【HarmonyOS 5】鸿蒙 TEE(可信执行环境)详解
一、TEE 是什么?
1、TEE 的定义:可信执行环境(Trusted Execution Environment),简称 TEE,是存在于智能手机、平板或任意移动设备主处理器中的一个安全区域,确保各种敏感数据在一个可信环境中被存储、处理和受到保护。
2、TEE 的作用简单来说,TEE 构建一个隔离的安全执行环境。该环境具备独立的计算和存储能力,能确保在其中运行的程序和数据受到严格保护,即使主系统被 GJ 或篡改,TEE 内的内容也能保持安全。
TEE 为授权安全软件,也称为“可信应用”提供一个安全的执行环境,通过实施保护、保密性、完整性和数据访问权限确保端到端的安全。
3、TEE 的能力归属:TEE 在鸿蒙系统中以 Kit 的形式,提供给 App 使用。在 Device Security Kit 中包括应用设备状态检测、安全检测、可信应用服务、业务风险检测能力。
4、硬件级安全保障
依赖芯片级的安全能力(如 ARM 的 TrustZone、Intel 的 SGX 等技术),通过硬件隔离机制确保 TEE 的安全性,降低软件层面被 GJ 的风险。5、 与鸿蒙系统深度集成
适配鸿蒙的微内核架构和分布式特性,可在多设备(如手机、智能手表、智能家居设备)之间实现安全能力的协同,例如在分布式场景下统一管理用户身份和数据安全。6、动态信任链机制
从系统启动阶段就建立可信根,通过信任链传递确保 TEE 环境的完整性,防止启动过程中被恶意篡改。
7、 移动支付与金融安全
在进行扫码支付、银行卡信息输入等操作时,鸿蒙 TEE 可保护支付密钥和交易数据,防止被恶意软件窃取,类似传统手机中 TEE 用于保护银联闪付等功能。8、生物特征识别
存储和处理指纹、人脸等生物特征数据,确保解锁、支付等场景中生物信息的安全,例如手机解锁时,生物特征的比对过程在 TEE 中完成。9、 数字版权管理(DRM)
保护视频、音乐等数字内容的版权,确保只有授权设备和用户才能播放加密的媒体文件,防止盗版内容传播。10、 企业级安全应用
为企业提供安全的身份认证、数据加密传输等功能,例如在鸿蒙平板或笔记本中,TEE 可保护企业机密文件和远程办公的安全连接。
二、如何使用 TEE?
目前提供可信应用服务,例如:安全摄像头场景,安全地址位置场景,安全图像压缩和裁剪场景。
【从 API12 开始,开发者需要开通可信应用服务才可以正常使用接口,否则调用接口会抛出异常,已上架的应用需要开通服务后重新上架。】
1、首先我们需要给 App 开通可信应用服务:默认在 AGC 平台是没有该设置入门。需要 App 通过白名单审核,审核通过后方可开通可信应用服务。说明。开通“可信应用服务”需要先申请进入允许清单,请将 Developer ID、公司名称、应用名称、申请使用的服务和使用该服务的场景,发送到 agconnect@huawei.com。AGC 运营将审核相关材料,通过后将为您配置受限开放服务使用的名单,审核周期为 1-3 个工作日,请耐心等待。
可信应用服务:点击“可信应用服务”右侧的按钮,接入“可信应用服务”:
2、可信服务调用流程:我们以为安全相机为例讲解:
import { camera } from '@kit.CameraKit';import { image } from '@kit.ImageKit';
@Entry@Componentstruct SecureCameraDemo { private cameraManager: camera.CameraManager = camera.getCameraManager(); private secureCamera: camera.CameraDevice | null = null; private cameraInput: camera.CameraInput | null = null; private previewOutput: camera.PreviewOutput | null = null; private secureOutput: camera.PreviewOutput | null = null; private secureSession: camera.SecureSession | null = null; private imageReceiver: image.ImageReceiver | null = null; private previewProfile: camera.Profile | null = null; private secureCameraSerialNumber: bigint | null = null; private previewSurfaceId: string = '';
aboutToAppear() { this.initSecureCamera(); }
aboutToDisappear() { this.releaseResources(); }
// 初始化安全相机 async initSecureCamera() { try { // 选择支持安全相机的设备 await this.selectSecureCameraDevice(); if (!this.secureCamera) { console.error('未找到支持安全相机的设备'); return; }
// 查询相机设备在安全模式下支持的输出能力 await this.getSecureCameraOutputCapability(); if (!this.previewProfile) { console.error('未获取到支持的预览配置'); return; }
// 创建设备输入输出 await this.createInputAndOutputs();
// 打开安全设备 await this.openSecureCamera();
// 创建安全相机会话,配流启流 await this.openSecureSession();
// 注册安全数据流回调 this.registerSecureDataCallback(); } catch (error) { console.error(`初始化安全相机失败: ${JSON.stringify(error)}`); } }
// 选择支持安全相机的设备 async selectSecureCameraDevice() { const cameraArray = await this.cameraManager.getSupportedCameras(); for (const cameraDevice of cameraArray) { if (await this.isSecureCamera(cameraDevice)) { this.secureCamera = cameraDevice; console.info('找到支持安全相机的设备'); break; } } }
// 判断设备是否支持安全相机 async isSecureCamera(cameraDevice: camera.CameraDevice): Promise<boolean> { const sceneModes = await this.cameraManager.getSupportedSceneModes(cameraDevice); const secureMode = sceneModes.find(mode => mode === camera.SceneMode.SECURE_PHOTO); return secureMode !== undefined; }
// 查询相机设备在安全模式下支持的输出能力 async getSecureCameraOutputCapability() { if (!this.secureCamera) return; const outputCap = await this.cameraManager.getSupportedOutputCapability( this.secureCamera, camera.SceneMode.SECURE_PHOTO ); // 选择推荐的预览分辨率 640*480 this.previewProfile = outputCap.previewProfiles.find( profile => profile.size.width === 640 && profile.size.height === 480 ); // 如果没有找到 640*480 的分辨率,选择第一个可用的 if (!this.previewProfile && outputCap.previewProfiles.length > 0) { this.previewProfile = outputCap.previewProfiles[0]; } }
// 创建设备输入输出 async createInputAndOutputs() { if (!this.secureCamera || !this.previewProfile) return; // 创建输入流 this.cameraInput = await this.cameraManager.createCameraInput(this.secureCamera); // 创建普通预览输出流 this.previewSurfaceId = this.createPreviewSurface(); this.previewOutput = await this.cameraManager.createPreviewOutput( this.previewProfile, this.previewSurfaceId ); // 创建安全数据输出流 this.imageReceiver = image.createImageReceiver( { width: this.previewProfile.size.width, height: this.previewProfile.size.height }, image.ImageFormat.JPEG, 8 ); const secureSurfaceId = await this.imageReceiver.getReceivingSurfaceId(); this.secureOutput = await this.cameraManager.createPreviewOutput( this.previewProfile, secureSurfaceId ); }
// 创建预览Surface createPreviewSurface(): string { // 这里需要实现创建预览Surface的逻辑 // 实际开发中可能需要使用鸿蒙的UI组件来创建预览Surface return 'previewSurfaceId'; }
// 打开安全设备 async openSecureCamera() { if (!this.cameraInput) return; // 打开安全相机并获取序列号 this.secureCameraSerialNumber = await this.cameraInput.open(true); console.info(`安全相机已打开,序列号: ${this.secureCameraSerialNumber}`); // 使用序列号创建证明密钥和初始化证明会话 // 注意:这部分需要调用DeviceSecurity Kit的API,此处仅为示例 this.initializeAttestationSession(this.secureCameraSerialNumber); }
// 初始化证明会话(调用DeviceSecurity Kit) initializeAttestationSession(serialNumber: bigint) { // 实际开发中需要调用DeviceSecurity Kit的API // 以下为示例代码,需要根据实际API进行调整 console.info(`使用安全相机序列号 ${serialNumber} 初始化证明会话`); // const deviceSecurityKit = ...; // 获取DeviceSecurity Kit实例 // deviceSecurityKit.createAttestationKey(serialNumber); // deviceSecurityKit.initializeAttestationSession(...); }
// 创建安全相机会话,配流启流 async openSecureSession() { if (!this.cameraManager || !this.cameraInput || !this.previewOutput || !this.secureOutput) return; try { this.secureSession = await this.cameraManager.createSession(camera.SceneMode.SECURE_PHOTO); if (!this.secureSession) { console.error('创建安全会话失败'); return; } await this.secureSession.beginConfig(); await this.secureSession.addInput(this.cameraInput); await this.secureSession.addOutput(this.previewOutput); await this.secureSession.addOutput(this.secureOutput); await this.secureSession.addSecureOutput(this.secureOutput); // 标记为安全输出 await this.secureSession.commitConfig(); await this.secureSession.start(); console.info('安全会话已启动'); } catch (error) { console.error(`打开安全会话失败: ${JSON.stringify(error)}`); } }
// 注册安全数据流回调 registerSecureDataCallback() { if (!this.imageReceiver) return; this.imageReceiver.on('imageArrival', async () => { try { const img = await this.imageReceiver!.readNextImage(); const component = await img.getComponent(image.ComponentType.JPEG); const buffer = component.byteBuffer; // 将安全数据发送到服务器进行验证 this.sendSecureDataToServer(buffer); // 处理完后释放图像资源 img.release(); } catch (error) { console.error(`处理安全数据失败: ${JSON.stringify(error)}`); } }); }
// 将安全数据发送到服务器进行验证 sendSecureDataToServer(buffer: ArrayBuffer) { // 实际开发中需要实现将安全数据发送到服务器的逻辑 console.info(`发送安全数据到服务器,数据大小: ${buffer.byteLength} 字节`); // 示例:使用fetch API发送数据 /* fetch('https://your-server.com/verify-secure-data', { method: 'POST', body: buffer, headers: { 'Content-Type': 'application/octet-stream', 'Secure-Camera-Serial': this.secureCameraSerialNumber?.toString() || '' } }) .then(response => response.json()) .then(result => { console.info('服务器验证结果:', result); }) .catch(error => { console.error('发送安全数据失败:', error); }); */ }
// 释放资源 async releaseResources() { try { // 停止会话 if (this.secureSession) { await this.secureSession.stop(); await this.secureSession.release(); this.secureSession = null; } // 释放输出 if (this.previewOutput) { await this.previewOutput.release(); this.previewOutput = null; } if (this.secureOutput) { await this.secureOutput.release(); this.secureOutput = null; } // 释放输入 if (this.cameraInput) { await this.cameraInput.release(); this.cameraInput = null; } // 释放图像接收器 if (this.imageReceiver) { this.imageReceiver.release(); this.imageReceiver = null; } console.info('安全相机资源已释放'); } catch (error) { console.error(`释放资源失败: ${JSON.stringify(error)}`); } }
build() { Column() { Text('安全相机演示') .fontSize(20) .fontWeight(FontWeight.Bold) .margin({ top: 20, bottom: 20 }) // 这里可以添加预览界面组件 // 实际开发中需要根据鸿蒙的UI组件来实现预览显示 Text('安全相机预览区域') .width('100%') .height(300) .backgroundColor('#CCCCCC') .textAlign(TextAlign.Center) .margin({ bottom: 20 }) Button('释放相机') .onClick(() => { this.releaseResources(); }) } .width('100%') .height('100%') .padding(15) }}
复制代码
三、环境隔离的使用方法
综上所述,基于 TEE 的环境。我们将敏感信息加密后,放在 TEE 环境中,就可以做到最高的安全保护。对用户的敏感数据(如生物特征信息、支付密码、加密密钥等)进行加密存储和处理,防止数据被未授权的程序或进程访问。
1. 使用 DeviceSecurity Kit 访问 TEE
HarmonyOS 提供了DeviceSecurity Kit来访问 TEE 功能,包括创建安全密钥、执行安全操作和存储敏感数据。主要步骤如下:
步骤 1:导入依赖
import { deviceSecurity } from '@ohos.security.deviceSecurity';
复制代码
步骤 2:获取 TEE 会话
async function getTEESession() { try { // 获取TEE服务实例 const teeService = await deviceSecurity.getTrustedExecutionEnvironmentService(); // 创建安全会话(根据实际需求选择合适的安全级别) const session = await teeService.createSession({ authType: deviceSecurity.AuthType.ALL, // 认证类型 authLevel: deviceSecurity.AuthLevel.SYSTEM, // 认证级别 userId: 0 // 用户ID }); return session; } catch (error) { console.error(`获取TEE会话失败: ${JSON.stringify(error)}`); return null; }}
复制代码
2. 在 TEE 中缓存数据
在 TEE 环境中缓存数据有两种主要方式:安全存储和安全内存。
方式 1:安全存储(持久化缓存)
使用TrustedStorage接口将数据加密存储在 TEE 中:
async function cacheDataSecurely(session: deviceSecurity.TrustedExecutionEnvironmentSession, key: string, data: string) { try { // 将数据转换为ArrayBuffer const dataBuffer = new TextEncoder().encode(data); // 创建安全存储对象 const trustedStorage = await session.getTrustedStorage(); // 存储数据(自动加密) await trustedStorage.save(key, dataBuffer); console.info(`数据已安全存储,键: ${key}`); } catch (error) { console.error(`安全存储失败: ${JSON.stringify(error)}`); }}
复制代码
方式 2:安全内存(临时缓存)
使用TrustedMemory接口在 TEE 的安全内存中临时缓存数据:
async function cacheDataInSecureMemory(session: deviceSecurity.TrustedExecutionEnvironmentSession, data: string) { try { // 将数据转换为ArrayBuffer const dataBuffer = new TextEncoder().encode(data); // 创建安全内存区域 const trustedMemory = await session.allocateTrustedMemory(dataBuffer.byteLength); // 写入数据到安全内存 await trustedMemory.write(dataBuffer); console.info('数据已缓存到安全内存'); return trustedMemory; } catch (error) { console.error(`安全内存缓存失败: ${JSON.stringify(error)}`); return null; }}
复制代码
3. 从 TEE 中读取缓存数据
根据存储方式的不同,读取数据的方法也不同:
读取安全存储数据
async function readSecurelyStoredData(session: deviceSecurity.TrustedExecutionEnvironmentSession, key: string) { try { const trustedStorage = await session.getTrustedStorage(); const dataBuffer = await trustedStorage.read(key); // 将ArrayBuffer转换为字符串 const data = new TextDecoder().decode(dataBuffer); return data; } catch (error) { console.error(`读取安全存储数据失败: ${JSON.stringify(error)}`); return null; }}
复制代码
读取安全内存数据
async function readDataFromSecureMemory(trustedMemory: deviceSecurity.TrustedMemory) { try { const dataBuffer = await trustedMemory.read(); const data = new TextDecoder().decode(dataBuffer); return data; } catch (error) { console.error(`读取安全内存数据失败: ${JSON.stringify(error)}`); return null; }}
复制代码
4. 释放资源
使用完毕后,需要释放 TEE 资源以确保安全性:
async function releaseTEEResources(session: deviceSecurity.TrustedExecutionEnvironmentSession, trustedMemory?: deviceSecurity.TrustedMemory) { try { // 释放安全内存(如果有) if (trustedMemory) { await trustedMemory.release(); } // 关闭会话 await session.close(); console.info('TEE资源已释放'); } catch (error) { console.error(`释放TEE资源失败: ${JSON.stringify(error)}`); }}
复制代码
完整示例
下面是一个完整的示例,演示如何在 TEE 中缓存和读取数据:
import { deviceSecurity } from '@ohos.security.deviceSecurity';
async function demoTEECaching() { // 1. 获取TEE会话 const session = await getTEESession(); if (!session) return; try { // 2. 缓存数据到安全存储 await cacheDataSecurely(session, 'sensitiveKey', '这是敏感数据'); // 3. 从安全存储读取数据 const storedData = await readSecurelyStoredData(session, 'sensitiveKey'); console.info(`从安全存储读取的数据: ${storedData}`); // 4. 缓存数据到安全内存 const secureMemory = await cacheDataInSecureMemory(session, '临时敏感数据'); // 5. 从安全内存读取数据 if (secureMemory) { const memoryData = await readDataFromSecureMemory(secureMemory); console.info(`从安全内存读取的数据: ${memoryData}`); } } catch (error) { console.error(`TEE数据缓存演示失败: ${JSON.stringify(error)}`); } finally { // 6. 释放资源 await releaseTEEResources(session); }}
复制代码
注意事项
权限要求:使用 TEE 功能需要在config.json中声明相应权限:
{ "requestPermissions": [ { "name": "ohos.permission.USE_TRUSTED_ENVIRONMENT", "reason": "需要访问TEE环境" } ] }
复制代码
数据大小限制:TEE 的安全内存通常有限,不要存储过大的数据。
生命周期管理:确保在不需要时及时释放 TEE 资源,避免内存泄漏。
错误处理:TEE 操作可能因硬件限制或安全策略失败,需要完善的错误处理。
兼容性:不同设备的 TEE 实现可能存在差异,建议进行充分测试。
评论