1.目的
写这篇博客主要是为了记录这段时间的成果,方便自己和有需要的人理解可信存储,以及OP-TEE是如何实现可信存储的。
最近在重构公司的可信存储的实现,主要是想将Trust Storage的主要逻辑实现从user space挪到kernel space。这样做的好处有三点,一是一次syscall即可以用完成一次操作,而不是一次操作需要多个syscall来完成;二是在做release时,只需要release TEE binary,而不是TEE binary和libteei.a同时release,三是新的实现只需在RPMB read/write时加锁,是相对细粒度的,旧的实现中,需要在userspace加锁,相对来讲是粗粒度的,可在一定程度上优化性能。
OP-TEE作为开源社区最优秀的基于ARM TrustZone的安全解决方案,凝聚力世界各地的无数优秀开发者的心血。我在重构公司的可信存储的时候,一定程度上参考了OP-TEE的实现,这里对OP-TEE TrustStorage实现做个介绍。OP-TEE TrustStorage模块在实现上,暴露给TA开发者的internal core api接口遵循了GlobalPlatfrom的规范,方便开发者进行TA开发。TrustStorage的接口主要有如下几个,这也是本文关注的的重点,详细的可以参考GlobalPlatfrom的internlal api。
由于时间原因,2、3、4将在后续进行完善。
2.Persistent Object
以下是GlobalPlatfrom 定义的关于persistent object的function。
TEE_Result TEE_OpenPersistentObject(
uint32_t storageID,