如何检查Android手机是否支持TEE？

@JensV是正确的：如果您在keyGenParameterSpecBuilder上设置了setIsStrongBoxBacked，则如果不支持StrongBox，则密钥生成将失败并出现StrongBoxUnavailableException。然而，中间情况——即存在TEE（即在安全硬件内生成和使用密钥），但不支持StrongBox——更加棘手。

一般来说，最好的方法是实际在设备上生成密钥，然后在服务器上对其执行HW密钥认证——通过查看已签名的密钥属性来检查确切的硬件支持程度：

• 在服务器端生成一个随机字节字符串，称为nonce，并将其传递到设备上
• 在设备上生成一个密钥，通过在KeyGenParameterSpec构建器上调用setAttestationChallenge并传递从服务器获取的nonce（不要使用在设备上产生的nonce）来请求HW认证
• 从Android Key Store请求密钥的认证链
• 将认证数据（证书链）传递给您的服务器
• 在服务器上验证认证（签名）链
• 确认根证书与Google发布的根证书相匹配
• 确认链中没有证书被吊销（针对CRL检查@https://android.googleapis.com/attestation/status）
• 检查叶子证书的Google Key Attestation扩展属性（OID 1.3.6.1.4.1.11129.2.1.17）
  • 确认nonce匹配（attestationChallenge）
  • 查看KeyDescription的attestationSecurityLevel

SecurityLevel ::= ENUMERATED {
    Software  (0),
    TrustedEnvironment  (1),
    StrongBox  (2),
}

TrustedEnvironment 和 StrongBox 都对应于硬件支持的密钥和加密操作。

根据Android密钥库系统文档：
支持安装了Android 9（API级别28）或更高版本的设备上可使用StrongBox Keymaster，它是Keymaster HAL的实现，驻留在硬件安全模块中。该模块包含以下内容：
[...]
* 安全存储
[...]
检查StrongBox Keymaster中存储的密钥时，系统会与Trusted Execution Environment（TEE）验证密钥的完整性。
[...]
使用KeyStore类生成或导入密钥时，通过将true传递给setIsStrongBoxBacked()方法来指示首选将密钥存储在StrongBox Keymaster中。
据我理解，这意味着当您生成一个密钥并调用keyGenParameterSpecBuilder.setIsStrongBoxBacked(true)进行密钥配置时，您可以确保它由TEE支持。如果没有TEE可用，则会抛出StrongBoxUnavailableException。
因此，要检查是否有TEE可用，您可以尝试以这种方式生成密钥并查看是否有效。