目錄

• • • • 1、IoT Security Needs
      • 2、Hardware Security Module -- HSM
      • 3、PKCS#11 - Cryptoki
      • 4、Why not simply use HSM on IoT?
      • 5、OP-TEE Secure Key Services
      • 6、OP-TEE Secure Key Services Usage
      • 7、OP-TEE SKS Next Steps

參考代碼:
TA:optee_os/ta/pkcs11/src/
CA:optee_client/libckteec/src/

1、IoT Security Needs

(1)、Device security

• Trusted and authentic software / firmware execution
• Secure and verified boot

(2)、Network security

• Data integrity
• Authentication via unique device identity
• Data communication protection

2、Hardware Security Module – HSM

• 用于保護和管理密鑰的物理計算設備
• 密鑰材料和密碼操作難以篡改
• 允許導入、生成、導出密鑰和密碼
• 加密、解密、簽名和驗證操作
• 通過獨立于平臺的標準使用，例如 PKCS#11-

3、PKCS#11 - Cryptoki

• 加密設備的獨立于平臺的高級 API
• 智能卡和 HSM 的“標準”API
• OpenSSL、GnuTLS、wolfSSL 和許多其他package支持
• 強大的工具支持，包括完整的軟件實現
• 以基于對象的方法管理的簡單 API 和數據
• 最新規范版本為 v2.40，v3.0 即將發布

C_Initialize() C_GetInfo() C_GenerateKey() C_Encrypt() C_Decrypt() C_Digest() C_Sign() C_Verify() C_Finalize() ...

4、Why not simply use HSM on IoT?

(1)、花費

• 一些物聯網設備和應用受到成本限制
• TPM 作為替代方案，但眾所周知管理復雜

(2)、所有者實現
? 無法審查軟件實施
? 錯誤修復只能由模塊供應商提供

(3)、物聯網領域的大部分設備都說基于ARM的

• 可以將可信執行環境用作 HSM
• 可用的開源安全操作系統 - OP-TEE

5、OP-TEE Secure Key Services

• PKCS#11 服務作為 TA 的開源實現
• 由 Etienne Carriere etienne.carriere@linaro.org 發起
• RFC 可在 https://github.com/OP-TEE/optee_os/pull/2732 獲得
• Libsks 作為 PKCS#11 客戶端庫
• SKS TA 實施 PKCS#11 的 HSM
  負責管理和操作密鑰
  使用 TEE Internal Core API進行安全存儲
• 還有一個foundriesio項目(PKCS#11 CA/TA的實現) ： https://github.com/foundriesio/optee-sks

注:PR是pull request, RFC是request for comments

6、OP-TEE Secure Key Services Usage

7、OP-TEE SKS Next Steps

• 通過 optee_test 提高測試覆蓋率
• 擴展對其他機制的支持
• 上游進入 OP-TEE（作為主要項目的一部分提供）
• 添加對 PKCS#11 v3.0 的支持

總結

以上是生活随笔為你收集整理的optee HSM的实现的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。