01-TEE 发展历史
1999 年,康柏、HP、IBM、Intel、微软等企业发起成立了可信计算平台联盟 TCPA(Trusted Computing Platform Alliance)该组织于 2003 年改组为可信计算组织 TCG,并制定了关于可信计算平台、可信存储和可信网络链接等一些列技术规范。
2006 年,OMTP(Open Mobile Terminal Platform,开放移动终端平台)工作组智能终端的安全率先提出了一种双系统解决方案:即在同一个智能终端下,除了多媒体操作系统外再提供一个隔离的安全操作系统,这一运行在隔离的硬件之上的隔离安全操作系统用来专门处理敏感信息以保证信息的安全。该方案即TEE的前身。
基于 OMTP 的方案,ARM 公司(嵌入式处理器的全球最大方案供应商)于 2006 年提出了一种硬件虚拟化技术 TrustZone 及其相关硬件实现方案,并于 2008 年第一次发布了 Trustzone 技术白皮书。
TrustZone 是支持 TEE 技术的产品,TrustZone 是所有 Cortex-A 类处理器的基本功能,是通过 ARM 架构安全扩展引入的,而 ARM 也成为了TEE技术的主导者之一。
高通的骁龙 835/845 系列芯片,海思的麒麟 950/960 系列芯片,联发科的 HelioX20、X25、X30,三星的 Exynos8890、7420、5433 等移动端主流处理器的芯片均基于 ARM 结构,并且它们采用的 TEE 技术也基于 ARM 结构。ARM 后将其 TrustZone API 提供给 GlobalPlatform,该 API 已发展为 TEE 客户端 API
2009 年 OMTP (Open Mobile Terminal Platform,开放移动终端平台)在《MTP Advanced Trusted Environment OMTP TR1 V11》明确定义 TEE 的相关概念和规范,定义为
一组软硬件组件,可以为应用程序提供必要的设施,相关实现需要支持两种安全级别中的一种:
- 安全界别(Profile 1)目标要求可以抵御软件级别的攻击。
- 安全界别(Profile 2)目标要求可以同时抵御软件和硬件攻击。
2010 年 7 月,GP(Global Platform)正式提出了 TEE 的概念,并从 2011 年开始起草制定相关的 TEE 规范标准,针对 TEE 系统设计了一系列规范,对应用接口,应用流程,安全存储,身份认证等功能进行了规范化。
GP 是跨行业的国际标准组织,致力于制定和发布基于硬件安全的技术标准。GP 组织制定和发布的国际标准被称为 GP 标准。此外 GP 组织还设立了 TEE 检测认证体系,对 TEE 产品进行功能检测并颁发证书,国际上大多数基于 TEE 技术的 Trust OS 都遵循了 GP 的标准规范。国内,银联自 2012 年起与产业链合作开始制定包括 TEE 硬件、TEE 操作系统、TEE 基础服务和应用等各个层面的规范标准,并且于 2015 年通过技术管理委员会的审核发布银联 TEEI 规范。
2017 年初,人民银行开始制定 TEE 各层面的需求类规范。2020 年 7 月,中国信通院发布联合 20 家单位共同参与制定的标准《基于可信执行环境的数据计算平台技术要求与测试方法》。
TEE 相关的芯片厂商:
国外: ARM、Intel 和 AMD 分别于 2006、2015 和 2016 年各自提出了硬件虚拟化技术 TrustZone、 Intel SGX 和AMD SEV 技术及其相关实现方案。
国内:由中关村可信计算产业联盟 2016 年发布 TPCM 可信平台控制模块,为国产化可信执行环境TEE技术的发展起到了指导作用。国内芯片厂商兆芯、海光分别在 2017 年和 2020 年推出了支持可信执行环境技术 ZX-TCT、海光CSV(China Security Virtualization)。