OP-TEE

OP-TEE 是一个开源工程,完整的实现了一个可信执行环境。 主要包括 Secure world OS(optee_os)、normal world client(optee_client)、test suite(optee_test/xtest)以及 Linux 驱动部分。

OP-TEE 的全称是 Open-source Portable Trusted Execution Environment,其中 TEE(可信执行环境)是基于 trustzone 技术搭建的安全执行环境。该项目最初由意法半导体(ST)和爱立信发起,是一个专门的解决方案,后来由意法半导体拥有和维护。2014年,Linaro 开始与意法半导体合作,逐步将这个专有的 TEE 解决方案转换成一个开源的 TEE 解决方案。

ARM 公司提出的 trustzone 技术是用一根安全总线(称为 NS 位)来判断系统当前处于 secure world 还是 non-secure world 状态,状态的切换由 ATF(ARM Trusted Firmware)来完成。

当处于 secure world 状态时,就会执行 TEE OS 部分的程序;当处于 non-secure world 状态时,就会执行 Linux kernel 部分的程序。

Linux 内核是不能直接访问 TEE 的,只能通过特定的 TA(Trust Application)和 CA(Client Application)来访问 TEE 部分特定的资源。TA 可用于处理保密资料,例如信用卡 PIN 码、账户密码、用户个人资料,以及受 DRM(Digital Rights Management,数字版权管理)保护的媒体等。

Leave a Reply