u013921164的博客

自己20年做的一些研究，不涉及保密部分，文中所有内容均来自开源框架或者代码，自己仅按研究或者实现的过程进行了记录；请忽略附录部分，该部分不存在...

背景：而在终端设备生产过程中，由于产品的生产批次和后续安全功能的扩展，通信所需要的密钥并不一定会在产品出厂之前就预置到终端设备中，此时就可使用TEE来构建终端密钥的在线下发系统来确保密钥被安全分发到特定的终端设备中，后期就可使用下发的密钥实现终端设备与服务器端进行密文通信。该方案的核心内容：主密钥应出厂时烧录到板子里，如果需要产生新的会话密钥，服务器可采用原来的加密方案，把生成密钥所需的数据组包、加密、签名、base64转换，发送给客户端。密钥在线下发系统的框架将下发的密文密钥包发送到O

Base64和URL编码Base64Base64是一种任意二进制到文本字符串的编码方法，常用于在URL、Cookie、网页中传输少量二进制数据，由大小写字母、数字、+和/ 64个字符组成。将二进制文件3个字节作为一个处理单元，分为4个字节，每个字节6位，即3个字节可由4个可打印字符来表示。编码时肯定会出现数据不是3的倍数，Base64编码会采用0补全，最后末尾添加n个 “=”表示 补了几个字节的0。常见于URL中二进制图片的传递。URL编码由于url只能使用英文字母、数字和某些标点符号，不能使用其他

作者：于中阳Mercina-zy区块链技术当中一个很重要的组成部分就是密码学，作为从事区块链研究的工程技术人员，应该对密码学有一定的了解。现我想分享一些密码学的基本概念以供交流学习，大家共同学习，更加充实对区块链技术的理解。对称密钥的分发密钥分配自古以来就是密钥管理中重要而薄弱的环节。过去，密钥的分配主要是采用人工分配。现在，理应利用计算机网络实现密钥分配的自动化。主密钥的分配一般采用人工分配主密钥，由专职密钥分配人员分配，并由专职安装人员妥善安装。二级密钥的分配第一种方法，.

加密方案，密钥下发，可信通道，公钥的合法性校验等介绍。

整理下网上的在线支付其中一种实现方式。通过学习、消化，可借鉴到自己项目重要数据的交互使用。0 在线支付的模式在线支付分三块：支付终端、支付服务商服务器（支付宝、微信）、银行。支付终端：如手机、pos机，这些设备通过密码、指纹、面部识别等获取验证，我们得op-tee就是在终端使用；支付服务商：如支付宝，你通过终端使用支付宝进行交易。这里可以理解为我们公司内部得服务器。银行：这些最终还需要通过银行进行交易。如何确保支付凭据安全且可信的发送到服务器端并被服务器验证通过就尤为重要。本文...

通过哈希算法，我们可以验证一段数据是否有效，方法就是对比该数据的哈希值，例如，判断用户口令是否正确，我们用保存在数据库中的password_md5对比计算md5(password)的结果，如果一致，用户输入的口令就是正确的。为了防止黑客通过彩虹表根据哈希值反推原始口令，在计算哈希的时候，不能仅针对原始输入计算，需要增加一个salt来使得相同的输入也能得到不同的哈希，这样，大大增加了黑客破解的难度。如果salt是我们自己随机生成的，通常我们计算MD5时采用md5(message + salt)。但实际上，

首先推荐一下 这个 40多万点击量的 AES算法介绍；https://blog.youkuaiyun.com/qq_28205153/article/details/55798628高级加密标准(AES,Advanced Encryption Standard)为最常见的对称加密算法(微信小程序加密传输就是用这个加密算法的)。对称加密算法也就是加密和解密用相同的密钥，具体的加密流程如下图：具体工作的步骤如下：1.发送方利用密钥123456，加密明文“我是小灰”，加密结果为TNYRvx+SNjZwEK+ZXF

HMAC算法的定义HMAC算法是一种执行“校验和”的算法，它通过对数据进行“校验”来检查数据是否被更改了。在发送数据以前，HMAC算法对数据块和双方约定的公钥进行“散列操作”，以生成称为“摘要”的东西，附加在待发送的数据块中。当数据和摘要到达其目的地时，就使用HMAC算法来生成另一个校验和，如果两个数字相匹配，那么数据未被做任何篡改。否则，就意味着数据在传输或存储过程中被某些居心叵测的人作了手脚。...

安全Hash函数（SHA）是使用最广泛的Hash函数。由于其他曾被广泛使用的Hash函数都被发现存在安全隐患，从2005年至今，SHA或许是仅存的Hash算法标准。大名鼎鼎的SHA256一个广泛一个用的案例就是：区块链，比特币挖矿。SHA-1/SHA-2 此类叫法是按照SHA算法的版本划分的，SHA-256/SHA-512是按照产生的密钥长度划分的，二者的划分维度不同。SHA发展史　　SHA系列算法分为三个分支：SHA-1、SHA-2和SHA-3，其中SHA-2包括SHA-224、SHA-256、SH

所谓Base64，就是说选出64个字符----小写字母a-z、大写字母A-Z、数字0-9、符号"+"、"/"（再加上作为垫字的"="，实际上是65个字符）----作为一个基本字符集。然后，其他所有符号都转换成这个字符集中的字符。具体来说，转换方式可以分为四步。第一步，将每三个字节作为一组，一共是24个二进制位。第二步，将这24个二进制位分为四组，每个组有6个二进制位第三步，在每组前面加两个00，扩展成32个二进制位，即四个字节。第四步，根据下表，得到扩展后的每个字节的对应符号，这就是Base64

在一个完整的optee程序中，一共4处需设置uuid；第一处这里是引用第二处第三处/* Define the UUID of this TA */#define TA_MY_CRYPTO_VERIFY_UUID    {0x3ae0f4b5, 0x7e33, 0x4ad2, \               &nb

有时候真的不是我想做笔记，真的工作学习中不停的去遇到问题解决问题，花费少量的时间去整理，下次在遇到可提高工作学习效率！在ubunt下编译OP-TEE，换一次系统，在搞一次就会遇到第一次遇到的一些bug，记录下来，提高效率。如果有搞OP-TEE 在qemu平台编译搞不定的，参考这篇文章，私信我，我把optee的压缩包发给你，你解压缩，然后参卡下文，可快速搞定搭建平台的问题。解压缩后，你可能遇到如下问题，下面是一些安装搭建时需要的工具和库；ImportError: No module named Cry

本文教您如何使用Yocto在Linux系统 imx6q imx6ul构建OP-TEE系统，及编译OP-TEE的应用代码。前期，已使用Yocto 在imx6q上成功构建linux系统。所选的配置选项为：1.清单版本为：imx-5.4.24-2.1.0.xml；2.镜像的名字为：imx-image-full；3.机器型号为：imx6qsabresd；op-tee简介：是一种开源的加密技术系统，有几个厂家和组织都开发了自己的tee OS,但是所有方案的外部接口都会遵循GP（GlobalPlatform

OP-TEE加密数据保存到RPMB分区，目前在qemu上实现过，并没有在板子上具体实现过。有些具体的配置也忘记了，留此贴慢慢回忆，哪天用上 会进行补全！黄皮书 secure storage 章节中有一段话这样描述：是TEE提供的一种用来存放key, data以及其他数据的功能，上层用户只要调用，TEE就能够将数据进行加密并保存到文件系统或者是EMMC的RPMB分区中，至于将数据是保存到文件系统中还是RPMB中这是需要在编译TEE的时候进行相关的配置，如果产品使用了RPMB分区，建议使用RPMB来保存数

OP-TEE CA中相同文件再次创建产生错误ReturnCode=0Xffff ReturnOrigin=0x04