OP-TEE(Open Portable Trusted Execution Environment)是一个开放源代码的可信执行环境(TEE)软件框架。它提供了安全的执行环境,用于保护应用程序和敏感数据免受恶意软件和攻击的威胁。
OP-TEE 的设计目标是在安全芯片或安全处理器中创建一个隔离的执行环境,称为可信执行环境(Trusted Execution Environment,TEE)。在 TEE 中,应用程序可以在受保护的环境中运行,与普通操作系统和应用程序相互隔离。
OP-TEE 提供了一组安全的API和服务,包括密钥管理、加密算法、认证、安全存储等功能,以满足应用程序对安全性和隐私保护的需求。它支持多种硬件平台和操作系统,并且具有可移植性和灵活性。
OP-TEE 常用于安全关键应用的开发,例如支付、数字版权管理、安全认证、安全存储等领域。它被广泛应用于移动设备、物联网设备、汽车电子等领域,以提供强大的安全保护和隐私保护能力。
下面这段demo用于通过 RPC 调用可信执行环境(TEE)中的加密模块。
// SPDX-License-Identifier: BSD-2-Clause
/*
* Copyright (c) 2014, STMicroelectronics International N.V.
* All rights reserved.
*/
#include <stdint.h>
#include <ta_rpc.h>
#include <tee_api.h>
#include <trace.h>
#include <ta_crypt.h>
#include <ta_sims_test.h>
\\TA_CRYPT_UUID 是一个唯一标识符,用于标识加密模块的 UUID。
static TEE_UUID cryp_uuid = TA_CRYPT_UUID;
\\TEE_Result 是一个枚举类型,表示函数执行结果的状态码。
static TEE_Result rpc_call_cryp(bool sec_mem, uint32_t nParamTypes,
TEE_Param pParams[4], uint32_t cmd)
{
\\定义了一个函数 rpc_call_cryp,它接受一些参数并返回一个 TEE_Result 类型的结果。这个函数的作用是通过 RPC 调用 TEE 中的加密模块,并传递相应的参数。
TEE_TASessionHandle cryp_session = TEE_HANDLE_NULL;
TEE_Result res = TEE_ERROR_GENERIC;
uint32_t origin = 0;
TEE_Param params[4] = { };
size_t n = 0;
uint32_t types =
TEE_PARAM_TYPES(TEE_PARAM_TYPE_NONE, TEE_PARAM_TYPE_NONE,
TEE_PARAM_TYPE_NONE, TEE_PARAM_TYPE_NONE);
\\在函数内部,首先通过调用 TEE_OpenTASession 函数打开与加密模块对应的会话。如果会话打开成功,就可以进行后续的操作;否则,函数将返回错误结果。
res = TEE_OpenTASession(&cryp_uuid, TEE_TIMEOUT_INFINITE, types,
params, &cryp_session, &origin);
if (res != TEE_SUCCESS) {
EMSG("rpc_sha256 - TEE_OpenTASession returned 0x%x\n",
(unsigned int)res);
return res;
}
types = nParamTypes;
\\函数根据参数 sec_mem 的值决定是否使用安全内存(secure memory)。如果需要使用安全内存,则初始化一个 params 数组,并将输入参数拷贝到其中。如果不需要使用安全内存,则直接使用输入参数。
if (sec_mem) {
TEE_MemFill(params, 0, sizeof(params));
for (n = 0; n < 4; n++) {
switch (TEE_PARAM_TYPE_GET(types, n)) {
case TEE_PARAM_TYPE_VALUE_INPUT:
case TEE_PARAM_TYPE_VALUE_INOUT:
params[n].value = pParams[n].value;
break;
case TEE_PARAM_TYPE_MEMREF_INPUT:
case TEE_PARAM_TYPE_MEMREF_OUTPUT:
case TEE_PARAM_TYPE_MEMREF_INOUT:
params[n].memref.buffer =
TEE_Malloc(pParams[n].memref.size, 0);
if (!params[n].memref.buffer)
TEE_Panic(0);
params[n].memref.size = pParams[n].memref.size;
if (TEE_PARAM_TYPE_GET(types, n) !=
TEE_PARAM_TYPE_MEMREF_OUTPUT)
TEE_MemMove(params[n].memref.buffer,
pParams[n].memref.buffer,
pParams[n].memref.size);
break;
default:
break;
}
}
} else {
TEE_MemMove(params, pParams, sizeof(params));
}
\\函数通过调用 TEE_InvokeTACommand 函数发送命令给加密模块,并获取结果。最后,关闭会话,并根据需要将结果拷贝回原始参数中。
res = TEE_InvokeTACommand(cryp_session, TEE_TIMEOUT_INFINITE, cmd,
types, params, &origin);
if (res != TEE_SUCCESS) {
EMSG("rpc_call_cryp - TEE_InvokeTACommand returned 0x%x\n",
(unsigned int)res);
}
TEE_CloseTASession(cryp_session);
if (sec_mem) {
for (n = 0; n < 4; n++) {
switch (TEE_PARAM_TYPE_GET(types, n)) {
case TEE_PARAM_TYPE_VALUE_INOUT:
case TEE_PARAM_TYPE_VALUE_OUTPUT:
pParams[n].value = params[n].value;
break;
case TEE_PARAM_TYPE_MEMREF_INPUT:
case TEE_PARAM_TYPE_MEMREF_OUTPUT:
case TEE_PARAM_TYPE_MEMREF_INOUT:
if (TEE_PARAM_TYPE_GET(types, n) !=
TEE_PARAM_TYPE_MEMREF_INPUT)
TEE_MemMove(pParams[n].memref.buffer,
params[n].memref.buffer,
params[n].memref.size);
pParams[n].memref.size = params[n].memref.size;
TEE_Free(params[n].memref.buffer);
break;
default:
break;
}
}
}
return res;
}
\\rpc_sha224: 这个函数通过调用 rpc_call_cryp 来执行 SHA-224 哈希算法的操作。
TEE_Result rpc_sha224(bool sec_mem, uint32_t nParamTypes, TEE_Param pParams[4])
{
return rpc_call_cryp(sec_mem, nParamTypes, pParams,
TA_CRYPT_CMD_SHA224);
}
\\rpc_sha256: 这个函数通过调用 rpc_call_cryp 来执行 SHA-256 哈希算法的操作。
TEE_Result rpc_sha256(bool sec_mem, uint32_t nParamTypes, TEE_Param pParams[4])
{
return rpc_call_cryp(sec_mem, nParamTypes, pParams,
TA_CRYPT_CMD_SHA256);
}
TEE_Result rpc_aes256ecb_encrypt(bool sec_mem, uint32_t nParamTypes,
TEE_Param pParams[4])
{
return rpc_call_cryp(sec_mem, nParamTypes, pParams,
TA_CRYPT_CMD_AES256ECB_ENC);
}
TEE_Result rpc_aes256ecb_decrypt(bool sec_mem, uint32_t nParamTypes,
TEE_Param pParams[4])
{
return rpc_call_cryp(sec_mem, nParamTypes, pParams,
TA_CRYPT_CMD_AES256ECB_DEC);
}
TEE_Result rpc_open(void *session_context, uint32_t param_types,
TEE_Param params[4])
{
TEE_TASessionHandle session = TEE_HANDLE_NULL;
uint32_t orig = 0;
TEE_Result res = TEE_ERROR_GENERIC;
TEE_UUID uuid = TA_SIMS_TEST_UUID;
uint32_t types =
TEE_PARAM_TYPES(TEE_PARAM_TYPE_VALUE_OUTPUT, TEE_PARAM_TYPE_NONE,
TEE_PARAM_TYPE_NONE, TEE_PARAM_TYPE_NONE);
TEE_Param par[4] = { };
(void)session_context;
(void)param_types;
res = TEE_OpenTASession(&uuid, TEE_TIMEOUT_INFINITE, 0, NULL, &session,
&orig);
if (res != TEE_SUCCESS)
return res;
TEE_MemFill(params, 0, sizeof(TEE_Param) * 4);
res =
TEE_InvokeTACommand(session, TEE_TIMEOUT_INFINITE,
TA_SIMS_CMD_GET_COUNTER, types, par, &orig);
if (res != TEE_SUCCESS)
goto exit;
exit:
TEE_CloseTASession(session);
return res;
}