OP-TEE中TA与CA调用的完整流程----系统各层面关系

最新推荐文章于 2025-02-15 08:30:20 发布
最新推荐文章于 2025-02-15 08:30:20 发布
阅读量2.7k 收藏 3
点赞数 1
分类专栏: TEE-OS 文章标签: linux tee TA CA C
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45264425/article/details/127162998
版权
本文详细介绍了在OP-TEE中,从应用程序调用CA接口到TA执行并返回数据的完整流程,涉及userspace、kernelspace、TEE driver、Monitor态、TEE OS以及TA等多个层面的关系。内容涵盖了软件架构、调用流程、系统层面关系图以及GP规定的CA接口等关键知识点。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、软件架构

最近在需要设计一个CA,虽然学习了一些相关的方面。但是做设计的时候,对于调用关系还是因为缺乏宏观的架构认识,做的时候就还是很不顺畅。这里先来瞅瞅。

要使用OP-TEE来实现特定的安全功能就需要开发者根据自己的实际需求开发特定的CA和TA程序,并将TA集成到OP-TEE中。

CA端负责实现在RTOS端userspace层面的对外接口,而TA端的代码则是在OP-TEE OS的userspace层面负责实现具体的安全功能,例如使用何种算法组合来对数据进行安全处理,对处理后的数据的安全保存,解密加密数据等等功能。

(CA和TA都是用户层的)

下图为系统中CA与TA之间执行的软件框图。

在这里插入图片描述
借助OP-TEE来实现特定安全需求时,一次完整的功能调用一般都是起源于CA,TA做具体功能实现并返回数据到CA,而整个过程需要经过OP-TEE的client端接口,OP-TEE在Linux kernel端的驱动,Monitor模式下的SMC处理,OP-TEE OS的thread处理,OP-TEE中的

了解本专栏 订阅专栏 解锁全文 超级会员免费看
OPTEETA命令操作的实现(三)
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
09-17 1050
上文我们创建好了通道,现在就是操作,怎么操作TA呢?REE侧的CA执行创建会话操作成功后,CA就可使用获取到的调用来让TA执行特定的命令。通过ioctl的系统调用发送到OP-TEE的驱动中,保存在共享内存中,并触发安全监控模式调用(smc)切换到Monitor模式(ARMv7)或EL3(ARMv8)中进行安全世界状态的处理。
OP-TEE driver(一):OP-TEE驱动(OP-TEE driver)的工作流程
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
09-24 2348
OPTEE-driver,以上就是全部内容。可以看到OPTEE-driver的屁股就是挨着SMC monitor的。可见REETEE的都是通过这driver。而针对REE侧TEE交互,有CA client(libteec库)tee-sup。而从OP-TEE驱动的挂载过程来看,OP-TEE驱动会分别针对libteec库tee_supplicant建立不同的设备/dev/tee0/dev/teepriv0。
optee os 中的系统调用
jason的笔记
07-04 2419
当在TA 中发生系统调用时,其入口函数在optee_os-master/core/arch/arm/kernel/thread_a64.S LOCAL_FUNC el0_svc , :      /* get pointer to current thread context in x0 */      get_thread_ctx sp, 0, 1, 2      /* load sa
CA/TA开发环境
最新发布
2301_77261765的博客
02-15 578
optca/ta
19. OP-TEETACA执行流程详解-------软件架构篇
热门推荐
shuaifengyun的专栏
06-05 1万+
历经一年多时间的系统整理合补充,《手机安全可信应用开发指南:TrustZoneOP-TEE技术详解》一书得以出版,书中详细介绍了TEE以及系统安全中的所有内容,全书按照从硬件到软件,从用户空间到内核空间的顺序对TEE技术详细阐述,读者可从用户空间到TEE内核一步一步了解系统安全的所有内容,同时书中也提供了相关的示例代码,读者可根据自身实际需求开发TA。目前该书已在天猫、京东、当当同步...
OP-TEE系列之(四)实现CA_TA调用加密算法实现
chali1314的博客
03-28 2146
本文转载自:OP-TEE系列之(四)实现CA_TA调用加密算法实现 - 简书 OP-TEE架构分析 基本上,存在两个独立的世界:一个Normal世界,另一个是Secure世界。 每个世界都有自己的操作系统(OS)用户应用程序,简单地说,正常世界中的用户应用程序正常操作系统是传统的,而安全世界中的用户应用程序正常操作系统具有专门的用途(例如数字版权管理,认证等)。 两个世界通过安全Monitor进行通信。 当受信任的OS从其非特权模式加载信任关系时,它首先检查其签名及软件完整性,以查
OPTEE下,CATA通信实现
bindingfly的博客
01-27 3796
这里以optee_examples中的hello_world为例,该例是实现整数加一操作。 1、 CA 需要 OPTEE OS 之间建立一个 Context(InitializeContext),以后此 CA TEE 环境的所有通信均基于此 Context来实现的; /* Initialize a context connecting us to the TEE */ res = TE
20. OP-TEETACA执行流程-------CA部分的代码篇
shuaifengyun的专栏
06-06 9222
历经一年多时间的系统整理合补充,《手机安全可信应用开发指南:TrustZoneOP-TEE技术详解》一书得以出版,书中详细介绍了TEE以及系统安全中的所有内容,全书按照从硬件到软件,从用户空间到内核空间的顺序对TEE技术详细阐述,读者可从用户空间到TEE内核一步一步了解系统安全的所有内容,同时书中也提供了相关的示例代码,读者可根据自身实际需求开发TA。目前该书已在天猫、京东、当当同步...
CA-TA实战系列九】安全驱动OP-TEE(华为tzdriver)
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
01-27 893
我们前面知道了整个构建TEE的执行环境的软件有REE侧部分TEE侧部分,分别包括CA、REE侧接口库(libteec)、常驻进程(tee_supplicant)、OP-TEE驱动、OP-TEE OS、TA等部分。 这一步就是开始我们的安全驱动-REE侧OP-TEE的驱动: (华为就是那个teecd)OP-TEE驱动是REE侧TEE侧之间进行交互的重要通道,在REE侧的CA接口以及RPC请求的接收结果的返回最终都会被发送到驱动中,由驱动对数据做进一步的处理。OP-TEE驱动通过解析传入的参数,重新组合
OP-TEE driver(三):OP-TEE驱动中的数据结构体
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
09-24 709
前面那篇其实字符设备注册差不多,所以说某种程度上来说,optee驱动,也不是很特殊,还是个驱动。要了解OP-TEE驱动中具体进行了哪些操作,首先需要了解在OP-TEE驱动中存在的四个重要的结构体,这四个结构体变量会在驱动挂载时被注册到系统设备模块或该设备的自由结构体中,以便被用户空间使用,而执行dma操作时则会对共享内存进行注册。
OP-TEE驱动示例
07-13
CATA之间的通信通常是通过OP-TEE的API完成的,这些API实现了安全的调用返回机制。 此外,驱动的实现还需要考虑内存管理,因为TrustZone环境下内存是被严格划分的。在非受信任世界中,我们不能直接访问受信任...
OP-TEETA签名、验签及TA加载过程
楼中望月
12-16 4222
OP-TEETA签名、验签以及TA加载过程 文章目录OP-TEETA签名、验签以及TA加载过程一、TA的签名及验签1.TA的签名2.TA的public key处理3.TA的验签二、TA的加载1.RPC请求加载TA2.获取TA文件内容到共享内存3.加载TAOP-TEE的用户空间 从本篇开始整理OP-TEE相关的技术点,整理过程中自己也慢慢归类学习。 使用的op-tee版本号是3.12 一、TA的签名及验签 1.TA的签名 optee-os/ta/ta.mk # Copy the scripts
CA-TA实战系列八】CATA背后的故事一:华为itrustee架构下的CATA通信模式
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
01-27 1370
TeeClient 向应用提供访问安全OS(TEEOS)能力,让非安全侧应用可以访问安全OS内运行的安全应用。TeeClient模块可以分为如下三大部分:TeeClient SDK层:提供TeeClient API供应用调用,标准系统提供libteec.z.so库,小型系统提供libteec_vendor.so。TeeClient 基础服务层:包括teecd、tlogcat服务,标准系统及小型系统均提供。
一文看懂REE OS、TEE OS、CA以及TA概念、架构、流程
weixin_36389889的博客
03-03 1万+
一文看懂REE OS、TEE OS、CA以及TA概念、架构、流程
OP-TEETA的加载(超详细)
qq_42878531的博客
12-15 5653
TA验签加载TA的签名TA的验签TA的加载动态TA的加载 TA的签名 在optee或sdk的目录下,有一个default_ta.pem(RSA2048 priv key)sign.py签名脚本. 在编译TA结束后,会使用这个脚本key对TA进行签名。 工程目录/optee_os/keys/default_ta.pem 工程目录/optee_os/scripts/sign_encrypt.py TA的验签 在编译optee_os时,pem_to_pub_c.py脚本中将default_ta.pem中解析
optee中User TA的加载运行
baron-周贺贺-代码改变世界ctw
10-19 4394
文章目录1、tee_entry_std :std smc的调用2、open_session 1、tee_entry_std :std smc的调用linux kernel中,通过GP标准调用TA通信的命令(opensession\invoke\closession)其实都是std smc call。 该smc调用后,会进入到TEE中的tee_entry_std中: /* * Note: this function is weak just to make it possible to exclud
OPTEE开发】从TA到安全驱动的功能设计
楼中望月
01-17 3825
文章目录一、功能需求二、TA到Driver层的架构1. 软件层架构2. 实现思路2.3 封装libutee系统API2.2 core中增加系统服务层2.1 Driver侧接口实现三、详细实现1. 修改清单2. 详细设计2.1 libutee对外接口设计2.2 core服务设计2.3 Driver驱动侧设计2.4 TA应用侧实现 一、功能需求 实现普通TA通过系统调用到增加的Driver侧功能,实现完整的通路。 功能:在TA中通过系统调用安全驱动中的writeread功能,增加rot service系统
OPTEECA-TA会话的创建(二)
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
09-17 2091
在上一篇我们知道TA是什么,以及为什么需要加载TA。这里来写写加载TA后,怎么CATATATA怎么建立会话,实现我们的功能的。参考内容全部来自《手机安全可信应用开发指南》,少有OPTEE书籍,感恩前辈。这篇都是Copy加上一点自己的理解看法,免得自己看书走神。
CA-TA实战系列四】TACA的调试使用
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
01-26 812
调试一个TACA程序时最主要的手段就是在报错的地方打印。在开发TACA的过程中会牵扯到。关于程序编译的问题只需要根据编译报错的日志进行修改即可,若对编译过程不熟悉可在编译系统中添加打印的方式跟踪整个编译过程,然后定位编译报错的位置后进行对应的修改,一般都是函数变量的定义问题以及相关选项的设置问题。对于应用层的调试,。为方便形成自己的调试风格,。为确定在哪一步操作地方出现了错误,读者可以在代码中添加对应的打印信息,然后根据打印的信息进行对应的修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TrustZone_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值