附　錄　A （資料性附錄） 可信環境安全說明

附　錄　A可信環境安全說明

在本標準中，可信環境一般指用戶設備上的安全區域，可保證加載到其內部數據的安全性，包括保密性、完整性和可用性等，常見的可信環境包括可信執行環境（TEE）、安全元件（SE）、可信密碼模塊（TCM）或其他具備安全邊界的保護區域。目前在移動智能終端，TEE、SE的應用較多。

一般來說，運行在移動智能終端中的開放執行環境被稱為富執行環境（REE），富執行環境為運行其中的應用程序提供開放、豐富的運行能力支持，但安全保護能力相對較弱。可信執行環境（TEE）是指運行在移動智能終端中的隔離執行環境，相對于富執行環境，具備較強的安全能力。可信執行環境保證各種敏感數據在一個可信環境中被安全傳輸、存儲、處理，并為可信應用提供一個安全的執行環境。確保移動智能終端中數據的機密性、完整性、可用性和訪問權限；為人機交互、口令輸入、生物特征交互、信息的輸出提供安全的環境。

可信執行環境（TEE）通常可提供如下安全功能：

1) 從可信代碼開始進行安全啟動，通過簽名校驗等方法保證信任鏈的傳遞以確保TEE啟動過程的完整性；

2) 通過硬件的隔離和系統的控制，保護高安全性數據的存儲安全，如用戶生物特征數據、用戶鑒別密鑰、身份鑒別可信應用數據和代碼安全等；

3) 通過加密、隔離、認證等方式，對移動智能終端內不同實體間的通信信道、終端同外界的通信通道的數據傳輸進行安全性保護；

4) 通過訪問權限的設置等方式保證功能和數據不被非法訪問或者不恰當的訪問；

5) 通過軟硬件結合的安全措施保證終端的安全配置不被更改并具備相應的提示機制；

6) 通過對固件、密鑰、永久數據等數據的保護策略保證TEE自身的安全性，為運行在其上的可信應用提供安全保護；

7) 通過生命周期管理、訪問驗證等措施保證對運行在其上的可信應用進行安全管理；

8) 采集元件可通過TEE中具有訪問權限的可信應用進行調用，調用過程中可保證獨占性。

安全元件（SE）通常提供一個安全的數據存儲和運算環境，可用于存儲密鑰、用戶生物特征數據等敏感信息，安全元件一般符合GB/T 22186-2016第8章所規定的安全要求，具備應用訪問控制機制，確保只有具備訪問權限的外部實體才能夠訪問安全元件中的相應應用。