AI 助理
文档备案控制台
开发者社区 平头哥芯片开放社区 文章 正文

YoC安全组件在CH5631芯片上的移植

2020-11-13 2332
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: CH5631 安全组件

image.png
简介
随着IoT设备爆发式的增长,IoT设备的安全性已经越来越得到广泛的重视,其应用场景包括敏感数据存储、云服务接入、网络安全通信、系统启动、系统固件升级、多媒体版权保护等。然而由于IoT设备能力、成本的碎片化,较难形成能够覆盖所有设备的普适方案,系统设计者必须提供高伸缩性、高可配置的系统方案。 CH5631芯片是用于智能语音交互类产品的AIOT平台,搭配RTOS系统软件和语音算法,在计算能力、存储性能、集成度、低功耗、安全做了深度优化,向产品开发者提供真正低成本、低功耗的完整解决方案。本文基于CH5631芯片平台介绍安全应用pangu_secure_demo的创建及安全组件的移植过程。

移植前准备
代码下载
YoC代码下载见YoC, 本文使用的YoC版本为7.4.

CH5631平台分析
CH5631平台主核为CK804T, 支持TEE安全机制的硬件安全保护,具有片上efuse资源,安全算法上支持AES/RSA/SHA/TRNG硬件安全引擎。

组件移植分析
移植mbedtls组件,支持系统云安全接入、网络安全通信。mbedtls安全算法通过调用sec_crypto组件间接调用CH5631平台硬件能力。

移植sec_crypto,提供安全算法接口。

移植key_mgr, 支持基于efuse的密钥存储。

pangu_secure_demo

基于pangu_demo模板快速创建新应用方案。

移植前请阅读了解yocbook相关内容 最小系统、安全机制及安全组件介绍、CSI设计驱动接口、阿里云(MQTT)传感数据上云例程。

CSI驱动移植。安全组件依赖AES、SHA、RSA、RNG、Efuse驱动。

安全组件移植
步骤1、创建pangu_secure_demo
YoC代码根目录下从模板创建目录
cd ./solutions
cp -r pangu_demo pangu_secure_demo
修改pangu_secure_demo/package.yaml 配置文件,修改后如下:
name: pangu_secure_demo
version: v7.4-dev # <必选项> 组件版本号
description: CH5631安全组件DEMO
type: solution
solution:
board_name: pangu_cpu0
cpu_id: cpu0

depends: # 该组件依赖其他的组件

  • csi: v7.4-dev
  • drivers: v7.4-dev
  • minilibc: v7.4-dev
  • aos: v7.4-dev
  • rhino: v7.4-dev
  • console: v7.4-dev
  • csi_pangu: v7.4-dev
  • pangu_cpu0: v7.4-dev # '>' | ‘>=' | ''
  • uservice: v7.4-dev
  • partition: v7.4-dev

编译参数

build_config:
include:

- app/include
-

internal_include:

- app/include
- app/src

libs:
libpath:
#cflag: "-g -O0"
ldflag: -nostartfiles -Wl,--gc-sections -lm -Wl,-ckmap="yoc.map" -Wl,-zmax-page-size=1024

源文件

source_file:

  • app/src/init/cli_cmd.c
  • app/src/init/init.c
  • app/src/*.c

def_config:
CONFIG_DEBUG: 1
CONFIG_ARCH_CSKY: 1
CONFIG_PARAM_NOT_CHECK: 1

CONFIG_CLI: 1

CONFIG_KV_SMART: 1
CONFIG_SOFTWDT: 1
CONFIG_AT: 1
CONFIG_NTP: 1
CONFIG_USING_TLS: 1

CONFIG_NON_ADDRESS_FLASH: 1

CONFIG_KERNEL_WORKQUEUE: 1
CONFIG_SYSTICK_HZ: 1000

CONFIG_CHIP_PANGU: 1
CONFIG_CHIP_PANGU_CPU0: 1
CONFIG_KERNEL_RHINO: 1
CONFIG_ARCH_INTERRUPTSTACK: 4096
CONFIG_CLI_TASK_STACK_SIZE: 8192

CONFIG_VENDOR_NAME: "thead"
CONFIG_CHIP_NAME: "pangu"
CONFIG_BOARD_NAME: "pangu_cpu0"
CONFIG_CPU: "ck804ef"
删除pangu_demo代码并添加pangu_secure_demo应用的代码。添加后目录如下:

├── app
│ ├── include
│ │ ├── app_config.h
│ │ ├── app_init.h
│ │ ├── csi_config.h
│ │ └── yoc_config.h
│ └── src
│ ├── app_main.c
│ ├── app_main.h
│ ├── demo_ecc_dsa.c
│ ├── demo_ecc_utils.c
│ ├── demo_ecc_utils.h
│ ├── demo_key_mgr.c
│ ├── demo_mbedtls.c
│ ├── demo_sec_crypto.c
│ ├── demo_sec_alimqtt.c
│ ├── demo_utils.h
│ ├── init
│ │ ├── cli_cmd.c
│ │ └── init.c
├── Makefile
├── package.yaml
├── README.md
└── SConstruct

步骤2、安全组件配置
package.yaml中添加安全组件依赖:

depends: # 该组件依赖其他的组件
...

  • mbedtls: v7.4-dev
  • sec_crypto: v7.4-dev
  • key_mgr: v7.4-dev
    package.yaml中添加配置项,设置平台安全机制为TEE:

CONFIG_TEE_CA: 1
package.yaml中添加配置项,使mbedtls 安全算法调用sec_crypto平台实现,进而间接调用平台TEE安全机制。

MBEDTLS_AES_ALT: 1
MBEDTLS_SHA256_ALT: 1
MBEDTLS_RSA_ALT: 1
package.yaml中添加配置项,支持密钥存储在efuse中:

CONFIG_TB_KP: 1
package.yaml 配置文件修改后如下:

name: pangu_secure_demo
version: v7.4-dev # <必选项> 组件版本号
description: CH5631安全组件DEMO

type: solution

solution:
board_name: pangu_cpu0
cpu_id: cpu0

depends: # 该组件依赖其他的组件

  • csi: v7.4-dev
  • drivers: v7.4-dev
  • minilibc: v7.4-dev
  • aos: v7.4-dev
  • rhino: v7.4-dev
  • console: v7.4-dev
  • csi_pangu: v7.4-dev
  • pangu_cpu0: v7.4-dev # '>' | ‘>=' | ''
  • uservice: v7.4-dev
  • partition: v7.4-dev
  • mbedtls: v7.4-dev
  • sec_crypto: v7.4-dev
  • key_mgr: v7.4-dev

编译参数

build_config:
include:

- app/include
-

internal_include:

- app/include
- app/src

libs:
libpath:
ldflag: -nostartfiles -Wl,--gc-sections -lm -Wl,-ckmap="yoc.map" -Wl,-zmax-page-size=1024

源文件

source_file:

  • app/src/init/*
  • app/src/*.c

def_config:
CONFIG_DEBUG: 1
CONFIG_ARCH_CSKY: 1
CONFIG_PARAM_NOT_CHECK: 1

CONFIG_CLI: 1

CONFIG_KV_SMART: 1
CONFIG_SOFTWDT: 1
CONFIG_AT: 1
CONFIG_NTP: 1
CONFIG_USING_TLS: 1

CONFIG_NON_ADDRESS_FLASH: 1

CONFIG_KERNEL_WORKQUEUE: 1
CONFIG_SYSTICK_HZ: 1000

CONFIG_CHIP_PANGU: 1
CONFIG_CHIP_PANGU_CPU0: 1
CONFIG_KERNEL_RHINO: 1
CONFIG_ARCH_INTERRUPTSTACK: 4096
CONFIG_CLI_TASK_STACK_SIZE: 8192

CONFIG_VENDOR_NAME: "thead"
CONFIG_CHIP_NAME: "pangu"
CONFIG_BOARD_NAME: "pangu_cpu0"
CONFIG_CPU: "ck804ef"

##secure config##
CONFIG_TEE_CA: 1

#mbedtls
MBEDTLS_AES_ALT: 1
MBEDTLS_SHA256_ALT: 1
MBEDTLS_RSA_ALT: 1

#key_mgr
CONFIG_TB_KP: 1

#pangu_secure_demo
MBEDTLS_SELF_TEST: 1
CONFIG_SECURITY_DEMO_MBEDTLS: 1
CONFIG_SECURITY_DEMO_SEC_CRYPTO: 1
CONFIG_SECURITY_DEMO_TEST: 1
CONFIG_SECURITY_DEMO_KEY_MGR: 1

步骤3、移植验证
该步骤验证以上的移植是否成功。
编译pangu_secure_demo 并烧写镜像。
重启单板,系统自动运行pangu_secure_demo程序。
重启后串口应该有如下打印,提示输入运行命令。

Welcome to CLI...

mbedtls基本验证命令

sdemo mbedtls
运行成功后串口有如下打印:

AES-ECB-128 (dec): passed
AES-ECB-128 (enc): passed
AES-ECB-192 (dec): passed
AES-ECB-192 (enc): passed
AES-ECB-256 (dec): passed
AES-ECB-256 (enc): passed

AES-CBC-128 (dec): passed
AES-CBC-128 (enc): passed
AES-CBC-192 (dec): passed
AES-CBC-192 (enc): passed
AES-CBC-256 (dec): passed
AES-CBC-256 (enc): passed

AES-CTR-128 (dec): passed
AES-CTR-128 (enc): passed
AES-CTR-128 (dec): passed
AES-CTR-128 (enc): passed
AES-CTR-128 (dec): passed
AES-CTR-128 (enc): passed

SHA-1 test #1: passed
SHA-1 test #2: passed
SHA-1 test #3: passed

SHA-224 test #1: passed
SHA-224 test #2: passed
SHA-224 test #3: passed
SHA-256 test #1: passed
SHA-256 test #2: passed
SHA-256 test #3: passed

CTR_DRBG : passed
CTR_DRBG : passed

RSA key validation: passed
PKCS#1 encryption : passed
PKCS#1 decryption : passed
PKCS#1 data sign : passed
PKCS#1 sig. verify: passed
key_mgr验证命令:
sdemo km
运行成功后串口有如下打印:

key_mgr_demo_main passed!
sec_crypto验证命令
sdemo sec_crypto
运行成功后串口有如下打印:

sec_crypto_sha1_demo passed!
sec_crypto_sha224_demo passed!
sec_crypto_sha256_demo passed!
sec_crypto_rng_demo passed!
sec_crypto_aes_demo passed!
sec_crypto_rsa_demo passed!
mbedtls组件联网验证
通过调用mbedtls实现已MQTT方式安全接入aliyun IoT,验证mbedtls正常工作。

package.yaml中配置MQTT需要的WIFI SSID、PSK、device name信息:

CONFIG_WIFI_SSID: "TESTXXX"
CONFIG_WIFI_PSK: "TESTXXX"
CONFIG_DEVICE_NAME: "e6d0ec6104400000b97baff21bebe40f"
通过串口 CLI命令配置从阿里云注册的联网三要素,如:

factory setali 222lg7ARENf e6d0ec1234400000b97baff21bebe40f 9aaa94b0bdfabdcab815b79ec51ae37e ab09
运行MQTT接入命令:

sdemo alimqtt
运行成功后串口有如下打印:

[ 22.594]tls LD CA root Cert
[ 22.599]tls SSL/TLS struct
[ 22.602]tls Conn /a18lg7ARENf.iot-as-mqtt.cn-shanghai.aliyuncs.com/1883
[ 22.684]tls Handshake
[ 22.938]tls Verify X.509
[ 22.941]tls certverify ret 0x00
[ 22.997]app_net CONNNECT SUCCESS
运行数据发布命令:

sdemo push
运行成功后串口有如下打印:

{"temp":20,"humi":20,"led":1,"deviceName":"e6d0ec6104400000b97baff21bebe40f"}
[ 28.877]app_net push action
[ 28.976]app_net PUSH_SUCCESS

文章标签:
云消息队列 MQ
云安全
网络安全
物联网
安全
芯片
算法
存储
开发者
相关实践学习
消息队列RocketMQ版:基础消息收发功能体验
本实验场景介绍消息队列RocketMQ版的基础消息收发功能,涵盖实例创建、Topic、Group资源创建以及消息收发体验等基础功能模块。
消息队列 MNS 入门课程
1、消息队列MNS简介 本节课介绍消息队列的MNS的基础概念 2、消息队列MNS特性 本节课介绍消息队列的MNS的主要特性 3、MNS的最佳实践及场景应用 本节课介绍消息队列的MNS的最佳实践及场景应用案例 4、手把手系列:消息队列MNS实操讲 本节课介绍消息队列的MNS的实际操作演示 5、动手实验:基于MNS,0基础轻松构建 Web Client 本节课带您一起基于MNS,0基础轻松构建 Web Client
游客vt4oaxzsy6z7g
目录
相关文章
wzymaster
|
8月前
|
人工智能 自然语言处理 搜索推荐
AI赋能教育与阿里云通义千问的结合
本简介介绍了AI技术如何赋能教育行业,结合阿里云“通义千问”大模型,助力海豚大数据及人工智能实验平台实现个性化教学、智能答疑与资源优化,推动高校与企业人才培养模式革新,构建终身学习生态体系。
wzymaster
633 1
Kelvin3999
|
数据采集 Web App开发 存储
Java爬虫第五篇:使用selenium、Jsoup 抓取bing搜索图片
Java爬虫第五篇:使用selenium、Jsoup 抓取bing搜索图片
Kelvin3999
725 0
亚当&middot;
|
存储 搜索推荐 C语言
C语言中的指针函数:深入探索与应用
C语言中的指针函数:深入探索与应用
亚当&middot;
610 1
做梦都在改BUG
|
机器学习/深度学习 自然语言处理 数据可视化
文本挖掘与可视化:生成个性化词云的Python实践【7个案例】
词云(Word Cloud),又称为文字云或标签云,是一种用于文本数据可视化的技术,通过不同大小、颜色和字体展示文本中单词的出现频率或重要性。在词云中,更频繁出现的单词会显示得更大,反之则更小。
做梦都在改BUG
1485 1
帅政的oss
|
人工智能 vr&ar Android开发
探索智能手机操作系统的未来发展
本文将探讨智能手机操作系统的未来发展方向,重点关注安卓和iOS两大主流系统,并分析其技术特点、发展趋势以及对用户体验的影响。同时,还将探讨人工智能、虚拟现实等新兴技术对操作系统的应用,并展望未来智能手机操作系统的创新可能性。
帅政的oss
366 0
布客飞龙
|
TensorFlow 算法框架/工具 计算机视觉
精通 TensorFlow 2.x 计算机视觉:第三、四部分
精通 TensorFlow 2.x 计算机视觉:第三、四部分
布客飞龙
480 0
疯狂学习GIS
|
编解码 定位技术
ArcGIS制作论文研究区域示意图的方法
本文介绍基于ArcMap软件,绘制论文中研究区域示意图、概况图等的方法~
疯狂学习GIS
2110 1
ArcGIS制作论文研究区域示意图的方法
syst1_m
|
前端开发
CSS 漂浮幽灵动画动态展示特效
CSS 漂浮幽灵动画动态展示特效
syst1_m
286 0
游客r65awjjoofvp6
|
SQL 安全 JavaScript
阿里云服务器购买和部署项目图文详解
很多小白用户不太了解阿里云服务器购买的流程,已经购买后如何使用阿里云服务器部署项目,那么现在就让我跟大家系统的讲解一下吧。
游客r65awjjoofvp6
698 0
陈童学哦
|
人工智能 C语言
信奥赛一本通(2034:【例5.1】反序输出)
【题目描述】 输入n个数,要求程序按输入时的逆序把这n个数打印出来,已知整数不超过100个。也就是说,按输入相反顺序打印这n个数。 【输入】 输入一行共有n个数,每个数之间用空格隔开。 【输出】
陈童学哦
1367 0

平头哥芯片开放社区

热门文章

最新文章

  • 1
    什么是中间件,中间件是什么意思?
  • 2
    Docker容器内Permission denied解决方法
  • 3
    深度学习和自然语言处理:诠释词向量的魅力
  • 4
    【YOLOv8改进】Polarized Self-Attention: 极化自注意力 (论文笔记+引入代码)
  • 5
    编译错误CS1595
  • 6
    Silverlight实用窍门系列:61.Silverlight中的Trigger触发器,自定义翻页触发器
  • 7
    撰写oracle-sql-hint的注意事项
  • 8
    WinForm 换行问题 textbox (转)
  • 9
    char的本质
  • 10
    SQL SERVER2005 中的错误捕捉与处理
  • 1
    四旋翼飞行器UAV_MPC模型预测轨迹跟踪控制研究(Matlab代码实现)
    43
  • 2
    OpenClaw“龙虾”入驻百度贴吧实操教程:从部署到发帖全攻略
    298
  • 3
    部署OpenClaw有哪些成本?附OpenClaw低成本部署指南
    175
  • 4
    GLTF 与 GLB:哪种格式适合你的 3D 项目
    34
  • 5
    什么是 glb/glTF 格式,为什么它们对 3D 设计师如此重要?
    72
  • 6
    Maven settings.xml 最全配置详解:从入门到精通
    140
  • 7
    ESP C3 Super Mini 踩坑记:WiFi 能搜到却连不上?降低功率试试
    52
  • 8
    RouteRAG:用特殊 Token 和强化学习构建可学习的 RAG 检索策略
    52
  • 9
    Nimbus 高分辨率红外辐射计数字条带数据 L1,HDF5 V001
    42
  • 10
    最真实的模拟炒股软件,模拟资产操作Move模块
    79

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    PHP:将本地文件上传到阿里云OSS存储