GB/T 42572-2023 信息安全技术 可信执行环境服务规范（正式版）

ICSCCS35.030GB/T42572—2023信息安全技术可信执行环境服务规范国家市场监督管理总局国家标准化管理委员会IGB/T42572—2023 Ⅲ 1 1 1 2 2 2 25.3生命周期 4 56.1技术框架 56.2密钥管理 6 7 86.5访问控制 86.6安全输入及输出 86.7应用认证 86.8通信要求 8 8 8 9 7.4TEE身份鉴别服务安全要求 7.5TEE时间服务安全要求 8.1密钥管理 8.2服务初始化 8.3安全存储 8.4访问控制 8.5安全输入及输出 8.6应用认证 Ⅱ8.7通信要求 9.1TEE人机交互服务 9.2TEE二维码服务 9.3TEE设备安全状态评价服务 9.4TEE身份鉴别服务 9.7TEE密码计算服务 附录A(资料性)TEE设备安全状态评价服务采集因子示例 附录B(资料性)服务接口 附录C(资料性)TEE服务业务流程 ⅢGB/T42572—2023本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。联金卡科技有限公司、深圳华大北斗科技股份有限公司、中金金融认证中心有限公司、北京谦川科技有限公司、上海摩联信息技术有限公司、北京小米移动软件有限公司、OPPO广东移动通信有限公司、深圳市腾讯计算机系统有限公司、蚂蚁科技集团股份有限公司、郑州信大捷安信息技术股份有限公司、恒宝股份有限公司、云从科技集团股份有限公司、北京创原天地科技有限公司、大唐高鸿信安(浙江)信1GB/T42572—2023信息安全技术可信执行环境服务规范1范围本文件确立了可信执行环境服务的技术框架体系，并规定了相关安全技术要求及科研机构等可信执行环境服务参与方可参照使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文本文件。GB/T17901.1—2020信息技术安全技术密钥管理第1部分：框架GB/T25069—2022信息安全技术术语GB/T41388—2022信息安全技术可信执行环境基本安全规范3术语和定义GB/T25069—2022和GB/T41388—2022界定的以及下列术语和定义适用于本文件。3.1和不可否认性目标构建的一种软件运行环境。3.2为应用程序提供基础功能和计算资源的一种软件运行环境。3.3运行在可信执行环境下，为REE提供基础性、通用性、公共性功能的软件程序。3.42GB/T42572—20233.53.6设备安全状态报告devicesecuritystatereport具有明确评价当前设备软硬件环境安全指标的数据结构。3.7由TEE服务生成的用于保证TEE服务与TEE服务后台安全交互的公私钥对。3.8应用密钥applicationkey由TEE服务生成的用于保证用户密钥由应用后台安全发送至TEE服务的公私钥对。3.9应用隔离applicationisolation一种提供每个应用完全控制自己的数据且相互之间无法直接数据操作的机制。3.10一种提供每个用户完全控制自己的数据且相互之间无法直接数据操作的机制。4缩略语下列缩略语适用于本文件。REE:富执行环境(RichExecutionEnvironment)TA:可信应用(TrustedApplication)TEE:可信执行环境(TrustedExecutionEnvironment)TUI:可信人机界面(TrustedUserInterface)业务需求提供具体对应的服务。5.2TEE服务类型议等)将输入数据或运算结果加密传输给应用。可信用户界面至少包含以下安全界面要素之一：3GB/T42572—2023c)可信键盘：为用户提供安全输入界面；d)可信文本框：用于展示文本信息；e)可信图片框：用于展示图片信息；g)可信生物信息采集显示器：用于获取、显示用户输入的生物信息。界面要素的大小、位置、背景色等由TEE服务提供方自定义，但应符合TEE操作系统的要求。5.2.2TEE二维码服务提供TEE二维码展示和TEE二维码扫描功能。TEE二维码展示指基于TUI展示通过安全通道获取的二维码，避免二维码数据被非授权程序破坏、窃取、篡改等。TEE二维码扫描指通过符合可信外设要求的摄像头扫描读取二维码信息，并通过安全通道将二维码数据加密传输至应用。可信用户界面至少包含以下安全界面要素：色等由TEE服务提供方自定义；b)可信按钮：用于取消操作，按钮上的提示信息可以是定制图片或者文字。5.2.3TEE设备安全状态评价服务收集当前的设备信息，生成设备安全状态报告，供应用作为当前设备的风险评分判断的其中一项依据，为业务流程是否正常处理提供参考。手机等个人设备的信息采集方式应符合隐私保护相关法规。TEE设备安全状态评价服务采集信息内容一般包括设备启动参数、REE环境软硬件配置信息、服务代理的安全状态信息和TEE服务的安全状态信息。详细采集因子参考附录A。根据信息采集方式和检验者的不同，TEE设备安全状态评价服务分为以下三种类型。a)本地型：此类型为本地离线检测方式，无需联网。通过TEE服务代理及TEE服务采集各项因子，并通过本地TEE服务评估所采集到的各项因子，生成设备安全状态报告。b)远程型：此类型为远程检测方式，需要联网。通过TEE服务代理以及TEE服务采集各项因子，并通过远程TEE服务后台评估所采集到的各项因子，生成设备安全状态报告。c)混合型：此类型为本地与远程相结合的检测方式，部分时间需要联网。通过TEE服务代理以由远程TEE服务后台进行评估，并综合两部分评估结果生成设备安全状态报告。5.2.4TEE身份鉴别服务份鉴别方式。5.2.5TEE时间服务提供基于TEE的当前时间获取功能，时间来源为卫星(如北斗卫星导航系统、全球定位系统等)时度的时间服务，为在线支付、电子合同签署等对时间数据的安全性和准确性要求较高的场景提供服务。5.2.6TEE位置服务提供基于TEE的当前位置获取功能，以经纬度、高程(可选)形式提供，位置信息来源为卫星(如北斗卫星导航系统、全球定位系统等)定位、基站定位、短距通信设备辅助定位等，通过多位置信息来源相4GB/T42572—20235.2.7TEE密码计算服务据的机密性保护。b)消息摘要：采用密码杂凑算法，对数据内容进行单向散列的计算输出固定长度的杂凑值(摘收方使用发送方的公钥对消息和数字签名进行验证。实现消息的完整性校验、消息来源的真实性和抗抵赖性。TEE服务的生命周期如图1所示。安装安装TEE服务控件并壑活一服务锁定一个性：化状态应用空白状态锁定状态激活状态图1TEE服务的生命周期a)空白状态：设备未下载安装TEE服务代理或已下载TEE服务代理但未激活使用TEE服务时b)激活状态：设备安装TEE服务代理，并通过触发服务激活流程，生成TEE数据后所处的状态。在激活状态下，TEE服务与TEE服务后台具备安全通信能力。5GB/T42572—2023个性化数据后所处的状态。在个性化状态下，应用调用TEE服务各项功能；删除应用功能使6TEE服务通用安全要求本文件所定义的TEE服务技术框架如图2所示。宫执行环境(RFE)应用应用后台应用密钥个性化数据TEE服务其他可信应用TED人机交互服务TEE二维码服务IEH设备安全状态评价服务TEE身份鉴别服务TED密码计算服务服务初始化管理密钥及个性化数据TEL?服务后台TEE服务密钏管理服务初始化管理后台TEE设备安全状态评价服务后台注：实线箭头表示相互之间直接进行安全连接，虚线箭头表示相互之间逻辑上的安全连接。图2TEE服务技术框架应用和应用后台协同完成应用的业务功能，TEE服务和TEE服务后台协同完成TEE服务的业务功能，应用通过TEE服务代理调用TEE服务功能。具体功能描述如下。b)TEE服务代理：完成TEE服务在REE中的访问控制和TEE服务的流程管理，以独立插件或软件开发工具包等形式运行在REE中，为应用提供调用T6GB/T42572—2023附录B。码计算服务等服务功能。本文件所述的TEE服务运行在TEE中，并通过安全通道与TEE服务后台进行协同。TEE身份鉴别服务的后台业务逻辑功能。TEE服务的密钥结构如图3所示。设备密钥TEE服务密钥应用密钏用户密钥/会话密钥图3TEE服务密钥结构图TEE服务的密钥结构分为四层：设备密钥、TEE服务密钥、应用密钥及用户密钥/会话密钥(可选)。具体描述如下。由设备提供商或其授权服务商提供。利用设备密钥保护TEE服务公钥的完整性和真实性。b)TEE服务密钥：一对非对称密钥，包括TEE服务私钥和TEE服务公钥，用于保证设备本地TEE服务与TEE服务后台的安全交互。利用TEE服务密钥保护应用公钥的完整性和真7GB/T42572—2023进行加密保护。d)用户密钥/会话密钥：一种对称的安全。设备密钥在设备生产阶段产生。TEE服务密钥在服务激活阶段由TEE服务在TEE中产生，每台完成服务激活的设备拥有唯一TEE服务密钥。应用密钥在应用初始化阶段由TEE服务在TEE中产生，每个应用在每台设备上拥有唯一应用密钥。用户密钥/会话密钥在TEE服务使用阶段由应用后台生成并安全下发到TEE服务的TA中。设备密钥在生产线上通过设备厂商可控的环境注入设备的TEE中。TEE服务密钥和应用密钥在设备TEE内生成。用户密钥/会话密钥应通过安全通道注入设备的TEE中。6.2.5密钥更新设备密钥不可更新，由设备厂商在生产线生成。TEE服务密钥和应用密钥可更新并应保证唯一性，用户密钥/会话密钥可更新，当成功触发某种密钥的更新功能设备私钥、TEE服务私钥、应用私钥、用户密钥/会话密钥应在TEE中安全存储。应设计有销毁密TEE服务应具备TEE服务密钥、应用密钥、用户密钥/会话密钥的备份/恢复功能。备份操作产生的备份数据应以密文形式存储到TEE中。备份的密钥应恢复到TEE服务中，不同设备之间不应相互备份恢复，密钥恢复的操作只能在TEE中进行。6.3服务初始化应用使用TEE服务具体功能时，先启动服务初始化，生成应用所属的相关密钥。服务初始化包括服务激活、应用初始化与个性化。相关密钥应调用相应接口重新生成、更新。6.3.2服务激活设备首次使用TEE服务时，通过服务激活功能生成TEE服务公私钥对，并将TEE服务公钥传输至TEE服务后台。具体实施流程参考附录C的C.1.1。服务激活功能的安全要求包括：a)应保证TEE服务密钥由TEE服务在TEE中生成，TEE服务私钥不出TEE;b)应保证TEE服务私钥存储的机密性、完整性；c)应利用设备密钥保护TEE服务公钥的真实性和完整性。应用调用初始化功能生成应用公私钥对，将应用公钥传输至应用后台。应用后台获取应用公钥8GB/T42572—2023后，生成用户密钥，将用户密钥安全传输至设备的TEE服务中。具体实施流程参考C.1.2。应用初始化功能的安全要求包括：a)应保证应用密钥由TEE服务在TEE中生成，应用私钥不出TEE;b)应保证应用密钥存储的机密性、完整性；c)应保证应用密钥和用户密钥具有合理的更新策略；d)应保证用户密钥传输和存储的机密性、完整性及应用隔离，对用户密钥的机密性保护宜采用公钥加密技术。应用对TEE服务使用的图片、文字等展示信息以及会话密钥等密钥信息有个性化需求时，通过个性化功能将对应的个性化数据推送到TEE服务中。具体实施流程参考C.1.3。个性化的安全要求包括：a)应保证个性化数据在REE和网络中传输的机密性和完整性；b)应保证TEE服务存储个性化数据的机密性、完整性、应用隔离及用户隔离。6.4安全存储TEE服务中涉及的敏感数据应保证机密性和完整性，不应以明文形式暴露给REE。6.5访问控制限制未被授权的应用访问TEE服务，限制未被授权的TA访问TEE服务。6.6安全输入及输出安全输入及输出的安全要求包括：a)TEE服务在使用过程中，用户与TEE服务的交互流程和数据不能被REE或者其他TA访问b)通过TEE服务输入的数据不应存放于共享内存中。6.7应用认证TEE服务应验证应用的真实性，对于非授权应用应拒绝任何服务。6.8通信要求TEE服务后台与TEE服务代理应采用安全通道(如安全传输层协议等)进行数据传输。7特定TEE服务安全要求7.1TEE人机交互服务安全要求TEE人机交互服务总体安全要求包括：a)应保证可信用户界面基于TUI构建；b)应保证可信用户界面包含安全指示器用于提示用户处于可信执行环境(可为一段文字、一个指示灯或其他形式),或采用其他明显区别于REE的操作方式让用户感知处于可信执行环境，如通过点击电源键方式提交信息；9GB/T42572—2023c)应保证只通过可信外设在可信用户界面上进行数据输入；d)可信外设应符合GB/T41388—2022的相关要求。可信人机界面(TUI)安全要求如下。1)使用基于TUI的界面服务时，TEE服务对TUI资源独占访问；TUI屏幕显示是原子2)TUI不会对REE的用户界面有干扰；只有TUI使用时，TEE服务才能控制用户界面的输入和输出；3)TUI会话应有超时机制。b)电源及操作系统事件管理：1)TUI会话期间当发生设备复位、设备关闭、睡眠模式打开、背景灯关闭等电源管理事件2)TUI会话期间当发生操作系统特定事件时，TUI会话应被终止，典型的操作系统特定事件包括来电、日历事件、电子邮件通知等；其他操作系统特定事件宜根据应用实现需求自行定义；3)当TUI会话终止时，TUI屏幕应从显示屏上消失，并将屏幕区的控制权交还给REE;当REE事件操作结束后，TEE服务应根据需要重放被中断的TUI屏幕。特定功能安全要求如下。a)口令输入/修改和注册登录功能的安全要求包括：l)应保证账户口令明文不从TEE泄露；2)应保证用于加密口令的密钥具有合理的更新策略，加密算法应遵循相关密码国家标准；3)对于设备本地存储口令的场景，应保证口令存储的机密性、完整性、应用隔离及用户隔离；4)对于应用后台存储口令的场景，应保证口令以密文形式在REE和网络中传输；5)宜采取一些措施对输入的口令进行保护，如口令输入框隐藏明文显示、对输入的口令作混淆处理、设置口令连续输入验证失败次数限制等。b)消息输出功能的安全要求包括：1)应保证发送给TEE服务的消息内容以密文形式在REE和网络中传输；2)应保证用于加密口令的密钥具有合理的更新策略。7.2TEE二维码服务安全要求7.2.1TEE二维码展示安全要求TEE二维码展示的安全要求包括：a)应保证二维码展示的界面基于TUI构建；b)应保证二维码不以明文形式在网络和REE中传输，传输过程中不被泄露、窃取和篡改；c)宜放置一个安全指示器，用于标识当前界面处于可信执行环境中。7.2.2TEE二维码扫描安全要求TEE二维码扫描的安全要求包括：GB/T42572—2023a)应保证扫描二维码的摄像头满足可信外设的要求；7.3TEE设备安全状态评价服务安全要求TEE设备安全状态评价服务总体安全要求包括：a)调用设备安全状态报告请求接口时，请求的报文应具备防止重放攻击b)设备安全状态报告应经过TEE服务或TEE服务后台签名，应用和应用后台应验证报告的完本地型TEE设备安全状态评价服务应满足以下要求。a)因子采集过程的安全要求包括：1)含有采集因子的内存应在采集操作结束后擦除数据，2)TEE服务在发出采集命令前应验证TEE的安全状态。b)应用获取设备安全状态报告的安全要求包括：1)设备安全状态报告应在TEE服务中根据收集的各项因子生成；2)设备安全状态报告不包含具体检测项的检测结果；3)TEE服务不暴露具体检测项的相关信息；4)TEE服务应对设备安全状态报告的所有内容进行签名；5)应用在使用设备安全状态报告前应对设备安全状态报告的签名进行校验。c)其他TA获取设备安全状态报告的安全要求包括：1)设备安全状态报告应在TEE服务中根据收集的各项因子生成；2)设备安全状态报告不包含具体检测项的检测结果；3)TEE服务不暴露具体检测项的相关信息。远程型和混合型TEE设备安全状态评价服务应满足以下要求。a)因子采集过程的安全要求包括：1)含有采集因子的内存应在采集操作结束后擦除数据；2)TEE服务在发出采集命令前应验证TEE的安全状态；3)收集的因子在发送到TEE服务后台前应进行脱敏处理。b)远程型及混合型都需要联网生成设备安全状态报告，安全要求包括：1)收集的因子应包括TEE服务和TEE服务代理的相关因子；2)收集的需要TEE服务后台检测的因子应由TEE服务加密；3)收集的需要TEE服务后台检测的因子应由TEE服务后台解密；4)远程型设备安全状态报告应在TEE服务后台中根据收集的各项因子生成，混合型设备安全状态报告应在TEE服务和TEE服务后台中根据收集的各项因子生成；5)设备安全状态报告不包含具体检测项的检测结果；6)TEE服务和TEE服务后台不暴露具体检测项的相关信息；7)TEE服务和TEE服务后台应对设备安全状态报告的所有内容进行签名；GB/T42572—20238)使用者在使用设备安全状态报告前应对设备安全状态报告的签名进行校验。7.4TEE身份鉴别服务安全要求7.4.1口令鉴别服务安全要求口令鉴别服务的安全要求包括：a)获取口令前应执行风险判断，检查当前环境的安全性；b)应基于TUI获取口令；c)鉴别结果应在TEE服务中加密后返回。7.4.2生物特征鉴别服务安全要求生物特征鉴别服务的安全要求如下。a)应在TEE服务控制下采集生物特征样本或支持应用向应用后台请求获取用户生物特征注册样本。b)应在本地进行生物特征活体检测或由TEE服务后台进行远程活体检测。远程活体检测过程中，TEE服务和TEE服务后台的通信过程应加密传输生物特征样本。c)远程活体检测和生物特征比对过程中，TEE服务和TEE服务后台的通信过程应加密传输生d)鉴别结果应在TEE服务中加密后返回。e)如需要存储用户的生物特征，应保证加密存储，并防止重放攻击。7.4.3密码技术鉴别服务安全要求基于密码技术鉴别服务的安全要求包括：a)如采用对称密码技术，应确保对称密钥的机密性和完整性，防止非授权用户访问和篡改，并防b)如采用数字签名技术，应确保私钥的机密性和完整性，防止非授权用户访问和篡改，并防止重7.5TEE时间服务安全要求TEE时间服务的安全要求如下。a)应在TEE服务中采集多来源的时间信息，对时间采集方式区分优先级，并对获取到的时间信息进行相互校验。时间来源可信度按照卫星时间(有可用卫星的情况下)、电信运营商时间、通过网络授时中心获取的时间排序。b)TEE服务返回给应用的时间信息中应同步提供时间来源，供应用参考及判断可信度。c)TEE服务返回给应用的时间相关信息应由TEE服务签名，并防止重放攻击。7.6TEE位置服务安全要求TEE位置服务的安全要求如下。a)应在TEE服务中采集多来源的位置信息，对位置采集方式区分优先级，并对获取到的位置信息进行相互校验。位置来源可信度按照卫星定位(有可用卫星的情况下)、电信运营商基站定位、基于短距通信设备(包括但不限于无线局域网、蓝牙等)的辅助定位排序。b)TEE服务返回给应用的信息中应同步提供位置信息来源，供应用参考及判断可信度。c)TEE服务宜同步提供定位辅助信息(如定位方式、定位模组是否有硬件防伪能力等),供应用GB/T42572—2023进一步参考及判断可信度。d)TEE服务返回给应用的位置相关信息应由TEE服务签名，并防止重放攻击。TEE密码计算服务的安全要求包括：a)访问TEE密码计算服务前应通过身份鉴别和权限验证；b)应采用符合密码国家标准或行业标准的密码算法，如果使用的密码算法发现存在安全隐患应及时提供替代密码算法方案；c)TEE密码计算服务的密码算法和随机数生成应在TEE中实现；d)服务上线前完成程序代码缺陷检测并避免隐患，针对服务程序和运行环境的安全漏洞及时更新补丁等；e)支持一定时期内(如半年)的服务访问日志的安全存储，并支持服务访问日志的查询；g)支持密钥全生命周期管理，保证密钥的机密性、完整性。防止非授权用户访问或篡改，并防重放攻击。8TEE服务通用安全测试评价方法命周期，是否满足GB/T17901.1—2020要求；2)检查TEE服务的密钥保护措施，尝试违反密钥预期用途滥用密钥，尝试未授权获取密钥。1)TEE服务的密钥管理机制满足GB/T17901.1—2020要求；2)TEE服务的密钥保护措施能够防止密钥的混用和泄露。实际测试结果与预期结果一致则判定为符合，其他情况判定为不符合。检查TEE服务的密钥结构和各个密钥的用途，是否保证密钥用途的唯一性。1)TEE服务的密钥结构分为设备密钥、TEE服务密钥、应用密钥及用户密钥/会话密钥(可选)等四层；2)TEE服务的密钥具备唯一用途，其中设备密钥保护TEE服务公钥的完整性和真实性，TEE服务密钥保护应用公钥的完整性和真实性，应用密钥保护用户密钥/会话密钥的机密性，用户密钥/会话密钥保护TEE服务的数据传输的安全性。GB/T42572—2023测试评价方法如下。a)测试方法：b)预期结果：1)设备密钥在设备生产阶段由生产线产生，且每设备/2)TEE服务密钥在服务激活阶段由TEE服务在TEE中产生，且每设备唯一；3)应用密钥在应用初始化阶段由TEE服务在TEE中产生，且每设备唯一；4)用户密钥/会话密钥在TEEc)结果判定：8.1.4密钥注入测试评价方法如下。a)测试方法：b)预期结果：1)设备密钥在生产线上通过设备厂商可控的环境注入设备的TEE中；2)TEE服务密钥和应用密钥在设备TEE内生成；3)用户密钥/会话密钥通过安全通道注入设备的TEE中。c)结果判定：测试评价方法如下。2)尝试在密钥更新后，获取或恢复原有密钥。b)预期结果：1)设备密钥不可更新；2)TEE服务密钥和应用密钥可更新。密钥更新成功后，原有密钥处于失效或销毁状态；3)用户密钥/会话密钥可更新。密钥更新成功后，原有密钥处于失效或销毁状态。c)结果判定：测试评价方法如下。a)测试方法：1)检查TEE服务的各个密钥的存储过程，是否保证密钥的安全存储，尝试未授权访问或篡改存储的密钥；GB/T42572—2023b)预期结果：1)TEE服务的各个密钥安全存储在TEE中，防止未授权访c)结果判定：a)测试方法：1)检查TEE服务的各个密钥是否具备备份/恢复功能；3)依次执行密钥备份操作和密钥恢复操作，检查操作是否成功；4)检查密钥恢复操作过程，是否仅在TEE中进行；5)在一台设备上执行密钥备份操作，尝试使用密钥备份数据在另一台设备上执行密钥恢复b)预期结果：2)备份操作产生的备份数据以密文形式存储到TEE中；3)备份的密钥应恢复到TEE服务中；5)不同设备之间无法相互备份恢复密钥。c)结果判定：测试评价方法如下。a)测试方法：1)检查TEE服务的初始化过程，是否在TEE中生成TEE服务公私钥对；2)检查TEE服务初始化过程中TEE服务公私钥对的使用和传输过程，尝试获取和篡改所传输的TEE服务公钥，尝试在REE中访问TEE服务私钥；3)检查TEE服务初始化过程中TEE服务公私钥对的存储过程，是否使用TEE的可信存储b)预期结果：1)首次使用TEE服务时，TEE服务通过激活功能在TEE中生成TEE服务公私钥对；2)TEE服务激活过程中，TEE服务公钥由设备密钥签名后上传至TEE服务后台，TEE服务私钥不出TEE;3)TEE服务激活过程中使用TEE的可信存储功能保证TEE服务密钥存储的机密性、完整性。GB/T42572—2023测试评价方法如下。a)测试方法：1)检查应用初始化过程，是否在TEE中生成应用公私钥对；2)检查应用初始化过程中应用公私钥对的使用和传输过程，尝试获取和篡改所传输的应用3)检查应用初始化过程中用户密钥的生成和传输过程，尝试在REE中获取和篡改用户4)检查应用初始化过程中应用公私钥对和用户密钥的存储过程，是否使用TEE的可信存储5)尝试使用应用获取和篡改其他应用的用户密钥。b)预期结果：1)应用激活后，TEE服务通过初始化功能在TEE中生成应用公私钥对；户密钥下发至TEE服务中；5)初始化过程中应用密钥和用户密钥具有合理的更新策略；c)结果判定：测试评价方法如下。1)检查应用个性化过程中个性化数据的传输过程，尝试在REE和网络传输中获取和篡改个性化数据；2)检查应用个性化过程中个性化数据的存储过程，是否使用TEE的可信存储功能保证个性3)尝试使用应用获取和篡改其他应用的个性化数据。b)预期结果：1)个性化过程中保证个性化数据在REE和网络中传输的机密性和完整性；2)个性化过程中保证TEE测试评价方法如下。a)测试方法：1)审查厂商提交的文档，检查TEE服务的敏感信息处理过程；2)尝试在REE中获取和篡改TEE服务的敏感信息；3)尝试获取和篡改TEE服务存储在TEE可信存储区域的敏感信息。GB/T42572—2023b)预期结果：保证TEE服务中涉及的敏感安全信息的机密性和完整性，不以明文形式暴露给REE。c)结果判定：测试评价方法如下。a)测试方法：1)审查厂商提交的文档，检查TEE服务的访问控制策略，根据策略分别尝试通过已授权和未授权的应用和TA访问TEE服务，验证策略是否有效；2)当多个应用在同一个设备上访问TEE服务，尝试通过某一应用访问其他应用的数据，验证TEE服务是否隔离不同应用敏感数据。b)预期结果：1)TEE服务具备访问控制机制，限制未被授权的应用和TA访问TEE服务；2)多个应用在同一个设备上有调用TEE服务的需求时，TEE服务安全隔离各应用的敏感数据。c)结果判定：8.5安全输入及输出测试评价方法如下。1)审查厂商提交的文档，检查TEE服务的输入和输出过程；2)模拟应用调用TEE服务的输入和输出过程，尝试在REE或其他TA中访问和篡改该TEE服务的交互数据；3)模拟应用调用TEE1)TEE服务在使用过程中，用户与TEE服务的交互流程REE或者其他TA访问和篡改；2)TEE服务的输入过程中，通过TEE服务输入的数据未存放于共享内存中。c)结果判定：测试评价方法如下。2)分别尝试通过已授权和未授权应用调用TEE服务，验证访问控制策略是否有效。c)结果判定：GB/T42572—20238.7通信要求a)测试方法：1)审查厂商提交的文档，检查TEE服务后台与TEE服务代理的数据传输过程，是否具备安2)模拟应用调用TEE服务，尝试获取和篡改TEE服务后台与TEE服务代理的传输数据。b)预期结果：TEE服务后台与TEE服务代理采用安全通道进行数据传输。c)结果判定：9特定TEE服务安全测试评价方法测试评价方法如下。a)测试方法：2)检查设计文档，模拟应用调用TEE人机交互服务，检查各功能的界面是否包含安全指示器，或是否采用其他明显区别于REE的操作方式让用户感知处于可信执行环境；3)模拟应用调用可信用户界面，分别尝试通过可信外设和非可信外设进行数据输入，验证是否只有可信外设进行数据输入；4)检查可信外设是否符合GB/T41388—2022的相关要求。b)预期结果：1)可信用户界面基于TUI构建；个指示灯或其他形式),或采用其他明显区别于REE的操作方式让用户感知处于可信执3)只有通过可信外设在可信用户界面上输入数据；4)可信外设满足GB/T41388—2022的相关要求。c)结果判定：9.1.2可信人机界面(TUI)安全要求9.1.2.1TUI会话测试评价方法如下。a)测试方法：1)审查厂商提交的文档，检查基于TUI界面的TEE服务的实现过程；2)模拟应用调用基于TUI界面的TEE服务，尝试在REE或未授权TA中访问TUI资源；3)模拟应用调用基于TUI界面的TEE服务，检查用户界面的显示和切换过程，验证TUI是否干扰REE的用户界面；在REE控制用户界面时，尝试通过TEE服务控制用户GB/T42572—20234)模拟应用调用基于TUI界面的TEE服务，达到厂商声明的时间后，检查TUI会话是否1)使用基于TUI的界面服务时，TEE服务对TUI资源独占访问，TUI屏幕显示是原子2)TUI不会对REE的用户界面有干扰；只有TUI使用时，TEE服务才能控制用户界面的3)TUI会话具备超时机制。c)结果判定：测试评价方法如下。a)测试方法：3)模拟应用调用基于TUI界面的TEE服务，当TUI会话终止时，检查TUI屏幕是否从显4)模拟应用调用基于TUI界面的TEE服务，分别执行来电、日历事件、电子邮件通知等操作使TUI会话终止，上述操作处理结束后，检查TEE服务是否重放被中断的TUI屏幕。b)预期结果：1)TUI会话期间发生设备复位、设备关闭、睡眠模式打开、背景灯关闭等电源管理事件2)TUI会话期间发生来电、日历事件、电子邮件通知等操作系统特定事件时，TUI会话4)当REE事件操作结束后，TEE服务应重放被中断的TUI屏幕。c)结果判定：测试评价方法如下。a)测试方法：1)审查厂商提交的文档，检查用于加密口令的密钥的更新策略以及使用的加密算法；2)模拟应用调用可信用户界面的口令输入/修改、注册登录功能，尝试在REE中获取可信用3)当设备本地存储口令时，检查是否使用TEE的可信存储功能存储口令；尝试使用应用获取和篡改其他应用存储的口令；GB/T42572—20234)当应用后台存储口令时，尝试在REE和网络传输中获取和篡改口令；5)模拟应用调用可信用户界面的口令输入和口令修改功能，检查是否采取一些措施对输入的账号口令进行保护，如口令输入框是否明文显示口令、对输入的口令作混淆处理、连续输入错误的口令检查该功能是否具备口令连续输入验证失败次数限制等。1)账户口令明文不从TEE泄露；2)口令输入/修改、注册登录功能具备合理的口令加密密钥更新策略，加密算法遵循相关密码国家标准；3)对于设备本地存储口令的场景，口令输入和口令修改功能使用TEE的可信存储功能保证4)对于应用后台存储口令的场景，口令输入和口令修改功能以密文形式在REE和网络中传输口令；5)口令输入和口令修改功能采取一些措施对输入的账号口令进行保护，如账户口令输入框隐藏明文显示、对输入的口令作混淆处理、设置账户口令连续输入验证失败次数限制并提示剩余输入机会次数等。实际测试结果与预期结果一致则判定为符合，其他情况判定为不符合。测试评价方法如下。1)模拟应用调用可信用户界面的消息输出功能，尝试在REE和网络传输中获取可信用户界面的消息；2)审查厂商提交的文档，检查用于加密口令的密钥的更新策略。1)消息输出功能发送给TEE服务的消息内容是以密文形式在REE和网络中传输；2)消息输出功能具备合理的口令加密密钥更新策略。实际测试结果与预期结果一致则判定为符合，其他情况判定为不符合。9.2TEE二维码服务9.2.1TEE二维码展示安全要求1)模拟应用调用二维码展示功能，检查展示界面是否基于TUI构建；2)模拟应用调用二维码展示功能，尝试在REE和网络传输中获取和篡改二维码；3)模拟应用调用二维码展示功能，检查展示界面是否包含安全指示器。1)二维码展示界面基于TUI构建；2)二维码不以明文形式在REE3)宜放置一个安全指示器，用于标识当前界面处于可信执行环境中。GB/T42572—20239.2.2TEE二维码扫描安全要求a)测试方法：1)审查厂商提交的文档，检查二维码读取过程。模拟应用调用扫描二维码功能，尝试在REE中控制摄像头读取二维码数据；2)模拟应用调用扫描二维码功能，尝试在REE中获取二维码数据。b)预期结果：1)扫描二维码的摄像头满足可信外设的要求；c)结果判定：测试评价方法如下。a)测试方法：1)模拟应用分别调用本地型/远程型/混合型TEE设备安全状态评价服务，检查设备安全状2)模拟应用分别调用本地型/远程型/混合型TEE设备安全状态评价服务，检查设备安全状态报告是否经过TEE服务或TEE服务后台签名，尝试篡改设备安全状态报告内容；3)模拟应用分别调用本地型/远程型/混合型TEE设备安全状态评价服务，检查设备安全状态报告中建议事项的内容是否包含具体失败的原因。b)预期结果：1)设备安全状态报告的请求报文具备防重放攻击的特性；2)设备安全状态报告经过TEE服务或TEE服务后台签名，应用和应用后台应验证报告的3)设备安全状态报告中建议事项的内容只限于简单的提示，不包含具体失败的测试评价方法如下。a)测试方法：1)检查设计文档，模拟应用调用本地型TEE设备安全状态评价服务，在采集因子操作结束2)模拟应用调用本地型TEE设备安全状态评价服务，尝试绕过TEE安全状态验证环节，验3)检查设计文档，分别模拟应用和其他TA调用本地型TEE设备安全状态评价服务，检查设备安全状态报告的生成是否在TEE服务中完成；GB/T42572—20234)分别模拟应用和其他TA调用本地型TEE设备安全状态评价服务，检查设备安全状态报告是否包含具体检测项的检测结果；5)分别模拟应用和其他TA调用本地型TEE设备安全状态评价服务，尝试通过TEE服务6)模拟应用调用本地型TEE设备安全状态评价服务，尝试在应用使用设备安全状态报告前b)预期结果：1)在采集操作结束后擦除含有采集因子的内存数据；2)TEE服务在发出采集命令前验证TEE的安全状态；3)设备安全状态报告在TEE服务中根据收集的各项因子生成；4)设备安全状态报告不包含具体检测项的检测结果；5)TEE服务未暴露具体检测项的相关信息；6)应用获取设备安全状态报告时TEE服务对设备安全状态报告的所有内容进行签名；7)应用在使用设备安全状态报告前对设备安全状态报告的签名进行校验。c)结果判定：测试评价方法如下。1)检查设计文档，模拟应用调用远程型和混合型TEE设备安全状态评价服务，在采集因子2)检查设计文档，模拟应用调用远程型和混合型TEE设备安全状态评价服务，尝试绕过TEE服务后台传输的采集因子；4)检查设计文档，模拟应用调用远程型和混合型TEE设备安全状态评价服务，检查收集的因子是否包括TEE服务和TEE服务代理的相关因子；5)检查设计文档，模拟应用调用远程型和混合型TEE设备安全状态评价服务，检查远程型设备安全状态报告的生成是否在TEE服务后台完成，混合型设备安全状态报告是否在TEE服务和TEE服务后台完成；6)模拟应用调用远程型和混合型TEE设备安全状态评价服务，检查设备收集的因子是否由TEE服务加密后传输至TEE服务后台，尝试在REE和网络传输中获取设备收集的7)模拟应用调用远程型和混合型TEE设备安全状态评价服务，检查设备安全包含具体检测项的检测结果；8)模拟应用调用远程型和混合型TEE设备安全状态评价服务，尝试通过TEE服务和TEE服务后台获取具体检测项的相关信息；9)模拟应用调用远程型和混合型Tb)预期结果：1)在采集操作结束后擦除含有采集因子的内存数据；2)TEE服务在发出采集命令前验证TEE的安全状态；GB/T42572—20233)收集的因子在发送到TEE服务后台前进行脱敏处理；4)远程型设备安全状态报告在TEE服务后台中根据收集的各项因子生成，混合型设备安全状态报告在TEE服务和TEE服务后台中根据收集的各项因子生成；5)远程型和混合型TEE设备安全状态评价服务收集的需要TEE服务后台检测的因子由6)设备安全状态报告不包含具体检测项的检测结果；7)TEE服务和TEE服务后台未暴露具体检测项的相关信息；8)TEE服务和TEE服务后台对设备安全状态报告的所有内容进行签名；9)使用者在使用设备安全状态报告前对设备安全状态报告的签名进行校验。c)结果判定：9.4TEE身份鉴别服务a)测试方法：2)改变设备环境的安全状态，模拟应用调用口令鉴别服务，验证获取口令前该功能是否执行3)模拟应用调用口令鉴别服务，检查鉴别结果是否在TEE服务中加密后返回，尝试篡改鉴b)预期结果：1)口令鉴别服务基于TUI获取口令；2)口令鉴别服务获取口令前执行风险判断，检查当前环境的安全性；3)鉴别结果在TEE服务中加密后返回。c)结果判定：测试评价方法如下。a)测试方法：在REE中控制采集过程；若生物特征样本来自应用后台，尝试篡改传输的用户生物特征2)模拟应用调用生物特征鉴别服务，检查生物特征活体检测过程是否在本地进行或由TEE服务后台进行远程活体检测。若支持远程活体检测，尝试获取和篡改传输的生物特征3)模拟应用调用生物特征鉴别服务，检查生物特征活体比对过程是否在本地进行或由TEE服务后台进行远程生物特征比对。若支持远程生物特征比对，尝试获取和篡改传输的生4)模拟应用调用生物特征鉴别服务，检查鉴别结果是否在TEE服务中加密后返回，尝试篡GB/T42572—2023b)预期结果：1)生物特征鉴别服务采集生物特征样本时在TEE服务控制下或支持应用向应用后台请求获取用户生物特征注册样本。2)生物特征鉴别服务的生物特征活体检测过程在本地进行或由TEE服务后台进行。远程活体检测过程中，TEE服务和TEE服务后台的通信过程加密传输生物特征样本。3)生物特征鉴别服务的生物特征比对过程在本地进行或由TEE服务后台进行。生物特征比对过程中，TEE服务和TEE服务后台的通信过程加密传输生物特征样本。4)鉴别结果在TEE服务中加密后返回。5)如需要存储用户的生物特征，应保证加密存储，并防止重放攻击。c)结果判定：测试评价方法如下。a)测试方法：改私钥；检查公钥的使用和存储方式，尝试篡改和伪造公钥；模拟应用调用密码鉴别服b)预期结果：c)结果判定：测试评价方法如下。a)测试方法：1)检查设计文档，模拟应用调用TEE时间服务，尝试在REE中篡改不同时间来源的时用结果是否提供正确的时间信息及其来源；2)模拟应用调用TEE时间服务，检查返回的时间信息是否在TEE服务中签名，尝试篡改时b)预期结果：GB/T42572—20232)TEE服务返回的时间信息中同步提供时间信息来源，供应用参考及判断可信度；c)结果判定：9.6TEE位置服务测试评价方法如下。a)测试方法：位置信息及其来源；2)模拟应用调用TEE位置服务，检查返回的位置信息是否在TEE服务中签名，尝试篡改位b)预期结果：1)TEE位置服务采集多来源的设备位置信息，区分优先级，并相互校验。位置信息来源可信度按卫星定位(有可用卫星的情况下)、电信运营商基站定位、基2)TEE服务返回的位置信息中同步提供位置信息来源。3)TEE服务返回的位置信息应由TEE服务签名，并防止重放攻击。c)结果判定：9.7TEE密码计算服务测试评价方法如下。a)测试方法：1)检查设计文档，模拟应用调用TEE密码计算服务，检查是否具备身份鉴别和权限验证过2)模拟应用调用TEE密码计算服务，验证支持的密码算法不存在已公开脆弱性；3)模拟应用调用TEE密码计算服务，包括但不限于数据加密及解密、消息摘要、消息鉴别码、数字签名及验签和随机数生成等功能，功能测试细节宜参考相关国家标准；尝试在4)模拟应用调用TEE密码计算服务，检查该服务是否生成服务访问日志并查询日志，尝试5)模拟应用调用TEE密码计算服务b)预期结果：2)TEE密码计算服务采用符合密码国家标准或行业标准的密码算法，如果使用的密码算法发现存在安全隐患能及时提供替代密码算法方案；GB/T42572—20234)TEE密码计算服务上线前完成程序代码缺陷检测并避免隐患，针对服务程序和运行环境的安全漏洞及时更新补丁；5)TEE密码计算服务支持一定时期内(如半年)的服务访问日志的安全存储，并支持查询服6)TEE密码计算服务支持定期更换密钥；7)TEE密码计算服务支持密钥全生命周期管理，保证密钥的机密性、完整性。防止非授权c)结果判定：GB/T42572—2023(资料性)TEE设备安全状态评价服务采集因子示例TEE设备安全状态评价服务采集因子示例如下。a)TEE服务代理采集信息内容一般包括：2)Root工具、恶意软件(如：基于黑名单检查常见的Root工具及恶意程序);3)系统是否在调试模式或开发模式(如：adbroot权限检查、系统属性中调试开关检查、模拟器检测);4)系统安全设定(如：检查是否设定屏幕锁定，SELinux是否开启);5)关键内存区域的属性及访问权限(如：摄像头共享内存等);6)TEE服务控件的软件版本；7)TEE服务控件的签名；8)TEE服务控件运行模式(调试模式或产品模式);9)REE操作系统软件版本号及安全更新版本号；10)设备相关识别码(如：制造商识别码、产品识别码、装置识别码)。b)TEE服务采集信息内容一般包括：1)启动参数(如：设备锁定、安全启动等配置参数);2)可信设备标识；3)TEE服务的软件版本；4)TEE服务的签名；5)TEE服务运行模式(调试模式或产品模式);6)可信执行环境运行模式(调试模式或产品模式)。GB/T42572—2023(资料性)B.1初始化B.1.1接口publicvoidinit(Bundledata,TSCallBackcallback)B.1.2接口描述进行TEE服务激活和初始化。B.1.3输入参数输入参数如表B.1所示。表B.1初始化接口输入参数变量名类型属性描述备注StringM第三方代码Bundledata=newBundle();data.putString(“insCode”,“00010000”)B.1.4返回参数失败时回调onError(StringerrorCode,StringerroMsg),失败的返回参数如表B.2所示。表B.2初始化接口失败返回参数变量名类型属性描述备注errorCodeStringM错误码 erroMsgStringM错误信息成功时回调onSuccess(Bundleresult),结果在Bundle对象中获取，成功的返回参数如表B.3所示。表B.3初始化接口成功返回参数变量名类型属性描述备注StringM执行状态Stringstatus=result.getString(“status”)publicvoidpersonalize(Bundledata,TSCallBackcallback)B.2.2接口描述向应用后台申请个性化数据，并传送给TEE服务。B.2.3输入参数输入参数如表B.4所示。表B.4个性化信息生成接口输入参数变量名类型属性描述备注StringM第三方代码示例请参考表B.1。(TSCallback)callback:异步接口回调函数。失败时回调onError(StringerrorCode,StringerroMsg),失败的返回参数如表B.5所示。表B.5个性化信息生成接口失败返回参数变量名类型属性描述备注M错误码—M错误信息成功时回调onSuccess(Bundleresult),结果在Bundle对象中获取，成功的返回参数如表B.6所示。变量名类型属性描述备注M执行状态示例请参考表B.3B.3TEE二维码展示B.3.1接口publicvoidtwoDimBarcodesShow(Bundledata,TSCallBackcallback)B.3.2接口描述展示二维码，将应用传送来的二维码数据密文解密，在TEE下进行展示。B.3.3输入参数输入参数如表B.7所示。表B.7TEE二维码展示接口输入参数变量名类型属性描述备注StringM第三方代码qrCodeStringM二维码数据密文示例请参考表B.1(TSCallback)callback:异步接口回调函数。失败时回调onError(StringerrorCode,StringerroMsg),失败的返回参数如表B.8所示。表B.8TEE二维码展示接口失败返回参数变量名类型属性描述备注errorCodeStringM错误码erroMsgStringM错误信息成功时回调onSuccess(Bundleresult),结果在Bundle对象中获取，成功的返回参数如表B.9所示。表B.9TEE二维码展示接口成功返回参数变量名类型属性描述备注StringM执行状态示例请参考表B.3.B.4二维码关闭publicvoidtwoDimBarcodesClose(Bundledata,TSCallBackcallback)B.4.2接口描述关闭二维码界面。B.4.3输入参数变量名类型属性描述备注StringM第三方代码示例请参考表B.1(TSCallback)callback:异步接口回调函数。失败时回调onError(StringerrorCode,StringerroMsg),失败的返回参数如表B.11所示。表B.11二维码关闭接口失败返回参数变量名类型属性描述备注M错误码M错误信息成功时回调onSuccess(Bundleresult),结果在Bundle对象中获取，成功的返回参数如表B.12表B.12二维码关闭接口成功返回参数变量名类型属性描述备注StringM执行状态示例请参考表B.3。B.5.1接口publicvoidtwoDimBarcodesScan(BunB.5.3输入参数输入参数如表B.13所示。表B.13可信扫二维码接口输入参数变量名类型属性描述备注M第三方代码示例请参考表B.1。(TSCallback)callback:异步接口回调函数。失败时回调onError(StringerrorCode,StringGB/T42572—2023erroMsg),失败的返回参数如表B.14所示。表B.14TEE扫二维码接口失败返回参数变量名类型属性描述备注errorCodeStringM错误码erroMsgStringM错误信息成功时回调onSuccess(Bundleresult),结果在Bundle对象中获取，成功的返回参数如表B.15所示。表B.15TEE扫二维码接口成功返回参数变量名类型属性描述备注StringM执行状态 qrCodeStringM二维码数据密文示例请参考表B.3B.6口令展示B.6.2接口描述展示口令界面。输入参数如表B.16所示。表B.16口令展示接口输入参数变量名类型属性描述备注StringM第三方代码示例请参考表B.1。(TSCallback)callback:异步接口回调函数。失败时回调onError(StringerrorCode,StringerroMsg),失败的返回参数如表B.17所示。GB/T42572—2023变量名类型属性描述备注errorCodeStringM错误码StringM错误信息成功时回调onSuccess(Bundleresult),结果在Bundle对象中获取，成功的返回参数如表B.18变量名类型属性描述备注statusStringM执行状态—pinStringM用户输入的密码密文—示例请参考表B.3。B.7口令修改B.7.1接口publicvoidchangePin(Bundledata,TSCallBackcallback)B.7.2接口描述展示用户登录界面。B.7.3输入参数输入参数如表B.19所示。变量名类型属性描述备注StringM第三方代码示例请参考表B.1B.7.4返回参数(TSCallback)callback:异步接口回调函数。失败时回调onError(StringerrorCode,StringerroMsg),失败的返回参数如表B.20所示。表B.20口令修改接口失败返回参数变量名类型属性描述备注errorCodeStringM错误码erroMsgStringM错误信息成功时回调onSuccess(BundleGB/T42572—2023result),结果在Bundle对象中获取，成功的返回参数如表B.21表B.21口令修改接口成功返回参数变量名类型属性描述备注M执行状态M原密码密文—M新密码密文示例请参考表B.3。B.8登录界面展示publicvoiddisplayLogin(Bundledata.TSCallBackcallback)输入参数如表B.22所示。变量名类型属性描述备注StringM第三方代码示例请参考表B.1(TSCallback)callback:异步接口回调函数。失败时回调onError(StringerrorCode,StringerroMsg),失败的返回参数如表B.23所示。表B.23登录界面展示接口失败返回参数变量名类型属性描述备注errorCodeStringM错误码StringM错误信息成功时回调onSuccess(Bundleresult),结果在Bundle对象中获取，成功的返回参数如表B.24GB/T42572—2023变量名类型属性描述备注M执行状态M用户登录名M用户输入的密码密文—示例请参考表B.3。B.9消息展示publicvoiddisplayInfor(Bundledata,TSCallBackcallback)B.9.2接口描述展示文本信息界面。B.9.3输入参数输入参数如表B.25所示。表B.25消息展示接口输入参数变量名类型属性描述备注StringM第三方代码StringM文本信息密文示例请参考表B.1。B.9.4返回参数(TSCallback)callback:异步接口回调函数。失败时回调onError(StringerrorCode,StringerroMsg),失败的返回参数如表B.26所示。表B.26消息展示接口失败返回参数变量名类型属性描述备注M错误码M错误信息成功时回调onSuccess(Bundle所示。result),结果在Bundle对象中获取，成功的返回参数如表B.27表B.27消息展示接口成功返回参数变量名类型属性描述备注StringM执行状态示例请参考表B.3B.10TEE设备安全状态评价服务publicvoidgetDeviceAuth(Bundledata,TSCallBackcallback)B.10.2接口描述TEE设备安全状态评价服务接口。B.10.3输入参数表B.28TEE设备安全状态评价服务接口输入参数变量名类型属性描述备注StringM第三方代码示例请参考表B.1。(TSCallback)callback:异步接口回调函数。失败时回调onError(StringerrorCode,StringerroMsg),失败的返回参数如表B.29所示。表B.29TEE设备安全状态评价服务接口失败返回参数变量名类型属性描述备注M错误码 M错误信息成功时回调onSuccess(Bundleresult),结果在Bundle对象中获取，成功的返回参数如表B.30表B.30TEE设备安全状态评价服务接口成功返回参数变量名类型属性描述备注StringM执行状态devStatusStringM设备状态信息示例请参考表B.3。GB/T42572—2023B.11TEE时间服务B.11.1接口publicvoidgetTrustedTime(Bundledata,TSCallBackcallback)获取TEE时间服务接口。B.11.3输入参数输入参数如表B.31所示。表B.31TEE时间服务接口输入参数变量名类型属性描述备注StringM第三方代码示例请参考表B.1B.11.4返回参数(TSCallback)callback:异步接口回调函数。失败时回调onError(StringerrorCode,StringerroMsg),失败的返回参数如表B.32所示。表B.32TEE时间服务接口失败返回参数变量名类型属性描述备注M错误码M错误信息成功时回调onSuccess(Bundleresult),结果在Bundle对象中获取，成功的返回参数如表B.33所示。表B.33TEE时间服务接口成功返回参数变量名类型属性描述备注StringM执行状态trustedTimeStringM示例请参考表B.3.B.12TEE位置服务B.12.1接口publicvoidgetTrustedLocation(Bundledata,TSCallBackcallback)GB/T42572—2023B.12.2接口描述B.12.3输入参数输入参数如表B.34所示。变量名类型属性描述备注M第三方代码示例请参考表B.1失败时回调onError(StringerrorCode,StringerroMsg),失败的返回参数如表B.35所示。变量名类型属性描述备注errorCodeStringM错误码erroMsgStringM错误信息成功时回调onSuccess(Bundleresult),结果在Bundle对象中获取，成功的返回参数如表B.36表B.36TEE位置服务接口成功返回参数变量名类型属性描述备注M执行状态M位置信息经度/纬度示例请参考表B.3。B.13身份鉴别服务publicvoididentityVerification(Bundledata,TSCallBackcallback)身份鉴别服务接口，用于基于口令或者生物特征的身份鉴别场景。B.13.3输入参数输入参数如表B.37所示。GB/T42572—2023表B.37身份鉴别服务接口输入参数变量名类型属性描述备注StringM第三方代码示例请参考表B.1。(TSCallback)callback:异步接口回调函数。失败时回调onError(StringerrorCode,StringerroMsg),失败的返回参数如表B.38所示。变量名类型属性描述备注M错误码M错误信息—成功时回调onSuccess(Bundleresult),结果在Bundle对象中获取，成功的返回参数如表B.39表B.39身份鉴别服务接口成功返回参数变量名类型属性描述备注StringM执行状态identityInformationStringM身份信息身份信息密文示例请参考表B.3。B.14对称加解密服务publicvoidsymmetricCrypto(Bundledata,TSCallBackcallback)B.14.2接口描述B.14.3输入参数输入参数如表B.40所示。表B.40对称加解密服务接口输入参数变量名类型属性描述备注StringM第三方代码示例请参考表B.1。B.14.4返回参数(TSCallback)callback:异步接口回调函数。失败时回调onError(StringerrorCode,StringGB/T42572—2023erroMsg),失败的返回参数如表B.41所示。表B.41对称加解密服务接口失败返回参数变量名类型属性描述备注errorCodeStringM错误码erroMsgStringM错误信息成功时回调onSuccess(Bundleresult),结果在Bundle对象中获取，成功的返回参数如表B.42所示。表B.42对称加解密服务接口成功返回参数变量名类型属性描述备注StringM执行状态returnInfoStringM返回数据示例请参考表B.3B.15非对称加解密服务B.15.1接口publicvoidasymmetriCrypto(Bundledata,TSCallBackcallback)B.15.2接口描述非对称加解密服务接口，用于非对称算法的加解密场景。输入参数如表B.43所示。表B.43非对称加解密服务接口输入参数变量名类型属性描述备注StringM第三方代码示例请参考表B.1。(TSCallback)callback:异步接口回调函数。失败时回调onError(StringerrorCode,StringerroMsg),失败的返回参数如表B.44所示。GB/T42572—2023变量名类型属性描述备注errorCodeStringM错误码StringM错误信息成功时回调onSuccess(Bundleresult),结果在Bundle对象中获取，成功的返回参数如表B.45表B.45非对称加解密服务接口成功返回参数变量名类型属性描述备注statusM执行状态—M返回数据—示例请参考表B.3。B.16杂凑计算服务publicvoidcomputeHash(Bundledata,TSCallBackcallback)B.16.2接口描述B.16.3输入参数输入参数如表B.46所示。表B.46杂凑计算服务接口输入参数变量名类型属性描述备注StringM第三方代码示例请参考表B.1(TSCal