什么是OPTEE-OS？_optee os(1)

2401_84009317

于 2024-04-06 09:24:43 发布

阅读量660

点赞数 10

分类专栏：程序员文章标签：嵌入式

本文链接：https://blog.csdn.net/2401_84009317/article/details/137419108

版权

程序员专栏收录该内容

269 篇文章 0 订阅

订阅专栏

什么是TEE?

TEE全称为Trusted execute environment,也就是信任执行环境。TEE是基于trustzone技术搭建的安全执行环境

6. TEE需要硬件支持吗?

是的,硬件软件缺一不可，两者相辅相成。所谓的硬件是集成到处理器中的功能

7. TEE硬件视图

TEE软件视图

TEE OS是统一的吗?

不是，目前各家厂商和组织都有各自的实现方式，但是所有方案的外部接口都会遵循GP（GlobalPlatform）标准

10. 各家厂商和组织的TEE OS到底有何区别?

TA的添加和加载时的校验有所区别

OPTEE-OS属于哪家厂商的?

属于Trustonic的

12. OPTEE-OS全称是什么?

Open-source Portable Trusted Execution Environment OS

到底是如何实现安全的呢？

当处于secure world状态，那么就会执行TEE OS部分的代码,当处于non-secure world状态时,就执行linux kernel部分的代码

Linux内核能直接访问TEE部分的资源吗?

Linux kernel不能直接访问TEE部分的资源

Linux 内核如何才能访问TEE部分的资源呢?

Linux kernel能通过特定的TA(Trust Appliaction)和CA(Client Application)来访问TEE部分特定的资源

TA都做了些什么?

处理保密信息,如信用卡pin码,私有密码,客户数据,受DRM (Digital Rights Management,数字版权管理)保护的媒体；

为正常内核提供服务，以便不用协调正常内核就可以充分利用保密信息

OP-TEE都包括些什么内容?

Secure world OS(optee_os)、normal world client(optee_client)、test suite(optee_test/xtest)以及linux驱动

OP-TEE软件架构

产品开发团队负责开发一个运行在linux上的client application(CA)和一个运行在OP-TEE上的trusted application(TA),CA使用TEE client API与TA通信,并且从TA获取安全服务。CA和TA使用共享内存进行通信。

TEE启动流程

理论上来说,在启动过程中,OP-TEE必须尽可能早的启动（bootloader的运行优先于OP-TEE会带来一个缺陷,触碰敏感数据）。在一个典型的linux启动过程中,rom bootloader加载/执行一个第一阶段bootloader(如:SPL,MLO,SBL1,FSBL),这个第一阶段bootloader然后执行一个第二阶段bootloader(如:U-Boot,LittleKernel),这个第二阶段bootloader会执行linux内核,所有的这些过程来自一个安全世界上下文。

在一个基于ARMv7的处理器上，附有TEE的典型启动流程是SPL加载OP-TEE和U-Boot,然后跳转到OP-TEE，一旦OP-TEE初始化完毕，OP-TEE就会切换到非安全上下文，并且跳转到U-Boot中。OP-TEE代码会继续放在内存中，以便为linux内核提供安全服务。

在一个基于ARMv8的处理器上，TEE启动流程还涉及到一个SPL加载ARM Trusted firmware的步骤。SPL跳转到arm trusted firmware,这个firmware随后与OP-TEE共同协作,OP-TEE转而跳转到处于非安全上下文的U-Boot中。

在一个ARMv8平台上,ARM Trusted firmware提供一个监视器代码去管理安全世界和非安全世界之间的切换,而在ARMv7平台上这一功能是被嵌入到OP-TEE中的。