OP-TEE(Open Portable Trusted Execution
Environment)是一个开源的可移植的可信执行环境(TEE),用于提供安全和受保护的执行环境。它旨在为基于 ARM
架构的设备提供强大的安全性和隔离能力。
OP-TEE 主要由两部分组成:
Rich Execution Environment(REE):REE 是设备上运行普通操作系统(如 Android、Linux)的环境。在 REE 中,应用程序可以访问各种资源和服务。然而,REE 本身无法提供强大的安全性和隔离,因此需要与 TEE 配合使用。
Trusted Execution Environment(TEE):TEE 是 OP-TEE 提供的安全执行环境,它位于设备的特定硬件边界内,与 REE 相隔离。TEE 提供了一组安全的 API 和服务,允许应用程序在受保护的环境中运行,并使用 TEE 提供的安全功能,如加密、数字签名、身份验证等。
OP-TEE 的主要特点包括
安全隔离:OP-TEE 提供了硬件隔离和软件隔离,确保 TEE 中的应用程序和数据受到保护,不受 REE 中的应用程序的干扰。
安全通信:OP-TEE 提供了安全的通信通道,允许 REE 和 TEE 之间进行安全的数据传输和交互。
安全服务:OP-TEE 提供了一组安全服务和 API,用于实现加密、解密、签名、认证等安全功能。
默认下只有RSA签名,没有对镜像加密
签名:rsa(非对称)
加密:AES(对称)
动态TA:
动态TA就是最后编译生成的.TA文件是在REE测,用户可以在文件系统里面找到对应的.TA文件,在调用TA的时候,TEE测会加载该动态TA,然后验证TA是否合法,最后再执行TA中用户开发的代码功能。重点是需要时才会去加载,而且会验证TA合法性,并且TA是存在REE测
静态TA:
静态TA最后编译的静态.TA文件是在TEE测,在系统运行的时候,静态TA会跟随系统一起加载起来在TEE测,在调用TA的时候直接进行调用使用。静态TA的重点是系统运行就会加载,我不确定是否需要验证合法性,并且TA在TEE测,用无法看到静态TA。