标准规范下载简介：

内容预览由机器从pdf转换为word，准确率92%以上，供参考

TAF-WG4-AS0008-V1.0.0：2017 移动终端安全环境安全评估内容和方法.pdf

B.5TEE安全管理要求

B.6TEE保证TA安全执行要求

B.7TEE运行时安全能力要求

B.8 TUI安全要求

C.1基于硬件的攻击路径

附录C （资料性附录） 渗透性攻击测试方法

侧信道攻击：侧信道攻击的目的是恢复可信存储中的加密密钥。攻击的手段是在可信存储 操作过程中，通过对获取到的TEE平台能量或电磁信号进行分析来恢复可信存储操作的密 钥。 错误注入攻击：这种攻击的目的是使用激光、电磁或者毛刺等物理手段作用于输入信号（如 时钟、电源），来临时的改变TEE的某种行为。这种攻击行为可以改变代码的执行顺序或 者改变对处理数据的解释，以便旁路那些TEE中执行的安全校验例如签名验证或者防回滚 校验。

C.2基于软件的攻击路径

缓存攻击：这种攻击方法的前提条件是TEE和REE的共享内存机制、完全由软件实现的 加解密以及加密算法依赖于对存储的接入，通过控制REE侧的内存来获取到分配给TEE 的内存信息，进而测量TEE加密操作的次数以便统计出密钥信息 API接口的模糊测试：这种攻击的目的是触发TEE的异常行为或者是TEE内部的一个异 常状态以便挖掘出脆弱点。 存储隔离的破坏：这种攻击方法是利用存储隔离的缺陷直接接入TEE存储并尝试修改里 面的内容。 证书解析算法分析：这种攻击方法是通过提供TEE一个错误的证书使攻击者在安全环境 内注入一段伪代码。 已知API或者协议的脆弱性利用：这种攻击方法是利用已被弃用或者未被文档化的接口向 TEE中注入恶意代码或者从TEE中提取敏感数据，攻击向量例如是加密API调用了存有 漏洞的算法库或者未即时更新安全补丁的API

缓存攻击：这种攻击方法的前提条件是TEE和REE的共享内存机制、完全由软件实现的 加解密以及加密算法依赖于对存储的接入，通过控制REE侧的内存来获取到分配给TEE 的内存信息，进而测量TEE加密操作的次数以便统计出密钥信息 API接口的模糊测试：这种攻击的目的是触发TEE的异常行为或者是TEE内部的一个异 常状态以便挖掘出脆弱点。 存储隔离的破坏：这种攻击方法是利用存储隔离的缺陷直接接入TEE存储并尝试修改里 面的内容。 证书解析算法分析：这种攻击方法是通过提供TEE一个错误的证书使攻击者在安全环境 内注入一段伪代码。 已知API或者协议的脆弱性利用：这种攻击方法是利用已被弃用或者未被文档化的接口向 TEE中注入恶意代码或者从TEE中提取敏感数据，攻击向量例如是加密API调用了存有 漏洞的算法库或者未即时更新安全补丁的API

附录D （资料性附录） 厂商提交的产品清单

O 开发板 数量：（根据级别2/12/22） 10个样品去表层封装（高级） 样品表面没有任何覆盖（如散热片） 样品主芯片可由外部电源单独供电DB3301T 059.3-2008 雪水云绿茶 第3部分：加工技术规程，尽量减少电源的滤波电容 提供调试接口（如JTAG、USB等） 触发 触发信号可以被测试程序控制 触发信号可以以简单方式与示波器相连（如I/O引脚或GPIO引脚） 触发信号触发与待测模块启动之间没有非必要的操作 O Reset 提供样品的reset信号，并能从外部对其进行控制 Reset跟冷启动过程等价 模块 样品安全防护功能可以在测试过程中开启或关闭，包括软硬件 与测试向量无关的模块可以被关闭（如显示屏，GPS，WIFI，蓝牙等） 样品能通过通信接口与计算机相连并传输数据 主芯片时钟信号可设置为由外部时钟输入 密码算法底层输入输出可直接通过通信接口导出

这里主要包含评测过程中需要的软件相关资源 REE/TEE应用开发环境 REE应用开发环境（CA开发SDK） TEE应用开发环境（TA开发SDK） 开发所使用的IDE O ToEDebug实验环境 针对REE/TEE进行Debug的工具列表，必要时提供列表中的工具 针对ToE的Debug软件环境的搭建（例如Debug所需驱动、工具、软件，SDK等） ToE固件打包工具 固件生成工具

这里主要包含评测过程中所需要的文档资源 O ToE整体架构设计文档 整个系统的硬件架构设计文档 整个系统的软件架构设计文档 O ToETEE内存分配与隔离设计文档 TEE硬件隔离机制 TEE内存分配与共享机制 内存页表的配置 MMU的配置 REE与TEE之间内存共享映射机制与保护机制 TEE内存/FLASH等存储介质的隔离机制 O ToETEE安全启动详细实现文档 安全启动架构设计 对启动代码的可靠性、完整性验证实现机制 启动代码对硬件的硬件验证/绑定机制（如果实现了） TEE启动环境初始化详细流程 样品系统完整启动流程（包括TEE/REE的完整启动过程、状态机） 代码（固件/BootLoader）更新流程 代码更新安全防护机制（例如防止回滚，固件验证等） 启动/更新过程的异常处理机制 TEE的基础工作流程/状态机介绍文档 TEE有哪些基本工作状态 TEE有哪些异常状态 TEE是如何在这些状态之间进行切换与保护的等信息。 ? TEE的异常恢复与保护机制实现文档 存储和恢复设备唯一标识的实现机制 针对REETA引起的异常保护机制 针对其他异常的保护机制（例如断电、重启等） 回滚验证与保护机制（时间回滚、版本回滚等） O ToE实现的公开API文档 加密算法API 安全存储API Etc... O TEE的应用装载和应用使用策略应用接口文档 文档应描述TEE在装载、更新、卸载应用时，代码所调用的应用接口。 O 可信执行环境应用装载和应用使用管理

TEE与可信输入输出设备之间的安全保障 TEE与可信输入输出设备之间通信时的隔离实现（主要是与REE的隔离） Etc.. · 安全显示功能描述 文档应描述可信用户接口显示屏的显示顺序的原子性 文档应描述保证可信显示由TA发起时REE隔离策略 文档应描述保证可信显示接口显示屏出于现实状态时，REE不能对该显示屏进 行读或写操作 文档应描述保证可信显示的超时处理机制 文档应描述保证可信显示处于显示状态时，安全指示处于有效状态 文档应描述在异常或低功耗情况下的安全显示的显示功能应停止工作 安全输入功能描述 文档应描述当时用键盘或虚拟键盘进行安全输入时，TEE所提供的安全指示应 处于有效状态，及遇到异常或低功耗时的安全输入终止策略。 安全指示功能描述 ■文档应描述安全指示功能的应用场景、与REE的逻辑隔离及遇到异常或低功耗 时的安全指示终止策略。 O 产品硬件设计文档 样品数据手册 所有芯片的数据手册 样品内部电源设计文档 样品时钟设计文档 样品电路图 样品PCB版图 样品Gerber文件 样品序列号、样品ID说明文档 使用说明 Debug工具的详细描述 开发板使用说明 样品使用说明 测试环境搭建说明 测试程序说明