聊一聊可信执行环境

可信执行环境（TrustedExecution Environment, TEE）是一个与智能设备安全相关的话题。在开展这个话题之前，先看一个经济学上的话题：

某个汽车公司生产的一款汽车，设计有点问题，如果汽车发生追尾，汽车的油箱就会爆炸，很容易造成车里人的伤亡。这时如果汽车公司在油箱旁边加一块挡板，这块挡板只需要16元，就能大大降低伤亡的数字。汽车公司知道这个情况，但他们算过一笔账，如果每辆汽车都加一块16元的挡板，成本就会增加很多，超过了他们对意外的赔偿，所以他们宁愿赔偿那些伤亡者，也不愿加这块挡板。

很多人看到这儿，肯定会骂这些无良商家，为了追求利润置人命于不顾，简直没有道德底线。但经济学家并不这么看：

汽车制造商要不要给汽车加一块挡板，表面上看是制造商自己的决定，但其实最终是消费者的决定。我们要明白，要提高汽车的安全性能，加一块挡板是可以的，换一种材质、刹车设计、安全气囊都是可以的。但这里加一点，那里加一点，汽车的总价就上升了。这些加起来，都会成为汽车的成本，由消费者承担。

消费者接受不接受呢？消费者愿意把他们最后一元钱放到安全性能上呢，还是汽车的功能上？还是放到汽车外形的美观上？不同的消费者有不同的选择。

这肯定会颠覆我们的认知，其实只要仔细想一想，确实是这么一个道理。比如 沃尔沃 主打安全，是公认的安全做得最好的汽车品牌，但卖得并不好。校车承载的是祖国的花朵，我们也不会把校车打造得像坦克那么坚固。如果我们说生命是无价的，安全性是我们不惜一切代价都应该追求的目标，那我们就再也不会在马路上见到我们今天见到的那些汽车了。汽车和飞机等现代化交通工具也不会发明出来。

回到手机安全上来，如果我们问消费者，是否需要一个安全的手机，大家肯定会回答需要。但如果我们追加一个条件：为了手机安全，大家可能需要额外花费 1000 元，还会有多少人愿意呢？

所以说，手机安全看似非常重要，但很多情况下也是可以舍弃的。更有甚者，如果安全影响到便利性，用户还会想方设法牺牲安全性。想想多少人曾经 root 过 Android 系统、越狱 IOS 系统，长期以来，很多人的 Windows 系统都是无密码直接进入。

现在的手机厂商很少以安全作为卖点，就是这个道理。

然而随着移动通信和互联网技术的飞速发展，智能设备在各个领域扮演着越来越重要的角色。购物、支付、炒股、自动驾驶 ...，智能设备上各种应用不断涌现，对智能设备安全的要求也越来越高。如果一些黑客能够破解智能设备的root权限，进而盗取用户数据或其他关键信息，造成用户数据的泄露或滥用，背锅的也会是厂商，所以系统厂商也在默默发力，致力于提高系统安全。

下面先盘点以下智能设备在安全方面采取了哪些措施，最后引出可信执行环境。

富执行环境（Rich Execution Environment，REE)

REE 通常就是指运行着 Android、IOS、Linux等系统的智能设备，其特点是操作系统提供系统安全性：

• 应用隔离，各个应用程序只能访问自己的数据

• 权限管理，普通用户和应用程序对系统数据的访问受限

• 通用，功能丰富，但应用程序和操作系统均有可能引入漏洞

• 开放，可扩展

但这样的系统，由于 OS 代码极其庞大和复杂，存在系统漏洞也是难免。一个系统发布之后，经常会收到系统安全补丁，就是因为系统过于复杂，很难进行全面的安全检验和认证。此外，这些系统还有一个很大的漏洞，那就是系统中的特权用户（比如 Android、Linux 系统的 root）。特权用户拥有所有数据的访问权，这就意味着如果黑客攻击系统获得特权用户权限，那整个系统就毫无秘密可言。目前的攻击手段一般是通过应用程序的漏洞，获取特权用户权限，进而控制整个系统。

虚拟化技术实现隔离

虚拟化技术是指在同一台计算机上通过 hypervisor 虚拟出多个包括完整虚拟机系统镜像，每个虚拟机拥有独立的操作系统和硬件资源。

从图中可以看到，这种虚拟方案依然是基于软件的隔离，缺乏硬件安全性。整个系统的安全突破口在于 Hypervisor。Hypervisor 可以访问所有 OS 的数据，进而可以访问所有 App 的数据，恶意软件可通过控制 hypervisor 窃取各种密钥。当然这种架构最大的问题还在于系统资源消耗大，一般用在服务器上。

安全元件（Secure Element，SE）实现安全平台

安全元件（Secure Element）简称 SE，通常以芯片或 SD 卡等形式提供。为防止外部恶意解析攻击，保护数据安全，在芯片中具有加密/解密逻辑电路。

SE 具备极强的安全等级，但对外提供的接口和功能极其有限。首先 CPU 性能极低，无法处理大量数据，其次 SE 与智能设备通常采用非常缓慢的串口连接。SE 的应用场景有限，主要关注于保护内部密钥，一般用于对安全要求很高的场景。

可信执行环境（Trusted Execution Environment，TEE）

为了给移动设备提供一个安全的运行环境， ARM 从 ARMv6 的架构开始引入了 TrustZone 技术。TrustZone 技术将中央处理器（Central Processing Unit, CPU）的工作状态分为了正常世界状态（Normal World Status, NWS）和安全世界状态（Secure World Status, SWS）。支持 TrustZone 技术的芯片提供了对外围硬件资源的硬件级别的保护和安全隔离。当 CPU 处于正常世界状态时，任何应用都无法访问安全硬件设备，也无法访问属于安全世界状态下的内存、缓存（Cache）以及其他外围安全硬件设备。

有了两个世界的划分，我们就可以将前面的 REE 和 SE 的模式结合起来。一般的操作系统（如Linux、Android、Windows等）以及应用运行在正常世界状态中，提供丰富的系统资源，即为 REE 。而将 SE 实现的安全功能放到安全世界中，但并不需要增加额外的硬件，而是通过可信任的操作系统以及上层的可信应用（Trusted Application, TA）实现。可信任的操作系统以及上层的可信应用（Trusted Application, TA）运行于安全世界状态，也就是本文要探讨的可信执行环境（TEE）。

需要指出的是，根据 GlobalPlatform 组织的抽象和标准化，TEE 与具体的技术实现无关，并不和 ARM 的TrustZone 绑定。

可信执行环境带来的有点显而易见：

1. 解决了安全元件（SE）的性能问题，因为 TEE 运行在智能设备的 CPU 上，并且在安全世界状态下，独占 CPU， 充分使用CPU的全部性能。

2. 受硬件机制保护， TEE 隔离于 REE， REE 只能通过特定的入口与 TEE 通信。这样处于正常世界状态中的 Linux 即使被 root 也无法访问安全世界状态中的任何资源，包括操作安全设备、访问安全内存数据、获取缓存数据等。这很像一个保险箱，不管保险箱的外在环境是否安全，其内部的物件都有足够的安全性。

3. TEE 中可以同时运行多个 Trusted Application（TA），相对于完全元件（SE）只提供单一功能，通用性比较好。

4. 快速通信机制， TEE 可以访问 REE 的内存，反之则不行。

在真实环境中，可以将用户的敏感数据保存到 TEE 中，并由可信应用（TrustedApplication, TA）使用重要算法和处理逻辑来完成对数据的处理。当需要使用用户的敏感数据做身份验证时，则通过在 REE 侧定义具体的请求编号（IDentity, ID）从 TEE 侧获取验证结果。验证的整个过程中用户的敏感数据始终处于 TEE 中， REE 侧无法查看到任何 TEE 中的数据。对于 REE 而言， TEE 中的 TA 相当于一个黑盒，只会接受有限且提前定义好的合法调用，而至于这些合法调用到底是什么作用，会使用哪些数据，做哪些操作在 REE 侧是无法知晓的。如果在 REE 侧发送的调用请求是非法请求， TEE 内的 TA 是不会有任何的响应或是仅返回错误代码，并不会暴露任何数据给 REE 侧。

TEE 提供介于普通 REE 和 SE 之间的安全性的框架。某些小额的支付、DRM、企业 VPN 等，所需要的安全保护强度并不高，还不需要一个单独的 SE 来保护，但是又不能直接放在 REE 中，因为后者的开放性使其很容易被攻击。所以对于这类应用， TEE 则提供了合适的保护强度，并且平衡了成本和易开发性。

TEE 的实现

目前支持TEE的嵌入式硬件技术包含如下：

（1）AMD的PSP（Platform Security Processor）处理器

（2）ARM TrustZone技术（支持TrustZone的所有ARM处理器）

（3）Intel x86-64指令集：SGX Software Guard Extensions

（4）MIPS：虚拟化技术Virtualization

几个TEE的软件实现（提供开源工具或者基于TEE开发的SDK）如下：

（1）Trustonic公司的t-base，是一个商业产品，已经得到 GlobalPlatform 的授权认可。详情可访问：https://www.trustonic.com/products-services/trusted-execution-environment/

（2）OP-TEE，开源实现，来自STMicroelectronics，BSD授权支持下的开源，得到众多手机厂商的支持。开源地址：https://github.com/OP-TEE

（3）Open TEE，开源实现，来自芬兰赫尔辛基大学的一个研究项目，由Intel提供支持，在Apache授权下提供支持。开源地址：https://github.com/Open-TEE/project

（4）SierraTEE，来自Sierraware公司的实现，拥有双重授权模式，一半开源一半商业性质。地址：http://www.sierraware.com/open-source-ARM-TrustZone.html

（5）Trusty TEE，开源实现，由 Google 开发，主要用于 Android 系统，详情可访问：https://source.android.google.cn/security/trusty?hl=zh-cn

Android Trusty TEE

Trusty 是一种安全的操作系统 (OS)，可为 Android 提供可信执行环境 (TEE)。Trusty 操作系统与 Android 操作系统在同一处理器上运行，但 Trusty 通过硬件和软件与系统的其余组件隔离开来。Trusty 与 Android 彼此并行运行。Trusty 可以访问设备主处理器和内存的全部功能，但完全隔离。隔离可以保护 Trusty 免受用户安装的恶意应用以及可能在 Android 中发现的潜在漏洞的侵害。

Trusty 与 ARM 和 Intel 处理器兼容。在 ARM 系统中，Trusty 使用 ARM 的 Trustzone™ 虚拟化主处理器，并创建安全的可信执行环境。使用 Intel 虚拟化技术的 Intel x86 平台也提供类似的支持。

Trusty 包含以下组件：

• 由 Little Kernel 衍生的小型操作系统内核

• Linux 内核驱动程序，用于在安全环境和 Android 之间传输数据

• Android 用户空间库，用于通过内核驱动程序与可信应用（即安全任务/服务）通信

Android 支持各种 TEE 实现，每一种 TEE 操作系统都会通过一种独特的方式部署可信应用。对试图确保应用能够在所有 Android 设备上正常运行的可信应用开发者来说，这种不统一性可能是一个问题。使用 Trusty 作为标准，可以帮助应用开发者轻松地创建和部署应用，而不用考虑有多个 TEE 系统的不统一性。借助 Trusty TEE，开发者和合作伙伴能够实现透明化、进行协作、检查代码并轻松地进行调试。