开发者学堂课程【阿里云物联网安全:阿里云 Link TEE】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/570/detail/7771
阿里云 Link TEE
内容介绍:
一、 Link TEE 产品介绍
二、 各产品的特点和使用场景
三、 参考与引用
一、Link TEE 产品介绍
针对应用场景和应用平台类型 Link TEE 产品线主要分三个系列,即 TEE Pro、TEE Cap、TEE Air,TEE Pro 是针对ARM v7/v8-A 架构提供的标准 TEE 硬件保护方案,其余 ARM TrustZone 技术实现部署的时候需要结合硬件平台和系统底层软件做深度集成;TEE Cap 是针对通用处理器的底层保护方案,无需通过操作系统和硬件的修改就可以动态库的形式部署到目标平台;TEE Air 是针对物联网 MCU 处理器设计的轻量化TEE硬件保护方案。
二、 各产品的特点和使用场景
1、TEE Pro
TEE Pro 是的安全防护能力是三个系列中最高的,并且在基于 TrustZone 硬件保护基础上新增了堆栈保护、TI 地址随机化保护、安全存储支持 RPNB 分区的读写,有效防止 TEE 进项、TA 和文件版本的回胧攻击;为了方便和厂商平台移植,提供了和 Linux 标准读写方式一致的RPMB的读写接口;
目前 TEE Pro 已经支持 NXP idol max 系列和中天为系列,操作系统 AliOS、Linux、Android,SDK 支持用户独立开发安全应用并有丰富的文档支持,针对有些平台无法做到和系统底层软件集成 TEE Pro 的情况,提供了 TEE Cap 保护方案。
2、TEE Cap
TEE Cap 同样符合 GP API 标准,因此,基于 TEE Pro 的开发应用可以无需修改直接部署在 TEE Cap上使用,TEE Cap的安全防护主要基于安全编译器对原码的混淆和加固,同样 SDK 支持用户独立开发安全应用。
3、TEE Pro 和 TEE Cap使用场景
目前,TEE Pro 和 TEE Cap 主要为车机厂商提供安全相关的整体解决方案,通过TEE提供的安全重组和加密的能力实现虚拟车钥匙的分发和验证,用户数据的加密重组,另外在软件升级后,防回滚的机制可以防止软件旧版本回退、漏洞利用等攻击手段。
在区块链电子钱包应用中,TEE 也提供设备端的可信环境,支持密钥管理、回归算法、账号隔离安全等,对于小型物联网设备,由于 RAM 和 FLASH 大小的限制,无法使用前者 TEE 的解决方案,因此推出了轻量化产品—TEE Air。
4、TEE Air
在用 FLASH 体积小于32KB,RAM 体积小于16KB,并且支持安全等级的可调,并更低平台的安全限制,安全方面也实现了基于硬件方面保护的 FLASH 和 RAM资源隔离,以及 TA/TA,TA/TEE OS 之间的内存隔离,支持一机一密的安全成组方案,算法可基于硬件 Kernel 安检来实现的,TEE Air 软件同样支持 Windows 和 Linux 的开发环境,便于物联网芯片厂商集成到各自的 IDE 开发环境中,另外提供资源 Link TEE API,用户可快速独立开发 TEE Air 的安全应用,目前 TEE Air已经支持嵌入式开源系统 AliOSThings、RTOS 等,平台方面支持 RAMv8M 系列、多和异构架构等。
TEE Air 目前可为软 SIM 卡提供安全的解决方案,其中 SIM TA 在 TEE 环境中提供秘钥生成、使用、存储、Profile 解密、证书鉴权、实现与普通应用隔离,TEE Ai r是首个通过泰尔实验室认证 TEE SIM 解决方案
三、参考与引用
以下是 Link TEE 官网和开发社区的链接:
Link TEE 产品介绍:
http://iot.aliyun.com/products/tee?spm=a2c56.193971.0.0.666025c8ECznJ2
Link TEE 开发社区: