ARMv6-A以上的SoC皆有內建TrustZone進行安全處理.

分享ARM Trustzone survey心得

• 應用環境

數據服務和支付應用等嵌入式應用, 主要連接到security device.

 

• 設計目的

從SoC level 出發, 使用用戶模式和特權模式, 以加強系統整體security.

 

• 設計原理

TrustZone 分離了兩個並行執行的環境：非安全的「普通」執行環境；安全可信任的「安全」環境，安全監控器（Monitor）控制著安全與「普通」環境之間的轉換. 如下圖

對應到Linux

 

• TrustZone實際運行模式

 

• Linux是否能運行在Secure Zone中

 

ARM 工程師不建議(如下圖), 且Linux kernel雖然有相關 patch 但尚未正式將TrustZone driver 納入.

 

ref:

• Securing the Future of Authentication  with  ARM  TrustZone – based  Trusted  Execution Environment and F ast  I dentity  Online (FIDO)

https://www.arm.com/files/pdf/TrustZone-and-FIDO-white-paper.pdf

 

• ARM Security Technology

http://infocenter.arm.com/help/topic/com.arm.doc.prd29-genc-009492c/PRD29-GENC-009492C_trustzone_security_whitepaper.pdf

 

• ARM Trusted Firmware – version 1.2

https://github.com/ARM-software/arm-trusted-firmware

 

• Generic TrustZone Driver in Linux Kernel

https://lwn.net/Articles/623380/