多重可信：定義下一代TEE

安全性現在是許多嵌入式應用程式的主要要求。隨著連接設備越來越多地融入我們的生活，其安全隱患可能是災難性的——可能導致隱私、資料和財務資訊的丟失，甚至在某些情況下導致死亡。

由於其行為有封閉性的特點，一般嵌入式平臺不需要考慮任何級別的安全性；然而，現在許多嵌入式設備都會聯網，並支援協力廠商下載軟體，這就引起人們對這些“智慧”設備的安全和可信操作的密切關注。

這種“智慧“超越PC和手機，由此引發了新的思考。

圖1- 不同應用間隔離的SoC平臺

現在，為了使不同應用程式的資產保護（如密碼，資料，證書等）相互隔離，必須要採用一個標準的方法，並在可攜性、可擴展性和部署方便性方面提出了挑戰。為此，行業採用在嵌入式平臺中強制執行多個受保護的環境的方法是至關重要的。保護一個或多個環境的能力使得這些應用程式的可信操作需要防止來自物理上或者互聯網的外部攻擊。

什麼是TEE？它是做什麼的？

TEE在連接設備中提供一個安全區域，確保敏感性資料在隔離、可信的環境中存儲、處理和保護 - 通過提供隔離的、安全執行的授權軟體，實現端到端的安全。換句話說， TEE表示一個與SoC中其他模組隔離並能夠執行可信應用程式（TAs）的區域。

圖2 -由硬體支援的虛擬化強制執行的隔離TEE確保客戶在安全和豐富的應用程式中運行

TEE可以包括CPU和其他元件，如記憶體和IO；在許多情況下，可信應用程式需要訪問安全加速器，這些加速器也必須駐留在TEE環境中，例如GPU、顯示埠、信任根（RoT）等。

通過讓授權的應用程式在TEE中執行，平臺可以按預期可信地運行。此方法在為可信應用程式提供保護不受非可信應用程式干擾的同時，也能確保在這些區域如鍵盤、支付交易、生物識別等之間的資訊交換能力。

位於嵌入式設備核心的可信執行環境必須繼續發展，超越現有的二進位方法，以保護新興設備中的可信資產和現有設備的新範式。

我們認為答案在於對這些存在風險的產品採取“多重信任”的方法。

GlobalPlatform 扮演什麼角色？

GlobalPlatform已經開始對多個市場/應用程式的TEE應用程式設計發展介面（API）進行標準化支持。這些標準的應用程式介面大大減少了應用程式開發人員的挑戰。例如，可信應用程式開發過程可以與豐富多樣的應用程式開發過程解耦。有了TEE，原本曾經緊密相連的工作，開發人員可以通過獨立創建一組通用應用程式介面來實現。這允許互通性和易用性，並最終加速部署需要安全和可信操作的應用程式。

由GlobalPlatform定義的可信執行環境（TEE）為軟體發展人員提供了一個開源、透明的環境，可以通過一個平臺安全可靠的操作來實現對他們應用程式的保護，

不受其他應用程式的危害。

TEE的今天和未來

TEE是一種在多環境共存的同時，建立起策略來保護每個環境的代碼和資料的方法。 GlobalPlatform TEE的初始部署主要用於移動空間，解決諸如安全視頻路徑或安全支付等應用程式。然而，在過去的幾年中，在其他應用領域，如消費電子、智慧家電、家庭閘道、無人駕駛飛機等，也出現了類似的需求。

隨著行業正朝著採用異構性的可信應用程式遷移，從操作、安全要求、認證授權，更新和打補丁的頻率等不同，以及其他方面的考慮，人們對單一TEE結構下管理這些關鍵任務應用有更多的關注。需要在各自獨立的環境中保留這些可信應用程式，從而為最易受攻擊的路徑添加另一層保護。

一個多可信的TEE可以同時運行多個可信筒倉（silos），以處理混合可信應用程式，每個TA都要在自己的可信環境上執行。有了多可信TEE，驗證和LCM（生命週期管理）的易用性使部署更輕鬆從而加快上市時間

圖3 -多信任TEE允許同時運行多個TEE

一個多可信的TEE允許應用程式開發人員只關注他們自身應用程式的安全功能，就像他們使用一個單一的TEE一樣，而不用擔心會受到來自相鄰可信應用程式的干擾。

多可信TEE上的“安全資料路徑”示例

在一些宿主應用程式中，有一系列併發運行的、不同的輔助安全任務，支援宿主應用程式，而且越來越需要保持每個任務的自主性。一個例子是運行安全視頻流的控制路徑，並將它與相鄰的支付流隔離。每個流程都需要符合特定的認證，並且具有不同的生命週期。除了來自不同的獨立協力廠商的遠端系統管理，這種差異可能對不同任務的資產造成危害和污染。

多可信TEE提供了支援多個併發TAs的機制，不同的TA可以在各自可信任環境中獨立運行。，支援多個TEE的能力使軟體能夠更加獨立的進行補丁、更新和生命週期管理。

圖 4- 多信任TEE示例操作雙隔離DRM流程

硬體虛擬化的必要性

在嵌入式環境中，硬體虛擬化的使用是通過隔離，維持應用程式在一個潔淨的執行環境，同時防止軟體交叉污染和洩漏，以確保安全性。此外，該技術還可以將關鍵資產（如設備通信介面（軟體棧）、存儲和其他資源）隔離和保護到自己的位址空間中，並確保不能從任何其他應用程式的位址空間訪問。

每一個這些獨立的記憶體空間都被稱為“域”。每個系統功能只能使用自己的域，通常不能訪問其他功能所使用的域。通過擁有多個域，每一個單一功能都與其他功能和系統的其餘部分相隔離。訪問在多個域之間共用的記憶體空間由特權級內核原始程式碼以程式設計方式進行控制。

圖5- Imagination’s OmniShield-使處理器通過隔離提供安全性

基於硬體虛擬化的架構可以提供許多好處：

• CPU 整合

• 隔離關鍵軟體

• 安全更新

• 減少QA、測試和認證

• 加速市場投放時間

GlobalPlatform相容的MIPS Omnishield Sierra TEE

MIPS omnishield™sierraTEE 是一個GlobalPlatform相容的TEE，用於基於Imagination Technologies 的 MIPS OmniShield-ready CPUs。

Omnishield利用硬體虛擬化技術，為支援CPU、GPU和SoC其他關鍵部件的安全異構操作提供了基礎。它超越了二進位方法，在CPU、GPU、記憶體和外設中創建多個安全域。在那裡，每個安全/非安全應用程式可以在自己的域中獨立運行。

Sierra TEE 採用 omnishield虛擬化技術來執行硬體級的隔離，以支援單一TEE和多可信TEE運行。通過這種方式，它完全保護安全應用程式和相關週邊設備在豐富的環境中的代碼運行。這意味著，即使攻擊者設法在Rich OS中獲得完全的管理員許可權，它也不能訪問安全域。

在一個具有多個域的系統中，相應的管理程式（SierraVisor）使多個並行客戶系統保持隔離。SierraVisor與SierraTEE的結合使得TEE和各自域中的豐富環境下都能夠發揮作用。

結論

隨著嵌入式的行業從專有封閉環境過渡到連接豐富的世界，現在對安全的需求成為必然。

通過採用由業界專家定義並驗證的開放標準，安全性的實現、部署和管理變得更加穩健和高效。

GlobalPlatform在引領提供一組強大的開放的TEE應用可程式設計介面，確保安全資料在一個隔離的、可信環境下存儲、處理和保護 - 使得可信的應用程式在一個筒倉（silo）內執行。

硬體虛擬化為通過隔離創建安全性提供了基礎 — 創建帶有強制策略的隔離域以維護可信操作。此技術可以為多可信TEE提供基礎，從而進一步隔離可信應用程式，同時改進平臺的部署和生命週期管理。

SierraTEE 在MIPS平臺上作為多可信TEE運行，為開發者提供了在防止其他交叉污染環境下的可信環境中創建應用程式的理想生態系統。

有關MIPS處理器和硬體虛擬化技術優勢的更多資訊，請登陸http://imgtec.com/mips。硬體虛擬化貫穿整個MIPS Warrior CPU核心。

進一步瞭解 GlobalPlatform API和認證程式的細節，請登錄 https://www.globalplatform.org/ .

最後，我們建議您關注prpl基金會的“Trust Continuum”組的工作：一個定義API和在虛擬化架構的互通性和安全性的開放標準聯合組織：http://prplfoundation.org。

如需瞭解更多Imagination技術資訊，請登陸 www.imgtec.com，可以獲得更多資訊以及技術文章。

聲明：本文為轉載文章，轉載需注明作者、出處及原文連結，否則，本網站將保留追究其法律責任的權利。

關於電子創新網

電子創新網及時發佈有關創新設計的最新全球半導體產業資訊、半導體供應商最新動態、展會研討會資訊、技術趨勢資訊以及人物訪談等相關新聞，關注公眾號獲取更多資訊。

掃描二維碼，關注更多精彩

【推介】

以“新互聯、新智造、新未來”為主題的2017第三屆中國（廣東）國際“互聯網+”博覽會定於今年10月12-15日在廣東（潭洲）國際會展中心舉行，將設立智慧製造、互聯網+前沿技術、智慧城市、互聯網+金融、電子商務、創新創業和智慧家居生活七大主題展區，並全力引進虛擬實境和無人機板塊，加大國際企業參與度。本屆博覽會有眾多知名企業參展，是學習瞭解新技術的最好機會。我們電子創新網與主辦方合作組團去看展，歡迎報名！

“CeBIT中國工程師參觀團”分為三個主題，每個團25人，初步主題定為：

1、大資料

2、人工智慧和雲 3、通信

加入後專享福利

1、報名即有驚喜禮物

2、組團看展，有展商專人介紹新技術和展品

3、加入參觀團，認識更多同道、新朋友

4、提供午餐

席位有限早到早得，歡迎報名！點擊閱讀原文連結直接報名