qidao123.com技术社区-IT企服评测·应用市场

标题: Android系统的安全题目 - Android的Trusty TEE [打印本页]

---

作者: 道家人    时间: 2025-4-25 23:50
标题: Android系统的安全题目 - Android的Trusty TEE
Android Trusty TEE（可信执行情况）

Trusty TEE（Trusted Execution Environment）是 Google 为 Android 设计的 可信执行情况（TEE）操作系统，用于在隔离的安全情况中运行敏感操作（如密钥管理、生物识别认证等）。它独立于 Android 主系统（Rich OS），确保即使 Android 被攻击，关键安全功能仍受保护。
参考：Google官方文档 Trusty TEE

---

1. Trusty TEE 的核心特点

（1）硬件级隔离

• 运行在 ARM TrustZone（或其他硬件安全扩展，如 Intel SGX）提供的安全天下（Secure World）。
  
• 与 Android（非安全天下，Normal World）完全隔离，防止恶意软件访问。
  

（2）轻量级实时操作系统

• 基于微内核架构，仅提供必要的系统服务（如历程间通信、内存管理）。
  
• 支持多任务，但严酷限制权限。
  

（3）Google 主导的标准化

• 由 Google 定义 API 和安全规范，确保差异厂商（如高通、三星）的 TEE 实现兼容。
  
• 与 Android 深度集成，支持 Keymaster、Gatekeeper 等关键安全服务。
  

---

2. Trusty TEE 的主要功能

Trusty 主要用于运行 Android 的 硬件级安全服务，包罗但不限于：
功能说明Keymaster硬件加密密钥管理（如装备加密、付出密钥）。Gatekeeper装备解锁认证（PIN/密码/图案的暴力破解防护）。Weaver安全存储用户凭证（与硬件绑定的密钥派生）。Biometric (指纹/人脸)在 TEE 内处理生物特征匹配，防止数据泄露。DRM (如 Widevine L1)高品级数字版权管理，防止视频内容被非法复制。Secure Boot验证系统镜像完整性，防止恶意固件启动。

---

3. Trusty 的软件架构

（1）Trusty 内核

• 提供基础功能：任务调治、内存管理、IPC（历程间通信）。
  
• 仅允许受信任的代码运行（需数字署名验证）。
  

（2）Trusty 用户空间

• 可信应用（Trusted Applications, TAs）：运行在 TEE 的安全应用，如 Keymaster TA。
  
• 与 Android 通信：通过 libtrusty 和 TEE 驱动步伐（如 optee）与非安全天下交互。
  

（3）Android 集成

• HAL 层：通过 keymaster HAL、gatekeeper HAL 调用 Trusty 服务。
  
• 用户接口：应用通过 Android Keystore 或 BiometricPrompt 间接使用 Trusty。
  

---

4. Trusty 的安全机制

（1）代码完整性

• 全部 Trusty 应用和内核代码必须经过署名验证。
  
• 防止未授权代码在 TEE 中运行。
  

（2）安全存储

• 密钥和敏感数据加密后存储在 TEE 专属地区，Android 无法直接访问。
  

（3）抗侧信道攻击

• 关键操作（如密钥天生）在硬件隔离情况中执行，制止时序攻击、缓存攻击等。
  

（4）长途认证（Remote Attestation）

• 装备可向服务器证实其 Trusty 情况未被篡改（用于企业装备管理或付出验证）。
  

---

5. Trusty vs. 其他 TEE 方案

对比项Trusty (Google)其他厂商 TEE (如高通 QSEE, 三星 Knox)标准化Google 统一规范，Android 原生支持厂商自定义实现，兼容性依赖适配开源水平部分开源（Trusty 内核代码）闭源（仅提供二进制 Blob）应用生态支持标准 TEE API（GlobalPlatform）大概扩展私有 API安全性符合 Android 安全认证要求依赖厂商实现，部分装备曾曝毛病

---

6. 典型应用场景

• 指纹/人脸解锁
  
  
  
  • 生物特征模板存储在 Trusty 中，匹配过程在 TEE 完成，Android 无法获取原始数据。
    
  
  
• 移动付出（如 Google Pay）
  
  
  
  • 付出密钥由 Keymaster 在 Trusty 内管理，署名操作在安全情况执行。
    
  
  
• 企业装备管理
  
  
  
  • 长途证实确保装备未被 Root，符合公司安全计谋。
    
  
  
• DRM 保护（如 Netflix 4K）
  
  
  
  • Widevine L1 依赖 Trusty 保护解密密钥，防止视频流被录制。
    
  
  

---

7. 开发者如何与 Trusty 交互？

• 平常应用：通过 Android 高层 API（如 BiometricPrompt、AndroidKeyStore）间接使用 Trusty。
  
• OEM/驱动开发者：需实现 Trusty 兼容的 HAL 层（如 keymaster_gatekeeper HAL）。
  
• TEE 应用开发者：使用 Trusty SDK 编写可信应用（TA），需 Google/厂商署名。
  

---

8. 未来演进

• StrongBox：Android 9+ 支持的安全芯片标准，部分 Trusty 功能可迁移到独立安全元件（如 Titan M）。
  
• Rust 语言支持：Google 探索用 Rust 重写部分 Trusty 代码，提升内存安全性。
  

---

总结

Trusty TEE 是 Android 安全架构的基石，通过硬件隔离保护最敏感的操作（如密钥、生物识别）。它与 Keymaster、Gatekeeper 协同工作，确保即使 Android 系统被攻破，关键数据仍安全。随着硬件升级（如专用安全芯片），Trusty 的能力将进一步扩展。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 qidao123.com技术社区-IT企服评测·应用市场 (https://dis.qidao123.com/)

Powered by Discuz! X3.4