OP-TEE的安全存儲的簡介

OP-TEE的安全存儲功能是OP-TEE為用戶提供的安全存儲機制。用戶可使用安全存儲功能來保存敏感數據、密鑰等信息。

使用OP-TEE安全存儲功能保存數據時，OP-TEE會對需要被保存的數據進行加密，且每次更新安全文件時所用的加密密鑰都會使用隨機數重新生成，用戶只要調用GP標準中定義的安全存儲相關接口就能使用OP-TEE的安全存儲功能對私有數據進行保護。

需要被保護的數據被OP-TEE加密后會被保存到REE側的文件系統、EMMC的RPMB分區或數據庫中，至于具體需要將加密后的數據保存到哪里則由芯片提供商決定。（為啥放在REE側的文件系統？因為REE側linux有文件系統啊哈哈哈我猜的）

也可通過打開對應的宏開關，使能對應的保存方式來滿足用戶的實際需求。安全存儲功能可提供一個安全的存儲環境，安全文件中數據的加解密過程都在OP-TEE中完成，且加解密密鑰的生成也是在OP-TEE中進行的，這樣就能保證數據的安全性。

安全存儲功能使用的密鑰

OP-TEE中使用安全存儲功能保存的數據都是使用AES算法進行加密的，加密后的文件被保存在文件系統或RPMB分區。

使用AES算法進行數據加密或解密時需提供密鑰和初始化向量IV值。

每個TA在使用安全存儲功能保存數據時都會生成一個隨機數作為IV值，使用FEK的值作為AES的密鑰。FEK的值是OP-TEE對相關數據執行HMAC操作后生成的。（HMAC需要三個輸入參數，密鑰Key，消息內容，Hash算法;（所以HMAC本身并不是一種Hash算法，因而需要調用現成的Hash算法。）

FEK值的生成涉及SSK和TSK，本章節將介紹這些密鑰的使用和生成過程。相關密鑰的關系和生成方式如圖所示。

（關于這個秘鑰的派生，芯片廠商會自定義）