历经一年多时间的系统整理合补充,《手机安全和可信应用开发指南:TrustZone与OP-TEE技术详解 》一书得以出版,书中详细介绍了TEE以及系统安全中的所有内容,全书按照从硬件到软件,从用户空间到内核空间的顺序对TEE技术详细阐述,读者可从用户空间到TEE内核一步一步了解系统安全的所有内容,同时书中也提供了相关的示例代码,读者可根据自身实际需求开发TA。目前该书已在天猫、京东、当当同步上线,链接如下:
非常感谢在此期间大家的支持以及各位友人的支持和帮助!!!。
由于在线支付和互联网的发展,在手机和互联网电视领域,甚至物联网领域安全越来越显得重要。而android一直被诟病的就是运行速度慢和安
全问题。关于安全问题,这点无可厚非,谁叫android是开源的呢?由于安全问题的严重性, google规定在android 7.0之后要求厂商必须使用TEE来保护用户的生物特征数据(指纹,虹膜等)。
为确保用户的数据的安全,ARM公司提出了trustzone技术,个人将trustzone理解为cortex的虚拟化技术。ARM在AXI系统总线上添加了一根额外的安全总线,称为NS位,并将cortex分为两种状态:secure world, non-secure world, 并添加了一种叫做monitor的模式,cortex根据NS的值来判定当前指令操作是需要安全操作还是非安全操作,并结合自身是属于secure world状态还是non-secure状态来判定是否需要执行当前的指令操作。而cortex的secure world和non-secure world状态之间的切换由monitor来完成,最近由于ATF(arm trusted firmware)的给出,cortex的状态切换操作都是在ATF中完成。当cortex处于secure world状态时,cortex会去执行TEE(Trusted execute enviorment) OS部分的代码,当cortex处于non-secure world状态时,cortex回去执行linux kernel部分的代码。而linux kernel是无法访问TEE部分所以资源,只能通过特定的TA(Trust Application)和CA(Client Application)来访问TEE部分特定的资源。关于TEE和trustzone的更加详细资料在网上有一大堆,在次就不做过多的冗述。
TEE是基于trustzone技术搭建的安全执行环境,当cortex处于secure world态时,cortex执行的是TEE OS的代码。而当前全世界并未有一个统一的TEE OS,各家厂商和组织都有各自的实现方式,但是所有的方案的外部接口都会遵循GP(GlobalPlatform)标准。所有对于二级厂商来说,使用更加方便。当前具有自己TEE解决方案的厂商有:高通的Qsee, Trustonic的tee OS, OP-TEE OS, opentee, 海思,Mstar, VIA,豆荚科技等,笔者使用过上述几家厂商中的大部分,外部接口统一,只是TA的添加和加载时的校验有所区别。
由于各厂商的TEE OS都属于闭源的,所以关于内部的SMC响应机制,TEE OS内个进程的调度机制,TZPC的相关配置等都无法详细了解。本文以OP-TEE为例。在qemu上搭建OP-TEE的运行环境,后续章节将会介绍添加自有TA,CA,工程编译,启动机制,等其他更加详细的内容。
从github上能够获取到OP-TEE的所有源代码,该部分操作在github上都有详细的介绍。下面将一步一步介绍如何搭建qemu+OPTEE的运行,实验是在ubuntu中进行的。具体操作步骤如下
第一步,准备开发环境并安装开发工具:
使用如下指令安装搭建时需要的工具和库:
$ sudo apt-get install android-tools-adb android-tools-fastboot autoconf \
automake bc bison build-essential cscope curl device-tree-compiler \
expect flex ftp-upload gdisk iasl libattr1-dev libc6:i386 libcap-dev \
libfdt-dev libftdi-dev libglib2.0-dev libhidapi-dev libncurses5-dev \
libpixman-1-dev libssl-dev libstdc++6:i386 libtool libz1:i386 make \
mtools netcat python-crypto python-serial python-wand unzip uuid-dev \
xdg-utils xterm xz-utils zlib1g-dev第二步,下载OP-TEE的源代码
在系统中创建存放OP-TEE的目录,并建立初始化repo,指令操作如下:
(注意,repo init中的-b是指定使用2.6.0的branch来获取manifest.xml)
$ mkdir open-tee //创建目录
$ cd open-tee //切换到创建的目录
$ repo init -u https://github.com/OP-TEE/manifest.git -m default.xml --repo-url=git://codeaurora.org/tools/repo.git -b 2.6.0 //初始化repo
$repo sync //开始获取OP-TEE源代码注意如果出现如下错误无法sync
则需要切换到.repo目录中,将manifest.xml文件中的所有的.git都删除,如下:
(可以直接运行 sed -i "s/\.git//g" .repo/manifest.xml)
第三步,获取toolchain
下载完源代码之后,下一步就要获取编译时需要使用的toolchain,具体操作如下
$ cd build //切换到build目录
$ make -f toolchain.mk toolchains //下载toolchain第四步, 分别切换到 “optee_benchmark”“optee_client”“optee_examples”“optee_os”“optee_test”目录中,执行如下指令:
git checkout 3.0.0该指令的作用是将相关目录中的代码回滚到3.0.0, 因为OP-TEE的更新以及整个工程编译架构的更新,如果使用最新的3.0.0之后的代码会在集成示例TA和CA时有问题
第五步,开始编译使用qemu运行OP-TEE的工程
准备好toolchain和source code之后,下一步就是编译工程,具体操作如下:
$ cd build //切换到build目录
$ make -f qemu.mk all //编译工程第五步, 启动qemu
$cd build //切换到build目录
$make -f qemu.mk run-only //启动qemu并运行OP-TEE第六步, 运行OP-TEE和linux
在qemu界面中输入字母“c”回车之后,就会启动两个terminal,一个是OP-TEE的terminal,另外一个是linux的terminal。
第七步, 运行optee_example_hello_world
在linux的terminal端输入hello_world指令就会执行optee_example_hello_world的示例完整的界面如下:
上述有何错误和不足之处,请各位大侠及时指出!!