GP TEE安全资产问题分析

我们知道,安全认证首要目标是明确评估对象的安全资产,也就是会有哪些安全对象需要保护,这是安全轮廓PP的重要部分,也为后续安全目标的制定提供了基本模型分析,本文介绍GP TEE处理的安全问题以及操作环境,操作环境是指TEE集成开发和维护环境,TA的开发环境。

安全问题由TEE设备面对的各种威胁组成。TEE资产具备可靠性、连续性、完整性,保密性,单调性、随机性、原子性,只读和设备绑定等特性。今天我们来看看TEE系统中有哪些安全资产,参考GP PP文档,先用一张图描述一下。

TEE的识别:在GP TEE中TEE识别数据必须具备不管是制造上,第三方供应商或集成商的全局唯一性。这个数据一般存储在TEE可信的OTP存储空间中。

属性:唯一且不可以修改

TEE识别码向公众开放,对与设备上运行的任何软件开放,不只是用与TA。

RNG: 随机码产生器

属性:不可预知的随机数字,有足够的熵。

TA代码:一般存储在外部与REE共享非易失存储上,可能被REE访问。

属性:可靠性和连续性(运行期间完整性)

TA数据和密钥:TA使用TEE安全服务来存储和操纵数据和密钥,数据和密钥被TEE设备或者TA服务提供者拥有。般存储在外部与REE共享非易失存储上,可能被REE访问。

属性:可靠性和连续性(运行期间完整性)、原子性、保密性、设备绑定。

TA 实例化时间

在TA实例化生命时间被时间是单调的,不受低电压状态改变的影响。TEE reset或者TA关闭时不保持。

属性:单调性。

TA运行期数据

指的是RAM,执行期变量、运行期上下文,存储在易失存储上。

属性:一致性,保密性等。

TEE持久化数据

包含TEE加解密密钥,TA特性,一般存储在外部与REE共享非易失存储上,可能被REE访问。

属性:可靠性和连续性(运行期间完整性)、原子性、保密性、设备绑定。

TEE固件

TEE二进制,报价代码和数据,以及版本信息。一般存储在外部与REE共享非易失存储上,可能被REE访问。

属性:可靠性和完整性

TEE初始化代码和数据

初始化代码和数据,例如加解密证书,用于设备上电到完成TEE安全服务的激活。认证TEE也是初始化的一部分。

属性:完整性

TEE存储和根密钥

用于绑定TEE和存储的数据和密钥,一般存储在TEE可信的OPT内存上。

属性:完整性和保密性

TA 持久化时间

持久化时间与TEE复位无关。

TA 数据和密码模块

TA使用TEE安全服务管理和存储的数据和密钥。数据和密钥被用户(拥有TEE设备)或者被TA服务提供者拥有。

属性:可靠性、连续性、完整性、保密性、设备绑定

存储的完整性意味着存储区域的被成功读取的值就是上一次在此位置写入的值。

TA 代码模块

已经安装的TA代码

属性:可靠性、连续性、完整性

存储的完整性意味着存储区域的被成功读取的值就是上一次在此位置写入的值。

TEE数据模块

持久化TEE数据,包括TEE密钥

属性:可靠性、连续性、完整性、保密性、设备绑定

TEE回滚检测模块

用于检测之前的版本可信存储的回滚TEE数据

属性:完整性

TEE调试管理者

用于认证TEE调试管理者,保证调试特性的访问

属性:完整性和保密性

原文发布于微信公众号 - 安智客(china_safer)

原文发表时间:2017-11-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏岑志军的专栏

iOS逆向-ipa包重签名及非越狱手机安装多个微信

51840
来自专栏Jerry的SAP技术分享

SAP S4CRM 1811 服务订单API介绍

Jerry在今年2月28日,SAP Customer Management for S/4HANA 1.0正式问世这个具有纪念意义的日子,同时发布了中英文版的博...

18830
来自专栏知无涯

建立自己安全可靠好记的网络密码体系!个人密码安全设置策略建议与技巧

55270
来自专栏IMWeb前端团队

flash直播

本文作者:IMWeb ninawu 原文出处:IMWeb社区 未经同意,禁止转载 接触了一段时间的flash直播,无论是腾讯课堂‘数据生成模式’实现的...

54650
来自专栏菩提树下的杨过

Flash/Flex学习笔记(7):FMS3.5基于IIS的安装

一般来讲,在windows上安装软件从来都不是什么难事儿,但FMS却在安装过程中"充满"了误导(好吧,其实也就是夸张的说法而已) 1.下载FMS3.5 http...

24060
来自专栏FreeBuf

黑了记者:写个恶意软件玩玩(二)

该篇是3篇系列中的第2篇(可在此读第1篇 http://www.freebuf.com/articles/others-articles/34277.html)...

21090
来自专栏FreeBuf

防范数据窃取从了解其手法做起

数据窃取是针对组织攻击链中的最后一个阶段。攻击者窃取数据的技术可谓花样百出,网上也有大量关于数据窃取方面的技术文档以及工具。本文的目的就是尽可能的将这些技术整合...

7730
来自专栏FreeBuf

盗版软件也疯狂之六耳猕猴显神通

近日,笔者闲暇时光下载了一个小游戏进行玩耍,游戏结束后没再管它,当下次点亮手机时,惊奇的发现在手机主界面中心有一应用推荐轮播的悬浮窗。对于移动端技术人员来说,手...

15030
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应付账款(158)-2 F-47预付款请求

4.1 创建供应商主记录 在此活动中,可以创建供应商主记录。 要执行该活动,使用此凭证中的主数据,运行 创建供应商主数据 (155.14)业务情景中的流程。 ...

417110
来自专栏解Bug之路

解Bug之路-TCP粘包Bug

详情见笔者另一篇博客https://my.oschina.net/alchemystar/blog/833937

12120

扫码关注云+社区

领取腾讯云代金券