写文章 TEE技术分析【转】

转自：https://zhuanlan.zhihu.com/p/24222064

首先介绍一下TEE的主要关键技术：

1．安全启动（Secure Boot）

安全启动技术可以用于需要防止篡改系统镜像，比如安全系统，安全手机镜像等。

2．安全显示和触摸（TUI）

提供安全输入保证，能保证用户应用界面和键盘操作不被监控，可以有效的保护用户名密码等其他信息不被恶意软件监控，可以用于具备用户安全信息界面输入的场景，如银行网银，聊天软件登录注册等。

3．安全存储（Secure filesyetem）

安全存储包括SFS（Secure filesystem）和rpmb。

其中RPMB安全等级高于SFS，可以用于有安全存储要求的场景，如移动支付应用的用户名密码保护，根证书保护，DRM密钥保护等。

4．安全加解密引擎

软件加解密算法国内领先，其中软件算法库达到同行业领先水平，RSA2028公私钥生成时间低于友商2倍以上。

可以用于有安全加解密要求的场景，如安全网络协议，网络传输等。

5．指纹识别

可以用于需要使用指纹安全认证的场景。

6．应用管理（Admin）

提供全面管理SD，TA的功能，包括SD，TA实体管理，安全数据存储管理，访问控制等，为Client App提供稳定安全的服务。

简单介绍一下Trustonic的体系：

成立于2012年4月，由ARM、Giesecke&Devrient（捷德）和Gemalto（金雅拓）合资成立，基于ARM的Trustzone技术成立，ARM持股40%，Giesecke&Devrient（捷德）和Gemalto（金雅拓）均持股30%。

Trustonic是TEE技术的领先供应商，T-base是Trustonic提供的TEE解决方案，可以嵌入到移动设备的处理器中，供其它服务提供商通过开放的方式访问现有的高级安全特征。Trustonic将可信服务紧密的连接到可信设备上，如下图所示：

芯片制造商：

可以集成t-base TEE，为PIN码、指纹和证书等提供隔离和保护，防止来自主操作系统环境的威胁。t-base使用ARM TrustZone安全隔离特征，并使用微内核和安全域隔离来保证可信apps的隔离。Trustonic为领先的芯片制造商提供集成的服务和支持，供应智能连接设备市场。

设备制造商：

在生产线上设置Trustonic t-kph密钥配置主机系统（t-kph Key Provisioning Host system）。Trustonic为每个设备的每个t-base TEE创建一个信任根（root of trust），并同步记录到Trustonic的t-sek目录中。

安全应用开发者：

使用Trustonic提供的t-sdk软件开发工具包（可以通过Trustonic t-dev开发者计划获得）创建可信apps，可以运行在t-base中。

服务提供商：

通过Trustonic的t-sek服务许可工具包（Service Enablement Kit）连接到t-base内的安全域，t-sek可以授权部署应用到安全域。