- 博客(752)
- 收藏
- 关注
RSS订阅原创 一文读懂 ARM Exception Level(EL0/EL1/EL2/EL3):系统级权限、虚拟化与 TrustZone 的“楼层图”
本文深入解析了ARM架构的Exception Level(EL)机制,将系统权限层级形象比喻为"楼层模型"。文章首先指出EL0-EL3是ARM硬件定义的权限层级,层级越高权限越大。随后详细说明各层级的职责:EL0运行用户应用,EL1运行操作系统内核,EL2负责虚拟化管理,EL3作为最高权限层管理Secure/Normal世界切换。特别强调EL3是TrustZone架构中世界切换的必经通道,通过SMC指令实现安全状态转换。文章还通过"大楼门禁"的比喻,帮助读者理解权限隔
2026-01-06 20:07:48
9
原创 Jetson Thor + Holoscan Sensor Bridge + VLM/CV 全栈落地笔记
摘要 本文系统解析Jetson Thor+Holoscan Sensor Bridge+VLM/CV全栈方案的技术要点。Thor平台通过FP8/FP4计算架构、更大内存带宽和MIG能力,显著提升端侧大模型推理性能;HSB方案将多传感器数据统一封装为以太网流,解决工业场景下的低延迟同步难题。文章详细对比TFLOPS/TOPS/tok/s指标差异,分析JetPack 7各版本特性,并厘清SIPL与Argus相机的适用场景。最后给出软件栈选型建议:Ubuntu/L4T适合快速验证,Yocto/Wind River
2026-01-05 18:35:13
602
原创 用 dm-verity 串起嵌入式系统启动安全:从 Merkle 树到内核 I/O 路径
摘要 dm-verity是嵌入式系统安全启动的关键组件,通过Merkle哈希树验证只读分区数据的完整性。它将可信链从引导阶段扩展到运行时,确保即使系统分区被篡改,内核也能在读取时检测并阻止。dm-verity不加密数据,仅做完整性校验,需配合Secure Boot等机制确保root hash的可信性。其核心是在内核I/O路径中逐块验证数据哈希,直到可信的根哈希。实现上依赖device-mapper框架,用户可通过veritysetup工具生成包含数据区和哈希树的镜像。该技术广泛应用于Android AVB等
2026-01-05 13:34:06
128
原创 ALSA 多通道录音与DSP集成:从硬件PDM到软件测试的工程师指南
本文介绍了Linux平台上麦克风阵列的语音前处理链路架构,重点解析了"通道"概念在不同层级(PDM/PCM/ALSA/DSP)的含义差异。文章通过典型系统四层划分(硬件/驱动/ALSA/DSP),结合Soundskrit DSP库的ALSA插件接入实例,详细说明了从PDM复用、PCM解码到ALSA路由的完整信号流程。特别针对双麦合并单PDM线的硬件设计,提供了通道分离测试方法,并给出硬件与软件工程师各自的关注要点和排查路径。全文通过清晰的工程逻辑和可复现的配置示例,帮助开发者理解复杂音频
2026-01-04 15:24:15
908
原创 OP-TEE + YOLOv8:从“加密权重”到“内存中解密并推理”的完整实战记录
本文记录了将YOLOv8模型权重加密存储并通过OP-TEE安全解密的完整实战过程。核心实现包括: 使用AES-256-CBC加密模型权重文件 通过OP-TEE在Secure World解密 利用memfd技术实现内存中加载解密后的模型 使用symlink解决YOLO只接受带后缀路径的问题 最终只保留推理结果图片,清理所有中间文件 该方案实现了模型权重加密存储、密钥不出Secure World、推理过程不落盘的安全目标,提供了从加密到推理的完整可复现流程。
2025-12-31 20:14:56
189
原创 用 OP-TEE 给 AI 模型“上锁”:密文存储、TEE 解密放行、推理后销毁(实战可落地)
本文提出一种基于OP-TEE的AI模型保护方案,通过两级密钥体系确保模型静态存储为密文,运行时仅在TEE内解密。方案采用KEK+DEK架构,DEK永不出TEE,支持分块解密与可验证擦除。该方案能有效防御静态分析、应用层逆向等威胁,但需承认其物理级攻击的局限性。文章详细描述了端到端架构、文件格式设计及TA实现要点,包括密钥管理、分块解密策略和销毁机制,为设备侧AI部署提供了工程可行的安全解决方案。
2025-12-30 16:55:38
45
原创 记录一下:电子工业 · 2025 年度优秀作者
【摘要】作者获评电子工业出版社2025年度优秀作者,视此为对持续写作的认可而非成就。强调仍需在写作深度、认知能力和表达水平上持续精进,认为真正的动力源于自我反省与内容价值提升。这份荣誉仅作为方向正确的印证,提醒自己创作之路仍漫长,需保持谦逊继续前行。(99字)
2025-12-29 22:20:44
201
原创 百万访问 · 744 篇原创|写给同道中人的一段 CSDN 记录
【CSDN技术写作总结】作者在CSDN平台持续输出744篇原创技术文章,累计访问量突破100万,收获5K+粉丝。内容聚焦Linux内核、嵌入式开发、AI等专业领域,以专栏形式系统整理实战经验,追求技术的清晰度与可复用性。不同于流量导向的写作,这些文章更注重技术沉淀,面向工程师同行提供实用参考。欢迎嵌入式/Linux领域的从业者关注交流,共同推动技术知识的积累与传承。
2025-12-28 09:30:00
294
原创 Jetson OP-TEE 实战:从 CA → TA → PTA 的完整安全链路解析
摘要: 本文系统解析了Jetson+OP-TEE HelloWorld项目的加密体系,区分实验方案与量产级设计。项目涵盖明文调试、固定密钥验证及基于EKB+PTA KDF的量产级加密三层架构,核心安全逻辑包括:Root Key通过EKB派生应用seed,PTA生成密钥,TA执行AES-CBC解密及PKCS#7校验。文章强调量产三原则:Root Secret不出Secure World、TA不管理密钥、明文校验在安全域内完成,并指出该项目已形成从设备级信任根到应用加密的最小安全模型,具备直接迁移至产品的可行性
2025-12-27 20:39:33
1093
原创 Jetson 平台 PTA 架构完整解析与实战
本文深入解析了Jetson平台的PTA(Platform Trusted Application)架构及其在安全体系中的关键作用。PTA作为运行在Secure World的内置系统服务,负责管理硬件密钥、提供安全加解密服务和控制安全状态。文章详细阐述了PTA与TA(Trusted Application)的核心区别,PTA在Jetson安全架构中的位置,以及CA/TA/PTA三层架构的职责划分。通过解密OEM Key保护Payload的完整链路示例,展示了如何正确使用PTA进行工程开发,并强调了PTA代码设
2025-12-26 16:05:36
667
原创 从 HUK 到 AES:基于 OP-TEE 的 Secure Seed 派生与实战级 KDF 设计详解
本文详细解析基于OP-TEE的密钥派生方案设计,采用分层密钥派生模型(HUK→seed→AES key/iv),满足产品级安全要求。第一层通过HMAC-SHA256从硬件唯一密钥(HUK)派生业务隔离的seed,第二层使用SHA256将seed转换为AES密钥和IV。方案具有五大核心优势:根密钥来自Secure World、密钥材料动态生成、派生过程完全在TEE内完成、Linux无法获取原始密钥、严格的生命周期管理。文中逐行分析代码实现,阐释了为何采用分层派生而非直接使用HUK、函数参数传递的安全性等问题,
2025-12-25 22:01:49
1235
原创 KDF + AES-256-CBC 加密解密实战:用同一份 seed 在 Linux 与 OP-TEE/TA 间互通
本文介绍了基于KDF和AES-256-CBC的加密解密互通方案,重点说明如何在Linux和OP-TEE/TA之间实现一致的加密流程。主要内容包括: 核心流程:通过固定seed使用SHA256派生key和iv,采用AES-256-CBC模式进行加密/解密,确保PKCS7填充一致。 关键点: seed必须严格一致(32字节二进制) 使用domain separation技术派生key和iv(不同label) 确保Linux和TA侧的KDF算法bit-by-bit一致 采用相同的分组加密模式和填充方式 提供了完整
2025-12-25 16:22:58
1560
原创 OP-TEE Secure Storage 与 Sign/Verify 实战总结
本文系统梳理了OP-TEE中Secure Storage与Sign/Verify两大核心功能,为构建安全系统提供基础支撑。Secure Storage本质是TEE内部可信持久状态,适合存储密钥、校验值等小型数据而非大文件,采用极简文件系统抽象。Sign/Verify功能确保"密钥不出TEE",通过签名验证保障数据来源可信。文章详细介绍了对象创建、读写操作以及密钥生成、签名验证等关键API的使用方法,并展示了如何将两者结合实现可信配置加载场景。这些基础能力可直接应用于模型保护、Licens
2025-12-24 17:34:28
864
原创 OP-TEE Hello World 入门实战:从构建到 Host / TA 交互的完整解析
OP-TEE Hello World 实战解析 本文通过分析hello_world示例,完整展示了OP-TEE的核心运行机制。文章首先阐明OP-TEE的基本模型:Normal World的Client Application(CA)通过TEEC_InvokeCommand向Secure World的Trusted Application(TA)发起同步RPC调用。示例包含host端和ta端两部分代码,host负责初始化上下文、构建参数并调用命令,ta端通过TA_InvokeCommandEntryPoint
2025-12-23 17:20:38
1020
原创 蓝牙与蓝牙信号完整解析:从无线物理层到工程实践
本文从工程师视角系统解析蓝牙技术,重点探讨BLE低功耗蓝牙的核心原理与工程实践。内容涵盖蓝牙无线信号特性(2.4GHz跳频机制)、PHY层对距离/速率/功耗的影响、RSSI与距离的误区、协议分层架构(HCI关键作用),以及广播/连接状态下的功耗控制策略。文章强调蓝牙是一整套无线系统而非单一协议,指出工程中常见误区(如误用RSSI、忽视PHY选择等),并提供嵌入式设备中蓝牙低功耗设计的实用方案。通过无线信号层、控制器状态机和HCI控制三个维度,帮助开发者从"功能实现"进阶到"系统
2025-12-22 21:41:44
865
原创 用两本 Yocto 书籍,为海峡两岸嵌入式行业贡献一份力量
摘要:Yocto Project作为嵌入式系统重要工具,长期缺乏系统性的中文资料。两本新出版的中文书籍从不同角度梳理了其复杂构建过程,旨在降低技术门槛。这些著作将实践经验固化为可反复查阅的内容,填补了中文技术出版的空白。书籍的价值不在于展示技术复杂度,而在于提供确定性参考,帮助开发者减少摸索时间。作者希望通过这些文字为两岸嵌入式行业做出贡献,让宝贵经验得以传承。
2025-12-22 09:00:00
521
原创 SoC 低功耗实战方针与原理:以 Rockchip RK3588 为例
摘要:本文以Rockchip RK3588为例,系统讲解SoC低功耗优化的工程化方法。首先强调从产品需求反推策略,将功耗状态划分为3-5个等级,并建立电源树与Linux power domain的映射关系。详细分析RK3588的硬件架构(电源轨、时钟域、唤醒源等)和Linux四层低功耗模型(Idle/Runtime PM/DVFS/Suspend),提出可落地的五态功耗状态机设计(Full-On到Ultra-Low)。最后指出必须建立"外部电流测量+内部Linux观测"的验证体系,通过脚
2025-12-21 16:30:00
1125
原创 Rockchip 嵌入式安全系列设计实战
本文系统阐述了基于Rockchip SoC(如RK3588/RK3568)的嵌入式安全工程化设计方案。文章从硬件安全根(BootROM/OTP)出发,详细解析了Secure Boot可信启动链、TrustZone隔离机制、密钥分层体系等核心模块的设计要点,并提供了设备身份认证、防克隆存储等实战案例。重点强调嵌入式安全不是算法堆砌,而是通过硬件与软件协同设计,构建"攻击成本高于产品价值"的防护体系。文章还指出了常见工程误区,如密钥管理不当、功能边界模糊等问题,为开发者提供了从芯片级到系统级
2025-12-21 16:29:21
1070
原创 Rockchip BLE 低功耗唤醒方案:基于广播扫描的产品级设计与实战(含可执行步骤与代码)
本文介绍了基于Rockchip平台的BLE低功耗唤醒方案,通过广播扫描实现产品级设计。核心原理是利用BLE广播和扫描机制,避免建立连接以降低功耗。协议设计采用Manufacturer Specific Data(0xFF)进行设备识别,避免依赖易变的MAC地址或设备名称。方案包含系统级状态机设计、RSSI阈值判定逻辑,并提供了两种实现路线:推荐使用Controller层过滤+GPIO唤醒的低功耗方案,以及易于开发的Host解析方案。文中详细给出了抓包验证步骤、平板端发送广播的脚本示例,以及Camera端的唤
2025-12-20 19:44:58
1055
原创 Rockchip BLE 低功耗唤醒方案:基于广播扫描的产品级设计与实战(含可执行步骤与代码)
摘要:本文介绍基于Rockchip设备的BLE低功耗唤醒方案,通过广播扫描实现产品级设计。核心原理是利用BLE广播和扫描机制,避免连接以降低功耗。协议设计采用厂商自定义数据(0xFF)进行设备识别,确保产品化可靠性。系统级设计涵盖4台Camera与1台平板的交互状态机,并给出Rockchip实现低功耗唤醒的两种工程路线(推荐Controller层过滤)。文章还提供抓包验证步骤、平板发送唤醒广播的脚本示例,以及Camera端解析广播的C代码框架,助力快速落地可量产的BLE唤醒方案。
2025-12-20 19:44:06
1011
原创 基于 Yocto 的蓝牙 Peripheral 设备实战:初始化、连接与数据传输全流程解析
本文以Rockchip平台+Yocto系统为例,详细解析了蓝牙Peripheral设备的实战开发流程。主要内容包括:蓝牙角色模型中的Peripheral定位、Yocto系统中蓝牙初始信息的配置方法(通过main.conf和systemd服务)、设备广播与连接建立过程、以及核心的GATT数据传输实现。文章提供了清晰的配置示例和Python代码片段,重点阐述了Peripheral作为从设备如何被Central发现、连接并进行数据交互。全文以工程实践为导向,旨在帮助开发者在自己的板卡上快速实现蓝牙Peripher
2025-12-19 22:53:06
1231
原创 基于 Yocto 的蓝牙 Peripheral 设备实战:初始化、连接与数据传输全流程解析
本文以Rockchip平台+Yocto系统为例,详细讲解了蓝牙Peripheral设备的实战开发流程。首先明确了Peripheral角色定位,重点介绍了Yocto系统中蓝牙Peripheral的软件架构和初始化配置方法,包括BlueZ核心配置和systemd服务设置。文章详细解析了Peripheral被发现、建立连接的过程,并重点讲解了GATT数据传输机制,提供了一个基于D-Bus接口的最小GATT Server实现示例。全文以工程实践为导向,帮助开发者在自己的板卡上快速实现蓝牙Peripheral功能,掌
2025-12-19 22:51:15
810
原创 Jetson 视频流基础全解析:从摄像头到屏幕的完整链路(V4L2 + GStreamer 实战)
本文以 **NVIDIA Jetson 平台** 为实例,围绕 USB 摄像头的 **YUYV(RAW)** 与 **MJPEG(压缩)** 两种典型视频流,系统讲解 Linux 下视频流的完整链路与核心原理。
2025-12-18 19:10:37
1304
原创 Jetson 视频流基础全解析:从摄像头到屏幕的完整链路(V4L2 + GStreamer 实战)
本文以 **NVIDIA Jetson 平台** 为实例,围绕 USB 摄像头的 **YUYV(RAW)** 与 **MJPEG(压缩)** 两种典型视频流,系统讲解 Linux 下视频流的完整链路与核心原理。
2025-12-18 19:09:33
665
原创 Jetson 平台 OP-TEE API 核心接口与文件关系实战指南
本文为Jetson平台OP-TEE开发实战指南,重点解析关键接口与文件关系。主要内容包括:1) OP-TEE调用链路详解,从CA到TA的完整流程;2) 核心组件速查表,涵盖Normal World和Secure World的关键文件与实现;3) TEEC_InvokeCommand到TA的完整映射关系;4) Jetson平台实战必备接口文件清单,包含CA开发、TA开发及调试排障的核心要点。文章提供可直接落地的调试技巧,帮助开发者快速定位问题并实现功能开发。
2025-12-17 18:29:20
934
原创 Jetson OP-TEE 源代码结构全景解析:从目录树到 Hello TA 的工程路径
本文解析了Jetson平台OP-TEE的源代码结构,从"多世界"视角划分代码归属,梳理请求链路,并指导开发者如何阅读核心组件。文章重点讲解了optee_os(安全世界内核)、optee_client(普通世界入口)和samples(示例TA)三大关键目录的作用与关系,帮助初学者建立整体认知框架,并提供了最小实践路径建议。通过理解代码结构、请求流程和构建部署过程,开发者可以快速定位功能模块,为后续开发安全应用奠定基础。
2025-12-17 17:26:58
930
原创 在 Yocto 中配置 OP-TEE 的工程优势
OP-TEE 是 Jetson 安全架构中承载运行期安全的核心组件Yocto 提供了管理 OP-TEE 所需的结构化能力二者结合,才能真正构建完整、可维护、可量产的安全系统对于涉及 Secure Boot、密钥保护、License 管理或 AI 模型安全的 Jetson 项目而言,在 Yocto 中配置 OP-TEE 并非“进阶选项”,而是一项基础工程决策。以 Jetson AGX Orin 为代表的新一代 Jetson 平台,在性能和算力层面已经非常成熟。
2025-12-16 22:10:22
1026
原创 Jetson OP-TEE + EKB 实战解析:正确地使用 ekb_hello_seed 解密 helloworld_kdf.enc
本文解析了Jetson平台上OP-TEE与EKB的正确使用方法,重点解决工程师在使用ekb_hello_seed解密helloworld_kdf.enc时的常见困惑。文章强调"正确使用"的四层含义:不越权、不绕设计、不混职责、可量产,并指出helloworld_kdf.enc是业务密文而非EKB内容。通过CA→TA的受控调用路径,在Secure World内完成解密,仅将结果返回Normal World,确保安全模型不被破坏。完整流程展示了如何在不信任Linux的前提下安全使用关键材料,
2025-12-16 13:56:15
872
原创 NVIDIA Jetson OP-TEE 官方源码:从目录结构到 JetPack / Yocto 构建与运行的完整指南
本文系统解析了NVIDIA Jetson平台上OP-TEE的完整工程链路,涵盖源码结构、构建流程和运行机制。主要内容包括:1) OP-TEE在Jetson上的整体架构,包含Secure/Normal World组件;2) 官方源码目录详解,重点分析optee_os核心模块;3) 两种构建方式(JetPack与Yocto)的具体实现;4) 关键组件如optee_client、optee_test的功能与部署;5) 实战示例hwkey-agent的应用场景。文章还对比了JetPack与Yocto的差异,并列出各
2025-12-15 19:39:54
1062
原创 读懂 NVIDIA Jetson OP-TEE 官方源码:从目录结构到 JetPack / Yocto 构建与运行的完整指南
NVIDIA Jetson OP-TEE 源码解析与构建指南 本文系统讲解NVIDIA Jetson平台上OP-TEE的完整工程实现,涵盖源码结构、构建流程和系统集成。主要内容包括: OP-TEE在Jetson平台的整体架构,包括Secure World组件和Normal World接口 官方源码目录详解,重点分析optee_os、optee_client和测试套件的关键结构 两种构建方式对比:JetPack(L4T)的直接编译和Yocto(meta-tegra)的自动化构建 核心组件部署路径说明,如Sec
2025-12-15 19:39:11
1166
原创 OP-TEE HelloWorld 文件保护实战:把一份 `helloworld.txt` 交给 Secure World 保管(EKB → PTA → CA)
本文介绍了在Jetson Orin平台上实现OP-TEE文件保护的最小闭环方案。通过Secure World的PTA服务对文件进行AES-256加密保护,确保Linux侧只能看到密文,只有通过特定CA调用才能解密还原文件内容。文章详细讲解了EKB生成、OP-TEE环境验证、加密方案选择等关键步骤,最终实现"hello world"文本的加密保护与安全访问。该方案采用对称加密方式,密钥由Secure World管理,为嵌入式系统提供轻量级文件保护参考实现。
2025-12-14 19:42:30
875
原创 OP-TEE HelloWorld 文件保护实战:把一份 `helloworld.txt` 交给 Secure World 保管(EKB → PTA → CA)
本文介绍了基于OP-TEE的HelloWorld文件保护实战方案。主要内容包括:通过Secure World的PTA服务实现文件加密保护,Linux侧只能看到密文文件,只有通过CA调用才能解密;详细说明了EKB生成与刷入流程,并提供了最小闭环验证方法。方案采用AES-256-GCM/CBC对称加密,确保密钥安全存储在Secure World中。文章还给出了完整的操作链路和验收标准,帮助开发者快速实现文件保护功能。
2025-12-14 19:29:50
1121
原创 从“能解密”到“能守住”:实战阶段 3 —— 设计真正服务业务的 EKB 安全体系
本文探讨了EKB安全体系从基础解密到业务安全的关键跃迁。文章指出,前两个阶段验证了OP-TEE和EKB的基本功能后,阶段3需要解决的核心问题是:如何设计EKB的内容和使用方式,使其真正服务于业务安全而非流于形式。作者强调EKB不是简单的"钥匙文件",而是Secure World的"能力配置输入",并提出了分层设计方法:Root/Seed类Key、业务派生Key和能力接口三层架构。通过明确PTA与CA的职责边界,建立"不可越权的安全边界",确保即使L
2025-12-13 18:52:03
966
原创 在 Yocto 中配置 OP-TEE 的工程优势
本文以Jetson AGX Orin平台为例,系统分析了在Yocto中配置OP-TEE的工程优势。OP-TEE作为运行在Secure World的唯一操作系统组件,是实现"运行可信"的关键,而Yocto提供了结构化构建能力。文章详细阐述了OP-TEE在Jetson安全架构中的核心作用,以及Yocto对OP-TEE OS、TA、optee-client等组件的统一管理优势。通过Yocto+OP-TEE的组合,可实现可重复构建、可审计版本、可复制部署的安全系统,这对Jetson产品化至关重要
2025-12-13 16:57:27
901
原创 EKB 与 OP-TEE 如何真正保护你的密钥
摘要:本文深入解析了Jetson平台中EKB(加密密钥块)的安全机制,指出Secure Boot仅能保证启动代码可信,而EKB才是保护敏感密钥的核心组件。EKB通过硬件Fuse中的OEM_K1根密钥建立信任链,采用分层密钥体系(EKB_RK、EKB_EK等)实现密钥隔离,确保密钥只能被OP-TEE在安全世界中使用。文章详细介绍了EKB的生成流程、文件结构及运行时验证机制,强调EKB解决了密钥明文存储、设备绑定和用途隔离等关键安全问题,是Jetson产品化不可或缺的安全拼图。(149字)
2025-12-12 21:57:45
675
原创 Jetson 安全体系的最后一块拼图:EKB 与 OP-TEE 如何真正保护你的密钥
本文深入解析了Jetson平台中EKB(加密密钥块)与OP-TEE如何共同构建密钥保护体系。文章指出,Secure Boot仅能保证启动代码可信,而EKB专门用于保护系统中最敏感的密钥数据。EKB通过硬件Fuse中的OEM_K1根密钥建立信任链,采用分层密钥体系(KDF派生)和结构化二进制格式,确保密钥只能在OP-TEE安全环境中使用。该机制实现了密钥与硬件绑定、用途隔离、防复制等关键安全能力,是Jetson从开发转向产品化时不可或缺的核心组件。
2025-12-12 21:56:59
790
原创 如何系统学习 OP-TEE:概念、架构与实战
摘要: OP-TEE是ARM TrustZone体系下最成熟的开源可信执行环境(TEE),广泛应用于嵌入式安全领域。本文系统讲解OP-TEE的学习路径: 必要性:现代设备需TEE实现安全启动、密钥保护、DRM等功能,防止调试接口攻击和内存读取攻击 学习路线:从基础概念→系统架构→编译运行→TA开发→调试能力,形成完整知识体系 核心架构:包含optee-os(安全世界OS)、TA/CA通信机制、SMC调用等关键组件 实战示例:以Jetson AGX Orin为例,分析商业平台对TEE的定制化实现 适合嵌入式开
2025-12-11 18:08:18
1184
原创 Jetson Secure Boot 完整实战指南:从 Fuse Key → Boot Chain → 验签代码路径的源码级解析
本文详细解析了Jetson Orin安全启动的全链路机制,涵盖从Fuse密钥到各阶段验签的源码级实现。重点剖析了BootROM/MB1/MB2/UEFI/OP-TEE的签名验证流程,包括PKC/SBK/OEM_K1/OEM_K2等密钥的读取时机和使用方式。通过官方源码(OP-TEE、UEFI)展示了EKB解密、密钥派生以及UEFI对内核/initrd的验签过程,为开发者提供了一份完整的安全启动实现指南。
2025-12-11 16:34:13
1042
原创 Jetson Secure Boot:从 PKC/SBK 密钥到熔丝烧录与安全刷机
本文详细解析了NVIDIA Jetson平台的安全启动(Secure Boot)机制。通过BootROM、熔丝(Fuses)、PKC/RSA密钥体系和SBK/AES加密构建了完整的可信启动链(Chain of Trust),确保从硬件启动到操作系统内核的每个环节都经过严格验证。文章系统讲解了Secure Boot的核心价值、整体架构、PKC和SBK两大关键机制,并提供了详细的7步实施流程:从软件包安装、密钥生成到熔丝烧录和签名镜像刷写。最后阐述了启动时的完整验证流程,为开发者构建安全可靠的Edge AI产品
2025-12-10 21:02:46
1329
原创 # 非对称(PKC)与对称(SBK)加密算法全指南
本文系统化讲解了现代加密体系的两大支柱:非对称加密(PKC)和对称加密(SBK)。PKC通过公钥/私钥机制实现数字签名与验证,确保数据完整性和来源真实性,广泛应用于安全启动、软件签名等场景。SBK则使用单一密钥进行加解密,保护数据机密性,防止未授权访问。两类算法互补共存,共同构建完整的安全体系,在嵌入式设备、移动安全等领域发挥关键作用。文章通过流程图、示例代码和对比表格,清晰阐释了它们的核心原理、典型应用及协同工作方式。
2025-12-10 21:02:10
1679
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人