为什么需要TrustZone?
系统设计时候需要考虑的安全:
-
1、要保护什么?
-
2、有哪些攻击我们的手段
软件、硬件、网络、通信
- 3、有什么防御的方法
隔离、访问控制、TEE
分类
- 外置硬件安全模式
- 完全隔离、物理安全、防硬件攻击
- 性能弱、资源少、成本、不能管理外设
SIM
- 内置硬件安全模块
- 相比外置HSM性能提升、成本下降
- 核间通信需要内存一致性、比TrustZone性能差一些,防硬件攻击比外置HSM更差
hardware security module (HSM)
加解密模块、安全处理器
TEE介绍
Intel SGX
ARM TrustZone
Apple SecureEnclave
TrustZone
TrustZone硬件原理介绍
Intel SGX
ARM Bowmore:
An Aims to make cloud computing as secure as a locked down in-house data center
Google Titan-M/Apple SEP/SPU/inSE
业界TEEOS现状
Baidu MesaTEE:
基于混合内存安全技术、机密计算技术和可信计算技术的可信安全计算服务通用框架(基于SGX)