当系统执行完成了initcall1段的代码(通过service_init函数定义)后,系统将执行initcall2段的代码,该端代码通过servcie_init_late被编译到initcall2段中,该操作的存放在core/tee/tee_fs_key_manager.c文件中如下图所示:
所以执行initcall2段的代码的时候,将会执行tee_fs_init_key_manager函数,该函数主要完成secure storage key的生成,生成的key将会被保存到tee_fs_ssk变量中。该函数的内容如下:
static TEE_Result tee_fs_init_key_manager(void)
{
int res = TEE_SUCCESS;
struct tee_hw_unique_key huk;
uint8_t chip_id[TEE_FS_KM_CHIP_ID_LENGTH];
uint8_t message[sizeof(chip_id) + sizeof(string_for_ssk_gen)];
/* Secure Storage Key Generation:
*
* SSK = HMAC(HUK, message)
* message := concatenate(chip_id, static string)
* */
/* 获取机器唯一的key作为salt值 */
tee_otp_get_hw_unique_key(&huk);
/* 获取chip ID值 */
tee_otp_get_die_id(chip_id, sizeof(chip_id));
/* 将unique key和chip id存放到message变量中 */
memcpy(message, chip_id, sizeof(chip_id));
memcpy(message + sizeof(chip_id), string_for_ssk_gen,
sizeof(string_for_ssk_gen));
/* 调用HMAC算法,以获取到的message作为参数传入来计算出一串字符串作为key存放到tee_fs_ssk变量中的key成员中 */
res = do_hmac(tee_fs_ssk.key, sizeof(tee_fs_ssk.key),
huk.data, sizeof(huk.data),
message, sizeof(message));
if (res == TEE_SUCCESS)
tee_fs_ssk.is_init = 1;
return res;
}
注意tee_otp_get_hw_unique_key函数可以根据不同的平台进行修改,只要保证读取到的值的唯一性且安全就可以,当前一般做法是读取OTP中的值,该值将在chip生产或者工厂整机生产的时候烧录到OTP中。当然也可以做其他的操作。