GP_TEE安全存储解析：RPMB与SFS

GP_TEE中的存储方式主要包括RPMB（Replay Protected Memory Block）、SFS（Secure File System）和SQLFS（Secure SQL File System）。这些存储方式都是为了实现安全存储，保护机密数据免受未授权访问和攻击。 RPMB是一种高度安全的存储机制，主要用于存放敏感数据。其核心特性是通过WriteCounter寄存器进行防重放攻击，每次写入数据时都会验证这个寄存器的值。如果黑客尝试重放已写入的数据，由于WriteCounter已更新，重放操作将失败。RPMB的密钥管理涉及TEEOS提供的库接口，以及在系统启动过程中通过安全SRAM和安全DRAM传递。由于RPMB对非安全世界不可见，它适用于安全性要求极高但容量较小的场景。 SFS（Secure File System）则是另一种安全存储方式，但相比RPMB，它对非安全世界可见。SFS的一个特点是，它会在Linux/Android系统中创建多个文件，包括数据块文件和元数据文件。尽管SFS不能有效防止回滚攻击，但它可以通过在SFS和RPMB中记录读写次数来检测潜在的回滚行为。SFS适用于安全性要求较低，但需要较大存储容量的情况。 SQLFS是基于SQLite数据库的存储机制，它允许在Android系统中进行安全的数据库操作。与SFS类似，SQLFS也是非安全世界可见的，但SQLite提供了原子性操作和容错机制，保证了数据的完整性和可靠性。SQLFS适合那些安全性要求相对较低，且需要大量数据存储的应用场景。 GPTEE（GlobalPlatform Trusted Execution Environment）定义了每个可信应用（TA）都有自己的私有可信存储空间，这些空间由32位的存储标识符唯一标识。每个持久对象，如加密密钥或数据，都有一个从0到64字节的变长二进制缓冲区作为对象标识符。这些标识符可以包含任何字节，包括非打印字符。未来版本的规范可能会定义更多的存储标识符，例如共享存储空间或用于启动实体和运行时TA之间通信的空间。 GP_TEE提供了多样化的安全存储解决方案，以满足不同安全级别和容量需求的场景。通过RPMB、SFS和SQLFS，TEEOS能够确保数据的安全存储，同时提供灵活的访问控制和数据管理机制。