CA/TA应用运行失败的解决方法

问题现象描述

现象描述：

运行CA/TA应用失败，通过dmesg、tlogcat可以看到系统日志和TEE日志出现错误日志。

对系统的影响：

• 对系统其他非TrustZone功能无影响。
• 可信应用CA/TA无法正常加载运行， 业务功能受阻。

关键过程、根本原因分析

可能的原因：

• REE Patch未正常部署、加载。
• CA/TA应用未正常部署；或CA应用未以绝对路径方式运行。
• TA应用使用了iTrustee不支持的libc、openssl api。
• TA应用未正确编译，可能使用了不匹配的config二进制、manifest.txt文件等。

排查思路：

排查思路如下图所示。

结论、解决方案及效果

1. 检查REE Patch是否正常部署、加载。
   1. 检查动态库是否正常部署。

      ldconfig -p | grep -E "teec|boundscheck"

      预期结果：

      

   2. 检查teecd、tzdriver是否正常加载。

      ps aux | grep teecd
      lsmod | grep tzdriver

      

   3. 如果检测到REE Patch未正常部署、加载，请参考加载REE侧驱动重新部署；否则请跳转2进一步排查。
      

      1. 动态库.so必须放在“/usr/lib64”目录下，且可被系统默认动态库搜索到。
      2. teecd守护进程必须以绝对路径方式运行，即以/usr/bin/teecd指令加载。
2. 检查TEE侧安全日志。

   tlogcat

   • 可查看TEE侧安全日志，查看是否存在TA应用加载的错误信息。请参见TA应用证书校验失败的解决方法、TA应用资源配置文件校验失败的解决方法、TA应用存在iTrustee不支持的函数符号的解决方法、iTrustee加载TA应用失败的解决方法、CA权限检查失败的解决方法处理，如果未能解决问题，请联系华为技术支持处理。
   • 如果TEE侧无任何错误信息或新增日志，请参考3进一步排查。
3. 检查REE侧系统日志。

   journalctl --since "1 min ago"

   • 可收集、查看1分钟内的系统用户态日志，包括teecd用户态进程、CA应用的日志信息。 请参见TA应用证书校验失败的解决方法、TA应用资源配置文件校验失败的解决方法、TA应用存在iTrustee不支持的函数符号的解决方法、iTrustee加载TA应用失败的解决方法、CA权限检查失败的解决方法处理，如果未能解决问题，请联系华为技术支持处理。
   • 如果未观察到teecd相关日志信息，请联系华为技术支持处理。