OP-TEE Notice 中有OP-TEE特性的介绍，分别是：隔离(Isolation)、小巧(Small footprint)、可移植(Portability)

OP-TEE特性一——隔离

OP-TEE, open-source security for the mass-market这篇文章中介绍了OP-TEE的发展历史。

最初OMTP(Open Mobile Terminal Platform)组织提出了一种双系统解决方案，TEE就是由此发展而来，目前OP-TEE OS运行的环境仍是双系统，一个是一般的Linux系统，另一个就是OP-TEE OS，也就是一种TEE OS。在这两个系统之间，就天然形成了软硬件资源的隔离。

因为存在双系统，所以在运行OP-TEE OS的设备上，一切都可以被一分为二，一个是Normal World，另一个是Secure World，这一切包括硬件资源和软件资源。这涉及到如下概念：

Normal World：这个world的软硬件资源的安全性低。

Secure World：这个world的软硬件资源安的全性高。

REE(Rich Execution Environment)：同Normal World，一般执行环境

TEE(Trusted Execution Environment)：同Secure World，可信执行环境

可以简单如下图理解：

REE与TEE的隔离

OP-TEE特性二——小巧

OP-TEE是一个小巧的操作系统，只占用很少的存储资源。我理解是因为它不是一个通用操作系统，而是有专用目的，因此不相关的功能和机制都可以化简，只加强安全相关的功能即可。

因此，在系统中增加OP-TEE可以只增加较小的代价就可以提高特定信息的安全性。提高信息安全性还有一个更厉害的方法，就是使用SE。

SE(Secure Element)：安全元件（比如智能卡等硬件）

针对特定信息开发硬件进行保护，这种方法的安全性最高，但是代价也是很高的，因为一个保护指纹信息的硬件不能保护虹膜信息，保护声纹信息的硬件不能保护人脸识别信息，即通用性差，不可升级，生产成本就会非常高，而OP-TEE作为软件，是可以随着保护信息的特性而改变，生产成本是开发人员的工资，相对于硬件产生的成本应该是比较小的。使用REE安全性不够，使用SE成本太高，所以综合代价和收益，TEE是一个折中的方案。

OP-TEE特性三——可移植

和Linux的天性一样，OP-TEE也保持了设备兼容性，具有可移植性，使用Linux系统的设备应该都可以使用。