OP-TEE运行sha256函数——基于QEMUv8

已于 2024-05-21 20:25:28 修改
阅读量442 收藏 8
点赞数 3
文章标签: 安全架构 TEE optee c 可信执行环境 sha256 哈希函数
于 2024-05-21 19:11:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46841376/article/details/139098422
版权

文章目录

一、参考资料

本例子参考了网上的开源代码,进行修改后得到本例子
https://github.com/shuaifengyun/basicAlg_use/tree/master

该源码中主要涉及了OP-TEE中的一些密码学函数

我自己例程的目标:通过在OP-TEE中添加自定义的CA和TA,完成运算sha256的功能。

如何自定义CA与TA不在本文的范围内,本文主要说明如何调用sha256函数并计算对应的值。

二、自定义CA

根据optee_example_hello_world的模板修改得到对应的模板。重点关注传参的部分,本例程使用tmpref传参。分别传了输入的数据和长度,输出的数据和长度。

#include <err.h>
#include <stdio.h>
#include <string.h>

/* OP-TEE TEE client API (built by optee_client) */
#include <tee_client_api.h>

/* For the UUID (found in the TA's h-file(s)) */
#include <hash_ta.h>

int main(void)
{
	TEEC_Result res;
	TEEC_Context ctx;
	TEEC_Session sess;
	TEEC_Operation op;
	TEEC_UUID uuid = TA_HASH_UUID;
	uint32_t err_origin;

	//initializa sha256 param
	uint32_t len = 10;
	char pData[] = {'1','2','3','4','5','6','7','8','9','0'};
	uint32_t outLen = 256;
	char output[256] = {0};

	res = TEEC_InitializeContext(NULL, &ctx);
	if (res != TEEC_SUCCESS)
		errx(1, "TEEC_InitializeContext failed with code 0x%x", res);

	
	res = TEEC_OpenSession(&ctx, &sess, &uuid,
			       TEEC_LOGIN_PUBLIC, NULL, NULL, &err_origin);
	if (res != TEEC_SUCCESS)
		errx(1, "TEEC_Opensession failed with code 0x%x origin 0x%x",
			res, err_origin);

	memset(&op, 0, sizeof(op));

	op.paramTypes = TEEC_PARAM_TYPES(TEEC_MEMREF_TEMP_INPUT, TEEC_MEMREF_TEMP_OUTPUT,
					 TEEC_NONE, TEEC_NONE);
	op.params[0].tmpref.size = len;
	op.params[0].tmpref.buffer = pData;
	op.params[1].tmpref.size = outLen;
	op.params[1].tmpref.buffer = output;

	res = TEEC_InvokeCommand(&sess, TA_HASH_CMD_SHA256_VALUE, &op,
				 &err_origin);
	if (res != TEEC_SUCCESS)
		errx(1, "TEEC_InvokeCommand failed with code 0x%x origin 0x%x",
			res, err_origin);

	TEEC_CloseSession(&sess);

	TEEC_FinalizeContext(&ctx);

	return 0;
}

三、自定义TA

首先在TA_InvokeCommandEntryPoint函数中增加判断函数,将新增的运行sha256的CMD写入其中一种case,之后会执行对应的sha256函数。

#include <tee_internal_api.h>
#include <tee_internal_api_extensions.h>
#include <hash_ta.h>

/*
 * Called when the instance of the TA is created. This is the first call in
 * the TA.
 */
TEE_Result TA_CreateEntryPoint(void)
{
	DMSG("has been called");

	return TEE_SUCCESS;
}

/*
 * Called when the instance of the TA is destroyed if the TA has not
 * crashed or panicked. This is the last call in the TA.
 */
void TA_DestroyEntryPoint(void)
{
	DMSG("has been called");
}

/*
 * Called when a new session is opened to the TA. *sess_ctx can be updated
 * with a value to be able to identify this session in subsequent calls to the
 * TA. In this function you will normally do the global initialization for the
 * TA.
 */
TEE_Result TA_OpenSessionEntryPoint(uint32_t param_types,
		TEE_Param __maybe_unused params[4],
		void __maybe_unused **sess_ctx)
{
	uint32_t exp_param_types = TEE_PARAM_TYPES(TEE_PARAM_TYPE_NONE,
						   TEE_PARAM_TYPE_NONE,
						   TEE_PARAM_TYPE_NONE,
						   TEE_PARAM_TYPE_NONE);

	DMSG("open session has been called");

	if (param_types != exp_param_types)
		return TEE_ERROR_BAD_PARAMETERS;

	/* Unused parameters */
	(void)&params;
	(void)&sess_ctx;

	/*
	 * The DMSG() macro is non-standard, TEE Internal API doesn't
	 * specify any means to logging from a TA.
	 */
	IMSG("Hash !\n");

	/* If return value != TEE_SUCCESS the session will not be created. */
	return TEE_SUCCESS;
}

/*
 * Called when a session is closed, sess_ctx hold the value that was
 * assigned by TA_OpenSessionEntryPoint().
 */
void TA_CloseSessionEntryPoint(void __maybe_unused *sess_ctx)
{
	(void)&sess_ctx; /* Unused parameter */
	IMSG("close session Goodbye!\n");
}

static TEE_Result inc_value(uint32_t param_types,
	TEE_Param params[4])
{
	uint32_t exp_param_types = TEE_PARAM_TYPES(TEE_PARAM_TYPE_VALUE_INOUT,
						   TEE_PARAM_TYPE_NONE,
						   TEE_PARAM_TYPE_NONE,
						   TEE_PARAM_TYPE_NONE);

	DMSG("inc has been called");

	if (param_types != exp_param_types)
		return TEE_ERROR_BAD_PARAMETERS;

	IMSG("Got value: %u from NW", params[0].value.a);
	params[0].value.a+=5;
	IMSG("Increase value to: %u", params[0].value.a);

	return TEE_SUCCESS;
}

static TEE_Result dec_value(uint32_t param_types,
	TEE_Param params[4])
{
	uint32_t exp_param_types = TEE_PARAM_TYPES(TEE_PARAM_TYPE_VALUE_INOUT,
						   TEE_PARAM_TYPE_NONE,
						   TEE_PARAM_TYPE_NONE,
						   TEE_PARAM_TYPE_NONE);

	DMSG("dec has been called");

	if (param_types != exp_param_types)
		return TEE_ERROR_BAD_PARAMETERS;

	IMSG("Got value: %u from NW", params[0].value.a);
	params[0].value.a-=10;
	IMSG("Decrease value to: %u", params[0].value.a);

	return TEE_SUCCESS;
}

void TA_Print(char* buf,uint32_t len)
{
	uint32_t index = 0u;
	for(index = 0u;index < len;index++){
		TF("0x%02x",(buf[index] & 0xFFU));
	}
	TF("\n\n");
}

static TEE_Result sha256(uint32_t param_types,
	TEE_Param params[4])
{

	DMSG("sha256 called!");
	char* inputData = NULL;
	char* output = NULL;
	uint32_t inputLen = 0u;
	uint32_t outputLen = 0u;
	
	inputData = params[0].memref.buffer;
	inputLen = params[0].memref.size;
	output = params[1].memref.buffer;
	outputLen = params[1].memref.size;
	
	TEE_Result ret;
	TEE_OperationHandle oh;
	uint32_t alId = TEE_ALG_SHA256;
	
	//1
	ret = TEE_AllocateOperation(&oh,alId,TEE_MODE_DIGEST,0);
	if(ret != TEE_SUCCESS)
	{
		TF("sha256 handle failed!\n");	
	}
	//2
	TEE_DigestUpdate(oh,inputData,inputLen);
	//3
	ret = TEE_DigestDoFinal(oh,NULL,0,output,&outputLen);
	TA_Print(output,outputLen);
	if(ret != TEE_SUCCESS){
		TF("Do the final sha fail\n");
	}
	return TEE_SUCCESS;
}

/*
 * Called when a TA is invoked. sess_ctx hold that value that was
 * assigned by TA_OpenSessionEntryPoint(). The rest of the paramters
 * comes from normal world.
 */
TEE_Result TA_InvokeCommandEntryPoint(void __maybe_unused *sess_ctx,
			uint32_t cmd_id,
			uint32_t param_types, TEE_Param params[4])
{
	(void)&sess_ctx; /* Unused parameter */
	
	switch (cmd_id) {
	case TA_HASH_CMD_INC_VALUE:
		return inc_value(param_types, params);
	case TA_HASH_CMD_DEC_VALUE:
		return dec_value(param_types, params);
	case TA_HASH_CMD_SHA256_VALUE:
		return sha256(param_types, params);
	default:
		return TEE_ERROR_BAD_PARAMETERS;
	}
}

在自定义的sha256函数中,我们分别执行TEE_AllocateOperationTEE_DigestUpdateTEE_DigestDoFinal函数后,就可以得到inputdata进行sha256后得到的结果。

四、在头文件中自定义命令ID

我们可以在该头文件中(hash_ta.h),自定义sha256操作需要的CMD id,即TA_HASH_CMD_SHA256_VALUE。上面还有两个CMD id是之前Helloworld用的,在本例程中没有用到。也定义了对应的打印宏,即TF

#ifndef TA_HASH_H
#define TA_HASH_H

#define TA_HASH_UUID \
	{ 0x6aaaf200, 0x2450, 0x11e4, \
		{ 0xab, 0xe2, 0x00, 0x02, 0xa5, 0xd5, 0xc5, 0x1b} }

/* The function IDs implemented in this TA */
#define TA_HASH_CMD_INC_VALUE		0
#define TA_HASH_CMD_DEC_VALUE		1
#define TA_HASH_CMD_SHA256_VALUE       2

#define TF MSG_RAW

#endif /*TA_HASH_H*/

五、编译运行

当修改完文件并自定义好CA与TA后,我们需要重新进行编译,再运行,才能得到刚刚的结果。

重新编译源工程

make -f qemu_v8.mk all -j8

运行

make -f qemu_v8.mk run-only

之后再在Normal World的对话框中输入该模块对应的名字,即可成功运行sha256算法。

叶卡捷琳堡
关注
OP-TEEQEMU v8环境搭建指南 - 终极篇 嵌入式
weixin_50547796的博客
05-31 164
OP-TEEOpen Portable Trusted Execution Environment)是一个开源的可信执行环境,用于在ARM处理器上运行安全应用程序。在本篇文章,我们将详细介绍如何搭建OP-TEEQEMU v8的开发环境,并提供相应的源代码。与获取OP-TEE源代码类似,我们需要获取QEMU的源代码。您已成功搭建了OP-TEEQEMU v8的嵌入式开发环境。接下来,我们需要获取OP-TEE的源代码。您可以从OP-TEE的官方存储库克隆源代码。以下是OP-TEEQEMU v8
OP-TEE的线程管理(四)
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-01 1200
上面我们知道了IPC的相关东西,并回忆了系统调用的过程。下面来看看这个IPC具体是怎么实现的。
双因子认证系统登录模块
王村头的博客
04-21 4354
双因子认证系统登录模块 实现原理: 一、用户需要开启Google Authenticator服务时, 1.服务器随机生成一个类似于『DPI45HKISEXU6HG7』的密钥,并且把这个密钥保存在数据库。 2.在页面上显示一个二维码,内容是一个URI地址(otpauth://totp/账号?secret=密钥),如『otpauth://totp/kisexu@gmail.com?secret=DPI45HCEBCJK6HG7』,下图: otpauth://totp/kisexu@gmail.com?s
OP-TEE使用过程记录
u013921164的博客
02-26 2329
自己20年做的一些研究,不涉及保密部分,文所有内容均来自开源框架或者代码,自己仅按研究或者实现的过程进行了记录;请忽略附录部分,该部分不存在...
OP-TEE】 TA的签名与验签 基于optee 3.11
qq_42878531的博客
12-23 1598
TA的签名 以optee-os 3.11版本为例。在optee_os目录下,存放着签名的私钥和签名脚本。 工程目录/optee_os/keys/default_ta.pem 工程目录/optee_os/scripts/sign_encrypt.py 编译TA时会先将TA编译为elf文件。此时执行签名脚本,对elf文件签名并生成.ta文件。 签名使用了default_ta.pem私钥,此私钥通过编译时makefile调用python脚本时传入。 此脚本还会放置头部数据,shdr,放在TA镜像的头部。这是与签名
OP-TEE内核学习笔记(一)(安全存储)—— 密钥和文件结构
ZP1015
05-03 4678
这里写目录标题一、存储机制介绍二、OPTEE REE文件系统安全存储(OPTEE SFS机制)2.1 OP-TEE 系统安全文件2.2 GlobalPlatform 安全存储要求2.3 Linux 文件系统TEE 文件结构2.4 密钥管理器2.4.1 硬件唯一密钥`(Hardware Unique Key, HUK)`2.4.2 安全存储密钥`(Secure Storage Key, SSK)`2.4.3 TA存储密钥`(Trusted Application Storage Key, TSK)`2.
20. OP-TEETA与CA执行流程-------CA部分的代码篇
shuaifengyun的专栏
06-06 8924
历经一年多时间的系统整理合补充,《手机安全可信应用开发指南:TrustZone与OP-TEE技术详解》一书得以出版,书详细介绍了TEE以及系统安全的所有内容,全书按照从硬件到软件,从用户空间到内核空间的顺序对TEE技术详细阐述,读者可从用户空间到TEE内核一步一步了解系统安全的所有内容,同时书也提供了相关的示例代码,读者可根据自身实际需求开发TA。目前该书已在天猫、京东、当当同步...
OP-TEE基本的从芯片设计到给客户的安全问题浅析
Linux嵌入式新手学习的积累过程
07-17 5914
0 preface 基本概念缩写 TEE Trusted Execution Environment 可信执行环境,通常用来进行数字版权管理(DRM : Digital Rights Management )、移动支付和敏感数据保护。TEE实现是基于 ARM TrustZone。 REE(Rich Execution Environment)是所有移动设备通用的环境运行通用的 OS,例如 Android,IOS 系统, LINUX等。 OTP One-Time Programmable...
OP-TEE】 TA的加密与解密简介
qq_42878531的博客
12-21 4463
关于optee os 默认的TA加解密的讲解
PKCS#在嵌入式系统的应用——以OP-TEE为例
PixeGO的博客
09-12 258
本文以OP-TEE为例,介绍了在嵌入式系统集成PKCS#库,并使用其提供的功能实现RSA密钥生成、数字签名等操作。在OP-TEE使用PKCS#可以提供更强的安全性,为嵌入式系统增加密码学功能。首先,我们需要在OP-TEE集成PKCS#库。根据嵌入式设备的具体情况,选择合适的PKCS#实现库,并将其集成到OP-TEE的构建系统。我们使用PKCS#提供的API函数来设置操作的算法、模式和密钥,并最终对数据进行签名。我们使用PKCS#提供的API函数来操作密钥对象,设置密钥属性,最终生成RSA密钥对。
AN12632 Enhanced OpenSSL on i.MX 8M and i.MX 8MM
12-10
NXP的i.MX 8M和i.MX 8MM系列处理器为解决这一需求提供了硬件加密模块的支持,通过使用`libimxcrypt`库,OP-TEEOpen Portable Trusted Execution Environment)可以控制这些硬件加密模块来执行加速加密操作。...
20-optee详解之Trusted Applications
baron-周贺贺-代码改变世界ctw
07-17 87
有两种方法可以实现可信应用程序 (TA),伪 TA 和用户 模式 TA。用户模式 TA 是全功能的可信应用程序,由TEE 规范,这些只是这些 人们在说“受信任的应用程序”时指的是大多数 案例 这是编写和使用的首选 TA 类型。
05-optee内核-Pager
baron-周贺贺-代码改变世界ctw
07-24 73
自 初始化 OP-TEE,加载器将完整的二进制文件加载到内存并复制 标头后面的内容和后面的字节是。装载机供应在 未复制的内容后面的第一个字节的地址,并跳转到加载 启动 OP-TEE 的地址。当需要新的虚拟地址时 映射的空闲物理页将映射到新地址,如果空闲物理页。当物理页面时 发布后,它也从所有翻译表取消映射,并且它的内容 写回存储,则该字段设置为 请注意,物理页面未使用。除了如上所述的具有内部分区的整体二进制文件外,还有三个 在构建过程,会同时为加载器生成额外的二进制文件,这些加载器具有以下功能。
什么是云安全架构
最新发布
ITmoster的博客
11-21 598
以保护云环境为目标而创建和实施的策略、技术和实践被称为云安全架构,也被称为云计算安全体系结构,可帮助组织定义安全层、安全规则、最佳实践和其他治理技术,以充分利用其云环境。另一方面,云架构是指以最适合业务需求的方式安排和设计云环境使用的所有硬件、软件、数据和技术。
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9181
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3700
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7175
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1802
认识了 TypeScript 的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 2800
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
OP-TEE详解:隔离机制与设计目标
OP-TEEOptimized Trusted Execution Environment)是一种针对运行在Arm架构上的非安全Linux内核的可信执行环境,它利用了Arm TrustZone技术来实现硬件级别的安全隔离。TrustZone技术将系统分为两个独立的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值