谷歌安卓7.0GMS认证新要求以及Andriod 7.0 对于TEE的要求

　　Dear all:

　　以下是谷歌安卓7.0GMS认证新要求的具体介绍：

　　安卓7.0GMS认证新要求：

　　一：Play Store 的Settings 菜单里面会显示这款机器是否有通过GMS认证，现在已经实施;

　　二：针对没有通过GMS认证的7.0机器，系统会通过Play store推送信息给使用者，大概内容为：该设备不合法，请退回给零售商。预计2017年4月初开始实施;

　　三：从2017年8月份开始，所有使用安卓系统的机器，不管是什么版本，如果没有通过GMS认证，谷歌会让机器停止使用谷歌所有的应用;

　　四：针对出货量超过100K的机器，谷歌强制要求每3个月做一次安全补丁的更新并提交谷歌报备，每3年做一次系统更新并提交谷歌报备，如果每3个月没有更新安全补丁导致安全补丁版本过低，谷歌会取消这款机器的GMS认证。

　　谷歌对mada的规划

　　目前拿到MADA的OEM/ODM一共有66家(不含品牌商)，但是谷歌现在要砍掉46家，只保留20家，具体哪20家厂商能续签MADA应用在4月份有 确定消息。

　　谷歌认证对TEE新要求

　　一：Google 对于CTS测试的要求可以在Google官网上下载到Google 的CDD 文件，(文件名为android-7.0-cdd)

　　二：关于指纹机器，Andriod 7.0 对于TEE的要求

　　在CDD文件的7.3.10 中Google 明确要求指纹信息存放在TEE环境下

　　三. 根据Google CDD要求的，指纹应该如何配置

　　四. 鉴于没有按照Google CDD要求的情况，用非正常手段测过CTS所带来的风险

　　a) 如果Google 抽查到客户样机没有把指纹信息放在TEE里，可能会终止MADA协议

　　b) 如果方案商/品牌商借用其他厂商的MADA，那么终止MADA协议，会导致这个提供MADA协议厂商的风险。

　　c) 如果测试机构(3PL)没有检测出手机里的指纹放在TEE里， 一旦google查出来后，有可能对测试机构采取措施，也有可能取消测试机构的官方测试资格。

　　五. 使用硬件支持的密钥库，可更安全地在 Android 设备上创建、存储和使用加密密钥。它们可保护密钥免受 Linux 内核、潜在的 Android 漏洞的攻击，也可防止从已取得根权限的设备提取密钥。

　　为了让硬件支持的密钥库使用起来更简单和更安全，Android N 引入了密钥认证。应用和关闭的设备可使用密钥认证以坚决地确定 RSA 或 EC 密钥对是否受硬件支持、密钥对的属性如何，以及其使用和有效性有何限制。

　　应用和关闭的设备服务可以通过 X.509 认证证书(必须由有效的认证密钥签署)请求有关密钥对的信息。认证密钥是一个 ECDSA 签署密钥，其在出厂时被注入设备的硬件支持的密钥库。因此，有效的认证密钥签署的认证证书可确认硬件支持的密钥库是否存在，以及该密钥库中密钥对的详细信息。

　　为确保设备使用安全的官方 Android 出厂映像，密钥认证要求设备 bootloader向可信执行环境(TEE)提供以下信息：

　　设备上安装的操作系统版本和补丁级别

　　● 验证的启动公钥和锁定状态。

　　● 除密钥认证外，Android N 还推出了指纹绑定密钥，在指纹注册时不会撤销。