（Trusted Application，TA）在不同的TEE 移植。TEE 主要安全特性包括：

• 硬件機制保護：TEE 物理隔離于 REE、TEE 可以訪問 REE 的內(nèi)存、REE 無法訪問受硬件保護的TEE 內(nèi)存，只能通過特定的入口與 TEE 通信。

• 三層隔離機制：支持 TEE 和 REE 間隔離，TA 間相互隔離，TA 和 TEE 內(nèi)核間隔離。

• 支持多 TA 運行：TEE 中可以同時運行多個 TA，服務于 REE 側的安全應用。

• 支持安全啟動：TEE 和 TA 中的可執(zhí)行代碼在執(zhí)行前先要被驗證。

• 安全存儲機制：存儲證書密鑰等重要數(shù)據(jù)，滿足認證性、完整性和機密性需求。

• 高性能運行：TEE 運行時獨占 CPU 核的全部性能，TA 運行完釋放 CPU 資源。

• 靈活易擴展：TEE 存儲、運行空間可定制，TA 支持靜態(tài)、動態(tài)加載，易于開發(fā)維護。

• 開發(fā)接口規(guī)范化：遵從國際 GP 標準，安全應用可在多種平臺上移植。

• 適配 AUTOSAR 接口：AUTOSAR 安全需求組件可通過 TEE 實現(xiàn)，在 REE 側適配 AUTOSAR 標準接口，例加解密組件、更新管理組件等。

基于 TEE 系統(tǒng)的軟件棧主要組件如下圖所示。

圖3.4-22 基于TEE系統(tǒng)的軟件棧組件

軟件棧主要由 REE、TEE、安全后臺、產(chǎn)線工具組成?？蛻舳藨眠\行在 REE 側，調(diào)用 TEE Client API，再通過 REE 通信代理和 TEE 通信代理實現(xiàn)與 TEE 環(huán)境的交互，對應的 TA 完成特定安全功能。安全后臺主要負責可信服務的后臺業(yè)務邏輯，實現(xiàn)端到后臺的閉環(huán)安全流程，例如設備管理、密鑰管理、軟件更新等功能。產(chǎn)線工具主要負責設備信息的導入導出，包括根證書密鑰等信息。TEE  主要提供運行環(huán)境、可信基礎服務、通用可信應用、客戶客制化可信應用，TEE 運行環(huán)境一般采用 Trusted Kernel 實現(xiàn)?？尚呕A服務基于Trusted  Kernel 開發(fā)，基于這些可信基礎服務提供滿足GP 規(guī)范要求的TEEInternalAPI 接口， 用于開發(fā)通基礎業(yè)務和客戶客制化業(yè)務。

可信基礎服務主要功能說明如下：

表3.4-3 可信基礎服務主要功能

基礎服務

功能說明

安全存儲

為數(shù)據(jù)提供加密存儲或可信存儲區(qū)域，保證數(shù)據(jù)的機密性和完整性，防止數(shù)據(jù)被非法

篡改或非法獲取。加密密鑰動態(tài)生成且不出可信安全域。

安全加解密

支持國際或國密算法，包括對稱密碼算法、公鑰密碼算法、散列密碼算法等?？芍С?/span>

芯片內(nèi)置加解密引擎或外接加解密硬件模塊。

安全時間

提供不能被非法篡改的時間接口，僅存于安全可信環(huán)境下，主要用于安全日志、視頻

數(shù)據(jù)等可審計的場景。

真隨機數(shù)

支持在可信環(huán)境下獲取硬件產(chǎn)生的隨機源，且在  REE  側無法獲取此隨機源。主要用

于密碼算法的隨機因子。

安全校驗

檢查安全應用 TA 加載時的鏡像完整性和真實性，確保未被非法篡改。

基礎服務

功能說明

密鑰管理

為每個安全應用 TA 隨機產(chǎn)生共享密鑰，保護各 TA 的數(shù)據(jù)，且 TA 間互不可見密鑰。

可信根

綁定硬件唯一標識信息，運行階段生成。在可信環(huán)境下可以獲取此信息，且各設備都

不同且唯一。

安全驅(qū)動

外部設備僅允許 TEE 側的訪問（例 SPI、UART、I2C 等），而 REE 側無法訪問。

TEE 技術目前已成為移動終端的標配，不僅提供了合適的保護強度，也平衡了成本和易開發(fā)性，并日趨成熟。其安全性、穩(wěn)定性、靈活性、擴展性越來越得到車企的重視，隨著車載的安全合規(guī)性要求和車企的主動防御需求，TEE 技術也為車企提供了更多的選擇，目前 TEE 技術已應用在車載的信息娛樂系統(tǒng)、中央計算單元、車聯(lián)網(wǎng)系統(tǒng)等部件中，以保護設備的安全資產(chǎn)，相信 TEE 技術會在今后的車載信息安全上發(fā)揮更大的作用。

圖3.4-23 TEE技術架構