在面向消費(fèi)類電子及車載場(chǎng)景 中，ARM 架構(gòu)的 CPU 占據(jù)主導(dǎo)地位，下面重點(diǎn)描述基于ARM TrustZone 的 TEE 技術(shù)。TrustZone 技術(shù)是 ARM 公司為了解決可能遇到的軟硬件安全問(wèn)題提出的一種硬件解決方案。其關(guān)鍵設(shè)計(jì)思想就是硬件隔離，包括片上和片外的 ROM/RAM 隔離、外設(shè)隔離、CPU 核隔離、中斷隔離和內(nèi)存隔離等?；谶@種硬件架構(gòu)設(shè)計(jì)的 TEE，能在很大程度和范圍內(nèi)保證系 統(tǒng)的安全性，使軟硬件破解都變得相對(duì)困難。2010 年國(guó)際組織 GP（Global Platform）發(fā)布了 TEE 規(guī)范和應(yīng)用開(kāi)發(fā)的接口規(guī)范，目前的開(kāi)源或商業(yè)版 TEE OS 都支持該規(guī)范，方便基于規(guī)范開(kāi)發(fā)的可信應(yīng)用

（Trusted Application，TA）在不同的TEE 移植。TEE 主要安全特性包括：

• 硬件機(jī)制保護(hù)：TEE 物理隔離于 REE、TEE 可以訪問(wèn) REE 的內(nèi)存、REE 無(wú)法訪問(wèn)受硬件保護(hù)的TEE 內(nèi)存，只能通過(guò)特定的入口與 TEE 通信。

• 三層隔離機(jī)制：支持 TEE 和 REE 間隔離，TA 間相互隔離，TA 和 TEE 內(nèi)核間隔離。

• 支持多 TA 運(yùn)行：TEE 中可以同時(shí)運(yùn)行多個(gè) TA，服務(wù)于 REE 側(cè)的安全應(yīng)用。

• 支持安全啟動(dòng)：TEE 和 TA 中的可執(zhí)行代碼在執(zhí)行前先要被驗(yàn)證。

• 安全存儲(chǔ)機(jī)制：存儲(chǔ)證書(shū)密鑰等重要數(shù)據(jù)，滿足認(rèn)證性、完整性和機(jī)密性需求。

• 高性能運(yùn)行：TEE 運(yùn)行時(shí)獨(dú)占 CPU 核的全部性能，TA 運(yùn)行完釋放 CPU 資源。

• 靈活易擴(kuò)展：TEE 存儲(chǔ)、運(yùn)行空間可定制，TA 支持靜態(tài)、動(dòng)態(tài)加載，易于開(kāi)發(fā)維護(hù)。

• 開(kāi)發(fā)接口規(guī)范化：遵從國(guó)際 GP 標(biāo)準(zhǔn)，安全應(yīng)用可在多種平臺(tái)上移植。

• 適配 AUTOSAR 接口：AUTOSAR 安全需求組件可通過(guò) TEE 實(shí)現(xiàn)，在 REE 側(cè)適配 AUTOSAR 標(biāo)準(zhǔn)接口，例加解密組件、更新管理組件等。

基于 TEE 系統(tǒng)的軟件棧主要組件如下圖所示。

圖3.4-22 基于TEE系統(tǒng)的軟件棧組件

軟件棧主要由 REE、TEE、安全后臺(tái)、產(chǎn)線工具組成。客戶端應(yīng)用運(yùn)行在 REE 側(cè)，調(diào)用 TEE Client API，再通過(guò) REE 通信代理和 TEE 通信代理實(shí)現(xiàn)與 TEE 環(huán)境的交互，對(duì)應(yīng)的 TA 完成特定安全功能。安全后臺(tái)主要負(fù)責(zé)可信服務(wù)的后臺(tái)業(yè)務(wù)邏輯，實(shí)現(xiàn)端到后臺(tái)的閉環(huán)安全流程，例如設(shè)備管理、密鑰管理、軟件更新等功能。產(chǎn)線工具主要負(fù)責(zé)設(shè)備信息的導(dǎo)入導(dǎo)出，包括根證書(shū)密鑰等信息。TEE  主要提供運(yùn)行環(huán)境、可信基礎(chǔ)服務(wù)、通用可信應(yīng)用、客戶客制化可信應(yīng)用，TEE 運(yùn)行環(huán)境一般采用 Trusted Kernel 實(shí)現(xiàn)?？尚呕A(chǔ)服務(wù)基于Trusted  Kernel 開(kāi)發(fā)，基于這些可信基礎(chǔ)服務(wù)提供滿足GP 規(guī)范要求的TEEInternalAPI 接口， 用于開(kāi)發(fā)通基礎(chǔ)業(yè)務(wù)和客戶客制化業(yè)務(wù)。

可信基礎(chǔ)服務(wù)主要功能說(shuō)明如下：

表3.4-3 可信基礎(chǔ)服務(wù)主要功能

基礎(chǔ)服務(wù)

功能說(shuō)明

安全存儲(chǔ)

為數(shù)據(jù)提供加密存儲(chǔ)或可信存儲(chǔ)區(qū)域，保證數(shù)據(jù)的機(jī)密性和完整性，防止數(shù)據(jù)被非法

篡改或非法獲取。加密密鑰動(dòng)態(tài)生成且不出可信安全域。

安全加解密

支持國(guó)際或國(guó)密算法，包括對(duì)稱密碼算法、公鑰密碼算法、散列密碼算法等。可支持

芯片內(nèi)置加解密引擎或外接加解密硬件模塊。

安全時(shí)間

提供不能被非法篡改的時(shí)間接口，僅存于安全可信環(huán)境下，主要用于安全日志、視頻

數(shù)據(jù)等可審計(jì)的場(chǎng)景。

真隨機(jī)數(shù)

支持在可信環(huán)境下獲取硬件產(chǎn)生的隨機(jī)源，且在  REE  側(cè)無(wú)法獲取此隨機(jī)源。主要用

于密碼算法的隨機(jī)因子。

安全校驗(yàn)

檢查安全應(yīng)用 TA 加載時(shí)的鏡像完整性和真實(shí)性，確保未被非法篡改。

基礎(chǔ)服務(wù)

功能說(shuō)明

密鑰管理

為每個(gè)安全應(yīng)用 TA 隨機(jī)產(chǎn)生共享密鑰，保護(hù)各 TA 的數(shù)據(jù)，且 TA 間互不可見(jiàn)密鑰。

可信根

綁定硬件唯一標(biāo)識(shí)信息，運(yùn)行階段生成。在可信環(huán)境下可以獲取此信息，且各設(shè)備都

不同且唯一。

安全驅(qū)動(dòng)

外部設(shè)備僅允許 TEE 側(cè)的訪問(wèn)（例 SPI、UART、I2C 等），而 REE 側(cè)無(wú)法訪問(wèn)。

TEE 技術(shù)目前已成為移動(dòng)終端的標(biāo)配，不僅提供了合適的保護(hù)強(qiáng)度，也平衡了成本和易開(kāi)發(fā)性，并日趨成熟。其安全性、穩(wěn)定性、靈活性、擴(kuò)展性越來(lái)越得到車企的重視，隨著車載的安全合規(guī)性要求和車企的主動(dòng)防御需求，TEE 技術(shù)也為車企提供了更多的選擇，目前 TEE 技術(shù)已應(yīng)用在車載的信息娛樂(lè)系統(tǒng)、中央計(jì)算單元、車聯(lián)網(wǎng)系統(tǒng)等部件中，以保護(hù)設(shè)備的安全資產(chǎn)，相信 TEE 技術(shù)會(huì)在今后的車載信息安全上發(fā)揮更大的作用。

圖3.4-23 TEE技術(shù)架構(gòu)