上一篇我们已经从架构层面理解了 SMCInvoke 的设计。本篇将进行最终的横向对比从编程模型、安全属性、性能特征到迁移路径全面比较两代框架并提供具体的代码示例和兼容层使用指南。1. SMCInvoke vs QSEECOM深层对比1.1 通信模型全方位对比维度QSEECOMSMCInvoke寻址方式TA 名称字符串如gatekeeper64Object 引用Capability服务发现硬编码 TA 名称IClientEnv.open()→IAppLoader标准化发现身份传递无IClientEnv携带内核验证的凭证反向通信Listener独立线程阻塞Callback Object轻量级回调大块数据传输Send Modified Command ION fdMemory ObjectIMemRegion接口约束无自定义结构体MINK IDL自动生成 stub/skeletonTA 间通信qsee_encapsulate/decapsulate_inter_app_message原生 Object IPCqsee_open()权限粒度TA 级别全有或全无Object / Method 级别错误处理简单返回码int丰富的Object_ERROR_*类型体系引用管理无手动管理 handle 生命周期引用计数Object_retain/Object_releaseHypervisor 支持无直接 SMCHyp Invoke Router 在 EL2 审查与翻译1.2 安全模型对比graph TB subgraph QSEECOM 安全模型 Q1[任何拥有 /dev/qseecombr/访问权限的进程] Q2[共享内存br/(HLOS 可读写)] Q3[TA 无调用者身份] Q1 -- Q2 -- Q3 end subgraph SMCInvoke 安全模型 S1[IClientEnv 携带br/调用者凭证] S2[Object Capabilitybr/(不可伪造引用)] S3[Hypervisor 验证br/(参数审查)] S4[MINK IDL 类型br/(自动验证)] S1 -- S2 -- S3 -- S4 endQSEECOM 与 SMCInvoke 安全模型对比参考 [1] 80-PK177-40 §Hardware Key Manager、[4] 80-NH537-4 §3.6QSEECOM 安全模型任何拥有/dev/qseecom访问权限的进程均可与任意 TA 通信共享内存数据对 HLOS 完全可见TA 必须自行加密或做完整性保护TA 无法获知调用者身份只能盲目信任请求内容无 Capability 系统一旦 TA 被加载任何 Client 都能调用SMCInvoke 安全模型IClientEnv携带调用者的完整凭证UID、GID、selinux context 等Object 引用是不可伪造的 Capability未持有引用则无法调用Hypervisor 层Hyp Invoke Router对所有 SMC 参数进行验证和地址翻译MINK IDL 保证参数类型安全防止内存损坏Memory Object 明确限定共享范围TA 只能访问显式授权的内存区域1.3 典型攻击面防御对比攻击向量QSEECOM 风险SMCInvoke 防御措施共享内存篡改HLOS 可任意读写Memory Object 限定范围 可选加密/完整性伪造调用者身份无身份验证IClientEnv 携带内核验证凭证TA 可拒绝非法调用者TA 间越权访问无隔离需手动封装消息Capability 控制 进程沙箱无法伪造 Object 引用重放攻击共享内存无序列号IDL 接口可嵌入序列号或 nonce由框架辅助Hypervisor 绕过直接 SMC无中间层Hyp Invoke Router 强制审查所有跨世界调用2. QSEECom 兼容层平滑迁移方案高通在文档中明确指出未来的芯片平台中QSEECom Driver 将被弃用。但为了兼容现有的大量 QSEECOM 客户端SMCInvoke 提供了QSEECom Compatibility Interface通过libQSEEComCompat.so实现无缝迁移。兼容层工作原理graph LR subgraph QSEECOM 旧架构 OldCA[QSEECom Client] -- OldLib[libQSEEComAPI.so] OldLib -- OldDrv[QSEECom Driverbr/(/dev/qseecom)] OldDrv -- SMC -- OldTZ[TZ] end subgraph 兼容层新架构 NewCA[QSEECom Clientbr/(无需修改)] -- CompatLib[libQSEEComCompat.sobr/(替代 libQSEEComAPI)] CompatLib -- MinkLib[libminkdescriptor.so] MinkLib -- NewDrv[SMCInvoke Driverbr/(/dev/smcinvoke)] NewDrv -- SMC -- Hyp[Hypervisor] Hyp -- 转发 -- NewTZ[TZ] endQSEECom 兼容层通过 libQSEEComCompat.so 迁移到 SMCInvoke Driver参考 [3] 80-16234-1 §4.3、[1] 80-PK177-40 §SMCInvoke旧流程QSEECom Client → libQSEEComAPI.so → QSEECom Driver (/dev/qseecom) → SMC → TZ新流程兼容层QSEECom Client不改代码→ libQSEEComCompat.so → libminkdescriptor.so → SMCInvoke Driver (/dev/smcinvoke) → Hyp → TZ迁移要点组件QSEECOM 旧方案兼容层新方案是否需要修改代码Client 业务代码调用QSEECom_start_app等不变否Client 链接库libQSEEComAPI.solibQSEEComCompat.so仅需重新链接或替换 soTA 代码实现tz_app_cmd_handler不变否内核驱动/dev/qseecom/dev/smcinvoke内核配置变更通信路径直接 SMCSMCInvoke → Hypervisor → TZ透明兼容层的意义现有 TA 和 Client 的业务代码可以零修改只需替换链接库即可获得 SMCInvoke 的安全增强Hypervisor 审查、Capability 基础以及未来新平台的支持。3. 从 IClientEnv 到 TA 的完整调用示例3.1 IClientEnv一切调用的起点所有 SMCInvoke 的 HLOS 客户端都从获取 IClientEnv 对象开始。IClientEnv 是 TZ 侧的根对象它携带了调用者的身份凭证credentials是身份验证的基础。Native Client 调用流程SMCInvoke 原生模式Object clientEnvObject_NULL;Object appLoaderObject_NULL;Object appCtrlObject_NULL;Object taObjObject_NULL;// 1. 获取 IClientEnv携带调用者凭证TZCom_getClientEnvObject(clientEnv);// 2. 通过 IClientEnv 获取 IAppLoaderIClientEnv_open(clientEnv,IAppLoader_UID,appLoader);// 3. 加载 TAIAppLoader_load(appLoader,taImageObj,appCtrl);// 4. 获取 TA 暴露的 App ObjectIAppController_getAppObject(appCtrl,taObj);// 5. 调用业务方法例如 ISMCIExample 接口的 sayHelloISMCIExample_sayHello(taObj,count,name,greeting);// 6. 释放所有引用Object_release(taObj);Object_release(appCtrl);Object_release(appLoader);Object_release(clientEnv);3.2 加载并调用 TA 的完整流程sequenceDiagram participant CA as HLOS Client participant Lib as libminkdescriptor participant Drv as SMCInvoke Driver participant TZ as TrustZone Note over CA,TZ: Step 1: 获取 IClientEnv CA-Lib: TZCom_getClientEnvObject(clientEnv) Lib-Drv: ioctl(INVOKE_REQ) Drv-TZ: SMC → TZ Invoke Router TZ--Drv: 返回 IClientEnv 对象 Drv--Lib: 返回 Lib--CA: clientEnv 对象就绪 Note over CA,TZ: Step 2: 通过 IClientEnv 获取 IAppLoader CA-CA: IClientEnv_open(clientEnv, IAppLoader_UID, appLoader) Note over CA,TZ: Step 3: 通过 IAppLoader 加载 TA CA-CA: IAppLoader_load(appLoader, taImage, appCtrl) Note over CA,TZ: Step 4: 获取 TA 的 App Object CA-CA: IAppController_getAppObject(appCtrl, taObj) Note over CA,TZ: Step 5: 调用 TA 的业务方法 CA-CA: ISomeInterface_someMethod(taObj, ...) Note over CA,TZ: Step 6: 释放对象引用 CA-CA: Object_release(taObj) CA-CA: Object_release(appCtrl) CA-CA: Object_release(appLoader) CA-CA: Object_release(clientEnv)从 IClientEnv 到 TA 的完整调用链参考 [3] 80-16234-1 §5.1-5.2、[2] 80-PF777-58 §10.2关键区别在 QSEECOM 中Client 用字符串名称加载 TAQSEECom_start_app(handle, sampleapp, size)在 SMCInvoke 中TA 的加载和通信通过 Object 引用链完成——IClientEnv → IAppLoader → IAppController → TA Object每一步都经过身份验证和权限检查。3.3 TA 侧的入口点SMCInvoke 模式下TA 通过 app_getAppObject() 暴露服务// TA 侧返回 MINK 接口对象 int32_t app_getAppObject(Object credentials, Object *obj_ptr) { // credentials 携带了调用者的身份信息 // 可以基于 credentials 做访问控制决策 return CSMCIExample_open(obj_ptr); } // 接口的 open 函数创建接口实例 int32_t CSMCIExample_open(Object *objOut) { CSMCIExample *me QSEE_ZALLOC_TYPE(CSMCIExample); if (!me) return Object_ERROR_KMEM; me-refs 1; *objOut (Object){CSMCIExample_invoke, me}; return Object_OK; }对比 QSEECOM旧模式下的 TA 入口是tz_app_cmd_handler(void *req, unsigned int reqlen, void *rsp, unsigned int rsplen)——接收原始字节缓冲区没有类型安全没有身份信息。4. Java 应用接入方式对于 Java 层第三方应用SMCInvoke 提供了不同于 Native 客户端的接入架构mink-socket-jni.aarJava 层 SDK提供MinkSocketFd类和ConnectionListener接口SSGTZD 守护进程运行在 Vendor 分区的 Native 守护进程管理 TZ 连接TrustZoneAccessServiceSystem 分区的 APK为 Java 应用提供IClientEnv对象graph TB subgraph HLOS Userspace (System 分区) JavaApp[3rd Party Java App] AAR[mink-socket-jni.aar] end subgraph HLOS Userspace (Vendor 分区) SSGTZD[SSGTZD Daemon] TZAccessSvc[TrustZoneAccessServicebr/(APK)] end subgraph HLOS Kernel Drv[SMCInvoke Driver] end JavaApp -- AIDL -- TZAccessSvc TZAccessSvc -- MinkSocketFd -- SSGTZD SSGTZD -- libminkdescriptor -- Drv Drv -- SMC -- TZ[TrustZone]Java 应用通过 SSGTZD 接入 TZ参考 [3] 80-16234-1 §3、[1] 80-PK177-40 §SMCInvokeJava 应用通过 AIDL 从TrustZoneAccessService获取IClientEnv对象后即可像 Native 客户端一样调用 TZ 服务。5. SMCInvoke 的 Skeleton 应用SMCInvoke 提供了 skeleton脚手架应用展示完整的 CA/TA 开发模式smcinvoke_skeleton/ ├── SConstruct # 构建入口 ├── CA/ │ └── src/ │ ├── smci_ca_main.c # CA 主程序 │ └── smci_skeleton.c # CA 通信逻辑 ├── common/ │ └── idl/ │ ├── CSMCIExample_open.h # IDL 生成的 open 函数 │ └── ISMCIExample.idl # IDL 接口定义 └── TA/ └── src/ ├── smci_ta_main.c # TA 主程序 └── CSMCIExample.c # TA 接口实现TA 侧关键代码// TA侧典型的SMCInvoke接口实现代码片段// 注意此处代码仅为示例展示 skeleton 模式// app_getAppObject: TA 的 SMCInvoke 入口点int32_tapp_getAppObject(Object credentials,Object*obj_ptr){(void)credentials;returnCSMCIExample_open(obj_ptr);}// CSMCIExample_open: 创建接口实例并返回 Objectint32_tCSMCIExample_open(Object*objOut){staticintglobal_index0;CSMCIExample*meQSEE_ZALLOC_TYPE(CSMCIExample);if(!me){qsee_log(QSEE_LOG_MSG_ERROR,Memory allocation failed!);returnObject_ERROR_KMEM;}me-refs1;me-indexglobal_index;*objOut(Object){CSMCIExample_invoke,me};returnObject_OK;}CA 侧调用流程// CA侧典型的SMCInvoke调用Object clientEnvObject_NULL;Object appLoaderObject_NULL;Object appCtrlObject_NULL;Object taObjObject_NULL;// 1. 获取 IClientEnvTZCom_getClientEnvObject(clientEnv);// 2. 获取 IAppLoaderIClientEnv_open(clientEnv,IAppLoader_UID,appLoader);// 3. 加载 TAIAppLoader_load(appLoader,taImageObj,appCtrl);// 4. 获取 TA 的 App ObjectIAppController_getAppObject(appCtrl,taObj);// 5. 调用 TA 的业务方法ISMCIExample_sayHello(taObj,count,name,greeting);// 6. 释放所有引用Object_release(taObj);Object_release(appCtrl);Object_release(appLoader);Object_release(clientEnv);6. 总结与展望SMCInvoke 代表了 HLOS↔TZ 通信架构的代际演进从通道到对象QSEECOM 提供的是一条扁平的数据通道SMCInvoke 提供的是一组带权限的对象引用。从隐式信任到显式授权QSEECOM 隐式信任所有能打开/dev/qseecom的进程SMCInvoke 通过 IClientEnv 凭证和 Capability 系统实现显式授权。从自定义协议到IDL 约束QSEECOM 的通信协议完全由开发者自行定义SMCInvoke 通过 MINK IDL 自动生成类型安全的 stub/skeleton。从直接 SMC到Hypervisor 审查QSEECOM 的 SMC 调用不经过 HypervisorSMCInvoke 引入 Hyp Invoke Router在虚拟化场景下提供额外的安全审查层。从无法迁移到兼容层平滑过渡通过libQSEEComCompat.so现有的 QSEECom 客户端应用可以零代码修改地迁移到 SMCInvoke Driver。高通已明确在新一代芯片如 骁龙SM8350 及后续中全面启用 Hypervisor 和 TrustedVM 架构SMCInvoke 不再是可选升级而是必选通信框架。对于 OEM、安全应用开发者和系统集成商而言深入理解 SMCInvoke 的 Object-Capability 模型、MINK IDL 以及兼容层机制是适配未来高通平台安全架构的关键。系列终参考资料80-PK177-40 Rev. A — SM8350 TrustZone and Security Overview, Qualcomm Technologies, Inc., March 202080-PF777-58 Rev. A — QTEE TA Software Developers Kit User Guide, Qualcomm Technologies, Inc., May 201980-16234-1 Rev. AD — Secure Monitor Call Invoke Technical Overview, Qualcomm Technologies, Inc., February 202180-NH537-4 Rev. J — Qualcomm Trusted Execution Environment Version 5.0 Reference Manual, Qualcomm Technologies, Inc., October 2020ARM Architecture Reference Manual — ARMv8-A SMC instruction and exception level modelQualcomm官网 SMCInvoke 介绍https://docs.qualcomm.com/doc/80-70018-11/topic/smcinvoke.html