TEE技术应用到智能设备生物识别场景的安全性分析

魏凡星，傅山，王嘉义，余泉

（中国信息通信研究院，北京 100191）

TEE技术应用到智能设备生物识别场景的安全性分析

魏凡星，傅山，王嘉义，余泉

（中国信息通信研究院，北京 100191）

随着生物识别技术在智能设备上的大规模应用，其安全性也越来越受到重视，把可信执行环境技术应用到智能设备生物识别场景能保证其安全性，因此首先介绍了智能设备生物识别的身份认证和可信执行环境，然后从安全技术和安全测评这两个维度分析了TEE技术应用到智能设备生物识别场景的安全性，最后对应用方法提出了建议。

可信执行环境 生物识别 身份认证 安全技术 安全测评

1 引言

移动互联网的快速发展使人们逐渐步入万物互联的时代，智能终端、物联网设备的大规模普及对身份认证技术有迫切的需求。智能产品的身份认证机制不断发展创新，生物识别技术作为一种更为安全便捷的身份认证方式，得到了广泛应用。生物识别应用逐渐从传统的门禁、考勤等领域向医疗、教育、社保等领域延伸，在个人身份识别、维护社会安全和国家安全等方面发挥重要作用。数据显示，2015年生物识别市场达到130亿美元，预计到2020年全球生物识别市场将突破250亿美元，CARG（Compound Annual Growth Rate，年复合增长率）为14.9%。

在万物智能化的趋势下，生物识别作为用户身份认证的入口，具备关键性地位。与此同时，涉及生物识别的安全隐患日渐凸显：315晚会上，一张静态照片通过图像处理和动态合成技术轻易破解了APP人脸识别系统。诸如此类的安全问题在生物识别呈普及趋势的情况下不在少数：2017年7月，美国自动售货机供应商Avanti Markets发现遭到黑客攻击，终端支付设备中被植入恶意软件，并被窃取了用户生物特征识别数据等个人信息。与其他个人信息不同，用户身份信息一旦被泄露，将导致仿冒身份等恶意事件的发生，带来一系列严重的经济和社会影响，甚至威胁国家安全。

在这样的背景下，增强智能设备生物识别技术安全性显得尤为重要。智能卡及终端安全标准组织GP（Global Platform，全球平台组织）提出了TEE（Trusted Execution Environment，可信执行环境）概念，搭载TEE的智能设备在提供丰富的应用的同时，能够满足金融支付、隐私保护、数字版权保护等应用的高安全需求，得到了用户和厂商、服务提供商的广泛认可。为了打造更加安全的生物识别环境，将TEE技术应用到智能设备生物识别场景，本文将从安全技术和检测两个维度分析其安全性。

2 智能设备身份认证和可信执行环境

2.1 智能设备生物识别身份认证

目前，许多智能设备都使用了基于指纹的认证技术，例如华为、魅族等，这些终端厂商侧重于手机本地的认证。国际上，FIDO推出了通用认证框架，FIDO定义了一种基于生物识别的身份认证框架，与终端厂商不同的是，FIDO使用了客户端/服务器的认证模式，侧重于客户端向远程服务器的认证。在FIDO的认证框架中，如图1所示，用户设备由用户应用、FIDO客户端和FIDO认证器组成，服务器由WEB应用和FIDO服务器组成，该框架中核心的两个流程是注册过程和认证过程。

注册过程如下：

（1）用户应用向服务器发起初始化注册请求；

（2）服务器发送注册请求给客户端，验证终端；

（3）FIDO认证器采集用户的生物信息并存储，并且生成新的密钥对；

（4）客户端把公钥和挑战码用私钥签名后发送给服务器；

图1 FIDO通用认证框架

（5）服务器验证客户端的签名、并存储用户的公钥。

认证过程如下：

（1）用户应用服务器发起初始化认证请求；

（2）服务器向终端发送认证请求、挑战码、策略；

（3）FIDO认证器验证用户并解锁用户私钥；

（4）客户端向服务器发送认证响应和用户的签名；

（5）服务器验证用户的签名从而完成认证过程。

2.2 智能设备可信执行环境

ARM TrustZone的系统安全性是通过将软件和硬件的资源划分到两个世界来保证的，这两个世界分别是正常世界和安全世界。安全世界用来实现可信执行环境TEE，正常世界用来实现REE，每个环境都有一个独立的操作系统，也就是说TEE是一个可以与普通操作系统并行的独立运行环境，包含软件和硬件两个部分。从安全性层面看，TEE是一种解决方案，为REE提供了安全保护。从系统架构的层面看，TEE自主访问硬件和软件安全资源且独立于REE和其上的应用。TEE为设备安全提供了框架，在REE和SE之间提供了一个安全层，REE与TEE架构如图2所示。

3 可信执行环境应用到生物特征身份认证的分析

3.1 生物特征身份认证的安全要求

图2 TEE系统架构

智能设备身份认证中的资产必须被加以保护，在基于生物特征识别的身份认证中，从功能上划分，客户端需要实现的主要功能有生物特征采集、生物特征对此、生物特征存储。除此之外，客户端还需要提供对用户的认证、与服务器共同完成对用户的认证并且提供生成密钥对、解锁等功能。服务器需要实现的功能有签名验证、利用身份认证协议完成对客户端的认证。客户端的安全资产包括FIDO客户端和FIDO认证器，其服务器端的安全资产包括FIDO服务器。根据安全资产可能面临的威胁，可将总体的安全目标分解为以下7个方面：

（1）身份识别：保证FIDO客户端和FIDO认证器身份标识的唯一性；

（2）权限分离：保证不同权限的用户权限分离，且只能在其权限范围内进行操作；

（3）数据保护：保护生物特征数据在采集、对比、存储和传输中的可靠性、机密性、完整性和一致性；

（4）随机性：保证密钥对的随机性；

（5）安全存储：保证数据的密钥的安全存储；（6）执行过程机密性：保证身份认证过程中数据的机密性；

（7）执行过程完整性：保证身份认证过程中数据和代码的完整性。

3.2 安全技术TEE和基于生物特征的身份认证

可信执行环境能够实现五个安全能力，分别是可信执行环境、安全启动、安全存储、运行时的完整性校验及可信用户接口。可信执行环境与REE相互隔离，各种敏感数据需要在TEE中存储和处理，可信应用TA也在TEE中执行，从形态上来说可信执行环境包括了提供TEE安全功能的软件、硬件和固件。安全启动是指验证TEE启动过程的每个阶段，通过对TEE内的软件镜像进行完整性校验来保证其在初始化过程中未被篡改。安全存储是指TEE为可信应用的数据和密钥提供了安全存储能力，只有通过TEE授权的可信应用才可以访问或修改安全存储空间的数据。运行时刻的完整性校验是指在安全启动后，TEE提供在系统正常运行期间对其主要硬件和软件的完整性保护，当TEE检测到一些不允许被修改的数据内容发生变化，应触发响应机制。TEE为用户输入/输出操作与可信应用提供了安全交互能力，以保护用户和可信应用在交互中涉及的敏感数据和敏感操作。

TEE与REE一同运行在智能设备上，其安全水平高于REE，TEE技术可以满足基于生物特征身份认证的安全需求，下文将从三个层面上分析TEE技术解决了身份认证中的哪些问题。

在应用层面上，如图3所示，用户应用运行在REE端，FIDO客户端和FIDO认证器是可信应用运行在TEE端。用户应用用于与FIDO客户端进行交互，也就是说，在REE端的用户应用只能通过调用TEE端的API接口与TEE端的FIDO客户端进行交互，在未经授权访问时，REE中的应用不能访问TEE中的任何资源。身份认证、加密存储等高安全需求都在TEE中实现，保证了高安全操作在一个可信的环境中执行。

在操作系统层面，TEE是一个独立的安全操作系统，TEE提供了安全用户接口、权限管理、安全存储、密钥管理、密码运算等，在身份认证过程中，只有可信的应用才能通过TEE操作系统访问敏感数据，保护了用户的敏感数据和敏感操作。

在硬件芯片层面，TEE使用的存储空间、内存和处理器和REE的相隔离，由于有严格的访问控制策略来保护TEE中的资源和代码，所以REE不能直接访问TEE的硬件资源。生物信息采集器是不可信的硬件，密钥生成和加解密可以设计在一个独立的安全芯片中，从硬件结构来看，二者相互独立。正是因为TEE平台良好的封闭性，所以能有效地减少外界的攻击。

图3 智能设备身份认证与TEE

TEE实现了信任链机制，从boot启动时，TEE就开始逐步验证。从引导程序到操作系统安全启动，TEE逐级检查关键代码，并利用密钥验证了完整性。除此之外，可信应用在下载和安装前，TEE都要对该应用的来源做认证。也就是说，TEE的信任链机制保证了链路上的完整性，能够有效地保证只有可信应用才能通过操作系统进行操作。TEE还实现了隔离技术，不仅把敏感操作从REE中隔离到TEE中执行，还把安全存储、加解密、安全数据等放在了基于硬件隔离的安全环境中。也就是说，生物特征的采集、对比、存储和加解密、密钥生成等操作都被隔离在一个可信的安全环境中，增大了攻击的难度，降低了隐私信息泄露风险。

综上所述，TEE技术能够满足身份认证领域的高安全需求，但如何把该技术成功应用到智能设备生物识别场景是一个问题，下文将从安全测评的角度探讨该话题。

4 安全测评

目前为止，FIDO联盟推出了UAF认证标准，Global Platform组织制定了一系列TEE安全测评标准，但还应该通过制定行业相关的标准，明确TEE在生物识别身份认证领域的技术要求，推动产品的规范化。

在安全测评方面，目前为止，已经有200多种设备通过了FIDO的检测，国内支持FIDO的产品主要有京东钱包、百度钱包、翼支付等。但由于FIDO是国际标准，所以还需要加入国密算法和国产芯片的支持。在TEE安全性测评方面，目前主要依据GP的TEE标准，但与传统身份认证中使用的密码不同，基于生物识别的身份认证使用了指纹、虹膜和人脸识别等一种或多种识别方案，这些生物信息的存储方式和处理方式都与传统的方式不同，这些差异给目前的TEE安全性测评带来了挑战。目前，国内的研究机构也在逐步摸索智能设备生物识别安全性的测评方案，但还未建立起一套完善的测评体系，第三方检测机构可以结合生物识别和TEE两者的特点建立一套完善的安全性测评体系。

5 结束语

本文介绍了智能设备生物识别的身份认证和可信执行环境，然后从安全技术和安全测评这两个维度分析了TEE技术应用到智能设备生物识别场景的安全性，由本文的分析可知，从安全技术和安全测评来看，把TEE技术应用到智能设备生物识别场景可以打造更安全的生物识别环境。另外，建议从安全测评和标准制定两个方面推动TEE解决方案到身份认证领域的应用，更好地保障用户身份信息的安全，更好地服务于社会。

[1] 焦四辈,杨正军,国炜. 智能终端可信执行环境安全性分析[J]. 互联网天地, 2016(8): 8-13.

[2] 国炜,潘娟. 移动智能终端可信执行环境分析[J]. 现代电信科技, 2012(12): 8-12.

[3] 国炜,王宗岳,焦四辈,等. 移动终端安全隔离技术分析[J]. 移动通信, 2016,40(21): 11-16.

[4] 王宗岳. 安全芯片在智能终端中的应用与分析[J]. 互联网天地, 2016(8): 19-22.

[5] Global Platform Device Technology. TEE System Architecture Version 1.0[Z]. 2011.

[6] OMTP Documents 1.1. Open Mobile Terminal Platform Advanced Trusted Environment OMTP TR1 v1.1[Z]. 2012.

[7] 傅山,马鑫,潘娟. 移动支付中的安全挑战与应对措施研究[J]. 互联网天地, 2014(3): 26-29.

[8] 王宗岳,傅山,潘娟. 可穿戴设备发展现状及安全性分析[J]. 互联网天地, 2015(10): 5-8.

[9] 傅山,潘娟. 移动智能终端生物识别发展与挑战[J].移动通信, 2015,39(5): 13-16.

[10] 张鹏,史德年. 智能终端安全威胁及应对措施[J].移动通信, 2013,37(5): 15-17.

[11] 潘娟,袁广翔. 移动智能终端安全威胁及应对措施[J]. 移动通信, 2015,39(5): 21-25. ★

Analysis on Security of the Application of TEE Technology to Biometrics of Smart Devices

WEI Fanxing, FU Shan, WANG Jiayi, YU Quan
(China Academy of Information and Communications Technology, Beijing 100191, China)

With the large-scale application of biometrics to smart devices, the security attracts more attention. The application of the Trusted Execution Environment (TEE) technology to the scenario of biometrics of smart devices can guarantee the security. Therefore, the identity and the TEE for biometrics of smart devices were introduced fi rstly.Then, the security of the application of TEE technology to the scenario of biometrics of smart devices was addressed from the two dimensions of security technology and security evaluation. Finally, the application methods were suggested.

Trusted Execution Environment biometrics identity authentication security technology security evaluation

10.3969/j.issn.1006-1010.2017.21.002

TP391

A

1006-1010(2017)21-0006-04

魏凡星,傅山,王嘉义,等. TEE技术应用到智能设备生物识别场景的安全性分析[J]. 移动通信, 2017,41(21): 6-9.

2017-10-30

黄耿东 huanggengdong@mbcom.cn

魏凡星：硕士毕业于北京理工大学，现任职于中国信息通信研究院泰尔终端实验室信息安全部，主要从事移动互联网安全、芯片安全等相关工作。

傅山：工程师，硕士毕业于美国哥伦比亚大学电子工程系，现任职于中国信息通信研究院泰尔终端实验室信息安全部，主要从事移动互联网安全、身份认证等相关研究工作。

王嘉义：现任职于中国信息通信研究院泰尔终端实验室信息安全部，主要从事移动互联网安全、芯片安全、身份认证等相关工作。