[PDF] GB/T 41388-2022 - 自动发货. 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| GB/T 41388-2022 | 380 | GB/T 41388-2022 | 9秒内发货PDF | 信息安全技术 可信执行环境 基本安全规范 |
| 基本信息 | |
|---|---|
| 标准编号 | GB/T 41388-2022 (GB/T41388-2022) |
| 中文名称 | |
| 英文名称 | Information security technology - Trusted execution environment - Basic security specification |
| 行业 | 国家标准 (推荐) |
| 中标分类 | L80 |
| 字数估计 | 25,295 |
| 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 |
GB/T 41388-2022
Information security technology -- Trusted execution environment -- Basic security specification
ICS 35.030
CCSL80
中华人民共和国国家标准
信息安全技术 可信执行环境
基本安全规范
2022-04-15发布
2022-11-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 总体描述 2
5.1 概述 2
5.2 整体架构 3
6 基础要求 4
6.1 硬件要求 4
6.1.1 硬件基本要求 4
6.1.2 可信时钟源 4
6.1.3 可信随机源 4
6.1.4 可信调试单元 4
6.1.5 可信外设 4
6.2 可信根 4
6.3 安全启动要求 5
7 可信虚拟化系统 5
8 可信操作系统 5
9 可信应用与服务管理 6
9.1 基本描述 6
9.2 技术架构 6
9.2.1 架构描述 6
9.2.2 互信过程 6
9.2.3 可信应用及服务部署 6
10 可信服务 6
10.1 可信时间服务 6
10.2 可信加解密服务 7
10.3 可信存储服务 7
10.4 可信身份鉴别服务 7
10.5 可信设备鉴证服务 7
10.6 可信人机交互服务 7
10.7 SE管理服务 7
11 跨平台应用中间件 8
12 可信应用 9
12.1 可信应用基本架构 9
12.2 可信应用加载的安全要求 9
12.3 客户端应用与可信应用通信的安全要求 9
12.4 可信应用与可信应用通信的安全要求 9
13 测试评价方法 9
13.1 基础要求 9
13.1.1 硬件要求 9
13.1.1.1 硬件基本要求 9
13.1.1.2 可信时钟源 10
13.1.1.3 可信随机源 10
13.1.1.4 可信调试单元 10
13.1.1.5 可信外设 11
13.1.2 可信根 11
13.1.3 安全启动 12
13.2 可信虚拟化系统 12
13.3 可信操作系统 13
13.4 可信应用与服务管理 13
13.4.1 互信过程 13
13.4.2 可信应用及服务部署 14
13.5 可信服务 14
13.5.1 可信时间服务 14
13.5.2 可信加解密服务 14
13.5.3 可信存储服务 15
13.5.4 可信身份鉴别服务 15
13.5.5 可信设备鉴证服务 15
13.5.6 可信人机交互服务 16
13.5.7 SE管理服务 16
13.6 跨平台应用中间件 16
13.7 可信应用 17
13.7.1 可信应用加载 17
13.7.2 客户端应用与可信应用通信 17
13.7.3 可信应用与可信应用通信 17
附录A(资料性) 可信执行环境参考架构 18
附录B(资料性) 支持多种身份鉴别的应用场景 20
信息安全技术 可信执行环境
基本安全规范
1 范围
本文件确立了可信执行环境系统整体技术架构,描述了可信执行环境基础要求、可信虚拟化系统、
可信操作系统、可信应用与服务管理、跨平台应用中间件等主要内容及其测试评价方法。
本文件适用于指导可信执行环境系统的设计、生产及测试。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 25069-2010 信息安全技术 术语
3 术语和定义
GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
3.1
虚拟化 virtualization
将一种或多种形式资源虚拟化成另外一种或多种形式资源的方法。
3.2
基于可信执行环境的虚拟化方法。
3.3
基于硬件级隔离及安全启动机制,为确保安全敏感应用相关数据和代码的机密性、完整性、真实性
和不可否认性目标构建的一种软件运行环境。
注:硬件级隔离是指基于硬件安全扩展机制,通过对计算资源的固定划分或动态共享,保证隔离资源不被富执行环
境访问的一种安全机制。
3.4
为应用程序提供基础功能和计算资源的一种软件运行环境。
注:富执行环境是相对可信执行环境独立存在的运行环境。
3.5
由可信执行环境及富执行环境下用以支撑客户端应用的运行环境共同构成的系统。
3.6
可信服务 trustedservice
在可信执行环境中为可信应用和执行环境自身所提供的各种服务。
3.7
安全启动 secureboot
在系统启动过程中,为验证系统启动过程每一阶段所加载代码的真实性、完整性而提供的一种安全
机制。
3.8
可信应用 trustedapplication
运行在可信执行环境中的应用程序。
3.9
客户端应用 clientapplication
运行在富执行环境中的应用程序,与可信应用协同工作,共同构成完整的应用。
3.10
证书颁发方 certificateissuer
用于签名验证的证书的颁发者。
4 缩略语
以下缩略语适用于本文件。
DMA:直接内存访问(DirectMemoryAccess)
TA:可信应用(TrustedApplication)
5.1 概述
为了兼顾安全与开放,通常会在一个设备上基于硬件级隔离同时建立起两个完整的执行环境。其
中,一个环境负责处理对功能性、开放性等要求较高的业务,定义为富执行环境;另一个负责处理对安全
性、机密性要求较高的业务,定义为可信执行环境。两个执行环境在一个设备上同时并存,其运行所需
要的CPU、内存、外设等资源在硬件级安全机制基础上严格隔离,隔离机制按GB/T 20271-2006中
4.2.5关于特别安全防护规定的要求。富执行环境中的客户端应用和可信执行环境中的可信应用相互
通信、相互协作,共同构成一个完整的应用。本文件主要描述可信执行环境系统架构以及各组成部分的
基本功能和安全要求。
理与可信执行环境进行通信,具体要求见第12章相关描述。
6 基础要求
6.1 硬件要求
6.1.1 硬件基本要求
可信执行环境系统架构应基于硬件级隔离机制实现,应保证所隔离的可信执行环境的资源不被富
执行环境访问,具体需要隔离的资源包括但不限于:CPU、内存、时钟源、密码单元、调试单元等。可信
执行环境硬件参考架构见附录A。
6.1.2 可信时钟源
可信时钟源是可信执行环境系统中使用的看门狗计时器和可信执行环境调度计时器的硬件基础。
可信时钟源应在设备加电启动后立即运行,且不能被禁用、关闭、篡改等,避免因外部干扰等原因导致可
信执行环境系统内的编程状态被破坏。
6.1.3 可信随机源
可信随机源为可信执行环境中各类加解密算法提供随机源,随机源所涉及的随机数发生器,应采用
满足相关密码学要求的真随机数硬件发生器,该随机数发生器应被设置成只能通过可信执行环境访问。
6.1.4 可信调试单元
可信调试单元负责整个设备的调试功能,其硬件基础应满足以下要求:
a) 可信调试单元硬件子系统应保证所有侵入式调试机制能够被禁用;
b) 可信调试单元硬件子系统应保证所有调试机制(包括非侵入式和侵入式)可以被设定为只有可
信执行环境才能够使用;
c) 可信调试硬件单元子系统应保证所有调试机制(包括非侵入式和侵入式)可以被富执行环境使
用;当可信调试硬件单元子系统被设定为富执行环境和可信执行环境都能够访问时,调试子系
统不允许访问或修改可信执行环境中的任何寄存器与存储器;
d) 可信调试硬件单元子系统的寄存器使用过程中应保证持续供电,或者能够保证寄存器在系统
断电前被完整地保存并在系统恢复供电时完整恢复。
6.1.5 可信外设
可信外设指对驱动控制与数据采集有一定安全或隐私要求的一类外设。在使用可信外设前,系统
应被切换到可信执行环境内,以阻止任何停留在富执行环境的恶意代码监控和记录数据的输入。
对于采集与处理过程不能够完全由可信执行环境控制的外设,宜采用以下两种方式进行处理:
a) 加密传输方式,即在可信外设和可信执行环境之间建立加密通道,保证数据在传输过程中的机
密性、完整性、真实性;
b) 监控方式,通过可信执行环境对富执行环境及整个设备的安全状态进行严格检测和监测,及时
控制风险。
6.2 可信根
可信根为可信执行环境建立及运行提供支撑,可以是硬件、代码和数据。可信根应具备以下安全
要求:
a) 应具备机密性、完整性、真实性三个基本安全特性,能够为可信执行环境系统的安全鉴证、安全
度量和安全存储提供支持;
b) 应提供访问控制机制,保证未经授权的用户不能访问和篡改可信根的数据和代码。
6.3 安全启动要求
安全启动是通过安全机制来验证可信执行环境系统启动过程中每一个阶段软件代码的完整性和真
实性,防止非授权或被恶意篡改的代码被执行。安全启动过程构建了一个信任链,整个过程始于一个可
信根,其他组件或代码需通过完整性和真实性验证才能被执行。安全启动过程应保证可信执行环境系
统的完整性和真实性。
安全启动应满足如下要求:
a) 应保证用于验证完整性和真实性的密码算法本身的鲁棒性;
b) 应保证可信根不可被替换或篡改;
c) 应保证用于代码完整性和真实性验证的密钥不可被非授权替换或篡改,并提供安全的密钥更
新、撤销机制;
d) 应保证安全启动信任链按序逐级验证,不可被恶意绕过;
e) 宜提供代码防回滚功能。
7 可信虚拟化系统
可信虚拟化系统应具备以下能力:
a) 创建、删除等动态管理可信执行环境内虚拟机的能力;
b) 管理可信执行环境中虚拟机内部CPU、内存、中断、外设等硬件资源的能力;
c) 可信执行环境内虚拟机之间应具备互相通信和数据交换的能力。
可信虚拟化系统应具备如下安全要求:
a) 应保证可信执行环境内各虚拟机仅根据其所分配的权限访问相应的资源,不能越权访问;
b) 应保证可信执行环境系统自身及内部虚拟机加载和运行过程的正确性与完整性;
c) 应保证可信执行环境系统自身及内部虚拟机数据与代码的真实性和完整性;
d) 可信执行环境内虚拟机之间的通信应具备一定的访问控制策略。
可......
英文网页English: GB/T 41388-2022
相关标准: GB/T 41479|GB/T 41389|GB/T 41387|GB/T 41479|GB/T 41388-2022|GB/T 41388|