TEE技術(shù)應(yīng)用到智能設(shè)備生物識(shí)別場(chǎng)景的安全性分析

魏凡星，傅山，王嘉義，余泉

（中國(guó)信息通信研究院，北京 100191）

TEE技術(shù)應(yīng)用到智能設(shè)備生物識(shí)別場(chǎng)景的安全性分析

魏凡星，傅山，王嘉義，余泉

（中國(guó)信息通信研究院，北京 100191）

隨著生物識(shí)別技術(shù)在智能設(shè)備上的大規(guī)模應(yīng)用，其安全性也越來越受到重視，把可信執(zhí)行環(huán)境技術(shù)應(yīng)用到智能設(shè)備生物識(shí)別場(chǎng)景能保證其安全性，因此首先介紹了智能設(shè)備生物識(shí)別的身份認(rèn)證和可信執(zhí)行環(huán)境，然后從安全技術(shù)和安全測(cè)評(píng)這兩個(gè)維度分析了TEE技術(shù)應(yīng)用到智能設(shè)備生物識(shí)別場(chǎng)景的安全性，最后對(duì)應(yīng)用方法提出了建議。

可信執(zhí)行環(huán)境 生物識(shí)別 身份認(rèn)證 安全技術(shù) 安全測(cè)評(píng)

1 引言

移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展使人們逐漸步入萬物互聯(lián)的時(shí)代，智能終端、物聯(lián)網(wǎng)設(shè)備的大規(guī)模普及對(duì)身份認(rèn)證技術(shù)有迫切的需求。智能產(chǎn)品的身份認(rèn)證機(jī)制不斷發(fā)展創(chuàng)新，生物識(shí)別技術(shù)作為一種更為安全便捷的身份認(rèn)證方式，得到了廣泛應(yīng)用。生物識(shí)別應(yīng)用逐漸從傳統(tǒng)的門禁、考勤等領(lǐng)域向醫(yī)療、教育、社保等領(lǐng)域延伸，在個(gè)人身份識(shí)別、維護(hù)社會(huì)安全和國(guó)家安全等方面發(fā)揮重要作用。數(shù)據(jù)顯示，2015年生物識(shí)別市場(chǎng)達(dá)到130億美元，預(yù)計(jì)到2020年全球生物識(shí)別市場(chǎng)將突破250億美元，CARG（Compound Annual Growth Rate，年復(fù)合增長(zhǎng)率）為14.9%。

在萬物智能化的趨勢(shì)下，生物識(shí)別作為用戶身份認(rèn)證的入口，具備關(guān)鍵性地位。與此同時(shí)，涉及生物識(shí)別的安全隱患日漸凸顯：315晚會(huì)上，一張靜態(tài)照片通過圖像處理和動(dòng)態(tài)合成技術(shù)輕易破解了APP人臉識(shí)別系統(tǒng)。諸如此類的安全問題在生物識(shí)別呈普及趨勢(shì)的情況下不在少數(shù)：2017年7月，美國(guó)自動(dòng)售貨機(jī)供應(yīng)商Avanti Markets發(fā)現(xiàn)遭到黑客攻擊，終端支付設(shè)備中被植入惡意軟件，并被竊取了用戶生物特征識(shí)別數(shù)據(jù)等個(gè)人信息。與其他個(gè)人信息不同，用戶身份信息一旦被泄露，將導(dǎo)致仿冒身份等惡意事件的發(fā)生，帶來一系列嚴(yán)重的經(jīng)濟(jì)和社會(huì)影響，甚至威脅國(guó)家安全。

在這樣的背景下，增強(qiáng)智能設(shè)備生物識(shí)別技術(shù)安全性顯得尤為重要。智能卡及終端安全標(biāo)準(zhǔn)組織GP（Global Platform，全球平臺(tái)組織）提出了TEE（Trusted Execution Environment，可信執(zhí)行環(huán)境）概念，搭載TEE的智能設(shè)備在提供豐富的應(yīng)用的同時(shí)，能夠滿足金融支付、隱私保護(hù)、數(shù)字版權(quán)保護(hù)等應(yīng)用的高安全需求，得到了用戶和廠商、服務(wù)提供商的廣泛認(rèn)可。為了打造更加安全的生物識(shí)別環(huán)境，將TEE技術(shù)應(yīng)用到智能設(shè)備生物識(shí)別場(chǎng)景，本文將從安全技術(shù)和檢測(cè)兩個(gè)維度分析其安全性。

2 智能設(shè)備身份認(rèn)證和可信執(zhí)行環(huán)境

2.1 智能設(shè)備生物識(shí)別身份認(rèn)證

目前，許多智能設(shè)備都使用了基于指紋的認(rèn)證技術(shù)，例如華為、魅族等，這些終端廠商側(cè)重于手機(jī)本地的認(rèn)證。國(guó)際上，F(xiàn)IDO推出了通用認(rèn)證框架，F(xiàn)IDO定義了一種基于生物識(shí)別的身份認(rèn)證框架，與終端廠商不同的是，F(xiàn)IDO使用了客戶端/服務(wù)器的認(rèn)證模式，側(cè)重于客戶端向遠(yuǎn)程服務(wù)器的認(rèn)證。在FIDO的認(rèn)證框架中，如圖1所示，用戶設(shè)備由用戶應(yīng)用、FIDO客戶端和FIDO認(rèn)證器組成，服務(wù)器由WEB應(yīng)用和FIDO服務(wù)器組成，該框架中核心的兩個(gè)流程是注冊(cè)過程和認(rèn)證過程。

注冊(cè)過程如下：

（1）用戶應(yīng)用向服務(wù)器發(fā)起初始化注冊(cè)請(qǐng)求；

（2）服務(wù)器發(fā)送注冊(cè)請(qǐng)求給客戶端，驗(yàn)證終端；

（3）FIDO認(rèn)證器采集用戶的生物信息并存儲(chǔ)，并且生成新的密鑰對(duì)；

（4）客戶端把公鑰和挑戰(zhàn)碼用私鑰簽名后發(fā)送給服務(wù)器；

圖1 FIDO通用認(rèn)證框架

（5）服務(wù)器驗(yàn)證客戶端的簽名、并存儲(chǔ)用戶的公鑰。

認(rèn)證過程如下：

（1）用戶應(yīng)用服務(wù)器發(fā)起初始化認(rèn)證請(qǐng)求；

（2）服務(wù)器向終端發(fā)送認(rèn)證請(qǐng)求、挑戰(zhàn)碼、策略；

（3）FIDO認(rèn)證器驗(yàn)證用戶并解鎖用戶私鑰；

（4）客戶端向服務(wù)器發(fā)送認(rèn)證響應(yīng)和用戶的簽名；

（5）服務(wù)器驗(yàn)證用戶的簽名從而完成認(rèn)證過程。

2.2 智能設(shè)備可信執(zhí)行環(huán)境

ARM TrustZone的系統(tǒng)安全性是通過將軟件和硬件的資源劃分到兩個(gè)世界來保證的，這兩個(gè)世界分別是正常世界和安全世界。安全世界用來實(shí)現(xiàn)可信執(zhí)行環(huán)境TEE，正常世界用來實(shí)現(xiàn)REE，每個(gè)環(huán)境都有一個(gè)獨(dú)立的操作系統(tǒng)，也就是說TEE是一個(gè)可以與普通操作系統(tǒng)并行的獨(dú)立運(yùn)行環(huán)境，包含軟件和硬件兩個(gè)部分。從安全性層面看，TEE是一種解決方案，為REE提供了安全保護(hù)。從系統(tǒng)架構(gòu)的層面看，TEE自主訪問硬件和軟件安全資源且獨(dú)立于REE和其上的應(yīng)用。TEE為設(shè)備安全提供了框架，在REE和SE之間提供了一個(gè)安全層，REE與TEE架構(gòu)如圖2所示。

3 可信執(zhí)行環(huán)境應(yīng)用到生物特征身份認(rèn)證的分析

3.1 生物特征身份認(rèn)證的安全要求

圖2 TEE系統(tǒng)架構(gòu)

智能設(shè)備身份認(rèn)證中的資產(chǎn)必須被加以保護(hù)，在基于生物特征識(shí)別的身份認(rèn)證中，從功能上劃分，客戶端需要實(shí)現(xiàn)的主要功能有生物特征采集、生物特征對(duì)此、生物特征存儲(chǔ)。除此之外，客戶端還需要提供對(duì)用戶的認(rèn)證、與服務(wù)器共同完成對(duì)用戶的認(rèn)證并且提供生成密鑰對(duì)、解鎖等功能。服務(wù)器需要實(shí)現(xiàn)的功能有簽名驗(yàn)證、利用身份認(rèn)證協(xié)議完成對(duì)客戶端的認(rèn)證。客戶端的安全資產(chǎn)包括FIDO客戶端和FIDO認(rèn)證器，其服務(wù)器端的安全資產(chǎn)包括FIDO服務(wù)器。根據(jù)安全資產(chǎn)可能面臨的威脅，可將總體的安全目標(biāo)分解為以下7個(gè)方面：

（1）身份識(shí)別：保證FIDO客戶端和FIDO認(rèn)證器身份標(biāo)識(shí)的唯一性；

（2）權(quán)限分離：保證不同權(quán)限的用戶權(quán)限分離，且只能在其權(quán)限范圍內(nèi)進(jìn)行操作；

（3）數(shù)據(jù)保護(hù)：保護(hù)生物特征數(shù)據(jù)在采集、對(duì)比、存儲(chǔ)和傳輸中的可靠性、機(jī)密性、完整性和一致性；

（4）隨機(jī)性：保證密鑰對(duì)的隨機(jī)性；

（5）安全存儲(chǔ)：保證數(shù)據(jù)的密鑰的安全存儲(chǔ)；（6）執(zhí)行過程機(jī)密性：保證身份認(rèn)證過程中數(shù)據(jù)的機(jī)密性；

（7）執(zhí)行過程完整性：保證身份認(rèn)證過程中數(shù)據(jù)和代碼的完整性。

3.2 安全技術(shù)TEE和基于生物特征的身份認(rèn)證

可信執(zhí)行環(huán)境能夠?qū)崿F(xiàn)五個(gè)安全能力，分別是可信執(zhí)行環(huán)境、安全啟動(dòng)、安全存儲(chǔ)、運(yùn)行時(shí)的完整性校驗(yàn)及可信用戶接口。可信執(zhí)行環(huán)境與REE相互隔離，各種敏感數(shù)據(jù)需要在TEE中存儲(chǔ)和處理，可信應(yīng)用TA也在TEE中執(zhí)行，從形態(tài)上來說可信執(zhí)行環(huán)境包括了提供TEE安全功能的軟件、硬件和固件。安全啟動(dòng)是指驗(yàn)證TEE啟動(dòng)過程的每個(gè)階段，通過對(duì)TEE內(nèi)的軟件鏡像進(jìn)行完整性校驗(yàn)來保證其在初始化過程中未被篡改。安全存儲(chǔ)是指TEE為可信應(yīng)用的數(shù)據(jù)和密鑰提供了安全存儲(chǔ)能力，只有通過TEE授權(quán)的可信應(yīng)用才可以訪問或修改安全存儲(chǔ)空間的數(shù)據(jù)。運(yùn)行時(shí)刻的完整性校驗(yàn)是指在安全啟動(dòng)后，TEE提供在系統(tǒng)正常運(yùn)行期間對(duì)其主要硬件和軟件的完整性保護(hù)，當(dāng)TEE檢測(cè)到一些不允許被修改的數(shù)據(jù)內(nèi)容發(fā)生變化，應(yīng)觸發(fā)響應(yīng)機(jī)制。TEE為用戶輸入/輸出操作與可信應(yīng)用提供了安全交互能力，以保護(hù)用戶和可信應(yīng)用在交互中涉及的敏感數(shù)據(jù)和敏感操作。

TEE與REE一同運(yùn)行在智能設(shè)備上，其安全水平高于REE，TEE技術(shù)可以滿足基于生物特征身份認(rèn)證的安全需求，下文將從三個(gè)層面上分析TEE技術(shù)解決了身份認(rèn)證中的哪些問題。

在應(yīng)用層面上，如圖3所示，用戶應(yīng)用運(yùn)行在REE端，F(xiàn)IDO客戶端和FIDO認(rèn)證器是可信應(yīng)用運(yùn)行在TEE端。用戶應(yīng)用用于與FIDO客戶端進(jìn)行交互，也就是說，在REE端的用戶應(yīng)用只能通過調(diào)用TEE端的API接口與TEE端的FIDO客戶端進(jìn)行交互，在未經(jīng)授權(quán)訪問時(shí)，REE中的應(yīng)用不能訪問TEE中的任何資源。身份認(rèn)證、加密存儲(chǔ)等高安全需求都在TEE中實(shí)現(xiàn)，保證了高安全操作在一個(gè)可信的環(huán)境中執(zhí)行。

在操作系統(tǒng)層面，TEE是一個(gè)獨(dú)立的安全操作系統(tǒng)，TEE提供了安全用戶接口、權(quán)限管理、安全存儲(chǔ)、密鑰管理、密碼運(yùn)算等，在身份認(rèn)證過程中，只有可信的應(yīng)用才能通過TEE操作系統(tǒng)訪問敏感數(shù)據(jù)，保護(hù)了用戶的敏感數(shù)據(jù)和敏感操作。

在硬件芯片層面，TEE使用的存儲(chǔ)空間、內(nèi)存和處理器和REE的相隔離，由于有嚴(yán)格的訪問控制策略來保護(hù)TEE中的資源和代碼，所以REE不能直接訪問TEE的硬件資源。生物信息采集器是不可信的硬件，密鑰生成和加解密可以設(shè)計(jì)在一個(gè)獨(dú)立的安全芯片中，從硬件結(jié)構(gòu)來看，二者相互獨(dú)立。正是因?yàn)門EE平臺(tái)良好的封閉性，所以能有效地減少外界的攻擊。

圖3 智能設(shè)備身份認(rèn)證與TEE

TEE實(shí)現(xiàn)了信任鏈機(jī)制，從boot啟動(dòng)時(shí)，TEE就開始逐步驗(yàn)證。從引導(dǎo)程序到操作系統(tǒng)安全啟動(dòng)，TEE逐級(jí)檢查關(guān)鍵代碼，并利用密鑰驗(yàn)證了完整性。除此之外，可信應(yīng)用在下載和安裝前，TEE都要對(duì)該應(yīng)用的來源做認(rèn)證。也就是說，TEE的信任鏈機(jī)制保證了鏈路上的完整性，能夠有效地保證只有可信應(yīng)用才能通過操作系統(tǒng)進(jìn)行操作。TEE還實(shí)現(xiàn)了隔離技術(shù)，不僅把敏感操作從REE中隔離到TEE中執(zhí)行，還把安全存儲(chǔ)、加解密、安全數(shù)據(jù)等放在了基于硬件隔離的安全環(huán)境中。也就是說，生物特征的采集、對(duì)比、存儲(chǔ)和加解密、密鑰生成等操作都被隔離在一個(gè)可信的安全環(huán)境中，增大了攻擊的難度，降低了隱私信息泄露風(fēng)險(xiǎn)。

綜上所述，TEE技術(shù)能夠滿足身份認(rèn)證領(lǐng)域的高安全需求，但如何把該技術(shù)成功應(yīng)用到智能設(shè)備生物識(shí)別場(chǎng)景是一個(gè)問題，下文將從安全測(cè)評(píng)的角度探討該話題。

4 安全測(cè)評(píng)

目前為止，F(xiàn)IDO聯(lián)盟推出了UAF認(rèn)證標(biāo)準(zhǔn)，Global Platform組織制定了一系列TEE安全測(cè)評(píng)標(biāo)準(zhǔn)，但還應(yīng)該通過制定行業(yè)相關(guān)的標(biāo)準(zhǔn)，明確TEE在生物識(shí)別身份認(rèn)證領(lǐng)域的技術(shù)要求，推動(dòng)產(chǎn)品的規(guī)范化。

在安全測(cè)評(píng)方面，目前為止，已經(jīng)有200多種設(shè)備通過了FIDO的檢測(cè)，國(guó)內(nèi)支持FIDO的產(chǎn)品主要有京東錢包、百度錢包、翼支付等。但由于FIDO是國(guó)際標(biāo)準(zhǔn)，所以還需要加入國(guó)密算法和國(guó)產(chǎn)芯片的支持。在TEE安全性測(cè)評(píng)方面，目前主要依據(jù)GP的TEE標(biāo)準(zhǔn)，但與傳統(tǒng)身份認(rèn)證中使用的密碼不同，基于生物識(shí)別的身份認(rèn)證使用了指紋、虹膜和人臉識(shí)別等一種或多種識(shí)別方案，這些生物信息的存儲(chǔ)方式和處理方式都與傳統(tǒng)的方式不同，這些差異給目前的TEE安全性測(cè)評(píng)帶來了挑戰(zhàn)。目前，國(guó)內(nèi)的研究機(jī)構(gòu)也在逐步摸索智能設(shè)備生物識(shí)別安全性的測(cè)評(píng)方案，但還未建立起一套完善的測(cè)評(píng)體系，第三方檢測(cè)機(jī)構(gòu)可以結(jié)合生物識(shí)別和TEE兩者的特點(diǎn)建立一套完善的安全性測(cè)評(píng)體系。

5 結(jié)束語

本文介紹了智能設(shè)備生物識(shí)別的身份認(rèn)證和可信執(zhí)行環(huán)境，然后從安全技術(shù)和安全測(cè)評(píng)這兩個(gè)維度分析了TEE技術(shù)應(yīng)用到智能設(shè)備生物識(shí)別場(chǎng)景的安全性，由本文的分析可知，從安全技術(shù)和安全測(cè)評(píng)來看，把TEE技術(shù)應(yīng)用到智能設(shè)備生物識(shí)別場(chǎng)景可以打造更安全的生物識(shí)別環(huán)境。另外，建議從安全測(cè)評(píng)和標(biāo)準(zhǔn)制定兩個(gè)方面推動(dòng)TEE解決方案到身份認(rèn)證領(lǐng)域的應(yīng)用，更好地保障用戶身份信息的安全，更好地服務(wù)于社會(huì)。

[1] 焦四輩,楊正軍,國(guó)煒. 智能終端可信執(zhí)行環(huán)境安全性分析[J]. 互聯(lián)網(wǎng)天地, 2016(8): 8-13.

[2] 國(guó)煒,潘娟. 移動(dòng)智能終端可信執(zhí)行環(huán)境分析[J]. 現(xiàn)代電信科技, 2012(12): 8-12.

[3] 國(guó)煒,王宗岳,焦四輩,等. 移動(dòng)終端安全隔離技術(shù)分析[J]. 移動(dòng)通信, 2016,40(21): 11-16.

[4] 王宗岳. 安全芯片在智能終端中的應(yīng)用與分析[J]. 互聯(lián)網(wǎng)天地, 2016(8): 19-22.

[5] Global Platform Device Technology. TEE System Architecture Version 1.0[Z]. 2011.

[6] OMTP Documents 1.1. Open Mobile Terminal Platform Advanced Trusted Environment OMTP TR1 v1.1[Z]. 2012.

[7] 傅山,馬鑫,潘娟. 移動(dòng)支付中的安全挑戰(zhàn)與應(yīng)對(duì)措施研究[J]. 互聯(lián)網(wǎng)天地, 2014(3): 26-29.

[8] 王宗岳,傅山,潘娟. 可穿戴設(shè)備發(fā)展現(xiàn)狀及安全性分析[J]. 互聯(lián)網(wǎng)天地, 2015(10): 5-8.

[9] 傅山,潘娟. 移動(dòng)智能終端生物識(shí)別發(fā)展與挑戰(zhàn)[J].移動(dòng)通信, 2015,39(5): 13-16.

[10] 張鵬,史德年. 智能終端安全威脅及應(yīng)對(duì)措施[J].移動(dòng)通信, 2013,37(5): 15-17.

[11] 潘娟,袁廣翔. 移動(dòng)智能終端安全威脅及應(yīng)對(duì)措施[J]. 移動(dòng)通信, 2015,39(5): 21-25. ★

Analysis on Security of the Application of TEE Technology to Biometrics of Smart Devices

WEI Fanxing, FU Shan, WANG Jiayi, YU Quan
(China Academy of Information and Communications Technology, Beijing 100191, China)

With the large-scale application of biometrics to smart devices, the security attracts more attention. The application of the Trusted Execution Environment (TEE) technology to the scenario of biometrics of smart devices can guarantee the security. Therefore, the identity and the TEE for biometrics of smart devices were introduced fi rstly.Then, the security of the application of TEE technology to the scenario of biometrics of smart devices was addressed from the two dimensions of security technology and security evaluation. Finally, the application methods were suggested.

Trusted Execution Environment biometrics identity authentication security technology security evaluation

10.3969/j.issn.1006-1010.2017.21.002

TP391

A

1006-1010(2017)21-0006-04

魏凡星,傅山,王嘉義,等. TEE技術(shù)應(yīng)用到智能設(shè)備生物識(shí)別場(chǎng)景的安全性分析[J]. 移動(dòng)通信, 2017,41(21): 6-9.

2017-10-30

黃耿東 huanggengdong@mbcom.cn

魏凡星：碩士畢業(yè)于北京理工大學(xué)，現(xiàn)任職于中國(guó)信息通信研究院泰爾終端實(shí)驗(yàn)室信息安全部，主要從事移動(dòng)互聯(lián)網(wǎng)安全、芯片安全等相關(guān)工作。

傅山：工程師，碩士畢業(yè)于美國(guó)哥倫比亞大學(xué)電子工程系，現(xiàn)任職于中國(guó)信息通信研究院泰爾終端實(shí)驗(yàn)室信息安全部，主要從事移動(dòng)互聯(lián)網(wǎng)安全、身份認(rèn)證等相關(guān)研究工作。

王嘉義：現(xiàn)任職于中國(guó)信息通信研究院泰爾終端實(shí)驗(yàn)室信息安全部，主要從事移動(dòng)互聯(lián)網(wǎng)安全、芯片安全、身份認(rèn)證等相關(guān)工作。