YD_T 2844.1-2015移动终端可信环境技术要求 第1部分：总体.pdf

ICS 33.050.01M 30YD中华人民共和国通信行业标准YD/T 2844.1-2015移动终端可信环境技术要求第1部分：总体TrustedenvironmentofmobilephonePart1:General technicalrequirement2015-04-30发布2015-07-01实施中华人民共和国工业和信息化部发布 YD/T 2844.12015表1(续)安全资产类型安全属性TEE固件TEE代码代码可靠性；时间一致性；完整性TEE初始化从设备上电到TEE安全服务的完全涨活过程中的进程代码完整性初始化。TEBE的认证在初始化过程中，TEE可信视用于将存储的数据和密钥与一个TEE进行绑定硬件单一性；不变性；机密性5移动终端可信环境安全目标5.1对安全资产的攻击类型本部分定义在移动终需的报终使用阶段，移动终端的可信环境安全资产所面临的威静美型，对安全资产的攻击可以是来自于个人或者组织，它们通过远端控制或者物理接入对嵌有TEE的设备进行攻击。当TEE拥有第三方的资产时，终端的最终使用者也可能会成为一个潜在的攻击者。攻击者的动机是多种多样的，一般来说主要目标集中在运行在TEE环境里的可信应用，例如攻击者想团网络），这种攻击所带来的影响不但依赖于被攻击资产的价值，而且还依赖于以低成本快速复制这些攻击的可能性。附录A描述了对安全资产攻击的场景和攻击途径，本部分只定义攻击类型，包括攻击目标、被攻击的安全资产以及相应的攻击途径，表2中攻击的安全资产指直接攻击的资产，不包括通过这些直接攻击的资产而产生的间接攻击的资产。表2安全资产安全威胁类型改击类型目标描述攻击的资产攻击途轻功能溢用在非正常状态下接入到TEE，并TEE初始进程在未期望的上下文成者参数执行命令，破坏TEE生命周期或者状态机的·TEE和TA服务假扮建假的认证实体或者执行伪操作不可逆行为·随机数发生器·通过JTAG接口接入到TEE调试模式·TA代码寻找TEE漏润克隆将一个设备的TEE相关数据拷贝所有的数据所有可能的硬件和软件攻击途径到另外一个设备上，并使这个设备.所有的密销误以为数据为真正的数据FLASH攻击对部分或者全部外部FLASH内容·TA数据依靠软件或者一个USB连接执行存储器的明文恢复，获取TA和TEE敏.TA密钥内容折取，或者分离一个FLASH存储并感数据TEE数据对其内容进行抓取假冒身份假旨一个可信应用获得另外一个·TEE和TA服务所有可能的更件和软件攻击途径可信应用的非法的服务和数据按·随机数发生器入恶意代码改击在TEE中注入恶意代码，获取或·TEE和TA服务所有可能的硬件和软件改击途径者修改敏感数据。随机数发生器注：向REE中注入恶意代码不属于TEE控制范围内 YD/T 2844.12015表2(续)改击类型目标描述攻击的资产攻击途径干扰攻击修改TEE或TA的行为，以便获TEE初始进程.使用非投权或错误的执行命令取或者修改教够数据，或者强制TEE可信根存错缓冲器溢出攻击TEE或TA执行非授权的服务TEE和TA服务TEE或TA程序的异常处理.随机数发生器RAM改击恢复部分或者全部的RAM内容，TEE 和 TA 服务的聚昕存储总线获取运行时数据，干扰TEE初运行时刻数据始化进程TEE初始化进程TEE可信根存储随机数发生器随机数发生器在非授权的模型下状取随机数发随机数发生器所有可能的硬件和软件攻击途径。攻击宽探通过运行时划的攻击或者非投权所有数据功率分析的接入存错空间获取必威体育官网网址数据或所有密钥功率差错分析密钥TEE可信报存储探测外部总线周件回滚各份部分或者全部TEE周件，以TEE圆件利用旧版本查找新版本的漏洞。便后期恢复并使用已过时的TEE功能数据损坏损坏部分或全部TEE使用的TEE可信极存储破坏REE系统文件或FLASH驱动。FLASH存储，进西敏发一个异常TEE数据行为TEE固件TA数据和密钥TA实例时间TA代码5.2：可信环境安全目标5.2.1概述可信环境总体安全目标是可信环境所具有的安全功能能够防御第5.1节描述的攻击类型，保证在移动终端上安全地执行可信应用，实施安全应用彼此间的分离以及与富指令执行环境间的分离，并保证TEE管理下的资产具有完整性和机密性。依据可信环境的概念，可信环境的总体目标需要由下面几个部分所具有的安全能力共同完成：可信执行环境：安全存储：安全启动：运行时刻的完整校验；与输入输出的安全交互。5.2.2可信执行环境可信执行环境是存在于移动终端的主要处理部件SoC上，一个与现有的执行富指令的REE以及它上面的应用CA相分离的环境。为能抵御一组定义的威胁，可信执行环境需具有一定的安全能力，并能满足定的安全要求。00 YD/T 2844.12015可信执行环境详细的安全功能和安全要求在YD/T2844.2《移动终端可信环