Android Keymint Remote Provisioning HAL

已于 2023-12-27 12:17:09 修改
阅读量1.4k 收藏 16
点赞数 24
CC 4.0 BY-SA版权
分类专栏: Android15安全架构精选 ARM-TEE-Android 文章标签: ARMV9 keymint keymaster keystore RPK 密钥 TEE
于 2023-12-26 15:09:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42135087/article/details/135222605
本文档详细介绍了Android KeyMint Remote Provisioning HAL的设计和实现,旨在支持非对称密钥证书的无线配置。设计目标是确保安全性和隐私保护,采用分阶段的部署策略,并使用COSE标准进行密钥和加密消息格式。文中还讨论了关键设计决策,如设备OEM如何处理UDS_pub,以及算法选择。HAL接口设计考虑了与KeyMint等安全区域组件的交互,同时支持Android虚拟化框架。
了解本专栏 订阅专栏 解锁全文
Keystore/Keystore2/Keymaster/Keymint 深入剖析 嵌入式
CyberSphinx的博客
09-02 1288
本文深入学习了 KeystoreKeystore2、KeymasterKeymint 这些在嵌入式系统中保护和管理密钥的关键组件。KeystoreKeystore2、KeymasterKeymint 是一系列用于保护和管理密钥及其相关操作的关键组件。安全的密钥派生:Keystore2 支持衍生密钥派生(Key Derivation),通过一个主密钥衍生出多个子密钥,从而更好地保护密钥和数据。密钥生成和导入:Keymaster 支持生成和导入各种类型的密钥,包括对称密钥、非对称密钥和证书等。
【置顶】Android15安全架构精选-[目录]
baron-周贺贺-代码改变世界ctw
04-02 7107
讲述android13最新安全架构,包括但不限于:Gatekeeper(locksetting)、生物认证(指纹fingerprint、人脸faceid)、keystore/keystore2/keymaster/keymint、googlekey(attesstation key).....
Strongbox和Weaver
baidu_25966105的博客
05-20 4821
本篇文章主要是介绍Strongbox和Weaver的技术架构,其中包含的一些技术细节,只是实现方式中的一种,对于其他不同的情况,还需要OEM和SE发行商之间协定具体的技术流程。这篇文章的主要目的是帮助想要了解Strongbox和Weaver技术细节的人,快速的了解整个体系框架,并可以在此基础上设计属于自己的Strongbox和Weaver方案。关键词:Keystore, Keymint, KeymasterTEE, Strongbox, RKP, ROT, Attestation key。
Android Strongbox( Android Ready SE)
weixin_47139576的博客
01-30 8705
Android ready SE(strongbox)
Android keymint(keymaster)一RKP
weixin_47139576的博客
02-07 9168
Android RKP
Rockchip芯片 写SN,IMEI,Mac等 写attenstation key 写Remote Key Provisioning
chenhao0568的专栏
05-30 2030
1、设备先写完号,重启再次进入loader写入google attenstation key 同时获取设备的公钥RKP CSR存在PC上。loader 进入方式:开机时候按住“音量+”或者 adb reboot loader 命令,在该模式下面写号,设备必须是已。关机下 按住“音量+” 插入USB线 进入loader 方式,在该模式下面写号,设备必须是已经有烧写过固件。用连续读写,写完sn号重新插入设备会切换到maskrom方式,无法再次写号,能防呆。将启用安全启动的设备标记为测试设备。
Upgrading Android Attestation: Remote Provisioning
baron-周贺贺-代码改变世界ctw
07-22 792
Android 8.0 以来,认证作为一项功能已被强制执行。随着版本的不断更新,对于各种功能和服务(如 SafetyNet、身份凭证、数字汽车钥匙和各种第三方库)的信任,它变得越来越重要。有鉴于此,我们是时候重新审视我们的证明基础设施,以加强信任链的安全性,并提高设备信任在发生已知漏洞时的可恢复性。从 Android 12.0 开始,我们将提供一个选项,将工厂内私钥配置替换为工厂内公钥提取和具有短期证书的无线证书配置的组合。该方案将在 Android 13.0 中强制执行。
Android DPC模式多开 APP
a545958498的博客
09-17 1613
4、修改 UserManagerService canAddMoreProfilesToUser getMaxUsersOfTypePerParent。修改 markUserProvisioningStateInitiallyDone。3、修改 mUserManager.getMaxSupportedUsers。1、修改创建多个profile时超出限制。7、 删除不需要的APP。
https://cs.android.com/android/platform/superproject/main/+/main:tools/security/remote_provisioning/hwtrust/ 将这个网址下源码下载下来
最新发布
12-12
根据Android开源项目的结构,这个URL指向的是AOSP(Android Open Source Project)中`tools/security/remote_provisioning/hwtrust`目录的代码。 通常,AOSP的代码可以通过以下方式下载: 1. 使用Git克隆整个...
Android安全支付(1)-整体架构-keymint
Android系统开发-VR OS-系统安全隐私
03-06 1411
(1)接口定义hardware/interfaces/security/keymint/aidl/android/hardware/security/keymint/IKeyMintDevice.aidl。keymintkeymaster v4之后的替代设计。所以android 15上最好采用keymint的接口进行硬件功能的对接。同时,我们会集成一款紫光的芯片。3.可以用keyStore.getKey()来获取存储在keyStore中的数据进行加密和解密。四、关于keymint的接口定义和具体实现。
Keystore/keymaster/keymint的介绍:基于android14和trusty 课程介绍
baron-周贺贺-代码改变世界ctw
12-10 3248
今天,即将上线的(本来本周能上线的,奈何咳嗽一周了还没好,周末只能在家做PPT了,暂时还不具备录课条件)就是:Keystore/Keystore2/keymaster/keymint 精讲,1-5节课、60-120分钟,售价199,敬请期待和关注。
keystore/keystore2/keymaster/keymint 深入学习
baron-周贺贺-代码改变世界ctw
05-04 6422
Keymaster的发展历程 keymaster0.2/0.3 非常简单的密码学服务,提供数字签名和验证操作 keymaster1.0 增加对称加密单元(AES和HMAC) keymaster3.0 从旧式 C 结构硬件抽象层 (HAL) 转换到根据新硬件接口定义语言 (HIDL), 支持 ID (IMEI/MEID)认证 keymaster4.0 支持嵌入式安全元件、支持密钥导入、支持3DES、版本绑定(boot.img,system.img) 2、软件架构 在android11及其之前的版本中
Mesh的Remote Provisioning
健身房
03-31 708
  Remote Provisioning流程如下:
BLE MESH REMOTE PROVISIONING
u014660573的博客
05-21 1077
BLE MESH spec 1.1 中的Remote Provisioning相关概念介绍
2上传RKP Android Remote Key Provisioning证书签名请求息.csr上传到 Google 的后端服务器 GMS相关RKP流程 Android 14
chenhao0568的专栏
07-02 2079
选项 1和选项 2: device_info_uploader.py 找不到。选项 3:无响应(Windwos下)
深入学习嵌入式: KeystoreKeystore2、KeymasterKeymint
PixelPusher的博客
09-11 1064
本文将深入探讨嵌入式系统中的关键技术之一,即KeystoreKeystore2、KeymasterKeymint。我们将介绍这些概念的背景和功能,并提供一些相应的源代码示例。通过深入学习KeystoreKeystore2、KeymasterKeymint,我们可以更好地理解嵌入式系统中的密钥管理和安全性。这些组件为开发人员提供了强大的工具和功能,以确保在嵌入式环境中的数据安全和加密操作的可靠性。深入学习嵌入式: KeystoreKeystore2、KeymasterKeymint
升级 Android 认证: 远程配置
Android开发者
05-26 1036
作者 / 软件工程师 Max Bires自 Android 8.0 以来,认证成为一项必备功能。随着各个版本的更迭,认证越来越成为各种功能和服务的信任核心,例如 SafetyNet、身份凭据 (Identity Credential)、数字车钥匙 (Digital Car Key) 以及各种第三方库。因此,现在我们需要重新审视认证基础架构,加强信任链的安全性,并在出现已知...
【专题】Android13安全架构详解
07-25
讲解最新最全的Android安全架构,本课程包含但不限于以下课程:密码锁/locksetting/gatekeeper生物认证/指纹/人脸keystore/keystore2/keymaster/keymintgooglekey/attestationKeycts/vts/CDD解读代码导读、流程分析安全业务的设计TEE简介
Trustzone/TEE/系统安全开发速成班
10-03
# 课程背景2021年ARM又推出了ARMv9架构,系统软件架构也在悄无声息地发生变化。在这种架构中,强调的是隔离技术,包括资源的隔离、运行时隔离,特权操作系统的权限也变得越来越小…不管您是什么领域,ARM服务器、汽车电子、手机或者是其它设备终端,安全都是其中的一个重要环节。我们常说的安全一般是只网络安全/业务安全/App安全,这些安全依赖的正是操作系统安全,操作系统安全所依赖的就是安全架构技术,在该安全架构中,首当要学习的就是Trustzone/TEE技术。只有设备安全/操作系统安全/APP安全/网络安全/服务器安全整个一条链都安全了,那么你的业务才算得上的安全.不管您是做什么的,您做不做安全或虚拟化,掌握整个系统软件架构也是一件必要的事情。您只有掌握了安全架构,你才具有全局的视野,才能进行全局的软件设计,才称得上架构师。  安全不仅仅是架构安全,安全还是一种生态,安全还产生一类标准。安全出现在产品声明周期的任何一个角落,它可能零碎地出现在硬件中、零碎地出现在软件代码中。如果你不了解安全,你可能无法进行优秀的产品设计,你甚至无法去正确的阅读代码。 # 课程介绍(1) 讲解ARM最新硬件架构(ARM Core、ARM Architecture)、SOC架构(2) 讲解最新的Trustzone安全架构、TEE架构、Secureboot等(3) 讲解软件组件:TF-A(ATF)、optee_os、Linux Kernel、CA/TA应用程序等,及其交互模型、设计模型(4) 多系统交互代码导读、安全论证实践、CA/TA示例实践、安全业务设计实践(5) 我们学习的是全部硬件、全部系统,软硬结合,或者是大系统的软硬件融合 # 课程收益1、安全不再神秘,能cover住全局2、熟悉ARM Architecture架构知识3、熟悉SOC架构知识4、熟悉主流的系统软件框架5、知道多系统之间是如何交互的,也能够进行系统级的设计6、深入了解当前的系统安全架构以及未来安全架构趋势7、熟悉基础的安全业务设计方法8、熟悉系统的启动流程、Secureboot等9、知道Linux Kernel在大系统中的位置,以及与其它系统交互的方法10、熟悉各类标准和规范11、学习资料的获取方法 # 课程大纲 《Trustzone/TEE/系统安全开发速成班》 --当前48节课/19小时说明: 本视频会持续更新,购买时请以课程目录为主。本EXCEL一个月更新一次。章节编号课程时常第一章基础和简介1课程介绍 8:332ARM和SOC的架构简介60:13第二章软硬件基础3armv8/armv9基础概念26:204ARMv8/ARMv9的Trustzone技术77:565ARMv7的Trustzone技术8:376安全架构及其未来趋势(FF-A/SPM/CCA)6:417ARMv9 CCA机密计算框架底层核心原理简介20:448ARMv9 RME安全扩展详解61:299ATF Quick Start0161:2710Optee Quick Start49:3411系统软件Quick Start21:0412Secureboot原理深度讲解60:2813Android AVB的介绍26:0914TZC400详解17:5615TZC400代码导读之ATF13:4416RPMB详解30:0617RPMB代码导读之optee14:0318efuse详解12:1919Anti-Rollback的介绍11:33第三章软件架构20TEE的组件介绍67:5921TEE的RPC反向调用31:1422TEE的调度模型21:3223各类标准和规范22:17第四章软件架构(高级)24多系统之间的管理模型(ABI/标准)10:3025多系统之间的调度12:2126多系统之间的中断(不含虚拟化)61:4727多系统之间的中断(虚拟化)6:5728再谈多系统之间的调度(多核多线程)10:3129其它(内存管理/PSCI...)10:12第五章安全应用开发基础30安全应用开发基础5:3731TEE环境:qemu_V8环境的使用4:2032TEE环境:编写一个CA和TA程序11:0433TEE环境:编写漂亮的文档4:1434TEE环境:搭建阅读代码神器opengrok3:2635TEE环境(必看):使用集成好的qemu_v8镜像程序20:2936[CA/TA开发]CA到TA的通信9:1837[CA/TA开发]CA到TA的传参27:1638[CA/TA开发]TEE中的存储系统20:5739[CA/TA开发]TEE中的密码学系统简介12:3740[CA/TA开发]TEE中的密码学系统简介-数字摘要Hash等33:2141[CA/TA开发]TEE中的密码学系统简介-对称密码学算法AES等12:2042[CA/TA开发]TEE中的密码学系统简介-消息摘要算法HMAC等15:4843[CA/TA开发]TEE中的密码学系统简介-非对称密码学算法RSA等7:33第六章安全业务设计高级44Gatekeeper的介绍29:3245keymaster/keymint/keystore/keystore213:2746生物认证(指纹/人脸)13:5747DRM的介绍21:3748TUI的介绍17:03总计时统计(分钟)1128:12 说明:本课程会持续更新…  
com.android.managedprovisioning
12-03
所给参考引用中未提及com.android.managedprovisioning的相关信息,不过从专业知识角度,com.android.managedprovisioningAndroid系统中用于设备管理配置和设置的重要组件。 ### 详细介绍 - **功能**:它主要负责引导和执行设备的管理配置流程,例如企业设备的批量配置、个人设备转为工作模式的配置等。通过该组件,系统能够根据预设的管理策略,对设备进行一系列的初始化设置,包括安装管理应用、设置设备策略(如密码策略、网络限制等)、配置工作账户等。 - **使用场景**:在企业环境中,当需要对大量设备进行统一管理和配置时,IT管理员可以利用com.android.managedprovisioning实现批量设备的快速部署。在个人设备上,用户若想将设备切换到工作模式,也会触发该组件的配置流程。 ### 常见问题解决方案 - **配置流程中断**:可能是由于网络问题、设备存储空间不足或管理应用安装失败等原因导致。解决方案是检查网络连接,确保设备有足够的存储空间,并查看管理应用的安装日志以排除安装问题。 - **策略设置不生效**:需要检查管理应用的权限是否足够,以及设备是否支持相应的策略。有时候,设备的系统版本过低也可能导致某些策略无法生效,此时需要考虑升级设备系统。 ```java // 示例代码,模拟检查设备存储空间 import android.os.StatFs; public class StorageChecker { public static boolean isStorageEnough() { StatFs stat = new StatFs("/data"); long availableBlocks = stat.getAvailableBlocksLong(); long blockSize = stat.getBlockSizeLong(); long availableSpace = availableBlocks * blockSize; long requiredSpace = 1024 * 1024 * 100; // 假设需要100MB空间 return availableSpace > requiredSpace; } } ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Arm精选

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值