名称:全称 | 含义 |
---|---|
TZ:trustzone | 它是ARM针对消费电子设备设计的一种硬件架构,目的是为消费电子设备构建一个安全框架来抵御各种可能的攻击。 |
TEE:trusted execution environment | 可信执行环境,指的是抽象概念上的一种可信赖的应用执行环境。TEE是基于trustzone技术搭建的。 |
REE:rich execution environment | 工具丰富的执行环境,与TEE相对,一般是不安全的,泛指linux,AP侧。 |
security world | 安全世界,抽象意义上的划分,TEE属于安全世界。 |
Normal world | 普通世界,与安全世界相对,REE属于普通世界。 |
TA:trusted application | 可信应用,一般指在TEE上运行的应用 |
CA:client application | 用户应用,一般指在TEE外运行的应用 |
Trusted OS | TEE环境需要操作系统,所以有队友的相关操作系统,如:OP-TEE,Trusty,高通的QSEE,豆荚 |
OP-TEE:Open Portable Trusted Execution Environment | 一种开源的trustzone操作系统 |
GP:global platform | 一个规范,目前TEE OS不是统一的,各家厂商和组织都有各自的实现方式,但是所有的方案外部接口都会遵循GP规范(标准),提供GP规范定义的API接口 |
1.如何实现安全的呢?
当处于secure world状态,那么就会执行TEE OS部分的代码,当处于non-secure world状态时,就执行linux kernel部分的代码
2.Linux内核能直接访问TEE部分的资源吗?
Linux kernel不能直接访问TEE部分的资源,Linux kernel能通过特定的TA(Trust Appliaction)和CA(Client Application)来访问TEE部分特定的资源
3.访问的详细过程是怎样的呢?
开发团队负责开发一个运行在linux上的client application(CA)和一个运行在OP-TEE上的trusted application(TA),CA使用TEE client API与TA通信,并且从TA获取安全服务。CA和TA使用共享内存进行通信。
参考文档:
1.https://www.cnblogs.com/jiangzhaowei/p/11057881.html
2.《手机安全和可信应用开发指南》
3.gloablplatform 文档: https://globalplatform.org/wp-content/uploads/2018/06/GPD_TEE_Internal_Core_API_Specification_v1.1.2.50_PublicReview.pdf