GB/T 41388-2022 信息安全技術(shù) 可信執(zhí)行環(huán)境 基本安全規(guī)范（正式版）

ICS35.030GB/T41388—2022信息安全技術(shù)可信執(zhí)行環(huán)境基本安全規(guī)范國家市場(chǎng)監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會(huì)IGB/T41388—2022 12規(guī)范性引用文件 13術(shù)語和定義 2 2 25.2整體架構(gòu) 3 46.1硬件要求 46.1.1硬件基本要求 46.1.2可信時(shí)鐘源 46.1.3可信隨機(jī)源 46.1.4可信調(diào)試單元 46.1.5可信外設(shè) 4 46.3安全啟動(dòng)要求 57可信虛擬化系統(tǒng) 58可信操作系統(tǒng) 59可信應(yīng)用與服務(wù)管理 69.1基本描述 69.2技術(shù)架構(gòu) 69.2.1架構(gòu)描述 69.2.2互信過程 69.2.3可信應(yīng)用及服務(wù)部署 610可信服務(wù) 610.1可信時(shí)間服務(wù) 610.2可信加解密服務(wù) 710.3可信存儲(chǔ)服務(wù) 710.4可信身份鑒別服務(wù) 710.5可信設(shè)備鑒證服務(wù) 710.6可信人機(jī)交互服務(wù) 710.7SE管理服務(wù) 711跨平臺(tái)應(yīng)用中間件 8 9Ⅱ12.1可信應(yīng)用基本架構(gòu) 912.2可信應(yīng)用加載的安全要求 912.3客戶端應(yīng)用與可信應(yīng)用通信的安全要求 912.4可信應(yīng)用與可信應(yīng)用通信的安全要求 13測(cè)試評(píng)價(jià)方法 913.1基礎(chǔ)要求 9 913.1.1.1硬件基本要求 13.1.1.2可信時(shí)鐘源 13.1.1.3可信隨機(jī)源 13.1.1.4可信調(diào)試單元 13.1.1.5可信外設(shè) 13.1.2可信根 13.1.3安全啟動(dòng) 13.2可信虛擬化系統(tǒng) 13.3可信操作系統(tǒng) 13.4可信應(yīng)用與服務(wù)管理 13.4.1互信過程 13.4.2可信應(yīng)用及服務(wù)部署 13.5可信服務(wù) 13.5.1可信時(shí)間服務(wù) 13.5.2可信加解密服務(wù) 13.5.3可信存儲(chǔ)服務(wù) 13.5.4可信身份鑒別服務(wù) 13.5.5可信設(shè)備鑒證服務(wù) 13.5.6可信人機(jī)交互服務(wù) 13.5.7SE管理服務(wù) 13.6跨平臺(tái)應(yīng)用中間件 13.7可信應(yīng)用 13.7.1可信應(yīng)用加載 13.7.2客戶端應(yīng)用與可信應(yīng)用通信 13.7.3可信應(yīng)用與可信應(yīng)用通信 附錄A(資料性)可信執(zhí)行環(huán)境參考架構(gòu) 附錄B(資料性)支持多種身份鑒別的應(yīng)用場(chǎng)景 ⅢGB/T41388—2022本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。限公司、OPPO廣東移動(dòng)通信有限公司、維沃移動(dòng)通信有限公司、中國金融認(rèn)證中心、深圳市騰訊計(jì)算想(北京)有限公司、高通無線通信技術(shù)(中國)有限公司、華控清交信息科技(北京)有限公司、上海聚虹光電科技有限公司。1GB/T41388—2022信息安全技術(shù)可信執(zhí)行環(huán)境基本安全規(guī)范1范圍本文件確立了可信執(zhí)行環(huán)境系統(tǒng)整體技術(shù)架構(gòu)，描述了可信執(zhí)行環(huán)境基礎(chǔ)要求、2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文本文件。GB/T20271—2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T25069—2010信息安全技術(shù)術(shù)語3術(shù)語和定義GB/T25069—2010界定的以及下列術(shù)語和定義適用于本文件。3.1虛擬化virtualization將一種或多種形式資源虛擬化成另外一種或多種形式資源的方法。3.2基于可信執(zhí)行環(huán)境的虛擬化方法。3.3和不可否認(rèn)性目標(biāo)構(gòu)建的一種軟件運(yùn)行環(huán)境。3.4富執(zhí)行環(huán)境richexecutionenvironment為應(yīng)用程序提供基礎(chǔ)功能和計(jì)算資源的一種軟件運(yùn)行環(huán)境。3.5由可信執(zhí)行環(huán)境及富執(zhí)行環(huán)境下用以支撐客戶端應(yīng)用的運(yùn)行環(huán)境共同構(gòu)成的系統(tǒng)。2GB/T41388—20223.6在可信執(zhí)行環(huán)境中為可信應(yīng)用和執(zhí)行環(huán)境自身所提供的各種服務(wù)。3.7安全啟動(dòng)secureboot機(jī)制。3.8可信應(yīng)用trustedapplication運(yùn)行在可信執(zhí)行環(huán)境中的應(yīng)用程序。3.9客戶端應(yīng)用clientapplication3.10證書頒發(fā)方certificateissuer用于簽名驗(yàn)證的證書的頒發(fā)者。API:應(yīng)用程序編程接口(ApplicationProgrammingInterface)CPU:中央處理器(CentralProcessingUnit)DMA:直接內(nèi)存訪問(DirectMemoryAccess)IOMMU:輸入輸出內(nèi)存管理單元(InputOutputMemoryManagementUnit)NFC:近場(chǎng)通信(NearFieldCommunication)TA:可信應(yīng)用(TrustedApplication)TAM:可信應(yīng)用管理(TrustedApplicationManager)TEE:可信執(zhí)行環(huán)境(TrustedExecutionEnvironment)為了兼顧安全與開放，通常會(huì)在一個(gè)設(shè)備上基于硬件級(jí)隔離同時(shí)建立起兩個(gè)完整的執(zhí)行環(huán)境。其要的CPU、內(nèi)存、外設(shè)等資源在硬件級(jí)安全機(jī)制基礎(chǔ)上嚴(yán)格隔離，隔離機(jī)制按GB/T20271—2006中4.2.5關(guān)于特別安全防護(hù)規(guī)定的要求。富執(zhí)行環(huán)境中的客戶端應(yīng)用和可信執(zhí)行環(huán)境中的可信應(yīng)用相互基本功能和安全要求。3GB/T5.2整體架構(gòu)本文件所定義的可信執(zhí)行環(huán)境系統(tǒng)整體架構(gòu)見圖1?？尚艌?zhí)行環(huán)境可信執(zhí)行環(huán)境模塊一可信應(yīng)用跨平臺(tái)應(yīng)用中間件(可選)可信服務(wù)可信應(yīng)用與服務(wù)管理客戶端應(yīng)用可信操作系統(tǒng)安全代理模塊三可信虛擬化系統(tǒng)硬件環(huán)境可信時(shí)鐘源硬件環(huán)境可信調(diào)試單元可信隨機(jī)源可信外設(shè)(可選)富執(zhí)行環(huán)境可信應(yīng)用可信應(yīng)用可信應(yīng)用模塊一圖1整體架構(gòu)可信執(zhí)行環(huán)境系統(tǒng)要求設(shè)備同時(shí)具備兩個(gè)運(yùn)行環(huán)境：富執(zhí)行環(huán)境、可信執(zhí)行環(huán)境。其中富執(zhí)行環(huán)境主要負(fù)責(zé)處理安全性要求相對(duì)較低、功能相對(duì)豐富的業(yè)務(wù)。富執(zhí)行環(huán)境中主要包括用于與可信執(zhí)行環(huán)境通信的安全代理、用于業(yè)務(wù)處理并與可信應(yīng)用通信的客戶端應(yīng)用等?？尚艌?zhí)行環(huán)境運(yùn)行安全等級(jí)較高的可信操作系統(tǒng)及可信服務(wù)與應(yīng)用等?？尚艌?zhí)行環(huán)境基于具備安全隔離屬性的硬件基礎(chǔ)之上構(gòu)建，該硬件只有在切換為可信環(huán)境后才能夠被正常訪問和進(jìn)行數(shù)據(jù)處理，包括可信時(shí)鐘源、可信密碼單元(可選)、可信調(diào)試單元以及可信外設(shè)(可選)等。整個(gè)可信執(zhí)行環(huán)境系統(tǒng)的啟動(dòng)過程應(yīng)以可信根為起點(diǎn)，并滿足安全啟動(dòng)相關(guān)安全要求?？尚艌?zhí)行環(huán)境系統(tǒng)根據(jù)應(yīng)用場(chǎng)景的不同，可由下述3個(gè)不同的功能模塊組成：a)模塊一由可信操作系統(tǒng)、可信服務(wù)、可信應(yīng)用、可信應(yīng)用與服務(wù)管理以及可選的跨平臺(tái)中間件組成的系統(tǒng)；b)模塊二可信應(yīng)用直接運(yùn)行于硬件環(huán)境上；c)模塊三由基于可信虛擬化技術(shù)構(gòu)建的可信虛擬化系統(tǒng)。通過組合3個(gè)模塊可以形成三種架構(gòu)。a)精簡架構(gòu)，在可信執(zhí)行環(huán)境中，只包含模塊二中直接運(yùn)行在硬件環(huán)境上的可信應(yīng)用。該架構(gòu)面b)標(biāo)準(zhǔn)架構(gòu)，標(biāo)準(zhǔn)架構(gòu)指由模塊一組成的可信執(zhí)行環(huán)境?？缙脚_(tái)應(yīng)用中間件為可選項(xiàng)。c)虛擬化架構(gòu)，虛擬化架構(gòu)包含模塊一、模塊二和模塊三共3個(gè)模塊。該架構(gòu)用于在同一設(shè)備上支持多個(gè)包含模塊一與模塊二中所描述的系統(tǒng)。虛擬化架構(gòu)通過可信虛擬化系統(tǒng)為上層提供創(chuàng)建和管理一個(gè)或多個(gè)客戶虛擬機(jī)的能力?？蛻籼摂M機(jī)可以同時(shí)運(yùn)行一個(gè)或多個(gè)模塊一與模塊二中所描述的系統(tǒng)?？尚艌?zhí)行環(huán)境與富執(zhí)行環(huán)境間的通信通過安全代理完成。富執(zhí)行環(huán)境中的客戶端應(yīng)用通過安全代4GB/T41388—2022理與可信執(zhí)行環(huán)境進(jìn)行通信，具體要求見第12章相關(guān)描述。6基礎(chǔ)要求可信執(zhí)行環(huán)境系統(tǒng)架構(gòu)應(yīng)基于硬件級(jí)隔離機(jī)制實(shí)現(xiàn)，應(yīng)保證所隔離的可信執(zhí)行環(huán)境的資源不被富執(zhí)行環(huán)境硬件參考架構(gòu)見附錄A?？尚艜r(shí)鐘源是可信執(zhí)行環(huán)境系統(tǒng)中使用的看門狗計(jì)時(shí)器和可信執(zhí)行環(huán)境調(diào)度計(jì)時(shí)器的硬件基礎(chǔ)。信執(zhí)行環(huán)境系統(tǒng)內(nèi)的編程狀態(tài)被破壞。滿足相關(guān)密碼學(xué)要求的真隨機(jī)數(shù)硬件發(fā)生器，該a)可信調(diào)試單元硬件子系統(tǒng)應(yīng)保證所有侵入式調(diào)試機(jī)制能夠被禁用；b)可信調(diào)試單元硬件子系統(tǒng)應(yīng)保證所有調(diào)試機(jī)制(包括非侵入式和侵入式)可以被設(shè)定為只有可信執(zhí)行環(huán)境才能夠使用；c)可信調(diào)試硬件單元子系統(tǒng)應(yīng)保證所有調(diào)試機(jī)制(包括非侵入式和侵入式)可以被富執(zhí)行環(huán)境使統(tǒng)不允許訪問或修改可信執(zhí)行環(huán)境中的任何寄存器與存儲(chǔ)器；d)可信調(diào)試硬件單元子系統(tǒng)的寄存器使用過程中應(yīng)保證持續(xù)供電，或者能夠保證寄存器在系統(tǒng)斷電前被完整地保存并在系統(tǒng)恢復(fù)供電時(shí)完整恢復(fù)。可信外設(shè)指對(duì)驅(qū)動(dòng)控制與數(shù)據(jù)采集有一定安全或隱私要求的一類外設(shè)。在使用可信外設(shè)前，系統(tǒng)應(yīng)被切換到可信執(zhí)行環(huán)境內(nèi)，以阻止任何停留在富執(zhí)行環(huán)境的惡對(duì)于采集與處理過程不能夠完全由可信執(zhí)行環(huán)境控制的外設(shè)，宜采用以下兩種方控制風(fēng)險(xiǎn)?？尚鸥鶠榭尚艌?zhí)行環(huán)境建立及運(yùn)行提供支撐，可以是硬件、代碼和數(shù)據(jù)。可信根應(yīng)具備以下安全5GB/T41388—2022度量和安全存儲(chǔ)提供支持；b)應(yīng)提供訪問控制機(jī)制，保證未經(jīng)授權(quán)的用戶不能訪問和篡改可信根的數(shù)據(jù)和代碼。6.3安全啟動(dòng)要求安全啟動(dòng)是通過安全機(jī)制來驗(yàn)證可信執(zhí)行環(huán)境系統(tǒng)啟動(dòng)過程中每一個(gè)階段軟件代碼的完整性和真實(shí)性，防止非授權(quán)或被惡意篡改的代碼被執(zhí)行。安全啟動(dòng)過程構(gòu)建了一個(gè)信任鏈，整個(gè)過程始于一個(gè)可信根，其他組件或代碼需通過完整性和真實(shí)性驗(yàn)證才能被執(zhí)行。安全啟動(dòng)過程應(yīng)保證可信執(zhí)行環(huán)境系統(tǒng)的完整性和真實(shí)性。安全啟動(dòng)應(yīng)滿足如下要求：a)應(yīng)保證用于驗(yàn)證完整性和真實(shí)性的密碼算法本身的魯棒性；b)應(yīng)保證可信根不可被替換或篡改；c)應(yīng)保證用于代碼完整性和真實(shí)性驗(yàn)證的密鑰不可被非授權(quán)替換或篡改，并提供安全的密鑰更d)應(yīng)保證安全啟動(dòng)信任鏈按序逐級(jí)驗(yàn)證，不可被惡意繞過；e)宜提供代碼防回滾功能。7可信虛擬化系統(tǒng)可信虛擬化系統(tǒng)應(yīng)具備以下能力：a)創(chuàng)建、刪除等動(dòng)態(tài)管理可信執(zhí)行環(huán)境內(nèi)虛擬機(jī)的能力；b)管理可信執(zhí)行環(huán)境中虛擬機(jī)內(nèi)部CPU、內(nèi)存、中斷、外設(shè)等硬件資源的能力；c)可信執(zhí)行環(huán)境內(nèi)虛擬機(jī)之間應(yīng)具備互相通信和數(shù)據(jù)交換的能力?？尚盘摂M化系統(tǒng)應(yīng)具備如下安全要求：a)應(yīng)保證可信執(zhí)行環(huán)境內(nèi)各虛擬機(jī)僅根據(jù)其所分配的權(quán)限訪問相應(yīng)的資源，不能越權(quán)訪問；b)應(yīng)保證可信執(zhí)行環(huán)境系統(tǒng)自身及內(nèi)部虛擬機(jī)加載和運(yùn)行過程的正確性與完整性；c)應(yīng)保證可信執(zhí)行環(huán)境系統(tǒng)自身及內(nèi)部虛擬機(jī)數(shù)據(jù)與代碼的真實(shí)性和完整性；d)可信執(zhí)行環(huán)境內(nèi)虛擬機(jī)之間的通信應(yīng)具備一定的訪問控制策略。可信虛擬化系統(tǒng)應(yīng)避免賦予內(nèi)部虛擬機(jī)最高等級(jí)權(quán)限，單一虛擬機(jī)出現(xiàn)崩潰或安全隱患時(shí)，不應(yīng)影響到可信執(zhí)行環(huán)境系統(tǒng)自身及內(nèi)部其他虛擬機(jī)的正常工作。8可信操作系統(tǒng)可信操作系統(tǒng)應(yīng)具備常規(guī)操作系統(tǒng)中的進(jìn)程管理、內(nèi)存可信操作系統(tǒng)要求在訪問控制、身份鑒別、數(shù)據(jù)完整性、可信路徑等方面滿足相應(yīng)的安全技術(shù)要求。包括：a)應(yīng)保證可信應(yīng)用及可信服務(wù)僅根據(jù)其所分配的權(quán)限訪問相應(yīng)的資源，不能越權(quán)訪問；b)應(yīng)保證系統(tǒng)自身、可信服務(wù)與應(yīng)用啟動(dòng)的正確性與完整性；c)應(yīng)保證系統(tǒng)自身、可信服務(wù)與應(yīng)用數(shù)據(jù)和代碼的真實(shí)性和完整性；d)應(yīng)具備可信應(yīng)用之間、可信應(yīng)用與可信服務(wù)之間的訪問控制能力；e)對(duì)于系統(tǒng)權(quán)限的管理，應(yīng)避免賦予可信服務(wù)與應(yīng)用最高權(quán)限，避免單一可信應(yīng)用與服務(wù)出現(xiàn)異常時(shí)，影響系統(tǒng)內(nèi)核及其他可信應(yīng)用與服務(wù)的正常工作。6GB/T41388—20229可信應(yīng)用與服務(wù)管理9.1基本描述可信應(yīng)用與服務(wù)管理負(fù)責(zé)可信執(zhí)行環(huán)境下可信應(yīng)用與可信服務(wù)的安裝、更新、刪除及其安全屬性配置管理等?？尚艌?zhí)行環(huán)境中的可信應(yīng)用與服務(wù)，可采用本地方式管理，也可通過TAM后臺(tái)進(jìn)行遠(yuǎn)程管理，其所遵循的安全要求應(yīng)保持一致。9.2技術(shù)架構(gòu)可信應(yīng)用與服務(wù)的發(fā)布過程見圖2,設(shè)備提供商(或授權(quán)服務(wù)商)是可信執(zhí)行環(huán)境系統(tǒng)擁有方，負(fù)責(zé)設(shè)備提供商(或授權(quán)服務(wù)商)根證書的管理、應(yīng)用發(fā)布證書的簽發(fā)；可信應(yīng)用提供商負(fù)責(zé)可信應(yīng)用的開發(fā)，并經(jīng)過應(yīng)用發(fā)布證書對(duì)應(yīng)的私鑰簽名后，將帶簽名的TA提交可信應(yīng)用運(yùn)營商進(jìn)行發(fā)布；可信操作系統(tǒng)對(duì)收到的帶簽名的TA,采用設(shè)備提供商(或授權(quán)服務(wù)商)根證書及該TA對(duì)應(yīng)的應(yīng)用發(fā)布證書，對(duì)TA進(jìn)行簽名驗(yàn)證，如簽名驗(yàn)證通過則執(zhí)行后續(xù)的安裝/更新。設(shè)備提供商設(shè)備提供商(或授權(quán)服務(wù)商)簽發(fā)應(yīng)用發(fā)布證書發(fā)布TA可信應(yīng)用提供商權(quán)服務(wù)商)根證書驗(yàn)證TA可信應(yīng)用運(yùn)骨商可信操作系統(tǒng)簽發(fā)TA圖2可信應(yīng)用與服務(wù)管理架構(gòu)對(duì)可信應(yīng)用及服務(wù)的管理，采用基于設(shè)備提供商(或授權(quán)服務(wù)商)根證書、應(yīng)用發(fā)布證書認(rèn)證的方式當(dāng)采用互信通道將TA部署到可信執(zhí)行環(huán)境中時(shí)，可信執(zhí)行環(huán)境首先要校驗(yàn)TA的真實(shí)性和完整性，并根據(jù)不同TA提供商所擁有的權(quán)限，對(duì)相應(yīng)TA對(duì)應(yīng)的相關(guān)資源和通信訪問進(jìn)行嚴(yán)格控制。10可信服務(wù)10.1可信時(shí)間服務(wù)可信執(zhí)行環(huán)境系統(tǒng)應(yīng)集成可信時(shí)間服務(wù)，為可信應(yīng)用及其他可信服務(wù)提供獲取可信時(shí)間的功能?？尚艜r(shí)間分為系統(tǒng)時(shí)間與可信應(yīng)用的持久化時(shí)間。系統(tǒng)時(shí)間具有任意的非持久性的起點(diǎn)，系統(tǒng)時(shí)間可以基于專用的安全硬件實(shí)現(xiàn)，也可以基于TEE時(shí)間實(shí)現(xiàn)，不同的可信應(yīng)用實(shí)例可以擁有不同的系統(tǒng)時(shí)間。在整個(gè)可信應(yīng)用實(shí)例生命周期中，系統(tǒng)時(shí)間不可以重置或回滾，不會(huì)因進(jìn)入低功耗狀態(tài)而影響系統(tǒng)時(shí)間的正常運(yùn)轉(zhuǎn)；可信應(yīng)用的持久化時(shí)間起點(diǎn)因每個(gè)可信應(yīng)用的不同而不同，但應(yīng)在重啟過程中保持持久化。7GB/T41388—202210.2可信加解密服務(wù)可信執(zhí)行環(huán)境系統(tǒng)應(yīng)集成可信加解密服務(wù)，為可信應(yīng)用以及其他可信服務(wù)提供加解密功能。可信加解密服務(wù)應(yīng)保證僅獲得相應(yīng)授權(quán)的可信應(yīng)用或可信服務(wù)才可以訪問密鑰。10.3可信存儲(chǔ)服務(wù)可信執(zhí)行環(huán)境系統(tǒng)應(yīng)集成可信存儲(chǔ)服務(wù)，為可信應(yīng)用及其他可信服務(wù)提供可信存儲(chǔ)功能?？尚糯鎯?chǔ)服務(wù)包括但不限于如下功能：a)對(duì)存儲(chǔ)對(duì)象的讀寫操作要求確保操作的原子性、數(shù)據(jù)的機(jī)密性、數(shù)據(jù)的完整性；b)可信存儲(chǔ)應(yīng)具備訪問控制機(jī)制，確保只有授權(quán)的應(yīng)用才能訪問相應(yīng)的存儲(chǔ)空間；c)可信存儲(chǔ)宜提供對(duì)數(shù)據(jù)回滾攻擊的防御措施。10.4可信身份鑒別服務(wù)可信執(zhí)行環(huán)境系統(tǒng)可集成可信身份鑒別服務(wù)，為可信執(zhí)行環(huán)境中的可信應(yīng)用或其他可信服務(wù)提供身份鑒別功能。可信身份鑒別服務(wù)通過識(shí)別用戶的個(gè)人身份數(shù)字特征信息來識(shí)別用戶身份的合法性、是否有操作相關(guān)功能的權(quán)利等?？尚派矸蓁b別服務(wù)可以采用但不限于下列身份鑒別方式完成用戶合法等其他可信服務(wù)的協(xié)同操作來完成。10.5可信設(shè)備鑒證服務(wù)可信執(zhí)行環(huán)境系統(tǒng)可集成可信設(shè)備鑒證服務(wù)，用于證明設(shè)備真實(shí)性?？尚旁O(shè)備鑒證服務(wù)可以對(duì)外提供但不限于如下種類的功能：a)證明設(shè)備標(biāo)識(shí)的真實(shí)性及設(shè)備來源的真實(shí)性；b)監(jiān)測(cè)可信執(zhí)行環(huán)境運(yùn)行的健康狀態(tài)；c)監(jiān)測(cè)富執(zhí)行環(huán)境運(yùn)行的健康狀態(tài)。10.6可信人機(jī)交互服務(wù)可信執(zhí)行環(huán)境系統(tǒng)可集成可信人機(jī)交互服務(wù)，提供可信執(zhí)行環(huán)境下的用戶人機(jī)交互界面顯示和輸魚等攻擊的防護(hù)能力。10.7SE管理服務(wù)可信執(zhí)行環(huán)境系統(tǒng)可集成SE管理服務(wù)，用于提供可信應(yīng)用與SE之間的訪問通道的功能，以滿足更高安全應(yīng)用場(chǎng)景的需求。SE管理服務(wù)應(yīng)具備訪問控制機(jī)制以確保僅經(jīng)過授權(quán)的可信應(yīng)用可以訪問SE?？尚艌?zhí)行環(huán)境對(duì)SE管理架構(gòu)見圖3。8GB/T41388—2022可信執(zhí)行環(huán)境可信應(yīng)用可信操作系統(tǒng)TEESE內(nèi)部接口圖3SE管理架構(gòu)圖11跨平臺(tái)應(yīng)用中間件跨平臺(tái)應(yīng)用中間件主要用于解決不同可信執(zhí)行環(huán)境系統(tǒng)之間的應(yīng)用兼容性問題，具體包括四個(gè)功能模塊：a)跨平臺(tái)支持庫，用于彌補(bǔ)不同可信執(zhí)行環(huán)境系統(tǒng)本地支持庫的差異；c)跨平臺(tái)編程語言，為解決不同可信執(zhí)行環(huán)境系統(tǒng)對(duì)TA支持的兼容性問題，建立符合相應(yīng)安全要求的跨平臺(tái)編程語言；d)跨平臺(tái)API,支持不同平臺(tái)對(duì)跨平臺(tái)中間件調(diào)用的應(yīng)用編程接口?？缙脚_(tái)應(yīng)用中間件整體框架見圖4?？尚艌?zhí)行可信執(zhí)行環(huán)境跨平臺(tái)中間件跨平臺(tái)AP[跨平臺(tái)編程語言安全驅(qū)動(dòng)框架跨平臺(tái)支持庫可信操作系統(tǒng)可信操作系統(tǒng)可信操作系統(tǒng)圖4跨平臺(tái)應(yīng)用中間件架構(gòu)圖9GB/T41388—202212可信應(yīng)用12.1可信應(yīng)用基本架構(gòu)可信應(yīng)用為可信執(zhí)行環(huán)境下的應(yīng)用程序，通過可信應(yīng)用與服務(wù)管理系統(tǒng)進(jìn)行管理，客戶端應(yīng)用與可信應(yīng)用之間通信，以及不同可信應(yīng)用之間的通信，均應(yīng)具備訪問控制能力?？尚艖?yīng)用通信的基本框架見圖5,客戶端應(yīng)用通過安全代理通過富執(zhí)行環(huán)境與可信執(zhí)行環(huán)境之間的通信通道，與可信應(yīng)用實(shí)現(xiàn)數(shù)據(jù)交換。在可信執(zhí)行環(huán)境內(nèi)部，可信應(yīng)用與可信應(yīng)用之間根據(jù)需要可通過內(nèi)部通信通道進(jìn)行數(shù)據(jù)交換?？尚艖?yīng)用的具體應(yīng)用場(chǎng)景，見附錄B。應(yīng)用通信通道通信遠(yuǎn)道硬件隔離可信可信安企代理圖5可信應(yīng)用通信框架12.2可信應(yīng)用加載的安全要求可信執(zhí)行環(huán)境應(yīng)具備對(duì)可信應(yīng)用驗(yàn)證的能力，以達(dá)到保護(hù)可信應(yīng)用內(nèi)容、驗(yàn)證可信應(yīng)用的合法性的12.3客戶端應(yīng)用與可信應(yīng)用通信的安全要求可信執(zhí)行環(huán)境應(yīng)具備訪問控制能力，確保只有授權(quán)的客戶端應(yīng)用才能訪問對(duì)應(yīng)的可信應(yīng)用。12.4可信應(yīng)用與可信應(yīng)用通信的安全要求可信執(zhí)行環(huán)境應(yīng)具備某種訪問控制機(jī)制，使得僅被授權(quán)的可信應(yīng)用可以與目標(biāo)可信應(yīng)用進(jìn)行通信。取通信本身的信息。13測(cè)試評(píng)價(jià)方法13.1基礎(chǔ)要求硬件基本要求的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：GB/T41388—2022b)預(yù)期結(jié)果：1)可信執(zhí)行環(huán)境系統(tǒng)架構(gòu)基于硬件級(jí)隔離機(jī)制實(shí)現(xiàn)，保證所隔離的可信執(zhí)行環(huán)境的資源不被富執(zhí)行環(huán)境訪問；a)測(cè)試方法：2)檢查設(shè)備啟動(dòng)過程中對(duì)可信時(shí)鐘源的配置；b)預(yù)期結(jié)果：2)可信執(zhí)行環(huán)境具備防止因外部干擾等原因?qū)е驴尚艌?zhí)行環(huán)境系統(tǒng)內(nèi)的編程狀態(tài)被破壞的c)結(jié)果判定：可信隨機(jī)源的測(cè)試評(píng)價(jià)方法如下。1)審查廠商提交的文檔，檢查可信執(zhí)行環(huán)境的可信隨機(jī)源設(shè)計(jì)是否采用滿足相關(guān)密碼學(xué)要求的真隨機(jī)數(shù)硬件發(fā)生器；2)嘗試在可信執(zhí)行環(huán)境之外訪問隨機(jī)數(shù)發(fā)生器。b)預(yù)期結(jié)果：1)可信執(zhí)行環(huán)境的可信隨機(jī)源所涉及的隨機(jī)數(shù)發(fā)生器，采用滿足相關(guān)密碼學(xué)要求的真隨機(jī)2)隨機(jī)數(shù)發(fā)生器被設(shè)置成只能通過可信執(zhí)行環(huán)境訪問。c)結(jié)果判定：可信調(diào)試單元的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：l)審查廠商提交的文檔，檢查可信執(zhí)行環(huán)境的可信調(diào)試單元設(shè)計(jì)；2)嘗試通過侵入式調(diào)試機(jī)制使用可信調(diào)試單元；3)設(shè)置可信調(diào)試單元的所有調(diào)試機(jī)制(包括非侵入式和侵入式)僅被可信執(zhí)行環(huán)境使用，嘗試在可信執(zhí)行環(huán)境之外使用調(diào)試機(jī)制；GB/T41388—20224)設(shè)置可信調(diào)試單元的所有調(diào)試機(jī)制(包括非侵入式和侵入式)可被富執(zhí)行環(huán)境和可信執(zhí)行b)預(yù)期結(jié)果：1)可信調(diào)試單元硬件子系統(tǒng)保證所有侵入式調(diào)試機(jī)制能夠被禁用；2)可信調(diào)試單元硬件子系統(tǒng)保證所有調(diào)試機(jī)制(包括非侵入式和侵入式)可以被設(shè)定為只有可信執(zhí)行環(huán)境才能夠使用；3)可信調(diào)試單元硬件子系統(tǒng)保證所有調(diào)試機(jī)制(包括非侵入式和侵入式)可以被富執(zhí)行環(huán)境系統(tǒng)不允許訪問或修改可信執(zhí)行環(huán)境中的任何寄存器與存儲(chǔ)器；4)可信調(diào)試單元硬件子系統(tǒng)的寄存器使用過程中保證持續(xù)供電，或者能夠保證寄存器在系統(tǒng)斷電前被完整地保存并在系統(tǒng)恢復(fù)供電時(shí)完整恢復(fù)。c)結(jié)果判定：a)測(cè)試方法：2)在可信執(zhí)行環(huán)境使用可信外設(shè)時(shí)，嘗試通過富執(zhí)行環(huán)境監(jiān)控和記錄可信外設(shè)的交互數(shù)據(jù)；3)對(duì)于采集與處理過程不能夠完全由可信執(zhí)行環(huán)境控制的外設(shè)，檢查可信外設(shè)和可信執(zhí)行環(huán)境之間的數(shù)據(jù)傳輸保護(hù)機(jī)制，驗(yàn)證可信執(zhí)行環(huán)境是否具備對(duì)富執(zhí)行環(huán)境及整個(gè)設(shè)備的安全狀態(tài)的監(jiān)測(cè)和響應(yīng)機(jī)制。b)預(yù)期結(jié)果：代碼監(jiān)控和記錄數(shù)據(jù)的輸入。2)對(duì)于采集與處理過程不能夠完全由可信執(zhí)行環(huán)境控制的外設(shè)，在可信外設(shè)和可信執(zhí)行環(huán)境之間加密傳輸數(shù)據(jù)，且可信執(zhí)行環(huán)境具備對(duì)富執(zhí)行環(huán)境及整個(gè)設(shè)備的安全狀態(tài)的監(jiān)測(cè)c)結(jié)果判定：a)測(cè)試方法：3)嘗試使用未經(jīng)授權(quán)的用戶訪問和篡改可信根的數(shù)據(jù)和代碼，驗(yàn)證訪問控制機(jī)制是否有效。b)預(yù)期結(jié)果：GB/T41388—20222)可信根具備訪問控制機(jī)制，保證未經(jīng)授權(quán)的用戶不能訪問和c)結(jié)果判定：安全啟動(dòng)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信執(zhí)行環(huán)境系統(tǒng)的安全啟動(dòng)過程；2)檢查安全啟動(dòng)過程用于完整性和真實(shí)性驗(yàn)證的密碼算法不存在已公開脆弱性；3)嘗試替換或篡改可信根，驗(yàn)證安全啟動(dòng)是否正常執(zhí)行；4)檢查用于完整性和真實(shí)性驗(yàn)證密鑰的更新和撤銷機(jī)制，嘗試非授權(quán)替換或篡改相應(yīng)密鑰，驗(yàn)證安全啟動(dòng)是否正常執(zhí)行；5)嘗試?yán)@過安全啟動(dòng)信任鏈的逐級(jí)驗(yàn)證過程。b)預(yù)期結(jié)果：1)安全啟動(dòng)過程保證可信執(zhí)行環(huán)境系統(tǒng)的完整性和真實(shí)性，防止非授權(quán)或被惡意篡改的代2)安全啟動(dòng)過程保證用于完整性和真實(shí)性驗(yàn)證的密碼算法本身的魯棒性；3)安全啟動(dòng)過程保證可信根不可被替換或篡改；4)安全啟動(dòng)過程保證用于進(jìn)行代碼完整性和真實(shí)性驗(yàn)證的密鑰不可被非授權(quán)替換或篡改，5)安全啟動(dòng)信任鏈按序逐級(jí)驗(yàn)證，不可被惡意繞過。c)結(jié)果判定：可信虛擬化系統(tǒng)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信虛擬化系統(tǒng)的設(shè)計(jì)；2)在可信執(zhí)行環(huán)境內(nèi)動(dòng)態(tài)創(chuàng)建和刪除虛擬機(jī)，并嘗試管理虛擬機(jī)內(nèi)部CPU,內(nèi)存，中斷，外設(shè)等硬件資源；3)在可信執(zhí)行環(huán)境內(nèi)創(chuàng)建多個(gè)虛擬機(jī)，驗(yàn)證虛擬機(jī)之間是否支持互相通信及進(jìn)行數(shù)據(jù)交換，檢查虛擬機(jī)之間通信的訪問控制策略，根據(jù)策略內(nèi)容分別訪問策略所允許訪問和不允許6)檢查可信虛擬化系統(tǒng)內(nèi)部虛擬機(jī)的等級(jí)權(quán)限設(shè)置，驗(yàn)證是否賦予虛擬機(jī)最高等級(jí)權(quán)限。b)預(yù)期結(jié)果：1)可信虛擬化系統(tǒng)具備創(chuàng)建、刪除等動(dòng)態(tài)管理虛擬機(jī)的能力，以及管理虛擬機(jī)的CPU,內(nèi)2)可信執(zhí)行環(huán)境內(nèi)虛擬機(jī)之間具備互相通信及進(jìn)行數(shù)據(jù)交換的能力，且虛擬機(jī)之間通信具備訪問控制能力；3)可信執(zhí)行環(huán)境內(nèi)虛擬機(jī)僅根據(jù)其所分配的權(quán)限訪問相應(yīng)的資源，不能越權(quán)訪問；4)可信虛擬化系統(tǒng)保證虛擬機(jī)加載和運(yùn)行過程的正確性與完整性，以及保證虛擬機(jī)數(shù)據(jù)與GB/T41388—2022會(huì)影響到可信執(zhí)行環(huán)境系統(tǒng)自身及內(nèi)部其他虛擬機(jī)的正常工作。c)結(jié)果判定：可信操作系統(tǒng)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信操作系統(tǒng)的設(shè)計(jì)；2)檢查可信操作系統(tǒng)的訪問控制策略，嘗試使用可信應(yīng)用及可信服務(wù)分別訪問策略所允許6)檢查可信操作系統(tǒng)內(nèi)部可信服務(wù)與可信應(yīng)用的權(quán)限設(shè)置，驗(yàn)證是否賦予可信服務(wù)與可信b)預(yù)期結(jié)果：2)可信操作系統(tǒng)保證可信應(yīng)用及可信服務(wù)僅根據(jù)其所分配的權(quán)限訪問相應(yīng)的資源，不能越3)可信操作系統(tǒng)保證系統(tǒng)自身、可信服務(wù)與應(yīng)用啟動(dòng)的正確性與完整性；4)可信操作系統(tǒng)保證系統(tǒng)自身、可信服務(wù)與應(yīng)用數(shù)據(jù)和代碼的真實(shí)性和完整性；5)可信應(yīng)用之間、可信應(yīng)用與可信服務(wù)之間具備訪問控制能力；6)可信操作系統(tǒng)的系統(tǒng)權(quán)限管理不會(huì)賦予可信服務(wù)與應(yīng)用最高權(quán)限，單一可信應(yīng)用與服務(wù)出現(xiàn)崩潰或安全問題時(shí)不會(huì)影響系統(tǒng)內(nèi)核及其他可信應(yīng)用與服務(wù)的正常工作。c)結(jié)果判定：互信過程的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信應(yīng)用與服務(wù)的管理機(jī)制；b)預(yù)期結(jié)果：GB/T41388—2022c)結(jié)果判定：可信應(yīng)用及服務(wù)部署的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：3)檢查可信應(yīng)用及服務(wù)部署過程的訪問控制策略，嘗試根據(jù)TA提供商所擁有的權(quán)限訪問策略所允許和不允許的TA對(duì)應(yīng)的相關(guān)資源和通信，驗(yàn)證策略是否有效。b)預(yù)期結(jié)果：當(dāng)采用互信通道將TA部署到可信執(zhí)行環(huán)境中時(shí)，可信執(zhí)行環(huán)境系統(tǒng)首先校驗(yàn)TA的真實(shí)性和完整性，并根據(jù)不同TA提供商所擁有的權(quán)限，對(duì)相應(yīng)TA對(duì)應(yīng)的相關(guān)資源和通信訪問進(jìn)行嚴(yán)格控制。c)結(jié)果判定：可信時(shí)間服務(wù)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信時(shí)間服務(wù)的設(shè)計(jì)；b)預(yù)期結(jié)果：而影響系統(tǒng)時(shí)間的正常運(yùn)轉(zhuǎn)；2)可信應(yīng)用的持久化時(shí)間在重啟過程中保持持久化。c)結(jié)果判定：可信加解密服務(wù)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信加解密服務(wù)的設(shè)計(jì)；2)使用可信應(yīng)用以及其他可信服務(wù)調(diào)用加解密功能；3)嘗試使用未授權(quán)可信應(yīng)用以及其他可信服務(wù)訪問密鑰。b)預(yù)期結(jié)果：GB/T41388—20221)可信執(zhí)行環(huán)境系統(tǒng)集成可信加解密服務(wù)，為可信應(yīng)用以及其他可信服務(wù)提供加解密功能；2)可信加解密服務(wù)保證僅獲得相應(yīng)授權(quán)的可信應(yīng)用或可信服務(wù)才可以訪問密鑰。c)結(jié)果判定：可信存儲(chǔ)服務(wù)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信存儲(chǔ)服務(wù)的設(shè)計(jì)；2)使用可信應(yīng)用調(diào)用可信存儲(chǔ)功能多次存儲(chǔ)數(shù)據(jù)，驗(yàn)證存儲(chǔ)過程是否保證操作的原子性；3)嘗試使用可信應(yīng)用獲取或篡改其他可信應(yīng)用或可信服務(wù)的數(shù)據(jù)；4)檢查可信存儲(chǔ)的訪問控制策略，根據(jù)策略使用可信應(yīng)用訪問策略所允許和不允許的存儲(chǔ)5)嘗試對(duì)可信存儲(chǔ)的數(shù)據(jù)執(zhí)行回滾攻擊。b)預(yù)期結(jié)果：1)可信執(zhí)行環(huán)境系統(tǒng)集成可信存儲(chǔ)服務(wù)功能，為可信應(yīng)用及其他可信服務(wù)提供可信存儲(chǔ)4)可信存儲(chǔ)具備對(duì)數(shù)據(jù)回滾攻擊的防御措施。c)結(jié)果判定：可信身份鑒別服務(wù)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信身份鑒別服務(wù)的設(shè)計(jì)；2)使用可信應(yīng)用調(diào)用可信身份鑒別功能，嘗試在可信執(zhí)行環(huán)境之外篡改鑒別數(shù)據(jù)或結(jié)果。b)預(yù)期結(jié)果：1)可信執(zhí)行環(huán)境系統(tǒng)集成可信身份鑒別服務(wù)功能，為可信執(zhí)行環(huán)境系統(tǒng)中的可信應(yīng)用或其他可信服務(wù)提供身份鑒別功能；協(xié)同操作來完成。c)結(jié)果判定：可信設(shè)備鑒證服務(wù)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信設(shè)備鑒證服務(wù)的設(shè)計(jì)；能夠證明設(shè)備標(biāo)識(shí)的真實(shí)性及設(shè)備來源的真實(shí)性；GB/T41388—2022b)預(yù)期結(jié)果：2)可信設(shè)備鑒證服務(wù)能夠證明設(shè)備標(biāo)識(shí)的真實(shí)性及設(shè)備來源的真實(shí)性；3)可信設(shè)備鑒證服務(wù)能夠監(jiān)測(cè)可信執(zhí)行環(huán)境和富執(zhí)行環(huán)境運(yùn)行的健康狀態(tài)。c)結(jié)果判定：可信人機(jī)交互服務(wù)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：2)使用可信應(yīng)用調(diào)用可信人機(jī)交互服務(wù)，嘗試在可信執(zhí)行環(huán)境之外執(zhí)行竊取屏幕輸入記錄、截取屏幕顯示內(nèi)容等攻擊。b)預(yù)期結(jié)果：1)可信執(zhí)行環(huán)境系統(tǒng)集成可信人機(jī)交互服務(wù)功能，提供可信執(zhí)行環(huán)境下的用戶人機(jī)交互界c)結(jié)果判定：SE管理服務(wù)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查SE管理服務(wù)的設(shè)計(jì)；2)檢查SE管理服務(wù)的訪問控制策略，嘗試使用授權(quán)和未授權(quán)的可信應(yīng)用訪問SE,驗(yàn)證策略是否有效。b)預(yù)期結(jié)果：1)可信執(zhí)行環(huán)境系統(tǒng)集成SE管理服務(wù)功能，用于提供可信應(yīng)用與SE之間的訪問通道的2)SE管理服務(wù)具備訪問控制機(jī)制以確保僅經(jīng)過授權(quán)的可信應(yīng)用可以訪問SE。c)結(jié)果判定：跨平臺(tái)應(yīng)用中間件的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查跨平臺(tái)應(yīng)用中間件的設(shè)計(jì)；信應(yīng)用運(yùn)行是否正常。b)預(yù)期結(jié)果：GB/T41388—2022跨平臺(tái)API等功能?？尚艖?yīng)用加載的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信應(yīng)用加載過程；2)嘗試篡改可信應(yīng)用安裝文件，執(zhí)行可信應(yīng)用安裝操作，驗(yàn)證可信執(zhí)行環(huán)境是否能夠驗(yàn)證可信應(yīng)用合法性。b)預(yù)期結(jié)果：可信執(zhí)行環(huán)境系統(tǒng)具備對(duì)可信應(yīng)用驗(yàn)證的能力。c)結(jié)果判定：客戶端應(yīng)用與可信應(yīng)用通信的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查客戶端應(yīng)用與可信應(yīng)用通信過程；2)檢查可信執(zhí)行環(huán)境的訪問控制策略，根據(jù)策略使用已授權(quán)和未授權(quán)的客戶端應(yīng)用訪問可b)預(yù)期結(jié)果：c)結(jié)果判定：可信應(yīng)用與可信應(yīng)用通信的測(cè)試評(píng)價(jià)方法如下。2)檢查可信執(zhí)行環(huán)境的訪問控制策略，根據(jù)策略使用已授權(quán)和未授權(quán)的可信應(yīng)用訪問可信3)在可信應(yīng)用與可信應(yīng)用通信過程中，嘗試使用未授權(quán)可信應(yīng)