TrustZone TEE提供一个需要被信任的可执行环境,对于服务器开放平台来说,TA的来源不可预知。为保证TEE环境可信,避免恶意应用窥探内部数据,TA必须被确认身份以及其来源。TEE OS 1.1.0版本采用通过给用户签发TA开发者证书,并实现TEE OS对TA的完整性校验进行管控。
在云上系统中,TA的部署可能是动态的,甚至有实时生成TA的场景,现有的由华为签发TA开发者证书流程将不能满足要求,因此从TEE OS 1.2.0版本开始,将支持导入客户的TA开发者根或二级证书,支撑云供应商在云上部署自有的PKI(Public Key Infrastructure)系统,动态对TA进行签名;自TEE OS 1.3.0版本开始,将支持TA开发者证书吊销列表导入,包括由华为签发或用户自有PKI系统签发的证书吊销列表。
关于如何使用该特性请参见TA二级证书导入。
- TA二级证书导入后,TEE侧默认的华为验签公钥将失效,即由华为颁发TA证书的TA应用将无法正常加载。请使用此功能用户内部妥善管理相关证书和密钥。
- 证书导入工具中的TA应用,仍需要由华为颁发相应的TA证书。在申请华为TA证书前,请务必完成“特性使用免责协议”签署工作。
- 用户导入的TA二级证书将由TEE OS加密持久化存储,建议系统重启后,自动再次导入,以防TA二级证书文件被破坏或修改。
规格约束
要求固件为TEE OS 1.3.0及以上版本。