TrustICE: Hardware-assisted Isolated Computing Environments on Mobile Devices

本ppt是对信息安全综合类顶级学术会议可靠网络与系统DSN2015上的一篇文章的分析，文章利用Trustzone实现了类似于SGX Enclave的安全架构，首次将Trustzone的安全应用部署在了Trustzone普通世界里。利用freescale开发板特有的内存水印技术，以及对硬件中断处理，异常向量表，CPU模式切换事件的拦截，在普通世界里实现了与安全世界等价的CPU状态隔离，运行时内存隔离，与I/O隔离。确保普通世界的受保护程序即使在操作系统被攻破的情况下仍然受到隐私性和完整性保护。方案最大的优势是安全应用的增多不会增加安全世界的代码规模，确保了整个系统不会因为某个安全应用自身的漏洞而受到威胁。