分析mtk工具展訊寫key unisoc npi security user guidesimba v5.1

1、UNISOC NPI Security User Guide版本: 5.1日期: 2019-07-251本文件所含數(shù)據(jù)和信息都屬于紫光展銳及紫光展銳，紫光展銳保留所有相關(guān)權(quán)利。當(dāng)您接受這份文件時，即表示您同意此份文件內(nèi)含信息，且同意在未獲得紫光展銳同意前，不使用或、整個或部分文件。紫光展銳在事先通知的情況下，對本文件做任何修改。紫光展銳對本文件所含數(shù)據(jù)和信息不做任何保證，在任何情況下，紫光展銳均不負(fù)責(zé)任何與文件相關(guān)的直接或間接的、任何或損失。2前言文檔說明本文檔主要針對展銳平臺安全部署使用方法的指導(dǎo)說明。閱讀對象本文檔適用于研發(fā)測試和產(chǎn)線測試技術(shù)。內(nèi)容介紹本文檔包括七個章節(jié)，分別為：第一章：概

2、述第二章：測試環(huán)境第三章：SecurityServer 配置說明第四章：ROTPK 部署第五章：Attestation Keybox 部署第六章：IFAA 部署第七章：SOTER 部署第八章：FAQ文檔約定本文檔采用下面醒目標(biāo)志來表示在操作過程中應(yīng)該特別注意的地方。注意：提醒操作中應(yīng)注意的事項(xiàng)。說明：說明比較重要的事項(xiàng)。- 3 -目錄概述. - 6 -測試環(huán)境. - 7 -硬件要求 . - 7 -軟件要求 . - 7 -安全部署前提條件. - 7 -產(chǎn)線安全部署流程. - 8 -產(chǎn)線安全部署C/S 架構(gòu). - 9 -Server 與 Client 配置說明. - 10 -Server UI 界

3、面說明. - 10 -運(yùn)行SecurityServer. - 12 -Client 配置說明. - 13 -ROTPK 部署 . - 14 -配置SecurityServer 寫ROTPK. - 14 -產(chǎn)線Client 部署 ROTPK. - 15 -檢查SecureBoot 標(biāo)志位. - 16 -Attestation KeyBox 部署. - 17 -分配Devices ID 并申請 KeyBox. - 17 -SecureToolBox 轉(zhuǎn)換 Keybox 源文件 . - 19 -配置SecurityServer 寫Attestation KeyBox. - 21 -產(chǎn)線Client

4、部署 Attestation KeyBox . - 22 -檢查Attestation KeyBox 標(biāo)志位. - 23 -IFAA 部署 . - 24 -接入 IFAA 平臺. - 24 -配置SecurityServer 寫 IFAA Key . - 25 -產(chǎn)線Client 部署 IFAA . - 26 -檢查 IFAA 標(biāo)志位及 Key Hash. - 27 -SOTER 部署. - 29 -MySQL 數(shù)據(jù)庫的使用. - 30 -安裝 MySQL 數(shù)據(jù)庫. - 30 -導(dǎo)入SQL 表文件. - 31 -配置SecurityServer 寫SOTER Key. - 33 -2.12.2

5、7.17.2- 4 -產(chǎn)線Client 部署 SOTER. - 34 -上傳設(shè)備信息至服務(wù)器. - 35 -檢查SOTER 標(biāo)志位. - 37 -FAQ . - 38 -安裝 MySQL 的常見問題 . - 38 -安全部署常見疑問及解答. - 38 -ROTPK 否可以重復(fù)部署？ . - 38 -Secrure Bit 未置位，進(jìn)行安全部署會有什么問題？. - 38 -IFAA/SOTER/Keybox 寫在那里，是否可以重復(fù)寫入？ . - 38 -8.18.2維修更

6、換EMMC/BB，是否需要重新部署？. - 38 -更換重新模組是否需要重新進(jìn)行部署. - 39 -是否需要重新進(jìn)行部署. - 39 -8.3產(chǎn)線部署常見問題及解決方案. - 39 -未寫 HUK. - 39 -初始化 RPMB key 錯誤. - 40 -初始化 image version error. - 40 -GTS testRsa/EcAttestation chain fail . - 41 -如何通過暗碼顯示 keybox 是否已經(jīng)寫入. - 41 -如何取消寫 Keybox 時檢查 DeviceID 關(guān)鍵字 . - 42 -單機(jī)版安全部署方案說明. - 42 -常見Error

7、Code . - 45 -安全部署Command ID 對應(yīng)的操作. - 46 -附錄 Revision History. - 47 -8.78.8- 5 -概述執(zhí)行環(huán)境（TEE，Trusted Execution Environment） 是 Global Platform（GP）提出的概念。針對移動設(shè)備的開放環(huán)境，安全問題也越來越受到關(guān)注，不僅僅是終端用戶，還包括服務(wù)提供者，移動運(yùn)營商，以及廠商。TEE 是與設(shè)備上的Rich OS（通常是 Android 等）并存的運(yùn)行環(huán)境，并且給 Rich OS 提供安全服務(wù)。支持TEE 功能在產(chǎn)線需要做安全部署。產(chǎn)線進(jìn)行安全部署時，首

8、先會根據(jù)硬件的 HUK(HardwareUnique Key)綁定并初始化 EMMC 的RPMB 分區(qū)，用于提供安全；然后根據(jù)需求將 IFAA Key、SOTERKey 或者Keybox 寫入該RPMB 分區(qū)，用來提供安全服務(wù)。RPMB（Replay Protected Memory Block）分區(qū)是 eMMC 中的一個具有安全特性的分區(qū)，寫入數(shù)據(jù)到eMMC 的 RPMB 分區(qū)時，會校驗(yàn)數(shù)據(jù)的，只有指定的 Host 才能夠?qū)懭?，同時在讀數(shù)據(jù)時，也提供了簽名機(jī)制，保證 Host到的數(shù)據(jù)是RPMB 內(nèi)部數(shù)據(jù)，而不是者的數(shù)據(jù)。在使用 RPMB 分區(qū)前，必須進(jìn)行初始化（只能被初始化一次）：先根據(jù) B

9、BHUK 生成一個唯一的256 bits 的 Secure Key，寫到 EMMC 的 OTP 區(qū)域，這樣實(shí)現(xiàn)了間的綁定；同時 Host 在安全區(qū)域中（例如：TEE）也會保留該 Secure Key；展銳 Secure Provisioning（安全部署）方案目前支持寫 ROTPK(即 SecureBoot 功能)、寫 IFAA Key、SOTER Key 以及 Attestation Keybox 等功能，各項(xiàng)功能相對，可以在不同站位分別進(jìn)行部署，也可以在同一站位進(jìn)行部署。- 6 -測試環(huán)境2.1硬件要求表 2-12.2軟件要求表 2-22.3安全部署前提條件要求：Ø確保在出貨前就

10、要完成寫 HUK，否則會影響進(jìn)行安全部署。ATE 階段 Enable Secure BitATE 階段寫入Secure Efuse 的 HUK（HardWare Unique Key）圖 2-1Ø 軟件版本要求：軟件需要做相應(yīng)簽名，支持 TEE 相關(guān)功能。- 7 -軟件版本要求操作系統(tǒng)Win7、Win10SPRD USB 驅(qū)動版本 31MySQL（按需選擇） 及以上版本FrameWork.Net FreameWork 4.0硬件基本要求PU：i5 及以上內(nèi)存：4G 及以上連接線USB電源需提供穩(wěn)定電壓輸出：使用精密電源或普通直流電源加展銳穩(wěn)壓板2.4產(chǎn)線

11、安全部署流程產(chǎn)線安全部署一般是在寫 IMEI 的站位進(jìn)行的，做完安全部署之后，需要在下一站位檢查安全部署各項(xiàng)標(biāo)志位是否正常，如下圖所示：StartEnd圖 2-2- 8 -2.5產(chǎn)線安全部署C/S 架構(gòu)安全部署采用 C/S 架構(gòu)，支持一臺 Server 部署多臺客戶端；產(chǎn)線架構(gòu)如下圖所示： Security Server：整個安全部署生產(chǎn)流程的發(fā)起方及管理方。 產(chǎn)線 Client 工具：Simba 和WriteIMEI 工具都支持安全部署，本文檔主要介紹 Simba 工具。安全部署過程中，產(chǎn)線 Client工具作用是透傳 Security Server 的數(shù)據(jù)，是Security Server

12、 與通信“橋梁”。數(shù)據(jù)庫（僅部署 SOTER 時需要）：SOTER 部署時生成的 Key，并上傳到服務(wù)器。說明：除 SOTER 部署仍需要依賴 MySQL 數(shù)據(jù)庫外，其他如寫 ROTPK/IFAA/Keybox 不再依賴1.MySQL 數(shù)據(jù)庫，很大程度上簡化了產(chǎn)線部署流程。2.在進(jìn)行試產(chǎn)或者驗(yàn)證時，產(chǎn)線 Client 工具、 Security Server 以及數(shù)據(jù)庫可以使用同一臺 PC；在進(jìn)行量產(chǎn)時建議Server 和 Client在不同 PC 上。- 9 -Server 與 Client 配置說明SecurityServer 是安全部署流程的發(fā)起和管理方，安全部署需要執(zhí)行那些操作都是在 S

13、ercurityServer端進(jìn)行配置的：在 SecurityServer 的配置文件或者設(shè)置界面中配置需要執(zhí)行的操作，如寫 ROTPK、Keybox、IFAA Key、SOTER Key 等功能，該章節(jié)僅介紹Server 的一般配置方法，具體配置參考相應(yīng)章節(jié)介紹。客戶端（如 Simba 工具）的作用是將 SecurityServer 數(shù)據(jù)透傳給待部署的設(shè)備。3.1Server UI 界面說明為了便于操作，SecurityServer 現(xiàn)已支持UI 界面的操作，可直接在 Server 的設(shè)置界面中進(jìn)行配置：開啟 Server 后，雙擊任務(wù)欄 Server 的圖標(biāo)或者右鍵選擇 Setting 項(xiàng)

14、，進(jìn)入設(shè)置界面，如下圖所示，在該頁面進(jìn)行 Server 的配置：Security 設(shè)置界面說明如下：Ø Server Port：設(shè)置 Server 端的 Port需與客戶端工具配置一致，一般使用默認(rèn)的端即可。- 10 -Ø Project：選擇或者新增 Project：目前不支持直接刪除 Project，如果需要刪除，可在 SecureOperations.ini 配置文件中進(jìn)行刪除（注意：先關(guān)閉 Server，然后在配置文件中進(jìn)行刪除）。支持新增 Project：修改一個已有 Project 名稱，會新建 Projec（t 注意：配置好后要點(diǎn)擊 OK 按鈕保存）。

15、6; Deploy Item Configuration：配置部署項(xiàng)根據(jù)需求，在該區(qū)域勾選需要執(zhí)行的操作，SystemInit、SystemClose、DeployEnd 由 Server自動添加，界面上未顯示，不需要用戶自己添加：/初始化RPMB 分區(qū), Server 默認(rèn)配置該項(xiàng)，無需修改SystemInit/寫 ROTPK 到 Efuse；SetROTPK/獲取 ROTPK Hash 值；GetROTPK/Attestation keybox：寫入 Keybox 到RPMB 分區(qū)；SetKeyBox/IFAA：寫 IFAA Key 到RPMB 分區(qū)；SetIfaaKeyGetSoterA

16、TTK/SOTER：生成密鑰對，寫入并上傳公鑰到數(shù)據(jù)庫；SystemClose/關(guān)閉 CA，Server自動添加，無需修改/斷開與客戶端連接，Server自動添加，無需修改DeployEnd-如勾選了 SetKeyBox、SetIfaaKey 選項(xiàng)，必須設(shè)置 Keybox、IFAA Key 文件的路徑：右鍵相應(yīng)選項(xiàng)的Property 欄，選擇 Keybox 或 IFAA Key 文件。- SystemInit、SystemClose、DeployEnd 三個選項(xiàng)是必選項(xiàng)，每個 Project 都會自動添加該選項(xiàng)，不需要用戶自己添加。Ø MySQL Configuration：配置 M

17、ySQL 數(shù)據(jù)庫僅 SOTER 部署需要使用MySQL 數(shù)據(jù)庫。該配置項(xiàng)默認(rèn)不可用，僅當(dāng)勾選了 GetSoterATTK 項(xiàng)時，才需配置 MySQL。配置方法詳見SOTER 部署相關(guān)章節(jié)。- 11 -3.2運(yùn)行SecurityServer在進(jìn)行部署前，需先開啟Server，安全部署過程中需保證 Server 處于正常運(yùn)行狀態(tài)。Ø 雙擊 SecurityServer.exe 運(yùn)行 SecurityServer，在任務(wù)欄中找到 Server 程序圖標(biāo)，右鍵 SecurityServer圖標(biāo)選擇 Setting 項(xiàng)（或者直接雙擊 SecurityServer 圖標(biāo)）進(jìn)入設(shè)置界面，如下圖所示

18、：Ø 根據(jù)實(shí)際需求，在設(shè)置界面進(jìn)行配置，選擇或新建 Project，點(diǎn)擊 OK 按鈕保存后啟動 Server，Server正常啟動后會出現(xiàn)下圖所示信息提示：如果啟動失敗也會彈出提示信息，圖標(biāo)變?yōu)榛疑?，如下圖所示，圖 3-4- 12 -查看Server 版本信息：右鍵 SecurityServer 圖標(biāo)選擇 About 選項(xiàng)查看當(dāng)前版本號，如下圖所示，在該頁面右擊鼠標(biāo)可直達(dá) SecurityServer.exe 所在文件夾。3.3Client 配置說明在 Server 端配置好安全部署需要執(zhí)行的操作后，還需配置 Client 與 Server 的連接，最終通過 Client 工具（如

19、Simba 工具）來完成部署，下面以 Simba 為例簡單說明如何建立與Server 的連接：選擇相應(yīng)的 Seq，在 SecruityDeployClient 的常用頁面中配置如下圖所示：需要設(shè)置 Server IP 和Server Port：Server IP=/設(shè)置 SecurityServer 的 IP 地址， 表示本機(jī)/與 SecurityServer 中 port 設(shè)置一致，默認(rèn)不需要修改Server Port=39998- 13 -ROTPK 部署ROTPK 全稱 Root of Trust Public Key Hash，是根據(jù)硬件的 ID 來

20、生成的一組 KeyHash 值。產(chǎn)線部署ROTPK 會將該 KeyHash 寫入Efuse 中，寫ROTPK 成功后即開啟 SecureBoot 功能，支持 TEE 環(huán)境則采用安全部署寫ROTPK 的方式開啟SecureBoot 功能；安全部署寫ROTPK 是在TEE 環(huán)境中去完成寫Efuse，更加安全且易于拓展。4.1配置SecurityServer 寫ROTPKØ 在 SecurityServer 端配置安全部署需要執(zhí)行的操作：雙擊任務(wù)欄 Server 的圖標(biāo)或者右鍵選擇 Setting 項(xiàng)，進(jìn)入設(shè)置界面，、SetROTPK 選項(xiàng)（其他測項(xiàng)按照實(shí)際需求進(jìn)行勾選），如下圖所示：&#

21、216; 然后點(diǎn)擊 Ok 保存并啟動 Server，并確保 Server 正常運(yùn)行。說明：1.Server Port 一般不需要修改，在客戶端配置一樣的 Port 即可；2.可新建或者修改現(xiàn)有 Project，點(diǎn)擊 OK 按鈕保存并啟動Server。- 14 -4.2產(chǎn)線Client 部署 ROTPK按照上一節(jié)說明，配置好SecurityServer 并正常啟動后，配置客戶端與Server 端建立連接，使用客戶端工具進(jìn)行部署：1.加載Seq 文件：打開 Simba 工具，加載BinProjectProvisionInfo_WriteX.seq 文件，勾選 EnterMode、SecurityD

22、eployClinet 等選項(xiàng)：2.與 SecurityServer 建立連接：在 SecurityDeployClient 常用頁面設(shè)置 Server IP 和Server Port，如下所示：Server IP=/設(shè)置 SecurityServer 的 IP 地址， 表示本機(jī)/與 SecurityServer 中 port 設(shè)置一致，默認(rèn)不需要修改Server Port=399983.產(chǎn)線部署：點(diǎn)擊工具開始按鈕，進(jìn)試，測試成功界面如下圖所示：圖 4-3- 15 -4.3檢查SecureBoot 標(biāo)志位部署結(jié)束后可使用 Simba 工具檢查 SecreuB

23、oot 標(biāo)志位，確認(rèn)部署是否 Pass：1.加載 Seq 文件：打開 Simba 工具，加載BinProjectProvisionInfo_CheckX.seq 文件，勾選 EnterModeCheckSecurityDeploy 等選項(xiàng)，CheckSecurityDeploy 常用頁面中勾選 CheckSecureBoot 選項(xiàng)：2.返回到測試頁面，點(diǎn)擊工具開始按鈕進(jìn)試，測試 Pass 界面如下圖所示：- 16 -圖 4-5圖 4-4Attestation KeyBox 部署Attestation key 在 Android7.0(Nougat)被添加，Android8.0(Oreo)開始強(qiáng)

24、制。所有的 Android 8.0 (Oreo)后續(xù)的全部設(shè)備都需要添加，并且必須擁有硬件支持的Keystore。包括 Android 8.1 (Go Edition)所有 GMS認(rèn)證設(shè)備都需要，目前 GTS 也已經(jīng)強(qiáng)制測試。請求Keybox并Keybox申請Keybox部署圖 5-1分配Devices ID 并申請KeyBox5.1Attestation Key 在產(chǎn)線部署前需從APFE 申請 Keybox，并在生產(chǎn)線將申請到的 keybox 文件部署到每一臺終端。Device ID 是由 OEM 進(jìn)行指定分配，對應(yīng)唯一的硬件設(shè)備，OEM 通過 Device ID 向申請Keybox，獲取的

25、 KeyBox 文件，KeyBox 文件中包含 DeviceID 信息。圖 5-2說明：1.2.一般可將 SN 作為 DeviceID 來申請 Keybox，因?yàn)?SN 也對應(yīng)著唯一的硬件設(shè)備；用 SN 作為 DeviceID 申請 Keybox，并不意味著 DeviceID 與 SN 綁定，在產(chǎn)線部署時只要保證每個硬件寫入一個唯一的 Keybox 就可以。- 17 -Keybox文件轉(zhuǎn)換（產(chǎn)線預(yù)置）產(chǎn)線部署上傳CTS測試結(jié)果到APFE設(shè)備通過CTS為了避免誤將其他項(xiàng)目的 Keybox 文件到當(dāng)前項(xiàng)目中，展銳平臺方案增加了檢查預(yù)設(shè)關(guān)鍵字功能；用于申請 Keybox 的 Device ID 必須

26、包含軟件預(yù)設(shè)的關(guān)鍵字。展銳 Attestation Keybox 部署方案在寫入前會檢查當(dāng)前 keybox 文件中的 DeviceID 是否與軟件預(yù)設(shè)值匹配，如果不匹配則無法寫入Android 8.1 軟件預(yù)設(shè)關(guān)鍵字：ro.keybox.id.valueAndroid 9.0 軟件預(yù)設(shè)關(guān)鍵字；ro.vendor.keybox.id.value下面以 SC7731E Andrioid 9.0 項(xiàng)目為例設(shè)置方法如下：在編譯 pac 時，在 device/sprd/pike2/sp7731e_1h10/sp7731e_1h10_native.mk 文件中配置需要檢索的字段，如下所示：#add for

27、 keybox prop valuePRODUCT_PROPERTY_OVERRIDES += ro.vendor.keybox.id.value=SPRD在寫入 KeyBox 前會檢查Keybox 中的 DeviesID 是否與軟件預(yù)設(shè)關(guān)鍵字一致，如果不一致則無法寫入。說明：1.軟件預(yù)設(shè)關(guān)鍵字大小寫敏感，為 keybox 文件中DeviceID 字段中固定不變子串2.展銳方案默認(rèn)是在device/sprd/*/common/security_feature.mk 文件里面配置這個屬性的，針對所有 board 都生效，客戶在配置keybox 屬性的時候，需要在各自的 board 里面合理配置該

28、屬性- 18 -5.2SecureToolBox 轉(zhuǎn)換Keybox 源文件從APFE 申請到 Keybox 源文件后，在生產(chǎn)前需要通過展銳轉(zhuǎn)換工具將從申請到Keybox 源文件轉(zhuǎn)換成適合部署的.db 文件，即 SecurityServer 目錄BinToolBox下的 SecureToolBox.exe工具。打開SecureToolBox.exe 工具，在Attestation Keybox 頁面，選擇 keybox 源文件和目標(biāo)文件路徑，點(diǎn)擊 Extract，將 Keybox 源文件轉(zhuǎn)換成適合產(chǎn)線部署使用的 db 文件，如下圖所示：轉(zhuǎn)換成功后，工具提示 Splited keybox succ

29、essfully，并在目標(biāo)路徑下會生成目標(biāo) db 文件，如下圖所示。圖 5-4注意：1.Attestation KeyBox 必須在Attesation Keybox頁面進(jìn)行轉(zhuǎn)換2.若 Keybox 源文件較大，可能需要花費(fèi)一定時間，請耐心等待- 19 -SecureToolBox 分割 Keybox db 文件一般地，從谷歌申請到的Keybox 源文件包含 keybox 的數(shù)量比較多，可能實(shí)際生產(chǎn)并不需要將所有的keybox 都保存到同一個 db 文件中。SecrureToolBox.exe 工具另外還提供了一個比較實(shí)用的功能：分割Keybox db 文件的功能，支持從一個比較大的 Keyb

30、ox db 文件中分割出指定數(shù)量的 keybox 到另一個 db 文件中。打開SecureToolBox 工具，切換到 SplitKeyboxDb 頁面，選擇需要分割的 Keybox db 文件和輸出文件，如下圖所示：keyBoxDatabase File：選擇需要分割的 db 文件（不能直接指定為 keybox 源文件）Split To：指定分割出 keybox的db 文件Split Number：指定分割的數(shù)量Total Number：顯示當(dāng)前 db 文件中 keybox 的數(shù)量。- 20 -5.3配置SecurityServer 寫 Attestation KeyBox將從谷歌申請的ke

31、ybox 源文件轉(zhuǎn)換成適合產(chǎn)線部署的 db 文件后，在 SecuritySever 中指定Keybox 文件路徑，部署時會將指定的Keybox 寫到RPMB 分區(qū)：Ø 在 SecurityServer 端配置安全部署需要執(zhí)行的操作：雙擊任務(wù)欄 Server 的圖標(biāo)或者右鍵選擇Setting 項(xiàng)，進(jìn)入設(shè)置界面，勾選 SetKeyBox 選項(xiàng)（其他測項(xiàng)按照實(shí)際需求進(jìn)行勾選），如下圖所示：配置 Keybox db 文件路徑：右鍵相應(yīng)選項(xiàng)的 Property 欄，選擇 Keybox 文件Ø然后點(diǎn)擊 Ok 保存并啟動 Server，并確保 Server 正常運(yùn)行。Ø說明：1

32、.Server Port 一般不需要修改，在客戶端配置一樣的 Port 即可；2.可新建或者修改現(xiàn)有 Project，點(diǎn)擊 OK 按鈕保存并啟動Server。3.根據(jù)谷歌的要求，一個硬件對應(yīng)一個 Keybox，故 Keybox 寫成功后，會將已寫過的 Keybox 從當(dāng)前 db 文件中刪除- 21 -5.4產(chǎn)線 Client 部署 Attestation KeyBox按照上一節(jié)說明，配置好SecurityServer 并正常啟動后，配置客戶端與Server 端建立連接，使用客戶端工具進(jìn)行部署：1.加載Seq 文件：打開 Simba 工具，加載BinProjectProvisionInfo_Wr

33、iteX.seq 文件，勾選 EnterMode、SecurityDeployClinet 等選項(xiàng)：2.與 SecurityServer 建立連接：在 SecurityDeployClient 常用頁面設(shè)置 Server IP 和Server Port，如下所示：Server IP=/設(shè)置 SecurityServer 的 IP 地址， 表示本機(jī)/與 SecurityServer 中 port 設(shè)置一致，默認(rèn)不需要修改Server Port=399983.產(chǎn)線部署：點(diǎn)擊工具開始按鈕，進(jìn)試，測試成功界面如下圖所示，同時工具界面會顯示當(dāng)前Keybox db 文件

34、中的 Keybox 使用情況。圖 5-8- 22 -5.5檢查 Attestation KeyBox 標(biāo)志位部署結(jié)束后使用 Simba 工具檢查 Attestation KeyBox 標(biāo)志位是否Pass：1.加載 Seq 文件：打開 Simba 工具，加載BinProjectProvisionInfo_CheckX.seq 文件，勾選EnterModeCheckSecurityDeploy 等選項(xiàng)，CheckSecurityDeploy 常用頁面中勾選 CheckAtestKeybox 選項(xiàng)：2.返回到測試頁面，點(diǎn)擊工具開始按鈕進(jìn)試，測試 Pass 界面如下圖所示：- 23 -IFAA 部署互

35、聯(lián)網(wǎng)金融認(rèn)證(IFAA)、是阿里主導(dǎo)的一種移動支付認(rèn)證方式，基于公鑰校驗(yàn)體系，能夠強(qiáng)有力的防范行為。如果需要接入 IFAA 平臺，則需要進(jìn)行 IFAA 認(rèn)證及產(chǎn)線部署。6.1接入IFAA 平臺IFAA 官網(wǎng)：h/獲取加入 IFAA 的流程說明，也可參閱相IFAA 終端廠商接入流程.docx。首先使用SecurityServer 中 ToolBox 目錄下的 SecureToolBox.exe 工具生成設(shè)備密鑰，如下圖所：然后將 Public Key 上傳至IFAA 服務(wù)器 h/。說明：1. SecureToolBox 生成的 IFAA Public Key 上傳至 IFAA 服務(wù)器、IFAA

36、Key Pair 用于產(chǎn)線部署；2. SecureToolBox 每次生成的密鑰對文件都不一同，生成的公鑰及密鑰對文件需要妥善保管。3. IFAA 采用一型一密，相同型號的只需要生成一次密鑰對文件就可以了。- 24 -6.2配置SecurityServer 寫IFAA Key產(chǎn)線 IFAA 部署時將指定的 IFAA Key Pair 文件寫入到的 RPMB 分區(qū)，在 SecurityServer 中配置IFAA Key Pair 的文件路徑Ø 在 SecurityServer 端配置安全部署需要執(zhí)行的操作：雙擊任務(wù)欄 Server 的圖標(biāo)或者右鍵選擇Setting 項(xiàng)，進(jìn)入設(shè)置界面，

37、勾選 SetIfaaKey 選項(xiàng)（其他測項(xiàng)按照實(shí)際需求進(jìn)行勾選），如下圖所示：配置 IFAA Key 文件路徑：右鍵相應(yīng)選項(xiàng)的 Property 欄，選擇 IFAA Key 文件Ø然后點(diǎn)擊 Ok 保存并啟動 Server，并確保 Server 正常運(yùn)行。Ø說明：1.Server Port 一般不需要修改，在客戶端配置一樣的 Port 即可；2.可新建或者修改現(xiàn)有 Project，點(diǎn)擊 OK 按鈕保存并啟動Server。3.IFAA Key Pair 即由SecureToolBox 工具生成的 IFAA Key Pair 文件- 25 -6.3產(chǎn)線Client 部署 IFAA

38、按照上一節(jié)說明，配置好SecurityServer 并正常啟動后，配置客戶端與Server 端建立連接，使用客戶端工具進(jìn)行部署：1.加載Seq 文件：打開 Simba 工具，加載BinProjectProvisionInfo_WriteX.seq 文件，勾選 EnterMode、SecurityDeployClinet 等選項(xiàng)：2.與 SecurityServer 建立連接：在 SecurityDeployClient 常用頁面設(shè)置 Server IP 和Server Port，如下所示：Server IP=/設(shè)置 SecurityServer 的 IP 地址，127.0.0

39、.1 表示本機(jī)/與 SecurityServer 中 port 設(shè)置一致，默認(rèn)不需要修改Server Port=399983.產(chǎn)線部署：點(diǎn)擊工具開始按鈕，進(jìn)試，測試成功界面如下圖所示：圖 6-4- 26 -6.4檢查IFAA 標(biāo)志位及Key Hash部署結(jié)束后使用 Simba 工具檢查 IFAA 標(biāo)志位是否 Pass：1.加載 Seq 文件：打開 Simba 工具，加載BinProjectProvisionInfo_CheckX.seq 文件，勾選Enter ModeCheckSecurityDeploy 等選項(xiàng)，CheckSecurityDeploy 常用頁面中勾選 CheckIFAA En

40、able選項(xiàng)：2.如果CheckSecurityDeploy 常用頁面設(shè)置IFAAKey 的值，除檢查 IFAA 標(biāo)志位外，則會檢查寫入里的 IFAA Key 的 Hash 值是正確，如下所示：圖 6-6- 27 -可使用 SecurityServer 中BinToolBoxSecureToolBox.exe 工具可IFAA Key 的 Hash 值：切換到PriHash 頁面，導(dǎo)入密鑰文件計(jì)算獲得，如下圖所示：3.返回到測試頁面，點(diǎn)擊工具開始按鈕進(jìn)試，測試 Pass 界面如下圖所示：- 28 -SOTER 部署SOTER，即騰訊生物認(rèn)證平臺，如需接入 SOTER 平臺進(jìn)行TENcent SO

41、TER 認(rèn)證，則需要進(jìn)行 SOTER產(chǎn)線部署。先SOTER 合作官網(wǎng)：weco，按平臺指引賬號。關(guān)于 SOTER 開發(fā)及接入詳細(xì)流程請參閱SOTER 開發(fā)接入流程.docx及SOTER 終端廠商接入流程.docx產(chǎn)線SOTER 部署采用一機(jī)一密，需要使用 MySQL 數(shù)據(jù)庫。部署時由硬件生成一對公私鑰，將私鑰寫入RPMB 分區(qū)，公鑰上傳至 MySQL 數(shù)據(jù)庫，部署完之后再將 MySQL 數(shù)據(jù)庫的內(nèi)容上傳到SOTER服務(wù)器。說明：1. 產(chǎn)線部署采用的是C/S 架構(gòu)，OEM 應(yīng)該將部署服務(wù)器（數(shù)據(jù)庫信息配置在服務(wù)器端），產(chǎn)線站位客戶端通過 socket 與服務(wù)器進(jìn)行交互，不應(yīng)將服務(wù)器應(yīng)用跟客戶端應(yīng)

42、用放在同一臺PC 上運(yùn)行的方式2. 關(guān)于數(shù)據(jù)加固部分，ODM產(chǎn)線運(yùn)維可以定期對數(shù)據(jù)庫內(nèi)容進(jìn)行備份，防止數(shù)據(jù)丟失。- 29 -7.1MySQL 數(shù)據(jù)庫的使用SOTER 部署必須要使用 MySQL 數(shù)據(jù)庫外用來儲存硬件生成的 Key，并將上傳至服務(wù)器。安裝 MySQL 數(shù)據(jù)庫推薦 MySQL 版本： 以上版本運(yùn)行 MYSQL 安裝文件，安裝 MySQL 數(shù)據(jù)庫，安裝過程中注意以下事項(xiàng)：Ø 電腦設(shè)置為管理員權(quán)限Ø 需啟用 TCP/IP 連接（Enable TCP/IP Networking, Port Number:3306）Ø 設(shè)置 MySQL Roo

43、tØ 點(diǎn)擊 Add User，建立 MySQL 賬號（Host 欄位選擇”All Host (%)”項(xiàng)）- 30 -導(dǎo)入 SQL 表文件MySQL 安裝完之后，需要建立數(shù)據(jù)庫，并導(dǎo)入指定的數(shù)據(jù)庫表結(jié)構(gòu)文件（即SQL 文件，在SecurityServer目錄BinToolBoxSQL 下的 itrust.sql 文件）為了方便數(shù)據(jù)庫管理，建議安裝 Navicat 數(shù)據(jù)庫管理工具，下面以 Navicat 工具示例如何導(dǎo)入 SQL 表結(jié)構(gòu)文件（也可以使用其他 SQL 管理工具導(dǎo)入文件）：1.打開 Navicat 工具，新建連接，輸入連接名、主機(jī) IP（本機(jī)可直接輸入 localhost）、用戶名及（MySQL 服務(wù)端設(shè)置的用戶名及），完成后進(jìn)行連接測試，連接成功后點(diǎn)擊確定2.新建數(shù)據(jù)庫，并導(dǎo)入 SQL 文件：Ø 新建數(shù)據(jù)庫：右鍵上一步建立的連接，點(diǎn)擊“新建數(shù)據(jù)庫”，數(shù)據(jù)庫