上个月,华为可信执行环境操作系统,iTrustee v2.0获得全球信息技术安全性评估标准CC EAL2+级别认证。这是TEE OS目前能够获得的最顶级安全认证,目前国际上只有2家。另外一家是Trustonic。
CC认证最重要的是安全轮廓,也就是PP,安全轮廓第一步就是确定评估对象TOE,也就是确定安全产品的边界。安智客今天来学习了解一下华为的TEE评估对象。
华为iTrustee的CC安全评估遵循的保护轮廓是《GP TEE Protection Profile Version1.2 》
从上图TEE结构图可以看出,
TEE软件架构包括两部分组成:
1,TA,运行在TEE上的使用 TEE Internal API可信应用。
2,受信任的操作系统组件,其作用是提供与可信应用程序所需的REE软件的通信设施和系统级功能,可从TEE内部API访问。
REE软件架构也包括两部:
1,CA,使用 TEE Client API访问由运行在TEE上的TA提供的安全服务。
2,RichOS,提供TEE Client AP 并发送请求到TEE中。
TEE软件外部接口包括TEE Internal API和TEE Communication Agent protocol。
TEE和REE之间的通信协议,依赖于实现的,因此安全目标不强制某种特点的协议。可信外设包括由SOC提供的时间模块,从可信外设获取可靠的时间和随机数通过 Trustzone内部硬件接口。
华为iTrustee 评估对象TOE类型是可信操作系统,按照TEE PP文档中定义,只包括可信执行环境的软件部分。是指在嵌入式设备上按照GP TEE规范实现的。
iTrustee可信执行环境与其他REE环境、以及应用是隔离的。它主导了一些了TA,并提供一系列安全服务,包括:执行的完整性、CA和TA的安全交互、可信存储、秘钥管理、加解密
本次测试的TOE不包括:
1,提供TEE安全功能的硬件和固件,比如ATF。
2,TA应用。
3,REE操作环境。
4,CA。
TOE依赖的硬件:
1,华为麒麟SOC,比如麒麟960、麒麟970。
2,RAM,需要配置成安全内存和非安全内存。
3,ROM,包括用于安全启动的敏感数据。
4,必需的外围比如显示屏、电源按键。
TOE依赖的软件:
1,BootLoader。
2,Bl31 监视器。
3,EMUI,华为定制化AndroidOS。
4,iTrustee 运行所需要的Android的设备驱动。
5,Android用于与iTrustee 交互所需的SDK。
TOE的应用案例:
1,移动支付和银行服务比如华为pay、IFAA、FIDO等。
2,设备保护:查找手机、安全启动、文件柜以及文件加密功能。
3,系统保护,比如Android系统的内核完整性检查。
4,数字版权管理DRM。
本文内容来自于公开资料整理。