高通HLOS与TrustZone通信的框架演进(5): QSEECOM vs SMCInvoke深度对比
上一篇:我们已经从架构层面理解了 SMCInvoke 的设计。本篇将进行最终的横向对比,从编程模型、安全属性、性能特征到迁移路径,全面比较两代框架,并提供具体的代码示例和兼容层使用指南。
1. SMCInvoke vs QSEECOM:深层对比
1.1 通信模型全方位对比
| 维度 | QSEECOM | SMCInvoke |
|---|---|---|
| 寻址方式 | TA 名称字符串(如 "gatekeeper64") |
Object 引用(Capability) |
| 服务发现 | 硬编码 TA 名称 | IClientEnv.open() → IAppLoader 标准化发现 |
| 身份传递 | 无 | IClientEnv 携带内核验证的凭证 |
| 反向通信 | Listener(独立线程阻塞) | Callback Object(轻量级回调) |
| 大块数据传输 | Send Modified Command + ION fd |
Memory Object(IMemRegion) |
| 接口约束 | 无,自定义结构体 | MINK IDL,自动生成 stub/skeleton |
| TA 间通信 | qsee_encapsulate/decapsulate_inter_app_message |
原生 Object IPC(qsee_open()) |
| 权限粒度 | TA 级别(全有或全无) | Object / Method 级别 |
| 错误处理 | 简单返回码(int) |
丰富的 Object_ERROR_* 类型体系 |
| 引用管理 | 无,手动管理 handle 生命周期 | 引用计数(Object_retain / Object_release) |
| Hypervisor 支持 | 无,直接 SMC | Hyp Invoke Router 在 EL2 审查与翻译 |
1.2 安全模型对比
graph TB
subgraph "QSEECOM 安全模型"
Q1["任何拥有 /dev/qseecom<br/>访问权限的进程"]
Q2["共享内存<br/>(HLOS 可读写)"]
Q3["TA 无调用者身份"]
Q1 --> Q2 --> Q3
end
subgraph "SMCInvoke 安全模型"
S1["IClientEnv 携带<br/>调用者凭证"]
S2["Object Capability<br/>(不可伪造引用)"]
S3["Hypervisor 验证<br/>(参数审查)"]
S4["MINK IDL 类型<br/>(自动验证)"]
S1 --> S2 --> S3 --> S4
end
QSEECOM 与 SMCInvoke 安全模型对比,参考 [1] 80-PK177-40 §Hardware Key Manager、[4] 80-NH537-4 §3.6
QSEECOM 安全模型:
- 任何拥有
/dev/qseecom访问权限的进程均可与任意 TA 通信 - 共享内存数据对 HLOS 完全可见,TA 必须自行加密或做完整性保护
- TA 无法获知调用者身份,只能盲目信任请求内容
- 无 Capability 系统,一旦 TA 被加载,任何 Client 都能调用
SMCInvoke 安全模型:
IClientEnv携带调用者的完整凭证(UID、GID、selinux context 等)- Object 引用是不可伪造的 Capability,未持有引用则无法调用
- Hypervisor 层(Hyp Invoke Router)对所有 SMC 参数进行验证和地址翻译
- MINK IDL 保证参数类型安全,防止内存损坏
- Memory Object 明确限定共享范围,TA 只能访问显式授权的内存区域
1.3 典型攻击面防御对比
| 攻击向量 | QSEECOM 风险 | SMCInvoke 防御措施 |
|---|---|---|
| 共享内存篡改 | HLOS 可任意读写 | Memory Object 限定范围 + 可选加密/完整性 |
| 伪造调用者身份 | 无身份验证 | IClientEnv 携带内核验证凭证,TA 可拒绝非法调用者 |
| TA 间越权访问 | 无隔离,需手动封装消息 | Capability 控制 + 进程沙箱,无法伪造 Object 引用 |
| 重放攻击 | 共享内存无序列号 | IDL 接口可嵌入序列号或 nonce,由框架辅助 |
| Hypervisor 绕过 | 直接 SMC,无中间层 | Hyp Invoke Router 强制审查所有跨世界调用 |
2. QSEECom 兼容层:平滑迁移方案
高通在文档中明确指出:未来的芯片平台中,QSEECom Driver 将被弃用。但为了兼容现有的大量 QSEECOM 客户端,SMCInvoke 提供了 QSEECom Compatibility Interface,通过 libQSEEComCompat.so 实现无缝迁移。
兼容层工作原理:
graph LR
subgraph "QSEECOM 旧架构"
OldCA["QSEECom Client"] --> OldLib["libQSEEComAPI.so"]
OldLib --> OldDrv["QSEECom Driver<br/>(/dev/qseecom)"]
OldDrv -- "SMC" --> OldTZ["TZ"]
end
subgraph "兼容层新架构"
NewCA["QSEECom Client<br/>(无需修改)"] --> CompatLib["libQSEEComCompat.so<br/>(替代 libQSEEComAPI)"]
CompatLib --> MinkLib["libminkdescriptor.so"]
MinkLib --> NewDrv["SMCInvoke Driver<br/>(/dev/smcinvoke)"]
NewDrv -- "SMC" --> Hyp["Hypervisor"]
Hyp -- "转发" --> NewTZ["TZ"]
end
QSEECom 兼容层:通过 libQSEEComCompat.so 迁移到 SMCInvoke Driver,参考 [3] 80-16234-1 §4.3、[1] 80-PK177-40 §SMCInvoke
-
旧流程:
QSEECom Client → libQSEEComAPI.so → QSEECom Driver (/dev/qseecom) → SMC → TZ -
新流程(兼容层):
QSEECom Client(不改代码)→ libQSEEComCompat.so → libminkdescriptor.so → SMCInvoke Driver (/dev/smcinvoke) → Hyp → TZ
迁移要点:
| 组件 | QSEECOM 旧方案 | 兼容层新方案 | 是否需要修改代码 |
|---|---|---|---|
| Client 业务代码 | 调用 QSEECom_start_app 等 |
不变 | 否 |
| Client 链接库 | libQSEEComAPI.so |
libQSEEComCompat.so |
仅需重新链接(或替换 so) |
| TA 代码 | 实现 tz_app_cmd_handler |
不变 | 否 |
| 内核驱动 | /dev/qseecom |
/dev/smcinvoke |
内核配置变更 |
| 通信路径 | 直接 SMC | SMCInvoke → Hypervisor → TZ | 透明 |
兼容层的意义:现有 TA 和 Client 的业务代码可以零修改,只需替换链接库即可获得 SMCInvoke 的安全增强(Hypervisor 审查、Capability 基础)以及未来新平台的支持。
3. 从 IClientEnv 到 TA 的完整调用示例
3.1 IClientEnv:一切调用的起点
所有 SMCInvoke 的 HLOS 客户端都从获取 IClientEnv 对象开始。IClientEnv 是 TZ 侧的根对象,它携带了调用者的身份凭证(credentials),是身份验证的基础。
Native Client 调用流程(SMCInvoke 原生模式):
Object clientEnv = Object_NULL;
Object appLoader = Object_NULL;
Object appCtrl = Object_NULL;
Object taObj = Object_NULL;
// 1. 获取 IClientEnv(携带调用者凭证)
TZCom_getClientEnvObject(&clientEnv);
// 2. 通过 IClientEnv 获取 IAppLoader
IClientEnv_open(clientEnv, IAppLoader_UID, &appLoader);
// 3. 加载 TA
IAppLoader_load(appLoader, taImageObj, &appCtrl);
// 4. 获取 TA 暴露的 App Object
IAppController_getAppObject(appCtrl, &taObj);
// 5. 调用业务方法(例如 ISMCIExample 接口的 sayHello)
ISMCIExample_sayHello(taObj, count, name, &greeting);
// 6. 释放所有引用
Object_release(taObj);
Object_release(appCtrl);
Object_release(appLoader);
Object_release(clientEnv);
3.2 加载并调用 TA 的完整流程
sequenceDiagram
participant CA as HLOS Client
participant Lib as libminkdescriptor
participant Drv as SMCInvoke Driver
participant TZ as TrustZone
Note over CA,TZ: Step 1: 获取 IClientEnv
CA->>Lib: TZCom_getClientEnvObject(&clientEnv)
Lib->>Drv: ioctl(INVOKE_REQ)
Drv->>TZ: SMC → TZ Invoke Router
TZ-->>Drv: 返回 IClientEnv 对象
Drv-->>Lib: 返回
Lib-->>CA: clientEnv 对象就绪
Note over CA,TZ: Step 2: 通过 IClientEnv 获取 IAppLoader
CA->>CA: IClientEnv_open(clientEnv, IAppLoader_UID, &appLoader)
Note over CA,TZ: Step 3: 通过 IAppLoader 加载 TA
CA->>CA: IAppLoader_load(appLoader, taImage, &appCtrl)
Note over CA,TZ: Step 4: 获取 TA 的 App Object
CA->>CA: IAppController_getAppObject(appCtrl, &taObj)
Note over CA,TZ: Step 5: 调用 TA 的业务方法
CA->>CA: ISomeInterface_someMethod(taObj, ...)
Note over CA,TZ: Step 6: 释放对象引用
CA->>CA: Object_release(taObj)
CA->>CA: Object_release(appCtrl)
CA->>CA: Object_release(appLoader)
CA->>CA: Object_release(clientEnv)
从 IClientEnv 到 TA 的完整调用链,参考 [3] 80-16234-1 §5.1-5.2、[2] 80-PF777-58 §10.2
关键区别:在 QSEECOM 中,Client 用字符串名称加载 TA(QSEECom_start_app(handle, "sampleapp", size));在 SMCInvoke 中,TA 的加载和通信通过 Object 引用链完成——IClientEnv → IAppLoader → IAppController → TA Object,每一步都经过身份验证和权限检查。
3.3 TA 侧的入口点
SMCInvoke 模式下,TA 通过 app_getAppObject() 暴露服务:
// TA 侧:返回 MINK 接口对象
int32_t app_getAppObject(Object credentials, Object *obj_ptr) {
// credentials 携带了调用者的身份信息
// 可以基于 credentials 做访问控制决策
return CSMCIExample_open(obj_ptr);
}
// 接口的 open 函数:创建接口实例
int32_t CSMCIExample_open(Object *objOut) {
CSMCIExample *me = QSEE_ZALLOC_TYPE(CSMCIExample);
if (!me) return Object_ERROR_KMEM;
me->refs = 1;
*objOut = (Object){CSMCIExample_invoke, me};
return Object_OK;
}
对比 QSEECOM:旧模式下的 TA 入口是 tz_app_cmd_handler(void *req, unsigned int reqlen, void *rsp, unsigned int rsplen)——接收原始字节缓冲区,没有类型安全,没有身份信息。
4. Java 应用接入方式
对于 Java 层第三方应用,SMCInvoke 提供了不同于 Native 客户端的接入架构:
- mink-socket-jni.aar:Java 层 SDK,提供
MinkSocketFd类和ConnectionListener接口 - SSGTZD 守护进程:运行在 Vendor 分区的 Native 守护进程,管理 TZ 连接
- TrustZoneAccessService:System 分区的 APK,为 Java 应用提供
IClientEnv对象
graph TB
subgraph "HLOS Userspace (System 分区)"
JavaApp["3rd Party Java App"]
AAR["mink-socket-jni.aar"]
end
subgraph "HLOS Userspace (Vendor 分区)"
SSGTZD["SSGTZD Daemon"]
TZAccessSvc["TrustZoneAccessService<br/>(APK)"]
end
subgraph "HLOS Kernel"
Drv["SMCInvoke Driver"]
end
JavaApp -- "AIDL" --> TZAccessSvc
TZAccessSvc -- "MinkSocketFd" --> SSGTZD
SSGTZD -- "libminkdescriptor" --> Drv
Drv -- "SMC" --> TZ["TrustZone"]
Java 应用通过 SSGTZD 接入 TZ,参考 [3] 80-16234-1 §3、[1] 80-PK177-40 §SMCInvoke
Java 应用通过 AIDL 从 TrustZoneAccessService 获取 IClientEnv 对象后,即可像 Native 客户端一样调用 TZ 服务。
5. SMCInvoke 的 Skeleton 应用
SMCInvoke 提供了 skeleton(脚手架)应用,展示完整的 CA/TA 开发模式:
smcinvoke_skeleton/
├── SConstruct # 构建入口
├── CA/
│ └── src/
│ ├── smci_ca_main.c # CA 主程序
│ └── smci_skeleton.c # CA 通信逻辑
├── common/
│ └── idl/
│ ├── CSMCIExample_open.h # IDL 生成的 open 函数
│ └── ISMCIExample.idl # IDL 接口定义
└── TA/
└── src/
├── smci_ta_main.c # TA 主程序
└── CSMCIExample.c # TA 接口实现
TA 侧关键代码
// TA侧:典型的SMCInvoke接口实现(代码片段)
// 注意:此处代码仅为示例,展示 skeleton 模式
// app_getAppObject: TA 的 SMCInvoke 入口点
int32_t app_getAppObject(Object credentials, Object *obj_ptr) {
(void)credentials;
return CSMCIExample_open(obj_ptr);
}
// CSMCIExample_open: 创建接口实例并返回 Object
int32_t CSMCIExample_open(Object *objOut) {
static int global_index = 0;
CSMCIExample *me = QSEE_ZALLOC_TYPE(CSMCIExample);
if (!me) {
qsee_log(QSEE_LOG_MSG_ERROR, "Memory allocation failed!");
return Object_ERROR_KMEM;
}
me->refs = 1;
me->index = global_index++;
*objOut = (Object){CSMCIExample_invoke, me};
return Object_OK;
}
CA 侧调用流程
// CA侧:典型的SMCInvoke调用
Object clientEnv = Object_NULL;
Object appLoader = Object_NULL;
Object appCtrl = Object_NULL;
Object taObj = Object_NULL;
// 1. 获取 IClientEnv
TZCom_getClientEnvObject(&clientEnv);
// 2. 获取 IAppLoader
IClientEnv_open(clientEnv, IAppLoader_UID, &appLoader);
// 3. 加载 TA
IAppLoader_load(appLoader, taImageObj, &appCtrl);
// 4. 获取 TA 的 App Object
IAppController_getAppObject(appCtrl, &taObj);
// 5. 调用 TA 的业务方法
ISMCIExample_sayHello(taObj, count, name, &greeting);
// 6. 释放所有引用
Object_release(taObj);
Object_release(appCtrl);
Object_release(appLoader);
Object_release(clientEnv);
6. 总结与展望
SMCInvoke 代表了 HLOS↔TZ 通信架构的代际演进:
- 从"通道"到"对象":QSEECOM 提供的是一条扁平的数据通道,SMCInvoke 提供的是一组带权限的对象引用。
- 从"隐式信任"到"显式授权":QSEECOM 隐式信任所有能打开
/dev/qseecom的进程;SMCInvoke 通过 IClientEnv 凭证和 Capability 系统实现显式授权。 - 从"自定义协议"到"IDL 约束":QSEECOM 的通信协议完全由开发者自行定义;SMCInvoke 通过 MINK IDL 自动生成类型安全的 stub/skeleton。
- 从"直接 SMC"到"Hypervisor 审查":QSEECOM 的 SMC 调用不经过 Hypervisor;SMCInvoke 引入 Hyp Invoke Router,在虚拟化场景下提供额外的安全审查层。
- 从"无法迁移"到"兼容层平滑过渡":通过
libQSEEComCompat.so,现有的 QSEECom 客户端应用可以零代码修改地迁移到 SMCInvoke Driver。
高通已明确在新一代芯片(如 骁龙SM8350 及后续)中全面启用 Hypervisor 和 TrustedVM 架构,SMCInvoke 不再是可选升级,而是必选通信框架。对于 OEM、安全应用开发者和系统集成商而言,深入理解 SMCInvoke 的 Object-Capability 模型、MINK IDL 以及兼容层机制,是适配未来高通平台安全架构的关键。
系列终
参考资料
- 80-PK177-40 Rev. A — SM8350 TrustZone and Security Overview, Qualcomm Technologies, Inc., March 2020
- 80-PF777-58 Rev. A — QTEE TA Software Developers Kit User Guide, Qualcomm Technologies, Inc., May 2019
- 80-16234-1 Rev. AD — Secure Monitor Call Invoke Technical Overview, Qualcomm Technologies, Inc., February 2021
- 80-NH537-4 Rev. J — Qualcomm Trusted Execution Environment Version 5.0 Reference Manual, Qualcomm Technologies, Inc., October 2020
- ARM Architecture Reference Manual — ARMv8-A SMC instruction and exception level model
- Qualcomm官网 SMCInvoke 介绍:https://docs.qualcomm.com/doc/80-70018-11/topic/smcinvoke.html
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
2
0- 0
已为社区贡献39条内容
所有评论(0)