基于生物特征识别移动智能终端身份鉴别可信执行环境说明、基于指纹识别的身份鉴别应用.参考分享.docVIP

附 录 A （资料性附录）可信执行环境说明 一般来说， 运行在移动设备中的开放执行环境被称为富执行环境， 富执行环境为运行其 中的应用程序提供开放、 丰富的运行能力支持， 但安全保护能力相对较弱。 可信执行环境是 指运行在移动设备中的隔离执行环境， 相对于富执行环境， 具备较强的安全能力， 可信执行 环境保证各种敏感数据在一个可信环境中被安全传输、 存储、处理，并为可信应用提供一个 安全的执行环境。在移动智能终端， 可信执行环境确保数据机密性、完整性、可用性和访问 权限；保证人机交互、密码输入、生物特征交互、可信信息的输出，为安全载体提供可信操作环境 , 如图 A.1 所示。 REE TEE 应用 共享内存 共享内存 可信应用 TEE 内部 API TEE 外部 API 可信 OS基础服务 通用 OS框架和服务 可信 OS内核框架 可信 OS Linux 内核和驱动 可信虚拟化层（可选） 消息 系统软硬件平台 图 A.1 可信执行环境示意图 以安全启动为例， 移动智能终端安全启动代码应进行完整性验证， 当验证通过后执行安 全启动过程。 安全启动信任链可信根源于安全芯片， 覆盖芯片安全环境启动， 终端安全环境 启动。安全启动过程是指通过签名验证方法 ( 具体实现依赖于芯片制造商 ) 来检验 TEE启动过 程的每一个阶段， 以确保 TEE内软件镜像的完整性， 防止对软件进行非授权或者恶意的修改。 安全启动过程保证了 TEE的安全功能被正确地初始化，并且这个初始化过程不受 REE的攻击， 同时使固件的版本符合 TEE版本更新策略。 安全启动也伴随着一个信任链， 即整个过程开始于一个可信代码 （即这个代码的完整性 受到保障） 或者信任根， 之后在执行其它代码之前都要验证其可靠性。 对于在安全启动过程 中哪些代码需要验证本部分不具体定义。 安全启动的代码也可以通过空中下载技术以代码镜像的方式进行更新。 为了保证代码更新的安全性， 在更新代码之前必须验证更新镜像的可靠性和完整性。 AA 附 录 B （资料性附录） 基于指纹识别的身份鉴别应用 在实际应用中，基于指纹识别的身份鉴别应用主要可分为注册和鉴别两个流程。注册流程一般为： 用户在智能终端通过移动应用向移动应用服务器发起指纹身份鉴别注册请求； b) 移动应用服务器判断是否允许此次指纹身份鉴别注册请求， 如允许， 向身份鉴别服 务器转发身份鉴别注册请求； c) 身份鉴别服务器判断是否允许此次指纹身份鉴别注册请求， 如允许， 返回指纹身份 鉴别注册请求响应，并经移动应用服务器返回给移动应用； 移动应用通过调用身份鉴别中间件将注册请求响应发送至身份鉴别可信应用中进行处理； e) 身份鉴别可信应用对身份鉴别注册请求响应进行处理， 在用户智能终端本地随机生 成与此身份鉴别相关联的用户鉴别非对称密钥对， 并调用指纹识别认证器对用户进 行验证。 用户验证通过后， 将用户鉴别密钥公钥与相绑定的用户指纹模板标识等信息使用移动设备认证密钥签名后返回给移动应用； 移动应用将信息经移动应用服务器转发至身份鉴别服务器进行验证； 身份鉴别服务器对信息进行验证， 验证通过后在身份鉴别服务器端保存注册关系以及对应的用户鉴别密钥公钥、 用户指纹模板标识等， 并返回指纹身份鉴别注册结果至移动应用服务器； 移动应用服务器将指纹身份鉴别注册结果返回至移动应用； 结束指纹身份鉴别注册流程。 鉴别流程一般为： 用户在智能终端侧通过移动应用向移动应用服务器发起指纹身份鉴别请求； 移动应用服务器识别出对应的指纹身份鉴别注册关系并判断是否继续此次身份鉴别请求，如继续，向身份鉴别服务器端转发身份鉴别请求； 身份鉴别服务器识别出对应的身份鉴别注册关系并判断是否继续此次身份鉴别请求，如继续，返回身份鉴别请求响应，并经移动应用服务器返回给移动应用； 移动应用通过调用身份鉴别中间件将指纹身份鉴别请求响应发送至身份鉴别可信应用进行处理； e) 身份鉴别可信应用对指纹身份鉴别请求响应进行处理， 识别出对应的身份鉴别注册关系，并调用指纹识别认证器基于此前绑定的指纹模板标识对用户进行指纹验证； 如果用户通过指纹验证， 身份鉴别可信应用使用与该身份鉴别注册关系相关联的用户鉴别密钥私钥对包含用户指纹模板标识信息在内的鉴别数据进行处理后返回给移动应用； 移动应用将鉴别数据经移动应用服务器转发至身份鉴别服务器进行验证； 身份鉴别服务器使用已保存的与该身份鉴别注册关系相关联的用户鉴别密钥公钥对鉴别数据签名进行验证。验证结束后返回身份鉴别结果至移动应用服务器； 移动应用服务器将身份鉴别结果返回至移动应用； 结束身份鉴别流程。