建立本机网站新网站怎么做友情链接

建立本机网站,新网站怎么做友情链接,公司页面设计,青岛李沧区网站建设#x1f4fa; B站视频讲解#xff08;Bilibili#xff09;#xff1a;https://www.bilibili.com/video/BV1k1C9BYEAB/ #x1f4d8; 《Yocto项目实战教程》京东购买链接#xff1a;Yocto项目实战教程 读懂 NVIDIA Jetson OP-TEE 官方源码#xff1a;从目录结构到 JetPa…B站视频讲解Bilibilihttps://www.bilibili.com/video/BV1k1C9BYEAB/《Yocto项目实战教程》京东购买链接Yocto项目实战教程读懂 NVIDIA Jetson OP-TEE 官方源码从目录结构到 JetPack / Yocto 构建与运行的完整指南本文以NVIDIA 官方 nvidia-jetson-optee-source/optee源码为核心从目录结构 → 构建流程 → 产物形态 → 系统集成 → 运行与验证五个维度系统讲清楚 Jetson 平台上 OP-TEE 的完整工程链路。内容同时覆盖JetPackL4T/Ubuntu与Yoctometa-tegra两种主流体系帮助你在两套系统中都能正确编译、部署并运行 OP-TEE 相关组件。一、整体架构速览Jetson 上的 OP-TEE 是如何工作的在 Jetson 平台OP-TEE 并不是一个“单独的程序”而是一整套**跨启动链、跨世界Secure/Normal**的工程体系主要由以下部分组成OP-TEE OSSecure World运行在 TrustZone Secure World 的可信操作系统TEE ClientNormal WorldLinux 用户态与 Secure World 通信的标准接口库TEE SupplicantNormal World 守护进程辅助 OP-TEE OS 完成存储、文件、RPMB 等操作TA / PTASecure World 应用在 Secure World 中执行的可信应用CANormal World 客户端Linux 用户态程序通过 TEE Client API 调用 TA/PTA在 Jetson 启动链中BootROM / MB1 / MB2 完成早期启动OP-TEE OStos-optee.img* 被加载到 Secure WorldLinux Kernel 启动Normal WorldLinux 用户空间启动tee-supplicant用户程序CA通过/dev/tee*与 OP-TEE 通信二、源码目录总览以 nvidia-jetson-optee-source/optee 为准你当前看到的目录结构如下optee/ ├── atf_and_optee_README.txt ├── optee_client/ ├── optee_os/ ├── optee_test/ ├── samples/ └── tegra234-optee.dts这是Jetson 官方 OP-TEE 源码的完整工程形态下面逐一拆解。三、optee_osSecure World 的核心最关键1. 目录定位optee_os/ ├── core/ ├── ldelf/ ├── lib/ ├── ta/ ├── mk/ ├── scripts/ ├── keys/ └── prebuilt/optee_os是运行在 Secure World 的 OP-TEE 操作系统本体最终会被编译成tos-optee_t234.img或同类名称并在启动时由 Bootloader 加载。2. 关键子目录说明1core/OP-TEE 内核核心代码包含线程调度、内存管理、TEE syscall 实现与 Linux Kernel 类似的“内核态”部分2ldelf/TA LoaderELF 装载器Secure World 中负责加载.ta文件xtest / hwkey-agent 中大量日志都与 ldelf 有关3ta/Secure World 中 TA / PTA 的公共支持代码PTAPseudo TA通常以内建形式存在于 OP-TEE OS4mk/构建系统核心Makefile 片段ta_dev_kit.mk就在这里所有 TA 的交叉编译都依赖这一套工具链定义5keys/测试密钥 / 示例密钥量产中通常不会直接使用这里的 key3. 构建 optee_os生成 Secure OS 镜像JetPackL4T方式在 NVIDIA 提供的 Driver Package 中cdLinux_for_Tegra/source/opteemakePLATFORMtegra234生成的核心产物包括out/arm-plat-tegra/core/tee.bin经过签名/封装后成为tos-optee_t234.img该镜像在刷机阶段写入A_secure-os分区。Yoctometa-tegra方式在 Yocto 中recipeoptee-os_%.bbincludeoptee-l4t.incYocto 会拉取nvidia-jetson-optee-source进入optee_os/使用交叉工具链构建生成tos-optee*.img集成进最终刷机镜像关键点Yocto 构建的 OP-TEE OS 与 JetPack 使用的是同一套源码只是构建系统不同。四、optee_clientNormal World 的通信桥梁1. 目录定位optee_client/ ├── libteec/ ├── tee-supplicant/ ├── Makefile └── README.mdoptee_client提供了 GlobalPlatform 标准定义的 TEE Client API。2. 核心组件libteeclibteec.soCANormal World 程序必须链接的库提供TEEC_InitializeContextTEEC_OpenSessionTEEC_InvokeCommandtee-supplicantLinux 用户态守护进程OP-TEE OS 在 Secure World 中无法直接访问 Linux 文件系统通过 RPC 请求由 tee-supplicant 代为完成文件访问RPMB安全存储3. 构建与部署JetPackNVIDIA 已预编译默认安装在/usr/lib/libteec.so /usr/sbin/tee-supplicantYoctorecipeoptee-client_%.bb构建后自动进入 rootfs五、optee_test验证 OP-TEE 是否正常工作的标准套件1. 目录结构optee_test/ ├── host/ ├── ta/ └── README.md2. xtest 的意义xtest是 OP-TEE 官方的回归测试程序能系统性验证Secure World 是否在跑TA 是否能加载基本加密算法是否可用你之前成功运行xtest已经证明OP-TEE OS optee_client tee-supplicant 整条链路是通的六、samples官方给你的“工程级示例”1. 目录结构samples/ ├── hwkey-agent/ ├── luks-srv/ ├── ftpm-helper/ ├── cpubl-payload-dec/ └── pkcs11-sample/这些不是玩具示例而是真实业务模型的参考实现。2. hwkey-agent与你当前工作最相关samples/hwkey-agent/ ├── ta/ # Secure World TA ├── host/ # Normal World CA └── READMETA运行在 Secure WorldCALinux 用户态程序你已经在 Yocto 中构建并运行nvhwkey-app就来自这里。3. 构建方式以 Yocto 为例Yocto 中recipeoptee-nvsamples构建产物路径示例build/ca/hwkey-agent/nvhwkey-app build/ta/hwkey-agent/*.ta这些文件在 rootfs 中的放置规则文件位置CA/usr/bin/TA/lib/optee_armtz/七、关键文件最终都放到哪里非常重要类型文件位置Secure OStos-optee_t234.imgA_secure-os 分区EKBeks_t234.imgA_eks 分区TA*.ta/lib/optee_armtz/CA可执行文件/usr/bin/libteeclibteec.so/usr/lib/supplicanttee-supplicant/usr/sbin/八、JetPack 与 Yocto 的差异总结维度JetPackYocto构建方式NVIDIA 预编译 手动bitbake 自动灵活性中高适合阶段验证 / Demo产品化OP-TEE 修改麻烦非常自然你现在走 Yocto 路线是做安全产品的正确选择。九、如何基于这套源码继续你的 HelloWorld 安全工程在你已经完成的阶段基础上gen_ekb.py→ 把 hello_seed 放进 EKBOP-TEE OS 启动 → Secure World 解析 EKBPTA → 从 EKB 读取 seedCA → 请求“加密/解密服务”但永远拿不到 key你现在理解的这套目录结构 构建方式正是你后续每一步安全设计的“地图”。九、EKBEncrypted Key BlobJetson OP-TEE 的密钥构建与运行时使用核心在前面的章节中我们已经完整走通了 OP-TEE 的源码结构、构建方式以及在 JetPack / Yocto 中的运行形态。但如果要真正把 OP-TEE 用于业务级安全就绕不开一个核心机制EKBEncrypted Key Blob。这一节将把 EKB 的构建逻辑、生成流程、启动时解析路径以及运行时使用方式系统性地补齐使整篇文章形成一个从“源码 → 构建 → 启动 → 业务”的完整闭环。9.1 为什么需要 EKB在 Jetson 的安全设计中有一个非常明确的目标业务密钥不能明文存在于 Linux 文件系统中也不能在运行时被 Linux 直接读取。但与此同时OP-TEE 需要在启动后稳定地拿到这些密钥密钥需要支持 OTA 更新不同安全业务磁盘加密、UEFI、应用加密需要不同 keyEKB 正是为了解决这一组矛盾而设计的EKB 是一个加密后的二进制密钥容器存放在EKS 分区只能被Secure WorldOP-TEE解密和解析Linux 永远只能看到密文9.2 EKB 在启动链中的位置在 Jetson 平台EKB 的使用路径是固定的Flash / OTA ↓ EKS 分区eks_t234.img ↓ MB2 ↓ OP-TEE OS 启动 ↓ jetson-user-key PTA 解析 EKB ↓ 密钥进入 Secure World 内存几个关键点EKB 不在 rootfs 中EKB 不在 Linux 视角可读的分区中只有 OP-TEE 在启动早期才能拿到它9.3 EKB 的核心构建流程工程视角9.3.1 构建输入材料一个最小但完整的 EKB至少包含输入作用OEM_K1Root of Trust烧录到 FuseFV随机向量用于派生 EKB_RK用户密钥如 hello_seed业务真正使用的 seed这些输入不会直接以明文形式出现在设备上。9.3.2 gen_ekb.py 的角色在nvidia-jetson-optee-source中EKB 是通过官方工具生成的optee/samples/hwkey-agent/host/tool/gen_ekb/gen_ekb.py这个脚本本质上做了 5 件事使用 OEM_K1 FV 派生EKB_RK基于 NIST-SP-800-108 KDF 派生EKB_EK加密EKB_AK认证将用户密钥如 hello_seed按 tag 编码进 EKB 内容使用 EKB_EK 对内容加密使用 EKB_AK 生成 MAC最终输出eks_t234.img9.4 一个最小业务 EKB 的示例HelloWorld 场景以最简单的业务为例我希望 Secure World 中持有一个 hello_seed用它派生 AES key对 Linux 文件进行加解密。构建步骤概览生成 hello_seed32 字节随机数修改 gen_ekb.py增加-in_hello_seed将 hello_seed 作为一个新的 key_tag 写入 EKB生成 eks_t234.img刷写到 A_eks 分区在这个过程中hello_seed 只在生成阶段短暂存在上板后设备中不再存在明文 seed9.5 OP-TEE 启动时如何解析 EKB在 OP-TEE OS 启动过程中Secure Engine 从 Fuse 中加载 OEM_K1OP-TEE 计算 EKB_RK验证 EKB 的 MAC解密 EKB 内容将 key_tag → key 的映射保存到 PTA 内部结构这一逻辑主要位于optee_os/core/pta/jetson-user-key/这也是为什么Linux 永远无法直接访问这些 keyCA 只能“请求服务”而不能“请求密钥”9.6 EKB 与 PTA / CA 的职责边界组件能看到什么Linux CA看不到任何明文 keytee-supplicant看不到 keyPTASecure World能看到并使用 keyOP-TEE Core负责生命周期与隔离一个典型业务调用是Linux CA → PTA请帮我加密这个 buffer PTA使用 EKB 中的 hello_seed 派生 key PTA完成加密返回密文Linux 全程不知道 key不知道派生方式只能看到结果9.7 为什么 EKB 是“一次构建多次使用”的机制EKB 有几个重要特性不能在运行时修改只能通过 OTA / 刷机更新启动后key 常驻 Secure World 内存这意味着构建 EKB 是安全工程的“源头设计”后续所有安全业务都是围绕这个源头展开十、结语从源码理解到安全能力落地通过补齐 EKB 这一章可以看到OP-TEE 并不是一个“黑盒安全模块”EKB 不是魔法而是可推导、可验证、可工程化的机制当你理解了OP-TEE 源码结构JetPack / Yocto 构建路径EKB 的构建与解析你实际上已经具备了在 Jetson 平台上设计、实现并交付安全业务的能力无论是文件保护、模型加密还是 OTA / 设备身份这套链路都已经在你手中。B站视频讲解Bilibilihttps://www.bilibili.com/video/BV1k1C9BYEAB/《Yocto项目实战教程》京东购买链接Yocto项目实战教程