OP-TEE Notice 中有OP-TEE特性的介紹，分別是：隔離(Isolation)、小巧(Small footprint)、可移植(Portability)

OP-TEE特性一——隔離

OP-TEE, open-source security for the mass-market這篇文章中介紹了OP-TEE的發(fā)展歷史。

最初OMTP(Open Mobile Terminal Platform)組織提出了一種雙系統(tǒng)解決方案，TEE就是由此發(fā)展而來，目前OP-TEE OS運(yùn)行的環(huán)境仍是雙系統(tǒng)，一個(gè)是一般的Linux系統(tǒng)，另一個(gè)就是OP-TEE OS，也就是一種TEE OS。在這兩個(gè)系統(tǒng)之間，就天然形成了軟硬件資源的隔離。

因?yàn)榇嬖陔p系統(tǒng)，所以在運(yùn)行OP-TEE OS的設(shè)備上，一切都可以被一分為二，一個(gè)是Normal World，另一個(gè)是Secure World，這一切包括硬件資源和軟件資源。這涉及到如下概念：

Normal World：這個(gè)world的軟硬件資源的安全性低。

Secure World：這個(gè)world的軟硬件資源安的全性高。

REE(Rich Execution Environment)：同Normal World，一般執(zhí)行環(huán)境

TEE(Trusted Execution Environment)：同Secure World，可信執(zhí)行環(huán)境

可以簡(jiǎn)單如下圖理解：

REE與TEE的隔離

OP-TEE特性二——小巧

OP-TEE是一個(gè)小巧的操作系統(tǒng)，只占用很少的存儲(chǔ)資源。我理解是因?yàn)樗皇且粋€(gè)通用操作系統(tǒng)，而是有專用目的，因此不相關(guān)的功能和機(jī)制都可以化簡(jiǎn)，只加強(qiáng)安全相關(guān)的功能即可。

因此，在系統(tǒng)中增加OP-TEE可以只增加較小的代價(jià)就可以提高特定信息的安全性。提高信息安全性還有一個(gè)更厲害的方法，就是使用SE。

SE(Secure Element)：安全元件（比如智能卡等硬件）

針對(duì)特定信息開發(fā)硬件進(jìn)行保護(hù)，這種方法的安全性最高，但是代價(jià)也是很高的，因?yàn)橐粋€(gè)保護(hù)指紋信息的硬件不能保護(hù)虹膜信息，保護(hù)聲紋信息的硬件不能保護(hù)人臉識(shí)別信息，即通用性差，不可升級(jí)，生產(chǎn)成本就會(huì)非常高，而OP-TEE作為軟件，是可以隨著保護(hù)信息的特性而改變，生產(chǎn)成本是開發(fā)人員的工資，相對(duì)于硬件產(chǎn)生的成本應(yīng)該是比較小的。使用REE安全性不夠，使用SE成本太高，所以綜合代價(jià)和收益，TEE是一個(gè)折中的方案。

OP-TEE特性三——可移植

和Linux的天性一樣，OP-TEE也保持了設(shè)備兼容性，具有可移植性，使用Linux系統(tǒng)的設(shè)備應(yīng)該都可以使用。