安全存储,ARM HUK

已于 2022-08-07 11:29:50 修改
阅读量1.8k 收藏 4
点赞数 1
分类专栏: 芯片安全 文章标签: 嵌入式硬件 arm开发
于 2022-08-07 10:50:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44610805/article/details/126206565
版权

HUK

HUK, Hardware Unique Key,指硬件唯一密钥,类似与人体指纹,对于硬件具有唯一性。HUK是烧写在芯片eFuse中的一段随机值,类似于TPM中Storage Root Key。
这段随机值无法通过CPU访问,但可以通过SOC内部安全引擎访问,将安全引擎视为一个函数接口,如
(Cipher, Tag) = AES-GCM-256(HUK, IV, AAD, PLAIN_TEXT)。
用户输入IV, AAD, PLAIN_TEXT,安全引擎将返回密文Cipher和Tag。
由于HUK的机密性与唯一性,通过芯片加密后的数据,仅能在该芯片解密。该芯片加密后的数据,存储下来后,被拷贝到别处将无法解密。

实际应用中,IV/AAD可以通过硬件真随机数生成。安全引擎的驱动代码一般部署在安全世界,如optee/ATF中,加密过程在安全世界处理。HUK一般不直接作为加密密钥,先由HUK派生出工作密钥(work key),再由work key对用户数据进行加密。这样软件流程为:

  1. (work_key, Tag) = AES-GCM-256(HUK, IV, AAD, PLAIN_TEXT)
  2. (Cipher, Tag) = AES-GCM-256(work_key, IV, AAD, PLAIN_TEXT)

Cache属性

由于CPU与安全引擎均需存储系统交互,需要注意cache属性设置问题,确保cpu与安全引擎获取数据的一致性。ARM core发出地址访问需要经过MMU,而硬件安全引擎访问内存则经过SMMU;需要通过设置页表保持访问空间cache属性的一致性,一般设置为Normal uncached unbuffered,即不经过cache去访问内存。

参考

https://optee.readthedocs.io/en/latest/architecture/secure_storage.html
https://www.jianshu.com/p/ba56e6a0d788

https://blog.csdn.net/shuaifengyun/article/details/73715950
https://zhuanlan.zhihu.com/p/42527644

https://blog.csdn.net/Thanksgining/article/details/111564548?spm=1001.2101.3001.6650.2&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-2-111564548-blog-73715950.pc_relevant_multi_platform_featuressortv2dupreplace&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-2-111564548-blog-73715950.pc_relevant_multi_platform_featuressortv2dupreplace&utm_relevant_index=5

qq_44610805
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
课时18:uuid、huk、hwkey简介
baron-周贺贺-代码改变世界ctw
03-08 455
使用软件方法生成唯一的设备密钥:设备制造商也可以使用软件方法生成设备的唯一密钥。这种方法通常需要在设备上运行安全的操作系统或受信任的执行环境,以保护生成的密钥不被未经授权的软件访问。使用额外的硬件安全模块 (HSM):设备制造商可以在设备上使用额外的HSM来生成和存储唯一的设备密钥。这些HSM可以生成在设备上的唯一密钥,并且在加密的形式下存储它们,以防止未经授权的访问。唯一性:每个设备的HUK都是唯一的,这意味着即使两个设备的硬件和软件配置完全相同,它们的HUK也不同。
计算机英语(编程词汇大全)
Genius only means hard-working all one's life.
12-13 2527
计算机英语(编程词汇大全) 来源地址:https://blog.csdn.net/D_hj05/article/details/80274471 application [ˌæplɪ'keɪʃ(ə)n]应用程式 应用、应用程序 application framework['freɪmwɜːk] 应用程式框架、应用框架 应用程序框架 architecture['ɑːkɪtektʃə] 架构、...
数据安全中的存储安全包含哪些内容,如何实现数据存储安全
无极低码
04-18 620
数据安全中的存储安全主要包括以下几个核心内容:数据备份与恢复:数据加密:访问控制:存储介质安全:逻辑存储安全安全审计与监控:漏洞管理与修复:灾难恢复与业务连续性计划:实现数据存储安全的方法包括但不限于:
安全存储
akfly的专栏
07-02 707
安全存储
如何安全存储密码
热门推荐
何海涛的专栏
02-16 1万+
 无论是开发App还是网站,只要有用户登录环节,就会牵涉到如何存储用户的密码的问题。如果采用的存储密码的技术不够安全,一旦黑客闯入存储密码的数据库,他就能获取用户的密码从而可能给用户带来重大损失。这种情形任何公司都不希望发生在自己身上,因此选择安全存储密码的策略显得十分必要。 不一定非要自己存储用户的密码 最简单的存储密码的方式就是自己并不存储,而是委托给信任的第三方存储
【读书笔记】安全存储用户数据
lbbandcheng的博客
07-20 920
文章:后端应该如何安全地储存用户数据? 总结: 一、用户信息之密码 讲密码的存储方案前,先要记住三条前提: 用户喜欢到处使用一样的密码 用户喜欢使用简单好记的密码 世界上没有绝对的安全,但当攻击成本远高于收益时,整个系统达到相对安全   Phrase 1:哈希 哈希保存的思路很简单:用户注册时,把他的密码做一次MD5运算储存起来;用户登录时,把他输入的密码做一次MD5运算,再验证是...
【OP-TEE】安全存储
努力创作有价值的文章
12-23 5012
背景 OP-TEE中的安全存储是根据 GlobalPlatform 的 TEE 内部核心 API(这里称为可信存储)中定义的内容来实现的。本规范规定,应该可以存储通用数据和关键材料,以保证所存储数据的机密性和完整性以及修改存储的操作的原子性(这里的原子性意味着整个操作要么成功完成,要么不写)。 目前,OP-TEE中有两种安全存储实现: 第一个依赖于普通世界(REE)文件系统,默认实现。它在编译时通过 CFG_REE_FS=y 启用。 第二种方法利用eMMC设备的重放保护内存块(RPMB)分区,通过设
29. OP-TEE移植指南
最是书香能致远,腹有诗书气自华
01-13 510
OP-TEE移植指南
HUK-API:Hachette UK API
02-06
**HUK-API:哈切特英国API** 哈切特英国API(HUK-API)是一个专为出版行业设计的接口,允许开发者和有兴趣的个人访问哈切特英国出版社的书籍、作者和其他出版相关的信息。这个API提供了对出版业数据的程序化访问,...
yngdieng:字典Huk-ziu-ua字典在线
04-18
榕典 Yngdieng :warning: 榕典尚处于开发早期阶段。你可以通过 跟踪项目进度或参与讨论。 福州话在线词典 Online Hokchew Dictionary server-releases web-releases miniapp | | 本地 Web 开发 Local web ...
huk-dotnet-sdk:Hachette UK API .NET SDK
02-05
Hachette UK API .NET SDK Hachette UK目前正在为我们的书目数据构建公共API网关。 这将包括以下资源: 产品(主要是书籍)。 人(我们书籍的撰稿人,例如我们可爱的作者)。 活动(示例书签) ...
HUK-COBURG:使用人工智能(AI)和远程信息处理技术的汽车保险市场创新与变革-研究论文
05-20
本案例研究讨论了HUK-COBURG运营和业务模型的变化和创新,包括风险分析,驾驶员行为评估,数据分析,行为保险的道德考量,远程信息处理业务案例以及HUK的新技术和AI实施哲学。 主要结论是,现有保险公司必须通过...
MockFog2:这是我的MockFog2存储库的个人开发分支
05-24
模拟烟雾2 该项目是一部分,其中包括以下子项目: 新版本和更强大的版本(正在开发中) 元存储库的轻量级版本,没有可视界面雾计算是一种新兴的计算范例,它使用位于边缘,云中以及可能介于两者之间的处理和存储功能...
ARM系列之ARM 平台安全架构PSA和Trustzone区别 浅析
ZP1015
11-29 5262
ARM系列之ARM 平台安全架构PSA和Trustzone区别 浅析 PSA要求是什么?C1.1 硬件级别的隔离环境C1.2 安全启动C1.3 生命周期管理C1.4 密钥管理差异总结 熟悉Arm的朋友基本都听说过TrustZone和PSA,但是很多不太了解两者之间是什么关系。TrustZone是Arm架构的安全扩展,是系统级的安全方案,已经被业内广泛的应用。 PSA是Arm在2017年推出的平台安全架构,主要目的是实现成本可控,易于实施,低风险的物联网安全基础平台。 那么PSA和Trustzone差异是什么
ARM平台安全要求
pslyunhai3255的博客
02-01 656
本文档规定了对片上系统(SoC)期望的多个市场最低安全要求。它主要面向需要符合各种安全性的芯片组设计人员要求。架构师、设计师和验证工程师可以使用这个规范来支持这个过程独立实验室的认证。本文档未指定特定的系统架构或特定组件的使用。另外Arm的文档提供了如何使用Arm最佳地满足安全要求的指导架构和系统IP。鼓励系统设计者检查是否符合规定的安全性要求。
聊聊TEEOS中的安全存储
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
12-27 633
其实提起安全存储,我脑子里第一时间想的是RPMB,因为当时做了一个关于RPMB的方案。如果你不知道RPMB是什么可以看看【一文简单了解RPMB】。第二时间想的是TEEOS的本质就是把数据安全存储在TEE的环境中。回归原文:安全存储是TEEOS重要特性之一,安全存储主要用来为用户保存敏感数据如密钥等信息。用户在使用安全存储功能保存数据时会在TEE内对数据进行加密,然后保存到REE侧的相关存储区域中。(类似于动态TA,就是保存在REE的文件系统,加载的到TEE侧的时候进行校验。
OPTEE安全存储
xcxhzjl的博客
01-13 2029
optee安全存储
OP-TEE的安全存储(一)
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-25 1612
OP-TEE的安全存储功能是OP-TEE为用户提供的安全存储机制。用户可使用安全存储功能来保存敏感数据、密钥等信息。使用OP-TEE安全存储功能保存数据时,OP-TEE会对需要被保存的数据进行加密,且每次更新安全文件时所用的加密密钥都会使用随机数重新生成,用户只要调用GP标准中定义的安全存储相关接口就能使用OP-TEE的安全存储功能对私有数据进行保护。需要被保护的数据被OP-TEE加密后会被保存到REE侧的文件系统、EMMC的RPMB分区或数据库中。
嵌入式硬件电路常用设计软件
最新发布
了不起的小白君的博客
07-04 976
Cadence Allegro是Cadence公司推出的先进PCB(Printed Circuit Board,印刷电路板)设计布线工具,也是目前最高端、最主流的PCB软件代表之一。Multisim是美国国家仪器(NI)有限公司推出的以Windows为基础的仿真工具,适用于板级的模拟/数字电路板的设计工作。Altium Designer(简称AD)是Protel的升级版,是一款集电路原理图设计、PCB设计、嵌入式软件开发以及FPGA设计等功能于一体的综合性设计软件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值