TEE 白皮书-中文版

TEE 白皮书

The Trusted Execution Environment: Delivering Enhanced Security at a Lower

Cost to the Mobile Market

2010年2月 翻译：min.zhao@ W A

T C

H D

A T A

目录

目录 (2)

概述 (3)

第一章：移动设备的安全需求 (3)

1.1安全需求的演化 (3)

1.2参与者的安全视角 (5)

第二章：TEE 介绍 (6)

第三章：TEE 的位置 (7)

第四章：使用场景 (9)

4.1企业应用 (9)

4.2内容管理 (10)

4.3移动支付 (10)

4.4.服务发布 (11)

4.4.1. 服务发布 (11)

4.4.2. 服务管理 (11)

4.4.3. 举例：企业应用的服务发布 (12)

第五章：为什么将TEE 标准化 (12)

第六章：TEE 修订规划 (12)

第七章：总结 (13)

附录A ：术语与缩写 (14)

附录B ：名词定义 (14)

附录C ：Rich OS, TEE 和SE 的比较 (15)

W A T C H D A T A

概述

本文档对TEE 进行了介绍，描述了TEE 包含的主要内容及其优点。

随着移动终端市场的日益成熟和发展，安全问题逐渐成为人们关注的焦点。终端用户在他们的智能终端上装载了各种各样的应用，于是在开放环境下，安全需求激增。安全保护、企业环境、连接安全、移动支付这些问题都引发了人们对安全的关注，不仅仅是终端用户，服务商，运营商，系统和应用开发者，设备厂商，平台提供商和芯片厂商都是这个市场相关干系方，也是寻找安全解决方案的既定利益者。

满足安全性的同时又能解决核心干系者的问题，TEE （Trusted Execution Environment ）为此提供了最佳解决方案。TEE 是一个与富操作系统（Rich OS ）并行的独立运行环境，为富系统提供安全保护。TEE 包含了一个执行空间来提供比Rich OS 更高级别的安全保护，尽管达不到SE 能提供的安全程度，但对大多数应用来说，TEE 已经能满足安全所需。因此，TEE 提供了Rich OS 无法企及的安全性，同时，和SE 相比又有低成本的优势。

有了以上概括性的了解后，我们就不难理解TEE 是如何为企业环境、内容管理、移动支付及服务部署（包括服务实施和服务管理）这些应用产生价值的了。

在认识到TEE 会为众多干系者和应用场景带来益处后，显而易见的，我们也会意识到，这一领域形成规范也会为整个行业带来利益：更好的互操作性，更好的稳定性，以及更低的成本。 考虑到GP 组织在相关领域的经验（已于2010年7月发布了TEE Cliet API 1.0），由GP 组织继续负责后续规范的制定是非常有意义的，后续规范包括基于TEE Internal API 的内容，以及基于TEE client API 的更上层的功能接口，初始版本计划于2011年完成；考虑到GP 组织的状态代表了整个移动生态系统，形成版本的规范会包含所有必要的市场需求。

第一章：移动设备的安全需求

在讨论TEE 的细节之前，很重要的一点是，要意识到，在移动终端市场TEE 已发展为安全问题的解决之道。TEE 作为一个独立执行环境异常重要，不仅因为各种众多的安全因素，还因为这些安全问题影响着众多参与者。理解这些安全问题会为理解移动终端对TEE 的需求奠定基础。

1.1安全需求的演化

在移动市场，窃取和伪造是一直存在的问题。为支持新服务的广泛采用并促进移动生态系统和互联网的融合，提高设备安全等级是至关重要的。 W A T C H D A T A

当今，手机已经从过去的基本通信设备演变成了今天的“生活利器”，它成了多媒体播放器、照相机、位置定位器、便携office 工具，在不远的将来，它还是移动钱包和电子医疗设备。它帮我们完成日常所需的工作，供我们娱乐，帮我们记录那些宝贵的瞬间，为我们的生活提供便利。在手机中，我们存放了大量的个人数据和信息，于是我们认识到，这些信息需要保护起来。

随着对移动安全更深入的研究，我们发现有很多因素和使用场景都威胁着我们的安全：

开放的使用环境：新设备通常都内置好了OS （操作系统），OS 提供了一个开放的环境。这样做的好处是用户可以随时添加各种应用（很少关注应用对设备的安全和稳定性的影响）。然而，就是这个新的环境，将设备暴露给了外部的各种攻击。设备厂商想对OS 加以利用，但是需要对运行在终端上的软件进行控制。

隐私：设备上存储了大量的个人信息（如联系人、短信、照片、视频等），甚至一些敏感信息（认证、密码、医疗数据等）。为了防止这些信息丢失、被盗取或被恶意使用，存储和发送这些私人数据都需要足够的安全。

内容保护：今天的设备提供了高清视频播放和流媒体，移动电视广播接收，以及游戏机质量的三维游戏。所有的这些功能都需要内容保护、数字版权管理（DRM ：Digital Rights Management ）、或条件访问（CA ：Conditional Access ）服务，来保护高价值的高清内容。DRM 与CA 的机制经常与内容管理和保护的模式有关，例如，内容权限管理或可记录媒体内容保护，这些都是基于硬件的内容保护；也经常使用一些惩治条例，从而进一步促使OEM 厂商采用强健的保护机制。

企业数据：供企业使用的设备提供发送邮件和办公应用功能，使得员工可以随时随地办公，这种能力需要设备可以通过VPN ，与公司的应用建立安全和快速的连接，安全的存储数据，并可以让IT 部门对其进行远程管理。IT 部门专家通常也对连接到内网的访问非常警觉，担心在外网使用的情况下，设备会携带恶意软件对内网造成攻击。因此，IT 部门基于他们的安全能力，经常建立设备的绿名单和红名单（区分设备的安全级别），他们也非常关心设备的自启动的属性、强制密码保护及设备自锁功能。

连接保护：现在有多种连接技术，让用户可以使用他们的设备进行点对点通信，及对互联网的访问，如：3G ，4G, Wi-Fi/WiMAX,以及个人通信方式，比如，蓝牙或NFC 。这些连接访问，包括得益于云计算的web 服务或远程存储，基本都是使用SSL/TLS,或IPSec 的网络安全协议。其缺点就是，有时需要对关键数据进行加密，有时需要对客户端会话进行加密。

金融风险：金融应用正在兴起，包括电子票、远程支付、近场支付等功能。在有些城市，已经可以使用移动设备在pos 终端进行支付交易了，如：刷公交，购买电影票，以及便利店买东西等。这些交易都被设置了消费上限来加强风险管理，当交易额超过一定值时，就需要更高级别的安全校验。有些商务模式中，移动设备本身也可当POS 终端使用。

所有这些因素都表明，安全问题在移动市场中必须被妥善解决，而我们也将看到，TEE W A T C H D A T A