ICS35.030 CCS L 80 中华人民共和国国家标准 GB/T42572—2023 信息安全技术 可信执行环境服务规范 Information security technologyTrusted execution environment service specification 2023-12-01实施 2023-05-23发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42572—2023 目 次 前言 III 1范围 规范性引用文件 2 3 术语和定义 缩略语 5 总体描述 5.1 概述 5.2 TEE服务类型 5.3 生命周期 6 TEE服务通用安全要求 6.1 技术框架 6.2 密钥管理 6.3 服务初始化 6.4 安全存储 6.5 访问控制 6.6 安全输入及输出 6.7 应用认证 6.8 通信要求 特定TEE服务安全要求 7 7.1 TEE人机交互服务安全要求 7.2 TEE二维码服务安全要求 7.3 TEE设备安全状态评价服务安全要求 7.4 TEE身份鉴别服务安全要求 11 7.5 TEE时间服务安全要求 7.6 TEE位置服务安全要求 7.7 TEE密码计算服务安全要求 12 TEE服务通用安全测试评价方法 8 12 密钥管理 8.1 12 8.2 服务初始化 8.3 安全存储· 15 8.4 访问控制 16 8.5 安全输入及输出 16 8.6 应用认证 16 GB/T 42572—2023 8.7 通信要求 17 9特定TEE服务安全测试评价方法 17 TEE人机交互服务 9.1 17 9.2 TEE二维码服务 19 9.3 TEE设备安全状态评价服务 9.4 TEE身份鉴别服务 22 TEE时间服务 9.5 23 9.6 TEE位置服务 24 TEE密码计算服务 24 9.7 附录A（资料性）TEE设备安全状态评价服务采集因子示例 26 附录B（资料性) 服务接口 27 附录C（资料性） TEE服务业务流程 44 Ⅱ GB/T42572—2023 前言 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。 本文件起草单位：中国银联股份有限公司、中国科学院大学、复旦大学、华为技术有限公司、北京银 联金卡科技有限公司、深圳华大北斗科技股份有限公司、中金金融认证中心有限公司、北京谦川科技有 限公司、上海摩联信息技术有限公司、北京小米移动软件有限公司、OPPO广东移动通信有限公司、 深圳市腾讯计算机系统有限公司、蚂蚁科技集团股份有限公司、郑州信大捷安信息技术股份有限公司、 恒宝股份有限公司、云从科技集团股份有限公司、北京创原天地科技有限公司、大唐高鸿信安（浙江）信 息科技有限公司、上海聚虹光电科技有限公司、同盾科技有限公司。 本文件主要起草人：柴洪峰、孙权、陈成钱、王跃武、吴杰、李晓伟、孙中亮、胡莹、邹奋、张友奖、周荃、 雷灵光、叶家炜、王鑫、池海章、王思善、鲁欣、孟庆洋、许刚、周博、张忠群、王磊、李根、蒋增增、林冠辰、 刘为华、赵李明、李军、肖青海、郑驰、李嘉扬、谭成。 Ⅲ GB/T42572—2023 信息安全技术 可信执行环境服务规范 1范围 本文件确立了可信执行环境服务的技术框架体系，并规定了相关安全技术要求及测试评价的方法。 本文件适用于可信执行环境服务的设计、开发、测试等，设备制造商、系统软件提供商、检测机构和 科研机构等可信执行环境服务参与方可参照使用。 2规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T17901.1一2020信息技术安全技术密钥管理第1部分：框架 GB/T25069—2022信息安全技术术语 GB/T41388一2022信息安全技术可信执行环境基本安全规范 3术语和定义 GB/T25069一2022和GB/T41388一2022界定的以及下列术语和定义适用于本文件。 3.1 可信执行环境 trustedexecutionenvironment 基于硬件级隔离及安全启动机制，为确保安全敏感应用相关数据和代码的机密性、完整性、真实性 和不可否认性目标构建的一种软件运行环境。 境访问的一种安全机制， ［来源：GB/T41388—2022,3.3］ 3.2 富执行环境 rich execution environment 为应用程序提供基础功能和计算资源的一种软件运行环境。 注：富执行环境是相对可信执行环境独立存在的运行环境。 ［来源：GB/T41388—2022,3.4] 3.3 可信执行环境服务trustedexecutionenvironmentservice 运行在可信执行环境下，为REE提供基础性、通用性、公共性功能的软件程序。 注：本文件中简称"TEE服务”。 3.4 TEE人机交互 trusted execution environment human-machine interaction 运行在可信执行环境下，提供信息交互界面的软件程序。 1 GB/T42572—2023 3.5 TEE设备安全状态评价trustedexecutionenvironmentdevicesecuritystateevaluation 提供当前设备的安全风险状态，给出设备安全状态报告（3.6）。 3.6 设备安全状态报告devicesecuritystatereport 具有明确评价当前设备软硬件环境安全指标的数据结构。 3.7 TEE服务密钥 trustedexecutionenvironmentservicekey 由TEE服务生成的用于保证TEE服务与TEE服务后台安全交互的公私钥对。 3.8 应用密钥 applicationkey 由TEE服务生成的用于保证用户密钥由应用后台安全发送至TEE服务的公私钥对。 3.9 应用隔离applicationisolation 3.10 用户隔离 userisolation 4缩略语 下列缩略语适用于本文件。 REE：富执行环境（RichExecutionEnvironment) TA：可信应用（TrustedApplication） TEE：可信执行环境（TrustedExecutionEnvironment) TUI：可信人机界面（TrustedUserInterface） 5总体描述 5.1概述 TEE服务包含多种类型的服务，如TEE人机交互服务、TEE二维码服务、TEE设备安全状态评价 服务、TEE身份鉴别服务、TEE时间服务、TEE位置服务、TEE密码计算服务等，TEE服务提供方根据 业务需求提供具体对应的服务。 5.2TEE服务类型 5.2.1TEE人机交互服务 过可信用户界面输入的内容不被非授权应用监控、改、破坏和窃取，并通过安全通道（如安全传输层协 议等)将输人数据或运算结果加密传输给应用。 可信用户界面至少包含以下安全界面要素之一： a）可信输入框：用于输入字符（串）等信息； b）可信按钮：用于获取用户的点击事件； 2 GB/T42572—2023 c）可信键盘：为用户提供安全输入界面； d）可信文本框：用于展示文本信息； e) 可信图片框：用于展示图片信息； f) 可信标签：用于放置可信文本框、可信图片框等； g）可信生物信息采集显示器：用于获取、显示用户输入的生物信息。 界面要素的大小、位置、背景色等由TEE服务提供方自定义，但应符合TEE操作系统的要求。 5.2.2TEE二维码服务 提供TEE二维码展示和TEE二维码扫描功能。TEE二维码展示指基于TUI展示通过安全通道 获取的二维码，避免二维码数据被非授权程序破坏、窃取、篡改等。TEE二维码扫描指通过符合可信外 设要求的摄像头扫描读取二维码信息，并通过安全通道将二维码数据加密传输至应用。 可信用户界面至少包含以下安全界面要素： a）可信图片框：用于放置二维码图片或动态显示摄像头捕捉到的画面，图片框的位置、大小、背景 色等由TEE服务提供方自定义； b）可信按钮：用于取消操作，按钮上的提示信息可以是定制图片或者文字。 5.2.3TEE设备安全状态评价服务 收集当前的设备信息，生成设备安全状态报告，供应用作为当前设备的风险评分判断的其中一项依 据，为业务流程是否正常处理提供参考。手机等个人设备的信息采集方式应符合隐私保护相关法规。 TEE设备安全状态评价服务采集信息内容一般包括设备启动参数、REE环境软硬件配置信息、 REE环境状态信息、REE环境特征信息、TEE环境特征信息、TEE服务代理的安全状态信息和TEE 服务的安全状态信息。详细采集因子参考附录A 根据信息采集方式和检验者的不同，TEE设备安全状态评价服务分为以下三种类型。 a）本地型：此类型为本地离线检测方式，无需联网。通过TEE服务代理及TEE服务采集各项因 子，并通过本地TEE服务评估所采集到的各项因子，生成设备安全状态报告 远程型：此类型为远程检测方式，需要联网。通过TEE服务代理以及TEE服务采集各项因 b) 子，并通过远程TEE服务后台评估所采集到的各项因子，生成设备安全状态报告。 混合型：此类型为本地与远程相结合的检测方式，部分时间需要联网。通过TEE服务代理以 c) 及TEE服务采集各项因子。根据具体需求，一部分因子由本地TEE服务进行评估，另一部分 由远程TEE服务后台进行评估，并综合两部分评估结果生成设备安全状态报