vTZ - TrustZone 和 TEE 虚拟化

vTZ: TrustZone 和 TEE Virtualization

对于虚拟机允许TEE的多路复用。结合硬件虚拟化和TrustZone来支持多个相互隔离的安全空间,并允许无缝地从TEE 部署到虚拟化环境。

不同的用户对 TEE 有不同的需求。 TEE 虚拟化可以允许一个设备同时运行多个 TEE。但是, TrustZone 设计时并没有考虑虚拟化因为 TrustZone 只提供了一个 TEE, 这使得其无法被多个虚拟机共享。另外,只要一个 TEE 有缺陷,所有其它 TEE 都会暴露给攻击者。

vTZ 提供了 TrustZone 的透明虚拟化,并维护了不同虚拟化 TrustZone 实例的强隔离性。和现有的只是给 trustlet 提供执行环境不同,vTZ 利用了 ARM 的虚拟化扩展,来陷入和模拟真实 TrustZone 的所有功能,允许客户虚拟机部署更多的复杂系统在它的虚拟的私有安全世界。 vTZ 同时提供了不同虚拟机安全世界的隔离来确保每个客户虚拟机只能访问到它自身的资源。