嵌入式开发中,TEE镜像是什么东西?

原创 于 2025-03-05 21:57:45 发布 · 658 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#TEE

在u-boot中,如果执行默认的自动加载命令集 ,此时如果设置了tee的相关环境变量,那么u-boot会去加载TEE镜像,详情见我的另一篇博文 https://blog.youkuaiyun.com/wenhao_ir/article/details/146051313

那么问题来了,TEE镜像是什么东西呢?

在ARM嵌入式系统平台上,TEE(Trusted Execution Environment)镜像指的是在受信任执行环境(TEE)中运行的固件或操作系统映像。TEE是一种安全区域,与通常运行Linux等操作系统的非安全世界(Normal World)不同,TEE运行在安全世界(Secure World),用于执行安全敏感的操作,比如加密、密钥管理和身份认证

TEE 主要由以下部分组成:

  1. Normal World(非安全世界)

    • 非安全世界中运行Linux、RTOS等操作系统,甚至是裸机代码(通常是Cortex-A应用处理器上的EL1)。
    • 通过**Secure Monitor Call(SMC)**指令与安全世界通信。

  2. Secure World(安全世界)

    • 运行TEE OS(例如OP-TEE、QSEE、Trusty等)。
    • 运行在ARM的EL3或EL1(Secure)模式
    • 提供安全服务,如密码学操作、DRM、身份认证等。

TEE 镜像的作用:

TEE 镜像通常包含TEE OS的内核和用户空间组件,主要用于:

  • 提供安全存储(Secure Storage)
  • 运行加密算法(如AES、RSA、HMAC)
  • 支持硬件安全模块(HSM)
  • 执行可信应用(TA, Trusted Applications)
  • 管理设备身份认证和密钥

TEE 镜像的典型组成:

  • TEE OS 内核:负责安全应用的调度、内存管理、权限管理等。
  • TA(Trusted Applications):运行在TEE中的可信应用。
  • 驱动和接口:用于与Normal World通信,比如optee Linux内核驱动。

TEE 镜像的格式:

TEE 镜像通常是二进制文件,可以是:

  • .bin(裸二进制)
  • .elf(带符号信息的可执行格式)
  • .img(可烧录镜像)

例如,在OP-TEE中,TEE镜像可能是:

  • tee.bin:裸TEE OS镜像
  • tee.elf:调试用的TEE OS ELF文件
  • tee.img:可用于烧写的镜像

应用实例

安全级别要求较高的指纹识别系统(Touch ID) 以及 面部识别系统(Face ID)就运行在TEE环境中。比如苹果手机的指纹识别系统(Touch ID) 以及 面部识别系统(Face ID) 确实利用了 TEE(Trusted Execution Environment) 的概念,并通过苹果专有的 Secure Enclave(安全隔区) 来实现。

嵌入式系统中的可靠TEE:Trusty TEE技术剖析与实践
CyberSphinx的博客
08-30 440
Trusty TEE基于硬件提供的安全隔离机制,通过创建两个独立的执行环境,即安全世界(TEE)和普通世界(REE),实现了数据和代码的分离。Trusty TEE提供了一个受保护的执行环境,使得敏感数据和关键任务得以安全执行,同时保护用户隐私。本文将介绍一种名为Trusty TEE的嵌入式可信执行环境技术,并通过深入了解其原理和源代码来演示如何实现和应用这一技术。下面是一个基本示例,展示了如何使用Trusty TEE嵌入式系统上创建一个简单的安全应用程序。Trusty TEE实现。
嵌入式系统中的可信执行环境 (TEE):保障应用程序安全的关键技术
LrfScript的博客
09-20 522
可信执行环境(TEE)是一种安全的计算环境,可以独立于操作系统运行,并提供硬件级别的安全保障。TEE通常由专用的安全处理器(如ARM TrustZone)或专门的安全模块(如Intel SGX)来支持。TEE的核心目标是保护敏感数据和应用程序,防止恶意软件、攻击者或其他不可信的实体对其进行篡改或访问。TEE通过将敏感数据和关键代码放置在受保护的执行环境中,与普通的应用程序和操作系统隔离开来。这种隔离确保了敏感数据和应用程序的完整性和保密性。
tee
weixin_34403693的博客
01-14 163
linux tee 命令详解功能说明:读取标准输入的数据,并将其内容输出成文件。语  法:tee [-ai][--help][--version][文件...]补充说明:tee指令会从标准输入设备读取数据,将其内容输出到标准输出设备,同时保存成文件。参  数: -a或--append  附加到既有文件的后面,而非覆盖它. -i-i或--ignore-interrupts  忽...
青莲云推出嵌入式TEE安全解决方案亮相2019北京网络安全大会
青莲云
08-23 267
2019北京网络安全大会(简称BCS 2019)8月21日在北京国家会议中心开幕,20位两院院士,与来自30多个国家、70多所全球知名院校、机构和企业的 400多位国内外安全领袖齐聚,聚焦全球网络风险应对策略,探讨网络安全前沿技术,呼吁构建网络内生安全体系,实现组织安全能力的“自生长”。 本次大会主题为“聚合应变,内生安全”。大会组委会介绍,随着5G时代到来,无人驾驶、智慧城市、智能工厂全面...
tee工具
嵌入式
12-25 548
tee工具是从标准输入读取并写入到标准输出和文件,即:双向覆盖重定向(屏幕输出|文本输入) 选项: -a 双向追加重定向 # echo hello world # echo hello world|tee file1 # cat file1 # echo 999|tee -a file1 # cat file1 ...
MTK方案下tee.img的打包方式的详细拆解
baron-周贺贺-代码改变世界ctw
01-04 2938
在MTK手机方案中,有一个tee分区,对应的tee.img,它是由ATF Image和TEE Image拼在一起而来的. 那么它是怎么拼的呢?步骤: 制作tee.img,需要ATF image 和 mt6761_microtrust_release_pad.img 制作mt6761_microtrust_release_pad.img, 需要mt6761_microtrust_release_pad.txt 和 mt6761_microtrust.img mt6761_microtrust_release
认识 TEE OS
本末实验室
12-24 3588
关于本文,是一篇,会议主题是《从 Linux Kernel 角度看 TEE》,主讲人是周贺贺。它适用于嵌入式系统开发/驱动开发/内核设计/安全业务设计从业者,目的是让自己掌握 TEE 基本概念,知道大系统软件架构。同时也解答下面几个问题。
可信执行环境(Tee)入门综述
谈论现实
09-27 2283
现代计算平台日益复杂,软件组件之间需要强大的隔离保护,这导致了可信执行环境(TEE)的采用率不断提高。尽管近年来出现了几种商业和学术TEE架构,但它们仍然很难进行比较和对比。更普遍地说,现有的TEE还没有经过全面的系统化,以了解TEE设计各个方面的可用设计方案及其相应的优缺点。因此,在这项工作中,我们分析了现有TEE的设计,并系统化了TEE实现其安全目标的机制,即可验证启动、运行时隔离、可信IO和安全存储。
MTK tee.img的打包原理介绍
baron-周贺贺-代码改变世界ctw
01-04 2221
在编译时,会调用到如下路径的makefile文件,在该文件中,将bl31.bin和teei.raw拼在了一起,形成了tee.img vendor/mediatek/proprietary/trustzone/custom/build/Android.mk BUILT_TRUSTZONE_TARGET := $(TRUSTZONE_IMAGE_OUTPUT_PATH)/bin/tee.img //目标文件 $(BUILT_TRUSTZONE_TARGET): $(ATF_COMP_IMAGE_NAME)
TEE(Trusted Execution Environment)
星空语_的博客
03-10 1882
REE(Rich Execution Environment) 1.1. REE简介  所有移动设备都支持REE  运行通用OS:Android、iOS、Linux  为上层App提供设备的所有功能  开放的、可扩展的且通用的  在互联互通的网络世界中运转 1.2. REE存在安全隐患  基于OS实现的App隔离极易被绕过;  OS代码庞大,漏洞频发;  OS很难被检验和认证;  OS可以看到App内部的所有数据;  大量的恶意代码和高级的攻击技术;  缺乏隔离意味着App无法安全.
TEE安全技术
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
05-18 602
系统设计时候需要考虑的安全:1、要保护什么?2、有哪些攻击我们的手段软件、硬件、网络、通信隔离、访问控制、TEEAn Aims to make cloud computing as secure as a locked down in-house data center基于混合内存安全技术、机密计算技术和可信计算技术的可信安全计算服务通用框架(基于SGX)
TEE 内部核心 API 概述(嵌入式)
WangWEel的博客
08-31 214
可信执行环境(Trusted Execution Environment,TEE)作为一种安全且可信任的执行环境,提供了一种强大的解决方案。在嵌入式系统中,TEE 内部核心 API 扮演着重要的角色,它为开发者提供了访问 TEE 的接口,使得嵌入式设备能够充分利用 TEE 提供的安全功能。TEE 内部核心 API 是嵌入式设备中与可信执行环境(TEE)进行交互的关键接口。通过使用这些 API,开发者可以轻松地访问TEE提供的安全存储和安全计算功能,进而保护敏感数据和实现安全计算任务。
Android TEE可信计算环境与TrustZone基础
道阻且长,行则将至
07-06 4496
本文介绍了可信计算的基本概念、可信计算环境(TEE)的产生和应用,并详细介绍了 Android 移动端基于 TrustZone 架构实现的 TEE 的框架设计、安全机制等。
开发TEE的踩坑之开发TEE
Joaquin233的博客
07-11 1573
本篇文章分享开发TEE的踩坑
记录毕设环境搭建
qvq04的博客
04-01 1665
简单记录一下raspbian optee上的环境搭建
Arm Trustzone与ATF安全介绍 - 一篇就够了_arm atf
baimao__Ch的博客
08-21 3109
从上文我们已经知道, ARM Trustzone不具体指一个硬件,也不是一个软件,而是一个技术架构。只有支持Trust Zone技术的ARM核配合安全扩展组件,才能为整个系统提供芯片硬件级别的保护和隔离。在支持ARM Trustzone的SOC中,需按照ARM Trustzone技术对各个子模块进行设计。如下便展示了一个SOC的Trustzone架构下的设计框图Trust Zone技术之所以能提高系统的安全性,是因为对外部资源和内存资源的硬件隔离。
MTK 驱动部分双分区升级原理
李标标的博客
03-18 2058
在8.0之后MTK平台将tee lk preloder 等分区设置为双分区,升级的时候会将两个分区都进行升级,我们对这一部分做一个简单的分析和了解 一、升级包语句 ota_from_target_files def WriteBlockIncrementalOTAPackage(target_zip, source_zip, output_file): target_info =...
TEE(Trusted Execution Environment)简介
热门推荐
网络资源是无限的
11-28 4万+
TEE(Trusted Execution Environment)简介
TEE原理及应用举例
内核工匠
03-05 2万+
一、TEE介绍随着Face ID、指纹识别、5G、AI等技术的发展,移动互联网已经悄然根植于现代生活中,伴随着日常生活的移动化,移动终端中存储的各种敏感信息日益增多,移动终端自身的安全性面...
ubuntu嵌入式开发配置
最新发布
03-23
### Ubuntu嵌入式开发环境配置教程 在Ubuntu上进行嵌入式开发环境的配置是一项基础而重要的工作,它能够帮助开发者高效地完成嵌入式系统的开发与调试。以下是关于如何在Ubuntu操作系统上搭建嵌入式开发环境的具体说明。 #### 1. 更新系统源 为了确保系统拥有最新的软件包和依赖项,在开始之前需要先更新系统的APT源列表并升级现有软件包。 ```bash sudo apt update && sudo apt upgrade -y ``` 此操作有助于减少后续可能遇到的兼容性问题[^3]。 #### 2. 安装必要的软件包 安装一系列用于嵌入式开发的基础工具链,这些工具包括但不限于`build-essential`, `git`, 和其他常用的构建工具。 ```bash sudo apt install build-essential git cmake gcc-arm-linux-gnueabihf g++-arm-linux-gnueabihf -y ``` 上述命令会安装GNU ARM交叉编译器以及CMake等必要组件,这是实现跨平台编译的关键步骤之一[^2]。 #### 3. 配置交叉编译器 对于大多数嵌入式项目而言,都需要使用特定架构的目标机器上的编译器来生成二进制文件。因此,设置好PATH变量使得系统能识别到所安装的交叉编译器尤为重要。 ```bash export PATH=$PATH:/usr/bin/arm-linux-gnueabihf- echo 'export PATH=$PATH:/usr/bin/arm-linux-gnueabihf-' >> ~/.bashrc source ~/.bashrc ``` #### 4. 可选功能扩展 (如OpenCV) 如果目标应用涉及图像处理,则可以选择安装OpenCV库支持更复杂的视觉算法需求。 ```bash sudo apt-get install libopencv-dev python-opencv -y ``` #### 5. 虚拟终端优化 当频繁切换目录或者查看长路径名时可能会觉得不便,可以通过修改vim编辑器的相关参数简化显示效果;另外针对某些场景下可能出现过长的工作区绝对地址情况也可以适当调整提示符格式以提高用户体验度。 ```vim set number relativenumber syntax on colorscheme desert ``` #### 6. NFS/TFTP服务部署 NFS(Network File System)允许主机共享文件夹给远程客户端访问,TFTP(Trivial File Transfer Protocol)则常被用来传输启动镜像至目标板卡加载运行。两者均需单独启用各自的服务进程。 ##### 6.1 启动NFS服务 ```bash sudo apt-get install nfs-kernel-server -y mkdir /mnt/nfs_share chmod 777 /mnt/nfs_share/ echo "/mnt/nfs_share *(rw,sync,no_subtree_check)" | sudo tee --append /etc/exports sudo systemctl restart nfs-kernel-server ``` ##### 6.2 设置TFTP服务器 ```bash sudo apt-get install tftpd-hpa -y sudo service tftpd-hpa stop sudo sed -i '/TFTP_OPTIONS/c\TFTP_OPTIONS="--secure --create"' /etc/default/tftpd-hpa sudo mkdir -p /srv/tftp/boot sudo chmod -R 777 /srv/tftp/ sudo ln -sfn /srv/tftp /var/lib/tftpboot sudo service tftpd-hpa start ``` #### 7. 时间同步(NTPDate) 保持时间一致性对于分布式计算至关重要,可通过定期拉取互联网标准时间服务器数据校准本地钟表偏差。 ```bash sudo apt-get install ntpdate -y sudo ntpdate pool.ntp.org ``` #### 8. Shell脚本改进(Bash替代Dash作为默认Shell) 由于部分复杂逻辑难以通过POSIX shell完全表达清楚,默认采用Bash代替原生Dash可以规避潜在语法错误风险。 ```bash sudo dpkg-reconfigure dash # 在弹窗界面选择“No” ``` #### 9. Profile全局变量定义 最后一步就是把所有需要用到的环境变量写入~/.profile当中去永久生效。 ```bash cat <<EOF>>~/.profile export CROSS_COMPILE=arm-linux-gnueabihf- export ARCH=arm EOF source ~/.profile ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

昊虹AI笔记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值