YD_T 2844.4-2015移动终端可信环境技术要求 第4部分：安全操作系统.pdf

ICS 33.050.01M 30YD中华人民共和国通信行业标准YD/T 2844.4-2015移动终端可信环境技术要求第4部分：安全操作系统TrustedenvironmentofmobilephonePart 4:Secure operating system2015-04-30发布2015-07-01实施中华人民共和国工业和信息化部发布 YD/T 2844.42015目次前范围·2术语、定义和缩略语2.1术语和定义2.2缩略语.移动终端可信环境安全操作系统目标.3.1概述3.2安全启动3.3运行时闻机密性和完整性4操作系统安全要求4.1TEE安全启动能力要求4.2运行时间完整性保护安全要求·参考文献· YD/T 2844.42015前言YD/T2844《移动终端可信环境技术要求》分为5个部分：一第1部分：总体；第2部分：可信执行环境：第3部分：安全存储：第4部分：操作系统的安全保护：第5部分：与输入输出设备的安全交互。本部分为YD/T2844的第4部分。本部分按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任，本部分由中国通信标准化协会提出并归口。本部分起草单位：工业和信息化部电信研究院。本部分主要起草人：国炜、潘娟、史德年、何桂立、任晓明、王绍斌、宁华、袁广翔、孙龙。II YD/T 2844.42015移动终端可信环境技术要求第4部分：安全操作系统范围本部分规定了移动终端可信执行环境里安全操作系统的安全技术要求，包括安全启动、运行时间机密性和完整性的目标和要求。本部分适用于各种制式的移动通信终端设备。2术语、定义和缩略语2.1术语和定义2.1.1安全启动SecureBoot包含固件验证的系统启动过程。2.1.2运行时间完整性校验金Run-Time Integrity Checking在系统正常运行时，对一些部件、逻辑和物理的完整性校验。2.1.3信任链TrustChain从可信根（Rootoftrust）开始的一条信任传递机制。2.2缩略语下列缩略语适用于本文件：RICRun-time Integrity Checking运行时刻的完整性校验Client Application客户端应用VLTrusted Application可信应用TEETrusted Execution Environment可信执行环境REERich Execution Environment富执行环境VLOOver-the-Air Technology空中下载技术3移动终端可信环境安全操作系统目标3.1概述TEE内部存在一个安全的操作系统，该安全操作系统为可信执行环境提供一些安全操作功能，例如：为可信应用提供安全的系统级功能，如系统调度、通信、安全存储管理等功能；为可信应用开发者提供支持能力：为CA和TA提供安全通信能力。但是，保证上述功能正确实施的前提是TEB环境能够检测并防止对安全资产的恶意修改。TEE安全启动过程和运行时间完整性校验能够很大程度上检测到这些恶意修改。甚至包括后端事务处于运行当中。3.2安全启动1 YD/T2844.42015安全启动过程是指通过某些验证方法（本部分不具体定义）来检验TBE启动过程的每一个阶段，以确保TEE内软件镜像的完整性，防止对软件进行非授权或者恶意的修改。安全启动过程保证了TEE的安全功能被正确地初始化，并且这个初始化过程不受REE的政击，同时使固件的版本符合TEE版本更新策略。同时，安全启动也伴陷着一个信任链，即整个过程开始于一个可信代码（即这个代码的完整性受到保障）或者信任根，之后在执行其他代码之前都要验证其可靠性。对于在安全启动过程中哪些代码需要验证本部分不具体定义，安全启动的代码也可以通过OTA以代码镜像的方式进行更新。为了保证代码更新的安全性，在更新代码之前必须验证更新镜像的可靠性和完整性。3.33运行时间机密性和完整性运行时间完整性保护是指发生在安全启动之后，在任何操作系统或系统操作代码初始化之前以及在系统正常运行期间，系统的主要硬件和软件部件必须要保证并维持其完整性。该完整性保护功能可以作为安全启动的一部分进行初始化，或者在TEE环境内以一个已知的初始化状态开始，且执行对硬件和软件级的运行时间监测以便能够检测到系统启动和应用执行过程中对存储内容的修改。对系统状态的非投权修改的运行时间的监测和检测能够防止对一载安全资产的攻击。对于移动终端内的可信环境，运行时间完整性保护涉及的安全资产可以包括：.TEE内核代码：安全操作系统和平台配置数据：。CPU和其他的终端硬件。同时在安全启动结束后，一些设备的软件和数据部件也不允许被修改，这些可以包括：.可信根密钥：：网络和用户标识信息。一且检测到部件的完整性丢失，应存在对这种