TrustZone——市场普及——TEE组成部分浅析

近几年,随着苹果支付、三星支付、支付宝普及、华为支付、小米支付的普及,基本代表从2012年从三星推出S3。然后是KNOX,苹果支付入华,支付宝和微信大面积线下推广。今年华为和小米退出各自的支付。逐渐证明着安卓市场TrustZone技术的普及。尽管也暴露了几个漏洞,市场还是在往前走着。就连北京公交集团,明年计划支持各种支付,推广中国公交一卡通,俨然一张公交卡走遍中国都不怕的节奏。目前首批计划支持京津冀地区。在这些市场的背后,还是需要安全的保证,谁也不希望自己辛苦挣来的钱被别人花吧(土豪除外)。


先说说大体方案,目前根据CPU使用情况可以分为两个阵营。
1、独立安全芯片。类似虚拟化多系统运行。毕竟现在手机的配置都快超过我用的台式机了。4G内存,2G的主频。运行两个系统也很轻松,而且毕竟安全系统相对来讲一般以COS或linux为主,大部分是嵌入式系统功能比较简单。例如:金立M6
2、共享CPU内核。主要以TEE为主。利用虚拟化技术,独占或者共享主芯片内核。例如:三星,华为,小米,谷歌。。。。。。


从TEE角度说,这里又分出来几个实现方式。主要是接口层面。
1、linaro倡导的GP接口,主要产品是:optee,华为
2、三星和G&D,主要产品是:G&D的TEE接口,三星芯片为主
3、高通,主要产品是:使用高通芯片的手机,三星,小米,谷歌......


来点儿干活。让大家了解手机里的哪些部分是为了支持这些安全服务的。有些部分,分析的不够透彻,还请谅解。
先来看一下ARM的TrustZone架构图。

TrustZone——市场普及——TEE组成部分浅析_第1张图片

根据上面的分析,整理了主要厂商的产品。

TrustZone——市场普及——TEE组成部分浅析_第2张图片

从接口层面,三星一套,高通一套,GP标准推广这么就,也没能统一市场。

ARM在boot方面,提供了开源代码。便于统一安全启动流程。


描述了这么半天,也没有说清楚重点吧。

如果你想开发一个应用与安全有关的话。你就要使用到上面的五部分。

GP标准比较好,定义了外部接口和内部接口。你就可以忽略中间的这几部分,直接写CA和TA就好。其他两类由于非开源,不好推测,理论上应该也是一样的。


相当于普通系统这边的安卓应用,一个接口调用。要经过如下流程:

安卓应用==>JNI==>libteec.so==>tee-supplicant==>optee.ko==>secureos==>TrustApp


这样大家就应该能够明白如何编写相关的应用了。如果两边接口能够对应。中间部分一般是芯片厂商提供的BSP里就做好了。当然还是有些部署和目录调整工作要自己完成的了。



你可能感兴趣的:(Android,TrustZone)