1. TrustZone介紹

1.1 安全背景

在介紹 TrustZone 前有必要簡單回顧下目前的一些安全手段。

CPU 通過內存映射手段給每個進程營造一個單獨的地址空間來隔離多個進程的代碼和數據，通過內核空間和用戶空間不同的特權級來隔離操作系統和用戶進程的代碼和數據。但由于內存中的代碼和數據都是明文，容易被同處于內存中的其它應用偷窺，因此出現了擴展的安全模塊，應用將加密數據送往安全模塊，由安全模塊處理完后再返回結果給相應的應用。

很多消費電子設備都使用擴展的安全模塊來確保數據安全，目前常見的方式有：

外部掛接硬件安全模塊

數據的處理交由外部的安全模塊實現，這些模塊能夠保護自己的資源和密鑰等數據的安全，如 SIM 卡、各種智能卡或連接到外部的硬件加解密模塊等，但其同主芯片的通信線路暴露在外部，容易被監聽破解。另外，通信的速率比較低。

內部集成硬件安全模塊

將外部安全模塊的功能集成到芯片內，因此一個芯片上至少有兩個核：一個普通核和一個安全核。優點是核與核之間的通信在芯片內部實現，不再暴露在外面。缺點是核之間的通信速度仍然較低，而且單獨的安全核性能有限，還會會占用 SoC 面積，成本較高。

1.2 TrustZone 是個什么鬼？

TrustZone 是 ARM 針對消費電子設備設計的一種硬件架構，其目的是為消費電子產品構建一個安全框架來抵御各種可能的攻擊。

TrustZone 在概念上將 SoC 的硬件和軟件資源劃分為安全(Secure World)和非安全(Normal World)兩個世界。

所有需要保密的操作在安全世界執行（如指紋識別、密碼處理、數據加解密、安全認證等），其余操作在非安全世界執行（如用戶操作系統、各種應用程序等），安全世界和非安全世界通過一個名為 Monitor Mode 的模式進行轉換，如圖1：

圖1. ARM的安全世界和非安全世界

處理器架構上，TrustZone 將每個物理核虛擬為兩個核，一個非安全核（Non-secure Core, NS Core），運行非安全世界的代碼；和另一個安全核（Secure Core），運行安全世界的代碼。

兩個虛擬的核以基于時間片的方式運行，根據需要實時占用物理核，并通過 Monitor Mode 在安全世界和非安全世界之間切換，類似同一CPU下的多應用程序環境，不同的是多應用程序環境下操作系統實現的是進程間切換，而 Trustzone 下的 Monitor Mode 實現了同一 CPU 上兩個操作系統間的切換。

AMBA3 AXI(AMBA3Advanced eXtensible Interface)系統總線作為 TrustZone 的基礎架構設施，提供了安全世界和非安全世界的隔離機制，確保非安全核只能訪問非安全世界的系統資源，而安全核能訪問所有資源，因此安全世界的資源不會被非安全世界（或普通世界）所訪問。

設計上，TrustZone 并不是采用一刀切的方式讓每個芯片廠家都使用同樣的實現。總體上以 AMBA3 AXI 總線為基礎，針對不同的應用場景設計了各種安全組件，芯片廠商根據具體的安全需求，選擇不同的安全組件來構建他們的 TrustZone 實現。

其中主要的組件有：

必選組件

AMBA3 AXI總線，安全機制的基礎設施

虛擬化的ARM Core，虛擬安全和非安全核

TZPC (TrustZone Protection Controller)，根據需要控制外設的安全特性

TZASC (TrustZone Address Space Controller)，對內存進行安全和非安全區域劃分和保護

可選組件

TZMA (TrustZone Memory Adapter)，片上ROM或RAM安全區域和非安全區域的劃分和保護

AXI-to-APB bridge，橋接 APB 總線，配合 TZPC 使 APB 總線外設支持 TrustZone 安全特性

除了以上列出的組件外，還有諸如 Level 2 Cache Controller, DMA Controller, Generic Interrupt Controller等。

邏輯上，安全世界中，安全系統的OS提供統一的服務，針對不同的安全需求加載不同的安全應用 TA(Trusted Application)。例如：針對某具體 DRM 的 TA，針對 DTCP-IP 的 TA，針對 HDCP 2.0驗證的 TA 等。

圖2是一個 ARM 官網對 TrustZone 介紹的應用示意圖：

基于TrustZone的應用

圖2. 基于 TrustZone 的應用示意圖

圖中左邊藍色部分 Rich OS Application Environment(REE)表示用戶操作環境，可以運行各種應用，例如電視或手機的用戶操作系統，圖中右邊綠色部分 Trusted Execution Envrionment(TEE)表示系統的安全環境，運行 Trusted OS，在此基礎上執行可信任應用，包括身份驗證、授權管理、DRM認證等，這部分隱藏在用戶界面背后，獨立于用戶操作環境，為用戶操作環境提供安全服務。

可信執行環境（TEE, Trusted Execution Environment） 是 Global Platform（GP）提出的概念。對應于 TEE 還有一個 REE(Rich Execution Environment)概念，分別對應于安全世界(Secure World)和非安全世界(Non-secure World, Normal World)。

GlobalPlatform（GP） 是跨行業的國際標準組織，致力于開發、制定并發布安全芯片的技術標準，以促進多應用產業環境的管理 及其安全、可互操作的業務部署。目標是創建一個標準化的基礎架構, 加快安全應用程序及其關聯資源的部署，如數據和密鑰，同時保護安全應用程序及其關聯資源免受軟件方面的攻擊。

2. TrustZone 原理和設計

以下主要從 TrustZone 的總線設計，CPU 設計(包括處理器模型、內存模型和中斷模型)和安全隔離機制來介紹 TrustZone 的設計和工作原理。

2.1 總線設計

總線

設計上，TrustZone 在系統總線上針對每一個信道的讀寫增加了一個額外的控制信號位，這個控制位叫做 Non-Secure 或者 NS 位，是 AMBA3 AXI 總線針對 TrustZone 作出的最重要、最核心的擴展設計。

這個控制信號針對讀和寫分別叫做 ARPORT[1] 和 AWPORT[1]：

ARPROT[1]: 用于讀操作(Read transaction), 低表示 Secure, 高表示 Non-Secure

AWPROT[1]: 用于寫操作(Write transaction), 低表示 Secure，高表示 Non-Secure

總線上的所有主設備(master)在發起新的操作(transaction)時會設置這些信號，總線或從設備(slave)上解析模塊會對主設備發起的信號進行辨識，來確保主設備發起的操作在安全上沒有違規。

例如：硬件設計上，所有非安全世界的主設備（Non-Secure masters）在操作時必須將信號的NS位置高，而NS位置高又使得其無法訪問總線上安全世界的從設備（Secure Slaves），簡單來說就是對非安全世界主設備發出的地址信號進行解碼時在安全世界中找不到對應的從設備，從而導致操作失敗。

NS控制信號在 AMBA3 AXI 總線規范中定義。可以將其看作為原有地址的擴展位，如果原有32位尋址，增加NS可以看成是33位尋址，其中一半的32位物理尋址位于安全世界，另一半32位物理尋址位于非安全世界。

當然，非安全世界的主設備嘗試訪問安全世界的從設備會引發訪問錯誤，可能是 SLVERR(slave error)或者 DECERR(decode error)，具體的錯誤依賴于其訪問外設的設計或系統總線的配置。

外設

在 TrustZone 出現前，ARM 的外設基于 AMBA2 APB (Advanced Peripheral Bus)總線協議，但是 APB 總線上不存在類似 AXI 總線上的 NS 控制位。

為了兼容已經存在的 APB 總線設計，AMBA3 規范中包含了 AXI-to-APB bridge 組件，這樣就確保基于 AMBA2 APB 的外設同 AMBA3 AXI的系統兼容。AXI-to-APB bridge 負責管理 APB 總線設備的安全事宜，其會拒絕不合理的安全請求，保證這些請求不會被轉發到相應的外設。

例如：新一代的芯片可以通過增加 AXI-to-APB bridge 組件來沿用上一代芯片的設計來使其外圍設備可以支持 TrustZone。

2.2 處理器設計

2.2.1 處理器模型

TrustZone 中，每個物理處理器核被虛擬為一個安全核(Secure)和一個非安全核(Non-Secure)，安全核運行安全世界的代碼，非安全核運行除安全世界外的其它代碼。

由于安全世界和非安全世界的代碼采用時間片機制輪流運行在同一個物理核上，相應的節省了一個物理處理器核。

多核處理器上，也有建議說讓將某一個或幾個核指定為安全專用核，只運行安全系統代碼來構建安全世界，其余核運行非安全代碼，暫不清楚目前有哪些平臺采用這個實現。

圖3中，系統有4個物理核，每個又分為兩個虛擬核（安全核和非安全核）的情況：



圖3. 多核處理器上的安全核和非安全核

2.2.2 L1內存模型

MMU

MMU 是一種硬件電路，它包含兩類部件，一類是分段部件，一類是分頁部件，對應于內存管理的分段機制和分頁機制。分段機制把一個邏輯地址轉換為線性地址；接著，分頁機制把一個線性地址轉換為物理地址。

當 CPU 訪問一個虛擬地址時，這個虛地址被送到MMU翻譯，硬件首先把它和TLB中的所有條目同時(并行地)進行比較，如果它的虛頁號在 TLB 中，并且訪問沒有違反保護位，它的頁面會直接從 TLB 中取出而不去訪問頁表，從而提高地址轉換的效率。

安全世界和非安全世界都有自己的虛擬 MMU，各自管理物理地址的映射。實際上只是兩個世界都有一份 TTBR0、TTBR1、TTBCR 寄存器，因此就會對應兩個MMU表。

盡管 MMU 有兩套，但 TBL 緩存硬件上只有一套，因此 TBL 對于兩個世界來說是共享的，其通過NS位來標志其每一項具體屬于哪一個世界。這樣在兩個世界間進行切換時不再需要重新刷新 TLB，提高執行效率。

對于 TLB 共享并不是硬性規定的，部分芯片在兩個世界間切換時可能通過硬件部分或全部刷新 TLB。

Cache

同 TLB 類似，硬件上兩個世界共享一套 Cache，具體的 Cache 數據屬于哪一個世界也由其 NS 位指定，在世界間切換也不需要刷新 Cache。

2.2.3 中斷模型

基于 TrustZone 的處理器有三套異常向量表：

一套用于非安全世界

一套用于安全世界

還有一套用于 Monitor 模式

與之前非 TrustZone 的處理器不同的是，這三套中斷向量表的基地址在運行時可以通過 CP15 的寄存器 VBAR(Vector Base Address Register)進行修改。

復位時，安全世界的中斷向量表由處理器的輸入信號 VINITHI 決定，沒有設置時為 0x00000000，有設置時為 0xFFFF0000；非安全世界和 Monitor 模式的中斷向量表默認沒有設置，需要通過軟件設置后才能使用。

默認情況下，IRQ 和 FIQ 異常發生后系統直接進入 Monitor 模式，由于 IRQ 是絕大多數環境下最常見的中斷源，因此 ARM 建議配置 IRQ 作為非安全世界的中斷源，FIQ 作為安全世界的中斷源。這樣配置有兩個優點：

當處理器運行在非安全世界時，IRQ 直接進入非安全世界的處理函數；如果處理器運行在安全世界，當 IRQ 發生時，會先進入到 Monitor 模式，然后跳到非安全世界的 IRQ 處理函數執行

僅將 FIQ 配置為安全世界的中斷源，而 IRQ 保持不變，現有代碼僅需做少量修改就可以滿足

將 IRQ 設置為非安全世界的中斷源時系統 IRQ 的切換見圖4：



圖4. IRQ作為非安全世界的中斷源

2.2.4 系統模式切換

基于 TrustZone 的系統有三種狀態，安全世界、非安全世界和用于二者切換的 Monitor Mode。

協處理器 CP15 的寄存器 SCR(Secure Configuration Register)有一個 NS 位用于指示當前處理器位于哪一個世界，該寄存器在非安全世界是不能訪問的。

當 CPU 處于 Monitor Mode 時，無論 NS 位是 0 還是 1，處理器都是在安全世界運行代碼。

因此 Monitor Mode 下總是安全世界，但如果此時 NS 為 1，訪問 CP15 的其它寄存器獲取到的是其在非安全世界的值。

非安全世界到Monitor模式的切換

處理器從非安全世界進入 Monitor Mode 的操作由系統嚴格控制，而且所有這些操作在 Monitor Mode 看來都屬于異常。從非安全世界到 Monitor Mode 的操作可通過以下方式觸發：

軟件執行 SMC (Secure Monitor Call)指令

硬件異常機制的一個子集（換而言之，并非所有硬件異常都可以觸發進入 Monitor Mode），包括：

IRQ

FIQ

external Data Abort

external Prefetch Abort

Monitor Mode

Monitor Mode 內執行的代碼依賴于具體的實現，其功能類似于進程切換，不同的是這里是不同模式間 CPU 狀態切換。

軟件在 Monitor Mode 下先保存當前世界的狀態，然后恢復下一個世界的狀態。操作完成后以從異常返回的方式開始運行下一個世界的代碼。

為什么安全模式和非安全模式不能直接切換？

非安全世界無權訪問 CP15 的 SCR 寄存器，所以無法通過設置NS來直接切換到安全世界，只能先轉換到 Monitor Mode，再到安全世界。

如果軟件運行在安全世界(非Monitor Mode)下，通過將 CP15 的 NS 位設置 1，安全世界可以直接跳轉到非安全世界，由于此時 CPU 的流水線和寄存器還遺留了安全世界的數據和設置，非安全模式下的應用可以獲取到這些數據，會有極大的安全風險。因此，只建議在 Monitor Mode 下通過設置 NS 位來切換到非安全模式。

綜上，安全世界和非安全世界不存在直接的切換，所有切換操作都通過 Monitor Mode 來執行。

圖5展現了安全世界和非安全世界之間的切換方式：



圖5. 安全世界和非安全世界之間的切換

2.3 隔離機制

除了 CPU 執行時實行安全世界和非安全世界的隔離外，AMBA3 AXI 總線提供了外設隔離的基礎。

2.3.1 內存隔離機制

這里的內存指外部的 DDR 和片上的 ROM 以及 SRAM，其隔離和保護通過總線組件 TZASC 和 TZMA 的設置來實現。

TZASC (TrustZone Address Space Controller)

TZASC 可以把外部 DDR 分成多個區域，每個區域可以單獨配置為安全或非安全區域，非安全世界的代碼和應用只能訪問非安全區域。TZASC 只能用于內存設備，不適合用于配置塊設備，如 Nand Flash。

TZMA (TrustZone Memory Adapter)

TZMA 可以把片上 ROM 和 SRAM 隔離出安全和非安全區域。TZMA 最大可以將片上存儲的低 2MB 配置為安全區域，其余部分配置為非安全區域。大小劃分上，片上安全區域可以在芯片出廠前設置為固定大小，或運行時通過 TZPC 動態配置。TZMA 使用上有些限制，其不適用于外部內存劃分，而且也只能配置一個安全區域。

2.3.2 外設隔離機制

外設上，基于 APB 總線的設備不支持 AXI 總線的 NS 控制信號，所以 AXI 到 APB 總線需要 AXI-to-APB bridge 設備連接，除此之外，還需要TZPC (TrustZone Protection Controller) 來向 APB 總線上的設備提供類似 AXI 上的 NS 控制信號。

由于 TZPC 可以在運行時動態設置，這就決定了外設的安全特性是動態變化的，例如鍵盤平時可以作為非安全的輸入設備，在輸入密碼時可以配置為安全設備，只允許安全世界訪問。

2.3.3 隔離機制示意圖

整個系統內存和外設隔離機制示意圖見圖6.

圖6. 系統內存和外設隔離機制示意圖

此圖來源于網上，實際上 TZPC 還連接到片內的 ROM/RAM 設備上，用于配置片上存儲的安全區域。

2.4 安全啟動

AMBA3 AXI 總線機制隔離出安全世界和非安全世界，但這是系統啟動之后的事情。如何確保系統本身是安全的呢？這就涉及到系統啟動的過程。

系統上電復位后，先從安全世界開始執行。安全世界會對非安全世界的 bootloader 進行驗證，確保非安全世界執行的代碼經過授權而沒有被篡改過。然后非安全世界的 bootloader 會加載非安全世界的 OS，完成整個系統的啟動。

在非安全系統的 bootloader 加載 OS 時，仍然需要安全世界對 OS 的代碼進行驗證，確保沒有被篡改。

圖7是典型的 TrustZone 芯片的啟動流程：



圖7. 典型的 TruestZone 芯片啟動流程

整個啟動流程跟目前博通平臺的安全啟動原理基本一致，上電后安全芯片先啟動，然后校驗主芯片的 bootloader，接下來 bootloader 提交系統的 OS 和文件系統給 BSP 進行校驗，通過后加載主系統，確保主系統是安全的。

從上電復位開始的整個啟動過程中，下一級的安全基于上一級的驗證，最終依賴于芯片內置的 OTP 和安全硬件，逐級的驗證構成了整個系統的信任鏈。信任鏈中的某一個環節被破壞，都會導致整個系統不安全。

3. 各家 TrustZone 實現

基于安全考慮，各家 TrustZone 都實行閉源，關于其實現細節的介紹都較少。

網上能找到少許關于高通方案上 TrustZone 的介紹：

安全世界 QSEE (Qualcomm Secure Execution Environment)

非安全世界 HLOS (High Level OS)

整個系統的架構如圖8：



圖8. 高通QSEE系統架構圖

4. 其它

ARMv8-A 架構定義了四個異常等級，分別為 EL0到 EL3，其中數字越大代表特權(privilege)越大:

EL0: 無特權模式(unprivileged)

EL1: 操作系統內核模式(OS kernel mode)

EL2: 虛擬機監視器模式(Hypervisor mode)

EL3: TrustZone monitor mode

TrustZone 設計的相關方

ARM 公司，定義 TrustZone 并實現硬件設計，TEE，TZAPI等

芯片廠家，在具體芯片上實現 TrustZone 設計，包括三星、高通、MTK、TI、ST、華為等

應用提供方，如 DRM 廠家和安全應用開發商，實現 DRM、Playready、DTCP-IP 和一些其它安全應用開發和認證

Trust OS

TEE 環境下也要有一個操作系統，各家都有自己的 Trustzone 的操作系統。如 Trustonic、高通的 QSEE、國內的豆莢，還有開源的 OPTEE 和 Trusty 等。

在操作系統之上自然要有應用程序，在 Trustzone 里面我們一般叫 TrustApp，當然 TEE 里面每個 TrustApp 都在一個沙盒里，互相之間是隔離的。

比如說支付，就可以做成一個 App（需要注意的是，和 Normal Worl d里面的 App 是兩個概念），這個 App 簡單來說就負責用私鑰把網上發來的 Challenge 簽個名，而這個簽名的動作是需要在 Secure World 里面做的，避免惡意程序竊取到私鑰來偽造簽名。

例如支付寶，其實支付寶也是只支持幾個 Trust OS 的。同時，支付寶還定義了一系列標準，用來完成他的行為。

現在的 Trust OS 大都會遵循 GlobalPlatform 的規范，這個組織致力于制定統一的 Trust OS 的 API 的接口規范，這樣一個 TrustApp 只要用 GP API，就可以方便移植到各個不同的 TEE 操作系統上了。

Intel 平臺的 SGX

針對可信計算，類似 ARM 的 TrustZone，Intel 也針對 x86 平臺提出了自己的安全架構 SGX：

Intel Software Guard Extensions (Intel SGX)

https://software.intel.com/zh-cn/sgx-sdk

SGX 全稱 Intel Software Guard Extensions，顧名思義，其是對因特爾體系（IA）的一個擴展，用于增強軟件的安全性。

這種方式并不是識別和隔離平臺上的所有惡意軟件，而是將合法軟件的安全操作封裝在一個 enclave 中，保護其不受惡意軟件的攻擊，特權或者非特權的軟件都無法訪問 enclave。

也就是說，一旦軟件和數據位于 enclave 中，即便操作系統或者和 VMM（Hypervisor）也無法影響 enclave 里面的代碼和數據。

Enclave 的安全邊界只包含 CPU 和它自身。SGX 創建的 enclave 也可以理解為一個可信執行環境 TEE。不過其與 ARM TrustZone（TZ）還是有一點小區別的，TZ 中通過 CPU 劃分為兩個隔離環境（安全世界和正常世界），兩者之間通過 SMC 指令通信；而 SGX 中一個 CPU 可以運行多個安全 enclaves，并發執行亦可。

簡單來講, Intel SGX 最關鍵的優勢在于將程序以外的 software stack如 OS 和 BIOS 都排除在了 TCB（Trusted Computing Base）以外。換句話說，就是在容器 enclave 里的 code 只信任自己和 Intel 的 CPU。

網上有人是這樣對比 TrustZone 和 SGX 的：

Trustzone 默認相信 SecureOS，安全世界。SGX 僅相信 CPU core，通過 SGX 指令構建 enclave容器。簡單比喻，TEE 是個公用大保險柜，什么東西都裝進去，有漏洞的 app 可能也進去了，而且保險柜鑰匙在管理員手上，必須相信管理員。SGX 每個 app 有自己的保險柜，鑰匙在自己手上

SGX 要進入工業界應用尚需時間，一個重要的問題是現在在 Intel 發行的服務器芯片上還沒有 SGX，而 SGX 的重要應用就是在數據中心和云端的應用。

審核編輯：劉清