯示是原子性的；2)TUI不會對REE的用戶界面有干擾；只有TUI使用時，TEE服務(wù)才能控制用戶界面的輸入和輸出；3)TUI會話應(yīng)有超時機制。b)電源及操作系統(tǒng)事件管理：1)TUI會話期間當(dāng)發(fā)生設(shè)備復(fù)位、設(shè)備關(guān)閉、睡眠模式打開、背景燈關(guān)閉等電源管理事件2)TUI會話期間當(dāng)發(fā)生操作系統(tǒng)特定事件時，TUI會話應(yīng)被終止，典型的操作系統(tǒng)特定事件包括來電、日歷事件、電子郵件通知等；其他操作系統(tǒng)特定事件宜根據(jù)應(yīng)用實現(xiàn)需求自行定義；3)當(dāng)TUI會話終止時，TUI屏幕應(yīng)從顯示屏上消失，并將屏幕區(qū)的控制權(quán)交還給REE;當(dāng)REE事件操作結(jié)束后，TEE服務(wù)應(yīng)根據(jù)需要重放被中斷的TUI屏幕。7.1.3特定功能安全要求特定功能安全要求如下。a)口令輸入/修改和注冊登錄功能的安全要求包括：1)應(yīng)保證賬戶口令明文不從TEE泄露；2)應(yīng)保證用于加密口令的密鑰具有合理的更新策略，加密算法應(yīng)遵循相關(guān)密碼國家標準；3)對于設(shè)備本地存儲口令的場景，應(yīng)保證口令存儲的機密性、完整性、應(yīng)用隔離及用戶隔離；4)對于應(yīng)用后臺存儲口令的場景，應(yīng)保證口令以密文形式在REE和網(wǎng)絡(luò)中傳輸；5)宜采取一些措施對輸入的口令進行保護，如口令輸入框隱藏明文顯示、對輸入的口令作混淆處理、設(shè)置口令連續(xù)輸入驗證失敗次數(shù)限制等。b)消息輸出功能的安全要求包括：1)應(yīng)保證發(fā)送給TEE服務(wù)的消息內(nèi)容以密文形式在REE和網(wǎng)絡(luò)中傳輸；2)應(yīng)保證用于加密口令的密鑰具有合理的更新策略。7.2TEE二維碼服務(wù)安全要求7.2.1TEE二維碼展示安全要求TEE二維碼展示的安全要求包括：a)應(yīng)保證二維碼展示的界面基于TUI構(gòu)建；b)應(yīng)保證二維碼不以明文形式在網(wǎng)絡(luò)和REE中傳輸，傳輸過程中不被泄露、竊取和篡改；c)宜放置一個安全指示器，用于標識當(dāng)前界面處于可信執(zhí)行環(huán)境中。7.2.2TEE二維碼掃描安全要求TEE二維碼掃描的安全要求包括：a)應(yīng)保證掃描二維碼的攝像頭滿足可信外設(shè)的要求；b)應(yīng)保證二維碼數(shù)據(jù)不以明文形式在網(wǎng)絡(luò)和REE中傳輸，傳輸過程中不被泄露、竊取和篡改。7.3TEE設(shè)備安全狀態(tài)評價服務(wù)安全要求7.3.1總體安全要求TEE設(shè)備安全狀態(tài)評價服務(wù)總體安全要求包括：a)調(diào)用設(shè)備安全狀態(tài)報告請求接口時，請求的報文應(yīng)具備防止重放攻擊的特性；b)設(shè)備安全狀態(tài)報告應(yīng)經(jīng)過TEE服務(wù)或TEE服務(wù)后臺簽名，應(yīng)用和應(yīng)用后臺應(yīng)驗證報告的完整性，確保報告無法被篡改。設(shè)備安全狀態(tài)報告的內(nèi)容應(yīng)只限于簡單的提示，不包含具體失敗的原因。7.3.2本地型安全要求本地型TEE設(shè)備安全狀態(tài)評價服務(wù)應(yīng)滿足以下要求。a)因子采集過程的安全要求包括：1)含有采集因子的內(nèi)存應(yīng)在采集操作結(jié)束后擦除數(shù)據(jù)，2)TEE服務(wù)在發(fā)出采集命令前應(yīng)驗證TEE的安全狀態(tài)。b)應(yīng)用獲取設(shè)備安全狀態(tài)報告的安全要求包括：1)設(shè)備安全狀態(tài)報告應(yīng)在TEE服務(wù)中根據(jù)收集的各項因子生成；2)設(shè)備安全狀態(tài)報告不包含具體檢測項的檢測結(jié)果；3)TEE服務(wù)不暴露具體檢測項的相關(guān)信息；4)TEE服務(wù)應(yīng)對設(shè)備安全狀態(tài)報告的所有內(nèi)容進行簽名；5)應(yīng)用在使用設(shè)備安全狀態(tài)報告前應(yīng)對設(shè)備安全狀態(tài)報告的簽名進行校驗。c)其他TA獲取設(shè)備安全狀態(tài)報告的安全要求包括：1)設(shè)備安全狀態(tài)報告應(yīng)在TEE服務(wù)中根據(jù)收集的各項因子生成；2)設(shè)備安全狀態(tài)報告不包含具體檢測項的檢測結(jié)果；3)TEE服務(wù)不暴露具體檢測項的相關(guān)信息。7.3.3遠程型和混合型安全要求遠程型和混合型TEE設(shè)備安全狀態(tài)評價服務(wù)應(yīng)滿足以下要求。a)因子采集過程的安全要求包括：1)含有采集因子的內(nèi)存應(yīng)在采集操作結(jié)束后擦除數(shù)據(jù)；2)TEE服務(wù)在發(fā)出采集命令前應(yīng)驗證TEE的安全狀態(tài)；3)收集的因子在發(fā)送到TEE服務(wù)后臺前應(yīng)進行脫敏處理。b)遠程型及混合型都需要聯(lián)網(wǎng)生成設(shè)備安全狀態(tài)報告，安全要求包括：1)收集的因子應(yīng)包括TEE服務(wù)和TEE服務(wù)代理的相關(guān)因子；2)收集的需要TEE服務(wù)后臺檢測的因子應(yīng)由TEE服務(wù)加密；3)收集的需要TEE服務(wù)后臺檢測的因子應(yīng)由TEE服務(wù)后臺解密；4)遠程型設(shè)備安全狀態(tài)報告應(yīng)在TEE服務(wù)后臺中根據(jù)收集的各項因子生成，混合型設(shè)備安全狀態(tài)報告應(yīng)在TEE服務(wù)和TEE服務(wù)后臺中根據(jù)收集的各項因子生成；5)設(shè)備安全狀態(tài)報告不包含具體檢測項的檢測結(jié)果；6)TEE服務(wù)和TEE服務(wù)后臺不暴露具體檢測項的相關(guān)信息；7)TEE服務(wù)和TEE服務(wù)后臺應(yīng)對設(shè)備安全狀態(tài)報告的所有內(nèi)容進行簽名；8)使用者在使用設(shè)備安全狀態(tài)報告前應(yīng)對設(shè)備安全狀態(tài)報告的簽名進行校驗。7.4TEE身份鑒別服務(wù)安全要求7.4.1口令鑒別服務(wù)安全要求口令鑒別服務(wù)的安全要求包括：a)獲取口令前應(yīng)執(zhí)行風(fēng)險判斷，檢查當(dāng)前環(huán)境的安全性；b)應(yīng)基于TUI獲取口令；c)鑒別結(jié)果應(yīng)在TEE服務(wù)中加密后返回。7.4.2生物特征鑒別服務(wù)安全要求生物特征鑒別服務(wù)的安全要求如下。a)應(yīng)在TEE服務(wù)控制下采集生物特征樣本或支持應(yīng)用向應(yīng)用后臺請求獲取用戶生物特征注冊樣本。b)應(yīng)在本地進行生物特征活體檢測或由TEE服務(wù)后臺進行遠程活體檢測。遠程活體檢測過程中，TEE服務(wù)和TEE服務(wù)后臺的通信過程應(yīng)加密傳輸生物特征樣本。c)遠程活體檢測和生物特征比對過程中，TEE服務(wù)和TEE服務(wù)后臺的通信過程應(yīng)加密傳輸生物特征樣本。d)鑒別結(jié)果應(yīng)在TEE服務(wù)中加密后返回。e)如需要存儲用戶的生物特征，應(yīng)保證加密存儲，并防止重放攻擊。7.4.3密碼技術(shù)鑒別服務(wù)安全要求基于密碼技術(shù)鑒別服務(wù)的安全要求包括：a)如采用對稱密碼技術(shù)，應(yīng)確保對稱密鑰的機密性和完整性，防止非授權(quán)用戶訪問和篡改，并防止重放攻擊；b)如采用數(shù)字簽名技術(shù)，應(yīng)確保私鑰的機密性和完整性，防止非授權(quán)用戶訪問和篡改，并防止重放攻擊；應(yīng)確保公鑰的真實性，宜使用但不限于數(shù)字證書方式。7.5TEE時間服務(wù)安全要求TEE時間服務(wù)的安全要求如下。a)應(yīng)在TEE服務(wù)中采集多來源的時間信息，對時間采集方式區(qū)分優(yōu)先級，并對獲取到的時間信息進行相互校驗。時間來源可信度按照衛(wèi)星時間(有可用衛(wèi)星的情況下)、電信運營商時間、通過網(wǎng)絡(luò)授時中心獲取的時間排序。b)TEE服務(wù)返回給應(yīng)用的時間信息中應(yīng)同步提供時間來源，供應(yīng)用參考及判斷可信度。c)TEE服務(wù)返回給應(yīng)用的時間相關(guān)信息應(yīng)由TEE服務(wù)簽名，并防止重放攻擊。7.6TEE位置服務(wù)安全要求TEE位置服務(wù)的安全要求如下。a)應(yīng)在TEE服務(wù)中采集多來源的位置信息，對位置采集方式區(qū)分優(yōu)先級，并對獲取到的位置信息進行相互校驗。位置來源可信度按照衛(wèi)星定位(有可用衛(wèi)星的情況下)、電信運營商基站定位、基于短距通信設(shè)備(包括但不限于無線局域網(wǎng)、藍牙等)的輔助定位排序。b)TEE服務(wù)返回給應(yīng)用的信息中應(yīng)同步提供位置信息來源，供應(yīng)用參考及判斷可信度。c)TEE服務(wù)宜同步提供定位輔助信息(如定位方式、定位模組是否有硬件防偽能力等),供應(yīng)用進一步參考及判斷可信度。d)TEE服務(wù)返回給應(yīng)用的位置相關(guān)信息應(yīng)由TEE服務(wù)簽名，并防止重放攻擊。7.7TEE密碼計算服務(wù)安全要求TEE密碼計算服務(wù)的安全要求包括：a)訪問TEE密碼計算服務(wù)前應(yīng)通過身份鑒別和權(quán)限驗證；b)應(yīng)采用符合密碼國家標準或行業(yè)標準的密碼算法，如果使用的密碼算法發(fā)現(xiàn)存在安全隱患應(yīng)及時提供替代密碼算法方案；c)TEE密碼計算服務(wù)的密碼算法和隨機數(shù)生成應(yīng)在TEE中實現(xiàn)；d)服務(wù)上線前完成程序代碼缺陷檢測并避免隱患，針對服務(wù)程序和運行環(huán)境的安全漏洞及時更新補丁等；e)支持一定時期內(nèi)(如半年)的服務(wù)訪問日志的安全存儲，并支持服務(wù)訪問日志的查詢；f)支持定期更換密鑰；g)支持密鑰全生命周期管理，保證密鑰的機密性、完整性。防止非授權(quán)用戶訪問或篡改，并防重放攻擊。8TEE服務(wù)通用安全測試評價方法8.1密鑰管理測試評價方法如下。a)測試方法：1)檢查TEE服務(wù)的密鑰管理機制，包括密鑰的生成、注入、更新、存儲、備份/恢復(fù)等整個生2)檢查TEE服務(wù)的密鑰保護措施，嘗試違反密鑰預(yù)期用途濫用密鑰，嘗試未授權(quán)獲取密鑰。b)預(yù)期結(jié)果：1)TEE服務(wù)的密鑰管理機制滿足GB/T17901.1—2020要求；2)TEE服務(wù)的密鑰保護措施能夠防止密鑰的混用和泄露。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查TEE服務(wù)的密鑰結(jié)構(gòu)和各個密鑰的用途，是否保證密鑰用途的唯一性。b)預(yù)期結(jié)果：1)TEE服務(wù)的密鑰結(jié)構(gòu)分為設(shè)備密鑰、TEE服務(wù)密鑰、應(yīng)用密鑰及用戶密鑰/會話密鑰(可選)等四層；2)TEE服務(wù)的密鑰具備唯一用途，其中設(shè)備密鑰保護TEE服務(wù)公鑰的完整性和真實性，TEE服務(wù)密鑰保護應(yīng)用公鑰的完整性和真實性，應(yīng)用密鑰保護用戶密鑰/會話密鑰的機密性，用戶密鑰/會話密鑰保護TEE服務(wù)的數(shù)據(jù)傳輸?shù)陌踩浴)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查TEE服務(wù)的各個密鑰的生成過程，是否保證密鑰的唯一性。b)預(yù)期結(jié)果：1)設(shè)備密鑰在設(shè)備生產(chǎn)階段由生產(chǎn)線產(chǎn)生，且每設(shè)備/批次唯一；2)TEE服務(wù)密鑰在服務(wù)激活階段由TEE服務(wù)在TEE中產(chǎn)生，且每設(shè)備唯一；3)應(yīng)用密鑰在應(yīng)用初始化階段由TEE服務(wù)在TEE中產(chǎn)生，且每設(shè)備唯一；4)用戶密鑰/會話密鑰在TEE服務(wù)使用階段由應(yīng)用后臺生成，且每用戶/會話唯一。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查TEE服務(wù)的各個密鑰的注入過程，是否保證密鑰的安全注入，嘗試未授權(quán)獲取密鑰。b)預(yù)期結(jié)果：1)設(shè)備密鑰在生產(chǎn)線上通過設(shè)備廠商可控的環(huán)境注入設(shè)備的TEE中；2)TEE服務(wù)密鑰和應(yīng)用密鑰在設(shè)備TEE內(nèi)生成；3)用戶密鑰/會話密鑰通過安全通道注入設(shè)備的TEE中。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)檢查TEE服務(wù)的各個密鑰的更新過程，是否保證密鑰的安全更新；2)嘗試在密鑰更新后，獲取或恢復(fù)原有密鑰。b)預(yù)期結(jié)果：1)設(shè)備密鑰不可更新；2)TEE服務(wù)密鑰和應(yīng)用密鑰可更新。密鑰更新成功后，原有密鑰處于失效或銷毀狀態(tài)；3)用戶密鑰/會話密鑰可更新。密鑰更新成功后，原有密鑰處于失效或銷毀狀態(tài)。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)檢查TEE服務(wù)的各個密鑰的存儲過程，是否保證密鑰的安全存儲，嘗試未授權(quán)訪問或篡改存儲的密鑰；2)嘗試在密鑰銷毀后，獲取或恢復(fù)原有密鑰。b)預(yù)期結(jié)果：1)TEE服務(wù)的各個密鑰安全存儲在TEE中，防止未授權(quán)訪問或篡改；2)密鑰銷毀成功后，之前的密鑰無法訪問和恢復(fù)。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。8.1.7密鑰備份/恢復(fù)測試評價方法如下。a)測試方法：1)檢查TEE服務(wù)的各個密鑰是否具備備份/恢復(fù)功能；2)執(zhí)行密鑰備份操作，檢查備份數(shù)據(jù)的內(nèi)容是否包含密鑰明文，以及備份數(shù)據(jù)的存儲方法；3)依次執(zhí)行密鑰備份操作和密鑰恢復(fù)操作，檢查操作是否成功；4)檢查密鑰恢復(fù)操作過程，是否僅在TEE中進行；5)在一臺設(shè)備上執(zhí)行密鑰備份操作，嘗試使用密鑰備份數(shù)據(jù)在另一臺設(shè)備上執(zhí)行密鑰恢復(fù)操作，檢查操作是否成功。b)預(yù)期結(jié)果：1)TEE服務(wù)具備TEE服務(wù)密鑰、應(yīng)用密鑰、用戶密鑰/會話密鑰的備份/恢復(fù)功能；2)備份操作產(chǎn)生的備份數(shù)據(jù)以密文形式存儲到TEE中；3)備份的密鑰應(yīng)恢復(fù)到TEE服務(wù)中；4)密鑰恢復(fù)的操作僅在TEE中進行；5)不同設(shè)備之間無法相互備份恢復(fù)密鑰。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。8.2服務(wù)初始化測試評價方法如下。a)測試方法：1)檢查TEE服務(wù)的初始化過程，是否在TEE中生成TEE服務(wù)公私鑰對；2)檢查TEE服務(wù)初始化過程中TEE服務(wù)公私鑰對的使用和傳輸過程，嘗試獲取和篡改所傳輸?shù)腡EE服務(wù)公鑰，嘗試在REE中訪問TEE服務(wù)私鑰；3)檢查TEE服務(wù)初始化過程中TEE服務(wù)公私鑰對的存儲過程，是否使用TEE的可信存儲功能保證密鑰存儲的機密性、完整性，嘗試獲取和篡改存儲的TEE服務(wù)密鑰。b)預(yù)期結(jié)果：1)首次使用TEE服務(wù)時，TEE服務(wù)通過激活功能在TEE中生成TEE服務(wù)公私鑰對；2)TEE服務(wù)激活過程中，TEE服務(wù)公鑰由設(shè)備密鑰簽名后上傳至TEE服務(wù)后臺，TEE服務(wù)私鑰不出TEE;3)TEE服務(wù)激活過程中使用TEE的可信存儲功能保證TEE服務(wù)密鑰存儲的機密性、完整性。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)檢查應(yīng)用初始化過程，是否在TEE中生成應(yīng)用公私鑰對；2)檢查應(yīng)用初始化過程中應(yīng)用公私鑰對的使用和傳輸過程，嘗試獲取和篡改所傳輸?shù)膽?yīng)用3)檢查應(yīng)用初始化過程中用戶密鑰的生成和傳輸過程，嘗試在REE中獲取和篡改用戶密鑰；4)檢查應(yīng)用初始化過程中應(yīng)用公私鑰對和用戶密鑰的存儲過程，是否使用TEE的可信存儲功能保證密鑰存儲的機密性、完整性；5)嘗試使用應(yīng)用獲取和篡改其他應(yīng)用的用戶密鑰。b)預(yù)期結(jié)果：1)應(yīng)用激活后，TEE服務(wù)通過初始化功能在TEE中生成應(yīng)用公私鑰對；2)初始化過程中，應(yīng)用公鑰由TEE服務(wù)密鑰簽名后上傳至應(yīng)用后臺，應(yīng)用私鑰不出TEE;3)應(yīng)用公鑰上傳至應(yīng)用后臺后，應(yīng)用后臺生成用戶密鑰，由應(yīng)用密鑰采用公鑰加密技術(shù)將用戶密鑰下發(fā)至TEE服務(wù)中；4)初始化過程中，使用TEE的可信存儲功能保證應(yīng)用密鑰存儲的機密性、完整性；5)初始化過程中應(yīng)用密鑰和用戶密鑰具有合理的更新策略；6)采用應(yīng)用公鑰加密用戶密鑰，保證用戶密鑰傳輸和存儲的機密性、完整性和應(yīng)用隔離。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)檢查應(yīng)用個性化過程中個性化數(shù)據(jù)的傳輸過程，嘗試在REE和網(wǎng)絡(luò)傳輸中獲取和篡改個性化數(shù)據(jù)；2)檢查應(yīng)用個性化過程中個性化數(shù)據(jù)的存儲過程，是否使用TEE的可信存儲功能保證個性化數(shù)據(jù)的機密性、完整性；3)嘗試使用應(yīng)用獲取和篡改其他應(yīng)用的個性化數(shù)據(jù)。b)預(yù)期結(jié)果：1)個性化過程中保證個性化數(shù)據(jù)在REE和網(wǎng)絡(luò)中傳輸?shù)臋C密性和完整性；2)個性化過程中保證TEE服務(wù)存儲個性化數(shù)據(jù)的機密性、完整性、應(yīng)用隔離和用戶隔離。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。8.3安全存儲測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查TEE服務(wù)的敏感信息處理過程；2)嘗試在REE中獲取和篡改TEE服務(wù)的敏感信息；3)嘗試獲取和篡改TEE服務(wù)存儲在TEE可信存儲區(qū)域的敏感信息。b)預(yù)期結(jié)果：保證TEE服務(wù)中涉及的敏感安全信息的機密性和完整性，不以明文形式暴露給REE。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。8.4訪問控制測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查TEE服務(wù)的訪問控制策略，根據(jù)策略分別嘗試通過已授權(quán)和未授權(quán)的應(yīng)用和TA訪問TEE服務(wù)，驗證策略是否有效；2)當(dāng)多個應(yīng)用在同一個設(shè)備上訪問TEE服務(wù)，嘗試通過某一應(yīng)用訪問其他應(yīng)用的數(shù)據(jù)，驗證TEE服務(wù)是否隔離不同應(yīng)用敏感數(shù)據(jù)。b)預(yù)期結(jié)果：1)TEE服務(wù)具備訪問控制機制，限制未被授權(quán)的應(yīng)用和TA訪問TEE服務(wù)；2)多個應(yīng)用在同一個設(shè)備上有調(diào)用TEE服務(wù)的需求時，TEE服務(wù)安全隔離各應(yīng)用的敏感數(shù)據(jù)。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。8.5安全輸入及輸出測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查TEE服務(wù)的輸入和輸出過程；2)模擬應(yīng)用調(diào)用TEE服務(wù)的輸入和輸出過程，嘗試在REE或其他TA中訪問和篡改該TEE服務(wù)的交互數(shù)據(jù)；3)模擬應(yīng)用調(diào)用TEE服務(wù)的輸入過程，嘗試讀取共享內(nèi)存數(shù)據(jù)。b)預(yù)期結(jié)果：1)TEE服務(wù)在使用過程中，用戶與TEE服務(wù)的交互流程和數(shù)據(jù)具備安全防護機制，無法被REE或者其他TA訪問和篡改；2)TEE服務(wù)的輸入過程中，通過TEE服務(wù)輸入的數(shù)據(jù)未存放于共享內(nèi)存中。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。8.6應(yīng)用認證測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查應(yīng)用的訪問控制策略；2)分別嘗試通過已授權(quán)和未授權(quán)應(yīng)用調(diào)用TEE服務(wù)，驗證訪問控制策略是否有效。b)預(yù)期結(jié)果：TEE服務(wù)驗證應(yīng)用的真實性，對于非授權(quán)應(yīng)用拒絕任何服務(wù)。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。8.7通信要求測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查TEE服務(wù)后臺與TEE服務(wù)代理的數(shù)據(jù)傳輸過程，是否具備安全通道；2)模擬應(yīng)用調(diào)用TEE服務(wù)，嘗試獲取和篡改TEE服務(wù)后臺與TEE服務(wù)代理的傳輸數(shù)據(jù)。b)預(yù)期結(jié)果：TEE服務(wù)后臺與TEE服務(wù)代理采用安全通道進行數(shù)據(jù)傳輸。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。9特定TEE服務(wù)安全測試評價方法9.1TEE人機交互服務(wù)9.1.1總體安全要求測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查可信用戶界面的實現(xiàn)機制，是否基于TUI構(gòu)建；2)檢查設(shè)計文檔，模擬應(yīng)用調(diào)用TEE人機交互服務(wù)，檢查各功能的界面是否包含安全指示器，或是否采用其他明顯區(qū)別于REE的操作方式讓用戶感知處于可信執(zhí)行環(huán)境；3)模擬應(yīng)用調(diào)用可信用戶界面，分別嘗試通過可信外設(shè)和非可信外設(shè)進行數(shù)據(jù)輸入，驗證是否只有可信外設(shè)進行數(shù)據(jù)輸入；4)檢查可信外設(shè)是否符合GB/T41388—2022的相關(guān)要求。b)預(yù)期結(jié)果：1)可信用戶界面基于TUI構(gòu)建；2)應(yīng)保證可信用戶界面包含安全指示器用于提示用戶處于可信執(zhí)行環(huán)境(可為一段文字、一個指示燈或其他形式),或采用其他明顯區(qū)別于REE的操作方式讓用戶感知處于可信執(zhí)行環(huán)境，如通過點擊電源鍵方式提交信息；3)只有通過可信外設(shè)在可信用戶界面上輸入數(shù)據(jù)；4)可信外設(shè)滿足GB/T41388—2022的相關(guān)要求。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查基于TUI界面的TEE服務(wù)的實現(xiàn)過程；2)模擬應(yīng)用調(diào)用基于TUI界面的TEE服務(wù)，嘗試在REE或未授權(quán)TA中訪問TUI資源；3)模擬應(yīng)用調(diào)用基于TUI界面的TEE服務(wù)，檢查用戶界面的顯示和切換過程，驗證TUI是否干擾REE的用戶界面；在REE控制用戶界面時，嘗試通過TEE服務(wù)控制用戶的輸入和輸出；4)模擬應(yīng)用調(diào)用基于TUI界面的TEE服務(wù)，達到廠商聲明的時間后，檢查TUI會話是否超時退出。b)預(yù)期結(jié)果：1)使用基于TUI的界面服務(wù)時，TEE服務(wù)對TUI資源獨占訪問，TUI屏幕顯示是原子性的；2)TUI不會對REE的用戶界面有干擾；只有TUI使用時，TEE服務(wù)才能控制用戶界面的輸入和輸出；3)TUI會話具備超時機制。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。9.1.2.2電源及操作系統(tǒng)事件管理測試評價方法如下。a)測試方法：1)模擬應(yīng)用調(diào)用基于TUI界面的TEE服務(wù)，分別執(zhí)行設(shè)備復(fù)位、設(shè)備關(guān)閉、睡眠模式打開、背景燈關(guān)閉等操作，檢查TUI會話是否終止；2)模擬應(yīng)用調(diào)用基于TUI界面的TEE服務(wù)，分別執(zhí)行來電、日歷事件、電子郵件通知等操3)模擬應(yīng)用調(diào)用基于TUI界面的TEE服務(wù)，當(dāng)TUI會話終止時，檢查TUI屏幕是否從顯示屏上消失，是否將屏幕區(qū)的控制權(quán)交還給REE;4)模擬應(yīng)用調(diào)用基于TUI界面的TEE服務(wù)，分別執(zhí)行來電、日歷事件、電子郵件通知等操作使TUI會話終止，上述操作處理結(jié)束后，檢查TEE服務(wù)是否重放被中斷的TUI屏幕。b)預(yù)期結(jié)果：1)TUI會話期間發(fā)生設(shè)備復(fù)位、設(shè)備關(guān)閉、睡眠模式打開、背景燈關(guān)閉等電源管理事件2)TUI會話期間發(fā)生來電、日歷事件、電子郵件通知等操作系統(tǒng)特定事件時，TUI會話終止；3)當(dāng)TUI會話終止時，TUI屏幕從顯示屏上消失，并將屏幕區(qū)的控制權(quán)交還給REE;4)當(dāng)REE事件操作結(jié)束后，TEE服務(wù)應(yīng)重放被中斷的TUI屏幕。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。9.1.3特定功能安全要求9.1.3.1口令輸入/修改和注冊登錄測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查用于加密口令的密鑰的更新策略以及使用的加密算法；2)模擬應(yīng)用調(diào)用可信用戶界面的口令輸入/修改、注冊登錄功能，嘗試在REE中獲取可信用戶界面的口令，檢查該功能是否保證口令的機密性；3)當(dāng)設(shè)備本地存儲口令時，檢查是否使用TEE的可信存儲功能存儲口令；嘗試使用應(yīng)用獲取和篡改其他應(yīng)用存儲的口令；4)當(dāng)應(yīng)用后臺存儲口令時，嘗試在REE和網(wǎng)絡(luò)傳輸中獲取和篡改口令；5)模擬應(yīng)用調(diào)用可信用戶界面的口令輸入和口令修改功能，檢查是否采取一些措施對輸入的賬號口令進行保護，如口令輸入框是否明文顯示口令、對輸入的口令作混淆處理、連續(xù)輸入錯誤的口令檢查該功能是否具備口令連續(xù)輸入驗證失敗次數(shù)限制等。b)預(yù)期結(jié)果：1)賬戶口令明文不從TEE泄露；2)口令輸入/修改、注冊登錄功能具備合理的口令加密密鑰更新策略，加密算法遵循相關(guān)密碼國家標準；3)對于設(shè)備本地存儲口令的場景，口令輸入和口令修改功能使用TEE的可信存儲功能保證口令存儲的機密性、完整性、應(yīng)用隔離及用戶隔離；4)對于應(yīng)用后臺存儲口令的場景，口令輸入和口令修改功能以密文形式在REE和網(wǎng)絡(luò)中傳輸口令；5)口令輸入和口令修改功能采取一些措施對輸入的賬號口令進行保護，如賬戶口令輸入框隱藏明文顯示、對輸入的口令作混淆處理、設(shè)置賬戶口令連續(xù)輸入驗證失敗次數(shù)限制并提示剩余輸入機會次數(shù)等。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)模擬應(yīng)用調(diào)用可信用戶界面的消息輸出功能，嘗試在REE和網(wǎng)絡(luò)傳輸中獲取可信用戶界2)審查廠商提交的文檔，檢查用于加密口令的密鑰的更新策略。b)預(yù)期結(jié)果：1)消息輸出功能發(fā)送給TEE服務(wù)的消息內(nèi)容是以密文形式在REE和網(wǎng)絡(luò)中傳輸；2)消息輸出功能具備合理的口令加密密鑰更新策略。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。9.2.1TEE二維碼展示安全要求測試評價方法如下。a)測試方法：1)模擬應(yīng)用調(diào)用二維碼展示功能，檢查展示界面是否基于TUI構(gòu)建；2)模擬應(yīng)用調(diào)用二維碼展示功能，嘗試在REE和網(wǎng)絡(luò)傳輸中獲取和篡改二維碼；3)模擬應(yīng)用調(diào)用二維碼展示功能，檢查展示界面是否包含安全指示器。b)預(yù)期結(jié)果：1)二維碼展示界面基于TUI構(gòu)建；2)二維碼不以明文形式在REE和網(wǎng)絡(luò)中傳輸，傳輸過程中不被泄露、竊取和篡改；3)宜放置一個安全指示器，用于標識當(dāng)前界面處于可信執(zhí)行環(huán)境中。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。9.2.2TEE二維碼掃描安全要求測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查二維碼讀取過程。模擬應(yīng)用調(diào)用掃描二維碼功能，嘗試在REE中控制攝像頭讀取二維碼數(shù)據(jù)；2)模擬應(yīng)用調(diào)用掃描二維碼功能，嘗試在REE中獲取二維碼數(shù)據(jù)。b)預(yù)期結(jié)果：1)掃描二維碼的攝像頭滿足可信外設(shè)的要求；2)掃描二維碼時，二維碼數(shù)據(jù)不以明文形式在網(wǎng)絡(luò)和REE中傳輸，傳輸過程中不被泄露、竊取和篡改。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。9.3TEE設(shè)備安全狀態(tài)評價服務(wù)9.3.1整體安全要求測試評價方法如下。a)測試方法：1)模擬應(yīng)用分別調(diào)用本地型/遠程型/混合型TEE設(shè)備安全狀態(tài)評價服務(wù)，檢查設(shè)備安全狀態(tài)報告的請求報文，嘗試重放之前的請求報文；2)模擬應(yīng)用分別調(diào)用本地型/遠程型/混合型TEE設(shè)備安全狀態(tài)評價服務(wù)，檢查設(shè)備安全狀態(tài)報告是否經(jīng)過TEE服務(wù)或TEE服務(wù)后臺簽名，嘗試篡改設(shè)備安全狀態(tài)報告內(nèi)容；3)模擬應(yīng)用分別調(diào)用本地型/遠程型/混合型TEE設(shè)備安全狀態(tài)評價服務(wù)，檢查設(shè)備安全狀態(tài)報告中建議事項的內(nèi)容是否包含具體失敗的原因。b)預(yù)期結(jié)果：1)設(shè)備安全狀態(tài)報告的請求報文具備防重放攻擊的特性；2)設(shè)備安全狀態(tài)報告經(jīng)過TEE服務(wù)或TEE服務(wù)后臺簽名，應(yīng)用和應(yīng)用后臺應(yīng)驗證報告的完整性，確保報告無法被篡改；3)設(shè)備安全狀態(tài)報告中建議事項的內(nèi)容只限于簡單的提示，不包含具體失敗的原因。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。9.3.2本地型安全要求測試評價方法如下。a)測試方法：1)檢查設(shè)計文檔，模擬應(yīng)用調(diào)用本地型TEE設(shè)備安全狀態(tài)評價服務(wù)，在采集因子操作結(jié)束后，嘗試讀取內(nèi)存數(shù)據(jù)，驗證內(nèi)存數(shù)據(jù)中是否含有采集因子；2)模擬應(yīng)用調(diào)用本地型TEE設(shè)備安全狀態(tài)評價服務(wù)，嘗試繞過TEE安全狀態(tài)驗證環(huán)節(jié)，驗證因子采集過程是否執(zhí)行成功；3)檢查設(shè)計文檔，分別模擬應(yīng)用和其他TA調(diào)用本地型TEE設(shè)備安全狀態(tài)評價服務(wù)，檢查設(shè)備安全狀態(tài)報告的生成是否在TEE服務(wù)中完成；4)分別模擬應(yīng)用和其他TA調(diào)用本地型TEE設(shè)備安全狀態(tài)評價服務(wù)，檢查設(shè)備安全狀態(tài)報告是否包含具體檢測項的檢測結(jié)果；5)分別模擬應(yīng)用和其他TA調(diào)用本地型TEE設(shè)備安全狀態(tài)評價服務(wù)，嘗試通過TEE服務(wù)獲取具體檢測項的相關(guān)信息；6)模擬應(yīng)用調(diào)用本地型TEE設(shè)備安全狀態(tài)評價服務(wù)，嘗試在應(yīng)用使用設(shè)備安全狀態(tài)報告前篡改報告，檢查應(yīng)用是否能夠檢測報告已被篡改。b)預(yù)期結(jié)果：1)在采集操作結(jié)束后擦除含有采集因子的內(nèi)存數(shù)據(jù)；2)TEE服務(wù)在發(fā)出采集命令前驗證TEE的安全狀態(tài)；3)設(shè)備安全狀態(tài)報告在TEE服務(wù)中根據(jù)收集的各項因子生成；4)設(shè)備安全狀態(tài)報告不包含具體檢測項的檢測結(jié)果；5)TEE服務(wù)未暴露具體檢測項的相關(guān)信息；6)應(yīng)用獲取設(shè)備安全狀態(tài)報告時TEE服務(wù)對設(shè)備安全狀態(tài)報告的所有內(nèi)容進行簽名；7)應(yīng)用在使用設(shè)備安全狀態(tài)報告前對設(shè)備安全狀態(tài)報告的簽名進行校驗。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。9.3.3遠程型和混合型安全要求測試評價方法如下。a)測試方法：1)檢查設(shè)計文檔，模擬應(yīng)用調(diào)用遠程型和混合型TEE設(shè)備安全狀態(tài)評價服務(wù)，在采集因子操作結(jié)束后，嘗試讀取內(nèi)存數(shù)據(jù)，驗證內(nèi)存數(shù)據(jù)中是否含有采集因子；2)檢查設(shè)計文檔，模擬應(yīng)用調(diào)用遠程型和混合型TEE設(shè)備安全狀態(tài)評價服務(wù)，嘗試繞過TEE安全狀態(tài)驗證環(huán)節(jié)，驗證因子采集過程是否執(zhí)行成功；3)檢查設(shè)計文檔，模擬應(yīng)用調(diào)用遠程型和混合型TEE設(shè)備安全狀態(tài)評價服務(wù)，嘗試獲取向TEE服務(wù)后臺傳輸?shù)牟杉蜃樱?)檢查設(shè)計文檔，模擬應(yīng)用調(diào)用遠程型和混合型TEE設(shè)備安全狀態(tài)評價服務(wù)，檢查收集的因子是否包括TEE服務(wù)和TEE服務(wù)代理的相關(guān)因子；5)檢查設(shè)計文檔，模擬應(yīng)用調(diào)用遠程型和混合型TEE設(shè)備安全狀態(tài)評價服務(wù)，檢查遠程型設(shè)備安全狀態(tài)報告的生成是否在TEE服務(wù)后臺完成，混合型設(shè)備安全狀態(tài)報告是否在TEE服務(wù)和TEE服務(wù)后臺完成；6)模擬應(yīng)用調(diào)用遠程型和混合型TEE設(shè)備安全狀態(tài)評價服務(wù)，檢查設(shè)備收集的因子是否由TEE服務(wù)加密后傳輸至TEE服務(wù)后臺，嘗試在REE和網(wǎng)絡(luò)傳輸中獲取設(shè)備收集的7)模擬應(yīng)用調(diào)用遠程型和混合型TEE設(shè)備安全狀態(tài)評價服務(wù)，檢查設(shè)備安全狀態(tài)報告是否包含具體檢測項的檢測結(jié)果；8)模擬應(yīng)用調(diào)用遠程型和混合型TEE設(shè)備安全狀態(tài)評價服務(wù)，嘗試通過TEE服務(wù)和TEE服務(wù)后臺獲取具體檢測項的相關(guān)信息；9)模擬應(yīng)用調(diào)用遠程型和混合型TEE設(shè)備安全狀態(tài)評價服務(wù)，嘗試在使用者使用設(shè)備安全狀態(tài)報告前篡改報告，檢查使用者是否能夠檢測報告已被篡改。b)預(yù)期結(jié)果：1)在采集操作結(jié)束后擦除含有采集因子的內(nèi)存數(shù)據(jù)；2)TEE服務(wù)在發(fā)出采集命令前驗證TEE的安全狀態(tài)；3)收集的因子在發(fā)送到TEE服務(wù)后臺前進行脫敏處理；4)遠程型設(shè)備安全狀態(tài)報告在TEE服務(wù)后臺中根據(jù)收集的各項因子生成，混合型設(shè)備安全狀態(tài)報告在TEE服務(wù)和TEE服務(wù)后臺中根據(jù)收集的各項因子生成；5)遠程型和混合型TEE設(shè)備安全狀態(tài)評價服務(wù)收集的需要TEE服務(wù)后臺檢測的因子由TEE服務(wù)加密，并由TEE服務(wù)后臺解密；6)設(shè)備安全狀態(tài)報告不包含具體檢測項的檢測結(jié)果；7)TEE服務(wù)和TEE服務(wù)后臺未暴露具體檢測項的相關(guān)信息；8)TEE服務(wù)和TEE服務(wù)后臺對設(shè)備安全狀態(tài)報告的所有內(nèi)容進行簽名；9)使用者在使用設(shè)備安全狀態(tài)報告前對設(shè)備安全狀態(tài)報告的簽名進行校驗。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。9.4TEE身份鑒別服務(wù)9.4.1口令鑒別服務(wù)安全要求測試評價方法如下。a)測試方法：1)檢查設(shè)計文檔，模擬應(yīng)用調(diào)用口令鑒別服務(wù)，檢查調(diào)用過程是否基于TUI,嘗試在REE中獲取輸入的口令；2)改變設(shè)備環(huán)境的安全狀態(tài)，模擬應(yīng)用調(diào)用口令鑒別服務(wù)，驗證獲取口令前該功能是否執(zhí)行當(dāng)前環(huán)境的風(fēng)險判斷；3)模擬應(yīng)用調(diào)用口令鑒別服務(wù)，檢查鑒別結(jié)果是否在TEE服務(wù)中加密后返回，嘗試篡改鑒別結(jié)果。b)預(yù)期結(jié)果：1)口令鑒別服務(wù)基于TUI獲取口令；2)口令鑒別服務(wù)獲取口令前執(zhí)行風(fēng)險判斷，檢查當(dāng)前環(huán)境的安全性；3)鑒別結(jié)果在TEE服務(wù)中加密后返回。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。9.4.2生物特征鑒別服務(wù)安全要求測試評價方法如下。a)測試方法：1)檢查設(shè)計文檔，模擬應(yīng)用調(diào)用生物特征鑒別服務(wù)，若生物特征樣本采集在本地進行，嘗試在REE中控制采集過程；若生物特征樣本來自應(yīng)用后臺，嘗試篡改傳輸?shù)挠脩羯锾卣髯詷颖尽?)模擬應(yīng)用調(diào)用生物特征鑒別服務(wù)，檢查生物特征活體檢測過程是否在本地進行或由TEE服務(wù)后臺進行遠程活體檢測。若支持遠程活體檢測，嘗試獲取和篡改傳輸?shù)纳锾卣鳂颖尽?)模擬應(yīng)用調(diào)用生物特征鑒別服務(wù)，檢查生物特征活體比對過程是否在本地進行或由TEE服務(wù)后臺進行遠程生物特征比對。若支持遠程生物特征比對，嘗試獲取和篡改傳輸?shù)纳锾卣鳂颖尽?)模擬應(yīng)用調(diào)用生物特征鑒別服務(wù)，檢查鑒別結(jié)果是否在TEE服務(wù)中加密后返回，嘗試篡改鑒別結(jié)果。5)模擬應(yīng)用調(diào)用生物特征鑒別服務(wù)，在需要存儲用戶生物特征的場景，檢查生物特征是否加密存儲，嘗試獲取生物特征；模擬應(yīng)用調(diào)用生物特征鑒別服務(wù)，嘗試重放攻擊。b)預(yù)期結(jié)果：1)生物特征鑒別服務(wù)采集生物特征樣本時在TEE服務(wù)控制下或支持應(yīng)用向應(yīng)用后臺請求獲取用戶生物特征注冊樣本。2)生物特征鑒別服務(wù)的生物特征活體檢測過程在本地進行或由TEE服務(wù)后臺進行。遠程活體檢測過程中，TEE服務(wù)和TEE服務(wù)后臺的通信過程加密傳輸生物特征樣本。3)生物特征鑒別服務(wù)的生物特征比對過程在本地進行或由TEE服務(wù)后臺進行。生物特征比對過程中，TEE服務(wù)和TEE服務(wù)后臺的通信過程加密傳輸生物特征樣本。4)鑒別結(jié)果在TEE服務(wù)中加密后返回。5)如需要存儲用戶的生物特征，應(yīng)保證加密存儲，并防止重放攻擊。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。9.4.3密碼技術(shù)鑒別服務(wù)安全要求測試評價方法如下。a)測試方法：1)檢查設(shè)計文檔，確認基于密碼技術(shù)鑒別服務(wù)的實現(xiàn)方式；2)如采用對稱密碼技術(shù)實現(xiàn)方式，檢查對稱密鑰的訪問控制策略，嘗試使用未授權(quán)用戶訪問和篡改密鑰；模擬應(yīng)用調(diào)用密碼鑒別服務(wù)，嘗試重放攻擊；3)如采用數(shù)字簽名技術(shù)實現(xiàn)方式，檢查私鑰的訪問控制策略，嘗試使用未授權(quán)用戶訪問和篡改私鑰；檢查公鑰的使用和存儲方式，嘗試篡改和偽造公鑰；模擬應(yīng)用調(diào)用密碼鑒別服b)預(yù)期結(jié)果：1)密碼鑒別服務(wù)采用對稱密碼技術(shù)實現(xiàn)時，能夠保證對稱密鑰的機密性和完整性，并能夠防止重放攻擊；2)密碼鑒別服務(wù)采用數(shù)字簽名技術(shù)實現(xiàn)時，能夠保證私鑰的機密性和完整性，以及公鑰的真實性，并能夠防止重放攻擊。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)檢查設(shè)計文檔，模擬應(yīng)用調(diào)用TEE時間服務(wù)，嘗試在REE中篡改不同時間來源的時間，包括但不限于衛(wèi)星時間、電信運營商時間、通過網(wǎng)絡(luò)授時中心獲取的時間等，檢查調(diào)用結(jié)果是否提供正確的時間信息及其來源；2)模擬應(yīng)用調(diào)用TEE時間服務(wù)，檢查返回的時間信息是否在TEE服務(wù)中簽名，嘗試篡改時間信息，檢查應(yīng)用是否能夠檢測時間信息已被篡改；模擬應(yīng)用調(diào)用TEE時間服務(wù)，嘗試重放攻擊。b)預(yù)期結(jié)果：1)TEE時間服務(wù)采集多來源的時間信息，區(qū)分優(yōu)先級，并相互校驗，時間來源可信度按照衛(wèi)星時間(有可用衛(wèi)星的情況下)、電信運營商時間、通過網(wǎng)絡(luò)授時中心獲取的時間排序；2)TEE服務(wù)返回的時間信息中同步提供時間信息來源，供應(yīng)用參考及判斷可信度；3)TEE服務(wù)返回的時間信息由TEE服務(wù)簽名，并防止重放攻擊。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)檢查設(shè)計文檔，模擬應(yīng)用調(diào)用TEE位置服務(wù)，嘗試在REE中篡改不同來源的信息，包括但不限于衛(wèi)星定位、基站定位、短距通信設(shè)備輔助定位等，檢查調(diào)用結(jié)果是否提供正確的位置信息及其來源；2)模擬應(yīng)用調(diào)用TEE位置服務(wù)，檢查返回的位置信息是否在TEE服務(wù)中簽名，嘗試篡改位置信息，檢查應(yīng)用是否能夠檢測位置信息已被篡改；模擬應(yīng)用調(diào)用TEE位置服務(wù)，嘗試重放攻擊。b)預(yù)期結(jié)果：1)TEE位置服務(wù)采集多來源的設(shè)備位置信息，區(qū)分優(yōu)先級，并相互校驗。位置信息來源可信度按衛(wèi)星定位(有可用衛(wèi)星的情況下)、電信運營商基站定位、基于短距通信設(shè)備(包括但不限于無線局域網(wǎng)、藍牙等)排序。2)TEE服務(wù)返回的位置信息中同步提供位置信息來源。3)TEE服務(wù)返回的位置信息應(yīng)由TEE服務(wù)簽名，并防止重放攻擊。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。9.7TEE密碼計算服務(wù)測試評價方法如下。a)測試方法：1)檢查設(shè)計文檔，模擬應(yīng)用調(diào)用TEE密碼計算服務(wù)，檢查是否具備身份鑒別和權(quán)限驗證過程，分別嘗試繞過身份鑒別環(huán)節(jié)和未授權(quán)調(diào)用TEE密碼計算服務(wù)；2)模擬應(yīng)用調(diào)用TEE密碼計算服務(wù)，驗證支持的密碼算法不存在已公開脆弱性；3)模擬應(yīng)用調(diào)用TEE密碼計算服務(wù)，包括但不限于數(shù)據(jù)加密及解密、消息摘要、消息鑒別碼、數(shù)字簽名及驗簽和隨機數(shù)生成等功能，功能測試細節(jié)宜參考相關(guān)國家標準；嘗試在REE中篡改密鑰和隨機數(shù)，檢查調(diào)用結(jié)果是否提供正確的計算結(jié)果；4)模擬應(yīng)用調(diào)用TEE密碼計算服務(wù)，檢查該服務(wù)是否生成服務(wù)訪問日志并查詢?nèi)罩荆瑖L試未授權(quán)篡改相關(guān)日志；5)模擬應(yīng)用調(diào)用TEE密碼計算服務(wù)，檢查是否支持更換密鑰；6)模擬應(yīng)用調(diào)用TEE密碼計算服務(wù)，嘗試使用未授權(quán)用戶訪問和篡改密鑰，嘗試重放攻擊。b)預(yù)期結(jié)果：1)訪問TEE密碼計算服務(wù)前應(yīng)通過身份鑒別和權(quán)限驗證；2)TEE密碼計算服務(wù)采用符合密碼國家標準或行業(yè)標準的密碼算法，如果使用的密碼算法發(fā)現(xiàn)存在安全隱患能及時提供替代密碼算法方案；3)TEE密碼計算服務(wù)支持數(shù)據(jù)加密及解密、消息摘要、消息鑒別碼、數(shù)字簽名及驗簽和隨機數(shù)生成等功能，密碼算法和隨機數(shù)生成在TEE中實現(xiàn)；4)TEE密碼計算服務(wù)上線前完成程序代碼缺陷檢測并避免隱患，針對服務(wù)程序和運行環(huán)境的安全漏洞及時更新補丁；5)TEE密碼計算服務(wù)支持一定時期內(nèi)(如半年)的服務(wù)訪問日志的安全存儲，并支持查詢服務(wù)訪問日志；6)TEE密碼計算服務(wù)支持定期更換密鑰；7)TEE密碼計算服務(wù)支持密鑰全生命周期管理，保證密鑰的機密性、完整性。防止非授權(quán)用戶訪問或篡改，并防重放攻擊。c)結(jié)果判定：實際測試結(jié)果與預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。(資料性)TEE設(shè)備安全狀態(tài)評價服務(wù)采集因子示例TEE設(shè)備安全狀態(tài)評價服務(wù)采集因子示例如下。a)TEE服務(wù)代理采集信息內(nèi)容一般包括：2)Root工具、惡意軟件(如：基于黑名單檢查常見的Root工具及惡意程序);3)系統(tǒng)是否在調(diào)試模式或開發(fā)模式(如：adbroot權(quán)限檢查、系統(tǒng)屬性中調(diào)試開關(guān)檢查、模擬器檢測);4)系統(tǒng)安全設(shè)定(如：檢查是否設(shè)定屏幕鎖定，SELinux是否開啟);5)關(guān)鍵內(nèi)存區(qū)域的屬性及訪問權(quán)限(如：攝像頭共享內(nèi)存等);6)TEE服務(wù)控件的軟件版本；7)TEE服務(wù)控件的簽名；8)TEE服務(wù)控件運行模式(調(diào)試模式或產(chǎn)品模式);9)REE操作系統(tǒng)軟件版本號及安全更新版本號；10)設(shè)備相關(guān)識別碼(如：制造商識別碼、產(chǎn)品識別碼、裝置識別碼)。b)TEE服務(wù)采集信息內(nèi)容一般包括：1)啟動參數(shù)(如：設(shè)備鎖定、安全啟動等配置參數(shù));2)可信設(shè)備標識；3)TEE服務(wù)的軟件版本；4)TEE服務(wù)的簽名；5)TEE服務(wù)運行模式(調(diào)試模式或產(chǎn)品模式);6)可信執(zhí)行環(huán)境運行模式(調(diào)試模式或產(chǎn)品模式)。(資料性)publicvoidinit(Bundledata,TSCallBackcallback)B.1.2接口描述進行TEE服務(wù)激活和初始化。B.1.3輸入?yún)?shù)輸入?yún)?shù)如表B.1所示。變量名類型屬性描述備注M第三方代碼data.putString(“insCode”,“00010000”)(TSCallback)callback:異步接口回調(diào)函數(shù)。失敗時回調(diào)onError(StringerrorCode,StringerroMsg),失敗的返回參數(shù)如表B.2所示。表B.2初始化接口失敗返回參數(shù)變量名類型屬性描述備注errorCodeStringM錯誤碼erroMsgStringM錯誤信息成功時回調(diào)onSuccess(Bundleresult),結(jié)果在Bundle對象中獲取，成功的返回參數(shù)如表B.3所示。表B.3初始化接口成功返回參數(shù)變量名類型屬性描述備注StringM執(zhí)行狀態(tài)—Stringstatus=result.getString(“status”)GB/T42572—2023B.2個性化信息生成publicvoidpersonalize(Bundledata,TSCallBackcallback)B.2.2接口描述向應(yīng)用后臺申請個性化數(shù)據(jù)，并傳送給TEE服務(wù)。B.2.3輸入?yún)?shù)輸入?yún)?shù)如表B.4所示。表B.4個性化信息生成接口輸入?yún)?shù)變量名類型屬性描述備注StringM第三方代碼示例請參考表B.1。(TSCallback)callback:異步接口回調(diào)函數(shù)。失敗時回調(diào)onError(StringerrorCode,StringerroMsg),失敗的返回參數(shù)如表B.5所示。變量名類型屬性描述備注errorCodeStringM錯誤碼——erroMsgStringM錯誤信息 成功時回調(diào)onSuccess(Bundleresult),結(jié)果在Bundle對象中獲取，成功的返回參數(shù)如表B.6所示。變量名類型屬性描述備注statusStringM執(zhí)行狀態(tài)示例請參考表B.3。B.3TEE二維碼展示publicvoidtwoDimBarcodesShow(