GPTEE安全要求与国家标准的对比分析

朱鹏飞 张利琴 李伟 于华章

摘 要：GP TEE PP在CC3.1框架下给出了TEE的安全功能组件集合。将GP TEE PP与国家标准GB/T 30284-2013进行对比分析，对七大类的安全要求进行了对比，并结合移动金融等應用场景对GP TEE PP的安全要求进行了分析，提出GP TEE PP不是完善的移动金融安全解决方案，需要与TUI、SE等配合使用；与国家标准相比，GP TEE PP存在降低安全要求的情况。在对TEE进行标准化的过程中，应当参照国家标准进行有针对性的强化。

关键词：TEE；安全要求；国家标准

中图分类号：TP274+.2 文献标识码：B

Abstract： TEE （Trusted Execution Environment） is an available secure architecture for mobile terminals. The security requirements are descripted in GP TEE PP according to CC 3.1. In this paper， those security requirements in GP TEE PP are compared with the national standard GB/T 30284-2013， which is also under the frame of CC 3.1. After seven classes are compared and Analyzed， a conclusion is drawn that TEE is not the “perfect solution” of mobile terminal security， especially to mobile financial applications. Furthermore， some requirements in GP TEE PP are loosen than GB/T 30284-2013. If TEE would be accepted to become an industrial or national standard， the weakness of GP TEE PP should be fixed.

Key words： TEE； security requirement； national standard

1 引言

智能终端的快速普及和移动互联网的迅速发展，使得用户对移动金融的接纳程度逐步提高，如何有效保障移动金融的安全性，成为当前急需解决的实际问题。国际组织Global Platform提出了TEE（Trusted Execution Environment，可信执行环境）的概念 [1]，指在移动终端主处理器上的一个安全区域，提供一个隔离的可信执行环境，保证加载到该环境内部的各种敏感数据的安全性、机密性和完整性。

TEE是与REE（Rich Execution Environment，富执行环境）相对应的一个逻辑概念，也是一个与普通操作系统（TEE规范中称为Rich OS）平行的运行环境，可以基于不同的技术实现，提供安全加解密、安全存储、可信用户接口、可信身份认证等各种系统服务。

GP TEE PP[2]在CC3.1框架下给出了TEE的安全功能组件集合。根据GP TEE PP的描述，TEE可以对多种移动应用场景进行安全保护，包括企业办公、内容管理、个人信息保护、连接保护、移动金融服务等等。GB/T 30284-2013 [3]对EAL2级的移动通信智能终端操作系统进行了安全技术要求的规定，可用于指导移动通信智能终端操作系统的安全设计、开发、测试以及评估。该标准涉及智能移动终端，与TEE的范围重叠。同时，GB/T 30284-2013引用了等同采纳国际标准ISO/IEC 15408（大体等同于CC）的GB/T 18336，在CC框架下规定了一系列安全功能组件，GB/T 30284-2013框架与GP TEE PP 基本相同。由于二者使用了同样的框架描述对TEE信息安全要求，可以对GP TEE PP与GB/T 30284-2013进行较为全面、精确的比较。

当前，TEE是业界比较认可的针对智能移动终端的信息安全解决方案，多种基于TEE的方案被提出。智能密码钥匙作为网上银行的通用数字证书安全设备，手机盾是应用于金融领域的安全硬件设备，结合了TEE的智能密码钥匙和手机盾（内置TEE的手机），在安全性能上无差别，都足以提供金融级别的安全服务。显然，结合SE（Secure Element），安全单元的TEE设备，能够提供更高安全级别的服务。JR/T 0156-2017在附录C中描述了承载于TEE和SE上的电子认证体系和对现有手机银行等业务需要保护的交易场景，从标准层面对“TEE+SE”的移动支付技术安全架构体系的补充和完善。

除此之外，采纳TEE成为行业甚至国家标准的活动也在进行中。JR/T0156-2017《移动终端支付可信环境技术规范》[6]明确规定了移动终端支付领域可信环境的整体框架、可信执行环境、通信安全、数据安全、客户端支付应用等主要内容，可针对移动终端可信环境在开展移动支付相关业务时提出相关技术要求。因此，有必要对TEE与当前的信息安全国家标准之间的相容性进行评估。

2 GP TEE PP与GB/T 30284-2013的对比分析

2.1 基本思路

本文的基本思路是列举GP TEE PP和GB/T 30284-2013的安全功能组件，对比分析两者的异同。除此之外，使用金融行业标准JR/T 0114-2015《网银系统USB Key规范 安全技术与测评要求》[7]作为对照，该标准在GB/T 18336框架下对网银系统USB Key的安全功能组件进行了规定。

需要指出的是，GB/T 30284-2013引用的GB/T 18336-2008（已被GB/T 18336-2015代替）与CC 2.3基本一致，部分安全功能组件定义与CC 3.1有所出入。例如，关于密码运算的安全要求，GB/T 30284-2013使用的是自行定义的组件而非FCS类中的组件。在列表比对的过程中，对GB/T 30284-2013的安全功能组件进行了校对，将使用CC3.1未定义标识的组件调整为与其等效的安全组件。未找到等效安全组件的，用“*”作为标记，具体如表 1所示。

2.2 分类分析

按照安全功能组件分类，对GP TEE PP和GB/T 30284-2013的安全功能组件进行对比分析。

（1）安全审计（FAU）类：GP TEE PP仅要求在检测到潜在的安全侵害时应自动采取动作（例如报警），而GB/T 30284-2013要求产生审计记录并与用户关联。审计记录对存储空间有要求，而且需要对存储空间不足等情况进行额外的处理，相对而言，实现难度更高，处理起来也更加复杂。除此之外，GP TEE PP虽然包含FAU_SAR.1组件，但并没有包含FAU_GEN族，使得该组件形同虚设。因此，GP TEE PP对安全审计的要求弱于GB/T 30284-2013。

（2）密码支持（FCS）类：GP TEE PP不包含此类。这意味着对于TEE来说，密码运算不是必须的。然而，在移动金融等应用中，密码技术是必须的（例如电子签名）。因此，如果将TEE用于移动金融等应用，需要额外增补关于密码的安全组件。这在采纳TEE作为相关的行业标准甚至国家标准时应予以强调。

（3）用户数据保护（FDP）类：与GP TEE PP相比，GB/T 30284-2013对了输入和输出方面的安全要求进行了强化和突出。这类安全要求在TEE体系的TUI（Trusted User Interface，可信用户接口）相关规范中有体现。TUI作为TEE中的接口，向用户提供设置个性化安全指示信息，是TEE为TA提供的与用户输入/输出设备安全交互的界面，一般情况下，TUI会调用移动终端上的相关部件来进行用户交互，当相关部件控制权属于TUI时，由TEE决定是否将这些部件的控制权交给REE，保证TA与用户交互的敏感数据免受其他应用或恶意軟件的攻击[6]。这意味着在涉及输入/输出的应用中，使用TEE应当配合TUI。这在采纳TEE作为相关的行业标准甚至国家标准时也应予以强调。

除此之外，还有一个有趣的现象：GB/T 30284-2013强调数据传输的机密性（FDP_UTC.1），而GP TEE PP强调数据存储的完整性（FDP_SDI.2）。对于优先需要保证敏感数据机密性和传输数据完整性的移动金融应用（例如手机银行）来说，二者都不满足要求，且存在一定的“错位”。

（1）标识和鉴别（FIA）类：与GP TEE PP相比，GB/T 30284-2013强化了用户身份鉴别方面的安全要求。TEE不支持复杂的用户管理（与JR/T 0114-2015规定的USB Key类似），因此，不包含相关的安全要求也是可以理解的。值得注意的是，GB/T 30284-2013和JR/T 0114-2015均允许用户在未鉴别的状态下进行有限的操作（FIA_UID.1），而TEE不允许（FIA_UID.2）在该类中，因此，针对TEE的要求，GB/T 30284-2013比GP TEE PP更强。

（2）安全功能管理（FMT）类：与GP TEE PP相比，GB/T 30284-2013对安全功能管理的规定更为细致全面。TEE植根于GP的多应用体系，而应用管理是多应用体系的核心之一。因此，在考虑将TEE纳入相关的行业标准或者国家标准时，如果支持多应用，宜参照GB/T 30284-2013增补相关安全要求。

（3）安全功能保护（FPT）类：值得注意的是，与JR/T 0114-2015相比，GP TEE PP和GB/T 30284-2013均不包含物理保护（FPT_PHP）族。对于移动金融应用来说，这是一处明显的弱点。金融行业标准JR/T 0068-2012 [8]规定，“禁止仅使用文件证书或使用文件证书加静态密码的方式进行资金类交易”。而在不使用硬件介质的情况下，保存在TEE中的数字证书与文件证书有多大差异，有待商榷。如果配合使JR/T 0089-2012《中国金融移动支付 安全单元》[9]所规定的安全单元（SE），可能有利于弥补这一短板。

（4）TOE访问（FTA）类：GP TEE PP不包含此类安全组件。与FDP类的情况类似，这是由于TEE不包含输入/输出的规定导致的。TEE与用户交互时，应通过TUI，TUI交互的部件包括但不限于移动终端上的话筒、键盘、触摸屏、LED灯、指纹传感器等[6]；在TEE与SE进行交互时，应该使用安全通道；TEE与其他部件（例如NFC、摄像头等）进行数据通信时，需要对通信安全做额外的补充。

在考虑将TEE纳入相关的行业标准或者国家标准时，可参考上述分析结果。

2.3 小结

根据上述分析，得到几点结论。

（1）与所声称的应用场景相比，GP TEE PP的安全要求规定不够全面，特别是与外部通信的部分。倘若与之进行数据通信的部件未做安全设计，或者通信方式不具备相应的安全属性，有可能出现数据泄露等风险。TUI是TEE应用的必要补充，TEE为用户提供设置通用安全指示信息的接口，TEE中的所有TA均可访问通用安全指示信息，与其他外设之间的安全通信还需继续研究。

（2）TEE未包含对物理防护的安全要求，对于移动金融来说是个弱点。鉴于实际的TEE实现往往基于移动终端芯片或智能卡芯片，在物理防护方面补充安全要求也是可行的。要求应用TEE时应搭配SE，也是可行的解决方案。

（3）与当前国家标准相比，GP TEE PP在个别方面降低了安全要求以减少复杂度。随着方案的发展成熟和应用的普及推广，有必要进行应有的强化。在考虑将TEE相关规范纳入行业标准或者国家标准时，以增强要求的方式补充安全要求，也具有一定的可操作性。

3 结束语

本文在GB/T 18336-2015（CC 3.1）框架下对TEE的安全要求GP TEE PP与GB/T 30284-2013进行了对比，结合移动金融等实际应用分析了二者之间的差异，提出了采纳TEE作为行业标准乃至国家标准时应当强化或调整的要点，这对于与TEE相关的标准化工作，具有一定的参考意义。

TEE在移动终端的普及推广，使得移动终端初步具备了可信的信息安全保障体系，对促进和推动移动金融的健康持续发展起到了较好的保障作用。然而，正如本文所指出的，TEE并不是完善的移动金融安全解决方案，仍需进一步改进和优化。为了更好地规范和指导TEE在移动支付领域的恰当应用，更好地发挥TEE的信息安全保障作用，避免TEE滥用、误用导致额外的安全风险，对TEE相关工作进行标准化，势在必行。在对TEE进行标准化的过程中，应当进行相应的补强。鉴于相关的金融行业标准已经发布，接下来的工作重点是积极参与以金融行业标准为基础的团体标准的制订工作，以向前兼容的方式将本文的成果应用于TEE的标准化。

参考文献

[1] GlobalPlatform Device Technology. TEE System Architecture[EB/OL]. https：//www.globalplatform.org/specificationdownload.asp？id=7763，January 2017.

[2] GlobalPlatform Device Committee. TEE Protection Profile[EB/OL]. https：//www.globalplatform.org/specificationdownload.asp？id=7831，November 2016.

[3] GB/T 30284-2013.信息安全技術移动通信智能终端操作系统安全技术要求（EAL2级）[S].2013.

[4] 张亚飞.基于可信执行环境的智能密码钥匙设计与实现[D].西安：西安电子科技大学，2014.

[5] 罗净.基于智能终端可信操作系统的安全支付研究与实现[D].成都：电子科技大学，2014.

[6] JR/T 0156-2017.移动终端支付可信环境技术规范[S].2017.

[7] JR/T 0114-2015.网银系统USB Key规范 安全技术与测评要求[S].2015.

[8] JR/T 0068-2012.网上银行系统信息安全通用规范[S].2012.

[9] JR/T 0089-2012.中国金融移动支付 安全单元[S].2012.