产品与技术

vTZ: TrustZone 和 TEE Virtualization

对于虚拟机允许TEE的多路复用。结合硬件虚拟化和TrustZone来支持多个相互隔离的安全空间,并允许无缝地从TEE 部署到虚拟化环境。

不同的用户对 TEE 有不同的需求。 TEE 虚拟化可以允许一个设备同时运行多个 TEE。 但是,TrustZone 设计时并没有考虑虚拟化,因此 TrustZone 仅可提供单个隔离的空间, 由多个 TEE 共享。 这使得,某个 TEE 实现中的缺陷或漏洞能够影响到其他的 TEE 的安全和稳定性。

vTZ 提供了 TrustZone 的透明虚拟化,并维护了不同虚拟化 TrustZone 实例的强隔离性。和现有的只是给 trustlet 提供执行环境不同,vTZ 利用了 ARM 的虚拟化扩展,来陷入和模拟真实 TrustZone 的所有功能,允许客户虚拟机部署更多的复杂系统在它的虚拟的私有安全世界。 vTZ 同时提供了不同虚拟机安全世界的隔离来以限制每个客户虚拟机仅可访问到它自身的资源。