GBT 41388-2022 信息安全技術(shù) 可信執(zhí)行環(huán)境 基本安全規(guī)范

信息安全技術(shù)可信執(zhí)行環(huán)境基本安全規(guī)范2022-04-15發(fā)布2022-11-01實(shí)施國(guó)家市場(chǎng)監(jiān)督管理總局I前言 2規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14縮略語(yǔ) 25總體描述 25.1概述 25.2整體架構(gòu) 36基礎(chǔ)要求 46.1硬件要求 46.1.1硬件基本要求 46.1.2可信時(shí)鐘源 46.1.3可信隨機(jī)源 46.1.4可信調(diào)試單元 46.1.5可信外設(shè) 46.2可信根 46.3安全啟動(dòng)要求 57可信虛擬化系統(tǒng) 58可信操作系統(tǒng) 59可信應(yīng)用與服務(wù)管理 69.1基本描述 69.2技術(shù)架構(gòu) 69.2.1架構(gòu)描述 69.2.2互信過(guò)程 69.2.3可信應(yīng)用及服務(wù)部署 610可信服務(wù) 610.1可信時(shí)間服務(wù) 610.2可信加解密服務(wù) 710.3可信存儲(chǔ)服務(wù) 710.4可信身份鑒別服務(wù) 710.5可信設(shè)備鑒證服務(wù) 710.6可信人機(jī)交互服務(wù) 710.7SE管理服務(wù) 711跨平臺(tái)應(yīng)用中間件 812可信應(yīng)用 9Ⅱ12.1可信應(yīng)用基本架構(gòu) 912.2可信應(yīng)用加載的安全要求 912.3客戶端應(yīng)用與可信應(yīng)用通信的安全要求 12.4可信應(yīng)用與可信應(yīng)用通信的安全要求 13測(cè)試評(píng)價(jià)方法 913.1基礎(chǔ)要求 13.1.1硬件要求 913.1.1.1硬件基本要求 13.1.1.2可信時(shí)鐘源 13.1.1.3可信隨機(jī)源 13.1.1.4可信調(diào)試單元 13.1.1.5可信外設(shè) 13.1.2可信根 13.1.3安全啟動(dòng) 13.2可信虛擬化系統(tǒng) 13.3可信操作系統(tǒng) 13.4可信應(yīng)用與服務(wù)管理 13.4.1互信過(guò)程 13.4.2可信應(yīng)用及服務(wù)部署 13.5可信服務(wù) 13.5.1可信時(shí)間服務(wù) 13.5.2可信加解密服務(wù) 13.5.3可信存儲(chǔ)服務(wù) 13.5.4可信身份鑒別服務(wù) 13.5.5可信設(shè)備鑒證服務(wù) 13.5.6可信人機(jī)交互服務(wù) 13.5.7SE管理服務(wù) 13.6跨平臺(tái)應(yīng)用中間件 13.7可信應(yīng)用 13.7.1可信應(yīng)用加載 13.7.2客戶端應(yīng)用與可信應(yīng)用通信 13.7.3可信應(yīng)用與可信應(yīng)用通信 附錄A(資料性)可信執(zhí)行環(huán)境參考架構(gòu) 附錄B(資料性)支持多種身份鑒別的應(yīng)用場(chǎng)景 Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：中國(guó)銀聯(lián)股份有限公司、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、中國(guó)科學(xué)院大學(xué)、北京銀聯(lián)金卡科技有限公司、中國(guó)信息通信研究院、公安部第三研究所、華為技術(shù)有限公司、北京小米移動(dòng)軟件有限公司、OPPO廣東移動(dòng)通信有限公司、維沃移動(dòng)通信有限公司、中國(guó)金融認(rèn)證中心、深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司、螞蟻科技集團(tuán)股份有限公司、北京百度網(wǎng)訊科技有限公司、北京謙川科技有限公司、聯(lián)想(北京)有限公司、高通無(wú)線通信技術(shù)(中國(guó))有限公司、華控清交信息科技(北京)有限公司、上海聚虹光電科技有限公司。1信息安全技術(shù)可信執(zhí)行環(huán)境基本安全規(guī)范1范圍本文件確立了可信執(zhí)行環(huán)境系統(tǒng)整體技術(shù)架構(gòu)，描述了可信執(zhí)行環(huán)境基礎(chǔ)要求、可信虛擬化系統(tǒng)、可信操作系統(tǒng)、可信應(yīng)用與服務(wù)管理、跨平臺(tái)應(yīng)用中間件等主要內(nèi)容及其測(cè)試評(píng)價(jià)方法。本文件適用于指導(dǎo)可信執(zhí)行環(huán)境系統(tǒng)的設(shè)計(jì)、生產(chǎn)及測(cè)試。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T20271—2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)3術(shù)語(yǔ)和定義GB/T25069—2010界定的以及下列術(shù)語(yǔ)和定義適用于本文件。虛擬化virtualization將一種或多種形式資源虛擬化成另外一種或多種形式資源的方法?；诳尚艌?zhí)行環(huán)境的虛擬化方法。可信執(zhí)行環(huán)境trustedexecutionenvironment基于硬件級(jí)隔離及安全啟動(dòng)機(jī)制，為確保安全敏感應(yīng)用相關(guān)數(shù)據(jù)和代碼的機(jī)密性、完整性、真實(shí)性和不可否認(rèn)性目標(biāo)構(gòu)建的一種軟件運(yùn)行環(huán)境。注：硬件級(jí)隔離是指基于硬件安全擴(kuò)展機(jī)制，通過(guò)對(duì)計(jì)算資源的固定劃分或動(dòng)態(tài)共享，保證隔離資源不被富執(zhí)行環(huán)境訪問(wèn)的一種安全機(jī)制。富執(zhí)行環(huán)境richexecutionenvironment為應(yīng)用程序提供基礎(chǔ)功能和計(jì)算資源的一種軟件運(yùn)行環(huán)境。注：富執(zhí)行環(huán)境是相對(duì)可信執(zhí)行環(huán)境獨(dú)立存在的運(yùn)行環(huán)境?？尚艌?zhí)行環(huán)境系統(tǒng)trustedexecutionenvironmentsystem由可信執(zhí)行環(huán)境及富執(zhí)行環(huán)境下用以支撐客戶端應(yīng)用的運(yùn)行環(huán)境共同構(gòu)成的系統(tǒng)。2在可信執(zhí)行環(huán)境中為可信應(yīng)用和執(zhí)行環(huán)境自身所提供的各種服務(wù)。在系統(tǒng)啟動(dòng)過(guò)程中，為驗(yàn)證系統(tǒng)啟動(dòng)過(guò)程每一階段所加載代碼的真實(shí)性、完整性而提供的一種安全可信應(yīng)用trustedapplication運(yùn)行在可信執(zhí)行環(huán)境中的應(yīng)用程序。運(yùn)行在富執(zhí)行環(huán)境中的應(yīng)用程序，與可信應(yīng)用協(xié)同工作，共同構(gòu)成完整的應(yīng)用。證書頒發(fā)方certificateissuer用于簽名驗(yàn)證的證書的頒發(fā)者。4縮略語(yǔ)以下縮略語(yǔ)適用于本文件。API:應(yīng)用程序編程接口(ApplicationProgrammingInterface)CPU:中央處理器(CentralProcessingUnit)DMA:直接內(nèi)存訪問(wèn)(DirectMemoryAccess)IOMMU:輸入輸出內(nèi)存管理單元(InputOutputMemoryManagementUnit)TAM:可信應(yīng)用管理(TrustedApplicationManager)TEE:可信執(zhí)行環(huán)境(TrustedExecutionEnvironment)5總體描述為了兼顧安全與開放，通常會(huì)在一個(gè)設(shè)備上基于硬件級(jí)隔離同時(shí)建立起兩個(gè)完整的執(zhí)行環(huán)境。其性、機(jī)密性要求較高的業(yè)務(wù)，定義為可信執(zhí)行環(huán)境。兩個(gè)執(zhí)行環(huán)境在一個(gè)設(shè)備上同時(shí)并存，其運(yùn)行所需要的CPU、內(nèi)存、外設(shè)等資源在硬件級(jí)安全機(jī)制基礎(chǔ)上嚴(yán)格隔離，隔離機(jī)制按GB/T20271—2006中4.2.5關(guān)于特別安全防護(hù)規(guī)定的要求。富執(zhí)行環(huán)境中的客戶端應(yīng)用和可信執(zhí)行環(huán)境中的可信應(yīng)用相互通信、相互協(xié)作，共同構(gòu)成一個(gè)完整的應(yīng)用。本文件主要描述可信執(zhí)行環(huán)境系統(tǒng)架構(gòu)以及各組成部分的基本功能和安全要求。3GB/T41388—20225.2整體架構(gòu)本文件所定義的可信執(zhí)行環(huán)境系統(tǒng)整體架構(gòu)見(jiàn)圖1?？尚艌?zhí)行環(huán)境可信執(zhí)行環(huán)境可信應(yīng)用可信應(yīng)用可信應(yīng)用跨平臺(tái)應(yīng)用中間件(可選)可信服務(wù)可信應(yīng)用與服務(wù)管理客戶端應(yīng)用可信操作系統(tǒng)安全代理模塊三可信虛擬化系統(tǒng)硬件環(huán)境可信時(shí)鐘源硬件環(huán)境可信調(diào)試單元可信隨機(jī)源可信外設(shè)(可選)富執(zhí)行環(huán)境可信應(yīng)用模塊二圖1整體架構(gòu)可信執(zhí)行環(huán)境系統(tǒng)要求設(shè)備同時(shí)具備兩個(gè)運(yùn)行環(huán)境：富執(zhí)行環(huán)境、可信執(zhí)行環(huán)境。其中富執(zhí)行環(huán)境主要負(fù)責(zé)處理安全性要求相對(duì)較低、功能相對(duì)豐富的業(yè)務(wù)。富執(zhí)行環(huán)境中主要包括用于與可信執(zhí)行環(huán)境通信的安全代理、用于業(yè)務(wù)處理并與可信應(yīng)用通信的客戶端應(yīng)用等?？尚艌?zhí)行環(huán)境運(yùn)行安全等級(jí)較高的可信操作系統(tǒng)及可信服務(wù)與應(yīng)用等?？尚艌?zhí)行環(huán)境基于具備安全隔離屬性的硬件基礎(chǔ)之上構(gòu)建，該硬件只有在切換為可信環(huán)境后才能夠被正常訪問(wèn)和進(jìn)行數(shù)據(jù)處理，包括可信時(shí)鐘源、可信密碼單元(可選)、可信調(diào)試單元以及可信外設(shè)(可選)等。整個(gè)可信執(zhí)行環(huán)境系統(tǒng)的啟動(dòng)過(guò)程應(yīng)以可信根為起點(diǎn)，并滿足安全啟動(dòng)相關(guān)安全要求?？尚艌?zhí)行環(huán)境系統(tǒng)根據(jù)應(yīng)用場(chǎng)景的不同，可由下述3個(gè)不同的功能模塊組成：a)模塊一由可信操作系統(tǒng)、可信服務(wù)、可信應(yīng)用、可信應(yīng)用與服務(wù)管理以及可選的跨平臺(tái)中間件組成的系統(tǒng)；b)模塊二可信應(yīng)用直接運(yùn)行于硬件環(huán)境上；c)模塊三由基于可信虛擬化技術(shù)構(gòu)建的可信虛擬化系統(tǒng)。通過(guò)組合3個(gè)模塊可以形成三種架構(gòu)。a)精簡(jiǎn)架構(gòu)，在可信執(zhí)行環(huán)境中，只包含模塊二中直接運(yùn)行在硬件環(huán)境上的可信應(yīng)用。該架構(gòu)面向功能簡(jiǎn)單、處理能力較弱的應(yīng)用場(chǎng)景。b)標(biāo)準(zhǔn)架構(gòu)，標(biāo)準(zhǔn)架構(gòu)指由模塊一組成的可信執(zhí)行環(huán)境?？缙脚_(tái)應(yīng)用中間件為可選項(xiàng)。c)虛擬化架構(gòu)，虛擬化架構(gòu)包含模塊一、模塊二和模塊三共3個(gè)模塊。該架構(gòu)用于在同一設(shè)備上支持多個(gè)包含模塊一與模塊二中所描述的系統(tǒng)。虛擬化架構(gòu)通過(guò)可信虛擬化系統(tǒng)為上層提供創(chuàng)建和管理一個(gè)或多個(gè)客戶虛擬機(jī)的能力?？蛻籼摂M機(jī)可以同時(shí)運(yùn)行一個(gè)或多個(gè)模塊一與模塊二中所描述的系統(tǒng)?？尚艌?zhí)行環(huán)境與富執(zhí)行環(huán)境間的通信通過(guò)安全代理完成。富執(zhí)行環(huán)境中的客戶端應(yīng)用通過(guò)安全代4理與可信執(zhí)行環(huán)境進(jìn)行通信，具體要求見(jiàn)第12章相關(guān)描述。6基礎(chǔ)要求6.1硬件要求6.1.1硬件基本要求可信執(zhí)行環(huán)境系統(tǒng)架構(gòu)應(yīng)基于硬件級(jí)隔離機(jī)制實(shí)現(xiàn)，應(yīng)保證所隔離的可信執(zhí)行環(huán)境的資源不被富執(zhí)行環(huán)境訪問(wèn)，具體需要隔離的資源包括但不限于：CPU、內(nèi)存、時(shí)鐘源、密碼單元、調(diào)試單元等?？尚艌?zhí)行環(huán)境硬件參考架構(gòu)見(jiàn)附錄A?？尚艜r(shí)鐘源是可信執(zhí)行環(huán)境系統(tǒng)中使用的看門狗計(jì)時(shí)器和可信執(zhí)行環(huán)境調(diào)度計(jì)時(shí)器的硬件基礎(chǔ)?？尚艜r(shí)鐘源應(yīng)在設(shè)備加電啟動(dòng)后立即運(yùn)行，且不能被禁用、關(guān)閉、篡改等，避免因外部干擾等原因?qū)е驴尚艌?zhí)行環(huán)境系統(tǒng)內(nèi)的編程狀態(tài)被破壞?？尚烹S機(jī)源為可信執(zhí)行環(huán)境中各類加解密算法提供隨機(jī)源，隨機(jī)源所涉及的隨機(jī)數(shù)發(fā)生器，應(yīng)采用滿足相關(guān)密碼學(xué)要求的真隨機(jī)數(shù)硬件發(fā)生器，該隨機(jī)數(shù)發(fā)生器應(yīng)被設(shè)置成只能通過(guò)可信執(zhí)行環(huán)境訪問(wèn)?？尚耪{(diào)試單元負(fù)責(zé)整個(gè)設(shè)備的調(diào)試功能，其硬件基礎(chǔ)應(yīng)滿足以下要求：a)可信調(diào)試單元硬件子系統(tǒng)應(yīng)保證所有侵入式調(diào)試機(jī)制能夠被禁用；b)可信調(diào)試單元硬件子系統(tǒng)應(yīng)保證所有調(diào)試機(jī)制(包括非侵入式和侵入式)可以被設(shè)定為只有可信執(zhí)行環(huán)境才能夠使用；c)可信調(diào)試硬件單元子系統(tǒng)應(yīng)保證所有調(diào)試機(jī)制(包括非侵入式和侵入式)可以被富執(zhí)行環(huán)境使用；當(dāng)可信調(diào)試硬件單元子系統(tǒng)被設(shè)定為富執(zhí)行環(huán)境和可信執(zhí)行環(huán)境都能夠訪問(wèn)時(shí)，調(diào)試子系統(tǒng)不允許訪問(wèn)或修改可信執(zhí)行環(huán)境中的任何寄存器與存儲(chǔ)器；d)可信調(diào)試硬件單元子系統(tǒng)的寄存器使用過(guò)程中應(yīng)保證持續(xù)供電，或者能夠保證寄存器在系統(tǒng)斷電前被完整地保存并在系統(tǒng)恢復(fù)供電時(shí)完整恢復(fù)?？尚磐庠O(shè)指對(duì)驅(qū)動(dòng)控制與數(shù)據(jù)采集有一定安全或隱私要求的一類外設(shè)。在使用可信外設(shè)前，系統(tǒng)應(yīng)被切換到可信執(zhí)行環(huán)境內(nèi)，以阻止任何停留在富執(zhí)行環(huán)境的惡意代碼監(jiān)控和記錄數(shù)據(jù)的輸入。對(duì)于采集與處理過(guò)程不能夠完全由可信執(zhí)行環(huán)境控制的外設(shè)，宜采用以下兩種方式進(jìn)行處理：a)加密傳輸方式，即在可信外設(shè)和可信執(zhí)行環(huán)境之間建立加密通道，保證數(shù)據(jù)在傳輸過(guò)程中的機(jī)b)監(jiān)控方式，通過(guò)可信執(zhí)行環(huán)境對(duì)富執(zhí)行環(huán)境及整個(gè)設(shè)備的安全狀態(tài)進(jìn)行嚴(yán)格檢測(cè)和監(jiān)測(cè)，及時(shí)控制風(fēng)險(xiǎn)。6.2可信根可信根為可信執(zhí)行環(huán)境建立及運(yùn)行提供支撐，可以是硬件、代碼和數(shù)據(jù)?？尚鸥鶓?yīng)具備以下安全要求：5a)應(yīng)具備機(jī)密性、完整性、真實(shí)性三個(gè)基本安全特性，能夠?yàn)榭尚艌?zhí)行環(huán)境系統(tǒng)的安全鑒證、安全度量和安全存儲(chǔ)提供支持；b)應(yīng)提供訪問(wèn)控制機(jī)制，保證未經(jīng)授權(quán)的用戶不能訪問(wèn)和篡改可信根的數(shù)據(jù)和代碼。6.3安全啟動(dòng)要求安全啟動(dòng)是通過(guò)安全機(jī)制來(lái)驗(yàn)證可信執(zhí)行環(huán)境系統(tǒng)啟動(dòng)過(guò)程中每一個(gè)階段軟件代碼的完整性和真實(shí)性，防止非授權(quán)或被惡意篡改的代碼被執(zhí)行。安全啟動(dòng)過(guò)程構(gòu)建了一個(gè)信任鏈，整個(gè)過(guò)程始于一個(gè)可信根，其他組件或代碼需通過(guò)完整性和真實(shí)性驗(yàn)證才能被執(zhí)行。安全啟動(dòng)過(guò)程應(yīng)保證可信執(zhí)行環(huán)境系統(tǒng)的完整性和真實(shí)性。安全啟動(dòng)應(yīng)滿足如下要求：a)應(yīng)保證用于驗(yàn)證完整性和真實(shí)性的密碼算法本身的魯棒性；b)應(yīng)保證可信根不可被替換或篡改；c)應(yīng)保證用于代碼完整性和真實(shí)性驗(yàn)證的密鑰不可被非授權(quán)替換或篡改，并提供安全的密鑰更d)應(yīng)保證安全啟動(dòng)信任鏈按序逐級(jí)驗(yàn)證，不可被惡意繞過(guò)；e)宜提供代碼防回滾功能。7可信虛擬化系統(tǒng)可信虛擬化系統(tǒng)應(yīng)具備以下能力：a)創(chuàng)建、刪除等動(dòng)態(tài)管理可信執(zhí)行環(huán)境內(nèi)虛擬機(jī)的能力；b)管理可信執(zhí)行環(huán)境中虛擬機(jī)內(nèi)部CPU、內(nèi)存、中斷、外設(shè)等硬件資源的能力；c)可信執(zhí)行環(huán)境內(nèi)虛擬機(jī)之間應(yīng)具備互相通信和數(shù)據(jù)交換的能力。可信虛擬化系統(tǒng)應(yīng)具備如下安全要求：a)應(yīng)保證可信執(zhí)行環(huán)境內(nèi)各虛擬機(jī)僅根據(jù)其所分配的權(quán)限訪問(wèn)相應(yīng)的資源，不能越權(quán)訪問(wèn)；b)應(yīng)保證可信執(zhí)行環(huán)境系統(tǒng)自身及內(nèi)部虛擬機(jī)加載和運(yùn)行過(guò)程的正確性與完整性；c)應(yīng)保證可信執(zhí)行環(huán)境系統(tǒng)自身及內(nèi)部虛擬機(jī)數(shù)據(jù)與代碼的真實(shí)性和完整性；d)可信執(zhí)行環(huán)境內(nèi)虛擬機(jī)之間的通信應(yīng)具備一定的訪問(wèn)控制策略?？尚盘摂M化系統(tǒng)應(yīng)避免賦予內(nèi)部虛擬機(jī)最高等級(jí)權(quán)限，單一虛擬機(jī)出現(xiàn)崩潰或安全隱患時(shí)，不應(yīng)影響到可信執(zhí)行環(huán)境系統(tǒng)自身及內(nèi)部其他虛擬機(jī)的正常工作。8可信操作系統(tǒng)可信操作系統(tǒng)應(yīng)具備常規(guī)操作系統(tǒng)中的進(jìn)程管理、內(nèi)存管理、設(shè)備管理、文件管理等基本系統(tǒng)功能?？尚挪僮飨到y(tǒng)要求在訪問(wèn)控制、身份鑒別、數(shù)據(jù)完整性、可信路徑等方面滿足相應(yīng)的安全技術(shù)要求。包括：a)應(yīng)保證可信應(yīng)用及可信服務(wù)僅根據(jù)其所分配的權(quán)限訪問(wèn)相應(yīng)的資源，不能越權(quán)訪問(wèn)；b)應(yīng)保證系統(tǒng)自身、可信服務(wù)與應(yīng)用啟動(dòng)的正確性與完整性；c)應(yīng)保證系統(tǒng)自身、可信服務(wù)與應(yīng)用數(shù)據(jù)和代碼的真實(shí)性和完整性；d)應(yīng)具備可信應(yīng)用之間、可信應(yīng)用與可信服務(wù)之間的訪問(wèn)控制能力；e)對(duì)于系統(tǒng)權(quán)限的管理，應(yīng)避免賦予可信服務(wù)與應(yīng)用最高權(quán)限，避免單一可信應(yīng)用與服務(wù)出現(xiàn)異常時(shí)，影響系統(tǒng)內(nèi)核及其他可信應(yīng)用與服務(wù)的正常工作。69可信應(yīng)用與服務(wù)管理9.1基本描述可信應(yīng)用與服務(wù)管理負(fù)責(zé)可信執(zhí)行環(huán)境下可信應(yīng)用與可信服務(wù)的安裝、更新、刪除及其安全屬性配置管理等?？尚艌?zhí)行環(huán)境中的可信應(yīng)用與服務(wù)，可采用本地方式管理，也可通過(guò)TAM后臺(tái)進(jìn)行遠(yuǎn)程管理，其所遵循的安全要求應(yīng)保持一致。9.2技術(shù)架構(gòu)可信應(yīng)用與服務(wù)的發(fā)布過(guò)程見(jiàn)圖2,設(shè)備提供商(或授權(quán)服務(wù)商)是可信執(zhí)行環(huán)境系統(tǒng)擁有方，負(fù)責(zé)設(shè)備提供商(或授權(quán)服務(wù)商)根證書的管理、應(yīng)用發(fā)布證書的簽發(fā)；可信應(yīng)用提供商負(fù)責(zé)可信應(yīng)用的開發(fā)，并經(jīng)過(guò)應(yīng)用發(fā)布證書對(duì)應(yīng)的私鑰簽名后，將帶簽名的TA提交可信應(yīng)用運(yùn)營(yíng)商進(jìn)行發(fā)布；可信操作系統(tǒng)對(duì)收到的帶簽名的TA,采用設(shè)備提供商(或授權(quán)服務(wù)商)根證書及該TA對(duì)應(yīng)的應(yīng)用發(fā)布證書，對(duì)TA進(jìn)行簽名驗(yàn)證，如簽名驗(yàn)證通過(guò)則執(zhí)行后續(xù)的安裝/更新。設(shè)備提供商設(shè)備提供商(或授權(quán)服務(wù)商)驗(yàn)證TA發(fā)布TA可信操作系統(tǒng)設(shè)備提供商(或投權(quán)服務(wù)商)根證書簽發(fā)應(yīng)用可信應(yīng)用運(yùn)背商可信應(yīng)用提供商圖2可信應(yīng)用與服務(wù)管理架構(gòu)對(duì)可信應(yīng)用及服務(wù)的管理，采用基于設(shè)備提供商(或授權(quán)服務(wù)商)根證書、應(yīng)用發(fā)布證書認(rèn)證的方式進(jìn)行，以確保應(yīng)用數(shù)據(jù)的機(jī)密性、完整性、真實(shí)性和行為的不可否認(rèn)性。9.2.3可信應(yīng)用及服務(wù)部署當(dāng)采用互信通道將TA部署到可信執(zhí)行環(huán)境中時(shí)，可信執(zhí)行環(huán)境首先要校驗(yàn)TA的真實(shí)性和完整性，并根據(jù)不同TA提供商所擁有的權(quán)限，對(duì)相應(yīng)TA對(duì)應(yīng)的相關(guān)資源和通信訪問(wèn)進(jìn)行嚴(yán)格控制。10可信服務(wù)10.1可信時(shí)間服務(wù)可信執(zhí)行環(huán)境系統(tǒng)應(yīng)集成可信時(shí)間服務(wù)，為可信應(yīng)用及其他可信服務(wù)提供獲取可信時(shí)間的功能?？尚艜r(shí)間分為系統(tǒng)時(shí)間與可信應(yīng)用的持久化時(shí)間。系統(tǒng)時(shí)間具有任意的非持久性的起點(diǎn)，系統(tǒng)時(shí)間可以基于專用的安全硬件實(shí)現(xiàn)，也可以基于TEE時(shí)間實(shí)現(xiàn)，不同的可信應(yīng)用實(shí)例可以擁有不同的系統(tǒng)時(shí)間。在整個(gè)可信應(yīng)用實(shí)例生命周期中，系統(tǒng)時(shí)間不可以重置或回滾，不會(huì)因進(jìn)入低功耗狀態(tài)而影響系統(tǒng)時(shí)間的正常運(yùn)轉(zhuǎn)；可信應(yīng)用的持久化時(shí)間起點(diǎn)因每個(gè)可信應(yīng)用的不同而不同，但應(yīng)在重啟過(guò)程中保持持久化。710.2可信加解密服務(wù)可信執(zhí)行環(huán)境系統(tǒng)應(yīng)集成可信加解密服務(wù)，為可信應(yīng)用以及其他可信服務(wù)提供加解密功能?？尚偶咏饷芊?wù)應(yīng)保證僅獲得相應(yīng)授權(quán)的可信應(yīng)用或可信服務(wù)才可以訪問(wèn)密鑰?？尚艌?zhí)行環(huán)境系統(tǒng)應(yīng)集成可信存儲(chǔ)服務(wù)，為可信應(yīng)用及其他可信服務(wù)提供可信存儲(chǔ)功能?？尚糯鎯?chǔ)服務(wù)包括但不限于如下功能：a)對(duì)存儲(chǔ)對(duì)象的讀寫操作要求確保操作的原子性、數(shù)據(jù)的機(jī)密性、數(shù)據(jù)的完整性；b)可信存儲(chǔ)應(yīng)具備訪問(wèn)控制機(jī)制，確保只有授權(quán)的應(yīng)用才能訪問(wèn)相應(yīng)的存儲(chǔ)空間；c)可信存儲(chǔ)宜提供對(duì)數(shù)據(jù)回滾攻擊的防御措施。10.4可信身份鑒別服務(wù)可信執(zhí)行環(huán)境系統(tǒng)可集成可信身份鑒別服務(wù)，為可信執(zhí)行環(huán)境中的可信應(yīng)用或其他可信服務(wù)提供身份鑒別功能?？尚派矸蓁b別服務(wù)通過(guò)識(shí)別用戶的個(gè)人身份數(shù)字特征信息來(lái)識(shí)別用戶身份的合法性、是否有操作相關(guān)功能的權(quán)利等?？尚派矸蓁b別服務(wù)可以采用但不限于下列身份鑒別方式完成用戶合法性的判斷：口令、指紋、人臉。可信身份鑒別服務(wù)宜基于可信存儲(chǔ)服務(wù)、可信人機(jī)交互、可信加解密服務(wù)等其他可信服務(wù)的協(xié)同操作來(lái)完成。10.5可信設(shè)備鑒證服務(wù)可信執(zhí)行環(huán)境系統(tǒng)可集成可信設(shè)備鑒證服務(wù)，用于證明設(shè)備真實(shí)性?？尚旁O(shè)備鑒證服務(wù)可以對(duì)外提供但不限于如下種類的功能：a)證明設(shè)備標(biāo)識(shí)的真實(shí)性及設(shè)備來(lái)源的真實(shí)性；b)監(jiān)測(cè)可信執(zhí)行環(huán)境運(yùn)行的健康狀態(tài)；c)監(jiān)測(cè)富執(zhí)行環(huán)境運(yùn)行的健康狀態(tài)。10.6可信人機(jī)交互服務(wù)可信執(zhí)行環(huán)境系統(tǒng)可集成可信人機(jī)交互服務(wù)，提供可信執(zhí)行環(huán)境下的用戶人機(jī)交互界面顯示和輸入功能，在用戶和應(yīng)用程序之間提供可信通道，具備抵御非法屏幕輸入記錄、非法屏幕顯示內(nèi)容截取、釣魚等攻擊的防護(hù)能力?？尚艌?zhí)行環(huán)境系統(tǒng)可集成SE管理服務(wù)，用于提供可信應(yīng)用與SE之間的訪問(wèn)通道的功能，以滿足更高安全應(yīng)用場(chǎng)景的需求。SE管理服務(wù)應(yīng)具備訪問(wèn)控制機(jī)制以確保僅經(jīng)過(guò)授權(quán)的可信應(yīng)用可以訪問(wèn)SE?？尚艌?zhí)行環(huán)境對(duì)SE管理架構(gòu)見(jiàn)圖3。8GB/T41388—2022可信執(zhí)行環(huán)境可信執(zhí)行環(huán)境可信應(yīng)用可信操作系統(tǒng)圖3SE管理架構(gòu)圖11跨平臺(tái)應(yīng)用中間件跨平臺(tái)應(yīng)用中間件主要用于解決不同可信執(zhí)行環(huán)境系統(tǒng)之間的應(yīng)用兼容性問(wèn)題，具體包括四個(gè)功能模塊：a)跨平臺(tái)支持庫(kù)，用于彌補(bǔ)不同可信執(zhí)行環(huán)境系統(tǒng)本地支持庫(kù)的差異；b)安全驅(qū)動(dòng)框架，針對(duì)NFC、攝像頭、指紋等安全外設(shè)，建立統(tǒng)一驅(qū)動(dòng)框架；c)跨平臺(tái)編程語(yǔ)言，為解決不同可信執(zhí)行環(huán)境系統(tǒng)對(duì)TA支持的兼容性問(wèn)題，建立符合相應(yīng)安全要求的跨平臺(tái)編程語(yǔ)言；d)跨平臺(tái)API,支持不同平臺(tái)對(duì)跨平臺(tái)中間件調(diào)用的應(yīng)用編程接口?？缙脚_(tái)應(yīng)用中間件整體框架見(jiàn)圖4?？尚艌?zhí)行環(huán)境可信執(zhí)行環(huán)境可信應(yīng)用可信應(yīng)用可信應(yīng)用跨平臺(tái)中間件跨平臺(tái)AP[跨平臺(tái)編程語(yǔ)言安全驅(qū)動(dòng)框架跨平臺(tái)支持庫(kù)可信操作系統(tǒng)可信操作系統(tǒng)可信操作系統(tǒng)圖4跨平臺(tái)應(yīng)用中間件架構(gòu)圖912可信應(yīng)用12.1可信應(yīng)用基本架構(gòu)可信應(yīng)用為可信執(zhí)行環(huán)境下的應(yīng)用程序，通過(guò)可信應(yīng)用與服務(wù)管理系統(tǒng)進(jìn)行管理，客戶端應(yīng)用與可信應(yīng)用之間通信，以及不同可信應(yīng)用之間的通信，均應(yīng)具備訪問(wèn)控制能力?？尚艖?yīng)用通信的基本框架見(jiàn)圖5,客戶端應(yīng)用通過(guò)安全代理通過(guò)富執(zhí)行環(huán)境與可信執(zhí)行環(huán)境之間的通信通道，與可信應(yīng)用實(shí)現(xiàn)數(shù)據(jù)交換。在可信執(zhí)行環(huán)境內(nèi)部，可信應(yīng)用與可信應(yīng)用之間根據(jù)需要可通過(guò)內(nèi)部通信通道進(jìn)行數(shù)據(jù)交換。可信應(yīng)用的具體應(yīng)用場(chǎng)景，見(jiàn)附錄B。富執(zhí)行環(huán)境富執(zhí)行環(huán)境可信執(zhí)行環(huán)境可信應(yīng)用客戶端應(yīng)用通信服務(wù)可信操作系統(tǒng)通信通道應(yīng)用硬件附離安全代理圖5可信應(yīng)用通信框架12.2可信應(yīng)用加載的安全要求可信執(zhí)行環(huán)境應(yīng)具備對(duì)可信應(yīng)用驗(yàn)證的能力，以達(dá)到保護(hù)可信應(yīng)用內(nèi)容、驗(yàn)證可信應(yīng)用的合法性的12.3客戶端應(yīng)用與可信應(yīng)用通信的安全要求可信執(zhí)行環(huán)境應(yīng)具備訪問(wèn)控制能力，確保只有授權(quán)的客戶端應(yīng)用才能訪問(wèn)對(duì)應(yīng)的可信應(yīng)用。12.4可信應(yīng)用與可信應(yīng)用通信的安全要求可信執(zhí)行環(huán)境應(yīng)具備某種訪問(wèn)控制機(jī)制，使得僅被授權(quán)的可信應(yīng)用可以與目標(biāo)可信應(yīng)用進(jìn)行通信。可信應(yīng)用之間的通信，宜保證通信本身的機(jī)密性、完整性，除被授權(quán)的可信應(yīng)用外，其他可信應(yīng)用無(wú)法獲取通信本身的信息。13測(cè)試評(píng)價(jià)方法硬件基本要求的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信執(zhí)行環(huán)境系統(tǒng)的硬件架構(gòu)設(shè)計(jì)；2)嘗試在富執(zhí)行環(huán)境訪問(wèn)可信執(zhí)行環(huán)境所隔離資源，包括但不限于：CPU、內(nèi)存、時(shí)鐘源、密b)預(yù)期結(jié)果：1)可信執(zhí)行環(huán)境系統(tǒng)架構(gòu)基于硬件級(jí)隔離機(jī)制實(shí)現(xiàn)，保證所隔離的可信執(zhí)行環(huán)境的資源不被富執(zhí)行環(huán)境訪問(wèn)；2)可信執(zhí)行環(huán)境隔離的資源包括但不限于：CPU、內(nèi)存、時(shí)鐘源、密碼單元、調(diào)試單元等。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合?？尚艜r(shí)鐘源的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信執(zhí)行環(huán)境的可信時(shí)鐘源設(shè)計(jì)；2)檢查設(shè)備啟動(dòng)過(guò)程中對(duì)可信時(shí)鐘源的配置；3)在設(shè)備運(yùn)行時(shí)，嘗試禁用、關(guān)閉、篡改可信時(shí)鐘源。b)預(yù)期結(jié)果：1)可信時(shí)鐘源在設(shè)備加電啟動(dòng)后立即運(yùn)行，且不能被禁用、關(guān)閉、篡改等；2)可信執(zhí)行環(huán)境具備防止因外部干擾等原因?qū)е驴尚艌?zhí)行環(huán)境系統(tǒng)內(nèi)的編程狀態(tài)被破壞的保護(hù)措施。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合?？尚烹S機(jī)源的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信執(zhí)行環(huán)境的可信隨機(jī)源設(shè)計(jì)，其所涉及的隨機(jī)數(shù)發(fā)生器，是否采用滿足相關(guān)密碼學(xué)要求的真隨機(jī)數(shù)硬件發(fā)生器；2)嘗試在可信執(zhí)行環(huán)境之外訪問(wèn)隨機(jī)數(shù)發(fā)生器。b)預(yù)期結(jié)果：1)可信執(zhí)行環(huán)境的可信隨機(jī)源所涉及的隨機(jī)數(shù)發(fā)生器，采用滿足相關(guān)密碼學(xué)要求的真隨機(jī)數(shù)硬件發(fā)生器；2)隨機(jī)數(shù)發(fā)生器被設(shè)置成只能通過(guò)可信執(zhí)行環(huán)境訪問(wèn)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。13.1.1.4可信調(diào)試單元可信調(diào)試單元的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信執(zhí)行環(huán)境的可信調(diào)試單元設(shè)計(jì)；2)嘗試通過(guò)侵入式調(diào)試機(jī)制使用可信調(diào)試單元；3)設(shè)置可信調(diào)試單元的所有調(diào)試機(jī)制(包括非侵入式和侵入式)僅被可信執(zhí)行環(huán)境使用，嘗試在可信執(zhí)行環(huán)境之外使用調(diào)試機(jī)制；4)設(shè)置可信調(diào)試單元的所有調(diào)試機(jī)制(包括非侵入式和侵入式)可被富執(zhí)行環(huán)境和可信執(zhí)行環(huán)境使用，嘗試通過(guò)調(diào)試機(jī)制訪問(wèn)或修改可信執(zhí)行環(huán)境中的寄存器與存儲(chǔ)器；5)設(shè)置可信調(diào)試單元硬件子系統(tǒng)的寄存器后，嘗試執(zhí)行系統(tǒng)斷電，上電后，重新讀取相應(yīng)寄存器，并與斷電前的寄存器值進(jìn)行比較。b)預(yù)期結(jié)果：1)可信調(diào)試單元硬件子系統(tǒng)保證所有侵入式調(diào)試機(jī)制能夠被禁用；2)可信調(diào)試單元硬件子系統(tǒng)保證所有調(diào)試機(jī)制(包括非侵入式和侵入式)可以被設(shè)定為只有可信執(zhí)行環(huán)境才能夠使用；3)可信調(diào)試單元硬件子系統(tǒng)保證所有調(diào)試機(jī)制(包括非侵入式和侵入式)可以被富執(zhí)行環(huán)境使用；當(dāng)可信調(diào)試硬件子系統(tǒng)被設(shè)定為富執(zhí)行環(huán)境和可信執(zhí)行環(huán)境都能夠訪問(wèn)時(shí)，調(diào)試子系統(tǒng)不允許訪問(wèn)或修改可信執(zhí)行環(huán)境中的任何寄存器與存儲(chǔ)器；4)可信調(diào)試單元硬件子系統(tǒng)的寄存器使用過(guò)程中保證持續(xù)供電，或者能夠保證寄存器在系統(tǒng)斷電前被完整地保存并在系統(tǒng)恢復(fù)供電時(shí)完整恢復(fù)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。可信外設(shè)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信執(zhí)行環(huán)境的可信外設(shè)設(shè)計(jì)；2)在可信執(zhí)行環(huán)境使用可信外設(shè)時(shí)，嘗試通過(guò)富執(zhí)行環(huán)境監(jiān)控和記錄可信外設(shè)的交互數(shù)據(jù)；3)對(duì)于采集與處理過(guò)程不能夠完全由可信執(zhí)行環(huán)境控制的外設(shè)，檢查可信外設(shè)和可信執(zhí)行環(huán)境之間的數(shù)據(jù)傳輸保護(hù)機(jī)制，驗(yàn)證可信執(zhí)行環(huán)境是否具備對(duì)富執(zhí)行環(huán)境及整個(gè)設(shè)備的安全狀態(tài)的監(jiān)測(cè)和響應(yīng)機(jī)制。b)預(yù)期結(jié)果：1)在使用可信外設(shè)前，系統(tǒng)被切換到可信執(zhí)行環(huán)境內(nèi)，以阻止任何停留在富執(zhí)行環(huán)境的惡意代碼監(jiān)控和記錄數(shù)據(jù)的輸入。2)對(duì)于采集與處理過(guò)程不能夠完全由可信執(zhí)行環(huán)境控制的外設(shè)，在可信外設(shè)和可信執(zhí)行環(huán)境之間加密傳輸數(shù)據(jù)，且可信執(zhí)行環(huán)境具備對(duì)富執(zhí)行環(huán)境及整個(gè)設(shè)備的安全狀態(tài)的監(jiān)測(cè)和響應(yīng)機(jī)制。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。可信根的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信執(zhí)行環(huán)境的可信根設(shè)計(jì)；2)檢查可信執(zhí)行環(huán)境系統(tǒng)的安全鑒證、安全度量和安全存儲(chǔ)過(guò)程，驗(yàn)證可信根是否提供了機(jī)3)嘗試使用未經(jīng)授權(quán)的用戶訪問(wèn)和篡改可信根的數(shù)據(jù)和代碼，驗(yàn)證訪問(wèn)控制機(jī)制是否有效。b)預(yù)期結(jié)果：1)可信根具備機(jī)密性、完整性、真實(shí)性三個(gè)基本安全特性，為可信執(zhí)行環(huán)境系統(tǒng)的安全鑒證、安全度量和安全存儲(chǔ)提供支持；2)可信根具備訪問(wèn)控制機(jī)制，保證未經(jīng)授權(quán)的用戶不能訪問(wèn)和篡改可信根的數(shù)據(jù)和代碼。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。安全啟動(dòng)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信執(zhí)行環(huán)境系統(tǒng)的安全啟動(dòng)過(guò)程；2)檢查安全啟動(dòng)過(guò)程用于完整性和真實(shí)性驗(yàn)證的密碼算法不存在已公開脆弱性；3)嘗試替換或篡改可信根，驗(yàn)證安全啟動(dòng)是否正常執(zhí)行；4)檢查用于完整性和真實(shí)性驗(yàn)證密鑰的更新和撤銷機(jī)制，嘗試非授權(quán)替換或篡改相應(yīng)密鑰，驗(yàn)證安全啟動(dòng)是否正常執(zhí)行；5)嘗試?yán)@過(guò)安全啟動(dòng)信任鏈的逐級(jí)驗(yàn)證過(guò)程。b)預(yù)期結(jié)果：1)安全啟動(dòng)過(guò)程保證可信執(zhí)行環(huán)境系統(tǒng)的完整性和真實(shí)性，防止非授權(quán)或被惡意篡改的代碼被執(zhí)行；2)安全啟動(dòng)過(guò)程保證用于完整性和真實(shí)性驗(yàn)證的密碼算法本身的魯棒性；3)安全啟動(dòng)過(guò)程保證可信根不可被替換或篡改；4)安全啟動(dòng)過(guò)程保證用于進(jìn)行代碼完整性和真實(shí)性驗(yàn)證的密鑰不可被非授權(quán)替換或篡改，并提供安全的密鑰更新、撤銷功能；5)安全啟動(dòng)信任鏈按序逐級(jí)驗(yàn)證，不可被惡意繞過(guò)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。13.2可信虛擬化系統(tǒng)可信虛擬化系統(tǒng)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信虛擬化系統(tǒng)的設(shè)計(jì)；2)在可信執(zhí)行環(huán)境內(nèi)動(dòng)態(tài)創(chuàng)建和刪除虛擬機(jī)，并嘗試管理虛擬機(jī)內(nèi)部CPU,內(nèi)存，中斷，外設(shè)等硬件資源；3)在可信執(zhí)行環(huán)境內(nèi)創(chuàng)建多個(gè)虛擬機(jī)，驗(yàn)證虛擬機(jī)之間是否支持互相通信及進(jìn)行數(shù)據(jù)交換，檢查虛擬機(jī)之間通信的訪問(wèn)控制策略，根據(jù)策略內(nèi)容分別訪問(wèn)策略所允許訪問(wèn)和不允許訪問(wèn)的虛擬機(jī)，驗(yàn)證策略是否有效；4)在可信執(zhí)行環(huán)境內(nèi)創(chuàng)建多個(gè)虛擬機(jī)，嘗試越權(quán)訪問(wèn)其他虛擬機(jī)的資源；5)檢查可信執(zhí)行環(huán)境內(nèi)部虛擬機(jī)的加載和運(yùn)行過(guò)程，嘗試篡改相應(yīng)數(shù)據(jù)和代碼；6)檢查可信虛擬化系統(tǒng)內(nèi)部虛擬機(jī)的等級(jí)權(quán)限設(shè)置，驗(yàn)證是否賦予虛擬機(jī)最高等級(jí)權(quán)限。b)預(yù)期結(jié)果：1)可信虛擬化系統(tǒng)具備創(chuàng)建、刪除等動(dòng)態(tài)管理虛擬機(jī)的能力，以及管理虛擬機(jī)的CPU,內(nèi)2)可信執(zhí)行環(huán)境內(nèi)虛擬機(jī)之間具備互相通信及進(jìn)行數(shù)據(jù)交換的能力，且虛擬機(jī)之間通信具備訪問(wèn)控制能力；3)可信執(zhí)行環(huán)境內(nèi)虛擬機(jī)僅根據(jù)其所分配的權(quán)限訪問(wèn)相應(yīng)的資源，不能越權(quán)訪問(wèn)；4)可信虛擬化系統(tǒng)保證虛擬機(jī)加載和運(yùn)行過(guò)程的正確性與完整性，以及保證虛擬機(jī)數(shù)據(jù)與代碼的真實(shí)性和完整性；5)可信虛擬化系統(tǒng)未賦予內(nèi)部虛擬機(jī)最高等級(jí)權(quán)限，單一虛擬機(jī)出現(xiàn)崩潰或安全隱患時(shí)，不會(huì)影響到可信執(zhí)行環(huán)境系統(tǒng)自身及內(nèi)部其他虛擬機(jī)的正常工作。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。13.3可信操作系統(tǒng)可信操作系統(tǒng)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信操作系統(tǒng)的設(shè)計(jì)；2)檢查可信操作系統(tǒng)的訪問(wèn)控制策略，嘗試使用可信應(yīng)用及可信服務(wù)分別訪問(wèn)策略所允許和不允許訪問(wèn)的資源，驗(yàn)證策略是否有效；3)檢查可信操作系統(tǒng)自身、可信服務(wù)與應(yīng)用啟動(dòng)過(guò)程，嘗試篡改啟動(dòng)代碼和繞過(guò)完整性校驗(yàn)過(guò)程；4)檢查可信操作系統(tǒng)自身、可信服務(wù)與應(yīng)用數(shù)據(jù)和代碼的真實(shí)性和完整性保護(hù)機(jī)制，嘗試篡改相應(yīng)數(shù)據(jù)和代碼；5)檢查可信應(yīng)用之間、可信應(yīng)用與可信服務(wù)之間的訪問(wèn)控制策略，嘗試使用可信應(yīng)用及可信服務(wù)分別訪問(wèn)策略所允許和不允許訪問(wèn)的可信應(yīng)用和可信服務(wù)，驗(yàn)證策略是否有效；6)檢查可信操作系統(tǒng)內(nèi)部可信服務(wù)與可信應(yīng)用的權(quán)限設(shè)置，驗(yàn)證是否賦予可信服務(wù)與可信應(yīng)用最高權(quán)限。b)預(yù)期結(jié)果：1)可信操作系統(tǒng)具備常規(guī)操作系統(tǒng)中的進(jìn)程管理、內(nèi)存管理、設(shè)備管理、文件管理等基本系統(tǒng)功能；2)可信操作系統(tǒng)保證可信應(yīng)用及可信服務(wù)僅根據(jù)其所分配的權(quán)限訪問(wèn)相應(yīng)的資源，不能越權(quán)訪問(wèn)；3)可信操作系統(tǒng)保證系統(tǒng)自身、可信服務(wù)與應(yīng)用啟動(dòng)的正確性與完整性；4)可信操作系統(tǒng)保證系統(tǒng)自身、可信服務(wù)與應(yīng)用數(shù)據(jù)和代碼的真實(shí)性和完整性；5)可信應(yīng)用之間、可信應(yīng)用與可信服務(wù)之間具備訪問(wèn)控制能力；6)可信操作系統(tǒng)的系統(tǒng)權(quán)限管理不會(huì)賦予可信服務(wù)與應(yīng)用最高權(quán)限，單一可信應(yīng)用與服務(wù)出現(xiàn)崩潰或安全問(wèn)題時(shí)不會(huì)影響系統(tǒng)內(nèi)核及其他可信應(yīng)用與服務(wù)的正常工作。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。13.4可信應(yīng)用與服務(wù)管理互信過(guò)程的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信應(yīng)用與服務(wù)的管理機(jī)制；2)執(zhí)行可信應(yīng)用與服務(wù)的管理操作，檢查操作過(guò)程中設(shè)備提供商(或授權(quán)服務(wù)商)、可信應(yīng)用提供商、可信應(yīng)用運(yùn)營(yíng)商的互信是否基于設(shè)備根證書、應(yīng)用發(fā)布證書進(jìn)行認(rèn)證。b)預(yù)期結(jié)果：可信應(yīng)用及服務(wù)的管理，采用基于設(shè)備根證書、應(yīng)用發(fā)布證書認(rèn)證的方式進(jìn)行，以確保應(yīng)用數(shù)據(jù)的機(jī)密性、完整性、真實(shí)性和行為的不可否認(rèn)性。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。13.4.2可信應(yīng)用及服務(wù)部署可信應(yīng)用及服務(wù)部署的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信應(yīng)用及服務(wù)部署過(guò)程；2)嘗試篡改設(shè)備提供商(或授權(quán)服務(wù)商)根證書、應(yīng)用發(fā)布證書，執(zhí)行可信應(yīng)用與服務(wù)的安裝3)檢查可信應(yīng)用及服務(wù)部署過(guò)程的訪問(wèn)控制策略，嘗試根據(jù)TA提供商所擁有的權(quán)限訪問(wèn)策略所允許和不允許的TA對(duì)應(yīng)的相關(guān)資源和通信，驗(yàn)證策略是否有效。b)預(yù)期結(jié)果：當(dāng)采用互信通道將TA部署到可信執(zhí)行環(huán)境中時(shí)，可信執(zhí)行環(huán)境系統(tǒng)首先校驗(yàn)TA的真實(shí)性和完整性，并根據(jù)不同TA提供商所擁有的權(quán)限，對(duì)相應(yīng)TA對(duì)應(yīng)的相關(guān)資源和通信訪問(wèn)進(jìn)行嚴(yán)格控制。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合?？尚艜r(shí)間服務(wù)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信時(shí)間服務(wù)的設(shè)計(jì)；2)在可信應(yīng)用實(shí)例生命周期中，在系統(tǒng)正常運(yùn)行狀態(tài)和低功耗狀態(tài)下，多次獲取系統(tǒng)時(shí)間并進(jìn)行比較；嘗試重置或回滾系統(tǒng)時(shí)間，驗(yàn)證操作是否成功；3)在可信應(yīng)用實(shí)例中，獲取持久化時(shí)間，使系統(tǒng)重啟，在相同可信應(yīng)用實(shí)例中再次獲取持久化時(shí)間。b)預(yù)期結(jié)果：1)在整個(gè)可信應(yīng)用實(shí)例生命周期中，系統(tǒng)時(shí)間不可以重置或回滾，且不會(huì)因進(jìn)入低功耗狀態(tài)而影響系統(tǒng)時(shí)間的正常運(yùn)轉(zhuǎn)；2)可信應(yīng)用的持久化時(shí)間在重啟過(guò)程中保持持久化。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合?？尚偶咏饷芊?wù)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信加解密服務(wù)的設(shè)計(jì)；2)使用可信應(yīng)用以及其他可信服務(wù)調(diào)用加解密功能；3)嘗試使用未授權(quán)可信應(yīng)用以及其他可信服務(wù)訪問(wèn)密鑰。b)預(yù)期結(jié)果：1)可信執(zhí)行環(huán)境系統(tǒng)集成可信加解密服務(wù)，為可信應(yīng)用以及其他可信服務(wù)提供加解密功能；2)可信加解密服務(wù)保證僅獲得相應(yīng)授權(quán)的可信應(yīng)用或可信服務(wù)才可以訪問(wèn)密鑰。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合?？尚糯鎯?chǔ)服務(wù)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信存儲(chǔ)服務(wù)的設(shè)計(jì)；2)使用可信應(yīng)用調(diào)用可信存儲(chǔ)功能多次存儲(chǔ)數(shù)據(jù)，驗(yàn)證存儲(chǔ)過(guò)程是否保證操作的原子性；3)嘗試使用可信應(yīng)用獲取或篡改其他可信應(yīng)用或可信服務(wù)的數(shù)據(jù)；4)檢查可信存儲(chǔ)的訪問(wèn)控制策略，根據(jù)策略使用可信應(yīng)用訪問(wèn)策略所允許和不允許的存儲(chǔ)空間，驗(yàn)證策略是否有效；5)嘗試對(duì)可信存儲(chǔ)的數(shù)據(jù)執(zhí)行回滾攻擊。b)預(yù)期結(jié)果：1)可信執(zhí)行環(huán)境系統(tǒng)集成可信存儲(chǔ)服務(wù)功能，為可信應(yīng)用及其他可信服務(wù)提供可信存儲(chǔ)功能；2)可信存儲(chǔ)服務(wù)對(duì)存儲(chǔ)對(duì)象的讀寫操作保證操作的原子性、數(shù)據(jù)的機(jī)密性、數(shù)據(jù)的完整性；3)可信存儲(chǔ)具備訪問(wèn)控制機(jī)制，確保只有授權(quán)的應(yīng)用才能訪問(wèn)相應(yīng)的存儲(chǔ)空間；4)可信存儲(chǔ)具備對(duì)數(shù)據(jù)回滾攻擊的防御措施。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合?？尚派矸蓁b別服務(wù)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信身份鑒別服務(wù)的設(shè)計(jì)；2)使用可信應(yīng)用調(diào)用可信身份鑒別功能，嘗試在可信執(zhí)行環(huán)境之外篡改鑒別數(shù)據(jù)或結(jié)果。b)預(yù)期結(jié)果：1)可信執(zhí)行環(huán)境系統(tǒng)集成可信身份鑒別服務(wù)功能，為可信執(zhí)行環(huán)境系統(tǒng)中的可信應(yīng)用或其他可信服務(wù)提供身份鑒別功能；2)可信身份鑒別服務(wù)基于可信存儲(chǔ)服務(wù)、可信人機(jī)交互、可信加解密服務(wù)等其他可信服務(wù)的協(xié)同操作來(lái)完成。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合?？尚旁O(shè)備鑒證服務(wù)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信設(shè)備鑒證服務(wù)的設(shè)計(jì)；2)嘗試偽造設(shè)備標(biāo)識(shí)和設(shè)備來(lái)源，使用可信應(yīng)用調(diào)用可信設(shè)備鑒證功能，驗(yàn)證調(diào)用結(jié)果是否能夠證明設(shè)備標(biāo)識(shí)的真實(shí)性及設(shè)備來(lái)源的真實(shí)性；3)改變可信執(zhí)行環(huán)境和富執(zhí)行環(huán)境的健康狀態(tài)，使用可信應(yīng)用調(diào)用可信設(shè)備鑒證功能，驗(yàn)證調(diào)用結(jié)果是否能夠體現(xiàn)健康狀態(tài)。b)預(yù)期結(jié)果：1)可信執(zhí)行環(huán)境系統(tǒng)集成可信設(shè)備鑒證服務(wù)功能，用于證明設(shè)備的真實(shí)性；2)可信設(shè)備鑒證服務(wù)能夠證明設(shè)備標(biāo)識(shí)的真實(shí)性及設(shè)備來(lái)源的真實(shí)性；3)可信設(shè)備鑒證服務(wù)能夠監(jiān)測(cè)可信執(zhí)行環(huán)境和富執(zhí)行環(huán)境運(yùn)行的健康狀態(tài)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合?？尚湃藱C(jī)交互服務(wù)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信人機(jī)交互服務(wù)的設(shè)計(jì)；2)使用可信應(yīng)用調(diào)用可信人機(jī)交互服務(wù)，嘗試在可信執(zhí)行環(huán)境之外執(zhí)行竊取屏幕輸入記錄、截取屏幕顯示內(nèi)容等攻擊。b)預(yù)期結(jié)果：1)可信執(zhí)行環(huán)境系統(tǒng)集成可信人機(jī)交互服務(wù)功能，提供可信執(zhí)行環(huán)境下的用戶人機(jī)交互界面顯示和輸入功能；2)可信人機(jī)交互服務(wù)在用戶和應(yīng)用程序之間提供可信通道，具備抵御非法屏幕輸入記錄、非法屏幕顯示內(nèi)容截取、釣魚等攻擊的防護(hù)能力。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。SE管理服務(wù)的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查SE管理服務(wù)的設(shè)計(jì)；2)檢查SE管理服務(wù)的訪問(wèn)控制策略，嘗試使用授權(quán)和未授權(quán)的可信應(yīng)用訪問(wèn)SE,驗(yàn)證策略是否有效。b)預(yù)期結(jié)果：1)可信執(zhí)行環(huán)境系統(tǒng)集成SE管理服務(wù)功能，用于提供可信應(yīng)用與SE之間的訪問(wèn)通道的功能；2)SE管理服務(wù)具備訪問(wèn)控制機(jī)制以確保僅經(jīng)過(guò)授權(quán)的可信應(yīng)用可以訪問(wèn)SE。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。13.6跨平臺(tái)應(yīng)用中間件跨平臺(tái)應(yīng)用中間件的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查跨平臺(tái)應(yīng)用中間件的設(shè)計(jì)；2)嘗試在不同可信執(zhí)行環(huán)境系統(tǒng)上安裝和使用同一可信應(yīng)用，調(diào)用相同接口和驅(qū)動(dòng)，驗(yàn)證可信應(yīng)用運(yùn)行是否正常。b)預(yù)期結(jié)果：1)可信執(zhí)行環(huán)境系統(tǒng)集成跨平臺(tái)應(yīng)用中間件，解決應(yīng)用兼容性問(wèn)題；2)跨平臺(tái)應(yīng)用中間件能夠提供跨平臺(tái)支持庫(kù)、安全外設(shè)的統(tǒng)一驅(qū)動(dòng)框架、跨平臺(tái)編程語(yǔ)言和跨平臺(tái)API等功能。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。13.7可信應(yīng)用可信應(yīng)用加載的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查可信應(yīng)用加載過(guò)程；2)嘗試篡改可信應(yīng)用安裝文件，執(zhí)行可信應(yīng)用安裝操作，驗(yàn)證可信執(zhí)行環(huán)境是否能夠驗(yàn)證可信應(yīng)用合法性。b)預(yù)期結(jié)果：可信執(zhí)行環(huán)境系統(tǒng)具備對(duì)可信應(yīng)用驗(yàn)證的能力。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。13.7.2客戶端應(yīng)用與可信應(yīng)用通信客戶端應(yīng)用與可信應(yīng)用通信的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)審查廠商提交的文檔，檢查客戶端應(yīng)用與可信應(yīng)用通信過(guò)程；2)檢查可信執(zhí)行環(huán)境的訪問(wèn)控制策略，根據(jù)策略使用已授權(quán)和未授權(quán)的客戶端應(yīng)用訪問(wèn)可信應(yīng)用，驗(yàn)證策略是否有效。b)預(yù)期結(jié)果：可信執(zhí)行環(huán)境具備訪問(wèn)控制能力，確保只有授權(quán)的客戶端應(yīng)用才能訪問(wèn)對(duì)應(yīng)的可信應(yīng)用。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。13.7.3可信應(yīng)用與可信應(yīng)用通信可信應(yīng)用與可信應(yīng)用通信的測(cè)試評(píng)價(jià)方法如下。a)測(cè)試方法：1)