TEE软硬件检测

银行卡芯片
• 高层次芯片硬件 安全
• 软件安全要求 • CC EAL4+ • EMVCO芯片安
全
Page 13
硬件检测内容（芯片安全以往经验）
公司的相关技术人员曾是“国家金融IC卡安全检测中心”项目（获 2014年度银行科技发展特等奖）的主要技术参与人员
在芯片安全领域有丰富的实践经验（相关人员平均有4年以上的相关
当前如果在播放受保护的影视内容，非安全区的程序应不能执行截屏操 作（不可以读取相关显存）
TEE对硬件要求（固件，可信启动）
在可信操作系统（由软件开发商提供）启动之前，芯片需要一个可信 的启动过程，以防止可信操作系统被篡改
1st 第一步 片上引导程序
Boot Strap
•代码存储在片上ROM中 •初始化NVM控制器 •将校验第二步程序的代码
实现完善的系统 可以屏蔽来自软 件层面的攻击
On-Soc
CPU（处理器） 非安全区 安全区
非安全存储区和外围硬件 可自由被访问
安全区可以以非安全区一 样的能力访问非安全区硬
件资源
安全存储区和外围硬件 只有硬件安全标识位标识 为有效时，才允许访问
不允许非安全区访问
隔离的安全区
TEE对硬件要求（CPU）
在TEE方面已开展相当长时间的研发工作 智能卡卡芯片和TEE硬件不能完全等同，但测试方向是一致的 在智能卡芯片检测环境（硬件和软件）的基础上，很容易开展TEE硬件
测试，且自主设备的研发经验使得可以更快的修改软硬件，保证TEE硬 件测试在完备的条件下进行 公司相关技术人员系统接受过ARM Trust Zone的培训，对此有较长时间 的研究
现实情况
TEE相关硬件并没有统一标准
ARM Trust Zone：提供各厂商理论上的指导和符合标准的硬件IP（收 费），但不限制厂商的具体实现，也不强制厂商购买ARM的IP，厂商自 行设计所有IP都是可以的
Intel：不公开硬件实现细节
在没有第三方检测认证的情况下 都无法保证厂商在功能上的正确实现，更不用说抵抗硬件攻击！
硬件检测内容及优势
芯片安全31项测试
基于智能卡芯片安全31项检测的经验，开展同等项目的测试
TEE硬件规范符合性检查
结合设计角度和实际查看，检测TEE硬件在设计上是否符合TEE的安全 功能要求
结合TEE特色的新增项目
检测Secure boot流程是否符合需要的安全要求
我们的优势
Page 14
1.芯片表面准备 2.芯片背部准备 5.芯片表面详细分析 6.传输系统的物理位置探测 7. 传输系统的FIB修改 8.逻辑建立模块的干扰 9.逻辑建立模块的修改 10.测试模式的重激活
11.利用片上测试特性 12.非易失性ROM信息泄露 13.被动探测 14.主动探测 15.非易失性ROM信息产生 16.直接读取非易失性可编程存储器 17.非易失性可编程存储器信号的产生 31.传输信息分析
包括片上及片外RAM，ROM，NVM等 未分配前可不区分状态 分配使用后硬件区分安全/非安全态
非安全 指令
非安全 数据1 安 全 数据2
TEE对硬件要求（总线）
额外传输安全状态
1bit 表明传输的 安全属性
8bit 正常传输数 据和指令
某种实现
TEE对硬件要求（外围附件）
典型的如显示模块（内容保护的关键组成部分）
Page 10
硬件安全等级
需求场景决定产品的安全等级
攻击所得
攻击花销
Page 11
硬件安全等级
TEE硬件安全等级分类
有很强的抵抗硬件 攻击能力
有一定的抵抗硬件 攻击能力
保证安全功能实现 的正确性
可以抵抗如DPA、多点 错误攻击等实施难度较 大的硬件攻击
可以抵抗如SPA、简单 的单点错误攻击等硬件 攻击
测试工具
Rich OS端测试应用
TEE端测试应用
Rich OS（如TVOS、Android）
保证不会因为硬件设计 失误导致软件攻击成功
Page 12
硬件安全等级（金融行业的安全等级）
银联产业链相关芯片安全等级
个人支付终端
• 几乎不考虑硬件 安全
• 软件安全要求
POS机芯片
• 通关过终端硬件 安全
• 不要求芯片硬件 安全
• 软件安全要求
安全单元芯片
• 较低层次芯片硬 件安全
• 软件安全要求
指令区分安全/非安全态
TEE新增！ 指令
安全/非安全标识 指令
指令访问硬件资源时能表明自己的安全属性
我是XX指令，来自非安全区
要访问XX位置
CPU
硬件资源
XX位置是安全区
不可以访问，错误！
内部寄存器和缓存区硬件区分安全/非安全态
非安全 指令
非安全 数据1 安 全 数据2
TEE对硬件要求（存储器）
工作经验）
3.传感器功能验证 19.供电电源操纵 20.其他非侵入式操纵 24.形象化功耗信息 25.简单功耗分析（SPA） 26.差分能量分析（DPA) 28.随机数发生器测试 29.差分故障分析 30.中断处理
详细介绍芯片安全项目
4.芯片表面简要分析 21.电磁操纵 22.光注入 23.放射线注入 27.电磁辐射（EMA）
Page 15
软件检测范围
客
客
可
可
户
户
信
信
端
端
应
应
应
应
用
用
用
用
Rich OS（如TVOS、Android）
时间服务
可信存储
TEE Client API
TEE内核
监视器（Monitor）
安全启动 （Secure boot）
非可信硬件
可信硬件
Page 16
软件测试架构
测试软件 测试软件与Rich OS连接，通过如ADB
大纲
为什么需要检测硬件
1
硬件安Leabharlann Baidu等级
2
硬件检测内容
3
软件检测范围
4
软件测试架构
5
软件检测大纲（要点）
6
Page 1
为什么需要检测硬件
TEE的安全思想是基于硬件的
典型的TEE架构
非常适合“内容保护”
一个CPU
物理上只有一个
安全区代码的执 行和非安全区性 能一致
硬件保证安全区 的安全性
2nd 第二步 引导转载程序 Boot Loader
•代码存储在NVM中 •将校验TEE的代码
3rd 第三步 启动可信执行环境
(TEE)
•初始化可信执行环境 •将校验主操作系统的代码
Page 8
富操作系统 （如Android）
硬件安全是TEE的基石
如果硬件功能本身即不具备或不正确 或
易受攻击导致很容易进入功能不正确状态 TEE的安全性就无从保证！