TEE的存储系统是如何实现的?如何保证其安全的?

最新推荐文章于 2025-05-04 17:13:05 发布
最新推荐文章于 2025-05-04 17:13:05 发布
阅读量538 收藏 1
点赞数 1
CC 4.0 BY-SA版权
文章标签: 安全 storage 安全存储 TEE optee trustonic trustzone
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42135087/article/details/139527426
TEE OS由于没有磁盘驱动,通过加密并反向存储在REE侧来实现安全存储。数据在传输前由TEE OS加密,密钥保留在运行内存中,开机时基于CPU ID和HUK等信息计算生成,确保安全性。开发者只需调用GP Storage API即可进行数据读写。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在一般情况下,TEE OS 中是没有磁盘的,也没有 EMMC/UFS 驱动,因此无法在 TEE OS 侧完成数据落盘。

那么,TEE OS 的安全存储是如何实现的呢?事实上,TEE OS 侧的安全存储是通过反向存储在 REE 侧来实现的。有人可能会问,这样数据岂不是不安全了?不用担心,因为所有存储的数据在反向存储到 REE 侧之前,都会由 TEE OS 进行加密。加密密钥始终保存在 TEE OS 中,不会被导出。此外,加密密钥也不需要存储,不需要落盘,而是每次开机时根据 CPU ID 和 HUK 等信息计算生成,并保存到 TEE OS 的运行内存中。

如下图所示,展示了一个示例。

对于 CA/TA 安全应用开发者而言,你无需关心底层架构如何实现,只需调用 GP Storage API 即可完成数据的读写操作。底层的存取方式是 TEE OS 的设计内容。在以下设计中,可以清晰看到通过 TEE OS 安全存储系统后,数据被反向存储到了 REE 的磁盘。

在这里插入图片描述

聊聊TEEOS中的安全存储
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
12-27 819
其实提起安全存储,我脑子里第一时间想的是RPMB,因为当时做了一个关于RPMB的方案。如果你不知道RPMB是什么可以看看【一文简单了解RPMB】。第二时间想的是TEEOS的本质就是把数据安全存储TEE的环境中。回归原文:安全存储TEEOS重要特性之一,安全存储主要用来为用户保存敏感数据如密钥等信息。用户在使用安全存储功能保存数据时会在TEE内对数据进行加密,然后保存到REE侧的相关存储区域中。(类似于动态TA,就是保存在REE的文件系统,加载的到TEE侧的时候进行校验。
OP-TEE安全存储(一)
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-25 1913
OP-TEE安全存储功能是OP-TEE为用户提供的安全存储机制。用户可使用安全存储功能来保存敏感数据、密钥等信息。使用OP-TEE安全存储功能保存数据时,OP-TEE会对需要被保存的数据进行加密,且每次更新安全文件时所用的加密密钥都会使用随机数重新生成,用户只要调用GP标准中定义的安全存储相关接口就能使用OP-TEE安全存储功能对私有数据进行保护。需要被保护的数据被OP-TEE加密后会被保存到REE侧的文件系统、EMMC的RPMB分区或数据库中。
TEE】内存完整性保护
qq_43543209的博客
03-05 1100
这种方式使树根具有防篡改性,因为敌手不能在没有存储在芯片上的密钥K的情况下生成新的MAC,也不能重放旧的MAC,因为它不会由当前的根节点产生。将生成的加密块存储在外部存储器中,并将创建的最后一个块(即TEC - Tree的根)加密时使用的nonce保存在片上,使得根不可篡改。没有密钥的敌手不能创建树节点,而没有片上根节点,他就不能重放树根。写操作为每个数据块计算一个MAC,MAC计算使用的密钥被安全存储在可信芯片上,只有片上验证引擎本身能够计算出有效的MAC,因此MAC可以存储在不可信的外部存储中。
可信执行环境(TEE):保障数据安全的核心技术
最新发布
05-04 1603
可信执行环境(TEE)是一种特殊的安全执行环境,它在主处理器中提供了一个隔离的执行空间,确保在其中运行的代码和数据的机密性和完整性。TEE通过硬件级别的安全措施,将敏感操作与普通操作系统环境隔离开来,即使操作系统被攻击或入侵,TEE中的内容也能保持安全。隔离执行:应用程序在物理隔离的环境中运行安全存储:敏感数据的机密性和完整性得到保护可信引导:验证代码在未被篡改的环境中执行远程认证:能够向远程系统证明其安全状态选型考量因素安全需求分析:明确保护目标和威胁模型性能要求:TEE实现对系统性能的影响。
TEEOS基础特性安全存储技术简介
内核工匠
12-16 2409
1、安全存储简介安全存储TEEOS重要特性之一,安全存储主要用来为用户保存敏感数据如密钥等信息。用户在使用安全存储功能保存数据时会在TEE内对数据进行加密,然后保存到REE侧的相关存储区域中。根据对数据存储安全性要求和使用场景TEE常见的安全存储一般分为RPMB安全存储、SFS安全存储。RPMB安全存储是eMMC中的一个具有安全特性的分区,其特点是非安全世界不可见,可以防止重放和回滚攻击,但是...
TEEOS】OP-TEE安全存储
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
11-20 1022
OP-TEE安全存储功能是OP-TEE为用户提供的安全存储机制。用户可使用。使用OP-TEE安全存储功能保存数据时,OP-TEE会对需要被保存的数据进行加密,且每次更新安全文件时所用的加密密钥都会使用随机数重新生成,用户只要调用GP标准中定义的安全存储相关接口就能使用OP-TEE安全存储功能对私有数据进行保护。需要被保护的数据被OP-TEE加密后会被保存到、EMMC,至于具体需要将加密后的数据保存到哪里则由芯片提供商决定。(为啥放在REE侧的文件系统?
Trustzone/TEE/安全 面试100问-目录
baron-周贺贺-代码改变世界ctw
11-22 1840
Trustzone/tee/安全面试100问
深入解析OP-TEE操作系统与安全实现
OP-TEE提供了一个框架,允许开发者运行他们的代码在一个安全、隔离的环境中,并保护其不被宿主操作系统干扰。 在深入了解OP-TEE之前,我们需要先理解几个基础概念: 1. TEE(Trusted Execution Environment):...
OP-TEE:开源安全操作系统的深度解析
OP-TEE的设计目的是为了保护敏感数据和实现安全服务,确保即使在不安全的操作系统(通常称为REE,Rich Execution Environment)上运行时也能维持安全性。 1.1 关于OP-TEE:OP-TEE基于TEEOS(Trusted Execution ...
20.OPTEE安全存储
foreve3n1ght的博客
08-11 237
OPTEE安全存储
41. OP-TEE中secure stroage------安全文件中数据的加密操作
shuaifengyun的专栏
06-25 3399
历经一年多时间的系统整理合补充,《手机安全和可信应用开发指南:TrustZone与OP-TEE技术详解》一书得以出版,书中详细介绍了TEE以及系统安全中的所有内容,全书按照从硬件到软件,从用户空间到内核空间的顺序对TEE技术详细阐述,读者可从用户空间到TEE内核一步一步了解系统安全的所有内容,同时书中也提供了相关的示例代码,读者可根据自身实际需求开发TA。 为方便和及时的回复读者对书中...
GP_TEE中的几种存储方式介绍
04-30
GP_TEE中的几种存储方式介绍,RPMB和REE FS两种安全方式。
【OP-TEE安全存储
努力创作有价值的文章
12-23 6136
背景 OP-TEE中的安全存储是根据 GlobalPlatform 的 TEE 内部核心 API(这里称为可信存储)中定义的内容来实现的。本规范规定,应该可以存储通用数据和关键材料,以保证存储数据的机密性和完整性以及修改存储的操作的原子性(这里的原子性意味着整个操作要么成功完成,要么不写)。 目前,OP-TEE中有两种安全存储实现: 第一个依赖于普通世界(REE)文件系统,默认实现。它在编译时通过 CFG_REE_FS=y 启用。 第二种方法利用eMMC设备的重放保护内存块(RPMB)分区,通过设
聚焦|TEE,重新定义数据存储安全
Crust_Network的博客
07-07 1129
Crust 实现了去中心化存储的激励层协议,适配包括 IPFS 在内的多种存储层协议,并对应用层提供支持。同时 Crust 的架构也有能力对去中心化计算层提供支持,构建分布式云生态。 前几天,Polkadot 官网推特发表了一篇《Trusted Execution Environments and the Polkadot Ecosystem(波卡生态与可信执行环境(TEE)》。 ​ 该篇详细介绍了 Polkadot 生态中的一些项目如何将 TEE 与 Substrate(用于构建 Polkadot ..
GP TEE中的几种存储方式介绍
努力创作有价值的文章
12-05 2241
转载:https://cloud.tencent.com/developer/article/1043705 我们知道TEEOS最重要的功能莫过于安全存储了,这是一切安全的前提,根据存储安全性和使用场景GP TEE安全存储分为RPMB安全存储、SFS安全存储和SQLFS安全存储。如下图所示,临时对象、持久化对象、持久化枚举、数据流,分别可以存储在RPMB、SFS、SQLFS三种存储媒介上。 ...
OP-TEE存储系统模型详解
WangWEel的博客
08-14 317
OP-TEE(Open Portable Trusted Execution Environment)是一个开源项目,旨在提供安全可信的执行环境,保护嵌入式系统的关键数据和敏感信息。TEE是一种受保护的执行环境,可以运行在嵌入式设备中,并与常规的操作系统(Normal World)相隔离,从而提供一定程度的安全性。首先,TA打开安全存储对象,然后获取所需的存储信息。(4) 隔离与保护:采用TEE的隔离机制,将TA与Normal World相分离,从而防止恶意软件或攻击者对存储数据进行非法访问。
39. OP-TEE中secure stroage------安全文件数据的打开过程(open)
shuaifengyun的专栏
06-24 4914
历经一年多时间的系统整理合补充,《手机安全和可信应用开发指南:TrustZone与OP-TEE技术详解》一书得以出版,书中详细介绍了TEE以及系统安全中的所有内容,全书按照从硬件到软件,从用户空间到内核空间的顺序对TEE技术详细阐述,读者可从用户空间到TEE内核一步一步了解系统安全的所有内容,同时书中也提供了相关的示例代码,读者可根据自身实际需求开发TA。 为方便和及时的回复读者对书中...
可信执行环境(TEE):深入探讨安全计算的未来
qq_44005305的博客
03-08 2953
2.1 定义与概念可信执行环境(TEE)是一个安全的计算环境,它能够保护运行在其中的代码和数据免受外部攻击,包括来自操作系统、硬件和其他应用程序的攻击。TEE通过在处理器内部创建一个隔离的执行环境来实现这一目标,这个环境被称为“保护容器”(securecontainer)或“信任区”(trust zone)。2.2 工作原理TEE的工作原理可以分为以下几个步骤:隔离:TEE在处理器内部创建一个独立的执行环境,与其他应用程序和操作系统隔离。加密:TEE通过硬件加密技术来保护数据和代码的安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Arm精选

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值