OP-TEE1_特性

OP-TEE Notice 中有OP-TEE特性的介绍,分别是:隔离(Isolation)、小巧(Small footprint)、可移植(Portability)

OP-TEE特性一——隔离

OP-TEE, open-source security for the mass-market这篇文章中介绍了OP-TEE的发展历史。

最初OMTP(Open Mobile Terminal Platform)组织提出了一种双系统解决方案,TEE就是由此发展而来,目前OP-TEE OS运行的环境仍是双系统,一个是一般的Linux系统,另一个就是OP-TEE OS,也就是一种TEE OS。在这两个系统之间,就天然形成了软硬件资源的隔离

因为存在双系统,所以在运行OP-TEE OS的设备上,一切都可以被一分为二,一个是Normal World,另一个是Secure World,这一切包括硬件资源和软件资源。这涉及到如下概念:

Normal World:这个world的软硬件资源的安全性低。

Secure World:这个world的软硬件资源安的全性高。

REE(Rich Execution Environment):同Normal World,一般执行环境

TEE(Trusted Execution Environment):同Secure World,可信执行环境

可以简单如下图理解:

OP-TEE1_特性_第1张图片
REE与TEE的隔离

OP-TEE特性二——小巧

OP-TEE是一个小巧的操作系统,只占用很少的存储资源。我理解是因为它不是一个通用操作系统,而是有专用目的,因此不相关的功能和机制都可以化简,只加强安全相关的功能即可。

因此,在系统中增加OP-TEE可以只增加较小的代价就可以提高特定信息的安全性。提高信息安全性还有一个更厉害的方法,就是使用SE。

SE(Secure Element):安全元件(比如智能卡等硬件)

针对特定信息开发硬件进行保护,这种方法的安全性最高,但是代价也是很高的,因为一个保护指纹信息的硬件不能保护虹膜信息,保护声纹信息的硬件不能保护人脸识别信息,即通用性差,不可升级,生产成本就会非常高,而OP-TEE作为软件,是可以随着保护信息的特性而改变,生产成本是开发人员的工资,相对于硬件产生的成本应该是比较小的。使用REE安全性不够,使用SE成本太高,所以综合代价和收益,TEE是一个折中的方案。

OP-TEE特性三——可移植

和Linux的天性一样,OP-TEE也保持了设备兼容性,具有可移植性,使用Linux系统的设备应该都可以使用。

你可能感兴趣的:(OP-TEE1_特性)