特性简介
从TEE OS 1.6.2开始,CCOS在TA加密,安全存储,硬件加速等方面扩展了对国密算法的支持,如下图所示。
图1 增加国密支持的流程
- TA编译过程中TA的加密算法支持国密:TA编译时,加密算法默认为国际AES-CBC,客户可配置为SM4-CBC。
- 安全存储支持国密:调用安全存储GP接口时,TEE OS对数据的加密和摘要算法默认为国际AES-XTS和SHA256,客户可配置为国密的SM4-CBC和SM3。
- 国密算法支持硬件加速:调用GP接口进行国密SM4加解密时,支持配置硬件加速。
关于上述流程如何配置国密支持请参考国密支持。
规格约束
硬件加速:
- 目前支持的硬件加速国密算法只有SM4-CBC/ECB。ECB为不安全模式,不推荐使用该模式。
- 使用硬件加速,TA编译的GP API Level需配置为3。manifest.txt中需配置gpd.ta.dma_allocable: true,使能dma内存。
- TEE内使用硬件加速的并发线程数上限为32。
- 当全局资源占用达到64时,将无队列资源可用,导致硬件加速功能不可用。此时可使用软算,若仍需使用硬件加速,需重启服务器。
- HUK密钥派生也会用到队列资源,当没有队列资源可申请时,HUK接口将不可用,影响安全存储,远程证明等功能。
安全存储:
- 使用安全存储时,单个文件单次读写不能超过4M,单个存储文件大小也不能超过4M。
- 不支持TA内创建的子进程访问安全存储。