可信执 环境(TEE)介绍 与应

原 :http://blog.csdn.net/wed110/article/details/53894927可信执 环境(TEE，Trusted Execution Environment) 是Global

Platform(GP)提出的概念。针对移动设备的开放环境，安全问题也越

来越受到关注， 仅仅是终端 户，还包括服务提供者，移动运营商，以

及芯  商。TEE是与设备上的Rich OS(通常是Android等)并存的运

环境，并且给Rich OS提供安全服务。它具有其 身的执 空间， Rich OS的安全级别  ，但是 起安全元素(SE，通常是智能卡)的

安全性要低 些。但是TEE能够满  多数应 的安全需求。从成本上

看，TEE提供 安全和成本的平衡。TEE在安全  注重如下:

  开放环境的使 ，使得设备  于各种攻击之下;

  隐私，个 信息如联系 ，短消息，照 ，视频等，需要 被盗

窃，丢失或者受到恶意软件的攻击;

内容保护，对于DRM  ，条件接收服务或者内容保护的许可等

也倾向于使 硬件级别的保护;

公司数据， 如登陆VPN的凭据等的保护;

连接性保护，在3G，4G，wifi，乃 NFC等  ，密钥资源的保

护;

融 险， 如 融交 中的 户交互数据(交 内容，交 额，

户输 PIN等)。

TEE的参与者则包含SP，运营商，OS和移动应 开发者，设备 商，芯  商等。

如前所述，

TEE是与Rich OS并存的，可 下图。

其中，TEE所能访问的软硬件资源是与Rich OS分离的。TEE提供 授权

安全软件(可信应 ，TA)的安全执 环境，同时也保护TA的资源和数

据的保密性，完整性和访问权限。为 保证TEE本身的可信根，TEE在安

全启动过程中是要通过验证并且与Rich OS隔离的。在TEE中，每个TA是

相互独 的， 且 能在未授权的情况下 能互相访问。GP在TEE的标准化  下  夫，基础的规范有TEE内部API，TEE客

户端API，当然 前还有 系 的补充的功能性API规范，以及应 管

、调试功能、安全保护轮廓等规范正在制定中。

TEE内部API主要包含 密钥管 ，密码算法，安全存储，安全时

钟资源和服务，还有扩展的可信UI等API。可信UI是指在关键信息的显示

和 户关键数据(如 令)输 时，屏幕显示和键盘等硬件资源完全由TEE控制和访问， Rich OS中的软件 能访问。内部API是TEE提供给TA的编程接 ;

TEE外部API则是让运 在Rich OS中的客户端应 (CA)访问TA服务和数据的底层通信接 。

TEE的位置TEE是运 在设备中的，提供介于普通RichOS和SE(智能卡)之间的安

全性的框架。当前的很多安全架构还是基于Rich OS + SE的 式，其实

这在  程度和成本上都 能提供“刚刚好”的契合。因为某些 额的

付，DRM，企业VPN等，所需要的安全保护强度并  ，还 需要 个

单独的SE来保护，但是  能直接放在Rich OS中，因为后者的开放性

使其很容 被攻击。所以对于这类应 ，TEE则提供 合适的保护强度，

并且平衡 成本和 开发性。这可以从下图的分析中看到。

对于抗攻击性，SE最 ，Rich OS很低;对于访问控制爱，与抗攻击性

类似，但是Rich OS能做得 多 些;对于 户界 ，SE 能为 ， Rich OS最丰富;开发难 程度上，Rich OS最容 ，当然如果TEE标准

做得好，也能做得“相当”容 ;处 速度上，TEE和Rich OS相当，因为

者使 的同 个物 处  ，SE则肯定慢;最后，SE是物 上可移除的。

从成本和安全性的平衡来看，下图给出 展示。

可 ，加  TEE后，额外成本增加很低， 可以达到 个中等保护的级

别;如果要达到 级别保护，就需要额外的成本 。这个图的分析并 是

说TEE的出现就使得设备上 需要SE ， 是作为 种中等安全级别的层

级，满 相应的安全 的。

具体  公司安全  :当 户使 移动设备访问电 邮件，内部 和公司 档的

时候，需要有可信赖的端到端安全，以确保公司数据在设备上是受保护

的，及 络认证数据 被误 。通过将关键资产与开发环境分离，TEE可

以有如下 式来增加公司应 的安全:

公司应 ，如email管  可以依赖于TA，实现 感功能如加密存

储和email的访问控制;

VPN认证可以依赖于TA，允许VPN凭据的安全提供和认证算法实

现;

访问策 可以 可信UI实现。当需要访问加密数据和建  络连

接时，需要 户输  令;

次性 令(OTP)可以由TA实现，从 把智能 机作为 个安

全认证token使 ，这种 式是当使 PC登陆公司 络时适 的(双因

认证 法)。

内容保护  :对于 质 内容，如 乐，视频，书籍和游戏，相应的SP也需要有内容保护机制来防  法拷 和传播。对内容保护  ，可

以有如下 种 式:

  防 拷 系统(如数字 印);

数字版权管 系统(如微软的PlayReady或者OMA DRM);

条件接收系统(如Nagra，NDS，Irdeto等)。

这些内容保护系统也可以依赖于TA的如下功能:

存储密钥，凭据和证书;

执 关键软件;

执 关键的内容保护函数和/或安全地委托给SE。移动 付  :移动 付可以分为远程移动交 ，和近场 付两类。 险

则有可能是设备中的恶意代码在 户 知情的情况下，去做 如下的事

情:

获取 户 令或PIN;

修改交 数据， 如交  额;

在没有 户确认的情况下 成交 。

借助于TEE的可信UI特性，TEE可以提供 户认证、交 确认和交 处

等  的保护。

TEE的概念是基于ARM的TrustZone技术的，虽然GP在 档  直没有

明说这 点。 TrustZone架构是ARM系统化设计出来的，在处  核

和调试功能等  都有充分的功能性和安全性考虑。因此在针对OMTP的

电 消费设备的安全威胁，以及OMTP TR1中提到的扩展的安全威胁，ARM和GP都有相应的考虑。对于硬件安全威胁，ARM在架构设计上使其

攻击 加困难，相应的代价也  些; 对于软件安全威胁，也 再是

场取得操作系统root权限的游戏 ， 是把Rich OS和TEE的执 空间

和资源分离，除 TEE本身有  ，或者TA包含恶意代码，否则软件攻击

也会 常困难。当然，TEE本身应当是通过 定级别的认证(EAL2或EAL3，特殊 业应 EAL4及以上)， TA也肯定是需要相应机构的认

证和签名才能部署到设备上去的。 论是TEE的认证，还是TA的可信管

，都是另外的重 级话题。 在此之前，如何实现Rich OS与TEE的通

信机制， 效的内存共享机制，以及多核架构带来的问题等，都是具有挑

战性的话题。

http://blog.csdn.NET/braveheart95/article/details/8882322

TEE通信分析 kenel层收到中断后通过netlink上报到hal层，hal层通过

ioctl调 kernel层，从 操作硬件，执 相应的动作。TEE的实现(硬件、软件与开源)

虽然TEE已经发展 较成熟 ，但是对于 般开发者或者研究

员，想要真正体会TEE的功能却是 件 较困难的事件。下 总结关于TEE的 些实现，供参考，可以  TEE的上 实验与操作。 持TEE的嵌 式硬件技术包含如下:

(1)AMD的PSP(Platform Security Processor)处  http://www.amd.com/en-us/innovations/

software-technologies/security

https://classic.regonline.com/custImages/

360000/369552/TCC%20PPTs/TCC2013_VanDoorn.pdf

(2)ARM TrustZone技术( 持TrustZone的所有ARM处

)

http://www.arm.com/zh/about/events/

globalplatform-trusted-execution-environment-trustzone-

building-security-into-your-platform.php

(3)Intel x86-64指令集:SGX Software Guard Extensions

Intel软件保护扩展:https://software.intel.com/

sites/default/files/329298-001.pdf

(4)MIPS:虚拟化技术Virtualizationhttp://www.imgtec.com/mips/architectures/

virtualization.asp

个TEE的软件实现(提供开源 具或者基于TEE开发的SDK)如下:(1)Trustonic公司的t-base，是 个商业产品，已经得到

GlobalPlatform的授权认可https://www.trustonic.com/products-services/

trusted-execution-environment/

(2)Solacia公司的securiTEE，也是 个商业产品，并且得到 GlobalPlatform的授权认可

http://www.sola-cia.com/en/securiTee/product.asp

(3)OP-TEE，开源实现，来 STMicroelectronics，BSD授权

持下的开源

开源地址:https://github.com/OP-TEE(4)TLK，开源实现，来 Nvidia，BSD授权 持下的开源

开源地址:http://nv-tegra.nvidia.com/gitweb/?

p=3rdparty/ote_partner/tlk.git;a=summary

(6)T6，开源实现，GPL授权下的开源研究，主要是上 交

的，是国内开展TEE研究 较早的

地址:http://www.liwenhaosuper.com/projects/t6/

t6_overview.html

(7)Open TEE，开源实现，来 芬兰赫尔 基 学的 个研究

项 ，由Intel提供 持，在Apache授权下提供 持

开源地址:https://github.com/Open-TEE/project

(8)SierraTEE，来 Sierraware公司的实现，拥有双重属性，

半开源 半商业性质

地址:http://www.openvirtualization.org/

商业的TEE实现，如Trustonic的t-base，Solacia的securiTEE 花钱肯定是 法使 的。 T6和SierraTEE貌似都必须购买相应的硬件

开发板才能使 其开源的TEE软件， 且硬件开发板也  宜。OP-

TEE、TLK和Open TEE是完全开源实现，值得去学习体验 下TEE环

境，博主接下来会分别体验 下这三个开源TEE后再来作评价，是否好

，是否依赖特定硬件，现在还 得 知，只等后 体验后 新吧。

主要参考

[0] 维基百科，http://en.wikipedia.org/wiki/

Trusted_execution_environment#cite_note-10

其它参考

[1] GlobalPlatform Device Specifications: Trusted Execution

Environment. http://www.globalplatform.org/specificationsdevice.asp

[2] Trusted Computing Group. Committee Specification-TPM

2.0 Mobile Reference Architecture (an intermediate draft), April

4, 2014

[3] OMTP Ltd. Advanced Trusted Environment: OMTP TR1.

2009. http://www.gsma.com/newsroom/wp-content/uploads/

2012/03/omtpadvancedtrustedenvironmentomtptr1v11.pdf[4] TRUSTED LOGIC‘s TRUSTED FOUNDATIONS? SOFTWAREcomplies with OMTP latest

security requirements.

http://www.trusted-logic.com/IMG/pdf/

TRUSTED_LOGIC_TRUSTED_FOUNDATIONS_OMTP_FINAL.pdf[5] Trusted Foundations? first to incorporate the latest

GlobalPlatform TEE Specification. 2011. http://tlmobility.com/

IMG/pdf/Trusted_Foundations_FINAL.pdf

----------------------------------------------------------------------------------------

TEE(Trusted Execution Environment)，可信执 环境，该环境

可以保证 被常规操作系统 扰的计算，因此称为”可信”。这是

通过创建 个可以在TrustZone的”安全世界”中独 运 的 型

操作系统实现的，该操作系统以系统调 (由TrustZone内核直接

处 )的 式直接提供少数的服务。另外，TrustZone内核可以安

全加载并执  程序”Trustlets”，以 在扩展模型中添加”可

信”功能。Trustlets程序可以为 安全(普通世界)的操作系统(如

Android)提供安全的服务。

TEE通常 于运 关键的操作:(1)、移动 付:指纹验

证、PIN码输 等;(2)、机密数据:私钥、证书等的安全存储;

(3)、内容包括:DRM(数字版权保护)等。

TEE已经成为 物识别设备的标配:使 TEE来隔离指纹的

采集、存储、验证等过程。即使 机被越狱或Root，攻击者也

法获取指纹数据。

TEE内部运  个完整的操作系统，与REE(如Android)隔

离运 ，TEE与REE通过共享内存进 交互:OS间/应 间。

TEE内部也分为内核态与 户态，TEE的 户态可以运 多

个 同的安全应 (TA)。

TEE包含:Secure SO+ 中间件 + 安全应  + 外部交互。

TEE三层架构:TA(Trusted Application)层:可信钱包、

TUI;TEE层:安全操作系统，对上层TA提供的库;硬件层:

CPU状态隔离、内存隔离、外设隔离，如下图:

TEE并 仅仅是指纹保护，指纹 前是TEE推 的强 动

，解锁、 机 付是主要应 场景。

TEE并 仅仅在 机端，从 机端到云端都有TEE:

ARM:TrustZone; X86: VT-x和SGX。TEE并 是全新的概

念，本质就是 种基于硬件的隔离。

TEE并 是100%都安全，关于TEE的CVE开始出现，各家

实现的TEE良莠  。

TEE的 的是增强移动设备的安全特性，包括软件编程接

、硬件IP在内的 整套 案。芯 在软件和硬件上，有REE和

TEE两个区域，分别对应富执 环境和可信执 环境。其主要思

想就是在同 个CPU芯 上，通过硬件配置 式实现 同IP组件

的访问控制，从 提供 个完全隔离的运 空间。ARM在芯 IP

设计中已经全  持 TEE，包括 通、联发科、三星、 思、

展讯等都纷纷采 ，成为基于硬件安全的主流 案。

TEE是和REE(Rich Execution Environment)相对应的，

般称TEE和REE为Secure World和Normal World。Linux跑在

Normal World上，但是有些安全性要求 较 的 为， 如指

纹的 对， 付时候 私钥签名的动作等，需要放到Secure

World  去。

TEE具有其 身的执 空间，也就是说在TEE的环境下也要

有 个操作系统。TEE环境 Rich OS(普通操作系统)的安全级

别  ，但是 起安全元件(SE，通常是智能卡)的安全性要低

些;另  ，加 TEE的成本增加 较低，SE的成本则  。

TEE所能访问的软硬件资源是与Rich OS分离的。TEE提供 授

权安全软件(TrustApp可信应 ，简称TA)的安全执 环境，同时

也保护TA的资源和数据的保密性、完整性和访问权限。为 保

证TEE本身的可信根，TEE在安全启动过程中是要通过验证并且

与Rich OS隔离的。在TEE中，每个TA是相互独 的， 且 能

在未授权的情况下互相访问。简  之就是在TEE环境的操作系

统上同样有相应的应 程序(TA)，除 TEE的运 环境与普通操

作系统相互独 外，TEE 的每 个TA也是需要授权并相互独

运 的。

基于TEE环境的操作系统由 同的企业在推 ， 如华为

思有  的TrustZone的操作系统， 通的QSEE、ARM的

Trustonic、还有Linaro开源的OPTEE等。

TEE最早出于OMTP规范，ARM是TEE技术的主导者之 ，

其TrustZone即是 持TEE技术的产品。

2006 ，OMTP (Open Mobile Terminal Platform，开放

移动终端平台) 作组智能终端的安全率先提出  种双系统解

决 案:即在同 个智能终端下，除 多媒体操作系统外再提供

个隔离的安全操作系统，这 运 在隔离的硬件之上的隔离安

全操作系统 来专 处  感信息以保证信息的安全。该 案即

TEE的前身。

基于OMTP的 案，ARM公司(嵌 式处  的全球最 

案供应商，它们架构的处  约占 机市场95%以上的份额)于

2006 提出  种硬件虚拟化技术TrustZone及其相关硬件实现

案。TrustZone即是 持TEE技术的产品，TrustZone是所有

Cortex-A类处  的基本功能，是通过ARM架构安全扩展引

的， ARM也成为 TEE技术的主导者之 。

ARM后将其TrustZoneAPI提供给GlobalPlatform，该API已

发展为TEE客户端API。GlobalPlatform(全球最主要的智能卡多

应 管 规范的组织，简称为GP)是Visa、MasterCard等国际银

卡组织主导的国际标准化组织，从2011 起开始起草制定相关

的TEE规范标准，并联合 些公司(ARM等)共同开发基于GP

TEE标准的可信操作系统。因此，如今 多数基于TEE技术的

Trust OS都遵循 GP的标准规范。

移动设备使 TrustZone的最主要的原因之 是它可以提

供”可信执 环境(TEE)”。2003 ，ARM公司提出TrustZone。

ARM TrustZone技术:(1)、ARMv6版本开始的安全硬件特

性，包括ARM11及Cortex A系 ， 前 部分 机芯 均有该硬

件特性。(2)、同时运  个安全的OS和 个普通的OS:两个系

统之间互相隔离运 ，安全的OS具有 多的权限。(3)、

TrustZone是 个全系统级别的安全架构:处  、内存和外设

的安全隔离。

机内部分为硬件、操作系统、应 软件三层。安全技术

和解决 案的演进顺序依次为应 软件层安全技术、操作系统层

安全技术和硬件层安全技术。从抗攻击的 度来讲，越是基于底

层的安全防护越是抗攻击。 前很多 机 商推出的指纹，都是

基于硬件的安全 案来进 保护的，通过 个硬件隔离区来保护

指纹数据和 感操作，这种硬件隔离技术就是TEE技术。TEE是

存在于智能 机(或任何移动设备)主处  内的安全区，确保

感数据在可信的环境 得到存储、处 和保护。TEE有能 对经

授权的安全软件(所谓的”可信应 程序”)进 安全的执 ，因此

可通过实施保护、保密性、完整性和数据访问权限，提供端到端

的安全性。 前在国内市场苹果、华为、三星等 机共同选择

TEE技术。

前，ARM在芯 IP设计中已全  持 TEE，包括

通、联发科、三星、 思、展讯等企业已采 ，成为基于硬件安

全的 案。

可信终端具有以下三个基本的安全功能:

(1)、基于硬件隔离的安全执 环境:TEE提供 基于硬件

隔离的安全世界来保护 感数据的安全和程序正确执 。实现

TEE需要将设备的硬件和软件资源全部划分成安全世界和 安全

世界，两个世界具有独 的系统资源，包括寄存 、物 内存和

外设， 能随意进 数据交换。安全世界中的代码和资源受到严

格的访问控制策 保护， 安全世界的进程禁 访问安全世界，

以保证存储在安全世界的 感资源 被 法访问或窃取，能够有

效减少安全系统  的披 、外界的攻击和病毒的 侵。

(2)、基于信任链的平台完整性:为 保证整个系统的安

全，TEE从系统引导启动开始逐步验证以保证TEE平台的完整

性。设备加电后，加载ROM中的安全引导程序，并  根密钥

验证其完整性。然后，该引导程序进 TEE 初始化阶段并启动

安全操作系统，逐级核查安全操作系统启动过程中的各个阶段的

关键代码以保证安全操作系统的完整性，同时防 未授权或经过

恶意篡改软件的运 ;安全操作系统启动后，运  安全世界的

引导程序并启动普通操作系统。 此基于信任链，完成 移动终

端整个系统的安全启动，能够有效抵御TEE启动过程中的 法篡

改、代码执 等恶意 为。

(3)、基于安全存储的数据机密性: 户的身份、密钥和证

书等 感信息需要 度保护，TEE依靠加密和完整性保护技术来

保护数据和密钥。TEE将 户的身份、密钥和证书等 感信息存

储在安全区域中，这些 感信息只能由TEE授权的可信应 访问

或修改，并且TEE为这些 感信息的操作处 提供 加密和完整

性保护机制。同时，可  TEE中存储的密钥对普通执 环境下

户的信息，如通讯录、短信等 感信息进 加密，保证存储在

普通执 环境下 感信息的安全性

------------------------------------------------------------------------------------------

本文对当前流行的移动终端TEE技术做简要概述，并对一些细节展开讨论。

1. 当前移动安全背景

当前移动终端面临这严重的安全威胁，威胁点如下图所示：

因此移动厂商、用户、服务提供商等各方都对移动安全提出了强烈的需求。

2. REE介绍（Rich Execution Environment）

REE简介

所有移动设备都支持REE

运行通用OS：Android、iOS、Linux

为上层App提供设备的所有功能

开放的、可扩展的且通用的

在互联互通的网络世界中运转

REE存在安全隐患

基于OS实现的App隔离极易被绕过；

OS代码庞大，漏洞频发；

OS很难被检验和认证；

OS可以看到App内部的所有数据；

大量的恶意代码和高级的攻击技术；

缺乏隔离意味着App无法安全存储密钥；

需要一个隔离环境操作密钥和敏感数据.

虚拟化技术实现的隔离

多个OS执行在虚拟的处理器上

基于软件的隔离，缺乏硬件安全性

Hypervisor可以访问所有OS的数据：进而可以访问所有App的数据

Hypervisor存在bugs

Malware通过控制hypervisor 窃取各种密钥

运行性能损耗大

SE实现的安全平台

SE具备极强的安全等级

SE向外提供的接口和功能极其有限：缓慢的串口连接、性能极低的CPU、无法处理大量数据、无UI能力

SE主要关注于保护内部密钥

TEE+SE的方案更加有强大：强于单独使用某一技术

3.TEE（Trusted Execution Environment）的提出

GlobalPlatform TEE 架构

TEE具备的特性

受硬件机制保护：TEE隔离于REE、只能通过特定的入口与TEE通信、并不规定某一种硬件实现方法

高性能：TEE运行时使用CPU的全部性能（独占）

快速通信机制：TEE可以访问REE的内存、REE无法访问受硬件保护的TEE内存

TEE中可以同时运行多个Trusted Application（TA）

由GlobalPlatform（GP）标准化：可在多种平台上移植

TEE中的所有组件模块先定义安全，再考虑性能

TEE中的可执行代码在执行前先要被验证（validate）

对于密钥使用安全存储机制：认证性、完整性和机密性

GP定义了TEE的保护轮廓（Protection Profile）：定义了所需的硬件保护强度

TA间相互隔离

TEE的安全设计

基本目标：1.保护敏感数据免受REE和其他环境的恶意行为2.必须使用硬件机制进行保护，且该机制仅能受控于TEE

保护强度：1.对于密码学算法，当前采用128bit的安全强度

可抵御某些基于硬件的攻击：1.抵御能力不如SE2.SoC内部无安全防护措施

TEE必须被安全启动：1.使用片上（on-chip）资源实现完全的安全启动流程2.在控制权转移过程中完成完整性的传递

TEE提供可信存储：1.保护数据的认证性、机密性和完整性2.安全防护能力等同于TEE

3.可以被存储于非安全区域

4.必须提供某种回滚保护机制

TEE软件架构

TEE Internal APIs

 TEE Internal Core API：向上提供TrustedOS的功能、与CA通信、TA与TA通信、安全存储、密码学功能、时间

其他APIs：构建于Internal Core API之上，共享错误处理和API定义规则

私有APIs：GP未定义，无法通用，允许产品的特定差异化

启动流程

GP标准：启动流程只在系统启动时执行一次、要求启动流程至少建立一个信任根（RoT）、需要一些机制和方法去实现

一般情况下启动基于ROM代码：允许其他实现、依次验证加载的代码

一般情况下TEE首先启动：阻止REE接口生效

系统可以实现一个启动时的TEE（完全TEE的子集）

启动流程1：Trusted OS首先启动，如下图：

启动流程2：Trusted OS按需启动，如下图：

4.TEE实现：ARM TrustZone

TrustZone

为TA提供系统硬件隔离

嵌入式安全解决方案

ARM Cortex-A系列处理器及Cortex-M微处理器

创建了一个隔离的Secure World

REE与TEE通过SMC实现切换

应用场景包括：认证，支付，内容保护

目前实现和应用TEE的主要方式

TEE系统架构

一、介绍

二、TEE设备系统架构

1、传统芯片集架构

2、硬件架构

①可信数据只能被可信程序访问

②用REE不能控制的硬件机制实现

③TEE必须用安全引导来实例化，并且同REE隔离开

④REE中的软件不能直接调用那个TEE Function或者 Trusted Core Framework

2.1 TEE源文件

① Primary TEE resources – In-package resource：受到物理保护

② Secondary TEE resources – Off-package resource：外部非易失性和可信易失性存储需要用加密保护，只有TEE可以解密。

③ Tertiary TEE resources – exposed or partially exposed resources：保证复制的时候不被REE software攻击，提供一个空间给可信的银幕框架（与REE隔离），使用密码。

2.2 REE和TEE资源共享

①REE只能通过一些API访问TEE（TEE Client API），但这并不能阻止REE传递buffer给TEE，反过来也是。

三、TEE软件接口

1、TEE软件架构  

     REE到TEE的接口：TEE Functional API 、TEE Client API

     TEE OS组成：可信核心框架、Tursted Functions（TEE communication Agent是一个Trusted Core Framework function API的特例，和 REE Communication Agent交换信息）

     可信应用：通过Trusted API访问系统的其他东西，所有的 Trusted Application instances内存都是独立的

     内存共享：通过API

2、 TEE Client API Architecture（和Trusted Application通信）

     更高的协议层次比如可信存储、加密等

· The Client Applications, which make use of the TEE Client API.

· The TEE Client API library implementation.

· The REE Communication Agent,

3、 TEE Internal API Architecture（更好的使用TEE的能力）

     更高的协议层次比如可信数据管理，金融服务、数字版权管理

· The Trusted Applications, which make use of the TEE Internal API.

· The TEE Internal API library implementation.

· The Trusted OS Components

包括以下的一些API：

四、可用的TEE API

TEE和它的能力与REE以及设备的状态紧密相关，所以REE和Rich OS显得非常重要。

1、设备状态

2、引导环境：需要一个初始的TEE环境来保证安全性

     引导队列：

3、实时环境

Rich OS和Trusted OS是相互独立的；

TEE functionality是可用的，只要 REE Client Applications可用。