一、TEE(Trusted Execution Environment)
1 A look back
1)2009 OMTP(Open Mobile Terminal Platform),首次定义了TEE:“一组软硬件组件,可以为应用程序提供必要的设施”。
2)商业TEE推出
3)2010 GSMA(Global System for Mobile Communications Alliance) 开始主持OMTP标准及TEE。
4)2010 GSMA宣布自己的TEE标准,构成了目前TEE的基础。包括TEE client API、TEE internal API、一整套TEE系统体系。
TEE Client API Specification,规范主OS的应用与TEE的可信应用如何通信。
TEE Internal API Specification,规范如何开发能在TEE内部运行的可信应用。
其 他:TEE Systems Architecture、TEE Secure Element API Specification、Trusted User Interface API Specification、TEE TA Debug Specification。
2 What is a TEE?
它是移动设备主处理器上一个安全区域,与移动OS并行存在,提供一个隔离的执行环境,保证隔离执行、可信应用的完整性、可信数据的机密性、安全存储等。
3 相关技术
硬件隔离技术:保护其不受REE环境的用户Apps影响。
内部的软件/密码隔离技术:保护每个TA不相互影响。
核心技术:TrustZone。
TEE是将TrustZone技术进行标准化的结果。
TEE是基于TrustZone技术构建的可信运行环境,包含软件和硬件部分。
4 Application
1) Premium content protection:高清视频/高清电影防盗版。
2) Authentication:指纹传感器、面部识别、声音授权。
“三步曲”:TEE存储模板——》提取镜像(扫描指纹)——》匹配引擎进行镜像与模板的匹配
3) 移动金融:P2P支付、移动电子钱包、NFC支付、使用移动设备作为PoS机等。
4) 企业与政府
5 HUAWEI TEE
二、TrustZone
1 该技术出现在ARM中,将一些安全性要求高的代码放在该区域里执行。
2 硬件级别的安全、芯片级别的隔离。
它将系统隔离成两个世界:安全世界TEE/非安全世界REE。
1)TEE可看到REE,REE看不到TEE;
2)REE进入TEE严格控制;
3)之间切换通过Monitor模式;
4)REE与TEE通过share memory进行数据交互;
5)REE与TEE关系:C/S架构
6)REE与TEE采用分时机制,共用单个物理处理器。
TEE进行系统的安全启动,保证系统启动安全+信任链传递起点的可信;
对将要加载运行的镜像进行完整性校验,防止系统软件被恶意篡改。
三、TA&CA
TA:Trusted Application
CA:Client Application
交互流程如下:
