#嵌入式安全: SBoot+OPTEE+OTA+AI模型
关注
分享
扫一扫
文章平均质量分 95
端到端闭环:可信启动(Secure Boot)→可信执行(OP-TEE)→可信更新(OTA)→模型/数据加密保护
可复现:每篇都有“步骤 + 验证方法 + 排错清单”,不是概念堆砌
工程交付:最后给“交付检查表/测试用例/常见坑”,读者能直接用在项目里
嵌入式Jerry
《Yocto项目实战教程》+《定制自己的Linux》作者
- 请关注个人B站,学习更丰富前沿的技术:嵌入式Jerry
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
用 OP-TEE 给 AI 模型“上锁”:密文存储、TEE 解密放行、推理后销毁(实战可落地)
本文提出一种基于OP-TEE的AI模型保护方案,通过两级密钥体系确保模型静态存储为密文,运行时仅在TEE内解密。方案采用KEK+DEK架构,DEK永不出TEE,支持分块解密与可验证擦除。该方案能有效防御静态分析、应用层逆向等威胁,但需承认其物理级攻击的局限性。文章详细描述了端到端架构、文件格式设计及TA实现要点,包括密钥管理、分块解密策略和销毁机制,为设备侧AI部署提供了工程可行的安全解决方案。原创 2025-12-30 16:55:38 · 5 阅读 · 0 评论 -
OP-TEE Secure Storage 与 Sign/Verify 实战总结
本文系统梳理了OP-TEE中Secure Storage与Sign/Verify两大核心功能,为构建安全系统提供基础支撑。Secure Storage本质是TEE内部可信持久状态,适合存储密钥、校验值等小型数据而非大文件,采用极简文件系统抽象。Sign/Verify功能确保"密钥不出TEE",通过签名验证保障数据来源可信。文章详细介绍了对象创建、读写操作以及密钥生成、签名验证等关键API的使用方法,并展示了如何将两者结合实现可信配置加载场景。这些基础能力可直接应用于模型保护、Licens原创 2025-12-24 17:34:28 · 856 阅读 · 0 评论 -
Jetson Secure Boot全链路讲解:从eFUSE到Kernel的可信启动实战
Secure Boot(安全启动)是让设备从上电那一刻起,只能运行“被信任的镜像”。启动链被篡改(假 Bootloader、假 Kernel)恶意固件被植入(未经授权系统)未签名的驱动或模块注入公钥/私钥签名验证 + eFUSE 硬件锁定。层级是否需要签名谁验证保护范围是否要改内核Bootloader✅ 必须签BootROM启动链❌Kernel 镜像✅ 必须签Bootloader启动完整性❌模块 (.ko)✅ 建议签Kernel运行完整性✅场景推荐方案。原创 2025-11-06 21:31:11 · 894 阅读 · 0 评论 -
Jetson 平台 PTA 架构完整解析与实战
本文深入解析了Jetson平台的PTA(Platform Trusted Application)架构及其在安全体系中的关键作用。PTA作为运行在Secure World的内置系统服务,负责管理硬件密钥、提供安全加解密服务和控制安全状态。文章详细阐述了PTA与TA(Trusted Application)的核心区别,PTA在Jetson安全架构中的位置,以及CA/TA/PTA三层架构的职责划分。通过解密OEM Key保护Payload的完整链路示例,展示了如何正确使用PTA进行工程开发,并强调了PTA代码设原创 2025-12-26 16:05:36 · 647 阅读 · 0 评论