两个世界的所有切换、状态变更都必须由 EL3 固件完成，这是 TrustZone 安全隔离的硬件根基。，对应 3 套独立软件系统；OP-TEE 硬件适配层，封装消息协议、SMC 调用、中断处理、RPC 分发逻辑。EL3 运行时主体，实现异常向量表、SMC 通用处理、电源管理、安全状态切换。设备，处理安全世界反向 RPC，代理 TA 加载、文件访问、RPMB 操作。世界切换的唯一硬件枢纽，负责 SM

Linux 5.10 TEE 子系统采用「通用框架抽象 + 厂商驱动实现 + 架构通信封装」三层松耦合设计，向上提供统一接口，向下对接 OP-TEE 等安全操作系统，是正常世界（REE）与安全世界（TEE）交互的唯一内核桥梁。安全世界处理完成后，反向执行 SMC 指令触发返回，ATF 恢复非安全上下文，切换回非安全态，最终回到 Linux 内核的 SMC 调用处继续执行。以上所有 SMC 调用均通

应用层是用户与开发者直接接触的权限边界，既是隐私保护的第一道门户，也是权限交互的唯一入口。本章从权限模型的设计思想出发，完整覆盖清单声明、运行时授权、组件管控、自定义权限、特殊权限等核心机制，结合Android版本演进脉络，拆解应用层权限的实现逻辑、攻防要点与工程最佳实践。应用层是Android权限体系的“门面”，直接面向用户与开发者，既是隐私保护的第一道防线，也是用户体验与安全平衡的关键点。权限

很多开发者在开发TA时，为了方便，会给TA添加很多不必要的功能和接口，这会大大增加TA的攻击面。安全三要素、隔离技术、攻击面与威胁模型，这三个概念是所有安全技术的基石，更是理解TEE本质的关键。TEE提供最高级别的机密性和完整性，同时通过硬件加速和优化设计，尽可能减少对可用性和性能的影响。硬件隔离是通过CPU硬件实现的隔离，隔离边界由物理电路保证，比软件隔离强得多。软件隔离是通过操作系统内核实现的

很多开发者在开发TA时，为了方便，会给TA添加很多不必要的功能和接口，这会大大增加TA的攻击面。安全三要素、隔离技术、攻击面与威胁模型，这三个概念是所有安全技术的基石，更是理解TEE本质的关键。TEE提供最高级别的机密性和完整性，同时通过硬件加速和优化设计，尽可能减少对可用性和性能的影响。硬件隔离是通过CPU硬件实现的隔离，隔离边界由物理电路保证，比软件隔离强得多。软件隔离是通过操作系统内核实现的

tracefs文件系统是Linux内核ftrace跟踪框架的用户态接口，默认挂载在/sys/kernel/tracing目录，核心目标是：提供一套完整的内核跟踪、调试、性能分析接口，不需要额外的工具，就可以跟踪内核函数的执行、系统调用、中断、IO路径等。sysfs文件系统是基于kobject内核对象模型的伪文件系统，默认挂载在/sys目录，核心目标是：向用户态暴露内核设备、驱动、总线、子系统的层次

struct gendisk（通用磁盘结构体）是Linux内核对一个块设备的最高级抽象，代表一个独立的磁盘设备（比如/dev/sda、/dev/nvme0n1），无论是物理磁盘、分区、逻辑卷、RAID阵列，在内核中都对应一个gendisk实例。这是块设备的核心，所有发往该设备的IO请求都要经过这个队列，它包含了IO调度器、多队列配置、设备IO参数、队列限制等所有IO处理相关的信息，是后续章节的核心

tracefs文件系统是Linux内核ftrace跟踪框架的用户态接口，默认挂载在/sys/kernel/tracing目录，核心目标是：提供一套完整的内核跟踪、调试、性能分析接口，不需要额外的工具，就可以跟踪内核函数的执行、系统调用、中断、IO路径等。sysfs文件系统是基于kobject内核对象模型的伪文件系统，默认挂载在/sys目录，核心目标是：向用户态暴露内核设备、驱动、总线、子系统的层次

最基础的挂载，把一个块设备的文件系统挂载到一个目录上，比如mount /dev/sda1 /data，底层流程就是上面的标准流程，需要块设备，读取磁盘超级块，创建super_block实例。挂载命名空间是Linux Namespace的一种，实现了进程间的挂载树隔离，每个挂载命名空间有独立的挂载树，进程只能看到自己所在命名空间的挂载实例，是容器技术的核心底层基础。：把一个文件/目录挂载到另一个文件

fork()创建子进程时，子进程会复制父进程的匿名VMA，同时创建anon_vma_chain，把子进程的VMA链接到父进程的anon_vma中，这样，父进程的匿名页被共享后，通过anon_vma就能找到所有子进程中映射了该页的VMA。两者的核心差异：文件页的后备存储是磁盘文件，所有映射了该文件同一偏移的进程，共享同一个页缓存，反向映射的核心是找到所有映射了该文件偏移的VMA；文件页的反向映射是L