Security Boot secure Boot的介绍

最新推荐文章于 2024-05-23 15:15:43 发布
最新推荐文章于 2024-05-23 15:15:43 发布
阅读量1.2k 收藏 13
点赞数 14
分类专栏: C语言使用 Arm 文章标签: arm arm开发
Open Sourece L
本文链接:https://blog.csdn.net/qq_36389249/article/details/135152118
版权

什么是secure boot

secure boot 是一种保证平台上软件完整性的过程或机制。secure boot会在硬件和软件之间建立一种信任关系。在启用secure boot之后,没有经过签名的固件和软件是无法运行在该设备上。通过这种方式可以保证操作系统免受恶意攻击。secure boot一般使用公钥/私钥来进行固件的验证和应用程序的签名。

为什么需要 secure boot

如果以上流程中的flash中的镜像被更换,最终系统会运行被修改后的固件程序,造成安全泄露。

在这里插入图片描述

secure boot的安全级别
在这里插入图片描述

EL3 secure Hypervisor 最高的管理权限,负责安全检测和secure world和normal world之间的切换

EL2 hypervisor 提供了对虚拟化的支持

EL1 是一个特权模式,主席那个一些指令和运行各类型的操作系统,在secure world就是secure OS 比如TEE

EL0 是无权模式,所有的APP的都会在这一层级

secure boot 启动流程

在这里插入图片描述

BL1 是信任链的根所在一般是固化在芯片内部的一段代码,叫做bootrom, 拥有最高的执行权限EL3,在CPU出厂的时候就被写死了。 芯片复位上电之后,bootrom的代码会从固件位置加载BL2,然后初始化sram, 在BL2的验签通过后会跳转到BL2.

BL2 和BL1一样拥有EL3的至高权限,不同的是BL2是在Flash中的一段可信的安全启动代码,它的可信是建立在BL1的验证通过上。主要是在BL2完成一些平台的初始化,比如说是DDR的初始化等。在初始化完成之后,会寻找BL31或BL33,对其进行执行,找到BL31就不会再调用BL33,这两必须存在一个。

BL31 是EL3的最后一个阶段,是听过SMC指令为Non-Secure持续提供设计安全的服务。在secure world和Non secure world之间进行切换,主要是找BL32,验签,然后运行BL32.

BL32 是所谓的secure os 在ARM的TEE(Trusted Execution Enviroment)实现, OP-TEE是基于ARM TrustZone硬件架构实现的软件secure OS。一般在这个阶段会运行OPTeeOS+ 安全App. 是可信任的OS运行在EL1并且在EL0启动可信任APP。 并且在Trust OS运行完成后通过SMC指令返回BL31,切换到BL31, BL31切换到Non secure world继续知悉BL33

BL33 就是Normal World了,运行的都是非安全固件,也就是常见的UEFI firmwre 或者 u-boot 也可能是自启动的linux kernel。

启动BL1 BL2 BL31 BL32就是一个完整的ATF信任链的建立过程(ARM Trusted Firmware),比如常见的PSCI (power state coordination interface) 功能是在BL31上实现的。
在这里插入图片描述

猿胖子
关注
  • 14
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
万字长文:安全启动之SecureBoot启动吧(小白也能看懂!)
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
08-14 676
安全引导(Secure Boot)功能是指在系统的整个启动过程中,使用链式验证电子签名的方式来验证系统中重要镜像文件的可靠性,然后再加载镜像文件的引导过程。安全引导功能可以保护二级厂商系统的独立性和完整性。在ARMv8架构中ARM提供了ARM可信固件(ATF)。Bootloader、Linux内核、TEE OS的启动都由ATF来加载和引导。对于ARMv8, Bootloader、Linux内核和TEE OS镜像文件的验签工作都是在ATF中完成的。本文将介绍安全引导功能的原理以及ATF的启动过程。
SecureOS:OpenSecurity的官方操作系统
05-26
支持警告 该项目不再处于积极开发中,任何人都不会维护。 它不再适用于现代版本的OpenComputers,并且不再包含在OpenSecurity中。 除非有人决定开始对其进行更新,否则该项目应被视为已死。 安全操作系统 您好,感谢您调查我的这个小项目和“官方”操作系统。 SecureOS的目标(SOS的简称)是提供一个更类似Unix和默认的操作系统的安全版本- OpenOS -为 ,是不是太倒胃口到OpenOS用户还是非Unix用户。 如果发现任何错误,问题或认为可以帮助改善SOS,请提出新的问题。 系统要求 SecureOS已在“最大容量” T3服务器上进行了游戏测试。 但是,它可以在以下规格上运行: 最低限度: T3外壳(如果使用APU,则为T2。) T1 CPU或T2 APU(设置为Lua 5.2) T2图形卡(如果使用APU,则不需要。) x2 T2内存 x1 T1
一文搞懂Secure Boot (安全启动)
yuchengjie1988的博客
01-28 4084
如果SBL被黑客替换,黑客可以在自己的SBL中不去校验FBL,从而替换掉FBL,在非法的FBL中不对APP进行校验,从而替换掉APP,由此可见信任根(上面例子中的SBL)在安全启动过程中的重要性。TDA4的软件系统包含的软件组件不止上面提到的SBL、FBL及APP,还有主域A72运行的软件(Linux或QNX),主域R5F核运行的软件,以及DSP核(C66, C71等),这些软件镜像的校验过程和上面描述的是一样的。如果对文中的任何内容有任何建议请不吝赐教,如果想看到更多相关的感兴趣的内容,也欢迎私信联系。
04-安全启动介绍
最新发布
n320533510的博客
05-23 74
目前很多车规级MCU都继承了硬件安全模块,如ST的SPC58,英飞凌Tc3xx,瑞萨的RH850等,提供了集成的HSM模块,这些模块利用独立的核来保证可信,属于硬件上的信任根。使用最底层Bootloader作为信任根,对于无HSM参与时,由于MCU算例有限,加密时间可能会比较长,此时可以通过并行校验的方式即程序可以不等待校验完成就跳转,但当校验出程序被篡改后程序则停止执行,并对相关信息进行记录。信任根:是安全启动过程的基础,它是系统中最先被信任的元素,可以是一个硬件设备或者一段固化在只读存储器中的程序。
浅析安全启动(Secure Boot
explore_world的博客
04-09 256
安全启动的根本目的是为了防止消费者从软硬件层面对产品的部分关键系统进行读写、调试等高权限的操作。以限制消费者的能力,来达到保护产品的商业机密、知识产权等厂家权益的目的。当然,厂家是不会这样宣传 Secure Boot 的。他们的文案通常都是通过这项技术保护用户的隐私,防止恶意软件修改系统软硬件等等。不过不论如何,随着 ARM 架构的广泛授权,基于 TrustZone 的 Secure Boot 也越来越普遍了。
secure boot (二)基本概念和框架
嵌入式与Linux那些事的博客
09-21 6418
secure boot是指确保在一个平台上运行的程序的完整性的过程或机制。secure boot会在固件和应用程序之间建立一种信任关系。在启用secure boot功能后,未经签名的固件或程序将不能运行在该设备上。通过这种方式,可以保护操作系统免受恶意攻击。secure boot一般使用公钥/私钥来验证固件和应用程序的签名是否合法。消息摘要又称为数字摘要。它是一个唯一对应一个消息或文本的固定长度的值,它由一个单向Hash加密函数对消息进行作用而产生。
secure boot 是什么
void的博客
11-29 7347
一、secure boot 是什么 secure boot,中文叫安全启动。是电脑行业成员共同开发的一种安全机制。 用于确保电脑只能启动原装系统。如果电脑重装了其他系统,那么这个系统是启动不了的。说白了,就是垄断。 所以安装完其他系统,必须关闭 secure boot,新系统才能启动 二、如何关闭 secure boot
Secure Boot什么意思?BIOS中Secure Boot灰色无法更改解决方法详解
jh035的博客
11-26 5935
在主板Bios设置中,Secure Boot是UEFI BIOS的一个子规则,位于传统(Legacy)BIOS的BOOT选项下,微软规定所有预装Win8操作系统的厂商(即OEM厂商)都必须打开Secure Boot(在主板里面内置Win8的公钥)。另外,有时候这个Secure Boot是灰色的无法更改,这又要如何解决呢?总之,BIOS下Secure Boot灰色无法更改时,你会发现选项修改的位置有所不同,这是跟主板的设置有关系,大家可以查看自己的主板,有选项就设置,没有则略过。
Secureboot概念
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
12-04 3330
最近在微信公众号接触到了一个Secureboot这个概念。什么是Secureboot?借用一句广告词:业务安全的基石是APP安全,APP安全的基石是操作系统安全,操作系统安全的基石是SecureBoot安全。Secure Boot是验证应用域内的一个/多个应用CPU子系统执行的一个/多个应用程序映像的完整性和真实性(多应用核和多内存段),验证策略由用户定义,包括:被验证的内容、验证方式、验证结果分析处理。是不是有点绕?来先看看背景: 手机厂商建立了手机内部处理器与手机操作系统的绑定关系(也就是说**开启 S
MTK secure boot.pdf
03-23
MTK secure boot移植总结,详细整理了移植过程以及原理分析。
Secure Boot方案介绍及实施流程
07-17
详细阐述了手机的secure boot方案原理及实施办法
MTK secure boot2020.zip
08-15
MTK Secure Boot 2020 是针对MT8735平台的一个安全启动技术文档,主要探讨了如何在MTK平台上实现更为严密的系统启动流程,以增强设备的安全性。安全启动是现代智能设备中一个至关重要的环节,它确保设备在开机时运行...
MTK Secure Boot V1.1.pdf
12-03
MT8163 secureboot v1.1流程,在开发secureboot过程中遇到很多问题,现在分享给有需要的朋友。希望对大家有所帮助
Secure Boot overview
06-01
BIOS Secure Boot Implementing a Secure Boot Path with UEFI 2.3.1 UEFI Summer Plugfest–July 6-9, 2011Presented by Jeff Bobzin, Insyde Software UEFI Plugfest
secure boot 基本概念和框架
m0_54090930的博客
04-03 2021
secure boot是指确保在一个平台上运行的程序的完整性的过程或机制。secure boot会在固件和应用程序之间建立一种信任关系。在启用secure boot功能后,未经签名的固件或程序将不能运行在该设备上。通过这种方式,可以保护操作系统免受恶意攻击。secure boot一般使用公钥/私钥来验证固件和应用程序的签名是否合法。消息摘要算法消息摘要又称为数字摘要。它是一个唯一对应一个消息或文本的固定长度的值,它由一个单向Hash加密函数对消息进行作用而产生。
浅析安全启动(Secure Boot) —写得很好
热门推荐
04-01 1万+
前言 安全启动的根本目的是为了防止消费者从软硬件层面对产品的部分关键系统进行读写、调试等高权限的操作。以限制消费者的能力,来达到保护产品的商业机密、知识产权等厂家权益的目的。当然,厂家是不会这样宣传 Secure Boot 的。他们的文案通常都是通过这项技术保护用户的隐私,防止恶意软件修改系统软硬件等等。不过不论如何,随着 ARM 架构的广泛授权,基于 TrustZone 的 Secure Boot 也越来越普遍了。本文是通过我自己对市面上的一些基于 ARM TrustZone 的 Sec...
关于Secureboot的简单介绍[结合rk平台]
技术交流
03-11 1万+
secure boot目的 secure boot方案对系统软件采用签名认证的方式,在设备出厂前对设备操作系统的Image文件进行签名认证,并将公钥的Hash值写入芯片的一次性可编程模块。由于不同文件计算得到的Hash值不同,采用secure boot方案的设备每次启动时都会先校验系统的Hash值,即和芯片内的Hash值进行比较,然后对签名images的一级一级校验,实现从设备芯片到系统软件的链式...
联想bios设置u盘启动 找不到Security Boot
07-28
联想电脑在设置u盘启动时,有时可能会找不到Security Boot选项。这可能是因为该选项在BIOS设置中被禁用了。要解决这个问题,你可以按照以下步骤进行操作: 1. 首先,重启你的联想电脑并进入BIOS设置界面。通常情况下,你可以在开机时按下F2或者Delete键来进入BIOS设置。 2. 在BIOS设置界面中,找到Boot选项,并进入其中。 3. 在Boot选项中,你可能会看到一个名为Security Boot的选项。如果这个选项被禁用了,你将无法找到它。 4. 要启用Security Boot选项,你需要找到一个名为Secure Boot或者Security Features的选项。进入该选项后,你可以找到Security Boot并将其启用。 5. 保存并退出BIOS设置界面,然后重新启动电脑。 现在,你应该能够在BIOS设置中找到Security Boot选项了。这样,你就可以继续设置u盘启动了。请注意,不同型号的联想电脑可能会有略微不同的BIOS设置界面和选项名称,但是基本的步骤是相似的。如果你仍然遇到问题,建议查阅联想电脑的用户手册或者联系联想客服获取更详细的帮助。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [联想主板bios设置u盘启动项的方法怎么操作](https://blog.csdn.net/qq_29508575/article/details/125389884)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [联想台式电脑bios设置u盘启动教程](https://blog.csdn.net/weixin_28987547/article/details/118750510)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值