高通平台的硬件安全模块、加密算法等是如何实现的？

高通平台通过内置专用硬件单元和利用虚拟化技术等方式实现硬件安全模块，借助硬件加密引擎和驱动固件协作等途径实现加密算法，具体如下：

• 硬件安全模块的实现：
  • 内置专用硬件单元：高通Snapdragon处理器内置了专用的硬件信任根，负责生成和存储密钥，为安全启动和数据加密提供基础保障。同时，引入安全处理单元（SPU），专门处理生物特征数据等敏感操作，避免其暴露给其他系统组件。
  • 采用虚拟化技术：创建多个安全域，每个域都有独立的执行环境，降低某个域出现安全漏洞后影响其他域的风险。
  • 基于TrustZone技术：基于Arm TrustZone架构，将SoC的硬件和软件资源划分为安全和非安全两个世界，安全世界执行如指纹识别、密码处理等保密操作，确保非安全世界无法访问安全世界资源。
• 加密算法的实现：
  • 硬件加速：高通平台提供FIPS可认证的基于硬件的加密功能，具备加密引擎，支持SHA-1、SHA-2、RSA和ECC等加密方法，可实现更安全和快速的加密/解密操作。例如在WiFi加密中，数据帧的AES加密/解密可由固件通过硬件加速模块完成。
  • 驱动与固件协作：以WiFi加密中的AES-CCMP算法和PSK为例，用户配置的PSK通过上层传递到驱动，驱动与固件协作完成四次握手和密钥派生。固件根据协商的加密类型自动选择AES-CCMP等加密算法，驱动负责密钥安装和数据帧加解密调度，通过相关接口与固件通信来实现具体操作。
  • 密钥管理支持：使用一次性可编程（OTP）eFuse存储器（QFPROM）存储通用信息和配置，为加密算法提供密钥管理支持，确保密钥的安全存储和正确使用。