朱鵬飛 張利琴 李偉 于華章

摘 要：GP TEE PP在CC3.1框架下給出了TEE的安全功能組件集合。將GP TEE PP與國家標準GB/T 30284-2013進行對比分析，對七大類的安全要求進行了對比，并結合移動金融等應用場景對GP TEE PP的安全要求進行了分析，提出GP TEE PP不是完善的移動金融安全解決方案，需要與TUI、SE等配合使用；與國家標準相比，GP TEE PP存在降低安全要求的情況。在對TEE進行標準化的過程中，應當參照國家標準進行有針對性的強化。

關鍵詞：TEE；安全要求；國家標準

中圖分類號：TP274+.2 文獻標識碼：B

Abstract： TEE （Trusted Execution Environment） is an available secure architecture for mobile terminals. The security requirements are descripted in GP TEE PP according to CC 3.1. In this paper， those security requirements in GP TEE PP are compared with the national standard GB/T 30284-2013， which is also under the frame of CC 3.1. After seven classes are compared and Analyzed， a conclusion is drawn that TEE is not the “perfect solution” of mobile terminal security， especially to mobile financial applications. Furthermore， some requirements in GP TEE PP are loosen than GB/T 30284-2013. If TEE would be accepted to become an industrial or national standard， the weakness of GP TEE PP should be fixed.

Key words： TEE； security requirement； national standard

1 引言

智能終端的快速普及和移動互聯(lián)網的迅速發(fā)展，使得用戶對移動金融的接納程度逐步提高，如何有效保障移動金融的安全性，成為當前急需解決的實際問題。國際組織Global Platform提出了TEE（Trusted Execution Environment，可信執(zhí)行環(huán)境）的概念 [1]，指在移動終端主處理器上的一個安全區(qū)域，提供一個隔離的可信執(zhí)行環(huán)境，保證加載到該環(huán)境內部的各種敏感數(shù)據(jù)的安全性、機密性和完整性。

TEE是與REE（Rich Execution Environment，富執(zhí)行環(huán)境）相對應的一個邏輯概念，也是一個與普通操作系統(tǒng)（TEE規(guī)范中稱為Rich OS）平行的運行環(huán)境，可以基于不同的技術實現(xiàn)，提供安全加解密、安全存儲、可信用戶接口、可信身份認證等各種系統(tǒng)服務。

GP TEE PP[2]在CC3.1框架下給出了TEE的安全功能組件集合。根據(jù)GP TEE PP的描述，TEE可以對多種移動應用場景進行安全保護，包括企業(yè)辦公、內容管理、個人信息保護、連接保護、移動金融服務等等。GB/T 30284-2013 [3]對EAL2級的移動通信智能終端操作系統(tǒng)進行了安全技術要求的規(guī)定，可用于指導移動通信智能終端操作系統(tǒng)的安全設計、開發(fā)、測試以及評估。該標準涉及智能移動終端，與TEE的范圍重疊。同時，GB/T 30284-2013引用了等同采納國際標準ISO/IEC 15408（大體等同于CC）的GB/T 18336，在CC框架下規(guī)定了一系列安全功能組件，GB/T 30284-2013框架與GP TEE PP 基本相同。由于二者使用了同樣的框架描述對TEE信息安全要求，可以對GP TEE PP與GB/T 30284-2013進行較為全面、精確的比較。

當前，TEE是業(yè)界比較認可的針對智能移動終端的信息安全解決方案，多種基于TEE的方案被提出。智能密碼鑰匙作為網上銀行的通用數(shù)字證書安全設備，手機盾是應用于金融領域的安全硬件設備，結合了TEE的智能密碼鑰匙和手機盾（內置TEE的手機），在安全性能上無差別，都足以提供金融級別的安全服務。顯然，結合SE（Secure Element），安全單元的TEE設備，能夠提供更高安全級別的服務。JR/T 0156-2017在附錄C中描述了承載于TEE和SE上的電子認證體系和對現(xiàn)有手機銀行等業(yè)務需要保護的交易場景，從標準層面對“TEE+SE”的移動支付技術安全架構體系的補充和完善。

除此之外，采納TEE成為行業(yè)甚至國家標準的活動也在進行中。JR/T0156-2017《移動終端支付可信環(huán)境技術規(guī)范》[6]明確規(guī)定了移動終端支付領域可信環(huán)境的整體框架、可信執(zhí)行環(huán)境、通信安全、數(shù)據(jù)安全、客戶端支付應用等主要內容，可針對移動終端可信環(huán)境在開展移動支付相關業(yè)務時提出相關技術要求。因此，有必要對TEE與當前的信息安全國家標準之間的相容性進行評估。

2 GP TEE PP與GB/T 30284-2013的對比分析

2.1 基本思路

本文的基本思路是列舉GP TEE PP和GB/T 30284-2013的安全功能組件，對比分析兩者的異同。除此之外，使用金融行業(yè)標準JR/T 0114-2015《網銀系統(tǒng)USB Key規(guī)范 安全技術與測評要求》[7]作為對照，該標準在GB/T 18336框架下對網銀系統(tǒng)USB Key的安全功能組件進行了規(guī)定。

需要指出的是，GB/T 30284-2013引用的GB/T 18336-2008（已被GB/T 18336-2015代替）與CC 2.3基本一致，部分安全功能組件定義與CC 3.1有所出入。例如，關于密碼運算的安全要求，GB/T 30284-2013使用的是自行定義的組件而非FCS類中的組件。在列表比對的過程中，對GB/T 30284-2013的安全功能組件進行了校對，將使用CC3.1未定義標識的組件調整為與其等效的安全組件。未找到等效安全組件的，用“*”作為標記，具體如表 1所示。

2.2 分類分析

按照安全功能組件分類，對GP TEE PP和GB/T 30284-2013的安全功能組件進行對比分析。

（1）安全審計（FAU）類：GP TEE PP僅要求在檢測到潛在的安全侵害時應自動采取動作（例如報警），而GB/T 30284-2013要求產生審計記錄并與用戶關聯(lián)。審計記錄對存儲空間有要求，而且需要對存儲空間不足等情況進行額外的處理，相對而言，實現(xiàn)難度更高，處理起來也更加復雜。除此之外，GP TEE PP雖然包含F(xiàn)AU_SAR.1組件，但并沒有包含F(xiàn)AU_GEN族，使得該組件形同虛設。因此，GP TEE PP對安全審計的要求弱于GB/T 30284-2013。

（2）密碼支持（FCS）類：GP TEE PP不包含此類。這意味著對于TEE來說，密碼運算不是必須的。然而，在移動金融等應用中，密碼技術是必須的（例如電子簽名）。因此，如果將TEE用于移動金融等應用，需要額外增補關于密碼的安全組件。這在采納TEE作為相關的行業(yè)標準甚至國家標準時應予以強調。

（3）用戶數(shù)據(jù)保護（FDP）類：與GP TEE PP相比，GB/T 30284-2013對了輸入和輸出方面的安全要求進行了強化和突出。這類安全要求在TEE體系的TUI（Trusted User Interface，可信用戶接口）相關規(guī)范中有體現(xiàn)。TUI作為TEE中的接口，向用戶提供設置個性化安全指示信息，是TEE為TA提供的與用戶輸入/輸出設備安全交互的界面，一般情況下，TUI會調用移動終端上的相關部件來進行用戶交互，當相關部件控制權屬于TUI時，由TEE決定是否將這些部件的控制權交給REE，保證TA與用戶交互的敏感數(shù)據(jù)免受其他應用或惡意軟件的攻擊[6]。這意味著在涉及輸入/輸出的應用中，使用TEE應當配合TUI。這在采納TEE作為相關的行業(yè)標準甚至國家標準時也應予以強調。

除此之外，還有一個有趣的現(xiàn)象：GB/T 30284-2013強調數(shù)據(jù)傳輸?shù)臋C密性（FDP_UTC.1），而GP TEE PP強調數(shù)據(jù)存儲的完整性（FDP_SDI.2）。對于優(yōu)先需要保證敏感數(shù)據(jù)機密性和傳輸數(shù)據(jù)完整性的移動金融應用（例如手機銀行）來說，二者都不滿足要求，且存在一定的“錯位”。

（1）標識和鑒別（FIA）類：與GP TEE PP相比，GB/T 30284-2013強化了用戶身份鑒別方面的安全要求。TEE不支持復雜的用戶管理（與JR/T 0114-2015規(guī)定的USB Key類似），因此，不包含相關的安全要求也是可以理解的。值得注意的是，GB/T 30284-2013和JR/T 0114-2015均允許用戶在未鑒別的狀態(tài)下進行有限的操作（FIA_UID.1），而TEE不允許（FIA_UID.2）在該類中，因此，針對TEE的要求，GB/T 30284-2013比GP TEE PP更強。

（2）安全功能管理（FMT）類：與GP TEE PP相比，GB/T 30284-2013對安全功能管理的規(guī)定更為細致全面。TEE植根于GP的多應用體系，而應用管理是多應用體系的核心之一。因此，在考慮將TEE納入相關的行業(yè)標準或者國家標準時，如果支持多應用，宜參照GB/T 30284-2013增補相關安全要求。

（3）安全功能保護（FPT）類：值得注意的是，與JR/T 0114-2015相比，GP TEE PP和GB/T 30284-2013均不包含物理保護（FPT_PHP）族。對于移動金融應用來說，這是一處明顯的弱點。金融行業(yè)標準JR/T 0068-2012 [8]規(guī)定，“禁止僅使用文件證書或使用文件證書加靜態(tài)密碼的方式進行資金類交易”。而在不使用硬件介質的情況下，保存在TEE中的數(shù)字證書與文件證書有多大差異，有待商榷。如果配合使JR/T 0089-2012《中國金融移動支付 安全單元》[9]所規(guī)定的安全單元（SE），可能有利于彌補這一短板。

（4）TOE訪問（FTA）類：GP TEE PP不包含此類安全組件。與FDP類的情況類似，這是由于TEE不包含輸入/輸出的規(guī)定導致的。TEE與用戶交互時，應通過TUI，TUI交互的部件包括但不限于移動終端上的話筒、鍵盤、觸摸屏、LED燈、指紋傳感器等[6]；在TEE與SE進行交互時，應該使用安全通道；TEE與其他部件（例如NFC、攝像頭等）進行數(shù)據(jù)通信時，需要對通信安全做額外的補充。

在考慮將TEE納入相關的行業(yè)標準或者國家標準時，可參考上述分析結果。

2.3 小結

根據(jù)上述分析，得到幾點結論。

（1）與所聲稱的應用場景相比，GP TEE PP的安全要求規(guī)定不夠全面，特別是與外部通信的部分。倘若與之進行數(shù)據(jù)通信的部件未做安全設計，或者通信方式不具備相應的安全屬性，有可能出現(xiàn)數(shù)據(jù)泄露等風險。TUI是TEE應用的必要補充，TEE為用戶提供設置通用安全指示信息的接口，TEE中的所有TA均可訪問通用安全指示信息，與其他外設之間的安全通信還需繼續(xù)研究。

（2）TEE未包含對物理防護的安全要求，對于移動金融來說是個弱點。鑒于實際的TEE實現(xiàn)往往基于移動終端芯片或智能卡芯片，在物理防護方面補充安全要求也是可行的。要求應用TEE時應搭配SE，也是可行的解決方案。

（3）與當前國家標準相比，GP TEE PP在個別方面降低了安全要求以減少復雜度。隨著方案的發(fā)展成熟和應用的普及推廣，有必要進行應有的強化。在考慮將TEE相關規(guī)范納入行業(yè)標準或者國家標準時，以增強要求的方式補充安全要求，也具有一定的可操作性。

3 結束語

本文在GB/T 18336-2015（CC 3.1）框架下對TEE的安全要求GP TEE PP與GB/T 30284-2013進行了對比，結合移動金融等實際應用分析了二者之間的差異，提出了采納TEE作為行業(yè)標準乃至國家標準時應當強化或調整的要點，這對于與TEE相關的標準化工作，具有一定的參考意義。

TEE在移動終端的普及推廣，使得移動終端初步具備了可信的信息安全保障體系，對促進和推動移動金融的健康持續(xù)發(fā)展起到了較好的保障作用。然而，正如本文所指出的，TEE并不是完善的移動金融安全解決方案，仍需進一步改進和優(yōu)化。為了更好地規(guī)范和指導TEE在移動支付領域的恰當應用，更好地發(fā)揮TEE的信息安全保障作用，避免TEE濫用、誤用導致額外的安全風險，對TEE相關工作進行標準化，勢在必行。在對TEE進行標準化的過程中，應當進行相應的補強。鑒于相關的金融行業(yè)標準已經發(fā)布，接下來的工作重點是積極參與以金融行業(yè)標準為基礎的團體標準的制訂工作，以向前兼容的方式將本文的成果應用于TEE的標準化。

參考文獻

[1] GlobalPlatform Device Technology. TEE System Architecture[EB/OL]. https：//www.globalplatform.org/specificationdownload.asp？id=7763，January 2017.

[2] GlobalPlatform Device Committee. TEE Protection Profile[EB/OL]. https：//www.globalplatform.org/specificationdownload.asp？id=7831，November 2016.

[3] GB/T 30284-2013.信息安全技術移動通信智能終端操作系統(tǒng)安全技術要求（EAL2級）[S].2013.

[4] 張亞飛.基于可信執(zhí)行環(huán)境的智能密碼鑰匙設計與實現(xiàn)[D].西安：西安電子科技大學，2014.

[5] 羅凈.基于智能終端可信操作系統(tǒng)的安全支付研究與實現(xiàn)[D].成都：電子科技大學，2014.

[6] JR/T 0156-2017.移動終端支付可信環(huán)境技術規(guī)范[S].2017.

[7] JR/T 0114-2015.網銀系統(tǒng)USB Key規(guī)范 安全技術與測評要求[S].2015.

[8] JR/T 0068-2012.網上銀行系統(tǒng)信息安全通用規(guī)范[S].2012.

[9] JR/T 0089-2012.中國金融移動支付 安全單元[S].2012.