Jetson Secure Boot全链路讲解:从eFUSE到Kernel的可信启动实战

原创 已于 2025-11-06 21:31:23 修改 · 809 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#redis #数据库 #缓存

于 2025-11-06 21:31:11 首次发布

作者书籍推荐:
内地版本:电子工业出版社已出版,并在大陆热销。Yocto项目实战教程:高效定制嵌入式Linux系统
🎥 更多学习视频请关注 B 站:嵌入式Jerry

Jetson Secure Boot全链路讲解:从eFUSE到Kernel的可信启动实战

本文以 NVIDIA Jetson AGX Orin 为例,系统讲解 Secure Boot 的完整逻辑:从 eFUSE 公钥哈希的写入,到 Bootloader、Kernel 的验证机制,再到运行阶段的安全策略。通过图表、实例与配置代码,帮你彻底搞懂“启动可信”与“运行可信”的区别与落地方法。

在这里插入图片描述

1️⃣ 什么是 Secure Boot?

Secure Boot(安全启动) 是让设备从上电那一刻起,只能运行“被信任的镜像”。它的核心目标是防止:

  • 启动链被篡改(假 Bootloader、假 Kernel)
  • 恶意固件被植入(未经授权系统)
  • 未签名的驱动或模块注入

其核心机制是:公钥/私钥签名验证 + eFUSE 硬件锁定

2️⃣ Secure Boot 的核心逻辑图

┌────────────┐
│  eFUSE 公钥哈希 │  ← 烧入芯片,不可更改
└───────┬────┘
        │  BootROM 验证 Bootloader 签名
┌───────▼────┐
│ Bootloader │  ← 用公钥验证 Kernel / OP-TEE / DTB
└───────┬────┘
        │  验证通过继续加载
┌───────▼────┐
│  Kernel    │  ← 验证模块签名 (运行阶段)
└────────────┘

一条自上而下的“信任链”,称为 Chain of Trust

在这里插入图片描述

3️⃣ eFUSE:信任根(Root of Trust)

eFUSE 是芯片内的一次性可编程存储区,用来永久存储安全信息。

内容是否可改说明
公钥哈希PKC Hash (SHA256)芯片启动时使用它验证 Bootloader 签名
Secure Boot 启用位SecureBootEnable决定是否强制签名验证
调试禁用JTAG Disable禁止低级硬件调试

当你执行:

odmfuse.sh --secureboot --pkc pkc_pubkey.pem

SoC 就会把公钥哈希写入 eFUSE,从此 BootROM 只能信任匹配此哈希的签名。

⚠️ 一旦烧入 eFUSE,不可恢复。务必使用测试样机预演。

4️⃣ Bootloader 阶段的签名与验证

Bootloader 是 Secure Boot 的第一个验证目标。

4.1 构建签名

使用 tegrasign 签名 Bootloader:

tegrasign --key priv.pem --file mb2_bootloader.bin --getmontgomeryvalues montgomery.txt

签名文件将附加到镜像中或写入签名区。

4.2 BootROM 启动验证

BootROM 固化在芯片中,它会:

  1. 读取 eFUSE 公钥哈希;
  2. 取出镜像中的公钥;
  3. 对比哈希一致性;
  4. 用公钥验证签名;
  5. 成功则加载 Bootloader,否则拒绝启动。

4.3 Bootloader 验证下一级

Bootloader 自身内置验证链,通过配置文件定义签名策略:

<sign_config>
    <file name="boot.img" sign="true" key="priv.pem"/>
    <file name="kernel_dtb.dtb" sign="true" key="priv.pem"/>
    <file name="tos.img" sign="true" key="priv.pem"/>
</sign_config>

这样 Bootloader 会在启动时验证:

  • Kernel 镜像
  • 设备树(DTB)
  • OP-TEE 安全固件

✅ 确保“启动链完整性”:别人换 Kernel 也无法启动。

5️⃣ Kernel 阶段:运行安全的关键

如果 Bootloader 验签了 Kernel,那么系统能保证启动时没被篡改。
但 Kernel 启动后,仍可能被攻击者注入恶意模块。

因此 Kernel 还要具备运行时保护:

CONFIG_MODULE_SIG=y
CONFIG_MODULE_SIG_ALL=y
CONFIG_MODULE_SIG_SHA256=y
CONFIG_SYSTEM_TRUSTED_KEYS="certs/signing_key.pem"
CONFIG_KEXEC_VERIFY_SIG=y
CONFIG_SECURITY_LOCKDOWN_LSM=y
CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY=y
功能作用
模块签名限制加载未签名驱动
Kexec 验签防止加载未签名的二级内核
Lockdown禁止 /dev/mem、MSR 等危险接口

Bootloader 管“谁能开门”;Kernel 管“进来后谁能动家里的东西”。

6️⃣ Secure Boot 两个阶段的关系

阶段验证者对象目标是否需改内核
启动前BootROM / BootloaderBootloader, Kernel, DTB启动前镜像完整性❌ 不需要
启动后Kernel 自身模块, 内核接口运行时完整性✅ 建议开启

如果你只想防止“假系统启动”,可以只做 Secure Boot,不改内核。
如果还想防止“系统被插模块、提权”,就要启用 Kernel 安全配置。

7️⃣ 实战:最小可行配置(仅保证启动可信)

以下配置能让 Jetson 在不改 Kernel 的前提下启用 Secure Boot:

# 1. 生成公钥/私钥
openssl genrsa -out priv.pem 4096
openssl rsa -in priv.pem -pubout -out pub.pem

# 2. 烧入 eFUSE
odmfuse.sh --secureboot --pkc pub.pem

# 3. 签名镜像
tegrasign --key priv.pem --file mb2_bootloader.bin
tegrasign --key priv.pem --file kernel_dtb.dtb
tegrasign --key priv.pem --file boot.img

# 4. 更新 sign_config.xml 并重新打包
tegrabct_v2 --update sign_config.xml

✅ 启动链完全可信。
❌ Kernel 启动后仍可能被插入未签名模块。

8️⃣ 更高安全等级(启动 + 运行可信)

启用 Kernel 模块签名后:

  • 未签名 .ko 驱动无法加载;
  • OTA 更新也需带签名;
  • /dev/mem 调试被禁用。

在 Yocto 中可加入以下配置:

# linux-jetson-secureboot.cfg
CONFIG_MODULE_SIG=y
CONFIG_MODULE_SIG_ALL=y
CONFIG_SYSTEM_TRUSTED_KEYS="certs/signing_key.pem"
CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY=y

9️⃣ Bootloader 与 Kernel 配置关系总结表

层级是否需要签名谁验证保护范围是否要改内核
Bootloader✅ 必须签BootROM启动链
Kernel 镜像✅ 必须签Bootloader启动完整性
模块 (.ko)✅ 建议签Kernel运行完整性

🔐 10️⃣ 一图看懂 Secure Boot 双层防护逻辑

            启动阶段                   运行阶段
┌────────────────────┐     ┌────────────────────┐
│ BootROM 验 Bootloader │     │ Kernel 验模块签名 │
│ Bootloader 验 Kernel │     │ Lockdown 防调试接口 │
└────────────────────┘     └────────────────────┘
           ↓                              ↓
       启动可信 ✅                 运行可信 ✅

✅ 结论总结

场景推荐方案安全等级
只想防止假系统启动Secure Boot(eFUSE + Bootloader签名)⭐⭐⭐
同时防止运行时被插模块Secure Boot + Kernel 模块签名⭐⭐⭐⭐
高安全/车规/工控场景Secure Boot + Lockdown + IMA/EVM⭐⭐⭐⭐⭐

Secure Boot 负责“让系统起得对”;
Kernel 安全负责“让系统跑得稳”。

📘 关键命令备忘

# 签名镜像
tegrasign --key priv.pem --file <target>

# 验证签名(BootROM 自动完成)
odmfuse.sh --verify --pkc pub.pem

# 检查 Lockdown 状态
cat /sys/kernel/security/lockdown

# 模块签名状态
modinfo <module>.ko | grep signer

🧩 参考结构

  • 硬件层:eFUSE 公钥哈希(Root of Trust)
  • Boot 阶段:Bootloader 验签机制(tegrasign + sign_config)
  • Kernel 层:模块签名验证 + Lockdown
  • OTA 阶段:更新包签名 + 健康检查

最终形成的完整链:

eFUSE (公钥哈希)
    ↓
BootROM → Bootloader → Kernel → Module → Application

从芯片出厂到系统运行的每一步,都必须经过签名验证。
这就是 Secure Boot 的真正意义:从硬件到软件的信任闭环

Jetson: 将系统设置为从SSD启动
weixin_38582851的博客
05-22 982
在 NVIDIA Jetson 设备(如 Jetson Nano、Jetson Xavier NX 等)中,将系统设置为从 SSD 启动可以显著提升性能、扩展存储容量并增强系统稳定性。
实时性优化:从模型结构到硬件加速
优快云博客专家,系统架构师,有合作、疑惑请私信博主。
08-08 6万+
实时性优化:从模型结构到硬件加速​ 人工智能,计算机视觉,大模型,AI,本文将围绕计算机视觉下的实时性优化展开,从模型结构的设计与优化,到算法层面的改进,再到硬件加速方案的应用,全方位地探讨实现实时性的方法和技巧,并结合代码示例和图文说明,为大家提供一份实用的实战指南。
NVIDIA Jetson Linux 35.1
bingdund的博客
09-08 753
Jetson Linux 35.1是一个,它取代了Jetson Linux 34.1.1/34.1,。Jetson Linux 35.1包括Linux内核5.10,一个基于Ubuntu 20.04的根文件系统,一个基于UEFI的引导加载程序,以及作为可信执行环境的OP-TEE。该版本支持和开发工具包。它还支持和模块,以及Jetson AGX Xavier开发工具包和Jetson Xavier NX开发工具包。
Jetson Nano 从入门到实战(案例:Opencv配置、人脸检测、二维码检测)
热门推荐
你是怎么做到的?我为什么做不到
01-02 14万+
目录 1.Jetson Nano简介 2. Jetson Nano环境配置 2.1 开箱配件介绍 2.2 烧录系统 2.3 开机和基本设置 2.4 开发环境配置 2.4.1 更新源和软件 2.4.2 关屏时间设置 2.4.3安装中文输入法 2.4.4安装Code OSS 2.4.5安装Qt5 3. 项目案例 3.1 人脸检测 3.1.1 安装pip 3.1.2...
Jetson nano部署Yolov5 ——从烧录到运行 1:1复刻全过程
IamYZD的博客
08-12 3万+
前言 因为一次竞赛接触了jetson nano和yolov5,网上的资料大多重复也有许多的坑,在配置过程中摸爬滚打了好几天,出坑后决定写下这份教程供大家借鉴 事先声明,这篇文章的许多内容本身并不是原创,而是将配置过程中的文献进行了搜集整理,但是所有步骤都1:1复刻我的配置过程,包括其中的出错和解决途径,但是每个人的设备和网络上的包都是不断更新的,不能保证写下这篇文章之后的版本在兼容性上没有问题,总之提前祝大家好运! 参考来源: https://blog.youkuaiyun.com/weixin_45454706/a
Jetson Nano 部署(5):: Jetson Nono YOLOv5实战部署流程
@bangbang的博客
08-19 3934
这个目录下,它是可以支持Yolov2,Yolov3,Yolov2-tiny,Yolov3-tiny的一些测试,也就是说DeepStream已经内在支持了Yolov2,Yolov3,Yolov2-tiny,Yolov3-tiny的部署。开发版相连的键盘、鼠标以及显示器,而是在别的电脑上可以远程去Nano开发版进行操作,这样的话,就可以非常方便的开发。要登录开发板的话,需要知道开发版的IP地址,通过Nano开发版相连的键盘,通过。可以在自己本地电脑远程操作开发版的界面,这样会更方便开发。
jetson agx xavier:从亮机到yolov5下tensorrt加速
weixin_44338329的博客
11-16 3931
nvidia jetson agx xavier配置全流程记录,配yolov5(6.1,python)实际使用
从入门到高阶:Jetson AGX Orin技术参数全解析
weixin_43199439的博客
11-09 5514
如果把设备比作一个工厂,那么 TOPS 就像是工厂的生产能力:数值越高,能处理的数据量越大、越快。但如果你需要更复杂的计算能力,比如实时处理多条车道上的动态物体、实时进行目标跟踪,那就要选择 64GB 版本的 275 TOPS,以保证系统足够流畅和安全。如果需要的是大量实时视频流分析的应用,64GB 的 2048 个 CUDA 核心无疑是更好的选择,可以让计算资源更加丰富。对于需要大量 AI 推理计算的场景,64GB 版本的 NVDLA 加速器更适合,可以保证设备在处理复杂的神经网络时有更好的性能表现。
【教程】从烧录镜像开始详细讲解配置NVIDIA Jetson Nano开发套件
xfxuezhang.cn
03-31 8851
详细教程
bootFromUSB:从大容量USB存储设备(Jetson Nano设备A02,B01、2GB以及可能的Jetson TX1)启动NVIDIA Nano Jetson Developer Kit。
05-07
bootFromUSB 从大容量USB存储设备引导NVIDIA Jetson Nano Developer Kit。 这包括Jetson Nano 2GB,也可以与TX1一起使用。... 您需要使用JetPack 4.5+进行Jetson的初始设置,以便将更新的固件加载到Jetson模块QS
EMMC的U盘镜像Jetson-Boot-USB.tar.gz
03-10
烧录EMMC引导文件 解压命令: tar xzvf Jetson_Boot_USB.tar.gz 切换到这个目录: cd Jetson_Boot_USB/ 烧录引导文件 sudo ./flash.sh -r jetson-nano-devkit-emmc mmcblk0p1
【AI】Jetson Nano烧写SD卡镜像:Ubuntu20.04
郭老二
11-27 1762
Jetson Nano出厂时,默认支持Ubuntu18.04。各个厂家的国产板子,自带的也是Ubuntu18.04。如何升级到Ubuntu20.04呢?
yum安装redis
最新发布
2509_94010562的博客
11-25 252
如果你没有配置密码,那这个时候你可以使用了,如果配置了密码,还需要授权密码才能使用。如果没有你所需要的版本,那建议你用二进制压缩包方式安装redis。输入info可查看redis信息。
Redisson的multilock原理
2401_83708850的博客
11-24 311
Redisson 的 RedissonMultiLock(联合锁)是用来同时持有多把独立锁,从而兼顾多资源一致性的“打包锁”。它的工作原理可以分成“加锁”“释放”“故障处理”三个阶段。
Redis 集群模式优化和备份
小五
11-21 53
本文针对Rocky Linux 9.5系统(16G内存、8核CPU、SSD存储)提出多项调优建议。内存管理方面建议降低vm.swappiness至10,调整脏页写回参数;文件系统建议提高最大文件描述符数;网络参数优化包括增加TCP连接队列和缓冲区大小;CPU调度推荐使用performance模式;I/O子系统建议为SSD选用noop调度器。同时提供了包含内存、网络、安全等参数的完整sysctl配置模板,强调需根据实际负载测试调整参数,并注意过度调优可能导致系统不稳定或影响SSD寿命。
Redis 分布式锁原理
wobenwoxiangfei的博客
11-25 137
Redis 分布式锁通过原子操作、唯一标识、续期机制和集群容错策略,实现了高效可靠的互斥访问。实际应用中需根据业务需求选择单实例或集群方案,并结合监控和优化手段保障稳定性。对于强一致性要求的场景,可考虑结合 ZooKeeper 或 etcd 等其他分布式协调服务。
Redis服务安装自启动(Windows版)
2509_94006364的博客
11-25 200
一般来说,一些中大型企业都会去采用 Linux 服务器来部署 Redis,而且 Redis 官方并没有提供 [Windows 版本](https://gitcode.com/gh_mirrors/wi/windows/overviewutm_source=highlight_word_gitcode&word=windows&isLogin=1 "Windows 版本")的安装包。
Redis(139)Redis的Cluster是如何实现的?
qq_43012298的博客
11-22 455
Redis Cluster是Redis的分布式实现,通过16384个哈希槽实现数据分片,支持主从复制和自动故障转移。集群节点间通过集群总线通信,使用PING/PONG机制检测节点状态。主节点失效时,从节点通过投票机制接管成为新主节点。关键实现包括:基于CRC16的哈希槽分配、节点间通信协议以及定时检测和故障转移机制,确保数据的高可用性和负载均衡。
redis的下载和安装详解
2509_94004178的博客
11-21 860
这样只需要在本机上操作者两个目录中的内容,就可以直接同步修改docker容器中对应的目录中的内容。而使用数据卷挂载,docker会自动维护目录,但是目录比较深。docker镜像中的redis默认都是没有配置文件的,也就是说/etc/redis目录下是空的。:将宿主机端口和容器端口相关联,是指可以用宿主机的6379端口访问容器的6379端口。之所以这里创建目录,是想使用docker数据卷挂载的第二种方式,直接使用磁盘挂载。意思就是不使用数据卷,直接把本机的某个目录和docker容器中的某个目录进行关联。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值