CA/TA应用运行失败

现象描述

运行CA/TA应用失败，系统日志或TEE侧能观察到相关错误信息。

对系统的影响

• 对系统其他非TrustZone功能无影响。
• 可信应用CA/TA无法正常加载运行， 业务功能受阻。

可能原因

• REE Patch未正常部署、加载。
• CA/TA应用未正常部署；或CA应用未以绝对路径方式运行。
• TA应用使用了iTrustee不支持的libc、openssl api。
• TA应用未正确编译，可能使用了不匹配的config二进制、manifest.txt文件等。

排查思路

排查思路如图1所示。

图1 CA/TA应用加载失败问题排查思路

操作步骤

1. 检查REE Patch是否正常部署、加载。
   1. 检查动态库是否正常部署。

      ldconfig -p | grep -E "teec|boundscheck"

      预期结果：

      

   2. 检查teecd、tzdriver是否正常加载。

      ps aux | grep teecd
      lsmod | grep tzdriver

      

   3. 如果检测到REE Patch未正常部署、加载，请参考加载REE侧驱动重新部署；否则请跳转2进一步排查。
      

      1. 动态库.so必须放在/usr/lib64目录下，且可被系统默认动态库搜索到。
      2. teecd守护进程必须以绝对路径方式运行，即以/usr/bin/teecd指令加载。
2. 检查TEE侧安全日志。

   tlogcat

   • 可查看TEE侧安全日志，查看是否存在TA应用加载的错误信息。请参考常见错误日志及处理处理，如果未能解决问题，请联系华为技术支持处理。
   • 如果TEE侧无任何错误信息或新增日志，请参考3进一步排查。
3. 检查REE侧系统日志。

   journalctl --since "1 min ago"

   • 可收集、查看1分钟内的系统用户态日志，包括teecd用户态进程、CA应用的日志信息。 请参考常见错误日志及处理处理，如果未能解决问题，请联系华为技术支持处理。
   • 如果未观察到teecd相关日志信息，请联系华为技术支持处理。