YoC安全组件在CH5631芯片上的移植

简介: CH5631 安全组件

image.png
简介
随着IoT设备爆发式的增长,IoT设备的安全性已经越来越得到广泛的重视,其应用场景包括敏感数据存储、云服务接入、网络安全通信、系统启动、系统固件升级、多媒体版权保护等。然而由于IoT设备能力、成本的碎片化,较难形成能够覆盖所有设备的普适方案,系统设计者必须提供高伸缩性、高可配置的系统方案。 CH5631芯片是用于智能语音交互类产品的AIOT平台,搭配RTOS系统软件和语音算法,在计算能力、存储性能、集成度、低功耗、安全做了深度优化,向产品开发者提供真正低成本、低功耗的完整解决方案。本文基于CH5631芯片平台介绍安全应用pangu_secure_demo的创建及安全组件的移植过程。

移植前准备
代码下载
YoC代码下载见YoC, 本文使用的YoC版本为7.4.

CH5631平台分析
CH5631平台主核为CK804T, 支持TEE安全机制的硬件安全保护,具有片上efuse资源,安全算法上支持AES/RSA/SHA/TRNG硬件安全引擎。

组件移植分析
移植mbedtls组件,支持系统云安全接入、网络安全通信。mbedtls安全算法通过调用sec_crypto组件间接调用CH5631平台硬件能力。

移植sec_crypto,提供安全算法接口。

移植key_mgr, 支持基于efuse的密钥存储。

pangu_secure_demo

基于pangu_demo模板快速创建新应用方案。

移植前请阅读了解yocbook相关内容 最小系统、安全机制及安全组件介绍、CSI设计驱动接口、阿里云(MQTT)传感数据上云例程。

CSI驱动移植。安全组件依赖AES、SHA、RSA、RNG、Efuse驱动。

安全组件移植
步骤1、创建pangu_secure_demo
YoC代码根目录下从模板创建目录
cd ./solutions
cp -r pangu_demo pangu_secure_demo
修改pangu_secure_demo/package.yaml 配置文件,修改后如下:
name: pangu_secure_demo
version: v7.4-dev # <必选项> 组件版本号
description: CH5631安全组件DEMO
type: solution
solution:
board_name: pangu_cpu0
cpu_id: cpu0

depends: # 该组件依赖其他的组件

  • csi: v7.4-dev
  • drivers: v7.4-dev
  • minilibc: v7.4-dev
  • aos: v7.4-dev
  • rhino: v7.4-dev
  • console: v7.4-dev
  • csi_pangu: v7.4-dev
  • pangu_cpu0: v7.4-dev # '>' | ‘>=' | ''
  • uservice: v7.4-dev
  • partition: v7.4-dev

编译参数

build_config:
include:

- app/include
-

internal_include:

- app/include
- app/src

libs:
libpath:
#cflag: "-g -O0"
ldflag: -nostartfiles -Wl,--gc-sections -lm -Wl,-ckmap="yoc.map" -Wl,-zmax-page-size=1024

源文件

source_file:

  • app/src/init/cli_cmd.c
  • app/src/init/init.c
  • app/src/*.c

def_config:
CONFIG_DEBUG: 1
CONFIG_ARCH_CSKY: 1
CONFIG_PARAM_NOT_CHECK: 1

CONFIG_CLI: 1

CONFIG_KV_SMART: 1
CONFIG_SOFTWDT: 1
CONFIG_AT: 1
CONFIG_NTP: 1
CONFIG_USING_TLS: 1

CONFIG_NON_ADDRESS_FLASH: 1

CONFIG_KERNEL_WORKQUEUE: 1
CONFIG_SYSTICK_HZ: 1000

CONFIG_CHIP_PANGU: 1
CONFIG_CHIP_PANGU_CPU0: 1
CONFIG_KERNEL_RHINO: 1
CONFIG_ARCH_INTERRUPTSTACK: 4096
CONFIG_CLI_TASK_STACK_SIZE: 8192

CONFIG_VENDOR_NAME: "thead"
CONFIG_CHIP_NAME: "pangu"
CONFIG_BOARD_NAME: "pangu_cpu0"
CONFIG_CPU: "ck804ef"
删除pangu_demo代码并添加pangu_secure_demo应用的代码。添加后目录如下:

├── app
│ ├── include
│ │ ├── app_config.h
│ │ ├── app_init.h
│ │ ├── csi_config.h
│ │ └── yoc_config.h
│ └── src
│ ├── app_main.c
│ ├── app_main.h
│ ├── demo_ecc_dsa.c
│ ├── demo_ecc_utils.c
│ ├── demo_ecc_utils.h
│ ├── demo_key_mgr.c
│ ├── demo_mbedtls.c
│ ├── demo_sec_crypto.c
│ ├── demo_sec_alimqtt.c
│ ├── demo_utils.h
│ ├── init
│ │ ├── cli_cmd.c
│ │ └── init.c
├── Makefile
├── package.yaml
├── README.md
└── SConstruct

步骤2、安全组件配置
package.yaml中添加安全组件依赖:

depends: # 该组件依赖其他的组件
...

  • mbedtls: v7.4-dev
  • sec_crypto: v7.4-dev
  • key_mgr: v7.4-dev
    package.yaml中添加配置项,设置平台安全机制为TEE:

CONFIG_TEE_CA: 1
package.yaml中添加配置项,使mbedtls 安全算法调用sec_crypto平台实现,进而间接调用平台TEE安全机制。

MBEDTLS_AES_ALT: 1
MBEDTLS_SHA256_ALT: 1
MBEDTLS_RSA_ALT: 1
package.yaml中添加配置项,支持密钥存储在efuse中:

CONFIG_TB_KP: 1
package.yaml 配置文件修改后如下:

name: pangu_secure_demo
version: v7.4-dev # <必选项> 组件版本号
description: CH5631安全组件DEMO

type: solution

solution:
board_name: pangu_cpu0
cpu_id: cpu0

depends: # 该组件依赖其他的组件

  • csi: v7.4-dev
  • drivers: v7.4-dev
  • minilibc: v7.4-dev
  • aos: v7.4-dev
  • rhino: v7.4-dev
  • console: v7.4-dev
  • csi_pangu: v7.4-dev
  • pangu_cpu0: v7.4-dev # '>' | ‘>=' | ''
  • uservice: v7.4-dev
  • partition: v7.4-dev
  • mbedtls: v7.4-dev
  • sec_crypto: v7.4-dev
  • key_mgr: v7.4-dev

编译参数

build_config:
include:

- app/include
-

internal_include:

- app/include
- app/src

libs:
libpath:
ldflag: -nostartfiles -Wl,--gc-sections -lm -Wl,-ckmap="yoc.map" -Wl,-zmax-page-size=1024

源文件

source_file:

  • app/src/init/*
  • app/src/*.c

def_config:
CONFIG_DEBUG: 1
CONFIG_ARCH_CSKY: 1
CONFIG_PARAM_NOT_CHECK: 1

CONFIG_CLI: 1

CONFIG_KV_SMART: 1
CONFIG_SOFTWDT: 1
CONFIG_AT: 1
CONFIG_NTP: 1
CONFIG_USING_TLS: 1

CONFIG_NON_ADDRESS_FLASH: 1

CONFIG_KERNEL_WORKQUEUE: 1
CONFIG_SYSTICK_HZ: 1000

CONFIG_CHIP_PANGU: 1
CONFIG_CHIP_PANGU_CPU0: 1
CONFIG_KERNEL_RHINO: 1
CONFIG_ARCH_INTERRUPTSTACK: 4096
CONFIG_CLI_TASK_STACK_SIZE: 8192

CONFIG_VENDOR_NAME: "thead"
CONFIG_CHIP_NAME: "pangu"
CONFIG_BOARD_NAME: "pangu_cpu0"
CONFIG_CPU: "ck804ef"

##secure config##
CONFIG_TEE_CA: 1

#mbedtls
MBEDTLS_AES_ALT: 1
MBEDTLS_SHA256_ALT: 1
MBEDTLS_RSA_ALT: 1

#key_mgr
CONFIG_TB_KP: 1

#pangu_secure_demo
MBEDTLS_SELF_TEST: 1
CONFIG_SECURITY_DEMO_MBEDTLS: 1
CONFIG_SECURITY_DEMO_SEC_CRYPTO: 1
CONFIG_SECURITY_DEMO_TEST: 1
CONFIG_SECURITY_DEMO_KEY_MGR: 1

步骤3、移植验证
该步骤验证以上的移植是否成功。
编译pangu_secure_demo 并烧写镜像。
重启单板,系统自动运行pangu_secure_demo程序。
重启后串口应该有如下打印,提示输入运行命令。

Welcome to CLI...

mbedtls基本验证命令

sdemo mbedtls
运行成功后串口有如下打印:

AES-ECB-128 (dec): passed
AES-ECB-128 (enc): passed
AES-ECB-192 (dec): passed
AES-ECB-192 (enc): passed
AES-ECB-256 (dec): passed
AES-ECB-256 (enc): passed

AES-CBC-128 (dec): passed
AES-CBC-128 (enc): passed
AES-CBC-192 (dec): passed
AES-CBC-192 (enc): passed
AES-CBC-256 (dec): passed
AES-CBC-256 (enc): passed

AES-CTR-128 (dec): passed
AES-CTR-128 (enc): passed
AES-CTR-128 (dec): passed
AES-CTR-128 (enc): passed
AES-CTR-128 (dec): passed
AES-CTR-128 (enc): passed

SHA-1 test #1: passed
SHA-1 test #2: passed
SHA-1 test #3: passed

SHA-224 test #1: passed
SHA-224 test #2: passed
SHA-224 test #3: passed
SHA-256 test #1: passed
SHA-256 test #2: passed
SHA-256 test #3: passed

CTR_DRBG : passed
CTR_DRBG : passed

RSA key validation: passed
PKCS#1 encryption : passed
PKCS#1 decryption : passed
PKCS#1 data sign : passed
PKCS#1 sig. verify: passed
key_mgr验证命令:
sdemo km
运行成功后串口有如下打印:

key_mgr_demo_main passed!
sec_crypto验证命令
sdemo sec_crypto
运行成功后串口有如下打印:

sec_crypto_sha1_demo passed!
sec_crypto_sha224_demo passed!
sec_crypto_sha256_demo passed!
sec_crypto_rng_demo passed!
sec_crypto_aes_demo passed!
sec_crypto_rsa_demo passed!
mbedtls组件联网验证
通过调用mbedtls实现已MQTT方式安全接入aliyun IoT,验证mbedtls正常工作。

package.yaml中配置MQTT需要的WIFI SSID、PSK、device name信息:

CONFIG_WIFI_SSID: "TESTXXX"
CONFIG_WIFI_PSK: "TESTXXX"
CONFIG_DEVICE_NAME: "e6d0ec6104400000b97baff21bebe40f"
通过串口 CLI命令配置从阿里云注册的联网三要素,如:

factory setali 222lg7ARENf e6d0ec1234400000b97baff21bebe40f 9aaa94b0bdfabdcab815b79ec51ae37e ab09
运行MQTT接入命令:

sdemo alimqtt
运行成功后串口有如下打印:

[ 22.594]tls LD CA root Cert
[ 22.599]tls SSL/TLS struct
[ 22.602]tls Conn /a18lg7ARENf.iot-as-mqtt.cn-shanghai.aliyuncs.com/1883
[ 22.684]tls Handshake
[ 22.938]tls Verify X.509
[ 22.941]tls certverify ret 0x00
[ 22.997]app_net CONNNECT SUCCESS
运行数据发布命令:

sdemo push
运行成功后串口有如下打印:

{"temp":20,"humi":20,"led":1,"deviceName":"e6d0ec6104400000b97baff21bebe40f"}
[ 28.877]app_net push action
[ 28.976]app_net PUSH_SUCCESS

相关实践学习
快速体验阿里云云消息队列RocketMQ版
本实验将带您快速体验使用云消息队列RocketMQ版Serverless系列实例进行获取接入点、创建Topic、创建订阅组、收发消息、查看消息轨迹和仪表盘。
消息队列 MNS 入门课程
1、消息队列MNS简介 本节课介绍消息队列的MNS的基础概念 2、消息队列MNS特性 本节课介绍消息队列的MNS的主要特性 3、MNS的最佳实践及场景应用 本节课介绍消息队列的MNS的最佳实践及场景应用案例 4、手把手系列:消息队列MNS实操讲 本节课介绍消息队列的MNS的实际操作演示 5、动手实验:基于MNS,0基础轻松构建 Web Client 本节课带您一起基于MNS,0基础轻松构建 Web Client
相关文章
|
图计算 索引
leetcode-42:接雨水
leetcode-42:接雨水
101 0
|
机器学习/深度学习 人工智能 算法
Python中的SciPy:科学计算的瑞士军刀
在科学计算领域,Python已经逐渐成为了一种主流的语言,其强大的扩展库和易用性使得它成为了数据科学家、工程师和研究人员的首选。其中,SciPy库是Python科学计算生态系统中不可或缺的一部分,它提供了大量的数学、科学和工程函数,使得Python在科学计算方面具备了强大的能力。
|
人工智能 算法 数据挖掘
PIE-Engine遥感云计算云服务平台(1)
PIE-Engine遥感云计算云服务平台(1)
1477 0
PIE-Engine遥感云计算云服务平台(1)
|
机器学习/深度学习 存储 人工智能
《大数据&AI实战派 第1期》电子版下载
《大数据&AI实战派》系列电子书由阿里云开发者社区与阿里灵杰共同打造,覆盖数据计算、数据分析、数据湖/湖仓一体、机器学习等多个领域,解读各技术领域基础原理,剖析行业实践案例。电子书第1期以《阿里云大数据知识图谱》为核心,通过阿里云大数据&AI产品能力介绍结合操作实践,培养大数据开发者从“生产-采集-存储-分析-开发-治理-价值体现”的技术能力。
156 0
《大数据&AI实战派 第1期》电子版下载
|
API
LeetCode——最长回文子串(中心拓展法)
LeetCode——最长回文子串(中心拓展法)
167 0
LeetCode——最长回文子串(中心拓展法)
|
弹性计算 Java Linux
|
SQL Java 数据库连接
|
8天前
|
弹性计算 关系型数据库 微服务
基于 Docker 与 Kubernetes(K3s)的微服务:阿里云生产环境扩容实践
在微服务架构中,如何实现“稳定扩容”与“成本可控”是企业面临的核心挑战。本文结合 Python FastAPI 微服务实战,详解如何基于阿里云基础设施,利用 Docker 封装服务、K3s 实现容器编排,构建生产级微服务架构。内容涵盖容器构建、集群部署、自动扩缩容、可观测性等关键环节,适配阿里云资源特性与服务生态,助力企业打造低成本、高可靠、易扩展的微服务解决方案。
1194 4
|
7天前
|
机器学习/深度学习 人工智能 前端开发
通义DeepResearch全面开源!同步分享可落地的高阶Agent构建方法论
通义研究团队开源发布通义 DeepResearch —— 首个在性能上可与 OpenAI DeepResearch 相媲美、并在多项权威基准测试中取得领先表现的全开源 Web Agent。
950 12