# Qualcomm TEE

Source: [https://docs.qualcomm.com/doc/80-70015-11SC/topic/qualcomm-trusted-execution-environment.html](https://docs.qualcomm.com/doc/80-70015-11SC/topic/qualcomm-trusted-execution-environment.html)

Qualcomm TEE 软件在 Qualcomm 设备上的 Arm TrustZone 环境中运行。

TrustZone 是基于硬件的安全架构，通过 Arm 处理器的安全模式实现。它建立了两个执行环境，具有系统范围的硬件强制隔离。更多信息，参见[https://developer.arm.com/documentation/102418/0101/What-is-TrustZone-](https://developer.arm.com/documentation/102418/0101/What-is-TrustZone-)。

Qualcomm 提供具有硬件虚拟化的 64 位 Arm 8.x 处理器系统来运行 TrustZone。

在 TrustZone 架构中，有两种安全状态：
- 安全
- 非安全

在 EL0、EL1 和 EL2 [异常等级](https://developer.arm.com/documentation/102412/0103/Privilege-and-Exception-levels/Exception-levels)，处理器可以处于安全状态或非安全状态，而 EL3 始终处于安全状态。

操作系统在非安全 EL1 中运行。安全监视器模式促进了从非安全模式到安全模式的切换。

Qualcomm TEE 提供以下功能：

- 从受硬件保护的内存进行操作
- 支持加密引擎、PRNG、内联加密引擎和外部保护单元 (xPU) 等安全块的电源深度休眠模式。
- 支持安全外设镜像加载程序 (PIL)
- 支持子系统重启
- 提供内容保护
- 支持运行受信任的应用程序
- 支持熔丝管理

## 受信任应用程序

受信任应用程序 (TA) 在安全环境中为不安全的 Linux 客户端提供服务。QualcommTEE 为 TA 扩展以下服务：

- 支持受信任应用程序在 EL0 安全环境中运行
- 受信任应用程序的沙盒环境
- 与位置无关的受信任应用程序加载
- 在不同的受信任应用程序之间传递消息

TA 通过受硬件保护的内存运行。但是，需要额外内存的应用程序可以使用双倍数据速率 (DDR) 内存进行加载和运行。默认情况下，程序设置为从受硬件保护的内存运行。

**Parent Topic:** [功能](https://docs.qualcomm.com/doc/80-70015-11SC/topic/features.html)

Last Published: Dec 03, 2024

[Previous Topic
SELinux](https://docs.qualcomm.com/bundle/publicresource/80-70015-11SC/topics/selinux.md) [Next Topic
Qualcomm Hypervisor](https://docs.qualcomm.com/bundle/publicresource/80-70015-11SC/topics/hypervisor.md)