OP-TEE的安全存儲(chǔ)的簡(jiǎn)介

OP-TEE的安全存儲(chǔ)功能是OP-TEE為用戶(hù)提供的安全存儲(chǔ)機(jī)制。用戶(hù)可使用安全存儲(chǔ)功能來(lái)保存敏感數(shù)據(jù)、密鑰等信息。

使用OP-TEE安全存儲(chǔ)功能保存數(shù)據(jù)時(shí)，OP-TEE會(huì)對(duì)需要被保存的數(shù)據(jù)進(jìn)行加密，且每次更新安全文件時(shí)所用的加密密鑰都會(huì)使用隨機(jī)數(shù)重新生成，用戶(hù)只要調(diào)用GP標(biāo)準(zhǔn)中定義的安全存儲(chǔ)相關(guān)接口就能使用OP-TEE的安全存儲(chǔ)功能對(duì)私有數(shù)據(jù)進(jìn)行保護(hù)。

需要被保護(hù)的數(shù)據(jù)被OP-TEE加密后會(huì)被保存到REE側(cè)的文件系統(tǒng)、EMMC的RPMB分區(qū)或數(shù)據(jù)庫(kù)中，至于具體需要將加密后的數(shù)據(jù)保存到哪里則由芯片提供商決定。（為啥放在REE側(cè)的文件系統(tǒng)？因?yàn)镽EE側(cè)linux有文件系統(tǒng)啊哈哈哈我猜的）

也可通過(guò)打開(kāi)對(duì)應(yīng)的宏開(kāi)關(guān)，使能對(duì)應(yīng)的保存方式來(lái)滿(mǎn)足用戶(hù)的實(shí)際需求。安全存儲(chǔ)功能可提供一個(gè)安全的存儲(chǔ)環(huán)境，安全文件中數(shù)據(jù)的加解密過(guò)程都在OP-TEE中完成，且加解密密鑰的生成也是在OP-TEE中進(jìn)行的，這樣就能保證數(shù)據(jù)的安全性。

安全存儲(chǔ)功能使用的密鑰

OP-TEE中使用安全存儲(chǔ)功能保存的數(shù)據(jù)都是使用AES算法進(jìn)行加密的，加密后的文件被保存在文件系統(tǒng)或RPMB分區(qū)。

使用AES算法進(jìn)行數(shù)據(jù)加密或解密時(shí)需提供密鑰和初始化向量IV值。

每個(gè)TA在使用安全存儲(chǔ)功能保存數(shù)據(jù)時(shí)都會(huì)生成一個(gè)隨機(jī)數(shù)作為IV值，使用FEK的值作為AES的密鑰。FEK的值是OP-TEE對(duì)相關(guān)數(shù)據(jù)執(zhí)行HMAC操作后生成的。（HMAC需要三個(gè)輸入參數(shù)，密鑰Key，消息內(nèi)容，Hash算法;（所以HMAC本身并不是一種Hash算法，因而需要調(diào)用現(xiàn)成的Hash算法。）

FEK值的生成涉及SSK和TSK，本章節(jié)將介紹這些密鑰的使用和生成過(guò)程。相關(guān)密鑰的關(guān)系和生成方式如圖所示。

（關(guān)于這個(gè)秘鑰的派生，芯片廠商會(huì)自定義）