# Qualcomm TEE

Qualcomm TEE 是在 Qualcomm 设备上的 Arm TrustZone 环境中运行的软件。

TrustZone 是一种基于硬件的安全架构，通过 Arm 处理器的安全模式实现。它建立了两个执行环境，具有系统范围的硬件强制隔离。有关详细信息，请参见 [https://developer.arm.com/documentation/102418/0101/What-is-TrustZone](https://developer.arm.com/documentation/102418/0101/What-is-TrustZone)-。

Qualcomm 提供具有硬件虚拟化的 64 位 Arm 8.x 处理器系统来运行 TrustZone。

在 TrustZone 架构中，有两种安全状态：

- 安全
- 非安全

在 EL0、EL1 和 EL2 [异常等级](https://developer.arm.com/documentation/102412/0103/Privilege-and-Exception-levels/Exception-levels)，处理器可以处于安全状态或非安全状态，而 EL3 始终处于安全状态。

操作系统在非安全的 EL1 中运行。安全监视器模式促进了从非安全模式到安全模式的过渡。

Qualcomm TEE 提供以下功能：

- 从受硬件保护的内存进行操作
- 支持加密引擎、PRNG、内联加密引擎和外部保护单元 (xPU) 等安全块的电源深度休眠模式。
- 支持安全外设镜像加载程序 (PIL)
- 支持子系统重启
- 提供内容保护
- 支持运行受信任的应用程序
- 支持熔丝管理

## 受信程序

受信程序（TA ）在安全的环境中为不安全的 Linux 客户端提供服务。Qualcomm TEE 向 TA 提供以下服务：

- 支持可信应用程序在 EL0 的安全环境中运行
- 可信应用程序的沙盒环境
- 与位置无关的可信应用程序加载
- 不同可信应用程序之间的消息传递

TA 从受硬件保护的内存运行。然而，需要额外内存的应用程序可以使用双倍数据速率（DDR）内存来加载和运行。默认情况下，程序设置为从受硬件保护的内存运行。

Last Published: Apr 27, 2025

[Previous Topic
SELinux](https://docs.qualcomm.com/bundle/publicresource/80-70017-11SC/topics/selinux.md) [Next Topic
Qualcomm Hypervisor](https://docs.qualcomm.com/bundle/publicresource/80-70017-11SC/topics/hypervisor.md)