GPTEE安全要求與國(guó)家標(biāo)準(zhǔn)的對(duì)比分析

朱鵬飛 張利琴 李偉 于華章

摘 要：GP TEE PP在CC3.1框架下給出了TEE的安全功能組件集合。將GP TEE PP與國(guó)家標(biāo)準(zhǔn)GB/T 30284-2013進(jìn)行對(duì)比分析，對(duì)七大類的安全要求進(jìn)行了對(duì)比，并結(jié)合移動(dòng)金融等應(yīng)用場(chǎng)景對(duì)GP TEE PP的安全要求進(jìn)行了分析，提出GP TEE PP不是完善的移動(dòng)金融安全解決方案，需要與TUI、SE等配合使用；與國(guó)家標(biāo)準(zhǔn)相比，GP TEE PP存在降低安全要求的情況。在對(duì)TEE進(jìn)行標(biāo)準(zhǔn)化的過(guò)程中，應(yīng)當(dāng)參照國(guó)家標(biāo)準(zhǔn)進(jìn)行有針對(duì)性的強(qiáng)化。

關(guān)鍵詞：TEE；安全要求；國(guó)家標(biāo)準(zhǔn)

中圖分類號(hào)：TP274+.2 文獻(xiàn)標(biāo)識(shí)碼：B

Abstract： TEE （Trusted Execution Environment） is an available secure architecture for mobile terminals. The security requirements are descripted in GP TEE PP according to CC 3.1. In this paper， those security requirements in GP TEE PP are compared with the national standard GB/T 30284-2013， which is also under the frame of CC 3.1. After seven classes are compared and Analyzed， a conclusion is drawn that TEE is not the “perfect solution” of mobile terminal security， especially to mobile financial applications. Furthermore， some requirements in GP TEE PP are loosen than GB/T 30284-2013. If TEE would be accepted to become an industrial or national standard， the weakness of GP TEE PP should be fixed.

Key words： TEE； security requirement； national standard

1 引言

智能終端的快速普及和移動(dòng)互聯(lián)網(wǎng)的迅速發(fā)展，使得用戶對(duì)移動(dòng)金融的接納程度逐步提高，如何有效保障移動(dòng)金融的安全性，成為當(dāng)前急需解決的實(shí)際問(wèn)題。國(guó)際組織Global Platform提出了TEE（Trusted Execution Environment，可信執(zhí)行環(huán)境）的概念 [1]，指在移動(dòng)終端主處理器上的一個(gè)安全區(qū)域，提供一個(gè)隔離的可信執(zhí)行環(huán)境，保證加載到該環(huán)境內(nèi)部的各種敏感數(shù)據(jù)的安全性、機(jī)密性和完整性。

TEE是與REE（Rich Execution Environment，富執(zhí)行環(huán)境）相對(duì)應(yīng)的一個(gè)邏輯概念，也是一個(gè)與普通操作系統(tǒng)（TEE規(guī)范中稱為Rich OS）平行的運(yùn)行環(huán)境，可以基于不同的技術(shù)實(shí)現(xiàn)，提供安全加解密、安全存儲(chǔ)、可信用戶接口、可信身份認(rèn)證等各種系統(tǒng)服務(wù)。

GP TEE PP[2]在CC3.1框架下給出了TEE的安全功能組件集合。根據(jù)GP TEE PP的描述，TEE可以對(duì)多種移動(dòng)應(yīng)用場(chǎng)景進(jìn)行安全保護(hù)，包括企業(yè)辦公、內(nèi)容管理、個(gè)人信息保護(hù)、連接保護(hù)、移動(dòng)金融服務(wù)等等。GB/T 30284-2013 [3]對(duì)EAL2級(jí)的移動(dòng)通信智能終端操作系統(tǒng)進(jìn)行了安全技術(shù)要求的規(guī)定，可用于指導(dǎo)移動(dòng)通信智能終端操作系統(tǒng)的安全設(shè)計(jì)、開(kāi)發(fā)、測(cè)試以及評(píng)估。該標(biāo)準(zhǔn)涉及智能移動(dòng)終端，與TEE的范圍重疊。同時(shí)，GB/T 30284-2013引用了等同采納國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408（大體等同于CC）的GB/T 18336，在CC框架下規(guī)定了一系列安全功能組件，GB/T 30284-2013框架與GP TEE PP 基本相同。由于二者使用了同樣的框架描述對(duì)TEE信息安全要求，可以對(duì)GP TEE PP與GB/T 30284-2013進(jìn)行較為全面、精確的比較。

當(dāng)前，TEE是業(yè)界比較認(rèn)可的針對(duì)智能移動(dòng)終端的信息安全解決方案，多種基于TEE的方案被提出。智能密碼鑰匙作為網(wǎng)上銀行的通用數(shù)字證書(shū)安全設(shè)備，手機(jī)盾是應(yīng)用于金融領(lǐng)域的安全硬件設(shè)備，結(jié)合了TEE的智能密碼鑰匙和手機(jī)盾（內(nèi)置TEE的手機(jī)），在安全性能上無(wú)差別，都足以提供金融級(jí)別的安全服務(wù)。顯然，結(jié)合SE（Secure Element），安全單元的TEE設(shè)備，能夠提供更高安全級(jí)別的服務(wù)。JR/T 0156-2017在附錄C中描述了承載于TEE和SE上的電子認(rèn)證體系和對(duì)現(xiàn)有手機(jī)銀行等業(yè)務(wù)需要保護(hù)的交易場(chǎng)景，從標(biāo)準(zhǔn)層面對(duì)“TEE+SE”的移動(dòng)支付技術(shù)安全架構(gòu)體系的補(bǔ)充和完善。

除此之外，采納TEE成為行業(yè)甚至國(guó)家標(biāo)準(zhǔn)的活動(dòng)也在進(jìn)行中。JR/T0156-2017《移動(dòng)終端支付可信環(huán)境技術(shù)規(guī)范》[6]明確規(guī)定了移動(dòng)終端支付領(lǐng)域可信環(huán)境的整體框架、可信執(zhí)行環(huán)境、通信安全、數(shù)據(jù)安全、客戶端支付應(yīng)用等主要內(nèi)容，可針對(duì)移動(dòng)終端可信環(huán)境在開(kāi)展移動(dòng)支付相關(guān)業(yè)務(wù)時(shí)提出相關(guān)技術(shù)要求。因此，有必要對(duì)TEE與當(dāng)前的信息安全國(guó)家標(biāo)準(zhǔn)之間的相容性進(jìn)行評(píng)估。

2 GP TEE PP與GB/T 30284-2013的對(duì)比分析

2.1 基本思路

本文的基本思路是列舉GP TEE PP和GB/T 30284-2013的安全功能組件，對(duì)比分析兩者的異同。除此之外，使用金融行業(yè)標(biāo)準(zhǔn)JR/T 0114-2015《網(wǎng)銀系統(tǒng)USB Key規(guī)范 安全技術(shù)與測(cè)評(píng)要求》[7]作為對(duì)照，該標(biāo)準(zhǔn)在GB/T 18336框架下對(duì)網(wǎng)銀系統(tǒng)USB Key的安全功能組件進(jìn)行了規(guī)定。

需要指出的是，GB/T 30284-2013引用的GB/T 18336-2008（已被GB/T 18336-2015代替）與CC 2.3基本一致，部分安全功能組件定義與CC 3.1有所出入。例如，關(guān)于密碼運(yùn)算的安全要求，GB/T 30284-2013使用的是自行定義的組件而非FCS類中的組件。在列表比對(duì)的過(guò)程中，對(duì)GB/T 30284-2013的安全功能組件進(jìn)行了校對(duì)，將使用CC3.1未定義標(biāo)識(shí)的組件調(diào)整為與其等效的安全組件。未找到等效安全組件的，用“*”作為標(biāo)記，具體如表 1所示。

2.2 分類分析

按照安全功能組件分類，對(duì)GP TEE PP和GB/T 30284-2013的安全功能組件進(jìn)行對(duì)比分析。

（1）安全審計(jì)（FAU）類：GP TEE PP僅要求在檢測(cè)到潛在的安全侵害時(shí)應(yīng)自動(dòng)采取動(dòng)作（例如報(bào)警），而GB/T 30284-2013要求產(chǎn)生審計(jì)記錄并與用戶關(guān)聯(lián)。審計(jì)記錄對(duì)存儲(chǔ)空間有要求，而且需要對(duì)存儲(chǔ)空間不足等情況進(jìn)行額外的處理，相對(duì)而言，實(shí)現(xiàn)難度更高，處理起來(lái)也更加復(fù)雜。除此之外，GP TEE PP雖然包含F(xiàn)AU_SAR.1組件，但并沒(méi)有包含F(xiàn)AU_GEN族，使得該組件形同虛設(shè)。因此，GP TEE PP對(duì)安全審計(jì)的要求弱于GB/T 30284-2013。

（2）密碼支持（FCS）類：GP TEE PP不包含此類。這意味著對(duì)于TEE來(lái)說(shuō)，密碼運(yùn)算不是必須的。然而，在移動(dòng)金融等應(yīng)用中，密碼技術(shù)是必須的（例如電子簽名）。因此，如果將TEE用于移動(dòng)金融等應(yīng)用，需要額外增補(bǔ)關(guān)于密碼的安全組件。這在采納TEE作為相關(guān)的行業(yè)標(biāo)準(zhǔn)甚至國(guó)家標(biāo)準(zhǔn)時(shí)應(yīng)予以強(qiáng)調(diào)。

（3）用戶數(shù)據(jù)保護(hù)（FDP）類：與GP TEE PP相比，GB/T 30284-2013對(duì)了輸入和輸出方面的安全要求進(jìn)行了強(qiáng)化和突出。這類安全要求在TEE體系的TUI（Trusted User Interface，可信用戶接口）相關(guān)規(guī)范中有體現(xiàn)。TUI作為TEE中的接口，向用戶提供設(shè)置個(gè)性化安全指示信息，是TEE為TA提供的與用戶輸入/輸出設(shè)備安全交互的界面，一般情況下，TUI會(huì)調(diào)用移動(dòng)終端上的相關(guān)部件來(lái)進(jìn)行用戶交互，當(dāng)相關(guān)部件控制權(quán)屬于TUI時(shí)，由TEE決定是否將這些部件的控制權(quán)交給REE，保證TA與用戶交互的敏感數(shù)據(jù)免受其他應(yīng)用或惡意軟件的攻擊[6]。這意味著在涉及輸入/輸出的應(yīng)用中，使用TEE應(yīng)當(dāng)配合TUI。這在采納TEE作為相關(guān)的行業(yè)標(biāo)準(zhǔn)甚至國(guó)家標(biāo)準(zhǔn)時(shí)也應(yīng)予以強(qiáng)調(diào)。

除此之外，還有一個(gè)有趣的現(xiàn)象：GB/T 30284-2013強(qiáng)調(diào)數(shù)據(jù)傳輸?shù)臋C(jī)密性（FDP_UTC.1），而GP TEE PP強(qiáng)調(diào)數(shù)據(jù)存儲(chǔ)的完整性（FDP_SDI.2）。對(duì)于優(yōu)先需要保證敏感數(shù)據(jù)機(jī)密性和傳輸數(shù)據(jù)完整性的移動(dòng)金融應(yīng)用（例如手機(jī)銀行）來(lái)說(shuō)，二者都不滿足要求，且存在一定的“錯(cuò)位”。

（1）標(biāo)識(shí)和鑒別（FIA）類：與GP TEE PP相比，GB/T 30284-2013強(qiáng)化了用戶身份鑒別方面的安全要求。TEE不支持復(fù)雜的用戶管理（與JR/T 0114-2015規(guī)定的USB Key類似），因此，不包含相關(guān)的安全要求也是可以理解的。值得注意的是，GB/T 30284-2013和JR/T 0114-2015均允許用戶在未鑒別的狀態(tài)下進(jìn)行有限的操作（FIA_UID.1），而TEE不允許（FIA_UID.2）在該類中，因此，針對(duì)TEE的要求，GB/T 30284-2013比GP TEE PP更強(qiáng)。

（2）安全功能管理（FMT）類：與GP TEE PP相比，GB/T 30284-2013對(duì)安全功能管理的規(guī)定更為細(xì)致全面。TEE植根于GP的多應(yīng)用體系，而應(yīng)用管理是多應(yīng)用體系的核心之一。因此，在考慮將TEE納入相關(guān)的行業(yè)標(biāo)準(zhǔn)或者國(guó)家標(biāo)準(zhǔn)時(shí)，如果支持多應(yīng)用，宜參照GB/T 30284-2013增補(bǔ)相關(guān)安全要求。

（3）安全功能保護(hù)（FPT）類：值得注意的是，與JR/T 0114-2015相比，GP TEE PP和GB/T 30284-2013均不包含物理保護(hù)（FPT_PHP）族。對(duì)于移動(dòng)金融應(yīng)用來(lái)說(shuō)，這是一處明顯的弱點(diǎn)。金融行業(yè)標(biāo)準(zhǔn)JR/T 0068-2012 [8]規(guī)定，“禁止僅使用文件證書(shū)或使用文件證書(shū)加靜態(tài)密碼的方式進(jìn)行資金類交易”。而在不使用硬件介質(zhì)的情況下，保存在TEE中的數(shù)字證書(shū)與文件證書(shū)有多大差異，有待商榷。如果配合使JR/T 0089-2012《中國(guó)金融移動(dòng)支付 安全單元》[9]所規(guī)定的安全單元（SE），可能有利于彌補(bǔ)這一短板。

（4）TOE訪問(wèn)（FTA）類：GP TEE PP不包含此類安全組件。與FDP類的情況類似，這是由于TEE不包含輸入/輸出的規(guī)定導(dǎo)致的。TEE與用戶交互時(shí)，應(yīng)通過(guò)TUI，TUI交互的部件包括但不限于移動(dòng)終端上的話筒、鍵盤、觸摸屏、LED燈、指紋傳感器等[6]；在TEE與SE進(jìn)行交互時(shí)，應(yīng)該使用安全通道；TEE與其他部件（例如NFC、攝像頭等）進(jìn)行數(shù)據(jù)通信時(shí)，需要對(duì)通信安全做額外的補(bǔ)充。

在考慮將TEE納入相關(guān)的行業(yè)標(biāo)準(zhǔn)或者國(guó)家標(biāo)準(zhǔn)時(shí)，可參考上述分析結(jié)果。

2.3 小結(jié)

根據(jù)上述分析，得到幾點(diǎn)結(jié)論。

（1）與所聲稱的應(yīng)用場(chǎng)景相比，GP TEE PP的安全要求規(guī)定不夠全面，特別是與外部通信的部分。倘若與之進(jìn)行數(shù)據(jù)通信的部件未做安全設(shè)計(jì)，或者通信方式不具備相應(yīng)的安全屬性，有可能出現(xiàn)數(shù)據(jù)泄露等風(fēng)險(xiǎn)。TUI是TEE應(yīng)用的必要補(bǔ)充，TEE為用戶提供設(shè)置通用安全指示信息的接口，TEE中的所有TA均可訪問(wèn)通用安全指示信息，與其他外設(shè)之間的安全通信還需繼續(xù)研究。

（2）TEE未包含對(duì)物理防護(hù)的安全要求，對(duì)于移動(dòng)金融來(lái)說(shuō)是個(gè)弱點(diǎn)。鑒于實(shí)際的TEE實(shí)現(xiàn)往往基于移動(dòng)終端芯片或智能卡芯片，在物理防護(hù)方面補(bǔ)充安全要求也是可行的。要求應(yīng)用TEE時(shí)應(yīng)搭配SE，也是可行的解決方案。

（3）與當(dāng)前國(guó)家標(biāo)準(zhǔn)相比，GP TEE PP在個(gè)別方面降低了安全要求以減少?gòu)?fù)雜度。隨著方案的發(fā)展成熟和應(yīng)用的普及推廣，有必要進(jìn)行應(yīng)有的強(qiáng)化。在考慮將TEE相關(guān)規(guī)范納入行業(yè)標(biāo)準(zhǔn)或者國(guó)家標(biāo)準(zhǔn)時(shí)，以增強(qiáng)要求的方式補(bǔ)充安全要求，也具有一定的可操作性。

3 結(jié)束語(yǔ)

本文在GB/T 18336-2015（CC 3.1）框架下對(duì)TEE的安全要求GP TEE PP與GB/T 30284-2013進(jìn)行了對(duì)比，結(jié)合移動(dòng)金融等實(shí)際應(yīng)用分析了二者之間的差異，提出了采納TEE作為行業(yè)標(biāo)準(zhǔn)乃至國(guó)家標(biāo)準(zhǔn)時(shí)應(yīng)當(dāng)強(qiáng)化或調(diào)整的要點(diǎn)，這對(duì)于與TEE相關(guān)的標(biāo)準(zhǔn)化工作，具有一定的參考意義。

TEE在移動(dòng)終端的普及推廣，使得移動(dòng)終端初步具備了可信的信息安全保障體系，對(duì)促進(jìn)和推動(dòng)移動(dòng)金融的健康持續(xù)發(fā)展起到了較好的保障作用。然而，正如本文所指出的，TEE并不是完善的移動(dòng)金融安全解決方案，仍需進(jìn)一步改進(jìn)和優(yōu)化。為了更好地規(guī)范和指導(dǎo)TEE在移動(dòng)支付領(lǐng)域的恰當(dāng)應(yīng)用，更好地發(fā)揮TEE的信息安全保障作用，避免TEE濫用、誤用導(dǎo)致額外的安全風(fēng)險(xiǎn)，對(duì)TEE相關(guān)工作進(jìn)行標(biāo)準(zhǔn)化，勢(shì)在必行。在對(duì)TEE進(jìn)行標(biāo)準(zhǔn)化的過(guò)程中，應(yīng)當(dāng)進(jìn)行相應(yīng)的補(bǔ)強(qiáng)。鑒于相關(guān)的金融行業(yè)標(biāo)準(zhǔn)已經(jīng)發(fā)布，接下來(lái)的工作重點(diǎn)是積極參與以金融行業(yè)標(biāo)準(zhǔn)為基礎(chǔ)的團(tuán)體標(biāo)準(zhǔn)的制訂工作，以向前兼容的方式將本文的成果應(yīng)用于TEE的標(biāo)準(zhǔn)化。

參考文獻(xiàn)

[1] GlobalPlatform Device Technology. TEE System Architecture[EB/OL]. https：//www.globalplatform.org/specificationdownload.asp？id=7763，January 2017.

[2] GlobalPlatform Device Committee. TEE Protection Profile[EB/OL]. https：//www.globalplatform.org/specificationdownload.asp？id=7831，November 2016.

[3] GB/T 30284-2013.信息安全技術(shù)移動(dòng)通信智能終端操作系統(tǒng)安全技術(shù)要求（EAL2級(jí)）[S].2013.

[4] 張亞飛.基于可信執(zhí)行環(huán)境的智能密碼鑰匙設(shè)計(jì)與實(shí)現(xiàn)[D].西安：西安電子科技大學(xué)，2014.

[5] 羅凈.基于智能終端可信操作系統(tǒng)的安全支付研究與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2014.

[6] JR/T 0156-2017.移動(dòng)終端支付可信環(huán)境技術(shù)規(guī)范[S].2017.

[7] JR/T 0114-2015.網(wǎng)銀系統(tǒng)USB Key規(guī)范 安全技術(shù)與測(cè)評(píng)要求[S].2015.

[8] JR/T 0068-2012.網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范[S].2012.

[9] JR/T 0089-2012.中國(guó)金融移動(dòng)支付 安全單元[S].2012.