TEE是什么?现有TEE解决方案
有一点还是蛮有意思的,TEEOS知道什么什么、ATF知道是什么、Secureboot也大概知道是点什么东西,但是问我TEE是什么?我还是一瞬间不知道该怎么描述,正好手边有一本书:《手机安全和可信应用开发指南》
先下结论:TEE是一套完整的安全解决方案,主要包含正常世界状态的客户端应用(Client Application, CA)、安全世界状态的可信应用,可信硬件驱动(Secure Driver, SD)以及可信内核系统(Trusted Execution Environment Operation System, TEE OS)
其系统配置、内部逻辑、安全设备和安全资源的划分是与CPU的集成电路(Integrated Circuit, IC)设计紧密挂钩的,使用ARM架构设计的不同CPU, TEE的配置完全不一样。
国内外各种TEE解决方案一般都遵循GP(Global Platform)规范进行开发并实现相同的API。GP规范规定了TEE解决方案的架构以及供TA开发使用的API原型,开发者可以使用这些规定的API开发实际的TA并能使其正常运行于不同的TEE解决方案中。
那么看看不同领域的TEE解决方案:
1、现有TEE解决方案
智能手机领域的芯片厂商众多,国外有高通(Qualcomm)、三星(Samsung)、LG,国内有展讯、联发科(MediaTek)、威盛电子(VIA)、华为海思(Hisilicon)等,目前手机厂商和芯片厂商支持的TEE解决关系如图1-1所示。
各家TEE解决方案的内部操作系统的逻辑会不一样,但都能提供GP规范规定的API,对于二级厂商或TA开发人员来说接口都是统一的。(不可能一个应用只能在vivo用不在华为用,不合适对吧)
这些TEE解决方案在智能手机领域主要用于实现在线支付(如微信支付、支付宝支付)、数字版权保护(DRM、Winevine Level 1、China DRM)、用户数据安全保护、安全存储、指纹识别、虹膜识别、人脸识别等其他安全需求。
这样可以降低用户手机在被非法root之后带来的威胁。 Google规定在Android M之后所有的Android设备在使用指纹数据时都需要用TEE来进行保护,否则无法通过Google的CTS认证授权,另外Android也建议使用硬件Keymaster和gatekeeper来强化系统安全性。
2、智能电视领域的TEE
当前的智能电视领域大多是使用Android系统来实现的,(华为现在有了鸿蒙)为保护二级厂商的视频源数据以及各厂家用户会员权益不被盗取,需要使用TEE来实现数字版权保护、会员鉴权、用户账号信息保护等安全功能,而TEE方案一般都是由电视芯片厂商提供的, 且所有的TEE源代码都不对外公开,即使是二级厂商也无法获取到TEE的源代码。(这个源代码可能就是一些安全启动的流程,以及驱动方面的东西,TEE包含的信息很多。)
在我国的智能电视领域,智能电视芯片主要有两家:星辰半导体(Mstar)和华为海思,两家厂商使用的TEE方案都不一样。Mstar早期的TEE方案是在CPU的一个类似于单片机的核上运行Nuttx系统作为TEE OS来实现TEE方案的,但最新的Mstar芯片已经改用OP-TEE方案来实现TEE解决方案。
华为海思的安全操作系统(Secure Operating System, Secure OS)是按照GP规范自主研发的TEE解决方案,其手机芯片和智能电视芯片都是使用这个TEE方案。华为海思的TEE增加了权限校验功能(类似于白名单机制),即在使用华为海思的TEE方案提供的API实现特定安全功能的TA时,需要将调用该TA对应的CA接口的进程或者服务的相关信息提前注册到TEE后方能正常使用,否则会导致调用失败。
3、IoT领域及其他领域的TEE
物联网(Internet of Thing, IoT)领域和车载系统领域将会是未来TEE方案使用的另外一个重要方向,大疆无人机已经使用TEE方案来保护无人机用户的私人数据、航拍数据以及关键的飞控算法。
ARM的M系列也开始支持TrustZone技术,如何针对资源受限的IoT设备实现TEE也是未来TEE的重要发展方向之一。而在车载领域NXP芯片已经集成OP-TEE作为TEE方案,MediaTek的车载芯片也已集成了Trustonic的TEE方案,相信在车载系统领域TEE也将渐渐普及。
4、小结
TEE是一个可信的环境,是一套的解决方案,而是单纯的就是指实现了TrustZone或者具有TEEOS就是TEE环境,这个应该是多范围的东西。
一个环境、一种解决方案。
后面我打算结合结合几个具体的业务场景来学习一下,比如说常说的数字版权保护,指纹等生物体征等相关的涉及到安全的领域,从底层框架到上层的应用,看一下这个是怎么使用的。
TEE是什么?现有TEE解决方案相关推荐
- linux tee错误日志,linux tee命令使用详解教程
在执行Linux命令时,我们既想把输出保存到文件中,又想在屏幕上看到输出内容,就可以使用tee命令.接下来是小编为大家收集的linux tee 命令使用详解教程,希望能帮到大家. linux tee ...
- TEE的由来以及TEE的概念
TEE的由来 TEE-with-OS启动实例 TEE概览 将一个物理处理器分时复用为两个逻辑处理器一半是Rich Execution Environment , 用来运行不可信的系统和APP一半是Tr ...
- 微软将为Linux 操作系统带来TEE的支持:TEE(Trusted Execution Environment,可信执行环境)
安智客之前多次提到过,百度,阿里,Google都在积极布局TEE,都积极发展自己的TEEOS,微软也不会缺席,将为Linux 操作系统带来"可信执行环境"的支持,为机密计算提供安全 ...
- Private Data Objects, 私密数据对象,基于TEE、智能合约和分布式账本的可信计算
本文首发在 https://zhuanlan.zhihu.com/p/109270123 本文的主要内容来自论文:Bowman, Mic, et al. "Private data obje ...
- 隐私计算技术解读:可信执行环境(TEE)概要及应用
本文阐释梳理了可信执行环境(TEE)的概念定义及发展脉络,剖析 TEE 与基于密码学的隐私保护技术的对比及其在联邦学习中的应用,最后介绍 TEE 的现有框架和相关应用. 作者 | 深圳市洞见智慧科技有 ...
- SoK: Understanding the Prevailing Security Vulnerabilities in TrustZone-assisted TEE Systems论文笔记
SoK: Understanding the Prevailing Security Vulnerabilities in TrustZone-assisted TEE Systems 题外话 所谓T ...
- Android手机启动流程与TEE OS
2019独角兽企业重金招聘Python工程师标准>>> 转载:https://cloud.tencent.com/developer/article/1043659 一个移植了TEE ...
- 阿里云Link TEE获得全球首款GlobalPlatform TEE全配置安全认证
2019年7月12日,阿里云Link TEE正式获得由国际标准组织GlobalPlatform(以下简称GP)颁发的TEE安全评估认证证书,也成为全球首款获得GP TEE全配置(支持TEE Time ...
- 蚂蚁区块链第10课 可信计算及TEE硬件隐私合约链智能合约开发实践
1,摘要 本文介绍可信计算分类INTEL SGX技术和ARM TRUSTZONE技术技术方案概要,以及应用INTEL SGX技术的蚂蚁区块链TEE硬件隐私链的智能合约开发实践. 2,可信计算和2种技术 ...
最新文章
- RabbitMQ高可用方案总结
- 学python需要什么文化基础-中国文化走的是()的路线。
- 图像处理和计算机视觉中的经典论文
- c语言 字符串 if,C语言用if(strstr(s1,s2))判断字符串是否存在子字符串,无论有没有都会进入到if里是怎么回事?...
- wxWidgets:SVG 示例
- Nacos分布式应用配置管理
- 初探弹出层的实现原理
- php怎么选择路径,利用php+mcDropdown实现文件路径可在下拉框选择
- 项目管理学习笔记二:信息系统服务管理
- 雷军公布小米高管团队:仅15位,常程位列其中
- 游戏筑基开发之回调函数(C语言)
- 操作系统——零碎概念
- ISIS-三类路由器区域路由
- 联想台式机计算机接口,我的电脑显卡是什么样的接口?
- word小技巧 将图片批量居中
- jsp遍历List map
- 【蓝桥杯备战】 Day02
- 解决ubuntu 18.04安装搜狗输入法 在fcitx的add input method不显示
- MMGSDI启动流程
- 微商如何通过自媒体平台进行引流