最近實習在研究這個東西,就分享一些個人的知識給要用的人吧。
arm的trustzone 是乙個涉及整個系統的安全技術。通過該技術可以實現arm的trustedfirmware architecture。該結構涉及多個方面,從總體上看如圖1(參考lcu13:trustedfirmware deep dive v1.0.pdf演講文稿):
圖1從系統結構上看,el3為最底層執行層,也就是cpu最先執行的程式。arm通過實現secure monitor做到了從系統啟動過程就隔離了可信系統及我們常用的普通系統。該實現方式與傳統的虛擬沙盒系統相比安全性有了極大提高。
現有的實現方案有linaro及sti等聯合推出的op-tee系統(該系統由三部分組成,分別為optee-client,optee-linuxdriver,optee-os。其相互之間的關係如圖2(參考linaroblog
圖2如今optee主要的開發工作由意法半導體(stmicroelectronics)及linaro進行。由於對硬體相關性很大,對不同的硬體需要進行移植,但是移植參考文件暫時沒有推出。因此目前較為合適方法是在fvp或者qemu模擬的vexpress
平台下進行。optee系統的執行流程如圖3(同樣參考lcu13:trustedfirmware deep dive v1.0.pdf演講文稿)
圖3optee的optee_os負責bl1、bl2、bl31、bl32部分,bl33為傳統os部分。
暫時先說這麼多,剩下的後面再加。
trusted firmware deep dive
op-tee, open-source security for the mass-market
arm® trustzone® in qemu
TrustZone技術簡介
trustzone是arm針對消費電子裝置安全所提出的一種架構。對於這種裝置的安全威脅,可以有幾種形態的安全解決方案。外部的硬體安全模組,比如裝置上的sim卡。這種方式的優點是sim卡具有特定的軟硬體安全特性,能夠保護卡內的金鑰等資源,而且要攻破其防護所付出的代價很高。缺點就是與裝置的介面通訊速度低...
TrustZone系統的安全需求
嵌入式系統中,安全有著多種不同的含義。在一般的系統中,安全包含但不限於以下幾個部分 而trustzone則實現了以下一些安全功能 trustzone實際上只是安全和非安全兩種空間之間的乙個屏障,因此有些安全需求是無法通過trustzone實現的,比如 通訊保護 通訊涉及的資料依然需要進行加密保護,加...
Trustzone執行環境模擬器
剛開始接觸trustzone的時候,什麼都沒有。只知道乙個理論,感覺虛的狠,於是各種查資料,跟開源社團溝通,終於有那麼一點眉目了。現在就介紹乙個非常好用trustzone的模擬工具 arm的 圖1然後是獲取github上面的optee os原始碼 安裝git,然後clone一下就行,很簡單的。因為他...