optee HSM的实现
目录
- 1、IoT Security Needs
- 2、Hardware Security Module -- HSM
- 3、PKCS#11 - Cryptoki
- 4、Why not simply use HSM on IoT?
- 5、OP-TEE Secure Key Services
- 6、OP-TEE Secure Key Services Usage
- 7、OP-TEE SKS Next Steps
参考代码:
TA:optee_os/ta/pkcs11/src/
CA:optee_client/libckteec/src/
1、IoT Security Needs
(1)、Device security
- Trusted and authentic software / firmware execution
- Secure and verified boot
(2)、Network security
- Data integrity
- Authentication via unique device identity
- Data communication protection
2、Hardware Security Module – HSM
- 用于保护和管理密钥的物理计算设备
- 密钥材料和密码操作难以篡改
- 允许导入、生成、导出密钥和密码
- 加密、解密、签名和验证操作
- 通过独立于平台的标准使用,例如 PKCS#11-
3、PKCS#11 - Cryptoki
- 加密设备的独立于平台的高级 API
- 智能卡和 HSM 的“标准”API
- OpenSSL、GnuTLS、wolfSSL 和许多其他package支持
- 强大的工具支持,包括完整的软件实现
- 以基于对象的方法管理的简单 API 和数据
- 最新规范版本为 v2.40,v3.0 即将发布
C_Initialize()
C_GetInfo()
C_GenerateKey()
C_Encrypt()
C_Decrypt()
C_Digest()
C_Sign()
C_Verify()
C_Finalize()
...
4、Why not simply use HSM on IoT?
(1)、花费
- 一些物联网设备和应用受到成本限制
- TPM 作为替代方案,但众所周知管理复杂
(2)、所有者实现
• 无法审查软件实施
• 错误修复只能由模块供应商提供
(3)、物联网领域的大部分设备都说基于ARM的
- 可以将可信执行环境用作 HSM
- 可用的开源安全操作系统 - OP-TEE
5、OP-TEE Secure Key Services
- PKCS#11 服务作为 TA 的开源实现
- 由 Etienne Carriere etienne.carriere@linaro.org 发起
- RFC 可在 https://github.com/OP-TEE/optee_os/pull/2732 获得
- Libsks 作为 PKCS#11 客户端库
- SKS TA 实施 PKCS#11 的 HSM
负责管理和操作密钥
使用 TEE Internal Core API进行安全存储 - 还有一个foundriesio项目(PKCS#11 CA/TA的实现) : https://github.com/foundriesio/optee-sks
注:PR是pull request, RFC是request for comments
6、OP-TEE Secure Key Services Usage
7、OP-TEE SKS Next Steps
- 通过 optee_test 提高测试覆盖率
- 扩展对其他机制的支持
- 上游进入 OP-TEE(作为主要项目的一部分提供)
- 添加对 PKCS#11 v3.0 的支持
optee HSM的实现相关推荐
- 基于optee的TEE HSM的设计与实现
快速链接: .
- PKCS#11 in OP-TEE
目录 1.PCCS#11简介 2.PKCS#11 specifications 3.Achievements 4.编译和运行 5.libckteec 1.PCCS#11简介 PKCS#11标准定义了独 ...
- 信息安全 - uboot, TEE, ATF, trustzone, SHE,HSM, HIS, Evita, ISO 21434, CC认证(Common Criteria)
目录 标准.规范的时间线 组织标准 Evita SHE 由HIS 提出 (HIS 是个工作组) TPM 由TCG 提出 通用标准(CC)是全球公认的标准/认证(ISO / IEC 15408) 实施方 ...
- android系统tee接口,Android操作系统上的TEE / HSM支持
受信任的执行环境(TEE):这是一个基于软件的构造,该构造在运行时上下文的常规范围内实现.它可以使用纯软件,也可以使用CPU和特定的操作码(即Intel SGX或ARM等效产品)以提供"硬件 ...
- Linux Kernel/optee/ATF等操作系统的异常向量表的速查
引流关键词: IRQ,FIQ,Serror, 中断,同步异常,异步异常,TF-A,TF-M,ATF,TrustedFirmware,trustzone,TEE,optee,trusty,tlk,lk, ...
- OPTEE的内存管理 :页表的创建过程
关键词: optee.ATF.TF-A.Trustzone.optee3.14.MMU.VMSA.cache.TLB.arm.armv8.armv9.TEE.安全.内存管理.页表- 快速链接: .
- OPTEE的内存管理 : 将内存加入到页表去管理
关键词: optee.ATF.TF-A.Trustzone.optee3.14.MMU.VMSA.cache.TLB.arm.armv8.armv9.TEE.安全.内存管理.页表- 快速链接: .
- optee中MMU内存管理模型-页表的建立模型
思考: 1.__identity_map_init_start 的干啥的,作用? ----看起来是给ALSR用的,暂且不研究 MMU页表的创建模型,在optee os系统中,有很多种类型的memory ...
- optee中的密码学算法注册模型
1.optee中Symmetric ciphers.HASH.RNG等算法的注册模型 1.1.aes_desc 结构模型 (1).如果开启硬件加速(如ARM Cryptography Extensio ...
最新文章
- 最常用的Linux命令
- Elasticsearch之分页变量
- Devexpress GridControl 设置combobox下拉框
- allgro显示网络名称_相同的4G网络,为什么你的网速总是慢?知道这3点原因,网速翻倍...
- 微软 python_微软推出 Pylance,改善 VS Code 中的 Python 体验
- c纳秒级计时器_使用C+提供以纳米秒为单位的时间的计时器功能
- C: City----逆向并查集
- 利用div的定位制作复杂的页面布局
- “天才”少年!4位90后摘得全球顶尖数学大奖,90%获奖者不满30岁
- linux下的5个查找命令
- excel字符处理函数
- 密码编码学与网络安全——原理与实践(第八版)------第4章 学习笔记
- Mac M1 + Vmware Fusion 安装 Windows 11 arm版及相关问题解决
- 为串的模式匹配。模式匹
- 销量下降,到底应该怎么分析?!
- linux cp omitting 复制,linux 系统 cp: omitting directory 问题解决
- java 发送网易邮箱邮件
- Matlab 实用代码集
- Android开发指南中文版
- 艾默生流量计如何做好防爆工作
热门文章
- python怎么打日志_怎样调试 日志 python 代码
- html5拍照上传 java_如何使用HTML5实现拍照上传应用
- python pywinauto 单击鼠标_Python 基础(十):模块与包
- DL之ShuffleNet:ShuffleNet算法的架构详解
- DL之MobileNetV2:MobileNetV2算法的架构详解(包括ReLu的意义)
- 成功解决AttributeError: module 'string' has no attribute 'find'
- 成功解决absl.flags._exceptions.UnrecognizedFlagError: Unknown command line flag 'data_format'
- twisted:基于python的twisted框架编写一个客户端和服务端的对话聊天空间
- AI:一个20年程序猿的学习资料大全—人工智能之AI/机器学习/深度学习/计算机视觉/Matlab大赛——只有你不想要的,没有你找不到的
- 方差过滤: Removing features with low variance