目前TEE的标准化主要是由GlobalPlatform组织推动，大家日常接触的安卓手机，基本都搭载遵循GlobalPlatform标准的TEE。那么除了GlobalPlatform定义的TEE，还有别的吗?答案是肯定的，一个字：有!

别的不说，智能手机两大阵营，除了安卓，还有苹果啊，所以苹果手机里也是有TEE的，鉴于苹果一向是自己和自己玩，它的TEE不遵循GlobalPlatform也不奇怪。

除了智能手机、平板等移动终端，在传统的PC机领域，也是有TEE的存在，比如英特尔老大哥。大家都知道英特尔是做CPU处理器芯片的，那基于芯片实现一个TEE也不新鲜。英特尔提供的解决方案是SGX (Software Guard Extensions)，详细信息各位可以自行查找。

好了，说到这，小Wa已经提到了3种TEE(GlobalPlatform、苹果和英特尔)，那么如何衡量不同TEE的安全性呢?嗯，下面请出今天的主角——EMVCo同学。

简单介绍下这位同学，EMVCo是由American Express, Discover, JCB, Mastercard, UnionPay和Visa等6家银行卡组织成立的国际组织。嗯，大家从这6家成员，可以看出这个组织一定和金融行业相关了。EMVCo都做哪些事呢?下面这段介绍是从EMVCo官网摘录的。

EMVCo exists to facilitate worldwide interoperability and acceptance of secure payment transactions. It accomplishes this by managing and evolving the EMV® Specifications and related testing processes. This includes, but is not limited to, card and terminal evaluation, security evaluation, and management of interoperability issues. Today there are EMV® Specifications based on contactchip, contactless chip, EMV® 2nd Generation, Common Payment Application (CPA),card personalisation, Payment Tokenisation, and 3-D Secure.

可以看到银行卡、终端、芯片、支付应用等都和EMVCo相关，EMVCo也管理上述产品的检测工作。

随着移动支付的快速发展，EMVCo也在探索和跟进相关技术的发展，比如TEE。EMVCo综合了各种TEE方案的架构，定义了EMVCo范畴的TEE。

首先EMVCo提出了TEE的抽象架构，如下图。

可能，有人会说这好像和常见的TEE架构没啥不同。嗯，恭喜你答对了，唯一的区别就是这里的TEE Client API和TEE Internal API没有规定具体的接口，这样就不局限于GlobalPlatform TEE实现。

在上图基础上扩展，EMVCo定义了5种可能的TEE实现(这5种实现之间是有重叠的，见下面解释)，包括：

1)满足GlobalPlatform标准的TEE

这种TEE没啥好解释的。

2)基于ARMTrustZone的TEE

其实安卓手机搭载的TEE都是基于ARM TrustZone技术的，EMVCo把它单列出来，是表明一种态度，那就是我不关心TEE是否符合GlobalPlatform标准。嗯，感觉GlobalPlatform受到了暴击。

3)基于专用安全处理器的TEE

嗯，所谓的专用安全处理器，其实EMVCo指的是SE (Secure Element)。当然英特尔的TEE方案也可以归为这一类。

4)基于其他硬件的TEE

这种实现，EMVCo主要指的是TPM (Trusted Platform Module)。

5)虚拟TEE

这种实现，EMVCo指的是不依赖或较少依赖硬件的软件TEE实现，简单理解为虚拟机上跑的TEE就好。

其实虽然上面列出了5种TEE实现，但其实就2种，1种是基于硬件实现的TEE，另1种是基于软件实现的TEE。

既然有2种TEE实现，那这2种实现的特性一样吗?EMVCo给出了自己的答案。

EMVCo将TEE特性划分为3类：初始化、安全属性和安全服务。

从表中可以看到这2种TEE实现的特性还是有一些区别的。

小Wa觉得EMVCo对TEE的划分要比GlobalPlatform更为合理，不过EMVCo对终端安全的话语权比较弱，所以能否推广开来，还是有待观察的。