信息安全技術可信執行環境服務規范I 2規范性引用文件 l3術語和定義 14縮略語 25總體描述 25.1概述 25.2TEE服務類型 25.3生命周期 46TEE服務通用安全要求 56.1技術框架 56.2密鑰管理 66.3服務初始化 6.4安全存儲 86.5訪問控制 86.6安全輸入及輸出 86.7應用認證 86.8通信要求 87特定TEE服務安全要求 87.1TEE人機交互服務安全要求 87.2TEE二維碼服務安全要求 97.3TEE設備安全狀態評價服務安全要求 7.4TEE身份鑒別服務安全要求 7.5TEE時間服務安全要求 7.6TEE位置服務安全要求 7.7TEE密碼計算服務安全要求 8TEE服務通用安全測試評價方法 8.1密鑰管理 8.2服務初始化 8.3安全存儲 8.4訪問控制 8.5安全輸入及輸出 8.6應用認證 Ⅱ8.7通信要求 9特定TEE服務安全測試評價方法 9.1TEE人機交互服務 9.2TEE二維碼服務 9.3TEE設備安全狀態評價服務 9.4TEE身份鑒別服務 9.5TEE時間服務 9.6TEE位置服務 9.7TEE密碼計算服務 附錄A(資料性)TEE設備安全狀態評價服務采集因子示例 附錄B(資料性)服務接口 附錄C(資料性)TEE服務業務流程 Ⅲ本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。本文件起草單位：中國銀聯股份有限公司、中國科學院大學、復旦大學、華為技術有限公司、北京銀聯金卡科技有限公司、深圳華大北斗科技股份有限公司、中金金融認證中心有限公司、北京謙川科技有限公司、上海摩聯信息技術有限公司、北京小米移動軟件有限公司、OPPO廣東移動通信有限公司、深圳市騰訊計算機系統有限公司、螞蟻科技集團股份有限公司、鄭州信大捷安信息技術股份有限公司、恒寶股份有限公司、云從科技集團股份有限公司、北京創原天地科技有限公司、大唐高鴻信安(浙江)信息科技有限公司、上海聚虹光電科技有限公司、同盾科技有限公司。1信息安全技術可信執行環境服務規范本文件確立了可信執行環境服務的技術框架體系，并規定了相關安全技術要求及測試評價的方法。本文件適用于可信執行環境服務的設計、開發、測試等，設備制造商、系統軟件提供商、檢測機構和科研機構等可信執行環境服務參與方可參照使用。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T17901.1—2020信息技術安全技術密鑰管理第1部分：框架GB/T25069—2022信息安全技術術語GB/T41388—2022信息安全技術可信執行環境基本安全規范3術語和定義GB/T25069—2022和GB/T41388—2022界定的以及下列術語和定義適用于本文件。基于硬件級隔離及安全啟動機制，為確保安全敏感應用相關數據和代碼的機密性、完整性、真實性和不可否認性目標構建的一種軟件運行環境。注：硬件級隔離是指基于硬件安全擴展機制，通過對計算資源的固定劃分或動態共享，保證隔離資源不被富執行環境訪問的一種安全機制。富執行環境richexecutionenvironment為應用程序提供基礎功能和計算資源的一種軟件運行環境。注：富執行環境是相對可信執行環境獨立存在的運行環境。可信執行環境服務trustedexecutionenvironmentservice運行在可信執行環境下，為REE提供基礎性、通用性、公共性功能的軟件程序。TEE人機交互trustedexecutionenvironmenthuman-machineinteraction運行在可信執行環境下，提供信息交互界面的軟件程序。2TEE設備安全狀態評價trustedexecutionenvironmentdevicesecuritystateevaluation提供當前設備的安全風險狀態，給出設備安全狀態報告(3.6)。設備安全狀態報告devicesecuritystatereport具有明確評價當前設備軟硬件環境安全指標的數據結構。TEE服務密鑰trustedexecutionenvironmentservicekey由TEE服務生成的用于保證TEE服務與TEE服務后臺安全交互的公私鑰對。應用密鑰applicationkey由TEE服務生成的用于保證用戶密鑰由應用后臺安全發送至TEE服務的公私鑰對。應用隔離applicationisolation一種提供每個應用完全控制自己的數據且相互之間無法直接數據操作的機制。一種提供每個用戶完全控制自己的數據且相互之間無法直接數據操作的機制。4縮略語下列縮略語適用于本文件。REE:富執行環境(RichExecutionEnvironment)TA:可信應用(TrustedApplication)TEE:可信執行環境(TrustedExecutionEnvironment)TUI:可信人機界面(TrustedUserInterface)5總體描述TEE服務包含多種類型的服務，如TEE人機交互服務、TEE二維碼服務、TEE設備安全狀態評價服務、TEE身份鑒別服務、TEE時間服務、TEE位置服務、TEE密碼計算服務等，TEE服務提供方根據業務需求提供具體對應的服務。5.2.1TEE人機交互服務提供包括但不限于口令輸入/修改、注冊登錄、消息輸出等基于TUI構建的可信用戶界面，保障通過可信用戶界面輸入的內容不被非授權應用監控、篡改、破壞和竊取，并通過安全通道(如安全傳輸層協議等)將輸入數據或運算結果加密傳輸給應用。可信用戶界面至少包含以下安全界面要素之一：a)可信輸入框：用于輸入字符(串)等信息；b)可信按鈕：用于獲取用戶的點擊事件；3c)可信鍵盤：為用戶提供安全輸入界面；d)可信文本框：用于展示文本信息；e)可信圖片框：用于展示圖片信息；f)可信標簽：用于放置可信文本框、可信圖片框等；g)可信生物信息采集顯示器：用于獲取、顯示用戶輸入的生物信息。界面要素的大小、位置、背景色等由TEE服務提供方自定義，但應符合TEE操作系統的要求。提供TEE二維碼展示和TEE二維碼掃描功能。TEE二維碼展示指基于TUI展示通過安全通道獲取的二維碼，避免二維碼數據被非授權程序破壞、竊取、篡改等。TEE二維碼掃描指通過符合可信外設要求的攝像頭掃描讀取二維碼信息，并通過安全通道將二維碼數據加密傳輸至應用。可信用戶界面至少包含以下安全界面要素：a)可信圖片框：用于放置二維碼圖片或動態顯示攝像頭捕捉到的畫面，圖片框的位置、大小、背景色等由TEE服務提供方自定義；b)可信按鈕：用于取消操作，按鈕上的提示信息可以是定制圖片或者文字。5.2.3TEE設備安全狀態評價服務收集當前的設備信息，生成設備安全狀態報告，供應用作為當前設備的風險評分判斷的其中一項依據，為業務流程是否正常處理提供參考。手機等個人設備的信息采集方式應符合隱私保護相關法規。TEE設備安全狀態評價服務采集信息內容一般包括設備啟動參數、REE環境軟硬件配置信息、REE環境狀態信息、REE環境特征信息、TEE環境特征信息、TEE服務代理的安全狀態信息和TEE服務的安全狀態信息。詳細采集因子參考附錄A。根據信息采集方式和檢驗者的不同，TEE設備安全狀態評價服務分為以下三種類型。a)本地型：此類型為本地離線檢測方式，無需聯網。通過TEE服務代理及TEE服務采集各項因子，并通過本地TEE服務評估所采集到的各項因子，生成設備安全狀態報告。b)遠程型：此類型為遠程檢測方式，需要聯網。通過TEE服務代理以及TEE服務采集各項因子，并通過遠程TEE服務后臺評估所采集到的各項因子，生成設備安全狀態報告。c)混合型：此類型為本地與遠程相結合的檢測方式，部分時間需要聯網。通過TEE服務代理以及TEE服務采集各項因子。根據具體需求，一部分因子由本地TEE服務進行評估，另一部分由遠程TEE服務后臺進行評估，并綜合兩部分評估結果生成設備安全狀態報告。提供基于TEE的身份鑒別功能，包括但不限于基于口令、指紋、人臉、虹膜、聲紋以及密碼技術的身份鑒別方式。提供基于TEE的當前時間獲取功能，時間來源為衛星(如北斗衛星導航系統、全球定位系統等)時間、電信運營商時間、通過網絡授時中心獲取的時間等，通過多時間來源相互校驗的方式，提供更高可信度的時間服務，為在線支付、電子合同簽署等對時間數據的安全性和準確性要求較高的場景提供服務。提供基于TEE的當前位置獲取功能，以經緯度、高程(可選)形式提供，位置信息來源為衛星(如北斗衛星導航系統、全球定位系統等)定位、基站定位、短距通信設備輔助定位等，通過多位置信息來源相4互校驗的方式，提供高可信度位置信息，同步提供定位方式、定位模組是否有硬件防偽能力等定位輔助信息，便于應用判斷可信度，為商戶收款、移動支付等對位置信息的安全性和準確性要求較高的場景提供服務。通過采用密碼算法，提供基于TEE的數據加密及解密、消息摘要、消息鑒別碼、數字簽名及驗簽、隨機數生成等服務功能，應實現數據的機密性、完整性、真實性和不可抵賴性。具體服務功能如下。a)數據加密及解密：采用對稱或非對稱密碼算法，對數據內容進行加密和解密計算功能，實現數據的機密性保護。b)消息摘要：采用密碼雜湊算法，對數據內容進行單向散列的計算輸出固定長度的雜湊值(摘要),實現數據完整性校驗。c)消息鑒別碼：采用消息鑒別碼算法，實現消息的完整性校驗和消息來源的真實性校驗。d)數字簽名及驗簽：采用非對稱密碼算法，發送方使用自己的私鑰對消息內容進行數字簽名，接收方使用發送方的公鑰對消息和數字簽名進行驗證。實現消息的完整性校驗、消息來源的真實性和抗抵賴性。e)隨機數生成：基于可信的硬件單元生成的不可預測的隨機數列，是密鑰生成的必要保證。5.3生命周期TEE服務的生命周期如圖1所示。安裝應用服務注創個性化狀態應用鎖定狀態空白狀態激活狀態圖1TEE服務的生命周期TEE服務的生命周期包含空白狀態、激活狀態、個性化狀態和鎖定狀態，具體狀態描述如下。a)空白狀態：設備未下載安裝TEE服務代理或已下載TEE服務代理但未激活使用TEE服務時所處的狀態。b)激活狀態：設備安裝TEE服務代理，并通過觸發服務激活流程，生成TEE服務所需的密鑰等數據后所處的狀態。在激活狀態下，TEE服務與TEE服務后臺具備安全通信能力。5c)個性化狀態：設備安裝應用，并通過觸發初始化流程，在TEE服務中生成應用相關密鑰，下載個性化數據后所處的狀態。在個性化狀態下，應用調用TEE服務各項功能；刪除應用功能使TEE服務回到激活狀態；服務注銷功能使TEE服務回到空白狀態，并刪除相關密鑰和個性化數據。d)鎖定狀態：應用發現設備處于風險狀態或使用該設備的用戶存在惡意行為，鎖定運行在該設備的TEE服務功能時所處的狀態。在鎖定狀態下，TEE服務將拒絕應用發起的各項功能調用；在判定風險解除后，解鎖功能調用。6.1技術框架本文件所定義的TEE服務技術框架如圖2所示。設備富執行環境(RFF)應用應用后臺應用密鑰個性化數據TEE服務代理可信執行環境(TCC)T服務TEC人機交互服務TEE二維碼服務TFE設備安全狀態評價服務TEE身份察別服務TEE時間服務TCC密碼計算服務服務初始化管理密鑰及個性化數據T!服務后臺TEE吸務密鑰管理服務初始化管理后臺TEE設備安全狀態評價服務后臺TEE身份鑒別服務后臺注：實線箭頭表示相互之間直接進行安全連接，虛線箭頭表示相互之間邏輯上的安全連接。圖2TEE服務技術框架TEE服務技術框架包含五個部分：應用、TEE服務代理、TEE服務、應用后臺與TEE服務后臺。應用和應用后臺協同完成應用的業務功能，TEE服務和TEE服務后臺協同完成TEE服務的業務功能，應用通過TEE服務代理調用TEE服務功能。具體功能描述如下。a)應用：完成應用的業務功能。應用一般運行在REE中，通過接口調用TEE服務。b)TEE服務代理：完成TEE服務在REE中的訪問控制和TEE服務的流程管理，以獨立插件或軟件開發工具包等形式運行在REE中，為應用提供調用TEE服務功能的接口，服務接口參考6附錄B。c)TEE服務：通過TEE服務代理為應用提供服務功能，包含TEE人機交互服務、TEE二維碼服碼計算服務等服務功能。本文件所述的TEE服務運行在TEE中，并通過安全通道與TEE服務后臺進行協同。d)應用后臺：完成應用的后臺業務邏輯功能，負責生成和下載與業務相關的密鑰及個性化數據。e)TEE服務后臺：完成TEE服務密鑰管理、服務初始化管理、TEE設備安全狀態評價服務以及TEE身份鑒別服務的后臺業務邏輯功能。6.2密鑰管理密鑰管理應按照GB/T17901.1—2020的要求保護各密鑰在生成、注入、更新、存儲、備份/恢復等整個生命周期的安全。TEE服務應建立完善的密鑰保護措施，防止密鑰的混用和泄露。TEE服務的密鑰結構如圖3所示。設備密鑰TEE服務密鑰應用密創用戶密鑰/會話密鑰TEE服務的密鑰結構分為四層：設備密鑰、TEE服務密鑰、應用密鑰及用戶密鑰/會話密鑰(可選)。具體描述如下。a)設備密鑰：一對非對稱密鑰，包括設備私鑰和設備公鑰，用于驗證設備真實性。設備密鑰一般由設備提供商或其授權服務商提供。利用設備密鑰保護TEE服務公鑰的完整性和真實性。b)TEE服務密鑰：一對非對稱密鑰，包括TEE服務私鑰和TEE服務公鑰，用于保證設備本地TEE服務與TEE服務后臺的安全交互。利用TEE服務密鑰保護應用公鑰的完整性和真實性。c)應用密鑰：一對非對稱密鑰，包括應用私鑰和應用公鑰，用于應用使用TEE服務時對用戶密鑰7進行加密保護。d)用戶密鑰/會話密鑰：一種對稱密鑰，用于為TEE服務加密敏感信息，保證數據在傳輸過程中的安全。設備密鑰在設備生產階段產生。TEE服務密鑰在服務激活階段由TEE服務在TEE中產生，每臺完成服務激活的設備擁有唯一TEE服務密鑰。應用密鑰在應用初始化階段由TEE服務在TEE中產生，每個應用在每臺設備上擁有唯一應用密鑰。用戶密鑰/會話密鑰在TEE服務使用階段由應用后臺生成并安全下發到TEE服務的TA中。設備密鑰在生產線上通過設備廠商可控的環境注入設備的TEE中。TEE服務密鑰和應用密鑰在設備TEE內生成。用戶密鑰/會話密鑰應通過安全通道注入設備的TEE中。設備密鑰不可更新，由設備廠商在生產線生成。TEE服務密鑰和應用密鑰可更新并應保證唯一性，用戶密鑰/會話密鑰可更新，當成功觸發某種密鑰的更新功能后，原有密鑰應失效銷毀。設備私鑰、TEE服務私鑰、應用私鑰、用戶密鑰/會話密鑰應在TEE中安全存儲。應設計有銷毀密鑰的觸發條件，當觸發條件被觸發時，銷毀對應存儲的密鑰。6.2.7密鑰備份/恢復TEE服務應具備TEE服務密鑰、應用密鑰、用戶密鑰/會話密鑰的備份/恢復功能。備份操作產生的備份數據應以密文形式存儲到TEE中。備份的密鑰應恢復到TEE服務中，不同設備之間不應相互備份恢復，密鑰恢復的操作只能在TEE中進行。6.3服務初始化應用使用TEE服務具體功能時，先啟動服務初始化，生成應用所屬的相關密鑰。服務初始化包括服務激活、應用初始化與個性化。相關密鑰應調用相應接口重新生成、更新。設備首次使用TEE服務時，通過服務激活功能生成TEE服務公私鑰對，并將TEE服務公鑰傳輸至TEE服務后臺。具體實施流程參考附錄C的C.1.1。服務激活功能的安全要求包括：a)應保證TEE服務密鑰由TEE服務在TEE中生成，TEE服務私鑰不出TEE;b)應保證TEE服務私鑰存儲的機密性、完整性；c)應利用設備密鑰保護TEE服務公鑰的真實性和完整性。應用調用初始化功能生成應用公私鑰對，將應用公鑰傳輸至應用后臺。應用后臺獲取應用公鑰8后，生成用戶密鑰，將用戶密鑰安全傳輸至設備的TEE服務中。具體實施流程參考C.1.2。應用初始化功能的安全要求包括：a)應保證應用密鑰由TEE服務在TEE中生成，應用私鑰不出TEE;b)應保證應用密鑰存儲的機密性、完整性；c)應保證應用密鑰和用戶密鑰具有合理的更新策略；d)應保證用戶密鑰傳輸和存儲的機密性、完整性及應用隔離，對用戶密鑰的機密性保護宜采用公鑰加密技術。應用對TEE服務使用的圖片、文字等展示信息以及會話密鑰等密鑰信息有個性化需求時，通過個性化功能將對應的個性化數據推送到TEE服務中。具體實施流程參考C.1.3。個性化的安全要求包括：a)應保證個性化數據在REE和網絡中傳輸的機密性和完整性；b)應保證TEE服務存儲個性化數據的機密性、完整性、應用隔離及用戶隔離。6.4安全存儲TEE服務中涉及的敏感數據應保證機密性和完整性，不應以明文形式暴露給REE。6.5訪問控制限制未被授權的應用訪問TEE服務，限制未被授權的TA訪問TEE服務。6.6安全輸入及輸出安全輸入及輸出的安全要求包括：a)TEE服務在使用過程中，用戶與TEE服務的交互流程和數據不能被REE或者其他TA訪問b)通過TEE服務輸入的數據不應存放于共享內存中。6.7應用認證TEE服務應驗證應用的真實性，對于非授權應用應拒絕任何服務。6.8通信要求TEE服務后臺與TEE服務代理應采用安全通道(如安全傳輸層協議等)進行數據傳輸。7特定TEE服務安全要求7.1TEE人機交互服務安全要求7.1.1總體安全要求TEE人機交互服務總體安全要求包括：a)應保證可信用戶界面基于TUI構建；b)應保證可信用戶界面包含安全指示器用于提示用戶處于可信執行環境(可為一段文字、一個指示燈或其他形式),或采用其他明顯區別于REE的操作方式讓用戶感知處于可信執行環境，如通過點擊電源鍵方式提交信息；9c)應保證只通過可信外設在可信用戶界面上進行數據輸入；d)可信外設應符合GB/T41388—2022的相關要求。7.1.2可信人機界面(TUI)安全要求可信人機界面(TUI)安全要求如下。a)TUI會話：1)使用基于TUI的界面服務時，TEE服務對TUI資源獨占訪問；TUI屏幕顯示是原子性的；2)TUI不會對REE的用戶界面有干擾；只有TUI使用時，TEE服務才能控制用戶界面的輸入和輸出；3)TUI會話應有超時機制。b)電源及操作系統事件管理：1)TUI會話期間當發生設備復位、設備關閉、睡眠模式打開、背景燈關閉等電源管理事件2)TUI會話期間當發生操作系統特定事件時，TUI會話應被終止，典型的操作系統特定事件包括來電、日歷事件、電子郵件通知等；其他操作系統特定事件宜根據應用實現需求自行定義；3)當TUI會話終止時，TUI屏幕應從顯示屏上消失，并將屏幕區的控制權交還給REE;當REE事件操作結束后，TEE服務應根據需要重放被中斷的TUI屏幕。7.1.3特定功能安全要求特定功能安全要求如下。a)口令輸入/修改和注冊登錄功能的安全要求包括：1)應保證賬戶口令明文不從TEE泄露；2)應保證用于加密口令的密鑰具有合理的更新策略，加密算法應遵循相關密碼國家標準；3)對于設備本地存儲口令的場景，應保證口令存儲的機密性、完整性、應用隔離及用戶隔離；4)對于應用后臺存儲口令的場景，應保證口令以密文形式在REE和網絡中傳輸；5)宜采取一些措施對輸入的口令進行保護，如口令輸入框隱藏明文顯示、對輸入的口令作混淆處理、設置口令連續輸入驗證失敗次數限制等。b)消息輸出功能的安全要求包括：1)應保證發送給TEE服務的消息內容以密文形式在REE和網絡中傳輸；2)應保證用于加密口令的密鑰具有合理的更新策略。7.2TEE二維碼服務安全要求7.2.1TEE二維碼展示安全要求TEE二維碼展示的安全要求包括：a)應保證二維碼展示的界面基于TUI構建；b)應保證二維碼不以明文形式在網絡和REE中傳輸，傳輸過程中不被泄露、竊取和篡改；c)宜放置一個安全指示器，用于標識當前界面處于可信執行環境中。7.2.2TEE二維碼掃描安全要求TEE二維碼掃描的安全要求包括：a)應保證掃描二維碼的攝像頭滿足可信外設的要求；b)應保證二維碼數據不以明文形式在網絡和REE中傳輸，傳輸過程中不被泄露、竊取和篡改。7.3TEE設備安全狀態評價服務安全要求7.3.1總體安全要求TEE設備安全狀態評價服務總體安全要求包括：a)調用設備安全狀態報告請求接口時，請求的報文應具備防止重放攻擊的特性；b)設備安全狀態報告應經過TEE服務或TEE服務后臺簽名，應用和應用后臺應驗證報告的完整性，確保報告無法被篡改。設備安全狀態報告的內容應只限于簡單的提示，不包含具體失敗的原因。7.3.2本地型安全要求本地型TEE設備安全狀態評價服務應滿足以下要求。a)因子采集過程的安全要求包括：1)含有采集因子的內存應在采集操作結束后擦除數據，2)TEE服務在發出采集命令前應驗證TEE的安全狀態。b)應用獲取設備安全狀態報告的安全要求包括：1)設備安全狀態報告應在TEE服務中根據收集的各項因子生成；2)設備安全狀態報告不包含具體檢測項的檢測結果；3)TEE服務不暴露具體檢測項的相關信息；4)TEE服務應對設備安全狀態報告的所有內容進行簽名；5)應用在使用設備安全狀態報告前應對設備安全狀態報告的簽名進行校驗。c)其他TA獲取設備安全狀態報告的安全要求包括：1)設備安全狀態報告應在TEE服務中根據收集的各項因子生成；2)設備安全狀態報告不包含具體檢測項的檢測結果；3)TEE服務不暴露具體檢測項的相關信息。7.3.3遠程型和混合型安全要求遠程型和混合型TEE設備安全狀態評價服務應滿足以下要求。a)因子采集過程的安全要求包括：1)含有采集因子的內存應在采集操作結束后擦除數據；2)TEE服務在發出采集命令前應驗證TEE的安全狀態；3)收集的因子在發送到TEE服務后臺前應進行脫敏處理。b)遠程型及混合型都需要聯網生成設備安全狀態報告，安全要求包括：1)收集的因子應包括TEE服務和TEE服務代理的相關因子；2)收集的需要TEE服務后臺檢測的因子應由TEE服務加密；3)收集的需要TEE服務后臺檢測的因子應由TEE服務后臺解密；4)遠程型設備安全狀態報告應在TEE服務后臺中根據收集的各項因子生成，混合型設備安全狀態報告應在TEE服務和TEE服務后臺中根據收集的各項因子生成；5)設備安全狀態報告不包含具體檢測項的檢測結果；6)TEE服務和TEE服務后臺不暴露具體檢測項的相關信息；7)TEE服務和TEE服務后臺應對設備安全狀態報告的所有內容進行簽名；8)使用者在使用設備安全狀態報告前應對設備安全狀態報告的簽名進行校驗。7.4TEE身份鑒別服務安全要求7.4.1口令鑒別服務安全要求口令鑒別服務的安全要求包括：a)獲取口令前應執行風險判斷，檢查當前環境的安全性；b)應基于TUI獲取口令；c)鑒別結果應在TEE服務中加密后返回。7.4.2生物特征鑒別服務安全要求生物特征鑒別服務的安全要求如下。a)應在TEE服務控制下采集生物特征樣本或支持應用向應用后臺請求獲取用戶生物特征注冊樣本。b)應在本地進行生物特征活體檢測或由TEE服務后臺進行遠程活體檢測。遠程活體檢測過程中，TEE服務和TEE服務后臺的通信過程應加密傳輸生物特征樣本。c)遠程活體檢測和生物特征比對過程中，TEE服務和TEE服務后臺的通信過程應加密傳輸生物特征樣本。d)鑒別結果應在TEE服務中加密后返回。e)如需要存儲用戶的生物特征，應保證加密存儲，并防止重放攻擊。7.4.3密碼技術鑒別服務安全要求基于密碼技術鑒別服務的安全要求包括：a)如采用對稱密碼技術，應確保對稱密鑰的機密性和完整性，防止非授權用戶訪問和篡改，并防止重放攻擊；b)如采用數字簽名技術，應確保私鑰的機密性和完整性，防止非授權用戶訪問和篡改，并防止重放攻擊；應確保公鑰的真實性，宜使用但不限于數字證書方式。7.5TEE時間服務安全要求TEE時間服務的安全要求如下。a)應在TEE服務中采集多來源的時間信息，對時間采集方式區分優先級，并對獲取到的時間信息進行相互校驗。時間來源可信度按照衛星時間(有可用衛星的情況下)、電信運營商時間、通過網絡授時中心獲取的時間排序。b)TEE服務返回給應用的時間信息中應同步提供時間來源，供應用參考及判斷可信度。c)TEE服務返回給應用的時間相關信息應由TEE服務簽名，并防止重放攻擊。7.6TEE位置服務安全要求TEE位置服務的安全要求如下。a)應在TEE服務中采集多來源的位置信息，對位置采集方式區分優先級，并對獲取到的位置信息進行相互校驗。位置來源可信度按照衛星定位(有可用衛星的情況下)、電信運營商基站定位、基于短距通信設備(包括但不限于無線局域網、藍牙等)的輔助定位排序。b)TEE服務返回給應用的信息中應同步提供位置信息來源，供應用參考及判斷可信度。c)TEE服務宜同步提供定位輔助信息(如定位方式、定位模組是否有硬件防偽能力等),供應用進一步參考及判斷可信度。d)TEE服務返回給應用的位置相關信息應由TEE服務簽名，并防止重放攻擊。7.7TEE密碼計算服務安全要求TEE密碼計算服務的安全要求包括：a)訪問TEE密碼計算服務前應通過身份鑒別和權限驗證；b)應采用符合密碼國家標準或行業標準的密碼算法，如果使用的密碼算法發現存在安全隱患應及時提供替代密碼算法方案；c)TEE密碼計算服務的密碼算法和隨機數生成應在TEE中實現；d)服務上線前完成程序代碼缺陷檢測并避免隱患，針對服務程序和運行環境的安全漏洞及時更新補丁等；e)支持一定時期內(如半年)的服務訪問日志的安全存儲，并支持服務訪問日志的查詢；f)支持定期更換密鑰；g)支持密鑰全生命周期管理，保證密鑰的機密性、完整性。防止非授權用戶訪問或篡改，并防重放攻擊。8TEE服務通用安全測試評價方法8.1密鑰管理測試評價方法如下。a)測試方法：1)檢查TEE服務的密鑰管理機制，包括密鑰的生成、注入、更新、存儲、備份/恢復等整個生2)檢查TEE服務的密鑰保護措施，嘗試違反密鑰預期用途濫用密鑰，嘗試未授權獲取密鑰。b)預期結果：1)TEE服務的密鑰管理機制滿足GB/T17901.1—2020要求；2)TEE服務的密鑰保護措施能夠防止密鑰的混用和泄露。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查TEE服務的密鑰結構和各個密鑰的用途，是否保證密鑰用途的唯一性。b)預期結果：1)TEE服務的密鑰結構分為設備密鑰、TEE服務密鑰、應用密鑰及用戶密鑰/會話密鑰(可選)等四層；2)TEE服務的密鑰具備唯一用途，其中設備密鑰保護TEE服務公鑰的完整性和真實性，TEE服務密鑰保護應用公鑰的完整性和真實性，應用密鑰保護用戶密鑰/會話密鑰的機密性，用戶密鑰/會話密鑰保護TEE服務的數據傳輸的安全性。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查TEE服務的各個密鑰的生成過程，是否保證密鑰的唯一性。b)預期結果：1)設備密鑰在設備生產階段由生產線產生，且每設備/批次唯一；2)TEE服務密鑰在服務激活階段由TEE服務在TEE中產生，且每設備唯一；3)應用密鑰在應用初始化階段由TEE服務在TEE中產生，且每設備唯一；4)用戶密鑰/會話密鑰在TEE服務使用階段由應用后臺生成，且每用戶/會話唯一。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查TEE服務的各個密鑰的注入過程，是否保證密鑰的安全注入，嘗試未授權獲取密鑰。b)預期結果：1)設備密鑰在生產線上通過設備廠商可控的環境注入設備的TEE中；2)TEE服務密鑰和應用密鑰在設備TEE內生成；3)用戶密鑰/會話密鑰通過安全通道注入設備的TEE中。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)檢查TEE服務的各個密鑰的更新過程，是否保證密鑰的安全更新；2)嘗試在密鑰更新后，獲取或恢復原有密鑰。b)預期結果：1)設備密鑰不可更新；2)TEE服務密鑰和應用密鑰可更新。密鑰更新成功后，原有密鑰處于失效或銷毀狀態；3)用戶密鑰/會話密鑰可更新。密鑰更新成功后，原有密鑰處于失效或銷毀狀態。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)檢查TEE服務的各個密鑰的存儲過程，是否保證密鑰的安全存儲，嘗試未授權訪問或篡改存儲的密鑰；2)嘗試在密鑰銷毀后，獲取或恢復原有密鑰。b)預期結果：1)TEE服務的各個密鑰安全存儲在TEE中，防止未授權訪問或篡改；2)密鑰銷毀成功后，之前的密鑰無法訪問和恢復。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。8.1.7密鑰備份/恢復測試評價方法如下。a)測試方法：1)檢查TEE服務的各個密鑰是否具備備份/恢復功能；2)執行密鑰備份操作，檢查備份數據的內容是否包含密鑰明文，以及備份數據的存儲方法；3)依次執行密鑰備份操作和密鑰恢復操作，檢查操作是否成功；4)檢查密鑰恢復操作過程，是否僅在TEE中進行；5)在一臺設備上執行密鑰備份操作，嘗試使用密鑰備份數據在另一臺設備上執行密鑰恢復操作，檢查操作是否成功。b)預期結果：1)TEE服務具備TEE服務密鑰、應用密鑰、用戶密鑰/會話密鑰的備份/恢復功能；2)備份操作產生的備份數據以密文形式存儲到TEE中；3)備份的密鑰應恢復到TEE服務中；4)密鑰恢復的操作僅在TEE中進行；5)不同設備之間無法相互備份恢復密鑰。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。8.2服務初始化測試評價方法如下。a)測試方法：1)檢查TEE服務的初始化過程，是否在TEE中生成TEE服務公私鑰對；2)檢查TEE服務初始化過程中TEE服務公私鑰對的使用和傳輸過程，嘗試獲取和篡改所傳輸的TEE服務公鑰，嘗試在REE中訪問TEE服務私鑰；3)檢查TEE服務初始化過程中TEE服務公私鑰對的存儲過程，是否使用TEE的可信存儲功能保證密鑰存儲的機密性、完整性，嘗試獲取和篡改存儲的TEE服務密鑰。b)預期結果：1)首次使用TEE服務時，TEE服務通過激活功能在TEE中生成TEE服務公私鑰對；2)TEE服務激活過程中，TEE服務公鑰由設備密鑰簽名后上傳至TEE服務后臺，TEE服務私鑰不出TEE;3)TEE服務激活過程中使用TEE的可信存儲功能保證TEE服務密鑰存儲的機密性、完整性。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)檢查應用初始化過程，是否在TEE中生成應用公私鑰對；2)檢查應用初始化過程中應用公私鑰對的使用和傳輸過程，嘗試獲取和篡改所傳輸的應用3)檢查應用初始化過程中用戶密鑰的生成和傳輸過程，嘗試在REE中獲取和篡改用戶密鑰；4)檢查應用初始化過程中應用公私鑰對和用戶密鑰的存儲過程，是否使用TEE的可信存儲功能保證密鑰存儲的機密性、完整性；5)嘗試使用應用獲取和篡改其他應用的用戶密鑰。b)預期結果：1)應用激活后，TEE服務通過初始化功能在TEE中生成應用公私鑰對；2)初始化過程中，應用公鑰由TEE服務密鑰簽名后上傳至應用后臺，應用私鑰不出TEE;3)應用公鑰上傳至應用后臺后，應用后臺生成用戶密鑰，由應用密鑰采用公鑰加密技術將用戶密鑰下發至TEE服務中；4)初始化過程中，使用TEE的可信存儲功能保證應用密鑰存儲的機密性、完整性；5)初始化過程中應用密鑰和用戶密鑰具有合理的更新策略；6)采用應用公鑰加密用戶密鑰，保證用戶密鑰傳輸和存儲的機密性、完整性和應用隔離。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)檢查應用個性化過程中個性化數據的傳輸過程，嘗試在REE和網絡傳輸中獲取和篡改個性化數據；2)檢查應用個性化過程中個性化數據的存儲過程，是否使用TEE的可信存儲功能保證個性化數據的機密性、完整性；3)嘗試使用應用獲取和篡改其他應用的個性化數據。b)預期結果：1)個性化過程中保證個性化數據在REE和網絡中傳輸的機密性和完整性；2)個性化過程中保證TEE服務存儲個性化數據的機密性、完整性、應用隔離和用戶隔離。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。8.3安全存儲測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查TEE服務的敏感信息處理過程；2)嘗試在REE中獲取和篡改TEE服務的敏感信息；3)嘗試獲取和篡改TEE服務存儲在TEE可信存儲區域的敏感信息。b)預期結果：保證TEE服務中涉及的敏感安全信息的機密性和完整性，不以明文形式暴露給REE。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。8.4訪問控制測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查TEE服務的訪問控制策略，根據策略分別嘗試通過已授權和未授權的應用和TA訪問TEE服務，驗證策略是否有效；2)當多個應用在同一個設備上訪問TEE服務，嘗試通過某一應用訪問其他應用的數據，驗證TEE服務是否隔離不同應用敏感數據。b)預期結果：1)TEE服務具備訪問控制機制，限制未被授權的應用和TA訪問TEE服務；2)多個應用在同一個設備上有調用TEE服務的需求時，TEE服務安全隔離各應用的敏感數據。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。8.5安全輸入及輸出測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查TEE服務的輸入和輸出過程；2)模擬應用調用TEE服務的輸入和輸出過程，嘗試在REE或其他TA中訪問和篡改該TEE服務的交互數據；3)模擬應用調用TEE服務的輸入過程，嘗試讀取共享內存數據。b)預期結果：1)TEE服務在使用過程中，用戶與TEE服務的交互流程和數據具備安全防護機制，無法被REE或者其他TA訪問和篡改；2)TEE服務的輸入過程中，通過TEE服務輸入的數據未存放于共享內存中。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。8.6應用認證測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查應用的訪問控制策略；2)分別嘗試通過已授權和未授權應用調用TEE服務，驗證訪問控制策略是否有效。b)預期結果：TEE服務驗證應用的真實性，對于非授權應用拒絕任何服務。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。8.7通信要求測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查TEE服務后臺與TEE服務代理的數據傳輸過程，是否具備安全通道；2)模擬應用調用TEE服務，嘗試獲取和篡改TEE服務后臺與TEE服務代理的傳輸數據。b)預期結果：TEE服務后臺與TEE服務代理采用安全通道進行數據傳輸。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。9特定TEE服務安全測試評價方法9.1TEE人機交互服務9.1.1總體安全要求測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查可信用戶界面的實現機制，是否基于TUI構建；2)檢查設計文檔，模擬應用調用TEE人機交互服務，檢查各功能的界面是否包含安全指示器，或是否采用其他明顯區別于REE的操作方式讓用戶感知處于可信執行環境；3)模擬應用調用可信用戶界面，分別嘗試通過可信外設和非可信外設進行數據輸入，驗證是否只有可信外設進行數據輸入；4)檢查可信外設是否符合GB/T41388—2022的相關要求。b)預期結果：1)可信用戶界面基于TUI構建；2)應保證可信用戶界面包含安全指示器用于提示用戶處于可信執行環境(可為一段文字、一個指示燈或其他形式),或采用其他明顯區別于REE的操作方式讓用戶感知處于可信執行環境，如通過點擊電源鍵方式提交信息；3)只有通過可信外設在可信用戶界面上輸入數據；4)可信外設滿足GB/T41388—2022的相關要求。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查基于TUI界面的TEE服務的實現過程；2)模擬應用調用基于TUI界面的TEE服務，嘗試在REE或未授權TA中訪問TUI資源；3)模擬應用調用基于TUI界面的TEE服務，檢查用戶界面的顯示和切換過程，驗證TUI是否干擾REE的用戶界面；在REE控制用戶界面時，嘗試通過TEE服務控制用戶的輸入和輸出；4)模擬應用調用基于TUI界面的TEE服務，達到廠商聲明的時間后，檢查TUI會話是否超時退出。b)預期結果：1)使用基于TUI的界面服務時，TEE服務對TUI資源獨占訪問，TUI屏幕顯示是原子性的；2)TUI不會對REE的用戶界面有干擾；只有TUI使用時，TEE服務才能控制用戶界面的輸入和輸出；3)TUI會話具備超時機制。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。9.1.2.2電源及操作系統事件管理測試評價方法如下。a)測試方法：1)模擬應用調用基于TUI界面的TEE服務，分別執行設備復位、設備關閉、睡眠模式打開、背景燈關閉等操作，檢查TUI會話是否終止；2)模擬應用調用基于TUI界面的TEE服務，分別執行來電、日歷事件、電子郵件通知等操3)模擬應用調用基于TUI界面的TEE服務，當TUI會話終止時，檢查TUI屏幕是否從顯示屏上消失，是否將屏幕區的控制權交還給REE;4)模擬應用調用基于TUI界面的TEE服務，分別執行來電、日歷事件、電子郵件通知等操作使TUI會話終止，上述操作處理結束后，檢查TEE服務是否重放被中斷的TUI屏幕。b)預期結果：1)TUI會話期間發生設備復位、設備關閉、睡眠模式打開、背景燈關閉等電源管理事件2)TUI會話期間發生來電、日歷事件、電子郵件通知等操作系統特定事件時，TUI會話終止；3)當TUI會話終止時，TUI屏幕從顯示屏上消失，并將屏幕區的控制權交還給REE;4)當REE事件操作結束后，TEE服務應重放被中斷的TUI屏幕。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。9.1.3特定功能安全要求9.1.3.1口令輸入/修改和注冊登錄測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查用于加密口令的密鑰的更新策略以及使用的加密算法；2)模擬應用調用可信用戶界面的口令輸入/修改、注冊登錄功能，嘗試在REE中獲取可信用戶界面的口令，檢查該功能是否保證口令的機密性；3)當設備本地存儲口令時，檢查是否使用TEE的可信存儲功能存儲口令；嘗試使用應用獲取和篡改其他應用存儲的口令；4)當應用后臺存儲口令時，嘗試在REE和網絡傳輸中獲取和篡改口令；5)模擬應用調用可信用戶界面的口令輸入和口令修改功能，檢查是否采取一些措施對輸入的賬號口令進行保護，如口令輸入框是否明文顯示口令、對輸入的口令作混淆處理、連續輸入錯誤的口令檢查該功能是否具備口令連續輸入驗證失敗次數限制等。b)預期結果：1)賬戶口令明文不從TEE泄露；2)口令輸入/修改、注冊登錄功能具備合理的口令加密密鑰更新策略，加密算法遵循相關密碼國家標準；3)對于設備本地存儲口令的場景，口令輸入和口令修改功能使用TEE的可信存儲功能保證口令存儲的機密性、完整性、應用隔離及用戶隔離；4)對于應用后臺存儲口令的場景，口令輸入和口令修改功能以密文形式在REE和網絡中傳輸口令；5)口令輸入和口令修改功能采取一些措施對輸入的賬號口令進行保護，如賬戶口令輸入框隱藏明文顯示、對輸入的口令作混淆處理、設置賬戶口令連續輸入驗證失敗次數限制并提示剩余輸入機會次數等。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)模擬應用調用可信用戶界面的消息輸出功能，嘗試在REE和網絡傳輸中獲取可信用戶界2)審查廠商提交的文檔，檢查用于加密口令的密鑰的更新策略。b)預期結果：1)消息輸出功能發送給TEE服務的消息內容是以密文形式在REE和網絡中傳輸；2)消息輸出功能具備合理的口令加密密鑰更新策略。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。9.2.1TEE二維碼展示安全要求測試評價方法如下。a)測試方法：1)模擬應用調用二維碼展示功能，檢查展示界面是否基于TUI構建；2)模擬應用調用二維碼展示功能，嘗試在REE和網絡傳輸中獲取和篡改二維碼；3)模擬應用調用二維碼展示功能，檢查展示界面是否包含安全指示器。b)預期結果：1)二維碼展示界面基于TUI構建；2)二維碼不以明文形式在REE和網絡中傳輸，傳輸過程中不被泄露、竊取和篡改；3)宜放置一個安全指示器，用于標識當前界面處于可信執行環境中。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。9.2.2TEE二維碼掃描安全要求測試評價方法如下。a)測試方法：1)審查廠商提交的文檔，檢查二維碼讀取過程。模擬應用調用掃描二維碼功能，嘗試在REE中控制攝像頭讀取二維碼數據；2)模擬應用調用掃描二維碼功能，嘗試在REE中獲取二維碼數據。b)預期結果：1)掃描二維碼的攝像頭滿足可信外設的要求；2)掃描二維碼時，二維碼數據不以明文形式在網絡和REE中傳輸，傳輸過程中不被泄露、竊取和篡改。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。9.3TEE設備安全狀態評價服務9.3.1整體安全要求測試評價方法如下。a)測試方法：1)模擬應用分別調用本地型/遠程型/混合型TEE設備安全狀態評價服務，檢查設備安全狀態報告的請求報文，嘗試重放之前的請求報文；2)模擬應用分別調用本地型/遠程型/混合型TEE設備安全狀態評價服務，檢查設備安全狀態報告是否經過TEE服務或TEE服務后臺簽名，嘗試篡改設備安全狀態報告內容；3)模擬應用分別調用本地型/遠程型/混合型TEE設備安全狀態評價服務，檢查設備安全狀態報告中建議事項的內容是否包含具體失敗的原因。b)預期結果：1)設備安全狀態報告的請求報文具備防重放攻擊的特性；2)設備安全狀態報告經過TEE服務或TEE服務后臺簽名，應用和應用后臺應驗證報告的完整性，確保報告無法被篡改；3)設備安全狀態報告中建議事項的內容只限于簡單的提示，不包含具體失敗的原因。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。9.3.2本地型安全要求測試評價方法如下。a)測試方法：1)檢查設計文檔，模擬應用調用本地型TEE設備安全狀態評價服務，在采集因子操作結束后，嘗試讀取內存數據，驗證內存數據中是否含有采集因子；2)模擬應用調用本地型TEE設備安全狀態評價服務，嘗試繞過TEE安全狀態驗證環節，驗證因子采集過程是否執行成功；3)檢查設計文檔，分別模擬應用和其他TA調用本地型TEE設備安全狀態評價服務，檢查設備安全狀態報告的生成是否在TEE服務中完成；4)分別模擬應用和其他TA調用本地型TEE設備安全狀態評價服務，檢查設備安全狀態報告是否包含具體檢測項的檢測結果；5)分別模擬應用和其他TA調用本地型TEE設備安全狀態評價服務，嘗試通過TEE服務獲取具體檢測項的相關信息；6)模擬應用調用本地型TEE設備安全狀態評價服務，嘗試在應用使用設備安全狀態報告前篡改報告，檢查應用是否能夠檢測報告已被篡改。b)預期結果：1)在采集操作結束后擦除含有采集因子的內存數據；2)TEE服務在發出采集命令前驗證TEE的安全狀態；3)設備安全狀態報告在TEE服務中根據收集的各項因子生成；4)設備安全狀態報告不包含具體檢測項的檢測結果；5)TEE服務未暴露具體檢測項的相關信息；6)應用獲取設備安全狀態報告時TEE服務對設備安全狀態報告的所有內容進行簽名；7)應用在使用設備安全狀態報告前對設備安全狀態報告的簽名進行校驗。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。9.3.3遠程型和混合型安全要求測試評價方法如下。a)測試方法：1)檢查設計文檔，模擬應用調用遠程型和混合型TEE設備安全狀態評價服務，在采集因子操作結束后，嘗試讀取內存數據，驗證內存數據中是否含有采集因子；2)檢查設計文檔，模擬應用調用遠程型和混合型TEE設備安全狀態評價服務，嘗試繞過TEE安全狀態驗證環節，驗證因子采集過程是否執行成功；3)檢查設計文檔，模擬應用調用遠程型和混合型TEE設備安全狀態評價服務，嘗試獲取向TEE服務后臺傳輸的采集因子；4)檢查設計文檔，模擬應用調用遠程型和混合型TEE設備安全狀態評價服務，檢查收集的因子是否包括TEE服務和TEE服務代理的相關因子；5)檢查設計文檔，模擬應用調用遠程型和混合型TEE設備安全狀態評價服務，檢查遠程型設備安全狀態報告的生成是否在TEE服務后臺完成，混合型設備安全狀態報告是否在TEE服務和TEE服務后臺完成；6)模擬應用調用遠程型和混合型TEE設備安全狀態評價服務，檢查設備收集的因子是否由TEE服務加密后傳輸至TEE服務后臺，嘗試在REE和網絡傳輸中獲取設備收集的7)模擬應用調用遠程型和混合型TEE設備安全狀態評價服務，檢查設備安全狀態報告是否包含具體檢測項的檢測結果；8)模擬應用調用遠程型和混合型TEE設備安全狀態評價服務，嘗試通過TEE服務和TEE服務后臺獲取具體檢測項的相關信息；9)模擬應用調用遠程型和混合型TEE設備安全狀態評價服務，嘗試在使用者使用設備安全狀態報告前篡改報告，檢查使用者是否能夠檢測報告已被篡改。b)預期結果：1)在采集操作結束后擦除含有采集因子的內存數據；2)TEE服務在發出采集命令前驗證TEE的安全狀態；3)收集的因子在發送到TEE服務后臺前進行脫敏處理；4)遠程型設備安全狀態報告在TEE服務后臺中根據收集的各項因子生成，混合型設備安全狀態報告在TEE服務和TEE服務后臺中根據收集的各項因子生成；5)遠程型和混合型TEE設備安全狀態評價服務收集的需要TEE服務后臺檢測的因子由TEE服務加密，并由TEE服務后臺解密；6)設備安全狀態報告不包含具體檢測項的檢測結果；7)TEE服務和TEE服務后臺未暴露具體檢測項的相關信息；8)TEE服務和TEE服務后臺對設備安全狀態報告的所有內容進行簽名；9)使用者在使用設備安全狀態報告前對設備安全狀態報告的簽名進行校驗。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。9.4TEE身份鑒別服務9.4.1口令鑒別服務安全要求測試評價方法如下。a)測試方法：1)檢查設計文檔，模擬應用調用口令鑒別服務，檢查調用過程是否基于TUI,嘗試在REE中獲取輸入的口令；2)改變設備環境的安全狀態，模擬應用調用口令鑒別服務，驗證獲取口令前該功能是否執行當前環境的風險判斷；3)模擬應用調用口令鑒別服務，檢查鑒別結果是否在TEE服務中加密后返回，嘗試篡改鑒別結果。b)預期結果：1)口令鑒別服務基于TUI獲取口令；2)口令鑒別服務獲取口令前執行風險判斷，檢查當前環境的安全性；3)鑒別結果在TEE服務中加密后返回。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。9.4.2生物特征鑒別服務安全要求測試評價方法如下。a)測試方法：1)檢查設計文檔，模擬應用調用生物特征鑒別服務，若生物特征樣本采集在本地進行，嘗試在REE中控制采集過程；若生物特征樣本來自應用后臺，嘗試篡改傳輸的用戶生物特征注冊樣本。2)模擬應用調用生物特征鑒別服務，檢查生物特征活體檢測過程是否在本地進行或由TEE服務后臺進行遠程活體檢測。若支持遠程活體檢測，嘗試獲取和篡改傳輸的生物特征樣本。3)模擬應用調用生物特征鑒別服務，檢查生物特征活體比對過程是否在本地進行或由TEE服務后臺進行遠程生物特征比對。若支持遠程生物特征比對，嘗試獲取和篡改傳輸的生物特征樣本。4)模擬應用調用生物特征鑒別服務，檢查鑒別結果是否在TEE服務中加密后返回，嘗試篡改鑒別結果。5)模擬應用調用生物特征鑒別服務，在需要存儲用戶生物特征的場景，檢查生物特征是否加密存儲，嘗試獲取生物特征；模擬應用調用生物特征鑒別服務，嘗試重放攻擊。b)預期結果：1)生物特征鑒別服務采集生物特征樣本時在TEE服務控制下或支持應用向應用后臺請求獲取用戶生物特征注冊樣本。2)生物特征鑒別服務的生物特征活體檢測過程在本地進行或由TEE服務后臺進行。遠程活體檢測過程中，TEE服務和TEE服務后臺的通信過程加密傳輸生物特征樣本。3)生物特征鑒別服務的生物特征比對過程在本地進行或由TEE服務后臺進行。生物特征比對過程中，TEE服務和TEE服務后臺的通信過程加密傳輸生物特征樣本。4)鑒別結果在TEE服務中加密后返回。5)如需要存儲用戶的生物特征，應保證加密存儲，并防止重放攻擊。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。9.4.3密碼技術鑒別服務安全要求測試評價方法如下。a)測試方法：1)檢查設計文檔，確認基于密碼技術鑒別服務的實現方式；2)如采用對稱密碼技術實現方式，檢查對稱密鑰的訪問控制策略，嘗試使用未授權用戶訪問和篡改密鑰；模擬應用調用密碼鑒別服務，嘗試重放攻擊；3)如采用數字簽名技術實現方式，檢查私鑰的訪問控制策略，嘗試使用未授權用戶訪問和篡改私鑰；檢查公鑰的使用和存儲方式，嘗試篡改和偽造公鑰；模擬應用調用密碼鑒別服b)預期結果：1)密碼鑒別服務采用對稱密碼技術實現時，能夠保證對稱密鑰的機密性和完整性，并能夠防止重放攻擊；2)密碼鑒別服務采用數字簽名技術實現時，能夠保證私鑰的機密性和完整性，以及公鑰的真實性，并能夠防止重放攻擊。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)檢查設計文檔，模擬應用調用TEE時間服務，嘗試在REE中篡改不同時間來源的時間，包括但不限于衛星時間、電信運營商時間、通過網絡授時中心獲取的時間等，檢查調用結果是否提供正確的時間信息及其來源；2)模擬應用調用TEE時間服務，檢查返回的時間信息是否在TEE服務中簽名，嘗試篡改時間信息，檢查應用是否能夠檢測時間信息已被篡改；模擬應用調用TEE時間服務，嘗試重放攻擊。b)預期結果：1)TEE時間服務采集多來源的時間信息，區分優先級，并相互校驗，時間來源可信度按照衛星時間(有可用衛星的情況下)、電信運營商時間、通過網絡授時中心獲取的時間排序；2)TEE服務返回的時間信息中同步提供時間信息來源，供應用參考及判斷可信度；3)TEE服務返回的時間信息由TEE服務簽名，并防止重放攻擊。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)檢查設計文檔，模擬應用調用TEE位置服務，嘗試在REE中篡改不同來源的信息，包括但不限于衛星定位、基站定位、短距通信設備輔助定位等，檢查調用結果是否提供正確的位置信息及其來源；2)模擬應用調用TEE位置服務，檢查返回的位置信息是否在TEE服務中簽名，嘗試篡改位置信息，檢查應用是否能夠檢測位置信息已被篡改；模擬應用調用TEE位置服務，嘗試重放攻擊。b)預期結果：1)TEE位置服務采集多來源的設備位置信息，區分優先級，并相互校驗。位置信息來源可信度按衛星定位(有可用衛星的情況下)、電信運營商基站定位、基于短距通信設備(包括但不限于無線局域網、藍牙等)排序。2)TEE服務返回的位置信息中同步提供位置信息來源。3)TEE服務返回的位置信息應由TEE服務簽名，并防止重放攻擊。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。9.7TEE密碼計算服務測試評價方法如下。a)測試方法：1)檢查設計文檔，模擬應用調用TEE密碼計算服務，檢查是否具備身份鑒別和權限驗證過程，分別嘗試繞過身份鑒別環節和未授權調用TEE密碼計算服務；2)模擬應用調用TEE密碼計算服務，驗證支持的密碼算法不存在已公開脆弱性；3)模擬應用調用TEE密碼計算服務，包括但不限于數據加密及解密、消息摘要、消息鑒別碼、數字簽名及驗簽和隨機數生成等功能，功能測試細節宜參考相關國家標準；嘗試在REE中篡改密鑰和隨機數，檢查調用結果是否提供正確的計算結果；4)模擬應用調用TEE密碼計算服務，檢查該服務是否生成服務訪問日志并查詢日志，嘗試未授權篡改相關日志；5)模擬應用調用TEE密碼計算服務，檢查是否支持更換密鑰；6)模擬應用調用TEE密碼計算服務，嘗試使用未授權用戶訪問和篡改密鑰，嘗試重放攻擊。b)預期結果：1)訪問TEE密碼計算服務前應通過身份鑒別和權限驗證；2)TEE密碼計算服務采用符合密碼國家標準或行業標準的密碼算法，如果使用的密碼算法發現存在安全隱患能及時提供替代密碼算法方案；3)TEE密碼計算服務支持數據加密及解密、消息摘要、消息鑒別碼、數字簽名及驗簽和隨機數生成等功能，密碼算法和隨機數生成在TEE中實現；4)TEE密碼計算服務上線前完成程序代碼缺陷檢測并避免隱患，針對服務程序和運行環境的安全漏洞及時更新補丁；5)TEE密碼計算服務支持一定時期內(如半年)的服務訪問日志的安全存儲，并支持查詢服務訪問日志；6)TEE密碼計算服務支持定期更換密鑰；7)TEE密碼計算服務支持密鑰全生命周期管理，保證密鑰的機密性、完整性。防止非授權用戶訪問或篡改，并防重放攻擊。c)結果判定：實際測試結果與預期結果一致則判定為符合，其他情況判定為不符合。(資料性)TEE設備安全狀態評價服務采集因子示例TEE設備安全狀態評價服務采集因子示例如下。a)TEE服務代理采集信息內容一般包括：2)Root工具、惡意軟件(如：基于黑名單檢查常見的Root工具及惡意程序);3)系統是否在調試模式或開發模式(如：adbroot權限檢查、系統屬性中調試開關檢查、模擬器檢測);4)系統安全設定(如：檢查是否設定屏幕鎖定，SELinux是否開啟);5)關鍵內存區域的屬性及訪問權限(如：攝像頭共享內存等);6)TEE服務控件的軟件版本；7)TEE服務控件的簽名；8)TEE服務控件運行模式(調試模式或產品模式);9)REE操作系統軟件版本號及安全更新版本號；10)設備相關識別碼(如：制造商識別碼、產品識別碼、裝置識別碼)。b)TEE服務采集信息內容一般包括：1)啟動參數(如：設備鎖定、安全啟動等配置參數);2)可信設備標識；3)TEE服務的軟件版本；4)TEE服務的簽名；5)TEE服務運行模式(調試模式或產品模式);6)可信執行環境運行模式(調試模式或產品模式)。(資料性)publicvoidinit(Bundledata,TSCallBackcallback)B.1.2接口描述進行TEE服務激活和初始化。B.1.3輸入參數輸入參數如表B.1所示。變量名類型屬性描述備注M第三方代碼data.putString(“insCode”,“00010000”)(TSCallback)callback:異步接口回調函數。失敗時回調onError(StringerrorCode,StringerroMsg),失敗的返回參數如表B.2所示。表B.2初始化接口失敗返回參數變量名類型屬性描述備注errorCodeStringM錯誤碼erroMsgStringM錯誤信息成功時回調onSuccess(Bundleresult),結果在Bundle對象中獲取，成功的返回參數如表B.3所示。表B.3初始化接口成功返回參數變量名類型屬性描述備注StringM執行狀態—Stringstatus=result.getString(“status”)GB/T42572—2023B.2個性化信息生成publicvoidpersonalize(Bundledata,TSCallBackcallback)B.2.2接口描述向應用后臺申請個性化數據，并傳送給TEE服務。B.2.3輸入參數輸入參數如表B.4所示。表B.4個性化信息生成接口輸入參數變量名類型屬性描述備注StringM第三方代碼示例請參考表B.1。(TSCallback)callback:異步接口回調函數。失敗時回調onError(StringerrorCode,StringerroMsg),失敗的返回參數如表B.5所示。變量名類型屬性描述備注errorCodeStringM錯誤碼——erroMsgStringM錯誤信息 成功時回調onSuccess(Bundleresult),結果在Bundle對象中獲取，成功的返回參數如表B.6所示。變量名類型屬性描述備注statusStringM執行狀態示例請參考表B.3。B.3TEE二維碼展示publicvoidtwoDimBarcodesShow(