智能剑匣本文件确立了可信执行环境系统整体技术架构,描述了可信执行环境基础要求、可信虚拟化系统、

　　可信操作系统、可信应用与服务管理、跨平台应用中间件等主要内容及其测试评价方法。

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文

　　件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于

　　为了兼顾安全与开放,通常会在一个设备上基于硬件级隔离同时建立起两个完整的执行环境。其

　　中,一个环境负责处理对功能性、开放性等要求较高的业务,定义为富执行环境;另一个负责处理对安全

　　性、机密性要求较高的业务,定义为可信执行环境。两个执行环境在一个设备上同时并存,其运行所需

　　要的CPU、内存、外设等资源在硬件级安全机制基础上严格隔离,隔离机制按GB/T 20271-2006中

　　4.2.5关于特别安全防护规定的要求。富执行环境中的客户端应用和可信执行环境中的可信应用相互

　　通信、相互协作,共同构成一个完整的应用。本文件主要描述可信执行环境系统架构以及各组成部分的

　　可信执行环境系统要求设备同时具备两个运行环境:富执行环境、可信执行环境。其中富执行环境

　　主要负责处理安全性要求相对较低、功能相对丰富的业务。富执行环境中主要包括用于与可信执行环

　　境通信的安全代理、用于业务处理并与可信应用通信的客户端应用等。可信执行环境运行安全等级较

　　高的可信操作系统及可信服务与应用等。可信执行环境基于具备安全隔离属性的硬件基础之上构建,

　　该硬件只有在切换为可信环境后才能够被正常访问和进行数据处理,包括可信时钟源、可信密码单元

　　(可选)、可信调试单元以及可信外设(可选)等。整个可信执行环境系统的启动过程应以可信根为起点,

　　可信执行环境系统架构应基于硬件级隔离机制实现,应保证所隔离的可信执行环境的资源不被富

　　执行环境访问,具体需要隔离的资源包括但不限于:CPU、内存、时钟源、密码单元、调试单元等。可信

　　可信时钟源是可信执行环境系统中使用的看门狗计时器和可信执行环境调度计时器的硬件基础。

　　可信时钟源应在设备加电启动后立即运行,且不能被禁用、关闭、篡改等,避免因外部干扰等原因导致可

　　可信随机源为可信执行环境中各类加解密算法提供随机源,随机源所涉及的随机数发生器,应采用

　　满足相关密码学要求的真随机数硬件发生器,该随机数发生器应被设置成只能通过可信执行环境访问。

　　b) 可信调试单元硬件子系统应保证所有调试机制(包括非侵入式和侵入式)可以被设定为只有可

　　c) 可信调试硬件单元子系统应保证所有调试机制(包括非侵入式和侵入式)可以被富执行环境使

　　用;当可信调试硬件单元子系统被设定为富执行环境和可信执行环境都能够访问时,调试子系

　　d) 可信调试硬件单元子系统的寄存器使用过程中应保证持续供电,或者能够保证寄存器在系统

　　可信外设指对驱动控制与数据采集有一定安全或隐私要求的一类外设。在使用可信外设前,系统

　　应被切换到可信执行环境内,以阻止任何停留在富执行环境的恶意代码监控和记录数据的输入。

　　对于采集与处理过程不能够完全由可信执行环境控制的外设,宜采用以下两种方式进行处理:

　　a) 加密传输方式,即在可信外设和可信执行环境之间建立加密通道,保证数据在传输过程中的机

　　b) 监控方式,通过可信执行环境对富执行环境及整个设备的安全状态进行严格检测和监测,及时

　　可信根为可信执行环境建立及运行提供支撑,可以是硬件、代码和数据。可信根应具备以下安全

　　a) 应具备机密性、完整性、真实性三个基本安全特性,能够为可信执行环境系统的安全鉴证、安全

　　b) 应提供访问控制机制,保证未经授权的用户不能访问和篡改可信根的数据和代码。

　　安全启动是通过安全机制来验证可信执行环境系统启动过程中每一个阶段软件代码的完整性和真

　　实性,防止非授权或被恶意篡改的代码被执行。安全启动过程构建了一个信任链,整个过程始于一个可

　　b) 管理可信执行环境中虚拟机内部CPU、内存、中断、外设等硬件资源的能力;

　　a) 应保证可信执行环境内各虚拟机仅根据其所分配的权限访问相应的资源,不能越权访问;

　　b) 应保证可信执行环境系统自身及内部虚拟机加载和运行过程的正确性与完整性;

　　c) 应保证可信执行环境系统自身及内部虚拟机数据与代码的真实性和完整性;

　　可信虚拟化系统应避免赋予内部虚拟机最高等级权限,单一虚拟机出现崩溃或安全隐患时,不应影

　　可信操作系统应具备常规操作系统中的进程管理、内存管理、设备管理、文件管理等基本系统功能。

　　可信操作系统要求在访问控制、身份鉴别、数据完整性、可信路径等方面满足相应的安全技术要求。

　　a) 应保证可信应用及可信服务仅根据其所分配的权限访问相应的资源,不能越权访问;

　　e) 对于系统权限的管理,应避免赋予可信服务与应用最高权限,避免单一可信应用与服务出现异

　　可信应用与服务管理负责可信执行环境下可信应用与可信服务的安装、更新、删除及其安全属性配

　　置管理等。可信执行环境中的可信应用与服务,可采用本地方式管理,也可通过TAM后台进行远程管

　　可信应用与服务的发布过程见图2,设备提供商(或授权服务商)是可信执行环境系统拥有方,负责

　　设备提供商(或授权服务商)根证书的管理、应用发布证书的签发;可信应用提供商负责可信应用的开

　　发,并经过应用发布证书对应的私钥签名后,将带签名的TA提交可信应用运营商进行发布;可信操作

　　系统对收到的带签名的TA,采用设备提供商(或授权服务商)根证书及该TA对应的应用发布证书,对

　　可信执行环境系统应集成可信时间服务,为可信应用及其他可信服务提供获取可信时间的功能。

　　可信时间分为系统时间与可信应用的持久化时间。系统时间具有任意的非持久性的起点,系统时间可

　　以基于专用的安全硬件实现,也可以基于TEE时间实现,不同的可信应用实例可以拥有不同的系统时

　　间。在整个可信应用实例生命周期中,系统时间不可以重置或回滚,不会因进入低功耗状态而影响系统

　　时间的正常运转;可信应用的持久化时间起点因每个可信应用的不同而不同,但应在重启过程中保持持

　　可信执行环境系统应集成可信加解密服务,为可信应用以及其他可信服务提供加解密功能。可信

　　可信执行环境系统可集成可信身份鉴别服务,为可信执行环境中的可信应用或其他可信服务提供

　　身份鉴别功能。可信身份鉴别服务通过识别用户的个人身份数字特征信息来识别用户身份的合法性、

　　是否有操作相关功能的权利等。可信身份鉴别服务可以采用但不限于下列身份鉴别方式完成用户合法

　　性的判断:口令、指纹、人脸。可信身份鉴别服务宜基于可信存储服务、可信人机交互、可信加解密服务

　　可信应用为可信执行环境下的应用程序,通过可信应用与服务管理系统进行管理,客户端应用与可

　　可信应用通信的基本框架见图5,客户端应用通过安全代理通过富执行环境与可信执行环境之间

　　的通信通道,与可信应用实现数据交换。在可信执行环境内部,可信应用与可信应用之间根据需要可通

　　2) 可信执行环境具备防止因外部干扰等原因导致可信执行环境系统内的编程状态被破坏的

　　3) 设置可信调试单元的所有调试机制(包括非侵入式和侵入式)仅被可信执行环境使用,尝

　　4) 设置可信调试单元的所有调试机制(包括非侵入式和侵入式)可被富执行环境和可信执行

　　5) 设置可信调试单元硬件子系统的寄存器后,尝试执行系统断电,上电后,重新读取相应寄

　　2) 可信调试单元硬件子系统保证所有调试机制(包括非侵入式和侵入式)可以被设定为只有

　　3) 可信调试单元硬件子系统保证所有调试机制(包括非侵入式和侵入式)可以被富执行环境

　　使用;当可信调试硬件子系统被设定为富执行环境和可信执行环境都能够访问时,调试子

　　4) 可信调试单元硬件子系统的寄存器使用过程中保证持续供电,或者能够保证寄存器在系

　　2) 在可信执行环境使用可信外设时,尝试通过富执行环境监控和记录可信外设的交互数据;

　　3) 对于采集与处理过程不能够完全由可信执行环境控制的外设,检查可信外设和可信执行

　　环境之间的数据传输保护机制,验证可信执行环境是否具备对富执行环境及整个设备的

　　1) 在使用可信外设前,系统被切换到可信执行环境内,以阻止任何停留在富执行环境的恶意

　　2) 对于采集与处理过程不能够完全由可信执行环境控制的外设,在可信外设和可信执行环

　　境之间加密传输数据,且可信执行环境具备对富执行环境及整个设备的安全状态的监测

　　2) 检查可信执行环境系统的安全鉴证、安全度量和安全存储过程,验证可信根是否提供了机

　　密性、完整性、线) 尝试使用未经授权的用户访问和篡改可信根的数据和代码,验证访问控制机制是否有效。

　　1) 可信根具备机密性、完整性、真实性三个基本安全特性,为可信执行环境系统的安全鉴证、

　　2) 可信根具备访问控制机制,保证未经授权的用户不能访问和篡改可信根的数据和代码。

　　本文件确立了可信执行环境系统整体技术架构,描述了可信执行环境基础要求、可信虚拟化系统、

　　可信操作系统、可信应用与服务管理、跨平台应用中间件等主要内容及其测试评价方法。

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文

　　件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于

　　为了兼顾安全与开放,通常会在一个设备上基于硬件级隔离同时建立起两个完整的执行环境。其

　　中,一个环境负责处理对功能性、开放性等要求较高的业务,定义为富执行环境;另一个负责处理对安全

　　性、机密性要求较高的业务,定义为可信执行环境。两个执行环境在一个设备上同时并存,其运行所需

　　要的CPU、内存、外设等资源在硬件级安全机制基础上严格隔离,隔离机制按GB/T 20271-2006中

　　4.2.5关于特别安全防护规定的要求。富执行环境中的客户端应用和可信执行环境中的可信应用相互

　　通信、相互协作,共同构成一个完整的应用。本文件主要描述可信执行环境系统架构以及各组成部分的

　　可信执行环境系统要求设备同时具备两个运行环境:富执行环境、可信执行环境。其中富执行环境

　　主要负责处理安全性要求相对较低、功能相对丰富的业务。富执行环境中主要包括用于与可信执行环

　　境通信的安全代理、用于业务处理并与可信应用通信的客户端应用等。可信执行环境运行安全等级较

　　高的可信操作系统及可信服务与应用等。可信执行环境基于具备安全隔离属性的硬件基础之上构建,

　　该硬件只有在切换为可信环境后才能够被正常访问和进行数据处理,包括可信时钟源、可信密码单元

　　(可选)、可信调试单元以及可信外设(可选)等。整个可信执行环境系统的启动过程应以可信根为起点,

　　可信执行环境系统架构应基于硬件级隔离机制实现,应保证所隔离的可信执行环境的资源不被富

　　执行环境访问,具体需要隔离的资源包括但不限于:CPU、内存、时钟源、密码单元、调试单元等。可信

　　可信时钟源是可信执行环境系统中使用的看门狗计时器和可信执行环境调度计时器的硬件基础。

　　可信时钟源应在设备加电启动后立即运行,且不能被禁用、关闭、篡改等,避免因外部干扰等原因导致可

　　可信随机源为可信执行环境中各类加解密算法提供随机源,随机源所涉及的随机数发生器,应采用

　　满足相关密码学要求的真随机数硬件发生器,该随机数发生器应被设置成只能通过可信执行环境访问。

　　b) 可信调试单元硬件子系统应保证所有调试机制(包括非侵入式和侵入式)可以被设定为只有可

　　c) 可信调试硬件单元子系统应保证所有调试机制(包括非侵入式和侵入式)可以被富执行环境使

　　用;当可信调试硬件单元子系统被设定为富执行环境和可信执行环境都能够访问时,调试子系

　　d) 可信调试硬件单元子系统的寄存器使用过程中应保证持续供电,或者能够保证寄存器在系统

　　可信外设指对驱动控制与数据采集有一定安全或隐私要求的一类外设。在使用可信外设前,系统

　　应被切换到可信执行环境内,以阻止任何停留在富执行环境的恶意代码监控和记录数据的输入。

　　对于采集与处理过程不能够完全由可信执行环境控制的外设,宜采用以下两种方式进行处理:

　　a) 加密传输方式,即在可信外设和可信执行环境之间建立加密通道,保证数据在传输过程中的机

　　b) 监控方式,通过可信执行环境对富执行环境及整个设备的安全状态进行严格检测和监测,及时

　　可信根为可信执行环境建立及运行提供支撑,可以是硬件、代码和数据。可信根应具备以下安全

　　a) 应具备机密性、完整性、真实性三个基本安全特性,能够为可信执行环境系统的安全鉴证、安全

　　b) 应提供访问控制机制,保证未经授权的用户不能访问和篡改可信根的数据和代码。

　　安全启动是通过安全机制来验证可信执行环境系统启动过程中每一个阶段软件代码的完整性和真

　　实性,防止非授权或被恶意篡改的代码被执行。安全启动过程构建了一个信任链,整个过程始于一个可

　　b) 管理可信执行环境中虚拟机内部CPU、内存、中断、外设等硬件资源的能力;

　　a) 应保证可信执行环境内各虚拟机仅根据其所分配的权限访问相应的资源,不能越权访问;

　　b) 应保证可信执行环境系统自身及内部虚拟机加载和运行过程的正确性与完整性;

　　c) 应保证可信执行环境系统自身及内部虚拟机数据与代码的真实性和完整性;

　　可信虚拟化系统应避免赋予内部虚拟机最高等级权限,单一虚拟机出现崩溃或安全隐患时,不应影

　　可信操作系统应具备常规操作系统中的进程管理、内存管理、设备管理、文件管理等基本系统功能。

　　可信操作系统要求在访问控制、身份鉴别、数据完整性、可信路径等方面满足相应的安全技术要求。

　　a) 应保证可信应用及可信服务仅根据其所分配的权限访问相应的资源,不能越权访问;

　　e) 对于系统权限的管理,应避免赋予可信服务与应用最高权限,避免单一可信应用与服务出现异

　　可信应用与服务管理负责可信执行环境下可信应用与可信服务的安装、更新、删除及其安全属性配

　　置管理等。可信执行环境中的可信应用与服务,可采用本地方式管理,也可通过TAM后台进行远程管

　　可信应用与服务的发布过程见图2,设备提供商(或授权服务商)是可信执行环境系统拥有方,负责

　　设备提供商(或授权服务商)根证书的管理、应用发布证书的签发;可信应用提供商负责可信应用的开

　　发,并经过应用发布证书对应的私钥签名后,将带签名的TA提交可信应用运营商进行发布;可信操作

　　系统对收到的带签名的TA,采用设备提供商(或授权服务商)根证书及该TA对应的应用发布证书,对

　　可信执行环境系统应集成可信时间服务,为可信应用及其他可信服务提供获取可信时间的功能。

　　可信时间分为系统时间与可信应用的持久化时间。系统时间具有任意的非持久性的起点,系统时间可

　　以基于专用的安全硬件实现,也可以基于TEE时间实现,不同的可信应用实例可以拥有不同的系统时

　　间。在整个可信应用实例生命周期中,系统时间不可以重置或回滚,不会因进入低功耗状态而影响系统

　　时间的正常运转;可信应用的持久化时间起点因每个可信应用的不同而不同,但应在重启过程中保持持

　　可信执行环境系统应集成可信加解密服务,为可信应用以及其他可信服务提供加解密功能。可信

　　可信执行环境系统可集成可信身份鉴别服务,为可信执行环境中的可信应用或其他可信服务提供

　　身份鉴别功能。可信身份鉴别服务通过识别用户的个人身份数字特征信息来识别用户身份的合法性、

　　是否有操作相关功能的权利等。可信身份鉴别服务可以采用但不限于下列身份鉴别方式完成用户合法

　　性的判断:口令、指纹、人脸。可信身份鉴别服务宜基于可信存储服务、可信人机交互、可信加解密服务

　　可信应用为可信执行环境下的应用程序,通过可信应用与服务管理系统进行管理,客户端应用与可

　　可信应用通信的基本框架见图5,客户端应用通过安全代理通过富执行环境与可信执行环境之间

　　的通信通道,与可信应用实现数据交换。在可信执行环境内部,可信应用与可信应用之间根据需要可通

　　2) 可信执行环境具备防止因外部干扰等原因导致可信执行环境系统内的编程状态被破坏的

　　3) 设置可信调试单元的所有调试机制(包括非侵入式和侵入式)仅被可信执行环境使用,尝

　　4) 设置可信调试单元的所有调试机制(包括非侵入式和侵入式)可被富执行环境和可信执行

　　5) 设置可信调试单元硬件子系统的寄存器后,尝试执行系统断电,上电后,重新读取相应寄

　　2) 可信调试单元硬件子系统保证所有调试机制(包括非侵入式和侵入式)可以被设定为只有

　　3) 可信调试单元硬件子系统保证所有调试机制(包括非侵入式和侵入式)可以被富执行环境

　　使用;当可信调试硬件子系统被设定为富执行环境和可信执行环境都能够访问时,调试子

　　4) 可信调试单元硬件子系统的寄存器使用过程中保证持续供电,或者能够保证寄存器在系

　　2) 在可信执行环境使用可信外设时,尝试通过富执行环境监控和记录可信外设的交互数据;

　　3) 对于采集与处理过程不能够完全由可信执行环境控制的外设,检查可信外设和可信执行

　　环境之间的数据传输保护机制,验证可信执行环境是否具备对富执行环境及整个设备的

　　1) 在使用可信外设前,系统被切换到可信执行环境内,以阻止任何停留在富执行环境的恶意

　　2) 对于采集与处理过程不能够完全由可信执行环境控制的外设,在可信外设和可信执行环

　　境之间加密传输数据,且可信执行环境具备对富执行环境及整个设备的安全状态的监测

　　2) 检查可信执行环境系统的安全鉴证、安全度量和安全存储过程,验证可信根是否提供了机

　　密性、完整性、线) 尝试使用未经授权的用户访问和篡改可信根的数据和代码,验证访问控制机制是否有效。

　　1) 可信根具备机密性、完整性、真实性三个基本安全特性,为可信执行环境系统的安全鉴证、

　　2) 可信根具备访问控制机制,保证未经授权的用户不能访问和篡改可信根的数据和代码。